第一篇：無限局域網(wǎng)技術(shù)分析與探討 畢業(yè)論文

JIU JIANG UNIVERSITY

畢 業(yè) 論 文

題 目： 無線局域網(wǎng)技術(shù)分析與探討 院 系： 信息科學(xué)與技術(shù)學(xué)院 專 業(yè)： 網(wǎng)絡(luò)系統(tǒng)管理 姓 名: 年 級: 指導(dǎo)教師:

二零一一年十一月二十日

摘 要...........................................................2 目 錄?????????????????????????????.3 第一章?????????????????????????????5 1.1 選題背景???????????????????????? 5 第二章 無線局域網(wǎng)??????????????????????..6

2.1 簡單的家庭無線局域網(wǎng)?????????????????? 6 2.2 無線橋接???????????????????????? 6 2.3 中型無線局域網(wǎng)?????????????????????.7 2.4 大型可交換局域網(wǎng)????????????????????.7 2.5 無線局域網(wǎng)絡(luò)應(yīng)用???????????????????? 8 2.6 無線局域網(wǎng)的優(yōu)點???????????????????? 8 2.7 無線局域網(wǎng)的不足之處?????????????????? 9 第三章 無線技術(shù)??????????????????????? 10 3.1 技術(shù)要求???????????????????????? 10 3.2 硬件設(shè)備???????????????????????? 10 3.3 展頻技術(shù)???????????????????????? 11 3.3.1 跳頻技術(shù)??????????????????????.11 3.3.2 直接序列展頻技術(shù)??????????????????.11 3.4 FHSS VS DSSS調(diào)變差異??????????????????.11 3.5 DSSS VS FHSS之優(yōu)劣 ??????????????????.11 第四章 IEEE 802.11之相關(guān)信息 ????????????????.13 4.1 2.4GHz Direct Sequence Spread Spectrum?????????? 13 4.2 2.4GHz Frequency Hopping Spread Spectrum????????? 13 4.3 Diffused IR?????????????????????? 13 第五章 無線局域網(wǎng)絡(luò)產(chǎn)品簡介?????????????????.14 5.1 Access Point ??????????????????????14 5.2 Wireless LAN Card????????????????????14 5.3 Antenna????????????????????????.14 5.4 產(chǎn)品Q&A????????????????????????.14 5.5 無線局域網(wǎng)絡(luò)之應(yīng)用??????????????????..17 第六章 無線局域網(wǎng)關(guān)鍵技術(shù)與展望??????????????? 18 6.1 公共WLAN組網(wǎng)方案???????????????????.18

6.1.1 接入點（AP）???????????????????.18 6.1.2 接入控制點（AC）?????????????????? 18 6.1.3 遠(yuǎn)程撥號接入認(rèn)證（RADIUS）服務(wù)器??????????.18 6.1.4 認(rèn)證服務(wù)器（AS）??????????????????.18 6.1.5門戶網(wǎng)站服務(wù)器（Portal Server）????????????18 6.2 公網(wǎng)WLAN用戶接入的相關(guān)解決方案?????????????18 6.2.1 1．OWLAN的用戶認(rèn)證?????????????????.18 6.2.2 802.1x用戶認(rèn)證方式中的訪問實體??????????? 19 6.3 802.1x認(rèn)證方式?????????????????????19

6.3.1 EAP-MD5認(rèn)證方式??????????????????.19 6.3.2 EAP-SIM認(rèn)證方式??????????????????.19 6.3.3 EAP-TLS認(rèn)證方式?????????????????...19 6.3.4 EAP-TTLS鑒權(quán)認(rèn)證方式???????????????..19 6.4 OWLAN的數(shù)據(jù)安全????????????????????.20 第七章 WLAN中的VPN??????????????????????21 7.1 由用戶端發(fā)起的VPN連接????????????????? 21 7.2 由AC端發(fā)起的VPN連接?????????????????? 21 7.3 802.11i標(biāo)準(zhǔn)?????????????????????...21 7.4 基本的WLAN安全????????????????????..22 7.5 IEEE 802.11的安全技術(shù)?????????????????.22 7.5.1 認(rèn)證.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i標(biāo)準(zhǔn)???????????????????? 23 7.7 VPN技術(shù)???????????????????????? 24 7.8 WAPI?????????????????????????? 24 7.9 WLAN的切換與漫游????????????????????25 7.9.1 切換與漫游??????????????????????? 25 7.9.2 移動IP?????????????????????????25 結(jié)語?????????????????????????????.26 致謝?????????????????????????????.27 參考文獻(xiàn)???????????????????????????.28

第一章

緒論

1.1 選題背景

對于局域網(wǎng)絡(luò)管理主要工作之一，對于鋪設(shè)電纜或是檢查電纜是否斷線這種耗時的工作，很容易令人煩躁，也不容易在短時間內(nèi)找出斷線所在。再者，由于配合企業(yè)及應(yīng)用環(huán)境不斷的更新與發(fā)展，原有的企業(yè)網(wǎng)絡(luò)必須配合重新布局，需要重新安裝網(wǎng)絡(luò)線路，雖然電纜本身并不貴，可是請技術(shù)人員來配線的成本很高，尤其是老舊的大樓，配線工程費用就更高了。因此，架設(shè)無線局域網(wǎng)絡(luò)就成為最佳解決方案。

無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)概述：基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)允許在局域網(wǎng)絡(luò)環(huán)境中使用未授權(quán)的2.4或5.3GHz射頻波段進(jìn)行無線連接。它們應(yīng)用廣泛，從家庭到企業(yè)再到Internet接入熱點。

第二章 無線局域網(wǎng)

圖一

2.1 簡單的家庭無線局域網(wǎng)

簡單的家庭無線LAN：在家庭無線局域網(wǎng)最通用和最便宜的例子，如圖1所示，一臺設(shè)備作為防火墻，路由器，交換機(jī)和無線接入點。這些無線路由器可以提供廣泛的功能，例如：保護(hù)家庭網(wǎng)絡(luò)遠(yuǎn)離外界的入侵。允許共享一個ISP（Internet服務(wù)提供商）的單一IP地址。可為4臺計算機(jī)提供有線以太網(wǎng)服務(wù)，但是也可以和另一個以太網(wǎng)交換機(jī)或集線器進(jìn)行擴(kuò)展。為多個無線計算機(jī)作一個無線接入點。通常基本模塊提供2.4GHz802.11b/g操作的Wi-Fi，而更高端模塊將提供雙波段Wi-Fi或高速MIMO性能。雙波段接入點提供2.4GHz802.11b/g和5.3GHz802.11a性能，而MIMO接入點在2.4GHz范圍中可使用多個射頻以提高性能。雙波段接入點本質(zhì)上是兩個接入點為一體并可以同時提供兩個非干擾頻率，而更新的MIMO設(shè)備在2.4GHz范圍或更高的范圍提高了速度。2.4GHz范圍經(jīng)常擁擠不堪而且由于成本問題，廠商避開了雙波段MIMO設(shè)備。雙波段設(shè)備不具有最高性能或范圍，但是允許你在相對不那么擁擠的5.3GHz范圍操作，并且如果兩個設(shè)備在不同的波段，允許它們同時全速操作。家庭網(wǎng)絡(luò)中的例子并不常見。該拓?fù)滟M用更高但是提供了更強的靈活性。路由器和無線設(shè)備可能不提供高級用戶希望的所有特性。在這個配置中，此類接入點的費用可能會超過一個相當(dāng)?shù)穆酚善骱虯P一體機(jī)的價格，歸因于市場中這種產(chǎn)品較少，因為多數(shù)人喜歡組合功能。一些人需要更高的終端路由器和交換機(jī)，因為這些設(shè)備具有諸如帶寬控制，千兆以太網(wǎng)這樣的特性，以及具有允許他們擁有需要的靈活性的標(biāo)準(zhǔn)設(shè)計。

2.1 無線橋接

圖二

無線橋接：當(dāng)有線連接太昂貴或者需要為有線連接建立第二條冗余連接以作備份時，無線橋接允許在建筑物之間進(jìn)行無線連接。802.11設(shè)備通常用來進(jìn)行這項應(yīng)用以及無線光纖橋。802.11基本解決方案一般更便宜并且不需要在天線之間有直視性，但是比光纖解決方案要慢很多。802.11解決方案通常在5至30mbps范圍內(nèi)操作，而光纖解決方案在100至1000mbps范圍內(nèi)操作。這兩種橋操作距離可以超過10英里，基于802.11的解決方案可達(dá)到這個距離，而且它不需要線纜連接。但基于802.11的解決方案的缺點是速度慢和存在干擾，而光纖解決方案不會。光纖解決方案的缺點是價格高以及兩個地點間不具有直視性。

2.3 中型無線局域網(wǎng)

圖五

中型無線局域網(wǎng)：中等規(guī)模的企業(yè)傳統(tǒng)上使用一個簡單的設(shè)計，他們簡單地向所有需要無線覆蓋的設(shè)施提供多個接入點。這個特殊的方法可能是最通用的，因為它入口成本低，盡管一旦接入點的數(shù)量超過一定限度它就變得難以管理。大多數(shù)這類無線局域網(wǎng)允許你在接入點之間漫游，因為它們配置在相同的以太子網(wǎng)和SSID中。從管理的角度看，每個接入點以及連接到它的接口都被分開管理。在更高級的支持多個虛擬SSID的操作中，VLAN通道被用來連接訪問點到多個子網(wǎng)，但需要以太網(wǎng)連接具有可管理的交換端口。這種情況中的交換機(jī)需要進(jìn)行配置，以在單一端口上支持多個VLAN。盡管使用一個模板配置多個接入點是可能的，但是當(dāng)固件和配置需要進(jìn)行升級時，管理大量的接入點仍會變得困難。從安全的角度來看，每個接入點必須被配置為能夠處理其自己的接入控制和認(rèn)證。RADIUS服務(wù)器將這項任務(wù)變得更輕松，因為接入點可以將訪問控制和認(rèn)證委派給中心化的RADIUS服務(wù)器，這些服務(wù)器可以輪流和諸如Windows活動目錄這樣的中央用戶數(shù)據(jù)庫進(jìn)行連接。但是即使如此，仍需要在每個接入點和每個RADIUS服務(wù)器之間建立一個RADIUS關(guān)聯(lián)，如果接入點的數(shù)量很多會變得很復(fù)雜。

2.4 大型可交換無線局域網(wǎng)

圖六

大型可交換無線局域網(wǎng)：交換無線局域網(wǎng)是無線連網(wǎng)最新的進(jìn)展，簡化的接入點通過幾個中心化的無線控制器進(jìn)行控制。數(shù)據(jù)通過Cisco，ArubaNetworks，Symbol和TrapezeNetworks這樣的制造商的中心化無線控制器進(jìn)行傳輸和管理。這種情況下的接入點具有更簡單的設(shè)計，用來簡化復(fù)雜的操作系統(tǒng)，而且更復(fù)雜的邏輯被嵌入在無線控制器中。接入點通常沒有物理連接到無線控制器，但是它們邏輯上通過無線控制器交換和路由。要支持多個VLAN，數(shù)據(jù)以某種形式被封裝在隧道中，所以即使設(shè)備處在不同的子網(wǎng)中，但從接入點到無線控制器有一個直接的邏輯連接。無線局域網(wǎng)

從管理的角度來看，管理員只需要管理可以輪流控制數(shù)百接入點的無線局域網(wǎng)控制器。這些接入點可以使用某些自定義的DHCP屬性以判斷無線控制器在哪里，并且自動連結(jié)到它成為控制器的一個擴(kuò)充。這極大地改善了交換無線局域網(wǎng)的可伸縮性，因為額外接入點本質(zhì)上是即插即用的。要支持多個VLAN，接入點不再在它連接的交換機(jī)上需要一個特殊的VLAN隧道端口，并且可以使用任何交換機(jī)甚至易于管理的集線器上的任何老式接入端口。VLAN數(shù)據(jù)被封裝并發(fā)送到中央無線控制器，它處理到核心網(wǎng)絡(luò)交換機(jī)的單一高速多VLAN連接。安全管理也被加固了，因為所有訪問控制和認(rèn)證在中心化控制器進(jìn)行處理，而不是在每個接入點。只有中心化無線控制器需要連接到RADIUS服務(wù)器，這些服務(wù)器在圖6顯示的例子中輪流連接到活動目錄。交換無線局域網(wǎng)的另一個好處是低延遲漫游。這允許VoIP和Citrix這樣的對延遲敏感的應(yīng)用。切換時間會發(fā)生在通常不明顯的大約50毫秒內(nèi)。傳統(tǒng)的每個接入點被獨立配置的無線局域網(wǎng)有1000毫秒范圍內(nèi)的切換時間，這會破壞電話呼叫并丟棄無線設(shè)備上的應(yīng)用會話。交換無線局域網(wǎng)的主要缺點是由于無線控制器的附加費用而導(dǎo)致的額外成本。但是在大型無線局域網(wǎng)配置中，這些附加成本很容易被易管理性所抵消

2.5 無線局域網(wǎng)絡(luò)應(yīng)用

無線局域網(wǎng)絡(luò)應(yīng)用：大樓之間：大樓之間建構(gòu)網(wǎng)絡(luò)的連結(jié)，取代專線，簡單又便宜。餐飲及零售：餐飲服務(wù)業(yè)可使用無線局域網(wǎng)絡(luò)產(chǎn)品，直接從餐桌即可輸入并傳送客人點菜內(nèi)容至廚房、柜臺。零售商促銷時，可使用無線局域網(wǎng)絡(luò)產(chǎn)品設(shè)置臨時收銀柜臺。醫(yī)療：使用附無線局域網(wǎng)絡(luò)產(chǎn)品的手提式計算機(jī)取得實時信息，醫(yī)護(hù)人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等，而提升對傷患照顧的品質(zhì)。企業(yè)：當(dāng)企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡(luò)產(chǎn)品時，不管他們在辦公室的任何一個角落，有無線局域網(wǎng)絡(luò)產(chǎn)品，就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡(luò)瀏覽。倉儲管理：一般倉儲人員的盤點事宜，透過無線網(wǎng)絡(luò)的應(yīng)用，能立即將最新的資料輸入計算機(jī)倉儲系統(tǒng)。貨柜集散場：一般貨柜集散場的橋式起重車，可于調(diào)動貨柜時，將實時信息傳回office，以利相關(guān)作業(yè)之逐行。監(jiān)視系統(tǒng)：一般位于遠(yuǎn)方且需受監(jiān)控現(xiàn)場之場所，由于布線之困難，可藉由無線網(wǎng)絡(luò)將遠(yuǎn)方之影像傳回主控站。展示會場：諸如一般的電子展，計算機(jī)展，由于網(wǎng)絡(luò)需求極高，而且布線又會讓會場顯得凌亂，因此若能使用無線網(wǎng)絡(luò)，則是再好不過的選擇。

2.6 無線局域網(wǎng)的優(yōu)點

無線局域網(wǎng)的優(yōu)點：（1）靈活性和移動性。在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)位置的限制，而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個位置都可以接入網(wǎng)絡(luò)。無線局域網(wǎng)另一個最大的優(yōu)點在于其移動性，連接到無線局域網(wǎng)的用戶可以移動且能同時與網(wǎng)絡(luò)保持連接。（2）安裝便捷。無線局域網(wǎng)可以免去或最大程度地減少網(wǎng)絡(luò)布線的工作量，一般只要安裝一個或多個接入點設(shè)備，就

可建立覆蓋整個區(qū)域的局域網(wǎng)絡(luò)。（3）易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整。對于有線網(wǎng)絡(luò)來說，辦公地點或網(wǎng)絡(luò)拓?fù)涞母淖兺ǔＲ馕吨匦陆ňW(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程，無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。（4）故障定位容易。有線網(wǎng)絡(luò)一旦出現(xiàn)物理故障，尤其是由于線路連接不良而造成的網(wǎng)絡(luò)中斷，往往很難查明，而且檢修線路需要付出很大的代價。無線網(wǎng)絡(luò)則很容易定位故障，只需更換故障設(shè)備即可恢復(fù)網(wǎng)絡(luò)連接。（5）易于擴(kuò)展。無線局域網(wǎng)有多種配置方式，可以很快從只有幾個用戶的小型局域網(wǎng)擴(kuò)展到上千用戶的大型網(wǎng)絡(luò)，并且能夠提供節(jié)點間“漫游”等有線網(wǎng)絡(luò)無法實現(xiàn)的特性。由于無線局域網(wǎng)有以上諸多優(yōu)點，因此其發(fā)展十分迅速。最近幾年，無線局域網(wǎng)已經(jīng)在企業(yè)、醫(yī)院、商店、工廠和學(xué)校等場合得到了廣泛的應(yīng)用。

2.7 無線局域網(wǎng)的不足之處

無線局域網(wǎng)的不足之處：無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實用的同時，也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個方面：（1）性能。無線局域網(wǎng)是依靠無線電波進(jìn)行傳輸?shù)摹＿@些電波通過無線發(fā)射裝置進(jìn)行發(fā)射，而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸，所以會影響網(wǎng)絡(luò)的性能。（2）速率。無線信道的傳輸速率與有線信道相比要低得多。目前，無線局域網(wǎng)的最大傳輸速率為150Mbit/s，只適合于個人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。（3）安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，造成通信信息泄漏。

第三章 無線技術(shù)

3.1 技術(shù)要求

由于無線局域網(wǎng)需要支持高速、突發(fā)的數(shù)據(jù)業(yè)務(wù)，在室內(nèi)使用還需要解決多徑衰落以及各子網(wǎng)間串?dāng)_等問題。具體來說，無線局域網(wǎng)必須實現(xiàn)以下技術(shù)要求：

1．可靠性：無線局域網(wǎng)的系統(tǒng)分組丟失率應(yīng)該低于10-5，誤碼率應(yīng)該低于10-8。

2．兼容性：對于室內(nèi)使用的無線局域網(wǎng)，應(yīng)盡可能使其跟現(xiàn)有的有線局域網(wǎng)在網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)軟件上相互兼容。

3．?dāng)?shù)據(jù)速率：為了滿足局域網(wǎng)業(yè)務(wù)量的需要，無線局域網(wǎng)的數(shù)據(jù)傳輸速率應(yīng)該在1Mbps以上。

4．通信保密：由于數(shù)據(jù)通過無線介質(zhì)在空中傳播，無線局域網(wǎng)必須在不同層次采取有效的措施以提高通信保密和數(shù)據(jù)安全性能。

5．移動性：支持全移動網(wǎng)絡(luò)或半移動網(wǎng)絡(luò)。

6．節(jié)能管理：當(dāng)無數(shù)據(jù)收發(fā)時使站點機(jī)處于休眠狀態(tài)，當(dāng)有數(shù)據(jù)收發(fā)時再激活，從而達(dá)到節(jié)省電力消耗的目的。

7．小型化、低價格：這是無線局域網(wǎng)得以普及的關(guān)鍵。

8．電磁環(huán)境：無線局域網(wǎng)應(yīng)考慮電磁對人體和周邊環(huán)境的影響問題。

3.2 硬件設(shè)備

1．無線網(wǎng)卡。無線網(wǎng)卡的作用和以太網(wǎng)中的網(wǎng)卡的作用基本相同，它作為無線局域網(wǎng)的接口，能夠?qū)崿F(xiàn)無線局域網(wǎng)各客戶機(jī)間的連接與通信。無線局域網(wǎng)

2．無線AP。AP是Access Point的簡稱，無線AP就是無線局域網(wǎng)的接入點、無線網(wǎng)關(guān)，它的作用類似于有線網(wǎng)絡(luò)中的集線器。

3．無線天線。當(dāng)無線網(wǎng)絡(luò)中各網(wǎng)絡(luò)設(shè)備相距較遠(yuǎn)時，隨著信號的減弱，傳輸速率會明顯下降以致無法實現(xiàn)無線網(wǎng)絡(luò)的正常通信，此時就要借助于無線天線對所接收或發(fā)送的信號進(jìn)行增強 開源項目

使用開源軟件無線電GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的贊助下編寫802.11 代碼。GNU Radio 是免費的軟件開發(fā)工具套件。它提供信號運行和處理模塊，用它可以在易制作的低成本的射頻（RF）硬件和通用微處理器上實現(xiàn)軟件定義無線電。這套套件廣泛用于業(yè)余愛好者，學(xué)術(shù)機(jī)構(gòu)和商

