802.11 network architecture
Kiến trúc của mạng không dây chính là chuẩn 802.11. Bài viết này sẽ tập trung chính vào các chủ đề được định nghĩa trong 802.11, các kiến thức này sẽ rất cần thiết khi cài đặt mạng không dây sử dụng các thiết bị tương thích 802.11. Chúng ta sẽ khảo sát quá trình client kết nối vào Access Point (AP), các thuật ngữ được sử dụng trong mạng không dây.

Nếu bạn không có kiến thức vững chắc về mạng không dây thì rất khó cho bạn khi bạn muốn thiết kế, cài đặt và gở rối mạng không dây. Bài này cũng đưa ra một số bước cơ bản để bạn có thể thiết kế và quản trị một mạng không dây.

I. Định vị một mạng không dây (Locating a Wireless LAN)
Khi bạn cài đặt, cấu hình và khởi động các thiết bị client mạng không dây như USB card hay PCMCIA card, client sẽ tự động lắng nghe xem thử có mạng WLAN nào trong vùng của nó hay không. Client cũng sẽ xem xét liệu chúng có thể kết nối với mạng đó không. Tiến trình lắng nghe này được gọi là “Scanning”. Scanning sẽ xuất xảy ra trước bất kỳ một tiến trình nào khác, bởi vì scanning giúp client phát hiện ra mạng WLAN.

Có 2 kiểu scanning: Passive scanning và Active scanning. Scanning chính là quá trình tìm kiếm cái được gọi là Service Set Identifiers (SSID) do AP phát ra được chứa trong các Beacon. Phần sau sẽ định nghĩa các khái niệm này.

1. Service Set Identifiers (SSID)
SSID là một chuỗi ký tự số và chữ cái duy nhất, phân biệt hoa thường, có chiều dài từ 2 đến 32 ký tự, nó được sử dụng như là tên của mạng. Cách dùng tên này sẽ được sử dụng để phân đoạn mạng, hay là một phương thức bảo mật cơ bản trong quá trình kết nối vào mạng của các client. Giá trị SSID sẽ được gởi ra trong các Beacon, Probe Request, Probe Response và các kiểu frame khác. Các trạm client phải được cấu hình để giá trị SSID chính xác với AP để có thể kết nối với AP (tuy nhiên trong thực tế điều này là không cần thiết vì hầu hết các card mạng không dây đều được thiết kế để có thể detect ra các mạng không dây và giá trị SSID của chúng). Các nhà quản trị mạng phải cấu hình giá trị SSID (đôi khi còn được gọi là ESSID) trên mỗi AP. Nếu muốn cho các client thực hiện chuyển vùng thông suốt (Seamlessly Roaming) thì tất cả các AP phải được cấu hình cùng một giá trị SSID.

2. Beacon
Beacon là một dạng frame ngắn được gởi từ AP đến các trạm client (trong mạng Infrastructure) hoặc từ trạm đến trạm (trong mạng Ad-Hoc) đẻ tổ chức và đồng bộ hóa các truyền thông trong mạng WLAN. Beacon phục vụ nhiều chức năng bao gồm:

Đồng bộ hóa thời gian (Time Synchronization)
Beacon đồng bộ với các client bằng các nhãn thời gian ngay tại thời điểm truyền. Khi client nhận beacon, nó thay đổi đồng hồ của nó để đồng bộ với đồng hồ của AP. Việc đồng bộ đồng hồ của các thiết bị truyền thông sẽ tất cả các chức năng liên quan đến thời gian như việc nhảy giữa các hệ thống FHSS, sẽ được thực hiện mà không gây ra lỗi. Beacon cũng chứa giá trị Beacon Interval, để báo cho client biết bao lâu thì AP sẽ phát ra Beacon.

FH or DS Parameter Set
Beacon cũng chứa các thông tin xác định các công nghệ trãi phổ mà hệ thống sử dụng. Ví dụ như trong hệ thống FHSS thì các tham số như hop time, dwell time và hop sequence sẽ được chứa trong beacon. Còn đối với hệ thống DSSS, beacon sẽ chứa các thông tin về kênh truyền.

SSID Information
Các trạm (station) sẽ tìm kiếm giá trị SSID trong Beacon để nó có thể giam gia vào mạng. Khi thông tin này được tìm thấy, station sẽ đọc giá trị MAC address để biết được beacon đến từ đâu, sau đó nó sẽ gởi một Authentication Request frame để có thể kết nối với AP đó. Nếu station nhận được nhiều giá trị SSID từ nhiều AP khác nhau thì nó có thể sẽ kết nối với AP đầu tiên hoặc AP có độ mạnh tín hiệu lớn nhất.

Traffic Indication Map (TIM)
TIM được sử dụng để báo cho các Sleeping Station (các trạm đang trong chế độ tiết kiệm năng lượng) rằng chúng có các gói tin đang được buffer ở AP. Thông tin này sẽ được truyền trong mỗi Beacon đến tất cả các station đã kết nối với AP. Khi đang ngủ (sleeping), các trạm đã đồng bộ với AP trước đó sẽ bật bộ tiếp nhận (receivers) của mình lên (không hoàn toàn là thức dậy), lắng nghe các beacon, kiểm tra giá trị TIM xem chúng có trong danh sách đó hay không. Nếu không có thì chúng sẽ tắt receivers của mình và tiếp tục ngủ.

Supported Rate
Đối với mạng không dây, nó hỗ trợ nhiều tốc độ khác nhau tùy vào chuẩn hoặc thiết bị được sử dụng. Ví dụ, các thiết bị tương thích chuẩn 802.11b sẽ có tốc độ 11, 5.5, 2 và 1 Mbps. Thông tin này sẽ được truyền trong các beacon để báo cho client biết tốc độ nào sẽ được hỗ trợ bởi AP.

Ngoài các thông tin trên thì Beacon còn chứa nhiều thông tin khác nữa, tuy nhiên các thông tin trên là các thông tin quan trọng cần phải biết đối với người quản trị mạng.

(còn tiếp)

3. Passive Scanning
Passive scanning là tiến trình lắng nghe beacon trên mỗi kênh trong một khoảng thời gian định trước sau khi station được khởi tạo. Những Beacon này được gởi bởi AP (trong mạng Infrastructure) hay các trạm client (trong mạng Ad-Hoc), trạm đang scanning sẽ thực hiện phân loại các đặc điểm của AP hay station dựa trên các beacon này. Station sẽ lắng nghe các beacon cho đến khi chúng tìm được mạng mà chúng mong muốn. Sau đó, station sẽ cố gắng tham gia vào mạng thông qua AP đã gởi beacon cho nó. Pasive scanning được minh họa trong hình dưới đây

http://i47.photobucket.com/albums/f185/hinhup/65-7-1.gif

Trong cấu hình mạng có nhiều AP, giá trị SSID của mạng mà station muốn tham gia sẽ được quảng bá bởi nhiều AP. Trong trường hợp này thì station sẽ cố gắng tham gia vào mạng thông qua AP có độ mạnh tín hiệu lớn nhất và tỷ lệ bít lỗi thấp nhất.

