论坛 › 无线网络工程区 › 干货~WLAN从入门到精通系列-WLAN技术连载帖汇总

飘_絮 发表于 2015-1-24 21:46

【WLAN从入门到精通-基础篇】第6期——WLAN常用概念

最近小编在微博上看到一个笑话，说是：楼主一时心血来潮，把家里的WIFI名设置成了who will love me，密码是nobody。结果第二天，整栋楼都连上了楼主的WIFI。这个笑话是略夸张了，不过里面出现的WIFI名正好引出本期的主题——本期小编将为大家介绍一下WLAN的基础概念。http://support.huawei.com/ecommunity/showimage-10100681-10141581-3a294ac406dc4d4a45a856277111aeac.jpg首先为大家隆重介绍的就是微博中提到的“who will love me”，WLAN术语称之为SSID。SSID是大家日常生活中接触的最多的，比如我们去星巴克，一边喝咖啡一边上网，当我们用手机搜索无线网络，弹出的“CMCC-STARBUCKS”就是SSID。SSID的全称是Service Set Identifier，也就是服务集标识符，用于标识一个服务集，按照大部分人的理解，也就是用来标识一个可用的网路。而所谓服务集，就是一组互相有联系的无线设备，这样理解起来有点抽象，举个例子，在星巴克咖啡馆提供的无线网络中，我们的手机、平板电脑，带无线网卡的笔记本这一系列无线终端（在WLAN中称之为工作站STA，Station），只要连上AP，实际上就构成了一个服务集。在这个服务集内，只要终端和AP关联，终端就能够相互通信（当然是需要通过AP），也可以通过AP访问外部网络。http://support.huawei.com/ecommunity/showimage-10100683-10141581-f9eb15539aa551e1a82ee3aefd8bfa39.jpg如果这个咖啡店很小，只要一个AP就能hold住全场，也就是说这个服务集中只有一个AP，那么这个服务集就可以被认为一个基本服务集BSS。BSS是无线网络的基本服务单元。所有的终端关联到一个AP上，该AP连接其他有线设备，并且控制和主导整个BSS中的全部数据的传输过程。如果咖啡店非常大，又或者这不是一个咖啡馆，而是一个大型商场，那么势必会存在多个AP，要知道一个BSS所覆盖的地理范围有限，直径不超过100米，这个时候就会有一个扩展服务集ESS（Extend Service Set）的概念。ESS简单理解，就是多个使用相同SSID的BSS组成，但是这中间隐含2个条件：1、这些BSS是要比邻安置。2、这些BSS通过各种分布系统互联，有线无线都可以，不过一般都是以太网。只有满足上述条件后，我们才认为这些BSS可以被统一为一个ESS。当然了，如果是两家星巴克里提供的网络，虽然提供的网络号一样，都叫“CMCC-STARBUCKS”，但这显然不是一个ESS。http://support.huawei.com/ecommunity/showimage-10100685-10141581-e8d3a92a46cadb47e3f28d72e306d934.jpg由于使用的是相同的SSID，我们根本感不到我们是接在多个BSS上，而是如同接在同一个AP上一样。终端在ESS内的通信和在BSS中类似，不过如果BSS中终端A想和另一个BSS中的终端B通信，则是需要经过2个接入点AP1和AP2，即A->AP1->AP2->B。特别的，在同一个ESS中的不同BSS之间切换的过程称为漫游。上图也画出了终端A从BSS1域漫游到BSS2（图上的A’的位置），此时A仍然可以保持和B的通信，不过A在漫游前后的接入点AP改变了。小编刚刚在前文讲了，我们用SSID来标识一个网络，还记得吗。我们讲的SSID通常是一个不超过32个字符的字符串，这个SSID又叫ESSID，是对ESS的标识。小编说过，只要在一个ESS中，我们是感觉不到接在哪个BSS上的对吧，你不知道没事，但终端设备得知道吧，于是就有了BSSID这个概念。这个BSSID就是用来标识BSS的。这个标识符是一个长度为48位的二进制标识符，通常是这个BSS里面AP的MAC地址。前面讲过，我们在咖啡店想用无线网上网，可是有的会搜到网络名很类似好几个SSID。为什么会这么做呢，其实内有乾坤。会提供两个SSID，是因为其中一个是提供给大众的，密码是公开的，不过上网质量就一般般，而另一个是提供给内部员工的，上网质量会更好，不过密码就不公开啦，这样一般都是为了保证内部员工的上网质量。按照前面的说法，一个AP构建一个服务集，那么要组建这么一个网络是不是势必需要2个AP呢？当然不是。华为的设备还可以配置VAP，为用户提供差异化的WLAN业务。所谓VAP就是在一个物理实体AP上虚拟出多个虚拟的AP，每一个被虚拟出的AP就是一个VAP，每个VAP提供和物理实体AP一样的功能。VAP的优势显而易见，多个虚拟的AP工作在同一个硬件平台，提高了硬件的利用率；网络管理员可以为不同VAP设置不同SSID，安全设置，QoS设置等策略和功能，也增加了网络的灵活性。http://support.huawei.com/ecommunity/showimage-10100687-10141581-f5d3dc72136415bebf87c218034f2689.jpg看到这里，有人要问小编了，你刚才讲了在一个ESS中怎么区分BSS，可是这是在一个一个AP上啊，我咋知道我接的是哪个VAP啊？其实VAP也是用BSSID来区分的，但是这是BSSID不是用的物理AP的MAC地址，而是用的VAP的MAC地址。而这个VAP的MAC地址实际上和物理AP的MAC地址是有影射关系的，见图。http://support.huawei.com/ecommunity/showimage-10100897-10141581-e8edfb8c8d1824f57834a8cc33ca793f.jpg一般第一个VAP的MAC是跟AP的MAC地址一样的，后面的VAP的MAC地址是在AP的MAC的最后一位顺序加一。当然，BSSID没有ESSID来的好记，毕竟是一串无序数据，所以也会为VAP添加一个SSID来方便记忆。顺便说一句，在一个AP上可以创建16个VAP。好了，总结一下，本期为大家介绍的基本概念有：
概念全称描述
BSS基本服务集BSS（Basic Service Set）无线网络的基本服务单元，通常由一个AP和若干无线终端组成。
ESS扩展服务集ESS（Extend Service Set）由多个使用相同SSID的BSS组成，解决BSS覆盖范围有限的问题。
SSID服务集标识符SSID（Service Set Identifier）用来区分不同的无线网络。
ESSID扩展服务集标识符ESSID（Extended Service Set Identifier）一个或一组无线网络的标识，和SSID是相同的。
BSSID基本服务集标识符BSSID（Basic Service Set Identifier）在链路层上用来区分同一个AP上的不同VAP，也可以用来区分同一个ESS中的BSS。
VAP虚拟接入点VAP（Virtual Access Point）AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。
希望对大家认识WLAN有帮助，本期就介绍到这里，下期我们将会为大家介绍AP上线的方式和过程，敬请期待！

