無線辦公網(wǎng)絡(luò)的規(guī)劃與設(shè)計

無線辦公網(wǎng)絡(luò)的規(guī)劃與設(shè)計摘要人們從來沒有停止過對便利生活的追求，而為滿足這種需要各種技術(shù)也不斷被推動向前發(fā)展著。就在人們剛剛學(xué)會享受網(wǎng)絡(luò)技術(shù)所帶來的巨大便利之時，信息技術(shù)廠商已經(jīng)在為我們描繪另一個更加宏大、美麗的場景，那就是無線網(wǎng)絡(luò)?！盁o線網(wǎng)絡(luò)能做什么”的浪潮已經(jīng)過去，“如何使用無線網(wǎng)絡(luò)”又將成為新一輪的競爭焦點。而這新一輪的網(wǎng)絡(luò)發(fā)展正在力爭讓無線技術(shù)覆蓋到全球的各個角落，試圖讓人們能夠在任何時間、任何地點，通過任何設(shè)備都能聯(lián)入網(wǎng)絡(luò)。然而，當(dāng)更多的線纜被肉眼看不見的無線信號取代以后，用戶是否能夠獲得足夠的安全保障將成為必須回答的問題之一。這就好似將所有的雞蛋放在同一個籃子里。覆蓋在地球表層的巨大信號體系既能夠讓我們的生活變得更加美好，也可能在轉(zhuǎn)瞬之間奪走我們所有的安全感。使用無線組網(wǎng)的技術(shù)，通過安裝AP和PCMCIA無線網(wǎng)卡或USB無線網(wǎng)卡，就可以在公司內(nèi)部架構(gòu)起無線局域網(wǎng)，使得辦公區(qū)、會議室、會客室、展示廳及休息區(qū)都可以移動上網(wǎng)，為移動辦公創(chuàng)造了條件。關(guān)鍵字：無線網(wǎng)絡(luò)，無線安全，無線組網(wǎng)SummaryPeopleneverstoppedthepursuitofconveniencelife,whilealsoconstantlypushedforwardwithavarietyoftechniquestomeetthisneed.Peoplejustlearntoenjoytheenormousconvenienceofnetworktechnology,informationtechnologyvendorshaveportrayedforusanothermoreambitious,beautifulscene,isthatthewirelessnetwork."Thewirelessnetworkcandothe"waveofthepast,"howtousethewirelessnetwork"willalsobecomethefocusofanewroundofcompetition.Thisnewroundofnetworkdevelopmentistostrivetoletthewirelesssignalcoveragetoeverycorneroftheglobe,tryingtogetpeopleatanytime,anyplace,anydevicecanbelinkedintotheglobalnetwork.However,whenmorecablesinvisiblewirelesssignalstoreplace,whethertheuserisabletoobtainadequatesecuritywillbecomeoneoftheissuesthatmustbeanswered.It'slikeallyoureggsinonebasket.ThehugesignalsystemcoveringthesurfaceoftheEarthisabletomakeourlivesbetterplacemaytakeoursenseofsecurityinthetwinklingofaneye.Usewirelessnetworkingtechnology,throughtheinstallationoftheAPandPCMCIAwirelesscardorUSBwirelesscardtoplayawirelesslocalareanetworkwithinthecompanystructure,makingtheofficearea,conferencerooms,meetingrooms,exhibitionhallandloungeareacanbemovedtotheInternet,asthemobileofficetocreatetheconditions.Keywords:wirelessnetwork,wirelesssecurity,wirelessnetworking目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章緒論 1\o"CurrentDocument"第二章無線局域網(wǎng)技術(shù)概述 2\o"CurrentDocument"無線網(wǎng)絡(luò)成員和結(jié)構(gòu)： 2\o"CurrentDocument"無線局域網(wǎng)的優(yōu)點 2\o"CurrentDocument"無線局域網(wǎng)的缺點 2\o"CurrentDocument"第三章無線局域網(wǎng)的標(biāo)準(zhǔn) 4\o"CurrentDocument"無線2種配置模式 4\o"CurrentDocument"無線ad-hoc網(wǎng)絡(luò) 4\o"CurrentDocument"無線infrastrueture網(wǎng)絡(luò) 5\o"CurrentDocument"組織架構(gòu)無線網(wǎng)絡(luò)時，必須解決的一些問題 5\o"CurrentDocument"無線網(wǎng)絡(luò)的協(xié)議 6\o"CurrentDocument"關(guān)于藍(lán)牙 7\o"CurrentDocument"無線網(wǎng)絡(luò)覆蓋范圍 7\o"CurrentDocument"無線網(wǎng)絡(luò)干擾 