業(yè)機(jī)構(gòu)用來研究和構(gòu)建無線通信系統(tǒng)。GNU Radio 的應(yīng)用主要是用Python 編程語言來編寫的。但是其核心信號處理模塊是C++在帶浮點運算的微處理器上構(gòu)建的。因此，開發(fā)者能夠簡單快速的構(gòu)建一個實時、高容量的無線通信系統(tǒng)。盡管其主要功用不是仿真器，GNU Radio 在沒有射頻RF 硬件部件的境況下支持對預(yù)先存儲和（信號發(fā)生器）生成的數(shù)據(jù)進(jìn)行信號處理的算法的研究。

3.3 展頻技術(shù)

展頻技術(shù)的無線局域網(wǎng)絡(luò)產(chǎn)品是依據(jù)FCC(Federal Communications Committee；美國聯(lián)邦通訊委員會)規(guī)定的ISM(Industrial Scientific,and Medical)，頻率范圍開放在902M~928MHz及2.4G~2.484GHz兩個頻段，所以并沒有所謂使用授權(quán)的限制。展頻技術(shù)主要又分為「跳頻技術(shù)」及「直接序列」兩種方式。而此兩種技術(shù)是在第二次世界大戰(zhàn)中軍隊所使用的技術(shù)，其目的是希望在惡劣的戰(zhàn)爭環(huán)境中，依然能保持通信信號的穩(wěn)定性及保密性。

3.3.1跳頻技術(shù)(FHSS)

跳頻技術(shù)(Frequency-Hopping Spread Spectrum；FHSS)在同步、且同時的情況下，接受兩端以特定型式的窄頻載波來傳送訊號，對于一個非特定的接受器，F(xiàn)HSS所產(chǎn)生的跳動訊號對它而言，也只算是脈沖噪聲。FHSS所展開的訊號可依特別設(shè)計來規(guī)避噪聲或One-to-Many的非重復(fù)的頻道，并且這些跳頻訊號必須遵守FCC的要求，使用75個以上的跳頻訊號、且跳頻至下一個頻率的最大時間間隔(Dwell Time)為400ms。

3.3.2直接序列展頻技術(shù)(DSSS)

直接序列展頻技術(shù)(Direct Sequence Spread Spectrum；DSSS)是將原來的訊號「1」或「0」，利用10個以上的chips來代表「1」或「0」位，使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個bit使用多少個chips稱做Spreading chips，一個較高的Spreading chips可以增加抗噪聲干擾，而一個較低Spreading Ration可以增加用戶的使用人數(shù)。

基本上，在DSSS的Spreading Ration是相當(dāng)少的，例如在幾乎所有2.4GHz的無線局域網(wǎng)絡(luò)產(chǎn)品所使用的Spreading Ration皆少于20。而在IEEE802.11的標(biāo)準(zhǔn)內(nèi)，其Spreading Ration大約在100左右。

3.4 FHSS VS DSSS調(diào)變差異

無線局域網(wǎng)絡(luò)在性能和能力上的差異，主要是取決于所采用的是FHSS還是DSSS來實現(xiàn)、以及所采用的調(diào)變方式。然而，調(diào)變方式的選擇并不完全是隨意的，像FHSS并不強求某種特定的調(diào)變方式，而且，大部分既有的FHSS都是使用某些不同形式的GFSK，但是，IEEE 802.11草案規(guī)定要使用GFSK。至于DSSS則過使用可變相位調(diào)變(如：PSK、QPSK、DQPSK)，可以得到最高的可靠性以及表現(xiàn)高數(shù)據(jù)速率性能。在抗噪聲能力卜方面，采用QPSK調(diào)變方式的DSSS與采用FSK調(diào)變方式的FHSS相比，可以發(fā)現(xiàn)這兩種不同技術(shù)的無線局域網(wǎng)絡(luò)各自擁有的優(yōu)勢。FHSS系統(tǒng)之所以選用FSK調(diào)變方式的原因是因為FHSS和FSK內(nèi)在架構(gòu)的簡單性，F(xiàn)SK無線訊號可使用非線性功率放大器，但這卻犧牲了作用范圍和抗噪聲能力。而DSSS系統(tǒng)需要稍為貴一些的線性放大器，但卻可以獲得更多的回饋。

3.5 DSSS VS FHSS之優(yōu)劣

截至目前，若以現(xiàn)有的產(chǎn)品參數(shù)詳加比較，可以看出DSSS技術(shù)在需要最佳可靠性的應(yīng)用中具有較佳的優(yōu)勢，而FHSS技術(shù)在需要低成本的應(yīng)用中較占優(yōu)勢。雖然我們可以在網(wǎng)際網(wǎng)絡(luò)內(nèi)看到各家廠商各說各話，但真正需要注意的是廠商在DSSS和FHSS展頻技術(shù)的選擇，必須要審慎端視產(chǎn)品在市場的定位而定，因為它可以解決無線局域網(wǎng)絡(luò)的傳輸能力及特性，包括：抗干擾能力、使用距離范圍、頻寬大小、及傳輸資料的大小。一般而言，DSSS由于采用全頻帶傳送資料，速度較快，未來可開發(fā)出更高傳輸頻率的潛力也較大。DSSS技術(shù)適用于固定環(huán)境中、或?qū)鬏斊焚|(zhì)要求較高的應(yīng)用，因此，無線廠房、無線醫(yī)院、網(wǎng)絡(luò)社區(qū)、分校連網(wǎng)等應(yīng)用，大都采用DSSS無線技術(shù)產(chǎn)品。FHSS則大都使用于需快速移動的端點，如行動電話在無線傳輸技術(shù)部分即是采用FHSS技術(shù)；且因FHSS傳輸范圍較小，所以往往在相同的傳輸環(huán)境下，所需要的FHSS技術(shù)設(shè)備要比DSSS技術(shù)設(shè)備多，在整體價格上，可能也會比較高。以目前企業(yè)需求來說，高速移動端點應(yīng)用較少，而大多較注重傳輸速率、及傳輸?shù)姆€(wěn)定性，所以未來無線網(wǎng)絡(luò)產(chǎn)品發(fā)展應(yīng)會以DSSS技術(shù)為主流。消費者選購無線局域網(wǎng)絡(luò)時需要特別注意下列的特性，以決定自己合適的產(chǎn)品，包括：

◎ 涵蓋范圍

◎ 傳輸率

◎ 受Multipath影響程度

◎ 提供資料整合程度

◎ 和有線的基礎(chǔ)設(shè)施之間的互操性

◎ 和其它無線的基礎(chǔ)設(shè)施之間的互操性

◎ 抗干擾程度

◎ 簡單、易操作

◎ 保密能力

◎ 低成本

◎ 電流消耗情況。

第四章 IEEE 802.11之相關(guān)信息

因應(yīng)無線局域網(wǎng)絡(luò)的強烈需求，美國的國際電子電機(jī)學(xué)會于1990年11月召開了802.11委員會，開始制定無線局域網(wǎng)絡(luò)標(biāo)準(zhǔn)。承襲IEEE802系列，802.11規(guī)范了無線局域網(wǎng)絡(luò)的介質(zhì)存取控制(Medium Access Control ；MAC)層及實體(Physical ；PHY)層。此較特別的是由于實際無線傳輸?shù)姆绞讲煌琁EEE802.11在統(tǒng)一的MAC層下面規(guī)范了各種不同的實體層，以因應(yīng)目前的情況及未來的技術(shù)發(fā)展。目前802.11中制訂了三種介質(zhì)的實體，為了未來技術(shù)的擴(kuò)充性，也都提供了多重速率(Mulitiple Rates)的功能。這三個實體分別是：

4.1 2.4GHz Direct Sequence Spread Spectrum

速率1Mbps時用DBPSK調(diào)變(Difference By Phase Shift Keying)速率2Mbps 時用DQPSK調(diào)變(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用長度11的Barker碼當(dāng)展頻PN碼

4.2 2.4GHz Frequency Hopping Spread Spectrum

速率1Mbps時用2-level GFSK調(diào)變，接收敏感度–80dbm, 速率2Mbps時用4-level GFSK調(diào)變，接收敏感度–75dbm, 每秒跳2.5個 hops Hopping Sequence在歐美有22組，在日本有4組

4.3 Diffused IR

速率1Mbps時用16ppm調(diào)變，接收敏感度2 ×10-5mW/平方公分 速率2Mbps時用4ppm調(diào)變，接收敏感度8 ×10-5mW/平方公分 波長850nm~950nm

其中前兩種在2.4GHz的射頻方式是依據(jù)ISM頻段以展頻技術(shù)可做不須授權(quán)使用的規(guī)定，這個頻段的使用在全世界包含美國、歐洲、日本及中國臺灣等主要國家和地區(qū)都有開放。第三項的紅外線由于目前使用上沒有任何管制(除了安全上的規(guī)范)，因此也是自由使用的。IEEE 802.11 MAC的基本存取方式稱為CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)，與以太網(wǎng)絡(luò)所用的CSMA/CD(Collision Detection)變成了碰撞防止(Collision Avoidance)，這一字之差是很大的。因為在無線傳輸中感測載波及碰撞偵測都是不可靠的，感測載波有困難。另外通常無線電波經(jīng)天線送出去時，自己是無法監(jiān)視到的，因此碰撞偵測實質(zhì)上也做不到。在802.11中感測載波是由兩種方式來達(dá)成，第一是實際去聽是否有電波在傳，及加上優(yōu)先權(quán)的觀念。另一個是虛擬的感測載波，告知大家待會有多久的時間我們要傳東西，以防止碰撞。

第五章 無線局域網(wǎng)絡(luò)之產(chǎn)品簡介

5.1 Access Point

一般俗稱為網(wǎng)絡(luò)橋接器，顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁，因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對接有無線網(wǎng)絡(luò)卡之PC作必要之控管。

5.2 Wireless LAN Card

一般稱為無線網(wǎng)絡(luò)卡，其與傳統(tǒng)之Ethernet網(wǎng)絡(luò)卡的差別是在于前者之資料傳送乃是藉由無線電波，而后者則是透過一般的網(wǎng)絡(luò)線。目前無線網(wǎng)絡(luò)卡的規(guī)格大致可分成2M,5M,11M,三種，而其適用之界面可分為PCMCIA,ISA,PCI三種界面。

5.3 Antenna

一般稱為天線，此天線與一般電視，火腿族，大哥大所用之天線不同，其原因乃是因為頻率不同所致，WLAN所用之頻率為較高2.4GHz之頻段。天線之功能乃是將source之信號，藉由天線本身的特性而傳送至遠(yuǎn)處，至于能傳多遠(yuǎn)，一般除了考慮source的output power強度之外，其另一重要因素乃是天線本身之dBi值，即俗稱的增益值，dB值愈高，相對所能傳達(dá)之距離也更遠(yuǎn)。通常每增加8dB則相對之距離可增至原距離的一半。一般天線有所謂指向性(Uni-direction)與全向性(Omni-direction)兩種，前者較適合于長距離使用，而后者則較適合區(qū)域性之應(yīng)用。

5.4 產(chǎn)品Q & A

Q1：何謂無線網(wǎng)絡(luò)

ANS：一般來講，所謂無線，顧名思義就是利用無線電波來作為資料的傳導(dǎo)，而就應(yīng)用層面來講，它與有線網(wǎng)絡(luò)的用途完全相似，兩者最大不同的地方是在于傳輸資料的媒介不同。除此之外，正因它是無線，因此無論是在硬件架設(shè)或使用之機(jī)動性均比有線網(wǎng)絡(luò)要優(yōu)勢許多。

Q2：無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相較之下，有那些優(yōu)點 ANS：就使用上它的機(jī)動性，便利性，是有線網(wǎng)絡(luò)所不及，就成本上，它可省下一筆可觀的布線費用，修改裝潢費用，基本上使用的空間較為彈性許多。

Q3：無線網(wǎng)絡(luò)對人體是否有所影響

ANS：因無線網(wǎng)絡(luò)的發(fā)射功率較一般的大哥大手機(jī)要微弱許多，無線網(wǎng)絡(luò)發(fā)射功率約60~70mW，而大哥大手機(jī)發(fā)射功率約200mW左右，而且使用的方式亦非像手機(jī)一般直接接觸于人體，因此較無安全上之考量。

Q4：若要架構(gòu)一個無線網(wǎng)絡(luò)，其最基本之配備需要有那些

ANS：一般架設(shè)無線網(wǎng)絡(luò)的基本配備就是一片無線網(wǎng)絡(luò)卡及一臺橋接器(AP)，如此便能以無線的模式，配合既有的有線架構(gòu)來分享網(wǎng)絡(luò)資源。

Q5：無線網(wǎng)絡(luò)就使用是否會被干擾或影響其它設(shè)備運作

ANS：基本上無線網(wǎng)絡(luò)所使用之頻段是屬于ISM 2.4GHz的高頻率范圍，就日常生活，或辦公室等等所用之電器設(shè)備是不會相互干擾，因頻率差異甚多，而且無線網(wǎng)絡(luò)本身共有12個信道可供調(diào)整，自然干擾的現(xiàn)象就不必?fù)?dān)心。

Q6：何謂ISM頻段

ANS：ISM(Industrial Scientific Medical)Band，此頻段(2.4~2.4835GHz)主要是開放給工業(yè)，科學(xué)、醫(yī)學(xué)，三個主要機(jī)構(gòu)使用，該頻段是依據(jù)美國聯(lián)邦通訊委員會(FCC)所定義出來，屬于Free License，并沒有所謂使用授權(quán)的限制。

Q7：何謂展頻(Spread Spectrum)ANS：展頻技術(shù)主要又分為「跳頻技術(shù)」及「直接序列」兩種方式。而此兩種技術(shù)是在第二次世界大戰(zhàn)中軍隊所使用的技術(shù)，其目的是希望在惡劣的戰(zhàn)爭環(huán)境中，依然能保持通信信號的穩(wěn)定性及保密性。對于一個非特定的接受器，Spread Spectrum所產(chǎn)生的跳動訊號對它而言，只算是脈沖噪聲。因此對整體而言是一種較具安全性的通訊技術(shù)。

Q8：何謂跳頻(Frequency-Hopping Spread Spectrum)ANS：跳頻技術(shù)(Frequency-Hopping Spread Spectrum；FHSS)在同步、且同時的情況下，接受兩端以特定型式的窄頻載波來傳送訊號，對于一個非特定的接受器，F(xiàn)HSS所產(chǎn)生的跳動訊號對它而言，只算是脈沖噪聲。FHSS所展開的訊號可依特別設(shè)計來規(guī)避噪聲或One-to-Many的非重復(fù)的頻道，并且這些跳頻訊號必須遵守FCC的要求，使用75個以上的跳頻訊號、且跳頻至下一個頻率的最大時間間隔(Dwell Time)為400ms。

Q9：何謂直接序列展頻(Direct Sequence Spread Spectrum)ANS：直接序列展頻技術(shù)(Direct Sequence Spread Spectrum；DSSS)是將原來的訊號「1」或「0」，利用10個以上的chips來代表「1」或「0」位，使得原來較高功率、較窄的頻率變成具有較寬頻的低功率頻率。而每個bit使用多少個chips稱做Spreading chips，一個較高的Spreading chips可以增加抗噪聲干擾，而一個較低Spreading Ration可以增加用戶的使用人數(shù)。基本上，在DSSS的Spreading Ration是相當(dāng)少的，例如在幾乎所有2.4GHz的無線局域網(wǎng)絡(luò)產(chǎn)品所使用的Spreading Ration皆少于20。而在IEEE 802.11的標(biāo)準(zhǔn)內(nèi)，其Spreading Ration只有11，但FCC的規(guī)定是必須大于10，而實驗中，最佳的Spreading Ration大約在100左右。

Q10：無線網(wǎng)絡(luò)所能含蓋的范圍有多廣

ANS：一般無線網(wǎng)絡(luò)所能含蓋的范圍應(yīng)視環(huán)境的開放與否而定，若不加外接天線而言，在視野所及之處約250M，若屬半開放性空間，有隔間之區(qū)域，則約35~50M左右，當(dāng)然若加上外接天線，則距離可達(dá)更遠(yuǎn)，此關(guān)系到天線本身之增益而定，因此需視客戶之需求而加以規(guī)劃之。

Q11：無線網(wǎng)絡(luò)于使用之過程其保密性為何

ANS：基本上GEMPLEX之無線網(wǎng)絡(luò)技術(shù)采DSSS系統(tǒng)，本身就具有防竊聽之功能，另外再加上資料加密功能(WEP40bits)的雙重防護(hù)下，因此其安全性是相當(dāng)周全。

Q12：何謂橋接器(Access Point)ANS：Access Point，一般俗稱為網(wǎng)絡(luò)橋接器，顧名思義即是當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之橋梁，因此任何一臺裝有無線網(wǎng)卡之PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)之資源。除此之外，AP本身又兼具有網(wǎng)管之功能，可針對接有無線網(wǎng)絡(luò)卡之PC作必要之控管。

Q13：Access Point在使用上可同時支持多少工作站

ANS：理論上是可以支持到一個CLASS C，但為了讓工作站本身有足夠之頻寬可利用，一般建議一臺AP約支持20~30左右之工作站為最佳狀態(tài)。

Q14：何謂漫游(Roaming)功能

ANS：如同大哥大一般，可漫游在不同的基地臺之間，無線網(wǎng)絡(luò)工作站亦可漫游在不同的AP之間，只要AP群的ESSID

定義一樣，則自然無線網(wǎng)絡(luò)工作站可自由的漫游于無線電波所能含蓋之區(qū)域。

Q15：若無線網(wǎng)絡(luò)之設(shè)備架設(shè)于室外，其如何防止雷擊

ANS：基本上無線網(wǎng)絡(luò)可配置避雷器之設(shè)備，此設(shè)備可選購裝設(shè)于無線網(wǎng)絡(luò)設(shè)備上，以利外來之突波造成系統(tǒng)損壞。

Q16：何謂Access Control ANS：基本上每張無線網(wǎng)卡上都有一組獨一無二的硬件地址，即所謂的MAC address，經(jīng)由Access Control table可定義某些卡可登入此AP，某些卡被拒絕登入，如此便能達(dá)到控管的機(jī)制，可避免非相關(guān)人員隨意登入網(wǎng)絡(luò)，竊取資源。

Q17：何謂ASBF ANS：ASBF(Automatic Scale Back Functionality)，此項功能是Gemplex AP特有之功能，保證WLAN始終處于最佳的聯(lián)機(jī)品質(zhì)，除此之外，并提供支持多重廠商的無線網(wǎng)卡，但其網(wǎng)卡必須是符合IEEE 802.11之規(guī)范而設(shè)計。

Q18：何謂Power Management ANS：由于Notebook使用約2小時左右后便必須充電，若又同時使用其它外圍設(shè)備，則必定更加耗電，因此此項功能乃在于有效的管理無線網(wǎng)絡(luò)卡所消耗之電量，換句話說，它能適時控制當(dāng)有DATA sending or receiving時，是處于”Wake up status”，反之則處于power down mode。

Q19：天線所使用之導(dǎo)線的長度是否有影響傳輸品質(zhì) ANS：一般來講，天線所使用之導(dǎo)線的長度，材質(zhì)，阻抗匹配，均會對訊號造成某程度之影響，而最明顯的就是增益衰減。通常以20 feet之長度而言就會讓訊號衰減約1.2dBi左右，而平均每衰減8dBi就會讓原傳輸之距離約縮減一半，因此導(dǎo)線之長度與品質(zhì)在無線產(chǎn)品的應(yīng)用上是不容忽視的。

Q20：架設(shè)指向性天線時，是否有工具可提供指示，讓訊號品質(zhì)達(dá)到最佳化

ANS：Gemplex之Bridge本身有提供一套軟件聯(lián)機(jī)品質(zhì)校正程序，其中是以圖形曲線的方式呈現(xiàn)于屏幕上，使用者可明顯看出該訊號目前強弱之狀況，而加以調(diào)整天線的位置，已達(dá)最佳狀態(tài)。

Q21 : 何謂Ad-hoc ANS : 構(gòu)成一種特殊的無線網(wǎng)絡(luò)應(yīng)用模式，一群計算機(jī)接上無線網(wǎng)絡(luò)卡，即可相互連接，資源共享，無需透過Access Point.Q22 : 何謂Infrastructure ANS : 一種整合有線與無線局域網(wǎng)絡(luò)架構(gòu)的應(yīng)用模式，透過此種架構(gòu)模式，即可達(dá)成網(wǎng)絡(luò)資源的共享，此應(yīng)用需透過Access Point.Q23 : 何謂BSS ANS : 一種特殊的Ad-hoc LAN的應(yīng)用，稱為Basic Service Set(BSS)，一群計算機(jī)設(shè)定相同的BSS名稱，即可自成一個group，而此BSS名稱，即所謂BSSID。

