无线局域网解决方案8945.docx

《无线局域网解决方案8945.docx》由会员分享，可在线阅读，更多相关《无线局域网解决方案8945.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、无线局域域网解决决方案一、无线线局域网网简介11、无线线局域网网概述 无线局局域网是是计算机机网络与与无线通通信技术术相结合合的产物物。通俗俗点说，无无线局域域网（WWireelesss llocaalaareaa neetwoork，WWLANN）就是是在不采采用传统统电缆线线的同时时，提供供传统有有线局域域网的所所有功能能，网络络所需的的基础设设施不需需要再埋埋在地下下或隐藏藏在墙里里，网络络却能够够随着实实际需要要移动或或变化。 无线局局域网技技术具有有传统局局域网无无法比拟拟的灵活活性。无无线局域域网的通通信范围围不受环环境条件件的限制制，网络络的传输输范围大大大拓宽宽，最大大传输范范

2、围可达达到几十十公里。在在有线局局域网中中，两个个站点的的距离在在使用铜铜缆时被被限制在在5000米，即即使采用用单模光光纤也只只能达到到30000米，而而无线局局域网中中两个站站点间的的距离目目前可达达到500公里，距距离数公公里的建建筑物中中的网络络可以集集成为同同一个局局域网。 此外，无无线局域域网的抗抗干扰性性强、网网络保密密性好。对对于有线线局域网网中的诸诸多安全全问题，在在无线局局域网中中基本上上可以避避免。而而且相对对于有线线网络，无无线局域域网的组组建、配配置和维维护较为为容易，一一般计算算机工作作人员都都可以胜胜任网络络的管理理工作。 2、无无线局域域网的传传输媒体体 无线局

3、局域网的的基础还还是传统统的有线线局域网网，是有有线局域域网的扩扩展和替替换。它它只是在在有线局局域网的的基础上上通过无无线集线线器、无无线访问问节点、无无线网桥桥、无线线网卡等等设备使使无线通通信得以以实现。与与有线网网络一样样，无线线局域网网同样也也需要传传送介质质。只是是无线局局域网采采用的传传输媒体体不是双双绞线或或者光纤纤，而是是红外线线或者无无线电波波，以后后者使用用居多。 红外外线系统统 红外外线局域域网采用用小于11微米波波长的红红外线作作为传输输媒体，有有较强的的方向性性，由于于它采用用低于可可见光的的部分频频谱作为为传输介介质，使使用不受受无线电电管理部部门的限限制。红红外

4、信号号要求视视距传输输，并且且窃听困困难，对对邻近区区域的类类似系统统也不会会产生干干扰。在在实际应应用中，由由于红外外线具有有很高的的背景噪噪声，受受日光、环环境照明明等影响响较大，一一般要求求的发射射功率较较高，红红外无线线局域网网是目前前“1000Mbbits以上上、性能能价格比比高的网网络”唯唯一可行行的选择择。 无线电电波 采采用无线线电波作作为无线线局域网网的传输输介质是是目前应应用最多多的，这这主要是是因为无无线电波波的覆盖盖范围较较广，应应用较广广泛。使使用扩频频方式通通信时，特特别是直直接序列列扩频调调制方法法因发射射功率低低于自然然的背景景噪声，具具有很强强的抗干干扰抗噪噪

5、声能力力、抗衰衰落能力力。这一一方面使使通信非非常安全全，基本本避免了了通信信信号的偷偷听和窃窃取，具具有很高高的可用用性。另另一方面面无线局局域使用用的频段段主要是是S频段段（2.4GHHz22.48835GGHz），这这个频段段也叫IISM（IInduustrry SScieencee Meediccal）即即工业科科学医疗疗频段，该该频段在在美国不不受美国国联邦通通信委员员会的限限制，属属于工业业自由辐辐射频段段，不会会对人体体健康造造成伤害害。所以以无线电电波成为为无线局局域网最最常用的的无线传传输媒体体。 33、无线线网络采采用的主主要协议议标准 无线接接入技术术区别于于有线接接入的

6、特特点之一一是标准准不统一一，不同同的标准准有不同同的应用用。目前前比较流流行的有有8022.111标准（包包括8002.111a 、8002.111b 及8002.111g等等标准）、蓝蓝牙（BBlueetoooth）标标准以及及HommeRFF（家庭庭网络）标标准等。 8002.111标准准 IEEEE 8022.111无线局局域网标标准的制制定是无无线网络络技术发发展的一一个里程程碑。8802.11 标准除除了介绍绍无线局局域网的的优点及及各种不不同性能能外，还还使得各各种不同同厂商的的无线产产品得以以互联。另另外，标标准使核核心设备备执行单单芯片解解决方案案，降低低了无线线局域网网的造