7\o"CurrentDocument"無線網(wǎng)絡(luò)的安全性和保密性 8\o"CurrentDocument"第四章需求分析及方案設(shè)計 8\o"CurrentDocument"需求分析 9\o"CurrentDocument"總體方案設(shè)計 9\o"CurrentDocument"第五章方案設(shè)計拓?fù)鋱D及設(shè)備選擇 10\o"CurrentDocument"無線辦公室拓?fù)鋱D 11\o"CurrentDocument"無線覆蓋示意圖 11\o"CurrentDocument"DHCP工作過程及辦公室IP劃分 12\o"CurrentDocument"DHCP工作過程 12\o"CurrentDocument"設(shè)備清單及設(shè)備選擇 13\o"CurrentDocument"設(shè)備清單 13\o"CurrentDocument"設(shè)備詳細(xì)參數(shù) 13\o"CurrentDocument"第六章總體安裝實施 14\o"CurrentDocument"AP的安裝 15\o"CurrentDocument"第七章無線網(wǎng)絡(luò)安全 15\o"CurrentDocument"無線網(wǎng)絡(luò)威脅 16\o"CurrentDocument"7.2無線網(wǎng)絡(luò)保安措施 17\o"CurrentDocument"第八章結(jié)論 17\o"CurrentDocument"參考文獻(xiàn) 18\o"CurrentDocument"致謝 19第一章緒論無線網(wǎng)絡(luò)對世界的重大變革最早可追溯至第二次世界大戰(zhàn)時期。由于無線網(wǎng)絡(luò)的應(yīng)用，信息的傳輸能夠輕易、有效且確實地越洋及越過敵軍戰(zhàn)線。從此，無線網(wǎng)絡(luò)技術(shù)持續(xù)發(fā)展，地位也越來越重要。移動電話就是無線網(wǎng)絡(luò)系統(tǒng)的一部分，人們每天使用移動電話與他人通話。經(jīng)由利用人造衛(wèi)星及其他信號，無線網(wǎng)絡(luò)系統(tǒng)使越洋信息的傳送化為可能。在災(zāi)難應(yīng)對上，警局使用無線網(wǎng)絡(luò)迅速地傳播重要信息；不論是在小型辦公大樓內(nèi)或橫越整個地球，個人及公司都利用無線網(wǎng)絡(luò)快速地發(fā)送或分享數(shù)據(jù)。無線網(wǎng)絡(luò)的其他重要應(yīng)用之一，就是在基礎(chǔ)電信建設(shè)貧乏或缺乏資源的國家和地區(qū)提供一個便宜及快速的管道連接上互聯(lián)網(wǎng)，像是大部分的發(fā)展中國家。而在使用無線網(wǎng)絡(luò)時，兼容性的問題也同時浮現(xiàn)。不同的制造廠商所生產(chǎn)的組件可能無法在同一個平臺使用，或是需要額外的作業(yè)程序來使修正這些問題。基本上無線網(wǎng)絡(luò)比起經(jīng)由以太網(wǎng)電纜直接連接要來的慢。無線網(wǎng)絡(luò)比較容易受到攻擊，因為任何人都可以嘗試去入侵無線網(wǎng)絡(luò)的信號。許多網(wǎng)絡(luò)提供有線等效加密(WEP)防護系統(tǒng)，但它其實也相當(dāng)容易受到攻擊。雖然WEP能夠擋掉一些入侵者，但許多公司基于安全性考量，仍堅持使用有線網(wǎng)絡(luò)直到問題改善為止。另一種無線網(wǎng)絡(luò)防護系統(tǒng)為WPA(Wi-FiProtectedAccess)。WPA提供了比WEP更安全的無線網(wǎng)絡(luò)環(huán)境，而這道防火墻可以幫助易受入侵的無線網(wǎng)絡(luò)修補漏洞。第二章無線局域網(wǎng)技術(shù)概述無線局域網(wǎng)第一個版本發(fā)表于1997年，其中定義了介質(zhì)訪問接入控制層(MAC層)和物理層。物理層定義了工作在2.4GHz的ISM頻段上的兩種無線調(diào)頻方式和一種紅外傳輸?shù)姆绞剑倲?shù)據(jù)傳輸速率設(shè)計為2Mbit/s。兩個設(shè)備之間的通信可以自由直接(adhoc)的方式進行，也可以在基站(BaseStation,BS)或者訪問點(AccessPoint，AP)的協(xié)調(diào)下進行。1999年，加上了兩個補充版本：802.11a定義了一個在5GHzISM頻段上的數(shù)據(jù)傳輸速率可達(dá)54Mbit/s的物理層，802.11b定義了一個在2.4GHz的ISM頻段上但數(shù)據(jù)傳輸速率高達(dá)11Mbit/s的物理層。2.4GHz的ISM頻段為世界上絕大多數(shù)國家通用，因此802.11b得到了最為廣泛的應(yīng)用。蘋果公司把自己開發(fā)的802.11標(biāo)準(zhǔn)起名叫AirPorto1999年工業(yè)界成立了Wi-Fi聯(lián)盟，致力解決符合802.11標(biāo)準(zhǔn)的產(chǎn)品的生產(chǎn)和設(shè)備兼容性問題。802.11標(biāo)準(zhǔn)和補充。下面將對無線局域網(wǎng)作一些基本介紹，包括放棄相關(guān)網(wǎng)絡(luò)結(jié)構(gòu)和無線局域網(wǎng)的優(yōu)缺點。無線網(wǎng)絡(luò)成員和結(jié)構(gòu)：BasicServiceSet.BBS,網(wǎng)絡(luò)最基本的服務(wù)單元。最簡單的服務(wù)單元可以只由兩個站點組成。站點可以動態(tài)地聯(lián)結(jié)(associate)到基本服務(wù)單元中。DistributionSystem,DS，分配系統(tǒng)用于連接不同的基本服務(wù)單元。分配系統(tǒng)使用的媒介(Medium)邏輯上和基本服務(wù)單元使用的媒介是截然分開的，盡管它們物理上可能會是同一個媒介，例如同一個無線頻段。