時間:2023-06-06 09:30:45
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇無線局域網(wǎng)解決方案,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
我系大二及大三學(xué)生居住的寢室屬于80年代建筑,沒有接入互聯(lián)網(wǎng),并且不久將拆除,在離該建筑約60M的地方是機房,機房可正常上網(wǎng),機房與建筑之間無明顯障礙物阻隔。
在這種情況下,如果將該建筑通過有線接入互聯(lián)網(wǎng)的話,只能采用拉線或者另外開通互聯(lián)網(wǎng)接入點。若采用直接拉線,不利于維護,網(wǎng)線懸空也不美觀,斷裂后重新拉線很麻煩,而且網(wǎng)線傳輸距離局限于100米左右;若采用另外開通接入點,則造成同單位的電腦處于不同網(wǎng)段中,不利于管理,且投資較高。
鑒于此,考慮利用無線局域網(wǎng)技術(shù),使有線和無線混聯(lián),解決寢室的孤島危機問題。下面就無線網(wǎng)絡(luò)的幾種工作模式進行分析,并提出既經(jīng)濟又易于維護管理的解決方案。
2無線網(wǎng)絡(luò)的幾種工作模式
2.1無線AP+無線客戶機模式
AP是無線上網(wǎng)接入口,相當(dāng)于網(wǎng)關(guān)的作用。只需一臺筆記本和可以實現(xiàn)無線信號網(wǎng)絡(luò)覆蓋的AP,就能實現(xiàn)無線上網(wǎng)。
這種模式是最常見也是組建無線局域網(wǎng)最簡單、最方便的模式。只需根據(jù)不同的網(wǎng)絡(luò)環(huán)境將無線路由器配置成無線AP,即可使無線客戶機連接局域網(wǎng)或者互聯(lián)網(wǎng)。
例如:常采取ADSL modem+無線路由器來組建家庭局域網(wǎng)。這里的路由器一般要同時起到對modem撥號和路由等功能。
而一般單位由于很多是采用有線和無線混聯(lián),對無線的要求一般只需要轉(zhuǎn)發(fā)數(shù)據(jù)。這種情況下AP就只相當(dāng)于一個無線集線器的作用。
2.2無線AP+無線客戶端+有線客戶機模式
這種模式是為了使一些需用有線連接的客戶機準(zhǔn)備的模式。只需對無線路由器進行相應(yīng)設(shè)置即可使其變成一臺無線客戶端,用來接收無線信號。這里的無線客戶端其實就相當(dāng)于一個無線網(wǎng)卡,可以對設(shè)置好的無線信號進行接收,對相連客戶機發(fā)出的數(shù)據(jù)進行發(fā)送。但在該模式中,只能將無線客戶端作為無線網(wǎng)卡使用,其本身并不能對無線信號進行擴展,因此對于一些遠離源AP的無線客戶機來說,想用無線接入將不可能。
2.3利用WDS無線分布式系統(tǒng)
無線分布式系統(tǒng)WDS是一項新興技術(shù),是建構(gòu)在HFSS或DSSS底下,可讓基地臺與基地臺間得以溝通,其功能相當(dāng)于無線網(wǎng)絡(luò)的中繼器,且可多臺基地臺對一臺,目前有許多無線基臺都有WDS。
WDS把有線網(wǎng)絡(luò)的資料,透過無線網(wǎng)絡(luò)當(dāng)中繼架構(gòu)來傳送,藉此可將網(wǎng)絡(luò)資料傳送到另一個無線網(wǎng)絡(luò)環(huán)境,或另一個有線網(wǎng)絡(luò)。WDS架構(gòu)可以做到一對多傳送,并且橋接的對象可以是無線網(wǎng)絡(luò)卡或是有線系統(tǒng)。所以WDS最少要有兩臺同功能的AP,其最多數(shù)量則要看廠商設(shè)計的架構(gòu)來決定。
簡而言之:就是WDS可以讓無線AP之間通過無線進行橋接(中繼),在這同時并不影響其無線AP覆蓋的功能。
除了以上三種無線工作模式以外,還有很多模式,這里不再闡述。
3解決方案
首先,考慮距離機房最近的寢室的筆記本電腦上網(wǎng)問題:采用無線AP+無線客戶機模式,將無線路由器設(shè)置成為無線AP以后可以成功轉(zhuǎn)發(fā)數(shù)據(jù),便可實現(xiàn)無線客戶機正常上網(wǎng)。在設(shè)置時,直接將無線路由器的WAN口設(shè)置為自動獲取IP地址,然后關(guān)閉路由器的DHCP服務(wù)器功能。需特別說明的是,如果學(xué)校路由器設(shè)置為不能再使用路由器中轉(zhuǎn),這時只能把無線路由器當(dāng)作一個純無線AP來使用,否則將不能正常登錄互聯(lián)網(wǎng),具體做法就是將校園網(wǎng)的線插入到四個LAN口中的任意一個即可。
然后解決同寢室的臺式機和距離AP較遠的寢室的筆記本電腦上網(wǎng)問題:利用WDS系統(tǒng)可以很好地解決這一問題。需要說明的是,組建WDS網(wǎng)絡(luò)的無線路由器和AP所選擇的無線頻段必須相同,此外,兩個無線路由器的ESSID如果設(shè)置為相同,不僅能實現(xiàn)WDS無線橋接功能,還可實現(xiàn)無線漫游。在部署兩臺具有WDS功能的無線路由器時,配置與前面無線路由器的配置相同,只是需要兩臺路由器均打開WDS功能。在臺式機連接時,只需將網(wǎng)線連接到寢室路由器的LAN口上即可,而距離源AP較遠的筆記本電腦更是只需像平常用無線網(wǎng)卡一樣連上路由器即可。
WDS改變了原有單一、簡單的無線應(yīng)用模式。比如:大型熱點區(qū)域和企業(yè)用戶選用無線WDS技術(shù)的解決方案的時候,可以通過各種可選的無線應(yīng)用方式來連接各個AP,這樣就大大提高了整個網(wǎng)絡(luò)結(jié)構(gòu)的靈活性和便捷性。與此同時,使無線網(wǎng)絡(luò)使用者以購買最少無線設(shè)備達到更多用途的功能實現(xiàn),實現(xiàn)了組網(wǎng)成本的降低。此外,WDS所搭建的無線網(wǎng)絡(luò)環(huán)境內(nèi),各種帶有無線信號收發(fā)功能的設(shè)備(如筆記本電腦、智能手機、PDA)都可以在覆蓋范圍內(nèi)任意暢游!
[關(guān)鍵詞] WLAN IEEE802.11 網(wǎng)絡(luò)安全 WEP VPN
1.引言
無線通信技術(shù)的發(fā)展推動了無線網(wǎng)絡(luò)的快速發(fā)展,無線局域網(wǎng)在推出之后得到了快速普及。無線局域網(wǎng)采用無線傳輸媒介進行通信,擺脫了線纜的束縛,打破了地域和客觀條件的制約,具有靈活性、移動性強,成本低,吞吐量高的特點。隨著個人通信的發(fā)展,無線局域網(wǎng)已經(jīng)掀起了移動計算的新浪潮并在社會生活的方方面面得到了廣泛的應(yīng)用。
然而,無線局域網(wǎng)在帶來便利的同時卻給整個網(wǎng)絡(luò)帶來了巨大的安全威脅。無線局域網(wǎng)信號在自由空間中進行傳輸,無法像有線網(wǎng)絡(luò)一樣通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被惡意竊聽并獲取。所以無線局域網(wǎng)面臨一系列的安全問題。首先,由于移動終端與網(wǎng)絡(luò)之間的無線接口是開放性的,使得在無線信道上傳送的信令和業(yè)務(wù)消息很容易被他人竊聽,且很難被發(fā)現(xiàn)。其次,移動終端與網(wǎng)絡(luò)之間缺乏固定的物理連接,用戶必須通過無線信道來傳送其身份信息,身份認(rèn)證機制不完善。因此,無線局域網(wǎng)必須采取更嚴(yán)密的安全措施以確保通信安全。
無線局域網(wǎng)安全分為身份認(rèn)證和數(shù)據(jù)傳輸安全兩大塊,有關(guān)無線局域網(wǎng)的安全策略也是圍繞這兩方面進行分析和設(shè)計。文獻[4]中提出的安全方案需要改動WLAN基礎(chǔ)設(shè)施來保障身份認(rèn)證。文獻[5]中的安全方案基于對稱密碼體制的第三方認(rèn)證來解決身份認(rèn)證和密碼協(xié)商。文獻[6]提出了基于IPSec的解決方案。本文提出了基于OSI模型層次化的WLAN安全策略,在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層分別采取了相應(yīng)的安全措施,能夠最大限度地保障無線局域網(wǎng)通信安全。
2.WLAN 物理層協(xié)議及MAC協(xié)議
IEEE 802.11x WLAN 的物理層定義了數(shù)據(jù)傳輸?shù)男盘柼卣骱驼{(diào)制方式:射頻(RF)和紅外線(IR)傳輸。RF分為直接序列擴頻(DSSS)和跳頻擴頻(FHSS)兩種傳輸方式。DSSS采用擴展的冗余編碼方式進行數(shù)據(jù)傳輸,通過用高碼率的擴頻碼序列與數(shù)據(jù)信號相乘實現(xiàn)擴頻。FHSS系統(tǒng)中發(fā)射機的載波頻率在一個預(yù)定集合(2.4G一2.483G)中隨時跳變,接收方和發(fā)送方事先協(xié)商跳頻模式。
IEEE 802.11的數(shù)據(jù)鏈路層由邏輯鏈路控制子層(LLC)和介質(zhì)訪問控制子層(MAC)組成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子層,并且與IEEE 802協(xié)議中所規(guī)定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC層的幀格式由幀頭(MAC Header)、幀實體(Frame Body)和錯誤檢查碼(FCS)共同構(gòu)成。幀頭包括幀控制(Frame Control)、持續(xù)時間(Duration / ID)、地址信息(Address)和順序控制(Sequence Control)等字段,如圖1所示。
圖1:無線局域網(wǎng)幀頭結(jié)構(gòu)
3.層次化的無線局域網(wǎng)安全策略
3.1 無線局域網(wǎng)安全技術(shù)及其缺陷
SSID (服務(wù)配置標(biāo)識符) 用來標(biāo)識無線局域網(wǎng),無線AP默認(rèn)定時進行SSID廣播,黑客利用偵測軟件可以輕易獲得SSID。無線AP中存有合法MAC地址列表,管理員通過手工維護合法MAC列表可控制無線終端的訪問權(quán)限。但是攻擊者通過無線偵聽即可獲取合法的MAC地址并非法接入。WEP在鏈路層采用RC4對稱加密技術(shù),它將密鑰擴展成任意長度的偽隨機位“密鑰流”,該算法的缺陷是:如果對兩個不同的消息使用相同的IV和密鑰進行加密,則可完全破解兩個消息的信息。同時,如果通過無線偵聽收集到包含特定IV密鑰的分組信息并對其進行解析,那么連通用密鑰也可被破解出來。WAPI協(xié)議分為WAI和WPI兩部分,分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。由于WAPI與原有WiFi標(biāo)準(zhǔn)存在較大差異,在設(shè)備兼容方面存在問題。所以WAPI標(biāo)準(zhǔn)仍在推廣之中,并沒有應(yīng)用到現(xiàn)有的無線局域網(wǎng)之中。
WLAN所面臨的安全威脅分為被動攻擊和主動攻擊兩大類。被動攻擊是對WLAN信號的竊聽或干擾,主動攻擊則是對WLAN進行非法接入并篡改網(wǎng)絡(luò)設(shè)置等活動。為部署更安全的無線局域網(wǎng),必須完善無線局域網(wǎng)網(wǎng)絡(luò)安全策略,在OSI網(wǎng)絡(luò)模型之上進行嚴(yán)格把關(guān),在無線設(shè)備和終端之間建立多層次的保護機制,從根本上做到防止非法用戶接入WLAN,并保證數(shù)據(jù)在傳輸過程中安全、保密。
3.2 層次化的無線局域網(wǎng)安全策略
無線局域網(wǎng)的安全貫穿網(wǎng)絡(luò)架構(gòu)、使用和維護的整個過程,單層次的安全技術(shù)并不能保證無線通信的絕對安全,一個設(shè)計良好,架構(gòu)完整的無線局域網(wǎng)安全方案應(yīng)該基于OSI參考模型,以分層方式整合多種不同的安全措施,以最大限度來確保無線局域網(wǎng)的通信安全。
考慮到WLAN物理層的安全,在架構(gòu)WLAN時,通過專用審計儀器測量架設(shè)環(huán)境,確定AP的最佳位置,控制發(fā)散區(qū),盡量減少無線信號泄露到網(wǎng)絡(luò)范圍以外的區(qū)域。當(dāng)網(wǎng)絡(luò)中存在多個AP時,調(diào)整各AP的工作頻道,最大限度的減少干擾。
WLAN數(shù)據(jù)鏈路層的安全重點是對無線設(shè)備合理高效的應(yīng)用。在WLAN中,啟用AP的MAC地址過濾功能。啟用WPA或WEP加密,選擇104或40位(一些舊設(shè)備不支持104位)加密密鑰。
圖2:無線局域網(wǎng)安全構(gòu)架
在配置無線AP時,將SSID設(shè)置為長而復(fù)雜的字符并關(guān)閉SSID廣播功能,在AP中設(shè)置最大長度的共享密鑰并定期更改密鑰,將WLAN的地址分配設(shè)置為靜態(tài)手工分配。同時應(yīng)采用IPSec的嵌套通道來構(gòu)造VPN的安全通信,以確保WLAN網(wǎng)絡(luò)層的安全。
應(yīng)用層的安全至關(guān)重要。在客戶無線終端和無線網(wǎng)絡(luò)間建立VPN(虛擬專用網(wǎng))連接,在無線終端和VPN網(wǎng)關(guān)之間建立一對一的安全連接。同時在WLAN中架設(shè)RADIUS(Remote Authentication Dial-In User Service)服務(wù)器,對系統(tǒng)的遠程連接進行身份驗證、為網(wǎng)絡(luò)資源提供授權(quán)并記錄日志。此外,應(yīng)該在客戶終端中安裝個人防火墻并在WLAN中架設(shè)入侵檢測系統(tǒng)。
4.小結(jié)
隨著人們對無線互聯(lián)需求的增長, 無線局域網(wǎng)技術(shù)必將會得到進一步的發(fā)展, 其安全性也會逐步完善。本文分析了現(xiàn)有無線局域網(wǎng)的安全技術(shù)及其漏洞, 提出了更為安全可靠的無線局域網(wǎng)部署方案。
參考文獻:
[1] 劉峰,王相林.WLAN安全方案及802.11i標(biāo)準(zhǔn)研究.計算機工程與設(shè)計,2006年13期.
[2] 姚志強,蒲江,唐金藝.802.11無線局域網(wǎng)安全性分析.計算機安全,2006年 04期.
[3] 陳一天,Laingal Ming.802.11 WLAN通信安全的研究.計算機應(yīng)用研究,2006年03期.
[4] 趙鵬,羅平,曹學(xué)武.改進無線局域網(wǎng)的安全.計算機工程與應(yīng)用,2004年02期.
[5] 陳卓,陳建峽,楊木祥.基于對稱密碼體制的第三方認(rèn)證的無線局域網(wǎng)安全方案研究.計算機工程與科學(xué),2005年07期.
[6] 周星,康耀紅,孫盛杰.基于IPSec的無線局域網(wǎng)安全解決方案的研究.計算機工程與應(yīng)用,2003年18期.
