台南市無線認證管理平台研習(持續更新)

卓國興:上午07時00分14秒 06-02-2017

重要訊息:臺南市教育局資訊中心無線網路調整公告

簡易WIFI架構圖

跨縣市漫遊測試

一、登入「無線網路認證管理平台」

修改預設管理員密碼

以組織管理員身分登入,新增使用者帳號

2.使用者使用狀況觀察

二、Siraya AP管理平台

三、Aruba airwave 管理平台

airwave檢查AP狀態的重要性:

新的案例:IP衝突

昨天連線好好的,今天連不上,下面是重要的例子

一個使用者認證失敗原因的檢測流程

三、原南縣的NGN AP使用帳號管理平台的流程

1. 重設NGN AP (無Aruba 5WN學校)

設定方式如下

四、家用FAT ap 之設定示範(asus RT-AC66U)

五、連線問題修正程式--win7 與win10

win7的特殊設定:(憑證與自動使用電腦名稱登入的問題)

https://docs.google.com/document/d/1FnmV0tcDJp5nU_Au3VsuU7cFphYzh91v7gYulz70rYk/pub

win10 的TLS1.2降級與自建SSID方法

TLS1.2的問題與降級

自建SSID方法

六、錯誤觀念與常見的問題

最常見的問題就是使用者的認證失敗, 但卻常常責怪是AP的問題,然後,電話中一定說他的帳號密碼是對的

當你的設備連線品質出狀況時,你該先讀讀下面的文章,或許你才能了解誰在踢皮球

我連到誰的TN-Teacher

靠近某個ap,我就是連上他嗎?

訊號衰減問題實測:

連線不穩定,時快時慢

環境干擾過多2.4G干擾嚴重或頻道已經嚴重塞車

硬體狀況

設定錯誤(真人真事)

TANetRoaming的連線時測

AP天線越大隻越好?AP數量越多越好?

進入省電模式,或快沒電

AP很多顆,一個空間放個4顆,絕無死角?

為何我昨天可以連,今天不能?

切換到Aruba與Aerohive的TANetRoaming手機設備異常狀況

附錄

無線網路架構重新調整與未來方向:

無線網路是建構物聯網的基礎

觀念:

WLAN裡面使用者常見名詞

wifi連線安全與驗證方式原理說明

何謂Radius

最常使用的企業級無線網路使用者身份認證及加密

重要訊息:臺南市教育局資訊中心無線網路調整公告

https://docs.google.com/document/d/19hENXfqZ6UmwMmpw2Z6M7yMZpI-2j_YEA2mu0xP1Qe4/pub

簡易WIFI架構圖

從下圖可以了解各自需要負責的部分,連線的線路簡易架構

所以,各校網路管理人員對學校的區網與無線網路設備須清楚,方能得到有效的協助,錯誤與不清不楚的問題,無法得到你要的答案

跨縣市漫遊測試

測試各單位Roaming漫遊
https://roamingcenter.tanet.edu.tw/?page_id=2033

正常的狀況如下圖(上面是認證結果,下面是表示中心與宜大漫遊主機與嘉義大學的漫遊主機連線正常)

若你所看的結果如下,表示該測試單位漫遊主機與宜大的漫遊中心主機已經失去聯繫,自然不可能聯繫到中心的漫遊主機,認證更不可能

一、登入「無線網路認證管理平台」

https://wifiauth.tn.edu.tw

以openid登入 -> 可選擇為設備管理員或組織管理員

以預設帳號管理員登入(管理人員)(請務必修改密碼)

以預設設備管理員登入(管理設備)(請務必修改密碼)

以正新國小為例:

預設帳號管理員: jsesadmin

預設設備管理員:jsesdev

初步成果:經由此次的研習,有些學校的使用狀況非常的好,所以,當資訊組長的你絕對是學校端無線網路良好與否的重要角色

修改預設管理員密碼

擷取選取區域_063.png

擷取選取區域_064.png

以組織管理員身分登入,新增使用者帳號

使用者可自行登入,修改密碼


1.無線帳號管理平台的使用與限制

學校的自建帳號,可同時用於各校的TN-Teacher(跨校漫遊)與限制於學校的TN-Domain使用
例如,使用JSES的自建帳號,可以用於各校的TN-Teacher與自己學校的TN-JSES,但不能用於他校的TN-Doamin認證
學校的自建帳號可以通用於各校的TN-Teacher

