基于中小型企业无线局域网的应用设计

贵州民族学院毕业论文基于中小型企业无线局域网的应用设计李苗苗摘要：本文介绍了如何简单组建WLAN无线网络,无线局域网的基本组成构架和优缺点，组建WLAN无线网络所需的软硬件和无线局域网在实际中的发展和应用, 叙述它组建WLAN无线网络所必须的相关知识和要点。简述无线网络的安全问题和解决方案。本文讲述了在根据要求和规划选择组网方案。最后设计一个具体的例子说明了组建WLAN无线网络的具体步骤。浅析组建WLAN无线网络所需的硬件和方案。 关键字： 无线局域网 IEEE802.11n 安全管理Based on smes wireless LAN application designlimiaomiaoAbstract: This article describes how to set up a simple WLAN wireless network, wireless local area network architecture and the advantages and disadvantages of the basic composition, formation of WLAN hardware and software required for wireless networks and wireless local area network in the development and practical application, described it necessary to set up WLAN wireless network related knowledge and key points. Description of wireless network security problems and solutions. This paper describes the requirements and planning options under the network program. Final design of a concrete example of a WLAN wireless network set up the concrete steps. On the formation of WLAN hardware required for wireless networks and programs.Key words：Wireless LAN IEEE802.11n safety management目录第1章 综 述1第2章 无线局域网的整体介绍22.1无线局域网及基本组成构架22.1.1 无线局域网（Wireless LAN, WLAN）22.1.2 无线局域网的基本组成构架22.2 无线局域网的的基本设备简介32.2.1 无线路由器32.2.2 AP控制器42.2.3 无线AP42.2.4 无线网卡5第3章 WLAN协议ieee802.11（b，g，n）协议介绍6第4章无线局域网网络84.1无线网络的带宽与出口带宽84.1.1无线网络的带宽84.1.2 出口带宽84.2 无线网络管理控制介绍84.3无线网络的安全保障94.3.1.无线局域网安全问题94.3.2 无线局域网存在的几种安全问题94.3.3 安全问题的解决方案9第5章 无线局域网设计方案105.1设计要求105.2设计理念105.3设计方案105.4无线局域网的设计原则要求135.5网络安全管理135.5.1.集中的安全管理135.5.2多种用户认证方式和用户状态防火墙145.5.3安全的AP技术及其侦测和保护145.5.4无线接入的病毒防护145.6 无线局域网的网络管理145.6.1 统一管理145.6.2 RF智能控制管理155.6.3 采用多个SSID结构155.6.4 实现网络负载均衡调控15第6章 无线局域网络性能评价156.1 无线局域网网速测评156.2 无线局域网安全测试186.3 无线局域网管理测试20结束语21致谢21参考文献2223 第1章 综 述在这个“网络就是计算机”的时代, 伴随着有线网络的广泛应用. 以快捷高效、组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆构成有线局域网。但有线网络在某些场合要受到布线的限制、布线、改线工程量大、线路容易损坏、网中的各节点不可移动、特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难铺度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是为了解决有线网络以上问题而出现的说到无线网络的历史起源 可能比各位想像的还要早，无线网络的初步应用可以追溯到五十年前的第二次世界大战期间 当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术，这项技术让许多学者得到了灵感。在 1971 年时，夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络 这被称作 “ALOHNET” 的网络,可以算是相当早期的无线局域网络（WLAN）。最早的 WLAN 包括了7 台计算机。