为了在单元之间移动时不至于丢失信号,BSS必须具有大约10%的重叠量,以允许客户端在与第一个AP断开之前连接到第二个AP。
大多数家庭和小型企业环境都只有一个BSS。但是,当覆盖范围需要扩大以及需要连接更多主机时,就必须创建ESS。
6.通道(Channel)
无论无线客户端是在IBSS、BSS还是ESS中通信,发送方与接收方之间的通信必须受到控制。控制方法之一是使用通道。
对可用的RF频谱进一步划分即形成通道。每个通道都可以传送不同的通信。此方式类似于多个电视频道通过一个介质传输。多个AP若使用不同的通道进行通信,就可以彼此靠近运作。
但是,不同通道使用的频率可能会存在重叠,因而不同的通信必须在不重叠的通道中传输。通道的数量和分配方式取决于区域和技术。可以根据当前用途及可用的吞吐量,手动或自动选择用于特定通信的通道。
一般情况下,每个无线通信都使用单独的通道。有些新技术将多个通道合并成一个较宽通道,从而提供更高的带宽和数据速率。
7.CSMA/CA
在WLAN中,若没有适当地定义边界,将无法检测到传输过程中是否发生冲突。因此,必须在无线网络中使用可避免发生冲突的访问方法。
无线技术使用的访问方法称为“载波侦听多路访问/冲突避免”(Carrier Sense Multiple Accesswith Collision Avoidance,CSMA/CA)。CSMA/CA可以预约供特定通信使用的通道。
在预约之后,其他设备就无法使用该通道传输,从而避免冲突。
这种预约过程是如何运作的呢?如果一台设备需要使用BSS中的特定通信通道,就必须向AP申请权限。这称为“请求发送”(Request to Send,RTS)。如果通道可用,AP将使用“允许发送”(Clear to Send,CTS)报文响应该设备,表示设备可以使用该通道传输。CTS将广播到BSS中的所有设备。因此,BSS中所有设备都知道所申请的通道正在使用中。
通信完成之后,请求该通道的设备将给AP发送另一条消息,称为“确认”(Acknowledge-ment,ACK)。ACK告知AP可以释放该通道。此消息也会广播到WLAN中的所有设备。
BSS中所有设备都会收到ACK,并知道该通道重新可用。
8.WLAN身份认证(Authentication)
身份验证是根据一组证书允许登录网络的过程,用于验证尝试连接网络的设备是否可以信赖。
使用用户名和密码是最常见的身份验证形式。在无线环境中,身份验证同样用于确保连接的主机已经过验证,但处理验证过程的方式稍有不同。如果启用身份验证,必须在允许客户端连接到WLAN之前完成。无线身份验证方法有三种:开放式身份验证(Open Authen-tication)、预共享密钥PSK和可扩展身份验证协议EAP。
(1)开放式身份验证
默认情况下,无线设备不要求身份验证。任何身份的客户端都可以关联。这称为开放式身份验证。开放式身份验证应只用于公共无线网络,例如为数众多的学校和酒店的无线网络。如果网络在客户端连接之后通过其他方式进行身份验证,则也可以使用开放式身份验证。
(2)预共享密钥(Pre-sharedkeys,PSK)
使用PSK时,AP和客户端必须配置相同的密钥(key)或加密密码。AP发送一个随机字符串到客户端。客户端接受该字符串,根据密钥对其进行加密(或编码),然后发送回AP。AP获取加密的字符串,并使用其密钥解密(或解码)。如果从客户收到的字符串在解密后与原来发送给客户端的字符串匹配,就允许该客户端连接。
PSK执行单向身份验证,即向AP验证主机身份。PSK不向主机验证AP的身份,也不验证主机的实际用户。
(3)可扩展身份验证协议(Extensible Authentication Protocol,EAP)
EAP提供相互或双向的身份验证以及用户身份验证。在客户端安装EAP软件时,客户端将与后端身份验证服务器[例如远程身份验证拨号用户服务(RADIUS)]通信。该后端服务器的运行独立于AP,并负责维护有权访问网络的合法用户数据库。使用EAP时,用户和主机都必须提供用户名和密码,以便对照RADIUS数据库检查其合法性。如果合法,该用户即通过了身份验证。
