無線局域網(wǎng)(WLAN)是新興網(wǎng)絡(luò)技術(shù)中的重要分支之一��,它把人們從網(wǎng)線的制約中解脫出來�,提高了信息交換和工作的效率�,并且特別適合于固定網(wǎng)線很難滿足要求的場合。
常用的無線局域網(wǎng)設(shè)備有無線網(wǎng)卡���、無線訪問接入點(AP)�����、無線Hub和無線網(wǎng)橋����。
無線網(wǎng)卡主要包括NIC(網(wǎng)卡)單元����、擴(kuò)頻通信機(jī)和天線三個功能模塊。NIC單元屬于數(shù)據(jù)鏈路層�,由它負(fù)責(zé)建立主機(jī)與物理層之間的連接;擴(kuò)頻通信機(jī)與物理層建立了對應(yīng)關(guān)系�,它通過天線實現(xiàn)無線電信號的接收與發(fā)射。
無線訪問接入點(AP)是典型的WLAN設(shè)備���。一個AP通常能夠在幾十至上百米的范圍內(nèi)連接多個無線用戶���。在同時具有有線和無線網(wǎng)絡(luò)的情況下,AP可以通過標(biāo)準(zhǔn)的以太網(wǎng)電纜(如UTP)與傳統(tǒng)的有線網(wǎng)絡(luò)相連���,作為無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點�����。
無線Hub既是無線工作站之間相互通信的橋梁和紐帶��,同時又是無線工作站進(jìn)入有線以太網(wǎng)的訪問點��。
無線網(wǎng)橋主要用于無線或有線局域網(wǎng)之間的互連����。當(dāng)兩個局域網(wǎng)無法實現(xiàn)有線連接或使用有線連接存在困難時,可使用無線網(wǎng)橋?qū)崿F(xiàn)點對點的連接���,在這里無線網(wǎng)橋起到了網(wǎng)絡(luò)路由選擇和協(xié)議轉(zhuǎn)換的作用�。
WLAN技術(shù)的難點在于對接入設(shè)備進(jìn)行安全控制����。在我公司承建的項目中,通常綜合使用以下技術(shù)手段來提高WLAN網(wǎng)絡(luò)的安全性:
控制訪問設(shè)備的合法性:從MAC地址訪問控制�、SSID的設(shè)置、合理選擇接入點位置和禁用DHCP四個方面加以考慮�����,對訪問設(shè)備進(jìn)行安全控制��。
控制無線信號泄露:WLAN的覆蓋范圍是三維的����,這意味著可能會有一些事先沒有預(yù)料到的區(qū)域進(jìn)入接入點的覆蓋范圍。在施工中����,我們對無線信號進(jìn)行測量�����,確定接入點的放置位置,使得合法用戶范圍內(nèi)信號強(qiáng)度較強(qiáng)����,合法用戶范圍之外信號強(qiáng)度較弱。
啟用無線加密協(xié)議:主要使用的無線加密協(xié)議有有線對等保密(WEP)�����,可擴(kuò)展身份驗證協(xié)議(EAP)等�����。
建立VPN網(wǎng)絡(luò):通過在WLAN上啟用VPN相關(guān)協(xié)議��,實現(xiàn)端到端的安全性�,從而保護(hù)企業(yè)或機(jī)構(gòu)的WLAN業(yè)務(wù)應(yīng)用。
其他手段:其他手段包括使用訪問控制列表(ACL)���、啟用RADIUS認(rèn)證服務(wù)進(jìn)行集中化認(rèn)證、與其他網(wǎng)絡(luò)安全設(shè)備(如IDS��、IPS�����、防火墻設(shè)備等)進(jìn)行緊密集成等�。
WLAN案例:某部級國家機(jī)關(guān)辦公大樓無線局域網(wǎng)
本次網(wǎng)絡(luò)升級改造項目分為內(nèi)網(wǎng)和外網(wǎng)兩部分�����,其中內(nèi)網(wǎng)部分全部使用有線網(wǎng)絡(luò)��;外網(wǎng)部分為提高網(wǎng)絡(luò)接入的靈活性�,大量使用了無線AP。
本項目內(nèi)網(wǎng)以太網(wǎng)交換機(jī)全部選擇華為3COM公司核心以太網(wǎng)交換機(jī)Quidway S8512���,在提供雙主控系統(tǒng)之后仍然可以12個業(yè)務(wù)槽位��。外網(wǎng)的核心設(shè)備是Quidway S8512���,外網(wǎng)用戶均通過外網(wǎng)原有的一臺路由器接入Internet網(wǎng)絡(luò)。接入層全部是Quidway S6506R���,內(nèi)外網(wǎng)接入層設(shè)備與核心層設(shè)備均采用雙千兆鏈路連接��,兩臺核心設(shè)備均啟用VRRP(路由器冗余備份協(xié)議)實現(xiàn)對接入層設(shè)備的上行網(wǎng)關(guān)備份����。
對于外網(wǎng)接入點(AP)全部采用華為-3COM的3CRWX275075A,并用3CRWX440095A對AP進(jìn)行統(tǒng)一管理。本項目外網(wǎng)安裝了200多個AP接入點���。
為了保證WLAN網(wǎng)絡(luò)及有線網(wǎng)絡(luò)的安全��,外網(wǎng)分別采用華為先進(jìn)的認(rèn)證系統(tǒng)CAMS認(rèn)證系統(tǒng)來完成用戶的安全認(rèn)證訪問。由于本次網(wǎng)絡(luò)設(shè)備全部采用中高端設(shè)備��,所以完全支持802.1X認(rèn)證協(xié)議�����,這樣就和CAMS能夠達(dá)到完美配合��,從而實現(xiàn)用戶端的安全認(rèn)證訪問��。為了實現(xiàn)對內(nèi)外網(wǎng)的管理�����,分別采用華為的Quidview 3.0網(wǎng)管系統(tǒng)網(wǎng)管系統(tǒng)對新建的內(nèi)外網(wǎng)進(jìn)行管理�����。
外網(wǎng)網(wǎng)絡(luò)拓?fù)淙鐖D所示。
