無線局域網解決方案

2019-11-05 03:05:00

字體：大中小

來源：轉載

供稿：網友

無線局域網解決方案
1、無線局域網簡介

2、無線局域的應用與發展

3、無線局域網的安全

一、無線局域網簡介

1、無線局域網概述

無線局域網是計算機網絡與無線通信技術相結合的產物。通俗點說，無線局域網（Wireless local－area network，WLAN）就是在不采用傳統電纜線的同時，提供傳統有線局域網的所有功能，網絡所需的基礎設施不需要再埋在地下或隱藏在墻里，網絡卻能夠隨著實際需要移動或變化。

無線局域網技術具有傳統局域網無法比擬的靈活性。無線局域網的通信范圍不受環境條件的限制，網絡的傳輸范圍大大拓寬，最大傳輸范圍可達到幾十公里。在有線局域網中，兩個站點的距離在使用銅纜時被限制在500米，即使采用單模光纖也只能達到3000米，而無線局域網中兩個站點間的距離目前可達到50公里，距離數公里的建筑物中的網絡可以集成為同一個局域網。

此外，無線局域網的抗干擾性強、網絡保密性好。對于有線局域網中的諸多安全問題，在無線局域網中基本上可以避免。而且相對于有線網絡，無線局域網的組建、配置和維護較為輕易，一般計算機工作人員都可以勝任網絡的治理工作。

2、無線局域網的傳輸媒體

無線局域網的基礎還是傳統的有線局域網，是有線局域網的擴展和替換。它只是在有線局域網的基礎上通過無線集線器、無線訪問節點、無線網橋、無線網卡等設備使無線通信得以實現。與有線網絡一樣，無線局域網同樣也需要傳送介質。只是無線局域網采用的傳輸媒體不是雙絞線或者光纖，而是紅外線或者無線電波，以后者使用居多。

●紅外線系統

紅外線局域網采用小于1微米波長的紅外線作為傳輸媒體，有較強的方向性，由于它采用低于可見光的部分頻譜作為傳輸介質，使用不受無線電治理部門的限制。紅外信號要求視距傳輸，并且竊聽困難，對鄰近區域的類似系統也不會產生干擾。在實際應用中，由于紅外線具有很高的背景噪聲，受日光、環境照明等影響較大，一般要求的發射功率較高，紅外無線局域網是目前“100Mbit／s以上、性能價格比高的網絡”唯一可行的選擇。

●無線電波

采用無線電波作為無線局域網的傳輸介質是目前應用最多的，這主要是因為無線電波的覆蓋范圍較廣，應用較廣泛。使用擴頻方式通信時，非凡是直接序列擴頻調制方法因發射功率低于自然的背景噪聲，具有很強的抗干擾抗噪聲能力、抗衰落能力。這一方面使通信非常安全，基本避免了通信信號的偷聽和竊取，具有很高的可用性。另一方面無線局域使用的頻段主要是S頻段（2.4GHz～2.4835GHz），這個頻段也叫ISM（Industry Science Medical）即工業科學醫療頻段，該頻段在美國不受美國聯邦通信委員會的限制，屬于工業自由輻射頻段，不會對人體健康造成傷害。所以無線電波成為無線局域網最常用的無線傳輸媒體。

3、無線網絡采用的主要協議標準

無線接入技術區別于有線接入的特點之一是標準不統一，不同的標準有不同的應用。目前比較流行的有802.11標準（包括802.11a 、802.11b 及802.11g等標準）、藍牙（Bluetooth）標準以及HomeRF（家庭網絡）標準等。

●802.11標準

IEEE 802.11無線局域網標準的制定是無線網絡技術發展的一個里程碑。802.11 標準除了介紹無線局域網的優點及各種不同性能外，還使得各種不同廠商的無線產品得以互聯。另外，標準使核心設備執行單芯片解決方案，降低了無線局域網的造價。802.11 標準的頒布，使得無線局域網在各種有移動要求的環境中被廣泛接受。它是無線局域網目前最常用的傳輸協議，各個公司都有基于該標準的無線網卡產品。不過由于802.11速率最高只能達到2Mbps，在傳輸速率上不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a兩個新標準，前者已經成為目前的主流標準，而后者也被很多廠商看好。