它们采用双向星型拓扑，横跨四座夏威夷的岛屿。中心计算机放置在瓦胡岛上。从这时开始无线网络可说是正式诞生了，虽然目前几乎所有的局域网络 LAN都仍旧是有线的架构，不过近年来无线网络的应用却日渐增加，主要应用在学术界 ：如大学校园、医疗界、制造业和仓储业等。而且相关的技术也一直在进步，对企业而言要转换到无线网络也更加容易，更加便宜了。 无线局域网(WirelessLAN / WLAN) 是指用户以电脑透过区域空间的无线网路卡结合存取桥接器进行区域无线网路连接 再加上一组无线上网拨接帐号即可上网进行网路资源的利用 简单地说 无线局域网与一般传统的乙太网路的概念并没有多大的差异 只是 无线局域网将用户端接取网路的线路传输部分转变成无线传输的形式 但是却具备有线网路缺乏的行动性 然而之所以称其是局域网 则是因为会受到桥接器与电脑之间距离的远近限制而影响传输范围 所以必须要在区域范围之内才可以连上网路。它以无线多址信道作为传输媒介 利用电磁波完成数据交互 实现传统有线局域网的功能 无线局域网具有以下特点：(1) 安装便捷无线局域网免去了大量的布线工作，只需要安装一个或多个无线访问点就可覆盖整个建筑的局域网络，而且便于管理、维护。(2)高移动性在无线局域网中各节点可随意移动，不受地理位置的限制。目前 室内AP 可覆盖 10 100m 在无线信号覆盖的范围内，均可以接入网络。而且 WLAN 能够在不同运营商不同国家的网络间漫游。(3)易扩展性无线局域网有多种配置方式。每个 AP 可支持多个用户的接入，只需在现有无线局域网基础上增加AP 就可以将小型网络扩展为大型网络无线局域网技术。第2章 无线局域网的整体介绍2.1无线局域网及基本组成构架 2.1.1 无线局域网（Wireless LAN, WLAN）计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。 WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到11Mbps,传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。 无线局域网（WLAN）与有线局域网通过铜线或光纤等导体传输不同的是，无线局域网使用电磁频谱来传递信息。它是计算机网络与无线通信技术相结合的产物。无线网络用于一些布线困难、上网设备经常移动的环境，及搭建临时性的网络。无线网络因其自身的优越特性被作为有线网络的补充技术被广泛的应用。2.1.2 无线局域网的基本组成构架（1）无线局域网的组成无线网络的硬件设备主要包括4种：即无线网卡、无线接入节点（下称无线AP）、无线路由器。当然，并不是所有的无线网络都需要这4种设备。事实上，只需几块无线网卡，就可以组建一个小型的对等式无线网络。当需要扩大网络规模时，或者需要将无线网络与传统的局域网连接在一起时，才需要使用无线AP。只有实现Internet接入时，才需要无线路由器。而无线天线主要用于放大信号，以接收更远距离的无线信号，从而扩大无线网络的覆盖范围。医院的无线局域网，通常选择无线接入点。当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径。另外，也可使网络中容纳更多的网络设备，通常情况下，一个无线AP最多可以支持多达80台无线网络设备同时接入，推荐数量为30台。 无线局域网由无线网卡、无线接入点（AP）、计算机和有关设备组成，常见的组成方式有3种：点对点型、点对多点型、和混合型。 点对点型常用于固定的要联网的两个位置之间，是无线联网的常用方式，使用这种联网方式建成的网络，优点是传输距离远，传输速率高，受外界环境影响较小。 点对多点型常用于有一个中心点，多个远端点的情况下。其最大优点是组建网络成本低、维护简单；其次，由于中心使用了全向天线，设备调试相对容易。该种网络的缺点也是因为使用了全向天线，波束的全向扩散使得功率大大衰减，网络传输速率低，对于较远距离的远端点，网络的可靠性不能得到保证。混合型用于所建网络中有远距离的点、近距离的点，还有建筑物或山脉阻挡的点。在组建这种网络时，综合使用上述几种类型的网络方式，对于远距离的点使用点对点方式，近距离的多个点采用点对多点方式，有阻挡的点采用中继方式。（2）无线局域网的拓扑结构 WLAN有2种主要的拓扑结构，即自组织网络（对等网络，即人们常称的AdHoc网络）和基础结构网络（infrastructure network）。自组织型WLAN是一种对等模型的网络，它的建立是为了满足暂时需求的服务。自组织网络由一组有无线接口卡的无线终端，特别是移动电脑组成。这些无线终端以相同的工作组名、扩展服务集标识号（ESSID）和密码以对等的方式相互直连，在WLAN的覆盖范围之内，进行点对点或点对多点之间的通信。基础结构型WLAN利用了高速的有线或无线骨干传输网络。在这种拓扑结构中，移动节点在基站（BS）的协调下接入到无线信道。2.2 无线局域网的的基本设备简介2.2.1 无线路由器无线路由器是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable，动态xdsl，PPTP四种接入方式，它还具有其它一 些网络管理的功能，如dhcp服务、nat防火墙、mac地址过滤等等功能 无线路由器（Wireless Router）好比将单纯性无线AP和宽带路由器合二为一的扩展型产品，它不仅具备单纯性无线AP所有功能如支持DHCP客户端、支持VPN、防火墙、支持WEP加密等等，而且还包括了网络地址转换（NAT）功能，可支持局域网用户的网络连接共享。