7、价价。8002.111 标标准的颁颁布，使使得无线线局域网网在各种种有移动动要求的的环境中中被广泛泛接受。它它是无线线局域网网目前最最常用的的传输协协议，各各个公司司都有基基于该标标准的无无线网卡卡产品。不不过由于于8022.111速率最最高只能能达到22Mbpps，在在传输速速率上不不能满足足人们的的需要，因因此，IIEEEE小组又又相继推推出了8802.11bb和8002.111a两两个新标标准，前前者已经经成为目目前的主主流标准准，而后后者也被被很多厂厂商看好好。 8802.11bb标准采采用一种种新的调调制技术术，使得得传输速速率能根根据环境境变化，它它采用22.4GGHz直直接序列列

8、扩频，最最大数据据传输速速率为111Mbb/s，无无须直线线传播。动动态速率率转换当当射频情情况变差差时，可可将数据据传输速速率降低低为5.5Mbb/s、22Mb/s和11Mb/s。支支持的范范围是在在室外为为3000米，在在办公环环境中最最长为1100米米。8002.111b使使用与以以太网类类似的连连接协议议和数据据包确认认，来提提供可靠靠的数据据传送和和网络带带宽的有有效使用用。 8802.11aa标准是是已在办办公室、家家庭、宾宾馆、机机场等众众多场合合得到广广泛应用用的8002.111b无无线局域域网标准准的后续续标准。8802.11aa标准的的传输更更惊人，传传输速度度可达225M

9、bbps，完完全能满满足语音音、数据据、图像像等业务务的需要要。 随随着无线线IEEEE 8802.11标标准开始始深入人人心，制制造商开开始寻求求为以太太网平台台提供更更为快速速的协议议和配置置。而蓝蓝牙产品品和无线线局域网网（8002.111b）产产品的逐逐步应用用，解决决两种技技术之间间的干扰扰问题显显得日益益重要。为为此，IIEEEE成立了了无线局局域网任任务工作作组，专专门从事事无线局局域网8802.11gg标准的的制定，力力图解决决这一问问题。8802.11gg其实是是一种混混合标准准，它既既能适应应传统的的8022.111b标准准，在22.4GGHz频频率下提提供每秒秒11MMb

10、itt/s数数据传输输率，也也符合8802.11aa标准在在5GHHz频率率下提供供56MMbitt/s数数据传输输率。随随着8002.111g标标准认可可，它将将有助于于进一步步推动8802.11无无线局域域网飞速速发展的的势头。 蓝牙牙标准 蓝牙（IIEEEE 8002.115）是是一项新新标准，对对于8002.111来说说，它的的出现不不是为了了竞争而而是相互互补充。“蓝蓝牙”是是一种极极其先进进的大容容量近距距离无线线数字通通信的技技术标准准，其目目标是实实现最高高数据传传输速度度1Mbbps（有有效传输输速率为为7211Kbpps）、最最大传输输距离为为10厘厘米110米，通通过增加

11、加发射功功率可达达到1000米。蓝蓝牙比8802.11更更具移动动性，比比如，8802.11限限制在办办公室和和校园内内，而蓝蓝牙却能能把一个个设备连连接到局局域网和和广域网网，甚至至支持全全球漫游游。此外外，蓝牙牙成本低低、体积积小，可可用于更更多的设设备。“蓝蓝牙”最最大的优优势还在在于，在在更新网网络骨干干时，如如果搭配配“蓝牙牙”架构构进行，使使用整体体网路的的成本肯肯定比铺铺设线缆缆低。 家庭庭网络的的HommeRFF标准 HommeRFF主要为为家庭网网络设计计，是IIEEEE 8002.111与数数字无绳绳电话标标准的结结合，旨旨在降低低语音数数据成本本。HoomeRRF也采采用

12、了扩扩频技术术，工作作在2.4GHHz频带带，能同同步支持持4条高高质量语语音信道道。但目目前HoomeRRF的传传输速率率只有11M22Mbpps，美美国联邦邦通信委委员会建建议增加加到100Mbpps。 二、无无线局域域网的应应用发展展1、无无线局域域网应用用与发展展 在现阶阶段，中中国市场场上的无无线局域域网主要要是应用用于公众众服务、企企业内部部网、校校园网、及及地理位位置较特特殊的政政府机构构等领域域，从发发展趋势势来看，随随着产品品价格和和技术方方面日渐渐成熟，校校园网对对无线局局域网应应用会增增长迅速速，尤其其是高等等教育和和科研机机构对无无线局域域网的需需求不断断增加，将将为无

