吳志森

（泉州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)電教中心，福建 泉州 362000）

近年來(lái)，無(wú)線局域網(wǎng)（WLAN）技術(shù)取得了巨大進(jìn)步。無(wú)線網(wǎng)絡(luò)架構(gòu)的普遍存在使得該系統(tǒng)成為業(yè)界首選的數(shù)據(jù)通信媒介之一。802.11ac 是當(dāng)前大多數(shù)組織部署的無(wú)線通信標(biāo)準(zhǔn)之一，是IEEE 制定的Wi-Fi（802.11）家族標(biāo)準(zhǔn)的一部分。802.11ac 默認(rèn)使用頻率為5 GHz，并且與早期2.4 GHz 頻率相兼容（如802.11n）。802.11ac 標(biāo)準(zhǔn)擴(kuò)展了其前身在MAC 層的功能［1］。802.11ac 標(biāo)準(zhǔn)中的一些增加功能包括：1）256 正交幅度調(diào)制（QAM）；2）更大的信道帶寬為80 MHz 和160 MHz；3）802.11ac 接入點(diǎn)使用八個(gè)空間流可實(shí)現(xiàn)物理層的理論最大聚合比特率6.7 Gbp；4）波速成形（任何使用多天線的設(shè)備都能夠在任意時(shí)間內(nèi)對(duì)任何其他設(shè)備進(jìn)行波速成形）；5）多用戶的多輸入輸出（MU-MIMO）；6）延長(zhǎng)通道綁定。

與有線網(wǎng)絡(luò)相比，無(wú)線網(wǎng)絡(luò)由于其特殊性易受各種安全威脅的攻擊。大多數(shù)無(wú)線局域網(wǎng)以三種安全模式運(yùn)行：完全不認(rèn)證、個(gè)人安全認(rèn)證和企業(yè)安全認(rèn)證。802.11i 標(biāo)準(zhǔn)事實(shí)上是用于保護(hù)無(wú)線局域網(wǎng)標(biāo)準(zhǔn)。Wi-Fi 保護(hù)訪問(wèn)版本2（WPA2）廣泛應(yīng)用于802.11i 的實(shí)現(xiàn)中。在企業(yè)安全模式下，服務(wù)器需要為連接的客戶機(jī)提供身份驗(yàn)證，授權(quán)和審計(jì)服務(wù)［2］。在本研究中，使用在Linux 上運(yùn)行的遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)（RADIUS）服務(wù)器來(lái)實(shí)現(xiàn)企業(yè)安全協(xié)議。我們?cè)贗Pv4 和IPv6 下，分別通過(guò)運(yùn)行幾個(gè)測(cè)試WLAN的實(shí)驗(yàn)，來(lái)研究上述安全模式對(duì)802.11ac 無(wú)線局域網(wǎng)下性能的影響程度。

1 IEEE 802.11ac 技術(shù)研究

IEEE 802.11ac 是一種新的無(wú)線技術(shù)標(biāo)準(zhǔn)，旨在提高傳輸速度，提高吞吐量，降低延遲并提高無(wú)線設(shè)備的功率［3］。作為一個(gè)相對(duì)較新的標(biāo)準(zhǔn)，802.11ac的研究是比較基礎(chǔ)的，并引起了廣泛研究興趣。新西蘭理工學(xué)院的一項(xiàng)研究調(diào)查了IEEE 802.11ac在Wi-Fi 通信中的信號(hào)強(qiáng)度性能，并得出結(jié)論，與IEEE 802.11n 相比，該技術(shù)可以在長(zhǎng)達(dá)1 km 的距離內(nèi)提供良好的信號(hào)質(zhì)量。對(duì)室內(nèi)WLAN 的802.11ac特性的性能和公平性進(jìn)行了實(shí)證研究。該研究評(píng)估了WLAN 中吞吐量，抖動(dòng)和公平性的可實(shí)現(xiàn)數(shù)據(jù)值的性能特征。研究結(jié)果表明，與802.11a/n 相比，802.11ac 實(shí)現(xiàn)了更高的吞吐量，通道更寬。進(jìn)一步證明了聚合MAC 服務(wù)數(shù)據(jù)單元（A-MSDU），聚合MAC 協(xié)議數(shù)據(jù)單元（A-MPDU）和兩個(gè)單元的混合在802.11n 中的表現(xiàn)優(yōu)于類似的配置［4］。

