1、湖南郵電職業技術學院畢業設計設計題目:某學院無線局域網的規劃與設計班級:三網融合122班學號:201202070212姓名:王權指導教師:陳雪蓉完成日期: 2015 年 3 月 18 日目錄摘要.31 前言1.1 無線局域網(WLAN的特點 (51.2 無線局域網(WLAN的現狀和研究意義 (52 無線局域網(WLAN2.1 無線局域網(WLAN簡介 (72.2無線局域網(WLAN的優點 (93 校園無線局域網3.1 校園局域網簡介 (73.2 校園無線網的應用 (73.3 校園無線網的接入方式 (83.3.1 對等連接方式(Ad-Hoc 模式 (83.3.2 接入連接方式 (83.4 無線A

2、P的組網方案 (93.4.1 AP模式 (93.4.2 AP客戶端模式 (103.5 校園無線局域網的拓撲 (123.5.1 接入點和網橋 (123.5.2 WLAN拓撲 (123.5.3 漫游 (133.6 安全運用校園無線網 (134 某校園WLAN的設計條件分析4.1 某校園WLAN的需求分析 (154.2 某校園WLAN建設目標分析 (174.3 校園WLAN安全性分析 (174.3.1 WLAN所面臨的安全問題 (174.3.2安全因素考慮及相關措施的制定 (194.3.3無線網絡安全性解決方案 (205 某校園WLAN的具體構建5.1 設計概述 (225.2 校園WLAN網絡拓撲圖

3、 (225.3 某校園WLAN具體解決方案 (245.4 某校園WLAN設計方案說明 (24總結 (31謝辭 (32參考文獻 (33摘要目前,互聯網越來越多的融入到人們的生活中,而在全世界范圍內,校園網已經成為校園生活的重要組成部分,成為教師和學生獲取資源和信息的主要途徑之一。而在我國,多數校園網均是建立在有線網絡基礎之上,隨著信息技術的飛速發展,“隨時隨地獲取信息”已成為廣大師生們的新需求。特別是應用數據、話音、視像多媒體的傳輸量的增加,校園網建設正向數字化、智能化方向發展。但是,傳統的有線校園網存在著諸多“網絡盲點”,比如在圖書館、大型會議室、階梯教室、體育館等許多不宜網絡布線的場館設施如

4、何快速隨時上網?在教室、實驗室特別是在宿舍樓等場合如何突破網絡節點限制、實現多人同時上網的問題?而校園無線局域網作為校園網的重要組成部分,因此在校園網中建設無線局域網作為有線校園局域網的重要補充顯得尤為重要。無線局域網是相當便利的數據傳輸系統,它利用射頻技術,取代舊式的雙絞銅線所構成的局域網絡,使得用戶能夠利用其簡單的存取架構,信息隨身化、隨時隨地連接網絡世界。無線局域網彌補有線局域網絡之不足,以達到網絡延伸之目的。本文主要介紹了校園無線局域網的應用需求,以及校園無線局域網的設計思路。對校園無線局域網作出了物理和邏輯上的設計。同時針對設計校區對其網絡環境做了優化和擴展,使其以后能更加靈活的融入

5、到網絡生活中。關鍵詞:無線局域網;校園網;IEEE802.11;信號覆蓋ABSTRACTNowadays the Internet is becoming popular in peoples life, and Campus Network which is a major way of obtaining resource and information for teachers and students, has become a significant part in school life worldwide. However in our country, majority of

6、campus network is built on the base of wired local area network, so to obtain information wherever and whenever has become the new demand of teachers and students. With the rapid development of information technology, especially in increasing throughput of application data, audio and video multi-med

7、ia, campus network is going to be digitalized and intelligentialized. But traditional Campus Network has many network blind spot, such as how to quickly surf the Internet whenever in library, large conference room, amphitheater and stadium where it is not suitable for wiring? How to break network no

8、des limitations and realize people online simultaneously?As a big part of Campus Network, constructing Campus WLAN seems vital in campus as an important complement of Campus LAN.Campus WLAN is a strongly convenient data transfer system which utilizes RF technology instead of old local area network f

9、ormed by twisted-pair copper. It makes users to adopt its simple frame structure to let information connect to the network whenever and wherever. The WLAN makes up deficiency of LAN, aiming at network extension.This essay mainly introduces the application demand and design ideas of campus WLAN, and

10、makes a design of Campus WLAN physically and logically. At the same time, It also conduct optimization and extension for network environment of designing campus to make it into network life more elastically.Key Words: Wireless LAN;campus network;IEEE802.11;signal coverage1 前言1.1 無線局域網(WLAN的特點進入21世紀以

11、來,人類科技不斷發展,計算機技術也在突飛猛進,計算機的用戶也越來越多,用戶要求互連的計算機設備數量不斷增加,可接入網絡的個人終端設備比如上網本、手機、平板電腦、電紙書等也在迅猛增加,類型也更為復雜。而傳統的有線網絡由于受到設計或環境條件的制約,在物理實現、邏輯和資金方面普遍存在著一系列的問題,特別是當涉及到網絡移動和重新布局時,問題會更加明顯。所以發展一種可行的無線通信技術作為現有的數據連接擴充已成為一種需要。自從上個世紀90年代以來,隨著個人數據通信的發展,為了實現任何人在任何時間、任何地點均能實現數據通信的目標,要求傳統的計算機網絡由有線向無線,由固定向移動,由單一業務向多媒體發展,更進一

