WLAN网络技术与架构v.ppt

WLAN网络技术与架构网络技术与架构张张 萌萌EmailEmail：课程提纲课程提纲lWLANWLAN基础概念基础概念lWLANWLAN设备及应用设备及应用lWLANWLAN协议协议lWLAN WLAN QosQos与负载均衡与负载均衡lWLANWLAN典型部署典型部署2无线局域网无线局域网(WLAN)定义定义无线局域网(Wireless Local Area Network)是以射频无线电波通信技术构建的局域网，虽不采用缆线，但也能提供传统有线局域网的所有功能。3WLAN的优点的优点使用更自由使用更自由凡是自由空间，均可连接网络，不受限于线缆和端口位置网网络建建设更更经济终端与交换设备间省去布线，有效降低布线成本特殊地理环境下的网络架设，如隧道、码头、高速公路网网络通信更便利通信更便利不受限于时间和地点的接入网络，满足各行各业对于网络应用的需求4无线网络分类无线网络分类 无线个人网（无线个人网（无线个人网（无线个人网（WPANWPAN）、无线局域网（）、无线局域网（）、无线局域网（）、无线局域网（WLANWLAN）、）、）、）、无线城域网（无线城域网（无线城域网（无线城域网（WMANWMAN）、无线广域网（）、无线广域网（）、无线广域网（）、无线广域网（WWANWWAN）。）。）。）。无线个人网无线个人网 主要用于个人用户工作空间，典型距离覆盖几米，可以与计算机同步传输文件，访问 本地外围设备，如打印机等。目前主要技术包括蓝牙、ZigBee、IrDA、HomeRF。无线局域网无线局域网 主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米。目前主 要技术为802.11系列。无线城域网无线城域网 主要用于解决城域网的接入问题，覆盖范围为几百米到几十千米，目前主要技术WiMax（IEEE 802.16）和ETSI HiperMAN 无线广域网无线广域网 主要用于Internet/email访问，覆盖广域环境，但提供的带宽比无线局域网技术低很多。目前典型的技术是GSM、GRPS、CDMA、3G等。5无线网络分类无线网络分类WLANWLANWMANWMANWWANWWANCDMA1x,EVDO(2.5G,3G)CDMA1x,EVDO(2.5G,3G)，GSM/GPRS,EDGE,LTEGSM/GPRS,EDGE,LTEWiMAXWiMAX（802.16D802.16D）WiMAXWiMAX（802.16E802.16E）802.11b/g/a/n802.11b/g/a/nBluetoothPANWLANWMANWWAN协议标准协议标准BluetoothBluetooth802.11802.11协议族协议族WiMAX16.eWiMAX16.eGSM,GPRS,GSM,GPRS,CDMA,1xRTT,CDMA,1xRTT,3G/HSDPA3G/HSDPA传输速率传输速率 1Mbps 8kbytes）MPDU(2304 bytes-64kbytes）lBlock ACK lShort Guard Interval(GI)-GI 由800ns 减少到400，吞吐提高近52IEEE 802.11nIEEE 802.11n53802.11 802.11 b/a/g/nb/a/g/n技术对比技术对比标准号IEEE 802.11bIEEE 802.11aIEEE 802.11gIEEE 802.11n标准发布时间1999年年9月月1999年年9月月2003年年6月月2009年年9月月工作频率范围2.42.4835GHz5.1505.350GHz5.4755.725GHz5.7255.850GHz2.42.4835GHz2.42.4835GHz5.1505.850GHz非重叠信道数324315最高速率（Mbps）115454300-600实际吞吐量（Mbps）62424100以上以上环境适应性差差较好较好好好很好很好调制方式CCK/DSSSOFDMCCK/OFDMMIMO/OFDM兼容性802.11b802.11a802.11b/g802.11a/b/g/n54802.11MAC层负责客户端与AP之间的通讯。主要功能包括：扫描、接入、认证、加密、漫游和同步。