導(dǎo)語：無線網(wǎng)絡(luò)建立和安全舉措一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1線局域網(wǎng)介紹

WLAN為WirelessLocalAreaNetworks的簡稱，即無線局域網(wǎng)。是一種借助無線技術(shù)取代以往有線網(wǎng)絡(luò)的新手段，可提供傳統(tǒng)有線局域網(wǎng)的所有功能。WLAN是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，是通用無線接入的一個子集，可支持較高的傳輸速率（可達(dá)2—108Mbps）。利用射頻無線正交頻分復(fù)用（OFDM），借助直接序列擴(kuò)頻（DSSS）或跳頻擴(kuò)頻（UWBT）技術(shù)，可實現(xiàn)固定的、半移動的以及移動的網(wǎng)絡(luò)終端對因特網(wǎng)進(jìn)行較遠(yuǎn)距離的高速連接訪問。

智能小區(qū)的設(shè)計方案是基于小區(qū)進(jìn)行設(shè)計，無線網(wǎng)絡(luò)的覆蓋面較大，硬件設(shè)備的要求較高，需要全方向天線和定向引向反射天線配合使用。在小區(qū)中還必須配有大量的AP，保證用戶在任何時間、任何地點(diǎn)都可以使用無線網(wǎng)絡(luò)。這樣的設(shè)計需要對網(wǎng)絡(luò)進(jìn)行合理的規(guī)劃，硬件和系統(tǒng)配置要合理。在客戶端和網(wǎng)絡(luò)之間采用MAC地址訪問控制和安全VPN應(yīng)用軟件，再結(jié)合無線網(wǎng)絡(luò)間的128位WEP加密機(jī)制，可以確保最大程度的安全。

2WLAN的基本結(jié)構(gòu)和相關(guān)術(shù)語

2.1無線網(wǎng)絡(luò)技術(shù)簡介

隨著網(wǎng)絡(luò)的飛速發(fā)展，筆記本電腦的普及，人們對移動辦公的要求越來越高。傳統(tǒng)的有線局域網(wǎng)要受到布線的限制，如果建筑物中沒有預(yù)留的線路，布線以及調(diào)試的工程量將非常大，而且線路容易損壞，給維護(hù)和擴(kuò)容等帶來不便，網(wǎng)絡(luò)中的各節(jié)點(diǎn)的搬遷和移動也非常麻煩。因此高效快捷、組網(wǎng)靈活的無線局域網(wǎng)應(yīng)運(yùn)而生。

無線局域網(wǎng)是利用無線技術(shù)實現(xiàn)快速接入以太網(wǎng)的技術(shù)。綜觀現(xiàn)在的市場，IEEE802.11b技術(shù)在性能、價格各方面均超過了藍(lán)牙、HomeRF等技術(shù)，逐漸成為無線接入以太網(wǎng)應(yīng)用最為廣泛的標(biāo)準(zhǔn)。

2.2無線網(wǎng)絡(luò)的優(yōu)勢

與有線網(wǎng)絡(luò)相比，WLAN最主要的優(yōu)勢在于不受布線條件的限制，因此非常適合移動辦公用戶的需要，具有廣闊市場前景。目前它已經(jīng)從傳統(tǒng)的醫(yī)療保健、庫存控制和管理服務(wù)等特殊行業(yè)向更多行業(yè)拓展開去，甚至開始進(jìn)入家庭以及教育機(jī)構(gòu)等領(lǐng)域。IEEE802.11規(guī)定的發(fā)射功率不可超過100毫瓦，實際發(fā)射功率約60-70毫瓦，而手機(jī)的發(fā)射功率約200毫瓦至1瓦間，手持式對講機(jī)高達(dá)5瓦。而且無線網(wǎng)絡(luò)使用方式并非像手機(jī)直接接觸人體，因此是安全的。

