第一篇：局域網(wǎng)安全畢業(yè)論文

論文關鍵詞：計算機網(wǎng)絡 網(wǎng)絡安全 局域網(wǎng)安全 廣域網(wǎng)

論文摘要：隨著計算機網(wǎng)絡和互聯(lián)網(wǎng)的發(fā)展,局域網(wǎng)安全越來越受到人們的重視和關注。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡的脆弱性。故此，局域網(wǎng)的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。

1.當前局域網(wǎng)安全形勢

1.1 計算機網(wǎng)絡的定義

計算機網(wǎng)絡,就是利用通信設備和線路將地理位置不同的、功能獨立的多個計算機系統(tǒng)互連起來,以功能完善的網(wǎng)絡軟件(即網(wǎng)絡通信協(xié)議、信息交換方式和網(wǎng)絡操作系統(tǒng)等)實現(xiàn)網(wǎng)絡中資源共享和信息傳遞的系統(tǒng)。[①]

計算機網(wǎng)絡由通信子網(wǎng)和資源子網(wǎng)兩部分構(gòu)成。通信子網(wǎng)是計算機網(wǎng)絡中負責數(shù)據(jù)通信的部分；資源子網(wǎng)是計算機網(wǎng)絡中面向用戶的部分，負責全網(wǎng)絡面向應用的數(shù)據(jù)處理工作。就局域網(wǎng)而言，通信子網(wǎng)由網(wǎng)卡、線纜、集線器、中繼器、網(wǎng)橋、路由器、交換機等設備和相關軟件組成。資源子網(wǎng)由連網(wǎng)的服務器、工作站、共享的打印機和其它設備及相關軟件所組成。

1.2 網(wǎng)絡安全定義

網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。[②]

1.3 局域網(wǎng)安全

局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡硬件的維護、使用及管理等；邏輯安全是從軟件的角度提出的，主要指數(shù)據(jù)的保密性、完整性、可用性等。

1.3.1 來自互聯(lián)網(wǎng)的安全威脅

局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡間沒有采取一定的安全防護措施，很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡I P 地址、應用操作系統(tǒng)的類型、開放的T C P 端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序進行攻擊。他們還可以通過網(wǎng)絡監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)絡中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡服務器進行攻擊，使得服務器超負荷工作導致拒絕服務，甚至使系統(tǒng)癱瘓。

1.3.2 來自局域網(wǎng)內(nèi)部的安全威脅

內(nèi)部管理人員把內(nèi)部網(wǎng)絡結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部職工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點，利用網(wǎng)絡開些小玩笑，甚至搞破壞。如，泄漏至關重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這些都將給網(wǎng)絡造成極大的安全威脅。

1.4 局域網(wǎng)當前形勢及面臨的問題

隨著局域網(wǎng)絡技術的發(fā)展和社會信息化進程的加快,現(xiàn)在人們的生活、工作、學習、娛樂和交往都已離不開計算機網(wǎng)絡?，F(xiàn)今，全球網(wǎng)民數(shù)量已接近7億，網(wǎng)絡已經(jīng)成為生活離不開的工具，經(jīng)濟、文化、軍事和社會活動都強烈地依賴于網(wǎng)絡。網(wǎng)絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡安全威脅的客觀存在。盡管計算機網(wǎng)絡為人們提供了巨大的方便，但是受技術和社會因素的各種影響，計算機網(wǎng)絡一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實施攻擊和入侵，給計算機網(wǎng)絡造成極大的損害網(wǎng)絡攻擊、病毒傳播、垃圾郵件等迅速增長，利用網(wǎng)絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網(wǎng)絡的正常秩序，嚴重損害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴重危害了青少年的身心健康。網(wǎng)絡系統(tǒng)的安全性和可靠性正在成為世界各國共同關注的焦點。

根據(jù)中國互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計報告顯示：我國互聯(lián)網(wǎng)網(wǎng)站近百萬家，上網(wǎng)用戶1億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時，網(wǎng)絡安全風險也無處不在，各種網(wǎng)絡安全漏洞大量存在和不斷被發(fā)現(xiàn)，計算機系統(tǒng)遭受病毒感染和破壞的情況相當嚴重，計算機病毒呈現(xiàn)出異常活躍的態(tài)勢。面對網(wǎng)絡安全的嚴峻形勢，我國的網(wǎng)絡安全保障工作尚處于起步階段，基礎薄弱，水平不高，網(wǎng)絡安全系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié)，安全防護能力不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標準，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡信息安全保障制度不健全、責任不落實、管理不到位。網(wǎng)絡信息安全法律法規(guī)不夠完善，關鍵技術和產(chǎn)品受制于人，網(wǎng)絡信息安全服務機構(gòu)專業(yè)化程度不高，行為不規(guī)范，網(wǎng)絡安全技術與管理人才缺乏。

面對網(wǎng)絡安全的嚴峻形勢，如何建設高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡成為通信行業(yè)乃至整個社會發(fā)展所要面臨和解決的重大課題。

2.常用局域網(wǎng)的攻擊方法

2.1 ARP欺騙

2.1.1 ARP協(xié)議

ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說來就是將網(wǎng)絡層（IP層，也就是相當于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址IA——物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎，而且這個緩存是動態(tài)的。

假如我們有兩個網(wǎng)段、三臺主機、兩個網(wǎng)關、分別是：

主機名 IP地址 MAC地址

網(wǎng)關1 192.168.1.1 01-01-01-01-01-01

主機A 192.168.1.2 02-02-02-02-02-02

主機B 192.168.1.3 03-03-03-03-03-03

網(wǎng)關2 10.1.1.1 04-04-04-04-04-04

主機C 10.1.1.2 05-05-05-05-05-05

假如主機A要與主機B通訊，它首先會通過網(wǎng)絡掩碼比對，確認出主機B是否在自己同一網(wǎng)段內(nèi)，如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址，如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，即目的MAC地址是全1的廣播詢問幀，0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2；如果B存在的話，必須作出應答，回答―B的MAC地址是…‖的單播應答幀，02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3；A收到應答幀后，把―192.168.1.3 03-03-03-03-03-03 動態(tài)‖寫入ARP表。這樣的話主機A就得到了主機B的MAC地址，并且它會把這個對應的關系存在自己的ARP緩存表中。之后主機A與主機B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了，直到通訊停止后兩分鐘，這個對應關系才會被從表中刪除。

如果是非局域網(wǎng)內(nèi)部的通訊過程，假如主機A需要和主機C進行通訊，它首先會通過比對掩碼發(fā)現(xiàn)這個主機C的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關來轉(zhuǎn)發(fā)，這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關1(192.168.1.1)對應的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關通訊，然后再由網(wǎng)關1通過路由將數(shù)據(jù)包送到網(wǎng)關2，網(wǎng)關2收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機C（10.1.1.2）的，它就會檢查自己的ARP緩存（沒錯，網(wǎng)關一樣有自己的ARP緩存），看看里面是否有10.1.1.2對應的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址將數(shù)據(jù)轉(zhuǎn)發(fā)給主機C。

2.1.2 ARP欺騙原理

在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺主機（包括網(wǎng)關）都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍?，也就是說主機A與主機C之間的通訊只通過網(wǎng)關1和網(wǎng)關2，像主機B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實現(xiàn)機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否發(fā)送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。

這就導致主機B截取主機A與主機C之間的數(shù)據(jù)通信成為可能。首先主機B向主機A發(fā)送一個ARP應答包說192.168.1.1的MAC地址是03-03-03-03-03-03，主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03，同時主機B向網(wǎng)關1發(fā)送一個ARP響應包說192.168.1.2的MAC是03-03-03-03-03-03，同樣網(wǎng)關1也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當主機A想要與主機C通訊時，它直接把應該發(fā)送給網(wǎng)關1(192.168.1.1)的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個MAC地址，也就是發(fā)給了主機B，主機B在收到這個包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關1，當從主機C返回的數(shù)據(jù)包到達網(wǎng)關1后，網(wǎng)關1也使用自己ARP表中的MAC，將發(fā)往192.168.1.2這個IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個MAC地址也就是主機B，主機B在收到這個包后再轉(zhuǎn)發(fā)給主機A完成一次完整的數(shù)據(jù)通訊，這樣就成功的實現(xiàn)了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。也就是說欺騙者必須同時對網(wǎng)關和主機進行欺騙。

2.1.3 ARP病毒清除

感染病毒后，需要立即斷開網(wǎng)絡，以免影響其他電腦使用。重新啟動到DOS模式下，用殺毒軟件進行全面殺毒。

臨時處理對策：

步驟

一、能上網(wǎng)情況下，輸入命令arp –a，查看網(wǎng)關IP對應的正確MAC地址，將其記錄下來。如果已經(jīng)不能上網(wǎng)，則運行一次命令arp –d將arp緩存中的內(nèi)容刪空，計算機可暫時恢復上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp –a。

步驟

二、如果已經(jīng)有網(wǎng)關的正確MAC地址，在不能上網(wǎng)時，手工將網(wǎng)關IP和正確MAC綁定，可確保計算機不再被攻擊影響。輸入命令：arp –s，網(wǎng)關IP 網(wǎng)關MAC手工綁定在計算機關機重開機后就會失效，需要再綁定?？梢园言撁罘旁赼utoexec.bat中，每次開機即自動運行。

2.2 網(wǎng)絡監(jiān)聽

2.2.1 網(wǎng)絡監(jiān)聽的定義

眾所周知，電話可以進行監(jiān)聽，無線電通訊可以監(jiān)聽，而計算機網(wǎng)絡使用的數(shù)字信號在線路上傳輸時，同樣也可以監(jiān)聽。網(wǎng)絡監(jiān)聽也叫嗅探器，其英文名是Sniffer，即將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)捕獲并進行分析的行為。[③]

網(wǎng)絡監(jiān)聽，在網(wǎng)絡安全上一直是一個比較敏感的話題，作為一種發(fā)展比較成熟的技術，監(jiān)聽在協(xié)助網(wǎng)絡管理員監(jiān)測網(wǎng)絡傳輸數(shù)據(jù)，排除網(wǎng)絡故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡管理員的青睞。然而，在另一方面網(wǎng)絡監(jiān)聽也給網(wǎng)絡安全帶來了極大的隱患，許多的網(wǎng)絡入侵往往都伴隨著網(wǎng)絡監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。

2.2.2 網(wǎng)絡監(jiān)聽的基本原理

局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的，局域網(wǎng)中的每臺主機都時刻在監(jiān)聽網(wǎng)絡中傳輸?shù)臄?shù)據(jù)，主機中的網(wǎng)卡將監(jiān)聽到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進行比較，如果兩者相同就接收該幀，否則就丟掉該幀。如果把對網(wǎng)卡進行適當?shù)脑O置和修改，將它設置為混雜模式，在這種狀態(tài)下它就能接收網(wǎng)絡中的每一個信息包。網(wǎng)絡監(jiān)聽就是依據(jù)這種原理來監(jiān)測網(wǎng)絡中流動的數(shù)據(jù)。

2.2.3 網(wǎng)絡監(jiān)聽的檢測

2.2.3.1 在本地計算機上進行檢測

（1）檢查網(wǎng)卡是否處于混雜模式。可以利用一些現(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP 探測技術。也可以編寫一些程序來實現(xiàn)。在Linux 下，有現(xiàn)成的函數(shù)，比較容易實現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術。也可以編寫一些程序來實現(xiàn)。在Linux下，有現(xiàn)成的函數(shù)，比較容易實現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)。

（2）搜索法。在本地主機上搜索所有運行的進程，就可以知道是否有人在進行網(wǎng)絡監(jiān)聽。在Windows系統(tǒng)下，按下Ctrl+Alt+Del可以得到任務列表，查看是否有監(jiān)聽程序在運行。如果有不熟悉的進程，或者通過跟另外一臺機器比較，看哪些進程是有可能是監(jiān)聽進程。

2.2.3.2 在其它計算機上進行檢測

（1）觀察法。如果某臺電腦沒有監(jiān)聽的話，無論是信息的傳送還是電腦對信息的響應時間等方面都是正常的，如果被監(jiān)聽的話，就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。

網(wǎng)絡通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網(wǎng)絡中有人在監(jiān)聽，就會攔截每個信息包，從而導致信息包丟包率提高。

網(wǎng)絡帶寬是否出現(xiàn)反常。如果某臺計算機長時間的占用了較大的帶寬，對外界的響應很慢，這臺計算機就有可能被監(jiān)聽。

機器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包，而監(jiān)聽程序往往就會將這些包進行處理，這樣就會導致機器性能下降，可以用icmp echo delay 來判斷和比較它。

（2）PING 法。這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡層的實現(xiàn)，是一種非常有效的測試方法。

ping法的原理：如果一個以太網(wǎng)的數(shù)據(jù)包的目的MAC 地址不屬于本機，該包會在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄，無法進入TCP/IP 網(wǎng)絡層；進入TCP/IP 網(wǎng)絡層的數(shù)據(jù)包，如果解析該包后，發(fā)現(xiàn)這是一個包含本機ICMP 回應請示的TCP 包(PING 包)，則網(wǎng)絡層向該包的發(fā)送主機發(fā)送ICMP 回應。

我們可以構(gòu)造一個PING 包，包含正確的IP 地址和錯誤的MAC 地址，其中IP 地址是可疑主機的IP地址，MAC 地址是偽造的，這樣如果可疑主機的網(wǎng)卡工作在正常模式，則該包將在可疑主機的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄，TCP/IP 網(wǎng)絡層接收不到數(shù)據(jù)因而也不會有什么反應。如果可疑主機的網(wǎng)卡工作在混雜模式，它就能接收錯誤的MAC 地址，該非法包會被數(shù)據(jù)鏈路層接收而進入上層的TCP/IP 網(wǎng)絡層，TCP/IP 網(wǎng)絡層將對這個非法的PING 包產(chǎn)生回應，從而暴露其工作模式。

使用 PING 方法的具體步驟及結(jié)論如下：

① 假設可疑主機的IP 地址為192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，檢測者和可疑主機位于同一網(wǎng)段。

② 稍微修改可疑主機的MAC 地址，假設改成00-E0-4C-3A-4B-A4。

③ 向可疑主機發(fā)送一個PING 包，包含它的IP 和改動后的MAC 地址。

④ 沒有被監(jiān)聽的主機不能夠看到發(fā)送的數(shù)據(jù)包，因為正常的主機檢查這個數(shù)據(jù)包，比較數(shù)據(jù)包的MAC 地址與自己的MAC 地址不相符，則丟棄這個數(shù)據(jù)包，不產(chǎn)生回應。

⑤ 如果看到回應，說明數(shù)據(jù)包沒有被丟棄，也就是說，可疑主機被監(jiān)聽了。

（3）ARP 法。除了使用PING 進行監(jiān)測外，還可以利用ARP 方式進行監(jiān)測的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機發(fā)送非廣播方式的ARP 包，如果局域網(wǎng)內(nèi)的某個主機以自己的IP 地址響應了這個ARP 請求，那么就可以判斷它很可能就處于網(wǎng)絡監(jiān)聽模式了。

（4）響應時間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡中處于監(jiān)聽模式的機器，而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機器的響應時間變化量會很小，而監(jiān)聽模式的機器的響應時間變化量則通常會較大。

2.2.4 網(wǎng)絡監(jiān)聽的防范措施

為了防止網(wǎng)絡上的主機被監(jiān)聽，有多種技術手段，可以歸納為以下三類。

第一種是預防，監(jiān)聽行為要想發(fā)生，一個重要的前提條件就是網(wǎng)絡內(nèi)部的一臺有漏洞的主機被攻破，只有利用被攻破的主機，才能進行監(jiān)聽，從而收集以網(wǎng)絡內(nèi)重要的數(shù)據(jù)。因此，要預防網(wǎng)絡中的主機被攻破。這就要求我們養(yǎng)成良好的使用計算機的習慣，不隨意下載和使用來歷不明的軟件，及時給計算機打上補丁程序，安裝防火墻等措施，涉及到國家安全的部門還應該有防電輻射技術，干擾技術等等，防止數(shù)據(jù)被監(jiān)聽。

二是被動防御，主要是采取數(shù)據(jù)加密技術，數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機。對在網(wǎng)絡上傳輸?shù)男畔⑦M行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術，不但可以防止非授權用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一，但是它的缺點是速度問題。幾乎所有的加密技術都將導致網(wǎng)絡的延遲，加密技術越強，網(wǎng)絡速度就越慢。只有很重要的信息才采用加密技術進行保護。

三是主動防御，主要是使用安全的拓撲結(jié)構(gòu)和利用交換機劃分VLAN，這也是限制網(wǎng)絡監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設備的開支，實現(xiàn)起來要花費不少的錢。

3.無線局域網(wǎng)安全威脅

3.1 非授權訪問

無線網(wǎng)絡中每個AP覆蓋的范圍都形成了通向網(wǎng)絡的一個新的入口。所以，未授權實體可以從外部或內(nèi)部進入網(wǎng)絡，瀏覽存放在網(wǎng)絡上的信息；另外，也可以利用該網(wǎng)絡作為攻擊第三方的出發(fā)點，對移動終端發(fā)動攻擊。而且，IEEE 802.11標準采用單向認證機制，只要求STA向AP進行認證，不要求AP向STA進行認證。入侵者可以通過這種協(xié)議上的缺陷對AP進行認證進行攻擊，向AP發(fā)送大量的認證請求幀，從而導致AP拒絕服務。

3.2 敏感信息泄露

WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求，只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術捕獲無線網(wǎng)絡的數(shù)據(jù)包，對網(wǎng)絡通信進行分析，從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。

3.3 WEB缺陷威脅

有線等效保密WEP是IEEE 802.11無線局域網(wǎng)標準的一部分，它的主要作用是為無線網(wǎng)絡上的信息提供和有線網(wǎng)絡同一等級的機密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡進行竊聽。WEP在每一個數(shù)據(jù)包中使用完整性校驗字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC-32校驗。在WEP中明文通過和密鑰流進行異或產(chǎn)生密文，為了加密，WEP要求所有無線網(wǎng)絡連接共享一個密鑰。實際上，網(wǎng)絡只使用一個或幾個密鑰，也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流，確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但IV在一個相當短的時間內(nèi)重用，使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值, 假設網(wǎng)絡流量是11M, 傳輸2000字節(jié)的包，在7個小時左右, IV 就會重用。CRC-32不是一個很適合WEP的完整性校驗, 即使部分數(shù)據(jù)以及CRC-32校驗碼同時被修改也無法校驗出來。

3.4 無線局域網(wǎng)的安全措施

3.4.1 阻止非法用戶的接入

（1）基于服務設置標識符(SSID)防止非法用戶接入

服務設置標識符SSID是用來標識一個網(wǎng)絡的名稱，以此來區(qū)分不同的網(wǎng)絡，最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網(wǎng)絡。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。

（2）基于無線網(wǎng)卡物理地址過濾防止非法用戶接入

由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權的無限工作站接入。為AP 設置基于MAC 地址的Access Control（訪問控制表），確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網(wǎng)絡規(guī)模。

3.4.2 實行動態(tài)加密

動態(tài)加密技術是基于對稱加密和非對稱加密的結(jié)合，能有效地保證網(wǎng)絡傳輸?shù)陌踩?。動態(tài)加密著眼于無線網(wǎng)絡架構(gòu)中通信雙方本身，認為每個通信方都應承擔起會話中網(wǎng)絡信息傳輸?shù)陌踩熑?。會話建立階段，身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權訪問，同時完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機制下靜態(tài)加密的若干缺陷，從而使通信雙方的每次―通信回合‖都有安全保證。在一個通信回合中，雙方將使用相同的對稱加密密鑰，是每個通信方經(jīng)過共同了解的信息計算而得到的，在通信回合之間，所使用的密鑰將實時改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。

3.4.3 數(shù)據(jù)的訪問控制

訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問,所謂非授權訪問包括未經(jīng)授權的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權，才能開始訪問權限范圍內(nèi)的網(wǎng)絡資源，授權主要是通過訪問控制機制來實現(xiàn)。訪問控制也是一種安全機制，它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

4.計算機局域網(wǎng)病毒及防治

雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計算機病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給網(wǎng)絡工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機器的正常運行，影響了工作的正常開展。如何防范計算機病毒侵入計算機局域網(wǎng)和確保網(wǎng)絡的安全己成為當前面臨的一個重要且緊迫的任務。

4.1 局域網(wǎng)病毒

局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計算機病毒表現(xiàn)出以下特點：傳播方式和途徑多樣化；病毒的欺騙性日益增強病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護能力；病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。局域網(wǎng)病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個網(wǎng)絡就有可能重新感染。