Q24 : 何謂ESS ANS : 一種infrastructure的應(yīng)用，一個或多個以上的BSS，即可被定義成一個Extended Service Set(ESS)，使用者可于ESS上roaming及存取BSSs中的任何資料，其中Access Points必須設(shè)定相同的ESSID及channel才能允許roaming.Q25 : 何謂SNMP ANS : “Simple Network Management Protocol “，一種網(wǎng)管的通信協(xié)議，透過SNMP的軟件可以連接至可支持SNMP的裝置并可收集該裝置所有的信息并做其它整合性的應(yīng)用，Gemplex Wireless LAN product 就有support此功能。

Q26 : 何謂WEP ANS : “Wired Equivalent Protection “，一種將資料加密的處理方式，WEP 40bits的encryption 乃是IEEE 802.11的標(biāo)準(zhǔn)規(guī)范。

透過WEP的處理便可讓我們的資料于傳輸中更加安全。

5.5 無線局域網(wǎng)絡(luò)之應(yīng)用

大樓之間 ： 大樓之間建構(gòu)網(wǎng)絡(luò)的連結(jié)，取代專線，簡單又便宜。

餐飲及零售：餐飲服務(wù)業(yè)可使用無線局域網(wǎng)絡(luò)產(chǎn)品，直接從餐桌即可輸入并傳送客人點菜內(nèi)容至廚房、柜臺。零售商促銷時，可使用無線局域網(wǎng)絡(luò)產(chǎn)品設(shè)置臨時收銀柜臺。

醫(yī) 療 ：

使用附無線局域網(wǎng)絡(luò)產(chǎn)品的手提式計算機(jī)取得實時信息，醫(yī)護(hù)人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等，而提升對傷患照顧的品質(zhì)。

企 業(yè) ：

當(dāng)企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡(luò)產(chǎn)品時，不管他們在辦公室的任何一個角落，有無線局域網(wǎng)絡(luò)產(chǎn)品，就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡(luò)瀏覽。

倉儲管理 : 一般倉儲人員的盤點事宜，透過無線網(wǎng)絡(luò)的應(yīng)用，能立即將最新的資料輸入計算機(jī)倉儲系統(tǒng)。

貨柜集散場 : 一般貨柜集散場的橋式起重車，可于調(diào)動貨柜時，將實時信息傳回office，以利相關(guān)作業(yè)之逐行。

監(jiān)視系統(tǒng) : 一般位于遠(yuǎn)方且需受監(jiān)控現(xiàn)場之場所，由于布線之困難，可藉由無線網(wǎng)絡(luò)將遠(yuǎn)方之影像傳回主控站。

展示會場 : 諸如一般的電子展，計算機(jī)展，由于網(wǎng)絡(luò)需求極高，而且布線又會讓會場顯得凌亂，因此若能使用無線網(wǎng)絡(luò)，則是再好不過的選擇。

第六章 無線局域網(wǎng)關(guān)鍵技術(shù)研究與展望

與目前5類線到戶的有線局域網(wǎng)（LAN）用戶接入方式相類似，無線局域網(wǎng)（WLAN）正在發(fā)展成為公網(wǎng)的寬帶無線用戶接入方式，即運營商的WLAN（OWLAN）。OWLAN嚴(yán)格說起來并不是一種局域網(wǎng)，而是一種采用WLAN技術(shù)的無線接入網(wǎng)絡(luò)。由于在制定IEEE802.11標(biāo)準(zhǔn)時，WLAN只定位在局域網(wǎng)應(yīng)用，故在WLAN作為熱點地區(qū)公共接入網(wǎng)絡(luò)時，802.11在認(rèn)證、漫游、加密、計費和網(wǎng)管等方面顯現(xiàn)出一定的缺陷。本章主要探討WLAN在作為公共接入網(wǎng)時的組網(wǎng)方案，以及對認(rèn)證、加密、計費和漫游方面的解決方案。

6.1 公共WLAN組網(wǎng)方案

OWLAN可以作為某一個運營商的無線接入網(wǎng)，亦可作為多個運營商共用的無線接入網(wǎng)，故在OWLAN中要求能支持多種認(rèn)證方式。

6.1.1 接入點（AP）

AP是WLAN的小型無線基站設(shè)備，為無線網(wǎng)與DS（分配系統(tǒng)例如有線以太網(wǎng)）之間的網(wǎng)關(guān)，且具有802.11f切換功能

6.1.2 接入控制點（AC）

AC為OWLAN和運營商IP網(wǎng)的網(wǎng)關(guān)。作為認(rèn)證控制點時能鑒別不同的認(rèn)證方式，并提供動態(tài)IP地址分配、輸出原始計費信息、提供路由功能等。

6.1.3 遠(yuǎn)程撥號接入認(rèn)證（RADIUS）服務(wù)器

在使用“用戶號十密碼”或“手機(jī)號十密碼”的Web認(rèn)證方式時，使用RADIUS服務(wù)器實現(xiàn)對用戶身份的認(rèn)證。該服務(wù)器還接收來自AC的原始計費信息，產(chǎn)生符合移動運營商要求格式的CDR（呼叫數(shù)據(jù)記錄）計費信息，實時送相應(yīng)運行商的計費中心(Billing)。在RADIUS服務(wù)器中存有歸屬用戶的用戶名、登錄名、固定IP地址、MAC地址、欠費情況等信息。

6.1.4 認(rèn)證服務(wù)器（AS）

移動運營商使用SIM卡認(rèn)證方式時，需要使用認(rèn)證服務(wù)器（AS）。AS與網(wǎng)關(guān)（GW或GPRS中的GGSN）相配合提供WLAN與移動運行商HLR/AUC的連接。AS在讀取MT（移動終端）的國際移動用戶識別（IMSI），送HLR/AUC確認(rèn)該用戶為WLAN注冊用戶后，與HLR/AUC配合完成密鑰產(chǎn)生、EAP（可擴(kuò)展認(rèn)證協(xié)議）_SIM認(rèn)證等任務(wù)。其他功能同RADIUS服務(wù)器。

6.1.5 門戶網(wǎng)站服務(wù)器（Portal Server）

用于向用戶端推送WEB認(rèn)證頁面和門戶網(wǎng)站主頁面。

6.2 公網(wǎng)WLAN用戶接入的相關(guān)解決方案

6.2.1 OWLAN的用戶認(rèn)證

WLAN在作為局域網(wǎng)使用時，沿用了有線LAN的PPPoE（PPP over Ethernet）和Web用戶認(rèn)證方式。在作為OWLAN使用時，由于其在物理上的開放性，使得非

法用戶入侵的可能性大為增加，原有802.11認(rèn)證的安全性已不能滿足運營商的需要。在采用RADIUS協(xié)議并加上802.1x的認(rèn)證手段以及802.1i的安全協(xié)議后，基本可以滿足OWLAN的要求。同時，在認(rèn)證安全前提下，應(yīng)盡量利用運營商已有的鑒權(quán)認(rèn)證設(shè)備，以簡化系統(tǒng)、節(jié)約投資。

6.2.2 802.1x用戶認(rèn)證方式中的訪問實體

802.1x協(xié)議克服了傳統(tǒng)PPPoE和WEB認(rèn)證方式的缺點，更適合在OWLAN中使用。該協(xié)議亦稱為基于端口的接入控制協(xié)議。802.1x協(xié)議的訪問控制流程中端口訪問實體（PAE）包括：客戶端、認(rèn)證者和認(rèn)證服務(wù)器三部分。（1）客戶端

用戶從客戶端發(fā)起802.11x的用戶認(rèn)證過程，為了支持基于端口的接入控制，客戶端必需支持EAPoL（基于LAN的擴(kuò)展認(rèn)證協(xié)議）。（2）認(rèn)證者

認(rèn)證者通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，這些設(shè)備的端口對應(yīng)于用戶端而言有受控與不受控兩種邏輯端口。不受控端口始終處于雙向連接狀態(tài)，主要用于傳遞EAPoL協(xié)議幀，用以保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過時才打開，用于傳遞運營商的有償網(wǎng)絡(luò)資源和業(yè)務(wù)。當(dāng)用戶未通過認(rèn)證時，受控端口對該用戶關(guān)閉，即無法訪問該運營商所提供的有償服務(wù)。（3）認(rèn)證服務(wù)器

認(rèn)證服務(wù)器通常為RADIUS服務(wù)器或AS+HLR/AUC，它與認(rèn)證者之間通過EAP協(xié)議進(jìn)行通信。

6.3 802.1x認(rèn)證方式

802.1x的網(wǎng)絡(luò)訪問控制協(xié)議規(guī)范了802.1x的用戶鑒權(quán)認(rèn)證方式。802.1x推薦使用撥號用戶遠(yuǎn)程認(rèn)證服務(wù)（RADIUS）及與之相關(guān)的兩個通信協(xié)議：可擴(kuò)展認(rèn)證協(xié)議（EAP）和傳輸層協(xié)議（TLS）。802.1x主要涵蓋以下四種認(rèn)證方式：

6.3.1 EAP-MD5認(rèn)證方式

EAP-MD5認(rèn)證方式通過RADIUS服務(wù)器提供簡單的集中用戶認(rèn)證。用戶注冊時該服務(wù)器只是檢查用戶名與密碼，若通過認(rèn)證就就允許客戶端訪問網(wǎng)絡(luò)業(yè)務(wù)。采用該認(rèn)證方式時，用戶密碼采用MD5加密算法，以保證認(rèn)證信息的安全。EAP-MD5屬單向認(rèn)證機(jī)制，即只包括網(wǎng)絡(luò)對客戶端的認(rèn)證。

6.3.2 EAP-SIM認(rèn)證方式

EAP-SIM認(rèn)證方式主要用于蜂窩移動運營商WLAN的SIM卡認(rèn)證方式，支持用戶與網(wǎng)絡(luò)之間的雙向認(rèn)證和動態(tài)密鑰下發(fā)。在該認(rèn)證方式中，用戶端采用裝有SIM卡讀卡器的WLAN網(wǎng)卡。網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器（AS）與移動交換系統(tǒng)原有的HLR/AUC協(xié)同工作共同完成對用戶的認(rèn)證

6.3.3 EAP-TLS認(rèn)證方式

EAP-TLS認(rèn)證方式屬于傳輸層認(rèn)證機(jī)制，支持用戶與網(wǎng)絡(luò)之間的雙向認(rèn)證。用戶可以在每次連接動態(tài)生成新密鑰，且在用戶連接期間按一定間隔更新密鑰。TLS認(rèn)證中，傳送的數(shù)據(jù)由TLS加密封裝，保證認(rèn)證信息的安全。

6.3.4 EAP-TTLS鑒權(quán)認(rèn)證方式

EAP-TTLS認(rèn)證方式基于隧道安全認(rèn)證技術(shù)，能夠支持雙向認(rèn)證和動態(tài)密鑰分發(fā)。在該認(rèn)證方式中客戶端與RADIUS之間，采用EAPoL協(xié)議建立安全隧道傳送EAP認(rèn)證包，實現(xiàn)TTLS認(rèn)證。

6.4 OWLAN的數(shù)據(jù)安全

802.1x協(xié)議對數(shù)據(jù)的加

為了克服802.11所定義WEP（有線等效保密協(xié)議）存在的安全隱患，IEEE制定了802.1x用以增強WEP的安全性。WEP使用40位靜態(tài)密鑰，而802.1x通過動態(tài)配置WEP的128位密鑰加強了數(shù)據(jù)的保密性，制訂了動態(tài)密鑰完整性協(xié)議(TKIP)對WEP的RC4算法進(jìn)行改進(jìn)，并增加了消息完整性檢查（MIC）

在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP認(rèn)證方式中提供了依賴于其初始鑒權(quán)認(rèn)證的主密鑰。利用該主密鑰對空中數(shù)據(jù)幀加密，使得未經(jīng)認(rèn)證的用戶無法對所竊取的數(shù)據(jù)幀進(jìn)行解密

第七章 WLAN中的VPN

為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全接入，在OWLAN接入網(wǎng)中采用虛擬專網(wǎng)（VPN）技術(shù)用以保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全接入。VPN是指在一個公共IP平臺上，通過隧道及加密技術(shù)，為網(wǎng)絡(luò)提供點對點的安全通信，以保證遠(yuǎn)程用戶接入專用網(wǎng)絡(luò)的數(shù)據(jù)安全性。

在采用VPN技術(shù)的WLAN中，無線接入網(wǎng)絡(luò)已被企業(yè)的VPN服務(wù)器和虛擬局域網(wǎng)（VLAN）將企業(yè)內(nèi)部網(wǎng)的接入隔離開來。由企業(yè)的VPN服務(wù)器提供無線網(wǎng)絡(luò)的認(rèn)證與加密，并充當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。VPN協(xié)議包括第二層的PPTP/L2TP協(xié)議及第三層的IPSec協(xié)議，上述協(xié)議對通過WLAN傳送的數(shù)據(jù)提供強大的加密功能。

根據(jù)隧道的建立方式，可劃分為2類VPN連接應(yīng)用：

7.1 由用戶端發(fā)起的VPN連接

在由用戶端發(fā)起的VPN連接應(yīng)用中，需要在MT中按裝VPN客戶端軟件。用以在MT與企業(yè)的VPN服務(wù)器（網(wǎng)關(guān)）之間建立隧道連接。在這類VPN連接中，VPN只涉及發(fā)起端與終結(jié)端，因此對AP、AC而言是透明的，無需AP、AC支持VPN。

7.2 由AC端發(fā)起的VPN連接

在由AC端發(fā)起的VPN連接應(yīng)用中，用戶以PPPoE方式連接AC，AC根據(jù)通信目的域名地址判為VPN業(yè)務(wù)后，由AC發(fā)起一條隧道連接用戶欲接入的企業(yè)網(wǎng)網(wǎng)關(guān)。在這種方式下從MT到AC的用戶數(shù)據(jù)加密應(yīng)在PPP層完成，可以采用PPP協(xié)議的加密選項來實現(xiàn)傳輸數(shù)據(jù)的加密。

7.3 802.11i標(biāo)準(zhǔn)

802.11i是專門針對WLAN安全體系的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供一種新的加密方法和認(rèn)證方式（即WEP2技術(shù)）。與傳統(tǒng)的WEP算法相比較，WEP2將密鑰的長度由40位增加到128位，故很難破譯。同時，該標(biāo)準(zhǔn)將一種增強安全網(wǎng)絡(luò)（RSN）方案納入其中，并包括了TKIP和AES-OCB兩個協(xié)議。802.11i通過使用動態(tài)密鑰、良好的密鑰管理與分發(fā)機(jī)制以及更強的加密算法，使得在WLAN中的數(shù)據(jù)幀傳輸變得更加安全。

OWLAN的計費

在OWLAN中，AC監(jiān)測用戶數(shù)據(jù)傳輸?shù)臅r間或流量，用以產(chǎn)生計費的原始信息送AS或RADUIS。在AS或RADUIS中對計費原始信息進(jìn)行加工，生成符合計費中心所需格式的計費數(shù)據(jù)記錄(CDR)，送運行商計費中心。在多個運營商共用一個OWLAN時，要求AC能鑒別不同運營商的計費信息，分別送對應(yīng)運營商的計費系統(tǒng)。

OWLAN的移動性管理

802.11至今還沒有一個對MT設(shè)備跟蹤與管理的正式標(biāo)準(zhǔn)。而在將WLAN作為OWLAN應(yīng)用的今天，必須解決在同一計算機(jī)子網(wǎng)（域）內(nèi)MT在不同AP之間漫游的問題；以及不同計算機(jī)子網(wǎng)（域）之間的漫游的問題。在沒有統(tǒng)一的WLAN域內(nèi)、域間的漫游標(biāo)準(zhǔn)之前，各制造商和運營商則推出了各自的解決方案

域內(nèi)漫游

在802.11中僅說明了MT可以在同一個ESS（擴(kuò)展業(yè)務(wù)集）內(nèi)的AP之間進(jìn)

行漫游，但未對MT漫游時AP之間具體通信過程做出規(guī)定，故不同廠家在實現(xiàn)AP間漫游時均采用了私有協(xié)議，這對運營商的組網(wǎng)帶來了困難。為此IEEE推出了支持域內(nèi)漫游的802.11f標(biāo)準(zhǔn)（已被IEEE批準(zhǔn)為實踐性標(biāo)準(zhǔn)）。

802.11f定義了同一ESS中AP的登錄，以及MT從一個AP切換到另一個AP時，AP之間交換的信息。

802.11f所定義的IAPP（AP間交互協(xié)議）在IP層上規(guī)定了AP之間以及AP和RADIUS服務(wù)器之間所需交換的信息。AP之間是通過UDP/IP協(xié)議在一個共同的DS中交互信息、進(jìn)行互操作。同時亦通過IAPP來影響第二層網(wǎng)絡(luò)設(shè)備的操作。802.11f要求在RADIUS服務(wù)器中存放有域內(nèi)各AP的基本信息，例如基本服務(wù)集標(biāo)識(BSS-ID)、IP地址以及MT接入的認(rèn)證密鑰。

7.4 基本的WLAN安全

務(wù)組標(biāo)識符(SSID)：無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網(wǎng)提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。況且有的廠家支持any方式，只要無線客戶端處在AP范圍內(nèi)，那么它都會自動連接到AP，這將繞過SSID的安全功能。

物理地址(MAC)過濾：每個無線客戶端網(wǎng)卡都由惟一的物理地址標(biāo)識，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作；如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。另外，非法用戶利用網(wǎng)絡(luò)偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進(jìn)行非法接入。

7.5 IEEE 802.11的安全技術(shù)

7.5.1 認(rèn)證

在無線客戶端和中心設(shè)備交換數(shù)據(jù)之前，它們之間必須先進(jìn)行一次對話。在802.11b標(biāo)準(zhǔn)制定時，IEEE在其中加入了一項功能：當(dāng)一個設(shè)備和中心設(shè)備對話后，就立即開始認(rèn)證工作，在通過認(rèn)證之前，設(shè)備無法進(jìn)行其他關(guān)鍵通信。這項功能可以被設(shè)為shared key authentication和open authentication，默認(rèn)的是后者。在默認(rèn)設(shè)定下，任何設(shè)備都可以和中心設(shè)備進(jìn)行通訊，而無法越過中心設(shè)備，去更高一級的安全區(qū)域。而在shared key authentication設(shè)定時，客戶機(jī)要先向中心設(shè)備發(fā)出連接請求，然后中心設(shè)備發(fā)回一串字符，要求客戶機(jī)使用WEP鑰匙返回密碼。只有在密碼正確的情況下，客戶機(jī)才可以和中心設(shè)備進(jìn)行通信，并可以進(jìn)入更高級別。

使用認(rèn)證方式有一個缺點，中心設(shè)備發(fā)回的字符是明文的。通過監(jiān)聽通信過程，攻擊者可以在認(rèn)證公式中得到2個未知數(shù)的值，明文的字符和客戶機(jī)返回的字符，而只有一個值還無法知道。通過RC4計算機(jī)通信加密算法，攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個鑰匙，侵入者就可以通過中心設(shè)備，進(jìn)入其他客戶端。諷刺的是，這項安全功能通常都應(yīng)該設(shè)

為“open authentication”，使得任何人都可以和中心設(shè)備通信，而通過其他方式來保障安全。盡管不使用這項安全功能看上去和保障網(wǎng)絡(luò)安全相矛盾，但是實際上，這個安全層帶來的潛在危險遠(yuǎn)大于其提供的幫助

7.5.2 保密

有線等效保密(WEP)：WEP雖然通過加密提供網(wǎng)絡(luò)的安全性，但存在許多缺陷：

缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同，并且一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰。WEP標(biāo)準(zhǔn)中并沒有規(guī)定共享密鑰的管理方案，通常是手工進(jìn)行配置與維護(hù)。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網(wǎng)絡(luò)。

ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。能夠篡改即加密數(shù)據(jù)包使各種各樣的非常簡單的攻擊成為可能。

RC4算法存在弱點。在RC4中，人們發(fā)現(xiàn)了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應(yīng)具有的相關(guān)性。在24位的IV值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進(jìn)行分析，只須嘗試很少的密鑰就可以接入到網(wǎng)絡(luò)中。利用認(rèn)證與加密的安全漏洞，在很短的時間內(nèi)，WEP密鑰即可被破解。

7.6 IEEE 802.11i標(biāo)準(zhǔn)

(1)認(rèn)證-端口訪問控制技術(shù)(IEEE 802.1x)

