第一篇:局域网安全毕业论文
论文关键词:计算机网络 网络安全 局域网安全 广域网
论文摘要:随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫。
1.当前局域网安全形势
1.1 计算机网络的定义
计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。[①]
计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作。就局域网而言,通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。
1.2 网络安全定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。[②]
1.3 局域网安全
局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。
1.3.1 来自互联网的安全威胁
局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络I P 地址、应用操作系统的类型、开放的T C P 端口号、系统用来保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。
1.3.2 来自局域网内部的安全威胁
内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的安全威胁。
1.4 局域网当前形势及面临的问题
随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。
根据中国互联网信息中心2006年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。
面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。
2.常用局域网的攻击方法
2.1 ARP欺骗
2.1.1 ARP协议
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址IA——物理地址PA),请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
假如我们有两个网段、三台主机、两个网关、分别是:
主机名 IP地址 MAC地址
网关1 192.168.1.1 01-01-01-01-01-01
主机A 192.168.1.2 02-02-02-02-02-02
主机B 192.168.1.3 03-03-03-03-03-03
网关2 10.1.1.1 04-04-04-04-04-04
主机C 10.1.1.2 05-05-05-05-05-05
假如主机A要与主机B通讯,它首先会通过网络掩码比对,确认出主机B是否在自己同一网段内,如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,即目的MAC地址是全1的广播询问帧,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的话,必须作出应答,回答―B的MAC地址是…‖的单播应答帧,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到应答帧后,把―192.168.1.3 03-03-03-03-03-03 动态‖写入ARP表。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。
如果是非局域网内部的通讯过程,假如主机A需要和主机C进行通讯,它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通讯,然后再由网关1通过路由将数据包送到网关2,网关2收到这个数据包后发现是送给主机C(10.1.1.2)的,它就会检查自己的ARP缓存(没错,网关一样有自己的ARP缓存),看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址将数据转发给主机C。
2.1.2 ARP欺骗原理
在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机A与主机C之间的通讯只通过网关1和网关2,像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03,同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03,同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时,它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关1,当从主机C返回的数据包到达网关1后,网关1也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通讯,这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。
2.1.3 ARP病毒清除
感染病毒后,需要立即断开网络,以免影响其他电脑使用。重新启动到DOS模式下,用杀毒软件进行全面杀毒。
临时处理对策:
步骤
一、能上网情况下,输入命令arp –a,查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤
二、如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。输入命令:arp –s,网关IP 网关MAC手工绑定在计算机关机重开机后就会失效,需要再绑定。可以把该命令放在autoexec.bat中,每次开机即自动运行。
2.2 网络监听
2.2.1 网络监听的定义
众所周知,电话可以进行监听,无线电通讯可以监听,而计算机网络使用的数字信号在线路上传输时,同样也可以监听。网络监听也叫嗅探器,其英文名是Sniffer,即将网络上传输的数据捕获并进行分析的行为。[③]
网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
2.2.2 网络监听的基本原理
局域网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。
2.2.3 网络监听的检测
2.2.3.1 在本地计算机上进行检测
(1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP 探测技术。也可以编写一些程序来实现。在Linux 下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。
(2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在Windows系统下,按下Ctrl+Alt+Del可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。
2.2.3.2 在其它计算机上进行检测
(1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。
网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信息包,从而导致信息包丢包率提高。
网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。
机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以用icmp echo delay 来判断和比较它。
(2)PING 法。这种检测原理基于以太网的数据链路层和TCP/IP 网络层的实现,是一种非常有效的测试方法。
ping法的原理:如果一个以太网的数据包的目的MAC 地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入TCP/IP 网络层;进入TCP/IP 网络层的数据包,如果解析该包后,发现这是一个包含本机ICMP 回应请示的TCP 包(PING 包),则网络层向该包的发送主机发送ICMP 回应。
我们可以构造一个PING 包,包含正确的IP 地址和错误的MAC 地址,其中IP 地址是可疑主机的IP地址,MAC 地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃,TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的MAC 地址,该非法包会被数据链路层接收而进入上层的TCP/IP 网络层,TCP/IP 网络层将对这个非法的PING 包产生回应,从而暴露其工作模式。
使用 PING 方法的具体步骤及结论如下:
① 假设可疑主机的IP 地址为192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。
② 稍微修改可疑主机的MAC 地址,假设改成00-E0-4C-3A-4B-A4。
③ 向可疑主机发送一个PING 包,包含它的IP 和改动后的MAC 地址。
④ 没有被监听的主机不能够看到发送的数据包,因为正常的主机检查这个数据包,比较数据包的MAC 地址与自己的MAC 地址不相符,则丢弃这个数据包,不产生回应。
⑤ 如果看到回应,说明数据包没有被丢弃,也就是说,可疑主机被监听了。
(3)ARP 法。除了使用PING 进行监测外,还可以利用ARP 方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包,如果局域网内的某个主机以自己的IP 地址响应了这个ARP 请求,那么就可以判断它很可能就处于网络监听模式了。
(4)响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会较大。
2.2.4 网络监听的防范措施
为了防止网络上的主机被监听,有多种技术手段,可以归纳为以下三类。
第一种是预防,监听行为要想发生,一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行监听,从而收集以网络内重要的数据。因此,要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯,不随意下载和使用来历不明的软件,及时给计算机打上补丁程序,安装防火墙等措施,涉及到国家安全的部门还应该有防电辐射技术,干扰技术等等,防止数据被监听。
二是被动防御,主要是采取数据加密技术,数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输,容易辨认。一旦口令被截获,入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后,监听器依然可以捕获传送的信息,但显示的是乱码。使用加密技术,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一,但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟,加密技术越强,网络速度就越慢。只有很重要的信息才采用加密技术进行保护。
三是主动防御,主要是使用安全的拓扑结构和利用交换机划分VLAN,这也是限制网络监听的有效方法,这样的监听行为只能发生在一个虚拟网中,最大限度地降低了监听的危害,但需要增加硬件设备的开支,实现起来要花费不少的钱。
3.无线局域网安全威胁
3.1 非授权访问
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以,未授权实体可以从外部或内部进入网络,浏览存放在网络上的信息;另外,也可以利用该网络作为攻击第三方的出发点,对移动终端发动攻击。而且,IEEE 802.11标准采用单向认证机制,只要求STA向AP进行认证,不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击,向AP发送大量的认证请求帧,从而导致AP拒绝服务。
3.2 敏感信息泄露
WLAN物理层的信号是无线、全方位的空中传播,开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求,只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包,对网络通信进行分析,从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。
3.3 WEB缺陷威胁
有线等效保密WEP是IEEE 802.11无线局域网标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改,它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文,为了加密,WEP要求所有无线网络连接共享一个密钥。实际上,网络只使用一个或几个密钥,也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流,确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用,使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值, 假设网络流量是11M, 传输2000字节的包,在7个小时左右, IV 就会重用。CRC-32不是一个很适合WEP的完整性校验, 即使部分数据以及CRC-32校验码同时被修改也无法校验出来。
3.4 无线局域网的安全措施
3.4.1 阻止非法用户的接入
(1)基于服务设置标识符(SSID)防止非法用户接入
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP 设置基于MAC 地址的Access Control(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3.4.2 实行动态加密
动态加密技术是基于对称加密和非对称加密的结合,能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身,认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段,身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问,同时完成初始密钥的动态部署和管理工作,会话建立后,大量的数据安全传输必须通过对称加密方式,但该系统通过一种动态加密的模式,摒弃了现有机制下静态加密的若干缺陷,从而使通信双方的每次―通信回合‖都有安全保证。在一个通信回合中,双方将使用相同的对称加密密钥,是每个通信方经过共同了解的信息计算而得到的,在通信回合之间,所使用的密钥将实时改变,虽然与上次回合的密钥有一定联系,但外界无法推算出来。
3.4.3 数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC 地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
4.计算机局域网病毒及防治
虽然局域网采用的是专网形式,但因管理及使用方面等多种原因,计算机病毒也开始在局域网出现并迅速泛滥,给网络工程安全带来一定的隐患,对数据安全造成极大威胁,妨碍了机器的正常运行,影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。
4.1 局域网病毒
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化;病毒的欺骗性日益增强病毒的传播速度极快;病毒的制作成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。局域网病毒的传播速度快,传播范围广,危害也大。局域网病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新感染。
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天,病毒的种类和数量以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具,已显露出重大缺陷----对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。