當計算機感染上病毒出現(xiàn)異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數(shù)量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷----對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強局域網(wǎng)病毒防護是保障網(wǎng)絡信息安全的關鍵。

4.2 計算機局域網(wǎng)病毒的防治措施

計算機局域網(wǎng)中最主要的軟硬件就是服務器和工作站，所以防治計算機網(wǎng)絡病毒應該首先考慮這兩個部分，另外要加強各級人員的管理教育及各項制度的督促落實。

（1）基于工作站的防治技術。局域網(wǎng)中的每個工作站就像是計算機網(wǎng)絡的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：

一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。

二、是在工作站上插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。

三、是在網(wǎng)絡接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段，應根據(jù)網(wǎng)絡的規(guī)模、數(shù)據(jù)傳輸負荷等具體情況確定使用哪一種方法。

（2）基于服務器的防治技術。服務器是網(wǎng)絡的核心，是網(wǎng)絡的支柱，服務器一旦被病毒感染，便無法啟動，整個網(wǎng)絡都將陷入癱瘓狀態(tài)，造成的損失是災難性的。難以挽回和無法估量的，目前市場上基于服務器的病毒防治采用NLM方法，它以NLM模塊方式進行程序設計，以服務器為基礎，提供實時掃描病毒的能力，從而保證服務器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網(wǎng)絡上的蔓延。

（3）加強計算機網(wǎng)絡的管理。計算機局域網(wǎng)病毒的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結(jié)合起來，才有可能從根本上保護網(wǎng)絡系統(tǒng)的安全運行。

一、從硬件設備及軟件系統(tǒng)的使用、維護、管理、服務等各個環(huán)節(jié)制定出嚴格的規(guī)章制度，對網(wǎng)絡系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴懲從事非法活動的集體和個人。

二、加強各級網(wǎng)絡管理人員的專業(yè)技能學習，提高工作能力，并能及時檢查網(wǎng)絡系統(tǒng)中出現(xiàn)病毒的癥狀。匯報出現(xiàn)的新問題、新情況，做到及時發(fā)現(xiàn)問題解決問題，同時在網(wǎng)絡工作站上經(jīng)常做好病毒檢測的工作，把好網(wǎng)絡的第一道大門。

4.3 清除網(wǎng)絡病毒

一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應盡快加以清除，以防網(wǎng)絡病毒的擴散給整個系統(tǒng)造成更大的損失，具體過程為:

（1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡的聯(lián)接,因為病毒會隨時發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關閉文件服務器。

（2）用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機工作站中含有的病毒。

（3）用干凈的系統(tǒng)盤啟動文件服務器，系統(tǒng)管理員登錄后，使用disable longin禁止其他用戶登錄。

（4）用防病毒軟件掃描服務器上所有卷的文件，恢復或刪除被感染的文件，重新安裝被刪除的文件。

（5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡上存取過的軟盤進行消毒。

（6）確信網(wǎng)絡病毒已全部徹底清除后，重新啟動網(wǎng)絡及各工作站。

5.局域網(wǎng)安全防范系統(tǒng)

5.1 防火墻系統(tǒng)

5.1.1 防火墻概述

防火墻是一種用來增強內(nèi)部網(wǎng)絡安全性的系統(tǒng)，它將網(wǎng)絡隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權的訪問進出內(nèi)部計算機網(wǎng)，從而達到保護內(nèi)部網(wǎng)資源和信息的目的。

防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。

5.1.2 防火墻的體系結(jié)構(gòu)

5.1.2.1 雙重宿主主機體系結(jié)構(gòu)

雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑。雙重宿主主機至少有兩個網(wǎng)絡接口。這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器；它能夠從一個網(wǎng)絡到另外一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡（如外部網(wǎng)絡）直接發(fā)送到另一個網(wǎng)絡（如內(nèi)部網(wǎng)絡）。外部網(wǎng)絡能與雙重宿主主機通信，內(nèi)部網(wǎng)絡也能與雙重宿主主機通信。但是外部網(wǎng)絡與內(nèi)部網(wǎng)絡不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機的過濾和控制。

5.1.2.2 被屏蔽主機體系結(jié)構(gòu)

雙重宿主主機體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡和外部網(wǎng)絡隔離開，如圖4所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務器直接相連）。

這種體系結(jié)構(gòu)涉及到堡壘主機。堡壘主機是因特網(wǎng)上的主機能連接到的唯一的內(nèi)部網(wǎng)絡上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。數(shù)據(jù)包過濾容許堡壘主機開放可允許的連接（什么是“可允許連接”將由你的站點的特殊的安全策略決定）到外部世界。

在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：

(1)允許其它的內(nèi)部主機為了某些服務開放到Internet上的主機連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務）；

(2)不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務）。

5.1.2.3 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡更進一步的把內(nèi)部網(wǎng)絡和外部網(wǎng)絡隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡之間。這樣就在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間形成了一個―隔離帶‖。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內(nèi)部路由器。

5.1.3 防火墻的功能

5.1.3.1 數(shù)據(jù)包過濾技術

數(shù)據(jù)包過慮技術是在網(wǎng)絡中的適當位置對數(shù)據(jù)包實施有選擇的通過的技術.選擇好依據(jù)系統(tǒng)內(nèi)設置的過濾規(guī)則后,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應的網(wǎng)絡接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術是防火墻中最常用的技術。對于一個危險的網(wǎng)絡，用這種方法可以阻塞某些主機和網(wǎng)絡連入內(nèi)部網(wǎng)絡，也可限制內(nèi)部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。

5.1.3.2 網(wǎng)絡地址轉(zhuǎn)換技術

網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的外部的、注冊的IP的地址標準,用戶必須要為網(wǎng)絡中每一臺機器取得注冊的IP地址[ 7 ]。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪

問外部網(wǎng)絡時,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時,它并不知道內(nèi)部網(wǎng)絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問7 ]。防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。網(wǎng)絡地址轉(zhuǎn)換過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。

5.1.3.3 代理技術

代理技術是在應用層實現(xiàn)防火墻功能,代理服務器執(zhí)行內(nèi)部網(wǎng)絡向外部網(wǎng)絡申請時的中轉(zhuǎn)連接作用。

代理偵聽網(wǎng)絡內(nèi)部客戶的服務請求,當一個連接到來時,首先進行身份驗證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當決定轉(zhuǎn)發(fā)時,代理服務器上的客戶進程向真正的服務器發(fā)出請求,服務器返回代理服務器轉(zhuǎn)發(fā)客戶機的數(shù)據(jù)。

另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當外部網(wǎng)絡節(jié)點提出服務請求時,代理服務器首先對該用戶身份進行驗證。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡的主機。而在整個服務過程中,應用代理一直監(jiān)控著用戶的操作,一旦用戶進行非法操作,就可以進行干涉,并對每一個操作進行記錄。若為不合法用語,則拒絕訪問。

5.1.3.4 全狀態(tài)檢測技術

全狀態(tài)檢測防火墻在包過濾的同時，檢測數(shù)據(jù)包之間的關聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。它有一個檢測引擎，在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略。監(jiān)測引擎采用抽取有關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。當用戶訪問請求到達網(wǎng)關是操作系統(tǒng)前，狀態(tài)監(jiān)測器要抽取有關數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密處理動作。

5.2 入侵檢測系統(tǒng)

5.2.1 入侵檢測系統(tǒng)概述

入侵檢測是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)

5.2.2 入侵檢測原理

入侵檢測跟其他檢測技術有同樣的原理。從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關的提示和警告。

入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡日志文件、網(wǎng)絡流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

第二步是信息分析，收集到的有關系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。當檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。

第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

5.2.3 局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法

根據(jù)CIDF規(guī)范，從功能上將IDS 劃分為四個基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。具體實現(xiàn)起來，一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺上實現(xiàn)，稱之為數(shù)據(jù)采集分析中心；將控制臺子系統(tǒng)在Windows NT或2000上實現(xiàn)，數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強大的數(shù)據(jù)庫如SQL等，多跟控制臺子系統(tǒng)結(jié)合在一起，稱之為控制管理中心。構(gòu)建一個基本的IDS,具體需考慮以下幾個方面的內(nèi)容。

首先，數(shù)據(jù)采集機制是實現(xiàn)IDS的基礎，數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網(wǎng)絡監(jiān)聽來實現(xiàn)審計數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設置為―混雜‖模式實現(xiàn)對某一段網(wǎng)絡上所有數(shù)據(jù)包的捕獲。然后，需要構(gòu)建并配置探測器，實現(xiàn)數(shù)據(jù)采集功能。應根據(jù)自己網(wǎng)絡的具體情況，選用合適的軟件及硬件設備，如果網(wǎng)絡數(shù)據(jù)流量很小，用一般的PC機安裝Linux即可，如果所監(jiān)控的網(wǎng)絡流量非常大，則需要用一臺性能較高的機器；在服務器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應進行有關軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡數(shù)據(jù)流了。

其次，應建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當于IDS的大腦，它必須具備高度的―智慧‖和―判斷能力‖,所以，在設計此模塊之前，需要對各種網(wǎng)絡協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報警消息，發(fā)送給控制管理中心。設計數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應優(yōu)化檢測模型和算法的設計，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴展性，以提高系統(tǒng)的伸縮性；報警消息要遵循特定的標準格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。

第三，需要構(gòu)建控制臺子系統(tǒng)?？刂婆_子系統(tǒng)負責向網(wǎng)絡管理員匯報各種網(wǎng)絡違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）?？刂婆_子系統(tǒng)的主要任務有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；根據(jù)安全策略進行一系列的響應動作，以阻止非法行為，確保網(wǎng)絡的安全?？刂婆_子系統(tǒng)的設計重點是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。

第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。一個好的入侵檢測系統(tǒng)不僅僅應當為管理員提供實時、豐富的警報信息，還應詳細地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報信息和其他數(shù)據(jù)。

第五，完成綜合調(diào)試。以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。但要使這個IDS順利地運轉(zhuǎn)起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是綜合調(diào)試工作所要解決的問題，主要包括要實現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數(shù)據(jù)流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡事件重建等。經(jīng)過綜合調(diào)試后，一個基本的IDS就構(gòu)建完成了，但是此時還不能放松警惕，因為在以后的應用中要不斷地對它進行維護，特別是其檢測能力的提高；同時還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網(wǎng)的安全能力。

6.局域網(wǎng)安全防范策略

一個網(wǎng)絡的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。

6.1 劃分VLAN 防止網(wǎng)絡偵聽

運用VLAN（虛擬局域網(wǎng)）技術，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡偵聽的入侵。目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

6.2 網(wǎng)絡分段

局域網(wǎng)大多采用以廣播為基礎的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關鍵信息，這就是以太網(wǎng)所固有的安全隱患。網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。所以網(wǎng)絡分段是保證局域網(wǎng)安全的一項重要措施。

6.3 以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機進行網(wǎng)絡分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機會。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關鍵信息，要遠遠少于單播包。

6.4 實施IP/MAC 綁定

很多網(wǎng)關軟件實施流量過濾時都是基于IP或MAC地址，對控制普通用戶起到了很好的效果，但對于高級用戶就顯得無能為力了，因為不管是IP或是MAC地址都可以隨意修改。要實施基于IP或MAC地址過濾的訪問控制，就必須進行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。首先通過交換機實施用戶與交換機端口的MAC綁定，再通過服務器網(wǎng)絡管理實施IP/MAC綁定，這樣用戶既不能改網(wǎng)卡的MAC地址，也不能改IP地址。通過IP/MAC綁定后，再實施流量過濾就顯得有效多了。

7.總結(jié)

網(wǎng)絡安全技術和病毒防護是一個涉及多方面的系統(tǒng)工程，在實際工作中既需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個單純的技術問題，它涉及整個網(wǎng)絡安全系統(tǒng)，包括防范技術、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡的脆弱性和潛在威脅，不斷健全網(wǎng)絡的相關法規(guī)，提高網(wǎng)絡安全防范的技術是否被授權，從而阻止對信息資源的非法用戶使用網(wǎng)絡系統(tǒng)時所進行的所有活動的水平，才能有力地保障網(wǎng)絡安全。

[①].高傳善，錢松榮.專注.數(shù)據(jù)通信與計算機網(wǎng)絡[M].高等教育出版社,2001:8-9

[②].鄧亞平.計算機網(wǎng)絡安全[M].人民郵電出版社, 2004:1-10.[③].李成大,張京.計算機信息安全[M].人民郵電出版社，2004:72-117

第二篇：小型局域網(wǎng)組建畢業(yè)論文

小型局域網(wǎng)組建

當今世界，各種先進的科學技術飛速發(fā)展，給人們的生活帶來了深遠的影響，它極大的改善我們的生活方式。在以計算機技術為代表的信息科技的發(fā)展更是日新月異，從各個方面影響和改變著我們的生活，而其中的計算機網(wǎng)絡技術的發(fā)展更為迅速，已經(jīng)滲透到了我們生活的各個方面，人們已經(jīng)離不開計算機網(wǎng)絡，并且隨著因特網(wǎng)的迅速普及，給我們的學習與生活條件帶來更大的方便，我們與外部世界的聯(lián)系將更加的緊密和快速。

隨著人們對于信息資源共享以及信息交流的迫切需求，促使網(wǎng)絡技術的產(chǎn)生和快速發(fā)展，計算機網(wǎng)絡的產(chǎn)生和使用為人類信息文明的發(fā)展帶來了革命性的變化。自1995年中國教育教研網(wǎng)（CERNET）建成后，校園網(wǎng)的建設已經(jīng)進入到一個蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用，對于提高教學和科研的質(zhì)量、改善教學和科研條件、加快學校的信息化進程，開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種局域網(wǎng)的技術思想、網(wǎng)絡設計方案、網(wǎng)絡拓撲結(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet的應用、網(wǎng)絡安全，網(wǎng)絡系統(tǒng)的維護等內(nèi)容。通過本畢業(yè)設計課題的論述，希望使讀者能夠了解校園網(wǎng)的建設過程以及所涉及到的各種網(wǎng)絡技術，并能對今后大家在學習網(wǎng)絡技術知識或是進行校園網(wǎng)的工程建設中有所借鑒。

摘要............................................................................................錯誤！未定義書簽。1.1 計算機網(wǎng)絡.......................................................................................................3 1.1.1 校園網(wǎng)的建設思路..................................................................................3 1.1.2 校園網(wǎng)的建設原則..................................................................................3 1.2 局域網(wǎng)簡介.......................................................................................................3 1.2.1網(wǎng)絡的體系結(jié)構(gòu)........................................................................................4 1.2.2 網(wǎng)絡協(xié)議.................................................................................................4 2.1 常用網(wǎng)絡設備...................................................................................................5 2.1.1 網(wǎng)卡.......................................................................................................5 2.1.2 交換機...................................................................................................6 2.1.3 路由器.....................................................................................................6 2.1.4 傳輸介質(zhì).................................................................................................6 2.2 服務器..............................................................................................................7 2.3 設備選型..........................................................................................................7 3.1 校園網(wǎng)的建設規(guī)劃............................................................................................8 3.1.1 總體設計.................................................................................................8 3.1.2 網(wǎng)絡技術................................................................................................9 3.2 網(wǎng)絡操作系統(tǒng)...................................................................................................9 3.3 Internet接入技術..........................................................................................10 3.4 防火墻..............................................................................................................10 3.5 建網(wǎng)目標...........................................................................................................10 3.5.1網(wǎng)絡組成.................................................................................................10 3.5.2網(wǎng)絡軟件運行平臺...................................................................................12 4.總結(jié).....................................................................................................................12

1.1 計算機網(wǎng)絡

計算機網(wǎng)絡是指通過傳輸媒休連接的多部計算機組成的系統(tǒng)，使登錄其上的所有用戶能夠共享軟硬件資源。計算機網(wǎng)絡如按網(wǎng)絡的組建規(guī)模和延伸范圍來劃分的話，可分為局域網(wǎng)(Local Area Network,LAN)、城域網(wǎng)(Metropolitan Area Network,MAN)、廣域網(wǎng)(Wide Area Network,WAN)。我們經(jīng)常用到的因特網(wǎng)(Internet)屬于廣域網(wǎng)，校園網(wǎng)屬局域網(wǎng)。未來的網(wǎng)絡技術將向著使用簡單、高速快捷、多網(wǎng)合一、安全保密方向發(fā)展。

1.1.1 校園網(wǎng)的建設思路

校園網(wǎng)的建設是一項非常復雜的系統(tǒng)工程，校園作為一個特殊的網(wǎng)絡應用環(huán)境，它的建設與使用都有其自身的特點。在選擇局域網(wǎng)的網(wǎng)絡技術時要體現(xiàn)開放式、分布式、安全可靠，維護簡單的原則。校園網(wǎng)的建設主要應用局域網(wǎng)技術以及多媒體技術為主的各種網(wǎng)絡應用技術。局域網(wǎng)技術是一項在20世紀70年代發(fā)展起來的計算機互聯(lián)技術，經(jīng)過多年的發(fā)展，技術已經(jīng)成熟，并得到了廣泛的應用，局域網(wǎng)技術成為網(wǎng)絡技術的重要組成部分。計算機多媒體技術是伴隨著多媒體信息的應用而得到迅速的計算機應用技術，在網(wǎng)絡環(huán)境下，多媒體得到了更快更好的應用，使我們得到了更好更多的信息。校園網(wǎng)是使用了局域網(wǎng)技術以及各種多媒體應用技術，并結(jié)合Internet應用等其它的技術來建設。使得校園網(wǎng)能滿足現(xiàn)代教學對信息處理的要求，使計算機的應用能對教學管理現(xiàn)代化起重要的促進作用，能實現(xiàn)信息查尋、教務管理，并與外部網(wǎng)絡系統(tǒng)進行交流等多種需要。

1.1.2 校園網(wǎng)的建設原則

校園網(wǎng)建設是一項綜合性非常強的系統(tǒng)工程，它包括了網(wǎng)絡系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應用以及人員培訓等諸多方面。因此在校園網(wǎng)的建設工作中必須處理好實用與發(fā)展、建設與管理、使用與培訓等關系，從而使校園網(wǎng)的建設工作健康穩(wěn)定地開展。首先，校園網(wǎng)的建設是一個為學校教育教學活動長期服務的工作，因此在校園網(wǎng)的規(guī)劃建設過程中，必須從學校長遠發(fā)展規(guī)劃出發(fā)，以服務于教育為基本點，結(jié)合學校當前教育教學的實際需要，做出科學的規(guī)劃部署。在校園網(wǎng)的規(guī)劃建設中，一般學校應遵循“統(tǒng)一規(guī)劃、整體設計、分步實施”的原則。其次在校園網(wǎng)的建設中必須堅持硬件建設與組織管理協(xié)調(diào)發(fā)展的原則，在重視硬件建設的同時，加強網(wǎng)絡的組織管理水平，不斷開發(fā)網(wǎng)絡的功能，從而充分發(fā)揮校園網(wǎng)絡的功效，提高校園網(wǎng)對學校教育的服務水平。

1.2 局域網(wǎng)簡介

局域網(wǎng)是同一建筑、同一校園、方圓幾公里遠的地域內(nèi)的專用網(wǎng)絡。局域網(wǎng)通常用來連接公司辦公室或企業(yè)內(nèi)部的個人計算機和工作站，以共享軟、硬件資源。美國電氣3

和電子工程師協(xié)會（IEEE）局域網(wǎng)標準委員會員會曾提出局域網(wǎng)的一些具體特征： 1）局域網(wǎng)在通信距離有一定的限制，一般在1~2Km的地域范圍內(nèi)。比如在一個辦公樓內(nèi)、一個學校等。

2）較高傳輸率的物理通信信道也是局域網(wǎng)的一個主要特征，在廣域網(wǎng)中用電話線連接的計算機一般也只有20~40Kpbs的速率。

3）因為連接線路都比較短，中間幾乎不會愛任何干擾，所以局域網(wǎng)還具有始終一致的低誤碼率。

4）局域網(wǎng)一般是一個單位或部門專用的，所以管理起很方便。

5）另外局域網(wǎng)的拓撲結(jié)構(gòu)比較簡單，所支持連接的計算機數(shù)量也是有限的。組網(wǎng)時也就相對很容易連接。

1.2.1網(wǎng)絡的體系結(jié)構(gòu)

