第一篇:無限局域網研究
鄭州城市職業學院
畢業設計(論文)
題 目 無線局域網的研究 實習單位 中國通信建設第四工程局 系(部)電子工程系 專業班級 移動通信技術2班 學生姓名 白朋朋 學 號 20091032259 總評成績 指導教師
2012年 3 月 12 日
鄭州城市職業學院畢業設計(論文)
摘要
在這個通信網絡發展的時代,伴隨著我國有線網絡的廣泛應用,傳統的局域網、城域網技術已經遠遠不能滿足我們的使用需求,一種無線通信技術的產物依具著快捷高效、組網靈活的特點已經在我國通信的領域站穩了腳步,這就是WLAN(無線局域網)技術。
關鍵字:無限局域網
設置 2 IEEE802.11
鄭州城市職業學院畢業設計(論文)
目錄
引言 ????????????????????????????4 第一章:無線局域網的基礎
1.1.1 WLAN概述 ????????????????????5 1.1.2 WLAN的基本感念 ?????????????????5 1.1.3 WLAN 的優、缺點 ?????????????????6 1.1.4 WLAN的應用 ???????????????????7 1.1.5 WLAN常用設備 ??????????????????8 1.1.6 WLAN組成原理 ??????????????????9 1.1.7 WLAN傳輸方式 ??????????????????10 1.1.8 WLAN拓撲結構 ??????????????????11 第二章:無線局域網的標準
2.1.1 WLAN標準概述 ??????????????????13 2.1.2 IEEE802.11 ????????????????????13 2.2.1 IEEE802.11b ???????????????????13 2.2.2 IEEE802.11a ???????????????????13 2.2.3 IEEE802.11g ???????????????????14 2.2.4 IEEE802.11i ???????????????????14 2.2.5 IEEE802.11e/f/h ?????????????????14 第三章:無線局域網的設置
3.1.1路由器的設置 ??????????????????15 3.1.2無線網卡設置 ??????????????????16 第四章:無線局域網的簡單設計
4.1.1設計流程 ?????????????????????17 4.1.2調研及勘測 ????????????????????17 4.1.3覆蓋設計 ?????????????????????17 4.1.4頻率規劃 ????????????????????? 17 4.1.5容量規劃 ?????????????????17 4.1.6網絡優化 ?????????????????17 結論 ??????????????????????????18 參考文獻 ????????????????????????18 致謝 ??????????????????????????20
鄭州城市職業學院畢業設計(論文)
引言
在如今這個網絡技術時代,伴隨著有線網絡的廣泛應用,以快捷高效,組網靈活為優勢的無線網絡技術也在飛速發展。無限局域網本質上是一種網絡互連技術。無限局域網使用無線電波替代雙絞線、同軸電纜等落伍設備,省去了布線的麻煩,組網靈活。無線局域網是計算機網絡與無線通信技術相結合的產物。從專業角度講,無線局域網利用了無線多址信道的一種有效方法來支持計算機之間的通信,并為通信的移動化、個性化和多媒體應用提供了可能。通俗地說,無線局域網(WLAN)就是在不采用傳統纜線的同時,提供以太網或者令牌網絡的功能。通常計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在某些場合要受到布線的限制:布線、改線工程量大;線路容易損壞;網中的各節點不可移動。特別是當要把相離較遠的節點連接起來時,敷設專用通信線路的布線施工難度大、費用高、耗時長,對正在迅速擴大的聯網需求形成了嚴重的瓶頸阻塞。無線局域網就是解決有線網絡以上問題而出現的。無限局域網技術作為一種網絡接入手段,能迅速地應用于需要在移動中聯網和在網間漫游的場合,并在不易架設有線的地方和遠沖離的數據處節點提供強大的網絡支持。因此,WLAN已在軍隊、石化、醫護管理、工廠、庫存控制、會議、金融服務、旅游服務、移動辦公系統等行業中等到了應用,受到了廣泛的親睞。
鄭州城市職業學院畢業設計(論文)
第一章:無線局域網的基礎
1.1.1 WLAN的概述
無線局域網技術自從民用以來經歷了30多年的漫長發展歷程,自1997年IEEE發布802.11標準以來已經有了長足的發展,隨著用戶的增多以及技術的成熟,無線網絡已經擺脫了網絡速度慢、價格高等因素。應用廣泛,架設靈活,鋪設速度快等優勢逐漸使它在市場上有了相當強的競爭力。目前無線局域網還不能完全脫離有線網絡,無線網絡與有線網絡是互補的關系,而不是競爭;目前還只是有線網絡的補充,而不是替換。但也應該看到,近年來,隨著適用于無線局域網產品的價格正逐漸下降,相應軟件也逐漸成熟。此外,無線局域網已能夠通過與廣域網相結合的形式提供移動互聯網的多媒體業務。相信在未來,無線局域網將以它的高速傳輸能力和靈活性發揮更加重要的作用!
圖:無線局域網
1.1.2 WLAN的基本感念
在一個典型的無線局域網環境中,有一些進行數據發送和接收的設備,稱為接入點(AP)。通常,一個AP能夠在幾十至上百米的范圍內連接多個無線用戶。在同時具有有線和無線網絡的情況下,AP可以通過標準的Ethernet電纜與傳統的有線網絡相聯,作為無線網絡和有線網絡的連接點。無線局域網的終端用戶可通過無線網卡等訪問網絡。
無線局域網在室外主要有以下幾種結構:點對點型、點對多點型、多點對點 5
鄭州城市職業學院畢業設計(論文)
型和混合型。
※點對點型
該類型常用于固定的要聯網的兩個位置之間,是無線聯網的常用方式,使用這種聯網方式建成的網絡,優點是傳輸距離遠,傳輸速率高,受外界環境影響較小。
※ 點對多點型
該類型常用于有一個中心點,多個遠端點的情況下。其最大優點是組建網絡成本低、維護簡單;其次,由于中心使用了全向天線,設備調試相對容易。該種網絡的缺點也是因為使用了全向天線,波束的全向擴散使得功率大大衰減,網絡傳輸速率低,對于較遠距離的遠端點,網絡的可靠性不能得到保證。
※ 混合型
這種類 型適用于所建網絡中有遠距離的點、近距離的點,還有建筑物或山脈阻擋的點。在組建這種網絡時,綜合使用上述幾種類型的網絡方式,對于遠距離的點使用點對點方式,近距離的多個點采用點對多點方式,有阻擋的點采用中繼方式。
1.1.3 WLAN 的優、缺點
與有線網絡相比,無線局域網具有以下優點:
安裝便捷
一般在網絡建設中,施工周期最長、對周邊環境影響最大的,就是網絡布線施工工程。在施工過程中,往往需要破墻掘地、穿線架管。而無線局域網最大的優勢就是免去或減少了網絡布線的工作量,一般只要安裝一個或多個接入點AP(Access Point)設備,就可建立覆蓋整個建筑或地區的局域網絡。
使用靈活
在有線網絡中,網絡設備的安放位置受網絡信息點位置的限制。而一旦無線局域網建成后,在無線網的信號覆蓋區域內任何一個位置都可以接入網絡。
經濟節約
由于有線網絡缺少靈活性,這就要求網絡規劃者盡可能地考慮未來發展的需
鄭州城市職業學院畢業設計(論文)
要,這就往往導致預設大量利用率較低的信息點。而一旦網絡的發展超出了設計規劃,又要花費較多費用進行網絡改造,而無線局域網可以避免或減少以上情況的發生。
易于擴展
無線局域網有多種配置方式,能夠根據需要靈活選擇。這樣,無線局域網就能勝任從只有幾個用戶的小型局域網到上千用戶的大型網絡,并且能夠提供像“漫游(Roaming)”等有線網絡無法提供的特性。由于無線局域網具有多方面的優點,所以發展十分迅速。在最近幾年里,無線局域網已經在醫院、商店、工廠和學校等不適合網絡布線的場合得到了廣泛應用。
但是任何事物都不是完美的,無線局域網在能夠給網絡用戶帶來便捷和實用的同時,也存在著一些缺陷。無線局域網的不足之處體現在以下幾個方面:
性能
無線局域網是依靠無線電波進行傳輸的。這些電波通過無線發射裝置進行發射,而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,所以會影響網絡的性能。
速率
無線信道的傳輸速率與有線信道相比要低得多。目前,無線局域網的最大傳輸速率為54Mbit/s,只適合于個人終端和小規模網絡應用。
安全性
本質上無線電波不要求建立物理的連接通道,無線信號是發散的。從理論上講,很容易監聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
1.1.4 WLAN的應用
? 作為傳統局域網的擴充
在某些特殊環境中,無線局域網能發揮傳統局域網起不到的作用。這類環境主要是建筑物群之間、工廠建筑物之間的連接,股票交易等場所的活動節點,以及不能布線的歷史古建筑等。在這種環境情況中,無線局域網提供了一種更有效 7
鄭州城市職業學院畢業設計(論文)的聯網方式。在大多說情況下,傳統的局域網用來連接服務器和一些固定的工作站,而移動和不易于布線的節點可以通過無線局域網接入。
? 建筑物之間的互聯
無線局域網的另一個用途是連接鄰進建筑物中的局域網。在這種情況下,兩座建筑物使用一條點到點無線鏈路,連接的典型設備是網橋或路由器。
? 漫游訪問
帶有天線的移動數據設備(如筆記本電腦)與無線局域網集線器之間可以實現漫游訪問。
? 特殊網絡(臨時網絡)
特殊網絡是一個臨時需要的對等網絡(無集中的服務器)
1.1.5 WLAN常用設備
WLAN終端設備、接入點設備(AP)、接入控制點(AC)、boss系統
圖:組網模式
圖:家庭組網模式
鄭州城市職業學院畢業設計(論文)
圖:企業組網模式
圖:無線網橋
1.1.6WLAN組成原理
無線電技術的原理在于,導體中電流強弱的改變會產生無線電波。利用這一現象,通過調制可將信息加載于無線電波之上。當電波通過空間傳播到達收信端,電波引起的電磁場變化又會在導體中產生電流。通過解調將信息從電流變化中提取出來,就達到了信息傳遞的目的,無線傳輸是利用電磁波。分發射部分和接收部分。發射部分由產生高頻信號的振蕩器,將音頻信號加到電磁波上的調制器和高頻功率放大器,最后由天線發射到空間去。接收部分由接收天線,高頻放大,變頻器,中頻放大器,檢波器和音頻功率放大器等組成,最后由喇叭還原出聲音。
現在無線傳輸已經超出了廣播通信的范圍。如無線電導航,無線電定位,無線上網等許多領域。
無線局域網是一種能支持較高數據速率(2-11Mbit/s),采用微蜂窩、微微蜂窩結構、自主治理的計算機局部網絡。它可采用無線電或紅外線作為傳輸媒質,采用擴展頻譜技術,移動的終端可通過無線接入點來實現對Internet的訪問。在無線局域網這個領域中有這樣兩個主要標準:IEEE802.11和HipERLAN WLAN利用常規的局域網(如10/100/1000Mbit/s以太網)及其互連設備(路由器)構成骨干支撐網,利用無線接入點(AP)和無線接入服務器(WAS)來支持移動終端(MT)的移動和漫游。無線接入服務器的作用是提供無線終端的接入治理和移動性治理。在無線接入服務器管轄的范圍內(稱為服務區)可支持多個小區。無線接入點的作用是完成WLAN和LAN之間的橋接,實現無線空中
鄭州城市職業學院畢業設計(論文)
接口協議到LAN協議的轉換,并實現小區的移動用戶治理。在無線接入服務器中運行移動IP服務器軟件,在移動終端上運行移動IP客戶機便可支持移動IP功能。
1.1.7WLAN的傳輸方式
無線傳輸分為:模擬微波傳輸和數字微波傳輸。
模擬微波傳輸就是把視頻信號直接調制在微波的信道上,通過天線發射出去,監控中心通過天線接收微波信號,然后再通過微波接收機解調出原來的視頻信號。如果需要控制云臺鏡頭,就在監控中心加相應的指令控制發射機,監控前端配置相應的指令接收機,這種監控方式圖像非常清晰,沒有延時,沒有壓縮損耗,造價便宜,施工安裝調試簡單,適合一般監控點不是很多,需要中繼也不多的情況下使用。其弱點是:抗干擾能力較差,易受天氣、周圍環境的影響,傳輸距離有限。目前,已逐步被數字微波、COFDM、3G、CDMA等取代。
