網路整合的專業技術領先
Security Resource
設定SSH
主機名稱一定要改,不可以用預設 switch(config)#hostname TEST
設定 domain-name switch(config)#ip domain-name TEST
啟動本地ssh-server並產生RSA-KEY switch (config)#crypto key generate rsa
建立帳號密碼 switch (config)#username doom password test
給他最高權限 switch(config)#username doom privilege 15
先清空現所有連線方式 (包含telnet) switch (config-line)#transport input none
進入遠端登入管理模式 switch (config-line)#line vty 0 4
僅開放 SSH 存取 switch (config-line)#transport input ssh
使用本地驗證資料庫 switch (config-line)#login local
Unicast Reverse Path Forwarding (Unicast RPF,單播逆向轉發)
之前在組播部分我們提到過這個Unicast RPF,這裡我們詳細說一下。這個功能可以幫助我們減輕(注意不是完全避免,是減輕)偽造的源IP地址(IP Spoofing,IP地址欺騙)的數據包通過路由器所帶來的問題。
基礎觀念
Unicast RPF對於進入網絡中的那些源IP地址「無法證實」的IP數據包進行丟棄以防止地址欺騙。舉個例子來說,對於DoS攻擊,攻擊者會利用偽造的或者是不斷改 變的源IP地址以防止攻擊被定位或過濾。對於此類攻擊,Unicast RPF只轉發那些源IP地址在路由表中存在並有效的數據包。
當Unicast RPF在某個接口上啟用,路由器檢查所有進入此接口的數據包,確定其源IP地址和源接口在路由表中存在。這種「向後看」的能力只有當Cisco express forwarding (CEF) 啟用時才生效,因為其依賴於Forwarding Information Base (FIB),FIB是CEF生成的。
注意: Unicast RPF只能在接口的input方向上。
Unicast RPF檢查從某個接口上進入路由器的數據包,通過FIB判斷該數據包是否通過最優路徑到達,如果是,則正常轉發,如果找不到逆向(返回源)的路徑,說明該 數據包的源IP可能被修改,這時需要通過ACL來判定對該數據包是轉發還是丟棄。在接口啟用Unicast RPF時,ACL是可選項,如果沒有配置ACL,則對於找不到逆向路徑的數據包會被丟棄!
當數據包到達一個配置了Unicast RPF和ACl的接口,路由器進行以下操作:
利用接口上Input方向的ACL對數據包進行檢查。
Unicast RPF 檢查是否有返回源的最佳路徑。
完成FIB查找
利用出站接口上Output方向的ACL對數據包進行檢查。
轉發數據包。
ACL(access control list,存取控制清單)
清單大小,也就是條件敘述的數量,依可用記憶體的決定,用來控制管理流程
可用在防火牆中過濾封包與路徑,可用在isdn的ddr
P.S.雖可過濾經過router的交通,但無法過濾router自己產生的交通
使用ACL步驟大致如下
- 設定< acl id>規則 (config)#access-list < acl id> < describe rule>
- 將應用在介面上 (config-if)#ip access-group < acl id> < act>
比對封包與acl的主要規則
依順序循序地比對清單
一旦比對到符合條件立即作用,不會繼續比對下去
若比對到最後無符合條件則被丟棄,因為最後有隱藏deny all的命令
標準ACL
標準acl建議放在靠近目的地的地方,因為只能限制來源
(config)#access-list < acl id> < act> < source [source wildcard]> [log]
< acl id>存取清單編號,編號從1開始,可設定的編號依協定有所不同,如下
ip:1-99,1300-1399
extended ip:100-199,2000-2699 //設定extended acl時用
appletalk:600-699
ipx:800-899
extended ipx:900-999//設定extended acl時用
ipx sap filter:1000-1099
< act>有deny(拒絕),permit(允許),remark(註解)
< source [source wildcard]>傳送封包的網路或主機編號
source wildcard為選擇性參數,是一個32bit的wildcard mask(萬用遮罩)
與ip位置配對而成的,可分成4個byte,各8bit
wildcard mask位元為0代表檢查相對應的位元值,為1則忽略
ps: 萬用字元any,可表示source=0.0.0.0,source willdcard=255.255.255.255
ex:0.0.0.0 255.255.255.255 可用any表示
萬用字元host,可表示wildcard mask 0.0.0.0,此為預設
ex:172.30.16.29 0.0.0.0 可用host 172.30.16.29或172.30.16.29表示
[log]產生有關封包詳細的紀錄訊息
標準acl常用範例
設定acl編號1的描述
對acl id 1註解 (config)#access-list 1 remark this is a example
拒絕172.16.1.1 (config)#access-list 1 deny 172.16.1.1
允許任何來自172.16.1.0的網路 (config)#access-list 1 permit 172.16.1.0 0.0.0.255
拒絕任何來自172.16.0.0的網路 (config)#access-list 1 deny 172.16.1.1 0.0.255.255
拒絕任何來自172.16.88.0/21的網路 (config)#access-list 1 deny 172.16.88.0 0.0.7.255
拒絕任何來自172.16.192.0/19的網路 (config)#access-list 1 deny 172.16.192.0 0.0.31.255
允許任何網路 (config)#access-list 1 permit any
Extended ACL
(config)#access-list < acl id> [dynamic] [timeout] < act> < protocol> < addr info> [other options]
extended acl建議放在靠近source的地方
因為extended acl的設定較詳細,放在source是沒有問題
且可省資源,讓封包一要出去時就可以檢查,而非走遠才發現此封包不准進入目的端
[dynamic] 將acl定義為動態
[timeout] 指定存取清單的有效的時間長度,預設無限長,以分鐘為單位
< protocol> 網路協定的名稱或編號 ex:ip,tcp,eigrp,icmp,…等
< addr info> 位置資訊,格式為< source [source wildcard]> < destination [destination wildcard]>
< destination [destination wildcard]> 其他可選的參數,格式為[precedence] [tos] [log|log-input] [time-range] [fragments]
[other options ] (config)#access-list 1 deny 172.16.192.0 0.0.31.255
[precede] 可利用優先權來過濾流量,以0到7的數字表示
[tos] 可利用服務等級來過濾流量,以0到7的數字表示
[log|log-input] log-input包括輸入介面與來源mac位置,或紀錄輸出中的vc
[time-range] 應用在此敘述時間範圍的名稱
[fragments] 將acl項目應用到非初始化的封包片段上,因此不是允許就是拒絕封包片段
ex:time-range大致用法
(config)#time-range
(config-time-range)#periodic
(config)#access-list 101 permit tcp any any time-range
extended ACL應用在icmp或igmp時,[protocol]=icmp或igmp
(config)#access-list < acl id> [dynamic] [timeout] < act> < protocol> < addr info> [icmp] [other options]
[icmp]可使用欄位如下:
[icmp-type] 利用icmp訊息類型來過濾icmp封包,icmp訊息類型是介於0-255的數字