AccessPoint,AP。接入點是無線網(wǎng)和有線網(wǎng)的接口，既有普通站點的身份，又有接入到分配系統(tǒng)的功能。ExtendedServiceSet,ESS。由分配系統(tǒng)和基本服務(wù)單元組合而成。這種組合是邏輯上，并非物理上的--不同的基本服務(wù)單元物有可能在地理位置相去甚遠(yuǎn)。分配系統(tǒng)也可以使用各種各樣的技術(shù)。Portal，也是一個邏輯成分。用于將無線局域網(wǎng)和有線局域網(wǎng)或其它網(wǎng)絡(luò)聯(lián)系起來。無線局域網(wǎng)的優(yōu)點靈活性和移動性。安裝便捷。易于進行網(wǎng)絡(luò)規(guī)劃和調(diào)整。故障定位容易。易于擴展。無線局域網(wǎng)的理論基礎(chǔ)。無線局域網(wǎng)的缺點與有線網(wǎng)絡(luò)相比，速度下降。不太安全，因為黑客的筆記本電腦可以作為接入點。如果你連接到他們的筆記本電腦，他們會閱讀所有的信息(用戶名，密碼)。比有線網(wǎng)絡(luò)更復(fù)雜的配置。受到周圍。例如：墻面(阻塞)，微波爐(干擾)，距離遠(yuǎn)(衰減)第三章無線局域網(wǎng)的標(biāo)準(zhǔn)3.1無線2種配置模式3.1.1無線ad-hoc網(wǎng)絡(luò)Ad-hoc網(wǎng)絡(luò)通常是指任何一組網(wǎng)絡(luò)中所有器件都具有平等的地位，并在網(wǎng)絡(luò)上與任何其他adhoc網(wǎng)絡(luò)設(shè)備的連接范圍。很多時候，adhoc網(wǎng)絡(luò)指的IEEE802.11無線網(wǎng)絡(luò)的操作的一種模式。ad-hoc網(wǎng)絡(luò)的優(yōu)點無線ad-hoc網(wǎng)絡(luò)是一個分散型的無線網(wǎng)絡(luò)。網(wǎng)絡(luò)是臨時的，因為它不依賴于預(yù)先存在的基礎(chǔ)設(shè)施，如在有線網(wǎng)絡(luò)中的路由器或接入點的管理無線網(wǎng)絡(luò)（基礎(chǔ)設(shè)施）。相反，每個節(jié)點參與路由由其他節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)，以便確定哪些節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)是由動態(tài)的基礎(chǔ)上的網(wǎng)絡(luò)連接。除了經(jīng)典的路由，AdHoc網(wǎng)絡(luò)可以使用的數(shù)據(jù)轉(zhuǎn)發(fā)的洪水。它是指網(wǎng)絡(luò)設(shè)備的能力，保持任意數(shù)量的設(shè)備在一個1個鏈接（又名“跳躍”）的范圍內(nèi)，從而這是最常見的2層活動的鏈路狀態(tài)信息。因為這僅僅是一個2層的活動，不支持adhoc網(wǎng)絡(luò)的單獨一個路由的IP網(wǎng)絡(luò)環(huán)境，無需額外的第2層或第3層的功能。(toIniemetconar}BroadbandmodemPrrnterIEthernetorUSBcsbhComputer1—Computer2O'Computer4Wi-FiComputer3Ent兮rtairimerd(toIniemetconar}BroadbandmodemPrrnterIEthernetorUSBcsbhComputer1—Computer2O'Computer4Wi-FiComputer3Ent兮rtairimerd圖1無線ad-hoc網(wǎng)絡(luò)模式例圖3.1.1.2無線ad-hoc網(wǎng)絡(luò)缺點AD-HOC的網(wǎng)絡(luò)可能會帶來安全威脅。Ad-hoc網(wǎng)絡(luò)被定義為對等網(wǎng)絡(luò)之間的無線計算機，在它們之間沒有一個接入點。盡管這些類型的網(wǎng)絡(luò)通常有很少的保護，可以使用加密方法來提供安全性。提供的Ad-hoc網(wǎng)絡(luò)的安全漏洞是不是Ad-hoc網(wǎng)絡(luò)本身的橋梁，它提供了到其他網(wǎng)絡(luò)，通常在企業(yè)環(huán)境中，不幸的默認(rèn)設(shè)置在大多數(shù)版本的MicrosoftWindows有此功能打開，除非明確禁用。因此，用戶甚至不知道他們有一個不安全的Ad-hoc網(wǎng)絡(luò)在自己的電腦上運行。如果他們同時還使用有線或無線基礎(chǔ)設(shè)施網(wǎng)絡(luò)，他們提供一個橋梁的安全組織網(wǎng)絡(luò)，通過無抵押Ad-hoc連接。橋接是兩種形式。一個直接的橋梁，這就要求用戶實際配置的兩個連接之間的橋梁，因此，不太可能被啟動，除非明確地需要，并且這是在用戶計算機上的共享資源的間接橋。間接的橋梁提供了兩種安全隱患。第一點是重要的組織獲得的數(shù)據(jù)通過安全的網(wǎng)絡(luò)可能會在用戶端節(jié)點的計算機驅(qū)動器，從而發(fā)現(xiàn)通過不安全的Ad-hoc網(wǎng)絡(luò)。第二個是可以放置在用戶的計算機上，計算機病毒或其他不良的代碼通過不安全的Ad-hoc連接，因此具有的組織安全的網(wǎng)絡(luò)的路由。在這種情況下，放置惡意代碼的人不用“破解”組織網(wǎng)絡(luò)的密碼，合法用戶提供正常和常規(guī)日志可以通過。簡單的malfactor需要將毫無戒心的用戶端節(jié)點系統(tǒng)通過開放式(無抵押)的Ad-hoc網(wǎng)絡(luò)的惡意代碼。3.1.2無線infrastrueture網(wǎng)絡(luò)infrastructure的基本結(jié)構(gòu)模式類似傳統(tǒng)有線星型拓?fù)浞桨?