无线原理

802.11網路的四種主要的物理組件：

• 工作站（Station）：              
  通常包括配備無線網路接口的設備

• 接入點（Access Point）：              
  具備無線至有線的橋接功能的設備稱之為接入點。通常分為自主型AP（Fat AP）和精簡型AP（Thin AP）

• 無線媒介（Wireless Medium）：              
  規定了傳輸封包所使用的物理層介質。

• 分佈式系統（Distribution System）：              
  分佈式系統屬於邏輯上的組件，負責轉發封包到目的地。

網路的類型

802.11網路最基本的組件我們稱之為基本服務集（Basic Service Set，BSS），由多個互相通信的工作站所組成。 BSS分為兩種基本的模式：

• 獨立型網路(Ad hoc mode)

• 基礎結構型網路(Infrastructure mode)，如圖所示。

獨立型網路：IBSS

上圖所示中，左邊為Independent BSS，IBSS，有時我們也稱之為BSS（Ad-hoc BSS）。

在這種情況中，無線網路是直接由工作站所組成的一種臨時性的網路，它們之間的距離必須在可以直接通訊的範圍內。

基礎結構型網路：BSS

上圖所示中，右邊為基礎結構型基本服務集，Infrastructure BSS。

在這種網路中，AP負責基礎結構型網路的所有通信，包括同一個服務區域內所有移動節點間的通訊。

雖然這種方式比IBSS直接傳送消耗較多的資源，但是卻有兩個主要的優點：

1. 基礎結構型基本服務集被界定在接入點的傳輸範圍內，與IBSS相比雖然消耗了一些頻寬，但是卻降低了physical layer的複雜程度，因為IBSS中的每個工作站都要維護和其他工作站的adjacency關係。

2. AP在Infrastructure BSS架構裡的作用是協助工作站節省電力。AP可以協助不發送封包的工作站暫時性的關閉無線收發器並cache以保證電力的最小消耗。那麼，如果要使用基礎結構型的網路時，工作站必須要與接入點進行關聯（Associate），每個工作站在同一時間內只能與一個AP進行關聯。

擴展服務區域：ESS

BSS可以為辦公室或者家庭提供小範圍的服務，無法服務更大的區域。在802.11網路中允許將幾個BSS串聯為擴展服務集（Extended Service Set，ESS），所有位於同一個ESS的接入點將使用相同的服務組標識符（Service Set Identifier，SSID）

隸屬於同一個ESS的工作站可以互相通信，即使這些工作站處於不同的BSS或是在這些BSS內移動。在ESS中，AP作為bridge的角色，提供Link-layer的連接。

802.11為ESS提供了Link-layer Mobility的功能。

WLAN Architecture網路架構

- Autonomous WLAN Architecture網路架構

可以由AP獨立形成或者由AP加上Lan switch建構大規模的網路， 該無線網路方案中的AP接入節點俗稱Fat AP。 Wireless功能實現：

• 由AP來完成所有的802.11定義的服務和功能

• AP支援本地和remote配置，並在本地保存系統組態

適合應用場所 :

• 家庭

• 中小型網路

主要缺陷:

• 當建構大型無線網路時對於大量AP設定得工作量巨大

• AP設備的丟失可造成系統組態的洩露，存在安全上的疑慮

• 對於Rogue AP檢測等需要AP間協同工作的支持能力差

• 對於layer 3 漫遊或不支援或通過其他輔助設備配合支援

• AP成本高

- Centralized WLAN Architecture網路架構

由AP＋Wireless switch組成。

該無線網路方案中的AP接入節點俗稱Thin AP和Fit AP，Wireless switch被稱為Access Controller（AC）。

Wireless功能實現：

• 由AP所完成的802.11 MAC功能的不同又分為Local MAC、Split MAC模式

• 由WLC通過控制協議來控制AP的行為，使用者不能直接配置AP

• AP的配置資訊保存在Wireless Access Controllerr上

• AP會自動到WLC去Download Config file

• 管理較方便

適合應用場所 :

• 中大型企業網

Centralized WLAN Architecture － Feature比較

802.11 a,b,g,n 介紹

802.11x 比較表

• IEEE 802.11a：

  • 工作頻段為5Ghz，使用5GHz頻段，5.15-5.25GHz，5.25-5.35GHz，5.725-5.825GHz，即FCC U-NII（免許可證的國家資訊頻段）頻段。

