Embed Size (px)
DESCRIPTION
第 12 章. Cisco 的無線技術. 本章重點. 12 - 1 無線技術簡介 12 - 2 Cisco 的整合式無線方案 12 - 3 設定我們的無線互連網路 12 - 4 摘要. Cisco 的無線技術. 如果您希望瞭解今日最常用的基本 WLAN 或 WLAN, 只要想想使用集線器的 10BaseT 乙太網路。 這表示 WLAN 通常是執行半雙工通訊 - 所有人共享相同頻寬 , 而一次只有一個使用者能夠進行通訊。這未必就有什麼不好 - 它只是沒有太好而已。 - PowerPoint PPT Presentation
Citation preview
著作權所有 © 旗標出版股份有限公司
本著作僅授權老師於課堂使用 , 切勿置放在網路上播放或供人下載 , 除此之外 , 未經授權不得將全部或局部內容以任何形式重製、轉載、變更、散佈或以其他任何形式、基於任何目的加以利用。
Cisco 的無線技術第 12 章
2
本章重點 12 - 1 無線技術簡介 12 - 2 Cisco 的整合式無線方案 12 - 3 設定我們的無線互連網路 12 - 4 摘要
3
Cisco 的無線技術 如果您希望瞭解今日最常用的基本 WLAN 或
WLAN, 只要想想使用集線器的 10BaseT 乙太網路。 這表示 WLAN 通常是執行半雙工通訊 - 所有人共享相同頻寬 , 而一次只有一個使用者能夠進行通訊。這未必就有什麼不好 - 它只是沒有太好而已。 因為現在大多數人都需要依賴無線網路 , 所以它們必須以閃電般的速度演進 , 才能趕上我們的需求。
4
Cisco 的無線技術 好消息是這真的發生了 - Cisco 已經有所回應 , 並且提出了所謂的 Cisco 整合式無線方案
(Cisco Unified Wireless Solution), 可以在所有類型的無線連線上運作;而且運作得很安全。 本章的目的不是要介紹一般性的無線技術 , 而是要讓您熟悉 Cisco 的無線技術 - 您可以想像 ,
儘管相當細微 , 但仍然必定會有些差異。 本章涵蓋基本的 WLAN 技術和標準 , 但主要的目標是要讓您能從 Cisco 的角度瞭解無線 , 並且確實地掌握 Cisco 所提供的解決方案。
5
Cisco 的無線技術 Cisco 的整合式無線方案中包含了行動性 (mo
bility) 和網格 (mesh), 所以這也是本章的重點。 此外 , 我們還要對無線安全性的所有重要議題進行簡短的討論。 由於蜂巢式無線網路 (wireless cellular networ
k) 和其他最後一哩的高速無線技術逐漸出現 , 所以本章的內容也可以直接當做第 14 章「廣域網路」的延伸。
6
Cisco 的無線技術 但是因為希望您清楚瞭解無線是非常重要的廣域網路替代方案 , 所以本書將它變成獨立的一章。 順便一提 , Cisco 的整合式無線方案中的確包含了無線的都會區域網路 (Wireless Metropolit
an Area Network, WMAN) 。
7
12 - 1 無線技術簡介 使用典型的 802.11 規格來傳送信號很像是在使用基本的乙太網路集線器:兩者都是雙向的通訊 , 而且使用相同的頻率在傳送和接收 , 這種通常都稱為半雙工。 WLAN 是使用射頻 (RF), 從天線產生無線電波發射到空中。 這些電波可能會被被牆壁、水、和金屬表面吸收、折射、或是反射 , 而導致信號強度微弱。
8
無線技術簡介 因為無線網路本身易受環境因素的干擾 , 所以顯然無法提供有線網路的穩定性 , 但這並不表示我們不會使用無線。 我們可以增加傳輸功率 , 並且取得更大的傳送距離 , 但是這樣做可能會造成嚴重的失真 , 所以必須小心為之。 藉由使用較高的頻率 , 可以取得較高的資料速率 , 但卻會縮短傳送距離。 如果我們使用較低的頻率 , 可以傳送較遠的距離 , 但卻又只有較低的資料速率。
9
無線技術簡介 因此 , 您應該瞭解所有種類的 WLAN 都只能建立適合特定情境需求的 LAN 。 此外 , 在大多數國家中 , 802.11 的規格並不需要取得執照 - 使用者能自由安裝和運作 , 而不需要授權或營運費用。 這表示任何製造商都可以建立產品 , 並且在當地的電腦零售店或任何地方販售。 它也代表所有電腦都可以透過無線進行通訊 , 而不需要太多的組態設定。
10
無線技術簡介 各種機構投入了很多的時間來協助管理無線裝置、頻率、標準、和頻譜的使用。 表 12.1 是在協助建立、維護、甚至強制實施無線標準的機構。
11
無線技術簡介 因為 WLAN 是透過無線頻率傳送 , 所以受到跟 AM / FM 無線電一樣類型的法律規範。 在美國它是由美國聯邦通訊委員會 (FCC) 來規範 WLAN 裝置的使用 , 而電子電機工程師學會 (IEEE) 則根據 FCC 開放給公眾使用的頻率來建立標準。 FCC 開放了 3 段不需要執照的頻帶給公眾使用: 900MHz 、 2.4GHz 、和 5.7GHz 。 900MHz 和 2.4GHz 頻帶被稱為工業、科學、和醫療 (ISM) 頻帶。
