1、湖南邮电职业技术学院某学院无线局域网的规划与设计湖南邮电职业技术学院毕 业 设 计设计题目: 某学院无线局域网的规划与设计 目 录摘 要IV1 前 言1.1 无线局域网(WLAN)的特点11.2 无线局域网(WLAN)的现状和研究意义12 无线局域网(WLAN)2.1 无线局域网(WLAN)简介32.2无线局域网(WLAN)的优点53 校园无线局域网3.1 校园局域网简介73.2 校园无线网的应用73.3 校园无线网的接入方式83.3.1 对等连接方式(Ad-Hoc 模式)83.3.2 接入连接方式83.4 无线AP的组网方案93.4.1 AP模式93.4.2 AP客户端模式103.5 校园无
2、线局域网的拓扑123.5.1 接入点和网桥123.5.2 WLAN拓扑123.5.3 漫游133.6 安全运用校园无线网134 某校园WLAN的设计条件分析4.1 某校园WLAN的需求分析154.2 某校园WLAN建设目标分析174.3 校园WLAN安全性分析174.3.1 WLAN所面临的安全问题174.3.2安全因素考虑及相关措施的制定194.3.3无线网络安全性解决方案205 某校园WLAN的具体构建5.1 设计概述225.2 校园WLAN网络拓扑图225.3 某校园WLAN具体解决方案245.4 某校园WLAN设计方案说明24总 结31谢 辞32参考文献33摘 要目前,互联网越来越多的
3、融入到人们的生活中,而在全世界范围内,校园网已经成为校园生活的重要组成部分,成为教师和学生获取资源和信息的主要途径之一。而在我国,多数校园网均是建立在有线网络基础之上,随着信息技术的飞速发展,“随时随地获取信息”已成为广大师生们的新需求。特别是应用数据、话音、视像多媒体的传输量的增加,校园网建设正向数字化、智能化方向发展。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、阶梯教室、体育馆等许多不宜网络布线的场馆设施如何快速随时上网?在教室、实验室特别是在宿舍楼等场合如何突破网络节点限制、实现多人同时上网的问题?而校园无线局域网作为校园网的重要组成部分,因此在校园网中建设无
4、线局域网作为有线校园局域网的重要补充显得尤为重要。无线局域网是相当便利的数据传输系统,它利用射频技术,取代旧式的双绞铜线所构成的局域网络,使得用户能够利用其简单的存取架构,信息随身化、随时随地连接网络世界。无线局域网弥补有线局域网络之不足,以达到网络延伸之目的。本文主要介绍了校园无线局域网的应用需求,以及校园无线局域网的设计思路。对校园无线局域网作出了物理和逻辑上的设计。同时针对设计校区对其网络环境做了优化和扩展,使其以后能更加灵活的融入到网络生活中。关键词:无线局域网;校园网;IEEE802.11;信号覆盖ABSTRACTNowadays the Internet is becoming p
5、opular in peoples life, and Campus Network which is a major way of obtaining resource and information for teachers and students, has become a significant part in school life worldwide. However in our country, majority of campus network is built on the base of wired local area network, so to obtain i
6、nformation wherever and whenever has become the new demand of teachers and students. With the rapid development of information technology, especially in increasing throughput of application data, audio and video multi-media, campus network is going to be digitalized and intelligentialized. But tradi
7、tional Campus Network has many network blind spot, such as how to quickly surf the Internet whenever in library, large conference room, amphitheater and stadium where it is not suitable for wiring? How to break network nodes limitations and realize people online simultaneously?As a big part of Campu
