| 文档 / 第 19 章无线通讯 | ||||
|---|---|---|---|---|
 | 18.7. 作为拨号助手的 smpppd | 第 20 章网络中的 SLP 服务 |  | |
| 文档 / 第 19 章无线通讯 | ||||
|---|---|---|---|---|
| 18.7. 作为拨号助手的 smpppd | 第 20 章网络中的 SLP 服务 | | |
摘要
无线 LAN 可用于建立 SUSEŽ Linux Enterprise Server 计算机间的通讯。本章介绍无线联网的原理和基本配置。
无线 LAN 已成为移动计算的不可缺少的一部分。 当今,大多数笔记本电脑都配有内置 WLAN 卡。 用于 WLAN 卡无线通讯的 802.11 标准是由 IEEE 组织制订的。 最初,此标准实现的最大传送速率是 2 Mbit/s。此后,此标准进行了多次补充以提高数据传送速率。 这些补充定义了调制、传送输出和传送速率等细节(请参见表 19.1 “各种 WLAN 标准的概述”)。此外,许多公司实施了带专有或设计 (draft) 功能的硬件。
表 19.1. 各种 WLAN 标准的概述
|
名称 |
频带 (GHz) |
最大传送速率 (MBit/s) |
记事 |
|---|---|---|---|
|
802.11 旧 |
2.4 |
2 |
已过时;目前市场上不销售采用此标准的最终设备 |
|
802.11a |
5 |
54 |
不易受干扰 |
|
802.11b |
2.4 |
11 |
较少使用 |
|
802.11g |
2.4 |
54 |
广泛采用,向后兼容 11b |
|
802.11n draft |
2.4 和/或 5 |
300 |
Common |
SUSEŽ Linux Enterprise Server 不支持 802.11 旧卡。使用 802.11a、802.11b、802.11g 和 802.11n draft 的大多数卡受支持。新卡通常符合 802.11n draft 标准,但是使用 802.11g 的卡仍然可用。
在无线联网中,会使用各种技术和配置来确保连接的快速、高质量和安全。 不同的操作类型适合不同的设置。 很难选择正确的身份验证方法。 各种可用加密方法有各自的优点和缺陷。
无线网络基本上可分为受管网络和特殊网络。 受管网络具有一个管理元素,即访问点。在这种方式(也称为基础结构方式)中,WLAN 工作站在网络中的所有连接都通过访问点运行,后者也可用作与以太网的连接。特殊网络没有访问点。 各站之间直接通讯,因此专用网络通常比受管网络速度更快。但是,在专用网络中,传送范围和参与工作站的数目都受到很大限制。它们也不支持 WPA 身份验证。因此,通常使用接入点。甚至可以将 WLAN 卡用作访问点。某些卡支持此功能。
与使用缆线连接的网络相比,无线网络中的数据更容易被截获,无线网络更容易受到攻击,所以各标准都包括了身份验证和加密方法。 IEEE 802.11 标准最初的版本在术语 WEP 下对这些方法进行了描述。 但是,WEP 被证明是不安全的(请参见 第 19.1.4.2 节 “安全性”),因此 WLAN 行业(组织名为 Wi-Fi 联盟)制订了一个名为 WPA 的新扩展,用以弥补 WEP 的缺陷。 后来的 IEEE 802.11i 标准(也称为 WPA2,因为 WPA 基于 802.11i 的草案版本)包括 WPA 和其他一些身份验证和加密方法。
为了确保只有经过授权的工作站才能连接,受管网络中使用了多种身份验证机制:
开放系统是不要求身份验证的系统。 任何工作站都可以加入网络。 不过,可以使用 WEP 加密(请参见 第 19.1.1.2 节 “加密”)。
在此过程中,使用 WEP 密钥进行身份验证。但不建议采用此过程,因为它使 WEP 密钥容易受到攻击。 攻击者所要做的一切就是侦听工作站和访问点之间的通讯足够长时间。在身份验证过程中,双方将交换相同的信息,一次使用的是加密形式,一次使用的是未加密形式。 这使得可以使用适当的工具来重构建密钥。 由于方法使用 WEP 密钥来进行身份验证和加密,因此不能提高网络的安全性。 具有正确 WEP 密钥的工作站可以进行身份验证、加密和解密。不具有密钥的工作站无法解密接收到的包。 因此,无论它是否必须对本身进行身份验证都不能进行通讯。
WPA-PSK(PSK 代表“预共享密钥”)的工作方式与共享密钥过程类似。 所有参与工作站和访问点需要相同的密钥。 该密钥长度为 256 位,通常以密码短语形式输入。此系统不需要像 WPA-EAP 那样的复杂密钥管理,并且更适合个人使用。 因此,有时将 WPA-PSK 称为 WPA“家庭”。
实际上,WPA-EAP 不是一个身份验证系统,而是一个传输身份验证信息的协议。 WPA-EAP 用于保护企业中的无线网络。 在个人网络中,很少使用 WPA-EAP。 因此,WPA-EAP 有时称为 WPA“企业”。