2.3無線網(wǎng)絡(luò)的協(xié)議

最常見的有IEEE802.11，IEEE802.11a、IEEE802.11b、IEEE802.11g。其中：IEEE802.11是IEEE（電氣和電子工程師協(xié)會）最初制定的一個無線局域網(wǎng)標(biāo)準(zhǔn)。IEEE802.11b又被稱為Wi-Fi，使用開放的2.4GHz直接序列擴(kuò)頻，最大數(shù)據(jù)傳輸速率為108Mbps，也可根據(jù)信號強(qiáng)弱把傳輸率調(diào)整為54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps帶寬。無需直線傳播傳輸范圍為室外最大300米，室內(nèi)有障礙的情況下最大100米，是現(xiàn)在使用的最多的傳輸協(xié)議。

2.4無線局域網(wǎng)的工作模式

無線局域網(wǎng)的工作模式一般分為兩種，Infrastructure和Ad-hoc。Infrastructure是指通過AP（AccessPoint）互連的工作模式，也就是可以把AP看作是傳統(tǒng)局域網(wǎng)中的Hub（集線器）。Ad-hoc是一種比較特殊的工作模式，它通過把一組需要互相通訊的無線網(wǎng)卡的ESSID設(shè)為同值來組網(wǎng)，這樣就可以不必使用AP，構(gòu)成一種特殊的無線網(wǎng)絡(luò)應(yīng)用模式。幾臺計算機(jī)裝上無線網(wǎng)卡，即可達(dá)到相互連接，資源共享的目的。

2.5WLAN的基本構(gòu)件

一般架設(shè)無線網(wǎng)絡(luò)的基本配備就是無線網(wǎng)卡及一臺AP，如此便能以無線的模式，配合既有的有線架構(gòu)來分享網(wǎng)絡(luò)資源。如果只是幾臺電腦的對等網(wǎng)，也可不要AP。只需要每臺電腦配備無線網(wǎng)卡。AP為AccessPoint簡稱，一般翻譯為“無線訪問節(jié)點(diǎn)”，或“橋接器”。它主要在媒體存取控制層MAC中扮演無線工作站及有線局域網(wǎng)絡(luò)的橋梁。有了AP，就像一般有線網(wǎng)絡(luò)的Hub一般，無線工作站可以快速且輕易地與網(wǎng)絡(luò)相連。

3智能小區(qū)的設(shè)計方案和實施

3.1應(yīng)用需求分析

根據(jù)提供的資料分析，寬帶已接入到小區(qū)的網(wǎng)絡(luò)中心（100M），小區(qū)內(nèi)的8幢住宅樓沒有寬帶接入，小區(qū)內(nèi)八棟樓共有800戶居民，樓內(nèi)居民戶數(shù)一般在100戶以內(nèi)，只有1幢超過100戶（175戶），為了保證用戶網(wǎng)上沖浪、視頻點(diǎn)播，網(wǎng)絡(luò)中心與住宅樓采用點(diǎn)對點(diǎn)的無線接入，無線接入設(shè)備采用IEEE802.11b標(biāo)準(zhǔn)，為數(shù)據(jù)流量提供了11Mbps的數(shù)據(jù)速率，其傳送信息的速度要快于租賃的T1線路（1.544Mbps），高于一條E1線路（2Mbps），傳輸距離最遠(yuǎn)達(dá)30公里。樓內(nèi)用戶通過架設(shè)的無線設(shè)備，使居民無論是在樓前的花園還是家里，沒有上網(wǎng)時間、地點(diǎn)的限制，只需插入筆記本電腦一張小小的無線網(wǎng)卡，即可隨時隨地上網(wǎng)，享受網(wǎng)絡(luò)服務(wù)。

3.2小區(qū)無線網(wǎng)絡(luò)方案設(shè)計說明

本套方案的無線產(chǎn)品采用Z-COM公司的AP和無線網(wǎng)卡。AP用XI-1500系列，無線網(wǎng)卡用XI-300、XI-600、XI-750、XI-800系列。臺式機(jī)的無線網(wǎng)卡用XI-750（USB）系列或XI-600（PCI→PCMCIA）+XI300系列；筆記本電腦網(wǎng)卡用XI-300；掌上電腦用XI-800系列。使用有線接入，存在布線困難、施工不便、費(fèi)用高、周期長等問題，所以，本方案從寬帶接入到用戶終端使用的連接方式均采用無線方式。

