第一篇:局域網(wǎng)安全畢業(yè)論文
論文關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 局域網(wǎng)安全 廣域網(wǎng)
論文摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的發(fā)展,局域網(wǎng)安全越來越受到人們的重視和關(guān)注。無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此,局域網(wǎng)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通,研究局域網(wǎng)的安全以及防范措施已迫在眉睫。
1.當(dāng)前局域網(wǎng)安全形勢
1.1 計(jì)算機(jī)網(wǎng)絡(luò)的定義
計(jì)算機(jī)網(wǎng)絡(luò),就是利用通信設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個(gè)計(jì)算機(jī)系統(tǒng)互連起來,以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。[①]
計(jì)算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)兩部分構(gòu)成。通信子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分;資源子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中面向用戶的部分,負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作。就局域網(wǎng)而言,通信子網(wǎng)由網(wǎng)卡、線纜、集線器、中繼器、網(wǎng)橋、路由器、交換機(jī)等設(shè)備和相關(guān)軟件組成。資源子網(wǎng)由連網(wǎng)的服務(wù)器、工作站、共享的打印機(jī)和其它設(shè)備及相關(guān)軟件所組成。
1.2 網(wǎng)絡(luò)安全定義
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。[②]
1.3 局域網(wǎng)安全
局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡(luò)硬件的維護(hù)、使用及管理等;邏輯安全是從軟件的角度提出的,主要指數(shù)據(jù)的保密性、完整性、可用性等。
1.3.1 來自互聯(lián)網(wǎng)的安全威脅
局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性,局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施,很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類型、開放的T C P 端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù),甚至使系統(tǒng)癱瘓。
1.3.2 來自局域網(wǎng)內(nèi)部的安全威脅
內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏;內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn),利用網(wǎng)絡(luò)開些小玩笑,甚至搞破壞。如,泄漏至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等,這些都將給網(wǎng)絡(luò)造成極大的安全威脅。
1.4 局域網(wǎng)當(dāng)前形勢及面臨的問題
隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計(jì)算機(jī)網(wǎng)絡(luò)。現(xiàn)今,全球網(wǎng)民數(shù)量已接近7億,網(wǎng)絡(luò)已經(jīng)成為生活離不開的工具,經(jīng)濟(jì)、文化、軍事和社會活動都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計(jì)算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便,但是受技術(shù)和社會因素的各種影響,計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷,實(shí)施攻擊和入侵,給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的損害網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長,利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序,嚴(yán)重?fù)p害了網(wǎng)民的利益;網(wǎng)上色情、暴力等不良和有害信息的傳播,嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國共同關(guān)注的焦點(diǎn)。
根據(jù)中國互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計(jì)報(bào)告顯示:我國互聯(lián)網(wǎng)網(wǎng)站近百萬家,上網(wǎng)用戶1億多,網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時(shí),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也無處不在,各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn),計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重,計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢。面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢,我國的網(wǎng)絡(luò)安全保障工作尚處于起步階段,基礎(chǔ)薄弱,水平不高,網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié),安全防護(hù)能力不僅大大低于美國、俄羅斯和以色列等信息安全強(qiáng)國,而且排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn),監(jiān)管措施不到位,監(jiān)管體系尚待完善,網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善,關(guān)鍵技術(shù)和產(chǎn)品受制于人,網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高,行為不規(guī)范,網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。
面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢,如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個(gè)社會發(fā)展所要面臨和解決的重大課題。
2.常用局域網(wǎng)的攻擊方法
2.1 ARP欺騙
2.1.1 ARP協(xié)議
ARP(Address Resolution Protocol)是地址解析協(xié)議,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說來就是將網(wǎng)絡(luò)層(IP層,也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當(dāng)于OSI的第二層)的MAC地址。
ARP原理:某機(jī)器A要向主機(jī)B發(fā)送報(bào)文,會查詢本地的ARP緩存表,找到B的IP地址對應(yīng)的MAC地址后,就會進(jìn)行數(shù)據(jù)傳輸。如果未找到,則廣播A一個(gè)ARP請求報(bào)文(攜帶主機(jī)A的IP地址IA——物理地址PA),請求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請求,但只有主機(jī)B識別自己的IP地址,于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址,A接收到B的應(yīng)答后,就會更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ),而且這個(gè)緩存是動態(tài)的。
假如我們有兩個(gè)網(wǎng)段、三臺主機(jī)、兩個(gè)網(wǎng)關(guān)、分別是:
主機(jī)名 IP地址 MAC地址
網(wǎng)關(guān)1 192.168.1.1 01-01-01-01-01-01
主機(jī)A 192.168.1.2 02-02-02-02-02-02
主機(jī)B 192.168.1.3 03-03-03-03-03-03
網(wǎng)關(guān)2 10.1.1.1 04-04-04-04-04-04
主機(jī)C 10.1.1.2 05-05-05-05-05-05
假如主機(jī)A要與主機(jī)B通訊,它首先會通過網(wǎng)絡(luò)掩碼比對,確認(rèn)出主機(jī)B是否在自己同一網(wǎng)段內(nèi),如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個(gè)地址對應(yīng)的MAC地址,如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包,即目的MAC地址是全1的廣播詢問幀,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的話,必須作出應(yīng)答,回答―B的MAC地址是…‖的單播應(yīng)答幀,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到應(yīng)答幀后,把―192.168.1.3 03-03-03-03-03-03 動態(tài)‖寫入ARP表。這樣的話主機(jī)A就得到了主機(jī)B的MAC地址,并且它會把這個(gè)對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了,直到通訊停止后兩分鐘,這個(gè)對應(yīng)關(guān)系才會被從表中刪除。
如果是非局域網(wǎng)內(nèi)部的通訊過程,假如主機(jī)A需要和主機(jī)C進(jìn)行通訊,它首先會通過比對掩碼發(fā)現(xiàn)這個(gè)主機(jī)C的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的,因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā),這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)1(192.168.1.1)對應(yīng)的MAC地址,如果沒有就通過ARP請求獲得,如果有就直接與網(wǎng)關(guān)通訊,然后再由網(wǎng)關(guān)1通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)2,網(wǎng)關(guān)2收到這個(gè)數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)C(10.1.1.2)的,它就會檢查自己的ARP緩存(沒錯(cuò),網(wǎng)關(guān)一樣有自己的ARP緩存),看看里面是否有10.1.1.2對應(yīng)的MAC地址,如果沒有就使用ARP協(xié)議獲得,如果有就是用該MAC地址將數(shù)據(jù)轉(zhuǎn)發(fā)給主機(jī)C。
2.1.2 ARP欺騙原理
在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對應(yīng)的關(guān)系依靠ARP表,每臺主機(jī)(包括網(wǎng)關(guān))都有一個(gè)ARP緩存表。在正常情況下這個(gè)緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍裕簿褪钦f主機(jī)A與主機(jī)C之間的通訊只通過網(wǎng)關(guān)1和網(wǎng)關(guān)2,像主機(jī)B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制中存在一個(gè)不完善的地方,當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后,它并不會去驗(yàn)證自己是否發(fā)送過這個(gè)ARP請求,而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。
這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)C之間的數(shù)據(jù)通信成為可能。首先主機(jī)B向主機(jī)A發(fā)送一個(gè)ARP應(yīng)答包說192.168.1.1的MAC地址是03-03-03-03-03-03,主機(jī)A收到這個(gè)包后并沒有去驗(yàn)證包的真實(shí)性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03,同時(shí)主機(jī)B向網(wǎng)關(guān)1發(fā)送一個(gè)ARP響應(yīng)包說192.168.1.2的MAC是03-03-03-03-03-03,同樣網(wǎng)關(guān)1也沒有去驗(yàn)證這個(gè)包的真實(shí)性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當(dāng)主機(jī)A想要與主機(jī)C通訊時(shí),它直接把應(yīng)該發(fā)送給網(wǎng)關(guān)1(192.168.1.1)的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個(gè)MAC地址,也就是發(fā)給了主機(jī)B,主機(jī)B在收到這個(gè)包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)1,當(dāng)從主機(jī)C返回的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后,網(wǎng)關(guān)1也使用自己ARP表中的MAC,將發(fā)往192.168.1.2這個(gè)IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個(gè)MAC地址也就是主機(jī)B,主機(jī)B在收到這個(gè)包后再轉(zhuǎn)發(fā)給主機(jī)A完成一次完整的數(shù)據(jù)通訊,這樣就成功的實(shí)現(xiàn)了一次ARP欺騙攻擊。因此簡單點(diǎn)說ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。也就是說欺騙者必須同時(shí)對網(wǎng)關(guān)和主機(jī)進(jìn)行欺騙。
2.1.3 ARP病毒清除
感染病毒后,需要立即斷開網(wǎng)絡(luò),以免影響其他電腦使用。重新啟動到DOS模式下,用殺毒軟件進(jìn)行全面殺毒。
臨時(shí)處理對策:
步驟
一、能上網(wǎng)情況下,輸入命令arp –a,查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址,將其記錄下來。如果已經(jīng)不能上網(wǎng),則運(yùn)行一次命令arp –d將arp緩存中的內(nèi)容刪空,計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話),一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線),再運(yùn)行arp –a。
步驟
二、如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址,在不能上網(wǎng)時(shí),手工將網(wǎng)關(guān)IP和正確MAC綁定,可確保計(jì)算機(jī)不再被攻擊影響。輸入命令:arp –s,網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC手工綁定在計(jì)算機(jī)關(guān)機(jī)重開機(jī)后就會失效,需要再綁定。可以把該命令放在autoexec.bat中,每次開機(jī)即自動運(yùn)行。
2.2 網(wǎng)絡(luò)監(jiān)聽
2.2.1 網(wǎng)絡(luò)監(jiān)聽的定義
眾所周知,電話可以進(jìn)行監(jiān)聽,無線電通訊可以監(jiān)聽,而計(jì)算機(jī)網(wǎng)絡(luò)使用的數(shù)字信號在線路上傳輸時(shí),同樣也可以監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽也叫嗅探器,其英文名是Sniffer,即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。[③]
網(wǎng)絡(luò)監(jiān)聽,在網(wǎng)絡(luò)安全上一直是一個(gè)比較敏感的話題,作為一種發(fā)展比較成熟的技術(shù),監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù),排除網(wǎng)絡(luò)故障等方面具有不可替代的作用,因而一直備受網(wǎng)絡(luò)管理員的青睞。然而,在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患,許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽行為,從而造成口令失竊,敏感數(shù)據(jù)被截獲等連鎖性安全事件。
2.2.2 網(wǎng)絡(luò)監(jiān)聽的基本原理
局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的,局域網(wǎng)中的每臺主機(jī)都時(shí)刻在監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),主機(jī)中的網(wǎng)卡將監(jiān)聽到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進(jìn)行比較,如果兩者相同就接收該幀,否則就丟掉該幀。如果把對網(wǎng)卡進(jìn)行適當(dāng)?shù)脑O(shè)置和修改,將它設(shè)置為混雜模式,在這種狀態(tài)下它就能接收網(wǎng)絡(luò)中的每一個(gè)信息包。網(wǎng)絡(luò)監(jiān)聽就是依據(jù)這種原理來監(jiān)測網(wǎng)絡(luò)中流動的數(shù)據(jù)。
2.2.3 網(wǎng)絡(luò)監(jiān)聽的檢測
2.2.3.1 在本地計(jì)算機(jī)上進(jìn)行檢測
(1)檢查網(wǎng)卡是否處于混雜模式。可以利用一些現(xiàn)成的工具軟件來發(fā)現(xiàn),例如:AntiSniff,ARP 探測技術(shù)。也可以編寫一些程序來實(shí)現(xiàn)。在Linux 下,有現(xiàn)成的函數(shù),比較容易實(shí)現(xiàn),而在Windows平臺上,并沒有現(xiàn)成的函數(shù)來實(shí)現(xiàn)這個(gè)功能,要自己編寫程序來實(shí)現(xiàn)。可以利用一些現(xiàn)成的工具軟件來發(fā)現(xiàn),例如:AntiSniff,ARP探測技術(shù)。也可以編寫一些程序來實(shí)現(xiàn)。在Linux下,有現(xiàn)成的函數(shù),比較容易實(shí)現(xiàn),而在Windows平臺上,并沒有現(xiàn)成的函數(shù)來實(shí)現(xiàn)這個(gè)功能,要自己編寫程序來實(shí)現(xiàn)。
(2)搜索法。在本地主機(jī)上搜索所有運(yùn)行的進(jìn)程,就可以知道是否有人在進(jìn)行網(wǎng)絡(luò)監(jiān)聽。在Windows系統(tǒng)下,按下Ctrl+Alt+Del可以得到任務(wù)列表,查看是否有監(jiān)聽程序在運(yùn)行。如果有不熟悉的進(jìn)程,或者通過跟另外一臺機(jī)器比較,看哪些進(jìn)程是有可能是監(jiān)聽進(jìn)程。
2.2.3.2 在其它計(jì)算機(jī)上進(jìn)行檢測
(1)觀察法。如果某臺電腦沒有監(jiān)聽的話,無論是信息的傳送還是電腦對信息的響應(yīng)時(shí)間等方面都是正常的,如果被監(jiān)聽的話,就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。
網(wǎng)絡(luò)通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網(wǎng)絡(luò)中有人在監(jiān)聽,就會攔截每個(gè)信息包,從而導(dǎo)致信息包丟包率提高。
網(wǎng)絡(luò)帶寬是否出現(xiàn)反常。如果某臺計(jì)算機(jī)長時(shí)間的占用了較大的帶寬,對外界的響應(yīng)很慢,這臺計(jì)算機(jī)就有可能被監(jiān)聽。
機(jī)器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包,而監(jiān)聽程序往往就會將這些包進(jìn)行處理,這樣就會導(dǎo)致機(jī)器性能下降,可以用icmp echo delay 來判斷和比較它。
(2)PING 法。這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡(luò)層的實(shí)現(xiàn),是一種非常有效的測試方法。
ping法的原理:如果一個(gè)以太網(wǎng)的數(shù)據(jù)包的目的MAC 地址不屬于本機(jī),該包會在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄,無法進(jìn)入TCP/IP 網(wǎng)絡(luò)層;進(jìn)入TCP/IP 網(wǎng)絡(luò)層的數(shù)據(jù)包,如果解析該包后,發(fā)現(xiàn)這是一個(gè)包含本機(jī)ICMP 回應(yīng)請示的TCP 包(PING 包),則網(wǎng)絡(luò)層向該包的發(fā)送主機(jī)發(fā)送ICMP 回應(yīng)。
我們可以構(gòu)造一個(gè)PING 包,包含正確的IP 地址和錯(cuò)誤的MAC 地址,其中IP 地址是可疑主機(jī)的IP地址,MAC 地址是偽造的,這樣如果可疑主機(jī)的網(wǎng)卡工作在正常模式,則該包將在可疑主機(jī)的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄,TCP/IP 網(wǎng)絡(luò)層接收不到數(shù)據(jù)因而也不會有什么反應(yīng)。如果可疑主機(jī)的網(wǎng)卡工作在混雜模式,它就能接收錯(cuò)誤的MAC 地址,該非法包會被數(shù)據(jù)鏈路層接收而進(jìn)入上層的TCP/IP 網(wǎng)絡(luò)層,TCP/IP 網(wǎng)絡(luò)層將對這個(gè)非法的PING 包產(chǎn)生回應(yīng),從而暴露其工作模式。
使用 PING 方法的具體步驟及結(jié)論如下:
① 假設(shè)可疑主機(jī)的IP 地址為192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,檢測者和可疑主機(jī)位于同一網(wǎng)段。
② 稍微修改可疑主機(jī)的MAC 地址,假設(shè)改成00-E0-4C-3A-4B-A4。
③ 向可疑主機(jī)發(fā)送一個(gè)PING 包,包含它的IP 和改動后的MAC 地址。
④ 沒有被監(jiān)聽的主機(jī)不能夠看到發(fā)送的數(shù)據(jù)包,因?yàn)檎5闹鳈C(jī)檢查這個(gè)數(shù)據(jù)包,比較數(shù)據(jù)包的MAC 地址與自己的MAC 地址不相符,則丟棄這個(gè)數(shù)據(jù)包,不產(chǎn)生回應(yīng)。
⑤ 如果看到回應(yīng),說明數(shù)據(jù)包沒有被丟棄,也就是說,可疑主機(jī)被監(jiān)聽了。
(3)ARP 法。除了使用PING 進(jìn)行監(jiān)測外,還可以利用ARP 方式進(jìn)行監(jiān)測的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP 包,如果局域網(wǎng)內(nèi)的某個(gè)主機(jī)以自己的IP 地址響應(yīng)了這個(gè)ARP 請求,那么就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽模式了。
(4)響應(yīng)時(shí)間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機(jī)器,而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量會很小,而監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量則通常會較大。
2.2.4 網(wǎng)絡(luò)監(jiān)聽的防范措施
為了防止網(wǎng)絡(luò)上的主機(jī)被監(jiān)聽,有多種技術(shù)手段,可以歸納為以下三類。
第一種是預(yù)防,監(jiān)聽行為要想發(fā)生,一個(gè)重要的前提條件就是網(wǎng)絡(luò)內(nèi)部的一臺有漏洞的主機(jī)被攻破,只有利用被攻破的主機(jī),才能進(jìn)行監(jiān)聽,從而收集以網(wǎng)絡(luò)內(nèi)重要的數(shù)據(jù)。因此,要預(yù)防網(wǎng)絡(luò)中的主機(jī)被攻破。這就要求我們養(yǎng)成良好的使用計(jì)算機(jī)的習(xí)慣,不隨意下載和使用來歷不明的軟件,及時(shí)給計(jì)算機(jī)打上補(bǔ)丁程序,安裝防火墻等措施,涉及到國家安全的部門還應(yīng)該有防電輻射技術(shù),干擾技術(shù)等等,防止數(shù)據(jù)被監(jiān)聽。
二是被動防御,主要是采取數(shù)據(jù)加密技術(shù),數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸,容易辨認(rèn)。一旦口令被截獲,入侵者就可以非常容易地登錄到另一臺主機(jī)。對在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密后,監(jiān)聽器依然可以捕獲傳送的信息,但顯示的是亂碼。使用加密技術(shù),不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng),而且也是對付惡意軟件的有效方法之一,但是它的缺點(diǎn)是速度問題。幾乎所有的加密技術(shù)都將導(dǎo)致網(wǎng)絡(luò)的延遲,加密技術(shù)越強(qiáng),網(wǎng)絡(luò)速度就越慢。只有很重要的信息才采用加密技術(shù)進(jìn)行保護(hù)。
三是主動防御,主要是使用安全的拓?fù)浣Y(jié)構(gòu)和利用交換機(jī)劃分VLAN,這也是限制網(wǎng)絡(luò)監(jiān)聽的有效方法,這樣的監(jiān)聽行為只能發(fā)生在一個(gè)虛擬網(wǎng)中,最大限度地降低了監(jiān)聽的危害,但需要增加硬件設(shè)備的開支,實(shí)現(xiàn)起來要花費(fèi)不少的錢。
3.無線局域網(wǎng)安全威脅
3.1 非授權(quán)訪問
無線網(wǎng)絡(luò)中每個(gè)AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個(gè)新的入口。所以,未授權(quán)實(shí)體可以從外部或內(nèi)部進(jìn)入網(wǎng)絡(luò),瀏覽存放在網(wǎng)絡(luò)上的信息;另外,也可以利用該網(wǎng)絡(luò)作為攻擊第三方的出發(fā)點(diǎn),對移動終端發(fā)動攻擊。而且,IEEE 802.11標(biāo)準(zhǔn)采用單向認(rèn)證機(jī)制,只要求STA向AP進(jìn)行認(rèn)證,不要求AP向STA進(jìn)行認(rèn)證。入侵者可以通過這種協(xié)議上的缺陷對AP進(jìn)行認(rèn)證進(jìn)行攻擊,向AP發(fā)送大量的認(rèn)證請求幀,從而導(dǎo)致AP拒絕服務(wù)。
3.2 敏感信息泄露
WLAN物理層的信號是無線、全方位的空中傳播,開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實(shí)際需求,只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術(shù)捕獲無線網(wǎng)絡(luò)的數(shù)據(jù)包,對網(wǎng)絡(luò)通信進(jìn)行分析,從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。
