无线办公网络的规划与设计2013

1、学号： 11312060105 院系： 诒华学院 成绩： 西安翻译学院XIAN FANYI UNIVERSITY毕业论文题 目：无线办公网络的规划与设计 专 业： 计算机网络技术 班 级： 113120601班 姓 名： 指 导 教 师： 2014 年 5月无线办公网络的规划与设计（西安翻译学院人文工程系 710105）摘要:人们从来没有停止过对便利生活的追求，而为满足这种需要各种技术也不断被推动向前发展着。就在人们刚刚学会享受网络技术所带来的巨大便利之时，信息技术厂商已经在为我们描绘另一个更加宏大、美丽的场景，那就是无线网络。“无线网络能做什么”的浪潮已经过去，“如何使用无线网络”又将成为新

2、一轮的竞争焦点。而这新一轮的网络发展正在力争让无线技术覆盖到全球的各个角落，试图让人们能够在任何时间、任何地点，通过任何设备都能联入网络。然而，当更多的线缆被肉眼看不见的无线信号取代以后，用户是否能够获得足够的安全保障将 成为必须回答的问题之一。这就好似将所有的鸡蛋放在同一个篮子里。覆盖在地球表层的巨大信号体系既能够让我们的生活变得更加美好，也可能在转瞬之间夺走我 们所有的安全感。 使用无线组网的技术，通过安装AP和PCMCIA无线网卡或USB无线网卡，就可以在公司内部架构起无线局域网，使得办公区、会议室、会客室、展示厅及休息区都可以移动上网，为移动办公创造了条件。关键字：无线网络，无线安全，

3、无线组网Summary：People never stopped the pursuit of convenience life, while also constantly pushed forward with a variety of techniques to meet this need. People just learn to enjoy the enormous convenience of network technology, information technology vendors have portrayed for us another more ambitiou

4、s, beautiful scene, is that the wireless network. "The wireless network can do the" wave of the past, "how to use the wireless network" will also become the focus of a new round of competition. This new round of network development is to strive to let the wireless signal cov

5、erage to every corner of the globe, trying to get people at any time, any place, any device can be linked into the global network. However, when more cables invisible wireless signals to replace, whether the user is able to obtain adequate security will become one of the issues that must be answered

6、. It's like all your eggs in one basket. The huge signal system covering the surface of the Earth is able to make our lives better place may take our sense of security in the twinkling of an eye. Use wireless networking technology, through the installation of the AP and PCMCIA wireless card

7、 or USB wireless card to play a wireless local area network within the company structure, making the office area, conference rooms, meeting rooms, exhibition hall and lounge area can be moved to the Internet, as the mobile office to create the conditions.Keywords: wireless network, wireless security

8、, wireless networkingIII第一章 绪论无线网络对世界的重大变革最早可追溯至第二次世界大战时期。由于无线网络的应用，信息的传输能够轻易、有效且确实地越洋及越过敌军战线。从此，无线网络技术持续发展，地位也越来越重要。移动电话就是无线网络系统的一部分，人们每天使用移动电话与他人通话。经由利用人造卫星及其他信号，无线网络系统使越洋信息的传送化为可能。在灾难应对上，警局使用无线网络迅速地传播重要信息；不论是在小型办公大楼内或横越整个地球，个人及公司都利用无线网络快速地发送或分享数据。无线网络的其他重要应用之一，就是在基础电信建设贫乏或缺乏资源的国家和地区提供一个便宜及快速的管道连接

9、上互联网，像是大部分的发展中国家。而在使用无线网络时，兼容性的问题也同时浮现。不同的制造厂商所生产的组件可能无法在同一个平台使用，或是需要额外的作业程序来使修正这些问题。基本上无线网络比起经由以太网电缆直接连接要来的慢。无线网络比较容易受到攻击，因为任何人都可以尝试去入侵无线网络的信号。许多网络提供有线等效加密（WEP）防护系统，但它其实也相当容易受到攻击。虽然WEP能够挡掉一些入侵者，但许多公司基于安全性考量，仍坚持使用有线网络直到问题改善为止。另一种无线网络防护系统为WPA（Wi-Fi Protected Access）。WPA提供了比WEP更安全的无线网络环境，而这道防火墙可以帮助易受入

