WLAN在企业中的应用毕业设计论文.doc
WLAN在企业中的应用 The Application of WLAN in the Enterprise摘要无线局域网技术是传统局域网的延伸和补充,是现代计算机网络一个重要而组成部分。随着IEEE802.11标准的制定,无线局域网应用的领域也就越来越广泛。本文介绍了如何简单组建WLAN无线网络,无线局域网的基本组成构架和优缺点。简述无线网络的安全问题和解决方案。通过对南阳龙汇投资公司的考察调研,根据公司要求做出了具体WLAN设计,讲述了在根据要求和规划选择组网方案及组建WLAN无线网络的具体步骤。关键词无线局域网;标准;拓扑结构;安全管理;方案设计The Application of WLAN in the EnterpriseCommunication Engineering Abstract: WLAN technology is an exension and supplement of traditional WLAN,and presently it has become an important component of modern computer network ,With the issue of IEEE802.11 standard, WLAN application fields have been becoming wider and wider.This article describes how to set up a simple WLAN , and the advantages and disadvantages of the basic composition, formation of WLAN hardware and software required for wireless networks and wireless local area network in the development Description of wireless network security problems and solutions. Through the investigation and study of Nanyang Longhui investment company. According to the company request made specific WLAN design.This paper describes the requirements and planning options under the network program. Final design of a concrete example of a WLAN wireless network set up the concrete steps. Key words:wireless LAN; standard;topology structue; safety management; project design 目录1 引言12 无线局域网的整体介绍32.1 无线局域网及基本构成框架32.2 无线局域的基本设备简介52.3 WLAN协议IEEE802.11(b,g,n)协议介绍73 无线局域网网络93.1 无线网络的宽带与出口带宽93.2 无线网络管理控制介绍93.3 无线网络的安全保障104 企业的调研及需求分析114.1 企业调研114.2 设计要求134.3 设计理念134.4 无线局域网的设计原则145 无线局域网设计方案145.1 物理设计145.2 室内设计165.3 室外设计175.4 各子网设计175.5 企业网络的三种典型应用及解决方案195.6 网络安全管理216 无线局域网络性能评价236.1无线局域网网速测评236.2无线局域网安全测试256.3 无线局域网的管理测试27结论及尚存在的问题28参考文献29致谢301 引言人们总喜欢将二十世纪称为信息技术时代,因为在二十世纪计算机的创造和发明,为人类开创了新的纪元。然而,二十一世纪更是无线网络的时代。在现今的社会,手机的普及是大家有目共睹的,移动电话的普及率在短短几年内已经赶上了固定电话的普及率,并且使中国成为通信市场的大国。同时,大家对宽带的要求也与日俱增。DSL论坛宣布,截止到2008年一季度全球固定宽带用户达到3.55亿,比去年同期增长了5%。而中国固定宽带用户同比增长28%,达到7160万,美国固定宽带用户同比增长了12%,中国的固定宽带用户总数超过美国140万,夺取冠军。