无线网络组建个人总结 .docx

资源描述

无线网络组建个人总结无线办公室网络设计在这个“网络就是计算机”的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（wirelesslocal-areanetwork，wlan）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长，对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。无线局域网的历史说到无线网络的历史起源，可能比各位想像的还要早。无线网络的初步应用，可以追溯到五十年前的第二次世界大战期间，当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感，在1971年时，夏威夷大学（universityofhawaii）的研究员创造了第一个基于封包式技术的无线电通讯网络，这被称作alohnet的网络，可以算是相当早期的无线局域网络（wlan）。这最早的wlan包括了7台计算机，它们采用双向星型拓扑（bi-directionalstartopology），横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（oahuisland）上。从这时开始，无线网络可说是正式诞生了。虽然目前几乎所有的局域网络（lan）都仍旧是有线的架构，不过近年来无线网络的应用却日渐增加，主要应用在学术界（像是大学校园）、医疗界、制造业和仓储业等，而且相关的技术也一直在进步，对企业而言要转换到无线网络也更加容易、更加便宜了。无线局域网的技术特点无线局域网利用电磁波在空气中发送和接受数据，而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11mbps，传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速方便地解决使用有线方式不易实现的网络联通问题。 1.无线局域网的优点与有线网络相比，无线局域网具有以下优点：安装便捷一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。在施工过程中，往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点ap（accesspoint）设备，就可建立覆盖整个建筑或地区的局域网络。使用灵活在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。经济节约由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造，而无线局域网可以避免或减少以上情况的发生。易于扩展无线局域网有多种配置方式，能够根据需要灵活选择。这样，无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游（roaming）”等有线网络无法提供的特性。由于无线局域网具有多方面的优点，所以发展十分迅速。在最近几年里，无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。 2.无线局域网的相关技术 1）.ieee802.11标准的局域网以及计算机专家审定通过的标准。ieee802.11规定了无线局域网在2.4ghz波段进行操作，这一波段被全球无线电法规实体定义为扩频使用波段。 1999年8月，802.11标准得到了进一步的完善和修订，包括用一个基于snmp的mib来取代原来基于osi协议的mib。另外还增加了两项内容，一是802.11a，它扩充了标准的物理层，频带为5ghz，采用qfsk调制方式，传输速率为6mb/s－54mb/s。它采用正交频分复用（ofdm）的独特扩频技术，可提供25mbps的无线atm接口和10mbps的以太网无线帧结构接口，并支持语音、数据、图像业务。这样的速率完全能满足室内、室外的各种应用场合。但是，采用该标准的产品目前还没有进入市场。另一种是802.11b标准，在2.4ghz频带，采用直接序列扩频（dsss）技术和补偿编码键控（cck）调制方式。该标准可提供11mb/s的数据速率，还能够根据情况的变化，在11mbps、5.5mbps、2mbps、1mbps的不同速率之间自动切换。它从根本上改变无线局域网设计和应用现状，扩大了无线局域网的应用领域，现在，大多数厂商生产的无线局域网产品都基于802.11b标准。 2）.无线局域网的相关概念在一个典型的无线局域网环境中，有一些进行数据发送和接收的设备，称为接入点（ap）。通常，一个ap能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下，ap可以通过标准的ethernet电缆与传统的有线网络相联，作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。无线局域网在室外主要有以下几种结构。点对点型、点对多点型、多点对点型和混合型。 ●点对点型该类型常用于固定的要联网的两个位置之间，是无线联网的常用方式，使用这种联网方式建成的网络，优点是传输距离远，传输速率高，受外界环境影响较小。 ●点对多点型该类型常用于有一个中心点，多个远端点的情况下。其最大优点是组建网络成本低、维护简单；其次，由于中心使用了全向天线，设备调试相对容易。该种网络的缺点也是因为使用了全向天线，波束的全向扩散使得功率大大衰减，网络传输速率低，对于较远距离的远端点，网络的可靠性不能得到保证。 ●混合型这种类型适用于所建网络中有远距离的点、近距离的点，还有建筑物或山脉阻挡的点。在组建这种网络时，综合使用上述几种类型的网络方式，对于远距离的点使用点对点方式，近距离的多个点采用点对多点方式，有阻挡的点采用中继方式。无线局域网的室内应用则有以下两类情况 ●独立的无线局域网这是指整个网络都使用无线通信的情形。