IEEE802.11標準的邏輯結構如圖1所示,每個站點所應用的802.11標準的邏輯結構包括一個單一MAC層和多個PHY中的一個。
圖1 802.11MAC層支持三個分離的PHY
MAC層在LLC層的支持下爲共享介質PHY提供訪問控制功能(如尋址方式、訪問協調、幀校驗序列生成的檢查,以及LLC PDU定界等)。MAC層在LLC層的支持下執行尋址方式和幀識別功能。802.11標準MAC層採用CSMA/CA(載波監聽多路訪問/衝突檢測)協議控制每一個站點的接入。
1992年7月,802.11工作組決定將無線局域網的工作頻率定爲2.4GHz的ISM頻段,用直接序列擴頻和跳頻方式傳輸。因爲2.4GHz的ISM頻段在世界大部分國家已經放開,無須無線電管理部門的許可。在美國,FCC規定ISM頻段的天線增益最大爲6dBi,發射功率不超過100mW。
1993年3月,802.11標準委員會接受建議,制定一個直接序列擴頻物理層標準。經過多方討論,直接序列物理層規定兩個數據速率:
●利用差分四進制相移鍵控(DQPSK)調製的2Mbit/s。
●利用差分二進制相移鍵控(DBPSK)調製的1Mbit/s。
在DSSS中,將2.4GHz的頻寬劃分成14個22MHz的信道(Channel),臨近的信道互相重疊,在14個頻道內,只有3個頻道是互相不覆蓋的,數據就是從這14個頻段中的一個進行傳送而不需要進行頻道之間的跳躍。在不同的國家信道的劃分是不相同的。
與直接序列擴頻相比,基於802.11的跳頻PHY利用無線電從一個頻率跳到另一個頻率發送數據信號。跳頻系統按照跳頻序列跳躍,一個跳頻序列一般被稱爲跳頻信道(Frequency Hopping Channel)。如果數據在某一個跳躍序列頻率上被破壞,系統必須要求重傳。
802.11委員會規定跳頻PHY層利用GFSK調製,傳輸的數據速率爲1Mbit/s。該規定描述了已在美國被確定的79信道中心頻率。
紅外線物理層描述了採用波長爲850到950nm的紅外線進行傳輸的無線局域網,用於小型設備和低速應用軟件。
2.介質訪問控制(MAC)層
802.11無線局域網的所有工作站和訪問節點都提供介質訪問控制(MAC)層服務,MAC服務是指同層LLC(邏輯鏈路控制層)在MAC服務訪問節點(SAP)之間交換MAC服務數據單元(MSDU)的能力,包括利用共享無線電波或紅外線介質進行MAC服務數據單元的發送。
MAC層具有三個主要功能:
●無線介質訪問
●網絡連接
●提供數據驗證和保密
無線介質訪問
在IEEE802.11標準中定義了兩種無線介質訪問控制的方法,它們是:
●分佈式訪問方式(DCF)
分佈式訪問方式類似於IEEE802.3有線局域網的介質訪問控制協議,它採用具有衝突避免的載波偵聽多路訪問。
分佈式訪問控制方式是物理層兼容的工作站和訪問節點(AP)之間自動共享無線介質的主要的訪問協議。802.11網絡採用CSMA/CA協議進行無線介質的共享訪問,該協議與802.3以太網標準的MAC協議(CSMA/CD)類似。載波偵聽可以讓MAC層監測介質是處於繁忙還是空閒狀態。物理層(PHY)提供信道的物理檢測,把物理信道評估結果發送到MAC層,作爲確定信道狀態信息的一個因素。
MAC控制機制利用幀中持續時間字段的保留信息實現虛擬監測協議,這一保留信息發佈(向所有其他工作站)本工作站將要使用介質的消息。MAC層監聽所有MAC幀的持續時間字段,如果監聽到的值大於當前的網絡分配矢量(NAV)值,就用這一信息更新該工作站的NAV。NAV工作起來就像一個計數器,開始值是最後一次發送的幀的持續時間字段值,然後倒計時到0。當NAV的值爲0,且PHY控制機制表明有空閒信道時,這個工作站就可以發送幀了。
●中心網絡控制方式(PCF)
中心網絡控制方式是一個無競爭訪問協議,它是一種基於優先級別的訪問,適用於節點安裝有點控制器的網絡。
