某学院无线局域网络的规划设计_图文

1、湖南邮电职业技术学院毕业设计设计题目:某学院无线局域网的规划与设计班级:三网融合122班学号:201202070212姓名:王权指导教师:陈雪蓉完成日期: 2015 年 3 月 18 日目录摘要.31 前言1.1 无线局域网(WLAN的特点 (51.2 无线局域网(WLAN的现状和研究意义 (52 无线局域网(WLAN2.1 无线局域网(WLAN简介 (72.2无线局域网(WLAN的优点 (93 校园无线局域网3.1 校园局域网简介 (73.2 校园无线网的应用 (73.3 校园无线网的接入方式 (83.3.1 对等连接方式(Ad-Hoc 模式 (83.3.2 接入连接方式 (83.4 无线A

2、P的组网方案 (93.4.1 AP模式 (93.4.2 AP客户端模式 (103.5 校园无线局域网的拓扑 (123.5.1 接入点和网桥 (123.5.2 WLAN拓扑 (123.5.3 漫游 (133.6 安全运用校园无线网 (134 某校园WLAN的设计条件分析4.1 某校园WLAN的需求分析 (154.2 某校园WLAN建设目标分析 (174.3 校园WLAN安全性分析 (174.3.1 WLAN所面临的安全问题 (174.3.2安全因素考虑及相关措施的制定 (194.3.3无线网络安全性解决方案 (205 某校园WLAN的具体构建5.1 设计概述 (225.2 校园WLAN网络拓扑图

3、 (225.3 某校园WLAN具体解决方案 (245.4 某校园WLAN设计方案说明 (24总结 (31谢辞 (32参考文献 (33摘要目前,互联网越来越多的融入到人们的生活中,而在全世界范围内,校园网已经成为校园生活的重要组成部分,成为教师和学生获取资源和信息的主要途径之一。而在我国,多数校园网均是建立在有线网络基础之上,随着信息技术的飞速发展,“随时随地获取信息”已成为广大师生们的新需求。特别是应用数据、话音、视像多媒体的传输量的增加,校园网建设正向数字化、智能化方向发展。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、阶梯教室、体育馆等许多不宜网络布线的场馆设施如

4、何快速随时上网?在教室、实验室特别是在宿舍楼等场合如何突破网络节点限制、实现多人同时上网的问题?而校园无线局域网作为校园网的重要组成部分,因此在校园网中建设无线局域网作为有线校园局域网的重要补充显得尤为重要。无线局域网是相当便利的数据传输系统,它利用射频技术,取代旧式的双绞铜线所构成的局域网络,使得用户能够利用其简单的存取架构,信息随身化、随时随地连接网络世界。无线局域网弥补有线局域网络之不足,以达到网络延伸之目的。本文主要介绍了校园无线局域网的应用需求,以及校园无线局域网的设计思路。对校园无线局域网作出了物理和逻辑上的设计。同时针对设计校区对其网络环境做了优化和扩展,使其以后能更加灵活的融入

5、到网络生活中。关键词:无线局域网;校园网;IEEE802.11;信号覆盖ABSTRACTNowadays the Internet is becoming popular in peoples life, and Campus Network which is a major way of obtaining resource and information for teachers and students, has become a significant part in school life worldwide. However in our country, majority of

6、campus network is built on the base of wired local area network, so to obtain information wherever and whenever has become the new demand of teachers and students. With the rapid development of information technology, especially in increasing throughput of application data, audio and video multi-med

7、ia, campus network is going to be digitalized and intelligentialized. But traditional Campus Network has many network blind spot, such as how to quickly surf the Internet whenever in library, large conference room, amphitheater and stadium where it is not suitable for wiring? How to break network no

8、des limitations and realize people online simultaneously?As a big part of Campus Network, constructing Campus WLAN seems vital in campus as an important complement of Campus LAN.Campus WLAN is a strongly convenient data transfer system which utilizes RF technology instead of old local area network f

9、ormed by twisted-pair copper. It makes users to adopt its simple frame structure to let information connect to the network whenever and wherever. The WLAN makes up deficiency of LAN, aiming at network extension.This essay mainly introduces the application demand and design ideas of campus WLAN, and

