网络概念_二

多组BSS所构成的环境：虚拟ap
早期80211芯片之能够创建单一BSS，而单一ap之能为用户提供一个“无线网络”，而且该网络上所有用户的权限如果并非完全相同，但也相去不远。
举个例子，各机构会有访客，其中很多人就有80211设备，而且需要于因特网连接，这些方可并非可信的用户，为了满足要求，将会在相同的实体上另辟两个扩展服务集。目前的802.11芯片组已经可以使用相同的物理层创建多组网络。
以当前的芯片组而言，每个接入点的硬件设备可以创建两组BSS，其中一组可供客户访问，称之为guest，另外一组则宫内部使用，称之为internal。在此ap中，各个ssid被分别关联至不同的VLAN。guest网络会被连接至不知名或者不可信用户所准备的VLAN，而且被置于防火墙外。所以，无线设备会发现两组不同的网络。
每个BSS就像一个自给自足的ap，拥有自己的ESSID，MAC地址，身份验证配置以及加密设定。
强健安全网络：
一旦使用802.11i所定义的，经改良的身份验证于机密性协议，就可以称之为强健安全网络关联，简称RSNA。产品可以通过硬件，软件或者软硬件兼具的方式支持802.11i，这取决于该设备所使用的架构。不支持此协议的硬件被归类为pre-RSN。有些pre-RSN设备可以通过升级的方式来支持802.11i，不过大多数较旧的设备是无法升级的。
再论分布式系统：
802.11是以能给无线工作站提供哪些服务来描述分布式系统。分布式系统可借由串联接入点来提供移动性。当帧被传至分布式系统后，随即会被传送只正确的接入点，而后由接入点传送至目的地。
分布式系统必须负责追踪工作站实际位置以及帧的传送。以2-5的路由器为例，该路由器仅会以某移动式工作站的MAC为目的地地址。
图2-5，ESS的分布式系统必须负责将帧传递给正确的接入点。显然，有部分传递机制属于Ethernet所构成的骨干网络，不过该骨干网络并不代表整个分布式系统，因为他无法在多个接入点间做出选择。用802.11的话来说，Ethernet所构成的骨干网络是个分布式系统媒介，并非分布式系统的全部。
要找出分布式系统的其他成分，必须查看接入点本身，目前市面上的大部分接入点都是扮演桥接器的角色。这些接入点至少具备一个无线网络接口以及一个Ethernet网络接口。Ethernet网络接口课可以用来连接现有的网络，而无线网络接口则成为该网络的扩展。这两种网络媒介之间的帧传送是由桥接引擎加以控制。
接入点，骨干网络以及分布式系统间的关系
如2-6：

接入点具备两种不同的接口，分别连接至同一个桥接引擎。图中的箭头代表往返桥接引擎的可能路径。帧将会通过桥接器被送至无线网络，任何桥接器的无线端口所送出的帧都会传给所有已关联的工作站。桥接器的骨干端口可以直接和骨干网络交互。在图2-6中，分布式系统是由桥接器引擎及有线骨干网络所组成的。
在基础结构型网络里，移动式工作站所送出的帧都必须用到分布式系统。这并不难理解，毕竟每个工作站都不许连接至分布式系统。无线工作站在基础结构型网络里必须依赖分布式系统才能相互通信，因为他们无法直接连接。
接入点间的通信时分布式系统的一部分：
分布式系统包含了管理关联的方式。一个无线工作站在同一时间内只能与一个接入点关联。如果某工作站已经和某接入点关联，位于同一个ESS的其他接入点必须能够得知此工作站。

无线桥接器与分布式系统：
当前，我们都假设分布式系统媒介就是现有的固定式网络。但是802.11明确规范过，无线媒介本身也可以作为分布式系统。这种无线分布式系统的配置通常称为：无线桥接器配置。因为它允许网络工程师在链路层连接两个局域网。

网络界限：
由于无线媒介的性质，80211网络的界限可以说时相当模糊。实际上，某种程度的模糊是必要的。和移动电话一样，允许基本服务区域相互重叠，不仅可以让工作站与基本服务区域之间的转换的成功率提高，又可以提高最高层次的网络覆盖。
如图2-7，基本服务区域相互重叠十分明显。

在接入点所涵盖的基本服务区域中也可以另辟独立型BSS。
![在这里插入图片描述](https://img-blog.csdnimg.cn/31290fe7f8014becb8836b0d739
6f7c3.png)
2-8显示了这两者在空间上的重叠，虽然这五个工作站被指派至两个不同的BSS，但是他们所使用的还是相同的无线媒介。
工作站只有通过802.11MAC所规范的规则才课可以访问媒介。这两个BSS必须共享单一无线信道的带宽，此次共存的BSS之间必然会有性能上的抵消。

802.11网络的运作方式：
802.11在设计之初就是作为较上层协议的另一个链路层。
802.11里同样可找到Ethernet的核心成分。它同样十一长度为48位的IEEE 802 MAC地址来区别工作站。概念上，帧的传递是根据MAC地址，但是帧的传递时不可靠的。