3.3 WEB缺陷威脅
有線等效保密WEP是IEEE 802.11無線局域網(wǎng)標(biāo)準(zhǔn)的一部分,它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機(jī)密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡(luò)進(jìn)行竊聽。WEP在每一個(gè)數(shù)據(jù)包中使用完整性校驗(yàn)字段來保證數(shù)據(jù)在傳輸過程中不被竄改,它使用了CRC-32校驗(yàn)。在WEP中明文通過和密鑰流進(jìn)行異或產(chǎn)生密文,為了加密,WEP要求所有無線網(wǎng)絡(luò)連接共享一個(gè)密鑰。實(shí)際上,網(wǎng)絡(luò)只使用一個(gè)或幾個(gè)密鑰,也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流,確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但I(xiàn)V在一個(gè)相當(dāng)短的時(shí)間內(nèi)重用,使用24位的IV并不能滿足要求。一個(gè)24位的字段包含16777216個(gè)可能值, 假設(shè)網(wǎng)絡(luò)流量是11M, 傳輸2000字節(jié)的包,在7個(gè)小時(shí)左右, IV 就會重用。CRC-32不是一個(gè)很適合WEP的完整性校驗(yàn), 即使部分?jǐn)?shù)據(jù)以及CRC-32校驗(yàn)碼同時(shí)被修改也無法校驗(yàn)出來。
3.4 無線局域網(wǎng)的安全措施
3.4.1 阻止非法用戶的接入
(1)基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入
服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個(gè)網(wǎng)絡(luò)的名稱,以此來區(qū)分不同的網(wǎng)絡(luò),最多可以有32個(gè)字符。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID與無線訪問點(diǎn)AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡單的口令,從而提供口令認(rèn)證機(jī)制,阻止非法用戶的接入,保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來,例如通過windows XP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。
(2)基于無線網(wǎng)卡物理地址過濾防止非法用戶接入
由于每個(gè)無線工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP 設(shè)置基于MAC 地址的Access Control(訪問控制表),確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新,目前都是手工操作。如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。
3.4.2 實(shí)行動態(tài)加密
動態(tài)加密技術(shù)是基于對稱加密和非對稱加密的結(jié)合,能有效地保證網(wǎng)絡(luò)傳輸?shù)陌踩討B(tài)加密著眼于無線網(wǎng)絡(luò)架構(gòu)中通信雙方本身,認(rèn)為每個(gè)通信方都應(yīng)承擔(dān)起會話中網(wǎng)絡(luò)信息傳輸?shù)陌踩?zé)任。會話建立階段,身份驗(yàn)證的安全需要非對稱加密以及對PKI的改進(jìn)來防止非授權(quán)訪問,同時(shí)完成初始密鑰的動態(tài)部署和管理工作,會話建立后,大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式,但該系統(tǒng)通過一種動態(tài)加密的模式,摒棄了現(xiàn)有機(jī)制下靜態(tài)加密的若干缺陷,從而使通信雙方的每次―通信回合‖都有安全保證。在一個(gè)通信回合中,雙方將使用相同的對稱加密密鑰,是每個(gè)通信方經(jīng)過共同了解的信息計(jì)算而得到的,在通信回合之間,所使用的密鑰將實(shí)時(shí)改變,雖然與上次回合的密鑰有一定聯(lián)系,但外界無法推算出來。
3.4.3 數(shù)據(jù)的訪問控制
訪問控制的目標(biāo)是防止任何資源(如計(jì)算資源、通信資源或信息資源)進(jìn)行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證,只是完成了接入無線局域網(wǎng)的第一步,還要獲得授權(quán),才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源,授權(quán)主要是通過訪問控制機(jī)制來實(shí)現(xiàn)。訪問控制也是一種安全機(jī)制,它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長等。
4.計(jì)算機(jī)局域網(wǎng)病毒及防治
雖然局域網(wǎng)采用的是專網(wǎng)形式,但因管理及使用方面等多種原因,計(jì)算機(jī)病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫,給網(wǎng)絡(luò)工程安全帶來一定的隱患,對數(shù)據(jù)安全造成極大威脅,妨礙了機(jī)器的正常運(yùn)行,影響了工作的正常開展。如何防范計(jì)算機(jī)病毒侵入計(jì)算機(jī)局域網(wǎng)和確保網(wǎng)絡(luò)的安全己成為當(dāng)前面臨的一個(gè)重要且緊迫的任務(wù)。
4.1 局域網(wǎng)病毒
局域網(wǎng)病毒的入侵主要來自蠕蟲病毒,同時(shí)集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計(jì)算機(jī)病毒表現(xiàn)出以下特點(diǎn):傳播方式和途徑多樣化;病毒的欺騙性日益增強(qiáng)病毒的傳播速度極快;病毒的制作成本降低;病毒變種增多;病毒難以控制和根治;病毒傳播更具有不確定性和跳躍性;病毒版本自動在線升級和自我保護(hù)能力;病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快,傳播范圍廣,危害也大。局域網(wǎng)病毒還特別難以清除,只要有一臺工作站的病毒未被徹底清除,整個(gè)網(wǎng)絡(luò)就有可能重新感染。
當(dāng)計(jì)算機(jī)感染上病毒出現(xiàn)異常時(shí),人們首先想到的是用殺毒軟件來清除病毒。但令人擔(dān)擾的是殺毒工具軟件被廣泛使用的今天,病毒的種類和數(shù)量以及所造成的損失不是逐年減少,反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具,已顯露出重大缺陷----對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強(qiáng)局域網(wǎng)病毒防護(hù)是保障網(wǎng)絡(luò)信息安全的關(guān)鍵。
4.2 計(jì)算機(jī)局域網(wǎng)病毒的防治措施
計(jì)算機(jī)局域網(wǎng)中最主要的軟硬件就是服務(wù)器和工作站,所以防治計(jì)算機(jī)網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個(gè)部分,另外要加強(qiáng)各級人員的管理教育及各項(xiàng)制度的督促落實(shí)。
(1)基于工作站的防治技術(shù)。局域網(wǎng)中的每個(gè)工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門,只有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:
一、是軟件防治,即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。
二、是在工作站上插防病毒卡,防病毒卡可以達(dá)到實(shí)時(shí)檢測的目的,但防病毒卡的升級不方便,從實(shí)際應(yīng)用的效果看,對工作站的運(yùn)行速度有一定的影響。
三、是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護(hù)合二為一,可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題,而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段,應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。
(2)基于服務(wù)器的防治技術(shù)。服務(wù)器是網(wǎng)絡(luò)的核心,是網(wǎng)絡(luò)的支柱,服務(wù)器一旦被病毒感染,便無法啟動,整個(gè)網(wǎng)絡(luò)都將陷入癱瘓狀態(tài),造成的損失是災(zāi)難性的。難以挽回和無法估量的,目前市場上基于服務(wù)器的病毒防治采用NLM方法,它以NLM模塊方式進(jìn)行程序設(shè)計(jì),以服務(wù)器為基礎(chǔ),提供實(shí)時(shí)掃描病毒的能力,從而保證服務(wù)器不被病毒感染,消除了病毒傳播的路徑,從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。
(3)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。計(jì)算機(jī)局域網(wǎng)病毒的防治,單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來,才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。
一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度,對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育,不損人,不犯法,規(guī)范工作程序和操作規(guī)程,嚴(yán)懲從事非法活動的集體和個(gè)人。
二、加強(qiáng)各級網(wǎng)絡(luò)管理人員的專業(yè)技能學(xué)習(xí),提高工作能力,并能及時(shí)檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。匯報(bào)出現(xiàn)的新問題、新情況,做到及時(shí)發(fā)現(xiàn)問題解決問題,同時(shí)在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測的工作,把好網(wǎng)絡(luò)的第一道大門。
4.3 清除網(wǎng)絡(luò)病毒
一旦在局域網(wǎng)上發(fā)現(xiàn)病毒,應(yīng)盡快加以清除,以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個(gè)系統(tǒng)造成更大的損失,具體過程為:
(1)立即停止使用受感染的電腦,并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因?yàn)椴《緯S時(shí)發(fā)作,繼續(xù)使用受感染的電腦,只會加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。
(2)用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站,并立即清除本機(jī)工作站中含有的病毒。
(3)用干凈的系統(tǒng)盤啟動文件服務(wù)器,系統(tǒng)管理員登錄后,使用disable longin禁止其他用戶登錄。
(4)用防病毒軟件掃描服務(wù)器上所有卷的文件,恢復(fù)或刪除被感染的文件,重新安裝被刪除的文件。
(5)若沒有最新的備份文件,可嘗試使用殺毒軟件把病毒清除,對在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。
(6)確信網(wǎng)絡(luò)病毒已全部徹底清除后,重新啟動網(wǎng)絡(luò)及各工作站。
5.局域網(wǎng)安全防范系統(tǒng)
5.1 防火墻系統(tǒng)
5.1.1 防火墻概述
防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng),它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng),從某種程度上來說,防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站,它一般由一臺和多臺計(jì)算機(jī)構(gòu)成,它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制,通過對數(shù)據(jù)的篩選和過濾,來防止未授權(quán)的訪問進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng),從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。
5.1.2 防火墻的體系結(jié)構(gòu)
5.1.2.1 雙重宿主主機(jī)體系結(jié)構(gòu)
雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器;它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)(如外部網(wǎng)絡(luò))直接發(fā)送到另一個(gè)網(wǎng)絡(luò)(如內(nèi)部網(wǎng)絡(luò))。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信,內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信,它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。
5.1.2.2 被屏蔽主機(jī)體系結(jié)構(gòu)
雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開,如圖4所示。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過濾提供(例如,數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連)。
這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機(jī)。因此堡壘主機(jī)要保持更高等級的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接(什么是“可允許連接”將由你的站點(diǎn)的特殊的安全策略決定)到外部世界。
在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行:
(1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開放到Internet上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù));
(2)不允許來自內(nèi)部主機(jī)的所有連接(強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。
5.1.2.3 被屏蔽子網(wǎng)體系結(jié)構(gòu)
被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)―隔離帶‖。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò),侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī),他將仍然必須通過內(nèi)部路由器。
5.1.3 防火墻的功能
5.1.3.1 數(shù)據(jù)包過濾技術(shù)
數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包實(shí)施有選擇的通過的技術(shù).選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則后,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口,而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個(gè)危險(xiǎn)的網(wǎng)絡(luò),用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò),也可限制內(nèi)部人員對一些站點(diǎn)的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標(biāo)志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。
5.1.3.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址[ 7 ]。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪
問外部網(wǎng)絡(luò)時(shí),系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接,這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請求訪問7 ]。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
5.1.3.3 代理技術(shù)
代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時(shí)的中轉(zhuǎn)連接作用。
代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求,當(dāng)一個(gè)連接到來時(shí),首先進(jìn)行身份驗(yàn)證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時(shí),代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。
另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請求時(shí),代理服務(wù)器首先對該用戶身份進(jìn)行驗(yàn)證。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個(gè)服務(wù)過程中,應(yīng)用代理一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對每一個(gè)操作進(jìn)行記錄。若為不合法用語,則拒絕訪問。
5.1.3.4 全狀態(tài)檢測技術(shù)
全狀態(tài)檢測防火墻在包過濾的同時(shí),檢測數(shù)據(jù)包之間的關(guān)聯(lián)性,數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。它有一個(gè)檢測引擎,在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)督測,抽取狀態(tài)信息,并動態(tài)地保存起來,作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)是操作系統(tǒng)前,狀態(tài)監(jiān)測器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析,結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密處理動作。
5.2 入侵檢測系統(tǒng)
5.2.1 入侵檢測系統(tǒng)概述
入侵檢測是指通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)
5.2.2 入侵檢測原理
入侵檢測跟其他檢測技術(shù)有同樣的原理。從一組數(shù)據(jù)中,檢測出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時(shí)候會留下痕跡,這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡,并給出相關(guān)的提示和警告。
入侵檢測的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。
第二步是信息分析,收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,被送到檢測引擎,檢測引擎駐留在傳感器中,一般通過三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺。
第三步是結(jié)果處理,控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡單的告警。
5.2.3 局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法
根據(jù)CIDF規(guī)范,從功能上將IDS 劃分為四個(gè)基本部分:數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。具體實(shí)現(xiàn)起來,一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺上實(shí)現(xiàn),稱之為數(shù)據(jù)采集分析中心;將控制臺子系統(tǒng)在Windows NT或2000上實(shí)現(xiàn),數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強(qiáng)大的數(shù)據(jù)庫如SQL等,多跟控制臺子系統(tǒng)結(jié)合在一起,稱之為控制管理中心。構(gòu)建一個(gè)基本的IDS,具體需考慮以下幾個(gè)方面的內(nèi)容。
首先,數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ),數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層,其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件,并向其他部分提供事件。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實(shí)現(xiàn)審計(jì)數(shù)據(jù)的獲取,可以通過對網(wǎng)卡工作模式的設(shè)置為―混雜‖模式實(shí)現(xiàn)對某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。然后,需要構(gòu)建并配置探測器,實(shí)現(xiàn)數(shù)據(jù)采集功能。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況,選用合適的軟件及硬件設(shè)備,如果網(wǎng)絡(luò)數(shù)據(jù)流量很小,用一般的PC機(jī)安裝Linux即可,如果所監(jiān)控的網(wǎng)絡(luò)流量非常大,則需要用一臺性能較高的機(jī)器;在服務(wù)器上開出一個(gè)日志分區(qū),用于采集數(shù)據(jù)的存儲;接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置,至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。
其次,應(yīng)建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦,它必須具備高度的―智慧‖和―判斷能力‖,所以,在設(shè)計(jì)此模塊之前,需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入地研究,然后制訂相應(yīng)的安全規(guī)則庫和安全策略,再分別建立濫用檢測模型和異常檢測模型,讓機(jī)器模擬自己的分析過程,識別確知特征的攻擊和異常行為,最后將分析結(jié)果形成報(bào)警消息,發(fā)送給控制管理中心。設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大,需要不斷地更新、升級、完善。在這里需要特別注意3個(gè)問題。應(yīng)優(yōu)化檢測模型和算法的設(shè)計(jì),確保系統(tǒng)的執(zhí)行效率;安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性,以提高系統(tǒng)的伸縮性;報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式,增強(qiáng)其共享與互操作能力,切忌隨意制訂消息格式的不規(guī)范做法。
第三,需要構(gòu)建控制臺子系統(tǒng)。控制臺子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報(bào)各種網(wǎng)絡(luò)違規(guī)行為,并由管理員對一些惡意行為采取行動(如阻斷、跟蹤等)。控制臺子系統(tǒng)的主要任務(wù)有:管理數(shù)據(jù)采集分析中心,以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息;根據(jù)安全策略進(jìn)行一系列的響應(yīng)動作,以阻止非法行為,確保網(wǎng)絡(luò)的安全。控制臺子系統(tǒng)的設(shè)計(jì)重點(diǎn)是:警報(bào)信息查詢、探測器管理、規(guī)則管理及用戶管理。
第四,需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。一個(gè)好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息,還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù),以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起,用Access或其他數(shù)據(jù)庫存儲警報(bào)信息和其他數(shù)據(jù)。
第五,完成綜合調(diào)試。以上幾步完成之后,一個(gè)IDS的最基本框架已被實(shí)現(xiàn)。但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來,還需要保持各個(gè)部分之間安全、順暢地通信和交互,這就是綜合調(diào)試工作所要解決的問題,主要包括要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性,最好對通信數(shù)據(jù)流進(jìn)行加密操作,以防止被竊聽或篡改。同時(shí),控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作,如警報(bào)信息查詢、網(wǎng)絡(luò)事件重建等。經(jīng)過綜合調(diào)試后,一個(gè)基本的IDS就構(gòu)建完成了,但是此時(shí)還不能放松警惕,因?yàn)樵谝院蟮膽?yīng)用中要不斷地對它進(jìn)行維護(hù),特別是其檢測能力的提高;同時(shí)還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合,以期從整體性能上提高局域網(wǎng)的安全能力。
6.局域網(wǎng)安全防范策略
一個(gè)網(wǎng)絡(luò)的防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的,應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求,建立局域網(wǎng)防病毒控制系統(tǒng),分別設(shè)置有針對性的防病毒策略。
6.1 劃分VLAN 防止網(wǎng)絡(luò)偵聽
運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實(shí)際應(yīng)用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動計(jì)算提供了可能性,但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。
6.2 網(wǎng)絡(luò)分段
局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收,也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對其進(jìn)行解包分析,從而竊取關(guān)鍵信息,這就是以太網(wǎng)所固有的安全隱患。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問的目的。所以網(wǎng)絡(luò)分段是保證局域網(wǎng)安全的一項(xiàng)重要措施。
