校园网的组建毕业论文(精选5篇)
基于ADSL技术的校园网的组建?
杨梭生 李花?
(中国矿业大学)??
摘要 本文详细地介绍了ADSL技术的基本原理和一个基于DSL技术的校园网的设计思想、功能特点、实现方法及应用。它为网络设计人员提供了一种组建校园网的新思路和新方法。关键词 非对称数字用户线路,ADSL调制解调器,数字用户线接入复用设备,校园网
随着近年来电信资费的调整,政府上网工程的启动,企业建网热潮的深化,电子商务走向应用,可以预期新的一轮上网热潮正在到来。再加上网络应用的进一步深化,以视频点播(VOD)、电视会议、网上购物等交互式应用为代表的新的业务类型的出现,用户对数据通信的速率提出了更高的要求。接入网作为网络系统中的“最后一公里”正引起人们越来越多的注意。但是由于种种原因,用户的接入速率尚不能满足多媒体应用的需求,正因如此,ADSL、Cable Modem等新一代的高速接入技术被推向了台前,频频曝光。?
本文主要介绍ADSL技术。一方面,ADSL技术是基于现有的双绞铜线的基础上,在我国目前的实际情况下更经济也更易于实现,有望成为下一代主流的用户接入方式;另一方面,由于我国绝大部分城市的电信部门尚不支持ADSL技术(只是在我国的深圳以及上海、北京的某些小区作为试点,进行了ADSL技术的试验),所以我们只提供了一个基于ADSL技术的校园网解决方案。?
1.ADSL技术的发展背景?
随着网络技术的不断发展,尤其是Internet的迅速发展,使得接入技术日益受到人们的重视。在过去的几年间,基于铜线的接入技术取得了飞速的发展,包括使用V系列调制解调器的接入和xDSL技术。使用调制解调器通过电话线(双绞铜线)来实现网络的接入是最简单、最经济的方法,但是它受到调制解调器速率的限制。虽然经过了人们的努力,调制解调器的速率由最初的2.4kbit/s速率一路攀升,先后经历了9.6kbit/s、14.4kbit/s、28.8kbit/s、33.6kbit/s。但是由于V系列调制解调器所使用频带受到限制(为3400Hz),所以几乎已经无法继续提高速率。那么,在现有的铜线上,如何进一步提高网络的接入速率呢?各种DSL(Digital Subscriber Line 数字用户线)技术就成为最佳的方案。?
在众多的DSL技术中,ADSL
技术是比较有代表性的,它对更新Internet访问的应用范围,如视频点播(Video?on?demand)和电视会议(Teleconferencing)等,具有实际意义。下面,我们就ADSL技术作一简单的介绍。?
2.ADSL的工作原理
ADSL(Asymmetric Digital Subscriber Line),中文名字叫非对称数字用户线路。当在电话线两端分别放置ADSL MODEM时,在这段电话线上便产生了三个信息通道:一个速率为1.5Mbps?9Mbps的高速下行通道,用于用户下载信息;一个速率为16kbps?1Mbps的中速双工通道;一个普通的老式电话服务通道;而且这三个通道可以同时工作。(当然,具体的通信速率还依赖线路的质量和长度而定。一般来说,有效传输距离在3-5公里范围以内。)你可以在下载文件的同时在网上观赏视频节目,并不影响电话的使用。最重要的是这一切都是在一根电话线上同时进行的。?
ADSL靠什么实现这一切呢?说起来,ADSL的内部十分复杂。它采用了高级的数字信号处理技术和新的算法压缩数据,使大量的信息得以在网上高速传输。我们知道,在现有的较长的铜制双绞线(普通电话线)上传送数据,其对信号的衰减是十分严重的,ADSL在如此恶劣的环境下实现了大的动态范围,分离的通道,以及保持低噪声干扰,其难度可想而知,难怪有人说,ADSL是调制解调技术的一个奇迹。?
为了在电话线上分隔有效带宽,产生多路信道,ADSL调制解调器一般采用两种方法实现,频分多路复用(FDM)或回波消除(Echo Cancellation)技术。FDM在现有带宽中分配一段频带作为数据下行通道,同时分配另一段频带作为数据上行通道。下行通道通过时分多路复用(TDM)技术再分为多个高速信道和低速信道。同样,上行通道也由多路低速信道组成。而回波消除技术则使上行频带与下行频带叠加,通过本地回波抵消来区分两频带。此技术来源于V.32和V.34调制解调器中,它非常有效地使用了有限的带宽,但从复杂性和价格来说,其代价较大。当然,无论使用两种技术中的哪一种,ADSL都会分离出4kHz的频带用于老式电话服务(POTS)。?
当前,ADSL调制解调设备多采用3种线路编码技术,分别称为抑制载波幅度和相位(carrier?less amplitude and phase,CAP),离散多音复用(discrete multitone,DMT),以及离散小波多音复用(discrete wavelet multitone,DWMT)。其中CAP的基础是正交幅度调制(QAM),在CAP中,数据被调制到单一载波之上;而在DMT中,数据被调制到多个载波之上,每个载波上的数据使用QAM进行调制。DMT中使用为大家熟知的快速傅里叶变换算法做数字信号处理,而在DWMT中,则用近年来新兴的小波变换算法代替快速傅里叶变换。一个ADSL调制解调器将多路下行通道中,双工通道中以及维护信道中的数据流组合成数据块(block),并在每一数据块中附加纠错代码,接收端则通过此纠错代码对在传输过程中产生的误码进行纠错。实验表明,此纠错编码技术完全可以达到MPEG?2和其他数字图像压缩方法的要求。?
非对称数字用户线路(ADSL)与以往调制解调技术的主要区别在于其上下行速率是非对称的,即上下行速率不相等,ADSL技术的高下行速率和相对而言较慢的上行速率非常适于做Internet/Intranet浏览使用。?
3. ADSL的特点?
1)ADSL具有V系列调制解调器无法比拟的数据速率。?
2)ADSL技术是基于双绞铜线的,因此ADSL有着广阔的应用基础。在全球范围内,有7亿门电话铜线。在我国,电话网的规模已经跃居到全球第二位,其中,程控化的比重高达99.7%,这为ADSL技术在我国的应用提供了良好的基础。?
3)ADSL技术具有高性能价格比。ADSL技术利用传统电话网的双绞铜线,并且在同一条双绞铜线上可以实现语音传输和数据传输的共存,因此不需要另外铺设传输线,从而大大节约了成本。?
4)ADSL与Cable Modem相比,具有独占带宽的特点。利用有线电视网进行多媒体的传输,虽然可以取得较高的带宽,但当上网用户的数目增加时,因其是共享带宽,所以每个用户拥有的带宽将急剧下降;而ADSL是基于电话铜线的,每个用户独占带宽,不会因上网的用户数目的增加而影响带宽。?
5)ADSL的上下行速率是非对称的。ADSL技术的高下行速率和相对而言较慢的上行速率非常适于做Internet/Intranet浏览使用。?
4. ADSL所需设备?
在用户端,需要安装ADSL调制解调器。用户的计算机通过调制解调器连接到普通的电话线上。在ADSL调制解调器中有一个用于信号分离的芯片,叫做POTS Filter。从电话线传来的信号通过它被分成两路,一路用于传送语音,另一路用于传送数据。传送数据的信号会在经过一个信道分离器(Channel Separator),分成上行和下行两个信道。?
在交换局端的设备是DSLAM(Digital Subscriber Line Access Multiplexer:数字用户线接入复用设备),它的作用是将ADSL用户连接到高速骨干网上。在交换局的DSLAM设备之前也有一个ADSL调制解调器,其中也有POTS Filter,所以从用户端传来的信号通过ADSL调制解调器后被分成两路,一路是语音信号,它被送往交换局的PSTN(Public Switched Telephone Network:公用电话网)设备,另一路用来传送数据,则送往DSLAM设备,通过DSLAM设备传送到骨干网上。一般情况下,DSLAM设备都与ATM网络相连。
5. ADSL应用范围
ADSL的应用范围很广,主要包括以下几个方面:?
1)远程教学?
通过ADSL宽带网络,可以使地处不同地域的校园组成一个网上的虚拟校园,方便地实现远程教学。?
?电视转播?
通过ADSL宽带网络,可以高速地实现视频与音频信号的传输,方便地进行电视转播。?
?网上购物?
通过ADSL宽带网络,可实现快速的商品浏览,可以观看到商品的清晰图片,视频介绍,音频
解说。在银行,信用卡机构的帮助下,可以在网上选购所需的商品及服务。?
?小区信息发布?
>
小区物业可以通过ADSL宽带网将各种信息放在网络上,不需要再另行发放各种通知。例如:
购物指南,房地产报价,参考资料,旅游服务,影视信息,物业收费通知,证券信息等。?
?视频点播?
VOD即视频点播,是一种交互式操作,可以根据用户自己的.喜好与需要通过网络点播不同类
型的视频节目,在计算机上观看。也可以利用计算机上的视频卡的视频输出功能通过S?端
子在大屏幕电视,家庭影院上观看。?
?视频会议?
通过ADSL宽带的网络连接,使得进行高画质,高音质的实时视频会议成为一件非常轻松的事
情。?
〖HS2〗〖HT5”H〗6〓ADSL技术应用解决方案?〖HT5”SS〗
下面我们就以某大学为例,来说明如何利用ADSL技术实现多媒体局域网的组建工作。?
1)系统现状?
某大学由三个校园组成?
A.外地校园,已建有校园网?
B.西校园,已建有校园网?
C.东校园,无校园网?
三校园之间,通过DDN接口组成远程教学与会议网络。?
现在要解决的问题是东校园的校园网的组建问题。组建校园网的方案很多,在这里让我们看
一看如何利用ADSL技术来解决这一问题。?
2)系统目标及功能?
首先,我们分析一下东校园的现有设备情况:?
*+通信线路?
学校建有一个内部电话网络,几乎所有科室,以及处级以上干部家都配有分机。利用现有的
线路组路组建校园可节省费用和人力,如将来要扩建,利用自己的技术力量就可完成。?
*+计算机及硬件资源?
学校拥有一个计算机中心、多个语音教室和多媒体教室,所有科室均配有计算机、打印机、
扫描仪等硬件设备,多媒体教室还配有投影仪、实物展台等。?
*+视听器材?
学校拥有一个电教中心,配有摄像机、录像机、录音机以及视听编辑设备。根据学校的具体
〖FL)〗〖LM〗〖PSS2,+58mm。123mm,BP〗?〖FL(K2〗
情况,将系统目标定为近期目标和远期目标。?
近期目标?
利用东校园现有的设备(主要是校内内部电话网络),组建基于ADSL技术的校园网,主要实现
:?
?视频会议?
实现在校园网上召开视频会议。教职工可在自己的办公室,甚至在家里(学校北院家属宿舍)
就可参加会议。?
?多媒体教学?
实现在校园网上的多媒体教学,学生可在教室或集体宿舍上课,可节省各种教学资源(如教
室、设备、教师等)。?
?办公自动化?
实现在校园网上的办公自动化,从而进一步实现“无纸”办公。?
?视频点播?
?计算机协同工作?
实现在校园网上的协同设计、协同写作等。?
?其它?
实现在多媒体局域网上收发电子邮件、BBS等功能。?
如能实现以上的功能,可以实现以下目标:?
*4资源共享?
实现场地、设备等的共享,大大提高办学资源的利用率。?
*4缓解师资不足的矛盾?
*4提高办公效率?
*4使东校园及其学生宿舍、家属宿舍组成一个数字化小区。?
远期目标?
第一步〓利用DDN实现三个校园网的网络互联。?
第二步〓利用ADSL实现三个校园网的网络互联(将来电信普遍支持ADSL后)。?
3)系统设计及网络结构?
初步决定利用ADSL技术来组建东校园的校园网,理由如下:?
可利用学校现有的内部电话线路和设备。这样做的好处是可以做到在不影响原有电话使用
的条件下提供相互连接和上网的功能;?
每个用户独占带宽,且下载速率比较高,比较适合如局部视频会议,视频点播,计算机教
学,数字化小区等的需要;?
由于ADSL的前景看好,如果我国电信支持ADSL技术后,现有基于ADSL技术的网络可比较容
易地支持宽带远程服务。?
当然,利用现有的电话系统组建基于ADSL技术的校园网,要对原有的电话系统做一些改造。
这种改造分为用户端和总机端。?
用户端电话系统的变化只是加入了一个滤波器和一个ADSL的调制解调器。对原有的电话线路
不需要作改动。ADSL的调制解调器一头连接着滤波器过来的DSL信号,一头连接HUB(集线器)
或SWITCH(网络交换机)。如果计算机访问内部的计算机,则通过HUB即可;如果访问外部的
则先通过HUB再通过ADSL Modem。?
增加运行代理服务器软件的代理服务器,则本网计算机即可访问Internet。?
学校总机房的交换机作如下的处理:?
在交换机房的改动是加入了一个滤波器,将ADSL的高频信号在进入电话交换机前分离开来。
高频ADSL信号送到ADSL的Modem中,电话信号送入交换机。接入的模型图如图1。〖FL)〗
?
〖CRS3,BP〗?
〖HT5”H〗〖JZ〗图〓1〖HT5”SS〗
〖FL(K2〗〓〓
整个网络被划分成以下几个部分:?
?教务LAN?
主要用于学生、师资和教材等的管理。?
?财务LAN?
?图书馆LAN?
主要用于图书与期刊的采购、编目、检索、借阅等管理。?
?中心LAN?
主要用于提供和管理各种资源,并向用户提供各类服务。?
整个网络的结构如图2。〖FL)〗
?
〖CRS4,BP〗?
〖HT5”H〗〖JZ(〗图〓2〖JZ)〗
〖HT5”SS〗
〖FL(K2〗〖HT5”H〗7〓结束语?〖KH-*2〗?〖HT5”SS〗
由于ADSL技术还不是很成熟,没有一个统一的标准,我国电信也不支持它,所以我们只就基
于ADSL技术的校园网的建设作了一下简单的讨论。其中肯定存在不妥,甚至是错误之处,望
读者给予批评指正。〖
FL)〗
〖HT〗〖HS(7〗〖HT2BS〗〖JZ(〗Internet/Intranet技术在办公?自动化中的应用〖JZ)〗
〖HS)〗
〖HT4”K〗〖JZ〗王惠森〓〓〓〓〓魏〓智〓?
〖HT5”F〗〖JZ〗(天津航海仪器研究所)〓(河北工业大学机械学院)??
〖HK40〗〖HT5Y3〗摘〓要〓〖HT5”K〗基于几个工程系统的开发实践,结合办公自动化的
特点,阐述了应用现代Internet/Intranet技术开发自动化办公系统的主要特征、技术关键
和构造过程。?
〖HT5Y3〗关键词〓〖HT5”K〗办公自动化〓 INTERNET网〓 INTRANET网〓 应用系统
?〖HK〗〖HT〗?〖HT5”SS〗〖FL(K2〗
〖HS2〗〖HT5”H〗1〓前言〖HT5”SS〗?
基于局域网的办公自动化系统,利用计算机网
络环境建立的办公自动化系统可有多种,比如,可以用各种关系型数据库工具开发采用Clie
nt/Server结构的软件系统实现办公自动化,也可以基于文档型数据库工具(如Lotus Notes
)来开发事务流型办公系统。这些系统虽然各有优点(技术成熟、性能稳定等),但如果希
望既能满足单位内部(局域网)办公又能满足集团(广域网)办公的双重需要时,以上两种
办公系统便暴露出不可克服的弱点,要么投资太大(比如需申请专线),要么由于应用站点
分散,客户端程序不便维护。鉴于此,如何抓住Internet/Intranet技术大发展的机遇,利
用Internet/Intranet技术来开发新一代办公自动化系统,已成为各相关部门所关注的重要
课题。?