  • 一共有200個通道，同時可用的是13個，歐洲市場使用的是5.15—5.35Ghz，同時可用8個通道；我國使用的開放頻段是5.725-5.85Ghz，同時可用5個通道，最高54Mbps傳輸速率，可用12個通道，支援8種速率自我調整：6、9、12、18、24、36、48、54Mbps。必須支持的傳輸速率是6、12、24Mbps三種。

  • 實體層（PHY）使用OFDM調製（正交頻分複用：Orthogonal Frequency Division Multiplexing OFDM）技術，頻譜利用率高、抗多徑衰落性能好。它利用許多並行的、傳輸低速率資料的子載波來實現一個高速率的通信。

• IEEE 802.11b：

  • IEEE 802.11b是WLAN的一個標準。

  • 其載波的頻率為2.4GHz，傳送速度為11Mbit/s。

  • IEEE 802.11b是所有WLAN標準中最著名，也是普及最廣的標準。

  • 它有時也被錯誤地標為Wi-Fi。實際上Wi-Fi是WLAN聯盟（WLANA）的一個商標，該商標僅保障使用該商標的商品互相之間可以合作，與標準本身實際上沒有關係。

  • 在2.4-GHz-ISM頻段共有14個頻寬為22MHz的頻道可供使用。

  • IEEE 802.11b的後繼標準是IEEE 802.11g，其傳送速度為54Mbit/s。

• IEEE 802.11g：

  • IEEE 802.11g2003年7月，通過了第三種調變標準。

  • 其載波的頻率為2.4GHz(跟802.11b相同)，原始傳送速度為54Mbit/s，淨傳輸速度約為24.7Mbit/s(跟802.11a相同)。

  • 802.11g的設備與802.11b兼容。

  • 802.11g是為了提高更高的傳輸速率而制定的標準，它採用2.4GHz頻段，使用CCK技術與802.11b(Wi-Fi)後向兼容，同時它又通過採用OFDM技術支持高達54Mbit/s的數據流，所提供的帶寬是802.11a的1.5倍。

  • 從802.11b到802.11g，可發現WLAN標準不斷發展的軌跡：                 
    802.11b是所有WLAN標準演進的基石，未來許多的系統大都需要與802.11b向後向兼容，802.11a是一個非全球性的標準，與802.11b後向不兼容，但採用OFDM技術，支持的數據流高達54Mbit/s，提供幾倍於802.11b/g的高速信道，如802.11b/g提供3個非重疊信道可達8-12個； 可以看出在802.11g和802.11a之間存在與Wi-Fi兼容性上的差距，為此出現了一種橋接此差距的雙頻技術——雙模(dual band)802.11a+g(=b)，它較好地融合了802.11a/g技術，工作在2.4GHz和5GHz兩個頻段，服從802.11b/g/a等標準，與802.11b後向兼容，使用戶簡單連接到現有或未來的802.11的無線網路。

• IEEE 802.11n：

  • IEEE 802.11n，2004年1月IEEE宣布組成一個新的單位來發展新的802.11標準。

  • 資料傳輸速度估計將達540Mbit/s(需要在物理層產生更高速度的傳輸率)，此項新標準應該要比802.11b快上50倍，而比802.11g快上10倍左右。802.11n也將會比目前的無線網路傳送到更遠的距離。

  • 目前在802.11n有兩個提議在互相競爭中：                 
    WWiSE (World-Wide Spectrum Efficiency) 以Broadcom為首的一些廠商支持。                  
    TGn Sync 由Intel與Philips所支持。

  • 802.11n增加了對於MIMO (multiple-input multiple-output)的標準. MIMO 使用多個發射和接收天線來允許更高的資料傳輸率。MIMO並使用了Alamouti coding coding schemes 來增加傳輸範圍。