10、makes a design of Campus WLAN physically and logically. At the same time, It also conduct optimization and extension for network environment of designing campus to make it into network life more elastically.Key Words: Wireless LAN;campus network;IEEE802.11;signal coverage1 前言1.1 无线局域网(WLAN的特点进入21世纪以

11、来,人类科技不断发展,计算机技术也在突飞猛进,计算机的用户也越来越多,用户要求互连的计算机设备数量不断增加,可接入网络的个人终端设备比如上网本、手机、平板电脑、电纸书等也在迅猛增加,类型也更为复杂。而传统的有线网络由于受到设计或环境条件的制约,在物理实现、逻辑和资金方面普遍存在着一系列的问题,特别是当涉及到网络移动和重新布局时,问题会更加明显。所以发展一种可行的无线通信技术作为现有的数据连接扩充已成为一种需要。自从上个世纪90年代以来,随着个人数据通信的发展,为了实现任何人在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线,由固定向移动,由单一业务向多媒体发展,更进一

12、步推动了无线局域网(Wireless LAN,的发展。与有线局域网相比较,无线局域网具有移动性高、传输距离长、网络保密性好、开发运营成本低、易扩展、受自然环境影响小,组网方式灵活、管理方便等优点,在无线数据业务日益发展的今天,无线局域网(WLAN作为一种灵活的数据通信系统,是现有局域网的有效延伸和补充。通过无线射频技术实现在一定范围内的无线发送和接收数据,减少了对固定线路的依赖,提高了工作效率和生活乐趣,相对有线网络有着无可比拟的优势。1.2 无线局域网(WLAN的现状和研究意义无线局域网(WLAN是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间

13、的通信,并实现通信的移动化、个性化和宽带化1。通俗地讲,无线局域网就是在不采用网线的情况下,提供以太网互联功能。无线局域网(WLAN与有线局域网通过铜线或光纤等导体传输。不同的是,无线局域网使用电磁频谱来传递信息。它是计算机网络与无线通信技术相结合的产物。无线网络用于一些布线困难、上网设备经常移动的环境,及搭建临时性的网络。无线网络因其自身的优越特性被作为有线网络的补充技术被广泛的应用。无线局域网是相当便利的数据传输系统,它利用射频技术,取代旧式的双绞铜线所构成的局域网络,使得用户能够利用其简单的存取架构,信息随身化、随时随地连接网络世界。在信息化快速发展的今天,校园网已经成为校园生活的重要组

14、成部分,是教职员工和1杨军、李瑛、杨章玉.无线局域网组建实战M.北京:电子工业出版社,2006,第7页。学生获取资源和信息的主要途径。它将校园里的院系、学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,在教育系统中具有重要的作用。如今,越来越多的师生拥有了笔记本电脑,上网本,平板电脑,手机终端等网络计算机设备,他们希望方便的在教室、实验室、图书馆和室外等场地随时随地的接入互联网或校园内网,及时的获得所需的信息。在上述背景下,本设计对无线局域网的相关通信协议进行分析与研究,并在此基础上实现具体的校园无线局域网应用方案。WLAN工程的实施,将实现三维于一体的校园网络、Internet快速的

15、接入。极大地推动学校的教学与师生信息的获取方式与交流方式,使WLAN 用户无论何时何地实现个人与网络世界的联接。2 无线局域网(WLAN2.1 无线局域网(WLAN简介无线局域网(WLAN是利用无线通信技术在一定的局部范围内建立的网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网LAN的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。计算机无线通信和计算机无线联网不是一个概念,其功能和实现技术有相当大的差异。计算机无线通信只要求两台计算机之间能传输数据即可。而计算机无线联网则进一步要求以无线方式相联的计算机之间资源共享,具有现有网络操作系统所

