无线网络毕业设计论文.doc

上传人:仙人指路1688 文档编号:4025377 上传时间:2023-04-01 格式:DOC 页数:24 大小:813KB
返回 下载 相关 举报
无线网络毕业设计论文.doc_第1页
第1页 / 共24页
无线网络毕业设计论文.doc_第2页
第2页 / 共24页
无线网络毕业设计论文.doc_第3页
第3页 / 共24页
无线网络毕业设计论文.doc_第4页
第4页 / 共24页
无线网络毕业设计论文.doc_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《无线网络毕业设计论文.doc》由会员分享,可在线阅读,更多相关《无线网络毕业设计论文.doc(24页珍藏版)》请在三一办公上搜索。

1、安徽交通职业技术学院毕业设计说明书无线校园网的构建系 (部) 城市轨道与信息工程系 专 业 轨道车辆 班 级 11车辆班 姓 名 袁 涛 学 号 201131976 指导教师 周玲 2012 2013 学年第 2 学期目录第一章 无线网络简介11.1无线网络的定义11.2 无线网络的发展11.3 校园无线网络实施方案2第二章 项目概述与分析32.1、设计原则32.2.1 校园内上网需求分析32.2.2 校园内设备的具体分析以及选型5第三章 进行网络设备的配置及网络拓扑图83.1 对设备按照需求进行配置83.1.1 Vlan的划分83.1.2 VTP的配置93.1.3 ACL的配置103.1.4

2、 NAT配置103.1.5 静态路由配置113.2 网络拓扑图12第四章 网络安全164.1 第一代无线LAN的安全性164.2 SSID164.3 WEP164.4 身份验证174.5 硬件被窃174.6 所需要的安全方案174.7 虚假访问点174.8 其它隐患184.9 解决安全性时所遇到的隐患184.10 完整的安全解决方案18第五章 总结 致谢19参考文献20中文摘要校园无线网络构建方案自1999年IEEE802.11b标准得到批准后,无线局域网的应用变得越来越普遍。本文将介绍如何在校园环境中组建无线网络,以及如何实现用户权限分级管理的问题,并对实现无线网络几种安全标准进行了比较。

3、无线接入可以迅速、方便地部署到任何环境中。如果在校园中应用,那么在每次需求发生变化时,可以为教室和实验室重新布线节省所需要的时间和成本。我们可以用一种安全、经济的方式将网络连接拓展到整个校园,使学生、教师和管理人员无论在室内还是室外都可以接入网络,创建移动的无线教室。传统有线网络面临的问题随着校园网络规模不断扩大,网络应用不断增加,网络已经成为老师和学生获得信息的主要手段之一,校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户,越来越多的校园网络应用开始部署,网络变得前所未有的重要,细心观察不难发现传统有线网络容易出现以下问题: (1)校内公共网络设施有限,而且使用频繁,人们为了上网

4、不得不在这些地点之间奔波;(2)计算机设备较多,其中,笔记本数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;(3)有的教室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且学生上课时的位置不是很固定,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便;(4)高校通常会有几个在地理分布上并不集中的分校区,用有线光缆连接校园网工程复杂、成本极高。 而使用无线网络,无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。关键词:无线 覆盖 扩展第一章 无线网

5、络简介 1.1无线网络的定义无线网络,也就是利用无线电波而非线缆来实现与计算机设备位置无关的网络数据传送的系统,是现代数据通信系统发展的一大方向。目前,无线网络发展迅速,无线技术也越来越先进和完善。无线网络已经在众多领域得到很好的发挥和运用,包括制造、医疗、教育、企业等都有无线网络很好的案例存在。目前,无线网络标准按照通讯距离的不同分为WAN、WLAN、PAN。比较主流的无线技术有蓝牙、3G、HomeRF、WI-FI、WIMAX、GPRS、CDMA、UWB等。其中WI-FI运用最为广泛,其运用主要在WLAN/MESH领域。无线网络推动了数据通信进入了新的里程碑,让办公、工作、学习不再受“线”制

6、。方便实现了移动办公,组建临时工作组,召开紧急会议等不在需要复杂的布线拆线,无线覆盖区域直接可以通过无线进行通信。校园环境等,可以让师生在任何环境,可以在广场、在草坪、在体育场地等任意位置连接上Internet。随着无线网络在各个领域的成功案例及人们对它的关注程度,无线网络定是未来通信的发展方向,也定能在各领域中得到很好的应用。 本论文需要提供的是无线校园网络的方案,所用到的就是WI-FI(WLAN)技术。后面我们将着重介绍一下无线局域网技术。1.2 无线网络的发展无线局域网(wirelessLAN)¬¬1是一种灵活的数据传输系统,它是从有线网络系统(WireNetworkSy

