無線網絡建立和安全舉措

導語：無線網絡建立和安全舉措一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1線局域網介紹

WLAN為WirelessLocalAreaNetworks的簡稱，即無線局域網。是一種借助無線技術取代以往有線網絡的新手段，可提供傳統有線局域網的所有功能。WLAN是計算機網絡與無線通信技術相結合的產物，是通用無線接入的一個子集，可支持較高的傳輸速率（可達2—108Mbps）。利用射頻無線正交頻分復用（OFDM），借助直接序列擴頻（DSSS）或跳頻擴頻（UWBT）技術，可實現固定的、半移動的以及移動的網絡終端對因特網進行較遠距離的高速連接訪問。

智能小區的設計方案是基于小區進行設計，無線網絡的覆蓋面較大，硬件設備的要求較高，需要全方向天線和定向引向反射天線配合使用。在小區中還必須配有大量的AP，保證用戶在任何時間、任何地點都可以使用無線網絡。這樣的設計需要對網絡進行合理的規劃，硬件和系統配置要合理。在客戶端和網絡之間采用MAC地址訪問控制和安全VPN應用軟件，再結合無線網絡間的128位WEP加密機制，可以確保最大程度的安全。

2WLAN的基本結構和相關術語

2.1無線網絡技術簡介

隨著網絡的飛速發展，筆記本電腦的普及，人們對移動辦公的要求越來越高。傳統的有線局域網要受到布線的限制，如果建筑物中沒有預留的線路，布線以及調試的工程量將非常大，而且線路容易損壞，給維護和擴容等帶來不便，網絡中的各節點的搬遷和移動也非常麻煩。因此高效快捷、組網靈活的無線局域網應運而生。

無線局域網是利用無線技術實現快速接入以太網的技術。綜觀現在的市場，IEEE802.11b技術在性能、價格各方面均超過了藍牙、HomeRF等技術，逐漸成為無線接入以太網應用最為廣泛的標準。

2.2無線網絡的優勢

與有線網絡相比，WLAN最主要的優勢在于不受布線條件的限制，因此非常適合移動辦公用戶的需要，具有廣闊市場前景。目前它已經從傳統的醫療保健、庫存控制和管理服務等特殊行業向更多行業拓展開去，甚至開始進入家庭以及教育機構等領域。IEEE802.11規定的發射功率不可超過100毫瓦，實際發射功率約60-70毫瓦，而手機的發射功率約200毫瓦至1瓦間，手持式對講機高達5瓦。而且無線網絡使用方式并非像手機直接接觸人體，因此是安全的。

2.3無線網絡的協議

最常見的有IEEE802.11，IEEE802.11a、IEEE802.11b、IEEE802.11g。其中：IEEE802.11是IEEE（電氣和電子工程師協會）最初制定的一個無線局域網標準。IEEE802.11b又被稱為Wi-Fi，使用開放的2.4GHz直接序列擴頻，最大數據傳輸速率為108Mbps，也可根據信號強弱把傳輸率調整為54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps帶寬。無需直線傳播傳輸范圍為室外最大300米，室內有障礙的情況下最大100米，是現在使用的最多的傳輸協議。

2.4無線局域網的工作模式

無線局域網的工作模式一般分為兩種，Infrastructure和Ad-hoc。Infrastructure是指通過AP（AccessPoint）互連的工作模式，也就是可以把AP看作是傳統局域網中的Hub（集線器）。Ad-hoc是一種比較特殊的工作模式，它通過把一組需要互相通訊的無線網卡的ESSID設為同值來組網，這樣就可以不必使用AP，構成一種特殊的無線網絡應用模式。幾臺計算機裝上無線網卡，即可達到相互連接，資源共享的目的。

2.5WLAN的基本構件

一般架設無線網絡的基本配備就是無線網卡及一臺AP，如此便能以無線的模式，配合既有的有線架構來分享網絡資源。如果只是幾臺電腦的對等網，也可不要AP。只需要每臺電腦配備無線網卡。AP為AccessPoint簡稱，一般翻譯為“無線訪問節點”，或“橋接器”。它主要在媒體存取控制層MAC中扮演無線工作站及有線局域網絡的橋梁。有了AP，就像一般有線網絡的Hub一般，無線工作站可以快速且輕易地與網絡相連。

3智能小區的設計方案和實施

3.1應用需求分析

根據提供的資料分析，寬帶已接入到小區的網絡中心（100M），小區內的8幢住宅樓沒有寬帶接入，小區內八棟樓共有800戶居民，樓內居民戶數一般在100戶以內，只有1幢超過100戶（175戶），為了保證用戶網上沖浪、視頻點播，網絡中心與住宅樓采用點對點的無線接入，無線接入設備采用IEEE802.11b標準，為數據流量提供了11Mbps的數據速率，其傳送信息的速度要快于租賃的T1線路（1.544Mbps），高于一條E1線路（2Mbps），傳輸距離最遠達30公里。樓內用戶通過架設的無線設備，使居民無論是在樓前的花園還是家里，沒有上網時間、地點的限制，只需插入筆記本電腦一張小小的無線網卡，即可隨時隨地上網，享受網絡服務。