可实现家庭无线网络中的Internet连接共享，实现ADSL和小区宽带的无线共享接入。 无线路由器可以与所有以太网接的ADSL MODEM或CABLE MODE直接相连，也可以在使用时通过交换机/集线器、宽带路由器等局域网方式再接入。其内置有简单的虚拟拨号软件，可以存储用户名和密码拨号上网，可以实现为拨号接入Internet的ADSL、CM等提供自动拨号功能，而无需手动拨号或占用一台电脑做服务器使用。此外， 无线路由器一般还具备相对更完善的安全防护功能。无线路由器是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable，动态xdsl，PPTP四种接入方式，它还具有其它一 些网络管理的功能，如dhcp服务、nat防火墙、mac地址过滤等等功能 无线路由器（Wireless Router）好比将单纯性无线AP和宽带路由器合二为一的扩展型产品，它不仅具备单纯性无线AP所有功能如支持DHCP客户端、支持VPN、防火墙、支持WEP加密等等，而且还包括了网络地址转换（NAT）功能，可支持局域网用户的网络连接共享。可实现家庭无线网络中的Internet连接共享，实现ADSL和小区宽带的无线共享接入。 无线路由器可以与所有以太网接的ADSL MODEM或CABLE MODE直接相连，也可以在使用时通过交换机/集线器、宽带路由器等局域网方式再接入。其内置有简单的虚拟拨号软件，可以存储用户名和密码拨号上网，可以实现为拨号接入Internet的ADSL、CM等提供自动拨号功能，而无需手动拨号或占用一台电脑做服务器使用。此外， 无线路由器一般还具备相对更完善的安全防护功能。2.2.2 AP控制器接入控制器（AC）在WLAN与Internet之间起到网关功能，将来自不同接入点的数据进行汇聚、接入Internet。AC比AP更高级，在无线网络中担任管理者的角色，AC还要充当客户端完成有线网络中的一系列功能（例如鉴权，认证等等）。但是AC并不是一种在802.11协议族中规定的WLAN设备，而是作为具体应用中对协议的补充， 因此在只使用少量AP的小规模无线网络中，采用昂贵的AC设备是很不经济的。2.2.3 无线AP无线AP是“无线访问点”或“无线接入点”，它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。无线AP的覆盖范围是一个向外扩散的圆形区域，AP相当于一个无线集线器（HUB），接在有线交换机或路由器上，为它连接的无线网卡从由器那里分得IP。无线AP不仅包含单纯性无线接入点（无线AP），也同样是无线路由器（含无线网关、无线网桥）等类设备的统称。 各种文章或厂家在面对无线AP时的称呼目前比较混乱，但随着无线路由器的普及，目前的情况下如没有特别的说明，我们一般还是只将所称呼的无线AP理解为单纯性无线AP，以示和无线路由器加以区分。它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。单纯性无线AP亦可对装有无线网卡的电脑做必要的控制和管理。单纯性无线AP即可以通过10-1000BASE-T（WAN）端口与内置路由功能的ADSL MODEM或CABLE MODEM（CM）直接相连，也可以在使用时通过交换机/集线器、宽带路由器再接入有线网络。作为无线网络中重要的环节无线接入点、无线网关也就是无线AP（Access Point），它的作用其实就类似于我们常用的有线网络中的集线器。在那些需要大量AP来进行大面积覆盖的公司使用得比较多，所有AP通过以太网连接起来并连到独立的无线局域网防火墙。但同时由于其一般专用无线AP都不带额外的局域网接口，使其应用范围较窄。2.2.4 无线网卡无线网卡是终端无线网络的设备，是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置，但是有了无线网卡也还需要一个可以连接的无线网络，如果你在家里或者所在地有无线路由器或者无线AP的覆盖，就可以通过无线网卡以无线的方式连接无线网络可上网。无线网卡的工作原理是微波射频技术，笔记本目前有WIFI、GPRS、CDMA等几种无线数据传输模式来上网，后两者由中国移动和中国联通来实现，前者电信或网通有所参与，但不多主要是自己拥有接入互联网的WIFI基站（其实就是WIFI路由器等）和笔记本用的WIFI网卡。要说基本概念是差不多的，通过无线形式进行数据传输。无线上网遵循802.1q标准，通过无线传输，有无线接入点发出信号，用无线网卡接受和发送数据。按照IEEE802.11协议，无线局域网卡分为媒体访问控制（MAC）层和物理层（PHY Layer）在两者之间，还定义了一个媒体访问控制-物理（MAC-PHY）子层（Sublayers）。MAC层提供主机与物理层之间的接口，并管理外部存储器，它与无线网卡硬件的NIC单元相对应。 物理层具体实现无线电信号的接收与发射，它与无线网卡硬件中的扩频通信机相对应。