tahomam
05-06-2007, 01:42 PM
802.11 network architecture
Kiến trúc của mạng không dây chính là chuẩn 802.11. Bài viết này sẽ tập trung chính vào các chủ đề được định nghĩa trong 802.11, các kiến thức này sẽ rất cần thiết khi cài đặt mạng không dây sử dụng các thiết bị tương thích 802.11. Chúng ta sẽ khảo sát quá trình client kết nối vào Access Point (AP), các thuật ngữ được sử dụng trong mạng không dây.
Nếu bạn không có kiến thức vững chắc về mạng không dây thì rất khó cho bạn khi bạn muốn thiết kế, cài đặt và gở rối mạng không dây. Bài này cũng đưa ra một số bước cơ bản để bạn có thể thiết kế và quản trị một mạng không dây.
I. Định vị một mạng không dây (Locating a Wireless LAN)
Khi bạn cài đặt, cấu hình và khởi động các thiết bị client mạng không dây như USB card hay PCMCIA card, client sẽ tự động lắng nghe xem thử có mạng WLAN nào trong vùng của nó hay không. Client cũng sẽ xem xét liệu chúng có thể kết nối với mạng đó không. Tiến trình lắng nghe này được gọi là “Scanning”. Scanning sẽ xuất xảy ra trước bất kỳ một tiến trình nào khác, bởi vì scanning giúp client phát hiện ra mạng WLAN.
Có 2 kiểu scanning: Passive scanning và Active scanning. Scanning chính là quá trình tìm kiếm cái được gọi là Service Set Identifiers (SSID) do AP phát ra được chứa trong các Beacon. Phần sau sẽ định nghĩa các khái niệm này.
1. Service Set Identifiers (SSID)
SSID là một chuỗi ký tự số và chữ cái duy nhất, phân biệt hoa thường, có chiều dài từ 2 đến 32 ký tự, nó được sử dụng như là tên của mạng. Cách dùng tên này sẽ được sử dụng để phân đoạn mạng, hay là một phương thức bảo mật cơ bản trong quá trình kết nối vào mạng của các client. Giá trị SSID sẽ được gởi ra trong các Beacon, Probe Request, Probe Response và các kiểu frame khác. Các trạm client phải được cấu hình để giá trị SSID chính xác với AP để có thể kết nối với AP (tuy nhiên trong thực tế điều này là không cần thiết vì hầu hết các card mạng không dây đều được thiết kế để có thể detect ra các mạng không dây và giá trị SSID của chúng). Các nhà quản trị mạng phải cấu hình giá trị SSID (đôi khi còn được gọi là ESSID) trên mỗi AP. Nếu muốn cho các client thực hiện chuyển vùng thông suốt (Seamlessly Roaming) thì tất cả các AP phải được cấu hình cùng một giá trị SSID.
2. Beacon
Beacon là một dạng frame ngắn được gởi từ AP đến các trạm client (trong mạng Infrastructure) hoặc từ trạm đến trạm (trong mạng Ad-Hoc) đẻ tổ chức và đồng bộ hóa các truyền thông trong mạng WLAN. Beacon phục vụ nhiều chức năng bao gồm:
Đồng bộ hóa thời gian (Time Synchronization)
Beacon đồng bộ với các client bằng các nhãn thời gian ngay tại thời điểm truyền. Khi client nhận beacon, nó thay đổi đồng hồ của nó để đồng bộ với đồng hồ của AP. Việc đồng bộ đồng hồ của các thiết bị truyền thông sẽ tất cả các chức năng liên quan đến thời gian như việc nhảy giữa các hệ thống FHSS, sẽ được thực hiện mà không gây ra lỗi. Beacon cũng chứa giá trị Beacon Interval, để báo cho client biết bao lâu thì AP sẽ phát ra Beacon.
FH or DS Parameter Set
Beacon cũng chứa các thông tin xác định các công nghệ trãi phổ mà hệ thống sử dụng. Ví dụ như trong hệ thống FHSS thì các tham số như hop time, dwell time và hop sequence sẽ được chứa trong beacon. Còn đối với hệ thống DSSS, beacon sẽ chứa các thông tin về kênh truyền.
SSID Information
Các trạm (station) sẽ tìm kiếm giá trị SSID trong Beacon để nó có thể giam gia vào mạng. Khi thông tin này được tìm thấy, station sẽ đọc giá trị MAC address để biết được beacon đến từ đâu, sau đó nó sẽ gởi một Authentication Request frame để có thể kết nối với AP đó. Nếu station nhận được nhiều giá trị SSID từ nhiều AP khác nhau thì nó có thể sẽ kết nối với AP đầu tiên hoặc AP có độ mạnh tín hiệu lớn nhất.