Station sẽ tiếp tục passive scanning thậm chí sau khi đã kết nối với AP. Passive scanning sẽ tiết kiệm được thời gian khi kết nối lại với mạng nếu client bị đứt kết nối với AP. Bằng cách duy trì các AP sẵn có và các đặt điểm của chúng (kênh truyền, độ mạnh tín hiệu, SSID … ) station có thể nhanh chóng xác định được AP tốt nhất để kết nối sau khi chúng bị đứt kết nối với AP hiện tại.

Station sẽ chuyển từ AP này sang AP khác sau khi tín hiệu từ AP mà chúng đang nối giảm đến mức thấp xác định nào đó. Roaming được cài đặt cho phép client kết nối liên tục với mạng. Station sử dụng thông tin lấy được thông qua passive scanning để xác định AP tốt nhất (hay mạng AD-Hoc) để kết nối trở lại vào mạng. Vì lý do này, vùng chồng lên nhau (overlap) giữa vùng phủ sóng của các AP phải đảm bảo xấp xĩ 20 – 30%. Vùng overlap này cho phép station thực hiện seamlessly roaming giữa các AP mà người sử dụng không hề hay biết.

Bởi vì mức độ nhạy của bộ thu sóng radio có thể hoạt động không chính xác, nên đôi khi các nhà quản trị mạng sẽ thấy hiện tượng bộ thu sóng radio vẫn còn kết nối đến một AP cho đến khi tín hiệu bị đứt hay độ mạnh tín hiệu là cực thấp, thay vì roaming sang một AP khác có tín hiệu tốt hơn. Nếu bạn gặp tình huống này thì bạn nên báo cáo nó với nhà sản xuất để có biện pháp giải quyết.

4. Active Scanning
Active scanning là quá trình gởi Probe Request frame từ máy trạm. Station gởi frame này khi chúng muốn tìm kiếm mạng để kết nối vào. Probe frame sẽ chứa giá rị SSID của mạng mà chúng muốn tham gia vào hoặc có thể là một Broadcast SSID. Nếu Probe Request được gởi xác định một SSID cụ thể thì những AP nào có giá trị SSID trùng với nó sẽ trả lời lại bằng một Probe Response frame. Nếu Probe Request frame được gởi với giá trị Broadcast SSID thì tất cả AP nhận được frame này sẽ trả lời lại bằng một Probe Response frame như được minh họa trong hình dưới đây.

http://i47.photobucket.com/albums/f185/hinhup/64-7-2.gif

Cách scanning này cho phép station xác định AP nào chúng có thể kết nối vào mạng. Khi tìm thấy AP thích hợp thì station sẽ khởi tạo các bước authentication và association để kết nối vào mạng thông qua AP.

Thông tin được truyền từ AP đến Station trong Probe Response frame là rất giống với Beacon frame. Probe Response chỉ khác với Beacon ở chổ chúng không được dán tem thời gian (time-stamp) và cũng không chứa trường Traffic Indication Map (TIM).

Độ mạnh tín hiệu của Probe Response frame mà PC card nhận được sẽ giúp xác định AP tốt nhất mà PC card sẽ kết nối. Station sẽ chọn AP có độ mạnh tín hiệu lớn nhất và tỷ lệ bít lỗi thấp nhất (Bit Error Rate – BER). BER là tỷ lệ các gói tin bị hỏng so với các gói tin tốt, nó thường được xác định bởi tỷ số Signal-to-Noise của tín hiệu. Nếu đỉnh của tín hiệu nhận được là gần với nhiễu nền (noise floor) thì receiver có thể nhầm lẫn giữa tín hiệu và nhiễu.

(còn tiếp)

II. Authentication & Association (Xác thực và kết nối)
Quá trình kết nối với WLAN bao gồm 2 tiến trình con riêng biệt, những tiến trình con này luôn luôn xuất hiện theo cùng thứ tự và chúng được gọi là Authentication và Association. Ví dụ khi PC card kết nối với mạng WLAN, thì PC card đã được authentication bởi và Association với AP nào đó. Hãy nhớ rằng khi chúng ta nói đến association có nghĩa là chúng ta đang nói đến kết nối lớp 2, và authentication gắn liền trực tiếp với PC card, chứ không phải là người dùng (user). Việc hiểu được các bước của một client khi kết nối với một AP là rất quan trọng để có thể bảo mật, gở rối và quản lý mạng WLAN.

1. Authentication
Bước đầu tiên trong việc kết nối với WLAN là authentication. Authentication là quá trình trong đó các node không dây ( PC card, USB client …) sẽ được chứng thực bởi mạng (thông thường là AP) khi chúng muốn kết nối với mạng. AP sẽ đáp trả lại lời yêu cầu kết nối của client bằng cách kiểm tra định danh của client trước khi việc kết nối xảy ra. Đôi khi tiến trình authentication này là Null, có nghĩa là, mặc dù client và AP phải trải qua quá trình authentication này để kết nối vào mạng, nhưng sẽ không có một sự kiểm tra chứng thực đặc biệt nào xảy ra. Đây là trường hợp khi bạn cài AP và PC card với thiết lập mặc định của nhà sản xuất. Chúng ta sẽ thảo luận 2 kiểu authentication ở phần sau.

Client bắt đầu tiến trình authentication bằng cách gởi một Authentication Request frame đến AP (trong mạng Infrastructure). AP sẽ chấp nhận (accept) hay từ chối (deny) lời yêu cầu (request) này, sau đó báo cho station biết quyết định của nó bằng cách gởi một Authentication Response frame. Tiến trình authentication có thể được thực hiện tại AP, hay AP có thể chuyển trách nhiệm này sang một server authentication như RADIUS. RADIUS server sẽ thực hiện authentication dựa trên một danh sách tiêu chuẩn, và sau đó trả lại kết quả của nó cho AP và AP chuyển đến station.

2. Association
Một khi client đã được xác thực thì nó sẽ thực hiện kết nối với AP. Associated là trạng thái trong đó client đã được cho phép truyền dữ liệu thông qua AP. Nếu PC card của bạn đã associated với một AP, thì có nghĩa là bạn đã kết nối với AP đó và cũng là với mạng không dây.

Tiến trình để trở nên associated được mô tả như sau: Khi một client muốn kết nối vào mạng, client đó sẽ gởi một Authentication Request frame đến AP và nhận trở lại một Authentication Response frame. Sau khi authentication đã được hoàn thành, station sẽ gởi một Association Request frame đến AP và AP sẽ trả lời lại cho client một Association Response frame trong đó cho phép hoặc không cho phép association.

