WinXP下802.11無線網絡配置完全手冊

　　 
　　簡介
　　在家庭和小型企業中使用無線網絡具有明顯的優點。 使用無線網絡時，您就不必安裝電纜來將單獨的計算機連接在一起，而便攜式計算機（比如膝上計算機和筆記本計算機）就能夠在屋里或小型企業辦公室中漫游，同時保持它們的網絡連接。
　　

　　雖然存在多種可用于創建無線網絡的無線網絡技術，但是本文將描述電氣和電子工程師協會 (IEEE) 802.11 標準的使用。
　　
　　IEEE 802.11 概述
　　IEEE 802.11 是一組用于共享無線局域網 (WLAN) 技術的行業標準，其中使用得最普遍的是 IEEE 802.11b（也稱為 Wi-Fi）。 IEEE 802.11b 使用 2.4-2.5 GHz S-Band 工業、科學和醫學 (ISM) 頻段，以 1、2、5.5 或 11 Mbps 的速度傳輸數據。 諸如微波爐、無繩電話、無線視頻攝像機之類的其他無線設備，以及使用名為“籃牙”(Bluetooth) 的另一種無線技術的設備也使用 S-Band ISM。
　　
　　在近距離和沒有衰減或干擾源的理想條件下，IEEE 802.11b 速度可達 11 Mbps，高于 10 Mbps 有線以太網的位速率。 在不太理想的條件下，它將使用 5.5 Mbps、2 Mbps 和 1 Mbps 的較低速率。
　　
　　IEEE 802.11a 標準具有最高 54 Mbps 的位速率，并且使用 5.725-5.875 GHz C-Band ISM 頻段。 這種更高速的技術使得無線 LAN 網絡在視頻和會議應用方面表現更為出色。 由于與籃牙或微波爐位于不同的頻段，IEEE 802.11a 同時提供了更高的數據傳輸率和更清晰的信號。
　　
　　IEEE 802.11g 標準具有最高 54 Mbps 的位速率，并且使用 S-Band ISM。 本文中關于配置無線節點的所有指導都適用于基于 IEEE 802.11b、802.11a 和 802.11g 的無線網絡。
　　
　　基礎結構模式
　　IEEE 802.11 標準指定了兩種操作模式：基礎結構模式和特定模式。
　　
　　基礎結構模式用于將具有無線網絡適配器的計算機（也稱為無線客戶端）連接到現有的有線網絡。 例如，家庭或小型企業辦公室可能擁有現有的以太網絡。 有了基礎結構模式，不具備有線以太網連接的膝上計算機或其他臺式計算機就能夠無縫地連接到現有的網絡。 稱為無線訪問點 (AP) 的網絡節點用于橋接有線網絡和無線網絡。 圖 1 顯示了一個基礎結構模式的無線網絡。
　　　
　　圖1 基礎結構模式的無線網絡
　　在基礎結構模式下，無線客戶端與其他無線客戶端和有線網段上的節點之間發送的數據首先被發送到無線 AP。 然后無線 AP 再將數據轉發到適當的目的地。
　　
　　特定模式
　　特定模式用于將無線客戶端直接連接在一起，不需要無線 AP 或者到現有有線網絡的連接。 特定網絡最多包含 9 個無線客戶端，這些客戶端直接相互發送數據。 圖 2 顯示了一個特定模式的無線網絡。
　　　
　　圖 2 特定模式的無線網絡
　　命名無線網絡
　　不管是操作在基礎結構模式下還是操作在特定模式下，無線網絡都使用一個稱為“服務設置標識”(SSID) 的名稱來標識特定的無線網絡。 當無線客戶端首次啟動時，它們掃描無線頻帶以獲得無線 AP 或特定模式下的無線客戶端發送的特定信號幀 (beacon frame)。 信號幀包含 SSID（也稱為無線網絡名稱）。 在從掃描過程期間收集到的無線網絡名稱的累積列表中，無線客戶端可以判斷某個連接要嘗試連接到的無線網絡。 配置無線網絡的要素之一是為無線網絡選擇一個名稱。 如果是在創建一個新的無線網絡，您選擇的名稱應該與掃描范圍內的其他所有無線網絡的名稱不同。 例如，如果是在家中創建一個無線網絡，而您的鄰居已經創建了一個名為 HOME 的無線網絡，您就必須選擇一個不同于 HOME 的其他名稱。
　　
　　在選擇無線網絡名稱并為無線 AP（基礎結構模式）或無線客戶端（特定模式）作好配置之后，就可以從任何 IEEE 無線節點上看見這個名稱。 “沿街掃描”(War driving) 是一種在駕車圍繞企業或住所鄰里時掃描無線網絡名稱的活動。 駕車經過您的無線網絡附近的人也許能夠看到您的無線網絡名稱，至于他們除了看到您的無線網絡名稱之外是否還能夠做其他事情，這取決于您的無線網絡安全性的設置。
　　
　　在啟用并正確配置無線安全性的情況下，沿街掃描者將看到您的網絡名稱并加入您的網絡，但是不能發送數據、解釋您的無線網絡上發送的數據、訪問您的無線網絡或有線網絡上的資源（共享文件、專用 Web 站點），或使用您的 Internet 連接。
　　
　　如果沒有啟用并正確配置無線安全性，沿街掃描者將能發送數據、解釋您的無線網絡上發送的數據、訪問您的無線或有線網絡上的共享資源（共享文件、專用 Web 站點）、安裝病毒、修改或銷毀保密數據，并在您不知曉或不同意的情況下使用您的 Internet 連接。 例如，惡意用戶可能使用您的 Internet 連接來發送電子郵件或向其他計算機發動攻擊。 那些惡意流量可能追溯回您的家庭或小型企業。
　　
　　正是由于這些原因，Microsoft 強烈建議您啟用并正確地配置無線安全性。
