基于中小型企業(yè)無(wú)線局域網(wǎng)的應(yīng)用設(shè)計(jì)

1、基于中小型企業(yè)無(wú)線局域網(wǎng)的應(yīng)用設(shè)計(jì)李苗苗摘要：本文介紹了如何簡(jiǎn)單組建WLAN無(wú)線網(wǎng)絡(luò),無(wú)線局域網(wǎng)的基本組成構(gòu)架和優(yōu)缺點(diǎn)，組建WLAN無(wú)線網(wǎng)絡(luò)所需的軟硬件和無(wú)線局域網(wǎng)在實(shí)際中的發(fā)展和應(yīng)用, 敘述它組建WLAN無(wú)線網(wǎng)絡(luò)所必須的相關(guān)知識(shí)和要點(diǎn)。簡(jiǎn)述無(wú)線網(wǎng)絡(luò)的安全問(wèn)題和解決方案。本文講述了在根據(jù)要求和規(guī)劃選擇組網(wǎng)方案。最后設(shè)計(jì)一個(gè)具體的例子說(shuō)明了組建WLAN無(wú)線網(wǎng)絡(luò)的具體步驟。淺析組建WLAN無(wú)線網(wǎng)絡(luò)所需的硬件和方案。 關(guān)鍵字： 無(wú)線局域網(wǎng) IEEE802.11n 安全管理Based on smes wireless LAN application designlimiaomiaoAbstract:

2、This article describes how to set up a simple WLAN wireless network, wireless local area network architecture and the advantages and disadvantages of the basic composition, formation of WLAN hardware and software required for wireless networks and wireless local area network in the development and p

3、ractical application, described it necessary to set up WLAN wireless network related knowledge and key points. Description of wireless network security problems and solutions. This paper describes the requirements and planning options under the network program. Final design of a concrete example of

4、a WLAN wireless network set up the concrete steps. On the formation of WLAN hardware required for wireless networks and programs.Key words：Wireless LAN IEEE802.11n safety management目錄第1章 綜 述1第2章 無(wú)線局域網(wǎng)的整體介紹22.1無(wú)線局域網(wǎng)及基本組成構(gòu)架2無(wú)線局域網(wǎng)（Wireless LAN, WLAN）2無(wú)線局域網(wǎng)的基本組成構(gòu)架22.2 無(wú)線局域網(wǎng)的的基本設(shè)備簡(jiǎn)介3無(wú)線路由器3控制器4無(wú)線AP4無(wú)線網(wǎng)卡5第

5、3章 WLAN協(xié)議ieee802.11（b，g，n）協(xié)議介紹6第4章無(wú)線局域網(wǎng)網(wǎng)絡(luò)84.1無(wú)線網(wǎng)絡(luò)的帶寬與出口帶寬8無(wú)線網(wǎng)絡(luò)的帶寬8出口帶寬84.2 無(wú)線網(wǎng)絡(luò)管理控制介紹84.3無(wú)線網(wǎng)絡(luò)的安全保障9無(wú)線局域網(wǎng)安全問(wèn)題9無(wú)線局域網(wǎng)存在的幾種安全問(wèn)題9安全問(wèn)題的解決方案9第5章 無(wú)線局域網(wǎng)設(shè)計(jì)方案105.1設(shè)計(jì)要求105.2設(shè)計(jì)理念105.3設(shè)計(jì)方案105.4無(wú)線局域網(wǎng)的設(shè)計(jì)原則要求135.5網(wǎng)絡(luò)安全管理13集中的安全管理13多種用戶認(rèn)證方式和用戶狀態(tài)防火墻14安全的AP技術(shù)及其偵測(cè)和保護(hù)14無(wú)線接入的病毒防護(hù)145.6 無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理14統(tǒng)一管理14智能控制管理15采用多個(gè)SSID結(jié)構(gòu)15

6、實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡調(diào)控15第6章 無(wú)線局域網(wǎng)絡(luò)性能評(píng)價(jià)156.1 無(wú)線局域網(wǎng)網(wǎng)速測(cè)評(píng)156.2 無(wú)線局域網(wǎng)安全測(cè)試186.3 無(wú)線局域網(wǎng)管理測(cè)試20結(jié)束語(yǔ)21致謝21參考文獻(xiàn)22第1章 綜 述在這個(gè)“網(wǎng)絡(luò)就是計(jì)算機(jī)”的時(shí)代, 伴隨著有線網(wǎng)絡(luò)的廣泛應(yīng)用. 以快捷高效、組網(wǎng)靈活為優(yōu)勢(shì)的無(wú)線網(wǎng)絡(luò)技術(shù)也在飛速發(fā)展。無(wú)線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物從專業(yè)角度講，無(wú)線局域網(wǎng)利用了無(wú)線多址信道的一種有效方法來(lái)支持計(jì)算機(jī)之間的通信并為通信的移動(dòng)化、個(gè)性化和多媒體應(yīng)用提供了可能。通俗地說(shuō)，無(wú)線局域網(wǎng)就是在不采用傳統(tǒng)纜線的同時(shí)，提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。通常計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜

7、構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場(chǎng)合要受到布線的限制、布線、改線工程量大、線路容易損壞、網(wǎng)中的各節(jié)點(diǎn)不可移動(dòng)、特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點(diǎn)連接起來(lái)時(shí)，敷設(shè)專用通信線路的布線施工難鋪度大、費(fèi)用高、耗時(shí)長(zhǎng),對(duì)正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。無(wú)線局域網(wǎng)就是為了解決有線網(wǎng)絡(luò)以上問(wèn)題而出現(xiàn)的說(shuō)到無(wú)線網(wǎng)絡(luò)的歷史起源 可能比各位想像的還要早，無(wú)線網(wǎng)絡(luò)的初步應(yīng)用可以追溯到五十年前的第二次世界大戰(zhàn)期間 當(dāng)時(shí)美國(guó)陸軍采用無(wú)線電信號(hào)做資料的傳輸。他們研發(fā)出了一套無(wú)線電傳輸科技，并且采用相當(dāng)高強(qiáng)度的加密技術(shù)。當(dāng)初美軍和盟軍都廣泛使用這項(xiàng)技術(shù)，這項(xiàng)技術(shù)讓許多學(xué)者得到了靈感。在 1971 年時(shí)，夏威夷大學(xué)的研究

8、員創(chuàng)造了第一個(gè)基于封包式技術(shù)的無(wú)線電通訊網(wǎng)絡(luò) 這被稱作 “ALOHNET” 的網(wǎng)絡(luò),可以算是相當(dāng)早期的無(wú)線局域網(wǎng)絡(luò)（WLAN）。最早的 WLAN 包括了7 臺(tái)計(jì)算機(jī)。它們采用雙向星型拓?fù)?，橫跨四座夏威夷的島嶼。中心計(jì)算機(jī)放置在瓦胡島上。從這時(shí)開始無(wú)線網(wǎng)絡(luò)可說(shuō)是正式誕生了，雖然目前幾乎所有的局域網(wǎng)絡(luò) LAN都仍舊是有線的架構(gòu)，不過(guò)近年來(lái)無(wú)線網(wǎng)絡(luò)的應(yīng)用卻日漸增加，主要應(yīng)用在學(xué)術(shù)界 ：如大學(xué)校園、醫(yī)療界、制造業(yè)和倉(cāng)儲(chǔ)業(yè)等。而且相關(guān)的技術(shù)也一直在進(jìn)步，對(duì)企業(yè)而言要轉(zhuǎn)換到無(wú)線網(wǎng)絡(luò)也更加容易，更加便宜了。 無(wú)線局域網(wǎng)(WirelessLAN / WLAN) 是指用戶以電腦透過(guò)區(qū)域空間的無(wú)線網(wǎng)路卡結(jié)合存取橋