在 WLC上配置 DHCP 及 DNS

完成以下步驟：

1. 點擊功能表頁面上方的CONTROLLER。

2. 點擊菜單左面的Internal DHCP Server。

3. 點擊New，創建一個DHCP POOL。

4. 鍵入你需要分配給用戶端的DHCP位址POOL。

1. 點擊Apply。

2. 出現DHCP Scope > Edit視窗。

3. 鍵入位址集區的起始及終止位址。在本例中，DHCP位址集區是從10.10.10.3到10.10.10.10。

4. 鍵入預設閘道器的地址，是10.10.10.1。

5. 鍵入DNS功能變數名稱和DNS伺服器的地址。確認Status是啟動的。

1. 點擊 Apply。

重啟 WLC            
由於不能在系統工作的時候完成一個或者更多的WLAN上的改變，你需要重啟WLC。修改需要在啟動前或者啟動中完成。完成以下步驟來重啟WLC：

1. 在控制器的主介面上，選擇功能表最上方的Commands。

2. 在新的視窗下，選擇左邊功能表上的Reboot。如果在你的配置中有未保存的部分，你需要保存配置              
   然後重啟。

3. 點擊Save and Reboot，保存設定然後重新啟動設備。

4. 通過console連接監控設備的重啟過程。

當你使用Web認證的時候，有兩種認證使用者的方式。本地認證允許你使用WLC的用戶去 認證。你也可以使用RADIUS伺服器認證用戶。配置WLC的本地認證，完成以下步驟：

· 本地認證

用戶名和密碼存放在控制器的本地資料庫。使用者通過WLC的這個資料庫來認證。           
以下步驟描述了如何在WLC上創建用戶名和密碼

1. 在功能表上方點擊Security，進入WLC的安全配置視窗。

2. 在左邊AAA功能表裡，選擇Local Net Users               
   

3. 點擊右上方的New，創建一個新的用戶。會出現一個新的視窗，需要你填寫用戶名和密碼。

4. 填入用戶名和密碼，確認密碼。本例中創建的用戶是webuser1。

5. 核對你的用戶是否分配到正確的WLAN上。該動作確保這個用戶只能在特定的WLAN認證使用。             
   本例中，WLAN Profile是Guest，該WLAN用作Web方式的認證。

6. 如果你需要，添加一個描述。             
   本例中使用Web Auth。

7. 點擊Apply，保存使用者配置。             
   如下圖所示              
   

• RADIUS伺服器的 Web認證              
  本文使用安裝在Windows2003伺服器上的ACS作為RADIUS伺服器。              
  當Web認證是通過RADIUS伺服器的時候，第一個認證的詢問是發給WLC本地的。              
  如果WLC沒有回答，第二個詢問發到RADIUS伺服器。ACS建立部分介紹了如何配置ACS。              
  你需要有DNS和RADIUS伺服器。

• ACS建立              
  在你的伺服器上建立ACS，然後通過以下步驟來創建認證使用者：

1. 當ACS問你是否需要打開ACS頁面來配置的時候，點擊yes。

2. 在左邊菜單裡，點擊User Setup。                  
   這個動作把你帶到了使用者建立的頁面                  
   

3. 鍵入你想用來Web認證的用戶，點擊Add/Edit。在使用者建立之後，會出現另一個視窗                 
   

4. 確認最上方的Account Disabled框沒有鉤選，如圖11所示。

5. 在Password Authentication選項裡，選擇ACS Internal Database。

6. 輸入2次密碼。

7. 點擊 Click Submit。

• 在思科 WLC上輸入 RADIUS伺服器資訊 Enter              
  完成以下步驟：

1. 在上方的菜單中點擊Security。

2. 在左邊菜單裡點擊Radius Authentication。

3. 點擊New，鍵入ACS/RADIUS伺服器的地址。本例中，ACS的地址是10.77.244.196。

4. 鍵入Radius伺服器的共用金鑰。確保金鑰和在Radius伺服器上為WLC配置的金鑰一致。

5. Port number保持默認，1812。

6. 確保Server Status選項是Enabled。

7. 鉤選Network User Enable框，這樣Radius伺服器就用來認證無線網路的使用者了。

8. 點擊Appl                  
   上圖顯示了一個配置好的RADIUS伺服器。確保Network User框是鉤選的，AdminStatus是Enabled。                  
   