802.11MAC 报文分类：-数据帧数据帧 用户的数据报文 -控制帧控制帧 协助发送数据帧的控制报文，例如：RTS、CTS，ACK等 -管理帧管理帧 负责STA和AP之间的能力级的交互，认证、关联等管理工作，例如：Beacon，Probe，Association，Authentication等802.11 802.11 工作原理工作原理55用户接入管理过程用户接入管理过程STAAP Discovery选择AP(采用侦听Beacon帧或发送Probe帧)AuthenticationAssociation和建立Association关系的AP收发数据123456802.11MAC 使用Scanning功能来完成Discovery -寻找和加入一个网络 -当STA漫游时寻找一个新的APPassive Scanning 通过侦听AP定期发送的Beacon帧来发现网络，Beacon帧中包含该AP所 属的BSS的基本信息以及AP的基本能力级，包括：BSSID(AP的MAC地 址)、SSID、支持的速率、支持的认证方式，加密算法、Beacons帧发送 间隔，使用的信道等。当未发现包含期望的SSID的BSS时，STA可以工作 于IBSS状态Active Scanning 在每个信道上发送Probe request报文，从Probe Response中获取BSS的 基本信息，Probe Response包含的信息和Beacon帧类似ScanningScanning扫描扫描57802.11MAC802.11MAC层工作原理层工作原理 ScanningScanningPassive ScanningPassive ScanningPassive ScanningPassive Scanning通过侦听AP定期发送的Beacon帧来发现网络。58802.11MAC802.11MAC层工作原理层工作原理 ScanningScanningActive ScanningActive Scanning在每个信道上发送Probe request报文，从Probe Response中获取SSID的基本信息。59AuthenticationAuthentication认证802.11支持两种基本的认证方式：-Open System Authentication 等同于不需要认证，没有任何安全防护能 力。通过其他方式来保证用户接入网络的 安全性，例如Address filter、用户报文中 的SSID。-Shared Key Authentication 采用WEP加密算法Attacker可以通过监听 AP发送的明文Challenge text和STA回复的 密文Challenge text计算出WEP KEY。STA和AP均可通过Deauthentication来终结 认证关系 预置60Association STA通过Association和一个AP建立 关联，后续的数据报文的收发只能 和建立Association关系的AP进行。Reassociation STA在从一个老的AP移动到新AP时 通过Reassociation和新AP建立关 联。Reassociation 前必须经 历 Authentication过程。Deassociation STA和AP均可通过 Deassociation 和AP解除关联关系。AssociationAssociation关关联61802.11802.11 WEPWEP加密加密原理原理STAAP加密报文IV值IV静态KeyKey生成器Key流XOR用户数据明文发送的加密报文IV静态KeyKey生成器Key流XOR用户数据明文接收的加密报文IV：initialization Vender 初始向量WEP：Wired Equivalent Privacy 有线对等私有协议62n nWEPWEP加密密码长度加密密码长度WEP40WEP104802.11802.11 WEPWEP加密加密特点特点与注意事项与注意事项n nWEPWEP加密密码格式加密密码格式ASCIIHEXn nWEPWEP加密密码组标示加密密码组标示Key-id63从加密到安全从加密到安全lWEP缺点整个网络共用一个共享密钥，一旦丢失，整个网络都很危险IV向量太短，大量监听用户数据报文后，WEP加密很容易被破解RC4加密算法过于简单l解决办法增加一种密钥管理机制采用更强壮的加密算法64l增强了STA和AP的认证机制 支持802.1x认证方式 支持Pre-shared key认证方式l增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过安全的传递方法传递用户数据加密使用的Keyl增加了两类对称加密算法，加密强度大大增强 TKIP（临时密钥完整性协议）：核心仍然是RC4算法 CCMP（计数器模式CBC-MAC 协议）：核心为AES（Advanced Encryption Standard，先进加密标准）算法802.11i802.11i协议协议 安全认证和加密安全认证和加密65802.11i802.11i协议协议 802.1x 802.1x认证接入过程认证接入过程 STAAPOpen-system AuthenticationAssociationEAPOL startEAPOL-Request/User