什么是無線局域網(wǎng)
無線局域網(wǎng)(Wireless Local Area Network,縮寫為"WLAN")是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講,無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計算機之間的通信,并為通信的移動化、個性化和多媒體應(yīng)用提供了可能。通俗地說,無線局域網(wǎng)就是在不采用傳統(tǒng)纜線的同時,提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。
在同一建筑物之內(nèi),無線局域網(wǎng)使得信息交換、協(xié)作無論在線或者移動狀態(tài)下都能進行。只要在筆記本或PC上安裝PC Card適配器,用戶就能夠在無線網(wǎng)絡(luò)覆蓋區(qū)內(nèi)自由移動而保持與網(wǎng)絡(luò)的聯(lián)結(jié)。將無線局域網(wǎng)技術(shù)應(yīng)用到臺式機系統(tǒng),則具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性。桌面用戶能夠安放在纜線所無法到達的地方,臺式機的位置能夠隨時隨地進行變換。
按與有線局域網(wǎng)的關(guān)系,無線局域網(wǎng)分為獨立式和非獨立式兩種。獨立式無線局域網(wǎng)指整個網(wǎng)絡(luò)都使用無線通信的無線局域網(wǎng),非獨立式無線局域網(wǎng)指局域網(wǎng)中無線網(wǎng)絡(luò)設(shè)備與有線網(wǎng)絡(luò)設(shè)備相結(jié)合使用的局域網(wǎng)。目前非獨立式無線局域網(wǎng)居于無線局域網(wǎng)的主流,在有線局域網(wǎng)的基礎(chǔ)上通過無線訪問節(jié)點、無線網(wǎng)橋、無線網(wǎng)卡等設(shè)備使無線通信得以實現(xiàn),其本身還要依賴于有線局域網(wǎng),是有線局域網(wǎng)的擴展和補充,而不是有線局域網(wǎng)的替代產(chǎn)品。非獨立式無線局域網(wǎng)的拓撲圖如圖1所示。
圖1中,帶有無線網(wǎng)卡的電腦與接入點(Access Point,簡稱"AP")實現(xiàn)無線通信,訪問點通過線纜與網(wǎng)絡(luò)的其他部分相連接。一個接入點覆蓋的半徑在35~100米之間,實際連接距離和速度視環(huán)境有無障礙物而定。
什么情形需要無線局域網(wǎng)絡(luò)
無線局域網(wǎng)絡(luò)絕不是用來取代有線局域網(wǎng)絡(luò),而是用來彌補有線局域網(wǎng)絡(luò)之不足,以達到網(wǎng)絡(luò)延伸之目的,現(xiàn)在有線局域網(wǎng)技術(shù)已經(jīng)發(fā)展得比較完善,但是什么情形需要使用無線局域網(wǎng)呢?因為無線局域網(wǎng)無線的特性具有常規(guī)網(wǎng)絡(luò)無可比擬的優(yōu)點。下面就是無線局域網(wǎng)大顯身手的幾種場合。
移動辦公
有了無線局域網(wǎng),你就可以充分享受無線的自由:到辦公室后,打開自己的筆記本電腦,就可以擺脫煩人的雙絞線,在公司內(nèi)自由移動辦公了。而且,如果你來到分公司,如果他們也有無線局域網(wǎng),你也可以直接聯(lián)入網(wǎng)絡(luò),再也不用為找一個臨時座位和雙絞線而發(fā)愁了。
會議
會場布置過程中最令人頭痛的就是網(wǎng)絡(luò)布線,因為演示者很可能需要聯(lián)入網(wǎng)絡(luò)環(huán)境才能得心應(yīng)手。如果拉雙絞線到會場,則會非常麻煩,既不美觀,也不方便,還存在來往人員被線纜絆倒或?qū)⒕€纜損壞的可能。此時,如果在會場附近架設(shè)無線局域網(wǎng),使無線局域網(wǎng)覆蓋會場,筆記本電腦借助無線網(wǎng)卡上網(wǎng),那么問題就會迎刃而解。
布線困難的場所
地方利用無線局域網(wǎng)進行信息的交流;零售商、空運和航運公司高峰時間所需的額外工作站等。
流動工作者可得到信息的區(qū)域:需要在醫(yī)院、零售商店或辦公室區(qū)域流動時得到信息的醫(yī)生、護士、零售商、白領(lǐng)工作者。
辦公室和家庭辦公室(SOHO)用戶,以及需要方便快捷地安裝小型網(wǎng)絡(luò)的用戶。
目前,無線局域網(wǎng)已經(jīng)在教育、金融、健康、旅館以及零售業(yè)、制造業(yè)等各方面有了廣泛的應(yīng)用。
目前的幾種無線網(wǎng)絡(luò)技術(shù)
目前,實現(xiàn)無線網(wǎng)絡(luò)的技術(shù),有藍牙無線接入技術(shù)、家庭網(wǎng)絡(luò)的HomeRF以及IEEE802.11連接技術(shù)。
藍牙技術(shù)
Bluetooth(藍牙)是一種短距的無線通訊技術(shù),電子裝置彼此可以透過藍牙而連接起來,傳統(tǒng)的電線在這里就毫無用武之地了。透過芯片上的無線接收器,配有藍牙技術(shù)的電子產(chǎn)品能夠在十米的距離內(nèi)彼此相通,傳輸速度可以達到10M/s。以往紅外線接口的傳輸技術(shù)需要電子裝置在視線之內(nèi)的距離,而現(xiàn)在有了藍牙技術(shù),這樣的麻煩也可以免除了。不過Bluetooth產(chǎn)品致命的缺陷是任何藍牙產(chǎn)品都離不開Bluetooth芯片、Bluetooth模塊較難生產(chǎn),Bluetooth難于全面測試。這三點是藍牙產(chǎn)品發(fā)展的瓶頸。
HomeRF技術(shù)
HomeRF是由HomeRF工作組開發(fā)的,是在家庭區(qū)域范圍內(nèi)的任何地方,在PC機和用戶電子設(shè)備之間實現(xiàn)無線數(shù)字通信的開放性工業(yè)標(biāo)準(zhǔn)。作為無線技術(shù)方案,它代替了需要鋪設(shè)昂貴傳輸線的有線家庭網(wǎng)絡(luò),為網(wǎng)絡(luò)中的設(shè)備,如筆記本電腦和Internet應(yīng)用提供了漫游功能。HomeRF工作頻段是2.4GHz,支持?jǐn)?shù)據(jù)和音頻。該協(xié)議的網(wǎng)絡(luò)是對等網(wǎng),也就是說,網(wǎng)上的每一個節(jié)點都是西對獨立的,不受中央節(jié)點的控制。因此,任何一個節(jié)點離開網(wǎng)絡(luò)都不會影響到網(wǎng)絡(luò)上其他節(jié)點的正常工作。它的另外一個特點是低功耗,很適合筆記本電腦。
IEEE802.11 IEEE802.11是IEEE最初制定的一個無線局域網(wǎng)標(biāo)準(zhǔn),主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端的無線接入,業(yè)務(wù)主要限于數(shù)據(jù)存取,速率最高只能達到2Mb/s。
由于IEEE802.11在速率和傳輸距離上都不能滿足人們的需要,因此,IEEE小組又相繼推出了IEEE802.11b和IEEE802.11a兩個新標(biāo)準(zhǔn)。三者之間技術(shù)上的主要差別在于MAC子層和物理層。此外還出現(xiàn)了最新802.11g。
本文主要討論以802.11b為基礎(chǔ)的無線局域網(wǎng)。
無線局域網(wǎng)的標(biāo)準(zhǔn)
20世紀(jì)90年代初,無線局域網(wǎng)設(shè)備就已經(jīng)出現(xiàn),但是由于價格、性能、通用性等種種原因,沒有得到廣泛應(yīng)用。IEEE 802.11標(biāo)準(zhǔn)是IEEE(電氣和電子工程師協(xié)會)于1997年制定的一個無線局域網(wǎng)標(biāo)準(zhǔn),主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中設(shè)備的無線接入,速率最高只能達到2Mbps。由于IEEE 802.11標(biāo)準(zhǔn)在速率和傳輸距離上都不能滿足人們的需要,1999年IEEE小組又相繼推出了IEEE 802.11b和IEEE 802.11a兩個新標(biāo)準(zhǔn)。 由于802.11b和802.11a互不兼容,由802.11b升級到802.11a成本非常高,經(jīng)過長時間的研究, IEEE于近日試驗性的批準(zhǔn)了802.11g。
802.11
IEEE 802.11是最初的一個無線局域網(wǎng)標(biāo)準(zhǔn),用于用戶與用戶終端的無線接入,業(yè)務(wù)主要限于數(shù)據(jù)存取,速率最高為2Mbps。目前,3Com等公司都有該標(biāo)準(zhǔn)的無線網(wǎng)卡。
WLAN的安全性
由于無線局域網(wǎng)采用公共的電磁波作為載體,因此對越權(quán)存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網(wǎng)絡(luò)和移動設(shè)備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。影響無線局域網(wǎng)安全的問題主要在以下方面:
數(shù)據(jù)保密。無線LAN網(wǎng)絡(luò)通信安全會受到幾方面的危害,例如傳輸中數(shù)據(jù)被人查看或捕獲,傳輸中數(shù)據(jù)被人改動、重新發(fā)送。
訪問和驗證。每個訪問點形成了通向網(wǎng)絡(luò)的一個新的入口。正因為如此,你會受到下列漏洞的威脅:首先,未授權(quán)實體進入網(wǎng)絡(luò),瀏覽存放在網(wǎng)絡(luò)上的信息,或者是讓網(wǎng)絡(luò)感染上病毒。其次,未授權(quán)實體進入網(wǎng)絡(luò),利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的出發(fā)點(致使受危害的網(wǎng)絡(luò)卻被誤認(rèn)為攻擊始發(fā)者)。第三,入侵者對移動終端發(fā)動攻擊,或為了瀏覽移動終端上的信息,或為了通過受危害的移動設(shè)備訪問網(wǎng)絡(luò)。因此,我們在一開始應(yīng)用無線網(wǎng)絡(luò)時,就應(yīng)該充分考慮其安全性。常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種:
服務(wù)集標(biāo)識符(SSID)
通過對多個無線接入點AP設(shè)置不同的SSID,并要求無線工和站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權(quán)限進行區(qū)別限制。這只是一個簡單的口令,只能提供一定的安全;而且如果配置AP向外廣播其SSID,那么安全程度還將下降。
物理地址(MAC)過濾
由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權(quán)認(rèn)證。
連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術(shù),用戶的加密金鑰必須與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)或128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務(wù)區(qū)內(nèi)的所有用戶都共享一個密鑰,一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全。
虛擬專用網(wǎng)絡(luò)(VPN)
VPN是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于802.11標(biāo)準(zhǔn)定義;倡用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素,同時還可以提供Radius的用戶認(rèn)證以及計費。
端口訪問控制技術(shù)(802.1x)
該技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計費,特別適合于公共無線接入解決方案。
無線局域網(wǎng)的拓撲結(jié)構(gòu)
無線局域網(wǎng)的拓撲結(jié)構(gòu)可分為兩類:無中心拓撲(對等式拓撲)和有中心拓撲。無中心拓撲的網(wǎng)絡(luò)要求網(wǎng)中任意兩點均可直接通信。采用這種結(jié)構(gòu)的網(wǎng)絡(luò)一般使用公用廣播信道,而信道接入控制(MAC)協(xié)議多采用載波監(jiān)測多址接入(CSMA)類型的多址接入?yún)f(xié)議。有中心拓撲結(jié)構(gòu)中則要求一個無線站點充當(dāng)中心站,所有站點對網(wǎng)絡(luò)的訪問均由中心站控制。
對于不同局域網(wǎng)的應(yīng)用環(huán)境與需求,無線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)互連。
網(wǎng)橋連接型:不同的局域網(wǎng)之間互連時,由于物理上的原因,若采取有線方式不方便,則可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接,無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接,還為兩個網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。
基站接入型:當(dāng)采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時,各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互連的。各移動站不僅可以通過交換中心自行組網(wǎng),還可以通過廣域網(wǎng)與遠地站點組建自己的工作網(wǎng)絡(luò)。
Hub接入型:利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng),具有與有線Hub組網(wǎng)方式相類似的優(yōu)點。在該結(jié)構(gòu)基礎(chǔ)上的無線局域網(wǎng),可采用類似于交換型以太網(wǎng)的工作方式,要求Hub具有簡單的網(wǎng)內(nèi)交換功能。
無中心結(jié)構(gòu):要求網(wǎng)中任意兩個站點均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道,MAC層采用CSMA類型的多址接入?yún)f(xié)議。
無線局域網(wǎng)中數(shù)據(jù)量和接入點數(shù)量的關(guān)系
零售店環(huán)境
WLAN可以實現(xiàn)商場內(nèi)擺設(shè)的靈活調(diào)整,并使PC和POS機終端和手持條碼掃描器與網(wǎng)絡(luò)隨時相連,由于數(shù)據(jù)傳輸量不大,2Mbps速率完全可以滿足要求。 所以接入點的數(shù)量少,以最低帶寬實現(xiàn)最大覆蓋面積。可實現(xiàn)2Mbps的最大覆蓋,在屋頂布線比較適宜。布置接入點的示意圖如圖3。
都市頻道應(yīng)用方案
關(guān)鍵詞:數(shù)字化校園無線局城網(wǎng)應(yīng)用探討
在教育信息化快速發(fā)展的今天,校園網(wǎng)已經(jīng)成為校園生活的重要組成部分,是教職員工和學(xué)生獲取資源和信息的主要途徑。它將校園里的院系、學(xué)生與從事社交、學(xué)術(shù)、業(yè)務(wù)活動的行政人員緊密地聯(lián)系在一起,在教育系統(tǒng)中具有重要的作用。目前,越來越多的教師、學(xué)生擁有了筆記本電腦,他們渴望在教室、實驗室、圖書館和室外廣場等場地隨時隨地地接人互聯(lián)網(wǎng)或校園內(nèi)網(wǎng),及時地獲得所需的信息。
一、傳統(tǒng)有線網(wǎng)絡(luò)的局限性
(一)永遠不夠用的網(wǎng)絡(luò)信息點
在教學(xué)樓、學(xué)生宿舍樓,學(xué)校圖書館等校園內(nèi),學(xué)生的數(shù)量多而密集,大量的學(xué)生、教師要求接人校園網(wǎng)絡(luò),于是有限的網(wǎng)絡(luò)接口就變得炙手可熱,甚至很多宿舍學(xué)生自己買了switch與之相連,導(dǎo)致滿宿舍的網(wǎng)線錯綜復(fù)雜,不易管理。
(二)無法及時獲取信息
在校園內(nèi)的開闊地點,如草坪、操場、學(xué)術(shù)報告廳等,學(xué)生們休息的時候想瀏覽網(wǎng)頁;想上學(xué)校的BBS;想在網(wǎng)上視頻點播,但卻找不到網(wǎng)絡(luò)信息點。
(三)無法滿足開放式電子圖書資源的訪問
學(xué)校圖書館是學(xué)生查閱資料相對比較集中的地方,學(xué)生需要在圖書管理員處查詢、借還各種圖書,以及機房占用有限的網(wǎng)絡(luò)接口無法瀏覽電子圖書,所以經(jīng)常可以看到在圖書管機房排著長長的隊伍。
無線局域網(wǎng)是無線通信技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講,無線局域網(wǎng)就是通過無線信道來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信,并實現(xiàn)通信的移動化、個性化和寬帶化。.通俗地講,無線局域網(wǎng)就是在不采用網(wǎng)線的情況下,提供以太網(wǎng)互聯(lián)功能。廣闊的應(yīng)用前景、廣泛的市場需求以及技術(shù)上的可實現(xiàn)性,促進了無線局域網(wǎng)技術(shù)的完善和產(chǎn)業(yè)化,已經(jīng)商用化的802.11b網(wǎng)絡(luò)也正在證實這一點。隨著802.1la網(wǎng)絡(luò)的商用和其他無線局域網(wǎng)技術(shù)的不斷發(fā)展,無線局域網(wǎng)將迎來發(fā)展的黃金時期。無線局域網(wǎng)逐步在企業(yè)、醫(yī)院、商店、工廠和學(xué)校等場合得到應(yīng)用。
架設(shè)高校無線局域網(wǎng)所需的硬件設(shè)備如:
A無線網(wǎng)橋/網(wǎng)卡/路由器設(shè)備
B室外高增益天線系統(tǒng)
C網(wǎng)絡(luò)安全系統(tǒng)何選)無線網(wǎng)絡(luò)控制器
D避雷及防水設(shè)備
接人點通過天線與無線設(shè)備進行通信。一般一個接人點可以支持250個用戶,通過添加更多的接人點,可以輕松地擴大覆蓋范圍。實際運用中的邏輯結(jié)構(gòu)圖如圖1
如果校園網(wǎng)中采用了無線網(wǎng)絡(luò)接人,這一切都會發(fā)生翻天覆地的變化:教學(xué)樓、宿舍區(qū)的學(xué)生可通過帶無線終端的設(shè)備(如:擁有IntelCentrino芯片的筆記本電腦)輕松聯(lián)人校園網(wǎng)絡(luò),高達54Mbps的傳輸速度,可滿足師生瀏覽網(wǎng)頁、文件傳輸?shù)榷喾N需求;課后、周末的時候,學(xué)生在草坪、.操場等休憩場所隨時隨地進行網(wǎng)絡(luò)音樂、視頻的點播;圖書管理員的工作也變得井然有序,學(xué)生使用自己隨身攜帶的筆記本電腦聯(lián)人學(xué)校圖書管理系統(tǒng),快速查找自己所需的資料,隨時檢查自己所借的圖書是否已到了歸還期,這一切讓校園生活變得輕松而時尚。無線局域網(wǎng)因其靈活移動、方便快捷的組網(wǎng)方式和低廉的價格,與教育界的網(wǎng)絡(luò)特性結(jié)合,創(chuàng)造出許多更經(jīng)濟、高效、自由的應(yīng)用方案,滿足從校間、校內(nèi)、樓內(nèi)、室內(nèi)的新型網(wǎng)絡(luò)需求。
二、高校架設(shè)無線局域網(wǎng)的優(yōu)勢
1.可以充分利用學(xué)校已有資源。當(dāng)前,教師利用多媒體進行教學(xué)已經(jīng)司空見慣,許多高校教師人手一臺筆記本電腦,許多高校已經(jīng)基本形成無紙化課堂。隨著無線技術(shù)迅速發(fā)展,學(xué)校難以避免需要向無線局域網(wǎng)技術(shù)升級。無線局域網(wǎng)的架設(shè),可以使用戶不再受線路的限制,并能使高速無線與各校已經(jīng)安裝的有線局域網(wǎng)集成起來,從而保護學(xué)校和教師已有的投資。
2.可以很方便地擴容和調(diào)試。對于有線網(wǎng)絡(luò)來說,辦公地點或網(wǎng)絡(luò)拓撲的改變通常意味著重新建網(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。使用無線接人方式,既可用于物理布線困難的地方,調(diào)試也相對簡單,又更能節(jié)省大量的維護費用,是目前局域網(wǎng)用戶升級、改造現(xiàn)有網(wǎng)絡(luò)最佳的途徑。
3.解決“信息孤島”問題。構(gòu)建學(xué)校校園網(wǎng),主要解決重要建筑之間的聯(lián)網(wǎng),如通常會連接主樓、信息中心、圖書館等,一般采用光纖網(wǎng)絡(luò)的方式。許多距離較遠或用戶較少的建筑變成了“信息孤島”。在學(xué)校的主要室外活動地點如主廣場、運動場等架設(shè)一套無線網(wǎng)橋路由設(shè)備,配備大功率室外天線,裝有無線網(wǎng)卡的筆記本電腦用戶就可以享受無線網(wǎng)絡(luò)帶來的便利:可以在草地上查閱圖書管資料、在湖邊收發(fā)郵件、在樹蔭下、在網(wǎng)站上過行比賽文字現(xiàn)場直播!