802.11b標準采用一種新的調制技術，使得傳輸速率能根據環境變化，它采用2.4GHz直接序列擴頻，最大數據傳輸速率為11Mb/s，無須直線傳播。動態速率轉換當射頻情況變差時，可將數據傳輸速率降低為5.5Mb/s、2Mb/s和1Mb/s。支持的范圍是在室外為300米，在辦公環境中最長為100米。802.11b使用與以太網類似的連接協議和數據包確認，來提供可靠的數據傳送和網絡帶寬的有效使用。

802.11a標準是已在辦公室、家庭、賓館、機場等眾多場合得到廣泛應用的802.11b無線局域網標準的后續標準。802.11a標準的傳輸更驚人，傳輸速度可達25Mbps，完全能滿足語音、數據、圖像等業務的需要。

隨著無線IEEE 802.11標準開始深入人心，制造商開始尋求為以太網平臺提供更為快速的協議和配置。而藍牙產品和無線局域網（802.11b）產品的逐步應用，解決兩種技術之間的干擾問題顯得日益重要。為此，IEEE成立了無線局域網任務工作組，專門從事無線局域網802.11g標準的制定，力圖解決這一問題。802.11g其實是一種混合標準，它既能適應傳統的802.11b標準，在2.4GHz頻率下提供每秒11Mbit/s數據傳輸率，也符合802.11a標準在5GHz頻率下提供56Mbit/s數據傳輸率。隨著802.11g標準認可，它將有助于進一步推動802.11無線局域網飛速發展的勢頭。

●藍牙標準

藍牙（IEEE 802.15）是一項新標準，對于802.11來說，它的出現不是為了競爭而是相互補充?！八{牙”是一種極其先進的大容量近距離無線數字通信的技術標準，其目標是實現最高數據傳輸速度1Mbps（有效傳輸速率為721Kbps）、最大傳輸距離為10厘米～10米，通過增加發射功率可達到100米。藍牙比802.11更具移動性，比如，802.11限制在辦公室和校園內，而藍牙卻能把一個設備連接到局域網和廣域網，甚至支持全球漫游。此外，藍牙成本低、體積小，可用于更多的設備。“藍牙”最大的優勢還在于，在更新網絡骨干時，假如搭配“藍牙”架構進行，使用整體網路的成本肯定比鋪設線纜低。

●家庭網絡的HomeRF標準

HomeRF主要為家庭網絡設計，是IEEE 802.11與數字無繩電話標準的結合，旨在降低語音數據成本。HomeRF也采用了擴頻技術，工作在2.4GHz頻帶，能同步支持4條高質量語音信道。但目前HomeRF的傳輸速率只有1M～2Mbps，美國聯邦通信委員會建議增加到10Mbps。

二、無線局域網的應用發展

1、無線局域網應用與發展

在現階段，中國市場上的無線局域網主要是應用于公眾服務、企業內部網、校園網、及地理位置較非凡的政府機構等領域，從發展趨勢來看，隨著產品價格和技術方面日漸成熟，校園網對無線局域網應用會增長迅速，尤其是高等教育和科研機構對無線局域網的需求不斷增加，將為無線局域網創造廣闊的空間。像現在北京大學校園就構建了校園無線局域網網絡。另外，在政府內部，電子政務建設正如火如荼，無線局域網在政府的網絡建設中有非比平常的機會。

目前，在國內，北京、上海、廣州和深圳是無線局域網應用最為普及的城市。在這些城市的酒店、賓館、會展中心和機場等公眾場所，已經成為運營商如中國網通、中國電信公網鋪設的重點場所。非凡是上海，由于2001年APEC會議的召開，其無線局域網的應用得到了突飛猛進的發展，現在已位居四城市之首。

無線局域網雖然不能取代有線網絡，但它有著傳統網絡無法比擬的優勢，也正是這樣的優勢，使無線局域網市場的增長是無庸置疑的?，F在，不管是IT傳統廠商還是新興廠商都已經把無線局域網應用推廣視為重中之重，今后，會有更多的企業用戶使用無線局域網，并且隨著無線網卡成為筆記本電腦中的標準配置這一事實，更多的人將會更加方便地使用無線局域網。

雖然IEEE802.11a標準由于其高帶寬被人們津津樂道，但從實際應用來看，到現在為止，在國內802.11b仍然是無線局域網的主流標準，而市場中的無線局域網產品大多還是基于802.11b協議的。

