IPV4/IPV6 協(xié)議下安全性對802.11ac 網(wǎng)絡(luò)性能影響研究

吳志森

（泉州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)電教中心，福建 泉州 362000）

近年來，無線局域網(wǎng)（WLAN）技術(shù)取得了巨大進(jìn)步。無線網(wǎng)絡(luò)架構(gòu)的普遍存在使得該系統(tǒng)成為業(yè)界首選的數(shù)據(jù)通信媒介之一。802.11ac 是當(dāng)前大多數(shù)組織部署的無線通信標(biāo)準(zhǔn)之一，是IEEE 制定的Wi-Fi（802.11）家族標(biāo)準(zhǔn)的一部分。802.11ac 默認(rèn)使用頻率為5 GHz，并且與早期2.4 GHz 頻率相兼容（如802.11n）。802.11ac 標(biāo)準(zhǔn)擴(kuò)展了其前身在MAC 層的功能［1］。802.11ac 標(biāo)準(zhǔn)中的一些增加功能包括：1）256 正交幅度調(diào)制（QAM）；2）更大的信道帶寬為80 MHz 和160 MHz；3）802.11ac 接入點使用八個空間流可實現(xiàn)物理層的理論最大聚合比特率6.7 Gbp；4）波速成形（任何使用多天線的設(shè)備都能夠在任意時間內(nèi)對任何其他設(shè)備進(jìn)行波速成形）；5）多用戶的多輸入輸出（MU-MIMO）；6）延長通道綁定。

與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)由于其特殊性易受各種安全威脅的攻擊。大多數(shù)無線局域網(wǎng)以三種安全模式運行：完全不認(rèn)證、個人安全認(rèn)證和企業(yè)安全認(rèn)證。802.11i 標(biāo)準(zhǔn)事實上是用于保護(hù)無線局域網(wǎng)標(biāo)準(zhǔn)。Wi-Fi 保護(hù)訪問版本2（WPA2）廣泛應(yīng)用于802.11i 的實現(xiàn)中。在企業(yè)安全模式下，服務(wù)器需要為連接的客戶機(jī)提供身份驗證，授權(quán)和審計服務(wù)［2］。在本研究中，使用在Linux 上運行的遠(yuǎn)程用戶撥號認(rèn)證服務(wù)（RADIUS）服務(wù)器來實現(xiàn)企業(yè)安全協(xié)議。我們在IPv4 和IPv6 下，分別通過運行幾個測試WLAN的實驗，來研究上述安全模式對802.11ac 無線局域網(wǎng)下性能的影響程度。

1 IEEE 802.11ac 技術(shù)研究

IEEE 802.11ac 是一種新的無線技術(shù)標(biāo)準(zhǔn)，旨在提高傳輸速度，提高吞吐量，降低延遲并提高無線設(shè)備的功率［3］。作為一個相對較新的標(biāo)準(zhǔn)，802.11ac的研究是比較基礎(chǔ)的，并引起了廣泛研究興趣。新西蘭理工學(xué)院的一項研究調(diào)查了IEEE 802.11ac在Wi-Fi 通信中的信號強(qiáng)度性能，并得出結(jié)論，與IEEE 802.11n 相比，該技術(shù)可以在長達(dá)1 km 的距離內(nèi)提供良好的信號質(zhì)量。對室內(nèi)WLAN 的802.11ac特性的性能和公平性進(jìn)行了實證研究。該研究評估了WLAN 中吞吐量，抖動和公平性的可實現(xiàn)數(shù)據(jù)值的性能特征。研究結(jié)果表明，與802.11a/n 相比，802.11ac 實現(xiàn)了更高的吞吐量，通道更寬。進(jìn)一步證明了聚合MAC 服務(wù)數(shù)據(jù)單元（A-MSDU），聚合MAC 協(xié)議數(shù)據(jù)單元（A-MPDU）和兩個單元的混合在802.11n 中的表現(xiàn)優(yōu)于類似的配置［4］。

2 環(huán)境搭建

測試無線局域網(wǎng)的運行實驗環(huán)境如圖1 所示。在圖1 中，客戶機(jī)1 和客戶機(jī)2 通過無線路由器和服務(wù)器進(jìn)行相互通信。實驗涉及在客戶機(jī)1 和客戶機(jī)2 之間以及客戶機(jī)和Web 服務(wù)器之間數(shù)據(jù)傳輸。根據(jù)實驗運行，服務(wù)器（圖1）用作RADIUS 服務(wù)器或Web 服務(wù)器。

