《学院无线局域网组建与安全设计》毕业设计

1、学院无线局域网的组建与安全设计学院无线局域网组建与安全设计（此论文只供参考，请勿原文照搬，最终解释权为原文作者所有）摘 要 本方案是在学院现有传统有线局域网的基础上对整个校园网络的扩展、补充和完善，弥补了有线校园网的不足，提高校园网络覆盖率，避免校园内出现网络“死角”。有线无线的校园局域网，将加快学院教育的现代化信息网络化，进一步提高教学质量与信息交流。设计采用了目前流行的IEEE802.11b/g无线局域网协议。在无线设备的选型上，充分考虑了学院现有网络的具体应用需求以及将来网络扩展的需要。在网络安全方面则采用了服务区标示符（SSID）、连线对等保密（WEP）、MAC验证端口访问控制技术（8

2、02.1x）等多项安全保护措施，从而保证了整个校园网络的安全。关键词 校园局域网，无线局域网,IEEE802.11无线标准协议，安全Abstract This scheme is expansion, supplementary and perfect of the network of the whole campus on the basis of wired LAN of institute's existing tradition. Having remedied the deficiency of wired campus network, raises the networ

3、k coverage rate of the campus, the network "dead angle" appears in the campus to prevent from. Wired + wireless campus LAN will accelerate the modernized information networking that the institute educates; improve teaching quality and information interchange further. Have designed and adop

4、ted present popular IEEE802.11b/g wireless LAN agreement. On the selecting type of wireless hard devices, have fully considered using the demand and need that the network will be expanded will come concretely of institute's existing network. Have adopted the serving area and Service Set Identifi

5、er (SSID), Wired Equivalent Privacy (WEP), MAC verifies ports and Port Based Network Access Control (802.1x), etc., thus guarantee the whole online security.The key words CAMPUS NETWORK, WIRELESS, 802.11b/g, SECURITY目 录摘要1 目录2前 言41 无线局域网411无线局域网概述4111无线局域网概念5112无线局域网特点512 无线局域网的应用领域61. 3 无线局域网IEEE80

6、2.11标准协议614 无线局域网的常见拓扑形式7141 基础结构模式7142 无线局域在室外的结构8143 无线局域网的室内应用815 无线局域网的安全性9151 无线局域网的安全加密措施92 新型现代校园无线局域网解决方案1021 用户介绍1022 用户需求分析1023 无线局域网解决方案12232 网络方案说明13233 工程产品选型与需求列表15234施工方法1624 网络管理与安全16241 网络管理17242 硬件安全设计17243 软件安全设计1825 方案的可行性论证183 总结193. 1 展望与学术讨论193. 1. 1方案完善方面193. 1. 3 问题讨论21附录I无线

7、局域网组建与安全测试报告23附录II 产品参数与报价参考33参考文献38前 言在信息化高速发展的网络时代，随着技术的成熟与成本的下降，无线网络逐渐形成热点。无线局域网是计算机网络与无线通信技术相结合的产物。随着这几年用户对计算机依赖性的迅速增加，类型也更为复杂。现代电子技术的发展，使人们可以根据不同的要求选择不同的网络解决方案，传统有线网络由于受到设计或环境的制约，在物理、逻辑和资金方面普遍存在着一系列问题，特别是当涉及到网络移动和重新布局时。所以发展一种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。进入90年代以来，随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端

8、得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能满足数据通信的需求，要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展，因此更进一步的推动了无线局域网（Wireless LAN，简称WLAN）的发展。1 无线局域网11 无线局域网概述无线局域网的应用解决方案，使将传统意义上的WLAN网络进行拓展，结合现有和将来用户对网络应用的各种各样的不同需求，并且考虑了将来结合整个Internet IP网络的发展而提供的。无线局域网WLAN使计算机网络与无线通信技术相结合的产物，它为通信的移动化、个人化和多媒体化应用提供了潜在的手段。在互联网高速发展的今天，无线局域网将是未来

9、发展的趋势，必将最终代替传统的有线网络。 通常计算机网络的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,无线局域网的出现轻松的解决了这些难题。它完全抛开了传输线路的束缚，无线用户可以在无线所覆盖范围里面自由的在线移动漫游。并且，无线的局域网络建设成本底，建网安装简单易用，不需要复杂的网络布线，也不需要投入太多的人力财力进行维护，是实现校园网络、企业、公司无死角的

10、最佳网络建设方案。华软软件学院校园无线局域网解决方案针对不方便进行大规模布线或不宜布设太多信息点的建筑如：大礼堂、会议厅、图书馆及户外场所等，给出了良好的解决方案。111 无线局域网概念无线局域网是指以无线信号（无线电波、激光、红外线）作传输媒介的计算机局域网（Wireless Local Area Network），简称WLAN。无线局域网的数据传输速率现在已经能够达到108Mbps（802.11g+），传输距离可远在20km以上。它是对有线联网方式的一种补充和扩展，使上网的计算机具有可移动性，能快捷、方便地解决使用有线方式不易实现的网络联通问题。112 无线局域网特点无线局域网的出现使有线

