無線局域網(wǎng)的設(shè)計與實現(xiàn)論文201207092231java122李自賢

PAGEXLIX局域網(wǎng)的布置摘要無線局域網(wǎng)(WirelessLocalAreaNetwork，簡稱WLAN)是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，采用無線傳送方式提供有線局域網(wǎng)的功能，是對有線局域網(wǎng)的一種補(bǔ)充和擴(kuò)展。目前采用802.11g標(biāo)準(zhǔn)的無線局域網(wǎng)的數(shù)據(jù)傳輸速率可達(dá)54Mbps，使得網(wǎng)上的計算機(jī)具有可移動性，能夠快速方便地解決有線方式不易實現(xiàn)的網(wǎng)絡(luò)連接問題，具有部署靈活、帶寬高、延展性強(qiáng)、易維護(hù)等優(yōu)勢。本文對無線局域網(wǎng)的特點和技術(shù)做了介紹，研究了802.11無線局域網(wǎng)的安全狀況，以校園無線網(wǎng)絡(luò)為背景，提出了基于IEEE802.11g協(xié)議的系統(tǒng)網(wǎng)絡(luò)設(shè)計方案，并在此基礎(chǔ)上對如何進(jìn)行網(wǎng)絡(luò)優(yōu)化工作進(jìn)行了詳細(xì)的探討。關(guān)鍵詞:無線局域網(wǎng)；802.11；AP接入目錄1.緒論 11.1選題背景 11.2課題研究的目以及意義 11.3IEEE802.11系列標(biāo)準(zhǔn) 21.4國內(nèi)相關(guān)研究現(xiàn)狀 21.5校園無線網(wǎng)絡(luò)的發(fā)展前景 22.無線局域網(wǎng)設(shè)計特點、安全狀況及方案設(shè)計 22.1無線局域網(wǎng)的特點 22.1.1傳輸方式 22.1.2網(wǎng)絡(luò)拓?fù)?32.2幾種主要的WLAN技術(shù) 62.3無線局域網(wǎng)安全狀況 62.3.1無線局域網(wǎng)安全技術(shù) 72.3.2無線局域網(wǎng)安全隱患 102.4方案設(shè)計 112.4.1需求分析 112.4.2對現(xiàn)有網(wǎng)絡(luò)的體系結(jié)構(gòu)進(jìn)行分析 112.4.3無線網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計 112.4.4無線網(wǎng)絡(luò)物理結(jié)構(gòu)設(shè)計 122.4.5校本部網(wǎng)絡(luò)拓?fù)鋱D設(shè)計 142.4.6校區(qū)間連接 162.4.7IEEE802.11無線局域網(wǎng)設(shè)備介紹 182.4.8無線AP的配置 182.4.9無線網(wǎng)卡設(shè)置 243.無線環(huán)境的網(wǎng)絡(luò)優(yōu)化 263.1無線設(shè)備布局的主要思路 263.2網(wǎng)絡(luò)優(yōu)化中需要測試的一些主要指標(biāo) 273.3降低干擾 283.4制定優(yōu)化方案 294.結(jié)論及存在的問題 29參考文獻(xiàn) 30致謝 311.緒論1.1選題背景近些年來,信息技術(shù)的發(fā)展日新月異,正以不可抗拒的力量改變著人們的生產(chǎn)方式、生活方式,同時也正在影響并改變著學(xué)校的管理模式、教學(xué)模式、學(xué)習(xí)方式乃至師生的生活方式。目前除少數(shù)高職院校、民辦高校外,國內(nèi)高校幾乎都已建立校園網(wǎng),隨著校園網(wǎng)規(guī)模不斷擴(kuò)大,硬件環(huán)境逐漸完善,校園網(wǎng)絡(luò)在高校教學(xué)、科研、管理中的應(yīng)用也在逐步深化。在校園網(wǎng)(有線網(wǎng)絡(luò))建設(shè)、運(yùn)行和維護(hù)的實踐過程中,由于眾多高校的校園網(wǎng)基本上是通過光纖、網(wǎng)線連接起來的“有線網(wǎng)”,在技術(shù)實施，現(xiàn)實應(yīng)用中不可避免地存在一定弊端,而且隨著這種弊端的日益嚴(yán)重,在一定程度上困擾甚至阻礙著校園網(wǎng)建設(shè)和教育信息化的進(jìn)程。諸如很多學(xué)校只在部分區(qū)域接入網(wǎng)絡(luò),而無法顧及所有區(qū)域;部分學(xué)校由于經(jīng)費(fèi)緊張導(dǎo)致布置網(wǎng)線的室、圖書館數(shù)量有限;學(xué)校中有些具有歷史意義的或年久失修的建筑物不適合鉆孔布線。此外,在現(xiàn)階段,高校還有一個顯著的特點就是建立分校區(qū),校本部與分校區(qū)之間的網(wǎng)絡(luò)聯(lián)結(jié)就成了一個非常大的工程,通常組網(wǎng)的傳輸媒介主要依賴銅纜或光纜,構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場合要受到布線的限制,比如布線、改線工程量大;線路容易損壞;網(wǎng)中的各節(jié)點不可移動等等。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點聯(lián)接起來時,架設(shè)專用通信線路的布線施工難度大、費(fèi)用高、耗時長,因此對正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。如何合理的解決此類問題,已成為高校校園網(wǎng)建設(shè)初期必須慎重考慮的問題。傳統(tǒng)有線校園網(wǎng)的“網(wǎng)絡(luò)盲點”問題,與師生員工“隨時隨地獲取信息”的新需求之間的矛盾一度困擾著高校教育信息化決策和建設(shè)人員。如今隨著無線技術(shù)的快速發(fā)展和日趨成熟,無線網(wǎng)絡(luò)雖然還不能完全脫離有線網(wǎng)絡(luò),雖然教育行業(yè)的無線網(wǎng)絡(luò)還未呈普及態(tài)勢,但無線網(wǎng)絡(luò)已經(jīng)成功服務(wù)于某些高校,以它的高速傳輸能力和靈活性發(fā)揮日益重要的作用。1.2課題研究的目的和意義隨著社會對計算機(jī)依賴性的增加，用戶要求互連的計算機(jī)數(shù)量更多，類型更為復(fù)雜。但傳統(tǒng)有線網(wǎng)絡(luò)由于受設(shè)計或環(huán)境條件的制約，在物理、邏輯和資金方面普遍存在著很多問題，特別是當(dāng)涉及到網(wǎng)絡(luò)移動和重新布局時，所以發(fā)展一種可行的無線通信網(wǎng)絡(luò)技術(shù)作為現(xiàn)有數(shù)據(jù)連接的擴(kuò)充己成為一種需要。自從上個世紀(jì)90年代以來，隨著個人數(shù)據(jù)通信的發(fā)展，為了實現(xiàn)任何人在任何時間、任何地點均能實現(xiàn)數(shù)據(jù)通信的目標(biāo)，要求傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)由有線向無線，由固定向移動，由單一業(yè)務(wù)向多媒體發(fā)展，更進(jìn)一步推動了無線局域網(wǎng)(WirelessLAN，WLAN)的發(fā)展。