6.3 以交換式集線器代替共享式集線器
對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后,以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺機(jī)器之間的數(shù)據(jù)包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險(xiǎn)的情況是:用戶TELNET到一臺主機(jī)上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個(gè)字符(包括用戶名、密碼等重要信息),都將被明文發(fā)送,這就給黑客提供了機(jī)會。因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽。當(dāng)然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內(nèi)的關(guān)鍵信息,要遠(yuǎn)遠(yuǎn)少于單播包。
6.4 實(shí)施IP/MAC 綁定
很多網(wǎng)關(guān)軟件實(shí)施流量過濾時(shí)都是基于IP或MAC地址,對控制普通用戶起到了很好的效果,但對于高級用戶就顯得無能為力了,因?yàn)椴还苁荌P或是MAC地址都可以隨意修改。要實(shí)施基于IP或MAC地址過濾的訪問控制,就必須進(jìn)行IP/MAC地址的綁定,禁止用戶對IP或MAC的修改。首先通過交換機(jī)實(shí)施用戶與交換機(jī)端口的MAC綁定,再通過服務(wù)器網(wǎng)絡(luò)管理實(shí)施IP/MAC綁定,這樣用戶既不能改網(wǎng)卡的MAC地址,也不能改IP地址。通過IP/MAC綁定后,再實(shí)施流量過濾就顯得有效多了。
7.總結(jié)
網(wǎng)絡(luò)安全技術(shù)和病毒防護(hù)是一個(gè)涉及多方面的系統(tǒng)工程,在實(shí)際工作中既需要綜合運(yùn)用以上方法,還要將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng),又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此,局域網(wǎng)安全不是一個(gè)單純的技術(shù)問題,它涉及整個(gè)網(wǎng)絡(luò)安全系統(tǒng),包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅,不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī),提高網(wǎng)絡(luò)安全防范的技術(shù)是否被授權(quán),從而阻止對信息資源的非法用戶使用網(wǎng)絡(luò)系統(tǒng)時(shí)所進(jìn)行的所有活動的水平,才能有力地保障網(wǎng)絡(luò)安全。
[①].高傳善,錢松榮.專注.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].高等教育出版社,2001:8-9
[②].鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].人民郵電出版社, 2004:1-10.[③].李成大,張京.計(jì)算機(jī)信息安全[M].人民郵電出版社,2004:72-117
第二篇:小型局域網(wǎng)組建畢業(yè)論文
小型局域網(wǎng)組建
當(dāng)今世界,各種先進(jìn)的科學(xué)技術(shù)飛速發(fā)展,給人們的生活帶來了深遠(yuǎn)的影響,它極大的改善我們的生活方式。在以計(jì)算機(jī)技術(shù)為代表的信息科技的發(fā)展更是日新月異,從各個(gè)方面影響和改變著我們的生活,而其中的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展更為迅速,已經(jīng)滲透到了我們生活的各個(gè)方面,人們已經(jīng)離不開計(jì)算機(jī)網(wǎng)絡(luò),并且隨著因特網(wǎng)的迅速普及,給我們的學(xué)習(xí)與生活條件帶來更大的方便,我們與外部世界的聯(lián)系將更加的緊密和快速。
隨著人們對于信息資源共享以及信息交流的迫切需求,促使網(wǎng)絡(luò)技術(shù)的產(chǎn)生和快速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和使用為人類信息文明的發(fā)展帶來了革命性的變化。自1995年中國教育教研網(wǎng)(CERNET)建成后,校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用,對于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程,開展多媒體教學(xué)與研究以及使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的意義。其主要包括各種局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet的應(yīng)用、網(wǎng)絡(luò)安全,網(wǎng)絡(luò)系統(tǒng)的維護(hù)等內(nèi)容。通過本畢業(yè)設(shè)計(jì)課題的論述,希望使讀者能夠了解校園網(wǎng)的建設(shè)過程以及所涉及到的各種網(wǎng)絡(luò)技術(shù),并能對今后大家在學(xué)習(xí)網(wǎng)絡(luò)技術(shù)知識或是進(jìn)行校園網(wǎng)的工程建設(shè)中有所借鑒。
摘要............................................................................................錯(cuò)誤!未定義書簽。1.1 計(jì)算機(jī)網(wǎng)絡(luò).......................................................................................................3 1.1.1 校園網(wǎng)的建設(shè)思路..................................................................................3 1.1.2 校園網(wǎng)的建設(shè)原則..................................................................................3 1.2 局域網(wǎng)簡介.......................................................................................................3 1.2.1網(wǎng)絡(luò)的體系結(jié)構(gòu)........................................................................................4 1.2.2 網(wǎng)絡(luò)協(xié)議.................................................................................................4 2.1 常用網(wǎng)絡(luò)設(shè)備...................................................................................................5 2.1.1 網(wǎng)卡.......................................................................................................5 2.1.2 交換機(jī)...................................................................................................6 2.1.3 路由器.....................................................................................................6 2.1.4 傳輸介質(zhì).................................................................................................6 2.2 服務(wù)器..............................................................................................................7 2.3 設(shè)備選型..........................................................................................................7 3.1 校園網(wǎng)的建設(shè)規(guī)劃............................................................................................8 3.1.1 總體設(shè)計(jì).................................................................................................8 3.1.2 網(wǎng)絡(luò)技術(shù)................................................................................................9 3.2 網(wǎng)絡(luò)操作系統(tǒng)...................................................................................................9 3.3 Internet接入技術(shù)..........................................................................................10 3.4 防火墻..............................................................................................................10 3.5 建網(wǎng)目標(biāo)...........................................................................................................10 3.5.1網(wǎng)絡(luò)組成.................................................................................................10 3.5.2網(wǎng)絡(luò)軟件運(yùn)行平臺...................................................................................12 4.總結(jié).....................................................................................................................12
1.1 計(jì)算機(jī)網(wǎng)絡(luò)
計(jì)算機(jī)網(wǎng)絡(luò)是指通過傳輸媒休連接的多部計(jì)算機(jī)組成的系統(tǒng),使登錄其上的所有用戶能夠共享軟硬件資源。計(jì)算機(jī)網(wǎng)絡(luò)如按網(wǎng)絡(luò)的組建規(guī)模和延伸范圍來劃分的話,可分為局域網(wǎng)(Local Area Network,LAN)、城域網(wǎng)(Metropolitan Area Network,MAN)、廣域網(wǎng)(Wide Area Network,WAN)。我們經(jīng)常用到的因特網(wǎng)(Internet)屬于廣域網(wǎng),校園網(wǎng)屬局域網(wǎng)。未來的網(wǎng)絡(luò)技術(shù)將向著使用簡單、高速快捷、多網(wǎng)合一、安全保密方向發(fā)展。
1.1.1 校園網(wǎng)的建設(shè)思路
校園網(wǎng)的建設(shè)是一項(xiàng)非常復(fù)雜的系統(tǒng)工程,校園作為一個(gè)特殊的網(wǎng)絡(luò)應(yīng)用環(huán)境,它的建設(shè)與使用都有其自身的特點(diǎn)。在選擇局域網(wǎng)的網(wǎng)絡(luò)技術(shù)時(shí)要體現(xiàn)開放式、分布式、安全可靠,維護(hù)簡單的原則。校園網(wǎng)的建設(shè)主要應(yīng)用局域網(wǎng)技術(shù)以及多媒體技術(shù)為主的各種網(wǎng)絡(luò)應(yīng)用技術(shù)。局域網(wǎng)技術(shù)是一項(xiàng)在20世紀(jì)70年代發(fā)展起來的計(jì)算機(jī)互聯(lián)技術(shù),經(jīng)過多年的發(fā)展,技術(shù)已經(jīng)成熟,并得到了廣泛的應(yīng)用,局域網(wǎng)技術(shù)成為網(wǎng)絡(luò)技術(shù)的重要組成部分。計(jì)算機(jī)多媒體技術(shù)是伴隨著多媒體信息的應(yīng)用而得到迅速的計(jì)算機(jī)應(yīng)用技術(shù),在網(wǎng)絡(luò)環(huán)境下,多媒體得到了更快更好的應(yīng)用,使我們得到了更好更多的信息。校園網(wǎng)是使用了局域網(wǎng)技術(shù)以及各種多媒體應(yīng)用技術(shù),并結(jié)合Internet應(yīng)用等其它的技術(shù)來建設(shè)。使得校園網(wǎng)能滿足現(xiàn)代教學(xué)對信息處理的要求,使計(jì)算機(jī)的應(yīng)用能對教學(xué)管理現(xiàn)代化起重要的促進(jìn)作用,能實(shí)現(xiàn)信息查尋、教務(wù)管理,并與外部網(wǎng)絡(luò)系統(tǒng)進(jìn)行交流等多種需要。
1.1.2 校園網(wǎng)的建設(shè)原則
校園網(wǎng)建設(shè)是一項(xiàng)綜合性非常強(qiáng)的系統(tǒng)工程,它包括了網(wǎng)絡(luò)系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應(yīng)用以及人員培訓(xùn)等諸多方面。因此在校園網(wǎng)的建設(shè)工作中必須處理好實(shí)用與發(fā)展、建設(shè)與管理、使用與培訓(xùn)等關(guān)系,從而使校園網(wǎng)的建設(shè)工作健康穩(wěn)定地開展。首先,校園網(wǎng)的建設(shè)是一個(gè)為學(xué)校教育教學(xué)活動長期服務(wù)的工作,因此在校園網(wǎng)的規(guī)劃建設(shè)過程中,必須從學(xué)校長遠(yuǎn)發(fā)展規(guī)劃出發(fā),以服務(wù)于教育為基本點(diǎn),結(jié)合學(xué)校當(dāng)前教育教學(xué)的實(shí)際需要,做出科學(xué)的規(guī)劃部署。在校園網(wǎng)的規(guī)劃建設(shè)中,一般學(xué)校應(yīng)遵循“統(tǒng)一規(guī)劃、整體設(shè)計(jì)、分步實(shí)施”的原則。其次在校園網(wǎng)的建設(shè)中必須堅(jiān)持硬件建設(shè)與組織管理協(xié)調(diào)發(fā)展的原則,在重視硬件建設(shè)的同時(shí),加強(qiáng)網(wǎng)絡(luò)的組織管理水平,不斷開發(fā)網(wǎng)絡(luò)的功能,從而充分發(fā)揮校園網(wǎng)絡(luò)的功效,提高校園網(wǎng)對學(xué)校教育的服務(wù)水平。
1.2 局域網(wǎng)簡介
局域網(wǎng)是同一建筑、同一校園、方圓幾公里遠(yuǎn)的地域內(nèi)的專用網(wǎng)絡(luò)。局域網(wǎng)通常用來連接公司辦公室或企業(yè)內(nèi)部的個(gè)人計(jì)算機(jī)和工作站,以共享軟、硬件資源。美國電氣3
和電子工程師協(xié)會(IEEE)局域網(wǎng)標(biāo)準(zhǔn)委員會員會曾提出局域網(wǎng)的一些具體特征: 1)局域網(wǎng)在通信距離有一定的限制,一般在1~2Km的地域范圍內(nèi)。比如在一個(gè)辦公樓內(nèi)、一個(gè)學(xué)校等。
2)較高傳輸率的物理通信信道也是局域網(wǎng)的一個(gè)主要特征,在廣域網(wǎng)中用電話線連接的計(jì)算機(jī)一般也只有20~40Kpbs的速率。
3)因?yàn)檫B接線路都比較短,中間幾乎不會愛任何干擾,所以局域網(wǎng)還具有始終一致的低誤碼率。
4)局域網(wǎng)一般是一個(gè)單位或部門專用的,所以管理起很方便。
5)另外局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)比較簡單,所支持連接的計(jì)算機(jī)數(shù)量也是有限的。組網(wǎng)時(shí)也就相對很容易連接。
1.2.1網(wǎng)絡(luò)的體系結(jié)構(gòu)
網(wǎng)絡(luò)通常按層或級的方式來組織,每一層都建立在它的下層之上。不同的網(wǎng)絡(luò),層的名字、數(shù)量、內(nèi)容和功能都不盡相同。但是每一層的目的都是向它的上一層提供服務(wù),這一點(diǎn)是相同的。層和協(xié)議的集合被稱為網(wǎng)絡(luò)體系結(jié)構(gòu)。作為具體的網(wǎng)絡(luò)體系結(jié)構(gòu),當(dāng)前重要的和使用廣泛的網(wǎng)絡(luò)體結(jié)構(gòu)有OSI體系結(jié)構(gòu)和TCP/IP體系結(jié)構(gòu)。
OSI是開放系統(tǒng)互連基本參考模型OSI/RM(Open System Interconnection Reference Model)縮寫,它被分成7層,這7個(gè)層次分別定義了不同的功能。幾乎所有的網(wǎng)絡(luò)都是基于這種體系結(jié)構(gòu)的模型進(jìn)行改進(jìn)并定義的,這些層次從上到下分別是應(yīng)用層、表示層、會話層、運(yùn)輸層、網(wǎng)絡(luò)層,數(shù)據(jù)鏈路層和物理層,其中物理層是位于體系結(jié)構(gòu)的最低層,它定義了OSI網(wǎng)絡(luò)中的物理特性和電氣特性。
TCP/IP(Transmission Control Protocol/Internet Protocol,傳輸控制協(xié)議和互連網(wǎng)協(xié)議)縮寫,TCP/IP體系結(jié)構(gòu)是當(dāng)前應(yīng)用于Internet網(wǎng)絡(luò)中的體系結(jié)構(gòu),它是由OSI結(jié)構(gòu)演變來的,它沒有表示層,只有應(yīng)用層、運(yùn)輸層,網(wǎng)際層和網(wǎng)絡(luò)接口層。
1.2.2 網(wǎng)絡(luò)協(xié)議
網(wǎng)絡(luò)協(xié)議是通信雙方共同遵守的約定和規(guī)范,網(wǎng)絡(luò)設(shè)備必須安裝或設(shè)置各種網(wǎng)絡(luò)協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送,在校園局域網(wǎng)上用到的協(xié)議主要有,ICP/IP協(xié)議、IPX/SPX協(xié)議等。(1)TCP/IP協(xié)議
TCP/IP協(xié)議是目前在網(wǎng)絡(luò)中應(yīng)用得最廣泛的協(xié)議,ICP/IP實(shí)際上是一個(gè)關(guān)于Internet的標(biāo)準(zhǔn),并隨著的Internet廣泛應(yīng)用而風(fēng)靡全球,它也成為局域網(wǎng)的首選協(xié)議。TCP/IP是一種分層協(xié)議,它共被分為個(gè)4層次,大約包含近期100個(gè)非專有協(xié)議,4
通過這些協(xié)議,可以高效和可靠地實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP(傳輸控制協(xié)議)、UDP(用戶數(shù)據(jù)報(bào)協(xié)議)和IP(因特網(wǎng)協(xié)議)TCP協(xié)議可以在網(wǎng)絡(luò)用戶啟動的軟件應(yīng)用進(jìn)程之間建立通信會話,并實(shí)現(xiàn)數(shù)據(jù)流量控制和錯(cuò)誤檢測,這樣就可以在不可靠的網(wǎng)絡(luò)上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議,它在傳輸數(shù)據(jù)之前不建立連接,也不提供良好的可靠性和差錯(cuò)檢查,只僅僅依賴于校驗(yàn)來保證可靠性。UDP不進(jìn)行流量控制,沒有序列或者確認(rèn),因此它處理和傳輸數(shù)據(jù)的速度快,還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。
IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由,分段等。通過IP編址約定,可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。每個(gè)網(wǎng)絡(luò)站點(diǎn)具有一個(gè)32位的IP地址,它和48位MAC地址一起協(xié)作,完成網(wǎng)絡(luò)通信,IP協(xié)議也是一種無連接的協(xié)議。
(2)超文本傳輸協(xié)議(HTTP)HTTP(HyperText Transfer Protocol),超文本傳輸協(xié)議)是WWW瀏覽器和WWW服務(wù)器之間的應(yīng)用層協(xié)議,是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膮f(xié)議,HTTP協(xié)議還是基于TCP/IP協(xié)議之上的應(yīng)用層協(xié)。(3)文件傳輸協(xié)議(FTP)FTP(File Transfer Protocol ,文件傳輸協(xié)議)是由支持Internet文件傳輸?shù)母鞣N規(guī)則所組成的集合。這些規(guī)則能使網(wǎng)絡(luò)用戶把文件從一個(gè)主機(jī)拷貝到另一個(gè)主機(jī)上,F(xiàn)TP是采客戶/服務(wù)器方式服務(wù)的。(4)遠(yuǎn)程登錄協(xié)議(Telnet)
遠(yuǎn)程登錄協(xié)議的目的是提供一個(gè)全面的、雙向的、面向8個(gè)比特字節(jié)的通信工具,其主要目標(biāo)是提供終端設(shè)備與面向進(jìn)程接口的標(biāo)準(zhǔn)方法,Telnet是應(yīng)用層的協(xié)議,采用客戶/服務(wù)器模式工作的,Telnet不僅允許用戶登錄到遠(yuǎn)端主機(jī)上,還允許用執(zhí)行遠(yuǎn)端主機(jī)的命令,這樣用戶就能以極小的網(wǎng)絡(luò)資源代價(jià)完成大型的網(wǎng)絡(luò)應(yīng)用。
2.1 常用網(wǎng)絡(luò)設(shè)備
網(wǎng)絡(luò)設(shè)備主要是指硬件系統(tǒng),各種網(wǎng)絡(luò)設(shè)備之間是有著相互關(guān)聯(lián)而不是相互獨(dú)立的,每一部分在網(wǎng)絡(luò)中有著不同的作用,缺一不可,只有把這些設(shè)備通過一定的形式連起來才能組成一個(gè)完整的網(wǎng)絡(luò)系統(tǒng),網(wǎng)絡(luò)設(shè)備主要包括網(wǎng)卡、集線器、交換機(jī)、路由器、傳輸介質(zhì)等。
2.1.1 網(wǎng)卡
網(wǎng)卡(簡稱NIC),也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡,網(wǎng)卡作為計(jì)算機(jī)與網(wǎng)絡(luò)連接的接口,5
是不可缺少的網(wǎng)絡(luò)設(shè)備之一。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò),都必須借助于相應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接,是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個(gè)世界惟一的ID號,也就是MAC(Media Access Control)地址,計(jì)算機(jī)在連入網(wǎng)絡(luò)之后,就是依靠這個(gè)ID號才能實(shí)現(xiàn)在不同計(jì)算機(jī)之間的通信和信息交換。網(wǎng)卡有很多種,不同類型的網(wǎng)絡(luò)需要使用不同種類的網(wǎng)卡,不同速度的網(wǎng)絡(luò)需求也要使用不同的網(wǎng)卡。如根據(jù)帶寬來分的話,有10Mbit/s網(wǎng)卡、10/100Mit/s自適應(yīng)網(wǎng)卡和1000Mbit/s網(wǎng)卡;如按總線分,有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前校園網(wǎng)建設(shè)的實(shí)際情況來看,工作站網(wǎng)卡選擇PCI總線的10M/100Mbit/s自適應(yīng)網(wǎng)卡最適合。
2.1.2 交換機(jī)
交換機(jī),也稱交換式集線器,是專門設(shè)計(jì)的,使各計(jì)算機(jī)能夠相互高速通信的獨(dú)享帶寬的網(wǎng)絡(luò)設(shè)備。作為高性能的集線設(shè)備,隨著價(jià)格的不斷降低,交換機(jī)已逐步取代了集線器而成為集線設(shè)備的首選。由交換機(jī)構(gòu)建的交換式網(wǎng)絡(luò)系統(tǒng)不僅擁有高速的傳輸速率,而且交換延時(shí)很小,使得信息的傳輸效率大大提高,適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡(luò)通信,被廣泛應(yīng)用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡(luò)。交換機(jī)具有很強(qiáng)的網(wǎng)絡(luò)管理功能,它能自動根據(jù)網(wǎng)絡(luò)通信的使用情況來動態(tài)管理網(wǎng)絡(luò),因?yàn)榻粨Q機(jī)采用了獨(dú)享網(wǎng)絡(luò)帶寬的設(shè)計(jì)。
2.1.3 路由器
路由器除了有連接不同的網(wǎng)絡(luò)物理分支和不同的通信媒介、過濾和隔離網(wǎng)絡(luò)數(shù)據(jù)流及建立路由表,還有控制和管理復(fù)雜的路徑、控制流量、分組分段、防止網(wǎng)絡(luò)風(fēng)暴及在網(wǎng)絡(luò)分支之間提供安全屏障層等到功能。根據(jù)路由設(shè)備的組成可以分為軟路由和硬路由。根據(jù)路由表的設(shè)置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網(wǎng)絡(luò)層,因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀,訪問的是對方的網(wǎng)絡(luò)地址。當(dāng)數(shù)據(jù)幀到達(dá)路由器后,路由器查看數(shù)據(jù)幀的目標(biāo)地址,并在路由表查看到達(dá)目標(biāo)地址的路徑,根據(jù)路徑的代價(jià),選擇一條最佳的路徑,然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標(biāo)地址。
2.1.4 傳輸介質(zhì)
網(wǎng)絡(luò)要求把各個(gè)獨(dú)立的計(jì)算機(jī)連接起來的,這樣就必然要求有一種介質(zhì)將計(jì)算機(jī)連接起來,這就是傳輸介質(zhì),局域網(wǎng)的傳輸介質(zhì)可分為有線介質(zhì)和無線介質(zhì)兩種,一般情況下都是用有線介質(zhì)的,因?yàn)樗姆€(wěn)定性高,連接可靠,無線介質(zhì)只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質(zhì)主要有以下幾類。(1)同軸電纜
同軸電纜以硬銅線為芯,外包一層絕緣材料。這層絕緣材料用密織的網(wǎng)狀導(dǎo)體環(huán)繞,網(wǎng)外又覆蓋一層保護(hù)性材料。同軸電纜有許多種不同的規(guī)格,最常用是細(xì)同軸電纜和粗同軸電纜。細(xì)同軸電纜主要用于建筑物內(nèi)的網(wǎng)絡(luò)連接,而粗同軸電纜則常用于建筑物間6
相連。它們的區(qū)別在于粗同軸電纜屏蔽更好,能傳輸更遠(yuǎn)的距離。同軸電纜是由中心導(dǎo)體、絕緣材料層、網(wǎng)狀織物構(gòu)成的屏蔽層以及外部隔離材料層組成。(2)雙絞線