〖HS2〗〖HT5”H〗2〓办公自动化的主要特点〖HT5”SS〗?
无论开发何种办公自动化软件系统,我们都需要清楚办公自动化究竟
包含那些方面和内容。通常认为将办公室日常处理各种事务和信息的过程,在办公主体――
人的控制下,利用现代工具和手段自动完成,这就是办公自动化。从信息处理的多层面和复
1 高职院校校园网的组建
校园网已成为现代高等院校不可或缺的重要基础设施,是学院教育资源的重要组成部分。校园网组建为高校的网络化、信息化提高教学质量,为研究型自主学习提供了更为自由和广阔的科研与教学空间,从而促进了教育教学的整体改革。
为了适应现代信息时代的飞速发展,加快信息化的组建,只有把网络资源应用到教学中才能提高学校整体教学质量,组建一个先进接近现实的校园网,必须对校园网进行了深入的研究。通过这些研究,明确正确的组网思想,考虑到网内的设备的兼容性和互通性等特点,统一考虑硬件设备选型和软件系统的选择。在这样的基础之上,结合联系实际、讲求网络的实用性、安全性强、高标准、易管理等原则组建了一套软硬件环境。
在校园网络组建的初期,考虑到投入的资金有限,缺乏技术力量,很多学院整体的计算机管理和应用水平相当薄弱,只有从局部做起,筹建综合楼的局域网络,以教学管理单项应用开发为试验点,多数校园网络一期建设以信息中心为主,大体上采用以太网星型拓扑结构,存在两校区的采用单模光纤连接,各楼之间的传输媒体采用为单模光纤,网络主干采用百兆交换以太网技术,工作组采用10/100M独享式交换以太网技术,使用D-LINK二级交换机与500余台终端用超五类双绞线连接。
随着网络的组建要对校园网络进行全面升级,逐渐的建设覆盖整个校园的以千兆以太网为核心、百兆到桌面的高效网络系统,连接了综合楼、图书馆、教学楼、实训中心等,在校园内大部分办公室和教室铺设了信息点。在这个工程中,建立信息点约2000个,室外光缆约6000米,室内光缆约400米,楼内网络布线约45000米。校园网络的出口增加为1OOOM连接Internet,l00M接人科研计算机网络和中国教育系统。随着校园网的组建,已形成了具有一定规模的、覆盖整个校园的大型园区TCP/IP网络,并通过宽带城域以太网与中国教育系统和科研计算机网、中国公众信息网互相连接。
2 高职院校网络资源的组建
教育信息化的组建不仅仅是现代化的硬件基础设施的建设,要真正的发挥校园网络的优势,必须有丰富实用的教学信息资源,从根本上来说,校园网的应用给教学、科研、管理和效率带来了一定的提高,可是现在教育信息化资源的严重缺乏直接影响了校园网络的应用,最近很多高职院校信息化建设的重点逐步从以硬件基础设施为主向软件和资源发展。学院网络的组建作为学校与外界沟通的桥梁,代表着学校在虚拟网络世界的地位和形象,校园网络已成为衡量一个学校校园信息化程度和社会声誉的一个重要标志。目前很多院校的主页已形成拥有学院概况、校园新闻、院系设置、教务教学、学生管理、师资队伍、人才培养、招生就业、校园文化等多个栏目的综合性宜传教育网站。通过校园网站不仅有利于外界深入了解学校,提高社会知名度和影响力,而且能够及时地向社会展示学校在教学、科研和社会服务方面的最新成果。
3 高职院校系统软件的组建
现在的很多高职院校为充分挖掘现有精品课程资源的作用,也同时加强网络辅助教学力度与高等教育整体发展趋势相吻合,经过有关人员的考察和调研,大家一致认为网络辅助教学软件十分符合大家各项需求。很多高职院校都购买了类似于“Blackboard”的教学系统,该系统的购买为今后网络辅助教学的广泛应用创造了更好的条件。
很多高职院校基本实现了教务管理系统的网络化和无纸化。学生的成绩录入、学生的成绩统计、学期的课表发布、教务处的通知公告、学生成绩查询、学院选修课与“大课”(形势与政策)的选课、排课大部分在网上进行,这样大大减轻了各系级、学院和教务处的工作,同样也方便了老师和学生。教务管理系统的使用从根本上改善了学院信息交流资源共享的条件,形成了校园内部、校园与外部进行信息沟通的体系,同时也提高了教务管理的效率和水平。
4 无线网络
无线网络工程的组建是在有线网络基础上提供无缝、安全覆盖学院校园的互联网和校园网的宽带无线接入。包含教学楼在内的所有教学楼阶梯教室、会议厅、办公室、图书馆、会议中心等,进行全方位的无线覆盖,让老师和同学们可以随时随的连接到网络。合理利用原有完善的有线网络系统,新的无线网络组建在网络互联、安全防御等方面与有线网络进行良好的互补,实现无线网络认证计费无缝融合。校园无线局域网的建立,对有线网络具有补充作用,在无线网络覆盖的区域,老师和同学们可随时随地连接校园网,这样既提高了学生学习的主动性与灵活性,同时又推进了学校多媒体教学的广泛应用。使用无线连接解决方案,节省了大量的布线成本,仅需要在每个教室或宿舍的每个楼层预留一至两个以太局域接口,便可轻松实现无缝连接校园网。启用无线连接解决方案后,如果教师、学生配备了笔记本电脑,再也不必为座位紧张的电子阅览室上机发愁,学校在建设公共机房方面可以减少大量的资金。
5 加强对校园网络的应用
5.1 对教职员工进行网路技术的培训
根据学校的实际情况,我们先对学校领导和中层干部进行管理技能的培训;对各科室管理人员进行其熟练操作程度的培训;对教师进行分层次、分阶段的培训业务。
网络技术培训是对网络应用人员和网络管理人员的培训。只有加强对网络管理人员的培训,网络才能保证正常进行,才有条件开发适合于本校的应用软件,校园网建设才能充分的被合理运用。加强对应用人员的培训,校园网络就会有人使用,网络建设就会有它的实际意义。其中,我认为校园网络建设的重点应当加强对网络应用人员的培训,引导他们不但从网络中获取知识,而且还应该将网络应用于教学、科研和工作实践;引导他们在网络中丰富自己的业余生活,提高文化和道德素养。
5.2 把校园网络的应用真正落到实处,加强技术的培训,更新观念
随时更新教师传统的教学和生活观念,充分展现出网络的特点和优越性,强调网络化办公和网络化在实际应用中的作用。教师的观念更新后,学习网络知识和应用网络技术才能成为其自身发展的一种迫切需要,从而激发他们学习网络和实用网络的积极性和主动性。
5.3 加强校园网络的建设完善性
校园网络所必不可少的是具有一套功能完善、信息强大的校园网信息管理平台,这样所有的使用人员会有很大的方便。让学院网络中心人员和专业网站建设公司共同建设学院网站,让各个部门、系科能及时发布信息,让外界想了解学院的通过校园网站能充分了解。
以网络应用促进学校教学、科研和办公自动化的发展,反过来,再以教学、科研和办公自动化的发展,促进网络在更多领域、更大规模中的应用,从而实现网络应用和网络发展的良性循环。
网络是现在新发展起来的新生物,校园网络的发展任务更是繁重。校园网解决了传统的教学所不能处理的问题,也给老师和同学带来的很多方便。对于高职院校来说,校园网络的组建应该说刚刚起步,从硬件建设和应用上,都需要我们积累经验,认真探索,只有不断的变革才有发展。因此,我们在目前首先要思考的问题是校园网怎么样建设、校园网在教学和行政系统管理中怎么样发挥有利的作用。
摘要:高职院校校园网络的组建有利于实现计算机辅助管理,组建网应做到减少资金的浪费、安全可靠性、在现实学院中实际应用等原则。如何促进高职院校网络的应用,促进教育信息化的迅速发展,院校的各部门实现计算机辅助管理,组建校园网站对师生进行信息技术培训,对资源网络系统的及时更新,借助国际互联网,充分利用校园网络多方位地进行计算机辅助教学和管理。
关键词:校园网,无限网络,网络的应用
参考文献
[1]杜方冬.局域网组建与应用实例[M].北京:中国铁道出版社,2003.
[2]罗伟其,姚国祥.校园网集成化信息系统的总体设计与实现[J].计算机工程,2001(10).
无线局域网的组建与安全设计 无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency; RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身化、便利走天下」的理想境界。因其具有灵活性、可移动性及较低的投资成本等优势,无线局域网解决方案作为传统有线局域网络的补充和扩展,获得了中小型办公室用户、广大企业用户及家庭网络用户的青睐,得到了快速的应用。无线局域网可以提供传统LAN 技术(如以太网和令牌网)所有功能和好处。并且极大地提高经济效益,提高生产率48%,提高企业效率6%,改善收益与利润6%,降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支,还可以为用户提供灵活性更高、移动性更强的信息获取方法。近年来,无线局域网产品逐渐走向成熟,无线局域网带宽很宽,适合企业部门进行大量双向和多向的多媒体信息传输,正在以它的高速传输能力和灵活性发挥日益重要的作用。本文对部门办公无线局域网的基本结构做了介绍,并对该网络的组建及安全维护做了阐述,因为无线网络比有线网络更容易受到入侵。
前言 无线局域网是20世纪90年代计算机网络与无线通信技术相结合的产物,它使用无线电波代替双绞线、同轴电缆等设备,提供了使用无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个人化和多媒体应用提供了潜在的手段[1]。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地方和远冲离的数据处理节点提供强大的网络支持。同时无线局域网的载频为公用频段,无需另外付费,因而使用无线局域网的成本较低。无线局域网带宽更会发展到上百兆的带宽,能够满足绝大多数企业的带宽要求。因此,WLAN已在许多行业中得到了应用。人们生活在“移动”的世界中,越来越多的移动产品的出现,标志着人们对快捷数据访问的需求在不断增加。近年来计算机局域网得到了很大的发展与普及,局域网已成为提高工作效率及生产率不可缺少的工具。通过无线局域网可以实现许多新的应用,这表明无线局域网的时代已经来临。无线局域网在人们的印象中是价格昂贵的,但实际上,在购买时不能只考虑设备的价格,因为无线局域网可以在其它方面降低成本。根据无线局域网协会的调查表明,无线局域网可极大地提高经济效益,提高生产率48%,提高企业效率6%,改善收益与利润6%,降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支,还可以为用户提供灵活性更高、移动性更强的信息获取方法。目录 摘 要.............................................................................................................2.............................................................................................................3
一、组建无线局
域网的准备工作................................................................................5
(一)现有设备统计..........................................................................................5
(二)网络接入方式..........................................................................................5
(三)无线路由的安放位置................................................................................6
(四)组建设备.................................................................................................7 1.无线网卡................................................................................................7 2.无线路由器............................................................................................7 3.无线访问节点.........................................................................................7
二、如何组建无线局域网..........................................................................................8
(一)设备的连接..............................................................................................8
(二)无线局域网的配置...................................................................................8 1.使用何种无线标准..................................................................................8 2.选择加密方式.........................................................................................9
(三)测试无线网络..........................................................................................9 1.无线局域网安全测试方案设计思路.........................................................9 2.无线局域网加密状况测试方案..............................................................10 3.恶意攻击测试方案
三、无线局域网的安全配置.(一)设置网
络环境............................................................................................11
(二)IP与MAC的相互绑定.............................................................................13
(三)防火墙...................................................................................................13
四、日常维护.(一)备份......................................................................................................14
(二)密码变更...............................................................................................14
(三)设备维护...............................................................................................15
五、无线局域网故障排除
(一)检查AP的可连接性................................................................................15
(二)WLAN网络配置问题................................................................................15
