(1)FIT-AP、FAT-AP
FAT-AP:即通常所说的胖AP,功能比较全面,比如可以包含常见的路由转发、防火墙、DHCP、DNS、NAT、加密认证和连接等,家用无线路由器(从无线接入功能或网络拓扑位置的角度看是一种AP设备)一般具备了以上所说的几种功能,类似于胖AP。胖AP的功能全面,自主性比较强,但集中管理比较繁杂,尤其是具备一定数量的胖AP群,其网络配置工作对于网络管理人员堪称灾难(比如一个企业有上百台胖AP,每次网络配置都需要网络工程师逐一配置,这样的工作量是正常人类万不能接受的)。但胖AP功能齐全,性价比高,故胖AP适合使用在个人办公室、家用、SOHO等小型、简单网络。
FIT-AP:即通常所说的瘦AP,功能单一,仅保留了无线接入功能,必须在AC设备的统一配置管理下才能正常运行。瘦AP的出现是为了解决中大型无线接入网络的接入点配置管理问题,即胖AP难以批量集中配置的缺陷。这是一种新的(历史时间点相对的)、便捷的网络架构,即AC和FIT-AP的组网方式。AC设备通过与AP设备通信,完成对AP群的集中配置管理,解放了对AP的手工配置的工作量。由于AC设备处于一个WLAN的核心位置,其功能也很齐全和强大,一定是要对一定规模的AP进行管理才能充分发挥其优势,达到完美性价比,故这种AC+瘦AP的架构适合企业、公共场所、车站、机场等中大型网络。
胖AP不一定体积大,瘦AP也不一定体积很小。此处的胖瘦只是一种功能上的裁剪程度衡量,真实的AP设备的外观尺寸也是决定于其应用场景、功率等因素的。
相关链接:知乎上关于胖瘦AP的讨论
(2)无线安全认证方式
常见的有OPEN方式、WEP方式、WPA方式、WPA2方式、PORTAL方式。其中OPEN和WEP现在除了做实验和特定场合,实际运营中用得并不多,特别是WEP(毕竟发展出了更安全的WPA和WPA2方式)。WPA和WPA2常见于家用WiFi、企业WiFi的认证接入,比如打开手机的WiFi,准备连接到一个无线网络的时候就能看到其认证加密类型(对于非开放的网络),有WPA-个人(WPA-PSK)、WPA-企业等。WPA2是WPA的升级版,区别在于加密算法。PORTAL方式常见于公共场所、企业,最直观的现象是终端能直接连上无线网络,但想打开网页时总会跳转到同一个认证网页,比如输入手机号获取短信验证码、输入用户名密码等以后才能上网。PORTAL方式一个很大的优势是能实现上网计费。
连一个需要密码的WLAN时,输入的密码就是无线安全认证使用么?不一定。
一般,一个终端连接到WLAN的过程是:扫描阶段、链路认证阶段、关联阶段、安全认证阶段。扫描阶段即终端扫描附近的无线网络的阶段,发现附近可用的无线接入点AP,比如打开手机WiFi时我们能看到很多无线网络的名字;链路认证阶段用于AP和终端间建立无线链路,该阶段有两种认证方式:开放系统、共享密钥,如果是共享密钥认证方式,是需要输入密码的,但实际中该阶段一般都设置为开放系统认证;关联阶段是终端关联到一个AP上,但并不代表此时终端就能正常通信了,后面可能还需要其他网络接入认证过程,比如WPA、PORTAL等,如果后面还有WPA认证,则WPA认证阶段也需要输入密码。所以不能断言输入的密码就是WPA认证所用,但大概率是。
(3)OPEN、WEP
OPEN认证没有加密过程(包括链路认证也是用得开放系统认证),也不需要输入密码,终端关联上以后就能通信。这种无线认证方式用得不多,过去在火车站可能见到过这种开放WiFi,但网速也是很感人的。
WEP和OPEN的区别在于,WEP有加密过程,需要输入密码才能连接,虽然WEP的加密强度不高,其使用的RC4算法安全性低,但应付非专业人士还是足够的。现在的实际使用中WEP很少使用了,因为WEP的密钥需要专门维护,且2003年左右WPA就取代了WEP,WPA自己新的加密算法和认证方式带来了更高的安全性。
相关链接:WEP认证百度百科
(4)WPA/WPA2认证
WPA认证基本是最常见的一种无线接入认证方式,其版本分为WPA和WPA2,二者的区别在于加密算法:WPA使用TKIP,而WPA2使用AES。WPA和WPA2指的是版本上的区别,目前WPA3已经在2018年发布,其目的也是取代WPA2。
WPA包括两种认证:WPA/WPA2-PSK(即WPA/WPA2-个人)、WPA/WPA2-802.1x(即WPA/WPA2-企业)。WPA-个人版是我们生活中家用WiFi最常用的一种认证方式,而802.1x认证的方式通常存在于企业等大型网络认证,因为其需要特定的802.1x认证服务器,但就安全性而言802.1x认证方式要强很多,几乎是几种安全认证中最强的。