4.2 计算机局域网病毒的防治措施
计算机局域网中最主要的软硬件就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外要加强各级人员的管理教育及各项制度的督促落实。
(1)基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:
一、是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。
二、是在工作站上插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。
三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2)基于服务器的防治技术。服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失是灾难性的。难以挽回和无法估量的,目前市场上基于服务器的病毒防治采用NLM方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
(3)加强计算机网络的管理。计算机局域网病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,才有可能从根本上保护网络系统的安全运行。
一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,不损人,不犯法,规范工作程序和操作规程,严惩从事非法活动的集体和个人。
二、加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况,做到及时发现问题解决问题,同时在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。
4.3 清除网络病毒
一旦在局域网上发现病毒,应尽快加以清除,以防网络病毒的扩散给整个系统造成更大的损失,具体过程为:
(1)立即停止使用受感染的电脑,并停止电脑与网络的联接,因为病毒会随时发作,继续使用受感染的电脑,只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。
(2)用干净的系统盘启动系统管理员工作站,并立即清除本机工作站中含有的病毒。
(3)用干净的系统盘启动文件服务器,系统管理员登录后,使用disable longin禁止其他用户登录。
(4)用防病毒软件扫描服务器上所有卷的文件,恢复或删除被感染的文件,重新安装被删除的文件。
(5)若没有最新的备份文件,可尝试使用杀毒软件把病毒清除,对在已染毒网络上存取过的软盘进行消毒。
(6)确信网络病毒已全部彻底清除后,重新启动网络及各工作站。
5.局域网安全防范系统
5.1 防火墙系统
5.1.1 防火墙概述
防火墙是一种用来增强内部网络安全性的系统,它将网络隔离为内部网和外部网,从某种程度上来说,防火墙是位于内部网和外部网之间的桥梁和检查站,它一般由一台和多台计算机构成,它对内部网和外部网的数据流量进行分析、检测、管理和控制,通过对数据的筛选和过滤,来防止未授权的访问进出内部计算机网,从而达到保护内部网资源和信息的目的。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
5.1.2 防火墙的体系结构
5.1.2.1 双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
5.1.2.2 被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图4所示。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接(什么是“可允许连接”将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务);
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
5.1.2.3 被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个―隔离带‖。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。
5.1.3 防火墙的功能
5.1.3.1 数据包过滤技术
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络,用这种方法可以阻塞某些主机和网络连入内部网络,也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。
5.1.3.2 网络地址转换技术
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[ 7 ]。在内部网络通过安全网卡访
问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7 ]。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.1.3.3 代理技术
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。
5.1.3.4 全状态检测技术
全状态检测防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。它有一个检测引擎,在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
5.2 入侵检测系统
5.2.1 入侵检测系统概述
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统
5.2.2 入侵检测原理
入侵检测跟其他检测技术有同样的原理。从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹,并给出相关的提示和警告。
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
第二步是信息分析,收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
第三步是结果处理,控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
5.2.3 局域网入侵检测系统的构建方法
根据CIDF规范,从功能上将IDS 划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来,一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现,称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库如SQL等,多跟控制台子系统结合在一起,称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。
首先,数据采集机制是实现IDS的基础,数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取,可以通过对网卡工作模式的设置为―混杂‖模式实现对某一段网络上所有数据包的捕获。然后,需要构建并配置探测器,实现数据采集功能。应根据自己网络的具体情况,选用合适的软件及硬件设备,如果网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器;在服务器上开出一个日志分区,用于采集数据的存储;接着应进行有关软件的安装与配置,至此系统已经能够收集到网络数据流了。
其次,应建立数据分析模块。数据分析模块相当于IDS的大脑,它必须具备高度的―智慧‖和―判断能力‖,所以,在设计此模块之前,需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。设计数据分析模块的工作量浩大,需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计,确保系统的执行效率;安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
第三,需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。控制台子系统的主要任务有:管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。
第四,需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。
第五,完成综合调试。以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是综合调试工作所要解决的问题,主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。经过综合调试后,一个基本的IDS就构建完成了,但是此时还不能放松警惕,因为在以后的应用中要不断地对它进行维护,特别是其检测能力的提高;同时还要注意与防火墙等其它系统安全方面的软件相配合,以期从整体性能上提高局域网的安全能力。
6.局域网安全防范策略
一个网络的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
6.1 划分VLAN 防止网络侦听
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
6.2 网络分段
局域网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。
6.3 以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
6.4 实施IP/MAC 绑定
很多网关软件实施流量过滤时都是基于IP或MAC地址,对控制普通用户起到了很好的效果,但对于高级用户就显得无能为力了,因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制,就必须进行IP/MAC地址的绑定,禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定,再通过服务器网络管理实施IP/MAC绑定,这样用户既不能改网卡的MAC地址,也不能改IP地址。通过IP/MAC绑定后,再实施流量过滤就显得有效多了。
7.总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中既需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此,局域网安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范的技术是否被授权,从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平,才能有力地保障网络安全。
[①].高传善,钱松荣.专注.数据通信与计算机网络[M].高等教育出版社,2001:8-9
[②].邓亚平.计算机网络安全[M].人民邮电出版社, 2004:1-10.[③].李成大,张京.计算机信息安全[M].人民邮电出版社,2004:72-117
第二篇:小型局域网组建毕业论文
小型局域网组建
当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。
随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自1995年中国教育教研网(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。通过本毕业设计课题的论述,希望使读者能够了解校园网的建设过程以及所涉及到的各种网络技术,并能对今后大家在学习网络技术知识或是进行校园网的工程建设中有所借鉴。
摘要............................................................................................错误!未定义书签。1.1 计算机网络.......................................................................................................3 1.1.1 校园网的建设思路..................................................................................3 1.1.2 校园网的建设原则..................................................................................3 1.2 局域网简介.......................................................................................................3 1.2.1网络的体系结构........................................................................................4 1.2.2 网络协议.................................................................................................4 2.1 常用网络设备...................................................................................................5 2.1.1 网卡.......................................................................................................5 2.1.2 交换机...................................................................................................6 2.1.3 路由器.....................................................................................................6 2.1.4 传输介质.................................................................................................6 2.2 服务器..............................................................................................................7 2.3 设备选型..........................................................................................................7 3.1 校园网的建设规划............................................................................................8 3.1.1 总体设计.................................................................................................8 3.1.2 网络技术................................................................................................9 3.2 网络操作系统...................................................................................................9 3.3 Internet接入技术..........................................................................................10 3.4 防火墙..............................................................................................................10 3.5 建网目标...........................................................................................................10 3.5.1网络组成.................................................................................................10 3.5.2网络软件运行平台...................................................................................12 4.总结.....................................................................................................................12