雙絞線是綜合布線工程中最常用的一種傳輸介質(zhì)。雙絞線由兩根具有絕緣保護(hù)層的銅導(dǎo)線組成。把兩根絕緣的銅導(dǎo)線按一定密度互相絞在一起,可降低信號干擾的程度,每一根導(dǎo)線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消,與其他傳輸介質(zhì)相比,雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制,但價(jià)格較為低廉。目前,雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。(3)光纖
光纖是一種直接為50~100um的柔軟的、能傳導(dǎo)光波的介質(zhì),一般由玻璃制造。光纖分為:傳輸點(diǎn)模數(shù)類分單模光纖(Single Mode Fiber)和多模光纖(Multi Mode Fiber)。單模光纖的纖芯直徑很小,在給定的工作波長上只能以單一模式傳輸,傳輸頻帶寬,傳輸容量大。多模光纖是在給定的工作波長上,能以多個(gè)模式同時(shí)傳輸?shù)墓饫w,與單模光纖相比,多模光纖的傳輸性能較差。光纖通信系統(tǒng)的基本構(gòu)
2.2 服務(wù)器
校園網(wǎng)中的服務(wù)器主有數(shù)據(jù)庫服務(wù)器和代理服務(wù)器,數(shù)據(jù)服務(wù)器與代理服務(wù)器主要是面向校園網(wǎng)內(nèi)部用戶的服務(wù),對來自Internet的用戶服務(wù)也很多,主要是對校園網(wǎng)內(nèi)部用戶進(jìn)行Internet代理服務(wù)。目前,絕大多數(shù)校園網(wǎng)都要求內(nèi)部服務(wù)用戶通過代理訪問Internet,這樣內(nèi)部用戶就不能直接訪問Internet,同時(shí)代理服務(wù)器保存著內(nèi)部用戶訪問Internet的日志,以作為記費(fèi)的依據(jù)。由于用戶數(shù)量非常大,也非常集口中,所以在選型代理服務(wù)器時(shí),主要考慮的是要有較大的容量、較高的處理速度和較高的穩(wěn)定性,一般來說都選用大型服務(wù)器作為代理服務(wù)器。
2.3 設(shè)備選型
(1)服務(wù)器端。選擇微軟的服務(wù)器端集成軟件BackOffice.BackOffice包括了WindowsNT.IIS.FrontPage.SQL Server.Exchange server.Systems Management Server。Proxy Server以及一個(gè)統(tǒng)的客戶/服務(wù)器軟件安裝程序。
其中,WINDOW NT作為網(wǎng)絡(luò)的基礎(chǔ),提供文件和打印機(jī)共享,通信Internet連接和應(yīng)用程序服務(wù):IIS提供WWW和FTP服務(wù);FrontPage提供網(wǎng)頁制作工具和Web管理;Index server提供Email.時(shí)間規(guī)劃和集成的群件性能;SNA Server提供主機(jī)數(shù)據(jù)和應(yīng)用的連接能力;Systems Management集中地管理這個(gè)分布式的環(huán)境;Proxy Server提供防火墻功能,有效地將校園網(wǎng)與公共Internet分離,并有效地提供客戶訪問Internet的通路。
(2)客戶端。選用IE5.0以上,它提供了組用戶訪問Web,所有本地文件和校園網(wǎng)絡(luò)上所有文件的集成方法。
3.1 校園網(wǎng)的建設(shè)規(guī)劃
校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程,與任何一項(xiàng)工程建設(shè)一樣,在開始建設(shè)前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析,它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行都有直接的關(guān)系,因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對于校園網(wǎng)來說,必須對技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識,只有這樣,才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。
3.1.1 總體設(shè)計(jì)
校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計(jì)和邏輯設(shè)計(jì),在完成結(jié)構(gòu)設(shè)計(jì)后才能對網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)對于整個(gè)網(wǎng)絡(luò)系統(tǒng)來說是十分重要的,它設(shè)計(jì)的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實(shí)現(xiàn)以及網(wǎng)絡(luò)是否能滿足網(wǎng)絡(luò)的需求。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是校園網(wǎng)系統(tǒng)的核心,因此在設(shè)計(jì)中必須遵循以下原則:
1.軟硬件的可行性。系統(tǒng)軟硬件配置必須考慮各種約束條件,主要是性能需求、當(dāng)前技術(shù)水平和改造資金多少,兼顧現(xiàn)實(shí)性和技術(shù)領(lǐng)先性。
2.系統(tǒng)開放原則。系統(tǒng)應(yīng)具有良好的開放性,或稱職兼容性和擴(kuò)展性,以適應(yīng)技術(shù)的不斷發(fā)展和不增強(qiáng)的應(yīng)用需求,因此,應(yīng)盡量采用工業(yè)標(biāo)準(zhǔn)或事實(shí)上的工業(yè)標(biāo)準(zhǔn)技術(shù)。在系統(tǒng)設(shè)計(jì)時(shí),要考慮系統(tǒng)的生命周期,一般要按超前3~5年考慮。
3.整體最優(yōu)原則。在進(jìn)行系統(tǒng)設(shè)計(jì)和配置時(shí),常遇到很多矛盾,需根據(jù)有限合理性原則,進(jìn)行綜合考慮和評價(jià),折中選擇。應(yīng)考慮的因素有:先進(jìn)性、可靠性、安全性、經(jīng)濟(jì)性。
4.開放性、先進(jìn)性原則。系統(tǒng)的傳輸速率至少目前要夠用,最好要有一定的余量,以適應(yīng)應(yīng)用的不斷增長困采用公認(rèn)的行業(yè)標(biāo)準(zhǔn),以增強(qiáng)適應(yīng)性,避免淘汰。要留有足夠的擴(kuò)展擴(kuò)充的余地,以便對系統(tǒng)進(jìn)行擴(kuò)充和改進(jìn)。網(wǎng)絡(luò)可先擇Microsoft的產(chǎn)品,以Web為中心,以Intranet技術(shù)為基礎(chǔ),采用TCP/IP和HTTP為傳輸協(xié)議,客戶通過瀏覽器訪問Web及Web相連的數(shù)據(jù)庫。
3.1.2 網(wǎng)絡(luò)技術(shù)
學(xué)校建設(shè)校園網(wǎng)有許多需要考慮的問題,如網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇、網(wǎng)絡(luò)產(chǎn)品的選擇、網(wǎng)絡(luò)服務(wù)器的選擇以及操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全等方面。下面根據(jù)前面介紹過的各種網(wǎng)絡(luò)技術(shù)來進(jìn)行校園網(wǎng)組建技術(shù)的選擇。(1)網(wǎng)絡(luò)技術(shù)類型
網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)遵循高可靠性、技術(shù)先進(jìn)、開放性、成熟標(biāo)準(zhǔn)、易于擴(kuò)展、可維護(hù)性好等原則,并充分考慮性能價(jià)格比和今后技術(shù)的發(fā)展。要求系統(tǒng)兼容性好,易于平滑連接,避免網(wǎng)絡(luò)瓶頸。
當(dāng)前達(dá)到或超過100Mbps的高速網(wǎng)絡(luò)技術(shù)主要有:快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。FDDI是幾年前十分流行的高速網(wǎng)絡(luò)技術(shù),雖然技術(shù)十分成熟,但網(wǎng)絡(luò)管理復(fù)雜且成本較高,現(xiàn)已被逐漸淘汰。ATM是比較先進(jìn)的網(wǎng)絡(luò)技術(shù),它采用信元交換方式,以很高的速率在任意兩點(diǎn)間建立直接的虛擬通信鏈路,有較強(qiáng)的傳輸質(zhì)量控制能力,特別適合于多媒體信息的傳輸。但在實(shí)際使用事因端口價(jià)格過高,難以大規(guī)模采用。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價(jià)廉的網(wǎng)絡(luò)技術(shù),其標(biāo)準(zhǔn)已制定完備。經(jīng)過多年發(fā)展,形成了完善的10Mbps、100Mbps和千兆以太網(wǎng)技術(shù),同時(shí)還由共享式的網(wǎng)絡(luò)發(fā)展成為交換式的以太網(wǎng),具備與FDDI、ATM網(wǎng)絡(luò)融合的多種方法與規(guī)范。(2)網(wǎng)絡(luò)拓?fù)涞倪x擇
計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有很多種,主要有總線型拓?fù)洹h(huán)型拓?fù)浜托切屯負(fù)洹?偩€型拓?fù)浣Y(jié)構(gòu)中所有的電腦用介質(zhì)將整個(gè)網(wǎng)絡(luò)從頭串到尾。這是所有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中最簡單的一種。環(huán)型拓?fù)浣Y(jié)構(gòu),就是指所有站點(diǎn)被繞成一圈的電纜所連接起來,整個(gè)結(jié)構(gòu)看起來象是一個(gè)圓圈。當(dāng)前在各種網(wǎng)絡(luò)系統(tǒng)的建設(shè)中使用最多的是星型拓?fù)浣Y(jié)構(gòu),雖然星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)在布線和網(wǎng)絡(luò)設(shè)備的花費(fèi)多一些,不過目前各種硬件設(shè)備已經(jīng)非常便宜了,這種花費(fèi)是可以承受的。因而它的優(yōu)點(diǎn)也是十分突出的,主要是當(dāng)網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)故障時(shí)不會影響整個(gè)網(wǎng)絡(luò)的運(yùn)行,這使得網(wǎng)絡(luò)從總體上可以提供高度的可靠性和沉佘性,這個(gè)性能十分適合校園網(wǎng)這種應(yīng)用環(huán)境,也是校園網(wǎng)的建設(shè)中必須要求做到的。
3.2 網(wǎng)絡(luò)操作系統(tǒng)
網(wǎng)絡(luò)操作系統(tǒng)NOS(Network Operating System)是在計(jì)算機(jī)操作系統(tǒng)的基礎(chǔ)上,加上一些具有實(shí)現(xiàn)網(wǎng)絡(luò)訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議,是使網(wǎng)絡(luò)上各計(jì)算機(jī)能夠方便有效地共享網(wǎng)絡(luò)資源、為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)軟件和規(guī)程的集9
合。目前主要的網(wǎng)絡(luò)操作系統(tǒng)有NetWare、Unix、Linix和Windows NT/2000。在校園網(wǎng)中一般情況下都用Windows 2000網(wǎng)絡(luò)操作系統(tǒng),因?yàn)樗菆D形化的操作界面、使用簡單、安全可靠,以及和普及率很高Windows系列單機(jī)操作系統(tǒng)的兼容性很好。
3.3 Internet接入技術(shù)
校園網(wǎng)和Internet的連接技術(shù)就顯得十分重要了,它關(guān)系到校園網(wǎng)與外部網(wǎng)絡(luò)能能否進(jìn)行可靠的連接。用戶計(jì)算機(jī)接入Internet主要有兩種方式,通過局域網(wǎng)或通過電話線網(wǎng)。不過,我們一般采取局域網(wǎng)接入方式。但不管使用哪種接入方式,首先都要連接到ISP的主機(jī)。從用戶角度看,ISP位于Internet的邊緣,用戶通過某種通信線路連接到ISP,再通過ISP的連接通道接入Internet。通過局域網(wǎng)接入Internet是指用戶局域網(wǎng)使用路由器,通過數(shù)據(jù)通信網(wǎng)與ISP相連接,再通過ISP的連接通道接入Internet。選擇哪種數(shù)據(jù)通信網(wǎng)絡(luò)與租用多大的帶寬,通常取決于用戶的信息流量與能夠承擔(dān)的費(fèi)用等多種因素。
3.4 防火墻
防火墻是一種特殊的設(shè)備,在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制。通常一個(gè)路由器,也可以是一臺運(yùn)行防火墻軟件的PC機(jī)。防火墻有選擇地過濾或阻塞網(wǎng)絡(luò)間的流量。它通常在Intranet和Internet的交接處,也可以在兩個(gè)Intranet之間設(shè)立防火墻。防火墻一般是基于源地址和目的地址以及每個(gè)IP包的端口來作出禁止或允許判斷。
3.5 建網(wǎng)目標(biāo)
構(gòu)建普通學(xué)校校內(nèi)Intranet環(huán)境,并通過代理服務(wù)器接入Internet,實(shí)現(xiàn)與Internet 交流。建設(shè)校園網(wǎng)絡(luò)中心,并通過一定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建連接校園網(wǎng)絡(luò)中心、計(jì)算機(jī)教室、教師備課機(jī)房、多媒體教學(xué)活動室、圖書館、校長室、教導(dǎo)處、財(cái)務(wù)處等的校園網(wǎng),使之能通過一定的應(yīng)用軟件完成行政辦公管理、教師備課授課、學(xué)生學(xué)習(xí)交流、校內(nèi)信息公告、遠(yuǎn)程電子通訊、Internet通訊瀏覽等基本功能。
3.5.1網(wǎng)絡(luò)組成
(1)校園網(wǎng)的主干
校園網(wǎng)主干提供兩個(gè)簡單但至關(guān)重要的功能.其一,它用于在中間層交換機(jī)組之間10
建立互聯(lián).其二,它提供對企業(yè)各部分共享的所有資源的高速訪問.因其重要性,校園網(wǎng)主干必須具有高吞吐量和高可用性.如果主干變慢或擁擠,則整個(gè)網(wǎng)絡(luò)對常用資源的訪問將變慢.通過同一令牌,主干上的中斷將影響整個(gè)網(wǎng)絡(luò)的恢復(fù)能力和高可用性基本要求。基于當(dāng)前信息技術(shù)發(fā)展形勢及經(jīng)濟(jì)實(shí)用可持續(xù)發(fā)展原則,建議構(gòu)建100M帶寬的快速以太網(wǎng),根據(jù)實(shí)際工作站信息點(diǎn)到網(wǎng)絡(luò)中心的距離,選擇適當(dāng)?shù)膫鬏斆浇檫M(jìn)行網(wǎng)絡(luò)綜合布線。一般來講,在同一幢大樓內(nèi)距離不超過100米均可鋪設(shè)超五類非屏蔽雙絞線,而樓與樓之間的連接主干線原則上應(yīng)架設(shè)光纜,以滿足今后發(fā)展的需要。(2)網(wǎng)絡(luò)中心
也就是校園網(wǎng)中心機(jī)房,應(yīng)配置有各種系統(tǒng)服務(wù)器(如:Web服務(wù)器、Email服務(wù)器、代理服務(wù)器)、文件服務(wù)器(數(shù)據(jù)庫服務(wù)器)、中心交換機(jī)、配線機(jī)柜等。如剛使用時(shí)數(shù)據(jù)流量不大,可只配置一臺服務(wù)器,視今后網(wǎng)絡(luò)發(fā)展情況再作擴(kuò)充。為保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定可靠,網(wǎng)絡(luò)中心的設(shè)備選型應(yīng)選擇信譽(yù)可靠、質(zhì)量上等、性能穩(wěn)定、擴(kuò)充性優(yōu)良的專業(yè)產(chǎn)品。(3)計(jì)算機(jī)教室
配置100臺586以上微機(jī),通過星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將所有微機(jī)連接到可堆疊交換機(jī)上,再通過交換機(jī)連接校園主干網(wǎng)。為方便教學(xué),可在以上網(wǎng)絡(luò)教室的基礎(chǔ)上安裝多媒體教學(xué)平臺,使之成為一個(gè)既能完成信息技術(shù)學(xué)科教學(xué),又能進(jìn)行多媒體輔助教學(xué),還能開展基于Internet技術(shù)的網(wǎng)絡(luò)活動的多媒體網(wǎng)絡(luò)活動室。(4)圖書館系統(tǒng)
圖書館系統(tǒng)應(yīng)該包括兩個(gè)方面,第一是圖書編目、借閱管理系統(tǒng),它為圖書館管理提供了標(biāo)準(zhǔn)化、自動化、網(wǎng)絡(luò)化的采編、流通、查詢、統(tǒng)計(jì)以及讀者管理等手段;第二是多媒體視聽閱覽室,滿足讀者使用越來越多的電子音像讀物的要求。多媒體視聽閱覽室從技術(shù)本質(zhì)上來講就是一個(gè)多媒體計(jì)算機(jī)網(wǎng)絡(luò)室,如果學(xué)校已建好前面所述的多媒體網(wǎng)絡(luò)活動室或教師備課機(jī)房,只要在網(wǎng)絡(luò)上連接有一套光盤鏡像服務(wù)器,即可實(shí)現(xiàn)多媒體視聽閱覽的功能。(5)多媒體綜合教室
信息化環(huán)境的構(gòu)筑其根本目的是為教學(xué)服務(wù)的,因此課堂信息化教學(xué)環(huán)境的建立應(yīng)該是校園網(wǎng)建設(shè)的一個(gè)重要目標(biāo)。針對課堂教學(xué)而言,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)能為師生合作教學(xué)模式提供支持。在合作教學(xué)模式下,教師通過網(wǎng)絡(luò)安排教學(xué)計(jì)劃,指導(dǎo)學(xué)生學(xué)習(xí),批改學(xué)生作業(yè),實(shí)施網(wǎng)上教學(xué);學(xué)生既可以在教師幫助下進(jìn)行自主學(xué)習(xí),也可通過小組討論等形式在同伴中開展合作學(xué)習(xí)。多媒體綜合教室內(nèi)配備有多媒體計(jì)算機(jī)、高亮度液晶投影儀、多功能視頻展示臺各一臺,功放音響一套,其中多媒體計(jì)算機(jī)通過網(wǎng)卡連入校園主干網(wǎng),從而方便調(diào)用網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)上的教學(xué)資源,實(shí)現(xiàn)資源共享。多媒體綜合教11
室不僅可滿足正常的輔助教學(xué)活動,還可以用來舉辦講座、開展培訓(xùn),不失為當(dāng)前形勢下一種經(jīng)濟(jì)實(shí)惠的選擇。
3.5.2網(wǎng)絡(luò)軟件運(yùn)行平臺
(1)服務(wù)器操作系統(tǒng):由于美國Microsoft公司推出的網(wǎng)絡(luò)操作系統(tǒng)Windows NT具有與有著廣泛應(yīng)用基礎(chǔ)的WINDOWS982000個(gè)人計(jì)算機(jī)操作系統(tǒng)相似的操作方法,易學(xué)易用,已擁有了越來越多的用戶群。大量的軟硬件生產(chǎn)商為Windows NT開發(fā)了許許多多的軟硬件產(chǎn)品,也使得Windows NT有著比較廣闊的發(fā)展前景。在目前情況下建議采用Microsoft Windows 2000以上版本。
(2)工作站其它應(yīng)用軟件:文字處理、數(shù)據(jù)表格、圖形處理、瀏覽器、電子郵件等都是經(jīng)常使的軟件。
(3)數(shù)據(jù)庫軟件:建議采用SQL SERVER 2000以上版本。
(4)電子郵件系統(tǒng):可采用Microsoft公司的Exchange Server,為簡便使用也可采用一些共享軟件如Sharemail、Imail等,這些軟件都是基于標(biāo)準(zhǔn)SMTP/POP3/IMAP4/LDAP協(xié)議的郵件服務(wù)器軟件,用戶界面簡單直觀,非常易于管理。
(5)網(wǎng)頁維護(hù)制作軟件:Macrosoft公司的FrontPage 2000、Macromedia 公司的Dreamweaver、Flash都是很好選擇。
(6)多媒體課件制作軟件:Macromedia 公司的Authorware、Director,洪圖多媒體著作工作等都有著非常友好的界面,使用方便,擁有著大量的用戶,推薦使用。
(7)校園辦公管理用軟件:選用省教委統(tǒng)一推薦使用的“共創(chuàng)校園辦公管理信息系統(tǒng)”網(wǎng)絡(luò)版。
4.總結(jié)
本設(shè)計(jì)從校園網(wǎng)的建設(shè)思想、目標(biāo)、可以選用的網(wǎng)絡(luò)技術(shù)以及對絡(luò)設(shè)備的介紹和選擇等多方面的論述,使我們對校園網(wǎng)建設(shè)工程有了一個(gè)比較深入的了解,校園網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程,它的所用到的各種技術(shù)是多方面的,即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù),也有管理制度等各個(gè)方面的知識。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的,在前進(jìn)的過程中必將有更多的知識需要我們?nèi)W(xué)習(xí)與研究,并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建設(shè)之12
中。
由于校園網(wǎng)功能齊全,技術(shù)含量高,接觸面廣,在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜,在論述中不可能面面具到,同時(shí)也由于本人的知識水平有限,文中的不足和錯(cuò)誤在所難免,敬請各位老師多多指點(diǎn)和更正。
編寫人:陳錦輝
第三篇:機(jī)房局域網(wǎng)組建畢業(yè)論文-讀書筆記
某某學(xué)院2012屆畢業(yè)設(shè)計(jì)(論文)
附 件
讀書筆記1
畢業(yè)論文的準(zhǔn)備工作開始了,我么主要收集了這幾本書和文獻(xiàn)《信息技術(shù)在局域網(wǎng)中的應(yīng)用研究》、《計(jì)算機(jī)網(wǎng)絡(luò)》、《計(jì)算機(jī)網(wǎng)絡(luò)工程概論》、《局域網(wǎng)組建實(shí)例教程》、《校園網(wǎng)組建》、《校園局域網(wǎng)的規(guī)劃與管理》、《高校局域網(wǎng)的組建過程》、《局域網(wǎng)建設(shè)中布線部分兩個(gè)典型問題的分析與解決》。今天首先看了《信息技術(shù)在局域網(wǎng)中的應(yīng)用研究》主要簡述了一些與網(wǎng)絡(luò)安全有關(guān)的概念,講了計(jì)算機(jī)病毒,系統(tǒng)漏洞,防火墻,殺毒軟件的介紹,其觀點(diǎn)引人入勝,對我以后寫有關(guān)局域網(wǎng)安全的部分有很大的幫助。書中提到的有關(guān)局域網(wǎng)安全未來的發(fā)展趨勢令我眼前一亮,受益匪淺。其對局域網(wǎng)安全的闡述細(xì)致入微,面面俱到,嚴(yán)禁客觀
在這像其作者表示感謝。
讀書筆記2
今天我查閱的是《計(jì)算機(jī)網(wǎng)絡(luò)》(第五版)這本書的作者是謝希仁,他畢業(yè)于清華大學(xué)機(jī)電系,他領(lǐng)導(dǎo)的移動衛(wèi)星通信系統(tǒng)的網(wǎng)控中心項(xiàng)目是國家級重點(diǎn)項(xiàng)目,能夠閱讀到他的作品是我一生的榮幸。這本書對因特網(wǎng)做了一些介紹和計(jì)算機(jī)網(wǎng)絡(luò)的類別并詳細(xì)介紹了OSI模型的7層結(jié)構(gòu),還有有關(guān)子網(wǎng)劃分的內(nèi)容做了詳細(xì)的介紹,最后簡單的介紹了一下無線網(wǎng)絡(luò)技術(shù)。這本書是我寫這篇論文最重要的理論基礎(chǔ)。書中對網(wǎng)絡(luò)詳細(xì)的介紹讓我受益匪淺
作者深厚的理論功底更讓我望塵莫及。對我的論文有極大的幫助。
《計(jì)算機(jī)網(wǎng)絡(luò)》首先講述了因特網(wǎng)的概念,因特網(wǎng)是世界上最大的互聯(lián)網(wǎng)絡(luò),大家把連接在因特網(wǎng)上的計(jì)算機(jī)都稱為主機(jī)。計(jì)算機(jī)網(wǎng)絡(luò)指的是一些互相連接的、自治的計(jì)算機(jī)的集合。
這本書是我寫畢業(yè)論文最主要的基礎(chǔ)知識來源,通過這本書我了解到什么是計(jì)算機(jī)網(wǎng)絡(luò),計(jì)算機(jī)網(wǎng)絡(luò)的組成等內(nèi)容。對論文有很大的幫助。
讀書筆記
3劉曉輝主編的《中小型局域網(wǎng)構(gòu)建實(shí)踐》介紹了網(wǎng)絡(luò)布線、搭建小型局域網(wǎng)、搭建小型無線局域網(wǎng)、共享internet連接、網(wǎng)絡(luò)客戶端配置、網(wǎng)絡(luò)資源共享、雙機(jī)與火線直連、網(wǎng)絡(luò)綜合布線、網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備選擇、網(wǎng)絡(luò)設(shè)備連接、網(wǎng)絡(luò)設(shè)備的配置與初始化、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)服務(wù)的搭建、網(wǎng)絡(luò)存儲、搭建小型無線局域網(wǎng)等方面的內(nèi)容。局域網(wǎng)分為有線局域網(wǎng)和無線局域網(wǎng),有線局域網(wǎng)主要是指雙絞線網(wǎng)絡(luò),有線局域網(wǎng)傳輸速度快、穩(wěn)定性高、安全性好、成本低、干擾小。無線局域網(wǎng)環(huán)境適應(yīng)性強(qiáng)、部署靈活便捷、維護(hù)成本低、易于擴(kuò)展、安全性高。無線局域網(wǎng)適合在家庭、移動設(shè)備中使用。
《中小型局域網(wǎng)構(gòu)建實(shí)踐》還詳細(xì)介紹了局域網(wǎng)故障與診斷,詳細(xì)列舉了局域網(wǎng)中常見的故障與維修方式,例如:網(wǎng)絡(luò)鏈路故障的檢查與排除方法。
讀書筆記4
《實(shí)用網(wǎng)絡(luò)設(shè)計(jì)與配置》詳細(xì)介紹了計(jì)算機(jī)網(wǎng)絡(luò)的概念、類型、物理結(jié)構(gòu)、邏輯結(jié)構(gòu)等網(wǎng)絡(luò)分析等內(nèi)容。
隨著科學(xué)技術(shù)的發(fā)展,現(xiàn)代社會對網(wǎng)絡(luò)技術(shù)的發(fā)展提出了更高的要求,對異構(gòu)網(wǎng)絡(luò)也提出了更高的要求。1983年國際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了開放系統(tǒng)互聯(lián)參考模型(OSI/RM)國際標(biāo)準(zhǔn),從兒使異構(gòu)網(wǎng)絡(luò)的互聯(lián)技術(shù)迅猛發(fā)展。《實(shí)用網(wǎng)絡(luò)設(shè)計(jì)與配置》主要介紹了一些體系結(jié)構(gòu)包括:OSI/RM結(jié)構(gòu),OSI/RM結(jié)構(gòu)主要包括七層,從上到下為:應(yīng)用層、表示層、會話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層。每層可以和相鄰的層通信,各層都有不同的功能。TCP/IP結(jié)構(gòu)是當(dāng)前網(wǎng)絡(luò)互聯(lián)協(xié)議中最著名的協(xié)議族,由應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層組成。
《實(shí)用網(wǎng)絡(luò)設(shè)計(jì)與配置》還介紹了網(wǎng)絡(luò)互聯(lián)的基本類型,包括LAN-LAN型、LAN-WAN型等。
讀書筆記5
《局域網(wǎng)與廣域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)》介紹了計(jì)算機(jī)網(wǎng)絡(luò)中的LAN和WAN的定義、路由器和網(wǎng)關(guān)的連接、LAN與WAN的數(shù)據(jù)集成等方面的內(nèi)容。
LAN一般是微型計(jì)算機(jī)通過高速通信線路相連,局域網(wǎng)是在微型計(jì)算機(jī)大量應(yīng)用后才逐漸發(fā)展起來的計(jì)算機(jī)網(wǎng)絡(luò)。