[icmp-code] 利用icmp訊息碼進行過濾icmp封包,icmp訊息碼是介於0-255的數字
[icmp-message] 利用icmp訊息名稱過濾icmp封包
[igmp-type] 利用icmp訊息類型來過濾igmp封包,igmp訊息類型是介於0-15的數字,針對igmp
extended ACL應用在tcp或udp時,[protocol]=tcp或udp
(config)#access-list < acl id> [dynamic] [timeout] < act> < protocol> < detail addr info> [established] [other options]
格式為< source [source wildcard] [operator [port]]> < destination [destination wildcard] [operator [port]]>
[operator] 比較來源與目的地埠,運算種類有lt(小於),gt(大於),eq(等於),neq(不等於),range(範圍)
[port] 過濾tcp或udp的埠或名稱
[established] 針對tcp,表示己建立的連線
ex:設定acl編號101的描述
允許來自172.16.6.0網路的封包使用telnet (config)#access-list 101 permit tcp 172.16.6.0 0.0.0.255 any eq telnet
拒絕172.16.4.0/24的port21資料到172.16.3.0/24 (config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
拒絕172.16.10.1 telnet到172.16.30.5 (config)#access-list 101 deny tcp host 172.16.10.1 host 172.16.30.5 eq 23
允許SMTP (config)#access-list 101 permit ip any any eq SMTP
允許其他資料 (config)#access-list 101 permit ip any any
允許其他資料,和any any相同 (config)#access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
DHCP Snooping
DHCP伺服器在區域網路中用來分配IP位置是再適合不過,特別是在建置IP Phone時,因為IP Phone的安裝地點比起一般PC主機來說,更容易因為人員組織變動,而需要更改IP、Default Gateway、TFTP Server等相關資訊,若每當話機異動而需要手動設定話機的IP資訊,必然會造成管理人員困擾,此時透過DHCP Server發放Voice VLAN下話機的IP位置,讓IP Phone可以取得IP位置並自動註冊到Cisco UC,成為能否短時間內大量部屬話機的關鍵之一,也是日後能否減輕維護工作的主要考量因素。
但也因為難以管制私人DHCP的架設,且在網路上難以透過網路MAC或IP找到實體的DHCP Server位置,使得DHCP環境亦遭受非法DHCP的影響,當在私人網路裡有人架設私有DHCP而干擾正確的DHCP運作時,往往讓管理人員傷腦筋,除了必須防範DHCP的不當使用外,另外也會面臨到DHCP的DOS攻擊問題,當DHCP的位置因為攻擊而發放完畢,正常需要IP的主機反而要不到IP位置,導致無法連上網路。
在Cisco Switch上,用戶端介面與Vlan介面使用ip dhcp snooping來防止用戶端私設DHCP Server,該指令會拒絕從非trust介面傳送過來的DHCP response,避免私有DHCP伺服器亂發放不正確的DHCP資料,同時確保DHCP Server的回應封包一定會來自合法的DHCP伺服器,設定方法也很簡單,只要在Switch上,使用ip dhcp snooping指令,指定哪些VLAN要使用該功能,並且在連接DHCP Server的介面上設定該介面為DHCP Trust即可,此功能也可以防範發生資料竊取的情況,當駭客的DHCP Server發放不正確的資料時,會告訴用戶端採用該DHCP指定的IP作為Gateway,若該IP同時進行Routing與Sniffing封包,則一般用戶會因為連線沒有影響而沒有察覺自己的資料已經被竊取。
基本設定範例如下:
DHCP snooping:
(config)#ip dhcp snooping vlan 22
(config-if)#ip dhcp snooping trust
另外要防止DHCP DOS攻擊,可以使用ip dhcp snooping limit rate來限制Switch轉送DHCP request的速率,設定範例如下:
DHCP snooping:
(config)#ip dhcp snooping vlan 22
(config-if)#ip dhcp snooping trust
(config)#ip dhcp snooping limit rate 10
Port Security(防非法MAC存取)
switchport port-security maximum 允許讓多少筆 Mac-Address通過
switchport port-security mac-address 允許哪些 Mac-Address過過這裡有兩個選項可選:
一個是直接輸入讓它通過的Mac-Address,另一個是動態紀錄
switchport port-security violation 當不在允許列表的 Mac-Address出現時所採取的動作
protect 保護原有的 Mac-Address, 不允許其它 Mac-Address通過
restrict 不允許通過, 且紀錄
shutdown 讓該 Port Shutdown
switchport port-security aging 如果動態學習Mac-Address(如第2項),
這裡可以設定該Mac-Address可以存活的時間
static:加入此項目時,則手動輸入的Mac-Address也加入計時
type: 如何計時的方式,有兩個選項, absolute指的是絕對時間,以系統時間為準;inactivity指的是當沒有封包通過時,就開始計時
time: 可以存活的時間,以分鐘計
Switch & Router Resource
設定 Cisco Switch 連接埠屬性
Cisco Switch預設連接埠設定自動偵測連接埠速度和雙工狀態,也就是Auto-speed,Auto-duplex,一般情況下不需要對每個連接埠進行設定。
但根據Cisco的技術白皮書,接入改連接埠的網路設備的資訊情況下,建議直接配置相應的速度以及雙工資訊。
speed命令可以選擇搭配10,100和auto,分別代表10Mb/s,100Mb/s和自動協商速度。
duplex命令也可以選擇full,half和auto,分別代表全雙工,半雙工和自動協商雙工狀態。
description命令用於描述特定連接埠名字,建議對特殊連接埠進行描述。
假設現在接入連接埠1的設備速度為100Mb/s,雙工狀態為全雙工:
進入接口0/1的設定模式 Switch(config)# interface fastethernet 0/1
設定該連接埠的速率為100Mb/s Switch(config-if)# speed 100
設定該連接埠為全雙工 Switch(config-if)# duplex full
設定該連接埠描述為up_to_mis Switch(config-if)# description up_to_mis
退回到特權模式 Switch(config-if)# end
查詢連接埠0/1的設定結果 Switch# show interface fastethernet 0/1
Cisco Switch iOS Recovery
1. 用控制線連接Switch console,用帶有xmodem功能的終端軟件連接。
2. 拔掉Switch後的電源線重新啟動Switch
3. 在超級終端輸入:
switch:
switch:flash_init//會出現如下提示:
Initializing Flash…
4. 輸入拷貝指令:
switch:copy xmodem: flash:image_filename.bin
//出現如下提示:
Begin the Xmodem or Xmodem-1K transfer now…
5. 系統提示不斷出現C這個字母就可以開始傳文件了
6. 點擊超級終端菜單:
傳送—發送文件,在協議選項中選擇Xmodem或者Xmodem-1K協議,然後選擇ios的影像文件(*.bin),開始傳送。
7. 傳送完畢後提示:
File “xmodem:” successfully copied to ….
switch:
8. 在提示符下輸入
switch:boot
啟用新的ios系統
Cisco Switch Password Recovery與清除舊有設定方式?