WEP比WPA弱,简单而言是因为WEP的密钥是共享和固定的,破解WEP网络中某个用户的密钥即相当于破解了其他人,而WPA属于一人一密钥,且定时会更新,加大了破解难度,但家用WiFi通过无线帧抓取和伪路由器消息攻击还是有可能破解出密码的。
相关链接:WPA/WPA2百度百科
(5)TKIP、AES
TKIP是802.11i中负责无线安全的加密协议,全称叫临时密钥完整性协议(Temporal Key Integrity Protocol),TKIP的出现是为了解决WEP密码安全性低的问题,本质上是在WEP密码上再嵌套密码,弥补WEP密码过短问题,且动态设置使得每个套在WEP密码外的密钥不同,由此增强了安全性。TKIP主要使用了RC4算法,但由于RC4本身的一些特征,比如可逆性,导致TKIP的安全性还没达到极致。
AES全称高级加密标准(Advanced Encryption Standard),这是一组加密模式的统称,安全性高,AES也是WPA2区别于WPA的地方。
(6)PORTAL认证、AAA、RADIUS
PORTAL认证也是常见无线安全认证方式之一,也许你不熟悉甚至没听过,但你一定用过或见过。每当你走进商场或快餐店,你想连接WiFi,你会发现手机以很快的速度连到了WiFi中,但无论你点开任何网页都会弹出一个输入手机号获取短信验证码登录上网的界面,这其实就是一种PORTAL认证。我国有规定,终端上网必须有身份验证,但鉴于移动终端的复杂性,难以统一认证方式,但基本所有的移动终端中都有网页浏览器,这就使得我们能通过网页控制用户登录上网。
PORTAL认证属于几种无线安全认证中拓扑结构、过程比较复杂的之一(802.1x认证过程也很复杂),其实我们的手机在连上这种WiFi后,理论上是已经拿到了IP地址,关联到了AP和AC,但为何还是会出现总是跳转到认证网页呢?(使用体验上基本等于上不了网)这是因为PORTAL的魅力就在于其有重定向机制,终端关联到的AP或AC设备会拦截其发出的HTTP请求报文,伪装为HTTP报文的目的服务器向终端返回一个302重定向报文,这对于终端是不知情的,终端不会去管这个报文从物理上是哪个设备发送的,所以会执行重定向,向重定向中的目的服务器地址(认证服务器的地址)发HTTP请求,最终加载显示出认证页面。
实现PORTAL认证的网络拓扑有两个区别于其他安全认证方式的设备:AAA服务器和PORTAL服务器,其中AAA服务器用于认证审核和计费、PORTAL服务器常用于与AC交互,配置认证界面等。
RADIUS协议用于PORTAL认证中AC与AAA服务器进行认证参数交互,准确来说是AC中的NAS在与AAA交互。
相关链接:百度百科AAA服务器、百度百科RADIUS
(7)EAP
全称可扩展的身份验证协议(Extensible Authentication Protocol),是一系列验证方式的集合。常见于802.1x认证过程,除了WLAN中的链路认证,EAP还有方法提供在PPP、以太网中提供链路认证方式。
相关链接:百度百科EAP
(8)WAPI
全称无线局域网鉴别和保密基础结构,是安全协议的一种,中国WLAN安全强制性标准。这也是一种有一定争议的安全协议,由中国提出,且经过了IEEE等相关组织的认可,但应用不算很广泛。
WAPI是中国完全自主研发,具有自主知识产权的无线安全技术,从安全性能方面看,WAPI甚至胜于WiFi,但由于西方势力等政治手段因素,WAPI的推广和发展受到了很大的打击,最终普及程度没有WiFi这么成功。
相关链接:百度百科WAPI
(9)漫游
漫游的概念常见于手机通讯业务,比如过去跨省跨境进行通讯会产生一定的漫游费用。这是业务上所说的漫游,但其实从通信技术的角度看,即使是在同一个城市内,移动通信也存在漫游的技术。广义的漫游可以指一个手机从一个基站的业务范围(有效通信辐射范围)移动到另一个基站的范围内,但手机上的通讯业务不中断,用户感觉不到网络的变化。移动通信中的漫游技术使得我们甚至能在高速移动中正常使用通讯业务(比如在高铁上看视频聊天)。
对于室内或比通信网规模小的室外WLAN网络,也存在漫游技术。比如在一栋公司大楼内,员工携带的终端只要在公司大楼有WLAN覆盖的范围内移动,都不会感觉到网络切换带来的影响,即STA在AP间移动(甚至在不同AC管理的AP间移动),STA的通信过程不间断,这样的BSS间切换的技术可以叫做漫游。
(10)网络字节序
网络字节序的概念与计算机系统内的存储规则有关,比如大端、小端。网络字节序不应区分终端或中间网络设备的计算机系统中的字节模式,规定统一的字节序是各计算机系统通信和网络建设的基础。
网络字节序使用大端排列方式。
相关链接:百度百科网络字节序
扫一扫
2562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