表一：有線網絡與無線網絡應用特點比較

表二：802.11標準的特性說明

2、無線局域網組網模式應用

InfrastrUCture模式（帶有無線接入點，如下圖1所示）

這種模式通過數張無線網絡卡（USB,PCI或PCMCIA接口）及一臺無線網橋(AP)，通過AP實現無線網絡內部及無線網絡與有線網絡之間的互通。

Ad-Hoc模式（點對點無線網，如下圖2所示）

數張無線網卡（USB,PCI或PCMCIA接口）可以自成網絡，無需AP，組成一種臨時性的松散的網絡組織方式，實現點對點與點對多點連接。不過這種方式就不能連接外部網絡。

當采用室外無線網橋進行連接時，網絡方式如下圖3所示：

三、無線局域網的安全

1、無線局域網安全狀況

由于無線局域網通過無線電波在空中傳輸數據，所以在數據發射機覆蓋區域內的幾乎任何一個無線局域網用戶都能接觸到這些數據。無論接觸數據者是在另外一個房間、另一層樓或是在本建筑之外，無線就意味著會讓人接觸到數據。與此同時，要將無線局域網發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用，任何人在視距范圍之內都可以截獲和插入數據。

因此，雖然無線網絡和無線局域網的應用擴展了網絡用戶的自由，它安裝時間短，增加用戶或更改網絡結構時靈活、經濟，可提供無線覆蓋范圍內的全功能漫游服務。然而，這種自由也同時帶來了新的挑戰，這些挑戰其中就包括安全性。而安全性又包括兩個方面，一是訪問控制，另一個就是保密性。訪問控制確保敏感的數據僅由獲得授權的用戶訪問。保密性則確保傳送的數據只被目標接收人接收和理解。由上述可見，真正需要重視的是數據保密性，但訪問控制也不可忽視，假如沒有在安全性方面進行精心的建設，布署無線局域網將會給黑客和網絡犯罪開啟方便之門。無線局域網必須考慮的安全威脅有以下幾種：

●所有常規有線網絡存在的安全威脅和隱患都存在；

●外部人員可以通過無線網絡繞過防火墻，對公司網絡進行非授權存??；

●無線網絡傳輸的信息沒有加密或者加密很弱，易被竊取、竄改和插入；

●無線網絡易被拒絕服務攻擊（DOS）和干擾；

●內部員工可以設置無線網卡為P2P模式與外部員工連接；

●無線網絡的安全產品相對較少,技術相對比較新。

下面將針對上面內容進行分析：

1）常規安全威脅分析

由于無線網絡只是在傳輸方式上和傳統的有些網絡有區別，所以常規的安全風險如病毒，惡意攻擊，非授權訪問等都是存在的，這就要求繼續加強常規方式上的安全措施。

2）非授權訪問威脅分析

無線網絡中每個AP覆蓋的范圍都形成了通向網絡的一個新的入口。由于無線傳輸的特點，對這個入口的治理不像傳統網絡那么輕易。正因為如此，未授權實體可以在公司外部或者內部進入網絡：首先，未授權實體進入網絡瀏覽存放在網絡上的信息，或者是讓網絡感染上病毒。其次，未授權實體進入網絡，利用該網絡作為攻擊第三方網絡的跳板。第三，入侵者對移動終端發動攻擊，或為了瀏覽移動終端上的信息，或為了通過受危害的移動設備訪問網絡，第四，入侵者和公司員工勾結，通過無線交換數據。

2、無線局域網安全存在的主要問題及安全技術

事實上，無線網絡受大量安全風險和安全問題的困擾，其中主要包括：

　　 1）來自網絡用戶的進攻。

　　 2）未認證的用戶獲得存取權。

　　 3）來自公司的竊聽泄密等。

針對以上威脅問題，常規的無線網絡安全技術有以下幾種：

●服務集標識符（SSID，Service Set ID）

通過對多個無線接入點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以答應不同群組的用戶接入，并對資源訪問的權限進行區別限制。但是這只是一個簡單的口令，所有使用該網絡的人都知道該SSID，很輕易泄漏，只能提供較低級別的安全；而且假如配置AP向外廣播其SSID，那么安全程度還將下降，因為任何人都可以通過工具得到這個SSID。