飘_絮 发表于 2015-1-24 21:47

【WLAN从入门到精通-基础篇】第7期——AP上线过程






话说AP家有兄弟俩，哥哥胖AP（FAT AP）身强体健，单打独斗，无人能出其右，弟弟瘦AP（FIT AP）天生体质薄弱，独自一人无法支撑大梁。有天弟弟对哥哥说：“大哥，我真是羡慕你，一个人就能轻松承担无线用户接入、用户数据加密和转发等功能，而我自己一人，却什么都干不了啊。”哥哥说到：“弟弟莫要灰心，俗话说，天生我材必有用，虽说单打独斗你不是我对手，可是我的能力也仅限于小型企业、商店、SOHO办公、家庭等这类的小型WLAN网络应用场景，对于更大的WLAN网络场景，却是心有余而力不足了。反观弟弟你，若是能找到一个好的师傅（AC），在师傅的带领下，和众多师兄弟（其它的FIT AP）一起，应对各类大中小型企业总部、分支机构、高校、机场、体育场等等大中型WLAN网络应用场景，还不是手到擒来。”听完此话，弟弟恍然大悟：“大哥言之有理，小弟这就准备准备，寻找名师拜入门下。”
于是FIT AP就开始了他的拜师之旅-这就是我们本次分享的内容：AP上线过程。从前面的WLAN技术贴中，我们了解到了AP分胖瘦，FAT AP能够独自承担无线用户接入、用户数据加密和转发等功能，而FIT AP必须依赖于AC才能共同完成这些功能。AC在协同FIT AP共同工作之前，必先要实现FIT AP在AC中上线的过程。拜师之前，FIT AP心想，出门在外，得先有个联系方式（IP地址）才行，不然要是有师傅愿意接收自己，却没有联系方式找到自己，岂不是错过了机会。于是FIT AP来到了DHCP Server营业厅办理IP地址业务。AP获取IP地址一进营业厅，FIT AP就大喊一声（广播方式）：“我要办理一个IP地址。”这时有多位DHCP Server的工作人员热情回复，“您好，来看看我这的IP地址，是否满意。”FIT AP毫不犹豫，直接走向第一个回复的工作人员，“好，就要你给的IP地址了。”工作人员打包好IP地址、租期日期、网关地址、DNS Server的IP地址等等信息，一起交给FIT AP，道：“请拿好，这就是您要的货物了。”收好自己的IP地址，FIT AP满意的走出了营业厅大门。http://support.huawei.com/ecommunity/showimage-10104187-10141581-8cefccc6325f6b62ea0c1343afcea35d.jpgAP的IP地址可以是静态配置的，也可以是通过DHCP动态获取的。如果是静态配置的，AP的IP地址立即就确定了，这一步也就结束了。如果是通过DHCP动态获取，AP不知道谁是DHCP Server，会以广播discovery报文的方式去发现DHCP Server，所有收到这个广播信息的DHCP Server都会单播offer回应AP。AP只接收第一个到达的offer，并广播request告诉所有人，我已经选择好了一个DHCP Server了，其他人不需要再准备为我提供DHCP Server服务了。AP选择的DHCP Server会把AP的IP地址、租期日期、网关地址、DNS Server的IP地址等信息用ACK报文反馈给AP。值得注意的是这个ACK报文里面有个option43字段，里面可以用来填充AC的IP地址。作用就是直接告诉AP有AC的IP地址可用。具体在后面的AP发现AC阶段中描述其作用。有的时候AP与DHCP Server不在同一个VLAN中，AP通过广播discovery报文不能直接发现DHCP Server，这个时候，可以通过DHCP Relay来发现DHCP Server。AP获取IP地址的流程就变成了下面的样子：http://support.huawei.com/ecommunity/showimage-10104189-10141581-b88b0ce83edf351a91ad93671e2d7019.jpgAP原来只需要直接和DHCP Server交流，现在变成了和DHCP Relay直接交流，由DHCP Relay将AP的请求单播给DHCP Server，DHCP Server回复给AP的消息也要通过DHCP Relay来转达。Ps：具体的DHCP客户端和服务器的交互过程本帖不做过多的介绍，本帖仅关注AP上线的关键过程。可以参考DHCP特性的原理描述来了解详细过程。联系方式既然已经获取到，下一步就是要寻找师傅了。