1.1 计算机网络
计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网,校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。
1.1.1 校园网的建设思路
校园网的建设是一项非常复杂的系统工程,校园作为一个特殊的网络应用环境,它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠,维护简单的原则。校园网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。局域网技术是一项在20世纪70年代发展起来的计算机互联技术,经过多年的发展,技术已经成熟,并得到了广泛的应用,局域网技术成为网络技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的应用而得到迅速的计算机应用技术,在网络环境下,多媒体得到了更快更好的应用,使我们得到了更好更多的信息。校园网是使用了局域网技术以及各种多媒体应用技术,并结合Internet应用等其它的技术来建设。使得校园网能满足现代教学对信息处理的要求,使计算机的应用能对教学管理现代化起重要的促进作用,能实现信息查寻、教务管理,并与外部网络系统进行交流等多种需要。
1.1.2 校园网的建设原则
校园网建设是一项综合性非常强的系统工程,它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系,从而使校园网的建设工作健康稳定地开展。首先,校园网的建设是一个为学校教育教学活动长期服务的工作,因此在校园网的规划建设过程中,必须从学校长远发展规划出发,以服务于教育为基本点,结合学校当前教育教学的实际需要,做出科学的规划部署。在校园网的规划建设中,一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则,在重视硬件建设的同时,加强网络的组织管理水平,不断开发网络的功能,从而充分发挥校园网络的功效,提高校园网对学校教育的服务水平。
1.2 局域网简介
局域网是同一建筑、同一校园、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站,以共享软、硬件资源。美国电气3
和电子工程师协会(IEEE)局域网标准委员会员会曾提出局域网的一些具体特征: 1)局域网在通信距离有一定的限制,一般在1~2Km的地域范围内。比如在一个办公楼内、一个学校等。
2)较高传输率的物理通信信道也是局域网的一个主要特征,在广域网中用电话线连接的计算机一般也只有20~40Kpbs的速率。
3)因为连接线路都比较短,中间几乎不会爱任何干扰,所以局域网还具有始终一致的低误码率。
4)局域网一般是一个单位或部门专用的,所以管理起很方便。
5)另外局域网的拓扑结构比较简单,所支持连接的计算机数量也是有限的。组网时也就相对很容易连接。
1.2.1网络的体系结构
网络通常按层或级的方式来组织,每一层都建立在它的下层之上。不同的网络,层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务,这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构,当前重要的和使用广泛的网络体结构有OSI体系结构和TCP/IP体系结构。
OSI是开放系统互连基本参考模型OSI/RM(Open System Interconnection Reference Model)缩写,它被分成7层,这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的,这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层,数据链路层和物理层,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。
TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议和互连网协议)缩写,TCP/IP体系结构是当前应用于Internet网络中的体系结构,它是由OSI结构演变来的,它没有表示层,只有应用层、运输层,网际层和网络接口层。
1.2.2 网络协议
网络协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送,在校园局域网上用到的协议主要有,ICP/IP协议、IPX/SPX协议等。(1)TCP/IP协议
TCP/IP协议是目前在网络中应用得最广泛的协议,ICP/IP实际上是一个关于Internet的标准,并随着的Internet广泛应用而风靡全球,它也成为局域网的首选协议。TCP/IP是一种分层协议,它共被分为个4层次,大约包含近期100个非专有协议,4
通过这些协议,可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP(传输控制协议)、UDP(用户数据报协议)和IP(因特网协议)TCP协议可以在网络用户启动的软件应用进程之间建立通信会话,并实现数据流量控制和错误检测,这样就可以在不可靠的网络上提供可靠的端到端数据传输。UDP协议是一种无连接的协议,它在传输数据之前不建立连接,也不提供良好的可靠性和差错检查,只仅仅依赖于校验来保证可靠性。UDP不进行流量控制,没有序列或者确认,因此它处理和传输数据的速度快,还被用来传输关键的网络状态消息。
IP协议的基本功能是提供数据传输、数据包编址、数据包路由,分段等。通过IP编址约定,可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的IP地址,它和48位MAC地址一起协作,完成网络通信,IP协议也是一种无连接的协议。
(2)超文本传输协议(HTTP)HTTP(HyperText Transfer Protocol),超文本传输协议)是WWW浏览器和WWW服务器之间的应用层协议,是用于分布式协作超文本信息系统的、通用的、面向对象的协议,HTTP协议还是基于TCP/IP协议之上的应用层协。(3)文件传输协议(FTP)FTP(File Transfer Protocol ,文件传输协议)是由支持Internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上,FTP是采客户/服务器方式服务的。(4)远程登录协议(Telnet)
远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具,其主要目标是提供终端设备与面向进程接口的标准方法,Telnet是应用层的协议,采用客户/服务器模式工作的,Telnet不仅允许用户登录到远端主机上,还允许用执行远端主机的命令,这样用户就能以极小的网络资源代价完成大型的网络应用。
2.1 常用网络设备
网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统,网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。
2.1.1 网卡
网卡(简称NIC),也网络适配卡或网络接口卡,网卡作为计算机与网络连接的接口,5
是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现与计算机的连接,是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号,也就是MAC(Media Access Control)地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种,不同类型的网络需要使用不同种类的网卡,不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话,有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡;如按总线分,有ISA总线、PCI总线、PCMCIA总线网卡等。从目前校园网建设的实际情况来看,工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。
2.1.2 交换机
交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。
2.1.3 路由器
路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。
2.1.4 传输介质
网络要求把各个独立的计算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠,无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。(1)同轴电缆
同轴电缆以硬铜线为芯,外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕,网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格,最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接,而粗同轴电缆则常用于建筑物间6
相连。它们的区别在于粗同轴电缆屏蔽更好,能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成。(2)双绞线
双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。(3)光纤
光纤是一种直接为50~100um的柔软的、能传导光波的介质,一般由玻璃制造。光纤分为:传输点模数类分单模光纤(Single Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,与单模光纤相比,多模光纤的传输性能较差。光纤通信系统的基本构
2.2 服务器
校园网中的服务器主有数据库服务器和代理服务器,数据服务器与代理服务器主要是面向校园网内部用户的服务,对来自Internet的用户服务也很多,主要是对校园网内部用户进行Internet代理服务。目前,绝大多数校园网都要求内部服务用户通过代理访问Internet,这样内部用户就不能直接访问Internet,同时代理服务器保存着内部用户访问Internet的日志,以作为记费的依据。由于用户数量非常大,也非常集口中,所以在选型代理服务器时,主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性,一般来说都选用大型服务器作为代理服务器。
2.3 设备选型
(1)服务器端。选择微软的服务器端集成软件BackOffice.BackOffice包括了WindowsNT.IIS.FrontPage.SQL Server.Exchange server.Systems Management Server。Proxy Server以及一个统的客户/服务器软件安装程序。
其中,WINDOW NT作为网络的基础,提供文件和打印机共享,通信Internet连接和应用程序服务:IIS提供WWW和FTP服务;FrontPage提供网页制作工具和Web管理;Index server提供Email.时间规划和集成的群件性能;SNA Server提供主机数据和应用的连接能力;Systems Management集中地管理这个分布式的环境;Proxy Server提供防火墙功能,有效地将校园网与公共Internet分离,并有效地提供客户访问Internet的通路。
(2)客户端。选用IE5.0以上,它提供了组用户访问Web,所有本地文件和校园网络上所有文件的集成方法。
3.1 校园网的建设规划
校园网建设作为一项复杂的系统工程,与任何一项工程建设一样,在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析,它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系,因此要特别认真地进行系统规划。对于校园网来说,必须对技术和教育的发展前景有着清醒的认识,只有这样,才能从很好地为校园网进行合理的规划。
3.1.1 总体设计
校园网络结构设计主要是进行网络的物理设计和逻辑设计,在完成结构设计后才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的,它设计的成功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。计算机网络系统是校园网系统的核心,因此在设计中必须遵循以下原则:
1.软硬件的可行性。系统软硬件配置必须考虑各种约束条件,主要是性能需求、当前技术水平和改造资金多少,兼顾现实性和技术领先性。
2.系统开放原则。系统应具有良好的开放性,或称职兼容性和扩展性,以适应技术的不断发展和不增强的应用需求,因此,应尽量采用工业标准或事实上的工业标准技术。在系统设计时,要考虑系统的生命周期,一般要按超前3~5年考虑。
3.整体最优原则。在进行系统设计和配置时,常遇到很多矛盾,需根据有限合理性原则,进行综合考虑和评价,折中选择。应考虑的因素有:先进性、可靠性、安全性、经济性。
4.开放性、先进性原则。系统的传输速率至少目前要够用,最好要有一定的余量,以适应应用的不断增长困采用公认的行业标准,以增强适应性,避免淘汰。要留有足够的扩展扩充的余地,以便对系统进行扩充和改进。网络可先择Microsoft的产品,以Web为中心,以Intranet技术为基础,采用TCP/IP和HTTP为传输协议,客户通过浏览器访问Web及Web相连的数据库。
3.1.2 网络技术
学校建设校园网有许多需要考虑的问题,如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。(1)网络技术类型
网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则,并充分考虑性能价格比和今后技术的发展。要求系统兼容性好,易于平滑连接,避免网络瓶颈。
当前达到或超过100Mbps的高速网络技术主要有:快速以太网、FDDI、千兆以太网、ATM交换网。FDDI是几年前十分流行的高速网络技术,虽然技术十分成熟,但网络管理复杂且成本较高,现已被逐渐淘汰。ATM是比较先进的网络技术,它采用信元交换方式,以很高的速率在任意两点间建立直接的虚拟通信链路,有较强的传输质量控制能力,特别适合于多媒体信息的传输。但在实际使用事因端口价格过高,难以大规模采用。以太网是种成熟的、质优价廉的网络技术,其标准已制定完备。经过多年发展,形成了完善的10Mbps、100Mbps和千兆以太网技术,同时还由共享式的网络发展成为交换式的以太网,具备与FDDI、ATM网络融合的多种方法与规范。(2)网络拓扑的选择
计算机网络拓扑结构有很多种,主要有总线型拓扑、环型拓扑和星型拓扑。总线型拓扑结构中所有的电脑用介质将整个网络从头串到尾。这是所有的网络拓扑结构中最简单的一种。环型拓扑结构,就是指所有站点被绕成一圈的电缆所连接起来,整个结构看起来象是一个圆圈。当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉佘性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。