●物理地址（MAC，Media access Controller）過濾

由于每個無線工作站的網卡都有唯一的物理地址，因此可以在AP中手工維護一組答應訪問的MAC地址列表，實現物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新，可擴展性差，無法實現機器在不同AP之間的漫游；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。

●連線對等保密（WEP，Wired Equivalent PRotection）

在鏈路層采用RC4對稱加密技術，用戶的加密金鑰必須與AP的密鑰相同時才能獲準存取網絡的資源，從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位（有時也稱為64位）和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個服務區內的所有用戶都共享同一個密鑰，一個用戶丟失或者泄漏密鑰將使整個網絡不安全。而且由于WEP加密被發現有安全缺陷，可以在幾個小時內被破解。

●虛擬專用網絡（VPN，Virtual Private Network）

VPN是指在一個公共ip網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來反抗無線網絡的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。

●端口訪問控制技術（802.1x）

該技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。假如認證通過，則AP為用戶打開這個邏輯端口，否則不答應用戶上網。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，非凡適合于無線接入解決方案。

3、無線網絡安全對策

針對以上無線網絡安全性應采用如下對策：

●擴頻、跳頻無線傳輸技術本身使盜聽者難以捕捉到有用的數據；

●采取網絡隔離及網絡認證措施；

●設置嚴密的用戶口令及認證措施，防止非法用戶入侵；

●設置附加的第三方數據加密方案，即使信號被盜聽也難以理解其中的內容；

●解決來自公司內部員工的泄密破壞。

1）擴展頻譜技術

擴展頻譜技術在50年前第一次被軍方公開介紹，它用來進行保密傳輸。從一開始它就設計成抗噪音、干擾、阻塞和未授權檢測。擴展頻儲發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。擴展瀕譜的實現方式有多種，最常用的兩種是直接序列和跳頻序列。

2）用戶認證---口令控制

我們推薦在無線網的站點上使用口令控制----當然未必要局限于無線網。諸如Novell NetWare和Microsoft NT等網絡操作系統和服務器提供了包括口令治理在內的內建多級安全服務。口令應處于嚴格的控制之下并經常予以變更。由于無線局域網的用戶要包括移動用戶，而移動用戶傾向于把他們的筆記本電腦移來移去，因此，嚴格的口令策略等于增加了一個安全級別，它有助于確認網站是否正被合法的用戶使用。

3）數據加密

假如單位的數據要求極高的安全性，譬如說是商用網或軍用網上的數據，那么單位可能需要采取一些非凡的措施。最后也是最高級別的安全措施就是在網絡上整體使用加密產品。數據包中的數據在發送到局域網之前要用軟件或硬件的方法進行加密。只有那些擁有正確密鑰的站點才可以恢復，讀取這些數據。假如需要全面的安全保障，加密是最好的方法，一些網絡操作系統具有加密能力，基于每個用戶或服務器、價位較低的第三方加密產品也可以勝任，并可為用戶提供最好的性能、質量服務和技術支持。

4）加強企業內部治理制度

對于內部員工主動泄密的情況，沒有十分好的安全策略，只能通過治理制度進行限制。采用的安全方法如下：

●采用端口訪問技術（802.1x）進行控制，防止非授權的非法接入和訪問。

●對于密度等級高的網絡采用VPN進行連接。

●布置AP的時候要在公司辦公區域以外進行檢查，通過調節AP天線的角度和發射功率防止AP的覆蓋范圍超出辦公區域，同時要讓保安人員在公司四周進行巡查，防止外部人員在公司四周接入網絡。

●禁止員工私自安裝AP，通過筆記本配置無線網卡和無線掃描軟件可以進行掃描。

●制定無線網絡治理規定，規定員工不得把網絡設置信息告訴公司外部人員，禁止設置P2P的Ad hoc網絡結構

●跟蹤無線網絡技術，非凡是安全技術（如802.11i規范了TKIP和AES），對網絡治理人員進行知識培訓。

本文所用的有關術語說明如下：

AP（Access Point）無線訪問接入，類似于有線網絡集線器的設備。

P2P（peer-to-peer）對等聯網

802.11i規范了TKIP和AES技術說明：

TKIP（Temporal Key Integrity Protocol）臨時密鑰完整性協議，

AES（Advanced Encryption Standard）高級加密標準。

上一篇：發掘路由器的功能用路由器管理局域網

下一篇：解讀3COM中小型局域網方案（圖）