802.1x无线网络,咋听起来好像很复杂,要想知道它到底是啥,首先要了解什么是无线网络。无线网络这个名词是近几年才开始流行起来的,它涉足的领域相当的广,譬如移动通信领域,那么到底什么是无线网络呢?
无线网络概述
无线网络技术范围广泛,包括从允许用户建立远距离无线连接的全球语音和数据网络,到优化为近距离无线连接的红外线和无线电频率技术。通常用于无线网络的设备包括便携式计算机、台式计算机、手持计算机、个人数字设备 (PDAs)、移动电话、笔式计算机和寻呼机。无线技术用于多种实际用途。例如,手机用户可以使用移动电话访问电子邮件。使用便携式计算机的旅客可以通过安装在机场、车站和其它公共场所的基站连接到 Internet 中。在家中,用户可以连接桌面设备以同步数据和发送文件。
一.定义标准
为了降低成本、确保协同工作和提高无线技术的广泛应用,许多组织(例如:电气电子工程师协会 (IEEE)、Internet 工程任务组 (IETF)、无线以太网兼容性同盟 (WECA) 和国际电讯同盟 (ITU))都参与了几个主要的标准化工作。例如,IEEE 工作组正在定义信息如何从一个设备传送到另一个设备(是使用无线电波还是使用红外光波),以及怎样、何时使用传输介质通讯。在开发无线网络标准中,有些组织如 IEEE 着重于电源管理、带宽、安全性和其它具有无线网络特性的项目。
二.无线网络类型
与有线网络一样,无线网络可根据数据发送的距离分为几种不同类型。
1.无线广域网络 (WWANs)
WWAN 技术可使用户通过远程公共网络或专用网络建立无线网络连接。通过使用无线服务提供商所维护的若干天线基站或卫星系统,这些连接可以覆盖广大的地理区域,例如许多城市或者国家(地区)。目前的 WWAN 技术为大家所知的第二代 (2G) 系统。主要的 2G 系统包括全球数字移动电话系统 (GSM)、网络数字包数据 (CDPD) 和多址代码分区访问 (CDMA)。现正努力从 2G 网络过渡,其中有些具有限制漫游功能和互不兼容的功能,到第三代 (3G) 技术将执行全球标准并提供全球漫游功能。ITU 正积极促进 3G 全球标准的发展。
2.无线城区网络 (WMANs)
WMAN 技术使用户可以在主要城市区域的多个场所之间创建无线连接(例如,在一个城市和大学校园的办公楼之间),而不必花费高昂的费用铺设光缆、电缆和租赁线路。此外,如果有线网络的主要租赁线路不能使用时,WMANs 可以用作有线网络的备用网络。WMANs 既可以使用无线电波也可以使用红外光波来传送数据。提供给用户以高速访问 Internet 的无线访问网络带宽,其需求正日益增长。尽管现正使用各种不同技术,例如多路多点分布服务 (MMDS) 和本地多点分布服务 (LMDS),IEEE 802.16 宽频无线访问标准工作组仍在开发规范以标准化这些技术的发展。
3.无线本地网络 (WLANs)
WLAN 技术可以使用户在本地创建无线连接(例如,在公司或校园大楼里,或在公共场所,如机场)。WLANs 可用于临时办公室或其它缆线安装受限的场所,或者用于增强现有的 LAN,使用户在不同时间在办公楼的不同地方工作。WLANs 可以两种不同方式运行。在基础 WLANs 中,无线站(具有无线电波网络卡或外置调制解调器的设备)连接无线访问点,其在无线站与现有网络中枢之间起桥梁的作用。对于对等的特殊 WLANS,在有限区域(例如会议室)内的几个用户中,如果不需要访问网络资源时,可以不使用访问点而建立临时网络。
IEEE 在 1997 年批准了 802.11 WLANs 标准,其指定的数据传输速度为 1 至 2 兆字节每秒 (Mbps)。在正成为新的主要标准的 802.11b 中,通过 2.4 千兆赫兹 (GHz) 频段进行数据传输的最大速度为 11 Mbps。另一个更新的标准是 802.11a,它指定通过 5 GHz 频段进行数据传输的最大速度为 54 Mbps。
4.无线个人区域网络 (WPANs)
WPAN 技术使用户为用于个人操作空间 (POS) 的设备(如 PDA、移动电话和膝上电脑)创建特殊无线通讯。POS 是个人周围的空间,10 米以内的距离。目前,两个主要的 WPAN 技术是蓝牙和红外光波。蓝牙是一种替代技术,可以在 30 英尺以内使用无线电波传送数据。蓝牙的数据传输可以穿透墙壁、口袋和公文包。蓝牙技术是由蓝牙专门利益组 (SIG) 引导发展的。该组于 1999 年发布了 1.0 版本的蓝牙规范。然而,要在近距离(一米以内)连接设备,用户也可以创建红外链接。
为了标准化 WPAN 技术的发展,IEEE 已成立了 802.15 工作组。该工作组正在发展基于 1.0 版本蓝牙规范的 WPAN 标准。该标准草案的主要目标为低复杂性、低能耗、交互性强以及与 802.11 网络兼容。
无线网络配置
以上是关于无线网络的概述,Win XP的无线网络功能空前的强大,那么如何在Win XP中进行无线网络的配置呢?
