第一篇:无限局域网研究
郑州城市职业学院
毕业设计(论文)
题 目 无线局域网的研究 实习单位 中国通信建设第四工程局 系(部)电子工程系 专业班级 移动通信技术2班 学生姓名 白朋朋 学 号 20091032259 总评成绩 指导教师
2012年 3 月 12 日
郑州城市职业学院毕业设计(论文)
摘要
在这个通信网络发展的时代,伴随着我国有线网络的广泛应用,传统的局域网、城域网技术已经远远不能满足我们的使用需求,一种无线通信技术的产物依具着快捷高效、组网灵活的特点已经在我国通信的领域站稳了脚步,这就是WLAN(无线局域网)技术。
关键字:无限局域网
设置 2 IEEE802.11
郑州城市职业学院毕业设计(论文)
目录
引言 „„„„„„„„„„„„„„„„„„„„„„„„„„„„4 第一章:无线局域网的基础
1.1.1 WLAN概述 „„„„„„„„„„„„„„„„„„„„5 1.1.2 WLAN的基本感念 „„„„„„„„„„„„„„„„„5 1.1.3 WLAN 的优、缺点 „„„„„„„„„„„„„„„„„6 1.1.4 WLAN的应用 „„„„„„„„„„„„„„„„„„„7 1.1.5 WLAN常用设备 „„„„„„„„„„„„„„„„„„8 1.1.6 WLAN组成原理 „„„„„„„„„„„„„„„„„„9 1.1.7 WLAN传输方式 „„„„„„„„„„„„„„„„„„10 1.1.8 WLAN拓扑结构 „„„„„„„„„„„„„„„„„„11 第二章:无线局域网的标准
2.1.1 WLAN标准概述 „„„„„„„„„„„„„„„„„„13 2.1.2 IEEE802.11 „„„„„„„„„„„„„„„„„„„„13 2.2.1 IEEE802.11b „„„„„„„„„„„„„„„„„„„13 2.2.2 IEEE802.11a „„„„„„„„„„„„„„„„„„„13 2.2.3 IEEE802.11g „„„„„„„„„„„„„„„„„„„14 2.2.4 IEEE802.11i „„„„„„„„„„„„„„„„„„„14 2.2.5 IEEE802.11e/f/h „„„„„„„„„„„„„„„„„14 第三章:无线局域网的设置
3.1.1路由器的设置 „„„„„„„„„„„„„„„„„„15 3.1.2无线网卡设置 „„„„„„„„„„„„„„„„„„16 第四章:无线局域网的简单设计
4.1.1设计流程 „„„„„„„„„„„„„„„„„„„„„17 4.1.2调研及勘测 „„„„„„„„„„„„„„„„„„„„17 4.1.3覆盖设计 „„„„„„„„„„„„„„„„„„„„„17 4.1.4频率规划 „„„„„„„„„„„„„„„„„„„„„ 17 4.1.5容量规划 „„„„„„„„„„„„„„„„„17 4.1.6网络优化 „„„„„„„„„„„„„„„„„17 结论 „„„„„„„„„„„„„„„„„„„„„„„„„„18 参考文献 „„„„„„„„„„„„„„„„„„„„„„„„18 致谢 „„„„„„„„„„„„„„„„„„„„„„„„„„20
郑州城市职业学院毕业设计(论文)
引言
在如今这个网络技术时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无限局域网本质上是一种网络互连技术。无限局域网使用无线电波替代双绞线、同轴电缆等落伍设备,省去了布线的麻烦,组网灵活。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。无限局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地方和远冲离的数据处节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂、库存控制、会议、金融服务、旅游服务、移动办公系统等行业中等到了应用,受到了广泛的亲睐。
郑州城市职业学院毕业设计(论文)
第一章:无线局域网的基础
1.1.1 WLAN的概述
无线局域网技术自从民用以来经历了30多年的漫长发展历程,自1997年IEEE发布802.11标准以来已经有了长足的发展,随着用户的增多以及技术的成熟,无线网络已经摆脱了网络速度慢、价格高等因素。应用广泛,架设灵活,铺设速度快等优势逐渐使它在市场上有了相当强的竞争力。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!
图:无线局域网
1.1.2 WLAN的基本感念
在一个典型的无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(AP)。通常,一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,AP可以通过标准的Ethernet电缆与传统的有线网络相联,作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。
无线局域网在室外主要有以下几种结构:点对点型、点对多点型、多点对点 5
郑州城市职业学院毕业设计(论文)
型和混合型。
※点对点型
该类型常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,优点是传输距离远,传输速率高,受外界环境影响较小。
※ 点对多点型
该类型常用于有一个中心点,多个远端点的情况下。其最大优点是组建网络成本低、维护简单;其次,由于中心使用了全向天线,设备调试相对容易。该种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证。
※ 混合型
这种类 型适用于所建网络中有远距离的点、近距离的点,还有建筑物或山脉阻挡的点。在组建这种网络时,综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。
1.1.3 WLAN 的优、缺点
与有线网络相比,无线局域网具有以下优点:
安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。
使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需
郑州城市职业学院毕业设计(论文)
要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
易于扩展
无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点,所以发展十分迅速。在最近几年里,无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。
但是任何事物都不是完美的,无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:
性能
无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。
速率
无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为54Mbit/s,只适合于个人终端和小规模网络应用。
安全性
本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
1.1.4 WLAN的应用
作为传统局域网的扩充
在某些特殊环境中,无线局域网能发挥传统局域网起不到的作用。这类环境主要是建筑物群之间、工厂建筑物之间的连接,股票交易等场所的活动节点,以及不能布线的历史古建筑等。在这种环境情况中,无线局域网提供了一种更有效 7
郑州城市职业学院毕业设计(论文)的联网方式。在大多说情况下,传统的局域网用来连接服务器和一些固定的工作站,而移动和不易于布线的节点可以通过无线局域网接入。
建筑物之间的互联
无线局域网的另一个用途是连接邻进建筑物中的局域网。在这种情况下,两座建筑物使用一条点到点无线链路,连接的典型设备是网桥或路由器。
漫游访问
带有天线的移动数据设备(如笔记本电脑)与无线局域网集线器之间可以实现漫游访问。
特殊网络(临时网络)
特殊网络是一个临时需要的对等网络(无集中的服务器)
1.1.5 WLAN常用设备
WLAN终端设备、接入点设备(AP)、接入控制点(AC)、boss系统
图:组网模式
图:家庭组网模式
郑州城市职业学院毕业设计(论文)
图:企业组网模式
图:无线网桥
1.1.6WLAN组成原理
无线电技术的原理在于,导体中电流强弱的改变会产生无线电波。利用这一现象,通过调制可将信息加载于无线电波之上。当电波通过空间传播到达收信端,电波引起的电磁场变化又会在导体中产生电流。通过解调将信息从电流变化中提取出来,就达到了信息传递的目的,无线传输是利用电磁波。分发射部分和接收部分。发射部分由产生高频信号的振荡器,将音频信号加到电磁波上的调制器和高频功率放大器,最后由天线发射到空间去。接收部分由接收天线,高频放大,变频器,中频放大器,检波器和音频功率放大器等组成,最后由喇叭还原出声音。
现在无线传输已经超出了广播通信的范围。如无线电导航,无线电定位,无线上网等许多领域。
无线局域网是一种能支持较高数据速率(2-11Mbit/s),采用微蜂窝、微微蜂窝结构、自主治理的计算机局部网络。它可采用无线电或红外线作为传输媒质,采用扩展频谱技术,移动的终端可通过无线接入点来实现对Internet的访问。在无线局域网这个领域中有这样两个主要标准:IEEE802.11和HipERLAN WLAN利用常规的局域网(如10/100/1000Mbit/s以太网)及其互连设备(路由器)构成骨干支撑网,利用无线接入点(AP)和无线接入服务器(WAS)来支持移动终端(MT)的移动和漫游。无线接入服务器的作用是提供无线终端的接入治理和移动性治理。在无线接入服务器管辖的范围内(称为服务区)可支持多个小区。无线接入点的作用是完成WLAN和LAN之间的桥接,实现无线空中
郑州城市职业学院毕业设计(论文)
接口协议到LAN协议的转换,并实现小区的移动用户治理。在无线接入服务器中运行移动IP服务器软件,在移动终端上运行移动IP客户机便可支持移动IP功能。
1.1.7WLAN的传输方式
无线传输分为:模拟微波传输和数字微波传输。
模拟微波传输就是把视频信号直接调制在微波的信道上,通过天线发射出去,监控中心通过天线接收微波信号,然后再通过微波接收机解调出原来的视频信号。如果需要控制云台镜头,就在监控中心加相应的指令控制发射机,监控前端配置相应的指令接收机,这种监控方式图像非常清晰,没有延时,没有压缩损耗,造价便宜,施工安装调试简单,适合一般监控点不是很多,需要中继也不多的情况下使用。其弱点是:抗干扰能力较差,易受天气、周围环境的影响,传输距离有限。目前,已逐步被数字微波、COFDM、3G、CDMA等取代。
