第一篇:无限局域网技术分析与探讨 毕业论文
JIU JIANG UNIVERSITY
毕 业 论 文
题 目: 无线局域网技术分析与探讨 院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名: 年 级: 指导教师:
二零一一年十一月二十日
摘 要...........................................................2 目 录„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.3 第一章„„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 1.1 选题背景„„„„„„„„„„„„„„„„„„„„„„„„ 5 第二章 无线局域网„„„„„„„„„„„„„„„„„„„„„„..6
2.1 简单的家庭无线局域网„„„„„„„„„„„„„„„„„„ 6 2.2 无线桥接„„„„„„„„„„„„„„„„„„„„„„„„ 6 2.3 中型无线局域网„„„„„„„„„„„„„„„„„„„„„.7 2.4 大型可交换局域网„„„„„„„„„„„„„„„„„„„„.7 2.5 无线局域网络应用„„„„„„„„„„„„„„„„„„„„ 8 2.6 无线局域网的优点„„„„„„„„„„„„„„„„„„„„ 8 2.7 无线局域网的不足之处„„„„„„„„„„„„„„„„„„ 9 第三章 无线技术„„„„„„„„„„„„„„„„„„„„„„„ 10 3.1 技术要求„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.2 硬件设备„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.3 展频技术„„„„„„„„„„„„„„„„„„„„„„„„ 11 3.3.1 跳频技术„„„„„„„„„„„„„„„„„„„„„„.11 3.3.2 直接序列展频技术„„„„„„„„„„„„„„„„„„.11 3.4 FHSS VS DSSS调变差异„„„„„„„„„„„„„„„„„„.11 3.5 DSSS VS FHSS之优劣 „„„„„„„„„„„„„„„„„„.11 第四章 IEEE 802.11之相关信息 „„„„„„„„„„„„„„„„.13 4.1 2.4GHz Direct Sequence Spread Spectrum„„„„„„„„„„ 13 4.2 2.4GHz Frequency Hopping Spread Spectrum„„„„„„„„„ 13 4.3 Diffused IR„„„„„„„„„„„„„„„„„„„„„„ 13 第五章 无线局域网络产品简介„„„„„„„„„„„„„„„„„.14 5.1 Access Point „„„„„„„„„„„„„„„„„„„„„„14 5.2 Wireless LAN Card„„„„„„„„„„„„„„„„„„„„14 5.3 Antenna„„„„„„„„„„„„„„„„„„„„„„„„.14 5.4 产品Q&A„„„„„„„„„„„„„„„„„„„„„„„„.14 5.5 无线局域网络之应用„„„„„„„„„„„„„„„„„„..17 第六章 无线局域网关键技术与展望„„„„„„„„„„„„„„„ 18 6.1 公共WLAN组网方案„„„„„„„„„„„„„„„„„„„.18
6.1.1 接入点(AP)„„„„„„„„„„„„„„„„„„„.18 6.1.2 接入控制点(AC)„„„„„„„„„„„„„„„„„„ 18 6.1.3 远程拨号接入认证(RADIUS)服务器„„„„„„„„„„.18 6.1.4 认证服务器(AS)„„„„„„„„„„„„„„„„„„.18 6.1.5门户网站服务器(Portal Server)„„„„„„„„„„„„18 6.2 公网WLAN用户接入的相关解决方案„„„„„„„„„„„„„18 6.2.1 1.OWLAN的用户认证„„„„„„„„„„„„„„„„„.18 6.2.2 802.1x用户认证方式中的访问实体„„„„„„„„„„„ 19 6.3 802.1x认证方式„„„„„„„„„„„„„„„„„„„„„19
6.3.1 EAP-MD5认证方式„„„„„„„„„„„„„„„„„„.19 6.3.2 EAP-SIM认证方式„„„„„„„„„„„„„„„„„„.19 6.3.3 EAP-TLS认证方式„„„„„„„„„„„„„„„„„...19 6.3.4 EAP-TTLS鉴权认证方式„„„„„„„„„„„„„„„..19 6.4 OWLAN的数据安全„„„„„„„„„„„„„„„„„„„„.20 第七章 WLAN中的VPN„„„„„„„„„„„„„„„„„„„„„„21 7.1 由用户端发起的VPN连接„„„„„„„„„„„„„„„„„ 21 7.2 由AC端发起的VPN连接„„„„„„„„„„„„„„„„„„ 21 7.3 802.11i标准„„„„„„„„„„„„„„„„„„„„„...21 7.4 基本的WLAN安全„„„„„„„„„„„„„„„„„„„„..22 7.5 IEEE 802.11的安全技术„„„„„„„„„„„„„„„„„.22 7.5.1 认证.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i标准„„„„„„„„„„„„„„„„„„„„ 23 7.7 VPN技术„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.8 WAPI„„„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.9 WLAN的切换与漫游„„„„„„„„„„„„„„„„„„„„25 7.9.1 切换与漫游„„„„„„„„„„„„„„„„„„„„„„„ 25 7.9.2 移动IP„„„„„„„„„„„„„„„„„„„„„„„„„25 结语„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.26 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.27 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„.28
第一章
绪论
1.1 选题背景
对于局域网络管理主要工作之一,对于铺设电缆或是检查电缆是否断线这种耗时的工作,很容易令人烦躁,也不容易在短时间内找出断线所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路,虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。因此,架设无线局域网络就成为最佳解决方案。
无线局域网拓扑结构概述:基于IEEE802.11标准的无线局域网允许在局域网络环境中使用未授权的2.4或5.3GHz射频波段进行无线连接。它们应用广泛,从家庭到企业再到Internet接入热点。
第二章 无线局域网
图一
2.1 简单的家庭无线局域网
简单的家庭无线LAN:在家庭无线局域网最通用和最便宜的例子,如图1所示,一台设备作为防火墙,路由器,交换机和无线接入点。这些无线路由器可以提供广泛的功能,例如:保护家庭网络远离外界的入侵。允许共享一个ISP(Internet服务提供商)的单一IP地址。可为4台计算机提供有线以太网服务,但是也可以和另一个以太网交换机或集线器进行扩展。为多个无线计算机作一个无线接入点。通常基本模块提供2.4GHz802.11b/g操作的Wi-Fi,而更高端模块将提供双波段Wi-Fi或高速MIMO性能。双波段接入点提供2.4GHz802.11b/g和5.3GHz802.11a性能,而MIMO接入点在2.4GHz范围中可使用多个射频以提高性能。双波段接入点本质上是两个接入点为一体并可以同时提供两个非干扰频率,而更新的MIMO设备在2.4GHz范围或更高的范围提高了速度。2.4GHz范围经常拥挤不堪而且由于成本问题,厂商避开了双波段MIMO设备。双波段设备不具有最高性能或范围,但是允许你在相对不那么拥挤的5.3GHz范围操作,并且如果两个设备在不同的波段,允许它们同时全速操作。家庭网络中的例子并不常见。该拓扑费用更高但是提供了更强的灵活性。路由器和无线设备可能不提供高级用户希望的所有特性。在这个配置中,此类接入点的费用可能会超过一个相当的路由器和AP一体机的价格,归因于市场中这种产品较少,因为多数人喜欢组合功能。一些人需要更高的终端路由器和交换机,因为这些设备具有诸如带宽控制,千兆以太网这样的特性,以及具有允许他们拥有需要的灵活性的标准设计。
2.1 无线桥接
图二
无线桥接:当有线连接太昂贵或者需要为有线连接建立第二条冗余连接以作备份时,无线桥接允许在建筑物之间进行无线连接。802.11设备通常用来进行这项应用以及无线光纤桥。802.11基本解决方案一般更便宜并且不需要在天线之间有直视性,但是比光纤解决方案要慢很多。802.11解决方案通常在5至30mbps范围内操作,而光纤解决方案在100至1000mbps范围内操作。这两种桥操作距离可以超过10英里,基于802.11的解决方案可达到这个距离,而且它不需要线缆连接。但基于802.11的解决方案的缺点是速度慢和存在干扰,而光纤解决方案不会。光纤解决方案的缺点是价格高以及两个地点间不具有直视性。
2.3 中型无线局域网
图五
中型无线局域网:中等规模的企业传统上使用一个简单的设计,他们简单地向所有需要无线覆盖的设施提供多个接入点。这个特殊的方法可能是最通用的,因为它入口成本低,尽管一旦接入点的数量超过一定限度它就变得难以管理。大多数这类无线局域网允许你在接入点之间漫游,因为它们配置在相同的以太子网和SSID中。从管理的角度看,每个接入点以及连接到它的接口都被分开管理。在更高级的支持多个虚拟SSID的操作中,VLAN通道被用来连接访问点到多个子网,但需要以太网连接具有可管理的交换端口。这种情况中的交换机需要进行配置,以在单一端口上支持多个VLAN。尽管使用一个模板配置多个接入点是可能的,但是当固件和配置需要进行升级时,管理大量的接入点仍会变得困难。从安全的角度来看,每个接入点必须被配置为能够处理其自己的接入控制和认证。RADIUS服务器将这项任务变得更轻松,因为接入点可以将访问控制和认证委派给中心化的RADIUS服务器,这些服务器可以轮流和诸如Windows活动目录这样的中央用户数据库进行连接。但是即使如此,仍需要在每个接入点和每个RADIUS服务器之间建立一个RADIUS关联,如果接入点的数量很多会变得很复杂。
2.4 大型可交换无线局域网
图六
大型可交换无线局域网:交换无线局域网是无线连网最新的进展,简化的接入点通过几个中心化的无线控制器进行控制。数据通过Cisco,ArubaNetworks,Symbol和TrapezeNetworks这样的制造商的中心化无线控制器进行传输和管理。这种情况下的接入点具有更简单的设计,用来简化复杂的操作系统,而且更复杂的逻辑被嵌入在无线控制器中。接入点通常没有物理连接到无线控制器,但是它们逻辑上通过无线控制器交换和路由。要支持多个VLAN,数据以某种形式被封装在隧道中,所以即使设备处在不同的子网中,但从接入点到无线控制器有一个直接的逻辑连接。无线局域网
从管理的角度来看,管理员只需要管理可以轮流控制数百接入点的无线局域网控制器。这些接入点可以使用某些自定义的DHCP属性以判断无线控制器在哪里,并且自动连结到它成为控制器的一个扩充。这极大地改善了交换无线局域网的可伸缩性,因为额外接入点本质上是即插即用的。要支持多个VLAN,接入点不再在它连接的交换机上需要一个特殊的VLAN隧道端口,并且可以使用任何交换机甚至易于管理的集线器上的任何老式接入端口。VLAN数据被封装并发送到中央无线控制器,它处理到核心网络交换机的单一高速多VLAN连接。安全管理也被加固了,因为所有访问控制和认证在中心化控制器进行处理,而不是在每个接入点。只有中心化无线控制器需要连接到RADIUS服务器,这些服务器在图6显示的例子中轮流连接到活动目录。交换无线局域网的另一个好处是低延迟漫游。这允许VoIP和Citrix这样的对延迟敏感的应用。切换时间会发生在通常不明显的大约50毫秒内。传统的每个接入点被独立配置的无线局域网有1000毫秒范围内的切换时间,这会破坏电话呼叫并丢弃无线设备上的应用会话。交换无线局域网的主要缺点是由于无线控制器的附加费用而导致的额外成本。但是在大型无线局域网配置中,这些附加成本很容易被易管理性所抵消
2.5 无线局域网络应用
无线局域网络应用:大楼之间:大楼之间建构网络的连结,取代专线,简单又便宜。餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。医疗:使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。企业:当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。仓储管理:一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。货柜集散场:一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。监视系统:一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。展示会场:诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
2.6 无线局域网的优点
无线局域网的优点:(1)灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。(2)安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就
可建立覆盖整个区域的局域网络。(3)易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。(4)故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。(5)易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
2.7 无线局域网的不足之处
无线局域网的不足之处:无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:(1)性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。(2)速率。无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为150Mbit/s,只适合于个人终端和小规模网络应用。(3)安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
第三章 无线技术
3.1 技术要求