3. Trạng thái của Authentication và Association
Toàn bộ tiến trình authentication và association bao gồm 3 trạng thái khác nhau
+ Unauthenticated và Unassociated
+ Authenticated và Unassociated
+ Authenticated và Associated

Unauthenticated và Unassociated
Trong trạng thái khởi đầu này, các node không dây hoàn toàn chưa kết nối với mạng và không thể truyền dữ liệu qua AP. AP lưu giữ một bảng các trạng thái kết nối của client được gọi là bảng Association. Điều quan trọng cần chú ý là các vendor khác nhau sẽ đề cập đến các trạng thái Unauthenticated và Unassociatied trong AP của họ một cách khác nhau. Bảng này sẽ đưa ra trạng thái “unauthenticated” cho bất kỳ client nào chưa hoàn thành tiến trình authentication hoặc đã authentication failed.

Authenticated và Unassociated
Trong trạng thái thứ 2 này, các client không dây đã vượt qua quá trình authentication thành công, nhưng vẫn chưa thật sự association với AP. Trong trạng thái này thi client vẫn không được phép truyền hay nhận dữ liệu thông qua AP. Bảng Association của AP sẽ hiển thị trạng thái cho client là “Authenticated”. Bởi vì client đã vượt qua giai đoạn authentication và ngay lập tức chuyển đến giai đoạn association rất nhanh chóng (chỉ vài milisecond), vì vậy rất hiếm khi bạn thấy được trạng thái “authenticated” trong AP. Thường thì bạn sẽ thấy “Unauthenticated” hay “Associated”.

Authenticated và Associated
Trong trạng thái cuối cùng này, node không dây của bạn đã hoàn toàn kết nối với mạng, có thể gởi và nhận dữ liệu thông qua AP. Hình dưới mô tả quá trình association của một client. Bạn sẽ thấy trạng thái “associated” trong bảng association của AP cho biết rằng client này đã hoàn toàn kết nối và đã được chứng nhận bởi AP để có thể truyền dữ liệu thông qua AP. Từ đây bạn có thể suy ra các phương thức bảo mật sẽ được cài đặt trong quá trình kết nối của client.

http://i47.photobucket.com/albums/f185/hinhup/63-7-3.gif

(còn tiếp)

4. Các phương thức Authentication
Chuẩn 802.11 xác định 2 phương thức cho authentication: Open System Authentication và Shared-Key Authentication. Phương thức đơn giản và cũng là bảo mật hơn trong số 2 phương thức trên là Open System Authentication. Để một client có được trạng thái “authenticated”, client và AP phải trải qua các bước, các bước này là khác nhau tùy thuộc vào tiến trình authentication được sử dụng. Dưới đây chúng ta sẽ thảo luận các tiến trình authentication được xác định trong chuẩn 802.11, cách chúng làm việc và tại sao chúng được sử dụng.

Open System Authentication
Open System Authentication là một phương thức xác thực null và được xác định bỏi 80.11 như là thiết lập mặc định cho các thiết bị WLAN. Sử dụng phương thức xác thực này, một station có thể kết nối vào một AP mà chỉ dựa trên SSID. SSID phải trùng nhau ở cả client và AP thì xem như client đã được xác thực thành công. Tuy nhiên, việc chỉ sử dụng SSID sẽ là một phương pháp bảo mật rất kém.

Tiến trình Open System Authentication
+ Client yêu cầu kết nối với AP
+ AP xác thực client và gởi một Positive Response đến client, sau đó client được xem như là “associated”

Các bước này được mô tả trong hình dưới đây

http://i47.photobucket.com/albums/f185/hinhup/62-7-4.gif

Open system authentication là một tiến trình rất đơn giản, tuy nhiên, bạn còn có tùy chọn sử dụng mã hóa WEP (Wire Equivalent Privacy) cùng với open system authentcation. Nếu WEP được sử dụng cùng với tiến trình open system authentication thì sẽ không có một sự kiểm tra nào đối với WEP key trên cả 2 phía kết nối trong suốt quá trình authentication. Thay vào đó, WEP key chỉ được sử dụng để mã hóa dữ liệu một khi client đã được authenticated và associated.

Open system authentication được sử dụng trong nhiều trường hợp nhưng có 2 lý do chính để sử dụng nó. Trước tiên, open system authentication được xem như là bảo mật hơn so với shared key authentication (sẽ giải thích ở phần sau). Thứ 2, open system authentication là rất đơn giản lúc cấu hình bởi vì thật ra chúng chẳng cần cấu hình gì cả. Tất cả các thiết bị tương thích với 802.11 đều được cấu hình mặc định là sử dụng phương thức xác thực open system authentication.

(còn tiếp)

Shared Key Authentication
Shared key authentication là một phương thức bảo mật có yêu cầu việc sử dụng WEP. Mã hóa WEP sử dụng khóa đã được cấu hình từ trước (thường là do admin) cho cả client lẫn AP. Khóa này phải trùng nhau trên cả 2 phía thì WEP mới hoạt động chính xác được. Share key authentication sử dụng WEP key theo 2 cách được mô tả sau đây.

Tiến trình shared key authentication
Tiến trình xác thực sử dụng shared key authentication diễn ra như sau
+ Client yêu cầu kết nối với AP – bước này tương tự như trong open system authentication
+ AP phát ra một challenge đến client – challenge này là một chuỗi text được sinh ra một cách ngẫu nhiên, nó được truyền đến client mà không được mã hóa (ai cũng có thể đọc được)
+ Client đáp ứng lại challenge – client đáp ứng lại bằng cách mã hóa chuỗi challenge text sử dụng WEP key của nó và gởi kết quả lại cho AP.
+ AP sẽ đáp ứng lại cho client – AP giải mã chuỗi text mà client đã mã hóa sử dụng WEP key của nó. Tiến trình này sẽ giúp AP xác định client có WEP key giống với mình hay không. Nếu giống thì AP sẽ trả lời lại bằng một Positive respond và client xem như đã được xác thực. Nếu WEP key của client không giống của AP thì AP sẽ trả lời lại bằng một Negative Respond và không xác thực client, lúc đó client được xem như là unauthenticated và unassociated.

Tiến trình này được mô tả trong hình sau

http://i47.photobucket.com/albums/f185/hinhup/61-7-5.gif

Chúng ta sẽ có cảm tưởng như là Shared key authentication sẽ bảo mật tốt hơn open system authentication nhưng sự thật không phải là như vậy. Shared key sẽ mở cánh cửa cho hacker. Điều quan trọng là bạn phải hiểu cả 2 cách sử dụng WEP key. WEP key có thể được sử dụng trong suốt quá trình shared key authentication để kiểm tra định danh client, nhưng nó cũng có thể được sử dụng để mã hóa dữ liệu.