11、网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。在不用传统布线的同时，提供有线局域网所具有的功能，并能够随着用户的需求灵活的更改、扩展网络，实现移动应用。无线局域网具有传统有线网络无法比拟的特点：l 组网简易，安装便捷在传统的网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线工程，在施工过程中，往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少网络布线的工作量，只要在适当的地点安装一个或多个接入点AP(Access Point)设备，就便建立覆盖整个地域的局域网络。l 易于扩展，网络升级方便无线局域网有多种连接与配置方式，能够根据需要灵活选

12、择。这样，无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点，所以发展十分迅速。l 成本节约，使用灵活由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，便需预设大量使用率低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生，对布线工程难度大（如是影响美观，不可通孔等）利用WLAN的特性可轻松解决、节约成本。12 无线局域网的应用领域在国内，WLAN的技术和产品在实际应用领域还是比较新的。但是，基于无线局

13、域网具有的诸多优点，它广泛应用于下列领域：l 接入网络信息体统：电子邮件、文件传输和终端仿真。l 流动工作者可得到信息的区域：需要在医院、零售商或办公室区域流动时得到信息的医生、护士、零售商和白领工作者。l 办公室和家庭办公室（SOHO）用户，以及需要方便快捷地安装小型网络的用户。l 难以布线的布线环境：古旧建筑、布线困难或是昂贵的露天区域、城市建筑群、校园(户外)和工厂。l 现代家居首选：考虑美观与整体布局，无线局域网使用便携式计算机等可移动设备进行快速网络连接。l 专门工程或高峰时间所需的暂局域网：学校、商业展览、酒店等地点高峰时所需要的额外工作站点。1. 3 无线局域网IEEE802.1

14、1标准协议802.11 在该标准中RF传输标准是跳频扩频（FHSS）和直接序列扩频（DSSS），工作在2.4000GHz2.4835GHz。在MAC层则使用载波侦听多路访问/冲突避免（CSMA/CA）协议。802.11标准主要用于解决办公室局域网和校园网中，用户与用户终端的无线接入，业务主要限于数据存取，速率最高只能达到2Mbps。1999年8月，已经修订了802.11标准成为IEEE/ANSI和ISO/IEC的一个联合标准，ISO/IEC将该标准定为ISO8802-11。由于802.11在速率和传输距离上都不能满足人们的需要，因此，IEEE小组又相继推出了802.11b和802.11a两个新

15、标准。它们是对802.11标准的扩充。三者之间技术上的主要差别在于MAC子层和物理层。802.11b 采用2.4GHz 频带，调制方法采用补偿码键控(CKK)，共有3个不重叠的传输信道。传输速率能够从11Mbps 自动降到5.5Mbps，或者根据直接序列扩频技术调整到2Mbps和1Mbps，以保证设备正常运行与稳定。802.11b+ 一个非正式的标准，称为增强型802.11b。802.11b+跟802.11b完全兼容，只是采用了Packet Binary Convolutional Coding (PBCC)数据调制技术，所以，能够实现高达22Mbps的通讯速率，完全适用于数字图像、视频、MP

16、3等多媒体文件的传输。 802.11g 是04年6月12日正式定案的第三个传输标准，共有3个不重叠的传输信道。它虽然同样运行于2.4GHz，但由于该标准中使用了与802.11a标准相同的调制方式OFDM，使网络达到了54Mbps的高传输速率，而最近推出了高达108M的802.11g+，市场上已有相关产品。而基于该标准的产品价格也只略高于802.11b标准产品。目前从性价与应用较好的产品是一能支持802.11b/802.11g相适应的无线网络设备，能较大程序上满足需要。14 无线局域网的常见拓扑形式在一个典型的无线局域网环境中，有一些进行数据发送和接收的设备，称为接入点(AP- Access p

17、oint)。通常，一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下，AP可以通过标准的Ethernet电缆与传统的有线网络相联，也可以通过AP与AP之间相联，作为无线网络和有线网络的连接点。无线局域网的终端用户可以通过无线网卡等访问网络。141 基础结构模式在基础结构模式，无线计算机通过接入点发送和接收信息。无线计算机将信息发送到接入点。 接入点接收信息，并将信息转播到其他计算机。接入点还可连接到有线网络或英特网。多个接入点可合作，覆盖广阔区域。在对等模式（又称为 Ad Hoc 模式），无线计算机将信息直接发送到其他无线计算机。您可使用对等模式将家庭或小型办