2 環(huán)境搭建

測(cè)試無(wú)線局域網(wǎng)的運(yùn)行實(shí)驗(yàn)環(huán)境如圖1 所示。在圖1 中，客戶機(jī)1 和客戶機(jī)2 通過(guò)無(wú)線路由器和服務(wù)器進(jìn)行相互通信。實(shí)驗(yàn)涉及在客戶機(jī)1 和客戶機(jī)2 之間以及客戶機(jī)和Web 服務(wù)器之間數(shù)據(jù)傳輸。根據(jù)實(shí)驗(yàn)運(yùn)行，服務(wù)器（圖1）用作RADIUS 服務(wù)器或Web 服務(wù)器。

對(duì)于完全不認(rèn)證的實(shí)驗(yàn)，連接設(shè)備不需要任何安全憑據(jù)就可以接入無(wú)線網(wǎng)絡(luò)。因此，無(wú)安全憑據(jù)網(wǎng)絡(luò)是一個(gè)開(kāi)放的網(wǎng)絡(luò)。個(gè)人安全認(rèn)證模式使用AES 加密設(shè)置無(wú)線接入點(diǎn)以要求連接設(shè)備輸入密碼用于身份驗(yàn)證和流量控制。在企業(yè)安全認(rèn)證模式中，客戶端必須輸入用戶名和密碼，以獲取訪問(wèn)權(quán)限。在授予客戶端訪問(wèn)之前，訪問(wèn)點(diǎn)將通過(guò)RADIUS 服務(wù)器驗(yàn)證這些憑據(jù)。RADIUS 服務(wù)器使用質(zhì)詢握手認(rèn)證協(xié)議（CHAP）進(jìn)行身份驗(yàn)證［5］。

圖1 實(shí)驗(yàn)測(cè)試平臺(tái)TOP

網(wǎng)絡(luò)的性能指標(biāo)一般是用吞吐量、延遲、抖動(dòng)、丟失率和連接時(shí)長(zhǎng)來(lái)評(píng)價(jià)衡量。在Web 服務(wù)器上建立網(wǎng)站并允許客戶機(jī)訪問(wèn)該網(wǎng)站。使用Wireshark 測(cè)量客戶機(jī)與Web 服務(wù)器成功建立TCP 連接的連接時(shí)間。IPerf3 是一個(gè)開(kāi)源流量分析儀，用來(lái)測(cè)量網(wǎng)絡(luò)性能的工具。它支持調(diào)節(jié)各種參數(shù)，比如發(fā)送持續(xù)時(shí)間，發(fā)送/接收緩存，通信協(xié)議，并記錄下感興趣的參數(shù)［6］。對(duì)于每個(gè)測(cè)量的性能指標(biāo)，我們進(jìn)行30 次實(shí)驗(yàn)，每次持續(xù)時(shí)間為30 s，并記錄平均值。連接時(shí)間運(yùn)行相關(guān)的實(shí)驗(yàn)之前，我們清除了與Web 服務(wù)器先前任何TCP 連接跟蹤的瀏覽器緩存，以避免不準(zhǔn)確的結(jié)果。無(wú)線路由器配置為使用5 GHz 頻率范圍，表1 提供了所用設(shè)備的技術(shù)參數(shù)。

表1 技術(shù)參數(shù)