• 配置 WLAN 上的 RADIUS 伺服器到目前，RADIUS伺服器已經在WLC配置好了，你需要在WLAN上使用這個RADIUS服務器作Web認證。             
  通過以下步驟，完成WLAN上RADIUS伺服器的配置。

1. 打開WLC頁面，點擊WLANs。 該頁面顯示了WLC上已配置的WLAN的清單。點擊Guest這個WLAN。

2. 在WLANs>Edit頁面，點擊Security功能表。 點擊安全菜單下的AAA Servers一欄。                 
   選擇Radius伺服器，本例中為10.77.244.196。                  
   

3. 點擊 Apply。

• 用戶端登錄              
  完成以下步驟：

1. 打開流覽器，鍵入你所設置用來的本地認證的virtual IP位址。                 
   使用https://1.1.1.1/login.html。                  
   這個步驟在3.0版本以前是非常重要的。                  
   在之後的版本，打開任何URL都會把你重定向到web認證的頁面。                  
   同時，在所有最近的控制器軟體版本中，支援通過http的web認證登錄。這個和控制器管理登錄聯繫在一起。                  
   為了支援這個功能，需要關閉https登錄，只打開http管理。如果現在你打開web認證，將使用http方式的登錄。                  
   出現一個安全告警視窗。

2. 點擊Yes。

3. 當登錄視窗出現後，鍵入所創建的本地使用者的用戶名和密碼。                 
   如果登錄成功，你會看見兩個流覽器視窗。大的表示登錄成功，你可以用這個視窗                  
   瀏覽internet。當訪客連接完成後，使用小的視窗作登出動作。                  
   下圖顯示了一個成功的web認證的redirect。                  
   

注意:這個預設的Web認證頁面是由思科提供的。這個頁面也可以自己作。           
下圖顯示了當認證在ACS中發生時的一個登錄成功的視窗            

Web方式認證是一個三層的安全特性，在無線用戶端輸入正確的用戶名口令之前，控制器不接受該使用者的IP資料（除了DHCP相關的資料包）。Web認證可以通過WLC本地認證，也可以通過RADIUS伺服器。通常在部署訪客網路時，使用Web方式認證。典型的部署模式包括“hotspot”區域。           
Web方式認證提供了不需要802.1x認證請求方或者用戶端工具的簡單的認證方式。並且Web方式認證不提供資料加密。Web認證通常被用在“hotspot”或者僅考慮連線性的園區環境。            
這個範例中創建了一個新的VLAN介面和一個新的用作Web認證的WLAN。這個VLAN介面被分配到這個WLAN上，因此接入這個WLAN的用戶是在一個獨立的子網。在那些你不希望用separate subnet的場合，你可以把WLAN associate到Management的interface。本文中控制器的Web認證配置包含了新建一個VLAN介面的過程。            
在控制器上配置 Web方式認證

• Create a VLAN Interface(創建VLAN Interface)

• Add a WLAN Instance(加入WLAN Instance)

• Set Up DHCP and DNS Servers on the WLC

• 在WLC 設定DHCP Server 和DNS Server

• Configure Authentication Type (Three Ways to Authenticate Users in Web Authentication)

範例使用以下IP位址：            
WLC的IP位址是10.77.244.204。            
CS伺服器的地址是10.77.244.196。            
創建一個 VLAN介面

1. 在WLC的主頁上，選擇最上方的Controller功能表，選擇左邊的Interfaces欄。

2. 點擊窗口右上方的New。              
   視窗出現了。本例中介面名字是vlan90，VLAN號是90：              
   

3. 點擊Apply，創建該VLAN interface。一個新的視窗出現，需要你填入相關資訊。

4. 採用以下參數:             
   IP Address：10.10.10.2              
   Netmask：255.255.255.0 (24 bits)              
   Gateway：10.10.10.1              
   Port Number：2              
   Primary DHCP Server：10.77.244.204              
   注意:這個參數應該填寫DHCP伺服器位址。在本例中WLC的管理地址被用來當作              
   DHCP伺服器的地址，因為在WLC啟用的DHCP功能。              
   Secondary DHCP Server：0 .0.0.0               
   注意:本文不使用dier1DHCP伺服器，所以使用0.0.0.0。如果你有第二台DHCP              
   伺服器，需要在這裡填寫位址。              
   ACL Name：None              
   下圖顯示了這些配置：