對于完全不認(rèn)證的實驗，連接設(shè)備不需要任何安全憑據(jù)就可以接入無線網(wǎng)絡(luò)。因此，無安全憑據(jù)網(wǎng)絡(luò)是一個開放的網(wǎng)絡(luò)。個人安全認(rèn)證模式使用AES 加密設(shè)置無線接入點以要求連接設(shè)備輸入密碼用于身份驗證和流量控制。在企業(yè)安全認(rèn)證模式中，客戶端必須輸入用戶名和密碼，以獲取訪問權(quán)限。在授予客戶端訪問之前，訪問點將通過RADIUS 服務(wù)器驗證這些憑據(jù)。RADIUS 服務(wù)器使用質(zhì)詢握手認(rèn)證協(xié)議（CHAP）進(jìn)行身份驗證［5］。

圖1 實驗測試平臺TOP

網(wǎng)絡(luò)的性能指標(biāo)一般是用吞吐量、延遲、抖動、丟失率和連接時長來評價衡量。在Web 服務(wù)器上建立網(wǎng)站并允許客戶機(jī)訪問該網(wǎng)站。使用Wireshark 測量客戶機(jī)與Web 服務(wù)器成功建立TCP 連接的連接時間。IPerf3 是一個開源流量分析儀，用來測量網(wǎng)絡(luò)性能的工具。它支持調(diào)節(jié)各種參數(shù)，比如發(fā)送持續(xù)時間，發(fā)送/接收緩存，通信協(xié)議，并記錄下感興趣的參數(shù)［6］。對于每個測量的性能指標(biāo)，我們進(jìn)行30 次實驗，每次持續(xù)時間為30 s，并記錄平均值。連接時間運行相關(guān)的實驗之前，我們清除了與Web 服務(wù)器先前任何TCP 連接跟蹤的瀏覽器緩存，以避免不準(zhǔn)確的結(jié)果。無線路由器配置為使用5 GHz 頻率范圍，表1 提供了所用設(shè)備的技術(shù)參數(shù)。

表1 技術(shù)參數(shù)

3 驗證與分析

每個實驗?zāi)繕?biāo)場景，使用三種安全模式：完全不認(rèn)證—不使用任何加密、個人安全認(rèn)證—使用WPA2/AES 以及使用WPA2/AES 和RADIUS 服務(wù)器相結(jié)合的企業(yè)安全認(rèn)證。對于這些場景中的每一個，IPv4 和IPv6 流量與TCP 和UDP 一起用作傳輸層協(xié)議，僅針對UDP 流量測量丟失率和抖動［7］。

3.1 吞吐量

圖2、3、4、5 和6 表示使用不同的有效載荷大小并改變所使用的安全模式類型和網(wǎng)絡(luò)層協(xié)議（IPv4或IPv6）的吞吐量測試結(jié)果。在圖2 和圖3 中，可以觀察到，不管部署任何安全機(jī)制，吞吐量隨TCP和UDP 流量的有效載荷大小的增加而增加。

圖4 和圖5 分別描述了IPv6 TCP 和UDP 吞吐量。從圖中可以看出，IPv6 流量與IPv4 具有相似的特征。圖6 中，我們比較了各種安全模式和不同網(wǎng)絡(luò)層協(xié)議的吞吐量。這個圖表是對吞吐量實驗結(jié)果的總結(jié)。可以看出無論哪一類型的協(xié)議部署，在網(wǎng)絡(luò)中未部署安全性時，吞吐量通常較高。因此，在完全不認(rèn)證連接情況下，與個人安全認(rèn)證相比，WLAN 中吞吐量經(jīng)歷1.1%到6.7%改進(jìn)。與企業(yè)安全認(rèn)證相比，性能改進(jìn)在2.2%到8.2%之間。根據(jù)所使用的傳輸層協(xié)議不同，IPv6 流量與IPv4 流量在吞吐量改進(jìn)百分比范圍在3%到5%之間。IPv6 比IPv4 的性能相對較好，可歸因于IPv6 報頭的簡單性質(zhì)，這降低了處理的開銷。