4.可以節(jié)省大量專項經(jīng)費。使用無線接人解決方案,可以節(jié)省大量的布線成本,僅需要在每個教室或宿舍的每個樓層預(yù)留一至兩個以太局域網(wǎng)接口,便可輕松實現(xiàn)無縫接人校園網(wǎng)。啟用無線接人解決方案后,教師和學(xué)生都使用筆記本電腦或PDA移動辦公,便可完全取代PC,因此學(xué)校就無需購置專用的教學(xué)PC,僅需購置幾十塊無線網(wǎng)卡即可。
5.可以充分覆蓋校園。合理地布置無線局域網(wǎng)接人點,可以使整個校園都有網(wǎng)絡(luò),學(xué)校就不必再投人大量的資金來建設(shè)更多公共機房;在座位緊張的電子閱覽室,學(xué)生也不必為上機發(fā)愁,真正實現(xiàn)數(shù)字化校園的功能。而且由于沒有線纜的限制,學(xué)校可以方便地按需增加工作站或重新配置工作站。
6.可以讓網(wǎng)絡(luò)管理高效有序。采用無線接人的方式來訪問校園網(wǎng),同有線網(wǎng)絡(luò)比較,安全維護上并不需要特殊的投資,在管理上則完全按照有線網(wǎng)絡(luò)來管理。即通過服務(wù)器來給不同的用戶設(shè)置權(quán)限,這樣不同的用戶只能訪問特定的資源。
7.有線局域網(wǎng)與無線局域網(wǎng)并存。自從上世紀(jì)末,各高校開始校園數(shù)字化建設(shè)起,各校大都進行并完成了有線局域網(wǎng)的架設(shè)工作,其間,因大學(xué)校園的擴建,網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)進行了大規(guī)模的擴容和增加信息點,各種管理信息系統(tǒng)的上線,教育平臺的搭建上已經(jīng)基本形成格局。根據(jù)對高速網(wǎng)絡(luò)技術(shù)及應(yīng)用的需求,各大學(xué)可以采用以有線局域網(wǎng)為基礎(chǔ)的網(wǎng)絡(luò)平臺,構(gòu)建各樣的無線局域網(wǎng)。校園網(wǎng)通常分為三級建設(shè):核心層、分布層和接人層。只用在已經(jīng)分布好的信息點處加裝一些無線寬帶路由器,即可實現(xiàn)一定范圍的無線局域網(wǎng)覆蓋面。雖然純無線局域網(wǎng)要比有線局域網(wǎng)成本高,但無線局域網(wǎng)會是有線方案的有利補充。隨著大學(xué)師生個人購買筆記本和PDA人數(shù)的增多,網(wǎng)絡(luò)無線化應(yīng)用將會普及到校園中去。
無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實用的同時,也存在著一些缺陷:
1.無線電波易受干擾,建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,會影響網(wǎng)絡(luò)的性能;
2.無線信道的傳輸速率與有線信道相比偏低;
3.從理論上講,無線網(wǎng)絡(luò)更容易被監(jiān)測到信息,造成通信信息泄漏。
可采用揚長避短,針對性策略:
1.組合使用安全技術(shù)保障信息安全。對于安全性要求更高的用戶,將現(xiàn)有的VPN安全技術(shù)與802.11b安全技術(shù)結(jié)合起來,是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案。
盡管IT的寒冬還未渡過,但WLAN以其便利的安裝、使用,高速的接入速度,可移動的接入方式贏得了眾多公司、政府、個人以及電信運營商的青睞。但WLAN中,由于傳送的數(shù)據(jù)是利用無線電波在空中輻射傳播,無線電波可以穿透天花板、地板和墻壁,發(fā)射的數(shù)據(jù)可能到達預(yù)期之外的、安裝在不同樓層,甚至是發(fā)射機所在的大樓之外的接收設(shè)備,數(shù)據(jù)安全也就成為最重要的問題。
問題一:容易侵入
無線局域網(wǎng)非常容易被發(fā)現(xiàn),為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在,網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀,這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。
解決方案:加強網(wǎng)絡(luò)訪問控制
容易訪問不等于容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏,當(dāng)然通過強大的網(wǎng)絡(luò)訪問控制可以減少無線網(wǎng)絡(luò)配置的風(fēng)險。如果將AP安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面,最好考慮通過VPN技術(shù)連接到主干網(wǎng)絡(luò),更好的辦法是使用基于IEEE802.1x的新的無線網(wǎng)絡(luò)產(chǎn)品。IEEE802.1x定義了用戶級認(rèn)證的新的幀的類型,借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫,將前端基于IEEE802.1X無線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。
問題二 :非法的AP
無線局域網(wǎng)易于訪問和配置簡單的特性,使網(wǎng)絡(luò)管理員和安全官員非常頭痛。因為任何人的計算機都可以通過自己購買的AP,不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng),用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大安全隱患。
解決方案:定期進行的站點審查
像其他許多網(wǎng)絡(luò)一樣,無線網(wǎng)絡(luò)在安全管理方面也有相應(yīng)的要求。在入侵者使用網(wǎng)絡(luò)之前通過接收天線找到未被授權(quán)的網(wǎng)絡(luò),通過物理站點的監(jiān)測應(yīng)當(dāng)盡可能地頻繁進行,頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率,但是這樣會花費很多的時間并且移動性很差。一種折衷的辦法是選擇小型的手持式檢測設(shè)備。管理員可以通過手持掃描設(shè)備隨時到網(wǎng)絡(luò)的任何位置進行檢測。
問題三:經(jīng)授權(quán)使用服務(wù)
一半以上的用戶在使用AP時只是在其默認(rèn)的配置基礎(chǔ)上進行很少的修改。幾乎所有的AP都按照默認(rèn)配置來開啟WEP進行加密或者使用原廠提供的默認(rèn)密鑰。由于無線局域網(wǎng)的開放式訪問方式,未經(jīng)授權(quán)擅自使用網(wǎng)絡(luò)資源不僅會增加帶寬費用,更可能會導(dǎo)致法律糾紛。而且未經(jīng)授權(quán)的用戶沒有遵守服務(wù)提供商提出的服務(wù)條款,可能會導(dǎo)致ISP中斷服務(wù)。
解決方案:加強安全認(rèn)證
最好的防御方法就是阻止未被認(rèn)證的用戶進入網(wǎng)絡(luò),由于訪問特權(quán)是基于用戶身份的,所以通過加密辦法對認(rèn)證過程進行加密是進行認(rèn)證的前提,通過VPN技術(shù)能夠有效地保護通過電波傳輸?shù)木W(wǎng)絡(luò)流量。
一旦網(wǎng)絡(luò)成功配置,嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對無線網(wǎng)絡(luò)進行測試,以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機制,并確保網(wǎng)絡(luò)設(shè)備的配置正常。
問題四:服務(wù)和性能的限制
無線局域網(wǎng)的傳輸帶寬是有限的,由于物理層的開銷,使無線局域網(wǎng)的實際最高有效吞吐量僅為標(biāo)準(zhǔn)的一半,并且該帶寬是被AP所有用戶共享的。
無線帶寬可以被幾種方式吞噬:來自有線網(wǎng)絡(luò)遠遠超過無線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量,如果攻擊者從快速以太網(wǎng)發(fā)送大量的Ping流量,就會輕易地吞噬AP有限的帶寬;如果發(fā)送廣播流量,就會同時阻塞多個AP;攻擊者可以在同無線網(wǎng)絡(luò)相同的無線信道內(nèi)發(fā)送信號,這樣被攻擊的網(wǎng)絡(luò)就會通過CSMA/CA機制進行自動適應(yīng),同樣影響無線網(wǎng)絡(luò)的傳輸;另外,傳輸較大的數(shù)據(jù)文件或者復(fù)雜的client/server系統(tǒng)都會產(chǎn)生很大的網(wǎng)絡(luò)流量。
解決方案:網(wǎng)絡(luò)檢測
定位性能故障應(yīng)當(dāng)從監(jiān)測和發(fā)現(xiàn)問題入手,很多AP可以通過SNMP報告統(tǒng)計信息,但是信息十分有限,不能反映用戶的實際問題。而無線網(wǎng)絡(luò)測試儀則能夠如實反映當(dāng)前位置信號的質(zhì)量和網(wǎng)絡(luò)健康情況。測試儀可以有效識別網(wǎng)絡(luò)速率、幀的類型,幫助進行故障定位。
問題五:地址欺騙和會話攔截
由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進行認(rèn)證操作,攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂,通過非常簡單的方法,攻擊者可以輕易獲得網(wǎng)絡(luò)中站點的MAC地址,這些地址可以被用來惡意攻擊時使用。
除攻擊者通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷,通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而,由于802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網(wǎng)絡(luò),通過這樣的AP,攻擊者可以進一步獲取認(rèn)證身份信息從而進入網(wǎng)絡(luò)。在沒有采用802.11i對每一個802.11 MAC幀進行認(rèn)證的技術(shù)前,通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。
解決方案:同重要網(wǎng)絡(luò)隔離
在802.11i被正式批準(zhǔn)之前,MAC地址欺騙對無線網(wǎng)絡(luò)的威脅依然存在。網(wǎng)絡(luò)管理員必須將無線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開。
問題六 :流量分析與流量偵聽
802.11無法防止攻擊者采用被動方式監(jiān)聽網(wǎng)絡(luò)流量,而任何無線網(wǎng)絡(luò)分析儀都可以不受任何阻礙地截獲未進行加密的網(wǎng)絡(luò)流量。目前,WEP有漏洞可以被攻擊者利用,它僅能保護用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù),并且管理和控制幀是不能被WEP加密和認(rèn)證的,這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了機會。早期,WEP非常容易被Airsnort、WEPcrack一類的工具解密,但后來很多廠商的固件可以避免這些已知的攻擊。作為防護功能的擴展,最新的無線局域網(wǎng)產(chǎn)品的防護功能更進了一步,利用密鑰管理協(xié)議實現(xiàn)每15分鐘更換一次WEP密鑰。即使最繁忙的網(wǎng)絡(luò)也不會在這么短的時間內(nèi)產(chǎn)生足夠的數(shù)據(jù)證實攻擊者破獲密鑰。
解決方案:采用可靠的協(xié)議進行加密
如果用戶的無線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù),那么僅用WEP加密方式是遠遠不夠的,需要進一步采用像SSH、SSL、IPSec等加密技術(shù)來加強數(shù)據(jù)的安全性。
問題七:高級入侵
一旦攻擊者進入無線網(wǎng)絡(luò),它將成為進一步入侵其他系統(tǒng)的起點。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊,但是在外殼保護的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干,但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò),同樣也會使網(wǎng)絡(luò)暴露出來從而遭到攻擊。
關(guān)鍵詞:無線局域網(wǎng)安全技術(shù);WEP;WPA;WAPI;VPN
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2011)10-2274-02
隨著互聯(lián)網(wǎng)的迅速發(fā)展和網(wǎng)絡(luò)社會化的到來,無線局域網(wǎng)的應(yīng)用也越來越廣泛。無線局域網(wǎng)最大的優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互聯(lián)的可移動性,它能大幅提高用戶訪問信息的及時性和有效性。但無線局域網(wǎng)具有開放性、互聯(lián)性和共享性的特點,因此無線局域網(wǎng)面臨著更嚴(yán)峻的安全問題。
1 無線局域網(wǎng)存在的安全威脅
無線局域網(wǎng)存在的安全威脅,最大問題在于無線通信設(shè)備在自由空間中進行傳輸,無法通過對傳輸媒介接入控制保證數(shù)據(jù)不會被未經(jīng)授權(quán)的用戶獲取。現(xiàn)代無線局域網(wǎng)面臨的主要安全威脅:
1.1 無線局域網(wǎng)探測
當(dāng)前網(wǎng)絡(luò)上有不同操作系統(tǒng)平臺下的多種無線局域網(wǎng)探測和定位軟件,其中最著名是由Marius Milner開發(fā)的Netstumbler。這種軟件能夠收集到無線局域網(wǎng)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,比如WEP密鑰加密包,并進行分析以恢復(fù)WEP密鑰,最快可以在很短時間內(nèi)攻破WEP密鑰。
1.2 無線局域網(wǎng)監(jiān)聽
目前絕大多數(shù)無線AP屬于無線集線器,對于線集線器共享網(wǎng)絡(luò)環(huán)境,只要把網(wǎng)絡(luò)適配器設(shè)置成混雜工作模式,就能監(jiān)聽到整個WLAN內(nèi)的數(shù)據(jù)帖流量。
1.3 無線局域網(wǎng)欺詐
無線局域網(wǎng)欺詐就是利用默認(rèn)配置漏洞、加密漏洞、密鑰管理漏洞和服務(wù)設(shè)置標(biāo)識漏洞等突破身份認(rèn)證的封鎖,假冒合法無線客戶端騙取WLAN的信任,竊聽重要信息或非法訪問資源的攻擊行為。
1.4 無線局域網(wǎng)劫持
無線局域網(wǎng)劫持是指通過偽造ARP緩沖表,使會話流向指定惡意無線客戶端的攻擊行為。ARP發(fā)送請求進程與偵聽?wèi)?yīng)答進程之間的無關(guān)聯(lián)性,為通過偽造MAC地址實現(xiàn)會話劫持提供了機會。
2 無線局域網(wǎng)安全標(biāo)準(zhǔn)
在國際上,為了確保不同廠家生產(chǎn)設(shè)備之間的互操性,ITU-R,IEEE和Wi-Fi聯(lián)盟3個組織制定了WLAN標(biāo)準(zhǔn)。常見的WLAN標(biāo)準(zhǔn)有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11i和IEEE 802.11n等。