通過802.1X，當(dāng)一個設(shè)備要接入中心設(shè)備時，中心設(shè)備就要求一組證書。用戶提供的證書被中心設(shè)備提交給服務(wù)器進(jìn)行認(rèn)證。這臺服務(wù)器稱為RADIUS，也就是temote Authentication Dial-In User Service，通常是用來認(rèn)證撥號用戶的。這整個過程被包含在802.1X的標(biāo)準(zhǔn)EAP(擴(kuò)展認(rèn)證協(xié)議)中。EAP是一種認(rèn)證方式集合，可以讓開發(fā)者以各種方式生成他們自己的證書發(fā)放方式，EAP也是802.1X中最主要的安全功能?，F(xiàn)在的EAP方式主要有四種。

但是IEEE 802.1x提供的是無線客戶端與RADIUS服務(wù)器之間的認(rèn)證，而不是客戶端與無線接入點AP之間的認(rèn)證；采用的用戶認(rèn)證信息僅僅是用戶名與口令，在存儲、使用和認(rèn)證信息傳遞中存在很大安全隱患，如泄漏、丟失；無線接入點AP與RADIUS服務(wù)器之間基于其享密鑰完成認(rèn)證過程協(xié)商出的會話密鑰的傳遞，該共享密鑰為靜態(tài)，人為手工管理，存在一定的安全隱患。

(2)保密

有線等效保密的改進(jìn)方案-TKIP。

目前Wi-Fi推薦的無線局域網(wǎng)安全解決方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i標(biāo)準(zhǔn)均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法，但相比于WEP算法，將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位，由于WEP算法的安全漏洞是由于WEP機(jī)制本身引加性高斯噪聲信道起的，與密鑰的長度無關(guān)，即使增加加密密鑰的長度，也不可能增強其安全程度，初始化向量IV長度的增加也只能在有限程度上提高破解難度，比如延長破解信息收集時間，并不能從根本上解決問題，因為作為安全關(guān)鍵的加密部分，TKIP

沒有脫離WEP的核心機(jī)制。

目前正在制定中的IEEE 802.11i標(biāo)準(zhǔn)的終極加密解決方案為基于IEEE 802.1x認(rèn)證的CCMP(CBC-MAC Protoco1)加密技術(shù)，即以AES(Advanced Encryption Standard)為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。

7.7 VPN技術(shù)

作為一種比較可靠的網(wǎng)絡(luò)安全解決方案，VPN技術(shù)在有線網(wǎng)絡(luò)中，尤其是企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用。然而，無線網(wǎng)絡(luò)的應(yīng)用特點在很大程度上阻礙了VPN技術(shù)的應(yīng)用，主要體現(xiàn)在以下幾個方面：

運行的脆弱性：眾所周知，因突發(fā)干擾或AP間越區(qū)切換等因素導(dǎo)致的無線鏈路質(zhì)量波動或短時中斷是無線應(yīng)用的特點之一，因此用戶通信鏈路出現(xiàn)短時中斷不足為奇。這種情況對于普通的TCP／IP應(yīng)用影響不顯敏感，但對于VPN鏈路影響巨大，一旦發(fā)生中斷，用戶將不得不通過手動設(shè)置以重新恢復(fù)VPN連接。這對于WLAN用戶，尤其是需要移動或QoS保證(如VoIP業(yè)務(wù))的WLAN用戶是不可忍受的。

通用性問題：VPN技術(shù)在國內(nèi)，甚至在國際上沒有一個統(tǒng)一的開發(fā)標(biāo)準(zhǔn)，各公司基于自有技術(shù)與目的開發(fā)自有專用產(chǎn)品，導(dǎo)致技術(shù)體制雜亂，沒有通用型可言。這對于強調(diào)互通性的WLAN應(yīng)用是相悖的。

網(wǎng)絡(luò)的擴(kuò)展性問題：VPN技術(shù)在提供網(wǎng)絡(luò)安全的同時，大大限制了網(wǎng)絡(luò)的可擴(kuò)展性能，這主要是由于VPN網(wǎng)絡(luò)架設(shè)的復(fù)雜性導(dǎo)致的。如果要改變一個VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或內(nèi)容，用戶往往將不得不重新規(guī)劃并進(jìn)行網(wǎng)絡(luò)配置，這對于一個中型以上的網(wǎng)絡(luò)兒乎是不可思議的。

成本問題：上述的3個問題實際在不同程度上直接導(dǎo)致了用戶網(wǎng)絡(luò)架設(shè)的成本攀升。另一個重要因素是VPN產(chǎn)品本身的價格就很高，對于中小型網(wǎng)絡(luò)用戶甚至超過WLAN設(shè)備的采購費用。

7.8 WAPI 技術(shù)標(biāo)準(zhǔn)是所有產(chǎn)業(yè)健康發(fā)展的基石，對無線局域網(wǎng)產(chǎn)業(yè)而言，以往一直存在缺乏統(tǒng)一標(biāo)準(zhǔn)和安全保障兩大瓶頸。目前WEAN國際標(biāo)準(zhǔn)可靠安全機(jī)制的軟肋使得安全問題的壓力大部分遺留給了WLAN產(chǎn)業(yè)鏈上的芯片設(shè)計、設(shè)備制造、系統(tǒng)集成甚至最終用戶等各個環(huán)節(jié)，各設(shè)備廠商和系統(tǒng)集成商各行其道，市場中出現(xiàn)大量專有的安全標(biāo)準(zhǔn)和解決方案，這些方案要么影響網(wǎng)絡(luò)性能要么限制了網(wǎng)絡(luò)的可用性和擴(kuò)展性，當(dāng)然最致命的是，這些方案大多基于WEP、802.lx等對WLAN來說并不十分可靠的基礎(chǔ)協(xié)改。對于大多數(shù)并不熟悉WLAN安全技術(shù)的最終用戶而言，WEP／WPA／SSID／VPN／802.1x等名目繁多、花樣翻新，往往又價格不斐的WLAN安全方案讓他們無所適從。

最新頒布并且即將強制執(zhí)行的WLAN國家標(biāo)準(zhǔn)對目前中國WLAN市場的發(fā)展和格局將產(chǎn)生深遠(yuǎn)影響。WLAN國家標(biāo)準(zhǔn)依據(jù)我國的無線電管理法規(guī)對我國無線局域網(wǎng)相關(guān)產(chǎn)品的發(fā)射功率、信道數(shù)等作出了明確規(guī)定，標(biāo)準(zhǔn)還強調(diào)和規(guī)定了無線局域網(wǎng)安全技術(shù)的應(yīng)用要求。適用于獨立的無線局域網(wǎng)設(shè)備以及提供無線局域網(wǎng)相關(guān)功能的獨立或嵌入式軟件模塊。同時該標(biāo)準(zhǔn)與相應(yīng)國際標(biāo)準(zhǔn)的區(qū)別主要表現(xiàn)在對安全機(jī)制的嚴(yán)格要求，即用WAPI協(xié)議取代了IEEE802.11標(biāo)準(zhǔn)中先天不足的WEP協(xié)議。雖然WAPI作為被中國政府認(rèn)可并最終頒布的WLAN安全機(jī)制，有著比

目前WEP、802.lx、WPA等安全協(xié)議更高的安全性，但是能否獲得最終的成功還有待于廠商的支持和市場的考驗。

7.9 WLAN的切換與漫游

7.9.1 切換與漫游

WLAN的切換指的是在相同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。

加入現(xiàn)有的服務(wù)區(qū)有兩種方法：主動掃描和被動掃描。主動掃描要求站點查找接入點，從接入點設(shè)備中接受同步信息。也可通過被動掃描獲得同步信息，可偵聽每個接入點周期性所發(fā)送的信標(biāo)幀。一旦站點定位了接入點，并取得了同步信息，就必須交換驗證信息。這些信息的交互在接入點和站點之間產(chǎn)生，每個設(shè)備給出預(yù)設(shè)的口令。在站點經(jīng)過驗證后，關(guān)聯(lián)過程就開始了。在關(guān)聯(lián)過程中，交換站點信息和接入點服務(wù)的能力信息是一群接入點得到的站點當(dāng)前位置的信息。一旦關(guān)聯(lián)過程結(jié)束，該站點就能夠發(fā)送和接收幀。當(dāng)站點離開它的接入點發(fā)生漫游時，注意到接入點的鏈路信號正在變?nèi)?。站點使用它的掃描功能查找另一個接入點，或利用上一次掃描得到的信息選取另一個接入點。一旦找到新的接入點，站點就向它發(fā)送重新關(guān)聯(lián)請求。如果站點接收到重新關(guān)聯(lián)響應(yīng)，它就擁有一個新的接入點并且漫游成功。

7.9.2 移動IP

在無線網(wǎng)絡(luò)中，如果一邊使用無線局域網(wǎng)接入服務(wù)，一邊移動接入位置，那么一旦移動終端超越子網(wǎng)覆蓋范圍，IP數(shù)據(jù)包就無法到達(dá)移動終端，正在進(jìn)行的通信將被中斷。為此，IETF制定了擴(kuò)展IP網(wǎng)絡(luò)移動性的系列標(biāo)準(zhǔn)。所謂移動IP，就是指在IP網(wǎng)絡(luò)上的多個子網(wǎng)內(nèi)均可使用同一IP地址的技術(shù)。這種技術(shù)是通過使用被稱為本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器對網(wǎng)絡(luò)終端所處位置的網(wǎng)絡(luò)進(jìn)行管理來實現(xiàn)的。在移動IP系統(tǒng)中，可保證用戶的移動終端始終使用固定的IP地址進(jìn)行網(wǎng)絡(luò)通信，不管在怎樣的移動過程中皆可建立TCP連接并不會發(fā)生中斷。在無線局域網(wǎng)系統(tǒng)中，廣泛的應(yīng)用移動IP技術(shù)可以突破網(wǎng)絡(luò)的地域范圍限制，并可克服在跨網(wǎng)段時使用動態(tài)主機(jī)配置協(xié)議(DHCP)方式所造成的通信中斷、權(quán)限變化等問題。

結(jié)語

無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難，雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢，但與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價格較高，因而它主要面向有特定需求的用戶，目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補的關(guān)系，而不是競爭，目前還只是有線網(wǎng)絡(luò)的補充，而不是替換，但也應(yīng)該看到。近年來，隨著適用于無線局域網(wǎng)產(chǎn)品的價格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù)，相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

致謝

在此，首先要對我的導(dǎo)師柯江民老師，致以最深的感謝。感謝柯老師對我的論文不厭其煩的細(xì)心指點?？吕蠋熓紫燃?xì)致地為我選題、解題；當(dāng)我深陷于眾多的資料，找不準(zhǔn)角度，理不清思路時，柯老師又為我指點迷津，梳理脈絡(luò)，使我感到柳暗花明，分清了層次，確立了本文的框架。在論文寫作過程中，經(jīng)常得到柯老師電話和郵件指點。在修改和完善過程中，柯老師更是嚴(yán)格細(xì)致，從框架的完善，到內(nèi)容的擴(kuò)充；從行文的用語，到格式的規(guī)范，進(jìn)行了全面地審閱，提出了許多中肯的修改意見。我再次為柯老師的付出表示感謝。同時還要衷心感謝網(wǎng)絡(luò)管理學(xué)科的堯時茂老師 崇志軍老師 程霄老師 王凌敏老師等的言傳身教，是你們的啟迪與指導(dǎo)，使我獲得了各種專業(yè)知識。老師們勤奮工作、嚴(yán)謹(jǐn)治學(xué)的精神永遠(yuǎn)值得我學(xué)習(xí)。也要感謝每一位朋友、每一位同學(xué)，正是有了你們友情的陪伴，才使得我的大學(xué)生活豐富而多彩!在此我要特別感謝各位兄弟姐妹們給予我的支持和幫助!最后，要深深感謝家人對我學(xué)業(yè)的全力支持，你們的期待與鼓勵是我前進(jìn)的最大動力。

三年是短暫的，記憶是永恒的!最后，衷心祝愿我親愛的朋友們：生活幸福，天天快樂!

參考文獻(xiàn)：

1.李建東.黃振海 WLAN的標(biāo)準(zhǔn)與技術(shù)發(fā)展[期刊論文]-中興通訊技術(shù) 2003(2)2.徐冬梅 WLAN走向安全、高速、互聯(lián) 2002(12)3.GB 15629.11-2003.信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問(MAC)和物理(PHY)層規(guī)范

4.GB 15629.1102-2003.信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問(MAC)和物理(PHY)層規(guī)范:2.4GHz頻段較高速物理層擴(kuò)展規(guī)范

5.孫少陵.李新.葉偉 WLAN市場發(fā)展現(xiàn)狀與前景[期刊論文]-中興通訊技術(shù) 2003(2)6.王志勤 3G與WLAN的關(guān)系[期刊論文]-中興通訊技術(shù) 2003(2)7.李承恕 WLAN與2.5/3代移動通信網(wǎng)的結(jié)合[期刊論文]-中興通訊技術(shù) 2003(2)8.談?wù)褫x 應(yīng)用于移動環(huán)境中的WLAN接入網(wǎng)結(jié)構(gòu)[期刊論文]-中興通訊技術(shù) 2003(2)9.呂霞.楊軍 WLAN標(biāo)準(zhǔn)GB15629.11安全機(jī)制--WAPI協(xié)議解析[期刊論文]-電子設(shè)計應(yīng)用 2004(10)10.尹傳勇.劉壽強.畢雅寧 營造安全的無限空間--無限局域網(wǎng)新標(biāo)準(zhǔn)WAPI解析[期刊論文]-計算機(jī)安全 2004(7)11.鄭君杰.肖軍模.程林 WAPI協(xié)議及其安全性分析[期刊論文]-電視技術(shù) 2004(5)12.可運營WLAN網(wǎng)絡(luò)安全問題的探討

14.倪源.彭志威.王育民 增強的無線局域網(wǎng)安全技術(shù)分析[期刊論文]-中興通訊技術(shù) 2003(6)15.萬仁福.陳宇.李方偉 3G與WLAN融合的安全性分析[期刊論文]-電信快報 2004(8)16.魏松.肖征榮 3G與WLAN互連的安全問題[期刊論文]-電信快報 2004(8)17.何廣法.劉乃安 基于3GPP-WLAN互通性安全的AP設(shè)計應(yīng)用[期刊論文]-現(xiàn)代電子技術(shù) 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.楊文東 IEEE 802.16寬帶無線接入標(biāo)準(zhǔn)體系介紹[期刊論文]-電信工程技術(shù)與標(biāo)準(zhǔn)化 2003(2)20.劉文杰.傅海陽.吳蒙 LMDS系統(tǒng)安全認(rèn)證協(xié)議的形式分析與改進(jìn)[期刊論文]-計算機(jī)工程 2003(22)21.傅堅 無線寬帶固定接入系統(tǒng)的安全性分析[期刊論文]-計算機(jī)工程 2004(6)

第二篇：無限局域網(wǎng)研究

鄭州城市職業(yè)學(xué)院

畢業(yè)設(shè)計（論文）

題 目 無線局域網(wǎng)的研究 實習(xí)單位 中國通信建設(shè)第四工程局 系（部）電子工程系 專業(yè)班級 移動通信技術(shù)2班 學(xué)生姓名 白朋朋 學(xué) 號 20091032259 總評成績 指導(dǎo)教師

2012年 3 月 12 日

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

摘要

在這個通信網(wǎng)絡(luò)發(fā)展的時代，伴隨著我國有線網(wǎng)絡(luò)的廣泛應(yīng)用，傳統(tǒng)的局域網(wǎng)、城域網(wǎng)技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足我們的使用需求，一種無線通信技術(shù)的產(chǎn)物依具著快捷高效、組網(wǎng)靈活的特點已經(jīng)在我國通信的領(lǐng)域站穩(wěn)了腳步，這就是WLAN（無線局域網(wǎng)）技術(shù)。

關(guān)鍵字：無限局域網(wǎng)

設(shè)置 2 IEEE802.11

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

目錄

引言 ????????????????????????????4 第一章：無線局域網(wǎng)的基礎(chǔ)

1.1.1 WLAN概述 ????????????????????5 1.1.2 WLAN的基本感念 ?????????????????5 1.1.3 WLAN 的優(yōu)、缺點 ?????????????????6 1.1.4 WLAN的應(yīng)用 ???????????????????7 1.1.5 WLAN常用設(shè)備 ??????????????????8 1.1.6 WLAN組成原理 ??????????????????9 1.1.7 WLAN傳輸方式 ??????????????????10 1.1.8 WLAN拓?fù)浣Y(jié)構(gòu) ??????????????????11 第二章：無線局域網(wǎng)的標(biāo)準(zhǔn)

2.1.1 WLAN標(biāo)準(zhǔn)概述 ??????????????????13 2.1.2 IEEE802.11 ????????????????????13 2.2.1 IEEE802.11b ???????????????????13 2.2.2 IEEE802.11a ???????????????????13 2.2.3 IEEE802.11g ???????????????????14 2.2.4 IEEE802.11i ???????????????????14 2.2.5 IEEE802.11e/f/h ?????????????????14 第三章：無線局域網(wǎng)的設(shè)置

3.1.1路由器的設(shè)置 ??????????????????15 3.1.2無線網(wǎng)卡設(shè)置 ??????????????????16 第四章：無線局域網(wǎng)的簡單設(shè)計

4.1.1設(shè)計流程 ?????????????????????17 4.1.2調(diào)研及勘測 ????????????????????17 4.1.3覆蓋設(shè)計 ?????????????????????17 4.1.4頻率規(guī)劃 ????????????????????? 17 4.1.5容量規(guī)劃 ?????????????????17 4.1.6網(wǎng)絡(luò)優(yōu)化 ?????????????????17 結(jié)論 ??????????????????????????18 參考文獻(xiàn) ????????????????????????18 致謝 ??????????????????????????20

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

引言

在如今這個網(wǎng)絡(luò)技術(shù)時代，伴隨著有線網(wǎng)絡(luò)的廣泛應(yīng)用，以快捷高效，組網(wǎng)靈活為優(yōu)勢的無線網(wǎng)絡(luò)技術(shù)也在飛速發(fā)展。無限局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無限局域網(wǎng)使用無線電波替代雙絞線、同軸電纜等落伍設(shè)備，省去了布線的麻煩，組網(wǎng)靈活。無線局域網(wǎng)是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講，無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計算機(jī)之間的通信，并為通信的移動化、個性化和多媒體應(yīng)用提供了可能。通俗地說，無線局域網(wǎng)（WLAN）就是在不采用傳統(tǒng)纜線的同時，提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。通常計算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場合要受到布線的限制：布線、改線工程量大；線路容易損壞；網(wǎng)中的各節(jié)點不可移動。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點連接起來時，敷設(shè)專用通信線路的布線施工難度大、費用高、耗時長,對正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。無線局域網(wǎng)就是解決有線網(wǎng)絡(luò)以上問題而出現(xiàn)的。無限局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段，能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合，并在不易架設(shè)有線的地方和遠(yuǎn)沖離的數(shù)據(jù)處節(jié)點提供強大的網(wǎng)絡(luò)支持。因此，WLAN已在軍隊、石化、醫(yī)護(hù)管理、工廠、庫存控制、會議、金融服務(wù)、旅游服務(wù)、移動辦公系統(tǒng)等行業(yè)中等到了應(yīng)用，受到了廣泛的親睞。

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

第一章：無線局域網(wǎng)的基礎(chǔ)

1.1.1 WLAN的概述

無線局域網(wǎng)技術(shù)自從民用以來經(jīng)歷了30多年的漫長發(fā)展歷程，自1997年IEEE發(fā)布802.11標(biāo)準(zhǔn)以來已經(jīng)有了長足的發(fā)展，隨著用戶的增多以及技術(shù)的成熟，無線網(wǎng)絡(luò)已經(jīng)擺脫了網(wǎng)絡(luò)速度慢、價格高等因素。應(yīng)用廣泛，架設(shè)靈活，鋪設(shè)速度快等優(yōu)勢逐漸使它在市場上有了相當(dāng)強的競爭力。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補的關(guān)系，而不是競爭；目前還只是有線網(wǎng)絡(luò)的補充，而不是替換。但也應(yīng)該看到，近年來，隨著適用于無線局域網(wǎng)產(chǎn)品的價格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用！

圖：無線局域網(wǎng)

1.1.2 WLAN的基本感念

在一個典型的無線局域網(wǎng)環(huán)境中，有一些進(jìn)行數(shù)據(jù)發(fā)送和接收的設(shè)備，稱為接入點(AP)。通常，一個AP能夠在幾十至上百米的范圍內(nèi)連接多個無線用戶。在同時具有有線和無線網(wǎng)絡(luò)的情況下，AP可以通過標(biāo)準(zhǔn)的Ethernet電纜與傳統(tǒng)的有線網(wǎng)絡(luò)相聯(lián)，作為無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點。無線局域網(wǎng)的終端用戶可通過無線網(wǎng)卡等訪問網(wǎng)絡(luò)。