WAN的作用范圍通常為幾十到幾千千米。廣域網(wǎng)又稱遠(yuǎn)程網(wǎng)。它的覆蓋范圍可以遍布與城市、國家,甚至全球。
《局域網(wǎng)與廣域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)》還介紹了以下網(wǎng)絡(luò)設(shè)備:
1.網(wǎng)橋:網(wǎng)橋是一種網(wǎng)絡(luò)設(shè)備,可以擴(kuò)展一個(gè)lan或連接多個(gè)lan,使得許多
網(wǎng)絡(luò)設(shè)備和工作站能連接在一起。
2.路由器:與網(wǎng)橋相比路由器運(yùn)作在更高的層的網(wǎng)絡(luò)通信上,可以使LAN和WAN
引導(dǎo)或路由數(shù)據(jù)到指定目標(biāo)上。
3.網(wǎng)關(guān):網(wǎng)關(guān)可以運(yùn)作在任意網(wǎng)絡(luò)通信層上,網(wǎng)關(guān)最主要的功能是轉(zhuǎn)換協(xié)議與
處理網(wǎng)絡(luò)之間的特定軟件。
《局域網(wǎng)與廣域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)》詳細(xì)介紹了計(jì)算機(jī)網(wǎng)絡(luò)的相關(guān)定義,對組建機(jī)房局域網(wǎng)有很大的幫助。
讀書筆記6
《局域網(wǎng)組建與維護(hù)》由張記強(qiáng)主編詳細(xì)介紹了局域網(wǎng)組成與組建方案,局域網(wǎng)的結(jié)構(gòu)類型與設(shè)計(jì)方案。簡述了局域網(wǎng)的一些基本內(nèi)容,包括局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)、局域網(wǎng)的傳輸介子、局域網(wǎng)的標(biāo)準(zhǔn)。還有組建局域網(wǎng)所需的一些硬件設(shè)備如:雙絞線、光纜、網(wǎng)卡、集線器、中繼器、路由器、網(wǎng)橋、網(wǎng)關(guān)等。最后介紹了局域網(wǎng)組建操作系統(tǒng)的選擇。書中還詳細(xì)介紹了對等網(wǎng)絡(luò)的知識,對等網(wǎng)具有以下特點(diǎn):對等網(wǎng)絡(luò)計(jì)算機(jī)之間的關(guān)系是平等的,對等網(wǎng)絡(luò)的資源是分布在每一臺計(jì)算機(jī)上的、對等網(wǎng)容易建立和操作同時(shí)對等網(wǎng)也有資源查找困難、對等網(wǎng)中同步使用的計(jì)算機(jī)性能下降。對等網(wǎng)主要用于大的網(wǎng)絡(luò)的一個(gè)子網(wǎng)中,用在有限信息技術(shù)預(yù)算和有限信息共享需求的地方,例如學(xué)校宿舍、鄰居之間。
讀書筆記7
《計(jì)算機(jī)網(wǎng)絡(luò)工程概論》由王寶智主編,高等教育出版社出版。《計(jì)算機(jī)網(wǎng)絡(luò)工程概論》主要簡述計(jì)算機(jī)網(wǎng)絡(luò)的知識體系,計(jì)算機(jī)網(wǎng)絡(luò)的基本原理和概念,計(jì)算機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu)、主城設(shè)備、結(jié)構(gòu)和類型,還介紹了計(jì)算機(jī)網(wǎng)絡(luò)工程的技術(shù)基礎(chǔ)、講述了以太網(wǎng)系列技術(shù)基礎(chǔ)、無線局域網(wǎng)、TCP/IP路由協(xié)議、接入網(wǎng)和交換網(wǎng)技術(shù)、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)管理技術(shù)基礎(chǔ)、協(xié)議和系統(tǒng)。最
后介紹了計(jì)算機(jī)網(wǎng)絡(luò)工程體系結(jié)構(gòu)設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、VLAN設(shè)計(jì)、通信網(wǎng)設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)和網(wǎng)絡(luò)平臺選型。
這本書重點(diǎn)介紹了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)協(xié)議TCP/IP。IP地址是IP協(xié)議使用的地址,它只明發(fā)送IP數(shù)據(jù)包的IP協(xié)議實(shí)體和接收IP數(shù)據(jù)包的IP協(xié)議實(shí)體。
書中還介紹的網(wǎng)絡(luò)操作系統(tǒng)的一些類型和功能。計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)用戶與計(jì)算機(jī)網(wǎng)絡(luò)之間的接口。
讀書筆記8
《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)用教程》首先介紹了什么是計(jì)算機(jī)網(wǎng)絡(luò),計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展簡史,計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),計(jì)算機(jī)網(wǎng)絡(luò)的分類,計(jì)算機(jī)網(wǎng)絡(luò)通信基礎(chǔ),網(wǎng)絡(luò)體系結(jié)構(gòu)、tcp/ip協(xié)議體系、計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng),internet接入、計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容。
1946年第一代計(jì)算機(jī)誕生。20世紀(jì)80年代微型計(jì)算機(jī)出現(xiàn),1994年internet開始進(jìn)入商業(yè)化。
計(jì)算機(jī)網(wǎng)絡(luò)是地理上分散的多臺獨(dú)立自主的計(jì)算機(jī)遵循約定的通信協(xié)議,通過軟、硬件互聯(lián)實(shí)現(xiàn)交互通信、資源共享、信息交換、協(xié)同工作以及在線處理等功能。
計(jì)算機(jī)網(wǎng)絡(luò)由客戶機(jī),工作站,網(wǎng)絡(luò)接口卡,網(wǎng)絡(luò)操作系統(tǒng),主機(jī),節(jié)點(diǎn),協(xié)議數(shù)據(jù)包,傳輸介質(zhì)等組成。
計(jì)算機(jī)網(wǎng)絡(luò)主要有共享資源,數(shù)據(jù)通信,分布式數(shù)據(jù)處理。
通過閱讀《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)用教程》為機(jī)房局域網(wǎng)組建提供了大量的理論基礎(chǔ)。
第四篇:無限局域網(wǎng)技術(shù)分析與探討 畢業(yè)論文
JIU JIANG UNIVERSITY
畢 業(yè) 論 文
題 目: 無線局域網(wǎng)技術(shù)分析與探討 院 系: 信息科學(xué)與技術(shù)學(xué)院 專 業(yè): 網(wǎng)絡(luò)系統(tǒng)管理 姓 名: 年 級: 指導(dǎo)教師:
二零一一年十一月二十日
摘 要...........................................................2 目 錄?????????????????????????????.3 第一章?????????????????????????????5 1.1 選題背景???????????????????????? 5 第二章 無線局域網(wǎng)??????????????????????..6
2.1 簡單的家庭無線局域網(wǎng)?????????????????? 6 2.2 無線橋接???????????????????????? 6 2.3 中型無線局域網(wǎng)?????????????????????.7 2.4 大型可交換局域網(wǎng)????????????????????.7 2.5 無線局域網(wǎng)絡(luò)應(yīng)用???????????????????? 8 2.6 無線局域網(wǎng)的優(yōu)點(diǎn)???????????????????? 8 2.7 無線局域網(wǎng)的不足之處?????????????????? 9 第三章 無線技術(shù)??????????????????????? 10 3.1 技術(shù)要求???????????????????????? 10 3.2 硬件設(shè)備???????????????????????? 10 3.3 展頻技術(shù)???????????????????????? 11 3.3.1 跳頻技術(shù)??????????????????????.11 3.3.2 直接序列展頻技術(shù)??????????????????.11 3.4 FHSS VS DSSS調(diào)變差異??????????????????.11 3.5 DSSS VS FHSS之優(yōu)劣 ??????????????????.11 第四章 IEEE 802.11之相關(guān)信息 ????????????????.13 4.1 2.4GHz Direct Sequence Spread Spectrum?????????? 13 4.2 2.4GHz Frequency Hopping Spread Spectrum????????? 13 4.3 Diffused IR?????????????????????? 13 第五章 無線局域網(wǎng)絡(luò)產(chǎn)品簡介?????????????????.14 5.1 Access Point ??????????????????????14 5.2 Wireless LAN Card????????????????????14 5.3 Antenna????????????????????????.14 5.4 產(chǎn)品Q&A????????????????????????.14 5.5 無線局域網(wǎng)絡(luò)之應(yīng)用??????????????????..17 第六章 無線局域網(wǎng)關(guān)鍵技術(shù)與展望??????????????? 18 6.1 公共WLAN組網(wǎng)方案???????????????????.18
6.1.1 接入點(diǎn)(AP)???????????????????.18 6.1.2 接入控制點(diǎn)(AC)?????????????????? 18 6.1.3 遠(yuǎn)程撥號接入認(rèn)證(RADIUS)服務(wù)器??????????.18 6.1.4 認(rèn)證服務(wù)器(AS)??????????????????.18 6.1.5門戶網(wǎng)站服務(wù)器(Portal Server)????????????18 6.2 公網(wǎng)WLAN用戶接入的相關(guān)解決方案?????????????18 6.2.1 1.OWLAN的用戶認(rèn)證?????????????????.18 6.2.2 802.1x用戶認(rèn)證方式中的訪問實(shí)體??????????? 19 6.3 802.1x認(rèn)證方式?????????????????????19
6.3.1 EAP-MD5認(rèn)證方式??????????????????.19 6.3.2 EAP-SIM認(rèn)證方式??????????????????.19 6.3.3 EAP-TLS認(rèn)證方式?????????????????...19 6.3.4 EAP-TTLS鑒權(quán)認(rèn)證方式???????????????..19 6.4 OWLAN的數(shù)據(jù)安全????????????????????.20 第七章 WLAN中的VPN??????????????????????21 7.1 由用戶端發(fā)起的VPN連接????????????????? 21 7.2 由AC端發(fā)起的VPN連接?????????????????? 21 7.3 802.11i標(biāo)準(zhǔn)?????????????????????...21 7.4 基本的WLAN安全????????????????????..22 7.5 IEEE 802.11的安全技術(shù)?????????????????.22 7.5.1 認(rèn)證.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i標(biāo)準(zhǔn)???????????????????? 23 7.7 VPN技術(shù)???????????????????????? 24 7.8 WAPI?????????????????????????? 24 7.9 WLAN的切換與漫游????????????????????25 7.9.1 切換與漫游??????????????????????? 25 7.9.2 移動IP?????????????????????????25 結(jié)語?????????????????????????????.26 致謝?????????????????????????????.27 參考文獻(xiàn)???????????????????????????.28
第一章
緒論
1.1 選題背景
對于局域網(wǎng)絡(luò)管理主要工作之一,對于鋪設(shè)電纜或是檢查電纜是否斷線這種耗時(shí)的工作,很容易令人煩躁,也不容易在短時(shí)間內(nèi)找出斷線所在。再者,由于配合企業(yè)及應(yīng)用環(huán)境不斷的更新與發(fā)展,原有的企業(yè)網(wǎng)絡(luò)必須配合重新布局,需要重新安裝網(wǎng)絡(luò)線路,雖然電纜本身并不貴,可是請技術(shù)人員來配線的成本很高,尤其是老舊的大樓,配線工程費(fèi)用就更高了。因此,架設(shè)無線局域網(wǎng)絡(luò)就成為最佳解決方案。
無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)概述:基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)允許在局域網(wǎng)絡(luò)環(huán)境中使用未授權(quán)的2.4或5.3GHz射頻波段進(jìn)行無線連接。它們應(yīng)用廣泛,從家庭到企業(yè)再到Internet接入熱點(diǎn)。
第二章 無線局域網(wǎng)
圖一
2.1 簡單的家庭無線局域網(wǎng)
簡單的家庭無線LAN:在家庭無線局域網(wǎng)最通用和最便宜的例子,如圖1所示,一臺設(shè)備作為防火墻,路由器,交換機(jī)和無線接入點(diǎn)。這些無線路由器可以提供廣泛的功能,例如:保護(hù)家庭網(wǎng)絡(luò)遠(yuǎn)離外界的入侵。允許共享一個(gè)ISP(Internet服務(wù)提供商)的單一IP地址。可為4臺計(jì)算機(jī)提供有線以太網(wǎng)服務(wù),但是也可以和另一個(gè)以太網(wǎng)交換機(jī)或集線器進(jìn)行擴(kuò)展。為多個(gè)無線計(jì)算機(jī)作一個(gè)無線接入點(diǎn)。通常基本模塊提供2.4GHz802.11b/g操作的Wi-Fi,而更高端模塊將提供雙波段Wi-Fi或高速M(fèi)IMO性能。雙波段接入點(diǎn)提供2.4GHz802.11b/g和5.3GHz802.11a性能,而MIMO接入點(diǎn)在2.4GHz范圍中可使用多個(gè)射頻以提高性能。雙波段接入點(diǎn)本質(zhì)上是兩個(gè)接入點(diǎn)為一體并可以同時(shí)提供兩個(gè)非干擾頻率,而更新的MIMO設(shè)備在2.4GHz范圍或更高的范圍提高了速度。2.4GHz范圍經(jīng)常擁擠不堪而且由于成本問題,廠商避開了雙波段MIMO設(shè)備。雙波段設(shè)備不具有最高性能或范圍,但是允許你在相對不那么擁擠的5.3GHz范圍操作,并且如果兩個(gè)設(shè)備在不同的波段,允許它們同時(shí)全速操作。家庭網(wǎng)絡(luò)中的例子并不常見。該拓?fù)滟M(fèi)用更高但是提供了更強(qiáng)的靈活性。路由器和無線設(shè)備可能不提供高級用戶希望的所有特性。在這個(gè)配置中,此類接入點(diǎn)的費(fèi)用可能會超過一個(gè)相當(dāng)?shù)穆酚善骱虯P一體機(jī)的價(jià)格,歸因于市場中這種產(chǎn)品較少,因?yàn)槎鄶?shù)人喜歡組合功能。一些人需要更高的終端路由器和交換機(jī),因?yàn)檫@些設(shè)備具有諸如帶寬控制,千兆以太網(wǎng)這樣的特性,以及具有允許他們擁有需要的靈活性的標(biāo)準(zhǔn)設(shè)計(jì)。
2.1 無線橋接
圖二
無線橋接:當(dāng)有線連接太昂貴或者需要為有線連接建立第二條冗余連接以作備份時(shí),無線橋接允許在建筑物之間進(jìn)行無線連接。802.11設(shè)備通常用來進(jìn)行這項(xiàng)應(yīng)用以及無線光纖橋。802.11基本解決方案一般更便宜并且不需要在天線之間有直視性,但是比光纖解決方案要慢很多。802.11解決方案通常在5至30mbps范圍內(nèi)操作,而光纖解決方案在100至1000mbps范圍內(nèi)操作。這兩種橋操作距離可以超過10英里,基于802.11的解決方案可達(dá)到這個(gè)距離,而且它不需要線纜連接。但基于802.11的解決方案的缺點(diǎn)是速度慢和存在干擾,而光纖解決方案不會。光纖解決方案的缺點(diǎn)是價(jià)格高以及兩個(gè)地點(diǎn)間不具有直視性。
2.3 中型無線局域網(wǎng)
圖五
中型無線局域網(wǎng):中等規(guī)模的企業(yè)傳統(tǒng)上使用一個(gè)簡單的設(shè)計(jì),他們簡單地向所有需要無線覆蓋的設(shè)施提供多個(gè)接入點(diǎn)。這個(gè)特殊的方法可能是最通用的,因?yàn)樗肟诔杀镜停M管一旦接入點(diǎn)的數(shù)量超過一定限度它就變得難以管理。大多數(shù)這類無線局域網(wǎng)允許你在接入點(diǎn)之間漫游,因?yàn)樗鼈兣渲迷谙嗤囊蕴泳W(wǎng)和SSID中。從管理的角度看,每個(gè)接入點(diǎn)以及連接到它的接口都被分開管理。在更高級的支持多個(gè)虛擬SSID的操作中,VLAN通道被用來連接訪問點(diǎn)到多個(gè)子網(wǎng),但需要以太網(wǎng)連接具有可管理的交換端口。這種情況中的交換機(jī)需要進(jìn)行配置,以在單一端口上支持多個(gè)VLAN。盡管使用一個(gè)模板配置多個(gè)接入點(diǎn)是可能的,但是當(dāng)固件和配置需要進(jìn)行升級時(shí),管理大量的接入點(diǎn)仍會變得困難。從安全的角度來看,每個(gè)接入點(diǎn)必須被配置為能夠處理其自己的接入控制和認(rèn)證。RADIUS服務(wù)器將這項(xiàng)任務(wù)變得更輕松,因?yàn)榻尤朦c(diǎn)可以將訪問控制和認(rèn)證委派給中心化的RADIUS服務(wù)器,這些服務(wù)器可以輪流和諸如Windows活動目錄這樣的中央用戶數(shù)據(jù)庫進(jìn)行連接。但是即使如此,仍需要在每個(gè)接入點(diǎn)和每個(gè)RADIUS服務(wù)器之間建立一個(gè)RADIUS關(guān)聯(lián),如果接入點(diǎn)的數(shù)量很多會變得很復(fù)雜。
2.4 大型可交換無線局域網(wǎng)
圖六
大型可交換無線局域網(wǎng):交換無線局域網(wǎng)是無線連網(wǎng)最新的進(jìn)展,簡化的接入點(diǎn)通過幾個(gè)中心化的無線控制器進(jìn)行控制。數(shù)據(jù)通過Cisco,ArubaNetworks,Symbol和TrapezeNetworks這樣的制造商的中心化無線控制器進(jìn)行傳輸和管理。這種情況下的接入點(diǎn)具有更簡單的設(shè)計(jì),用來簡化復(fù)雜的操作系統(tǒng),而且更復(fù)雜的邏輯被嵌入在無線控制器中。接入點(diǎn)通常沒有物理連接到無線控制器,但是它們邏輯上通過無線控制器交換和路由。要支持多個(gè)VLAN,數(shù)據(jù)以某種形式被封裝在隧道中,所以即使設(shè)備處在不同的子網(wǎng)中,但從接入點(diǎn)到無線控制器有一個(gè)直接的邏輯連接。無線局域網(wǎng)
從管理的角度來看,管理員只需要管理可以輪流控制數(shù)百接入點(diǎn)的無線局域網(wǎng)控制器。這些接入點(diǎn)可以使用某些自定義的DHCP屬性以判斷無線控制器在哪里,并且自動連結(jié)到它成為控制器的一個(gè)擴(kuò)充。這極大地改善了交換無線局域網(wǎng)的可伸縮性,因?yàn)轭~外接入點(diǎn)本質(zhì)上是即插即用的。要支持多個(gè)VLAN,接入點(diǎn)不再在它連接的交換機(jī)上需要一個(gè)特殊的VLAN隧道端口,并且可以使用任何交換機(jī)甚至易于管理的集線器上的任何老式接入端口。VLAN數(shù)據(jù)被封裝并發(fā)送到中央無線控制器,它處理到核心網(wǎng)絡(luò)交換機(jī)的單一高速多VLAN連接。安全管理也被加固了,因?yàn)樗性L問控制和認(rèn)證在中心化控制器進(jìn)行處理,而不是在每個(gè)接入點(diǎn)。只有中心化無線控制器需要連接到RADIUS服務(wù)器,這些服務(wù)器在圖6顯示的例子中輪流連接到活動目錄。交換無線局域網(wǎng)的另一個(gè)好處是低延遲漫游。這允許VoIP和Citrix這樣的對延遲敏感的應(yīng)用。切換時(shí)間會發(fā)生在通常不明顯的大約50毫秒內(nèi)。傳統(tǒng)的每個(gè)接入點(diǎn)被獨(dú)立配置的無線局域網(wǎng)有1000毫秒范圍內(nèi)的切換時(shí)間,這會破壞電話呼叫并丟棄無線設(shè)備上的應(yīng)用會話。交換無線局域網(wǎng)的主要缺點(diǎn)是由于無線控制器的附加費(fèi)用而導(dǎo)致的額外成本。但是在大型無線局域網(wǎng)配置中,這些附加成本很容易被易管理性所抵消
2.5 無線局域網(wǎng)絡(luò)應(yīng)用
無線局域網(wǎng)絡(luò)應(yīng)用:大樓之間:大樓之間建構(gòu)網(wǎng)絡(luò)的連結(jié),取代專線,簡單又便宜。餐飲及零售:餐飲服務(wù)業(yè)可使用無線局域網(wǎng)絡(luò)產(chǎn)品,直接從餐桌即可輸入并傳送客人點(diǎn)菜內(nèi)容至廚房、柜臺。零售商促銷時(shí),可使用無線局域網(wǎng)絡(luò)產(chǎn)品設(shè)置臨時(shí)收銀柜臺。醫(yī)療:使用附無線局域網(wǎng)絡(luò)產(chǎn)品的手提式計(jì)算機(jī)取得實(shí)時(shí)信息,醫(yī)護(hù)人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等,而提升對傷患照顧的品質(zhì)。企業(yè):當(dāng)企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡(luò)產(chǎn)品時(shí),不管他們在辦公室的任何一個(gè)角落,有無線局域網(wǎng)絡(luò)產(chǎn)品,就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡(luò)瀏覽。倉儲管理:一般倉儲人員的盤點(diǎn)事宜,透過無線網(wǎng)絡(luò)的應(yīng)用,能立即將最新的資料輸入計(jì)算機(jī)倉儲系統(tǒng)。貨柜集散場:一般貨柜集散場的橋式起重車,可于調(diào)動貨柜時(shí),將實(shí)時(shí)信息傳回office,以利相關(guān)作業(yè)之逐行。監(jiān)視系統(tǒng):一般位于遠(yuǎn)方且需受監(jiān)控現(xiàn)場之場所,由于布線之困難,可藉由無線網(wǎng)絡(luò)將遠(yuǎn)方之影像傳回主控站。展示會場:諸如一般的電子展,計(jì)算機(jī)展,由于網(wǎng)絡(luò)需求極高,而且布線又會讓會場顯得凌亂,因此若能使用無線網(wǎng)絡(luò),則是再好不過的選擇。
2.6 無線局域網(wǎng)的優(yōu)點(diǎn)
無線局域網(wǎng)的優(yōu)點(diǎn):(1)靈活性和移動性。在有線網(wǎng)絡(luò)中,網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)位置的限制,而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個(gè)位置都可以接入網(wǎng)絡(luò)。無線局域網(wǎng)另一個(gè)最大的優(yōu)點(diǎn)在于其移動性,連接到無線局域網(wǎng)的用戶可以移動且能同時(shí)與網(wǎng)絡(luò)保持連接。(2)安裝便捷。無線局域網(wǎng)可以免去或最大程度地減少網(wǎng)絡(luò)布線的工作量,一般只要安裝一個(gè)或多個(gè)接入點(diǎn)設(shè)備,就
可建立覆蓋整個(gè)區(qū)域的局域網(wǎng)絡(luò)。(3)易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整。對于有線網(wǎng)絡(luò)來說,辦公地點(diǎn)或網(wǎng)絡(luò)拓?fù)涞母淖兺ǔR馕吨匦陆ňW(wǎng)。重新布線是一個(gè)昂貴、費(fèi)時(shí)、浪費(fèi)和瑣碎的過程,無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。(4)故障定位容易。有線網(wǎng)絡(luò)一旦出現(xiàn)物理故障,尤其是由于線路連接不良而造成的網(wǎng)絡(luò)中斷,往往很難查明,而且檢修線路需要付出很大的代價(jià)。無線網(wǎng)絡(luò)則很容易定位故障,只需更換故障設(shè)備即可恢復(fù)網(wǎng)絡(luò)連接。(5)易于擴(kuò)展。無線局域網(wǎng)有多種配置方式,可以很快從只有幾個(gè)用戶的小型局域網(wǎng)擴(kuò)展到上千用戶的大型網(wǎng)絡(luò),并且能夠提供節(jié)點(diǎn)間“漫游”等有線網(wǎng)絡(luò)無法實(shí)現(xiàn)的特性。由于無線局域網(wǎng)有以上諸多優(yōu)點(diǎn),因此其發(fā)展十分迅速。最近幾年,無線局域網(wǎng)已經(jīng)在企業(yè)、醫(yī)院、商店、工廠和學(xué)校等場合得到了廣泛的應(yīng)用。
2.7 無線局域網(wǎng)的不足之處
無線局域網(wǎng)的不足之處:無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實(shí)用的同時(shí),也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個(gè)方面:(1)性能。無線局域網(wǎng)是依靠無線電波進(jìn)行傳輸?shù)摹_@些電波通過無線發(fā)射裝置進(jìn)行發(fā)射,而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,所以會影響網(wǎng)絡(luò)的性能。(2)速率。無線信道的傳輸速率與有線信道相比要低得多。目前,無線局域網(wǎng)的最大傳輸速率為150Mbit/s,只適合于個(gè)人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。(3)安全性。本質(zhì)上無線電波不要求建立物理的連接通道,無線信號是發(fā)散的。從理論上講,很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號,造成通信信息泄漏。
第三章 無線技術(shù)
3.1 技術(shù)要求
由于無線局域網(wǎng)需要支持高速、突發(fā)的數(shù)據(jù)業(yè)務(wù),在室內(nèi)使用還需要解決多徑衰落以及各子網(wǎng)間串?dāng)_等問題。具體來說,無線局域網(wǎng)必須實(shí)現(xiàn)以下技術(shù)要求:
1.可靠性:無線局域網(wǎng)的系統(tǒng)分組丟失率應(yīng)該低于10-5,誤碼率應(yīng)該低于10-8。
2.兼容性:對于室內(nèi)使用的無線局域網(wǎng),應(yīng)盡可能使其跟現(xiàn)有的有線局域網(wǎng)在網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)軟件上相互兼容。
3.?dāng)?shù)據(jù)速率:為了滿足局域網(wǎng)業(yè)務(wù)量的需要,無線局域網(wǎng)的數(shù)據(jù)傳輸速率應(yīng)該在1Mbps以上。
4.通信保密:由于數(shù)據(jù)通過無線介質(zhì)在空中傳播,無線局域網(wǎng)必須在不同層次采取有效的措施以提高通信保密和數(shù)據(jù)安全性能。
5.移動性:支持全移動網(wǎng)絡(luò)或半移動網(wǎng)絡(luò)。
6.節(jié)能管理:當(dāng)無數(shù)據(jù)收發(fā)時(shí)使站點(diǎn)機(jī)處于休眠狀態(tài),當(dāng)有數(shù)據(jù)收發(fā)時(shí)再激活,從而達(dá)到節(jié)省電力消耗的目的。
7.小型化、低價(jià)格:這是無線局域網(wǎng)得以普及的關(guān)鍵。
8.電磁環(huán)境:無線局域網(wǎng)應(yīng)考慮電磁對人體和周邊環(huán)境的影響問題。
3.2 硬件設(shè)備