其他學校的使用者欲登入TN-JSES會失敗

自己學校的使用這使用,就可以通過認證

2.使用者使用狀況觀察

認證成功與使用的紀錄

使用TN-Domain-NAT,取得aruba AP的private IP

若是使用aruba的TN-JSES,可以對照airwave





二、Siraya AP管理平台

註:Siraya AP有ipv4 NAT功能,ipv6亦可透通道NAT內部

操作流程:

Siraya  APC平台(查看AP狀態)-> 在無線認證管理平台新增帳號

此設備,直接在無線認證管理平台新增使用者即可,無須新增設備

登入siraya APC平台  http://120.115.4.24:60080/APC

以中心提供的帳號密碼登入,並修改預設密碼

登入後,會看到自己學校的siraya AP的狀態

APC_webJSES1.png

若要讓某個ap有特殊的ssid,請新增群組,並將該ap移到新群組

APC_webJSES2.png

依照群組套用所需的ssid

APC_webJSES3.png

若有修改設定,必須套用,ap會重新開機,使用新設定

APC_webJSES4.png

 

點選Apply套用

APC_webJSES5.png

APC_webJSES6.png

注意板板是否可更新

APC_webJSES7.png

新增特定班級使用ssid(例如平板教學)

你可以新增群組或修改現有群組,讓特定的ap有特定的ssid,而不影響其他ap的ssid設定

記得修改後,需要套用

修改完成後,其他AP維持原有TN-Domain的SSID,而群組二的ap則會套用TN-Domain(PEAP認證)+TN-Domain-class61(psk認證)的設定

調整ap功率(資料來源:宜蘭教網中心)

http://blog.ilc.edu.tw/blog/blog/4950/post/16818/624976

線上使用說明(資料來源:宜蘭教網中心)

http://blog.ilc.edu.tw/blog/blog/4950/post/16818/621090

改用psk或是MAC白名單認證模式,可以解決HTC Flyer此平板的802.1x認證問題,此款平板於802.1x的認證時好時壞,所以許多縣市都有針對此平板提出非802.1x認證的專案,可參考

http://www.cshs.kh.edu.tw/wireless/1.prepare.htm

如果你要使用TN-Teacher或TN-Domain,可以參考以下文件,我測試的結果,使用aruba與siraya平台都成功

https://drive.google.com/file/d/0BwxIszkaZLZdMjNtTGlZU3hacG8/view?usp=sharing

以下為筆者以HTC Flyer使用siraya+wifiauth平台,且使用正新國小的網路,所以與各個學校完全相同,兩台連線皆正常(但此設備的802.1x的階段二驗證[MSCHAPv2]會自己無故回歸為無,所以常常用個幾天,或重開機後無法認證,因此,需要重新清除重設,除非你不嫌麻煩,否則仍然建議使用psk或MAC白名單認證)

IMG_20160808_164303525.jpg

三、Aruba airwave 管理平台

airwave檢查AP狀態的重要性:

新系統、新界面

修改密碼(ISMS的要求,8字元以上,英文大小寫與特殊符號、數字都要有,才能修改)

須注意的幾個連結

有沒有down 的ap,有的話,是哪顆

使用者:

Overview

目前連線的

使用者狀態

使用者詳細資訊

連線歷史紀錄

使用者與ap間的射頻效能

新的案例:IP衝突

當你發現你的AP有DOWN的時候,其Eevents狀態如下,通常是IP衝突所造成

所以,即便所有設定是由中心控管,而學校線路沒問題時,這就是造成AP會DOWN的主要因素之一,透過此次研習,許多老師才發現原來學校的IP衝突狀況這麼多。

昨天連線好好的,今天連不上,下面是重要的例子

其實,只要遇到這種狀況,去ping學校所有AP的ip,就可以知道是否有過多的ap未上線

另外一個會影響訊號品質的狀況,正好相反,有所學校原本四台上時好好的,但上線了六台,反而變慢,這是因為ap佈署太密集,彼此干擾過大(2.4G ,三頻道,從四台分變成六台分,難分難捨)