無線局域網(wǎng)在室外主要有以下幾種結(jié)構(gòu)：點對點型、點對多點型、多點對點 5

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

型和混合型。

※點對點型

該類型常用于固定的要聯(lián)網(wǎng)的兩個位置之間，是無線聯(lián)網(wǎng)的常用方式，使用這種聯(lián)網(wǎng)方式建成的網(wǎng)絡(luò)，優(yōu)點是傳輸距離遠(yuǎn)，傳輸速率高，受外界環(huán)境影響較小。

※ 點對多點型

該類型常用于有一個中心點，多個遠(yuǎn)端點的情況下。其最大優(yōu)點是組建網(wǎng)絡(luò)成本低、維護(hù)簡單；其次，由于中心使用了全向天線，設(shè)備調(diào)試相對容易。該種網(wǎng)絡(luò)的缺點也是因為使用了全向天線，波束的全向擴(kuò)散使得功率大大衰減，網(wǎng)絡(luò)傳輸速率低，對于較遠(yuǎn)距離的遠(yuǎn)端點，網(wǎng)絡(luò)的可靠性不能得到保證。

※ 混合型

這種類 型適用于所建網(wǎng)絡(luò)中有遠(yuǎn)距離的點、近距離的點，還有建筑物或山脈阻擋的點。在組建這種網(wǎng)絡(luò)時，綜合使用上述幾種類型的網(wǎng)絡(luò)方式，對于遠(yuǎn)距離的點使用點對點方式，近距離的多個點采用點對多點方式，有阻擋的點采用中繼方式。

1.1.3 WLAN 的優(yōu)、缺點

與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)具有以下優(yōu)點：

安裝便捷

一般在網(wǎng)絡(luò)建設(shè)中，施工周期最長、對周邊環(huán)境影響最大的，就是網(wǎng)絡(luò)布線施工工程。在施工過程中，往往需要破墻掘地、穿線架管。而無線局域網(wǎng)最大的優(yōu)勢就是免去或減少了網(wǎng)絡(luò)布線的工作量，一般只要安裝一個或多個接入點AP(Access Point)設(shè)備，就可建立覆蓋整個建筑或地區(qū)的局域網(wǎng)絡(luò)。

使用靈活

在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信息點位置的限制。而一旦無線局域網(wǎng)建成后，在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡(luò)。

經(jīng)濟(jì)節(jié)約

由于有線網(wǎng)絡(luò)缺少靈活性，這就要求網(wǎng)絡(luò)規(guī)劃者盡可能地考慮未來發(fā)展的需

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

要，這就往往導(dǎo)致預(yù)設(shè)大量利用率較低的信息點。而一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計規(guī)劃，又要花費較多費用進(jìn)行網(wǎng)絡(luò)改造,而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。

易于擴(kuò)展

無線局域網(wǎng)有多種配置方式，能夠根據(jù)需要靈活選擇。這樣，無線局域網(wǎng)就能勝任從只有幾個用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡(luò)，并且能夠提供像“漫游(Roaming)”等有線網(wǎng)絡(luò)無法提供的特性。由于無線局域網(wǎng)具有多方面的優(yōu)點，所以發(fā)展十分迅速。在最近幾年里，無線局域網(wǎng)已經(jīng)在醫(yī)院、商店、工廠和學(xué)校等不適合網(wǎng)絡(luò)布線的場合得到了廣泛應(yīng)用。

但是任何事物都不是完美的，無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實用的同時，也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個方面：

性能

無線局域網(wǎng)是依靠無線電波進(jìn)行傳輸?shù)?。這些電波通過無線發(fā)射裝置進(jìn)行發(fā)射，而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸，所以會影響網(wǎng)絡(luò)的性能。

速率

無線信道的傳輸速率與有線信道相比要低得多。目前，無線局域網(wǎng)的最大傳輸速率為54Mbit/s，只適合于個人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。

安全性

本質(zhì)上無線電波不要求建立物理的連接通道，無線信號是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，造成通信信息泄漏。

1.1.4 WLAN的應(yīng)用

? 作為傳統(tǒng)局域網(wǎng)的擴(kuò)充

在某些特殊環(huán)境中，無線局域網(wǎng)能發(fā)揮傳統(tǒng)局域網(wǎng)起不到的作用。這類環(huán)境主要是建筑物群之間、工廠建筑物之間的連接，股票交易等場所的活動節(jié)點，以及不能布線的歷史古建筑等。在這種環(huán)境情況中，無線局域網(wǎng)提供了一種更有效 7

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）的聯(lián)網(wǎng)方式。在大多說情況下，傳統(tǒng)的局域網(wǎng)用來連接服務(wù)器和一些固定的工作站，而移動和不易于布線的節(jié)點可以通過無線局域網(wǎng)接入。

? 建筑物之間的互聯(lián)

無線局域網(wǎng)的另一個用途是連接鄰進(jìn)建筑物中的局域網(wǎng)。在這種情況下，兩座建筑物使用一條點到點無線鏈路，連接的典型設(shè)備是網(wǎng)橋或路由器。

? 漫游訪問

帶有天線的移動數(shù)據(jù)設(shè)備（如筆記本電腦）與無線局域網(wǎng)集線器之間可以實現(xiàn)漫游訪問。

? 特殊網(wǎng)絡(luò)（臨時網(wǎng)絡(luò)）

特殊網(wǎng)絡(luò)是一個臨時需要的對等網(wǎng)絡(luò)（無集中的服務(wù)器）

1.1.5 WLAN常用設(shè)備

WLAN終端設(shè)備、接入點設(shè)備（AP）、接入控制點（AC）、boss系統(tǒng)

圖：組網(wǎng)模式

圖：家庭組網(wǎng)模式

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

圖：企業(yè)組網(wǎng)模式

圖：無線網(wǎng)橋

1.1.6WLAN組成原理

無線電技術(shù)的原理在于，導(dǎo)體中電流強弱的改變會產(chǎn)生無線電波。利用這一現(xiàn)象，通過調(diào)制可將信息加載于無線電波之上。當(dāng)電波通過空間傳播到達(dá)收信端，電波引起的電磁場變化又會在導(dǎo)體中產(chǎn)生電流。通過解調(diào)將信息從電流變化中提取出來，就達(dá)到了信息傳遞的目的，無線傳輸是利用電磁波。分發(fā)射部分和接收部分。發(fā)射部分由產(chǎn)生高頻信號的振蕩器，將音頻信號加到電磁波上的調(diào)制器和高頻功率放大器，最后由天線發(fā)射到空間去。接收部分由接收天線，高頻放大，變頻器，中頻放大器，檢波器和音頻功率放大器等組成，最后由喇叭還原出聲音。

現(xiàn)在無線傳輸已經(jīng)超出了廣播通信的范圍。如無線電導(dǎo)航，無線電定位，無線上網(wǎng)等許多領(lǐng)域。

無線局域網(wǎng)是一種能支持較高數(shù)據(jù)速率（2-11Mbit/s），采用微蜂窩、微微蜂窩結(jié)構(gòu)、自主治理的計算機(jī)局部網(wǎng)絡(luò)。它可采用無線電或紅外線作為傳輸媒質(zhì)，采用擴(kuò)展頻譜技術(shù)，移動的終端可通過無線接入點來實現(xiàn)對Internet的訪問。在無線局域網(wǎng)這個領(lǐng)域中有這樣兩個主要標(biāo)準(zhǔn)：IEEE802.11和HipERLAN WLAN利用常規(guī)的局域網(wǎng)（如10/100/1000Mbit/s以太網(wǎng)）及其互連設(shè)備（路由器）構(gòu)成骨干支撐網(wǎng)，利用無線接入點（AP）和無線接入服務(wù)器（WAS）來支持移動終端（MT）的移動和漫游。無線接入服務(wù)器的作用是提供無線終端的接入治理和移動性治理。在無線接入服務(wù)器管轄的范圍內(nèi)（稱為服務(wù)區(qū)）可支持多個小區(qū)。無線接入點的作用是完成WLAN和LAN之間的橋接，實現(xiàn)無線空中

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

接口協(xié)議到LAN協(xié)議的轉(zhuǎn)換，并實現(xiàn)小區(qū)的移動用戶治理。在無線接入服務(wù)器中運行移動IP服務(wù)器軟件，在移動終端上運行移動IP客戶機(jī)便可支持移動IP功能。

1.1.7WLAN的傳輸方式

無線傳輸分為：模擬微波傳輸和數(shù)字微波傳輸。

模擬微波傳輸就是把視頻信號直接調(diào)制在微波的信道上，通過天線發(fā)射出去，監(jiān)控中心通過天線接收微波信號，然后再通過微波接收機(jī)解調(diào)出原來的視頻信號。如果需要控制云臺鏡頭，就在監(jiān)控中心加相應(yīng)的指令控制發(fā)射機(jī)，監(jiān)控前端配置相應(yīng)的指令接收機(jī)，這種監(jiān)控方式圖像非常清晰，沒有延時，沒有壓縮損耗，造價便宜，施工安裝調(diào)試簡單，適合一般監(jiān)控點不是很多，需要中繼也不多的情況下使用。其弱點是：抗干擾能力較差，易受天氣、周圍環(huán)境的影響，傳輸距離有限。目前，已逐步被數(shù)字微波、COFDM、3G、CDMA等取代。

數(shù)字微波傳輸就是先把視頻編碼壓縮，然后通過數(shù)字微波信道調(diào)制，再通過天線發(fā)射出去，接收端則相反，天線接收信號，微波解擴(kuò)，視頻解壓縮，最后還原模擬的視頻信號，也可微波解擴(kuò)后通過電腦安裝相應(yīng)的解碼軟件，用電腦軟解壓視頻，而且電腦還支持錄像，回放，管理，云鏡控制，報警控制等功能；現(xiàn)在隨著數(shù)字存儲方式的普及，接收下的來的信號可以直接通過NVR存儲顯示或者直接進(jìn)存儲服務(wù)器，配合磁盤陣列存儲；這種監(jiān)控方式圖像有720*576、352*288或更高的的分辨率選擇，通過解碼的存儲方式，視頻有0.2-0.8秒左右的延時。數(shù)字視頻監(jiān)控價根據(jù)實際情況差別很大，但也有一些模擬微波不可比的優(yōu)點，如監(jiān)控點比較多，環(huán)境比較復(fù)

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

雜，需要加中繼的情況多，監(jiān)控點比較集中它可集中傳輸多路視頻，抗干擾能力比模擬的要好一點，等等優(yōu)點，適合監(jiān)控點比較多，需要中繼也多的情況下使用，客觀地講，前期投資較高。

1.1.8WLAN的拓?fù)浣Y(jié)構(gòu)

星形結(jié)構(gòu)：

樹型結(jié)構(gòu)：

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

總線結(jié)構(gòu)：環(huán)型結(jié)構(gòu)：

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

第二章：無線局域網(wǎng)的標(biāo)準(zhǔn)

2.1.1 WLAN標(biāo)準(zhǔn)概述

由于WLAN是基于計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)，在計算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)中，邏輯鏈路控制（LLC）層及其之上的應(yīng)用層對不同的物理層的要求可以是相同的，也可以是不同的，因此，WLAN標(biāo)準(zhǔn)主要是針對物理層和媒質(zhì)訪問控制層(MAC)，涉及到所使用的無線頻率范圍、空中接口通信協(xié)議等技術(shù)規(guī)范與技術(shù)標(biāo)準(zhǔn)。

2.1.2 IEEE802.11 1990年IEEE802標(biāo)準(zhǔn)化委員會成立IEEE802.11WLAN標(biāo)準(zhǔn)工作組。IEEE802.11是在1997年6月由大量的局域網(wǎng)以及計算機(jī)專家審定通過的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義物理層和媒體訪問控制(MAC)規(guī)范。物理層定義了數(shù)據(jù)傳輸?shù)男盘柼卣骱驼{(diào)制，定義了兩個RF傳輸方法和一個紅外線傳輸方法，RF傳輸標(biāo)準(zhǔn)是跳頻擴(kuò)頻和直接序列擴(kuò)頻，工作在2.4000～2.4835GHz頻段。IEEE802.11是IEEE最初制定的一個無線局域網(wǎng)標(biāo)準(zhǔn)，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端的無線接入，業(yè)務(wù)主要限于數(shù)據(jù)訪問，速率最高只能達(dá)到2Mbps。由于它在速率和傳輸距離上都不能滿足人們的需要，所以IEEE802.11標(biāo)準(zhǔn)被IEEE802.11b所取代了。

2.2.1 IEEE802.11b 1999年9月IEEE802.11b被正式批準(zhǔn)，該標(biāo)準(zhǔn)規(guī)定WLAN工作頻段在2.4-2.4835GHz，數(shù)據(jù)傳輸速率達(dá)到11Mbps,傳輸距離控制在50-150英尺。該標(biāo)準(zhǔn)是對IEEE802.11的一個補充，采用補償編碼鍵控調(diào)制方式，采用點對點模式和基本模式兩運作模式，在數(shù)據(jù)傳輸速率方面可以根據(jù)實際情況在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率間自動切換，它改變了WLAN設(shè)計狀況，擴(kuò)大了WLAN的應(yīng)用領(lǐng)域。IEEE802.11b已成為當(dāng)前主流的WLAN標(biāo)準(zhǔn)，被多數(shù)廠商所采用，所推出的產(chǎn)品廣泛應(yīng)用于辦公室、家庭、賓館、車站、機(jī)場等眾多場合，但是由于許多WLAN的新標(biāo)準(zhǔn)的出現(xiàn)，IEEE802.11a和IEEE802.11g更是倍受業(yè)界關(guān)注。

2.2.2 IEEE802.11a 1999年，IEEE802.11a標(biāo)準(zhǔn)制定完成，該標(biāo)準(zhǔn)規(guī)定WLAN工作頻段在5.15-5.825GHz，數(shù)據(jù)傳輸速率達(dá)到54Mbps/72Mbps(Turbo),傳輸距離控制在10-100米。該標(biāo)準(zhǔn)也是IEEE802.11的一個補充，擴(kuò)充了標(biāo)準(zhǔn)的物理層，采用正交頻分復(fù)用（OFDM）的獨特擴(kuò)頻技術(shù)，采用QFSK調(diào)制方式，可提供25Mbps的無線ATM接口和10Mbps的以太網(wǎng)無線幀結(jié)構(gòu)接口，支持多種業(yè)

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

務(wù)如話音、數(shù)據(jù)和圖像等，一個扇區(qū)可以接入多個用戶，每個用戶可帶多個用戶終端。IEEE802.11a標(biāo)準(zhǔn)是IEEE802.11b的后續(xù)標(biāo)準(zhǔn)，其設(shè)計初衷是取代802.11b標(biāo)準(zhǔn)，然而，工作于2.4GHz頻帶是不需要執(zhí)照的，該頻段屬于工業(yè)、教育、醫(yī)療等專用頻段，是公開的，工作于5.15-8.825GHz頻帶需要執(zhí)照的。一些公司仍沒有表示對802.11a標(biāo)準(zhǔn)的支持，一些公司更加看好最新混合標(biāo)準(zhǔn)――802.11g。

2.2.3 IEEE802.11g 目前，IEEE推出最新版本IEEE802.11g認(rèn)證標(biāo)準(zhǔn),該標(biāo)準(zhǔn)提出擁有IEEE802.11a的傳輸速率，安全性較IEEE802.11b好，采用2種調(diào)制方式，含802.11a中采用的OFDM與IEEE802.11b中采用的CCK，做到與802.11a和802.11b兼容。雖然802.11a較適用于企業(yè)，但WLAN運營商為了兼顧現(xiàn)有802.11b設(shè)備投資，選用802.11g的可能性極大。

2.2.4 IEEE802.11i

IEEE802.11i標(biāo)準(zhǔn)是結(jié)合IEEE802.1x中的用戶端口身份驗證和設(shè)備驗證，對WLANMAC層進(jìn)行修改與整合,定義了嚴(yán)格的加密格式和鑒權(quán)機(jī)制，以改善WLAN的安全性。IEEE802.11i新修訂標(biāo)準(zhǔn)主要包括兩項內(nèi)容：“Wi-Fi保護(hù)訪問”技術(shù)和“強健安全網(wǎng)絡(luò)”。Wi-Fi聯(lián)盟計劃采用802.11i標(biāo)準(zhǔn)作為WPA的第二個版本，并于2004年初開始實行。IEEE802.11i標(biāo)準(zhǔn)在WLAN網(wǎng)絡(luò)建設(shè)中的是相當(dāng)重要的，數(shù)據(jù)的安全性是WLAN設(shè)備制造商和WLAN網(wǎng)絡(luò)運營商應(yīng)該首先考慮的頭等工作。

2.2.5 IEEE802.11e/f/h IEEE802.11e標(biāo)準(zhǔn)對WLANMAC層協(xié)議提出改進(jìn)，以支持多媒體傳輸，以支持所有WLAN無線廣播接口的服務(wù)質(zhì)量保證QOS機(jī)制。IEEE802.11f，定義訪問節(jié)點之間的通訊，支持IEEE802.11的接入點互操作協(xié)議（IAPP）。IEEE802.11h用于802.11a的頻譜管理技術(shù)。

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

第三章：無線局域網(wǎng)的設(shè)置

3.11路由器設(shè)置

現(xiàn)在的路由器設(shè)置，多是通過WEB進(jìn)行設(shè)置；由于路由器在沒有正確設(shè)置以前，無線功能可能無法使用，因此我們通過網(wǎng)線與路由器聯(lián)接；首先我們在瀏覽器地址欄中輸入WR541G默認(rèn)的IP地址，192.168.1.1。路由器的默認(rèn)IP地址可能不相同，因此可在路由器上的標(biāo)明或說明書中找到。在這里，需要說明一下：在通過WEB設(shè)置路由器時，當(dāng)臺與路由器聯(lián)接的電腦的IP地址，必須設(shè)置成與路由器同一網(wǎng)關(guān)中；如耗子的路由器IP地址是192.168.1.1，因此與之聯(lián)接的電腦的IP可設(shè)置成192.168.1.2---192.168.1.255之間任一地址。

對于電腦IP地址的設(shè)置，可如此設(shè)置：

在電腦正確安裝好網(wǎng)卡驅(qū)動的情況下，選擇控制面板--網(wǎng)絡(luò)聯(lián)接--本地聯(lián)接，選擇Internet協(xié)議（TCP/IP），點擊屬性--選擇使用下面的IP地址；IP地址輸入：192.168.1.2---192.168.1.255之間任一地址，耗子在此輸入192.168.1.2，子網(wǎng)掩碼輸入255.255.255.0，默認(rèn)網(wǎng)關(guān)輸入192.168.1.1即路由器的IP地址。

在瀏覽器地址欄中輸入路由器的IP，192.168.1.1確定后即可進(jìn)入路由器的WEB設(shè)置界面。一般路由器在進(jìn)入WEB設(shè)置界面時，需要管理員密碼，如第一次輸入，按說明介紹，輸入原始密碼即可。

TP-LINK路由器設(shè)置安裝簡單，而且性價比也不錯，特別適合家庭網(wǎng)絡(luò)；耗子用過幾款TP-LINK的路由器，感覺不錯。再說國人也要支持國貨呀。

如果只想簡單的設(shè)置路由器，只要選擇設(shè)置向?qū)?，然后根?jù)你的上網(wǎng)方式，配置好網(wǎng)絡(luò)，即可實現(xiàn)路由功能。對于上網(wǎng)方式，請您根據(jù)自身情況進(jìn)行選擇。在這里，耗子以最常用的家庭ADSL虛擬撥號（PPPoE）拔號方式為例。

選擇ADSL虛擬撥號（PPPoE），點擊下一步，輸入你的帳戶名和密碼，如不知道，請與你當(dāng)?shù)氐腎P服務(wù)商聯(lián)系。點擊下一步，進(jìn)入無線設(shè)置界面，TP-LINK默認(rèn)為無線打開，由于我們此文章主要介紹無線設(shè)置，因此，如果此設(shè)置界面的無線功能沒有打開，選擇打開后，點擊下一步，即可完成路由器設(shè)置。由于新設(shè)置了路由器，因此路由器會重新聯(lián)接，如果正確啟動，選擇設(shè)置界面上 15

