无线网络安全及典型案例

思科无线网络安全及典型案例

无线网络安全

第一代802.11B安全机制（基本安全）第二代802.1X安全机制（增强安全）2.无线网络典型案例AGENDA虚拟专网(VPN)没有WEP，采用广播模式公共接入开放的接入40位和128位

静态密钥（WEP)

远程办公及SOHO基本的安全性动态密钥管理

开放的802.1x/EAP标准验证

TKIP、MIC、

AES中型、大型企业增强的安全性公共网络安全专业应用/商业旅行者思科安全无线局域网机制四种不同级别的WLAN安全措施：没有安全、基本安全、增强安全和专业安全。基本安全：WEP:“WiredEquivalentProtection“，一种将资料加密的处理方式，WEP40bit或128bit的encryption乃是IEEE802.11的标准规范。透过WEP的处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。增强安全：LEAP，它也被称为EAPCiscoWireless（可扩展身份认证协议）

TKIP、MIC、

AES专业安全：VPN(金融机构，需要VPN终端，造价高）思科安全无线局域网机制1）共享的、静态的WEP密钥没有集中的密钥管理不能有效抵御各种安全攻击2）如果客户的适配器丢失或被盗，需要进行大规模的密钥重部署处理器能接入网络需要对所有的WLAN客户机设备进行密钥重部署3）缺乏综合用户管理需要独立的用户数据库，不使用RADIUS能够只通过设备特性（如MAC地址）识别用户4）在802.11B中,验证与加密是可选的(不是必需的)第一代802.11B安全机制的特点(基本安全）MAC1+WEPkey

MAC2+WEPkey

在现有的WLAN产品中，常用的加密方法是给用户静态分配一个密钥，该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样，拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器，这些用户有效地共享MAC地址和WEP密钥。

1）当一个客户适配器丢失或被窃的时候，合法用户没有MAC地址和WEP密钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到MAC地址的安全表和WEP密钥，并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码WEP密钥的数量越大。

2）IEEE802.11b共享密钥认证表采用单向认证，而不是互相认证。接入点鉴别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。

因此在用户和认证服务器之间进行相互认证是需要的

第一代802.11B安全机制的危险性~~接入点1其它网络服务器与服务2

4

加密WEP3

5

无线客户端验证服务器用户要求接入，AP防止网络接入；加密的证明材料被发送给验证服务器；验证服务器验证用户并给予接入权；AP端口被启动，动态WEP密钥被分配给客户（加密）；无线客户端现在可以安全地访问普通的网络服务了；6) CiscoLEAP与EAP-TLS在每次（重新）验证时均会生成一个WEP会话密钥新的密钥基于用户信息与会话信息RADIUS选项27提供了会话超时设置WLAN环境中的802.1X协议（增强安全）协议：LEAP，它也被称为EAPCiscoWireless（轻型可扩展身份认证协议）标准：802.1X,和有线的RADIUS访问控制一致增强安全EAPCiscoWireless的两个重要优点第一个优点是客户端和RADIUS服务器之间的双向认证机制，这可以有效地阻止由伪装的访问点发动的"中间人"式攻击。这也有助于确保只有合法的客户端才能连接合法的、经过授权的无线访问点。EAPCiscoWireless的第二个优点是对WLAN的集中式密钥管理。在成功地认证了客户端的身份以后，RADIUS服务器和客户端将获得一个针对用户的WEP密钥，客户端将在本次登录会话中使用这个密钥。802.1x+双向认证+每用户每会话WEP密钥提供足够安全“Is802.1x&Mutualauth.+PeruserpersessionWEPgoodenough?”SSID概念：1)服务组标识符（SSID：ServiceSetIdentifier），它提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称2)SSID代表VLAN号，每个VLAN必须用不同的SSID它服务于该子系统内的逻辑段。因为SSID本身没有安全性，所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备，通常广播SSID。