8、s Network, constructing Campus WLAN seems vital in campus as an important complement of Campus LAN. Campus WLAN is a strongly convenient data transfer system which utilizes RF technology instead of old local area network formed by twisted-pair copper. It makes users to adopt its simple frame structu
9、re to let information connect to the network whenever and wherever. The WLAN makes up deficiency of LAN, aiming at network extension. This essay mainly introduces the application demand and design ideas of campus WLAN, and makes a design of Campus WLAN physically and logically. At the same time, It
10、also conduct optimization and extension for network environment of designing campus to make it into network life more elastically. Key Words: Wireless LAN;campus network;IEEE802.11;signal coverage361 前 言1.1 无线局域网(WLAN)的特点进入21世纪以来,人类科技不断发展,计算机技术也在突飞猛进,计算机的用户也越来越多,用户要求互连的计算机设备数量不断增加,可接入网络的个人终端设备比如上网本、
11、手机、平板电脑、电纸书等也在迅猛增加,类型也更为复杂。而传统的有线网络由于受到设计或环境条件的制约,在物理实现、逻辑和资金方面普遍存在着一系列的问题,特别是当涉及到网络移动和重新布局时,问题会更加明显。所以发展一种可行的无线通信技术作为现有的数据连接扩充已成为一种需要。自从上个世纪90年代以来,随着个人数据通信的发展,为了实现任何人在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线,由固定向移动,由单一业务向多媒体发展,更进一步推动了无线局域网(Wireless LAN,)的发展。与有线局域网相比较,无线局域网具有移动性高、传输距离长、网络保密性好、开发运营成本低、易
12、扩展、受自然环境影响小,组网方式灵活、管理方便等优点,在无线数据业务日益发展的今天,无线局域网(WLAN)作为一种灵活的数据通信系统,是现有局域网的有效延伸和补充。通过无线射频技术实现在一定范围内的无线发送和接收数据,减少了对固定线路的依赖,提高了工作效率和生活乐趣, 相对有线网络有着无可比拟的优势。1.2 无线局域网(WLAN)的现状和研究意义无线局域网(WLAN)是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化杨军、李瑛、杨章玉无线局域网组建实战M北京:电子工业出版社,2006,第7页。通俗地讲,无线
13、局域网就是在不采用网线的情况下,提供以太网互联功能。无线局域网(WLAN)与有线局域网通过铜线或光纤等导体传输。不同的是,无线局域网使用电磁频谱来传递信息。它是计算机网络与无线通信技术相结合的产物。无线网络用于一些布线困难、上网设备经常移动的环境,及搭建临时性的网络。无线网络因其自身的优越特性被作为有线网络的补充技术被广泛的应用。无线局域网是相当便利的数据传输系统,它利用射频技术,取代旧式的双绞铜线所构成的局域网络,使得用户能够利用其简单的存取架构,信息随身化、随时随地连接网络世界。在信息化快速发展的今天,校园网已经成为校园生活的重要组成部分,是教职员工和学生获取资源和信息的主要途径。它将校园
14、里的院系、学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,在教育系统中具有重要的作用。如今,越来越多的师生拥有了笔记本电脑,上网本,平板电脑,手机终端等网络计算机设备,他们希望方便的在教室、实验室、图书馆和室外等场地随时随地的接入互联网或校园内网,及时的获得所需的信息。在上述背景下,本设计对无线局域网的相关通信协议进行分析与研究,并在此基础上实现具体的校园无线局域网应用方案。WLAN工程的实施,将实现三维于一体的校园网络、Internet快速的接入。极大地推动学校的教学与师生信息的获取方式与交流方式,使WLAN用户无论何时何地实现个人与网络世界的联接。2 无线局域网(WLAN)2.1
