基于802.11n標準的校園無線網(wǎng)的規(guī)劃與設計
3.4 無線網(wǎng)絡安全性設計
與有線局域網(wǎng)相比,連接局域網(wǎng)的各類線纜一定程度上已經對網(wǎng)絡的使用進行了接入控制,而無線網(wǎng)絡的信道開放,給無線網(wǎng)絡帶來了一定的安全隱患。主要包括未經授權使用網(wǎng)絡,地址欺騙和會話攔截(中間人攻擊),高級入侵等。基于以上安全隱患必須采用多種安全設計并舉的方式來保證整體網(wǎng)絡的安全性,主要的安全性設計包括以下幾個方面:
1)多SSID機制多個SSID機制對無線網(wǎng)絡進行了邏輯上的劃分,不僅有利于網(wǎng)絡的分塊管理,而且實現(xiàn)了對用戶的使用權限的控制。
①WEP(Wired Equivalent Privacy)是WLAN的第一個安全協(xié)議,WEP使用一個共享的密鑰對數(shù)據(jù)進行加密,密鑰的長度為64位或128位。目前IEEE 802.11標準中的WEP安全解決方案,在15分鐘內就能被攻破,已被證實不安全。
②)WPA(Wi-Fi Protected Access)加密方式及其加密特性決定了它比WEP更難以入侵??梢哉fWPA=802.1X+EAP+TKIP+MIC,其中TKIP(Temporal Key Integrity Protocod)成為臨時密鑰完整性協(xié)議,其采用的加密算法是RC4,但在RC4基礎上采用了更加復雜的數(shù)據(jù)封裝,密鑰長度也提高到了128位且密鑰由服務器自動分發(fā)。在802.1X/EAP(可擴展的認證協(xié)議)的認證支持下,TKIP實現(xiàn)了用戶密鑰、會話密鑰、數(shù)據(jù)包密鑰的分級密鑰體系。MIC(Message integrity Check)全稱信息完整檢查技術,用于防止數(shù)據(jù)的偽造。由此可知WPA安全性主要體現(xiàn)在身份認證、加密機制和數(shù)據(jù)包檢查等方面,而且它還可以加強無線網(wǎng)絡的管理。根據(jù)校園網(wǎng)的特點,應采用WPA加密方式為宜。
3)網(wǎng)絡帶寬的限制、網(wǎng)絡帶寬的限制主要是對無線網(wǎng)絡中重放攻擊等安全隱患的預防,給不同權限的用戶設定一個最大帶寬以有效地保證整個網(wǎng)絡帶寬的合理使用,對防止病毒在WLAN中的傳播也起到一定的遏制作用。
4)病毒防護及入侵檢測機 根據(jù)WPDRRC安全模型的定義,檢測是保證無線網(wǎng)絡安全的重要環(huán)節(jié),要及時檢測網(wǎng)絡中存在的異常,盡早把病毒等不安全因素遏制在“搖籃之中”。在病毒防護方面可以通過檢測用戶的狀態(tài)并根據(jù)準入機制限制病毒等進入網(wǎng)絡。
5)設備安全措施保障無線網(wǎng)絡設備的安全是保證無線園區(qū)網(wǎng)絡正常運行的前提,當前無線網(wǎng)絡設備的安全主要包括無線設備的物理安全,無線設備的密碼安全及安全訪問等。與有線網(wǎng)絡設備一般放在配線間不同,無線AP等網(wǎng)絡設備需要分布在無線網(wǎng)絡空問相應的位置以滿足網(wǎng)絡覆蓋的要求,且無線網(wǎng)絡設備常需要暴露在室外,防盜、防雷等在部署園區(qū)無線網(wǎng)絡時是必須考慮的問題。針對設備的物理安全可以采取警報系統(tǒng),和安裝避雷針等方式解決。在為無線網(wǎng)絡設備設置密碼時應避免使用無線網(wǎng)絡設備的默認密碼,創(chuàng)建健全的密碼保障無線設備不會被輕而易舉地訪問。
3.5 移動漫游設計