16、支持的各种服务功能。计算机无线联网常见的形式是把一个(远程计算机以无线方式联入一个计算机网络中,作为网络中的一个结点。使之具有网上工作站所具有的同样的功能,获得网络上所有服务;或把数个(有线或无线局域网联成一个区域网。无线局域网可以在普通局域网基础上通过无线Hub(多端口转发器、无线接入站(Access Point,AP,亦译作网络桥接器、无线网桥、无线Modem及无线网卡等来实现,以无线网卡最为普遍,使用最多。与有线网络一样,无线局域网同样也需要传送介质。但它不是使用双绞线或者光纤,而是红外(IR或者射频(RF波段,无线局域网一般普遍采用扩频微波技术无线局域网常用的实现技术有:IEEE(美国

17、电气和电子工程师协会的802.11系列协议族、家用射频工作组提出的HomeRF、Bluetooth(蓝牙以及欧洲的HiperLAN2协议等。以IEEE 802.11协议为基础的无线局域网在标准之争中脱颖而出,成为目前事实上的占主导地位的无线局域网标准。无线局域网的系统构成主要有点对点型、点对多点型和完全分布型三种形式2。其中点对点型和点对多点型是日常生活中接触最多的两种无线局域网。它们都有结构组成和用户设备简单的特点,而且点对多点型无线局域网更可以与微蜂窝技术结合,并利用信号发射功率与有线局域网相连,使用户更加方便、快捷地使用网络。从无线局域网的系统结构和它无线特点可以看出,无线局域网省去了难

18、度大、费用高、耗时长的布线施工,减少了对施工周边环境的影响,节约了大量经济费用;安装简单快捷,一般只要安装一个或多个接入点AP(Access Point设备,就可建立覆盖整个建筑或地区的局域网络,在这个信号覆盖区域内,任何一个位置都可以接入网络,用户使用极为方便。2高峰高泽华文柳等.无线城市M.北京:人民邮电出版社2011.1,第十四页。如图2.1所示,无线局域网是固定网络的一种延伸,对于用户来说是完全透明的,使用起来和有线网络一样。 图2.1图2.2为有线局域网和无线局网的对比 图2.22.2无线局域网(WLAN的优点局域网络管理的主要工作之一就是铺设电缆或是检查电缆是否断线这种耗时的工作,

19、很容易令人烦躁,也不容易在短时间内找出断线所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路。虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。因此,架设无线局域网络就成为最佳解决方案。无线局域网具有以下优点:灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安

20、装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间漫游等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分

21、迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。3 校园无线局域网3.1 校园局域网简介网络现在已经成为人们日常生活中不可分割的一部分,校园网络的建设是学校向信息化发展的必然选择,而无线局域网是对校园现有有线局域网的一个很好的补充。经过这些年有线网络建设、运行、维护,从实践结果来看,由于目前网络是有线的,所以在有些应用领域会出现困难。例如,有些高校在前期布网时不能顾及所有区域,只布置了宿舍办公楼等区域,而布置网线的教室、图书馆数量有限;有些高校经费比较紧张,很难投入较大的财力来铺设光缆;有些高校的建筑物具有一定的历史意义,不适合钻孔布线;有些高校由多个校区组

22、成,校区之间联网成本较高,等等。校园是一个信息交流极快的特殊环境, 教师和学生对高校校园网的依赖性非常高,随着我国经济的发展, 校园中的移动设备如手提电脑、掌上设备等越来越多, 高校学生对移动的获取网络知识, 随时随地利用这些移动设备上网也相当关注。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网?而在这些环境或其他因素的影响下无法架设网线或不方便使用网线的情况下, 无线局域网则是一个补充。再比如本设计中所涉及的校区,面积较大,楼和楼之间相隔较远,如果全部铺设有线网络,不仅费材费时费力,一旦出现故障很难排查。因为某条线路或者某个

23、交换机故障而影响到整个区域的网络将是一个十分棘手的问题。所以在校园中建设无线局域网是一个势在必行的决策。3.2 校园无线网的应用(1 提供基本的数据传输将室外的教学楼, 图书馆, 学生宿舍等建筑物通过无线网桥( bridge 加以桥接, 并且对室内的内的体育场、会议室、草坪等应用场合使用无线局域网方式( WLAN 加以无线覆盖。无线信号覆盖到校园的任何角落, 整个校园变成了一个巨大的教学空间。校园内各个建筑物之间的固定无线接入, 建筑物内则使用有线方式和无线方式互相补充的连接。(2 通过无线网络建立校园内的安全监控网络在校园内建立安全监控网络可以有效的避免校园暴力、盗窃等事件的发生, 从而为师