物理层提供空闲信道估计CCA信息给MAC层，以便决定是否可以发送信号，通过MAC层的控制来实现无线网络的CCSMA/CA协议，而MAC-PHY子层主要实现数据的打包与拆包，把必要的控制信息放在数据包的前面。IEEE802.11协议指出，物理层必须有至少一种提供空闲信道估计CCA信号的方法。无线网卡的工作原理如下：当物理层接收到信号并确认无错后提交给MAC-PHY子层，经过拆包后把数据上交MAC层，然后判断是否是发给本网卡的数据，若是，则上交，否则，丢弃。如果物理层接收到的发给本网卡的信号有错，则需要通知发送端重发此包信息。当网卡有数据需要发送时，首先要判断信道是否空闲。若空，随机退避一段时间后发送，否则，暂不发送。由于网卡为时分双工工作，所以，发送时不能接收，接收时不能发。无线网卡标准： 1.IEEE 802.11a ：使用5GHz频段，传输速度54Mbps，与802.11b不兼容；2.IEEE 802.11b ：使用2.4GHz频段，传输速度11Mbps；3.IEEE 802.11g ：使用2.4GHz频段，传输速度54Mbps，可向下兼容802.11b；4.IEEE 802.11n(Draft 2.0) ：用于Intel新的迅驰2笔记本和高端路由上，可向下兼容,传输速度300Mbps。接口类型： 1.台式机专用的PCI接口无线网卡。 2.笔记本电脑专用的PCMCIA接口无线网卡。3.USB接口无线网卡。4.笔记本电脑内置的MINI-PCI无线网卡。无线网卡的端口:还分为E型、T型、PC型、L型和USB等接口。第3章 WLAN协议ieee802.11（b，g，n）协议介绍无线局域网协议众多，最初IEEE802.11标准于1997年6月公布，是第一代无线局域网标准。目前的主流标准是IEEE802.11g工作在2.4 GHz频段，IEEE802.11 IEEE802.11是第一代无线局域网标准之一，速率最高只能达到2Mbit/s。该标准定义了物理层和媒体访问控(MAC)协议的规范，允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备。由于在无线网络中冲突检测较困难，媒体访问控制(MAC)层采用避免冲突(CA)协议，而不是冲突检测（CD），但也只能减少冲突。802.11物理层的无线媒体(WM )决定了它与现有的有线局域网的MAC不同，它具有独特的媒体访问控制机制，以CSMA/CA的方式共享无线媒体。802.11定义了两种类型的设备，一种是无线站，通常是通过一台PC机器加上一块无线网络接口卡构成的，另一个称为无线接入点(Access Point， AP)，它的作用是提供无线和有线网络之间的桥接。一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成，桥接软件符合802.1d桥接协议。接入点就像是无线网络的一个无线基站，将多个无线的接入站聚合到有线的网络上。无线的终端可以是802.11 PCMCIA卡、PCI接口、ISA接口的，或者是在非计算机终端上的嵌入式设备(例如802.11手机)。 1) IEEE802.11b IEEE802.11b第二代无线局域网络协议标准其带宽最高可达11 Mb/s，实际的工作速度在5 Mb/s左右。IEEE802.11b使用的是开放的2.4GHz频段，不需要申请。既可作为对有线网络的补充，也可独立组网，从而使网络用户摆脱网线的束缚，实现真正意义上的移动应用。 2)IEEE802.11g IEEE推出的完全兼容IEEE802.11b标准且与IEEE802.11a速率上兼容的IEEE802.11g标准。IEEE802.11g也工作在2.4GHz频段内，支持54Mbps的传输速率，并且与IEEE802.11完全兼容。这样通过IEEE802.11g原有的IEEE802.11b和IEEE802.11a两种标准的设备就可以在同一网络中使用。3) IEEE802.11n新一代无线局域网标准IEEE 802.11n的制定完成令人期待，但巨大的市场潜力促使无线局域网厂商纷纷提前推出了11n草案产品，由于所采用标准的不统一，致使11n产品间的互联互通问题层出不穷，针对这一情况，Wi-Fi联盟制定了Wi-Fi 11n（草案2.0）互操作测试方法，以确保11 n草案产品之间良好的互操作性，也为今后准标准化产品向802.11n最终版本的升级奠定了基础。大幅提升无线局域网竞争力。无线局域网标准、技术快速发展，产品逐渐成熟，无线局域网的应用也日益丰富。越来越多的家庭用户开始使用无线接入点组建方便快捷的家庭无线宽带网络；许多企业也纷纷在自己的办公大楼内布设无线局域网，为员工提供高效的无线宽带接入，据Forrester Research 2006年9月份的数据显示，已有超过60%的企业在公司内部署了无线局域网；同时，电信运营商对无线局域网也给予了极大关注，国内外各大运营商都积极在机场、酒店、咖啡厅等公共区域铺设公众无线局域网，为广大电信用户提供无线宽带接入服务。由于无线局域网在一定程度上还存在着数据传输速率不够高、信号受周围环境影响大、覆盖范围小、漫游不方便等弊端，而阻碍了它在更大范围内的普及。针对以上问题，IEEE提出了新一代的无线局域网标准802.11n。