9、接器進(jìn)行區(qū)域無(wú)線網(wǎng)路連接 再加上一組無(wú)線上網(wǎng)撥接帳號(hào)即可上網(wǎng)進(jìn)行網(wǎng)路資源的利用 簡(jiǎn)單地說(shuō) 無(wú)線局域網(wǎng)與一般傳統(tǒng)的乙太網(wǎng)路的概念并沒(méi)有多大的差異 只是 無(wú)線局域網(wǎng)將用戶端接取網(wǎng)路的線路傳輸部分轉(zhuǎn)變成無(wú)線傳輸?shù)男问?但是卻具備有線網(wǎng)路缺乏的行動(dòng)性 然而之所以稱其是局域網(wǎng) 則是因?yàn)闀?huì)受到橋接器與電腦之間距離的遠(yuǎn)近限制而影響傳輸范圍 所以必須要在區(qū)域范圍之內(nèi)才可以連上網(wǎng)路。它以無(wú)線多址信道作為傳輸媒介 利用電磁波完成數(shù)據(jù)交互 實(shí)現(xiàn)傳統(tǒng)有線局域網(wǎng)的功能 無(wú)線局域網(wǎng)具有以下特點(diǎn)：(1) 安裝便捷無(wú)線局域網(wǎng)免去了大量的布線工作，只需要安裝一個(gè)或多個(gè)無(wú)線訪問(wèn)點(diǎn)就可覆蓋整個(gè)建筑的局域網(wǎng)絡(luò)，而且便于管理、維護(hù)。(

10、2)高移動(dòng)性在無(wú)線局域網(wǎng)中各節(jié)點(diǎn)可隨意移動(dòng)，不受地理位置的限制。目前 室內(nèi)AP 可覆蓋 10 100m 在無(wú)線信號(hào)覆蓋的范圍內(nèi)，均可以接入網(wǎng)絡(luò)。而且 WLAN 能夠在不同運(yùn)營(yíng)商不同國(guó)家的網(wǎng)絡(luò)間漫游。(3)易擴(kuò)展性無(wú)線局域網(wǎng)有多種配置方式。每個(gè) AP 可支持多個(gè)用戶的接入，只需在現(xiàn)有無(wú)線局域網(wǎng)基礎(chǔ)上增加AP 就可以將小型網(wǎng)絡(luò)擴(kuò)展為大型網(wǎng)絡(luò)無(wú)線局域網(wǎng)技術(shù)。第2章 無(wú)線局域網(wǎng)的整體介紹2.1無(wú)線局域網(wǎng)及基本組成構(gòu)架 2.1.1 無(wú)線局域網(wǎng)（Wireless LAN, WLAN）計(jì)算機(jī)局域網(wǎng)是把分布在數(shù)公里范圍內(nèi)的不同物理位置的計(jì)算機(jī)設(shè)備連在一起,在網(wǎng)絡(luò)軟件的支持下可以相互通訊和資源共享的網(wǎng)絡(luò)系統(tǒng)。通

11、常計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜,構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場(chǎng)合要受到布線的限制：布線、改線工程量大；線路容易損壞；網(wǎng)中的各節(jié)點(diǎn)不可移動(dòng)。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點(diǎn)聯(lián)結(jié)起來(lái)時(shí),敷設(shè)專用通訊線路布線施工難度之大,費(fèi)用、耗時(shí)之多,實(shí)是令人生畏。這些問(wèn)題都對(duì)正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞,限制了用戶聯(lián)網(wǎng)。 WLAN就是解決有線網(wǎng)絡(luò)以上問(wèn)題而出現(xiàn)的。WLAN利用電磁波在空氣中發(fā)送和接受數(shù)據(jù),而無(wú)需線纜介質(zhì)。WLAN的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到11Mbps,傳輸距離可遠(yuǎn)至20km以上。無(wú)線聯(lián)網(wǎng)方式是對(duì)有線聯(lián)網(wǎng)方式的一種補(bǔ)充和擴(kuò)展,使網(wǎng)上的計(jì)算機(jī)具有可移動(dòng)性,能快速、方便的解決

12、以有線方式不易實(shí)現(xiàn)的網(wǎng)絡(luò)聯(lián)通問(wèn)題。 無(wú)線局域網(wǎng)（WLAN）與有線局域網(wǎng)通過(guò)銅線或光纖等導(dǎo)體傳輸不同的是，無(wú)線局域網(wǎng)使用電磁頻譜來(lái)傳遞信息。它是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。無(wú)線網(wǎng)絡(luò)用于一些布線困難、上網(wǎng)設(shè)備經(jīng)常移動(dòng)的環(huán)境，及搭建臨時(shí)性的網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)因其自身的優(yōu)越特性被作為有線網(wǎng)絡(luò)的補(bǔ)充技術(shù)被廣泛的應(yīng)用。2.1.2 無(wú)線局域網(wǎng)的基本組成構(gòu)架（1）無(wú)線局域網(wǎng)的組成無(wú)線網(wǎng)絡(luò)的硬件設(shè)備主要包括4種：即無(wú)線網(wǎng)卡、無(wú)線接入節(jié)點(diǎn)（下稱無(wú)線AP）、無(wú)線路由器。當(dāng)然，并不是所有的無(wú)線網(wǎng)絡(luò)都需要這4種設(shè)備。事實(shí)上，只需幾塊無(wú)線網(wǎng)卡，就可以組建一個(gè)小型的對(duì)等式無(wú)線網(wǎng)絡(luò)。當(dāng)需要擴(kuò)大網(wǎng)絡(luò)規(guī)模時(shí)，或者需要將無(wú)線

13、網(wǎng)絡(luò)與傳統(tǒng)的局域網(wǎng)連接在一起時(shí)，才需要使用無(wú)線AP。只有實(shí)現(xiàn)Internet接入時(shí)，才需要無(wú)線路由器。而無(wú)線天線主要用于放大信號(hào)，以接收更遠(yuǎn)距離的無(wú)線信號(hào)，從而擴(kuò)大無(wú)線網(wǎng)絡(luò)的覆蓋范圍。醫(yī)院的無(wú)線局域網(wǎng)，通常選擇無(wú)線接入點(diǎn)。當(dāng)網(wǎng)絡(luò)中增加一個(gè)無(wú)線AP之后，即可成倍地?cái)U(kuò)展網(wǎng)絡(luò)覆蓋直徑。另外，也可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備，通常情況下，一個(gè)無(wú)線AP最多可以支持多達(dá)80臺(tái)無(wú)線網(wǎng)絡(luò)設(shè)備同時(shí)接入，推薦數(shù)量為30臺(tái)。 無(wú)線局域網(wǎng)由無(wú)線網(wǎng)卡、無(wú)線接入點(diǎn)（AP）、計(jì)算機(jī)和有關(guān)設(shè)備組成，常見(jiàn)的組成方式有3種：點(diǎn)對(duì)點(diǎn)型、點(diǎn)對(duì)多點(diǎn)型、和混合型。 點(diǎn)對(duì)點(diǎn)型常用于固定的要聯(lián)網(wǎng)的兩個(gè)位置之間，是無(wú)線聯(lián)網(wǎng)的常用方式，使用這種聯(lián)

14、網(wǎng)方式建成的網(wǎng)絡(luò)，優(yōu)點(diǎn)是傳輸距離遠(yuǎn)，傳輸速率高，受外界環(huán)境影響較小。 點(diǎn)對(duì)多點(diǎn)型常用于有一個(gè)中心點(diǎn)，多個(gè)遠(yuǎn)端點(diǎn)的情況下。其最大優(yōu)點(diǎn)是組建網(wǎng)絡(luò)成本低、維護(hù)簡(jiǎn)單；其次，由于中心使用了全向天線，設(shè)備調(diào)試相對(duì)容易。該種網(wǎng)絡(luò)的缺點(diǎn)也是因?yàn)槭褂昧巳蛱炀€，波束的全向擴(kuò)散使得功率大大衰減，網(wǎng)絡(luò)傳輸速率低，對(duì)于較遠(yuǎn)距離的遠(yuǎn)端點(diǎn)，網(wǎng)絡(luò)的可靠性不能得到保證?；旌闲陀糜谒ňW(wǎng)絡(luò)中有遠(yuǎn)距離的點(diǎn)、近距離的點(diǎn)，還有建筑物或山脈阻擋的點(diǎn)。在組建這種網(wǎng)絡(luò)時(shí)，綜合使用上述幾種類型的網(wǎng)絡(luò)方式，對(duì)于遠(yuǎn)距離的點(diǎn)使用點(diǎn)對(duì)點(diǎn)方式，近距離的多個(gè)點(diǎn)采用點(diǎn)對(duì)多點(diǎn)方式，有阻擋的點(diǎn)采用中繼方式。（2）無(wú)線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu) WLAN有2種主要的拓?fù)?/p>

