室内无线局域网（精选8篇）

室内无线局域网 第1篇

随着移动互联网的发展, 人们的工作和生活与网络的关系日益紧密, 尤其是在公司、校园、商场等建筑物内部。随时随地上网的需求, 催生了室内无线局域网的建设浪潮。

在室内环境中部署企业级无线局域网, 通常需要技术人员提前进行地勘, 给出AP部署数量及点位, 并预先设计各AP的信道和功率。然而, 人工规划的效果往往依赖于地勘人员的经验, 也没有经过定量的优化判定。当AP数量较多时, 以避免干扰为目的的信道配置, 会因为反复修改占用大量的人工时间。

2 现状和问题

无线热图作为可视化工具, 通过模拟建筑物内部构造并选择合适的信号传播和衰减模型, 当给定AP的位置、信道、功率等参数时, 可在平面图上直观呈现WLAN的覆盖质量, 包括不同位置的信号强度, 同信道AP之间的干扰情况等。在部署完成后, 无线热图可用于WLAN覆盖效果的实时呈现和接入点的参数调整。

通过覆盖仿真, 无线热图也能提供地勘规划阶段的AP部署效果模拟。当前的模拟主要以手工方式在平面图上布放AP, 或者采用在目标区域平均布放再由用户手动调整位置的半自动方式[1]。但这两种方式仅引入了效果呈现, 而并未解决对技术人员来说耗时更长的AP点位设计问题, 也缺乏对不同环境的定制化考虑。

3 技术方案

本文在无线热图的基础上, 提出了一种AP自动布放与配置优化方案, 能根据用户使用和部署环境等需求输入, 给出优化后的AP部署建议。整体方案如图1所示, 分为4个步骤:平面图及障碍物信息导入、用户需求给定、AP点位计算、信道分配与功率优化。

覆盖区域内的各种障碍物, 例如墙体、立柱、门窗等, 都会吸收无线信号而带来衰减。因此, 导入障碍物信息, 可以更精确地计算AP覆盖的实际效果。而用户需求, 通常可以为:a) 终端最低接收信号强度 (RSSI) ;b) 应用类型, 例如语音或数据, 其最终也将导出为信号强度需求。为满足低延时传输, 语音所需要的信号强度要高于数据业务。此外, 通过给定用户数及用户最低速率, 也可以通过下述公式推算出所需的最少AP数 (向上取整) 。公式中的“每AP提供的数据率”与AP类型相关, 且在不失一般性的前提下假设用户均匀分布在目标区域。

所需AP数=每用户所需数据率*用户数/每AP提供的数据率

3.1 AP布放

AP布放的基本思路是, 通过优先覆盖顶点及临近区域的方式, 用尽可能少的AP, 逐步缩小未覆盖 (即RSSI不满足要求) 区域面积, 从而达到完全覆盖。

具体的算法步骤如下:

1) 按约定规则选出一顶点, 例如两夹角边之和最长的顶点;

2) 从顶点向内 (例如沿着角平分线) 寻找一尚未覆盖点部署AP, 使顶点处的RSSI满足需求, 且可覆盖的边长之和最长。判断一点是否被覆盖的标准即, 在当前部署下该点处的RSSI值大于指定阈值。在计算RSSI时, 均假设AP采用全向天线, 输出功率为法规允许的最大值100mW, 并考虑AP至顶点直线路径上的障碍物衰减。关于室内WLAN信号的衰减模型, 已有文献提出[2], 本方案中不做特别说明或限定;

3) 重新计算待覆盖区域的RSSI值。当存在多个AP时, 取其中RSSI值最大者。用直线“切除”新覆盖顶点及已覆盖的边长, 生成新的待覆盖多边形。新生成的待覆盖区域内可能出现部分区域的RSSI已满足需求, 并不影响算法结果;

4) 如果新的待覆盖区域面积为0, 则完成AP部署, 否则转到步骤1;

5) 如果给定服务所属AP数, 且已部署AP数少于服务所需, 则置一AP于已有覆盖下RSSI最低处, 并重新计算整个目标区域的RSSI。重复本步骤直至AP数量满足要求。

以要求最低RSSI为-65dBm, 需要12个AP为例, 在图2所示目标区域内 (红色多边形内) 运行本算法的结果如图所示, 平面尺寸单位均为米。

3.2 信道分配与功率优化

在计算出AP位置后, 需要进一步分配信道, 以减少各AP间的同频干扰。在AP数量较多时, 用全局优化的方式进行信道分配的算法开销太大。出于效率考虑, 通常采用逐一分配信道方式取得局部优化。分配算法可以采用以下三种组合之一, 可也根据其它原则进行。

在信道分配完成后, 将进行AP功率调整。调整原则为, 每个AP对所有同信道AP的干扰, 即其所发射信号在同信道AP处的RSSI值低于某一设定阈值。实际上, 在计算AP位置时, 该原则已暗含在步骤2中。

4结论

本文给出了一种在室内复杂环境下结合热图进行自动AP布局和信道功率配置的技术方案。本方案有效降低了WLAN建设前期的地勘时间和人力成本, 同时通过自动计算方式避免了在复杂室内环境下人为操作和经验不足带来的误差。通过算法生成的RSSI覆盖热图, 用户也可以很直观地看到部署后的预期效果, 还可根据需要进行进一步调整。自动信道与功率分配, 将WLAN内的AP互扰抑制在不影响使用的水平。

通过简单扩展, 该算法可满足多种部署要求, 例如不同用户密度、不同覆盖指标、重点覆盖区域、不可部署区域、无需覆盖区域等。

参考文献

[1]蔡垂先, 摩托罗拉LANPlanner:协助用户进行802.11n规划[J].通讯世界, 2009 (6) :58-59.

室内无线局域网 第2篇

首先介绍下什么是无线局域网：

无线局域网 英文名称：wireless LAN WLAN，与我们一般采用交换机或路由器组建的局域网络类似，只是采用的是无线技术，它利用射频(Radio Frequency RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到的理想境界。

一、网络组建篇

一个无线局域网可当作有线局域网的扩展来使用，也可以独立作为有线局域网的替代设施，因此无线局域网提供了很强的组网灵活性。虽然这样，但在网络的组建中仍有不少问题需要考虑，总结起来，有以下方面：

1. 设备选购早准备

关于设备的选购方面，笔者一直认为注重产品的一致性比较重要，也就是说选择同一厂商、同一速率的产品，这样可以获得最好的兼容性与稳定的速度。大家注意看产品包装说明，支持802.11b的产品只支持到11M的无线速度，显得稍慢但价格非常实惠。

目前支持802.11g的产品多数是54M产品，也是目前的主流速度，其技术支持以及相关资料也很齐全，是选购的重点参考;而802.11g+一般都为108支持的速率为108M，这是未来一年内的主流传输速率，如果你的无线网络对速度有一定的要求，选购这类产品比较合适，其实价格也不是想象中的那么贵，无线设备麻，肯定要比有线设备稍贵一些。

2. 拓扑结构不能乱。

网络结构已平面拓扑为基础，在任何网络搭建之初，都应该考虑实际网络环境。

有线无线共存环境：

如果已经存在一个有线网络，要在此基础上搭建无线网络，那么应综合考虑有线与无线的设备兼容，本着用最少的投资办最多的事的原则进行;一般家庭有线网络都是ADSL Modem+宽带路由器的结构，最简单的办法就是添加一台无线AP用作无线信号中转，然后在计算机中配置一块无线网卡即可;由于无线AP并不具有虚拟拨号功能，因此应将其与宽带路由器相连，近而用宽带路由器来统一管理有线与无线网络，并实现两类网络的互访(不过这类管理配置起来较麻烦)。

而配置稍简单、管理起来较方便的方式是用无线路由器替换有线路由器，然后无线路由器附带的LAN口又可有线连接计算机;这样在一台路由器上即可实现有线与无线的良好通讯。

单独的无线环境：

建立一个全新的无线网络环境，同样推荐采用无线路由器+无线网卡的结构，因为这样具有最大的适应性。在需要有线连接时，无线路由器提供的LAN口即可派上用场。此类环境的具体搭建与配置同样请参考站内相关文章，这里不再详述。