1.無線網(wǎng)卡。無線網(wǎng)卡的作用和以太網(wǎng)中的網(wǎng)卡的作用基本相同,它作為無線局域網(wǎng)的接口,能夠?qū)崿F(xiàn)無線局域網(wǎng)各客戶機(jī)間的連接與通信。無線局域網(wǎng)
2.無線AP。AP是Access Point的簡稱,無線AP就是無線局域網(wǎng)的接入點(diǎn)、無線網(wǎng)關(guān),它的作用類似于有線網(wǎng)絡(luò)中的集線器。
3.無線天線。當(dāng)無線網(wǎng)絡(luò)中各網(wǎng)絡(luò)設(shè)備相距較遠(yuǎn)時(shí),隨著信號的減弱,傳輸速率會明顯下降以致無法實(shí)現(xiàn)無線網(wǎng)絡(luò)的正常通信,此時(shí)就要借助于無線天線對所接收或發(fā)送的信號進(jìn)行增強(qiáng) 開源項(xiàng)目
使用開源軟件無線電GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的贊助下編寫802.11 代碼。GNU Radio 是免費(fèi)的軟件開發(fā)工具套件。它提供信號運(yùn)行和處理模塊,用它可以在易制作的低成本的射頻(RF)硬件和通用微處理器上實(shí)現(xiàn)軟件定義無線電。這套套件廣泛用于業(yè)余愛好者,學(xué)術(shù)機(jī)構(gòu)和商
業(yè)機(jī)構(gòu)用來研究和構(gòu)建無線通信系統(tǒng)。GNU Radio 的應(yīng)用主要是用Python 編程語言來編寫的。但是其核心信號處理模塊是C++在帶浮點(diǎn)運(yùn)算的微處理器上構(gòu)建的。因此,開發(fā)者能夠簡單快速的構(gòu)建一個(gè)實(shí)時(shí)、高容量的無線通信系統(tǒng)。盡管其主要功用不是仿真器,GNU Radio 在沒有射頻RF 硬件部件的境況下支持對預(yù)先存儲和(信號發(fā)生器)生成的數(shù)據(jù)進(jìn)行信號處理的算法的研究。
3.3 展頻技術(shù)
展頻技術(shù)的無線局域網(wǎng)絡(luò)產(chǎn)品是依據(jù)FCC(Federal Communications Committee;美國聯(lián)邦通訊委員會)規(guī)定的ISM(Industrial Scientific,and Medical),頻率范圍開放在902M~928MHz及2.4G~2.484GHz兩個(gè)頻段,所以并沒有所謂使用授權(quán)的限制。展頻技術(shù)主要又分為「跳頻技術(shù)」及「直接序列」兩種方式。而此兩種技術(shù)是在第二次世界大戰(zhàn)中軍隊(duì)所使用的技術(shù),其目的是希望在惡劣的戰(zhàn)爭環(huán)境中,依然能保持通信信號的穩(wěn)定性及保密性。
3.3.1跳頻技術(shù)(FHSS)
跳頻技術(shù)(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同時(shí)的情況下,接受兩端以特定型式的窄頻載波來傳送訊號,對于一個(gè)非特定的接受器,F(xiàn)HSS所產(chǎn)生的跳動訊號對它而言,也只算是脈沖噪聲。FHSS所展開的訊號可依特別設(shè)計(jì)來規(guī)避噪聲或One-to-Many的非重復(fù)的頻道,并且這些跳頻訊號必須遵守FCC的要求,使用75個(gè)以上的跳頻訊號、且跳頻至下一個(gè)頻率的最大時(shí)間間隔(Dwell Time)為400ms。
3.3.2直接序列展頻技術(shù)(DSSS)
直接序列展頻技術(shù)(Direct Sequence Spread Spectrum;DSSS)是將原來的訊號「1」或「0」,利用10個(gè)以上的chips來代表「1」或「0」位,使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個(gè)bit使用多少個(gè)chips稱做Spreading chips,一個(gè)較高的Spreading chips可以增加抗噪聲干擾,而一個(gè)較低Spreading Ration可以增加用戶的使用人數(shù)。
基本上,在DSSS的Spreading Ration是相當(dāng)少的,例如在幾乎所有2.4GHz的無線局域網(wǎng)絡(luò)產(chǎn)品所使用的Spreading Ration皆少于20。而在IEEE802.11的標(biāo)準(zhǔn)內(nèi),其Spreading Ration大約在100左右。
3.4 FHSS VS DSSS調(diào)變差異
無線局域網(wǎng)絡(luò)在性能和能力上的差異,主要是取決于所采用的是FHSS還是DSSS來實(shí)現(xiàn)、以及所采用的調(diào)變方式。然而,調(diào)變方式的選擇并不完全是隨意的,像FHSS并不強(qiáng)求某種特定的調(diào)變方式,而且,大部分既有的FHSS都是使用某些不同形式的GFSK,但是,IEEE 802.11草案規(guī)定要使用GFSK。至于DSSS則過使用可變相位調(diào)變(如:PSK、QPSK、DQPSK),可以得到最高的可靠性以及表現(xiàn)高數(shù)據(jù)速率性能。在抗噪聲能力卜方面,采用QPSK調(diào)變方式的DSSS與采用FSK調(diào)變方式的FHSS相比,可以發(fā)現(xiàn)這兩種不同技術(shù)的無線局域網(wǎng)絡(luò)各自擁有的優(yōu)勢。FHSS系統(tǒng)之所以選用FSK調(diào)變方式的原因是因?yàn)镕HSS和FSK內(nèi)在架構(gòu)的簡單性,F(xiàn)SK無線訊號可使用非線性功率放大器,但這卻犧牲了作用范圍和抗噪聲能力。而DSSS系統(tǒng)需要稍為貴一些的線性放大器,但卻可以獲得更多的回饋。
3.5 DSSS VS FHSS之優(yōu)劣
截至目前,若以現(xiàn)有的產(chǎn)品參數(shù)詳加比較,可以看出DSSS技術(shù)在需要最佳可靠性的應(yīng)用中具有較佳的優(yōu)勢,而FHSS技術(shù)在需要低成本的應(yīng)用中較占優(yōu)勢。雖然我們可以在網(wǎng)際網(wǎng)絡(luò)內(nèi)看到各家廠商各說各話,但真正需要注意的是廠商在DSSS和FHSS展頻技術(shù)的選擇,必須要審慎端視產(chǎn)品在市場的定位而定,因?yàn)樗梢越鉀Q無線局域網(wǎng)絡(luò)的傳輸能力及特性,包括:抗干擾能力、使用距離范圍、頻寬大小、及傳輸資料的大小。一般而言,DSSS由于采用全頻帶傳送資料,速度較快,未來可開發(fā)出更高傳輸頻率的潛力也較大。DSSS技術(shù)適用于固定環(huán)境中、或?qū)鬏斊焚|(zhì)要求較高的應(yīng)用,因此,無線廠房、無線醫(yī)院、網(wǎng)絡(luò)社區(qū)、分校連網(wǎng)等應(yīng)用,大都采用DSSS無線技術(shù)產(chǎn)品。FHSS則大都使用于需快速移動的端點(diǎn),如行動電話在無線傳輸技術(shù)部分即是采用FHSS技術(shù);且因FHSS傳輸范圍較小,所以往往在相同的傳輸環(huán)境下,所需要的FHSS技術(shù)設(shè)備要比DSSS技術(shù)設(shè)備多,在整體價(jià)格上,可能也會比較高。以目前企業(yè)需求來說,高速移動端點(diǎn)應(yīng)用較少,而大多較注重傳輸速率、及傳輸?shù)姆€(wěn)定性,所以未來無線網(wǎng)絡(luò)產(chǎn)品發(fā)展應(yīng)會以DSSS技術(shù)為主流。消費(fèi)者選購無線局域網(wǎng)絡(luò)時(shí)需要特別注意下列的特性,以決定自己合適的產(chǎn)品,包括:
◎ 涵蓋范圍
◎ 傳輸率
◎ 受Multipath影響程度
◎ 提供資料整合程度
◎ 和有線的基礎(chǔ)設(shè)施之間的互操性
◎ 和其它無線的基礎(chǔ)設(shè)施之間的互操性
◎ 抗干擾程度
◎ 簡單、易操作
◎ 保密能力
◎ 低成本
◎ 電流消耗情況。
第四章 IEEE 802.11之相關(guān)信息
因應(yīng)無線局域網(wǎng)絡(luò)的強(qiáng)烈需求,美國的國際電子電機(jī)學(xué)會于1990年11月召開了802.11委員會,開始制定無線局域網(wǎng)絡(luò)標(biāo)準(zhǔn)。承襲IEEE802系列,802.11規(guī)范了無線局域網(wǎng)絡(luò)的介質(zhì)存取控制(Medium Access Control ;MAC)層及實(shí)體(Physical ;PHY)層。此較特別的是由于實(shí)際無線傳輸?shù)姆绞讲煌琁EEE802.11在統(tǒng)一的MAC層下面規(guī)范了各種不同的實(shí)體層,以因應(yīng)目前的情況及未來的技術(shù)發(fā)展。目前802.11中制訂了三種介質(zhì)的實(shí)體,為了未來技術(shù)的擴(kuò)充性,也都提供了多重速率(Mulitiple Rates)的功能。這三個(gè)實(shí)體分別是:
4.1 2.4GHz Direct Sequence Spread Spectrum
速率1Mbps時(shí)用DBPSK調(diào)變(Difference By Phase Shift Keying)速率2Mbps 時(shí)用DQPSK調(diào)變(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用長度11的Barker碼當(dāng)展頻PN碼
4.2 2.4GHz Frequency Hopping Spread Spectrum
速率1Mbps時(shí)用2-level GFSK調(diào)變,接收敏感度–80dbm, 速率2Mbps時(shí)用4-level GFSK調(diào)變,接收敏感度–75dbm, 每秒跳2.5個(gè) hops Hopping Sequence在歐美有22組,在日本有4組
4.3 Diffused IR
速率1Mbps時(shí)用16ppm調(diào)變,接收敏感度2 ×10-5mW/平方公分 速率2Mbps時(shí)用4ppm調(diào)變,接收敏感度8 ×10-5mW/平方公分 波長850nm~950nm
其中前兩種在2.4GHz的射頻方式是依據(jù)ISM頻段以展頻技術(shù)可做不須授權(quán)使用的規(guī)定,這個(gè)頻段的使用在全世界包含美國、歐洲、日本及中國臺灣等主要國家和地區(qū)都有開放。第三項(xiàng)的紅外線由于目前使用上沒有任何管制(除了安全上的規(guī)范),因此也是自由使用的。IEEE 802.11 MAC的基本存取方式稱為CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance),與以太網(wǎng)絡(luò)所用的CSMA/CD(Collision Detection)變成了碰撞防止(Collision Avoidance),這一字之差是很大的。因?yàn)樵跓o線傳輸中感測載波及碰撞偵測都是不可靠的,感測載波有困難。另外通常無線電波經(jīng)天線送出去時(shí),自己是無法監(jiān)視到的,因此碰撞偵測實(shí)質(zhì)上也做不到。在802.11中感測載波是由兩種方式來達(dá)成,第一是實(shí)際去聽是否有電波在傳,及加上優(yōu)先權(quán)的觀念。另一個(gè)是虛擬的感測載波,告知大家待會有多久的時(shí)間我們要傳東西,以防止碰撞。
第五章 無線局域網(wǎng)絡(luò)之產(chǎn)品簡介
5.1 Access Point
一般俗稱為網(wǎng)絡(luò)橋接器,顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁,因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外,AP本身又兼具有網(wǎng)管之功能,可針對接有無線網(wǎng)絡(luò)卡之PC作必要之控管。
5.2 Wireless LAN Card
一般稱為無線網(wǎng)絡(luò)卡,其與傳統(tǒng)之Ethernet網(wǎng)絡(luò)卡的差別是在于前者之資料傳送乃是藉由無線電波,而后者則是透過一般的網(wǎng)絡(luò)線。目前無線網(wǎng)絡(luò)卡的規(guī)格大致可分成2M,5M,11M,三種,而其適用之界面可分為PCMCIA,ISA,PCI三種界面。
5.3 Antenna
一般稱為天線,此天線與一般電視,火腿族,大哥大所用之天線不同,其原因乃是因?yàn)轭l率不同所致,WLAN所用之頻率為較高2.4GHz之頻段。天線之功能乃是將source之信號,藉由天線本身的特性而傳送至遠(yuǎn)處,至于能傳多遠(yuǎn),一般除了考慮source的output power強(qiáng)度之外,其另一重要因素乃是天線本身之dBi值,即俗稱的增益值,dB值愈高,相對所能傳達(dá)之距離也更遠(yuǎn)。通常每增加8dB則相對之距離可增至原距離的一半。一般天線有所謂指向性(Uni-direction)與全向性(Omni-direction)兩種,前者較適合于長距離使用,而后者則較適合區(qū)域性之應(yīng)用。
5.4 產(chǎn)品Q & A
Q1:何謂無線網(wǎng)絡(luò)
ANS:一般來講,所謂無線,顧名思義就是利用無線電波來作為資料的傳導(dǎo),而就應(yīng)用層面來講,它與有線網(wǎng)絡(luò)的用途完全相似,兩者最大不同的地方是在于傳輸資料的媒介不同。除此之外,正因它是無線,因此無論是在硬件架設(shè)或使用之機(jī)動性均比有線網(wǎng)絡(luò)要優(yōu)勢許多。
Q2:無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相較之下,有那些優(yōu)點(diǎn) ANS:就使用上它的機(jī)動性,便利性,是有線網(wǎng)絡(luò)所不及,就成本上,它可省下一筆可觀的布線費(fèi)用,修改裝潢費(fèi)用,基本上使用的空間較為彈性許多。
Q3:無線網(wǎng)絡(luò)對人體是否有所影響
ANS:因無線網(wǎng)絡(luò)的發(fā)射功率較一般的大哥大手機(jī)要微弱許多,無線網(wǎng)絡(luò)發(fā)射功率約60~70mW,而大哥大手機(jī)發(fā)射功率約200mW左右,而且使用的方式亦非像手機(jī)一般直接接觸于人體,因此較無安全上之考量。
Q4:若要架構(gòu)一個(gè)無線網(wǎng)絡(luò),其最基本之配備需要有那些
ANS:一般架設(shè)無線網(wǎng)絡(luò)的基本配備就是一片無線網(wǎng)絡(luò)卡及一臺橋接器(AP),如此便能以無線的模式,配合既有的有線架構(gòu)來分享網(wǎng)絡(luò)資源。
Q5:無線網(wǎng)絡(luò)就使用是否會被干擾或影響其它設(shè)備運(yùn)作
ANS:基本上無線網(wǎng)絡(luò)所使用之頻段是屬于ISM 2.4GHz的高頻率范圍,就日常生活,或辦公室等等所用之電器設(shè)備是不會相互干擾,因頻率差異甚多,而且無線網(wǎng)絡(luò)本身共有12個(gè)信道可供調(diào)整,自然干擾的現(xiàn)象就不必?fù)?dān)心。
Q6:何謂ISM頻段
ANS:ISM(Industrial Scientific Medical)Band,此頻段(2.4~2.4835GHz)主要是開放給工業(yè),科學(xué)、醫(yī)學(xué),三個(gè)主要機(jī)構(gòu)使用,該頻段是依據(jù)美國聯(lián)邦通訊委員會(FCC)所定義出來,屬于Free License,并沒有所謂使用授權(quán)的限制。
Q7:何謂展頻(Spread Spectrum)ANS:展頻技術(shù)主要又分為「跳頻技術(shù)」及「直接序列」兩種方式。而此兩種技術(shù)是在第二次世界大戰(zhàn)中軍隊(duì)所使用的技術(shù),其目的是希望在惡劣的戰(zhàn)爭環(huán)境中,依然能保持通信信號的穩(wěn)定性及保密性。對于一個(gè)非特定的接受器,Spread Spectrum所產(chǎn)生的跳動訊號對它而言,只算是脈沖噪聲。因此對整體而言是一種較具安全性的通訊技術(shù)。
Q8:何謂跳頻(Frequency-Hopping Spread Spectrum)ANS:跳頻技術(shù)(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同時(shí)的情況下,接受兩端以特定型式的窄頻載波來傳送訊號,對于一個(gè)非特定的接受器,F(xiàn)HSS所產(chǎn)生的跳動訊號對它而言,只算是脈沖噪聲。FHSS所展開的訊號可依特別設(shè)計(jì)來規(guī)避噪聲或One-to-Many的非重復(fù)的頻道,并且這些跳頻訊號必須遵守FCC的要求,使用75個(gè)以上的跳頻訊號、且跳頻至下一個(gè)頻率的最大時(shí)間間隔(Dwell Time)為400ms。
Q9:何謂直接序列展頻(Direct Sequence Spread Spectrum)ANS:直接序列展頻技術(shù)(Direct Sequence Spread Spectrum;DSSS)是將原來的訊號「1」或「0」,利用10個(gè)以上的chips來代表「1」或「0」位,使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個(gè)bit使用多少個(gè)chips稱做Spreading chips,一個(gè)較高的Spreading chips可以增加抗噪聲干擾,而一個(gè)較低Spreading Ration可以增加用戶的使用人數(shù)。基本上,在DSSS的Spreading Ration是相當(dāng)少的,例如在幾乎所有2.4GHz的無線局域網(wǎng)絡(luò)產(chǎn)品所使用的Spreading Ration皆少于20。而在IEEE 802.11的標(biāo)準(zhǔn)內(nèi),其Spreading Ration只有11,但FCC的規(guī)定是必須大于10,而實(shí)驗(yàn)中,最佳的Spreading Ration大約在100左右。
Q10:無線網(wǎng)絡(luò)所能含蓋的范圍有多廣
ANS:一般無線網(wǎng)絡(luò)所能含蓋的范圍應(yīng)視環(huán)境的開放與否而定,若不加外接天線而言,在視野所及之處約250M,若屬半開放性空間,有隔間之區(qū)域,則約35~50M左右,當(dāng)然若加上外接天線,則距離可達(dá)更遠(yuǎn),此關(guān)系到天線本身之增益而定,因此需視客戶之需求而加以規(guī)劃之。
Q11:無線網(wǎng)絡(luò)于使用之過程其保密性為何
ANS:基本上GEMPLEX之無線網(wǎng)絡(luò)技術(shù)采DSSS系統(tǒng),本身就具有防竊聽之功能,另外再加上資料加密功能(WEP40bits)的雙重防護(hù)下,因此其安全性是相當(dāng)周全。
Q12:何謂橋接器(Access Point)ANS:Access Point,一般俗稱為網(wǎng)絡(luò)橋接器,顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁,因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外,AP本身又兼具有網(wǎng)管之功能,可針對接有無線網(wǎng)絡(luò)卡之PC作必要之控管。
Q13:Access Point在使用上可同時(shí)支持多少工作站
ANS:理論上是可以支持到一個(gè)CLASS C,但為了讓工作站本身有足夠之頻寬可利用,一般建議一臺AP約支持20~30左右之工作站為最佳狀態(tài)。
Q14:何謂漫游(Roaming)功能
ANS:如同大哥大一般,可漫游在不同的基地臺之間,無線網(wǎng)絡(luò)工作站亦可漫游在不同的AP之間,只要AP群的ESSID
定義一樣,則自然無線網(wǎng)絡(luò)工作站可自由的漫游于無線電波所能含蓋之區(qū)域。
Q15:若無線網(wǎng)絡(luò)之設(shè)備架設(shè)于室外,其如何防止雷擊
ANS:基本上無線網(wǎng)絡(luò)可配置避雷器之設(shè)備,此設(shè)備可選購裝設(shè)于無線網(wǎng)絡(luò)設(shè)備上,以利外來之突波造成系統(tǒng)損壞。
Q16:何謂Access Control ANS:基本上每張無線網(wǎng)卡上都有一組獨(dú)一無二的硬件地址,即所謂的MAC address,經(jīng)由Access Control table可定義某些卡可登入此AP,某些卡被拒絕登入,如此便能達(dá)到控管的機(jī)制,可避免非相關(guān)人員隨意登入網(wǎng)絡(luò),竊取資源。
Q17:何謂ASBF ANS:ASBF(Automatic Scale Back Functionality),此項(xiàng)功能是Gemplex AP特有之功能,保證WLAN始終處于最佳的聯(lián)機(jī)品質(zhì),除此之外,并提供支持多重廠商的無線網(wǎng)卡,但其網(wǎng)卡必須是符合IEEE 802.11之規(guī)范而設(shè)計(jì)。
Q18:何謂Power Management ANS:由于Notebook使用約2小時(shí)左右后便必須充電,若又同時(shí)使用其它外圍設(shè)備,則必定更加耗電,因此此項(xiàng)功能乃在于有效的管理無線網(wǎng)絡(luò)卡所消耗之電量,換句話說,它能適時(shí)控制當(dāng)有DATA sending or receiving時(shí),是處于”Wake up status”,反之則處于power down mode。
Q19:天線所使用之導(dǎo)線的長度是否有影響傳輸品質(zhì) ANS:一般來講,天線所使用之導(dǎo)線的長度,材質(zhì),阻抗匹配,均會對訊號造成某程度之影響,而最明顯的就是增益衰減。通常以20 feet之長度而言就會讓訊號衰減約1.2dBi左右,而平均每衰減8dBi就會讓原傳輸之距離約縮減一半,因此導(dǎo)線之長度與品質(zhì)在無線產(chǎn)品的應(yīng)用上是不容忽視的。
Q20:架設(shè)指向性天線時(shí),是否有工具可提供指示,讓訊號品質(zhì)達(dá)到最佳化
ANS:Gemplex之Bridge本身有提供一套軟件聯(lián)機(jī)品質(zhì)校正程序,其中是以圖形曲線的方式呈現(xiàn)于屏幕上,使用者可明顯看出該訊號目前強(qiáng)弱之狀況,而加以調(diào)整天線的位置,已達(dá)最佳狀態(tài)。
Q21 : 何謂Ad-hoc ANS : 構(gòu)成一種特殊的無線網(wǎng)絡(luò)應(yīng)用模式,一群計(jì)算機(jī)接上無線網(wǎng)絡(luò)卡,即可相互連接,資源共享,無需透過Access Point.Q22 : 何謂Infrastructure ANS : 一種整合有線與無線局域網(wǎng)絡(luò)架構(gòu)的應(yīng)用模式,透過此種架構(gòu)模式,即可達(dá)成網(wǎng)絡(luò)資源的共享,此應(yīng)用需透過Access Point.Q23 : 何謂BSS ANS : 一種特殊的Ad-hoc LAN的應(yīng)用,稱為Basic Service Set(BSS),一群計(jì)算機(jī)設(shè)定相同的BSS名稱,即可自成一個(gè)group,而此BSS名稱,即所謂BSSID。
Q24 : 何謂ESS ANS : 一種infrastructure的應(yīng)用,一個(gè)或多個(gè)以上的BSS,即可被定義成一個(gè)Extended Service Set(ESS),使用者可于ESS上roaming及存取BSSs中的任何資料,其中Access Points必須設(shè)定相同的ESSID及channel才能允許roaming.Q25 : 何謂SNMP ANS : “Simple Network Management Protocol “,一種網(wǎng)管的通信協(xié)議,透過SNMP的軟件可以連接至可支持SNMP的裝置并可收集該裝置所有的信息并做其它整合性的應(yīng)用,Gemplex Wireless LAN product 就有support此功能。
Q26 : 何謂WEP ANS : “Wired Equivalent Protection “,一種將資料加密的處理方式,WEP 40bits的encryption 乃是IEEE 802.11的標(biāo)準(zhǔn)規(guī)范。
透過WEP的處理便可讓我們的資料于傳輸中更加安全。
5.5 無線局域網(wǎng)絡(luò)之應(yīng)用
大樓之間 : 大樓之間建構(gòu)網(wǎng)絡(luò)的連結(jié),取代專線,簡單又便宜。
餐飲及零售:餐飲服務(wù)業(yè)可使用無線局域網(wǎng)絡(luò)產(chǎn)品,直接從餐桌即可輸入并傳送客人點(diǎn)菜內(nèi)容至廚房、柜臺。零售商促銷時(shí),可使用無線局域網(wǎng)絡(luò)產(chǎn)品設(shè)置臨時(shí)收銀柜臺。
醫(yī) 療 :
使用附無線局域網(wǎng)絡(luò)產(chǎn)品的手提式計(jì)算機(jī)取得實(shí)時(shí)信息,醫(yī)護(hù)人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等,而提升對傷患照顧的品質(zhì)。
企 業(yè) :
當(dāng)企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡(luò)產(chǎn)品時(shí),不管他們在辦公室的任何一個(gè)角落,有無線局域網(wǎng)絡(luò)產(chǎn)品,就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡(luò)瀏覽。
倉儲管理 : 一般倉儲人員的盤點(diǎn)事宜,透過無線網(wǎng)絡(luò)的應(yīng)用,能立即將最新的資料輸入計(jì)算機(jī)倉儲系統(tǒng)。
貨柜集散場 : 一般貨柜集散場的橋式起重車,可于調(diào)動貨柜時(shí),將實(shí)時(shí)信息傳回office,以利相關(guān)作業(yè)之逐行。
監(jiān)視系統(tǒng) : 一般位于遠(yuǎn)方且需受監(jiān)控現(xiàn)場之場所,由于布線之困難,可藉由無線網(wǎng)絡(luò)將遠(yuǎn)方之影像傳回主控站。
展示會場 : 諸如一般的電子展,計(jì)算機(jī)展,由于網(wǎng)絡(luò)需求極高,而且布線又會讓會場顯得凌亂,因此若能使用無線網(wǎng)絡(luò),則是再好不過的選擇。
第六章 無線局域網(wǎng)關(guān)鍵技術(shù)研究與展望
與目前5類線到戶的有線局域網(wǎng)(LAN)用戶接入方式相類似,無線局域網(wǎng)(WLAN)正在發(fā)展成為公網(wǎng)的寬帶無線用戶接入方式,即運(yùn)營商的WLAN(OWLAN)。OWLAN嚴(yán)格說起來并不是一種局域網(wǎng),而是一種采用WLAN技術(shù)的無線接入網(wǎng)絡(luò)。由于在制定IEEE802.11標(biāo)準(zhǔn)時(shí),WLAN只定位在局域網(wǎng)應(yīng)用,故在WLAN作為熱點(diǎn)地區(qū)公共接入網(wǎng)絡(luò)時(shí),802.11在認(rèn)證、漫游、加密、計(jì)費(fèi)和網(wǎng)管等方面顯現(xiàn)出一定的缺陷。本章主要探討WLAN在作為公共接入網(wǎng)時(shí)的組網(wǎng)方案,以及對認(rèn)證、加密、計(jì)費(fèi)和漫游方面的解決方案。
6.1 公共WLAN組網(wǎng)方案
OWLAN可以作為某一個(gè)運(yùn)營商的無線接入網(wǎng),亦可作為多個(gè)運(yùn)營商共用的無線接入網(wǎng),故在OWLAN中要求能支持多種認(rèn)證方式。
6.1.1 接入點(diǎn)(AP)
AP是WLAN的小型無線基站設(shè)備,為無線網(wǎng)與DS(分配系統(tǒng)例如有線以太網(wǎng))之間的網(wǎng)關(guān),且具有802.11f切換功能
6.1.2 接入控制點(diǎn)(AC)
AC為OWLAN和運(yùn)營商IP網(wǎng)的網(wǎng)關(guān)。作為認(rèn)證控制點(diǎn)時(shí)能鑒別不同的認(rèn)證方式,并提供動態(tài)IP地址分配、輸出原始計(jì)費(fèi)信息、提供路由功能等。
6.1.3 遠(yuǎn)程撥號接入認(rèn)證(RADIUS)服務(wù)器
在使用“用戶號十密碼”或“手機(jī)號十密碼”的Web認(rèn)證方式時(shí),使用RADIUS服務(wù)器實(shí)現(xiàn)對用戶身份的認(rèn)證。該服務(wù)器還接收來自AC的原始計(jì)費(fèi)信息,產(chǎn)生符合移動運(yùn)營商要求格式的CDR(呼叫數(shù)據(jù)記錄)計(jì)費(fèi)信息,實(shí)時(shí)送相應(yīng)運(yùn)行商的計(jì)費(fèi)中心(Billing)。在RADIUS服務(wù)器中存有歸屬用戶的用戶名、登錄名、固定IP地址、MAC地址、欠費(fèi)情況等信息。
6.1.4 認(rèn)證服務(wù)器(AS)
移動運(yùn)營商使用SIM卡認(rèn)證方式時(shí),需要使用認(rèn)證服務(wù)器(AS)。AS與網(wǎng)關(guān)(GW或GPRS中的GGSN)相配合提供WLAN與移動運(yùn)行商HLR/AUC的連接。AS在讀取MT(移動終端)的國際移動用戶識別(IMSI),送HLR/AUC確認(rèn)該用戶為WLAN注冊用戶后,與HLR/AUC配合完成密鑰產(chǎn)生、EAP(可擴(kuò)展認(rèn)證協(xié)議)_SIM認(rèn)證等任務(wù)。其他功能同RADIUS服務(wù)器。
6.1.5 門戶網(wǎng)站服務(wù)器(Portal Server)
用于向用戶端推送WEB認(rèn)證頁面和門戶網(wǎng)站主頁面。
6.2 公網(wǎng)WLAN用戶接入的相關(guān)解決方案
6.2.1 OWLAN的用戶認(rèn)證
WLAN在作為局域網(wǎng)使用時(shí),沿用了有線LAN的PPPoE(PPP over Ethernet)和Web用戶認(rèn)證方式。在作為OWLAN使用時(shí),由于其在物理上的開放性,使得非