與有線局域網(wǎng)相比較，無線局域網(wǎng)具有移動性高、傳輸距離長、網(wǎng)絡(luò)保密性好、開發(fā)運(yùn)營成本低、易擴(kuò)展、受自然環(huán)境影響小，組網(wǎng)方式靈活、管理方便等特點，彌補(bǔ)了傳統(tǒng)有線局域網(wǎng)的不足。1.3IEEE802.11系列標(biāo)準(zhǔn)IEEE802.11[1]標(biāo)準(zhǔn)由很多子集構(gòu)成，它己經(jīng)歷了十多年的發(fā)展，目前仍在不斷的改進(jìn)和修訂之中，以適應(yīng)提升網(wǎng)絡(luò)速度、安全認(rèn)證、漫游和QoS等方面的要求，它們各有側(cè)重，下面簡要介紹這些標(biāo)準(zhǔn)的基本內(nèi)容。IEEE802.llb-它是802.11協(xié)議1999版的修改與補(bǔ)充，也叫Wi-Fi(WirelessFidelity)。802.llb工作在2.4GHz頻段，建立在直接序列擴(kuò)頻(DSSS，DirectSequenceSpreadSpectrum)的加強(qiáng)版本CCK(補(bǔ)充編碼鍵控)基礎(chǔ)上，它是當(dāng)前應(yīng)用最為廣泛的WLAN標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)在物理層部分在原來802.11標(biāo)準(zhǔn)的1Mbit/s，2Mbit/s傳輸速率之外，增加了5.SMbit/s和11Mbit/s的高速數(shù)據(jù)傳輸速率。IEEE802.1la協(xié)議-它工作在5GHzU-NII頻帶，物理層速率數(shù)據(jù)速率從6Mbit/s直到54Mbit/s，傳輸層可達(dá)25Mbit/s。采用正交頻分復(fù)用(OFDM)的獨(dú)特的擴(kuò)頻技術(shù);可提供25Mbit/S的無線ATM接口和10Mbit/s的以太網(wǎng)無線幀結(jié)構(gòu)接口，以及TDD/TDMA的空中接口;支持語音、數(shù)據(jù)、圖像業(yè)務(wù)。IEEE802.11g-該標(biāo)準(zhǔn)于2003年6月16日正式定案，它工作在2.4GHz頻段，使用CCK技術(shù)以與802.11b標(biāo)準(zhǔn)后向兼容，同時為支持54Mbit/S的高速率，802.11g又采用了OFDM技術(shù)。802.11g的兼容性和高數(shù)據(jù)速率彌補(bǔ)了802.11a和802.11b各自的缺陷，一方面使得802.llb產(chǎn)品可以平穩(wěn)向高數(shù)據(jù)速率升級，滿足日益增加的帶寬需求，另一方面使得802.11a實現(xiàn)與1.4國內(nèi)相關(guān)研究現(xiàn)狀目前無線局域網(wǎng)仍處于眾多標(biāo)準(zhǔn)共存時期,IEEE發(fā)布的最新標(biāo)準(zhǔn)為802.11g。現(xiàn)在，支持11Mbps以上用戶傳輸速率的系統(tǒng)相當(dāng)成熟;速率在40MbpS甚至80MbpS及以上的系統(tǒng)實現(xiàn)己在加拿大、美國、歐洲、日本等國家的專門實驗室展開。研究的范圍從無線電設(shè)計、物理層實現(xiàn)、媒體接入控制(MAC)技術(shù)直至網(wǎng)絡(luò)對無線多媒體的支持。根據(jù)技術(shù)發(fā)展趨勢和研究情況，在未來10年左右的時間里，為用戶提供高達(dá)1Gbps速率的系統(tǒng)是可能的。正是這樣的發(fā)展速度刺激了今天無線網(wǎng)絡(luò)快速的發(fā)展和應(yīng)用。1.5校園無線網(wǎng)絡(luò)的發(fā)展前景。校園無線網(wǎng)絡(luò)是落實信息化校園的重要一步,作為對有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)充,無線網(wǎng)絡(luò)能夠與學(xué)?，F(xiàn)有的骨干網(wǎng)絡(luò)實現(xiàn)最大化的兼容?，F(xiàn)在無線網(wǎng)絡(luò)在技術(shù)上已日益成熟,有著非常光明的前途,在教育中的應(yīng)用將會有更引人入勝的前景。無線網(wǎng)絡(luò)為通信的移動化、個性化和多媒體應(yīng)用提供了可能。目前全世界每天新增無線網(wǎng)用戶約3萬人,全球總數(shù)量已超過4億。隨著3G技術(shù)的成熟與國家產(chǎn)業(yè)政策的扶持,我國也正在大規(guī)模建設(shè)3G無線互聯(lián)接入網(wǎng)絡(luò),中國電信、中國移動、中國聯(lián)通相繼推出3G網(wǎng)絡(luò)應(yīng)用,今后無線網(wǎng)絡(luò)將會有更廣泛的發(fā)展空間并逐步進(jìn)入家庭。2.無線局域網(wǎng)設(shè)計特點、安全狀況及方案設(shè)計2.1無線局域網(wǎng)的特點2.1.1傳輸方式傳輸方式[2]涉及無線網(wǎng)采用的傳輸媒體、選擇的頻段及調(diào)制方式。目前無線網(wǎng)采用的傳輸媒體主要有兩種，即無線電波與紅外線。在采用無線電波作為傳輸媒體的無線網(wǎng)根據(jù)調(diào)制方式不同，又可分為擴(kuò)展頻譜方式與窄帶調(diào)制方式。(1)擴(kuò)展頻譜方式在擴(kuò)展頻譜方式中，數(shù)據(jù)基帶信號的頻譜被擴(kuò)展至幾倍至幾十倍后再被搬移至射頻發(fā)射出去。這一作法雖然犧牲了頻帶帶寬，卻提高了通信系統(tǒng)的抗干擾能力和安全性。由于單位頻帶內(nèi)的功率降低，對其它電子設(shè)備的干擾也減小了。采用擴(kuò)展頻譜方式的無線局域網(wǎng)一般選擇所謂ISM頻段，這里ISM分別取于Industrial，Scientific及Medical的第一個字母。許多工業(yè)、科研和醫(yī)療設(shè)備輻射的能量集中于該頻段，例如美國ISM頻段由902MHz-928MHz，2.4GHz-2.48GHZ，5.725GHz-5.850GHz三個頻段組成。如果發(fā)射功率及帶寬輻射滿足美國聯(lián)邦通信委員會(FCC)的要求，則無須向FCC提出專門的申請即可使用ISM頻段。(2)窄帶調(diào)制方式在窄帶調(diào)制方式中，數(shù)據(jù)基帶信號的頻譜不做任何擴(kuò)展即被直接搬移到射頻發(fā)射出去。與擴(kuò)展頻譜方式相比，窄帶調(diào)制方式占用頻帶少，頻帶利用率高。采用窄帶調(diào)制方式的無線局域網(wǎng)一般選用專用頻段，需要經(jīng)過國家無線電管理部門的許可方可使用。當(dāng)然，也可選用ISM頻段，這樣可免去向無線電管理委員會申請。但帶來的問題是，當(dāng)臨近的儀器設(shè)備或通信設(shè)備也在使用這一頻段時，會嚴(yán)重影響通信質(zhì)量，通信的可靠性無法得到保障。(3)紅外線方式基于紅外線的傳輸技術(shù)最近幾年有了很大發(fā)展。目前廣泛使用的家電遙控器幾乎都是采用紅外線傳輸技術(shù)。