15、結(jié)構(gòu)，即自組織網(wǎng)絡(luò)（對(duì)等網(wǎng)絡(luò)，即人們常稱的AdHoc網(wǎng)絡(luò)）和基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)（infrastructure network）。自組織型WLAN是一種對(duì)等模型的網(wǎng)絡(luò)，它的建立是為了滿足暫時(shí)需求的服務(wù)。自組織網(wǎng)絡(luò)由一組有無(wú)線接口卡的無(wú)線終端，特別是移動(dòng)電腦組成。這些無(wú)線終端以相同的工作組名、擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào)（ESSID）和密碼以對(duì)等的方式相互直連，在WLAN的覆蓋范圍之內(nèi)，進(jìn)行點(diǎn)對(duì)點(diǎn)或點(diǎn)對(duì)多點(diǎn)之間的通信?；A(chǔ)結(jié)構(gòu)型WLAN利用了高速的有線或無(wú)線骨干傳輸網(wǎng)絡(luò)。在這種拓?fù)浣Y(jié)構(gòu)中，移動(dòng)節(jié)點(diǎn)在基站（BS）的協(xié)調(diào)下接入到無(wú)線信道。2.2 無(wú)線局域網(wǎng)的的基本設(shè)備簡(jiǎn)介2.2.1 無(wú)線路由器無(wú)線路由器是帶有無(wú)線覆蓋功

16、能的路由器，它主要應(yīng)用于用戶上網(wǎng)和無(wú)線覆蓋。市場(chǎng)上流行的無(wú)線路由器一般都支持專線xdsl/ cable，動(dòng)態(tài)xdsl，PPTP四種接入方式，它還具有其它一 些網(wǎng)絡(luò)管理的功能，如dhcp服務(wù)、nat防火墻、mac地址過(guò)濾等等功能 無(wú)線路由器（Wireless Router）好比將單純性無(wú)線AP和寬帶路由器合二為一的擴(kuò)展型產(chǎn)品，它不僅具備單純性無(wú)線AP所有功能如支持DHCP客戶端、支持VPN、防火墻、支持WEP加密等等，而且還包括了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，可支持局域網(wǎng)用戶的網(wǎng)絡(luò)連接共享?？蓪?shí)現(xiàn)家庭無(wú)線網(wǎng)絡(luò)中的Internet連接共享，實(shí)現(xiàn)ADSL和小區(qū)寬帶的無(wú)線共享接入。 無(wú)線路由器可以與所有

17、以太網(wǎng)接的ADSL MODEM或CABLE MODE直接相連，也可以在使用時(shí)通過(guò)交換機(jī)/集線器、寬帶路由器等局域網(wǎng)方式再接入。其內(nèi)置有簡(jiǎn)單的虛擬撥號(hào)軟件，可以存儲(chǔ)用戶名和密碼撥號(hào)上網(wǎng)，可以實(shí)現(xiàn)為撥號(hào)接入Internet的ADSL、CM等提供自動(dòng)撥號(hào)功能，而無(wú)需手動(dòng)撥號(hào)或占用一臺(tái)電腦做服務(wù)器使用。此外， 無(wú)線路由器一般還具備相對(duì)更完善的安全防護(hù)功能。無(wú)線路由器是帶有無(wú)線覆蓋功能的路由器，它主要應(yīng)用于用戶上網(wǎng)和無(wú)線覆蓋。市場(chǎng)上流行的無(wú)線路由器一般都支持專線xdsl/ cable，動(dòng)態(tài)xdsl，PPTP四種接入方式，它還具有其它一 些網(wǎng)絡(luò)管理的功能，如dhcp服務(wù)、nat防火墻、mac地址過(guò)濾等等功

18、能 無(wú)線路由器（Wireless Router）好比將單純性無(wú)線AP和寬帶路由器合二為一的擴(kuò)展型產(chǎn)品，它不僅具備單純性無(wú)線AP所有功能如支持DHCP客戶端、支持VPN、防火墻、支持WEP加密等等，而且還包括了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，可支持局域網(wǎng)用戶的網(wǎng)絡(luò)連接共享?？蓪?shí)現(xiàn)家庭無(wú)線網(wǎng)絡(luò)中的Internet連接共享，實(shí)現(xiàn)ADSL和小區(qū)寬帶的無(wú)線共享接入。 無(wú)線路由器可以與所有以太網(wǎng)接的ADSL MODEM或CABLE MODE直接相連，也可以在使用時(shí)通過(guò)交換機(jī)/集線器、寬帶路由器等局域網(wǎng)方式再接入。其內(nèi)置有簡(jiǎn)單的虛擬撥號(hào)軟件，可以存儲(chǔ)用戶名和密碼撥號(hào)上網(wǎng)，可以實(shí)現(xiàn)為撥號(hào)接入Internet的AD

19、SL、CM等提供自動(dòng)撥號(hào)功能，而無(wú)需手動(dòng)撥號(hào)或占用一臺(tái)電腦做服務(wù)器使用。此外， 無(wú)線路由器一般還具備相對(duì)更完善的安全防護(hù)功能。2.2.2 AP控制器接入控制器（AC）在WLAN與Internet之間起到網(wǎng)關(guān)功能，將來(lái)自不同接入點(diǎn)的數(shù)據(jù)進(jìn)行匯聚、接入Internet。AC比AP更高級(jí)，在無(wú)線網(wǎng)絡(luò)中擔(dān)任管理者的角色，AC還要充當(dāng)客戶端完成有線網(wǎng)絡(luò)中的一系列功能（例如鑒權(quán)，認(rèn)證等等）。但是AC并不是一種在802.11協(xié)議族中規(guī)定的WLAN設(shè)備，而是作為具體應(yīng)用中對(duì)協(xié)議的補(bǔ)充， 因此在只使用少量AP的小規(guī)模無(wú)線網(wǎng)絡(luò)中，采用昂貴的AC設(shè)備是很不經(jīng)濟(jì)的。2.2.3 無(wú)線AP無(wú)線AP是“無(wú)線訪問(wèn)點(diǎn)”或“無(wú)線

20、接入點(diǎn)”，它主要是提供無(wú)線工作站對(duì)有線局域網(wǎng)和從有線局域網(wǎng)對(duì)無(wú)線工作站的訪問(wèn)，在訪問(wèn)接入點(diǎn)覆蓋范圍內(nèi)的無(wú)線工作站可以通過(guò)它進(jìn)行相互通信。無(wú)線AP的覆蓋范圍是一個(gè)向外擴(kuò)散的圓形區(qū)域，AP相當(dāng)于一個(gè)無(wú)線集線器（HUB），接在有線交換機(jī)或路由器上，為它連接的無(wú)線網(wǎng)卡從由器那里分得IP。無(wú)線AP不僅包含單純性無(wú)線接入點(diǎn)（無(wú)線AP），也同樣是無(wú)線路由器（含無(wú)線網(wǎng)關(guān)、無(wú)線網(wǎng)橋）等類設(shè)備的統(tǒng)稱。 各種文章或廠家在面對(duì)無(wú)線AP時(shí)的稱呼目前比較混亂，但隨著無(wú)線路由器的普及，目前的情況下如沒(méi)有特別的說(shuō)明，我們一般還是只將所稱呼的無(wú)線AP理解為單純性無(wú)線AP，以示和無(wú)線路由器加以區(qū)分。它主要是提供無(wú)線工作站對(duì)有線局

21、域網(wǎng)和從有線局域網(wǎng)對(duì)無(wú)線工作站的訪問(wèn)，在訪問(wèn)接入點(diǎn)覆蓋范圍內(nèi)的無(wú)線工作站可以通過(guò)它進(jìn)行相互通信。單純性無(wú)線AP亦可對(duì)裝有無(wú)線網(wǎng)卡的電腦做必要的控制和管理。單純性無(wú)線AP即可以通過(guò)10-1000BASE-T（WAN）端口與內(nèi)置路由功能的ADSL MODEM或CABLE MODEM（CM）直接相連，也可以在使用時(shí)通過(guò)交換機(jī)/集線器、寬帶路由器再接入有線網(wǎng)絡(luò)。作為無(wú)線網(wǎng)絡(luò)中重要的環(huán)節(jié)無(wú)線接入點(diǎn)、無(wú)線網(wǎng)關(guān)也就是無(wú)線AP（Access Point），它的作用其實(shí)就類似于我們常用的有線網(wǎng)絡(luò)中的集線器。在那些需要大量AP來(lái)進(jìn)行大面積覆蓋的公司使用得比較多，所有AP通過(guò)以太網(wǎng)連接起來(lái)并連到獨(dú)立的無(wú)線局域網(wǎng)防火