3）在AP上创建所有SSID,在每台客户机上分配SSID号。无线网络VLAN划分策略无线网络VLAN划分策略思科无线解决方案之独到之处业界最高的硬件性能(数据传输率、覆盖范围、接收灵敏度…)；高可用性，可扩展性，可升级性(LoadBalance、HotStand-by、802.11b->802.11a/802.11g)；业界最高安全性(VLAN、PSPF、802.1x/EAP、MIC、TKIP…)；QoS支持各种应用(数据、语音、视频)；易于管理（WLSE…)；便于部署和实施（室外应用距离自动估算工具、在线电源、免费室内勘察工具、无缝漫游（2层、3层)…);支持DHCP,Telnet,Http..能够与思科的有线网络设备和网络功能无缝结合（VLAN、VPN、QoS、网管、802.1x…)，思科是业界唯一一家可以为客户提供从有线到无线全面解决方案的厂家。无线局域网络典型案例

1.无线组网方式2.典型案例1---7AGENDA无线局域网的几种组网方式建筑物内（室内）组网方式:对等网结构蜂窝结构建筑物之间（室外）组网方式:点对点结构一点对多点结构混合组网方式室内组网方式-单蜂窝结构无线工作站局域网主干无线接入点无线链路可以采用1~11号信道(802.11b规范)中任意一个没有受到干扰的信道;一个无线接入点推荐接入不超过20-30个无线客户端,以提供满意的访问速率;同一蜂窝范围可以最多部署3个无线接入点,分别采用1/6/11号信道,从而提供高达33Mbps的总体访问速率,并可以同时服务更多的用户.无线“蜂窝”无线接入点无线工作站局域网主干无线“蜂窝”信道1信道6无线工作站无线接入点无线“蜂窝”无线链路无线链路以太网以太网蜂窝之间建议有15%的重叠范围,便于无线工作站在不同的蜂窝之间作无缝漫游.室内组网方式–多蜂窝结构最远可达几十公里(可视距离)局域网无线网桥天线建筑物

A建筑物

B无线网桥无线链路天线局域网若采用思科的无线网桥(100mW功率),配合21dBi增益天线,在2Mbps下最远可达40公里(25英里);11Mbps下可达18.5公里(11.5英里);同一区域最多同时部署3对无线网桥,提供最高达33Mbps的数据传输速率.室外组网方式–点对点信道1信道3室外组网方式–网桥中继以太网无线网桥建筑物

B建筑物

C建筑物

A定向天线全向天线无线网桥无线网桥以太网以太网定向天线无线链路无线链路室外组网方式–点对多点无线局域网组网方式–混合结构主干网无线网桥全向天线建筑物

A建筑物

B无线网桥无线链路定向天线局域网无线工作站无线接入点A无线链路无线链路无线链路无线接入点B无线接入点无线工作站建筑B内的无线接入点汇聚其客户端的网络流量,经由与以太网相连的无线网桥,发送到远程的建筑A处的网络主干中去;无线客户端以及无线接入点设备也可以直接与建筑物A的无线网桥互联(此时无线网桥提供无线接入点的功能),访问主干网络资源.

(1)AB两点之间可视；没有障碍物阻挡；无电磁干扰，或干扰小；AB两点之间距离符合网桥设备通讯距离的要求。

可采用点对点方式直接传输：A大楼放置一台无线网桥，顶部放置一面定向天线；B大楼同样放置一台无线网桥，顶部放置一面定向天线。两地的无线网桥分别通过馈线与本地天线连接后，两点的无线通讯可迅速搭建起来。无线网桥分别通过超五类双绞线连接各地的网络交换机。这样两处的网络即可连为一体。室外组网方式说明–点对点