(三)AP无线信号强度....................................................................................16
(四)改变无线信号频道.................................................................................16 结
论...........................................................................................................18
一、组建无线局域网的准备工作
(一)现有设备统计 为充分满足部门现有设备联网办公需要,建立无线局域网之前要对现有设备进行调查统计,然后再确定无线组网方案。现有一公司位于新办公楼内,办公区域较分散,某些区域不能实施布线。其中一个部门共占2层,每层200平方,主要办公区域在2楼。网络内有20台台式计算机、5台笔记本(全部配有内置无线网卡),全部安装了Windows XP操作系统,Internet接入采用以太网接入(10M)。但是工作要求在所有区域都能上网,同时,在办公楼的公共区域也要求能够提供无线接入。由于对网络灵活性的需求,使得无线网络成为构建网络的首选。
(二)网络接入方式
图1-1 Infrastructure模式结构示意图 无线局域网的组成包括无线网卡和无线接入点(Access Point,简称AP),无线接入点的作用是完成WLAN 和LAN 之间的桥接。无线局域网利用常规的局域网(如10/100/1000M以太网)及其互联设备(路由器、交换机)构成骨干支撑网。利用无线接入点(AP)来支持移动终端(MT)的移动和漫游。配有无线网卡的台式PC机、笔记本电脑或其他设备就可以与无线网络连接起来。对于客户端,无线网卡作为无线网络的接口实现与无线网络的连接。因此根据部门多台计算机的无线组网的实际情况选用Infrastructure模式,计算机通过无线网卡与AP进行通讯,AP起到了有线网络中的作用。可以组建星型结构的无线局域网,所有传输的数据均需通过AP,由AP或路由器进行网络的控制管理。多个AP可以相互串联以形成更大规模的网络。
(三)无线路由的安放位置 由于主要办公区域在二层,因而将ADSL Modem与无线宽带路由器(无线HUB)放置于二层,并通过有线方式连接。如图2是该部门房间布置结构图,无线宽带HUB高达18dBm的输出功率可有效覆盖二层的全部无线网络环境。通过路由自动分配IP使得区域内的电脑即可实现随时随地互联、接入网络,可以不受场所或房间的限制进行连接以及共享文件、共享打印等。一楼办公区域由于电脑位置分散,可通过补充一台商用型大功率蜂鸟系列无线网络接入点(无线AP)以达到更大的覆盖面积和更高的连接速率。无线AP拥有美观的外形、小巧的体积,决不占用过多空间,并可通过放置在天花板内减低对于环境美观造成的影响。图1-2 房间布置结构图
(四)组建设备 除了配备无线路由器和AP外,还需要准备网线,用于连接无线路由器和AP,还需要为工作室的每台台式电脑配备一块无线网卡。1.无线网卡 无线网卡(Wireless LAN Card)的作用类型类似于以太网中的网卡,作为无线局域网的接口,实现与无限局域网的连接。无线网卡是终端无线网络的设备,是在无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。无线网卡根据接口类型的不同,主要有三种类型:PCMCIA无线网卡(适用于笔记本电脑,支持热插拔)、PCI无线网卡(适用于台式机)和USB无线网卡(适用于笔记本电脑和台式机,支持热插拔)。2.无线路由器 无线宽带路由器是为家庭和小型办公室用户设计的一类无线产品,通常集成了无线AP、以太网交换机和IP路由器的功能,就是带有无线覆盖功能的路由器,它主要应用于用户上网和无线覆盖。无线路由器还具有其它一些网络管理的功能,如DHCP服务、NAT防火墙、MAC地址过滤等功能。3.无线访问节点 即“Access Point”,简称AP。它主要在媒体存取控制层MAC中扮演无线工作站与有线局域网络的桥梁。就像一般有线网络的HUB一般,无线工作站可以快速且轻易地与网络相连。有了无线网卡及AP,如此便能以无线的模式,配合既有的有线架构来分享网络资源。在无线网的方案中全部选用高锐CELL系列无线网络产品:增强型802.11G/B 无线网络宽带路由器(无线宽带HUB)、802.11B/B+/G三模PCI接口无线网卡、802.11B商用型大功率蜂鸟系列无线网络接入点(无线AP)。其中增强型802.11G/B 无线网络宽带路由器可提供高达108Mbps的传输速率,完全可满足笔记本计算机在区域内移动无线高速上网的需求。台式机全部安装802.11B/B+/G三模PCI接口无线网卡,速率最高可达54Mbps,灵敏度高,输出功率17dBm,支持高达256-Bit的 WEP通讯加密。而且这款设备可与一切 802.11g、802.11b 及 802.11b+无线设备兼容,为最佳无线网络配置提供完美无隙的接合。无线访问点使用户能够自由调整网络结构和随意增加减少工位,提供随时随地的企业网络资源访问。增强型802.11g/b 无线网络宽带路由器为办公区域部署了增强型的无线安全网络,内建防火墙及NAT,能有效的阻挡来自Internet的安全性风险。基于硬件的128/254-Bit WEP传输加密,提供安全的数据通信能力。支持高度安全的802.1x 认证与Wi-Fi Protected Access(WPA and WPA-SDK)加密系统,能使网络免遭无线窃听者的攻击。MAC地址授权访问功能确保只有合法认证后的用户才能访问有效的网络资源,可以通过WEB进行配置管理。
二、如何组建无线局域网
(一)设备的连接 在工作室中,首先需要给每台台式安装PCI无线网卡,将PCI无线网卡和计算机的USB接口连接,Windows XP会自动提示发现新硬件,并打开“找到新的硬件向导”对话框。将随网卡附带的驱动程序盘插入光驱,选择“自动安装软件”选项,然后点击“下一步”按钮即开始驱动程序的安装。这样,打开“网络连接”对话框就可以看到自动创建的“自动无线网络连接”。而且在系统“设备管理器”对话框中的“网络适配器”项中可以看到已经安装的 PCI无线网卡。然后将无线路由器的端口和进入办公网络的Internet接口用网线连接,另外选择一个端口与无线接入点的端口连接。最后,分别接通无线路由器、AP电源就可以了。
(二)无线局域网的配置 1.使用何种无线标准 根据各部门对网络的不同需求,要求无线网络能提供以下的应用:共享上网、从简单的文件共享与打印共享、办公自动化,到复杂的电子商务等。由于网络内有大量Photoshop文档列印需求,有时还有网络视频应用,因而对网络质量和速率要求非常高,普通的802.11b网络的11Mbps传输速率无法满足实际需求。而802.11n是最新的无线局域网标准。其独特的双频带工作模式(包含2.4GHz和5GHz 两个工作频段),保障了与以往802.11a/b/g等标准的兼容,与以前的802.11协议相比,IEEE 802.11n无线局域网有两方面的优势。一是短期的优势,有较高的传输速率,数据传输速率达100Mbit/s以上,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量;二是长期的优势,今后无线局域网的产品可以使用双频方式,基于MIMO技术(利用多天线来抑制信道衰落)和OFDM调制(正交频分复用技术)提高数据传输速率。同时,802.11n的传输距离更远,容易与无线广域网融合。在传输速率方面,802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbit/s、108Mbit/s,提高到300Mbit/s甚至高达600Mbit/s,传输速率提升了10倍。在覆盖范围方面,802.11n采用智能天线技术,通过多组独立天线组成的天线阵列,可以动态调整波束,保证让WLAN 用户接收到稳定的信号,并可以减少其他信号的干扰。因此其覆盖范围可以扩大到好几平方公里,使WLAN 移动性极大提高。在兼容性方面,802.11n 它是一个完全可编程的硬件平台,使得不同系统的基站和终端都可以通过这一平台的不同软件实现互通和兼容,这使得WLAN 的兼容性得到极大改善[2]。2.选择加密方式 现在组建的无线局域网虽然实现了宽带共享功能,但是却非常不安全。附近任何的电脑只要安装了无线网卡,就可以不知不觉地入侵建立的无线局域网,甚至利用宽带接入上网。为了保证无线网络的安全,还有必要对网络进行加密。Wi-Fi组织联合IEEE802.11i任务组另外提出了WPA标准,代替在设计上有缺陷的WEP协议,来缓解WLAN安全性的燃眉之急。该标准允许用户通过软件升级的方式,使早期的Wi-Fi产品兼容支持WEP,保障用户的前期投资,持高度安全的802.1x身份认证与Wi-Fi Protected Access(WPA and WPA-SDK)加密系统在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术将成为代替WEP的无线安全标准协议,为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11的一个子集,其核心就是IEEE 802.1x和TKIP。新一代的加密技术采用的TKIP(Temporary Key Integrity Protocol)协议与WEP一样基于RC4加密算法,且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。WPA之所以比WEP更可靠,就是因为它改进了加密算法。WEP加密采用RSA开发的RC4对称加密算法,在链路层加密数据,采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。由于WEP密钥分配是静态的,黑客可以通过拦截和分析加密的数据,在很短的时间内就能破解密钥。而在使用WPA时,系统频繁地更新主密钥,确保每一个用户的数据分组使用不同的密钥加密,即使截获很多的数据,破解起来也非常地困难[3]。
(三)测试无线网络 1.无线局域网安全测试方案设计思路 无线网的安全问题始终是影响无线网络广泛应用的最大障碍。无线网的安全问题主要分为非法入侵和恶意攻击两大类。由于微波技术传输的特性,在某一空间内,微波信号能够被整个空间内所有的接收设备接受,信号干扰、非法入侵等与有线网络中完全不同的问题严重影响了网络性能,因此针对无线局域网的安全测试方案就是要在可能的情况下,发现并定位对网络实施攻击的可行性方案,该方案主要从以下两个方面进行:(1)物理隔离测试:物理隔离测试包括AP隔离测试,MAC(Medium Access Control)地址过滤测试。AP与用户两层隔离测试主要是为了对于不同的用户进行隔离,以保证只有经过授权的用户才能与特定的AP进行连接。MAC地址过滤测试主要是通过MAC 址进行合法用户的筛选。(2)加密与认证状况的测试:该测试主要是针对无线网络产品所采用的加密模式进行测试,认证测试是指对认证过程进行测试,主要是对802.1x认证过程进行测试。随着安全技术的逐步成熟,困扰无线网络的安全问题从技术层面目前己经得到了一定程度的解决,现在主要安全问题来源于使用过程中人为的疏忽,因此必须建立行之有效的安全测试方案,降低由于人为疏忽的安全问题而引起网络性能下降的程度,本文在大量现场测试的基础之上,提出了一套以加密状况和恶意攻击测试为主的安全测试方案。2.无线局域网加密状况测试方案 测试背景:在搭设无线网络之初,工程人员必须使用测试仪对周边环境进行信号测试,以确保环境内没有长期的射频干扰源,可以搭建无线网络。在WLAN建成之后,由于无线局域网的弱授权性,弱安全性,管理员必须时时对网络内的设备的加密情况进行测试,一方面监测长期使用本网的用户的加密状况,一方面还需要检测临时加入该网的用户的加密状况,从而能提醒网络管理员及时对未采取加密措施的设备进行加密处理,以避免给网络造成危险。因此,为了保证无线环境的相对安全性,应使用专业的无线网络测试仪对无线网络环境进行基本的安全测试,从而帮助网络管理员了解目前所处环境的基本无线网络安全状况,以便于管理员的管理和逐一对进行安全配置。测试方案:(1)测试人员搜集所测试网络的基本拓扑结构。由于无线局域网的移动性,网络拓扑会由于设备的移动而发生改变,因此在网络投入使用之前,需要了解相对固定的网络结构,如AP的部署情况,信道的分布情况,在此阶段测试人员需要先期对网络进行基本的安全测试,以保证AP、重要的站点、长期利用网络工作的站点均使用了健全的安全机制。并设置管理权限以避免人为对设备进行重新配置。当网络投入使用之后,需要网管人员时时测试并监控网络,以保证流动性的站点在加入网络时也设置了相应的安全机制。网管人员需要利用软件被动监听整个无线网络的数据包,搜集所有的信标帧,过滤基于SSID、AP、信道和站点的安全漏洞。(2)测试网络中AP的加密状况,根据拓扑图测试人员了解AP的部署情况,由于允许通过WEP页面对AP进行配置,因此测试人员可以参照网络拓扑,对AP进行察看,需要的信息包括AP的IP地址,管理员用户名及密码。(3)测试网络中流动站点的加密状况,由于站点具有流动性,每当有新的站点加入网络时,测试人员都需要对该站点的加密状况进行测试,测试方法可以对该站点返回的数据进行补包解码操作,分析该站点的加密状况。3.恶意攻击测试方案 测试背景:恶意攻击在无线网络中主要是非法设备的入侵和无线干扰攻击。由于MAC地址在网络中以明文的形式传输,所以黑客可以轻易的窃听用户的MAC地址,装该地址进行攻击行为,另一方面攻击者还可以在网络中偷偷放置一个AP,展开攻击。由于无线传输的特殊性,无线讯号的干扰不仅影响了无线系统的覆盖范围和容量,而且还限制了现有系统和新兴系统的效能。甚至能导致无线网络的彻底瘫痪。在无线局域网测试中必须采用无线勘测技术测试周围环境来发现无线干扰设备。测试方案:通过下述四个参数确定探测到的设备为非法入侵者。(l)测试人员以MAC地址为依据创建ACL表,用来过滤非法MAC地址,持续监测ACL表防止未经授权的AP入侵网络。测试首先会探测整个无线网络中的设备结构,在网络建成初期,由于没有设备加入ACL表,因此默认情形下所有的设备均被认为是非法设备,需要网络管理员人工将合法的站点或AP选入ACL。在ACL表初始化后,需要测试人员根据网络拓扑将允许的设备添加到ACL表,如果出现新的设备,测试人员根据ACL表和该设备在无线网中的活动情况考核该设备的安全性,从而决定是否将设备纳入ACL表中。(2)测试人员通过OUI(设备原厂ID)进行非法设备的测试。(3)测试人员通过频谱分析进行无线干扰源分析从而发现干扰信号,测试采用先进的频谱分析芯片,可以采集无线网卡无法识别的RF信号,探测被测环境中是否存在蓝牙设备,微波炉等会对无线信号产生干扰的设备,并发出报警;合法的站点每30秒钟发送一次广播,每次探测两个信道,探测时间大约为一秒钟左右,测试设备探测连续的RF信号噪声以防止潜在的RF干扰攻击,若发现非法设备持续跟AP进行连接,将发生报警。一旦发现非法的未经审核的AP/客户端,测试产生自动报警,报警的严重程度可以通过颜色加以区分,之后测试人员通过查看安全警报日志获得详细信息,并根据经验及软件提供的解决方案,如可采用定向天线、频谱分析仪、功率强大的感应器等定位干扰源或非法设备。一旦有未经授权的AP/客户端侵入有线网络,需要使用定向天线及测试设备来发现非法设备,测试时,测试人员需要掌握被测试环境的建筑图和无线网络的拓扑图,测试行走的路线通常采用以AP为圆心的圆形路线,测试信号指针越高,说明离非法设备越近。找到非法设备后。,测试人员可将非人为的干扰设备部署在无线网覆盖区域之外。若非法设备为人为原因造成,测试人员可通过专业工具发出阻断包来阻断非法设备的入侵,或直接对攻击者的行为采取必要的法律措施[4]。