众多企业已经达到了共识,信息化建设有助于构建企业核心竞争力。通过运用互联网技术,企业可以在办公室内进行全天候高效运转,而一旦离开办公室,企业信息系统的威力就要大打折扣。但是利用无线技术就可以解决这个问题。越来越多的人渴望能够改变传统的固定上网方式,对上班族而言,从办公室到会议室,从一号楼到二号楼,都能接入公司的局域网,在草地上沐浴着阳光、享受着新鲜的空气、同时能够上网是多么方便的事。有需求就有创造和发明,感受到这个潜在的巨大市场,国外的很多厂商如思科,诺基亚,英特尔,Avaya等早就推出了各种解决方案和设备,在国内占据了半壁江山。2002年开始,国内的生产厂商如华为、中兴、联想、金鹏、等多家企业也先后研发并推出了各类无线局域网产品。目前,IBM等厂商甚至把无线局域网作为其笔记本电脑的一项重要配置,甚至提出从产品到销售的一整套解决方案。无线局域网作为有线网络的延伸,将像移动电话对固定电话一样,在短短的时间内超过有线网络的用户。信息化建设有助于构建企业核心竞争力,很多企业都已经认识到这一点,并借助无线技术来解决这一问题。在这个“网络就是计算机”的时代, 伴随着有线网络的广泛应用,以快捷高效、组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆构成有线局域网。但有线网络在某些场合要受到布线的限制、布线、改线工程量大、线路容易损坏、网中的各节点不可移动、特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难铺度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是为了解决有线网络以上问题而出现的说到无线网络的历史起源可能比各位想像的还要早,无线网络的初步应用可以追溯到五十年前的第二次世界大战期间 当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技,并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术,这项技术让许多学者得到了灵感。在 1971 年时,夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络 这被称作“ALOHNET”的网络,可以算是相当早期的无线局域网络(WLAN)。最早的 WLAN 包括了7 台计算机。它们采用双向星型拓扑,横跨四座夏威夷的岛屿。中心计算机放置在瓦胡岛上。从这时开始无线网络可说是正式诞生了,虽然目前几乎所有的局域网络 LAN都仍旧是有线的架构,不过近年来无线网络的应用却日渐增加,主要应用在学术界:如大学校园、医疗界、制造业和仓储业等。而且相关的技术也一直在进步,对企业而言要转换到无线网络也更加容易,更加便宜了。 无线局域网(WirelessLAN / WLAN) 是指用户以电脑透过区域空间的无线网路卡结合存取桥接器进行区域无线网路连接 再加上一组无线上网拨接帐号即可上网进行网路资源的利用简单地说无线局域网与一般传统的乙太网路的概念并没有多大的差异只是无线局域网将用户端接取网路的线路传输部分转变成无线传输的形式。但是却具备有线网路缺乏的行动性然而之所以称其是局域网,则是因为会受到桥接器与电脑之间距离的远近限制而影响传输范围,所以必须要在区域范围之内才可以连上网路。它以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能,无线局域网具有以下特点:(1)安装便捷无线局域网免去了大量的布线工作,只需要安装一个或多个无线访问点就可覆盖整个建筑的局域网络,而且便于管理、维护。(2)高移动性在无线局域网中各节点可随意移动,不受地理位置的限制。目前室内AP可覆盖10100m在无线信号覆盖的范围内,均可以接入网络。而且WLAN能够在不同运营商不同国家的网络间漫游。(3)易扩展性无线局域网有多种配置方式。每个AP可支持多个用户的接入,只需在现有无线局域网基础上增加AP就可以将小型网络扩展为大型网络无线局域网技术。本文首先简单整体介绍了局域网,随后讲述了无线局域网的基本组成构架和组网方案,对无线局域网的标准和安全性能技术进行了讨论,然后以某企业为背景讲述了无线局域网在企业中的应用,因为企业将是未来几年无线局域网发展和应用的主要舞台。2 无线局域网的整体介绍2.1 无线局域网及基本构成框架 (1)无线局域网(Wireless LAN, WLAN)计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。 WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到11Mbps,传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。 无线局域网(WLAN)与有线局域网通过铜线或光纤等导体传输不同的是,无线局域网使用电磁频谱来传递信息。它是计算机网络与无线通信技术相结合的产物。无线网络用于一些布线困难、上网设备经常移动的环境,及搭建临时性的网络。无线网络因其自身的优越特性被作为有线网络的补充技术被广泛的应用。(2)无线局域网的基本组成构架无线网络的硬件设备主要包括4种:即无线网卡、无线接入节点(下称无线AP)、无线路由器。当然,并不是所有的无线网络都需要这4种设备。事实上,只需几块无线网卡,就可以组建一个小型的对等式无线网络。当需要扩大网络规模时,或者需要将无线网络与传统的局域网连接在一起时,才需要使用无线AP。只有实现Internet接入时,才需要无线路由器。而无线天线主要用于放大信号,以接收更远距离的无线信号,从而扩大无线网络的覆盖范围。医院的无线局域网,通常选择无线接入点。当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径。另外,也可使网络中容纳更多的网络设备,通常情况下,一个无线AP最多可以支持多达80台无线网络设备同时接入,推荐数量为30台。 无线局域网由无线网卡、无线接入点(AP)、计算机和有关设备组成,常见的组成方式有3种:点对点型、点对多点型、和混合型。点对点型常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,优点是传输距离远,传输速率高,受外界环境影响较小。 点对多点型常用于有一个中心点,多个远端点的情况下。其最大优点是组建网络成本低、维护简单;其次,由于中心使用了全向天线,设备调试相对容易。该种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证。混合型用于所建网络中有远距离的点、近距离的点,还有建筑物或山脉阻挡的点。在组建这种网络时,综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。WLAN有2种主要的拓扑结构,即自组织网络(对等网络,即人们常称的AdHoc网络)和基础结构网络(infrastructure network)。自组织型WLAN(如图2-1所示)是一种对等模型的网络,它的建立是为了满足暂时需求的服务。自组织网络由一组有无线接口卡的无线终端,特别是移动电脑组成。这些无线终端以相同的工作组名、扩展服务集标识号(ESSID)和密码以对等的方式相互直连,在WLAN的覆盖范围之内,进行点对点或点对多点之间的通信。图2-1 自组织型WLAN基础结构型WLAN利用了高速的有线或无线骨干传输网络。在这种拓扑结构中,移动节点在基站(BS)的协调下接入到无线信道。如图2-2所示。图 2-2 基础结构型WLAN2.2 无线局域的基本设备简介 (1) 无线路由器无线路由器是带有无线覆盖功能的路由器,它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable,动态xdsl,PPTP四种接入方式,它还具有其它一 些网络管理的功能,如dhcp服务、nat防火墙、mac地址过滤等等功能。 无线路由器(Wireless Router)好比将单纯性无线AP和宽带路由器合二为一的扩展型产品,它不仅具备单纯性无线AP所有功能如支持DHCP客户端、支持VPN、防火墙、支持WEP加密等等,而且还包括了网络地址转换(NAT)功能,可支持局域网用户的网络连接共享。可实现家庭无线网络中的Internet连接共享,实现ADSL和小区宽带的无线共享接入。 无线路由器可以与所有以太网接的ADSL MODEM或CABLE MODE直接相连,也可以在使用时通过交换机/集线器、宽带路由器等局域网方式再接入。其内置有简单的虚拟拨号软件,可以存储用户名和密码拨号上网,可以实现为拨号接入Internet的ADSL、CM等提供自动拨号功能,而无需手动拨号或占用一台电脑做服务器使用。此外,无线路由器一般还具备相对更完善的安全防护功能。