IEEE802.11协议

dulu~dulu

7391人浏览 · 2023-04-23 00:46:05

dulu~dulu · 2023-04-23 00:46:05 发布

基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；

1. 无线局域网的工作模式

IEEE802.11定义了无线局域网的两种工作模式:基础设施网络(Infrastructure Networking)
和自主网络(AdHoc Networking)。

基础设施网络

基础设施网络是预先建立起来的，具有一系列能覆盖一定地理范围的固定基站。构建自主网络时，网络组建不需要使用固定的基础设施，仅靠自身就可以临时构建网络。

在基础设施网络中无线终端通过接入点(Access Point，AP) 访问骨干网设备。接入点如同一个网桥，它负责在802.11 和 802.3 MAC 协议之间进行转换。安装AP需要给AP分配一个不超过32字节的服务集标识符(ServiceSetIdentifier，SSID)和一个信道。一个接入点覆盖的区域叫作一个基本服务区(BasicService Area，BSA)，接入点控制的所有终端组成一个基本服务集(Basic Service Set，BSS)。把多个基本服务集互相连接就形成了分布式系统(Dstributed System，DS)。DS支持的所有服务叫作扩展服务集(Extended Service Set，ESS)，它由两个以上BSS 组成，如下图所示：

注：802.11规定无线局域网最小构件是基本服务集(Basic Service Set，BSS)

自主网络

自主网络就是一种不需要有线网络和接入点支持的点对点网络。终端设备之间通过无线网卡可以直接通信。这种拓扑结构适合在移动情况下快速部署网络。802.11支持单跳的 AdHoC网络，当一个无线终端接入时首先寻找来自 AP 或其他终端的信标信号，如果找到了信标，则AP或其他终端就宣布新的终端加入了网络:如果没有检测到信标，该终端就自行宣布存在于网络之中。还有一种多跳的Ad Hoc 网络，无线终端用接力的方法与相距很远的终端进行对等通信。在这种网络中，每一个节点既是主机，又是路由器，它们之间相互转发分组，形成一种自组织的MANET(MobileAdHoc Network) 网络。

2.ISM（可供无线局域网使用的频段）

工业、科学和医疗频段(Industrial Scientific Medical BandISMBand)是国际通信联盟无线电通信局的无线电通信部门(TURadio communication SectorITUR)定义的。此频段主要是开放给工业、科学和医学三个主要机构使用，属于Free License，无需授权许可，只需要遵守一定的发射功率(一般低于1W)，只要不对其他频段造成干扰即可。其中，重要的2.4GHz频段为各国共同的ISM频段，因此无线局域网、蓝牙、ZigBee等无线网络均可以工作在2.4GHz频段上。

3.802.11物理层

802.11物理层比较复杂，最初使用了三种物理层技术。
(1)跳频(Frequency-HoppingSpread Spectrum，FHSS)。
扩频技术的基本特征是使用比发送的信息数据速率高很多倍的伪随机码将载有信息数据的基带信号的频谱进行扩展，形成宽带的低功率频谱密度的信号来发射。简而言之，就是用伪随机序列对代表数据的模拟信号进行调制。它的特点是对无线噪声不敏感、产生的干扰小、安全性较高，但是占用带宽较高。增加带宽可以在低信噪比、等速率的情况下，提高数据传输的可靠性。而扩频技术属于跳频技术的一种。

FHSS系统的基本运作过程:

发送端首先把信息数据调制成基带信号，然后进入载波频率调制阶段。此时载波频率受伪随机码发生器控制，在给定的某带宽远大于基带信号的频带内随机跳变，使基带信号带宽扩展到发射信号使用的带宽，然后跳频信号便由天线发送出去。接收端接收到跳频信号后，首先从中提取出同步信息，使本机伪随机序列控制的频率跳变与接收到的频率跳变同步，这样才能得到数据载波，将载波解调(即扩频解调)后得到发射机发出的信息。传统无线通信为了节约宝贵频率资源，在保证通信质量前提下采用最窄带宽;FHSS 则相反，因此安全性较高、带宽消耗较大，占用了比传输信息带宽高许多倍的频率带宽。伪随机序列好比音乐家的指挥棒，而各种频率好比各种乐器，只有在指挥棒指挥各种乐器前提下才能演奏和谐的交响曲。只不过FHSS接收方和发送方的指挥棒一定是相同的。