3.2 网络操作系统
网络操作系统NOS(Network Operating System)是在计算机操作系统的基础上,加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议,是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集9
合。目前主要的网络操作系统有NetWare、Unix、Linix和Windows NT/2000。在校园网中一般情况下都用Windows 2000网络操作系统,因为它是图形化的操作界面、使用简单、安全可靠,以及和普及率很高Windows系列单机操作系统的兼容性很好。
3.3 Internet接入技术
校园网和Internet的连接技术就显得十分重要了,它关系到校园网与外部网络能能否进行可靠的连接。用户计算机接入Internet主要有两种方式,通过局域网或通过电话线网。不过,我们一般采取局域网接入方式。但不管使用哪种接入方式,首先都要连接到ISP的主机。从用户角度看,ISP位于Internet的边缘,用户通过某种通信线路连接到ISP,再通过ISP的连接通道接入Internet。通过局域网接入Internet是指用户局域网使用路由器,通过数据通信网与ISP相连接,再通过ISP的连接通道接入Internet。选择哪种数据通信网络与租用多大的带宽,通常取决于用户的信息流量与能够承担的费用等多种因素。
3.4 防火墙
防火墙是一种特殊的设备,在两个网络之间执行访问控制。通常一个路由器,也可以是一台运行防火墙软件的PC机。防火墙有选择地过滤或阻塞网络间的流量。它通常在Intranet和Internet的交接处,也可以在两个Intranet之间设立防火墙。防火墙一般是基于源地址和目的地址以及每个IP包的端口来作出禁止或允许判断。
3.5 建网目标
构建普通学校校内Intranet环境,并通过代理服务器接入Internet,实现与Internet 交流。建设校园网络中心,并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财务处等的校园网,使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯、Internet通讯浏览等基本功能。
3.5.1网络组成
(1)校园网的主干
校园网主干提供两个简单但至关重要的功能.其一,它用于在中间层交换机组之间10
建立互联.其二,它提供对企业各部分共享的所有资源的高速访问.因其重要性,校园网主干必须具有高吞吐量和高可用性.如果主干变慢或拥挤,则整个网络对常用资源的访问将变慢.通过同一令牌,主干上的中断将影响整个网络的恢复能力和高可用性基本要求。基于当前信息技术发展形势及经济实用可持续发展原则,建议构建100M带宽的快速以太网,根据实际工作站信息点到网络中心的距离,选择适当的传输媒介进行网络综合布线。一般来讲,在同一幢大楼内距离不超过100米均可铺设超五类非屏蔽双绞线,而楼与楼之间的连接主干线原则上应架设光缆,以满足今后发展的需要。(2)网络中心
也就是校园网中心机房,应配置有各种系统服务器(如:Web服务器、Email服务器、代理服务器)、文件服务器(数据库服务器)、中心交换机、配线机柜等。如刚使用时数据流量不大,可只配置一台服务器,视今后网络发展情况再作扩充。为保证网络运行稳定可靠,网络中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。(3)计算机教室
配置100台586以上微机,通过星型网络拓扑结构将所有微机连接到可堆叠交换机上,再通过交换机连接校园主干网。为方便教学,可在以上网络教室的基础上安装多媒体教学平台,使之成为一个既能完成信息技术学科教学,又能进行多媒体辅助教学,还能开展基于Internet技术的网络活动的多媒体网络活动室。(4)图书馆系统
图书馆系统应该包括两个方面,第一是图书编目、借阅管理系统,它为图书馆管理提供了标准化、自动化、网络化的采编、流通、查询、统计以及读者管理等手段;第二是多媒体视听阅览室,满足读者使用越来越多的电子音像读物的要求。多媒体视听阅览室从技术本质上来讲就是一个多媒体计算机网络室,如果学校已建好前面所述的多媒体网络活动室或教师备课机房,只要在网络上连接有一套光盘镜像服务器,即可实现多媒体视听阅览的功能。(5)多媒体综合教室
信息化环境的构筑其根本目的是为教学服务的,因此课堂信息化教学环境的建立应该是校园网建设的一个重要目标。针对课堂教学而言,计算机网络应能为师生合作教学模式提供支持。在合作教学模式下,教师通过网络安排教学计划,指导学生学习,批改学生作业,实施网上教学;学生既可以在教师帮助下进行自主学习,也可通过小组讨论等形式在同伴中开展合作学习。多媒体综合教室内配备有多媒体计算机、高亮度液晶投影仪、多功能视频展示台各一台,功放音响一套,其中多媒体计算机通过网卡连入校园主干网,从而方便调用网络内其它计算机上的教学资源,实现资源共享。多媒体综合教11
室不仅可满足正常的辅助教学活动,还可以用来举办讲座、开展培训,不失为当前形势下一种经济实惠的选择。
3.5.2网络软件运行平台
(1)服务器操作系统:由于美国Microsoft公司推出的网络操作系统Windows NT具有与有着广泛应用基础的WINDOWS982000个人计算机操作系统相似的操作方法,易学易用,已拥有了越来越多的用户群。大量的软硬件生产商为Windows NT开发了许许多多的软硬件产品,也使得Windows NT有着比较广阔的发展前景。在目前情况下建议采用Microsoft Windows 2000以上版本。
(2)工作站其它应用软件:文字处理、数据表格、图形处理、浏览器、电子邮件等都是经常使的软件。
(3)数据库软件:建议采用SQL SERVER 2000以上版本。
(4)电子邮件系统:可采用Microsoft公司的Exchange Server,为简便使用也可采用一些共享软件如Sharemail、Imail等,这些软件都是基于标准SMTP/POP3/IMAP4/LDAP协议的邮件服务器软件,用户界面简单直观,非常易于管理。
(5)网页维护制作软件:Macrosoft公司的FrontPage 2000、Macromedia 公司的Dreamweaver、Flash都是很好选择。
(6)多媒体课件制作软件:Macromedia 公司的Authorware、Director,洪图多媒体著作工作等都有着非常友好的界面,使用方便,拥有着大量的用户,推荐使用。
(7)校园办公管理用软件:选用省教委统一推荐使用的“共创校园办公管理信息系统”网络版。
4.总结
本设计从校园网的建设思想、目标、可以选用的网络技术以及对络设备的介绍和选择等多方面的论述,使我们对校园网建设工程有了一个比较深入的了解,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之12
中。
由于校园网功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点和更正。
编写人:陈锦辉
第三篇:机房局域网组建毕业论文-读书笔记
某某学院2012届毕业设计(论文)
附 件
读书笔记1
毕业论文的准备工作开始了,我么主要收集了这几本书和文献《信息技术在局域网中的应用研究》、《计算机网络》、《计算机网络工程概论》、《局域网组建实例教程》、《校园网组建》、《校园局域网的规划与管理》、《高校局域网的组建过程》、《局域网建设中布线部分两个典型问题的分析与解决》。今天首先看了《信息技术在局域网中的应用研究》主要简述了一些与网络安全有关的概念,讲了计算机病毒,系统漏洞,防火墙,杀毒软件的介绍,其观点引人入胜,对我以后写有关局域网安全的部分有很大的帮助。书中提到的有关局域网安全未来的发展趋势令我眼前一亮,受益匪浅。其对局域网安全的阐述细致入微,面面俱到,严禁客观
在这像其作者表示感谢。
读书笔记2
今天我查阅的是《计算机网络》(第五版)这本书的作者是谢希仁,他毕业于清华大学机电系,他领导的移动卫星通信系统的网控中心项目是国家级重点项目,能够阅读到他的作品是我一生的荣幸。这本书对因特网做了一些介绍和计算机网络的类别并详细介绍了OSI模型的7层结构,还有有关子网划分的内容做了详细的介绍,最后简单的介绍了一下无线网络技术。这本书是我写这篇论文最重要的理论基础。书中对网络详细的介绍让我受益匪浅
作者深厚的理论功底更让我望尘莫及。对我的论文有极大的帮助。
《计算机网络》首先讲述了因特网的概念,因特网是世界上最大的互联网络,大家把连接在因特网上的计算机都称为主机。计算机网络指的是一些互相连接的、自治的计算机的集合。
这本书是我写毕业论文最主要的基础知识来源,通过这本书我了解到什么是计算机网络,计算机网络的组成等内容。对论文有很大的帮助。
读书笔记
3刘晓辉主编的《中小型局域网构建实践》介绍了网络布线、搭建小型局域网、搭建小型无线局域网、共享internet连接、网络客户端配置、网络资源共享、双机与火线直连、网络综合布线、网络规划与设计、网络设备选择、网络设备连接、网络设备的配置与初始化、网络服务器、网络服务的搭建、网络存储、搭建小型无线局域网等方面的内容。局域网分为有线局域网和无线局域网,有线局域网主要是指双绞线网络,有线局域网传输速度快、稳定性高、安全性好、成本低、干扰小。无线局域网环境适应性强、部署灵活便捷、维护成本低、易于扩展、安全性高。无线局域网适合在家庭、移动设备中使用。
《中小型局域网构建实践》还详细介绍了局域网故障与诊断,详细列举了局域网中常见的故障与维修方式,例如:网络链路故障的检查与排除方法。
读书笔记4
《实用网络设计与配置》详细介绍了计算机网络的概念、类型、物理结构、逻辑结构等网络分析等内容。
随着科学技术的发展,现代社会对网络技术的发展提出了更高的要求,对异构网络也提出了更高的要求。1983年国际标准化组织(ISO)发布了开放系统互联参考模型(OSI/RM)国际标准,从儿使异构网络的互联技术迅猛发展。《实用网络设计与配置》主要介绍了一些体系结构包括:OSI/RM结构,OSI/RM结构主要包括七层,从上到下为:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。每层可以和相邻的层通信,各层都有不同的功能。TCP/IP结构是当前网络互联协议中最著名的协议族,由应用层、传输层、网络层、网络接口层组成。
《实用网络设计与配置》还介绍了网络互联的基本类型,包括LAN-LAN型、LAN-WAN型等。
读书笔记5
《局域网与广域网的设计与实现》介绍了计算机网络中的LAN和WAN的定义、路由器和网关的连接、LAN与WAN的数据集成等方面的内容。
LAN一般是微型计算机通过高速通信线路相连,局域网是在微型计算机大量应用后才逐渐发展起来的计算机网络。
WAN的作用范围通常为几十到几千千米。广域网又称远程网。它的覆盖范围可以遍布与城市、国家,甚至全球。
《局域网与广域网的设计与实现》还介绍了以下网络设备:
1.网桥:网桥是一种网络设备,可以扩展一个lan或连接多个lan,使得许多
网络设备和工作站能连接在一起。
2.路由器:与网桥相比路由器运作在更高的层的网络通信上,可以使LAN和WAN
引导或路由数据到指定目标上。
3.网关:网关可以运作在任意网络通信层上,网关最主要的功能是转换协议与
处理网络之间的特定软件。
《局域网与广域网的设计与实现》详细介绍了计算机网络的相关定义,对组建机房局域网有很大的帮助。
读书笔记6
《局域网组建与维护》由张记强主编详细介绍了局域网组成与组建方案,局域网的结构类型与设计方案。简述了局域网的一些基本内容,包括局域网的拓扑结构、局域网的传输介子、局域网的标准。还有组建局域网所需的一些硬件设备如:双绞线、光缆、网卡、集线器、中继器、路由器、网桥、网关等。最后介绍了局域网组建操作系统的选择。书中还详细介绍了对等网络的知识,对等网具有以下特点:对等网络计算机之间的关系是平等的,对等网络的资源是分布在每一台计算机上的、对等网容易建立和操作同时对等网也有资源查找困难、对等网中同步使用的计算机性能下降。对等网主要用于大的网络的一个子网中,用在有限信息技术预算和有限信息共享需求的地方,例如学校宿舍、邻居之间。
读书笔记7
《计算机网络工程概论》由王宝智主编,高等教育出版社出版。《计算机网络工程概论》主要简述计算机网络的知识体系,计算机网络的基本原理和概念,计算机网络的体系结构、主城设备、结构和类型,还介绍了计算机网络工程的技术基础、讲述了以太网系列技术基础、无线局域网、TCP/IP路由协议、接入网和交换网技术、网络安全技术、网络操作系统、网络管理技术基础、协议和系统。最
后介绍了计算机网络工程体系结构设计、拓扑结构设计、VLAN设计、通信网设计、网络安全设计和网络平台选型。
这本书重点介绍了计算机网络互联协议TCP/IP。IP地址是IP协议使用的地址,它只明发送IP数据包的IP协议实体和接收IP数据包的IP协议实体。
书中还介绍的网络操作系统的一些类型和功能。计算机网络操作系统是网络用户与计算机网络之间的接口。
读书笔记8
《计算机网络技术实用教程》首先介绍了什么是计算机网络,计算机网络发展简史,计算机网络的拓扑结构,计算机网络的分类,计算机网络通信基础,网络体系结构、tcp/ip协议体系、计算机网络操作系统,internet接入、计算机网络安全的内容。
1946年第一代计算机诞生。20世纪80年代微型计算机出现,1994年internet开始进入商业化。
计算机网络是地理上分散的多台独立自主的计算机遵循约定的通信协议,通过软、硬件互联实现交互通信、资源共享、信息交换、协同工作以及在线处理等功能。
计算机网络由客户机,工作站,网络接口卡,网络操作系统,主机,节点,协议数据包,传输介质等组成。
计算机网络主要有共享资源,数据通信,分布式数据处理。
通过阅读《计算机网络技术实用教程》为机房局域网组建提供了大量的理论基础。
第四篇:无限局域网技术分析与探讨 毕业论文
JIU JIANG UNIVERSITY
毕 业 论 文
题 目: 无线局域网技术分析与探讨 院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名: 年 级: 指导教师:
二零一一年十一月二十日
摘 要...........................................................2 目 录„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.3 第一章„„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 1.1 选题背景„„„„„„„„„„„„„„„„„„„„„„„„ 5 第二章 无线局域网„„„„„„„„„„„„„„„„„„„„„„..6
2.1 简单的家庭无线局域网„„„„„„„„„„„„„„„„„„ 6 2.2 无线桥接„„„„„„„„„„„„„„„„„„„„„„„„ 6 2.3 中型无线局域网„„„„„„„„„„„„„„„„„„„„„.7 2.4 大型可交换局域网„„„„„„„„„„„„„„„„„„„„.7 2.5 无线局域网络应用„„„„„„„„„„„„„„„„„„„„ 8 2.6 无线局域网的优点„„„„„„„„„„„„„„„„„„„„ 8 2.7 无线局域网的不足之处„„„„„„„„„„„„„„„„„„ 9 第三章 无线技术„„„„„„„„„„„„„„„„„„„„„„„ 10 3.1 技术要求„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.2 硬件设备„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.3 展频技术„„„„„„„„„„„„„„„„„„„„„„„„ 11 3.3.1 跳频技术„„„„„„„„„„„„„„„„„„„„„„.11 3.3.2 直接序列展频技术„„„„„„„„„„„„„„„„„„.11 3.4 FHSS VS DSSS调变差异„„„„„„„„„„„„„„„„„„.11 3.5 DSSS VS FHSS之优劣 „„„„„„„„„„„„„„„„„„.11 第四章 IEEE 802.11之相关信息 „„„„„„„„„„„„„„„„.13 4.1 2.4GHz Direct Sequence Spread Spectrum„„„„„„„„„„ 13 4.2 2.4GHz Frequency Hopping Spread Spectrum„„„„„„„„„ 13 4.3 Diffused IR„„„„„„„„„„„„„„„„„„„„„„ 13 第五章 无线局域网络产品简介„„„„„„„„„„„„„„„„„.14 5.1 Access Point „„„„„„„„„„„„„„„„„„„„„„14 5.2 Wireless LAN Card„„„„„„„„„„„„„„„„„„„„14 5.3 Antenna„„„„„„„„„„„„„„„„„„„„„„„„.14 5.4 产品Q&A„„„„„„„„„„„„„„„„„„„„„„„„.14 5.5 无线局域网络之应用„„„„„„„„„„„„„„„„„„..17 第六章 无线局域网关键技术与展望„„„„„„„„„„„„„„„ 18 6.1 公共WLAN组网方案„„„„„„„„„„„„„„„„„„„.18
