要理解当今最常用的无线LAN (WLAN)，可想想使用集线器的10BaseT 以太网，只是无线设备连接的是接人点( AP, Access Point)。这意味着WLAN 采用的是半双工通信:带宽由所有用户共享，且每个频道不支持多台设备同时信。

这并不算糟糕，只是不够好。鉴于当前大多数人都依赖于无线网络，这种网络必须风驰电掣地发展，才能满足快速增长的需求。好消息是情况确实如此，且同时确保了通信的安全。无线技术简介

元线网络形式多样，覆盖范围各不相同，提供的带宽也不同。当前，典型的无线网络是对以太网 LAN 的扩展，无线主机使用 MAC 地址、 地址等，就像有线 LAN 中的主机一样。图 显示了当 今简单的典型无线 LAN

然而，无线网络不仅仅是普通 LAN. 因为它们是无线的。无线网络的覆盖范围各不相同，从小范围的个域网( personal area network )到覆盖范围极大的广域网 WAN基本的无线设备

你现在可能还感觉不到这一点，事实上，简单的无线网络 (WLAN) 比有线局域网更简单，因为 它们需要的组件更少。要让基本的无线网络正常运行，只需两台主要设备 元线接入点和无线网卡 (N1C)。这也使安装无线网络容易得多，因为只需理解这两种组件就能安装。显然，无线网络越来越先进，也越来越复杂。无线接入点

在大多数有线网络中，都有诸如交换机等中央组件，它将主机连接起来，让它们能够彼此通信 无线网络亦如此，它们也包含将所有无线设备连接起来的组件，只是这种组件被称为无线接入点(AP)。无线接入点至少有一根天线，但为更好地接收信号，通常有两根天线;它还有一个以太网端口， 用于连接到有线网络。

接入点具有如下特点：它类似于有线网络中的交换机和集线器，充当无线工作站的中央连接点。鉴于无线网络的半双工特征， AP 更像集线器，虽然在当今的有线网络中，已难觅集线器的身影。AP 至少有一根天线，但通常有两根甚至更多AP 是到有线网络的桥梁，让无线工作站能够访问有线网络和因特网小型办公室/家庭办公室 (SOHO) AP 有两类:独立 AP 和无线路由器，它们可能(通常也确 实)提供 NAT DHCP 等功能

可将 AP 比作集线器(虽然这种类比不完全正确)，因为它不像交换机那样，让每条连接都是一个 独立的冲突域，但 AP 确实比集线器聪明。 AP 是一种转发设备，将网络数据流转发到有线主干或无线 区域，到有线网络的连接称为分发系统 (Distribution System, DS), AP 还保存无线帧中的 MAC 地址 信息。无线安全

默认情况下，接入点和客户端没有配置无线安全。制定 802.11 的委员会根本没有想到，元线主机 的数量有一天会超过有线主机，而我们正在向这一天迈进。另外，遗憾的是，与IPv4 一样，工程师和科学家没有制定适用于公司环境的足够健壮的安全标准。因此，为创建安全的无线网络，只能求助于专用的解决方案。我并非要指责标准委员会，只是我们遇到的安全问题也是由美国的安全标准出口问 题导致的。这个世界很复杂，安全解决方案亦如此。

1. 不限制接入

所有 Wi-Fi 认证的无线 LAN 产品都支持"不眼制接人"模式，在这种模式下，所有安全功能都关 闭了。虽然对于热点公共场所(如咖啡馆、大学校园和机场)来说，"不限制接入" (无安全措施)是 合适和受欢迎的，但根本不适合企业组织，甚至不适合私有家庭网络。

在企业环境中安装无线设备时，必须启用安全功能。

这些产品之所以支持"不限制接人"模式，旨在让任何人(甚至没有任何 IT 知识的人)只需购 买接人，点并插入有线电视或 ADSL 调制解调器，就能无线上网。这是一种市场营销策略，旨在简化设备 安装。但这并不意味着应保留默认设置，除非网络对公众开放，否则绝对不应这样做。

2.SSID、 WEP和MAC 地址验证

最初设计 802.11 的人确实提供了基本安全，这包括使用服务集标识符 (SSID )、开放或共享密钥 验证、静态有线等效保密 (Wired Equivalency Privacy , WEP) 以及可选的介质访问控制 (MAC) 址验证。昕起来安全措施好像很多，但都不能提供真正严格的安全解决方案，而都只适用于普通的家 庭网络。

SSID 是创建无线 LAN WLAN 系统中所有设备都必须知道的网络名称，如果不知道 SSID客户端就不能访问网络。问题是，默认情况下，接入点将通过信标 (beacon) 每秒广播其 SSID 多次。即使关闭 SSID 广播，坏人也可通过监控网络并等待客户端对接入点的响应来获悉 SSID 为什么呢?因为根据 802.11 规范，这种信息必须以明文的方式发送。