Traffic Indication Map (TIM)
TIM được sử dụng để báo cho các Sleeping Station (các trạm đang trong chế độ tiết kiệm năng lượng) rằng chúng có các gói tin đang được buffer ở AP. Thông tin này sẽ được truyền trong mỗi Beacon đến tất cả các station đã kết nối với AP. Khi đang ngủ (sleeping), các trạm đã đồng bộ với AP trước đó sẽ bật bộ tiếp nhận (receivers) của mình lên (không hoàn toàn là thức dậy), lắng nghe các beacon, kiểm tra giá trị TIM xem chúng có trong danh sách đó hay không. Nếu không có thì chúng sẽ tắt receivers của mình và tiếp tục ngủ.
Supported Rate
Đối với mạng không dây, nó hỗ trợ nhiều tốc độ khác nhau tùy vào chuẩn hoặc thiết bị được sử dụng. Ví dụ, các thiết bị tương thích chuẩn 802.11b sẽ có tốc độ 11, 5.5, 2 và 1 Mbps. Thông tin này sẽ được truyền trong các beacon để báo cho client biết tốc độ nào sẽ được hỗ trợ bởi AP.
Ngoài các thông tin trên thì Beacon còn chứa nhiều thông tin khác nữa, tuy nhiên các thông tin trên là các thông tin quan trọng cần phải biết đối với người quản trị mạng.
3. Passive Scanning
Passive scanning là tiến trình lắng nghe beacon trên mỗi kênh trong một khoảng thời gian định trước sau khi station được khởi tạo. Những Beacon này được gởi bởi AP (trong mạng Infrastructure) hay các trạm client (trong mạng Ad-Hoc), trạm đang scanning sẽ thực hiện phân loại các đặc điểm của AP hay station dựa trên các beacon này. Station sẽ lắng nghe các beacon cho đến khi chúng tìm được mạng mà chúng mong muốn. Sau đó, station sẽ cố gắng tham gia vào mạng thông qua AP đã gởi beacon cho nó. Pasive scanning được minh họa trong hình dưới đây
http://i47.photobucket.com/albums/f185/hinhup/65-7-1.gif
Trong cấu hình mạng có nhiều AP, giá trị SSID của mạng mà station muốn tham gia sẽ được quảng bá bởi nhiều AP. Trong trường hợp này thì station sẽ cố gắng tham gia vào mạng thông qua AP có độ mạnh tín hiệu lớn nhất và tỷ lệ bít lỗi thấp nhất.
Station sẽ tiếp tục passive scanning thậm chí sau khi đã kết nối với AP. Passive scanning sẽ tiết kiệm được thời gian khi kết nối lại với mạng nếu client bị đứt kết nối với AP. Bằng cách duy trì các AP sẵn có và các đặt điểm của chúng (kênh truyền, độ mạnh tín hiệu, SSID … ) station có thể nhanh chóng xác định được AP tốt nhất để kết nối sau khi chúng bị đứt kết nối với AP hiện tại.
Station sẽ chuyển từ AP này sang AP khác sau khi tín hiệu từ AP mà chúng đang nối giảm đến mức thấp xác định nào đó. Roaming được cài đặt cho phép client kết nối liên tục với mạng. Station sử dụng thông tin lấy được thông qua passive scanning để xác định AP tốt nhất (hay mạng AD-Hoc) để kết nối trở lại vào mạng. Vì lý do này, vùng chồng lên nhau (overlap) giữa vùng phủ sóng của các AP phải đảm bảo xấp xĩ 20 – 30%. Vùng overlap này cho phép station thực hiện seamlessly roaming giữa các AP mà người sử dụng không hề hay biết.
Bởi vì mức độ nhạy của bộ thu sóng radio có thể hoạt động không chính xác, nên đôi khi các nhà quản trị mạng sẽ thấy hiện tượng bộ thu sóng radio vẫn còn kết nối đến một AP cho đến khi tín hiệu bị đứt hay độ mạnh tín hiệu là cực thấp, thay vì roaming sang một AP khác có tín hiệu tốt hơn. Nếu bạn gặp tình huống này thì bạn nên báo cáo nó với nhà sản xuất để có biện pháp giải quyết.
