biejia

由于无线局域网采用公共的电磁波作为载体，因此与有线线缆不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。常见的无线网络安全分几种：　[B]服务区标示符(SSID)：[/B]无线工作站必需出示正确的SSID才能访问AP，因此可以认为SSID是一个简单的口令，从而提供一定的安全。如果配置AP向外广播其SSID，那末安全程度将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持"任何"SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。
      [B]物理地址（MAC）过滤：[/B]每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。　　
     [B] 连线对等保密（WEP）：[/B]在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同，并且一个服务区内的所有用户都共享同一把钥匙。WEP虽然通过加密提供网络的安全性，但也存在许多缺陷：一个用户丢失钥匙将使整个网络不安全；40位的钥匙在今天很容易被破解；钥匙是静态的，并且要手工维护，扩展能力差。为了提供更高的安全性，802.11i提供了WEP2，该技术与WEP类似。WEP2采用128位加密钥匙，从而提供更高的安全。WEP2目前不保证互操作性。
　[B]　虚拟专用网络（VPN）：[/B]虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义，因此它是一种增强性网络解决方案。
　[B]　端口访问控制技术（802.1x）：[/B]该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。

biejia

WLAN的几个主要工作过程 
[B]扫频：STA（无线工作站）[/B]在加入服务区之前要查找哪个频道有数据信号，分主动和被动两种方式。主动扫频是指STA启动或关联成功后扫描所有频道；一次扫描中，STA采用一组频道做为扫描范围，如果发现某个频道空闲，就广播带有ESSID的探测信号；AP根据该信号做响应。被动扫频是指AP每100毫秒向外传送灯塔信号，包括用于STA同步的时间戳，支持速率以及其它信息，STA接收到灯塔信号后启动关联过程。　　
[B]关联（Associate）：[/B]用于建立无线访问点和无线工作站之间的映射关系，实际上是把无线变成有线网的连线。分布式系统将该映射关系分发给扩展服务区中的所有AP。一个无线工作站同时只能与一个AP关联。在关联过程中，无线工作站与AP之间要根据信号的强弱协商速率，速率变化包括：11Mbps, 5.5Mbps, 2Mbps和1Mbps。　　
[B]重关联（Reassociate）：[/B]当无线工作站从一个扩展服务区中的一个基本服务区移动到另外一个基本服务区时，与新的AP关联的整个过程。重关联总是由移动无线工作站发起。　　
[B]漫游：[/B]指无线工作站在一组无线访问点之间移动，并提供对于用户透明的无缝连接，包括基本漫游和扩展漫游。基本漫游是指无线STA的移动仅局限在一个扩展服务区内部。扩展漫游指无线SAT从一个扩展服务区中的一个BSS移动到另一个扩展服务区的一个BSS，802.11并不保证这种漫游的上层连接。常见做法是采用Mobile IP或动态DHCP。