10、侵的无线网络修补漏洞。第二章 无线局域网技术概述无线局域网第一个版本发表于1997年，其中定义了介质访问接入控制层（MAC层）和物理层。物理层定义了工作在2.4GHz的ISM频段上的两种无线调频方式和一种红外传输的方式，总数据传输速率设计为2Mbit/s。两个设备之间的通信可以自由直接(Ad-hoc)的方式进行，也可以在基站(Base Station, BS)或者访问点（Access Point，AP）的协调下进行。 1999年，加上了两个补充版本: 802.11a定义了一个在5GHz ISM频段上的数据传输速率可达54Mbit/s的物理层，802.11b定义了一个在2.4GHz的ISM频段上

11、但数据传输速率高达11Mbit/s的物理层。 2.4GHz的ISM频段为世界上绝大多数国家通用，因此802.11b得到了最为广泛的应用。苹果公司把自己开发的802.11标准起名叫AirPort。1999年工业界成立了Wi-Fi联盟，致力解决符合802.11标准的产品的生产和设备兼容性问题。802.11标准和补充。下面将对无线局域网作一些基本介绍，包括放弃相关网络结构和无线局域网的优缺点。2.1 无线网络成员和结构：Basic Service Set, BBS, 网络最基本的服务单元。最简单的服务单元可以只由两个站点组成。站点可以动态地联结(associate)到基本服务单元中。Distribu

12、tion System, DS，分配系统用于连接不同的基本服务单元。分配系统使用的媒介(Medium) 逻辑上和基本服务单元使用的媒介是截然分开的，尽管它们物理上可能会是同一个媒介，例如同一个无线频段。Access Point, AP。接入点是无线网和有线网的接口，既有普通站点的身份，又有接入到分配系统的功能。Extended Service Set, ESS。由分配系统和基本服务单元组合而成。这种组合是逻辑上，并非物理上的。Portal，也是一个逻辑成分。用于将无线局域网和有线局域网或其它网络联系起来。2.2 无线局域网的优点灵活性和移动性。安装便捷。易于进行网络规划和调整。 故障定位容易。

13、 易于扩展。2.3 无线局域网的缺点与有线网络相比，速度下降。 不太安全，因为黑客的笔记本电脑可以作为接入点。 如果你连接到他们的笔记本电脑，他们会阅读所有的信息（用户名，密码）。 比有线网络更复杂的配置。 受到周围环境干扰。 例如：墙面（阻塞），微波炉（干扰），距离远（衰减） 第三章 无线局域网的标准3.1 无线2种配置模式3.1.1 无线Ad-hoc网络Ad-hoc网络通常是指任何一组网络中所有器件都具有平等的地位，并在网络上与任何其他Ad-hoc网络设备的连接范围。 很多时候，Ad-hoc网络指的IEEE 802.11无线网络的操作的一种模式。3.1.1.1 Ad-hoc网络的优点无线A

14、d-hoc网络是一个分散型的无线网络。网络是临时的 ，因为它不依赖于预先存在的基础设施。相反，每个节点参与路由由其他节点的数据转发，以便确定哪些节点转发数据是由动态的基础上的网络连接。除了经典的路由，Ad-Hoc网络可以使用的数据转发的洪水。它是指网络设备的能力，保持任意数量的设备在一个1个链接（又名“跳跃”）的范围内，从而这是最常见的2层活动的链路状态信息。因为这仅仅是一个2层的活动，不支持Ad-hoc网络的单独一个路由的IP网络环境，无需额外的第2层或第3层的功能。图1 无线ad-hoc网络模式例图3.1.1.2 无线Ad-hoc网络缺点Ad-hoc的网络可能会带来安全威胁。Ad-hoc网

15、络被定义为对等网络之间的无线计算机，在它们之间没有一个接入点。尽管这些类型的网络通常有很少的保护，可以使用加密方法来提供安全性。 提供的Ad-hoc网络的安全漏洞是不是Ad-hoc网络本身的桥梁，它提供了到其他网络，通常在企业环境中，不幸的默认设置在大多数版本的Microsoft Windows有此功能打开，除非明确禁用。因此，用户甚至不知道他们有一个不安全的Ad-hoc网络在自己的电脑上运行。如果他们同时还使用有线或无线基础设施网络，他们提供一个桥梁的安全组织网络，通过无抵押Ad-hoc连接。 直接的桥梁，这就要求用户实际配置的两个连接之间的桥梁，因此，不太可能被启动，除非明确地需要，并且这