網(wǎng)絡通常按層或級的方式來組織，每一層都建立在它的下層之上。不同的網(wǎng)絡，層的名字、數(shù)量、內(nèi)容和功能都不盡相同。但是每一層的目的都是向它的上一層提供服務，這一點是相同的。層和協(xié)議的集合被稱為網(wǎng)絡體系結(jié)構(gòu)。作為具體的網(wǎng)絡體系結(jié)構(gòu)，當前重要的和使用廣泛的網(wǎng)絡體結(jié)構(gòu)有OSI體系結(jié)構(gòu)和TCP/IP體系結(jié)構(gòu)。

OSI是開放系統(tǒng)互連基本參考模型OSI/RM（Open System Interconnection Reference Model）縮寫，它被分成7層，這7個層次分別定義了不同的功能。幾乎所有的網(wǎng)絡都是基于這種體系結(jié)構(gòu)的模型進行改進并定義的，這些層次從上到下分別是應用層、表示層、會話層、運輸層、網(wǎng)絡層，數(shù)據(jù)鏈路層和物理層，其中物理層是位于體系結(jié)構(gòu)的最低層，它定義了OSI網(wǎng)絡中的物理特性和電氣特性。

TCP/IP（Transmission Control Protocol/Internet Protocol,傳輸控制協(xié)議和互連網(wǎng)協(xié)議）縮寫，TCP/IP體系結(jié)構(gòu)是當前應用于Internet網(wǎng)絡中的體系結(jié)構(gòu)，它是由OSI結(jié)構(gòu)演變來的，它沒有表示層，只有應用層、運輸層，網(wǎng)際層和網(wǎng)絡接口層。

1.2.2 網(wǎng)絡協(xié)議

網(wǎng)絡協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡設備必須安裝或設置各種網(wǎng)絡協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送，在校園局域網(wǎng)上用到的協(xié)議主要有，ICP/IP協(xié)議、IPX/SPX協(xié)議等。(1)TCP/IP協(xié)議

TCP/IP協(xié)議是目前在網(wǎng)絡中應用得最廣泛的協(xié)議，ICP/IP實際上是一個關于Internet的標準，并隨著的Internet廣泛應用而風靡全球，它也成為局域網(wǎng)的首選協(xié)議。TCP/IP是一種分層協(xié)議，它共被分為個4層次，大約包含近期100個非專有協(xié)議，4

通過這些協(xié)議，可以高效和可靠地實現(xiàn)計算機系統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP（傳輸控制協(xié)議）、UDP（用戶數(shù)據(jù)報協(xié)議）和IP（因特網(wǎng)協(xié)議）TCP協(xié)議可以在網(wǎng)絡用戶啟動的軟件應用進程之間建立通信會話，并實現(xiàn)數(shù)據(jù)流量控制和錯誤檢測，這樣就可以在不可靠的網(wǎng)絡上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯檢查，只僅僅依賴于校驗來保證可靠性。UDP不進行流量控制，沒有序列或者確認，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關鍵的網(wǎng)絡狀態(tài)消息。

IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。通過IP編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡或者子網(wǎng)。每個網(wǎng)絡站點具有一個32位的IP地址，它和48位MAC地址一起協(xié)作，完成網(wǎng)絡通信，IP協(xié)議也是一種無連接的協(xié)議。

（2）超文本傳輸協(xié)議(HTTP)HTTP(HyperText Transfer Protocol),超文本傳輸協(xié)議)是WWW瀏覽器和WWW服務器之間的應用層協(xié)議，是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膮f(xié)議，HTTP協(xié)議還是基于TCP/IP協(xié)議之上的應用層協(xié)。（3）文件傳輸協(xié)議(FTP)FTP(File Transfer Protocol ,文件傳輸協(xié)議)是由支持Internet文件傳輸?shù)母鞣N規(guī)則所組成的集合。這些規(guī)則能使網(wǎng)絡用戶把文件從一個主機拷貝到另一個主機上，F(xiàn)TP是采客戶/服務器方式服務的。（4）遠程登錄協(xié)議（Telnet）

遠程登錄協(xié)議的目的是提供一個全面的、雙向的、面向8個比特字節(jié)的通信工具，其主要目標是提供終端設備與面向進程接口的標準方法，Telnet是應用層的協(xié)議，采用客戶/服務器模式工作的，Telnet不僅允許用戶登錄到遠端主機上，還允許用執(zhí)行遠端主機的命令，這樣用戶就能以極小的網(wǎng)絡資源代價完成大型的網(wǎng)絡應用。

2.1 常用網(wǎng)絡設備

網(wǎng)絡設備主要是指硬件系統(tǒng)，各種網(wǎng)絡設備之間是有著相互關聯(lián)而不是相互獨立的，每一部分在網(wǎng)絡中有著不同的作用，缺一不可，只有把這些設備通過一定的形式連起來才能組成一個完整的網(wǎng)絡系統(tǒng)，網(wǎng)絡設備主要包括網(wǎng)卡、集線器、交換機、路由器、傳輸介質(zhì)等。

2.1.1 網(wǎng)卡

網(wǎng)卡（簡稱NIC），也網(wǎng)絡適配卡或網(wǎng)絡接口卡，網(wǎng)卡作為計算機與網(wǎng)絡連接的接口，5

是不可缺少的網(wǎng)絡設備之一。無論是雙絞線網(wǎng)絡、同軸電纜網(wǎng)絡還是光纜網(wǎng)絡，都必須借助于相應類型的網(wǎng)卡才能實現(xiàn)與計算機的連接，是計算機與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個世界惟一的ID號，也就是MAC（Media Access Control）地址，計算機在連入網(wǎng)絡之后，就是依靠這個ID號才能實現(xiàn)在不同計算機之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡需要使用不同種類的網(wǎng)卡，不同速度的網(wǎng)絡需求也要使用不同的網(wǎng)卡。如根據(jù)帶寬來分的話，有10Mbit/s網(wǎng)卡、10/100Mit/s自適應網(wǎng)卡和1000Mbit/s網(wǎng)卡；如按總線分，有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前校園網(wǎng)建設的實際情況來看，工作站網(wǎng)卡選擇PCI總線的10M/100Mbit/s自適應網(wǎng)卡最適合。

2.1.2 交換機

交換機，也稱交換式集線器，是專門設計的，使各計算機能夠相互高速通信的獨享帶寬的網(wǎng)絡設備。作為高性能的集線設備，隨著價格的不斷降低，交換機已逐步取代了集線器而成為集線設備的首選。由交換機構(gòu)建的交換式網(wǎng)絡系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時很小，使得信息的傳輸效率大大提高，適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡通信，被廣泛應用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡。交換機具有很強的網(wǎng)絡管理功能，它能自動根據(jù)網(wǎng)絡通信的使用情況來動態(tài)管理網(wǎng)絡，因為交換機采用了獨享網(wǎng)絡帶寬的設計。

2.1.3 路由器

路由器除了有連接不同的網(wǎng)絡物理分支和不同的通信媒介、過濾和隔離網(wǎng)絡數(shù)據(jù)流及建立路由表，還有控制和管理復雜的路徑、控制流量、分組分段、防止網(wǎng)絡風暴及在網(wǎng)絡分支之間提供安全屏障層等到功能。根據(jù)路由設備的組成可以分為軟路由和硬路由。根據(jù)路由表的設置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網(wǎng)絡層，因此它可以在網(wǎng)絡層交換和路由數(shù)據(jù)幀，訪問的是對方的網(wǎng)絡地址。當數(shù)據(jù)幀到達路由器后，路由器查看數(shù)據(jù)幀的目標地址，并在路由表查看到達目標地址的路徑，根據(jù)路徑的代價，選擇一條最佳的路徑，然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標地址。

2.1.4 傳輸介質(zhì)

網(wǎng)絡要求把各個獨立的計算機連接起來的，這樣就必然要求有一種介質(zhì)將計算機連接起來，這就是傳輸介質(zhì)，局域網(wǎng)的傳輸介質(zhì)可分為有線介質(zhì)和無線介質(zhì)兩種，一般情況下都是用有線介質(zhì)的，因為它的穩(wěn)定性高，連接可靠，無線介質(zhì)只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質(zhì)主要有以下幾類。(1)同軸電纜

同軸電纜以硬銅線為芯，外包一層絕緣材料。這層絕緣材料用密織的網(wǎng)狀導體環(huán)繞，網(wǎng)外又覆蓋一層保護性材料。同軸電纜有許多種不同的規(guī)格，最常用是細同軸電纜和粗同軸電纜。細同軸電纜主要用于建筑物內(nèi)的網(wǎng)絡連接，而粗同軸電纜則常用于建筑物間6

相連。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠的距離。同軸電纜是由中心導體、絕緣材料層、網(wǎng)狀織物構(gòu)成的屏蔽層以及外部隔離材料層組成。(2)雙絞線

雙絞線是綜合布線工程中最常用的一種傳輸介質(zhì)。雙絞線由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制，但價格較為低廉。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。(3)光纖

光纖是一種直接為50~100um的柔軟的、能傳導光波的介質(zhì)，一般由玻璃制造。光纖分為：傳輸點模數(shù)類分單模光纖(Single Mode Fiber)和多模光纖(Multi Mode Fiber)。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。多模光纖是在給定的工作波長上，能以多個模式同時傳輸?shù)墓饫w，與單模光纖相比，多模光纖的傳輸性能較差。光纖通信系統(tǒng)的基本構(gòu)

2.2 服務器

校園網(wǎng)中的服務器主有數(shù)據(jù)庫服務器和代理服務器，數(shù)據(jù)服務器與代理服務器主要是面向校園網(wǎng)內(nèi)部用戶的服務，對來自Internet的用戶服務也很多，主要是對校園網(wǎng)內(nèi)部用戶進行Internet代理服務。目前，絕大多數(shù)校園網(wǎng)都要求內(nèi)部服務用戶通過代理訪問Internet，這樣內(nèi)部用戶就不能直接訪問Internet，同時代理服務器保存著內(nèi)部用戶訪問Internet的日志，以作為記費的依據(jù)。由于用戶數(shù)量非常大，也非常集口中，所以在選型代理服務器時，主要考慮的是要有較大的容量、較高的處理速度和較高的穩(wěn)定性，一般來說都選用大型服務器作為代理服務器。

2.3 設備選型

（1）服務器端。選擇微軟的服務器端集成軟件BackOffice.BackOffice包括了WindowsNT.IIS.FrontPage.SQL Server.Exchange server.Systems Management Server。Proxy Server以及一個統(tǒng)的客戶/服務器軟件安裝程序。

其中,WINDOW NT作為網(wǎng)絡的基礎,提供文件和打印機共享,通信Internet連接和應用程序服務:IIS提供WWW和FTP服務;FrontPage提供網(wǎng)頁制作工具和Web管理;Index server提供Email.時間規(guī)劃和集成的群件性能;SNA Server提供主機數(shù)據(jù)和應用的連接能力;Systems Management集中地管理這個分布式的環(huán)境;Proxy Server提供防火墻功能,有效地將校園網(wǎng)與公共Internet分離,并有效地提供客戶訪問Internet的通路。

(2)客戶端。選用IE5.0以上,它提供了組用戶訪問Web,所有本地文件和校園網(wǎng)絡上所有文件的集成方法。

3.1 校園網(wǎng)的建設規(guī)劃

校園網(wǎng)建設作為一項復雜的系統(tǒng)工程，與任何一項工程建設一樣，在開始建設前都要根據(jù)工程的特點事先進行詳細的工程規(guī)化與技術需求分析，它的成功與否都直接影響到工程的建設質(zhì)量以及今后網(wǎng)絡能否可靠運行都有直接的關系，因此要特別認真地進行系統(tǒng)規(guī)劃。對于校園網(wǎng)來說，必須對技術和教育的發(fā)展前景有著清醒的認識，只有這樣，才能從很好地為校園網(wǎng)進行合理的規(guī)劃。

3.1.1 總體設計

校園網(wǎng)絡結(jié)構(gòu)設計主要是進行網(wǎng)絡的物理設計和邏輯設計，在完成結(jié)構(gòu)設計后才能對網(wǎng)絡設備進行選型。網(wǎng)絡結(jié)構(gòu)設計對于整個網(wǎng)絡系統(tǒng)來說是十分重要的，它設計的成功與否都直接影響網(wǎng)絡的使用功能的實現(xiàn)以及網(wǎng)絡是否能滿足網(wǎng)絡的需求。計算機網(wǎng)絡系統(tǒng)是校園網(wǎng)系統(tǒng)的核心，因此在設計中必須遵循以下原則：

1．軟硬件的可行性。系統(tǒng)軟硬件配置必須考慮各種約束條件，主要是性能需求、當前技術水平和改造資金多少，兼顧現(xiàn)實性和技術領先性。

2．系統(tǒng)開放原則。系統(tǒng)應具有良好的開放性，或稱職兼容性和擴展性，以適應技術的不斷發(fā)展和不增強的應用需求，因此，應盡量采用工業(yè)標準或事實上的工業(yè)標準技術。在系統(tǒng)設計時，要考慮系統(tǒng)的生命周期，一般要按超前3~5年考慮。

3．整體最優(yōu)原則。在進行系統(tǒng)設計和配置時，常遇到很多矛盾，需根據(jù)有限合理性原則，進行綜合考慮和評價，折中選擇。應考慮的因素有：先進性、可靠性、安全性、經(jīng)濟性。

4．開放性、先進性原則。系統(tǒng)的傳輸速率至少目前要夠用，最好要有一定的余量，以適應應用的不斷增長困采用公認的行業(yè)標準，以增強適應性，避免淘汰。要留有足夠的擴展擴充的余地，以便對系統(tǒng)進行擴充和改進。網(wǎng)絡可先擇Microsoft的產(chǎn)品，以Web為中心，以Intranet技術為基礎，采用TCP/IP和HTTP為傳輸協(xié)議，客戶通過瀏覽器訪問Web及Web相連的數(shù)據(jù)庫。

3.1.2 網(wǎng)絡技術

學校建設校園網(wǎng)有許多需要考慮的問題，如網(wǎng)絡技術的選擇、網(wǎng)絡拓撲結(jié)構(gòu)的選擇、網(wǎng)絡產(chǎn)品的選擇、網(wǎng)絡服務器的選擇以及操作系統(tǒng)、網(wǎng)絡應用服務、網(wǎng)絡管理及網(wǎng)絡安全等方面。下面根據(jù)前面介紹過的各種網(wǎng)絡技術來進行校園網(wǎng)組建技術的選擇。(1)網(wǎng)絡技術類型

網(wǎng)絡系統(tǒng)的建設應遵循高可靠性、技術先進、開放性、成熟標準、易于擴展、可維護性好等原則，并充分考慮性能價格比和今后技術的發(fā)展。要求系統(tǒng)兼容性好，易于平滑連接，避免網(wǎng)絡瓶頸。

當前達到或超過100Mbps的高速網(wǎng)絡技術主要有：快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。FDDI是幾年前十分流行的高速網(wǎng)絡技術，雖然技術十分成熟，但網(wǎng)絡管理復雜且成本較高，現(xiàn)已被逐漸淘汰。ATM是比較先進的網(wǎng)絡技術，它采用信元交換方式，以很高的速率在任意兩點間建立直接的虛擬通信鏈路，有較強的傳輸質(zhì)量控制能力，特別適合于多媒體信息的傳輸。但在實際使用事因端口價格過高，難以大規(guī)模采用。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價廉的網(wǎng)絡技術，其標準已制定完備。經(jīng)過多年發(fā)展，形成了完善的10Mbps、100Mbps和千兆以太網(wǎng)技術，同時還由共享式的網(wǎng)絡發(fā)展成為交換式的以太網(wǎng)，具備與FDDI、ATM網(wǎng)絡融合的多種方法與規(guī)范。(2)網(wǎng)絡拓撲的選擇

計算機網(wǎng)絡拓撲結(jié)構(gòu)有很多種，主要有總線型拓撲、環(huán)型拓撲和星型拓撲。總線型拓撲結(jié)構(gòu)中所有的電腦用介質(zhì)將整個網(wǎng)絡從頭串到尾。這是所有的網(wǎng)絡拓撲結(jié)構(gòu)中最簡單的一種。環(huán)型拓撲結(jié)構(gòu)，就是指所有站點被繞成一圈的電纜所連接起來，整個結(jié)構(gòu)看起來象是一個圓圈。當前在各種網(wǎng)絡系統(tǒng)的建設中使用最多的是星型拓撲結(jié)構(gòu)，雖然星型拓撲結(jié)構(gòu)的網(wǎng)絡在布線和網(wǎng)絡設備的花費多一些，不過目前各種硬件設備已經(jīng)非常便宜了，這種花費是可以承受的。因而它的優(yōu)點也是十分突出的，主要是當網(wǎng)絡中某個節(jié)點出現(xiàn)故障時不會影響整個網(wǎng)絡的運行，這使得網(wǎng)絡從總體上可以提供高度的可靠性和沉佘性，這個性能十分適合校園網(wǎng)這種應用環(huán)境，也是校園網(wǎng)的建設中必須要求做到的。

3.2 網(wǎng)絡操作系統(tǒng)

網(wǎng)絡操作系統(tǒng)NOS（Network Operating System）是在計算機操作系統(tǒng)的基礎上，加上一些具有實現(xiàn)網(wǎng)絡訪問和控制功能的模塊以及相關的數(shù)據(jù)通信協(xié)議，是使網(wǎng)絡上各計算機能夠方便有效地共享網(wǎng)絡資源、為網(wǎng)絡用戶提供所需的各種服務軟件和規(guī)程的集9

合。目前主要的網(wǎng)絡操作系統(tǒng)有NetWare、Unix、Linix和Windows NT/2000。在校園網(wǎng)中一般情況下都用Windows 2000網(wǎng)絡操作系統(tǒng)，因為它是圖形化的操作界面、使用簡單、安全可靠，以及和普及率很高Windows系列單機操作系統(tǒng)的兼容性很好。

3.3 Internet接入技術

校園網(wǎng)和Internet的連接技術就顯得十分重要了，它關系到校園網(wǎng)與外部網(wǎng)絡能能否進行可靠的連接。用戶計算機接入Internet主要有兩種方式，通過局域網(wǎng)或通過電話線網(wǎng)。不過，我們一般采取局域網(wǎng)接入方式。但不管使用哪種接入方式，首先都要連接到ISP的主機。從用戶角度看，ISP位于Internet的邊緣，用戶通過某種通信線路連接到ISP，再通過ISP的連接通道接入Internet。通過局域網(wǎng)接入Internet是指用戶局域網(wǎng)使用路由器，通過數(shù)據(jù)通信網(wǎng)與ISP相連接，再通過ISP的連接通道接入Internet。選擇哪種數(shù)據(jù)通信網(wǎng)絡與租用多大的帶寬，通常取決于用戶的信息流量與能夠承擔的費用等多種因素。

3.4 防火墻

防火墻是一種特殊的設備，在兩個網(wǎng)絡之間執(zhí)行訪問控制。通常一個路由器，也可以是一臺運行防火墻軟件的PC機。防火墻有選擇地過濾或阻塞網(wǎng)絡間的流量。它通常在Intranet和Internet的交接處，也可以在兩個Intranet之間設立防火墻。防火墻一般是基于源地址和目的地址以及每個IP包的端口來作出禁止或允許判斷。

3.5 建網(wǎng)目標

構(gòu)建普通學校校內(nèi)Intranet環(huán)境，并通過代理服務器接入Internet，實現(xiàn)與Internet 交流。建設校園網(wǎng)絡中心，并通過一定的網(wǎng)絡拓撲結(jié)構(gòu)構(gòu)建連接校園網(wǎng)絡中心、計算機教室、教師備課機房、多媒體教學活動室、圖書館、校長室、教導處、財務處等的校園網(wǎng)，使之能通過一定的應用軟件完成行政辦公管理、教師備課授課、學生學習交流、校內(nèi)信息公告、遠程電子通訊、Internet通訊瀏覽等基本功能。

3.5.1網(wǎng)絡組成

(1)校園網(wǎng)的主干

校園網(wǎng)主干提供兩個簡單但至關重要的功能.其一,它用于在中間層交換機組之間10

建立互聯(lián).其二,它提供對企業(yè)各部分共享的所有資源的高速訪問.因其重要性,校園網(wǎng)主干必須具有高吞吐量和高可用性.如果主干變慢或擁擠,則整個網(wǎng)絡對常用資源的訪問將變慢.通過同一令牌,主干上的中斷將影響整個網(wǎng)絡的恢復能力和高可用性基本要求?；诋斍靶畔⒓夹g發(fā)展形勢及經(jīng)濟實用可持續(xù)發(fā)展原則，建議構(gòu)建100M帶寬的快速以太網(wǎng)，根據(jù)實際工作站信息點到網(wǎng)絡中心的距離，選擇適當?shù)膫鬏斆浇檫M行網(wǎng)絡綜合布線。一般來講，在同一幢大樓內(nèi)距離不超過100米均可鋪設超五類非屏蔽雙絞線，而樓與樓之間的連接主干線原則上應架設光纜，以滿足今后發(fā)展的需要。(2)網(wǎng)絡中心