1.打开"网络连接"( 要打开"网络连接",单击"开始",指向"设置",然后双击"控制面板",单击"网络和 Internet 连接",然后单击"网络连接")。
2.右键单击"无线网络连接",然后单击"属性"。
3.在"无线网络"选项卡上,执行以下任何一项操作:
*要启用自动无线网络配置,请选中"使用 Windows 配置我的无线网络设置"复选框。默认情况下将选中此复选框。
*要禁用自动无线网络配置,请清除"使用 Windows 配置我的无线网络设置"复选框。
4.要连接到一个现有无线网络,请执行如下操作之一:
*访问点(基础)
要连接到现有访问点(基础)网络,请在"可用网络"下单击网络名称,然后单击"配置"。
在"无线网络属性"中,指定无线网络密钥 (WEP) 设置,或者如果已自动为您提供网络密钥(例如,密钥存储在管理员给予您的无线网络适配器上),请选择"自动为我提供密钥"复选框。如果不确定是否需要网络密钥或需要输入哪个网络密钥的设置,请与网络管理员或无线网络适配器制造商联系。这里要注意的是:如果网络不广播其网络名称,它就不会出现在"可用网络"下。要连接到您知道其可用但没有出现在"可用网络"下的访问点(基础)网络,请在"首选网络"下,单击"添加"。在"无线网络属性"下,指定网络名称(服务集标识符),如果需要的话,同时指定无线网络密钥设置。
*计算机到计算机(特别)
要连接到现有的计算机到计算机(特别)网络,请在"可用网络"下单击网络名称,然后单击"配置"。
在"无线网络属性"中指定无线网络密钥 (WEP) 设置,或者如果已自动为您提供网络密钥(例如,密钥存储在管理员给予您的无线网络适配器上),请选择"自动为我提供密钥"复选框。如果不确定是否需要密钥或需要输入哪个网络密钥的设置,请与网络管理员或无线网络适配器制造商联系。
如果要连接到计算机到计算机(特别)网络,并且计算机到计算机网络和访问点(基础)网络都在您的计算机范围之内,请单击"高级",然后单击"仅计算机到计算机(特别)网络"。
5.要配置新的无线网络连接,请单击"添加",然后执行如下操作:
*在"无线网络属性"下,指定网络名称(服务集标识符),如果需要的话,同时指定无线网络密钥设置。
*如果正在配置的网络连接是连接到计算机到计算机(特别)网络,请选择"这是计算机到计算机(特别)网络,因此不使用无线访问点"复选框。
6.要更改访问首选网络的连接尝试的次序,请在"首选网络"下,单击要移动到列表上新位置的无线网络,然后单击"上移"或"下移"。
7.要更改某个"首选网络"中列出的无线网络连接设置,请单击要更改其设置的无线网络,再单击"属性",然后根据需要更改设置。
8.要为从首选网络列表中删除无线网络,请在"首选网络"下单击要删除的无线网络,然后单击"删除"。
9.要更新您的计算机范围内的可用网络列表,请单击"刷新"。
10.要自动连接到"首选网络"列表中没有出现的可用网络,请单击"高级",然后选中"自动连接到非首选网络"复选框。
在配置当中有以下几点要注意:
1.启用自动无线网络配置时,您可以连接到一个现有无线网络、更改无线网络连接设置、配置新的无线网络连接以及指定首选无线网络。当新网络可用时,您会接到通知。选择无线网络之后,您的无线网络适配器会自动配置为匹配那个网络的设置,并会尝试网络连接。
2.要配置"无线网络"选项卡上的设置,您必须作为管理员进行登录,并且必须使用支持"无线零配置"服务的无线网络适配器。如果不能确信无线网络适配器是否支持"无线零配置"服务,请与网络管理员或无线网络适配器制造商联系。
3.如果在用第三方无线网络软件,请清除"使用 Windows 配置我的无线网络设置"复选框。
4.如果无法连接到现有无线网络,并且您要连接到的网络的名称出现在"首选网络"列表下,请单击首选网络名称,然后单击"属性"。在"无线网络属性"中,检查设置并确保其正确。如果不能确定设置是否正确,请与网络管理员或无线网络适配器制造商联系。