WPA-EAP 需要 Radius 服务器来验证用户。 EAP 提供了连接和身份验证服务器的三种不同方式:TLS (Transport Layer Security)、TTLS (Tunneled Transport Layer Security) 和 PEAP (Protected Extensible Authentication Protocol)。在 nutshell 中,这些选项的作用如下所示:
TLS 身份验证依赖于服务器和客户机的证书互相交换。 首先,服务器为客户机(客户机会评估服务器)提供其证书。 如果证书被认为有效,则接下来客户机会对服务器提供其证书。 当 TLS 是安全的,它要求在网络中具有运转的认证管理基础结构。 此基础结构在专用网络中很少见。
TTLS 和 PEAP 都是两个阶段的协议。 在第一个阶段,将建立安全连接,在第二个阶段,将交换客户端身份验证数据。在需要认证管理的情况下,它们所需的认证管理费用比 TLS 要少得多。
有多种加密方法可确保所有未授权用户不能读取无线网络中交换的数据包并且不能访问网络:
此标准使用 RC4 加密算法,最初密钥长度为 40 位,后来也使用 104 位的密钥。 通常,将此长度声明为 64 位或 128 位,这取决于是否包括初始化矢量的 24 位。 但是,此标准有一些缺陷。 攻击者能够成功攻击此系统生成的密钥。 不过,使用 WEP 总比根本不加密网络要好。
某些供应商实施了非标准的“动态 WEP”。它与 WEP 的工作完全相同,也具有相同弱点,不同之处在于密钥管理设备会定期更改密钥。
WPA 标准中定义的这一密钥管理协议使用与 WEP 相同的加密算法,但弥补了其缺陷。 由于为每个数据包生成一个新密钥,从而有效阻止了对这些密钥的攻击。 TKIP 与 WPA-PSK 一起使用。
CCMP 对密钥管理进行了描述。 通常,它用于与 WPA-EAP 连接,但也可以与 WPA-PSK 一起使用。 加密依照 AES 进行,该加密比 WEP 标准的 RC4 加密更强大。
要配置无线网卡,请在 YaST 控制中心内选择+。将打开“网络设置”对话框,可在其中配置打开常规网络设置。请参见第 18.4 节 “使用 YaST 配置网络连接”以获取有关常规网络配置的更多信息。系统检测到的所有网卡都在选项卡下列出。
从列表中选择无线网卡并单击以打开“网卡设置”对话框。在选项卡下配置是使用动态 IP 地址,还是静态 IP 地址。也可以调整和设置(如或)和驱动程序设置。在大多数情况下,无需更改预配置的值。
单击继续到无线网卡特定的配置对话框。如果正在使用 NetworkManager(请参见第 18.5 节 “NetworkManager”以获取更多信息),则无需调整无线设备设置,因为 NetworkManager 将按需设置这些设置 - 请继续单击和以完成配置。如果正在使用仅位于特定无线网络中的计算机,请在此处对 WLAN 操作进行基本设置。
我们可以将工作站以三种不同的方式集成到 WLAN 中。 适用的模式取决于通讯所用的网络:(对等网络,无访问点)、(网络由访问点管理)或者(您的网卡应用作访问点)。要使用 WPA-PSK 或 WPA-EAP 方式,必须将操作方式设置为。
为实现相互通讯,无线网络中的所有工作站都需要相同的 ESSIDu163。如果未指定任何内容,则网卡会自动选择接入点,但它可能不是您所希望使用的。使用以获取可用无线网络列表。
为您的网络选择适合的身份验证方法:、、、 或 。如果选择 WPA 身份验证,则必须设置网络名称 (ESSID)。
WEP 和 WPA-PSK 身份验证方法要求输入密钥。密钥必须输入为、 字符串或字符串。
在此处输入默认密钥,或单击 进入高级密钥配置对话框。将密钥长度设置为 或 。默认设置是 。 在对话框底部的列表区域中,最多可以指定 4 个不同的密钥,您的工作站将使用这些密钥进行加密。 按可将其中一个密钥定义为默认密钥。 除非更改默认设置,否则 YaST 会将第一个输入的密钥用作默认密钥。 如果删除了标准密钥,则必须将其他密钥中的一个手动标记为默认密钥。 单击可以修改现有列表项或创建新密钥。 此时将出现一个弹出窗口,提示您选择输入类型(、 或)。 如果选择的是,则输入一个单词或字符串,将从该单词或字符串按照先前指定的长度生成密钥。 要求为 64 位密钥输入 5 个字符,为 128 位密钥输入 13 个字符。 如果选择的是,则按照十六进制表示法为 64 位密钥输入 10 个字符,或为 128 位密钥输入 26 个字符。
要输入用于 WPA-PSK 的密钥,请选择输入方法或。 在方式下,输入必须为 8 到 63 个字符。 在方式下,请输入 64 个字符。
单击此按钮将打开一个对话框,用于对 WLAN 连接进行详细配置。 通常无需更改预配置的设置。