AP发现AC这个时候AP突然想起，DHCP Server营业厅的工作人员给过自己一份广告传单。上书“你想升职加薪，当上总经理，出任CEO，赢取白富美，走上人生巅峰吗！赶紧拨打我们的电话，成为我们大企业WLAN的一份子吧，圆你美梦。机不可失，时不再来，名师在向您招手”。原来是一份招聘广告，上面还有一位AC师傅的号码（Option43）。AP深吸一口气，平复一下略微紧张的心情，拨通了传单上的师傅电话。 http://support.huawei.com/ecommunity/showimage-10104191-10141581-b9032d0f6b579c18adcb2599136991df.jpg想象中的场景没有出现，而是 http://support.huawei.com/ecommunity/showimage-10104193-10141581-ff8abee208c25a941e9e92b8583c9e6b.jpg对方的电话一直没有人接听，AP感到一阵失望，但并未气馁。既然此路不通，只好找其它方法了。有了，AP脑中灵光一闪，迅速坐到电脑前，打开AC师傅招收学徒的网页，注册了个账号，填写一份简历，然后群发了出去。很快AP就收到了来自多个AC的回复，AP根据各个AC师傅的特点，仔细对比，选择出了一个最适合自己的AC，准备拜师。静态方式AP上是支持静态配置AC的IP地址的，如果静态配置了AC的IP地址，AP就会向所有配置的AC单播发送发现请求报文，然后根据AC的回复，根据优先级，选择一个AC，准备进行下一个阶段的建立CAPWAP隧道。动态方式如果AP上没有配置AC的IP地址，AP会根据当前的情况来决定是使用单播方式还是广播方式来发现AC。首先，AP会查看AP获取IP地址阶段中DHCP Server回复的ACK报文中的option43字段是否存在AC的IP地址，这个字段是可选择配置的，如果有AC的IP地址，AP就会向这个地址单播发送发现请求报文。在AC和网络都正常的情况下，AC会回应AP的请求，至此，AP就完成了发现AC的过程。我们可以把这种发现AC的方式称为DHCP方式。与DHCP方式类似的还有DNS方式，与DHCP方式不同的是，DNS方式中，DHCP Server回复的ACK报文中存放的不是AC的IP地址，而是AC的域名和DNS服务器的IP地址，并且报文中携带的option15字段用来存放AC的域名，AP先通过获取的域名和DNS服务器进行域名解析，获取AC IP地址，然后向AC单播发送发现请求。之后的过程就和DHCP方式一致了。无论是DHCP方式还是DNS方式，都是属于单播方式，AP都是发送的单播报文给AC。如果AP上没有配置静态的AC IP地址、DHCP Server回复的ACK报文中没有AC的信息、或者AP单播发送的发现请求报文都没有响应，此时AP就会通过广播报文来发现AC。和AP处于同一个网段的所有AC都会响应AP的请求，AP会选择优先级最高的AC来作为待关联的AC，如果优先级相同，则继续比较AC的负载，负载轻的作为待关联AC，如果负载也相同，则选择IP地址小的作为待关联AC。然后准备进行下一阶段的CAPWAP隧道建立。http://support.huawei.com/ecommunity/showimage-10104195-10141581-dbdc4837dad4d30fc72375b56df0ec80.jpgPs：Option 43在AC和AP间的网络是二层的场景下，存在的作用不明显，因为通过单播发现不了AC，可以再次通过广播来发现，但是如果AC和AP间的网络是三层的，广播报文是无法直接传递到AC的，所以必须要通过Option43来告知AP要找的AC是哪个。CAPWAP隧道建链虽然有点小困难，但最终还是找到了师傅，AC师傅看到AP后，直言道：“当今的社会，大家都非常注意信息安全，你我之间的谈话内容和下发的工作信息，我不希望被其他有心人听取到，所以今后我们之间的交流方式要加一套保险措施。”AP略一思索，觉得也有道理，便问道：“什么保险措施能够起到有效的保障呢？”。师傅捋了捋自己的长须，得意的道：“CAPWAP隧道”CAPWAP全称是Control And Provisioning of Wireless Access Points，中文名叫无线接入点控制与规范，CAPWAP是由RFC5415协议定义的实现AP和AC之间的互通的通用封装和传输机制。CAPWAP隧道又细分为控制隧道和数据隧道。