CH 12

Download Report

Transcript CH 12 

第 12 章
Cisco 的無線技術
本著作僅授權老師於課堂使用, 切勿置放在網路上
播放或供人下載, 除此之外, 未經授權不得將全部
或局部內容以任何形式重製、轉載、變更、散佈或
以其他任何形式、基於任何目的加以利用。
著作權所有 © 旗標出版股份有限公司
本章重點




12 - 1 無線技術簡介
12 - 2 Cisco 的整合式無線方案
12 - 3 設定我們的無線互連網路
12 - 4 摘要
2
Cisco 的無線技術



如果您希望瞭解今日最常用的基本 WLAN 或
WLAN, 只要想想使用集線器的 10BaseT 乙太
網路。
這表示 WLAN 通常是執行半雙工通訊 - 所有
人共享相同頻寬, 而一次只有一個使用者能夠進
行通訊。這未必就有什麼不好 - 它只是沒有太
好而已。
因為現在大多數人都需要依賴無線網路, 所以它
們必須以閃電般的速度演進, 才能趕上我們的需
求。
3
Cisco 的無線技術



好消息是這真的發生了 - Cisco 已經有所回應,
並且提出了所謂的 Cisco 整合式無線方案
(Cisco Unified Wireless Solution), 可以在所有
類型的無線連線上運作;而且運作得很安全。
本章的目的不是要介紹一般性的無線技術, 而是
要讓您熟悉 Cisco 的無線技術 - 您可以想像,
儘管相當細微, 但仍然必定會有些差異。
本章涵蓋基本的 WLAN 技術和標準, 但主要的
目標是要讓您能從 Cisco 的角度瞭解無線, 並且
確實地掌握 Cisco 所提供的解決方案。
4
Cisco 的無線技術



Cisco 的整合式無線方案中包含了行動性
(mobility) 和網格 (mesh), 所以這也是本章的重
點。
此外, 我們還要對無線安全性的所有重要議題進
行簡短的討論。
由於蜂巢式無線網路 (wireless cellular network)
和其他最後一哩的高速無線技術逐漸出現, 所以
本章的內容也可以直接當做第 14 章「廣域網路」
的延伸。
5
Cisco 的無線技術


但是因為希望您清楚瞭解無線是非常重要的廣
域網路替代方案, 所以本書將它變成獨立的一章。
順便一提, Cisco 的整合式無線方案中的確包含
了無線的都會區域網路 (Wireless Metropolitan
Area Network, WMAN)。
6
12 - 1 無線技術簡介



使用典型的 802.11 規格來傳送信號很像是在使
用基本的乙太網路集線器:兩者都是雙向的通
訊, 而且使用相同的頻率在傳送和接收, 這種通
常都稱為半雙工。
WLAN 是使用射頻 (RF), 從天線產生無線電波
發射到空中。
這些電波可能會被被牆壁、水、和金屬表面吸
收、折射、或是反射, 而導致信號強度微弱。
7
無線技術簡介




因為無線網路本身易受環境因素的干擾, 所以顯
然無法提供有線網路的穩定性, 但這並不表示我
們不會使用無線。
我們可以增加傳輸功率, 並且取得更大的傳送距
離, 但是這樣做可能會造成嚴重的失真, 所以必
須小心為之。
藉由使用較高的頻率, 可以取得較高的資料速率,
但卻會縮短傳送距離。
如果我們使用較低的頻率, 可以傳送較遠的距離,
但卻又只有較低的資料速率。
8
無線技術簡介




因此, 您應該瞭解所有種類的 WLAN 都只能建
立適合特定情境需求的 LAN。
此外, 在大多數國家中, 802.11 的規格並不需要
取得執照 - 使用者能自由安裝和運作, 而不需
要授權或營運費用。
這表示任何製造商都可以建立產品, 並且在當地
的電腦零售店或任何地方販售。
它也代表所有電腦都可以透過無線進行通訊, 而
不需要太多的組態設定。
9
無線技術簡介


各種機構投入了很多的時間來協助管理無線裝
置、頻率、標準、和頻譜的使用。
表 12.1 是在協助建立、維護、甚至強制實施無
線標準的機構。
10
無線技術簡介




因為 WLAN 是透過無線頻率傳送, 所以受到跟
AM / FM 無線電一樣類型的法律規範。
在美國它是由美國聯邦通訊委員會 (FCC) 來規
範 WLAN 裝置的使用, 而電子電機工程師學會
(IEEE) 則根據 FCC 開放給公眾使用的頻率來
建立標準。
FCC 開放了 3 段不需要執照的頻帶給公眾使用:
900MHz、2.4GHz、和 5.7GHz。
900MHz 和 2.4GHz 頻帶被稱為工業、科學、
和醫療 (ISM) 頻帶。
11
無線技術簡介


而 5-GHZ 頻帶則稱為免執照國家資訊基礎建設
(UNII) 頻帶。
圖 12.1 是這些免執照頻段在 RF 頻譜中的位置。
12
無線技術簡介




因此, 如果您選擇佈建屬於這 3 段公眾頻帶之外
的無線網路, 就必須向 FCC 取得特殊的執照。
在 FCC 開放這 3 段頻帶後, 許多製造商就開始
提供各種產品湧入市場。目前, 使用最廣泛的無
線網路是 802.11b / g。
Wi-Fi 聯盟提供各廠商進行 802.11 產品的互通
性認證。
這項認證讓採購多種產品的使用者有某種程度
的心安。
13
無線技術簡介



