18.1 無線區域網路
無線區域網路已成為行動運算世界中不可或缺的一環!如今,大多數的筆記型電腦都有內建的 WLAN 卡。WLAN 卡所使用的無線通訊 802.11 標準是由 IEEE 組織所制定。此標準最初用於最大傳輸率 2 MBit/s。其間已增加許多新的標準來提高資料傳輸率。這些補充項目定義調變、傳輸輸出及傳輸率等詳細資訊 (請參閱表 18-1)。此外,很多公司都實作具有專利權或草稿功能的硬體。
表 18-1 WLAN 標準綜覽
|
名稱 |
頻段 (GHz) |
最大傳輸率 (MBit/s) |
記事 |
|---|---|---|---|
|
802.11 舊 |
2.4 |
2 |
過時的;實際上無法取得終端設備 |
|
802.11a |
5 |
54 |
較少干涉 |
|
802.11b |
2.4 |
11 |
較不普遍 |
|
28.29oz |
2.4 |
54 |
常見,與 11b 向後相容 |
|
802.11n draft |
2.4 與/或 5 |
300 |
通用 |
SUSE® Linux Enterprise Server 不支援 802.11 舊版網路卡。支援使用 802.11a、802.11b、802.11g 與 802.11n draft 的大多數網路卡。新卡通常符合 802.11n draft 標準,但也有使用 802.11g 的卡。
18.1.1 函數
使用無線網路時,您可以用各種不同的技術和組態來確保快速、高品質的安全連接。不同的作業類型適合不同的設定方式。選擇正確的驗證方法相當困難。可用的加密方法會有不同的優缺點。
基本上,無線網路可分為管理網路和臨機操作網路。管理網路中有一個管理元件,即存取點。在此模式 (又稱為基礎結構模式) 之下,網路上所有 WLAN 工作站的連接都會通過該存取點,此存取點亦可連接至乙太網路。臨機操作網路中沒有存取點。由於工作站之間可直接進行通訊,因此臨機操作網路通常比受管理網路要快。不過,臨機操作網路中的傳輸範圍及參與工作站的數目相當有限。也不支援 WPA 驗證。因此,通常使用存取點。WLAN 卡甚至可做為存取點。某些網路卡支援此項功能。
驗證
無線網路比有線網路更容易受到攔截和危害,因此各項標準均包含驗證和加密方式。在較早版本的 IEEE 802.11 標準中,可在 WEP 條款下找到這些項目的說明。然而,WEP 已證實不夠安全 (請參閱安全性),WLAN 業者 (組成「Wi-Fi 聯盟」) 已定義一項新的安全標準,稱為 WPA,用來提高 WEP 的安全性。更新的 IEEE 802.11i 標準 (又稱為 WPA2,WPA 建立於 802.11i 草擬版本) 包含 WPA 及其他驗證和加密方式。
目前管理網路時會使用各種不同的驗證機制,以便確定只有獲得授權的工作站才可進行連接:
- 開啟
-
開放的系統,即不需要驗證的系統。任何工作站均可加入網路。但可使用 WEP 加密 (請參閱加密)。
- 共用金鑰 (根據 IEEE 802.11)
-
此程序使用 WEP 金鑰進行驗證。不過,並不建議採用此程序,因為它使 WEP 金鑰更容易受到攻擊。攻擊者只需要截聽工作站與存取點間的通訊達足夠的時間就行了。在驗證過程中,雙方交換相同的資訊,先是以加密的形式,然後是以未加密形式。這樣就可以利用適合的工具重新建構金鑰。由於此方式是以 WEP 金鑰來驗證和加密,因此無法提高網路的安全性。擁有正確 WEP 金鑰的工作站可以驗證、加密及解密。缺乏金鑰的工作站則無法解密已收到的封包。因此,不論是否需要驗證其身份,該工作站均無法進行通訊。
- WPA-PSK (根據 IEEE 802.1x)
-
WPA-PSK (PSK 即 Pre-Shared Key (預先共用金鑰) 的縮寫) 的作用方式與共用金鑰程序相似。所有連接工作站及存取點都要有相同的金鑰。此金鑰長度為 256 位元,且通常以密碼片語的方式輸入。本系統不需要如 WPA-EAP 一樣複雜的金鑰管理,並且更適合個人使用。因此,WPA-PSK 有時稱為 WPA
家用
。 - WPA-EAP (根據 IEEE 802.1x)
-
WPA-EAP 實際上並非驗證系統,而是用來傳送驗證資訊的協定。WPA-EAP 用來保護企業中的無線網路。在私人網路中幾乎很少用到。因此,WPA-EAP 有時稱為 WPA
企業
。WPA-EAP 需要 Radius 伺服器才能驗證使用者。EAP 提供三種不同方式連接與驗證伺服器:TLS (輸送層安全性)、TTLS (通道傳輸層安全性),與 PEAP (保護擴展驗證協議)。在 Nutshell 中,這些選項的運作方式如下:
- EAP-TLS
-
TLS 驗證仰賴伺服器和用戶端相互交換憑證。首先,伺服器會向評估它的用戶端提供其憑證。如果用戶端認為該憑證有效,就會接著向伺服器提供其憑證。雖然 TLS 是安全的,它仍需要網路中的工作憑證管理基礎結構。這種基礎結構在私有網路中很難找到。
