2014年11月17日 星期一

CCNP-BCMSN Module 06 Wireless LANs

Wireless LAN的特性
1.技術與傳輸距離表
2.Wireless LAN的範圍

*MAN的技術大都用在地大人希的地方
*WAN的技術大都用戶行動上網、mobile。
3.Wireless LAN透過AP地設備,技術採用Shared的方式
4.類似BUS的架構,資料傳輸在同一個頻帶上,所以傳輸採用半雙工。
5. LAN & WLAN的比較

LANWLAN
Media Access ControlCSMA/CD(偵測)CSMA/CA(避免)
利用802.11 RTS/CTS去偵測
標準802.x 家族802.11 家族
傳輸媒介雙絞線空氣
傳輸功率FullHalf
MAC Address相同相同
穩定度較穩定不穩定,易受干擾
Multipath
雜訊
使用頻帶2.4G
安全性較佳較差
傳輸速度
6.無線網路是有限網路的延伸。
 SSID(Service Set Identifier)
1.SSID的特性
*SSID就是Wireless LAN的代號,也可區別WLAN範圍
*一樣的SSID可以互相溝通
*Beacon會以廣播的方式送出SSID

WLAN 拓普圖
種類定義
1.AD-Hoc
1.Peer-to-Peer的架構
2.一次只能針對一台Client
3.雙邊設定同樣的頻率即可
2.Wireless Client Accesss
1.BBS:Basic Service Set
2.電腦互相傳輸續要透過AP才可互通
3.Wireless Bridge
1.2個LAN中間透過無線的方式串接
2用在2個LAN中間無法以實體線路接取的環境
4.Wireless Mesh Network
1.提供Bridge及Access的接取
2.建立一個Mesh的無線網路
3.提供有線及無線的環境

WLAN Topology架構
種類定義
1.WLAN Access
WLAN Access Topology
Access Topology的特性
*AP與AP間需要15%以上的Overlapping
*AP的SSID需要相同,但Channel不可以相同,通常都用Channel 1/ 6 / 11
*可以達到Roaming的功能。
*Roaming前AP與AP間需要先溝通,才不會斷線。
*Data 的Overlapping大約15%以上,Voice要求20%以上。
*建議由Micro-Cell升級到Pico-Cell
*Pico-Cell可以調整RF的大小,容錯率較好,AP會變多,硬體花費較高。
2.Wireless Repeater
Wireless Repeater Topology
Repeater Topology的特性
*相同SSID 相同Channel
*AP間要求50%以上的Overlapping
*架構為無線網路的延伸
*建議使用相同的設備
*不同設備的相容性較不好
3.Workgroup Brideg
Workgroup Bridge Topology
Workgroup Bridge Topology特性
*WGB(Workgroup Bridge)
*把2個LAN串接起來
*串接的方法:
    -WGB接WGB
    -WGB接AP(Standalone AP)
*建議都使用相同廠牌的設備
4.Ad-Hoc
Altennative Peer-to-Peer Topology(Ad-Hoc)(IBSS)
AD-Hoc的特性
*不需要中繼設備,可以直接互通

Service Set and Mode
Ad-Hoc Mode
IBSS(Independent Basic Service Set)
 
Inftastructure Mode1.BSS(Basic Service Set)

*由單一AP建構Service Set,Client之間要透過AP才能溝通
2.ESS(Extended Service Set)
 

*由多個AP建構Service Set,不同Service Set之間的Client必須透過DS(Distribution System)來溝通

 Roaming
1.Roaming的特性
*分為L2及L3的Roaming
*要達到無縫隙的Roaming,L2 & L3 都不可以斷線
2.Roaming的種類:

L2 Roaming*同一個網段,不同AP 、Cell之間
*AP的SSID都要相同
*使用IAPP(Inter Access Point Protocol)協定
*由AP去控制L2 Roaming
*大部分採用此技術
L3 Roaming*不同Subnet之間,全部Cell Roaming
*使用Mobile IP 協定
*用在電信業者較多
3.Roaming的產生

(1)Re-Association:太多的資料Re-try的狀況下。
(2)AP有問題時
(3)Data Rate降低
(4)Client重新掃描

WLAN VLAN Support
Wireless Mesh Networking

*大型WLAN使用的架構
*類似WiFy的環境
1.Mesh Networking的架構


RAP
(Rooftop AP)
接有線環境的AP
MAP
(Mesh AP)
全無線環境的AP
AWP
(Adaptive wireless Path)
MAP建立到RAP最佳路徑及備援路徑的協定
*使用"Parent sticky"的技術去維護路徑