13、线线局域网网创造广广阔的空空间。像像现在北北京大学学校园就就构建了了校园无无线局域域网网络络。另外外，在政政府内部部，电子子政务建建设正如如火如荼荼，无线线局域网网在政府府的网络络建设中中有非比比寻常的的机会。 目前，在在国内，北北京、上上海、广广州和深深圳是无无线局域域网应用用最为普普及的城城市。在在这些城城市的酒酒店、宾宾馆、会会展中心心和机场场等公众众场所，已已经成为为运营商商如中国国网通、中中国电信信公网铺铺设的重重点场所所。特别别是上海海，由于于20001年AAPECC会议的的召开，其其无线局局域网的的应用得得到了突突飞猛进进的发展展，现在在已位居居四城市市之首。 无线局局域网虽虽然

14、不能能取代有有线网络络，但它它有着传传统网络络无法比比拟的优优势，也也正是这这样的优优势，使使无线局局域网市市场的增增长是无无庸置疑疑的。现现在，不不管是IIT传统统厂商还还是新兴兴厂商都都已经把把无线局局域网应应用推广广视为重重中之重重，今后后，会有有更多的的企业用用户使用用无线局局域网，并并且随着着无线网网卡成为为笔记本本电脑中中的标准准配置这这一事实实，更多多的人将将会更加加方便地地使用无无线局域域网。 虽然IIEEEE8022.111a标准准由于其其高带宽宽被人们们津津乐乐道，但但从实际际应用来来看，到到现在为为止，在在国内8802.11bb仍然是是无线局局域网的的主流标标准，而而市场

15、中中的无线线局域网网产品大大多还是是基于8802.11bb协议的的。 表一：有有线网络络与无线线网络应应用特点点比较 表二：8802.11标标准的特特性说明明 2、无线线局域网网组网模模式应用用 Inffrasstruuctuure模模式（带带有无线线接入点点，如下下图1所所示） 这种模式式通过数数张无线线网络卡卡（USSB,PPCI或或PCMMCIAA接口）及及一台无无线网桥桥(APP)，通通过APP实现无无线网络络内部及及无线网网络与有有线网络络之间的的互通 。 AAd-HHoc模模式（点点对点无无线网，如如下图22所示） 数张无线线网卡（UUSB,PCII或PCCMCIIA接口口）可以以

16、自成网网络，无无需APP，组成成一种临临时性的的松散的的网络组组织方式式，实现现点对点点与点对对多点连连接。不不过这种种方式就就不能连连接外部部网络。 当采用用室外无无线网桥桥进行连连接时，网网络方式式如下图图3所示示： 三、无线线局域网网的安全全1、无无线局域域网安全全状况由由于无线线局域网网通过无无线电波波在空中中传输数数据，所所以在数数据发射射机覆盖盖区域内内的几乎乎任何一一个无线线局域网网用户都都能接触触到这些些数据。无无论接触触数据者者是在另另外一个个房间、另另一层楼楼或是在在本建筑筑之外，无无线就意意味着会会让人接接触到数数据。与与此同时时，要将将无线局局域网发发射的数数据仅仅仅传

17、送给给一名目目标接收收者是不不可能的的。而防防火墙对对通过无无线电波波进行的的网络通通讯起不不了作用用，任何何人在视视距范围围之内都都可以截截获和插插入数据据。 因因此，虽虽然无线线网络和和无线局局域网的的应用扩扩展了网网络用户户的自由由，它安安装时间间短，增增加用户户或更改改网络结结构时灵灵活、经经济，可可提供无无线覆盖盖范围内内的全功功能漫游游服务。然然而，这这种自由由也同时时带来了了新的挑挑战，这这些挑战战其中就就包括安安全性。而而安全性性又包括括两个方方面，一一是访问问控制，另另一个就就是保密密性。访访问控制制确保敏敏感的数数据仅由由获得授授权的用用户访问问。保密密性则确确保传送送的数

18、据据只被目目标接收收人接收收和理解解。由上上述可见见，真正正需要重重视的是是数据保保密性，但但访问控控制也不不可忽视视，如果果没有在在安全性性方面进进行精心心的建设设，布署署无线局局域网将将会给黑黑客和网网络犯罪罪开启方方便之门门。 无无线局域域网必须须考虑的的安全威威胁有以以下几种种： 所有常常规有线线网络存存在的安安全威胁胁和隐患患都存在在； 外部人人员可以以通过无无线网络络绕过防防火墙，对对公司网网络进行行非授权权存取； 无无线网络络传输的的信息没没有加密密或者加加密很弱弱，易被被窃取、窜窜改和插插入； 无线线网络易易被拒绝绝服务攻攻击（DDOS）和和干扰； 内内部员工工可以设设置无线线