数字微波传输就是先把视频编码压缩,然后通过数字微波信道调制,再通过天线发射出去,接收端则相反,天线接收信号,微波解扩,视频解压缩,最后还原模拟的视频信号,也可微波解扩后通过电脑安装相应的解码软件,用电脑软解压视频,而且电脑还支持录像,回放,管理,云镜控制,报警控制等功能;现在随着数字存储方式的普及,接收下的来的信号可以直接通过NVR存储显示或者直接进存储服务器,配合磁盘阵列存储;这种监控方式图像有720*576、352*288或更高的的分辨率选择,通过解码的存储方式,视频有0.2-0.8秒左右的延时。数字视频监控价根据实际情况差别很大,但也有一些模拟微波不可比的优点,如监控点比较多,环境比较复
郑州城市职业学院毕业设计(论文)
杂,需要加中继的情况多,监控点比较集中它可集中传输多路视频,抗干扰能力比模拟的要好一点,等等优点,适合监控点比较多,需要中继也多的情况下使用,客观地讲,前期投资较高。
1.1.8WLAN的拓扑结构
星形结构:
树型结构:
郑州城市职业学院毕业设计(论文)
总线结构:环型结构:
郑州城市职业学院毕业设计(论文)
第二章:无线局域网的标准
2.1.1 WLAN标准概述
由于WLAN是基于计算机网络与无线通信技术,在计算机网络结构中,逻辑链路控制(LLC)层及其之上的应用层对不同的物理层的要求可以是相同的,也可以是不同的,因此,WLAN标准主要是针对物理层和媒质访问控制层(MAC),涉及到所使用的无线频率范围、空中接口通信协议等技术规范与技术标准。
2.1.2 IEEE802.11 1990年IEEE802标准化委员会成立IEEE802.11WLAN标准工作组。IEEE802.11是在1997年6月由大量的局域网以及计算机专家审定通过的标准,该标准定义物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频扩频和直接序列扩频,工作在2.4000~2.4835GHz频段。IEEE802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入,业务主要限于数据访问,速率最高只能达到2Mbps。由于它在速率和传输距离上都不能满足人们的需要,所以IEEE802.11标准被IEEE802.11b所取代了。
2.2.1 IEEE802.11b 1999年9月IEEE802.11b被正式批准,该标准规定WLAN工作频段在2.4-2.4835GHz,数据传输速率达到11Mbps,传输距离控制在50-150英尺。该标准是对IEEE802.11的一个补充,采用补偿编码键控调制方式,采用点对点模式和基本模式两运作模式,在数据传输速率方面可以根据实际情况在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率间自动切换,它改变了WLAN设计状况,扩大了WLAN的应用领域。IEEE802.11b已成为当前主流的WLAN标准,被多数厂商所采用,所推出的产品广泛应用于办公室、家庭、宾馆、车站、机场等众多场合,但是由于许多WLAN的新标准的出现,IEEE802.11a和IEEE802.11g更是倍受业界关注。
2.2.2 IEEE802.11a 1999年,IEEE802.11a标准制定完成,该标准规定WLAN工作频段在5.15-5.825GHz,数据传输速率达到54Mbps/72Mbps(Turbo),传输距离控制在10-100米。该标准也是IEEE802.11的一个补充,扩充了标准的物理层,采用正交频分复用(OFDM)的独特扩频技术,采用QFSK调制方式,可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,支持多种业
郑州城市职业学院毕业设计(论文)
务如话音、数据和图像等,一个扇区可以接入多个用户,每个用户可带多个用户终端。IEEE802.11a标准是IEEE802.11b的后续标准,其设计初衷是取代802.11b标准,然而,工作于2.4GHz频带是不需要执照的,该频段属于工业、教育、医疗等专用频段,是公开的,工作于5.15-8.825GHz频带需要执照的。一些公司仍没有表示对802.11a标准的支持,一些公司更加看好最新混合标准――802.11g。
2.2.3 IEEE802.11g 目前,IEEE推出最新版本IEEE802.11g认证标准,该标准提出拥有IEEE802.11a的传输速率,安全性较IEEE802.11b好,采用2种调制方式,含802.11a中采用的OFDM与IEEE802.11b中采用的CCK,做到与802.11a和802.11b兼容。虽然802.11a较适用于企业,但WLAN运营商为了兼顾现有802.11b设备投资,选用802.11g的可能性极大。
2.2.4 IEEE802.11i
IEEE802.11i标准是结合IEEE802.1x中的用户端口身份验证和设备验证,对WLANMAC层进行修改与整合,定义了严格的加密格式和鉴权机制,以改善WLAN的安全性。IEEE802.11i新修订标准主要包括两项内容:“Wi-Fi保护访问”技术和“强健安全网络”。Wi-Fi联盟计划采用802.11i标准作为WPA的第二个版本,并于2004年初开始实行。IEEE802.11i标准在WLAN网络建设中的是相当重要的,数据的安全性是WLAN设备制造商和WLAN网络运营商应该首先考虑的头等工作。
2.2.5 IEEE802.11e/f/h IEEE802.11e标准对WLANMAC层协议提出改进,以支持多媒体传输,以支持所有WLAN无线广播接口的服务质量保证QOS机制。IEEE802.11f,定义访问节点之间的通讯,支持IEEE802.11的接入点互操作协议(IAPP)。IEEE802.11h用于802.11a的频谱管理技术。
郑州城市职业学院毕业设计(论文)
第三章:无线局域网的设置
3.11路由器设置
现在的路由器设置,多是通过WEB进行设置;由于路由器在没有正确设置以前,无线功能可能无法使用,因此我们通过网线与路由器联接;首先我们在浏览器地址栏中输入WR541G默认的IP地址,192.168.1.1。路由器的默认IP地址可能不相同,因此可在路由器上的标明或说明书中找到。在这里,需要说明一下:在通过WEB设置路由器时,当台与路由器联接的电脑的IP地址,必须设置成与路由器同一网关中;如耗子的路由器IP地址是192.168.1.1,因此与之联接的电脑的IP可设置成192.168.1.2---192.168.1.255之间任一地址。
对于电脑IP地址的设置,可如此设置:
在电脑正确安装好网卡驱动的情况下,选择控制面板--网络联接--本地联接,选择Internet协议(TCP/IP),点击属性--选择使用下面的IP地址;IP地址输入:192.168.1.2---192.168.1.255之间任一地址,耗子在此输入192.168.1.2,子网掩码输入255.255.255.0,默认网关输入192.168.1.1即路由器的IP地址。
在浏览器地址栏中输入路由器的IP,192.168.1.1确定后即可进入路由器的WEB设置界面。一般路由器在进入WEB设置界面时,需要管理员密码,如第一次输入,按说明介绍,输入原始密码即可。
TP-LINK路由器设置安装简单,而且性价比也不错,特别适合家庭网络;耗子用过几款TP-LINK的路由器,感觉不错。再说国人也要支持国货呀。
如果只想简单的设置路由器,只要选择设置向导,然后根据你的上网方式,配置好网络,即可实现路由功能。对于上网方式,请您根据自身情况进行选择。在这里,耗子以最常用的家庭ADSL虚拟拨号(PPPoE)拔号方式为例。
选择ADSL虚拟拨号(PPPoE),点击下一步,输入你的帐户名和密码,如不知道,请与你当地的IP服务商联系。点击下一步,进入无线设置界面,TP-LINK默认为无线打开,由于我们此文章主要介绍无线设置,因此,如果此设置界面的无线功能没有打开,选择打开后,点击下一步,即可完成路由器设置。由于新设置了路由器,因此路由器会重新联接,如果正确启动,选择设置界面上 15
郑州城市职业学院毕业设计(论文)的运行状态,应正确显示路由器当时状态,如果WAN口状态,显示错误,为你设置错误,请重新设置。
如果想让下面的客户机方便的配置网络,可以在路由器中打开DHCP服务,这样,所有与路由器联接的局域网中的电脑的TCP/IP协议设置为“自动获得IP地址”,路由器即可自动为每台机器配置网络。这样无需每台机器分别指定IP地址,当然,就是打开了DHCP服务,你也可手动为每台电脑指定IP地址。
3.12无线网卡设置
首先正确安装无线网卡的驱动,然后选择控制面板--网络联接--选择无线网络联接,右键选择属性。在无线网卡联接属性中选择配置,选择属性中的AD Hoc信道,在值中选择6,其值应与路由器无线设置频段的值一致,点击确定。
一般情况下,无线网卡的频段不需要设置的,系统会自动搜索的。耗子的无线网卡即可自动搜索到频段,因此如果你设置好无线路由后,无线网卡无法搜索到无线网络,一般多是频段设置的原因,请按上面设置正确的频段即可。
设置完面后,选择选择控制面板--网络联接--鼠标双击无线网络联接,选择无线网络联接状态,正确情况下,无线网络应正常联接的
如果无线网络联接状态中,没有显示联接,点击查看无线网络,然后选择刷新网络列表,在系统检测到可用的无线网络后,点击联接,即可完成无线网络联接。
其实无线网络设置与有线网站设置基本差不多的。只是比有线网络多了个频段设置,如果只是简单的设置无线网络,以上设置过程即可完成。上述文章只是介绍了一台电脑与无线路由器联接,如是多台机器,与单机设置是一样的。因为我们在路由器中设置了DHCP服务,因此无法指定IP,即可完成多台机器的网络配置。如果要手动指定每台机器的IP,只要在网卡TCP/IP设置中,指定IP地址即可,但一定要注意,IP地址的设置要与路由器在同一网段中,网关和DNS全部设置成路由器的IP即可。
郑州城市职业学院毕业设计(论文)
第四章:无线局域网的简单设计
4.1.1设计流程
WLAN网络规划流程可以分为以下几个步骤:调研及勘查、覆盖设计、频率规划、容量规划、网络优化几个步骤。
4.1.2调研及勘测
前期调研和规划是网络规划的基础,是获得规划输入参数的过程。调研阶段需与运营商进行良好沟通,以确定准确的覆盖目标、网络设计容量以及网络的预期质量。
4.1.3覆盖设计
WLAN网络大体可以分为下面两种场景、4类覆盖方式。(1)室内覆盖:单独建设方式、共用室内分布系统建设方式;(2)室外覆盖:室外型AP覆盖方式、Mesh型网络覆盖方式。
4.1.4频率规划
IEEE802.11b/g设备使用2.4~2.4835GHz频段。工作频率带宽为83.5MHz,划分为14个子频道,每个子频道带宽为22MHz;互不干扰的子信道有3个。(4.1.5容量规划
随着WLAN的普及,出现了一些用户密集的热点区域,这些区域是WLAN设计的难点和重点。下面讨论AP接入能力、干扰对WLAN速率的影响几个方面的问题。
4.1.6网络优化
在网络规划设计及建设完成之后,需要对实际网络质量进行测量,并根据测量结果对网络进行调整,以确保信号强度、干扰等指标达到目标值。
郑州城市职业学院毕业设计(论文)
总结
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!