一個使用者認證失敗原因的檢測流程

取得使用者手機的wifi MAC,並進行搜尋,發現其認證不成功,但使用者說他的帳密絕對沒輸入錯誤

點選手機MAC,進行詳細檢測,發現AP沒問題,但他所在的位置TANetRoaming訊號有問題,使用者設備本身也有問題

匹配事件:不聽aruba連線移動的[黏滯用戶設備],所以慢慢慢

關於[黏滯用戶端]的說法,可以參考此文件

http://www.ithome.com.tw/tech/87346

為什麼行動裝置會有黏滯在某一臺基地臺的狀況?吳章銘說,Aruba將這樣的連線行為稱為Sticky Client,在日常生活中經常遇到。例如,我們一開始是在自己的辦公桌操作行動裝置,自然會連到座位附近的基地臺,但有時需要換一個地方到會議室,或到其他同事身邊討論時,有可能行動裝置已離原本的基地臺很遠了,照理說,行動裝置應該改連到離目前所在位置最近的基地臺,所以,通常使用者需要重新選擇要連的基地臺,操作上很麻煩;甚至,還有可能出現只能連接到原來基地臺的情況,如此一來,受限於物理訊號較差,網路速度自然快不起來,連線穩定性也被牽累。

會出現後者這種情況,有很多原因,像是受到行動裝置本身的系統、驅動程式設定的影響、裝置本身決定基地臺漫遊的演算法效率不佳、缺乏監控射頻訊號干擾的機制,或是因為與其他上網速度更慢的裝置競爭,使得整個通訊頻道被壟斷。

所以,當使用者跟你說,隔壁的很快,我很慢,這是可能的原因

如果使用者設備,有聽到號令,就會自動移動

三、原南縣的NGN AP使用帳號管理平台的流程

操作流程:

設定NGN AP ->  在無線認證管理平台新增設備 -> 在無線認證管理平台新增帳號

1. 重設NGN AP (無Aruba 5WN學校)

註:NGN AP無NAT功能,網路提供DHCP Server

NGN AP上有 reset按鈕,通電的狀態下按壓5秒以上,看到燈號改變,即完成。reset後的NGN AP 預設ip為 192.168.0.50,須改為同網段才能連入此AP

以FireFox連線,網址打上192.168.0.50,預設帳號admin,密碼空白

(1) 網路LAN設定  範例:120.115.4.100

需更改為原學校網段,在連剛剛設定的IP。

(2) 設定ssid與radius server設置

ssid 設置規則(請務必遵守,不符規則的將無法通過驗證)

  1. 一般2.4G的規則:TN - {學校domain} - [自定義描述(可免)]

例如:菁寮國中縮寫為JLJHS,則設定TN-JLJHS,
           AP建置在301班,則設定TN-JLJHS-301

  1. 支援5G的規則:TN - {學校domain} - 5G  - [自定義描述(可免)]

例如:菁寮國中縮寫為JLJHS,則設定TN-JLJHS-5G

radius server設置

        RADIUS Server 120.115.4.26

        RADIUS Port 1812

        RADIUS Secret  *******  

輸入在無線認證平台上的自訂RADIUS共用密碼

        Accounting Mode Enable

        Accounting Server 120.115.4.26

        Accounting Port 1813

(3) 可設定限制連入管理的 ip (可不設定)

擷取選取區域_002.png

Tool -> svae and reconfigure儲存設定

可防止校內其他老師更動到設定。


2. 直接修改NGN AP設定(有Aruba 5WN設備的學校適用)

設定方式如下

5WN接線架構檢查

擷取選取區域_008.png

以管理員身份登入NGN AP (密碼請洽資訊中心)

擷取選取區域_001.png

把radius server改成 120.115.4.26,並設定共用密碼

擷取選取區域_002.png

Tool -> Administrator Settings

50_005.png

啟用 snmp

擷取選取區域_004.png

存檔並寫入設備

50_003.png

以『設備管理員』登入『認證系統』,加入此AP3200的設備即可

擷取選取區域_006.png

完成設備新增

擷取選取區域_007.png

修改好後,拔掉5wn的port1的線(使用 19或20 port的那條)並請聯易工程人員進來將5wn改成Thin AP架構,提供TN-Teacher與TANetRoaming