不過根據個人經驗, 如果您向同一家製造商購買
所有的存取點 (access point), 使用起來會容易
許多。
在目前美國的 WLAN 市場中, IEEE 建立並維護
幾種已經被接受的作業標準和草案。
下面檢視這些標準, 並且討論其中最常使用的標
準如何運作。
14
802.11 標準




根據您在第 1 章「互連網路」所學, 無線網路有
它自己的 802 標準團體。
乙太網路的委員會是 802.3, 無線網路則是從
802.11 開始, 還有其他幾個逐漸出現的標準團
體, 例如 802.16 和 802.20。
無疑地, 蜂巢式網路將會成為無線未來的重量級
玩家。但是目前我們將專注在 802.11 的委員會
和子委員會。
IEEE 802.11 是最初第一個使用 1 和 2Mbps 的
標準化 WLAN。
15
802.11 標準


它在 2.4GHz 的無線頻率上運作, 並且在 1997
年通過 - 雖然直到 1999 年 802.11b 出現時,
才開始有大量產品出現。
表 12.2 列出的所有委員會, 除了獨立的
802.11F 和 802.11T 文件之外, 都是原始
802.11 標準的修正。
16
802.11 標準
17
802.11 標準

現在讓我們來討論最常見之 802.11 WLAN 的
一些重要特性。
18
2.4GHz (802.11b)



首先是 802.11b 標準。這是建置得最普遍的無
線標準, 並且是在免執照的 2.4GHz 上運作, 提
供最高 11Mbps 的資料速率。
認為 11Mbps 資料速率對多數應用而言已經相
當好用的廠商和客戶, 都廣為採用 802.11b 標準。
但目前 802.11b 有一個好兄弟 (802.11g), 所以
沒有人再買 802.11b 的網卡或存取點 - 當您可
以用相同價格買到 10 / 100 乙太網卡的時候,
為什麼還要再買 10Mbps 的乙太網卡呢?
19
2.4GHz (802.11b)




有趣的是, 所有 Cisco 802.11 WLAN 產品都有
在移動中轉換資料速率的能力。
所以在 11Mbps 運作的人可以轉換到 5.5Mbps、
2Mbps、甚至於跟 1Mbps 的存取點進行通訊。
此外, 發生這種速率轉換時並不會失去連線, 而
且也不需要與使用者互動。
速率轉換是以每次的傳輸為基礎;這代表存取
點可以根據每個客戶端的位置, 以不同的速率支
援多個客戶端。
20
2.4GHz (802.11b)




802.11b 的問題在於要如何處理資料鏈結層。
為了解決 RF 頻譜的問題, 而產生了一種乙太網
路的碰撞偵測方式, 稱為 CSMA / CA (Carrier
Sense Multiple Access with Collision
Avoidance)。
請檢視圖 12.2。
在 CSMA / CA 主機跟存取點的通訊中, 每傳送
一個封包, 就必須收到 RTS / CTS 和確認, 因此,
它也稱為 RTS / CTS (Request To Send, Clear
To Send)。
21
2.4GHz (802.11b)

由於這個流程相當麻煩, 實在很難想像它真的可
以運作!
22
2.4GHz (802.11g)



802.11g 標準是在 2003 年 7 月通過, 並且具有
與 802.11b 的向後相容性。
802.11g 跟 802.11a 同樣具有 54Mbps 的最大
資料速率, 但是它是在 2.4GHz 範圍中運作 -
跟 802.11b 相同。
因為 802.11b/g 同樣是在免執照的 2.4GHz 頻
帶運作, 所以對已經具有 802.11b 無線基礎建設
的組織而言, 升級到 802.11g 是可以負擔的選擇。
23
2.4GHz (802.11g)




802.11b 的產品無法經由「軟體升級」到
802.11g。
這是因為 802.11g 無線設備是使用不同的晶片
組來提供更高的資料速率。
但就像乙太網路與高速乙太網路一樣, 802.11g
的產品可以跟 802.11b 的產品在同一個網路中
混合使用。
但是與乙太網路完全不同的是, 如果您有 4 個使
用者執行 802.11g 網卡, 一個使用者使用
802.11b 網卡。
24
2.4GHz (802.11g)




則每個連到相同存取點的人都被迫要執行
802.11b 的 CSMA / CA 方法 - 造成產出效能
變低。
所以, 要最佳化效能, 則最好能關閉所有存取點
的 802.11b-only 模式。
更詳細來說, 802.11b 所使用的調變技術為
DSSS (Direct Sequence Spread Spectrum)。
本身就不如 802.11g 和 802.11a 所使用的
OFDM (Orthogonal Frequency Division
Multiplexing) 調變那麼穩健。
25
2.4GHz (802.11g)



使用 OFDM 的 802.11g 客戶端可以比使用相同
範圍的 802.11b 客戶端有更好的效能。
但是當 802.11g 的客戶端以 802.11b 的速率
(11、5.5、2 和 1Mbps) 運作時, 它們其實是使
用跟 802.11b 相同的調變方式。
圖 12.3 是 FCC 在 2.4GHz 範圍所開放的 14
個不同通道 (每個的寬度為 22MHz)。
26
2.4GHz (802.11g)