参考文献
[1]魏红;《移动通信技术》(第二版)[M]北京:人民邮电出版社 2009年 [2]寿文泽:《通信线路设计》北京:人民邮电出版社 [J] 2009年 [3]林打权:《光纤通信》高等教育出版社 [M] 2008年
[4]王玉峰《无线局域网及其应用》无线电工程 [J] 1994年04期 [5]徐春霞《公共无线局域网安全体系及应用》[M] 东南大学 2005年 [6]刘德志《高速局域网的研究》南京理工大学 [D] 2003年
[7]赵力强《公用无线局域网关键技术的研究》[D] 西安电子科技大学 2003年
郑州城市职业学院毕业设计(论文)
致谢
毕业设计是对我们知识运用能力的一次全面考核,也是对我们进行科学研究基本功的训练,培养我们的综合能力,为以后撰写专业学术论文和工作打下了良好的基础。
本次设计能够顺利的完成,首先我要感谢我的母校-----郑州城市学院,是她为我们提供了学习只是的土壤,感谢我的老师,是他们教会了我专业的知识和做人做事的道理,其次我要感谢中国通信建设第四工程局,感谢四局给我提供了一个良好的工作环境,使我的知识面加宽了很多,也学到了很多知识。使得毕业设计顺利的完成。
第二篇:无限局域网技术分析与探讨 毕业论文
JIU JIANG UNIVERSITY
毕 业 论 文
题 目: 无线局域网技术分析与探讨 院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名: 年 级: 指导教师:
二零一一年十一月二十日
摘 要...........................................................2 目 录„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.3 第一章„„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 1.1 选题背景„„„„„„„„„„„„„„„„„„„„„„„„ 5 第二章 无线局域网„„„„„„„„„„„„„„„„„„„„„„..6
2.1 简单的家庭无线局域网„„„„„„„„„„„„„„„„„„ 6 2.2 无线桥接„„„„„„„„„„„„„„„„„„„„„„„„ 6 2.3 中型无线局域网„„„„„„„„„„„„„„„„„„„„„.7 2.4 大型可交换局域网„„„„„„„„„„„„„„„„„„„„.7 2.5 无线局域网络应用„„„„„„„„„„„„„„„„„„„„ 8 2.6 无线局域网的优点„„„„„„„„„„„„„„„„„„„„ 8 2.7 无线局域网的不足之处„„„„„„„„„„„„„„„„„„ 9 第三章 无线技术„„„„„„„„„„„„„„„„„„„„„„„ 10 3.1 技术要求„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.2 硬件设备„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.3 展频技术„„„„„„„„„„„„„„„„„„„„„„„„ 11 3.3.1 跳频技术„„„„„„„„„„„„„„„„„„„„„„.11 3.3.2 直接序列展频技术„„„„„„„„„„„„„„„„„„.11 3.4 FHSS VS DSSS调变差异„„„„„„„„„„„„„„„„„„.11 3.5 DSSS VS FHSS之优劣 „„„„„„„„„„„„„„„„„„.11 第四章 IEEE 802.11之相关信息 „„„„„„„„„„„„„„„„.13 4.1 2.4GHz Direct Sequence Spread Spectrum„„„„„„„„„„ 13 4.2 2.4GHz Frequency Hopping Spread Spectrum„„„„„„„„„ 13 4.3 Diffused IR„„„„„„„„„„„„„„„„„„„„„„ 13 第五章 无线局域网络产品简介„„„„„„„„„„„„„„„„„.14 5.1 Access Point „„„„„„„„„„„„„„„„„„„„„„14 5.2 Wireless LAN Card„„„„„„„„„„„„„„„„„„„„14 5.3 Antenna„„„„„„„„„„„„„„„„„„„„„„„„.14 5.4 产品Q&A„„„„„„„„„„„„„„„„„„„„„„„„.14 5.5 无线局域网络之应用„„„„„„„„„„„„„„„„„„..17 第六章 无线局域网关键技术与展望„„„„„„„„„„„„„„„ 18 6.1 公共WLAN组网方案„„„„„„„„„„„„„„„„„„„.18
6.1.1 接入点(AP)„„„„„„„„„„„„„„„„„„„.18 6.1.2 接入控制点(AC)„„„„„„„„„„„„„„„„„„ 18 6.1.3 远程拨号接入认证(RADIUS)服务器„„„„„„„„„„.18 6.1.4 认证服务器(AS)„„„„„„„„„„„„„„„„„„.18 6.1.5门户网站服务器(Portal Server)„„„„„„„„„„„„18 6.2 公网WLAN用户接入的相关解决方案„„„„„„„„„„„„„18 6.2.1 1.OWLAN的用户认证„„„„„„„„„„„„„„„„„.18 6.2.2 802.1x用户认证方式中的访问实体„„„„„„„„„„„ 19 6.3 802.1x认证方式„„„„„„„„„„„„„„„„„„„„„19
6.3.1 EAP-MD5认证方式„„„„„„„„„„„„„„„„„„.19 6.3.2 EAP-SIM认证方式„„„„„„„„„„„„„„„„„„.19 6.3.3 EAP-TLS认证方式„„„„„„„„„„„„„„„„„...19 6.3.4 EAP-TTLS鉴权认证方式„„„„„„„„„„„„„„„..19 6.4 OWLAN的数据安全„„„„„„„„„„„„„„„„„„„„.20 第七章 WLAN中的VPN„„„„„„„„„„„„„„„„„„„„„„21 7.1 由用户端发起的VPN连接„„„„„„„„„„„„„„„„„ 21 7.2 由AC端发起的VPN连接„„„„„„„„„„„„„„„„„„ 21 7.3 802.11i标准„„„„„„„„„„„„„„„„„„„„„...21 7.4 基本的WLAN安全„„„„„„„„„„„„„„„„„„„„..22 7.5 IEEE 802.11的安全技术„„„„„„„„„„„„„„„„„.22 7.5.1 认证.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i标准„„„„„„„„„„„„„„„„„„„„ 23 7.7 VPN技术„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.8 WAPI„„„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.9 WLAN的切换与漫游„„„„„„„„„„„„„„„„„„„„25 7.9.1 切换与漫游„„„„„„„„„„„„„„„„„„„„„„„ 25 7.9.2 移动IP„„„„„„„„„„„„„„„„„„„„„„„„„25 结语„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.26 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.27 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„.28
第一章
绪论
1.1 选题背景
对于局域网络管理主要工作之一,对于铺设电缆或是检查电缆是否断线这种耗时的工作,很容易令人烦躁,也不容易在短时间内找出断线所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路,虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。因此,架设无线局域网络就成为最佳解决方案。
无线局域网拓扑结构概述:基于IEEE802.11标准的无线局域网允许在局域网络环境中使用未授权的2.4或5.3GHz射频波段进行无线连接。它们应用广泛,从家庭到企业再到Internet接入热点。
第二章 无线局域网
图一
2.1 简单的家庭无线局域网
简单的家庭无线LAN:在家庭无线局域网最通用和最便宜的例子,如图1所示,一台设备作为防火墙,路由器,交换机和无线接入点。这些无线路由器可以提供广泛的功能,例如:保护家庭网络远离外界的入侵。允许共享一个ISP(Internet服务提供商)的单一IP地址。可为4台计算机提供有线以太网服务,但是也可以和另一个以太网交换机或集线器进行扩展。为多个无线计算机作一个无线接入点。通常基本模块提供2.4GHz802.11b/g操作的Wi-Fi,而更高端模块将提供双波段Wi-Fi或高速MIMO性能。双波段接入点提供2.4GHz802.11b/g和5.3GHz802.11a性能,而MIMO接入点在2.4GHz范围中可使用多个射频以提高性能。双波段接入点本质上是两个接入点为一体并可以同时提供两个非干扰频率,而更新的MIMO设备在2.4GHz范围或更高的范围提高了速度。2.4GHz范围经常拥挤不堪而且由于成本问题,厂商避开了双波段MIMO设备。双波段设备不具有最高性能或范围,但是允许你在相对不那么拥挤的5.3GHz范围操作,并且如果两个设备在不同的波段,允许它们同时全速操作。家庭网络中的例子并不常见。该拓扑费用更高但是提供了更强的灵活性。路由器和无线设备可能不提供高级用户希望的所有特性。在这个配置中,此类接入点的费用可能会超过一个相当的路由器和AP一体机的价格,归因于市场中这种产品较少,因为多数人喜欢组合功能。一些人需要更高的终端路由器和交换机,因为这些设备具有诸如带宽控制,千兆以太网这样的特性,以及具有允许他们拥有需要的灵活性的标准设计。
2.1 无线桥接
图二
无线桥接:当有线连接太昂贵或者需要为有线连接建立第二条冗余连接以作备份时,无线桥接允许在建筑物之间进行无线连接。802.11设备通常用来进行这项应用以及无线光纤桥。802.11基本解决方案一般更便宜并且不需要在天线之间有直视性,但是比光纤解决方案要慢很多。802.11解决方案通常在5至30mbps范围内操作,而光纤解决方案在100至1000mbps范围内操作。这两种桥操作距离可以超过10英里,基于802.11的解决方案可达到这个距离,而且它不需要线缆连接。但基于802.11的解决方案的缺点是速度慢和存在干扰,而光纤解决方案不会。光纤解决方案的缺点是价格高以及两个地点间不具有直视性。
2.3 中型无线局域网
图五
中型无线局域网:中等规模的企业传统上使用一个简单的设计,他们简单地向所有需要无线覆盖的设施提供多个接入点。这个特殊的方法可能是最通用的,因为它入口成本低,尽管一旦接入点的数量超过一定限度它就变得难以管理。大多数这类无线局域网允许你在接入点之间漫游,因为它们配置在相同的以太子网和SSID中。从管理的角度看,每个接入点以及连接到它的接口都被分开管理。在更高级的支持多个虚拟SSID的操作中,VLAN通道被用来连接访问点到多个子网,但需要以太网连接具有可管理的交换端口。这种情况中的交换机需要进行配置,以在单一端口上支持多个VLAN。尽管使用一个模板配置多个接入点是可能的,但是当固件和配置需要进行升级时,管理大量的接入点仍会变得困难。从安全的角度来看,每个接入点必须被配置为能够处理其自己的接入控制和认证。RADIUS服务器将这项任务变得更轻松,因为接入点可以将访问控制和认证委派给中心化的RADIUS服务器,这些服务器可以轮流和诸如Windows活动目录这样的中央用户数据库进行连接。但是即使如此,仍需要在每个接入点和每个RADIUS服务器之间建立一个RADIUS关联,如果接入点的数量很多会变得很复杂。
2.4 大型可交换无线局域网
图六
大型可交换无线局域网:交换无线局域网是无线连网最新的进展,简化的接入点通过几个中心化的无线控制器进行控制。数据通过Cisco,ArubaNetworks,Symbol和TrapezeNetworks这样的制造商的中心化无线控制器进行传输和管理。这种情况下的接入点具有更简单的设计,用来简化复杂的操作系统,而且更复杂的逻辑被嵌入在无线控制器中。接入点通常没有物理连接到无线控制器,但是它们逻辑上通过无线控制器交换和路由。要支持多个VLAN,数据以某种形式被封装在隧道中,所以即使设备处在不同的子网中,但从接入点到无线控制器有一个直接的逻辑连接。无线局域网
从管理的角度来看,管理员只需要管理可以轮流控制数百接入点的无线局域网控制器。这些接入点可以使用某些自定义的DHCP属性以判断无线控制器在哪里,并且自动连结到它成为控制器的一个扩充。这极大地改善了交换无线局域网的可伸缩性,因为额外接入点本质上是即插即用的。要支持多个VLAN,接入点不再在它连接的交换机上需要一个特殊的VLAN隧道端口,并且可以使用任何交换机甚至易于管理的集线器上的任何老式接入端口。VLAN数据被封装并发送到中央无线控制器,它处理到核心网络交换机的单一高速多VLAN连接。安全管理也被加固了,因为所有访问控制和认证在中心化控制器进行处理,而不是在每个接入点。只有中心化无线控制器需要连接到RADIUS服务器,这些服务器在图6显示的例子中轮流连接到活动目录。交换无线局域网的另一个好处是低延迟漫游。这允许VoIP和Citrix这样的对延迟敏感的应用。切换时间会发生在通常不明显的大约50毫秒内。传统的每个接入点被独立配置的无线局域网有1000毫秒范围内的切换时间,这会破坏电话呼叫并丢弃无线设备上的应用会话。交换无线局域网的主要缺点是由于无线控制器的附加费用而导致的额外成本。但是在大型无线局域网配置中,这些附加成本很容易被易管理性所抵消
2.5 无线局域网络应用