24、生提供良好的工作、研究和学习的环境。安全监控网络要求网络稳定性高, 视频信号传输清晰, 网络安全性好。利用无线传输的优势可以完全避免有线方式带来的种种限制, 隐蔽性好, 见效快, 而且监控点的位置可以根据需要随时做出调整, 设备可以重复使用。3.3 校园无线网的接入方式分析目前校园网的应用需求和实际情况,无线局域网的应用主要分为两种, 即楼宇内和楼宇间。楼宇内的应用根据应用情景和场所的不同, 主要可采用对等和接入两种连接方式。3.3.1 对等连接方式(Ad-Hoc 模式对等连接方式较适合未建网的用户。如果学校组建临时性的小型活动, 如临时流动会议等时则可采用这种方式。对等(Peer to Pe

25、er连接方式下的无线局域网, 不需要单独地具有总控接转功能的接入设备AP, 所有的节点都能对等地相互通信。只需要为每个需要通信的移动终端设备配置相应的无线适配器, 便可通过无线信号进行互通, 实现资源共享的目的。网络架设简单, 成本低, 但是它的缺点也很明显。两个节点之间的通信距离比较短, 而且由于各节点无线网卡的发射和接收功率都非常有限, 所以这种网络所能连接的节点数也是非常有限的。另外它只能一对一互传数据, 不能进行多点同时通信。如图3.1所示。 图3.1 Ad hoc模式示意图3.3.2 接入连接方式根据覆盖面的大小, 可考虑采用单AP 或多AP 接入方式。单AP 接入方式以星形拓扑为基

26、础, 以AP 为中心, 所有的节点通信都要通过AP 转接。这种方式AP 可以单独使用, 也可以与有线局域网相连, 但只能用在教室和会议室等一些小范围区域内。在图书馆等比较大的区域里, 由于单AP 点的覆盖面积十分有限, 如果节点移动过快或超出了该范围都会失去与网络的连接, 无法继续进行通信, 所以往往使用多AP接入方式。多AP接入方式是单AP接入方式的扩展, AP 之间通过有线主干网连接, 这样可以让节点实现区内漫游。在使用多AP 接入方式规划和部署时, 有些关键问题必须考虑:规划无线网络的覆盖区域和容量。在利用多AP 设计无线局域网时要保证无缝覆盖, 这样节点在移动时能始终保持在线。但在一些

27、高用户密度的地方, 更重要的是还应考虑提供足够的容量。规划时应充分估计区域内的节点数量, 同时考虑所在区域对网络带宽, 网络速度的要求等。网络容量规划之后就可以确定AP 的数量。部署AP时则应多考察环境。安装人员可以通过地点调查来确定AP 的位置。在为临时活动组建的无线局域网中, 接入点经常放置在桌面上。但在固定部署中, 接入点通常都安装在天花板上。安装在天花板上的接入点具备许多优势, 不仅可让干扰信号的障碍物减至最少, 而且可防止他人随意乱动接入点设备。AP 部署同时还要考虑到无线电信号损耗因素, 门、窗、箱体和墙壁都会吸收和消弱无线电频率信号。楼宇间可采用室外网桥连接方式。这种方式是建立在

28、接入原理之上的通过两个无线设备点对点(Point to Point链接, 由于独享信道, 较适合两个局域网的远距离互连(架设高增益定向天线后, 传输距离可达到50 公里。局域网之间的通信是通过各自的无线网桥来实现的。3.4 无线AP的组网方案3.4.1 AP模式AP(Access Point,接入点模式,这是我们无线AP的基本工作模式,用于构建以无线AP为中心的集中控制式网络,所有通信都通过AP来转发,类似于有线网络中的交换机的功能。这种模式下连接方式大致如图3.2所示: 图3.2 AP接入点模式AP即可以和无线网卡建立无线连接,也可以和有线网卡通过网线建立有线连接。我们的501G只有一个LA

29、N口,一般不用它来直接接电脑,而是用来与有线网络建立连接,直接连接前端的路由器或者是交换机。在这种模式下,无线1到13。选择中应该注意的是,如果周围环境中还有其他的无线网络,尽量不要使用相同的频率段。然后选择501G工作的模式,我们的501G支持11Mbps 带宽的802.11b、54Mbps带宽的802.11g模式(兼容802.11b模式。同时注意开启无线功能,就是不要选中关闭无线功能的这个选项即可。选中Access Point选项,设置好SSID 号即可。注意,通过无线方式与我们的无线AP建立连接的无线网卡上设置的SSID号必需与我们无线AP上设置的SSID号相同,否则无法接入网络3。3.