9.WLAN上的加密
身份验证和MAC过滤可以阻止攻击者连接无线网络,但无法阻止他们拦截传输的数据。因为无线网络没有单独的边界,并且所有通信量都通过空间传输,所以攻击者很容易拦截或窃听无线帧。而经过加密之后,攻击者即使拦截了传输的数据,也无法使用它们。
(1)有线等效协议(Wired Equivalency Protocol,WEP)
有线等效协议(WEP)是一项高级安全功能,用于加密通过空间传送的网络通信量。
WEP使用预配置的密钥加密和解密数据。
WEP密钥是一个由数字和英文字母组成的字符串,长度一般为64位或128位。有时WEP也支持256位的密钥。为简化这些密钥的创建和输入,许多设备都有密码短语(Pass-phrase)选项。密码短语是方便记忆自动生成密钥所用字词或短语的一种方法。
为使WEP生效,AP以及每台可以访问网络的无线设备都必须输入相同的WEP密钥。
若没有此密钥,设备将无法理解无线传输的内容。
(2)Wi-Fi保护访问(Wi-Fi Protected Access,WPA)
WEP是一种防范攻击者拦截数据的极佳方式。但WEP也有缺陷,例如,所有启用WEP的设备都使用静态密钥。攻击者可以使用一些应用程序来破解WEP密钥。这些应用程序在Internet上很容易获得。攻击者一旦获取密钥,便可访问所有传输的信息。
填补此漏洞的一种方法是频繁更改密钥。另一种方法是使用形式更高级、更安全的加密,称为Wi-Fi保护访问(WPA)。
WPA也使用加密密钥,其长度在64位到256位之间。但与WEP不同的是,每当客户端与AP建立连接时,WPA都会生成新的动态密钥。因此,WPA比WEP更安全,其破解难度也要大很多。
(七)PPPoE
PPPoE(Point-to-Point Protocol over Ethernet),即以太网上点对点协议(RFC2516),由Red back、RouterWare和UUNET Technologies联合开发的。通过把最经济的局域网技术--以太网和点对点协议的可扩展性及管理控制功能结合在一起,网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式,提供支持多用户的宽带接入服务时更加简便易行。同时该技术亦简化了最终用户在动态地选择这些服务时的操作。
PPPoE基于以太网的点对点协议,当前的PPPOE主要被ISP用于xDSL和Cable Modems与用户端的连接,他们几乎与以太网一样。PPPoE是一种标准的点对点协议(PPP),他们之间只是传输上的差异:PPPoE使用Modem连接来代替普通的以太网。一般来说,PPPoE是基于与用户认证和通过分发IP地址给客户端。一个PPPoE连接由客户端和一个访问集线服务器组成,客户端可以是一个安装了PPPoE协议的Windows电脑。PPPoE客户端和服务器能工作在任何以太网等级的路由器接口上。
四、实践操作
背景知识/准备工作:
准备好网络设备的连接。
本实验需要以下资源:
LinksysWRT54G宽带路由器;
一台带无线网卡的笔记本或PC;
一根以太网交叉电缆。
(一)登录宽带路由器
操作步骤如下:
(1)打开IE浏览器,在地址栏输入宽带路由器的地址“HTTP://192.168.1.1”,然后回车。注意,每个厂家的初始管理地址可能有所不同,如TP-Link的默认管理地址为“192.168.1.1”,大家可以查看配置说明书。
(2)在弹出对话框中,输入用户名和密码,均为“admin”,然后回车。
(二)修改登陆密码
为保证路由器的配置不被随意修改,我们可以修改登陆的密码。
操作步骤如下:
(1)在管理界面菜单栏上,点击【Administration】菜单,进入【Management】子菜单。