22、墻。但同時(shí)由于其一般專用無(wú)線AP都不帶額外的局域網(wǎng)接口，使其應(yīng)用范圍較窄。2.2.4 無(wú)線網(wǎng)卡無(wú)線網(wǎng)卡是終端無(wú)線網(wǎng)絡(luò)的設(shè)備，是無(wú)線局域網(wǎng)的無(wú)線覆蓋下通過(guò)無(wú)線連接網(wǎng)絡(luò)進(jìn)行上網(wǎng)使用的無(wú)線終端設(shè)備。具體來(lái)說(shuō)無(wú)線網(wǎng)卡就是使你的電腦可以利用無(wú)線來(lái)上網(wǎng)的一個(gè)裝置，但是有了無(wú)線網(wǎng)卡也還需要一個(gè)可以連接的無(wú)線網(wǎng)絡(luò)，如果你在家里或者所在地有無(wú)線路由器或者無(wú)線AP的覆蓋，就可以通過(guò)無(wú)線網(wǎng)卡以無(wú)線的方式連接無(wú)線網(wǎng)絡(luò)可上網(wǎng)。無(wú)線網(wǎng)卡的工作原理是微波射頻技術(shù)，筆記本目前有WIFI、GPRS、CDMA等幾種無(wú)線數(shù)據(jù)傳輸模式來(lái)上網(wǎng)，后兩者由中國(guó)移動(dòng)和中國(guó)聯(lián)通來(lái)實(shí)現(xiàn)，前者電信或網(wǎng)通有所參與，但不多主要是自己擁有接入互聯(lián)網(wǎng)的W

23、IFI基站（其實(shí)就是WIFI路由器等）和筆記本用的WIFI網(wǎng)卡。要說(shuō)基本概念是差不多的，通過(guò)無(wú)線形式進(jìn)行數(shù)據(jù)傳輸。無(wú)線上網(wǎng)遵循802.1q標(biāo)準(zhǔn)，通過(guò)無(wú)線傳輸，有無(wú)線接入點(diǎn)發(fā)出信號(hào)，用無(wú)線網(wǎng)卡接受和發(fā)送數(shù)據(jù)。按照IEEE802.11協(xié)議，無(wú)線局域網(wǎng)卡分為媒體訪問(wèn)控制（MAC）層和物理層（PHY Layer）在兩者之間，還定義了一個(gè)媒體訪問(wèn)控制-物理（MAC-PHY）子層（Sublayers）。MAC層提供主機(jī)與物理層之間的接口，并管理外部存儲(chǔ)器，它與無(wú)線網(wǎng)卡硬件的NIC單元相對(duì)應(yīng)。 物理層具體實(shí)現(xiàn)無(wú)線電信號(hào)的接收與發(fā)射，它與無(wú)線網(wǎng)卡硬件中的擴(kuò)頻通信機(jī)相對(duì)應(yīng)。物理層提供空閑信道估計(jì)CCA信息給MA

24、C層，以便決定是否可以發(fā)送信號(hào)，通過(guò)MAC層的控制來(lái)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的CCSMA/CA協(xié)議，而MAC-PHY子層主要實(shí)現(xiàn)數(shù)據(jù)的打包與拆包，把必要的控制信息放在數(shù)據(jù)包的前面。IEEE802.11協(xié)議指出，物理層必須有至少一種提供空閑信道估計(jì)CCA信號(hào)的方法。無(wú)線網(wǎng)卡的工作原理如下：當(dāng)物理層接收到信號(hào)并確認(rèn)無(wú)錯(cuò)后提交給MAC-PHY子層，經(jīng)過(guò)拆包后把數(shù)據(jù)上交MAC層，然后判斷是否是發(fā)給本網(wǎng)卡的數(shù)據(jù)，若是，則上交，否則，丟棄。如果物理層接收到的發(fā)給本網(wǎng)卡的信號(hào)有錯(cuò)，則需要通知發(fā)送端重發(fā)此包信息。當(dāng)網(wǎng)卡有數(shù)據(jù)需要發(fā)送時(shí)，首先要判斷信道是否空閑。若空，隨機(jī)退避一段時(shí)間后發(fā)送，否則，暫不發(fā)送。由于網(wǎng)卡為時(shí)分雙

25、工工作，所以，發(fā)送時(shí)不能接收，接收時(shí)不能發(fā)。無(wú)線網(wǎng)卡標(biāo)準(zhǔn)： 1.IEEE 802.11a ：使用5GHz頻段，傳輸速度54Mbps，與802.11b不兼容；2.IEEE 802.11b ：使用2.4GHz頻段，傳輸速度11Mbps；3.IEEE 802.11g ：使用2.4GHz頻段，傳輸速度54Mbps，可向下兼容802.11b；4.IEEE 802.11n(Draft 2.0) ：用于Intel新的迅馳2筆記本和高端路由上，可向下兼容,傳輸速度300Mbps。接口類型： 1.臺(tái)式機(jī)專用的PCI接口無(wú)線網(wǎng)卡。 2.筆記本電腦專用的PCMCIA接口無(wú)線網(wǎng)卡。3.USB接口無(wú)線網(wǎng)卡。4.筆記本電

26、腦內(nèi)置的MINI-PCI無(wú)線網(wǎng)卡。無(wú)線網(wǎng)卡的端口:還分為E型、T型、PC型、L型和USB等接口。第3章 WLAN協(xié)議ieee802.11（b，g，n）協(xié)議介紹，IEEE802.11 IEEE802.11是第一代無(wú)線局域網(wǎng)標(biāo)準(zhǔn)之一，速率最高只能達(dá)到2Mbit/s。該標(biāo)準(zhǔn)定義了物理層和媒體訪問(wèn)控(MAC)協(xié)議的規(guī)范，允許無(wú)線局域網(wǎng)及無(wú)線設(shè)備制造商在一定范圍內(nèi)建立互操作網(wǎng)絡(luò)設(shè)備。由于在無(wú)線網(wǎng)絡(luò)中沖突檢測(cè)較困難，媒體訪問(wèn)控制(MAC)層采用避免沖突(CA)協(xié)議，而不是沖突檢測(cè)（CD），但也只能減少?zèng)_突。802.11物理層的無(wú)線媒體(WM )決定了它與現(xiàn)有的有線局域網(wǎng)的MAC不同，它具有獨(dú)特的媒體訪問(wèn)控

27、制機(jī)制，以CSMA/CA的方式共享無(wú)線媒體。802.11定義了兩種類型的設(shè)備，一種是無(wú)線站，通常是通過(guò)一臺(tái)PC機(jī)器加上一塊無(wú)線網(wǎng)絡(luò)接口卡構(gòu)成的，另一個(gè)稱為無(wú)線接入點(diǎn)(Access Point， AP)，它的作用是提供無(wú)線和有線網(wǎng)絡(luò)之間的橋接。一個(gè)無(wú)線接入點(diǎn)通常由一個(gè)無(wú)線輸出口和一個(gè)有線的網(wǎng)絡(luò)接口(802.3接口)構(gòu)成，橋接軟件符合802.1d橋接協(xié)議。接入點(diǎn)就像是無(wú)線網(wǎng)絡(luò)的一個(gè)無(wú)線基站，將多個(gè)無(wú)線的接入站聚合到有線的網(wǎng)絡(luò)上。無(wú)線的終端可以是802.11 PCMCIA卡、PCI接口、ISA接口的，或者是在非計(jì)算機(jī)終端上的嵌入式設(shè)備(例如802.11手機(jī))。 1) IEEE802.11b IEEE

28、802.11b第二代無(wú)線局域網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)其帶寬最高可達(dá)11 Mb/s，實(shí)際的工作速度在5 Mb/s左右。IEEE802.11b使用的是開放的2.4GHz頻段，不需要申請(qǐng)。既可作為對(duì)有線網(wǎng)絡(luò)的補(bǔ)充，也可獨(dú)立組網(wǎng)，從而使網(wǎng)絡(luò)用戶擺脫網(wǎng)線的束縛，實(shí)現(xiàn)真正意義上的移動(dòng)應(yīng)用。 2)IEEE802.11g 3) IEEE802.11n新一代無(wú)線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11n的制定完成令人期待，但巨大的市場(chǎng)潛力促使無(wú)線局域網(wǎng)廠商紛紛提前推出了11n草案產(chǎn)品，由于所采用標(biāo)準(zhǔn)的不統(tǒng)一，致使11n產(chǎn)品間的互聯(lián)互通問(wèn)題層出不窮，針對(duì)這一情況，Wi-Fi聯(lián)盟制定了Wi-Fi 11n（草案2.0）互操作測(cè)試方法，以