路由器,它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable,动态xdsl,PPTP四种接入方式,它还具有其它一 些网络管理的功能,如dhcp服务、nat防火墙、mac地址过滤等等功能 无线路由器(Wireless Router)好比将单纯性无线AP和宽带路由器合二为一的扩展型产品,它不仅具备单纯性无线AP所有功能如支持DHCP客户端、支持VPN、防火墙、支持WEP加密等等,而且还包括了网络地址转换(NAT)功能,可支持局域网用户的网络连接共享。可实现家庭无线网络中的Internet连接共享,实现ADSL和小区宽带的无线共享接入。 无线路由器可以与所有以太网接的ADSL MODEM或CABLE MODE直接相连,也可以在使用时通过交换机/集线器、宽带路由器等局域网方式再接入。其内置有简单的虚拟拨号软件,可以存储用户名和密码拨号上网,可以实现为拨号接入Internet的ADSL、CM等提供自动拨号功能,而无需手动拨号或占用一台电脑做服务器使用。此外, 无线路由器一般还具备相对更完善的安全防护功能。(2) AP控制器接入控制器(AC)在WLAN与Internet之间起到网关功能,将来自不同接入点的数据进行汇聚、接入Internet。AC比AP更高级,在无线网络中担任管理者的角色,AC还要充当客户端完成有线网络中的一系列功能(例如鉴权,认证等等)。但是AC并不是一种在802.11协议族中规定的WLAN设备,而是作为具体应用中对协议的补充, 因此在只使用少量AP的小规模无线网络中,采用昂贵的AC设备是很不经济的。 (3) 无线AP无线AP是“无线访问点”或“无线接入点”,它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。无线AP的覆盖范围是一个向外扩散的圆形区域,AP相当于一个无线集线器(HUB),接在有线交换机或路由器上,为它连接的无线网卡从由器那里分得IP。无线AP不仅包含单纯性无线接入点(无线AP),也同样是无线路由器(含无线网关、无线网桥)等类设备的统称。 各种文章或厂家在面对无线AP时的称呼目前比较混乱,但随着无线路由器的普及,目前的情况下如没有特别的说明,我们一般还是只将所称呼的无线AP理解为单纯性无线AP,以示和无线路由器加以区分。它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。单纯性无线AP亦可对装有无线网卡的电脑做必要的控制和管理。单纯性无线AP即可以通过10-1000BASE-T(WAN)端口与内置路由功能的ADSL MODEM或CABLE MODEM(CM)直接相连,也可以在使用时通过交换机/集线器、宽带路由器再接入有线网络。作为无线网络中重要的环节无线接入点、无线网关也就是无线AP(Access Point),它的作用其实就类似于我们常用的有线网络中的集线器。在那些需要大量AP来进行大面积覆盖的公司使用得比较多,所有AP通过以太网连接起来并连到独立的无线局域网防火墙。但同时由于其一般专用无线AP都不带额外的局域网接口,使其应用范围较窄。 (4) 无线网卡无线网卡是终端无线网络的设备,是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置,但是有了无线网卡也还需要一个可以连接的无线网络,如果你在家里或者所在地有无线路由器或者无线AP的覆盖,就可以通过无线网卡以无线的方式连接无线网络可上网。无线网卡的工作原理是微波射频技术,笔记本目前有WIFI、GPRS、CDMA等几种无线数据传输模式来上网,后两者由中国移动和中国联通来实现,前者电信或网通有所参与,但不多主要是自己拥有接入互联网的WIFI基站(其实就是WIFI路由器等)和笔记本用的WIFI网卡。要说基本概念是差不多的,通过无线形式进行数据传输。无线上网遵循802.1q标准,通过无线传输,有无线接入点发出信号,用无线网卡接受和发送数据。按照IEEE802.11协议,无线局域网卡分为媒体访问控制(MAC)层和物理层(PHY Layer)在两者之间,还定义了一个媒体访问控制-物理(MAC-PHY)子层(Sublayers)。MAC层提供主机与物理层之间的接口,并管理外部存储器,它与无线网卡硬件的NIC单元相对应。 物理层具体实现无线电信号的接收与发射,它与无线网卡硬件中的扩频通信机相对应。物理层提供空闲信道估计CCA信息给MAC层,以便决定是否可以发送信号,通过MAC层的控制来实现无线网络的CCSMA/CA协议,而MAC-PHY子层主要实现数据的打包与拆包,把必要的控制信息放在数据包的前面。IEEE802.11协议指出,物理层必须有至少一种提供空闲信道估计CCA信号的方法。无线网卡的工作原理如下:当物理层接收到信号并确认无错后提交给MAC-PHY子层,经过拆包后把数据上交MAC层,然后判断是否是发给本网卡的数据,若是则上交,否则丢弃。