法用戶入侵的可能性大為增加,原有802.11認(rèn)證的安全性已不能滿足運(yùn)營商的需要。在采用RADIUS協(xié)議并加上802.1x的認(rèn)證手段以及802.1i的安全協(xié)議后,基本可以滿足OWLAN的要求。同時(shí),在認(rèn)證安全前提下,應(yīng)盡量利用運(yùn)營商已有的鑒權(quán)認(rèn)證設(shè)備,以簡化系統(tǒng)、節(jié)約投資。
6.2.2 802.1x用戶認(rèn)證方式中的訪問實(shí)體
802.1x協(xié)議克服了傳統(tǒng)PPPoE和WEB認(rèn)證方式的缺點(diǎn),更適合在OWLAN中使用。該協(xié)議亦稱為基于端口的接入控制協(xié)議。802.1x協(xié)議的訪問控制流程中端口訪問實(shí)體(PAE)包括:客戶端、認(rèn)證者和認(rèn)證服務(wù)器三部分。(1)客戶端
用戶從客戶端發(fā)起802.11x的用戶認(rèn)證過程,為了支持基于端口的接入控制,客戶端必需支持EAPoL(基于LAN的擴(kuò)展認(rèn)證協(xié)議)。(2)認(rèn)證者
認(rèn)證者通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備,這些設(shè)備的端口對應(yīng)于用戶端而言有受控與不受控兩種邏輯端口。不受控端口始終處于雙向連接狀態(tài),主要用于傳遞EAPoL協(xié)議幀,用以保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過時(shí)才打開,用于傳遞運(yùn)營商的有償網(wǎng)絡(luò)資源和業(yè)務(wù)。當(dāng)用戶未通過認(rèn)證時(shí),受控端口對該用戶關(guān)閉,即無法訪問該運(yùn)營商所提供的有償服務(wù)。(3)認(rèn)證服務(wù)器
認(rèn)證服務(wù)器通常為RADIUS服務(wù)器或AS+HLR/AUC,它與認(rèn)證者之間通過EAP協(xié)議進(jìn)行通信。
6.3 802.1x認(rèn)證方式
802.1x的網(wǎng)絡(luò)訪問控制協(xié)議規(guī)范了802.1x的用戶鑒權(quán)認(rèn)證方式。802.1x推薦使用撥號用戶遠(yuǎn)程認(rèn)證服務(wù)(RADIUS)及與之相關(guān)的兩個(gè)通信協(xié)議:可擴(kuò)展認(rèn)證協(xié)議(EAP)和傳輸層協(xié)議(TLS)。802.1x主要涵蓋以下四種認(rèn)證方式:
6.3.1 EAP-MD5認(rèn)證方式
EAP-MD5認(rèn)證方式通過RADIUS服務(wù)器提供簡單的集中用戶認(rèn)證。用戶注冊時(shí)該服務(wù)器只是檢查用戶名與密碼,若通過認(rèn)證就就允許客戶端訪問網(wǎng)絡(luò)業(yè)務(wù)。采用該認(rèn)證方式時(shí),用戶密碼采用MD5加密算法,以保證認(rèn)證信息的安全。EAP-MD5屬單向認(rèn)證機(jī)制,即只包括網(wǎng)絡(luò)對客戶端的認(rèn)證。
6.3.2 EAP-SIM認(rèn)證方式
EAP-SIM認(rèn)證方式主要用于蜂窩移動運(yùn)營商WLAN的SIM卡認(rèn)證方式,支持用戶與網(wǎng)絡(luò)之間的雙向認(rèn)證和動態(tài)密鑰下發(fā)。在該認(rèn)證方式中,用戶端采用裝有SIM卡讀卡器的WLAN網(wǎng)卡。網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器(AS)與移動交換系統(tǒng)原有的HLR/AUC協(xié)同工作共同完成對用戶的認(rèn)證
6.3.3 EAP-TLS認(rèn)證方式
EAP-TLS認(rèn)證方式屬于傳輸層認(rèn)證機(jī)制,支持用戶與網(wǎng)絡(luò)之間的雙向認(rèn)證。用戶可以在每次連接動態(tài)生成新密鑰,且在用戶連接期間按一定間隔更新密鑰。TLS認(rèn)證中,傳送的數(shù)據(jù)由TLS加密封裝,保證認(rèn)證信息的安全。
6.3.4 EAP-TTLS鑒權(quán)認(rèn)證方式
EAP-TTLS認(rèn)證方式基于隧道安全認(rèn)證技術(shù),能夠支持雙向認(rèn)證和動態(tài)密鑰分發(fā)。在該認(rèn)證方式中客戶端與RADIUS之間,采用EAPoL協(xié)議建立安全隧道傳送EAP認(rèn)證包,實(shí)現(xiàn)TTLS認(rèn)證。
6.4 OWLAN的數(shù)據(jù)安全
802.1x協(xié)議對數(shù)據(jù)的加
為了克服802.11所定義WEP(有線等效保密協(xié)議)存在的安全隱患,IEEE制定了802.1x用以增強(qiáng)WEP的安全性。WEP使用40位靜態(tài)密鑰,而802.1x通過動態(tài)配置WEP的128位密鑰加強(qiáng)了數(shù)據(jù)的保密性,制訂了動態(tài)密鑰完整性協(xié)議(TKIP)對WEP的RC4算法進(jìn)行改進(jìn),并增加了消息完整性檢查(MIC)
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP認(rèn)證方式中提供了依賴于其初始鑒權(quán)認(rèn)證的主密鑰。利用該主密鑰對空中數(shù)據(jù)幀加密,使得未經(jīng)認(rèn)證的用戶無法對所竊取的數(shù)據(jù)幀進(jìn)行解密
第七章 WLAN中的VPN
為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全接入,在OWLAN接入網(wǎng)中采用虛擬專網(wǎng)(VPN)技術(shù)用以保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全接入。VPN是指在一個(gè)公共IP平臺上,通過隧道及加密技術(shù),為網(wǎng)絡(luò)提供點(diǎn)對點(diǎn)的安全通信,以保證遠(yuǎn)程用戶接入專用網(wǎng)絡(luò)的數(shù)據(jù)安全性。
在采用VPN技術(shù)的WLAN中,無線接入網(wǎng)絡(luò)已被企業(yè)的VPN服務(wù)器和虛擬局域網(wǎng)(VLAN)將企業(yè)內(nèi)部網(wǎng)的接入隔離開來。由企業(yè)的VPN服務(wù)器提供無線網(wǎng)絡(luò)的認(rèn)證與加密,并充當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。VPN協(xié)議包括第二層的PPTP/L2TP協(xié)議及第三層的IPSec協(xié)議,上述協(xié)議對通過WLAN傳送的數(shù)據(jù)提供強(qiáng)大的加密功能。
根據(jù)隧道的建立方式,可劃分為2類VPN連接應(yīng)用:
7.1 由用戶端發(fā)起的VPN連接
在由用戶端發(fā)起的VPN連接應(yīng)用中,需要在MT中按裝VPN客戶端軟件。用以在MT與企業(yè)的VPN服務(wù)器(網(wǎng)關(guān))之間建立隧道連接。在這類VPN連接中,VPN只涉及發(fā)起端與終結(jié)端,因此對AP、AC而言是透明的,無需AP、AC支持VPN。
7.2 由AC端發(fā)起的VPN連接
在由AC端發(fā)起的VPN連接應(yīng)用中,用戶以PPPoE方式連接AC,AC根據(jù)通信目的域名地址判為VPN業(yè)務(wù)后,由AC發(fā)起一條隧道連接用戶欲接入的企業(yè)網(wǎng)網(wǎng)關(guān)。在這種方式下從MT到AC的用戶數(shù)據(jù)加密應(yīng)在PPP層完成,可以采用PPP協(xié)議的加密選項(xiàng)來實(shí)現(xiàn)傳輸數(shù)據(jù)的加密。
7.3 802.11i標(biāo)準(zhǔn)
802.11i是專門針對WLAN安全體系的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供一種新的加密方法和認(rèn)證方式(即WEP2技術(shù))。與傳統(tǒng)的WEP算法相比較,WEP2將密鑰的長度由40位增加到128位,故很難破譯。同時(shí),該標(biāo)準(zhǔn)將一種增強(qiáng)安全網(wǎng)絡(luò)(RSN)方案納入其中,并包括了TKIP和AES-OCB兩個(gè)協(xié)議。802.11i通過使用動態(tài)密鑰、良好的密鑰管理與分發(fā)機(jī)制以及更強(qiáng)的加密算法,使得在WLAN中的數(shù)據(jù)幀傳輸變得更加安全。
OWLAN的計(jì)費(fèi)
在OWLAN中,AC監(jiān)測用戶數(shù)據(jù)傳輸?shù)臅r(shí)間或流量,用以產(chǎn)生計(jì)費(fèi)的原始信息送AS或RADUIS。在AS或RADUIS中對計(jì)費(fèi)原始信息進(jìn)行加工,生成符合計(jì)費(fèi)中心所需格式的計(jì)費(fèi)數(shù)據(jù)記錄(CDR),送運(yùn)行商計(jì)費(fèi)中心。在多個(gè)運(yùn)營商共用一個(gè)OWLAN時(shí),要求AC能鑒別不同運(yùn)營商的計(jì)費(fèi)信息,分別送對應(yīng)運(yùn)營商的計(jì)費(fèi)系統(tǒng)。
OWLAN的移動性管理
802.11至今還沒有一個(gè)對MT設(shè)備跟蹤與管理的正式標(biāo)準(zhǔn)。而在將WLAN作為OWLAN應(yīng)用的今天,必須解決在同一計(jì)算機(jī)子網(wǎng)(域)內(nèi)MT在不同AP之間漫游的問題;以及不同計(jì)算機(jī)子網(wǎng)(域)之間的漫游的問題。在沒有統(tǒng)一的WLAN域內(nèi)、域間的漫游標(biāo)準(zhǔn)之前,各制造商和運(yùn)營商則推出了各自的解決方案
域內(nèi)漫游
在802.11中僅說明了MT可以在同一個(gè)ESS(擴(kuò)展業(yè)務(wù)集)內(nèi)的AP之間進(jìn)
行漫游,但未對MT漫游時(shí)AP之間具體通信過程做出規(guī)定,故不同廠家在實(shí)現(xiàn)AP間漫游時(shí)均采用了私有協(xié)議,這對運(yùn)營商的組網(wǎng)帶來了困難。為此IEEE推出了支持域內(nèi)漫游的802.11f標(biāo)準(zhǔn)(已被IEEE批準(zhǔn)為實(shí)踐性標(biāo)準(zhǔn))。
802.11f定義了同一ESS中AP的登錄,以及MT從一個(gè)AP切換到另一個(gè)AP時(shí),AP之間交換的信息。
802.11f所定義的IAPP(AP間交互協(xié)議)在IP層上規(guī)定了AP之間以及AP和RADIUS服務(wù)器之間所需交換的信息。AP之間是通過UDP/IP協(xié)議在一個(gè)共同的DS中交互信息、進(jìn)行互操作。同時(shí)亦通過IAPP來影響第二層網(wǎng)絡(luò)設(shè)備的操作。802.11f要求在RADIUS服務(wù)器中存放有域內(nèi)各AP的基本信息,例如基本服務(wù)集標(biāo)識(BSS-ID)、IP地址以及MT接入的認(rèn)證密鑰。
7.4 基本的WLAN安全
務(wù)組標(biāo)識符(SSID):無線客戶端必須出示正確的SSID才能訪問無線接入點(diǎn)AP。利用SSID,可以很好地進(jìn)行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題,從而為無線局域網(wǎng)提供一定的安全性。然而無線接入點(diǎn)AP周期向外廣播其SSID,使安全程度下降。另外,一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。況且有的廠家支持any方式,只要無線客戶端處在AP范圍內(nèi),那么它都會自動連接到AP,這將繞過SSID的安全功能。
物理地址(MAC)過濾:每個(gè)無線客戶端網(wǎng)卡都由惟一的物理地址標(biāo)識,因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新,目前都是手工操作;如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。另外,非法用戶利用網(wǎng)絡(luò)偵聽手段很容易竊取合法的MAC地址,而且MAC地址并不難修改,因此非法用戶完全可以盜用合法的MAC地址進(jìn)行非法接入。
7.5 IEEE 802.11的安全技術(shù)
7.5.1 認(rèn)證
在無線客戶端和中心設(shè)備交換數(shù)據(jù)之前,它們之間必須先進(jìn)行一次對話。在802.11b標(biāo)準(zhǔn)制定時(shí),IEEE在其中加入了一項(xiàng)功能:當(dāng)一個(gè)設(shè)備和中心設(shè)備對話后,就立即開始認(rèn)證工作,在通過認(rèn)證之前,設(shè)備無法進(jìn)行其他關(guān)鍵通信。這項(xiàng)功能可以被設(shè)為shared key authentication和open authentication,默認(rèn)的是后者。在默認(rèn)設(shè)定下,任何設(shè)備都可以和中心設(shè)備進(jìn)行通訊,而無法越過中心設(shè)備,去更高一級的安全區(qū)域。而在shared key authentication設(shè)定時(shí),客戶機(jī)要先向中心設(shè)備發(fā)出連接請求,然后中心設(shè)備發(fā)回一串字符,要求客戶機(jī)使用WEP鑰匙返回密碼。只有在密碼正確的情況下,客戶機(jī)才可以和中心設(shè)備進(jìn)行通信,并可以進(jìn)入更高級別。
使用認(rèn)證方式有一個(gè)缺點(diǎn),中心設(shè)備發(fā)回的字符是明文的。通過監(jiān)聽通信過程,攻擊者可以在認(rèn)證公式中得到2個(gè)未知數(shù)的值,明文的字符和客戶機(jī)返回的字符,而只有一個(gè)值還無法知道。通過RC4計(jì)算機(jī)通信加密算法,攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個(gè)鑰匙,侵入者就可以通過中心設(shè)備,進(jìn)入其他客戶端。諷刺的是,這項(xiàng)安全功能通常都應(yīng)該設(shè)
為“open authentication”,使得任何人都可以和中心設(shè)備通信,而通過其他方式來保障安全。盡管不使用這項(xiàng)安全功能看上去和保障網(wǎng)絡(luò)安全相矛盾,但是實(shí)際上,這個(gè)安全層帶來的潛在危險(xiǎn)遠(yuǎn)大于其提供的幫助
7.5.2 保密
有線等效保密(WEP):WEP雖然通過加密提供網(wǎng)絡(luò)的安全性,但存在許多缺陷:
缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同,并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰。WEP標(biāo)準(zhǔn)中并沒有規(guī)定共享密鑰的管理方案,通常是手工進(jìn)行配置與維護(hù)。由于同時(shí)更換密鑰的費(fèi)時(shí)與困難,所以密鑰通常長時(shí)間使用而很少更換,倘若一個(gè)用戶丟失密鑰,則將殃及到整個(gè)網(wǎng)絡(luò)。
ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯(cuò)誤的算法。CRC-32是信息的線性函數(shù),這意味著攻擊者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起來是可信的。能夠篡改即加密數(shù)據(jù)包使各種各樣的非常簡單的攻擊成為可能。
RC4算法存在弱點(diǎn)。在RC4中,人們發(fā)現(xiàn)了弱密鑰。所謂弱密鑰,就是密鑰與輸出之間存在超出一個(gè)好密碼所應(yīng)具有的相關(guān)性。在24位的IV值中,有9000多個(gè)弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后,就可以對它們進(jìn)行分析,只須嘗試很少的密鑰就可以接入到網(wǎng)絡(luò)中。利用認(rèn)證與加密的安全漏洞,在很短的時(shí)間內(nèi),WEP密鑰即可被破解。
7.6 IEEE 802.11i標(biāo)準(zhǔn)
(1)認(rèn)證-端口訪問控制技術(shù)(IEEE 802.1x)
通過802.1X,當(dāng)一個(gè)設(shè)備要接入中心設(shè)備時(shí),中心設(shè)備就要求一組證書。用戶提供的證書被中心設(shè)備提交給服務(wù)器進(jìn)行認(rèn)證。這臺服務(wù)器稱為RADIUS,也就是temote Authentication Dial-In User Service,通常是用來認(rèn)證撥號用戶的。這整個(gè)過程被包含在802.1X的標(biāo)準(zhǔn)EAP(擴(kuò)展認(rèn)證協(xié)議)中。EAP是一種認(rèn)證方式集合,可以讓開發(fā)者以各種方式生成他們自己的證書發(fā)放方式,EAP也是802.1X中最主要的安全功能。現(xiàn)在的EAP方式主要有四種。
但是IEEE 802.1x提供的是無線客戶端與RADIUS服務(wù)器之間的認(rèn)證,而不是客戶端與無線接入點(diǎn)AP之間的認(rèn)證;采用的用戶認(rèn)證信息僅僅是用戶名與口令,在存儲、使用和認(rèn)證信息傳遞中存在很大安全隱患,如泄漏、丟失;無線接入點(diǎn)AP與RADIUS服務(wù)器之間基于其享密鑰完成認(rèn)證過程協(xié)商出的會話密鑰的傳遞,該共享密鑰為靜態(tài),人為手工管理,存在一定的安全隱患。
(2)保密
有線等效保密的改進(jìn)方案-TKIP。
目前Wi-Fi推薦的無線局域網(wǎng)安全解決方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i標(biāo)準(zhǔn)均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法,但相比于WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位,由于WEP算法的安全漏洞是由于WEP機(jī)制本身引加性高斯噪聲信道起的,與密鑰的長度無關(guān),即使增加加密密鑰的長度,也不可能增強(qiáng)其安全程度,初始化向量IV長度的增加也只能在有限程度上提高破解難度,比如延長破解信息收集時(shí)間,并不能從根本上解決問題,因?yàn)樽鳛榘踩P(guān)鍵的加密部分,TKIP
沒有脫離WEP的核心機(jī)制。
目前正在制定中的IEEE 802.11i標(biāo)準(zhǔn)的終極加密解決方案為基于IEEE 802.1x認(rèn)證的CCMP(CBC-MAC Protoco1)加密技術(shù),即以AES(Advanced Encryption Standard)為核心算法,采用CBC-MAC加密模式,具有分組序號的初始向量。CCMP為128位的分組加密算法,相比前面所述的所有算法安全程度更高。
7.7 VPN技術(shù)
作為一種比較可靠的網(wǎng)絡(luò)安全解決方案,VPN技術(shù)在有線網(wǎng)絡(luò)中,尤其是企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用。然而,無線網(wǎng)絡(luò)的應(yīng)用特點(diǎn)在很大程度上阻礙了VPN技術(shù)的應(yīng)用,主要體現(xiàn)在以下幾個(gè)方面:
運(yùn)行的脆弱性:眾所周知,因突發(fā)干擾或AP間越區(qū)切換等因素導(dǎo)致的無線鏈路質(zhì)量波動或短時(shí)中斷是無線應(yīng)用的特點(diǎn)之一,因此用戶通信鏈路出現(xiàn)短時(shí)中斷不足為奇。這種情況對于普通的TCP/IP應(yīng)用影響不顯敏感,但對于VPN鏈路影響巨大,一旦發(fā)生中斷,用戶將不得不通過手動設(shè)置以重新恢復(fù)VPN連接。這對于WLAN用戶,尤其是需要移動或QoS保證(如VoIP業(yè)務(wù))的WLAN用戶是不可忍受的。
通用性問題:VPN技術(shù)在國內(nèi),甚至在國際上沒有一個(gè)統(tǒng)一的開發(fā)標(biāo)準(zhǔn),各公司基于自有技術(shù)與目的開發(fā)自有專用產(chǎn)品,導(dǎo)致技術(shù)體制雜亂,沒有通用型可言。這對于強(qiáng)調(diào)互通性的WLAN應(yīng)用是相悖的。
網(wǎng)絡(luò)的擴(kuò)展性問題:VPN技術(shù)在提供網(wǎng)絡(luò)安全的同時(shí),大大限制了網(wǎng)絡(luò)的可擴(kuò)展性能,這主要是由于VPN網(wǎng)絡(luò)架設(shè)的復(fù)雜性導(dǎo)致的。如果要改變一個(gè)VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或內(nèi)容,用戶往往將不得不重新規(guī)劃并進(jìn)行網(wǎng)絡(luò)配置,這對于一個(gè)中型以上的網(wǎng)絡(luò)兒乎是不可思議的。
成本問題:上述的3個(gè)問題實(shí)際在不同程度上直接導(dǎo)致了用戶網(wǎng)絡(luò)架設(shè)的成本攀升。另一個(gè)重要因素是VPN產(chǎn)品本身的價(jià)格就很高,對于中小型網(wǎng)絡(luò)用戶甚至超過WLAN設(shè)備的采購費(fèi)用。
7.8 WAPI 技術(shù)標(biāo)準(zhǔn)是所有產(chǎn)業(yè)健康發(fā)展的基石,對無線局域網(wǎng)產(chǎn)業(yè)而言,以往一直存在缺乏統(tǒng)一標(biāo)準(zhǔn)和安全保障兩大瓶頸。目前WEAN國際標(biāo)準(zhǔn)可靠安全機(jī)制的軟肋使得安全問題的壓力大部分遺留給了WLAN產(chǎn)業(yè)鏈上的芯片設(shè)計(jì)、設(shè)備制造、系統(tǒng)集成甚至最終用戶等各個(gè)環(huán)節(jié),各設(shè)備廠商和系統(tǒng)集成商各行其道,市場中出現(xiàn)大量專有的安全標(biāo)準(zhǔn)和解決方案,這些方案要么影響網(wǎng)絡(luò)性能要么限制了網(wǎng)絡(luò)的可用性和擴(kuò)展性,當(dāng)然最致命的是,這些方案大多基于WEP、802.lx等對WLAN來說并不十分可靠的基礎(chǔ)協(xié)改。對于大多數(shù)并不熟悉WLAN安全技術(shù)的最終用戶而言,WEP/WPA/SSID/VPN/802.1x等名目繁多、花樣翻新,往往又價(jià)格不斐的WLAN安全方案讓他們無所適從。
最新頒布并且即將強(qiáng)制執(zhí)行的WLAN國家標(biāo)準(zhǔn)對目前中國WLAN市場的發(fā)展和格局將產(chǎn)生深遠(yuǎn)影響。WLAN國家標(biāo)準(zhǔn)依據(jù)我國的無線電管理法規(guī)對我國無線局域網(wǎng)相關(guān)產(chǎn)品的發(fā)射功率、信道數(shù)等作出了明確規(guī)定,標(biāo)準(zhǔn)還強(qiáng)調(diào)和規(guī)定了無線局域網(wǎng)安全技術(shù)的應(yīng)用要求。適用于獨(dú)立的無線局域網(wǎng)設(shè)備以及提供無線局域網(wǎng)相關(guān)功能的獨(dú)立或嵌入式軟件模塊。同時(shí)該標(biāo)準(zhǔn)與相應(yīng)國際標(biāo)準(zhǔn)的區(qū)別主要表現(xiàn)在對安全機(jī)制的嚴(yán)格要求,即用WAPI協(xié)議取代了IEEE802.11標(biāo)準(zhǔn)中先天不足的WEP協(xié)議。雖然WAPI作為被中國政府認(rèn)可并最終頒布的WLAN安全機(jī)制,有著比
目前WEP、802.lx、WPA等安全協(xié)議更高的安全性,但是能否獲得最終的成功還有待于廠商的支持和市場的考驗(yàn)。
7.9 WLAN的切換與漫游
7.9.1 切換與漫游
WLAN的切換指的是在相同的SSID(AP)之間,移動終端與新的AP建立新的連接,并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間,移動終端與新的AP建立新的連接,并切斷原來AP的連接過程。
加入現(xiàn)有的服務(wù)區(qū)有兩種方法:主動掃描和被動掃描。主動掃描要求站點(diǎn)查找接入點(diǎn),從接入點(diǎn)設(shè)備中接受同步信息。也可通過被動掃描獲得同步信息,可偵聽每個(gè)接入點(diǎn)周期性所發(fā)送的信標(biāo)幀。一旦站點(diǎn)定位了接入點(diǎn),并取得了同步信息,就必須交換驗(yàn)證信息。這些信息的交互在接入點(diǎn)和站點(diǎn)之間產(chǎn)生,每個(gè)設(shè)備給出預(yù)設(shè)的口令。在站點(diǎn)經(jīng)過驗(yàn)證后,關(guān)聯(lián)過程就開始了。在關(guān)聯(lián)過程中,交換站點(diǎn)信息和接入點(diǎn)服務(wù)的能力信息是一群接入點(diǎn)得到的站點(diǎn)當(dāng)前位置的信息。一旦關(guān)聯(lián)過程結(jié)束,該站點(diǎn)就能夠發(fā)送和接收幀。當(dāng)站點(diǎn)離開它的接入點(diǎn)發(fā)生漫游時(shí),注意到接入點(diǎn)的鏈路信號正在變?nèi)酢U军c(diǎn)使用它的掃描功能查找另一個(gè)接入點(diǎn),或利用上一次掃描得到的信息選取另一個(gè)接入點(diǎn)。一旦找到新的接入點(diǎn),站點(diǎn)就向它發(fā)送重新關(guān)聯(lián)請求。如果站點(diǎn)接收到重新關(guān)聯(lián)響應(yīng),它就擁有一個(gè)新的接入點(diǎn)并且漫游成功。
7.9.2 移動IP
在無線網(wǎng)絡(luò)中,如果一邊使用無線局域網(wǎng)接入服務(wù),一邊移動接入位置,那么一旦移動終端超越子網(wǎng)覆蓋范圍,IP數(shù)據(jù)包就無法到達(dá)移動終端,正在進(jìn)行的通信將被中斷。為此,IETF制定了擴(kuò)展IP網(wǎng)絡(luò)移動性的系列標(biāo)準(zhǔn)。所謂移動IP,就是指在IP網(wǎng)絡(luò)上的多個(gè)子網(wǎng)內(nèi)均可使用同一IP地址的技術(shù)。這種技術(shù)是通過使用被稱為本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器對網(wǎng)絡(luò)終端所處位置的網(wǎng)絡(luò)進(jìn)行管理來實(shí)現(xiàn)的。在移動IP系統(tǒng)中,可保證用戶的移動終端始終使用固定的IP地址進(jìn)行網(wǎng)絡(luò)通信,不管在怎樣的移動過程中皆可建立TCP連接并不會發(fā)生中斷。在無線局域網(wǎng)系統(tǒng)中,廣泛的應(yīng)用移動IP技術(shù)可以突破網(wǎng)絡(luò)的地域范圍限制,并可克服在跨網(wǎng)段時(shí)使用動態(tài)主機(jī)配置協(xié)議(DHCP)方式所造成的通信中斷、權(quán)限變化等問題。
結(jié)語
無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難,雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢,但與有線網(wǎng)絡(luò)相比,無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價(jià)格較高,因而它主要面向有特定需求的用戶,目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補(bǔ)的關(guān)系,而不是競爭,目前還只是有線網(wǎng)絡(luò)的補(bǔ)充,而不是替換,但也應(yīng)該看到。近年來,隨著適用于無線局域網(wǎng)產(chǎn)品的價(jià)格正逐漸下降,相應(yīng)軟件也逐漸成熟。此外,無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù),相信在未來,無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。
致謝
在此,首先要對我的導(dǎo)師柯江民老師,致以最深的感謝。感謝柯老師對我的論文不厭其煩的細(xì)心指點(diǎn)。柯老師首先細(xì)致地為我選題、解題;當(dāng)我深陷于眾多的資料,找不準(zhǔn)角度,理不清思路時(shí),柯老師又為我指點(diǎn)迷津,梳理脈絡(luò),使我感到柳暗花明,分清了層次,確立了本文的框架。在論文寫作過程中,經(jīng)常得到柯老師電話和郵件指點(diǎn)。在修改和完善過程中,柯老師更是嚴(yán)格細(xì)致,從框架的完善,到內(nèi)容的擴(kuò)充;從行文的用語,到格式的規(guī)范,進(jìn)行了全面地審閱,提出了許多中肯的修改意見。我再次為柯老師的付出表示感謝。同時(shí)還要衷心感謝網(wǎng)絡(luò)管理學(xué)科的堯時(shí)茂老師 崇志軍老師 程霄老師 王凌敏老師等的言傳身教,是你們的啟迪與指導(dǎo),使我獲得了各種專業(yè)知識。老師們勤奮工作、嚴(yán)謹(jǐn)治學(xué)的精神永遠(yuǎn)值得我學(xué)習(xí)。也要感謝每一位朋友、每一位同學(xué),正是有了你們友情的陪伴,才使得我的大學(xué)生活豐富而多彩!在此我要特別感謝各位兄弟姐妹們給予我的支持和幫助!最后,要深深感謝家人對我學(xué)業(yè)的全力支持,你們的期待與鼓勵(lì)是我前進(jìn)的最大動力。
三年是短暫的,記憶是永恒的!最后,衷心祝愿我親愛的朋友們:生活幸福,天天快樂!