16、是在用户计算机上的共享资源的间接桥。间接的桥梁提供了两种安全隐患。（1）第一点是重要的组织获得的数据通过安全的网络可能会在用户端节点的计算机驱动器，从而发现通过不安全的Ad-hoc网络。（2）第二个是可以放置在用户的计算机上，计算机病毒或其他不良的代码通过不安全的Ad-hoc连接，因此具有的组织安全的网络的路由。 在这种情况下，放置恶意代码的人不用“破解”组织网络的密码，合法用户提供正常和常规日志可以通过。 3.1.2 无线infrastructure网络infrastructure的基本结构模式类似传统有线星型拓扑方案，此种模式需要有一台符合IEEE 802.11b/g模式的AP或无线路由器

17、存在，所有通信时通过AP或无线路由器作连接，就如同有线网络下利用集线器来作连接，该模式下的无线网可以通过AP或无线路由器的以太网口与有线网相连。此种方式是大家最为经常用到的方式。图2 无线infrastructure网络模式例图3.2 无线网络的协议IEEE 802.11b是无线局域网的一个标准。其载波的频率为2.4GHz，可提供1、2、5.5及11Mbit/s的多重传送速度。有时也被错误地标为Wi-Fi。实际上Wi-Fi是Wi-Fi联盟的一个商标，该商标仅保障使用该商标的商品互相之间可以合作，与标准本身实际上没有关系。在2.4GHz的ISM频段共有11个频宽为22MHz的频道可供使用，它是1

18、1个相互重叠的频段。IEEE 802.11b的后继标准是IEEE 802.11g，其传送速度为54Mbit/s。IEEE 802.11g在2003年7月被通过。其载波的频率为2.4GHz（跟802.11b相同），共14个频段，原始传送速度为54Mbit/s，净传输速度约为24.7Mbit/s（跟802.11a相同）。802.11g的设备向下与802.11b兼容。其后有些无线路由器厂商因应市场需要而在IEEE 802.11g的标准上另行开发新标准，并将理论传输速度提升至108Mbit/s或125Mbit/s。IEEE 802.11i是IEEE为了弥补802.11脆弱的安全加密功能（WEP，Wir

19、ed Equivalent Privacy）而制定的修正案，于2004年7月完成。其中定义了基于AES的全新加密协议CCMP（CTR with CBC-MAC Protocol）。无线网络中的安全问题从暴露到最终解决经历了相当的时间，而各大厂通信芯片商显然无法接受在这期间什么都不出售，所以迫不及待的Wi-Fi厂商采用802.11i的草案3为蓝图设计了一系列通信设备，随后称之为支持WPA（Wi-Fi Protected Access）的，这个协定包含了向前兼容RC4的加密协议TKIP（Temporal Key Integrity Protocol），它沿用了WEP所使用的硬件并修正了一些缺失，但

20、可惜仍然不是毫无安全弱点的，之后称将支持802.11i最终版协议的通信设备称为支持WPA2（Wi-Fi Protected Access 2）的。IEEE 802.11n，是2004年1月时IEEE宣布组成一个新的单位来发展的新的802.11标准，于2009年9月正式批准。传输速度理论值为300Mbit/s，因此需要在物理层产生更高速度的传输率。此项新标准应该要比802.11b快上50倍，而比802.11g快上10倍左右。802.11n也将会比目前的无线网络传送到更远的距离。802.11n增加了对于MIMO的标准，使用多个发射和接收天线来允许更高的数据传输率，并使用了Alamouti codi

21、ng schemes来增加传输范围。 802.11n支持在标准带宽(20MHz)上的速率包括有(单位Mbit/s)：7.2, 14.4, 21.7, 28.9, 43.3,57.8,65,72.2(短保护间隔，单数据流)。使用4*MIMO时速度最高为300Mbit/s。 802.11n也支持双倍带宽(40MHz),当使用40MHz带宽和4*MIMO时，速度最高可达600Mbit/s。IEEE 802.11k阐述了无线局域网中频谱测量所能提供的服务，并以协议方式规定了测量的类型及接收发送的格式。此协议制定了几种有测量价值的频谱资源信息， 并创建了一种请求报告机制，使测量的需求和结果在不同终端之间

22、进行通信。协议制定小组的工作目标是要使终端设备能够通过对测量信息的量读做出相应的传输调整，为此，协议制定小组定义了测量类。这些测量报告使在IEEE 802.11规范下的无线网络终端可以收集临近AP的信息（信标报告）和临近终端链路性质信息（帧报告，隐藏终端报告和终端统计报告）。测量终端还可以提供信道干扰水平（噪声柱状报告）和信道使用情况（信道负荷报告和媒介感知柱状图）。IEEE 802.11ac是一个正在发展中的802.11无线计算机网络通信标准，它通过6GHz频带（也就是一般所说的5GHz频带）进行无线局域网（WLAN）通信。理论上，它能够提供最少每秒1 Gigabit带宽进行多站式无线局域网