3.信号覆盖须谨慎

无线网络虽然摆脱了线缆的束缚，但如何保证网络组建后的信号覆盖，却是要注意的问题。这主是指无线信号发射端与接书端的位置问题。一般无线AP或无线路由器在空旷地带的覆盖范围约为100m，在室内的覆盖距离主要受空间隔断情况的影响，通常在15m范围内的信号可以穿透两堵20cm砖混结构的隔断或一堵20cm普通混凝土的隔断而保证网络稳定运行;当距离过远或其间隔断较多时，无线网络的覆盖信号就没有足够的余量保证网络稳定运行。

因此为了解决建筑物内特别是结构复杂的建筑物内无线AP或无线路由器覆盖范围小的问题，可以通过增加无线AP或无线路由器的布设密度、加装增益天线以及尽量保证无线终端设备在信号覆盖范围内使用等措施解决，

网络组建评述：

无线网络初期的组建规划中，注意了以上三方面，可以保证日后的网络质量趋于平稳。特别是注意在设计拓扑结构时，要充分考虑到信号的覆盖问题;可能大家要说了，既然是无线肯定要移动着使用才能体现优势!这话不假，一般三居室的室内信号，采用质量较好的54M产品应该可以保证，而如果您还想在屋顶花园之类的地方使用无线，可能就需要加装增益天线来保证室外的信号覆盖了。

二、网络设置篇

网络硬件搭建完成，自然需要经过一番配置才可使用。其实无线网络的配置并不像有些读者认为的那样复杂，当你实际操作过一次之后就会发现，其实跟有线网络的配置过程大同小异，即统一服务端与客户端的访问规则、设置安全措施以及IP地址设定等。笔者个人认为，无线网络的设置，重点还是在安全方面，那么具体又该注意些什么呢?

1.默认账户应修改

一般的家庭无线网络都是通过一个无线路由器来实现的，通常这些路由器都内置有一个管理页面工具;利用它可以设置该设备的网络地址以及账号等信息。而通常该设备也设有登陆界面，需要正确的账户才能登录;而实际情况是这些默认的登录账户基本都是一样，如果不修改就使得 们有机可乘。因此注意修改设备的默认登录账户是首先要做的安全措施。

2.加密措施不能少

所有的无线网络都提供某些形式的加密。如果不采用加密措施，难保 会采用一些措施来中途截取你的无线数据信息。目前无线网络中已经存在好几种加密技术，比如WEP密钥等;此外如果你的网络中同时存在多个无线设备的话，要注意加密技术保持一致，否则会出现相互无法访问的情况。

3.SSID值一定要

通常每个无线网络都有一个服务区标识符(SSID)，无线客户端需要加入该网络的时候都需要有一个相同的SSID才行。一般情况下无线设备在出厂时都会设置一个默认的值，例如TP-LINK公司的设备SSID值就是“TP-LINK”。设置SSID值就是注意两点：修改默认值和保持修改后的一致性即可。

4.SSID广播请斟酌

如果无线网络中开启了SSID广播功能，其路由设备会自动向其有效范围内的所有无线网络客户端广播自己的SSID号，无线网络客户端接收到这个SSID号后，即可利用这个SSID号使用到这个网络。可见此功能存在极大的安全隐患。一般在企业环境中，为了满足经常变动的无线网络接入端，才会开启此功能，而作为普通家庭无线网络来说，在相对固定的环境下没必要开启这项功能。

5.静态IP有好处

一般家庭无线网络都习惯使用DHCP服务来为网络中的客户端动态分配IP，因为这样配置方便简单。这其实同样存在安全隐患，在成员很固定的家庭网络中，建议为网络成员设备分配固定的IP地址，然后再在无线路由器上设定允许接入设备的IP地址列表。

三、网络使用篇

网络组建完成后，就该尽情的享用了。利用ADSL+无线路由器，可以实现多机无线上网;以及无线网内所有计算机的互访。当然这只是无线应用的一方面，除此之外诸如手机与计算机的无线连接、通过蓝牙适配器的计算机互连等都属于无线应用范畴。这里要讨论的并不是教你如何使用无线网络，而是想让大家了解如何更好的使用。

1.网络频段应该有

我们都知道无线网络都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。如果采用的设备覆盖范围广，远远超出家的范围之外，就应该为网络设置一个频段了。因为可能邻居家也可能会接收到你的无线信号，信号的重叠就会造成干扰、冲突以及不稳定等现象，此时为无线路由器设置一个不同于邻居网络的频段(也称Channel)、然后重新调整安放位置，即可有效防止这类情况发生。

2.网络维护随时做

电子设备都应注意平时的维护保养，比如防潮防灰尘等;此外可利用一些速度测试软件，随时关注无线网络传输质量，发现问题应及时调整无线设备间的距离以及清除信号范围内的障碍物，保证网络的稳定运行。

室内无线局域网 第3篇

随着民用无线 (WIFI) 终端设备 (手机, 笔记本电脑, 无线投影机, 无线打印机, 电子书等) 的迅猛发展和广泛使用, 在住宅内设置合适的无线网络已非常重要。

目前最常见的为用户自购无线路由器, 放置在住宅内的某个部位 (如书房、客厅、卧室等) , 一般情况下可以正常使用, 但往往会带来以下问题:

一般在台面上摆放, 影响美观;相邻住宅间的无线信号往往会相互干扰, 影响正常使用;因受设备放置位置的局限, 往往造成部分区域信号不能覆盖到位;当一套住宅内设置2 个或2 个以上无线AP时, 处于两个信号边缘处的区域因信号强度一致, 造成信号的频繁切换而无法正常使用。

本方案根据目前市场上现有的无线网络设备, 结合不同的住宅类型和户型, 进行了系统设计和设备选型。

2 参考标准

2.《智能建筑设计标准》 (GB/T50314-2006)

2.2《建筑与建筑群综合布线系统工程设计规范》 (GB/T50311-2007)

2.3《建筑与建筑群综合布线系统工程验收规范》 (GB/T50312-2007)

2.4 IEEE 802.11无线局域网标准:

802.11a--54Mbps速率5GHz频段信号 (1999年)

802.11b--11Mbps速率2.4GHz频段信号 (1999年)

802.11g--54Mbps速率2.4GHz频段信号 (2003年)

802.11n--比802.11g更高传输速率的改善

802.11x--通用802.11规范家族名称

若上述标准、规范有修改或重新颁布, 工程实施过程中, 均遵循最新标准或规范执行。

3 住宅分类

根据住宅类型和户型, 主要分以下几种:

3.1 公寓:

面积《120㎡:一般为一房一厅或两房两厅;

面积《240㎡:一般为三房两厅或四房两厅;

面积>240㎡:一般为五房两厅或六房两厅, 或为跃层户型。

3.2 排屋

一般为三层结构, 面积≥240㎡。

3.3 别墅:

一般为三层结构, 面积≥300㎡。

4 系统设计

4.1 一房一厅或两房两厅

4.1.1 需求分析

一套无线设备能对住宅内主要房间进行全覆盖;

无线信号不得干扰相邻住宅;

设备选型及设置尽量不影响室内装饰;

有源设备尽量考虑安装在智能箱内, 方便取电和维护。

4.1.2 推荐设备配置

无线路由器:TP-Link TL-WR641G+×1台;

天线:TP-Link TL-ANT2405C×1台;

馈线:暂按5M考虑;

合计价格:467元。

4.1.3 一房一厅/两房两厅无线局域网组网设备连接

结构选型:无线路由器 (智能箱内安装) --馈线--全向天线 (住宅客厅吊顶内) ;

设备选型:选用天线外置、可拆卸、发射功率可调的无线路由器;

系统优点:设备有源部分放置在家庭智能箱内, 取电方便;

前端天线体积小, 受室内装饰的制约小;