15、 无线局域网(WLAN)简介无线局域网(WLAN)是利用无线通信技术在一定的局部范围内建立的网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网LAN的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。计算机无线通信和计算机无线联网不是一个概念,其功能和实现技术有相当大的差异。计算机无线通信只要求两台计算机之间能传输数据即可。而计算机无线联网则进一步要求以无线方式相联的计算机之间资源共享,具有现有网络操作系统所支持的各种服务功能。计算机无线联网常见的形式是把一个(远程)计算机以无线方式联入一个计算机网络中,作为网络中的一个结点。使之具有网上工作站
16、所具有的同样的功能,获得网络上所有服务;或把数个(有线或无线)局域网联成一个区域网。无线局域网可以在普通局域网基础上通过无线Hub(多端口转发器)、无线接入站(Access Point,AP,亦译作网络桥接器)、无线网桥、无线Modem及无线网卡等来实现,以无线网卡最为普遍,使用最多。与有线网络一样,无线局域网同样也需要传送介质。但它不是使用双绞线或者光纤,而是红外(IR)或者射频(RF)波段,无线局域网一般普遍采用扩频微波技术 无线局域网常用的实现技术有:IEEE(美国电气和电子工程师协会)的802.11系列协议族、家用射频工作组提出的HomeRF、Bluetooth(蓝牙)以及欧洲的Hip
17、erLAN2协议等。以IEEE 802.11协议为基础的无线局域网在标准之争中脱颖而出,成为目前事实上的占主导地位的无线局域网标准。无线局域网的系统构成主要有点对点型、点对多点型和完全分布型三种形式高峰 高泽华 文柳等.无线城市M.北京:人民邮电出版社2011.1,第十四页。其中点对点型和点对多点型是日常生活中接触最多的两种无线局域网。它们都有结构组成和用户设备简单的特点,而且点对多点型无线局域网更可以与微蜂窝技术结合,并利用信号发射功率与有线局域网相连,使用户更加方便、快捷地使用网络。从无线局域网的系统结构和它无线特点可以看出,无线局域网省去了难度大、费用高、耗时长的布线施工,减少了对施工周
18、边环境的影响,节约了大量经济费用;安装简单快捷,一般只要安装一个或多个接入点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络,在这个信号覆盖区域内,任何一个位置都可以接入网络,用户使用极为方便。如图2.1所示,无线局域网是固定网络的一种延伸,对于用户来说是完全透明的,使用起来和有线网络一样。图2.1图2.2为有线局域网和无线局网的对比图2.22.2无线局域网(WLAN)的优点局域网络管理的主要工作之一就是铺设电缆或是检查电缆是否断线这种耗时的工作,很容易令人烦躁,也不容易在短时间内找出断线所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布
19、局,需要重新安装网络线路。虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。因此,架设无线局域网络就成为最佳解决方案。无线局域网具有以下优点:灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。 安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。 易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的
20、改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。 故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。 易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间漫游等有线网络无法实现的特性。 由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。3 校园无线局域网3.1 校
21、园局域网简介网络现在已经成为人们日常生活中不可分割的一部分,校园网络的建设是学校向信息化发展的必然选择,而无线局域网是对校园现有有线局域网的一个很好的补充。经过这些年有线网络建设、运行、维护,从实践结果来看,由于目前网络是有线的,所以在有些应用领域会出现困难。例如,有些高校在前期布网时不能顾及所有区域,只布置了宿舍办公楼等区域,而布置网线的教室、图书馆数量有限;有些高校经费比较紧张,很难投入较大的财力来铺设光缆;有些高校的建筑物具有一定的历史意义,不适合钻孔布线;有些高校由多个校区组成,校区之间联网成本较高,等等。校园是一个信息交流极快的特殊环境, 教师和学生对高校校园网的依赖性非常高,随着我