IdentityEAPOL-Response/User Identity服务器证书/公钥STA证书/用公钥加密的Master Key认证成功4次握手Key协商加密数据报文Radius ServerUser Identity服务器证书/公钥STA证书/用公钥加密的Master Key认证成功/PMK验证服务器证书用公钥加密Master Key生成PMK验证STA证书用私钥解密Master Key生成PMKPMK一致性检查生成其他KeyPMK一致性检查生成其他Key基于EAPTLS的802.1x认证过程123458912710116131466课程提纲课程提纲lWLANWLAN基础概念基础概念lWLANWLAN设备及应用设备及应用lWLANWLAN协议协议lWLAN WLAN QosQos与负载均衡与负载均衡lWLANWLAN典型部署典型部署67802.11802.11技术在技术在QOSQOS方面存在的缺陷方面存在的缺陷 最初的802.11技术是为满足用户的数据传输而设计的，根本没有考虑多业务承载。802.11采用的DCF（distributed coordination function，分布式协调功能）调度模式是基于CSMA/CA原理，最终的效果是所有用户发送的报文平等地竞争无线资源。由于没有区分业务优先级的机制，造成AP和终端在对外发送报文时对报文按同等优先级对待。当发生流量拥塞时，需要优先处理的报文（例如语音报文）和普通的报文（例如浏览网页的报文）会按相同的概率被丢弃。和有线网络相对完善的QOS机制无法很好地衔接。68CSMA/CACSMA/CA（载波侦听多点接入避让机制）（载波侦听多点接入避让机制）Frame Exchange Frame ExchangeFrameExchangeFrameExchangeDIFSDIFSDIFSSTA 1STA 2STA 3STA 4竞争窗口竞争窗口竞争窗口CA功能由 DCF来完成10935761025481069802.11e 802.11e 协议协议 QOSQOS保证保证n802.11e802.11e针对针对DCFDCF模式进行了改进，支持模式进行了改进，支持EDCAEDCA（Enhanced Distribution Enhanced Distribution Channel Channel AcessAcess，增强型分布式协调访问机制）的媒体访问机制，增强型分布式协调访问机制）的媒体访问机制支持8个业务优先级的报文标记（类似于有线网络中的802.1P）业务优先级可被映射到4个输出队列（WMM）高优先级的报文优先获取无线空口的访问能力70802.11e 802.11e 协议协议 EDCAEDCA调度模式调度模式优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeIFS4CW4IFS3CW3FrameIFS2CW2FrameIFS1CW1FrameAP和无线客户端等待发送的数据的调度机制：71优先报文标记优先报文标记72802.11e802.11e与与WMM WMM 映射关系映射关系73QoS标记映射表标记映射表74QoSQoS映射过程映射过程75负载均衡负载均衡n基于用户的负载均衡n基于流量的负载均衡231基于VLAN Pool的负载均衡n基于Channel的负载均衡76课程提纲课程提纲lWLANWLAN基础概念基础概念lWLANWLAN设备及应用设备及应用lWLANWLAN协议协议lWLAN WLAN QosQos与负载均衡与负载均衡lWLANWLAN典型部署典型部署77核心机房核心机房会议厅会议厅餐厅、茶座餐厅、茶座大厅、服务台大厅、服务台交换机客户端热点覆盖热点覆盖客户端客户端接入交换机无线交换机接入交换机接入交换机78增值业务增值业务电子病历服务器群交换机交换机交换机交换机FIT AP核心机房核心机房手持PDA住院楼住院楼1住院楼住院楼2住院楼住院楼3WiFi电话WiFi电话无线交换机网管Radius语音网关语音服务器79办公地点无线互连办公地点无线互连 企业总部网络企业分支网络1企业分支网络2无线网桥无线网桥无线网桥80无线控制器无线控制器B汇聚交换机汇聚交换机PPPoE或Portal认证城域网核心路由器城域网核心路由器无线控制器无线控制器AADSL猫猫DSLAM汇聚交换机汇聚交换机城域网城域网两台控制器可互为备份无线控制器无线控制器+Thin AP+Thin AP运营商典型组网运营商典型组网PPPoE或Portal认证BAS-2隧道报文数据报文AAAAAAPortaPortal ln认证、计费平台BAS-1接入交换机接入交换机接入交换机接入交换机Fit APFit AP城域网核心路由器城域网核心路由器81 谢谢 谢！谢！82