，此種模式需要有一臺符合IEEE802.11b/g模式的AP或無線路由器存在，所有通信時通過AP或無線路由器作連接，就如同有線網(wǎng)絡(luò)下利用集線器來作連接，該模式下的無線網(wǎng)可以通過AP或無線路由器的以太網(wǎng)口與有線網(wǎng)相連。此種方式是大家最為經(jīng)常用到的方式。segment圖2無線infrastructure網(wǎng)絡(luò)模式例圖3.2組織架構(gòu)無線網(wǎng)絡(luò)時，必須解決的一些問題無線網(wǎng)絡(luò)的安全性，一直是一個比較重要的問題，包括WEP，WPA，思科LEAP，EAP-TLS,EAP-TTLS，PEAP，第3層VPN,第7層的VPN(如SSH2),TLS/SSL,WLAN安全設(shè)備(專家工作組)，第2層企業(yè)加密網(wǎng)關(guān)(EEG)，與基于接入點的VPN。以下幾種常見的問題及解決方案：的爭論是否有足夠的Wi-Fi保護訪問(WPA)批準(zhǔn)的高級加密標(biāo)準(zhǔn)(AES)，支持企業(yè)加密網(wǎng)關(guān)(EEG)如豐澤科技公司提供的FIPS-197加密的強度，最大強度的加密，以提供可擴展的網(wǎng)絡(luò)。需要了解的安全問題和隱患的基礎(chǔ)設(shè)施成本存在的802.1X/EAP認(rèn)證計劃，包括WPA，思科LEAP，EAP-TLS，EAP-TTLS和PEAP。什么是真正的無縫漫游？哪些應(yīng)用程序需要它嗎？應(yīng)該如何漫游實現(xiàn)？IEEE802.11F的作用是什么？專有的漫游協(xié)議是可以接受的嗎？漫游和移動之間有什么區(qū)別？802.11WLAN和移動網(wǎng)絡(luò)，如GPRS和UMTS之間的漫游。需要評估專有的移動交換機和架構(gòu)。該景點的WLAN安全設(shè)備(專家工作組)，如Bluesocket在展會上，Colubris,ReefEdge和游標(biāo)網(wǎng)絡(luò)供應(yīng)商提供的服務(wù)質(zhì)量(QoS)的通過，意味著如基于角色的訪問控制(RBAC)。質(zhì)量服務(wù)(QoS)的空中接口，實現(xiàn)細(xì)粒度的服務(wù)級別(CoS)的每個用戶的需要。第二代無線網(wǎng)絡(luò)和WLAN產(chǎn)品的出現(xiàn)，從公司如TrapezeNetworks的移動點(MP?),流動性的Exchange?(MX?)和移動系統(tǒng)軟件?和RingMaster?（7） 需要有效的無線電頻率（RF）現(xiàn)場調(diào)查，單元格大小調(diào)整，AP的位置，數(shù)據(jù)傳輸速率的測定，接入點位置和天線選擇（每AP）。（8） 移動語音無線局域網(wǎng)（VoWLAN）的將來自Cisco，Symbol和其他新興供應(yīng)商的技術(shù)。（9） 需要進行身份驗證，授權(quán)和計費AAA）使用RADIUS服務(wù)器，或與LDAP訪問目錄服務(wù)，如MicrosoftWindows2000的ActiveDirectory，WindowsNT域，Novell目錄服務(wù)（NDS）和電子目錄，或其他企業(yè)的目錄服務(wù)集成。（10） 需要評估的客戶端和服務(wù)器端軟件進行驗證，如Funk軟件鋼帶RADIUS服務(wù)器（SBR）和“奧德賽”的客戶端和服務(wù)器產(chǎn)品。（11） 需要檢測一個流氓AP和Ad-Hoc網(wǎng)絡(luò)，才造成傷害。（12） 入侵防御，如AirMagnet和AirDefense的無線入侵檢測系統(tǒng)。（13） 需要將無線網(wǎng)絡(luò)與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。例如：（13）應(yīng)該如何分配SSID的工作嗎？（15） 他們應(yīng)該是客戶端，由客戶端設(shè)置，確定或驗證服務(wù)？（16） 應(yīng)該如何確定用戶的VLAN-SSID或用戶/組帳戶的成員嗎？（17） 如果所有的VLAN通過802.1QVLAN中繼分發(fā)到所有的接入點嗎？（18） 移動IP的作用是什么？（19） 代理移動IP工作嗎？（20） 什么是移動IP的安全問題，他們應(yīng)該如何得到緩解？無線網(wǎng)絡(luò)的協(xié)議IEEE802.11b是無線局域網(wǎng)的一個標(biāo)準(zhǔn)。其載波的頻率為2.4GHz，可提供1、2、5.5及11Mbit/s的多重傳送速度。有時也被錯誤地標(biāo)為Wi-Fi。實際上Wi-Fi是Wi-Fi聯(lián)盟的一個商標(biāo)，該商標(biāo)僅保障使用該商標(biāo)的商品互相之間可以合作，與標(biāo)準(zhǔn)本身實際上沒有關(guān)系。在2.4-GHz的ISM頻段共有11個頻寬為22MHz的頻道可供使用，它是11個相互重疊的頻段。IEEE802.11b的后繼標(biāo)準(zhǔn)是IEEE802.11g，其傳送速度為54Mbit/s。IEEE802.11g在2003年7月被通過。其載波的頻率為2.4GHz（跟802.11b相同），共14個頻段，原始傳送速度為54Mbit/s，凈傳輸速度約為24.7Mbit/s（跟802.11a相同）。802.11g的設(shè)備向下與802.11b兼容。其后有些無線路由器廠商因應(yīng)市場需要而在IEEE802.11g的標(biāo)準(zhǔn)上另行開發(fā)新標(biāo)準(zhǔn)，并將理論傳輸速度提升至108Mbit/s或125Mbit/s。IEEE802.11i是IEEE為了彌補802.11脆弱的安全加密功能（WEP，WiredEquivalentPrivacy）而制定的修正案，于2004年7月完成。其中定義了基于AES的全新加密協(xié)議CCMP（CTRwithCBC-MACProtocol）。