也就是校園網(wǎng)中心機房，應配置有各種系統(tǒng)服務器（如：Web服務器、Email服務器、代理服務器）、文件服務器（數(shù)據(jù)庫服務器）、中心交換機、配線機柜等。如剛使用時數(shù)據(jù)流量不大，可只配置一臺服務器，視今后網(wǎng)絡發(fā)展情況再作擴充。為保證網(wǎng)絡運行穩(wěn)定可靠，網(wǎng)絡中心的設備選型應選擇信譽可靠、質(zhì)量上等、性能穩(wěn)定、擴充性優(yōu)良的專業(yè)產(chǎn)品。(3)計算機教室

配置100臺586以上微機，通過星型網(wǎng)絡拓撲結(jié)構(gòu)將所有微機連接到可堆疊交換機上，再通過交換機連接校園主干網(wǎng)。為方便教學，可在以上網(wǎng)絡教室的基礎上安裝多媒體教學平臺，使之成為一個既能完成信息技術學科教學，又能進行多媒體輔助教學，還能開展基于Internet技術的網(wǎng)絡活動的多媒體網(wǎng)絡活動室。(4)圖書館系統(tǒng)

圖書館系統(tǒng)應該包括兩個方面，第一是圖書編目、借閱管理系統(tǒng)，它為圖書館管理提供了標準化、自動化、網(wǎng)絡化的采編、流通、查詢、統(tǒng)計以及讀者管理等手段；第二是多媒體視聽閱覽室，滿足讀者使用越來越多的電子音像讀物的要求。多媒體視聽閱覽室從技術本質(zhì)上來講就是一個多媒體計算機網(wǎng)絡室，如果學校已建好前面所述的多媒體網(wǎng)絡活動室或教師備課機房，只要在網(wǎng)絡上連接有一套光盤鏡像服務器，即可實現(xiàn)多媒體視聽閱覽的功能。(5)多媒體綜合教室

信息化環(huán)境的構(gòu)筑其根本目的是為教學服務的，因此課堂信息化教學環(huán)境的建立應該是校園網(wǎng)建設的一個重要目標。針對課堂教學而言，計算機網(wǎng)絡應能為師生合作教學模式提供支持。在合作教學模式下，教師通過網(wǎng)絡安排教學計劃，指導學生學習，批改學生作業(yè)，實施網(wǎng)上教學；學生既可以在教師幫助下進行自主學習，也可通過小組討論等形式在同伴中開展合作學習。多媒體綜合教室內(nèi)配備有多媒體計算機、高亮度液晶投影儀、多功能視頻展示臺各一臺，功放音響一套，其中多媒體計算機通過網(wǎng)卡連入校園主干網(wǎng)，從而方便調(diào)用網(wǎng)絡內(nèi)其它計算機上的教學資源，實現(xiàn)資源共享。多媒體綜合教11

室不僅可滿足正常的輔助教學活動，還可以用來舉辦講座、開展培訓，不失為當前形勢下一種經(jīng)濟實惠的選擇。

3.5.2網(wǎng)絡軟件運行平臺

(1)服務器操作系統(tǒng)：由于美國Microsoft公司推出的網(wǎng)絡操作系統(tǒng)Windows NT具有與有著廣泛應用基礎的WINDOWS982000個人計算機操作系統(tǒng)相似的操作方法，易學易用，已擁有了越來越多的用戶群。大量的軟硬件生產(chǎn)商為Windows NT開發(fā)了許許多多的軟硬件產(chǎn)品，也使得Windows NT有著比較廣闊的發(fā)展前景。在目前情況下建議采用Microsoft Windows 2000以上版本。

(2)工作站其它應用軟件：文字處理、數(shù)據(jù)表格、圖形處理、瀏覽器、電子郵件等都是經(jīng)常使的軟件。

(3)數(shù)據(jù)庫軟件：建議采用SQL SERVER 2000以上版本。

(4)電子郵件系統(tǒng)：可采用Microsoft公司的Exchange Server,為簡便使用也可采用一些共享軟件如Sharemail、Imail等，這些軟件都是基于標準SMTP/POP3/IMAP4/LDAP協(xié)議的郵件服務器軟件，用戶界面簡單直觀，非常易于管理。

(5)網(wǎng)頁維護制作軟件：Macrosoft公司的FrontPage 2000、Macromedia 公司的Dreamweaver、Flash都是很好選擇。

(6)多媒體課件制作軟件：Macromedia 公司的Authorware、Director，洪圖多媒體著作工作等都有著非常友好的界面，使用方便，擁有著大量的用戶，推薦使用。

(7)校園辦公管理用軟件：選用省教委統(tǒng)一推薦使用的“共創(chuàng)校園辦公管理信息系統(tǒng)”網(wǎng)絡版。

4.總結(jié)

本設計從校園網(wǎng)的建設思想、目標、可以選用的網(wǎng)絡技術以及對絡設備的介紹和選擇等多方面的論述，使我們對校園網(wǎng)建設工程有了一個比較深入的了解，校園網(wǎng)絡建設作為一項重要的系統(tǒng)工程，它的所用到的各種技術是多方面的，即有網(wǎng)絡技術、工程施工技術，也有管理制度等各個方面的知識。網(wǎng)絡技術的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們?nèi)W習與研究，并能將其應用到實際的網(wǎng)絡工程建設之12

中。

由于校園網(wǎng)功能齊全，技術含量高，接觸面廣，在網(wǎng)絡設計、規(guī)劃和建設中都非常復雜，在論述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正。

編寫人：陳錦輝

第三篇：機房局域網(wǎng)組建畢業(yè)論文-讀書筆記

某某學院2012屆畢業(yè)設計（論文）

附 件

讀書筆記1

畢業(yè)論文的準備工作開始了，我么主要收集了這幾本書和文獻《信息技術在局域網(wǎng)中的應用研究》、《計算機網(wǎng)絡》、《計算機網(wǎng)絡工程概論》、《局域網(wǎng)組建實例教程》、《校園網(wǎng)組建》、《校園局域網(wǎng)的規(guī)劃與管理》、《高校局域網(wǎng)的組建過程》、《局域網(wǎng)建設中布線部分兩個典型問題的分析與解決》。今天首先看了《信息技術在局域網(wǎng)中的應用研究》主要簡述了一些與網(wǎng)絡安全有關的概念，講了計算機病毒，系統(tǒng)漏洞，防火墻，殺毒軟件的介紹，其觀點引人入勝，對我以后寫有關局域網(wǎng)安全的部分有很大的幫助。書中提到的有關局域網(wǎng)安全未來的發(fā)展趨勢令我眼前一亮，受益匪淺。其對局域網(wǎng)安全的闡述細致入微，面面俱到，嚴禁客觀

在這像其作者表示感謝。

讀書筆記2

今天我查閱的是《計算機網(wǎng)絡》（第五版）這本書的作者是謝希仁，他畢業(yè)于清華大學機電系，他領導的移動衛(wèi)星通信系統(tǒng)的網(wǎng)控中心項目是國家級重點項目，能夠閱讀到他的作品是我一生的榮幸。這本書對因特網(wǎng)做了一些介紹和計算機網(wǎng)絡的類別并詳細介紹了OSI模型的7層結(jié)構(gòu)，還有有關子網(wǎng)劃分的內(nèi)容做了詳細的介紹，最后簡單的介紹了一下無線網(wǎng)絡技術。這本書是我寫這篇論文最重要的理論基礎。書中對網(wǎng)絡詳細的介紹讓我受益匪淺

作者深厚的理論功底更讓我望塵莫及。對我的論文有極大的幫助。

《計算機網(wǎng)絡》首先講述了因特網(wǎng)的概念，因特網(wǎng)是世界上最大的互聯(lián)網(wǎng)絡，大家把連接在因特網(wǎng)上的計算機都稱為主機。計算機網(wǎng)絡指的是一些互相連接的、自治的計算機的集合。

這本書是我寫畢業(yè)論文最主要的基礎知識來源，通過這本書我了解到什么是計算機網(wǎng)絡，計算機網(wǎng)絡的組成等內(nèi)容。對論文有很大的幫助。

讀書筆記

3劉曉輝主編的《中小型局域網(wǎng)構(gòu)建實踐》介紹了網(wǎng)絡布線、搭建小型局域網(wǎng)、搭建小型無線局域網(wǎng)、共享internet連接、網(wǎng)絡客戶端配置、網(wǎng)絡資源共享、雙機與火線直連、網(wǎng)絡綜合布線、網(wǎng)絡規(guī)劃與設計、網(wǎng)絡設備選擇、網(wǎng)絡設備連接、網(wǎng)絡設備的配置與初始化、網(wǎng)絡服務器、網(wǎng)絡服務的搭建、網(wǎng)絡存儲、搭建小型無線局域網(wǎng)等方面的內(nèi)容。局域網(wǎng)分為有線局域網(wǎng)和無線局域網(wǎng)，有線局域網(wǎng)主要是指雙絞線網(wǎng)絡，有線局域網(wǎng)傳輸速度快、穩(wěn)定性高、安全性好、成本低、干擾小。無線局域網(wǎng)環(huán)境適應性強、部署靈活便捷、維護成本低、易于擴展、安全性高。無線局域網(wǎng)適合在家庭、移動設備中使用。

《中小型局域網(wǎng)構(gòu)建實踐》還詳細介紹了局域網(wǎng)故障與診斷，詳細列舉了局域網(wǎng)中常見的故障與維修方式，例如：網(wǎng)絡鏈路故障的檢查與排除方法。

讀書筆記4

《實用網(wǎng)絡設計與配置》詳細介紹了計算機網(wǎng)絡的概念、類型、物理結(jié)構(gòu)、邏輯結(jié)構(gòu)等網(wǎng)絡分析等內(nèi)容。

隨著科學技術的發(fā)展，現(xiàn)代社會對網(wǎng)絡技術的發(fā)展提出了更高的要求，對異構(gòu)網(wǎng)絡也提出了更高的要求。1983年國際標準化組織（ISO）發(fā)布了開放系統(tǒng)互聯(lián)參考模型（OSI/RM）國際標準，從兒使異構(gòu)網(wǎng)絡的互聯(lián)技術迅猛發(fā)展。《實用網(wǎng)絡設計與配置》主要介紹了一些體系結(jié)構(gòu)包括：OSI/RM結(jié)構(gòu)，OSI/RM結(jié)構(gòu)主要包括七層，從上到下為：應用層、表示層、會話層、傳輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層、物理層。每層可以和相鄰的層通信，各層都有不同的功能。TCP/IP結(jié)構(gòu)是當前網(wǎng)絡互聯(lián)協(xié)議中最著名的協(xié)議族，由應用層、傳輸層、網(wǎng)絡層、網(wǎng)絡接口層組成。

《實用網(wǎng)絡設計與配置》還介紹了網(wǎng)絡互聯(lián)的基本類型，包括LAN-LAN型、LAN-WAN型等。

讀書筆記5

《局域網(wǎng)與廣域網(wǎng)的設計與實現(xiàn)》介紹了計算機網(wǎng)絡中的LAN和WAN的定義、路由器和網(wǎng)關的連接、LAN與WAN的數(shù)據(jù)集成等方面的內(nèi)容。

LAN一般是微型計算機通過高速通信線路相連，局域網(wǎng)是在微型計算機大量應用后才逐漸發(fā)展起來的計算機網(wǎng)絡。

WAN的作用范圍通常為幾十到幾千千米。廣域網(wǎng)又稱遠程網(wǎng)。它的覆蓋范圍可以遍布與城市、國家，甚至全球。

《局域網(wǎng)與廣域網(wǎng)的設計與實現(xiàn)》還介紹了以下網(wǎng)絡設備：

1.網(wǎng)橋：網(wǎng)橋是一種網(wǎng)絡設備，可以擴展一個lan或連接多個lan，使得許多

網(wǎng)絡設備和工作站能連接在一起。

2.路由器：與網(wǎng)橋相比路由器運作在更高的層的網(wǎng)絡通信上，可以使LAN和WAN

引導或路由數(shù)據(jù)到指定目標上。

3.網(wǎng)關：網(wǎng)關可以運作在任意網(wǎng)絡通信層上，網(wǎng)關最主要的功能是轉(zhuǎn)換協(xié)議與

處理網(wǎng)絡之間的特定軟件。

《局域網(wǎng)與廣域網(wǎng)的設計與實現(xiàn)》詳細介紹了計算機網(wǎng)絡的相關定義，對組建機房局域網(wǎng)有很大的幫助。

讀書筆記6

《局域網(wǎng)組建與維護》由張記強主編詳細介紹了局域網(wǎng)組成與組建方案，局域網(wǎng)的結(jié)構(gòu)類型與設計方案。簡述了局域網(wǎng)的一些基本內(nèi)容，包括局域網(wǎng)的拓撲結(jié)構(gòu)、局域網(wǎng)的傳輸介子、局域網(wǎng)的標準。還有組建局域網(wǎng)所需的一些硬件設備如：雙絞線、光纜、網(wǎng)卡、集線器、中繼器、路由器、網(wǎng)橋、網(wǎng)關等。最后介紹了局域網(wǎng)組建操作系統(tǒng)的選擇。書中還詳細介紹了對等網(wǎng)絡的知識，對等網(wǎng)具有以下特點：對等網(wǎng)絡計算機之間的關系是平等的，對等網(wǎng)絡的資源是分布在每一臺計算機上的、對等網(wǎng)容易建立和操作同時對等網(wǎng)也有資源查找困難、對等網(wǎng)中同步使用的計算機性能下降。對等網(wǎng)主要用于大的網(wǎng)絡的一個子網(wǎng)中，用在有限信息技術預算和有限信息共享需求的地方，例如學校宿舍、鄰居之間。

讀書筆記7

《計算機網(wǎng)絡工程概論》由王寶智主編，高等教育出版社出版?！队嬎銠C網(wǎng)絡工程概論》主要簡述計算機網(wǎng)絡的知識體系，計算機網(wǎng)絡的基本原理和概念，計算機網(wǎng)絡的體系結(jié)構(gòu)、主城設備、結(jié)構(gòu)和類型，還介紹了計算機網(wǎng)絡工程的技術基礎、講述了以太網(wǎng)系列技術基礎、無線局域網(wǎng)、TCP/IP路由協(xié)議、接入網(wǎng)和交換網(wǎng)技術、網(wǎng)絡安全技術、網(wǎng)絡操作系統(tǒng)、網(wǎng)絡管理技術基礎、協(xié)議和系統(tǒng)。最

后介紹了計算機網(wǎng)絡工程體系結(jié)構(gòu)設計、拓撲結(jié)構(gòu)設計、VLAN設計、通信網(wǎng)設計、網(wǎng)絡安全設計和網(wǎng)絡平臺選型。

這本書重點介紹了計算機網(wǎng)絡互聯(lián)協(xié)議TCP/IP。IP地址是IP協(xié)議使用的地址，它只明發(fā)送IP數(shù)據(jù)包的IP協(xié)議實體和接收IP數(shù)據(jù)包的IP協(xié)議實體。

書中還介紹的網(wǎng)絡操作系統(tǒng)的一些類型和功能。計算機網(wǎng)絡操作系統(tǒng)是網(wǎng)絡用戶與計算機網(wǎng)絡之間的接口。

讀書筆記8

《計算機網(wǎng)絡技術實用教程》首先介紹了什么是計算機網(wǎng)絡，計算機網(wǎng)絡發(fā)展簡史，計算機網(wǎng)絡的拓撲結(jié)構(gòu)，計算機網(wǎng)絡的分類，計算機網(wǎng)絡通信基礎，網(wǎng)絡體系結(jié)構(gòu)、tcp/ip協(xié)議體系、計算機網(wǎng)絡操作系統(tǒng)，internet接入、計算機網(wǎng)絡安全的內(nèi)容。

1946年第一代計算機誕生。20世紀80年代微型計算機出現(xiàn)，1994年internet開始進入商業(yè)化。

計算機網(wǎng)絡是地理上分散的多臺獨立自主的計算機遵循約定的通信協(xié)議，通過軟、硬件互聯(lián)實現(xiàn)交互通信、資源共享、信息交換、協(xié)同工作以及在線處理等功能。

計算機網(wǎng)絡由客戶機，工作站，網(wǎng)絡接口卡，網(wǎng)絡操作系統(tǒng)，主機，節(jié)點，協(xié)議數(shù)據(jù)包，傳輸介質(zhì)等組成。

計算機網(wǎng)絡主要有共享資源，數(shù)據(jù)通信，分布式數(shù)據(jù)處理。

通過閱讀《計算機網(wǎng)絡技術實用教程》為機房局域網(wǎng)組建提供了大量的理論基礎。

第四篇：無限局域網(wǎng)技術分析與探討 畢業(yè)論文

JIU JIANG UNIVERSITY

畢 業(yè) 論 文

題 目： 無線局域網(wǎng)技術分析與探討 院 系： 信息科學與技術學院 專 業(yè)： 網(wǎng)絡系統(tǒng)管理 姓 名: 年 級: 指導教師:

二零一一年十一月二十日

摘 要...........................................................2 目 錄?????????????????????????????.3 第一章?????????????????????????????5 1.1 選題背景???????????????????????? 5 第二章 無線局域網(wǎng)??????????????????????..6

2.1 簡單的家庭無線局域網(wǎng)?????????????????? 6 2.2 無線橋接???????????????????????? 6 2.3 中型無線局域網(wǎng)?????????????????????.7 2.4 大型可交換局域網(wǎng)????????????????????.7 2.5 無線局域網(wǎng)絡應用???????????????????? 8 2.6 無線局域網(wǎng)的優(yōu)點???????????????????? 8 2.7 無線局域網(wǎng)的不足之處?????????????????? 9 第三章 無線技術??????????????????????? 10 3.1 技術要求???????????????????????? 10 3.2 硬件設備???????????????????????? 10 3.3 展頻技術???????????????????????? 11 3.3.1 跳頻技術??????????????????????.11 3.3.2 直接序列展頻技術??????????????????.11 3.4 FHSS VS DSSS調(diào)變差異??????????????????.11 3.5 DSSS VS FHSS之優(yōu)劣 ??????????????????.11 第四章 IEEE 802.11之相關信息 ????????????????.13 4.1 2.4GHz Direct Sequence Spread Spectrum?????????? 13 4.2 2.4GHz Frequency Hopping Spread Spectrum????????? 13 4.3 Diffused IR?????????????????????? 13 第五章 無線局域網(wǎng)絡產(chǎn)品簡介?????????????????.14 5.1 Access Point ??????????????????????14 5.2 Wireless LAN Card????????????????????14 5.3 Antenna????????????????????????.14 5.4 產(chǎn)品Q&A????????????????????????.14 5.5 無線局域網(wǎng)絡之應用??????????????????..17 第六章 無線局域網(wǎng)關鍵技術與展望??????????????? 18 6.1 公共WLAN組網(wǎng)方案???????????????????.18

6.1.1 接入點（AP）???????????????????.18 6.1.2 接入控制點（AC）?????????????????? 18 6.1.3 遠程撥號接入認證（RADIUS）服務器??????????.18 6.1.4 認證服務器（AS）??????????????????.18 6.1.5門戶網(wǎng)站服務器（Portal Server）????????????18 6.2 公網(wǎng)WLAN用戶接入的相關解決方案?????????????18 6.2.1 1．OWLAN的用戶認證?????????????????.18 6.2.2 802.1x用戶認證方式中的訪問實體??????????? 19 6.3 802.1x認證方式?????????????????????19

6.3.1 EAP-MD5認證方式??????????????????.19 6.3.2 EAP-SIM認證方式??????????????????.19 6.3.3 EAP-TLS認證方式?????????????????...19 6.3.4 EAP-TTLS鑒權認證方式???????????????..19 6.4 OWLAN的數(shù)據(jù)安全????????????????????.20 第七章 WLAN中的VPN??????????????????????21 7.1 由用戶端發(fā)起的VPN連接????????????????? 21 7.2 由AC端發(fā)起的VPN連接?????????????????? 21 7.3 802.11i標準?????????????????????...21 7.4 基本的WLAN安全????????????????????..22 7.5 IEEE 802.11的安全技術?????????????????.22 7.5.1 認證.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i標準???????????????????? 23 7.7 VPN技術???????????????????????? 24 7.8 WAPI?????????????????????????? 24 7.9 WLAN的切換與漫游????????????????????25 7.9.1 切換與漫游??????????????????????? 25 7.9.2 移動IP?????????????????????????25 結(jié)語?????????????????????????????.26 致謝?????????????????????????????.27 參考文獻???????????????????????????.28