802.11n与以往的802.11 a/b/g等标准相比，性能有了很大幅度的提高，网络传输速度最高可达600 Mbit/s，这让无线局域网一跃进入了高速网络的行列；智能天线技术也使无线局域网的覆盖范围延伸至几平方公里；更重要的是，802.11n使无线局域网获得了更大的环境适应能力。Wi-Fi 11n认证测试展望Wi-Fi联盟在积极进行授权测试实验室的802.11n互操作测试资格的评审工作，计划在2007年6月25日正式启动802.11n草案产品的互操作认证，届时，所有通过评审的Wi-Fi联盟授权认证实验室将开始接受802.11n认证申请，对草案产品进行认证测试。由于802.11n测试方法已涵盖了802.11a/b/g和WMM测试，因此，通过802.11n认证测试的产品将同时获得Wi-Fi 802.11a/b/g和WMM的证书。由于目前的 Wi-Fi 802.11n认证测试方法是依据802.11n草案2.0版本制定的，为确保与后续的802.11n正式标准一致，在802.11n标准最终出台后，测试方法也将进行版本升级，同时，Wi-Fi联盟将对所有通过认证的草案设备进行一次升级认证，促使草案产品符合正式标准的要求，以期为所有获得Wi-Fi认证的准标准化产品和全面标准化产品之间的兼容性提供保障。凭借Wi-Fi联盟在WLAN测试标准制定与产品认证方面的丰富经验与强大的号召力，Wi-Fi 802.11n互操作认证必将提升准标准化的802.11n产品之间的互操作性，也为今后草案产品向802.11n最终版本的升级奠定了基础，将极大地推动802.11n产品的普及与应用，促进整个WLAN行业的健康有序发展第4章无线局域网网络4.1无线网络的带宽与出口带宽 4.1.1无线网络的带宽带宽是一个非常重要的指标，在通讯和网络领域，带宽的含义指的是网络信号可使用的最高频率与最低频率之差、或者说是“频带的宽度”，也就是所谓的“Bandwidth”、“信道带宽”这也是最严谨的技术定义。网络带宽与数据传输能力的正比关系最早是由贝尔实验室的工程师Claude Shannon所发现。普遍也将网络的数据传输能力与“网络带宽”完全等同起来，所以现在普遍说的“带宽”是网速。网络的信道带宽与它的数据传输能力（单位Byte/s）存在一个稳定的基本关系。我们也可以用高速公路来作比喻：在高速路上，它所能承受的最大交通流量就相当于网络的数据运输能力，而这条高速路允许形成的宽度就相当于网络的带宽。无线网络的带宽是指接收端和发射端的带宽。4.1.2 出口带宽出口带宽是宽带负载能力，用M，G为单位。出口带宽是指一定数量的用户汇聚在某个节点之上，这个节点与上层路由或者交换设备连接的带宽。4.2 无线网络管理控制介绍 大概范围：配置管理、故障管理、性能管理、安全管理 设备布局和信号管理，设备安装和配置 ，流量监控和分析，故障检修，构造正确的无线网络，渗入测试/漏洞评估，使用额外的身份验证，使用无线网络管理工具。4.3无线网络的安全保障4.3.1.无线局域网安全问题 由于无线网络的自身特性，决定了其除了具有有线网络的不安全因素外，还容易遭受窃听和干扰、冒充、欺骗等形式的攻击。安全性已经成为一个迫切需要解决的问题。 4.3.2 无线局域网存在的几种安全问题 几种常见的无线局域网安全问题： 1、容易侵入。2、非法的AP。3、经授权使用服务。4、服务和性能的限制。5、地址欺骗和会话拦截。6、流量分析与流量侦听。 4.3.3 安全问题的解决方案 采取隔离无线网络和核心网络，加强网络访问控制，定期进行的站点审查，网络检测，同重要网络隔离，采用可靠的协议进行加密。通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。像其他许多网络一样，无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。加强安全认证最好的防御方法就是阻止未被认证的用户进入网络，由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN技术能够有效地保护通过电波传输的网络流量。定位性能故障应当从监测和发现问题入手，很多AP可以通过SNMP报告统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型，帮助进行故障定位。如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。由于无线网络非常容易受到攻击，因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域，作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面，如防火墙的外面，接入访问核心网络采用VPN方式。第5章 无线局域网设计方案5.1设计要求根据贵阳西南工具厂的无线局域网建设要求，企业采用的无线局域网在网络安全上，网络管理上，传输速率上达到与有无线局域网相当正常运行的目的。1. 企业在组建无线网络时， 不要全部放弃有线网络。而是仍然以有线网络为主，无线局域网为辅助，充分利用有线网络与无线网络的优点，达到扬长避短的目的。2.无线局域网传输的稳定性、网络传输的速度、网络安全性达到较高的要求。3. 在对既有无线网络又有有线网络的企业，为了安全与管理方便， 采取多网段IP地址管理策略。4. 采用WAP2加密。通过加密，可以最大限度的保护数据在传输过程中的安全性。