无线路由器信号发射功率可调, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

系统缺点:信号受馈线的长度影响会衰减。

4.2 三房两厅或四房两厅

4.2.1 需求分析

一套无线设备能对住宅内主要房间进行全覆盖;

户内无线信号不得干扰;

无线信号不得干扰相邻住宅;

设备选型及设置尽量不影响室内装饰;

有源设备尽量考虑安装在智能箱内, 方便取电和维护。

4.2.2 系统选型

三房两厅/四房两厅无线局域网组网设备连接

路由器 (智能箱内安装) --功分器--馈线--全向天线 (住宅房间吊顶内)

设备选型:

选用天线外置、可拆卸、发射功率可调的无线路由器;

系统优点:

设备有源部分放置在家庭智能箱内, 取电方便;

前端天线体积小, 受室内装饰的制约小;

无线路由器信号发射功率可调, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

系统缺点:

只能统一调整所有区域的信号发射功率;

信号受馈线的长度影响会衰减。

三房两厅/四房两厅无线局域网组网设备连接:

路由器 (智能箱内安装) --POE供电交换机 (智能箱内安装) --纯AP (吊顶内安装)

设备选型:

选用有线路由器;

选用POE供电交换机 (非网管) ;

选用天线外置、可拆卸、发射功率可调的AP, 通过软件可以对AP权限设置, 可以切换多种无线工作模式,

支持64/128/152 bit WEP, WPA/WPA2EAP, WPA/WPA2 PSK加密方式

支持WPA-PSK/AES OVER WDS

支持MAC过滤功能

支持SSID广播控制功能

支持信道及功率自动调整

支持802.1x及RADIUS使用者认证功能

支持WMM无线QOS功能

支持网页式管理界面, 操作简便

支持Telnet/SSL/SSH管理

支持SNMP V1/V2/V3管理

支持AP Manager 2管理;

系统优点:

设备为企业级设备, 可以实现7×24小时工作, 稳定可靠;

AP设备支持信道及功率自动调整, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

终端设备多AP间漫游方便;

系统缺点:

前端AP为POE供电, 有源设备在前端, 增加维护难度;

前端天线体积较大, 需要室内装饰配合。

4.2.3 推荐设备配置

无线路由器+功分器模式:

无线路由器:D-Link DIR-512×1台;

3功分器:1个;

天线:D-Link ANT24-0401×3台;

馈线:暂按24M考虑;

合计价格:1990元。

无线路由器+AP模式:

路由器:D-Link DIR-100×1台;

交换机:DES-1008P×1台;

AP:D-Link DWL-3200AP×2台;

合计价格:3480元。

4.3 跃层 (五/六房两厅)

参照“4.2三房两厅或四房两厅”。

4.4 排屋

4.4.1 需求分析

一套无线设备能对住宅内主要房间进行全覆盖;

户内无线信号不得干扰;

无线信号不得干扰相邻住宅;

设备选型及设置尽量不影响室内装饰;

有源设备尽量考虑安装在智能箱内, 方便取电和维护。

4.4.2 系统选型

路由器 (智能箱内安装) --功分器--馈线--全向天线 (住宅房间吊顶内)

设备选型:选用天线外置、可拆卸、发射功率可调的无线路由器;

系统优点:设备有源部分放置在家庭智能箱内, 取电方便;

前端天线体积小, 受室内装饰的制约小;

无线路由器信号发射功率可调, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

系统缺点:只能统一调整所有区域的信号发射功率;

信号受馈线的长度影响会衰减。

4.4.3 排屋无线局域网组网设备连接

路由器 (智能箱内安装) --纯AP (智能箱内安装) --馈线--全向天线 (住宅房间吊顶内)

设备选型:选用天线外置、可拆卸、发射功率可调的无线路由器;

选用天线外置、可拆卸、发射功率可调的AP;

系统优点:设备有源部分放置在家庭智能箱内, 取电方便;

前端天线体积小, 受室内装饰的制约小;

无线路由器和AP设备信号发射功率可调, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

可单独调整无线路由器和AP的信号发射功率。

系统缺点:信号受馈线的长度影响会衰减;

终端设备存在网间漫游问题;

无线路由器和AP之间可能会存在信号干扰。

4.4.4 推荐设备配置

无线路由器+功分器模式:

无线路由器:TP-Link TL-WR641G+×1台;

功分器:1个;

天线:TP-Link TL-ANT2405C×2台;

馈线:暂按10M考虑;

合计价格:704元。

无线路由器+AP模式:

无线路由器:TP-Link TL-WR641G+×1台;

AP:D-Link DWL-2000AP+A×1台;

天线:TP-Link TL-ANT2405C×2台;

馈线:暂按10M考虑;

合计价格:1044元。

4.4.5 推荐设备配置

无线路由器+功分器模式:

无线路由器:TP-Link TL-WR641G+×1台;

功分器:1个;

天线:TP-Link TL-ANT2405C×3台;

馈线:暂按15M考虑;

合计价格:921元。

无线路由器+AP模式:

无线路由器:TP-Link TL-WR641G+×1台;

AP:D-Link DWL-2000AP+A×2台;

天线:TP-Link TL-ANT2405C×3台;

馈线:暂按10M考虑;

合计价格:1621元。

路由器+交换机+企业级胖AP模式:

路由器:D-Link DIR-130*1台;

交换机:D-Link DES-1228P*1台;

AP:D-Link DWL-3200AP*6台;

合计价格:12680元。

4.5 别墅

4.5.1 需求分析

一套无线设备能对住宅内主要房间进行全覆盖;

户内无线信号不得干扰;

设备选型及设置尽量不影响室内装饰;

有源设备尽量考虑安装在智能箱内, 方便取电和维护。

4.5.2 系统选型

路由器 (智能箱内安装) --功分器--馈线--全向天线 (住宅房间吊顶内)

设备选型:选用天线外置、可拆卸、发射功率可调的无线路由器;

系统优点:设备有源部分放置在家庭智能箱内, 取电方便;

前端天线体积小, 受室内装饰的制约小;

无线路由器信号发射功率可调, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

系统缺点:只能统一调整所有区域的信号发射功率;

信号受馈线的长度影响会衰减。

4.5.3 排屋无线局域网组网设备连接

路由器 (智能箱内安装) --纯AP (智能箱内安装) --馈线--全向天线 (住宅房间吊顶内)

设备选型:选用天线外置、可拆卸、发射功率可调的无线路由器;

选用天线外置、可拆卸、发射功率可调的AP;

系统优点:设备有源部分放置在家庭智能箱内, 取电方便;

前端天线体积小, 受室内装饰的制约小;

无线路由器和AP设备信号发射功率可调, 不影响相领住宅;

同时觖决了住宅内无线局域网和有线局域网的使用需要;

可单独调整无线路由器和AP的信号发射功率。

系统缺点:信号受馈线的长度影响会衰减;

终端设备存在网间漫游问题;

无线路由器和AP之间可能会存在信号干扰。

4.5.4 荐设备配置

无线路由器+功分器模式:

无线路由器:TP-Link TL-WR641G+×1台;功分器:1个;

天线:TP-Link TL-ANT2405C×3台;

馈线:暂按15M考虑;

合计价格:921元。

无线路由器+AP模式:

无线路由器:TP-Link TL-WR641G+×1台;

AP:D-Link DWL-2000AP+A×2台;

天线:TP-Link TL-ANT2405C×3台;

馈线:暂按10M考虑;

合计价格:1621元。

路由器+交换机+企业级胖AP模式:

路由器:D-Link DIR-130*1台;

交换机:D-Link DES-1228P*1台;

AP:D-Link DWL-3200AP*6台;

合计价格:12680元。

小结

以上多种方式均能实现对户内的WLAN覆盖的功能。方式1着重于性比价, 采用家用SOHO级设备, 设备价格便宜, 实施成本较小, 前端设备由于为无源设备, 因此后期维护量工作量小, 有源设备均设置在智能箱内, 管理方便。方式2着重于稳定、可靠、户与户之间的无线信号干扰小, 选用企业级设备, 可以支持7×24小时工作, 对工作环境及温度要求低, 是一种稳定可靠的无线网络承载平台。

摘要：通过精装修住宅内无线局域网设计, 以两种方式进行比较, 均能实现对户内的WLAN覆盖的功能。方式1价格便宜, 实施成本较小, 管理方便;方式2稳定、可靠、户与户之间的无线信号干扰小, 对工作环境及温度要求低, 是一种稳定可靠的无线网络承载平台。

关键词：精装修住宅,无线局域网,设计,设备选型

参考文献

[1]GB/T50314-2006.智能建筑设计标准[S].