无线局域网络应用:大楼之间:大楼之间建构网络的连结,取代专线,简单又便宜。餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。医疗:使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。企业:当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。仓储管理:一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。货柜集散场:一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。监视系统:一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。展示会场:诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
2.6 无线局域网的优点
无线局域网的优点:(1)灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。(2)安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就
可建立覆盖整个区域的局域网络。(3)易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。(4)故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。(5)易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
2.7 无线局域网的不足之处
无线局域网的不足之处:无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:(1)性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。(2)速率。无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为150Mbit/s,只适合于个人终端和小规模网络应用。(3)安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
第三章 无线技术
3.1 技术要求
由于无线局域网需要支持高速、突发的数据业务,在室内使用还需要解决多径衰落以及各子网间串扰等问题。具体来说,无线局域网必须实现以下技术要求:
1.可靠性:无线局域网的系统分组丢失率应该低于10-5,误码率应该低于10-8。
2.兼容性:对于室内使用的无线局域网,应尽可能使其跟现有的有线局域网在网络操作系统和网络软件上相互兼容。
3.数据速率:为了满足局域网业务量的需要,无线局域网的数据传输速率应该在1Mbps以上。
4.通信保密:由于数据通过无线介质在空中传播,无线局域网必须在不同层次采取有效的措施以提高通信保密和数据安全性能。
5.移动性:支持全移动网络或半移动网络。
6.节能管理:当无数据收发时使站点机处于休眠状态,当有数据收发时再激活,从而达到节省电力消耗的目的。
7.小型化、低价格:这是无线局域网得以普及的关键。
8.电磁环境:无线局域网应考虑电磁对人体和周边环境的影响问题。
3.2 硬件设备
1.无线网卡。无线网卡的作用和以太网中的网卡的作用基本相同,它作为无线局域网的接口,能够实现无线局域网各客户机间的连接与通信。无线局域网
2.无线AP。AP是Access Point的简称,无线AP就是无线局域网的接入点、无线网关,它的作用类似于有线网络中的集线器。
3.无线天线。当无线网络中各网络设备相距较远时,随着信号的减弱,传输速率会明显下降以致无法实现无线网络的正常通信,此时就要借助于无线天线对所接收或发送的信号进行增强 开源项目
使用开源软件无线电GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的赞助下编写802.11 代码。GNU Radio 是免费的软件开发工具套件。它提供信号运行和处理模块,用它可以在易制作的低成本的射频(RF)硬件和通用微处理器上实现软件定义无线电。这套套件广泛用于业余爱好者,学术机构和商
业机构用来研究和构建无线通信系统。GNU Radio 的应用主要是用Python 编程语言来编写的。但是其核心信号处理模块是C++在带浮点运算的微处理器上构建的。因此,开发者能够简单快速的构建一个实时、高容量的无线通信系统。尽管其主要功用不是仿真器,GNU Radio 在没有射频RF 硬件部件的境况下支持对预先存储和(信号发生器)生成的数据进行信号处理的算法的研究。
3.3 展频技术
展频技术的无线局域网络产品是依据FCC(Federal Communications Committee;美国联邦通讯委员会)规定的ISM(Industrial Scientific,and Medical),频率范围开放在902M~928MHz及2.4G~2.484GHz两个频段,所以并没有所谓使用授权的限制。展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。
3.3.1跳频技术(FHSS)
跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,也只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
3.3.2直接序列展频技术(DSSS)
直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。
基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE802.11的标准内,其Spreading Ration大约在100左右。
3.4 FHSS VS DSSS调变差异
无线局域网络在性能和能力上的差异,主要是取决于所采用的是FHSS还是DSSS来实现、以及所采用的调变方式。然而,调变方式的选择并不完全是随意的,像FHSS并不强求某种特定的调变方式,而且,大部分既有的FHSS都是使用某些不同形式的GFSK,但是,IEEE 802.11草案规定要使用GFSK。至于DSSS则过使用可变相位调变(如:PSK、QPSK、DQPSK),可以得到最高的可靠性以及表现高数据速率性能。在抗噪声能力卜方面,采用QPSK调变方式的DSSS与采用FSK调变方式的FHSS相比,可以发现这两种不同技术的无线局域网络各自拥有的优势。FHSS系统之所以选用FSK调变方式的原因是因为FHSS和FSK内在架构的简单性,FSK无线讯号可使用非线性功率放大器,但这却牺牲了作用范围和抗噪声能力。而DSSS系统需要稍为贵一些的线性放大器,但却可以获得更多的回馈。
3.5 DSSS VS FHSS之优劣
截至目前,若以现有的产品参数详加比较,可以看出DSSS技术在需要最佳可靠性的应用中具有较佳的优势,而FHSS技术在需要低成本的应用中较占优势。虽然我们可以在网际网络内看到各家厂商各说各话,但真正需要注意的是厂商在DSSS和FHSS展频技术的选择,必须要审慎端视产品在市场的定位而定,因为它可以解决无线局域网络的传输能力及特性,包括:抗干扰能力、使用距离范围、频宽大小、及传输资料的大小。一般而言,DSSS由于采用全频带传送资料,速度较快,未来可开发出更高传输频率的潜力也较大。DSSS技术适用于固定环境中、或对传输品质要求较高的应用,因此,无线厂房、无线医院、网络社区、分校连网等应用,大都采用DSSS无线技术产品。FHSS则大都使用于需快速移动的端点,如行动电话在无线传输技术部分即是采用FHSS技术;且因FHSS传输范围较小,所以往往在相同的传输环境下,所需要的FHSS技术设备要比DSSS技术设备多,在整体价格上,可能也会比较高。以目前企业需求来说,高速移动端点应用较少,而大多较注重传输速率、及传输的稳定性,所以未来无线网络产品发展应会以DSSS技术为主流。消费者选购无线局域网络时需要特别注意下列的特性,以决定自己合适的产品,包括:
◎ 涵盖范围
◎ 传输率
◎ 受Multipath影响程度
◎ 提供资料整合程度
◎ 和有线的基础设施之间的互操性
◎ 和其它无线的基础设施之间的互操性
◎ 抗干扰程度
◎ 简单、易操作
◎ 保密能力
◎ 低成本
◎ 电流消耗情况。
第四章 IEEE 802.11之相关信息
因应无线局域网络的强烈需求,美国的国际电子电机学会于1990年11月召开了802.11委员会,开始制定无线局域网络标准。承袭IEEE802系列,802.11规范了无线局域网络的介质存取控制(Medium Access Control ;MAC)层及实体(Physical ;PHY)层。此较特别的是由于实际无线传输的方式不同,IEEE802.11在统一的MAC层下面规范了各种不同的实体层,以因应目前的情况及未来的技术发展。目前802.11中制订了三种介质的实体,为了未来技术的扩充性,也都提供了多重速率(Mulitiple Rates)的功能。这三个实体分别是:
4.1 2.4GHz Direct Sequence Spread Spectrum
速率1Mbps时用DBPSK调变(Difference By Phase Shift Keying)速率2Mbps 时用DQPSK调变(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用长度11的Barker码当展频PN码
4.2 2.4GHz Frequency Hopping Spread Spectrum
速率1Mbps时用2-level GFSK调变,接收敏感度–80dbm, 速率2Mbps时用4-level GFSK调变,接收敏感度–75dbm, 每秒跳2.5个 hops Hopping Sequence在欧美有22组,在日本有4组
4.3 Diffused IR
速率1Mbps时用16ppm调变,接收敏感度2 ×10-5mW/平方公分 速率2Mbps时用4ppm调变,接收敏感度8 ×10-5mW/平方公分 波长850nm~950nm
其中前两种在2.4GHz的射频方式是依据ISM频段以展频技术可做不须授权使用的规定,这个频段的使用在全世界包含美国、欧洲、日本及中国台湾等主要国家和地区都有开放。第三项的红外线由于目前使用上没有任何管制(除了安全上的规范),因此也是自由使用的。IEEE 802.11 MAC的基本存取方式称为CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance),与以太网络所用的CSMA/CD(Collision Detection)变成了碰撞防止(Collision Avoidance),这一字之差是很大的。因为在无线传输中感测载波及碰撞侦测都是不可靠的,感测载波有困难。另外通常无线电波经天线送出去时,自己是无法监视到的,因此碰撞侦测实质上也做不到。在802.11中感测载波是由两种方式来达成,第一是实际去听是否有电波在传,及加上优先权的观念。另一个是虚拟的感测载波,告知大家待会有多久的时间我们要传东西,以防止碰撞。
第五章 无线局域网络之产品简介
5.1 Access Point
一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
5.2 Wireless LAN Card
一般称为无线网络卡,其与传统之Ethernet网络卡的差别是在于前者之资料传送乃是藉由无线电波,而后者则是透过一般的网络线。目前无线网络卡的规格大致可分成2M,5M,11M,三种,而其适用之界面可分为PCMCIA,ISA,PCI三种界面。
5.3 Antenna
一般称为天线,此天线与一般电视,火腿族,大哥大所用之天线不同,其原因乃是因为频率不同所致,WLAN所用之频率为较高2.4GHz之频段。天线之功能乃是将source之信号,藉由天线本身的特性而传送至远处,至于能传多远,一般除了考虑source的output power强度之外,其另一重要因素乃是天线本身之dBi值,即俗称的增益值,dB值愈高,相对所能传达之距离也更远。通常每增加8dB则相对之距离可增至原距离的一半。一般天线有所谓指向性(Uni-direction)与全向性(Omni-direction)两种,前者较适合于长距离使用,而后者则较适合区域性之应用。
5.4 产品Q & A
Q1:何谓无线网络
ANS:一般来讲,所谓无线,顾名思义就是利用无线电波来作为资料的传导,而就应用层面来讲,它与有线网络的用途完全相似,两者最大不同的地方是在于传输资料的媒介不同。除此之外,正因它是无线,因此无论是在硬件架设或使用之机动性均比有线网络要优势许多。
Q2:无线网络与有线网络相较之下,有那些优点 ANS:就使用上它的机动性,便利性,是有线网络所不及,就成本上,它可省下一笔可观的布线费用,修改装潢费用,基本上使用的空间较为弹性许多。
Q3:无线网络对人体是否有所影响
ANS:因无线网络的发射功率较一般的大哥大手机要微弱许多,无线网络发射功率约60~70mW,而大哥大手机发射功率约200mW左右,而且使用的方式亦非像手机一般直接接触于人体,因此较无安全上之考量。
Q4:若要架构一个无线网络,其最基本之配备需要有那些
ANS:一般架设无线网络的基本配备就是一片无线网络卡及一台桥接器(AP),如此便能以无线的模式,配合既有的有线架构来分享网络资源。
Q5:无线网络就使用是否会被干扰或影响其它设备运作
ANS:基本上无线网络所使用之频段是属于ISM 2.4GHz的高频率范围,就日常生活,或办公室等等所用之电器设备是不会相互干扰,因频率差异甚多,而且无线网络本身共有12个信道可供调整,自然干扰的现象就不必担心。