三、无线局域网的安全配置(一)设置网络环境 在安装完网络设备后,还需要对无线AP 算机进行相应网络设置。1.无线路由器设置 通过无线路由器组建的局域网中,除了进行常见的基本设置、DHCP设置,还需要进行WAN连接类型以及访问控制等内容的设置。(1)基本设置 当连接到无线网络后,在局域网中的任何一台计算机中打开IE浏览器,首先在地址框中输入192.168.1.1,再输入登录用户名和密码(用户名默认为空,密码为admin),点击“确定”按钮打开路由器设置页面。在左侧窗口点击“基本设置”链接,在右侧的窗口中除了可以设置IP地址、是否允许无线设置、SSID名称、频道、WEP外,还可以为WAN口设置连接类型,包括自动获取IP、静态IP等。DHCP的作用是实现在域中自动分配内网IP。在基本设置页面中,为了省去为办公网络中的每台计算机设置IP地址的操作,配置协议即自动从DHCP服务器中获取租用IP地址,使电脑用户在网络中断时自动获得新的IP地址以便继续工作,从而享受无缝漫游。但禁止DHCP对无线网络具有重要意义,采取这项措施,黑客不得不破译用户的IP地址、子网掩码及其他所需的TCP/IP参数。把DHCP自动分配IP地址的功能关掉后,把路由器的IP地址改掉,因为一般的路由器分配的IP地址都是“192.168.1.* ”,而且网关都是“192.168.1.1”,即使关掉DHCP自动分配有些人也可以进入网络,把路由器IP地址改掉,路由器的IP地址要和计算机的网关一致,路由器的IP地址要和计算机的IP地址在同一个网段。使用以太网方式接入Internet的网络,可以选择静态IP,然后输入WAN口IP地址、子网掩码、缺省网关、DNS服务器地址等内容。最后点击“应用”按钮完成设置。(2)为网络环境设置访问控制 在办公网络中为了能有效地促进员工工作,提高工作效率,可以通过无线路由器提供的访问控制功能来限制员工对网络的访问。常见的操作包括IP访问控制、URL访问控制等。首先,在路由器管理页面左侧点击“访问控制”链接,接着在右侧的窗口中可以分别对IP访问、URL访问进行设置,在IP访问设置页面输入需要禁止的局域网IP地址和端口号,如果要禁止IP地址为192.168.1.100到192.168.1.102的计算机使用QQ,可以在“协议”列表中选择“UDP”选项,在“局域网IP范围”框中输入“192.168.1.100~192.168.1.102”,在“禁止端口范围”框中分别输入“4000”、“8000”。最后点击“应用”按钮。这样的设置是因为QQ聊天软件使用的是UDP协议,4000(客户端)和8000(服务器端)端口。如果不确定哪种协议的端口,可以在“协议”列表中选择“所有”选项,端口的范围在0~65535之间;要禁止某个端口,例如,FTP端口,可以在范围中输入21~21。对于“冲击波”病毒使用的RPC服务端口可以输入135~135。要设置URL访问控制功能,在访问控制页面中点击“URL访问设置”链接,在打开的页面中点击“URL访问限制”选项中的“允许”选项。在“网站访问权限”选项中选择访问的权限,可以设置“允许访问”或“禁止访问”,例如,要禁止访问http://这样的网站,就可以在 “限制访问网站”框中输入http://。最后点击“应用”按钮即可。最多可以限制20个网站。2.客户端设置 在办公无线局域网中,要注意工作室中的所有计算机需要设定相同的访问方式,例如,同为“仅访问点(结构)网络”或同为“任何可用的网络(首选访问点)”。另外,还要将每台计算机的工作组设置为相同的名称。可以在每一台计算机中设置共享文件夹,实现无线局域网中的文件的共享;设置共享打印机和传真机,实现无线局域网中的共享打印和传真等操作。3.无线访问节点设置 AP分为带网关和不带网关的,不带网关的AP相当于集线器。进入AP的设置界面,点击“Configure”,进入配置窗口;在“General”项,Access Point Name和ESSID中可随意填写便于记忆的名称。Channel也可任意选取,但笔记本电脑中的无线网卡要与其统一;“Rates”设为“Auto”;在“IP Setting”项,为了网络安全,各设备都需要指定IP地址,选择不使用DHCP(动态分配IP地址),选择关闭(Disable),然后为AP指定一个与局域网各机器同一网段,而且没有冲突的网址,而且子网掩码和默认网关栏的值也必需指定与局域网其他机器一样,AP设置完成。打开“网上邻居”的“属性”到“无线网络连接状态”,在“属性”中的“无线网络连接属性”,点击“无线网络配置”,在“首选网络”下的“添加”点击“关联”项,将服务名SSID设为与AP的ESSID统一,全部设置完成。
(二)IP与MAC的相互绑定 WLAN存在的安全风险和安全问题主要包括来自网络用户的进攻,未认证的用户获得访问权以及内部的窃听泄密等。针对这些威胁问题,IEEE 802.11技术本身设置了认证和加密功能,但还存在安全隐患,还需要采取物理地址过滤的方法,即每块网卡都有唯一的物理地址,在AP中设置允许访问的MAC地址列表,可实现属于硬件认证的物理地址过滤。绑定MAC地址和IP地址功能时,选择不使用自动获取IP地址,关闭DHCP服务,并使用MAC地址过滤,记下各计算机的Internet Address及对应的Physical Address,然后在AP设置中的允许访问的MAC地址列表和指定IP地址区域输入所有用户的地址即可完成网关的IP address与MAC address的绑定。
(三)防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通常一个路由器,也可以是一台运行防火墙软件的PC机。防火墙有选择地过滤或阻塞网络间的流量。它通常在Intranet和Internet的交接处,也可以在两个Intranet之间设立防火墙。防火墙一般是基于源地址和目的地址以及每个IP包的端口来做出禁止或允许判断。为了保证网络的安全,无线路由器内置了防火墙功能。防火墙功能一般包括LAN防火墙和WAN防火墙,前者可以采用IP地址限制、MAC过滤等手段来限制局域网内计算机访问Internet;后者可以采用网址过滤、数据包过滤等简单手段来阻止黑客攻击,保护网络传输安全。使用防火墙能够强化安全策略,能有效地记录网络上的活动,限制暴露用户点,同时防火墙是一个安全策略的检查站。防火墙的实施就是把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用,因为它保护了防火墙后面的所有计算机。值得注意的是,防火墙本身并没有保障安全的能力,需要定期的检查防火墙对可疑事件做出的日志记录,还需要去发现和使用软件的安全补丁。
四、日常维护
(一)备份 在日常使用计算机的过程中,因为病毒的破坏或者误操作,以及其他意外情况的发生,都有可能导致文件和数据的破坏或丢失。通过备份可以事先将重要的或需要备份的文件和数据保存起来,或备份整个系统,一旦遇到上述情况,就可以将备份的文件还原过来,真正做到有备无患。Windows XP是自带备份功能,在附件中进行备份,通过单击打开“开始—程序—附件—系统工具”菜单项,在弹出的子菜单里选中“备份”命令来打开“备份或还原向导”窗口,通过这个向导模式,可以使用比较简洁的窗口来一步一步进行文件和目录和备份与还原。还需要进行数据备份,企业部门可以采用访问控制、身份验证、数据加密、安全审计等技术手段保证数据的安全,也可以制定一个有效的数据备份策略,这是企业部门局域网保护网络数据的较好方法。数据备份有完全备份、增量备份、指定备份等备份方式。企业部门可根据需要选择,重要数据应每天做数据备份,存放在光盘中。
(二)密码变更 密码设置完成后,还需要定期修改WEP密钥,因为WEP用来产生这些密钥的方法被发现具有可预测性,这样对于潜在的入侵者来说,就可以很容易的截取和破解这些密钥。所以为了无线网络的安全,需要定期修改密码。
(三)设备维护 对无线局域网设备进行维护需要对两方面进行维护:首先是联单无线接入点的维护,经常查看无线接入点的安全;其次是对无线局域网性能的监控及优化。安全与管理是两个需要同等重视的问题,而且是互相影响互相推动的。应该制定计划,支持多种安全策略应对不同的情况,从而提高无线局域网的性能,需要派专门人员对局域网进行维护和监控。加深管理员的安全意识,明白违规使用无线网络的危害性。
五、无线局域网故障排除 【导读】当进行WLAN(Wireless Local Area Network)网络故障的Troubleshooting时,应该首先以下几个关键问题进行排错。其中包括一些硬件的问题会导致网络错误,同时错误的配置也会导致WLAN网络不能正常工作。下面将介绍一些WLAN网络排错的方法和技巧。当只有一个AP(Access Point)以及一个WLAN客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。在大型的WLAN网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多AP中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个AP出现问题。当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个AP,那么这个AP可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线AP与有线网络间的连接出现了问题。
(一)检查AP的可连接性 要确定无法连接网络问题的原因,首先需要检测一下网络环境中的电脑是否能正常连接无线AP。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式,然后ping无线AP的IP地址,如果无线AP响应了这个ping命令,那么证明有线网络中的电脑可以正常连接到无线AP。如果无线AP没有响应,有可能是电脑与无线AP间的无线连接出现问题,或者是无线AP本身出现了故障。要确定到底是什么问题,你可以尝试从无线客户端ping无线AP的IP地址,如果成功,说明刚才那台电脑的网络连接部分可能出现了问题,比如网线损坏。如果WLAN客户端无法ping到无线AP,那么证明无线AP 以将其重新启动,等待大约五分钟后再通过有线网络中的电脑和WLAN客户端,利用ping命令察看它的连接性。如果从这两方面ping无线AP依然没有响应,那么证明无线AP已经损坏或者配置错误。此时你可以将这个可能损坏了的无线AP通过一段可用的网线连接到一个正常工作的网络,你还需要检查它的TCP/IP配置。之后,再次在有线网络客户端ping这个无线AP,如果依然失败,则表示这个无线AP已经损坏。这时你就应该更换新的无线AP了。
(二)WLAN网络配置问题 WLAN网络设备本身的质量一般还是可以信任的,因此最大的问题根源一般来自设备的配置上,而不是硬件本身。知道了这一点,我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。
(三)AP无线信号强度 如果你可以通过网线直接ping到无线AP,而不能通过无线方式ping到它,那么基本可以认定无线AP的故障只是暂时的。如果经过调试,问题还没有解决,那么你可以检测一下AP的信号强度。虽然对于大多数网管来说,还没有一个标准的测量无线信号强度的方法,但是大多数WLAN网卡厂商都会在网卡上包含某种测量信号强度的机制。
(四)改变无线信号频道 如果经过测试,你发现信号强度很弱,但是最近又没有做过搬移改动,那么可以试着改变无线AP的频道并通过一台WLAN终端检验信号是否有所加强。由于在所有的WLAN终端上修改连接频道是一项不小的工程,因此你首先应该在一台WLAN终端上测试,证明确实有效后才可以大面积实施。记住,有时候WLAN网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。
(五)检验WEP密钥 检查WEP加密设置。如果WEP设置错误,那么你也无法从WLAN终端ping到无线AP。不同厂商的WLAN网卡和AP需要你指定不同的WEP密钥。比如,有的WLAN网卡需要你输入十六进制格式的密钥,而另一些则需要你输入十进制的密钥。同样,有些厂商采用的是40位和64位加密,而另一些厂商则只支持128位加密方式。要让WEP正常工作,所有的WLAN客户端和AP都必须正确匹配。很多时候,虽然WLAN客户端看上去已经正确的配置了WEP,但是依然无法和 WLANAP通信。在面对这种情况时,我一般都会将无线AP恢复到出厂状态,然后重新输入WEP配置信息,并启动WEP功能。
(六)WEP配置问题 到现在为止,最常见的与配置有关的问题就是有关使用WEP协议。而且WEP带来的问题也相当棘手,因为由于WEP不匹配所产生的问题显现的症状和很多严重的问题非常相似。比如,如果WEP配置错误,那么WLAN客户端将无法从WLAN网络的DHCP服务器那里获得IP地址(就算是无线AP自带DHCP功能也不行)。如果WLAN客户端使用了静态IP地址,那么它也无法ping到无线AP的IP地址,这经常会让人误以为网络没有连接。判断到底是WEP配置错误还是网络硬件故障的基本技巧是利用WLAN网卡驱动和操作系统内置的诊断功能。举个例子,一个笔记本采用Windows XP系统,并配备了Linksys的WLAN网卡。当将鼠标移动到系统任务栏的WLAN网络图标时,会有网络连接信息摘要浮现出来。当连接频道和SSID 设置正确后,就算WEP设置错误,你也可以连接到无线AP。此时,从任务栏你会看到连接信号的强度为零。不论WEP是否设置正确,Linksys网卡都会显示出连接信号强度。由此你也可以知道网络确实是已经连接上了,虽然有可能无法ping到无线AP。如果你右键点击任务栏中的WLAN网络图标,并在弹出菜单中选择查看可用的WLAN网络(View Available Wireless Networks)命令,之后你会看到WLAN网络连接(Wireless Network Connection)对话窗。这个对话窗会显示出当前频道内的全部WLAN网络的SSID号,包括你没有连接上的网络。因此如果你发现你的WLAN网络号在列表中,但是你看起来不能正常连接,那么你可以放心,自己的网络连接并没有什么问题,问题是出在配置上。注意: WLAN网络连接对话框还提供了一个可以输入WEP密钥的区域,当你试图连接某个WLAN网络时,可以输入该网络的WEP密钥。一般在这里输入WEP密钥后,网络会马上连接成功。
(七)DHCP 配置问题 另一个让你无法成功的访问WLAN网络的原因可能是由DHCP配置错误引起的。网络中的DHCP服务器可以说是你能否正常使用WLAN网络的一个关键因素。很多新款的WLANAP都自带DHCP服务器功能。一般来说,这些DHCP服务器都会将192.168.0.x这个地址段分配给WLAN客户端。而且 DHCPAP也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的WLAN客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个AP。对于这种情况,有两种解决方法: 禁用AP的DHCP服务,并让WLAN客户端从网络内标准的DHCP服务器处获取IP地址。修改DHCP服务的地址范围,使它适用于你现有的网络。这两种方法都是可行的,不过具体还要看你的无线AP的固件功能。很多无线AP都允许你采用其中一种方法,而能够支持这两种方法的无线AP很少。
(八)多个AP的问题 设想一下假如有两个无线AP同时按照默认方式工作。在这种情况下,每个AP都会为无线客户端分配一个192.168.0.X的IP地址。由此产生的问题是,两个无线AP并不能区分哪个IP是自己分配的,哪个又是另一个AP分配的。因此网络中早晚会产生IP地址冲突的问题。要解决这个问题,你应该在每个 AP上设定不同的IP地址分配范围,以防止地址重叠。
近几年来,汕尾市城区马宫街道中心小学不断加强学校第二课堂建设,并将少先队工作融入到学校建设之中,使丰富多彩的第二课堂活动更具吸引力和影响力。鼓号队是少先队基础建设的重要内容,是少先队特色的体现,也是少先队开展活动、实施德育教育、美育教育和组织纪律训练的有效载体,在校园育人氛围中发挥了很大的作用。随着上一届鼓号队队员即将毕业,组建新一届鼓号队已迫在眉睫,对此马宫街道中心小学高度重视,做到早计划、早安排,于4月8日正式启动《马宫街道中心小学2015年鼓号队培训方案》。
本届鼓号队队员都从四至六年级学生中挑选,首先要求四至六年级各班主任根据以下几个条件推荐本班学生若干名:遵守纪律、诚实守信、聪明活泼、乐于学习、成绩优秀、家离校较近等;然后各培训指导老师再从中择优录选,最终遴选出100名队员组成了新一届鼓号队。鼓号队一经成立,指导老师就投入到紧张的培训工作中,培训时间是每周一至周五上、下午放学后一个小时。各项培训工作已于4月10日正式拉开。
队员们分别来自不同的年级,虽然年龄上有差距,但是训练的时候,他们个个都非常认真刻苦,从原地吹奏、行进中吹奏,再到队列队形训练,最后能按比赛标准整齐地吹奏出旗曲、行进曲、退旗曲等。一步一个脚印,队员们和老师的智慧和汗水,终于浇灌出鲜艳的花朵。在操场上,每天可以听到阵阵嘹亮的号声、铿锵有力的鼓声;那情景让人振奋,让人感动!
