1-802.11 网络类型
| 802.11網路的四種主要的物理組件: |
| |
工作站(Station): 通常包括配備無線網路接口的設備 接入點(Access Point): 具備無線至有線的橋接功能的設備稱之為接入點。通常分為自主型AP(Fat AP)和精簡型AP(Thin AP) 無線媒介(Wireless Medium): 規定了傳輸封包所使用的物理層介質。 分佈式系統(Distribution System): 分佈式系統屬於邏輯上的組件,負責轉發封包到目的地。
網路的類型 802.11網路最基本的組件我們稱之為基本服務集(Basic Service Set,BSS),由多個互相通信的工作站所組成。 BSS分為兩種基本的模式:
獨立型網路:IBSS 上圖所示中,左邊為Independent BSS,IBSS,有時我們也稱之為BSS(Ad-hoc BSS)。 在這種情況中,無線網路是直接由工作站所組成的一種臨時性的網路,它們之間的距離必須在可以直接通訊的範圍內。 基礎結構型網路:BSS 上圖所示中,右邊為基礎結構型基本服務集,Infrastructure BSS。 在這種網路中,AP負責基礎結構型網路的所有通信,包括同一個服務區域內所有移動節點間的通訊。 雖然這種方式比IBSS直接傳送消耗較多的資源,但是卻有兩個主要的優點:
基礎結構型基本服務集被界定在接入點的傳輸範圍內,與IBSS相比雖然消耗了一些頻寬,但是卻降低了physical layer的複雜程度,因為IBSS中的每個工作站都要維護和其他工作站的adjacency關係。 AP在Infrastructure BSS架構裡的作用是協助工作站節省電力。AP可以協助不發送封包的工作站暫時性的關閉無線收發器並cache以保證電力的最小消耗。那麼,如果要使用基礎結構型的網路時,工作站必須要與接入點進行關聯(Associate),每個工作站在同一時間內只能與一個AP進行關聯。
擴展服務區域:ESS BSS可以為辦公室或者家庭提供小範圍的服務,無法服務更大的區域。在802.11網路中允許將幾個BSS串聯為擴展服務集(Extended Service Set,ESS),所有位於同一個ESS的接入點將使用相同的服務組標識符(Service Set Identifier,SSID)
隸屬於同一個ESS的工作站可以互相通信,即使這些工作站處於不同的BSS或是在這些BSS內移動。在ESS中,AP作為bridge的角色,提供Link-layer的連接。 802.11為ESS提供了Link-layer Mobility的功能。
| IEEE 802網路技術 | | | IEEE 802規範的重心放在OSI模型最下面的兩層,因為它們同時覆蓋了Physical以及 Data Link。 MAC是一組用以決定如何訪問媒介與傳送數據的規範,至於傳送和接收的細節則由Physical layer負責。 802.11基本覆蓋了802.11 MAC以及兩種物理層(Physical Layer):
在802.11b標準中規範了一種物理層:高速直接序列擴頻(HR/DSSS)物理層。 在802.1a標準中規範了了另一種物理層:正交頻分復用(orthogonal frequency division multiplexing,OFDM)物理層。 需要注意的是如果802.11b和802.11g的用戶同時訪問一個接入點,那麼將需要用到額外的協議來保證兼容性,因此會降低802.11g用戶的鏈接速度。 802.11將Physical進一步的劃分為兩個組件:
| | | | |
|
| | | |
2-WLAN的基础架构
| WLAN Architecture網路架構 |
| | - Autonomous WLAN Architecture網路架構 可以由AP獨立形成或者由AP加上Lan switch建構大規模的網路, 該無線網路方案中的AP接入節點俗稱Fat AP。 Wireless功能實現:
適合應用場所 :
主要缺陷:
當建構大型無線網路時對於大量AP設定得工作量巨大 AP設備的丟失可造成系統組態的洩露,存在安全上的疑慮 對於Rogue AP檢測等需要AP間協同工作的支持能力差 對於layer 3 漫遊或不支援或通過其他輔助設備配合支援 AP成本高
- Centralized WLAN Architecture網路架構 由AP+Wireless switch組成。 該無線網路方案中的AP接入節點俗稱Thin AP和Fit AP,Wireless switch被稱為Access Controller(AC)。 Wireless功能實現:
由AP所完成的802.11 MAC功能的不同又分為Local MAC、Split MAC模式 由WLC通過控制協議來控制AP的行為,使用者不能直接配置AP AP的配置資訊保存在Wireless Access Controllerr上 AP會自動到WLC去Download Config file 管理較方便
適合應用場所 :
Centralized WLAN Architecture - Feature比較
Feature | Local MAC | Split MAC | AP和AC的連接 | 直連或透過L2/L3網路 | 直連或透過L2/L3網路 | AP配置 | 通過AC | 通過AC | RF配置 | 通過AC | 通過AC | 802.1x認證 | AC作為authenticator | AC作為authenticator | 802.11到802.3轉換 | AP | AC | 802.11加密和解密 | AP | AC(Aruba在AP) | QOS queue調度 | AP | AP | RTS/CTS/ACK處理 | AP | AP | 對Wireless switch的負荷 | Local Bridging低 802.3 Frame Tunnel高 | 更高 |
|
| | | |
3-802.11x 比较
| 802.11 a,b,g,n 介紹 |
| | 802.11x 比較表
規格 | 802.11a | 802.11b | 802.11g | 802.11n | Ratified | 1999 | 1999 | 2003 | 2006 | 工作頻率 | 5GHz | 2.4GHz | 2.4GHz | 2.4 or 5GHz | 最快速率 | 54Mbps | 11Mbps | 54Mbps | 540Mbps | 傳輸距離 | 50 meter | 100 meter | 100 meter | 100 meter | 調變技術 | OFDM | DSSS | OFDM | OFDM | 頻道頻寬 | 20MHz | 20MHz | 20MHz | 20MHzor 40MHZ | 優點 | 頻道不受干擾 | 技術成熟,價格便宜 | 傳輸速度快可向下相容 | 傳輸速度大幅提升且同樣向下相容 |
IEEE 802.11a:
工作頻段為5Ghz,使用5GHz頻段,5.15-5.25GHz,5.25-5.35GHz,5.725-5.825GHz,即FCC U-NII(免許可證的國家資訊頻段)頻段。 一共有200個通道,同時可用的是13個,歐洲市場使用的是5.15—5.35Ghz,同時可用8個通道;我國使用的開放頻段是5.725-5.85Ghz,同時可用5個通道,最高54Mbps傳輸速率,可用12個通道,支援8種速率自我調整:6、9、12、18、24、36、48、54Mbps。必須支持的傳輸速率是6、12、24Mbps三種。 實體層(PHY)使用OFDM調製(正交頻分複用:Orthogonal Frequency Division Multiplexing OFDM)技術,頻譜利用率高、抗多徑衰落性能好。它利用許多並行的、傳輸低速率資料的子載波來實現一個高速率的通信。
IEEE 802.11b:
IEEE 802.11b是WLAN的一個標準。 其載波的頻率為2.4GHz,傳送速度為11Mbit/s。 IEEE 802.11b是所有WLAN標準中最著名,也是普及最廣的標準。 它有時也被錯誤地標為Wi-Fi。實際上Wi-Fi是WLAN聯盟(WLANA)的一個商標,該商標僅保障使用該商標的商品互相之間可以合作,與標準本身實際上沒有關係。 在2.4-GHz-ISM頻段共有14個頻寬為22MHz的頻道可供使用。 IEEE 802.11b的後繼標準是IEEE 802.11g,其傳送速度為54Mbit/s。
