802.11 VLAN

Джони Кеш
[email protected]

2) Обща информация

Стандартната спецификация на IEEE 802.11 дефинира йерархия от три състояния, в които може да бъде клиент. Когато се свързва с точка за достъп, клиентът преминава от състояние 1 в състояние 2 и след това в състояние 3. Първоначално клиентът преминава от състояние 1 в състояние 2 след успешно удостоверяване (удостоверяването се извършва, дори ако проверката за сигурност е деактивирана). По същия начин клиентът преминава от състояние 2 в състояние 3, използвайки асоциирането: веднага щом процедурата за асоцииране приключи, клиентът влиза в състояние 3 и е в състояние да предава данни през точката за достъп.

Диаграмата за преход на състоянието в стандарта предвижда, че ако клиентът, когато установява асоциация, получи отговор със стойност BSSID, която е различна от тази, с която този клиент е бил първоначално свързан, тогава клиентът трябва да бъде свързан с тази нова стойност на BSSID . Техниката на изпращане на асоцииран отговор с различен BSSID в заглавката е известна също като пренасочване на асоциация. Въпреки че мотивацията зад тази функция е неясна, тя може да се използва за динамично създаване на така наречената лична виртуална мостова LAN (PVLAN).

Най-убедителната причина за виртуализиране на точките за достъп е сигурността. В момента има две възможни технологии за нейното внедряване, въпреки че само една от тях е станала широко разпространена. Най-разпространената технология е внедрена от Colubris във виртуална технология за горещи точки.

Друга технология, обществена точка за достъп (PAP) и мостови лични виртуални локални мрежи (PVLAN), които са описани в тази статия, са подкрепени от патент на САЩ № 20040141617.

3.1) Съвременно ниво на технологично развитие

Технологията за виртуална точка за достъп Colubris е физическо устройство, което реализира напълно независим MAC слой 802.11 (включително уникален BSSID) за всяка виртуална точка за достъп. Единственото общо между отделните виртуални точки за достъп е хардуерът, на който те работят. Устройството дори използва виртуални информационни бази за управление (MIB) за всяка точка за достъп. Решението на Colubris е подходящо за статични среди, които изискват постоянно управление, с ясно дефинирани потребители и групи, към които принадлежат. Използването му изисква всеки потребител да знае предварително с кой SSID да се свърже първо, както и всички други идентификационни данни за удостоверяване. Технологията за виртуална AP може да ги преобразува във 802.1q VLAN.

Решението за споделена точка за достъп е подходящо за мрежи, които не изискват постоянно управление. Споделените точки за достъп използват технологията, описана в тази статия. Една споделена точка за достъп излъчва един фар за останалите обществени точки за достъп (PAP). Ако клиентът се опита да създаде асоциация, този PAP го пренасочва към динамично генерирания VBSSID, поставяйки клиента на своя PVLAN. Тази технология е подходяща за условия на използване, подобни на тези в публичните горещи точки, където не е осигурено абсолютно доверие между потребителите и броят на клиентите не е известен предварително. Тази технология може да се използва заедно с традиционните 802.1q VLAN, но нейната трайност не е основното изискване. Тази технология е проектирана да работи в условия, подобни на тези на публичните горещи точки, когато администраторите имат малко мрежова инфраструктура и има само един изходящ канал.

4) PVLAN и виртуални BSSID

PVLAN се наричат ​​мостови лични VLAN, тъй като мрежата се създава динамично за клиента. VLAN се контролира предимно от клиента, тъй като управлява създаването и жизнения му цикъл. Най-често срещаният случай е, когато има по един клиент за всяка PVLAN.

Точка за достъп, която прилага PAP принципа, умишлено пренасочва клиенти, опитващи се да установят асоциация към техните лични, динамично генерирани BSSID (виртуални BSSID или VBSSID).

В примера по-долу AP излъчва общ BSSID от 00: 11: 22: 33: 44: 55 и пренасочва клиента към неговия личен VBSSID от 00: 22: 22: 22: 22: 22.

vlan

Проведеният експеримент не предполага пълното прилагане на принципа PAP. Експериментът е проведен с цел да се тестват различни микросхеми, карти и драйвери за съвместимост със стандарта и за възможност за пренасочване на асоциация. За тази цел всички устройства са тествани с помощта на всички разумни интерпретации на стандарта.

Експериментът е извършен чрез извършване на незначителни промени в базирания на Linux хост драйвер. Host-up може да работи в режим на точка за достъп и клиентски режим. Всички промени бяха направени в режим на точка за достъп. Експерименталните промени не засягат ефективността на хоста от страна на клиента.

След завършване на този етап, хостът беше модифициран, за да връща отговорите на заявките за удостоверяване без повреда. Това се дължи на факта, че някои карти просто игнорираха неправилни отговори на заявки за удостоверяване. Резултатите от този експеримент са представени в таблица №2.

Таблица 1. Изкривяване на всички контролни рамки