四、家用FAT ap 之設定示範(asus RT-AC66U)

操作影片:https://youtu.be/zVuhEVWBs9A

操作流程:

設定家用FAT AP -> 在無線認證管理平台新增設備-> 在無線認證管理平台新增帳號

擷取選取區域_048.png

擷取選取區域_050.png

擷取選取區域_051.png

擷取選取區域_052.png

ASUS Wireless Router RT-AC66U - 網路地圖 - Google Chrome_054.png

擷取選取區域_059.png

擷取選取區域_060.png

擷取選取區域_061.png

擷取選取區域_062.png


五、連線問題修正程式--win7 與win10

win7的特殊設定:(憑證與自動使用電腦名稱登入的問題)

https://docs.google.com/document/d/1FnmV0tcDJp5nU_Au3VsuU7cFphYzh91v7gYulz70rYk/pub

win10 的TLS1.2降級與自建SSID方法

TLS1.2的問題與降級

https://sites.google.com/site/kawsing/page1/win10shi-yong-zhu-yi

自建SSID方法

https://docs.google.com/document/d/1015oVewxZEDw-xHPYR2XkAzI4EeC-zvLcWs0Vf_mCns/pub?embedded=true


六、錯誤觀念與常見的問題

當學校的使用者說無線網路很慢或無法連線時,請不要說[中心集中管理],所以是中心系統當掉等等的說法,因為若此處的控制設備出問題,那麼全南市學校都會無法使用,不會單單幾所學校或幾個使用者出狀況,這次上的課程完全由學校端出發,使用學校的網段作設定TN-Teacher,TN-JSES,TANetRoaming,所以,狀況完整模擬學校,而下圖是我使用的設備與aruba AP205以5G頻道連線時,用speedtest測出的速度,若學校區域網路狀況良好,且使用者使用802.11ac之手機來連線,就可以達到如下速度(請了解一件事,AP設備是放在學校裡的,使用者所在的環境是學校裡,連線AP的手機是使用者的)

Screenshot_20160803-162038.png

但若學校的區域網路非常不穩定,如下圖,整體環境不佳,又如何讓無線網路達到它該有的速度呢?

所以,這也就是為何同樣是TN-Teaher與TANetRoaming,有些學校狀況良好,有些學校不穩定的原因

最常見的問題就是使用者的認證失敗, 但卻常常責怪是AP的問題,然後,電話中一定說他的帳號密碼是對的

確認Email密碼不能有「+」、「&」、「%」、「空白」等符號,若有請修改密碼,並成功登入再登出乙次,再嘗試用wifi連線。

檢查連線設定的EAP方法是否為「PEAP」階段2驗證是否為「MSCHAPV2」,(適用TN-Teacher或TN-Domain如:TN-CHPS)

常見的明顯錯誤如下(這些都只是冰山一角):

帳號密碼一起當帳號送來的

用EAP-SIM模式來認證的

帳號空一格

用windows主機名稱當帳號的

帳號是亂碼的

還在使用voip帳號密碼的

當你的設備連線品質出狀況時,你該先讀讀下面的文章,或許你才能了解誰在踢皮球

http://www.techbang.com/posts/44366-do-you-think-cell-phone-signal-not-just-al-qaida-problem-but-you-should-know-more-about

http://web.tn.edu.tw/forum/files/2015/02/2015-02-12-Aruba.pdf

重要的提示:

和傳統的 PC 聯網一樣,行動網路也是一種雙向的數據傳遞,電信商提供基本的網路連接信號,而智慧手機則要參與信號接收、翻譯和發送,還要讓自己能夠在網路中與其他聯網裝置和諧相處,最大化連接效率和速度,提升整體的使用體驗。下一次再遇見打電話的同時不能買買買,Wi-Fi 連不上網速慢,用 4G 直播時手機特別卡的情況,還是先檢查一下自己手機的Modem規格吧。

我連到誰的TN-Teacher

靠近某個ap,我就是連上他嗎?