圖2 IPv4 TCP 吞吐量

圖3 IPv4 UDP 吞吐量

圖4 IPv6 TCP 吞吐量

圖5 IPv6 UDP 吞吐量

圖6 不同安全模式下的吞吐量比較

3.2 延遲

延遲在這里被定義為在兩個客戶機(jī)之間傳輸數(shù)據(jù)所需的時間。這包括客戶機(jī)之間建立TCP 或UDP通信流連接所需花費的時間。圖7、8、9、10 和11為我們的測試網(wǎng)絡(luò)提供延遲相關(guān)數(shù)據(jù)。對于UDP 和TCP 流量，如圖7、8、9、10 和11，延遲隨著有效載荷大小的增加而增加。IPv4 和IPv6 數(shù)據(jù)也是如此。也可以一致推斷，當(dāng)WLAN 無任何安全加密的話，網(wǎng)絡(luò)往往在延遲方面表現(xiàn)更好。

圖7 IPv4 TCP 延遲

圖8 IPv4 UDP 延遲

圖9 IPv6 TCP 延遲

在圖11 中，我們比較各種安全設(shè)置下的延遲，以確定各種性能參數(shù)和協(xié)議對延遲的影響程度?；趫D11 中的結(jié)果，當(dāng)使用TCP 作為傳輸層協(xié)議時，IPv6 相對于IPv4 在延遲方面性能提高了5%。同樣，對于UDP 來說，IPv6 對IPv4 的性能提升是3%。在安全性方面，對于完全不認(rèn)證的TCP 流量，其性能比個人安全認(rèn)證提高了3.3%～4.5%，比企業(yè)安全認(rèn)證提高了5.7%～8.8%。對于UDP 流量，在完全不認(rèn)證的情況下，與個人安全認(rèn)證相比，實現(xiàn)了2.8%～7.9%的提高，同時觀察到了比企業(yè)安全認(rèn)證提高8.0%～11%。

圖11 不同安全模式下的時延比較

3.3 抖動

沒有背景流量或擁塞的測試平臺，其相對簡單的性質(zhì)解釋了抖動的低值。當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大時，這些結(jié)果可能會發(fā)生顯著變化。此外如圖12 所示，對于抖動，使用IPv4 流量相對于IPv6 性能降低3%。完全不認(rèn)證相對于個人安全認(rèn)證的安全記錄性能提高1.3%～2.8%，而相對于使用企業(yè)安全認(rèn)證的性能提高到4%～5.6%。

圖12 不同安全模式下的抖動比較

3.4 連接時間

我們將連接時間定義為通過測量來自客戶端的SYN 和ACK 之間的延遲來建立TCP 連接所需的時間。在圖13 中，我們發(fā)現(xiàn)在完全不認(rèn)證和個人安全認(rèn)證的情況下，連接時間沒有顯著差異。但是，使用企業(yè)安全認(rèn)證時，增加了大約14.2%～18.6%。這是由于RADIUS 服務(wù)器對客戶端進(jìn)行身份驗證連接導(dǎo)致時間的增加。

圖13 不同安全模式下的連接時間比較

3.5 丟失率

丟失率顯示了類似其他性能指標(biāo)趨勢，如圖14所示。與其他性能指標(biāo)不同的是，在某些情況下，報告的性能改進(jìn)在某些情況下十分重要。特別是，完全不認(rèn)證超過使用企業(yè)安全認(rèn)證，丟失率實現(xiàn)了16.7%～21.4%的改進(jìn)。值得注意的是，從圖14 可以看出，對于IPv6 流量，部署個人安全認(rèn)證時相對于完全不認(rèn)證的丟失率沒有發(fā)生任何變化?？赡苄枰M(jìn)一步的實驗來確定該特定結(jié)果的有效性或其他方面。

圖14 不同安全模式下的丟失率比較

4 結(jié)論

通過測量吞吐量、延遲、抖動、丟失率和連接時間來研究IPV4/IPV6 下的各種安全模式對802.11ac WLAN 性能的影響。結(jié)果表明，在802.11ac WLAN上實施各種安全機(jī)制時，不管是使用IPV4 還是IPV6協(xié)議，性能都會略有下降。對于吞吐量來說，根據(jù)實現(xiàn)的安全類型和使用的傳輸和網(wǎng)絡(luò)工作層協(xié)議，性能降低了1.1%～8.2%。相應(yīng)的，當(dāng)實驗網(wǎng)絡(luò)完全不認(rèn)證時，測試到延遲性能改善在2.8%～7.9%之間。抖動、丟失率和連接時間在性能上也提高了1.3%～21.4%之間。值得注意的是，盡管這些實驗結(jié)果對實驗WLAN 來說可能是微不足道，但隨著WLAN 復(fù)雜性的增加，WLAN 中可能會遇到顯著的性能問題。