(2)在【Router Password】中输入密码,【在Re-entertoconfirm】中确认输入的密码,在设置密码过程中,最好能够使用字母、数字加特殊符号的方式,保证密码的安全性。最后,单击【Save Setting】按钮保存更改。
(三)配置WAN属性
操作步骤如下:
(1)在管理界面菜单栏上,点击【Setup】菜单,进入【Basicsetup】子菜单。
(2)点击下拉菜单,选择网络连接方式。常用的方式有静态IP、DHCP和PPPoE三种。根据现有网络的情况,我们选择【Static IP】选项。
(3)根据ISP提供的地址,我们设置【IP Address】为“120.160.43.224”,【Subnet Mask】
子网掩码为“255.255.255.224”,因为ISP只提供了“120.160.43.224/27”的公网IP网段。
【Default Gateway】默认网关为“120.160.43.254”。DNS服务器地址为“221.12.1.228”和“221.12.33.228”。配置完成后。最后保存设置,即完成了与外部网络的连接。
(4)部分ISP需要用户输入主机名、域名(Domainname)以及设置相应的MTU大小,包括端口的速率(Speed)和双工(Duplex)模式。这里我们不进行配置。
(四)配置LAN属性
操作步骤如下:
(1)默认路由器的管理IP为“192.168.1.1/24”。这里我们修改路由器的管理IP为“192.168.12.1”,子网掩码为“255.255.255.0”,如图8-25所示。设置完成后保存。
(2)在IE浏览器中输入新的管理IP,重新登陆路由器。
(3)设置DHCP服务器的属性。点击【Enable】按钮则启用了本地DHCP服务,设置起始IP地址为“192.168.12.100”,IP地址数为“50”个。DHCP客户端的租约为默认的“0”,表示2天。
(五)配置WLAN属性
操作步骤如下:
(1)在管理界面菜单栏上,点击【Wireless】菜单,进入【Basic Wireless Setting】子菜单。
(2)【Wireless】参数,选择“Enable”,启用无线AP。将【SSID】修改为“1502”,【WirelessChannel】参数设为通道“1”,防止与其他AP信号的相互干扰。禁用(Disabled)SSID广播(Broadcast),提高无线网络的安全,但对于用户比较麻烦,需要手工设置SSID。。
(3)安全设置。点击【Wireless Security】子菜单,启用身份认证,并选择加密算法。这里,我们选择WEP模式,加密级别是128位,密码参数是“1502”。点击【Generate】按钮,生成WEP密钥。最后将配置结果保存。这样只有知道密钥的用户才能连接到网络。
当然,对于家庭网络的用户,也可以选用WPAPre-SharedKey方式进行身份认证。不过该方法的密钥容易被强行破解,因此安全性较低。
(4)默认情况下,允许所有的设备接入无线网络。通过设置Access List,来过滤非授权的用户访问网络。选择【Restrict Access】,可以录入20个允许访问的网络设备的MAC地址。当然我们也可以单击【Wireless Client MAC List】,打开无线客户端列表,选择想要添加的无线客户端,单击【Save】按钮,则自动将该设备的MAC地址存入MAC访问列表。最后,别忘了将配置结果保存。
(5)此外,我们还可以设置一些WLAN的高级参数。例如,数据传输速率、身份认证类型、天线选择、分段延时、报头类型等,一般选择默认即可,无需修改。
(六)DMZ设置
操作步骤如下:
(1)在管理界面菜单栏上,点击【Applications&Gaming】菜单,点击进入【DMZ】子菜单。
(2)启用DMZ功能,并将FTP服务器的IP地址“192.168.12.140”填入【DMZ Host IP Address】选项。
拓展知识——DMZ主机
DMZ主机的IP地址必须是静态配置(固定)的。因此,我们需要手工设置该FTP服务器的IP地址。