第一章

緒論

1.1 選題背景

對于局域網(wǎng)絡管理主要工作之一，對于鋪設電纜或是檢查電纜是否斷線這種耗時的工作，很容易令人煩躁，也不容易在短時間內(nèi)找出斷線所在。再者，由于配合企業(yè)及應用環(huán)境不斷的更新與發(fā)展，原有的企業(yè)網(wǎng)絡必須配合重新布局，需要重新安裝網(wǎng)絡線路，雖然電纜本身并不貴，可是請技術人員來配線的成本很高，尤其是老舊的大樓，配線工程費用就更高了。因此，架設無線局域網(wǎng)絡就成為最佳解決方案。

無線局域網(wǎng)拓撲結(jié)構(gòu)概述：基于IEEE802.11標準的無線局域網(wǎng)允許在局域網(wǎng)絡環(huán)境中使用未授權的2.4或5.3GHz射頻波段進行無線連接。它們應用廣泛，從家庭到企業(yè)再到Internet接入熱點。

第二章 無線局域網(wǎng)

圖一

2.1 簡單的家庭無線局域網(wǎng)

簡單的家庭無線LAN：在家庭無線局域網(wǎng)最通用和最便宜的例子，如圖1所示，一臺設備作為防火墻，路由器，交換機和無線接入點。這些無線路由器可以提供廣泛的功能，例如：保護家庭網(wǎng)絡遠離外界的入侵。允許共享一個ISP（Internet服務提供商）的單一IP地址?？蔀?臺計算機提供有線以太網(wǎng)服務，但是也可以和另一個以太網(wǎng)交換機或集線器進行擴展。為多個無線計算機作一個無線接入點。通?；灸K提供2.4GHz802.11b/g操作的Wi-Fi，而更高端模塊將提供雙波段Wi-Fi或高速MIMO性能。雙波段接入點提供2.4GHz802.11b/g和5.3GHz802.11a性能，而MIMO接入點在2.4GHz范圍中可使用多個射頻以提高性能。雙波段接入點本質(zhì)上是兩個接入點為一體并可以同時提供兩個非干擾頻率，而更新的MIMO設備在2.4GHz范圍或更高的范圍提高了速度。2.4GHz范圍經(jīng)常擁擠不堪而且由于成本問題，廠商避開了雙波段MIMO設備。雙波段設備不具有最高性能或范圍，但是允許你在相對不那么擁擠的5.3GHz范圍操作，并且如果兩個設備在不同的波段，允許它們同時全速操作。家庭網(wǎng)絡中的例子并不常見。該拓撲費用更高但是提供了更強的靈活性。路由器和無線設備可能不提供高級用戶希望的所有特性。在這個配置中，此類接入點的費用可能會超過一個相當?shù)穆酚善骱虯P一體機的價格，歸因于市場中這種產(chǎn)品較少，因為多數(shù)人喜歡組合功能。一些人需要更高的終端路由器和交換機，因為這些設備具有諸如帶寬控制，千兆以太網(wǎng)這樣的特性，以及具有允許他們擁有需要的靈活性的標準設計。

2.1 無線橋接

圖二

無線橋接：當有線連接太昂貴或者需要為有線連接建立第二條冗余連接以作備份時，無線橋接允許在建筑物之間進行無線連接。802.11設備通常用來進行這項應用以及無線光纖橋。802.11基本解決方案一般更便宜并且不需要在天線之間有直視性，但是比光纖解決方案要慢很多。802.11解決方案通常在5至30mbps范圍內(nèi)操作，而光纖解決方案在100至1000mbps范圍內(nèi)操作。這兩種橋操作距離可以超過10英里，基于802.11的解決方案可達到這個距離，而且它不需要線纜連接。但基于802.11的解決方案的缺點是速度慢和存在干擾，而光纖解決方案不會。光纖解決方案的缺點是價格高以及兩個地點間不具有直視性。

2.3 中型無線局域網(wǎng)

圖五

中型無線局域網(wǎng)：中等規(guī)模的企業(yè)傳統(tǒng)上使用一個簡單的設計，他們簡單地向所有需要無線覆蓋的設施提供多個接入點。這個特殊的方法可能是最通用的，因為它入口成本低，盡管一旦接入點的數(shù)量超過一定限度它就變得難以管理。大多數(shù)這類無線局域網(wǎng)允許你在接入點之間漫游，因為它們配置在相同的以太子網(wǎng)和SSID中。從管理的角度看，每個接入點以及連接到它的接口都被分開管理。在更高級的支持多個虛擬SSID的操作中，VLAN通道被用來連接訪問點到多個子網(wǎng)，但需要以太網(wǎng)連接具有可管理的交換端口。這種情況中的交換機需要進行配置，以在單一端口上支持多個VLAN。盡管使用一個模板配置多個接入點是可能的，但是當固件和配置需要進行升級時，管理大量的接入點仍會變得困難。從安全的角度來看，每個接入點必須被配置為能夠處理其自己的接入控制和認證。RADIUS服務器將這項任務變得更輕松，因為接入點可以將訪問控制和認證委派給中心化的RADIUS服務器，這些服務器可以輪流和諸如Windows活動目錄這樣的中央用戶數(shù)據(jù)庫進行連接。但是即使如此，仍需要在每個接入點和每個RADIUS服務器之間建立一個RADIUS關聯(lián)，如果接入點的數(shù)量很多會變得很復雜。

2.4 大型可交換無線局域網(wǎng)

圖六

大型可交換無線局域網(wǎng)：交換無線局域網(wǎng)是無線連網(wǎng)最新的進展，簡化的接入點通過幾個中心化的無線控制器進行控制。數(shù)據(jù)通過Cisco，ArubaNetworks，Symbol和TrapezeNetworks這樣的制造商的中心化無線控制器進行傳輸和管理。這種情況下的接入點具有更簡單的設計，用來簡化復雜的操作系統(tǒng)，而且更復雜的邏輯被嵌入在無線控制器中。接入點通常沒有物理連接到無線控制器，但是它們邏輯上通過無線控制器交換和路由。要支持多個VLAN，數(shù)據(jù)以某種形式被封裝在隧道中，所以即使設備處在不同的子網(wǎng)中，但從接入點到無線控制器有一個直接的邏輯連接。無線局域網(wǎng)

從管理的角度來看，管理員只需要管理可以輪流控制數(shù)百接入點的無線局域網(wǎng)控制器。這些接入點可以使用某些自定義的DHCP屬性以判斷無線控制器在哪里，并且自動連結(jié)到它成為控制器的一個擴充。這極大地改善了交換無線局域網(wǎng)的可伸縮性，因為額外接入點本質(zhì)上是即插即用的。要支持多個VLAN，接入點不再在它連接的交換機上需要一個特殊的VLAN隧道端口，并且可以使用任何交換機甚至易于管理的集線器上的任何老式接入端口。VLAN數(shù)據(jù)被封裝并發(fā)送到中央無線控制器，它處理到核心網(wǎng)絡交換機的單一高速多VLAN連接。安全管理也被加固了，因為所有訪問控制和認證在中心化控制器進行處理，而不是在每個接入點。只有中心化無線控制器需要連接到RADIUS服務器，這些服務器在圖6顯示的例子中輪流連接到活動目錄。交換無線局域網(wǎng)的另一個好處是低延遲漫游。這允許VoIP和Citrix這樣的對延遲敏感的應用。切換時間會發(fā)生在通常不明顯的大約50毫秒內(nèi)。傳統(tǒng)的每個接入點被獨立配置的無線局域網(wǎng)有1000毫秒范圍內(nèi)的切換時間，這會破壞電話呼叫并丟棄無線設備上的應用會話。交換無線局域網(wǎng)的主要缺點是由于無線控制器的附加費用而導致的額外成本。但是在大型無線局域網(wǎng)配置中，這些附加成本很容易被易管理性所抵消

2.5 無線局域網(wǎng)絡應用

無線局域網(wǎng)絡應用：大樓之間：大樓之間建構(gòu)網(wǎng)絡的連結(jié)，取代專線，簡單又便宜。餐飲及零售：餐飲服務業(yè)可使用無線局域網(wǎng)絡產(chǎn)品，直接從餐桌即可輸入并傳送客人點菜內(nèi)容至廚房、柜臺。零售商促銷時，可使用無線局域網(wǎng)絡產(chǎn)品設置臨時收銀柜臺。醫(yī)療：使用附無線局域網(wǎng)絡產(chǎn)品的手提式計算機取得實時信息，醫(yī)護人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等，而提升對傷患照顧的品質(zhì)。企業(yè)：當企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡產(chǎn)品時，不管他們在辦公室的任何一個角落，有無線局域網(wǎng)絡產(chǎn)品，就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡瀏覽。倉儲管理：一般倉儲人員的盤點事宜，透過無線網(wǎng)絡的應用，能立即將最新的資料輸入計算機倉儲系統(tǒng)。貨柜集散場：一般貨柜集散場的橋式起重車，可于調(diào)動貨柜時，將實時信息傳回office，以利相關作業(yè)之逐行。監(jiān)視系統(tǒng)：一般位于遠方且需受監(jiān)控現(xiàn)場之場所，由于布線之困難，可藉由無線網(wǎng)絡將遠方之影像傳回主控站。展示會場：諸如一般的電子展，計算機展，由于網(wǎng)絡需求極高，而且布線又會讓會場顯得凌亂，因此若能使用無線網(wǎng)絡，則是再好不過的選擇。

2.6 無線局域網(wǎng)的優(yōu)點

無線局域網(wǎng)的優(yōu)點：（1）靈活性和移動性。在有線網(wǎng)絡中，網(wǎng)絡設備的安放位置受網(wǎng)絡位置的限制，而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個位置都可以接入網(wǎng)絡。無線局域網(wǎng)另一個最大的優(yōu)點在于其移動性，連接到無線局域網(wǎng)的用戶可以移動且能同時與網(wǎng)絡保持連接。（2）安裝便捷。無線局域網(wǎng)可以免去或最大程度地減少網(wǎng)絡布線的工作量，一般只要安裝一個或多個接入點設備，就

可建立覆蓋整個區(qū)域的局域網(wǎng)絡。（3）易于進行網(wǎng)絡規(guī)劃和調(diào)整。對于有線網(wǎng)絡來說，辦公地點或網(wǎng)絡拓撲的改變通常意味著重新建網(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程，無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。（4）故障定位容易。有線網(wǎng)絡一旦出現(xiàn)物理故障，尤其是由于線路連接不良而造成的網(wǎng)絡中斷，往往很難查明，而且檢修線路需要付出很大的代價。無線網(wǎng)絡則很容易定位故障，只需更換故障設備即可恢復網(wǎng)絡連接。（5）易于擴展。無線局域網(wǎng)有多種配置方式，可以很快從只有幾個用戶的小型局域網(wǎng)擴展到上千用戶的大型網(wǎng)絡，并且能夠提供節(jié)點間“漫游”等有線網(wǎng)絡無法實現(xiàn)的特性。由于無線局域網(wǎng)有以上諸多優(yōu)點，因此其發(fā)展十分迅速。最近幾年，無線局域網(wǎng)已經(jīng)在企業(yè)、醫(yī)院、商店、工廠和學校等場合得到了廣泛的應用。

2.7 無線局域網(wǎng)的不足之處

無線局域網(wǎng)的不足之處：無線局域網(wǎng)在能夠給網(wǎng)絡用戶帶來便捷和實用的同時，也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個方面：（1）性能。無線局域網(wǎng)是依靠無線電波進行傳輸?shù)?。這些電波通過無線發(fā)射裝置進行發(fā)射，而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸，所以會影響網(wǎng)絡的性能。（2）速率。無線信道的傳輸速率與有線信道相比要低得多。目前，無線局域網(wǎng)的最大傳輸速率為150Mbit/s，只適合于個人終端和小規(guī)模網(wǎng)絡應用。（3）安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，造成通信信息泄漏。

第三章 無線技術

3.1 技術要求

由于無線局域網(wǎng)需要支持高速、突發(fā)的數(shù)據(jù)業(yè)務，在室內(nèi)使用還需要解決多徑衰落以及各子網(wǎng)間串擾等問題。具體來說，無線局域網(wǎng)必須實現(xiàn)以下技術要求：

1．可靠性：無線局域網(wǎng)的系統(tǒng)分組丟失率應該低于10-5，誤碼率應該低于10-8。

2．兼容性：對于室內(nèi)使用的無線局域網(wǎng)，應盡可能使其跟現(xiàn)有的有線局域網(wǎng)在網(wǎng)絡操作系統(tǒng)和網(wǎng)絡軟件上相互兼容。

3．數(shù)據(jù)速率：為了滿足局域網(wǎng)業(yè)務量的需要，無線局域網(wǎng)的數(shù)據(jù)傳輸速率應該在1Mbps以上。

4．通信保密：由于數(shù)據(jù)通過無線介質(zhì)在空中傳播，無線局域網(wǎng)必須在不同層次采取有效的措施以提高通信保密和數(shù)據(jù)安全性能。

5．移動性：支持全移動網(wǎng)絡或半移動網(wǎng)絡。

6．節(jié)能管理：當無數(shù)據(jù)收發(fā)時使站點機處于休眠狀態(tài)，當有數(shù)據(jù)收發(fā)時再激活，從而達到節(jié)省電力消耗的目的。

7．小型化、低價格：這是無線局域網(wǎng)得以普及的關鍵。

8．電磁環(huán)境：無線局域網(wǎng)應考慮電磁對人體和周邊環(huán)境的影響問題。

3.2 硬件設備

1．無線網(wǎng)卡。無線網(wǎng)卡的作用和以太網(wǎng)中的網(wǎng)卡的作用基本相同，它作為無線局域網(wǎng)的接口，能夠?qū)崿F(xiàn)無線局域網(wǎng)各客戶機間的連接與通信。無線局域網(wǎng)

2．無線AP。AP是Access Point的簡稱，無線AP就是無線局域網(wǎng)的接入點、無線網(wǎng)關，它的作用類似于有線網(wǎng)絡中的集線器。

3．無線天線。當無線網(wǎng)絡中各網(wǎng)絡設備相距較遠時，隨著信號的減弱，傳輸速率會明顯下降以致無法實現(xiàn)無線網(wǎng)絡的正常通信，此時就要借助于無線天線對所接收或發(fā)送的信號進行增強 開源項目

使用開源軟件無線電GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的贊助下編寫802.11 代碼。GNU Radio 是免費的軟件開發(fā)工具套件。它提供信號運行和處理模塊，用它可以在易制作的低成本的射頻（RF）硬件和通用微處理器上實現(xiàn)軟件定義無線電。這套套件廣泛用于業(yè)余愛好者，學術機構(gòu)和商

業(yè)機構(gòu)用來研究和構(gòu)建無線通信系統(tǒng)。GNU Radio 的應用主要是用Python 編程語言來編寫的。但是其核心信號處理模塊是C++在帶浮點運算的微處理器上構(gòu)建的。因此，開發(fā)者能夠簡單快速的構(gòu)建一個實時、高容量的無線通信系統(tǒng)。盡管其主要功用不是仿真器，GNU Radio 在沒有射頻RF 硬件部件的境況下支持對預先存儲和（信號發(fā)生器）生成的數(shù)據(jù)進行信號處理的算法的研究。

3.3 展頻技術

展頻技術的無線局域網(wǎng)絡產(chǎn)品是依據(jù)FCC(Federal Communications Committee；美國聯(lián)邦通訊委員會)規(guī)定的ISM(Industrial Scientific,and Medical)，頻率范圍開放在902M~928MHz及2.4G~2.484GHz兩個頻段，所以并沒有所謂使用授權的限制。展頻技術主要又分為「跳頻技術」及「直接序列」兩種方式。而此兩種技術是在第二次世界大戰(zhàn)中軍隊所使用的技術，其目的是希望在惡劣的戰(zhàn)爭環(huán)境中，依然能保持通信信號的穩(wěn)定性及保密性。

3.3.1跳頻技術(FHSS)

跳頻技術(Frequency-Hopping Spread Spectrum；FHSS)在同步、且同時的情況下，接受兩端以特定型式的窄頻載波來傳送訊號，對于一個非特定的接受器，F(xiàn)HSS所產(chǎn)生的跳動訊號對它而言，也只算是脈沖噪聲。FHSS所展開的訊號可依特別設計來規(guī)避噪聲或One-to-Many的非重復的頻道，并且這些跳頻訊號必須遵守FCC的要求，使用75個以上的跳頻訊號、且跳頻至下一個頻率的最大時間間隔(Dwell Time)為400ms。

3.3.2直接序列展頻技術(DSSS)

直接序列展頻技術(Direct Sequence Spread Spectrum；DSSS)是將原來的訊號「1」或「0」，利用10個以上的chips來代表「1」或「0」位，使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個bit使用多少個chips稱做Spreading chips，一個較高的Spreading chips可以增加抗噪聲干擾，而一個較低Spreading Ration可以增加用戶的使用人數(shù)。

基本上，在DSSS的Spreading Ration是相當少的，例如在幾乎所有2.4GHz的無線局域網(wǎng)絡產(chǎn)品所使用的Spreading Ration皆少于20。而在IEEE802.11的標準內(nèi)，其Spreading Ration大約在100左右。

3.4 FHSS VS DSSS調(diào)變差異

無線局域網(wǎng)絡在性能和能力上的差異，主要是取決于所采用的是FHSS還是DSSS來實現(xiàn)、以及所采用的調(diào)變方式。然而，調(diào)變方式的選擇并不完全是隨意的，像FHSS并不強求某種特定的調(diào)變方式，而且，大部分既有的FHSS都是使用某些不同形式的GFSK，但是，IEEE 802.11草案規(guī)定要使用GFSK。至于DSSS則過使用可變相位調(diào)變(如：PSK、QPSK、DQPSK)，可以得到最高的可靠性以及表現(xiàn)高數(shù)據(jù)速率性能。在抗噪聲能力卜方面，采用QPSK調(diào)變方式的DSSS與采用FSK調(diào)變方式的FHSS相比，可以發(fā)現(xiàn)這兩種不同技術的無線局域網(wǎng)絡各自擁有的優(yōu)勢。FHSS系統(tǒng)之所以選用FSK調(diào)變方式的原因是因為FHSS和FSK內(nèi)在架構(gòu)的簡單性，F(xiàn)SK無線訊號可使用非線性功率放大器，但這卻犧牲了作用范圍和抗噪聲能力。而DSSS系統(tǒng)需要稍為貴一些的線性放大器，但卻可以獲得更多的回饋。

3.5 DSSS VS FHSS之優(yōu)劣

截至目前，若以現(xiàn)有的產(chǎn)品參數(shù)詳加比較，可以看出DSSS技術在需要最佳可靠性的應用中具有較佳的優(yōu)勢，而FHSS技術在需要低成本的應用中較占優(yōu)勢。雖然我們可以在網(wǎng)際網(wǎng)絡內(nèi)看到各家廠商各說各話，但真正需要注意的是廠商在DSSS和FHSS展頻技術的選擇，必須要審慎端視產(chǎn)品在市場的定位而定，因為它可以解決無線局域網(wǎng)絡的傳輸能力及特性，包括：抗干擾能力、使用距離范圍、頻寬大小、及傳輸資料的大小。一般而言，DSSS由于采用全頻帶傳送資料，速度較快，未來可開發(fā)出更高傳輸頻率的潛力也較大。DSSS技術適用于固定環(huán)境中、或?qū)鬏斊焚|(zhì)要求較高的應用，因此，無線廠房、無線醫(yī)院、網(wǎng)絡社區(qū)、分校連網(wǎng)等應用，大都采用DSSS無線技術產(chǎn)品。FHSS則大都使用于需快速移動的端點，如行動電話在無線傳輸技術部分即是采用FHSS技術；且因FHSS傳輸范圍較小，所以往往在相同的傳輸環(huán)境下，所需要的FHSS技術設備要比DSSS技術設備多，在整體價格上，可能也會比較高。以目前企業(yè)需求來說，高速移動端點應用較少，而大多較注重傳輸速率、及傳輸?shù)姆€(wěn)定性，所以未來無線網(wǎng)絡產(chǎn)品發(fā)展應會以DSSS技術為主流。消費者選購無線局域網(wǎng)絡時需要特別注意下列的特性，以決定自己合適的產(chǎn)品，包括：