18、公室中的计算机联网，或者设置临时无线网络举行会议。142 无线局域在室外的结构l 点对点型该类型常用于固定的要连网的两个位置之间，是无线连网的常用方式，使用这种连网方式建成的网络，优点是传输距离远，传输速率高，受外界环境影响较小。l 点对多点型该类型常用于有一个中心点，多个远端点的情况下。其最大优点是组建网络成本低、维护简单；其次，由于方案使用了全向天线，设备调试相对容易。该种网络的缺点也是因为使用了天线，波束的全向扩散使得功率大大衰减，网络传输速率低，对于较远距离的远端点，网络的可靠性不能得到保证。l 混合型这种类 型适用于所建网络中有远距离的点、近距离的点，还有建筑物或山脉阻挡的

19、点。在组建这种网络时，综合使用上述几种类型的网络方式，对于远距离的点使用点对点方式，近距离的多个点采用点对多点方式，有阻挡的点采用中继方式。143 无线局域网的室内应用l 独立的无线局域网这是指整个网络都使用无线通信的情形。在这种方式下可以使用AP，也可以不使用AP。在不使用AP时，各个用户之间通过无线直接互联。但缺点是各用户之间的通信距离较近，且当用户数量较多时，性能较差。l 非独立的无线局域网在大多数情况下，无线通信是作为有线通信的一种补充和扩展。我们把这种情况称为非独立的无线局域网。在这种配置下，多个AP通过线缆连接在有线网络上，以使无线用户即能够访问网络的各个部分。15 无线局域网的安

20、全性151 无线局域网的安全加密措施l 服务区标识符（SSID）无线工作站必须出示正确的SSID才能访问AP，因此可以认为SSID是一个简单的明文口令，从而提供一定的安全验证（需设置SSID名不广播才可）l 物理地址（MAC）过滤由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。l 连线对等保密（WEP）在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能

21、获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制。l 端口访问控制技术（802.1x）该技术也是用于无线网络的一种增强性网络安全解决方案。当无线工作站（STA）与无线访问点（AP）关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开逻辑端口，否则不允许用户上网。l 虚拟专用网络（VPN）VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义；但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的

22、用户认证以及计费。2 新型现代校园无线局域网解决方案21 用户介绍该无线局域网方案是以广州大学华软软件学院为背景而设计的，华软学院是一间具有独立校园的软件学院，目前在校学生已达5000人，学院按数字化标准所建的有线校园网络，以太网连接到每一间宿舍、每一间课室、实验室以及每一间办公室，信息接入点数量到6000个左右。今后，随着学院的不断发展和壮大，在校学生数量的不断增加，校园网的规模还将渐渐地扩大。据了解，到2005年9月，学院在校学生将达到7000多人，同时随着行政大楼、产业大楼的投入使用，到时学院网络信息接入点总的数量将达到8000个左右。22 用户需求分析作为一个以软件为主要专业方面的华软

23、学院，在偌大校园内，教师与学生的流动性较强，很容易在一些人员聚集的地方，形成以网络为媒介的学术与资源“交流场所”。由于华软学生专业需要与移动性接入需求的提高，根据不完全调查，目前笔记本的拥有数量约为2.5%（约100人），并打算购笔记本者有约占10%，再加上流动性的教授、授课老师、研究人员、行政人员及来访客人的笔记本数量，在整个校园网中体现出了不定期、不定地区的不定数量需求的增加，现在移动性网络的布置成为了目前迫切的需求。按学院的现状分析，主要的应用场地有：l 图书馆：除了图书馆藏书外，本学院也有着藏书量硕大的电子图书馆，经常有同学携带笔记本于图书馆收集资料，作设计，写报告，而上网仅仅限制在指

24、定的可上网区域，出现了供过于求并且降低灵活性，与使用效率。 l 礼堂：经常用于举办知识竞赛活动等,因为活动具有临时性、变动性，所以，采用传统的布线往往带来资源浪费、布线欠美观、前期组建时间长等不足。l 教师办公大楼：新建立的教师办公大楼，虽然已布有线网络的布线，但存在着以下问题：1、一个楼层近200个信息点，而首是采用每层的接入层直接连到信息点的，这样会出现维护起来时间较长，不能使得很快进入网络使用状态，影响老师们正常的日常工作。2、每一层都设有较为大型的会议厅，有助于老师们进行交流，在无纸办公的校园里，甚至很多人开始采用笔记本直接办公，对于办公厅进行有线布线增加了难度也影响了美观。3、在教职

25、工中，有相当一部分属于兼职讲师、他们都经常是来往于其它学校与华软之间，更是采用移动式的办公，而也没有具体的办公桌，采用有线网络也影响了办公。l 多媒体课室：常用于讲座与学术交流，经常有教授与同学举行会议或讲座，讲课人多数备有笔记本并需网支持，按传统做法是用有线网，大幅度的限制了其灵活性，下面听讲者不能形成很好的网络上的互动。l 无边湖、足球场：良好的环境是学习的一个必要的条件，在阳光明媚的日子，也华软学子经常于无边湖边，或是足球场上用笔记本进行学习，或是举办户外活动。但这些地方由于施工难度大，不便设有线信息点。l 校外教职工宿舍教师经常于晚上进行作业批改、同学问题答辩、寻找资料进行备课、上学校