7、stem)自然延伸出来的一种新技术,使用无线射频(RF)技术越空收发数据,减少使用电缆连接,因此无线网络系统既可达到建设计算机网络系统的目的,又可让设备自由安排和搬动。在很多环境,例如校园或者企业内,无线网络一般会作为己存在的有线网络的最终连接方式的一个补充,帮助一些计算机客户端通过无线手段访问建筑物以外或者远在校园内某处的丰富资源。电子与电气工程(InstituteofEleetriealandEleetroniesEngineers,IEEE)1在1997年制定了802.11这个无线网络的原始规范来作为无线局域网的国际标准。随后,IEEE又公布了802.llb和802.lla标准,分别定义

8、了11M和最高可达54M的一些基本信令规范和服务规范。对于无线网络而言,最大的影响因素就在于网络的吞吐率。认识到网络吞吐率的问题,802.11协议开始转向支持高传输率,新的802.llb协议(也称为802.11HighRate标准)被制定,支持的传输率达到了11MbPs,这个协议的出现获得了全球供货商联盟的支持,从而孕育出了一个包括大企业、小办公室、和家庭环境 。针对后面我们做的设计方案,我们对主体楼栋的每层的无线覆盖都是通过AP加天线实现的。一般AP的支持最大的使用用户是80个,在20-30个用户使用的时候最佳。一般空旷场地AP的覆盖范围可达到100m,一般在室内可以穿透2堵墙信号良好,覆盖

9、范围在50m左右。通过增加天线可以增加发射功率,每增加3dBi可以增加一倍的发射功率。1.3 校园无线网络实施方案对于无线局域网来说,一方面要考虑无线网络的覆盖问题,另一方面也要考虑无线网络安全对网络管理提出的挑战。校园局域网一般具有较大的规模,不是无线产品的简单组合,而是一种整体的校园网络系统。考虑到日后扩展的需要,校园无线局域网系统应尽量保证高吞吐量、安全的移动性以及与有线网络的无缝结合。无线网络的容量需求:为满足无线网络的容量需求,校园无线网络在网络规划时首先需要考虑AP(无线接入点)蜂窝直径内的用户数量与应用内容。用户数量和应用内容是推动带宽需求增长的主要因素。由无线网络的特点决定,用

10、户对带宽的需求越高,要求信号质量越好,从而减小了无线信号的覆盖范围,要计算网络的容量,首先需要确定在覆盖区域和这个区域中的客户机数量,从而计算出这个区域提供服务所需的总带宽,然后在保证网络带宽的前提下,计算提供足够的覆盖所需要的AP数量。无线网络的覆盖范围:一般情况下AP的通信范围室内被限定在50100米左右、室外被限定在100600米左右。无线局域网用户往往被束缚于局部空间内,一旦超越信号覆盖范围,那么就会失去与网络的连接,无法继续进行通信。 针对这种状况,采用多AP微蜂窝无线覆盖可以得到很好的解决。实施微蜂窝覆盖,首先要建立包含多个访问点的无线网络,将要提供服务的范围划分为若干个基本服务区

11、,每个区域由一个访问点以及与其关联的无线客户端构成。无线客户端与访问点关联采用AP的基本服务区标示符(BSSID),内部设备都使用同一个频道通信,相邻蜂窝选择不同的频道。每个接入点分别与有线网络相连,从而形成以有线网络为主干的多接入点的无线网络,这样可以有效地扩大无线网络覆盖面积,达到在较大活动空间无线漫游的目的。 与移动电话的蜂窝系统十分类似,系统允许一个用户在不同的接入点覆盖区域内任意漫游,随着位置的变换,无线客户端会扫描附近的接入点,并根据信号的强弱和包错误率来自动选择一个接入点进行连接,一旦找到新的接入点,无线客户端就向其发送重新关联请求。如果能够收到重新关联响应,信号会由一个AP自动

12、切换到另外一个AP,整个切换过程对用户是完全透明的,而且在切换的过程中网络不会发生中断第二章 项目概述与分析2.1、设计原则校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建设必须有明确的建设目标。校园网的总体设计原则是:1. 开放性:采用开放性的网络体系,以方便网络的升级、扩展和互联;