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）的運行狀態(tài)，應(yīng)正確顯示路由器當(dāng)時狀態(tài)，如果WAN口狀態(tài)，顯示錯誤，為你設(shè)置錯誤，請重新設(shè)置。

如果想讓下面的客戶機(jī)方便的配置網(wǎng)絡(luò)，可以在路由器中打開DHCP服務(wù)，這樣，所有與路由器聯(lián)接的局域網(wǎng)中的電腦的TCP/IP協(xié)議設(shè)置為“自動獲得IP地址”，路由器即可自動為每臺機(jī)器配置網(wǎng)絡(luò)。這樣無需每臺機(jī)器分別指定IP地址，當(dāng)然，就是打開了DHCP服務(wù)，你也可手動為每臺電腦指定IP地址。

3.12無線網(wǎng)卡設(shè)置

首先正確安裝無線網(wǎng)卡的驅(qū)動，然后選擇控制面板--網(wǎng)絡(luò)聯(lián)接--選擇無線網(wǎng)絡(luò)聯(lián)接，右鍵選擇屬性。在無線網(wǎng)卡聯(lián)接屬性中選擇配置，選擇屬性中的AD Hoc信道，在值中選擇6，其值應(yīng)與路由器無線設(shè)置頻段的值一致，點擊確定。

一般情況下，無線網(wǎng)卡的頻段不需要設(shè)置的，系統(tǒng)會自動搜索的。耗子的無線網(wǎng)卡即可自動搜索到頻段，因此如果你設(shè)置好無線路由后，無線網(wǎng)卡無法搜索到無線網(wǎng)絡(luò)，一般多是頻段設(shè)置的原因，請按上面設(shè)置正確的頻段即可。

設(shè)置完面后，選擇選擇控制面板--網(wǎng)絡(luò)聯(lián)接--鼠標(biāo)雙擊無線網(wǎng)絡(luò)聯(lián)接，選擇無線網(wǎng)絡(luò)聯(lián)接狀態(tài)，正確情況下，無線網(wǎng)絡(luò)應(yīng)正常聯(lián)接的

如果無線網(wǎng)絡(luò)聯(lián)接狀態(tài)中，沒有顯示聯(lián)接，點擊查看無線網(wǎng)絡(luò)，然后選擇刷新網(wǎng)絡(luò)列表，在系統(tǒng)檢測到可用的無線網(wǎng)絡(luò)后，點擊聯(lián)接，即可完成無線網(wǎng)絡(luò)聯(lián)接。

其實無線網(wǎng)絡(luò)設(shè)置與有線網(wǎng)站設(shè)置基本差不多的。只是比有線網(wǎng)絡(luò)多了個頻段設(shè)置，如果只是簡單的設(shè)置無線網(wǎng)絡(luò)，以上設(shè)置過程即可完成。上述文章只是介紹了一臺電腦與無線路由器聯(lián)接，如是多臺機(jī)器，與單機(jī)設(shè)置是一樣的。因為我們在路由器中設(shè)置了DHCP服務(wù)，因此無法指定IP，即可完成多臺機(jī)器的網(wǎng)絡(luò)配置。如果要手動指定每臺機(jī)器的IP，只要在網(wǎng)卡TCP/IP設(shè)置中，指定IP地址即可，但一定要注意，IP地址的設(shè)置要與路由器在同一網(wǎng)段中，網(wǎng)關(guān)和DNS全部設(shè)置成路由器的IP即可。

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

第四章：無線局域網(wǎng)的簡單設(shè)計

4.1.1設(shè)計流程

WLAN網(wǎng)絡(luò)規(guī)劃流程可以分為以下幾個步驟：調(diào)研及勘查、覆蓋設(shè)計、頻率規(guī)劃、容量規(guī)劃、網(wǎng)絡(luò)優(yōu)化幾個步驟。

4.1.2調(diào)研及勘測

前期調(diào)研和規(guī)劃是網(wǎng)絡(luò)規(guī)劃的基礎(chǔ)，是獲得規(guī)劃輸入?yún)?shù)的過程。調(diào)研階段需與運營商進(jìn)行良好溝通，以確定準(zhǔn)確的覆蓋目標(biāo)、網(wǎng)絡(luò)設(shè)計容量以及網(wǎng)絡(luò)的預(yù)期質(zhì)量。

4.1.3覆蓋設(shè)計

WLAN網(wǎng)絡(luò)大體可以分為下面兩種場景、4類覆蓋方式。(1)室內(nèi)覆蓋：單獨建設(shè)方式、共用室內(nèi)分布系統(tǒng)建設(shè)方式;(2)室外覆蓋：室外型AP覆蓋方式、Mesh型網(wǎng)絡(luò)覆蓋方式。

4.1.4頻率規(guī)劃

IEEE802.11b/g設(shè)備使用2.4～2.4835GHz頻段。工作頻率帶寬為83.5MHz，劃分為14個子頻道，每個子頻道帶寬為22MHz;互不干擾的子信道有3個。(4.1.5容量規(guī)劃

隨著WLAN的普及，出現(xiàn)了一些用戶密集的熱點區(qū)域，這些區(qū)域是WLAN設(shè)計的難點和重點。下面討論AP接入能力、干擾對WLAN速率的影響幾個方面的問題。

4.1.6網(wǎng)絡(luò)優(yōu)化

在網(wǎng)絡(luò)規(guī)劃設(shè)計及建設(shè)完成之后，需要對實際網(wǎng)絡(luò)質(zhì)量進(jìn)行測量，并根據(jù)測量結(jié)果對網(wǎng)絡(luò)進(jìn)行調(diào)整，以確保信號強度、干擾等指標(biāo)達(dá)到目標(biāo)值。

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

總結(jié)

無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難。雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢，但與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價格較高，因而它主要面向有特定需求的用戶。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補的關(guān)系，而不是競爭；目前還只是有線網(wǎng)絡(luò)的補充，而不是替換。但也應(yīng)該看到，近年來，隨著適用于無線局域網(wǎng)產(chǎn)品的價格正逐漸下降，相應(yīng)軟件也逐漸成熟。此外，無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來，無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用！

參考文獻(xiàn)

[1]魏紅；《移動通信技術(shù)》（第二版）[M]北京：人民郵電出版社 2009年 [2]壽文澤：《通信線路設(shè)計》北京：人民郵電出版社 [J] 2009年 [3]林打權(quán)：《光纖通信》高等教育出版社 [M] 2008年

[4]王玉峰《無線局域網(wǎng)及其應(yīng)用》無線電工程 [J] 1994年04期 [5]徐春霞《公共無線局域網(wǎng)安全體系及應(yīng)用》[M] 東南大學(xué) 2005年 [6]劉德志《高速局域網(wǎng)的研究》南京理工大學(xué) [D] 2003年

[7]趙力強《公用無線局域網(wǎng)關(guān)鍵技術(shù)的研究》[D] 西安電子科技大學(xué) 2003年

鄭州城市職業(yè)學(xué)院畢業(yè)設(shè)計（論文）

致謝

畢業(yè)設(shè)計是對我們知識運用能力的一次全面考核，也是對我們進(jìn)行科學(xué)研究基本功的訓(xùn)練，培養(yǎng)我們的綜合能力，為以后撰寫專業(yè)學(xué)術(shù)論文和工作打下了良好的基礎(chǔ)。

本次設(shè)計能夠順利的完成，首先我要感謝我的母校-----鄭州城市學(xué)院，是她為我們提供了學(xué)習(xí)只是的土壤，感謝我的老師，是他們教會了我專業(yè)的知識和做人做事的道理，其次我要感謝中國通信建設(shè)第四工程局，感謝四局給我提供了一個良好的工作環(huán)境，使我的知識面加寬了很多，也學(xué)到了很多知識。使得畢業(yè)設(shè)計順利的完成。

第三篇：局域網(wǎng)安全畢業(yè)論文

論文關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 局域網(wǎng)安全 廣域網(wǎng)

論文摘要：隨著計算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的發(fā)展,局域網(wǎng)安全越來越受到人們的重視和關(guān)注。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，局域網(wǎng)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。

1.當(dāng)前局域網(wǎng)安全形勢

1.1 計算機(jī)網(wǎng)絡(luò)的定義

計算機(jī)網(wǎng)絡(luò),就是利用通信設(shè)備和線路將地理位置不同的、功能獨立的多個計算機(jī)系統(tǒng)互連起來,以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)實現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。[①]

計算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)兩部分構(gòu)成。通信子網(wǎng)是計算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分；資源子網(wǎng)是計算機(jī)網(wǎng)絡(luò)中面向用戶的部分，負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作。就局域網(wǎng)而言，通信子網(wǎng)由網(wǎng)卡、線纜、集線器、中繼器、網(wǎng)橋、路由器、交換機(jī)等設(shè)備和相關(guān)軟件組成。資源子網(wǎng)由連網(wǎng)的服務(wù)器、工作站、共享的打印機(jī)和其它設(shè)備及相關(guān)軟件所組成。

1.2 網(wǎng)絡(luò)安全定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。[②]

1.3 局域網(wǎng)安全

局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡(luò)硬件的維護(hù)、使用及管理等；邏輯安全是從軟件的角度提出的，主要指數(shù)據(jù)的保密性、完整性、可用性等。

1.3.1 來自互聯(lián)網(wǎng)的安全威脅

局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類型、開放的T C P 端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)，甚至使系統(tǒng)癱瘓。

1.3.2 來自局域網(wǎng)內(nèi)部的安全威脅

內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點，利用網(wǎng)絡(luò)開些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這些都將給網(wǎng)絡(luò)造成極大的安全威脅。

1.4 局域網(wǎng)當(dāng)前形勢及面臨的問題

隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計算機(jī)網(wǎng)絡(luò)?，F(xiàn)今，全球網(wǎng)民數(shù)量已接近7億，網(wǎng)絡(luò)已經(jīng)成為生活離不開的工具，經(jīng)濟(jì)、文化、軍事和社會活動都強烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會因素的各種影響，計算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實施攻擊和入侵，給計算機(jī)網(wǎng)絡(luò)造成極大的損害網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國共同關(guān)注的焦點。

根據(jù)中國互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計報告顯示：我國互聯(lián)網(wǎng)網(wǎng)站近百萬家，上網(wǎng)用戶1億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時，網(wǎng)絡(luò)安全風(fēng)險也無處不在，各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn)，計算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重，計算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢。面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)，安全防護(hù)能力不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高，行為不規(guī)范，網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。

面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢，如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個社會發(fā)展所要面臨和解決的重大課題。

2.常用局域網(wǎng)的攻擊方法

2.1 ARP欺騙

2.1.1 ARP協(xié)議

ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。

ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機(jī)A的IP地址IA——物理地址PA），請求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。

假如我們有兩個網(wǎng)段、三臺主機(jī)、兩個網(wǎng)關(guān)、分別是：

主機(jī)名 IP地址 MAC地址

網(wǎng)關(guān)1 192.168.1.1 01-01-01-01-01-01

主機(jī)A 192.168.1.2 02-02-02-02-02-02

主機(jī)B 192.168.1.3 03-03-03-03-03-03

網(wǎng)關(guān)2 10.1.1.1 04-04-04-04-04-04

主機(jī)C 10.1.1.2 05-05-05-05-05-05

假如主機(jī)A要與主機(jī)B通訊，它首先會通過網(wǎng)絡(luò)掩碼比對，確認(rèn)出主機(jī)B是否在自己同一網(wǎng)段內(nèi)，如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應(yīng)的MAC地址，如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，即目的MAC地址是全1的廣播詢問幀，0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2；如果B存在的話，必須作出應(yīng)答，回答―B的MAC地址是…‖的單播應(yīng)答幀，02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3；A收到應(yīng)答幀后，把―192.168.1.3 03-03-03-03-03-03 動態(tài)‖寫入ARP表。這樣的話主機(jī)A就得到了主機(jī)B的MAC地址，并且它會把這個對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了，直到通訊停止后兩分鐘，這個對應(yīng)關(guān)系才會被從表中刪除。

如果是非局域網(wǎng)內(nèi)部的通訊過程，假如主機(jī)A需要和主機(jī)C進(jìn)行通訊，它首先會通過比對掩碼發(fā)現(xiàn)這個主機(jī)C的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)，這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)1(192.168.1.1)對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)1通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)2，網(wǎng)關(guān)2收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)C（10.1.1.2）的，它就會檢查自己的ARP緩存（沒錯，網(wǎng)關(guān)一樣有自己的ARP緩存），看看里面是否有10.1.1.2對應(yīng)的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址將數(shù)據(jù)轉(zhuǎn)發(fā)給主機(jī)C。

2.1.2 ARP欺騙原理

在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應(yīng)的關(guān)系依靠ARP表，每臺主機(jī)（包括網(wǎng)關(guān)）都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍?，也就是說主機(jī)A與主機(jī)C之間的通訊只通過網(wǎng)關(guān)1和網(wǎng)關(guān)2，像主機(jī)B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實現(xiàn)機(jī)制中存在一個不完善的地方，當(dāng)主機(jī)收到一個ARP的應(yīng)答包后，它并不會去驗證自己是否發(fā)送過這個ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。

這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)C之間的數(shù)據(jù)通信成為可能。首先主機(jī)B向主機(jī)A發(fā)送一個ARP應(yīng)答包說192.168.1.1的MAC地址是03-03-03-03-03-03，主機(jī)A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03，同時主機(jī)B向網(wǎng)關(guān)1發(fā)送一個ARP響應(yīng)包說192.168.1.2的MAC是03-03-03-03-03-03，同樣網(wǎng)關(guān)1也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當(dāng)主機(jī)A想要與主機(jī)C通訊時，它直接把應(yīng)該發(fā)送給網(wǎng)關(guān)1(192.168.1.1)的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個MAC地址，也就是發(fā)給了主機(jī)B，主機(jī)B在收到這個包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)1，當(dāng)從主機(jī)C返回的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后，網(wǎng)關(guān)1也使用自己ARP表中的MAC，將發(fā)往192.168.1.2這個IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個MAC地址也就是主機(jī)B，主機(jī)B在收到這個包后再轉(zhuǎn)發(fā)給主機(jī)A完成一次完整的數(shù)據(jù)通訊，這樣就成功的實現(xiàn)了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。也就是說欺騙者必須同時對網(wǎng)關(guān)和主機(jī)進(jìn)行欺騙。

2.1.3 ARP病毒清除

感染病毒后，需要立即斷開網(wǎng)絡(luò)，以免影響其他電腦使用。重新啟動到DOS模式下，用殺毒軟件進(jìn)行全面殺毒。

臨時處理對策：

步驟

一、能上網(wǎng)情況下，輸入命令arp –a，查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄下來。如果已經(jīng)不能上網(wǎng)，則運行一次命令arp –d將arp緩存中的內(nèi)容刪空，計算機(jī)可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp –a。

步驟

二、如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計算機(jī)不再被攻擊影響。輸入命令：arp –s，網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC手工綁定在計算機(jī)關(guān)機(jī)重開機(jī)后就會失效，需要再綁定。可以把該命令放在autoexec.bat中，每次開機(jī)即自動運行。

2.2 網(wǎng)絡(luò)監(jiān)聽

2.2.1 網(wǎng)絡(luò)監(jiān)聽的定義

眾所周知，電話可以進(jìn)行監(jiān)聽，無線電通訊可以監(jiān)聽，而計算機(jī)網(wǎng)絡(luò)使用的數(shù)字信號在線路上傳輸時，同樣也可以監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽也叫嗅探器，其英文名是Sniffer，即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。[③]

網(wǎng)絡(luò)監(jiān)聽，在網(wǎng)絡(luò)安全上一直是一個比較敏感的話題，作為一種發(fā)展比較成熟的技術(shù)，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。

2.2.2 網(wǎng)絡(luò)監(jiān)聽的基本原理

局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的，局域網(wǎng)中的每臺主機(jī)都時刻在監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，主機(jī)中的網(wǎng)卡將監(jiān)聽到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進(jìn)行比較，如果兩者相同就接收該幀，否則就丟掉該幀。如果把對網(wǎng)卡進(jìn)行適當(dāng)?shù)脑O(shè)置和修改，將它設(shè)置為混雜模式，在這種狀態(tài)下它就能接收網(wǎng)絡(luò)中的每一個信息包。網(wǎng)絡(luò)監(jiān)聽就是依據(jù)這種原理來監(jiān)測網(wǎng)絡(luò)中流動的數(shù)據(jù)。

2.2.3 網(wǎng)絡(luò)監(jiān)聽的檢測

2.2.3.1 在本地計算機(jī)上進(jìn)行檢測

（1）檢查網(wǎng)卡是否處于混雜模式?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP 探測技術(shù)。也可以編寫一些程序來實現(xiàn)。在Linux 下，有現(xiàn)成的函數(shù)，比較容易實現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術(shù)。也可以編寫一些程序來實現(xiàn)。在Linux下，有現(xiàn)成的函數(shù)，比較容易實現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)。

（2）搜索法。在本地主機(jī)上搜索所有運行的進(jìn)程，就可以知道是否有人在進(jìn)行網(wǎng)絡(luò)監(jiān)聽。在Windows系統(tǒng)下，按下Ctrl+Alt+Del可以得到任務(wù)列表，查看是否有監(jiān)聽程序在運行。如果有不熟悉的進(jìn)程，或者通過跟另外一臺機(jī)器比較，看哪些進(jìn)程是有可能是監(jiān)聽進(jìn)程。

2.2.3.2 在其它計算機(jī)上進(jìn)行檢測

（1）觀察法。如果某臺電腦沒有監(jiān)聽的話，無論是信息的傳送還是電腦對信息的響應(yīng)時間等方面都是正常的，如果被監(jiān)聽的話，就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。

網(wǎng)絡(luò)通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網(wǎng)絡(luò)中有人在監(jiān)聽，就會攔截每個信息包，從而導(dǎo)致信息包丟包率提高。

網(wǎng)絡(luò)帶寬是否出現(xiàn)反常。如果某臺計算機(jī)長時間的占用了較大的帶寬，對外界的響應(yīng)很慢，這臺計算機(jī)就有可能被監(jiān)聽。

機(jī)器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包，而監(jiān)聽程序往往就會將這些包進(jìn)行處理，這樣就會導(dǎo)致機(jī)器性能下降，可以用icmp echo delay 來判斷和比較它。

（2）PING 法。這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡(luò)層的實現(xiàn)，是一種非常有效的測試方法。

ping法的原理：如果一個以太網(wǎng)的數(shù)據(jù)包的目的MAC 地址不屬于本機(jī)，該包會在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄，無法進(jìn)入TCP/IP 網(wǎng)絡(luò)層；進(jìn)入TCP/IP 網(wǎng)絡(luò)層的數(shù)據(jù)包，如果解析該包后，發(fā)現(xiàn)這是一個包含本機(jī)ICMP 回應(yīng)請示的TCP 包(PING 包)，則網(wǎng)絡(luò)層向該包的發(fā)送主機(jī)發(fā)送ICMP 回應(yīng)。

我們可以構(gòu)造一個PING 包，包含正確的IP 地址和錯誤的MAC 地址，其中IP 地址是可疑主機(jī)的IP地址，MAC 地址是偽造的，這樣如果可疑主機(jī)的網(wǎng)卡工作在正常模式，則該包將在可疑主機(jī)的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄，TCP/IP 網(wǎng)絡(luò)層接收不到數(shù)據(jù)因而也不會有什么反應(yīng)。如果可疑主機(jī)的網(wǎng)卡工作在混雜模式，它就能接收錯誤的MAC 地址，該非法包會被數(shù)據(jù)鏈路層接收而進(jìn)入上層的TCP/IP 網(wǎng)絡(luò)層，TCP/IP 網(wǎng)絡(luò)層將對這個非法的PING 包產(chǎn)生回應(yīng)，從而暴露其工作模式。

使用 PING 方法的具體步驟及結(jié)論如下：

① 假設(shè)可疑主機(jī)的IP 地址為192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，檢測者和可疑主機(jī)位于同一網(wǎng)段。

② 稍微修改可疑主機(jī)的MAC 地址，假設(shè)改成00-E0-4C-3A-4B-A4。

③ 向可疑主機(jī)發(fā)送一個PING 包，包含它的IP 和改動后的MAC 地址。

④ 沒有被監(jiān)聽的主機(jī)不能夠看到發(fā)送的數(shù)據(jù)包，因為正常的主機(jī)檢查這個數(shù)據(jù)包，比較數(shù)據(jù)包的MAC 地址與自己的MAC 地址不相符，則丟棄這個數(shù)據(jù)包，不產(chǎn)生回應(yīng)。