6.1.1 接入点(AP)„„„„„„„„„„„„„„„„„„„.18 6.1.2 接入控制点(AC)„„„„„„„„„„„„„„„„„„ 18 6.1.3 远程拨号接入认证(RADIUS)服务器„„„„„„„„„„.18 6.1.4 认证服务器(AS)„„„„„„„„„„„„„„„„„„.18 6.1.5门户网站服务器(Portal Server)„„„„„„„„„„„„18 6.2 公网WLAN用户接入的相关解决方案„„„„„„„„„„„„„18 6.2.1 1.OWLAN的用户认证„„„„„„„„„„„„„„„„„.18 6.2.2 802.1x用户认证方式中的访问实体„„„„„„„„„„„ 19 6.3 802.1x认证方式„„„„„„„„„„„„„„„„„„„„„19
6.3.1 EAP-MD5认证方式„„„„„„„„„„„„„„„„„„.19 6.3.2 EAP-SIM认证方式„„„„„„„„„„„„„„„„„„.19 6.3.3 EAP-TLS认证方式„„„„„„„„„„„„„„„„„...19 6.3.4 EAP-TTLS鉴权认证方式„„„„„„„„„„„„„„„..19 6.4 OWLAN的数据安全„„„„„„„„„„„„„„„„„„„„.20 第七章 WLAN中的VPN„„„„„„„„„„„„„„„„„„„„„„21 7.1 由用户端发起的VPN连接„„„„„„„„„„„„„„„„„ 21 7.2 由AC端发起的VPN连接„„„„„„„„„„„„„„„„„„ 21 7.3 802.11i标准„„„„„„„„„„„„„„„„„„„„„...21 7.4 基本的WLAN安全„„„„„„„„„„„„„„„„„„„„..22 7.5 IEEE 802.11的安全技术„„„„„„„„„„„„„„„„„.22 7.5.1 认证.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i标准„„„„„„„„„„„„„„„„„„„„ 23 7.7 VPN技术„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.8 WAPI„„„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.9 WLAN的切换与漫游„„„„„„„„„„„„„„„„„„„„25 7.9.1 切换与漫游„„„„„„„„„„„„„„„„„„„„„„„ 25 7.9.2 移动IP„„„„„„„„„„„„„„„„„„„„„„„„„25 结语„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.26 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.27 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„.28
第一章
绪论
1.1 选题背景
对于局域网络管理主要工作之一,对于铺设电缆或是检查电缆是否断线这种耗时的工作,很容易令人烦躁,也不容易在短时间内找出断线所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路,虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。因此,架设无线局域网络就成为最佳解决方案。
无线局域网拓扑结构概述:基于IEEE802.11标准的无线局域网允许在局域网络环境中使用未授权的2.4或5.3GHz射频波段进行无线连接。它们应用广泛,从家庭到企业再到Internet接入热点。
第二章 无线局域网
图一
2.1 简单的家庭无线局域网
简单的家庭无线LAN:在家庭无线局域网最通用和最便宜的例子,如图1所示,一台设备作为防火墙,路由器,交换机和无线接入点。这些无线路由器可以提供广泛的功能,例如:保护家庭网络远离外界的入侵。允许共享一个ISP(Internet服务提供商)的单一IP地址。可为4台计算机提供有线以太网服务,但是也可以和另一个以太网交换机或集线器进行扩展。为多个无线计算机作一个无线接入点。通常基本模块提供2.4GHz802.11b/g操作的Wi-Fi,而更高端模块将提供双波段Wi-Fi或高速MIMO性能。双波段接入点提供2.4GHz802.11b/g和5.3GHz802.11a性能,而MIMO接入点在2.4GHz范围中可使用多个射频以提高性能。双波段接入点本质上是两个接入点为一体并可以同时提供两个非干扰频率,而更新的MIMO设备在2.4GHz范围或更高的范围提高了速度。2.4GHz范围经常拥挤不堪而且由于成本问题,厂商避开了双波段MIMO设备。双波段设备不具有最高性能或范围,但是允许你在相对不那么拥挤的5.3GHz范围操作,并且如果两个设备在不同的波段,允许它们同时全速操作。家庭网络中的例子并不常见。该拓扑费用更高但是提供了更强的灵活性。路由器和无线设备可能不提供高级用户希望的所有特性。在这个配置中,此类接入点的费用可能会超过一个相当的路由器和AP一体机的价格,归因于市场中这种产品较少,因为多数人喜欢组合功能。一些人需要更高的终端路由器和交换机,因为这些设备具有诸如带宽控制,千兆以太网这样的特性,以及具有允许他们拥有需要的灵活性的标准设计。
2.1 无线桥接
图二
无线桥接:当有线连接太昂贵或者需要为有线连接建立第二条冗余连接以作备份时,无线桥接允许在建筑物之间进行无线连接。802.11设备通常用来进行这项应用以及无线光纤桥。802.11基本解决方案一般更便宜并且不需要在天线之间有直视性,但是比光纤解决方案要慢很多。802.11解决方案通常在5至30mbps范围内操作,而光纤解决方案在100至1000mbps范围内操作。这两种桥操作距离可以超过10英里,基于802.11的解决方案可达到这个距离,而且它不需要线缆连接。但基于802.11的解决方案的缺点是速度慢和存在干扰,而光纤解决方案不会。光纤解决方案的缺点是价格高以及两个地点间不具有直视性。
2.3 中型无线局域网
图五
中型无线局域网:中等规模的企业传统上使用一个简单的设计,他们简单地向所有需要无线覆盖的设施提供多个接入点。这个特殊的方法可能是最通用的,因为它入口成本低,尽管一旦接入点的数量超过一定限度它就变得难以管理。大多数这类无线局域网允许你在接入点之间漫游,因为它们配置在相同的以太子网和SSID中。从管理的角度看,每个接入点以及连接到它的接口都被分开管理。在更高级的支持多个虚拟SSID的操作中,VLAN通道被用来连接访问点到多个子网,但需要以太网连接具有可管理的交换端口。这种情况中的交换机需要进行配置,以在单一端口上支持多个VLAN。尽管使用一个模板配置多个接入点是可能的,但是当固件和配置需要进行升级时,管理大量的接入点仍会变得困难。从安全的角度来看,每个接入点必须被配置为能够处理其自己的接入控制和认证。RADIUS服务器将这项任务变得更轻松,因为接入点可以将访问控制和认证委派给中心化的RADIUS服务器,这些服务器可以轮流和诸如Windows活动目录这样的中央用户数据库进行连接。但是即使如此,仍需要在每个接入点和每个RADIUS服务器之间建立一个RADIUS关联,如果接入点的数量很多会变得很复杂。
2.4 大型可交换无线局域网
图六
大型可交换无线局域网:交换无线局域网是无线连网最新的进展,简化的接入点通过几个中心化的无线控制器进行控制。数据通过Cisco,ArubaNetworks,Symbol和TrapezeNetworks这样的制造商的中心化无线控制器进行传输和管理。这种情况下的接入点具有更简单的设计,用来简化复杂的操作系统,而且更复杂的逻辑被嵌入在无线控制器中。接入点通常没有物理连接到无线控制器,但是它们逻辑上通过无线控制器交换和路由。要支持多个VLAN,数据以某种形式被封装在隧道中,所以即使设备处在不同的子网中,但从接入点到无线控制器有一个直接的逻辑连接。无线局域网
从管理的角度来看,管理员只需要管理可以轮流控制数百接入点的无线局域网控制器。这些接入点可以使用某些自定义的DHCP属性以判断无线控制器在哪里,并且自动连结到它成为控制器的一个扩充。这极大地改善了交换无线局域网的可伸缩性,因为额外接入点本质上是即插即用的。要支持多个VLAN,接入点不再在它连接的交换机上需要一个特殊的VLAN隧道端口,并且可以使用任何交换机甚至易于管理的集线器上的任何老式接入端口。VLAN数据被封装并发送到中央无线控制器,它处理到核心网络交换机的单一高速多VLAN连接。安全管理也被加固了,因为所有访问控制和认证在中心化控制器进行处理,而不是在每个接入点。只有中心化无线控制器需要连接到RADIUS服务器,这些服务器在图6显示的例子中轮流连接到活动目录。交换无线局域网的另一个好处是低延迟漫游。这允许VoIP和Citrix这样的对延迟敏感的应用。切换时间会发生在通常不明显的大约50毫秒内。传统的每个接入点被独立配置的无线局域网有1000毫秒范围内的切换时间,这会破坏电话呼叫并丢弃无线设备上的应用会话。交换无线局域网的主要缺点是由于无线控制器的附加费用而导致的额外成本。但是在大型无线局域网配置中,这些附加成本很容易被易管理性所抵消
2.5 无线局域网络应用
无线局域网络应用:大楼之间:大楼之间建构网络的连结,取代专线,简单又便宜。餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。医疗:使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。企业:当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。仓储管理:一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。货柜集散场:一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。监视系统:一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。展示会场:诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
2.6 无线局域网的优点
无线局域网的优点:(1)灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。(2)安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就
可建立覆盖整个区域的局域网络。(3)易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。(4)故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。(5)易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
2.7 无线局域网的不足之处
无线局域网的不足之处:无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:(1)性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。(2)速率。无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为150Mbit/s,只适合于个人终端和小规模网络应用。(3)安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
第三章 无线技术
3.1 技术要求
由于无线局域网需要支持高速、突发的数据业务,在室内使用还需要解决多径衰落以及各子网间串扰等问题。具体来说,无线局域网必须实现以下技术要求:
1.可靠性:无线局域网的系统分组丢失率应该低于10-5,误码率应该低于10-8。
2.兼容性:对于室内使用的无线局域网,应尽可能使其跟现有的有线局域网在网络操作系统和网络软件上相互兼容。
3.数据速率:为了满足局域网业务量的需要,无线局域网的数据传输速率应该在1Mbps以上。
4.通信保密:由于数据通过无线介质在空中传播,无线局域网必须在不同层次采取有效的措施以提高通信保密和数据安全性能。
5.移动性:支持全移动网络或半移动网络。
6.节能管理:当无数据收发时使站点机处于休眠状态,当有数据收发时再激活,从而达到节省电力消耗的目的。
7.小型化、低价格:这是无线局域网得以普及的关键。
8.电磁环境:无线局域网应考虑电磁对人体和周边环境的影响问题。
3.2 硬件设备
1.无线网卡。无线网卡的作用和以太网中的网卡的作用基本相同,它作为无线局域网的接口,能够实现无线局域网各客户机间的连接与通信。无线局域网
2.无线AP。AP是Access Point的简称,无线AP就是无线局域网的接入点、无线网关,它的作用类似于有线网络中的集线器。
3.无线天线。当无线网络中各网络设备相距较远时,随着信号的减弱,传输速率会明显下降以致无法实现无线网络的正常通信,此时就要借助于无线天线对所接收或发送的信号进行增强 开源项目
使用开源软件无线电GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的赞助下编写802.11 代码。GNU Radio 是免费的软件开发工具套件。它提供信号运行和处理模块,用它可以在易制作的低成本的射频(RF)硬件和通用微处理器上实现软件定义无线电。这套套件广泛用于业余爱好者,学术机构和商
业机构用来研究和构建无线通信系统。GNU Radio 的应用主要是用Python 编程语言来编写的。但是其核心信号处理模块是C++在带浮点运算的微处理器上构建的。因此,开发者能够简单快速的构建一个实时、高容量的无线通信系统。尽管其主要功用不是仿真器,GNU Radio 在没有射频RF 硬件部件的境况下支持对预先存储和(信号发生器)生成的数据进行信号处理的算法的研究。
3.3 展频技术
展频技术的无线局域网络产品是依据FCC(Federal Communications Committee;美国联邦通讯委员会)规定的ISM(Industrial Scientific,and Medical),频率范围开放在902M~928MHz及2.4G~2.484GHz两个频段,所以并没有所谓使用授权的限制。展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。
3.3.1跳频技术(FHSS)
跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,也只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
3.3.2直接序列展频技术(DSSS)
直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。
基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE802.11的标准内,其Spreading Ration大约在100左右。
3.4 FHSS VS DSSS调变差异
无线局域网络在性能和能力上的差异,主要是取决于所采用的是FHSS还是DSSS来实现、以及所采用的调变方式。然而,调变方式的选择并不完全是随意的,像FHSS并不强求某种特定的调变方式,而且,大部分既有的FHSS都是使用某些不同形式的GFSK,但是,IEEE 802.11草案规定要使用GFSK。至于DSSS则过使用可变相位调变(如:PSK、QPSK、DQPSK),可以得到最高的可靠性以及表现高数据速率性能。在抗噪声能力卜方面,采用QPSK调变方式的DSSS与采用FSK调变方式的FHSS相比,可以发现这两种不同技术的无线局域网络各自拥有的优势。FHSS系统之所以选用FSK调变方式的原因是因为FHSS和FSK内在架构的简单性,FSK无线讯号可使用非线性功率放大器,但这却牺牲了作用范围和抗噪声能力。而DSSS系统需要稍为贵一些的线性放大器,但却可以获得更多的回馈。
3.5 DSSS VS FHSS之优劣