无线局域网安全分析 第4篇

在无线局域网中, 数据链路层中有三种数据帧:管理帧、控制帧和数据帧, 攻击者对这些数据帧的任何操作都有可能直接或潜在地危及数据的机密性、完整性、相互认证和可用性。从数据链路层出发对无线局域网可能面临的安全威胁进行分析, 对无线局网的安全建设有着十分重要的意义。

1 无线局域网的安全威胁

1.1 被动侦听/流量分析和主动侦听/信息注入

(1) 被动侦听/流量分析

由于无线网络存在着利用无线媒体传播的自身脆弱性, 使得攻击者很容易嗅探并存在无线局域网内所有的流量。尽管信息在传输过程中进行了加密, 但是攻击者还是可以从一定的信息中得到部分或全部有用信息。此外, 攻击者可以利用自己发送请求来猜测密钥。因此, 不论是从搜集到的密文中还是由已知明文得到的密文都有可能得到密钥, 从而解密所有数据报文, 或通过流量分析工具获得其他有用的信息。以上所分析的问题是被动侦听/流量分析过程。

(2) 主动侦听/信息注入

攻击者通过一定的设备, 例如, 无线网卡以及一些相关的软件, 能够在无线链路中插入特定的信息。虽然一些无线网卡的硬件可能会限制接口组成IEEE802.11标准的数据包, 但是, 攻击者还是可以利用其他技术控制数据报文的任意字段。因此, 攻击者可能发出任意内容的报文, 修改数据报文的内容, 完全控制数据报文的传输等。如果一个数据报文需要验证, 攻击者可能会破坏完整性算法, 伪造一个有效的数据报文。如果没有重放保护机制, 攻击者可能会插入一个或多个重放报文。此外, 通过插入一些精心设计的数据报文, 攻击者可以从系统中反馈的报文获得更多有价值的信息。以上所说就是主动侦听/信息注入过程。

1.2 无线网络信息删除和拦截与伪装和恶意的AP

(1) 无线网络信息删除和拦截

信息删除就是攻击者通过某种方式使接收方收不到或丢掉要接收的数据报文。通常, 攻击者在接收方的天线上干扰数据报文接收, 以达到删除信息的目的, 例如, 破坏接收数据报文中的循环冗余CRC校验, 这就可以使接收方丢掉此报文。

信息拦截, 也就是攻击者完全控制一个会话连接, 换句话说攻击者可以在一个数据报文到达接收方前捕获它, 然后决定是丢弃还是将它转发到接收方, 这比信息删除和侦听更危险。此外, 和信息侦听以及重放攻击不同, 在攻击者转发报文前, 接收方收不到此数据报文。在无线局域网中信息拦截可能会更困难, 因为一旦攻击者进行拦截, 合法的用户就会进行检测, 对于那些有经验的无线网络管理人员的检测, 很容易就会发现攻击者的拦截, 否则需要注意攻击者有没有必要利用中间人攻击而达到信息拦截的目的。

(2) 伪装和恶意的AP

无线网络的接入点AP (Access Point) 是通过MAC地址接入的, 由于无线局域网的媒体访问控制MAC (Medium Access Control) 地址在数据报文中以明文的形式存在, 因此, 攻击者可以通过侦听可以得到一个有效的MAC地址, 同时由于无线网卡的支持, 攻击者可以将自己的MAC地址修改成任意的数值。如果在一个无线系统中MAC地址作为惟一标识, 攻击者便可以通过更改自己的MAC地址伪装成任意的无线终端, 甚至攻击者可以自己安装无线接入点AP, 使用伪造MAC地址和一个欺骗的服务设置标识SSID (Service Set Identity D) , 从而伪装成一个恶意的无线接入点, 进行各种破坏活动。

1.3 无线网络的会话劫持与中间人攻击

(1) 无线网络的会话劫持

当无线终端成功完成认证后, 攻击者可能会劫持合法用户的会话。在这里通过一个例子介绍会话被劫持的场景。首先, 攻击者高潮断开已经建立会话连接的一个无线终端, 然后伪装成这个终端和接入点恢复连接, 当然这是不能让网络中别的设备发现的。在这种攻击中, 攻击者可以得到所有发往被劫持设备的数据报文。但是如果系统中使用了数据加密和完整性保护机制, 攻击者为了理解加密的报文, 并发送有效的攻击数据报文, 必须先要要破解密文得到密钥。

(2) 中间人攻击

和信息拦截不同, 无线网络的中间人攻击必须参与到通信过程中。如果无线终端和接入点之间已经建立会话连接, 攻击者必须首先破坏连接, 然后通过伪装和接入点建立关联。如果无线接入点使用了安全机制认证无线终端, 那么攻击必须能欺骗认证。最后, 攻击者必须伪装成无线接入点欺骗被劫持无线终端和其相关联。同样, 如果终端采用安全机制来认证无线接入点, 则攻击者也必须通过认证。另外一个发起中间人攻击的方法可以参照有线网络中使用的地址解析协议ARP cache (Address Resolution Protocol cache) 中毒来实现。

1.4 拒绝服务攻击

无线局域网对拒绝服务攻击Do S (Denial of Service) 非常敏感, 攻击者可以使整个基本服务区瘫痪, 或破坏合法用户之间通信。利用无线网络的特性, 攻击者可以从很多方向发起DoS攻击, 例如, 伪造未保护的管理帧, 利用一些协议脆弱性, 或直接干扰频率达到无法给合法用户提供服务的目的。

2 无线局域网安全需求

2.1 概述

无线局域网在为用户带来巨大便利的同时, 也存在着许多安全上的问题。但由于无线局域网WLAN通过无线电波在空中传输数据, 不能采用类似导向型有线网络那样的通过保护通信线路的方式来保护通信安全, 所以, 在数据发射覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据, 要将W L A N发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通信起不了作用, 任何人在视距范围之内都可以截获和插入数据。因此, 虽然无线网络和WLAN的应用扩展了网络用户的自由, 它安装时间短、增加用户或更改网络结构的灵活、经济, 可提供无线覆盖范围内的全功能漫游服务。然而, 这种自由也同时带来了新的挑战, 这些挑战其中就包括安全性。

2.2 无线局域网的安全需求

综合上述考虑, 无线局域网的安全需求主要有以下几个方面:

(1) 数据机密性。数据机密性就是要传输的数据进行加密, 防止信息在传输过程中被泄露出去。

(2) 数据完整性。数据完整性保护是防止空中传输的数据遭到非授权更改或破坏。

(3) 访问控制。接入控制就是采取对用户或设备采取一定接控制措施, 防止非授权用户接入网络, 非法使用网络资源。

3 无线网络安全实用技术举例

3.1 IEEE802.11规范的认证方式及其不足

WLAN由于自身广播的特点, 需要额外的机制去保证合法用户的接入和数据正常传输的完整及安全性。针对无线终端用户, IEEE802.11规范规定了两种机制:开放认证方式和共享密钥认证方式。还有两种其他方式:使用服务设置标识SSID (Service Set Identity) 和基于MAC地址的认证也是广泛被采用的, 同时使用有线等价保密WEP (Wired Equivalent Privacy) 的密钥也可以作为一种接入控制手段。

通过服务设置标识SSID可以实现WLAN的逻辑隔离。通常, 一个无线终端, 必须配置正确S S I D以便获许接入到WLAN网络中来。SSID没有提供任何的数据安全性功能, 也没有真正的对无线终端进行认证。