如果物理层接收到的发给本网卡的信号有错,则需要通知发送端重发此包信息。当网卡有数据需要发送时,首先要判断信道是否空闲。若空,随机退避一段时间后发送,否则暂不发送。由于网卡为时分双工工作,所以,发送时不能接收,接收时不能发。无线网卡标准: (1)IEEE 802.11a :使用5GHz频段,传输速度54Mbps,与802.11b不兼容; (2)IEEE 802.11b :使用2.4GHz频段,传输速度11Mbps; (3)IEEE 802.11g :使用2.4GHz频段,传输速度54Mbps,可向下兼容802.11b; (4)IEEE 802.11n(Draft 2.0) :用于Intel新的迅驰2笔记本和高端路由上,可向下兼容,传输速度300Mbps。2.3 WLAN协议IEEE802.11(b,g,n)协议介绍无线局域网协议众多,最初IEEE802.11标准于1997年6月公布,是第一代无线局域网标准。目前的主流标准是IEEE802.11g工作在2.4 GHz频段,IEEE802.11。 IEEE802.11是第一代无线局域网标准之一,速率最高只能达到2Mbit/s。该标准定义了物理层和媒体访问控(MAC)协议的规范,允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备。由于在无线网络中冲突检测较困难,媒体访问控制(MAC)层采用避免冲突(CA)协议,而不是冲突检测(CD),但也只能减少冲突。802.11物理层的无线媒体(WM )决定了它与现有的有线局域网的MAC不同,它具有独特的媒体访问控制机制,以CSMA/CA的方式共享无线媒体。802.11定义了两种类型的设备,一种是无线站,通常是通过一台PC机器加上一块无线网络接口卡构成的,另一个称为无线接入点(Access Point, AP),它的作用是提供无线和有线网络之间的桥接。一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成,桥接软件符合802.1d桥接协议。接入点就像是无线网络的一个无线基站,将多个无线的接入站聚合到有线的网络上。无线的终端可以是802.11 PCMCIA卡、PCI接口、ISA接口的,或者是在非计算机终端上的嵌入式设备(例如802.11手机)。 (1)IEEE802.11b IEEE802.11b第二代无线局域网络协议标准其带宽最高可达11 Mb/s,实际的工作速度在5 Mb/s左右。IEEE802.11b使用的是开放的2.4GHz频段,不需要申请。既可作为对有线网络的补充,也可独立组网,从而使网络用户摆脱网线的束缚,实现真正意义上的移动应用。 (2)IEEE802.11g IEEE推出的完全兼容IEEE802.11b标准且与IEEE802.11a速率上兼容的IEEE802.11g标准。IEEE802.11g也工作在2.4GHz频段内,支持54Mbps的传输速率,并且与IEEE802.11完全兼容。这样通过IEEE802.11g原有的IEEE802.11b和IEEE802.11a两种标准的设备就可以在同一网络中使用。(3)IEEE802.11n新一代无线局域网标准IEEE 802.11n的制定完成令人期待,但巨大的市场潜力促使无线局域网厂商纷纷提前推出了11n草案产品,由于所采用标准的不统一,致使11n产品间的互联互通问题层出不穷,针对这一情况,Wi-Fi联盟制定了Wi-Fi 11n(草案2.0)互操作测试方法,以确保11 n草案产品之间良好的互操作性,也为今后准标准化产品向802.11n最终版本的升级奠定了基础。大幅提升无线局域网竞争力。无线局域网标准、技术快速发展,产品逐渐成熟,无线局域网的应用也日益丰富。越来越多的家庭用户开始使用无线接入点组建方便快捷的家庭无线宽带网络;许多企业也纷纷在自己的办公大楼内布设无线局域网,为员工提供高效的无线宽带接入,据Forrester Research 2006年9月份的数据显示,已有超过60%的企业在公司内部署了无线局域网;同时,电信运营商对无线局域网也给予了极大关注,国内外各大运营商都积极在机场、酒店、咖啡厅等公共区域铺设公众无线局域网,为广大电信用户提供无线宽带接入服务。由于无线局域网在一定程度上还存在着数据传输速率不够高、信号受周围环境影响大、覆盖范围小、漫游不方便等弊端,而阻碍了它在更大范围内的普及。针对以上问题,IEEE提出了新一代的无线局域网标准802.11n。