在美國, 只有 11 個通道是可以設定的, 且通道 1、
6、和 11 間沒有重疊 - 這讓您可以在相同區
域設置 3 個存取點而不會發生干擾。
27
5GHz (802.11a)



IEEE 於 1999 年通過 802.11a 標準, 但是第一
個 802.11a 產品卻直到 2001 年下半年才出現
- 而且貴的驚人。
802.11a 標準使用 12 個頻率不重疊的通道, 提
供 54Mbps 的最高資料速率。
圖 12.4 是 UNII 的頻帶。
28
5GHz (802.11a)

802.11a 在 5GHz 的無線頻帶運作, 所以也不會
受到在 2.4GHz 頻帶運作的裝置干擾, 例如微波
爐、無線電話和藍芽裝置等。
29
5GHz (802.11a)



802.11a 沒有與 802.11b 的向後相容性, 因為它
們的頻率不同, 所以無法只是將部分的網路「升
級」, 然後期望所有東西可以和諧共處。
不過不用擔心, 有很多雙頻裝置可以同時在這兩
種網路中運作。
802.11a 的一項好處是它可以在相同的實體環
境中運作, 而不會受到 802.11b 使用者的干擾。
30
5GHz (802.11a)



802.11a 產品跟 802.11b 無線設備類似, 都具有
在移動中轉換資料速率的能力。
802.11a 產品可以讓那些在 54Mbps 速率下運
作的人轉換到 48Mbps、36 Mbps、24 Mbps、
18 Mbps、12 Mbps、9 Mbps, 甚至於 6 Mbps
的 AP 進行通訊。
802.11a 規格還有個延伸版本稱為 802.11h。
31
5GHz (802.11h)



FCC 在 2004 年 2 月增加了 11 個新的通道。
根據製造商的新聞稿, 在 2008 年將會有使用這
些通道之 802.11a 的 5GHz 產品。
這表示很快我們就可以存取最多 23 個不重疊的
通道!
802.11h 規格的 5GHz 無線設備有 2 個新功能:
傳輸功率控制 (Transmit Power Control, TPC)
和動態頻率選擇 (Dynamic Frequency
Selection, DFS)。
32
5GHz (802.11h)




DFS 這項很棒的功能可以在傳輸前持續監督裝
置運作範圍中的所有雷達信號, 包含部份的
5GHz 頻帶和 802.11a。
如果 DFS 發現任何雷達信號, 它會放棄目前佔
用的通道, 或是將它標示為不可使用, 以避免在
WLAN 中發生干擾。
TPC 雖然行動電話產業早就在使用這項技術, 但
它有一些很方便的新用途。
您可以將客戶端機器的界面卡和存取點的傳輸功
率設定為涵蓋不同的範圍 - 這樣做的理由很多。
33
5GHz (802.11h)



其中之一是將存取點的傳輸功率設為 5mW 以縮
小細胞範圍 - 當您在一小塊區域中有高密度的
使用時, 這種做法會有很好的效果。
其他的好處還包括 TPC 能促成客戶端和存取點
的通訊。
這意謂著客戶端機器可以動態微調它的功率, 使
它可以使用剛好的能量來維持與存取點的連線,
保存其電池的電力, 並且降低對相鄰 WLAN 細
胞的干擾。
34
802.11 的比較

在討論 Cisco 產品之前, 讓我們先檢視表 12.3;
表中列出了 802.11a、b、和 g 的優缺點。
35
802.11 的比較



圖 12.5 使用室內開放辦公環境的因素來劃分每
種 802.11 標準的範圍, 並比較其範圍。
我們使用預設的功率設定。
您可以看到, 若要獲得 802.11a 和 802.11g 完
整的 54Mbps 效益, 距離必須介於 50 到 100 英
呎 (最遠) 之間。
36
802.11 的比較


如果客戶端跟存取點之間存在任何障礙的話, 甚
至可能需要更近的距離。
這些都還不錯, 不過下面還有一項 IEEE 802.11
標準, 能夠在更遠的距離取得甚至更高的速度。
37
802.11 的比較
38
2.4GHz / 5GHz (802.11n)



802.11n 是在 802.11 標準之上再新增 MIMO
(Multiple-Input Multiple-Output), 使用多個發射
和接收天線以增加資料的產出。
802.11n 最多可以有 8 座天線, 但是今日大多數
的存取點都是使用 4 座。
它們有時被稱為是聰明型天線 (smart
antennas), 如果您真的有 4 座的話, 則 2 座天
線會同時用來傳輸, 另 2 座則同時用來接收。
39
2.4GHz / 5GHz (802.11n)



這種設定可以得到比 802.11a/b/g 高得多的資
料速率。
事實上, 行銷人員宣稱它可以提供大約
250Mbps 的速率, 但是筆者個人是不太相信啦!
筆者不相信我們真正的產出可以到這個程度, 而
且即使真的如此, 如果您只有使用 1 或 2Mbps
的纜線或 DSL 連線連到網際網路, 這也沒有什
麼用。
40
2.4GHz / 5GHz (802.11n)