Authentication Security
Shared key authentication không được xem là bảo mật bởi vì AP truyền challenge text trong dạng clear (không mã hóa) và nhận lại chuỗi mã hóa do client trả về. Điều này sẽ cho phép hacker sử dụng phần mềm do thám (sniffer) để xem được cả plaintext challenge và encrypted challenge. Việc có được 2 giá trị này sẽ giúp hacker sử dụng phần mềm crack để lấy được giá trị WEP key thực sự. Khi có được WEP key, hacker giãi mã những dòng traffic đã được mã hóa. Đây chính là lý do tại sao Shared key authentication không được bảo mật bằng Open system authentication.

Tuy nhiên, bạn cần phải hiểu rằng, cả Open system lẫn Shared key authentication đều không phải là một phương thức bảo mật tốt. Vì thế, ngoài những phương thức trên, bạn nên dùng thêm một số cơ chế bảo mật khác như 802.1x nếu như bạn muốn thật sự bảo vệ mạng của mình.

Shared Secrects & Certificates
Shared Secrects là một chuỗi số hoặc chữ cái thường được gọi là WEP key. Certificates là một phương thức khác để xác định người dùng mạng không dây. Cũng giống như WEP key, Certificates (là các tài liệu xác thực) cần phải được đặt trên máy client trước khi việc xác thực diễn ra. Cả 2 phương thức này đều được cài đặt bằng tay, tuy nhiên hiện nay đã có một số phương pháp để tự động hóa tiến trình này.

Các giao thức xác thực nổi bật (Emerging Authentication Protocols)
Có nhiều giải pháp và giao thức xác thực bảo mật trên thị trường hiện nay bao gồm VPN và 802.1X sử dụng EAP (Extensible Authentication Protocol). Các giải pháp bảo mật này sẽ chuyển việc authentication từ AP sang một authentication server (client phải đợi trong suốt tiến trình authentication này). Windows XP có hỗ trợ cho 802.11, 802.1X và EAP. Cisco và các nhà sản xuất thiết bị WLAN khác đều hỗ trợ các chuẩn này. Vì thế chúng ta có thể thấy rằng 802.1X và EAP đã trở nên phổ biến trong các thiết bị WLAN ngày nay.

802.1X và EAP
Chuẩn 802.1x (còn gọi là điều khiển truy cập mạng dựa trên port) là một chuẩn khá mới, và các thiết bị hỗ trợ nó có khả năng chỉ cho phép một kết nối vào mạng ở layer 2 nếu như việc xác thực người dùng (user authentication) là thành công. Giao thức này làm việc tốt với AP cần khả năng ngăn chặn những người dùng không hợp lệ kết nối vào mạng. EAP là một giao thức lớp 2 được xem như là một sự thay thế cho PAP và CHAP như trong kết nối PPP ở mạng LAN. EAP cho phép 2 đầu đường truyền có thể sử dụng bất kỳ giao thức xác thực nào. Trong quá khứ, PAP và CHAP đã được sử dụng cho việc xác thực người dùng, và cả 2 đều hỗ trợ việc sử dụng mật mã. Sự cần thiết phải có một giao thức mạnh hơn, mềm dẻo hơn sử dụng trong WLAN để thay thế cho PAP và CHAP (trong LAN) là hết sức rõ ràng.

Thông thường, xác thực người dùng được thiết lập sử dụng một RADIUS server hay một số loại cơ sở dữ liệu người dùng khác (như TACACS, NDS, Active Directory, LDAP, …). Tiến trình xác thực sử dụng EAP được mô tả trong hình dưới đây. Một chuẩn mới là 802.11i sẽ hỗ trợ cho 802.1x, EAP, AAA, mutual authentication (xác thực lẫn nhau) và tự động sinh khóa. Các tính năng trên đều không được định nghĩa trong chuẩn 802.11. AAA là một thuật ngữ viết tắt của Authentication (xác định bạn là ai), Authorization (Các tác vụ bạn có thể thực hiện trên mạng), và Accounting (Ghi lại những điều bạn đã làm trên mạng).

Trong mô hình chuẩn 802.1x, việc xác thực mạng bao gồm 3 thành phần chính: Supplicant (người cần xác thực), Authenticator (Thiết bị nhận yêu cầu xác thực từ người dùng), và Authentication Server (server thực hiện việc xác thực).

http://i47.photobucket.com/albums/f185/hinhup/60-7-6.gif

Bởi vì việc bảo mật mạng WLAN là thiết yếu, và giao thức xác thực EAP cung cấp một phương thức bảo mật kết nối không dây. Vì thế các nhà sản xuất nhanh chóng phát triển và thêm vào các AP WLAN của họ kiểu xác thực EAP. Việc biết được kiểu xác thực EAP được sử dụng như thế nào là rất quan trọng trong việc hiểu được các đặt điểm của phương thức xác thực như mật mã, tự động sinh khóa, xác thực lẫn nhau.

Một số kiểu xác thực EAP phổ biến bao gồm:
+ EAP-MD-5 Challenge: Đây là kiểu xác thực EAP được đưa ra sớm nhất, nó hoàn toàn giống với xác thực CHAP được sử dụng trong mạng có dây. EAP-MD5 đại diện cho xác thực EAP ở mức cơ bản mà các thiết bị 802.1x hỗ trợ.

+ EAP-Cisco Wireless: Thường được gọi là LEAP (Lightweight Extensible Authentication Protocol), kiểu xác thực EAP này được sử dụng chủ yếu trong các AP không dây của Cisco. LEAP cung cấp bảo mật trong suốt quá trình trao đổi khởi tạo ban đầu, mã hóa dữ liệu truyền sử dụng WEP key tự động sinh ra, và hỗ trợ xác thực qua lại (mutual).

+ EAP-TLS (Transport Layer Security): EAP-TLS cung cấp xác thực dựa trên Certificate-based, mutual authentication. EAP-TLS dựa trên các certificate ở phía client và phía server để thực hiện xác thực, sử dụng WEP key tự động sinh ra dựa trên user-based và session-based để bảo mật kết nối. Windows XP và 2000 đều có tích hợp EAP-TLS client.