參考文獻(xiàn):
1.李建東.黃振海 WLAN的標(biāo)準(zhǔn)與技術(shù)發(fā)展[期刊論文]-中興通訊技術(shù) 2003(2)2.徐冬梅 WLAN走向安全、高速、互聯(lián) 2002(12)3.GB 15629.11-2003.信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問(MAC)和物理(PHY)層規(guī)范
4.GB 15629.1102-2003.信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問(MAC)和物理(PHY)層規(guī)范:2.4GHz頻段較高速物理層擴(kuò)展規(guī)范
5.孫少陵.李新.葉偉 WLAN市場發(fā)展現(xiàn)狀與前景[期刊論文]-中興通訊技術(shù) 2003(2)6.王志勤 3G與WLAN的關(guān)系[期刊論文]-中興通訊技術(shù) 2003(2)7.李承恕 WLAN與2.5/3代移動通信網(wǎng)的結(jié)合[期刊論文]-中興通訊技術(shù) 2003(2)8.談?wù)褫x 應(yīng)用于移動環(huán)境中的WLAN接入網(wǎng)結(jié)構(gòu)[期刊論文]-中興通訊技術(shù) 2003(2)9.呂霞.楊軍 WLAN標(biāo)準(zhǔn)GB15629.11安全機(jī)制--WAPI協(xié)議解析[期刊論文]-電子設(shè)計(jì)應(yīng)用 2004(10)10.尹傳勇.劉壽強(qiáng).畢雅寧 營造安全的無限空間--無限局域網(wǎng)新標(biāo)準(zhǔn)WAPI解析[期刊論文]-計(jì)算機(jī)安全 2004(7)11.鄭君杰.肖軍模.程林 WAPI協(xié)議及其安全性分析[期刊論文]-電視技術(shù) 2004(5)12.可運(yùn)營WLAN網(wǎng)絡(luò)安全問題的探討
14.倪源.彭志威.王育民 增強(qiáng)的無線局域網(wǎng)安全技術(shù)分析[期刊論文]-中興通訊技術(shù) 2003(6)15.萬仁福.陳宇.李方偉 3G與WLAN融合的安全性分析[期刊論文]-電信快報(bào) 2004(8)16.魏松.肖征榮 3G與WLAN互連的安全問題[期刊論文]-電信快報(bào) 2004(8)17.何廣法.劉乃安 基于3GPP-WLAN互通性安全的AP設(shè)計(jì)應(yīng)用[期刊論文]-現(xiàn)代電子技術(shù) 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.楊文東 IEEE 802.16寬帶無線接入標(biāo)準(zhǔn)體系介紹[期刊論文]-電信工程技術(shù)與標(biāo)準(zhǔn)化 2003(2)20.劉文杰.傅海陽.吳蒙 LMDS系統(tǒng)安全認(rèn)證協(xié)議的形式分析與改進(jìn)[期刊論文]-計(jì)算機(jī)工程 2003(22)21.傅堅(jiān) 無線寬帶固定接入系統(tǒng)的安全性分析[期刊論文]-計(jì)算機(jī)工程 2004(6)
第五篇:關(guān)于校園無線局域網(wǎng)設(shè)計(jì)的畢業(yè)論文
論文摘要:隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展與校園信息化水平的提高,基于WLAN的無線校園網(wǎng)絡(luò)構(gòu)建技術(shù)已成趨勢,成為有線校園網(wǎng)網(wǎng)絡(luò)延伸的重要手段之一。該文對無線局域網(wǎng)的優(yōu)點(diǎn)和有線校園網(wǎng)中存在問題進(jìn)行研究分析,提出校園網(wǎng)中使用無線局域網(wǎng)的必要性,探討無線局域網(wǎng)在校園網(wǎng)建設(shè)中的解決方案。
論文關(guān)鍵詞:無線局域網(wǎng);校園網(wǎng);IEEE802.11;AP;子網(wǎng)設(shè)計(jì)
隨著網(wǎng)絡(luò)應(yīng)用日益豐富,傳統(tǒng)局域網(wǎng)絡(luò)已經(jīng)不能滿足師生對移動網(wǎng)絡(luò)的要求,無線局域網(wǎng)作為有線網(wǎng)絡(luò)的補(bǔ)充手段,被更多的師生所認(rèn)同和接受。眾多師生開始在無線局域網(wǎng)中開展各種應(yīng)用業(yè)務(wù),教學(xué)、科研、管理、生活正在悄悄地改變。雖然如今無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò),但近年來,隨著無線局域網(wǎng)技術(shù)業(yè)趨向成熟,無線局域網(wǎng)與有線網(wǎng)絡(luò)的無縫連接,無線局域網(wǎng)正在以它的較高傳輸能力和很好的靈活性在高校各項(xiàng)應(yīng)用中發(fā)揮日益重要的作用。
無線局域網(wǎng)基礎(chǔ)知識與架構(gòu)
1.1 無線局域網(wǎng)
無線局域網(wǎng)(Wireless Local Area Network,WLAN)是指以無線信道作為傳輸媒介的計(jì)算機(jī)局域網(wǎng)絡(luò),是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物,它以無線多址信道作為傳輸媒介,提供傳統(tǒng)有線局域網(wǎng)的功能,能夠使用戶真正實(shí)現(xiàn)隨時(shí)、隨地、隨意的寬帶網(wǎng)絡(luò)接入。
1.2 無線局域網(wǎng)的技術(shù)標(biāo)準(zhǔn)
無線局域網(wǎng)是利用射頻技術(shù)實(shí)現(xiàn)無線通信的局域網(wǎng)絡(luò)。該技術(shù)產(chǎn)生于20世紀(jì)80年代,WLAN主要是作為傳統(tǒng)布線LAN的延展和替代,它能支持較高數(shù)據(jù)速率(1~300Mbit/s)、采用微蜂窩、微微蜂窩結(jié)構(gòu)的,自主管理的計(jì)算機(jī)局部網(wǎng)絡(luò)。還可以采用無線電或紅外線作為傳輸媒質(zhì),采用擴(kuò)展頻譜技術(shù),移動的終端可通過無線接人點(diǎn)來實(shí)現(xiàn)對Internet的訪問。無線局域網(wǎng)有以下常用標(biāo)準(zhǔn):
1)IEEE802.11b
802.11b(通常又稱Wireless Fidelity,WI-FI),是現(xiàn)在最普及的無線標(biāo)準(zhǔn)之一。設(shè)備工作在2.4GHz的范圍內(nèi),帶寬可以達(dá)到11Mbps。
2)IEEE802.11a
802.11a標(biāo)準(zhǔn)是一個(gè)獲得正式批準(zhǔn)的無線以太網(wǎng)標(biāo)準(zhǔn)。它工作在5GHz頻段上,使用正交頻分復(fù)用技術(shù),將5GHz分為多個(gè)重疊的頻率,在每個(gè)子信道上進(jìn)行窄帶調(diào)制和傳輸,以減少信道之間的相互干擾,使帶寬可以達(dá)到54Mbps。
3)IEEE802.11g
802.11g是一種混合標(biāo)準(zhǔn),能向下兼容傳統(tǒng)的802.11b標(biāo)準(zhǔn)。IEEE802.11g的54Mbps高數(shù)據(jù)吞吐量比802.11b快出5倍,將改善已有的應(yīng)用性能,使高帶寬數(shù)據(jù)應(yīng)用成為可能。802.11g產(chǎn)品可以在同一個(gè)網(wǎng)絡(luò)中與802.11b產(chǎn)品結(jié)合使用。
4)IEEE802.11n
IEEE802.11n將WLAN的傳輸速率從802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可達(dá)320Mbps。與以往的802.11標(biāo)準(zhǔn)不同,802.11n協(xié)議為雙頻工作模式(包含2.4GHz和5GHz兩個(gè)工作頻段)。這樣11n保障了以往的802.11a、b、g標(biāo)準(zhǔn)兼容。另外,天線技術(shù)及傳輸技術(shù)使無線局域網(wǎng)的傳輸距離大大增加,可以達(dá)到幾公里(并且能夠保障100Mbps的傳輸速度)。
校園無線網(wǎng)絡(luò)應(yīng)用與優(yōu)勢
無線局域網(wǎng)以其靈活布設(shè)、高帶寬和無線接人的優(yōu)勢,可以突破有線網(wǎng)絡(luò)節(jié)點(diǎn)限制、實(shí)現(xiàn)多人同時(shí)上網(wǎng)的問題,大大地增加了校園網(wǎng)絡(luò)信息點(diǎn),方便在校師生獲取信息,進(jìn)一步提升學(xué)校的信息化水平。
2.1 無線局域網(wǎng)的優(yōu)點(diǎn)
1)安裝維護(hù)方便無線局域網(wǎng)的安裝簡單,無需破墻、掘地、穿線架管,這樣避免對建筑物及周邊環(huán)境影響,減少網(wǎng)絡(luò)布線工作量,一般只要安裝一個(gè)或多個(gè)接入點(diǎn)AP設(shè)備,就可建成覆蓋整個(gè)建筑或地區(qū)的局域網(wǎng)絡(luò)。一旦發(fā)生事故,不必尋找損壞路線,只要檢查信號發(fā)送端與接收端的信號是否正常即可。
2)易于擴(kuò)展
無線局域網(wǎng)技術(shù)有對等模式、中心模式、中繼組網(wǎng)模式等多種配置方式,能夠根據(jù)需要靈活選擇。
3)經(jīng)濟(jì)節(jié)約
由于有線網(wǎng)絡(luò)缺少靈活性,這就要求網(wǎng)絡(luò)規(guī)劃者盡可能地考慮未來發(fā)展的需要,這就往往導(dǎo)致預(yù)設(shè)大量利用律較低的信息點(diǎn)。而一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計(jì)規(guī)劃,又要花費(fèi)較多費(fèi)用進(jìn)行網(wǎng)絡(luò)改造。而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。
4)使用靈活在有線網(wǎng)絡(luò)中,網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信息點(diǎn)位置的限制。而一旦無線局域網(wǎng)建成后,在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個(gè)位置都可以接入網(wǎng)絡(luò)。
5)傳輸速率高
無線局域網(wǎng)技術(shù)能夠提供高速數(shù)據(jù)帶寬,其中IEEE802.11g能提供的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到54Mbit/s。可以滿足用戶上網(wǎng)的實(shí)際需要。
2.2 無線校園網(wǎng)的網(wǎng)絡(luò)應(yīng)用
1)電子網(wǎng)絡(luò)課堂教學(xué)。可以通過無線網(wǎng)絡(luò)進(jìn)行教學(xué),拓展了知識空間。
2)移動教學(xué)。上課不用再聚集于教室,打破了空間的限制,拓展了地域空間。
3)隨時(shí)互動輔導(dǎo)。師生不必在課堂上直接對話,拓展了教學(xué)空間。
4)科研與教學(xué)。校園師生可以隨時(shí)、隨地地從網(wǎng)上獲取學(xué)術(shù)信息,獲取無限的網(wǎng)絡(luò)資源。
5)無線多媒體業(yè)務(wù)。無線活動教室;虛擬現(xiàn)實(shí)的學(xué)習(xí)環(huán)境;無線視頻監(jiān)控;校園語音電話及網(wǎng)上視頻點(diǎn)播。
校園無線網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)
3.1 網(wǎng)絡(luò)需求分析
本文所討論的無線校園網(wǎng)的規(guī)劃是以江陰職業(yè)技術(shù)學(xué)院為對象,本學(xué)院地處江陰市南郊,占地500畝。校園內(nèi)共有大小建筑27幢,師生員工9000余人,地理環(huán)境簡單,考慮滿足以下幾個(gè)方面的需求:
1)建設(shè)一個(gè)滿足教學(xué)和工作需要的安全可靠的無線校園網(wǎng)絡(luò);
2)無線與有線的統(tǒng)一:高校網(wǎng)絡(luò)一般已經(jīng)建設(shè)了有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)建設(shè)必須在原有的有線網(wǎng)絡(luò)上進(jìn)行,并實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)、認(rèn)證計(jì)費(fèi)、安全防御等方面與有線網(wǎng)絡(luò)進(jìn)行良好的兼容和互補(bǔ)。這就要求校園有線網(wǎng)絡(luò)的架構(gòu)不需要任何改變,只需用原有的網(wǎng)管、認(rèn)證、計(jì)費(fèi)系統(tǒng)就可以對無線網(wǎng)絡(luò)進(jìn)行管理和統(tǒng)一認(rèn)證。
3)所有教學(xué)樓及實(shí)訓(xùn)實(shí)驗(yàn)大樓:各層走廊和教室均要求信號覆蓋;所有學(xué)生宿舍樓:鑒于各宿舍都有有線接通,盡量覆蓋各宿舍(不做要求);籃球場及足球場:信號要求完全覆蓋;室內(nèi)體育館:信號要求完全覆蓋;各建筑周圍的草坪和場所:信號要求完全覆蓋;行政樓:要求信號完全覆蓋;學(xué)生食堂:要求信號完全覆蓋;教師宿舍樓:要求信號完全覆蓋;要求能提供1000并發(fā)用戶能力;
4)各信號輸出點(diǎn)信號強(qiáng)度10-15dbm;將按照2.4G工作頻段2.412~2.462GHz(FCC)分為channel1、channel6、channel11三個(gè)完全不干擾頻段設(shè)計(jì);要求室內(nèi)容許最大覆蓋距離為35—100米,室外容許最大距離100—400米。
5)校園無線網(wǎng)絡(luò)在支持?jǐn)?shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)支持?jǐn)?shù)據(jù)、語音等多種業(yè)務(wù),網(wǎng)絡(luò)應(yīng)該具有其它智能業(yè)務(wù)擴(kuò)展的能力,滿足學(xué)院的多功能發(fā)展需求;
6)現(xiàn)在建設(shè)高校無線網(wǎng)絡(luò),除了要考慮對現(xiàn)有IPv4網(wǎng)絡(luò)終端的無線接入,還要支持高性能的IPv6的用戶接入,以適應(yīng)網(wǎng)絡(luò)發(fā)展趨勢,并保護(hù)網(wǎng)絡(luò)投資。
3.2 無線校園網(wǎng)的設(shè)計(jì)
3.2.1 校園無線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)
對于局部無線網(wǎng)絡(luò),主要采用的是以AP或者無線交換機(jī)等為中心結(jié)點(diǎn)的星型結(jié)構(gòu),其目的是為了滿足多用戶的需求。而如果建設(shè)全局無線校園網(wǎng),可將網(wǎng)絡(luò)劃分為核心層、分布層、接入層進(jìn)行設(shè)計(jì),在整體上一般采用以樹型和星型混合的拓?fù)浣Y(jié)構(gòu)。
3.2.2 校園無線網(wǎng)絡(luò)物理結(jié)構(gòu)設(shè)計(jì)
本校已經(jīng)建成了“千兆主干,百兆交換到桌面”,信息點(diǎn)覆蓋教學(xué)、辦公、圖書和實(shí)驗(yàn)等大樓主要部分的校園網(wǎng),在目前的校園網(wǎng)環(huán)境下,借助于輕型AP模式架構(gòu),可以在現(xiàn)有校園有線網(wǎng)絡(luò)的基礎(chǔ)上建立邏輯獨(dú)立的無線網(wǎng)絡(luò)。
通常模式下所有無線數(shù)據(jù)及控制流量均交由無線控制器來處理,所以我們采用現(xiàn)有校園網(wǎng)的交換機(jī)/路由器組成集中控制管理的“覆蓋式”(Overlay)無線網(wǎng)絡(luò)設(shè)計(jì),如圖1所示。
修改現(xiàn)有校園網(wǎng)交換機(jī)的VLAN參數(shù)設(shè)置、路由設(shè)置,使得AP盡量不與一般有線網(wǎng)絡(luò)設(shè)備混合在同一個(gè)VLAN中,避免有線設(shè)備的異常流量阻斷AP和無線控制器之間的通訊;將連接在同一交換機(jī)端口下的所有AP放置在一個(gè)受保護(hù)的VLAN中,設(shè)計(jì)時(shí)統(tǒng)一分配給這些AP靜態(tài)IP地址,以便于管理;采用核心交換機(jī)搭配無線控制模塊的方式,進(jìn)一步減小AP和無線控制器的AP-Manager之間端到端環(huán)回延遲,保證AP能夠順利連接在現(xiàn)有的校園網(wǎng)接入交換機(jī)上。
3.2.3 無線校園網(wǎng)的構(gòu)建方法
校園無線網(wǎng)絡(luò)構(gòu)建的兩種方法。第一,閥值法。通過調(diào)整AP的閥值設(shè)置,控制AP接入覆蓋范圍,從而在相同覆蓋面積條件下,通過增加AP數(shù)量,提高系統(tǒng)容量。第二種,頻率復(fù)用。學(xué)校人群主要由管理人員、教師、科研人員和大量學(xué)生構(gòu)成,以上人群工作和學(xué)習(xí)生活分布在以下區(qū)域:圖書館、教學(xué)樓、辦公樓、實(shí)驗(yàn)研究樓、學(xué)生宿舍、運(yùn)動場以及各類休閑場地(草坪廣場等)。
因此,在同一覆蓋范圍內(nèi)的多個(gè)AP利用802.11g規(guī)定的13個(gè)可用信道中相互干擾最小信道1、6、11三個(gè)信道進(jìn)行設(shè)計(jì),客戶端無線網(wǎng)卡根據(jù)各AP信號強(qiáng)度,選擇不同信道工作,從而提高系統(tǒng)容量。
3.2.4 室內(nèi)網(wǎng)絡(luò)組建
室內(nèi)的范圍主要包括所有的教室、實(shí)驗(yàn)室、辦公室等,在這些場合中主要需要解決兩大問題,即AP的覆蓋范圍和AP的容量問題。由于AP是通過微波來進(jìn)行數(shù)據(jù)傳輸?shù)?室內(nèi)要考慮的首要問題就是信號覆蓋的問題。由于辦公室、教室、實(shí)驗(yàn)室被各種墻面分割,這對信號的衰減影響很大,因此在室內(nèi)構(gòu)建無線局域網(wǎng)時(shí)必須對建筑物的信號強(qiáng)度進(jìn)行詳細(xì)測試。在合理地分析各個(gè)AP的容量與覆蓋面后,還需考慮信號衰減因素,適當(dāng)?shù)卦黾覣P個(gè)數(shù)來減少數(shù)據(jù)盲區(qū)。室內(nèi)組建簡圖見圖2。
兩個(gè)AP的放置要保證AP覆蓋區(qū)域無間隙并且AP重疊區(qū)域最小。相鄰AP工作在不同頻道,以1、6、11三個(gè)頻道實(shí)現(xiàn)全方位的覆蓋。根據(jù)經(jīng)驗(yàn)值,當(dāng)相鄰AP設(shè)定相同頻點(diǎn)時(shí),要求間隔25米以上;當(dāng)相鄰AP設(shè)定相鄰頻點(diǎn)時(shí),要求AP間隔16米以上;當(dāng)AP設(shè)定相隔頻點(diǎn)時(shí),要求間隔12米以上。
對于房間多、用戶數(shù)量不多但分布較分散的樓宇,如教學(xué)樓等,用戶主要為學(xué)生、教師,因此應(yīng)用肯定會比較頻繁,由于樓長、墻體結(jié)構(gòu)厚、房間多等特點(diǎn),所以在該環(huán)境下覆蓋AP安裝在樓道內(nèi),通過內(nèi)置天線覆蓋樓道兩側(cè)房間,微波通過房間的門窗傳輸?shù)绞覂?nèi),實(shí)現(xiàn)了比較細(xì)膩的覆蓋環(huán)境,AP通過有線接入到樓層交換機(jī)。
3.2.5 室外無線網(wǎng)絡(luò)組建
室外設(shè)備的AP使用數(shù)量基本也遵循室內(nèi)的條件,但室外AP的放置和設(shè)計(jì)又有它自己的特點(diǎn)。由于室外環(huán)境的特殊性和不確定性,我們放置的設(shè)備必須是在密封盒內(nèi)的,天線布置應(yīng)該增加避雷器防止雷擊,不提供本地供電的場所選用遠(yuǎn)程供電設(shè)備。我們通過室外無線接入點(diǎn)外接增益天線的方式覆蓋室外區(qū)域,體現(xiàn)覆蓋范圍最大化的覆蓋原則來保證無線用戶需求。
從整體上對學(xué)院室外部分進(jìn)行規(guī)劃,通過室外建設(shè)WLAN射頻基站對室外和室內(nèi)用戶進(jìn)行無線覆蓋。室外射頻基站由室外型AP、外接天線(全向、扇區(qū))以及配套避雷設(shè)備組成。根據(jù)復(fù)雜的室外建筑結(jié)構(gòu),外接天線的選擇更加尤為重要。選擇天線型號時(shí)應(yīng)根據(jù)現(xiàn)場環(huán)境考慮增益、水平波束寬度、垂直波束寬度、極化方式、視覺效果(尺寸、外形、重量)等因素。
學(xué)校體育場、足球場、教學(xué)樓宇間公共區(qū)域等,一般是學(xué)校需要實(shí)現(xiàn)無線覆蓋的室外公共區(qū)域。根據(jù)需覆蓋的室外區(qū)域的實(shí)際情況,可以設(shè)計(jì)建立多個(gè)無線覆蓋基站,采用重疊交叉無線覆蓋的方式,完成區(qū)域的無縫無線覆蓋。選用室外型無線路由器,在空曠地方,信號傳輸距可以達(dá)到300M~600M左右,視空間大小可以使用多個(gè),或者使用室外無線AP,配合室外大夾角定向天線,成功實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)目標(biāo)。簡單設(shè)計(jì)如圖3所示。
無線校園網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)
當(dāng)一個(gè)無線局域網(wǎng)組建成功后,用戶最關(guān)心的是無線局域網(wǎng)的安全問題。為了保證網(wǎng)絡(luò)安全,我們可以從以下幾個(gè)方面考慮:
1)用戶接入認(rèn)證控制:原有線校園網(wǎng)絡(luò)已經(jīng)部署了用戶認(rèn)證系統(tǒng),建成后的無線網(wǎng)絡(luò)必須完全融合進(jìn)該認(rèn)證系統(tǒng)中。
2)基于用戶的訪問策略:不同的用戶可能有不同的上網(wǎng)行為,包括HTTP、FTP、語音等,針對不同的應(yīng)用,應(yīng)加以配置不同的行為控制權(quán)限,保障不同用戶的網(wǎng)絡(luò)互訪的安全性。
3)受保護(hù)的無線數(shù)據(jù)傳輸:無線網(wǎng)絡(luò)安全事件往往會發(fā)生在數(shù)據(jù)傳輸階段。因此,建成的無線網(wǎng)絡(luò)必須能夠滿足合法的無線用戶與無線接入點(diǎn)數(shù)據(jù)傳輸?shù)陌踩?以及無線接入點(diǎn)與上行網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)陌踩浴=Y(jié)束語
校園網(wǎng)絡(luò)已經(jīng)成為一種不可代替的獲得資源的重要手段。在校園網(wǎng)各區(qū)域分別布設(shè)無線局域網(wǎng)絡(luò)以后,教師和學(xué)生就可以在這些區(qū)域漫游使用,大大增強(qiáng)網(wǎng)絡(luò)覆蓋能力,更好地為教學(xué)服務(wù),對整合教育資源,改變教學(xué)模式,提高學(xué)校的信息化水平有著巨大的作用,為實(shí)現(xiàn)數(shù)字化校園建設(shè)打好基礎(chǔ)。
點(diǎn)擊咨詢 