數字微波傳輸就是先把視頻編碼壓縮,然后通過數字微波信道調制,再通過天線發射出去,接收端則相反,天線接收信號,微波解擴,視頻解壓縮,最后還原模擬的視頻信號,也可微波解擴后通過電腦安裝相應的解碼軟件,用電腦軟解壓視頻,而且電腦還支持錄像,回放,管理,云鏡控制,報警控制等功能;現在隨著數字存儲方式的普及,接收下的來的信號可以直接通過NVR存儲顯示或者直接進存儲服務器,配合磁盤陣列存儲;這種監控方式圖像有720*576、352*288或更高的的分辨率選擇,通過解碼的存儲方式,視頻有0.2-0.8秒左右的延時。數字視頻監控價根據實際情況差別很大,但也有一些模擬微波不可比的優點,如監控點比較多,環境比較復
鄭州城市職業學院畢業設計(論文)
雜,需要加中繼的情況多,監控點比較集中它可集中傳輸多路視頻,抗干擾能力比模擬的要好一點,等等優點,適合監控點比較多,需要中繼也多的情況下使用,客觀地講,前期投資較高。
1.1.8WLAN的拓撲結構
星形結構:
樹型結構:
鄭州城市職業學院畢業設計(論文)
總線結構:環型結構:
鄭州城市職業學院畢業設計(論文)
第二章:無線局域網的標準
2.1.1 WLAN標準概述
由于WLAN是基于計算機網絡與無線通信技術,在計算機網絡結構中,邏輯鏈路控制(LLC)層及其之上的應用層對不同的物理層的要求可以是相同的,也可以是不同的,因此,WLAN標準主要是針對物理層和媒質訪問控制層(MAC),涉及到所使用的無線頻率范圍、空中接口通信協議等技術規范與技術標準。
2.1.2 IEEE802.11 1990年IEEE802標準化委員會成立IEEE802.11WLAN標準工作組。IEEE802.11是在1997年6月由大量的局域網以及計算機專家審定通過的標準,該標準定義物理層和媒體訪問控制(MAC)規范。物理層定義了數據傳輸的信號特征和調制,定義了兩個RF傳輸方法和一個紅外線傳輸方法,RF傳輸標準是跳頻擴頻和直接序列擴頻,工作在2.4000~2.4835GHz頻段。IEEE802.11是IEEE最初制定的一個無線局域網標準,主要用于解決辦公室局域網和校園網中用戶與用戶終端的無線接入,業務主要限于數據訪問,速率最高只能達到2Mbps。由于它在速率和傳輸距離上都不能滿足人們的需要,所以IEEE802.11標準被IEEE802.11b所取代了。
2.2.1 IEEE802.11b 1999年9月IEEE802.11b被正式批準,該標準規定WLAN工作頻段在2.4-2.4835GHz,數據傳輸速率達到11Mbps,傳輸距離控制在50-150英尺。該標準是對IEEE802.11的一個補充,采用補償編碼鍵控調制方式,采用點對點模式和基本模式兩運作模式,在數據傳輸速率方面可以根據實際情況在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率間自動切換,它改變了WLAN設計狀況,擴大了WLAN的應用領域。IEEE802.11b已成為當前主流的WLAN標準,被多數廠商所采用,所推出的產品廣泛應用于辦公室、家庭、賓館、車站、機場等眾多場合,但是由于許多WLAN的新標準的出現,IEEE802.11a和IEEE802.11g更是倍受業界關注。
2.2.2 IEEE802.11a 1999年,IEEE802.11a標準制定完成,該標準規定WLAN工作頻段在5.15-5.825GHz,數據傳輸速率達到54Mbps/72Mbps(Turbo),傳輸距離控制在10-100米。該標準也是IEEE802.11的一個補充,擴充了標準的物理層,采用正交頻分復用(OFDM)的獨特擴頻技術,采用QFSK調制方式,可提供25Mbps的無線ATM接口和10Mbps的以太網無線幀結構接口,支持多種業
鄭州城市職業學院畢業設計(論文)
務如話音、數據和圖像等,一個扇區可以接入多個用戶,每個用戶可帶多個用戶終端。IEEE802.11a標準是IEEE802.11b的后續標準,其設計初衷是取代802.11b標準,然而,工作于2.4GHz頻帶是不需要執照的,該頻段屬于工業、教育、醫療等專用頻段,是公開的,工作于5.15-8.825GHz頻帶需要執照的。一些公司仍沒有表示對802.11a標準的支持,一些公司更加看好最新混合標準――802.11g。
2.2.3 IEEE802.11g 目前,IEEE推出最新版本IEEE802.11g認證標準,該標準提出擁有IEEE802.11a的傳輸速率,安全性較IEEE802.11b好,采用2種調制方式,含802.11a中采用的OFDM與IEEE802.11b中采用的CCK,做到與802.11a和802.11b兼容。雖然802.11a較適用于企業,但WLAN運營商為了兼顧現有802.11b設備投資,選用802.11g的可能性極大。
2.2.4 IEEE802.11i
IEEE802.11i標準是結合IEEE802.1x中的用戶端口身份驗證和設備驗證,對WLANMAC層進行修改與整合,定義了嚴格的加密格式和鑒權機制,以改善WLAN的安全性。IEEE802.11i新修訂標準主要包括兩項內容:“Wi-Fi保護訪問”技術和“強健安全網絡”。Wi-Fi聯盟計劃采用802.11i標準作為WPA的第二個版本,并于2004年初開始實行。IEEE802.11i標準在WLAN網絡建設中的是相當重要的,數據的安全性是WLAN設備制造商和WLAN網絡運營商應該首先考慮的頭等工作。
2.2.5 IEEE802.11e/f/h IEEE802.11e標準對WLANMAC層協議提出改進,以支持多媒體傳輸,以支持所有WLAN無線廣播接口的服務質量保證QOS機制。IEEE802.11f,定義訪問節點之間的通訊,支持IEEE802.11的接入點互操作協議(IAPP)。IEEE802.11h用于802.11a的頻譜管理技術。
鄭州城市職業學院畢業設計(論文)
第三章:無線局域網的設置
3.11路由器設置
現在的路由器設置,多是通過WEB進行設置;由于路由器在沒有正確設置以前,無線功能可能無法使用,因此我們通過網線與路由器聯接;首先我們在瀏覽器地址欄中輸入WR541G默認的IP地址,192.168.1.1。路由器的默認IP地址可能不相同,因此可在路由器上的標明或說明書中找到。在這里,需要說明一下:在通過WEB設置路由器時,當臺與路由器聯接的電腦的IP地址,必須設置成與路由器同一網關中;如耗子的路由器IP地址是192.168.1.1,因此與之聯接的電腦的IP可設置成192.168.1.2---192.168.1.255之間任一地址。
對于電腦IP地址的設置,可如此設置:
在電腦正確安裝好網卡驅動的情況下,選擇控制面板--網絡聯接--本地聯接,選擇Internet協議(TCP/IP),點擊屬性--選擇使用下面的IP地址;IP地址輸入:192.168.1.2---192.168.1.255之間任一地址,耗子在此輸入192.168.1.2,子網掩碼輸入255.255.255.0,默認網關輸入192.168.1.1即路由器的IP地址。
在瀏覽器地址欄中輸入路由器的IP,192.168.1.1確定后即可進入路由器的WEB設置界面。一般路由器在進入WEB設置界面時,需要管理員密碼,如第一次輸入,按說明介紹,輸入原始密碼即可。
TP-LINK路由器設置安裝簡單,而且性價比也不錯,特別適合家庭網絡;耗子用過幾款TP-LINK的路由器,感覺不錯。再說國人也要支持國貨呀。
如果只想簡單的設置路由器,只要選擇設置向導,然后根據你的上網方式,配置好網絡,即可實現路由功能。對于上網方式,請您根據自身情況進行選擇。在這里,耗子以最常用的家庭ADSL虛擬撥號(PPPoE)拔號方式為例。
選擇ADSL虛擬撥號(PPPoE),點擊下一步,輸入你的帳戶名和密碼,如不知道,請與你當地的IP服務商聯系。點擊下一步,進入無線設置界面,TP-LINK默認為無線打開,由于我們此文章主要介紹無線設置,因此,如果此設置界面的無線功能沒有打開,選擇打開后,點擊下一步,即可完成路由器設置。由于新設置了路由器,因此路由器會重新聯接,如果正確啟動,選擇設置界面上 15
鄭州城市職業學院畢業設計(論文)的運行狀態,應正確顯示路由器當時狀態,如果WAN口狀態,顯示錯誤,為你設置錯誤,請重新設置。
如果想讓下面的客戶機方便的配置網絡,可以在路由器中打開DHCP服務,這樣,所有與路由器聯接的局域網中的電腦的TCP/IP協議設置為“自動獲得IP地址”,路由器即可自動為每臺機器配置網絡。這樣無需每臺機器分別指定IP地址,當然,就是打開了DHCP服務,你也可手動為每臺電腦指定IP地址。
3.12無線網卡設置
首先正確安裝無線網卡的驅動,然后選擇控制面板--網絡聯接--選擇無線網絡聯接,右鍵選擇屬性。在無線網卡聯接屬性中選擇配置,選擇屬性中的AD Hoc信道,在值中選擇6,其值應與路由器無線設置頻段的值一致,點擊確定。
一般情況下,無線網卡的頻段不需要設置的,系統會自動搜索的。耗子的無線網卡即可自動搜索到頻段,因此如果你設置好無線路由后,無線網卡無法搜索到無線網絡,一般多是頻段設置的原因,請按上面設置正確的頻段即可。
設置完面后,選擇選擇控制面板--網絡聯接--鼠標雙擊無線網絡聯接,選擇無線網絡聯接狀態,正確情況下,無線網絡應正常聯接的
如果無線網絡聯接狀態中,沒有顯示聯接,點擊查看無線網絡,然后選擇刷新網絡列表,在系統檢測到可用的無線網絡后,點擊聯接,即可完成無線網絡聯接。
其實無線網絡設置與有線網站設置基本差不多的。只是比有線網絡多了個頻段設置,如果只是簡單的設置無線網絡,以上設置過程即可完成。上述文章只是介紹了一臺電腦與無線路由器聯接,如是多臺機器,與單機設置是一樣的。因為我們在路由器中設置了DHCP服務,因此無法指定IP,即可完成多臺機器的網絡配置。如果要手動指定每臺機器的IP,只要在網卡TCP/IP設置中,指定IP地址即可,但一定要注意,IP地址的設置要與路由器在同一網段中,網關和DNS全部設置成路由器的IP即可。
鄭州城市職業學院畢業設計(論文)
第四章:無線局域網的簡單設計
4.1.1設計流程
WLAN網絡規劃流程可以分為以下幾個步驟:調研及勘查、覆蓋設計、頻率規劃、容量規劃、網絡優化幾個步驟。
4.1.2調研及勘測
前期調研和規劃是網絡規劃的基礎,是獲得規劃輸入參數的過程。調研階段需與運營商進行良好溝通,以確定準確的覆蓋目標、網絡設計容量以及網絡的預期質量。
4.1.3覆蓋設計
WLAN網絡大體可以分為下面兩種場景、4類覆蓋方式。(1)室內覆蓋:單獨建設方式、共用室內分布系統建設方式;(2)室外覆蓋:室外型AP覆蓋方式、Mesh型網絡覆蓋方式。
4.1.4頻率規劃
IEEE802.11b/g設備使用2.4~2.4835GHz頻段。工作頻率帶寬為83.5MHz,劃分為14個子頻道,每個子頻道帶寬為22MHz;互不干擾的子信道有3個。(4.1.5容量規劃
隨著WLAN的普及,出現了一些用戶密集的熱點區域,這些區域是WLAN設計的難點和重點。下面討論AP接入能力、干擾對WLAN速率的影響幾個方面的問題。
4.1.6網絡優化
在網絡規劃設計及建設完成之后,需要對實際網絡質量進行測量,并根據測量結果對網絡進行調整,以確保信號強度、干擾等指標達到目標值。
鄭州城市職業學院畢業設計(論文)
總結
無線網絡的出現就是為了解決有線網絡無法克服的困難。雖然無線網絡有諸多優勢,但與有線網絡相比,無線局域網也有很多不足。無線網絡速率較慢、價格較高,因而它主要面向有特定需求的用戶。目前無線局域網還不能完全脫離有線網絡,無線網絡與有線網絡是互補的關系,而不是競爭;目前還只是有線網絡的補充,而不是替換。但也應該看到,近年來,隨著適用于無線局域網產品的價格正逐漸下降,相應軟件也逐漸成熟。此外,無線局域網已能夠通過與廣域網相結合的形式提供移動互聯網的多媒體業務。相信在未來,無線局域網將以它的高速傳輸能力和靈活性發揮更加重要的作用!