(2)红外技术(IR，InfraRed)
红外线是波长在750nm至1mm之间的电磁波，它的频率高于微波而低于可见光，是一种人的眼睛看不到的光线。由于红外线的波长较短，对障碍物的衍射能力差，所以更适合应用在需要短距离无线通讯的场合，进行点对点的直线数据传输。红外数据协会将红外数据通讯所采用的光波波长的范围限定在850nm至900nm之内。

(3)直接序列扩频(Direct Sequence Spread Spectrum，DSSS)
DSSS的扩频方式是:首先用高速率的伪噪声(PN)码序列与信息码序列作模二加(波形相乘)运算，得到一个复合码序列;然后用这个复合码序列去控制载波的相位，从而获得DSSS信号。

DSSS又称为噪声调制扩展，利用了通信中的“废物”噪声，窄带信号通过噪声扩展到相当宽的频道上，数据流比特和噪声比特结合成了更宽的信号，接收双方只有知道承载的噪声特性才能分析出有效信号。

1999年，人们又引入了OFDM和HR-DSSS两种新的扩频技术
1)正交频分复用技术(Orthogonal Frequency Division Multiplexing，OFDM)
OFDM 是一种无线环境下的高速传输技术。OFDM 技术的主要思想就是在频域内将给定信道分成许多正交子信道，在每个子信道上使用一个子载波进行调制，且各子载波并行传输。通俗地讲就是OFDM使用了多个频率，在52个频率中，48 个用于数据，4个用于同步。由于在OFDM 的传输过程中可能会同时使用多个不同的频率，这类工作特性说明OFDM也是一种扩频技术。

2)高速直接序列扩频(High Rate Direct Sequence Spread Spectrum，HR-DSSS)
高速直接序列扩频是另一种扩频技术，使得在2.4GHz频段内达到了11Mb/s的速率。HR-DSSS
采用了补码键控(CCK)等调制技术。

4.IEEE802.11系列标准

IEEE802.11由IEEE 802.11工作组制定，该工作组成立于1990年，是一个专门研究无线LAN技术、开发无线局域网物理层协议和MAC层协议的组织。IEEE在1997年推出了802.11无线局域网(WirelessLAN)标准，经过多年的补充和完善形成了一个系列(即802.11系列)标准。目前，该系列标准已经成为无线局域网的主流标准。"
802.11系列标准主要有4个子标准，具体如表8-1所示。

多进多出(Multiple Input MultipleOutput，MIMO)技术
发射端和接收端都采用多个天线(或阵列天线)和多个通道。只要其发射端和接收端都采用了多个天线(或天线阵列)就构成了一个无线MIMO系统。MIMO无线通信技术采用空时处理技术进行信号处理，在多路径环境下，无线MIMO系统可以极大地提高频谱利用率，增加系统的数据传输速率。MIMO技术非常适用于室内环境下的无线局域网系统使用。采用MIMO技术的无线局域网系统在室内环境下的频谱效率可以达到20~40b/s/Hz，而使用传统无线通信技术在移动蜂窝中的频谱效率仅为1~5b/s/Hz，在点到点的固定微波系统中也只有10~12b/s/Hz。