5.如果"首选网络"列表中同时包含访问点(基础)和计算机到计算机(特别)网络,就不能在列表中将计算机到计算机网络移动到比访问点网络更高的位置。
6.要增强 802.11 无线网络和有线以太网网络的安全性,请使 IEEE 802.1x 身份验证默认为启用状态。
802.1x 身份验证
上面介绍完了无线网络,下面开始介绍802.1x无线网络,要知道802.1x无线网络,首先要了解什么是 802.1x 身份验证。802.1x 身份验证IEEE 802.1x 是基于端口的网络访问控制的标准草案,它可提供对 802.11 无线网络和对有线以太网络的验证的网络访问权限。基于端口的网络访问控制使用交换式 LAN 基础设施的物理特征来验证连接到 LAN 端口的设备,并防止访问身份验证进程已经失败的那个端口。
在基于端口的网络访问控制交互期间,LAN 端口采用两个角色之一:验证者或恳请者。如果是验证者角色,LAN 端口在其允许用户访问可以通过那个端口访问的服务之前执行验证。如果是恳请者角色,LAN 端口请求访问可以通过验证者的端口访问的服务。身份验证服务器(可)以是单独实体或与验证者共存的代表验证者检查恳请者的凭证。验证服务器然后响应验证者,表明恳请者是否具有访问验证者的服务的授权。
验证者的基于端口的网络访问控制通过一个物理 LAN 端口定义进入 LAN 的两个访问点。第一个逻辑访问点 - 非受控端口 - 允许验证者和 LAN 上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。第二个逻辑访问点 - 受控端口 - 允许经验证的 LAN 用户和验证者之间交换数据。
IEEE 802.1x 使用标准安全协议(例如,RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。
那么802.1x 身份验证有什么作用呢?要想增强安全性,可以启用 IEEE 802.1x 身份验证。IEEE 802.1x 身份验证提供对 802.11 无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险(例如,对网络资源的非授权访问以及偷听)减小到最低程度。IEEE 802.1x 支持 Internet 身份验证服务 (IAS),这种服务执行远程身份验证拨号用户服务 (RADIUS) 协议。在此执行下,作为 RADIUS 客户端配置的无线访问点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为那个会话生成唯一密钥(从产生 WEP 密钥的地方)。IEEE 802.1x 为可扩展的身份验证协议 (EAP) 安全类型提供的支持使您能够使用诸如智能卡、证书以及 Message Digest 5 (MD5) 算法这样的身份验证方法。
利用 IEEE 802.1x 身份验证,如果计算机要求在不管用户是否登录网络的情况下都访问网络资源,您可以指定计算机是否尝试访问该网络的身份验证。例如,管理远程管理服务器的数据中心操作员可以指定服务器是否应该尝试访问网络资源的身份验证。您也可以指定如果用户或计算机信息不可用,计算机是否尝试访问该网络的身份验证。例如,ISP 可以使用此身份验证选项允许用户访问免费的 Internet 服务或可以订购的 Internet 服务。公司可对访问者授予有限的来宾访问权限,这样他们就可以访问 Internet,但不可以访问保密的网络资源。
802.11 的安全性选项包括以 WEP 算法为基础的身份验证服务和加密服务。WEP 是一套安全服务,用来防止 802.11 网络受到未授权用户的访问,例如,偷听(捕获无线网络通讯)。利用自动无线网络配置,可以指定进入网络时用于身份验证的网络密钥。也可以指定使用哪个网络密码来对通过该网络传输的数据进行加密。启用数据加密时,生成秘密的共享加密密钥,并由源台和目标台用来改变帧位,因而可避免泄漏给偷听者。