(2)AB两点之间不可视，但两者之间可以通过一座C楼间接可视。并且AC两点，BC两点之间满足网桥设备通讯的要求。

我们采用中继方式，C楼作为中继点。AB各放置网桥，定向天线。C点可选方式有：

放置一台网桥和一面全向天线，这种方式适合对传输带宽要求不高，距离较近的情况；

放置两台网桥和两面定向天线，这种方式优点在于：传输距离远，信号强，带宽和传输质量有保证。(由客户需求和实际情况而定)。室外组网方式说明–三点互连

(3)：A点,B点之间不可视，但两者之间间距较近，仅几公里，且两者之间有多座建筑物。根据实际情况，可采用信号反射方案，将A点B点互连。AB点分别放置无线网桥，定向天线。定向天线A发射的微波信号通过CD两座建筑反射后与定向天线B建立起通信。室外组网方式说明–点对点无线网络设计原则1、定义WLAN需求：

结合楼层结构设计及建筑类型确定可能的接入点位置。影响无线传输的主要因素：

(1)：两点之间的距离。(2)：两点可视状况，可视分为光可视，和无线可视。可视呈度直接影响传输距离和效果。(3)：电磁干扰情况。可进行测试。2、WLAN的损耗：

基本损耗换算:dB=10log(输入信号功率/输出信号功率)

3、规划网络大小：

数据速率：仅当一帧发送时的速率，如11Mbps，多帧时由于路由协议开销及共享媒体接入延时，每个用户不能连续发送数据。

吞吐量：不计协议、管理帧的发送信息速率。对802.11B约为6Mbps。

应用所需带宽：

4、最小化802.11干扰问题

常见干扰源：微波炉、无绳电话、蓝牙设备及其它无线LAN设备

对WLAN干扰最为严重的设备是2.4G无绳电话,其次为10英尺内的微波炉，再次是蓝牙设备如笔记本和PDA。

典型无线案例分析(一)典型无线案例分析(一)方案A:楼内覆盖方案B:楼外覆盖典型无线案例分析(一)典型无线案例分析(二)典型无线案例分析(二)本项目主要是为了解决2001年上海APEC会议期间入住锦江饭店的各国商务客人、记者媒体和各国高官的互联网接入需要，为他们提供方便、灵活、高效的无线网络连接服务。本项目包括锦江饭店南北楼和锦江小礼堂会议中心的无线网络室外桥接、锦江饭店北楼一至二层和南楼贵宾厅的无线网络室内覆盖。网络解决方案

本项目需要实现无线网络接入的锦江饭店北楼一层大厅、二层餐厅以及南楼贵宾厅都没有互联网络出口，而具有互联网出口的中心机房位于锦江饭店中央位置的锦江小礼堂会议中心二楼机房内。所以考虑使用无线网络桥接系统连接锦江小礼堂的中心机房和南北楼的无线局域网，完成整个无线网络系统的骨干桥接部分。锦江饭店网络工程项目的无线覆盖网络分为两个部分：北楼一楼和二楼的室内覆盖部分和南楼贵宾厅的室内覆盖部分。经过工程师的实地信号测试，这三个无线覆盖信号点均采用一个AP就可以有效实现无线网络的信号覆盖。整个锦江饭店的无线网络连接示意图如下所示：典型无线案例分析(二)典型无线案例分析(二)

锦江饭店小礼堂部分在锦江饭店小礼堂楼顶架设9dB的全向天线，天线通过连接馈线和一个1瓦的信号放大器相连，信号放大器再和一台无线网桥相连接，从而实现中心点的无线桥接通讯。考虑到安全的因素，天线配置避雷器。锦江饭店南北楼部分

这两个部分负责和锦江饭店小礼堂实现骨干桥接，这两个桥接点的系统配置完全相同。在锦江饭店的南北楼的二楼制高点架设9dB的全向天线，确保其能和锦江饭店小礼堂楼顶架设9dB的全向天线实现桥接通讯，这些全向天线分别通过连接线缆和放置在各幢楼内的无线网桥相连接；考虑到安全的因素，这些天线均配置避雷器。典型无线案例分析(二)主要设备的作用