12
無線技術簡介 而 5-GHZ 頻帶則稱為免執照國家資訊基礎建設 (UNII) 頻帶。 圖 12.1 是這些免執照頻段在 RF 頻譜中的位置。
13
無線技術簡介 因此 , 如果您選擇佈建屬於這 3 段公眾頻帶之外的無線網路 , 就必須向 FCC 取得特殊的執照。 在 FCC 開放這 3 段頻帶後 , 許多製造商就開始提供各種產品湧入市場。目前 , 使用最廣泛的無線網路是 802.11b / g 。 Wi-Fi 聯盟提供各廠商進行 802.11 產品的互通性認證。 這項認證讓採購多種產品的使用者有某種程度的心安。
14
無線技術簡介 不過根據個人經驗 , 如果您向同一家製造商購買所有的存取點 (access point), 使用起來會容易許多。 在目前美國的 WLAN 市場中 , IEEE 建立並維護幾種已經被接受的作業標準和草案。 下面檢視這些標準 , 並且討論其中最常使用的標準如何運作。
15
802.11 標準 根據您在第 1 章「互連網路」所學 , 無線網路有它自己的 802 標準團體。 乙太網路的委員會是 802.3, 無線網路則是從
802.11 開始 , 還有其他幾個逐漸出現的標準團體 , 例如 802.16 和 802.20 。 無疑地 , 蜂巢式網路將會成為無線未來的重量級玩家。但是目前我們將專注在 802.11 的委員會和子委員會。 IEEE 802.11 是最初第一個使用 1 和 2Mbp
s 的標準化 WLAN 。
16
802.11 標準 它在 2.4GHz 的無線頻率上運作 , 並且在 19
97 年通過 - 雖然直到 1999 年 802.11b 出現時 , 才開始有大量產品出現。 表 12.2 列出的所有委員會 , 除了獨立的 802.
11F 和 802.11T 文件之外 , 都是原始 802.11 標準的修正。
17
802.11 標準
18
802.11 標準
現在讓我們來討論最常見之 802.11 WLAN 的一些重要特性。
19
2.4GHz (802.11b) 首先是 802.11b 標準。這是建置得最普遍的無線標準 , 並且是在免執照的 2.4GHz 上運作 , 提供最高 11Mbps 的資料速率。 認為 11Mbps 資料速率對多數應用而言已經相當好用的廠商和客戶 , 都廣為採用 802.11b 標準。 但目前 802.11b 有一個好兄弟 (802.11g), 所以沒有人再買 802.11b 的網卡或存取點 - 當您可以用相同價格買到 10 / 100 乙太網卡的時候 , 為什麼還要再買 10Mbps 的乙太網卡呢?
20
2.4GHz (802.11b) 有趣的是 , 所有 Cisco 802.11 WLAN 產品都有在移動中轉換資料速率的能力。 所以在 11Mbps 運作的人可以轉換到 5.5Mb
ps 、 2Mbps 、甚至於跟 1Mbps 的存取點進行通訊。 此外 , 發生這種速率轉換時並不會失去連線 , 而且也不需要與使用者互動。 速率轉換是以每次的傳輸為基礎;這代表存取點可以根據每個客戶端的位置 , 以不同的速率支援多個客戶端。
21
2.4GHz (802.11b) 802.11b 的問題在於要如何處理資料鏈結層。 為了解決 RF 頻譜的問題 , 而產生了一種乙太網路的碰撞偵測方式 , 稱為 CSMA / CA (Carri
er Sense Multiple Access with Collision Avoidance) 。
請檢視圖 12.2 。 在 CSMA / CA 主機跟存取點的通訊中 , 每傳送一個封包 , 就必須收到 RTS / CTS 和確認 , 因此 , 它也稱為 RTS / CTS (Request To Sen
d, Clear To Send) 。
22
2.4GHz (802.11b) 由於這個流程相當麻煩 , 實在很難想像它真的可以運作!
23
2.4GHz (802.11g) 802.11g 標準是在 2003 年 7 月通過 , 並且具有與 802.11b 的向後相容性。 802.11g 跟 802.11a 同樣具有 54Mbps 的最大資料速率 , 但是它是在 2.4GHz 範圍中運作 - 跟 802.11b 相同。 因為 802.11b/g 同樣是在免執照的 2.4GHz 頻帶運作 , 所以對已經具有 802.11b 無線基礎建設的組織而言 , 升級到 802.11g 是可以負擔的選擇。
24
2.4GHz (802.11g) 802.11b 的產品無法經由「軟體升級」到 802.
11g 。 這是因為 802.11g 無線設備是使用不同的晶片組來提供更高的資料速率。 但就像乙太網路與高速乙太網路一樣 , 802.11g 的產品可以跟 802.11b 的產品在同一個網路中混合使用。 但是與乙太網路完全不同的是 , 如果您有 4 個使用者執行 802.11g 網卡 , 一個使用者使用 802.11b 網卡。
25
2.4GHz (802.11g) 則每個連到相同存取點的人都被迫要執行 802.