控制隧道是用来传输AC管理控制AP的报文、业务配置以及AC与AP间的状态维护报文；数据隧道则只有在隧道转发（又称集中转发）方式下才用来传输业务数据。AP发现了AC后，就可以开始CAPWAP隧道的建立了。AP接入控制接下来，到了考验AP入门资格的时候了，不是每一个AP都是符合入门要求的AP。在AP提出要拜师的想法后，为了保证入门AP的合法性，防止有外人或间谍（非法AP）混入，AC师傅设置了一系列的考核要求进行检验，AP必须过五关斩六将，才能最终通过考验，拜入AC门下。鉴于AP是带艺投师，AC还要验证AP的内功（AP版本）是否与本门是一个路数，是否和本门武功相冲。http://support.huawei.com/ecommunity/showimage-10104197-10141581-0a82d856af08c3e09c230af289f1dc6e.jpg
AP在找到AC后，会向AC发送加入请求，（如果配置了CAPWAP隧道的DTLS加密功能，会先建立DTLS链路，此后CAPWAP控制报文都要进行DTLS加解密。）请求的内容中会包含AP的版本和胖瘦模式信息。AC收到AP的加入请求后，会判断是否允许AP接入，然后AC进行回应。如果AC上有对应的升级配置，则AC还会在回应的报文中携带AP的版本升级信息（升级版本、升级方式等）。AC判断AP是否能够接入的流程：http://support.huawei.com/ecommunity/showimage-10104199-10141581-6b88c3e3fbb04980a1e0f8224a92b127.jpg
第一关，首先查看AP是否被列入了黑名单，如果在黑名单中能匹配上AP，则不允许AP接入，然后就没有然后了。如果很幸运，没有匹配上黑名单，那么将进入第二关。第二关，判断AP的认证模式，如果AC上对AP上线要求不严格，认证方式为不认证，则到这一关的AP都将闯关成功，允许接入。实际使用场景还是建议使用MAC或SN认证，严格控制AP的接入。如果是MAC或SN认证，还需要继续闯关。第三关，本关MAC或SN认证分别要验证MAC或SN对应的AP是否离线添加，如果已添加，则允许AP接入，否则进入下一关。第四关，查看AP的MAC或SN是否能在白名单中匹配上，如果匹配上，则允许接入，否则AP被放入到未认证列表中。第五关，未认证列表中的AP可以通过手动配置的方式，允许其接入，如果不对其进行手动确认，AP也无法接入。AP版本升级AC收下AP为徒后，递给AP一本本门的内功心法要求，AP打开一看，发现自己所学的内功心法（AP版本）竟然与师傅所要求的相冲，AP一咬牙，不破不立，毅然散去所学内功，重修本门的心法。AP收到前一阶段AC回应的报文后，如果发现里面有指定了AP的版本，并且指定的版本与AP当前的版本不一致，会进行AP版本升级。升级完成后，AP自动重新启动，并且重复之前的所有上线过程。如果AP发现AC回应的报文里面指定的AP版本和自身的版本一致，或者没有指定AP的版本，则AP不需要进行版本升级。直接进入下一个阶段。CAPWAP隧道维持“为了便于关注你的工作状态，对你进行管理和任务分发，你和为师之间要通过CAPWAP隧道来维持联系。平时会通过定时收发echo报文来确认控制隧道、keepalive报文来确认数据隧道的连通性，你要记住了，平时别偷懒忘记收发这些报文了。”“徒儿记住了。”根据CAPWAP协议的要求，AP和AC间还需要进行一些其它报文的交互，然后AP和AC间开始通过keepalive和echo报文来检测数据隧道和控制隧道的连通性。Keepalive报文的出现，标志着数据隧道已经建立起来，echo报文的出现，则标志着控制隧道的已经建立。配置下发“师傅，一切都已准备就绪，请下发工作任务给我吧”，AP急不可耐的道。“好，我这就下发。从现在起你就和其他师兄弟一起，共同承担我分发的任务，一起保障WLAN业务的正常运行吧。”CAPWAP隧道建立完成后，AC就可以把配置下发给AP了。AP收到AC的配置信息后，就能以AC上配置的业务来展开WLAN业务了。后记FIT AP拜师入门已经过去一段时日，这日，FIT AP遇到了哥哥FAT AP，哥哥道：“如何，现在已经拜得名师，大展身手了吧。”弟弟喜笑颜开：“多亏大哥当时指点，前些日子我已经顺利拜入师傅名下，习得高深的内功，现在被师傅委以重任，与诸位师兄弟一起，支撑起来大片的WLAN网络场景。”“好，你我兄弟各有短长，今后我们可以携手并进，轻松应对各类无线组网场景。在WLAN江湖中闯出自己的一片天地。”

