企业无线网络的架设与安全技术.docx
- 文档编号:23544849
- 上传时间:2023-05-18
- 格式:DOCX
- 页数:20
- 大小:35.17KB
企业无线网络的架设与安全技术.docx
《企业无线网络的架设与安全技术.docx》由会员分享,可在线阅读,更多相关《企业无线网络的架设与安全技术.docx(20页珍藏版)》请在冰豆网上搜索。
企业无线网络的架设与安全技术
企业无线网络的架设与安全技术
摘要:
目前,随着无线网络的发展以及企业内部的发展需求,越来越多的企业选择进行内部无线网络建设。
企业内进行无线网络建设具有无线网络安装方便、不需要大规模布线、能快速重建、网络扩展相对简单、无线灵活性高等特点。
相比传统网络,无线网络的实用效应更加轻便。
无线网络如何架设和管理,包括场地、器材的选择,具有探讨价值,特别是其安全性得到前所未有的重视。
关键词:
无线网络、企业、网络架设、安全技术
随着信息技术的不断发展,人们对网络技术的要求也不断地提高,希望在任何时间、任何地点,都能够与任何人进行包括数据、语音、图像等任何内容进行通信,使无线用户对网络的使用实现移动和漫游。
无线网络,就是指用无线信道来代替传统有线传输介质所构成的网络,可实现无线设备可移动的网络,数据传输系统。
无线网络作为有线网络的有效补充,有效地解决了有线网络环境下不适合布线场所的上网问题,是利用无线网络技术实现无线网络应用的一种新技术。
因此,无线网络的构建和应用既可以实现计算机网络建设的目的,又可以
让无线设备自由地移动、便捷地部署,同时易于扩展和推广。
无线网络的最早应用是在第二次世界大战期间,当时美国采用相当高强度的加密技术,研发了一套把无线电信号作为数据传输方式的无线电传输技术,这项技术被当时的美军和盟军广泛使用。
1971年,第一个无线电通信网络由夏威夷大学的研究人员所建立,称为AlohaNet的网络。
它使用7台计算机,中心计算机放置在瓦胡岛,采用双向星型拓扑,横跨四座夏威夷的岛屿,构成了一个简单的无线局域网;至此,无线网络开始正式诞生,并开始了其蓬勃发展的历程[1]。
近年来,无线网络技术的日益成熟和笔记本电脑的不断普及,以及无线网络产品的价格不断走低,无线网络已在一些领域占据了主流的地位[2],并成为一种普及性很高的网络访问方式。
特别是无线网络建设速度快、运营成本低、灵活性高、扩展能力强,越来越多的企业、政府机构、事业单位等将无线网络作为有线网络的重要补充,特别是公司和科研机构对无线网络技术的使用更为热衷。
目前,企业有线网络已发挥着重要的作用。
作为服务综合一体化的企业网络,在学习、生活、工作和交流等方面极大的方便了广大职工。
1.无线网络概述
无线网络是指用无线信道来代替传统有线传输介质所构成的网络,可实现无线设备可移动的网络数据传输系统。
无线网络在有线网络的基础上发展起来的,是有线网络的一种有效的补充[3];两者形成一种很好的互补,给各公司提供一个稳定、高速、便利的企业网络环境。
1.1无线网络的优点
可移动性,是指无需线缆就可以接入网络的移动自由性,是无线网络的主要
优势。
其他优势还包括安装更迅捷、费用更低、网络可靠性更高以及能够快速支
持灾后重建等。
1.2无线网络的缺点
无线网络存在着一些不足,这些不足包括:
射频信号干扰、安全性、不同供应商产品的互操作性问题以及对健康的潜在危害等,这些都是无线网络技术的缺点。
1.2无线网络的传输介质
能常用于无线网络数据传输的主要有红外线(IR)和无线电波两种方式;在采用无线电波传输时,通常采用扩频(SpreadSpectrum)技术[4],把发射频谱限制在一定的带宽之内,发射功率被限制在1W的范围之内,主要采用直接序列扩频(DSSS)和跳频扩频(FHSS)两种形式实现,新一代的无线局域网如802.11a/g等,则采用频带利用率更为高效的OFDM方式。
如果用微波特指定向无线传输的方式,用射频表示其他一般的无线传输方。