12、步推動了無線局域網(Wireless LAN,的發展。與有線局域網相比較,無線局域網具有移動性高、傳輸距離長、網絡保密性好、開發運營成本低、易擴展、受自然環境影響小,組網方式靈活、管理方便等優點,在無線數據業務日益發展的今天,無線局域網(WLAN作為一種靈活的數據通信系統,是現有局域網的有效延伸和補充。通過無線射頻技術實現在一定范圍內的無線發送和接收數據,減少了對固定線路的依賴,提高了工作效率和生活樂趣,相對有線網絡有著無可比擬的優勢。1.2 無線局域網(WLAN的現狀和研究意義無線局域網(WLAN是無線通信技術與網絡技術相結合的產物。從專業角度講,無線局域網就是通過無線信道來實現網絡設備之間

13、的通信,并實現通信的移動化、個性化和寬帶化1。通俗地講,無線局域網就是在不采用網線的情況下,提供以太網互聯功能。無線局域網(WLAN與有線局域網通過銅線或光纖等導體傳輸。不同的是,無線局域網使用電磁頻譜來傳遞信息。它是計算機網絡與無線通信技術相結合的產物。無線網絡用于一些布線困難、上網設備經常移動的環境,及搭建臨時性的網絡。無線網絡因其自身的優越特性被作為有線網絡的補充技術被廣泛的應用。無線局域網是相當便利的數據傳輸系統,它利用射頻技術,取代舊式的雙絞銅線所構成的局域網絡,使得用戶能夠利用其簡單的存取架構,信息隨身化、隨時隨地連接網絡世界。在信息化快速發展的今天,校園網已經成為校園生活的重要組

14、成部分,是教職員工和1楊軍、李瑛、楊章玉.無線局域網組建實戰M.北京:電子工業出版社,2006,第7頁。學生獲取資源和信息的主要途徑。它將校園里的院系、學生與從事社交、學術、業務活動的行政人員緊密地聯系在一起,在教育系統中具有重要的作用。如今,越來越多的師生擁有了筆記本電腦,上網本,平板電腦,手機終端等網絡計算機設備,他們希望方便的在教室、實驗室、圖書館和室外等場地隨時隨地的接入互聯網或校園內網,及時的獲得所需的信息。在上述背景下,本設計對無線局域網的相關通信協議進行分析與研究,并在此基礎上實現具體的校園無線局域網應用方案。WLAN工程的實施,將實現三維于一體的校園網絡、Internet快速的

15、接入。極大地推動學校的教學與師生信息的獲取方式與交流方式,使WLAN 用戶無論何時何地實現個人與網絡世界的聯接。2 無線局域網(WLAN2.1 無線局域網(WLAN簡介無線局域網(WLAN是利用無線通信技術在一定的局部范圍內建立的網絡,是計算機網絡與無線通信技術相結合的產物,它以無線多址信道作為傳輸媒介,提供傳統有線局域網LAN的功能,能夠使用戶真正實現隨時、隨地、隨意的寬帶網絡接入。計算機無線通信和計算機無線聯網不是一個概念,其功能和實現技術有相當大的差異。計算機無線通信只要求兩臺計算機之間能傳輸數據即可。而計算機無線聯網則進一步要求以無線方式相聯的計算機之間資源共享,具有現有網絡操作系統所

16、支持的各種服務功能。計算機無線聯網常見的形式是把一個(遠程計算機以無線方式聯入一個計算機網絡中,作為網絡中的一個結點。使之具有網上工作站所具有的同樣的功能,獲得網絡上所有服務;或把數個(有線或無線局域網聯成一個區域網。無線局域網可以在普通局域網基礎上通過無線Hub(多端口轉發器、無線接入站(Access Point,AP,亦譯作網絡橋接器、無線網橋、無線Modem及無線網卡等來實現,以無線網卡最為普遍,使用最多。與有線網絡一樣,無線局域網同樣也需要傳送介質。但它不是使用雙絞線或者光纖,而是紅外(IR或者射頻(RF波段,無線局域網一般普遍采用擴頻微波技術無線局域網常用的實現技術有:IEEE(美國

17、電氣和電子工程師協會的802.11系列協議族、家用射頻工作組提出的HomeRF、Bluetooth(藍牙以及歐洲的HiperLAN2協議等。以IEEE 802.11協議為基礎的無線局域網在標準之爭中脫穎而出,成為目前事實上的占主導地位的無線局域網標準。無線局域網的系統構成主要有點對點型、點對多點型和完全分布型三種形式2。其中點對點型和點對多點型是日常生活中接觸最多的兩種無線局域網。它們都有結構組成和用戶設備簡單的特點,而且點對多點型無線局域網更可以與微蜂窩技術結合,并利用信號發射功率與有線局域網相連,使用戶更加方便、快捷地使用網絡。從無線局域網的系統結構和它無線特點可以看出,無線局域網省去了難