作為無線局域網(wǎng)的傳輸方式，紅外線的最大優(yōu)點是這種傳輸方式不受無線電干擾，且紅外線的使用不受國家無線電管理委員會的限制。然而，紅外線對非透明物體的透過性極差，這導(dǎo)致傳輸距離受限。2.1.2網(wǎng)絡(luò)拓?fù)湟M建一個無線局域網(wǎng)，設(shè)備是它的重要的硬件基礎(chǔ)。然而無線局域網(wǎng)設(shè)備有很多，而且在實際的產(chǎn)品設(shè)計和發(fā)展過程中，產(chǎn)品提供商不斷為這些設(shè)備提供新的功能。往往一種產(chǎn)品的形態(tài)，在不同的環(huán)境和配置下會體現(xiàn)不同的功能。在不同的應(yīng)用中，也會需要不同的設(shè)備。就一個簡單的無線局域網(wǎng)而言，一般包括無線局域網(wǎng)客戶端和無線局域網(wǎng)基站。無線局域網(wǎng)客戶端的作用是與無線基站進(jìn)行管理關(guān)聯(lián)，使設(shè)備具有無線接入功能并接入到無線局域網(wǎng)中進(jìn)行通信。它包含了多種類型的設(shè)備，但最常見的是具有各種接口類型的無線網(wǎng)卡。無線局域網(wǎng)基站設(shè)備指的是處于網(wǎng)絡(luò)拓?fù)渲行奈恢玫脑O(shè)備，通常按功能劃分為無線局域網(wǎng)接入點、無線局域網(wǎng)橋、無線局域網(wǎng)路由器。這些功能上的劃分，有時僅僅是一種工作模式上的劃分，設(shè)備硬件本身并沒有區(qū)別，也就是說，在同一設(shè)備上有可能實現(xiàn)多種功能。無線網(wǎng)卡包括PCMCIA，ISA，PCI和USB等，提供與有線網(wǎng)卡一樣豐富的系統(tǒng)接口。在有線局域網(wǎng)中，網(wǎng)卡是網(wǎng)絡(luò)操作系統(tǒng)與網(wǎng)線之間的接口。在無線局域網(wǎng)中，它們是操作系統(tǒng)與天線之間的接口，用來創(chuàng)建透明的網(wǎng)絡(luò)連接。在無線局域網(wǎng)中最一般的構(gòu)成PCMCIA無線網(wǎng)卡，通常被簡稱為“PC卡”，通常被用在筆一記本計算機(jī)上。無線接入點提供一個無線客戶端設(shè)備進(jìn)入無線局域網(wǎng)的“接入點”，是協(xié)調(diào)無線與有線網(wǎng)絡(luò)之間通信的關(guān)鍵部件。它在無線局域網(wǎng)和有線網(wǎng)絡(luò)之間接收、緩沖存儲和傳輸數(shù)據(jù)，以支持一組無線用戶設(shè)備。接入點通常是通過標(biāo)準(zhǔn)以太網(wǎng)線連接到有線網(wǎng)絡(luò)上，并通過天線與無線設(shè)備進(jìn)行通信。在有多個接入點時，用戶可以在接入點之間漫游切換。接入點的有效范圍是20-500m。根據(jù)技術(shù)、配置和使用情況，一個接入點可以支持15~250個用戶，通過添加更多的接入點，可以比較輕松地擴(kuò)充無線局域網(wǎng)，從而減少網(wǎng)絡(luò)擁塞并擴(kuò)大網(wǎng)絡(luò)的覆蓋范圍。目前無線局域網(wǎng)的組網(wǎng)方式主要有點對點模式、基礎(chǔ)架構(gòu)模式、多AP模式、無線網(wǎng)橋模式和無線中繼器模式五種組網(wǎng)方式。點對點模式也稱為AdhoC模式，該模式要求網(wǎng)中的任意兩個無線客戶端之間均可直接通信，網(wǎng)絡(luò)中的所有無線客戶端的地位平等，無需設(shè)置任何的中心控制節(jié)點。每個無線客戶端均配有無線網(wǎng)卡，但不連接到接入點和有線網(wǎng)絡(luò)，而是通過無線網(wǎng)卡相互間進(jìn)行通信。點對點中的一個無線客戶端必須能同時“看”到網(wǎng)絡(luò)中的其他無線客戶端，否則就認(rèn)為網(wǎng)絡(luò)中斷。它主要用來在沒有基礎(chǔ)設(shè)施的地方快速而輕松地建無線局域網(wǎng)。點對點模式的組網(wǎng)模式如圖2.1所示。圖2-1點對點模式基礎(chǔ)架構(gòu)模式是目前最常見的一種架構(gòu)，這種架構(gòu)包含一個接入點和多個無線終端，接入點一方面可以通過電纜連線與有線網(wǎng)絡(luò)建立連接，一方面可以通過無線電波與無線終端連接，實現(xiàn)了無線終端之間的通信，以及無線終端與有線網(wǎng)絡(luò)之間的通信?；A(chǔ)架構(gòu)網(wǎng)絡(luò)的組網(wǎng)模式如圖2-2所示。該圖由無線訪問點(AP)，無線工作站(STA)以及分布式系統(tǒng)(DSS)構(gòu)成，覆蓋的區(qū)域稱基本服務(wù)區(qū)(BSS)[3]。無線訪問點也稱無線hub，用于在無線STA和有線網(wǎng)絡(luò)之間接收、緩存和轉(zhuǎn)發(fā)數(shù)據(jù)，所有的無線通訊都經(jīng)過AP完成。無線訪問點通常能夠覆蓋幾十至幾百用戶，覆蓋半徑達(dá)上百米。AP可以連接到有線網(wǎng)絡(luò)，實現(xiàn)無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的互聯(lián)。圖2-2基礎(chǔ)架構(gòu)模式多AP模式是指由多個AP以及連接他們的分布式系統(tǒng)組成的基礎(chǔ)勾結(jié)模式網(wǎng)絡(luò)，也稱為擴(kuò)展服務(wù)區(qū)。擴(kuò)展服務(wù)區(qū)中的每個AP都是一個獨(dú)立的無線網(wǎng)絡(luò)基本服務(wù)區(qū)，所有AP共享同一個擴(kuò)展服務(wù)區(qū)標(biāo)示符(ESSID)。雖然在802.11標(biāo)準(zhǔn)中并沒有定義分布式系統(tǒng)，但現(xiàn)在大都是指以太網(wǎng)。相同ESSID的無線網(wǎng)絡(luò)間可以進(jìn)行漫游，不同ESSID的無線網(wǎng)絡(luò)形成邏輯子網(wǎng)。該模式的組網(wǎng)模式如圖2-3所示。圖2-3多AP模式無線網(wǎng)橋模式是利用一對AP連接兩個有線或者無線局域網(wǎng)網(wǎng)段。無線網(wǎng)橋模式的組網(wǎng)如圖2-4所示。圖2-4無線網(wǎng)橋模式無線中繼器模式是利用無線中繼器在通信路徑的中間轉(zhuǎn)發(fā)數(shù)據(jù)，從而延伸系統(tǒng)的覆蓋范圍?！療o線中繼器模式組網(wǎng)如圖2-5所示。圖2-5無線中繼器模式2.2幾種主要的WLAN技術(shù)（1）IrDAIrDA（InfraredDataAssociation）是一種利用紅外線進(jìn)行點到點通信的技術(shù)。其優(yōu)點是體積小，功率低，傳輸速率可達(dá)16Mbps，成本低。超過95%的手提電腦安裝了IrDA接口。市場上推出了可以通過USB接口與PC相連的USB-IrDA設(shè)備。IrDA是一種視距傳輸技術(shù)，通信設(shè)備間不能有阻擋物。不適合多點到點通信。另外IrDA的核心部件——紅外線LED還不是一種耐用器件。(2)BlueToothBlueTooth技術(shù)是用于數(shù)字設(shè)備間的低成本、近距離傳輸?shù)臒o線通信連接技術(shù)。