29、確保11 n草案產(chǎn)品之間良好的互操作性，也為今后準(zhǔn)標(biāo)準(zhǔn)化產(chǎn)品向802.11n最終版本的升級(jí)奠定了基礎(chǔ)。大幅提升無(wú)線局域網(wǎng)競(jìng)爭(zhēng)力。 第4章無(wú)線局域網(wǎng)網(wǎng)絡(luò)4.1無(wú)線網(wǎng)絡(luò)的帶寬與出口帶寬 4.1.1無(wú)線網(wǎng)絡(luò)的帶寬帶寬是一個(gè)非常重要的指標(biāo)，在通訊和網(wǎng)絡(luò)領(lǐng)域，帶寬的含義指的是網(wǎng)絡(luò)信號(hào)可使用的最高頻率與最低頻率之差、或者說(shuō)是“頻帶的寬度”，也就是所謂的“Bandwidth”、“信道帶寬”這也是最嚴(yán)謹(jǐn)?shù)募夹g(shù)定義。網(wǎng)絡(luò)帶寬與數(shù)據(jù)傳輸能力的正比關(guān)系最早是由貝爾實(shí)驗(yàn)室的工程師Claude Shannon所發(fā)現(xiàn)。普遍也將網(wǎng)絡(luò)的數(shù)據(jù)傳輸能力與“網(wǎng)絡(luò)帶寬”完全等同起來(lái)，所以現(xiàn)在普遍說(shuō)的“帶寬”是網(wǎng)速。網(wǎng)絡(luò)的信道帶寬與它

30、的數(shù)據(jù)傳輸能力（單位Byte/s）存在一個(gè)穩(wěn)定的基本關(guān)系。我們也可以用高速公路來(lái)作比喻：在高速路上，它所能承受的最大交通流量就相當(dāng)于網(wǎng)絡(luò)的數(shù)據(jù)運(yùn)輸能力，而這條高速路允許形成的寬度就相當(dāng)于網(wǎng)絡(luò)的帶寬。無(wú)線網(wǎng)絡(luò)的帶寬是指接收端和發(fā)射端的帶寬。 出口帶寬出口帶寬是寬帶負(fù)載能力，用M，G為單位。出口帶寬是指一定數(shù)量的用戶匯聚在某個(gè)節(jié)點(diǎn)之上，這個(gè)節(jié)點(diǎn)與上層路由或者交換設(shè)備連接的帶寬。4.2 無(wú)線網(wǎng)絡(luò)管理控制介紹 大概范圍：配置管理、故障管理、性能管理、安全管理 設(shè)備布局和信號(hào)管理，設(shè)備安裝和配置 ，流量監(jiān)控和分析，故障檢修，構(gòu)造正確的無(wú)線網(wǎng)絡(luò)，滲入測(cè)試/漏洞評(píng)估，使用額外的身份驗(yàn)證，使用無(wú)線網(wǎng)絡(luò)管理工具

31、。4.3無(wú)線網(wǎng)絡(luò)的安全保障4.3.1.無(wú)線局域網(wǎng)安全問(wèn)題 由于無(wú)線網(wǎng)絡(luò)的自身特性，決定了其除了具有有線網(wǎng)絡(luò)的不安全因素外，還容易遭受竊聽和干擾、冒充、欺騙等形式的攻擊。安全性已經(jīng)成為一個(gè)迫切需要解決的問(wèn)題。 4.3.2 無(wú)線局域網(wǎng)存在的幾種安全問(wèn)題 幾種常見(jiàn)的無(wú)線局域網(wǎng)安全問(wèn)題： 1、容易侵入。2、非法的AP。3、經(jīng)授權(quán)使用服務(wù)。4、服務(wù)和性能的限制。5、地址欺騙和會(huì)話攔截。6、流量分析與流量偵聽。 4.3.3 安全問(wèn)題的解決方案 采取隔離無(wú)線網(wǎng)絡(luò)和核心網(wǎng)絡(luò)，加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，定期進(jìn)行的站點(diǎn)審查，網(wǎng)絡(luò)檢測(cè)，同重要網(wǎng)絡(luò)隔離，采用可靠的協(xié)議進(jìn)行加密。通過(guò)強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)控制可以減少無(wú)線網(wǎng)絡(luò)配置的風(fēng)險(xiǎn)

32、。如果將AP安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過(guò)VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基于IEEE802.1x的新的無(wú)線網(wǎng)絡(luò)產(chǎn)品。IEEE802.1x定義了用戶級(jí)認(rèn)證的新的幀的類型，借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫(kù)，將前端基于IEEE802.1X無(wú)線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。像其他許多網(wǎng)絡(luò)一樣，無(wú)線網(wǎng)絡(luò)在安全管理方面也有相應(yīng)的要求。在入侵者使用網(wǎng)絡(luò)之前通過(guò)接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過(guò)物理站點(diǎn)的監(jiān)測(cè)應(yīng)當(dāng)盡可能地頻繁進(jìn)行，頻繁的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率，但是這樣會(huì)花費(fèi)很多的時(shí)間并且移動(dòng)性很差。一種折衷的辦法是選擇小型的手持式檢測(cè)設(shè)備。管

33、理員可以通過(guò)手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)。加強(qiáng)安全認(rèn)證最好的防御方法就是阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)，由于訪問(wèn)特權(quán)是基于用戶身份的，所以通過(guò)加密辦法對(duì)認(rèn)證過(guò)程進(jìn)行加密是進(jìn)行認(rèn)證的前提，通過(guò)VPN技術(shù)能夠有效地保護(hù)通過(guò)電波傳輸?shù)木W(wǎng)絡(luò)流量。定位性能故障應(yīng)當(dāng)從監(jiān)測(cè)和發(fā)現(xiàn)問(wèn)題入手，很多AP可以通過(guò)SNMP報(bào)告統(tǒng)計(jì)信息，但是信息十分有限，不能反映用戶的實(shí)際問(wèn)題。而無(wú)線網(wǎng)絡(luò)測(cè)試儀則能夠如實(shí)反映當(dāng)前位置信號(hào)的質(zhì)量和網(wǎng)絡(luò)健康情況。測(cè)試儀可以有效識(shí)別網(wǎng)絡(luò)速率、幀的類型，幫助進(jìn)行故障定位。如果用戶的無(wú)線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSL、IPS

34、ec等加密技術(shù)來(lái)加強(qiáng)數(shù)據(jù)的安全性。由于無(wú)線網(wǎng)絡(luò)非常容易受到攻擊，因此被認(rèn)為是一種不可靠的網(wǎng)絡(luò)。很多公司把無(wú)線網(wǎng)絡(luò)布置在諸如休息室、培訓(xùn)教室等公共區(qū)域，作為提供給客人的接入方式。應(yīng)將網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護(hù)外殼的外面，如防火墻的外面，接入訪問(wèn)核心網(wǎng)絡(luò)采用VPN方式。第5章 無(wú)線局域網(wǎng)設(shè)計(jì)方案5.1設(shè)計(jì)要求根據(jù)貴陽(yáng)西南工具廠的無(wú)線局域網(wǎng)建設(shè)要求，企業(yè)采用的無(wú)線局域網(wǎng)在網(wǎng)絡(luò)安全上，網(wǎng)絡(luò)管理上，傳輸速率上達(dá)到與有無(wú)線局域網(wǎng)相當(dāng)正常運(yùn)行的目的。1. 企業(yè)在組建無(wú)線網(wǎng)絡(luò)時(shí)， 不要全部放棄有線網(wǎng)絡(luò)。而是仍然以有線網(wǎng)絡(luò)為主，無(wú)線局域網(wǎng)為輔助，充分利用有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的優(yōu)點(diǎn)，達(dá)到揚(yáng)長(zhǎng)避短的目的。2.無(wú)線局域網(wǎng)傳