5.满足600台终端机入网需求。 5.2设计理念传统的无线网络解决方案的每一个AP都是一个独立的工作体，AP之间各自为战，互不相干；无线适配器则安装在用户的不同的终端里面，对于大型局域网会造成资源浪费和管理缺陷。且存在着设备单一、缺乏集中管理手段等的前天不足，因而随着无线网络应用的不断发展和深入，已经暴露出越来越多的不足。缺乏智能的RF管理策略， AP集中统一管理。支持漫游。采用有效的接入和安全控制策略。5.3设计方案采用接入无线交换机和Fit AP的方式进行局域网设计。包括有：无线网络控制器、瘦无线接入点（Fit AP）、管理服务器。所有这些设备联合在一起，在有线局域网络的基础上以瘦AP 为边界，无线控制器为核心的无线网络。该网络具有支持统一管理，且能够使移动和安全融为一体等先进特性。此方案优点：灵活的组网方式和优秀的扩展性，智能的RF管理功能，自动部署和故障恢复，集中的网络管理，强大的漫游功能支持。完善负载均衡。无线终端定位，快速定位故障点和入侵检测 ，具有强大的接入和安全策略控制。根据要求设计无线局域网。（图1）由网络接入无线交换机，此处接入AP控制器，再接核心交换机，再分由三个区域交换机，每个分布层交换机接入相应数量的接入交换机，（图2）最后接入多个单纯的无线AP（瘦AP）进行实地覆盖。实现的无线局域网要在同一时间能满足600台终端机移动连接。以考虑600台电脑都可以移动则采用多个AP频率规划实现对区域的全覆盖以及高带宽提供，用户可热点内在不同AP间实现无缝切换, 考虑到频段干扰问题，相邻AP不能选用同样的Channel,并且Channel号最差要相差5，也就是构成小区的任意三个相邻的AP的Channel设置为1、6、11 。选用支持802.11n的无线AP进行区域覆盖，带宽达到300M此区域可满足几十台移动电脑接入网络，用几个这样的无线路由器就可以满足要求。对于企业中远程之间采用WLAN网桥功能实现无线网络连接。实现网络统一。WLAN需要考虑很多因素：需要连接的建筑物必须要能保持明确的视线，因此，像高大的树木和建筑物等障碍物都会直接影响无线电波的传输。对于远距离区域用中继器进行链接传送。一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。每个AP覆盖能提供20台终端机接入，设置分配每台终端机的带宽为2M，并加以控制管理。那每个AP的出口带宽为40兆，由于接入交换机的设备共享带宽，那本方案的设计所需出口带宽为40M以上。600台终端机入网要求：用到两台无线交换机，两台核心交换机，分由三台分布层交换机，再用到九台POE接入交换机，无线AP用到30个左右。若需拓展网络则可以添加AP。本网络设计所需的硬件设备如下表格1-1列出：设备名称及规格设备数量MX-200R智能无线交换机2H3C U200-CA核心交换机2Catalyst 3550分布层交换机3LREtrans 4200 POE交换机9无线AP TP-LINK TL-WA801N301-1 1.网络总干图 2.多个AP示意图5.4无线局域网的设计原则要求无线局域网采用的技术支持国际标准，使用802.11n协议。采用无线交换机加瘦AP完成无线局域网的覆盖项目，完成对AP的集中管理。在网络安全方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，考虑以下问题：1） 接入认证：具有支持多种用户认证方式；2）采用具有用户状态访问控制的防火墙技术；3）具有数据在无线信道上传输的VPN机制；4）具有无线网的防病毒机制；5）具有无线电波控制能力，能提供无线入侵侦测和无线终端位置的追踪功能。通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理采用WLLAN交换技术，充分利用现有网络结构与资源，不单独AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。采用集中控管的组网方式，集中控制管理所有的AP。AP的供电可以不单独拉线，采用POE供电的方式。采用先进的WLAN网管系统管理局域网。该无线局域网系统要能方便和灵活地调整与扩充。5.5网络安全管理5.5.1.集中的安全管理将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。5.5.2多种用户认证方式和用户状态防火墙一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。采用支持各种用户认证的方式（802.1、WEB认证、MAC、SSID、VPN等），园区网内的用户可以根据需要方便选择。用户状态防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略。5.5.3安全的AP技术及其侦测和保护无线接入的认证和加密在无线交换机上实现，而瘦AP是不储存任何网络配置（IP地址除外）和安全设置。因此管理的AP是不能单独工作的，因此获得和接入进AP，黑客也不会拿到无线网的网络和安全配置参数。采用的RF侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。