11b 的 CSMA / CA 方法 - 造成產出效能變低。 所以 , 要最佳化效能 , 則最好能關閉所有存取點的 802.11b-only 模式。 更詳細來說 , 802.11b 所使用的調變技術為 D
SSS (Direct Sequence Spread Spectrum) 。 本身就不如 802.11g 和 802.11a 所使用的
OFDM (Orthogonal Frequency Division Multiplexing) 調變那麼穩健。
26
2.4GHz (802.11g) 使用 OFDM 的 802.11g 客戶端可以比使用相同範圍的 802.11b 客戶端有更好的效能。 但是當 802.11g 的客戶端以 802.11b 的速率 (11 、 5.5 、 2 和 1Mbps) 運作時 , 它們其實是使用跟 802.11b 相同的調變方式。 圖 12.3 是 FCC 在 2.4GHz 範圍所開放的
14 個不同通道 (每個的寬度為 22MHz) 。
27
2.4GHz (802.11g) 在美國 , 只有 11 個通道是可以設定的 , 且通道 1 、 6 、和 11 間沒有重疊 - 這讓您可以在相同區域設置 3 個存取點而不會發生干擾。
28
5GHz (802.11a) IEEE 於 1999 年通過 802.11a 標準 , 但是第一個 802.11a 產品卻直到 2001 年下半年才出現 - 而且貴的驚人。 802.11a 標準使用 12 個頻率不重疊的通道 , 提供 54Mbps 的最高資料速率。 圖 12.4 是 UNII 的頻帶。
29
5GHz (802.11a)
802.11a 在 5GHz 的無線頻帶運作 , 所以也不會受到在 2.4GHz 頻帶運作的裝置干擾 , 例如微波爐、無線電話和藍芽裝置等。
30
5GHz (802.11a) 802.11a 沒有與 802.11b 的向後相容性 , 因為它們的頻率不同 , 所以無法只是將部分的網路「升級」 , 然後期望所有東西可以和諧共處。 不過不用擔心 , 有很多雙頻裝置可以同時在這兩種網路中運作。 802.11a 的一項好處是它可以在相同的實體環境中運作 , 而不會受到 802.11b 使用者的干擾。
31
5GHz (802.11a) 802.11a 產品跟 802.11b 無線設備類似 , 都具有在移動中轉換資料速率的能力。 802.11a 產品可以讓那些在 54Mbps 速率下運作的人轉換到 48Mbps 、 36 Mbps 、 24 M
bps 、 18 Mbps 、 12 Mbps 、 9 Mbps, 甚至於 6 Mbps 的 AP 進行通訊。 802.11a 規格還有個延伸版本稱為 802.11h 。
32
5GHz (802.11h) FCC 在 2004 年 2 月增加了 11 個新的通道。根據製造商的新聞稿 , 在 2008 年將會有使用這些通道之 802.11a 的 5GHz 產品。 這表示很快我們就可以存取最多 23 個不重疊的通道! 802.11h 規格的 5GHz 無線設備有 2 個新功能:傳輸功率控制 (Transmit Power Control,
TPC) 和動態頻率選擇 (Dynamic Frequency Selection, DFS) 。
33
5GHz (802.11h) DFS 這項很棒的功能可以在傳輸前持續監督裝置運作範圍中的所有雷達信號 , 包含部份的 5
GHz 頻帶和 802.11a 。 如果 DFS 發現任何雷達信號 , 它會放棄目前佔用的通道 , 或是將它標示為不可使用 , 以避免在 WLAN 中發生干擾。 TPC 雖然行動電話產業早就在使用這項技術 , 但它有一些很方便的新用途。 您可以將客戶端機器的界面卡和存取點的傳輸功率設定為涵蓋不同的範圍 - 這樣做的理由很多。
34
5GHz (802.11h) 其中之一是將存取點的傳輸功率設為 5mW 以縮小細胞範圍 - 當您在一小塊區域中有高密度的使用時 , 這種做法會有很好的效果。
其他的好處還包括 TPC 能促成客戶端和存取點的通訊。 這意謂著客戶端機器可以動態微調它的功率 , 使它可以使用剛好的能量來維持與存取點的連線 , 保存其電池的電力 , 並且降低對相鄰 WL
AN 細胞的干擾。
35
802.11 的比較 在討論 Cisco 產品之前 , 讓我們先檢視表 12.
3 ;表中列出了 802.11a 、 b 、和 g 的優缺點。
36
802.11 的比較
圖 12.5 使用室內開放辦公環境的因素來劃分每種 802.11 標準的範圍 , 並比較其範圍。 我們使用預設的功率設定。 您可以看到 , 若要獲得 802.11a 和 802.11g 完整的 54Mbps 效益 , 距離必須介於 50 到
100 英呎 ( 最遠 ) 之間。
37
802.11 的比較 如果客戶端跟存取點之間存在任何障礙的話 , 甚至可能需要更近的距離。 這些都還不錯 , 不過下面還有一項 IEEE 802.
