新闻资讯

NEWS CENTER
栏目导航

323 无线网络

发布时间:Mar 04, 2019         已有 人浏览

  ® 802.11 标准。 基本的无线网络中, 都包含多个以 2.4GHz 或 5GHz 频段的无线电波广播的站点 (不过, 随所处地域的不同, 或者为了能够更好地进行通讯, 具体的频率会在 2.3GHz 和 4.9GHz 的范围内变化)。

  802.11 网络有两种组织方式: 在infrastructure 模式中, 一个通讯站作为主站, 其他通讯站都与其关联; 这种网络称为 BSS, 而主站则成为无线访问点 (AP)。 在 BSS 中, 所有的通讯都是通过 AP 来完成的; 即使通讯站之间要相互通讯, 也必须将消息发给 AP。 在第二种形式的网络中, 并不存在主站, 通讯站之间是直接通讯的。 这种网络形式称作 IBSS, 通常也叫做ad-hoc 网络。

  802.11 网络最初在 2.4GHz 频段上部署, 并采用了由IEEE® 802.11 和 802.11b 标准所定义的协议。 这些标准定义了采用的操作频率、 包括分帧和传输速率 (通讯过程中可以使用不同的速率) 在内的 MAC 层特性等。 稍后的 802.11a 标准定义了使用 5GHz 频段进行操作, 以及不同的信号机制和更高的传输速率。 其后定义的 802.11g 标准启用了在 2.4GHz 上如何使用 802.11a 信号和传输机制, 以提供对较早的 802.11b 网络的向前兼容。

  802.11 网络中采用的各类底层传输机制提供了不同类型的安全机制。 最初的 802.11 标准定义了一种称为 WEP 的简单安全协议。 这个协议采用固定的预发布密钥, 并使用 RC4 加密算法来对在网络上传输的数据进行编码。 全部通讯站都必须采用同样的固定密钥才能通讯。 这一格局已经被证明很容易被攻破, 因此目前已经很少使用了, 采用这种方法只能让那些接入网络的用户迅速断开。 最新的安全实践是由IEEE® 802.11i 标准给出的, 它定义了新的加密算法, 并通过一种附加的协议来让通讯站向无线访问点验证身份, 并交换用于进行数据通讯的密钥。 更进一步, 用于加密的密钥会定期地刷新, 而且有机制能够监测入侵的尝试 (并阻止这种尝试)。 无线网络中另一种常用的安全协议标准是 WPA。 这是在 802.11i 之前由业界组织定义的一种过渡性标准。 WPA 定义了在 802.11i 中所规定的要求的子集, 并被设计用来在旧式硬件上实施。 特别地, WPA 要求只使用由最初 WEP 所采用的算法派生的 TKIP 加密算法。 802.11i 则不但允许使用 TKIP, 而且还要求支持更强的加密算法 AES-CCM 来用于加密数据。 (在 WPA 中并没有要求使用 AES 加密算法, 因为在旧式硬件上实施这种算法时所需的计算复杂性太高。)

  除了前面介绍的那些协议标准之外, 还有一种需要介绍的标准是 802.11e。 它定义了用于在 802.11 网络上运行多媒体应用, 如视频流和使用 IP 传送的语音 (VoIP) 的协议。 与 802.11i 类似, 802.11e 也有一个前身标准, 通常称作 WME (后改名为 WMM), 它也是由业界组织定义的 802.11e 的子集, 以便能够在旧式硬件中使用多媒体应用。 关于 802.11e 与 WME/WMM 之间的另一项重要区别是, 前者允许对流量通过服务品质 (QoS) 协议和增强媒体访问协议来安排优先级。 对于这些协议的正确实现, 能够实现高速突发数据和流量分级。

  要使用无线网络, 您需要一块无线网卡, 并适当地配置内核令其提供无线网络支持。 后者被分成了多个模块, 因此您只需配置使用您所需要的软件就可以了。

  首先您需要的是一个无线设备。 最为常用的一种无线配件是 Atheros 生产的。 这些设备由ath(4)驱动程序提供支持, 您需要把下面的配置加入到文件中:

  Atheros 驱动分为三个部分: 驱动部分 (ath(4))、 用于处理芯片专有功能的支持层 (ath_hal(4)), 以及一组用以选择传输帧速率的算法 (ath_rate_sample here)。 当以模块方式加载这一支持时, 所需的其它模块会自动加载。 如果您使用的不是 Atheros 设备, 则应选择对应的模块; 例如:

  (4)卡来进行示范, 如果要套用这些配置的话, 可能需要根据您实际的配置情况来修改示例中的设备名称。 在 FreeBSD 兼容硬件说明中提供了目前可用的无线网络驱动, 以及兼容硬件的列表。 针对不同版本和硬件平台的说明可以在 FreeBSD 网站的Release Information页面找到。 如果您的无线设备没有与之对应的 FreeBSD 专用驱动程序, 也可以尝试使用NDIS驱动封装机制来直接使用Windows® 驱动。对于 FreeBSD 7.X, 在配置好设备驱动之后, 您还需要引入驱动程序所需要的 802.11 网络支持。 对于

  (4)驱动的基础组件, 并会随适配器驱动一起动态加载。除此之外, 您还需要提供您希望使用的安全协议所需的加密支持模块。 这些模块是设计来让

  在系统启动之后, 您会在引导时给出的信息中, 找到类似下面这样的关于无线设备的信息:

  BSSID即无线访问点的 MAC 地址。 而CAPS字段则给出了网络类型及其提供的功能, 其中包括:a

  在这一节中我们将展示一个简单的例子来介绍如何让无线网络适配器在 FreeBSD 中以不加密的方式工作。 在您熟悉了这些概念之后, 我们强烈建议您在实际的使用中采用WPA来配置网络。

  配置无线网络的过程可分为三个基本步骤: 选择无线访问点、 验证您的通讯站身份, 以及配置 IP 地址。 下面的几节中将分步骤地介绍它们。

  在某些环境中, 多个访问点可能会使用同样的 SSID (通常, 这样做的目的是简化漫游), 这时可能就需要与某个具体的设备关联了。 这种情况下, 您还应指定无线访问点的 BSSID (这时可以不指定 SSID):

  wlans_ath0=wlan0 ifconfig_wlan0=ssid

  chanlist参数来指定扫描的频段列表。 关于这些参数的进一步信息, 可以在联机手册ifconfig(8)中找到。

  一旦您选定了无线访问点, 您的通讯站就需要完成身份验证, 以便开始发送和接收数据。 身份验证可以通过许多方式进行, 最常用的一种方式称为开放式验证, 它允许任意通讯站加入网络并相互通信。 这种验证方式只应在您第一次配置无线网络进行测试时使用。 其它的验证方式则需要在进行数据通讯之前, 首先进行密钥协商握手; 这些方式要么使用预先分发的密钥或密码, 要么是用更复杂一些的后台服务, 如 RADIUS。 绝大多数用户会使用默认的开放式验证, 而第二多的则是 WPA-PSK, 它也称为个人 WPA, 在下面的章节中将进行介绍。

  一般而言, 应尽量避免使用共享密钥这种验证方法, 因为它以非常受限的方式使用 WEP 密钥, 使得攻击者能够很容易地破解密钥。 如果必须使用 WEP (例如, 为了兼容旧式的设备) 最好使用 WEP 配合

  验证方式。 关于 WEP 的更多资料请参见第 32.3.3.1.4 节 “WEP”。

  WPA (Wi-Fi 保护访问) 是一种与 802.11 网络配合使用的安全协议, 其目的是消除WEP中缺少身份验证能力的问题, 以及一些其它的安全弱点。 WPA 采用了 802.1X 认证协议, 并采用从多种与 WEP 不同的加密算法中选择一种来保证数据保密性。 WPA 支持的唯一一种加密算法是 TKIP (临时密钥完整性协议), TKIP 是一种对 WEP 所采用的基本 RC4 加密算法的扩展, 除此之外还提供了对检测到的入侵的响应机制。 TKIP 被设计用来与旧式硬件一同工作, 只需要进行部分软件修改; 它提供了一种改善安全性的折衷方案, 但仍有可能受到攻击。 WPA 也指定了 AES-CCMP 加密作为 TKIP 的替代品, 在可能时倾向于使用这种加密; 表达这一规范的常用术语是 WPA2 (或 RSN)。

  WPA 定义了验证和加密协议。 验证通常是使用两种方法之一来完成的: 通过 802.1X 或类似 RADIUS 这样的后端验证服务, 或通过在通讯站和无线访问点之间通过事先分发的密码来进行最小握手。 前一种通常称作企业 WPA, 而后者通常也叫做个人 WPA。 因为多数人不会为无线网络配置 RADIUS 后端服务器, 因此 WPA-PSK 是在 WPA 中最为常见的一种。

  EAP-TLS (带 传输层安全 的 EAP) 是一种在无线世界中得到了广泛支持的验证协议, 因为它是Wi-Fi 联盟核准的第一个 EAP 方法。 EAP-TLS 需要使用三个证书: CA 证书 (在所有计算机上安装)、 用以向您证明服务器身份的服务器证书, 以及每个无线客户端用于证明身份的客户机证书。 在这种 EAP 方式中, 验证服务器和无线客户端均通过自己的证书向对方证明身份, 它们均验证对方的证书是本机构的证书发证机构 (CA) 签发的。