訊號衰減問題實測:

AP位於走廊

IMG_20160526_154248022.jpg

中心廁所實境

IMG_20160526_154548664.jpg

廁所門外與門內的頻寬變化極大(但你可以看到,手機的wifi訊號看來沒太大變化「吼!明明訊號很好啊,為何上網速度慢,ap好爛,都是ap的問題,我的手機是xx牌的,絕對沒問題」)

Screenshot_20160526-154517.pngScreenshot_20160526-154444.png

連線不穩定,時快時慢

環境干擾過多2.4G干擾嚴重或頻道已經嚴重塞車

新光XX的測試

已經連上,但無法出現歡迎畫面(我該立即撥電話罵客服嗎?)


現場可見2.4G的頻帶有相當多的熱點,熱鬧非凡

但5G頻道很乾淨,就把手機切用5G

使用5G頻帶連線,順暢又沒人跟你爭頻寬(還要撥電話罵客服嗎?)

硬體狀況

所以,請不要有ap是中心集中管理的,怎麼會down這種『出類拔萃』的問題

設定錯誤(真人真事)

看出以下的問題嗎?問題在於DNS設定192.168.1.1,又,你如何去找出這個問題(打電話?)

學校區域網路狀況不良

帳號密碼打錯(哪裡錯,你知道了嗎?)「有些手機的輸入法,會自動選字,跳格」

TANetRoaming的連線時測

TANetRoaming連線認證時,其實需要比TN-Teacher更好的連線品質,因為需要下載連線的認證頁面,在連線品質狀況不好時,很容易因為連線逾時而失敗(於進學國小的實測),如下圖(使用AeroHive的連線畫面)

若是使用aruba,則是又會回到原來的認證頁面

若品質很差,則是連認證頁面的圖片都不見了

AP天線越大隻越好?AP數量越多越好?

AP天線大隻,涵蓋率廣,穿牆透壁,無所不能?所以,我的手機的連線品質就好了嗎?

簡單一句話,你的手機天線功率一樣大隻嗎?

高dbi的天線不是把wifi信號增強,而是把其集中發射/接收(壓扁),如果你站在發射方向,自然感覺上信號強,但整體信號並沒有增加

天線確實能“聚焦”wifi信號,增強在聚焦區域的wifi接收強度

好啦,如果你沒有真正了解整體環境的需求,而使用高dbi天線,有時候反而反效果

wifi穿牆原理

wifi信號多數是靠重復反射來“穿墻”, 這也是爲什麽關上房門后房間裏面的wifi信號會銳減的原因。

所以要估計穿墻,把平面圖拿出來,把每堵墻當成鏡子,看看要反射多少次、走多遠才能射到接受端。也就是重點如何選擇路由器ap擺放位置的依據:未必是放得越近越好,最主要的要有好的wifi通道

所以,我可以使用MIMO技術,也就是多天線來增加功率與範圍,如此比單天線要更好,但但但我們的手機都是單天線的比較多

ap天線大隻,我的手機天線打不回,又有何用?只會徒增使用者的誤解而已

手機的信號通常比AP弱很多,距離遠時,AP接收到的手機發送出來的信號就會比較難於辨認,手機接收到了AP發送來的數據,會發送確認消息,告訴AP它收到了現在的數據可以繼續發接下來的數據,但是由於AP不能辨認手機發送的確認消息(訊號弱),會認為手機沒有收到數據,然後不停嘗試重新發送,這就是為什麼很多用戶經常在手機上看到Wi-Fi信號滿滿的,但數據傳輸就是不成功,很難上網。

進入省電模式,或快沒電

手機使用省電模式或快沒電,會自動降低天線功率

結論是不只要求ap的性能,接收端的性能也很重要。下面一張圖片也說明了接收端的天線性能影響傳輸距離十分明顯。

AP很多顆,一個空間放個4顆,絕無死角?

簡單一句話,2.4G三個頻道,怎區隔?又你的所有ap都是相同的嗎?干擾大,連線品質必差

為何我昨天可以連,今天不能?

如果你所處的位置,位於訊號不穩定處,很容易出現這樣的狀況,所以,你應:

你去ping過所有的ap都還在線上,涵蓋率依然與昨天相同?

你所謂的的同一地點,方向相同嗎?

你測試過其他的設備嗎?還是一直停留原地,猛測同一設備?你有移動位置測試嗎?

你是否最近添購了2.4G無線鍵盤滑鼠或無線話機等...