參考文獻
[1]魏紅;《移動通信技術》(第二版)[M]北京:人民郵電出版社 2009年 [2]壽文澤:《通信線路設計》北京:人民郵電出版社 [J] 2009年 [3]林打權:《光纖通信》高等教育出版社 [M] 2008年
[4]王玉峰《無線局域網及其應用》無線電工程 [J] 1994年04期 [5]徐春霞《公共無線局域網安全體系及應用》[M] 東南大學 2005年 [6]劉德志《高速局域網的研究》南京理工大學 [D] 2003年
[7]趙力強《公用無線局域網關鍵技術的研究》[D] 西安電子科技大學 2003年
鄭州城市職業學院畢業設計(論文)
致謝
畢業設計是對我們知識運用能力的一次全面考核,也是對我們進行科學研究基本功的訓練,培養我們的綜合能力,為以后撰寫專業學術論文和工作打下了良好的基礎。
本次設計能夠順利的完成,首先我要感謝我的母校-----鄭州城市學院,是她為我們提供了學習只是的土壤,感謝我的老師,是他們教會了我專業的知識和做人做事的道理,其次我要感謝中國通信建設第四工程局,感謝四局給我提供了一個良好的工作環境,使我的知識面加寬了很多,也學到了很多知識。使得畢業設計順利的完成。
第二篇:無限局域網技術分析與探討 畢業論文
JIU JIANG UNIVERSITY
畢 業 論 文
題 目: 無線局域網技術分析與探討 院 系: 信息科學與技術學院 專 業: 網絡系統管理 姓 名: 年 級: 指導教師:
二零一一年十一月二十日
摘 要...........................................................2 目 錄?????????????????????????????.3 第一章?????????????????????????????5 1.1 選題背景???????????????????????? 5 第二章 無線局域網??????????????????????..6
2.1 簡單的家庭無線局域網?????????????????? 6 2.2 無線橋接???????????????????????? 6 2.3 中型無線局域網?????????????????????.7 2.4 大型可交換局域網????????????????????.7 2.5 無線局域網絡應用???????????????????? 8 2.6 無線局域網的優點???????????????????? 8 2.7 無線局域網的不足之處?????????????????? 9 第三章 無線技術??????????????????????? 10 3.1 技術要求???????????????????????? 10 3.2 硬件設備???????????????????????? 10 3.3 展頻技術???????????????????????? 11 3.3.1 跳頻技術??????????????????????.11 3.3.2 直接序列展頻技術??????????????????.11 3.4 FHSS VS DSSS調變差異??????????????????.11 3.5 DSSS VS FHSS之優劣 ??????????????????.11 第四章 IEEE 802.11之相關信息 ????????????????.13 4.1 2.4GHz Direct Sequence Spread Spectrum?????????? 13 4.2 2.4GHz Frequency Hopping Spread Spectrum????????? 13 4.3 Diffused IR?????????????????????? 13 第五章 無線局域網絡產品簡介?????????????????.14 5.1 Access Point ??????????????????????14 5.2 Wireless LAN Card????????????????????14 5.3 Antenna????????????????????????.14 5.4 產品Q&A????????????????????????.14 5.5 無線局域網絡之應用??????????????????..17 第六章 無線局域網關鍵技術與展望??????????????? 18 6.1 公共WLAN組網方案???????????????????.18
6.1.1 接入點(AP)???????????????????.18 6.1.2 接入控制點(AC)?????????????????? 18 6.1.3 遠程撥號接入認證(RADIUS)服務器??????????.18 6.1.4 認證服務器(AS)??????????????????.18 6.1.5門戶網站服務器(Portal Server)????????????18 6.2 公網WLAN用戶接入的相關解決方案?????????????18 6.2.1 1.OWLAN的用戶認證?????????????????.18 6.2.2 802.1x用戶認證方式中的訪問實體??????????? 19 6.3 802.1x認證方式?????????????????????19
6.3.1 EAP-MD5認證方式??????????????????.19 6.3.2 EAP-SIM認證方式??????????????????.19 6.3.3 EAP-TLS認證方式?????????????????...19 6.3.4 EAP-TTLS鑒權認證方式???????????????..19 6.4 OWLAN的數據安全????????????????????.20 第七章 WLAN中的VPN??????????????????????21 7.1 由用戶端發起的VPN連接????????????????? 21 7.2 由AC端發起的VPN連接?????????????????? 21 7.3 802.11i標準?????????????????????...21 7.4 基本的WLAN安全????????????????????..22 7.5 IEEE 802.11的安全技術?????????????????.22 7.5.1 認證.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i標準???????????????????? 23 7.7 VPN技術???????????????????????? 24 7.8 WAPI?????????????????????????? 24 7.9 WLAN的切換與漫游????????????????????25 7.9.1 切換與漫游??????????????????????? 25 7.9.2 移動IP?????????????????????????25 結語?????????????????????????????.26 致謝?????????????????????????????.27 參考文獻???????????????????????????.28
第一章
緒論
1.1 選題背景
對于局域網絡管理主要工作之一,對于鋪設電纜或是檢查電纜是否斷線這種耗時的工作,很容易令人煩躁,也不容易在短時間內找出斷線所在。再者,由于配合企業及應用環境不斷的更新與發展,原有的企業網絡必須配合重新布局,需要重新安裝網絡線路,雖然電纜本身并不貴,可是請技術人員來配線的成本很高,尤其是老舊的大樓,配線工程費用就更高了。因此,架設無線局域網絡就成為最佳解決方案。
無線局域網拓撲結構概述:基于IEEE802.11標準的無線局域網允許在局域網絡環境中使用未授權的2.4或5.3GHz射頻波段進行無線連接。它們應用廣泛,從家庭到企業再到Internet接入熱點。
第二章 無線局域網
圖一
2.1 簡單的家庭無線局域網
簡單的家庭無線LAN:在家庭無線局域網最通用和最便宜的例子,如圖1所示,一臺設備作為防火墻,路由器,交換機和無線接入點。這些無線路由器可以提供廣泛的功能,例如:保護家庭網絡遠離外界的入侵。允許共享一個ISP(Internet服務提供商)的單一IP地址。可為4臺計算機提供有線以太網服務,但是也可以和另一個以太網交換機或集線器進行擴展。為多個無線計算機作一個無線接入點。通常基本模塊提供2.4GHz802.11b/g操作的Wi-Fi,而更高端模塊將提供雙波段Wi-Fi或高速MIMO性能。雙波段接入點提供2.4GHz802.11b/g和5.3GHz802.11a性能,而MIMO接入點在2.4GHz范圍中可使用多個射頻以提高性能。雙波段接入點本質上是兩個接入點為一體并可以同時提供兩個非干擾頻率,而更新的MIMO設備在2.4GHz范圍或更高的范圍提高了速度。2.4GHz范圍經常擁擠不堪而且由于成本問題,廠商避開了雙波段MIMO設備。雙波段設備不具有最高性能或范圍,但是允許你在相對不那么擁擠的5.3GHz范圍操作,并且如果兩個設備在不同的波段,允許它們同時全速操作。家庭網絡中的例子并不常見。該拓撲費用更高但是提供了更強的靈活性。路由器和無線設備可能不提供高級用戶希望的所有特性。在這個配置中,此類接入點的費用可能會超過一個相當的路由器和AP一體機的價格,歸因于市場中這種產品較少,因為多數人喜歡組合功能。一些人需要更高的終端路由器和交換機,因為這些設備具有諸如帶寬控制,千兆以太網這樣的特性,以及具有允許他們擁有需要的靈活性的標準設計。
2.1 無線橋接
圖二
無線橋接:當有線連接太昂貴或者需要為有線連接建立第二條冗余連接以作備份時,無線橋接允許在建筑物之間進行無線連接。802.11設備通常用來進行這項應用以及無線光纖橋。802.11基本解決方案一般更便宜并且不需要在天線之間有直視性,但是比光纖解決方案要慢很多。802.11解決方案通常在5至30mbps范圍內操作,而光纖解決方案在100至1000mbps范圍內操作。這兩種橋操作距離可以超過10英里,基于802.11的解決方案可達到這個距離,而且它不需要線纜連接。但基于802.11的解決方案的缺點是速度慢和存在干擾,而光纖解決方案不會。光纖解決方案的缺點是價格高以及兩個地點間不具有直視性。
2.3 中型無線局域網
圖五
中型無線局域網:中等規模的企業傳統上使用一個簡單的設計,他們簡單地向所有需要無線覆蓋的設施提供多個接入點。這個特殊的方法可能是最通用的,因為它入口成本低,盡管一旦接入點的數量超過一定限度它就變得難以管理。大多數這類無線局域網允許你在接入點之間漫游,因為它們配置在相同的以太子網和SSID中。從管理的角度看,每個接入點以及連接到它的接口都被分開管理。在更高級的支持多個虛擬SSID的操作中,VLAN通道被用來連接訪問點到多個子網,但需要以太網連接具有可管理的交換端口。這種情況中的交換機需要進行配置,以在單一端口上支持多個VLAN。盡管使用一個模板配置多個接入點是可能的,但是當固件和配置需要進行升級時,管理大量的接入點仍會變得困難。從安全的角度來看,每個接入點必須被配置為能夠處理其自己的接入控制和認證。RADIUS服務器將這項任務變得更輕松,因為接入點可以將訪問控制和認證委派給中心化的RADIUS服務器,這些服務器可以輪流和諸如Windows活動目錄這樣的中央用戶數據庫進行連接。但是即使如此,仍需要在每個接入點和每個RADIUS服務器之間建立一個RADIUS關聯,如果接入點的數量很多會變得很復雜。
2.4 大型可交換無線局域網
圖六
大型可交換無線局域網:交換無線局域網是無線連網最新的進展,簡化的接入點通過幾個中心化的無線控制器進行控制。數據通過Cisco,ArubaNetworks,Symbol和TrapezeNetworks這樣的制造商的中心化無線控制器進行傳輸和管理。這種情況下的接入點具有更簡單的設計,用來簡化復雜的操作系統,而且更復雜的邏輯被嵌入在無線控制器中。接入點通常沒有物理連接到無線控制器,但是它們邏輯上通過無線控制器交換和路由。要支持多個VLAN,數據以某種形式被封裝在隧道中,所以即使設備處在不同的子網中,但從接入點到無線控制器有一個直接的邏輯連接。無線局域網
從管理的角度來看,管理員只需要管理可以輪流控制數百接入點的無線局域網控制器。這些接入點可以使用某些自定義的DHCP屬性以判斷無線控制器在哪里,并且自動連結到它成為控制器的一個擴充。這極大地改善了交換無線局域網的可伸縮性,因為額外接入點本質上是即插即用的。要支持多個VLAN,接入點不再在它連接的交換機上需要一個特殊的VLAN隧道端口,并且可以使用任何交換機甚至易于管理的集線器上的任何老式接入端口。VLAN數據被封裝并發送到中央無線控制器,它處理到核心網絡交換機的單一高速多VLAN連接。安全管理也被加固了,因為所有訪問控制和認證在中心化控制器進行處理,而不是在每個接入點。只有中心化無線控制器需要連接到RADIUS服務器,這些服務器在圖6顯示的例子中輪流連接到活動目錄。交換無線局域網的另一個好處是低延遲漫游。這允許VoIP和Citrix這樣的對延遲敏感的應用。切換時間會發生在通常不明顯的大約50毫秒內。傳統的每個接入點被獨立配置的無線局域網有1000毫秒范圍內的切換時間,這會破壞電話呼叫并丟棄無線設備上的應用會話。交換無線局域網的主要缺點是由于無線控制器的附加費用而導致的額外成本。但是在大型無線局域網配置中,這些附加成本很容易被易管理性所抵消
2.5 無線局域網絡應用
無線局域網絡應用:大樓之間:大樓之間建構網絡的連結,取代專線,簡單又便宜。餐飲及零售:餐飲服務業可使用無線局域網絡產品,直接從餐桌即可輸入并傳送客人點菜內容至廚房、柜臺。零售商促銷時,可使用無線局域網絡產品設置臨時收銀柜臺。醫療:使用附無線局域網絡產品的手提式計算機取得實時信息,醫護人員可藉此避免對傷患救治的遲延、不必要的紙上作業、單據循環的遲延及誤診等,而提升對傷患照顧的品質。企業:當企業內的員工使用無線局域網絡產品時,不管他們在辦公室的任何一個角落,有無線局域網絡產品,就能隨意地發電子郵件、分享檔案及上網絡瀏覽。倉儲管理:一般倉儲人員的盤點事宜,透過無線網絡的應用,能立即將最新的資料輸入計算機倉儲系統。貨柜集散場:一般貨柜集散場的橋式起重車,可于調動貨柜時,將實時信息傳回office,以利相關作業之逐行。監視系統:一般位于遠方且需受監控現場之場所,由于布線之困難,可藉由無線網絡將遠方之影像傳回主控站。展示會場:諸如一般的電子展,計算機展,由于網絡需求極高,而且布線又會讓會場顯得凌亂,因此若能使用無線網絡,則是再好不過的選擇。
2.6 無線局域網的優點
無線局域網的優點:(1)靈活性和移動性。在有線網絡中,網絡設備的安放位置受網絡位置的限制,而無線局域網在無線信號覆蓋區域內的任何一個位置都可以接入網絡。無線局域網另一個最大的優點在于其移動性,連接到無線局域網的用戶可以移動且能同時與網絡保持連接。(2)安裝便捷。無線局域網可以免去或最大程度地減少網絡布線的工作量,一般只要安裝一個或多個接入點設備,就