其程序?qū)懺谖⑿托酒?，可以方便地嵌入到設(shè)備之中。BlueTooth技術(shù)工作在2.4GHz頻率上。采用調(diào)頻技術(shù)，理想連接范圍為10cm~10m，帶寬為1Mb/s。（3）802.11/802.11a/b/g采用802.11協(xié)議族的WLAN設(shè)備以其覆蓋距離廣，傳輸速率高的特點，成為了市面上的主流產(chǎn)品，將是本文介紹的重點。2.3無線局域網(wǎng)安全狀況由于無線局域網(wǎng)通過無線電波在空中傳輸數(shù)據(jù)，所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)。無論接觸數(shù)據(jù)者是在另外一個房間、另一層樓或是在本建筑之外，無線就意味著會讓人接觸到數(shù)據(jù)。與此同時，要將無線局域網(wǎng)發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用，任何人都可以截獲和插入數(shù)據(jù)。因此，雖然無線網(wǎng)絡(luò)和無線局域網(wǎng)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由，它安裝時間短，增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活、經(jīng)濟(jì)，可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而，這種自由也同時帶來了新的挑戰(zhàn)，這些挑戰(zhàn)其中就包括安全性。無線局域網(wǎng)必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了，就不僅能保護(hù)傳輸中的信息免受危害，還能保護(hù)網(wǎng)絡(luò)和移動設(shè)備免受危害。難就難在如何使用一個簡單易用的解決方案，同時獲得這三個安全要素。影響無線局域網(wǎng)安全的問題主要在以下方面:數(shù)據(jù)保密。無線LAN網(wǎng)絡(luò)通信安全會受到幾方面的危害，例如傳輸中數(shù)據(jù)被人查看或捕獲，傳輸中數(shù)據(jù)被人改動、重新發(fā)送。訪問和驗證。每個訪問點形成了通向網(wǎng)絡(luò)的一個新的入口。正因為如此就會受到下列漏洞的威脅:首先，未授權(quán)實體進(jìn)入網(wǎng)絡(luò)，瀏覽存放在網(wǎng)絡(luò)上的信息，或者是讓網(wǎng)絡(luò)感染上病毒。其次，未授權(quán)實體進(jìn)入網(wǎng)絡(luò)，利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的出發(fā)點(致使受危害的網(wǎng)絡(luò)卻被誤認(rèn)為攻擊始發(fā)者)。第三，入侵者對移動終端發(fā)動攻擊，或為了瀏覽移動終端上的信息，或為了通過受危害的移動設(shè)備訪問網(wǎng)絡(luò)。2.3.1無線局域網(wǎng)安全技術(shù)在開始應(yīng)用無線局域網(wǎng)時，應(yīng)該充分考慮其安全性。常見的無線局域網(wǎng)安全技術(shù)有以下幾種:服務(wù)集標(biāo)識符(SSID)通過對多個無線接入點AP設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。物理地址(MAC)過濾由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。有線等效加密(WEP)在鏈路層采用RC4對稱加密技術(shù)，用戶的密鑰必須與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。計算校驗和(CheckSumming)（1)對輸入數(shù)據(jù)進(jìn)行完整性校驗和計算。（2)把輸入數(shù)據(jù)和計算得到的校驗和組合起來得到新的加密數(shù)據(jù)，也稱之為明文，明文作為下一步加密過程的輸入。加密。在這個過程中，將第一步得到的數(shù)據(jù)明文采用算法加密。對明文的加密有兩層含義:明文數(shù)據(jù)的加密，保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù)。(3)將24位的初始化向量和40位的密鑰連接進(jìn)行校驗和計算，得到64位的數(shù)據(jù)。(4)將這個64位的數(shù)據(jù)輸入到虛擬隨機(jī)數(shù)產(chǎn)生器中，它對初始化向量和密鑰的校驗和計算值進(jìn)行加密計算。(5)經(jīng)過校驗和計算的明文與虛擬隨機(jī)數(shù)產(chǎn)生器的輸出密鑰流進(jìn)行按位異或運(yùn)算得到加密后的信息，即密文。將初始化向量和密文串接起來，得到要傳輸?shù)募用軘?shù)據(jù)幀，在無線鏈路上傳輸。(如圖2-6所示)P1=（M1，CS)（2-1）PRGA=RC4(IV，PASSWORD)（2-2）ENCRYPTED=P1⊕PRGA（2-3）發(fā)送時，IV將以明文形式和密文一起傳輸，否則接收器無法建立RC4引擎用于解密。

圖2-6WEP加密過程解密過程如圖2-7所示。無線設(shè)備接收到一個加密數(shù)據(jù)包ENCRYPTED后，首先會提取出IV，再把它與共享密碼合并。其結(jié)果值用于重建KSA中使用的RC4狀態(tài)，后者由PRGA用于創(chuàng)建Keystream。然后這個流與密文進(jìn)行XOR運(yùn)算，從而還原明文P1'，明文中包含數(shù)據(jù)和數(shù)據(jù)的CRC-32值，最后，數(shù)據(jù)被分離出來，并應(yīng)用CRC算法創(chuàng)建一個新的CRC-32值，與原來的CRC-32值進(jìn)行比較。若兩者相符則數(shù)據(jù)有效；否則丟棄。P'=ENCRYPTED⊕RC4(IV,PASSWORD)=P1（2-4）圖2-7WEP解密過程WEP的密鑰是可以被解出來的。所以在安全性要求比較高的企業(yè)和部門，可以采用802.1X認(rèn)證或者WPA。圖2-8基于EAP-MD5的802.1x認(rèn)證流程（1)客戶端向接入設(shè)備發(fā)送一個EAPOL-Start報文，開始802.1x認(rèn)證接入；(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來；(3)客戶端回應(yīng)一個EAP-Response/Identity給接人設(shè)備的請求，其中包括用戶名；(4)接入設(shè)備將EAP-Response/Identity報文封裝到RADIUSAccess．