22、国经济的发展, 校园中的移动设备如手提电脑、掌上设备等越来越多, 高校学生对移动的获取网络知识, 随时随地利用这些移动设备上网也相当关注。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网?而在这些环境或其他因素的影响下无法架设网线或不方便使用网线的情况下, 无线局域网则是一个补充。再比如本设计中所涉及的校区,面积较大,楼和楼之间相隔较远,如果全部铺设有线网络,不仅费材费时费力,一旦出现故障很难排查。因为某条线路或者某个交换机故障而影响到整个区域的网络将是一个十分棘手的问题。所以在校园中建设无线局域网是一个势在必行的决策。3.2
23、校园无线网的应用(1) 提供基本的数据传输将室外的教学楼, 图书馆, 学生宿舍等建筑物通过无线网桥( bridge )加以桥接, 并且对室内的内的体育场、会议室、草坪等应用场合使用无线局域网方式( WLAN )加以无线覆盖。无线信号覆盖到校园的任何角落, 整个校园变成了一个巨大的教学空间。校园内各个建筑物之间的固定无线接入, 建筑物内则使用有线方式和无线方式互相补充的连接。(2) 通过无线网络建立校园内的安全监控网络在校园内建立安全监控网络可以有效的避免校园暴力、盗窃等事件的发生, 从而为师生提供良好的工作、研究和学习的环境。安全监控网络要求网络稳定性高, 视频信号传输清晰, 网络安全性好。利
24、用无线传输的优势可以完全避免有线方式带来的种种限制, 隐蔽性好, 见效快, 而且监控点的位置可以根据需要随时做出调整, 设备可以重复使用。3.3 校园无线网的接入方式分析目前校园网的应用需求和实际情况,无线局域网的应用主要分为两种, 即楼宇内和楼宇间。楼宇内的应用根据应用情景和场所的不同, 主要可采用对等和接入两种连接方式。3.3.1 对等连接方式(Ad-Hoc 模式)对等连接方式较适合未建网的用户。如果学校组建临时性的小型活动, 如临时流动会议等时则可采用这种方式。对等(Peer to Peer)连接方式下的无线局域网, 不需要单独地具有总控接转功能的接入设备AP, 所有的节点都能对等地相互
25、通信。只需要为每个需要通信的移动终端设备配置相应的无线适配器, 便可通过无线信号进行互通, 实现资源共享的目的。网络架设简单, 成本低, 但是它的缺点也很明显。两个节点之间的通信距离比较短, 而且由于各节点无线网卡的发射和接收功率都非常有限, 所以这种网络所能连接的节点数也是非常有限的。另外它只能一对一互传数据, 不能进行多点同时通信。如图3.1所示。图3.1 Ad hoc模式示意图3.3.2 接入连接方式根据覆盖面的大小, 可考虑采用单AP 或多AP 接入方式。单AP 接入方式以星形拓扑为基础, 以AP 为中心, 所有的节点通信都要通过AP 转接。这种方式AP 可以单独使用, 也可以与有线局
26、域网相连, 但只能用在教室和会议室等一些小范围区域内。在图书馆等比较大的区域里, 由于单AP 点的覆盖面积十分有限, 如果节点移动过快或超出了该范围都会失去与网络的连接, 无法继续进行通信, 所以往往使用多AP接入方式。多AP接入方式是单AP接入方式的扩展, AP 之间通过有线主干网连接, 这样可以让节点实现区内漫游。在使用多AP 接入方式规划和部署时, 有些关键问题必须考虑:规划无线网络的覆盖区域和容量。在利用多AP 设计无线局域网时要保证无缝覆盖, 这样节点在移动时能始终保持在线。但在一些高用户密度的地方, 更重要的是还应考虑提供足够的容量。规划时应充分估计区域内的节点数量, 同时考虑所在
27、区域对网络带宽, 网络速度的要求等。网络容量规划之后就可以确定AP 的数量。部署AP时则应多考察环境。安装人员可以通过地点调查来确定AP 的位置。在为临时活动组建的无线局域网中, 接入点经常放置在桌面上。但在固定部署中, 接入点通常都安装在天花板上。安装在天花板上的接入点具备许多优势, 不仅可让干扰信号的障碍物减至最少, 而且可防止他人随意乱动接入点设备。AP 部署同时还要考虑到无线电信号损耗因素, 门、窗、箱体和墙壁都会吸收和消弱无线电频率信号。楼宇间可采用室外网桥连接方式。这种方式是建立在接入原理之上的通过两个无线设备点对点(Point to Point)链接, 由于独享信道, 较适合两个
28、局域网的远距离互连(架设高增益定向天线后, 传输距离可达到50 公里)。局域网之间的通信是通过各自的无线网桥来实现的。3.4 无线AP的组网方案3.4.1 AP模式AP(Access Point,接入点模式),这是我们无线AP的基本工作模式,用于构建以无线AP为中心的集中控制式网络,所有通信都通过AP来转发,类似于有线网络中的交换机的功能。这种模式下连接方式大致如图3.2所示:图3.2 AP接入点模式AP即可以和无线网卡建立无线连接,也可以和有线网卡通过网线建立有线连接。我们的501G只有一个LAN口,一般不用它来直接接电脑,而是用来与有线网络建立连接,直接连接前端的路由器或者是交换机。在这种