由于无线局域网需要支持高速、突发的数据业务,在室内使用还需要解决多径衰落以及各子网间串扰等问题。具体来说,无线局域网必须实现以下技术要求:
1.可靠性:无线局域网的系统分组丢失率应该低于10-5,误码率应该低于10-8。
2.兼容性:对于室内使用的无线局域网,应尽可能使其跟现有的有线局域网在网络操作系统和网络软件上相互兼容。
3.数据速率:为了满足局域网业务量的需要,无线局域网的数据传输速率应该在1Mbps以上。
4.通信保密:由于数据通过无线介质在空中传播,无线局域网必须在不同层次采取有效的措施以提高通信保密和数据安全性能。
5.移动性:支持全移动网络或半移动网络。
6.节能管理:当无数据收发时使站点机处于休眠状态,当有数据收发时再激活,从而达到节省电力消耗的目的。
7.小型化、低价格:这是无线局域网得以普及的关键。
8.电磁环境:无线局域网应考虑电磁对人体和周边环境的影响问题。
3.2 硬件设备
1.无线网卡。无线网卡的作用和以太网中的网卡的作用基本相同,它作为无线局域网的接口,能够实现无线局域网各客户机间的连接与通信。无线局域网
2.无线AP。AP是Access Point的简称,无线AP就是无线局域网的接入点、无线网关,它的作用类似于有线网络中的集线器。
3.无线天线。当无线网络中各网络设备相距较远时,随着信号的减弱,传输速率会明显下降以致无法实现无线网络的正常通信,此时就要借助于无线天线对所接收或发送的信号进行增强 开源项目
使用开源软件无线电GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的赞助下编写802.11 代码。GNU Radio 是免费的软件开发工具套件。它提供信号运行和处理模块,用它可以在易制作的低成本的射频(RF)硬件和通用微处理器上实现软件定义无线电。这套套件广泛用于业余爱好者,学术机构和商
业机构用来研究和构建无线通信系统。GNU Radio 的应用主要是用Python 编程语言来编写的。但是其核心信号处理模块是C++在带浮点运算的微处理器上构建的。因此,开发者能够简单快速的构建一个实时、高容量的无线通信系统。尽管其主要功用不是仿真器,GNU Radio 在没有射频RF 硬件部件的境况下支持对预先存储和(信号发生器)生成的数据进行信号处理的算法的研究。
3.3 展频技术
展频技术的无线局域网络产品是依据FCC(Federal Communications Committee;美国联邦通讯委员会)规定的ISM(Industrial Scientific,and Medical),频率范围开放在902M~928MHz及2.4G~2.484GHz两个频段,所以并没有所谓使用授权的限制。展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。
3.3.1跳频技术(FHSS)
跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,也只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
3.3.2直接序列展频技术(DSSS)
直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。
基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE802.11的标准内,其Spreading Ration大约在100左右。
3.4 FHSS VS DSSS调变差异
无线局域网络在性能和能力上的差异,主要是取决于所采用的是FHSS还是DSSS来实现、以及所采用的调变方式。然而,调变方式的选择并不完全是随意的,像FHSS并不强求某种特定的调变方式,而且,大部分既有的FHSS都是使用某些不同形式的GFSK,但是,IEEE 802.11草案规定要使用GFSK。至于DSSS则过使用可变相位调变(如:PSK、QPSK、DQPSK),可以得到最高的可靠性以及表现高数据速率性能。在抗噪声能力卜方面,采用QPSK调变方式的DSSS与采用FSK调变方式的FHSS相比,可以发现这两种不同技术的无线局域网络各自拥有的优势。FHSS系统之所以选用FSK调变方式的原因是因为FHSS和FSK内在架构的简单性,FSK无线讯号可使用非线性功率放大器,但这却牺牲了作用范围和抗噪声能力。而DSSS系统需要稍为贵一些的线性放大器,但却可以获得更多的回馈。
3.5 DSSS VS FHSS之优劣
截至目前,若以现有的产品参数详加比较,可以看出DSSS技术在需要最佳可靠性的应用中具有较佳的优势,而FHSS技术在需要低成本的应用中较占优势。虽然我们可以在网际网络内看到各家厂商各说各话,但真正需要注意的是厂商在DSSS和FHSS展频技术的选择,必须要审慎端视产品在市场的定位而定,因为它可以解决无线局域网络的传输能力及特性,包括:抗干扰能力、使用距离范围、频宽大小、及传输资料的大小。一般而言,DSSS由于采用全频带传送资料,速度较快,未来可开发出更高传输频率的潜力也较大。DSSS技术适用于固定环境中、或对传输品质要求较高的应用,因此,无线厂房、无线医院、网络社区、分校连网等应用,大都采用DSSS无线技术产品。FHSS则大都使用于需快速移动的端点,如行动电话在无线传输技术部分即是采用FHSS技术;且因FHSS传输范围较小,所以往往在相同的传输环境下,所需要的FHSS技术设备要比DSSS技术设备多,在整体价格上,可能也会比较高。以目前企业需求来说,高速移动端点应用较少,而大多较注重传输速率、及传输的稳定性,所以未来无线网络产品发展应会以DSSS技术为主流。消费者选购无线局域网络时需要特别注意下列的特性,以决定自己合适的产品,包括:
◎ 涵盖范围
◎ 传输率
◎ 受Multipath影响程度
◎ 提供资料整合程度
◎ 和有线的基础设施之间的互操性
◎ 和其它无线的基础设施之间的互操性
◎ 抗干扰程度
◎ 简单、易操作
◎ 保密能力
◎ 低成本
◎ 电流消耗情况。
第四章 IEEE 802.11之相关信息
因应无线局域网络的强烈需求,美国的国际电子电机学会于1990年11月召开了802.11委员会,开始制定无线局域网络标准。承袭IEEE802系列,802.11规范了无线局域网络的介质存取控制(Medium Access Control ;MAC)层及实体(Physical ;PHY)层。此较特别的是由于实际无线传输的方式不同,IEEE802.11在统一的MAC层下面规范了各种不同的实体层,以因应目前的情况及未来的技术发展。目前802.11中制订了三种介质的实体,为了未来技术的扩充性,也都提供了多重速率(Mulitiple Rates)的功能。这三个实体分别是:
4.1 2.4GHz Direct Sequence Spread Spectrum
速率1Mbps时用DBPSK调变(Difference By Phase Shift Keying)速率2Mbps 时用DQPSK调变(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用长度11的Barker码当展频PN码
4.2 2.4GHz Frequency Hopping Spread Spectrum
速率1Mbps时用2-level GFSK调变,接收敏感度–80dbm, 速率2Mbps时用4-level GFSK调变,接收敏感度–75dbm, 每秒跳2.5个 hops Hopping Sequence在欧美有22组,在日本有4组
4.3 Diffused IR
速率1Mbps时用16ppm调变,接收敏感度2 ×10-5mW/平方公分 速率2Mbps时用4ppm调变,接收敏感度8 ×10-5mW/平方公分 波长850nm~950nm
其中前两种在2.4GHz的射频方式是依据ISM频段以展频技术可做不须授权使用的规定,这个频段的使用在全世界包含美国、欧洲、日本及中国台湾等主要国家和地区都有开放。第三项的红外线由于目前使用上没有任何管制(除了安全上的规范),因此也是自由使用的。IEEE 802.11 MAC的基本存取方式称为CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance),与以太网络所用的CSMA/CD(Collision Detection)变成了碰撞防止(Collision Avoidance),这一字之差是很大的。因为在无线传输中感测载波及碰撞侦测都是不可靠的,感测载波有困难。另外通常无线电波经天线送出去时,自己是无法监视到的,因此碰撞侦测实质上也做不到。在802.11中感测载波是由两种方式来达成,第一是实际去听是否有电波在传,及加上优先权的观念。另一个是虚拟的感测载波,告知大家待会有多久的时间我们要传东西,以防止碰撞。
第五章 无线局域网络之产品简介
5.1 Access Point
一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
5.2 Wireless LAN Card
一般称为无线网络卡,其与传统之Ethernet网络卡的差别是在于前者之资料传送乃是藉由无线电波,而后者则是透过一般的网络线。目前无线网络卡的规格大致可分成2M,5M,11M,三种,而其适用之界面可分为PCMCIA,ISA,PCI三种界面。
5.3 Antenna
一般称为天线,此天线与一般电视,火腿族,大哥大所用之天线不同,其原因乃是因为频率不同所致,WLAN所用之频率为较高2.4GHz之频段。天线之功能乃是将source之信号,藉由天线本身的特性而传送至远处,至于能传多远,一般除了考虑source的output power强度之外,其另一重要因素乃是天线本身之dBi值,即俗称的增益值,dB值愈高,相对所能传达之距离也更远。通常每增加8dB则相对之距离可增至原距离的一半。一般天线有所谓指向性(Uni-direction)与全向性(Omni-direction)两种,前者较适合于长距离使用,而后者则较适合区域性之应用。
5.4 产品Q & A
Q1:何谓无线网络
ANS:一般来讲,所谓无线,顾名思义就是利用无线电波来作为资料的传导,而就应用层面来讲,它与有线网络的用途完全相似,两者最大不同的地方是在于传输资料的媒介不同。除此之外,正因它是无线,因此无论是在硬件架设或使用之机动性均比有线网络要优势许多。
Q2:无线网络与有线网络相较之下,有那些优点 ANS:就使用上它的机动性,便利性,是有线网络所不及,就成本上,它可省下一笔可观的布线费用,修改装潢费用,基本上使用的空间较为弹性许多。
Q3:无线网络对人体是否有所影响
ANS:因无线网络的发射功率较一般的大哥大手机要微弱许多,无线网络发射功率约60~70mW,而大哥大手机发射功率约200mW左右,而且使用的方式亦非像手机一般直接接触于人体,因此较无安全上之考量。
Q4:若要架构一个无线网络,其最基本之配备需要有那些
ANS:一般架设无线网络的基本配备就是一片无线网络卡及一台桥接器(AP),如此便能以无线的模式,配合既有的有线架构来分享网络资源。
Q5:无线网络就使用是否会被干扰或影响其它设备运作
ANS:基本上无线网络所使用之频段是属于ISM 2.4GHz的高频率范围,就日常生活,或办公室等等所用之电器设备是不会相互干扰,因频率差异甚多,而且无线网络本身共有12个信道可供调整,自然干扰的现象就不必担心。
Q6:何谓ISM频段
ANS:ISM(Industrial Scientific Medical)Band,此频段(2.4~2.4835GHz)主要是开放给工业,科学、医学,三个主要机构使用,该频段是依据美国联邦通讯委员会(FCC)所定义出来,属于Free License,并没有所谓使用授权的限制。
Q7:何谓展频(Spread Spectrum)ANS:展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。对于一个非特定的接受器,Spread Spectrum所产生的跳动讯号对它而言,只算是脉冲噪声。因此对整体而言是一种较具安全性的通讯技术。
Q8:何谓跳频(Frequency-Hopping Spread Spectrum)ANS:跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
Q9:何谓直接序列展频(Direct Sequence Spread Spectrum)ANS:直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE 802.11的标准内,其Spreading Ration只有11,但FCC的规定是必须大于10,而实验中,最佳的Spreading Ration大约在100左右。
Q10:无线网络所能含盖的范围有多广
ANS:一般无线网络所能含盖的范围应视环境的开放与否而定,若不加外接天线而言,在视野所及之处约250M,若属半开放性空间,有隔间之区域,则约35~50M左右,当然若加上外接天线,则距离可达更远,此关系到天线本身之增益而定,因此需视客户之需求而加以规划之。
Q11:无线网络于使用之过程其保密性为何
ANS:基本上GEMPLEX之无线网络技术采DSSS系统,本身就具有防窃听之功能,另外再加上资料加密功能(WEP40bits)的双重防护下,因此其安全性是相当周全。
Q12:何谓桥接器(Access Point)ANS:Access Point,一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
Q13:Access Point在使用上可同时支持多少工作站
ANS:理论上是可以支持到一个CLASS C,但为了让工作站本身有足够之频宽可利用,一般建议一台AP约支持20~30左右之工作站为最佳状态。
Q14:何谓漫游(Roaming)功能
ANS:如同大哥大一般,可漫游在不同的基地台之间,无线网络工作站亦可漫游在不同的AP之间,只要AP群的ESSID
定义一样,则自然无线网络工作站可自由的漫游于无线电波所能含盖之区域。
Q15:若无线网络之设备架设于室外,其如何防止雷击
ANS:基本上无线网络可配置避雷器之设备,此设备可选购装设于无线网络设备上,以利外来之突波造成系统损坏。
Q16:何谓Access Control ANS:基本上每张无线网卡上都有一组独一无二的硬件地址,即所谓的MAC address,经由Access Control table可定义某些卡可登入此AP,某些卡被拒绝登入,如此便能达到控管的机制,可避免非相关人员随意登入网络,窃取资源。
Q17:何谓ASBF ANS:ASBF(Automatic Scale Back Functionality),此项功能是Gemplex AP特有之功能,保证WLAN始终处于最佳的联机品质,除此之外,并提供支持多重厂商的无线网卡,但其网卡必须是符合IEEE 802.11之规范而设计。
Q18:何谓Power Management ANS:由于Notebook使用约2小时左右后便必须充电,若又同时使用其它外围设备,则必定更加耗电,因此此项功能乃在于有效的管理无线网络卡所消耗之电量,换句话说,它能适时控制当有DATA sending or receiving时,是处于”Wake up status”,反之则处于power down mode。