1. 點擊 Apply，保存配置。

添加 WLAN實例            
現在一個VLAN介面已經配置好，你需要提供一個WLAN/SSID來支援Web認證的用戶。            
通過以下方式，創建一個新的 WLAN/SSID：

1. 打開WLC頁面，點擊最上方WLAN菜單，點擊右上方的New。會彈出類似圖3的畫面。              
   將類型選為WLAN。為這個WLAN SSID選擇一個名字。本例中Profile和WLAN都是Guest。              
   

2. 點擊Apply。              
   出現一個新的WLAN > Edit視窗              
   

3. 勾選WLAN的狀態列，啟動該WLAN。在介面欄，選擇先前創建的VLAN介面。             
   在本例中，介面的名字是vlan90。              
   注意:其他參數不做修改，都是初始設置。

4. 點擊Security欄位。             
                 
   通過以下步驟，完成Web認證配置：

• a)點擊Layer 2欄，選擇None。                  
  注意:當某個WLAN的二層安全性原則使用802.1x or WPA/WPA2時，你的三層安全策略                  
  不可以配置成web passthrough。關於控制器上二層和三層安全性原則的相容問題，                  
  參見Wireless LAN Controller Layer 2 Layer 3 Security Compatibility Matrix一文。

• b)點擊Layer 3。                 
  如上圖所示，勾選Web Policy框，選擇Authentication選項

• c)點擊Apply，完成存檔。

• d)這個時候你回到了WLAN概要頁面。確認你的Web認證選項在SSID Guest下已經配置。

Aironet 1140 系列無線接入點能夠像任何其他輕量級無線接入點一樣與WLC交互操作。只要確保您運行 5.2 （或更高）版本的無線控制器代碼，您的無線接入點就可以發現並加入WLC。           
確保 802.11n 的資料率已啟用

• 第 1 步在控制器介面中“Wireless”標籤下，點擊“802.11 a/n”或“802.11 b/g/n”的網路設置。

• 第 2 步按一下“High Throughput (802.11n)”，打開配置頁。

• 第 3 步確保“11n Mode”模式已啟用。預設情況下，所有的 MCS（或 802.11n 的資料傳輸速率）是啟用的。

配置 802.11n的 WLANs

為了使WLC（或 SSID ）運作在 802.11n 資料rate，兩個具體設定必須先設置，即資料加密和服務品質必須設定。按照 802.11n 標準本身的要求，所有的加密連結現在必須使用 AES 加密演算法。另外一種連接方式是無線局域網運行在沒有加密的狀態，這是可能的選擇。但是 802.11n 的標準排除了通過 WEP，TKIP 或任何其他形式的傳統加密技術來使用 802.11n 的資料傳輸速率。

設置“Layer 2 Security”為“WPA2 AES            

設置“Layer 2 Security” 為“None”           

至於服務品質，WLAN必須配置為允許 WMM，以便使 802.11n 資料率可以運行。如果要在WLC設定這個參數，在 WLAN 配置介面下設置QoS 參數為“Allowed”或“Required”。

設置“WMM Policy” 為“Allowed”           

配置802.11n的客戶端           
許多客戶端卡工作在2.4千兆赫。請確保您使用的客戶端卡，支持5 GHz。            
以下步驟顯示了如何配置WIN XP 上的Intel 802.11n網卡：

1. 點擊開始菜單。進入設置，選擇控制面板。

2. 雙擊網絡連接圖標。

3. 右擊英特爾無線網卡，然後單擊屬性。

4. 單擊高級選項卡。

5. 選擇使用默認值選項為無線客戶端模式的屬性，以便可以操作             
   無論是在802.11a模式或802.11b/g模式，使其皆可用。              
   

6. 除非網路是唯一的802.11n客戶端，使用混合模式保護使802.11n客戶端共存             
   與現有的802.11a或802.11b/g客戶端。              
   

7. 停止Fat Channel              
   

驗證           
您可以從WLC檢查連接狀態，速度，模式和信號強度。            
如果是英特爾客戶，右鍵單擊無線圖標在系統托盤（右下角的 在桌面上），以查看無線模式。然後，單擊狀態。為了檢查客戶端的速度運行，右鍵單擊無線圖標，然後單擊查看可用的 無線網絡。點擊SSID和檢查速度，如下所示：            
            