30、4.2 AP客户端模式首先是设置该网络工作的频段,选择的范围从AP client模式下,即可以有线接入网络也可以无线接入网络,但此时接在无线AP下的电脑只能通过有线的方式进行连接,不能以无线方式与AP进行连接。工作在AP client模式下的无线AP建立连接的方式大致的如图3.3所示: 图3.3 AP客户端模式图中的无线设备A ,即可以是无线路由器,也可以是无线AP。注意在进行连接时,我们的无线AP所使用的频段最好是设置成与前端的这个无线设备A所使用的频段相同。首先当然是频段、模式等基本设置,注意开启无线功能。然后选择AP的工作模式,使我们的501G工作在AP client模式下,并注意关闭W

31、DS功能,否则无法与无线路由器建立无线连接。在client模式下,可以有两种方式使无线AP接入前端的无线路由器,一3Lee W C Y.Mobile Cellular Telecommunication SystemM.New York:McGraw-Hill,1989:第211-212页。种就是通过设置和无线路由器相同的SSID号,从而连接无线路由器;另一种就是通过在AP 的MAC地址处填写无线路由器的LAN口的MAC地址来建立连接。注意:在这种工作模式下,无线AP下面只能通过有线的方式连接一台电脑。因为我们的501G工作在AP client模式下,并且关闭WDS功能时,它只学习一个MAC地

32、址。如果需要下面还可以连接多台电脑的话,可以在我们的501G下面连接一个路由器,501G 的LAN口与路由器的WAN口连接,路由器LAN口下面可以接多台电脑。当需要我们工作在AP client模式下的无线AP再与另外的无线AP建立连接时,连接的无线AP可以是AP模式,也可以是repeater模式。此时AP client模式下的WDS功能即可以是开启的,也可以是关闭的。当与设置为AP模式的无线AP进行连接时,我们设置为AP client模式下的无线AP 可以通过设置一个SSID号,使这个SSID号与设置成AP模式下的无线AP的SSID号相同来建立连接;也可以通过在client模式下的AP的MAC

33、地址栏中填写前端设置为AP模式的无线AP的MAC地址来进行连接。当前端的AP设置为repeater模式时,它并没有SSID号,因此,我们设置为AP client 的无线AP要与它建立连接,只能通过在AP的MAC地址栏中填写前端AP的MAC地址来实现连接。3.5 校园无线局域网的拓扑3.5.1 接入点和网桥AP、无线网桥和工作组网桥都工作在OSI(开放式系统互联参考模型的第一层和第2层。接入点一个接入点(AP就是一个收发器,可以作为一个独立无线网络的中心。一个AP也可以作为无线网络之间的连接点。在大型网络中,多个AP可以提供漫游功能,允许用户在区域内自由移动而仍能保持不中断和无逢的网络接入。无线

34、网桥无线网桥用于连接2个或2个以上的网络,特别是位于不同建筑物内的网络。采用了802.11a技术的网桥可以实现提供最大为54Mbit/s的带宽。而用了802.11a技术的网桥可以实现提供最大为11Mbit/s 的带宽。工作组网桥工作网桥一般应用于将远程工作组连接到一个有线LAN ,如图3.4所示PCPC PCPC AP AP集线器服务器图3.4 无线网桥拓扑图3.5.2 WLAN 拓扑有线LAN 要求用户始终呆在一个位置上。是对有线LAN 的扩展,也可以完全取代传统的LAN 网络。接入的用户可以实现以下功能:在设施周围自由移动;享受以接近有线以太网的速度实时方问有线LAN;访问有线LAN 中的