無線網(wǎng)絡(luò)中的安全問題從暴露到最終解決經(jīng)歷了相當(dāng)?shù)臅r間，而各大廠通信芯片商顯然無法接受在這期間什么都不出售，所以迫不及待的Wi-Fi廠商采用802.11i的草案3為藍(lán)圖設(shè)計了一系列通信設(shè)備，隨后稱之為支持WPA（Wi-FiProtectedAccess）的，這個協(xié)定包含了向前兼容RC4的加密協(xié)議TKIP（TemporalKeyIntegrityProtoco1）,它沿用了WEP所使用的硬件并修正了一些缺失，但可惜仍然不是毫無安全弱點的；之后稱將支持802.11i最終版協(xié)議的通信設(shè)備稱為支持WPA2（Wi-FiProtectedAccess2）的。IEEE802.11n，是2004年1月時IEEE宣布組成一個新的單位來發(fā)展的新的802.11標(biāo)準(zhǔn)，于2009年9月正式批準(zhǔn)。傳輸速度理論值為300Mbit/s，因此需要在物理層產(chǎn)生更高速度的傳輸率。此項新標(biāo)準(zhǔn)應(yīng)該要比802.11b快上50倍,而比802.11g快上10倍左右。802.11n也將會比目前的無線網(wǎng)絡(luò)傳送到更遠(yuǎn)的距離。802.11n增加了對于MIMO的標(biāo)準(zhǔn)，使用多個發(fā)射和接收天線來允許更高的數(shù)據(jù)傳輸率，并使用了Alamouticodingcodingschemes來增加傳輸范圍。802.11n支持在標(biāo)準(zhǔn)帶寬（20MHz）上的速率包括有（單位Mbit/s）：7.2,14.4,21.7,28.9,43.3,57.8,65,72.2（短保護間隔，單數(shù)據(jù)流）。使用4*MIMO時速度最高為300Mbit/s。802.11n也支持雙倍帶寬（40MHz），當(dāng)使用40MHz帶寬和4*MIM0時，速度最高可達(dá)600Mbit/s。IEEE802.11k闡述了無線局域網(wǎng)中頻譜測量所能提供的服務(wù)，并以協(xié)議方式規(guī)定了測量的類型及接收發(fā)送的格式。此協(xié)議制定了幾種有測量價值的頻譜資源信息，并創(chuàng)建了一種請求／報告機制，使測量的需求和結(jié)果在不同終端之間進行通信。協(xié)議制定小組的工作目標(biāo)是要使終端設(shè)備能夠通過對測量信息的量讀做出相應(yīng)的傳輸調(diào)整，為此，協(xié)議制定小組定義了測量類。這些測量報告使在IEEE802.11規(guī)范下的無線網(wǎng)絡(luò)終端可以收集臨近AP的信息（信標(biāo)報告）和臨近終端鏈路性質(zhì)信息（幀報告，隱藏終端報告和終端統(tǒng)計報告）。測量終端還可以提供信道干擾水平（噪聲柱狀報告）和信道使用情況（信道負(fù)荷報告和媒介感知柱狀圖）。IEEE802.11ac是一個正在發(fā)展中的802.11無線計算機網(wǎng)絡(luò)通信標(biāo)準(zhǔn)，它通過6GHz頻帶（也就是一般所說的5GHz頻帶）進行無線局域網(wǎng)（WLAN）通信。理論上，它能夠提供最少每秒1Gigabit帶寬進行多站式無線局域網(wǎng)（WLAN）通信，或是最少每秒500megabits（500Mbit/s）的單一連接傳輸帶寬。它采用并擴展了源自802.11n的空中接口（airinterface）概念，包括：更寬的RF帶寬（提升至160MHz），更多的MIMO空間流（spatialstreams）（增加到8）,多用戶的MIMO，以及高密度的解調(diào)變（modulation,最高可達(dá)到256QAM）。它是IEEE802.11n的潛在繼任者。關(guān)于藍(lán)牙藍(lán)牙這個頗為奇怪的名字來源于十世紀(jì)丹麥國王哈洛德（Harold）的外號。據(jù)說，這位丹麥國王靠出色的溝通和說服能力統(tǒng)一了當(dāng)時的丹麥和挪威。因為他非常愛吃藍(lán)梅，牙齒經(jīng)常被染藍(lán)，所以得了藍(lán)牙這個外號。1998年5月，愛立信、諾基亞、IBM、東芝和英特爾公司五家著名IT廠商，在聯(lián)合開展短程無線通信技術(shù)的標(biāo)準(zhǔn)化活動時提出了藍(lán)牙技術(shù)，其宗旨是提供一種短距離、低成本的無線傳輸應(yīng)用技術(shù)。1999年下半年，著名的業(yè)界巨頭微軟、摩托羅拉、3Com、朗訊與藍(lán)牙特別小組BluetoothSIG等5家公司共同發(fā)起成立了藍(lán)牙技術(shù)推廣組織，從那時起，全球變開始掀起了藍(lán)牙熱潮。無線網(wǎng)絡(luò)覆蓋范圍通過微波通信所能傳輸?shù)木嚯x是由產(chǎn)品設(shè)計（包括發(fā)射功率和接受器設(shè)置）和傳播路徑?jīng)Q定的，尤其在室外環(huán)境和典型建筑物的相互作用下，包括墻，金屬，甚至人都會影響傳輸能量。因此，在一定的范圍和覆蓋區(qū)需要特定的系統(tǒng)才可達(dá)到。在只有一個AP接入點的典型無線局域網(wǎng)系統(tǒng)里，覆蓋半徑一般在100米到300米之間。通過微波連接，覆蓋范圍可以被擴充，并通過漫游可具有真正自由的移動性。無線網(wǎng)絡(luò)干擾在網(wǎng)絡(luò)規(guī)模不斷擴大的情況下，由于頻率資源的限制，頻率復(fù)用度必然增加；由于規(guī)劃或地理位置的原因，在多小區(qū)的情況下多會產(chǎn)生同頻、鄰頻干擾，使通信質(zhì)量下降，網(wǎng)絡(luò)服務(wù)性能變差。干擾是影響通話質(zhì)量及掉話率、接通率等網(wǎng)絡(luò)系統(tǒng)指標(biāo)的重要因素。由于無線電波傳播的特性，決定其在通信過程中必然受到外界多種因素的影響。