拔掉電源線
插回電源線同時按住面板上的Mode按鈕
switch:flash_init
再輸入 load_helper
Dir flash :
列出在flash中的檔案
rename flash:config.text flash:config.old
修改config.text檔名,密碼存在此處
boot
重新開機
輸入 n
來跳過初始化設定
輸入 enable
輸入 rename flash:config.old flash:config.text
將設定檔案改回原來名稱
#copy flash:config.text system:running-config
把設config.text寫回到running-config
# config t
進入config mode 修改密碼
# enable secretxxxxxx
# write memory (或 copy running-config startup-config)
將修改完畢後的密碼存檔,在reboot測試新密碼與設定內容
補充:若此台Switch不需保留設定檔,現有的config.text刪掉,vlan.dat刪除後重新開機,這樣設定檔就完全是乾淨的。
erase startup-config 將設定檔內容清空指令
Delete vlan.dat 指令來刪除vlan檔
所有之前設定過的內容清空後,記得先修改新密碼在做後續設定
一般發生網路異常,最直接的方式就是分析異常流量的內容
簡單來說有下列步驟
首先確認異常的流量地方
在好幾百個Port的地方要找出不尋常流量的Switch Port, 本身就是一個難題, 這是需要平常就花時間在紀錄每個Port的流量, 才能在緊急時比對每個port目前的流量和以前是否不一樣。一般免費的 Solution是用MRTG來做流量的記錄。
進行流量管理
在確認異常Port之後,可直接下指令將該異常 Switch Port 關閉停用,再觀察整個網路環境是否己改善. 如果想找出異常流量的內容,就必須用網路封包分析軟體(eg: sniffer, Ethereal 或是 Windows內建的網路分析軟體),收集異常Port的流量內容再加以分析. 除非你能將網路封包分析軟體直接安裝到使用異常流量的主機內,直接抓取,不然你就一定要利用Mirror Port的方式來進行。
如何設定Mirror Port:
以Cisco 2950為例
#config t
先設定要監控的是那個port
#monitor session “number” “source” interface “mod_number/port_number” both
switch # monitor session 1 source int f0/14
再設定要把上述Port的流量全部導入另一個port
#monitor session “number” “destination” interface “mod_mnumber/port_number”
seitch #monitor session 1 destination int f0/15
最後把安裝網路封包分析軟體的電腦,接上 swithc port f0/15,這樣就可以進行接收分析在port f0/14 中所有封包活動的內容了
Cisco網路交換機於區域網路中接口類型主要有四種:
Access/ Trunk/ Multi/ Dot1q-tunnel
access: 主要用來接入終端設備,如PC機、伺服器、列印伺服器等。
trunk:主要用在連接其它交換機,以便在線路上承載多個vlan。
multi:在一個線路中承載多個vlan,但不像trunk,它不對承載的數據打標簽。主要用於接入支援多vlan的伺服器或者一些網路分析設備。現在基本不使用此類接口,在cisco的網路設備中,也基本不支援此類接口了。
dot1q-tunnel:用在Q-in-Q隧道配置中。
Cisco網路設備支援動態協商連接埠的工作狀態,這為網路設備的實施提供了一定的方便(但不建議使用動態方式)。 Cisco動態協商協議從最初的 DISL(Cisco私有協議) 發展到DTP (公有協議)。根據動態協議的實現方式,Cisco網路設備接口主要分為下面幾種模式:
switchport mode access:
強制接口成為access接口,並且可以與對方主動進行協商,誘使對方成為access模式。
switchport mode dynamic desirable:
主動與對協商成為Trunk接口的可能性,如果鄰居接口模式為Trunk/desirable/auto之一,則接口將變成trunk接口工作。如果不能 形成trunk模式,則工作在access模式。這種模式是現在交換機的默認模式。
switchport mode dynamic auto:
只有鄰居交換機主動與自己協商時才會變成Trunk接口,所以它是一種被動模式,當鄰居接口為Trunk/desirable之一時,才會成為 Trunk。如果不能形成trunk模式,則工作在access模式。
switchport mode trunk:
強制接口成為Trunk接口,並且主動誘使對方成為Trunk模式,所以當鄰居交換機接口為trunk/desirable/auto時會成為Trunk接口。
switchport nonegotiate:
嚴格的說,這不算是種接口模式,它的作用隻是阻止交換機接口發出DTP數據包,它必須與switchport mode trunk或者switchport mode access一起使用。。
switchport mode dot1q-tunnel:
配置交換機接口為隧道接口(非Trunk),以便與用戶交換機的Trunk接口形成不對稱鏈路。
VTP (VLAN Trunking Protocol)
VTP 簡單的說, 是 Cisco 自己產品的專屬協定, 可以在 Cisco 交換器間, 自動散播可用的 VLAN 資訊。
這個練習我將 VLAN 號碼改了, 希望大家可以不用偷看 Core Switch的設定, 只要在Switch1 和 Switch2上啟用VTP, 就可以利用 VTP 自動的方式取得 Core Swtich 上的 兩個 VLAN 資訊。
Switch1 和 Switch2 先扮演 VTP Client 的腳色, 收聽 VTP Server (這個例子就是 Core Switch) 所放送出來的 VLAN 資訊。
Client 設定:
Switch1(config)#vtp mode client
Switch1(config)#vtp domain ccna
Switch1(config)#
Server 設定:
CoreSwitch(config)#vtp mode server client
CoreSwitch(config)#vtp domain ccnaccna
CoreSwitch(config)#
和 VLAN 設定一樣, 我們無法使用 show run 來看設定的內容, 只能使用 show vtp status.