附近的同仁開手機的wifi分享,都是使用2.4G

切換到Aruba與Aerohive的TANetRoaming手機設備異常狀況

人體那裡的血液循環最不良,那就是末梢血液,無線網路也是

很幸運的,筆者的手機設備有此狀況,當遇到一個環境中,同時有Aruba與Aerohive的設備同時發TANetRoaming,那麼有些手機,就會有異常狀況

那個異常狀況,是手機如果先於aruba設備取得10.117.xx.xx的IP時候,當我移動到Aerohive的設備時,重新進行TANetRoaming連線時,表面看似成功,而且也認證成功,似乎很完美,但卻始終無法連上網際網路,究其原因,發現是某些手機會keep住先前的IP(Aruba的),無法於Aerohive下轉換為10.116.xxx.xxx的IP,所以,NAT不成功,但實測中心其他同事的,卻無此問題,所以,又是手機本身出狀況

2.4G的頻道

台灣可使用11個頻道

在IEEE 802.11中,2.4GHz頻段內可以分出14個頻道,不過實際使用時會因不同國家規定而異,例如在台灣的無線路由器上只會看到有11個頻道可以使用,從2.412GHz、2.417GHz、……、2.462GHz共11個

每個頻道約相差5MHz。在頻譜屏蔽標準來說,雖然有規定±22MHz的能量限制,也就是傳遞的訊號隨著頻段不同跟著減弱,但多少還是會互相干擾。因此有連線要好的話,盡量在11個頻道中最好都能互相錯開,因此才會有選擇頻道1、6、11這3個會較好的說法。

5G的頻道

5G的頻道有

Band1: CH36、CH40、CH44、CH48(5180MHz~5240MHz)

Band2: CH52、CH56、CH60、CH64(5260MHz~5320MHz)

Band3: CH100、CH104、CH108、CH112、CH116、CH120、CH124、CH128、CH132、CH136、CH140(5500MHz~5700MHz)

Band4: CH149、CH153、CH157、CH161、CH165(5745MHz~5825MHz)

台灣地區開放的頻道確實是Band2到4

台灣地區開放可使用5GHz有三個頻段:

Band2:  5250MHz~5350MHz

CH52、CH56、CH60、 CH64

Band3:  5470MHz~5725MHz

CH100、CH104、 CH108、CH112、CH116、CH120、CH124、CH128、 CH132、CH136、CH140

Band4: 5725MHz~5850MHz

CH149、CH153、 CH157、CH161、CH165

wifi通道列表

https://zh.wikipedia.org/wiki/WLAN%E4%BF%A1%E9%81%93%E5%88%97%E8%A1%A8#2.4_GHz_.28802.11b.2Fg.2Fn.29

附錄

無線網路架構重新調整與未來方向:

  1. 目前主要3個SSID,主要為TN-Teacher,TANetRoaming,TN-Domain
  2. 目前政策規劃為:

TANetRoaming

TN-Teacher

TN-學校網域縮寫

取得網路環境

中心IP

中心IP

校內IP 或 虛擬IP

驗證方式

網頁驗證
(先取IP再認證)

WPA2

802.1x(PEAP)
(認證完成,取得ip)

WPA2

802.1x(PEAP)
(認證完成,取得ip)

登入方式

臺南市教育局Email帳號
臺南市學生帳號
iTaiwan帳號

臺南市教育局Email帳號
認證平台自建帳號

認證平台自建帳號

漫遊範圍

跨縣市(含跨校)
使用iTaiwan,為全台漫遊

跨校

(臺南市教育局無線網路管轄學校)


學校使用

  1. 佈建AP,漫遊佈於公共空間(ThinAP架構),TN-Domain運作於教室使用區域(FatAP+認證系統)
  2. TN-Domain使用,將是未來重點,因此與漫遊隔離,真正運用於校園教學環境(行動學習,辦公室無線化,學校物聯網等基礎建設.....)