5.5.4无线接入的病毒防护无线终端的病毒防护分为两个层面：一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 5.6 无线局域网的网络管理5.6.1 统一管理传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。通过无线交换机管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。5.6.2 RF智能控制管理采用RF智能系统控制管理可以自动调节网上所有 AP的电波特性，自动对网上所有 AP的无线电波管理。无线交换机可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。5.6.3 采用多个SSID结构系统的多SSID结构和和实现技术使得各种多媒体应用服务（数据、语音和视频）在Qos上表现非常出色。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。5.6.4 实现网络负载均衡调控设计系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。设计无线系统可应用层面通过47层交换模块可以实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。第6章 无线局域网络性能评价6.1 无线局域网网速测评网络速度慢最直接的原因就是带宽不足或者线路有问题，我们可以通过CHARIOT测量网络中任意两台计算机之间的连通带宽，并且该软件还可以将测量结果以图形的形式表现出来，更方便我们比较和浏览。当然要想成功测量带宽吞吐量的前提是需要这两台计算机之间有路由指引数据包的传送方向。CHARIOT是应用层IP网络及网络设备的测试软件，可提供端到端，多操作系统，多协议测试，多应用模拟测试，其应用范围包括有线，无线，局域，广域网络及网络设备；可以进行网络故障定位，系统评估，网络优化等。从用户角度测试网络或网络参数（吞吐量，反应时间，延时，抖动，丢包等）。CHARIOT和一般的网管系统及一些在线监测系统有本质上的不同。网管系统及一些在线监测系统采取被动式监视，而CHARIOT采用主动式监视及测量；网管系统及一些在线监测系统提供定性的测量，而CHARIOT采取定量的测量。CHARIOT能够评估网络应用的性能和容量，对网络和设备进行压力测试。CHARIOT作为压力、故障定位、评估设备及网络应用层性能的测试软件，是维护 健康、快速、可靠网络和研发生产高性能网络设备所需的可靠工具。CHARIOT同时也可以作为网络设备和网络本身的一个在线测试工具，提供主动式网络在线性能分析及监视。通过CHARIOT测量网络中任意两台计算机之间的连通带宽，并且该软件还可以将测量结果以图形的形式表现出来，更方便我们比较和浏览。当然要想成功测量带宽吞吐量的前提是需要这两台计算机之间有路由指引数据包的传送方向。采用CHARIOT测量网络中A计算机10.91.30.45与B计算机10.91.30.42之间的实际带宽。第一步:首先在AB计算机上运行CHARIOT的客户端软件ENDPOINT。双击endpoint.exe出现(图6-1)所示，确定后你会发现任务管理器中多了一个名为endpoint的进程。图6-1第二步:被测量的机器已经就绪了，这时候就需要运行控制端CHARIOT了，我们可以选择网络中的其他计算机也可以在A或B计算机上直接运行CHARIOT。 如图6-2 第三步:主界面中点NEW按钮，弹出的界面中点上方一排按钮的ADD PAIR。第四步:在ADD AN ENDPOINT PAIR窗口中输入PAIR名称，然后在ENDPOINT1处输入A计算机的IP地址10.91.30.45,在ENDPOINT2处输入B计算机的IP地址10.91.30.42。按select script按钮并选择一个脚本，由于我们是测量带宽所以选择软件内置的Throughput.scr脚本。(如图6-3)图6-3 CHARIOT可以测量包括TCP，UDP，SPX在内的多种网络传输层协议，我们在测量带宽时选择默认的TCP即可。第五步:确定后我们点主菜单的RUN启动测量工作，当然直接点上面一排里的RUN按钮也是可以的。第六步:之后软件会测试100个数据包从A计算机发送到B计算机。由于软件默认的传输数据包很小所以很快测量工作就结束了。在结果中我们点THROUGHPUT标签可以查看具体测量的带宽大小。如图6-46-4结果显示由于损耗，往往真实带宽达不到100Mbps，所以测量得到的81Mbps基本可以说明A、B计算机之间的最大带宽为100Mbps，去除损耗可以达到80多Mbps的传输速率。6.2 无线局域网安全测试端站STA是无线局域网中的数字链路终端设备，可以通过不用接口接入或嵌入到数字终端设备中，如PC、PDA或手持式终端设备。无线接入点AP下行通过标准的空中接口协议于STA通信，而上行通过有线网络进行数据的分发，从而达到无线网络与有线网络的互通。接入控制器AC相当于无线局域网与传送网之间的网关，将来自不同AP的数据进行业务汇聚，反之将来自业务网的数据分发到不同AP，此外还负责用户的接入认证功能。服务器是实现认证、授权和计费功能的网络服务器。认证服务器保存用户的认证信息和相关属性，当接收到认证申请时，支持在数据库中对用户数据的查询。