PCF方式提供可選優先級的無競爭的幀傳送。在這種工作方式下,由中心控制器控制來自工作站的幀的傳送,所有工作站均服從中心控制器的控制,在每一個無競爭期的開始時間設置它們的NAV(網絡分配矢量)值。當然,對於無競爭的輪詢(CF-Poll幀),工作站可以有選擇地進行迴應。
在無競爭期開始,中心控制器首先獲得介質的控制權,並遵循PIFS對介質進行訪問;因此,中心控制器可以在無競爭期保持控制權,等待比工作在分佈式控制方式下更短的發送間隔。
網絡連接
當工作站接通電源之後,首先通過被動或主動掃描方式檢測有無現成的工作站和訪問節點可供加入。加入一個BSS(基本服務組)或ESS(擴展服務組)之後,工作站從訪問節點接收SSID、時間同步函數(TSF:Timer Synchronization Function)、計時器的值和物理(PHY)安裝參數。
在被動掃描模式下,工作站對每一個信道都進行一段時間的監聽,具體時間的長短由ChannelTime參數確定。該工作站只尋找具有本站希望加入的SSID的信標幀,搜索到這個信標後,繼而便分別通過認證和連接過程建立起連接。
在主動掃描方式下,工作站發送包含有該站希望加入的SSID信息的探詢(Probe)幀,然後開始等待探詢響應幀(Probe Reponse Frame),探詢響應幀將標識所需網絡的存在。
認證和加密
IEEE802.11標準提供兩種認證服務,以此來增強網絡的安全性:
(1)開放系統認證(Open System Authentication)
這是系統缺省的認證服務。不需要對發送工作站進行身份認證時,一般採用開放系統認證。如果接收工作站通過MIB中的aAuthenticationType參數指明其採用開放系統認證模式,那麼採用開放系統認證模式的發送工作站可認證任何其他工作站和AP。
(2)共享密鑰認證(Shared Key Authentication)
與開放系統認證相比,共享密匙認證方式提供更高的安全檢查級別。採用共享密匙認證的工作站必須執行WEP。
(3)加密
802.11規範定義了可選的WEP,以使無線網絡具有和有線網絡相同的安全性。如果要避免網絡受到安全威脅攻擊,就必須同時實施WEP和認證服務。
3.物理層
無線局域網物理層由三部分組成:
●物理層管理(Physical Layer Management):爲物理層提供管理功能,它與MAC層管理相連。
●物理層匯聚子層(PLCP):MAC層和PLCP通過物理層服務訪問點(SAP)利用原語進行通信。MAC層發出指示後,PLCP就開始準備需要傳輸的介質協議數據單元(MPDUs)。PLCP也從無線介質向MAC層傳遞引入幀。
PLCP爲MPDU附加字段,字段中包含物理層發送和接收所需的信息,802.11標準稱這個合成幀爲PLCP協議數據單元(PPDU)。PLCP將MAC協議數據單元映射成適合被PMD傳送的格式,從而降低MAC層對PMD層的依賴程度。PPDU的幀結構提供了工作站之間MPDU的異步傳輸,因此,接收工作站的物理層必須同步每個單獨的即將到來的幀。
●物理介質依賴(PMD)子層:在PLCP下方,PMD支持兩個工作站之間通過無線介質實現物理層實體的發送和接收。爲了實現以上功能,PMD需直接面向無線介質(大氣空間),並對數據進行調製和解調。PLCP和PMD之間通過原語通信,控制發送和接收功能。
在802.11標準中規定了無線局域網物理層實現的功能:
●載波偵聽:判斷介質的狀態是否空閒。無線局域網的物理層通過PMD子層檢查介質狀態來完成載波偵聽功能。
發送:發送網絡要傳輸的數據幀。PLCP在接收到MAC層的發送請求(PHY-TXSTART.request原語)後將PMD轉換到傳輸模式。同時,MAC層將與該請求一道發送字節數(0-4095)和數據率指示。然後,PMD通過天線在20微秒內發射幀的前同步碼。
●接收:接收網絡傳送過來的數據幀。如果載波偵聽檢測到介質繁忙,同時有合法的即將到來幀的前同步碼,則PLCP就開始監視該幀的適配頭。當PMD監聽到的信號能量超過85dBm,它就認爲介質忙。如果PLCP測定適配頭無誤,目的接收地址是本地地址,它將向MAC層通知幀的到來(發送PHY-RXSTART.indication原語)。同時還發送幀適配頭的一些信息(如字節數、RSSI和數據率)。