26、的BBS/FTP，从学校局域网获取有用资源，但目前该宿舍并没有加入到校园局域网中来，使得老师们在办公室工作，很晚才回宿舍休息。这样一来会有夜归遇险的可能，二来极大地影响了资源共享与信息交流，有违背了华软校园网建设的初衷，从而也间接的影响了同学们的学习与老师的私人时间。l 别墅区、碧波楼等访客区：经常有家长、领导到学校参观、看观学生、学术研究，一般他们可能携带笔记本，对于一个处处体现现代化气息的校园，虽然有有线网络的存在，但对在何处上网、上网速度等各方面都受到了限制，很多的笔记本目前已配备了无限上网功能。由此可见，目前现有的有线网络并不能满足于师生们的上网应用，有线网络在上述问题面前显得惨白无力

27、，而通过无线局域网解决方案便可轻松解决。校园网络是信息的集中之地，学生是对校园网络需求最大的一个群体，提供先进的信息化网络能够提高学生的应用水平，并且学生是对新技术需求最活跃的群体，构建一个有线无线、无线辅助有线的新型现代化校园局域网，对学院的发展来说十分必要的。当网络建成后，能够满足学生和教职工学习和教学的需求，加强、聚集随时随地的网络资源共享与交流，能够提供校园内大范围的网络覆盖，杜绝网络“死角”的存在，提高网络灵活性与使用效率。23 无线局域网解决方案本方案提出的无线校园局域网解决方案只要是针对不方便进行大规模布线或不宜布设太多信息点的建筑，如教室、图书馆、会议室、小礼堂、运动场、湖边、

28、校园草坪等。因此，在华软学院无线校园网络建设中设计了以下方案：231 方案网络拓扑图232 网络方案说明本无线网络方案采用独立无线网与非独立无线网结合的方式组网。独立无线接入方面：为了更好地提供无所不在的无线网络覆盖，同时较好的处理有线网络不易达到的区域，采用独立无线局域网有利于控制辐射范围，对有线网络产生较大的信赖性，所以，采用AP对AP桥接的方式进行点对点、对点多点连接，以网络中心为会聚层，以射功率较大的具有路由级功能的无线路由器进行接入层的数据收发。本无线局域网解决方案的无线设备采用了国内的D-Link品牌的无线产品，无论其产品性能、功能以及价格上都较有优势，能满足目前无线网络的应用，也

29、方面往生的升级拓展。在无线设备的分布上，使用了DI-624无线路由器（详见附录部分的产品参数说明）和DWL-2100AP、DWL-2000AP+无线接入器（详见附录部分的产品参数说明），将校园大部分地方通过WLAN实现高速无线覆盖。由于网络中心大致位于教学楼、产业大楼、新行政大楼和图书馆的中心位置，因此无线局域网的中心设在网络中心，使用一台大功率的DI-624无线路由器作为核心层设备，其信号就可以覆盖较大的范围并具有一定的防攻击（DDOS等能力）教学楼、产业大楼、新行政大楼以及图书馆、大致位于网络中心四周，在这四个地方各放置一台DWL-2100AP无线接入器（部分需要增设一个DWL-2100A

30、P作为中继器）作为汇聚层设备，覆盖其四周区域，并与放在各楼层的接入层设备通信，于新行政大楼每隔一层设一个DWL-2000AP+（五层按1、3、5层布置进行覆盖）。此外，在小礼堂一厅、湖边阅览室、浅草堂和招生办公室使用一个或多个DWL-2000AP+无线接入器作为接入层设备，与在其覆盖范围内的无线工作站通信。此外，教学楼中的无线设备还要使用一副ANT24-1201定向天线，与校外教职工宿舍无线设备进行通信，考虑到在校外还有一栋教职员工宿舍，那里没有铺设局域网，给部分教职员工的工作带来不便。为了便于信息的交流与共享，在本方案的设计中，在教职工校外宿舍使用了一台大功率的DWL-2100AP无线接入器

31、加上一副ANT24-1201定向天线（附有参数说明），与教学楼中的无线设备进行通信。非独立无线接入方面：在教学楼区，每个教室已经布设了网络接入信息插座，到达网络中心的距离也接近传输临界值。但是为了更好地推动学院现代化教育的建设，展示学院教育的信息网络化成果，本方案针对性地对部分较大的教室进行了无线信号的覆盖。在E101、E102、小礼堂二(其它D101、D102、三、四等作为临时备用设置即可)等经常用来举行学术交流活动或学术报告的阶梯教室。我们在这些教室各设置一个或多个DWL-2000AP+无线接入器（AP），直接用网线与楼层的交换机连接。同时对于别墅区、碧波楼都进行无线网配置，以提供更方便网