网络服务 ：
802.11总共可以提供9种服务，其中三种用来传递数据，其余六种均属于管理操作，目的是让网络能够追踪移动节点及传递帧。

1. 分布式：只要基础结构型网络里的移动式工作站传送任何数据就会用到这项服务。一旦接入点接收到帧，就会使用分布式服务将帧传送至目的地。包括关联至同一个接入点的两个移动式工作站的相互通信
2. 整合：它让分布式系统得以连接至非IEEE 802.11网络。
3. 关联：之所以能够将帧传递给移动式工作站，是因为station会向接入点登记或者与接入点产生关联。如果使用健强安全网络协议（RSNP），那么关联之后才能进行身份验证。在身份验证之前，接入点会丢弃来自工作站的所有数据。
4. 重新关联：station在同一个扩展服务区域里的基本服务区域之间移动时，他必须随时评估信号的强度并在必要时切换所关联的ap。接入点不可能直接开启重新关联服务。一旦完成重新关联，分布式系统会更新工作站的位置信息，以反映可以通过那个接入点连上工作站。
5. 取消关联：一旦取消关联，工作站即不在当前网络上，取消关联时刻礼貌性动作，不过MAC在设计时已经考虑到工作哈纳未正式取消关联的情况。
6. 身份验证（Auth）：实体安全防护在有线局域网安全解决方案中不可或缺。无线网络无法提供相同层次的实体保护，因此必须依赖额外的身份验证例程，以保证访问网络的用户已获得授权。身份验证时关联的必要前提，唯有经过身份验证的用户次啊能使用网络。
7. 解除身份验证：用来终止一段身份验证关系。
8. 机密性：有线局域网中，坚固的实体控制可以防止对于书的绝大部分攻击。攻击者必须能够实际访问网络媒介，才可能窥视往来的内容。
9. MSDU传递：将数据传送给实际的接收端。
10. 传输功率控制（TPC）： 降低工作站传输功率以减小干扰。
11. 动态频率选择（DFS）：避免在5G频段干扰雷达操作

工作站服务：
移动式工作站和接入点的无线接口都会提供工作站服务。工作站提供帧传递服务让消息得以传递，为了支持此项任务，工作站还必须以身份验证服务来建立关联。
分布式系统服务：
分布式系统服务负责将接入点连接至分布式系统。接入点的主要任务是通过无线端提供关联与集成服务，将有限网络所提供的服务扩展至无线网络。分布式系统另外一项重要的任务是管理移动式工作站的关联。分布式系统还提供了关联，重新关联以及取消关联等服务。
机密性与访问控制：
这两者紧密部分。除了传输数据的保密性，机密性服务也提供帧内容的完整性。保密性与完整性均依赖共享式加密密钥，因此机密性服务必然依赖其他服务来提供身份验证与密钥管理。

1. 身份验证与密钥管理（AKM）：机密性服务依赖身份验证与密钥管理的配套使用来确定用户的身份并建立加密密钥。
2. 加密算法：帧可以通过传统WEP算法获得保护，是哦那个40或104位长的密钥，TKIP或者CCMP。
3. 来源真实性：TKIP和CCMP让接收端得以验证传送端的MAC地址以避免伪装攻击。来源真实性只能保护单播数据。
4. 重放检测：TKIP与CCMP会使用序号计数器来验证所接收的帧以防范重放攻击。太旧的帧就会被丢弃。
5. 其他外部协议与系统：802.11未限制使用任何协议，不过最普遍的做法是以EAP提供身份验证并以RADIUS接入认证服务器。

频谱管理服务：
这是工作站服务的一部分，这项服务让无线网络得以相应环境并动态更变电波的设定值。802.1h定义了两种服务：

1. 传输功率控制:动态调整工作站的传输功率。ap可以利用TPC操作来告知station最大容许功率，如果station使用的功率不符合电波管理的要求，可以拒绝连接。工作站课可以利用TPC调整功率，是传输距离刚刚好可以连接上接入点。我们的手机也有类似功能，被设计来验证电池使用时间。
2. 动态频率选择（DFS）:主要目的是为了欧洲地区避免干扰5GHz频带的雷达系统。ap可以借助DFS所提供的功能，让某个信道静默后不受干扰地搜索雷达。不过DFS最重要的功能在于可以为接入点重新分配信道。在切换信道之前，工作站均会接到通知。

移动性支持：
802.11提供的移动性存在于链路层的基本服务区域之间，并无法理解链路层以上究竟发生了什么。
接入点可能会出现三种转换：

1. 不转换：station未离开当前ap的服务范围，就无需转换。
2. BSS转换：station持续监控ap的rssi和信号质量。在扩展服务区中，802.11提供过了MAC层次的移动性，附接至分布式系统的station可以将所送出的帧云知道谋克移动式工作站的MAC地址，并让ap充当移动式工作站的最终跳跃点。分布式系统无需找到staion的确切位置，只需要station位于同样的扩展服务区域内。
   
   如图2-9为BSS转换过程，t=1到t=2的过程叫BSS转换。BSS需要ap的相互合作。
3. ESS转换：图2-10，802.11所支持的ESS转换仅能够让工作站比较容易与新的ESS中的接入点关联。要是能维持较高层次的连接，必须的得到协议族的支持。以TCP/IP为例，要支持无间隙ESS转换，必须使用MOBILE IP。2-10中四个BSS组成了两个ESS。目前尚未支持ESS无间隙转换。之所以支持，是因为station与第二个ESS里的ap关联，只要离开第一个ESS，任何作用中的网络连接都会随之断线。
   

移动性网络设计：
后期补齐

专属的移动性系统：
为了提供移动性，有些厂商会涉及各自的专属协议与流程，特别是那些专门设计产品来构建大规模网络的设备厂商。