18、度大、費用高、耗時長的布線施工,減少了對施工周邊環境的影響,節約了大量經濟費用;安裝簡單快捷,一般只要安裝一個或多個接入點AP(Access Point設備,就可建立覆蓋整個建筑或地區的局域網絡,在這個信號覆蓋區域內,任何一個位置都可以接入網絡,用戶使用極為方便。2高峰高澤華文柳等.無線城市M.北京:人民郵電出版社2011.1,第十四頁。如圖2.1所示,無線局域網是固定網絡的一種延伸,對于用戶來說是完全透明的,使用起來和有線網絡一樣。 圖2.1圖2.2為有線局域網和無線局網的對比 圖2.22.2無線局域網(WLAN的優點局域網絡管理的主要工作之一就是鋪設電纜或是檢查電纜是否斷線這種耗時的工作,

19、很容易令人煩躁,也不容易在短時間內找出斷線所在。再者,由于配合企業及應用環境不斷的更新與發展,原有的企業網絡必須配合重新布局,需要重新安裝網絡線路。雖然電纜本身并不貴,可是請技術人員來配線的成本很高,尤其是老舊的大樓,配線工程費用就更高了。因此,架設無線局域網絡就成為最佳解決方案。無線局域網具有以下優點:靈活性和移動性。在有線網絡中,網絡設備的安放位置受網絡位置的限制,而無線局域網在無線信號覆蓋區域內的任何一個位置都可以接入網絡。無線局域網另一個最大的優點在于其移動性,連接到無線局域網的用戶可以移動且能同時與網絡保持連接。安裝便捷。無線局域網可以免去或最大程度地減少網絡布線的工作量,一般只要安

20、裝一個或多個接入點設備,就可建立覆蓋整個區域的局域網絡。易于進行網絡規劃和調整。對于有線網絡來說,辦公地點或網絡拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網可以避免或減少以上情況的發生。故障定位容易。有線網絡一旦出現物理故障,尤其是由于線路連接不良而造成的網絡中斷,往往很難查明,而且檢修線路需要付出很大的代價。無線網絡則很容易定位故障,只需更換故障設備即可恢復網絡連接。易于擴展。無線局域網有多種配置方式,可以很快從只有幾個用戶的小型局域網擴展到上千用戶的大型網絡,并且能夠提供節點間漫游等有線網絡無法實現的特性。由于無線局域網有以上諸多優點,因此其發展十分

21、迅速。最近幾年,無線局域網已經在企業、醫院、商店、工廠和學校等場合得到了廣泛的應用。3 校園無線局域網3.1 校園局域網簡介網絡現在已經成為人們日常生活中不可分割的一部分,校園網絡的建設是學校向信息化發展的必然選擇,而無線局域網是對校園現有有線局域網的一個很好的補充。經過這些年有線網絡建設、運行、維護,從實踐結果來看,由于目前網絡是有線的,所以在有些應用領域會出現困難。例如,有些高校在前期布網時不能顧及所有區域,只布置了宿舍辦公樓等區域,而布置網線的教室、圖書館數量有限;有些高校經費比較緊張,很難投入較大的財力來鋪設光纜;有些高校的建筑物具有一定的歷史意義,不適合鉆孔布線;有些高校由多個校區組

22、成,校區之間聯網成本較高,等等。校園是一個信息交流極快的特殊環境, 教師和學生對高校校園網的依賴性非常高,隨著我國經濟的發展, 校園中的移動設備如手提電腦、掌上設備等越來越多, 高校學生對移動的獲取網絡知識, 隨時隨地利用這些移動設備上網也相當關注。但是,傳統的有線校園網存在著諸多“網絡盲點”,比如在圖書館、大型會議室、體育館等許多不宜網絡布線的場館設施如何聯網?而在這些環境或其他因素的影響下無法架設網線或不方便使用網線的情況下, 無線局域網則是一個補充。再比如本設計中所涉及的校區,面積較大,樓和樓之間相隔較遠,如果全部鋪設有線網絡,不僅費材費時費力,一旦出現故障很難排查。因為某條線路或者某個

23、交換機故障而影響到整個區域的網絡將是一個十分棘手的問題。所以在校園中建設無線局域網是一個勢在必行的決策。3.2 校園無線網的應用(1 提供基本的數據傳輸將室外的教學樓, 圖書館, 學生宿舍等建筑物通過無線網橋( bridge 加以橋接, 并且對室內的內的體育場、會議室、草坪等應用場合使用無線局域網方式( WLAN 加以無線覆蓋。無線信號覆蓋到校園的任何角落, 整個校園變成了一個巨大的教學空間。校園內各個建筑物之間的固定無線接入, 建筑物內則使用有線方式和無線方式互相補充的連接。(2 通過無線網絡建立校園內的安全監控網絡在校園內建立安全監控網絡可以有效的避免校園暴力、盜竊等事件的發生, 從而為師