802.11n与以往的802.11 a/b/g等标准相比,性能有了很大幅度的提高,网络传输速度最高可达600 Mbit/s,这让无线局域网一跃进入了高速网络的行列;智能天线技术也使无线局域网的覆盖范围延伸至几平方公里;更重要的是,802.11n使无线局域网获得了更大的环境适应能力。Wi-Fi 802.11n认证测试方法是依据802.11n草案2.0版本制定的,为确保与后续的802.11n正式标准一致,在802.11n标准最终出台后,测试方法也将进行版本升级,同时,Wi-Fi联盟将对所有通过认证的草案设备进行一次升级认证,促使草案产品符合正式标准的要求,以期为所有获得Wi-Fi认证的准标准化产品和全面标准化产品之间的兼容性提供保障。凭借Wi-Fi联盟在WLAN测试标准制定与产品认证方面的丰富经验与强大的号召力,Wi-Fi 802.11n互操作认证必将提升准标准化的802.11n产品之间的互操作性,也为今后草案产品向802.11n最终版本的升级奠定了基础,将极大地推动802.11n产品的普及与应用,促进整个WLAN行业的健康有序发展。3 无线局域网网络3.1 无线网络的宽带与出口带宽 (1) 无线网络的带宽带宽是一个非常重要的指标,在通讯和网络领域,带宽的含义指的是网络信号可使用的最高频率与最低频率之差、或者说是“频带的宽度”,也就是所谓的“Bandwidth”、“信道带宽”这也是最严谨的技术定义。网络带宽与数据传输能力的正比关系最早是由贝尔实验室的工程师Claude Shannon所发现。普遍也将网络的数据传输能力与“网络带宽”完全等同起来,所以现在普遍说的“带宽”是网速。网络的信道带宽与它的数据传输能力(单位Byte/s)存在一个稳定的基本关系。我们也可以用高速公路来作比喻:在高速路上,它所能承受的最大交通流量就相当于网络的数据运输能力,而这条高速路允许形成的宽度就相当于网络的带宽。无线网络的带宽是指接收端和发射端的带宽。 (2) 出口带宽出口带宽是宽带负载能力,出口带宽是指一定数量的用户汇聚在某个节点之上,这个节点与上层路由或者交换设备连接的带宽。3.2 无线网络管理控制介绍大概范围:配置管理、故障管理、性能管理、安全管理。设备布局和信号管理,设备安装和配置 ,流量监控和分析,故障检修,构造正确的无线网络,渗入测试/漏洞评估,使用额外的身份验证,使用无线网络管理工具。3.3 无线网络的安全保障 (1) 无线局域网安全问题 由于无线网络的自身特性,决定了其除了具有有线网络的不安全因素外,还容易遭受窃听和干扰、冒充、欺骗等形式的攻击。安全性已经成为一个迫切需要解决的问题。无线局域网存在的常见的几种安全问题有容易侵入,非法的AP,未经授权使用服务,服务和性能的限制,地址欺骗和会话拦截,流量分析与流量侦听等。 (2) 安全问题的解决方案 采取隔离无线网络和核心网络,加强网络访问控制,定期进行的站点审查,网络检测,同重要网络隔离,采用可靠的协议进行加密。通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。4 企业的调研及需求分析4.1 企业调研南阳龙汇投资是一家中型企业,拥有员工300人左右。公司内主要建筑物有办公楼、职工宿舍等,共约100个信息点。信息点主要集中在行政部、市场部、研发部、技术部。对应的办公楼分别为1、2、3、4号。在网络项目实施之前,该公司用下行2M、上行512K 宽带,普通交换机作为主要网络连接设备,带宽低,速度慢,宿舍和各部门办公网之间分割开来,不能互通。随着公司人员与规模不断扩张,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,需要组建一个完善的企业办公无线局域网。(1)根据与公司有关领导、技术人员的交流情况得到网络需求(a)实现安全访问广域网、发布企业信息、宣传企业文化、发表意见交流工作、使用FTP服务器存取公司文档资料,为用户到用户,用户到应用提供速度合理,功能可靠的连接。(b)着眼与未来技术的发展,使现有网络具有较好的扩展性。(c)在有限的经费下完成既定的任务,并考虑合理应用服务器的带宽,保证所有资源获得最大的效益。(d)支持将来的VOD视频点播系统、视频会议。 (2)企业无线局域网主干和信息点需求及分布拟建的企业无线局域网主要涉及六幢建筑物:1、2、3、4号办公楼,会议楼,职工活动中心。这六幢建筑物之间拟通过光缆连接。无线局域网网中心拟设在职工活动中心,规划信息点要求再现有基础上增加100个即达到200个,并可以拓展。该公司有四栋办公楼,一栋会议楼,一个活动中心,一个花园,一个运动场。大体的楼宇分布如图4-1所示。 图4-1 公司楼宇大致分布 以一号办公楼为例子,公司办公楼层环境情况如图4-2所示。 