11 標準 , 能夠在更遠的距離取得甚至更高的速度。
38
802.11 的比較
39
2.4GHz / 5GHz (802.11n) 802.11n 是在 802.11 標準之上再新增 MIM
O (Multiple-Input Multiple-Output), 使用多個發射和接收天線以增加資料的產出。 802.11n 最多可以有 8 座天線 , 但是今日大多數的存取點都是使用 4 座。 它們有時被稱為是聰明型天線 (smart antenna
s), 如果您真的有 4 座的話 , 則 2 座天線會同時用來傳輸 , 另 2 座則同時用來接收。
40
2.4GHz / 5GHz (802.11n) 這種設定可以得到比 802.11a/b/g 高得多的資料速率。 事實上 , 行銷人員宣稱它可以提供大約 250M
bps 的速率 , 但是筆者個人是不太相信啦! 筆者不相信我們真正的產出可以到這個程度 , 而且即使真的如此 , 如果您只有使用 1 或 2
Mbps 的纜線或 DSL 連線連到網際網路 , 這也沒有什麼用。
41
2.4GHz / 5GHz (802.11n) 要記住 802.11n 標準尚未被正式認可 , 並且預估在 2008 年前也不太可能 - 甚至可能更晚。 這表示目前的產品都是專屬性的「前 N 」產品。 現在 , 讓我們來看看 Cisco 對成長中無線市場提出的解決方案。
42
12 - 2 Cisco 的整合式無線方案 在支援 802.11a/b/g 和不久之後的 n 產品中 ,
Cisco 的確提供了相當完整和令人印象深刻的室內外 WLAN 解決方案。 這些產品包括存取點、無線控制器、 WLAN 客戶端界面卡、安全和管理伺服器、無線管理裝置、無線整合交換器和路由器 - 甚至於天線和其他配件。 從大約 2000 年起 , 許多企業開始依賴基本的存取點做為主要的無線網路 , 並且將它們連上基礎建設 , 讓使用者可以在網路內漫遊。
43
Cisco 的整合式無線方案 圖 12.6 是典型的基礎建設網路;它可能有一個存取點 , 或是一組提供多個存取點的延伸服務集 - 全部使用相同的服務集識別碼 (Servi
ce Set Identifier, SSID) 來提供漫遊。
44
Cisco 的整合式無線方案
在圖中可以看到不論在哪種組態中 , 每台 AP 的組態都被設定為根 AP 。
45
Cisco 的整合式無線方案 如果您回頭看第 4 章中兩台無線路由器 (R2 和 871W) 與 1242AP 的組態設定 , 這三者也都是設定為根裝置。 基本上 , 這代表每台路由器其實是在說:「嗨!各位無線客戶端 , 連上我並且取得您要的東西
( 有線資源 ) 吧!」 如果 AP 不是根 AP, 則它們只能扮演連向根裝置的中繼器。 不是根裝置的設備有客戶端、橋接器、中繼器存取點、和工作群組橋接器。
46
Cisco 的整合式無線方案 這好像是在資訊科技的白堊紀一樣。但現在可不是了 , 終於 , Cisco 的整合式無線方案提供了完整的 WLAN 整合解決方案。 這項精心設計的新技術中包含了智慧型 Cisco
AP 和針對支援 AP 所設計的 Cisco WLAN 控制器。 這個方案的管理可以透過控制器的網站界面、控制器本身、或是 Cisco 的無線控制系統
(Wireless Control System, WCS) 。
47
Cisco 的整合式無線方案 但是這種網路真正最棒的地方是在最初的安裝之後 , 就不再需要任何組態設定。 這表示您可以將 AP 連到室外或室內環境 , 然後它就可以根據控制器的資訊自動設定自己的組態。 它甚至可以檢查通道的重疊和干擾 , 並且幫自己指定一個不重疊的通道 - 很酷吧! 就像之前提到的 , 如果它剛好偵測到區域內有重疊的通道 , 它會降低自己的傳輸等級以限制干擾。
48
Cisco 的整合式無線方案 Cisco 將這個稱為「自動 RF 控制」。 當然 , 不全都是好消息 - 這套產品線可不是為窮人設計的;它可能會花掉您大把的銀子。您需要的當然不只是 AP 。 您在室內方案的最低購物清單應該包括 Cisco
1020 AP 和控制器 , 而室外方案則至少要有 Cisco 1520 AP 和控制器。
而且這些只是最低需求。
49
Cisco 的整合式無線方案 事實上可能需要更多東西 - 我們在課堂上使用
1020 和 1520 AP, 並且在寫書時另外搭配了兩種控制器 - 讓它能夠動起來的最低數量裝置。 AP 的價格相當合理 , 而且就跟 Cisco 一般的做法一樣 , 它們的成本是隨著產品的型號調整。 真正讓您的銀兩消失的是控制器 - 它們要價數千美金!希望在您閱讀本書的時後 , 價格已經略為下降… 但是為了娛樂起見 , 假裝您已經有個還不錯的網路 , 而且還有無線的預算可以花在上面。
50
Cisco 的整合式無線方案 首先 , 至少先買兩台控制器 (比較好的一台可能要價大約 2 萬美金 ) 。 為甚麼要兩台呢?因為每台 AP 的每個封包都必須送到控制器 , 以便進入有線網路或是送回無線網路。 控制器會根據封裝在裡面的輕量級存取點協定
(Lightweight Access Point Protocol, LWAPP) 資訊 , 來決定封包的目的地 (稍後就會討論 LWAPP) 。