飘_絮 发表于 2015-1-24 21:48

【WLAN从入门到精通-基础篇】第8期——STA接入过程






上期和大家分享了FIT AP在AC上的上线过程，其实无论是FAT AP还是上线的FIT AP，最终目的都是要用来提供无线网络覆盖环境，以供无线终端STA接入。这样我们才能在日常的生活和工作中，在无线网络覆盖范围内，通过便捷的无线方式，经AP连接到网络中，进行娱乐或办公。本期将要为大家介绍的是在无线网络环境中，STA是如何接入到AP上的——STA接入过程。
上一回我们说到FIT AP经过一段不轻松的过程，成功拜入AC师傅的门下，获得师傅的认可后，修习了高深的内功，此后，和诸位师兄弟一起，被师傅委以重任。在玉树临风风流倜傥才高八斗学富五车的师傅的英明领导下，众师兄弟齐心协力建立起了名噪一时的龙门镖局，师傅AC任总镖头，AP作为镖师专为各类主顾押镖。龙门镖局以响应主顾速度快，托镖安全有保障而为众人熟知。故坊间有传言“挖掘技术哪家强，中国山东找蓝翔；托运镖物谁最能，首屈一指是龙门”。经过一段时间的打拼，龙门镖局现已名声在外，能够走到这一步，镖局处理托镖事务的标准规范流程起了重要的作用。那么我们就来看看要想找龙门镖局托镖，具体需要怎么做吧。
主顾STA找镖局托镖，具体过程有三：其一、寻找到满意的镖师AP（扫描：用于STA发现无线网络）；其二、向镖师出示自己的托镖资格（链路认证：STA和AP间无线链路的认证过程，通过了这个认证，才表示STA有资格和AP建立无线链路）；其三、签订托镖协议（关联：确定STA有资格和AP建立无线链路后，STA还需要与AP协商无线链路的服务参数，才能完成无线链路的建立）。本文以STA找镖局托镖的流程来喻指STA接入过程，托镖则指数据传输。这里我们说的STA接入过程，包括三个阶段：扫描、链路认证和关联。http://support.huawei.com/ecommunity/showimage-10106331-10141581-cadc8dfac0c3bef6e2bb04ab62ea8661.jpg完成了这三个阶段后，STA就连接上了AP。后续STA还要根据实际情况，来决定STA是获取IP地址后就可以接入网络，还是需要再进行各种接入认证和密钥协商后才能接入网络（图中是以Portal认证的流程为例，获取IP是在接入认证之前，不同的认证方式获取IP的顺序可能不一样，例如MAC认证，获取IP是在接入认证之后进行的）。Ps：接入认证和密钥协商不是一定要进行的，在STA关联阶段，STA会根据收到的关联回应报文来决定是否需要进行接入认证和密钥协商。具体会在后面的关联阶段描述。但在实际的应用中，考虑到无线网络的安全性，通常都会选择进行接入认证和密钥协商的。第一阶段：扫描主顾STA在托镖之前，首先要找到自己满意的镖师。因为镖局为适应市场需求，在不同区域安排有不同的镖师负责业务，而主顾可能会在不同的区域中移动，因此主顾就需要及时的了解到当前有哪些镖师可以雇佣。主顾找到可雇佣镖师的过程，用行话来说就是扫描。主顾可以主动的去寻找镖师，也可以被动的等待镖师推送给你的服务信息。联系到平时我们使用手机连接Wi-Fi之前，通常都是要先看看当前手机上能搜索到哪些无线信号，然后再选中一个网络接入。图中是手机搜索到的无线网络，里面的那一串串字母是啥？对了，就是我们之前介绍过的SSID，也就是每个无线网络的标志。而我们就是通过点击其中的一个想要连接的SSID来进行联网的。http://support.huawei.com/ecommunity/showimage-10106333-10141581-5fde88caef20a1d352447d87eb8ebe64.jpg其实在这里就体现了一个信息，要想连接无线网络，就需要先搜索到无线网络。STA搜索无线网络的过程就叫做扫描。当然现在很多手机在开启Wi-Fi连接功能的时候，如果以前连接的网络能够连上，会自动就连接以前的网络，这是手机软件为简化用户的操作而设计的功能，并不是说手机就不用再进行扫描过程了。实际上扫描过程是手机等这类STA自动进行的过程，我们在使用的时候，看到的已经是扫描到的结果了。扫描分为两类：主动扫描和被动扫描。正如字面的含义，主动扫描是指STA主动去探测搜索无线网络，而被动扫描则是指STA只会被动的接收AP发送的无线信号。具体过程请看下文描述。主动扫描主动寻找镖师的过程中，主顾STA会在其力所能及的范围内，主动去寻找都有哪些镖师可以帮忙押镖。现在STA已经前往镖局，寻找所有能提供服务的镖师。进入镖局后，STA找了个稍高的位置站好，喊了一嗓子，“有镖师可以帮忙托镖没，这有一宗大买卖”，也许是大买卖三个字引起了众镖师的关注，几乎是最短的时间内，所有的镖师的回应了STA的请求。一般按照龙门镖局的规范要求，所有在位的镖师都要回应主顾的需求，为的就是能够让主顾能够完整的获取到镖师的信息，为主顾提供更多的选择。而STA现在需要做的就是从中选择一个最中意的镖师。http://support.huawei.com/ecommunity/showimage-10106335-10141581-820cc29154ce136f32d3916ebc6f4d4c.jpg主动扫描情况下，STA会主动在其所支持的信道上依次发送探测信号，用于探测周围存在的无线网络，STA发送的探测信号称为探测请求帧（Probe Request）。探测请求帧又可以分为两类，一类是未指定任何SSID，一类是指定了SSID的。1、探测请求帧里面如果没有指定SSID，就是意味着这个探测请求想要获取到周围所有能够获取到的无线网络信号。所有收到这个广播探测请求帧的AP都会回应STA，并表明自己的SSID是什么，这样STA就能够搜索到周围的所有无线网络了。（注意如果AP的无线网络中配置了Beacon帧中隐藏SSID的功能，此时AP是不会回应STA的广播型探测请求帧的，STA也就无法通过这种方式获取到SSID信息。）有时候STA发现热情的镖师实在是太多了，为了能够迅速找到想要雇佣的镖师，STA会直接喊出镖师的名字，这样其他的镖师自然不会再来打扰，而只有被点名的镖师才会找上前来，与主顾沟通交流。