35、所有资源。为了使用户可以在一个大的区域内实现无线网络信号覆盖。我们可以将两个或两个以上的基本服务单元(一个AP 提供的覆盖范围实行覆盖。如下图3.5所示 无线客户端无线客户端接入点接入点重叠区域LAN 主干无线单元1无线单元2信道1信道6图3.5 两个基本服务单元无线拓扑图3.5.3 漫游在一个大的区域内,为保证客户端的在不同的AP之间无缝漫游。如图3.6所示。在设计能为开机的移动设备提供无逢漫游的时,我们必须满足的条件:必须为整个路径提供充分的覆盖范围;整个路径能够分配一个可用的IP地址。Internet无线基础设施漫游多层交换机移动设备移动设备移动设备移动设备移动设备移动设备APAPAPA

36、PAP信道1信道6信道11信道11信道1图3.6 无线局域网漫游图拓扑图3.6 安全运用校园无线网因为高校网络需要有可运营的能力, 这就不可避免的引入较大规模的认证, 记账功能的身份认证系统。IEEE 802.1x 是现在较流行的基于端口的访问技术, 也是最新的无线协议IEEE 802.11i内容。802.11i 还包含Wi-Fi 保护性接入(WPA,WPA 继承了WEP 基本原理而又解决了WEP 缺点的一种新技术。其原理为根据通用密钥, 配合表示电脑MAC 地址和分组信息顺序号的编号, 分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理, 所有客户端的所

37、有分组信息所交换的数据将由各不相同的密钥加密而成。WPA 还具有防止数据中途被篡改的功能和认证功能4。4Lee W C Y.Mobile Communication EngineeringM.New York:McGraw-Hill,1982:第872-877页。4 某校园WLAN的设计条件分析4.1 某校园WLAN的需求分析目前,整个通信行业正处在一个飞速发展的阶段,而在通信大家庭中无线通信是十分重要的一名成员。依现在的发展形势,无线通信将作为主角承担举足轻重的地位。校园作为知识和信息传播的主要场所在无线通信的建设中更是不可或缺。本设计是为某校园的网络系统设计,为保证校园的实用性、先进性、经

38、济性以及可延展性,现按校园的整体布局及实际需求,提出校园的建设目标。首先,如图4.1,某校园现阶段有线校园网的建设已经成熟,并且形成了一定的规模和用户群,但是因为有线局域网在上文中提到的不足之处,建设无线局域网是势在必行的事情。通过无线局域网覆盖工程的实施,可以有效地完善我校的数字化校园的建设,使全校的教职员工及学生可以无论身处学校何时何地都可以实现计算机设备的无缝无线接入,使用户无论何时何地实现个人与网络世界的联接,并实现快速的网络流量,为全校师生及学生优提供优质的现代化信息服务。极大地推动学校的教学与师生信息的获取方式与交流方式。如果独立投资一个校区全覆盖的WLAN项目需要大量的资金投入,

39、根据目前某校园的的具体情况,本设计方案以学校WLAN与通信运营商合作建设为基础建设的方案,这样不仅可以实现建设数字校园的目标,更是节约了投资成本,与此同时,通信运营商利用自身的技术与软、硬件条件,可以将WLAN技术与现代通信技术3G相结合,使传统的WLAN 设备不仅可提供数据业务,更可提供语音通信业务,在增加投资回报率与回报周期的同时,也相对减低了双方的投资成本。校园内的师生更可从中获得更多的数据接入方式的服务。综上所述,本设计将校园WLAN与中国移动通信集团WLAN相关规范相结合进行设计。下图为某校园有线局域网的网络拓扑图: 图4.1 某校园有线局域网网络拓扑图4.2 某校园WLAN建设目标

40、分析目前某校园占地面积为46.7万平方米,建筑面积23.6万平方米,现有在校学生11500多人,教职工700多位,主要建筑区域有宿舍区、实验区、教学区、用餐区、运动区等等。其中有学生公寓和教师公寓共9处、实验区2处、教学区3处、食堂1处、体育场1处、礼堂1处等共17处建筑。在这些区域,校园有线网已经铺设完成并已投入使用,但无线网络的覆盖几乎处于空白。结合学校实际情况,校园信息化建设工作的核心目标在于充分利用信息技术,建立多层次、高可靠、可管理、可运营的开放式的数字化校园,促使其提高办学质量和效益。同时在日常生活中满足教师和学生的各种上网需求,从而建设可方便管理切换的数字化校园。4.3 校园WL