例题：

在5G技术中，用于提升接入用户数的技术是( )。

A.MIMO B.NGV C.SOMA D.SDN

答案：A

解析：
MIMO 是指多输入多输出技术，它可以通过增加天线数量来提高网络容量和覆盖范围，支持多个天线单元的同时连接，从而提高网络的接入用户数和传输速率。

补充：

802.11ac 运行频段：5G，主要技术：MIMO，数据速率：1.73Gbps

802.11ax 运行频段：2.4G和5G，主要技术：OFDM/MIMO，数据速率：9.6Gbps

不同WIFI所用802.11协议

5.IEEE802.11MAC层协议

IEEE 802.11 采用了类似于802.3 CSMA/CD协议的载波侦听多路访问/冲突避免协议(Carrien
Sense Multiple Access/Collision AvoidanceCSMA/CA)，之所以不采用CSMA/CD协议的原因有两
点:

①无线网络中，接收信号的强度往往远小于发送信号，因此要实现碰撞的花费过大;

②隐蔽站

(隐蔽终端问题)，并非所有站都能听到对方，如图8-2(a)所示。而暴露站的问题是检测信道忙
碌但未必影响数据发送，如图8-2(b)所示。

因此，CSMA/CA就是减少碰撞，而不是检测碰撞。
CSMA/CA的MAC层分为DCF和PCF两层。
(1)分布协调功能(Distributed Coordination Function，DCE)。DCF没有中心控制，通过争用
信道获取信道信息发送权，用于支持突发式通信。
(2)点协调功能(Point Coordination Function，PCF)。

PCF选择接入AP集中控制BSS，支持多媒体应用。因此自组网络就没有 PCF 子层。PCE使用集中控制的接入算法,类似于探询的方法把发送数据权轮流交给各个站，从111J避免了碰撞的产生。对于时间敏感的业务,如分组话音,就应使用提供无争用服务的点协调功能 PCF.为了尽量避免碰撞,802.11 规定,所有的站在完成发送后,必须再等待一段很短的时间(继结监听)才能发送下一帧。这段时间通称为帧间间隔IFS CntCrFramc space)。帧间间隔的长短取决于该站要发送的帧的类型。高优先级帧需要等待的时间较短，因此可优先获得发送权。但低优先级帧就必须等待较长的时间。若低优先级帧还没来得及发送而其他站的高优先级帧已发送到媒体,则媒体变为忙态,那么低优先级帧就只能再推迟发送了,这样就减少了发生碰撞的机会。至于各种帧间间隔的具体长度,则取决干所使用的物理层特性。

为了避免碰撞802.11提出帧间隔(InterFrameSpaceIFS)。帧间隔的长短取决于发送帧的类型。优先级高的IFS时间短，反之则长。802.11规定了三种常用IFS，如表8-2所示。

CSMA/CA算法如下:
(1)若站点最初有数据需要发送，并且检测发现传输信道处于空闲状态，则等待时间DIFS后发送数据帧。

(2)否则，站点就执行CSMA/CA协议的退避算法。期间如果检测到信道忙，就暂停运行退避计时算法。只要信道空闲，退避计时器就继续运行退避计时算法。
(3)当退避计算机时间减少到零时，站点不管信号是否忙都送整个数据帧并等待确认。
(4)发送站收到确认就知道已发送的帧完成。这时如果要发送第二帧，就要从步骤2开始，执行CSMA/CA退避算法，随机选定一段退避时间。
若发送站在规定时间内没有收到确认帧ACK就必须重传，再次使用CSMA/CA协议争用接入信道，直到收到确认，或者经过若干次失败放弃传送。
注意:发送第一个数据帧时可以不使用退避算法，其余情况都需要使用退避算法。

6.对于wlan的安全采取的措施

1.SSID访问控制:

SSID是Service Set identifier的缩写，意思是：服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。

2.物理地址过滤

3.有线等效保密(WEP):使用RC4协议加密。

4.WPA:包括认证，加密和数据完整性校验3部分

WPA（WI-FI网络安全接入）

Wi-Fi联盟厂商以802.11i草案的子集为蓝图制定了称为WPA (Wi-Fi Protected Access)安全认证方案。在WPA的设计中包含了认证、加密和数据完整性校验三个组成部分。

