WiFi無線網路介紹 - daniel-qa/Network GitHub Wiki
WiFi無線網路介紹
- 單工
指的是單向,只有我能傳給你,你不能傳給我
- 雙工
指的是我能傳給你,你也能傳給我
半雙工,指是是同時只有一方能傳送
全雙工,指的是你和我兩方能同時傳送,全雙工速度是半雙工的兩倍
802.11 WIFI 無線網路的傳輸,採用的就是半雙工的傳輸
- 無線網路架構圖
一般我們要連上 Internet,通常會跟中華電信電信 VDSL,或 Cable Modern, 這樣我們就可以透過有有限線線路,連到 ISP,接上 Internet,
目前不管 VDSL,Cable Moden, 都有無線AP 的功能
在設置 AP時,都會需要設置一個 SSID, 也就是別人搜尋時連線時會看到的名稱
一台 WIFI 的無線 AP,至少會有一個 BSSIS,就是 MAC Addres, 你就可以想像一台 Router,那個介面,就會有一個 Mac Address , AP 其實也是一台 Router
一台手機或是電腦要連到外面,它就會把封包丟到 default gateway 的 mac Address, 那就是這台 AP 的 MAC Address,
當 AP 要把資料傳給這一台電腦,用的也是這個 MAC Address, 所以一台 AP,至少會有一個 BSSID 的 MAC Address
一台 AP 透過訊號,構成了一個無線網路的範圍,就稱為 BSS ( Basic Service Set) , 假如我想要讓無線網路的範圍更大的話,
我就可以採購多台無線 AP,把它們分散開來,只要它們的 SSID 設一樣的話,這樣子就可以做到漫游,
我這台電腦,不管跑到什麼地方,它的無線網路都是通的,這樣子由多台 AP 構成更大的無線網路,這個我們就稱作 ESS (Extended Service Set)
有些 AP 可以讓我們設定多個 SSID,就好比多個 VLAN,多個網段,比如第一個 SSID 我設成 sales, 專門給業務部人員使用的網段,
第二個 SSID 我設成 rd,專門給 rd 部門人員使用的網段,第3個 SSID, 我設成 guest,專門給來賓客戶使用
那要連入 guest,它不需要密碼,就可以連入,sales 和 rd 的網段,我設定不同的密碼,只告訴對應的部門人員,
這樣我就可以控制 rd 人員,和業務人員,在不同的網段,兩邊互相隔離,互不干擾,為了安全,假如你需要兩邊能夠互通的話,
你也可以額外再去設路由,至少 guest 這個網段是被我隔離開來的,不會連入公司內部網路,
因為這裡有三個網段,所以你可以想像,就像一台 Router,它有三個介面,所以會有 3個 BSSID 的 MAC Address
WIFI 的傳播,就是我們在空氣傳輸的一種無線電波,英文叫 WAVE, 類似於我們講話的聲波,
我講一句話,就是傳送這種聲波到對方,對方收到,就可以聽到,這個波會有一個波長,就是一個週期(cycle)的長度,
假如一秒鐘我們可以傳遞4個週期,那我們就稱為 4Hz
聲波是介於 20 - 20k 之間,上去有 AM, FM, 我們的 WIFI 是在 2.4G ~ 5GHz 這個範圍
再上去有 紅外線,可見光,x 射線,Gamma 射線
2.4 G 的 band (頻帶),它是一個範圍的意思,2.400 ~ 2.4835 GHz 的這個範圍,相減後,它的帶寬是 0.0835 GHz
Wifi 還有另一個 5G 的頻帶,範圍是 5.150 ~ 5.825 GHz, 相減後,它的帶頻有 0.675 GHz
從這裡看出,5G的相減後,它頻帶這個範圍,比 2.4G的範圍,大了很多倍,這就是為什麼使用 2.4G的干擾,會比使用 5G 還要多的原因,
從上面的圖可以看出,使用 2.4G,它只有 3 個不覆蓋的頻道 ( 1 ,6 ,11),也就是同一個地方,我要放3台 AP,
我就可以把第一台頻道調成1,第二台頻道調6,第3台的頻道調11,這樣子,這3台 AP就不會互相干擾,我還要放第4台AP的話,一定會互相干擾
那使用5G的話,它的範圍有 0.675 GHz, 比 0.0835 大很多,所以它能提供互不干擾的頻道,就會更多
在說明一下,這裡的 5G,是WIFI的 5GHz,是頻率的意思,這裡的 5G,和手機的 4G,5G,完全沒有相關,
手機的5G,講的是 Generation ,第5代的意思,跟這裡完全無關
80.2.11 規格
目前最新的標準