35、輸?shù)姆€(wěn)定性、網(wǎng)絡(luò)傳輸?shù)乃俣?、網(wǎng)絡(luò)安全性達(dá)到較高的要求。3. 在對(duì)既有無(wú)線網(wǎng)絡(luò)又有有線網(wǎng)絡(luò)的企業(yè)，為了安全與管理方便， 采取多網(wǎng)段IP地址管理策略。4. 采用WAP2加密。通過(guò)加密，可以最大限度的保護(hù)數(shù)據(jù)在傳輸過(guò)程中的安全性。5.滿足600臺(tái)終端機(jī)入網(wǎng)需求。 5.2設(shè)計(jì)理念傳統(tǒng)的無(wú)線網(wǎng)絡(luò)解決方案的每一個(gè)AP都是一個(gè)獨(dú)立的工作體，AP之間各自為戰(zhàn)，互不相干；無(wú)線適配器則安裝在用戶的不同的終端里面，對(duì)于大型局域網(wǎng)會(huì)造成資源浪費(fèi)和管理缺陷。且存在著設(shè)備單一、缺乏集中管理手段等的前天不足，因而隨著無(wú)線網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展和深入，已經(jīng)暴露出越來(lái)越多的不足。缺乏智能的RF管理策略， AP集中統(tǒng)一管理。支持漫游

36、。采用有效的接入和安全控制策略。5.3設(shè)計(jì)方案采用接入無(wú)線交換機(jī)和Fit AP的方式進(jìn)行局域網(wǎng)設(shè)計(jì)。包括有：無(wú)線網(wǎng)絡(luò)控制器、瘦無(wú)線接入點(diǎn)（Fit AP）、管理服務(wù)器。所有這些設(shè)備聯(lián)合在一起，在有線局域網(wǎng)絡(luò)的基礎(chǔ)上以瘦AP 為邊界，無(wú)線控制器為核心的無(wú)線網(wǎng)絡(luò)。該網(wǎng)絡(luò)具有支持統(tǒng)一管理，且能夠使移動(dòng)和安全融為一體等先進(jìn)特性。此方案優(yōu)點(diǎn)：靈活的組網(wǎng)方式和優(yōu)秀的擴(kuò)展性，智能的RF管理功能，自動(dòng)部署和故障恢復(fù)，集中的網(wǎng)絡(luò)管理，強(qiáng)大的漫游功能支持。完善負(fù)載均衡。無(wú)線終端定位，快速定位故障點(diǎn)和入侵檢測(cè) ，具有強(qiáng)大的接入和安全策略控制。根據(jù)要求設(shè)計(jì)無(wú)線局域網(wǎng)。（圖1）由網(wǎng)絡(luò)接入無(wú)線交換機(jī)，此處接入AP控制器，再

37、接核心交換機(jī)，再分由三個(gè)區(qū)域交換機(jī)，每個(gè)分布層交換機(jī)接入相應(yīng)數(shù)量的接入交換機(jī)，（圖2）最后接入多個(gè)單純的無(wú)線AP（瘦AP）進(jìn)行實(shí)地覆蓋。實(shí)現(xiàn)的無(wú)線局域網(wǎng)要在同一時(shí)間能滿足600臺(tái)終端機(jī)移動(dòng)連接。以考慮600臺(tái)電腦都可以移動(dòng)則采用多個(gè)AP頻率規(guī)劃實(shí)現(xiàn)對(duì)區(qū)域的全覆蓋以及高帶寬提供，用戶可熱點(diǎn)內(nèi)在不同AP間實(shí)現(xiàn)無(wú)縫切換, 考慮到頻段干擾問(wèn)題，相鄰AP不能選用同樣的Channel,并且Channel號(hào)最差要相差5，也就是構(gòu)成小區(qū)的任意三個(gè)相鄰的AP的Channel設(shè)置為1、6、11 。選用支持802.11n的無(wú)線AP進(jìn)行區(qū)域覆蓋，帶寬達(dá)到300M此區(qū)域可滿足幾十臺(tái)移動(dòng)電腦接入網(wǎng)絡(luò)，用幾個(gè)這樣的無(wú)線路由

38、器就可以滿足要求。對(duì)于企業(yè)中遠(yuǎn)程之間采用WLAN網(wǎng)橋功能實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)連接。實(shí)現(xiàn)網(wǎng)絡(luò)統(tǒng)一。WLAN需要考慮很多因素：需要連接的建筑物必須要能保持明確的視線，因此，像高大的樹木和建筑物等障礙物都會(huì)直接影響無(wú)線電波的傳輸。對(duì)于遠(yuǎn)距離區(qū)域用中繼器進(jìn)行鏈接傳送。一個(gè)AP的覆蓋范圍內(nèi)，無(wú)線連接的帶寬是共享，即無(wú)線終端數(shù)目越多，每個(gè)終端所能分享的帶寬就越小。要確保每個(gè)無(wú)線終端的傳輸就必須能限制一個(gè)AP上無(wú)線終端的數(shù)量或AP帶寬傳輸總和或和每個(gè)無(wú)線終端帶寬上限。每個(gè)AP覆蓋能提供20臺(tái)終端機(jī)接入，設(shè)置分配每臺(tái)終端機(jī)的帶寬為2M，并加以控制管理。那每個(gè)AP的出口帶寬為40兆，由于接入交換機(jī)的設(shè)備共享帶寬，那本方

39、案的設(shè)計(jì)所需出口帶寬為40M以上。600臺(tái)終端機(jī)入網(wǎng)要求：用到兩臺(tái)無(wú)線交換機(jī)，兩臺(tái)核心交換機(jī)，分由三臺(tái)分布層交換機(jī)，再用到九臺(tái)POE接入交換機(jī)，無(wú)線AP用到30個(gè)左右。若需拓展網(wǎng)絡(luò)則可以添加AP。本網(wǎng)絡(luò)設(shè)計(jì)所需的硬件設(shè)備如下表格1-1列出：設(shè)備名稱及規(guī)格設(shè)備數(shù)量MX-200R智能無(wú)線交換機(jī)2H3C U200-CA核心交換機(jī)2Catalyst 3550分布層交換機(jī)3LREtrans 4200 POE交換機(jī)9無(wú)線AP TP-LINK TL-WA801N301-1 1.網(wǎng)絡(luò)總干圖 2.多個(gè)AP示意圖5.4無(wú)線局域網(wǎng)的設(shè)計(jì)原則要求無(wú)線局域網(wǎng)采用的技術(shù)支持國(guó)際標(biāo)準(zhǔn)，使用802.11n協(xié)議。采用無(wú)線交換機(jī)

40、加瘦AP完成無(wú)線局域網(wǎng)的覆蓋項(xiàng)目，完成對(duì)AP的集中管理。在網(wǎng)絡(luò)安全方面，無(wú)線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護(hù)措施，考慮以下問(wèn)題：1） 接入認(rèn)證：具有支持多種用戶認(rèn)證方式；2）采用具有用戶狀態(tài)訪問(wèn)控制的防火墻技術(shù)；3）具有數(shù)據(jù)在無(wú)線信道上傳輸?shù)腣PN機(jī)制；4）具有無(wú)線網(wǎng)的防病毒機(jī)制；5）具有無(wú)線電波控制能力，能提供無(wú)線入侵偵測(cè)和無(wú)線終端位置的追蹤功能。通過(guò)一個(gè)集中的無(wú)線局域網(wǎng)網(wǎng)管平臺(tái)實(shí)現(xiàn)對(duì)所有的AP功能的配置和管理采用WLLAN交換技術(shù)，充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨(dú)AP就近接入有線網(wǎng)絡(luò)（最近的交換機(jī)），并且不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)以及交換機(jī)配置。采用集中控管的組網(wǎng)方式，集中控制管理

41、所有的AP。AP的供電可以不單獨(dú)拉線，采用POE供電的方式。采用先進(jìn)的WLAN網(wǎng)管系統(tǒng)管理局域網(wǎng)。該無(wú)線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)充。5.5網(wǎng)絡(luò)安全管理.集中的安全管理將防火墻、VPN、安全認(rèn)證、防病毒、無(wú)線入侵監(jiān)測(cè)以及RF 電磁波管理等多項(xiàng)安全功能匯聚到無(wú)線交換機(jī)上來(lái)完成的，解決了傳統(tǒng)的無(wú)線網(wǎng)對(duì)安全的分散管理（AP、AC）和能力，給用戶帶來(lái)的不安全感，擺脫了對(duì)有線網(wǎng)安全的依賴性。多種用戶認(rèn)證方式和用戶狀態(tài)防火墻一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)以后，會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段，只讓用戶通過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)。采