+ EAP-TTLS (Tunneled TLS): Do Funk software và Certicom cùng nhau phát triển. EAP-TTLS là một mở rộng của EAP-TLS, nó cung cấp certificate-based, mutual authentication cho các client trên mạng. Tuy nhiên, không giống như EAP-TLS, EAP-TTLS chỉ yêu cầu certificate phía server nên giảm được sự cần thiết phải cấu hình certificate trên các client. Ngoài ra, EAP-TTLS hỗ trợ các giao thức xác thực theo mật mã truyền thống, vì thế bạn có thể triển khai nó trên hệ thống xác thực hiện tại của bạn (như Active Directory hay NDS). EAP-TTLS cung cấp đường hầm bảo mật khi xác thực client bằng các TLS record, đảm bảo rằng người dùng được bảo vệ khỏi những kẽ nghe lén trên đường truyền không dây. Các WEP key được sinh ra một cách tự động dựa trên user-based hay session-based được sử dụng để bảo mật kết nối.

+ EAP-SRP (Secure Remote Password): SRP là một giao thức xác thực dựa trên mật mã, nó cũng là giao thức trao đổi khóa. Nó giải quyết các vấn đề về làm sao đảm bảo việc xác thực người dùng với server được thực hiện một cách bảo mật và giúp cho người sử dụng khỏi phải nhớ các mật mã hay các thông tin mật khác. Server sẽ thực hiện xác thực cho mỗi người dùng, tuy nhiên nếu server bị tổn thương, kẻ tấn công cũng không thể giả dạng người dùng để đăng nhập vào mạng. Thêm vào đó, SRP sẽ trao đổi các mật mã mạnh một cách bảo mật, cho phép 2 bên có thể truyền thông một cách an toàn.

+ EAP-SIM (GSM): EAP-SIM là một cơ chế cho mạng Mobile IP để xác thực truy nhập và đăng ký sinh khóa sử dụng GSM Subcriber Identify Module (SIM). Lý do chính cho việc sử dụng GSM SIM cho Mobile IP là tận dụng kiến trúc GSM authorization hiện có, các người sử dụng, và kênh phân phối SIM card hiện có. Bằng cách sử dụng trao đổi khóa SIM, thì không cần thiết phải cấu hình trước các giao thức bảo mật khác trên các Mobile node. Ý tưởng ở đây là không sử dụng công nghệ truy cập vô tuyến GSM, nhưng lại sử dụng GSM SIM authorization với Mobile IP trên bất kỳ lớp 2 nào, ví dụ wireless LAN.

Những kiểu xác thực EAP trên sẽ phát triển nhiều hơn nữa và nhiều nhà sản xuất sẽ gia nhập thị trường bảo mật WLAN, cho đến khi có một chuẩn xác định.

(còn tiếp)

Giải pháp VPN
Công nghệ VPN cung cấp công cụ để truyền dữ liệu một cách an toàn giữa 2 thiết bị mạng trên môi trường truyền không an toàn. Thông thường chúng được sử dụng để kết nối máy tính ở xa vào mạng doanh nghiệp thông qua Internet. Tuy nhiên, VPN cũng là một giải pháp để bảo vệ dữ liệu trên mạng không dây. VPN hoạt động bằng cách tạo ra một tunnel trên đỉnh của giao thức IP. Các traffic bên trong tunnel sẽ được mã hóa và hoàn toàn bị cách ly như trong được minh họa trong hình dưới. Công nghệ VPN cung cấp 3 levels cho việc bảo mật: Xác thực người dùng, mã hóa và xác thực dữ liệu.

+ Xác thực người dùng đảm bảo rằng chỉ những người dùng hợp lệ (trên các thiết bị hợp lệ) mới có thể kết nối, truyền và nhận dữ liệu trên mạng không dây.

+ Mã hóa đưa ra một cách bảo vệ khác. Nó đảm bảo rằng thậm chí việc truyền dữ liệu có thể bị chặn đứng nhưng chúng vẫn không thể bị giải mã mà không tốn nhiều thời gian và công sức.

+ Xác thực dữ liệu đảm bảo tính toàn vẹn của dữ liệu trên mạng không dây, đảm bảo tất cả các traffic chỉ đến từ các thiết bị đã được xác thực.

http://i47.photobucket.com/albums/f185/hinhup/49-7-7-8.gif

Việc sử dụng công nghệ VPN để bảo mật mạng không dây đòi hỏi phải có một cách tiếp cận khác so với khi nó được sử dụng trong mạng có dây vì những lý do sau:

+ Bản chất Repeater của wireless AP sẽ tự động forward traffic giữa các trạm WLAN giao tiếp với nhau trên cùng một mạng không dây.

+ Phạm vi của mạng không dây thường được mở rộng ra khỏi ranh giới vật lý một văn phòng hay nhà, nên các kẻ tấn công có cơ hội để phá hoại mạng không dây.

Tính thuận tiện và khả năng dễ mở rộng của các giải pháp không dây làm cho nó là một giải pháp lý tưởng cho nhiều môi trường khác nhau. Việc cài đặt bảo mật VPN sẽ khác nhau tùy thuộc vào nhu cầu của mỗi môi trường. Ví dụ, một hacker với wireless sniffer, nếu anh ta có thể lấy được WEP key thì anh ta có thể giải mã các gói theo thời gian thực. Với một giải pháp VPN, các gói sẽ không chỉ được mã hóa mà còn được đưa vào đường hầm. Lớp bảo mật thêm này sẽ cung cấp nhiều thuận lợi cho access level.

(còn tiếp)

III. Services Set
Service Set là một thuật ngữ dùng để mô tả các thành phần cơ bản của mạng WLAN. Nói cách khác, có 3 cách để cấu hình WLAN, mỗi cách yêu cầu một tập các phần cứng khác nhau. 3 cách để cấu hình WLAN là:
+ Basic Service Set
+ Extended Service Set
+ Independent Basic Service Set

1. Basic Service Set
Khi một AP được kết nối với mạng có dây và một tập các máy trạm không dây, cấu hình này được gọi là Basic Service Set (BSS). Một BSS bao gồm chỉ 1 AP và nhiều client như được minh họa trong hình dưới. BSS sử dụng chế độ infrastructure, là chế độ yêu cầu sử dụng một AP và tất cả các traffic đều phải đi qua AP, các client không thể giao tiếp trực tiếp với nhau.

http://i47.photobucket.com/albums/f185/hinhup/48-7-9.gif

Mỗi client phải sử dụng AP để giao tiếp với các client khác hay với các host trên mạng có dây. BSS bao phủ một cell (hay một vùng RF) duy nhất xung quanh AP với những vùng có tốc độ dữ liệu khác nhau (các đường tròn đồng tâm). Tốc độ dữ liệu trong những đường tròn đồng tâm này sẽ tùy thuộc vào công nghệ được sử dụng. Nếu BSS sử dụng thiết bị 802.11b thì các đường tròn đồng tâm sẽ có tốc độ lần lượt là 11, 5.5, 2, 1 Mbps. Tốc độ dữ liệu càng thấp đối với những đường tròn càng xa AP. Một BSS chỉ có duy nhất một SSID.