Q6:何谓ISM频段
ANS:ISM(Industrial Scientific Medical)Band,此频段(2.4~2.4835GHz)主要是开放给工业,科学、医学,三个主要机构使用,该频段是依据美国联邦通讯委员会(FCC)所定义出来,属于Free License,并没有所谓使用授权的限制。
Q7:何谓展频(Spread Spectrum)ANS:展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。对于一个非特定的接受器,Spread Spectrum所产生的跳动讯号对它而言,只算是脉冲噪声。因此对整体而言是一种较具安全性的通讯技术。
Q8:何谓跳频(Frequency-Hopping Spread Spectrum)ANS:跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
Q9:何谓直接序列展频(Direct Sequence Spread Spectrum)ANS:直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE 802.11的标准内,其Spreading Ration只有11,但FCC的规定是必须大于10,而实验中,最佳的Spreading Ration大约在100左右。
Q10:无线网络所能含盖的范围有多广
ANS:一般无线网络所能含盖的范围应视环境的开放与否而定,若不加外接天线而言,在视野所及之处约250M,若属半开放性空间,有隔间之区域,则约35~50M左右,当然若加上外接天线,则距离可达更远,此关系到天线本身之增益而定,因此需视客户之需求而加以规划之。
Q11:无线网络于使用之过程其保密性为何
ANS:基本上GEMPLEX之无线网络技术采DSSS系统,本身就具有防窃听之功能,另外再加上资料加密功能(WEP40bits)的双重防护下,因此其安全性是相当周全。
Q12:何谓桥接器(Access Point)ANS:Access Point,一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
Q13:Access Point在使用上可同时支持多少工作站
ANS:理论上是可以支持到一个CLASS C,但为了让工作站本身有足够之频宽可利用,一般建议一台AP约支持20~30左右之工作站为最佳状态。
Q14:何谓漫游(Roaming)功能
ANS:如同大哥大一般,可漫游在不同的基地台之间,无线网络工作站亦可漫游在不同的AP之间,只要AP群的ESSID
定义一样,则自然无线网络工作站可自由的漫游于无线电波所能含盖之区域。
Q15:若无线网络之设备架设于室外,其如何防止雷击
ANS:基本上无线网络可配置避雷器之设备,此设备可选购装设于无线网络设备上,以利外来之突波造成系统损坏。
Q16:何谓Access Control ANS:基本上每张无线网卡上都有一组独一无二的硬件地址,即所谓的MAC address,经由Access Control table可定义某些卡可登入此AP,某些卡被拒绝登入,如此便能达到控管的机制,可避免非相关人员随意登入网络,窃取资源。
Q17:何谓ASBF ANS:ASBF(Automatic Scale Back Functionality),此项功能是Gemplex AP特有之功能,保证WLAN始终处于最佳的联机品质,除此之外,并提供支持多重厂商的无线网卡,但其网卡必须是符合IEEE 802.11之规范而设计。
Q18:何谓Power Management ANS:由于Notebook使用约2小时左右后便必须充电,若又同时使用其它外围设备,则必定更加耗电,因此此项功能乃在于有效的管理无线网络卡所消耗之电量,换句话说,它能适时控制当有DATA sending or receiving时,是处于”Wake up status”,反之则处于power down mode。
Q19:天线所使用之导线的长度是否有影响传输品质 ANS:一般来讲,天线所使用之导线的长度,材质,阻抗匹配,均会对讯号造成某程度之影响,而最明显的就是增益衰减。通常以20 feet之长度而言就会让讯号衰减约1.2dBi左右,而平均每衰减8dBi就会让原传输之距离约缩减一半,因此导线之长度与品质在无线产品的应用上是不容忽视的。
Q20:架设指向性天线时,是否有工具可提供指示,让讯号品质达到最佳化
ANS:Gemplex之Bridge本身有提供一套软件联机品质校正程序,其中是以图形曲线的方式呈现于屏幕上,使用者可明显看出该讯号目前强弱之状况,而加以调整天线的位置,已达最佳状态。
Q21 : 何谓Ad-hoc ANS : 构成一种特殊的无线网络应用模式,一群计算机接上无线网络卡,即可相互连接,资源共享,无需透过Access Point.Q22 : 何谓Infrastructure ANS : 一种整合有线与无线局域网络架构的应用模式,透过此种架构模式,即可达成网络资源的共享,此应用需透过Access Point.Q23 : 何谓BSS ANS : 一种特殊的Ad-hoc LAN的应用,称为Basic Service Set(BSS),一群计算机设定相同的BSS名称,即可自成一个group,而此BSS名称,即所谓BSSID。
Q24 : 何谓ESS ANS : 一种infrastructure的应用,一个或多个以上的BSS,即可被定义成一个Extended Service Set(ESS),使用者可于ESS上roaming及存取BSSs中的任何资料,其中Access Points必须设定相同的ESSID及channel才能允许roaming.Q25 : 何谓SNMP ANS : “Simple Network Management Protocol “,一种网管的通信协议,透过SNMP的软件可以连接至可支持SNMP的装置并可收集该装置所有的信息并做其它整合性的应用,Gemplex Wireless LAN product 就有support此功能。
Q26 : 何谓WEP ANS : “Wired Equivalent Protection “,一种将资料加密的处理方式,WEP 40bits的encryption 乃是IEEE 802.11的标准规范。
透过WEP的处理便可让我们的资料于传输中更加安全。
5.5 无线局域网络之应用
大楼之间 : 大楼之间建构网络的连结,取代专线,简单又便宜。
餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。
医 疗 :
使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。
企 业 :
当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。
仓储管理 : 一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。
货柜集散场 : 一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。
监视系统 : 一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。
展示会场 : 诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
第六章 无线局域网关键技术研究与展望
与目前5类线到户的有线局域网(LAN)用户接入方式相类似,无线局域网(WLAN)正在发展成为公网的宽带无线用户接入方式,即运营商的WLAN(OWLAN)。OWLAN严格说起来并不是一种局域网,而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时,WLAN只定位在局域网应用,故在WLAN作为热点地区公共接入网络时,802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本章主要探讨WLAN在作为公共接入网时的组网方案,以及对认证、加密、计费和漫游方面的解决方案。
6.1 公共WLAN组网方案
OWLAN可以作为某一个运营商的无线接入网,亦可作为多个运营商共用的无线接入网,故在OWLAN中要求能支持多种认证方式。
6.1.1 接入点(AP)
AP是WLAN的小型无线基站设备,为无线网与DS(分配系统例如有线以太网)之间的网关,且具有802.11f切换功能
6.1.2 接入控制点(AC)
AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式,并提供动态IP地址分配、输出原始计费信息、提供路由功能等。
6.1.3 远程拨号接入认证(RADIUS)服务器
在使用“用户号十密码”或“手机号十密码”的Web认证方式时,使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息,产生符合移动运营商要求格式的CDR(呼叫数据记录)计费信息,实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。
6.1.4 认证服务器(AS)
移动运营商使用SIM卡认证方式时,需要使用认证服务器(AS)。AS与网关(GW或GPRS中的GGSN)相配合提供WLAN与移动运行商HLR/AUC的连接。AS在读取MT(移动终端)的国际移动用户识别(IMSI),送HLR/AUC确认该用户为WLAN注册用户后,与HLR/AUC配合完成密钥产生、EAP(可扩展认证协议)_SIM认证等任务。其他功能同RADIUS服务器。
6.1.5 门户网站服务器(Portal Server)
用于向用户端推送WEB认证页面和门户网站主页面。
6.2 公网WLAN用户接入的相关解决方案
6.2.1 OWLAN的用户认证
WLAN在作为局域网使用时,沿用了有线LAN的PPPoE(PPP over Ethernet)和Web用户认证方式。在作为OWLAN使用时,由于其在物理上的开放性,使得非
法用户入侵的可能性大为增加,原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后,基本可以满足OWLAN的要求。同时,在认证安全前提下,应尽量利用运营商已有的鉴权认证设备,以简化系统、节约投资。
6.2.2 802.1x用户认证方式中的访问实体
802.1x协议克服了传统PPPoE和WEB认证方式的缺点,更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体(PAE)包括:客户端、认证者和认证服务器三部分。(1)客户端
用户从客户端发起802.11x的用户认证过程,为了支持基于端口的接入控制,客户端必需支持EAPoL(基于LAN的扩展认证协议)。(2)认证者
认证者通常为支持802.1x协议的网络设备,这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态,主要用于传递EAPoL协议帧,用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开,用于传递运营商的有偿网络资源和业务。当用户未通过认证时,受控端口对该用户关闭,即无法访问该运营商所提供的有偿服务。(3)认证服务器
认证服务器通常为RADIUS服务器或AS+HLR/AUC,它与认证者之间通过EAP协议进行通信。
6.3 802.1x认证方式
802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务(RADIUS)及与之相关的两个通信协议:可扩展认证协议(EAP)和传输层协议(TLS)。802.1x主要涵盖以下四种认证方式:
6.3.1 EAP-MD5认证方式
EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码,若通过认证就就允许客户端访问网络业务。采用该认证方式时,用户密码采用MD5加密算法,以保证认证信息的安全。EAP-MD5属单向认证机制,即只包括网络对客户端的认证。
6.3.2 EAP-SIM认证方式
EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡。网络侧的认证服务器(AS)与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证
6.3.3 EAP-TLS认证方式
EAP-TLS认证方式属于传输层认证机制,支持用户与网络之间的双向认证。用户可以在每次连接动态生成新密钥,且在用户连接期间按一定间隔更新密钥。TLS认证中,传送的数据由TLS加密封装,保证认证信息的安全。
6.3.4 EAP-TTLS鉴权认证方式
EAP-TTLS认证方式基于隧道安全认证技术,能够支持双向认证和动态密钥分发。在该认证方式中客户端与RADIUS之间,采用EAPoL协议建立安全隧道传送EAP认证包,实现TTLS认证。
6.4 OWLAN的数据安全
802.1x协议对数据的加
为了克服802.11所定义WEP(有线等效保密协议)存在的安全隐患,IEEE制定了802.1x用以增强WEP的安全性。WEP使用40位静态密钥,而802.1x通过动态配置WEP的128位密钥加强了数据的保密性,制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进,并增加了消息完整性检查(MIC)
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依赖于其初始鉴权认证的主密钥。利用该主密钥对空中数据帧加密,使得未经认证的用户无法对所窃取的数据帧进行解密