无线网桥为无线网络的中心，各终端通过AP的转接，能实现无线终端之间、无线终端和有线网络终端之间的通信以及无线终端通过有线局域网出口与国际互连网的连接。两个距离较远的有线局域网借助于两端的无线网桥进行桥接，可实现两个有线局域网间的实时链接。

具有2Mbps和11Mbps的带宽供用户选择，结合无线网络的规模、无线终端信息流量等选用合适的无线宽频交换机。

无线网卡

为无线终端接入有线局域网的连接设备。借助于无线网卡，无线终端与无线宽频交换机及有线局域网实现链接，确保了与其它无线终端、有线网络终端和国际互连网的连接。具有2Mbps和11Mbps的无线网卡供用户选择，结合无线网络的规模、无线终端信息流量等选用合适的无线网卡。放大器、天线

放大器用于对无线宽频交换机输出的小功率射频信号进行放大和对天线接收的有用信号进行提升。选择合适的放大器和天线，能有效地提高无线网络的服务质量和服务距离。典型无线案例分析(二)典型无线案例分析(三)横跨“京九大动脉”——思科无线网络在保定市望都县教育网成功应用项目背景:望都县位于京、津、石三角地带，北京南180公里处，京九铁路从县境中线穿行而过;望都县教委下辖21所中小学，各中小学校分布比较零散，距离相距较远，范围在7-25公里左右。如果采用有线方式进行网络连接，仅铺设线路费用一项就高达数百万（要穿过京广铁路动脉以及一条中型河流）解决方案:望都县教育网设项目以教育局信息中心为整个无线网络的连接中心，在中心点和中间配置CiscoBR-342无线网桥18台。根据靠近中心点的距离远近采取不同的定向和全向天线，计算机终端配用思科PCI-352网卡，中继连接望都县所辖的21所中小学。县教委以上都使用了Cisco网络设备(路由器和交换机)，每个学校配备了8口或16口的小型交换机，在中心机房配备Catalyst3548XL交换机。CiscoBR-342无线网桥是CiscoAironet340系列产品，是Cisco可靠、最佳的无线产品的补充和替代。在不附加功率放大器的情况下，CiscoBR-342无线网桥的功率非常大，传输距离超过15公里后，特别是到20公里以后，在同类产品中的优势更加明显，无可匹敌，最远可传输25公里。另外，它的吞吐量很大，经实地测试，都在5.5M以上。对望都教育网而言，思科无线产品提供了理想的高附加值特性：能够避免昂贵的挖掘费用、线路租用费用、道路使用权问题，从而节约经费并获得很大灵活性。典型无线案例分析(三)典型无线案例分析(四)典型无线案例分析(四)典型无线案例分析(五)某采油厂无线链路、IP电话网关应用实例方案说明：方案解决A站与B站、C站之间的数据及语音传输问题.

在A站安装一套无线基站网桥AU-DS11和一副24dbi定向天线，B站安装一套无线远端网桥SU-DS11和一副24dbi定向天线此，两端即可实现可靠、高速的数据通信.

由于A站C站之间距离较远且中间有明显阻挡，无法直接通讯，建议采用B站作为C站的中继点，即在B站安装一套无线基站网桥AU-DS11和一副27dbi定向天线，C站安装一套无线远端网桥SU-DS11和一副27dbi定向天线，B站与C站之间可实现通讯.。将中继点（B站）的两套无线设备（SU-DS11、AU-DS11）连接至同一台数据交换机或HUB上，即可实现A、B、C站之间的数据通讯。

在A、B、C站根据实际需求安装基于IP的语音网关设备（2口、4口、8口），可堆叠使用，将语音网关一端通过10BaseT(RJ45)接口与数据交换机相连，另一端通过（E/M）接口直接与语音交换机（PBX）连接，也可直接与电话连接；可根据实际需要设置内部电话号码。