但是由于網(wǎng)絡(luò)內(nèi)部原因，它還在一定程度上受到網(wǎng)絡(luò)內(nèi)部其它因素的影響，如同頻干擾、鄰道干擾，以及其它因網(wǎng)絡(luò)某些參數(shù)設(shè)定不當(dāng)而造成的干擾。這些干擾的存在給我們網(wǎng)絡(luò)的正常運行帶來了一定的不良影響。作為網(wǎng)絡(luò)優(yōu)化問題的核心問題，解決無線干擾問題顯得越來越重要。無線網(wǎng)絡(luò)的安全性和保密性無線技術(shù)根源于軍事應(yīng)用，所以保密早就是無線設(shè)備的一個重要設(shè)計標(biāo)準(zhǔn)。保密性使得無線局域網(wǎng)比有線局域網(wǎng)具有更好的安全性。無線網(wǎng)絡(luò)技術(shù)采用的直接序列擴頻（DSSS）系統(tǒng)，本身就具有防竊聽功能，復(fù)雜的加密技術(shù)可以保證其安全性，一般情況節(jié)點在被允許加入網(wǎng)上通訊前，必須激活他的安全措施。無線局域網(wǎng)系統(tǒng)的發(fā)射功率很低，遠(yuǎn)低于手持移動電話。無線局域網(wǎng)的安全性接受政府和工業(yè)規(guī)范的嚴(yán)格校準(zhǔn)，所以無線局域網(wǎng)沒有對身體不好的影響。第四章需求分析及方案設(shè)計

4.1需求分析4.1.1網(wǎng)絡(luò)需求分析高帶寬網(wǎng)絡(luò)能滿足各種信息的傳輸要求，特別是對于并發(fā)的，高帶寬需求的實時數(shù)據(jù)如實時視頻會議，視頻點播，等。網(wǎng)絡(luò)的承載能力必須非常強壯。網(wǎng)絡(luò)穩(wěn)定性對于網(wǎng)絡(luò)穩(wěn)定性要求應(yīng)是不間斷的，7x24小時工作的，冗余的網(wǎng)絡(luò)，這樣才能適應(yīng)不停流動人群的數(shù)據(jù)應(yīng)用。因此，網(wǎng)絡(luò)設(shè)備應(yīng)冗余布置，防止由單臺設(shè)備的故障造成得全網(wǎng)癱瘓。網(wǎng)絡(luò)先進性網(wǎng)絡(luò)建設(shè)都應(yīng)著眼于未來，因此在作本次方案設(shè)計時會本著技術(shù)成熟性，先進性的原則，并將當(dāng)前的技術(shù)優(yōu)勢以及對未來網(wǎng)絡(luò)的發(fā)展趨勢預(yù)測注入其中。4.1.2物理結(jié)構(gòu)分析該辦公樓擁有5層樓，每層樓有12個辦公室，樓層平面圖如下圖所示：500003?20■W0013?亍243J600 jflr^1500J50I1500003?20■W0013?亍243J600 jflr^1500J50I1眄山弋4XJ」旳0IC6C-.150Q.1170150&.1050750.(500.75^750,1500.7圖3樓層平面圖4.2總體方案設(shè)計在本次方案中，辦室內(nèi)推薦使用TP-LINKTL-WA801N無線接入點，它支持11N無線技術(shù)、300Mbps無線速率，在11B下速率最高可達(dá)22Mbps，為標(biāo)準(zhǔn)11Mbps的2倍，并向下兼容標(biāo)準(zhǔn)11Mbps。其專門設(shè)計的負(fù)載均衡，遠(yuǎn)程供電，用戶隔離等功能充分滿足運營級無線網(wǎng)的要求。并且支持64/128/152位WEP力口;WPA-PSK/WPA2-PSK、WPA/WPA2安全機制，相對說比較安全。表1無線接入點數(shù)配置樓層面積/平方米AP個數(shù)/個

1樓8000122樓8000123樓8000124樓8000125樓800012總計4000060第五章方案設(shè)計拓?fù)鋱D及設(shè)備選擇

5.1無線辦公室拓?fù)鋱D基于有線網(wǎng)絡(luò)布線施工進度慢，工程成本高，相對于無線網(wǎng)絡(luò)，快速，低成本建設(shè)，且可以提供高速網(wǎng)絡(luò)接入，能滿足用戶實際網(wǎng)絡(luò)需求，可達(dá)到無處不在的網(wǎng)絡(luò)服務(wù)，為未來拓展信息服務(wù)，提高網(wǎng)絡(luò)使用價值，打好了基礎(chǔ)。一般的無線覆蓋分為兩層結(jié)構(gòu)：接入層和匯聚層。接入層主要有無線AP構(gòu)成，用來實現(xiàn)用戶無線終端的接入；匯聚層主要有無線網(wǎng)橋構(gòu)成，主要用來實現(xiàn)將各個無線AP接入的信號匯聚到網(wǎng)絡(luò)出口。在保證覆蓋的基礎(chǔ)上，為了降低可能的故障率，匯聚層的無線級聯(lián)層數(shù)要求越少最好，在有條件的情況下最好能通過一級網(wǎng)橋直接將AP的信號匯聚至網(wǎng)絡(luò)出口。整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如下圖5-1所示。12個接入點召*?12個接入點召*?Switch412個接入點；0??溝tch2 //溝tch2 //恥酒機1341Claud-PT