3.2小區無線網絡方案設計說明

本套方案的無線產品采用Z-COM公司的AP和無線網卡。AP用XI-1500系列，無線網卡用XI-300、XI-600、XI-750、XI-800系列。臺式機的無線網卡用XI-750（USB）系列或XI-600（PCI→PCMCIA）+XI300系列；筆記本電腦網卡用XI-300；掌上電腦用XI-800系列。使用有線接入，存在布線困難、施工不便、費用高、周期長等問題，所以，本方案從寬帶接入到用戶終端使用的連接方式均采用無線方式。

各住宅樓間的AP，若放在室內，則有破壞原建筑物、增加室內AP的數量、布線難度加大、施工周期加長等缺點。所以，計劃將住宅樓間的AP放在室外。中心站點設在主樓，AP放在樓頂。主樓和住宅樓通過APXI-1500通信。住宅樓頂的AP與住宅樓間的AP連接。用戶在終端設備裝上無線網卡，即可自由訪問internet。

3.3流量分析

寬帶的總流量為100Mbps，每個AP的總流量為11Mbps，8個僅需88Mbps，寬帶流量完全能滿足AP的流量需求。本小區是8幢800戶，假設每幢樓有100戶，使用率100%，每幢樓同時上網人數假設有80人，每人的傳輸速率約140Kbps。所以，住宅樓間裝有AP的住宅樓頂只需1個11Mbps的AP，足可滿足用戶要求。

3.4中心機房網絡設計

中心機房的無線網絡接入情況如圖2-1所示。其中，電信寬帶100Mbps到小區，接到中心機房的服務器，百兆口的交換機也與服務器連接，主樓的AP直接連到交換機即可。

服務器（proxy），PC機+proxy，服務器裝上防火墻、計費軟件及其它管理軟件，便可實現對小區的無線局域網進行管理，既能防止非法用戶登陸本網絡，又能對無線終端進行計費。

百兆交換機(switch)，百兆交換機提供了所有與之連接的AP共享100Mbps頻寬。Switch的位置可以根據實際情況放置，若主樓頂有電源等設備的控制室，可以考慮將switch放到樓頂。Switch使用的是8換機。

3.5主樓和住宅樓的網絡設計

寬帶接入在主樓的中心機房,我們將中心機房設為中心接入點,通過中心接入點將寬帶連接到各住宅的樓頂AP。由于1個AP最高傳輸數率為11Mbps，所以主樓用1個AP不能滿足用戶的上網要求。根據實際需要，設計如下：主樓有6個AP共享100Mbps的帶寬，8幢中的6幢住宅樓頂各用1個AP。為了確保用戶的通信質量，主樓與住宅樓均采用24dBi的網狀定向天線。AP均放在樓頂。

3.6住宅樓的無線網絡設計

8個住宅樓的網絡結構是一樣的，只是建筑面積有點差別。為了擴大覆蓋面，住宅樓間的AP均采用全向天線，根據實際要求可在5dBi—10dBi范圍內選擇。每幢住宅樓間的AP通過1個4口的HUB與各自樓頂的AP連接。

3.7網絡的配置

小區使用的是商業DSL服務，它將為用戶提供一套固定的IP地址。并且有路由器和防火墻提供一些安全功能，當無線用戶連到網絡時，需要網絡地址轉換和DHCP服務對之進行配置。

配置過程中，還需要配置網絡地址轉換、網關地址、子網以及DNS服務器等信息。以下是配置方案：

ISP提供的IP地址為60.166.44.165（然后這個地址作為客戶端及其他設備連到它的網關地址）；

ISP提供的網關地址是60.166.44.1（需服務商預先設置）；

ISP將DNS地址分配為202.102.192.68和202.102.199.68；

下面可以配置WLAN訪問點：

將無線局域網WLAN訪問點的WAN網關地址設為60.166.44.165；

將無線局域網WLAN訪問點的WANIP地址設為60.166.44.165；

該地址也是唯一地確定所有到Internet的WLAN訪問點，在需要的時候可以追蹤通信量；

將無線局域網WLAN訪問點的DNS設置為202.102.192.68和202.102.199.68；

配置WLAN訪問點的路由器的LAN地址為10.10.1.1；

配置WLAN訪問點的路由器的LAN地址為255.255.0.0；

配置WLAN訪問點的路由器以提供NAT，并讓它作為一個DHCP地址；

配置WLAN訪問點的路由器以足夠的DHCP地址—根據小區的實際情況，需要同時滿足640個人的上網需求。那么至少就需要640個DHCP地址；

將WLAN訪問點的服務標識符SSID設為小區用戶認可的名字；

使用WEP加密密碼，對非法用戶作一些限制；

4無線網絡的安全防護和維護

4.1無線網絡的安全性

由于無線局域網采用公共的電磁波作為載體，更容易受到非法用戶入侵和數據竊聽。無線局域網必須考慮的安全因素有三個：信息保密、身份驗證和訪問控制。為了保障無線局域網的安全，主要有以下幾種技術,并作簡要介紹：