42、用支持各種用戶認(rèn)證的方式（802.1、WEB認(rèn)證、MAC、SSID、VPN等），園區(qū)網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。用戶狀態(tài)防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略。安全的AP技術(shù)及其偵測(cè)和保護(hù)無(wú)線接入的認(rèn)證和加密在無(wú)線交換機(jī)上實(shí)現(xiàn)，而瘦AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置。因此管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)AP，黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。采用的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)園區(qū)無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而

43、連接到網(wǎng)絡(luò)中的AP。通過(guò)網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)中。無(wú)線接入的病毒防護(hù)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面：一、無(wú)線終端的準(zhǔn)入檢查；二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線終端試圖訪問(wèn)網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于JAVA的程序，可以對(duì)無(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟

44、件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查，但是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。 5.6 無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理 統(tǒng)一管理傳統(tǒng)的無(wú)線局域網(wǎng)是單純基于AP，因此對(duì)于無(wú)線網(wǎng)絡(luò)的管理，其大量工作是要在每個(gè)AP上進(jìn)行設(shè)置和更改。通過(guò)無(wú)線交換機(jī)管理模式管理整個(gè)網(wǎng)絡(luò)，網(wǎng)管人員只需在無(wú)線交換機(jī)就可開通、管理、維護(hù)所有AP設(shè)備以及移動(dòng)終端，包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。 RF智能控制管理采用RF智能系統(tǒng)控制管理可以自動(dòng)調(diào)節(jié)網(wǎng)上所有 AP的電波特性，自動(dòng)對(duì)網(wǎng)上所有 AP的無(wú)

45、線電波管理。無(wú)線交換機(jī)可以對(duì)整個(gè)無(wú)線網(wǎng)上的電波情況偵測(cè)和記錄。當(dāng)某一覆蓋范圍內(nèi)的無(wú)線電波改變，如出現(xiàn)干擾AP所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等，無(wú)線交換機(jī)就會(huì)把所獲取的無(wú)線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)AP的無(wú)線電波。 采用多個(gè)SSID結(jié)構(gòu)系統(tǒng)的多SSID結(jié)構(gòu)和和實(shí)現(xiàn)技術(shù)使得各種多媒體應(yīng)用服務(wù)（數(shù)據(jù)、語(yǔ)音和視頻）在Qos上表現(xiàn)非常出色。SSID的另一用途是可讓無(wú)線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。在一個(gè)語(yǔ)音SSID內(nèi)可把SIP和H.323等無(wú)線語(yǔ)音數(shù)據(jù)以優(yōu)先級(jí)隊(duì)列處理。 實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡調(diào)控設(shè)計(jì)系統(tǒng)可在一個(gè)AP的覆蓋范圍內(nèi)把無(wú)線用戶或終端分散連接到附近的AP上。在一個(gè)AP的覆蓋

46、范圍內(nèi)，無(wú)線連接的帶寬是共享，即無(wú)線終端數(shù)目越多，每個(gè)終端所能分享的帶寬就越小。要確保每個(gè)無(wú)線終端的傳輸就必須能限制一個(gè)AP上無(wú)線終端的數(shù)量或AP帶寬傳輸總和或和每個(gè)無(wú)線終端帶寬上限。設(shè)計(jì)無(wú)線系統(tǒng)可應(yīng)用層面通過(guò)47層交換模塊可以實(shí)現(xiàn)服務(wù)器的負(fù)載均衡，VPN設(shè)備，防火墻設(shè)備等等一系列基于TCP/IP協(xié)議設(shè)備的負(fù)載均衡來(lái)保證整體網(wǎng)絡(luò)的可靠性。第6章 無(wú)線局域網(wǎng)絡(luò)性能評(píng)價(jià)6.1 無(wú)線局域網(wǎng)網(wǎng)速測(cè)評(píng)網(wǎng)絡(luò)速度慢最直接的原因就是帶寬不足或者線路有問(wèn)題，我們可以通過(guò)CHARIOT測(cè)量網(wǎng)絡(luò)中任意兩臺(tái)計(jì)算機(jī)之間的連通帶寬，并且該軟件還可以將測(cè)量結(jié)果以圖形的形式表現(xiàn)出來(lái)，更方便我們比較和瀏覽。當(dāng)然要想成功測(cè)量帶寬

47、吞吐量的前提是需要這兩臺(tái)計(jì)算機(jī)之間有路由指引數(shù)據(jù)包的傳送方向。CHARIOT是應(yīng)用層IP網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的測(cè)試軟件，可提供端到端，多操作系統(tǒng)，多協(xié)議測(cè)試，多應(yīng)用模擬測(cè)試，其應(yīng)用范圍包括有線，無(wú)線，局域，廣域網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備；可以進(jìn)行網(wǎng)絡(luò)故障定位，系統(tǒng)評(píng)估，網(wǎng)絡(luò)優(yōu)化等。從用戶角度測(cè)試網(wǎng)絡(luò)或網(wǎng)絡(luò)參數(shù)（吞吐量，反應(yīng)時(shí)間，延時(shí)，抖動(dòng)，丟包等）。CHARIOT和一般的網(wǎng)管系統(tǒng)及一些在線監(jiān)測(cè)系統(tǒng)有本質(zhì)上的不同。網(wǎng)管系統(tǒng)及一些在線監(jiān)測(cè)系統(tǒng)采取被動(dòng)式監(jiān)視，而CHARIOT采用主動(dòng)式監(jiān)視及測(cè)量；網(wǎng)管系統(tǒng)及一些在線監(jiān)測(cè)系統(tǒng)提供定性的測(cè)量，而CHARIOT采取定量的測(cè)量。CHARIOT能夠評(píng)估網(wǎng)絡(luò)應(yīng)用的性能和容量，對(duì)網(wǎng)

48、絡(luò)和設(shè)備進(jìn)行壓力測(cè)試。CHARIOT作為壓力、故障定位、評(píng)估設(shè)備及網(wǎng)絡(luò)應(yīng)用層性能的測(cè)試軟件，是維護(hù) 健康、快速、可靠網(wǎng)絡(luò)和研發(fā)生產(chǎn)高性能網(wǎng)絡(luò)設(shè)備所需的可靠工具。CHARIOT同時(shí)也可以作為網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)本身的一個(gè)在線測(cè)試工具，提供主動(dòng)式網(wǎng)絡(luò)在線性能分析及監(jiān)視。通過(guò)CHARIOT測(cè)量網(wǎng)絡(luò)中任意兩臺(tái)計(jì)算機(jī)之間的連通帶寬，并且該軟件還可以將測(cè)量結(jié)果以圖形的形式表現(xiàn)出來(lái)，更方便我們比較和瀏覽。當(dāng)然要想成功測(cè)量帶寬吞吐量的前提是需要這兩臺(tái)計(jì)算機(jī)之間有路由指引數(shù)據(jù)包的傳送方向。采用CHARIOT第一步:首先在AB計(jì)算機(jī)上運(yùn)行CHARIOT的客戶端軟件ENDPOINT。雙擊endpoint.exe出現(xiàn)(圖6

49、-1)所示，確定后你會(huì)發(fā)現(xiàn)任務(wù)管理器中多了一個(gè)名為endpoint的進(jìn)程。圖6-1第二步:被測(cè)量的機(jī)器已經(jīng)就緒了，這時(shí)候就需要運(yùn)行控制端CHARIOT了，我們可以選擇網(wǎng)絡(luò)中的其他計(jì)算機(jī)也可以在A或B計(jì)算機(jī)上直接運(yùn)行CHARIOT。 如圖6-2 第三步:主界面中點(diǎn)NEW按鈕，彈出的界面中點(diǎn)上方一排按鈕的ADD PAIR。6-3)圖6-3 CHARIOT可以測(cè)量包括TCP，UDP，SPX在內(nèi)的多種網(wǎng)絡(luò)傳輸層協(xié)議，我們?cè)跍y(cè)量帶寬時(shí)選擇默認(rèn)的TCP即可。第五步:確定后我們點(diǎn)主菜單的RUN啟動(dòng)測(cè)量工作，當(dāng)然直接點(diǎn)上面一排里的RUN按鈕也是可以的。第六步:之后軟件會(huì)測(cè)試100個(gè)數(shù)據(jù)包從A計(jì)算機(jī)發(fā)送到B計(jì)算