Q19:天线所使用之导线的长度是否有影响传输品质 ANS:一般来讲,天线所使用之导线的长度,材质,阻抗匹配,均会对讯号造成某程度之影响,而最明显的就是增益衰减。通常以20 feet之长度而言就会让讯号衰减约1.2dBi左右,而平均每衰减8dBi就会让原传输之距离约缩减一半,因此导线之长度与品质在无线产品的应用上是不容忽视的。
Q20:架设指向性天线时,是否有工具可提供指示,让讯号品质达到最佳化
ANS:Gemplex之Bridge本身有提供一套软件联机品质校正程序,其中是以图形曲线的方式呈现于屏幕上,使用者可明显看出该讯号目前强弱之状况,而加以调整天线的位置,已达最佳状态。
Q21 : 何谓Ad-hoc ANS : 构成一种特殊的无线网络应用模式,一群计算机接上无线网络卡,即可相互连接,资源共享,无需透过Access Point.Q22 : 何谓Infrastructure ANS : 一种整合有线与无线局域网络架构的应用模式,透过此种架构模式,即可达成网络资源的共享,此应用需透过Access Point.Q23 : 何谓BSS ANS : 一种特殊的Ad-hoc LAN的应用,称为Basic Service Set(BSS),一群计算机设定相同的BSS名称,即可自成一个group,而此BSS名称,即所谓BSSID。
Q24 : 何谓ESS ANS : 一种infrastructure的应用,一个或多个以上的BSS,即可被定义成一个Extended Service Set(ESS),使用者可于ESS上roaming及存取BSSs中的任何资料,其中Access Points必须设定相同的ESSID及channel才能允许roaming.Q25 : 何谓SNMP ANS : “Simple Network Management Protocol “,一种网管的通信协议,透过SNMP的软件可以连接至可支持SNMP的装置并可收集该装置所有的信息并做其它整合性的应用,Gemplex Wireless LAN product 就有support此功能。
Q26 : 何谓WEP ANS : “Wired Equivalent Protection “,一种将资料加密的处理方式,WEP 40bits的encryption 乃是IEEE 802.11的标准规范。
透过WEP的处理便可让我们的资料于传输中更加安全。
5.5 无线局域网络之应用
大楼之间 : 大楼之间建构网络的连结,取代专线,简单又便宜。
餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。
医 疗 :
使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。
企 业 :
当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。
仓储管理 : 一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。
货柜集散场 : 一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。
监视系统 : 一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。
展示会场 : 诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
第六章 无线局域网关键技术研究与展望
与目前5类线到户的有线局域网(LAN)用户接入方式相类似,无线局域网(WLAN)正在发展成为公网的宽带无线用户接入方式,即运营商的WLAN(OWLAN)。OWLAN严格说起来并不是一种局域网,而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时,WLAN只定位在局域网应用,故在WLAN作为热点地区公共接入网络时,802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本章主要探讨WLAN在作为公共接入网时的组网方案,以及对认证、加密、计费和漫游方面的解决方案。
6.1 公共WLAN组网方案
OWLAN可以作为某一个运营商的无线接入网,亦可作为多个运营商共用的无线接入网,故在OWLAN中要求能支持多种认证方式。
6.1.1 接入点(AP)
AP是WLAN的小型无线基站设备,为无线网与DS(分配系统例如有线以太网)之间的网关,且具有802.11f切换功能
6.1.2 接入控制点(AC)
AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式,并提供动态IP地址分配、输出原始计费信息、提供路由功能等。
6.1.3 远程拨号接入认证(RADIUS)服务器
在使用“用户号十密码”或“手机号十密码”的Web认证方式时,使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息,产生符合移动运营商要求格式的CDR(呼叫数据记录)计费信息,实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。
6.1.4 认证服务器(AS)
移动运营商使用SIM卡认证方式时,需要使用认证服务器(AS)。AS与网关(GW或GPRS中的GGSN)相配合提供WLAN与移动运行商HLR/AUC的连接。AS在读取MT(移动终端)的国际移动用户识别(IMSI),送HLR/AUC确认该用户为WLAN注册用户后,与HLR/AUC配合完成密钥产生、EAP(可扩展认证协议)_SIM认证等任务。其他功能同RADIUS服务器。
6.1.5 门户网站服务器(Portal Server)
用于向用户端推送WEB认证页面和门户网站主页面。
6.2 公网WLAN用户接入的相关解决方案
6.2.1 OWLAN的用户认证
WLAN在作为局域网使用时,沿用了有线LAN的PPPoE(PPP over Ethernet)和Web用户认证方式。在作为OWLAN使用时,由于其在物理上的开放性,使得非
法用户入侵的可能性大为增加,原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后,基本可以满足OWLAN的要求。同时,在认证安全前提下,应尽量利用运营商已有的鉴权认证设备,以简化系统、节约投资。
6.2.2 802.1x用户认证方式中的访问实体
802.1x协议克服了传统PPPoE和WEB认证方式的缺点,更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体(PAE)包括:客户端、认证者和认证服务器三部分。(1)客户端
用户从客户端发起802.11x的用户认证过程,为了支持基于端口的接入控制,客户端必需支持EAPoL(基于LAN的扩展认证协议)。(2)认证者
认证者通常为支持802.1x协议的网络设备,这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态,主要用于传递EAPoL协议帧,用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开,用于传递运营商的有偿网络资源和业务。当用户未通过认证时,受控端口对该用户关闭,即无法访问该运营商所提供的有偿服务。(3)认证服务器
认证服务器通常为RADIUS服务器或AS+HLR/AUC,它与认证者之间通过EAP协议进行通信。
6.3 802.1x认证方式
802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务(RADIUS)及与之相关的两个通信协议:可扩展认证协议(EAP)和传输层协议(TLS)。802.1x主要涵盖以下四种认证方式:
6.3.1 EAP-MD5认证方式
EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码,若通过认证就就允许客户端访问网络业务。采用该认证方式时,用户密码采用MD5加密算法,以保证认证信息的安全。EAP-MD5属单向认证机制,即只包括网络对客户端的认证。
6.3.2 EAP-SIM认证方式
EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡。网络侧的认证服务器(AS)与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证
6.3.3 EAP-TLS认证方式
EAP-TLS认证方式属于传输层认证机制,支持用户与网络之间的双向认证。用户可以在每次连接动态生成新密钥,且在用户连接期间按一定间隔更新密钥。TLS认证中,传送的数据由TLS加密封装,保证认证信息的安全。
6.3.4 EAP-TTLS鉴权认证方式
EAP-TTLS认证方式基于隧道安全认证技术,能够支持双向认证和动态密钥分发。在该认证方式中客户端与RADIUS之间,采用EAPoL协议建立安全隧道传送EAP认证包,实现TTLS认证。
6.4 OWLAN的数据安全
802.1x协议对数据的加
为了克服802.11所定义WEP(有线等效保密协议)存在的安全隐患,IEEE制定了802.1x用以增强WEP的安全性。WEP使用40位静态密钥,而802.1x通过动态配置WEP的128位密钥加强了数据的保密性,制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进,并增加了消息完整性检查(MIC)
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依赖于其初始鉴权认证的主密钥。利用该主密钥对空中数据帧加密,使得未经认证的用户无法对所窃取的数据帧进行解密
第七章 WLAN中的VPN
为了保证企业内部网络的安全接入,在OWLAN接入网中采用虚拟专网(VPN)技术用以保证企业内部网络的安全接入。VPN是指在一个公共IP平台上,通过隧道及加密技术,为网络提供点对点的安全通信,以保证远程用户接入专用网络的数据安全性。
在采用VPN技术的WLAN中,无线接入网络已被企业的VPN服务器和虚拟局域网(VLAN)将企业内部网的接入隔离开来。由企业的VPN服务器提供无线网络的认证与加密,并充当企业内部网络的网关。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议,上述协议对通过WLAN传送的数据提供强大的加密功能。
根据隧道的建立方式,可划分为2类VPN连接应用:
7.1 由用户端发起的VPN连接
在由用户端发起的VPN连接应用中,需要在MT中按装VPN客户端软件。用以在MT与企业的VPN服务器(网关)之间建立隧道连接。在这类VPN连接中,VPN只涉及发起端与终结端,因此对AP、AC而言是透明的,无需AP、AC支持VPN。
7.2 由AC端发起的VPN连接
在由AC端发起的VPN连接应用中,用户以PPPoE方式连接AC,AC根据通信目的域名地址判为VPN业务后,由AC发起一条隧道连接用户欲接入的企业网网关。在这种方式下从MT到AC的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现传输数据的加密。
7.3 802.11i标准
802.11i是专门针对WLAN安全体系的标准。该标准提供一种新的加密方法和认证方式(即WEP2技术)。与传统的WEP算法相比较,WEP2将密钥的长度由40位增加到128位,故很难破译。同时,该标准将一种增强安全网络(RSN)方案纳入其中,并包括了TKIP和AES-OCB两个协议。802.11i通过使用动态密钥、良好的密钥管理与分发机制以及更强的加密算法,使得在WLAN中的数据帧传输变得更加安全。
OWLAN的计费
在OWLAN中,AC监测用户数据传输的时间或流量,用以产生计费的原始信息送AS或RADUIS。在AS或RADUIS中对计费原始信息进行加工,生成符合计费中心所需格式的计费数据记录(CDR),送运行商计费中心。在多个运营商共用一个OWLAN时,要求AC能鉴别不同运营商的计费信息,分别送对应运营商的计费系统。
OWLAN的移动性管理
802.11至今还没有一个对MT设备跟踪与管理的正式标准。而在将WLAN作为OWLAN应用的今天,必须解决在同一计算机子网(域)内MT在不同AP之间漫游的问题;以及不同计算机子网(域)之间的漫游的问题。在没有统一的WLAN域内、域间的漫游标准之前,各制造商和运营商则推出了各自的解决方案
域内漫游
在802.11中仅说明了MT可以在同一个ESS(扩展业务集)内的AP之间进
行漫游,但未对MT漫游时AP之间具体通信过程做出规定,故不同厂家在实现AP间漫游时均采用了私有协议,这对运营商的组网带来了困难。为此IEEE推出了支持域内漫游的802.11f标准(已被IEEE批准为实践性标准)。
802.11f定义了同一ESS中AP的登录,以及MT从一个AP切换到另一个AP时,AP之间交换的信息。
802.11f所定义的IAPP(AP间交互协议)在IP层上规定了AP之间以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共同的DS中交互信息、进行互操作。同时亦通过IAPP来影响第二层网络设备的操作。802.11f要求在RADIUS服务器中存放有域内各AP的基本信息,例如基本服务集标识(BSS-ID)、IP地址以及MT接入的认证密钥。
7.4 基本的WLAN安全
务组标识符(SSID):无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。况且有的厂家支持any方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。另外,非法用户利用网络侦听手段很容易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
7.5 IEEE 802.11的安全技术
7.5.1 认证
在无线客户端和中心设备交换数据之前,它们之间必须先进行一次对话。在802.11b标准制定时,IEEE在其中加入了一项功能:当一个设备和中心设备对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他关键通信。这项功能可以被设为shared key authentication和open authentication,默认的是后者。在默认设定下,任何设备都可以和中心设备进行通讯,而无法越过中心设备,去更高一级的安全区域。而在shared key authentication设定时,客户机要先向中心设备发出连接请求,然后中心设备发回一串字符,要求客户机使用WEP钥匙返回密码。只有在密码正确的情况下,客户机才可以和中心设备进行通信,并可以进入更高级别。
使用认证方式有一个缺点,中心设备发回的字符是明文的。通过监听通信过程,攻击者可以在认证公式中得到2个未知数的值,明文的字符和客户机返回的字符,而只有一个值还无法知道。通过RC4计算机通信加密算法,攻击者可以轻易的搞到shared authentication key。由于WEP使用的是同一个钥匙,侵入者就可以通过中心设备,进入其他客户端。讽刺的是,这项安全功能通常都应该设