802.11 支持两个子类型的网络身份验证服务:开放式系统和共享密钥。在"开放式身份验证"下,任何无线站都可请求身份验证。需要通过另一个无线站身份验证的站将包含发送站的身份验证管理帧发送出去。接收站然后将表明其是否识别发送站的身份的帧发送回去。在"共享密钥"身份验证下,每个无线站都被假定为具有安全频道的秘密共享密钥,该安全频道独立于 802.11 无线网络通讯频道。要使用"共享密钥"身份验证,您必须具有一个网络密钥。启用 WEP 时,您可以指定用于加密的网络密钥。可为您自动提供网络密钥(例如,可能会提供在无线网络适配器上),您也可以通过键入方式来亲自指定密钥。如果亲自指定密钥,您还可以指定密钥长度(40 位或 104 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。密钥长度越长,密钥越安全。每当密钥长度增加一个位,可能的密钥数量就会增加一倍。
在 802.11 下,可用多达四个密钥(密钥索引值为 0、1、2 和 3)配置无线站。当访问点或无线站利用存储在特定密钥索引中的密钥传送加密邮件时,传送的邮件指明用来对邮件正文加密的密钥索引。然后接收访问点或无线站可以检索存储在密钥索引处的密码并使用它来对加密邮件正文进行解码。
设置802.1x身份验证
在Win XP当中,要设置802.1x身份验证,可按如下步骤进行:
1.打开网络连接。
2.右键单击要为其启用或禁用 IEEE 802.1x 身份验证的连接,然后单击"属性"。
3.在"身份验证"选项卡上,执行以下任一项操作:
*要为此连接启用 IEEE 802.1x 身份验证,请选中"使用 IEEE 802.1X 的网络访问控制"复选框。默认情况下将选中此复选框。
*要为此连接禁用 IEEE 802.1x 身份验证,请清除"使用 IEEE 802.1X 的网络访问控制"复选框。
4.在 "EAP 类型"中,单击要用于此连接的"可扩展的身份验证协议"类型。
5.如果在 "EAP 类型"中选择"智能卡或其它证书",并且如果单击"属性",您可以配置其它属性,而且可以在"智能卡或其它证书属性"中执行如下操作:
*要使用驻留在您的智能卡上用于身份验证的证书,请单击"使用我的智能卡"。
*如果要使用驻留在计算机证书存储区中的用于身份验证的证书,请单击"使用此计算机上的证书"。
*要验证提供给您的计算机的服务器证书是否仍然有效,请选中"验证服务器证书"复选框,指定是否只有在服务器驻留在特定域时才进行连接,然后指定可信根证书颁发机构。
*当智能卡或证书中的用户名与所登录的域中的用户名不同时,若要使用另一用户名,请选中"为此连接使用一个不同的用户名"复选框。
6.当用户未登录和/或当计算机或用户信息不可用时,要指定计算机是否应尝试访问网络的身份验证,请执行如下操作:
*当用户未登录时,要指定计算机尝试访问网络的身份验证,请选中"当计算机信息可用时作为计算机进行验证"复选框。
*当用户信息或计算机信息不可用时,要指定计算机尝试访问网络的身份验证,请选中"当用户或计算机信息不可用时作为来宾进行验证"复选框。默认情况下将选中此复选框。
同样有以下几点要注意:
1.IEEE 802.1x 身份验证提供对 802.11 无线网络和对有线以太网网络的经验证的访问权限。802.1x 使无线网络安全风险降低到最低程度,并使用标准安全协议(例如,RADIUS)。
2.要在"身份验证"选项卡上配置设置,您必须是本地管理组的成员。
3.对于有线和无线网络连接,"身份验证"选项卡中的设置适用于您当前连接的网络。如果当前与无线网络相连,您可以通过单击"无线网络"选项卡来验证网络的名称。该网络名称将出现在"可见网络"和"首选网络"之中,并且这个名称前面会有一个带圆圈的图标。