一、门徒入派流程--无线接入流程
自逍遥子创建逍遥派以来,先后出现天山童姥、无崖子、虚竹等武学奇才,各大武学奇才又自创出数之不尽的武学宝典。无数青年才俊想拜入逍遥门下修行,只是逍遥门规森严,机关密布,甚为艰难。本文将细解门规,助有志青年过关斩将,顺利入门。
随着移动互联网革命浪潮的推动,移动终端应用呈指数级增长,终端对于wifi的使用需求越来越大。据统计,当前中国智手机用户数已经达到3.54亿,其中28.6%的手机网民使用Wifi访问移动资源。wifi网络就像一座桥梁,将我们的生活与智能化连接在一起。作为网络技术达人,我们需要了解这座桥梁的构架与基础结构,预期可能出现的问题以及出现问题时如何快速解决问题。
首先我们来详细了解一下无线接入的过程,即无线接入的逻辑顺序:
无线客户端(手机、Pad、笔记本电脑等支持wifi通信的终端,简称STA)接入到wifi无线网络的过程分为以下四个步骤:
1、STA通过Scanning搜索附近存在的AP。STA通过Scanning功能寻找可用的wifi网络,以及当STA漫游时为STA提供一个可用的新AP。Scanning功能有两种方式:Passive Scanning和Active Scanning。
n Passive Scanning:STA通过侦听AP定期发送的Beacon帧来发现周围的无线网络,Beacon帧中包含该AP所属的BSS的基本信息以及AP的基本能力级,包括: BSSID(AP的MAC地址)、SSID、速率集、认证方式、加密算法、Beacon帧的发送间隔、工作的信道等,目前主流的应用方式;
n Active Scanning:STA轮流在每个信道上发送Probe Request帧,从AP回应的Probe Response中获取SSID的基本信息,应用于安全要求高的企业;
2、用户选择接入的SSID后,STA向AP发起Authentication请求,802.11 MAC层支持两种认证方式:
(1) Open-system Authentication(开放式认证)
a. STA以MAC地址为身份证明,要求网络MAC地址必须是唯一的,几乎等同于不需要认证,没有任何安全防护能力;
b. 可通过其他方式来保证用户接入网络的安全性,例如MAC地址过滤,有些产品会提供所谓的“经授权的MAC地址列表”。
(2) Shared-Key Authentication(共享式认证)
a. 在采用WEP加密时使用;
b. 此方式在认证时需校验STA的WEP密钥。但此认证方式也不安全,Attacker可以通过监听AP发送的明文Challenge text和STA回复的密文Challenge text,计算出WEP KEY。
STA可以通过Deauthentication帧来终结认证关系。
3、通过Authentication后,STA发起Association请求,AP回应STA的关联请求。关联成功后,AP在回应的Association Response帧中含有关联标识符(Association ID,简称AID)。STA通过Association和一个AP建立关联后,STA将与该AP交互所有的数据报文。STA可以通过Deassociation和AP解除关联关系。
4、通过Association后,说明STA和AP之间建立链路成功,可以互相发送数据报文通信了。
二、细解繁琐门规-无线接入调试解析
1、 信号扫描过程,AP定期发送Beacon帧,STA收到信号之后会显示出对应的SSID,用户选择接入指定的SSID。
2、STA发起Authentication过程,用户指定接入无线SSID后,终端发送authentication报文:
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/FRAME : Frame received from station... MAC address : b878-2eb7-62f1
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/FRAME : Frame type received : Authentication
//AP接收到STA(b878-2eb7-62f1)发送的认证请求报文,设备将验证终端MAC地址在网络中的唯一性。
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/FSM : Station state : Unauthenticated
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/EVENT : Authentication response sent with status code 0
//设备验证终端MAC地址合法性并回复终端请求报文,code 0表示终端authentication验证成功。
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/FRAME : Dot11 frame sent to AP
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/TIMER : State timer created
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/EVENT : Authentication for open system successful
*Jun 11 10:15:21:991 2014 H3C-5504 WMAC/7/FSM : Station state : Authenticated
//设备成功回应STA认证请求报文,并更改STA状态为已认证。
3、STA 完成Authentication后,主动发起Association请求,AP检查Association报文相关属性,并通过Association Response报文回复STA。
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/FRAME : Frame received from station... MAC address : b878-2eb7-62f1
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/FRAME : Frame type received : Association request
//AP收到STA(b878-2eb7-62f1)主动发起关联请求报文。
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/FSM : Station state : Authenticated
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT :
AC select policy for station.