6E 是擴充的意思,是6的擴充,所以規格與6相同,一樣可以使用 2.4 和 5G,擴充的差別,它還可以使用 6G 的頻段
6G的頻段,因為是新開的,比較少人用,所以比較沒有干擾,所以速度上會比較快
802.11be (WI-FI 7), 2.4G, 5G, 6G 都可以使用,最高速度可以到 46G, 這個最新的標準,可以達到 16x16的 MIMO,
也就是最多有 16個設備,16個 Channel ,跟這台 AP 做傳輸,對比 WI-FI 6, 它只能做到 8x8 的 MIMO
WI-FI 7 它的效率就會更好; 另外還有一個 MLO的特性,MultiLink Operation, 它可以同時使用 2.4G, 5G, 6G這三個頻帶,一起使用,一起傳輸,再一起作頻寬加總
它的頻寬可以達到 46G,將近5倍 WI-FI 6 的速度
- Authentication (雙向) & Encryption
因為我們傳送的這個封包,是透過空氣來傳送,所以駭客只要在公司門口外面,就可以攔截到這個封包,為了安全,我們就會對這個封包做加密
即使駭客攔截到,駭客打開,也都是亂碼,它也不知道裡面的內容是什麼,雖然駭客不可以看懂這個封包內容,但但駭客可以竄改封包內容,再送出去,達到竄改攻擊
那我們怎麼知道這個封包有沒有被竄改過? 假如有被竄改過,我們只要把這個封包再重傳一次就好了,
所以我們只要把封包透過 md5,sha 這種演算法,算出一個雜湊值,這個雜湊值我們稱之為 hash,或稱 MIC
算好雜湊值後,我們再把整個封包內容做加密,對方收到封包後,先解密封包的內容,後然再把內容透過雜湊法,算出 hash,是不是 a8
假如算出來也是a8的話,就證明這個封包沒有被竄改,所以透過雜湊演算法的的雜湊值,做到資料完整性的檢查
另外透過加密,我們就可以避免資料被竊聽,竊取,接著,我們怎麼避免駭客連入我們的 AP, 再連入我們公司的網路
這時候,我們就要做驗證,當你要連入這台 AP的時候,我會檢查,你有沒有一個123的密碼,你有 123 的密碼,我才讓你連入 AP
這時候,我們就可以把 123 的密碼,設在這台 AP 上面,這個我們稱之為 preshare key
但有一些比較嚴格的公司,它不希望每個人都用 123 的密碼,這時候,他就會設定在這台 AP 上,使用 802.1.x 的驗證
也就是每個人都各別有一個帳號和密碼,你用這個帳號密碼傳給 AP, AP 再傳到後面的驗證Server, 由這台Server來檢查帳室密碼
對了,我才讓你連入這台 AP, 也就是能讓你用這台 AP 連入公司的有線網路,所以 802.1.x 的驗證,是指以後,是由後面這台驗證的 Server
來檢查帳號密碼,以後帳號密碼,都是建在後端這台,這台驗證的 Server,我們又稱之為 AAA Server
第一個A,它會驗證你的帳號密碼對不對
第二個A,帳號密碼對了,我授權你可以做哪些事
第三個A,我會記錄,你進來系統後,做了哪些動作,我會紀錄,稽核
我們前面有講過, AP 它的 ASSID 它是自己取的
我也可以假冒我是一台星巴克,我是一台麥當勞,當您在搜尋 AP的時候,你搜尋到星巴克,你信以為真
連入這台 AP,這樣子,以後,我就可以在這台 AP 上攔截封包,你所傳輸的所有封包,我都可以攔截一分,
所以有一些嚴謹一點的企業,它就錢要求做雙相驗證,所以雙相驗證,就是你要連進來,AP不僅要驗證你有沒有正確的帳號密碼
同時,我也要驗證,你這台 AP,有沒有提供一個正確的密碼,我才願意連
- WPA 是 Wi-Fi的認證
最後,我想介紹 AP裡,WPA 這個選項,很多人會說 WPA 是一種加密的通訊協定,我個人不覺得 WPA 是一種演算法,或是加密的通訊協定,
個人覺得,WPA 只是一種包裝,比如 WPA 第一版,它包了這四個選項,讓你自己去挑選,
比如,你要用哪一種驗證,你要用 Pre-Shared Keys, 還是 802.1.x 的驗證
那你要用哪一種加密,你要用 TKIP, 還是 AES 的加密
我覺得真正的加密協定是 AES 或是 TKIP,而 WPA 只是一種包裝,讓你從其中挑選,你要哪些選項
目前來看 TKIP 已經被破解,它是一種比較弱的加密協定,所以我們不建議用 TKIP,
所以我們建議用 WPA 第二版,或第三版,因為這兩個版本,沒有提供 TKIP 的加密
WPA 的第三版,它採用的是 AES 和 GCMP 的加密,是目前最安全的加密
Wi-Fi 802.11 是今天很常用的一種無線通訊,我們這邊只是讓大家了解 802.11 相關的專有名詞和規格,
以後在 Wi-Fi 的設定上,更能得心應手