寬帶接入網(wǎng)技術(shù)實驗七 WLAN組網(wǎng)

2 /CHONGQINGCOLLEGEOFELECTRONICENGINEERING

實驗七WLAN組網(wǎng)》【實驗?zāi)康摹?.了解WLAN的基礎(chǔ)組網(wǎng)知識掌握WLAN的AP組網(wǎng)方式掌握WLAN的AdHoc組網(wǎng)方式【預(yù)備知識】1．什么是WLAN2．802.11協(xié)議的要點AP的基本功能4．無線網(wǎng)卡的基本功能和類型實驗環(huán)境】分組實驗，每組4—8人。拓?fù)浣Y(jié)構(gòu)AP組網(wǎng)AdHoc組網(wǎng)AP組網(wǎng)圖實驗拓?fù)湓O(shè)備每組一個無線AP,兩個無線網(wǎng)卡。實驗步驟】建立實驗小組,并進行分工。按照AP組網(wǎng)方式組建無線網(wǎng)絡(luò)，并測試網(wǎng)絡(luò)連通情況。按照AdHoc組網(wǎng)方式組建無線網(wǎng)絡(luò)，并測試網(wǎng)絡(luò)連通情況。實現(xiàn)雙AP組網(wǎng)，并測試網(wǎng)絡(luò)連通情況。實驗七WLAN組網(wǎng)》WLAN接入認(rèn)證實驗?zāi)康摹?.了解WLAN的基本認(rèn)證知識掌握WLAN的WAP-PAK認(rèn)證方式掌握WLAN的EAP/802.1X認(rèn)證方式預(yù)備知識】WLAN的組網(wǎng)方式認(rèn)證及認(rèn)證的方式加密及加密方式EAP協(xié)議、802.1X協(xié)議、WEP標(biāo)準(zhǔn)、WPA標(biāo)準(zhǔn)WEP密鑰在認(rèn)證過程中的用途實驗環(huán)境】1.分組實驗，每組4-8人2.拓?fù)鋵嶒灢襟E】建立實驗小組。按照開放式系統(tǒng)方式組網(wǎng)、測試、并完成通信數(shù)據(jù)的采集。按照WEP（共享密鑰）方式組網(wǎng)、測試、并完成通信數(shù)據(jù)的采集。按照WPA-PSK認(rèn)證方式組建無線網(wǎng)絡(luò)，測試并完成通信數(shù)據(jù)的采集。按照WAP的EAP+802.1X認(rèn)證方式組建無線網(wǎng)絡(luò)，測試并完成通信數(shù)據(jù)的采集。

CHONGQINGCOLLEGEOFELECTRONICENGINEERING罰專慶建孔tCHONGQINGCOLLEGEOFELECTRONICENGINEERING罰專慶建孔t?程聃業(yè)孑ft實驗七WLAN組網(wǎng)》附件：WLAN實驗相關(guān)原理一、WLAN基礎(chǔ)組網(wǎng)【實驗原理】寬帶本地接入網(wǎng)絡(luò)分為WLAN(無線局域網(wǎng))和WPAN(無線個域網(wǎng))。無線局域網(wǎng)WLAN是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，是局域網(wǎng)的延伸，工作在數(shù)據(jù)鏈路層,提供了一種使用無線信道多址接入技術(shù)的方法實現(xiàn)計算機的通信。通信范圍在100m—500m，WLAN的網(wǎng)絡(luò)組成包括通信設(shè)備、用戶終端和支持單元。WLAN的標(biāo)準(zhǔn)化分為兩個陣營：其一是IEEE802.il，主張采用無連接的WLAN，從面向數(shù)據(jù)的計算機通信發(fā)展而來；其二是HIPERLAN—2陣營，關(guān)注基于連接的無線局域網(wǎng)，致力于面向語音的蜂窩電話。IEEE802.ii是最早的無線局域網(wǎng)的標(biāo)準(zhǔn)，也是迄今為止唯一贏得了市場的一個標(biāo)準(zhǔn)，提供常用的物理層和MAC層規(guī)范。其協(xié)議參考模型如圖1—2所示。802.2LOGICALLINKCONTROL802.11MACFHSSPHYDSSSPHYIRPHY圖 IEEE802.11協(xié)議參考模型IEEE802.11定義了三種不同物理層：跳頻擴頻(Frequency-Hoppingspreadspectrum,FHSS)物理層，直接序列擴頻(Directsequencespectrum,DSSS)物理層，和紅外線(Infrared,IR)物理層。