32、络接入，提高华软形象。为了更充分地利用校园网络提供的网络资料和网络服务，方案中还把校内休闲、娱乐场所，如休闲吧、图书服务中心、金加岛等场所作为本设计的附加方案。在上述地方各设置一个无线接入器（AP），直接用网线接入到原有的有线网络信息插座。这样，更能体现作为一个专业软件学院教育、生活网络化的特色。在无线网卡方面，除了非移动式电脑并采用无线接入为唯一地接入方式的电脑使用PCI、MINIPCI无线网卡外，本方案采用了DWL-122 802.11b无线局域网USB 网卡（详见附录部分的产品参数），特点是兼容性高（现在基本上的电脑都具有USB接口），可移动性强，便于管理、维护、回收。233 工程产品选

33、型与需求列表根据对性价的需求，我们的解决方案提供了D-Link产品供参考：（一）、采用国际著名网络设备提供商友讯集团（D-Link）自行研制、生产和销售的符合IEEE 802.11规范的无线网络设备。友讯作为居世界领导品牌的网络设备制造商，在22个国家有100多个营销点，产品遍及百余个国家，拥有众多世界级影响客户，是世界前五大网络设备厂商之一。就品牌知名度而言， D-Link品牌已经成为大陆市场中最具影响力、美誉度的网络设备品牌之一，有着较好的优势和较强的技术支持力量，性价比较高，我们推荐使用。产品名称及型号单位数量单价（元）总价（元）备注DI-624路由器 个1USB网卡按需采购，至少有10

34、个作临时使用DWL-2100AP个8DWL-2000AP+个20ANT24-1201定向天线付2DWL-122 USB无线适配器个N234 施工方法独立无线局域网组建方面：安装方法总则：安装遵循能上则上，能内则内，信号优先，成本第二，安全第一的原则，因地施宜。会聚层与接入层方面：尽量采用无阻碍安装（采用墙壁通孔等方法）AP信号覆盖方面：保证图书馆、新行政大楼、礼堂一、招生办及附近（喷泉广场与招办之间）进行全面覆盖状态非独立无线局域网不必要对此修改。24 网络管理与安全无线校园局域网是在现有有线网络基础上设计的，是对有线网络的扩展，每个无线接入点(AP)都是通过网线连接到有线网络中的交换机。每一

35、个无线网络的客户端都要经过访问权限验证，得到访问授权后，才能访问Internet或校园网。因此，无线局域网安全可以建立在现有有线网络安全方案的基础上，再配合该方案中为无线设备而设计的安全手段，从而保证了整个校园网络安全。方案中选用的无线产品设备都具有可网管功能，无线接入点AP图形化的配置界面和配置帮助，简化了非专业用户的安装、配置和管理工作。整个无线局域网解决方案中，结合无线网络拓扑结构图，设计了从硬件、软件两方面双管齐下的不同级别的安全方案。241 网络管理制定一套完整的成熟的管理方案是一个提高网络使用效率、减少维护成本、有效防止入侵、维持良好的网络环境的重要项目之一，为此，我们按照无线网络

36、的特性、安全方面的注意点、维护方面会遇到的问题，提出以下几点：1、带宽接入最好是独享，以保持网络的资源充份与稳定性。按目前学校的网络资源来看，有150M（有两条，一条100M，一条50M）的网络带宽接入，预计明年新年入学带宽需加大的情况也，可考虑用50M的带宽作为独享。2、命名方案：各AP的命名应与该地有直接或间接的联系，以助于往后维护查障。3、制作工程后拓扑图，并在维护中对信息点辐射区域进行跟踪，以达到可用辐射区域最大化。4、定点提供热点接入咨询，并提供无线网卡租借服务，定制租借规章，确定硬件物理安全。5、定期对设备作散热等处理:在使用率极低（如凌晨2点到4点之间）的情况下关闭电源，以延长设

37、备的使用寿命。242 硬件安全设计l 保护无线接入点AP的物理安全性:将接入点隐藏在不容易发现的地方，必要的时可以加上保护罩，以防被破坏或偷取。l 控制信号发射区域范围：布置AP的时候要在学校活动区域以外进行检查，防止AP的覆盖范围超出校园区域（难度比较大），同时要让保安人员在学校附近进行巡查，防止外部人员在学校附近接入网络。防止无线信号“泄漏”到校园范围之外，对校园区域外的无线信号作必要的保护工作。l 干扰控制：干扰是一个双重性的问题，在网络应用区内，希望干扰越少越好；在应用区以外甚至希望屏蔽信号，防止泄露，本设计注重对抗干扰方面：目前802.11b/g协议规定WLAN工作在2.4G的ISM

