【正文】 mlongLongPAN(Personal Area Network)、MAN(Metropolitan Area Network )無線最典型的應(yīng)用就是無線局域網(wǎng)WLAN無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的區(qū)別WLAN和以太網(wǎng)一樣，都采用了IEEE的802標(biāo)準(zhǔn)。無線局域網(wǎng)和有線局域網(wǎng)的區(qū)別特點物理層Radio FrequencyCable（線纜）媒體訪問的方式Collision Avoidance（沖突避免）Collision Detection（沖突檢查）可用性在AP范圍內(nèi)的任何無線網(wǎng)卡有線纜連接信號干擾易受干擾不受干擾規(guī)定本地政府的額外規(guī)定IEEE標(biāo)準(zhǔn)規(guī)定無線局域網(wǎng)的組件無線網(wǎng)卡：無線局域網(wǎng)的組成是用戶端連接到接入點，用戶端使用的是無線網(wǎng)卡，無線網(wǎng)卡使客戶工作站能夠發(fā)送和接收無線電頻率信號。無線AP：一個AP連接無線客戶端到有線網(wǎng)絡(luò)，通常客戶端設(shè)備不會直接通信，它們通過AP通信。在本質(zhì)上。(Carrier Sense Multiple Access/Collision Avoidance)的沖突避免方法。CSMA/CA要求每個接入發(fā)送結(jié)點在發(fā)送幀之前需要先偵聽信道，如果信道空閑，結(jié)點可以發(fā)送幀。發(fā)送站在發(fā)送完一個幀之后，必須再等待一個短的時間間隔，檢查接收站是否發(fā)回幀的確認(rèn)ACK。如果接收到確認(rèn)，則說明此次發(fā)送沒有出現(xiàn)沖突，發(fā)送成功；如果在規(guī)定的時間內(nèi)沒有收到確認(rèn)，表明出現(xiàn)沖突，發(fā)送失敗，重發(fā)該幀，直到在規(guī)定的最大重發(fā)次數(shù)之內(nèi)，發(fā)送成功?？蛻舳伺cAP間的連接，并連接到無線局域網(wǎng)，處理過程包括以下部分：燈塔（Beacons）：無線局域網(wǎng)來通告自己存在的幀，燈塔的主要目的是允許無線客戶端了解到在區(qū)域內(nèi)有哪些網(wǎng)絡(luò)和AP可以使用，允許客戶端選擇要使用的網(wǎng)絡(luò)和AP。AP可以周期性地廣播燈塔信號，其實就是發(fā)送通告自己存在的幀。探測（Probes）：無線客戶端用來發(fā)現(xiàn)網(wǎng)絡(luò)的幀，客戶端通過在多個通道上發(fā)送探測請求來搜索網(wǎng)絡(luò)，探測請求指定網(wǎng)絡(luò)的名字（SSID）和可以支持的速率。一般無線客戶端會配置想要連接的SSID，因此無線客戶端發(fā)出的探測請求包含想要連接網(wǎng)絡(luò)的SSID。認(rèn)證（Authentication）：，第一種叫做開放式認(rèn)證，即不采用認(rèn)證；第二種做WEP（Wired Equivalency Protection，有線相當(dāng)保護(hù)）認(rèn)證，通過在客戶端和AP上配置共享密鑰實現(xiàn)。這種共享WEP密鑰的方式試圖想在無線網(wǎng)絡(luò)中提供像有線網(wǎng)絡(luò)一樣的安全，但這種認(rèn)證方式是有缺陷的，不推薦使用這種認(rèn)證方式。連接（Association）：在AP和無線客戶端間建立數(shù)據(jù)鏈路的過程，這個階段確定安全和速率選項，建立無線客戶端和AP間的數(shù)據(jù)鏈路。作為這個階段的一部分，客戶端學(xué)習(xí)到BSSID，也就是AP的MAC地址。AP會映射一個邏輯端口叫AID(Association Identifier，連接識別)到無線客戶端，這個AID就相當(dāng)于交換機(jī)的一個端口，這樣AP就可以使無線客戶端的幀轉(zhuǎn)發(fā)出去。