3 驗(yàn)證與分析

每個(gè)實(shí)驗(yàn)?zāi)繕?biāo)場(chǎng)景，使用三種安全模式：完全不認(rèn)證—不使用任何加密、個(gè)人安全認(rèn)證—使用WPA2/AES 以及使用WPA2/AES 和RADIUS 服務(wù)器相結(jié)合的企業(yè)安全認(rèn)證。對(duì)于這些場(chǎng)景中的每一個(gè)，IPv4 和IPv6 流量與TCP 和UDP 一起用作傳輸層協(xié)議，僅針對(duì)UDP 流量測(cè)量丟失率和抖動(dòng)［7］。

3.1 吞吐量

圖2、3、4、5 和6 表示使用不同的有效載荷大小并改變所使用的安全模式類型和網(wǎng)絡(luò)層協(xié)議（IPv4或IPv6）的吞吐量測(cè)試結(jié)果。在圖2 和圖3 中，可以觀察到，不管部署任何安全機(jī)制，吞吐量隨TCP和UDP 流量的有效載荷大小的增加而增加。

圖4 和圖5 分別描述了IPv6 TCP 和UDP 吞吐量。從圖中可以看出，IPv6 流量與IPv4 具有相似的特征。圖6 中，我們比較了各種安全模式和不同網(wǎng)絡(luò)層協(xié)議的吞吐量。這個(gè)圖表是對(duì)吞吐量實(shí)驗(yàn)結(jié)果的總結(jié)?？梢钥闯鰺o(wú)論哪一類型的協(xié)議部署，在網(wǎng)絡(luò)中未部署安全性時(shí)，吞吐量通常較高。因此，在完全不認(rèn)證連接情況下，與個(gè)人安全認(rèn)證相比，WLAN 中吞吐量經(jīng)歷1.1%到6.7%改進(jìn)。與企業(yè)安全認(rèn)證相比，性能改進(jìn)在2.2%到8.2%之間。根據(jù)所使用的傳輸層協(xié)議不同，IPv6 流量與IPv4 流量在吞吐量改進(jìn)百分比范圍在3%到5%之間。IPv6 比IPv4 的性能相對(duì)較好，可歸因于IPv6 報(bào)頭的簡(jiǎn)單性質(zhì)，這降低了處理的開(kāi)銷。

圖2 IPv4 TCP 吞吐量

圖3 IPv4 UDP 吞吐量

圖4 IPv6 TCP 吞吐量

圖5 IPv6 UDP 吞吐量

圖6 不同安全模式下的吞吐量比較

3.2 延遲

延遲在這里被定義為在兩個(gè)客戶機(jī)之間傳輸數(shù)據(jù)所需的時(shí)間。這包括客戶機(jī)之間建立TCP 或UDP通信流連接所需花費(fèi)的時(shí)間。圖7、8、9、10 和11為我們的測(cè)試網(wǎng)絡(luò)提供延遲相關(guān)數(shù)據(jù)。對(duì)于UDP 和TCP 流量，如圖7、8、9、10 和11，延遲隨著有效載荷大小的增加而增加。IPv4 和IPv6 數(shù)據(jù)也是如此。也可以一致推斷，當(dāng)WLAN 無(wú)任何安全加密的話，網(wǎng)絡(luò)往往在延遲方面表現(xiàn)更好。

圖7 IPv4 TCP 延遲

圖8 IPv4 UDP 延遲

圖9 IPv6 TCP 延遲

在圖11 中，我們比較各種安全設(shè)置下的延遲，以確定各種性能參數(shù)和協(xié)議對(duì)延遲的影響程度?；趫D11 中的結(jié)果，當(dāng)使用TCP 作為傳輸層協(xié)議時(shí)，IPv6 相對(duì)于IPv4 在延遲方面性能提高了5%。同樣，對(duì)于UDP 來(lái)說(shuō)，IPv6 對(duì)IPv4 的性能提升是3%。在安全性方面，對(duì)于完全不認(rèn)證的TCP 流量，其性能比個(gè)人安全認(rèn)證提高了3.3%～4.5%，比企業(yè)安全認(rèn)證提高了5.7%～8.8%。對(duì)于UDP 流量，在完全不認(rèn)證的情況下，與個(gè)人安全認(rèn)證相比，實(shí)現(xiàn)了2.8%～7.9%的提高，同時(shí)觀察到了比企業(yè)安全認(rèn)證提高8.0%～11%。