可建立覆蓋整個區域的局域網絡。(3)易于進行網絡規劃和調整。對于有線網絡來說,辦公地點或網絡拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網可以避免或減少以上情況的發生。(4)故障定位容易。有線網絡一旦出現物理故障,尤其是由于線路連接不良而造成的網絡中斷,往往很難查明,而且檢修線路需要付出很大的代價。無線網絡則很容易定位故障,只需更換故障設備即可恢復網絡連接。(5)易于擴展。無線局域網有多種配置方式,可以很快從只有幾個用戶的小型局域網擴展到上千用戶的大型網絡,并且能夠提供節點間“漫游”等有線網絡無法實現的特性。由于無線局域網有以上諸多優點,因此其發展十分迅速。最近幾年,無線局域網已經在企業、醫院、商店、工廠和學校等場合得到了廣泛的應用。
2.7 無線局域網的不足之處
無線局域網的不足之處:無線局域網在能夠給網絡用戶帶來便捷和實用的同時,也存在著一些缺陷。無線局域網的不足之處體現在以下幾個方面:(1)性能。無線局域網是依靠無線電波進行傳輸的。這些電波通過無線發射裝置進行發射,而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,所以會影響網絡的性能。(2)速率。無線信道的傳輸速率與有線信道相比要低得多。目前,無線局域網的最大傳輸速率為150Mbit/s,只適合于個人終端和小規模網絡應用。(3)安全性。本質上無線電波不要求建立物理的連接通道,無線信號是發散的。從理論上講,很容易監聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
第三章 無線技術
3.1 技術要求
由于無線局域網需要支持高速、突發的數據業務,在室內使用還需要解決多徑衰落以及各子網間串擾等問題。具體來說,無線局域網必須實現以下技術要求:
1.可靠性:無線局域網的系統分組丟失率應該低于10-5,誤碼率應該低于10-8。
2.兼容性:對于室內使用的無線局域網,應盡可能使其跟現有的有線局域網在網絡操作系統和網絡軟件上相互兼容。
3.數據速率:為了滿足局域網業務量的需要,無線局域網的數據傳輸速率應該在1Mbps以上。
4.通信保密:由于數據通過無線介質在空中傳播,無線局域網必須在不同層次采取有效的措施以提高通信保密和數據安全性能。
5.移動性:支持全移動網絡或半移動網絡。
6.節能管理:當無數據收發時使站點機處于休眠狀態,當有數據收發時再激活,從而達到節省電力消耗的目的。
7.小型化、低價格:這是無線局域網得以普及的關鍵。
8.電磁環境:無線局域網應考慮電磁對人體和周邊環境的影響問題。
3.2 硬件設備
1.無線網卡。無線網卡的作用和以太網中的網卡的作用基本相同,它作為無線局域網的接口,能夠實現無線局域網各客戶機間的連接與通信。無線局域網
2.無線AP。AP是Access Point的簡稱,無線AP就是無線局域網的接入點、無線網關,它的作用類似于有線網絡中的集線器。
3.無線天線。當無線網絡中各網絡設備相距較遠時,隨著信號的減弱,傳輸速率會明顯下降以致無法實現無線網絡的正常通信,此時就要借助于無線天線對所接收或發送的信號進行增強 開源項目
使用開源軟件無線電GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的贊助下編寫802.11 代碼。GNU Radio 是免費的軟件開發工具套件。它提供信號運行和處理模塊,用它可以在易制作的低成本的射頻(RF)硬件和通用微處理器上實現軟件定義無線電。這套套件廣泛用于業余愛好者,學術機構和商
業機構用來研究和構建無線通信系統。GNU Radio 的應用主要是用Python 編程語言來編寫的。但是其核心信號處理模塊是C++在帶浮點運算的微處理器上構建的。因此,開發者能夠簡單快速的構建一個實時、高容量的無線通信系統。盡管其主要功用不是仿真器,GNU Radio 在沒有射頻RF 硬件部件的境況下支持對預先存儲和(信號發生器)生成的數據進行信號處理的算法的研究。
3.3 展頻技術
展頻技術的無線局域網絡產品是依據FCC(Federal Communications Committee;美國聯邦通訊委員會)規定的ISM(Industrial Scientific,and Medical),頻率范圍開放在902M~928MHz及2.4G~2.484GHz兩個頻段,所以并沒有所謂使用授權的限制。展頻技術主要又分為「跳頻技術」及「直接序列」兩種方式。而此兩種技術是在第二次世界大戰中軍隊所使用的技術,其目的是希望在惡劣的戰爭環境中,依然能保持通信信號的穩定性及保密性。
3.3.1跳頻技術(FHSS)
跳頻技術(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同時的情況下,接受兩端以特定型式的窄頻載波來傳送訊號,對于一個非特定的接受器,FHSS所產生的跳動訊號對它而言,也只算是脈沖噪聲。FHSS所展開的訊號可依特別設計來規避噪聲或One-to-Many的非重復的頻道,并且這些跳頻訊號必須遵守FCC的要求,使用75個以上的跳頻訊號、且跳頻至下一個頻率的最大時間間隔(Dwell Time)為400ms。
3.3.2直接序列展頻技術(DSSS)
直接序列展頻技術(Direct Sequence Spread Spectrum;DSSS)是將原來的訊號「1」或「0」,利用10個以上的chips來代表「1」或「0」位,使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個bit使用多少個chips稱做Spreading chips,一個較高的Spreading chips可以增加抗噪聲干擾,而一個較低Spreading Ration可以增加用戶的使用人數。
基本上,在DSSS的Spreading Ration是相當少的,例如在幾乎所有2.4GHz的無線局域網絡產品所使用的Spreading Ration皆少于20。而在IEEE802.11的標準內,其Spreading Ration大約在100左右。
3.4 FHSS VS DSSS調變差異
無線局域網絡在性能和能力上的差異,主要是取決于所采用的是FHSS還是DSSS來實現、以及所采用的調變方式。然而,調變方式的選擇并不完全是隨意的,像FHSS并不強求某種特定的調變方式,而且,大部分既有的FHSS都是使用某些不同形式的GFSK,但是,IEEE 802.11草案規定要使用GFSK。至于DSSS則過使用可變相位調變(如:PSK、QPSK、DQPSK),可以得到最高的可靠性以及表現高數據速率性能。在抗噪聲能力卜方面,采用QPSK調變方式的DSSS與采用FSK調變方式的FHSS相比,可以發現這兩種不同技術的無線局域網絡各自擁有的優勢。FHSS系統之所以選用FSK調變方式的原因是因為FHSS和FSK內在架構的簡單性,FSK無線訊號可使用非線性功率放大器,但這卻犧牲了作用范圍和抗噪聲能力。而DSSS系統需要稍為貴一些的線性放大器,但卻可以獲得更多的回饋。
3.5 DSSS VS FHSS之優劣
截至目前,若以現有的產品參數詳加比較,可以看出DSSS技術在需要最佳可靠性的應用中具有較佳的優勢,而FHSS技術在需要低成本的應用中較占優勢。雖然我們可以在網際網絡內看到各家廠商各說各話,但真正需要注意的是廠商在DSSS和FHSS展頻技術的選擇,必須要審慎端視產品在市場的定位而定,因為它可以解決無線局域網絡的傳輸能力及特性,包括:抗干擾能力、使用距離范圍、頻寬大小、及傳輸資料的大小。一般而言,DSSS由于采用全頻帶傳送資料,速度較快,未來可開發出更高傳輸頻率的潛力也較大。DSSS技術適用于固定環境中、或對傳輸品質要求較高的應用,因此,無線廠房、無線醫院、網絡社區、分校連網等應用,大都采用DSSS無線技術產品。FHSS則大都使用于需快速移動的端點,如行動電話在無線傳輸技術部分即是采用FHSS技術;且因FHSS傳輸范圍較小,所以往往在相同的傳輸環境下,所需要的FHSS技術設備要比DSSS技術設備多,在整體價格上,可能也會比較高。以目前企業需求來說,高速移動端點應用較少,而大多較注重傳輸速率、及傳輸的穩定性,所以未來無線網絡產品發展應會以DSSS技術為主流。消費者選購無線局域網絡時需要特別注意下列的特性,以決定自己合適的產品,包括:
◎ 涵蓋范圍
◎ 傳輸率
◎ 受Multipath影響程度
◎ 提供資料整合程度
◎ 和有線的基礎設施之間的互操性
◎ 和其它無線的基礎設施之間的互操性
◎ 抗干擾程度
◎ 簡單、易操作
◎ 保密能力
◎ 低成本
◎ 電流消耗情況。
第四章 IEEE 802.11之相關信息
因應無線局域網絡的強烈需求,美國的國際電子電機學會于1990年11月召開了802.11委員會,開始制定無線局域網絡標準。承襲IEEE802系列,802.11規范了無線局域網絡的介質存取控制(Medium Access Control ;MAC)層及實體(Physical ;PHY)層。此較特別的是由于實際無線傳輸的方式不同,IEEE802.11在統一的MAC層下面規范了各種不同的實體層,以因應目前的情況及未來的技術發展。目前802.11中制訂了三種介質的實體,為了未來技術的擴充性,也都提供了多重速率(Mulitiple Rates)的功能。這三個實體分別是:
4.1 2.4GHz Direct Sequence Spread Spectrum
速率1Mbps時用DBPSK調變(Difference By Phase Shift Keying)速率2Mbps 時用DQPSK調變(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用長度11的Barker碼當展頻PN碼
4.2 2.4GHz Frequency Hopping Spread Spectrum
速率1Mbps時用2-level GFSK調變,接收敏感度–80dbm, 速率2Mbps時用4-level GFSK調變,接收敏感度–75dbm, 每秒跳2.5個 hops Hopping Sequence在歐美有22組,在日本有4組
4.3 Diffused IR
速率1Mbps時用16ppm調變,接收敏感度2 ×10-5mW/平方公分 速率2Mbps時用4ppm調變,接收敏感度8 ×10-5mW/平方公分 波長850nm~950nm
其中前兩種在2.4GHz的射頻方式是依據ISM頻段以展頻技術可做不須授權使用的規定,這個頻段的使用在全世界包含美國、歐洲、日本及中國臺灣等主要國家和地區都有開放。第三項的紅外線由于目前使用上沒有任何管制(除了安全上的規范),因此也是自由使用的。IEEE 802.11 MAC的基本存取方式稱為CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance),與以太網絡所用的CSMA/CD(Collision Detection)變成了碰撞防止(Collision Avoidance),這一字之差是很大的。因為在無線傳輸中感測載波及碰撞偵測都是不可靠的,感測載波有困難。另外通常無線電波經天線送出去時,自己是無法監視到的,因此碰撞偵測實質上也做不到。在802.11中感測載波是由兩種方式來達成,第一是實際去聽是否有電波在傳,及加上優先權的觀念。另一個是虛擬的感測載波,告知大家待會有多久的時間我們要傳東西,以防止碰撞。
第五章 無線局域網絡之產品簡介
5.1 Access Point
一般俗稱為網絡橋接器,顧名思義即是當作傳統的有線局域網絡與無線局域網絡之橋梁,因此任何一臺裝有無線網卡之PC均可透過AP去分享有線局域網絡甚至廣域網絡之資源。除此之外,AP本身又兼具有網管之功能,可針對接有無線網絡卡之PC作必要之控管。
5.2 Wireless LAN Card
一般稱為無線網絡卡,其與傳統之Ethernet網絡卡的差別是在于前者之資料傳送乃是藉由無線電波,而后者則是透過一般的網絡線。目前無線網絡卡的規格大致可分成2M,5M,11M,三種,而其適用之界面可分為PCMCIA,ISA,PCI三種界面。
5.3 Antenna
一般稱為天線,此天線與一般電視,火腿族,大哥大所用之天線不同,其原因乃是因為頻率不同所致,WLAN所用之頻率為較高2.4GHz之頻段。天線之功能乃是將source之信號,藉由天線本身的特性而傳送至遠處,至于能傳多遠,一般除了考慮source的output power強度之外,其另一重要因素乃是天線本身之dBi值,即俗稱的增益值,dB值愈高,相對所能傳達之距離也更遠。通常每增加8dB則相對之距離可增至原距離的一半。一般天線有所謂指向性(Uni-direction)與全向性(Omni-direction)兩種,前者較適合于長距離使用,而后者則較適合區域性之應用。
5.4 產品Q & A
Q1:何謂無線網絡
ANS:一般來講,所謂無線,顧名思義就是利用無線電波來作為資料的傳導,而就應用層面來講,它與有線網絡的用途完全相似,兩者最大不同的地方是在于傳輸資料的媒介不同。除此之外,正因它是無線,因此無論是在硬件架設或使用之機動性均比有線網絡要優勢許多。
Q2:無線網絡與有線網絡相較之下,有那些優點 ANS:就使用上它的機動性,便利性,是有線網絡所不及,就成本上,它可省下一筆可觀的布線費用,修改裝潢費用,基本上使用的空間較為彈性許多。
Q3:無線網絡對人體是否有所影響
ANS:因無線網絡的發射功率較一般的大哥大手機要微弱許多,無線網絡發射功率約60~70mW,而大哥大手機發射功率約200mW左右,而且使用的方式亦非像手機一般直接接觸于人體,因此較無安全上之考量。
Q4:若要架構一個無線網絡,其最基本之配備需要有那些
ANS:一般架設無線網絡的基本配備就是一片無線網絡卡及一臺橋接器(AP),如此便能以無線的模式,配合既有的有線架構來分享網絡資源。
Q5:無線網絡就使用是否會被干擾或影響其它設備運作
ANS:基本上無線網絡所使用之頻段是屬于ISM 2.4GHz的高頻率范圍,就日常生活,或辦公室等等所用之電器設備是不會相互干擾,因頻率差異甚多,而且無線網絡本身共有12個信道可供調整,自然干擾的現象就不必擔心。
Q6:何謂ISM頻段
ANS:ISM(Industrial Scientific Medical)Band,此頻段(2.4~2.4835GHz)主要是開放給工業,科學、醫學,三個主要機構使用,該頻段是依據美國聯邦通訊委員會(FCC)所定義出來,屬于Free License,并沒有所謂使用授權的限制。
Q7:何謂展頻(Spread Spectrum)ANS:展頻技術主要又分為「跳頻技術」及「直接序列」兩種方式。而此兩種技術是在第二次世界大戰中軍隊所使用的技術,其目的是希望在惡劣的戰爭環境中,依然能保持通信信號的穩定性及保密性。對于一個非特定的接受器,Spread Spectrum所產生的跳動訊號對它而言,只算是脈沖噪聲。因此對整體而言是一種較具安全性的通訊技術。
Q8:何謂跳頻(Frequency-Hopping Spread Spectrum)ANS:跳頻技術(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同時的情況下,接受兩端以特定型式的窄頻載波來傳送訊號,對于一個非特定的接受器,FHSS所產生的跳動訊號對它而言,只算是脈沖噪聲。FHSS所展開的訊號可依特別設計來規避噪聲或One-to-Many的非重復的頻道,并且這些跳頻訊號必須遵守FCC的要求,使用75個以上的跳頻訊號、且跳頻至下一個頻率的最大時間間隔(Dwell Time)為400ms。