24、生提供良好的工作、研究和學習的環境。安全監控網絡要求網絡穩定性高, 視頻信號傳輸清晰, 網絡安全性好。利用無線傳輸的優勢可以完全避免有線方式帶來的種種限制, 隱蔽性好, 見效快, 而且監控點的位置可以根據需要隨時做出調整, 設備可以重復使用。3.3 校園無線網的接入方式分析目前校園網的應用需求和實際情況,無線局域網的應用主要分為兩種, 即樓宇內和樓宇間。樓宇內的應用根據應用情景和場所的不同, 主要可采用對等和接入兩種連接方式。3.3.1 對等連接方式(Ad-Hoc 模式對等連接方式較適合未建網的用戶。如果學校組建臨時性的小型活動, 如臨時流動會議等時則可采用這種方式。對等(Peer to Pe

25、er連接方式下的無線局域網, 不需要單獨地具有總控接轉功能的接入設備AP, 所有的節點都能對等地相互通信。只需要為每個需要通信的移動終端設備配置相應的無線適配器, 便可通過無線信號進行互通, 實現資源共享的目的。網絡架設簡單, 成本低, 但是它的缺點也很明顯。兩個節點之間的通信距離比較短, 而且由于各節點無線網卡的發射和接收功率都非常有限, 所以這種網絡所能連接的節點數也是非常有限的。另外它只能一對一互傳數據, 不能進行多點同時通信。如圖3.1所示。 圖3.1 Ad hoc模式示意圖3.3.2 接入連接方式根據覆蓋面的大小, 可考慮采用單AP 或多AP 接入方式。單AP 接入方式以星形拓撲為基

26、礎, 以AP 為中心, 所有的節點通信都要通過AP 轉接。這種方式AP 可以單獨使用, 也可以與有線局域網相連, 但只能用在教室和會議室等一些小范圍區域內。在圖書館等比較大的區域里, 由于單AP 點的覆蓋面積十分有限, 如果節點移動過快或超出了該范圍都會失去與網絡的連接, 無法繼續進行通信, 所以往往使用多AP接入方式。多AP接入方式是單AP接入方式的擴展, AP 之間通過有線主干網連接, 這樣可以讓節點實現區內漫游。在使用多AP 接入方式規劃和部署時, 有些關鍵問題必須考慮:規劃無線網絡的覆蓋區域和容量。在利用多AP 設計無線局域網時要保證無縫覆蓋, 這樣節點在移動時能始終保持在線。但在一些

27、高用戶密度的地方, 更重要的是還應考慮提供足夠的容量。規劃時應充分估計區域內的節點數量, 同時考慮所在區域對網絡帶寬, 網絡速度的要求等。網絡容量規劃之后就可以確定AP 的數量。部署AP時則應多考察環境。安裝人員可以通過地點調查來確定AP 的位置。在為臨時活動組建的無線局域網中, 接入點經常放置在桌面上。但在固定部署中, 接入點通常都安裝在天花板上。安裝在天花板上的接入點具備許多優勢, 不僅可讓干擾信號的障礙物減至最少, 而且可防止他人隨意亂動接入點設備。AP 部署同時還要考慮到無線電信號損耗因素, 門、窗、箱體和墻壁都會吸收和消弱無線電頻率信號。樓宇間可采用室外網橋連接方式。這種方式是建立在

28、接入原理之上的通過兩個無線設備點對點(Point to Point鏈接, 由于獨享信道, 較適合兩個局域網的遠距離互連(架設高增益定向天線后, 傳輸距離可達到50 公里。局域網之間的通信是通過各自的無線網橋來實現的。3.4 無線AP的組網方案3.4.1 AP模式AP(Access Point,接入點模式,這是我們無線AP的基本工作模式,用于構建以無線AP為中心的集中控制式網絡,所有通信都通過AP來轉發,類似于有線網絡中的交換機的功能。這種模式下連接方式大致如圖3.2所示: 圖3.2 AP接入點模式AP即可以和無線網卡建立無線連接,也可以和有線網卡通過網線建立有線連接。我們的501G只有一個LA

29、N口,一般不用它來直接接電腦,而是用來與有線網絡建立連接,直接連接前端的路由器或者是交換機。在這種模式下,無線1到13。選擇中應該注意的是,如果周圍環境中還有其他的無線網絡,盡量不要使用相同的頻率段。然后選擇501G工作的模式,我們的501G支持11Mbps 帶寬的802.11b、54Mbps帶寬的802.11g模式(兼容802.11b模式。同時注意開啟無線功能,就是不要選中關閉無線功能的這個選項即可。選中Access Point選項,設置好SSID 號即可。注意,通過無線方式與我們的無線AP建立連接的無線網卡上設置的SSID號必需與我們無線AP上設置的SSID號相同,否則無法接入網絡3。3.

