在学习WLAN技术之前,我们先认识下现网中,无线网络组网的方式。一、FAT AP组网方式:
FAT AP(通常叫胖AP):面对小型公司、办公室、家庭等无线覆盖场景,仅需要少量的AP即可实现无线网络覆盖,通常采用无线路由器组网,FAT AP的特点是将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游以及其他应用层的功能集成在一起,为用户提供极简的无线接入体验,用户只需要在浏览器上按照向导进行配置,即可实现各个场景下的无线部署,但在大规模的网络应用中存在劣势,组网管理较繁杂,不支持用户的无缝漫游,所以在中大规模组网中不采用此方式。二、FIT AP组网方式:FIT AP(通常叫瘦AP):中大规模组网中采用FIT AP组网模式,它具有方便集中管理、三层漫游、基于用户下发权限等优势,这种“无线控制器(AC)+FIT AP控制架构”的功能要求如下:无线控制器负责无线网络的接入控制、转发和统计、AP的配置控制、漫游管理、网管代理和安全控制;FIT AP负责802.11报文的加解密、802.11的物理层功能、接受无线控制器的管理、RF空口统计等。根据AP与AC间的组网方式,其组网架构可以分为二层组网和三层组网方式,在三层组网模式中使用了CAPWAP协议。CAPWAP协议定义了AP和AC之间通信方式,用以实现 AC对其关联的AP的集中管理和控制。协议内容为:AP对AC的自动发现及AC&AP的状态机运行维护、AC对AP业务配置下发与管理、STA数据封装CAPWAP隧道进行转发。
大家对WLAN组网方式明白了,肯定会有同学们在想,WLAN安全性是如何保证的,毕竟是一种无线方式传播数据。WLAN网络常见的安全威胁有:非经授权的用户使用网络服务、非法AP、数据安全和拒接服务攻击,为更好地解决以上问题,通常采用认证技术和加密技术来构建 一个安全的无线网络一、WLAN认证技术:为确保只有授权用户可以通过无线接入点访问网络资源,通常采用认证技术来验证用户身份与资格,用户必须表明自己的身份,并提供可以证实其身份的凭证,通常安全性高的认证系统采用多要素认证,用户必须提供以下至少两种不同的身份凭证。(1)开放系统认证:不对用户身份做任何验证,整个认证过程中,通信双方仅仅需要交换两个认证帧即可建立AP与客户端的连接,进而获得访问网络资源的权限,它是唯一的802.11要求必备的认证方法,也是最简单的认证方式,对于需要允许设备快速进入网络的场景,可以使用开放系统认证。(也就是免密登录咯) (2)共享密钥认证:要求用户设备必须支持有线等效加密,用户设备与AP必须配置匹配的静态WEP 密钥,如果双方的静态WEP密钥不匹配,用户设备无法通过认证。(也就是使用密码登录咯)(3)服务集标识隐藏:SSID技术可以将一个无线局域网分为多个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未经授权的用户进入本网络,而SSID隐藏则可以将无线网络的逻辑名隐藏起来,AP启用SSID隐藏后,信标帧中的SSID字段被置为空,无线客户端通过被动扫描侦听信标帧的用户设备将无法获得SSID信息,无线终端必须手动设置与AP相同的SSID才能与AP进行关联,若用户设备的SSID与AP的SSID不同,那么AP将拒绝它的接入。(也就是SSID你看不到,只可以主动搜索,且密码认证通过才可以登录,安全性更高!)(4)黑白名单认证:一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,不需要用户安装客户端软件,802.11设备均具有唯一的MAC地址,过滤不合法的MAC地址, 允许特定的用户设备发送的数据分组通过。 (也就是设置哪些不合法设备,使之无法登录)(5)PSK认证:要求用户使用一个简单的ASCII字符串作为密钥,客户端和服务端通过能否成功解密协商的消息,来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同, 从而完成服务端和客户端的相互认证。二、WLAN加密技术:在WLAN用户通过认证并被赋予访问权限后,网络必须保护用户所传送的数据不被泄露,其主要方法是对数据报文进行加密,WLAN采用的加密技术主要有:WEP加密、临时密钥完整性协议TKIP加密、加密和计数器模式密码块链信息认证码协议CCMP加密等技术。(也就是数据传输的加密措施。)
敲黑板:WLAN是无线网络接入方式,使用方便,便捷,企业网络中,主要有小型网络的胖AP组网,中大型网络的瘦AP+AC组网,采用的安全加密措施主要有密码验证、SSID掩藏等措施。
知识的积累只是量的提升,思想的提升才是质的飞跃
-end-
要想不错过消息,记得点个赞,和“再看"呀