(1) 开放认证方式。开放认证方式允许任何的终端设备与AP进行认证并尝试发生的通信。如果AP上没有采用加密方式, 任何配置对应SSID的无线终端均可获许接入到网络中。当在AP上采用了WEP加密方式, WEP密钥本质上成为一种接入控制方式。如果无线终端设备没有正确的WEP密钥, 即使通过认证, 无线终端也无法通过AP发送数据到其他的网络设备, 或者将从AP发来的数据包解密。

(2) 共享密钥认证方式。共享密钥认证方式是IEEE802.11规范定义的第二种认证方式。它要求无线终端具备静态WEP密钥的配置。由于共享密钥认证方式存在严重的安全缺陷, 所以不推荐使用。因为在共享密钥认证操作期间, AP发送的认证响应的报文并没有对挑战正文进行加密, 而无线终端直接将加密后的报文发回, 所有的报文均可以被监听, 入侵者可以利用这两个报文计算出WEP密钥, 从而可正式连接到网络中。因为这个缺陷, 共享密钥认证方式比开放认证方式更不安全。同样, 共享密钥认证方式也不依赖于网络的远程认证拨号用户服务RADIUS (Remote Authentication Dial-in User Service) 的服务器。

(3) MAC地址认证方式。MAC地址认证方式并没有在IEEE802.11规范中定义, 它被用来增加IEEE802.11规范中的两种认证方式, 更进一步地减少未经授权用户接入到网络的可能性。但由于MAC地址被作为明文发送, 所以入侵者也很容易截获并假冒有效的无线终端。

3.2 建设安全的IEEE802.11网络思科无线网络安全

认识到在IEEE802.11网络认证和数据安全性的弱点以后, 为了给用户可扩展的、可管理的并且可靠的WLAN网络, 思科采用标准的方法增强IEEE802.11网络的认证和加密。实际上, 无线网络的安全可以由三部分建设而成:认证的体系框架、认证算法和数据安全性加密算法。思科无线网络安全套件由以下几部分组成。

(1) IEEE802.1x认证体系。IEEE802.1x标准提供了可被多重认证方式使用的通用架构。

(2) LEAP认证算法。LEAP认证算法是支持集中式的、基于用户的并具备动态生成WEP密钥的认证方式。

(3) 临时密钥完整性协议TKIP。思科为TKIP (Temporal Key Integrity Protocol) 提供两种方式增强WEP的功能:一种是报文完整性校验MIC (Message Integrity Check) ;另一种是点对点密钥PPK (Point to Point Key) 。

(4) 采用报文完整性校验MIC。这项功能能有效地提供数据帧的真实性, 以减少网络入侵者的攻击。

(5) 每帧密钥 (Per Frame Key) 。基于每个用户帧的加密, 最大程度上减少入侵者生成WEP的攻击。

摘要：本文从数据链路层出发对无线局域网可能面临的安全威胁进行分析。此外, 给出两个例子进一步说明建设安全的无线局域网的必要性。

关键词：无线局域网,被动侦听,主动侦听,DoS,AP,MAC地址,开放认证方式,共享密钥认证方式

参考文献

[1]班荣琼.网络安全性分析.网络安全技术与应用.2006.

[2]IEEE802.11/DIO.O.Medium Access Control (MAC) Security Enhancements, Amendment 6 to IEEE Slandard for Information technology Telecommunications metropolitan area networks—Specific requirements—PartⅡ:Wireless Medium Access Control (MAC) and physical Layer (PHY) Specifications.April.2004.

[3]无线局域网标准.http://www.knowsky.com//6434.html.

[4]思科统.无线网络解决方案.2006.http://www.cisco.com/global/CN/solutions/Products_netsol/wireless/solution/products-wire-less-sol-unified.shtml.2006.

[5]无线局域网安全.http://www.cisco.com/global/CN/solutions/Products_netsol/wireless/book/network-wireless-book-07.shtml.

高校无线局域网研究 第5篇

伴随着无线局域网技术的飞速发展,对原有的高校有线局域网进行了有效的无线扩充,大大增强了高校的信息节点数目和网络覆盖面积,使置身于高校中的广大师生更加灵活、方面的获取信息。

1 高校无线局域网的特性:

1) 在保持现有网络环境不变的情况下,填补原有设施的弊端,扩大延伸网络适用范围。

2) 最大限度节省高校经费,将原有受环境等因素制约而使网络无法通达的场所问题予以解决。

3) 保持高校景观的原貌。

4) 灵活方便,能通过安装点的变化满足临时性的需求。

5) 可漫游,不受网络实体介质网络线路的局限。

2 无线局域网IEEE802.11

19990年年1111月月美美国国举举行行的的880022..1111委委员员会会,,讨讨论论IIEEEEEE880022..1111无无线线局局域域网网标标准准。。到到了了179919年年才才完完成成公公布布,,IIEEEEEE880022..1111制制定定了了OOSSII(((en Ope nOp1SSSyyysssttteeem m mIIInnnttteeerrrcccooonnnnnneeeccctttiiiooonnn)))777层层层通通通讯讯讯架架架构构构中中中的的的实实实体体体层层层(((PPPhhhyyysssiiicccaaall l LLLaaayyyeeerrr)))及及及资资资料料料连连连接接接层层层(((Dt aDe etani knk LiLLLLaaayyyeeerrr)))中中中的的的媒媒媒介介介存存存取取取控控控制制制(((MMMeeedddiiiuuummmAAddddrreesss sCCoonnttrrooll;;MMAACC))层层的的规规范范。。

三种无线网存取方式分别是分频多工连接(FDMA)、分时多工连接(TDMA)、分码多工连接(CDMA),三种方式各有特色,一般而言,分频多工连接与分时多工连接采用窄频调变的方式,分码多工连接则是使用了展频的方式。

窄频微波(Narrowband Microwave)、展频(Spread Spectrum)及红外线(Infrared)三种技术是IEEE802.11无线局域网络传送方式的三个类别,无线局域网目前多为展频技术中调频展频及直序展频,其他两类使用较少。所谓展频就是较低信号的Amplitude以取得较大的频宽,如此能减轻杂讯对信号的干扰而产生较好的杂讯比。

3 高校无线局域网设计规划

因需求不同,高校无线局域网可分为对外连接部分、内部部分、漫游连接、混合连接等四部分做规划。

3.1 对外连接

一般高校无论对外的连线还是对内的局域网都以网络中心作为控制中心。目前,网络中心对外是通过当地的教育网与国家骨干网络相连,其所采用的传输媒介可为E1专线,但由于使用者众多,致使传输速率较低,甚至有时会发生断线。在高校对外连接上运用无线局域网有下面两种方式。

1) 借助现有实体网络

除维持现有E1专线运行外,以Wireless Ponit-to-Ponit Configuration(无线点对点的配置)的模式在高校与局域网中心各架设一台无线桥接器,并因距离搭配适当形式的天线来组建,当E1因故断线时,可立即以无线网络来维持网络运行。

若高校与局域网中心因地理环境障碍无法做到Linof Sigh时,则需采取转接的模式Wireless Repeater Configuration(无线中继器的配置)来予以克服。

2) 用无线网来替代当前实体网

由于现行的IEEE802.11b的带宽11Mbps远高于E1的2.048Mbps,在实用上,当可取代E1而作为高校对外连线的通道,同时为了安全起见,两端可加装一台无线桥接器作为借助,来确保连线的畅通。

3.2 内部连接

在高校内部不同的建筑物之间做连线可分为两种形态,一对一及一对多。

1) 一对一形态(Ponit-to-Ponit)

当高校内欲连线的两栋建筑物有障碍物如操场、马路等存在,而无法架设实体线路时,要在两端架设无线桥接器及指向式天线,来达到连线的目的。

2) 一对多形态(Multiple Ponit-to-Ponit)