AP運作的模式
種類定義
1.Stanfalon AP
(Promisscuous AP)
*可以獨立運作的AP
*設定檔及RF的控制都在AP上
*BSS的環境大都是此類
*家中的AP就是此架構,不建議使用在大型環境
2.Light Weight AP*設定檔及RF的控制都集中在WLC上
*AP僅扮演L2 Wire訊號的延伸
*AP會自動到WLC去Download Config file
*在大型的WLAN環境使用
*管理較方便

802.11a / b/ g整理
802.11a802.11b802.11g
起於時間199919992003
運作RF5GHz2.4GHz2.4GHz
Channel數12~23個
美國:23個
歐洲:19個
13個
建議使用1、6、11(不會互相干擾)
每一個channel為22MHz
13個
建議使用1、6、11(不會互相干擾)
每一個channel為22MHz
標準速度(Mbps)6、9、12、18、24、36、48、541、2、5.5、111、2、5.5、11(802.11b)
6、9、12、18、24、36、48、54(802.11a)
實際傳輸速度28622
涵蓋範圍最小最大中等
傳輸距離室內35m
室外120m
室內38
室外140
室內38
室外140
編碼技術OFDMDSSS(直接序列展頻)DSSS、OFDM
控制的技術1.TPC(Transmit power control):
控制功率的技術
2.DFS(Dynamic frequency Selection)(802.11h):
動態管理Channel的選擇,在2004年之後才發展出來。
Rat shifting 自動調整頻率,由Client啟動。Rat shifting 自動調整頻率,由Client啟動。
備註1.相容於802.11a / 802.11b
2.會使用RTS/CTS避免碰撞

WLAN Security-C.I.A
C(Confidentiality)
私密性
1.讓經過授權的使用者才可存取
2.使用的方法:
(1)Isolation(隔離)把重要的資料與非重要的資料隔離
(2)Encrypttion(加密)利用加密演算法把重要的資料加密或繞排,讓沒有權限的人看不出來。
3.Encryption(加密)的方式:
(1)Block cipher*區塊式
*一次一個Block的資料量
(2)Stram cipher*串流式
*一次一個bit的資料量
4.Encrtption key的種類
(1)對偁式加解密用相同的Key(Session Key)
*Key的長度較短
(2)非對偁式加解密用成對的Key
*有2把Key
    -Public Key:公開的Key,解密用的Key。
    -Private Key:私密的Key,加密用的Key。
*2把Key都可以用來加解密。
*Key的長度較長。
*常看到的方式為電子憑證
I(Integrity)
完整性/真確性
1.確保資料傳輸的過程都是正確的沒有被中繼設備更改。
2.使用的方法:Hash
3.Hash的特點:
    -Fixed-Length Output:相同長度的Output資料
    -Unique:唯一性
    -不可逆性
    -離散性
4.Hash的種類:
    -MD5:128bits output
    -SHA-1:160bits outputp
A(Authentication)
認證
1.認證使用者
2.使用的方法:

(1)Weak Auth.一種方式的認證機制
(2)Storg Auth.2種方式的認證機制

WLAN Attacks的種類
種類定義
WAR Drivers使用行動裝備,搜尋open的網路進行攻擊。
Hackers利用資安的脆弱點或公佈的bug,進行破解及攻擊。
Employees員工把私人的設備直接接入公司的網路。

WLAN Security的種類
種類定義
WEP
WEPv2
1.Confidentiality: 使用RC4(64、128、256bits)加密
2.Integrity: CRC-32演算法
3.Authentication:

(1)Open system:不認證
(2)Pre-Shared Key: AP與Client都需要事先先建立相同的密碼
4.較不安全的方式
5.較沒有彈性
6.WEPv2使用RC4 256bits加密
802.1x EAP
1Authentication:

(1)EAP-MD5:最常使用的方式,使用MD5 hash後的密碼。
(2)EAP-OTP:使用OTP的方式
(3)EAP-TLS:數位憑證的方式
2.需要搭配AAA(RADIUS)來做
WPA1.Confidentiality: 加密使用RC4,使用TKIP + Dynamic Keying(確保Key的正確性)
2.Integrity: 使用Michael的加密演算法
3.Authentication:

(1)IEEE 802.1x EAP:使用在企業內部,需要有RADIUS Server。
(2)Pre-Shared Key:User或SOHO使用。
4.較安全性的方式
5.若搭配802.1x EAP,User只要輸入ID/PW即可,不需要再設定。
WPA2
(802.11i)
1.Confidentiality: 加密使用AES,使用TKIP + Dynamic Keying(確保Key的正確性)
2.Integrity: 使用Michael的加密演算法
3.Authentication: 與WPA一樣
4.業界的標準
5.可搭配RADIUS,與WPA相同
6.與WPA不同的地方在於加密的演算法。

WLAN Client Association 過程
順序定義
Step0.廣播SSID(Beacon)
1.AP會廣播出Beacon告知AP的存在。
Step1.探測
1.Client會在每一個Channel(1、6、11)掃描,並加入Channel。
2.當有多台AP時,Client會與訊號最強的建立線線。
2.Authentication身分認證
1.預設為Open的認證機制(不認證)
2.若有設定Key Client會傳送Key給AP做確認。
3.目前大多使用Web Authentication,認證的部份移到GW去做。
3.Association關聯
1.連線成功AP會吧Client加入關聯的Table。

Cisco WLAN Implementation
種類定義
1.Automimius WLAN
(Standalone AP)
1.組成元件:Autonomous AP
2.WDS(WLAN Domain Service):

(1)AP-Based WDS*L2 Fast Secure Roaming(IAPP),只能做L2的Roaming。
*Scable WLAN Mangment
*Advanced Radio Freguaercy Mangment Control
*Enhanced WLAN Security
*無法做到較完整的QoS
*WDS可以把config push給AP
*RF的管理可以由WDS控制。
(2)Switch-Based WDS加強AP-Based WDS的功能:
    -支援L2 / L3的Roaming(IAPP / Mobile IP)
    -可以做到End-to-End的QoS
    -可以做到End-to-End的Security
3.支援User Authentication Cache
4.WLSE: Cisco的網管軟體
5.ACS: RADIUS/TACACS+ Server
6.建議要使用支援POE設備
2.Lightweight WLAN
(Thin AP)
1.組成必要元件:Lightweight AP + WLAN Controller
2.Lightweight AP的功能:
    -只是用來當作Access Media的延伸
    -AP上沒有Config及Client Policy檔
2.WLC(WLAN Controller):
    -集中WLAN AP config / Client policy檔的設備
    -LWAP與WAN Controller 跑LWAPP協定
3.WCS:Cisco的網管軟體
4.ACS: RADIUS/TACACS+ Server
5.Location Server:追蹤LWAP的Server
6.建議使用支援POE設備
LWAPP的功能
功能定義
1.Split Media Access Control(MAC)(1)Real-Time:LWAP處理
    -Beacon的傳撥
    -與WLC的連結
    -與Client的連結
    -Channel的選擇
    -加解密
(2)Non-Real-Time:WLAN Controller處理
    -處理802.11的Authentication
    -處理802.11的Association
    -不同Client資料的傳輸
    -安全的機制
    -QoS的機制
    -RF的管理
2.L2 or L3 LWAPP Tunnel(1)L2 Mode Tunnel:
    -全部的Traffic都封裝在Ethernet的Frame
    -Type:0XBBB
    -LWAP與WLC需在同一個LAN(Broadcast)
    -較沒有彈性
(2)L3 Mode Tunnel:
    -Data封裝在12222/UDP
    -Control封裝在12223/UDP
    -Mobile IP封裝在16666、16667/UDP
    -不需要在同一個VLAN裡面
    -需要有IP
    -較有彈性
3.WLAN Controller Discovery Process 
4.LWAPP Traffic 的類型(1)LWAPP Controller MSG (控制訊號)
    -使用AES加密
    -在WLC與LWAP之間溝通
(2)Wireless Client Data Frame (User的資料)
    -沒有加密
    -只傳送IP-Ethernet Type Frame
    -預設不會傳送Multicast / Broadcast Traffic

Autonomous V.S Lightweight WLAN比較

POE
1.大部分用在IP Phone上
2.IEEE802.3af
3.規格:

Data PairsSpare Pairs
4.運作方式:
    -使用CDP的方式偵測POE
5.價格昂貴
6.Power injector

7.距離限制在100M
8.設定與觀察

沒有留言:

張貼留言