51
Cisco 的整合式無線方案 無論如何 , 您需要至少兩台的理由是為了萬一有一台掛掉。 您對建立只有單一故障點的設計感到不安 , 所以合情合理地買了兩台 , 並且建立這類網路所需要的冗餘性。 好了 , 現在您可以處理單點故障的情況了 , 但還是必須要能夠管理您的控制器。 Cisco 提供 GUI 的無線控制系統 (WCS), 可以從單一界面來管理整個 WLAN 。
52
Cisco 的整合式無線方案 還可以提供一些關於網路涵蓋範圍、網路統計趨勢、和裝置位置的詳細資訊 (別忘了 , 目前我們還不考慮錢的問題 ) 。 其實 , 您並不需要 WCS, 因為 Cisco 的 W
LAN 控制器就可以分析由 AP 收集來的資料;您可以透過個別控制器或是 WCS 中的各種工具來管理。 啊!順便提一下 , 為了讓事情稍微困難一點 , 控制器只有 gigabit 的界面。
53
Cisco 的整合式無線方案 這表示您的交換器必須要有 10 / 100 通訊埠供 AP 連線 , 還要有 gigabit 通訊埠來連結控制器。 至少必須是有這兩種通訊埠的 3560 ( 或更好的 ) 交換器 , 才能提供跨 VLAN 的遶送。
54
MAC 的劃分架構 這個名稱聽起來很奇怪 , 不過它可是個很酷的功能喔。 我們基本上將 802.11 協定的處理劃分給兩個裝置 - AP 和集中式的 Cisco WLAN 控制器。 圖 12.7 是這個處理如何劃分給每個位置的方式。
55
MAC 的劃分架構
56
MAC 的劃分架構 雖然 1520 AP 和 1020 AP 看起來好像是直接連到圖 12.7 的控制器 , 但它們其實沒辦法如此 - 首先 , 因為它們必須連到交換器以提供 10 / 100 對 gigabit 的轉換。 其次 , 因為控制器只會轉送來自啟用 LWAPP 之通訊埠的 LWAPP 封包。 這表示如果您希望將 LWAPP 封包當做 IP 資料轉送給非 LWAPP 網路 , 則需要一台路由器。 高階的交換器可以處理這個遶送。
57
MAC 的劃分架構 AP 會處理協定中有即時需求的部份:
當訊框在空中傳送時 , 客戶端與 AP 間進行訊框交換斡旋 (handshake) 。傳輸信標 (beacon) 訊框。 在省電模式的運作中 , 為客戶端提供緩衝並傳送訊框。 回應客戶端的探測請求訊框。 將收到之探測請求的通知轉送給控制器。 提供每個所收訊框的即時信號品質資訊給控制器。
58
MAC 的劃分架構監督每個無線通道的雜訊、干擾、和其他 WLA
N 。監督其他 AP 的出現。 除了 VPN / IPSec 客戶端之外的加解密。
所有剩餘的功能都是由 Cisco WLAN 控制器來處理 , 所以時間的敏感度並不是主要考量 , 但是需要控制器的整體可見度。 下面是 WLAN 控制器中所提供的一些 MAC 層功能:
802.11 的驗證。
59
MAC 的劃分架構 802.11 的連結 (association) 和重新連結 (reas
sociation) 。 802.11 的訊框轉換和橋接。
如果 Cisco 的無線控制器在裝置模式 (Appliance Mode) 下故障 , 被它拋棄的 Cisco AP 會在網路中進行輪詢 , 以尋找另一個 Cisco 無線控制器。
當線上的 Cisco 無線控制器還有剩餘的 AP 埠時 , 管理界面會聆聽網路上 Cisco AP 的輪詢訊息 , 以儘可能自動發現、並且與最多的 Cisco AP 連結和進行通訊。
60
網格和 LWAPP 隨著廠商逐漸移向網格 (mesh) 階層式設計 , 以及使用輕量級存取點來建立較大型網路 , 我們真的很需要標準化的協定來管理輕量級存取點與 WLAN 系統間的通訊。 這正是 IETF (Internet Engineering Task Forc
e) 最新的規格草案 LWAPP (Lightweight Access Point Protocol) 的目的。
利用 LWAPP, 含多廠牌設備的大型無線網路就能夠發揮最大能力 , 並且增加彈性。嗯 ~ 大致上是真的啦。
61
網格和 LWAPP 沒有人真的在同一家公司裡面建置了 Cisco 和 Motorola 網路 , 然後能一派悠閒地坐下來說:「帥呆了!」 他們的確有在大聲的說些甚麼 , 但絕對不是這個! Cisco 就是 Cisco, 而 Motorola 就不是 Cis
co, 即使它們理論上應該是執行相同的 IETF 協定 , 它們看待標準的方式好像就是無法完全一樣。 基本上 , 它們彼此之間玩得並不好。
62
網格和 LWAPP 所以 , 假設我們只使用 Cisco 。 Cisco 的網格網路基礎建設是去集中化 (dece
ntralized), 而且所有它所提供的好東西都不太貴 , 因為每個節點 (node) 只需要傳輸到下個節點的距離。 節點扮演傳輸資料的中繼器 , 為鄰近節點傳送到對於可管理的纜線連結而言太遠的其他節點 , 這使得網路可以橫跨相當遠的距離 , 特別是穿越很不平或崎嶇的地形。
63
網格和 LWAPP 圖 12.8 是一個大型的網格環境 , 使用 Cisco