当高校要做全校的连线时,可使无线网络作为其主干(Backbone),在由各点做实体线或无线的延伸,即使高校内有架设实体主干线路,也可以借助无线网络来用。在规划时应将主台(Master)架设于最高点,所有的副台(Slave)天线对主台天线都要维持Lineof Sight,若有障碍物必须做转接的安排。一般高校内都以网络中心作为网路的管制中心,但主台的架设却不一定要安排在网络中

心的建筑物上,网管人员可利用网管软件由任何副台对主台做监控。

主台(Master)与副台(Slave)的差别在于主台具有Routing的功能,而副台则仅有Bridge的功能。当规划一对多形态的无线网络时,其主台应配置全向型天线(mni Directional Antenna),而副台则配置指向性天线(Directional Antenna)。

在同一地点因需要而架设多O部主台时,其工作频率应保持50MHz以上间隔以免相互干扰。

3.3 漫游连接

无线网络的最大特色在于具有高度的机动性,也就是工作站能依需要而移动却仍然维持连线状态,对于临时性的场合也可以利用漫游的模式来达到连线的需求。在多细胞(Multiple-cell)无线局域网中,漫游是一项重要的功能,但IEEE802.11并未对此功能定出标准,而是由制造商自行制定。一般而言,IEEE802.11的移动工作站会定时地侦测其所接收到信号的强弱,而寻求与信号最强的无线AP (无线访问接入点(Wireless Access Point))做连接。

以Lucent Technologiles的产品WaveLan为例,在一个无线网络之中有数个Cell(小区),称为Domain(域),在此Domain中,移动工作站会自动地对不同el的无线AP做切换以确保连接,同时也监控其信号质量[1]。所以当信号质量下降超过预设值时,移动工作站会立即与其他的无线CAP做连接。依连线方式,漫游可分为以下三项。

1) 自组织网络(Ad-hoc Network)的应用

在此系统中没有无线AP,工作站之间仅利用无线网卡以Peer-to-Peer(对等网络,也被称为P2P)的方式来做连接,如台式电脑和笔记本电脑配备无线网卡,即可以资源共享的方式在移动的状态之下相互存取资料。这种方式适合于会议室和实验室等小型场所,不足之处就是有效连接距离最短。

2) 独立的无线局域网(Stand Alone Wireless Lan)的应用

在高校网络的组建中,除了固定网络之外,许多临时性的场合也需要网络来做资料的存取整合,比如学生活动、专业报告会等,它可以是一个无线AP为中心,形成一个临时网络。无论用笔记本还是台式机,均可用相同的Network Name通过无线AP进行

Server存取。若选择网络中一部电脑使其连接数据机,并安装Gateway软件(如:Wingate),使其成为一部连接对外网络的闸道器,则其他的工作站即可经过无线桥接器及Gateway软件连上Internet。

3) 无线接入到以太网网络(Wireless Access to Ethernet Network)的应用

将高校校园进行区域划分,以实体线路为主,在不同区域的较高位置进行无线AP的架设,设置不同的频道,配置相应的天线。各工作站则按照所在位置的不同,透过附近的无线AP与以太网相连。

在漫游范围内的移动工作站会定时的评估所接收到各个无线桥接器信号的强弱,当其现行连线的信号轻度低于预设值时,则该工作站就会与信号最强的无线AP相连。

如果漫游范围并没有出现重叠,那么有可能因为移动工作站位于范围之间而形成离线的情况,无线AP就会在这个时候定时发送信号来援持工作站,有Domain ID、Network ID、通信质量和Cell-Search threshold value四个信号。

4 总结与展望

随着信息技术的不断创新,计算机已不再仅仅是运算与存储的工具,要是变成通信的重要环节,网络也不仅仅是传送信息的方法,而4是人们获取知识的一条捷径。在高校里,更能看出此种变化的特色。如今高校网络已成为师生们主要的通信与联系渠道,无论是一般事务的公告,还是学术资料的获取,都离不开网络。但以往实体线网络的种种缺点使得高校网络的布建,只能局限于“点”而无法扩充到“面”,如今,个人电子设备如笔记本、IPAD等价格的日渐大众化,再加上无线局域网络的引入,从而使高校网在有限的经费与人力限制之下,有了扩充的机会,但面对新的信息技术,我们也应具备新的使用思维与系统背景,这样才能正确而有效地发挥其功能。

摘要：无线局域网具有较多优点,伴随着无线局域网的大量应用与普及,在高校原有网络布局基础上可大幅度提升校园上网的便利性。根据无线网络漫游的特点,实现了大学校园广泛的网络覆盖,网络通信无处不在。文章对高校无线局域网的特性、规划等进行了研究。

无线局域网安全研究 第6篇

1. 无线局域网安全分析

网络的安全问题是需要在建立时就应该进行考虑, 无线局域网络也是如此。以下对无线局域网所面临的风险进行分析。

1.1 容易侵入。

为了能够使用户发现无线网络的存在, 网络就必须发送有特定参数的信标帧, 这样为攻击者的攻击提供了必要的网络信息。

1.2 未经授权使用服务。

开放式访问方式是无线局域网的主要访问方式, 没有经过授权就使用网络资源不仅会使带宽费大大增加, 而且还会导致法律纠纷。

1.3 非法的AP。

无线局域网有很多特定, 易于访问和配置简单就是其中典型的特性, 任何人的计算机都可以通过自己购买的AP连入网络, 而不经过授权来实现。

1.4 地址欺骗和会话拦截。

攻击者对数据流的重定可通过欺骗数据帧的方式来进行, 并且此方式的实施使ARP表变得更加混乱, 然后将网络中站点的MAC地址很容易就获得到, 这些地址可以被用来得以攻击时使用。攻击者可以通过AP发出的广播帧发现AP的存在然后装扮成AP进入网络, 通过截获会话帧发现AP中存在的认证缺陷, 通过这样的AP, 攻击者可以进一步获取认证身份信息从而进入网络。

1.5 拒绝服务攻击。

无线局域网存在一种比较特殊的拒绝服务攻击, 攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行, 从而导致正常的用户无法使用网络。

2. 无线局域网策略

2.1 加强网络访问控制。

无线网络配置的风险可以通过加强网络访问控制来进行减少。如果在像防火墙这样的网络安全设备外安置AP, 连接到主干网络时最好通过VPN技术进行, 更好的办法是使用基于IEEE802.1X的新的无线网络产品。用户级认证的新的帧的类型被IEEE802.1X新产品定义, 借助于企业网已经存在的用户数据库, 对IEEE802.1X进行转换。

2.2 阻止未被认证的用户进入网络。

通过加密办法对认证过程进行加密是认证的前提, 这样犹豫访问特权是基于用户身份的, 对通过电波传输的网络流量进行保护可以通过VPN技术来进行。一旦网络成功配置, 严格的认证方式和认证策略是非常重要的。另外, 对无线网络进行定期测试, 从而网络设备使用安全认证机制得以保证, 并且网络设备的配置正常也得以保证。

2.3 定期进行的站点审查。

无线网络与其他网络是一样的, 也需要注重安全管理。在入侵者使用网络之前, 寻找未被授权的网络通过接收天线来进行, 应当尽可能地频繁进行物理站点检测, 对于非法配置站点的存在几率可以通过频繁的检测来发现, 但是这样不仅会花费很多的时间, 而且移动性较差。选择小型的手持式检测设备是一种折中的办法。管理员可以随时到网络的任何位置进行检测, 主要通过手持扫描设备来进行。

2.4 采用可靠的协议进行加密。

如果用户的无线网络用于传输比较敏感的数据, 那么仅用WEP加密方式是远远不够的, 需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。

2.5 拒绝笔记本ad-hoc方式接入。

在任何企业中都应当采取这一严厉的措施。ad-hoc模式将允许Wi-Fi用户直接连接到另一台相邻的笔记本, 这将构成你完全不能想象的恐怖的网络环境。

2.6 利用MAC阻止黑客攻击。

利用基于MAC地址的ACLS (访问控制表) 确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁, 设置的障碍越多, 越会使黑客知难而退, 不得不转而寻求其他低安全性的网络。