- Switch1:
Switch1#show vtp status
VTP Version : 2
Configuration Revision: 4
Maximum VLANs supported locally : 255
Number of existing VLANs: 7
VTP Operating Mode: Client
VTP Domain Name: ccna
VTP Pruning Mode: Disabled
VTP V2 Mode: Disabled
VTP Traps Generation: Disabled
MD5 digest: 0x9E 0x49 0xD8 0xC7 0xED 0x7C 0xB2 0x01
Configuration last modified by 20.1.1.101 at 3-1-93 00:01:58
Switch1#
- CoreSwitch:
CoreSwitch#show vtp status
VTP Version: 2
Configuration Revision: 4
Maximum VLANs supported locally : 255
Number of existing VLANs: 7
VTP Operating Mode: Server
VTP Domain Name: ccna
VTP Pruning Mode: Disabled
VTP V2 Mode: Disabled
VTP Traps Generation: Disabled
MD5 digest: 0x9E 0x49 0xD8 0xC7 0xED 0x7C 0xB2 0x01
Configuration last modified by 20.1.1.101 at 3-1-93 00:01:58
Local updater ID is 20.1.1.101 on interface Vl1 (lowest numbered VLAN interface found)
CoreSwitch#
步驟1.查詢目前 Switch 使用的 IOS
使用 show boot 指令查詢可知目前使用的 IOS 檔案為 c2950-i6q4l2-mz.121-19.EA1a.bin
Switch#show boot
BOOT path-list:flash:c2950-i6q4l2-mz.121-19.EA1a.bin
Config file:flash:/config.text
Private Config file:flash:/private-config.text
Enable Break:no
Manual Boot:NO
HELPER path-list:
NVRAM/Config file
buffer size:32768
查看 flash 空間使用狀況
Switch#show file systems | include flash:
*77414403240960flashrw flash
77414403240960unknownrwzflash:
列出 flash 內檔案清單及使用狀況
Switch#dir flash:
Directory of flash:/
2-rwx108Mar 01 1993 00:03:15info
3-rwx2980487Mar 01 1993 00:04:32c2950-i6q4l2-mz.121-19.EA1a.bin
4drwx640Mar 01 1993 00:05:22html
15-rwx108Mar 01 1993 00:05:22info.ver
17-rwx350Jan 01 1970 00:01:25env_vars
18-rwx856Mar 01 1993 00:00:18vlan.dat
7741440 bytes total (3240960 bytes free)
步驟2.設定 Switch 管理 IP
- 若您的 Switch 已設定管理 IP,則請忽略此步驟,下列為設定 Switch 管理 IP 至預設的 VLAN (VLAN1) 上
Switch#conf t//進入 Configure 模式
Switch(config)#int vlan 1//進入 VLAN 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0//指定 IP Address
Switch(config-if)#no shutdown//啟用 VLAN 1
Switch(config-if)#exit
Switch(config)#exit
Switch#sh interfaces vlan 1 //顯示 VLAN1 資訊
Vlan1 is up, line protocol is down
Hardware is CPU Interface, address is 000c.8504.9d80 (bia 000c.8504.9d80)
Internet address is 192.168.1.1/24//VLAN 1 的 IP 設定成功 - Switch 設定 IP Address 完成後,確定 Switch 跟 TFTP Server 的主機能互相 Ping 得到
TFTP Server 啟動服務 (UDP Port 69) 後去 Ping Switch
C:\>netstat -na | find “:69” //確定 TFTP Service 有啟動
UDP0.0.0.0:69*:*
C:\>ping 192.168.1.1//確定與 Switch 能溝通
Ping 192.168.1.1 (使用 32 位元組的資料):
回覆自 192.168.1.1: 位元組=32 時間=4ms TTL=255
回覆自 192.168.1.1: 位元組=32 時間=1ms TTL=255
回覆自 192.168.1.1: 位元組=32 時間=1ms TTL=255
回覆自 192.168.1.1: 位元組=32 時間=1ms TTL=255
192.168.1.1 的 Ping 統計資料:
封包: 已傳送 = 4,已收到 = 4, 已遺失 = 0 (0% 遺失),
大約的來回時間 (毫秒):
最小值 = 1ms,最大值 = 4ms,平均 = 1ms
從 Switch 去 Ping TFTP Server
Switch#ping 192.168.1.2 //確定 Switch 能與 TFTP Server 溝通
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms
步驟3.備份目前的 IOS
Switch#copy flash:c2950-i6q4l2-mz.121-19.EA1a.bin tftp
//將目前 IOS 上傳至 TFTP Server 上
Address or name of remote host []? 192.168.1.2
//指定 TFTP Server IP Address
Destination filename [c2950-i6q4l2-mz.121-19.EA1a.bin]?
//目前 IOS 上傳至 TFTP Server 後的檔案名稱
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2980487 bytes copied in 19.124 secs (131084 bytes/sec)
//上傳目前 IOS 至 TFTP Server 成功
Wireless Resource
802.11網路的四種主要的物理組件:
<工作站(Station):
通常包括配備無線網路接口的設備
接入點(Access Point):
具備無線至有線的橋接功能的設備稱之為接入點。通常分為自主型AP(Fat AP)和精簡型AP(Thin AP)
無線媒介(Wireless Medium):
規定了傳輸封包所使用的物理層介質。
分佈式系統(Distribution System):
分佈式系統屬於邏輯上的組件,負責轉發封包到目的地。
網路的類型
802.11網路最基本的組件我們稱之為基本服務集(Basic Service Set,BSS),由多個互相通信的工作站所組成。 BSS分為兩種基本的模式:
獨立型網路(Ad hoc mode)
基礎結構型網路(Infrastructure mode),如圖所示。
獨立型網路:IBSS
上圖所示中,左邊為Independent BSS,IBSS,有時我們也稱之為BSS(Ad-hoc BSS)。
在這種情況中,無線網路是直接由工作站所組成的一種臨時性的網路,它們之間的距離必須在可以直接通訊的範圍內。
基礎結構型網路:BSS
上圖所示中,右邊為基礎結構型基本服務集,Infrastructure BSS。
在這種網路中,AP負責基礎結構型網路的所有通信,包括同一個服務區域內所有移動節點間的通訊。
雖然這種方式比IBSS直接傳送消耗較多的資源,但是卻有兩個主要的優點:
基礎結構型基本服務集被界定在接入點的傳輸範圍內,與IBSS相比雖然消耗了一些頻寬,但是卻降低了physical layer的複雜程度,因為IBSS中的每個工作站都要維護和其他工作站的adjacency關係。
AP在Infrastructure BSS架構裡的作用是協助工作站節省電力。AP可以協助不發送封包的工作站暫時性的關閉無線收發器並cache以保證電力的最小消耗。那麼,如果要使用基礎結構型的網路時,工作站必須要與接入點進行關聯(Associate),每個工作站在同一時間內只能與一個AP進行關聯。
擴展服務區域:ESS
BSS可以為辦公室或者家庭提供小範圍的服務,無法服務更大的區域。在802.11網路中允許將幾個BSS串聯為擴展服務集(Extended Service Set,ESS),所有位於同一個ESS的接入點將使用相同的服務組標識符(Service Set Identifier,SSID)
隸屬於同一個ESS的工作站可以互相通信,即使這些工作站處於不同的BSS或是在這些BSS內移動在ESS中,AP作為bridge的角色,提供Link-layer的連接。
802.11為ESS提供了Link-layer Mobility的功能。
WLAN Architecture網路架構
可以由AP獨立形成或者由AP加上Lan switch建構大規模的網路,該無線網路方案中的AP接入節點俗稱Fat AP。
Wireless功能實現:
-
由AP來完成所有的802.11定義的服務和功能
-
AP支援本地和remote配置,並在本地保存系統組態
適合應用場所
-
家庭
-
中小型網路
主要缺陷
-
當建構大型無線網路時對於大量AP設定得工作量巨大
-
AP設備的丟失可造成系統組態的洩露,存在安全上的疑慮
-
對於Rogue AP檢測等需要AP間協同工作的支持能力差
-
對於layer 3 漫遊或不支援或通過其他輔助設備配合支援
-
AP成本高
Centralized WLAN Architecture網路架構
由AP+Wireless switch組成。 該無線網路方案中的AP接入節點俗稱Thin AP和Fit AP,Wireless switch被稱為Access Controller(AC)。
Wireless功能實現:
-
由AP所完成的802.11 MAC功能的不同又分為Local MAC、Split MAC模式
-
由WLC通過控制協議來控制AP的行為,使用者不能直接配置AP
-
AP的配置資訊保存在Wireless Access Controllerr上
-
AP會自動到WLC去Download Config file
-
管理較方便
適合應用場所 :
-
中大型企業網
Centralized WLAN Architecture - Feature比較
Feature | Local MAC | Split MAC |
---|---|---|
AP和AC的連接 | 直連或透過L2/L3網路 | 直連或透過L2/L3網路 |
AP配置 | 通過AC | 通過AC |
RF配置 | 通過AC | 通過AC |
802.1x認證 | AC作為authenticator | AC作為authenticator |
802.11到802.3轉換 | AP | AC |
802.11加密和解密 | AP | AC(Aruba在AP) |
QOS queue調度 | AP | AP |
RTS/CTS/ACK處理 | AP | AP |
對Wireless switch的負荷 | Local Bridging低 802.3 Frame Tunnel高 | 更高 |
802.11 a,b,g,n 介紹
802.11x 比較表
規格 | 802.11a | 802.11b | 802.11g | 802.11n |
Ratified | 1999 | 1999 | 2003 | 2006 |
工作頻率 | 5GHz | 2.4GHz | 2.4GHz | 2.4 or 5GHz |
最快速率 | 54Mbps | 11Mbps | 54Mbps | 540Mbps |
傳輸距離 | 50 meter | 100 meter | 100 meter | 100 meter |
調變技術 | OFDM | DSSS | OFDM | OFDM |
頻道頻寬 | 20MHz | 20MHz | 20MHz | 20MHz or 40MHz |
優點 | 頻道不受干擾 | 技術成熟 價格便宜 | 傳輸速度快 可向下相容 | 傳輸速度大幅提升 且同樣向下相容 |
IEEE 802.11a:
工作頻段為5Ghz,使用5GHz頻段,5.15-5.25GHz,5.25-5.35GHz,5.725-5.825GHz,即FCC U-NII(免許可證的國家資訊頻段)頻段。
一共有200個通道,同時可用的是13個,歐洲市場使用的是5.15—5.35Ghz,同時可用8個通道;我國使用的開放頻段是5.725-5.85Ghz,同時可用5個通道,最高54Mbps傳輸速率,可用12個通道,支援8種速率自我調整:6、9、12、18、24、36、48、54Mbps。必須支持的傳輸速率是6、12、24Mbps三種。
實體層(PHY)使用OFDM調製(正交頻分複用:Orthogonal Frequency Division Multiplexing OFDM)技術,頻譜利用率高、抗多徑衰落性能好。它利用許多並行的、傳輸低速率資料的子載波來實現一個高速率的通信。
IEEE 802.11b:
IEEE 802.11b是WLAN的一個標準。
其載波的頻率為2.4GHz,傳送速度為11Mbit/s。
IEEE 802.11b是所有WLAN標準中最著名,也是普及最廣的標準。
它有時也被錯誤地標為Wi-Fi。實際上Wi-Fi是WLAN聯盟(WLANA)的一個商標,該商標僅保障使用該商標的商品互相之間可以合作,與標準本身實際上沒有關係。
在2.4-GHz-ISM頻段共有14個頻寬為22MHz的頻道可供使用。
IEEE 802.11b的後繼標準是IEEE 802.11g,其傳送速度為54Mbit/s。
IEEE 802.11g:
IEEE 802.11g2003年7月,通過了第三種調變標準。
其載波的頻率為2.4GHz(跟802.11b相同),原始傳送速度為54Mbit/s,淨傳輸速度約為24.7Mbit/s(跟802.11a相同)。
802.11g的設備與802.11b兼容。
802.11g是為了提高更高的傳輸速率而制定的標準,它採用2.4GHz頻段,使用CCK技術與802.11b(Wi-Fi)後向兼容,同時它又通過採用OFDM技術支持高達54Mbit/s的數據流,所提供的帶寬是802.11a的1.5倍。
從802.11b到802.11g,可發現WLAN標準不斷發展的軌跡:
802.11b是所有WLAN標準演進的基石,未來許多的系統大都需要與802.11b向後向兼容,802.11a是一個非全球性的標準,與802.11b後向不兼容,但採用OFDM技術,支持的數據流高達 54Mbit/s,提供幾倍於 802.11b/g的高速信道,如802.11b/g提供3個非重疊信道可達8-12個;可以看出在802.11g和802.11a之間存在與Wi-Fi兼容性上的差距,為此出現了一種橋接此差距的雙頻技術——雙模(dual band)802.11a+g(=b),它較好地融合了802.11a/g技術,工作在2.4GHz和5GHz兩個頻段,服從802.11b/g/a等標準,與802.11b後向兼容,使用戶簡單連接到現有或未來的802.11的無線網路。