4. Active Scanning
Active scanning là quá trình gởi Probe Request frame từ máy trạm. Station gởi frame này khi chúng muốn tìm kiếm mạng để kết nối vào. Probe frame sẽ chứa giá rị SSID của mạng mà chúng muốn tham gia vào hoặc có thể là một Broadcast SSID. Nếu Probe Request được gởi xác định một SSID cụ thể thì những AP nào có giá trị SSID trùng với nó sẽ trả lời lại bằng một Probe Response frame. Nếu Probe Request frame được gởi với giá trị Broadcast SSID thì tất cả AP nhận được frame này sẽ trả lời lại bằng một Probe Response frame như được minh họa trong hình dưới đây.
http://i47.photobucket.com/albums/f185/hinhup/64-7-2.gif
Cách scanning này cho phép station xác định AP nào chúng có thể kết nối vào mạng. Khi tìm thấy AP thích hợp thì station sẽ khởi tạo các bước authentication và association để kết nối vào mạng thông qua AP.
Thông tin được truyền từ AP đến Station trong Probe Response frame là rất giống với Beacon frame. Probe Response chỉ khác với Beacon ở chổ chúng không được dán tem thời gian (time-stamp) và cũng không chứa trường Traffic Indication Map (TIM).
Độ mạnh tín hiệu của Probe Response frame mà PC card nhận được sẽ giúp xác định AP tốt nhất mà PC card sẽ kết nối. Station sẽ chọn AP có độ mạnh tín hiệu lớn nhất và tỷ lệ bít lỗi thấp nhất (Bit Error Rate – BER). BER là tỷ lệ các gói tin bị hỏng so với các gói tin tốt, nó thường được xác định bởi tỷ số Signal-to-Noise của tín hiệu. Nếu đỉnh của tín hiệu nhận được là gần với nhiễu nền (noise floor) thì receiver có thể nhầm lẫn giữa tín hiệu và nhiễu.
II. Authentication & Association (Xác thực và kết nối)
Quá trình kết nối với WLAN bao gồm 2 tiến trình con riêng biệt, những tiến trình con này luôn luôn xuất hiện theo cùng thứ tự và chúng được gọi là Authentication và Association. Ví dụ khi PC card kết nối với mạng WLAN, thì PC card đã được authentication bởi và Association với AP nào đó. Hãy nhớ rằng khi chúng ta nói đến association có nghĩa là chúng ta đang nói đến kết nối lớp 2, và authentication gắn liền trực tiếp với PC card, chứ không phải là người dùng (user). Việc hiểu được các bước của một client khi kết nối với một AP là rất quan trọng để có thể bảo mật, gở rối và quản lý mạng WLAN.
1. Authentication
Bước đầu tiên trong việc kết nối với WLAN là authentication. Authentication là quá trình trong đó các node không dây ( PC card, USB client …) sẽ được chứng thực bởi mạng (thông thường là AP) khi chúng muốn kết nối với mạng. AP sẽ đáp trả lại lời yêu cầu kết nối của client bằng cách kiểm tra định danh của client trước khi việc kết nối xảy ra. Đôi khi tiến trình authentication này là Null, có nghĩa là, mặc dù client và AP phải trải qua quá trình authentication này để kết nối vào mạng, nhưng sẽ không có một sự kiểm tra chứng thực đặc biệt nào xảy ra. Đây là trường hợp khi bạn cài AP và PC card với thiết lập mặc định của nhà sản xuất. Chúng ta sẽ thảo luận 2 kiểu authentication ở phần sau.
Client bắt đầu tiến trình authentication bằng cách gởi một Authentication Request frame đến AP (trong mạng Infrastructure). AP sẽ chấp nhận (accept) hay từ chối (deny) lời yêu cầu (request) này, sau đó báo cho station biết quyết định của nó bằng cách gởi một Authentication Response frame. Tiến trình authentication có thể được thực hiện tại AP, hay AP có thể chuyển trách nhiệm này sang một server authentication như RADIUS. RADIUS server sẽ thực hiện authentication dựa trên một danh sách tiêu chuẩn, và sau đó trả lại kết quả của nó cho AP và AP chuyển đến station.
2. Association
Một khi client đã được xác thực thì nó sẽ thực hiện kết nối với AP. Associated là trạng thái trong đó client đã được cho phép truyền dữ liệu thông qua AP. Nếu PC card của bạn đã associated với một AP, thì có nghĩa là bạn đã kết nối với AP đó và cũng là với mạng không dây.
Tiến trình để trở nên associated được mô tả như sau: Khi một client muốn kết nối vào mạng, client đó sẽ gởi một Authentication Request frame đến AP và nhận trở lại một Authentication Response frame. Sau khi authentication đã được hoàn thành, station sẽ gởi một Association Request frame đến AP và AP sẽ trả lời lại cho client một Association Response frame trong đó cho phép hoặc không cho phép association.