30、4.2 AP客戶端模式首先是設置該網絡工作的頻段,選擇的范圍從AP client模式下,即可以有線接入網絡也可以無線接入網絡,但此時接在無線AP下的電腦只能通過有線的方式進行連接,不能以無線方式與AP進行連接。工作在AP client模式下的無線AP建立連接的方式大致的如圖3.3所示: 圖3.3 AP客戶端模式圖中的無線設備A ,即可以是無線路由器,也可以是無線AP。注意在進行連接時,我們的無線AP所使用的頻段最好是設置成與前端的這個無線設備A所使用的頻段相同。首先當然是頻段、模式等基本設置,注意開啟無線功能。然后選擇AP的工作模式,使我們的501G工作在AP client模式下,并注意關閉W

31、DS功能,否則無法與無線路由器建立無線連接。在client模式下,可以有兩種方式使無線AP接入前端的無線路由器,一3Lee W C Y.Mobile Cellular Telecommunication SystemM.New York:McGraw-Hill,1989:第211-212頁。種就是通過設置和無線路由器相同的SSID號,從而連接無線路由器;另一種就是通過在AP 的MAC地址處填寫無線路由器的LAN口的MAC地址來建立連接。注意:在這種工作模式下,無線AP下面只能通過有線的方式連接一臺電腦。因為我們的501G工作在AP client模式下,并且關閉WDS功能時,它只學習一個MAC地

32、址。如果需要下面還可以連接多臺電腦的話,可以在我們的501G下面連接一個路由器,501G 的LAN口與路由器的WAN口連接,路由器LAN口下面可以接多臺電腦。當需要我們工作在AP client模式下的無線AP再與另外的無線AP建立連接時,連接的無線AP可以是AP模式,也可以是repeater模式。此時AP client模式下的WDS功能即可以是開啟的,也可以是關閉的。當與設置為AP模式的無線AP進行連接時,我們設置為AP client模式下的無線AP 可以通過設置一個SSID號,使這個SSID號與設置成AP模式下的無線AP的SSID號相同來建立連接;也可以通過在client模式下的AP的MAC

33、地址欄中填寫前端設置為AP模式的無線AP的MAC地址來進行連接。當前端的AP設置為repeater模式時,它并沒有SSID號,因此,我們設置為AP client 的無線AP要與它建立連接,只能通過在AP的MAC地址欄中填寫前端AP的MAC地址來實現連接。3.5 校園無線局域網的拓撲3.5.1 接入點和網橋AP、無線網橋和工作組網橋都工作在OSI(開放式系統互聯參考模型的第一層和第2層。接入點一個接入點(AP就是一個收發器,可以作為一個獨立無線網絡的中心。一個AP也可以作為無線網絡之間的連接點。在大型網絡中,多個AP可以提供漫游功能,允許用戶在區域內自由移動而仍能保持不中斷和無逢的網絡接入。無線

34、網橋無線網橋用于連接2個或2個以上的網絡,特別是位于不同建筑物內的網絡。采用了802.11a技術的網橋可以實現提供最大為54Mbit/s的帶寬。而用了802.11a技術的網橋可以實現提供最大為11Mbit/s 的帶寬。工作組網橋工作網橋一般應用于將遠程工作組連接到一個有線LAN ,如圖3.4所示PCPC PCPC AP AP集線器服務器圖3.4 無線網橋拓撲圖3.5.2 WLAN 拓撲有線LAN 要求用戶始終呆在一個位置上。是對有線LAN 的擴展,也可以完全取代傳統的LAN 網絡。接入的用戶可以實現以下功能:在設施周圍自由移動;享受以接近有線以太網的速度實時方問有線LAN;訪問有線LAN 中的

35、所有資源。為了使用戶可以在一個大的區域內實現無線網絡信號覆蓋。我們可以將兩個或兩個以上的基本服務單元(一個AP 提供的覆蓋范圍實行覆蓋。如下圖3.5所示 無線客戶端無線客戶端接入點接入點重疊區域LAN 主干無線單元1無線單元2信道1信道6圖3.5 兩個基本服務單元無線拓撲圖3.5.3 漫游在一個大的區域內,為保證客戶端的在不同的AP之間無縫漫游。如圖3.6所示。在設計能為開機的移動設備提供無逢漫游的時,我們必須滿足的條件:必須為整個路徑提供充分的覆蓋范圍;整個路徑能夠分配一個可用的IP地址。Internet無線基礎設施漫游多層交換機移動設備移動設備移動設備移動設備移動設備移動設備APAPAPA

36、PAP信道1信道6信道11信道11信道1圖3.6 無線局域網漫游圖拓撲圖3.6 安全運用校園無線網因為高校網絡需要有可運營的能力, 這就不可避免的引入較大規模的認證, 記賬功能的身份認證系統。IEEE 802.1x 是現在較流行的基于端口的訪問技術, 也是最新的無線協議IEEE 802.11i內容。802.11i 還包含Wi-Fi 保護性接入(WPA,WPA 繼承了WEP 基本原理而又解決了WEP 缺點的一種新技術。其原理為根據通用密鑰, 配合表示電腦MAC 地址和分組信息順序號的編號, 分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理, 所有客戶端的所

37、有分組信息所交換的數據將由各不相同的密鑰加密而成。WPA 還具有防止數據中途被篡改的功能和認證功能4。4Lee W C Y.Mobile Communication EngineeringM.New York:McGraw-Hill,1982:第872-877頁。4 某校園WLAN的設計條件分析4.1 某校園WLAN的需求分析目前,整個通信行業正處在一個飛速發展的階段,而在通信大家庭中無線通信是十分重要的一名成員。依現在的發展形勢,無線通信將作為主角承擔舉足輕重的地位。校園作為知識和信息傳播的主要場所在無線通信的建設中更是不可或缺。本設計是為某校園的網絡系統設計,為保證校園的實用性、先進性、經