internet1212個接入點盤??2950-24Switch!/12個接入點介圖4無線辦公室拓?fù)鋱D5.2無線覆蓋示意圖如圖所示，每個TL-WA8O1N覆蓋范圍約為30-100米，因此在一層中若要實現(xiàn)較好的覆蓋效果，需要將12個AP間（具體AP個數(shù)要視現(xiàn)場具體建筑結(jié)構(gòu)而定）進行交疊覆蓋,這時可保證信號與用戶流量的最優(yōu)化方式傳輸。圖5無線覆蓋示意圖5.3DHCP工作過程及辦公室IP劃分DHCP工作過程（1） DHCP請求IP地址的過程發(fā)現(xiàn)階段，即DHCP客戶端尋找DHCP服務(wù)器的階段?？蛻舳艘詮V播方式發(fā)送DHCPDISCOVER包，只有DHCP服務(wù)器才會響應(yīng)。提供階段，即DHCP服務(wù)器提供IP地址的階段。DHCP服務(wù)器接收到客戶端的DHCPDISCOVER報文后，從IP地址池中選擇一個尚未分配的IP地址分配給客戶端，向該客戶端發(fā)送包含租借的IP地址和其他配置信息的DHCPOFFER包。選擇階段，即DHCP客戶端選擇IP地址的階段。如果有多臺DHCP服務(wù)器向該客戶端發(fā)送DHCPOFFER包，客戶端從中隨機挑選，然后以廣播形式向各DHCP服務(wù)器回應(yīng)DHCPREQUEST包，宣告使用它挑中的DHCP服務(wù)器提供的地址，并正式請求該DHCP服務(wù)器分配地址。其它所有發(fā)送DHCPOFFER包的DHCP服務(wù)器接收到該數(shù)據(jù)包后，將釋放已經(jīng)OFFER（預(yù)分配）給客戶端的IP地址。如果發(fā)送給DHCP客戶端的DHCPOFFER包中包含無效的配置參數(shù)，客戶端會向服務(wù)器發(fā)送DHCPCLINE包拒絕接受已經(jīng)分配的配置信息。確認(rèn)階段，即DHCP服務(wù)器確認(rèn)所提供IP地址的階段。當(dāng)DHCP服務(wù)器收到DHCP客戶端回答的DHCPREQUEST包后，便向客戶端發(fā)送包含它所提供的IP地址及其他配置信息的DHCPACK確認(rèn)包。然后，DHCP客戶端將接收并使用IP地址及其他TCP/IP配置參數(shù)。（2） DHCP客戶端續(xù)租IP地址的過程DHCP服務(wù)器分配給客戶端的動態(tài)IP地址通常有一定的租借期限，期滿后服務(wù)器會收回該IP地址。如果DHCP客戶端希望繼續(xù)使用該地址，需要更新IP租約。實際使用中，在IP地址租約期限達(dá)到一半時,DHCP客戶端會自動向DHCP服務(wù)器發(fā)送DHCPREQUEST包，以完成IP租約的更新。如果此IP地址有效，則DHCP服務(wù)器回應(yīng)DHCPACK包，通知DHCP客戶端已經(jīng)獲得新IP租約。如果DHCP客戶端續(xù)租地址時發(fā)送的DHCPREQUEST包中的IP地址與DHCP服務(wù)器當(dāng)前分配給它的IP地址（仍在租期內(nèi)）不一致，DHCP服務(wù)器將發(fā)送DHCPNAK消息給DHCP客戶端。（3） DHCP客戶端釋放IP地址的過程DHCP客戶端已從DHCP服務(wù)器獲得地址，并在租期內(nèi)正常使用，如果該DHCP客戶端不想再使用該地址，則需主動向DHCP服務(wù)器發(fā)送DHCPRELEASE包，以釋放該地址，同時將其IP地址設(shè)為0.0.0.05.3.2辦公室IP劃分

由于現(xiàn)在的IP資源十分緊張，故可以通過無線路由器提供的DHCP功能為辦公室中的用戶分配內(nèi)部地址，在訪問控制器AC端設(shè)立NAT服務(wù)，以實現(xiàn)地址的轉(zhuǎn)換。表2IP分配范圍樓層IP地址范圍1樓客戶端192.168.11.0~192.168.11.2552樓客戶端192.168.12.0~192.168.12.2553樓客戶端192.168.13.0~192.168.13.2554樓客戶端192.168.14.0~192.168.14.2555樓客戶端192.168.15.0~192.168.15.2555.4設(shè)備清單及設(shè)備選擇5.4.1設(shè)備清單表3設(shè)備清單序號產(chǎn)品名稱型號單價/元數(shù)量總價/元1企業(yè)級路由器H3CRT-MSR3020-AC-H3￥75801臺75802核心交換機H3CLS-3600-28P-SI￥49001臺49003匯聚交換機CISCOWAP4410N￥11005臺55004接入點TL-WA801N￥2706臺1005電纜安普超五類雙絞線屏蔽￥6205箱3105.4.2設(shè)備詳細(xì)參數(shù)表4企業(yè)級路由器參數(shù)r1H3CRT-MSR3020-AC-H3r1H3CRT-MSR3020-AC-H3價格￥7580產(chǎn)品類型企業(yè)級路由器局域網(wǎng)接2個千兆以太電口控制端口Console支持協(xié)議IP服務(wù)，非IP服務(wù),IP應(yīng)用,IP路由,MPLS,IPv6,廣域網(wǎng)協(xié)議，局域網(wǎng)協(xié)議防火墻有內(nèi)置防火墻表5核心交換機參數(shù)H3CLS-3600-28TP-SI價格￥4900產(chǎn)品類型可網(wǎng)管型交換機應(yīng)用層級三層接口類型10/100Base-T端口,10/100/1000BASE-T端口,1000Base-XSFP端口續(xù)表5VLAN支持VLAN功能傳輸速率10M/100M/1000Mbps表6匯聚交換機參數(shù)

表7接入點參數(shù)1iTL-WA801N價格￥270網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.11b、IEEE802.11g、IEEE802.11n、IEEE802.3、IEEE802.3u數(shù)據(jù)傳輸率300Mbps頻率范圍2.4-2.4835GHz天線2根外置可拆卸全向產(chǎn)品尺寸170*170*40.7mm\1/CISCOWAP4410N價格￥\1/CISCOWAP4410N價格￥1100網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.11n、IEEE802.11g、IEEE802.11b、IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.11i,IEEE802.3af數(shù)據(jù)傳輸率300Mbps調(diào)制方式DSSS,OFDM安全性能WEP64-Bit/128-Bit產(chǎn)品尺寸170*170*40.7mm第六章總體安裝實施AP的安裝先在墻上打4個直徑為5mm左右的孔，間距為120X275mm的長方形四個頂角。