2023年无线网络建立和安全举措.docx

无线网络建立和平安举措 1线局域网介绍 wlan为wirelesslocalareanetworks的简称，即无线局域网。是一种借助无线技术取代以往有线网络的新手段，可提供传统有线局域网的所有功能。wlan是计算机网络与无线通信技术相结合的产物，是通用无线接入的一个子集，可支持较高的传输速率（可达2—12023mbps）。利用射频无线正交频分复用（ofdm），借助直接序列扩频（dsss）或跳频扩频（uwbt）技术，可实现固定的、半移动的以及移动的网络终端对因特网进行较远距离的高速连接访问。 智能小区的设计方案是基于小区进行设计，无线网络的覆盖面较大，硬件设备的要求较高，需要全方向天线和定向引向反射天线配合使用。在小区中还必须配有大量的ap，保证用户在任何时间、任何地点都可以使用无线网络。这样的设计需要对网络进行合理的规划，硬件和系统配置要合理。在客户端和网络之间采用mac地址访问控制和平安vpn应用软件，再结合无线网络间的128位wep加密机制，可以确保最大程度的平安。 2wlan的根本结构和相关术语 2.1无线网络技术简介 随着网络的飞速开展，笔记本的普及，人们对移动办公的要求越来越高。传统的有线局域网要受到布线的限制，如果建筑物中没有预留的线路，布线以及调试的工程量将非常大，而且线路容易损坏，给维护和扩容等带来不便，网络中的各节点的搬迁和移动也非常麻烦。因此高效快捷、组网灵活的无线局域网应运而生。 无线局域网是利用无线技术实现快速接入以太网的技术。综观现在的市场，ieee802.11b技术在性能、价格各方面均超过了蓝牙、homerf等技术，逐渐成为无线接入以太网应用最为广泛的标准。 2.2无线网络的优势 与有线网络相比，wlan最主要的优势在于不受布线条件的限制，因此非常适合移动办公用户的需要，具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理效劳等特殊行业向更多行业拓展开去，甚至开始进入家庭以及教育机构等领域。ieee802.11规定的发射功率不可超过20230毫瓦，实际发射功率约60-70毫瓦，而 的发射功率约200毫瓦至1瓦间，手持式对讲机高达5瓦。而且无线网络使用方式并非像 直接接触人体，因此是平安的。 2.3无线网络的协议 最常见的有ieee802.11，ieee802.11a、ieee802.11b、ieee802.11g。其中：ieee802.11是ieee（电气和电子工程师协会）最初制定的一个无线局域网标准。ieee802.11b又被称为wi-fi，使用开放的2.4ghz直接序列扩频，最大数据传输速率为12023mbps，也可根据信号强弱把传输率调整为54mbps、11mbps、5.5mbps、2mbps和1mbps带宽。无需直线传播传输范围为室外最大300米，室内有障碍的情况下最大20230米，是现在使用的最多的传输协议。 2.4无线局域网的工作模式 无线局域网的工作模式一般分为两种，infrastructure和ad-hoc。infrastructure是指通过ap（accesspoint）互连的工作模式，也就是可以把ap看作是传统局域网中的hub（集线器）。ad-hoc是一种比较特殊的工作模式，它通过把一组需要互相通讯的无线网卡的essid设为同值来组网，这样就可以不必使用ap，构成一种特殊的无线网络应用模式。几台计算机装上无线网卡，即可到达相互连接，资源共享的目的。 2.5wlan的根本构件 一般架设无线网络的根本配备就是无线网卡及一台ap，如此便能以无线的模式，配合既有的有线架构来分享网络资源。如果只是几台的对等网，也可不要ap。只需要每台配备无线网卡。ap为accesspoint简称，一般翻译为“无线访问节点〞，或“桥接器〞。它主要在媒体存取控制层mac中扮演无线工作站及有线局域网络的桥梁。有了ap，就像一般有线网络的hub一般，无线工作站可以快速且轻易地与网络相连。 3智能小区的设计方案和实施 3.1应用需求分析 根据提供的资料分析，宽带已接入到小区的网络中心（20230m），小区内的8幢住宅楼没有宽带接入，小区内八栋楼共有800户居民，楼内居民户数一般在20230户以内，只有1幢超过20230户（175户），为了保证用户网上冲浪、视频点播，网络中心与住宅楼采用点对点的无线接入，无线接入设备采用ieee802.11b标准，为数据流量提供了11mbps的数据速率，其传送信息的速度要快于租赁的t1线路（1.544mbps），高于一条e1线路（2mbps），传输距离最远达30公里。楼内用户通过架设的无线设备，使居民无论是在楼前的花园还是家里，没有上网时间、地点的限制，只需插入笔记本一张小小的无线网卡，即可随时随地上网，享受网络效劳。 3.2小区无线网络方案设计说明 本套方案的无线产品采用z-com公司的ap和无线网卡。ap用xi-1500系列，无线网卡用xi-300、xi-600、xi-750、xi-800系列。台式机的无线网卡用xi-750（usb）系列或xi-600（pci→pcmcia）+xi300系列；笔记本网卡用xi-300；掌上用xi-800系列。使用有线接入，存在布线困难、施工不便、费用高、周期长等问题，所以，本方案从宽带接入到用户终端使用的连接方式均采用无线方式。 各住宅楼间的ap，假设放在室内，那么有破坏原建筑物、增加室内ap的数量、布线难度加大、施工周期加长等缺点。所以，方案将住宅楼间的ap放在室外。中心站点设在主楼，ap放在楼顶。主楼和住宅楼通过apxi-1500通信。