为“open authentication”,使得任何人都可以和中心设备通信,而通过其他方式来保障安全。尽管不使用这项安全功能看上去和保障网络安全相矛盾,但是实际上,这个安全层带来的潜在危险远大于其提供的帮助
7.5.2 保密
有线等效保密(WEP):WEP虽然通过加密提供网络的安全性,但存在许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。利用认证与加密的安全漏洞,在很短的时间内,WEP密钥即可被破解。
7.6 IEEE 802.11i标准
(1)认证-端口访问控制技术(IEEE 802.1x)
通过802.1X,当一个设备要接入中心设备时,中心设备就要求一组证书。用户提供的证书被中心设备提交给服务器进行认证。这台服务器称为RADIUS,也就是temote Authentication Dial-In User Service,通常是用来认证拨号用户的。这整个过程被包含在802.1X的标准EAP(扩展认证协议)中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP也是802.1X中最主要的安全功能。现在的EAP方式主要有四种。
但是IEEE 802.1x提供的是无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于其享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
(2)保密
有线等效保密的改进方案-TKIP。
目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比于WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,由于WEP算法的安全漏洞是由于WEP机制本身引加性高斯噪声信道起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全关键的加密部分,TKIP
没有脱离WEP的核心机制。
目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protoco1)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
7.7 VPN技术
作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。然而,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术体制杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络儿乎是不可思议的。
成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。
7.8 WAPI 技术标准是所有产业健康发展的基石,对无线局域网产业而言,以往一直存在缺乏统一标准和安全保障两大瓶颈。目前WEAN国际标准可靠安全机制的软肋使得安全问题的压力大部分遗留给了WLAN产业链上的芯片设计、设备制造、系统集成甚至最终用户等各个环节,各设备厂商和系统集成商各行其道,市场中出现大量专有的安全标准和解决方案,这些方案要么影响网络性能要么限制了网络的可用性和扩展性,当然最致命的是,这些方案大多基于WEP、802.lx等对WLAN来说并不十分可靠的基础协改。对于大多数并不熟悉WLAN安全技术的最终用户而言,WEP/WPA/SSID/VPN/802.1x等名目繁多、花样翻新,往往又价格不斐的WLAN安全方案让他们无所适从。
最新颁布并且即将强制执行的WLAN国家标准对目前中国WLAN市场的发展和格局将产生深远影响。WLAN国家标准依据我国的无线电管理法规对我国无线局域网相关产品的发射功率、信道数等作出了明确规定,标准还强调和规定了无线局域网安全技术的应用要求。适用于独立的无线局域网设备以及提供无线局域网相关功能的独立或嵌入式软件模块。同时该标准与相应国际标准的区别主要表现在对安全机制的严格要求,即用WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。虽然WAPI作为被中国政府认可并最终颁布的WLAN安全机制,有着比
目前WEP、802.lx、WPA等安全协议更高的安全性,但是能否获得最终的成功还有待于厂商的支持和市场的考验。
7.9 WLAN的切换与漫游
7.9.1 切换与漫游
WLAN的切换指的是在相同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。漫游指的是在不同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。
加入现有的服务区有两种方法:主动扫描和被动扫描。主动扫描要求站点查找接入点,从接入点设备中接受同步信息。也可通过被动扫描获得同步信息,可侦听每个接入点周期性所发送的信标帧。一旦站点定位了接入点,并取得了同步信息,就必须交换验证信息。这些信息的交互在接入点和站点之间产生,每个设备给出预设的口令。在站点经过验证后,关联过程就开始了。在关联过程中,交换站点信息和接入点服务的能力信息是一群接入点得到的站点当前位置的信息。一旦关联过程结束,该站点就能够发送和接收帧。当站点离开它的接入点发生漫游时,注意到接入点的链路信号正在变弱。站点使用它的扫描功能查找另一个接入点,或利用上一次扫描得到的信息选取另一个接入点。一旦找到新的接入点,站点就向它发送重新关联请求。如果站点接收到重新关联响应,它就拥有一个新的接入点并且漫游成功。
7.9.2 移动IP
在无线网络中,如果一边使用无线局域网接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,IETF制定了扩展IP网络移动性的系列标准。所谓移动IP,就是指在IP网络上的多个子网内均可使用同一IP地址的技术。这种技术是通过使用被称为本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器对网络终端所处位置的网络进行管理来实现的。在移动IP系统中,可保证用户的移动终端始终使用固定的IP地址进行网络通信,不管在怎样的移动过程中皆可建立TCP连接并不会发生中断。在无线局域网系统中,广泛的应用移动IP技术可以突破网络的地域范围限制,并可克服在跨网段时使用动态主机配置协议(DHCP)方式所造成的通信中断、权限变化等问题。
结语
无线网络的出现就是为了解决有线网络无法克服的困难,虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户,目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争,目前还只是有线网络的补充,而不是替换,但也应该看到。近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务,相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
致谢
在此,首先要对我的导师柯江民老师,致以最深的感谢。感谢柯老师对我的论文不厌其烦的细心指点。柯老师首先细致地为我选题、解题;当我深陷于众多的资料,找不准角度,理不清思路时,柯老师又为我指点迷津,梳理脉络,使我感到柳暗花明,分清了层次,确立了本文的框架。在论文写作过程中,经常得到柯老师电话和邮件指点。在修改和完善过程中,柯老师更是严格细致,从框架的完善,到内容的扩充;从行文的用语,到格式的规范,进行了全面地审阅,提出了许多中肯的修改意见。我再次为柯老师的付出表示感谢。同时还要衷心感谢网络管理学科的尧时茂老师 崇志军老师 程霄老师 王凌敏老师等的言传身教,是你们的启迪与指导,使我获得了各种专业知识。老师们勤奋工作、严谨治学的精神永远值得我学习。也要感谢每一位朋友、每一位同学,正是有了你们友情的陪伴,才使得我的大学生活丰富而多彩!在此我要特别感谢各位兄弟姐妹们给予我的支持和帮助!最后,要深深感谢家人对我学业的全力支持,你们的期待与鼓励是我前进的最大动力。
三年是短暂的,记忆是永恒的!最后,衷心祝愿我亲爱的朋友们:生活幸福,天天快乐!
参考文献:
1.李建东.黄振海 WLAN的标准与技术发展[期刊论文]-中兴通讯技术 2003(2)2.徐冬梅 WLAN走向安全、高速、互联 2002(12)3.GB 15629.11-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范
4.GB 15629.1102-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范:2.4GHz频段较高速物理层扩展规范
5.孙少陵.李新.叶伟 WLAN市场发展现状与前景[期刊论文]-中兴通讯技术 2003(2)6.王志勤 3G与WLAN的关系[期刊论文]-中兴通讯技术 2003(2)7.李承恕 WLAN与2.5/3代移动通信网的结合[期刊论文]-中兴通讯技术 2003(2)8.谈振辉 应用于移动环境中的WLAN接入网结构[期刊论文]-中兴通讯技术 2003(2)9.吕霞.杨军 WLAN标准GB15629.11安全机制--WAPI协议解析[期刊论文]-电子设计应用 2004(10)10.尹传勇.刘寿强.毕雅宁 营造安全的无限空间--无限局域网新标准WAPI解析[期刊论文]-计算机安全 2004(7)11.郑君杰.肖军模.程林 WAPI协议及其安全性分析[期刊论文]-电视技术 2004(5)12.可运营WLAN网络安全问题的探讨
14.倪源.彭志威.王育民 增强的无线局域网安全技术分析[期刊论文]-中兴通讯技术 2003(6)15.万仁福.陈宇.李方伟 3G与WLAN融合的安全性分析[期刊论文]-电信快报 2004(8)16.魏松.肖征荣 3G与WLAN互连的安全问题[期刊论文]-电信快报 2004(8)17.何广法.刘乃安 基于3GPP-WLAN互通性安全的AP设计应用[期刊论文]-现代电子技术 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.杨文东 IEEE 802.16宽带无线接入标准体系介绍[期刊论文]-电信工程技术与标准化 2003(2)20.刘文杰.傅海阳.吴蒙 LMDS系统安全认证协议的形式分析与改进[期刊论文]-计算机工程 2003(22)21.傅坚 无线宽带固定接入系统的安全性分析[期刊论文]-计算机工程 2004(6)
第二篇:无限局域网研究
郑州城市职业学院
毕业设计(论文)
题 目 无线局域网的研究 实习单位 中国通信建设第四工程局 系(部)电子工程系 专业班级 移动通信技术2班 学生姓名 白朋朋 学 号 20091032259 总评成绩 指导教师
2012年 3 月 12 日
郑州城市职业学院毕业设计(论文)
摘要
在这个通信网络发展的时代,伴随着我国有线网络的广泛应用,传统的局域网、城域网技术已经远远不能满足我们的使用需求,一种无线通信技术的产物依具着快捷高效、组网灵活的特点已经在我国通信的领域站稳了脚步,这就是WLAN(无线局域网)技术。
关键字:无限局域网
设置 2 IEEE802.11
郑州城市职业学院毕业设计(论文)
目录
引言 „„„„„„„„„„„„„„„„„„„„„„„„„„„„4 第一章:无线局域网的基础
1.1.1 WLAN概述 „„„„„„„„„„„„„„„„„„„„5 1.1.2 WLAN的基本感念 „„„„„„„„„„„„„„„„„5 1.1.3 WLAN 的优、缺点 „„„„„„„„„„„„„„„„„6 1.1.4 WLAN的应用 „„„„„„„„„„„„„„„„„„„7 1.1.5 WLAN常用设备 „„„„„„„„„„„„„„„„„„8 1.1.6 WLAN组成原理 „„„„„„„„„„„„„„„„„„9 1.1.7 WLAN传输方式 „„„„„„„„„„„„„„„„„„10 1.1.8 WLAN拓扑结构 „„„„„„„„„„„„„„„„„„11 第二章:无线局域网的标准
2.1.1 WLAN标准概述 „„„„„„„„„„„„„„„„„„13 2.1.2 IEEE802.11 „„„„„„„„„„„„„„„„„„„„13 2.2.1 IEEE802.11b „„„„„„„„„„„„„„„„„„„13 2.2.2 IEEE802.11a „„„„„„„„„„„„„„„„„„„13 2.2.3 IEEE802.11g „„„„„„„„„„„„„„„„„„„14 2.2.4 IEEE802.11i „„„„„„„„„„„„„„„„„„„14 2.2.5 IEEE802.11e/f/h „„„„„„„„„„„„„„„„„14 第三章:无线局域网的设置
3.1.1路由器的设置 „„„„„„„„„„„„„„„„„„15 3.1.2无线网卡设置 „„„„„„„„„„„„„„„„„„16 第四章:无线局域网的简单设计
4.1.1设计流程 „„„„„„„„„„„„„„„„„„„„„17 4.1.2调研及勘测 „„„„„„„„„„„„„„„„„„„„17 4.1.3覆盖设计 „„„„„„„„„„„„„„„„„„„„„17 4.1.4频率规划 „„„„„„„„„„„„„„„„„„„„„ 17 4.1.5容量规划 „„„„„„„„„„„„„„„„„17 4.1.6网络优化 „„„„„„„„„„„„„„„„„17 结论 „„„„„„„„„„„„„„„„„„„„„„„„„„18 参考文献 „„„„„„„„„„„„„„„„„„„„„„„„18 致谢 „„„„„„„„„„„„„„„„„„„„„„„„„„20
郑州城市职业学院毕业设计(论文)
引言
在如今这个网络技术时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无限局域网本质上是一种网络互连技术。无限局域网使用无线电波替代双绞线、同轴电缆等落伍设备,省去了布线的麻烦,组网灵活。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。无限局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地方和远冲离的数据处节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂、库存控制、会议、金融服务、旅游服务、移动办公系统等行业中等到了应用,受到了广泛的亲睐。
郑州城市职业学院毕业设计(论文)
第一章:无线局域网的基础
1.1.1 WLAN的概述
无线局域网技术自从民用以来经历了30多年的漫长发展历程,自1997年IEEE发布802.11标准以来已经有了长足的发展,随着用户的增多以及技术的成熟,无线网络已经摆脱了网络速度慢、价格高等因素。应用广泛,架设灵活,铺设速度快等优势逐渐使它在市场上有了相当强的竞争力。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!