⑤ 如果看到回應(yīng)，說明數(shù)據(jù)包沒有被丟棄，也就是說，可疑主機(jī)被監(jiān)聽了。

（3）ARP 法。除了使用PING 進(jìn)行監(jiān)測外，還可以利用ARP 方式進(jìn)行監(jiān)測的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP 包，如果局域網(wǎng)內(nèi)的某個主機(jī)以自己的IP 地址響應(yīng)了這個ARP 請求，那么就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽模式了。

（4）響應(yīng)時間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機(jī)器，而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機(jī)器的響應(yīng)時間變化量會很小，而監(jiān)聽模式的機(jī)器的響應(yīng)時間變化量則通常會較大。

2.2.4 網(wǎng)絡(luò)監(jiān)聽的防范措施

為了防止網(wǎng)絡(luò)上的主機(jī)被監(jiān)聽，有多種技術(shù)手段，可以歸納為以下三類。

第一種是預(yù)防，監(jiān)聽行為要想發(fā)生，一個重要的前提條件就是網(wǎng)絡(luò)內(nèi)部的一臺有漏洞的主機(jī)被攻破，只有利用被攻破的主機(jī)，才能進(jìn)行監(jiān)聽，從而收集以網(wǎng)絡(luò)內(nèi)重要的數(shù)據(jù)。因此，要預(yù)防網(wǎng)絡(luò)中的主機(jī)被攻破。這就要求我們養(yǎng)成良好的使用計算機(jī)的習(xí)慣，不隨意下載和使用來歷不明的軟件，及時給計算機(jī)打上補丁程序，安裝防火墻等措施，涉及到國家安全的部門還應(yīng)該有防電輻射技術(shù)，干擾技術(shù)等等，防止數(shù)據(jù)被監(jiān)聽。

二是被動防御，主要是采取數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認(rèn)。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機(jī)。對在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術(shù)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一，但是它的缺點是速度問題。幾乎所有的加密技術(shù)都將導(dǎo)致網(wǎng)絡(luò)的延遲，加密技術(shù)越強，網(wǎng)絡(luò)速度就越慢。只有很重要的信息才采用加密技術(shù)進(jìn)行保護(hù)。

三是主動防御，主要是使用安全的拓?fù)浣Y(jié)構(gòu)和利用交換機(jī)劃分VLAN，這也是限制網(wǎng)絡(luò)監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設(shè)備的開支，實現(xiàn)起來要花費不少的錢。

3.無線局域網(wǎng)安全威脅

3.1 非授權(quán)訪問

無線網(wǎng)絡(luò)中每個AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個新的入口。所以，未授權(quán)實體可以從外部或內(nèi)部進(jìn)入網(wǎng)絡(luò)，瀏覽存放在網(wǎng)絡(luò)上的信息；另外，也可以利用該網(wǎng)絡(luò)作為攻擊第三方的出發(fā)點，對移動終端發(fā)動攻擊。而且，IEEE 802.11標(biāo)準(zhǔn)采用單向認(rèn)證機(jī)制，只要求STA向AP進(jìn)行認(rèn)證，不要求AP向STA進(jìn)行認(rèn)證。入侵者可以通過這種協(xié)議上的缺陷對AP進(jìn)行認(rèn)證進(jìn)行攻擊，向AP發(fā)送大量的認(rèn)證請求幀，從而導(dǎo)致AP拒絕服務(wù)。

3.2 敏感信息泄露

WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求，只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術(shù)捕獲無線網(wǎng)絡(luò)的數(shù)據(jù)包，對網(wǎng)絡(luò)通信進(jìn)行分析，從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。

3.3 WEB缺陷威脅

有線等效保密WEP是IEEE 802.11無線局域網(wǎng)標(biāo)準(zhǔn)的一部分，它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機(jī)密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡(luò)進(jìn)行竊聽。WEP在每一個數(shù)據(jù)包中使用完整性校驗字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC-32校驗。在WEP中明文通過和密鑰流進(jìn)行異或產(chǎn)生密文，為了加密，WEP要求所有無線網(wǎng)絡(luò)連接共享一個密鑰。實際上，網(wǎng)絡(luò)只使用一個或幾個密鑰，也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流，確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但I(xiàn)V在一個相當(dāng)短的時間內(nèi)重用，使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值, 假設(shè)網(wǎng)絡(luò)流量是11M, 傳輸2000字節(jié)的包，在7個小時左右, IV 就會重用。CRC-32不是一個很適合WEP的完整性校驗, 即使部分?jǐn)?shù)據(jù)以及CRC-32校驗碼同時被修改也無法校驗出來。

3.4 無線局域網(wǎng)的安全措施

3.4.1 阻止非法用戶的接入

（1）基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入

服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個字符。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個簡單的口令，從而提供口令認(rèn)證機(jī)制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。

（2）基于無線網(wǎng)卡物理地址過濾防止非法用戶接入

由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP 設(shè)置基于MAC 地址的Access Control（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

3.4.2 實行動態(tài)加密

動態(tài)加密技術(shù)是基于對稱加密和非對稱加密的結(jié)合，能有效地保證網(wǎng)絡(luò)傳輸?shù)陌踩?。動態(tài)加密著眼于無線網(wǎng)絡(luò)架構(gòu)中通信雙方本身，認(rèn)為每個通信方都應(yīng)承擔(dān)起會話中網(wǎng)絡(luò)信息傳輸?shù)陌踩?zé)任。會話建立階段，身份驗證的安全需要非對稱加密以及對PKI的改進(jìn)來防止非授權(quán)訪問，同時完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機(jī)制下靜態(tài)加密的若干缺陷，從而使通信雙方的每次―通信回合‖都有安全保證。在一個通信回合中，雙方將使用相同的對稱加密密鑰，是每個通信方經(jīng)過共同了解的信息計算而得到的，在通信回合之間，所使用的密鑰將實時改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。

3.4.3 數(shù)據(jù)的訪問控制

訪問控制的目標(biāo)是防止任何資源（如計算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實現(xiàn)。訪問控制也是一種安全機(jī)制，它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

4.計算機(jī)局域網(wǎng)病毒及防治

雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計算機(jī)病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給網(wǎng)絡(luò)工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機(jī)器的正常運行，影響了工作的正常開展。如何防范計算機(jī)病毒侵入計算機(jī)局域網(wǎng)和確保網(wǎng)絡(luò)的安全己成為當(dāng)前面臨的一個重要且緊迫的任務(wù)。

4.1 局域網(wǎng)病毒

局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計算機(jī)病毒表現(xiàn)出以下特點：傳播方式和途徑多樣化；病毒的欺騙性日益增強病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護(hù)能力；病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。局域網(wǎng)病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個網(wǎng)絡(luò)就有可能重新感染。

當(dāng)計算機(jī)感染上病毒出現(xiàn)異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔(dān)擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數(shù)量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷----對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強局域網(wǎng)病毒防護(hù)是保障網(wǎng)絡(luò)信息安全的關(guān)鍵。

4.2 計算機(jī)局域網(wǎng)病毒的防治措施

計算機(jī)局域網(wǎng)中最主要的軟硬件就是服務(wù)器和工作站，所以防治計算機(jī)網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個部分，另外要加強各級人員的管理教育及各項制度的督促落實。

（1）基于工作站的防治技術(shù)。局域網(wǎng)中的每個工作站就像是計算機(jī)網(wǎng)絡(luò)的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：

一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。

二、是在工作站上插防病毒卡，防病毒卡可以達(dá)到實時檢測的目的，但防病毒卡的升級不方便，從實際應(yīng)用的效果看，對工作站的運行速度有一定的影響。

三、是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護(hù)合二為一，可以更加實時有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段，應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。

（2）基于服務(wù)器的防治技術(shù)。服務(wù)器是網(wǎng)絡(luò)的核心，是網(wǎng)絡(luò)的支柱，服務(wù)器一旦被病毒感染，便無法啟動，整個網(wǎng)絡(luò)都將陷入癱瘓狀態(tài)，造成的損失是災(zāi)難性的。難以挽回和無法估量的，目前市場上基于服務(wù)器的病毒防治采用NLM方法，它以NLM模塊方式進(jìn)行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒的能力，從而保證服務(wù)器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。

（3）加強計算機(jī)網(wǎng)絡(luò)的管理。計算機(jī)局域網(wǎng)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運行。

一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度，對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲從事非法活動的集體和個人。

二、加強各級網(wǎng)絡(luò)管理人員的專業(yè)技能學(xué)習(xí)，提高工作能力，并能及時檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。匯報出現(xiàn)的新問題、新情況，做到及時發(fā)現(xiàn)問題解決問題，同時在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測的工作，把好網(wǎng)絡(luò)的第一道大門。

4.3 清除網(wǎng)絡(luò)病毒

一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應(yīng)盡快加以清除，以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個系統(tǒng)造成更大的損失，具體過程為:

（1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因為病毒會隨時發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。

（2）用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機(jī)工作站中含有的病毒。

（3）用干凈的系統(tǒng)盤啟動文件服務(wù)器，系統(tǒng)管理員登錄后，使用disable longin禁止其他用戶登錄。

（4）用防病毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件。

（5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。

（6）確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動網(wǎng)絡(luò)及各工作站。

5.局域網(wǎng)安全防范系統(tǒng)

5.1 防火墻系統(tǒng)

5.1.1 防火墻概述

防火墻是一種用來增強內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機(jī)構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

5.1.2 防火墻的體系結(jié)構(gòu)

5.1.2.1 雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。

5.1.2.2 被屏蔽主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖4所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。

這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機(jī)。因此堡壘主機(jī)要保持更高等級的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接（什么是“可允許連接”將由你的站點的特殊的安全策略決定）到外部世界。

在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：

(1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開放到Internet上的主機(jī)連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù)）；

(2)不允許來自內(nèi)部主機(jī)的所有連接（強迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。

5.1.2.3 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個―隔離帶‖。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。

5.1.3 防火墻的功能

5.1.3.1 數(shù)據(jù)包過濾技術(shù)

數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包實施有選擇的通過的技術(shù).選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則后,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個危險的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標(biāo)志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。

5.1.3.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的外部的、注冊的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址[ 7 ]。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪

問外部網(wǎng)絡(luò)時,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問7 ]。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。

5.1.3.3 代理技術(shù)

代理技術(shù)是在應(yīng)用層實現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時的中轉(zhuǎn)連接作用。

代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求,當(dāng)一個連接到來時,首先進(jìn)行身份驗證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時,代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。

另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點提出服務(wù)請求時,代理服務(wù)器首先對該用戶身份進(jìn)行驗證。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個服務(wù)過程中,應(yīng)用代理一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對每一個操作進(jìn)行記錄。若為不合法用語,則拒絕訪問。

5.1.3.4 全狀態(tài)檢測技術(shù)

全狀態(tài)檢測防火墻在包過濾的同時，檢測數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。它有一個檢測引擎，在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)是操作系統(tǒng)前，狀態(tài)監(jiān)測器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報警或給該通信加密處理動作。

5.2 入侵檢測系統(tǒng)

5.2.1 入侵檢測系統(tǒng)概述

入侵檢測是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)

5.2.2 入侵檢測原理

入侵檢測跟其他檢測技術(shù)有同樣的原理。從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。

入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。

第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。

5.2.3 局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法

根據(jù)CIDF規(guī)范，從功能上將IDS 劃分為四個基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。具體實現(xiàn)起來，一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺上實現(xiàn)，稱之為數(shù)據(jù)采集分析中心；將控制臺子系統(tǒng)在Windows NT或2000上實現(xiàn)，數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強大的數(shù)據(jù)庫如SQL等，多跟控制臺子系統(tǒng)結(jié)合在一起，稱之為控制管理中心。構(gòu)建一個基本的IDS,具體需考慮以下幾個方面的內(nèi)容。

首先，數(shù)據(jù)采集機(jī)制是實現(xiàn)IDS的基礎(chǔ)，數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實現(xiàn)審計數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設(shè)置為―混雜‖模式實現(xiàn)對某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。然后，需要構(gòu)建并配置探測器，實現(xiàn)數(shù)據(jù)采集功能。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺性能較高的機(jī)器；在服務(wù)器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。

其次，應(yīng)建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，它必須具備高度的―智慧‖和―判斷能力‖,所以，在設(shè)計此模塊之前，需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應(yīng)的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機(jī)器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報警消息，發(fā)送給控制管理中心。設(shè)計數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應(yīng)優(yōu)化檢測模型和算法的設(shè)計，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；報警消息要遵循特定的標(biāo)準(zhǔn)格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。

第三，需要構(gòu)建控制臺子系統(tǒng)?？刂婆_子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）?？刂婆_子系統(tǒng)的主要任務(wù)有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；根據(jù)安全策略進(jìn)行一系列的響應(yīng)動作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。控制臺子系統(tǒng)的設(shè)計重點是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。

第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。一個好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實時、豐富的警報信息，還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報信息和其他數(shù)據(jù)。

第五，完成綜合調(diào)試。以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。但要使這個IDS順利地運轉(zhuǎn)起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是綜合調(diào)試工作所要解決的問題，主要包括要實現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數(shù)據(jù)流進(jìn)行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡(luò)事件重建等。經(jīng)過綜合調(diào)試后，一個基本的IDS就構(gòu)建完成了，但是此時還不能放松警惕，因為在以后的應(yīng)用中要不斷地對它進(jìn)行維護(hù)，特別是其檢測能力的提高；同時還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網(wǎng)的安全能力。

6.局域網(wǎng)安全防范策略

一個網(wǎng)絡(luò)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。

6.1 劃分VLAN 防止網(wǎng)絡(luò)偵聽

運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應(yīng)用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

6.2 網(wǎng)絡(luò)分段

局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。所以網(wǎng)絡(luò)分段是保證局域網(wǎng)安全的一項重要措施。

6.3 以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。

6.4 實施IP/MAC 綁定

很多網(wǎng)關(guān)軟件實施流量過濾時都是基于IP或MAC地址，對控制普通用戶起到了很好的效果，但對于高級用戶就顯得無能為力了，因為不管是IP或是MAC地址都可以隨意修改。要實施基于IP或MAC地址過濾的訪問控制，就必須進(jìn)行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。首先通過交換機(jī)實施用戶與交換機(jī)端口的MAC綁定，再通過服務(wù)器網(wǎng)絡(luò)管理實施IP/MAC綁定，這樣用戶既不能改網(wǎng)卡的MAC地址，也不能改IP地址。通過IP/MAC綁定后，再實施流量過濾就顯得有效多了。

7.總結(jié)

網(wǎng)絡(luò)安全技術(shù)和病毒防護(hù)是一個涉及多方面的系統(tǒng)工程，在實際工作中既需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個單純的技術(shù)問題，它涉及整個網(wǎng)絡(luò)安全系統(tǒng)，包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅，不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范的技術(shù)是否被授權(quán)，從而阻止對信息資源的非法用戶使用網(wǎng)絡(luò)系統(tǒng)時所進(jìn)行的所有活動的水平，才能有力地保障網(wǎng)絡(luò)安全。

[①].高傳善，錢松榮.專注.數(shù)據(jù)通信與計算機(jī)網(wǎng)絡(luò)[M].高等教育出版社,2001:8-9

[②].鄧亞平.計算機(jī)網(wǎng)絡(luò)安全[M].人民郵電出版社, 2004:1-10.[③].李成大,張京.計算機(jī)信息安全[M].人民郵電出版社，2004:72-117

第四篇：局域網(wǎng)組網(wǎng)技術(shù)

《局域網(wǎng)組網(wǎng)技術(shù)》課程設(shè)計報告

0806601-09 徐庶

一、設(shè)計時間

2010年12月 27日-----12月31日

二、設(shè)計地點

湖南城市學(xué)院實驗樓計算機(jī)505機(jī)房

三、設(shè)計目的

通過此次課程設(shè)計，使學(xué)生全面復(fù)習(xí)和鞏固所學(xué)專業(yè)知識，綜合運用所學(xué)理論知識，進(jìn)行中小型網(wǎng)絡(luò)的整體方案設(shè)計、掌握關(guān)鍵技術(shù)的實施、局域網(wǎng)的故障診斷排除方法，鍛煉學(xué)生綜合運用所學(xué)理論知識解決實際問題的能力，加強實際動手能力培養(yǎng)，達(dá)到學(xué)以致用、理論與實際的統(tǒng)一。

四、設(shè)計小組成員

0806601班任浩、邢瑞浩、徐庶

五、指導(dǎo)老師

何建新老師、陽王東老師.六、設(shè)計課題

經(jīng)過小組大部分組員的討論,決定選取以下四個題目作為設(shè)計課題：

1、校園局域網(wǎng)組建，具體要求如下：

（1）以校園網(wǎng)絡(luò)中心為中心，建立一個覆蓋全校的校園網(wǎng)，為全校師生提供的www、DNS、DHCP、FTP網(wǎng)絡(luò)服務(wù)、以及Internet接入等服務(wù)，并要留有一定的擴(kuò)展余地。

（2）校園網(wǎng)絡(luò)中心和各系辦、校機(jī)關(guān)合在一起作為一個子網(wǎng)。（需要劃分子網(wǎng)或做VLAN）（3）網(wǎng)絡(luò)中心要建立4個服務(wù)器：www、DNS、DHCP、FTP服務(wù)器。

各單位的機(jī)房配置情況如下：校機(jī)關(guān)20臺PC機(jī)，網(wǎng)絡(luò)中心10臺PC機(jī)，各系部各50臺PC機(jī)。

2、按照EIA/TIA-568A/568B商業(yè)建筑物通信布線標(biāo)準(zhǔn)，制作雙絞線平行跳線1條、交叉跳線1條。利用UTP通斷測試儀，測量制作好的網(wǎng)線。搭建無線分布式系統(tǒng)模式無線網(wǎng)絡(luò)。

3、網(wǎng)絡(luò)服務(wù)器的配置：安裝虛擬機(jī)VMware Workstation，然后安裝windows server 2003/2000，配置www、DNS、DHCP、FTP網(wǎng)絡(luò)服務(wù)；

4、局域網(wǎng)的故障診斷排除：局域網(wǎng)硬件連接常見故障的診斷分析及排除方法，掌握常用網(wǎng)絡(luò)命令的使用：ping、ipconfig、arp、tracert、net、netstat、nslookup、ftp等。

七、基本思路及關(guān)鍵問題的解決方法；

1、見附件1

2、參考相應(yīng)的書籍和網(wǎng)絡(luò)資料，利用實驗室的器材，完成各類網(wǎng)線的制作。

3、①安裝虛擬機(jī)VMware Workstation；

②安裝windows server 2003/2000；

③在上述已經(jīng)安裝的操作系統(tǒng)上配置www、DNS、DHCP、FTP網(wǎng)絡(luò)服務(wù)（見附件2）；

4、利用自己的實驗計算機(jī)，參考實驗中提供的各類命令代碼，進(jìn)行實際的操作（見附件3）；

八、算法及流程圖（無）

九、設(shè)計過程中出現(xiàn)的問題及相應(yīng)解決辦法；

1、①對于網(wǎng)絡(luò)的知識的了解不夠全面，在設(shè)計局域網(wǎng)時舉步為艱。解決辦法：上網(wǎng)收集相關(guān)資料，全面了解局域網(wǎng)的配置信息； ②交換機(jī)的選擇較為困難，尤其是局域網(wǎng)的各項配置；

十、課程設(shè)計心得體會（見附件4）；

參考文獻(xiàn)

[1]謝希仁.計算機(jī)網(wǎng)絡(luò)[M].5版.北京：電子工業(yè)出版社，2008.[2]蔡皖東.計算機(jī)網(wǎng)絡(luò)[M].西安：西安電子科技大學(xué)出版社，2000.[3]劉遠(yuǎn)生.計算機(jī)網(wǎng)絡(luò)基礎(chǔ)與應(yīng)用[M].北京：電子工業(yè)出版社，2007.[4]Andrew S.Tanenhaum.計算機(jī)網(wǎng)絡(luò)[M].3版.熊桂喜，等譯，北京：清華大學(xué)出版社，1998.附件1：

某某大學(xué)校園網(wǎng)整體設(shè)計方案

1.網(wǎng)絡(luò)建設(shè)現(xiàn)狀

某某大學(xué)剛剛新建，需要建立自己的校園網(wǎng)絡(luò)，該學(xué)校有校機(jī)關(guān)、8個系（校機(jī)關(guān)在1號樓，8個系分別在2到9號樓），還有一個網(wǎng)絡(luò)中心位于10號樓，各單位距離網(wǎng)絡(luò)中心在1000米以內(nèi)。2.需求特點描述