41、AN安全性分析作为对有线网络的一个有益的补充,无线网络给大家带来方便的同时,也同样面临着无处不在的安全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。4.3.1 WLAN所面临的安全问题无线局域网所面临的安全威胁是非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险。无线网络与有线网络相比只是在传输方式上有所不同,所以所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。无线网络可能受到的安全威胁可以分为两类,一类是关于网络访问控

42、制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生。另一类则是由无线介质本身的特性决定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。总体来说,无线网络所面临的威胁主要表现下在以下几个方面:(1信息重放:在没有足够的安全防范措施的情况下,是很容易受到利用非法AP 进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN 等保护措施也难以避免。中间人攻击则对授权客户端和AP 进行双重欺骗,进而对信息进行窃取和篡改。(2WEP 破解:首先,在加密算法上,WEP 中的初始化向量由于位数太短和初始化复位设计,容易出现重用现象,从而被人破解密钥。而对用于进行流加密的R

43、C4 算法,在其头256个字节数据中的密钥存在弱点,目前还没有任何一种实现方案修正了这个缺陷。此外用于对明文进行完整性校验的CRC (循环冗余校验码只能确保数据正确传输,并不能保证其未被修改,冈而并不是安全的校验码。其次,在密钥管理上,802.11 标准指出,WEP 使用的密钥需要接受一个外部密钥管理系统的控制。通过外部控制。可以减少Iv 的冲突数量,使得无线网络难以攻破。但问题在于这个过程形式非常复杂,并且需要手工操作。因而很多网络的部署者更倾向于使用缺省的WEP 密钥,这使黑客为破解密钥所作的工作量大大减少了。最后,在用户行为上,许多用户都不会改变缺省的配置选项,这令黑客很容易推断出或猜出

44、密钥。现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP 弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、LAN内W发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。(3网络窃听:一般说来,大多数网络通信都是以明文格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。这种威胁已经成为无线局域网面临的最大

45、问题之一5。(4欺骗和非授权访问:因为TCP/IP 协议的设计原因,几乎无法防止MAC/IP 地址欺骗。在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。只有通过静态定义MAC 地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP 提交身份验证请求就可以很容易地欺骗无线网身份验证。许多无线设备提供商允许终端用户通过使用设备附带的配置工具,重新定义网卡的MAC地址。使用外部双因子身份验证,可以防止非授权用户访问无线网及

46、其连接的资源,并且在实现的时候,应该对需要经过强验证才能访问资源的访问进行严格的限制。(5拒绝服务:攻击者可能对 A P 进行泛洪攻击,使AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。(6服务后抵赖:服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。(7恶意软件:凭借技巧定制的应用程序,攻击者可以直接到终端用户上查找访问信5卢尔瑞,等.移动通信工程M.北京:人民邮电出版社,1988:134-135.息,例如访问用户系统的注册表或

47、其他存储位置,以便获取WEP密钥并把它发送回到攻击者的机器上。注意让软件保持更新,并且遏制攻击的可能来源(Web浏览器、电子邮件、运行不当的服务器服务等,这是唯一可以获得的保护措施。(8偷窃用户设备:只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC 地址。也就是说,如果终端用户的笔记本电脑被盗,他丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。而对于别有用心的攻击者而言,这些往往比电脑本身更有价值。4.3.2安全因素考虑及相关措施的制定(1身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP 密钥来实现。它也可以是基于用户的,使用EAP

48、来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP(检测实验室能力验证和PEAP(受保护的可扩展的身份验证协议。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS 或PEAP。(2访问控制:对于连接到无线,网络用户的访问控制主要通过AAA(Authentication、Authorization、Accounting即验证、授权和记账服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在80

49、2.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(SSID是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101即指3COM设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID 并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求