图:无线局域网
1.1.2 WLAN的基本感念
在一个典型的无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(AP)。通常,一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,AP可以通过标准的Ethernet电缆与传统的有线网络相联,作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。
无线局域网在室外主要有以下几种结构:点对点型、点对多点型、多点对点 5
郑州城市职业学院毕业设计(论文)
型和混合型。
※点对点型
该类型常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,优点是传输距离远,传输速率高,受外界环境影响较小。
※ 点对多点型
该类型常用于有一个中心点,多个远端点的情况下。其最大优点是组建网络成本低、维护简单;其次,由于中心使用了全向天线,设备调试相对容易。该种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证。
※ 混合型
这种类 型适用于所建网络中有远距离的点、近距离的点,还有建筑物或山脉阻挡的点。在组建这种网络时,综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。
1.1.3 WLAN 的优、缺点
与有线网络相比,无线局域网具有以下优点:
安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。
使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需
郑州城市职业学院毕业设计(论文)
要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
易于扩展
无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点,所以发展十分迅速。在最近几年里,无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。
但是任何事物都不是完美的,无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:
性能
无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。
速率
无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为54Mbit/s,只适合于个人终端和小规模网络应用。
安全性
本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
1.1.4 WLAN的应用
作为传统局域网的扩充
在某些特殊环境中,无线局域网能发挥传统局域网起不到的作用。这类环境主要是建筑物群之间、工厂建筑物之间的连接,股票交易等场所的活动节点,以及不能布线的历史古建筑等。在这种环境情况中,无线局域网提供了一种更有效 7
郑州城市职业学院毕业设计(论文)的联网方式。在大多说情况下,传统的局域网用来连接服务器和一些固定的工作站,而移动和不易于布线的节点可以通过无线局域网接入。
建筑物之间的互联
无线局域网的另一个用途是连接邻进建筑物中的局域网。在这种情况下,两座建筑物使用一条点到点无线链路,连接的典型设备是网桥或路由器。
漫游访问
带有天线的移动数据设备(如笔记本电脑)与无线局域网集线器之间可以实现漫游访问。
特殊网络(临时网络)
特殊网络是一个临时需要的对等网络(无集中的服务器)
1.1.5 WLAN常用设备
WLAN终端设备、接入点设备(AP)、接入控制点(AC)、boss系统
图:组网模式
图:家庭组网模式
郑州城市职业学院毕业设计(论文)
图:企业组网模式
图:无线网桥
1.1.6WLAN组成原理
无线电技术的原理在于,导体中电流强弱的改变会产生无线电波。利用这一现象,通过调制可将信息加载于无线电波之上。当电波通过空间传播到达收信端,电波引起的电磁场变化又会在导体中产生电流。通过解调将信息从电流变化中提取出来,就达到了信息传递的目的,无线传输是利用电磁波。分发射部分和接收部分。发射部分由产生高频信号的振荡器,将音频信号加到电磁波上的调制器和高频功率放大器,最后由天线发射到空间去。接收部分由接收天线,高频放大,变频器,中频放大器,检波器和音频功率放大器等组成,最后由喇叭还原出声音。
现在无线传输已经超出了广播通信的范围。如无线电导航,无线电定位,无线上网等许多领域。
无线局域网是一种能支持较高数据速率(2-11Mbit/s),采用微蜂窝、微微蜂窝结构、自主治理的计算机局部网络。它可采用无线电或红外线作为传输媒质,采用扩展频谱技术,移动的终端可通过无线接入点来实现对Internet的访问。在无线局域网这个领域中有这样两个主要标准:IEEE802.11和HipERLAN WLAN利用常规的局域网(如10/100/1000Mbit/s以太网)及其互连设备(路由器)构成骨干支撑网,利用无线接入点(AP)和无线接入服务器(WAS)来支持移动终端(MT)的移动和漫游。无线接入服务器的作用是提供无线终端的接入治理和移动性治理。在无线接入服务器管辖的范围内(称为服务区)可支持多个小区。无线接入点的作用是完成WLAN和LAN之间的桥接,实现无线空中
郑州城市职业学院毕业设计(论文)
接口协议到LAN协议的转换,并实现小区的移动用户治理。在无线接入服务器中运行移动IP服务器软件,在移动终端上运行移动IP客户机便可支持移动IP功能。
1.1.7WLAN的传输方式
无线传输分为:模拟微波传输和数字微波传输。
模拟微波传输就是把视频信号直接调制在微波的信道上,通过天线发射出去,监控中心通过天线接收微波信号,然后再通过微波接收机解调出原来的视频信号。如果需要控制云台镜头,就在监控中心加相应的指令控制发射机,监控前端配置相应的指令接收机,这种监控方式图像非常清晰,没有延时,没有压缩损耗,造价便宜,施工安装调试简单,适合一般监控点不是很多,需要中继也不多的情况下使用。其弱点是:抗干扰能力较差,易受天气、周围环境的影响,传输距离有限。目前,已逐步被数字微波、COFDM、3G、CDMA等取代。
数字微波传输就是先把视频编码压缩,然后通过数字微波信道调制,再通过天线发射出去,接收端则相反,天线接收信号,微波解扩,视频解压缩,最后还原模拟的视频信号,也可微波解扩后通过电脑安装相应的解码软件,用电脑软解压视频,而且电脑还支持录像,回放,管理,云镜控制,报警控制等功能;现在随着数字存储方式的普及,接收下的来的信号可以直接通过NVR存储显示或者直接进存储服务器,配合磁盘阵列存储;这种监控方式图像有720*576、352*288或更高的的分辨率选择,通过解码的存储方式,视频有0.2-0.8秒左右的延时。数字视频监控价根据实际情况差别很大,但也有一些模拟微波不可比的优点,如监控点比较多,环境比较复
郑州城市职业学院毕业设计(论文)
杂,需要加中继的情况多,监控点比较集中它可集中传输多路视频,抗干扰能力比模拟的要好一点,等等优点,适合监控点比较多,需要中继也多的情况下使用,客观地讲,前期投资较高。
1.1.8WLAN的拓扑结构
星形结构:
树型结构:
郑州城市职业学院毕业设计(论文)
总线结构:环型结构:
郑州城市职业学院毕业设计(论文)
第二章:无线局域网的标准
2.1.1 WLAN标准概述
由于WLAN是基于计算机网络与无线通信技术,在计算机网络结构中,逻辑链路控制(LLC)层及其之上的应用层对不同的物理层的要求可以是相同的,也可以是不同的,因此,WLAN标准主要是针对物理层和媒质访问控制层(MAC),涉及到所使用的无线频率范围、空中接口通信协议等技术规范与技术标准。
2.1.2 IEEE802.11 1990年IEEE802标准化委员会成立IEEE802.11WLAN标准工作组。IEEE802.11是在1997年6月由大量的局域网以及计算机专家审定通过的标准,该标准定义物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频扩频和直接序列扩频,工作在2.4000~2.4835GHz频段。IEEE802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入,业务主要限于数据访问,速率最高只能达到2Mbps。由于它在速率和传输距离上都不能满足人们的需要,所以IEEE802.11标准被IEEE802.11b所取代了。
2.2.1 IEEE802.11b 1999年9月IEEE802.11b被正式批准,该标准规定WLAN工作频段在2.4-2.4835GHz,数据传输速率达到11Mbps,传输距离控制在50-150英尺。该标准是对IEEE802.11的一个补充,采用补偿编码键控调制方式,采用点对点模式和基本模式两运作模式,在数据传输速率方面可以根据实际情况在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率间自动切换,它改变了WLAN设计状况,扩大了WLAN的应用领域。IEEE802.11b已成为当前主流的WLAN标准,被多数厂商所采用,所推出的产品广泛应用于办公室、家庭、宾馆、车站、机场等众多场合,但是由于许多WLAN的新标准的出现,IEEE802.11a和IEEE802.11g更是倍受业界关注。
2.2.2 IEEE802.11a 1999年,IEEE802.11a标准制定完成,该标准规定WLAN工作频段在5.15-5.825GHz,数据传输速率达到54Mbps/72Mbps(Turbo),传输距离控制在10-100米。该标准也是IEEE802.11的一个补充,扩充了标准的物理层,采用正交频分复用(OFDM)的独特扩频技术,采用QFSK调制方式,可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,支持多种业
郑州城市职业学院毕业设计(论文)
务如话音、数据和图像等,一个扇区可以接入多个用户,每个用户可带多个用户终端。IEEE802.11a标准是IEEE802.11b的后续标准,其设计初衷是取代802.11b标准,然而,工作于2.4GHz频带是不需要执照的,该频段属于工业、教育、医疗等专用频段,是公开的,工作于5.15-8.825GHz频带需要执照的。一些公司仍没有表示对802.11a标准的支持,一些公司更加看好最新混合标准――802.11g。
2.2.3 IEEE802.11g 目前,IEEE推出最新版本IEEE802.11g认证标准,该标准提出拥有IEEE802.11a的传输速率,安全性较IEEE802.11b好,采用2种调制方式,含802.11a中采用的OFDM与IEEE802.11b中采用的CCK,做到与802.11a和802.11b兼容。虽然802.11a较适用于企业,但WLAN运营商为了兼顾现有802.11b设备投资,选用802.11g的可能性极大。
2.2.4 IEEE802.11i
IEEE802.11i标准是结合IEEE802.1x中的用户端口身份验证和设备验证,对WLANMAC层进行修改与整合,定义了严格的加密格式和鉴权机制,以改善WLAN的安全性。IEEE802.11i新修订标准主要包括两项内容:“Wi-Fi保护访问”技术和“强健安全网络”。Wi-Fi联盟计划采用802.11i标准作为WPA的第二个版本,并于2004年初开始实行。IEEE802.11i标准在WLAN网络建设中的是相当重要的,数据的安全性是WLAN设备制造商和WLAN网络运营商应该首先考虑的头等工作。
2.2.5 IEEE802.11e/f/h IEEE802.11e标准对WLANMAC层协议提出改进,以支持多媒体传输,以支持所有WLAN无线广播接口的服务质量保证QOS机制。IEEE802.11f,定义访问节点之间的通讯,支持IEEE802.11的接入点互操作协议(IAPP)。IEEE802.11h用于802.11a的频谱管理技术。
郑州城市职业学院毕业设计(论文)
第三章:无线局域网的设置
3.11路由器设置
现在的路由器设置,多是通过WEB进行设置;由于路由器在没有正确设置以前,无线功能可能无法使用,因此我们通过网线与路由器联接;首先我们在浏览器地址栏中输入WR541G默认的IP地址,192.168.1.1。路由器的默认IP地址可能不相同,因此可在路由器上的标明或说明书中找到。在这里,需要说明一下:在通过WEB设置路由器时,当台与路由器联接的电脑的IP地址,必须设置成与路由器同一网关中;如耗子的路由器IP地址是192.168.1.1,因此与之联接的电脑的IP可设置成192.168.1.2---192.168.1.255之间任一地址。
对于电脑IP地址的设置,可如此设置:
在电脑正确安装好网卡驱动的情况下,选择控制面板--网络联接--本地联接,选择Internet协议(TCP/IP),点击属性--选择使用下面的IP地址;IP地址输入:192.168.1.2---192.168.1.255之间任一地址,耗子在此输入192.168.1.2,子网掩码输入255.255.255.0,默认网关输入192.168.1.1即路由器的IP地址。
在浏览器地址栏中输入路由器的IP,192.168.1.1确定后即可进入路由器的WEB设置界面。一般路由器在进入WEB设置界面时,需要管理员密码,如第一次输入,按说明介绍,输入原始密码即可。
TP-LINK路由器设置安装简单,而且性价比也不错,特别适合家庭网络;耗子用过几款TP-LINK的路由器,感觉不错。再说国人也要支持国货呀。
如果只想简单的设置路由器,只要选择设置向导,然后根据你的上网方式,配置好网络,即可实现路由功能。对于上网方式,请您根据自身情况进行选择。在这里,耗子以最常用的家庭ADSL虚拟拨号(PPPoE)拔号方式为例。
选择ADSL虚拟拨号(PPPoE),点击下一步,输入你的帐户名和密码,如不知道,请与你当地的IP服务商联系。点击下一步,进入无线设置界面,TP-LINK默认为无线打开,由于我们此文章主要介绍无线设置,因此,如果此设置界面的无线功能没有打开,选择打开后,点击下一步,即可完成路由器设置。由于新设置了路由器,因此路由器会重新联接,如果正确启动,选择设置界面上 15
郑州城市职业学院毕业设计(论文)的运行状态,应正确显示路由器当时状态,如果WAN口状态,显示错误,为你设置错误,请重新设置。
如果想让下面的客户机方便的配置网络,可以在路由器中打开DHCP服务,这样,所有与路由器联接的局域网中的电脑的TCP/IP协议设置为“自动获得IP地址”,路由器即可自动为每台机器配置网络。这样无需每台机器分别指定IP地址,当然,就是打开了DHCP服务,你也可手动为每台电脑指定IP地址。
3.12无线网卡设置
首先正确安装无线网卡的驱动,然后选择控制面板--网络联接--选择无线网络联接,右键选择属性。在无线网卡联接属性中选择配置,选择属性中的AD Hoc信道,在值中选择6,其值应与路由器无线设置频段的值一致,点击确定。
一般情况下,无线网卡的频段不需要设置的,系统会自动搜索的。耗子的无线网卡即可自动搜索到频段,因此如果你设置好无线路由后,无线网卡无法搜索到无线网络,一般多是频段设置的原因,请按上面设置正确的频段即可。
设置完面后,选择选择控制面板--网络联接--鼠标双击无线网络联接,选择无线网络联接状态,正确情况下,无线网络应正常联接的
如果无线网络联接状态中,没有显示联接,点击查看无线网络,然后选择刷新网络列表,在系统检测到可用的无线网络后,点击联接,即可完成无线网络联接。
其实无线网络设置与有线网站设置基本差不多的。只是比有线网络多了个频段设置,如果只是简单的设置无线网络,以上设置过程即可完成。上述文章只是介绍了一台电脑与无线路由器联接,如是多台机器,与单机设置是一样的。因为我们在路由器中设置了DHCP服务,因此无法指定IP,即可完成多台机器的网络配置。如果要手动指定每台机器的IP,只要在网卡TCP/IP设置中,指定IP地址即可,但一定要注意,IP地址的设置要与路由器在同一网段中,网关和DNS全部设置成路由器的IP即可。
郑州城市职业学院毕业设计(论文)
第四章:无线局域网的简单设计
4.1.1设计流程
WLAN网络规划流程可以分为以下几个步骤:调研及勘查、覆盖设计、频率规划、容量规划、网络优化几个步骤。