1.3无线网络的分类
根据网络覆盖范围、传输速率和用途的差异,无线网络大体可分为无线广域网、无线城域网、无线局域网、无线个域网和无线体域网。
1)无线广域网(WirelessWideAreaNetwork,WWAN):
主要通过通信卫星进行数据通信,覆盖范围最大。
代表技术是3G以及4G等,数据传输速率一般在2Mb/s以上。
由于3GPP2的标准化工作日趋成熟,一些国际标准化组织(如国际电信联盟ITU)已开始考虑能提供更大传输速率和灵活统一的全IP网络的下一代移动通信系统,也称为超3G、IMT-Advanced、LTEAdvanced、或4G[5]。
2)无线城域网(WirelessMetropolitanAreaNetwork,WMAN):
主要通过移动电话或车载装置进行移动数据通信,可覆盖城市中的大部分地区。
代表技术是IEEE802.20标准,主要针对移动宽带无线接入(MobileBroadbandWirelessAccess,MBWA)[6]。
该标准强调移动性(支持速度可高达时速250公里),由IEEE802.16宽带无线接入(BroadbandWirelessAccess,BWA)发展而来。
另一个代表技术是IEEE802.16标准体系,主要有802.16、802.16a、802.16e等。
其中802.16针对一点对多点,802.16a是它的补充,增加了对非视距(NLOS,NoneLineofSight)和网状结构(MeshMode)的支持,802.16e是对802.16d的增强,支持在2-11GHz频段下的固定和车速移动业务,并支持基站和扇区间的切换。
802.16a/e也称为WiMAX。
802.16m是目前正在制定的最新版本(静止接收1Gb/s,移动接收100Mb/s)[7]。
3)无线局域网(WirelessLocalAreaNetwork,WLAN):
覆盖范围较小。
数据传输速率为11~56Mb/s之间(甚至更高)。
无线连接距离在50~100米。
代表技术是IEEE802.11系列,以及HomeRF技术。
IEEE802.11标准系列包含802.11b/a/g3个WLAN标准,主要用于解决办公室局域网和校园网中用户终端的无线接入[8]。
其中,802.11b的工作频段为2.4~2.4835GHz,数据传输速率达到11Mb/s,传输距离100~300m。
802.11a的工作频段为5.15~5.825GHz,数据传输速率达到54Mb/s,传输距离10-100米,但由于技术成本过高,因此,该技术缺乏价格优势。
802.11g标准拥有802.11a的传输速率,安全性较802.11b好,且与802.11a和802.11b兼容。
4)无线个域网(WirelessPersonalAreaNetwork,WPAN):
通常指个人计算(PersonalComputing)中无线设备间的网络。
无线传输距离一般在10米左右,代表技术是IEEE802.15、Bluetooth、ZigBee技术,数据传输速率在10Mb/s以上[9]。
例如Bluetooth工作在2.4GHz频段,可实现低成本、短距离无线通信,在10米范围内可提供721Kb/s的异步最大通信速率,并可最多同时和7个其他蓝牙设备进行通信。
IEEE802.15还可用于无线传感器网络(WirelessSensorNetworks)中传感器节点间的通信[10]。
5)无线体域网(WirelessBodyAreaNetwork,WBAN):
以无线医疗监控和娱乐、军事应用为代表,主要指附着在人体体表或植入人体内的传感器之间的无线通信。
从名称上来看,WBAN和WPAN有很大关系,但它的通信距离更短,通常来说为小于2米[11]。
因此传输距离非常短是无线体域网的物理层特征。
从传输距离角度给出各种网络间的比较。
从网络拓扑结构角度,无线网络又可分为有中心网络和无中心、自组织网络。