1520 AP 的無線連結來覆蓋這個區域。
64
網格和 LWAPP 此外 , 網格網路還極端的穩定 - 因為每個節點都可能連到數個其他節點 , 如果其中一個節點因為硬體故障或其他原因而脫離網路 , 它的鄰居只要再找一條路徑就好了。 所以只要加入更多的節點 , 就可以得到額外的容量和容錯能力。 AP 節點間的無線網格連線是透過無線電波 , 提供從單一節點到其他節點的許多可能路徑。 穿越網格網路的路徑可以根據交通負載、無線電波狀況、或交通的優先順序而改變。
65
網格和 LWAPP 透過建置在 Cisco 網格網路解決方案中的任何 Cisco WLAN 控制器 , 就可以設定、監督、和操作 Cisco 的 LWAPP 網格存取點。 而且必須透過控制器才行;所以冗餘的控制器是絕對需要的。 下面定義一些網格網路所使用的術語:
根存取點 (RAP, Root Access Point) 這個存取點連到有線網路 , 並且擔任通往有線網路的「根」或「閘道」。
66
網格和 LWAPP RAP 透過有線的連結連回 Cisco 的 WLAN 控制器。它們使用回程連線 (backhaul) 的無線界面來與鄰接的網格 AP 通訊。 網格存取點 (MAP, Mesh Access Point) 網格
AP 是遠端 AP, 通常位於屋頂或高樓上 , 在 5GHz 的回程連線上最多可以連結 32 個 MAP 。
在開機時 , 如果存取點有連到有線網路 , 它會嘗試成為 RAP 。反之 , 如果 RAP 失去了它的有線網路連結 , 則會嘗試成為 MAP, 並且會去尋找 RAP 。
67
網格和 LWAPP 典型的網格網路會包含如圖 12.9 的裝置。 在圖 12.9 中可以看到有一台 RAP 連到基礎建設 , 而 MAP 則彼此相連 , 並且透過 RAP 連到控制器。
68
AWPP 每個 AP 都會執行調適型無線路徑協定 (Ada
ptive Wireless Path Protocol, AWPP) - 這是 Cisco 從無到有針對無線環境所特別設計的新協定。
這個協定讓 RAP 能夠彼此溝通 , 以找出透過 RAP 回到有線網路的最佳路徑。
一旦建立最佳路徑之後 , AWPP 會繼續在背地執行 , 以便在拓墣改變或是環境造成鏈結強度減弱時 , 能夠建立另外一條回到 RAP 的路徑。
69
AWPP 這個協定會考慮諸如干擾和特定無線設備特徵 , 以便網格能進行自行設定 (self-configuring) 和自行修復 (self-healing) 。 事實上 , AWPP 有能力考慮無線環境中的所有相關元素 , 讓網格網路的運作不會被中斷 , 而且能提供一致的覆蓋。 如果考慮無線環境的動態程度 , 它的能力真的相當強大。
70
AWPP 當存在干擾或是新增 / 移除 AP 的時候 , AW
PP 就會重新設定回根 RAP 的路徑。 此外 , 為了回應高度動盪的無線環境 , AWPP 使用「黏性」 (stickiness) 因子來緩和路徑 , 以確保諸如大卡車經過網格所造成的暫時破壞等事件不會造成網格不必要的變動。
71
無線安全 預設上 , 存取點和客戶端上不存在無線的安全性。 最初的 802.11 委員會並沒有想到 , 有一天無線主機的數目會超過有線媒介的主機 , 不過目前的趨勢卻正朝這方向發展。 此外 , 不幸的是 , 就像 IPv4 協定一樣 , 工程師和科學家並沒有加入足夠堅強的安全性標準以應付企業環境的需求。 因此 , 我們就只剩下專屬性的附加方案來協助建立安全的無線網路。
72
無線安全 筆者並不是說安全性問題都是標準委員會的錯 , 美國政府也要負一部份責任 - 因為安全性標準會面臨出口管制的問題。 這個世界非常複雜 , 因此 , 我們的安全解決方案也只好如此。 我們先討論在原始 802.11 標準中加入的基本安全性 , 以及這些標準為什麼如此脆弱和不完整 , 以致於無法建立足以面對今日挑戰的安全無線網路。
73
開放性存取 所有 Wi-Fi 認證的 WLAN 產品出貨的時候 , 都是使用「開放性存取」模式 , 並且關閉了它們的安全性功能。 雖然像咖啡店、大學校園、甚至於機場等公共場所可能適合使用開放性存取或無安全性 , 但對於企業組織絕對不適合 , 甚至於您私人的家用網路也未必適當。 在企業環境中安裝無線裝置時必須開啟安全性功能。這可能有點嚇人 , 但有些公司事實上完全沒有開啟任何的 WLAN 安全功能。
74
開放性存取 顯然 , 這些公司等於將它們的網路置於極大的危險中! 這些產品會以開放性存取模式出貨 , 是因為可能有完全不懂電腦的人會去買存取點 , 然後將它們接上纜線或 DSL 數據機 , 並且期望它們就能啟動並且運作。 這純粹是為了行銷 , 而且簡單其實比較好賣。
75
SSID 、 WEP 、和 MAC 位址驗證 802.11 的原始設計者所建立的基本安全性包括使用服務集識別碼 (Service Set Identifier, SSI
D) 、開放式或共享式金鑰驗證、靜態的 WEP (Wired Equivalency Protocol) 、和選擇性的 MAC 驗證。