截至目前,若以现有的产品参数详加比较,可以看出DSSS技术在需要最佳可靠性的应用中具有较佳的优势,而FHSS技术在需要低成本的应用中较占优势。虽然我们可以在网际网络内看到各家厂商各说各话,但真正需要注意的是厂商在DSSS和FHSS展频技术的选择,必须要审慎端视产品在市场的定位而定,因为它可以解决无线局域网络的传输能力及特性,包括:抗干扰能力、使用距离范围、频宽大小、及传输资料的大小。一般而言,DSSS由于采用全频带传送资料,速度较快,未来可开发出更高传输频率的潜力也较大。DSSS技术适用于固定环境中、或对传输品质要求较高的应用,因此,无线厂房、无线医院、网络社区、分校连网等应用,大都采用DSSS无线技术产品。FHSS则大都使用于需快速移动的端点,如行动电话在无线传输技术部分即是采用FHSS技术;且因FHSS传输范围较小,所以往往在相同的传输环境下,所需要的FHSS技术设备要比DSSS技术设备多,在整体价格上,可能也会比较高。以目前企业需求来说,高速移动端点应用较少,而大多较注重传输速率、及传输的稳定性,所以未来无线网络产品发展应会以DSSS技术为主流。消费者选购无线局域网络时需要特别注意下列的特性,以决定自己合适的产品,包括:
◎ 涵盖范围
◎ 传输率
◎ 受Multipath影响程度
◎ 提供资料整合程度
◎ 和有线的基础设施之间的互操性
◎ 和其它无线的基础设施之间的互操性
◎ 抗干扰程度
◎ 简单、易操作
◎ 保密能力
◎ 低成本
◎ 电流消耗情况。
第四章 IEEE 802.11之相关信息
因应无线局域网络的强烈需求,美国的国际电子电机学会于1990年11月召开了802.11委员会,开始制定无线局域网络标准。承袭IEEE802系列,802.11规范了无线局域网络的介质存取控制(Medium Access Control ;MAC)层及实体(Physical ;PHY)层。此较特别的是由于实际无线传输的方式不同,IEEE802.11在统一的MAC层下面规范了各种不同的实体层,以因应目前的情况及未来的技术发展。目前802.11中制订了三种介质的实体,为了未来技术的扩充性,也都提供了多重速率(Mulitiple Rates)的功能。这三个实体分别是:
4.1 2.4GHz Direct Sequence Spread Spectrum
速率1Mbps时用DBPSK调变(Difference By Phase Shift Keying)速率2Mbps 时用DQPSK调变(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用长度11的Barker码当展频PN码
4.2 2.4GHz Frequency Hopping Spread Spectrum
速率1Mbps时用2-level GFSK调变,接收敏感度–80dbm, 速率2Mbps时用4-level GFSK调变,接收敏感度–75dbm, 每秒跳2.5个 hops Hopping Sequence在欧美有22组,在日本有4组
4.3 Diffused IR
速率1Mbps时用16ppm调变,接收敏感度2 ×10-5mW/平方公分 速率2Mbps时用4ppm调变,接收敏感度8 ×10-5mW/平方公分 波长850nm~950nm
其中前两种在2.4GHz的射频方式是依据ISM频段以展频技术可做不须授权使用的规定,这个频段的使用在全世界包含美国、欧洲、日本及中国台湾等主要国家和地区都有开放。第三项的红外线由于目前使用上没有任何管制(除了安全上的规范),因此也是自由使用的。IEEE 802.11 MAC的基本存取方式称为CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance),与以太网络所用的CSMA/CD(Collision Detection)变成了碰撞防止(Collision Avoidance),这一字之差是很大的。因为在无线传输中感测载波及碰撞侦测都是不可靠的,感测载波有困难。另外通常无线电波经天线送出去时,自己是无法监视到的,因此碰撞侦测实质上也做不到。在802.11中感测载波是由两种方式来达成,第一是实际去听是否有电波在传,及加上优先权的观念。另一个是虚拟的感测载波,告知大家待会有多久的时间我们要传东西,以防止碰撞。
第五章 无线局域网络之产品简介
5.1 Access Point
一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
5.2 Wireless LAN Card
一般称为无线网络卡,其与传统之Ethernet网络卡的差别是在于前者之资料传送乃是藉由无线电波,而后者则是透过一般的网络线。目前无线网络卡的规格大致可分成2M,5M,11M,三种,而其适用之界面可分为PCMCIA,ISA,PCI三种界面。
5.3 Antenna
一般称为天线,此天线与一般电视,火腿族,大哥大所用之天线不同,其原因乃是因为频率不同所致,WLAN所用之频率为较高2.4GHz之频段。天线之功能乃是将source之信号,藉由天线本身的特性而传送至远处,至于能传多远,一般除了考虑source的output power强度之外,其另一重要因素乃是天线本身之dBi值,即俗称的增益值,dB值愈高,相对所能传达之距离也更远。通常每增加8dB则相对之距离可增至原距离的一半。一般天线有所谓指向性(Uni-direction)与全向性(Omni-direction)两种,前者较适合于长距离使用,而后者则较适合区域性之应用。
5.4 产品Q & A
Q1:何谓无线网络
ANS:一般来讲,所谓无线,顾名思义就是利用无线电波来作为资料的传导,而就应用层面来讲,它与有线网络的用途完全相似,两者最大不同的地方是在于传输资料的媒介不同。除此之外,正因它是无线,因此无论是在硬件架设或使用之机动性均比有线网络要优势许多。
Q2:无线网络与有线网络相较之下,有那些优点 ANS:就使用上它的机动性,便利性,是有线网络所不及,就成本上,它可省下一笔可观的布线费用,修改装潢费用,基本上使用的空间较为弹性许多。
Q3:无线网络对人体是否有所影响
ANS:因无线网络的发射功率较一般的大哥大手机要微弱许多,无线网络发射功率约60~70mW,而大哥大手机发射功率约200mW左右,而且使用的方式亦非像手机一般直接接触于人体,因此较无安全上之考量。
Q4:若要架构一个无线网络,其最基本之配备需要有那些
ANS:一般架设无线网络的基本配备就是一片无线网络卡及一台桥接器(AP),如此便能以无线的模式,配合既有的有线架构来分享网络资源。
Q5:无线网络就使用是否会被干扰或影响其它设备运作
ANS:基本上无线网络所使用之频段是属于ISM 2.4GHz的高频率范围,就日常生活,或办公室等等所用之电器设备是不会相互干扰,因频率差异甚多,而且无线网络本身共有12个信道可供调整,自然干扰的现象就不必担心。
Q6:何谓ISM频段
ANS:ISM(Industrial Scientific Medical)Band,此频段(2.4~2.4835GHz)主要是开放给工业,科学、医学,三个主要机构使用,该频段是依据美国联邦通讯委员会(FCC)所定义出来,属于Free License,并没有所谓使用授权的限制。
Q7:何谓展频(Spread Spectrum)ANS:展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。对于一个非特定的接受器,Spread Spectrum所产生的跳动讯号对它而言,只算是脉冲噪声。因此对整体而言是一种较具安全性的通讯技术。
Q8:何谓跳频(Frequency-Hopping Spread Spectrum)ANS:跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
Q9:何谓直接序列展频(Direct Sequence Spread Spectrum)ANS:直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE 802.11的标准内,其Spreading Ration只有11,但FCC的规定是必须大于10,而实验中,最佳的Spreading Ration大约在100左右。
Q10:无线网络所能含盖的范围有多广
ANS:一般无线网络所能含盖的范围应视环境的开放与否而定,若不加外接天线而言,在视野所及之处约250M,若属半开放性空间,有隔间之区域,则约35~50M左右,当然若加上外接天线,则距离可达更远,此关系到天线本身之增益而定,因此需视客户之需求而加以规划之。
Q11:无线网络于使用之过程其保密性为何
ANS:基本上GEMPLEX之无线网络技术采DSSS系统,本身就具有防窃听之功能,另外再加上资料加密功能(WEP40bits)的双重防护下,因此其安全性是相当周全。
Q12:何谓桥接器(Access Point)ANS:Access Point,一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
Q13:Access Point在使用上可同时支持多少工作站
ANS:理论上是可以支持到一个CLASS C,但为了让工作站本身有足够之频宽可利用,一般建议一台AP约支持20~30左右之工作站为最佳状态。
Q14:何谓漫游(Roaming)功能
ANS:如同大哥大一般,可漫游在不同的基地台之间,无线网络工作站亦可漫游在不同的AP之间,只要AP群的ESSID
定义一样,则自然无线网络工作站可自由的漫游于无线电波所能含盖之区域。
Q15:若无线网络之设备架设于室外,其如何防止雷击
ANS:基本上无线网络可配置避雷器之设备,此设备可选购装设于无线网络设备上,以利外来之突波造成系统损坏。
Q16:何谓Access Control ANS:基本上每张无线网卡上都有一组独一无二的硬件地址,即所谓的MAC address,经由Access Control table可定义某些卡可登入此AP,某些卡被拒绝登入,如此便能达到控管的机制,可避免非相关人员随意登入网络,窃取资源。
Q17:何谓ASBF ANS:ASBF(Automatic Scale Back Functionality),此项功能是Gemplex AP特有之功能,保证WLAN始终处于最佳的联机品质,除此之外,并提供支持多重厂商的无线网卡,但其网卡必须是符合IEEE 802.11之规范而设计。
Q18:何谓Power Management ANS:由于Notebook使用约2小时左右后便必须充电,若又同时使用其它外围设备,则必定更加耗电,因此此项功能乃在于有效的管理无线网络卡所消耗之电量,换句话说,它能适时控制当有DATA sending or receiving时,是处于”Wake up status”,反之则处于power down mode。
Q19:天线所使用之导线的长度是否有影响传输品质 ANS:一般来讲,天线所使用之导线的长度,材质,阻抗匹配,均会对讯号造成某程度之影响,而最明显的就是增益衰减。通常以20 feet之长度而言就会让讯号衰减约1.2dBi左右,而平均每衰减8dBi就会让原传输之距离约缩减一半,因此导线之长度与品质在无线产品的应用上是不容忽视的。
Q20:架设指向性天线时,是否有工具可提供指示,让讯号品质达到最佳化
ANS:Gemplex之Bridge本身有提供一套软件联机品质校正程序,其中是以图形曲线的方式呈现于屏幕上,使用者可明显看出该讯号目前强弱之状况,而加以调整天线的位置,已达最佳状态。
Q21 : 何谓Ad-hoc ANS : 构成一种特殊的无线网络应用模式,一群计算机接上无线网络卡,即可相互连接,资源共享,无需透过Access Point.Q22 : 何谓Infrastructure ANS : 一种整合有线与无线局域网络架构的应用模式,透过此种架构模式,即可达成网络资源的共享,此应用需透过Access Point.Q23 : 何谓BSS ANS : 一种特殊的Ad-hoc LAN的应用,称为Basic Service Set(BSS),一群计算机设定相同的BSS名称,即可自成一个group,而此BSS名称,即所谓BSSID。
Q24 : 何谓ESS ANS : 一种infrastructure的应用,一个或多个以上的BSS,即可被定义成一个Extended Service Set(ESS),使用者可于ESS上roaming及存取BSSs中的任何资料,其中Access Points必须设定相同的ESSID及channel才能允许roaming.Q25 : 何谓SNMP ANS : “Simple Network Management Protocol “,一种网管的通信协议,透过SNMP的软件可以连接至可支持SNMP的装置并可收集该装置所有的信息并做其它整合性的应用,Gemplex Wireless LAN product 就有support此功能。
Q26 : 何谓WEP ANS : “Wired Equivalent Protection “,一种将资料加密的处理方式,WEP 40bits的encryption 乃是IEEE 802.11的标准规范。
透过WEP的处理便可让我们的资料于传输中更加安全。
5.5 无线局域网络之应用
大楼之间 : 大楼之间建构网络的连结,取代专线,简单又便宜。
餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。
医 疗 :
使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。
企 业 :
当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。
仓储管理 : 一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。
货柜集散场 : 一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。
监视系统 : 一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。
展示会场 : 诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
第六章 无线局域网关键技术研究与展望
与目前5类线到户的有线局域网(LAN)用户接入方式相类似,无线局域网(WLAN)正在发展成为公网的宽带无线用户接入方式,即运营商的WLAN(OWLAN)。OWLAN严格说起来并不是一种局域网,而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时,WLAN只定位在局域网应用,故在WLAN作为热点地区公共接入网络时,802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本章主要探讨WLAN在作为公共接入网时的组网方案,以及对认证、加密、计费和漫游方面的解决方案。
6.1 公共WLAN组网方案
OWLAN可以作为某一个运营商的无线接入网,亦可作为多个运营商共用的无线接入网,故在OWLAN中要求能支持多种认证方式。
6.1.1 接入点(AP)
AP是WLAN的小型无线基站设备,为无线网与DS(分配系统例如有线以太网)之间的网关,且具有802.11f切换功能
6.1.2 接入控制点(AC)
AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式,并提供动态IP地址分配、输出原始计费信息、提供路由功能等。
6.1.3 远程拨号接入认证(RADIUS)服务器
在使用“用户号十密码”或“手机号十密码”的Web认证方式时,使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息,产生符合移动运营商要求格式的CDR(呼叫数据记录)计费信息,实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。
6.1.4 认证服务器(AS)
移动运营商使用SIM卡认证方式时,需要使用认证服务器(AS)。AS与网关(GW或GPRS中的GGSN)相配合提供WLAN与移动运行商HLR/AUC的连接。AS在读取MT(移动终端)的国际移动用户识别(IMSI),送HLR/AUC确认该用户为WLAN注册用户后,与HLR/AUC配合完成密钥产生、EAP(可扩展认证协议)_SIM认证等任务。其他功能同RADIUS服务器。
6.1.5 门户网站服务器(Portal Server)
用于向用户端推送WEB认证页面和门户网站主页面。
6.2 公网WLAN用户接入的相关解决方案
6.2.1 OWLAN的用户认证
WLAN在作为局域网使用时,沿用了有线LAN的PPPoE(PPP over Ethernet)和Web用户认证方式。在作为OWLAN使用时,由于其在物理上的开放性,使得非
法用户入侵的可能性大为增加,原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后,基本可以满足OWLAN的要求。同时,在认证安全前提下,应尽量利用运营商已有的鉴权认证设备,以简化系统、节约投资。
6.2.2 802.1x用户认证方式中的访问实体
802.1x协议克服了传统PPPoE和WEB认证方式的缺点,更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体(PAE)包括:客户端、认证者和认证服务器三部分。(1)客户端