有中心网络以蜂窝移动通信为代表,基站作为一个中央基础设施,网络中所有的终端要通信时,都要通过中央基础设施进行转发;无中心网络以移动自组织网络(MoblieAdHocNetworks)、无线传感器网络、移动车载自组织网络(VehicularAdHocNetworks,VANET)为代表,采用分布式、自组织的思想形成网络,网络中每个节点都兼具路由功能,可以随时为其他节点的数据传输提供路由和中继服务,而不仅仅依赖单独的中心节点。
这种网络具有一些通用特征,如无中心基础设施、自组织、动态拓扑变化、有限的传输带宽等[12]。
1.4无线网络的常用设备
在企业无线网络中,常用的设备有无线网卡、无线接入点、无线网桥、无线网关/路由器、无线控制器、天线等。
1.4.1无线网卡(WirelessCard)是用于接收和发送无线电波的接口卡。
现市面上常用的无线网卡及其对应各自的协议:
11Mbps(802.11b),22Mbps(802.11Superb),54Mbps(802.11g/802.11a),108Mbps(802.11SuperG),125Mbps(802.11HighSpeed-G),300Mbps(802.11n)[13]。
根据接口不同,无线网卡有如下几种类型:
PCI接口无线网卡:
用于连接台式电脑,插在主板的PCI插槽上,有些是PCI转换卡,有些是完全集成的无线PCI卡;没有太多的兼容问题,安装简单;缺点是信号容易受机箱本身的阻挡,对信号接收方向影响比较明显。
1.4.2USB接口无线网卡:
同时适用于连接笔记本电脑或台式电脑,优点是支持热插拔,临时使用方便;缺点是插在电脑上容易脱落,且部分USB网卡对电源要求较高,部分USB供电不足的主板可能无法使用。
1.4.3PCMCIA接口无线网卡:
是个人电脑存储卡国际协会的缩写,主要在早期的笔记本电脑比较常见,支持热插拔,造价较低,需具备PCMCIA接口才能使用,现已很少使用。
1.4.4SD/CF接口无线网卡:
SD/CF接口无线网卡拥有SD/CF卡的外观,但内置了Wi-Fi无线网卡的储存卡,各种具备SD/CF接口的设备都使用,例如笔记本电脑、照相机、手机、掌上PDA等;其同时具备存储和WIFI功能,但常用场合较少使用。
1.4.5内置无线网卡:
内置无线网卡主要有两种,MINI-PCI和PCI-E接口,从时间来划分,INTEL855和915系统芯片组以及同时代的SIS和ATI芯片组用的都是MINI-PCI接口标准,从迅驰三代开始,也就是INTEL945系统、INTEL965系统都是PCI-E接口,后者是前者的替代接口。
无线AP
1.4.6无线接入点(AP),也叫无线访问点,简称无线AP,它提供从有线网络对无线终端和无线终端对有线网络的访问,在AP覆盖范围内的无线终端可以通过它进行相互通信,是无线网络和有线网络之间沟通的桥梁;无线AP与有线交换机或路由器进行连接,并帮助下连的无线终端获取DHCP分配的IP地址。
主要用于小范围区域,典型距离可覆盖几十米至上百米。
1)目前,无线AP的类型:
企业经济型AP:
可以保证在较大范围内为无线终端用户提供稳定的连接速率,多用户使用时可以在不同信道间自动漫游,有严密的管理措施,发射功率100mW,价格较高。
经济型AP:
只提供简单的接入功能,管理由嵌入式系统来实现,发射功率低于100mW,价格低廉,能够为数十人提供无线接入服务。
经济型带路由功能AP:
这是一款加装了功率放大器的经济AP,且带有路
由功能,可以满足更大范围内的使用,产品定位在前两者之间。
2)无线AP的几种工作模式:
AccessPoint(纯AP模式):
纯AP接入点模式,就是将我们的有线网络转换成无线网络,再连接各种无线终端,比如具备有无线网卡的台式机、笔记本、PAD、带WIFI的手机等。
WirelessClient(网桥模式):
与AP进行桥接的模式。