IEEE 802.11n:
IEEE 802.11n,2004年1月IEEE宣布組成一個新的單位來發展新的802.11標準。
資料傳輸速度估計將達540Mbit/s(需要在物理層產生更高速度的傳輸率),此項新標準應該要比802.11b快上50倍,而比802.11g快上10倍左右。802.11n也將會比目前的無線網路傳送到更遠的距離。
目前在802.11n有兩個提議在互相競爭中:
WWiSE (World-Wide Spectrum Efficiency) 以Broadcom為首的一些廠商支持。
TGn Sync 由Intel與Philips所支持。
802.11n增加了對於MIMO (multiple-input multiple-output)的標準. MIMO 使用多個發射和接收天線來允許更高的資料傳輸率。MIMO並使用了Alamouti coding coding schemes 來增加傳輸範圍。
WLAN Site Survey
在準備部署無線網絡前,對有無線網絡覆蓋需求的區域進行現場實地勘察測試是非常必要的一個環節。
現場勘測人員使用安裝了專業Survey工具的 筆記本或者PDA,搭配與將要部署的類型相同的AP,在關鍵區域和可能存在部署問題區域,對現場環境進行實地勘察並記錄整個實際移動中所經過的各採樣點的 實時的射頻相關的參 數信息如RSSI(接收信號強度指標)、SNR(信噪比)等
依據現場勘測所收集的數據信息,結合現場環境的實際情況最終決定AP較合理的部署位置。
在 WLC上配置 DHCP 及 DNS
完成以下步驟:
點擊功能表頁面上方的CONTROLLER。
點擊菜單左面的Internal DHCP Server。
點擊New,創建一個DHCP POOL。
鍵入你需要分配給用戶端的DHCP位址POOL。
點擊Apply。
出現DHCP Scope > Edit視窗。
鍵入位址集區的起始及終止位址。在本例中,DHCP位址集區是從10.10.10.3到10.10.10.10。
鍵入預設閘道器的地址,是10.10.10.1。
鍵入DNS功能變數名稱和DNS伺服器的地址。確認Status是啟動的。
點擊 Apply。
重啟 WLC
由於不能在系統工作的時候完成一個或者更多的WLAN上的改變,你需要重啟WLC。修改需要在啟動前或者啟動中完成。完成以下步驟來重啟WLC:
在控制器的主介面上,選擇功能表最上方的Commands。
在新的視窗下,選擇左邊功能表上的Reboot。如果在你的配置中有未保存的部分,你需要保存配置,然後重啟。
點擊Save and Reboot,保存設定然後重新啟動設備。
通過console連接監控設備的重啟過程。
Web 認證下兩種認證使用者的方式
當你使用Web認證的時候,有兩種認證使用者的方式。本地認證允許你使用WLC的用戶去認證。你也可以使用RADIUS伺服器認證用戶。配置WLC的本地認證,完成以下步驟:
本地認證
用戶名和密碼存放在控制器的本地資料庫。使用者通過WLC的這個資料庫來認證。
以下步驟描述了如何在WLC上創建用戶名和密碼
在功能表上方點擊Security,進入WLC的安全配置視窗。
在左邊AAA功能表裡,選擇 Local Net Users
點擊右上方的New,創建一個新的用戶。會出現一個新的視窗,需要你填寫用戶名和密碼。
填入用戶名和密碼,確認密碼。本例中創建的用戶是webuser1。
核對你的用戶是否分配到正確的WLAN上。該動作確保這個用戶只能在特定的WLAN認證使用。
本例中,WLAN Profile是Guest,該WLAN用作Web方式的認證。
如果你需要,添加一個描述。
本例中使用Web Auth。
點擊Apply,保存使用者配置。
如下圖所示
RADIUS伺服器的 Web認證
本文使用安裝在Windows2003伺服器上的ACS作為RADIUS伺服器。
當Web認證是通過RADIUS伺服器的時候,第一個認證的詢問是發給WLC本地的。
如果WLC沒有回答,第二個詢問發到RADIUS伺服器。ACS建立部分介紹了如何配置ACS。
你需要有DNS和RADIUS伺服器。
ACS建立
在你的伺服器上建立ACS,然後通過以下步驟來創建認證使用者:
當ACS問你是否需要打開ACS頁面來配置的時候,點擊yes。
在左邊菜單裡,點擊User Setup。
這個動作把你帶到了使用者建立的頁面
鍵入你想用來Web認證的用戶,點擊Add/Edit。在使用者建立之後,會出現另一個視窗
確認最上方的Account Disabled框沒有鉤選,如圖11所示。
在Password Authentication選項裡,選擇ACS Internal Database。
輸入2次密碼。
點擊 Click Submit。
在思科 WLC上輸入 RADIUS伺服器資訊 Enter
完成以下步驟:
在上方的菜單中點擊Security。
在左邊菜單裡點擊Radius Authentication。
點擊New,鍵入ACS/RADIUS伺服器的地址。本例中,ACS的地址是10.77.244.196。
鍵入Radius伺服器的共用金鑰。確保金鑰和在Radius伺服器上為WLC配置的金鑰一致。
Port number保持默認,1812。
確保Server Status選項是Enabled。
鉤選Network User Enable框,這樣Radius伺服器就用來認證無線網路的使用者了。
點擊Apply。
上圖顯示了一個配置好的RADIUS伺服器。確保Network User框是鉤選的,AdminStatus是Enabled。
配置 WLAN 上的 RADIUS 伺服器到目前,RADIUS伺服器已經在WLC配置好了,你需要在WLAN上使用這個RADIUS服務器作Web認證。
通過以下步驟,完成WLAN上RADIUS伺服器的配置。
打開WLC頁面,點擊WLANs。 該頁面顯示了WLC上已配置的WLAN的清單。點擊Guest這個WLAN。
在WLANs>Edit頁面,點擊Security功能表。點擊安全菜單下的AAA Servers一欄。
選擇Radius伺服器,本例中為10.77.244.196。
點擊 Apply。
用戶端登錄
完成以下步驟:
打開流覽器,鍵入你所設置用來的本地認證的virtual IP位址。
使用https://1.1.1.1/login.html。
這個步驟在3.0版本以前是非常重要的。
在之後的版本,打開任何URL都會把你重定向到web認證的頁面。
同時,在所有最近的控制器軟體版本中,支援通過http的web認證登錄。這個和控制器管理登錄聯繫在一起。
為了支援這個功能,需要關閉https登錄,只打開http管理。如果現在你打開web認證,將使用http方式的登錄。
出現一個安全告警視窗。
點擊Yes。
當登錄視窗出現後,鍵入所創建的本地使用者的用戶名和密碼。
如果登錄成功,你會看見兩個流覽器視窗。大的表示登錄成功,你可以用這個視窗
瀏覽internet。當訪客連接完成後,使用小的視窗作登出動作。
下圖顯示了一個成功的web認證的redirect。
注意:這個預設的Web認證頁面是由思科提供的。這個頁面也可以自己作。
下圖顯示了當認證在ACS中發生時的一個登錄成功的視窗
Web 方式認證
Web方式認證是一個三層的安全特性,在無線用戶端輸入正確的用戶名口令之前,控制器不接受該使用者的IP資料(除了DHCP相關的資料包)。
Web認證可以通過WLC本地認證,也可以通過RADIUS伺服器。通常在部署訪客網路時,使用Web方式認證。典型的部署模式包括”hotspot”區域。
Web方式認證提供了不需要802.1x認證請求方或者用戶端工具的簡單的認證方式。並且Web方式認證不提供資料加密。Web認證通常被用在”hotspot”或者僅考慮連線性的園區環境。
這個範例中創建了一個新的VLAN介面和一個新的用作Web認證的WLAN。這個VLAN介面被分配到這個WLAN上,因此接入這個WLAN的用戶是在一個獨立的子網。在那些你不希望用separate subnet的場合,你可以把WLAN associate到Management的interface。本文中控制器的Web認證配置包含了新建一個VLAN介面的過程。
在控制器上配置 Web方式認證