IEEE 802.11g:
IEEE 802.11g2003年7月,通過了第三種調變標準。 其載波的頻率為2.4GHz(跟802.11b相同),原始傳送速度為54Mbit/s,淨傳輸速度約為24.7Mbit/s(跟802.11a相同)。 802.11g的設備與802.11b兼容。 802.11g是為了提高更高的傳輸速率而制定的標準,它採用2.4GHz頻段,使用CCK技術與802.11b(Wi-Fi)後向兼容,同時它又通過採用OFDM技術支持高達54Mbit/s的數據流,所提供的帶寬是802.11a的1.5倍。 從802.11b到802.11g,可發現WLAN標準不斷發展的軌跡: 802.11b是所有WLAN標準演進的基石,未來許多的系統大都需要與802.11b向後向兼容,802.11a是一個非全球性的標準,與802.11b後向不兼容,但採用OFDM技術,支持的數據流高達54Mbit/s,提供幾倍於802.11b/g的高速信道,如802.11b/g提供3個非重疊信道可達8-12個; 可以看出在802.11g和802.11a之間存在與Wi-Fi兼容性上的差距,為此出現了一種橋接此差距的雙頻技術——雙模(dual band)802.11a+g(=b),它較好地融合了802.11a/g技術,工作在2.4GHz和5GHz兩個頻段,服從802.11b/g/a等標準,與802.11b後向兼容,使用戶簡單連接到現有或未來的802.11的無線網路。
IEEE 802.11n:
IEEE 802.11n,2004年1月IEEE宣布組成一個新的單位來發展新的802.11標準。 資料傳輸速度估計將達540Mbit/s(需要在物理層產生更高速度的傳輸率),此項新標準應該要比802.11b快上50倍,而比802.11g快上10倍左右。802.11n也將會比目前的無線網路傳送到更遠的距離。 目前在802.11n有兩個提議在互相競爭中: WWiSE (World-Wide Spectrum Efficiency) 以Broadcom為首的一些廠商支持。 TGn Sync 由Intel與Philips所支持。 802.11n增加了對於MIMO (multiple-input multiple-output)的標準. MIMO 使用多個發射和接收天線來允許更高的資料傳輸率。MIMO並使用了Alamouti coding coding schemes 來增加傳輸範圍。
|
| | | |
4-WLC上配置DNS/DHCP
| 在 WLC上配置 DHCP 及 DNS |
| | 完成以下步驟:
點擊功能表頁面上方的CONTROLLER。 點擊菜單左面的Internal DHCP Server。 點擊New,創建一個DHCP POOL。 鍵入你需要分配給用戶端的DHCP位址POOL。
點擊Apply。 出現DHCP Scope > Edit視窗。 鍵入位址集區的起始及終止位址。在本例中,DHCP位址集區是從10.10.10.3到10.10.10.10。 鍵入預設閘道器的地址,是10.10.10.1。 鍵入DNS功能變數名稱和DNS伺服器的地址。確認Status是啟動的。
點擊 Apply。
重啟 WLC 由於不能在系統工作的時候完成一個或者更多的WLAN上的改變,你需要重啟WLC。修改需要在啟動前或者啟動中完成。完成以下步驟來重啟WLC:
在控制器的主介面上,選擇功能表最上方的Commands。 在新的視窗下,選擇左邊功能表上的Reboot。如果在你的配置中有未保存的部分,你需要保存配置 然後重啟。 點擊Save and Reboot,保存設定然後重新啟動設備。 通過console連接監控設備的重啟過程。
|
| | | |
5-WLC做身份验证
| | 當你使用Web認證的時候,有兩種認證使用者的方式。本地認證允許你使用WLC的用戶去 認證。你也可以使用RADIUS伺服器認證用戶。配置WLC的本地認證,完成以下步驟: · 本地認證 用戶名和密碼存放在控制器的本地資料庫。使用者通過WLC的這個資料庫來認證。 以下步驟描述了如何在WLC上創建用戶名和密碼