Q9:何謂直接序列展頻(Direct Sequence Spread Spectrum)ANS:直接序列展頻技術(Direct Sequence Spread Spectrum;DSSS)是將原來的訊號「1」或「0」,利用10個以上的chips來代表「1」或「0」位,使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個bit使用多少個chips稱做Spreading chips,一個較高的Spreading chips可以增加抗噪聲干擾,而一個較低Spreading Ration可以增加用戶的使用人數。基本上,在DSSS的Spreading Ration是相當少的,例如在幾乎所有2.4GHz的無線局域網絡產品所使用的Spreading Ration皆少于20。而在IEEE 802.11的標準內,其Spreading Ration只有11,但FCC的規定是必須大于10,而實驗中,最佳的Spreading Ration大約在100左右。
Q10:無線網絡所能含蓋的范圍有多廣
ANS:一般無線網絡所能含蓋的范圍應視環境的開放與否而定,若不加外接天線而言,在視野所及之處約250M,若屬半開放性空間,有隔間之區域,則約35~50M左右,當然若加上外接天線,則距離可達更遠,此關系到天線本身之增益而定,因此需視客戶之需求而加以規劃之。
Q11:無線網絡于使用之過程其保密性為何
ANS:基本上GEMPLEX之無線網絡技術采DSSS系統,本身就具有防竊聽之功能,另外再加上資料加密功能(WEP40bits)的雙重防護下,因此其安全性是相當周全。
Q12:何謂橋接器(Access Point)ANS:Access Point,一般俗稱為網絡橋接器,顧名思義即是當作傳統的有線局域網絡與無線局域網絡之橋梁,因此任何一臺裝有無線網卡之PC均可透過AP去分享有線局域網絡甚至廣域網絡之資源。除此之外,AP本身又兼具有網管之功能,可針對接有無線網絡卡之PC作必要之控管。
Q13:Access Point在使用上可同時支持多少工作站
ANS:理論上是可以支持到一個CLASS C,但為了讓工作站本身有足夠之頻寬可利用,一般建議一臺AP約支持20~30左右之工作站為最佳狀態。
Q14:何謂漫游(Roaming)功能
ANS:如同大哥大一般,可漫游在不同的基地臺之間,無線網絡工作站亦可漫游在不同的AP之間,只要AP群的ESSID
定義一樣,則自然無線網絡工作站可自由的漫游于無線電波所能含蓋之區域。
Q15:若無線網絡之設備架設于室外,其如何防止雷擊
ANS:基本上無線網絡可配置避雷器之設備,此設備可選購裝設于無線網絡設備上,以利外來之突波造成系統損壞。
Q16:何謂Access Control ANS:基本上每張無線網卡上都有一組獨一無二的硬件地址,即所謂的MAC address,經由Access Control table可定義某些卡可登入此AP,某些卡被拒絕登入,如此便能達到控管的機制,可避免非相關人員隨意登入網絡,竊取資源。
Q17:何謂ASBF ANS:ASBF(Automatic Scale Back Functionality),此項功能是Gemplex AP特有之功能,保證WLAN始終處于最佳的聯機品質,除此之外,并提供支持多重廠商的無線網卡,但其網卡必須是符合IEEE 802.11之規范而設計。
Q18:何謂Power Management ANS:由于Notebook使用約2小時左右后便必須充電,若又同時使用其它外圍設備,則必定更加耗電,因此此項功能乃在于有效的管理無線網絡卡所消耗之電量,換句話說,它能適時控制當有DATA sending or receiving時,是處于”Wake up status”,反之則處于power down mode。
Q19:天線所使用之導線的長度是否有影響傳輸品質 ANS:一般來講,天線所使用之導線的長度,材質,阻抗匹配,均會對訊號造成某程度之影響,而最明顯的就是增益衰減。通常以20 feet之長度而言就會讓訊號衰減約1.2dBi左右,而平均每衰減8dBi就會讓原傳輸之距離約縮減一半,因此導線之長度與品質在無線產品的應用上是不容忽視的。
Q20:架設指向性天線時,是否有工具可提供指示,讓訊號品質達到最佳化
ANS:Gemplex之Bridge本身有提供一套軟件聯機品質校正程序,其中是以圖形曲線的方式呈現于屏幕上,使用者可明顯看出該訊號目前強弱之狀況,而加以調整天線的位置,已達最佳狀態。
Q21 : 何謂Ad-hoc ANS : 構成一種特殊的無線網絡應用模式,一群計算機接上無線網絡卡,即可相互連接,資源共享,無需透過Access Point.Q22 : 何謂Infrastructure ANS : 一種整合有線與無線局域網絡架構的應用模式,透過此種架構模式,即可達成網絡資源的共享,此應用需透過Access Point.Q23 : 何謂BSS ANS : 一種特殊的Ad-hoc LAN的應用,稱為Basic Service Set(BSS),一群計算機設定相同的BSS名稱,即可自成一個group,而此BSS名稱,即所謂BSSID。
Q24 : 何謂ESS ANS : 一種infrastructure的應用,一個或多個以上的BSS,即可被定義成一個Extended Service Set(ESS),使用者可于ESS上roaming及存取BSSs中的任何資料,其中Access Points必須設定相同的ESSID及channel才能允許roaming.Q25 : 何謂SNMP ANS : “Simple Network Management Protocol “,一種網管的通信協議,透過SNMP的軟件可以連接至可支持SNMP的裝置并可收集該裝置所有的信息并做其它整合性的應用,Gemplex Wireless LAN product 就有support此功能。
Q26 : 何謂WEP ANS : “Wired Equivalent Protection “,一種將資料加密的處理方式,WEP 40bits的encryption 乃是IEEE 802.11的標準規范。
透過WEP的處理便可讓我們的資料于傳輸中更加安全。
5.5 無線局域網絡之應用
大樓之間 : 大樓之間建構網絡的連結,取代專線,簡單又便宜。
餐飲及零售:餐飲服務業可使用無線局域網絡產品,直接從餐桌即可輸入并傳送客人點菜內容至廚房、柜臺。零售商促銷時,可使用無線局域網絡產品設置臨時收銀柜臺。
醫 療 :
使用附無線局域網絡產品的手提式計算機取得實時信息,醫護人員可藉此避免對傷患救治的遲延、不必要的紙上作業、單據循環的遲延及誤診等,而提升對傷患照顧的品質。
企 業 :
當企業內的員工使用無線局域網絡產品時,不管他們在辦公室的任何一個角落,有無線局域網絡產品,就能隨意地發電子郵件、分享檔案及上網絡瀏覽。
倉儲管理 : 一般倉儲人員的盤點事宜,透過無線網絡的應用,能立即將最新的資料輸入計算機倉儲系統。
貨柜集散場 : 一般貨柜集散場的橋式起重車,可于調動貨柜時,將實時信息傳回office,以利相關作業之逐行。
監視系統 : 一般位于遠方且需受監控現場之場所,由于布線之困難,可藉由無線網絡將遠方之影像傳回主控站。
展示會場 : 諸如一般的電子展,計算機展,由于網絡需求極高,而且布線又會讓會場顯得凌亂,因此若能使用無線網絡,則是再好不過的選擇。
第六章 無線局域網關鍵技術研究與展望
與目前5類線到戶的有線局域網(LAN)用戶接入方式相類似,無線局域網(WLAN)正在發展成為公網的寬帶無線用戶接入方式,即運營商的WLAN(OWLAN)。OWLAN嚴格說起來并不是一種局域網,而是一種采用WLAN技術的無線接入網絡。由于在制定IEEE802.11標準時,WLAN只定位在局域網應用,故在WLAN作為熱點地區公共接入網絡時,802.11在認證、漫游、加密、計費和網管等方面顯現出一定的缺陷。本章主要探討WLAN在作為公共接入網時的組網方案,以及對認證、加密、計費和漫游方面的解決方案。
6.1 公共WLAN組網方案
OWLAN可以作為某一個運營商的無線接入網,亦可作為多個運營商共用的無線接入網,故在OWLAN中要求能支持多種認證方式。
6.1.1 接入點(AP)
AP是WLAN的小型無線基站設備,為無線網與DS(分配系統例如有線以太網)之間的網關,且具有802.11f切換功能
6.1.2 接入控制點(AC)
AC為OWLAN和運營商IP網的網關。作為認證控制點時能鑒別不同的認證方式,并提供動態IP地址分配、輸出原始計費信息、提供路由功能等。
6.1.3 遠程撥號接入認證(RADIUS)服務器
在使用“用戶號十密碼”或“手機號十密碼”的Web認證方式時,使用RADIUS服務器實現對用戶身份的認證。該服務器還接收來自AC的原始計費信息,產生符合移動運營商要求格式的CDR(呼叫數據記錄)計費信息,實時送相應運行商的計費中心(Billing)。在RADIUS服務器中存有歸屬用戶的用戶名、登錄名、固定IP地址、MAC地址、欠費情況等信息。
6.1.4 認證服務器(AS)
移動運營商使用SIM卡認證方式時,需要使用認證服務器(AS)。AS與網關(GW或GPRS中的GGSN)相配合提供WLAN與移動運行商HLR/AUC的連接。AS在讀取MT(移動終端)的國際移動用戶識別(IMSI),送HLR/AUC確認該用戶為WLAN注冊用戶后,與HLR/AUC配合完成密鑰產生、EAP(可擴展認證協議)_SIM認證等任務。其他功能同RADIUS服務器。
6.1.5 門戶網站服務器(Portal Server)
用于向用戶端推送WEB認證頁面和門戶網站主頁面。
6.2 公網WLAN用戶接入的相關解決方案
6.2.1 OWLAN的用戶認證
WLAN在作為局域網使用時,沿用了有線LAN的PPPoE(PPP over Ethernet)和Web用戶認證方式。在作為OWLAN使用時,由于其在物理上的開放性,使得非
法用戶入侵的可能性大為增加,原有802.11認證的安全性已不能滿足運營商的需要。在采用RADIUS協議并加上802.1x的認證手段以及802.1i的安全協議后,基本可以滿足OWLAN的要求。同時,在認證安全前提下,應盡量利用運營商已有的鑒權認證設備,以簡化系統、節約投資。
6.2.2 802.1x用戶認證方式中的訪問實體
802.1x協議克服了傳統PPPoE和WEB認證方式的缺點,更適合在OWLAN中使用。該協議亦稱為基于端口的接入控制協議。802.1x協議的訪問控制流程中端口訪問實體(PAE)包括:客戶端、認證者和認證服務器三部分。(1)客戶端
用戶從客戶端發起802.11x的用戶認證過程,為了支持基于端口的接入控制,客戶端必需支持EAPoL(基于LAN的擴展認證協議)。(2)認證者
認證者通常為支持802.1x協議的網絡設備,這些設備的端口對應于用戶端而言有受控與不受控兩種邏輯端口。不受控端口始終處于雙向連接狀態,主要用于傳遞EAPoL協議幀,用以保證客戶端始終可以發出或接受認證。受控端口只有在認證通過時才打開,用于傳遞運營商的有償網絡資源和業務。當用戶未通過認證時,受控端口對該用戶關閉,即無法訪問該運營商所提供的有償服務。(3)認證服務器
認證服務器通常為RADIUS服務器或AS+HLR/AUC,它與認證者之間通過EAP協議進行通信。
6.3 802.1x認證方式
802.1x的網絡訪問控制協議規范了802.1x的用戶鑒權認證方式。802.1x推薦使用撥號用戶遠程認證服務(RADIUS)及與之相關的兩個通信協議:可擴展認證協議(EAP)和傳輸層協議(TLS)。802.1x主要涵蓋以下四種認證方式:
6.3.1 EAP-MD5認證方式
EAP-MD5認證方式通過RADIUS服務器提供簡單的集中用戶認證。用戶注冊時該服務器只是檢查用戶名與密碼,若通過認證就就允許客戶端訪問網絡業務。采用該認證方式時,用戶密碼采用MD5加密算法,以保證認證信息的安全。EAP-MD5屬單向認證機制,即只包括網絡對客戶端的認證。
6.3.2 EAP-SIM認證方式
EAP-SIM認證方式主要用于蜂窩移動運營商WLAN的SIM卡認證方式,支持用戶與網絡之間的雙向認證和動態密鑰下發。在該認證方式中,用戶端采用裝有SIM卡讀卡器的WLAN網卡。網絡側的認證服務器(AS)與移動交換系統原有的HLR/AUC協同工作共同完成對用戶的認證
6.3.3 EAP-TLS認證方式
EAP-TLS認證方式屬于傳輸層認證機制,支持用戶與網絡之間的雙向認證。用戶可以在每次連接動態生成新密鑰,且在用戶連接期間按一定間隔更新密鑰。TLS認證中,傳送的數據由TLS加密封裝,保證認證信息的安全。
6.3.4 EAP-TTLS鑒權認證方式
EAP-TTLS認證方式基于隧道安全認證技術,能夠支持雙向認證和動態密鑰分發。在該認證方式中客戶端與RADIUS之間,采用EAPoL協議建立安全隧道傳送EAP認證包,實現TTLS認證。
6.4 OWLAN的數據安全
802.1x協議對數據的加
為了克服802.11所定義WEP(有線等效保密協議)存在的安全隱患,IEEE制定了802.1x用以增強WEP的安全性。WEP使用40位靜態密鑰,而802.1x通過動態配置WEP的128位密鑰加強了數據的保密性,制訂了動態密鑰完整性協議(TKIP)對WEP的RC4算法進行改進,并增加了消息完整性檢查(MIC)
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP認證方式中提供了依賴于其初始鑒權認證的主密鑰。利用該主密鑰對空中數據幀加密,使得未經認證的用戶無法對所竊取的數據幀進行解密
第七章 WLAN中的VPN
為了保證企業內部網絡的安全接入,在OWLAN接入網中采用虛擬專網(VPN)技術用以保證企業內部網絡的安全接入。VPN是指在一個公共IP平臺上,通過隧道及加密技術,為網絡提供點對點的安全通信,以保證遠程用戶接入專用網絡的數據安全性。
在采用VPN技術的WLAN中,無線接入網絡已被企業的VPN服務器和虛擬局域網(VLAN)將企業內部網的接入隔離開來。由企業的VPN服務器提供無線網絡的認證與加密,并充當企業內部網絡的網關。VPN協議包括第二層的PPTP/L2TP協議及第三層的IPSec協議,上述協議對通過WLAN傳送的數據提供強大的加密功能。
根據隧道的建立方式,可劃分為2類VPN連接應用:
7.1 由用戶端發起的VPN連接
在由用戶端發起的VPN連接應用中,需要在MT中按裝VPN客戶端軟件。用以在MT與企業的VPN服務器(網關)之間建立隧道連接。在這類VPN連接中,VPN只涉及發起端與終結端,因此對AP、AC而言是透明的,無需AP、AC支持VPN。
7.2 由AC端發起的VPN連接
在由AC端發起的VPN連接應用中,用戶以PPPoE方式連接AC,AC根據通信目的域名地址判為VPN業務后,由AC發起一條隧道連接用戶欲接入的企業網網關。在這種方式下從MT到AC的用戶數據加密應在PPP層完成,可以采用PPP協議的加密選項來實現傳輸數據的加密。
7.3 802.11i標準