要記住 802.11n 標準尚未被正式認可, 並且預估
在 2008 年前也不太可能 - 甚至可能更晚。
這表示目前的產品都是專屬性的「前 N」產品。
現在, 讓我們來看看 Cisco 對成長中無線市場提
出的解決方案。
41
12 - 2 Cisco 的整合式無線方案



在支援 802.11a/b/g 和不久之後的 n 產品中,
Cisco 的確提供了相當完整和令人印象深刻的
室內外 WLAN 解決方案。
這些產品包括存取點、無線控制器、WLAN 客
戶端界面卡、安全和管理伺服器、無線管理裝
置、無線整合交換器和路由器 - 甚至於天線和
其他配件。
從大約 2000 年起, 許多企業開始依賴基本的存
取點做為主要的無線網路, 並且將它們連上基礎
建設, 讓使用者可以在網路內漫遊。
42
Cisco 的整合式無線方案

圖 12.6 是典型的基礎建設網路;它可能有一個
存取點, 或是一組提供多個存取點的延伸服務集
- 全部使用相同的服務集識別碼 (Service Set
Identifier, SSID) 來提供漫遊。
43
Cisco 的整合式無線方案

在圖中可以看到不論在哪種組態中, 每台 AP 的
組態都被設定為根 AP。
44
Cisco 的整合式無線方案




如果您回頭看第 4 章中兩台無線路由器 (R2 和
871W) 與 1242AP 的組態設定, 這三者也都是
設定為根裝置。
基本上, 這代表每台路由器其實是在說:「嗨!
各位無線客戶端, 連上我並且取得您要的東西
(有線資源) 吧!」
如果 AP 不是根 AP, 則它們只能扮演連向根裝
置的中繼器。
不是根裝置的設備有客戶端、橋接器、中繼器
存取點、和工作群組橋接器。
45
Cisco 的整合式無線方案



這好像是在資訊科技的白堊紀一樣。但現在可
不是了, 終於, Cisco 的整合式無線方案提供了
完整的 WLAN 整合解決方案。
這項精心設計的新技術中包含了智慧型 Cisco
AP 和針對支援 AP 所設計的 Cisco WLAN 控制
器。
這個方案的管理可以透過控制器的網站界面、
控制器本身、或是 Cisco 的無線控制系統
(Wireless Control System, WCS)。
46
Cisco 的整合式無線方案




但是這種網路真正最棒的地方是在最初的安裝
之後, 就不再需要任何組態設定。
這表示您可以將 AP 連到室外或室內環境, 然後
它就可以根據控制器的資訊自動設定自己的組
態。
它甚至可以檢查通道的重疊和干擾, 並且幫自己
指定一個不重疊的通道 - 很酷吧!
就像之前提到的, 如果它剛好偵測到區域內有重
疊的通道, 它會降低自己的傳輸等級以限制干擾。
47
Cisco 的整合式無線方案




Cisco 將這個稱為「自動 RF 控制」。
當然, 不全都是好消息 - 這套產品線可不是為
窮人設計的;它可能會花掉您大把的銀子。您
需要的當然不只是 AP。
您在室內方案的最低購物清單應該包括 Cisco
1020 AP 和控制器, 而室外方案則至少要有
Cisco 1520 AP 和控制器。
而且這些只是最低需求。
48
Cisco 的整合式無線方案




事實上可能需要更多東西 - 我們在課堂上使用
1020 和 1520 AP, 並且在寫書時另外搭配了兩
種控制器 - 讓它能夠動起來的最低數量裝置。
AP 的價格相當合理, 而且就跟 Cisco 一般的做
法一樣, 它們的成本是隨著產品的型號調整。
真正讓您的銀兩消失的是控制器 - 它們要價數
千美金!希望在您閱讀本書的時後, 價格已經略
為下降…
但是為了娛樂起見, 假裝您已經有個還不錯的網
路, 而且還有無線的預算可以花在上面。
49
Cisco 的整合式無線方案



首先, 至少先買兩台控制器 (比較好的一台可能
要價大約 2 萬美金)。
為甚麼要兩台呢?因為每台 AP 的每個封包都
必須送到控制器, 以便進入有線網路或是送回無
線網路。
控制器會根據封裝在裡面的輕量級存取點協定
(Lightweight Access Point Protocol, LWAPP)
資訊, 來決定封包的目的地 (稍後就會討論
LWAPP)。
50
Cisco 的整合式無線方案




無論如何, 您需要至少兩台的理由是為了萬一有
一台掛掉。
您對建立只有單一故障點的設計感到不安, 所以
合情合理地買了兩台, 並且建立這類網路所需要
的冗餘性。
好了, 現在您可以處理單點故障的情況了, 但還
是必須要能夠管理您的控制器。
Cisco 提供 GUI 的無線控制系統 (WCS), 可以
從單一界面來管理整個 WLAN。
51
Cisco 的整合式無線方案



還可以提供一些關於網路涵蓋範圍、網路統計
趨勢、和裝置位置的詳細資訊 (別忘了, 目前我
們還不考慮錢的問題)。
其實, 您並不需要 WCS, 因為 Cisco 的 WLAN
控制器就可以分析由 AP 收集來的資料;您可
以透過個別控制器或是 WCS 中的各種工具來
管理。
啊!順便提一下, 為了讓事情稍微困難一點, 控
制器只有 gigabit 的界面。
52
Cisco 的整合式無線方案