通过SiteSurvey(信号搜索)功能把对方AP或无线路由的SSID搜索出来,然后连接上去。
适用手机、PAD等设备接入无线网络或当免驱动无线网卡给台式机使用。
WirelessBridge(AP到AP无线桥接):
使用两个AP连通两个不同的局域网的一种无线桥接模式,适合两栋建筑物之间无线通讯使用。
此模式是将对方AP的MAC地址填进自己AP的。
WirelessBridge。
项就能实现两个AP间的互连。
Multi-pointBridge(多AP桥接):
这是一个扩大无线网络范围的应用,同时支持两个以上的AP进行无线桥接,适合多栋建筑物之间无线通讯使用。
此模式是将放在中心位置的AP选。
MultipleBridge。
项,其他AP将中心位置的AP的MAC地址填进自己的。
WirelessBridge。
项就能实现各AP间的互连。
Repeater(万能无线信号中继):
为了增大无线距离,就可使用Repeater模式,只要其他AP或无线路由接上宽带,它就可以接收无线信号再把减弱了的无线信号再放大发送出去,适合远距离传输。
该模式可使两台AP之间无线信号中继放大,可以支持各种速率的信号中继,经过测试各品牌AP间中继的兼容非常好。
只要将AP置成Repeater模式,然后用WirelessClient项的SiteSurvey(信号搜索)搜索附近的AP或其他无线路由的SSID连接上去,然后把对方AP或无线路由的MAC地址复制到这台AP的RepeaterRemoteAPMAC栏就能实现AP间的互连。
1.4.7无线网桥
无线网桥就是两个或多个网络之间通信的桥梁;它是两个无线网段间信号的中继器,可实现扩展两边网络的功能。
无线网桥广泛应用在不同建筑物之间的互联,覆盖范围在几百米到几十公里。
无线网桥的几种架设方案:
1)点对点方式:
点对点型(PTP),即。
直接传输。
。
使分别位于不同建筑物中两个固定的网络无线通过网桥设备来连接。
该方式一般在两端放置两个天线进行信号收发,再通过馈线将天线与网桥进行连接,网桥再通过物理连接方式与网络互连。
2)中继方式:
即。
间接传输。
。
例如:
AB两点之间不可视,但两者之间可以通过中间一座C楼间接可视。
并且AC两点,BC两点之间满足网桥设备通讯的要求。
可采用中继方式,C楼作为中继点。
AB各放置网桥和天线。
C点有3种可选方式:
(1)放置一台网桥和一面全向天线,这种方式适合对传输带宽要求不高,距离较近的情况;
(2)如果C点采用的是单点对多点型无线网桥可在中心点C的无线网桥上插两块无线网卡,分别通过馈线连接到两个天线,再分别与A网和B网进行网络连接;(3)放置两台网桥和两面定向天线。
3)点对多点传输:
点对多点型,即通过中间建筑物为中心点分别与周围的建筑物进行无线网络互连。
该方式一般在中间建筑物放置一台网桥和一面增强型的全向天线,使在无线信号覆盖范围内的建筑物能通过中间建筑物进行网络连接。
1.4.8无线网关/无线路由器
网关是指一个网络与另一个网络互联的接口,可以在不同协议之间进行转换,使不同无线网关协议在网络之间进行互联。
无线网关是指具备简单路由功能的无线接入点,可以直接连接外部网络,实现多用户的Internet共享接入的硬件设备。
路由器是局域网、广域网连接到因特网的结点设备,它通过路由决定数据的转发,选择最佳路径,将数据按先后顺序发送的设备。
无线路由器是指集成AP与路由器功能的一种设备,通过它可在覆盖范围内划分出一个子网,使这个范围内所有无线终端能实现网络的正常访问。
无线路由器可用于完成计算机网络互连和不同协议的转换、网络地址的过滤。
网关是网络的接口,而路由器是一个设备,实质上路由器的功能中已经包含了网关接口,现在一般来说网关和路由器都是指一个设备。
现时,无线网络产品都发展得很快,把很多功能集成到一台设备上,既可以是具有路由器功能的设备,又可以是具有网桥功能的功能,甚至是充当无线AP设备,还可以是网关、防火墙等功能的设备,对于网络要求不高的环境,这种设备非常具有人性化,很受人们的欢迎。