在功能表上方點擊Security,進入WLC的安全配置視窗。 在左邊AAA功能表裡,選擇Local Net Users
點擊右上方的New,創建一個新的用戶。會出現一個新的視窗,需要你填寫用戶名和密碼。 填入用戶名和密碼,確認密碼。本例中創建的用戶是webuser1。 核對你的用戶是否分配到正確的WLAN上。該動作確保這個用戶只能在特定的WLAN認證使用。 本例中,WLAN Profile是Guest,該WLAN用作Web方式的認證。 如果你需要,添加一個描述。 本例中使用Web Auth。 點擊Apply,保存使用者配置。 如下圖所示
當ACS問你是否需要打開ACS頁面來配置的時候,點擊yes。 在左邊菜單裡,點擊User Setup。 這個動作把你帶到了使用者建立的頁面
鍵入你想用來Web認證的用戶,點擊Add/Edit。在使用者建立之後,會出現另一個視窗
確認最上方的Account Disabled框沒有鉤選,如圖11所示。 在Password Authentication選項裡,選擇ACS Internal Database。 輸入2次密碼。 點擊 Click Submit。
在上方的菜單中點擊Security。 在左邊菜單裡點擊Radius Authentication。 點擊New,鍵入ACS/RADIUS伺服器的地址。本例中,ACS的地址是10.77.244.196。 鍵入Radius伺服器的共用金鑰。確保金鑰和在Radius伺服器上為WLC配置的金鑰一致。 Port number保持默認,1812。 確保Server Status選項是Enabled。 鉤選Network User Enable框,這樣Radius伺服器就用來認證無線網路的使用者了。 點擊Appl 上圖顯示了一個配置好的RADIUS伺服器。確保Network User框是鉤選的,AdminStatus是Enabled。
打開WLC頁面,點擊WLANs。 該頁面顯示了WLC上已配置的WLAN的清單。點擊Guest這個WLAN。 在WLANs>Edit頁面,點擊Security功能表。 點擊安全菜單下的AAA Servers一欄。 選擇Radius伺服器,本例中為10.77.244.196。
點擊 Apply。
打開流覽器,鍵入你所設置用來的本地認證的virtual IP位址。 使用https://1.1.1.1/login.html。 這個步驟在3.0版本以前是非常重要的。 在之後的版本,打開任何URL都會把你重定向到web認證的頁面。 同時,在所有最近的控制器軟體版本中,支援通過http的web認證登錄。這個和控制器管理登錄聯繫在一起。 為了支援這個功能,需要關閉https登錄,只打開http管理。如果現在你打開web認證,將使用http方式的登錄。 出現一個安全告警視窗。 點擊Yes。 當登錄視窗出現後,鍵入所創建的本地使用者的用戶名和密碼。 如果登錄成功,你會看見兩個流覽器視窗。大的表示登錄成功,你可以用這個視窗 瀏覽internet。當訪客連接完成後,使用小的視窗作登出動作。 下圖顯示了一個成功的web認證的redirect。
注意:這個預設的Web認證頁面是由思科提供的。這個頁面也可以自己作。 下圖顯示了當認證在ACS中發生時的一個登錄成功的視窗
|
6-WLC做web认证
| | Web方式認證是一個三層的安全特性,在無線用戶端輸入正確的用戶名口令之前,控制器不接受該使用者的IP資料(除了DHCP相關的資料包)。Web認證可以通過WLC本地認證,也可以通過RADIUS伺服器。通常在部署訪客網路時,使用Web方式認證。典型的部署模式包括“hotspot”區域。 Web方式認證提供了不需要802.1x認證請求方或者用戶端工具的簡單的認證方式。並且Web方式認證不提供資料加密。Web認證通常被用在“hotspot”或者僅考慮連線性的園區環境。 這個範例中創建了一個新的VLAN介面和一個新的用作Web認證的WLAN。這個VLAN介面被分配到這個WLAN上,因此接入這個WLAN的用戶是在一個獨立的子網。在那些你不希望用separate subnet的場合,你可以把WLAN associate到Management的interface。本文中控制器的Web認證配置包含了新建一個VLAN介面的過程。 在控制器上配置 Web方式認證