38、濟性以及可延展性,現按校園的整體布局及實際需求,提出校園的建設目標。首先,如圖4.1,某校園現階段有線校園網的建設已經成熟,并且形成了一定的規模和用戶群,但是因為有線局域網在上文中提到的不足之處,建設無線局域網是勢在必行的事情。通過無線局域網覆蓋工程的實施,可以有效地完善我校的數字化校園的建設,使全校的教職員工及學生可以無論身處學校何時何地都可以實現計算機設備的無縫無線接入,使用戶無論何時何地實現個人與網絡世界的聯接,并實現快速的網絡流量,為全校師生及學生優提供優質的現代化信息服務。極大地推動學校的教學與師生信息的獲取方式與交流方式。如果獨立投資一個校區全覆蓋的WLAN項目需要大量的資金投入,

39、根據目前某校園的的具體情況,本設計方案以學校WLAN與通信運營商合作建設為基礎建設的方案,這樣不僅可以實現建設數字校園的目標,更是節約了投資成本,與此同時,通信運營商利用自身的技術與軟、硬件條件,可以將WLAN技術與現代通信技術3G相結合,使傳統的WLAN 設備不僅可提供數據業務,更可提供語音通信業務,在增加投資回報率與回報周期的同時,也相對減低了雙方的投資成本。校園內的師生更可從中獲得更多的數據接入方式的服務。綜上所述,本設計將校園WLAN與中國移動通信集團WLAN相關規范相結合進行設計。下圖為某校園有線局域網的網絡拓撲圖: 圖4.1 某校園有線局域網網絡拓撲圖4.2 某校園WLAN建設目標

40、分析目前某校園占地面積為46.7萬平方米,建筑面積23.6萬平方米,現有在校學生11500多人,教職工700多位,主要建筑區域有宿舍區、實驗區、教學區、用餐區、運動區等等。其中有學生公寓和教師公寓共9處、實驗區2處、教學區3處、食堂1處、體育場1處、禮堂1處等共17處建筑。在這些區域,校園有線網已經鋪設完成并已投入使用,但無線網絡的覆蓋幾乎處于空白。結合學校實際情況,校園信息化建設工作的核心目標在于充分利用信息技術,建立多層次、高可靠、可管理、可運營的開放式的數字化校園,促使其提高辦學質量和效益。同時在日常生活中滿足教師和學生的各種上網需求,從而建設可方便管理切換的數字化校園。4.3 校園WL

41、AN安全性分析作為對有線網絡的一個有益的補充,無線網絡給大家帶來方便的同時,也同樣面臨著無處不在的安全威脅,尤其是當無線網絡的安全性設計不夠完善時,此問題更加嚴重。4.3.1 WLAN所面臨的安全問題無線局域網所面臨的安全威脅是非授權用戶對資源的保密性、完整性、可用性或合法使用所造成的危險。無線網絡與有線網絡相比只是在傳輸方式上有所不同,所以所有常規有線網絡存在的安全威脅在無線網絡中也存在,因此要繼續加強常規的網絡安全措施,但無線網絡與有線網絡相比還存在一些特有的安全威脅,因為無線網絡是采用射頻技術進行網絡連接及傳輸的開放式物理系統。無線網絡可能受到的安全威脅可以分為兩類,一類是關于網絡訪問控

42、制、數據機密性保護和數據完整性保護進行的攻擊。這類攻擊在有線環境下也會發生。另一類則是由無線介質本身的特性決定的,基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊?？傮w來說,無線網絡所面臨的威脅主要表現下在以下幾個方面:(1信息重放:在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP 進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN 等保護措施也難以避免。中間人攻擊則對授權客戶端和AP 進行雙重欺騙,進而對信息進行竊取和篡改。(2WEP 破解:首先,在加密算法上,WEP 中的初始化向量由于位數太短和初始化復位設計,容易出現重用現象,從而被人破解密鑰。而對用于進行流加密的R

43、C4 算法,在其頭256個字節數據中的密鑰存在弱點,目前還沒有任何一種實現方案修正了這個缺陷。此外用于對明文進行完整性校驗的CRC (循環冗余校驗碼只能確保數據正確傳輸,并不能保證其未被修改,岡而并不是安全的校驗碼。其次,在密鑰管理上,802.11 標準指出,WEP 使用的密鑰需要接受一個外部密鑰管理系統的控制。通過外部控制?？梢詼p少Iv 的沖突數量,使得無線網絡難以攻破。但問題在于這個過程形式非常復雜,并且需要手工操作。因而很多網絡的部署者更傾向于使用缺省的WEP 密鑰,這使黑客為破解密鑰所作的工作量大大減少了。最后,在用戶行為上,許多用戶都不會改變缺省的配置選項,這令黑客很容易推斷出或猜出