在WLC圖形用戶界面，單擊監視器。然後，單擊左側的客戶。這將顯示目前列表中 客戶關聯到WLC。接下來，點擊一個客戶端來檢查模式，速度等細節的連接。            

配置WLC的802.1x認證

1. 點擊無線局域網控制器的圖形用戶界面從以創建一個WLAN。             
   在WLAN窗口。此窗口列出了WLAN上配置controller。

2. 單擊新建以配置新的WLAN。             
   在這個例子中，被命名為802.1X的WLAN和WLAN的ID為 3。              
   

3. Click Apply。

4. 在WLAN>編輯窗口中，定義的參數具體到WLAN。

• A﹒從第2層下拉列表中，選擇802.1X。                 
  注：只有WEP加密可與 802.1x。無論是選擇40位或104位的加密，並確保第3層安全性設置為無。                  
  這使得這個無線局域網802.1x認證。

• B﹒在RADIUS服務器參數，選擇 RADIUS服務器將用於驗證客戶端的憑據。

• C﹒根據需求選擇其他參數。

Click Apply。             
              
注：如果選擇802.1x為第2層安全，CCKM不能使用。              
如果您選擇 WPA或WPA212層的安全，這些選項出現在驗證密鑰管理：              
802.1X+ CCKMIf你選擇了這個選項，都CCKM或非CCKM客戶支持（CCKM可選）。              
802.1xIf你選擇了這個選項，只有802.1x客戶端的支持。              
CCKMIf你選擇了這個選項，只有CCKM客戶端支持，在客戶端定向到外部服務器進行身份驗證。              
PSK如果選擇此選項，預共享密鑰用於 WLC和客戶端。此外，所有標準都設置為使用前預先的標準，例如，WPA/WPA2需要先例超過 CCKM時同時使用。

Configure Wireless Client for 802.1x Authentication

1. 創建一個新的配置文件，點擊文件管理選項卡上的ADU。

2. 單擊新建。

3. 當檔案管理（一般）窗口顯示，完成這些步驟，以設定配置文件的名稱，客戶名稱，SSID：

• A.輸入名稱。                 
  這個例子使用EAPAuth作為配置文件的名稱。

• B.輸入客戶端名稱。                 
  客戶名稱是用來識別無線客戶端在WLAN網絡。配置使用客戶端作為客戶端的名稱。

• C.在網路名稱，輸入SSID也就是用於此配置文件。而在這個SSID例子是802.1X。

1. Click the Security tab.              
   

2. 點擊802.1x的按鈕。

3. 從802.1X EAP類型下拉列表中，選擇 EAP類型。

4. 單擊配置，以配置參數具體到選定的EAP類型。             
   

5. Click Apply.              
   當SSID被啟動,無線客戶端連接到WLAN使用802.1x認證。              
   

無法實現802.11n的數據傳輸速率           
其中最常見的問題是，你不能達到的最大吞吐量的802.11n。            
執行以下這些檢查：

1. 802.11n標準要求WLAN使用的802.11n客戶啟用AES加密上。您可以使用 WLANs與 NONE作為layer 2 安全。並且，如果您配置任何layer 2 security， 802.11n標準還需要求WPA2 AES啟用在802.11N的channel中。             
   