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT : Allocate AID (1) for STA b878-2eb7-62f1 successfully
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT : Add mobile (b878-2eb7-62f1) sent
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT : Association response sent with status code 0
//设备验证终端关联参数并回复关联请求报文,code 0表示设备检查Association Request参数正确。
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/FRAME : Dot11 frame sent to AP
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/TIMER : Create STA IP updating timer (ID: 20004) in AP 3.
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/TIMER : Idle timer created
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT : Do not wait ACK for association response
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/TIMER : State timer deleted
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT : Notifying Driver regarding station
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/EVENT : Successful association response sent
*Jun 11 10:15:21:995 2014 H3C-5504 WMAC/7/FSM : Station state : Running
//设备回复STA关联请求报文后更改STA状态为Running,说明STA表示已经成功接入wifi网络。
三、浅析明枪暗箭--常见接入错误
STA关联AP过程中,AP会检查STA携带的SSID、速率集、认证方式、加密算法等参数,如果STA请求报文携带的参数与设备配置不一致,设备将拒绝STA连接wifi网络。下面解析几种常见的关联错误示例:
1、 STA不支持AP强制速率
终端与AP通信速率通过动态协商选择(802.11每个协议存在对应的速率集),设备将速率集分为强制速率、支持速率以及禁用速率。AP接收STA association请求报文并上送AC,AC检查终端是否支持强制速率,如果STA不支持强制速率,AC将拒绝STA关联wifi网络。以下几种速率配置将影响STA关联wifi网络:
(1)AC配置高速率为强制速率,STA不支持AC配置的强制速率;(FIT AP为零配置,AP上配置由AC统一下发)
(2)主备AC速率配置不一致,主备AC切换后AP沿用原AC下发的速率通信,新AC无法处理原AC的速率报文,影响STA关联wifi网络。
*May 23 15:28:52:008 2014 qzDongHai-H3C AC7 WMAC/7/FRAME : Frame received from station... MAC address : 4874-6e7e-3232
*May 23 15:28:52:008 2014 qzDongHai-H3C AC7 WMAC/7/FRAME : Frame type received : Association request
*May 23 15:28:52:008 2014 qzDongHai-H3C AC7 WMAC/7/FSM : Station state : Authenticated
*May 23 15:28:52:008 2014 qzDongHai-H3C AC7 WMAC/7/ERROR : Basic Rate not supported :130
*May 23 15:28:52:008 2014 qzDongHai-H3C AC7 WMAC/7/ERROR : STA does not support radio's mandatory rates
//设备调试提示:STA不支持射频强制数据集,设备拒绝STA接入无线网络
*May 23 15:28:52:008 2014 qzDongHai-H3C AC7 WMAC/7/EVENT : Association response sent with status code 18
解决办法:
(1) 调整AC的强制速率配置,选用低速率作为强制速率;
(2) 更改主备AC配置,保证主备AC速率配置一致;
2、 STA接入IE错误
某些新型号Atheros网卡笔记本电脑以及I0S6.0以上的苹果系统会出现无法连接wifi网络,分析可知这些STA发送的关联请求报文中包含新的属性参数或者重复参数,AC软件处理识别出现错误,拒绝STA关联请求。在调试信息中显示为IE length (4)或者IE length (8)。
*Jun 24 00:45:26:032 2011 WA2620-AGN WMAC/7/FRAME : Frame type received : Association request
*Jun 24 00:45:26:033 2011 WA2620-AGN WMAC/7/FSM : Station state : Authenticated
*Jun 24 00:45:26:033 2011 WA2620-AGN WMAC/7/ERROR : Invalid Extended Capabilities IE length (4).