各住宅樓間的AP，若放在室內(nèi)，則有破壞原建筑物、增加室內(nèi)AP的數(shù)量、布線難度加大、施工周期加長等缺點(diǎn)。所以，計劃將住宅樓間的AP放在室外。中心站點(diǎn)設(shè)在主樓，AP放在樓頂。主樓和住宅樓通過APXI-1500通信。住宅樓頂?shù)腁P與住宅樓間的AP連接。用戶在終端設(shè)備裝上無線網(wǎng)卡，即可自由訪問internet。

3.3流量分析

寬帶的總流量為100Mbps，每個AP的總流量為11Mbps，8個僅需88Mbps，寬帶流量完全能滿足AP的流量需求。本小區(qū)是8幢800戶，假設(shè)每幢樓有100戶，使用率100%，每幢樓同時上網(wǎng)人數(shù)假設(shè)有80人，每人的傳輸速率約140Kbps。所以，住宅樓間裝有AP的住宅樓頂只需1個11Mbps的AP，足可滿足用戶要求。

3.4中心機(jī)房網(wǎng)絡(luò)設(shè)計

中心機(jī)房的無線網(wǎng)絡(luò)接入情況如圖2-1所示。其中，電信寬帶100Mbps到小區(qū)，接到中心機(jī)房的服務(wù)器，百兆口的交換機(jī)也與服務(wù)器連接，主樓的AP直接連到交換機(jī)即可。

服務(wù)器（proxy），PC機(jī)+proxy，服務(wù)器裝上防火墻、計費(fèi)軟件及其它管理軟件，便可實現(xiàn)對小區(qū)的無線局域網(wǎng)進(jìn)行管理，既能防止非法用戶登陸本網(wǎng)絡(luò)，又能對無線終端進(jìn)行計費(fèi)。

百兆交換機(jī)(switch)，百兆交換機(jī)提供了所有與之連接的AP共享100Mbps頻寬。Switch的位置可以根據(jù)實際情況放置，若主樓頂有電源等設(shè)備的控制室，可以考慮將switch放到樓頂。Switch使用的是8換機(jī)。

3.5主樓和住宅樓的網(wǎng)絡(luò)設(shè)計

寬帶接入在主樓的中心機(jī)房,我們將中心機(jī)房設(shè)為中心接入點(diǎn),通過中心接入點(diǎn)將寬帶連接到各住宅的樓頂AP。由于1個AP最高傳輸數(shù)率為11Mbps，所以主樓用1個AP不能滿足用戶的上網(wǎng)要求。根據(jù)實際需要，設(shè)計如下：主樓有6個AP共享100Mbps的帶寬，8幢中的6幢住宅樓頂各用1個AP。為了確保用戶的通信質(zhì)量，主樓與住宅樓均采用24dBi的網(wǎng)狀定向天線。AP均放在樓頂。

3.6住宅樓的無線網(wǎng)絡(luò)設(shè)計

8個住宅樓的網(wǎng)絡(luò)結(jié)構(gòu)是一樣的，只是建筑面積有點(diǎn)差別。為了擴(kuò)大覆蓋面，住宅樓間的AP均采用全向天線，根據(jù)實際要求可在5dBi—10dBi范圍內(nèi)選擇。每幢住宅樓間的AP通過1個4口的HUB與各自樓頂?shù)腁P連接。

3.7網(wǎng)絡(luò)的配置

小區(qū)使用的是商業(yè)DSL服務(wù)，它將為用戶提供一套固定的IP地址。并且有路由器和防火墻提供一些安全功能，當(dāng)無線用戶連到網(wǎng)絡(luò)時，需要網(wǎng)絡(luò)地址轉(zhuǎn)換和DHCP服務(wù)對之進(jìn)行配置。

配置過程中，還需要配置網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)關(guān)地址、子網(wǎng)以及DNS服務(wù)器等信息。以下是配置方案：