Create a VLAN Interface(創建VLAN Interface) Add a WLAN Instance(加入WLAN Instance) Set Up DHCP and DNS Servers on the WLC 在WLC 設定DHCP Server 和DNS Server Configure Authentication Type (Three Ways to Authenticate Users in Web Authentication)
範例使用以下IP位址: WLC的IP位址是10.77.244.204。 CS伺服器的地址是10.77.244.196。 創建一個 VLAN介面
在WLC的主頁上,選擇最上方的Controller功能表,選擇左邊的Interfaces欄。 點擊窗口右上方的New。 視窗出現了。本例中介面名字是vlan90,VLAN號是90:
點擊Apply,創建該VLAN interface。一個新的視窗出現,需要你填入相關資訊。 採用以下參數: IP Address:10.10.10.2 Netmask:255.255.255.0 (24 bits) Gateway:10.10.10.1 Port Number:2 Primary DHCP Server:10.77.244.204 注意:這個參數應該填寫DHCP伺服器位址。在本例中WLC的管理地址被用來當作 DHCP伺服器的地址,因為在WLC啟用的DHCP功能。 Secondary DHCP Server:0 .0.0.0 注意:本文不使用dier1DHCP伺服器,所以使用0.0.0.0。如果你有第二台DHCP 伺服器,需要在這裡填寫位址。 ACL Name:None 下圖顯示了這些配置:
點擊 Apply,保存配置。
添加 WLAN實例 現在一個VLAN介面已經配置好,你需要提供一個WLAN/SSID來支援Web認證的用戶。 通過以下方式,創建一個新的 WLAN/SSID:
打開WLC頁面,點擊最上方WLAN菜單,點擊右上方的New。會彈出類似圖3的畫面。 將類型選為WLAN。為這個WLAN SSID選擇一個名字。本例中Profile和WLAN都是Guest。
點擊Apply。 出現一個新的WLAN > Edit視窗
勾選WLAN的狀態列,啟動該WLAN。在介面欄,選擇先前創建的VLAN介面。 在本例中,介面的名字是vlan90。 注意:其他參數不做修改,都是初始設置。 點擊Security欄位。 通過以下步驟,完成Web認證配置:
a)點擊Layer 2欄,選擇None。 注意:當某個WLAN的二層安全性原則使用802.1x or WPA/WPA2時,你的三層安全策略 不可以配置成web passthrough。關於控制器上二層和三層安全性原則的相容問題, 參見Wireless LAN Controller Layer 2 Layer 3 Security Compatibility Matrix一文。 b)點擊Layer 3。 如上圖所示,勾選Web Policy框,選擇Authentication選項 c)點擊Apply,完成存檔。 d)這個時候你回到了WLAN概要頁面。確認你的Web認證選項在SSID Guest下已經配置。
|
7-如何设定802.11n WLAN
| | Aironet 1140 系列無線接入點能夠像任何其他輕量級無線接入點一樣與WLC交互操作。只要確保您運行 5.2 (或更高)版本的無線控制器代碼,您的無線接入點就可以發現並加入WLC。 確保 802.11n 的資料率已啟用