图4-2 办公楼层鸟瞰图该项目提出的要求来看,属于中型企业无线局域网,针对它的现状,着重考虑以下5个方面的问题。 (1) 拓扑结构需求分析在进行网络的总体设计前,应当首先给职工活动中心布线,每个房间的中间位置要预留信息插座,以网络中心为中心,离四栋办公楼及会议楼的距离大约都为300米,建筑物的垂直高度和大致面积如表4-1所示。根据这些信息合理地选择设计网络拓扑结构,选择职工活动中心作为网络管理中心以及作为设备间放置连网设备,有目的地选择组建网络所使用的通信介质和交换机。 表4-1 公司各建筑物楼高及占地面积参数名称1号办公楼2号办公楼3号办公楼职工活动中心会议楼餐厅楼高(米)24242412.51612面积(平米/层)500500500430410195(2) 数据传输需求分析用户对数据传输量的需求决定了网络应当采用何种连网设备和布线产品。就目前情况及该企业需求来看,多媒体已经成为无线局域网络所必须支持的功能之一。基于这种大传输量的需求,以1000Mb/s光纤作为主干和垂直布线,以100Mb/s超五类双绞线作为水平布线,从而实现100Mb/s交换到桌面的网络,已经成为最普通的网络架构。基于这种大传输量的需求,100Mb/s高性能交换机也已逐步从部门走向工作组。(3) 发展需求分析不仅要考虑到容纳网络中当前的用户,而且还应当为网络保留至少3-5年的可扩展能力,从而使在用户增加时,网络依然能够满足增长的需要。这一点非常重要,因为布线工程一旦完毕,就很难再进行扩充性施工。所以,在埋设网线和信息插座时,一定要有足够的余量,而连网设备则可以在需要时随时购置。(4) 地理布局分析根据该企业的实际地理构造分析它的可行性,首先说一下办公楼的构造;办公楼分五层,每一层有20个隔间,要基本做到使每一个楼层的每一个隔间都能上网,并且做到各方面都合理化(最节省资金,结构最简单,不影响其性能),就要有详细周密的分析方案,主机应处于楼层的中间位置(即三楼)。(5) 总投资分析 根据该企业的实际情况,计划投资20万资金组建无线局域网,根据提出的要求,权衡各种设备性价比,决定使用MX-200R智能无线交换机、H3C U200-CA核心交换机、Catalyst 3550分布层交换机、LREtrans 4200 POE接入交换机,无线AP采购TP-LINK TL-WA801N。4.2 设计要求根据南阳龙汇投资的无线局域网建设要求,无线局域网在网络安全上,网络管理上,传输速率上与有线局域网相当。(1) 企业在组建无线网络时,不要全部放弃有线网络。而是仍然以有线网络为主,无线局域网为辅助,充分利用有线网络与无线网络的优点,达到扬长避短的目的。(2) 无线局域网传输的稳定性、网络传输的速度、网络安全性达到较高的要求。(3) 在对既有无线网络又有有线网络的企业,为了安全与管理方便,采取多网段IP地址管理策略。(4) 采用WAP2加密。通过加密,可以最大限度的保护数据在传输过程中的安全性。(5) 满足100台终端机入网需求。4.3 设计理念传统的无线网络解决方案的每一个AP都是一个独立的工作体,AP之间各自为战,互不相干;无线适配器则安装在用户的不同的终端里面,对于大型局域网会造成资源浪费和管理缺陷。且存在着设备单一、缺乏集中管理手段等的前天不足,因而随着无线网络应用的不断发展和深入,已经暴露出越来越多的不足。缺乏智能的RF管理策略,AP集中统一管理。支持漫游。采用有效的接入和安全控制策略。4.4 无线局域网的设计原则无线局域网采用的技术支持国际标准,使用802.11n协议。采用无线交换机加瘦AP完成无线局域网的覆盖项目,完成对AP的集中管理。在网络安全方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,考虑以下问题:(1)接入认证:具有支持多种用户认证方式;(2)采用具有用户状态访问控制的防火墙技术;(3)具有数据在无线信道上传输的VPN机制;(4)具有无线网的防病毒机制;(5)具有无线电波控制能力,能提供无线入侵侦测和无线终端位置的追踪功能。采用WLLAN交换技术,充分利用现有网络结构与资源,不单独AP就近接入有线网络(最近的交换机),并且不改变原有网络结构以及交换机配置。采用集中控管的组网方式,集中控制管理所有的AP。AP的供电可以不单独拉线,采用POE供电的方式。采用先进的WLAN网管系统管理局域网。该无线局域网系统要能方便和灵活地调整与扩充。5 无线局域网设计方案5.1 物理设计前文企业需求中明显提到了网络的可扩展性,以及设计要求中涉及到的网络安全性和统一管理性。这就需要设计一个具有支持统一管理,且能够