38、频段，没有使用授权的限制，因此广泛用于很多产品，比如蓝牙产品，微波炉等。虽然WLAN使用了扩频技术，但还是会受到一定的干扰。所以，对蓝牙等数字产品需要调频，对微波炉等做防护措施。l 散热设计：AP施工，应具有一定的散热条件，保持通风，尽量防水，尽管本方案所选室外网络设计均有防水装置。以防止过热、进水而导致物理烧损，确保物理安全。243 软件安全设计l 高级安全级别：主要是核心层与汇聚层。外网访问内网时有防火墙的保护，因此可在无线设备上设置防止拒绝服务攻击的策略，本方案采用的会聚层级别的无线路由也具有相关的安全防护作用，可进行相关的配置。l 中级安全级别：重点办公区域采用IPSEC VPN解决方

39、案（本方案选定产品支持该功能），绑定移动网卡，防止WLAN网卡被任意改动。采用服务器802.1x认证。l 基本安全级别：1. 禁止AP向外广播其SSID，并SSID命名不要太简单（如是SISE很容易被猜出，应像SiseScse等）可通过对相关部门人员进行询问得知，并根据需求确定是否需要漫游来确定是否需要MAC绑定。2. 对设置在教室、礼堂以及公共场所的无线接入点采用64/128/256位的WEP验证, 并不使用默认的密钥以防止“弱口令”。从而防止非授权用户的监听及非法用户的访问。3. 修改缺省的AP登录IP、账户、密码，如SPARK LAN的默认登录IP为00，账户为：a

40、dministrator密码是public，这些默认信息会轻易被查到，从而达到窜改、入侵等目的，所以必须更改。l 监视分析方面：监测网络，利用分析器和监测器分析WLAN的数据流，发现未经授权的接入点，并且根据需要阻止或断开客户机，以及检测入侵者。25 方案的可行性论证华软学院是具有独立校园及完善教学配套的专业软件学院，已经构建了较大规模的有线校园网络，提供了现代化信息网络教育，这是我们学院的发展优势。可是，在图书馆、会议室、小礼堂、运动场、湖边、校园草坪等是不方便进行大规模布线或不宜布设太多信息点的地方却无法随时随地接入网络，但随着大学生中笔记本电脑的普及，上述场所往往在同一时刻有大量的电脑需

41、要接入Internet或校园局域网，而目前的有线校园网没有办法满足学生们在这些区域上网和进行网上教学互动活动。移动性与频繁交替性，使有限网络无法灵活满足他们对网络的需求，造成网络互联和Internet接入瓶颈。有线网络在上述问题面前显得惨白无力，本方案采用的无线局域网结构充分提高了网络资源的利用率。成熟的无线局域网技术，日趋广泛的应用，成熟的产品以及网络建设成本低等因素，使得无线局域网从小范围应用渐渐进入主流应用，同时也逐渐向高校校园发展。考虑上述因素，再加上我们学院对网络的实际应用和需求，在现有有线网络的基础上构建无线局域网将灵活满足全院师生对网络的需求，更好地突出我们学院现代信息化网络教育

42、的特色，和充分体现学院提倡的“无纸”化办公、教学和学习的优势。同时，无线局域网的出现必然扩大校园内网络的覆盖范围，解决了在某些地方出现网络死角的现象。总的来说，无线局域网的建设是从学院师生对网络的需求出发考虑的，是作为解决学院网络需求量大、用户多等问题的一个投资少，工程周期短的局域网解决方案。3 总结总得来说，本方案经过实地的考验、需求分析中，进行了网络拓扑设计、产品选择、安全设计与管理方案，并对其中的技术与操作细节都作了通俗的介绍，并对相关的关键技术点也进行了理论与实践上的论证，具有方案完整性、组建系统性、维护简易性、安全稳定性、灵活扩展性等优点。而当然，由于技术的成熟度问题，一些设置上还不

43、够人性化，不稳定性、过程太复杂以及未知客观条件等的原因，导致目前的无线局域网应用还不能够十分的完美，展望部分也对诸如此类进行陈述与探讨，并提出一些可行的解决方案。3. 1 展望与学术讨论3. 1. 1方案完善方面因为本设计是以WLAN的无线局域网架设为主体描述对象，但是，作为一个完整无线网络，除了主体外，还可通过对更多无线设备进行拓展，如目前的蓝牙技术，蓝牙设备可应用于短距离：打印机、手机、PDA（个人数字助理）、键盘、鼠标等的传输。在考虑成本的投入与使用情况下，可考虑采用。本技术已成熟，但产品价格相对较高。3. 1. 2 补救方案因本方案是采用独立无线网络结构为主的设计，所以，考虑于产品的成