4.1.2调研及勘测
前期调研和规划是网络规划的基础,是获得规划输入参数的过程。调研阶段需与运营商进行良好沟通,以确定准确的覆盖目标、网络设计容量以及网络的预期质量。
4.1.3覆盖设计
WLAN网络大体可以分为下面两种场景、4类覆盖方式。(1)室内覆盖:单独建设方式、共用室内分布系统建设方式;(2)室外覆盖:室外型AP覆盖方式、Mesh型网络覆盖方式。
4.1.4频率规划
IEEE802.11b/g设备使用2.4~2.4835GHz频段。工作频率带宽为83.5MHz,划分为14个子频道,每个子频道带宽为22MHz;互不干扰的子信道有3个。(4.1.5容量规划
随着WLAN的普及,出现了一些用户密集的热点区域,这些区域是WLAN设计的难点和重点。下面讨论AP接入能力、干扰对WLAN速率的影响几个方面的问题。
4.1.6网络优化
在网络规划设计及建设完成之后,需要对实际网络质量进行测量,并根据测量结果对网络进行调整,以确保信号强度、干扰等指标达到目标值。
郑州城市职业学院毕业设计(论文)
总结
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!
参考文献
[1]魏红;《移动通信技术》(第二版)[M]北京:人民邮电出版社 2009年 [2]寿文泽:《通信线路设计》北京:人民邮电出版社 [J] 2009年 [3]林打权:《光纤通信》高等教育出版社 [M] 2008年
[4]王玉峰《无线局域网及其应用》无线电工程 [J] 1994年04期 [5]徐春霞《公共无线局域网安全体系及应用》[M] 东南大学 2005年 [6]刘德志《高速局域网的研究》南京理工大学 [D] 2003年
[7]赵力强《公用无线局域网关键技术的研究》[D] 西安电子科技大学 2003年
郑州城市职业学院毕业设计(论文)
致谢
毕业设计是对我们知识运用能力的一次全面考核,也是对我们进行科学研究基本功的训练,培养我们的综合能力,为以后撰写专业学术论文和工作打下了良好的基础。
本次设计能够顺利的完成,首先我要感谢我的母校-----郑州城市学院,是她为我们提供了学习只是的土壤,感谢我的老师,是他们教会了我专业的知识和做人做事的道理,其次我要感谢中国通信建设第四工程局,感谢四局给我提供了一个良好的工作环境,使我的知识面加宽了很多,也学到了很多知识。使得毕业设计顺利的完成。
第三篇:局域网安全毕业论文
论文关键词:计算机网络 网络安全 局域网安全 广域网
论文摘要:随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫。
1.当前局域网安全形势
1.1 计算机网络的定义
计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。[①]
计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分;资源子网是计算机网络中面向用户的部分,负责全网络面向应用的数据处理工作。就局域网而言,通信子网由网卡、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。
1.2 网络安全定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。[②]
1.3 局域网安全
局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。
1.3.1 来自互联网的安全威胁
局域网是与Inernet互连的。由于Internet的开放性、国际性与自由性,局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施,很容易遭到来自Internet 黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络I P 地址、应用操作系统的类型、开放的T C P 端口号、系统用来保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务,甚至使系统瘫痪。
1.3.2 来自局域网内部的安全威胁
内部管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏;内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚至搞破坏。如,泄漏至关重要的信息、错误地进入数据库、删除数据等,这些都将给网络造成极大的安全威胁。
1.4 局域网当前形势及面临的问题
随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。尽管计算机网络为人们提供了巨大的方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷,实施攻击和入侵,给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益;网上色情、暴力等不良和有害信息的传播,严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。
根据中国互联网信息中心2006年初发布的统计报告显示:我国互联网网站近百万家,上网用户1亿多,网民数和宽带上网人数均居全球第二。同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。在监督管理方面缺乏依据和标准,监管措施不到位,监管体系尚待完善,网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善,关键技术和产品受制于人,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。
面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。
2.常用局域网的攻击方法
2.1 ARP欺骗
2.1.1 ARP协议
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址IA——物理地址PA),请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
假如我们有两个网段、三台主机、两个网关、分别是:
主机名 IP地址 MAC地址
网关1 192.168.1.1 01-01-01-01-01-01
主机A 192.168.1.2 02-02-02-02-02-02
主机B 192.168.1.3 03-03-03-03-03-03
网关2 10.1.1.1 04-04-04-04-04-04
主机C 10.1.1.2 05-05-05-05-05-05
假如主机A要与主机B通讯,它首先会通过网络掩码比对,确认出主机B是否在自己同一网段内,如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,即目的MAC地址是全1的广播询问帧,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的话,必须作出应答,回答―B的MAC地址是…‖的单播应答帧,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到应答帧后,把―192.168.1.3 03-03-03-03-03-03 动态‖写入ARP表。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。
如果是非局域网内部的通讯过程,假如主机A需要和主机C进行通讯,它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关1(192.168.1.1)对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通讯,然后再由网关1通过路由将数据包送到网关2,网关2收到这个数据包后发现是送给主机C(10.1.1.2)的,它就会检查自己的ARP缓存(没错,网关一样有自己的ARP缓存),看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址将数据转发给主机C。
2.1.2 ARP欺骗原理
在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性,也就是说主机A与主机C之间的通讯只通过网关1和网关2,像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03,同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03,同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时,它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关1,当从主机C返回的数据包到达网关1后,网关1也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通讯,这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。
2.1.3 ARP病毒清除
感染病毒后,需要立即断开网络,以免影响其他电脑使用。重新启动到DOS模式下,用杀毒软件进行全面杀毒。
临时处理对策:
步骤
一、能上网情况下,输入命令arp –a,查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤
二、如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。输入命令:arp –s,网关IP 网关MAC手工绑定在计算机关机重开机后就会失效,需要再绑定。可以把该命令放在autoexec.bat中,每次开机即自动运行。
2.2 网络监听
2.2.1 网络监听的定义
众所周知,电话可以进行监听,无线电通讯可以监听,而计算机网络使用的数字信号在线路上传输时,同样也可以监听。网络监听也叫嗅探器,其英文名是Sniffer,即将网络上传输的数据捕获并进行分析的行为。[③]
网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
2.2.2 网络监听的基本原理
局域网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。
2.2.3 网络监听的检测
2.2.3.1 在本地计算机上进行检测
(1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP 探测技术。也可以编写一些程序来实现。在Linux 下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。
(2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在Windows系统下,按下Ctrl+Alt+Del可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。
2.2.3.2 在其它计算机上进行检测
(1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。
网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信息包,从而导致信息包丢包率提高。
网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。
机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以用icmp echo delay 来判断和比较它。
(2)PING 法。这种检测原理基于以太网的数据链路层和TCP/IP 网络层的实现,是一种非常有效的测试方法。
ping法的原理:如果一个以太网的数据包的目的MAC 地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入TCP/IP 网络层;进入TCP/IP 网络层的数据包,如果解析该包后,发现这是一个包含本机ICMP 回应请示的TCP 包(PING 包),则网络层向该包的发送主机发送ICMP 回应。
我们可以构造一个PING 包,包含正确的IP 地址和错误的MAC 地址,其中IP 地址是可疑主机的IP地址,MAC 地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃,TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的MAC 地址,该非法包会被数据链路层接收而进入上层的TCP/IP 网络层,TCP/IP 网络层将对这个非法的PING 包产生回应,从而暴露其工作模式。
使用 PING 方法的具体步骤及结论如下:
① 假设可疑主机的IP 地址为192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。
② 稍微修改可疑主机的MAC 地址,假设改成00-E0-4C-3A-4B-A4。
③ 向可疑主机发送一个PING 包,包含它的IP 和改动后的MAC 地址。
④ 没有被监听的主机不能够看到发送的数据包,因为正常的主机检查这个数据包,比较数据包的MAC 地址与自己的MAC 地址不相符,则丢弃这个数据包,不产生回应。
⑤ 如果看到回应,说明数据包没有被丢弃,也就是说,可疑主机被监听了。
(3)ARP 法。除了使用PING 进行监测外,还可以利用ARP 方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包,如果局域网内的某个主机以自己的IP 地址响应了这个ARP 请求,那么就可以判断它很可能就处于网络监听模式了。
(4)响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器,而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小,而监听模式的机器的响应时间变化量则通常会较大。
2.2.4 网络监听的防范措施
为了防止网络上的主机被监听,有多种技术手段,可以归纳为以下三类。
第一种是预防,监听行为要想发生,一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行监听,从而收集以网络内重要的数据。因此,要预防网络中的主机被攻破。这就要求我们养成良好的使用计算机的习惯,不随意下载和使用来历不明的软件,及时给计算机打上补丁程序,安装防火墙等措施,涉及到国家安全的部门还应该有防电辐射技术,干扰技术等等,防止数据被监听。
二是被动防御,主要是采取数据加密技术,数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输,容易辨认。一旦口令被截获,入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后,监听器依然可以捕获传送的信息,但显示的是乱码。使用加密技术,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一,但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟,加密技术越强,网络速度就越慢。只有很重要的信息才采用加密技术进行保护。
三是主动防御,主要是使用安全的拓扑结构和利用交换机划分VLAN,这也是限制网络监听的有效方法,这样的监听行为只能发生在一个虚拟网中,最大限度地降低了监听的危害,但需要增加硬件设备的开支,实现起来要花费不少的钱。
3.无线局域网安全威胁
3.1 非授权访问