ISP提供的IP地址為60.166.44.165（然后這個地址作為客戶端及其他設(shè)備連到它的網(wǎng)關(guān)地址）；

ISP提供的網(wǎng)關(guān)地址是60.166.44.1（需服務(wù)商預(yù)先設(shè)置）；

ISP將DNS地址分配為202.102.192.68和202.102.199.68；

下面可以配置WLAN訪問點(diǎn)：

將無線局域網(wǎng)WLAN訪問點(diǎn)的WAN網(wǎng)關(guān)地址設(shè)為60.166.44.165；

將無線局域網(wǎng)WLAN訪問點(diǎn)的WANIP地址設(shè)為60.166.44.165；

該地址也是唯一地確定所有到Internet的WLAN訪問點(diǎn)，在需要的時候可以追蹤通信量；

將無線局域網(wǎng)WLAN訪問點(diǎn)的DNS設(shè)置為202.102.192.68和202.102.199.68；

配置WLAN訪問點(diǎn)的路由器的LAN地址為10.10.1.1；

配置WLAN訪問點(diǎn)的路由器的LAN地址為255.255.0.0；

配置WLAN訪問點(diǎn)的路由器以提供NAT，并讓它作為一個DHCP地址；

配置WLAN訪問點(diǎn)的路由器以足夠的DHCP地址—根據(jù)小區(qū)的實際情況，需要同時滿足640個人的上網(wǎng)需求。那么至少就需要640個DHCP地址；

將WLAN訪問點(diǎn)的服務(wù)標(biāo)識符SSID設(shè)為小區(qū)用戶認(rèn)可的名字；

使用WEP加密密碼，對非法用戶作一些限制；

4無線網(wǎng)絡(luò)的安全防護(hù)和維護(hù)

4.1無線網(wǎng)絡(luò)的安全性

由于無線局域網(wǎng)采用公共的電磁波作為載體，更容易受到非法用戶入侵和數(shù)據(jù)竊聽。無線局域網(wǎng)必須考慮的安全因素有三個：信息保密、身份驗證和訪問控制。為了保障無線局域網(wǎng)的安全，主要有以下幾種技術(shù),并作簡要介紹：

（1）物理地址（MAC）過濾

每個無線工作站的無線網(wǎng)卡都有唯一的物理地址，類似以太網(wǎng)物理地址?？梢栽贏P中建立允許訪問的MAC地址列表，如果AP數(shù)量太多，還可以實現(xiàn)所有AP統(tǒng)一的無線網(wǎng)卡MAC地址列表，現(xiàn)在的AP也支持無線網(wǎng)卡MAC地址的集中Radius認(rèn)證。這種方法要求MAC地址列表必需隨時更新，可擴(kuò)展性差。

（2）服務(wù)集標(biāo)識符（SSID）匹配

對AP設(shè)置不同的SSID，無線工作站必須出示正確的SSID才能訪問AP，這樣就可以允許不同的用戶群組接入，并區(qū)別限制對資源的訪問。

（3）有線等效保密（WEP）

有線等效保密協(xié)議是由802.11標(biāo)準(zhǔn)定義的，用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的保密密鑰，各無線工作站使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。40位WEP具有很好的互操作性，所有……

通過Wi－Fi組織認(rèn)證的產(chǎn)品都可以實現(xiàn)WEP互操作?，F(xiàn)在的WEP也一般支持128位的鑰匙，能夠提供更高等級的安全加密。

4.2WLAN的防護(hù)

在明白了一個毫無防護(hù)的WLAN所面臨的種種問題后，應(yīng)該在問題發(fā)生之前作一些相應(yīng)的應(yīng)對措施，下面就是介紹針對各種不同層次的入侵方式時采取的各種應(yīng)對措施。