44、密鑰?，F在互聯網上已經很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區域內的數據包,收集到足夠的WEP 弱密鑰加密的包,并進行分析以恢復WEP密鑰。根據監聽無線通信的機器速度、LAN內W發射信號的無線主機數量,最快可以在兩個小時內攻破WEP密鑰。(3網絡竊聽:一般說來,大多數網絡通信都是以明文格式出現的,這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡,所以任何人都可以用一臺帶無線網卡的PC機或者廉價的無線掃描器進行竊聽,但是發送者和預期的接收者無法知道傳輸是否被竊聽,且無法檢測竊聽。這種威脅已經成為無線局域網面臨的最大

45、問題之一5。(4欺騙和非授權訪問:因為TCP/IP 協議的設計原因,幾乎無法防止MAC/IP 地址欺騙。在無線局域網中,較強節點可以屏蔽較弱節點,用自已的數據取代,甚至會代替其他節點作出反應。只有通過靜態定義MAC 地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候,簡單地通過讓另外一個節點重新向AP 提交身份驗證請求就可以很容易地欺騙無線網身份驗證。許多無線設備提供商允許終端用戶通過使用設備附帶的配置工具,重新定義網卡的MAC地址。使用外部雙因子身份驗證,可以防止非授權用戶訪問無線網及

46、其連接的資源,并且在實現的時候,應該對需要經過強驗證才能訪問資源的訪問進行嚴格的限制。(5拒絕服務:攻擊者可能對 A P 進行泛洪攻擊,使AP 拒絕服務,這是一種后果最為嚴重的攻擊方式。此外,對移動模式內的某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,通常也稱為能源消耗攻擊。(6服務后抵賴:服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務中常見。(7惡意軟件:憑借技巧定制的應用程序,攻擊者可以直接到終端用戶上查找訪問信5盧爾瑞,等.移動通信工程M.北京:人民郵電出版社,1988:134-135.息,例如訪問用戶系統的注冊表或

47、其他存儲位置,以便獲取WEP密鑰并把它發送回到攻擊者的機器上。注意讓軟件保持更新,并且遏制攻擊的可能來源(Web瀏覽器、電子郵件、運行不當的服務器服務等,這是唯一可以獲得的保護措施。(8偷竊用戶設備:只要得到了一塊無線網網卡,攻擊者就可以擁有一個無線網使用的合法MAC 地址。也就是說,如果終端用戶的筆記本電腦被盜,他丟失的不僅僅是電腦本身,還包括設備上的身份驗證信息,如網絡的SSID及密鑰。而對于別有用心的攻擊者而言,這些往往比電腦本身更有價值。4.3.2安全因素考慮及相關措施的制定(1身份認證:對于無線網絡的認證可以是基于設備的,通過共享的WEP 密鑰來實現。它也可以是基于用戶的,使用EAP

48、來實現。無線EAP認證可以通過多種方式來實現,比如EAP-TLS、EAP-TTLS、LEAP(檢測實驗室能力驗證和PEAP(受保護的可擴展的身份驗證協議。在無線網絡中,設備認證和用戶認證都應該實施,以確保最有效的網絡安全性。用戶認證信息應該通過安全隧道傳輸,從而保證用戶認證信息交換是加密的。因此,對于所有的網絡環境,如果設備支持,最好使用EAP-TTLS 或PEAP。(2訪問控制:對于連接到無線,網絡用戶的訪問控制主要通過AAA(Authentication、Authorization、Accounting即驗證、授權和記賬服務器來實現。這種方式可以提供更好的可擴展性,有些訪問控制服務器在80

49、2.1x的各安全端口上提供了機器認證,在這種環境下,只有當用戶成功通過802.1x規定端口的識別后才能進行端口訪問。此外還可以利用SSID和MAC地址過濾。服務集標志符(SSID是目前無線訪問點采用的識別字符串,該標志符一般由設備制造商設定,每種標識符都使用默認短語,如101即指3COM設備的標志符。倘若黑客得知了這種口令短語,即使沒經授權,也很容易使用這個無線服務。對于設置的各無線訪問點來說,應該選個獨一無二且很難讓人猜中的SSID 并且禁止通過天線向外界廣播這個標志符。由于每個無線工作站的網卡都有唯一的物理地址,所以用戶可以設置訪問點,維護一組允許的MAC地址列表,實現物理地址過濾。這要求

50、AP中的MAC地址列表必須隨時更新,可擴展性差,無法實現機器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此,這也是較低級的授權認證。但它是阻止非法訪問無線網絡的一種理想方式,能有效保護網絡安全。(3完整性:通過使用WEP或TKIP(臨時密鑰完整性協議,無線網絡提供數據包原始完整性。有線等效保密協議是由802.11標準定義的,用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙,采用RSA開發的RC4對稱加密算法,在鏈路層加密數據。(4機密性:保證數據的機密性可以通過WEP、TKIP或VPN(虛擬專用網絡來實現。前面已經提及,WEP提供了機密性,但是這種算法很容易被破解。而TKIP

51、使用了更強的加密規則,可以提供更好的機密性。另外,在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN(Virtual Private Network,虛擬專用網絡是在現有網絡上組建的虛擬的、加密的網絡。VPN 主要采用4項安全保障技術來保證網絡安全,這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現WLAN 安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security協議是目前In-ternet通信中最完整的一種網絡安全技術,利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec

52、,并在客戶端和一個VPN集中器之間建立IPSec 傳輸模式的隧道。(5可用性:無線網絡有著與其它網絡相同的需要,這就是要求最少的停機時間。不管是由于DOS攻擊還是設備故障,無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網絡訪問正常運行的重要性。在機場或者咖啡廳等場合,不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進行商業運作,這就需要通過多個AP來實現漫游、負載均衡和熱備份。當一個客戶端試圖與某個特定的AP通訊,而認證服務器不能提供服務時也會產生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數據包,建議賦

53、予該數據包更高的優先級以提供更好的QoS。另外應該設置本地認證作為備用,可以在AAA 服務器不能提供服務時對無線客戶端進行認證。(6審計:審計工作是確定無線網絡配置是否適當的必要步驟。如果對通信數據進行了加密,則不要只依賴設備計數器來顯示通信數據正在被加密。就像在VPN 網絡中一樣,應該在網絡中使用通信分析器來檢查通信的機密性,并保證任何有意無意嗅探網絡的用戶不能看到通信的內容。為了實現對網絡的審計,需要一整套方法來配置、收集、存儲和檢索網絡中所有AP及網橋的信息6。4.3.3無線網絡安全性解決方案不同規模的無線網絡對安全性的要求也不相同。對小型企業和一般的家庭用戶來說,因為其使用網絡的范圍相

54、對較小且終端用戶數量有限,因此只需要使用傳統的加密技術就可以解決了。如果進一步采用基于MAC 地址的訪問控制就能更好地防止非法用戶盜用。在公共場合會存在相鄰未知用戶相互訪問而引起的數據泄漏問題,需要制定公共場所專用的AP。該AP能夠將連接到它的所有無線終端的MAC地址自動記錄,在轉發報文的同時,6郭梯云,鄔國揚,李建東.移動通信M.西安:西安電子科技大學出版社,2006:第21-23頁。判斷該報文是否發送給MAC列表的某個地址,如果是就截斷發送,實現用戶隔離。對于中等規模的企業來說,安全性要求相對更高一些,如果不能準確可靠的進行用戶認證,就有可能造成服務盜用的問題。此時就要使用IEEE802.

55、1x的認證方式,并可以通過后臺RADIUS服務器進行認證計費。對于大型企業來說,無線網絡的安全性是至關重要的。這種場合可以在使用了802.1x認證機制的基礎上,解決遠程辦公用戶能夠安全的訪問公司內部網絡信息的要求,利用現有的VPN設施,進一步完善網絡的安全性能。無線網絡實際上是對遠程訪問VPN的擴展,在無線網絡中,用戶成功通過認證后,可以從RADIUS (Remote Authentication Dial In User Service,遠程用戶撥號認證系統由RFC2865, RFC2866定義,是目前應用最廣泛的AAA協議服務器獲得特定的網絡訪問模塊,并從中分配到用戶的IP。在無線用戶連接

56、到交換機并訪問企業網絡前,802.1x和EAP提供對無線設備和用戶的認證。另外,如果需要加密數據,應在無線客戶端和VPN集中器之間使用IPsec。小型網絡也許僅采用WEP對AP和無線客戶端之間的信息進行加密,而IPSec 提供了更優越的解決方案7。7麻信絡、李曉中、董曉寧、廖勇.無線局域網構建及應用M .北京:國防工業出版社,2003:100-112。5 某校園WLAN的具體構建5.1 設計概述上一章中主要分析了本次設計的需求和安全性問題,可以看出,本次設計涉及到范圍較廣,樓宇間環境復雜。主要有教學樓、宿舍樓、實驗樓、體育館等場所。在這些區域中,宿舍區、教學區以及實驗區是負責學校正常運轉的重點

57、區域,對于體育場等室外區域,由于上網人數少且比較分散,設計時盡量提高覆蓋面,保證覆蓋效果。因此,在本次無線網絡設計中,將區域分為重點和非重點進行按需要覆蓋,按照“保證所有無線用戶都能上網”的設計原則,最大程度控制網絡建設成本。本次設計主要采用的設備是思科公司最新出品的應用層數為四層的企業級交換機思科WS-C4503-E和作為匯聚交換機使用的華為S3700-28TP-SI-AC配合思科AIR-WLC2106-K9型無線控制器以及作為用戶接入使用的思科SG200-26型交換機。用戶的認證和計費采用支持AAA協議的RADIUS Server配合H3C LS-3600-28TP-SI型網管交換機。這些功能強大且兼容性強的設備將作為本次設計的核心設備,在校園WLAN建成后將起著至關重要的作用。5.2 校園WLAN網絡拓撲圖為了滿足校園WLAN上述需求分析,本設計用Office Visio軟件畫出校園WLAN網絡拓撲,如圖5.1所示: 圖5.1 某校園WLAN網絡拓撲圖5.3 某校園WLAN具體解決方案本設計采用無線控制器+Fit AP、集中轉發、AC認證、層3組網的組網方式,核心設備為思科WS-C4503-E、H3C LS-3600-28TP-SI型網管交換機、思科AIR-WLC2