Request報文中，發(fā)送給認(rèn)證服務(wù)器；(5)認(rèn)證服務(wù)器產(chǎn)生一個Challenge，通過接人設(shè)備將RADIUSAccess—Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；(6)接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；(7)客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；(8)接入設(shè)備將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證；(9)RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功／失敗報文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束；(10)如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay)，通過接入設(shè)備獲取規(guī)劃的IP地址；(11)如果認(rèn)證通過，接入設(shè)備發(fā)起計費(fèi)開始請求給RADIUS用戶認(rèn)證服務(wù)器；(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計費(fèi)開始請求報文。用戶上線完畢WPA顯著改善了WEP的安全性能，并且可以與原有采用WEP協(xié)議的Wi-Fi產(chǎn)品兼容。Wi-Fi聯(lián)盟2003年4月在一份文件中為WPA定義了一個公式：WPA=802.1x+EAP+TKIP+MIC（2-5）這個公式大致說明了WPA對原有WEP協(xié)議的主要:引入臨時密鑰完整性協(xié)議TKIP[4]（TemporalKeyIntegrityProtocol），加強(qiáng)了密鑰破解的難度。TKIP與WEP一樣基于RC4流加密算法，但是將密鑰位數(shù)從40位增加到128位，將IV的長度也由24位加長到48位，并采用動態(tài)生成以及通過認(rèn)證服務(wù)器來分配的多組密鑰取代了WEP的單一靜態(tài)密鑰。TKIP使用一種密鑰層以及一套密鑰管理方法，去掉了入侵者通過可預(yù)測性來破解的部分。2.3.2無線局域網(wǎng)安全隱患服務(wù)集標(biāo)識符(SSID)只是一個簡單的口令，只能提供一定的安全;而且如果配置AP向外廣播其SSID，那么安全程度還將下降。物理地址(MAC)過濾要求AP中的MAC地址列表必需隨時更新，可擴(kuò)展性差;而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。有線對等加密(WEP)提供了40位(有時也稱為64位)或128位長度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個服務(wù)區(qū)內(nèi)的所有用戶都共享一個密鑰，一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全。2.4方案設(shè)計2.4.1需求分析通過征詢用戶來了解所要建設(shè)的網(wǎng)絡(luò)需要滿足的需求,根據(jù)校園的特點,一般有如下需求：（1）功能需求應(yīng)該能滿足校區(qū)之間、樓宇之間的通信,師生在移動的情況下可以對校園網(wǎng)、圖書館、Internet資源進(jìn)行訪問,支持多媒體教室等地的多媒體信息高質(zhì)傳輸,這些需求可歸納為:支持教學(xué)、提供資源與綜合服務(wù)。（2）性能要求性能直接決定了校園無線網(wǎng)絡(luò)的服務(wù)質(zhì)量，因此必須明確校園無線網(wǎng)絡(luò)的性能要求,以下即為不同地點局部無線網(wǎng)絡(luò)的性能要求：1）校園內(nèi)部的室外場所（草坪、操場等）:速率要求高，安全要求一般，主要是滿足在網(wǎng)絡(luò)使用人數(shù)激增時仍然能夠保證服務(wù)質(zhì)量。2）辦公室或會議室：速率要求一般、安全要求高，因為這類場所的網(wǎng)絡(luò)應(yīng)用主要是收發(fā)郵件、瀏覽網(wǎng)頁、聊天等，對速率要求不高，但涉及個人隱私、賬戶等信息，因此對安全性要求較高。3）圖書館、多媒體教室或計算機(jī)機(jī)房：速率要求高，安全要求低，因為教學(xué)信息多以多媒體的形式呈現(xiàn)，只有很高的傳輸速率才能保證傳輸?shù)膸捄蜁r延，有效地支持教學(xué)活動。（3）網(wǎng)絡(luò)運(yùn)行環(huán)境的要求根據(jù)具體情況而定，如果對網(wǎng)絡(luò)安全性和服務(wù)性能要求較高，一般選擇UNIX類(含Linux、FreeBSD等)操作系統(tǒng)，因為該系統(tǒng)比較靈活、安全性好、而且服務(wù)質(zhì)量高；而如果要求不高，則可選擇微軟的WindowsServer2003或WindowsServer2008。在其他軟件的選擇上則可根據(jù)具體應(yīng)用需求而定，例如Linux下，若需提供電子郵件服務(wù)可使用Qmail、Sendmail等，架設(shè)Web服務(wù)器可使用Apache，提供DNS服務(wù)一般選擇Bind等。另外還可以根據(jù)需要選用賬戶認(rèn)證軟件、計費(fèi)軟件等。（4）網(wǎng)絡(luò)的可擴(kuò)展性和可維護(hù)性要求校園無線網(wǎng)絡(luò)在擴(kuò)展性和維護(hù)性上要求較高：在擴(kuò)展性上，校園內(nèi)無線網(wǎng)絡(luò)的用戶比較多且訪問的人數(shù)不確定，因此要求較高；在維護(hù)上，校園是從事教學(xué)為主的地方，專業(yè)維護(hù)人員較少，因此網(wǎng)絡(luò)要便于維護(hù)管理。2.4.2對現(xiàn)有校園網(wǎng)絡(luò)的體系結(jié)構(gòu)進(jìn)行分析如果學(xué)校從未建設(shè)過任何網(wǎng)絡(luò)，則可跳過這個過程。目前，大多數(shù)院校一般已經(jīng)建設(shè)了以有線傳輸介質(zhì)為主的網(wǎng)絡(luò)，因此在學(xué)校經(jīng)費(fèi)有限的情況下可以考慮將有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)混合，這樣可以最大程度地保護(hù)原有投資，降低建設(shè)成本。在將無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)混合時，主要是通過雙絞線等有線介質(zhì)將無線網(wǎng)絡(luò)的AP（無線接入點）、無線交換機(jī)、無線路由器等無線設(shè)備與有線網(wǎng)絡(luò)的Hub或者交換機(jī)、路由器等連接。2.4.3校園無線網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計對于局部無線網(wǎng)絡(luò)，主要采用的是以AP或者無線交換機(jī)等為中心結(jié)點的星型結(jié)構(gòu)，其目的是為了滿足多用戶的需求。而如果建設(shè)全局無線校園網(wǎng)，可將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層進(jìn)行設(shè)計，在整體上一般采用以樹型和星型混合的拓?fù)浣Y(jié)構(gòu)。在主要通信接點上采用樹型拓?fù)涫菫榱私M網(wǎng)便捷、管理方便，出現(xiàn)故障時可迅速排查，同時在主干通信鏈路上還要考慮冗余鏈路設(shè)計，不僅可以達(dá)到負(fù)載均衡的目的，還可以保證網(wǎng)絡(luò)的可用性。2.4.4校園無線網(wǎng)絡(luò)物理結(jié)構(gòu)設(shè)計（1）全局無線網(wǎng)絡(luò)如果建設(shè)全校范圍的無線網(wǎng)絡(luò),總體上可采用如圖2-9所示的物理結(jié)構(gòu),校園骨干網(wǎng)通過光纖接入高速Internet,并通過有線介質(zhì)連接到配有各種網(wǎng)絡(luò)服務(wù)器的計算機(jī)中心,然后通過無線介質(zhì)將圖書館子網(wǎng)、教學(xué)/辦公樓子網(wǎng)、實驗樓子網(wǎng)、宿舍子網(wǎng)等連接起來,并為室外的移動用戶提供連接。