Create a VLAN Interface(創建VLAN Interface)
Add a WLAN Instance(加入WLAN Instance)
Set Up DHCP and DNS Servers on the WLC
在WLC 設定DHCP Server 和DNS Server
Configure Authentication Type (Three Ways to Authenticate Users in Web Authentication)
範例使用以下IP位址:
WLC的IP位址是10.77.244.204。
CS伺服器的地址是10.77.244.196。
在WLC的主頁上,選擇最上方的Controller功能表,選擇左邊的Interfaces欄。
點擊窗口右上方的New。
視窗出現了。本例中介面名字是vlan90,VLAN號是90:
3. 點擊Apply,創建該VLAN interface。一個新的視窗出現,需要你填入相關資訊。
4. 採用以下參數:
IP Address:10.10.10.2
Netmask:255.255.255.0 (24 bits)
Gateway:10.10.10.1
Port Number:2
Primary DHCP Server:10.77.244.204
注意:這個參數應該填寫DHCP伺服器位址。在本例中WLC的管理地址被用來當作DHCP伺服器的地址,因為在WLC啟用的DHCP功能。
Secondary DHCP Server:0 .0.0.0
注意:本文不使用dier1DHCP伺服器,所以使用0.0.0.0。如果你有第二台DHCP伺服器,需要在這裡填寫位址。
ACL Name:None
下圖顯示了這些配置:
5. 點擊 Apply,保存配置。
添加WLAN實例
現在一個VLAN介面已經配置好,你需要提供一個WLAN/SSID來支援Web認證的用戶。
通過以下方式,創建一個新的 WLAN/SSID:
打開WLC頁面,點擊最上方WLAN菜單,點擊右上方的New。會彈出類似圖3的畫面。
將類型選為WLAN。為這個WLAN SSID選擇一個名字。本例中Profile和WLAN都是Guest。
點擊Apply。
出現一個新的WLAN > Edit視窗
勾選WLAN的狀態列,啟動該WLAN。在介面欄,選擇先前創建的VLAN介面。
在本例中,介面的名字是vlan90。
注意:其他參數不做修改,都是初始設置。
點擊Security欄位。
通過以下步驟,完成Web認證配置:
a)點擊Layer 2欄,選擇None。
注意:當某個WLAN的二層安全性原則使用802.1x or WPA/WPA2時,你的三層安全策略
不可以配置成web passthrough。關於控制器上二層和三層安全性原則的相容問題,
參見Wireless LAN Controller Layer 2 Layer 3 Security Compatibility Matrix一文。
b)點擊Layer 3。
如上圖所示,勾選Web Policy框,選擇Authentication選項
c)點擊Apply,完成存檔。
d)這個時候你回到了WLAN概要頁面。確認你的Web認證選項在SSID Guest下已經配置。
配置 802.11n 網路
Aironet 1140 系列無線接入點能夠像任何其他輕量級無線接入點一樣與WLC交互操作。只要確保您運行 5.2 (或更高)版本的無線控制器代碼,您的無線接入點就可以發現並加入WLC。
確保 802.11n 的資料率已啟用
第 1 步在控制器介面中”Wireless”標籤下,點擊”802.11 a/n”或”802.11 b/g/n”的網路設置。
第 2 步按一下”High Throughput (802.11n)”,打開配置頁。
第 3 步確保”11n Mode”模式已啟用。預設情況下,所有的 MCS(或 802.11n 的資料傳輸速率)是啟用的。
配置 802.11n的 WLANs
為了使WLC(或 SSID )運作在 802.11n 資料rate,兩個具體設定必須先設置,即資料加密和服務品質必須設定。按照 802.11n 標準本身的要求,所有的加密連結現在必須使用 AES 加密演算法。另外一種連接方式是無線局域網運行在沒有加密的狀態,這是可能的選擇。但是 802.11n 的標準排除了通過 WEP,TKIP 或任何其他形式的傳統加密技術來使用 802.11n 的資料傳輸速率。
設置“Layer 2 Security”為“WPA2 AES
設置”Layer 2 Security” 為”None”
至於服務品質,WLAN必須配置為允許 WMM,以便使 802.11n 資料率可以運行。如果要在WLC設定這個參數,在 WLAN 配置介面下設置QoS 參數為”Allowed”或”Required”。
設置”WMM Policy” 為”Allowed”
配置802.11n的客戶端
許多客戶端卡工作在2.4千兆赫。請確保您使用的客戶端卡,支持5 GHz。
以下步驟顯示了如何配置WIN XP 上的Intel 802.11n網卡:
點擊開始菜單。進入設置,選擇控制面板。
雙擊網絡連接圖標。
右擊英特爾無線網卡,然後單擊屬性。
單擊高級選項卡。
選擇使用默認值選項為無線客戶端模式的屬性,以便可以操作
無論是在802.11a模式或802.11b/g模式,使其皆可用。
除非網路是唯一的802.11n客戶端,使用混合模式保護使802.11n客戶端共存
與現有的802.11a或802.11b/g客戶端。
停止Fat Channel
驗證
您可以從WLC檢查連接狀態,速度,模式和信號強度。
如果是英特爾客戶,右鍵單擊無線圖標在系統托盤(右下角的 在桌面上),以查看無線模式。然後,單擊狀態。為了檢查客戶端的速度運行,右鍵單擊無線圖標,然後單擊查看可用的 無線網絡。點擊SSID和檢查速度,如下所示:
在WLC圖形用戶界面,單擊監視器。然後,單擊左側的客戶。這將顯示目前列表中 客戶關聯到WLC。接下來,點擊一個客戶端來檢查模式,速度等細節的連接。
配置WLC的802.1x認證
點擊無線局域網控制器的圖形用戶界面從以創建一個WLAN。
在WLAN窗口。此窗口列出了WLAN上配置controller。
單擊新建以配置新的WLAN。
在這個例子中,被命名為802.1X的WLAN和WLAN的ID為 3。
Click Apply。
在WLAN>編輯窗口中,定義的參數具體到WLAN。
A﹒從第2層下拉列表中,選擇802.1X。
注:只有WEP加密可與 802.1x。無論是選擇40位或104位的加密,並確保第3層安全性設置為無。
這使得這個無線局域網802.1x認證。
B﹒在RADIUS服務器參數,選擇 RADIUS服務器將用於驗證客戶端的憑據。
C﹒根據需求選擇其他參數。
Click Apply。
註:如果選擇802.1x為第2層安全,CCKM不能使用。如果您選擇 WPA或WPA212層的安全,這些選項出現在驗證密鑰管理:
802.1X+ CCKMIf你選擇了這個選項,都CCKM或非CCKM客戶支持(CCKM可選)。
802.1xIf你選擇了這個選項,只有802.1x客戶端的支持。
CCKMIf你選擇了這個選項,只有CCKM客戶端支持,在客戶端定向到外部服務器進行身份驗證。
PSK如果選擇此選項,預共享密鑰用於 WLC和客戶端。此外,所有標準都設置為使用前預先的標準,例如,WPA/WPA2需要先例超過 CCKM時同時使用。
Configure Wireless Client for 802.1x Authentication
創建一個新的配置文件,點擊文件管理選項卡上的ADU。
單擊新建。
當檔案管理(一般)窗口顯示,完成這些步驟,以設定配置文件的名稱,客戶名稱,SSID:
A.輸入名稱。
這個例子使用EAPAuth作為配置文件的名稱。
B.輸入客戶端名稱。
客戶名稱是用來識別無線客戶端在WLAN網絡。配置使用客戶端作為客戶端的名稱。
C.在網路名稱,輸入SSID也就是用於此配置文件。而在這個SSID例子是802.1X。
Click the Security tab.
點擊802.1x的按鈕。
從802.1X EAP類型下拉列表中,選擇 EAP類型。
單擊配置,以配置參數具體到選定的EAP類型。
Click Apply.