這表示您的交換器必須要有 10 / 100 通訊埠供
AP 連線, 還要有 gigabit 通訊埠來連結控制器。
至少必須是有這兩種通訊埠的 3560 (或更好的)
交換器, 才能提供跨 VLAN 的遶送。
53
MAC 的劃分架構



這個名稱聽起來很奇怪, 不過它可是個很酷的功
能喔。
我們基本上將 802.11 協定的處理劃分給兩個裝
置 - AP 和集中式的 Cisco WLAN 控制器。
圖 12.7 是這個處理如何劃分給每個位置的方式。
54
MAC 的劃分架構
55
MAC 的劃分架構




雖然 1520 AP 和 1020 AP 看起來好像是直接連
到圖 12.7 的控制器, 但它們其實沒辦法如此 -
首先, 因為它們必須連到交換器以提供 10 / 100
對 gigabit 的轉換。
其次, 因為控制器只會轉送來自啟用 LWAPP 之
通訊埠的 LWAPP 封包。
這表示如果您希望將 LWAPP 封包當做 IP 資料
轉送給非 LWAPP 網路, 則需要一台路由器。
高階的交換器可以處理這個遶送。
56
MAC 的劃分架構

AP 會處理協定中有即時需求的部份:






當訊框在空中傳送時, 客戶端與 AP 間進行訊框
交換斡旋 (handshake)。
傳輸信標 (beacon) 訊框。
在省電模式的運作中, 為客戶端提供緩衝並傳送
訊框。
回應客戶端的探測請求訊框。
將收到之探測請求的通知轉送給控制器。
提供每個所收訊框的即時信號品質資訊給控制器。
57
MAC 的劃分架構





監督每個無線通道的雜訊、干擾、和其他
WLAN。
監督其他 AP 的出現。
除了 VPN / IPSec 客戶端之外的加解密。
所有剩餘的功能都是由 Cisco WLAN 控制器來
處理, 所以時間的敏感度並不是主要考量, 但是
需要控制器的整體可見度。
下面是 WLAN 控制器中所提供的一些 MAC 層
功能:

802.11 的驗證。
58
MAC 的劃分架構




802.11 的連結 (association) 和重新連結
(reassociation)。
802.11 的訊框轉換和橋接。
如果 Cisco 的無線控制器在裝置模式
(Appliance Mode) 下故障, 被它拋棄的 Cisco
AP 會在網路中進行輪詢, 以尋找另一個 Cisco
無線控制器。
當線上的 Cisco 無線控制器還有剩餘的 AP 埠
時, 管理界面會聆聽網路上 Cisco AP 的輪詢訊
息, 以儘可能自動發現、並且與最多的 Cisco
AP 連結和進行通訊。
59
網格和 LWAPP



隨著廠商逐漸移向網格 (mesh) 階層式設計, 以
及使用輕量級存取點來建立較大型網路, 我們真
的很需要標準化的協定來管理輕量級存取點與
WLAN 系統間的通訊。
這正是 IETF (Internet Engineering Task Force)
最新的規格草案 LWAPP (Lightweight Access
Point Protocol) 的目的。
利用 LWAPP, 含多廠牌設備的大型無線網路就
能夠發揮最大能力, 並且增加彈性。嗯 ~ 大致
上是真的啦。
60
網格和 LWAPP




沒有人真的在同一家公司裡面建置了 Cisco 和
Motorola 網路, 然後能一派悠閒地坐下來說:
「帥呆了!」
他們的確有在大聲的說些甚麼, 但絕對不是這個!
Cisco 就是 Cisco, 而 Motorola 就不是 Cisco,
即使它們理論上應該是執行相同的 IETF 協定,
它們看待標準的方式好像就是無法完全一樣。
基本上, 它們彼此之間玩得並不好。
61
網格和 LWAPP



所以, 假設我們只使用 Cisco。
Cisco 的網格網路基礎建設是去集中化
(decentralized), 而且所有它所提供的好東西都
不太貴, 因為每個節點 (node) 只需要傳輸到下
個節點的距離。
節點扮演傳輸資料的中繼器, 為鄰近節點傳送到
對於可管理的纜線連結而言太遠的其他節點, 這
使得網路可以橫跨相當遠的距離, 特別是穿越很
不平或崎嶇的地形。
62
網格和 LWAPP

圖 12.8 是一個大型的網格環境, 使用 Cisco
1520 AP 的無線連結來覆蓋這個區域。
63
網格和 LWAPP




此外, 網格網路還極端的穩定 - 因為每個節點
都可能連到數個其他節點, 如果其中一個節點因
為硬體故障或其他原因而脫離網路, 它的鄰居只
要再找一條路徑就好了。
所以只要加入更多的節點, 就可以得到額外的容
量和容錯能力。
AP 節點間的無線網格連線是透過無線電波, 提
供從單一節點到其他節點的許多可能路徑。
穿越網格網路的路徑可以根據交通負載、無線
電波狀況、或交通的優先順序而改變。
64
網格和 LWAPP