802.11i是專門針對WLAN安全體系的標準。該標準提供一種新的加密方法和認證方式(即WEP2技術)。與傳統的WEP算法相比較,WEP2將密鑰的長度由40位增加到128位,故很難破譯。同時,該標準將一種增強安全網絡(RSN)方案納入其中,并包括了TKIP和AES-OCB兩個協議。802.11i通過使用動態密鑰、良好的密鑰管理與分發機制以及更強的加密算法,使得在WLAN中的數據幀傳輸變得更加安全。
OWLAN的計費
在OWLAN中,AC監測用戶數據傳輸的時間或流量,用以產生計費的原始信息送AS或RADUIS。在AS或RADUIS中對計費原始信息進行加工,生成符合計費中心所需格式的計費數據記錄(CDR),送運行商計費中心。在多個運營商共用一個OWLAN時,要求AC能鑒別不同運營商的計費信息,分別送對應運營商的計費系統。
OWLAN的移動性管理
802.11至今還沒有一個對MT設備跟蹤與管理的正式標準。而在將WLAN作為OWLAN應用的今天,必須解決在同一計算機子網(域)內MT在不同AP之間漫游的問題;以及不同計算機子網(域)之間的漫游的問題。在沒有統一的WLAN域內、域間的漫游標準之前,各制造商和運營商則推出了各自的解決方案
域內漫游
在802.11中僅說明了MT可以在同一個ESS(擴展業務集)內的AP之間進
行漫游,但未對MT漫游時AP之間具體通信過程做出規定,故不同廠家在實現AP間漫游時均采用了私有協議,這對運營商的組網帶來了困難。為此IEEE推出了支持域內漫游的802.11f標準(已被IEEE批準為實踐性標準)。
802.11f定義了同一ESS中AP的登錄,以及MT從一個AP切換到另一個AP時,AP之間交換的信息。
802.11f所定義的IAPP(AP間交互協議)在IP層上規定了AP之間以及AP和RADIUS服務器之間所需交換的信息。AP之間是通過UDP/IP協議在一個共同的DS中交互信息、進行互操作。同時亦通過IAPP來影響第二層網絡設備的操作。802.11f要求在RADIUS服務器中存放有域內各AP的基本信息,例如基本服務集標識(BSS-ID)、IP地址以及MT接入的認證密鑰。
7.4 基本的WLAN安全
務組標識符(SSID):無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID,可以很好地進行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題,從而為無線局域網提供一定的安全性。然而無線接入點AP周期向外廣播其SSID,使安全程度下降。另外,一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。況且有的廠家支持any方式,只要無線客戶端處在AP范圍內,那么它都會自動連接到AP,這將繞過SSID的安全功能。
物理地址(MAC)過濾:每個無線客戶端網卡都由惟一的物理地址標識,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。另外,非法用戶利用網絡偵聽手段很容易竊取合法的MAC地址,而且MAC地址并不難修改,因此非法用戶完全可以盜用合法的MAC地址進行非法接入。
7.5 IEEE 802.11的安全技術
7.5.1 認證
在無線客戶端和中心設備交換數據之前,它們之間必須先進行一次對話。在802.11b標準制定時,IEEE在其中加入了一項功能:當一個設備和中心設備對話后,就立即開始認證工作,在通過認證之前,設備無法進行其他關鍵通信。這項功能可以被設為shared key authentication和open authentication,默認的是后者。在默認設定下,任何設備都可以和中心設備進行通訊,而無法越過中心設備,去更高一級的安全區域。而在shared key authentication設定時,客戶機要先向中心設備發出連接請求,然后中心設備發回一串字符,要求客戶機使用WEP鑰匙返回密碼。只有在密碼正確的情況下,客戶機才可以和中心設備進行通信,并可以進入更高級別。
使用認證方式有一個缺點,中心設備發回的字符是明文的。通過監聽通信過程,攻擊者可以在認證公式中得到2個未知數的值,明文的字符和客戶機返回的字符,而只有一個值還無法知道。通過RC4計算機通信加密算法,攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個鑰匙,侵入者就可以通過中心設備,進入其他客戶端。諷刺的是,這項安全功能通常都應該設
為“open authentication”,使得任何人都可以和中心設備通信,而通過其他方式來保障安全。盡管不使用這項安全功能看上去和保障網絡安全相矛盾,但是實際上,這個安全層帶來的潛在危險遠大于其提供的幫助
7.5.2 保密
有線等效保密(WEP):WEP雖然通過加密提供網絡的安全性,但存在許多缺陷:
缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同,并且一個服務區內的所有用戶都共享同一把密鑰。WEP標準中并沒有規定共享密鑰的管理方案,通常是手工進行配置與維護。由于同時更換密鑰的費時與困難,所以密鑰通常長時間使用而很少更換,倘若一個用戶丟失密鑰,則將殃及到整個網絡。
ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數,這意味著攻擊者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起來是可信的。能夠篡改即加密數據包使各種各樣的非常簡單的攻擊成為可能。
RC4算法存在弱點。在RC4中,人們發現了弱密鑰。所謂弱密鑰,就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在24位的IV值中,有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后,就可以對它們進行分析,只須嘗試很少的密鑰就可以接入到網絡中。利用認證與加密的安全漏洞,在很短的時間內,WEP密鑰即可被破解。
7.6 IEEE 802.11i標準
(1)認證-端口訪問控制技術(IEEE 802.1x)
通過802.1X,當一個設備要接入中心設備時,中心設備就要求一組證書。用戶提供的證書被中心設備提交給服務器進行認證。這臺服務器稱為RADIUS,也就是temote Authentication Dial-In User Service,通常是用來認證撥號用戶的。這整個過程被包含在802.1X的標準EAP(擴展認證協議)中。EAP是一種認證方式集合,可以讓開發者以各種方式生成他們自己的證書發放方式,EAP也是802.1X中最主要的安全功能。現在的EAP方式主要有四種。
但是IEEE 802.1x提供的是無線客戶端與RADIUS服務器之間的認證,而不是客戶端與無線接入點AP之間的認證;采用的用戶認證信息僅僅是用戶名與口令,在存儲、使用和認證信息傳遞中存在很大安全隱患,如泄漏、丟失;無線接入點AP與RADIUS服務器之間基于其享密鑰完成認證過程協商出的會話密鑰的傳遞,該共享密鑰為靜態,人為手工管理,存在一定的安全隱患。
(2)保密
有線等效保密的改進方案-TKIP。
目前Wi-Fi推薦的無線局域網安全解決方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i標準均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法,但相比于WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位,由于WEP算法的安全漏洞是由于WEP機制本身引加性高斯噪聲信道起的,與密鑰的長度無關,即使增加加密密鑰的長度,也不可能增強其安全程度,初始化向量IV長度的增加也只能在有限程度上提高破解難度,比如延長破解信息收集時間,并不能從根本上解決問題,因為作為安全關鍵的加密部分,TKIP
沒有脫離WEP的核心機制。
目前正在制定中的IEEE 802.11i標準的終極加密解決方案為基于IEEE 802.1x認證的CCMP(CBC-MAC Protoco1)加密技術,即以AES(Advanced Encryption Standard)為核心算法,采用CBC-MAC加密模式,具有分組序號的初始向量。CCMP為128位的分組加密算法,相比前面所述的所有算法安全程度更高。
7.7 VPN技術
作為一種比較可靠的網絡安全解決方案,VPN技術在有線網絡中,尤其是企業有線網絡應用中得到了一定程度的采用。然而,無線網絡的應用特點在很大程度上阻礙了VPN技術的應用,主要體現在以下幾個方面:
運行的脆弱性:眾所周知,因突發干擾或AP間越區切換等因素導致的無線鏈路質量波動或短時中斷是無線應用的特點之一,因此用戶通信鏈路出現短時中斷不足為奇。這種情況對于普通的TCP/IP應用影響不顯敏感,但對于VPN鏈路影響巨大,一旦發生中斷,用戶將不得不通過手動設置以重新恢復VPN連接。這對于WLAN用戶,尤其是需要移動或QoS保證(如VoIP業務)的WLAN用戶是不可忍受的。
通用性問題:VPN技術在國內,甚至在國際上沒有一個統一的開發標準,各公司基于自有技術與目的開發自有專用產品,導致技術體制雜亂,沒有通用型可言。這對于強調互通性的WLAN應用是相悖的。
網絡的擴展性問題:VPN技術在提供網絡安全的同時,大大限制了網絡的可擴展性能,這主要是由于VPN網絡架設的復雜性導致的。如果要改變一個VPN網絡的拓撲結構或內容,用戶往往將不得不重新規劃并進行網絡配置,這對于一個中型以上的網絡兒乎是不可思議的。
成本問題:上述的3個問題實際在不同程度上直接導致了用戶網絡架設的成本攀升。另一個重要因素是VPN產品本身的價格就很高,對于中小型網絡用戶甚至超過WLAN設備的采購費用。
7.8 WAPI 技術標準是所有產業健康發展的基石,對無線局域網產業而言,以往一直存在缺乏統一標準和安全保障兩大瓶頸。目前WEAN國際標準可靠安全機制的軟肋使得安全問題的壓力大部分遺留給了WLAN產業鏈上的芯片設計、設備制造、系統集成甚至最終用戶等各個環節,各設備廠商和系統集成商各行其道,市場中出現大量專有的安全標準和解決方案,這些方案要么影響網絡性能要么限制了網絡的可用性和擴展性,當然最致命的是,這些方案大多基于WEP、802.lx等對WLAN來說并不十分可靠的基礎協改。對于大多數并不熟悉WLAN安全技術的最終用戶而言,WEP/WPA/SSID/VPN/802.1x等名目繁多、花樣翻新,往往又價格不斐的WLAN安全方案讓他們無所適從。
最新頒布并且即將強制執行的WLAN國家標準對目前中國WLAN市場的發展和格局將產生深遠影響。WLAN國家標準依據我國的無線電管理法規對我國無線局域網相關產品的發射功率、信道數等作出了明確規定,標準還強調和規定了無線局域網安全技術的應用要求。適用于獨立的無線局域網設備以及提供無線局域網相關功能的獨立或嵌入式軟件模塊。同時該標準與相應國際標準的區別主要表現在對安全機制的嚴格要求,即用WAPI協議取代了IEEE802.11標準中先天不足的WEP協議。雖然WAPI作為被中國政府認可并最終頒布的WLAN安全機制,有著比
目前WEP、802.lx、WPA等安全協議更高的安全性,但是能否獲得最終的成功還有待于廠商的支持和市場的考驗。
7.9 WLAN的切換與漫游
7.9.1 切換與漫游
WLAN的切換指的是在相同的SSID(AP)之間,移動終端與新的AP建立新的連接,并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間,移動終端與新的AP建立新的連接,并切斷原來AP的連接過程。
加入現有的服務區有兩種方法:主動掃描和被動掃描。主動掃描要求站點查找接入點,從接入點設備中接受同步信息。也可通過被動掃描獲得同步信息,可偵聽每個接入點周期性所發送的信標幀。一旦站點定位了接入點,并取得了同步信息,就必須交換驗證信息。這些信息的交互在接入點和站點之間產生,每個設備給出預設的口令。在站點經過驗證后,關聯過程就開始了。在關聯過程中,交換站點信息和接入點服務的能力信息是一群接入點得到的站點當前位置的信息。一旦關聯過程結束,該站點就能夠發送和接收幀。當站點離開它的接入點發生漫游時,注意到接入點的鏈路信號正在變弱。站點使用它的掃描功能查找另一個接入點,或利用上一次掃描得到的信息選取另一個接入點。一旦找到新的接入點,站點就向它發送重新關聯請求。如果站點接收到重新關聯響應,它就擁有一個新的接入點并且漫游成功。
7.9.2 移動IP
在無線網絡中,如果一邊使用無線局域網接入服務,一邊移動接入位置,那么一旦移動終端超越子網覆蓋范圍,IP數據包就無法到達移動終端,正在進行的通信將被中斷。為此,IETF制定了擴展IP網絡移動性的系列標準。所謂移動IP,就是指在IP網絡上的多個子網內均可使用同一IP地址的技術。這種技術是通過使用被稱為本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器對網絡終端所處位置的網絡進行管理來實現的。在移動IP系統中,可保證用戶的移動終端始終使用固定的IP地址進行網絡通信,不管在怎樣的移動過程中皆可建立TCP連接并不會發生中斷。在無線局域網系統中,廣泛的應用移動IP技術可以突破網絡的地域范圍限制,并可克服在跨網段時使用動態主機配置協議(DHCP)方式所造成的通信中斷、權限變化等問題。
結語
無線網絡的出現就是為了解決有線網絡無法克服的困難,雖然無線網絡有諸多優勢,但與有線網絡相比,無線局域網也有很多不足。無線網絡速率較慢、價格較高,因而它主要面向有特定需求的用戶,目前無線局域網還不能完全脫離有線網絡,無線網絡與有線網絡是互補的關系,而不是競爭,目前還只是有線網絡的補充,而不是替換,但也應該看到。近年來,隨著適用于無線局域網產品的價格正逐漸下降,相應軟件也逐漸成熟。此外,無線局域網已能夠通過與廣域網相結合的形式提供移動互聯網的多媒體業務,相信在未來,無線局域網將以它的高速傳輸能力和靈活性發揮更加重要的作用。
致謝
在此,首先要對我的導師柯江民老師,致以最深的感謝。感謝柯老師對我的論文不厭其煩的細心指點。柯老師首先細致地為我選題、解題;當我深陷于眾多的資料,找不準角度,理不清思路時,柯老師又為我指點迷津,梳理脈絡,使我感到柳暗花明,分清了層次,確立了本文的框架。在論文寫作過程中,經常得到柯老師電話和郵件指點。在修改和完善過程中,柯老師更是嚴格細致,從框架的完善,到內容的擴充;從行文的用語,到格式的規范,進行了全面地審閱,提出了許多中肯的修改意見。我再次為柯老師的付出表示感謝。同時還要衷心感謝網絡管理學科的堯時茂老師 崇志軍老師 程霄老師 王凌敏老師等的言傳身教,是你們的啟迪與指導,使我獲得了各種專業知識。老師們勤奮工作、嚴謹治學的精神永遠值得我學習。也要感謝每一位朋友、每一位同學,正是有了你們友情的陪伴,才使得我的大學生活豐富而多彩!在此我要特別感謝各位兄弟姐妹們給予我的支持和幫助!最后,要深深感謝家人對我學業的全力支持,你們的期待與鼓勵是我前進的最大動力。
三年是短暫的,記憶是永恒的!最后,衷心祝愿我親愛的朋友們:生活幸福,天天快樂!