http://support.huawei.com/ecommunity/showimage-10106337-10141581-e656a0f8404bd2ba78e18d0ea1805ff6.jpg2、探测请求帧中指定了SSID，这就表示STA只想找到特定的SSID，不需要除指定SSID之外的其它无线网络。AP收到了请求帧后，只有发现请求帧中的SSID和自己的SSID是相同的情况下，才会回应STA。被动扫描除了通过主动去镖局的方式寻找镖师外，镖师也会定期发送信息或传单来告诉主顾们这里有镖师可以提供押镖服务。通过这些主动送上门的信息或传单上的联系方式，STA也能找到可以雇佣的镖师。这样做的好处当然就是让主顾更加的省力省事了。被动扫描情况下，STA是不会主动发送探测请求报文的，它要做的就只是被动的接收AP定期发送的信标帧（Beacon帧）。http://support.huawei.com/ecommunity/showimage-10106339-10141581-c41a6ebe597017df33fc2b955145aedc.jpgAP的Beacon帧中，会包含有AP的SSID和支持速率等等信息，AP会定期的向外广播发送Beacon帧。例如AP发送Beacon帧的默认周期为100ms，即AP每100ms都会广播发送一次Beacon帧。STA就是通过在其支持的每个信道上侦听Beacon帧，来获知周围存在的无线网络。（注意如果无线网络中配置了Beacon帧中隐藏SSID的功能，此时AP发送的Beacon帧中携带的SSID是空字符串，这样STA是无法从Beacon帧中获取到SSID信息的。）STA是通过主动扫描还是被动扫描来搜索无线信号呢？这完全是由STA的支持情况来决定的。手机或电脑的无线网卡，一般来说这两种扫描方式都会支持。无论是主动扫描还是被动扫描探测到的无线网络都会显示在手机或电脑的网络连接中，供使用者选择接入。而一般VoIP语音终端通常会使用被动扫描方式，其目的是可以节省电量。当手机扫描到无线网络信号后，我们就可以选择接入哪个网络了，这时STA就需要进入链路认证阶段了。第二阶段：链路认证当STA找到满意的镖师后，并不能够直接就让镖师押送货物，而是需要先通过镖师的认证，验证STA的合法资格后才能签订押镖协议，避免不合法或恶意的STA进行不可告人的活动。龙门镖局为主顾们提供了好几种服务套餐（安全策略），每种服务套餐都会包含有不同的方式来验证STA的合法资格。但总的来说验证STA资格的方式分有两种：开放系统认证和共享密钥认证。STA和AP之间是通过无线链路进行连接的，在建立这个链路的过程中，需要要求STA通过无线链路的认证，只有通过认证后才能进行STA和AP之间的无线关联。但此时尚不能判断，STA是否有接入无线网络的权限，需要根据后续STA是否要进行接入认证、是否通过接入认证才能判断。一说到认证，可能大家就会想到802.1X认证、PSK认证、Open认证等等一堆的认证方式。那这些认证方式和链路认证有什么关系呢？在解决这个问题前，我们先来简单的了解下安全策略。安全策略体现的是一整套的安全机制，它包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。如同下表中，列举出来几种安全策略所对应的链路认证、接入认证和数据加密的方式。
安全策略链路认证方式接入认证方式数据加密方式说明
WEPOpen不涉及不加密或WEP加密不安全的安全策略
Shared-key Authentication不涉及WEP加密仍然是不安全的安全策略
WPA/WPA2-802.1XOpen802.1X（EAP）TKIP或CCMP安全性高的安全策略，适用于大型企业。
WPA/WPA2-PSKOpenPSKTKIP或CCMP安全性高的安全策略，适用于中小型企业或家庭用户。
WAPI-CERTOpen预共享密钥鉴别SMS4国产货，应用的少，适用于大型企业和运营商。
WAPI-PSKOpenWAPI证书鉴别SMS4国产货，应用的少，适用于小型企业和家庭用户
这里再配合下面这张图一起理解下。链路认证和接入认证是先后两个不同阶段的认证。http://support.huawei.com/ecommunity/showimage-10106341-10141581-d19f5bcefd6a429150222783a095956f.jpg从表中可以看出，安全策略可分为WEP、WPA、WPA2和WAPI几种，这几种安全策略对应的链路认证其实只有Open和Shared-key Authentication两种，而802.1X和PSK则是属于接入认证方式。另外用户接入认证方式其实还包括表中未列出的MAC认证和Portal认证。（Ps：更多的安全策略、MAC认证和Portal认证的内容，可以参考WLAN安全特性和安全特性的特性描述。）现在回到我们的主题上来，链路认证包括Open和Shared-key Authentication，具体认证过程是怎么样的呢？开放系统认证(Open System Authentication)为加快镖师处理业务的速度能力，龙门镖局使用了一种叫做开放系统认证的方式来检查主顾的合法资格，只要主顾有托镖请求，镖师都会直接同意。当然这样做会存在安全隐患，让不合法的主顾有机可趁，所以为了提高镖局的安全保障，通常配合这套认证方式，会在后面的托镖流程中再进行一次严格的方式来专门检查主顾的合法资格。http://support.huawei.com/ecommunity/showimage-10106343-10141581-0888925a16697bcf0d026decc4cf011e.jpg开放系统认证简称就是Open认证，又叫不认证。但是要注意，不认证也是一种认证方式，只不过这种链路认证方式下，只要有STA发送认证请求，AP都会允许其认证成功，是一种不安全的认证方式，所以实际使用中这种链路认证方式通常会和其它的接入认证方式结合使用，以提高安全性。http://support.huawei.com/ecommunity/showimage-10106345-10141581-42a5d10d2eb12ee53cd2f81cdde6d1b2.jpg共享密钥认证(Shared-key Authentication)另一种方式叫共享密钥认证，需要主顾和镖师间先确定好一个暗语，主顾发出托镖请求后，镖师会用暗语的方式验证主顾的身份合法性。