當SSID被啟動,無線客戶端連接到WLAN使用802.1x認證。
Troubleshoot
無法實現802.11n的數據傳輸速率,其中最常見的問題是,你不能達到的最大吞吐量的802.11n。
執行以下這些檢查:
802.11n標準要求WLAN使用的802.11n客戶啟用AES加密上。您可以使用WLANs與 NONE作為layer 2 安全。並且,如果您配置任何layer 2 security,802.11標準還需要求WPA2 AES啟用在802.11N的channel中。
確保 AP有足夠的力量。因為低功耗結果會使AP信號強度降低,從而降低了吞吐量。
確保802.11n的速率被啟用。MCS頻率應該啟用(這是建議讓所有的MCS頻率啟用)。
IEEE 802網路技術
IEEE 802規範的重心放在OSI模型最下面的兩層,因為它們同時覆蓋了Physical以及 Data Link。
MAC是一組用以決定如何訪問媒介與傳送數據的規範,至於傳送和接收的細節則由Physical layer負責。
802.11基本覆蓋了802.11 MAC以及兩種物理層(Physical Layer):
跳頻擴頻物理層: frequency-hopping spread-spectrum,FHSS
直接序列擴頻物理層:direct-sequence spread-spectrum,DSSS
在802.11b標準中規範了一種物理層:高速直接序列擴頻(HR/DSSS)物理層。
在802.1a標準中規範了了另一種物理層:正交頻分復用(orthogonal frequency division multiplexing,OFDM)物理層。
需要注意的是如果802.11b和802.11g的用戶同時訪問一個接入點,那麼將需要用到額外的協議來保證兼容性,因此會降低802.11g用戶的鏈接速度。
802.11將Physical進一步的劃分為兩個組件:
Physical Layer Procedure,PLCP:負責將MAC映射到傳輸媒介。
Physical Medium Dependent,PMD:負責傳送frame。
Wireless網路的漫遊(Roaming)
Wireless漫遊的概念
client pc可以在屬於同一個ESS的AP接入點接入。
client pc可以在Wireless網路中任意移動,同時保證已有的資料傳輸不中斷,使用者的IP位址不改變。
Wireless漫遊的分類
L2 Roaming
- 在同一個子網路內的AP間漫遊
- 不同AP 、Cell之間
- AP的SSID都要相同
- 由於不涉及子網的變化,因此只需保證用戶在AP間切換時訪問網路的許可權不變即可
- 使用IAPP(Inter Access Point Protocol)協定
- 由AP去控制L2 Roaming
- 大部分採用此技術
L3 Roaming
- 在不同子網路內的AP間漫遊
- 使用Mobile IP 協定
- 用在電信業者較多
- Roaming的產生
Re-Association:太多的資料Re-try的狀況下。
AP有問題時
Data Rate降低
Client重新掃描
無線網路安全
802.11標準有下面幾個缺點。
缺少集中的金鑰管理
有線等效加密 (WEP)容易受到攻擊 (衝突,弱密碼, MAC偵聽,容易受到 DoS攻擊)
解決辦法
WEP(Wired Equivalent Privacy)
最早被發展出來的認證方式
沒有雙向認證的機制
最不安全的認證方式
密碼是固定的且明碼傳送
Confidentiality: 使用RC4(64、128、256bits)加密
Integrity: CRC-32演算法
Authentication:
Open system:不認證
Pre-Shared Key: AP與Client都需要事先先建立相同的密碼
嘗試讓無線網路達到和有線網路一樣的保密能力
容易破解
802.1x –使用於企業級的應用
Authentication:
EAP-MD5:最常使用的方式,使用MD5 hash後的密碼
EAP-OTP:使用OTP的方式
EAP-TLS:數位憑證的方式
集中的金鑰管理於認證,但需要 RADIUS伺服器
WPA–不需要外部認證伺服器
Confidentiality:加密使用RC4,使用TKIP + Dynamic Keying(確保Key的正確性)
Integrity: 使用Michael的加密演算法
Authentication:
IEEE 802.1x EAP:使用在企業內部,需要有RADIUS Server
Pre-Shared Key:User或SOHO使用
較安全性的方式
若搭配802.1x EAP,User只要輸入ID/PW即可,不需要再設定
WPA2-更高效,更安全的安全方案
Confidentiality:加密使用AES,使用TKIP + Dynamic Keying(確保Key的正確性)
Integrity: 使用Michael的加密演算法
Authentication: 與WPA一樣
業界的標準
可搭配RADIUS,與WPA相同
與WPA不同的地方在於加密的演算法。
802.1x
802.1x不是一個單獨的認證方法,相反它使用EAP作為它認證的框架.這就意味著就有 802.1x能力的交換機和訪問點能夠支援廣泛的認證方式,包括基於證書的認證,智慧卡,權杖卡(token cards),一次性口令等等。
802.1x支援認證、授權、記帳的開放標準 (包括RADIUS和 LDAP),所以它可以在現有的基礎架構中管理遠端和移動的用戶。
同認證協議相互結合,例如 EAP-TLS、 LEAP或者EAP-TTLS, 802.1x提供了基於埠的存取控制以及客戶段與訪問點間的雙向認證。
無線網路的攻擊
違法使用無線網路
竊聽(Eavesdropping)
-資訊以電波方式發送
通訊分析(Traffic Analysis)
-Sniffer software,例如kismet…etc.
偽裝(Masquerade)
-Access Point(AP) ESSID無法被認證
重播(Replay)
-可能產生不同步問題或是造成資訊外洩
訊息竄改(Message Modification)
服務阻斷攻擊(Denial of Service, DoS)
Deauthenticate flood attack:攻擊者送出Deauthentication的封包,造成合法使用者的斷線。
Beacon flood attack:攻擊者送出大量偽造的Beacon封包,使得合法的使用者會看到很多看似可以連上的AP,實際卻不能使用的假AP,因而無法連上合法的AP。
Association flood attack:攻擊者送出大量的連線要求封包,造成AP可連線的上線數量達到最大值,使得其他使用者無法連結上AP。
中間人攻擊(Man-in-the-middle Attack, MITM):攻擊者偽裝成AP,使得合法使 用者連結上,幫合法使用者轉遞封包。在這過程中使用的封包有被竊聽、竄改之危機。
通訊攔截(Session-Hijacking)
AD-Hoc
Peer-to-Peer的架構
一次只能針對一台Client
雙邊設定同樣的頻率即可
Wireless Client Access
跟任何AP橋接的網橋模式
BBS:Basic Service Set
電腦互相傳輸續要透過AP才可互通
Wireless Bridge(AP到AP無線橋接)
支持兩個AP進行無線橋接模式來連通兩個不同的LAN
用在2個LAN中間無法以實體線路接取的環境
適合兩棟建築物之間無線通訊使用
Wireless Mesh Network(多AP bridge)
提供Bridge及Access的接取
建立一個Mesh的無線網路
提供有線及無線的環境
適合多棟建築物之間無線通訊使用
Repeater
支持兩台AP之間無線信號中繼增強無線距離,適合距離比較遠的無線客戶端作信號放大使用,或用來做無線橋接然後再發射信號給無線網卡接收。