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以,未授权实体可以从外部或内部进入网络,浏览存放在网络上的信息;另外,也可以利用该网络作为攻击第三方的出发点,对移动终端发动攻击。而且,IEEE 802.11标准采用单向认证机制,只要求STA向AP进行认证,不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击,向AP发送大量的认证请求帧,从而导致AP拒绝服务。
3.2 敏感信息泄露
WLAN物理层的信号是无线、全方位的空中传播,开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求,只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包,对网络通信进行分析,从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。
3.3 WEB缺陷威胁
有线等效保密WEP是IEEE 802.11无线局域网标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。IEEE选择在数据链路层用RC4算法加密来防止对网络进行窃听。WEP在每一个数据包中使用完整性校验字段来保证数据在传输过程中不被窜改,它使用了CRC-32校验。在WEP中明文通过和密钥流进行异或产生密文,为了加密,WEP要求所有无线网络连接共享一个密钥。实际上,网络只使用一个或几个密钥,也很少更换。WEP算法根据密钥和初始化向量IV产生密钥流,确保后续的数据包用不同的密钥流加密。但IV在一个相当短的时间内重用,使用24位的IV并不能满足要求。一个24位的字段包含16777216个可能值, 假设网络流量是11M, 传输2000字节的包,在7个小时左右, IV 就会重用。CRC-32不是一个很适合WEP的完整性校验, 即使部分数据以及CRC-32校验码同时被修改也无法校验出来。
3.4 无线局域网的安全措施
3.4.1 阻止非法用户的接入
(1)基于服务设置标识符(SSID)防止非法用户接入
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP 设置基于MAC 地址的Access Control(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3.4.2 实行动态加密
动态加密技术是基于对称加密和非对称加密的结合,能有效地保证网络传输的安全。动态加密着眼于无线网络架构中通信双方本身,认为每个通信方都应承担起会话中网络信息传输的安全责任。会话建立阶段,身份验证的安全需要非对称加密以及对PKI的改进来防止非授权访问,同时完成初始密钥的动态部署和管理工作,会话建立后,大量的数据安全传输必须通过对称加密方式,但该系统通过一种动态加密的模式,摒弃了现有机制下静态加密的若干缺陷,从而使通信双方的每次―通信回合‖都有安全保证。在一个通信回合中,双方将使用相同的对称加密密钥,是每个通信方经过共同了解的信息计算而得到的,在通信回合之间,所使用的密钥将实时改变,虽然与上次回合的密钥有一定联系,但外界无法推算出来。
3.4.3 数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC 地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
4.计算机局域网病毒及防治
虽然局域网采用的是专网形式,但因管理及使用方面等多种原因,计算机病毒也开始在局域网出现并迅速泛滥,给网络工程安全带来一定的隐患,对数据安全造成极大威胁,妨碍了机器的正常运行,影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。
4.1 局域网病毒
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化;病毒的欺骗性日益增强病毒的传播速度极快;病毒的制作成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。局域网病毒的传播速度快,传播范围广,危害也大。局域网病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新感染。
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天,病毒的种类和数量以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具,已显露出重大缺陷----对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。
4.2 计算机局域网病毒的防治措施
计算机局域网中最主要的软硬件就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外要加强各级人员的管理教育及各项制度的督促落实。
(1)基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:
一、是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。
二、是在工作站上插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。
三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2)基于服务器的防治技术。服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失是灾难性的。难以挽回和无法估量的,目前市场上基于服务器的病毒防治采用NLM方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
(3)加强计算机网络的管理。计算机局域网病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,才有可能从根本上保护网络系统的安全运行。
一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,不损人,不犯法,规范工作程序和操作规程,严惩从事非法活动的集体和个人。
二、加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况,做到及时发现问题解决问题,同时在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。
4.3 清除网络病毒
一旦在局域网上发现病毒,应尽快加以清除,以防网络病毒的扩散给整个系统造成更大的损失,具体过程为:
(1)立即停止使用受感染的电脑,并停止电脑与网络的联接,因为病毒会随时发作,继续使用受感染的电脑,只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。
(2)用干净的系统盘启动系统管理员工作站,并立即清除本机工作站中含有的病毒。
(3)用干净的系统盘启动文件服务器,系统管理员登录后,使用disable longin禁止其他用户登录。
(4)用防病毒软件扫描服务器上所有卷的文件,恢复或删除被感染的文件,重新安装被删除的文件。
(5)若没有最新的备份文件,可尝试使用杀毒软件把病毒清除,对在已染毒网络上存取过的软盘进行消毒。
(6)确信网络病毒已全部彻底清除后,重新启动网络及各工作站。
5.局域网安全防范系统
5.1 防火墙系统
5.1.1 防火墙概述
防火墙是一种用来增强内部网络安全性的系统,它将网络隔离为内部网和外部网,从某种程度上来说,防火墙是位于内部网和外部网之间的桥梁和检查站,它一般由一台和多台计算机构成,它对内部网和外部网的数据流量进行分析、检测、管理和控制,通过对数据的筛选和过滤,来防止未授权的访问进出内部计算机网,从而达到保护内部网资源和信息的目的。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
5.1.2 防火墙的体系结构
5.1.2.1 双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
5.1.2.2 被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图4所示。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接(什么是“可允许连接”将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务);
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
5.1.2.3 被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个―隔离带‖。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。
5.1.3 防火墙的功能
5.1.3.1 数据包过滤技术
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络,用这种方法可以阻塞某些主机和网络连入内部网络,也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。
5.1.3.2 网络地址转换技术
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[ 7 ]。在内部网络通过安全网卡访
问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7 ]。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.1.3.3 代理技术
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。
5.1.3.4 全状态检测技术
全状态检测防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。它有一个检测引擎,在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
5.2 入侵检测系统
5.2.1 入侵检测系统概述
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统
5.2.2 入侵检测原理
入侵检测跟其他检测技术有同样的原理。从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹,并给出相关的提示和警告。
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
第二步是信息分析,收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
第三步是结果处理,控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
5.2.3 局域网入侵检测系统的构建方法
根据CIDF规范,从功能上将IDS 划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来,一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现,称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库如SQL等,多跟控制台子系统结合在一起,称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。
首先,数据采集机制是实现IDS的基础,数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取,可以通过对网卡工作模式的设置为―混杂‖模式实现对某一段网络上所有数据包的捕获。然后,需要构建并配置探测器,实现数据采集功能。应根据自己网络的具体情况,选用合适的软件及硬件设备,如果网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器;在服务器上开出一个日志分区,用于采集数据的存储;接着应进行有关软件的安装与配置,至此系统已经能够收集到网络数据流了。
其次,应建立数据分析模块。数据分析模块相当于IDS的大脑,它必须具备高度的―智慧‖和―判断能力‖,所以,在设计此模块之前,需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。设计数据分析模块的工作量浩大,需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计,确保系统的执行效率;安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
第三,需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。控制台子系统的主要任务有:管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。
第四,需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。
第五,完成综合调试。以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是综合调试工作所要解决的问题,主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。经过综合调试后,一个基本的IDS就构建完成了,但是此时还不能放松警惕,因为在以后的应用中要不断地对它进行维护,特别是其检测能力的提高;同时还要注意与防火墙等其它系统安全方面的软件相配合,以期从整体性能上提高局域网的安全能力。
6.局域网安全防范策略
一个网络的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
6.1 划分VLAN 防止网络侦听
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
6.2 网络分段
局域网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。
6.3 以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
6.4 实施IP/MAC 绑定
很多网关软件实施流量过滤时都是基于IP或MAC地址,对控制普通用户起到了很好的效果,但对于高级用户就显得无能为力了,因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制,就必须进行IP/MAC地址的绑定,禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定,再通过服务器网络管理实施IP/MAC绑定,这样用户既不能改网卡的MAC地址,也不能改IP地址。通过IP/MAC绑定后,再实施流量过滤就显得有效多了。
7.总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中既需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此,局域网安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范的技术是否被授权,从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平,才能有力地保障网络安全。
[①].高传善,钱松荣.专注.数据通信与计算机网络[M].高等教育出版社,2001:8-9
[②].邓亚平.计算机网络安全[M].人民邮电出版社, 2004:1-10.[③].李成大,张京.计算机信息安全[M].人民邮电出版社,2004:72-117