通过了认证会给主顾办理托镖业务。http://support.huawei.com/ecommunity/showimage-10106347-10141581-4295378f95ec8c6fc2aae0496d9d0c61.jpg看到共享密钥认证，从名称上很容易就让人联想到预共享密钥认证PSK（Pre-shared key Authentication），其实共享密钥认证是一种链路认证方式，而预共享密钥认证是一种用户接入认证方式，两种认证方式的过程实际上是类似的。共享密钥认证的过程只有四个步骤，在认证前，需要在STA和AP上都配置相同的密钥，否则是不能认证成功的。http://support.huawei.com/ecommunity/showimage-10106349-10141581-c55b0d3b556111428e3cff39644a24bf.jpg认证的第一步，是由STA向AP发送一个认证请求。接着，AP在收到请求后会生成一个挑战短语，再将这个挑战短语发送给STA，假设这个挑战短语是A。然后，STA会用自己的密钥Key将挑战短语进行加密，加密后再发给AP，假设加密后变为了B。最后，AP收到STA的加密后信息B，用自己的密钥Key进行解密。只要STA和AP上的密钥配置的一致，解密出来的结果就会是A，AP会将这个结果与最开始发给STA的挑战短语进行对比，发现结果一致，则告知STA认证成功，结果不一致则就会认证失败。链路认证成功后，STA就可以进行下一步的关联阶段了。第三阶段：关联验证完了主顾的合法资格后，镖师将主顾请到会客室，准备签订托镖协议。STA将准备好的各类协议材料提交给镖师，然后镖师会把这些材料递交给镖头，由现任的镖头AC来审核签订协议。审核签订完成后，镖师再把镖头的审核签订结果递交给主顾。至此，STA完成了托镖的流程。http://support.huawei.com/ecommunity/showimage-10106355-10141581-abe2a015c91d4e366ff174e6561f6a33.jpg关联总是由STA发起的，实际上关联就是STA和AP间无线链路服务协商的过程。关联阶段也是一个只有关联请求和回应的两步的过程。http://support.huawei.com/ecommunity/showimage-10106353-10141581-c2248c2b4923b807ebb495681817d0ec.jpgSTA在发送的关联请求帧中，会包含一些信息，包括STA自身的各种参数，以及根据服务配置选择的各种参数。（主要包括STA支持的速率、信道、QoS的能力，以及选择的接入认证和加密算法等等。）如果是FAT AP收到了STA的关联请求，那么FAT AP会直接判断STA后续是否要进行接入认证并回应STA；如果是FIT AP接收到了STA的关联请求，FIT AP要负责将请求报文进行CAPWAP封装后发送给AC，由AC进行判断处理，并且FIT AP还要负责将AC的处理结果解CAPWAP封装后再发送给STA。（在这个过程中FIT AP起到一个传话筒的作用，且AP和AP间的这类关联报文需要通过CAPWAP隧道传输。）托镖协议签订完成后，根据主顾选择的服务套餐，后续会有不同的托镖流程。例如，主顾选择的是WEP安全策略的服务套餐（例如Open+不加密），这种情况下，协议签订完成后，STA获取一个临时联系方式（获取IP地址），就可以通过镖局发镖了。如果主顾选择的是WPA安全策略的服务套餐（例如Open+802.1X+CCMP），协议签订完成后，用户获取联系方式后，还需要进行一轮新的身份权限认证（802.1X认证）和密钥协商，成功后才能通过镖局发镖。关联完成后，表明STA和AP间已经建立好了无线链路，如果没有配置接入认证，STA在获取到IP地址后就可以进行无线网络的访问了。如果配置了接入认证的，STA还需要完成接入认证、密钥协商等阶段才能进行网络访问。（如果接入认证失败，仅可以访问Guest VLAN中的网络资源或Portal认证界面。）其它阶段如前面链路认证阶段所述，接入认证包括802.1X认证、PSK认证、MAC认证以及Portal认证。通过这些认证方式可以实现了对用户身份的认证，提高了网络的安全性，而密钥协商是对用户数据安全提供保障。完成接入认证和密钥协商后，就可以进行网络访问了。限于本期的重点，详细的内容不加以描述，有兴趣了解这方面内容，可以参考WLAN安全和安全的特性描述。最后给大家分享个内涵故事，并用本期介绍的知识简单分析下。一对新婚夫妻，老婆为了向某单身闺蜜秀优越，带着新婚的老公去看望该单身闺蜜，席间老婆拿出老公的IPhone6，习惯性的开启了Wi-Fi，没有输入密码，直接就连上了网络。。。。。瞬间，她貌似明白了什么，默默的拿出了自己的手机，选择连接闺蜜家的Wi-Fi，显示这是一个安全的网络，需要输入密码才能连接。她醒了，她彻底觉悟了——她的手机能关联闺蜜家的WLAN，但她要输入密码才能使用闺蜜家的Wi-Fi。手机上能看到这个Wi-Fi网络，表示手机成功的通过扫描过程找到了Wi-Fi网络。老公的手机直接能连Wi-Fi，老婆的手机要输密码才能连，并且手机有显示这是一个安全的网络，表示闺蜜家的Wi-Fi是存在密码认证的。手机连接过的Wi-Fi，通常可以存储上次连接时的一些信息，比如密码，那么下次再连接的时候是不需要用户重新输入密码，手机软件直接帮忙输入了。所以老公的手机一定是之前有连过闺蜜家的Wi-Fi，这次才会不用输密码就直接连上。那这个密码是链路认证还是接入认证阶段提示的呢，仅通过上面的信息是无法判断的。因为链路认证可以采用共享密钥加密方式，接入认证可以采用更多的（比如802.1X、PSK、Portal等）认证方式，两者都需要输入密码，所以不能认为需要输密码就是接入认证，也有可能是链路认证。不过在实际使用中，链路认证通常使用Open认证，较少使用共享密钥认证，所以一般情况下是接入认证提示密码的可能性大。