第七章 WLAN中的VPN
为了保证企业内部网络的安全接入,在OWLAN接入网中采用虚拟专网(VPN)技术用以保证企业内部网络的安全接入。VPN是指在一个公共IP平台上,通过隧道及加密技术,为网络提供点对点的安全通信,以保证远程用户接入专用网络的数据安全性。
在采用VPN技术的WLAN中,无线接入网络已被企业的VPN服务器和虚拟局域网(VLAN)将企业内部网的接入隔离开来。由企业的VPN服务器提供无线网络的认证与加密,并充当企业内部网络的网关。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议,上述协议对通过WLAN传送的数据提供强大的加密功能。
根据隧道的建立方式,可划分为2类VPN连接应用:
7.1 由用户端发起的VPN连接
在由用户端发起的VPN连接应用中,需要在MT中按装VPN客户端软件。用以在MT与企业的VPN服务器(网关)之间建立隧道连接。在这类VPN连接中,VPN只涉及发起端与终结端,因此对AP、AC而言是透明的,无需AP、AC支持VPN。
7.2 由AC端发起的VPN连接
在由AC端发起的VPN连接应用中,用户以PPPoE方式连接AC,AC根据通信目的域名地址判为VPN业务后,由AC发起一条隧道连接用户欲接入的企业网网关。在这种方式下从MT到AC的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现传输数据的加密。
7.3 802.11i标准
802.11i是专门针对WLAN安全体系的标准。该标准提供一种新的加密方法和认证方式(即WEP2技术)。与传统的WEP算法相比较,WEP2将密钥的长度由40位增加到128位,故很难破译。同时,该标准将一种增强安全网络(RSN)方案纳入其中,并包括了TKIP和AES-OCB两个协议。802.11i通过使用动态密钥、良好的密钥管理与分发机制以及更强的加密算法,使得在WLAN中的数据帧传输变得更加安全。
OWLAN的计费
在OWLAN中,AC监测用户数据传输的时间或流量,用以产生计费的原始信息送AS或RADUIS。在AS或RADUIS中对计费原始信息进行加工,生成符合计费中心所需格式的计费数据记录(CDR),送运行商计费中心。在多个运营商共用一个OWLAN时,要求AC能鉴别不同运营商的计费信息,分别送对应运营商的计费系统。
OWLAN的移动性管理
802.11至今还没有一个对MT设备跟踪与管理的正式标准。而在将WLAN作为OWLAN应用的今天,必须解决在同一计算机子网(域)内MT在不同AP之间漫游的问题;以及不同计算机子网(域)之间的漫游的问题。在没有统一的WLAN域内、域间的漫游标准之前,各制造商和运营商则推出了各自的解决方案
域内漫游
在802.11中仅说明了MT可以在同一个ESS(扩展业务集)内的AP之间进
行漫游,但未对MT漫游时AP之间具体通信过程做出规定,故不同厂家在实现AP间漫游时均采用了私有协议,这对运营商的组网带来了困难。为此IEEE推出了支持域内漫游的802.11f标准(已被IEEE批准为实践性标准)。
802.11f定义了同一ESS中AP的登录,以及MT从一个AP切换到另一个AP时,AP之间交换的信息。
802.11f所定义的IAPP(AP间交互协议)在IP层上规定了AP之间以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共同的DS中交互信息、进行互操作。同时亦通过IAPP来影响第二层网络设备的操作。802.11f要求在RADIUS服务器中存放有域内各AP的基本信息,例如基本服务集标识(BSS-ID)、IP地址以及MT接入的认证密钥。
7.4 基本的WLAN安全
务组标识符(SSID):无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。况且有的厂家支持any方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。另外,非法用户利用网络侦听手段很容易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
7.5 IEEE 802.11的安全技术
7.5.1 认证
在无线客户端和中心设备交换数据之前,它们之间必须先进行一次对话。在802.11b标准制定时,IEEE在其中加入了一项功能:当一个设备和中心设备对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他关键通信。这项功能可以被设为shared key authentication和open authentication,默认的是后者。在默认设定下,任何设备都可以和中心设备进行通讯,而无法越过中心设备,去更高一级的安全区域。而在shared key authentication设定时,客户机要先向中心设备发出连接请求,然后中心设备发回一串字符,要求客户机使用WEP钥匙返回密码。只有在密码正确的情况下,客户机才可以和中心设备进行通信,并可以进入更高级别。
使用认证方式有一个缺点,中心设备发回的字符是明文的。通过监听通信过程,攻击者可以在认证公式中得到2个未知数的值,明文的字符和客户机返回的字符,而只有一个值还无法知道。通过RC4计算机通信加密算法,攻击者可以轻易的搞到shared authentication key。由于WEP使用的是同一个钥匙,侵入者就可以通过中心设备,进入其他客户端。讽刺的是,这项安全功能通常都应该设
为“open authentication”,使得任何人都可以和中心设备通信,而通过其他方式来保障安全。尽管不使用这项安全功能看上去和保障网络安全相矛盾,但是实际上,这个安全层带来的潜在危险远大于其提供的帮助
7.5.2 保密
有线等效保密(WEP):WEP虽然通过加密提供网络的安全性,但存在许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。利用认证与加密的安全漏洞,在很短的时间内,WEP密钥即可被破解。
7.6 IEEE 802.11i标准
(1)认证-端口访问控制技术(IEEE 802.1x)
通过802.1X,当一个设备要接入中心设备时,中心设备就要求一组证书。用户提供的证书被中心设备提交给服务器进行认证。这台服务器称为RADIUS,也就是temote Authentication Dial-In User Service,通常是用来认证拨号用户的。这整个过程被包含在802.1X的标准EAP(扩展认证协议)中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP也是802.1X中最主要的安全功能。现在的EAP方式主要有四种。
但是IEEE 802.1x提供的是无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于其享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
(2)保密
有线等效保密的改进方案-TKIP。
目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比于WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,由于WEP算法的安全漏洞是由于WEP机制本身引加性高斯噪声信道起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全关键的加密部分,TKIP
没有脱离WEP的核心机制。
目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protoco1)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
7.7 VPN技术
作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。然而,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术体制杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络儿乎是不可思议的。
成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。
7.8 WAPI 技术标准是所有产业健康发展的基石,对无线局域网产业而言,以往一直存在缺乏统一标准和安全保障两大瓶颈。目前WEAN国际标准可靠安全机制的软肋使得安全问题的压力大部分遗留给了WLAN产业链上的芯片设计、设备制造、系统集成甚至最终用户等各个环节,各设备厂商和系统集成商各行其道,市场中出现大量专有的安全标准和解决方案,这些方案要么影响网络性能要么限制了网络的可用性和扩展性,当然最致命的是,这些方案大多基于WEP、802.lx等对WLAN来说并不十分可靠的基础协改。对于大多数并不熟悉WLAN安全技术的最终用户而言,WEP/WPA/SSID/VPN/802.1x等名目繁多、花样翻新,往往又价格不斐的WLAN安全方案让他们无所适从。
最新颁布并且即将强制执行的WLAN国家标准对目前中国WLAN市场的发展和格局将产生深远影响。WLAN国家标准依据我国的无线电管理法规对我国无线局域网相关产品的发射功率、信道数等作出了明确规定,标准还强调和规定了无线局域网安全技术的应用要求。适用于独立的无线局域网设备以及提供无线局域网相关功能的独立或嵌入式软件模块。同时该标准与相应国际标准的区别主要表现在对安全机制的严格要求,即用WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。虽然WAPI作为被中国政府认可并最终颁布的WLAN安全机制,有着比
目前WEP、802.lx、WPA等安全协议更高的安全性,但是能否获得最终的成功还有待于厂商的支持和市场的考验。
7.9 WLAN的切换与漫游
7.9.1 切换与漫游
WLAN的切换指的是在相同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。漫游指的是在不同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。
加入现有的服务区有两种方法:主动扫描和被动扫描。主动扫描要求站点查找接入点,从接入点设备中接受同步信息。也可通过被动扫描获得同步信息,可侦听每个接入点周期性所发送的信标帧。一旦站点定位了接入点,并取得了同步信息,就必须交换验证信息。这些信息的交互在接入点和站点之间产生,每个设备给出预设的口令。在站点经过验证后,关联过程就开始了。在关联过程中,交换站点信息和接入点服务的能力信息是一群接入点得到的站点当前位置的信息。一旦关联过程结束,该站点就能够发送和接收帧。当站点离开它的接入点发生漫游时,注意到接入点的链路信号正在变弱。站点使用它的扫描功能查找另一个接入点,或利用上一次扫描得到的信息选取另一个接入点。一旦找到新的接入点,站点就向它发送重新关联请求。如果站点接收到重新关联响应,它就拥有一个新的接入点并且漫游成功。
7.9.2 移动IP
在无线网络中,如果一边使用无线局域网接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,IETF制定了扩展IP网络移动性的系列标准。所谓移动IP,就是指在IP网络上的多个子网内均可使用同一IP地址的技术。这种技术是通过使用被称为本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器对网络终端所处位置的网络进行管理来实现的。在移动IP系统中,可保证用户的移动终端始终使用固定的IP地址进行网络通信,不管在怎样的移动过程中皆可建立TCP连接并不会发生中断。在无线局域网系统中,广泛的应用移动IP技术可以突破网络的地域范围限制,并可克服在跨网段时使用动态主机配置协议(DHCP)方式所造成的通信中断、权限变化等问题。
结语
无线网络的出现就是为了解决有线网络无法克服的困难,虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户,目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争,目前还只是有线网络的补充,而不是替换,但也应该看到。近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务,相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
致谢
在此,首先要对我的导师柯江民老师,致以最深的感谢。感谢柯老师对我的论文不厌其烦的细心指点。柯老师首先细致地为我选题、解题;当我深陷于众多的资料,找不准角度,理不清思路时,柯老师又为我指点迷津,梳理脉络,使我感到柳暗花明,分清了层次,确立了本文的框架。在论文写作过程中,经常得到柯老师电话和邮件指点。在修改和完善过程中,柯老师更是严格细致,从框架的完善,到内容的扩充;从行文的用语,到格式的规范,进行了全面地审阅,提出了许多中肯的修改意见。我再次为柯老师的付出表示感谢。同时还要衷心感谢网络管理学科的尧时茂老师 崇志军老师 程霄老师 王凌敏老师等的言传身教,是你们的启迪与指导,使我获得了各种专业知识。老师们勤奋工作、严谨治学的精神永远值得我学习。也要感谢每一位朋友、每一位同学,正是有了你们友情的陪伴,才使得我的大学生活丰富而多彩!在此我要特别感谢各位兄弟姐妹们给予我的支持和帮助!最后,要深深感谢家人对我学业的全力支持,你们的期待与鼓励是我前进的最大动力。
三年是短暂的,记忆是永恒的!最后,衷心祝愿我亲爱的朋友们:生活幸福,天天快乐!