用户从客户端发起802.11x的用户认证过程,为了支持基于端口的接入控制,客户端必需支持EAPoL(基于LAN的扩展认证协议)。(2)认证者
认证者通常为支持802.1x协议的网络设备,这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态,主要用于传递EAPoL协议帧,用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开,用于传递运营商的有偿网络资源和业务。当用户未通过认证时,受控端口对该用户关闭,即无法访问该运营商所提供的有偿服务。(3)认证服务器
认证服务器通常为RADIUS服务器或AS+HLR/AUC,它与认证者之间通过EAP协议进行通信。
6.3 802.1x认证方式
802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务(RADIUS)及与之相关的两个通信协议:可扩展认证协议(EAP)和传输层协议(TLS)。802.1x主要涵盖以下四种认证方式:
6.3.1 EAP-MD5认证方式
EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码,若通过认证就就允许客户端访问网络业务。采用该认证方式时,用户密码采用MD5加密算法,以保证认证信息的安全。EAP-MD5属单向认证机制,即只包括网络对客户端的认证。
6.3.2 EAP-SIM认证方式
EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡。网络侧的认证服务器(AS)与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证
6.3.3 EAP-TLS认证方式
EAP-TLS认证方式属于传输层认证机制,支持用户与网络之间的双向认证。用户可以在每次连接动态生成新密钥,且在用户连接期间按一定间隔更新密钥。TLS认证中,传送的数据由TLS加密封装,保证认证信息的安全。
6.3.4 EAP-TTLS鉴权认证方式
EAP-TTLS认证方式基于隧道安全认证技术,能够支持双向认证和动态密钥分发。在该认证方式中客户端与RADIUS之间,采用EAPoL协议建立安全隧道传送EAP认证包,实现TTLS认证。
6.4 OWLAN的数据安全
802.1x协议对数据的加
为了克服802.11所定义WEP(有线等效保密协议)存在的安全隐患,IEEE制定了802.1x用以增强WEP的安全性。WEP使用40位静态密钥,而802.1x通过动态配置WEP的128位密钥加强了数据的保密性,制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进,并增加了消息完整性检查(MIC)
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依赖于其初始鉴权认证的主密钥。利用该主密钥对空中数据帧加密,使得未经认证的用户无法对所窃取的数据帧进行解密
第七章 WLAN中的VPN
为了保证企业内部网络的安全接入,在OWLAN接入网中采用虚拟专网(VPN)技术用以保证企业内部网络的安全接入。VPN是指在一个公共IP平台上,通过隧道及加密技术,为网络提供点对点的安全通信,以保证远程用户接入专用网络的数据安全性。
在采用VPN技术的WLAN中,无线接入网络已被企业的VPN服务器和虚拟局域网(VLAN)将企业内部网的接入隔离开来。由企业的VPN服务器提供无线网络的认证与加密,并充当企业内部网络的网关。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议,上述协议对通过WLAN传送的数据提供强大的加密功能。
根据隧道的建立方式,可划分为2类VPN连接应用:
7.1 由用户端发起的VPN连接
在由用户端发起的VPN连接应用中,需要在MT中按装VPN客户端软件。用以在MT与企业的VPN服务器(网关)之间建立隧道连接。在这类VPN连接中,VPN只涉及发起端与终结端,因此对AP、AC而言是透明的,无需AP、AC支持VPN。
7.2 由AC端发起的VPN连接
在由AC端发起的VPN连接应用中,用户以PPPoE方式连接AC,AC根据通信目的域名地址判为VPN业务后,由AC发起一条隧道连接用户欲接入的企业网网关。在这种方式下从MT到AC的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现传输数据的加密。
7.3 802.11i标准
802.11i是专门针对WLAN安全体系的标准。该标准提供一种新的加密方法和认证方式(即WEP2技术)。与传统的WEP算法相比较,WEP2将密钥的长度由40位增加到128位,故很难破译。同时,该标准将一种增强安全网络(RSN)方案纳入其中,并包括了TKIP和AES-OCB两个协议。802.11i通过使用动态密钥、良好的密钥管理与分发机制以及更强的加密算法,使得在WLAN中的数据帧传输变得更加安全。
OWLAN的计费
在OWLAN中,AC监测用户数据传输的时间或流量,用以产生计费的原始信息送AS或RADUIS。在AS或RADUIS中对计费原始信息进行加工,生成符合计费中心所需格式的计费数据记录(CDR),送运行商计费中心。在多个运营商共用一个OWLAN时,要求AC能鉴别不同运营商的计费信息,分别送对应运营商的计费系统。
OWLAN的移动性管理
802.11至今还没有一个对MT设备跟踪与管理的正式标准。而在将WLAN作为OWLAN应用的今天,必须解决在同一计算机子网(域)内MT在不同AP之间漫游的问题;以及不同计算机子网(域)之间的漫游的问题。在没有统一的WLAN域内、域间的漫游标准之前,各制造商和运营商则推出了各自的解决方案
域内漫游
在802.11中仅说明了MT可以在同一个ESS(扩展业务集)内的AP之间进
行漫游,但未对MT漫游时AP之间具体通信过程做出规定,故不同厂家在实现AP间漫游时均采用了私有协议,这对运营商的组网带来了困难。为此IEEE推出了支持域内漫游的802.11f标准(已被IEEE批准为实践性标准)。
802.11f定义了同一ESS中AP的登录,以及MT从一个AP切换到另一个AP时,AP之间交换的信息。
802.11f所定义的IAPP(AP间交互协议)在IP层上规定了AP之间以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共同的DS中交互信息、进行互操作。同时亦通过IAPP来影响第二层网络设备的操作。802.11f要求在RADIUS服务器中存放有域内各AP的基本信息,例如基本服务集标识(BSS-ID)、IP地址以及MT接入的认证密钥。
7.4 基本的WLAN安全
务组标识符(SSID):无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。况且有的厂家支持any方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。另外,非法用户利用网络侦听手段很容易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
7.5 IEEE 802.11的安全技术
7.5.1 认证
在无线客户端和中心设备交换数据之前,它们之间必须先进行一次对话。在802.11b标准制定时,IEEE在其中加入了一项功能:当一个设备和中心设备对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他关键通信。这项功能可以被设为shared key authentication和open authentication,默认的是后者。在默认设定下,任何设备都可以和中心设备进行通讯,而无法越过中心设备,去更高一级的安全区域。而在shared key authentication设定时,客户机要先向中心设备发出连接请求,然后中心设备发回一串字符,要求客户机使用WEP钥匙返回密码。只有在密码正确的情况下,客户机才可以和中心设备进行通信,并可以进入更高级别。
使用认证方式有一个缺点,中心设备发回的字符是明文的。通过监听通信过程,攻击者可以在认证公式中得到2个未知数的值,明文的字符和客户机返回的字符,而只有一个值还无法知道。通过RC4计算机通信加密算法,攻击者可以轻易的搞到shared authentication key。由于WEP使用的是同一个钥匙,侵入者就可以通过中心设备,进入其他客户端。讽刺的是,这项安全功能通常都应该设
为“open authentication”,使得任何人都可以和中心设备通信,而通过其他方式来保障安全。尽管不使用这项安全功能看上去和保障网络安全相矛盾,但是实际上,这个安全层带来的潜在危险远大于其提供的帮助
7.5.2 保密
有线等效保密(WEP):WEP虽然通过加密提供网络的安全性,但存在许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。利用认证与加密的安全漏洞,在很短的时间内,WEP密钥即可被破解。
7.6 IEEE 802.11i标准
(1)认证-端口访问控制技术(IEEE 802.1x)
通过802.1X,当一个设备要接入中心设备时,中心设备就要求一组证书。用户提供的证书被中心设备提交给服务器进行认证。这台服务器称为RADIUS,也就是temote Authentication Dial-In User Service,通常是用来认证拨号用户的。这整个过程被包含在802.1X的标准EAP(扩展认证协议)中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP也是802.1X中最主要的安全功能。现在的EAP方式主要有四种。
但是IEEE 802.1x提供的是无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于其享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
(2)保密
有线等效保密的改进方案-TKIP。
目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比于WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,由于WEP算法的安全漏洞是由于WEP机制本身引加性高斯噪声信道起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全关键的加密部分,TKIP
没有脱离WEP的核心机制。
目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protoco1)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
7.7 VPN技术
作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。然而,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术体制杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络儿乎是不可思议的。
成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。
7.8 WAPI 技术标准是所有产业健康发展的基石,对无线局域网产业而言,以往一直存在缺乏统一标准和安全保障两大瓶颈。目前WEAN国际标准可靠安全机制的软肋使得安全问题的压力大部分遗留给了WLAN产业链上的芯片设计、设备制造、系统集成甚至最终用户等各个环节,各设备厂商和系统集成商各行其道,市场中出现大量专有的安全标准和解决方案,这些方案要么影响网络性能要么限制了网络的可用性和扩展性,当然最致命的是,这些方案大多基于WEP、802.lx等对WLAN来说并不十分可靠的基础协改。对于大多数并不熟悉WLAN安全技术的最终用户而言,WEP/WPA/SSID/VPN/802.1x等名目繁多、花样翻新,往往又价格不斐的WLAN安全方案让他们无所适从。
最新颁布并且即将强制执行的WLAN国家标准对目前中国WLAN市场的发展和格局将产生深远影响。WLAN国家标准依据我国的无线电管理法规对我国无线局域网相关产品的发射功率、信道数等作出了明确规定,标准还强调和规定了无线局域网安全技术的应用要求。适用于独立的无线局域网设备以及提供无线局域网相关功能的独立或嵌入式软件模块。同时该标准与相应国际标准的区别主要表现在对安全机制的严格要求,即用WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。虽然WAPI作为被中国政府认可并最终颁布的WLAN安全机制,有着比
目前WEP、802.lx、WPA等安全协议更高的安全性,但是能否获得最终的成功还有待于厂商的支持和市场的考验。
7.9 WLAN的切换与漫游
7.9.1 切换与漫游
WLAN的切换指的是在相同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。漫游指的是在不同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。
加入现有的服务区有两种方法:主动扫描和被动扫描。主动扫描要求站点查找接入点,从接入点设备中接受同步信息。也可通过被动扫描获得同步信息,可侦听每个接入点周期性所发送的信标帧。一旦站点定位了接入点,并取得了同步信息,就必须交换验证信息。这些信息的交互在接入点和站点之间产生,每个设备给出预设的口令。在站点经过验证后,关联过程就开始了。在关联过程中,交换站点信息和接入点服务的能力信息是一群接入点得到的站点当前位置的信息。一旦关联过程结束,该站点就能够发送和接收帧。当站点离开它的接入点发生漫游时,注意到接入点的链路信号正在变弱。站点使用它的扫描功能查找另一个接入点,或利用上一次扫描得到的信息选取另一个接入点。一旦找到新的接入点,站点就向它发送重新关联请求。如果站点接收到重新关联响应,它就拥有一个新的接入点并且漫游成功。
7.9.2 移动IP
在无线网络中,如果一边使用无线局域网接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,IETF制定了扩展IP网络移动性的系列标准。所谓移动IP,就是指在IP网络上的多个子网内均可使用同一IP地址的技术。这种技术是通过使用被称为本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器对网络终端所处位置的网络进行管理来实现的。在移动IP系统中,可保证用户的移动终端始终使用固定的IP地址进行网络通信,不管在怎样的移动过程中皆可建立TCP连接并不会发生中断。在无线局域网系统中,广泛的应用移动IP技术可以突破网络的地域范围限制,并可克服在跨网段时使用动态主机配置协议(DHCP)方式所造成的通信中断、权限变化等问题。
结语
无线网络的出现就是为了解决有线网络无法克服的困难,虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户,目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争,目前还只是有线网络的补充,而不是替换,但也应该看到。近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务,相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
致谢
在此,首先要对我的导师柯江民老师,致以最深的感谢。感谢柯老师对我的论文不厌其烦的细心指点。柯老师首先细致地为我选题、解题;当我深陷于众多的资料,找不准角度,理不清思路时,柯老师又为我指点迷津,梳理脉络,使我感到柳暗花明,分清了层次,确立了本文的框架。在论文写作过程中,经常得到柯老师电话和邮件指点。在修改和完善过程中,柯老师更是严格细致,从框架的完善,到内容的扩充;从行文的用语,到格式的规范,进行了全面地审阅,提出了许多中肯的修改意见。我再次为柯老师的付出表示感谢。同时还要衷心感谢网络管理学科的尧时茂老师 崇志军老师 程霄老师 王凌敏老师等的言传身教,是你们的启迪与指导,使我获得了各种专业知识。老师们勤奋工作、严谨治学的精神永远值得我学习。也要感谢每一位朋友、每一位同学,正是有了你们友情的陪伴,才使得我的大学生活丰富而多彩!在此我要特别感谢各位兄弟姐妹们给予我的支持和帮助!最后,要深深感谢家人对我学业的全力支持,你们的期待与鼓励是我前进的最大动力。
三年是短暂的,记忆是永恒的!最后,衷心祝愿我亲爱的朋友们:生活幸福,天天快乐!