透過建置在 Cisco 網格網路解決方案中的任何
Cisco WLAN 控制器, 就可以設定、監督、和操
作 Cisco 的 LWAPP 網格存取點。
而且必須透過控制器才行;所以冗餘的控制器
是絕對需要的。
下面定義一些網格網路所使用的術語:

根存取點 (RAP, Root Access Point) 這個存取
點連到有線網路, 並且擔任通往有線網路的「根」
或「閘道」。
65
網格和 LWAPP




RAP 透過有線的連結連回 Cisco 的 WLAN 控制
器。它們使用回程連線 (backhaul) 的無線界面
來與鄰接的網格 AP 通訊。
網格存取點 (MAP, Mesh Access Point) 網格
AP 是遠端 AP, 通常位於屋頂或高樓上, 在 5GHz
的回程連線上最多可以連結 32 個 MAP。
在開機時, 如果存取點有連到有線網路, 它會嘗
試成為 RAP。
反之, 如果 RAP 失去了它的有線網路連結, 則會
嘗試成為 MAP, 並且會去尋找 RAP。
66
網格和 LWAPP


典型的網格網路會包含如圖 12.9 的裝置。
在圖 12.9 中可以看到有一台 RAP 連到基礎建
設, 而 MAP 則彼此相連, 並且透過 RAP 連到控
制器。
67
AWPP



每個 AP 都會執行調適型無線路徑協定
(Adaptive Wireless Path Protocol, AWPP) -
這是 Cisco 從無到有針對無線環境所特別設計
的新協定。
這個協定讓 RAP 能夠彼此溝通, 以找出透過
RAP 回到有線網路的最佳路徑。
一旦建立最佳路徑之後, AWPP 會繼續在背地執
行, 以便在拓墣改變或是環境造成鏈結強度減弱
時, 能夠建立另外一條回到 RAP 的路徑。
68
AWPP



這個協定會考慮諸如干擾和特定無線設備特徵,
以便網格能進行自行設定 (self-configuring) 和
自行修復 (self-healing)。
事實上, AWPP 有能力考慮無線環境中的所有相
關元素, 讓網格網路的運作不會被中斷, 而且能
提供一致的覆蓋。
如果考慮無線環境的動態程度, 它的能力真的相
當強大。
69
AWPP


當存在干擾或是新增 / 移除 AP 的時候, AWPP
就會重新設定回根 RAP 的路徑。
此外, 為了回應高度動盪的無線環境, AWPP 使
用「黏性」 (stickiness) 因子來緩和路徑, 以確
保諸如大卡車經過網格所造成的暫時破壞等事
件不會造成網格不必要的變動。
70
無線安全




預設上, 存取點和客戶端上不存在無線的安全性。
最初的 802.11 委員會並沒有想到, 有一天無線
主機的數目會超過有線媒介的主機, 不過目前的
趨勢卻正朝這方向發展。
此外, 不幸的是, 就像 IPv4 協定一樣, 工程師和
科學家並沒有加入足夠堅強的安全性標準以應
付企業環境的需求。
因此, 我們就只剩下專屬性的附加方案來協助建
立安全的無線網路。
71
無線安全



筆者並不是說安全性問題都是標準委員會的錯,
美國政府也要負一部份責任 - 因為安全性標準
會面臨出口管制的問題。
這個世界非常複雜, 因此, 我們的安全解決方案
也只好如此。
我們先討論在原始 802.11 標準中加入的基本安
全性, 以及這些標準為什麼如此脆弱和不完整,
以致於無法建立足以面對今日挑戰的安全無線
網路。
72
開放性存取



所有 Wi-Fi 認證的 WLAN 產品出貨的時候, 都
是使用「開放性存取」模式, 並且關閉了它們的
安全性功能。
雖然像咖啡店、大學校園、甚至於機場等公共
場所可能適合使用開放性存取或無安全性, 但對
於企業組織絕對不適合, 甚至於您私人的家用網
路也未必適當。
在企業環境中安裝無線裝置時必須開啟安全性
功能。這可能有點嚇人, 但有些公司事實上完全
沒有開啟任何的 WLAN 安全功能。
73
開放性存取



顯然, 這些公司等於將它們的網路置於極大的危
險中!
這些產品會以開放性存取模式出貨, 是因為可能
有完全不懂電腦的人會去買存取點, 然後將它們
接上纜線或 DSL 數據機, 並且期望它們就能啟
動並且運作。
這純粹是為了行銷, 而且簡單其實比較好賣。
74
SSID、WEP、和 MAC 位址驗證



802.11 的原始設計者所建立的基本安全性包括
使用服務集識別碼 (Service Set Identifier,
SSID)、開放式或共享式金鑰驗證、靜態的
WEP (Wired Equivalency Protocol) 、和選擇
性的 MAC 驗證。
聽起來很多, 不過沒有哪一種能提供真正的安全
性方案 - 所有這些大概都只約略適合使用在一
般的家用網路。
不過我們還是得先簡略討論一下。
75
SSID、WEP、和 MAC 位址驗證