無線網路是建構物聯網的基礎

在實務運作上,許多物聯網開發應用,都會使用到無線通訊技術,因此,架構優良的無線網路環境,是很重要的,所以,了解無線網路與應用無線設備,是網管人員需要具備的基礎能力

觀念:

WLAN裡面使用者常見名詞

RSSI (Received Signal Strength Indication)是一個負的dBm,表示RF信號的數值。信號愈 強,表示連線品質愈好。RSSI愈接近0愈好。

SNR (Signal to Noise Ratio)是一個正的dB,表示信號比雜訊強多少(RSSI - Noise  level)。雜訊太強就容易有 collision/重傳,因此throughput就會低。

雜訊干擾RSSI:

將無線話機或無線鍵鼠放在AP的旁邊,會干擾無線訊號。

雜訊無時無刻不會產生,大小不一,因此,通常真正的連線品質,取決於SNR

SNR最少20~25dB。例如,RSSI 是-­60,Noise level 是-­85。

Wireless是shared medium,half­duplex,因此無法在同一時間transmit和receive。throughput可能是理論的一半左右。所以若連上一個54MBps的802.11g,真實的thoughput只有30Mbps左右。

power level是用mW為單位,表示WLAN devices用多少功率維持連線。

實務使用上,Thin AP device用max output power的一半。如此,當有AP掛掉時,其neighbor ap就可以把power加倍, 以維持availability,不過,連線品質相對就有不穩定的狀況

另外,RSSI的強度,不是一開始強就好,如下兩圖,雖然3j的信號強度,一開始比較強,但變動大,所以,相對而言,選擇2j反而穩定

Screenshot_20160713-061105.pngScreenshot_20160713-061305.png

802.1x

802.1X只是一個架構,是IEEE採用IETF的可延伸身份認證協定(Extensible Authentication Protocol, EAP)制訂而成的,屬於一種架構協定

EAP是一個基礎的封裝協定,適於任何layer2的協定如PPP、802.3、802.11,以及各種身份認證的方式如TLS、TTLS、PEAP、AKA/SIM、Token card。

(EAP-method):MD5 Challenge、GTC、EAP-TLS、TTLS、PEAP、EAP-SIM及MS-CHAP-V2都是常見的EAP method

EAP-TTLS、EAP-PEAP這二種EAP-method即是可搭配現有的帳號認證系統(LDAP、AD)使用認證伺服器的憑證先建立一個TLS通道,此步驟也稱為外層(outer)身份認證,是用來保護內層(inner)身份認證。

在內層的身份驗證處理,TTLS交換attribute-value pair(AVP),而PEAP則是在通道內進行第二次的EAP交換程序。

Windows所內建的PEAP驗證方法中,有EAP-MSCHAP-v2及智慧卡可以選擇。

Windows作業系統中並沒有針對EAP-TTLS進行支援,而需另行安裝專用的認證軟體如Secure W2及Intel PROSet,則可使用EAP-TTLS且搭配PAP的方式進行加密驗證

以CHAP的方式來驗證,使用者的密碼不會以明文的方式來透過網路傳送,是以單向雜湊演算法計算出Hash值來替代密碼值,傳送至伺服器端,特別注意的是所使用的帳號系統的密碼必須以明文的方式儲存,UNIX系統中所儲存的密碼是以加密過後形式存在,則此將不適於CHAP的認證機制,要改用PAP。

   

wifi連線安全與驗證方式原理說明

  1. 無線網路使用者端的安全認證
  1. opensystem+web
    opensystem 的 authentication

    以上四步驟,讓你可以馬上使用網路,但這是不安全的網路,所以,通常會搭配所謂的
    Captive Portal WEB上網認證功能,可能是要求輸入帳號密碼,也可能只是要求用戶連線須知確認
    TANetRaoming -> 使用web認證
    新光三越 ->使用簡易的連線須知確認(此單位可以不須資安通報)
    information compromised(訊息洩漏) 所以需要keys,以便加密資料,進行安全的資料交換
  2. wpa2-psk

    使用相同的key(密碼),即是所謂的對稱式加密,PSK此時的角色相當於PMK => PSK+SSID(hased 4096 times) =PMK
    所以,不論是那個station(supplicsnt)登入,這兩個值psk value 與 SSID 是相同的,於是,得到相同的PMK

    (scenario->腳本)
  3. wpa2-eap(802.1x)
    三個元件 supplicant authenticator radius
    authenticator => 當需要802.1x的認證,需先完成 open system authentication,並讓AP成為authenticator的角色,以便進行後續的802.1x的認證