THE   END.

飘_絮 发表于 2015-1-24 21:50

   Warning ！！！

本人郑重声明：
本次发帖之所有内容（包括但不限于汉字、拼音、外文字母、单词、句子、图片、影像、录音，以及前述 之各种任意组合等等）完全是复制粘贴，来源于国际互联网，本人并不明白其全部或部分之意思（包括但不限于对所复制粘贴之内容的识别、阅读、理解、分析、记 忆等等），故本人不对以上及本内容负任何法律责任（包括但不限于刑事、民事责任）及其他潜在责任与义务（包括但不限于相关国家已存在、正在形成、未来将形 成之的法律法规之责任），请不要跨省追捕（包括但不限于省级市级州级县级镇级乡级村级行政机关、企事业单位、司法机关、立法机关等等任何机构、单位、组织 及该机构、单位和组织中的任何个人）。
所有线索及引用，均来自网络。如论坛编辑和版主发现有问题，请及时站内联系并删除，以对笔者和论坛进行保护，如果因不及时删帖而引起的法律纠纷本人概不负责。看帖者也请于24小时内自觉、主动、完全忘记。
如有违反国家有关法律，请网络管理员及时删除本人跟贴。本回贴不暗示、鼓励、支持或映射读者作出生活方式、工作态度、婚姻交友、子女教育的积极或消极判断。
因删贴不及时所产生的任何法律（包括宪法，民法，刑法，书法，公检法，基本法，劳动法，婚姻法，输入法，没办法，国际法，今日说法，吸星大法，可能涉及以及未涉及之法，各地治安管理条例）纠纷或责任本人概不负责。
此声明最终解释权归本人所有。

scmxzl 发表于 2015-1-24 22:13

先顶帖再说， 资料很全， 感谢分享

xiaoxiao116 发表于 2015-1-24 22:30

教程贴~必须大力得顶！！

wjs_9576 发表于 2015-1-24 22:48

wonderful title，thank you micale

77209341 发表于 2015-1-25 00:16

很好，下次建议放网盘

deepinwl 发表于 2015-1-25 01:35

充电站充电……;P

deepinwl 发表于 2015-1-25 01:38

其它楼主4、5期还是该发出来，若要避嫌，将文件名改下或直接4期限、5期就行。
完整的东西总是顺心点！否则总有差点的什么似的感觉。:L

飘_絮 发表于 2015-1-25 11:30

deepinwl 发表于 2015-1-25 01:38
其它楼主4、5期还是该发出来，若要避嫌，将文件名改下或直接4期限、5期就行。
完整的东西总是顺心点！否则 ...

四五期是品牌的介绍和参数

第4期——XXWLAN产品介绍       带您认识一下WLAN产品大家族的小伙伴们
第5期——XXWLAN产品命名规范          WLAN产品的命名有着怎样的规范，不同的命名又分别代表了什么含义呢？   

个人觉得没必要。

明之枫 发表于 2015-1-25 21:18

好东西！学习学校！感谢lz分享！

查看完整版本: 干货~WLAN从入门到精通系列-WLAN技术连载帖汇总