第 1 步在控制器介面中“Wireless”標籤下,點擊“802.11 a/n”或“802.11 b/g/n”的網路設置。 第 2 步按一下“High Throughput (802.11n)”,打開配置頁。 第 3 步確保“11n Mode”模式已啟用。預設情況下,所有的 MCS(或 802.11n 的資料傳輸速率)是啟用的。
配置 802.11n的 WLANs 為了使WLC(或 SSID )運作在 802.11n 資料rate,兩個具體設定必須先設置,即資料加密和服務品質必須設定。按照 802.11n 標準本身的要求,所有的加密連結現在必須使用 AES 加密演算法。另外一種連接方式是無線局域網運行在沒有加密的狀態,這是可能的選擇。但是 802.11n 的標準排除了通過 WEP,TKIP 或任何其他形式的傳統加密技術來使用 802.11n 的資料傳輸速率。 設置“Layer 2 Security”為“WPA2 AES
設置“Layer 2 Security” 為“None”
至於服務品質,WLAN必須配置為允許 WMM,以便使 802.11n 資料率可以運行。如果要在WLC設定這個參數,在 WLAN 配置介面下設置QoS 參數為“Allowed”或“Required”。 設置“WMM Policy” 為“Allowed”
配置802.11n的客戶端 許多客戶端卡工作在2.4千兆赫。請確保您使用的客戶端卡,支持5 GHz。 以下步驟顯示了如何配置WIN XP 上的Intel 802.11n網卡:
點擊開始菜單。進入設置,選擇控制面板。 雙擊網絡連接圖標。 右擊英特爾無線網卡,然後單擊屬性。 單擊高級選項卡。 選擇使用默認值選項為無線客戶端模式的屬性,以便可以操作 無論是在802.11a模式或802.11b/g模式,使其皆可用。
除非網路是唯一的802.11n客戶端,使用混合模式保護使802.11n客戶端共存 與現有的802.11a或802.11b/g客戶端。
停止Fat Channel
驗證 您可以從WLC檢查連接狀態,速度,模式和信號強度。 如果是英特爾客戶,右鍵單擊無線圖標在系統托盤(右下角的 在桌面上),以查看無線模式。然後,單擊狀態。為了檢查客戶端的速度運行,右鍵單擊無線圖標,然後單擊查看可用的 無線網絡。點擊SSID和檢查速度,如下所示: 在WLC圖形用戶界面,單擊監視器。然後,單擊左側的客戶。這將顯示目前列表中 客戶關聯到WLC。接下來,點擊一個客戶端來檢查模式,速度等細節的連接。
|
8-如何设定802.1x认证
| 配置WLC的802.1x認證 |
| |
點擊無線局域網控制器的圖形用戶界面從以創建一個WLAN。 在WLAN窗口。此窗口列出了WLAN上配置controller。 單擊新建以配置新的WLAN。 在這個例子中,被命名為802.1X的WLAN和WLAN的ID為 3。
Click Apply。 在WLAN>編輯窗口中,定義的參數具體到WLAN。
Click Apply。 注:如果選擇802.1x為第2層安全,CCKM不能使用。 如果您選擇 WPA或WPA212層的安全,這些選項出現在驗證密鑰管理: 802.1X+ CCKMIf你選擇了這個選項,都CCKM或非CCKM客戶支持(CCKM可選)。 802.1xIf你選擇了這個選項,只有802.1x客戶端的支持。 CCKMIf你選擇了這個選項,只有CCKM客戶端支持,在客戶端定向到外部服務器進行身份驗證。 PSK如果選擇此選項,預共享密鑰用於 WLC和客戶端。此外,所有標準都設置為使用前預先的標準,例如,WPA/WPA2需要先例超過 CCKM時同時使用。 Configure Wireless Client for 802.1x Authentication
創建一個新的配置文件,點擊文件管理選項卡上的ADU。 單擊新建。 當檔案管理(一般)窗口顯示,完成這些步驟,以設定配置文件的名稱,客戶名稱,SSID:
A.輸入名稱。 這個例子使用EAPAuth作為配置文件的名稱。 B.輸入客戶端名稱。 客戶名稱是用來識別無線客戶端在WLAN網絡。配置使用客戶端作為客戶端的名稱。 C.在網路名稱,輸入SSID也就是用於此配置文件。而在這個SSID例子是802.1X。
Click the Security tab.