无线网络的资源管理
周围环境容易影响无线信号的传播,比如多径、电磁干扰等问题会导致无线信号在不同的方向上传输存在复杂的衰减现象,因此需对WLAN的实施进行周密的网络规划。
成功部署无线网络后,仍要在应用阶段根据无线环境的不断变化进行相应的参数调整;移动过程中的障碍物、正在工作的空调或微波炉等都会对无线信号的传播带来干扰的影响,所以发射功率、信道、频率等射频资源必须能根据用户环境的变化进行动态地调整。
这种复杂的调整过程是需要丰富技术经验的人员进行定期的检测,这无疑使管理成本增大。
无线资源管理(WLANRRM)是一种射频管理的解决方案,通过采集、分析、决
策、执行的方法,为无线资源管理提供一套实时智能射频管理方案,确保无线网络在不同的无线环境变化过程中都保持最优的状态。
1.5信道调整
在一定无线覆盖范围内合理地使用非重叠信道用于每个AP上,对于无线网络管理来讲是非常重要的。
例如在2.4G网络上,非重叠信道只有3个,为AP实现智能信道分配是无线得以应用的关键。
同时,大量可能的干扰源,如雷达、微波炉等在无线网络工作的频段上存在,AP的正常工作将被它们所干扰[14]。
为了保证最优的信道能被每个AP所分配,使相邻信道干扰尽可能地减少或避免,可以通过信道调整功能来实现;同时,为了使AP可以实时避开雷达、微波炉等干扰源,则可以通过实时信道检测来实现。
通过动态信道调整来实现持续进行的通信,为网络提供可靠的传输。
1.6功率调整
传统的射频功率控制方法只是为了单纯地追求信号覆盖范围而静态地将发射功率设置为最大值,但是由于功率过大可能导致造成不必要的干扰而影响其他无线设备。
因此,选择最佳功率用以平衡覆盖范围和系统容量是有需要的。
功率调整就是根据实时的无线环境情况,在整个无线网络的运行过程中对功率进行动态合理分配。
当AP初次开始运行时,它使用的是最大传输功率;而当它探测其到他邻居AP(邻居指被该AP探测到的且是由同一AC管理的另一个AP),并得到其他邻居AP发来的报告时,功率会根据环境的实际情况有所增减。
功率增加或减少最终取决于探测的结论。
1.7无线网络的漫游
无线漫游是指无线用户想在整个WLAN覆盖区内移动使用无线网络,这个无线网络环境必须存在多个AP,且它们有一定范围互相重合的微单元,当附近信号强度最大的AP被无线网卡自动发现,并进行连接,通过这个AP保持不间断的网络连接和数据传输。
当一个终端第一次关联到漫游组内的任何一个无线控制器(该控制器即为他的家乡代理Home-AC,HA)时,它们之间会采用11Key密钥协商。
在漫游组内跨AC漫游之前会在漫游组内的无线控制器之间(新关联的控制器为为他的外地代理Foreign-AC,FA)进行终端信息的同步。
如果一个终端可以采用802.1x(RSN)认证方式,那么FA可以快速认证无线终端的信息,只需执行11key即可在漫游组内实现方便地无缝漫游。
2.公司企业无线网络的构建和应用
2.1公司企业网建设的现状
目前,企业局域网为企业职工的学习、生活和工作带来了极大的方便,数字化办公已不足为奇。
目前企业是以有线网络为主,但有线网络有如下不足之处:
网络规划复杂;安装和维护难度大;电缆系统的故障率高;网络连接点难以移动,由于组织结构重组、办公地点变更等原因所引起的网络重建时间过长,建设费用高;难以给公共场所提供网络服务。
而无线网络具有易于安装、便于维护、移动性好、成本低、扩展性强等优点,因此,在企业很多场合可作为有线网络有效的替代或补充。
现时各公司已开始加快无线网络建设的步伐,不断地完善有线网络和无线网络无缝结合的建设工作,创造一个高效、实用、安全的企业网络环境。
企业无线网络现已成为公司企业网的重要组成部分,而不仅仅是作为有线网络的一种补充和延伸,还具备以下功能:
它与现存的有线网络无缝结合,互为补充,扩展了网络使用范围;它提供情移动平台给移动多媒体教学应用方面;它便于笔记本电脑及具有Wi-Fi功能手持设备的用户随时随地的访问网络;它使企业网能灵活地为外来的使用者提供便捷的网络服务。
同时,不同需求的用户和复杂的企业地理环境,对用户的安全认证服务、无线网络信号的无缝覆盖、非法用户的监测等提出更高的要求。
现时,企业无线网络只是初级建设阶段,远远不能达到无线网络的无缝覆盖,在企业内还是存在很多网络盲点;同时,对无线网络安全的不够重视,企业网络用户一般都采用WEP等加密方式,其不安全的架构的缺陷给无线网络安全留下的潜在威胁是巨大的,甚至部分用户无线网络直接采用开放式认证方式的接入,再加上无线网络自身的特点,使无线网络容易被攻击者入侵及非法用户的接入;再则,无线网络的建设没有做到统一规划和有序建设,且组网模式多采取FatAP模式,给网络管理和维护造成了非常大的困难。
所以,如何建设一个统一、高效、稳定、安全、全覆盖的无线网络,成为了无线网络建设必须高度重视的问题。
采用的CSMA/CD这两种标准都是有IEEE组织认证的,从标准制定方面两者的结合是具有先天优势的。
此外,无线网络技术所采用CSMA/CA在载波侦听、多路访问,冲突避免协议等功能与有线网络技术所采用的CSMA/CD功能是类似。
所有这些都从技术角度为无线网络和现有有线网络的无缝应用提供了广泛的可能。
其次,从实际应用角度进行分析,经过多年的数字信息化建设,在企业里有线网络已经得到了广泛的构建和深入的应用,虽然有线网络存在建设费用较高,信息点固定,不便移动接入,维护困难等客观问题,但其在稳定性、带宽、速率、安全等方面的优势十分明显,因此不可能对有线网络弃置不用,而最佳企业网络解决方案就是对现有有线网络进行升级和改造,在提升和完善有线网络的主干核心作用外,加快无线网络的建设步伐,从而构建一个高速、便捷、覆盖广泛的公司企业网络系统。
对于大多数企业来说,企业网络的基本准则包括实用性、先进性、经济性、可靠性、安全性、成熟性、开放性、标准性、可扩充性等;为了实现这个目标,单纯的有线网络构建和单纯的无线网络构建都是不可取的,而且企业内环境比较复杂、实际需求也不尽相同,因此为了达到上述要求可充分利用两种网络组建技术综合网络进行优势互补。
2.2有线网络和无线网络综合构建网络的总体思路
2.2.1利用有线网络建设企业骨干网络
由于公司企业用户多,因此对网络的流量有较高的要求;另外,由于有些实验室和办公室等地方的资料是需保密的,对网络安全性有较高的要求,而以上这些要求无线网络暂时是无法达到的。
所以,采用有线网络作为企业骨干网络是最合适的选择。
2.2.2利用无线网络对现有网络进行扩容改造
现有有线网络已在企业普及,但由于受建筑物线缆布设的限制,在部分区域会存在网络的盲点或者无法布线的情况;同时,随着笔记本的普及应用,在企业内空旷区域开展的活动、室内召开的学术研讨和会议等对移动网络信息点要求越来越多;无线网络的最主要优势就是移动性,在这些区域采用无线网络技术对WLAN进行构建将能很好地解决这些问题,充分发挥无线网络作为有线网络和无线网络综合构建网络的可行性分析。
有线网络和无线网络各有各的特点,只有将两者有效地结合起来,进行无缝的实施才能更好发挥网络的作用。
3.企业无线网络的构建和应用
用户何时使用网络?
用户在何处使用网络?
用户为什么要使用网络?
分析现时实施环境通过对现有的网络、系统、用户之间的相互应用关系的充分理解是此阶段的主要任务,采取切实可行的解决方案,解决它们之间发现的问题。
3.1制定设计的初步方案
在此阶段,需要将解决方案进行书面正式化,包括初步设计资料、设计目标、
网络拓扑图、数据流图等。
深化设计,确定详细设计方案
在深化设计阶段,充分考虑在初步设计评审中提到的所有变化,把所有变化内容综合到详细设
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 无线网络 架设 安全技术