参考文献:
1.李建东.黄振海 WLAN的标准与技术发展[期刊论文]-中兴通讯技术 2003(2)2.徐冬梅 WLAN走向安全、高速、互联 2002(12)3.GB 15629.11-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范
4.GB 15629.1102-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范:2.4GHz频段较高速物理层扩展规范
5.孙少陵.李新.叶伟 WLAN市场发展现状与前景[期刊论文]-中兴通讯技术 2003(2)6.王志勤 3G与WLAN的关系[期刊论文]-中兴通讯技术 2003(2)7.李承恕 WLAN与2.5/3代移动通信网的结合[期刊论文]-中兴通讯技术 2003(2)8.谈振辉 应用于移动环境中的WLAN接入网结构[期刊论文]-中兴通讯技术 2003(2)9.吕霞.杨军 WLAN标准GB15629.11安全机制--WAPI协议解析[期刊论文]-电子设计应用 2004(10)10.尹传勇.刘寿强.毕雅宁 营造安全的无限空间--无限局域网新标准WAPI解析[期刊论文]-计算机安全 2004(7)11.郑君杰.肖军模.程林 WAPI协议及其安全性分析[期刊论文]-电视技术 2004(5)12.可运营WLAN网络安全问题的探讨
14.倪源.彭志威.王育民 增强的无线局域网安全技术分析[期刊论文]-中兴通讯技术 2003(6)15.万仁福.陈宇.李方伟 3G与WLAN融合的安全性分析[期刊论文]-电信快报 2004(8)16.魏松.肖征荣 3G与WLAN互连的安全问题[期刊论文]-电信快报 2004(8)17.何广法.刘乃安 基于3GPP-WLAN互通性安全的AP设计应用[期刊论文]-现代电子技术 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.杨文东 IEEE 802.16宽带无线接入标准体系介绍[期刊论文]-电信工程技术与标准化 2003(2)20.刘文杰.傅海阳.吴蒙 LMDS系统安全认证协议的形式分析与改进[期刊论文]-计算机工程 2003(22)21.傅坚 无线宽带固定接入系统的安全性分析[期刊论文]-计算机工程 2004(6)
第三篇:无线局域网研究论文
随着无线技术和网络技术的发展,无线网络正成为市场热点,其中无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合。但是,由于无线网络的特殊性,攻击者无须物理连线就可以对其进行攻击,使WLAN的安全问题显得尤为突出。对于大部分公司来说,WLAN通常置于防火墙后,黑客一旦攻破防火墙就能以此为跳板,攻击其他内部网络,使防火墙形同虚设。与此同时,由于WLAN国家标准WApI的无限期推迟,IEEE 802.11网络仍将为市场的主角,但因其安全认证机制存在极大安全隐患,无疑让WLAN的安全状况雪上加霜。因此,采用入侵检测系统(IDS——intrusion detection system)来加强WLAN的安全性将是一种很好的选择。尽管入侵检测技术在有线网络中已得到认可,但由于无线网络的特殊性,将其应用于WLAN尚需进一步研究,本文通过分析WLAN的特点,提出可以分别用于有接入点模式WLAN和移动自组网模式WLAN的两种入侵检测模型架构。
上面简单描述了WLAN的技术发展及安全现状。本文主要介绍入侵检测技术及其应用于WLAN时的特殊要点,给出两种应用于不同架构WLAN的入侵检测模型及其实用价值。需要说明的是,本文研究的入侵检测主要针对采用射频传输的IEEE802.11a/b/g WLAN,对其他类型的WLAN同样具有参考意义。
1、WLAN概述
1.1 WLAN的分类及其国内外发展现状
对于WLAN,可以用不同的标准进行分类。根据采用的传播媒质,可分为光WLAN和射频WLAN。光WLAN采用红外线传输,不受其他通信信号的干扰,不会被穿透墙壁偷听,而早发射器的功耗非常低;但其覆盖范围小,漫射方式覆盖16m,仅适用于室内环境,最大传输速率只有4 Mbit/s,通常不能令用户满意。由于光WLAN传送距离和传送速率方面的局限,现在几乎所有的WLAN都采用另一种传输信号——射频载波。射频载波使用无线电波进行数据传输,IEEE 802.11采用2.4GHz频段发送数据,通常以两种方式进行信号扩展,一种是跳频扩频(FHSS)方式,另一种是直接序列扩频(DSSS)方式。最高带宽前者为3 Mbit/s,后者为11Mbit/s,几乎所有的WLAN厂商都采用DSSS作为网络的传输技术。根据WLAN的布局设计,通常分为基础结构模式WLAN和移动自组网模式WLAN两种。前者亦称合接入点(Ap)模式,后者可称无接入点模式。分别如图1和图2所示。
图1 基础结构模式WLAN
图2 移动自组网模式WLAN
1.2 WLAN中的安全问题 WLAN的流行主要是由于它为使用者带来方便,然而正是这种便利性引出了有线网络中不存在的安全问题。比如,攻击者无须物理连线就可以连接网络,而且任何人都可以利用设备窃听到射频载波传输的广播数据包。因此,着重考虑的安全问题主要有:
a)针对IEEE 802.11网络采用的有线等效保密协议(WEp)存在的漏洞,进行破解攻击。
b)恶意的媒体访问控制(MAC)地址伪装,这种攻击在有线网中同样存在。
C)对于含Ap模式,攻击者只要接入非授权的假冒Ap,就可登录欺骗合法用户。
d)攻击者可能对Ap进行泛洪攻击,使Ap拒绝服务,这是一种后果严重的攻击方式。此外,对移动自组网模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常称为能源消耗攻击。
e)在移动自组网模式的局域网内,可能存在恶意节点,恶意节点的存在对网络性能的影响很大。
2、入侵检测技术及其在WLAN中的应用
IDS可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS)。HIDS采用主机上的文件(特别是日志文件或主机收发的网络数据包)作为数据源。HIDS最早出现于20世纪80年代初期,当时网络拓扑简单,入侵相当少见,因此侧重于对攻击的事后分析。现在的HIDS仍然主要通过记录验证,只不过自动化程度提高,且能做到精确检测和快速响应,并融入文件系统保护和监听端口等技术。与HIDS不同,NIDS采用原始的网络数据包作为数据源,从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件,并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段,最后通过对各探针发回的信息进行综合分析来检测入侵,这种结构的优点是管理起来简单方便,单个探针失效不会导致整个系统失效,但配置过程复杂。基础结构模式入侵检测模型将采用这种分布式网络检测方法,而对于移动自组网模式内的入侵检测模型将采用基于主机的入侵检测模型。
当前,对WLAN的入侵检测大都处于试验阶段,比如开源入侵检测系统Snort发布的Snort-wire-less测试版,增加了Wifi协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其Ap由管理员手工配置,因此能很好地识别非授权的假冒Ap,在扩展Ap时亦需重新配置。但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。2003年下半年,IBM提出WLAN入侵检测方案,采用无线感应器进行监测,该方案需要联入有线网络,应用范围有限而且系统成本昂贵,要真正市场化、实用化尚需时日。此外,作为概念模型设计的WIDZ系统实现了Ap监控和泛洪拒绝服务检测,但它没有一个较好的体系架构,存在局限性。
在上述基础上,我们提出一种基于分布式感应器的网络检测模型框架,对含Ap模式的WLAN进行保护。对于移动自组网模式的WLAN,则由于网络中主机既要收发本机的数据,又要转发数据(这些都是加密数据),文献提出了采用异常检测法对路由表更新异常和其他层活动异常进行检测,但只提供了模型,没有实现。此外,我们分析了移动自组网模式中恶意节点对网络性能的影响,并提出一种基于声誉评价机制的安全协议,以检测恶意节点并尽量避开恶意节点进行路由选择,其中恶意节点的检测思想值得借鉴。Snort-wireless可以作为基于主机的入侵检测,我们以此为基础提出一种应用于移动自组网入侵检测的基于主机的入侵检测模型架构。
3、WLAN中的入侵检测模型架构
在含Ap模式中,可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS),甚至可以组成一个大型的WLAN。这种网络需要一种分布式的检测框架,由中心控制台和监测代理组成,如图3所示。
图3 含Ap模式的分布式入侵检测系统框架
网络管理员中心控制台配置检测代理和浏览检测结果,并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息,并将警告信息发送至中心控制台。
由此可见,监测代理是整个系统的核心部分,根据网络布线与否,监测代理可以采用两种模式:一种是使用1张无线网卡再加1张以大网卡,无线网卡设置成“杂凑”模式,监听所有无线数据包,以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡,其中一张网卡设置成“杂凑”模式,另一张则与中心服务器通信。
分组捕获完成后,将信息送至检测引擎进行检测,目前最常用的IDS主要采用的检测方法是特征匹配,即把网络包数据进行匹配,看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开,但通常都与著名的开源入侵检测系统Snort的多模检测算法类似。另一些IDS还采用异常检测方法(如Spade检测引擎等),通常作为一种补充方式。无线网络传输的是加密数据,因此,该系统需要重点实现的部分由非授权Ap的检测。通常发现入侵之后,监测代理会记录攻击特征,并通过安全通道(采用一定强度的加密算法加密,有线网络通常采用安全套接层(SSL)协议,无线网络通常采用无线加密协议(WEp))将告警信息发给中心控制台进行显示和关联分析等,并由控制台自动响应(告警和干扰等),或由网络管理员采取相应措施。
在移动自组网模式中,每个节点既要收发自身数据,又要转发其他节点的数据,而且各个节点的传输范围受到限制,如果在该网络中存在或加入恶意节点,网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的路由信息、伪造或修改路由信息等方式,对网络造成干扰;自私性攻击是指网络中的部分节点可能因资源能量和计算能量等缘故,不愿承担其他节点的转发任务所产生的干扰。因此,对恶意节点的检测并在相应的路由选择中避开恶意节点,也是该类型WLAN需要研究的问题。
我们的检测模型建立在HIDS上,甚至可以实现路由协议中的部分安全机制,如图4所示。
图4 移动自组网模式中的入侵检测架构
当数据包到达主机后,如果属于本机数据,数据包将被解密,在将它递交给上层之前,先送至基于主机的误用检测引擎进行检测,根据检测结果,对正常数据包放行,对攻击数据包则进行记录,并根据响应策略进行响应。此外,还可以在误用检测模型的基础上辅以异常检测引擎,根据以往的研究成果,可以在网络层或应用层上进行,也可以将其做入路由协议中,以便提高检测速度和检测效率。
4、结束语
传统的入侵检测系统已不能用于WLAN,而WLAN内入侵检测系统的研究和实现才刚刚起步。本文分析了WLAN的特点及其存在的安全问题,提出了两种入侵检测系统架构,可以分别用于基础结构模式WLAN和移动自组网模式WLAN,具有实用价值。基础结构模式WLAN采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。需要进一步研究的问题有:在框架上实现原型系统来验证其有效性;在加密的网络环境中更加有效地进行入侵检测。
第四篇:无线局域网技术安全发展的研究