MAC層主要采用載波偵聽多址接入/沖突避免(CSMA/CA)協(xié)議。IEEE802.11將網(wǎng)絡(luò)基礎(chǔ)模塊定義為基本服務(wù)集(BasicServiceSet，BSS)，IEEE802.11協(xié)議規(guī)定了無線站點(WirelessStation，STA)在一個BSS內(nèi)進行通信的規(guī)范(StationService，SS)。一個BSS的網(wǎng)絡(luò)規(guī)模是有限的，多個互聯(lián)起來的BSS形成一個擴展服務(wù)分集(ExtendedServiceset，ESS)，使得802.11網(wǎng)絡(luò)的規(guī)模擴展。用于互連的多個BSS的功能模塊被定義為分布系統(tǒng)(DistributionSystem，DS)，DS的主要功能是實現(xiàn)多個BSS的無縫整合，為ESS內(nèi)STA提供分組轉(zhuǎn)發(fā)服務(wù)。而STA通過在BSS內(nèi)的接入點(AccessPoint，AP)使用DS提供的分布系統(tǒng)服務(wù)(DistributionSystemService，DSS)，實現(xiàn)STA在整個ESS內(nèi)通信。協(xié)議還規(guī)定DS可以通過入口模塊(Portal)實現(xiàn)與其它802系列網(wǎng)絡(luò)的互連。IEEE802.11定義了兩類無線局域網(wǎng)的組網(wǎng)方式：(1) Infrastructure—based方式，即基礎(chǔ)模式組網(wǎng)。任何兩個節(jié)點的通信都必須經(jīng)過中心控制點(AP)(通信系統(tǒng)中的基礎(chǔ)設(shè)施(Infrastructure)是指專門提供通信服務(wù)的設(shè)備。)，AP作為一個BSS的通信基礎(chǔ)設(shè)施，為BSS內(nèi)其它站點提供通信服務(wù)，并且站點的所有通信業(yè)務(wù)，包括訪問Internet或者與同一BSS內(nèi)其它站點的通信，都需要通過AP中繼?；A(chǔ)網(wǎng)絡(luò)又常被稱為AP模式網(wǎng)絡(luò)。(2) 對等(Adhocnetworking)方式：無中心控制點(AP)，節(jié)點間的連接時對等的，并且所有節(jié)點共用一個無線信道。一個Adhoc方式的無線局域網(wǎng)絡(luò)對應(yīng)一個獨立基本服務(wù)集(IndependentBasicServiceSet,IBSS)。在一個IBSS內(nèi)，每一個站點的功能都是對等的，無需通信基礎(chǔ)設(shè)施，并且任意兩個站點都可直接通信。IEEE802.11定義的Adhoc方式的無線局域網(wǎng)實際上是一種單跳拓?fù)浣Y(jié)構(gòu)的無線網(wǎng)絡(luò)。IEEE802.il協(xié)議主要定義了WLAN組網(wǎng)方式和媒體訪問控制方式，在802.11協(xié)議之下還有系列協(xié)議描述物理層編碼技術(shù)和空中接口，如802.11g和802.11a協(xié)議。IEEE802.11b網(wǎng)絡(luò)使用2.4GHz的免許可證ISM頻段，物理層采用基于DSSS的補償編碼鍵控(CCK)技術(shù)。在歐美標(biāo)準(zhǔn)中有13個信道可供選擇，法國有4個信道，美國有11個信道，其中可選出3個互不重疊的信道同時在一個覆蓋區(qū)域內(nèi)同時工作。802.11b支持動態(tài)速率調(diào)整，允許數(shù)據(jù)傳輸速率根據(jù)噪音狀況進行自動調(diào)整。隨著噪音條件的惡化，可在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換。(在2Mbps、1Mbps速率時與802.11標(biāo)準(zhǔn)兼容)。