無線網(wǎng)安全協(xié)議WEP共享密鑰有兩方面的缺陷：一是這種加密數(shù)據(jù)的機(jī)制是可以被確解的；二是不容易擴(kuò)展，很難在大范圍內(nèi)部署。考慮到WEP的不足，TKIP(Temporal Key Integrity Protocol，臨時密鑰完整性協(xié)議)加密算法被建立，WPA（WiFi Protected Access，WiFi保護(hù)訪問）使用TKIP加密方法，其加密特性決定了它比WEP更難以入侵。WPA與WEP不同，WEP使用一個靜態(tài)的密鑰來加密所有的通信，WPA不斷地轉(zhuǎn)換密鑰。CCMP(Counter mode with Cipherblock chaining Message authentication code Protocl，計數(shù)器模式及密碼區(qū)塊鏈信息認(rèn)證碼協(xié)議)是一種基于AES的加密機(jī)制，AES可以產(chǎn)生某些企業(yè)、政府部門和其他機(jī)構(gòu)所需要的高水平數(shù)據(jù)隱私能力。認(rèn)證在有嚴(yán)格安全要求的網(wǎng)絡(luò)中，需要有額外的登陸或認(rèn)證機(jī)制。登錄過程被EAP（Extended Authentication Protocol，擴(kuò)展認(rèn)證協(xié)議）管理。EAP的認(rèn)證過程：①。②AP阻止所有的數(shù)據(jù)幀，③通過AP。這臺服務(wù)器上運行RADIUS協(xié)議，可以提供認(rèn)證、授權(quán)和計賬，即AAA服務(wù)。這里AP起到一個中轉(zhuǎn)站的作用，把服務(wù)器的EAP要求轉(zhuǎn)發(fā)給無線客戶端，把無線客戶端的EAP應(yīng)答轉(zhuǎn)發(fā)給AAA服務(wù)器。④如果EAP的驗證是成功的，AAA服務(wù)器發(fā)送一個EAP的成功信息給接入點，然后讓無線局域網(wǎng)客戶端的數(shù)據(jù)流量通過虛擬接口。⑤開放虛擬接口前WLAN客戶端和AP間的數(shù)據(jù)鏈路被加密，以確保沒有其他的WLAN客戶端可以接入只能由已授權(quán)認(rèn)證的客戶端接入的端口。PPPPPP（點到點協(xié)議）支持在各種物理類型的點到點串行線路上傳輸上層協(xié)議報文。PPP協(xié)議是提供在點到點鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議。PPP定義了一整套的協(xié)議包括鏈路控制協(xié)議（LCP）、網(wǎng)絡(luò)層控制協(xié)議（NCP）和驗證協(xié)議（PAP和CHAP）。PPP協(xié)議由于能夠提供用戶驗證、易于擴(kuò)充和支持同步異步而獲得較廣泛的應(yīng)用。PPP運行過程如下：①PPP在建立鏈路之前將首先進(jìn)行LCP協(xié)商，協(xié)商內(nèi)容包括工作方式是SP還是MP、驗證方式和最大單元等項目。②LCP協(xié)商過后就進(jìn)入了Establish階段，此時LCP狀態(tài)為opened，表示鏈路已經(jīng)建立。如果配置了驗證即進(jìn)入了Authenticate階段，開始CHAP或PAP驗證。③如果驗證失敗進(jìn)入Terminate階段，拆除鏈路，LCP狀態(tài)轉(zhuǎn)為closed；如果驗證成功就進(jìn)入Network協(xié)商階段（NCP），此時LCP狀態(tài)仍為opened，而IPCP和IPXCP狀態(tài)從closed轉(zhuǎn)到opened。④該鏈路一直保持通信，直至有明確的LCP或NCP幀關(guān)閉它，或發(fā)生了某些外部事件。同步和異步串行通信串行通信分為同步通信和異步通信。異步通信：異步傳輸是以字符為傳輸單位的，每個字符都要附加1位起始位和1位停止位，以標(biāo)記一個字符的開始和結(jié)束，并以此實現(xiàn)數(shù)據(jù)傳輸同步。所謂異步傳輸，是指字符與字符之間的時間間隔是可變的，并不需要嚴(yán)格地限制它們的時間關(guān)系。