(2)將安裝導(dǎo)管置入孔內(nèi)，并使安裝導(dǎo)管外沿與墻面齊平。(3)將壁掛用螺釘固定在墻壁或天花板上。(4)AP上有3個指示燈，POWER代表電源連接的狀態(tài)；ACT表示無線通訊的狀態(tài),無線通信接收信號時閃爍；LINK表示10BASE-T通道的狀態(tài)。由于AP將定期發(fā)被稱為BEACON(一種無線電信號)的數(shù)據(jù)，因此即使不進行通信，ACT燈也會閃爍。如果3個指示燈都顯示正常工作，AP安裝完成。第七章無線網(wǎng)絡(luò)安全無線網(wǎng)絡(luò)威脅無線網(wǎng)絡(luò)安全并不是一個獨立的問題，企業(yè)需要認(rèn)識到應(yīng)該在幾條戰(zhàn)線上對付攻擊者，但有許多威脅是無線網(wǎng)絡(luò)所獨有的，這包括：（1） 插入攻擊：插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ)，這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。（2） 漫游攻擊者：攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部，他們可以使用網(wǎng)絡(luò)掃描器，如Netstumbler等工具?？梢栽谝苿拥慕煌üぞ呱嫌霉P記本電腦或其它移動設(shè)備嗅探出無線網(wǎng)絡(luò)，這種活動稱為“wardriving”；走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù)，這稱為“warwalking”。（3） 欺詐性接入點：所謂欺詐性接入點是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下，就設(shè)置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開公司已安裝的安全手段，創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害，但它卻可以構(gòu)造出一個無保護措施的網(wǎng)絡(luò)，并進而充當(dāng)了入侵者進入企業(yè)網(wǎng)絡(luò)的開放門戶。（4） 雙面惡魔攻擊：這種攻擊有時也被稱為“無線釣魚”，雙面惡魔其實就是一個以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計算機。（5） 竊取網(wǎng)絡(luò)資源：有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，即使他們沒有什么惡意企圖，但仍會占用大量的網(wǎng)絡(luò)帶寬，嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容，這會產(chǎn)生一些法律問題。（6） 對無線通信的劫持和監(jiān)視：正如在有線網(wǎng)絡(luò)中一樣，劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況，一是無線數(shù)據(jù)包分析，即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分，而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶，并劫持用戶會話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視，這種監(jiān)視依賴于集線器，所以很少見。（7）身份盜竊（或MAC欺騙）時，會出現(xiàn)一個黑客能夠監(jiān)聽網(wǎng)絡(luò)流量和識別的計算機的MAC地址與網(wǎng)絡(luò)權(quán)限。大多數(shù)無線系統(tǒng)允許某些MAC過濾，只允許經(jīng)過授權(quán)的計算機與特定的MACID來訪問和利用網(wǎng)絡(luò)。然而，方案存在的網(wǎng)絡(luò)“嗅探“功能。將這些程序與其他軟件相結(jié)合，讓電腦假裝有任何MAC地址，餅干的欲望，［8］和餅干可以很容易地得到解決了這一障礙。只適用于小型住宅（SOHO）網(wǎng)絡(luò)MAC過濾是有效的，因為它提供了保護，只有當(dāng)無線設(shè)備是“落了空”。任何802.11設(shè)備的自由傳輸未加密的MAC地址在802.11頭，它不需要特殊的設(shè)備或軟件來檢測。802.11接收器（筆記本電腦和無線適配器）和一個免費的無線數(shù)據(jù)包分析儀，任何人都可以得到的任何發(fā)射范圍內(nèi)的802.11MAC地址。在組織環(huán)境下，大多數(shù)的無線設(shè)備是“空氣”整個活動的工作轉(zhuǎn)變，MAC過濾功能，只提供了一個虛假的安全感，因為它可以防止“休閑”或無意的組織基礎(chǔ)設(shè)施的連接，什么也不做，以防止定向攻擊。（8）一個拒絕服務(wù)攻擊（DoS）攻擊發(fā)生時，攻擊者不斷轟擊的目標(biāo)AP（接入點）或網(wǎng)絡(luò)虛假請求，過早成功的連接信息，故障信息，和/或其他命令。這些導(dǎo)致合法用戶無法在網(wǎng)絡(luò)上，甚至可能導(dǎo)致網(wǎng)絡(luò)崩潰。這些攻擊依賴的協(xié)議，如可擴展身份驗證協(xié)議（EAP）的濫用。本身的DoS攻擊并沒有暴露組織數(shù)據(jù)的惡意攻擊者，由于網(wǎng)絡(luò)的中斷，可以防止數(shù)據(jù)流和實際上間接地保護防止它從被傳輸?shù)臄?shù)據(jù)。執(zhí)行DoS攻擊的常見原因是觀察到的無線網(wǎng)