44、熟度与环境的未知客观因素，如果该方案不稳定，便可采用以下补救方案：校园内可采用非独立无线网络，拓扑的设计已考虑到这一点，基本AP的设计不远处都会有有线信息点的存在，可以采用有线接入AP再进行无线的方案，因为安全方面作了防护措施。所以，一般情况下也并不担心成为有线网络下的入侵口。对于校外的教职工宿舍而言，便可采用在原有天线点对点传输的情况下，在教职工宿舍进行有线局域网的架设，仅以无线进行点对点传输。该补救方案与本设计方案相对是加强了传输的稳定性，但却对有线网络产生了信赖信。传输距离进行过测试，在不受天气影响（一般天气不好，户外的使用率也是极低，影响并不十分之大）与未知客观因素（如强力干扰）的情况

45、下，从技术与已知客观原因上看，补救方案需要启动的可能性是很低的，仅作防备措施。天线如存在无法稳定传输的问题（因为从实地考察，虽然网络中心与校外教师宿舍之间有一阻碍物），可能会影响传输。则可采取中继方案，该产品具有中继功能，只需要选择“行政楼”作中继点，进行桥接即可，但可能需要介入AP的能与，从而增加成本。3. 1. 3安全拓展方面正如2. 6. 2所说干扰是一个双重性问题，对于防干扰，方案中已提出一些防护措施，但是在必要的时候，AP的信号发射超出我们的需求范围，比如该设计（超出了校园以外的区域一般我们便不需要了，甚至想法制止），目前还没有一个较为全面的解决方法，以此提出几种可能点，可以从通以下

46、几点产生干扰：1. 频段方面：由于802.11b/g是在2.4GHz这个免费的频段中的，而该频段已有了许多成熟的应用，可考虑以简单的功能设备，发出有效的短波范围干扰，对应用区与非应用区进行隔离。2. 信道方面：中国的802.11b/g有11个信道，或许不久有一种可以在2.4GHz ISM频段下，对同一个信道进行信号干扰达到屏蔽功能。3. 算法方面：AP的信号发射方面，为了保证传输的稳定性与尽可能的加大距离，加进了一些抗干扰算法，可考虑从算法入手，生产出与AP配套的屏蔽发射器。4. 环境方面：由于无线的传输是借空气由媒介，所以，传输的稳定性受到环境的影响因素很大，如能根据该传输的特性，对特定的环

47、境有着适当的装璜方案，亦可达到屏蔽信号泄露的效果。以上仅供技术研究，未经考证，仅当参考。3. 1. 4 问题讨论IEEE802.11b无线LAN的速度为11Mbit/秒。但是与10Mbit/秒以太网相比有很多用户认为“无线LAN比较慢！”。下面就对802.11b无线LAN和10兆以太网（10BASE-T）的速度作一下比较。 首先，对802.11b和10BASE-T做了比较试验。使用常见的免费通信速度测定工具对两者的通信速度进行了测试。结果显示，IEEE802.11b的通信速度为4.7Mbit/秒。而10BASE-T则为8.9Mbit/秒。也就是说11M无线LAN的通信速度只有10M以太网的一半

48、左右。为什么会出现这种情况呢？难道802.11b的传输速度11Mbit/秒是假的？其实并非如此。802.11b传输数据的速度的确为11Mbit/秒。也就是说传输1bit信号所需的时间为1/1100万秒（约合90.9纳秒）。而10M以太网传输1bit数据则需要1/1000万秒（100纳秒）。如果仅比较这个速度的话，IEEE802.11b要快一些。那么，两者的速度为何相反呢？其原因就在于无线LAN和以太网传输数据的顺序截然不同。在以太网中，一个数据帧最大可传输150个“0”字节数据。在这些数据前后分别加上14字节以太网报头和用于容错的4字节校正位，这样就组成一个数据帧。然后在数据帧之前还要加上8字

49、节的链接码。即便连续传输数据帧，在数据帧之间也必定会有一个被称为帧间隔的最小限度时间间隔，以太网中有相当于12个字节的间隔。也就是说如要在以太网中传输1500字节的数据，那么就要发送1500+14+4+8+12=1538（字节）=1万2304（bit）的信号。在10BASE-T中，这1万2304bit的信号全部可以10Mbit/秒的速度发送。也就是说，以太网发送1500字节数据的时间包括等待时间在内就是1万2304（bit）÷10M（bit/秒）=1230微秒。下面同样再计算一下IEEE802.11b传输1500字节数据所需的时间。由于无线LAN的数据传输步骤非常复杂，因此计算也就麻