南阳理工学院
毕业设计(论文)
题目:无线校园网的设计与优化
姓
名:唐 家 辉 学
号:64202128
专
业:计算机科学与技术
系
别:计算机科学与技术系 指导教师:吴 绍 兴 起止日期:2006.2——2006.6
第 1 页
无线校园网的设计与优化
无线校园网的设计与优化
[摘要] 目前,WLAN作为有线网络的补充手段,被越来越多的用户所认同和接受。然而,随着WLAN应用的不断普及,WLAN与有线网络融合过程中所遇到的问题也日益凸显。由于这两种标准都是由IEEE组织认证的,因此,架构WLAN和有线网络相融合的统一网络应该是趋势,也是受到关注的话题。
通过这个融合网络,用户可以将有线网络中的信息扩展性地利用到WLAN中,将WLAN的便利和有线网络已有的庞大信息结合起来,更加方便地服务于信息化的应用。
全文共分为四部分:
第一部分包括第一、二章,对无线校园网络的设计进行了可行性分析,并从技术上证明了该设计是可行的。
第二部分是第三章,介绍了具体实现该设计的方法、流程和必须掌握的知识。第三部分是第四章,具体介绍了如何管理WLAN及其设备,同时还具体的介绍了如何去实施网络监视和控制。
第四部分是第五章,主要总结了本设计的意义,并对设计的不足作了相应的描述。
[关键词] 无线 带宽 漫游 关联
第 2 页
无线校园网的设计与优化
The design of the wireless campus network with optimize
Abstract
Currently, the WLAN conduct and actions the complement means of the wired network is approve by more and more customers and accept.However, apply along with the WLAN of continuously universal, the WLAN and wired network blend process to also highlight increasingly in the problem meet.Because these two kinds of standards all from the IEEE organization attestation of, therefore, the structure WLAN blends with wired network mutually of unify a network and should be a trend, is also the topic that is pay attention to.Pass this fusion network, the customer can expand the information in the wired network sex land utilization use WLAN, putting together the huge information knot that the WLAN convenience have with wired network already, is serve in an information-based application more and expediently.The full text is divided into a four part cent totally: A part includes the first and two chapters, carrying on a viability assessment to the design of the wireless campus network, and proved that design to be viable from the technique.The second part is chapter three, introducing a concrete realization should design of method, process and have to control of knowledge.The third part is chapter 4, concrete introduction how manage the WLAN and its equipments, still concretely introduced in the meantime how to go to carry out the network surveillance and control.Four-part cent is chapter 5, mainly tallied up the meaning with this design, and made to correspond to the shortage of design of description.Key words:Wireless Bandwidth roaming association
第 3 页
无线校园网的设计与优化
目 录
前 言................................................................................................................5 1 可行性分析...................................................................................................6
1.1 无线校园网建设目标............................................................................6 1.2 无线传输技术......................................................................................7
1.2.1 FHSS..........................................................................................7 1.2.2 DSSS..........................................................................................8 1.2.3 OFDM.........................................................................................8 1.2.4 MIMO..........................................................................................9 1.2.5 MIMO+OFDM...........................................................................11 1.2.6 802.11b——2.4 GHz,11 Mbit/s...............................................11 1.2.7 802.11a——5 GHz,54 Mbit/s.................................................11 1.2.8 802.11g——2.4 GHz,54 Mbit/s..............................................12 1.3 802.11b/802.11a/802.11g技术比较...................................................12 1.4 网络设计原则....................................................................................14 2 无线网络设计..............................................................................................15 2.1 无线建网技术....................................................................................15 2.2 无线网络拓扑....................................................................................16 2.3 无线设备...........................................................................................21 2.3.1接入点(AP)...........................................................................21 2.3.2 无线网桥..................................................................................22 2.3.3天线..........................................................................................23 2.4 无线网络安全....................................................................................24 2.4.1安全基础...................................................................................24 2.4.2 WLAN安全技术.....................................................................28 2.4.3 Cisco的完整无线安全解决方案................................................31 3.5站点勘查和安装..................................................................................33 3 无线网络管理..............................................................................................35 3.1 全程管理...........................................................................................35 3.2 安全管理...........................................................................................36 3.3 无线电和WLAN设备管理.................................................................37 3.4 计费管理...........................................................................................38 4 小 结..........................................................................................................39 致谢语............................................................................................................39 参考文献........................................................................................................40 附录................................................................................................................41
第 4 页
无线校园网的设计与优化
无线校园网的设计与优化
姓名:唐家辉 学号:64202128 班级:02641
前 言
随着网络技术的发展和网络产品价格不断的下调,众多高校都开始搭建网络平台,组建自己的校园网络。一个校园网络的组建并不是我们想象中用几个交换机就能实现,它是一项庞大而又复杂的工程,它需要覆盖整个校园,要将校园内的计算机、服务器和其他终端设备连接起来,实现校园内部数据的流通,实现校园网络与互联网络的信息交流,并且它还要涉及到网络的安全,涉及到网络的管理。因此,一个校园网络系统的组建需要从多方面进行考虑。
在经历一系列改革后,为了进一步提升自身实力,很多高校都开始改建自己的校园网,大量新教学楼拔地而其,在新建设的建筑大楼中一般都布有网络线,这给校园组网带来了一定的方便。不过还有一部分老式的建筑大楼并没有布网络线,如果我们在这里也使用有线网络,不但会带来布线的麻烦,还会影响建筑大楼的美观。在一所校园内,总有一部分区域是有线网络不能涉及的范围,如果强行布置有线网,后果非常严重。所以,在上面提到的这些地方需要布置无线局域网,才能让整个校园都被网络覆盖。当然我们也不能在一所高校内全部布置无线局域网,毕竟无线局域网的数据传输速度较慢,并不适合一些高带宽业务的处理。因此,一所校园的校园网应该是一个有线、无线网络的有机结合。
第 5 页
无线校园网的设计与优化 可行性分析
1.1 无线校园网建设目标
随着802.11系列标准的推出,从技术上来讲无线网络已经逐步成熟了。无线传输速率从最初的1~2Mbit/s,到11Mbit/s直至今天的54Mbit/s。而且有理由相信今后无线传输速率还会进一步提高。
对于一般用户而言,当前的无线性能与有线连接的性能已无明显差异。使用128比特加密和其他可选安全机制(例如TKIP[Temporal Key Integrity Protocol,临时密钥完整性协议]、MIC[Message Integrity Check,消息完整性检查]和802.11x认证等)来增加安全,上述安全措施已经降低了人们对不恰当的保密和控制的畏惧。同时覆盖距离更长的AP增加了解决方案的可行性。
对于一个设计优良的WLAN校园网络,必须具备如下要求:
高可用性——通过系统冗余和适当的覆盖区域设计,WLAN解决方案能够达到高可用性。系统冗余包括在各个频率使用冗余的AP;适当的覆盖区域设计包括漫游、信号强度减弱时的自动速率协商、适当的天线选择,以及通过使用中继器将覆盖区域扩展到不能使用AP的区域。
可扩展性——通过在每个覆盖区域使用多个AP(使用不同的频率),WLAN解决方案就能够实现可扩展性。此外,AP也可以根据预期来执行负载均衡。
可管理性——诊断工具能够完成WLAN内的大部分管理工作。通过业界标准的API(包括SNMP和WEB方式),或者通过主流的企业管理解决方案,例如Cisco公司的WLSE(Wireless LAN Solution Engine,无线局域网解决方案引擎)、Wavelink和Airwave等公司的产品,用户应当能够管理WLAN设备。
开放式体系结构——通过遵从IEEE 802.11a和802.11g等标准,或者参加Wi-Fi联盟等互操作性协会,或者获得美国FCC的认证,WLAN的开放 第 6 页
无线校园网的设计与优化
性都能够得到保证。
安全性——如果需要在空气中传送数据分组,那么对它们进行加密是基本的要求。对于大型安装的情况,WLAN解决方案不仅需要集中的用户认证,还需要集中管理密钥。
成本——客户期望每年价格都连续下降15%到30%的幅度,而无线的性能和安全性却逐年增加。客户不仅仅关心购买价格,还关心TCO(Total cost of ownership,总拥有成本),其中包括安装、管理和维护等成本。
1.2 无线传输技术
1.2.1 FHSS FHSS(Frequency Hopping Spread Spectrum,跳频扩频)是一种利用频率捷变(frequency agility)将数据扩展到频谱的83MHz以上的扩频技术。频率捷变是无线设备在可用的RF频段内快速改变发送频率的一种能力。FHSS WLAN使用的频率是2.4 GHz ISM频段中的83 MHz。在FHSS系统中,载波根据伪随机序列来改变频率或跳频。有时它也称为跳码。伪随机序列定义了FHSS信道。跳码是一个频率的列表,载波以指定的时间间隔跳到该列表中的频率上。发送器使用这个跳频序列来选择它的发射频率。载波在指定的时间(称为停留时间)内保持频率不变。接着,发送器花少量的时间(称为跳时)跳到下一个频率上。当遍历了列表中的所有频率时,发送器就会重新开始并重复这个序列。接收器同步于发送器的跳频序列,使得它在正确的时间里位于正确的频率上。图1显示了FHSS框图。
第 7 页
无线校园网的设计与优化
1.2.2 DSSS DSSS(Direct Sequence Spread Spectrum,直序扩频)——扩频是将传送信号扩展到比较宽的无线频率中的调制技术。这种技术的基本原理是运用所有信道来产生一个860 kbit/s的快速信道,或者将信道分成很多小的部分,以产生更多的信道。但是,这些信道的速度较低,例如分成3个信道的速率为215 kbit/s;若分成2个信道,则每个信道的速率为344 kbit/s。FHSS以重复的方式使用每个频率一小段时间,而DSSS始终使用22MHz宽的频率范围。信号以不同的频率被发射出。每个数据位都变成遍布频率范围的一个分片序列,或者是并行发送的码片字符串;有时它也被成为分码(chipping code)。管制机构对所支持的不同速度规定了最小的码片速率。IEEE 802.11使用11个码片。图2显示了DSSS框图。
1.2.3 OFDM OFDM(Orthogonal Frequency-Division Multiplexing,正交频分多路复用)——OFDM的工作原理是将一个高速的数据载波分成若干个低速的子载波,然后 第 8 页
无线校园网的设计与优化
并行地发送这些子载波。每个高速载波的宽度为20MHz,被分成52个子信道,每个子信道的宽度为300 kHz。OFDM使用其中的48个子信道来传输数据,余下的4个子信道用于错误纠正。编码的OFDM(COFDM)由于其编码方案和错误纠正,因而能够更有效地使用频谱。由于载波之间是正交的,因此频谱使用更有效,能够防止相隔较近的载波之间的干扰。OFDM中的每个子信道都约300 kHz宽。根据所用数据率的不同,802.11a使用不同类型的调制技术。802.11a标准规定所有遵从802.11a的产品都必须支持3种基本数据率:BPSK(每个信道编码 125 kbit/s的数据数据率可达6000 kbit/s或6 Mbit/s)、QPSK(每个信道最多编码250 kbit/s的数据,数据率可达12 Mbit/s)和16QAM(每个赫兹编码4位,数据率可达24 Mbit/s)。802.11a标准还允许厂商将调制方案扩展到超过24 Mbit/s。通过使用64QAM可以实现54 Mbit/s的数据率,这种调制技术每个周期可以编码8或10位,因而每个300 kHz的信道的数据率最高可达1.125 Mbit/s。总共使用了48个这样的信道,数据率合起来为54 Mbit/s。但每个周期编码的数据位越多,则信号越容易受到干扰和衰减的影响,最终会减少传输距离。802.11g将OFDM和CCK定义为两种必需的调制技术。同时它也支持两种可选的调制技术,即CCK-OFDM和分组二进制卷积码(PBCC)。图3显示了OFDM框图。
1.2.4 MIMO MIMO(Multiple-Input Multiple-Output,多入多出)技术——是指在发射端和接收端,分别使用多个发射天线和接收天线。传统的通信系统是单进单出
第 9 页
无线校园网的设计与优化
SISO(Single-Input Single-Output)系统,基于发射分集和接收分集的多进单出MISO(Multiple-Input Single-Output)方式、单进多出SIMO(Single-Input Multiple-Output)方式也是MIMO的一部分。利用MIMO技术可以提高信道的容量,同时也可以提高信道的可靠性,降低误码率。
目前,MIMO技术领域,另一个研究热点就是空时编码。常见的空时码有空时块码、空时格码。空时码的主要思想是,利用空间和时间上的编码,实现一定的空间分集和时间分集,从而降低信道误码率。
MIMO天线阵列,是一种开环的MIMO技术,M个发送天线,使用编码重用技术,将同样码集的每个码重复使用M次,每个码用来调制不同的数据子流,这样在不增加码资源的基础上,提高了原始数据的传输速率。
为了分辨M个数据子流,在接收端,需要使用多天线和空间信号处理。MIMO是一种能使HSDPA增加容量、提高峰值速率的技术,但受限于物理信道模型,会增加射频的复杂性,是HSDPA进一步发展的技术。
MIMO解调解扩接收机主要分2个部分,一是空时RAKE接收机,主要功能是分离不同的扩频码扩频的信号,合并多径信号;二是VBLAST,即对垂直空时码进行译码,分离出不同天线发送的空间叠加信号。
为充分利用MIMO信道的容量,人们提出了不同的空时处理方案。贝尔实验室的Foschini等人,提出了一种分层空时结构(BLAST:Bell Laboratories Layered Space-Time),它将信源数据分成几个子数据流,独立进行编码/调制。AT&T的Tarokh等人在发射延迟分集的基础上,正式提出了基于发射分集的空时编码。同时,Alamouti提出了一种简单的发送分集方案,Tarokh等把它进一步推广,提出了空时分组编码。由于它具有很低的译码复杂度,因而,可以尽早应用于WLAN中。图4显示了MIMO框图。
第 10 页
无线校园网的设计与优化
1.2.5 MIMO+OFDM MIMO+OFDM技术——MIMO+OFDM技术通过在OFDM传输系统中,采用阵列天线实现空间分集,以提高信号质量,是OFDM与MIMO相结合而产生的一种新技术。它采用了时间、频率和空间三种分集技术,使无线系统对噪声、干扰、多径的容限大大增加。MIMO和OFDM 技术在各自的领域,都发挥了巨大的作用,将二者相结合并应用到下一代无线局域网中,正在成为无线通信的一个研究热点。
1.2.6 802.11b——2.4 GHz,11 Mbit/s 802.11b采用2.4GHz直接序列扩频,最大数据传输速率为11Mb/s,无须直线传播。动态速率转换当射频情况变差时,可将数据传输速率降低为5.5Mb/s、2Mb/s和1Mb/s。使用范围 支持的范围是在室外为300米,在办公环境中最长为100米。802.11b使用与以太网类似的连接协议和数据包确认,来提供可靠的数据传送和网络带宽的有效使用。
1.2.7 802.11a——5 GHz,54 Mbit/s 802.11a是应用于无线局域网的802.11规范族中的一个规范,主要用在接入式集线器中,为无线ATM系统提供规范。使用802.11a规范的网络运行于无线
第 11 页
无线校园网的设计与优化
频率在5.725GHz到5.850GHz之间的环境下。这个规范使用正交频分复用技术,这种技术尤其适合应用于办公室局域网。在802.11a规范中,数据速率可以达到54Mb/s,在干扰方面,它要优于802.11b规范,这是因为802.11a提供更多的可用信道,并且802.11b的使用频率和各种各样的家用器具及医疗设备的使用频率是共享的。
1.2.8 802.11g——2.4 GHz,54 Mbit/s 随着无线IEEE 802.11标准开始深入人心,各IC制造商开始寻求为以太网平台提供更为快速的协议和配置。而蓝牙产品和无线局域网(802.11b)产品的逐步应用,解决两种技术之间的干扰问题显得日益重要。为此,IEEE成立了无线LAN任务工作组,专门从事无线局域网802.11g标准的制定,力图解决这一问题。802.11g其实是一种混合标准,它既能适应传统的802.11b标准,在2.4GHz频率下提供每秒11Mbit/s数据传输率,也符合802.11a标准在5GHz频率下提供54 Mbit/s数据传输率。
1.3 802.11b/802.11a/802.11g技术比较
802.11b 力不从心
提及802.11b的最大缺点,想必大部分人都会对其速度略有微词。虽然11Mbps(实际值为550~600kB/s)的传输速率对大多数宽带用户的接入速度来说已经足够,但该性能指标却不能满足日益增长的宽带网络的需求。即便是个人用户,目前国内不少家庭的宽带接入速度也已超过1MB/s,无论802.11b如何改进,它已呈现出力不从心的态势。
802.11a稍逊一筹
从另一个角度来看,WLAN的应用也不仅仅是满足于客户端计算机的Internet接入。出于无线局域网“无线”的特性,许多个人及商业用户均希望将其相应的“家庭局域网”和“公司局域网”通过无线来组建,从而实现大容量数据的无线传输,此时相比有线局域网,WLAN的速度瓶颈则更加相形见绌。再加上早期802.11b标准的安全性问题,注定了它与主流应用的无缘。
第 12 页
无线校园网的设计与优化
作为802.11b的继承者,802.11a和802.11g均具备优秀的素质。首先,它们都是经IEEE(电子与电气工程师协会)批准的无线局域网规范,标准的确立也就意味着厂商们的认可和支持;其次,它们都拥有高达54Mbps的传输速度(实际传输速率可达3MB/s之多),非常接近传统100M有线局域网传输速率的一半,如此一来,大容量数据传输便得到了一定的解决;最后在安全性上,802.11a和802.11g较802.11b也要更胜一筹。然而在目前的市场上,很少看见有基于802.11a标准的无线网络产品。特别是随着Intel Dothan处理器的发布,主流高端笔记本电脑上几乎清一色地配备了Intel Pro 2200 b/g无线网卡,主流无线AP也大多为802.11b/g规范,是什么原因让802.11a标准受到市场的冷落?