2. 確保 AP有足夠的力量。因為低功耗結果會使AP信號強度降低，從而降低了吞吐量。

3. 確保802.11n的速率被啟用。MCS頻率應該啟用（這是建議讓所有的MCS頻率啟用）。             
   

            
Wireless漫遊的概念

• client pc可以在屬於同一個ESS的AP接入點接入。

• client pc可以在Wireless網路中任意移動，同時保證已有的資料傳輸不中斷，使用者的IP位址不改變。

Wireless漫遊的分類

• L2 Roaming

  • 在同一個子網路內的AP間漫遊

  • 不同AP 、Cell之間

  • AP的SSID都要相同

  • 由於不涉及子網的變化，因此只需保證用戶在AP間切換時訪問網路的許可權不變即可

  • 使用IAPP(Inter Access Point Protocol)協定

  • 由AP去控制L2 Roaming

  • 大部分採用此技術

• L3 Roaming

  • 在不同子網路內的AP間漫遊

  • 使用Mobile IP 協定

  • 用在電信業者較多

Roaming的產生           

1. Re-Association:太多的資料Re-try的狀況下。

2. AP有問題時

3. Data Rate降低

4. Client重新掃描

802.11標準有下面幾個缺點。

• 缺少集中的金鑰管理

• 有線等效加密 (WEP)容易受到攻擊 (衝突,弱密碼, MAC偵聽,容易受到 DoS攻擊)

解決辦法

• WEP(Wired Equivalent Privacy)

  • 最早被發展出來的認證方式

  • 沒有雙向認證的機制

  • 最不安全的認證方式

  • 密碼是固定的且明碼傳送

  • Confidentiality: 使用RC4(64、128、256bits)加密

  • Integrity: CRC-32演算法

  • Authentication:

  • 嘗試讓無線網路達到和有線網路一樣的保密能力

  • 容易破解

1. Open system:不認證

2. Pre-Shared Key: AP與Client都需要事先先建立相同的密碼

802.1x –使用於企業級的應用

• Authentication:

1. EAP-MD5:最常使用的方式，使用MD5 hash後的密碼

2. EAP-OTP:使用OTP的方式

3. EAP-TLS:數位憑證的方式

4. 集中的金鑰管理於認證，但需要 RADIUS伺服器

WPA–不需要外部認證伺服器

• Confidentiality: 加密使用RC4，使用TKIP + Dynamic Keying(確保Key的正確性)

• Integrity: 使用Michael的加密演算法

• Authentication:

• 較安全性的方式

• 若搭配802.1x EAP，User只要輸入ID/PW即可，不需要再設定

1. IEEE 802.1x EAP:使用在企業內部，需要有RADIUS Server

2. Pre-Shared Key:User或SOHO使用

WPA2－更高效，更安全的安全方案

• Confidentiality: 加密使用AES，使用TKIP + Dynamic Keying(確保Key的正確性)

• Integrity: 使用Michael的加密演算法

• Authentication: 與WPA一樣

• 業界的標準

• 可搭配RADIUS，與WPA相同

• 與WPA不同的地方在於加密的演算法。

802.1x            
802.1x不是一個單獨的認證方法，相反它使用EAP作為它認證的框架.這就意味著就有 802.1x能力的交換機和訪問點能夠支援廣泛的認證方式，包括基於證書的認證,智慧卡，權杖卡（token cards），一次性口令等等。            
802.1x支援認證、授權、記帳的開放標準 (包括RADIUS和 LDAP)，所以它可以在現有的基礎架構中管理遠端和移動的用戶。            
同認證協議相互結合,例如 EAP-TLS、 LEAP或者EAP-TTLS， 802.1x提供了基於埠的存取控制以及客戶段與訪問點間的雙向認證。

• 違法使用無線網路

• 竊聽(Eavesdropping)                
  －資訊以電波方式發送

• 通訊分析(Traffic Analysis)                
  －Sniffer software，例如kismet…etc.

• 偽裝(Masquerade)                
  －Access Point(AP) ESSID無法被認證

• 重播(Replay)                
  －可能產生不同步問題或是造成資訊外洩

• 訊息竄改(Message Modification)

• 服務阻斷攻擊(Denial of Service， DoS)

  • Deauthenticate flood attack：攻擊者送出Deauthentication的封包，造成合法使用者的斷線。

  • Beacon flood attack：攻擊者送出大量偽造的Beacon封包，使得合法的使用者會看到很多看似可以連上的AP，實際卻不能使用的假AP，因而無法連上合法的AP。

  • Association flood attack：攻擊者送出大量的連線要求封包，造成AP可連線的上線數量達到最大值，使得其他使用者無法連結上AP。

• 中間人攻擊(Man-in-the-middle Attack， MITM)：攻擊者偽裝成AP，使得合法使 用者連結上，幫合法使用者轉遞封包。在這過程中使用的封包有被竊聽、竄改之危機。

• 通訊攔截(Session-Hijacking)