PLCP根據PSDU(PLCP服務數據單元)適配頭字段長度的值,來設置字節計數器。計數器跟蹤接收到的幀的數目,使PLCP知道幀什麼時間結束。PLCP在接收數據的過程中,通過PHY-DAT .indication信息向MAC層發送PSDU的字節。接收到最後一個字節後,它向MAC層發送一條PHY-RXEND.indication原語,聲明幀的結束。
IEEE 802.11無線局域網標準的制定是無線網絡技術發展的一個里程碑。IEEE802.11標準除了介紹無線局域網的優點及各種不同性能外,還使得各種不同廠商的無線產品得以互聯。另外,標準使核心設備執行單芯片解決方案,降低了採用無線技術的造價。IEEE802.11標準的頒佈,使得無線局域網在各種有移動要求的環境中被廣泛接受。但是802.11標準也存在不足之處,主要有:
●數據速率低:IEEE802.11標準的數據速率只能達到2Mbit/s,一些用戶和廠家都感到這個速率太低了。確實在有些情況下這個速度不能滿足人們的要求,如視頻傳輸。
●缺少可以在多個廠家AP間漫遊的標準:802.11標準沒有定義在分佈式系統內移動802.11幀所必要的協議,即沒有定義兩個AP間的連接,而是由廠家來提供AP間漫遊所必需的協議。
2000年8月,802.11標準得到了進一步的完善和修訂,併成爲IEEE/ANSI 和ISO/IEC 的一個聯合標準。ISO/IEC 將該標準定爲ISO 8802 11。這次802.11標準的修訂內容包括用一個基於SNMP 的MIB 來取代原來基於OSI 協議的MIB。另外,還增加了兩項新內容:
●IEEE802.11a
它擴充了標準的物理層,規定該層使用5GHz 的頻帶。該標準採用正交頻分調製數據,傳輸速率範圍爲6~54Mb/s。這樣的速率既能滿足室內的應用,也能滿足室外的應用。
●IEEE802.11b
它是IEEE802.11標準的另一個擴充,它規定採用2.4GHz 頻帶,調製方法採用補償碼鍵控(CKK)。CKK來源於直接序列擴頻技術,多速率機制的介質接入控制(MAC)確保當工作站之間距離過長或干擾太大、信噪比低於某個門限時,傳輸速率能夠從11Mb/s 自動降到5.5Mb/s,或者根據直接序列擴頻技術調整到2Mb/s和1Mb/s。
1.IEEE802.11b標準
802.11b在無線局域網協議中最大的貢獻就在於它在802.11協議的物理層增加了兩個新的速度:5.5Mbps和11Mbps。爲了實現這個目標,DSSS被選作該標準的唯一的物理層傳輸技術,這是由於FHSS在不違反FCC原則的基礎上無法再提高速度了。這個決定使得802.11b可以和1Mbps和2M的802.11bps DSSS系統互操作,但是無法和1Mbps和2Mbps的FHSS系統一起工作。
利用802.11b,移動用戶能夠獲得同10Mbit/s有線以太網相近的性能、網絡吞吐率、可用性。這個基於標準的技術使得管理員可以根據環境選擇合適的局域網技術來構造自己的網絡,滿足他們的商業用戶和其他用戶的需求。
802.11b的基本結構、特性和服務都在802.11標準中進行了定義,802.11b協議主要在物理層上進行了一些改動,加入了高速數字傳輸的特性和連接的穩定性。
802.11的DSSS標準使用11位的Barker序列將數據編碼併發送,每一個11位的chipping代表一個一位的數字信號1或者0,這個序列被轉化成波形(稱爲一個Symbol),然後在空氣中傳播。這些Symbol以1MSps(每秒1M的symbols)的速度進行傳送,傳送的機制稱爲BPSK(Binary Phase Shifting Keying ),在2Mbps的傳送速率中,使用了一種更加複雜的傳送方式稱爲QPSK(Quandrature Phase Shifting Keying),QPSK中的數據傳輸率是BPSK的兩倍,以此提高了無線傳輸的帶寬。