13、同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;2. 可扩充性:从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的可扩充性;3. 可管理性:利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;使日常的维护和操作变得直观,便捷和高效;4. 安全性:内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ELAN、防火墙等对访问进行控制,确保网络的安全;5. 投资保护:选用性能价格比高的网络设备和服务器;采用的网络架构和设备充分考虑到易升级换代,并且在升级时可以最大限度地保护

14、原有的硬件设备和软件投资;6. 易用性:应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。7. 标准性:应择符合国际标准的产品,包括各类网络协议标准、操作系统标准、数据库标准及各种应用软件的开发平台标准。8 良好的价格性价比:考虑各类产品的性能价格比,对关键性的产品应以性能的先进性为主要考虑因素,以提高系统的整体水平,对非关键性产品则以实用性为主2.2.1 校园内上网需求分析为实现学校的教育现代化及开展初步的网络化教育,为学生和教师提供终生教育奠定基础,本着循序渐进,逐步发展的思想,本校开始筹备校园无线网络的构建。根据我校的实际情况分析,无线网络设计应满足以下

15、几点需求:l 由一个主干网和多个子网组成校园局域网(Intranet)。l 主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。l 主干为千兆线路,其它线路为超五类双绞线。l INTERNET服务器选用专业服务器产品,均存放在网络中心机房,网管工作站使用专业的工作站来进行管理。l 各应用平台的建设均可接入骨干网,构成子网应用平台。l 设FTP服务器,可让所有的机房都访问。l 所有机房必须统一管理。风雨操场2栋男生宿舍女生宿舍信息楼食堂教学楼北门口图书馆南门口6栋男生宿舍八角楼 交通学院无线网络布置图2-22.2.2 校园内设备的具体分析以及选型要组建校园无线网 首先根据校

16、园的具体建筑物和概貌在以下的每个地方架设无线发射点:宿舍楼、教学楼、实训工厂、足球场、食堂、操场、大礼堂、超市。1. (宿舍楼)校园中有5幢学生宿舍楼,下面以学生宿舍楼为例: 一幢宿舍楼分为6层,在每层楼上放置2个无线接入点,覆盖范围为一层楼,在室内的对于台式机用户,可以采用有线接入方式,再接入交换机。这样一幢楼需要12个无线接接入点。每幢宿舍楼都是按照这样进行布置,在宿舍楼 还有很多用的是台式机买无线接收器和无线网卡不便宜 采用有线接入,一幢宿舍楼放一个接入层交换机,每层放一个桌面化不可管理的交换机。共需要12*2*5=120个无限AP 桌面化交换机:6*2*5=60 接入层交换机:5个设备

17、选择: 无线AP室内:TWL54A 距离为100米 170元 室外:WA1008 600米 320元共需:120*170=20400元桌面化交换机:SOHO交换机 240元 共需:60*240=14400元接入层交换机:TEG1024 1788 共需:1788*5=8940元宿舍楼价格估计: 20400+14400+8940=43740元2. (教学楼)校园中有4幢教学楼,其中在每幢楼之间还存在着很大空间的间隙还有个喷泉广场,怎么样才能实现在教学楼之间进行全方位的覆盖,提出以下方案:首先在室外:按照2号楼和3号楼之间的直径距离,选其一半距离为覆盖距离,在3号楼和2号楼之间使用同等距离的圆弧形覆

18、盖,在楼顶上装一个近距离的发射塔;同理,在1号楼和4号楼之间同样装置,这样可以满足在中心喷泉广场的上网需求,需要4个发射塔。其次在室内也就是教室:为了满足广大师生上网学习的需求,在每层楼上装2个AP,这样4幢教学楼一共需要(2*6*2*4=96)个AP。最后在每幢教学楼中将无限AP和发射塔接入接入层交换机,再接入主干线进行通讯!需要4个接入交换机。为了减轻核心交换的压力 在1号和2号、3号和4号教学楼架设2台汇聚交换 在2号楼有一个三层交换机、防火墙和路由器 设备选择:三层交换机采用 h3c LS-S5600-50C 64260防火墙采用 天融信 NGFW4000(TC-4324) 11800

19、0元路由器采用 思科2801 8978元接入交换机设备:TEG1024 1788 汇聚交换机 S5024P 3300 教学楼交换机价格估计:4*1788=7152元 2*3300=6600 总共需要:13752元无线AP 采用室内标准TWL54A 距离为100米 170元 无线AP价格估计:96*170=16320元 发射塔:4个 还未确定整个教学楼价格估计:13572+16320+64260+118000+8978=221310元(除发射塔外)3.(实训工厂)实训工厂和系实训大楼都是连在一起,为了保证在实训工厂的范围内实现上网和资源共享,在汽车系实训大楼顶放一个中等距离的发射塔进行覆盖,在每

