要理解當今最常用的無線LAN (WLAN),可想想使用集線器的10BaseT 以太網,只是無線設備連接的是接人點( AP, Access Point)。這意味著WLAN 採用的是半雙工通信:帶寬由所有用戶共享,且每個頻道不支持多臺設備同時信。
這並不算糟糕,只是不夠好。鑑於當前大多數人都依賴於無線網絡,這種網絡必須風馳電掣地發展,才能滿足快速增長的需求。好消息是情況確實如此,且同時確保了通信的安全。
無線技術簡介
元線網絡形式多樣,覆蓋範圍各不相同,提供的帶寬也不同。當前,典型的無線網絡是對以太網 LAN 的擴展,無線主機使用 MAC 地址、 地址等,就像有線 LAN 中的主機一樣。圖 顯示了當 今簡單的典型無線 LAN
無線 LAN 是現有 LAN 的擴展
然而,無線網絡不僅僅是普通 LAN. 因為它們是無線的。無線網絡的覆蓋範圍各不相同,從小範圍的個域網( personal area network )到覆蓋範圍極大的廣域網 WAN
基本的無線設備
你現在可能還感覺不到這一點,事實上,簡單的無線網絡 (WLAN) 比有線局域網更簡單,因為 它們需要的組件更少。要讓基本的無線網絡正常運行,只需兩臺主要設備 元線接入點和無線網卡 (N1C)。這也使安裝無線網絡容易得多,因為只需理解這兩種組件就能安裝。顯然,無線網絡越來越先進,也越來越複雜。
無線接入點
在大多數有線網絡中,都有諸如交換機等中央組件,它將主機連接起來,讓它們能夠彼此通信 無線網絡亦如此,它們也包含將所有無線設備連接起來的組件,只是這種組件被稱為無線接入點(AP)。無線接入點至少有一根天線,但為更好地接收信號,通常有兩根天線;它還有一個以太網端口, 用於連接到有線網絡。
接入點具有如下特點:
- 它類似於有線網絡中的交換機和集線器,充當無線工作站的中央連接點。鑑於無線網絡的半雙工特徵, AP 更像集線器,雖然在當今的有線網絡中,已難覓集線器的身影。
- AP 至少有一根天線,但通常有兩根甚至更多
- AP 是到有線網絡的橋樑,讓無線工作站能夠訪問有線網絡和因特網
- 小型辦公室/家庭辦公室 (SOHO) AP 有兩類:獨立 AP 和無線路由器,它們可能(通常也確 實)提供 NAT DHCP 等功能
可將 AP 比作集線器(雖然這種類比不完全正確),因為它不像交換機那樣,讓每條連接都是一個 獨立的衝突域,但 AP 確實比集線器聰明。 AP 是一種轉發設備,將網絡數據流轉發到有線主幹或無線 區域,到有線網絡的連接稱為分發系統 (Distribution System, DS), AP 還保存無線幀中的 MAC 地址 信息。
無線安全
默認情況下,接入點和客戶端沒有配置無線安全。制定 802.11 的委員會根本沒有想到,元線主機 的數量有一天會超過有線主機,而我們正在向這一天邁進。另外,遺憾的是,與IPv4 一樣,工程師和科學家沒有制定適用於公司環境的足夠健壯的安全標準。因此,為創建安全的無線網絡,只能求助於專用的解決方案。我並非要指責標準委員會,只是我們遇到的安全問題也是由美國的安全標準出口問 題導致的。這個世界很複雜,安全解決方案亦如此。
1. 不限制接入
所有 Wi-Fi 認證的無線 LAN 產品都支持"不眼制接人"模式,在這種模式下,所有安全功能都關 閉了。雖然對於熱點公共場所(如咖啡館、大學校園和機場)來說,"不限制接入" (無安全措施)是 合適和受歡迎的,但根本不適合企業組織,甚至不適合私有家庭網絡。
在企業環境中安裝無線設備時,必須啟用安全功能。
這些產品之所以支持"不限制接人"模式,旨在讓任何人(甚至沒有任何 IT 知識的人)只需購 買接人,點並插入有線電視或 ADSL 調制解調器,就能無線上網。這是一種市場營銷策略,旨在簡化設備 安裝。但這並不意味著應保留默認設置,除非網絡對公眾開放,否則絕對不應這樣做。
2.SSID、 WEP和MAC 地址驗證
最初設計 802.11 的人確實提供了基本安全,這包括使用服務集標識符 (SSID )、開放或共享密鑰 驗證、靜態有線等效保密 (Wired Equivalency Privacy , WEP) 以及可選的介質訪問控制 (MAC) 址驗證。昕起來安全措施好像很多,但都不能提供真正嚴格的安全解決方案,而都只適用於普通的家 庭網絡。
SSID 是創建無線 LAN WLAN 系統中所有設備都必須知道的網絡名稱,如果不知道 SSID客戶端就不能訪問網絡。問題是,默認情況下,接入點將通過信標 (beacon) 每秒廣播其 SSID 多次。即使關閉 SSID 廣播,壞人也可通過監控網絡並等待客戶端對接入點的響應來獲悉 SSID 為什麼呢?因為根據 802.11 規範,這種信息必須以明文的方式發送。
閱讀更多 IT信息技術隨筆 的文章