50、烦一些。在IEEE802.11b中，加在1500字节数据前面的报头是32字节，比以太网要长。数据校验位与以太网同为4字节。最长1536字节的数据帧将以11Mbit/秒的速度传输，计算出的传输时间为1536（字节）×8（字节）÷11M（bit/秒）=1117微秒。不过，在无线LAN中，在数据帧之前还要传输链接码和无线LAN特有的PLCP报头。传输这两种信息的时间总计定为192微秒。另外，在无线LAN中发送数据帧时除帧间隔的时间以外还必须等待一个随机时间（称为补偿时间）。在802.11b中这个平均时间总计定为360微秒。此外，无线LAN还规定，每发送一个数据帧就要从通信对象那里

51、接收一个ACK帧，以确认通信成功。在收到ACK帧之前不发送下一个数据帧。这个等待时间总计为213微秒。也就是说，在无线LAN中发送一个1500字节的数据帧所需时间包括等待时间和发送应答分组信息的时间在内，为1117+192+360+213=1882（微秒）。发送等量数据时，10BASE-T只需1230微秒，而802.11b则需1882微秒，最终导致无线LAN和以太网的通信速度的差别。附录I 无线局域网组建与安全测试报告一、测试所需基本设备笔记本电脑3台；笔记本电脑无线网卡2块（集成INTEL2100 mini PCI卡）及驱动程序；无线接入器（AP）2台；二、测试目的与基本内容测试目的：通过测

52、试，了解安全身份认证的过程及验证校园网无线解决方案的可行性及安全性。测试基本内容：1、 无线网络设备的安装、配置与测试；2、 架设配置基本的无线网络环境，作基本的无线网络测试；3、 无线设备身份认证的安全可靠性。三、测试详细步骤测试一、无线网卡的安装与配置步骤1、检查笔记本电脑是否已安装无线网卡。鼠标右键点击“网上邻居”，在弹出的快捷菜单中单击“属性”，弹出的窗口如图所示：该图为没安装无线网卡前的网络连接步骤2、参照下图安装无线网卡，将无线网络插入笔记本电脑的PCMCIA插槽中步骤3、Windows发现无线网卡后，将出现“硬件安装向导”界面，这时插入驱动程序的光盘。选择“自动安装软件（推荐）”

53、，然后单击<下一步>按钮。步骤4、在安装过程中，当遇到需Microsoft徽标测试的提示时，请忽略该提示，单击<仍然继续>继续安装。出现如下窗口时表明系统已经完成无线网卡的安装。单击<完成>结束安装过程。步骤5、安装无线接入器的管理软件，点击“SNMP software”按钮，并按照安装向导的提示完成管理软件的安装。步骤6、检查无线网卡是否安装成功。完成网卡驱动、管理软件的安装后，查看Windows XP程序右下角工具栏的图标，出现图标时表示网卡安装成功。测试二、无线接入器AP的连接、配置步骤1、把网线出入无线接入器的LAN接口。步骤2、将随无线接入器附带的

54、电源线一端连接到无线接入器，另一端连接到电源插座。观察指示灯的状态。l 先检查Power灯是否亮，如果指示灯亮表示电源正常。l 几秒钟后查看LAN口指示灯是否点亮，如指示灯亮表明与网线的连接正常。步骤3、指定无线网卡的静态IP，与无线接入器管理维护IP在同一网段。31、鼠标右键点击“网上邻居”，在弹出的快捷菜单中单击“属性”，出现“网络连接”窗口。打开这里32、进入无线网络连接状态界面，确定Windows无线网络设定被启用。点击打开33、单击<属性>按钮，进入“无线网络连接 属性”窗口，选择“Internet协议（TCP/IP）”，单击<属性>按钮。点击打开34设置TC

55、P/IP属性，选择“使用下面的IP地址”，输入IP地址，单击<确定>。该AP默认IP为00网卡设为同一段步骤4、登陆无线接入器的配置管理页面，进行相关的安全属性、参数的配置、管理。41、打开无线接入器的管理软件，进入无线接入器的设置管理器，单击“Find”菜单搜索附近可供使用的AP。点击开始搜索附近AP42、选中可用的AP，并单击<Connect >按钮。选中搜索到的AP43、输入密码并选择Administrator账户，以便具有修改配置的权限。44、对无线接入器基本参数的设置。45、选择 “Setup”“Wireless LAN”“Privacy

56、 Options” 菜单，对AP进行安全参数设置（WEP 128bit）。选择128位验证较为安全打勾即表示对SSID进行广播，附近的无线网卡可以收到SSID46、选择 “Setup”“Wireless LAN”“Operational Setting”菜单，对ESSID、Channel等进行设置。47、点击<Advanced>按钮，进行AP连接对象的设定（AP对无线网、AP对AP、AP网桥功能）测试三、无线网络WEP身份认证的测试。步骤1、右键点击Windows XP程序右下角工具栏的图标，选择“查看可用的无线网络”，进入“无线网络连接”窗口。步骤2、单击窗口中的“刷行网络连接”，搜索附近可用的无线网络