在一個無任何防護(hù)的無線LAN前，要想攻擊它的話，并不需要采取什么特別的手段，只要任何一臺配置有無線網(wǎng)卡的機(jī)器就行了，能夠在計算機(jī)上把無線網(wǎng)卡開啟的人就是一個潛在的入侵者。在許多情況下，有人無心地打開了他們裝備有無線設(shè)備的計算機(jī)，并且恰好位于你的WLAN覆蓋范圍之內(nèi)，這樣他們的機(jī)器不是自動地連接到了你的AP，就是在“可用的”AP列表中看到了它。其實，在平常的統(tǒng)計中，有相當(dāng)一部分的未授權(quán)連接就是來自這樣的情況，并不是別人要有意侵犯你的網(wǎng)絡(luò)，而是有時無意中在好奇心的驅(qū)使下的行為而已。

（1）更改默認(rèn)設(shè)置

最基本，要更改默認(rèn)的管理員密碼，而且如果設(shè)備支持的話，最好把管理員的用戶名也一同更改。對大多數(shù)無線網(wǎng)絡(luò)設(shè)備來說，管理員的密碼可能是通用的，因此，一般情況下更改這個密碼，使其他用戶無法獲得整個網(wǎng)絡(luò)的管理權(quán)限。

（2）更新AP的Firmware

有時，通過刷新最新版本的Firmware能夠提高AP的安全性，新版本的Firmware常常修復(fù)了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施。

（3）屏蔽SSID廣播

許多AP允許用戶屏蔽SSID廣播，這樣可防范netstumbler的掃描，不過這也將禁止WindowsXP的用戶使用其內(nèi)建的無線Zero配置應(yīng)用程序和其他的客戶端應(yīng)用程序。

（4）關(guān)閉機(jī)器或無線發(fā)射

關(guān)閉無線AP，一般用戶來保護(hù)他們的無線網(wǎng)絡(luò)所采用的最簡單的方法了，在無需工作的整個晚上的時間內(nèi)，可以使用一個簡單的定時器來關(guān)閉我們的AP。不過，如果擁有的是無線路由器的話，那因特網(wǎng)連接也被切斷了，這倒也不失為一個好的辦法。在不能夠關(guān)閉因特網(wǎng)連接的情況下，就不得不采用手動的方式來禁止無線路由器的無線發(fā)射了(當(dāng)然，也要求無線路由器支持這一功能)。

（5）MAC地址過濾

MAC地址過濾是通過預(yù)先在AP在寫入合法的MAC地址列表，只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配，AP才允許客戶機(jī)與之通信，實現(xiàn)物理地址過濾。

（6）降低發(fā)射功率

雖然只有少數(shù)幾種AP擁有這種功能，但降低發(fā)射功率仍可有助于限制有意或偶然的未經(jīng)許可的連接。但現(xiàn)在無線網(wǎng)卡的靈敏度在不斷提高，甚至這樣的網(wǎng)卡隨便都可購買得到，特別是在一幢大樓或宿舍中嘗試阻止一些不必要的連接時，這可能沒什么實際意義了。

（7）使用一些應(yīng)用程序?qū)o線網(wǎng)絡(luò)進(jìn)行探測

通常情況下，我們還可以用一些軟件對無線網(wǎng)絡(luò)進(jìn)行監(jiān)控或探測。NetStumbler最經(jīng)常使用的一種軟件，是廣泛應(yīng)用于監(jiān)測無線網(wǎng)絡(luò)運(yùn)行的工具。它對可以接受到的每一個無線訪問點(diǎn)都提供了大量的數(shù)據(jù)，能顯示運(yùn)行中的無線設(shè)備的MAC地址、使用信道、信號強(qiáng)度、SSID或者其中的缺陷，以及對某個特別訪問點(diǎn)是否采取了編碼。

小結(jié)

無線局域網(wǎng)絡(luò)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(RadioFrequency；RF)的技術(shù)，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)，使得無線局域網(wǎng)絡(luò)能利用簡單的存取架構(gòu)讓用戶透過它，達(dá)到“信息隨身化、便利走天下”的理想境界。本文主要介紹了智能小區(qū)無線局域網(wǎng)的組建和管理方法，如何運(yùn)用手中的軟件和硬件設(shè)備達(dá)到局域網(wǎng)的最佳配置。對局域網(wǎng)的設(shè)備，術(shù)語和操作方法描述的比較詳細(xì)，具有一定的實用價值。