3. Trạng thái của Authentication và Association
Toàn bộ tiến trình authentication và association bao gồm 3 trạng thái khác nhau
+ Unauthenticated và Unassociated
+ Authenticated và Unassociated
+ Authenticated và Associated
Unauthenticated và Unassociated
Trong trạng thái khởi đầu này, các node không dây hoàn toàn chưa kết nối với mạng và không thể truyền dữ liệu qua AP. AP lưu giữ một bảng các trạng thái kết nối của client được gọi là bảng Association. Điều quan trọng cần chú ý là các vendor khác nhau sẽ đề cập đến các trạng thái Unauthenticated và Unassociatied trong AP của họ một cách khác nhau. Bảng này sẽ đưa ra trạng thái “unauthenticated” cho bất kỳ client nào chưa hoàn thành tiến trình authentication hoặc đã authentication failed.
Authenticated và Unassociated
Trong trạng thái thứ 2 này, các client không dây đã vượt qua quá trình authentication thành công, nhưng vẫn chưa thật sự association với AP. Trong trạng thái này thi client vẫn không được phép truyền hay nhận dữ liệu thông qua AP. Bảng Association của AP sẽ hiển thị trạng thái cho client là “Authenticated”. Bởi vì client đã vượt qua giai đoạn authentication và ngay lập tức chuyển đến giai đoạn association rất nhanh chóng (chỉ vài milisecond), vì vậy rất hiếm khi bạn thấy được trạng thái “authenticated” trong AP. Thường thì bạn sẽ thấy “Unauthenticated” hay “Associated”.
Authenticated và Associated
Trong trạng thái cuối cùng này, node không dây của bạn đã hoàn toàn kết nối với mạng, có thể gởi và nhận dữ liệu thông qua AP. Hình dưới mô tả quá trình association của một client. Bạn sẽ thấy trạng thái “associated” trong bảng association của AP cho biết rằng client này đã hoàn toàn kết nối và đã được chứng nhận bởi AP để có thể truyền dữ liệu thông qua AP. Từ đây bạn có thể suy ra các phương thức bảo mật sẽ được cài đặt trong quá trình kết nối của client.
http://i47.photobucket.com/albums/f185/hinhup/63-7-3.gif
4. Các phương thức Authentication
Chuẩn 802.11 xác định 2 phương thức cho authentication: Open System Authentication và Shared-Key Authentication. Phương thức đơn giản và cũng là bảo mật hơn trong số 2 phương thức trên là Open System Authentication. Để một client có được trạng thái “authenticated”, client và AP phải trải qua các bước, các bước này là khác nhau tùy thuộc vào tiến trình authentication được sử dụng. Dưới đây chúng ta sẽ thảo luận các tiến trình authentication được xác định trong chuẩn 802.11, cách chúng làm việc và tại sao chúng được sử dụng.
Open System Authentication
Open System Authentication là một phương thức xác thực null và được xác định bỏi 80.11 như là thiết lập mặc định cho các thiết bị WLAN. Sử dụng phương thức xác thực này, một station có thể kết nối vào một AP mà chỉ dựa trên SSID. SSID phải trùng nhau ở cả client và AP thì xem như client đã được xác thực thành công. Tuy nhiên, việc chỉ sử dụng SSID sẽ là một phương pháp bảo mật rất kém.
Tiến trình Open System Authentication
+ Client yêu cầu kết nối với AP
+ AP xác thực client và gởi một Positive Response đến client, sau đó client được xem như là “associated”
Các bước này được mô tả trong hình dưới đây
http://i47.photobucket.com/albums/f185/hinhup/62-7-4.gif
Open system authentication là một tiến trình rất đơn giản, tuy nhiên, bạn còn có tùy chọn sử dụng mã hóa WEP (Wire Equivalent Privacy) cùng với open system authentcation. Nếu WEP được sử dụng cùng với tiến trình open system authentication thì sẽ không có một sự kiểm tra nào đối với WEP key trên cả 2 phía kết nối trong suốt quá trình authentication. Thay vào đó, WEP key chỉ được sử dụng để mã hóa dữ liệu một khi client đã được authenticated và associated.
Open system authentication được sử dụng trong nhiều trường hợp nhưng có 2 lý do chính để sử dụng nó. Trước tiên, open system authentication được xem như là bảo mật hơn so với shared key authentication (sẽ giải thích ở phần sau). Thứ 2, open system authentication là rất đơn giản lúc cấu hình bởi vì thật ra chúng chẳng cần cấu hình gì cả. Tất cả các thiết bị tương thích với 802.11 đều được cấu hình mặc định là sử dụng phương thức xác thực open system authentication.