在802.11b標準中,一種更先進的編碼技術被採用了,在這個編碼技術中,拋棄了原有的11位Barker序列技術,而採用了CCK(Complementary Code Keying)技術,它的核心編碼中有一個64個8位編碼組成的集合,在這個集合中的數據有特殊的數學特性使得他們能夠在經過干擾或者由於反射造成的多徑接收問題後還能夠被正確地互相區分。5.5Mbps使用CCK串來攜帶4位的數字信息,而11Mbps的速率使用CCK串來攜帶8位的數字信息。兩個速率的傳送都利用QPSK作爲調製的手段,不過信號的調製速率爲1.375MSps。這也是802.11b獲得高速的機理。
爲了支持在有噪音的環境下能夠獲得較好的傳輸速率,802.11b採用了動態速率調節技術,來允許用戶在不同的環境下自動使用不同的連接速度來補充環境的不利影響。在理想狀態下,用戶以11Mbit/s的速度運行,然而,當用戶移出理想的11M速率傳送的位置或者距離時,或者潛在地受到了干擾的話,這把速度自動按順序降低爲5.5Mbps、2Mbps、1Mbps。同樣,當用戶回到理想環境的話,連接速度也會以反向增加直至11Mbps。速率調節機制是在物理層自動實現而不會對用戶和其它上層協議產生任何影響。
2.IEEE802.11a標準
IEEE802.11a標準(支持的最高速率爲54Mbps)是類似於802.11b標準(支持的最高速率是11Mbps)的快速以太網,只是使用不同的物理層編碼方案和不同的頻段。由於目前2.4GHz的ISM頻帶比較擁擠,且帶寬比較窄(83MHz),因此802.11a選擇工作在5.8GHz的ISM頻帶。
802.11a工作在5GHz的頻率範圍內。FCC已經爲無執照的運行在5GHz頻帶內分配了300MHz的頻帶,爲5.15GHz~5.35GHz和5.725GHz~5.85GHz。這個頻帶被切分爲三個工作“域”。第一個100MHz(5.15~5.25GHz)位於低段,限制最大輸出功率爲50mW。第二個100MHz(5.25~5.35GHz)允許輸出功率250mW。最高端分配給室外應用,允許最大輸出功率1W。
雖然是分段的,但是IEEE 802.11a應用可用的總帶寬幾乎是ISM頻帶的4倍,ISM頻帶只提供2.4 GHz範圍內的83MHz的頻譜。同時802.11b的頻譜受到了來自無繩電話、微波爐和其它的融合了無線技術的產品(例如藍牙產品)的干擾。
802.11a由於工作頻率較高而使其性能得到了改進。因爲頻率越高,在空間傳播的損耗越大,在相同的發射功率和編碼方案的情況下,802.11a產品比802.11b產品發射距離短。爲此802.11a產品把EIRP(有效全向輻射功率)增加到了最大的50mW克服了一些距離的損失(802.11b產品一般爲30mW)。
然而,光靠功率是不足以在802.11a環境中維持象802.11b那樣的距離的。爲此802.11a規定和設計了一種新的物理層編碼技術,稱爲COFDM(即編碼OFDM)。COFDM是專爲室內無線應用而開發的,而且性能大大超過了廣譜解決方案的性能。COFDM的工作方式是,將一個高速的載波波段分解爲幾個子波段,然後以並行方式傳輸。每個高速載波波段是20MHz寬,被分解爲52個子波段,每個大約是300KHz寬。COFDM使用了52個子頻道中的48個傳輸數據,其餘的4個用於糾錯。由於COFDM的編碼方案和糾錯技術,使其具備了較高的遞送速率和高度的多路徑反射恢復性能。
在速度梯度的低端,採用BPSK調製,對每個頻道的125Kbps數據編碼,結果得到了6,000Kbps,即6Mbps的數據速率。採用QPSK調製可實現雙倍數據量編碼,達到每個頻道編碼250Kbps,輸出12Mbps的數據速率。採用16QAM(正交調幅)調製,可以達到24Mbps的數據速率。802.11a標準規定,所有適應802.11a的產品都必須支持這些基本數據速率。標準也允許廠商擴充超過24Mbps的調製方式。但是,每個週期(赫茲)編碼的bit數越多,信號就越容易受到干擾和衰減,最終發射範圍變短。