參考文獻:
1.李建東.黃振海 WLAN的標準與技術發展[期刊論文]-中興通訊技術 2003(2)2.徐冬梅 WLAN走向安全、高速、互聯 2002(12)3.GB 15629.11-2003.信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分:無線局域網媒體訪問(MAC)和物理(PHY)層規范
4.GB 15629.1102-2003.信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分:無線局域網媒體訪問(MAC)和物理(PHY)層規范:2.4GHz頻段較高速物理層擴展規范
5.孫少陵.李新.葉偉 WLAN市場發展現狀與前景[期刊論文]-中興通訊技術 2003(2)6.王志勤 3G與WLAN的關系[期刊論文]-中興通訊技術 2003(2)7.李承恕 WLAN與2.5/3代移動通信網的結合[期刊論文]-中興通訊技術 2003(2)8.談振輝 應用于移動環境中的WLAN接入網結構[期刊論文]-中興通訊技術 2003(2)9.呂霞.楊軍 WLAN標準GB15629.11安全機制--WAPI協議解析[期刊論文]-電子設計應用 2004(10)10.尹傳勇.劉壽強.畢雅寧 營造安全的無限空間--無限局域網新標準WAPI解析[期刊論文]-計算機安全 2004(7)11.鄭君杰.肖軍模.程林 WAPI協議及其安全性分析[期刊論文]-電視技術 2004(5)12.可運營WLAN網絡安全問題的探討
14.倪源.彭志威.王育民 增強的無線局域網安全技術分析[期刊論文]-中興通訊技術 2003(6)15.萬仁福.陳宇.李方偉 3G與WLAN融合的安全性分析[期刊論文]-電信快報 2004(8)16.魏松.肖征榮 3G與WLAN互連的安全問題[期刊論文]-電信快報 2004(8)17.何廣法.劉乃安 基于3GPP-WLAN互通性安全的AP設計應用[期刊論文]-現代電子技術 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.楊文東 IEEE 802.16寬帶無線接入標準體系介紹[期刊論文]-電信工程技術與標準化 2003(2)20.劉文杰.傅海陽.吳蒙 LMDS系統安全認證協議的形式分析與改進[期刊論文]-計算機工程 2003(22)21.傅堅 無線寬帶固定接入系統的安全性分析[期刊論文]-計算機工程 2004(6)
第三篇:無線局域網研究論文
隨著無線技術和網絡技術的發展,無線網絡正成為市場熱點,其中無線局域網(WLAN)正廣泛應用于大學校園、各類展覽會、公司內部乃至家用網絡等場合。但是,由于無線網絡的特殊性,攻擊者無須物理連線就可以對其進行攻擊,使WLAN的安全問題顯得尤為突出。對于大部分公司來說,WLAN通常置于防火墻后,黑客一旦攻破防火墻就能以此為跳板,攻擊其他內部網絡,使防火墻形同虛設。與此同時,由于WLAN國家標準WApI的無限期推遲,IEEE 802.11網絡仍將為市場的主角,但因其安全認證機制存在極大安全隱患,無疑讓WLAN的安全狀況雪上加霜。因此,采用入侵檢測系統(IDS——intrusion detection system)來加強WLAN的安全性將是一種很好的選擇。盡管入侵檢測技術在有線網絡中已得到認可,但由于無線網絡的特殊性,將其應用于WLAN尚需進一步研究,本文通過分析WLAN的特點,提出可以分別用于有接入點模式WLAN和移動自組網模式WLAN的兩種入侵檢測模型架構。
上面簡單描述了WLAN的技術發展及安全現狀。本文主要介紹入侵檢測技術及其應用于WLAN時的特殊要點,給出兩種應用于不同架構WLAN的入侵檢測模型及其實用價值。需要說明的是,本文研究的入侵檢測主要針對采用射頻傳輸的IEEE802.11a/b/g WLAN,對其他類型的WLAN同樣具有參考意義。
1、WLAN概述
1.1 WLAN的分類及其國內外發展現狀
對于WLAN,可以用不同的標準進行分類。根據采用的傳播媒質,可分為光WLAN和射頻WLAN。光WLAN采用紅外線傳輸,不受其他通信信號的干擾,不會被穿透墻壁偷聽,而早發射器的功耗非常低;但其覆蓋范圍小,漫射方式覆蓋16m,僅適用于室內環境,最大傳輸速率只有4 Mbit/s,通常不能令用戶滿意。由于光WLAN傳送距離和傳送速率方面的局限,現在幾乎所有的WLAN都采用另一種傳輸信號——射頻載波。射頻載波使用無線電波進行數據傳輸,IEEE 802.11采用2.4GHz頻段發送數據,通常以兩種方式進行信號擴展,一種是跳頻擴頻(FHSS)方式,另一種是直接序列擴頻(DSSS)方式。最高帶寬前者為3 Mbit/s,后者為11Mbit/s,幾乎所有的WLAN廠商都采用DSSS作為網絡的傳輸技術。根據WLAN的布局設計,通常分為基礎結構模式WLAN和移動自組網模式WLAN兩種。前者亦稱合接入點(Ap)模式,后者可稱無接入點模式。分別如圖1和圖2所示。
圖1 基礎結構模式WLAN
圖2 移動自組網模式WLAN
1.2 WLAN中的安全問題 WLAN的流行主要是由于它為使用者帶來方便,然而正是這種便利性引出了有線網絡中不存在的安全問題。比如,攻擊者無須物理連線就可以連接網絡,而且任何人都可以利用設備竊聽到射頻載波傳輸的廣播數據包。因此,著重考慮的安全問題主要有:
a)針對IEEE 802.11網絡采用的有線等效保密協議(WEp)存在的漏洞,進行破解攻擊。
b)惡意的媒體訪問控制(MAC)地址偽裝,這種攻擊在有線網中同樣存在。
C)對于含Ap模式,攻擊者只要接入非授權的假冒Ap,就可登錄欺騙合法用戶。
d)攻擊者可能對Ap進行泛洪攻擊,使Ap拒絕服務,這是一種后果嚴重的攻擊方式。此外,對移動自組網模式內的某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,通常稱為能源消耗攻擊。
e)在移動自組網模式的局域網內,可能存在惡意節點,惡意節點的存在對網絡性能的影響很大。
2、入侵檢測技術及其在WLAN中的應用
IDS可分為基于主機的入侵檢修系統(HIDS)和基于網絡的入侵檢測系統(NIDS)。HIDS采用主機上的文件(特別是日志文件或主機收發的網絡數據包)作為數據源。HIDS最早出現于20世紀80年代初期,當時網絡拓撲簡單,入侵相當少見,因此側重于對攻擊的事后分析。現在的HIDS仍然主要通過記錄驗證,只不過自動化程度提高,且能做到精確檢測和快速響應,并融入文件系統保護和監聽端口等技術。與HIDS不同,NIDS采用原始的網絡數據包作為數據源,從中發現入侵跡象。它能在不影響使用性能的情況下檢測入侵事件,并對入侵事件進行響應。分布式網絡IDS則把多個檢測探針分布至多個網段,最后通過對各探針發回的信息進行綜合分析來檢測入侵,這種結構的優點是管理起來簡單方便,單個探針失效不會導致整個系統失效,但配置過程復雜。基礎結構模式入侵檢測模型將采用這種分布式網絡檢測方法,而對于移動自組網模式內的入侵檢測模型將采用基于主機的入侵檢測模型。
當前,對WLAN的入侵檢測大都處于試驗階段,比如開源入侵檢測系統Snort發布的Snort-wire-less測試版,增加了Wifi協議字段和選項關鍵字,采用規則匹配的方法進行入侵檢測,其Ap由管理員手工配置,因此能很好地識別非授權的假冒Ap,在擴展Ap時亦需重新配置。但是,由于其規則文件無有效的規則定義,使檢測功能有限,而且不能很好地檢測MAC地址偽裝和泛洪拒絕服務攻擊。2003年下半年,IBM提出WLAN入侵檢測方案,采用無線感應器進行監測,該方案需要聯入有線網絡,應用范圍有限而且系統成本昂貴,要真正市場化、實用化尚需時日。此外,作為概念模型設計的WIDZ系統實現了Ap監控和泛洪拒絕服務檢測,但它沒有一個較好的體系架構,存在局限性。
在上述基礎上,我們提出一種基于分布式感應器的網絡檢測模型框架,對含Ap模式的WLAN進行保護。對于移動自組網模式的WLAN,則由于網絡中主機既要收發本機的數據,又要轉發數據(這些都是加密數據),文獻提出了采用異常檢測法對路由表更新異常和其他層活動異常進行檢測,但只提供了模型,沒有實現。此外,我們分析了移動自組網模式中惡意節點對網絡性能的影響,并提出一種基于聲譽評價機制的安全協議,以檢測惡意節點并盡量避開惡意節點進行路由選擇,其中惡意節點的檢測思想值得借鑒。Snort-wireless可以作為基于主機的入侵檢測,我們以此為基礎提出一種應用于移動自組網入侵檢測的基于主機的入侵檢測模型架構。
3、WLAN中的入侵檢測模型架構
在含Ap模式中,可以將多個WLAN基本服務集(BSS)擴展成擴展服務集(ESS),甚至可以組成一個大型的WLAN。這種網絡需要一種分布式的檢測框架,由中心控制臺和監測代理組成,如圖3所示。
圖3 含Ap模式的分布式入侵檢測系統框架
網絡管理員中心控制臺配置檢測代理和瀏覽檢測結果,并進行關聯分析。監測代理的作用是監聽無線數據包、利用檢測引擎進行檢測、記錄警告信息,并將警告信息發送至中心控制臺。
由此可見,監測代理是整個系統的核心部分,根據網絡布線與否,監測代理可以采用兩種模式:一種是使用1張無線網卡再加1張以大網卡,無線網卡設置成“雜湊”模式,監聽所有無線數據包,以太網卡則用于與中心服務器通信;另一種模式是使用2張無線網卡,其中一張網卡設置成“雜湊”模式,另一張則與中心服務器通信。
分組捕獲完成后,將信息送至檢測引擎進行檢測,目前最常用的IDS主要采用的檢測方法是特征匹配,即把網絡包數據進行匹配,看是否有預先寫在規則中的“攻擊內容”或特征。盡管多數IDS的匹配算法沒有公開,但通常都與著名的開源入侵檢測系統Snort的多模檢測算法類似。另一些IDS還采用異常檢測方法(如Spade檢測引擎等),通常作為一種補充方式。無線網絡傳輸的是加密數據,因此,該系統需要重點實現的部分由非授權Ap的檢測。通常發現入侵之后,監測代理會記錄攻擊特征,并通過安全通道(采用一定強度的加密算法加密,有線網絡通常采用安全套接層(SSL)協議,無線網絡通常采用無線加密協議(WEp))將告警信息發給中心控制臺進行顯示和關聯分析等,并由控制臺自動響應(告警和干擾等),或由網絡管理員采取相應措施。
在移動自組網模式中,每個節點既要收發自身數據,又要轉發其他節點的數據,而且各個節點的傳輸范圍受到限制,如果在該網絡中存在或加入惡意節點,網絡性能將受到嚴重影響。惡意節點的攻擊方式可以分為主動性攻擊和自私性攻擊。主動性攻擊是指節點通過發送錯誤的路由信息、偽造或修改路由信息等方式,對網絡造成干擾;自私性攻擊是指網絡中的部分節點可能因資源能量和計算能量等緣故,不愿承擔其他節點的轉發任務所產生的干擾。因此,對惡意節點的檢測并在相應的路由選擇中避開惡意節點,也是該類型WLAN需要研究的問題。
我們的檢測模型建立在HIDS上,甚至可以實現路由協議中的部分安全機制,如圖4所示。
圖4 移動自組網模式中的入侵檢測架構
當數據包到達主機后,如果屬于本機數據,數據包將被解密,在將它遞交給上層之前,先送至基于主機的誤用檢測引擎進行檢測,根據檢測結果,對正常數據包放行,對攻擊數據包則進行記錄,并根據響應策略進行響應。此外,還可以在誤用檢測模型的基礎上輔以異常檢測引擎,根據以往的研究成果,可以在網絡層或應用層上進行,也可以將其做入路由協議中,以便提高檢測速度和檢測效率。
4、結束語
傳統的入侵檢測系統已不能用于WLAN,而WLAN內入侵檢測系統的研究和實現才剛剛起步。本文分析了WLAN的特點及其存在的安全問題,提出了兩種入侵檢測系統架構,可以分別用于基礎結構模式WLAN和移動自組網模式WLAN,具有實用價值。基礎結構模式WLAN采用分布式網絡入侵檢測,可用于大型網絡;移動自組網中采用基于主機的入侵檢測系統,用于檢測異常的節點活動和發現惡意節點。需要進一步研究的問題有:在框架上實現原型系統來驗證其有效性;在加密的網絡環境中更加有效地進行入侵檢測。
第四篇:無線局域網技術安全發展的研究
摘要:無線局域網的覆蓋范圍為幾百米,在這樣一個范圍內,無線設備可以自由移動,其適合于低移動性的應用環境。而且無線局域網的載頻為公用頻段,無需另外付費,因而使用無線局域網的成本很低。無線局域網帶寬更會發展到上百兆的帶寬,能夠滿足絕大多數用戶的帶寬要求。基于以上原因,無線局域網在市場贏得熱烈的反響,并迅速發展成為一種重要的無線接入互聯網的技術。但由于無線局域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安個問題。本文在闡述無線局域網安全發展概況的基礎上,分析了無線局域網的安全必要性,并從不同方面總結了無線局域網遇到的安全風險,同時重點分析了IEEE802.11 b標準的安全性、影響因素及其解決方案,最后對無線局域網的安全技術發展趨勢進行了展望。關鍵詞:無線局域網;標準;安全;趨勢
前言 無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備,省去了布線的麻煩,組網靈活。無線局域網(WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求,也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段,能迅速地應用于需要在移動中聯網和在網間漫游的場合,并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此,WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統等行業中得到了應用,受到了廣泛的青睞,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安全問題。1. 無線局域網安全發展概況
無線局域網802.11b公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早發表論文指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,并與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化,新的增強的無線局域網安全標準應運而生[1]。
我國從2001年開始著手制定無線局域網安全標準,經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,并成為國家標準,于2003年12月執行。WAPI使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開發布的,然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。
增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網未來的安全算法,一年后提議另外一種算法CCMP作為候選,AE
S-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發展過程中,我們能夠更加清楚地認識到無線局域網安全標準的方方面面,有利于無線局域網安全的研究[3][4]。2.無線局域網的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數據,不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全,所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據,要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用,任何人在視距范圍之內都可以截獲和插入數據。因此,雖然無線網絡和WLAN的應用擴展了網絡用戶的自由,它安裝時間短,增加用戶或更改網絡結構時靈活、經濟,可提供無線覆蓋范圍內的全功能漫游服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術研究報告指出,針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發現其可能存在的安全缺陷,研究相應的改進措施,提出新的改進方案,對 WLAN 技術的使用、研究和發展都有著深遠的影響。
同有線網絡相比,無線局域網無線傳輸的天然特性使得其物理安全脆弱得多,所以首先要加強這一方面的安全性。
無線局域網中的設備在實際通信時是逐跳的方式,要么是用戶設備發數據給接入設備,飯由接入設備轉發,要么是兩臺用戶設備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數據變成密文,并且,如果加密強度夠高的話,偵聽者獲得有用數據的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據,以使得接收方可以檢測到數據是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。
這樣,通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼,比如安裝硬件形式的病毒卡預防病毒,或者安裝軟件用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗,接下來的無線設備如何與病毒對抗還是一個待開發領域。
對于DOS攻擊或者DDOS攻擊,可以增加一個網關,使用數據包過濾或其它路由設置,將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址,可以減小風險。對于內部的惡意用戶,則要通過審計分析,網絡安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認證用戶是不適當的[5]。
除了以上的可能需求之外,根據不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸的數據要求有不可抵賴性,對于進出無線局域網的數據要求有防泄密措
施,要求無線局域網癱瘓后能夠迅速恢復等等。所以,無線局域網的安全系統不可能提供所有的安全保證,只能結合用戶的具體需求,結合其它的安全系統來一起提供安全服務,構建安全的網絡。
當考慮與其它安全系統的合作時,無線局域網的安全將限于提供數據的機密性服務,數據的完整性服務,提供身份識別框架和接入控制框架,完成用戶的認證授權,信息的傳輸安全等安全業務。對于防病毒,防泄密,數據傳輸的不可抵賴,降低DoS攻擊的風險等都將在具體的網絡配置中與其它安全系統合作來實現。3.無線局域網安全風險