首先是WPA使用了 802.1x协议对用户的MAC地址进行认证；

其次是WEP增大了密钥和初始向量的长度，以128bit的密钥和48位的初始向量（IV)用于RC4加密。 WPA还采用了可以动态改变密钥的临时密钥完整性协议TKIP,以更频繁地变换密钥来减少安全风险。

最后，WPA强化了数据完整性保护，使用报文完整性编码来检测伪造的数据包，并且在报文认证码中包含有帧计数器，还可以防止重放攻击。

其主要的改进就是使用了“临时密钥完整性协议”，在数据保密方面定义了三种加密机制：

WPAI(无线局域网鉴别和保密基础结构)

（1）构成：WAI（用于用户身份鉴别）WPI（用于保护传输安全）

优势：双向三鉴别（服务器，AP，STA）高强度鉴别加密算法

Wi-Fi 访问保护 II（ WPA2 ）

　　WPA 标准于2006年正式被 WPA2 取代。WPA 和 WPA2 之间最显着的变化之一是强制使用 AES 算法和引入 CCMP （计数器模式密码块链消息完整码协议）替代 TKIP 。

　　目前， WPA2 系统的主要安全漏洞很不起眼（漏洞利用者必须进行中间人模式攻击，从网络内部获得授权，然后延续攻击网络上的其它设备）。因此， WPA2 的已知漏洞几乎都限制在企业级网络。所以，讨论 WPA2 在家庭网络上是否安全没有实际意义。

　　不幸的是， WPA2 也有着 WPA 同样的致命弱点， Wi-Fi 保护设置（ WPS ）的攻击向量。尽管攻击WPA/WPA2保护的网络，需要使用现代计算机花费2至14小时持续攻击，但是我们必须关注这一安全问题，用户应当禁用 WPS （如果可能，应该更新固件，使设备不再支持 WPS ，由此完全消除攻击向量）。

WPA2加密方式是目前使用最广泛的无线加密方式。

WPA-PSK/WPA2-PSK

WPA和WPA2衍生出来的两种加密方式WPA-PSK和WPA2-PSK，他们之间的区别在于使用的加密算法。WPA-PSK和WPA2-PSK既可以使用TKIP加密算法也可以使用AES加密算法。

对于WEP，WPA,WPA2这篇总结可以仔细看看：

无线WIFI知识-常见加密方式：WEP、WPA和WPA2

补充：802.1x

802.1x协议是基于C/S(client/server)的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPOL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x的认证过程：（参考百度百科）

(1 当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

(2 交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

(3 客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

(4 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

(5 客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。

(6 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

802.1x认证时采用的是radius协议：

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN（Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务）、移动电话预付费等业务。

WLAN用户通过RADIUS服务器登录的过程
(1)由无线工作站上的认证客户端发出认证请求。
(2)AP上的认证系统接收之后交给RADIUS服务器进行认证。
(3)通过认证之后对该用户进行授权，并且返回认证成功信息给认证系统。
(4)认证系统打开该用户的数据通道并允许其进行数据传输。

例题：

无线局域网通常采用的加密方式是WPA2，其安全加密算法是（44）。

(44)A.AES和TKIP B.DES和TKIP C.AES和RSA D.DES和RSA

【答案】A

【解析】

WPA2需要采用高级加密标准 (AES) 的芯片组来支持，并且定义了一个具有更高安全性的加密标准CCMP。

可以看我的另一篇：http://t.csdn.cn/6KDQr

某校园网中的无线网络拓扑结构如图所示

该网络中无线网络的部分需求如下：
①学校操场要求部署AP，该操场区域不能提供外接电源

②学校图书馆报告厅要求高带宽、多接入点

③无线网络接入要求有必要的安全性

[问题1]
根据学校无线网络的i扑图可以判断，连接学校操场无线AP的是（1），它可以通过交换机的（2）口为AP提供直流电。
[问题2]
①根据需求在图书馆报告厅安装无线AP，如果采用符合IEEE 802.11b 规范的AP，理论上可以提供(3) Mb/s 的传输速率;如果采用符合IEEE 802.11g 规范的AP，理论上可以提供最高（4）Mb/s 的传输速率。如果采用符合 (5) 规范的AP，由于将 MIMO技术和 (6) 调制技术结合在一起，理论上最高可以提供600Mb/s的传输速率。