// 设备调试信息提示无效的扩展属性。
*Jun 24 00:45:26:033 2011 WA2620-AGN WMAC/7/ERROR : Error while processing information elements
解决办法:查询AC软件版本说明书,升级到指定版本解决该问题。
3、 接入用户数限制
Wifi通信基于半双工抢占模式,同一个AP下关联STA越多,单个STA的带宽就越小,使用体验就会变差。为了保证关联STA的使用效果,设备可能配置接入用户数限制,当设备关联STA达到配置数量后,设备将拒绝STA关联,除非存在已关联STA下线。
*Jun 11 10:47:47:464 2014 H3C-5504 WMAC/7/FRAME : Frame received from station... MAC address : a44e-312f-a6c8
*Jun 11 10:47:47:574 2014 H3C-5504 WMAC/7/FRAME : Frame type received : Association request
*Jun 11 10:47:47:674 2014 H3C-5504 WMAC/7/FSM : Station state : Authenticated
*Jun 11 10:47:47:764 2014 H3C-5504 WMAC/7/EVENT : Association response sent with status code 17
#Jun 11 10:47:48:235 2014 H3C-5504 WMAC/4/Station Association Fail: Station Assoc Fail:1.3.6.1.4.1.2011.10.2.75.3.2.0.4
%Jun 11 10:47:49:975 2014 H3C-5504 WMAC/5/WMAC_TOO_MANY_ASSO_IN_AP_BSS: Client a44e-312f-a6c8 failed to associate because of maximum clients in BSS.
//关联用户数达到设备配置上限,设备触发日志和告警提示。
解决办法:出现STA由于接入用户数限制关联失败,说明区域内用户数量比较多,可在该区域增加AP数量,或者调整AP“接入用户数限制”配置予以暂时规避。
4、 SSID不匹配
STA关联请求报文会携带关联的SSID,部分终端会记录上一次连接的SSID,并在下一次关联的时候携带发送给AC,AC检查SSID属性失败,将拒绝终端关联请求。
*Sep 7 10:32:00:593 2011 GDSZH-MA-WLAN-AC44-BTJL-H3C WMAC/7/FRAME : Frame type received : Association request
*Sep 7 10:32:00:593 2011 GDSZH-MA-WLAN-AC44-BTJL-H3C WMAC/7/FSM : Station state : Authenticated
*Sep 7 10:32:00:593 2011 GDSZH-MA-WLAN-AC44-BTJL-H3C WMAC/7/ERROR : SSID does not match
// 设备检查STA携带的接入SSID错误
*Sep 7 10:32:00:593 2011 GDSZH-MA-WLAN-AC44-BTJL-H3C WMAC/7/EVENT : Association response sent with status code 1
解决办法:找到问题STA,删除STA无线网卡的连接记录信息,重新关联wifi网络。
5、 加密方式不一致
AP定期发送的Beacon帧中携带SSID的安全加密方式,STA接入时携带匹配的安全加密参数方可与AP协商成功。部分STA会记录上一次或者其他SSID的安全加密方式,并在本次关联请求报文中携带到AC,AC检查到STA携带的参数与配置不一致,将拒绝STA关联无线网络。
*Nov 28 10:12:43:844 2012 TZ-S75E-AC7 WMAC/7/ERROR : Received RSN/WPA/WAPI IE from client 38e7-d8d5-d850, but ESS is clear type
*Nov 28 10:12:43:844 2012 TZ-S75E-AC7 WMAC/7/ERROR : Invalid security information
解决办法:找到问题STA,删除STA无线网卡的连接记录信息,重新关联wifi网络。
逍遥门下武学秘籍数之不尽,培养成就了无数武学奇才。入门只是开始,要想学有所成,还需潜心修炼,强者之路需要更多技术铺垫,更多解密且待下回分析。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作