23、（WLAN）通信，或是最少每秒500 megabits（500 Mbit/s）的单一连接传输带宽。它采用并扩展了源自802.11n的空中接口（air interface）概念，包括：更宽的RF带宽（提升至 160 MHz），更多的MIMO空间流（spatial streams）（增加到 8），多用户的 MIMO，以及高密度的解调变（modulation，最高可达到256 QAM）。它是IEEE 802.11n的潜在继任者。3.3 无线网络覆盖范围通过微波通信所能传输的距离是由产品设计（包括发射功率和接受器设置）和传播路径决定的，尤其在室外环境和典型建筑物的相互作用下，包括墙，金属，甚至人都会影

24、响传输能量。因此，在一定的范围和覆盖区需要特定的系统才可达到。在只有一个AP接入点的典型无线局域网系统里，覆盖半径一般在100米到300米之间。通过微波连接，覆盖范围可以被扩充，并通过漫游可具有真正自由的移动性。第四章 需求分析及方案设计4.1 需求分析4.1.1 网络需求分析(1) 高带宽网络能满足各种信息的传输要求，特别是对于并发的，高带宽需求的实时数据如实时视频会议，视频点播等。网络的承载能力必须非常强壮。(2) 网络稳定性，对于网络稳定性要求应是不间断的，7x24小时工作的，冗余的网络，这样才能适应不停流动人群的数据应用。因此，网络设备应冗余布置，防止由单台设备的故障造成得全网瘫痪。

25、(3) 网络先进性，网络建设都应着眼于未来，因此在作本次方案设计时会本着技术成熟性，先进性的原则，并将当前的技术优势以及对未来网络的发展趋势预测注入其中。4.1.2 物理结构分析该办公楼拥有5层楼，每层楼有12个办公室，楼层平面图如下图所示：图3 楼层平面图4.2 总体方案设计在本次方案中，办室内推荐使用TP-LINK TL-WA801N无线接入点，它支持11N无线技术、300Mbps无线速率，在11B下速率最高可达22Mbps，为标准11Mbps的2倍，并向下兼容标准11Mbps。其专门设计的负载均衡，远程供电，用户隔离等功能充分满足运营级无线网的要求。并且支持64/128/152位WEP加

26、密， WPA-PSK/WPA2-PSK、WPA/WPA2安全机制，相对说比较安全。表1 无线接入点数配置楼层面积/平方米AP个数/个1楼8000122楼8000123楼8000124楼8000125楼800012总计4000060第五章 方案设计拓扑图及设备选择5.1 无线办公室拓扑图基于有线网络布线施工进度慢，工程成本高，相对于无线网络，快速，低成本建设，且可以提供高速网络接入，能满足用户实际网络需求，可达到无处不在的网络服务，为未来拓展信息服务，提高网络使用价值，打好了基础。一般的无线覆盖分为两层结构：接入层和汇聚层。接入层主要有无线AP构成，用来实现用户无线终端的接入；汇聚层主要有无线网

27、桥构成，主要用来实现将各个无线AP接入的信号汇聚到网络出口。在保证覆盖的基础上，为了降低可能的故障率，汇聚层的无线级联层数要求越少最好，在有条件的情况下最好能通过一级网桥直接将AP的信号汇聚至网络出口。整个网络的拓扑结构如下图5-1所示。图4 无线办公室拓扑图5.2 无线覆盖示意图如图所示，每个TL-WA801N覆盖范围约为30-100米，因此在一层中若要实现较好的覆盖效果，需要将12个AP间（具体AP个数要视现场具体建筑结构而定）进行交叠覆盖，这时可保证信号与用户流量的最优化方式传输。图5 无线覆盖示意图5.3 DHCP工作过程及办公室IP划分5.3.1 DHCP工作过程（1）DHCP请求I

28、P地址的过程 发现阶段，即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCPDISCOVER包，只有DHCP服务器才会响应。 提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCPDISCOVER报文后，从IP地址池中选择一个尚未分配的IP地址分配给客户端，向该客户端发送包含租借的IP地址和其他配置信息的DHCPOFFER包。 选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发送DHCPOFFER包，客户端从中随机挑选，然后以广播形式向各DHCP服务器回应DHCPREQUEST包，宣告使用它挑中的DHCP服务器提供的