摘要:无线局域网的覆盖范围为几百米,在这样一个范围内,无线设备可以自由移动,其适合于低移动性的应用环境。而且无线局域网的载频为公用频段,无需另外付费,因而使用无线局域网的成本很低。无线局域网带宽更会发展到上百兆的带宽,能够满足绝大多数用户的带宽要求。基于以上原因,无线局域网在市场赢得热烈的反响,并迅速发展成为一种重要的无线接入互联网的技术。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安个问题。本文在阐述无线局域网安全发展概况的基础上,分析了无线局域网的安全必要性,并从不同方面总结了无线局域网遇到的安全风险,同时重点分析了IEEE802.11 b标准的安全性、影响因素及其解决方案,最后对无线局域网的安全技术发展趋势进行了展望。关键词:无线局域网;标准;安全;趋势
前言 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。1. 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早发表论文指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开发布的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AE
S-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措
施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密性服务,数据的完整性服务,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同
于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。4.1 IEEE802.11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。4.1.2 WEP IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。4.2 影响安全的因素[9][10] 4.2.1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802.1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802.11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线
局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的代理找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献:
[1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997 [2] 冯锡生,朱荣,《无线数据通信》1997
[3] 你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4] 刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000 [5] 吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6] 张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000 [7] 牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003 [8] Jeffrey Wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002 [9] Gil Held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10] Christian Barnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003 [11] Juha Heiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003 [12] Eric Ouellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003 [13] Mark Ciampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003 [14] 张振川,《无线局域网技术与协议》,东北大学出版社.2003
[15] 金纯,陈林星,杨吉云,《IEEE 802.11无线局域网》,电子工业出版社,2004
第五篇:局域网设计方案
局域网设计方案
1、需求分析:
根据用户提出的要求,进行网络的设计.老师提出的网络应用需求,主要包括以下几点: 基本情况:机房418,面积、房型可实地参观,要求能够同时提供64位同学和1位教师的上机服务,且能够外连至电信公司(此处外连设计为ADSL方式)。机房内须提供内部使用的FTP和Web服务。
要求:
1)所有的终端设备清单 2)所有网络设备清单
3)所有布线主料与辅料清单
不间断电源,4)所有正版操作系统和正版应用软件清单 5)所有服务器系统软件清单
2、计算机摆放方案
机房的计算机摆放可用队列式摆放方式,机房内需要65台计算机和2台服务器。可分为6列,12排;每10台计算机为一组,所以共分为7组。把两列台计算机分别划为5组,依次排放下去。平均每组计算机占地5平方米,7组共占地70平方米;其中,每组计算机的间隔为1.5米,为工作人员留下足够的活动空间,并且能够互相交流工作,符合人性化的布局设计。机房的左侧用于放置服务器、主交换机和UPS电源。机房空调3台。主要布置如图: 下面为机房场地的平面图
3、网络系统结构设计
根据需求分析报告,开始网络系统方案的设计阶段。这个阶段包括确定网络总体目标、网络方案设计原则、网络拓扑结构、网络技术、网络地址规划、VLAN划分、综合布线、网络互联设备的选型、机器选型与软硬件配置、网络管理、网络安全等内容。
3.1网络总体目标和设计原则
3.1.1确立网络总体实现的目标
网络建设的总体目标首先明确的是采用以太网技术和局域网标准构筑一个满足日常教学与要求能够同时提供64位同学和1位教师的上机服务,且能够外连至电信公司(此处外连设计为ADSL方式)。机房内须提供内部使用的FTP和Web服务。工程实行一次性投资和建设。
3.1.2总体设计原则
①实用性原则 网络方案设计中把握“够用”和“实用”原则。网络系统采用成熟可靠的技术和设备,达到实用、经济和有效的目的。②开放性原则
建成多协议、多网络操作系统网络平台,真正实现开放式的网络体系结构。③先进性原则
网络建设应适应目标管理自身发展的特点及网络通信技术更新换代,主机系统选择、网络结构设计、网络管理和连接方式具有一定的先进性。④易用性原则
整个机房网络系统必须易于管理、安装和使用,网络系统必须具有良好的可管理性,并且在满足现有网络应用的同时,为以后的应用升级奠定基础。网络系统还应具有很高的资源利用率。⑤可扩展性原则
网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展的余地。因此,需要同意规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。由于目前网络产品标准化程度较高,因此可扩展性要求基本不成问题。⑥安全性
实现网络的合理配置,利用授权及软件防火墙技术,能阻止非法用户访问网络资源,保证数据传输、存储的安全。
3.2、网络拓扑结构的设计
关于机房内部的交换机则选用中端的Catalyst 3512 XL:12口10/100M自适应端口,2口GBIC插槽,因为机房内部共有67台机器需要互连通信,且准备实现链路冗余,用STP来消除桥接环路,则需要安置至少6台该型号的交换机,另外该型号交换机有2个GBIC插槽,可以为以后的扩张需要做准备。具体拓扑如下:
机房内部的计算机拓扑图
3.3、网络技术
在整个网络建设中,网络采用ADSL接入电信公司,所以能够提供最高达8Mbps的高速速下载速度和1Mbps的上传速度。
整个网络提供内部使用的FTP和Web服务做为该教学网的教学使用服务器,运用双绞线接连各个学生机及教师机。通过ADSL MODEM 接入电信公司。
3.4、网络地址规划
3.4.1、学校IP资源的管理和机房计算机命名
为了科学、有效地使用学校内部的IP资源,提高网络管理的效率,避免IP冲突。根据机房的实际情况将机房的IP资源规划如下:
我们将电信公司申请的IP号,内部IP段通常是:192.168.21.100-192.168.21.160,100号给ftp服务器用,101给web服务器用,102号电脑室教师机用,103-164号给电脑教室学生机,这样学生的计算机名是S01、S02„„就分别与IP号103、104„„分别对应起来了。以此类推,便于记忆,有利于机房管理和网络维护。剩下的IP号目前用不到先留着。
3.4.2、计算机名
为了提高网络维护效率,使自己在办公室或校内外任何能上网的地方都会知道学校的计算机运行情况,要给每台计算机命名,计算机名要容易记。机房的计算机采用S01、S02„„的命名规则。
3.5、VLAN划分 根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.6、综合布线
本项目机房地点设在实训楼418。机房配有电信的网接口、64台学生计算机、一台教师机和二台服务器。主干网采用双绞线,机房内部属于综合布线系统的工作区子系统,双绞线敷设方式采用墙壁线缆布线方式,双绞线的敷设内置于PVC管道,以提高机房内部布线的美观性和安全性,房间墙壁以及地板设置几个信息点,以备将来扩展的需要,总体布线情况为:主机接入交换机,交换机互联,再由交换机接入外部设备。
3.7、与外网连接的结构图
机房内部的布线是局限的,只能用于内部信息共享,它的拓扑仅仅是内网的拓扑,不能与外网进行信息交换。我们要把它与外网相联接,下面是其他设备互联以及和与外网互联后的拓扑图:
3.8、网络互联设备的选型
①路由器
本网络系统建议使用的是思科3945/K9:
②交换机
锐捷RG-S2328G:
③ADSL Modem 华为HG510:用于接入电信公司网。
3.9、机器选型与软硬件配置
3.9.1、机器选型与硬件配置
3.9.1.1、教学用计算机:联想A4600K PDC E5700
65台 3.9.1.2、服务器:IBM System x3100 2台 3.9.1.3、ups电源:山特C6KS 标准版
3.9.1.4、防静电和防雷设备:OBO V20-C 1套
3.9.2、软件配置
3.9.2.1、操作系统:Windows7 服务器:Linux 3.9.2.2、应用软件:多媒体教学软件,Office2003办公软件、Visual C++、Visual Studio 2005、SQL Serer2005、Dreamweaver8、Flash、Photoshop、常用杀毒软件,其它常用软件等。
3.10、网络管理与维护
3.10.1网络管理 3.10.1.1技术方面
1)、通过设置IP段,标识机房中电脑,使机房成为独立的局域网络。设置机房内局域网通过教师主机共享上网,方便教师控制整个机房内机器有目标的上网。2)、安装还原软件(网络破解版)。
3.11、网络安全
(1)、ARP防火墙的使用
每台计算机安装了一个独立的“ARP防火墙”和360杀毒软件。系统自带的防火墙作用不大,有安装360安全卫士的办公计算机,打开其中的“ARP防火墙”应该也能解决这个问题。学生机不安装360安全卫士,不给学生多余的操作,以及360在学生机子中不必要的提示;
(2)、路由IP绑定
路由的各种设置要由网络提供商提供,新建一个管理员用户名和密码才可以进行操作。不同的路由功能不一样,实现的方法也不一样。IP绑定是大多数路由都有的,把每个内网IP与每台计算机进行绑定,优点是有利于网络维护,缺点是网络中的计算机换了没有绑定的IP还是能用。有的路由还能进行IP分组,可以分为教师、学生、网站三组,并分别限制带宽。
参考文献:百度文库及局域网相关文献
点击咨询 