- EAP-TTLS 和 PEAP
-
TTLS 和 PEAP 都是兩階段的協定。第一個階段建立安全性連線,而第二個階段則交換用戶端驗證資料。它們需要的憑證管理負荷 (如果有的話) 遠低於 TLS。
加密
可使用各種不同的加密方式,防止未經授權者讀取無線網路中交換的資料封包,或進入網路:
- WEP (定義於 IEEE 802.11 中)
-
此標準使用 RC4 加密演算法,最初的金鑰長度為 40 位元,後來增加為 104 位元。視 24 位元的啟始向量是否包含其中而定,其長度通常為 64 位元或 128 位元。然而此標準具有某些弱點。此系統所產生的金鑰可能受到攻擊。儘管如此,使用 WEP 仍然比完全不加密的網路來得好。
某些廠商已實作了非標準「動態 WEP」。其功能與 WEP 完全相同並具有同樣的弱點,唯一的區別在於金鑰會透過金鑰管理服務進行定期變更。
- TKIP (定義於 WPA/IEEE 802.11i 中)
-
此金鑰管理協定定義於 WPA 標準中,使用與 WEP 相同的加密演算法,其弱點則均已消除。因為每個資料封包都有一個新的金鑰,所以攻擊這些金鑰等於白費力氣。TKIP 與 WPA-PSK 必須搭配使用。
- CCMP (定義於 IEEE 802.11i 中)
-
CCMP 說明金鑰管理。通常與 WPA-EAP 搭配使用,但也可配合 WPA-PSK 使用。根據 AES 的規定所進行的加密,比 WEP 標準下的 RC4 加密更安全。
18.1.2 使用 YaST 進行設定
若要設定無線網路卡,請在 YaST 控制中心選取。此時將開啟「網路設定」對話方塊,從中可以設定一般網路設定。如需有關一般網路組態的詳細資訊,請參閱節 17.4, 使用 YaST 手動設定網路連線。系統偵測到的所有網路卡會在索引標籤中列出。
從清單中選擇無線網路卡並按一下以開啟「網路卡設定」對話方塊。設定在索引標籤中使用動態還是靜態 IP 位址。您還可以調整和設定 (如或) 以及驅動程式設定。大多數情況下,無需變更預先設定的值。
按前進至無線網路卡特定組態對話方塊。如果您使用的是 NetworkManager (如需詳細資訊,請參閱節 17.5, NetworkManager),則無需調整無線設備設定,因為這些設定會由 NetworkManager 依需求設定—請繼續按與完成組態設定。如果您僅在特定無線網路中使用電腦,請在此處進行 WLAN 操作的基本設定。
圖 18-1 YaST:設定無線網路卡
- 操作模式
-
工作站可用三種模式來連接 WLAN。適合的模式根據所通訊的網路而有所不同: (無存取點的對等網路)、 (由存取點管理的網路),或 (您的網路卡當作存取點使用)。若要使用任何 WPA-PSK 或 WPA-EAP 模式,就必須將作業模式設為。
- 網路名稱 (ESSID)
-
在無線網路中,所有工作站都要有相同的 ESSID 才能互相通訊。在未指定任何項的情況下,網路卡可能會自動選取一個存取點,該存取點可能不是您想要使用的。使用可獲得可用無線網路的清單。
- 驗證模式
-
為網路選取適合的驗證方法︰、、、或。如果您選取 WPA 驗證,則必須設定網路名稱 (ESSID)。
- 金鑰輸入類型
-
WEP 與 WPA-PSK 驗證方法需要輸入金鑰。必須以、字串或字串形式輸入金鑰。
- WEP 金鑰
-
可以在此處輸入預設金鑰,也可以按一下進入進階金鑰組態對話方塊。設定金鑰長度為或。預設值為 。在對話方塊底下的清單中,最多可指定四個金鑰,讓您的工作站用來加密。按將其中之一設為預設金鑰。除非您對此做變更,否則 YaST 都會使用第一個輸入金鑰為預設金鑰。如果標準金鑰被刪除了,則必須手動標記其他金鑰為預設金鑰。按一下 來修改現有的清單項目或建立新金鑰。在此例中,快顯視窗會提示您選擇一個輸入類型 (、 或 )。如果您選取了 ,請輸入一個單字或字元,會據此及先前指定的長度建立金鑰。 必須輸入 5 個字元以建立 64 位元金鑰;輸入 13 個字元以建立 128 位元金鑰。則必須輸入 10 個字元以建立 64 位元金鑰,或 26 個字元以在 16 進位表示法中建立 128 位元金鑰。
- WPA-PSK
-
若要輸入一個 WPA-PSK 金鑰,請選取輸入法或 。在 模式下,必須輸入 8 至 63 個字元。在 模式下,必須輸入 64 個字元。
- 進階設定
-
此按鈕會開啟一個對話方塊,說明 WLAN 連接的組態設定細節。通常無需變更預先設定的設定。
- 通道
-
應只有和模式會用到 WLAN 工作站的工作通道規格。在模式下,網路卡會自動搜尋可用的通道以連接存取點。在模式中,必須從提供的通道 (11 至 14 個,取決於您所在的國家) 中選取其中之一,讓您的工作站可與其他工作站通訊。在模式下,必須決定一個通道,讓您的網路卡可以用它來提供存取點功能。此選項的預設值為。