只有在和方式下才需要指定 WLAN 工作站要工作于的通道。 在方式下,网卡将自动搜索访问点的可用通道。 在方式下,可以选择提供的一个通道(11 到 14,具体取决于您所在国家/地区),用于在您的工作站和其他工作站之间进行通信。在方式下,确定您的网卡应该在哪个通道上提供访问点功能。 此选项的默认设置是。
根据网络的性能,您可能要为从一点到另一点之间的传送设置特定位速率。 在默认设置中,系统会尽可能地使用最高数据传送速率。 一些 WLAN 卡不支持比特率设置。
在具有多个访问点的环境中,通过指定 MAC 地址可以预先选择多个访问点中的一个。
当您在旅途中时,请使用省电技术来最大限度地延长电池的运行时间。有关电源管理的详细信息,请参考 第 16 章 电源管理。使用电源管理可能影响连接质量并增加网络延迟。
单击“下一步”完成设置。如果选择了 WPA-EAP 身份验证,需要首先执行另一个配置步骤,工作站才能在 WLAN 中部署。输入网络管理员提供的身份凭证。 对于 TLS,请提供、、和。 TTLS 和 PEAP 需要和。 和为可选。 YaST 在 /etc/cert 下搜索任何证书。因此,请将为您提供的证书保存在这个位置,并将对这些文件的访问限制为 0600(拥有者读写权限)。单击可进入 WPA-EAP 设置的高级身份验证对话框。 选择 EAP-TTLS 或 EAP-PEAP 通信第二阶段的身份验证方法。 如果在前面的对话框中已选择 TTLS,则选择任意、MD5、GTC、CHAP、PAP、MSCHAPv1 或 MSCHAPv2。 如果已选择 PEAP,则选择任意、MD5、GTC 或 MSCHAPv2。 PEAP 版本可用于强制使用特定的 PEAP 实施。
![[Important]](admon/important.png) | 无线网络中的安全性 |
|---|---|
确保使用所支持的身份验证和加密方法之一来保护您的网络通讯。 如果未加密 WLAN 连接,则第三方便可以截获所有网络数据。 即使进行弱加密 (WEP) 也比根本不加密要好。 相关信息请参考 第 19.1.1.2 节 “加密” 和 第 19.1.4.2 节 “安全性”。 | |
包 wireless-tools 中包含可用于设置无线 LAN 特定参数和获取统计数字的实用程序。有关更多信息,请参见http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.html。
这些提示可帮助精确调整 WLAN 的速度、稳定性和安全性。
无线网络的性能和可靠性主要取决于参与的工作站是否能够清楚地接收到来自其他工作站的信号。 障碍物(例如,墙壁)极大地削弱了信号。 信号强度越低,传送速率就越慢。 在网络运行过程中,可以在命令行(Link Quality 字段)中使用 Iwconfig 实用程序或使用 NetworkManager 或 KNetworkManager 来检查信号强度。 如果信号质量存在问题,可尝试将设备放在其他位置,或调整访问点天线的位置。 很多 PCMCIA WLAN 卡都配有辅助天线,可充分提高接收效果。 制造商指定的速率(例如 54Mbit/s)是一个额定值,它表示理论最大值。 实际上,最大数据吞吐量不大于该值的一半。
如果要建立一个无线网络,则一定要记住,如果不实施任何安全措施,则传送范围内的任何人都可以方便地访问此网络。 因此,一定要激活某种加密方法。 所有 WLAN 卡和访问点都支持 WEP 加密。虽然这并非完全安全,但还是对潜在攻击者设置了一道屏障。 WEP 通常可满足个人使用。 WPA-PSK 的安全性更好,但不能在较早的访问点或具有 WLAN 功能的路由器中实施。 在某些设备上,可以通过固件更新来实施 WPAu163 此外,尽管 Linux 在大多数硬件组件上支持 WPA,某些驱动程序仍然不提供 WPA 支持。如果 WPA 不可用,则使用 WEP 要好过不加密。 在具有高级安全要求的企业中,无线网络工作时必须采用 WPA。
如果 WLAN 卡未能作出响应,请检查您是否下载了所需的固件。请参见 /usr/share/doc/packages/wireless-tools/README.firmware 以获取更多信息。
现在的便携式计算机通常都有网卡和 WLAN 卡,如果使用 DHCP(自动地址指派)来配置这两个设备,则您可能会遇到名称解析和默认网关的问题。 可以 Ping 路由器但不能浏览因特网就是这方面问题的典型示例。 位于 http://en.opensuse.org/SDB:Name_Resolution_Does_Not_Work_with_Several_Concurrent_DHCP_Clients 的支持数据库提供了一篇有关这一主题的文章。
Jean Tourrilhes 开发了用于 Linux 的无线工具,他的因特网网页上有很多关于无线网络的有用信息。 请参见http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html。