因此在實驗室選用信道時，應(yīng)盡可能地選擇1、6、11三個信道，或者選擇，與相鄰AP間隔5個以上的信道，當(dāng)然信道之間的干擾也是本實驗需要觀察的現(xiàn)象之一。802.11a標(biāo)準(zhǔn)數(shù)據(jù)傳輸速率為54Mbps。標(biāo)準(zhǔn)工作在5GHz無許可證的國家信息基礎(chǔ)設(shè)施(UNII)波段，該波段分成UNII-1(5.15GHz到5.25GHz)、UNII-2(5.25GHz到5.35GHz)和UNII-3(5.75GHz到5.85GHz)o每個波段都有四個非重疊信道這代表總帶寬可以達到300MHz，而11b的2.4GHz帶寬僅為85MHz。高端的5.8GHz波段的特點是輸出功率高，適于建筑物之間或室外環(huán)境的無線應(yīng)用，低端的5.2GHz和中部的5.3GHz波段特別適合于建筑物內(nèi)的產(chǎn)品。802.11a標(biāo)準(zhǔn)采用正交頻分復(fù)用OFDM來傳輸數(shù)據(jù)，該技術(shù)可幫助提高數(shù)傳速率和改進信號質(zhì)量，并可克服干擾。OFDM技術(shù)可用低數(shù)據(jù)傳輸速率在分頻段上并行傳輸，這一方法大大提升了WLAN的速度和信號質(zhì)量。802.11g工作在2.4GHz波段，能夠提供54Mbps的數(shù)據(jù)傳輸速率。它的優(yōu)勢是與11b標(biāo)準(zhǔn)兼容，產(chǎn)品的換代升級容易做到。缺點是2.4GHz波段受到的干擾因素過多。本實驗要利用無線網(wǎng)絡(luò)設(shè)備：接入點(AP)，終端用戶，無線網(wǎng)絡(luò)適配器完成IEEE802.11協(xié)議提出的兩種無線網(wǎng)絡(luò)的組網(wǎng)形式，并分別在兩種方式下實現(xiàn)與有線網(wǎng)絡(luò)的互連。二、WLAN接入認(rèn)證【實驗原理】1.WLAN認(rèn)證與保密技術(shù)概述1.1認(rèn)證、加密和保密認(rèn)證和加密是兩個獨立的問題，但又相互緊密關(guān)聯(lián)。認(rèn)證主要指確認(rèn)對方身份的過程。通常和授權(quán)、記賬統(tǒng)稱為AAA，即系統(tǒng)確認(rèn)對方身份，授予對方符合身份的操作權(quán)限，并開始為對方使用系統(tǒng)進行記賬，以便進一步計費。加密指雙方的通信數(shù)據(jù)在傳輸過程中是通過事先商定的密碼和加密運算進行處理的，因此保證不為外人所知。所以，如果對方持有合法用戶才有的密鑰，可以據(jù)此認(rèn)為對方是合法用戶，即確認(rèn)了對方的身份，完成了認(rèn)證。但是如果對方只要出示密鑰就予以確認(rèn)的方法過于簡單，容易被非法用戶通過不斷測試等手段攻破，所以認(rèn)證更以復(fù)雜的過程來保證確認(rèn)的安全性。認(rèn)證過程中雙方的書后有應(yīng)該要加密，而且認(rèn)證完成后也可能會給對方一個密鑰，讓對方使用密鑰對通信數(shù)據(jù)加密，以及維持身份的合法性。保密，則通常包括認(rèn)證、加密和數(shù)據(jù)完整性保證等三個方面，使得雙方的通信過程即便是在不安全的公用網(wǎng)絡(luò)上也能保證安全性，就像在“專用”網(wǎng)絡(luò)上一樣。認(rèn)證有多種認(rèn)證的協(xié)議，加密有多種算法，數(shù)據(jù)完整性保證也有相關(guān)的協(xié)議。一個保密系統(tǒng)就可能存在認(rèn)證、加密和完整性保證多種技術(shù)的組合，當(dāng)然也需要這多種技術(shù)之間的相互配合。1.2WLAN的認(rèn)證保密技術(shù)歷史WLAN的認(rèn)證保密問題一直是WLAN通信領(lǐng)域研究的熱點。從標(biāo)準(zhǔn)制定和產(chǎn)品開發(fā)情況看，IEEE802.il最初有制定標(biāo)準(zhǔn)，并在制定新的標(biāo)準(zhǔn)如802.11i；產(chǎn)品廠商也在嘗試結(jié)合有線網(wǎng)中比較成熟的技術(shù)和根據(jù)將要制定的標(biāo)準(zhǔn)來推出自己的產(chǎn)品來搶占市場，因此在建設(shè)一個實際的系統(tǒng)時，可選的方案有不少，而且廠商不同，產(chǎn)品之間的互操作性也有不同。