29、地址，并正式请求该DHCP服务器分配地址。其它所有发送DHCPOFFER包的DHCP服务器接收到该数据包后，将释放已经OFFER（预分配）给客户端的IP地址。 如果发送给DHCP客户端的DHCPOFFER包中包含无效的配置参数，客户端会向服务器发送DHCPCLINE包拒绝接受已经分配的配置信息。 确认阶段，即DHCP服务器确认所提供IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCPREQUEST包后，便向客户端发送包含它所提供的IP地址及其他配置信息的DHCPACK确认包。然后，DHCP客户端将接收并使用IP地址及其他TCP/IP配置参数。 （2）DHCP客户端续租IP地址的过程

30、 DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限，期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址，需要更新IP租约。实际使用中，在IP地址租约期限达到一半时，DHCP客户端会自动向DHCP服务器发送DHCPREQUEST包，以完成IP租约的更新。如果此IP地址有效，则DHCP服务器回应DHCPACK包，通知DHCP客户端已经获得新IP租约。 如果DHCP客户端续租地址时发送的DHCPREQUEST包中的IP地址与DHCP服务器当前分配给它的IP地址（仍在租期内）不一致，DHCP服务器将发送DHCPNAK消息给DHCP客户端。 （3）DHCP客户端释放IP地址的

31、过程 DHCP客户端已从DHCP服务器获得地址，并在租期内正常使用，如果该DHCP客户端不想再使用该地址，则需主动向DHCP服务器发送DHCPRELEASE包，以释放该地址，同时将其IP地址设为0.0.0.05.3.2 办公室IP划分由于现在的IP资源十分紧张，故可以通过无线路由器提供的DHCP功能为办公室中的用户分配内部地址，在访问控制器AC端设立NAT服务，以实现地址的转换。表2 IP分配范围楼层IP地址范围1楼客户端192.168.11.0192.168.11.2552楼客户端192.168.12.0192.168.12.2553楼客户端192.168.13.0192.168.13.25

32、54楼客户端192.168.14.0192.168.14.2555楼客户端192.168.15.0192.168.15.2555.4 设备清单表3 设备清单序号产品名称型号单价/元数量总价/元1企业级路由器H3C RT-MSR3020-AC-H3¥75801台75802核心交换机H3C LS-3600-28P-SI¥49001台49003汇聚交换机CISCO WAP4410N¥11005台55004接入点TL-WA801N¥2706台16205电缆安普超五类双绞线屏蔽¥6205箱3100第六章 总体安装实施6.1 AP的安装（1）先在墙上打4个

33、直径为5mm左右的孔，间距为120×275mm的长方形四个顶角。（2）将安装导管置入孔内，并使安装导管外沿与墙面齐平。（3）将壁挂用螺钉固定在墙壁或天花板上。（4）AP上有3个指示灯，POWER代表电源连接的状态；ACT表示无线通讯的状态，无线通信接收信号时闪烁；LINK表示10BASE-T通道的状态。由于AP将定期发被称为BEACON（一种无线电信号）的数据，因此即使不进行通信，ACT灯也会闪烁。如果3个指示灯都显示正常工作，AP安装完成。第七章 无线网络安全7.1 无线网络威胁无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有

34、的，这包括：（1）插入攻击：插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。（2）漫游攻击者：攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如 Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving”；走在大街上或通过企业网站执行同样的任务，这称为“warwal

35、king”。（3）欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开公司已安装的安全手段，创建隐蔽的无线网络。这种秘密网络虽然基本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。（4）双面恶魔攻击：这种攻击有时也被称为“无线钓鱼”，双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点，然后窃取个别网络的数据或攻击计算机。（5）窃取网络资源：有些用户喜欢从邻近的无线网络访问互联网，即使他们没有什么恶意企图，

36、但仍会占用大量的网络带宽，严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件，或下载盗版内容，这会产生一些法律问题。（6）对无线通信的劫持和监视：正如在有线网络中一样，劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况，一是无线数据包分析，即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分，而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户，并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视，这种监视依赖于集线器，所以很少见。当然，还有其它一些威胁，如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网络带来风险的因素。7.2无线网络保安措施 防范非法用户这主要通过认证技术及加密技术来保证。通过802.1x认证、MAC地址认证、Portal认证等多种认证方式，保证无线用户身份的安全性，结合WEP（64/128）、WPA、WPA2等多种加密方式保证无线用户的加密安全性。另外，通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改，实现精细的用户权