安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源,包括了在無線信道上傳輸的數據和無線局域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電臺發射塔的覆蓋范圍內總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發射臺發出的信號。當然,無線局域網的無線信號的接收并不像收音機那么簡單,但只要有相應的設備,總是可以接收到無線局域網的信號,并可以按照信號的封裝格式打開數據包,讀取數據的內容[6]。另外,只要按照無線局域網規定的格式封裝數據包,把數據放到網絡上發送時也可以被其它的設備讀取,并且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然后重新發送,而數據包的接收者并不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網絡的正常通信產生了極大的干擾,并有可能造成經濟損失。3.2 無線局域網中主機面臨的威脅
無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現,除了目前有線網絡上流行的病毒之外,還可能會出現專門針對無線局域網移動設備,比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后,無線病毒的威脅可能會加劇。
對于無線局域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后,如果把IP地址直接暴露給外部網,那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務,造成網絡癱瘓。當某個惡意用戶接入網絡后,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效,同時硬件設備中的所有數據都可能會泄漏。
這樣,無線局域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的后果。4.無線局域網安全性
無線局域網與有線局域網緊密地結合在一起,并且己經成為市場的主流產品。在無線局域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此,無線局域網的用戶主要關心的是網絡的安全性,主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同
于有線局域網的安全性和管理能力,否則人們還是對使用無線局域網存在顧慮。4.1 IEEE802.11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)[7][8]。4.1.1認證
當一個站點與另一個站點建立網絡連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務:一開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然后,接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication):這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。4.1.2 WEP IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。4.2 影響安全的因素[9][10] 4.2.1硬件設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網絡管理系統不可能檢測到這種問題,因此用戶必須立即通知網絡管理員。接到通知后,網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2虛假接入點
IEEE802.1 1b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證服務器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802.11 b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務器通信。
當無線局域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS服務器(或其它認證服務器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網絡,否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802.lx協議,站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成后,RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。
RADIUS服務器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內用時期密鑰和廣播密鑰通信。
網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網絡具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼采用不規則技術。
正是可選擇的加密運算法則和IEEE 802.11的規定要求無線網絡至少要和有線網絡(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網絡的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中[12]。
5.無線局域網安全技術的發展趨勢
目前無線局域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:一是真正的安全保障;二個是將來的技術發展方向;三是WLAN有什么比較好的應用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規模。看來無線局域網真正的騰飛并非一己之事[13]。
無線局域網同樣需要與其他已經成熟的網絡進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線
局域網安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。
無線網絡的互通,現在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上,實現無線局域網和G1VIS/GPRS的互通。
不同類型無線局域網互通標準的制定,使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線局域網設備,對用戶端設備,比如客戶端軟件,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-, Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線局域網接入NW的密鑰分配方法,無線局域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別,無線局域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線局域網認證機制應該支持會話密鑰素材的協商,所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。
對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下:UE(用戶設備)、3G-AAA(移動網絡的認證、授權和計帳服務器)、HSS(歸屬業務服務器)、CG/CCF(支付網關/支付采集功能)、OCS(在線計帳系統)。
對于漫游的互通情況時,3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下,一種常用的方法是將歸屬網絡和訪問網絡分開,歸屬網絡AAA服務作為認證的代理找到用戶所注冊的歸屬網絡。
在無線局域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線局域網連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GPAAA服務器之間展開。走的是AKA過程,有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。
上述互通方案要求客戶端有能夠接入無線局域網的網卡,同時還要實現USIM或者SIM的功能。服務網絡要求修改用戶權限表,增加對于無線局域網的接入權限的判斷。
無線局域網的崛起使得人們開始考慮無線局域網和3G的互通,兩者之間的優勢互補性必將使得無線局域網與廣域網的融合迅速發展。現在國內中興通訊已經實現了無線局域網和CDMA系統的互通,而對于使用中興設備的無線局域網與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
參考文獻:
[1] 郭峰,曾興雯,劉乃安,《無線局域網》,電子工業出版杜,1997 [2] 馮錫生,朱榮,《無線數據通信》1997
[3] 你震亞,《現代計算機網絡教程》,電子工業出版社,1999
[4] 劉元安,《寬帶無線接入和無線局域網》,北京郵電大學出版社,2000 [5] 吳偉陵,《移動通信中的關鍵技術》,北京郵電大學出版社,2000
[6] 張公忠,陳錦章,《當代組網技術》,清華大學出版社,2000 [7] 牛偉,郭世澤,吳志軍等,《無線局域網》,人民郵電出版社,2003 [8] Jeffrey Wheat,《無線網絡設計》,莫蓉蓉等譯,機械工業出版社,2002 [9] Gil Held,《構建無線局域網》,沈金龍等澤,人民郵電出版社,2002
[10] Christian Barnes等,《無線網絡安全防護》,林生等譯,機械工業出版社.2003 [11] Juha Heiskala等,《OFDM無線局域網》,暢曉春等譯,電子工業出版社,2003 [12] Eric Ouellet等,《構建Cisco無線局域網》,張穎譯,科學出版社,2003 [13] Mark Ciampa,《無線周域網設計一與實現》,王順滿譯,科學出版社.2003 [14] 張振川,《無線局域網技術與協議》,東北大學出版社.2003
[15] 金純,陳林星,楊吉云,《IEEE 802.11無線局域網》,電子工業出版社,2004
第五篇:局域網設計方案
局域網設計方案
1、需求分析:
根據用戶提出的要求,進行網絡的設計.老師提出的網絡應用需求,主要包括以下幾點: 基本情況:機房418,面積、房型可實地參觀,要求能夠同時提供64位同學和1位教師的上機服務,且能夠外連至電信公司(此處外連設計為ADSL方式)。機房內須提供內部使用的FTP和Web服務。
要求:
1)所有的終端設備清單 2)所有網絡設備清單
3)所有布線主料與輔料清單
不間斷電源,4)所有正版操作系統和正版應用軟件清單 5)所有服務器系統軟件清單
2、計算機擺放方案
機房的計算機擺放可用隊列式擺放方式,機房內需要65臺計算機和2臺服務器。可分為6列,12排;每10臺計算機為一組,所以共分為7組。把兩列臺計算機分別劃為5組,依次排放下去。平均每組計算機占地5平方米,7組共占地70平方米;其中,每組計算機的間隔為1.5米,為工作人員留下足夠的活動空間,并且能夠互相交流工作,符合人性化的布局設計。機房的左側用于放置服務器、主交換機和UPS電源。機房空調3臺。主要布置如圖: 下面為機房場地的平面圖
3、網絡系統結構設計
根據需求分析報告,開始網絡系統方案的設計階段。這個階段包括確定網絡總體目標、網絡方案設計原則、網絡拓撲結構、網絡技術、網絡地址規劃、VLAN劃分、綜合布線、網絡互聯設備的選型、機器選型與軟硬件配置、網絡管理、網絡安全等內容。
3.1網絡總體目標和設計原則
3.1.1確立網絡總體實現的目標
網絡建設的總體目標首先明確的是采用以太網技術和局域網標準構筑一個滿足日常教學與要求能夠同時提供64位同學和1位教師的上機服務,且能夠外連至電信公司(此處外連設計為ADSL方式)。機房內須提供內部使用的FTP和Web服務。工程實行一次性投資和建設。
3.1.2總體設計原則
①實用性原則 網絡方案設計中把握“夠用”和“實用”原則。網絡系統采用成熟可靠的技術和設備,達到實用、經濟和有效的目的。②開放性原則
建成多協議、多網絡操作系統網絡平臺,真正實現開放式的網絡體系結構。③先進性原則
網絡建設應適應目標管理自身發展的特點及網絡通信技術更新換代,主機系統選擇、網絡結構設計、網絡管理和連接方式具有一定的先進性。④易用性原則
整個機房網絡系統必須易于管理、安裝和使用,網絡系統必須具有良好的可管理性,并且在滿足現有網絡應用的同時,為以后的應用升級奠定基礎。網絡系統還應具有很高的資源利用率。⑤可擴展性原則
網絡總體設計不僅要考慮到近期目標,也要為網絡的進一步發展留有擴展的余地。因此,需要同意規劃和設計。網絡系統應在規模和性能兩方面具有良好的可擴展性。由于目前網絡產品標準化程度較高,因此可擴展性要求基本不成問題。⑥安全性
實現網絡的合理配置,利用授權及軟件防火墻技術,能阻止非法用戶訪問網絡資源,保證數據傳輸、存儲的安全。
3.2、網絡拓撲結構的設計
關于機房內部的交換機則選用中端的Catalyst 3512 XL:12口10/100M自適應端口,2口GBIC插槽,因為機房內部共有67臺機器需要互連通信,且準備實現鏈路冗余,用STP來消除橋接環路,則需要安置至少6臺該型號的交換機,另外該型號交換機有2個GBIC插槽,可以為以后的擴張需要做準備。具體拓撲如下:
機房內部的計算機拓撲圖
3.3、網絡技術
在整個網絡建設中,網絡采用ADSL接入電信公司,所以能夠提供最高達8Mbps的高速速下載速度和1Mbps的上傳速度。
整個網絡提供內部使用的FTP和Web服務做為該教學網的教學使用服務器,運用雙絞線接連各個學生機及教師機。通過ADSL MODEM 接入電信公司。
3.4、網絡地址規劃
3.4.1、學校IP資源的管理和機房計算機命名
為了科學、有效地使用學校內部的IP資源,提高網絡管理的效率,避免IP沖突。根據機房的實際情況將機房的IP資源規劃如下:
我們將電信公司申請的IP號,內部IP段通常是:192.168.21.100-192.168.21.160,100號給ftp服務器用,101給web服務器用,102號電腦室教師機用,103-164號給電腦教室學生機,這樣學生的計算機名是S01、S02??就分別與IP號103、104??分別對應起來了。以此類推,便于記憶,有利于機房管理和網絡維護。剩下的IP號目前用不到先留著。
3.4.2、計算機名
為了提高網絡維護效率,使自己在辦公室或校內外任何能上網的地方都會知道學校的計算機運行情況,要給每臺計算機命名,計算機名要容易記。機房的計算機采用S01、S02??的命名規則。
3.5、VLAN劃分 根據端口來劃分VLAN 許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。但是,這種劃分模式將虛擬網限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員,其配置過程簡單明了。
3.6、綜合布線
本項目機房地點設在實訓樓418。機房配有電信的網接口、64臺學生計算機、一臺教師機和二臺服務器。主干網采用雙絞線,機房內部屬于綜合布線系統的工作區子系統,雙絞線敷設方式采用墻壁線纜布線方式,雙絞線的敷設內置于PVC管道,以提高機房內部布線的美觀性和安全性,房間墻壁以及地板設置幾個信息點,以備將來擴展的需要,總體布線情況為:主機接入交換機,交換機互聯,再由交換機接入外部設備。
3.7、與外網連接的結構圖
機房內部的布線是局限的,只能用于內部信息共享,它的拓撲僅僅是內網的拓撲,不能與外網進行信息交換。我們要把它與外網相聯接,下面是其他設備互聯以及和與外網互聯后的拓撲圖:
3.8、網絡互聯設備的選型
①路由器
本網絡系統建議使用的是思科3945/K9:
②交換機
銳捷RG-S2328G:
③ADSL Modem 華為HG510:用于接入電信公司網。
3.9、機器選型與軟硬件配置
3.9.1、機器選型與硬件配置
3.9.1.1、教學用計算機:聯想A4600K PDC E5700
65臺 3.9.1.2、服務器:IBM System x3100 2臺 3.9.1.3、ups電源:山特C6KS 標準版
3.9.1.4、防靜電和防雷設備:OBO V20-C 1套
3.9.2、軟件配置
3.9.2.1、操作系統:Windows7 服務器:Linux 3.9.2.2、應用軟件:多媒體教學軟件,Office2003辦公軟件、Visual C++、Visual Studio 2005、SQL Serer2005、Dreamweaver8、Flash、Photoshop、常用殺毒軟件,其它常用軟件等。
3.10、網絡管理與維護
3.10.1網絡管理 3.10.1.1技術方面
1)、通過設置IP段,標識機房中電腦,使機房成為獨立的局域網絡。設置機房內局域網通過教師主機共享上網,方便教師控制整個機房內機器有目標的上網。2)、安裝還原軟件(網絡破解版)。
3.11、網絡安全
(1)、ARP防火墻的使用
每臺計算機安裝了一個獨立的“ARP防火墻”和360殺毒軟件。系統自帶的防火墻作用不大,有安裝360安全衛士的辦公計算機,打開其中的“ARP防火墻”應該也能解決這個問題。學生機不安裝360安全衛士,不給學生多余的操作,以及360在學生機子中不必要的提示;
(2)、路由IP綁定
路由的各種設置要由網絡提供商提供,新建一個管理員用戶名和密碼才可以進行操作。不同的路由功能不一樣,實現的方法也不一樣。IP綁定是大多數路由都有的,把每個內網IP與每臺計算機進行綁定,優點是有利于網絡維護,缺點是網絡中的計算機換了沒有綁定的IP還是能用。有的路由還能進行IP分組,可以分為教師、學生、網站三組,并分別限制帶寬。
參考文獻:百度文庫及局域網相關文獻
點擊咨詢 