19、网卡为为P2PP模式与与外部员员工连接接； 无线网网络的安安全产品品相对较较少,技技术相对对比较新新。 下下面将针针对上面面内容进进行分析析： 11）常规规安全威威胁分析析 由于于无线网网络只是是在传输输方式上上和传统统的有些些网络有有区别，所所以常规规的安全全风险如如病毒，恶恶意攻击击，非授授权访问问等都是是存在的的，这就就要求继继续加强强常规方方式上的的安全措措施。 2）非非授权访访问威胁胁分析 无线网网络中每每个APP覆盖的的范围都都形成了了通向网网络的一一个新的的入口。由由于无线线传输的的特点，对对这个入入口的管管理不像像传统网网络那么么容易。正正因为如如此，未未授权实实体可以以在公司

20、司外部或或者内部部进入网网络：首首先，未未授权实实体进入入网络浏浏览存放放在网络络上的信信息，或或者是让让网络感感染上病病毒。其其次，未未授权实实体进入入网络，利利用该网网络作为为攻击第第三方网网络的跳跳板。第第三，入入侵者对对移动终终端发动动攻击，或或为了浏浏览移动动终端上上的信息息，或为为了通过过受危害害的移动动设备访访问网络络，第四四，入侵侵者和公公司员工工勾结，通通过无线线交换数数据。 2、无无线局域域网安全全存在的的主要问问题及安安全技术术事实上上，无线线网络受受大量安安全风险险和安全全问题的的困扰，其其中主要要包括： 1）来来自网络络用户的的进攻。 22）未认认证的用用户获得得存取

21、权权。 33）来自自公司的的窃听泄泄密等。 针对以以上威胁胁问题，常常规的无无线网络络安全技技术有以以下几种种： 服务集集标识符符（SSSID，SServvicee Seet IID） 通过对对多个无无线接入入点APP设置不不同的SSSIDD，并要要求无线线工作站站出示正正确的SSSIDD才能访访问APP，这样样就可以以允许不不同群组组的用户户接入，并并对资源源访问的的权限进进行区别别限制。但但是这只只是一个个简单的的口令，所所有使用用该网络络的人都都知道该该SSIID，很很容易泄泄漏，只只能提供供较低级级别的安安全；而而且如果果配置AAP向外外广播其其SSIID，那那么安全全程度还还将下降降

22、，因为为任何人人都可以以通过工工具得到到这个SSSIDD。 物理地地址（MMAC，MMediia AAcceess Conntroolleer）过过滤 由由于每个个无线工工作站的的网卡都都有唯一一的物理理地址，因因此可以以在APP中手工工维护一一组允许许访问的的MACC地址列列表，实实现物理理地址过过滤。这这个方案案要求AAP中的的MACC地址列列表必需需随时更更新，可可扩展性性差，无无法实现现机器在在不同AAP之间间的漫游游；而且且MACC地址在在理论上上可以伪伪造，因因此这也也是较低低级别的的授权认认证。 连线线对等保保密（WWEP，WWireed EEquiivallentt Prrot

23、eectiion） 在链路路层采用用RC44对称加加密技术术，用户户的加密密金钥必必须与AAP的密密钥相同同时才能能获准存存取网络络的资源源，从而而防止非非授权用用户的监监听以及及非法用用户的访访问。WWEP提提供了440位（有有时也称称为644位）和和1288位长度度的密钥钥机制，但但是它仍仍然存在在许多缺缺陷，例例如一个个服务区区内的所所有用户户都共享享同一个个密钥，一一个用户户丢失或或者泄漏漏密钥将将使整个个网络不不安全。而而且由于于WEPP加密被被发现有有安全缺缺陷，可可以在几几个小时时内被破破解。 虚拟拟专用网网络（VVPN，VVirttuall Prrivaate Nettworr

24、k） VPNN是指在在一个公公共IPP网络平平台上通通过隧道道以及加加密技术术保证专专用数据据的网络络安全性性，它不不属于8802.11标标准定义义；但是是用户可可以借助助VPNN来抵抗抗无线网网络的不不安全因因素，同同时还可可以提供供基于RRadiius的的用户认认证以及及计费。 端口口访问控控制技术术（8002.11x） 该技术术也是用用于无线线局域网网的一种种增强性性网络安安全解决决方案。当当无线工工作站与与AP关关联后，是是否可以以使用AAP的服服务要取取决于8802.1x的的认证结结果。如如果认证证通过，则则AP为为用户打打开这个个逻辑端端口，否否则不允允许用户户上网。8802.1x