WAPI是無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu),是一種無線局域網(wǎng)安全協(xié)議,同時也是中國無線局域網(wǎng)強制性標(biāo)準(zhǔn)中的安全機制。
3 無線局域網(wǎng)安全技術(shù)
隨著信息技術(shù)的不斷發(fā)展,在對無線局域網(wǎng)安全問題的研究過程中,出現(xiàn)了適應(yīng)不同環(huán)境下的無線局域網(wǎng)安全技術(shù)。
3.1 防問控制技術(shù)
3.1.1 服務(wù)區(qū)標(biāo)識符(SSID)匹配
無線工作站必須出示正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP。如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個簡單的口令,從而提供口令誰機制,實現(xiàn)一定的安全。在無線局域網(wǎng)接入點AP上對此項技術(shù)就是可不讓AP廣播其SSID號,這樣無線工作站就必須主動提供正確的SSID號才能與AP進行關(guān)聯(lián)。
3.1.2 無線網(wǎng)卡物理地址(MAC)過濾
每個無線工作站都有唯一的物理地址標(biāo)識,網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點中手工維護一組允許訪問的MAC地址列表,以實現(xiàn)物理地址的訪問過濾。
3.1.3 端口訪問控制技術(shù)(IEEE 802.1 x)和可擴展認(rèn)證協(xié)議
這是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全方案。當(dāng)無線工作站與無線訪問點AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網(wǎng)。現(xiàn)在,安全功能比較全的AP在支持IEEE802.1x和Radius的集中認(rèn)證時支持的可擴展認(rèn)證協(xié)議類型有:EAP-MD5&TLS、TTLS和PEAP。
3.2 數(shù)據(jù)加密技術(shù)
3.2.1WEP有線等價保密
有線等價保密WEP是IEEE 802.11a,IEEE 802.11b和IEEE 802.11g無線局域網(wǎng)采用的安全保護機制,只要正確配置WEP的全部安全功能,WEP仍然能夠為WLAN應(yīng)用提供基本的保密性和完整性。WEP加密利用共享密鑰在提供數(shù)據(jù)傳輸保密性的同時,也提供了身份認(rèn)證機制,能夠在一定程度上防止通過無線鏈路泄露、竊聽和非法訪問等惡意行為。
3.2.2 WPA
WPA是IEEE 802.11i 標(biāo)準(zhǔn)的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案。有WPA 和 WPA2兩個標(biāo)準(zhǔn),它是應(yīng)研究者在前一代的系統(tǒng)有線等效加密(WEP)中找到的幾個嚴(yán)重的弱點而產(chǎn)生的。在現(xiàn)有的WEP加密引擎中增加了“密鑰細分”,“消息完整性檢查”,“具有序列功能的初始向量”和“密鑰生成和定期更新功能”4種算法,極大提高了加密安全強度。該標(biāo)準(zhǔn)的數(shù)據(jù)加密采用TKIP協(xié)議(Temporary Key Integrity Protocol),認(rèn)證有兩種模式可供選擇,一種是使用802.1x協(xié)議進行認(rèn)證;一種是稱為預(yù)先共享密鑰PSK(Pre-Shared Key)模式。
3.3 認(rèn)證技術(shù)
3.3.1 基于PPPoE的認(rèn)證
PPPoE認(rèn)證是出現(xiàn)最早也是最為成熟的一種認(rèn)證機制,現(xiàn)有的寬帶接入技術(shù)采用這種接入認(rèn)證方式。在無線局域中,采用PPPoE認(rèn)證,只需對原有的后臺系統(tǒng)增加相關(guān)的軟件模塊,就可以達到認(rèn)證目的,從而大大節(jié)省投資,因此使用較為廣泛。
3.3.2 基于WEB的認(rèn)證
WEB認(rèn)證相比PPPoE認(rèn)證,一個非常重要的特點就是客戶端除了IE瀏覽器外不需要安裝認(rèn)證客戶端軟件,給用戶面去了安裝、配置與管理客戶端軟件的煩惱,也給維護人員減少了很多相關(guān)維護壓力。
3.3.3 基于802.1x認(rèn)證
802.1x認(rèn)證是采用802.1x協(xié)議的認(rèn)證方式的總稱。IEEE802.1x協(xié)議由IEEE于2001年6月提出,是一種基于端口的訪問控制協(xié)議,能夠?qū)崿F(xiàn)對局域網(wǎng)設(shè)備的安全認(rèn)證和授權(quán)。802.1x協(xié)議的基礎(chǔ)在于EAP認(rèn)證協(xié)議,即IEEE提出的PPP協(xié)議的擴展。IEEE 802.1x協(xié)議的體系結(jié)構(gòu)包括3個重要的部分:客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器,者之間通過EAP協(xié)議進行通信。
3.4 虛擬專用網(wǎng)(VPN)技術(shù)
目前廣泛應(yīng)用于廣域網(wǎng)絡(luò)及遠程接入等領(lǐng)域的VPN安全技術(shù)也可以用于無線局域網(wǎng)。與IEEE802.1x標(biāo)準(zhǔn)所采用的安全技術(shù)不同,VPN主要采用DFS,3DFS等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩τ诎踩砸蟾叩挠脩簦瑢F(xiàn)有的VPN安全技術(shù)與IEEE802.1x安全技術(shù)結(jié)合起來,是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案之一。與WEP機制和MAC地址過濾接入不同,VPN方案具有較強的擴沖及升級性能,可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。
4 結(jié)束語
無線局域網(wǎng)目前正處于蓬勃發(fā)展時期,而無線局域網(wǎng)安全問題也是業(yè)界尤為關(guān)注的焦點之一。無線局域網(wǎng)安全技術(shù)是一個不斷改善和升級的過程,只有在現(xiàn)有的無線局域網(wǎng)安全框架基礎(chǔ)上,運用相關(guān)的關(guān)鍵技術(shù)搭建一個增強的,有足夠安全性的無線局域網(wǎng),才能推動無線局域網(wǎng)的實際應(yīng)用,尤其是在企業(yè)、機關(guān)等重要部門中使用。也只有這樣,無線局域網(wǎng)才能安全順利地與其它有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)乃至3G網(wǎng)絡(luò)實現(xiàn)互聯(lián)互通,發(fā)揮其巨大的潛力。
參考文獻:
[1] 程勝軍,韓桂華.無線局域網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊,2008(7).
[2] 鄭向軍.無線局域網(wǎng)安全技術(shù)研探討[J].福建電腦,2009(10).
在家里構(gòu)建一個屬于自己的無線局域網(wǎng),讓數(shù)據(jù)在家庭網(wǎng)絡(luò)中“再飛一會兒”――這聽上去很美。然而,如果把這個想法付諸實踐,大家就不得不面對無線局域網(wǎng)的種種主客觀局限。怎樣才能讓不帶Wi-Fi模塊的數(shù)字電視機借助無線局域網(wǎng)播放電腦上的高清視頻文件呢?想在任意角落借助無線局域網(wǎng)播放NAS上面的音樂嗎?這似乎也不太靠譜,因為無線局域網(wǎng)的信號覆蓋范圍相當(dāng)有限。與之形成鮮明對比的是,選擇電力線局域網(wǎng)就無需擔(dān)心信號覆蓋范圍限制,因為電力線局域網(wǎng)借用家庭電路來充當(dāng)傳輸介質(zhì)。
電力線局域網(wǎng)可以完美替代無線局域網(wǎng)嗎?為了尋求這個問題的答案,4位CHIP全球測試中心總部編輯在位于德國的住宅中進行了實地測試。
持久性測試:性能大PK
新一代無線路由器的標(biāo)稱數(shù)據(jù)傳輸速率已達450Mb/s(約56MB/s),電力線適配器的標(biāo)稱數(shù)據(jù)傳輸速率更高達500Mb/s(約62MB/s)。不過,它們的實際表現(xiàn)如何呢?CHIP選擇了兩款有代表性的產(chǎn)品來測試,它們是無線路由器Trendnet TEW-691GR和電力線適配器NETGEAR500(XAVB5001)。
CHIP測試人員分別使用它們組建無線局域網(wǎng)、電力線局域網(wǎng),并選取了一臺上網(wǎng)本和一臺NAS來測試這兩個網(wǎng)絡(luò)中的數(shù)據(jù)傳輸速率。
理論上來說,按照無線局域網(wǎng)遵循的最新802.11n標(biāo)準(zhǔn),無線路由器可以為距離300m以內(nèi)的終端提供無線信號。但真實的信號覆蓋范圍要小得多。因為其信號采用的2.4GHz頻段電波會被墻壁阻擋,而且容易與水分子發(fā)生共振而削弱,從而導(dǎo)致信號強度隨距離提升而急劇衰減。
電力線局域網(wǎng)的數(shù)據(jù)傳輸介質(zhì)就是供電線路。電力線適配器會將數(shù)據(jù)轉(zhuǎn)換成頻率為2MHz~30MHz的電波,然后發(fā)送到電線上――另一個適配器接收到這些電波并且轉(zhuǎn)換回數(shù)據(jù)。電力線局域網(wǎng)的安裝方式極其簡單:只需將兩個電力線適配器插到電源插座,然后分別將它們用網(wǎng)線連接到上網(wǎng)本、NAS。如果擔(dān)心他人盜用網(wǎng)絡(luò),那么不妨設(shè)置一個密碼。
小戶型:無線局域網(wǎng)占優(yōu)
對無線局域網(wǎng)來說,面積大約為40m2的“一室戶”公寓是最恰當(dāng)?shù)臏y試環(huán)境:在這里將上網(wǎng)本、NAS連接到無線路由器,它們就可以穩(wěn)定、高速地互傳數(shù)據(jù)――NAS采用有線連接方式而上網(wǎng)本采用無線連接方式,當(dāng)上網(wǎng)本與無線路由器的距離為2m、兩者之間不存在任何阻礙物時,NAS與上網(wǎng)本之間的實測數(shù)據(jù)傳輸速率可達18MB/s。然而,一旦將無線路由器挪到地面上,拿著上網(wǎng)本在房間內(nèi)走動并讓桌腳始終阻擋在兩者之間,兩者之間的實測數(shù)據(jù)傳輸速率就會立刻下降大約2MB/s――這種情況在傳輸多個大文件時顯現(xiàn)得尤其明顯。
在同樣的環(huán)境中,電力線局域網(wǎng)令人失望。由于“一室戶”公寓的墻壁上并未預(yù)留太多電路插座,CHIP測試人員只能讓電力線適配器與家電設(shè)備共享插板,而這會導(dǎo)致電力線局域網(wǎng)的傳輸速率明顯降低。此外,家庭電路里的所有設(shè)備都可能帶來不良影響,比如說,處于同一回路上的設(shè)備的功率變化就能讓電力線局域網(wǎng)的傳輸速率降低。在電路中加入整流器有助于減輕這種不良影響。
CHIP測試人員在擁有兩個房間、墻壁厚實濕潤的公寓中分別部署這兩類網(wǎng)絡(luò),發(fā)現(xiàn)情況與之類似。雖然當(dāng)上網(wǎng)本和無線路由器處在不同的房間里時,無線局域網(wǎng)的實測數(shù)據(jù)傳輸速率下降了大約1/3,但這樣的速率仍足以保證瀏覽網(wǎng)頁、無延時地播放NAS上存放的高清電影。而電力線局域網(wǎng)的實測數(shù)據(jù)傳輸速率急劇降到6MB/s左右。為了消除其他連入電路的設(shè)備帶來的影響,CHIP測試人員將電視機、家庭影院控制臺和臺式電腦的電源線都拔掉了――但電力線局域網(wǎng)的表現(xiàn)依然不見起色。經(jīng)過反復(fù)測試,真正的原因被找到了,那就是配對的電力線適配器所使用的插座正好位于電路中的不同相位。CHIP測試人員使用了相位耦合器,這使得電力線局域網(wǎng)的實測數(shù)據(jù)傳輸速率從6MB/s提升到8MB/s――不過考慮到相位耦合器的昂貴售價,這種解決方案略顯奢侈。
總之,在小戶型住宅中構(gòu)建家庭網(wǎng)絡(luò)時,無線局域網(wǎng)是首選。無線局域網(wǎng)在近距離內(nèi)能提供出色的性能表現(xiàn),顯得更加靈活易用,更能可靠地傳輸數(shù)據(jù)。不過,在嘗試構(gòu)建無線局域網(wǎng)時,請用戶務(wù)必牢記安裝操作步驟,并且把無線局域網(wǎng)加密。構(gòu)建電力線局域網(wǎng)確實顯得更加簡單,但其數(shù)據(jù)傳輸速率較低,而且用戶仍然需要使用令人煩惱的網(wǎng)線來連接電力線適配器和上網(wǎng)本等終端。
大戶型:電力線局域網(wǎng)更佳
然而,當(dāng)用戶需要在大戶型住宅中構(gòu)建家庭網(wǎng)絡(luò)時,電力線局域網(wǎng)的優(yōu)勢就明顯了。在擁有4個房間的住宅中,無線局域網(wǎng)的信號很難覆蓋它的所有區(qū)域。即便上網(wǎng)本從遠處連接到了無線路由器,斷線的情況也時常發(fā)生。想要快樂地瀏覽網(wǎng)頁?不用抱多大指望。當(dāng)然,在這樣的惡劣環(huán)境下,用戶就更別想借助無線局域網(wǎng)來傳輸音樂、電影了。如果用戶仍然堅持選擇無線局域網(wǎng),那么無線中繼器是不錯的選擇。無線中繼器可以偵聽周圍的Wi-Fi信號并且將它放大后傳送到預(yù)定目的地。
反之,電力線局域網(wǎng)在這樣的環(huán)境下可以正常工作:在大戶型住宅中尋找閑置的插座并不困難。電力線適配器可以保證兩個分別位于住宅任意角落的終端設(shè)備之間的數(shù)據(jù)傳輸速率達到4MB/s~5MB/s――這已足以滿足家庭網(wǎng)絡(luò)中的絕大多數(shù)應(yīng)用。值得一提的是,用戶最好選擇來自同一廠商的多個電力線適配器,因為不同廠商的產(chǎn)品之間可能存在著兼容性問題,這也使得升級擴充電力線局域網(wǎng)略顯麻煩。此外,如果某個房間內(nèi)只有一個閑置插座,那么不妨部署路由器或交換機來配合電力線適配器工作。
兩類網(wǎng)絡(luò)的最終較量在獨棟復(fù)式住宅中進行,這里的家庭網(wǎng)絡(luò)需要從底樓部署到頂樓。無線局域網(wǎng)能夠勝任嗎?測試結(jié)果足以說明問題:無線局域網(wǎng)顯得相當(dāng)不切合實際環(huán)境,因為處于各樓層內(nèi)的終端都必須借助無線中繼器才能連入無線局域網(wǎng)。
然而,電力線局域網(wǎng)可以輕松完成部署家庭網(wǎng)絡(luò)的任務(wù),雖然這棟復(fù)式住宅已經(jīng)建成10年、其電路已經(jīng)略有老化――通過電力線局域網(wǎng),頂樓房間內(nèi)的上網(wǎng)本可以順暢地放映位于地下室的NAS里的高清電影,兩者之間傳輸單個3GB大小的文件僅需10分鐘。而安放在地下室內(nèi)的無線路由器僅能將其信號覆蓋到地下室和一樓。
因此,在大戶型住宅中,電力線局域網(wǎng)明顯更能承擔(dān)起建立大范圍家庭網(wǎng)絡(luò)的任務(wù)。不過,考慮到諸多移動終端的存在,將電力線局域網(wǎng)與無線局域網(wǎng)結(jié)合起來應(yīng)該是更為理想的解決方案。
無線局域網(wǎng)
信號覆蓋范圍不足
通常,無線局域網(wǎng)提供的信號在穿透兩堵承重墻或兩層天花板后就會衰減到無法正常連接的地步。如果用戶需要擴充無線局域網(wǎng)的信號覆蓋范圍,那就需要額外配備無線中繼器。
易于為移動終端提供服務(wù)