圖11 不同安全模式下的時(shí)延比較

3.3 抖動(dòng)

沒(méi)有背景流量或擁塞的測(cè)試平臺(tái)，其相對(duì)簡(jiǎn)單的性質(zhì)解釋了抖動(dòng)的低值。當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，這些結(jié)果可能會(huì)發(fā)生顯著變化。此外如圖12 所示，對(duì)于抖動(dòng)，使用IPv4 流量相對(duì)于IPv6 性能降低3%。完全不認(rèn)證相對(duì)于個(gè)人安全認(rèn)證的安全記錄性能提高1.3%～2.8%，而相對(duì)于使用企業(yè)安全認(rèn)證的性能提高到4%～5.6%。

圖12 不同安全模式下的抖動(dòng)比較

3.4 連接時(shí)間

我們將連接時(shí)間定義為通過(guò)測(cè)量來(lái)自客戶端的SYN 和ACK 之間的延遲來(lái)建立TCP 連接所需的時(shí)間。在圖13 中，我們發(fā)現(xiàn)在完全不認(rèn)證和個(gè)人安全認(rèn)證的情況下，連接時(shí)間沒(méi)有顯著差異。但是，使用企業(yè)安全認(rèn)證時(shí)，增加了大約14.2%～18.6%。這是由于RADIUS 服務(wù)器對(duì)客戶端進(jìn)行身份驗(yàn)證連接導(dǎo)致時(shí)間的增加。

圖13 不同安全模式下的連接時(shí)間比較

3.5 丟失率

丟失率顯示了類似其他性能指標(biāo)趨勢(shì)，如圖14所示。與其他性能指標(biāo)不同的是，在某些情況下，報(bào)告的性能改進(jìn)在某些情況下十分重要。特別是，完全不認(rèn)證超過(guò)使用企業(yè)安全認(rèn)證，丟失率實(shí)現(xiàn)了16.7%～21.4%的改進(jìn)。值得注意的是，從圖14 可以看出，對(duì)于IPv6 流量，部署個(gè)人安全認(rèn)證時(shí)相對(duì)于完全不認(rèn)證的丟失率沒(méi)有發(fā)生任何變化?？赡苄枰M(jìn)一步的實(shí)驗(yàn)來(lái)確定該特定結(jié)果的有效性或其他方面。

圖14 不同安全模式下的丟失率比較

4 結(jié)論

通過(guò)測(cè)量吞吐量、延遲、抖動(dòng)、丟失率和連接時(shí)間來(lái)研究IPV4/IPV6 下的各種安全模式對(duì)802.11ac WLAN 性能的影響。結(jié)果表明，在802.11ac WLAN上實(shí)施各種安全機(jī)制時(shí)，不管是使用IPV4 還是IPV6協(xié)議，性能都會(huì)略有下降。對(duì)于吞吐量來(lái)說(shuō)，根據(jù)實(shí)現(xiàn)的安全類型和使用的傳輸和網(wǎng)絡(luò)工作層協(xié)議，性能降低了1.1%～8.2%。相應(yīng)的，當(dāng)實(shí)驗(yàn)網(wǎng)絡(luò)完全不認(rèn)證時(shí)，測(cè)試到延遲性能改善在2.8%～7.9%之間。抖動(dòng)、丟失率和連接時(shí)間在性能上也提高了1.3%～21.4%之間。值得注意的是，盡管這些實(shí)驗(yàn)結(jié)果對(duì)實(shí)驗(yàn)WLAN 來(lái)說(shuō)可能是微不足道，但隨著WLAN 復(fù)雜性的增加，WLAN 中可能會(huì)遇到顯著的性能問(wèn)題。