（1）物理地址（MAC）過濾

每個無線工作站的無線網卡都有唯一的物理地址，類似以太網物理地址。可以在AP中建立允許訪問的MAC地址列表，如果AP數量太多，還可以實現所有AP統一的無線網卡MAC地址列表，現在的AP也支持無線網卡MAC地址的集中Radius認證。這種方法要求MAC地址列表必需隨時更新，可擴展性差。

（2）服務集標識符（SSID）匹配

對AP設置不同的SSID，無線工作站必須出示正確的SSID才能訪問AP，這樣就可以允許不同的用戶群組接入，并區別限制對資源的訪問。

（3）有線等效保密（WEP）

有線等效保密協議是由802.11標準定義的，用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙，采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。WEP加密采用靜態的保密密鑰，各無線工作站使用相同的密鑰訪問無線網絡。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準存取網絡的資源。40位WEP具有很好的互操作性，所有……

通過Wi－Fi組織認證的產品都可以實現WEP互操作。現在的WEP也一般支持128位的鑰匙，能夠提供更高等級的安全加密。

4.2WLAN的防護

在明白了一個毫無防護的WLAN所面臨的種種問題后，應該在問題發生之前作一些相應的應對措施，下面就是介紹針對各種不同層次的入侵方式時采取的各種應對措施。

在一個無任何防護的無線LAN前，要想攻擊它的話，并不需要采取什么特別的手段，只要任何一臺配置有無線網卡的機器就行了，能夠在計算機上把無線網卡開啟的人就是一個潛在的入侵者。在許多情況下，有人無心地打開了他們裝備有無線設備的計算機，并且恰好位于你的WLAN覆蓋范圍之內，這樣他們的機器不是自動地連接到了你的AP，就是在“可用的”AP列表中看到了它。其實，在平常的統計中，有相當一部分的未授權連接就是來自這樣的情況，并不是別人要有意侵犯你的網絡，而是有時無意中在好奇心的驅使下的行為而已。

（1）更改默認設置

最基本，要更改默認的管理員密碼，而且如果設備支持的話，最好把管理員的用戶名也一同更改。對大多數無線網絡設備來說，管理員的密碼可能是通用的，因此，一般情況下更改這個密碼，使其他用戶無法獲得整個網絡的管理權限。

（2）更新AP的Firmware

有時，通過刷新最新版本的Firmware能夠提高AP的安全性，新版本的Firmware常常修復了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施。

（3）屏蔽SSID廣播

許多AP允許用戶屏蔽SSID廣播，這樣可防范netstumbler的掃描，不過這也將禁止WindowsXP的用戶使用其內建的無線Zero配置應用程序和其他的客戶端應用程序。

（4）關閉機器或無線發射

關閉無線AP，一般用戶來保護他們的無線網絡所采用的最簡單的方法了，在無需工作的整個晚上的時間內，可以使用一個簡單的定時器來關閉我們的AP。不過，如果擁有的是無線路由器的話，那因特網連接也被切斷了，這倒也不失為一個好的辦法。在不能夠關閉因特網連接的情況下，就不得不采用手動的方式來禁止無線路由器的無線發射了(當然，也要求無線路由器支持這一功能)。

（5）MAC地址過濾

MAC地址過濾是通過預先在AP在寫入合法的MAC地址列表，只有當客戶機的MAC地址和合法MAC地址表中的地址匹配，AP才允許客戶機與之通信，實現物理地址過濾。

（6）降低發射功率

雖然只有少數幾種AP擁有這種功能，但降低發射功率仍可有助于限制有意或偶然的未經許可的連接。但現在無線網卡的靈敏度在不斷提高，甚至這樣的網卡隨便都可購買得到，特別是在一幢大樓或宿舍中嘗試阻止一些不必要的連接時，這可能沒什么實際意義了。

（7）使用一些應用程序對無線網絡進行探測

通常情況下，我們還可以用一些軟件對無線網絡進行監控或探測。NetStumbler最經常使用的一種軟件，是廣泛應用于監測無線網絡運行的工具。它對可以接受到的每一個無線訪問點都提供了大量的數據，能顯示運行中的無線設備的MAC地址、使用信道、信號強度、SSID或者其中的缺陷，以及對某個特別訪問點是否采取了編碼。

小結

無線局域網絡是相當便利的數據傳輸系統，它利用射頻(RadioFrequency；RF)的技術，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構成的局域網絡，使得無線局域網絡能利用簡單的存取架構讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。本文主要介紹了智能小區無線局域網的組建和管理方法，如何運用手中的軟件和硬件設備達到局域網的最佳配置。對局域網的設備，術語和操作方法描述的比較詳細，具有一定的實用價值。