在这种方式下可以使用ap，也可以不使用ap。在不使用ap时，各个用户之间通过无线直接互联。但缺点是各用户之间的通信距离较近，且当用户数量较多时，性能较差。 ●非独立的无线局域网在大多数情况下，无线通信是作为有线通信的一种补充和扩展。我们把这种情况称为非独立的无线局域网。在这种配置下，多个ap通过线缆连接在有线网络上，以使无线用户即能够访问网络的各个部分。其他相关概念 ●微单元和无线漫游无线电波在传播过程中会不断衰减，导致ap的通讯范围被限定在一定的范围之内，这个范围被称为微单元。当网络环境存在多tap，且它们的微单元互相有一定范围的重合时，无线用户可以在整个无线局域网覆盖区内移动，无线网卡能够自动发现附近信号强度最大的ap，并通过这个ap收发数据，保持不间断的网络连接，这就称为无线漫游。 ●扩频大多数的无线局域网产品都使用了扩频技术。扩频技术原先是军事通讯领域中使用的宽带无线通信技术。使用扩频技术，能够使数据在无线传输中完整可靠，并且确保同时在不同频段传输的数据不会互相干扰。直接序列扩频，就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。 ●跳频扩频跳频技术与直序扩频技术完全不同，是另外一种扩频技术。跳频的载频受一个伪随机码的控制，在其工作带宽范围内，其频率按随机规律不断改变频率。接收端的频率也按随机规律变化，并保持与发射端的变化规律一致。跳频的高低直接反映跳频系统的性能，跳频越高，抗干扰的性能越好，军用的跳频系统可以达到每秒上万跳。实际上移动通信gsm系统也是跳频系统。出于成本的考虑，商用跳频系统跳速都较慢，一般在50跳/秒以下。由于慢跳跳频系统实现简单，因此低速无线局域网常常采用这种技术。无线局域网的应用基于无线局域网具有的诸多优点，它可广泛应用于下列领域： 1.接入网络信息系统。电子邮件、文件传输和终端仿真。 2.难以布线的环境。老建筑、布线困难或昂贵的XX县区域、城市建筑群、校园和工厂。 3.频繁变化的环境。频繁更换工作地点和改变位置的零售商、生产商，以及野外勘测、试验、军事、公安和银行等。 4.使用便携式计算机等可移动设备进行快速网络连接。 5.用于远距离信息的传输。如在林区进行火灾、病虫害等信息的传输；公安交通管理部门进行交通管理等。 6.专门工程或高峰时间所需的暂时局域网。学校、商业展览、建设地点等人员流动较强的地方；利用无线局域网进行信息的交流；零售商、空运和航运公司高峰时间所需的额外工作站等。 7.流动工作者可得到信息的区域。需要在医院、零售商店或办公室区域流动时得到信息的医生、护士、零售商、白领工作者。 8.办公室和家庭办公室（soho）用户，以及需要方便快捷地安装小型网络的用户。无线局域网的结构根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种： 1、网桥连接型。不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。 2、基站接入型。当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作网络。 3、hub接入型。利用无线hub可以组建星型结构的无线局域网，具有与有线hub组网方式相类似的优点。在该结构基础上的wlan，可采用类似于交换型以太网的工作方式，要求hub具有简单的网内交换功能。 4、无中心结构。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，mac层采用csma类型的多址接入协议。无线局域网可以在普通局域网基础上通过无线hub、无线接入站（ap）、无线网桥、无线modem及无线网卡等来实现，其中以无线网卡最为普遍，使用最多。无线局域网的关键技术，除了红外传输技术、扩频技术、网同步技术外还有一些其他技术，如：调制技术、加解扰技术、无线分集接收技术、功率控制技术和节能技术。安全性近年来，无线局域网以它接入速率高，组网灵活，在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是，随着无线局域网应用领域的不断拓展，无线局域网受到越来越多的威胁，无线网络不但因为基于传统有线网络tcp/ip架构而受到攻击，还受到基于ieee802.11标准本身的安全问题而受到威胁，其安全问题也越来越受到重视。一、非法接入无线局域网无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、墙等物体，因此在一个无线局域网接入点（accesspoint，ap）的服务区域中，任何一个无线客户端（包括未授权的客户端）都可以接收到此接入点的电磁波信号。也就是说，由于采用电磁波来传输信号，未授权用户在无线局域网（相对于有线局域网）中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，必须在无线局域网引入全面的安全措施。 1.非法用户的接入（1）基于服务设置标识符（ssid）防止非法用户接入服务设置标识符ssid是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的ssid就可以进入不同网络。无线工作站必须提供正确的ssid，与无线访问点ap的ssid相同，才能访问ap；如果出示的ssid与ap的ssid不同，那么ap将拒绝它通过本服务区上网。因此可以认为ssid是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。ssid通常由ap广播出来，例如通过windowsxp自带的扫描功能可以查看当前区域内的ssid。出于安全考虑，可禁止ap广播其ssid号，这样无线工作站端就必须主动提供正确的ssid号才能与ap进行关联。（2）基于无线网卡物理地址过滤防止非法用户接入由于每个无线工作站的网卡都有惟一的物理地址，利用mac地址阻止未经授权的无限工作站接入。为ap设置基于mac地址的accesscontrol（访问控制表），确保只有经过注册的设备才能进入网络。