如今,諸如手機、平板之類的移動終端大多內(nèi)置了Wi-Fi模塊,而3G上網(wǎng)的資費又居高不下。想要使用這些移動終端的用戶可以將它們連入無線局域網(wǎng)以節(jié)省寶貴的3G流量。
無線家庭娛樂體驗
主流的高清播放機、音響產(chǎn)品也內(nèi)置了Wi-Fi模塊。用戶可以借助無線局域網(wǎng)搭建家庭娛樂環(huán)境,避免了部署網(wǎng)線的麻煩。倘若選擇電力線局域網(wǎng),又會遭遇“插座數(shù)量不夠”的問題。
傳輸速率易受環(huán)境影響
天花板和墻壁會阻礙、吸收無線局域網(wǎng)信號,而信號強度的衰減意味著無線傳輸速率的暴跌。
電力線局域網(wǎng)
大覆蓋范圍
跟無線局域網(wǎng)不同,在電力線局域網(wǎng)中,終端與路由器之間的物理距離并不明顯影響速度――同一個電表內(nèi)的供電線路都可以充當(dāng)電力線局域網(wǎng)的傳輸介質(zhì)。
移動性較差
電力線適配器通常只提供一個RJ-45接口,用戶需要把它連接到額外配備的無線局域網(wǎng)設(shè)備,搭建出無線局域網(wǎng),以便于使用手機、平板等移動終端進行連接。
部署的煩惱
電力線適配器需要獨占插座且與其他適配器并聯(lián),因為適配器串聯(lián)會明顯影響其數(shù)據(jù)傳輸速率。
速率受相位影響
如果電力線適配器工作在不同的相位下,其數(shù)據(jù)傳輸速率就會明顯受到影響。此時,用戶可以借助相位耦合器(Phase coupler)來解決問題。
相位耦合器價格昂貴,所以我們建議用戶在三相電環(huán)境中將所有電力線適配器連在同一相電路上。
無線局域網(wǎng)的特點
無線,顯得靈活易用。
存在著諸多可用的終端產(chǎn)品。
數(shù)據(jù)傳輸速率隨距離增長而明顯下降。
無線信號很難穿透兩層以上的承重墻、天花板。
Trendnet TEW-691GR
標(biāo)稱傳輸速率:450Mb/s
網(wǎng)購價:1800元
電力線局域網(wǎng)的特點
易于安裝、構(gòu)建網(wǎng)絡(luò)。
能保持一定的數(shù)據(jù)傳輸速率。
需結(jié)合無線局域網(wǎng)設(shè)備來為移動終端服務(wù)。
不同品牌的電力線適配器之間存在著兼容性問題。
NETGEAR500(XAVB5001)
標(biāo)稱傳輸速率:500Mb/s
網(wǎng)購價:1800元一對
數(shù)據(jù)傳輸速率對比
無線局域網(wǎng)在近距離內(nèi)使用明顯占優(yōu)勢,但墻壁會極大影響無線信號強度。在終端設(shè)備之間隔著幾個房間的情況下,電力線局域網(wǎng)是更好的選擇,因為它可以在距離較遠時保證數(shù)據(jù)傳輸速率。
改善家庭網(wǎng)絡(luò)環(huán)境的小建議
無線局域網(wǎng)非常容易受到環(huán)境影響,所以最好把無線路由器擺放在四周沒有障礙的位置。此外,如果無線局域網(wǎng)的數(shù)據(jù)傳輸速率較低,用戶不妨切換一下無線路由器的工作頻道,比如說從11頻道切換到6頻道。
關(guān)鍵詞:無線局域網(wǎng);校園網(wǎng);傳輸帶寬
中圖分類號:TP393文獻標(biāo)識碼:A 文章編號:1009-3044(2009)24-6629-02
The Application of WLAN Technology In Campus Network
HE Cheng-qian1, LU Man-li2
(1.Yangzhou Polytechnic College,Yangzhou 225009,China;2.Yangzhou Vocational College of Environment and Resources, Yangzhou 225007,China)
Abstract: In this paper, the author supplies an overview of WLAN, and then, introduces current application of WLAN technology in Campus Network,analies the difference between WLAN and wired networks,for the advantages and defects of WLAN, advances the present practicalapplication prospect of WLAN technology in Campus Network.
Key words: WLAN; gampus network; transportation bandwidth
目前校園網(wǎng)用戶有多種新的需求,如網(wǎng)絡(luò)信息點流動的需求、難以布線區(qū)域網(wǎng)絡(luò)接入需求、降低成本和保護投資的需求等等。這些迫切的需求問題目前都難以通過有線介質(zhì)網(wǎng)絡(luò)技術(shù)加以解決,所以在原有網(wǎng)絡(luò)基礎(chǔ)下使用無線局域網(wǎng)技術(shù)建立無線校園網(wǎng),方便或是完善校園網(wǎng)的功能,已成為現(xiàn)代化校園網(wǎng)的一個重要標(biāo)志。根據(jù)相關(guān)報道,2008年6月,中國已有600所高校建設(shè)無線校園網(wǎng)。
1 校園對無線局域網(wǎng)的需求
21世紀(jì)是數(shù)字化、網(wǎng)絡(luò)化、信息化的世紀(jì)。隨著信息技術(shù)的飛速發(fā)展和教育信息化程度的提高, 在校園網(wǎng)內(nèi)全面實現(xiàn)全面信息電子化交換和信息資源共享成為必要。從而在原有的網(wǎng)絡(luò)基礎(chǔ)上提出了新的一些問題:
1)網(wǎng)絡(luò)擴展問題:隨著校園的發(fā)展,有一定物理分隔的老校區(qū)與新校區(qū)之間可能需要實現(xiàn)網(wǎng)絡(luò)互聯(lián),比如新老校區(qū)間需跨越城市主干道;或是建筑物之間的不易架設(shè)網(wǎng)線的網(wǎng)絡(luò)互聯(lián),比如建筑物之間有河流、湖泊等自然阻隔,這些情況下使用有線網(wǎng)絡(luò)介質(zhì)實現(xiàn)網(wǎng)絡(luò)互聯(lián)都比較困難;
2)移動獲取網(wǎng)絡(luò)服務(wù)問題:隨著筆記本電腦、掌上電腦等移動智能設(shè)備的普及,這類移動性強設(shè)備對網(wǎng)絡(luò)接入服務(wù)提出了很高的移動性要求,而當(dāng)前有線網(wǎng)絡(luò)環(huán)境卻無法滿足此項要求;
3)網(wǎng)絡(luò)接入要求密集問題:當(dāng)大量用戶在一個相對空間狹小的地點同時要求網(wǎng)絡(luò)接入時,比如學(xué)校電子閱覽室,如果用電纜連網(wǎng),恐怕連鋪設(shè)電纜的位置都很難找到的情況;
要解決上述問題,就促使我們必須打破有線網(wǎng)絡(luò)通信介質(zhì)的束縛,尋求使用無線局域網(wǎng)通信介質(zhì)擴充網(wǎng)絡(luò)的解決方案。
2 無線局域網(wǎng)的性能和特點
無線局域網(wǎng)(WLAN)是指利用無線電波作為傳輸介質(zhì),使用無線射頻(RF)技術(shù)實現(xiàn)與設(shè)備位置無關(guān)的網(wǎng)絡(luò)數(shù)據(jù)傳輸體統(tǒng),是一種數(shù)據(jù)傳輸系統(tǒng),是從有線網(wǎng)絡(luò)系統(tǒng)發(fā)展而來的一種新技術(shù),使用無線射頻技術(shù)通過空中收發(fā)數(shù)據(jù),從而減少使用有線連接。一般來說,凡是采用無線傳輸數(shù)據(jù)或媒體計算機網(wǎng)絡(luò)都稱為無線網(wǎng)絡(luò),它是計算機網(wǎng)絡(luò)與無線通信技術(shù)相互結(jié)合共同發(fā)展的產(chǎn)物。
當(dāng)前,在諸多計算機連網(wǎng)技術(shù)中,無線局域網(wǎng)技術(shù)以其無需布線、在一定區(qū)域漫游、安裝運行費用低廉等特點,在許多場合發(fā)揮著其他連網(wǎng)技術(shù)不可替代的作用。
3 無線局域網(wǎng)在校園網(wǎng)應(yīng)用優(yōu)勢
如前所述,根據(jù)無線局域網(wǎng)技術(shù)的特點,其在校園網(wǎng)應(yīng)用中的具有一些優(yōu)勢,這些優(yōu)勢主要表現(xiàn)在三種典型的應(yīng)用:
3.1 無線局域網(wǎng)實現(xiàn)校園網(wǎng)擴展中的優(yōu)勢
無線局域網(wǎng)的安裝維護簡單,無需布線或開挖溝槽可實現(xiàn)快速安裝,對在已建建筑群區(qū)域使用,及對具有一定物理分隔或是其他無法進行有線傳輸介質(zhì)鋪設(shè)的網(wǎng)絡(luò)連接需要時,無線局域網(wǎng)能提供更簡單的網(wǎng)絡(luò)接入保障。另外,當(dāng)網(wǎng)絡(luò)發(fā)生故障時,網(wǎng)絡(luò)管理員不必巡線尋找損壞的線路,只要檢查信號發(fā)送與接收端的信號是否正常即可判斷網(wǎng)絡(luò)故障所在。因此使用無線局域網(wǎng)技術(shù)相比使用有線網(wǎng)絡(luò)技術(shù)而言,在很大程度上簡化施工維護難度的同時還能有效地削減施工成本。
3.2 無線局域網(wǎng)實現(xiàn)校園網(wǎng)移動接入的優(yōu)勢
無線局域網(wǎng)技術(shù)具有無縫覆蓋, 不受布線接點位置的限制的優(yōu)點,使傳統(tǒng)的有線網(wǎng)絡(luò)傳輸距離得到了無線的延伸,克服了布線困難的問題。有線網(wǎng)絡(luò)難以延伸的區(qū)域,可由無線局域網(wǎng)覆蓋,在無線局域網(wǎng)的信號覆蓋范圍內(nèi)的任何一個位置都可以接入網(wǎng)絡(luò),使得網(wǎng)絡(luò)的接入和擴容非常的靈活。具有有線網(wǎng)絡(luò)不具有可移動性,為學(xué)生和教師提供移動網(wǎng)絡(luò)服務(wù)。傳統(tǒng)校園網(wǎng)為學(xué)生和教師提供了像互聯(lián)網(wǎng)接入、圖書館和數(shù)據(jù)中心等服務(wù),但是用戶為了使用這類服務(wù)不得不整天在它們之間奔波。如果學(xué)生與教師使用了配有無線網(wǎng)卡的便攜式計算機,他們就可以在學(xué)校的任何時間、任何地點來使用這些校園網(wǎng)提供的服務(wù),可以很方便地建立虛擬教室和調(diào)研項目,為學(xué)生提供方便即時的無線上網(wǎng)服務(wù)。
另外,無線局域網(wǎng)還可以對臨時教學(xué)活動提供靈活方便的服務(wù)。一間教室有可能有不同用途,而該教室中的計算機也可能需要被拿到另外的教室中用于其它用途。無線局域網(wǎng)產(chǎn)品可以很容易地實現(xiàn)這些頻繁移動的計算機之間的網(wǎng)絡(luò)互連,從而很快地將一個本來是用于其他目的的教室變成你需要的功能教室,省去了布線的費用以及所耗精力。
3.3 無線局域網(wǎng)技術(shù)實現(xiàn)校園網(wǎng)密集接入的優(yōu)勢
無線局域網(wǎng)技術(shù)具有大容量接入,且不受布線束縛接入方便的特點,一個信道可以支持多用戶共享,大大的提高了設(shè)備邏輯端口密度,更適合在用戶密集的熱點地區(qū)部署。就目前使用的無線局域網(wǎng)接入設(shè)備而言,理論上一臺AP(無線訪問節(jié)點)可以提供250臺以上安裝了無線網(wǎng)卡的電腦或其他移動智能設(shè)備接入網(wǎng)絡(luò),由于沒有線纜,根本上解決了有線網(wǎng)絡(luò)在密集接入中需要考慮的布線問題和多交換機級聯(lián)、多交換機設(shè)置等問題。同時也節(jié)省了購置線纜和其他網(wǎng)絡(luò)連接設(shè)備的費用。對于校園網(wǎng)中電子閱覽室、禮堂等這類室內(nèi)空間且需要提供密集連接場所的網(wǎng)絡(luò)接入要求,相比使用有線網(wǎng)絡(luò)技術(shù)而言,使用無線局域網(wǎng)技術(shù)的確可以起到事半功倍的效果。
并且,無線局域網(wǎng)采用CSMA/CA介質(zhì)訪問協(xié)議,與有線以太網(wǎng)IEEE802.3的MAC物理鏈路層標(biāo)準(zhǔn)CSMA/CD兼容,所以能與標(biāo)準(zhǔn)以太網(wǎng)及目前的幾種主流的網(wǎng)絡(luò)操作系統(tǒng)完全兼容。因此,在網(wǎng)絡(luò)連接由有線以太網(wǎng)方式改為無線局域網(wǎng)方式時,用戶已有的網(wǎng)絡(luò)軟件可不做任何的設(shè)置修改,就能在新的網(wǎng)絡(luò)環(huán)境中正常運行。所以在原有有線網(wǎng)絡(luò)環(huán)境下實現(xiàn)無線網(wǎng)絡(luò)的改造比較方便。
4 無線局域網(wǎng)在校園網(wǎng)應(yīng)用中的缺點
目前無線局域網(wǎng)技術(shù)在校園網(wǎng)絡(luò)中仍然無法完全取代有線網(wǎng)絡(luò)的,其原因主要在于一下三方面:
4.1 信號抗干擾性、穿透性弱
我們目前的校園環(huán)境中的無線信號本就種類繁多。比如校園內(nèi)的廣播站信號,移動通信信號甚至是辦公室里的微波爐產(chǎn)生的微波,而這些都能對同樣利用無線電波作為傳輸介質(zhì)的無線局域網(wǎng)產(chǎn)生影響。這和通常使用抗輻射屏蔽技術(shù)的無線局域網(wǎng)傳輸介質(zhì)相比的能力有較大的差異。而且無線電波的較差,當(dāng)AP與安裝無線網(wǎng)卡的接入設(shè)備之間有建筑或其他各種障礙物或干擾體遮擋時,信號的衰減相當(dāng)明顯,這也是無法和有線網(wǎng)絡(luò)相比的。
4.2 傳輸距離有限
由表1可知無線局域網(wǎng)的理論最大傳輸距離比較有線網(wǎng)絡(luò)的沒有優(yōu)勢。且由于上文所述無線局域網(wǎng)信號抗干擾性、穿透性弱的原因,在實際應(yīng)用中其有效傳輸距離往往很大程度上低于理論最大值。故而在進行長距離網(wǎng)絡(luò)傳輸時,還是使用有線網(wǎng)絡(luò)技術(shù)。
4.3 數(shù)據(jù)傳輸帶寬有限
從表2和表3中我們可以看出,就理論數(shù)值分析,無線局域網(wǎng)的速度較有線網(wǎng)絡(luò)有一定的差距。而且,一般狀態(tài)下無線局域網(wǎng)的用戶實際使用中上并未達到理論速度的最大值。業(yè)界公認(rèn),無線局域網(wǎng)的實際傳輸速度是最大傳輸速度的一半以下。而這樣的速度僅僅接近100M有線網(wǎng)絡(luò)的傳輸帶寬。更何況由于前文提到的原因,無線信號易受干擾,在傳輸距離較長時,信號衰變較快,因而上述的實際傳輸帶寬也僅僅時短距離,無信號干擾的理想環(huán)境中的測試值。因此在對傳輸帶寬要求比較高的的網(wǎng)絡(luò)部分,比如校園網(wǎng)主干網(wǎng)建議使用有線網(wǎng)絡(luò)技術(shù)架設(shè)。
5 結(jié)束語
從前文可以看出,校園網(wǎng)中引入無線局域網(wǎng)技術(shù)能很好的擴展和補充單一有線局域網(wǎng)的缺點,這樣的綜合方案能有效的涉及校園網(wǎng)絡(luò)的實際建設(shè)要求,在現(xiàn)階段無線局域網(wǎng)雖然無法完全取代有線局域網(wǎng)的傳輸主干的作用,但可以明顯的增強原有有線校園網(wǎng)的實用性,補充原有有線校園網(wǎng)的功能性。隨著無線通信技術(shù)的成熟和提高,無線局域網(wǎng)技術(shù)必將得到廣泛的應(yīng)用,使校園網(wǎng)中無線局域網(wǎng)與有線網(wǎng)絡(luò)的結(jié)合使用成為當(dāng)前校園網(wǎng)絡(luò)發(fā)展趨勢。
參考文獻:
[1] 謝希仁.計算機網(wǎng)絡(luò)[M].2版.北京:電子工業(yè)出版社,1999.