SSID 是建置無線區域網路時, 供 WLAN 系統中
的所有裝置使用的共同網路名稱。SSID 可以防
止任何沒有 SSID 的客戶端裝置進行存取。
事情是這樣的:根據預設, 存取點每秒鐘都會在
它的信標 (beacon) 訊框中廣播它的 SSID 許多
次。
即使關閉 SSID 的廣播, 存心不良的傢伙也可以
藉由監看網路, 並且等待客戶端回應存取點, 而
找到 SSID。
76
SSID、WEP、和 MAC 位址驗證




為什麼呢?因為在原始的 802.11 規格中規定,
這項資訊必須以明文方式傳送 - 多安全啊!
IEEE 802.11 委員會指定了兩種驗證方式:開
放式和共享式金鑰驗證。
開放式驗證僅提供正確的 SSID - 不過這是目
前最常用的方法。
在共享式金鑰驗證方面, 存取點會傳送盤問文字
封包 (challenge text packet) 給客戶端裝置, 而
客戶端必須使用正確的 WEP 金鑰加密之後再
傳回給存取點。
77
SSID、WEP、和 MAC 位址驗證



沒有正確的金鑰, 驗證就會失敗, 而客戶端就不
能連結到存取點。
但是共享式金鑰驗證也不算安全, 因為入侵者只
要取得一對盤問的明文和它使用 WEP 金鑰加
密後的結果, 再解出 WEP 金鑰即可。
因為共享式金鑰使用明文來盤問, 目前的
WLAN 並沒有使用這種驗證。
78
SSID、WEP、和 MAC 位址驗證



即使用開放式驗證, 使得客戶端很容易就能夠完
成驗證並且連結到存取點, 但除非客戶端有正確
的 WEP 金鑰, 否則使用 WEP 還是能防止客戶
端跟存取點傳送或接收資料。
WEP 金鑰是由 40 或 128 位元所組成, 而它的
基本形式通常是由網管人員在存取點和所有要
與該存取點通訊的客戶端上做靜態的定義。
當使用靜態的 WEP 金鑰時, 網管人員必須花許
多時間在 WLAN 中的每個裝置上輸入相同的金
鑰。
79
SSID、WEP、和 MAC 位址驗證



顯然, 對於今日龐大的企業無線網路而言, 這種
管理方式是不可行的, 需要修正。
最後, 客戶端 MAC 位址可以靜態地輸入到每個
存取點, 而過濾表格中沒有的 MAC 位址則會被
拒絕存取。
這聽起來不錯, 但是當然所有的 MAC 層資訊都
必須以明文方式傳送。
80
SSID、WEP、和 MAC 位址驗證



任何配備有免費無線網路分析軟體的人都可以
讀取客戶端送往存取點的封包, 並且捏造他們的
MAC 位址。
如果正確管理, WEP 確實可以運作。
但是如果沒有一些專屬性的修正工具附加其上,
則基本的靜態 WEP 金鑰對今日的企業網路已
經不再是可行的選擇。
81
WPA 或 WPA 2 預先共享式金鑰




雖然 WPA 或 WPA 2 預先共享式金鑰 (PSK,
Pre-Shared Key) 只是在規格上附加的另一種
形式之基本安全功能, 但是比之前提到的所有基
本無線安全性方法都好。
別忘了, 只是基本的喔!
PSK 會在客戶端機器和存取點上透過密碼或識
別碼 (也稱為 passphrase) 來驗證使用者。
只有當客戶端的密碼符合存取點的密碼時, 客戶
端才能取得存取權。
82
WPA 或 WPA 2 預先共享式金鑰



PSK 還提供金鑰材料 (keying material), 供
TKIP 或 AES 為傳送資料的每個封包產生加密
金鑰。
雖然比靜態 WEP 安全, 但 PSK 與靜態 WEP
還是有許多共同點;PSK 也是儲存在客戶端裝
置, 而且當裝置遺失或被竊時就可能被破解 -
雖然這個金鑰並不是那麼容易找到。
強烈建議您使用堅強的 PSK 識別碼, 包含字母、
數字、和非文數字符號的組合。
83
WPA 或 WPA 2 預先共享式金鑰



WPA (Wi-Fi Protected Access) 是 Wi-Fi 聯盟在
2003 年所發展的標準, 正式名稱為 WECA。
WPA 提供 WLAN 驗證和加密的標準, 目的是希
望解決直到 2003 年為止出現的安全性問題, 包
括廣為流傳的 AirSnort 和 man-in-the-middle
的 WLAN 攻擊。
WPA 是邁向 IEEE 802.11i 標準的一步, 並且使
用許多相同的元件 - 只有加密方式不同。
84
WPA 或 WPA 2 預先共享式金鑰

802.11i 使用 AES 加密, WPA 的機制則是要由
目前的硬體廠商實作, 這表示使用者只能透過韌
體 / 軟體的修改才能在它們的系統上實作 WPA。
85
Cisco 的整合式無線網路安全



Cisco 整合式無線網路提供許多創新的 Cisco
改良, 並且支援 WPA 和 WPA2, 透過相互驗證、
資料私密性、和堅強的動態加密, 以提供個別使
用者及個別會談的存取控制。
這個方案也整合了服務品質 (QoS) 和行動性,
以促進更豐富的企業應用。
Cisco 整合式無線網路提供下面功能:

WLAN 的安全連線堅強的動態加密金鑰, 此金鑰
會根據可設定的基礎而自動變化, 以保護傳送資
料的私密性。
86
Cisco 的整合式無線網路安全




WPA-TKIP 包括加密的改良, 如 MIC、透過初始
向量雜湊的個別封包金鑰、和廣播金鑰循環。
WPA2-AES 是資料加密的「黃金標準」。
WLAN 的信任和識別堅強的 WLAN 存取控制,
能協助我們確保合法客戶端只會連結到受信任的
的存取點, 而不會連到惡意或未經授權的存取點。
它是使用 IEEE 802.1X、EAP (Extensible
Authentication Protocol, 可擴張的驗證協定) 的
一個版本。
87
Cisco 的整合式無線網路安全



RADIUS (Remote Authentication Dial-In User
Service, 遠端驗證撥入使用者服務)、和 AAA
(Authentication、Authorization、Accounting, 驗
證、授權、記帳) 伺服器等。
針對個別使用者和個別會談進行相互驗證。
它支援下列功能:


目前市面上最大範圍的 802.1X 驗證類型、客戶
端裝置、和客戶端作業系統。
所有來嘗試驗證的 RADIUS 帳務記錄。
88
Cisco 的整合式無線網路安全


WLAN 的威脅防禦透過入侵預防系統 (Intrusion
Prevention System, IPS)、WLAN NAC 和先進
的位置服務, 來偵測未經授權的存取、網路攻擊、
和惡意的存取點。
Cisco 的 IPS 讓資訊主管可以持續掃描 RF 環境,
偵測惡意存取點和未經授權事件, 同時追蹤數千
台設備, 並且緩和網路的攻擊。
89
Cisco 的整合式無線網路安全



NAC 的設計是專門為了協助您確保所有嘗試存
取網路資源的有線和無線終端裝置 (如 PC、筆
記型電腦、伺服器、和 PDA), 都能對安全威脅
有適當的防護。
NAC 讓組織能夠分析和控制所有進入網路的裝
置。
好啦 - 現在讓我們來設定一些無線裝置吧!
90
12 - 3 設定我們的無線互連網路




如果您要使用任何的安全性功能, 則透過 SDM
絕對會是設定無線組態最簡單的方式 - 而且您
當然應該要使用安全性功能!
基本上, 只要打開存取點電源就可以啟動存取點。
但是如果您的路由器上真的有無線網卡, 就必須
使用第 4 章的方法來設定它。
下面是 R2 路由器的螢幕畫面, 顯示我們現在可
以設定安裝在 3 號插槽中的無線網卡。
91
設定我們的無線互連網路

從 SDM 本身可以做的設定真的不多, 不過如果
點選 Edit Interface / Connection 頁籤, 然後
再點選 Summary, 就可以開啟或關閉界面。
92
設定我們的無線互連網路

如果是點選 Edit 按鈕, 則可以在界面中加入
NAT、或存取清單等等。
93
設定我們的無線互連網路


從本節第一個畫面中的 Create Connection 畫
面, 或是從您在第二個畫面中點選 Edit 之後出
現的螢幕畫面中, 都可以點選 Launch
Wireless Application。
它會開啟新的 HTTP 畫面, 讓您從 Express
Set-up 中設定無線裝置的組態。
94
設定我們的無線互連網路
95
設定我們的無線互連網路





如果您在存取點 (例如 1242AP) 中輸入 HTTP,
也會看到相同的螢幕畫面。
SDM 可以對無線界面進行監督, 提供統計值, 以
及在配有無線界面的路由器中, 取得對無線設定
模式的存取。
因此, 我們就不必使用 CLI 進行艱苦的設定。
同樣地, 您只能從這裡設定一些基本的資訊。
但是從下個畫面 Wireless Express Security
開始, 就可以在橋接模式或繞送模式進行無線
AP 的設定 - 真的很棒的功能!
96
設定我們的無線互連網路
97
設定我們的無線互連網路

下個畫面顯示出無線界面和基本的設定:
98
設定我們的無線互連網路

下面的畫面是 Wireless Interface 螢幕的第二
部分。
99
設定我們的無線互連網路

在 Wireless Security 標題之下才是 HTTP 管
理發光發熱之處!您可以設定加密、加入 SSID、
並且設定 RADIUS 伺服器的組態。
100
設定我們的無線互連網路

現在, 如果在 1242AG AP 中輸入 HTTP, 會看到
下面的畫面。

這看起來很像我們會在 ISR 路由器中發現的 AP,
而且我們還可以設定這些裝置的組態和安全性。
101
12 - 4 摘要




對我們這些已經深深依賴無線技術的人而言, 真
的很難想像一個沒有無線網路的世界 - 在沒有
手機之前, 我們到底是怎麼過日子啊?
本章先探討無線網路運作的基礎原理。
在此基礎之上, 我們接著介紹了無線 RF 的基本
原理和 IEEE 標準。
我們討論了 802.11 的開端和演進, 一直到目前
和不久之後的標準, 並且討論了建立它們的子委
員會。
102
摘要



這些討論帶領我們進入無線安全的討論 - 或者
應該說, 大多數是無線「不安全」。
這很合理地帶領我們進入 Cisco 對這項困境的
專屬性方案:Cisco 整合式無線方案。
本章最後使用 SDM 來設定無線網路和它的相
關裝置。
103