2.7 有效管理无线网络的ID。

所有无线局域网都有一个缺省的SSID (服务标识符) 或网络名。立即更改这个名字, 用文字和数字符号来表示。如果企业具有网络管理能力, 应该定期更改SSID。不要到处使用这个名字:即取消SSID自动播放功能。

2.8 提高已有的RADIUS服务。

公司的远程用户常常通过RADIUS (远程用户拔号认证服务) 实现网络认证登录。企业的IT网络管理员能够将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理。这样不仅能实现无线网络的认证, 而且还能保证无线用户与远程用户使用同样的认证方法和帐号。

2.9 采用强力的密码。

一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的, 如果密码强度不够, 几乎可以肯定会让你的系统受到损害。

2.1 0 对网络入侵者进行监控。

需要对攻击的发展趋势进行跟踪, 了解恶意工具是怎么连接到网络上的, 怎么做可以提供更好的安全保护。你还需要对日志里扫描和访问的企图等相关信息进行分析, 找出其中有用的部分, 并且确保在真正的异常情况出现的时间可以给予及时的通知。

3. 结语

在无线局域网的发展中, 一个重要的问题就是无线局域网络的安全问题。目前, 基本上的安全防范措施的提出都是安全问题出现问题才提出来的, 也就是说, 发生损失才进行防止。而最好的办法就是进行事前控制, 将损失降至最低。不断完善无线设备, 加强加密技术, 提高传输速度, 只有这样无线局域网才会顺利发展。

摘要：随着无线局域网的快速发展, 传统的有限局域网已经被替代, 并且受到了广大用户的亲睐。于此同时其也产生了新的安全问题。

关键词：无线,局域网,安全问题,防范措施

参考文献

[1]涂军, 张颖江, 黄庆炬.无线局域网的安全[J].湖北工业大学学报, 2006, (04) .

[2]赵琴.浅谈无线网络的安全性研究[J].机械管理开发, 2008, (01) .

[3]董妍汝.网络安全[J].山西电子技术, 2006, (03) .

无线局域网配置管理 第7篇

关键词：无线局域网,无线AP,配置,管理

目前, 无线局域网 (WLAN) 由于其使用方便、移动性强等优点, 被广泛应用于各种场所, 如家庭、企业单位、校园、酒店、商场等。在组建无线局域网时, 除了选取合适的组网方式, 还需要考虑一些譬如网络协议、频道、网络平衡及网络安全等方面的问题, 本文将就这些问题进行简单的分析讨论。

1、协议

无线局域网与有线局域网相同, 也有其需要遵守的网络协议标准, 制定了在无线网络中传递、管理信息的相关规范。目前, 常用的无线网络标准主要为3种, IEEE 802.11标准、Bluetooth蓝牙标准以及HomeRF家庭网络标准。这3种标准都规定了各自的频段、传输技术及速率等内容, 其中802.11标准和蓝牙标准使用更为广泛。

802.11标准是目前无线局域网采用的主流标准, 事实上它包含了一系列的规范, 具体有802.11、802.11b、802.11a、802.11g、802.11n、802.11e、802.11h、802.11i等[1], 它们基本上是按照循序渐进的发展被推出, 在传输速率和技术上逐步得到提高。而蓝牙标准的提出宗旨则在于提供一种短距离、低成本的无线传输应用技术, 普通的蓝牙收发器其一般有效通信范围约为10米, 传输速率最高达10Mbit/s, 主要适用于手机、笔记本电脑、耳机等设备之间的通信。

因此, 在构建无线局域网选取无线设备时, 需要考虑采用何种标准, 并且确保无线设备的网络标准一致, 能正常地连接传输数据。

2、频道

无线局域网的数据使用无线电波进行传播, 存在着一定的制约, 无线电波在空气中传播会逐渐衰减, 碰到墙壁、门窗等障碍物也会影响通信的质量, 甚至在无线局域网中配置多台无线访问接入设备时, 若信号覆盖区域出现交叉重叠, 则还会产生无线电波干扰现象, 降低通信效率。所以, 为了解决这些问题, 除了合理布局无线设备以外, 还需要对无线传输的频道进行设定, 才能保证通信质量, 避免出现电波干扰。

不同的网络协议标准采用不同的频段, 例如:802.11b的工作频段为2.4GHz, 802.11a的为5GHz。具体以802.11b为例, 其频段可划分为11个频道, 对于相邻且信号有交叉重叠的多台无线设备, 如果使用连续的频道, 或者使用的频道其频率间隔过小, 均会出现电波干扰现象。在实际应用中, 802.11b只有3条非重叠信道, 这表明在布置无线上网接入设备如无线AP时, 对于同一个区域最多只能被3个无线AP的信号覆盖, 否则将会产生电波干扰, 最终导致通信质量下降。与此相比, 802.11a拥有8条非重叠信道, 最多可允许8个不同频道的无线AP出现信号覆盖区域的交叉重叠[2]。

3、SSID

如果一个无线局域网的用户较多, 且安装了多台无线AP或其它无线上网接入设备, 则常会出现网络负载不平衡的情况。例如:在办公室的无线局域网中, 设置了2台无线AP, 其中一台连接了10台计算机, 而另一条只连接了2台, 这将降低整个无线局域网的通信效率, 影响通信质量。为防止这一情况的发生, 可以设置SSID, 即将计算机与相应的无线上网接入设备之间建立特定的联系, 实现分组连接。

SSID (Service Set ID) 的设置方式是分别给无线上网接入设备和网卡设定一个相同的标识号ID, 明确指定每一台计算机的网卡固定连接哪一台无线设备, 只有具有相同SSID的计算机和无线设备才能建立连接, 否则该无线上网接入设备将拒绝与不同SSID的计算机建立通信。这样就可以实现平均分组, 保证无线设备负载的相对平衡。另外, 值得注意的是, 如果将计算机的SSID设为“ANY”, 这一计算机将不受SSID的限制, 可以连接任一台无线上网接入设备, 为了避免这种情况发生, 保证网络的安全, 可以将无线上网接入设备设计为不具备设定ANY用户的功能[3]。

4、安全技术与策略

由于无线电波在空气中传播, 容易被非法拦截、接收或篡改, 所以无线局域网的安全性较有线局域网低。为提高无线局域网的安全性能, 通常采用以下几种技术和策略[4]:

a) WEP加密

WEP技术是一种对称加密技术, 通过设置一对相同的密钥, 长40位, 分别分配给客户端和无线上网接入设备如无线AP或无线路由器等, 以此来防止非授权用户的监听和非法访问。但由于同一个服务区内的所有客户端共享使用同一个密钥, 只要其中任意一个用户丢失了密钥都将导致网络的不安全, 且密钥需要手动设置, 不会自动变更, 40位也易被破解, 因此802.11i标准提供了WEP2技术, 采用128位密钥, 安全性得到了提高。

b) MAC地址过滤

每一台计算机都具有唯一的物理地址 (MAC) , 相应地其无线网卡也使用MAC地址唯一标识。通过在无线上网接入设备中手工设置一组允许访问的MAC地址列表, 实现MAC地址过滤, 如果非授权客户端的MAC地址不在该列表内, 则不允许其访问。但由于需要手动设置, 不适用于用户经常变化的场所, 较适合小型网络。

c) 防火墙

防火墙技术普遍应用于有线网络中, 它的作用主要在于防病毒和包过滤。同样, 无线局域网中也可以使用防火墙提高安全性。在无线局域网中, 病毒的传播范围较小, 但网络易被攻击、信息易被盗取, 所以这里主要讨论包过滤功能。无线局域网可以使用包过滤阻止某些特定端口的所有往来数据包。例如:如果不需要提供FTP服务, 可以限制数据包从端口21进出。此外, 包过滤还可以防止DoS、DDoS等攻击。

d) 虚拟专用网络VPN

虚拟专用网络 (Virtual Private Network, VPN) 是指在一个公共IP网络平台上建立专用网络, 通过隧道技术、加密技术、密钥管理技术以及身份认证技术等确保网络的安全性。将一个无线局域网划分为多个VPN, 也有助于独立地解决单个VPN的安全问题。

e) 禁止SSID广播

虽然SSID的主要目的是解决网络负载的不平衡, 但不可否认, 它同时也提供了一个简单的安全保障。但是, 如果SSID向外部广播, 容易被非法用户获得, 这将降低网络的安全性, 所以在设置无线上网接入设备时, 应该静止SSID广播, 同时也要避免ANY用户的访问。

f) 端口访问控制

端口访问控制技术通过802.1x的认证实现。客户端需要安装802.1x客户端软件, 无线上网接入设备则要内嵌802.1x认证代理, 它将客户端的认证信息转发给距离认证服务器, 如果认证通过, 则无线上网接入设备打开逻辑端口, 允许客户端访问网络。