802.11g与802.11a一样拥有54Mbps的传输速率。其中802.11a在信道可用性方面更具优势。这是因为802.11a工作在更加宽松的5GHz频段,拥有12条非重叠信道。而802.11g只有11条(802.11b同为11条),并且只有3条是非重叠信道(信道
1、信道
6、信道11)。因此802.11g在协调邻近接入点的特性上不如802.11a。由于802.11a的12条非重叠信道能给接入点提供更多的选择,因此它能有效降低各信道之间的“冲突”问题;此外,802.11a独特的5GHz工作频段也在抗干扰性上优于802.11b/g,因为在日常生活中,许多电子设备都是基于2.4GHz频段工作的,这正好与802.11b/g的工作频段相同并产生冲突(举个例子,如果你的家中同时安装有无线局域网和无绳电话,那么当你使用无绳电话时便会发现通话效果时好时坏,这就是典型的干扰问题),如蓝牙设备、微波炉等。
5GHz工作频段具有2.4GHz无法比拟的抗干扰优势,但同时也预示了802.11a的灭亡。由于频段较高,使得802.11a的传输距离大打折扣。以往802.11b无线AP的覆盖范围为80~100米(室内),而802.11a仅有30米左右。5GHz频段的电磁波在遭遇墙壁、地板、家具等障碍物时的反射与衍射效果均不如2.4GHz频段的电磁波好,因而造成802.11a覆盖范围偏小的缺陷;其次,由于设计复杂,基于802.11a标准的无线产品的成本要比802.11b高的多。据一份市场调查显示,802.11a产品的售价至少比802.11b高出四倍以上,在价格敏感的前提下,它很难替代已成主流的802.11b;最后就是802.11a致命的兼容性问题,其独特的5GHz频段无法与802.11b兼容,要知道目前全球有几千万个采用802.11b标准的无线 第 13 页
无线校园网的设计与优化
局域网,如果从现有的802.11b网络过渡到802.11a,光是更换无线AP的费用就十分可观,更不用提数量更为庞大的无线网卡了。尽管后来厂商们考虑到兼容性问题,将产品做成了802.11a/b双频、甚至802.11a/b/g三频模式,但也改变不了成本过高、802.11a大势已去的现状,在2002年几千万颗Wi-Fi产品的芯片出货量中,只有不到10万颗是基于802.11a标准。
802.11g 市场展望
市场对802.11a的怀疑,让802.11g迅速成为厂商们追捧的对象。和802.11a相比,802.11g在提供了同样54Mbps的高速下,采用了与802.11b相同的2.4GHz频段,因而解决了升级后的兼容性问题。同时802.11g也继承了802.11b覆盖范围广的优点,其价格也相对较低。当用户过渡到“g网”时,只需购买相应的无线AP即可,而原有的802.11b无线网卡则可继续使用,灵活性较802.11a要强得多。
802.11a已渐渐淡出市场,但它不会完全消失,至少在更新、更强、优点更出众的标准问世之前不会被市场完全抛弃。随着WLAN在无线语音传输和矿山、医院等领域应用,其抗干扰性强和多信道的设计仍是802.11b/g所望尘莫及的。因此有理由相信在未来的一段时间内,802.11a、802.11b、802.11g可能还会三足鼎立(虽然802.11a在市场份额上可能表现未必会很理想)。
1.4 网络设计原则
实用性——遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不不设计成华而不实的网络,也不设计成利用率低下的网络,要以实用性的原则要求为依据,建设具有最低TCO(拥有的总成本最低)、最高性价比的WLAN。
先进性——采用先进成熟的网络概念、技术、方法与设备,既反映当今先进水平,有给未来的发展留有余地。
可靠性——系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
第 14 页
无线校园网的设计与优化
可扩充——系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比。
可维护——系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性。
安全性——必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。无线网络设计
2.1 无线建网技术
无线通信中的一个基本问题是介质共享大气层。如何使两个或更多个用户访问同一个介质而不会引起冲突?此外,带宽直接受到访问介质的用户数量的影响。在有线网络中,使用快速的集线器或迁移到交换式网络可以很容易地增加带宽。而在无线网络中,增加带宽的最佳方法是增加覆盖单元的数量并降低覆盖单元的覆盖范围。这样每个AP就可以分担少量的用户。与此类似,某些厂商开发出了无线交换机 “阵列”,它可以同时发送多个定向的波束。另一种策略是混合使用2.4 GHz和5GHz的设备。
本次无线局域网络设计环境是整个校园,设计时使用了无线双频(2.4 GHz和5GHz)设备阵列,极大的增加了可用带宽,同时还设计将一定面积的区域划分为一个VLAN,整个校园将按照实际需求划分为多个VLAN,设计时每个VLAN将容纳至少30个用户。同时要求公共区域必须有网络的覆盖,基于接入点的带宽共享机制,根据无线网络设计普遍适用于802.11a及802.11g网络的有效经验法则,是为每位用户4Mbps带宽,可以提供与用户在有线局域网上相同的使用感受。适用于802.11b网络的经验法则是为每为用户分配1Mbps带宽,这可以提供类似与宽带ADSL连接类似的用户使用感受(但802.11b标准已经无法适应校园 第 15 页
无线校园网的设计与优化
网络的应用需求,因此本次设计主要采用802.11a/g标准)。因此如果要实现每间教室30人以上同时上网的性能需求,则要为每间教室分配至少120M的带宽。由于电脑机房用户密度较大、信号传输环境很差,因此设计较小的蜂窝即接入点采用定向天线进行无线覆盖,仅为保证漫游需求在两房间交界处采用全向天线,接入方式上可以选择固定台式计算机接入、远程接入与移动笔记本接入的方式。每台路由器大约能带动的用户上限为32左右,因此,四台无线路由器可以充分满足一间教室50人同时访问网络的需求,将信号功率上适当减小,具体数值需专业设备进行检测,将无线漫游及信号中继的功能完全转移到路由器及交换机上,最大限度的减少网络实验室区域内的无线辐射,同时可实现网络的轻松维护、控制与管理。在网络的灵活性设计上采用了最先进的以太网供电系统,全面的实现了工作区域的按需规划的目标。小带宽的分配可以采用配线板设计,根据需要灵活分配带宽,并冗余设计网络信息插座。根据无线局域网的工作原理,在多个子频道同时工作的情况下,为保证频道之间不相互干扰,要求两个频道的中心频率间隔不能低于25MHz。在一个蜂窝区(Cell)内,直序扩频技术最多可以提供 4个不重叠的频道同时工作。因此在配置时将位于每层楼楼道内的5个无线接入逻辑点的工作子频道分别设为:1 频道、6 频道和11频道。当用户感觉到有线网络性能下降的时候,也可以选择禁用有线连接,通过配置使用无线USB网卡接入同时存在的无线网络。或申请在子层无线路由器的交换机端口内扩展接入无线接入点。无线局域网络使用DMZ主机、透明代理、链路聚合、数据备份、VLAN划分等方式进行网络容错与安全保护。无线局域网络使用扩展星型拓扑结构,支持目前和将来各种无线网络应用与网络扩展。在干扰避免上,选择蓝牙数据包类型改变、频率分离、模式切换等方法解决蓝牙网络与无线局域网信号的冲突与传输频率的干扰。
2.2 无线网络拓扑
校园WLAN的目标就是形成具有充分移动性的访问系统。WLAN允许用户从未布线的户外访问信息,如从食堂、偏僻的研究室、教室甚至运动场中进行访问。第 16 页
无线校园网的设计与优化
但是不应该认为WLAN取代了有线网络,相反,它们是为现有网络添加功能的一种途径。
遍布校园的无线部署可以为那些难于达到的或者临时场所提供网络连接,否则,这些地方就会完全不被考虑。校园WLAN的一个最大好处就是人们可以坐在公共场合一起工作,同时轻松地进行网络连接。在许多资源有限的教学机构中,这种方式可以减少对固定有线计算机的争用。
校园网络拓扑分为有线和无线两个部分,无线是在有线的基础上进行设计实施的。下图为学校至2005年年底的整体网络拓扑图。
第 17 页
无线校园网的设计与优化
WLAN是访问层元素或者产品。WLAN可以分为两种:建筑物内部的无线LAN和建筑物之间的无线桥接。图6显示了两个建筑物之间的无线桥接。
第 18 页
无线校园网的设计与优化
无线校园网络建设完成后,学校的网络将实现校内随时随地都可以连接校园网络。由于建成后的校园网络规模十分庞大,其网络拓扑结构也非常复杂,在这里并没有详细勾勒出每个细节,只是把校园网络的基本结构勾画出来。下图是一个校园网的基本网络拓扑:
校园网的无线部分主要是针对一些老式的大楼,图书馆、宿舍和会议室等不能布线的地方而设计,这一部分的网络产品主要以无线AP为主。下图为校园无线网络的基本拓扑。
第 19 页
无线校园网的设计与优化
在无线部分采用了多个无线AP来实现无线局域网的组建,上图是校园网内无线局域网的基本拓扑图,从这个拓扑结构中反映出无线局域网分为两层,一层是连接有线网络的无线AP,另外一层是大楼内分布的无线AP。这两层的无线AP通过内部集成的桥接功能,实现它们的无线互连。连接有线网络的这个无线AP最好安置在离需要组建无线局域网的大楼附近,并且中间最好没有建筑物阻挡,相隔距离也不要超过300米,这样才能让无线AP性能得到发挥,最大限度节约成本投入。而需要组建无线局域网的大楼内每一层楼布置了一个无线AP,以目前无线AP的性能而言,基本上能够将信号覆盖到一层楼的每一个角落,这样,一个无线局域网的基本结构就形成了。由于无线AP安置的地点一般都在高处,而且比较空旷,所以无线AP的防雷措施也要考虑。
在大型会议室内,由于室内空间比较大,没有墙壁阻挡,在这里布置的无线AP不用像在大楼中那样用多个无线AP来实现无线网络信号的覆盖。大型会议室组建无线局域网有一个特点,在大型会议室周围一般都有有线网络的接入点,可使用网线实现接入点与无线AP的连接,然后将无线AP置于会议室内,就可将信号覆盖到整个会议室内。在这里要考虑一件事情,一个大型会议室内如果召开会议,其笔记本数量肯定不会少,而无线AP在通常情况下能够连接20多台无线接入终端,如果无线接入终端数量过多,将严重影响网络性能,为了不影响网络性能实现更多的无线接入终端接入无线局域网中,可在这里多增加无线AP。
第 20 页
无线校园网的设计与优化
相信大家清楚,多个无线AP在同一个地方使用,信号覆盖肯定会重叠,造成对网络性能的影响。要解决这一问题,就必需将无线AP上的频段进行设置,无线AP一般都提供了11个频道,只要将会议室内的无线AP设置为各自不同的频道,就不会造成信号覆盖重叠。
2.3 无线设备
2.3.1接入点(AP)
AP充当无线网络用户的中心通信点,它可以连接有线和无线网络。在有多个AP的情况下,多个AP可以被配置成允许无线用户在AP之间漫游而不会被中断。AP还可以充当一个无线转发器,或者是无线网络的一个扩展点。
网络管理员可以通过命令行和WEB界面来控制和配置AP。也可以使用诸如简单网络管理协议(SNMP)的传统协议进行管理。根据天线的安装方式而定,选用各种类型的天线可以不同程度地增加覆盖范围和速率。AP可以是单频的,例如Cisco 1100AP;也可能是双频的,如Cisco 1200AP。
AP的重要特性包括如下: 集成的网络管理——使用现有的网络管理来支持接口级的SNMP和系统日志是一个基本要求。此外,Web或命令行管理也是必需的。根据网络管理架构的不同,Cisco发现协议(CDP)可能会提供一些附加的管理信息。系统安全——可能需要限制一些用户访问AP管理系统。因此,必须支持加密和有线等效加密(WEP)或动态WEP。此外,还需要支持802.1x以提供认证。过滤——需要协议过滤器来防止或允许通过AP使用特定的协议。此外,还需要对单播和组播包的转发与过滤进行控制。
固件——固件应该是可以升级的,并且应该支持复制和恢复配置。备用——该特性允许AP作为另一个AP的备份,以提供不中断的连接。用于国际游客的World模式——全世界不同地区的频率管制略有不同。这
第 21 页
无线校园网的设计与优化
个功能允许来自日本的游客在一个客户端设备上使用World模式,以便关联到美国的一个AP,并自动切换到正确的区域设置。负载平衡——这个特性根据用户数、比特误差率、可用无线带宽和信号强度等因素,将客户端设备自动定向到能够提供最佳网络连接的AP。
2.3.2 无线网桥
无线网桥的设计目的是连接两个或者多个网络(通常位于不同的建筑物中),它可以为数据密集型视距内应用提供很高的数据传输速率和出色的吞吐率。可以连接各种难以布线的场所、不相邻的楼层、分支机构、校园或者企业园区网络、临时性网络和仓库。它们可以针对点对点或者点对多点应用进行设置,从而让多个场所可以共享单
一、高速的互联网连接。为了提供灵活的功能,网桥还可以设置为一个接入点。
无线网桥之间的高速连接能够提供比E1/T1线路高几倍的吞吐量,而成本只是后者的一小部分--从而使得用户无须使用价格昂贵的专线或者难以安装的光纤电缆。因为网桥不会带来重复性费用,所以用户可以通过节约专线费用,迅速地收回前期的硬件投资。这款无线网桥可以将分散的建筑物连接到一个单一的LAN中,即使它们之间被高速公路、铁路、河流等障碍物隔开,无法铺设铜缆或者光纤电缆也是如此。
图1 点对点无线网桥解决方案
图2 点对多点无线网桥解决方案
第 22 页
无线校园网的设计与优化
2.3.3天线
天线为无线系统带来了3个特性:
增益——它是一个功率增加的度量标准。它指天线在指定方向上发射功率的集中程度。任何天线的增益在本质上都是对天线将辐射的RF能量集中于特定方向的一种度量。根据选用的参考点的不同,测定增益的方法也不相同。
方向——它是指发射模式的形态。
极化——它是实际发射RF能量的天线上分子的物理排列方向。它是无线信号传播的物理现象。它指的是电磁波在空间移动时所形成的电场的排列方向。其基本的准则如下:(1)对于一个水平极化的天线而言,它的电场位于水平面中。对于一个垂直极化的天线而言,它的电场位于竖直面中。(2)对于两个天线之间的任何指定链路而言,链路两端的天线必须具有同样的极化。否则将导致不必要的信号损失。
天线分为各向同性天线(isotropic antenna)或偶极天线(dipole antenna)。各向同性天线是一个理论上的天线,它在3个维度上的辐射是相同的,这类似于没有反射镜的电灯泡。与各向同性天线不同,偶极天线是一个真正的天线,它在各个方向上的辐射方向为75º,在形状上就像一个圆环。
天线通常可以分为两类:定向天线和全向天线。定向天线集中在一个方向上辐射RF能量。它包括下列几种常见类型:八木天线、实心抛物线天线、半抛物线天线和接线天线或平板天线。全向天线在水平方向上均等地辐射RF能量。水平方向上的辐射覆盖了360º。全向天线包括杆装天线和橡胶偶极天线两种常见类型。
用于无线LAN(WLAN)的天线具有两个功能:
接收——它是传输媒体上的信号接收器或终端负载。在进行通信时,它是从源接受信息或控制其他信号的设备。 发送——它是传输媒体上信号的发生器或源。在安装天线时,应遵照下列安全原则:
在开始之前仔细周密地规划安装过程。
如果不熟悉天线安装,则应该寻求专业人员的帮助。向经销商咨询安装方法,第 23 页
无线校园网的设计与优化
以便确定天线的安装地点。选择安装地点。此外还要考虑到安全性和性能。由于电源线和电话线看起来很相似,因此在区分出它们之前,将所有的线路都当作电源线。如果离安装地点很近,则打电话给公共事业公司或负责该建筑物的维修公司。
在安装天线时,不要使用金属梯子。
适当地着装。应该穿上带有橡胶底和鞋跟的鞋子、橡胶手套以及长袖衬衣或夹克。如果电源线发生事故或紧急情况,则应立即呼叫合格的应急处理人员。始终假定任何天线都正在发射RF能量。尤其要小心30.48(1英尺)或更小的 碟形天线。这些碟形天线通常以千兆赫兹频率发射RF能量。作为一个一般规则,频率越高,则辐射的危害就越大。即使在辐射中暴露区区10秒钟并且发射功率只有几瓦特,其危害仍然很大。对于传输这些能量的同轴电缆的无接头终端而言,迄今为止尚没有什么已知的危害。在移动或更换任何天线连接之前,必须确认发送器当前没有工作。
在安装微波天线时,如果你站在屋顶上,那么应避免走动,尤其要避免站立在任何天线面前。如果你必须在这些天线面前走动,而且又急步穿过天线路径轴线的话,那么安全性通常会变得非常低。
2.4 无线网络安全
网络安全是保护数字信息资产的过程。其目标是保证信息的完整性、机密性和可用性。计算机技术(包括无线技术)的发展给人们的生活和工作带来了许多好处。因此,所有的网络都应该保证它们的潜力得到最大限度的发挥。无线局域网(WLAN)给网络安全带来了独特的挑战。
2.4.1安全基础