圖2-9校園全局無線網(wǎng)平面圖（2）局部無線網(wǎng)絡(luò)局部無線網(wǎng)絡(luò)根據(jù)校園地點的不同設(shè)計不同的網(wǎng)絡(luò)結(jié)構(gòu)，主要分以下三種類型：1）室外場所（草坪、操場等）如圖2-10所示，通過全向天線，用戶在校園內(nèi)室外用自己的筆記本電腦或PDA等移動設(shè)備可接入網(wǎng)絡(luò)。圖2-10室外場所2）辦公室或會議室如圖2-11所示，寢室內(nèi)選用的AP通過有線介質(zhì)與校園骨干網(wǎng)提供的接入層連接，而寢室內(nèi)的各種設(shè)備與AP連接即可。圖2-11接入校園網(wǎng)骨干網(wǎng)的拓?fù)鋱D3）圖書館、多媒體教室或計算機(jī)機(jī)房如圖2-12所示,由于這些場所空間比較大，而AP覆蓋的有效范圍較小，為了滿足更多學(xué)生的接入需求必須提供更多的AP，而AP之間的通信則可通過無線交換機(jī)進(jìn)行（在經(jīng)費(fèi)不足的情況下可以采用傳統(tǒng)的交換機(jī)），若需要提供服務(wù)，直接將服務(wù)器與交換機(jī)連接即可圖2-12圖書館、多媒體教室或計算機(jī)機(jī)房的拓?fù)鋱D4）有別于教室和辦公室，宿舍的網(wǎng)絡(luò)特點是：性能穩(wěn)定、可靠性高、延遲小、速度快,符合學(xué)生用戶對速度的需求。所以若從室外對宿舍樓宿舍覆蓋將不能滿足學(xué)生的要求。所以選擇在宿舍樓內(nèi)進(jìn)行無線覆蓋。參考東三宿舍：每層有3個室，每間宿舍有8人。如果要在沒個宿舍中都部署AP的話，成本將會很高，而且很不實際。最合適的方案是在宿舍樓梯安裝AP，用功分器通過電纜將天線安裝在各宿舍內(nèi)，如圖2-13所示圖2-13宿舍無線覆蓋2.4.5校本部網(wǎng)絡(luò)拓?fù)鋱D設(shè)計圖2-14學(xué)校原有線網(wǎng)絡(luò)拓?fù)鋱D圖2-15學(xué)校無線網(wǎng)絡(luò)拓?fù)鋱D2.4.6校區(qū)間連接我校分為4個校區(qū)：本部、北院、河濱路、同濟(jì)西路四個校區(qū)，鑒于各校區(qū)的有線網(wǎng)絡(luò)已經(jīng)完善，我們可以以校本部為中心，要在有線網(wǎng)絡(luò)上擴(kuò)展無線網(wǎng)絡(luò)，校區(qū)與校區(qū)之間通過VPN通信。

圖2-16校區(qū)間無線網(wǎng)絡(luò)拓?fù)鋱D圖2-17單一樓宇無線局域網(wǎng)拓?fù)鋱D2.4.7IEEE802.11無線局域網(wǎng)設(shè)備介紹無線局域網(wǎng)設(shè)備主要有兩種，下面分別介紹:(1)無線接入點AP。無線接入點作為無線局域網(wǎng)連接其他有線網(wǎng)絡(luò)的橋梁，就是一個二端口網(wǎng)橋，這種網(wǎng)橋能把數(shù)據(jù)從有線網(wǎng)絡(luò)中繼轉(zhuǎn)發(fā)到無線網(wǎng)絡(luò)，也能從無線網(wǎng)絡(luò)中繼轉(zhuǎn)發(fā)到有線網(wǎng)絡(luò)。這種作用使移動設(shè)備接收到有線網(wǎng)絡(luò)里的通信流量，同時也使有線網(wǎng)絡(luò)上的設(shè)備能接收到移動設(shè)備的數(shù)據(jù)。(2)無線網(wǎng)卡。無線網(wǎng)卡與普通的以太網(wǎng)網(wǎng)卡的作用基本相同，差別是在于前者傳送數(shù)據(jù)是通過無線電波，而后者則是通過一般的網(wǎng)線。無線網(wǎng)卡作為無線局域網(wǎng)的接口，能夠?qū)崿F(xiàn)無線局域網(wǎng)各客戶機(jī)之間的連接與通訊。目前市場上出現(xiàn)的無線網(wǎng)絡(luò)卡可根據(jù)接目的不同分為PCMCIA，ISA，PCI，USB四種類型。在本次規(guī)劃中，我們建議采用基于802.11g協(xié)議為標(biāo)準(zhǔn)的增強(qiáng)型設(shè)備，即108Mbps無線設(shè)備。該類型設(shè)備采用802.11g協(xié)議，同時支持802.llb協(xié)議，并提供了增壓模式，可以在投資不變的前提下，獲得信道帶寬增大一倍、區(qū)域網(wǎng)內(nèi)并發(fā)用戶數(shù)量增大一倍的能力，將每個區(qū)域的并發(fā)用戶數(shù)提高到了80人左右，可以完全滿足現(xiàn)有和將來的無線網(wǎng)絡(luò)的高帶寬需求，并為未來的校園無線語音、無線視頻等高帶寬網(wǎng)絡(luò)應(yīng)用提供了基礎(chǔ)。室內(nèi)型無線接入點AP設(shè)備為TL-641G/642G108M無線寬帶路由器，其采用了802.11g協(xié)議的增強(qiáng)模式，可以提供高達(dá)108MbpS的信道帶寬，同時支持802.llb和802.11g協(xié)議的用戶適配器，并支持先進(jìn)的WDS(無線分布式網(wǎng)絡(luò))技術(shù)，可支持AP覆蓋和網(wǎng)橋功能。室外型設(shè)備采用RG-P-780高性能雙路雙頻三?；拘虯P，該設(shè)備通過雙路802.11g可支持108MbpS信道帶寬，并可提供802.1la/b/g三頻技術(shù)，提供基于802.1QVLAN劃分，同時可適應(yīng)-40℃一+652.4.8無線AP的配置（1）設(shè)備的連接:使用一臺筆記本，用一根網(wǎng)線將筆記本的網(wǎng)絡(luò)接口和無線路由器的LAN接口進(jìn)行連接。打開“控制面板”→“網(wǎng)絡(luò)連接”中，單擊右鍵“本地連接”，在右鍵菜單中選擇“屬性”命令，打開“Internet協(xié)議屬性”對話框。在此我們對該電腦的“本地連接”進(jìn)行IP設(shè)置，筆記本電腦的IP地址設(shè)置為和無線路由器在同一IP段，如，無線路由器默認(rèn)的IP地址為，那么該電腦的本地連接的IP地址為等。在“默認(rèn)網(wǎng)關(guān)”中輸入無線路由器的IP地址。隨后單擊“確定”即可。設(shè)置后，在IE地址欄中鍵入無線路由器默認(rèn)IP地址，如，回車后彈出一個用戶登陸界面，如圖所示。