2. Extended Service Set
Một Extend Service Set (ESS) được định nghĩa bao gồm 2 hoặc nhiều BSS được kết nối với nhau thông qua một hệ thống phân tán (Distributed System) chung như được minh họa trong hình dưới. Hệ thống phân tán có thể là mạng có dây, mạng không dây hay bất kỳ một kiểu kết nối mạng nào khác. Một ESS phải có ít nhất 2 AP hoạt động trong chế độ Infrastructure. Cũng tương tự như trong BSS, tất cả các gói tin trong ESS phải đi qua một trong các AP.

http://i47.photobucket.com/albums/f185/hinhup/47-7-10.gif

Các đặc điểm khác của ESS (tùy thuộc vào chuẩn 802.11) đó là một ESS bao phủ nhiều cell, cho phép (nhưng không yêu cầu) khả năng roaming và không yêu cầu phải cùng một SSID giữa các BSS.


3. Independent Basic Service Set (IBSS)
Một IBSS còn được gọi là mạng Ad-hoc. IBSS không có AP hay bất kỳ truy cập nào khác vào hệ thống phân tán, nhưng bao gồm một cell và có một SSID duy nhất như được minh họa trong hình dưới. Các client trong IBSS thay phiên nhau nhận trách nhiệm truyền Beacon bởi vì không có AP nào trong mạng để thực hiện nhiệm vụ này.

http://i47.photobucket.com/albums/f185/hinhup/46-7-11.gif

Để truyền dữ liệu ra khỏi một IBSS thì một trong các client trong IBSS phải hoạt động như là một gateway, hay router bằng cách sử dụng một giải pháp phần mềm cho mục đích này. Trong một IBSS, các client giao tiếp trực tiếp với nhau khi truyền dữ liệu. Vì lý do này mà một IBSS còn được gọi là một mạng peer-to-peer.

(còn tiếp)

4. Roaming
Roaming là một tiến trình hay khả năng của một wireless client di chuyển thông suốt từ một cell (hay BSS) này đến một cell khác mà không mất kết nối. Access Point (AP) sẽ chuyển client sang AP mới mà client không hề nhận biết được, đồng thời nó cũng bảo đảm không làm mất kết nối. Hình dưới đây minh họa quá trình roaming của client từ BSS này sang BSS khác.

Khi bất kỳ vùng nào trong tòa nhà đều có thể nhận sóng từ nhiều hơn một AP, điều này xảy ra khi vùng bao phủ của các cell chồng lên nhau. Các vùng bao phủ chồng lên nhau là một thuộc tính quan trọng khi cài đặt mạng WLAN bởi vì nó cho phép roaming thông suốt giữa các cell. Roaming cho phép người dùng di động sử dụng máy tính xách tay di chuyển một cách tự do giữa các cell chồng nhau, đồng thời duy trì kết nối liên tục với mạng.

http://i47.photobucket.com/albums/f185/hinhup/45-7-12.gif

Khi roaming là thông suốt thì một session (phiên) làm việc sẽ được duy trì khi di chuyển từ cell này sang cell khác. Nhiều AP có thể cung cấp tính năng chuyển vùng thông suốt cho toàn bộ tòa nhà hay mạng Campus.

Khi vùng bao phủ của 2 hay nhiều AP chồng lên nhau thì các máy trạm trong vùng chồng nhau này có thể thiết lập kết nối tốt nhất có thể với một trong những AP, đồng thời nó cũng liên tục tìm kiếm AP cung cấp tín hiệu mạnh nhất. Để tối thiểu việc mất gói tin trong suốt quá trình chuyển vùng này thì AP “mới” và AP “cũ” phải giao tiếp với nhau để thực hiện quá trình roaming. Tính năng này cũng tương tự như mạng điện thoại di động, nhưng có 2 điểm khác biệt chính.

+ Trong hệ thống LAN dựa trên gói tin (Packet-based), sự dịch chuyển từ cell này sang cell khác có thể được thực hiện bằng việc truyền gói tin, hoàn toàn ngược lại với hệ thống điện thoại trong đó việc dịch chuyển có thể xuất hiện trong suốt một cuộc đàm thoại.

+ Trong hệ thống thoại, việc mất kết nối tạm thời có thể không ảnh hưởng đến cuộc đàm thoại. Nhưng trong môi trường packet-based điều này sẽ làm giảm đáng kể hiệu năng bởi vì các giao thức lớp trên sẽ thực hiện việc truyền lại gói bị mất.

(còn tiếp)

Các chuẩn (Standards)
Chuẩn 802.11 không định nghĩa việc roaming sẽ được thực hiện như thế nào nhưng lại định nghĩa những khối xây dựng cơ bản (basic building block). Những building block này bao gồm active và passive scanning và một tiến trình re-association. Tiến trình Reassociation xuất hiện khi một client không dây chuyển từ một AP này sang một AP khác và trở thành associated (kết nối) với AP mới.

Chuẩn 802.11 cho phép client chuyển giữa nhiều AP hoạt động trên cùng một kênh hay các kênh tách biệt nhau. Ví dụ, sau mỗi 100 ms, một AP có thể truyền một tín hiệu Beacon trong đó bao gồm một nhãn thời gian cho việc đồng bộ hóa client, một traffic indication map (TIM), một trường (field) chỉ rõ tốc độ hỗ trợ, và các tham số khác. Các client roaming sử dụng Beacon để đo độ mạnh của kết nối hiện tại đến AP. Nếu như kết nối là yếu thì các client roaming có thể thử kết nối (associate) chính nó đến một AP mới.

Để thỏa mãn yêu cầu của việc truyền thông vô tuyến di động thì chuẩn 802.11b phải có khả năng chịu đựng (tolerant) được việc mất kết nối và thiết lập lại kết nối. Chuẩn này cố gắng đảm bảo việc đứt kết nối là nhỏ nhất đối với việc phân phối dữ liệu và nó cũng cung cấp một số tính năng như đệm (caching) và chuyển (forwarding) thông điệp giữa các BSS.

Một số giao thức lớp cao như TCP/IP có khả năng chịu đựng (tolerant) kém hơn. Ví dụ, trong một mạng sử dụng DHCP để cấp địa chỉ IP thì một node roaming có thể mất kết nối của nó khi nó di chuyển băng qua biên của cell. Node này sau đó sẽ phải thiết lập lại kết nối khi nó đi vào BSS hay cell kế tiếp. Các giải pháp phần mềm hiện có có thể giải quyết các vấn đề này.

Chuẩn 802.11b để lại nhiều chức năng chi tiết (như hệ thống phân tán – Distribution System) cho các nhà sản xuất tự do triển khai. Đây là một quyết định thận trọng của các nhà thiết kể chuẩn bởi vì họ chỉ quan tâm chủ yếu đến việc tạo ra các chuẩn hoàn toàn độc lập với các chuẩn mạng hiện có. Các nhà sản xuất thiết bị WLAN sẽ đưa ra những phương thức độc quyền cho việc roaming giữa các node trong một ESS.