從時間發(fā)展的角度看，802.11標(biāo)準(zhǔn)最初定義了鏈路級的認(rèn)證服務(wù)，包括兩種認(rèn)證方式：開發(fā)系統(tǒng)認(rèn)證（OpenSystemAuthentication）和共享密碼認(rèn)證（SharedKeyAuthentication）。開放系統(tǒng)實際是不認(rèn)證的方式。而共享密鑰認(rèn)證更是一種加密方法，認(rèn)證是基于用戶是否使用正確的密鑰，加密方法主要使用WEP。WEP方式存在不安全的漏洞，所Wi-Fi組織同制定新的保密通信機制替代WEP，于是就出現(xiàn)了WPA.WPA提供兩種認(rèn)證的方式：與WEP類似的共享密鑰WPA-PSK（WPAPre-SaredKey）方式及結(jié)合802.1x和EAP的復(fù)雜認(rèn)證方式。WPA-PSK雖然也用加密代替認(rèn)證過程，但加密的方法優(yōu)于WEP.結(jié)合802.1x和EAP的復(fù)雜認(rèn)證方式可以追溯到PPP協(xié)議,PPP是Point-to-PointProtocol的縮寫，最初用于撥號訪問，同時也被一些Internet服務(wù)供應(yīng)商以PPPoverEthernet的方式用于DSL和Cablemodem的認(rèn)證。但是大多數(shù)企業(yè)都希望用比用戶名和密碼更安全的認(rèn)證方式，于是出現(xiàn)了EAP（ExtensibleAuthenticationProtocol）,EAP提供一種通用的認(rèn)證框架，它不僅可以支持簡單的用戶名密鑰的認(rèn)證方式，也支持更復(fù)雜的Challenge-Response、公鑰、tokencards、Kierberos、證書等認(rèn)證方式。通過使用EAP、RAS（遠程訪問服務(wù)器）就不需要知道具體的認(rèn)證方式，只要用戶和認(rèn)證服務(wù)器相互協(xié)調(diào)就可以了。為了在有線和無線局域網(wǎng)上使用EAP協(xié)議，人們又制定了IEEE802.1X標(biāo)準(zhǔn)，一個將EAP報文封裝在802.1X報文里（而不是PPP報文中）的標(biāo)準(zhǔn)。802.1X標(biāo)準(zhǔn)時無線局域網(wǎng)中廣泛使用的一個標(biāo)準(zhǔn)，專門用于認(rèn)證，使用了三個專業(yè)術(shù)語：1、請求者：希望被認(rèn)證的客戶端軟件;2、認(rèn)證服務(wù)器：時間做認(rèn)證的服務(wù)器（通常是一臺RADIUS服務(wù)器，但不是802.1X必須的）；3、認(rèn)證系統(tǒng)：這兩者中間的設(shè)備（通常是AP），不知曉認(rèn)證的具體內(nèi)容。在802.1X標(biāo)準(zhǔn)中定義的協(xié)議叫做EAPOL（EAPencapsulationoverLANs），類似于PPPOE的作用，即在局域網(wǎng)（例如FDDI、802.3優(yōu)先、TokenRing、802.11無線等Ethernet-likeLANs）中實現(xiàn)點到點的通信環(huán)境，從而能夠承載EAP這種基于點到點的協(xié)議。不同的認(rèn)證方式得到的認(rèn)證信息都可以封裝在EAP協(xié)議里，就像各種不同的海上貨物（認(rèn)證信息）都可以裝在標(biāo)準(zhǔn)的集裝箱里（EAP），集裝箱放在不同和貨輪（有線或無線網(wǎng)絡(luò)）上進行運輸。它使得請求者和認(rèn)證系統(tǒng)之間可以提供通用的協(xié)議來通信，認(rèn)證系統(tǒng)把認(rèn)證的信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器，具體的認(rèn)證有認(rèn)證服務(wù)器來完成。