20、个实训车间装一个无限AP即可,实训大楼共5层楼,每层楼放2个,还需要1个接入层交换机。共需要(2*5*2=20)个无限AP。实训工厂共6个 放6个无线AP 一共需要26个无线AP 无线AP都是室内的 设备选择:无线AP 采用TWL54A 距离为100米 170元 接入层交换机:TEG1024 1788价格估计:26*170+1788=6208元4.(足球场)足球场因为临近实训工厂,同时实训工厂上架设了无限发射塔,所以在拐角处放一个无限AP即可。在此使用室外无线AP 采用 设备选择: WA1008 600米 320元价格估计:1*320=320元5.(食堂)食堂在和教学楼、宿舍楼、实训工厂之间存

21、在相当大的空隙,现在学生笔记本的逐渐增多,为了实现用户能在校园内任何一个地方能够上网,采用在食堂顶架设一个远距离的无限发射塔和无线路由器,为了增加吞吐量 采用2个无线路由器。将无线路由器接入接入层交换机。设备选择:接入层交换机:TEG1024 1788无线路由器 TD-W89841N增强型 599*2=1198元发射塔:1个 价格规格还为确定价格估计:1788+1198=2986元6.(操场)操场是个环形操场,还有一个篮球场采用在对角处架设两个无限AP。 在学校南门西边有一个没有开垦的荒地 在拐角处假设一个无线AP 都采用室外无线AP设备选择:WA1008 600米 320元 价格估计:3*3

22、20=960元7.(大礼堂)在大礼堂内,在开会的时候需要接网的,可又不方便有线接入,采用无限接入方法,在大礼堂顶角放4个无限AP。均采用室内无线AP 价格估计:4*170=680元8.(超市)超市,为了使超市和我校后勤部门进行联系,在超市防一个无限AP即可。室内无线AP 设备选择:TWL54A 距离为100米 170元 价格估计 170元第三章 进行网络设备的配置及网络拓扑图3.1 对设备按照需求进行配置3.1.1 Vlan的划分 一个学校有很多部分构成 根据学习的专业性质不同 分为 机械工程系、电气工程系、数控工程系、信息工程系、汽车工程系、人文管理系、基础教学部、体育教学部,学校有领导 通

23、过领导来管理和下达国家教育厅对大学生的教育;在领导层有教务处、学生处等部门;每个学校都有自己的卫生室所谓的校医院;为了使每个部门内部可以互相不混乱的进行通讯,根据每个部门划分,在整个校园网中是以部门为单位的,这样就简便了很多;同时无线校园网是覆盖整个校园的,所以在校园的任何一个角落都要能上网,除了一些教学地方以外,在一些操场、空地之类的地方都要能上网,为使校园网络不混乱,将空地、超市、以及大礼堂地理上距离近的作为一个部门来与网络连接;详细请见下表格3-1所示:Switch#vlan database Switch(vlan)#vlan 2VLAN 2 added: Name: VLAN0002

24、Switch(vlan)#vlan 3VLAN 3 added: Name: VLAN0003Switch#vlan database Switch(vlan)#vlan 17VLAN 17 added: Name: VLAN0017Switch(vlan)#vlan 18VLAN 18 added: Name: VLAN0018VLAN划分表格:表3-1部门Vlan地址信息工程系 2Vlan2192.168.1.0机械工程系 1Vlan3192.168.2.0汽车工程系 3Vlan4192.168.3.0物流管理系 2Vlan5192.168.4.0土木系 3Vlan6192.168.5.0

25、人文管理系 4Vlan7192.168.6.0基础教学部 4Vlan8192.168.7.0体育教学部 5Vlan9192.168.8.0后勤集团 6Vlan10192.168.9.0学生宿舍 6Vlan11192.168.10.0实训工厂 3Vlan12192.168.11.0足球场 3Vlan13192.168.12.0操场 空地 5Vlan14192.168.13.0学生处 1Vlan15192.168.14.0教务处 4Vlan16192.168.15.0大礼堂 超市 6Vlan17192.168.16.0校医院 6Vlan18192.168.17.03.1.2 VTP的配置在校园网络

26、中,随着用户的不断增加,信息不能达到更新,同时在网络中心不能给予控制,对于整个网络而言是一件很麻烦的事情,在交换机的配置上就要想到信息更新这一点,在接入层交换机上多了一个部门,而三层交换机却没有显示;或者在三层交换机上对部门进行了改动,而接入层交换机上没有相应的改变,则三层交换机上则无法控制网络,有可能使网络瘫痪,所以VTP配置是相当有必要的。VTP配置如表格3-2和表格3-3所示表3-2在接入层交换机上配置Switch(vlan)#vtp domain 123Changing VTP domain name from NULL to 123Switch(vlan)#vtp password