　　
　　無線安全性
　　IEEE 802.11 的安全性包括加密和身份驗證。 加密用于在通過無線網絡發送無線幀之前加密或編碼幀中的數據。 身份驗證要求無線客戶端首先驗證它們自己的身份，然后才允許它們加入無線網絡。
　　
　　加密
　　
　　可以對 802.11 網絡使用下列類型的加密：
　　
　　WEP
　　
　　WPA
　　
　　WEP 加密
　　
　　為了加密無線數據，802.11 標準定義了有線對等保密 (WEP)。 由于無線 LAN 網絡的性質，保護網絡的物理訪問很困難。 與需要直接物理連接的有線網絡不同，無線 AP 或無線客戶端范圍內的任何人都能夠發送和接收幀以及偵聽正在發送的其他幀，這使得無線網絡幀的偷聽和遠程嗅探變得非常容易。
　　
　　WEP 使用共享的機密密鑰來加密發送節點的數據。 接收節點使用相同的 WEP 密鑰來解密數據。 對于基礎結構模式，必須在無線 AP 和所有無線客戶端上配置 WEP 密鑰。 對于特定模式，必須在所有無線客戶端上配置 WEP 密鑰。
　　
　　按照 IEEE 802.11 標準的規定，WEP 使用 40-位機密密鑰。 IEEE 802.11 的大多數無線硬件還支持使用 104-位 WEP 密鑰。 如果您的硬件同時支持這兩種密鑰，請使用 104-位密鑰。
　　
　　注意有些無線提供商在推廣使用 128-位無線加密密鑰。 這是在 104-位的 WEP 密鑰的基礎上增添了另一個在加密過程中使用的數字，稱為初始化向量（一個 24-位的數字）。 而且，最近的某些無線 AP 還支持使用 152-位無線加密密鑰。 這是 128-位的 WEP 密鑰再加上24-位的初始化向量。 Windows XP 配置對話框不支持 128-位 WEP 密鑰。 如果必須使用 152-位無線加密密鑰，可通過在“網絡連接”中的無線連接屬性的“無線網絡配置”選項卡上清除“使用 Windows 來配置我的無線網絡設置”復選框來禁用“無線自動配置”，然后使用隨無線網絡適配器提供的配置實用程序。
　　
　　選擇 WEP 密鑰
　　
　　WEP 密鑰應該是鍵盤字符（大小寫字母、數字和標點符號）或十六進制數字（數字 0-9 和字母 A-F）的隨機序列。 WEP 密鑰越具有隨機性，使用起來就越安全。
　　
　　基于單詞（比如小型企業的公司名稱或家庭的姓氏）或易于記憶的短語的 WEP 密鑰很容易被破解。 一旦惡意用戶破解了 WEP 密鑰，他們就能解密用 WEP 加密的幀，正確地加密 WEP 幀，并且開始攻擊您的網絡。
　　
　　即使您的 WEP 密鑰是隨機的，如果收集并分析使用相同的密鑰來加密的大量數據，密鑰仍然很容易被破解。 因此，建議您定期把 WEP 密鑰更改為一個新的隨機序列，例如每三個月更改一次。
　　
　　WPA 加密
　　
　　IEEE 802.11i 是一個新標準，它規定了對無線 LAN 網絡安全的改進。 802.11i 標準解決了原先的 802.11 標準的許多安全問題。 雖然新的 IEEE 802.11i 標準正在批準過程中，但是無線供應商已經就一個稱為“Wi-Fi 受保護的訪問”(WPA) 的可互操作中間標準達成一致。
　　
　　對于 WPA，加密是使用“臨時密鑰完整性協議”(TKIP) 來完成的，該協議使用更強的加密算法代替了 WEP。 與 WEP 不同，TKIP 為每次身份驗證提供唯一起始單播加密密鑰的確定，以及為每個幀提供單播加密密鑰的同步變更。 由于 TKIP 密鑰是自動確定的，因此不需要為 WPA 配置一個加密密鑰。
　　
　　Microsoft 為運行 Windows XP SP2 的計算機提供了 WPA 支持。 對于運行 Windows XP SP2 的計算機，您必須獲得并安裝 Windows XP 中的“WPA 無線安全更新”— 這是來自 Microsoft 的一個免費下載組件。
　　
　　有關更多信息，請參見“Wi-Fi Protected Aclearcase/" target="_blank" >ccess (WPA) Overview”： http://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspx.
　　
　　身份驗證
　　
　　可以對 802.11 網絡使用下列類型的身份驗證：
　　
　　開放系統
　　
　　共享密鑰
　　
　　IEEE 802.1X
　　
　　帶預共享密鑰的 WPA
　　
　　開放系統
　　開放系統身份驗證并不真正是身份驗證，因為它所做的不過是使用無線適配器硬件地址來識別無線節點。 硬件地址是在制造期間指派給網絡適配器的地址，它用于識別無線幀的源和目的地址。
　　
　　對于基礎結構模式，雖然有些無線 AP 允許您配置一系列允許的硬件地址來進行開放系統身份驗證，但是惡意用戶可以輕而易舉地捕捉到無線網絡上發送的幀，并確定出允許的無線節點的硬件地址，然后使用該硬件地址來執行開放系統身份驗證并加入您的無線網絡。
　　
　　對于特定模式，Windows XP 中不存在與配置一系列允許的硬件地址相等價的方法。 因此，任何硬件地址都可用于執行開放系統

原文轉自：http://www.kjueaiud.com