第四篇:局域网组网技术
《局域网组网技术》课程设计报告
0806601-09 徐庶
一、设计时间
2010年12月 27日-----12月31日
二、设计地点
湖南城市学院实验楼计算机505机房
三、设计目的
通过此次课程设计,使学生全面复习和巩固所学专业知识,综合运用所学理论知识,进行中小型网络的整体方案设计、掌握关键技术的实施、局域网的故障诊断排除方法,锻炼学生综合运用所学理论知识解决实际问题的能力,加强实际动手能力培养,达到学以致用、理论与实际的统一。
四、设计小组成员
0806601班任浩、邢瑞浩、徐庶
五、指导老师
何建新老师、阳王东老师.六、设计课题
经过小组大部分组员的讨论,决定选取以下四个题目作为设计课题:
1、校园局域网组建,具体要求如下:
(1)以校园网络中心为中心,建立一个覆盖全校的校园网,为全校师生提供的www、DNS、DHCP、FTP网络服务、以及Internet接入等服务,并要留有一定的扩展余地。
(2)校园网络中心和各系办、校机关合在一起作为一个子网。(需要划分子网或做VLAN)(3)网络中心要建立4个服务器:www、DNS、DHCP、FTP服务器。
各单位的机房配置情况如下:校机关20台PC机,网络中心10台PC机,各系部各50台PC机。
2、按照EIA/TIA-568A/568B商业建筑物通信布线标准,制作双绞线平行跳线1条、交叉跳线1条。利用UTP通断测试仪,测量制作好的网线。搭建无线分布式系统模式无线网络。
3、网络服务器的配置:安装虚拟机VMware Workstation,然后安装windows server 2003/2000,配置www、DNS、DHCP、FTP网络服务;
4、局域网的故障诊断排除:局域网硬件连接常见故障的诊断分析及排除方法,掌握常用网络命令的使用:ping、ipconfig、arp、tracert、net、netstat、nslookup、ftp等。
七、基本思路及关键问题的解决方法;
1、见附件1
2、参考相应的书籍和网络资料,利用实验室的器材,完成各类网线的制作。
3、①安装虚拟机VMware Workstation;
②安装windows server 2003/2000;
③在上述已经安装的操作系统上配置www、DNS、DHCP、FTP网络服务(见附件2);
4、利用自己的实验计算机,参考实验中提供的各类命令代码,进行实际的操作(见附件3);
八、算法及流程图(无)
九、设计过程中出现的问题及相应解决办法;
1、①对于网络的知识的了解不够全面,在设计局域网时举步为艰。解决办法:上网收集相关资料,全面了解局域网的配置信息; ②交换机的选择较为困难,尤其是局域网的各项配置;
十、课程设计心得体会(见附件4);
参考文献
[1]谢希仁.计算机网络[M].5版.北京:电子工业出版社,2008.[2]蔡皖东.计算机网络[M].西安:西安电子科技大学出版社,2000.[3]刘远生.计算机网络基础与应用[M].北京:电子工业出版社,2007.[4]Andrew S.Tanenhaum.计算机网络[M].3版.熊桂喜,等译,北京:清华大学出版社,1998.附件1:
某某大学校园网整体设计方案
1.网络建设现状
某某大学刚刚新建,需要建立自己的校园网络,该学校有校机关、8个系(校机关在1号楼,8个系分别在2到9号楼),还有一个网络中心位于10号楼,各单位距离网络中心在1000米以内。2.需求特点描述
该校已经具备校园数字化教学与管理基本条件,现在需要构建网络基础平台和数字化学习的平台以及网络管理平台。
网络管理平台一般包括:配置管理、安全管理、性能管理、故障管理、计费管理等内容。由于财力状况,目前主要侧重网络的安全管理和计费管理。随着网络规模的扩大和网络用户的增多,需要建构一个统一、安全、可靠、方便的网络管理平台,除了安全管理和计费管理外,配置管理、性能管理和故障管理也是亟待解决的问题。
3.设计原则
。具体的实施原则如下:
3.1 良好的开放性和可扩展性
校园网络应具有的开放性,这种开放性依靠标准化实现,使符合标准的计算机系统很容易进行网络的互连。因此在网络建设中,网络体系结构和通信协议应选择广泛使用的国际标准,使得校园网成为一个完全开放式的网络环境。
3.2 校园网软件平台的针对性
3.3 高度的安全性和可靠性
对于网络系统,应确保系统运行可靠,对关键部位提供容错能力,同时建立完善的安全管理体系。
3.4 经济实用性
盲目地追求技术,会建成一个不稳定、不成熟产品的实验台。单纯高性能,只会带来难以承受的高额投资。所以,网络系统建设应采用成熟、适用、实用、好用的技术,力争以最小的投资得到最大的满足。4.整体解决方案 4.1项目建设目标
此大学校园网工程建设目标是:采用100Mbps/1000Mbps光钎交换网络实现校区内部高速互联,光缆连接全校80%楼宇(教学区、住宅区),增加信息点1600个。校区网络互连采用10Mbps单模光钎接口,校区内全面采用10/100/1000Mbps交换技术,将学校的各种PC机、服务器、终端设备和局域网连接起来,整合现有的网络资源,改善与Internet/Cernet相连的网络性能。构建一个以计算机多层交换网络为框架,以网络基本应用、计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化为平台的校园网,并逐步形成数字化校园网络。4.2主干网设计
校园网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间,要保持在一个可容忍的许可 范围之内。在这种前提下,主干设备应有一定的冗余度,这种冗余度不单只是设备级的,也应该考虑物理线路,数据链路层、网络层以及应用层的容错能力。
该主干网在方案上有二个重点:主干网技术策略;主干交换机的基本要求。
主干网技术的基本要求可概括为:千兆传输距离550m以内采用50/125多模光缆;千兆传输距离大于550m、小于5000m采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
主干交换机的基本要求可概括为:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二/三层交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
整个主干网以校园网络中心的主机房(主配线间1),向外辐射。通过各部门、单位等多个建主楼节点构成主干网。中心节点机房配置锐捷S4900高档交换机可作为主干网的核心交换机。为实现网络动态管理和虚拟局域网,在中心节点交换机上配置第三层交换模块和网络监控模块。考虑到教务处(设置在办公楼)、现代教育技术中心(设置在4号教学楼)也是校园网的信息资源分中心,可采用锐捷S2024M(配置M2040三层交换引擎)交换机与校园网双中心的锐捷S4900连接,以实现主干通道信息传输的负载均衡。教学楼、办公楼、科学楼采用堆叠式交换机S2024M和S2024,以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。成人教育学院、研究生公寓、教工住宅楼采用S2800模块下连其他楼宇(网络接入层)。主干各节点(核心层交换机和汇聚层交换机)采用1000Mbps(单模1000BASE-LX、多模1000BASE-SX)连接,服务器采用双网卡链路聚合200Mbps连接或1000Mbps(1000BASE-TX)连接。如图1所示。
4.3网络中心设计
网络中心是校园网的信息资源中心和通信枢纽中心,其网络体系结构的建构直接关系到网络系统的安全、可靠、高效的运行。因此,网络拓扑结构要严格按照内外网隔离的模式设计。非军事区(DMZ)包括交换机、学校WWW服务器、E-Mail服务器、防火墙、路由器、Internet专线连接设施;内网包括用户管理和计费系统、网络教学平台、网络OA系统,核心交换机,远程访问服务器,防火墙和带宽增益服务器等设施。路由器采用锐捷STAR-R2614通过2M DDN专线与CERNET相连。防火墙采用实达-龙马WLM Firewall 2.0A型,带宽增益服务器采用Star-CS2001高速缓存服务器,远程访问服务器采用锐捷STAR-R2614路由器,配置M2608A-8口异步串口模块。
附件2:
一、WWW服务器的配置:
二、DNS服务器配置
三、FTP服务器配置
四、DHCP服务器配置
附件3:
附件4:
实验心得
本学期我们信管专业开设了《计算机网络基础与应用》这门课程,许多同学都觉得这门课程很难。作为一个文科生,我个人也觉得相当吃力。
在学期的末尾,老师安排我们进行课程设计。通过本次计算机网络课程设计,在自己动手实践的过程中,我渐渐加深了对于课本知识的理解,以前不懂的地方,也慢慢变得豁然开朗起来。
“纸上学来终觉浅,绝知此事要躬行”,在课程设计的过程中。不仅让我对计算机网络的基本组成、部件的设计、部件间的连接、网络的设计也让我觉得自己的动手能力有了很大的提高;自信心也增强了,在课程设计中自己动脑子解决遇到的问题,书本上的知识有了用武之地,这巩固和深化了自己的知识结构。起初第一次讲解时,由于对计算机总体结构不怎么熟悉、没认真预习、思考不够认真、对书本的知识不够扎实以及前几次实验都忘得差不多了,所以不知道从哪里开始着手,直到那天课结束也是一脸的茫然,不知道这次课程设计到底在做什么,整体上没有一点把握,心想这次课程设计肯定惨了。但在第二次讲解前,我对以前做过的实验重新看了一遍,在设计时随着老师的一次次详细的讲解及同学的不断讨论,通过自己不断思考,我渐渐的才对这次课程设计有了初步了解,此时感觉自己对这次课程设计认识有了质的提高, 自己的思路也慢慢清晰,自信心也增强了。
通过visio软件虚拟实现规划校园网络,画出整个园区网络的拓扑图。并分别进行IP地址的规划。这几天的课程设计令我受益匪浅,很多平时模棱两可的知识点都认真复习并实践了。我对校园网络规划提升了认识,我意识到我们所学的东西将来都是要付诸实践的,所以一切要从实际情况出发,理论联系实际,这样才能真正发挥我们所具备的能力。比如划分IP时,不仅看现存多少主机数,还要看到以后的发展,未来可能增加的主机数,这样才能保证我们的工作成果不至于提前失效。当然,这就是从实际情况出发了。
经过这次课程设计的洗礼,我相信,只要自己在每一次实践中都能仔细思考,课程设计其实都不会很难,关键在于自己能不能认真思考,能不能亲自动手做实验,而不是想着其他人的劳动果实,其次你还要多操作,只有多操作才能从中发现问题,才能及时向老师和同学请教,解决问题,从而更好的掌握书本中知识。还有通过这次实践也让我懂得了:学校安排课程设计目的不在于你做了多少,不在于你做得好不好,关键在于你能否认真去对待,在于你能否通过这次设计对课本上知识有了更深刻的认识,在于能否从中学到书本上学不到的知识。在以后的学习生涯中,我一定会更加认真地对待每一次课程设计。
第五篇:局域网技术教学大纲
《局域网技术》课程教学大纲
【课程基本情况】
一、课程代码:060084
二、课程类别及性质:专业必修课
三、课程学时学分:90学时(教学:54 实践:36)4学 分
四、教学对象:信息管理专业本科二年级学生
五、课程教材:《局域网技术与组网工程》、苏英如等、清华大学出版社
六、开设系(部):信息科学与技术系
七、先修课:网络原理,操作系统
【教学目的】
本课程大纲适应计算机专业本科学生。《局域网技术与组网工程》是计算机专业的一门重要的专业课,本课程着重从实用的角度讲述局域网组网的基本原理、技术方法,对于培养学生的软件素质,提高学生的网络应用能力具有重要的意义。
课程的主要内容有:介绍局域网基础、局域网设备、网络设备配置、路由器配置、交换机配置、无线局域网配置、局域网布线、服务器应用、防火墙配置等理论及实践知识。通过实验课程的强化,要求学生应具备根据具体的网络需求完成局域网设计、实施的能力。
【教学内容、基本要求及学时分配】
第一章 局域网基础 教学时数:2学时 第一节 局域网的基本概念
第二节 局域网标准 基本要求:理解局域网的基本概念,并且熟悉局域网通信原理及技术标准;难点:CSMA/CD带冲突的载波侦听多路访问;
第二章 局域网设备 教学时数:4学时 第一节 网卡
第二节 传输介质 第三节 集线器
基本要求:熟悉网卡、传输介质、集线器; 难点:冲突及冲突域 第四节 第二层交换机
第三节 第三层设备
基本要求:掌握交换机及路由器的工作原理、分类以及虚拟局域网; 难点:广播级广播域,虚拟局域网
第三章 网络设备配置基础 教学时数:4学时 第一节 管理端口 第二节 管理方式
第三节 IOS与CLI 基本要求:掌握网络设备的端口模式及CLI命令代码; 难点:命令模式与对应的代码解析
第四节 文件备份与恢复 第五节 口令恢复
第六节 CDP 基本要求:掌握文本备份及恢复方法;难点:文件备份与恢复
第四章 路由器配置 教学时数:6学时 第一节 直连、静态和默认路由 第二节 动态路由
第三节 度量与管理距离
基本要求:掌握路由原理及静态路由方式,动态路由方式,度量的计算机管理;难点:动态路由及路由向量的管理;
第四节 OSPF应用举例
第五节 OSPF常用调试命令 第六节 ACL 第七节 NAT 第八节 粗略路由
基本要求:OSPF路由配置及调试方法,ACL访问控制方法,NAT转换,熟悉路由;难点:OSPF路由配置、ACL、NAT配置。
第五章 交换机配置 教学时数:8学时 第一节 交换机的基本配置
第二节 VLAN 基本要求:熟练掌握交换机的基本配置和交换机端口的划分,VLAN设置、VLAN中继通信;难点:VLAN划分及中继链路;
第三节 STP生成树协议
第四节 在第三层交换机上配置DHCP服务
第五节 在第三层交换机上将IP地址与MAC地址绑定
基本要求:掌握生成树协议的原理及配置,掌握DHCP、IP地址绑定的配置方法;难点:STP生成树的工作原理。
第六章 无线局域网的配置 教学时数:4学时+自学 第一节 基本概念与标准
第二节 AP应用举例
基本要求:掌握无线网络AP的基本配置及负载均衡,难点:负载均衡; 第三节 安全
基本要求:了解无线网络的基本安全验证方式及方法。
第七章 局域网布线 教学时数:4学时 第一节 综合布线概述 第二节 综合布线的体系
第三节 综合布线的体系结构
基本要求:熟悉综合布线的体系与基本体系结构;难点:具体化布线; 第四节 局域网布线工程的设计 第五节 局域网布线工程的施工
第六节 布线工程的验收
基本要求:掌握基局域网布线工程设计的基本方法及步骤;熟悉布线施工及验证方法; 第八章 服务器基础 教学时数:4学时+自学 第一节 服务器概述 第二节 服务器的分类 第三节 服务器的主要特性 第四节 服务器硬件简介
第五节 服务器系统的主要技术
基本要求:熟悉常见服务器的基本类型、特性及主要技术; 第九章 Windows Server2003组网技术 教学时数:8学时 第一节 Windows server2003简介 第二节 活动目录
第三节 组织单位
基本概念:熟悉windows server2003的基本配置方法;重点:活动目录的使用; 第四节 用户账号
第五节 组的概念和建立
第六节 网络安全和本地安全
基本要求:掌握组的应用,熟悉网络安全和本地安全; 难点:组在用户集群中的管理及安全控制;
第七节 用户配置文件与主文件夹 第八节 组策略 第九节 存储管理
第十节 打印服务器
基本要求:熟悉用户配置文件及主文件,熟练使用基本的组策略配置,掌握存储管理和打印服务器配置; 难点:组策略和打印服务器配置;
第十章 常用服务器配置 教学时数:4学时+自学 第一节 DNS服务
第二节 WWW服务 第三节 FTP服务
基本要求:掌握DNS、WWW、FTP服务器的配置。
第十一章 防火墙配置 教学时数:6学时 第一节 基本概念与命令
第二节 应用举例 基本要求:熟悉防火墙基本概念,掌握防火墙的基本应用和配置;难点:具体应用配置; 第三节 抵御网络攻击
第四节 综合举例 基本要求:掌握使用防火墙在局域网网络防护中的作用,并且能根据实际设计出合理的网络安全模型;
【教学方法】
多媒体教学+实验课实践+实验考核+课堂分组讨论
【考核方式】
上机考试
【主要参考书目】
1、《局域网技术与局域网组网》(第二版)斯桃枝人民邮电出版社 2《多层网络设计标准教程》(第二版)曾勍伟 北京理工大学出版社
【后注】
执笔人:陈斌 审核人:
批准人:
日期:2015年8月22日
日期:20 年 月
日期:20 年 月
点击咨询 