Khi một trạm chuyển từ AP cũ sang AP mới, thì AP mới sẽ chịu trách nhiệm đảm bảo rằng bất kỳ Bridge nào giữa 2 AP đều nhận biết được về vị trí mới của client. Phương thức thực hiện việc này là không được chỉ định trong chuẩn. Yêu cầu duy nhất là các phương thức triển khai phải đảm bảo các gói tin di chuyển một cách đúng đắn đến AP mới nơi có client. Chuẩn mới 802.11f đã giải quyết được vấn đề này và đưa ra giao thức Inter AP Protocol (IAPP).

(Còn tiếp)

Connectivity
Lớp MAC trong 802.11 chịu trách nhiệm kết nối client với AP. Khi một client đi vào vùng phủ sóng của một hay nhiều AP, client sẽ chọn một AP để kết nối với nó (còn gọi là gia nhập vào một BSS) dựa trên độ mạnh tín hiệu và tỷ lệ gói lỗi.

Khi đã kết nối được với một AP, client sẽ theo định kỳ thu thập tất cả các thông tin về các kênh 802.11 để đánh giá xem có AP nào khác cung cấp chất lượng tín hiệu tốt hơn hay không. Nếu client xác định được có một tín hiệu mạnh hơn từ một AP khác thì client sẽ Re-associate với AP mới và chuyển sang hoạt động cùng kênh với AP đó. Các client sẽ không cố gắng chuyển vùng cho đến khi độ mạnh tín hiệu rớt xuống dưới mức ngưỡng do nhà sản suất quy định.

Reassociaton
Reassociation thường xuất hiện bởi vì các trạm không dây thường xuyên di chuyển khỏi AP cũ là cho tín hiệu yếu dần. Reassociation cũng có thể xuất hiện do một sự thay đổi đặc điểm của radio (bộ phát sóng) trong tòa nhà, hay chỉ đơn giản là lưu lượng truyền thông của AP cũ quá cao. Trường hợp này còn được gọi là cân bằng tải (load balancing), vì chức năng chính của nó là phân phối tổng tải trong WLAN một cách hiệu quả nhất trên hạ tầng mạng không dây sẵn có.

Association và Re-association chỉ khác nhau ở cách sử dụng chúng. Association request frame được sử dụng khi gia nhập vào mạng lần đầu tiên. Re-association request frame được sử dụng khi roaming giữa các AP, nhờ đó mà AP mới biết được phải giao tiếp với AP cũ để nhận các frame đã được buffer ở AP cũ, và cũng để cho Distribution System biết được client đã di chuyển. Re-association được minh họa trong hình dưới đây.

http://i47.photobucket.com/albums/f185/hinhup/44-7-13.gif

Tiến trình Association và Reassociation một cách tự động cho phép người quản lý mạng cài đặt WLAN có vùng bao phủ rộng lớn bằng cách tạo ra một chuỗi các cell chồng (overlap) lên nhau trong toàn bộ khuôn viên campus. Để làm được việc này thì IT manager sẽ phải áp dụng phương pháp channel reuse (sử dụng lại các kênh), trong đó quan tâm đến việc cấu hình mỗi AP trên một kênh 802.11 DSSS không chồng (overlap) lên kênh hoạt động của AP láng giềng. Trong khi có đến 14 kênh overlap được định nghĩa trong 802.11 DSSS (chỉ 11 kênh được sử dụng ơ Mỹ) nhưng chỉ có 3 kênh (1, 6 và 11) là không overlap. Nếu 2 AP nằm trong vùng phủ sóng của nhau và sử dụng các kênh overlap thì chúng sẽ gây nhiễu lẫn nhau và làm giảm tổng băng thông sẵn có trong vùng overlap.

(còn tiếp)

Sử dụng VPN
Giải pháp VPN không dây thường được triển khai theo 2 dạng. Thứ nhất, một VPN server tập trung được cài đặt theo hướng upstream của AP. Server VPN này có thể là một giải pháp phần cứng độc quyền hay là một server với ứng dụng VPN chạy trên nó. Cả 2 loại server này đều có cùng mục đích và cung cấp cùng kiểu bảo mật và kết nối. Việc sử dụng các server VPN (đồng thời cũng hoạt động như là một gateway hay firewall) này giữa người sử dụng không dây và mạng lõi cung cấp một mức bảo mật tương tự như VPN có dây.

Cách tiếp cận thứ 2 là sử dụng một tập các server VPN phân tán. Một số nhà sản xuất cài đặt VPN server vào trong sản phẩm AP của họ. Giải pháp này sẽ cung cấp mức bảo mật cho văn phòng nhỏ và các tổ chức có kích thước trung bình mà không cần sử dụng một cơ chế xác thực bên ngoài nào (như RADIUS). Để làm tăng tính scalability các AP tích hợp VPN server này cũng hỗ trợ RADIUS.

Các tunnel sẽ được xây dựng từ máy trạm client đến VPN server như được minh họa trong hình dưới. Khi một user roaming thì nó sẽ roaming giữa các AP băng qua biên lớp 2 (layer 2 roaming). Tiến trình này là thông suốt đối với kết nối lớp 3. Tuy nhiên, nếu một tunnel được xây dựng đến AP hay server VPN băng qua biên lớp 3 (layer 3 roaming) thì một vài cơ chế đặc biệt phải được sử dụng để duy trì tunnel khi băng qua biên lớp 3 này.

http://i47.photobucket.com/albums/f185/hinhup/43-7-14.gif

Load Balancing
Những vùng đông đúc với nhiều người sử dụng và nhiều ứng dụng chiếm băng thông có thể đòi hỏi một kiến trúc nhiều cell (multi-cell). Trong một kiến trúc multi-cell, nhiều AP co-located có thể cùng phủ sóng một vùng tạo nên một vùng bao phủ chung làm tăng băng thông tổng cộng. Các máy trạm trong vùng bao phủ chung này sẽ tự động kết nối với AP có ít tải hơn và cung cấp chất lượng tín hiệu tốt hơn.