50、AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。(3完整性:通过使用WEP或TKIP(临时密钥完整性协议,无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。(4机密性:保证数据的机密性可以通过WEP、TKIP或VPN(虚拟专用网络来实现。前面已经提及,WEP提供了机密性,但是这种算法很容易被破解。而TKIP

51、使用了更强的加密规则,可以提供更好的机密性。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN(Virtual Private Network,虚拟专用网络是在现有网络上组建的虚拟的、加密的网络。VPN 主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN 安全存取的层面和途径有多种。而VPN的IPSec(Internet Protocol Security协议是目前In-ternet通信中最完整的一种网络安全技术,利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec

52、,并在客户端和一个VPN集中器之间建立IPSec 传输模式的隧道。(5可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋

53、予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在AAA 服务器不能提供服务时对无线客户端进行认证。(6审计:审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN 网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息6。4.3.3无线网络安全性解决方案不同规模的无线网络对安全性的要求也不相同。对小型企业和一般的家庭用户来说,因为其使用网络的范围相

54、对较小且终端用户数量有限,因此只需要使用传统的加密技术就可以解决了。如果进一步采用基于MAC 地址的访问控制就能更好地防止非法用户盗用。在公共场合会存在相邻未知用户相互访问而引起的数据泄漏问题,需要制定公共场所专用的AP。该AP能够将连接到它的所有无线终端的MAC地址自动记录,在转发报文的同时,6郭梯云,邬国扬,李建东.移动通信M.西安:西安电子科技大学出版社,2006:第21-23页。判断该报文是否发送给MAC列表的某个地址,如果是就截断发送,实现用户隔离。对于中等规模的企业来说,安全性要求相对更高一些,如果不能准确可靠的进行用户认证,就有可能造成服务盗用的问题。此时就要使用IEEE802.

55、1x的认证方式,并可以通过后台RADIUS服务器进行认证计费。对于大型企业来说,无线网络的安全性是至关重要的。这种场合可以在使用了802.1x认证机制的基础上,解决远程办公用户能够安全的访问公司内部网络信息的要求,利用现有的VPN设施,进一步完善网络的安全性能。无线网络实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865, RFC2866定义,是目前应用最广泛的AAA协议服务器获得特定的网络访问模块,并从中分配到用户的IP。在无线用户连接

56、到交换机并访问企业网络前,802.1x和EAP提供对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密,而IPSec 提供了更优越的解决方案7。7麻信络、李晓中、董晓宁、廖勇.无线局域网构建及应用M .北京:国防工业出版社,2003:100-112。5 某校园WLAN的具体构建5.1 设计概述上一章中主要分析了本次设计的需求和安全性问题,可以看出,本次设计涉及到范围较广,楼宇间环境复杂。主要有教学楼、宿舍楼、实验楼、体育馆等场所。在这些区域中,宿舍区、教学区以及实验区是负责学校正常运转的重点

57、区域,对于体育场等室外区域,由于上网人数少且比较分散,设计时尽量提高覆盖面,保证覆盖效果。因此,在本次无线网络设计中,将区域分为重点和非重点进行按需要覆盖,按照“保证所有无线用户都能上网”的设计原则,最大程度控制网络建设成本。本次设计主要采用的设备是思科公司最新出品的应用层数为四层的企业级交换机思科WS-C4503-E和作为汇聚交换机使用的华为S3700-28TP-SI-AC配合思科AIR-WLC2106-K9型无线控制器以及作为用户接入使用的思科SG200-26型交换机。用户的认证和计费采用支持AAA协议的RADIUS Server配合H3C LS-3600-28TP-SI型网管交换机。这些功能强大且兼容性强的设备将作为本次设计的核心设备,在校园WLAN建成后将起着至关重要的作用。5.2 校园WLAN网络拓扑图为了满足校园WLAN上述需求分析,本设计用Office Visio软件画出校园WLAN网络拓扑,如图5.1所示: 图5.1 某校园WLAN网络拓扑图5.3 某校园WLAN具体解决方案本设计采用无线控制器+Fit AP、集中转发、AC认证、层3组网的组网方式,核心设备为思科WS-C4503-E、H3C LS-3600-28TP-SI型网管交换机、思科AIR-WLC2