這樣，在認(rèn)證系統(tǒng)上（通常是資源受限的設(shè)備，比如AP）只要實現(xiàn)了802.1X協(xié)議，就可以適用于各種場合。802.1X+EAP則需要組建一個認(rèn)證系統(tǒng)，包括客戶、接入控制點和認(rèn)證服務(wù)器等。用戶使用用戶名+口令的方式，認(rèn)證服務(wù)器可以對用戶進行統(tǒng)一的管理。2IEEE802.11標(biāo)準(zhǔn)的認(rèn)證和保密規(guī)定IEEE802.1標(biāo)準(zhǔn)定義了兩種認(rèn)證方式認(rèn)證除了確定對方身份合法以外，還為進一步建立通信關(guān)系——關(guān)聯(lián)打下基礎(chǔ)。開放系統(tǒng)認(rèn)證這其實是一種不對站點身份進行認(rèn)證方式，站點向?qū)Ψ桨l(fā)出認(rèn)證請求，僅僅是一個請求，不含任何用戶名、口令等信息，就可以獲得認(rèn)證，除非對方采用后一種安全認(rèn)證方式。.丿.丿CHONGQINGCOLLEGEOFELECTRONICENGINEERING實驗七WLAN組網(wǎng)》開放系統(tǒng)認(rèn)證的主要功能是讓站點相互感知對方的存在，以便進一步建立通信關(guān)系——建立關(guān)聯(lián)。共享密鑰認(rèn)證該認(rèn)證方式的目的是確定對方身份是否合法，這個判決是通過雙方是否掌握相同的密鑰來獲得。假如A、B雙方各掌握一個密鑰，認(rèn)證過程如下：A發(fā)起認(rèn)證請求；B向A發(fā)送一個質(zhì)詢文本；A用自己的密鑰將質(zhì)詢文本加密后發(fā)回給B；B用自己的密鑰將A的加密文本解密，對比先前的原文，就可以確定A是否有和自己相同的密鑰了；B將驗證的結(jié)果告訴A。(在實際應(yīng)用中，AP往往作為B站，由用戶站主動發(fā)起認(rèn)證)A B這個認(rèn)證過程僅僅是目前流行的認(rèn)證技術(shù)的一個基本過程，它還有很多地方需要加以完善。比如，A、B站密鑰的分發(fā)機制如何，標(biāo)準(zhǔn)并未涉及，如果全網(wǎng)總是用一個固定的密鑰，也就無密可言了。此外這個簡單的機制在防范被動譯碼攻擊、主動譯碼攻擊和字典建立式攻擊等還是有弱點。在實際應(yīng)用中以上過程中的加密使用WEP方式3．WEP原理WEP使用通信器之間共享的密鑰。一些版本使用最初用于制定標(biāo)準(zhǔn)的40位密鑰，而其它教新的版本使用128位(實際上是104位)密鑰。實際加密/解密過程看起來與下面相似：對數(shù)據(jù)幀求校驗和(使用CRC-32算法)以獲得c(M),其中M是消息。合并M和c(M)以獲得明文P=(M，c(M))。使用RC4算法加密P。這生成一個密鑰流作為初始化向量(IV)v和密鑰k的函數(shù)；以RC4(v,k)表示它。密文由于將XOR函數(shù)應(yīng)用于明文和密鑰流而產(chǎn)生。然后，密文和IV通過無線電發(fā)送。用圖形表示，該過程類似于：解密只是與加密相反。接收方重新生成密鑰流，并將它與密文進行XOR來恢復(fù)初始明文。接著，該消息（P'）被分成兩個部分：M'和c'。然后，計算c（M'），并將它與接收到的校驗和c'進行比較。如果不匹配，那么消息主體在傳輸期間已經(jīng)以某一發(fā)送更改過。解密通過使用帶消息包傳輸?shù)腎V和共享密鑰來生成用于加密的等同密鑰流。最后，將結(jié)果與密文進行XOR運算，以顯示消息。4、WPA原理WPA（Wi-FiProtectedAccess）是最新的國際安全標(biāo)準(zhǔn)，也是802.11i標(biāo)準(zhǔn)的附屬標(biāo)準(zhǔn)，目的是替代現(xiàn)行的WEP（WiredEquivalentPrivacy）協(xié)議，使得包括802.11b、802.11a、802.11g在內(nèi)的無線裝置的安全性得到保證。WPA包括認(rèn)證、加密和數(shù)據(jù)完整性校驗三個部分。WPA的認(rèn)證分為兩種：1） WPA—PS