Như được minh họa trong hình dưới đây, các trạm được chia đều giữa 2 AP để share tải một cách công bằng. Tính hiệu quả sẽ đạt được tối đa bởi vì tất cả các AP đều hoạt động ở cùng một mức tải thấp. Cân bằng tải còn được biết đến như là chia sẽ tải và được cấu hình trên cả máy trạm lẫn AP trong hầu hết các trường hợp.

http://i47.photobucket.com/albums/f185/hinhup/40-7-17.gif

(còn tiếp)

V. Tính năng giám sát nguồn điện
Các client không dây hoạt động ở một trong 2 chế độ giám sát nguồn điện được xác định trong chuẩn 802.11. Các chế độ này bao gồm chế độ active, thường được gọi là CAM (Continuous Aware Mode) và chế độ power save, thường được gọi là PSP (power Save Polling). Việc tiết kiệm điện năng bằng cách sử dụng chế độ power save là đặc biệt quan trọng cho người dùng di động với laptop hay PDA chạy bằng pin. Việc kéo dài tuổi thọ của pin cho phép người sử dụng dùng thiết bị lâu hơn mà không cần phải nạp lại pin. Các card mạng WLAN có thể tiêu tốn một lượng điện năng đáng kể khi ở trong chế độ CAM, điều này chính là lý do tại sao tính năng tiết kiệm năng lượng lại được đưa vào chuẩn 802.11

1. Continuous Aware Mode (CAM)
CAM là một chế độ trong đó user sử dụng toàn bộ nguồn điện năng sẵn có và thường xuyên giao tiếp với AP. Bất kỳ một máy tính nào (desktop hay server) cắm vào nguồn điện AC đều hoạt động trong chế độ CAM. Trong những trường hợp này, không có một lý do gì mà PC card cần phải tiết kiệm điện năng cả.

2. Power Save Polling (PSP)
Việc sử dụng chế độ PSP cho phép client không dây đi vào trạng thái “ngủ”. Ở đây, ngủ có nghĩa là client thật sự tắt nguồn điện trong một khoảng thời gian rất ngắn (khoảng một phần nhỏ của 1 giây). Thời gian ngủ này là đủ để tiết kiệm được một lượng điện năng đáng kể cho client không dây. Đồng thời, nó cho phép client sử dụng laptop làm việc trong khoảng thời gian lâu hơn, tăng năng suất làm việc.

Khi sử dụng PSP, client không dây cư xử hoàn toàn khác nhau trong BSS (Basic Service Set) và IBSS (Independent BSS). Điểm tương đồng duy nhất trong cách cư xử trong BSS và IBSS là việc truyền và nhận Beacon.

Tiến trình hoạt động trong chế độ PSP (cả BSS và IBSS) được mô tả bên dưới. Hãy nhớ rằng, các tiến trình này có thể xuất hiện nhiều lần trong 1 giây. Điều này cho phép mạng WLAN duy trì kết nối của nó, nhưng đồng thời cũng sinh ra thêm một lượng overhead cho mạng. Admin nên xem xét overhead này khi hoạch định nhu cầu của user trên mạng WLAN.

(còn tiếp)

Chế độ PSP trong BSS (Basic Service Set)
Khi sử dụng PSP trong một BSS, trước tiên, máy trạm sẽ gởi một frame đến AP để báo cho AP biết rằng chúng sắp đi vào trạng thái “ngủ” (tạm thời tắt nguồn điện). AP sẽ ghi nhận lại các trạm đang ngủ. Sau đó, AP sẽ buffer (đệm) bất kỳ frame nào gởi đến cho các trạm đang ngủ. Traffic cho các trạm đang ngủ vẫn tiếp tục gởi đến AP nhưng AP không thể gởi nó đến cho các trạm đang ngủ được. Vì thế, các gói tin được đợi trong buffer dành cho trạm đang ngủ.

AP theo định kỳ sẽ gởi ra các Beacon. Các client (đã được đồng bộ hóa thời gian với AP) biết chính xác lúc nào thì nhận Beacon. Các client đang ngủ sẽ đánh thức receiver (bộ nhận tín hiệu) của chúng để lắng nghe các Beacon mà trong đó có chứa TIM (Traffic Indication Map = Bản đồ báo hiệu có traffic). Nếu client thấy chính nó được liệt kê trong TIM thì nó sẽ thức dậy và gởi 1 frame đến AP báo cho AP biết rằng nó đang thức và sẵn sàng nhận các gói tin đã được buffer. Khi client đã nhận xong các gói tin dành cho nó, client sẽ gởi 1 thông điệp đến AP báo hiệu rằng nó sắp trở lại trạng thái ngủ. Tiến trình này được lặp lại nhiều lần trong 1 giây. Vì thế nó gây ra một số overhead so với khi không sử dụng PSP

http://i47.photobucket.com/albums/f185/hinhup/39-7-18.gif

(còn tiếp)

PSP trong IBSS (Independent BSS)
Chế độ PSP trong IBSS hoạt động rất khác so với trong BSS. IBSS không có AP nên không có thiết bị nào để buffer các gói tin. Vì thế mọi các trạm phải buffer các gói tin được gởi từ chính nó đến các trạm khác trong mạng Ad-hoc. Các trạm sẽ luân phiên nhau gởi các Beacon sử dụng các phương thức khác nhau tùy thuộc vào nhà sản xuất.

Khi các trạm sử dụng chế độ tiết kiệm điện năng, sẽ có một khoảng thời gian được gọi là ATIM window. Trong khoảng thời gian này, mọi trạm đều thức và sẵn sàng nhận các data frame. Ad-hoc Traffic Indication Map (ATIM) là các gói tin unicast được sử dụng bởi các trạm để thông báo cho các trạm khác rằng có dữ liệu dành cho chúng và chúng nên thức giấc trong khoảng thời gian đủ để nhận lượng dữ liệu này. Các ATIM và Beacon đều được gởi trong suốt khoảng thời gian ATIM window.

Tiến trình các trạm gởi traffic cho nhau diễn ra như sau:
+ Các trạm được đồng bộ hóa với nhau thông qua các Beacon để chúng có thể cùng thức giấc trước khi ATIM window bắt đầu.

+ Khoảng thời gian ATIM window bắt đầu, các trạm gởi các Beacon. Sau đó, các trạm gởi các ATIM frame để thông báo cho các trạm khác có traffic buffer dành cho chúng.

+ Các trạm nhận ATIM trong suốt ATIM window sẽ thức giấc để nhận data frame. Nếu không có ATIM nào được nhận thì trạm sẽ đi vào trạng thái ngủ (khi ATIM window kết thúc).

+ ATIM window kết thúc, và các trạm bắt đầu truyền data frame. Sau khi nhận data frame, các trạm trở lại trạng thái ngủ và đợi khoảng thời gian ATIM window tiếp theo (để thức lại).

Nếu bạn là một nhà quản trị mạng WLAN thì bạn cần phải biết chức năng giám sát điện năng này sẽ ảnh hưởng như thế nào đến hiệu năng, tuổi thọ pin, broadcast traffic trong LAN … Trong ví dụ mô tả ở trên thì ảnh hưởng có thể là đáng kể.

http://i47.photobucket.com/albums/f185/hinhup/38-7-19.gif

(hết)