29、模式下,无线1到13。选择中应该注意的是,如果周围环境中还有其他的无线网络,尽量不要使用相同的频率段。然后选择501G工作的模式,我们的501G支持11Mbps带宽的802.11b、54Mbps带宽的802.11g模式(兼容802.11b模式)。同时注意开启无线功能,就是不要选中关闭无线功能的这个选项即可。选中Access Point选项,设置好SSID号即可。注意,通过无线方式与我们的无线AP建立连接的无线网卡上设置的SSID号必需与我们无线AP上设置的SSID号相同,否则无法接入网络 Lee W C YMobile Cellular Telecommunication SystemMNew
30、 York:McGraw-Hill,1989:第211-212页。3.4.2 AP客户端模式首先是设置该网络工作的频段,选择的范围从AP client模式下,即可以有线接入网络也可以无线接入网络,但此时接在无线AP下的电脑只能通过有线的方式进行连接,不能以无线方式与AP进行连接。工作在AP client模式下的无线AP建立连接的方式大致的如图3.3所示:图3.3 AP客户端模式图中的无线设备A ,即可以是无线路由器,也可以是无线AP。注意在进行连接时,我们的无线AP所使用的频段最好是设置成与前端的这个无线设备A所使用的频段相同。 首先当然是频段、模式等基本设置,注意开启无线功能。然后选择AP的
31、工作模式,使我们的 501G工作在AP client模式下,并注意关闭WDS功能,否则无法与无线路由器建立无线连接。在client模式下,可以有两种方式使无线AP接入前端的无线路由器, 一种就是通过设置和无线路由器相同的SSID号,从而连接无线路由器;另一种就是通过在AP的MAC地址处填写无线路由器的LAN口的MAC地址来建立连接。 注意:在这种工作模式下,无线AP下面只能通过有线的方式连接一台电脑。因为我们的501G工 作在AP client模式下,并且关闭WDS功能时,它只学习一个MAC地址。如果需要下面还可以连接多台电脑的话,可以在我们的501G下面连接一个路由器,501G的LAN口与路
32、由器的WAN口连接,路由器LAN口下面可以接多台电脑。 当需要我们工作在AP client模式下的无线AP再与另外的无线AP建立连接时,连接的无线AP可以是AP模式,也可以是repeater模式。此时AP client模式下的WDS功能即可以是开启的,也可以是关闭的。 当与设置为AP模式的无线AP进行连接时,我们设置为AP client模式下的无线AP可以通过设置一个SSID号,使这个SSID号与设置成AP模式下的无线AP的SSID号相同来建立连接;也可以通过在 client模式下的AP的MAC地址栏中填写前端设置为AP模式的无线AP的MAC地址来进行连接。 当前端的AP设置为repeater
33、模式时,它并没有SSID号,因此,我们设置为AP client的无线AP要与它建立连接,只能通过在AP的MAC地址栏中填写前端AP的MAC地址来实现连接。3.5 校园无线局域网的拓扑3.5.1 接入点和网桥AP、无线网桥和工作组网桥都工作在OSI(开放式系统互联)参考模型的第一层和第2层。接入点一个接入点(AP)就是一个收发器,可以作为一个独立无线网络的中心。一个AP也可以作为无线网络之间的连接点。在大型网络中,多个AP可以提供漫游功能,允许用户在区域内自由移动而仍能保持不中断和无逢的网络接入。无线网桥无线网桥用于连接2个或2个以上的网络,特别是位于不同建筑物内的网络。采用了802.11a技术
34、的网桥可以实现提供最大为54Mbit/s的带宽。而用了802.11a技术的网桥可以实现提供最大为11Mbit/s的带宽。工作组网桥工作网桥一般应用于将远程工作组连接到一个有线LAN,如图3.4所示图3.4 无线网桥拓扑图3.5.2 WLAN拓扑有线LAN要求用户始终呆在一个位置上。是对有线LAN的扩展,也可以完全取代传统的LAN网络。接入的用户可以实现以下功能:在设施周围自由移动;享受以接近有线以太网的速度实时方问有线LAN;访问有线LAN中的所有资源。为了使用户可以在一个大的区域内实现无线网络信号覆盖。我们可以将两个或两个以上的基本服务单元(一个AP提供的覆盖范围)实行覆盖。如下图3.5所示