Kiến trúc của mạng không dây chính là chuẩn 802.11. Bài viết này sẽ tập trung chính vào các chủ đề được định nghĩa trong 802.11, các kiến thức này sẽ rất cần thiết khi cài đặt mạng không dây sử dụng các thiết bị tương thích 802.11. Chúng ta sẽ khảo sát quá trình client kết nối vào Access Point (AP), các thuật ngữ được sử dụng trong mạng không dây.
Nếu bạn không có kiến thức vững chắc về mạng không dây thì rất khó cho bạn khi bạn muốn thiết kế, cài đặt và gở rối mạng không dây. Bài này cũng đưa ra một số bước cơ bản để bạn có thể thiết kế và quản trị một mạng không dây.
I. Định vị một mạng không dây (Locating a Wireless LAN)
Khi bạn cài đặt, cấu hình và khởi động các thiết bị client mạng không dây như USB card hay PCMCIA card, client sẽ tự động lắng nghe xem thử có mạng WLAN nào trong vùng của nó hay không. Client cũng sẽ xem xét liệu chúng có thể kết nối với mạng đó không. Tiến trình lắng nghe này được gọi là “Scanning”. Scanning sẽ xuất xảy ra trước bất kỳ một tiến trình nào khác, bởi vì scanning giúp client phát hiện ra mạng WLAN.
Có 2 kiểu scanning: Passive scanning và Active scanning. Scanning chính là quá trình tìm kiếm cái được gọi là Service Set Identifiers (SSID) do AP phát ra được chứa trong các Beacon. Phần sau sẽ định nghĩa các khái niệm này.
1. Service Set Identifiers (SSID)
SSID là một chuỗi ký tự số và chữ cái duy nhất, phân biệt hoa thường, có chiều dài từ 2 đến 32 ký tự, nó được sử dụng như là tên của mạng. Cách dùng tên này sẽ được sử dụng để phân đoạn mạng, hay là một phương thức bảo mật cơ bản trong quá trình kết nối vào mạng của các client. Giá trị SSID sẽ được gởi ra trong các Beacon, Probe Request, Probe Response và các kiểu frame khác. Các trạm client phải được cấu hình để giá trị SSID chính xác với AP để có thể kết nối với AP (tuy nhiên trong thực tế điều này là không cần thiết vì hầu hết các card mạng không dây đều được thiết kế để có thể detect ra các mạng không dây và giá trị SSID của chúng). Các nhà quản trị mạng phải cấu hình giá trị SSID (đôi khi còn được gọi là ESSID) trên mỗi AP. Nếu muốn cho các client thực hiện chuyển vùng thông suốt (Seamlessly Roaming) thì tất cả các AP phải được cấu hình cùng một giá trị SSID.
2. Beacon
Beacon là một dạng frame ngắn được gởi từ AP đến các trạm client (trong mạng Infrastructure) hoặc từ trạm đến trạm (trong mạng Ad-Hoc) đẻ tổ chức và đồng bộ hóa các truyền thông trong mạng WLAN. Beacon phục vụ nhiều chức năng bao gồm:
Đồng bộ hóa thời gian (Time Synchronization)
Beacon đồng bộ với các client bằng các nhãn thời gian ngay tại thời điểm truyền. Khi client nhận beacon, nó thay đổi đồng hồ của nó để đồng bộ với đồng hồ của AP. Việc đồng bộ đồng hồ của các thiết bị truyền thông sẽ tất cả các chức năng liên quan đến thời gian như việc nhảy giữa các hệ thống FHSS, sẽ được thực hiện mà không gây ra lỗi. Beacon cũng chứa giá trị Beacon Interval, để báo cho client biết bao lâu thì AP sẽ phát ra Beacon.
FH or DS Parameter Set
Beacon cũng chứa các thông tin xác định các công nghệ trãi phổ mà hệ thống sử dụng. Ví dụ như trong hệ thống FHSS thì các tham số như hop time, dwell time và hop sequence sẽ được chứa trong beacon. Còn đối với hệ thống DSSS, beacon sẽ chứa các thông tin về kênh truyền.
SSID Information
Các trạm (station) sẽ tìm kiếm giá trị SSID trong Beacon để nó có thể giam gia vào mạng. Khi thông tin này được tìm thấy, station sẽ đọc giá trị MAC address để biết được beacon đến từ đâu, sau đó nó sẽ gởi một Authentication Request frame để có thể kết nối với AP đó. Nếu station nhận được nhiều giá trị SSID từ nhiều AP khác nhau thì nó có thể sẽ kết nối với AP đầu tiên hoặc AP có độ mạnh tín hiệu lớn nhất.