在认证完成后，授权服务器根据用户信息授权用户具有不同的属性。计费服务器完成用户计费信息的处理，并根据用户签约信息中的计费属性，实现预付费、后付费业务等。网络安全问题。无线网的安全问题始终是影响无线网络应用发展的最大问题。无线网的安全问题分为两大类，一是非法入侵，二是恶意攻击。但随着802.1x安全协议的推广，目前大多数实际困扰无线网络的安全问题是由于无线网络安装人员未进行安全设置，而非技术原因。因此，无线网络安全监测和报告是无线局域网测试不可或缺的测试项目之一。协议分析，捕包解码。无线网络故障中1520%源于网络的协议及应用层，网络维护中协议分析更是必不可少的手段之一。甚至一些无线网络连通性的故障原因也可以通过协议分析进行故障诊断。最后，作为一个完整的无线网络测试维护方法还应该提供专家分析系统，来分析中的故障原因、提出解决方案建议，以满足不同技术水平用户的需求。当前的802.11n无线产品均具备目前最新的无线安全加密方式和一些简单的防火墙功能，只要进行相应的设置，无线传输的数据安全基本上是可以保证的。NetStumbler是WINDOWS下面基于802.11的无线网络扫描工具，可自动识别出附近活动的无线设备的SSID、网络、MAC地址，以及信号强度。NetStumbler是一款专门用来寻找无线AP的工具，只要开启NetStumbler后便能自动显示附近探测到的无线AP，并且能够显示这些无线AP的SSID、MAC地址、频段、速度、是否加密等信息。值得一提的是，NetStumbler可以显示设置了隐藏SSID的无线AP，在软件界面中可以看到该AP的绿灯在不断闪烁。 在NetStumbler左边的树状结构中列出了各频段检测到的无线AP。由于NetStumbler进行了全面的扫描，所以附近的无线AP将一览无余。因为它是美国人开发的软件，所以它只能检测111之间的11个频段，而国内的无线频段分为13个频段，则1213频段的无线AP将无法搜寻到。有了NetStumbler，你可以检测到无线AP的IP地址、MAC地址、SSID以及生产厂商。还有一个参数不得不提，就是Type栏显示了该AP是否有WEP加密。对于允许加入的无WEP加密无线AP(一般是公共AP)，可以连接后通过它来上网了。要克服这一问题，将它作为安全测试指标。ApSniff是一款绿色软件，可以通过它来扫描附近的无线AP，支持14个频段，不过只能显示无线AP的MAC地址、SSID、频段和是否加密等参数，相对于NetStumbler来说功能较少，但小巧实用。AiroPeek是无线网络安全工具的强者，很多无线网络工具都使用AiroPeek的库文件，它具备Sniffer之类软件的网络数据包窃取和分析功能，就是对802.1协议进行解码，显示管理信息包、控制信息包和数据信息包。测试的结果来看不考虑802.11n无线网卡接口对传输能力方面的影响，802.11n在企业高并发复杂应用时可以提供比802.11g高34倍的传输能力，并且稳定性方面也有极大的增强。由此可见，在20人以内的小企业或单位分支部门，如果想要摆脱有线网络的束缚，802.11n将会是您理想的选择。当然，目前对802.11n无线网卡的选择还要慎重。从目前的情况来看，不同接口的802.11n无线网卡会对无线传输能力带来不同的影响。对企业来讲，网络设备最大并发连接数的多少与网络运行的稳定息息相关。6.3 无线局域网管理测试测试系统主要由热点地区的无线局域网接入网络和后台的服务系统组成，其中，接入网络主要由接入点AP和接入控制器AC构成，而后台服务系统完成认证、计费、应用服务和网管等功能。同时由于目前还存在基于七号信令网的SIM认证，因此系统中还包含鉴权服务器AS和用户数据库HLR/Auc。认证中心的主要设备是Radius服务器，用来存储用户的身份信息，并完成用户的认证和鉴权等功能。计费中心则主要完成用户的计费功能。应用服务器可为用户提供WWW，FTP等多种应用服务。网管中心则实现无线局域网的配置、安全、性能等多方面的管理，保障无线局域网的可靠运行。物理层的测试，在这里首先需完成的是各种信道、信号、噪声的测试，实际上是传输介质和信号传输载体的测试；其次是网络实际吞吐量的测试，以测试网络传输性能能否满足不同网络应用的需求；最后是射频源的精确定位测试，以解决无线网络中故障射频点及干扰源的定位问题。 除了网络基本传输性能之外，还应包括网络结构分析、网络接入控制管理、数据帧的组成结构分析、任一站点、AP的性能分析等这些测试结果，综合分析后，才有可能完成全面的网络整体性能测试。根据本网络进行非法AP接入测试，漫游测试，AP的异常测试，网络资源的分配限制测试等指标来反应管理性能的好坏。测试结果反应非法AP接入是无线交换机不给予认证回馈。用终端机在AP覆盖交界处进行移动上网，网络连接无影响，网络速度变化不大，漫游支持良好。对接入的AP进行信号切断，电磁波干扰后，无线交换机能及时发现并告知管理处。用终端机进行网络资源的无限占用，用户端会被限制其流量。结束语根据贵阳西南工具厂的无线局域网的无线局域网技术虽然在网络运行和测试达到了设计要求，建设中有极大的应用前景 ,但在实际使用中仍应注意以下几个方面的问题:一是无线局域网不可能完全取代有线局域网 ,只能作为有线网络的补充和完善,二者并不是技术竞争 ,而是技术互补;二是架构无线局域网应根据需要选型组建;三是在无线