安全的目标是保护资产、维持网络和商业流程。从历史上的大部分情形来看,第 24 页
无线校园网的设计与优化
安全意味着修建强大的防护墙,安装更小并且守得很好的门,为一小部分人提供安全访问。这种策略更适合有线局域网。移动商务和无线网络的兴起使得这种模型不合适宜。一台防火墙设备不再能够提供安全性,因为无线信号很难进行物理隔离,因此,WLAN必须采用另外一些技术和策略。
大多数人在谈论安全问题的意思是保证用户只能执行授权的操作,只能访问授权的信息。其实,安全还意味着用户不能破坏系统的数据、应用和操作环境。安全不仅需要防范恶意攻击,也需要控制错误和设备失效带来的影响。能够阻止一种无线攻击的安全措施应该能够阻挡其他类型的麻烦。
2.4.1.1 WLAN弱点
WLAN对特定的攻击比较脆弱。由于802.11 WLAN的安全措施比较新,大多数攻击都是利用WLAN的技术弱点。一些公司没有在它们的设备上打开WLAN安全功能,所以配置上也存在问题。事实上,许多设备都使用了默认管理口令,它们通常很容易被获取。最后是安全策略上的弱点,有的公司没有明晰的无线设备使用策略,员工可以搭建自己的AP。这样的AP称为“AP”,它通常都是不安全的。
802.11的主要安全弱点包括:
仅认证设备的认证方式——对客户端设备进行认证。没有认证用户。这样没有授权的用户可以访问网络资源和资产。
弱数据加密——有效等效加密(WEP)被证明是一种低效率的加密方式。没有加密的数据在无线链路上传输时非常容易被黑客窃听。
没有消息完整性检验——完整性检验值(ICV)作为验证消息完整性的方式已经被证明效率不高。没有消息完整性验证,黑客可以修改任何无线数据帧的内容。
802.11的安全弱点会成为部署WLAN的障碍。决策者和用户不会采用可 能造成对敏感数据非法访问的新技术。
2.4.1.2 WLAN面临的威胁
如果WLAN技术是完全安全的,那么WLAN就不会面临威胁。由于存在许
第 25 页
无线校园网的设计与优化
多已知和未知的弱点,黑客可以给WLAN带来威胁。无线安全主要面临4大威胁:
无组织的威胁 有组织的威胁 外部威胁 内部威胁
无组织的威胁主要来自于业余人士,他们使用可以轻易获得的黑客工具,例 如shell脚本、驾驶攻击(war driving)程序和密码破解程序。
有组织的威胁来自于具有明确攻击目的的专业人士。他们对无线系统的弱点 有深入的认识,并且能够理解和编写攻击代码、脚本和程序。在很多情况下,他们会分享他们的攻击知识和工具。
外部威胁来自于公司外部的个人或组织。他们没有权限访问公司的无线网 络。他们会设法从公司建筑的外部进入公司网络,这些地点包括停车场、相邻的建筑或者是无线网络重叠的区域。
外部威胁是人们需要花费大量时间和金钱来对付的威胁类型。
内部威胁来自于对网络具有访问权限的人员,他可能具有某台服务器的帐号,或者是能够接触物理线路。根据FBI的调查,有报告的事故中,内部访问和帐号的滥用占60%~80%。由于无线信号会从网络的物理边界中泄漏出来,现在WLAN很容易暴露给外部黑客。
2.4.1.3 WLAN面临的攻击
从本质上讲,所有的攻击工具、脚本、代码等都可以归入到侦测攻击、访问攻击和拒绝服务(DoS)攻击这三个类别中。许多新的攻击工具,包括专门针对无线网络的攻击工具,它们同时包含了侦测工具和访问工具。一些脚本或程序可能是多种攻击的联合体,例如Internet蠕虫。幸运的是WLAN设备不会感染病毒或蠕虫,但它们会使得这些攻击代码迅速地传播给台式机或服务器。侦测攻击——侦测是对系统、服务或弱点进行未经授权的查询和绘制。它也称为信息收集或指纹采集,通常在访问攻击和DoS攻击的前面进行。侦测就像是一个小偷在观察邻居的薄弱攻击部位。在许多情况下,入侵者会检查门把手是 第 26 页
无线校园网的设计与优化
否坚固,以发现日后可以利用的弱点。侦测意味着使用常用的命令或工具获取目标网络尽量多的信息。无线窃听或包嗅探是偷听数据的常用方式。收集到的数据用来进行下一步访问攻击或DoS攻击。使用数据加密,同时避免使用容易受到窃听的协议,可以对抗窃听。无线侦测也称为战争驱动。用来进行无线网络扫描的工具包括主动式和被动式两种。被动式工具在侦测无线网络时不发送数据。主动式工具在完成侦测后发送一些请求来获取额外的无线网络信息。访问攻击——系统访问在这里指没有权限的入侵者获取设备访问权限的能力。进入或访问未经授权的系统意味着运行攻击脚本或工具利用被攻击系统或应用的已知弱点。访问是一个泛指的术语,它代表未经授权的数据操作、系统访问或权限扩大。访问攻击包括:利用弱点或不存在的密码和利用服务,例如HTTP、FTP、SNMP、CDP和Telnet。最简单的攻击称为社会工程。它不需要计算机技术。如果一个入侵者可以从组织的成员那里获取有价值的信息,例如文件、服务器或密码的位置,那么攻击的过程将变得异常简单。在WLAN中,黑客经常利用AP访问有线LAN中的设备,例如台式机和服务器。一个更高级的黑客会控制整个AP并按照自己的需要重新配置AP。恶意AP攻击——大多数客户端会连接到信号最强的AP上。如果一个未经授权的AP(一个恶意AP)信号最强,则客户端会连接到它上面。恶意AP可以访问连接到它上面的所有客户端设备的数据。因此,恶意AP可以进行中间人攻击,从而获取加密的数据,例如安全套接字(SSL)或安全Shell(SSH)。恶意AP可以使用ARP或IP欺骗引诱客户端发送密码和敏感数据。恶意AP在连接中与客户端建立未经WEP保护的会话。WEP攻击——针对WEP的攻击包括比特抖动、重放攻击和弱初始化向量(IV)收集。许多WEP攻击还处在实验室状态,但它们被记录得很好。拒绝服务攻击——指攻击者破坏无线网络、系统或服务,使得它们无法向合法用户提供服务。DoS攻击包括多种方式。常见的DoS攻击仅需要能够访问网络即可。由于这些原因以及它的潜在破坏性,DoS攻击是最让人头疼的,也是最难以防备的。无线干扰是WLAN实现没有解决的主要安全问题。一个简单的干扰发射机就可以中断通信。例如,持续地向一个AP发送访问请求,不管请求是否成功,这都回耗尽AP可用的无线频谱资源,使它不再可用。
第 27 页
无线校园网的设计与优化
2.4.2 WLAN安全技术
大多数无线安全事件的发生都是因为系统管理员没有采用有效的防范措施。因此,问题的关键不仅仅承认存在技术弱点和采取可用的应对措施,还需要验证应对措施是否处于适当的位置并且工作正常。
制定WLAN安全策略以开始应用安全措施非常有用。这些策略值得花费时间和精力去开发。一种好的安全策略应该达到如下目标:
提供审核现有无线安全的过程; 提供实现安全的总体框架;
定义哪些行为是允许的,哪些是禁止的; 帮助定义组织需要的工具和过程;
帮助关键决策者之间传递信息,定义用户和管理员的反馈; 定义处理破坏无线网络行为的过程; 如果需要,创建采取法律行动的基本原则。
一种有效的无线安全策略可以保证组织的网路资源得到保护,免遭破坏和非 法访问(包括有意的和无意的)。所有的无线安全特性都应该与组织的无线安全策略保持一致。如没有安全策略或者已经过时,它应该在决定如何配置和部署无线设备前创建或得到更新。
2.4.2.1服务集标识符(SSID)通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
第 28 页
无线校园网的设计与优化
2.4.2.2物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
2.4.2.3连线对等保密(WEP)在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
2.4.2.4 Wi-Fi保护接入(WPA)WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性
第 29 页
无线校园网的设计与优化
校验三个组成部分,是一个完整的安全性方案。
2.4.2.5 国家标准(WAPI)WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。
2.4.2.6 端口访问控制技术(802.1x)该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
2.4.2.7 虚拟专用网络(VPN)虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
第 30 页
无线校园网的设计与优化
2.4.3 Cisco的完整无线安全解决方案
我们所需要的无线LAN安全解决方案,应该利用基于标准的和开放的结构,充分利用802.11安全部件,提供最高级别的可用安全性,实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容,这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面:
可扩展身份验证协议(EAP),是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务(RADIUS)的扩展 IEEE 802.11X,用于控制端口通信的推荐标准
在使用安全解决方案时,在用户进行网络登录之前,与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后,客户机和RADIUS服务器(或其它验证服务器)通过用户所提供的用户名和口令进行双向的身份验证,对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护,不会被被动监听和其它攻击方法所截获。如果没有保护措施,没有什么能在空气中畅行无阻、绝对安全地传播。
这个过程的顺序如下:
无线客户机与访问点进行通信
在登录到网络之前,访问点拒绝所有客户机的对网络资源的访问。客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。利用802.11X和EAP,无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中,RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应,并把这个响应送到RADIUS服务器。RADIUS 第 31 页
无线校园网的设计与优化
服务器根据它的用户数据库中的信息,自己产生一个响应,并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份,上述过程逆向重复。当这个双向的验证过程全部完成后,RADIUS服务器和客户机确定一个有别于客户机的WEP密钥,并为客户机提供合适级别的网络访问权限,为个人台式机提供与有线交换部分相似的安全性。然后,客户机加载密钥,准备把它应用到登录会话过程中。RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。访问点利用会话密钥对广播密钥进行加密,把经过加密的密钥送到客户机,客户机利用会话密钥进行解密。客户机和访问点激活WEP,并把会话和广播密钥应用到后续会话的所有通信过程中。
EAP和802.11X在遵循WEP的基础上,提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时,EAP框架是对有线网络的扩展,使企业为每个访问方法提供一个单独的安全结构。下图为Cisco无线解决方案的认证流程。
第 32 页
无线校园网的设计与优化
3.5站点勘查和安装
RF勘察
无线电波传输、接受数据的能力以及传输速度受到周围环境中各种物体的影响。因为无线信号是直线传播的,每遇到一个障碍物,无线信号就会被削弱一部分,尤其是浇注的钢筋混凝土墙体。实验表明,在10米的距离,无线信号穿过两堵砖墙后,仍然可以达到标称的最高的传输速率,但再穿过一层楼板后,传输速率将只有标称速率的一半了。可见,钢筋混凝土墙体会极大地削弱无线信号。另外的其他一些建筑物材质,也是无线信号的或大或小的杀手。
覆盖范围
环境勘查的下一步就是确定覆盖范围,由此确定需要部署AP的个数。无线信号的重叠是非常重要的,它保证漫游的顺利实现,但是它们必须工作在不同的信道上,减少干扰的发生。WLAN的应用场合主要是在大楼内或大楼间,因此,建筑物的体积、布局、建材以及办公环境内各式各样的干扰源都是影响信号传输质量的因素。同样的一套WLAN设备在一个地方信号有效传输距离可能是100多米,换个地方可能连50米都不到。所以,在确定AP位置时,设备的标称值只能作为一个大致的参考,精确的位置必须要通过场地信号强度测试仪和比较试验来定。许多网络厂商都有面向企业的场地信号强度测试产品,效果都不错。
场地信号强度测试工具的种类很多,有基于笔记本、袖珍PC的,也有基于PDA的。基于袖珍PC的测试工具用起来比笔记本灵活,但功能和适应性稍差。如果选用基于PDA的测试工具,最好挑能接标准PC卡的那种,因为在标准PC卡上附加无线收发功能已是时下非常流行的做法。场地信号强度测试工具比较知名的品牌和型号有:思科的Aironet NIC、Symbol Spectrum24以及AgereOrinoco。
模型选择
WLAN的优化设计不仅要从覆盖范围的角度来考虑,还要考虑其负载能力,以保证服务质量。以布置WLAN教室为例,假设实际的需求是要保证30个学生同时点播多媒体课件,一个AP不能满足要求,需要在同一教室里面布置两个AP。第 33 页
无线校园网的设计与优化
由于用户需求是动态变化的,AP的实际负载可能会加重或减轻,这些变化可以通过对WLAN监视得知。网络管理员应根据实际变化对AP的数量和分布作出调整。
第三个重要因素就是用户使用WLAN的目的,不同的应用采用的不同的WLAN设计方案。举例来说,咖啡店的WLAN使用者可能是学生,而旅馆更多是商务人士。学生上网喜欢聊天、网络游戏和语音对话,而商务人士更可能的是连接到企业的企业网、收发电子邮件和处理商务。
在进行环境勘查时需要了解用户在WLAN上将运行哪些应用,因为这也将决定网络的带宽。网络应用需要的带宽乘上同时在线的用户数量,就是网络需要最少出口带宽。例如,如果网络应用需要200kbps的带宽,而同时最多有5个在线用户,那么就需要1Mbps的互联网带宽。
总之,良好的WLAN设计不仅可以保证较好的服务质量,也可以减少AP的使用数量从而节约成本,其前提是事先经过充分的实地测量和评估。
AP的覆盖范围与布放
AP的位置首先应根据实际的场景和需求初步进行选择,然后再通过实地测量进行调整。定位需要遵循以下原则:AP覆盖区域之间无间隙,AP之间重叠区域最小。第一条原则保证所有的区域都能覆盖到,而第二条原则是要尽可能减少所需的AP数量。
AP覆盖区域的确定需要根据接收到的信号强度来决定,做法是先设定一个信号强度阈值,例如为满足某个区域的WLAN终端点播流媒体课件的需求,通过测量得知信噪比SNR=10dB是能够保证点播流媒体课件质量稳定的最低信号强度,所以可将10dB作为阈值,凡是信号强度不低于这个阈值的区域就确定为AP的覆盖区域;然后进行实地测量,并记录产生AP的覆盖区域图,最后根据定位原则进行调整,直到满意为止。
由于各个区域的用户密度不同,一般情况下用户密度大的区域情况更复杂,所以应先在用户密度高的区域进行AP的布置,然后再布置用户密度低的区域。在空旷的户外可用对称圆形和球形来划定AP覆盖区域;而在规则的狭长或矩形建筑物内可用线形或矩形将AP对称分布。但是由于室内建筑结构的复杂性,例如金属防盗门、铝合金门窗等,应当在初步选择AP位置后进行仔细的测量,以 第 34 页
无线校园网的设计与优化
确保所布置的AP能够覆盖所有区域。
如果要通过增加AP 来提高覆盖能力和范围时,一定要在详细的规划和设计后再作出决定。在WLAN中,传送的数据是利用无线电波在空中辐射传播,它可以被发射机覆盖范围内任何WLAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,这样就可能会有人非法使用你的WLAN,更糟糕的是破坏或者攻击网络。所以你必须从安全的角度出发,仔细考虑AP的布放位置。
另外,在布放AP时,你还必须详细考虑信道的安排和单元大小。为了实现完美的信道规划,你必须仔细阅读AP的说明书或者厂商的支持网站,详尽了解该AP的无线信号覆盖范围。
总而言之,站点布放步骤如下:
收集建筑物的设计图和公文,从而了解房间电源和结构基础(例如金属防火通道、墙、门口和通道);
评估建筑物的环境,选择对无线信号影响最小的AP布放点; 测试无线信道,确保没有干扰; 选择全向或者定向天线的布放点; 配置多样化的天线避免或者减少干扰。无线网络管理
3.1 全程管理
随着用户数量的增加,以及WLAN越来越多地用于高速传输和重大应用,使WLAN实现集中化管理尤其重要。全程管理可使网络管理人员能够发现、管理和提升整个网络中的AP,并为增加功能和带宽管理能力创造条件。网络管理部门可以通过集中管理WLAN,对不同用户群给予优惠和接入权。对于大型企业网络来说,可使这种管理功能自动化和集中化。这样,当无线用户通过802.11x得到