Traffic Indication Map (TIM)
TIM được sử dụng để báo cho các Sleeping Station (các trạm đang trong chế độ tiết kiệm năng lượng) rằng chúng có các gói tin đang được buffer ở AP. Thông tin này sẽ được truyền trong mỗi Beacon đến tất cả các station đã kết nối với AP. Khi đang ngủ (sleeping), các trạm đã đồng bộ với AP trước đó sẽ bật bộ tiếp nhận (receivers) của mình lên (không hoàn toàn là thức dậy), lắng nghe các beacon, kiểm tra giá trị TIM xem chúng có trong danh sách đó hay không. Nếu không có thì chúng sẽ tắt receivers của mình và tiếp tục ngủ.
Supported Rate
Đối với mạng không dây, nó hỗ trợ nhiều tốc độ khác nhau tùy vào chuẩn hoặc thiết bị được sử dụng. Ví dụ, các thiết bị tương thích chuẩn 802.11b sẽ có tốc độ 11, 5.5, 2 và 1 Mbps. Thông tin này sẽ được truyền trong các beacon để báo cho client biết tốc độ nào sẽ được hỗ trợ bởi AP.
Ngoài các thông tin trên thì Beacon còn chứa nhiều thông tin khác nữa, tuy nhiên các thông tin trên là các thông tin quan trọng cần phải biết đối với người quản trị mạng.
3. Passive Scanning
Passive scanning là tiến trình lắng nghe beacon trên mỗi kênh trong một khoảng thời gian định trước sau khi station được khởi tạo. Những Beacon này được gởi bởi AP (trong mạng Infrastructure) hay các trạm client (trong mạng Ad-Hoc), trạm đang scanning sẽ thực hiện phân loại các đặc điểm của AP hay station dựa trên các beacon này. Station sẽ lắng nghe các beacon cho đến khi chúng tìm được mạng mà chúng mong muốn. Sau đó, station sẽ cố gắng tham gia vào mạng thông qua AP đã gởi beacon cho nó. Pasive scanning được minh họa trong hình dưới đây
http://i47.photobucket.com/albums/f185/hinhup/65-7-1.gif
Trong cấu hình mạng có nhiều AP, giá trị SSID của mạng mà station muốn tham gia sẽ được quảng bá bởi nhiều AP. Trong trường hợp này thì station sẽ cố gắng tham gia vào mạng thông qua AP có độ mạnh tín hiệu lớn nhất và tỷ lệ bít lỗi thấp nhất.
Station sẽ tiếp tục passive scanning thậm chí sau khi đã kết nối với AP. Passive scanning sẽ tiết kiệm được thời gian khi kết nối lại với mạng nếu client bị đứt kết nối với AP. Bằng cách duy trì các AP sẵn có và các đặt điểm của chúng (kênh truyền, độ mạnh tín hiệu, SSID … ) station có thể nhanh chóng xác định được AP tốt nhất để kết nối sau khi chúng bị đứt kết nối với AP hiện tại.
Station sẽ chuyển từ AP này sang AP khác sau khi tín hiệu từ AP mà chúng đang nối giảm đến mức thấp xác định nào đó. Roaming được cài đặt cho phép client kết nối liên tục với mạng. Station sử dụng thông tin lấy được thông qua passive scanning để xác định AP tốt nhất (hay mạng AD-Hoc) để kết nối trở lại vào mạng. Vì lý do này, vùng chồng lên nhau (overlap) giữa vùng phủ sóng của các AP phải đảm bảo xấp xĩ 20 – 30%. Vùng overlap này cho phép station thực hiện seamlessly roaming giữa các AP mà người sử dụng không hề hay biết.
Bởi vì mức độ nhạy của bộ thu sóng radio có thể hoạt động không chính xác, nên đôi khi các nhà quản trị mạng sẽ thấy hiện tượng bộ thu sóng radio vẫn còn kết nối đến một AP cho đến khi tín hiệu bị đứt hay độ mạnh tín hiệu là cực thấp, thay vì roaming sang một AP khác có tín hiệu tốt hơn. Nếu bạn gặp tình huống này thì bạn nên báo cáo nó với nhà sản xuất để có biện pháp giải quyết.