802.11a還支持36Mbps、48Mbps和54Mbps的數據速率。採用64QAM(64級正交調幅)可以達到54Mbps的數據速率,此時每個週期輸出8個bit,每個300KHz的頻道總輸出達到1.125Mbps。使用48個頻道,最終達到54Mbps的數據速率。
3.IEEE802.1x
隨着無線局域網IEEE802.11系列標準的制定和產品的出現,無線局域網產品的價格也迅速下降,從而觸發了對無線局域網的強勁需求。但是在繁榮的背後,無線網絡隱藏的巨大安全隱患也漸漸顯現出來。802.11中包含了SSID和WEP加密等爲無線局域網提供了一定的安全性,但是仍然有很多漏洞。
爲了確保安全性,無線局域網應該做到以下幾個方面:
●基於無線局域網認證與設備無關的項目,如用戶名和密碼。這樣客戶端的擁有和使用與用戶操作客戶端沒有關係。
●支持用戶和認證服務器之間的相互認證(RADIUS)。
●使用動態產生的WEP密鑰進行認證,而不是與客戶端物理聯繫的靜態密鑰。
●支持基於時間的WEP密鑰。
而第一代無線局域網的安全性依賴於靜態密鑰進行接入控制和加密,不能滿足這些要求。爲了滿足上述要求,IEEE制定了802.1x協議。
IEEE 802.1x 稱爲基於端口的訪問控制協議(Port based network access control protocol),它對認證方式和認證體系結構進行了優化,解決了傳統PPPoE和Web/Portal認證方式帶來的問題,更適合在寬帶以太網中的使用。
IEEE 802.1x協議的體系結構包括三個重要的部分:客戶端(Supplicant System)、認證系統(Authenticator System)和認證服務器(Authentication Server System)。
●客戶端系統
客戶端系統一般爲一個用戶終端系統,該終端系統通常要安裝一個客戶端軟件,用戶通過啓動這個客戶端軟件發起IEEE802.1x協議的認證過程。爲支持基於端口的接入控制,客戶端系統需支持擴展認證協議(EAPOL:Extensible Authentication Protocol Over LAN)。
●認證系統
認證系統通常爲支持IEEE802.1x協議的網絡設備。該設備對應於不同用戶的端口(可以是物理端口,也可以是用戶設備的MAC地址、VLAN、IP等)。有兩個邏輯端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始終處於雙向連通狀態,主要用來傳遞EAPOL協議幀,可保證客戶端始終可以發出或接受認證。受控端口只有在認證通過的狀態下才打開,用於傳遞網絡資源和服務。受控端口可配置爲雙向受控、僅輸入受控兩種方式,以適應不同的應用環境。如果用戶未通過認證,則受控端口處於未認證狀態,則用戶無法訪問認證系統提供的服務。
IEEE 802.1x協議中的“可控端口”與“非可控端口”是邏輯上的理解,設備內部並不存在這樣的物理開關。對於每個用戶而言,IEEE 802.1x協議均爲其建立一條邏輯的認證通道,該邏輯通道其他用戶無法使用,不存在端口打開後被其他用戶利用問題。
●認證服務器
認證服務器通常爲RADIUS服務器,該服務器可以存儲有關用戶的信息,比如用戶所屬的VLAN、CAR參數、優先級、用戶的訪問控制列表等等。當用戶通過認證後,認證服務器會把用戶的相關信息傳遞給認證系統,由認證系統構建動態的訪問控制列表,用戶的後續流量就將接受上述參數的監管。認證服務器和RADIUS服務器之間通過EAP協議進行通信。
IEEE 802.1x認證協議已經得到了很多軟件廠商的重視,目前Microsoft也在大力推廣,並在Windows操作系統中的最新版Windows XP已經整合IEEE 802.1x客戶端軟件,無需要另外安裝客戶端軟件。