第 35 页
无线校园网的设计与优化
认证时,企业AP自动将用户指配给相应的WLAN。
未来,智能化的AP让用户把业务推向网络边缘,也就是说通过无线基础实施,使管理控制形成分布式配置。每个AP都配有唯一的接入控制信息、用户认证和策略管理。把这种智能直接置入AP,意味着用户能够在连接企业几个地点的子网络间漫游。即使对AP分配的功能较多,也能由一个中央控制系统实施管理。
全程管理的一体化管理方式采用智能交换机、WLAN管理设备和智能无线接入设备,使有线网络和WLAN实现一体化管理和操作。这种接入方式的优点是:WLAN与现有的企业网无缝隙集成,从而降低运营成本。
在部署WLAN的初期可以只建少数几个AP。随着业务的发展,增加AP和交换机便能增大覆盖范围和容量,从而使网络达到较高的可扩充性。显然,这种接入方式最适合于现在拥有相当规模的有线网络的大型应用场合。
3.2 安全管理
在物理安全的管理上除应满足常规的机房安全管理外还需要对设备进行防雷击、信号屏蔽保护等现代信息技术保护。为防止蓝牙设备产生的网络对无线局域网络造成影响,在网络实验室内必须严格禁止蓝牙设备的开启,同时将无线网络接入点放置在金属盒中屏蔽,将天线外置,减少电磁辐射和干扰对关键无线网络设备内部电子器件的损伤。同时应尽可能的减少天线的发射功率,降低用户长时间使用无线网络受到的辐射的影响程度。
逻辑安全,无线局域网络的逻辑安全时要对用户的接入进行安全保障,同时防治网络受到黑客的攻击,可以综合运用智能卡技术,设计专用的无线网络接入管理系统,同时也可以使用交换机和无线路器以及无线接入点内置的SSID、WPA、WEP安全认证体系,DMZ主机、代理功能、防火墙功能、NAT转换、MAC地址过滤、VLAN、MAC与IP地址绑定功能等,进行综合配置。定期进行接入点扫描,可以防止用户的未授权接入。
第 36 页
无线校园网的设计与优化
3.3 无线电和WLAN设备管理
无线电和WLAN设备管理一般包括网络监视和网络控制两个部分。在WLAN中,无线信号因受周围环境干扰而有较大的误码率,它的数据传输速率是随距离、功率等因素的变化而变化的。而WLAN的优化以及数据传输质量的保证都是基于对WLAN的当前性能和状态的了解的。因此,对WLAN的监视与控制就显得很重要。网络管理员可以通过分析监控结果,对WLAN进行调整,使WLAN的性能达到最大的优化。
网络监视
网络监视可以通过采用以太网监视器和WLAN监视器来实现,这两种方法各有其特点。
对于WLAN监视器而言,在空气中传播的无线数据包也可以被捕获,因此可以通过对WLAN的MAC帧进行分析得到客户机和AP的MAC地址、服务配置标志符等,对其内容进行统计分析就可以得到当前WLAN的状态。目前,很多无线网卡可以工作在“监视模式”下,通过使用相应的接口来捕获MAC帧。此方法的优点是可以直接获得WLAN数据包并且不占用网络资源。但是由于无线信号的作用范围有限,若要对所有的AP都进行监视的话,每个AP一般情况下也都要配置一个这样的监视器,成本较高。
此外,基于简单网络管理协议(SNMP)的监视器具有管理站的功能。它读出AP的管理信息库中的信息,然后进行统计分析,可以得知AP的使用情况。如:哪一个AP覆盖的区域中的用户多、负载大,要在此区域内增加AP的数量来平衡负载;每一个AP及其覆盖区域内无线用户的信号质量和网络流量;无线终端在WLAN中的移动情况等。一个这样的监视器可以监视多个AP,因此基于SNMP的管理系统很适合于管理AP数量众多、分布范围广的WLAN。尽管SNMP的数据包会占用少量带宽,但是相对而言大大节省了网络监视的成本,而且方便实用。
网络控制
网络控制是网络管理的重要内容之一。由于无线环境的特殊性以及带宽的限制,更要对WLAN进行控制以保证服务质量。WLAN的网络控制主要有AP参数控制和自适应控制这两种方式。
第 37 页
无线校园网的设计与优化
所谓AP参数控制是指利用AP的自身参数设置进行的控制,这种控制主要包括:设置允许接入AP的用户数量(部分AP支持此功能)。由于带宽有限,如果对网络有一定的服务质量要求,例如视频课件点播、视频会议等,则必须限制同时使用同一个AP的用户数量。可以通过过滤用户的MAC地址来允许或禁止某些MAC地址的用户使用AP;通过过滤协议来禁用某些网络协议减少网络不必要的负担;在不存在隐藏节点的情况下,例如无线教室,AP和无线网卡还可以禁用RTS/CTS设置,减少额外增加的网络负担。
自适应控制是指按照预先指定的控制策略(如基于带宽或响应时间),网络监视器根据监视到的网络信息生成控制信息,然后将控制信息反馈到服务器,服务器对正在进行的服务内容进行相应控制,对某些客户的请求进行响应或拒绝。例如,在基于Web的多媒体点播系统中,预先在网络监视器中设定可用带宽和点播人数的阈值上限,如果当前网络带宽或点播人数超过预设的阈值,那么监视器通知服务器不再接受新的客户点播请求,或降低服务质量(比如降低画面清晰度或只传送声音数据)以响应更多的用户请求;而对于无线信号很弱(小于预先设定的阈值下限,不适合点播多媒体节目)的用户,服务器同样也可以拒绝他的点播请求,并通过Web方式通知此用户。对于TCP连接,如果无法或不适合在服务器端进行的控制可以考虑在链路上控制。控制的方法是在链路上监视TCP的数据包,当有新的用户进行TCP连接请求时,控制器立即发出复位包来中断这个请求。这种方法的缺点是对用户不友好,但在网络拥挤的情况下也不失为一种可行的策略。
3.4 计费管理
无线局域网应具有多种计费策略,除开发专用的计费管理平台外,还可以配合使用有线局域网络的计费方法,实现无线局域网络灵活的计费方式。
第 38 页
无线校园网的设计与优化 小 结
本文设计的无线校园网最大的特点是:摆脱了连接网线的束缚,能够使学习远离教室,可以在网络覆盖的范围内的任何地方上网;带宽很宽,适合进行大量双向和多向多媒体信息传输;通过无线终端与网络连接,可以做到人手一部终端而无需进行大量的综合布线、设备配置等工作。
无线校园网以上突出的特点,给高等教育带来了极大的便利,其便利程度超出了以往任何时期。这些便利的条件为高校实现教育理论的实践、进行深层次的教学改革提供了极大的潜力空间,必然引领着高校按照新的条件进行教学理念、教学方法、教学评估和教学管理等方方面面的改变,从某种程度上说,这种改变是革命性的。表面上看,无线校园网还是在技术方面对教学进行支持,但是由于这种支持可以深入到教学的核心部分,因此,必将引发高等教育教学改革的新一轮高潮。
校园网是一个庞大而复杂的工程,需要根据具体的环境来组建网络,涉及的面也比较广,本文这套方案只是针对无线校园网络建设提出的一种设计思路,在具体设计过程中没有进行本文中提到的收集建筑图纸和实地勘测的工作,因而在很多方面都只能说是一种设想,倘若要具体实施,就必须需要专业人员针对具体校园环境作出一个完整的解决方案,所以这只是一个基础,如果要组建校园网还需要对各个地方进行改进,这样才能节省校园网络成本,才能最大限度发挥出校园网的性能。
致谢语
这篇毕业设计论文是我大学学习生活的小结,四年的大学生活将随着论文的完成而告一段落。同时我也将开始新的工作和生活。
在这篇论文的研究和实现过程中,我得到了学校老师的悉心指导和帮助,对此,我向各位老师表达我最真诚的感谢,特别是我的指导老师吴绍兴老师,他在课题选择、内容安排、参考文献等许多方面都给了我不少非常好的意见,同时还
第 39 页
无线校园网的设计与优化
给我在熟悉无线设备、组建无线网络方面给了我很大的帮助,使我在研究探索的道路上少走了许多弯路,让我的论文得以顺利完成。在此我特别向您表示我的感谢和祝福,预祝您今后工作顺利,身体健康!
另外,非常感谢在我论文完成期间关心和帮助过我的同学、朋友们,是你们让我的工作更顺畅。还有要感谢的是我的父母,虽说平时您没有说什么,但您的行动让我知道在外不论是成功还是失败,我都有一个避风的港湾。
最后,我要感谢我的母校——南阳理工学院,是你给我了成长的空间,是你给了我梦想的舞台,是你给了我腾飞的翅膀。在此预祝母校在今后的越办越好!
参考文献
[1] Cisco Networking Academy Program 《思科网络技术学院教程——无线局域网基础》
人民邮电出版社
2005年8月 [2] Cisco Networking Academy Program 《思科网络技术学院教程(第一、二学期)(第三版)》 人民邮电出版社
2004年7月
[3] Cisco Networking Academy Program 《思科网络技术学院教程(第三、四学期)(第三版)》
第 40 页
无线校园网的设计与优化
人民邮电出版社
2004年7月
[4] Cisco Networking Academy Program 《思科网络技术学院教程网络安全基础》 人民邮电出版社
2005年4月
[5] Cisco Networking Academy Program
《思科网络技术学院教程CCNP1高级路由(第二版)》 人民邮电出版社
2005年3月
[6] Cisco Networking Academy Program 《思科网络技术学院教程CCNP 2远程接入(第二版)》 人民邮电出版社
2005年2月
[7] Cisco Networking Academy Program/Wayne Lewis, Ph.D.《思科网络技术学院教程CCNP 3多层交换(第二版)》 人民邮电出版社
2006年1月
[8] Cisco Networking Academy Program/Wayne Lewis, Ph.D.《思科网络技术学院教程 CCNP4 故障排除》 人民邮电出版社
2005年6月
[9]无线网络-产品与网络解决方案-中国-Cisco Systems
http://
[10]圆网—无线局域网安全技术
http://&b=10&a=0&user=baidu
附录
接入点(AP)配置
基本配置
配置系统名(主机名)
第 41 页
无线校园网的设计与优化
ap#configure terminal ap(config)#hostname ap001 ap001(config)#end
ap001#show running-config
ap001#copy running-config startup-config
分配IP地址
ap001#configure terminal ap001(config)#interface bvi1 ap001(config-if)#ip address 172.17.10.1 255.255.255.0 ap001(config-if)#end(或Ctrl-Z)ap001#show running-config
ap001#copy running-config startup-config
验证AP运行 网络映射
ap001#configure terminal ap001(config)#dot11 network-map 30 ap001(config)#end
ap001#show dot11 network-map ap001#show dot11 adjacent-ap
ap001#copy running-config startup-config 关联
ap001#configure terminal ap001(config)#show dot11 associations ap001(config)#show dot11 associations client ap001(config)#show dot11 associations statistics ap001(config)#end
ap001#clear dot11 client 0040.9645.2196 ap001#clear dot11 statistics dot11radio 0 ap001(config)#show dot11 associations 第 42 页
无线校园网的设计与优化
ap001(config)#show dot11 associations client ap001(config)#show dot11 associations statistics
网络接口配置
ap001#configure terminal
ap001(config)#interface dot11radio 0 ap001(config-if)#
ap001#configure terminal
ap001(config)#interface fastEthernet 0 ap001(config-if)#
ap001#configure terminal
ap001(config)#interface fastEthernet 0 ap001(config-if)#ip address 172.17.10.1 255.255.255.0 ap001(config-if)#speed 100 ap001(config-if)#duplex full ap001(config-if)#no shutdown ap001(config-if)#^Z ap001# ap001#show interfaces ap001#show ip interface brief ap001#show running-config
ap001#copy running-config startup-config
ap001#configure terminal ap001(config)#int dot11radio 0 ap001(config-if)#ssid ap1 ap001(config-if-ssid)#authentication open ap001(config-if-ssid)#exit
第 43 页
无线校园网的设计与优化
服务配置 ap001(config-if)#no ssid tsunami ap001(config-if-ssid)#^Z ap001# ap001#show running-config
ap001#copy running-config startup-config
ap001(config-if)#power client 20 ap001(config-if)#power local 20 ap001(config-if)#speed throughtput ap001(config-if)#speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0
ap001#configure terminal
ap001(config)#interface dot11radio {0|1} ap001(config-if)#no dot11 extension aironet
ap001(config-if)#payload-encapsulation snap | dot1h ap001#show running-config
ap001#copy running-config startup-config
ap001#configure terminal ap001(config)#line vty 0 4 ap001(config-line)#login local ap(config-line)#end ap001#show run ap001#configure terminal ap001(config)#ip domain-lookup ap001(config)#ip domain-name cisco.com ap001(config)#no ip domain-lookup
第 44 页
无线校园网的设计与优化
ap001#configure terminal ap001(config)#ip http authentication local ap001(config)#ip http port 8080
ap001(config)#access-list 1 permit host 10.0.1.1 ap001(config)#ip http access-class 1
ap001(config)#ip http help-path file://c:wirelesshelp ap001(config)#end ap001# ap001#show running-config
ap001#copy running-config startup-config
【校园网的组建毕业论文】推荐阅读:
组建校园局域网方案11-11
校园广播的毕业论文01-11
构建和谐校园论文:在构建和谐校园中发挥政协委员的作用11-07
高校校园标识导向系统的设计研究论文12-26
六年级毕业季日记:忘不了的校园02-14
校园招贴设计论文06-07
校园安全风险论文10-02
校园足球本科论文10-21
校园足球训练论文02-08