总的来说, 无线局域网有有线局域网没有的优势, 它可移动性强、易于安装和扩展, 且节省了网络布线成本, 但也有传输速率低、稳定性差、安全性低等缺点。为了更好的使用无线局域网, 应该对组建好的网络进行适当管理配置, 处理好一些关键问题和技术, 如协议、频道、SSID和安全等的设计与管理。

参考文献

[1][2]段水福, 历晓华, 段炼.无线局域网 (WLAN) 设计与实现[M].杭州:浙江大学出版社, 2007.

[3]石井弘毅.局域网[M].北京:科学出版社, 2004.90-104.

无线局域网及其安全技术 第8篇

关键词：无线局域网,安全,蓝牙

1. 引言

无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物,它使用无线信道来接入网络,为通信的移动化、个人化和多媒体应用提供了潜在的手段,并成为宽带无线接入的有效途径之一。但是无线网络的数据传输是利用微波在空气中辐射传播,因此只要在AP覆盖的范围里,所有无线终端都可以接收到无线信号,因此WLAN的安全问题就显得尤为突出目。

2. 无线局域网的内涵

2.1 无线局域网的含义

无线局域网(WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。

2.2 无线局域网的特点

WLAN的主要特点是具有可移动性,不受布线接点位置的限制;数据传输速率高,大于1mbps;抗干扰性强,能实现很低的误码率;安装便捷,一般只需安装一个或多个接入点(AP)就可以建立局域网;保密性较强,可使用户进行有效的数据提取,又不至于泄密;高可靠性,数据传输几乎没有丢包现象产生;兼容性好,采用载波侦听多路访问/冲突避免介质访问协议,用户已有的网络软件可以不做任何修改就可以在无线网上运行;经济节约,由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,往往导致预设大量利用率较低的信息点,而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而WLAN可以避免或减少以上情况的发生;易于扩展,无线局域网有多种配置方式,能够根据需要灵活选择。由于无线局域网具有多方面的优点,所以得到了广泛的应用。

2.3 无线局域网的应用范围

(1)电子邮件、文件传输和终端仿真。(2)老建筑、布线困难或昂贵的露天区域、城市建筑群、校园、工厂等。(3)频繁更换工作地点或改变位置的零售商、生产商,以及野外勘测、试验、军事、公安和银行等。(4)在林区进行火灾、病虫害等信息的传输;公安交通管理部门进行交通管理等。(5)学校、商业展览、建设地点等人员流动较强的地方;零售商、空运和航运公司高峰时间所需的额外工作站等。(6)办公室和家庭办公室(S0H0)用户,以及需要方便快捷地安装小型网络的用户。

3. 无线局域网的关键技术

目前,实现无线局域网的关键技术主要有四种:蓝牙无线接入技术、家庭网络的Home RF、自适应技术以及智能天线技术。

3.1 蓝牙技术

Bluetooth(蓝牙)是一种短距的无线通讯技术,电子装置彼此可以透过蓝牙而连接起来,传统的电线在这里就毫无用武之地了。透过芯片上的无线接收器,配有蓝牙技术的电子产品能够在10m的距离内彼此相通,传输速度可以达到10m/s。以往红外线接口的传输技术需要电子装置在视线之内的距离,而现在有了蓝牙技术,这样的麻烦也可以免除了。

3.2 Home RF技术

Home RF技术是由Home RF工作组开发的,是在家庭区域范围内的任何地方,在PC机和用户电子设备之间实现无线数字通信的开放性工业标准。作为无线技术方案,它代替了需要铺设昂贵传输线的有线家庭网络,为网络中的设备,如笔记本电脑和Internet应用提供了漫游功能。Home RF工作频段是2.4GHz,支持数据和音频。该协议的网络是对等网,也就是说,网上的每一个节点都是相对独立的,不受中央节点的控制。

3.3 自适应技术

自适应传输的基本思想是改变发射功率的水平、每个子信道的符号传输速率、正交幅度调制QAM星座大小、编码等参数或这些参数的组合以维持恒定的误码率(BER)。自适应技术在不牺牲误码率的情况下,在传输质量高的子信道采用高速传输,在质量不好的子信道以降低传输速率等方式来提高频谱利用率。自适应传输技术大大减少了对均衡、交织的依赖,提升了WLAN系统的性能。

3.4 智能天线技术

智能天线原名自适应天线阵列(AAA,Adaptive Antenna Array)。智能天线技术基本原理:智能天线由多个天线单元组成,每一个天线后接一个复数加权器,最后用相加器进行合并输出。这种结构的智能天线只能完成空域处理,同时具有空域、时域处理能力的智能天线在结构上相对复杂些,每个天线后接的是一个延时抽头加权网络。WLAN引入智能天线技术,可以提高信号的可靠性,保证信号的传输速率;同时也可以充分利用无线资源的空间可分性、利用率,扩大无线信号的传输范围,提高系统的容量。

4. 无线局域网的安全技术

由于无线局域网的数据经无线媒体发往空中,要求其有较高的通信保密能力。无线局域网可在不同层次采取必要的措施来保证通信的安全性。

4.1 TKIP-临时密钥完整性协议

TKIP是包裹在已有WEP密码外围的一层“外壳”,TKIP由WEP使用的同样的加密引擎和RC4算法组成。不过,TKIP的一个重要特性,是它改变每个数据包所使用的密钥。密钥通过将多种因素混合在一起生成,包括基本密钥(即TKIP中所谓的成对瞬时密钥)、发射站的MAC地址以及数据包的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度,但仍具有足够的密码强度,使它不能被轻易破译。但TKIP没有脱离WEP的核心机制,这是其固有缺陷。TKIP只能作为一种临时的过渡方案,而不是最终方案。

4.2 MAC地址过滤

每一块无线网卡拥有唯一的MAC地址(物理地址),由厂方出厂前设定,无法更改。MAC地址过滤,就是通过对AP的设定,将指定的无线网卡的MAC地址(物理地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。在搭建小型无线局域网时,使用该方法最为简单、快捷,网络管理员只需要通过简单的配置就可以完成访问权限的设置,十分经济有效。但对于大中型的无线局域网来说,这种方式比较麻烦,而且不能支持大量的移动客户端。

4.3 用户隔离

由于无线局域网接入设备AP的本质是无线的集线器,所以对广播报文是不做任何限制的。因此在同一个AP下接入的各个用户,可以在网络邻居中互相访问,这样就埋藏着很大的安全隐患。用户隔离功能类似于有线网络的VLAN(虚拟局域网),将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。这样就大大增加了用户在公共区域使用无线局域网的安全性。

4.4 端口访问控制

该技术也适用于无线局域网的一种增强性网络安全解决方案。当无线工作站PC与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为PC打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。

当然,无线局域网也有很多不足,除了适当使用上述安全技术手段,还必须加强无线局域网的安全管理,定期进行站点审查、网络检测,尽可能隔离无线网络和核心网络。

参考文献

[1]董/春庆,刘志威.无线局域网技术及其应用[J].2001,10:22.

[2]郭立军,张晓峰.思科网络技术学院教程-无线局域网基础[M].北京:人民邮电出版社,2005.

[3]刘堑.无线网络安全防护[M].北京:机械工业出版社,2003.

[4]刘元安.无线局域网-原理,技术与应用[M].西安:西安电子科技大学出版社,2004.