  在使用 EAP-TLS 时, 参与验证过程的服务器和客户机都需要证书, 而在使用 EAP-TTLS (带传输层安全隧道的 EAP) 时, 客户机证书则是可选的。 这种方式与某些安全 web 站点更为接近, 即使访问者没有客户端证书, 这些 web 服务器也能建立安全的 SSL 隧道。 EAP-TTLS 会使用加密的 TLS 隧道来传送验证信息。

  PEAP (受保护的 EAP) 被设计用以替代 EAP-TTLS, 并且是在 EAP-TLS 之后最为常用的 EAP 标准。 换言之, 如果您的网络中有多种不同的操作系统, PEAP 将是仅次于 EAP-TLS 的支持最广的标准。

  PEAP 与 EAP-TTLS 很像: 它使用服务器端证书, 通过在客户端与验证服务器之间建立加密的 TLS 隧道来向用户验证身份, 这保护了验证信息的交换过程。 在安全方面, EAP-TTLS 与 PEAP 的区别是 PEAP 会以明文广播用户名, 只有口令是通过加密 TLS 隧道传送的。 而 EAP-TTLS 在传送用户名和口令时, 都使用 TLS 隧道。

  ”, 这可以通过使用peaplabel=0来指定。 更多信息可以在联机手册(5)中找到。

  index:key, key 默认为1; 如果需要设置的密钥不是第一个, 就必需指定 index 了。注意:

  来了解进一步的信息。wpa_supplicant机制也可以用来配置您的无线网卡使用 WEP。 前面的例子也可以通过在

  之间建立 ad-hoc 网络, 我们只需选择两个 IP 地址和一个 SSID 就可以了。在计算机A上:

  机是以 ad-hoc 模式运行的。 我们只需给B配置一不同的 IP 地址:#

  一旦装载了无线网络的支持, 你就可以检查一下看看你的无线设备是否支持基于主机的无线访问接入模式 (通常也被称为 hostap 模式):

  只有创建网络伪设备时能够配置无线设备是否以 hostap 模式运行, 如果之前已经存在了相应的设备, 则需要首先将其销毁:

  通过在/etc/rc.conf中加入下面的配置, 也可以在系统引导的过程中自动完成对于网络接口的配置:

  守护进程将被用于处理与客户端的认证和在启用 WPA (无线)访问接入点上的密钥管理。

  接下来,所有的配置操作都将在作为 AP 的 FreeBSD 机器上完成。 一旦 AP 能够正确的工作了,便把如下这行加入/etc/rc.conf使得

  存储与其他外部程序(比如hostapd_cli(8)) 通信的域套接口文件路径。这里使用了默认值。

  我们不推荐使用 WEP 来设置一个(无线)访问接入点, 因为没有认证的机制并容易被破解。 一些历史遗留下的无线网卡仅支持 WEP 作为安全协议, 这些网卡仅允许搭建不含认证或 WEP 协议的 AP。

  在设置了正确的 SSID 和 IP 地址后,无线设备就可以进入 hostap 模式了:

  index:key这样的格式。 如果没有指定 index,那么默认值为1。 这就是说如果我们使用了除第一把以外的密钥, 那么就需要指定 index。

  的方式自动切换, 也就是说, 这一组网络接口有一定的优先顺序, 而操作系统在链路状态发生变化时则自动进行切换, 例如当同时存在有线和无线连接的时候优先使用有线网络, 而当有线网络断开时, 则自动切换到无线网络。我们将在稍后的第 32.6 节 “链路聚合与故障转移”中介绍链路聚合和故障转移, 并在例 32.3 “有线网络和无线网络接口间的自动切换”中对这种配置方式进行示范。

  如果您无法关联到无线访问点, 请确认您的通讯站配置与无线访问点的配置一致。 这包括认证模式以及安全协议。 尽可能简化您的配置。 如果您正使用类似 WPA 或 WEP 这样的安全协议, 请将无线访问点配置为开放验证和不采用安全措施, 并检查是否数据能够通过。

  来诊断安全配置了。wpa_supplicant提供了许多调试支持; 尝试手工运行它, 在启动时指定

  选项, 并察看输出结果。除此之外还有许多其它的底层调试工具。 您可以使用

  工具可以显示这些信息。 这些统计数据能够指出由 802.11 层识别出来的错误。 请注意某些错误可能是由设备驱动在 802.11 层之下识别出来的, 因此这些错误可能并不显示。 要诊断与设备有关的问题, 您需要参考设备驱动程序的文档。

  如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系 .

Copyright © 2002-2019 秒速时时彩彩官方app 版权所有