◎ 涵蓋范圍

◎ 傳輸率

◎ 受Multipath影響程度

◎ 提供資料整合程度

◎ 和有線的基礎設施之間的互操性

◎ 和其它無線的基礎設施之間的互操性

◎ 抗干擾程度

◎ 簡單、易操作

◎ 保密能力

◎ 低成本

◎ 電流消耗情況。

第四章 IEEE 802.11之相關信息

因應無線局域網(wǎng)絡的強烈需求，美國的國際電子電機學會于1990年11月召開了802.11委員會，開始制定無線局域網(wǎng)絡標準。承襲IEEE802系列，802.11規(guī)范了無線局域網(wǎng)絡的介質(zhì)存取控制(Medium Access Control ；MAC)層及實體(Physical ；PHY)層。此較特別的是由于實際無線傳輸?shù)姆绞讲煌?，IEEE802.11在統(tǒng)一的MAC層下面規(guī)范了各種不同的實體層，以因應目前的情況及未來的技術發(fā)展。目前802.11中制訂了三種介質(zhì)的實體，為了未來技術的擴充性，也都提供了多重速率(Mulitiple Rates)的功能。這三個實體分別是：

4.1 2.4GHz Direct Sequence Spread Spectrum

速率1Mbps時用DBPSK調(diào)變(Difference By Phase Shift Keying)速率2Mbps 時用DQPSK調(diào)變(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用長度11的Barker碼當展頻PN碼

4.2 2.4GHz Frequency Hopping Spread Spectrum

速率1Mbps時用2-level GFSK調(diào)變，接收敏感度–80dbm, 速率2Mbps時用4-level GFSK調(diào)變，接收敏感度–75dbm, 每秒跳2.5個 hops Hopping Sequence在歐美有22組，在日本有4組

4.3 Diffused IR

速率1Mbps時用16ppm調(diào)變，接收敏感度2 ×10-5mW/平方公分 速率2Mbps時用4ppm調(diào)變，接收敏感度8 ×10-5mW/平方公分 波長850nm~950nm

其中前兩種在2.4GHz的射頻方式是依據(jù)ISM頻段以展頻技術可做不須授權使用的規(guī)定，這個頻段的使用在全世界包含美國、歐洲、日本及中國臺灣等主要國家和地區(qū)都有開放。第三項的紅外線由于目前使用上沒有任何管制(除了安全上的規(guī)范)，因此也是自由使用的。IEEE 802.11 MAC的基本存取方式稱為CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)，與以太網(wǎng)絡所用的CSMA/CD(Collision Detection)變成了碰撞防止(Collision Avoidance)，這一字之差是很大的。因為在無線傳輸中感測載波及碰撞偵測都是不可靠的，感測載波有困難。另外通常無線電波經(jīng)天線送出去時，自己是無法監(jiān)視到的，因此碰撞偵測實質(zhì)上也做不到。在802.11中感測載波是由兩種方式來達成，第一是實際去聽是否有電波在傳，及加上優(yōu)先權的觀念。另一個是虛擬的感測載波，告知大家待會有多久的時間我們要傳東西，以防止碰撞。

第五章 無線局域網(wǎng)絡之產(chǎn)品簡介

5.1 Access Point

一般俗稱為網(wǎng)絡橋接器，顧名思義即是當作傳統(tǒng)的有線局域網(wǎng)絡與無線局域網(wǎng)絡之橋梁，因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡甚至廣域網(wǎng)絡之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對接有無線網(wǎng)絡卡之PC作必要之控管。

5.2 Wireless LAN Card

一般稱為無線網(wǎng)絡卡，其與傳統(tǒng)之Ethernet網(wǎng)絡卡的差別是在于前者之資料傳送乃是藉由無線電波，而后者則是透過一般的網(wǎng)絡線。目前無線網(wǎng)絡卡的規(guī)格大致可分成2M,5M,11M,三種，而其適用之界面可分為PCMCIA,ISA,PCI三種界面。

5.3 Antenna

一般稱為天線，此天線與一般電視，火腿族，大哥大所用之天線不同，其原因乃是因為頻率不同所致，WLAN所用之頻率為較高2.4GHz之頻段。天線之功能乃是將source之信號，藉由天線本身的特性而傳送至遠處，至于能傳多遠，一般除了考慮source的output power強度之外，其另一重要因素乃是天線本身之dBi值，即俗稱的增益值，dB值愈高，相對所能傳達之距離也更遠。通常每增加8dB則相對之距離可增至原距離的一半。一般天線有所謂指向性(Uni-direction)與全向性(Omni-direction)兩種，前者較適合于長距離使用，而后者則較適合區(qū)域性之應用。

5.4 產(chǎn)品Q & A

Q1：何謂無線網(wǎng)絡

ANS：一般來講，所謂無線，顧名思義就是利用無線電波來作為資料的傳導，而就應用層面來講，它與有線網(wǎng)絡的用途完全相似，兩者最大不同的地方是在于傳輸資料的媒介不同。除此之外，正因它是無線，因此無論是在硬件架設或使用之機動性均比有線網(wǎng)絡要優(yōu)勢許多。

Q2：無線網(wǎng)絡與有線網(wǎng)絡相較之下，有那些優(yōu)點 ANS：就使用上它的機動性，便利性，是有線網(wǎng)絡所不及，就成本上，它可省下一筆可觀的布線費用，修改裝潢費用，基本上使用的空間較為彈性許多。

Q3：無線網(wǎng)絡對人體是否有所影響

ANS：因無線網(wǎng)絡的發(fā)射功率較一般的大哥大手機要微弱許多，無線網(wǎng)絡發(fā)射功率約60~70mW，而大哥大手機發(fā)射功率約200mW左右，而且使用的方式亦非像手機一般直接接觸于人體，因此較無安全上之考量。

Q4：若要架構(gòu)一個無線網(wǎng)絡，其最基本之配備需要有那些

ANS：一般架設無線網(wǎng)絡的基本配備就是一片無線網(wǎng)絡卡及一臺橋接器(AP)，如此便能以無線的模式，配合既有的有線架構(gòu)來分享網(wǎng)絡資源。

Q5：無線網(wǎng)絡就使用是否會被干擾或影響其它設備運作

ANS：基本上無線網(wǎng)絡所使用之頻段是屬于ISM 2.4GHz的高頻率范圍，就日常生活，或辦公室等等所用之電器設備是不會相互干擾，因頻率差異甚多，而且無線網(wǎng)絡本身共有12個信道可供調(diào)整，自然干擾的現(xiàn)象就不必擔心。

Q6：何謂ISM頻段

ANS：ISM(Industrial Scientific Medical)Band，此頻段(2.4~2.4835GHz)主要是開放給工業(yè)，科學、醫(yī)學，三個主要機構(gòu)使用，該頻段是依據(jù)美國聯(lián)邦通訊委員會(FCC)所定義出來，屬于Free License，并沒有所謂使用授權的限制。

Q7：何謂展頻(Spread Spectrum)ANS：展頻技術主要又分為「跳頻技術」及「直接序列」兩種方式。而此兩種技術是在第二次世界大戰(zhàn)中軍隊所使用的技術，其目的是希望在惡劣的戰(zhàn)爭環(huán)境中，依然能保持通信信號的穩(wěn)定性及保密性。對于一個非特定的接受器，Spread Spectrum所產(chǎn)生的跳動訊號對它而言，只算是脈沖噪聲。因此對整體而言是一種較具安全性的通訊技術。

Q8：何謂跳頻(Frequency-Hopping Spread Spectrum)ANS：跳頻技術(Frequency-Hopping Spread Spectrum；FHSS)在同步、且同時的情況下，接受兩端以特定型式的窄頻載波來傳送訊號，對于一個非特定的接受器，F(xiàn)HSS所產(chǎn)生的跳動訊號對它而言，只算是脈沖噪聲。FHSS所展開的訊號可依特別設計來規(guī)避噪聲或One-to-Many的非重復的頻道，并且這些跳頻訊號必須遵守FCC的要求，使用75個以上的跳頻訊號、且跳頻至下一個頻率的最大時間間隔(Dwell Time)為400ms。

Q9：何謂直接序列展頻(Direct Sequence Spread Spectrum)ANS：直接序列展頻技術(Direct Sequence Spread Spectrum；DSSS)是將原來的訊號「1」或「0」，利用10個以上的chips來代表「1」或「0」位，使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個bit使用多少個chips稱做Spreading chips，一個較高的Spreading chips可以增加抗噪聲干擾，而一個較低Spreading Ration可以增加用戶的使用人數(shù)?；旧?，在DSSS的Spreading Ration是相當少的，例如在幾乎所有2.4GHz的無線局域網(wǎng)絡產(chǎn)品所使用的Spreading Ration皆少于20。而在IEEE 802.11的標準內(nèi)，其Spreading Ration只有11，但FCC的規(guī)定是必須大于10，而實驗中，最佳的Spreading Ration大約在100左右。

Q10：無線網(wǎng)絡所能含蓋的范圍有多廣

ANS：一般無線網(wǎng)絡所能含蓋的范圍應視環(huán)境的開放與否而定，若不加外接天線而言，在視野所及之處約250M，若屬半開放性空間，有隔間之區(qū)域，則約35~50M左右，當然若加上外接天線，則距離可達更遠，此關系到天線本身之增益而定，因此需視客戶之需求而加以規(guī)劃之。

Q11：無線網(wǎng)絡于使用之過程其保密性為何

ANS：基本上GEMPLEX之無線網(wǎng)絡技術采DSSS系統(tǒng)，本身就具有防竊聽之功能，另外再加上資料加密功能(WEP40bits)的雙重防護下，因此其安全性是相當周全。

Q12：何謂橋接器(Access Point)ANS：Access Point，一般俗稱為網(wǎng)絡橋接器，顧名思義即是當作傳統(tǒng)的有線局域網(wǎng)絡與無線局域網(wǎng)絡之橋梁，因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡甚至廣域網(wǎng)絡之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對接有無線網(wǎng)絡卡之PC作必要之控管。

Q13：Access Point在使用上可同時支持多少工作站

ANS：理論上是可以支持到一個CLASS C，但為了讓工作站本身有足夠之頻寬可利用，一般建議一臺AP約支持20~30左右之工作站為最佳狀態(tài)。

Q14：何謂漫游(Roaming)功能

ANS：如同大哥大一般，可漫游在不同的基地臺之間，無線網(wǎng)絡工作站亦可漫游在不同的AP之間，只要AP群的ESSID

定義一樣，則自然無線網(wǎng)絡工作站可自由的漫游于無線電波所能含蓋之區(qū)域。

Q15：若無線網(wǎng)絡之設備架設于室外，其如何防止雷擊

ANS：基本上無線網(wǎng)絡可配置避雷器之設備，此設備可選購裝設于無線網(wǎng)絡設備上，以利外來之突波造成系統(tǒng)損壞。

Q16：何謂Access Control ANS：基本上每張無線網(wǎng)卡上都有一組獨一無二的硬件地址，即所謂的MAC address，經(jīng)由Access Control table可定義某些卡可登入此AP，某些卡被拒絕登入，如此便能達到控管的機制，可避免非相關人員隨意登入網(wǎng)絡，竊取資源。

Q17：何謂ASBF ANS：ASBF(Automatic Scale Back Functionality)，此項功能是Gemplex AP特有之功能，保證WLAN始終處于最佳的聯(lián)機品質(zhì)，除此之外，并提供支持多重廠商的無線網(wǎng)卡，但其網(wǎng)卡必須是符合IEEE 802.11之規(guī)范而設計。

Q18：何謂Power Management ANS：由于Notebook使用約2小時左右后便必須充電，若又同時使用其它外圍設備，則必定更加耗電，因此此項功能乃在于有效的管理無線網(wǎng)絡卡所消耗之電量，換句話說，它能適時控制當有DATA sending or receiving時，是處于”Wake up status”，反之則處于power down mode。

Q19：天線所使用之導線的長度是否有影響傳輸品質(zhì) ANS：一般來講，天線所使用之導線的長度，材質(zhì)，阻抗匹配，均會對訊號造成某程度之影響，而最明顯的就是增益衰減。通常以20 feet之長度而言就會讓訊號衰減約1.2dBi左右，而平均每衰減8dBi就會讓原傳輸之距離約縮減一半，因此導線之長度與品質(zhì)在無線產(chǎn)品的應用上是不容忽視的。

Q20：架設指向性天線時，是否有工具可提供指示，讓訊號品質(zhì)達到最佳化

ANS：Gemplex之Bridge本身有提供一套軟件聯(lián)機品質(zhì)校正程序，其中是以圖形曲線的方式呈現(xiàn)于屏幕上，使用者可明顯看出該訊號目前強弱之狀況，而加以調(diào)整天線的位置，已達最佳狀態(tài)。

Q21 : 何謂Ad-hoc ANS : 構(gòu)成一種特殊的無線網(wǎng)絡應用模式，一群計算機接上無線網(wǎng)絡卡，即可相互連接，資源共享，無需透過Access Point.Q22 : 何謂Infrastructure ANS : 一種整合有線與無線局域網(wǎng)絡架構(gòu)的應用模式，透過此種架構(gòu)模式，即可達成網(wǎng)絡資源的共享，此應用需透過Access Point.Q23 : 何謂BSS ANS : 一種特殊的Ad-hoc LAN的應用，稱為Basic Service Set(BSS)，一群計算機設定相同的BSS名稱，即可自成一個group，而此BSS名稱，即所謂BSSID。

Q24 : 何謂ESS ANS : 一種infrastructure的應用，一個或多個以上的BSS，即可被定義成一個Extended Service Set(ESS)，使用者可于ESS上roaming及存取BSSs中的任何資料，其中Access Points必須設定相同的ESSID及channel才能允許roaming.Q25 : 何謂SNMP ANS : “Simple Network Management Protocol “，一種網(wǎng)管的通信協(xié)議，透過SNMP的軟件可以連接至可支持SNMP的裝置并可收集該裝置所有的信息并做其它整合性的應用，Gemplex Wireless LAN product 就有support此功能。

Q26 : 何謂WEP ANS : “Wired Equivalent Protection “，一種將資料加密的處理方式，WEP 40bits的encryption 乃是IEEE 802.11的標準規(guī)范。

透過WEP的處理便可讓我們的資料于傳輸中更加安全。

5.5 無線局域網(wǎng)絡之應用

大樓之間 ： 大樓之間建構(gòu)網(wǎng)絡的連結(jié)，取代專線，簡單又便宜。

餐飲及零售：餐飲服務業(yè)可使用無線局域網(wǎng)絡產(chǎn)品，直接從餐桌即可輸入并傳送客人點菜內(nèi)容至廚房、柜臺。零售商促銷時，可使用無線局域網(wǎng)絡產(chǎn)品設置臨時收銀柜臺。

醫(yī) 療 ：

使用附無線局域網(wǎng)絡產(chǎn)品的手提式計算機取得實時信息，醫(yī)護人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等，而提升對傷患照顧的品質(zhì)。

企 業(yè) ：

當企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡產(chǎn)品時，不管他們在辦公室的任何一個角落，有無線局域網(wǎng)絡產(chǎn)品，就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡瀏覽。

倉儲管理 : 一般倉儲人員的盤點事宜，透過無線網(wǎng)絡的應用，能立即將最新的資料輸入計算機倉儲系統(tǒng)。

貨柜集散場 : 一般貨柜集散場的橋式起重車，可于調(diào)動貨柜時，將實時信息傳回office，以利相關作業(yè)之逐行。

監(jiān)視系統(tǒng) : 一般位于遠方且需受監(jiān)控現(xiàn)場之場所，由于布線之困難，可藉由無線網(wǎng)絡將遠方之影像傳回主控站。

展示會場 : 諸如一般的電子展，計算機展，由于網(wǎng)絡需求極高，而且布線又會讓會場顯得凌亂，因此若能使用無線網(wǎng)絡，則是再好不過的選擇。

第六章 無線局域網(wǎng)關鍵技術研究與展望

與目前5類線到戶的有線局域網(wǎng)（LAN）用戶接入方式相類似，無線局域網(wǎng)（WLAN）正在發(fā)展成為公網(wǎng)的寬帶無線用戶接入方式，即運營商的WLAN（OWLAN）。OWLAN嚴格說起來并不是一種局域網(wǎng)，而是一種采用WLAN技術的無線接入網(wǎng)絡。由于在制定IEEE802.11標準時，WLAN只定位在局域網(wǎng)應用，故在WLAN作為熱點地區(qū)公共接入網(wǎng)絡時，802.11在認證、漫游、加密、計費和網(wǎng)管等方面顯現(xiàn)出一定的缺陷。本章主要探討WLAN在作為公共接入網(wǎng)時的組網(wǎng)方案，以及對認證、加密、計費和漫游方面的解決方案。

6.1 公共WLAN組網(wǎng)方案

OWLAN可以作為某一個運營商的無線接入網(wǎng)，亦可作為多個運營商共用的無線接入網(wǎng)，故在OWLAN中要求能支持多種認證方式。

6.1.1 接入點（AP）

AP是WLAN的小型無線基站設備，為無線網(wǎng)與DS（分配系統(tǒng)例如有線以太網(wǎng)）之間的網(wǎng)關，且具有802.11f切換功能

6.1.2 接入控制點（AC）

AC為OWLAN和運營商IP網(wǎng)的網(wǎng)關。作為認證控制點時能鑒別不同的認證方式，并提供動態(tài)IP地址分配、輸出原始計費信息、提供路由功能等。

6.1.3 遠程撥號接入認證（RADIUS）服務器

在使用“用戶號十密碼”或“手機號十密碼”的Web認證方式時，使用RADIUS服務器實現(xiàn)對用戶身份的認證。該服務器還接收來自AC的原始計費信息，產(chǎn)生符合移動運營商要求格式的CDR（呼叫數(shù)據(jù)記錄）計費信息，實時送相應運行商的計費中心(Billing)。在RADIUS服務器中存有歸屬用戶的用戶名、登錄名、固定IP地址、MAC地址、欠費情況等信息。

6.1.4 認證服務器（AS）

移動運營商使用SIM卡認證方式時，需要使用認證服務器（AS）。AS與網(wǎng)關（GW或GPRS中的GGSN）相配合提供WLAN與移動運行商HLR/AUC的連接。AS在讀取MT（移動終端）的國際移動用戶識別（IMSI），送HLR/AUC確認該用戶為WLAN注冊用戶后，與HLR/AUC配合完成密鑰產(chǎn)生、EAP（可擴展認證協(xié)議）_SIM認證等任務。其他功能同RADIUS服務器。

6.1.5 門戶網(wǎng)站服務器（Portal Server）

用于向用戶端推送WEB認證頁面和門戶網(wǎng)站主頁面。

6.2 公網(wǎng)WLAN用戶接入的相關解決方案

6.2.1 OWLAN的用戶認證

WLAN在作為局域網(wǎng)使用時，沿用了有線LAN的PPPoE（PPP over Ethernet）和Web用戶認證方式。在作為OWLAN使用時，由于其在物理上的開放性，使得非

法用戶入侵的可能性大為增加，原有802.11認證的安全性已不能滿足運營商的需要。在采用RADIUS協(xié)議并加上802.1x的認證手段以及802.1i的安全協(xié)議后，基本可以滿足OWLAN的要求。同時，在認證安全前提下，應盡量利用運營商已有的鑒權認證設備，以簡化系統(tǒng)、節(jié)約投資。

6.2.2 802.1x用戶認證方式中的訪問實體

802.1x協(xié)議克服了傳統(tǒng)PPPoE和WEB認證方式的缺點，更適合在OWLAN中使用。該協(xié)議亦稱為基于端口的接入控制協(xié)議。802.1x協(xié)議的訪問控制流程中端口訪問實體（PAE）包括：客戶端、認證者和認證服務器三部分。（1）客戶端

用戶從客戶端發(fā)起802.11x的用戶認證過程，為了支持基于端口的接入控制，客戶端必需支持EAPoL（基于LAN的擴展認證協(xié)議）。（2）認證者

認證者通常為支持802.1x協(xié)議的網(wǎng)絡設備，這些設備的端口對應于用戶端而言有受控與不受控兩種邏輯端口。不受控端口始終處于雙向連接狀態(tài)，主要用于傳遞EAPoL協(xié)議幀，用以保證客戶端始終可以發(fā)出或接受認證。受控端口只有在認證通過時才打開，用于傳遞運營商的有償網(wǎng)絡資源和業(yè)務。當用戶未通過認證時，受控端口對該用戶關閉，即無法訪問該運營商所提供的有償服務。（3）認證服務器