    TN-Domain的認證環境至少須此三元件














    TN-Teacher的認證環境需求如下,加入AD,需要至少四個元件









    EAPoL[
    Extensible Authentication Protocol over LAN] start(開始進行802.1x的認證)(EAP Exchange)
    遠端用户撥入驗證服務(RADIUS, Remote Authentication Dial In User Service)是一個AAA的過程,其角色為AS,通常會搭配AD進行用戶端驗證


    EAPOL key frame => 4 way handsha

    4-way handshake
  4. Review流程

何謂Radius

RADIUS全名為Remote Authentication Dial-in User Service,具備驗證(Authentication)、授權(Authoration)及帳戶(Accounting)服務的協定。(AAA)

常見的方法有PPP、PAP、CHAP或是UNIX login

當使用者嘗試登入驗證時,NAS(Network Access Server)會將存取請求Access-Request傳送至RADIUS

Access-Request封包則包含username、password、NAS IP address和port

Radius相應的回覆(Access-Accept or Access-Reject)

較早的RADIUS是使用UDP 1645,因與datametrics服務相互衝突,RFC2865則將使用的port另改指定為1812,大部份的設備二者皆能夠支援

在RADUIS中,驗證(Authentication)及授權(Authoration)是同時存在的,傳送的使用者名稱是存在且密碼是正確的,RADIUS會回傳一個Access-Accept的回應,其中包含一連串的屬性值,用來定義此使用者在這個活動期間所獲得的使用參數;而參數的內容則包括服務的種類、取用的ip(static or dynamic)、存取規則等。

Accounting服務允許資料在一個session開始傳送與結束時,記錄在此session期間的時間封包數與位元大小等相關資訊。Accounting服務所使用的port為UDP 1646,也使用UDP 1813(定義於RFC2139)


最常使用的企業級無線網路使用者身份認證及加密

EAP-TTLS與EAP-PEAP

在一般的狀況下,佈建的環境中早已具備現有的身份認證系統如LDAP directory、Active Directory。因此,利用現成的帳號來建立身份認證系統成為較廣泛選用的方式。  

EAP-TTLS、EAP-PEAP這二種
EAP-method即是可搭配現有的帳號認證系統(Radius Server),其方式為類似EAP-TLS使用認證伺服器的憑證先建立一個TLS通道,使用外層(outer)身份認證,是用來保護內層(inner)身份認證。

EAP-TTLS與PEAP皆為在第一階段建立TLS通道,但在內層的身份驗證處理,TTLS交換attribute-value pair(簡稱AVP),而PEAP則是在通道內進行第二次的EAP交換程序。

TTLS所使用的是交換AVP,可藉此提供原本EAP method未能提供的身份認證方式。  

以Client端的相容性來說,在Windows XP SP1之前所採用的是EAP-MD5來驗證無線網路的使用者,在SP1之後則是採用PEAP的驗證方式,Windows作業系統內建支援PEAP。

Windows所內建的PEAP驗證方法中,有EAP-MSCHAP-v2及智慧卡可以選擇。智慧卡較少使用,也不易建制,所以最常見的是使用MSCHAP-v2為驗證方法(階段二驗證)。以CHAP的方式來驗證,使用者的密碼不會以明文的方式來透過網路傳送,是以單向雜湊演算法計算出Hash值來替代密碼值,傳送至伺服器端進行比對,全程加密

當中所使用的帳號系統的密碼必須以明文的方式儲存,像是UNIX系統中所儲存的密碼是以加密過後形式存在,反而適於CHAP的認證機制。  

所以若是帳號密碼系統是以加密後的形式存在,必須以PAP的方式進行密碼的驗證,使用EAP-TTLS以同時支援CHAP/PAP驗證,但是Windows作業系統中並沒有針對EAP-TTLS進行支援,而需另行安裝專用的認證軟體如Secure W2及Intel PROSet,才能使用EAP-TTLS且搭配PAP的方式進行加密驗證

除了複雜的加密機制外,通常設備更新後,例如最近一波的IOS9與android6及win10等,都還必須牽涉到AP軔體更新等等

所以,當使用者說他家裡使用WIFI沒問題,用WPA2-PSK這類加密認證法,來比較上述的認證連線是否有問題,通常是無法得到任何有效幫助,因為複雜度與差異都很大的