系统在已有的高速无线网的基础上，增加语音功能，大大节省了话费开支，根据需要系统还可增加会议电视、远程监控等系统。典型无线案例分析(五)方案介绍：电信运营商的无线接入网络系统应包括无线接入点（AP）和接入控制器(AC)构成。接入控制器是在Internet和无线局域网之间，担当网关作用，对用户进行认证、计费等管理，通过认证服务器，可以对用户进行管理，制定多种适合运营商运营的计费机制，比如：按流量计费、按时间计费、预付费、包月等等不同的适合多种需求的计费方式

1、北京电信依托电信宽带IP网和城域光纤网，为第21届大运会提供无线宽带上网服务；2.中国网通去年10月在上海金茂大厦、东方明珠新闻中心、上海国际会议中心、浦东香格里拉饭店推出的"无线伴旅"无线宽带接入服务。无线接入电信运营商结构图例：典型无线案例分析(六)典型无线案例分析(七)此次博览会的会场共分两层，一层主要是各厂商的展览区和观众的休息区；二层是会务服务区包括新闻中心，商务中心，咖啡厅以及会议厅等。由于是整个展览会场跨越的上下两层，所以需要每一层都分别作无线网覆盖。然后每一个AP分别连到会展中心的主干交换机上。在解决方案中，一层现场用了12个AP，覆盖了全部的展区；二层用了18个AP进行覆盖在上下的两层里，由于使用了多个AP进行覆盖，所以无论展台位置如何变动，安装了无线局域网网卡的计算机都可以通过

AP连接到

Internet。在商务服务中心的打印机可以使用TFW2330无线打印服务器做无线网接入，那么不论有线网用户还是无线网用户都可以共享各种打印机。

在做无线网覆盖时一般将AP放在展馆的顶部效果会更好，那么在房顶放置AP时设备的供电会比较麻烦可以采用以太网供电器，通过以太网线供电非常方便。天线种类碟形天线——属于定向天线的一种，无波速角度，适用情况同远距离点对点传输。高增益值弧形网格天线-定向天线中能量汇聚能力最强，信号方向指向性最好的一种类型的天线，当桥接点位置固定切数量少而集中的项目中，此类型天线是最佳选择

平板天线-波速角度可分为30度和15度，能量汇聚能力强，适用在远程连接点相对集中且数量较少的环境下扇形天线——此类型天线具有能量定向和汇聚功能，可以有效地进行水平180度、120度、90度范围内的覆盖，当桥接点在某一角度内较集中的情况下，可用此类型天线。全向天线——适用于各桥接点距离较近、分布角度范围大且数量较多的情况。YaGi天线——有多种型号的覆盖角度可供选择，可以视不同情况而定。定向天线。配置

AIR-ANT3212AIR-ANT3194AIR-ANT1728AIR-ANT2561AIR-ANT3549AIR-ANT1729说明

柱形安装，多极全向天线

全向，天花板安装

高增益全向，天花板安装

全向，地平面安装

贴片，墙壁安装

贴片，墙壁安装

应用

户内，隐蔽的中距离天线

户内短距离天线，一般悬掉在天花板的横梁上

户内中距离天线，一般悬掉在天花板的横梁上

平面圆形中距离户内天线

户内，隐蔽的长距离天线（也可以当作中距离桥接天线使用）

户内，隐蔽的中距离天线（也可以当作中距离桥接天线使用）

增益

5.2dBi2.2dBi5.2dBi5.2dBi8.5dBi6dBi1Mbps时的大约户内距离*

497英尺（151米）

350英尺（107米）

497英尺（151米）

497英尺（151米）

接入点：700英尺（213米）

桥接器：2英里（3.2公里）

接入点：542英尺（165米）

桥接器：1.1英里（1.8公里）

11Mbps时的大约户内距离*

142英尺（44米）

100英尺（31米）

142英尺（44米）

142英尺（44米）

接入点：200英尺（61米）

桥接器：3390英尺（1032米）

接入点：155英尺（47米）

桥接器：1900英尺（580米）

天线增益值估算：CiscoAironet接入点天线的配置

配置

AIR-ANT2506AIR-ANT4121AIR-ANT1949AIR-ANT33