住宅楼顶的ap与住宅楼间的ap连接。用户在终端设备装上无线网卡，即可自由访问internet。 3.3流量分析 宽带的总流量为20230mbps，每个ap的总流量为11mbps，8个仅需88mbps，宽带流量完全能满足ap的流量需求。本小区是8幢800户，假设每幢楼有20230户，使用率20230%，每幢楼同时上网人数假设有80人，每人的传输速率约140kbps。所以，住宅楼间装有ap的住宅楼顶只需1个11mbps的ap，足可满足用户要求。 3.4中心机房网络设计 中心机房的无线网络接入情况如图2-1所示。其中，电信宽带20230mbps到小区，接到中心机房的代理效劳器，百兆口的交换机也与代理效劳器连接，主楼的ap直接连到交换机即可。 代理效劳器（proxy），pc机+proxy，代理效劳器装上防火墙、计费软件及其它管理软件，便可实现对小区的无线局域网进行管理，既能防止非法用户登陆本网络，又能对无线终端进行计费。 百兆交换机（switch），百兆交换机提供了所有与之连接的ap共享20230mbps频宽。switch的位置可以根据实际情况放置，假设主楼顶有电源等设备的控制室，可以考虑将switch放到楼顶。switch使用的是8口交换机。 3.5主楼和住宅楼的网络设计 宽带接入在主楼的中心机房，我们将中心机房设为中心接入点，通过中心接入点将宽带连接到各住宅的楼顶ap。由于1个ap最高传输数率为11mbps，所以主楼用1个ap不能满足用户的上网要求。根据实际需要，设计如下：主楼有6个ap共享20230mbps的带宽，8幢中的6幢住宅楼顶各用1个ap。为了确保用户的通信质量，主楼与住宅楼均采用24dbi的网状定向天线。ap均放在楼顶。 3.6住宅楼的无线网络设计 8个住宅楼的网络结构是一样的，只是建筑面积有点差异。为了扩大覆盖面，住宅楼间的ap均采用全向天线，根据实际要求可在5dbi—2023dbi范围内选择。每幢住宅楼间的ap通过1个4口的hub与各自楼顶的ap连接。 3.7网络的配置 小区使用的是商业dsl效劳，它将为用户提供一套固定的ip地址。并且有路由器和防火墙提供一些平安功能，当无线用户连到网络时，需要网络地址转换和dhcp效劳对之进行配置。 配置过程中，还需要配置网络地址转换、网关地址、子网以及dns效劳器等信息。以下是配置方案： isp提供的ip地址为60.166.44.165（然后这个地址作为客户端及其他设备连到它的网关地址）； isp提供的网关地址是60.166.44.1（需效劳商预先设置）； isp将dns地址分配为202.20232.192.68和202.20232.199.68； 下面可以配置wlan访问点： 将无线局域网wlan访问点的wan网关地址设为60.166.44.165； 将无线局域网wlan访问点的wanip地址设为60.166.44.165； 该地址也是唯一地确定所有到internet的wlan访问点，在需要的时候可以追踪通信量； 将无线局域网wlan访问点的dns设置为202.20232.192.68和202.20232.199.68； 配置wlan访问点的路由器的lan地址为2023.2023.1.1； 配置wlan访问点的路由器的lan地址为255.255.0.0； 配置wlan访问点的路由器以提供nat，并让它作为一个dhcp地址； 配置wlan访问点的路由器以发布足够的dhcp地址—根据小区的实际情况，需要同时满足640个人的上网需求。那么至少就需要640个dhcp地址； 将wlan访问点的效劳标识符ssid设为小区用户认可的名字； 使用wep加密密码，对非法用户作一些限制； 4无线网络的平安防护和维护 4.1无线网络的平安性 由于无线局域网采用公共的电磁波作为载体，更容易受到非法用户入侵和数据窃听。无线局域网必须考虑的平安因素有三个：信息保密、身份验证和访问控制。为了保障无线局域网的平安，主要有以下几种技术，并作简要介绍： （1）物理地址（mac）过滤 每个无线工作站的无线网卡都有唯一的物理地址，类似以太网物理地址。可以在ＡＰ中建立允许访问的mac地址列表，如果ＡＰ数量太多，还可以实现所有ap统一的无线网卡mac地址列表，现在的ap也支持无线网卡mac地址的集中radius认证。这种方法要求ＭＡＣ地址列表必需随时更新，可扩展性差。 （2）效劳集标识符（ssid）匹配 对ap设置不同的ssid，无线工作站必须出示正确的ssid才能访问ap，这样就可以允许不同的用户群组接入，并区别限制对资源的访问。 （3）有线等效保密（wep） 有线等效保密协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。wep使用40位钥匙，采用rsa开发的rc4对称加密算法，在链路层加密数据。wep加密采用静态的保密密钥，各无线工作站使用相同的密钥访问无线网络。wep也提供认证功能，当加密机制功能启用，客户端要尝试连接上ap时，ap会发出一个challengepacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。40位wep具有很好的互操作性，所有…… 通过wi－fi组织认证的产品都可以实现wep互操作。现在的wep也一般支持128位的钥匙，能够提供更高等级的平安加密。 4.2wlan的防护 在明白了一个毫无防护的wlan所面临的种种问题后，应该在问题发生之前作一些相应的应对措施，下面就是介绍针对各种不同层次的入侵方式时采取的各种应对措施。 在一个无任何防护的无线l