50、機(jī)。由于軟件默認(rèn)的傳輸數(shù)據(jù)包很小所以很快測(cè)量工作就結(jié)束了。在結(jié)果中我們點(diǎn)THROUGHPUT標(biāo)簽可以查看具體測(cè)量的帶寬大小。如圖6-46-4結(jié)果顯示由于損耗，往往真實(shí)帶寬達(dá)不到100Mbps，所以測(cè)量得到的81Mbps基本可以說(shuō)明A、B計(jì)算機(jī)之間的最大帶寬為100Mbps，去除損耗可以達(dá)到80多Mbps的傳輸速率。6.2 無(wú)線局域網(wǎng)安全測(cè)試端站STA是無(wú)線局域網(wǎng)中的數(shù)字鏈路終端設(shè)備，可以通過(guò)不用接口接入或嵌入到數(shù)字終端設(shè)備中，如PC、PDA或手持式終端設(shè)備。無(wú)線接入點(diǎn)AP下行通過(guò)標(biāo)準(zhǔn)的空中接口協(xié)議于STA通信，而上行通過(guò)有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的分發(fā)，從而達(dá)到無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的互通。接入控制器AC相

51、當(dāng)于無(wú)線局域網(wǎng)與傳送網(wǎng)之間的網(wǎng)關(guān)，將來(lái)自不同AP的數(shù)據(jù)進(jìn)行業(yè)務(wù)匯聚，反之將來(lái)自業(yè)務(wù)網(wǎng)的數(shù)據(jù)分發(fā)到不同AP，此外還負(fù)責(zé)用戶的接入認(rèn)證功能。服務(wù)器是實(shí)現(xiàn)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的網(wǎng)絡(luò)服務(wù)器。認(rèn)證服務(wù)器保存用戶的認(rèn)證信息和相關(guān)屬性，當(dāng)接收到認(rèn)證申請(qǐng)時(shí)，支持在數(shù)據(jù)庫(kù)中對(duì)用戶數(shù)據(jù)的查詢。在認(rèn)證完成后，授權(quán)服務(wù)器根據(jù)用戶信息授權(quán)用戶具有不同的屬性。計(jì)費(fèi)服務(wù)器完成用戶計(jì)費(fèi)信息的處理，并根據(jù)用戶簽約信息中的計(jì)費(fèi)屬性，實(shí)現(xiàn)預(yù)付費(fèi)、后付費(fèi)業(yè)務(wù)等。網(wǎng)絡(luò)安全問(wèn)題。無(wú)線網(wǎng)的安全問(wèn)題始終是影響無(wú)線網(wǎng)絡(luò)應(yīng)用發(fā)展的最大問(wèn)題。無(wú)線網(wǎng)的安全問(wèn)題分為兩大類，一是非法入侵，二是惡意攻擊。但隨著802.1x安全協(xié)議的推廣，目前大多數(shù)實(shí)際困

52、擾無(wú)線網(wǎng)絡(luò)的安全問(wèn)題是由于無(wú)線網(wǎng)絡(luò)安裝人員未進(jìn)行安全設(shè)置，而非技術(shù)原因。因此，無(wú)線網(wǎng)絡(luò)安全監(jiān)測(cè)和報(bào)告是無(wú)線局域網(wǎng)測(cè)試不可或缺的測(cè)試項(xiàng)目之一。協(xié)議分析，捕包解碼。無(wú)線網(wǎng)絡(luò)故障中1520%源于網(wǎng)絡(luò)的協(xié)議及應(yīng)用層，網(wǎng)絡(luò)維護(hù)中協(xié)議分析更是必不可少的手段之一。甚至一些無(wú)線網(wǎng)絡(luò)連通性的故障原因也可以通過(guò)協(xié)議分析進(jìn)行故障診斷。最后，作為一個(gè)完整的無(wú)線網(wǎng)絡(luò)測(cè)試維護(hù)方法還應(yīng)該提供專家分析系統(tǒng)，來(lái)分析中的故障原因、提出解決方案建議，以滿足不同技術(shù)水平用戶的需求。當(dāng)前的802.11n無(wú)線產(chǎn)品均具備目前最新的無(wú)線安全加密方式和一些簡(jiǎn)單的防火墻功能，只要進(jìn)行相應(yīng)的設(shè)置，無(wú)線傳輸?shù)臄?shù)據(jù)安全基本上是可以保證的。NetStu

53、mbler是WINDOWS下面基于802.11的無(wú)線網(wǎng)絡(luò)掃描工具，可自動(dòng)識(shí)別出附近活動(dòng)的無(wú)線設(shè)備的SSID、網(wǎng)絡(luò)、MAC地址，以及信號(hào)強(qiáng)度。NetStumbler是一款專門用來(lái)尋找無(wú)線AP的工具，只要開啟NetStumbler后便能自動(dòng)顯示附近探測(cè)到的無(wú)線AP，并且能夠顯示這些無(wú)線AP的SSID、MAC地址、頻段、速度、是否加密等信息。值得一提的是，NetStumbler可以顯示設(shè)置了隱藏SSID的無(wú)線AP，在軟件界面中可以看到該AP的綠燈在不斷閃爍。 在NetStumbler左邊的樹狀結(jié)構(gòu)中列出了各頻段檢測(cè)到的無(wú)線AP。由于NetStumbler進(jìn)行了全面的掃描，所以附近的無(wú)線AP將一覽無(wú)余

54、。因?yàn)樗敲绹?guó)人開發(fā)的軟件，所以它只能檢測(cè)111之間的11個(gè)頻段，而國(guó)內(nèi)的無(wú)線頻段分為13個(gè)頻段，則1213頻段的無(wú)線AP將無(wú)法搜尋到。有了NetStumbler，你可以檢測(cè)到無(wú)線AP的IP地址、MAC地址、SSID以及生產(chǎn)廠商。還有一個(gè)參數(shù)不得不提，就是Type欄顯示了該AP是否有WEP加密。對(duì)于允許加入的無(wú)WEP加密無(wú)線AP(一般是公共AP)，可以連接后通過(guò)它來(lái)上網(wǎng)了。要克服這一問(wèn)題，將它作為安全測(cè)試指標(biāo)。ApSniff是一款綠色軟件，可以通過(guò)它來(lái)掃描附近的無(wú)線AP，支持14個(gè)頻段，不過(guò)只能顯示無(wú)線AP的MAC地址、SSID、頻段和是否加密等參數(shù)，相對(duì)于NetStumbler來(lái)說(shuō)功能較少，

55、但小巧實(shí)用。AiroPeek是無(wú)線網(wǎng)絡(luò)安全工具的強(qiáng)者，很多無(wú)線網(wǎng)絡(luò)工具都使用AiroPeek的庫(kù)文件，它具備Sniffer之類軟件的網(wǎng)絡(luò)數(shù)據(jù)包竊取和分析功能，就是對(duì)802.1協(xié)議進(jìn)行解碼，顯示管理信息包、控制信息包和數(shù)據(jù)信息包。測(cè)試的結(jié)果來(lái)看不考慮802.11n無(wú)線網(wǎng)卡接口對(duì)傳輸能力方面的影響，8對(duì)企業(yè)來(lái)講，網(wǎng)絡(luò)設(shè)備最大并發(fā)連接數(shù)的多少與網(wǎng)絡(luò)運(yùn)行的穩(wěn)定息息相關(guān)。6.3 無(wú)線局域網(wǎng)管理測(cè)試測(cè)試系統(tǒng)主要由熱點(diǎn)地區(qū)的無(wú)線局域網(wǎng)接入網(wǎng)絡(luò)和后臺(tái)的服務(wù)系統(tǒng)組成，其中，接入網(wǎng)絡(luò)主要由接入點(diǎn)AP和接入控制器AC構(gòu)成，而后臺(tái)服務(wù)系統(tǒng)完成認(rèn)證、計(jì)費(fèi)、應(yīng)用服務(wù)和網(wǎng)管等功能。同時(shí)由于目前還存在基于七號(hào)信令網(wǎng)的SIM認(rèn)證，因此系統(tǒng)中還包含鑒權(quán)服務(wù)器AS和用戶數(shù)據(jù)庫(kù)HLR/Auc。認(rèn)證中心的主要設(shè)備是Radius服務(wù)器，用來(lái)存儲(chǔ)用戶的身份信息，并完成用戶