参考文献:
1.李建东.黄振海 WLAN的标准与技术发展[期刊论文]-中兴通讯技术 2003(2)2.徐冬梅 WLAN走向安全、高速、互联 2002(12)3.GB 15629.11-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范
4.GB 15629.1102-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范:2.4GHz频段较高速物理层扩展规范
5.孙少陵.李新.叶伟 WLAN市场发展现状与前景[期刊论文]-中兴通讯技术 2003(2)6.王志勤 3G与WLAN的关系[期刊论文]-中兴通讯技术 2003(2)7.李承恕 WLAN与2.5/3代移动通信网的结合[期刊论文]-中兴通讯技术 2003(2)8.谈振辉 应用于移动环境中的WLAN接入网结构[期刊论文]-中兴通讯技术 2003(2)9.吕霞.杨军 WLAN标准GB15629.11安全机制--WAPI协议解析[期刊论文]-电子设计应用 2004(10)10.尹传勇.刘寿强.毕雅宁 营造安全的无限空间--无限局域网新标准WAPI解析[期刊论文]-计算机安全 2004(7)11.郑君杰.肖军模.程林 WAPI协议及其安全性分析[期刊论文]-电视技术 2004(5)12.可运营WLAN网络安全问题的探讨
14.倪源.彭志威.王育民 增强的无线局域网安全技术分析[期刊论文]-中兴通讯技术 2003(6)15.万仁福.陈宇.李方伟 3G与WLAN融合的安全性分析[期刊论文]-电信快报 2004(8)16.魏松.肖征荣 3G与WLAN互连的安全问题[期刊论文]-电信快报 2004(8)17.何广法.刘乃安 基于3GPP-WLAN互通性安全的AP设计应用[期刊论文]-现代电子技术 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.杨文东 IEEE 802.16宽带无线接入标准体系介绍[期刊论文]-电信工程技术与标准化 2003(2)20.刘文杰.傅海阳.吴蒙 LMDS系统安全认证协议的形式分析与改进[期刊论文]-计算机工程 2003(22)21.傅坚 无线宽带固定接入系统的安全性分析[期刊论文]-计算机工程 2004(6)
第五篇:关于校园无线局域网设计的毕业论文
论文摘要:随着无线网络技术的发展与校园信息化水平的提高,基于WLAN的无线校园网络构建技术已成趋势,成为有线校园网网络延伸的重要手段之一。该文对无线局域网的优点和有线校园网中存在问题进行研究分析,提出校园网中使用无线局域网的必要性,探讨无线局域网在校园网建设中的解决方案。
论文关键词:无线局域网;校园网;IEEE802.11;AP;子网设计
随着网络应用日益丰富,传统局域网络已经不能满足师生对移动网络的要求,无线局域网作为有线网络的补充手段,被更多的师生所认同和接受。众多师生开始在无线局域网中开展各种应用业务,教学、科研、管理、生活正在悄悄地改变。虽然如今无线局域网还不能完全脱离有线网络,但近年来,随着无线局域网技术业趋向成熟,无线局域网与有线网络的无缝连接,无线局域网正在以它的较高传输能力和很好的灵活性在高校各项应用中发挥日益重要的作用。
无线局域网基础知识与架构
1.1 无线局域网
无线局域网(Wireless Local Area Network,WLAN)是指以无线信道作为传输媒介的计算机局域网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。
1.2 无线局域网的技术标准
无线局域网是利用射频技术实现无线通信的局域网络。该技术产生于20世纪80年代,WLAN主要是作为传统布线LAN的延展和替代,它能支持较高数据速率(1~300Mbit/s)、采用微蜂窝、微微蜂窝结构的,自主管理的计算机局部网络。还可以采用无线电或红外线作为传输媒质,采用扩展频谱技术,移动的终端可通过无线接人点来实现对Internet的访问。无线局域网有以下常用标准:
1)IEEE802.11b
802.11b(通常又称Wireless Fidelity,WI-FI),是现在最普及的无线标准之一。设备工作在2.4GHz的范围内,带宽可以达到11Mbps。
2)IEEE802.11a
802.11a标准是一个获得正式批准的无线以太网标准。它工作在5GHz频段上,使用正交频分复用技术,将5GHz分为多个重叠的频率,在每个子信道上进行窄带调制和传输,以减少信道之间的相互干扰,使带宽可以达到54Mbps。
3)IEEE802.11g
802.11g是一种混合标准,能向下兼容传统的802.11b标准。IEEE802.11g的54Mbps高数据吞吐量比802.11b快出5倍,将改善已有的应用性能,使高带宽数据应用成为可能。802.11g产品可以在同一个网络中与802.11b产品结合使用。
4)IEEE802.11n
IEEE802.11n将WLAN的传输速率从802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可达320Mbps。与以往的802.11标准不同,802.11n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)。这样11n保障了以往的802.11a、b、g标准兼容。另外,天线技术及传输技术使无线局域网的传输距离大大增加,可以达到几公里(并且能够保障100Mbps的传输速度)。
校园无线网络应用与优势
无线局域网以其灵活布设、高带宽和无线接人的优势,可以突破有线网络节点限制、实现多人同时上网的问题,大大地增加了校园网络信息点,方便在校师生获取信息,进一步提升学校的信息化水平。
2.1 无线局域网的优点
1)安装维护方便无线局域网的安装简单,无需破墙、掘地、穿线架管,这样避免对建筑物及周边环境影响,减少网络布线工作量,一般只要安装一个或多个接入点AP设备,就可建成覆盖整个建筑或地区的局域网络。一旦发生事故,不必寻找损坏路线,只要检查信号发送端与接收端的信号是否正常即可。
2)易于扩展
无线局域网技术有对等模式、中心模式、中继组网模式等多种配置方式,能够根据需要灵活选择。
3)经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用律较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造。而无线局域网可以避免或减少以上情况的发生。
4)使用灵活在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
5)传输速率高
无线局域网技术能够提供高速数据带宽,其中IEEE802.11g能提供的数据传输速率现在已经能够达到54Mbit/s。可以满足用户上网的实际需要。
2.2 无线校园网的网络应用
1)电子网络课堂教学。可以通过无线网络进行教学,拓展了知识空间。
2)移动教学。上课不用再聚集于教室,打破了空间的限制,拓展了地域空间。
3)随时互动辅导。师生不必在课堂上直接对话,拓展了教学空间。
4)科研与教学。校园师生可以随时、随地地从网上获取学术信息,获取无限的网络资源。
5)无线多媒体业务。无线活动教室;虚拟现实的学习环境;无线视频监控;校园语音电话及网上视频点播。
校园无线网络的规划与设计
3.1 网络需求分析
本文所讨论的无线校园网的规划是以江阴职业技术学院为对象,本学院地处江阴市南郊,占地500亩。校园内共有大小建筑27幢,师生员工9000余人,地理环境简单,考虑满足以下几个方面的需求:
1)建设一个满足教学和工作需要的安全可靠的无线校园网络;
2)无线与有线的统一:高校网络一般已经建设了有线网络,无线网络建设必须在原有的有线网络上进行,并实现网络互联、认证计费、安全防御等方面与有线网络进行良好的兼容和互补。这就要求校园有线网络的架构不需要任何改变,只需用原有的网管、认证、计费系统就可以对无线网络进行管理和统一认证。
3)所有教学楼及实训实验大楼:各层走廊和教室均要求信号覆盖;所有学生宿舍楼:鉴于各宿舍都有有线接通,尽量覆盖各宿舍(不做要求);篮球场及足球场:信号要求完全覆盖;室内体育馆:信号要求完全覆盖;各建筑周围的草坪和场所:信号要求完全覆盖;行政楼:要求信号完全覆盖;学生食堂:要求信号完全覆盖;教师宿舍楼:要求信号完全覆盖;要求能提供1000并发用户能力;
4)各信号输出点信号强度10-15dbm;将按照2.4G工作频段2.412~2.462GHz(FCC)分为channel1、channel6、channel11三个完全不干扰频段设计;要求室内容许最大覆盖距离为35—100米,室外容许最大距离100—400米。
5)校园无线网络在支持数据转发的同时支持数据、语音等多种业务,网络应该具有其它智能业务扩展的能力,满足学院的多功能发展需求;
6)现在建设高校无线网络,除了要考虑对现有IPv4网络终端的无线接入,还要支持高性能的IPv6的用户接入,以适应网络发展趋势,并保护网络投资。
3.2 无线校园网的设计
3.2.1 校园无线网络拓扑结构设计
对于局部无线网络,主要采用的是以AP或者无线交换机等为中心结点的星型结构,其目的是为了满足多用户的需求。而如果建设全局无线校园网,可将网络划分为核心层、分布层、接入层进行设计,在整体上一般采用以树型和星型混合的拓扑结构。
3.2.2 校园无线网络物理结构设计
本校已经建成了“千兆主干,百兆交换到桌面”,信息点覆盖教学、办公、图书和实验等大楼主要部分的校园网,在目前的校园网环境下,借助于轻型AP模式架构,可以在现有校园有线网络的基础上建立逻辑独立的无线网络。
通常模式下所有无线数据及控制流量均交由无线控制器来处理,所以我们采用现有校园网的交换机/路由器组成集中控制管理的“覆盖式”(Overlay)无线网络设计,如图1所示。
修改现有校园网交换机的VLAN参数设置、路由设置,使得AP尽量不与一般有线网络设备混合在同一个VLAN中,避免有线设备的异常流量阻断AP和无线控制器之间的通讯;将连接在同一交换机端口下的所有AP放置在一个受保护的VLAN中,设计时统一分配给这些AP静态IP地址,以便于管理;采用核心交换机搭配无线控制模块的方式,进一步减小AP和无线控制器的AP-Manager之间端到端环回延迟,保证AP能够顺利连接在现有的校园网接入交换机上。
3.2.3 无线校园网的构建方法
校园无线网络构建的两种方法。第一,阀值法。通过调整AP的阀值设置,控制AP接入覆盖范围,从而在相同覆盖面积条件下,通过增加AP数量,提高系统容量。第二种,频率复用。学校人群主要由管理人员、教师、科研人员和大量学生构成,以上人群工作和学习生活分布在以下区域:图书馆、教学楼、办公楼、实验研究楼、学生宿舍、运动场以及各类休闲场地(草坪广场等)。
因此,在同一覆盖范围内的多个AP利用802.11g规定的13个可用信道中相互干扰最小信道1、6、11三个信道进行设计,客户端无线网卡根据各AP信号强度,选择不同信道工作,从而提高系统容量。
3.2.4 室内网络组建
室内的范围主要包括所有的教室、实验室、办公室等,在这些场合中主要需要解决两大问题,即AP的覆盖范围和AP的容量问题。由于AP是通过微波来进行数据传输的,室内要考虑的首要问题就是信号覆盖的问题。由于办公室、教室、实验室被各种墙面分割,这对信号的衰减影响很大,因此在室内构建无线局域网时必须对建筑物的信号强度进行详细测试。在合理地分析各个AP的容量与覆盖面后,还需考虑信号衰减因素,适当地增加AP个数来减少数据盲区。室内组建简图见图2。
两个AP的放置要保证AP覆盖区域无间隙并且AP重叠区域最小。相邻AP工作在不同频道,以1、6、11三个频道实现全方位的覆盖。根据经验值,当相邻AP设定相同频点时,要求间隔25米以上;当相邻AP设定相邻频点时,要求AP间隔16米以上;当AP设定相隔频点时,要求间隔12米以上。
对于房间多、用户数量不多但分布较分散的楼宇,如教学楼等,用户主要为学生、教师,因此应用肯定会比较频繁,由于楼长、墙体结构厚、房间多等特点,所以在该环境下覆盖AP安装在楼道内,通过内置天线覆盖楼道两侧房间,微波通过房间的门窗传输到室内,实现了比较细腻的覆盖环境,AP通过有线接入到楼层交换机。
3.2.5 室外无线网络组建
室外设备的AP使用数量基本也遵循室内的条件,但室外AP的放置和设计又有它自己的特点。由于室外环境的特殊性和不确定性,我们放置的设备必须是在密封盒内的,天线布置应该增加避雷器防止雷击,不提供本地供电的场所选用远程供电设备。我们通过室外无线接入点外接增益天线的方式覆盖室外区域,体现覆盖范围最大化的覆盖原则来保证无线用户需求。
从整体上对学院室外部分进行规划,通过室外建设WLAN射频基站对室外和室内用户进行无线覆盖。室外射频基站由室外型AP、外接天线(全向、扇区)以及配套避雷设备组成。根据复杂的室外建筑结构,外接天线的选择更加尤为重要。选择天线型号时应根据现场环境考虑增益、水平波束宽度、垂直波束宽度、极化方式、视觉效果(尺寸、外形、重量)等因素。
学校体育场、足球场、教学楼宇间公共区域等,一般是学校需要实现无线覆盖的室外公共区域。根据需覆盖的室外区域的实际情况,可以设计建立多个无线覆盖基站,采用重叠交叉无线覆盖的方式,完成区域的无缝无线覆盖。选用室外型无线路由器,在空旷地方,信号传输距可以达到300M~600M左右,视空间大小可以使用多个,或者使用室外无线AP,配合室外大夹角定向天线,成功实现系统设计目标。简单设计如图3所示。
无线校园网的网络安全设计
当一个无线局域网组建成功后,用户最关心的是无线局域网的安全问题。为了保证网络安全,我们可以从以下几个方面考虑:
1)用户接入认证控制:原有线校园网络已经部署了用户认证系统,建成后的无线网络必须完全融合进该认证系统中。
2)基于用户的访问策略:不同的用户可能有不同的上网行为,包括HTTP、FTP、语音等,针对不同的应用,应加以配置不同的行为控制权限,保障不同用户的网络互访的安全性。
3)受保护的无线数据传输:无线网络安全事件往往会发生在数据传输阶段。因此,建成的无线网络必须能够满足合法的无线用户与无线接入点数据传输的安全性,以及无线接入点与上行网络之间数据传输的安全性。结束语
校园网络已经成为一种不可代替的获得资源的重要手段。在校园网各区域分别布设无线局域网络以后,教师和学生就可以在这些区域漫游使用,大大增强网络覆盖能力,更好地为教学服务,对整合教育资源,改变教学模式,提高学校的信息化水平有着巨大的作用,为实现数字化校园建设打好基础。
点击咨询 