[2] 趙國芳,嚴(yán)戰(zhàn)友.校園網(wǎng)的無線設(shè)計方案[J].通信信息技術(shù),2005,4:44-47.
[3] 崔少儀.無線局域網(wǎng)的優(yōu)勢及在校園應(yīng)用探討[J].金卡工程,2005,8:45-49.
[4] 龍.淺析無線局域網(wǎng)技術(shù)[J].應(yīng)用能源技術(shù),2006,4:45-48.
關(guān)鍵詞:數(shù)字化校園無線局城網(wǎng)應(yīng)用
在教育信息化快速發(fā)展的今天,校園網(wǎng)已經(jīng)成為校園生活的重要組成部分,是教職員工和學(xué)生獲取資源和信息的主要途徑。它將校園里的院系、學(xué)生與從事社交、學(xué)術(shù)、業(yè)務(wù)活動的行政人員緊密地聯(lián)系在一起,在教育系統(tǒng)中具有重要的作用。目前,越來越多的教師、學(xué)生擁有了筆記本電腦,他們渴望在教室、實驗室、圖書館和室外廣場等場地隨時隨地地接入互聯(lián)網(wǎng)或校園內(nèi)網(wǎng),及時地獲得所需的信息。
一、傳統(tǒng)有線網(wǎng)絡(luò)的局限性
(1)永遠不夠用的網(wǎng)絡(luò)信息點。在教學(xué)樓、學(xué)生宿舍樓,學(xué)校圖書館等校園內(nèi),學(xué)生的數(shù)量多而密集,大量的學(xué)生、教師要求接入校園網(wǎng)絡(luò),于是有限的網(wǎng)絡(luò)接口就變得炙手可熱,甚至很多宿舍學(xué)生自己買了switch與之相連,導(dǎo)致滿宿舍的網(wǎng)線錯綜復(fù)雜,不易管理。
(2)無法及時獲取信息。在校園內(nèi)的開闊地點,如草坪、操場、學(xué)術(shù)報告廳等,學(xué)生們休息的時候想瀏覽網(wǎng)頁;想上學(xué)校的BBS;想在網(wǎng)上視頻點播,但卻找不到網(wǎng)絡(luò)信息點。
(3)無法滿足開放式電子圖書資源的訪問。學(xué)校圖書館是學(xué)生查閱資料相對比較集中的地方,學(xué)生需要在圖書管理員處查詢、借還各種圖書,以及機房占用有限的網(wǎng)絡(luò)接口無法瀏覽電子圖書,所以經(jīng)常可以看到在圖書管機房排著長長的隊伍。
無線局域網(wǎng)是無線通信技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講,無線局域網(wǎng)就是通過無線信道來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信,并實現(xiàn)通信的移動化、個性化和寬帶化。.通俗地講,無線局域網(wǎng)就是在不采用網(wǎng)線的情況下,提供以太網(wǎng)互聯(lián)功能。廣闊的應(yīng)用前景、廣泛的市場需求以及技術(shù)上的可實現(xiàn)性,促進了無線局域網(wǎng)技術(shù)的完善和產(chǎn)業(yè)化,已經(jīng)商用化的802.11b網(wǎng)絡(luò)也正在證實這一點。隨著802.1la網(wǎng)絡(luò)的商用和其他無線局域網(wǎng)技術(shù)的不斷發(fā)展,無線局域網(wǎng)將迎來發(fā)展的黃金時期。無線局域網(wǎng)逐步在企業(yè)、醫(yī)院、商店、工廠和學(xué)校等場合得到應(yīng)用。
架設(shè)高職院校無線局域網(wǎng)所需的硬件設(shè)備如:
A.無線網(wǎng)橋/網(wǎng)卡/路由器設(shè)備
B.室外高增益天線系統(tǒng)
C.網(wǎng)絡(luò)安全系統(tǒng)(可選)無線網(wǎng)絡(luò)控制器
D.避雷及防水設(shè)備
接入點通過天線與無線設(shè)備進行通信。一般一個接入點可以支持250個用戶,通過添加更多的接入點,可以輕松地擴大覆蓋范圍。
二、高職院校架設(shè)無線局域網(wǎng)的優(yōu)勢
(1)可以充分利用學(xué)校已有資源。當(dāng)前,教師利用多媒體進行教學(xué)已經(jīng)司空見慣,許多高職院校教師人手一臺筆記本電腦,許多高職院校已經(jīng)基本形成無紙化課堂。隨著無線技術(shù)迅速發(fā)展,學(xué)校難以避免需要向無線局域網(wǎng)技術(shù)升級。無線局域網(wǎng)的架設(shè),可以使用戶不再受線路的限制,并能使高速無線與各校已經(jīng)安裝的有線局域網(wǎng)集成起來,從而保護學(xué)校和教師已有的投資。
(2)可以很方便地擴容和調(diào)試。對于有線網(wǎng)絡(luò)來說,辦公地點或網(wǎng)絡(luò)拓撲的改變通常意味著重新建網(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。使用無線接入方式,既可用于物理布線困難的地方,調(diào)試也相對簡單,又更能節(jié)省大量的維護費用,是目前局域網(wǎng)用戶升級、改造現(xiàn)有網(wǎng)絡(luò)最佳的途徑。
(3)解決“信息孤島”問題。構(gòu)建學(xué)校校園網(wǎng),主要解決重要建筑之間的聯(lián)網(wǎng),如通常會連接主樓、信息中心、圖書館等,一般采用光纖網(wǎng)絡(luò)的方式。許多距離較遠或用戶較少的建筑變成了“信息孤島”。在學(xué)校的主要室外活動地點如主廣場、運動場等架設(shè)一套無線網(wǎng)橋路由設(shè)備,配備大功率室外天線,裝有無線網(wǎng)卡的筆記本電腦用戶就可以享受無線網(wǎng)絡(luò)帶來的便利:可以在草地上查閱圖書管資料、在湖邊收發(fā)郵件、在樹蔭下、在網(wǎng)站上過行比賽文字現(xiàn)場直播!
(4)可以節(jié)省大量專項經(jīng)費。使用無線接入解決方案,可以節(jié)省大量的布線成本,僅需要在每個教室或宿舍的每個樓層預(yù)留一至兩個以太局域網(wǎng)接口,便可輕松實現(xiàn)無縫接入校園網(wǎng)。啟用無線接入解決方案后,教師和學(xué)生都使用筆記本電腦或PDA移動辦公,便可完全取代PC,因此學(xué)校就無需購置專用的教學(xué)PC,僅需購置幾十塊無線網(wǎng)卡即可。
(5)可以充分覆蓋校園。合理地布置無線局域網(wǎng)接入點,可以使整個校園都有網(wǎng)絡(luò),學(xué)校就不必再投人大量的資金來建設(shè)更多公共機房;在座位緊張的電子閱覽室,學(xué)生也不必為上機發(fā)愁,真正實現(xiàn)數(shù)字化校園的功能。而且由于沒有線纜的限制,學(xué)校可以方便地按需增加工作站或重新配置工作站。
(6)可以讓網(wǎng)絡(luò)管理高效有序。采用無線接入的方式來訪問校園網(wǎng),同有線網(wǎng)絡(luò)比較,安全維護上并不需要特殊的投資,在管理上則完全按照有線網(wǎng)絡(luò)來管理。即通過服務(wù)器來給不同的用戶設(shè)置權(quán)限,這樣不同的用戶只能訪問特定的資源。
(7)有線局域網(wǎng)與無線局域網(wǎng)并存。自從上世紀(jì)末,各高職院校開始校園數(shù)字化建設(shè)起,各校大都進行并完成了有線局域網(wǎng)的架設(shè)工作,其間,因大學(xué)校園的擴建,網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)進行了大規(guī)模的擴容和增加信息點,各種管理信息系統(tǒng)的上線,教育平臺的搭建上已經(jīng)基本形成格局。根據(jù)對高速網(wǎng)絡(luò)技術(shù)及應(yīng)用的需求,各大學(xué)可以采用以有線局域網(wǎng)為基礎(chǔ)的網(wǎng)絡(luò)平臺,構(gòu)建各樣的無線局域網(wǎng)。校園網(wǎng)通常分為三級建設(shè):核心層、分布層和接入層。只用在已經(jīng)分布好的信息點處加裝一些無線寬帶路由器,即可實現(xiàn)一定范圍的無線局域網(wǎng)覆蓋面。雖然純無線局域網(wǎng)要比有線局域網(wǎng)成本高,但無線局域網(wǎng)會是有線方案的有利補充。隨著大學(xué)師生個人購買筆記本和PDA人數(shù)的增多,網(wǎng)絡(luò)無線化應(yīng)用將會普及到校園中去。
無線局域網(wǎng)在技術(shù)上已經(jīng)日漸成熟,應(yīng)用日趨廣泛,無線局域網(wǎng)將從小范圍應(yīng)用進人主流應(yīng)用。大學(xué)校園應(yīng)大力進行校園無線局域網(wǎng)技術(shù)的研究和實用化工作,抓住無線局域網(wǎng)發(fā)展的契機。不但可極大地推動國家信息化的發(fā)展進程,還將為我國信息產(chǎn)業(yè)和通信市場步入國際市場創(chuàng)造了機會與條件。
參考文獻:
[1]張棋,邢露.無線網(wǎng)絡(luò)的安全與對策.《河南科技:上半月》,2010年第12期
關(guān)鍵詞 : 無線局域網(wǎng);安全;802.11標(biāo)準(zhǔn);有線等效保密;WAPI鑒別與保密
1 引言
經(jīng)過20多年的發(fā)展,無線局域網(wǎng)(Wireless Local Area Network,WLAN),已經(jīng)成為一種比較成熟的技術(shù),應(yīng)用也越來越廣泛,是計算機有線網(wǎng)絡(luò)的一個必不可少的補充。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的,它具有更大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴(yán)峻的安全問題。
無線局域網(wǎng)的安全問題伴隨著市場與產(chǎn)業(yè)結(jié)構(gòu)的升級而日益凸現(xiàn),安全問題已經(jīng)成為WLAN走入信息化的核心舞臺,成為無線局域網(wǎng)技術(shù)在電子政務(wù)、行業(yè)應(yīng)用和企業(yè)信息化中大展拳腳的桎梏。
2 無線局域網(wǎng)的安全威脅
隨著公司無線局域網(wǎng)的大范圍推廣普及使用,WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標(biāo)發(fā)起攻擊,而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。
由于無線局域網(wǎng)采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權(quán)存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全威脅有以下幾種:
>所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在;
>無線局域網(wǎng)的無需連線便可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡(luò)接入的嘗試,一定程度上暴露了網(wǎng)絡(luò)的存在;
>無線局域網(wǎng)使用的是ISM公用頻段,使用無需申請,相鄰設(shè)備之間潛在著電磁破壞(干擾)問題;
>外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻,對公司網(wǎng)絡(luò)進行非授權(quán)存取;
>無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱,易被竊取、竄改和插入;
> 無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾;
> 內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接。
3 無線局域網(wǎng)的安全保障
自從無線局域網(wǎng)誕生之日起,安全患與其靈活便捷的優(yōu)勢就一直共存,安全問題的解決方案從反面制約和影響著無線局域網(wǎng)技術(shù)的推廣和應(yīng)用。為了保證無線局域網(wǎng)的安全性,IEEE 802.11系列標(biāo)準(zhǔn)從多個層次定義了安全性控制手段。
3.1 SSID訪問控制
服務(wù)集標(biāo)識符(Service Set Identifier,SSID)這是人們最早使用的一種WLAN安全認(rèn)證方式。服務(wù)集標(biāo)識符SSID,也稱業(yè)務(wù)組標(biāo)識符,是一個WLAN的標(biāo)識碼,相當(dāng)于有線局域網(wǎng)的工作組(WORKGROUP)。無線工作站只有出示正確的SSID才能接入WLAN,因此可以認(rèn)為SSID是一個簡單的口令,通過對AP點和網(wǎng)卡設(shè)置復(fù)雜的SSID(服務(wù)集標(biāo)識符),并根據(jù)需求確定是否需要漫游來確定是否需要MAC地址綁定,同時禁止AP向外廣播SSID。嚴(yán)格來說SSID不屬于安全機制,只不過,可以用它作為一種實現(xiàn)訪問控制的手段。
3.2 MAC地址過濾
MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。MAC地址過濾這種很常用的接入控制技術(shù),在運營商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用,即只允許合法的MAC地址終端接入網(wǎng)絡(luò)。用無線局域網(wǎng)中,AP只允許合法的MAC地址終端接入BSS,從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新,但是目前都是通過手工操作完成,因此擴展能力差,只適合小型網(wǎng)絡(luò)規(guī)模,同時這種方法的效率也會隨著終端數(shù)目的增加而降低。
3.3 802.11的認(rèn)證服務(wù)
802.11站點(AP或工作站)在與另一個站點通信之前都必須進行認(rèn)證服務(wù),兩個站點能否通過認(rèn)證是能否相互通信的根據(jù)。802.11標(biāo)準(zhǔn)定義了兩種認(rèn)證服務(wù):開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。采用共享密鑰認(rèn)證的工作站必須執(zhí)行有線等效保密協(xié)議(Wires Equivalent Privacy,WEP)。
WEP利用一個64位的啟動源密鑰和RC4加密算法保護調(diào)制數(shù)據(jù)傳輸。WEP為對稱加密,屬于序列密碼。為了解決密鑰重用的問題,WEP算法中引入了初始向量(Initialilization Vector,IV),IV為一隨機數(shù),每次加密時隨機產(chǎn)生,IV與原密鑰結(jié)合作為加密的密鑰。由于IV并不屬于密鑰的一部分,所以無須保密,多以明文形式傳輸。
WEP協(xié)議自公布以來,它的安全機制就遭到了廣泛的抨擊,主要問題如下:
(1) WEP加密存在固有的缺陷,它的密鑰固定且比較短(只有64-24=40bits)。
(2) IV的使用解決了密鑰重用的問題,但是IV的長度太短,強度并不高,同時IV多以明文形式傳輸,帶來嚴(yán)重的安全隱患。
(3) 密鑰管理是密碼體制中最關(guān)鍵的問題之一,但是802.11中并沒有具體規(guī)定密鑰的生成、分發(fā)、更新、備份、恢復(fù)以及更改的機制。
(4) WEP的密鑰在傳遞過程中容易被截獲。
所有上述因素都增加了以WEP作為安全手段的WLAN的安全風(fēng)險。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件,例如WEPCrack和AirSnort。
4 WLAN安全的增強性技術(shù)
隨著WLAN應(yīng)用的進一步發(fā)展,802.11規(guī)定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發(fā)展和應(yīng)用,業(yè)界積極研究,開發(fā)了很多增強WLAN安全性的方法。
4.1 802.1x擴展認(rèn)證協(xié)議