認證服務器通常為RADIUS服務器或AS+HLR/AUC，它與認證者之間通過EAP協(xié)議進行通信。

6.3 802.1x認證方式

802.1x的網(wǎng)絡訪問控制協(xié)議規(guī)范了802.1x的用戶鑒權認證方式。802.1x推薦使用撥號用戶遠程認證服務（RADIUS）及與之相關的兩個通信協(xié)議：可擴展認證協(xié)議（EAP）和傳輸層協(xié)議（TLS）。802.1x主要涵蓋以下四種認證方式：

6.3.1 EAP-MD5認證方式

EAP-MD5認證方式通過RADIUS服務器提供簡單的集中用戶認證。用戶注冊時該服務器只是檢查用戶名與密碼，若通過認證就就允許客戶端訪問網(wǎng)絡業(yè)務。采用該認證方式時，用戶密碼采用MD5加密算法，以保證認證信息的安全。EAP-MD5屬單向認證機制，即只包括網(wǎng)絡對客戶端的認證。

6.3.2 EAP-SIM認證方式

EAP-SIM認證方式主要用于蜂窩移動運營商WLAN的SIM卡認證方式，支持用戶與網(wǎng)絡之間的雙向認證和動態(tài)密鑰下發(fā)。在該認證方式中，用戶端采用裝有SIM卡讀卡器的WLAN網(wǎng)卡。網(wǎng)絡側(cè)的認證服務器（AS）與移動交換系統(tǒng)原有的HLR/AUC協(xié)同工作共同完成對用戶的認證

6.3.3 EAP-TLS認證方式

EAP-TLS認證方式屬于傳輸層認證機制，支持用戶與網(wǎng)絡之間的雙向認證。用戶可以在每次連接動態(tài)生成新密鑰，且在用戶連接期間按一定間隔更新密鑰。TLS認證中，傳送的數(shù)據(jù)由TLS加密封裝，保證認證信息的安全。

6.3.4 EAP-TTLS鑒權認證方式

EAP-TTLS認證方式基于隧道安全認證技術，能夠支持雙向認證和動態(tài)密鑰分發(fā)。在該認證方式中客戶端與RADIUS之間，采用EAPoL協(xié)議建立安全隧道傳送EAP認證包，實現(xiàn)TTLS認證。

6.4 OWLAN的數(shù)據(jù)安全

802.1x協(xié)議對數(shù)據(jù)的加

為了克服802.11所定義WEP（有線等效保密協(xié)議）存在的安全隱患，IEEE制定了802.1x用以增強WEP的安全性。WEP使用40位靜態(tài)密鑰，而802.1x通過動態(tài)配置WEP的128位密鑰加強了數(shù)據(jù)的保密性，制訂了動態(tài)密鑰完整性協(xié)議(TKIP)對WEP的RC4算法進行改進，并增加了消息完整性檢查（MIC）

在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP認證方式中提供了依賴于其初始鑒權認證的主密鑰。利用該主密鑰對空中數(shù)據(jù)幀加密，使得未經(jīng)認證的用戶無法對所竊取的數(shù)據(jù)幀進行解密

第七章 WLAN中的VPN

為了保證企業(yè)內(nèi)部網(wǎng)絡的安全接入，在OWLAN接入網(wǎng)中采用虛擬專網(wǎng)（VPN）技術用以保證企業(yè)內(nèi)部網(wǎng)絡的安全接入。VPN是指在一個公共IP平臺上，通過隧道及加密技術，為網(wǎng)絡提供點對點的安全通信，以保證遠程用戶接入專用網(wǎng)絡的數(shù)據(jù)安全性。

在采用VPN技術的WLAN中，無線接入網(wǎng)絡已被企業(yè)的VPN服務器和虛擬局域網(wǎng)（VLAN）將企業(yè)內(nèi)部網(wǎng)的接入隔離開來。由企業(yè)的VPN服務器提供無線網(wǎng)絡的認證與加密，并充當企業(yè)內(nèi)部網(wǎng)絡的網(wǎng)關。VPN協(xié)議包括第二層的PPTP/L2TP協(xié)議及第三層的IPSec協(xié)議，上述協(xié)議對通過WLAN傳送的數(shù)據(jù)提供強大的加密功能。

根據(jù)隧道的建立方式，可劃分為2類VPN連接應用：

7.1 由用戶端發(fā)起的VPN連接

在由用戶端發(fā)起的VPN連接應用中，需要在MT中按裝VPN客戶端軟件。用以在MT與企業(yè)的VPN服務器（網(wǎng)關）之間建立隧道連接。在這類VPN連接中，VPN只涉及發(fā)起端與終結(jié)端，因此對AP、AC而言是透明的，無需AP、AC支持VPN。

7.2 由AC端發(fā)起的VPN連接

在由AC端發(fā)起的VPN連接應用中，用戶以PPPoE方式連接AC，AC根據(jù)通信目的域名地址判為VPN業(yè)務后，由AC發(fā)起一條隧道連接用戶欲接入的企業(yè)網(wǎng)網(wǎng)關。在這種方式下從MT到AC的用戶數(shù)據(jù)加密應在PPP層完成，可以采用PPP協(xié)議的加密選項來實現(xiàn)傳輸數(shù)據(jù)的加密。

7.3 802.11i標準

802.11i是專門針對WLAN安全體系的標準。該標準提供一種新的加密方法和認證方式（即WEP2技術）。與傳統(tǒng)的WEP算法相比較，WEP2將密鑰的長度由40位增加到128位，故很難破譯。同時，該標準將一種增強安全網(wǎng)絡（RSN）方案納入其中，并包括了TKIP和AES-OCB兩個協(xié)議。802.11i通過使用動態(tài)密鑰、良好的密鑰管理與分發(fā)機制以及更強的加密算法，使得在WLAN中的數(shù)據(jù)幀傳輸變得更加安全。

OWLAN的計費

在OWLAN中，AC監(jiān)測用戶數(shù)據(jù)傳輸?shù)臅r間或流量，用以產(chǎn)生計費的原始信息送AS或RADUIS。在AS或RADUIS中對計費原始信息進行加工，生成符合計費中心所需格式的計費數(shù)據(jù)記錄(CDR)，送運行商計費中心。在多個運營商共用一個OWLAN時，要求AC能鑒別不同運營商的計費信息，分別送對應運營商的計費系統(tǒng)。

OWLAN的移動性管理

802.11至今還沒有一個對MT設備跟蹤與管理的正式標準。而在將WLAN作為OWLAN應用的今天，必須解決在同一計算機子網(wǎng)（域）內(nèi)MT在不同AP之間漫游的問題；以及不同計算機子網(wǎng)（域）之間的漫游的問題。在沒有統(tǒng)一的WLAN域內(nèi)、域間的漫游標準之前，各制造商和運營商則推出了各自的解決方案

域內(nèi)漫游

在802.11中僅說明了MT可以在同一個ESS（擴展業(yè)務集）內(nèi)的AP之間進

行漫游，但未對MT漫游時AP之間具體通信過程做出規(guī)定，故不同廠家在實現(xiàn)AP間漫游時均采用了私有協(xié)議，這對運營商的組網(wǎng)帶來了困難。為此IEEE推出了支持域內(nèi)漫游的802.11f標準（已被IEEE批準為實踐性標準）。

802.11f定義了同一ESS中AP的登錄，以及MT從一個AP切換到另一個AP時，AP之間交換的信息。

802.11f所定義的IAPP（AP間交互協(xié)議）在IP層上規(guī)定了AP之間以及AP和RADIUS服務器之間所需交換的信息。AP之間是通過UDP/IP協(xié)議在一個共同的DS中交互信息、進行互操作。同時亦通過IAPP來影響第二層網(wǎng)絡設備的操作。802.11f要求在RADIUS服務器中存放有域內(nèi)各AP的基本信息，例如基本服務集標識(BSS-ID)、IP地址以及MT接入的認證密鑰。

7.4 基本的WLAN安全

務組標識符(SSID)：無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網(wǎng)提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。況且有的廠家支持any方式，只要無線客戶端處在AP范圍內(nèi)，那么它都會自動連接到AP，這將繞過SSID的安全功能。

物理地址(MAC)過濾：每個無線客戶端網(wǎng)卡都由惟一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作；如果用戶增加，則擴展能力很差，因此只適合于小型網(wǎng)絡規(guī)模。另外，非法用戶利用網(wǎng)絡偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進行非法接入。

7.5 IEEE 802.11的安全技術

7.5.1 認證

在無線客戶端和中心設備交換數(shù)據(jù)之前，它們之間必須先進行一次對話。在802.11b標準制定時，IEEE在其中加入了一項功能：當一個設備和中心設備對話后，就立即開始認證工作，在通過認證之前，設備無法進行其他關鍵通信。這項功能可以被設為shared key authentication和open authentication，默認的是后者。在默認設定下，任何設備都可以和中心設備進行通訊，而無法越過中心設備，去更高一級的安全區(qū)域。而在shared key authentication設定時，客戶機要先向中心設備發(fā)出連接請求，然后中心設備發(fā)回一串字符，要求客戶機使用WEP鑰匙返回密碼。只有在密碼正確的情況下，客戶機才可以和中心設備進行通信，并可以進入更高級別。

使用認證方式有一個缺點，中心設備發(fā)回的字符是明文的。通過監(jiān)聽通信過程，攻擊者可以在認證公式中得到2個未知數(shù)的值，明文的字符和客戶機返回的字符，而只有一個值還無法知道。通過RC4計算機通信加密算法，攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個鑰匙，侵入者就可以通過中心設備，進入其他客戶端。諷刺的是，這項安全功能通常都應該設

為“open authentication”，使得任何人都可以和中心設備通信，而通過其他方式來保障安全。盡管不使用這項安全功能看上去和保障網(wǎng)絡安全相矛盾，但是實際上，這個安全層帶來的潛在危險遠大于其提供的幫助

7.5.2 保密

有線等效保密(WEP)：WEP雖然通過加密提供網(wǎng)絡的安全性，但存在許多缺陷：

缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區(qū)內(nèi)的所有用戶都共享同一把密鑰。WEP標準中并沒有規(guī)定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網(wǎng)絡。

ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。能夠篡改即加密數(shù)據(jù)包使各種各樣的非常簡單的攻擊成為可能。

RC4算法存在弱點。在RC4中，人們發(fā)現(xiàn)了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在24位的IV值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網(wǎng)絡中。利用認證與加密的安全漏洞，在很短的時間內(nèi)，WEP密鑰即可被破解。

7.6 IEEE 802.11i標準

(1)認證-端口訪問控制技術(IEEE 802.1x)

通過802.1X，當一個設備要接入中心設備時，中心設備就要求一組證書。用戶提供的證書被中心設備提交給服務器進行認證。這臺服務器稱為RADIUS，也就是temote Authentication Dial-In User Service，通常是用來認證撥號用戶的。這整個過程被包含在802.1X的標準EAP(擴展認證協(xié)議)中。EAP是一種認證方式集合，可以讓開發(fā)者以各種方式生成他們自己的證書發(fā)放方式，EAP也是802.1X中最主要的安全功能?，F(xiàn)在的EAP方式主要有四種。

但是IEEE 802.1x提供的是無線客戶端與RADIUS服務器之間的認證，而不是客戶端與無線接入點AP之間的認證；采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中存在很大安全隱患，如泄漏、丟失；無線接入點AP與RADIUS服務器之間基于其享密鑰完成認證過程協(xié)商出的會話密鑰的傳遞，該共享密鑰為靜態(tài)，人為手工管理，存在一定的安全隱患。

(2)保密

有線等效保密的改進方案-TKIP。

目前Wi-Fi推薦的無線局域網(wǎng)安全解決方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i標準均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法，但相比于WEP算法，將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位，由于WEP算法的安全漏洞是由于WEP機制本身引加性高斯噪聲信道起的，與密鑰的長度無關，即使增加加密密鑰的長度，也不可能增強其安全程度，初始化向量IV長度的增加也只能在有限程度上提高破解難度，比如延長破解信息收集時間，并不能從根本上解決問題，因為作為安全關鍵的加密部分，TKIP

沒有脫離WEP的核心機制。

目前正在制定中的IEEE 802.11i標準的終極加密解決方案為基于IEEE 802.1x認證的CCMP(CBC-MAC Protoco1)加密技術，即以AES(Advanced Encryption Standard)為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。

7.7 VPN技術

作為一種比較可靠的網(wǎng)絡安全解決方案，VPN技術在有線網(wǎng)絡中，尤其是企業(yè)有線網(wǎng)絡應用中得到了一定程度的采用。然而，無線網(wǎng)絡的應用特點在很大程度上阻礙了VPN技術的應用，主要體現(xiàn)在以下幾個方面：

運行的脆弱性：眾所周知，因突發(fā)干擾或AP間越區(qū)切換等因素導致的無線鏈路質(zhì)量波動或短時中斷是無線應用的特點之一，因此用戶通信鏈路出現(xiàn)短時中斷不足為奇。這種情況對于普通的TCP／IP應用影響不顯敏感，但對于VPN鏈路影響巨大，一旦發(fā)生中斷，用戶將不得不通過手動設置以重新恢復VPN連接。這對于WLAN用戶，尤其是需要移動或QoS保證(如VoIP業(yè)務)的WLAN用戶是不可忍受的。

通用性問題：VPN技術在國內(nèi)，甚至在國際上沒有一個統(tǒng)一的開發(fā)標準，各公司基于自有技術與目的開發(fā)自有專用產(chǎn)品，導致技術體制雜亂，沒有通用型可言。這對于強調(diào)互通性的WLAN應用是相悖的。

網(wǎng)絡的擴展性問題：VPN技術在提供網(wǎng)絡安全的同時，大大限制了網(wǎng)絡的可擴展性能，這主要是由于VPN網(wǎng)絡架設的復雜性導致的。如果要改變一個VPN網(wǎng)絡的拓撲結(jié)構(gòu)或內(nèi)容，用戶往往將不得不重新規(guī)劃并進行網(wǎng)絡配置，這對于一個中型以上的網(wǎng)絡兒乎是不可思議的。

成本問題：上述的3個問題實際在不同程度上直接導致了用戶網(wǎng)絡架設的成本攀升。另一個重要因素是VPN產(chǎn)品本身的價格就很高，對于中小型網(wǎng)絡用戶甚至超過WLAN設備的采購費用。

7.8 WAPI 技術標準是所有產(chǎn)業(yè)健康發(fā)展的基石，對無線局域網(wǎng)產(chǎn)業(yè)而言，以往一直存在缺乏統(tǒng)一標準和安全保障兩大瓶頸。目前WEAN國際標準可靠安全機制的軟肋使得安全問題的壓力大部分遺留給了WLAN產(chǎn)業(yè)鏈上的芯片設計、設備制造、系統(tǒng)集成甚至最終用戶等各個環(huán)節(jié)，各設備廠商和系統(tǒng)集成商各行其道，市場中出現(xiàn)大量專有的安全標準和解決方案，這些方案要么影響網(wǎng)絡性能要么限制了網(wǎng)絡的可用性和擴展性，當然最致命的是，這些方案大多基于WEP、802.lx等對WLAN來說并不十分可靠的基礎協(xié)改。對于大多數(shù)并不熟悉WLAN安全技術的最終用戶而言，WEP／WPA／SSID／VPN／802.1x等名目繁多、花樣翻新，往往又價格不斐的WLAN安全方案讓他們無所適從。

最新頒布并且即將強制執(zhí)行的WLAN國家標準對目前中國WLAN市場的發(fā)展和格局將產(chǎn)生深遠影響。WLAN國家標準依據(jù)我國的無線電管理法規(guī)對我國無線局域網(wǎng)相關產(chǎn)品的發(fā)射功率、信道數(shù)等作出了明確規(guī)定，標準還強調(diào)和規(guī)定了無線局域網(wǎng)安全技術的應用要求。適用于獨立的無線局域網(wǎng)設備以及提供無線局域網(wǎng)相關功能的獨立或嵌入式軟件模塊。同時該標準與相應國際標準的區(qū)別主要表現(xiàn)在對安全機制的嚴格要求，即用WAPI協(xié)議取代了IEEE802.11標準中先天不足的WEP協(xié)議。雖然WAPI作為被中國政府認可并最終頒布的WLAN安全機制，有著比

目前WEP、802.lx、WPA等安全協(xié)議更高的安全性，但是能否獲得最終的成功還有待于廠商的支持和市場的考驗。

7.9 WLAN的切換與漫游

7.9.1 切換與漫游

WLAN的切換指的是在相同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。

加入現(xiàn)有的服務區(qū)有兩種方法：主動掃描和被動掃描。主動掃描要求站點查找接入點，從接入點設備中接受同步信息。也可通過被動掃描獲得同步信息，可偵聽每個接入點周期性所發(fā)送的信標幀。一旦站點定位了接入點，并取得了同步信息，就必須交換驗證信息。這些信息的交互在接入點和站點之間產(chǎn)生，每個設備給出預設的口令。在站點經(jīng)過驗證后，關聯(lián)過程就開始了。在關聯(lián)過程中，交換站點信息和接入點服務的能力信息是一群接入點得到的站點當前位置的信息。一旦關聯(lián)過程結(jié)束，該站點就能夠發(fā)送和接收幀。當站點離開它的接入點發(fā)生漫游時，注意到接入點的鏈路信號正在變?nèi)?。站點使用它的掃描功能查找另一個接入點，或利用上一次掃描得到的信息選取另一個接入點。一旦找到新的接入點，站點就向它發(fā)送重新關聯(lián)請求。如果站點接收到重新關聯(lián)響應，它就擁有一個新的接入點并且漫游成功。

7.9.2 移動IP

在無線網(wǎng)絡中，如果一邊使用無線局域網(wǎng)接入服務，一邊移動接入位置，那么一旦移動終端超越子網(wǎng)覆蓋范圍，IP數(shù)據(jù)包就無法到達移動終端，正在進行的通信將被中斷。為此，IETF制定了擴展IP網(wǎng)絡移動性的系列標準。所謂移動IP，就是指在IP網(wǎng)絡上的多個子網(wǎng)內(nèi)均可使用同一IP地址的技術。這種技術是通過使用被稱為本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器對網(wǎng)絡終端所處位置的網(wǎng)絡進行管理來實現(xiàn)的。在移動IP系統(tǒng)中，可保證用戶的移動終端始終使用固定的IP地址進行網(wǎng)絡通信，不管在怎樣的移動過程中皆可建立TCP連接并不會發(fā)生中斷。在無線局域網(wǎng)系統(tǒng)中，廣泛的應用移動IP技術可以突破網(wǎng)絡的地域范圍限制，并可克服在跨網(wǎng)段時使用動態(tài)主機配置協(xié)議(DHCP)方式所造成的通信中斷、權限變化等問題。

結(jié)語

無線網(wǎng)絡的出現(xiàn)就是為了解決有線網(wǎng)絡無法克服的困難，雖然無線網(wǎng)絡有諸多優(yōu)勢，但與有線網(wǎng)絡相比，無線局域網(wǎng)也有很多不足。無線網(wǎng)絡速率較慢、價格較高，因而它主要面向有特定需求的用戶，目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡，無線網(wǎng)絡與有線網(wǎng)絡是互補的關系，而不是競爭，目前還只是有線網(wǎng)絡的補充，而不是替換，但也應該看到。近年來，隨著適用于無線局域網(wǎng)產(chǎn)品的價格正逐漸下降，相應軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務，相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

致謝

在此，首先要對我的導師柯江民老師，致以最深的感謝。感謝柯老師對我的論文不厭其煩的細心指點?？吕蠋熓紫燃氈碌貫槲疫x題、解題；當我深陷于眾多的資料，找不準角度，理不清思路時，柯老師又為我指點迷津，梳理脈絡，使我感到柳暗花明，分清了層次，確立了本文的框架。在論文寫作過程中，經(jīng)常得到柯老師電話和郵件指點。在修改和完善過程中，柯老師更是嚴格細致，從框架的完善，到內(nèi)容的擴充；從行文的用語，到格式的規(guī)范，進行了全面地審閱，提出了許多中肯的修改意見。我再次為柯老師的付出表示感謝。同時還要衷心感謝網(wǎng)絡管理學科的堯時茂老師 崇志軍老師 程霄老師 王凌敏老師等的言傳身教，是你們的啟迪與指導，使我獲得了各種專業(yè)知識。老師們勤奮工作、嚴謹治學的精神永遠值得我學習。也要感謝每一位朋友、每一位同學，正是有了你們友情的陪伴，才使得我的大學生活豐富而多彩!在此我要特別感謝各位兄弟姐妹們給予我的支持和幫助!最后，要深深感謝家人對我學業(yè)的全力支持，你們的期待與鼓勵是我前進的最大動力。

三年是短暫的，記憶是永恒的!最后，衷心祝愿我親愛的朋友們：生活幸福，天天快樂!