同步傳輸：通常，同步傳輸是以數(shù)據(jù)塊為傳輸單位。每個數(shù)據(jù)塊的頭部和尾部都要附加一個特殊的字符或比特序列，標(biāo)記一個數(shù)據(jù)塊的開始和結(jié)束，一般還要附加一個校驗序列，以便對數(shù)據(jù)塊進(jìn)行差錯控制。所謂同步傳輸，是指數(shù)據(jù)塊與數(shù)據(jù)塊之間的時間間隔是固定的，必須嚴(yán)格地規(guī)定它們的時間關(guān)系。PPP身份驗證協(xié)議PAP（Password Authentication Protocol，密碼驗證協(xié)議）是一種兩次握手驗證協(xié)議，它在網(wǎng)絡(luò)上采用明文方式傳輸用戶名和口令。CHAP（Challenge Handshake Authentication Protocol，挑戰(zhàn)握手驗證協(xié)議）是一種三次握手驗證協(xié)議，它只在網(wǎng)絡(luò)上傳輸用戶名，而用戶名口令并不在網(wǎng)絡(luò)上傳播。驗證過程如下：①在PPP鏈路建立階段完成之后，驗證方主動發(fā)起驗證挑戰(zhàn)“Challenge”，向被驗證方發(fā)送一些隨機(jī)產(chǎn)生的報文，并同時將路由器的主機(jī)名附帶上一起發(fā)送給被驗證方。被驗證方接到驗證請求后，根據(jù)此報文中的主機(jī)名在本路由器的數(shù)據(jù)庫中查找用戶名和口令。如查找到相同的用戶名，便利用報文ID和此用戶名對應(yīng)的口令，以及發(fā)過來的隨機(jī)數(shù)，以MD5算法生成一個Hash值。②驗證方接收到此應(yīng)答后，利用報文ID找到本地保存的隨機(jī)數(shù)，并根據(jù)發(fā)過來的被驗證路由器的名字在數(shù)據(jù)庫中查找用戶名對應(yīng)的密碼，然后用ID、隨機(jī)數(shù)和密碼，經(jīng)MD5算法得出一個Hash值，與被驗證方發(fā)過來的Hash值進(jìn)行比較，如果相同，則返回接受報文，如果不同，則返回拒絕報文，表示驗證沒有通過。ACL通配符掩碼路由器使用通配符掩碼與源或目標(biāo)地址一起來分辯匹配的地址范圍。在子網(wǎng)掩碼中，將掩碼的一位設(shè)成1表示IP地址對應(yīng)的位屬于網(wǎng)絡(luò)的地址部分。而在訪問控制列表中，將通配符掩碼中的一位設(shè)成1表示忽略IP地址中對應(yīng)的位，通配符掩碼位設(shè)成0則表示IP地址中相對應(yīng)的位必須精確匹配。對于訪問控制列表，判斷是否匹配的過程實際分為3個步驟。①用訪問控制列表語句中的通配符掩碼和地址執(zhí)行邏輯或（，）②用訪問控制列表語句中的通配符掩碼和數(shù)據(jù)包報頭中的IP地址執(zhí)行邏輯或（，）③將兩個結(jié)果相減。如果兩個結(jié)果相等，相減的結(jié)果精確為零，則匹配；如果相減的結(jié)果不為零，則不匹配。網(wǎng)絡(luò)安全I(xiàn)DS（Instrusion Detection System，IDS）檢測網(wǎng)絡(luò)攻擊并發(fā)送日志記錄到管理控制臺。IPS（Instrusion Prevention System，IPS）防止攻擊網(wǎng)絡(luò)，除了檢測外還提供下列積極防御的機(jī)制：阻止、停止檢測到的攻擊。使用SSH替代TelnetTelnet使用明文密碼，在網(wǎng)絡(luò)上傳輸是非常不安全的，尤其是跨越Internet的訪問。對網(wǎng)絡(luò)的遠(yuǎn)程訪問推薦使用SSH技術(shù)，SSH技術(shù)是Secure Shell的簡寫。通過使用SSH，可以對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣，捕獲的數(shù)據(jù)包也是RSA加密后的數(shù)據(jù)包。路由器的文件管理：路由器中的文件包括操作系統(tǒng)（IOS）和配置文件（startupconfig）。密碼恢復(fù)技術(shù)