輸入用戶名和密碼即可登錄到配置界面。圖2-18登錄無線AP(2)選擇上網(wǎng)方式:學(xué)?，F(xiàn)有網(wǎng)絡(luò)屬于以太網(wǎng)結(jié)構(gòu)，局域網(wǎng)已經(jīng)存在DHCP(動態(tài)IP)服務(wù)器，所以這里我們采用“自動從網(wǎng)絡(luò)服務(wù)商獲取IP地址”。如圖2-19所示：圖2-19上網(wǎng)方式選擇(3)進(jìn)一步設(shè)置無線局域網(wǎng):如圖2-20所示將無線狀態(tài)置于開啟狀態(tài)，使得接入該無線網(wǎng)絡(luò)的主機(jī)能夠訪問到有線網(wǎng)絡(luò)。SSID我們默認(rèn)為教室名稱的中文拼音，這樣的可以讓無線用戶能夠快速的進(jìn)行上網(wǎng)設(shè)置。頻段我們選擇互不重疊的1，6，11。由于目前部分無線用戶的網(wǎng)卡沒有支持“速展”功能，所以在這里我們選擇使用54Mbps的模式圖2-20無線設(shè)置(4)LAN口設(shè)置:根據(jù)學(xué)校IP地址的劃分，此處無線AP對無線局域網(wǎng)的IP地址為，(如圖2-21)。此處設(shè)置完成后，該局域網(wǎng)內(nèi)所有計算機(jī)默認(rèn)網(wǎng)關(guān)必須設(shè)置為該IP地址。子網(wǎng)掩碼則使用C類地址子網(wǎng)掩碼()。局域網(wǎng)內(nèi)所有計算機(jī)子網(wǎng)掩碼必須與之相同。圖2-21LAN口設(shè)置(5)WAN口設(shè)置:由于學(xué)校局域網(wǎng)內(nèi)采用了動態(tài)獲取IP地址的方式來獲取IP，此處我們同樣設(shè)置WAN口連接類型為為“動態(tài)IP”。此時可以自動從網(wǎng)絡(luò)服務(wù)商獲取IP地址，這樣我們將看到圖2-22所示頁面。該頁面顯示從ISP的DHCP服務(wù)器動態(tài)的來的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS服務(wù)器等設(shè)置。圖2-22WAN口設(shè)置(6)無線網(wǎng)絡(luò)基本設(shè)置:SSID(無線標(biāo)識符)是用于無線終端與接入點匹配以獲得通信的明文密碼，對于初級安全防范有一定作用，且配置快速簡單，非常適合室外無線覆蓋使用。啟用了SSID廣播禁止功能后，由于空中不再廣播明文的SSID號碼，使得那些擁有截獲SSID密碼的無線終端非法訪問網(wǎng)絡(luò)。安全方式我們采用目前最常用WEP128位加密方法，以13個ASCII碼字符作為密鑰使用。圖2-23無線網(wǎng)絡(luò)基本設(shè)置(7)高級安全設(shè)置:DoS攻擊防范是開啟下面幾個防范措施的總開關(guān)，只有選擇此項后，以下的幾種防范措施才能生效。下面的幾種的防范措施我們?nèi)块_啟，閉值一般采用了默認(rèn)值，并且忽略來自WAN口的ping和禁止來自LAN口的ping包通過路由器，使得局域網(wǎng)內(nèi)的計算機(jī)與廣域網(wǎng)的計算機(jī)不能互相ping通。圖2-24高級安全設(shè)置（8）控制上網(wǎng)權(quán)限：有時候為了控制某些電腦的上網(wǎng)權(quán)限，我們可以通過無線路由器來過濾一些局域網(wǎng)內(nèi)的IP地址和端口方式來達(dá)到限制用戶的上網(wǎng)權(quán)限。

單擊“訪問控制”命令，打開的設(shè)置界面，如圖2-25所示。程序提供了IP訪問設(shè)置、URL訪問設(shè)置、MAC訪問設(shè)置三個過濾方式。在“IP地址訪問設(shè)置”中我們可填寫不允許連接Internet的局域網(wǎng)IP地址范圍。在該范圍內(nèi)的電腦，均不能夠上網(wǎng)。如果我們只想限制一些用戶的上網(wǎng)操作，如ftp下載等。也可以通過下面的“禁用的端口范圍”填寫受限端口，如：20-80這些端口是常用的上網(wǎng)端口。在此我們根據(jù)需要進(jìn)行設(shè)置。圖2-25訪問控制以下是常見的端口號：

21(FTP)下載文件

23(Telnet)BBS公告版

25(SMTP)發(fā)送郵件

53(DNS)域名解析

80(HTTP)瀏覽網(wǎng)頁

110(POP3)接收郵件2.4.9無線網(wǎng)卡設(shè)置

無線網(wǎng)卡設(shè)置后，要想正常上網(wǎng)我們還要對無線網(wǎng)卡進(jìn)行設(shè)置。

（1）在筆記本上如果你的無線網(wǎng)卡還沒有啟用，我們先進(jìn)行啟用。打開“控制面板”→“網(wǎng)絡(luò)連接”中，單擊右鍵“無線連接”，在右鍵菜單中選擇“啟用”，開啟無線網(wǎng)卡，如圖2-26所示。之后在任務(wù)欄中多出一個“無線網(wǎng)卡”的顯示圖標(biāo)。圖2-26無線網(wǎng)卡設(shè)置（2）啟用無線網(wǎng)卡后，下面我們還要為無線網(wǎng)卡指定IP地址，設(shè)置時按照上面的方法打開無線網(wǎng)卡的“Internet協(xié)議屬性”對話框，在此指定該無線網(wǎng)卡的的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)管、默認(rèn)DNS等項即可。

（3）右鍵單擊系統(tǒng)任務(wù)欄中的無線連接的圖標(biāo)，在彈出的右鍵菜單中選擇“查找可用無線網(wǎng)絡(luò)”（如圖2-27所示），在打開的“選擇無線連接”窗口中，選擇搜索的無線網(wǎng)絡(luò)，隨后單擊“連接”，這樣該電腦的無線網(wǎng)卡和無線路由已經(jīng)連接，如圖2-28所示。隨后按照上面的方法對其他筆記本進(jìn)行設(shè)置。圖2-27無線網(wǎng)卡設(shè)置圖2-28無線網(wǎng)卡設(shè)置3.無線環(huán)境的網(wǎng)絡(luò)優(yōu)化與有線網(wǎng)絡(luò)相比，WLAN具有安裝便捷、移動性好、使用靈活、易于擴(kuò)展等優(yōu)點，可以為不易布線的地方和遠(yuǎn)距離的數(shù)據(jù)處理節(jié)點提供強(qiáng)大的網(wǎng)絡(luò)支持。由于WLAN具有上述不可替代的優(yōu)點。但與此同時也給WLAN的優(yōu)化設(shè)計與管理帶來了很多新的問題。WLAN不同于傳統(tǒng)的有線網(wǎng)絡(luò)，噪聲和干擾、建筑物結(jié)構(gòu)、無線設(shè)備的擺放及其參數(shù)的設(shè)置都對WLAN的信號質(zhì)量和傳輸速率等性能有很大的影響。因此，WLAN的設(shè)計也與有線網(wǎng)絡(luò)不同。WLAN優(yōu)化設(shè)計的目的是:使無線接入設(shè)備覆蓋所有期望覆蓋的區(qū)域，并且具有足夠承擔(dān)預(yù)期負(fù)載的能力。由于環(huán)境的復(fù)雜性，WLAN的設(shè)計必須通過實際的測量才能達(dá)到理想效果。其中，AP的定位和頻率分配是WLAN優(yōu)化設(shè)計的兩個重要方面。