4. Active Scanning
Active scanning là quá trình gởi Probe Request frame từ máy trạm. Station gởi frame này khi chúng muốn tìm kiếm mạng để kết nối vào. Probe frame sẽ chứa giá rị SSID của mạng mà chúng muốn tham gia vào hoặc có thể là một Broadcast SSID. Nếu Probe Request được gởi xác định một SSID cụ thể thì những AP nào có giá trị SSID trùng với nó sẽ trả lời lại bằng một Probe Response frame. Nếu Probe Request frame được gởi với giá trị Broadcast SSID thì tất cả AP nhận được frame này sẽ trả lời lại bằng một Probe Response frame như được minh họa trong hình dưới đây.
http://i47.photobucket.com/albums/f185/hinhup/64-7-2.gif
Cách scanning này cho phép station xác định AP nào chúng có thể kết nối vào mạng. Khi tìm thấy AP thích hợp thì station sẽ khởi tạo các bước authentication và association để kết nối vào mạng thông qua AP.
Thông tin được truyền từ AP đến Station trong Probe Response frame là rất giống với Beacon frame. Probe Response chỉ khác với Beacon ở chổ chúng không được dán tem thời gian (time-stamp) và cũng không chứa trường Traffic Indication Map (TIM).
Độ mạnh tín hiệu của Probe Response frame mà PC card nhận được sẽ giúp xác định AP tốt nhất mà PC card sẽ kết nối. Station sẽ chọn AP có độ mạnh tín hiệu lớn nhất và tỷ lệ bít lỗi thấp nhất (Bit Error Rate – BER). BER là tỷ lệ các gói tin bị hỏng so với các gói tin tốt, nó thường được xác định bởi tỷ số Signal-to-Noise của tín hiệu. Nếu đỉnh của tín hiệu nhận được là gần với nhiễu nền (noise floor) thì receiver có thể nhầm lẫn giữa tín hiệu và nhiễu.
II. Authentication & Association (Xác thực và kết nối)
Quá trình kết nối với WLAN bao gồm 2 tiến trình con riêng biệt, những tiến trình con này luôn luôn xuất hiện theo cùng thứ tự và chúng được gọi là Authentication và Association. Ví dụ khi PC card kết nối với mạng WLAN, thì PC card đã được authentication bởi và Association với AP nào đó. Hãy nhớ rằng khi chúng ta nói đến association có nghĩa là chúng ta đang nói đến kết nối lớp 2, và authentication gắn liền trực tiếp với PC card, chứ không phải là người dùng (user). Việc hiểu được các bước của một client khi kết nối với một AP là rất quan trọng để có thể bảo mật, gở rối và quản lý mạng WLAN.
1. Authentication
Bước đầu tiên trong việc kết nối với WLAN là authentication. Authentication là quá trình trong đó các node không dây ( PC card, USB client …) sẽ được chứng thực bởi mạng (thông thường là AP) khi chúng muốn kết nối với mạng. AP sẽ đáp trả lại lời yêu cầu kết nối của client bằng cách kiểm tra định danh của client trước khi việc kết nối xảy ra. Đôi khi tiến trình authentication này là Null, có nghĩa là, mặc dù client và AP phải trải qua quá trình authentication này để kết nối vào mạng, nhưng sẽ không có một sự kiểm tra chứng thực đặc biệt nào xảy ra. Đây là trường hợp khi bạn cài AP và PC card với thiết lập mặc định của nhà sản xuất. Chúng ta sẽ thảo luận 2 kiểu authentication ở phần sau.
Client bắt đầu tiến trình authentication bằng cách gởi một Authentication Request frame đến AP (trong mạng Infrastructure). AP sẽ chấp nhận (accept) hay từ chối (deny) lời yêu cầu (request) này, sau đó báo cho station biết quyết định của nó bằng cách gởi một Authentication Response frame. Tiến trình authentication có thể được thực hiện tại AP, hay AP có thể chuyển trách nhiệm này sang một server authentication như RADIUS. RADIUS server sẽ thực hiện authentication dựa trên một danh sách tiêu chuẩn, và sau đó trả lại kết quả của nó cho AP và AP chuyển đến station.
2. Association
Một khi client đã được xác thực thì nó sẽ thực hiện kết nối với AP. Associated là trạng thái trong đó client đã được cho phép truyền dữ liệu thông qua AP. Nếu PC card của bạn đã associated với một AP, thì có nghĩa là bạn đã kết nối với AP đó và cũng là với mạng không dây.
Tiến trình để trở nên associated được mô tả như sau: Khi một client muốn kết nối vào mạng, client đó sẽ gởi một Authentication Request frame đến AP và nhận trở lại một Authentication Response frame. Sau khi authentication đã được hoàn thành, station sẽ gởi một Association Request frame đến AP và AP sẽ trả lời lại cho client một Association Response frame trong đó cho phép hoặc không cho phép association.