聽起來很多 , 不過沒有哪一種能提供真正的安全性方案 - 所有這些大概都只約略適合使用在一般的家用網路。 不過我們還是得先簡略討論一下。
76
SSID 、 WEP 、和 MAC 位址驗證 SSID 是建置無線區域網路時 , 供 WLAN 系統中的所有裝置使用的共同網路名稱。 SSID 可以防止任何沒有 SSID 的客戶端裝置進行存取。 事情是這樣的:根據預設 , 存取點每秒鐘都會在它的信標 (beacon) 訊框中廣播它的 SSID 許多次。 即使關閉 SSID 的廣播 , 存心不良的傢伙也可以藉由監看網路 , 並且等待客戶端回應存取點 , 而找到 SSID 。
77
SSID 、 WEP 、和 MAC 位址驗證 為什麼呢?因為在原始的 802.11 規格中規定 ,
這項資訊必須以明文方式傳送 - 多安全啊! IEEE 802.11 委員會指定了兩種驗證方式:開放式和共享式金鑰驗證。 開放式驗證僅提供正確的 SSID - 不過這是目前最常用的方法。 在共享式金鑰驗證方面 , 存取點會傳送盤問文字封包 (challenge text packet) 給客戶端裝置 ,
而客戶端必須使用正確的 WEP 金鑰加密之後再傳回給存取點。
78
SSID 、 WEP 、和 MAC 位址驗證 沒有正確的金鑰 , 驗證就會失敗 , 而客戶端就不能連結到存取點。 但是共享式金鑰驗證也不算安全 , 因為入侵者只要取得一對盤問的明文和它使用 WEP 金鑰加密後的結果 , 再解出 WEP 金鑰即可。 因為共享式金鑰使用明文來盤問 , 目前的 WL
AN 並沒有使用這種驗證。
79
SSID 、 WEP 、和 MAC 位址驗證 即使用開放式驗證 , 使得客戶端很容易就能夠完成驗證並且連結到存取點 , 但除非客戶端有正確的 WEP 金鑰 , 否則使用 WEP 還是能防止客戶端跟存取點傳送或接收資料。 WEP 金鑰是由 40 或 128 位元所組成 , 而它的基本形式通常是由網管人員在存取點和所有要與該存取點通訊的客戶端上做靜態的定義。 當使用靜態的 WEP 金鑰時 , 網管人員必須花許多時間在 WLAN 中的每個裝置上輸入相同的金鑰。
80
SSID 、 WEP 、和 MAC 位址驗證 顯然 , 對於今日龐大的企業無線網路而言 , 這種管理方式是不可行的 , 需要修正。 最後 , 客戶端 MAC 位址可以靜態地輸入到每個存取點 , 而過濾表格中沒有的 MAC 位址則會被拒絕存取。 這聽起來不錯 , 但是當然所有的 MAC 層資訊都必須以明文方式傳送。
81
SSID 、 WEP 、和 MAC 位址驗證 任何配備有免費無線網路分析軟體的人都可以讀取客戶端送往存取點的封包 , 並且捏造他們的 MAC 位址。 如果正確管理 , WEP 確實可以運作。 但是如果沒有一些專屬性的修正工具附加其上 , 則基本的靜態 WEP 金鑰對今日的企業網路已經不再是可行的選擇。
82
WPA 或 WPA 2 預先共享式金鑰 雖然 WPA 或 WPA 2 預先共享式金鑰 (PS
K, Pre-Shared Key) 只是在規格上附加的另一種形式之基本安全功能 , 但是比之前提到的所有基本無線安全性方法都好。 別忘了 , 只是基本的喔! PSK 會在客戶端機器和存取點上透過密碼或識別碼 ( 也稱為 passphrase) 來驗證使用者。 只有當客戶端的密碼符合存取點的密碼時 , 客戶端才能取得存取權。
83
WPA 或 WPA 2 預先共享式金鑰 PSK 還提供金鑰材料 (keying material), 供
TKIP 或 AES 為傳送資料的每個封包產生加密金鑰。 雖然比靜態 WEP 安全 , 但 PSK 與靜態 W
EP 還是有許多共同點; PSK 也是儲存在客戶端裝置 , 而且當裝置遺失或被竊時就可能被破解 - 雖然這個金鑰並不是那麼容易找到。 強烈建議您使用堅強的 PSK 識別碼 , 包含字母、數字、和非文數字符號的組合。
84
WPA 或 WPA 2 預先共享式金鑰 WPA (Wi-Fi Protected Access) 是 Wi-Fi 聯盟在 2003 年所發展的標準 , 正式名稱為 W
ECA 。 WPA 提供 WLAN 驗證和加密的標準 , 目的是希望解決直到 2003 年為止出現的安全性問題 , 包括廣為流傳的 AirSnort 和 man-in-th
e-middle 的 WLAN 攻擊。 WPA 是邁向 IEEE 802.11i 標準的一步 , 並且使用許多相同的元件 - 只有加密方式不同。
85
WPA 或 WPA 2 預先共享式金鑰 802.11i 使用 AES 加密 , WPA 的機制則是要由目前的硬體廠商實作 , 這表示使用者只能透過韌體 / 軟體的修改才能在它們的系統上實作
WPA 。
86
Cisco 的整合式無線網路安全 Cisco 整合式無線網路提供許多創新的 Cisco 改良 , 並且支援 WPA 和 WPA2, 透過相互驗證、資料私密性、和堅強的動態加密 , 以提供個別使用者及個別會談的存取控制。 這個方案也整合了服務品質 (QoS) 和行動性 , 以促進更豐富的企業應用。 Cisco 整合式無線網路提供下面功能:
WLAN 的安全連線堅強的動態加密金鑰 , 此金鑰會根據可設定的基礎而自動變化 , 以保護傳送資料的私密性。