移動漫游設計中可采用基于二層漫游設計和三層漫游設計2種方式。目前大多數(shù)的無線產品都只能支持基于二層的漫游設計,相比三層漫游而言,用戶在跨網(wǎng)段訪問時需要二次認證,這其中不可避免的會引起丟包或增加網(wǎng)絡延時,嚴格意義上來說,不屬于真正的無縫漫游。而基于三層的漫游可以保證用戶在AP、WLAN交換機、不同的VLAN之間進行無縫漫游,漫游過程中不會丟失連接也不需要重啟DHCP。在具體選擇漫游方式時,需要根據(jù)用戶具體的應用而定,在使用語音等QoS要求較高的業(yè)務時,使用三層漫游則更為合理。
3.6 無線設備的相關設計
在無線設備的相關設計中主要包括無線設備的選址和無線設備的選型等。
1)無線設備的選址無線設備的選址應根據(jù)一定的原則,即在滿足用戶需求的前提下要使用最少的設備,在具體設計時可先采用仿真軟件模擬現(xiàn)實的環(huán)境??刂坪脽o線信號的重疊范圍,無線信號的功率,無線信號的輻射方向。過多的無線信號重疊會引起頻繁的無線漫游,進而影響服務質量;在靠近校外的建筑物上放置AP最好使用定向天線,盡量減少無線信號輻射到校園外,以及減少因信號輻射到校園外而增加網(wǎng)絡管理復雜度和不安全性。
2)無線設備的造型在教室等墻體密集的區(qū)域可以通過增強無線信號的輻射功率或采用高靈敏度、穿透能力強的無線AP產品,并配合分離式吸璜天線,以一個AP配合一個天線或一個AP配合多個天線的方式完成室內區(qū)域的完全覆蓋。室外選用室外無線AP,通過天線聚集信號使無線覆蓋范圍更大、更遠。設備與天線可安置于樓頂或樓底,使無線信號向下或向上整體覆蓋樓宇。具體設計中還應考慮電能的供應情況,在電能供應方便的地方采用電源供電,否則使用帶有POE功能的設備,以POE方式供能。
3.7 測試方案的設計
基本的WLAN搭建完成后,應做相應的測試。網(wǎng)絡管理是一個不斷測試,不斷發(fā)現(xiàn)并及時解決問題的過程。無線網(wǎng)絡的測試主要包括IP聯(lián)通性的測試、無線網(wǎng)絡速率的測試、無線網(wǎng)絡的漫游功能的測試以及準入測試等4個方面。IP聯(lián)通性的測試可通過ping、tracert等網(wǎng)絡測試命令實現(xiàn)。無線網(wǎng)絡速率的測試可以通過計算機自帶的功能進行速率的測試,也可通過相關的測試設備或測試軟件進行速率的測試。在進行無線網(wǎng)絡漫游功能的測試時,可以利用筆記本電腦連接到無線網(wǎng)絡,在不同的兩個無線區(qū)域之間進行移動,同時使用ping命令ping網(wǎng)關地址,并利用telnet工具登錄到無線控制器等設備上,輸入相關的命令查看漫游記錄。準入測試可以在服務器端配置不同的測試用戶和密碼,在客戶端以不同的用戶和密碼進行測試,并與預期的設計理念核對。
3. 8 其他設計
一個健全的WLAN,要經受不同季節(jié)、不同天氣的考驗,因此,在WLAN的設計中要把天氣等環(huán)境因素考慮到網(wǎng)絡設計中,由于無線網(wǎng)絡易受天氣、建筑等因素的影響,所以要準備相應的應急預案。另外還要考慮停電等突發(fā)情況的影響。
4 結論
隨著無線技術的不斷發(fā)展,制約傳統(tǒng)WLAN發(fā)展的一些因素正在被新的技術所改善,無線局域網(wǎng)的優(yōu)勢也進一步突顯出來,WLAN不僅彌補了有線局域網(wǎng)的不足,而且為局域網(wǎng)開辟了一個嶄新的技術和應用領域。WLAN技術在校園網(wǎng)的應用也必將給大學校園的學習、工作、交流帶來更大的便捷。本文引用地址:http://butianyuan.cn/article/155308.htm
評論