35、图3.5两个基本服务单元无线拓扑图3.5.3 漫游在一个大的区域内,为保证客户端的在不同的AP之间无缝漫游。如图3.6所示。在设计能为开机的移动设备提供无逢漫游的时,我们必须满足的条件:必须为整个路径提供充分的覆盖范围;整个路径能够分配一个可用的IP地址。图3.6 无线局域网漫游图拓扑图3.6 安全运用校园无线网因为高校网络需要有可运营的能力, 这就不可避免的引入较大规模的认证, 记账功能的身份认证系统。IEEE 802.1x 是现在较流行的基于端口的访问技术, 也是最新的无线协议IEEE 802.11i内容。802.11i 还包含Wi-Fi 保护性接入(WPA),WPA 继承了WEP 基本原
36、理而又解决了WEP 缺点的一种新技术。其原理为根据通用密钥, 配合表示电脑MAC 地址和分组信息顺序号的编号, 分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理, 所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA 还具有防止数据中途被篡改的功能和认证功能 Lee W C YMobile Communication EngineeringMNew York:McGraw-Hill,1982:第872-877页。4 某校园WLAN的设计条件分析4.1 某校园WLAN的需求分析目前,整个通信行业正处在一个飞速发展的阶段,而在通信大家庭中无
37、线通信是十分重要的一名成员。依现在的发展形势,无线通信将作为主角承担举足轻重的地位。校园作为知识和信息传播的主要场所在无线通信的建设中更是不可或缺。本设计是为某校园的网络系统设计,为保证校园的实用性、先进性、经济性以及可延展性,现按校园的整体布局及实际需求,提出校园的建设目标。首先,如图4.1,某校园现阶段有线校园网的建设已经成熟,并且形成了一定的规模和用户群,但是因为有线局域网在上文中提到的不足之处,建设无线局域网是势在必行的事情。通过无线局域网覆盖工程的实施,可以有效地完善我校的数字化校园的建设,使全校的教职员工及学生可以无论身处学校何时何地都可以实现计算机设备的无缝无线接入,使用户无论何
38、时何地实现个人与网络世界的联接,并实现快速的网络流量,为全校师生及学生优提供优质的现代化信息服务。极大地推动学校的教学与师生信息的获取方式与交流方式。如果独立投资一个校区全覆盖的WLAN项目需要大量的资金投入,根据目前某校园的的具体情况,本设计方案以学校WLAN与通信运营商合作建设为基础建设的方案,这样不仅可以实现建设数字校园的目标,更是节约了投资成本,与此同时,通信运营商利用自身的技术与软、硬件条件,可以将WLAN技术与现代通信技术3G相结合,使传统的WLAN设备不仅可提供数据业务,更可提供语音通信业务,在增加投资回报率与回报周期的同时,也相对减低了双方的投资成本。校园内的师生更可从中获得更
39、多的数据接入方式的服务。综上所述,本设计将校园WLAN与中国移动通信集团WLAN相关规范相结合进行设计。下图为某校园有线局域网的网络拓扑图:图4.1 某校园有线局域网网络拓扑图4.2 某校园WLAN建设目标分析目前某校园占地面积为46.7万平方米,建筑面积23.6万平方米,现有在校学生11500多人,教职工700多位,主要建筑区域有宿舍区、实验区、教学区、用餐区、运动区等等。其中有学生公寓和教师公寓共9处、实验区2处、教学区3处、食堂1处、体育场1处、礼堂1处等共17处建筑。在这些区域,校园有线网已经铺设完成并已投入使用,但无线网络的覆盖几乎处于空白。结合学校实际情况,校园信息化建设工作的核心
40、目标在于充分利用信息技术,建立多层次、高可靠、可管理、可运营的开放式的数字化校园,促使其提高办学质量和效益。同时在日常生活中满足教师和学生的各种上网需求,从而建设可方便管理切换的数字化校园。4.3 校园WLAN安全性分析作为对有线网络的一个有益的补充,无线网络给大家带来方便的同时,也同样面临着无处不在的安全威胁, 尤其是当无线网络的安全性设计不够完善时,此问题更加严重。4.3.1 WLAN所面临的安全问题无线局域网所面临的安全威胁是非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险。无线网络与有线网络相比只是在传输方式上有所不同,所以所有常规有线网络存在的安全威胁在无线网络中也存在
41、, 因此要继续加强常规的网络安全措施, 但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。无线网络可能受到的安全威胁可以分为两类,一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生。另一类则是由无线介质本身的特性决定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。总体来说,无线网络所面临的威胁主要表现下在以下几个方面:(1)信息重放:在没有足够的安全防范措施的情况下,是很容易受到利用非法 AP 进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN 等保护措施也难以避免。中间