87
Cisco 的整合式無線網路安全 WPA-TKIP 包括加密的改良 , 如 MIC 、透過初始向量雜湊的個別封包金鑰、和廣播金鑰循環。 WPA2-AES 是資料加密的「黃金標準」。
WLAN 的信任和識別堅強的 WLAN 存取控制 , 能協助我們確保合法客戶端只會連結到受信任的的存取點 , 而不會連到惡意或未經授權的存取點。
它是使用 IEEE 802.1X 、 EAP (Extensible Authentication Protocol, 可擴張的驗證協定 ) 的一個版本。
88
Cisco 的整合式無線網路安全 RADIUS (Remote Authentication Dial-In User S
ervice, 遠端驗證撥入使用者服務 ) 、和 AAA (Authentication 、 Authorization 、 Accounting, 驗證、授權、記帳 ) 伺服器等。
針對個別使用者和個別會談進行相互驗證。 它支援下列功能:
目前市面上最大範圍的 802.1X 驗證類型、客戶端裝置、和客戶端作業系統。 所有來嘗試驗證的 RADIUS 帳務記錄。
89
Cisco 的整合式無線網路安全 WLAN 的威脅防禦透過入侵預防系統 (Intrusio
n Prevention System, IPS) 、 WLAN NAC 和先進的位置服務 , 來偵測未經授權的存取、網路攻擊、和惡意的存取點。 Cisco 的 IPS 讓資訊主管可以持續掃描 RF 環境 , 偵測惡意存取點和未經授權事件 , 同時追蹤數千台設備 , 並且緩和網路的攻擊。
90
Cisco 的整合式無線網路安全 NAC 的設計是專門為了協助您確保所有嘗試存取網路資源的有線和無線終端裝置 ( 如 PC 、筆記型電腦、伺服器、和 PDA), 都能對安全威脅有適當的防護。 NAC 讓組織能夠分析和控制所有進入網路的裝置。
好啦 - 現在讓我們來設定一些無線裝置吧!
91
12 - 3 設定我們的無線互連網路 如果您要使用任何的安全性功能 , 則透過 SD
M 絕對會是設定無線組態最簡單的方式 - 而且您當然應該要使用安全性功能! 基本上 , 只要打開存取點電源就可以啟動存取點。 但是如果您的路由器上真的有無線網卡 , 就必須使用第 4 章的方法來設定它。 下面是 R2 路由器的螢幕畫面 , 顯示我們現在可以設定安裝在 3 號插槽中的無線網卡。
92
設定我們的無線互連網路
從 SDM 本身可以做的設定真的不多 , 不過如果點選 Edit Interface / Connection 頁籤 , 然後再點選 Summary, 就可以開啟或關閉界面。
93
設定我們的無線互連網路 如果是點選 Edit 按鈕 , 則可以在界面中加入
NAT 、或存取清單等等。
94
設定我們的無線互連網路 從本節第一個畫面中的 Create Connection 畫面 , 或是從您在第二個畫面中點選 Edit 之後出現的螢幕畫面中 , 都可以點選 Launch W
ireless Application 。 它會開啟新的 HTTP 畫面 , 讓您從 Express
Set-up 中設定無線裝置的組態。
95
設定我們的無線互連網路
96
設定我們的無線互連網路 如果您在存取點 (例如 1242AP) 中輸入 HT
TP, 也會看到相同的螢幕畫面。 SDM 可以對無線界面進行監督 , 提供統計值 , 以及在配有無線界面的路由器中 , 取得對無線設定模式的存取。 因此 , 我們就不必使用 CLI 進行艱苦的設定。 同樣地 , 您只能從這裡設定一些基本的資訊。 但是從下個畫面 Wireless Express Security 開始 , 就可以在橋接模式或繞送模式進行無線
AP 的設定 - 真的很棒的功能!
97
設定我們的無線互連網路
98
設定我們的無線互連網路 下個畫面顯示出無線界面和基本的設定:
99
設定我們的無線互連網路 下面的畫面是 Wireless Interface 螢幕的第二部分。
100
設定我們的無線互連網路 在 Wireless Security 標題之下才是 HTTP 管理發光發熱之處!您可以設定加密、加入 S
SID 、並且設定 RADIUS 伺服器的組態。
101
設定我們的無線互連網路 現在 , 如果在 1242AG AP 中輸入 HTTP, 會看到下面的畫面。
這看起來很像我們會在 ISR 路由器中發現的 AP, 而且我們還可以設定這些裝置的組態和安全性。
102
12 - 4 摘要 對我們這些已經深深依賴無線技術的人而言 , 真的很難想像一個沒有無線網路的世界 - 在沒有手機之前 , 我們到底是怎麼過日子啊? 本章先探討無線網路運作的基礎原理。 在此基礎之上 , 我們接著介紹了無線 RF 的基本原理和 IEEE 標準。 我們討論了 802.11 的開端和演進 , 一直到目前和不久之後的標準 , 並且討論了建立它們的子委員會。
103
摘要 這些討論帶領我們進入無線安全的討論 - 或者應該說 , 大多數是無線「不安全」。 這很合理地帶領我們進入 Cisco 對這項困境的專屬性方案: Cisco 整合式無線方案。 本章最後使用 SDM 來設定無線網路和它的相關裝置。