參考文獻：

1.李建東.黃振海 WLAN的標準與技術發(fā)展[期刊論文]-中興通訊技術 2003(2)2.徐冬梅 WLAN走向安全、高速、互聯(lián) 2002(12)3.GB 15629.11-2003.信息技術系統(tǒng)間遠程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問(MAC)和物理(PHY)層規(guī)范

4.GB 15629.1102-2003.信息技術系統(tǒng)間遠程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問(MAC)和物理(PHY)層規(guī)范:2.4GHz頻段較高速物理層擴展規(guī)范

5.孫少陵.李新.葉偉 WLAN市場發(fā)展現(xiàn)狀與前景[期刊論文]-中興通訊技術 2003(2)6.王志勤 3G與WLAN的關系[期刊論文]-中興通訊技術 2003(2)7.李承恕 WLAN與2.5/3代移動通信網(wǎng)的結(jié)合[期刊論文]-中興通訊技術 2003(2)8.談振輝 應用于移動環(huán)境中的WLAN接入網(wǎng)結(jié)構(gòu)[期刊論文]-中興通訊技術 2003(2)9.呂霞.楊軍 WLAN標準GB15629.11安全機制--WAPI協(xié)議解析[期刊論文]-電子設計應用 2004(10)10.尹傳勇.劉壽強.畢雅寧 營造安全的無限空間--無限局域網(wǎng)新標準WAPI解析[期刊論文]-計算機安全 2004(7)11.鄭君杰.肖軍模.程林 WAPI協(xié)議及其安全性分析[期刊論文]-電視技術 2004(5)12.可運營WLAN網(wǎng)絡安全問題的探討

14.倪源.彭志威.王育民 增強的無線局域網(wǎng)安全技術分析[期刊論文]-中興通訊技術 2003(6)15.萬仁福.陳宇.李方偉 3G與WLAN融合的安全性分析[期刊論文]-電信快報 2004(8)16.魏松.肖征榮 3G與WLAN互連的安全問題[期刊論文]-電信快報 2004(8)17.何廣法.劉乃安 基于3GPP-WLAN互通性安全的AP設計應用[期刊論文]-現(xiàn)代電子技術 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.楊文東 IEEE 802.16寬帶無線接入標準體系介紹[期刊論文]-電信工程技術與標準化 2003(2)20.劉文杰.傅海陽.吳蒙 LMDS系統(tǒng)安全認證協(xié)議的形式分析與改進[期刊論文]-計算機工程 2003(22)21.傅堅 無線寬帶固定接入系統(tǒng)的安全性分析[期刊論文]-計算機工程 2004(6)

第五篇：關于校園無線局域網(wǎng)設計的畢業(yè)論文

論文摘要:隨著無線網(wǎng)絡技術的發(fā)展與校園信息化水平的提高,基于WLAN的無線校園網(wǎng)絡構(gòu)建技術已成趨勢,成為有線校園網(wǎng)網(wǎng)絡延伸的重要手段之一。該文對無線局域網(wǎng)的優(yōu)點和有線校園網(wǎng)中存在問題進行研究分析,提出校園網(wǎng)中使用無線局域網(wǎng)的必要性,探討無線局域網(wǎng)在校園網(wǎng)建設中的解決方案。

論文關鍵詞:無線局域網(wǎng);校園網(wǎng);IEEE802.11;AP;子網(wǎng)設計

隨著網(wǎng)絡應用日益豐富,傳統(tǒng)局域網(wǎng)絡已經(jīng)不能滿足師生對移動網(wǎng)絡的要求,無線局域網(wǎng)作為有線網(wǎng)絡的補充手段,被更多的師生所認同和接受。眾多師生開始在無線局域網(wǎng)中開展各種應用業(yè)務,教學、科研、管理、生活正在悄悄地改變。雖然如今無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡,但近年來,隨著無線局域網(wǎng)技術業(yè)趨向成熟,無線局域網(wǎng)與有線網(wǎng)絡的無縫連接,無線局域網(wǎng)正在以它的較高傳輸能力和很好的靈活性在高校各項應用中發(fā)揮日益重要的作用。

無線局域網(wǎng)基礎知識與架構(gòu)

1.1 無線局域網(wǎng)

無線局域網(wǎng)(Wireless Local Area Network,WLAN)是指以無線信道作為傳輸媒介的計算機局域網(wǎng)絡,是計算機網(wǎng)絡與無線通信技術相結(jié)合的產(chǎn)物,它以無線多址信道作為傳輸媒介,提供傳統(tǒng)有線局域網(wǎng)的功能,能夠使用戶真正實現(xiàn)隨時、隨地、隨意的寬帶網(wǎng)絡接入。

1.2 無線局域網(wǎng)的技術標準

無線局域網(wǎng)是利用射頻技術實現(xiàn)無線通信的局域網(wǎng)絡。該技術產(chǎn)生于20世紀80年代,WLAN主要是作為傳統(tǒng)布線LAN的延展和替代,它能支持較高數(shù)據(jù)速率(1～300Mbit/s)、采用微蜂窩、微微蜂窩結(jié)構(gòu)的,自主管理的計算機局部網(wǎng)絡。還可以采用無線電或紅外線作為傳輸媒質(zhì),采用擴展頻譜技術,移動的終端可通過無線接人點來實現(xiàn)對Internet的訪問。無線局域網(wǎng)有以下常用標準:

1)IEEE802.11b

802.11b(通常又稱Wireless Fidelity,WI-FI),是現(xiàn)在最普及的無線標準之一。設備工作在2.4GHz的范圍內(nèi),帶寬可以達到11Mbps。

2)IEEE802.11a

802.11a標準是一個獲得正式批準的無線以太網(wǎng)標準。它工作在5GHz頻段上,使用正交頻分復用技術,將5GHz分為多個重疊的頻率,在每個子信道上進行窄帶調(diào)制和傳輸,以減少信道之間的相互干擾,使帶寬可以達到54Mbps。

3)IEEE802.11g

802.11g是一種混合標準,能向下兼容傳統(tǒng)的802.11b標準。IEEE802.11g的54Mbps高數(shù)據(jù)吞吐量比802.11b快出5倍,將改善已有的應用性能,使高帶寬數(shù)據(jù)應用成為可能。802.11g產(chǎn)品可以在同一個網(wǎng)絡中與802.11b產(chǎn)品結(jié)合使用。

4)IEEE802.11n

IEEE802.11n將WLAN的傳輸速率從802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可達320Mbps。與以往的802.11標準不同,802.11n協(xié)議為雙頻工作模式(包含2.4GHz和5GHz兩個工作頻段)。這樣11n保障了以往的802.11a、b、g標準兼容。另外,天線技術及傳輸技術使無線局域網(wǎng)的傳輸距離大大增加,可以達到幾公里(并且能夠保障100Mbps的傳輸速度)。

校園無線網(wǎng)絡應用與優(yōu)勢

無線局域網(wǎng)以其靈活布設、高帶寬和無線接人的優(yōu)勢,可以突破有線網(wǎng)絡節(jié)點限制、實現(xiàn)多人同時上網(wǎng)的問題,大大地增加了校園網(wǎng)絡信息點,方便在校師生獲取信息,進一步提升學校的信息化水平。

2.1 無線局域網(wǎng)的優(yōu)點

1)安裝維護方便無線局域網(wǎng)的安裝簡單,無需破墻、掘地、穿線架管,這樣避免對建筑物及周邊環(huán)境影響,減少網(wǎng)絡布線工作量,一般只要安裝一個或多個接入點AP設備,就可建成覆蓋整個建筑或地區(qū)的局域網(wǎng)絡。一旦發(fā)生事故,不必尋找損壞路線,只要檢查信號發(fā)送端與接收端的信號是否正常即可。

2)易于擴展

無線局域網(wǎng)技術有對等模式、中心模式、中繼組網(wǎng)模式等多種配置方式,能夠根據(jù)需要靈活選擇。

3)經(jīng)濟節(jié)約

由于有線網(wǎng)絡缺少靈活性,這就要求網(wǎng)絡規(guī)劃者盡可能地考慮未來發(fā)展的需要,這就往往導致預設大量利用律較低的信息點。而一旦網(wǎng)絡的發(fā)展超出了設計規(guī)劃,又要花費較多費用進行網(wǎng)絡改造。而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。

4)使用靈活在有線網(wǎng)絡中,網(wǎng)絡設備的安放位置受網(wǎng)絡信息點位置的限制。而一旦無線局域網(wǎng)建成后,在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡。

5)傳輸速率高

無線局域網(wǎng)技術能夠提供高速數(shù)據(jù)帶寬,其中IEEE802.11g能提供的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達到54Mbit/s?？梢詽M足用戶上網(wǎng)的實際需要。

2.2 無線校園網(wǎng)的網(wǎng)絡應用

1)電子網(wǎng)絡課堂教學?？梢酝ㄟ^無線網(wǎng)絡進行教學,拓展了知識空間。

2)移動教學。上課不用再聚集于教室,打破了空間的限制,拓展了地域空間。

3)隨時互動輔導。師生不必在課堂上直接對話,拓展了教學空間。

4)科研與教學。校園師生可以隨時、隨地地從網(wǎng)上獲取學術信息,獲取無限的網(wǎng)絡資源。

5)無線多媒體業(yè)務。無線活動教室;虛擬現(xiàn)實的學習環(huán)境;無線視頻監(jiān)控;校園語音電話及網(wǎng)上視頻點播。

校園無線網(wǎng)絡的規(guī)劃與設計

3.1 網(wǎng)絡需求分析

本文所討論的無線校園網(wǎng)的規(guī)劃是以江陰職業(yè)技術學院為對象,本學院地處江陰市南郊,占地500畝。校園內(nèi)共有大小建筑27幢,師生員工9000余人,地理環(huán)境簡單,考慮滿足以下幾個方面的需求:

1)建設一個滿足教學和工作需要的安全可靠的無線校園網(wǎng)絡;

2)無線與有線的統(tǒng)一:高校網(wǎng)絡一般已經(jīng)建設了有線網(wǎng)絡,無線網(wǎng)絡建設必須在原有的有線網(wǎng)絡上進行,并實現(xiàn)網(wǎng)絡互聯(lián)、認證計費、安全防御等方面與有線網(wǎng)絡進行良好的兼容和互補。這就要求校園有線網(wǎng)絡的架構(gòu)不需要任何改變,只需用原有的網(wǎng)管、認證、計費系統(tǒng)就可以對無線網(wǎng)絡進行管理和統(tǒng)一認證。

3)所有教學樓及實訓實驗大樓:各層走廊和教室均要求信號覆蓋;所有學生宿舍樓:鑒于各宿舍都有有線接通,盡量覆蓋各宿舍(不做要求);籃球場及足球場:信號要求完全覆蓋;室內(nèi)體育館:信號要求完全覆蓋;各建筑周圍的草坪和場所:信號要求完全覆蓋;行政樓:要求信號完全覆蓋;學生食堂:要求信號完全覆蓋;教師宿舍樓:要求信號完全覆蓋;要求能提供1000并發(fā)用戶能力;

4)各信號輸出點信號強度10-15dbm;將按照2.4G工作頻段2.412～2.462GHz(FCC)分為channel1、channel6、channel11三個完全不干擾頻段設計;要求室內(nèi)容許最大覆蓋距離為35—100米,室外容許最大距離100—400米。

5)校園無線網(wǎng)絡在支持數(shù)據(jù)轉(zhuǎn)發(fā)的同時支持數(shù)據(jù)、語音等多種業(yè)務,網(wǎng)絡應該具有其它智能業(yè)務擴展的能力,滿足學院的多功能發(fā)展需求;

6)現(xiàn)在建設高校無線網(wǎng)絡,除了要考慮對現(xiàn)有IPv4網(wǎng)絡終端的無線接入,還要支持高性能的IPv6的用戶接入,以適應網(wǎng)絡發(fā)展趨勢,并保護網(wǎng)絡投資。

3.2 無線校園網(wǎng)的設計

3.2.1 校園無線網(wǎng)絡拓撲結(jié)構(gòu)設計

對于局部無線網(wǎng)絡,主要采用的是以AP或者無線交換機等為中心結(jié)點的星型結(jié)構(gòu),其目的是為了滿足多用戶的需求。而如果建設全局無線校園網(wǎng),可將網(wǎng)絡劃分為核心層、分布層、接入層進行設計,在整體上一般采用以樹型和星型混合的拓撲結(jié)構(gòu)。

3.2.2 校園無線網(wǎng)絡物理結(jié)構(gòu)設計

本校已經(jīng)建成了“千兆主干,百兆交換到桌面”,信息點覆蓋教學、辦公、圖書和實驗等大樓主要部分的校園網(wǎng),在目前的校園網(wǎng)環(huán)境下,借助于輕型AP模式架構(gòu),可以在現(xiàn)有校園有線網(wǎng)絡的基礎上建立邏輯獨立的無線網(wǎng)絡。

通常模式下所有無線數(shù)據(jù)及控制流量均交由無線控制器來處理,所以我們采用現(xiàn)有校園網(wǎng)的交換機/路由器組成集中控制管理的“覆蓋式”(Overlay)無線網(wǎng)絡設計,如圖1所示。

修改現(xiàn)有校園網(wǎng)交換機的VLAN參數(shù)設置、路由設置,使得AP盡量不與一般有線網(wǎng)絡設備混合在同一個VLAN中,避免有線設備的異常流量阻斷AP和無線控制器之間的通訊;將連接在同一交換機端口下的所有AP放置在一個受保護的VLAN中,設計時統(tǒng)一分配給這些AP靜態(tài)IP地址,以便于管理;采用核心交換機搭配無線控制模塊的方式,進一步減小AP和無線控制器的AP-Manager之間端到端環(huán)回延遲,保證AP能夠順利連接在現(xiàn)有的校園網(wǎng)接入交換機上。

3.2.3 無線校園網(wǎng)的構(gòu)建方法

校園無線網(wǎng)絡構(gòu)建的兩種方法。第一,閥值法。通過調(diào)整AP的閥值設置,控制AP接入覆蓋范圍,從而在相同覆蓋面積條件下,通過增加AP數(shù)量,提高系統(tǒng)容量。第二種,頻率復用。學校人群主要由管理人員、教師、科研人員和大量學生構(gòu)成,以上人群工作和學習生活分布在以下區(qū)域:圖書館、教學樓、辦公樓、實驗研究樓、學生宿舍、運動場以及各類休閑場地(草坪廣場等)。

因此,在同一覆蓋范圍內(nèi)的多個AP利用802.11g規(guī)定的13個可用信道中相互干擾最小信道1、6、11三個信道進行設計,客戶端無線網(wǎng)卡根據(jù)各AP信號強度,選擇不同信道工作,從而提高系統(tǒng)容量。

3.2.4 室內(nèi)網(wǎng)絡組建

室內(nèi)的范圍主要包括所有的教室、實驗室、辦公室等,在這些場合中主要需要解決兩大問題,即AP的覆蓋范圍和AP的容量問題。由于AP是通過微波來進行數(shù)據(jù)傳輸?shù)?室內(nèi)要考慮的首要問題就是信號覆蓋的問題。由于辦公室、教室、實驗室被各種墻面分割,這對信號的衰減影響很大,因此在室內(nèi)構(gòu)建無線局域網(wǎng)時必須對建筑物的信號強度進行詳細測試。在合理地分析各個AP的容量與覆蓋面后,還需考慮信號衰減因素,適當?shù)卦黾覣P個數(shù)來減少數(shù)據(jù)盲區(qū)。室內(nèi)組建簡圖見圖2。

兩個AP的放置要保證AP覆蓋區(qū)域無間隙并且AP重疊區(qū)域最小。相鄰AP工作在不同頻道,以1、6、11三個頻道實現(xiàn)全方位的覆蓋。根據(jù)經(jīng)驗值,當相鄰AP設定相同頻點時,要求間隔25米以上;當相鄰AP設定相鄰頻點時,要求AP間隔16米以上;當AP設定相隔頻點時,要求間隔12米以上。

對于房間多、用戶數(shù)量不多但分布較分散的樓宇,如教學樓等,用戶主要為學生、教師,因此應用肯定會比較頻繁,由于樓長、墻體結(jié)構(gòu)厚、房間多等特點,所以在該環(huán)境下覆蓋AP安裝在樓道內(nèi),通過內(nèi)置天線覆蓋樓道兩側(cè)房間,微波通過房間的門窗傳輸?shù)绞覂?nèi),實現(xiàn)了比較細膩的覆蓋環(huán)境,AP通過有線接入到樓層交換機。

3.2.5 室外無線網(wǎng)絡組建

室外設備的AP使用數(shù)量基本也遵循室內(nèi)的條件,但室外AP的放置和設計又有它自己的特點。由于室外環(huán)境的特殊性和不確定性,我們放置的設備必須是在密封盒內(nèi)的,天線布置應該增加避雷器防止雷擊,不提供本地供電的場所選用遠程供電設備。我們通過室外無線接入點外接增益天線的方式覆蓋室外區(qū)域,體現(xiàn)覆蓋范圍最大化的覆蓋原則來保證無線用戶需求。

從整體上對學院室外部分進行規(guī)劃,通過室外建設WLAN射頻基站對室外和室內(nèi)用戶進行無線覆蓋。室外射頻基站由室外型AP、外接天線(全向、扇區(qū))以及配套避雷設備組成。根據(jù)復雜的室外建筑結(jié)構(gòu),外接天線的選擇更加尤為重要。選擇天線型號時應根據(jù)現(xiàn)場環(huán)境考慮增益、水平波束寬度、垂直波束寬度、極化方式、視覺效果(尺寸、外形、重量)等因素。

學校體育場、足球場、教學樓宇間公共區(qū)域等,一般是學校需要實現(xiàn)無線覆蓋的室外公共區(qū)域。根據(jù)需覆蓋的室外區(qū)域的實際情況,可以設計建立多個無線覆蓋基站,采用重疊交叉無線覆蓋的方式,完成區(qū)域的無縫無線覆蓋。選用室外型無線路由器,在空曠地方,信號傳輸距可以達到300M~600M左右,視空間大小可以使用多個,或者使用室外無線AP,配合室外大夾角定向天線,成功實現(xiàn)系統(tǒng)設計目標。簡單設計如圖3所示。

無線校園網(wǎng)的網(wǎng)絡安全設計

當一個無線局域網(wǎng)組建成功后,用戶最關心的是無線局域網(wǎng)的安全問題。為了保證網(wǎng)絡安全,我們可以從以下幾個方面考慮:

1)用戶接入認證控制:原有線校園網(wǎng)絡已經(jīng)部署了用戶認證系統(tǒng),建成后的無線網(wǎng)絡必須完全融合進該認證系統(tǒng)中。

2)基于用戶的訪問策略:不同的用戶可能有不同的上網(wǎng)行為,包括HTTP、FTP、語音等,針對不同的應用,應加以配置不同的行為控制權限,保障不同用戶的網(wǎng)絡互訪的安全性。

3)受保護的無線數(shù)據(jù)傳輸:無線網(wǎng)絡安全事件往往會發(fā)生在數(shù)據(jù)傳輸階段。因此,建成的無線網(wǎng)絡必須能夠滿足合法的無線用戶與無線接入點數(shù)據(jù)傳輸?shù)陌踩?以及無線接入點與上行網(wǎng)絡之間數(shù)據(jù)傳輸?shù)陌踩?。結(jié)束語

校園網(wǎng)絡已經(jīng)成為一種不可代替的獲得資源的重要手段。在校園網(wǎng)各區(qū)域分別布設無線局域網(wǎng)絡以后,教師和學生就可以在這些區(qū)域漫游使用,大大增強網(wǎng)絡覆蓋能力,更好地為教學服務,對整合教育資源,改變教學模式,提高學校的信息化水平有著巨大的作用,為實現(xiàn)數(shù)字化校園建設打好基礎。