42、人攻击则对授权客户端和 AP 进行双重欺骗,进而对信息进行窃取和篡改。 (2)WEP 破解:首先,在加密算法上,WEP 中的初始化向量由于位数太短和初始化复位设计,容易出现重用现象,从而被人破解密钥。而对用于进行流加密的 RC4 算法,在其头256个字节数据 中的密钥存在弱点,目前还没有任何一种实现方案修正了这个缺陷。 此外用于对明文进行完整性校验的 CRC (循环冗余校验码)只能确保数据正确传输,并不能保证其未被修改,冈而并不是安全的校验码。其次,在密钥管理上,802.11 标准指出,WEP 使用的密钥需要接受一个外部密钥管理 系统的控制。通过外部控制。可以减少 Iv 的冲突数量,使得无线网
43、络难以攻破。但问题在 于这个过程形式非常复杂, 并且需要手工操作。 因而很多网络的部署者更倾向于使用缺省的 WEP 密钥,这使黑客为破解密钥所作的工作量大大减少了。最后,在用户行为上,许多用户都不会改变缺省的配置选项, 这令黑客很容易推断出或猜出密钥。现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包, 收集到足够的 WEP 弱密钥加密的包,并进行分析以恢复WEP密钥。 根据监听无线通信的机器速度、LAN内W发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。 (3)网络窃听:一般说来,大多数网络通信都是以明文格式出现的,这就会使处于无线信号覆盖范围之内
44、的攻击者可以乘机监视并破解通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。这种威胁已经成为无线局域网面临的最大问题之一卢尔瑞,等移动通信工程M北京:人民邮电出版社,1988:134-135。(4)欺骗和非授权访问:因为 TCP/IP 协议的设计原因,几乎无法防止 MAC/IP 地址欺骗。在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。只有通过静态定义 MAC 地址表才能防止这种类型的攻击。但是,因为巨大的管理负
45、担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。 当试图连接到网络上的时候,简单地通过让另外一个节点重新向 AP 提交身份验证请求就可以很容易地欺骗无线网身份验证。 许多无线设备提供商允许终端用户通过使用设备附带的配置工具,重新定义网卡的MAC地址。 使用外部双因子身份验证, 可以防止非授权用户访问无线网及其连接的资源,并且在实现的时候,应该对需要经过强验证才能访问资源的访问进行严格的限制。 (5)拒绝服务: 攻击者可能对 A P 进行泛洪攻击,使 AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数
46、据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。(6)服务后抵赖:服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。(7)恶意软件:凭借技巧定制的应用程序,攻击者可以直接到终端用户上查找访问信息,例如访问用户系统的注册表或其他存储位置,以便获取WEP密钥并把它发送回到攻击者的机器上。注意让软件保持更新,并且遏制攻击的可能来源(Web浏览器、电子邮件、运行不当的服务器服务等),这是唯一可以获得的保护措施。 (8)偷窃用户设备:只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法 MAC 地址。也就是说,如果终端用户的笔记本电脑被盗,
47、他丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。而对于别有用心的攻击者而言,这些往往比电脑本身更有价值。4.3.2安全因素考虑及相关措施的制定(1)身份认证:对于无线网络的认证可以是基于设备的,通过共享的 WEP 密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP(检测实验室能力验证)和PEAP(受保护的可扩展的身份验证协议)。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS 或PEAP。(2)访问控制:对于连接到无线,网络用户的访问控制主要通过AAA(Authentication、Authorization、Accounting即验证、授权和记账)服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(SSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101即指3COM设备