- 位元率
-
視您網路的效能而定,您可以設定點對點間特定的傳輸位元率。在預設值為的情況下,系統會試著選擇使用最高的資料傳輸率。有些 WLAN 卡不支援位元率的設定。
- 存取點
-
在擁有多個存取點的環境中,只要指定 MAC 位址即可預選其中一個存取點。
- 使用電源管理
-
當您出外時,可使用省電技術,使您的電池操作時間達到最久。如需電源管理的詳細資訊,請參閱節 15.0, 電源管理。使用電源管理可能會影響連線品質,增加網路延遲時間。
按「下一步」完成設定。如果已選擇 WPA-EAP 驗證,則需要另一個組態步驟才能在 WLAN 中部署工作站。輸入網路管理員給您的身份證明。若為 TLS,請提供、、以及。TTLS 和 PEAP 需要和。和是選擇性項目。YaST 可搜尋 /etc/cert 下的任何憑證。因此,請將指定給您的憑證儲存到此位置,並將對這些檔案的存取權限限制為 0600 (擁有者讀取和寫入)。按一下來進入進階驗證對話方塊,以便設定 WPA-EAP。選擇 EAP-TTLS 或 EAP-PEAP 通訊之第二階段的驗證方法。如果您在上一個對話方塊中選取 TTLS,請選擇 any、MD5、GTC、CHAP、PAP、MSCHAPv1 或 MSCHAPv2。若您選取 PEAP,請選擇 any、MD5、GTC 或 MSCHAPv2。如果您無法使用自動決定的設定,請使用 來強制使用特定 PEAP 執行方式。
18.1.3 公用程式
wireless-tools 套件包含允許設定無線區域網路特定參數並取得統計資料的公用程式。如需相關資訊,請參閱http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.html。
18.1.4 設定 WLAN 的秘訣與技巧
這些秘訣可協助您調整 WLAN 的速度、穩定性及安全性。
穩定性及速度
無線網路的效能及可靠性,要看連接工作站是否能從其他工作站收到清楚的訊號。牆壁之類的障礙物會大大減弱訊號強度。訊號強度愈弱,傳輸速度愈慢。指令行 (連結品質 欄位) 上的 iwconfig 公用程式、NetworkManager 或 KNetworkManager,可檢查運作時的訊號強度。若您的訊強度出現問題,試著將您的設備安裝在其他地方,或調整您存取點的天線方向。許多 PCMCIA WLAN 卡都有輔助天線,可大幅提高接收度。由廠商指定的速率 (例如 54 MBit/s) 為一額定值,代表推定的最大值。實際上,最大資料產生量還不到該值的一半。
安全性
如果您要建立一個無線網路,請記得在缺乏安全措施的情況下,任何在傳輸範圍內的人都可輕易地進入您的網路。因此,應確定啟用加密方式。所有 WLAN 卡和存取點都支援 WEP 加密。雖然不是安全無虞,但仍足以阻礙可能的攻擊。WEP 通常足夠個人使用。WPA-PSK 則是更佳的選擇,不過較舊型的存取點或路由器並未在其 WLAN 功能中使用 PA-PSK。有些設備只要透過防火牆的更新,即可執行 WPA。此外,儘管 Linux 支援絕大多數硬體元件上的 WPA,但是某些驅動程式不支援 WPA。如果沒有 WPA,則 WEP 仍然比完全不加密來得好。對於需要進階安全性的企業來說,只有在執行 WPA 的情況下才可操作無線網路。
18.1.5 疑難排解
如果您的 WLAN 卡沒有回應,檢查看看您是否已下載所需的韌體。如需詳細資訊,請參閱 /usr/share/doc/packages/wireless-tools/README.firmware。
多重網路設備
現代的筆記型電腦通常具備一張網路卡和一張 WLAN 卡。如果您以 DHCP 來設定這兩者 (自動指定位址),則可能會出現名稱解析和預設閘道的問題。如果您可以偵測到路由器,卻無法瀏覽網際網路,表示己出現此問題。支援資料庫提供本主題的文章,網址是:http://en.opensuse.org/SDB:Name_Resolution_Does_Not_Work_with_Several_Concurrent_DHCP_Clients。
Prism2 網路卡的問題
有許多驅動程式可用於裝有 Prism2 晶片的設備。各種不同的網路卡多多少少都可以與不同的驅動程式配合運作。使用這些卡時,WPA 只能配合 hostap 驅動程式來運作。如果這些網路卡無法順利運作,或完全無法運作,或者您想使用 WPA,請參閱 /usr/share/doc/packages/wireless-tools/README.prism2。
18.1.6 如需更多資訊
Linux「無線工具」的開發者 Jean Tourrilhes 在其網頁中提供大量有關無線網路的有用資訊。請參閱http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html。