25、除除提供端端口访问问控制能能力之外外，还提提供基于于用户的的认证系系统及计计费，特特别适合合于无线线接入解解决方案案。 33、无线线网络安安全对策策针对以以上无线线网络安安全性应应采用如如下对策策： 扩频、跳跳频无线线传输技技术本身身使盗听听者难以以捕捉到到有用的的数据； 采采取网络络隔离及及网络认认证措施施； 设置严严密的用用户口令令及认证证措施，防防止非法法用户入入侵； 设置置附加的的第三方方数据加加密方案案，即使使信号被被盗听也也难以理理解其中中的内容容； 解决来来自公司司内部员员工的泄泄密破坏坏。 11）扩展展频谱技技术 扩扩展频谱谱技术在在50年年前第一一次被军军方公开开介绍，它它用

26、来进进行保密密传输。从从一开始始它就设设计成抗抗噪音、干干扰、阻阻塞和未未授权检检测。扩扩展频储储发送器器用一个个非常弱弱的功率率信号在在一个很很宽的频频率范围围内发射射出去，与与窄带射射频相反反，它将将所有的的能量集集中到一一个单一一的频点点。扩展展濒谱的的实现方方式有多多种，最最常用的的两种是是直接序序列和跳跳频序列列。 22）用户户认证-口口令控制制 我们们推荐在在无线网网的站点点上使用用口令控控制-当当然未必必要局限限于无线线网。诸诸如Noovelll NNetWWaree和Miicroosofft NNT等网网络操作作系统和和服务器器提供了了包括口口令管理理在内的的内建多多级安全全服

27、务。口口令应处处于严格格的控制制之下并并经常予予以变更更。由于于无线局局域网的的用户要要包括移移动用户户，而移移动用户户倾向于于把他们们的笔记记本电脑脑移来移移去，因因此，严严格的口口令策略略等于增增加了一一个安全全级别，它它有助于于确认网网站是否否正被合合法的用用户使用用。 33）数据据加密 假如单单位的数数据要求求极高的的安全性性，譬如如说是商商用网或或军用网网上的数数据，那那么单位位可能需需要采取取一些特特殊的措措施。最最后也是是最高级级别的安安全措施施就是在在网络上上整体使使用加密密产品。数数据包中中的数据据在发送送到局域域网之前前要用软软件或硬硬件的方方法进行行加密。只只有那些些拥有

28、正正确密钥钥的站点点才可以以恢复，读读取这些些数据。如如果需要要全面的的安全保保障，加加密是最最好的方方法，一一些网络络操作系系统具有有加密能能力，基基于每个个用户或或服务器器、价位位较低的的第三方方加密产产品也可可以胜任任，并可可为用户户提供最最好的性性能、质质量服务务和技术术支持。 4）加加强企业业内部管管理制度度 对于于内部员员工主动动泄密的的情况，没没有十分分好的安安全策略略，只能能通过管管理制度度进行限限制。采采用的安安全方法法如下： 采采用端口口访问技技术（8802.1x）进进行控制制，防止止非授权权的非法法接入和和访问。 对于于密度等等级高的的网络采采用VPPN进行行连接。 布置

29、置AP的的时候要要在公司司办公区区域以外外进行检检查，通通过调节节AP天天线的角角度和发发射功率率防止AAP的覆覆盖范围围超出办办公区域域，同时时要让保保安人员员在公司司附近进进行巡查查，防止止外部人人员在公公司附近近接入网网络。 禁止止员工私私自安装装AP，通通过笔记记本配置置无线网网卡和无无线扫描描软件可可以进行行扫描。 制定定无线网网络管理理规定，规规定员工工不得把把网络设设置信息息告诉公公司外部部人员，禁禁止设置置P2PP的Add hooc网络络结构 跟踪踪无线网网络技术术，特别别是安全全技术（如如8022.111i规范范了TKKIP和和AESS），对对网络管管理人员员进行知知识培训训。 本本文所用用的有关关术语说说明如下下： AAP（AAcceess Poiint）无无线访问问接入，类类似于有有线网络络集线器器的设备备。 PP2P（ppeerr-too-peeer）对对等联网网 8002.111i规规范了TTKIPP和AEES技术术说明： TKKIP（TTempporaal KKey Inttegrrityy Prrotoocoll） 临临时密钥钥完整性性协议， AESS（Addvanncedd Enncryyptiion Staandaard） 高级加加密标准准。