該校已經(jīng)具備校園數(shù)字化教學(xué)與管理基本條件，現(xiàn)在需要構(gòu)建網(wǎng)絡(luò)基礎(chǔ)平臺和數(shù)字化學(xué)習(xí)的平臺以及網(wǎng)絡(luò)管理平臺。

網(wǎng)絡(luò)管理平臺一般包括：配置管理、安全管理、性能管理、故障管理、計費管理等內(nèi)容。由于財力狀況，目前主要側(cè)重網(wǎng)絡(luò)的安全管理和計費管理。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)用戶的增多，需要建構(gòu)一個統(tǒng)一、安全、可靠、方便的網(wǎng)絡(luò)管理平臺，除了安全管理和計費管理外，配置管理、性能管理和故障管理也是亟待解決的問題。

3.設(shè)計原則

。具體的實施原則如下：

3.1 良好的開放性和可擴(kuò)展性

校園網(wǎng)絡(luò)應(yīng)具有的開放性，這種開放性依靠標(biāo)準(zhǔn)化實現(xiàn)，使符合標(biāo)準(zhǔn)的計算機(jī)系統(tǒng)很容易進(jìn)行網(wǎng)絡(luò)的互連。因此在網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)體系結(jié)構(gòu)和通信協(xié)議應(yīng)選擇廣泛使用的國際標(biāo)準(zhǔn)，使得校園網(wǎng)成為一個完全開放式的網(wǎng)絡(luò)環(huán)境。

3.2 校園網(wǎng)軟件平臺的針對性

3.3 高度的安全性和可靠性

對于網(wǎng)絡(luò)系統(tǒng)，應(yīng)確保系統(tǒng)運行可靠，對關(guān)鍵部位提供容錯能力，同時建立完善的安全管理體系。

3.4 經(jīng)濟(jì)實用性

盲目地追求技術(shù)，會建成一個不穩(wěn)定、不成熟產(chǎn)品的實驗臺。單純高性能，只會帶來難以承受的高額投資。所以，網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)采用成熟、適用、實用、好用的技術(shù)，力爭以最小的投資得到最大的滿足。4.整體解決方案 4.1項目建設(shè)目標(biāo)

此大學(xué)校園網(wǎng)工程建設(shè)目標(biāo)是：采用100Mbps/1000Mbps光釬交換網(wǎng)絡(luò)實現(xiàn)校區(qū)內(nèi)部高速互聯(lián)，光纜連接全校80%樓宇（教學(xué)區(qū)、住宅區(qū)），增加信息點1600個。校區(qū)網(wǎng)絡(luò)互連采用10Mbps單模光釬接口，校區(qū)內(nèi)全面采用10/100/1000Mbps交換技術(shù)，將學(xué)校的各種PC機(jī)、服務(wù)器、終端設(shè)備和局域網(wǎng)連接起來，整合現(xiàn)有的網(wǎng)絡(luò)資源，改善與Internet/Cernet相連的網(wǎng)絡(luò)性能。構(gòu)建一個以計算機(jī)多層交換網(wǎng)絡(luò)為框架，以網(wǎng)絡(luò)基本應(yīng)用、計算機(jī)多媒體輔助教學(xué)、電子化圖書館、教學(xué)管理辦公自動化為平臺的校園網(wǎng)，并逐步形成數(shù)字化校園網(wǎng)絡(luò)。4.2主干網(wǎng)設(shè)計

校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺，平均無故障時間以及故障恢復(fù)時間，要保持在一個可容忍的許可 范圍之內(nèi)。在這種前提下，主干設(shè)備應(yīng)有一定的冗余度，這種冗余度不單只是設(shè)備級的，也應(yīng)該考慮物理線路，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯能力。

該主干網(wǎng)在方案上有二個重點：主干網(wǎng)技術(shù)策略；主干交換機(jī)的基本要求。

主干網(wǎng)技術(shù)的基本要求可概括為：千兆傳輸距離550m以內(nèi)采用50/125多模光纜；千兆傳輸距離大于550m、小于5000m采用9/125單模光纜；百兆傳輸距離2000m以內(nèi)采用50/125多模光纜；百兆傳輸距離大于2000m采用9/125單模光纜。

主干交換機(jī)的基本要求可概括為：機(jī)箱式結(jié)構(gòu)，便于擴(kuò)展；支持多種網(wǎng)絡(luò)方式，如快速以太網(wǎng)、千兆以太網(wǎng)等；高性能，高背板帶寬及中心交換吞吐量；支持第二/三層交換，支持各種IP應(yīng)用；高可靠性設(shè)計，如多電源/管理模塊、熱插拔；豐富的可管理能力等。

整個主干網(wǎng)以校園網(wǎng)絡(luò)中心的主機(jī)房（主配線間1），向外輻射。通過各部門、單位等多個建主樓節(jié)點構(gòu)成主干網(wǎng)。中心節(jié)點機(jī)房配置銳捷S4900高檔交換機(jī)可作為主干網(wǎng)的核心交換機(jī)。為實現(xiàn)網(wǎng)絡(luò)動態(tài)管理和虛擬局域網(wǎng)，在中心節(jié)點交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊?？紤]到教務(wù)處（設(shè)置在辦公樓）、現(xiàn)代教育技術(shù)中心（設(shè)置在4號教學(xué)樓）也是校園網(wǎng)的信息資源分中心，可采用銳捷S2024M（配置M2040三層交換引擎）交換機(jī)與校園網(wǎng)雙中心的銳捷S4900連接，以實現(xiàn)主干通道信息傳輸?shù)呢?fù)載均衡。教學(xué)樓、辦公樓、科學(xué)樓采用堆疊式交換機(jī)S2024M和S2024，以保證建筑樓信息點對交換機(jī)端口密度的要求和網(wǎng)絡(luò)性能與可靠性的要求。成人教育學(xué)院、研究生公寓、教工住宅樓采用S2800模塊下連其他樓宇（網(wǎng)絡(luò)接入層）。主干各節(jié)點（核心層交換機(jī)和匯聚層交換機(jī)）采用1000Mbps（單模1000BASE-LX、多模1000BASE-SX）連接，服務(wù)器采用雙網(wǎng)卡鏈路聚合200Mbps連接或1000Mbps(1000BASE-TX)連接。如圖1所示。

4.3網(wǎng)絡(luò)中心設(shè)計

網(wǎng)絡(luò)中心是校園網(wǎng)的信息資源中心和通信樞紐中心，其網(wǎng)絡(luò)體系結(jié)構(gòu)的建構(gòu)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的安全、可靠、高效的運行。因此，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要嚴(yán)格按照內(nèi)外網(wǎng)隔離的模式設(shè)計。非軍事區(qū)（DMZ）包括交換機(jī)、學(xué)校WWW服務(wù)器、E-Mail服務(wù)器、防火墻、路由器、Internet專線連接設(shè)施；內(nèi)網(wǎng)包括用戶管理和計費系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺、網(wǎng)絡(luò)OA系統(tǒng)，核心交換機(jī)，遠(yuǎn)程訪問服務(wù)器，防火墻和帶寬增益服務(wù)器等設(shè)施。路由器采用銳捷STAR-R2614通過2M DDN專線與CERNET相連。防火墻采用實達(dá)-龍馬WLM Firewall 2.0A型，帶寬增益服務(wù)器采用Star-CS2001高速緩存服務(wù)器，遠(yuǎn)程訪問服務(wù)器采用銳捷STAR-R2614路由器，配置M2608A-8口異步串口模塊。

附件2：

一、WWW服務(wù)器的配置：

二、DNS服務(wù)器配置

三、FTP服務(wù)器配置

四、DHCP服務(wù)器配置

附件3：

附件4：

實驗心得

本學(xué)期我們信管專業(yè)開設(shè)了《計算機(jī)網(wǎng)絡(luò)基礎(chǔ)與應(yīng)用》這門課程，許多同學(xué)都覺得這門課程很難。作為一個文科生，我個人也覺得相當(dāng)吃力。

在學(xué)期的末尾，老師安排我們進(jìn)行課程設(shè)計。通過本次計算機(jī)網(wǎng)絡(luò)課程設(shè)計，在自己動手實踐的過程中，我漸漸加深了對于課本知識的理解，以前不懂的地方，也慢慢變得豁然開朗起來。

“紙上學(xué)來終覺淺，絕知此事要躬行”，在課程設(shè)計的過程中。不僅讓我對計算機(jī)網(wǎng)絡(luò)的基本組成、部件的設(shè)計、部件間的連接、網(wǎng)絡(luò)的設(shè)計也讓我覺得自己的動手能力有了很大的提高;自信心也增強了,在課程設(shè)計中自己動腦子解決遇到的問題，書本上的知識有了用武之地，這鞏固和深化了自己的知識結(jié)構(gòu)。起初第一次講解時,由于對計算機(jī)總體結(jié)構(gòu)不怎么熟悉、沒認(rèn)真預(yù)習(xí)、思考不夠認(rèn)真、對書本的知識不夠扎實以及前幾次實驗都忘得差不多了,所以不知道從哪里開始著手,直到那天課結(jié)束也是一臉的茫然,不知道這次課程設(shè)計到底在做什么,整體上沒有一點把握,心想這次課程設(shè)計肯定慘了。但在第二次講解前,我對以前做過的實驗重新看了一遍,在設(shè)計時隨著老師的一次次詳細(xì)的講解及同學(xué)的不斷討論,通過自己不斷思考,我漸漸的才對這次課程設(shè)計有了初步了解,此時感覺自己對這次課程設(shè)計認(rèn)識有了質(zhì)的提高, 自己的思路也慢慢清晰,自信心也增強了。

通過visio軟件虛擬實現(xiàn)規(guī)劃校園網(wǎng)絡(luò)，畫出整個園區(qū)網(wǎng)絡(luò)的拓?fù)鋱D。并分別進(jìn)行IP地址的規(guī)劃。這幾天的課程設(shè)計令我受益匪淺，很多平時模棱兩可的知識點都認(rèn)真復(fù)習(xí)并實踐了。我對校園網(wǎng)絡(luò)規(guī)劃提升了認(rèn)識，我意識到我們所學(xué)的東西將來都是要付諸實踐的，所以一切要從實際情況出發(fā)，理論聯(lián)系實際，這樣才能真正發(fā)揮我們所具備的能力。比如劃分IP時，不僅看現(xiàn)存多少主機(jī)數(shù)，還要看到以后的發(fā)展，未來可能增加的主機(jī)數(shù)，這樣才能保證我們的工作成果不至于提前失效。當(dāng)然，這就是從實際情況出發(fā)了。

經(jīng)過這次課程設(shè)計的洗禮,我相信，只要自己在每一次實踐中都能仔細(xì)思考，課程設(shè)計其實都不會很難,關(guān)鍵在于自己能不能認(rèn)真思考,能不能親自動手做實驗，而不是想著其他人的勞動果實,其次你還要多操作,只有多操作才能從中發(fā)現(xiàn)問題,才能及時向老師和同學(xué)請教,解決問題,從而更好的掌握書本中知識。還有通過這次實踐也讓我懂得了:學(xué)校安排課程設(shè)計目的不在于你做了多少,不在于你做得好不好,關(guān)鍵在于你能否認(rèn)真去對待,在于你能否通過這次設(shè)計對課本上知識有了更深刻的認(rèn)識,在于能否從中學(xué)到書本上學(xué)不到的知識。在以后的學(xué)習(xí)生涯中，我一定會更加認(rèn)真地對待每一次課程設(shè)計。

第五篇：局域網(wǎng)技術(shù)教學(xué)大綱

《局域網(wǎng)技術(shù)》課程教學(xué)大綱

【課程基本情況】

一、課程代碼：060084

二、課程類別及性質(zhì)：專業(yè)必修課

三、課程學(xué)時學(xué)分：90學(xué)時（教學(xué)：54 實踐：36）4學(xué) 分

四、教學(xué)對象：信息管理專業(yè)本科二年級學(xué)生

五、課程教材：《局域網(wǎng)技術(shù)與組網(wǎng)工程》、蘇英如等、清華大學(xué)出版社

六、開設(shè)系（部）：信息科學(xué)與技術(shù)系

七、先修課：網(wǎng)絡(luò)原理,操作系統(tǒng)

【教學(xué)目的】

本課程大綱適應(yīng)計算機(jī)專業(yè)本科學(xué)生?！毒钟蚓W(wǎng)技術(shù)與組網(wǎng)工程》是計算機(jī)專業(yè)的一門重要的專業(yè)課，本課程著重從實用的角度講述局域網(wǎng)組網(wǎng)的基本原理、技術(shù)方法，對于培養(yǎng)學(xué)生的軟件素質(zhì)，提高學(xué)生的網(wǎng)絡(luò)應(yīng)用能力具有重要的意義。

課程的主要內(nèi)容有：介紹局域網(wǎng)基礎(chǔ)、局域網(wǎng)設(shè)備、網(wǎng)絡(luò)設(shè)備配置、路由器配置、交換機(jī)配置、無線局域網(wǎng)配置、局域網(wǎng)布線、服務(wù)器應(yīng)用、防火墻配置等理論及實踐知識。通過實驗課程的強化，要求學(xué)生應(yīng)具備根據(jù)具體的網(wǎng)絡(luò)需求完成局域網(wǎng)設(shè)計、實施的能力。

【教學(xué)內(nèi)容、基本要求及學(xué)時分配】

第一章 局域網(wǎng)基礎(chǔ) 教學(xué)時數(shù)：2學(xué)時 第一節(jié) 局域網(wǎng)的基本概念

第二節(jié) 局域網(wǎng)標(biāo)準(zhǔn) 基本要求：理解局域網(wǎng)的基本概念，并且熟悉局域網(wǎng)通信原理及技術(shù)標(biāo)準(zhǔn)；難點：CSMA/CD帶沖突的載波偵聽多路訪問；

第二章 局域網(wǎng)設(shè)備 教學(xué)時數(shù)：4學(xué)時 第一節(jié) 網(wǎng)卡

第二節(jié) 傳輸介質(zhì) 第三節(jié) 集線器

基本要求：熟悉網(wǎng)卡、傳輸介質(zhì)、集線器； 難點：沖突及沖突域 第四節(jié) 第二層交換機(jī)

第三節(jié) 第三層設(shè)備

基本要求：掌握交換機(jī)及路由器的工作原理、分類以及虛擬局域網(wǎng)； 難點：廣播級廣播域，虛擬局域網(wǎng)

第三章 網(wǎng)絡(luò)設(shè)備配置基礎(chǔ) 教學(xué)時數(shù)：4學(xué)時 第一節(jié) 管理端口 第二節(jié) 管理方式

第三節(jié) IOS與CLI 基本要求：掌握網(wǎng)絡(luò)設(shè)備的端口模式及CLI命令代碼； 難點：命令模式與對應(yīng)的代碼解析

第四節(jié) 文件備份與恢復(fù) 第五節(jié) 口令恢復(fù)

第六節(jié) CDP 基本要求：掌握文本備份及恢復(fù)方法；難點：文件備份與恢復(fù)

第四章 路由器配置 教學(xué)時數(shù)：6學(xué)時 第一節(jié) 直連、靜態(tài)和默認(rèn)路由 第二節(jié) 動態(tài)路由

第三節(jié) 度量與管理距離

基本要求：掌握路由原理及靜態(tài)路由方式，動態(tài)路由方式，度量的計算機(jī)管理；難點：動態(tài)路由及路由向量的管理；

第四節(jié) OSPF應(yīng)用舉例

第五節(jié) OSPF常用調(diào)試命令 第六節(jié) ACL 第七節(jié) NAT 第八節(jié) 粗略路由

基本要求：OSPF路由配置及調(diào)試方法，ACL訪問控制方法,NAT轉(zhuǎn)換，熟悉路由；難點：OSPF路由配置、ACL、NAT配置。

第五章 交換機(jī)配置 教學(xué)時數(shù)：8學(xué)時 第一節(jié) 交換機(jī)的基本配置

第二節(jié) VLAN 基本要求：熟練掌握交換機(jī)的基本配置和交換機(jī)端口的劃分，VLAN設(shè)置、VLAN中繼通信；難點：VLAN劃分及中繼鏈路；

第三節(jié) STP生成樹協(xié)議

第四節(jié) 在第三層交換機(jī)上配置DHCP服務(wù)

第五節(jié) 在第三層交換機(jī)上將IP地址與MAC地址綁定

基本要求：掌握生成樹協(xié)議的原理及配置，掌握DHCP、IP地址綁定的配置方法；難點：STP生成樹的工作原理。

第六章 無線局域網(wǎng)的配置 教學(xué)時數(shù)：4學(xué)時+自學(xué) 第一節(jié) 基本概念與標(biāo)準(zhǔn)

第二節(jié) AP應(yīng)用舉例

基本要求：掌握無線網(wǎng)絡(luò)AP的基本配置及負(fù)載均衡，難點：負(fù)載均衡； 第三節(jié) 安全

基本要求：了解無線網(wǎng)絡(luò)的基本安全驗證方式及方法。

第七章 局域網(wǎng)布線 教學(xué)時數(shù)：4學(xué)時 第一節(jié) 綜合布線概述 第二節(jié) 綜合布線的體系

第三節(jié) 綜合布線的體系結(jié)構(gòu)

基本要求：熟悉綜合布線的體系與基本體系結(jié)構(gòu)；難點：具體化布線； 第四節(jié) 局域網(wǎng)布線工程的設(shè)計 第五節(jié) 局域網(wǎng)布線工程的施工

第六節(jié) 布線工程的驗收

基本要求：掌握基局域網(wǎng)布線工程設(shè)計的基本方法及步驟；熟悉布線施工及驗證方法； 第八章 服務(wù)器基礎(chǔ) 教學(xué)時數(shù)：4學(xué)時+自學(xué) 第一節(jié) 服務(wù)器概述 第二節(jié) 服務(wù)器的分類 第三節(jié) 服務(wù)器的主要特性 第四節(jié) 服務(wù)器硬件簡介

第五節(jié) 服務(wù)器系統(tǒng)的主要技術(shù)

基本要求：熟悉常見服務(wù)器的基本類型、特性及主要技術(shù)； 第九章 Windows Server2003組網(wǎng)技術(shù) 教學(xué)時數(shù)：8學(xué)時 第一節(jié) Windows server2003簡介 第二節(jié) 活動目錄

第三節(jié) 組織單位

基本概念：熟悉windows server2003的基本配置方法；重點：活動目錄的使用； 第四節(jié) 用戶賬號

第五節(jié) 組的概念和建立

第六節(jié) 網(wǎng)絡(luò)安全和本地安全

基本要求：掌握組的應(yīng)用，熟悉網(wǎng)絡(luò)安全和本地安全； 難點：組在用戶集群中的管理及安全控制；

第七節(jié) 用戶配置文件與主文件夾 第八節(jié) 組策略 第九節(jié) 存儲管理

第十節(jié) 打印服務(wù)器

基本要求：熟悉用戶配置文件及主文件，熟練使用基本的組策略配置，掌握存儲管理和打印服務(wù)器配置； 難點：組策略和打印服務(wù)器配置；

第十章 常用服務(wù)器配置 教學(xué)時數(shù)：4學(xué)時+自學(xué) 第一節(jié) DNS服務(wù)

第二節(jié) WWW服務(wù) 第三節(jié) FTP服務(wù)

基本要求：掌握DNS、WWW、FTP服務(wù)器的配置。

第十一章 防火墻配置 教學(xué)時數(shù)：6學(xué)時 第一節(jié) 基本概念與命令

第二節(jié) 應(yīng)用舉例 基本要求：熟悉防火墻基本概念，掌握防火墻的基本應(yīng)用和配置；難點：具體應(yīng)用配置； 第三節(jié) 抵御網(wǎng)絡(luò)攻擊

第四節(jié) 綜合舉例 基本要求：掌握使用防火墻在局域網(wǎng)網(wǎng)絡(luò)防護(hù)中的作用，并且能根據(jù)實際設(shè)計出合理的網(wǎng)絡(luò)安全模型；

【教學(xué)方法】

多媒體教學(xué)+實驗課實踐+實驗考核+課堂分組討論

【考核方式】

上機(jī)考試

【主要參考書目】

1、《局域網(wǎng)技術(shù)與局域網(wǎng)組網(wǎng)》（第二版）斯桃枝人民郵電出版社 2《多層網(wǎng)絡(luò)設(shè)計標(biāo)準(zhǔn)教程》（第二版）曾勍偉 北京理工大學(xué)出版社

【后注】

執(zhí)筆人：陳斌 審核人：

批準(zhǔn)人：

日期：2015年8月22日

日期：20 年 月

日期：20 年 月