【關(guān)鍵詞】無線局域網(wǎng) 安全性 IEEE802.11
1 簡介
無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點,但由于其基于無線路徑進行傳播,因此傳播方式的開放性特性給無線局域網(wǎng)的安全設(shè)計和實現(xiàn)帶來了很大的問題。目前無線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE802.11,但其存在設(shè)計缺陷,缺少密鑰管理,存在很多安全漏洞。
2 無線局域網(wǎng)的結(jié)構(gòu)
2.1 網(wǎng)橋連接型
不同的局域網(wǎng)之間互聯(lián)時,由于物理上的原因,若采取有線方式不方便,則可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接,無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接,還為兩個網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。
2.2 基站接入型
當(dāng)采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時,各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互聯(lián)的。各移動站不僅可以通過交換中心自行組網(wǎng),還可以通過廣域網(wǎng)與遠地站點組建自己的工作網(wǎng)絡(luò)。
2.3 HUB接入型
利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng),具有與有線Hub組網(wǎng)方式相類似的優(yōu)點。在該結(jié)構(gòu)基礎(chǔ)上的WLAN,可采用類似于交換型以太網(wǎng)的工作方式,要求Hub具有簡單的網(wǎng)內(nèi)交換功能。
2.4 無中心結(jié)構(gòu)
要求網(wǎng)中任意兩個站點均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道,MAC層采用CSMA類型的多址接入?yún)f(xié)議。
無線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過無線Hub、無線接入站(AP)、無線網(wǎng)橋、無線Modem及無線網(wǎng)卡等來實現(xiàn),其中以無線網(wǎng)卡最為普遍,使用最多。
3 無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷
3.1 靜態(tài)密鑰的缺陷
靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中,因此當(dāng)適配卡丟失或者被盜用后,非法用戶都可以利用此卡非法訪問網(wǎng)絡(luò)。除非用戶及時告知管理員,否則將產(chǎn)生嚴(yán)重的安全問題。及時的更新共同使用的密鑰并重新新的密鑰可以避免此問題,但當(dāng)用戶少時,管理員可以定期更新這個靜態(tài)配置的密鑰,而且工作量也不大。但是在用戶數(shù)量可觀時,即便可以通過某些方法對所有AP(接入點)上的密鑰一起更新以減輕管理員的配置任務(wù),管理員及時更新這些密鑰的工作量也是難以想像的。
3.2 訪問控制機制的安全缺陷
3.2.1 封閉網(wǎng)絡(luò)訪問控制機制
幾個管理消息中都包括網(wǎng)絡(luò)名稱或SSID,并且這些消息被接入點和用戶在網(wǎng)絡(luò)中廣播,并不受到任何阻礙。結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱,獲得共享密鑰,從而連接到“受保護”的網(wǎng)絡(luò)上。
3.2.2 以太網(wǎng)MAC地址訪問控制表
MAC地址很容易的就會被攻擊者嗅探到,如激活了WEP,MAC地址也必須暴露在外;而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此,攻擊者可以竊聽到有效的MAC地址,然后進行編程將有效地址寫到無線網(wǎng)卡中,從而偽裝一個有效地址,越過訪問控制。
4 無線局域網(wǎng)安全保障策略
4.1 SSID訪問控制
通過對多個無線接人點AP設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接人,并對資源訪問的權(quán)限進行區(qū)別限制。
4.2 MAC地址過濾
每個無線客戶端網(wǎng)卡都有唯一的一個物理地址,因此可以通過手工的方式在在AP中設(shè)置一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。
4.3 使用移動管理器
使用移動管理器可以用來增強無線局域網(wǎng)的安全性能,實現(xiàn)接入點的安全特性。移動管理器可以提高無線網(wǎng)絡(luò)的清晰度,當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時,它能產(chǎn)生告警信號通知網(wǎng)絡(luò)管理員,使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險,網(wǎng)絡(luò)管理員設(shè)置一個網(wǎng)絡(luò)行為的門限,這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置,可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡(luò)上。
4.4 運用VPN技術(shù)
VPN技術(shù)的運用可以為無線網(wǎng)絡(luò)的安全性能提供保障。VPN技術(shù)通過三級安全保障:用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證來實現(xiàn)無線網(wǎng)絡(luò)的安全性保證。用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號,沒有充足的時間和精力他也不能將這些信息解密。數(shù)據(jù)認(rèn)證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性,保證所有業(yè)務(wù)流都是來自已經(jīng)得到認(rèn)證的設(shè)備。
4.5 采用802.1x 基于端口的認(rèn)證協(xié)議
802.1x為接入控制搭建了一個新的框架,使得系統(tǒng)可以根據(jù)用戶的認(rèn)證結(jié)果決定是否開放服務(wù)端口。基于802.1x認(rèn)證體系結(jié)構(gòu),其認(rèn)證機制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認(rèn)證服務(wù)器三方完成。接入設(shè)備用來傳送用戶與后臺RADIUS服務(wù)器之間的會話數(shù)據(jù)包。這種認(rèn)證機制的好處是方便了管理,可以更容易地與現(xiàn)有的資源融合,802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計費,更適合公共無線接入解決方案。在采用802.1x的WLAN中,無線用戶端安裝802.1x客戶端軟件,無線AP內(nèi)嵌802.1x認(rèn)證,同時它還作為RADIUS服務(wù)器的客戶端,負責(zé)用戶與RADIUS服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。當(dāng)無線客戶端登錄到無線訪問AP點后,是否可使用AP的服務(wù)取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為客戶端打開這個邏輯端口,否則不允許用戶上網(wǎng)。
5 結(jié)論
無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難。雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢,但與有線網(wǎng)絡(luò)相比,無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價格較高,因而它主要面向有特定需求的用戶。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補的關(guān)系,而不是競爭,目前還只是有線網(wǎng)絡(luò)的補充,而不是替換。但也應(yīng)該看到,近年來,無線局域網(wǎng)產(chǎn)品的價格正逐漸下降,相應(yīng)軟件也逐漸成熟。此外,無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來,無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。
參考文獻
[1]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社,2004.
[2]趙偉艇.無線局域網(wǎng)的加密和訪問控制安全性分析[J].微計算機信息,2007(21).
[3]趙琴.淺談無線網(wǎng)絡(luò)的安全性研究[J].機械管理開發(fā),2008,(01).
關(guān)鍵詞:無線局域網(wǎng);安全;用戶管理
江蘇質(zhì)監(jiān)信息化高速發(fā)展,傳統(tǒng)的有線局域網(wǎng)在承擔(dān)大量數(shù)據(jù)運行的同時出現(xiàn)了瓶頸阻塞。例如在某些場合要受到布線的限制,布線、改線工程量大,線路容易損壞,網(wǎng)中的各節(jié)點不可移動,特別是當(dāng)要把相離較遠的節(jié)點聯(lián)結(jié)起來時,敷設(shè)專用通訊線路布線施工難度之大,費用、耗時之多等等。面對迅速擴大的應(yīng)用需求,針對有線局域網(wǎng)的不足,構(gòu)建一套無線局域網(wǎng)作為其補充,是信息化建設(shè)發(fā)展中重要而有效的一部分。
1、無線局域網(wǎng)簡介
無線局域網(wǎng)絡(luò)(wireless Local Area Networks:WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng),它利用射頻(Radio Frequency;RF)的技術(shù),取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò),使得無線局域網(wǎng)絡(luò)能利用簡單的存取架構(gòu)讓用戶透過它,達到“信息隨身化、便利走天下”的理想境界。
相對于傳統(tǒng)的有線局域網(wǎng),它的優(yōu)勢體現(xiàn)在:
(1)靈活性和移動性。在有線網(wǎng)絡(luò)中,網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)位置的限制,而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個位置都可以接入網(wǎng)絡(luò)。無線局域網(wǎng)另一個最大的優(yōu)點在于其移動性,連接到無線局域網(wǎng)的用戶可以移動且能同時與網(wǎng)絡(luò)保持連接。
(2)安裝便捷。無線局域網(wǎng)可以免去或最大程度地減少網(wǎng)絡(luò)布線的工作量,一般只要安裝一個或多個接入點設(shè)備,就可建立覆蓋整個區(qū)域的局域網(wǎng)絡(luò)。
(3)易于進行網(wǎng)絡(luò)規(guī)劃和調(diào)整。對于有線網(wǎng)絡(luò)來說,辦公地點或網(wǎng)絡(luò)拓撲的改變通常意味著重新建網(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。
(4)故障定位容易。有線網(wǎng)絡(luò)一旦出現(xiàn)物理故障,尤其是由于線路連接不良而造成的網(wǎng)絡(luò)中斷,往往很難查明,而且檢修線路需要付出很大的代價。無線網(wǎng)絡(luò)則很容易定位故障,只需更換故障設(shè)備即可恢復(fù)網(wǎng)絡(luò)連接。
(5)易于擴展。無線局域網(wǎng)有多種配置方式,可以很快從只有幾個用戶的小型局域網(wǎng)擴展到上千用戶的大型網(wǎng)絡(luò),并且能夠提供節(jié)點間“漫游”等有線網(wǎng)絡(luò)無法實現(xiàn)的特性。由于無線局域網(wǎng)有以上諸多優(yōu)點,因此其發(fā)展十分迅速。最近幾年,無線局域網(wǎng)已經(jīng)在企業(yè)、醫(yī)院、商店、工廠和學(xué)校等場合得到了廣泛的應(yīng)用。
無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實用的同時,也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個方面:
(1)性能。無線局域網(wǎng)是依靠無線電波進行傳輸?shù)摹_@些電波通過無線發(fā)射裝置進行發(fā)射,而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,所以會影響網(wǎng)絡(luò)的性能。
(2)速率。無線信道的傳輸速率與有線信道相比要低得多。目前,無線局域網(wǎng)的最大傳輸速率為1Gbit/s,只適合于個人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。
(3)安全性。本質(zhì)上無線電波不要求建立物理的連接通道,無線信號是發(fā)散的。從理論上講,很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號,造成通信信息泄漏。
因此,在江蘇質(zhì)監(jiān)信息化建設(shè)中,建設(shè)無線局域網(wǎng)作為主干有線局域網(wǎng)的一個有效補充,發(fā)揮其優(yōu)勢,控制其弱點,使之更好地服務(wù)于江蘇質(zhì)監(jiān)信息化應(yīng)用。
2、無線局域網(wǎng)設(shè)計方案
2.1 無線局域網(wǎng)標(biāo)準(zhǔn)
由于WLAN是基于計算機網(wǎng)絡(luò)與無線通信技術(shù),在計算機網(wǎng)絡(luò)結(jié)構(gòu)中,邏輯鏈路控制(LLC)層及其之上的應(yīng)用層對不同的物理層的要求可以是相同的,也可以是不同的,因此,WLAN標(biāo)準(zhǔn)主要是針對物理層和媒質(zhì)訪問控制層(MAC),涉及到所使用的無線頻率范圍、空中接口通信協(xié)議等技術(shù)規(guī)范與技術(shù)標(biāo)準(zhǔn)。
1990年IEEE802標(biāo)準(zhǔn)化委員會成立IEEE802.11WLAN標(biāo)準(zhǔn)工作組。IEEE802.11(別名:Wi-Fi(wirelessFidelity)無線保真)是在1997年6月由大量的局域網(wǎng)以及計算機專家審定通過的標(biāo)準(zhǔn),該標(biāo)準(zhǔn)定義物理層和媒體訪問控制(MAC)規(guī)范。物理層定義了數(shù)據(jù)傳輸?shù)男盘柼卣骱驼{(diào)制,定義了兩個RF傳輸方法和一個紅外線傳輸方法,RF傳輸標(biāo)準(zhǔn)是跳頻擴頻和直接序列擴頻,工作在2.4000~2.4835Gttz頻段。
IEEE802.11是IEEE最初制定的一個無線局域網(wǎng)標(biāo)準(zhǔn),主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端的無線接入,業(yè)務(wù)主要限于數(shù)據(jù)訪問,速率最高只能達到2Mbps。由于它在速率和傳輸距離上都不能滿足人們的需要,所以IEEE802.11標(biāo)準(zhǔn)被IEEE802.11b所取代了。