因此可以在ap中手工维护一组允许访问的mac地址列表，实现物理地址过滤。但是mac地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求ap中的mac地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。如果网络中的ap数量太多，可以使用802.1x端口认证技术配合后台的radius认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。（3）基于802.1x防止非法用户接入 802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点ap关联后，是否可以使用ap的服务要取决于802.1x的认证结果。如果认证通过，则ap为无线工作站打开这个逻辑端口，否则不允许用户上网。 2.非法ap的接入无线局域网易于访问和配置简单的特性，增加了无线局域网管理的难度。因为任何人都可以通过自己购买的ap，不经过授权而连入网络，这就给无线局域网带来很大的安全隐患。（1）基于无线网络的入侵检测系统防止非法ap接入使用入侵检测系统ids防止非法ap的接入主要有两个步骤，即发现非法ap和清除非法ap。发现非法ap是通过分布于网络各处的探测器完成数据包的捕获和解析，它们能迅速地发现所有无线设备的操作，并报告给管理员或ids系统。当然通过网络管理软件，比如snmp，也可以确定ap接入有线网络的具体物理地址。发现ap后，可以根据合法ap认证列表（acl）判断该ap是否合法，如果列表中没有列出该新检测到的ap的相关参数，那么就是rogueap识别每个ap的mac地址、ssid、vendor（提供商）、无线媒介类型以及信道。判断新检测到ap的mac地址、ssid、vendor（提供商）、无线媒介类型或者信道异常，就可以认为是非法ap。当发现非法ap之后，应该立即采取的措施，阻断该ap的连接，有以下三种方式可以阻断ap连接： ①采用dos攻击的办法，迫使其拒绝对所有客户的无线服务; ②网络管理员利用网络管理软件，确定该非法ap的物理连接位置，从物理上断开。（2）检测出非法ap连接在交换机的端口，并禁止该端口基于802.1x双向验证防止非法ap接入。利用对ap的合法性验证以及定期进行站点审查，防止非法ap的接入。在无线ap接入有线交换设备时，可能会遇到非法ap的攻击，非法安装的ap会危害无线网络的宝贵资源，因此必须对ap的合法性进行验证。ap支持的ieee802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但ap需要确认无线用户的合法性，无线终端设备也必须验证ap是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效地防止非法ap的接入。（3）基于检测设备防止非法ap的接入在入侵者使用网络之前，通过接收天线找到未被授权的网络。对物理站点的监测，应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测，清除非法接入的ap。二、数据传输的安全性在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译；使用数据访问控制能够减少数据的泄露。 1.数据加密（1）ieee802.11中的wep 有线对等保密协议（wep）是由ieee802.11标准定义的，用于在无线局域网中保护链路层数据。wep使用40位钥匙，采用rsa开发的rc4对称加密算法，在链路层加密数据。 wep加密是存在固有的缺陷的。由于它的密钥固定，初始向量仅为24位，算法强度并不算高，于是有了安全漏洞。现在，已经出现了专门的破解wep加密的程序，其代表是wepcrack 和airsnort。（2）ieee802.11i中的wpa wi-fi保护接入（wpa）是由ieee802.11i标准定义的，用来改进wep所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。wpa是继承了wep基本原理而又解决了wep缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。wpa还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，wep中的缺点得以解决。 2.数据的访问控制访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问，所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问bssid、mac地址过滤、控制列表acl等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源mac地址、目的mac地址、源ip地址、目的ip地址、源端口、目的端口、协议类型、用户id、用户时长等。 3.其他安全性措施许多安全问题都是由于ap没有处在一个封闭的环境中造成的。所以，首先，应注意合理放置ap的天线。以便能够限制信号在覆盖区以外的传输距离。例如，将天线远离窗户附近，因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心，尽量减少信号泄露到墙外，必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次，由于很多无线设备是放置在室外的，因此需要做好防盗、防风、防雨、防雷等措施，保障这些无线设备的物理安全。综合使用无线和有线策略。无线网络安全不是单独的网络架构，它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略，能够最大限度提高安全水平。为了保障无线局域网的安全，除了通过技术手段进行保障之外，制定完善的管理和使用制度也是很有必要的。第15页共15页

展开阅读全文