(5)A.IEEE 802.11a B.EEE 802.11e C.EEE 802.11i D.IEEE 802.11n

(6) A.BFSK B.QAM C.OFDM D.MFSK
②图书馆报告厅需要部署 10台无线AP，在配置过程中发现信号相互干扰严重，这时应调整无线AP的(7) 设置，用户在该报告厅内应选择 (8)，接入不同的无线AP。
A.频道 B.功率 C.加密模式 D.操作模式 E.SSID

[问题3]
若在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线 AP上设置不广播 (9) ，对客户端的 (10) 地址进行过滤，同时为保证安全性，应采用加密措施。无线网络加密主要有三种方式:(11)、WPA/WPA2、WPA-PSK/WPA2-PSK。这三种模式中，安全性最好的是 (12），其加密过程采用了TKIP和(13)算法。
A.AES
B.DES
C.IDEA
D.RSA

解析：

（1）POE （2）以太网口

学校操场要求部署 AP，该操场区域不能提供外接电源”可知，既然要接AP，又不能提供外接电源，那么就只能使用POE技术供电。POE(Power Over Ethernet)指的是在现有的以太网 Cat.5 布线基础架构不作任何改动的情况下，在为一些基于IP 的终端(如IP 电话机、无线局域网接入点AP、网络摄像机等)传输数据信号的同时，还能为此类设备提供直流供电的技术。理论上，任何功率不超过13W 的设备都可以从 RJ45 插座获取相应的电力.
所以，连接学校操场无线AP 的是POE 交换机,它可以通过交换机的以太口为AP提供直流电。

（3）11 （4）54 （5）D （6）C

（7）A（或频道）（8）E（或SSID）

多个无线AP同处一区域时，可能出现信号干扰的问题。这时应该选择不同的频道，避免物理信号干扰。
每个AP的初始标志是由SSID(ServiceSetIdentifier)来区别的，本题中用户选择SSID接入不同的无线AP。

（9）SSID （10）MAC（或物理地址）

（11）WEP（或有线等效加密）（12）WPA-PSK/WPA2-PSK

（13）A（AES）

SSID 用于区别无线访问节点所使用的初始化字符串，客户端利用 SSID 完成通信连接的初始化。为了避免非授权连接，可以通过更改 SSID 避免猜测。可以限制 SSID 广播，来避免
非法连接。

无线网络加密主要有三种方式:WEP、WPA/WPA2、WPA-PSK/WPA2-PSK。在这三种模式中，安全性最好的是WPA-PSK/WPA2-PSK，其加密过程采用了TKIP和AES算法。

WPA包含IEEE802.11i 标准的大部分,是在IEEE80211i完备之前替代 WEP的过渡方案Wi-Fi保护接入(Wi-FiProtected Access，WPA)，是新一代的WLAN安全标准，该协议采用新的加密协议并且结合IEEE 802.1x 实现访问控制。在数据保密方面定义了三种加密机制。

802.11i:无线安全标准，WPA是其子集。这种安全标准为增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11主要的标准范畴分为媒介层(MAC)与物理层(PHY)，套用过来，前者就是OSI的数据链路层中的媒体访问控制子层，后者直接就对应OSI的物理层。我们耳熟能详的IEEE802.11a/b/g，主要是以PHY层的不同作为区分，所以它们的区别直接表现在工作频段及数据传输率、最大传输距离这些指标上。而工作在媒介层的标准——IEEE802.11e/f/i则被整个IEEE802.11族所共用。

关于更多802.11i的详细知识点推荐这篇：

http://t.csdnimg.cn/L0Med