3.1無線設(shè)備布局的主要思路WLAN的應(yīng)用場合主要是在大樓內(nèi)或大樓間，因此，建筑物的面積、布局、建材以及辦公環(huán)境內(nèi)各式各樣的干擾源都是影響信號傳輸質(zhì)量的因素。實際工程中，同樣的一套WLAN設(shè)備在一個地方信號有效傳輸距離可能是100多米，換個地方連50米都不到。所以，在確定接入點位置時，設(shè)備的標(biāo)稱值只能作為一個大致的參考，精確的位置必須要通過場地信號強(qiáng)度測試儀和比較試驗來定。802.1lgWLAN上作頻帶的寬度被劃分為11個頻道。為了最大限度地利用頻帶資源，最常見的辦法就是選取3個互不重合的頻道作為整個系統(tǒng)的上作頻段。3個互不重合的頻道在實際應(yīng)用中一般有二種用法。第一種，也是最普遍的一種，就是頻道1，頻道6，頻道11兩兩相鄰，并部分重疊，從而在獲得最大的覆蓋面積的情況下消除死角，杜絕同一頻道的互相干擾，還可以兼顧用戶切換。第二種，是在同一地點安裝3個接入點，每個接入點分別上作在三個互不重疊的頻道，三個頻道聚合使用，以獲得最大的傳輸帶寬。我們目前采用第一種做法1，6，11相間使用。信號的完整覆蓋與同一頻道信號間的干擾是一對矛盾，弄不好，就會顧此失彼。實際的網(wǎng)絡(luò)環(huán)境是立體的，而不是平面的，同一樓層的接入點相安無事，但很可能對另一樓層的接入點造成干擾。一般來說，工作頻道越多，這對矛盾就越容易解決。工作在2.4G頻段的802.11gWLAN只有3個互不重疊的頻道，而工作在5G頻段的802.1laWLAN最多有3個互不重疊的頻道，接入點的定點工作能因此變得輕松一些，不過，每個接入點的覆蓋半徑比較小。接入點的實際配置數(shù)目估算起來很簡單，一般來說，100米左右一個，但精確的數(shù)量和擺放位置則要通過實測來定。大樓的結(jié)構(gòu)、布局、辦公室是開敞式的還是封閉式的等因素，都會使理論估算與實際情況有些出入。在熱點地區(qū)建立完好的覆蓋是非常重要的問題，它關(guān)系到系統(tǒng)的可用性、用戶漫游、客戶滿意度等多個問題，是我們必須處理好的關(guān)鍵問題。在實際工程中，特別是沒有儀表作為測試手段的情況下，模擬用戶測試成為工程建設(shè)必不可少的環(huán)節(jié)，只有進(jìn)行大量的現(xiàn)場測試，才能對熱點地區(qū)的覆蓋情況有比較詳細(xì)的了解。歸納起來有以下幾個步驟:(1)從建筑物內(nèi)一角或邊界處開始勘察;(2)結(jié)合室內(nèi)結(jié)構(gòu)和預(yù)計覆蓋要求，選擇合適地點安放AP;(3)距離AP30米處左右對場強(qiáng)進(jìn)行測量，可以使用無線網(wǎng)卡軟件自帶的信號測量軟件;(4)調(diào)整AP位置，使得建筑物內(nèi)角落處信號強(qiáng)度在20%(約-75dBm)以上;(5)同時檢查這些點信號質(zhì)量在80%以上，確認(rèn)不存在干擾。如果不滿足條件，可適當(dāng)調(diào)整AP覆蓋范圍;(6)記錄AP點位置;(7)在AP覆蓋邊界處(可結(jié)合信號強(qiáng)度和信號質(zhì)量來判斷)選取多個測試點(要求分布均勻且繞AP旋轉(zhuǎn)一周)進(jìn)行測量并記錄結(jié)果。這一步完成后便可在地圖上大致得到AP實際覆蓋范圍，為安放其它AP提供依據(jù);(8)將AP移至下一位置，重復(fù)以上步驟(1-7)。重要地點如會議室、圖書館、報告廳、多功能廳、餐廳等覆蓋率超過90%，有的可以實現(xiàn)100%覆蓋，最大程度滿足用戶的使用要求。3.2網(wǎng)絡(luò)優(yōu)化中需要測試的一些主要指標(biāo)網(wǎng)絡(luò)優(yōu)化是一個系統(tǒng)的工程，它包含著一系列的優(yōu)化方式，各種優(yōu)化方式的綜合，形成了網(wǎng)絡(luò)的整體優(yōu)化。網(wǎng)絡(luò)優(yōu)化更是要貫穿整個網(wǎng)絡(luò)發(fā)展的全過程，因此，從建設(shè)網(wǎng)絡(luò)起直至網(wǎng)絡(luò)的運(yùn)行維護(hù)、優(yōu)化始終都是非常重要的，其中最為重要一些參數(shù)是不得不注意的:(l)信號場強(qiáng)(Fieldstrength)信號場強(qiáng)標(biāo)示測試點接收到的某個AP的信號強(qiáng)度。一般電平在-75dBm以上便可保證數(shù)據(jù)的可靠傳輸。(2)信號質(zhì)量測試軟件可以通過連續(xù)發(fā)送小的脈沖數(shù)據(jù)包給AP測算出信號的質(zhì)量。100%表示測試軟件發(fā)出的所有脈沖數(shù)據(jù)均無差錯地到達(dá)了AP。在實際應(yīng)用中，只要信號足夠強(qiáng)(-75dBm)，信號質(zhì)量均近似于100%。如果信號電平高于-75dBm，但筆記本接收到的信號質(zhì)量顯示卻小于90%，則表示該處可能存在干擾。(3)載波干擾比(C/I)C/I是指接收到的希望信號電平與非希望信號電平的比值，此值與移動用戶站(MS)的瞬時位置有關(guān)，此指標(biāo)可衡量工作于其它信道上的相鄰AP對服務(wù)AP數(shù)據(jù)流量的干擾程度。目前建網(wǎng)用的是12dB值而不是9dB值。顯然，采用空間分集接收將會改善系統(tǒng)的C/I性能，因為陡的衰落得到減少并且衰落得到減少并且衰落發(fā)生的次數(shù)也變得更少。此外需指出的是:同頻道干擾的產(chǎn)生不僅僅是當(dāng)相同信道被分配給不同的MS，而且要求它們實際上是在同時使用。當(dāng)然，這就意味著在忙時比其它時間干擾問題將更大，但在業(yè)務(wù)等級1%到5%時，信道利用仍然僅僅是在70%左右。(4)接收/發(fā)送數(shù)據(jù)速率(Rx/TxDataRate)測試軟件控制AP和無線網(wǎng)卡之間互相發(fā)送數(shù)據(jù)包，測算出上、下行數(shù)據(jù)傳輸速率。這是評估一個無線局域網(wǎng)建設(shè)質(zhì)量的重要參數(shù)，也是獲得最終用戶對無線網(wǎng)絡(luò)真實感受的有效手段。(5)RxFER接收誤幀率，影響數(shù)據(jù)傳輸速率的重要指標(biāo)之一。(6)TxRetry(TransmitRetries)發(fā)送重發(fā)次數(shù)，單位為每秒重發(fā)數(shù)據(jù)包數(shù)。3.3降低干擾干擾是Wlan設(shè)計規(guī)劃和運(yùn)行維護(hù)過程中始終應(yīng)予以特殊關(guān)注的問題，由于無線網(wǎng)絡(luò)的信號是用無線方式傳輸?shù)模瑯O易受到各種其它無線電波的干擾，為了保證網(wǎng)絡(luò)的通信質(zhì)量，網(wǎng)絡(luò)優(yōu)化的過程中，需要經(jīng)常的對網(wǎng)絡(luò)的各種干擾信號詳細(xì)分析，要分析干擾信號的種類、強(qiáng)度、性質(zhì)以及來源，一旦發(fā)現(xiàn)有其它未知來源的干擾信號，應(yīng)查找干擾源，保證網(wǎng)內(nèi)信號的純潔。同時，也要注意調(diào)整好頻率規(guī)劃，