IEEE802.11b
1999年9月IEEE802.11b被正式批準(zhǔn),該標(biāo)準(zhǔn)規(guī)定WLANT作頻段在2.4-2.4835GHz,數(shù)據(jù)傳輸速率達到11Mbps,傳輸距離控制在50-150英尺。該標(biāo)準(zhǔn)是對IEEE802.11的一個補充,采用補償編碼鍵控調(diào)制方式,采用點對點模式和基本模式兩運作模式,在數(shù)據(jù)傳輸速率方面可以根據(jù)實際情況在11Mbps、5.5Mbps、2Mbps、iMbps的不同速率間自動切換,它改變了WLAN設(shè)計狀況,擴大了WLAN的應(yīng)用領(lǐng)域。
IEEE802.11b已成為當(dāng)前主流的WLAN標(biāo)準(zhǔn),被多數(shù)廠商所采用,所推出的產(chǎn)品廣泛應(yīng)用于辦公室、家庭、賓館、車站、機場等眾多場合,但是由于許多WLAN的新標(biāo)準(zhǔn)的出現(xiàn),IEEES02。11a和IEEE802.11g更是倍受業(yè)界關(guān)注。
IEEE802.11a
1999年,IEEE802.11a標(biāo)準(zhǔn)制定完成,該標(biāo)準(zhǔn)規(guī)定WLAN工作頻段在5.15-5.825GHz,數(shù)據(jù)傳輸速率達到54Mbps/72Mbps(Turbo),傳輸距離控制在i0-100米。該標(biāo)準(zhǔn)也是IEEE802.11的一個補充,擴充了標(biāo)準(zhǔn)的物理層,采用正交頻分復(fù)用(OFDM)的獨特擴頻技術(shù),采用QFSK調(diào)制方式,可提供25Mbps的無線ATM接口和lOMbps的以太網(wǎng)無線幀結(jié)構(gòu)接口,支持多種業(yè)務(wù)如話音、數(shù)據(jù)和圖像等,一個扇區(qū)可以接入多個用戶,每個用戶可帶多個用戶終端。
IEEE802.11a標(biāo)準(zhǔn)是IEEE802。11b的后續(xù)標(biāo)準(zhǔn),其設(shè)計初衷是取代802.11b標(biāo)準(zhǔn),然而,工作于2.4GHz頻帶是不需要執(zhí)照的,該頻段屬于工業(yè)、教育、醫(yī)療等專用頻段,是公開的,工作于5.15-8.825GHz頻帶需要執(zhí)照的。一些公司仍沒有表示對802.11a標(biāo)準(zhǔn)的支持,一些公司更加看好最新混合標(biāo)準(zhǔn)——802.11g。
IEEE802.11g
目前,IEEE推出最新版本IEEE802.11g認(rèn)證標(biāo)準(zhǔn),該標(biāo)準(zhǔn)提出擁有IEEE802.11a的傳輸速率,安全性較IEEE802.11b好,采用2種調(diào)制方式,含802.11a中采用的OFDM和IEEE802.11b中采用的CCK,做到與802.11a和802.11b兼容。
江蘇質(zhì)監(jiān)無線局域網(wǎng)組網(wǎng)方案中采用了802.11g標(biāo)準(zhǔn)。
2.2 無線局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)
江蘇質(zhì)監(jiān)辦公大樓已建成可連接互聯(lián)網(wǎng)的有線網(wǎng)絡(luò)環(huán)境,因此,可以在原有的網(wǎng)絡(luò)環(huán)境上擴展部署無線接入設(shè)備,用戶成功連接無線接入設(shè)備后通過有線網(wǎng)絡(luò)到達網(wǎng)關(guān)訪問網(wǎng)絡(luò)資源和互聯(lián)網(wǎng),從而很好地將無線網(wǎng)絡(luò)與原有的有線網(wǎng)絡(luò)無縫結(jié)合在一起。
采用無線控制器統(tǒng)一管理所有“瘦”AP,在無線局域網(wǎng)的管理、維護、性能上有較大的優(yōu)勢,具體體現(xiàn)在:
(1)管理權(quán)全部集中在無線控制器上,可以對全網(wǎng)無線設(shè)備進行統(tǒng)一管理,批量配置、升級,無線AP可以做到“零配置”,大大降低管理和維護成本;
(2)無線控制器智能管理所有AP頻譜,限制無線信號之間的干擾,有效提高網(wǎng)絡(luò)的性能和穩(wěn)定性;
(3)無線控制器動態(tài)調(diào)整所有AP功率,優(yōu)化無線信號覆蓋范圍,智能分配客戶端連接不同的AP進行負載均衡,提高網(wǎng)絡(luò)使用效率。
(4)全網(wǎng)使用唯一的SSID,在該SSID下動態(tài)分配不同的VLAN,改善用戶體驗,同時達到不同用戶不同管理策略的管理要求。
2.2.1 無線局域網(wǎng)的主要設(shè)備
(1)無線控制器H3C WXS004
提供對802.1ln AP的管理,提供靈活的數(shù)據(jù)轉(zhuǎn)發(fā)方式,支持運營級無線用戶接入控制和管理,提供高可靠的備份功能,支持信道智能切換,支持智能AP負載分擔(dān),支持7層移動安全檢測/防御(WIDS/WIPS),支持RealTime Spectrum Guard(實時頻譜保護)模式,支持智能無線業(yè)務(wù)感知(WIAA),支持遠程探針分析,內(nèi)置射頻優(yōu)化引擎(ROE),支持802.1x認(rèn)證,MAC地址認(rèn)證,Portal認(rèn)證等,支持IPv4/IPv6雙協(xié)議棧(Native IPv6),提供端到端的OoS,支持快速的二、三層漫游,支持多種分支機構(gòu)遠程接入場景等。
(2)無線AP WA2612-AGN
實現(xiàn)高性能無線接入和最佳無線網(wǎng)絡(luò)TCO,綠色低碳設(shè)計,提供千兆以太網(wǎng)接口有線連接,支持Fat/Fit兩種模式,提供本地轉(zhuǎn)發(fā)功能,支持IPv4/IPv6雙協(xié)議棧,支持智能負載均衡,提供only 11n接入功能,支持中國標(biāo)準(zhǔn)WAPI,支持無線入侵檢測/防御(WIDS/WIPS),提供EAD無線接入,支持中文SSID,支持TR-069特性(CWMP),全面支持智能型有線無線一體化管理等。
2.2.2 無線接入點(Access Point,AP)的設(shè)計
根據(jù)江蘇質(zhì)監(jiān)大樓實際情況,無線覆蓋設(shè)計歸納為兩大類:AP室內(nèi)無障礙覆蓋,AP室內(nèi)穿越障礙覆蓋。
(1)AP室內(nèi)無障礙覆蓋
主要應(yīng)用于空間較大的會議室等重點室內(nèi)區(qū)域,此時主要信號進行此空間內(nèi)覆蓋,無需要考慮到穿越墻壁、地板等障礙物對隔壁空間的覆蓋。室內(nèi)部分采用吸頂天線的方式進行操作。
(2)AP室內(nèi)穿越障礙覆蓋
主要應(yīng)用于辦公樓內(nèi)中間走廊兩邊房間結(jié)構(gòu)室內(nèi)區(qū)域,因為無線信號穿越墻壁、地板等障礙物會存在衰減,但在走廊式結(jié)構(gòu)的室內(nèi)區(qū)域具備一定的穿越障礙的能力,一般是穿越一道墻壁之后信號效果較好。因此這樣的結(jié)構(gòu)適合在走廊中布置AP,來覆蓋兩邊的房間區(qū)域,采用吸項天線的方式進行操作。
針對AP設(shè)備的供電問題,由于無線局域網(wǎng)中AP設(shè)備數(shù)量較多,AP布放的位置又必須根據(jù)實際覆蓋的效果而調(diào)整,在已建設(shè)完成的建筑物上較難進行本地供電。采取的方案是通過在接入交換機處疊加一個供電電源,通過以太網(wǎng)線在傳輸數(shù)據(jù)同時給AP供電,供電距離達100米,滿足了實際組網(wǎng)的要求。
根據(jù)無線網(wǎng)絡(luò)工作原理,無線信號在多個子頻道同時工作的情況下,為保證頻道之間不相互干擾,要求兩個頻道的中心頻率間隔不能低于25MHz。IEEE802.11g標(biāo)準(zhǔn)采用2.4G頻率工作,無線信號2.4-2.483G的13個頻段內(nèi)最多可以提供3個不重疊的頻道同時工作。因此,在部署無線AP時,需將每個樓層的4個AP的工作子頻道錯井,上下樓層相鄰的AP同樣錯開工作子頻道從而避免干擾問題,實現(xiàn)無線信號有效的交叉覆蓋。
3、無線局域網(wǎng)安全
3.1 WEP加密
WEP(Wired Equivalent Privacy,有線等效保密),有線等效保密協(xié)議是對在兩臺設(shè)備間無線傳輸?shù)臄?shù)據(jù)進行加密的方式,用以防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)。WEP是1999年9月通過的IEEES02.11標(biāo)準(zhǔn)的一部分,使用RC4(Rirest Cipher)串流加密技術(shù)達到機密性,并使用CRC-32驗和達到資料正確性。標(biāo)準(zhǔn)的64比特WEP使用40比特的鑰匙接上24比特的初向量(initialization vector,IV)成為RC傭的鑰匙。它的安全技術(shù)源自于名為RC4的RsA數(shù)據(jù)加密技術(shù),是無線局域網(wǎng)WLAN的必要的安全防護層。目前常見的是64位WEP加密和128位WAP加密。
但是,越來越多的研究表明,由于對流密碼算法Rc4的設(shè)計不當(dāng)造成了WEP保密協(xié)議存在著各種各樣的安全漏洞,它無法有效保證數(shù)據(jù)的機密性、完整性和對接入用戶實現(xiàn)身份認(rèn)證。
3.2 WPA/WPA2加密
WPA(Wi-Fi Protected Access),有WPA和WPA2兩個標(biāo)準(zhǔn),是一種保護無線電腦網(wǎng)絡(luò)(wi-Fi)安全的系統(tǒng),它是應(yīng)研究者在前一代的系統(tǒng)有線等效加密(WEP)中找到的幾個嚴(yán)重的弱點而產(chǎn)生的。
WPA是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強解決方案,可大大增強現(xiàn)有以及未來無線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護和訪問控制水平。WPA源于正在制定中的IEEE802.1li標(biāo)準(zhǔn)并將與之保持前向兼容。部署適當(dāng)?shù)脑挘琖PA可保證WLAN用戶的數(shù)據(jù)受到保護,并且只有授權(quán)的網(wǎng)絡(luò)用戶才可以訪問WLAN網(wǎng)絡(luò)。
由于WEP業(yè)已證明的不安全性,在802.11i協(xié)議完善前,采用WPA為用戶提供一個臨時性的解決方案。該標(biāo)準(zhǔn)的數(shù)據(jù)加密采用TKIP協(xié)議(Temporary Key Integrity Protoc01),認(rèn)證有兩種模式可供選擇,一種是使用802.1x協(xié)議進行認(rèn)證:一種是稱為預(yù)先共享密鑰PSK(Pre-Shared Key)模式。WPA實現(xiàn)了IEEE802.11i標(biāo)準(zhǔn)的大部分,是在802.11i完備之前替代WEP的過渡方案。WPA的設(shè)計可以用在所有的無線網(wǎng)卡上,但未必能用在第一代的無線接入點上。Wi-Fi聯(lián)盟制定802.11 i協(xié)議后,正式推出了WPA2加密方式,WPA2采用了更安全的算法,以CCMP(Counter-Mode/CBC-MAC Protoc01)取代了WPA的TKILAES(Advanced Encryption Standard)加密算法取代了WPA的MIC,使得WLAN的安全程度大大提高。WPA2實現(xiàn)了完整的標(biāo)準(zhǔn),但不能用在某些古老的網(wǎng)卡上。
這兩個都提供優(yōu)良的安全能力,但也都有兩個明顯的問題:WPA或WPA2一定要啟動并且被選來代替WEP才有用,但是大部分的安裝指引都把WEP列為第一選擇。
3.3 江蘇質(zhì)監(jiān)無線局域網(wǎng)加密方式
考慮到AES的加密方法雖然安全性高,但并不是全部的客戶端設(shè)備都支持AES加密,而大部分客戶端都很好的支持了TKIP協(xié)議。因此,在江蘇質(zhì)監(jiān)無線局域中,針對辦公人員采用WPA2以及TKIP的加密方式。對于訪客,由于其只是臨時性接入網(wǎng)絡(luò),安全性要求不高,因此,采用64位密鑰的開放式WEP驗證模式,同時,為了防止訪客在接入網(wǎng)絡(luò)后有惡意行為,對其訪問資源和訪問速度都做了相應(yīng)的限制,在相關(guān)策略下有條件的訪問互聯(lián)網(wǎng)以及相關(guān)的內(nèi)網(wǎng)資源。
4、用戶身份管理
4.1 IEEE 802.1X協(xié)議及可擴展認(rèn)證協(xié)議(EAP)
IEEE 802.1X標(biāo)準(zhǔn)定義了基于端口的網(wǎng)絡(luò)訪問控制,可用于為以太網(wǎng)絡(luò)提供經(jīng)過身份驗證的網(wǎng)絡(luò)訪問。基于端口的網(wǎng)絡(luò)訪問控制使用交換局域網(wǎng)基礎(chǔ)結(jié)構(gòu)的物理特征來對連接到交換機端口的設(shè)備進行身份驗證。如果身份驗證過程失敗,使用以太網(wǎng)交換機端口來發(fā)送和接收幀的能力就會被拒絕。雖然這個標(biāo)準(zhǔn)是為有線以太網(wǎng)絡(luò)設(shè)計的,但是其已經(jīng)過改編以便在IEEE802.11無線局域網(wǎng)上應(yīng)用。
IEEE 802.1X認(rèn)證包括三個部分:請求方、認(rèn)證方、認(rèn)證服務(wù)器。請求方就是希望接入無線局域網(wǎng)來上網(wǎng)的設(shè)備,比如一臺筆記本,有時候也指設(shè)備上運行的客戶端軟件;認(rèn)證方則是管理接入的設(shè)備,比如以太網(wǎng)交換機或者無線接入點:認(rèn)證服務(wù)器就是一個運行有支持RADIUS和EAP的軟件的主機。在認(rèn)證過程中認(rèn)證方起到了關(guān)鍵作用。它將網(wǎng)絡(luò)接入端口分成兩個邏輯端口:受控端口和非受控端口,非受控端口始終對用戶開放,只允許用于傳送認(rèn)證信息,認(rèn)證通過之后,受控端口才會打開,用戶才能正常訪問網(wǎng)絡(luò)服務(wù)。
EAP(Extentional Authentication Protocol,可擴展的認(rèn)證協(xié)議),這是一個能夠為沒有接入網(wǎng)絡(luò)的設(shè)備提供認(rèn)證及網(wǎng)絡(luò)接入的服務(wù),工作于0SI七層模型中的數(shù)據(jù)鏈路層。之所以稱其為“可擴展的”,是因為協(xié)議只是規(guī)定了一個框架,允許根據(jù)實際需要自行定制,但是它要求標(biāo)準(zhǔn)符合IEEE標(biāo)準(zhǔn)中對于安全性的要求。
EAP協(xié)議類型包括Cisco公司的輕量可擴展認(rèn)證協(xié)議(LEAP),傳輸層安全可擴展認(rèn)證協(xié)議(TLS),微軟的受保護的可擴展認(rèn)證協(xié)議(PEAP),隧道的傳輸層安全可擴展認(rèn)證協(xié)議(TTLS)等等。由于受保護的可擴展認(rèn)證協(xié)議(PEAP)配置較簡單、安全性較高以及江蘇質(zhì)監(jiān)無線客戶端基本上都是微軟操作系統(tǒng),可以完全支持PEAP協(xié)議,因此江蘇質(zhì)監(jiān)無線局域網(wǎng)采用802.1x協(xié)議/PEAP協(xié)議進行用戶身份認(rèn)證,以提高安全性。
4.2 身份集中管理系統(tǒng)
在江蘇質(zhì)監(jiān)無線局域網(wǎng)中大約有300個用戶,采用802.1x協(xié)議認(rèn)證方式需要存儲所有的用戶信息,若采用非集中式管理方法,一個典型的問題便是需要在不同位置存儲所有的身份信息,其復(fù)雜程度以及管理成本之高可想而知。因此,采用集中式用戶管理方式較為合理。