點擊802.1x的按鈕。 從802.1X EAP類型下拉列表中,選擇 EAP類型。 單擊配置,以配置參數具體到選定的EAP類型。
Click Apply. 當SSID被啟動,無線客戶端連接到WLAN使用802.1x認證。
|
| | | |
9-802.11n 排错
| | 無法實現802.11n的數據傳輸速率 其中最常見的問題是,你不能達到的最大吞吐量的802.11n。 執行以下這些檢查:
802.11n標準要求WLAN使用的802.11n客戶啟用AES加密上。您可以使用 WLANs與 NONE作為layer 2 安全。並且,如果您配置任何layer 2 security, 802.11n標準還需要求WPA2 AES啟用在802.11N的channel中。
確保 AP有足夠的力量。因為低功耗結果會使AP信號強度降低,從而降低了吞吐量。 確保802.11n的速率被啟用。MCS頻率應該啟用(這是建議讓所有的MCS頻率啟用)。
|
10-无线漫游原理Roaming
|
| | Wireless漫遊的概念
Wireless漫遊的分類
L2 Roaming
L3 Roaming
在不同子網路內的AP間漫遊 使用Mobile IP 協定 用在電信業者較多
Roaming的產生
Re-Association:太多的資料Re-try的狀況下。 AP有問題時 Data Rate降低 Client重新掃描
|
| | |
11-无线网络安全
|
| | 802.11標準有下面幾個缺點。
解決辦法
Open system:不認證 Pre-Shared Key: AP與Client都需要事先先建立相同的密碼
802.1x –使用於企業級的應用
EAP-MD5:最常使用的方式,使用MD5 hash後的密碼 EAP-OTP:使用OTP的方式 EAP-TLS:數位憑證的方式 集中的金鑰管理於認證,但需要 RADIUS伺服器
WPA–不需要外部認證伺服器
Confidentiality: 加密使用RC4,使用TKIP + Dynamic Keying(確保Key的正確性) Integrity: 使用Michael的加密演算法 Authentication: 較安全性的方式 若搭配802.1x EAP,User只要輸入ID/PW即可,不需要再設定
IEEE 802.1x EAP:使用在企業內部,需要有RADIUS Server Pre-Shared Key:User或SOHO使用
WPA2-更高效,更安全的安全方案
802.1x 802.1x不是一個單獨的認證方法,相反它使用EAP作為它認證的框架.這就意味著就有 802.1x能力的交換機和訪問點能夠支援廣泛的認證方式,包括基於證書的認證,智慧卡,權杖卡(token cards),一次性口令等等。 802.1x支援認證、授權、記帳的開放標準 (包括RADIUS和 LDAP),所以它可以在現有的基礎架構中管理遠端和移動的用戶。 同認證協議相互結合,例如 EAP-TLS、 LEAP或者EAP-TTLS, 802.1x提供了基於埠的存取控制以及客戶段與訪問點間的雙向認證。 |
| | |
无线网络***:
| |
違法使用無線網路 竊聽(Eavesdropping) -資訊以電波方式發送 通訊分析(Traffic Analysis) -Sniffer software,例如kismet…etc. 偽裝(Masquerade) -Access Point(AP) ESSID無法被認證 重播(Replay) -可能產生不同步問題或是造成資訊外洩 訊息竄改(Message Modification) 服務阻斷攻擊(Denial of Service, DoS)
Deauthenticate flood attack:攻擊者送出Deauthentication的封包,造成合法使用者的斷線。 Beacon flood attack:攻擊者送出大量偽造的Beacon封包,使得合法的使用者會看到很多看似可以連上的AP,實際卻不能使用的假AP,因而無法連上合法的AP。 Association flood attack:攻擊者送出大量的連線要求封包,造成AP可連線的上線數量達到最大值,使得其他使用者無法連結上AP。
中間人攻擊(Man-in-the-middle Attack, MITM):攻擊者偽裝成AP,使得合法使 用者連結上,幫合法使用者轉遞封包。在這過程中使用的封包有被竊聽、竄改之危機。
|
转载于:https://blog.51cto.com/ericfu/1930691