3. Trạng thái của Authentication và Association
Toàn bộ tiến trình authentication và association bao gồm 3 trạng thái khác nhau
+ Unauthenticated và Unassociated
+ Authenticated và Unassociated
+ Authenticated và Associated
Unauthenticated và Unassociated
Trong trạng thái khởi đầu này, các node không dây hoàn toàn chưa kết nối với mạng và không thể truyền dữ liệu qua AP. AP lưu giữ một bảng các trạng thái kết nối của client được gọi là bảng Association. Điều quan trọng cần chú ý là các vendor khác nhau sẽ đề cập đến các trạng thái Unauthenticated và Unassociatied trong AP của họ một cách khác nhau. Bảng này sẽ đưa ra trạng thái “unauthenticated” cho bất kỳ client nào chưa hoàn thành tiến trình authentication hoặc đã authentication failed.
Authenticated và Unassociated
Trong trạng thái thứ 2 này, các client không dây đã vượt qua quá trình authentication thành công, nhưng vẫn chưa thật sự association với AP. Trong trạng thái này thi client vẫn không được phép truyền hay nhận dữ liệu thông qua AP. Bảng Association của AP sẽ hiển thị trạng thái cho client là “Authenticated”. Bởi vì client đã vượt qua giai đoạn authentication và ngay lập tức chuyển đến giai đoạn association rất nhanh chóng (chỉ vài milisecond), vì vậy rất hiếm khi bạn thấy được trạng thái “authenticated” trong AP. Thường thì bạn sẽ thấy “Unauthenticated” hay “Associated”.
Authenticated và Associated
Trong trạng thái cuối cùng này, node không dây của bạn đã hoàn toàn kết nối với mạng, có thể gởi và nhận dữ liệu thông qua AP. Hình dưới mô tả quá trình association của một client. Bạn sẽ thấy trạng thái “associated” trong bảng association của AP cho biết rằng client này đã hoàn toàn kết nối và đã được chứng nhận bởi AP để có thể truyền dữ liệu thông qua AP. Từ đây bạn có thể suy ra các phương thức bảo mật sẽ được cài đặt trong quá trình kết nối của client.
http://i47.photobucket.com/albums/f185/hinhup/63-7-3.gif
4. Các phương thức Authentication
Chuẩn 802.11 xác định 2 phương thức cho authentication: Open System Authentication và Shared-Key Authentication. Phương thức đơn giản và cũng là bảo mật hơn trong số 2 phương thức trên là Open System Authentication. Để một client có được trạng thái “authenticated”, client và AP phải trải qua các bước, các bước này là khác nhau tùy thuộc vào tiến trình authentication được sử dụng. Dưới đây chúng ta sẽ thảo luận các tiến trình authentication được xác định trong chuẩn 802.11, cách chúng làm việc và tại sao chúng được sử dụng.
Open System Authentication
Open System Authentication là một phương thức xác thực null và được xác định bỏi 80.11 như là thiết lập mặc định cho các thiết bị WLAN. Sử dụng phương thức xác thực này, một station có thể kết nối vào một AP mà chỉ dựa trên SSID. SSID phải trùng nhau ở cả client và AP thì xem như client đã được xác thực thành công. Tuy nhiên, việc chỉ sử dụng SSID sẽ là một phương pháp bảo mật rất kém.
Tiến trình Open System Authentication
+ Client yêu cầu kết nối với AP
+ AP xác thực client và gởi một Positive Response đến client, sau đó client được xem như là “associated”
Các bước này được mô tả trong hình dưới đây
http://i47.photobucket.com/albums/f185/hinhup/62-7-4.gif
Open system authentication là một tiến trình rất đơn giản, tuy nhiên, bạn còn có tùy chọn sử dụng mã hóa WEP (Wire Equivalent Privacy) cùng với open system authentcation. Nếu WEP được sử dụng cùng với tiến trình open system authentication thì sẽ không có một sự kiểm tra nào đối với WEP key trên cả 2 phía kết nối trong suốt quá trình authentication. Thay vào đó, WEP key chỉ được sử dụng để mã hóa dữ liệu một khi client đã được authenticated và associated.
Open system authentication được sử dụng trong nhiều trường hợp nhưng có 2 lý do chính để sử dụng nó. Trước tiên, open system authentication được xem như là bảo mật hơn so với shared key authentication (sẽ giải thích ở phần sau). Thứ 2, open system authentication là rất đơn giản lúc cấu hình bởi vì thật ra chúng chẳng cần cấu hình gì cả. Tất cả các thiết bị tương thích với 802.11 đều được cấu hình mặc định là sử dụng phương thức xác thực open system authentication.