27、wangluoSwitch(vlan)#vtp client 表3-3在三层交换机上配置Switch(vlan)#vtp domain 123Switch(vlan)#vtp password wangluoSetting device VLAN database password to wangluoSwitch(vlan)#vtp server使用VTP在三层和接入层交换机中VLAN的划分可以随时达到更新3.1.3 ACL的配置1.外部网络均可访问学校WEB服务器2.内部网络均可访问学校的内部服务器,均可访问外网。3.各部门之间能进行互相访问配置:如表3-4所示:表3-4Router(co

28、nfig)#access-list 101 deny tcp any host 192.168.2.2 eq 80Router(config)#access-list 101 permit ip any anyRouter(config)#int fa0/1Router(config-if)#ip access-group 101 outRouter(config)#access-list 102 deny tcp any host 210.31.10.2 eq 23Router(config)#access-list 102 permit ip any anyRouter(config)#i

29、nt s0/0Router(config-if)#ip access-group 102 out3.1.4 NAT配置随着网络的日益扩大,将要面临着IP地址的缺乏,可网络用户不会减少反而大幅度的增加,对于这样一个问题,在一些单位乃至于学校都要用到一个NAT地址转换技术,这是针对地址缺乏而用的。在学校内部有很多学生要上网,老师办公要上网,只要使用内部网络地址即可,可在外部网络里面使用的都是公网地址,这里只需要将内部网络地址转换为公网地址就可以上网。怎么配置转换呢?这里使用了其中一种方法,端口复用来实现地址转换,配置如表格3-5所示:表3-5NAT配置:(采用端口复用)Router(config-

30、if)#exitRouter(config)#int f0/0Router(config-if)#ip nat inside Router(config-if)#int s0/0Router(config-if)#ip nat outside Router(config-if)#exitRouter(config)#access-list 2 permit anyRouter(config)#ip nat insRouter(config)#ip nat inside souRouter(config)#ip nat inside source list 2 interface s0/0 ov

31、erload Router(config)#ip route 0.0.0.0 0.0.0.0 210.31.10.23.1.5 静态路由配置做NAT地址转换的时候 在内网以默认路由方式将内部网络的全部数据包发送到外网外部网络要做回路由进行通信。具体配置如表3-6所示:表3-6Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.18.1Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.18.1Router(config)#ip route 192.168.3.0 25

32、5.255.255.0 192.168. 18.1Router(config)#ip route 192.168.4.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.5.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.6.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.7.0 255.255.255.0 192.168. 18.1Router(config)#ip route

33、 192.168.8.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.9.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.10.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.11.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.12.0 255.255.255.0 192.168. 18.1Route

34、r(config)#ip route 192.168.13.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.14.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.15.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.16.0 255.255.255.0 192.168. 18.1Router(config)#ip route 192.168.17.0 255.255.255.

35、0 192.168. 18.1Router(config)#ip route 192.168.18.0 255.255.255.0 192.168. 18.1其是192.168.1.0是管理IP默认路由:Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.23.2 网络拓扑图网络拓扑图是整个校园网的架构,可以很清晰的看到一个校园网的具体分布,下面就给你具体的介绍一下:整个学校的网络拓扑图如图3-1所示,平面图如图3-2所示:图3-1图3-2下面给你介绍一下学校内部的一些场所的拓扑图:在学校大礼堂是学校领导会议的地方,在礼堂内部的网络拓扑图如图3-

36、3所示,平面图如3-4所示:图3-3大礼堂的无线网布置图3-4教学楼是学习集中的地方,教学楼的网络拓扑图如图3-5所示:图3-5宿舍楼是学生生活的地方,整个校园网的学生宿舍楼的网络拓扑图如图3-6所示:图3-6下面是学生宿舍楼的立体图 如图3-7所示:图3-7第四章 网络安全4.1 第一代无线LAN的安全性 IEEE 802.11b标准定义了两种机理来提供无线LAN的访问控制和保密:服务配置标识符(SSID)和有线等效保密(WEP)。还有一种加密的机制是通过透明运行在无线LAN上的虚拟专网(VPN)来进行的。因为VPN的使用独立于任何本地无线LAN安全方案,所以本文不涉及它的讨论。 4.2 S

37、SID 无线LAN中经常用到的一个特性是称为SSID的命名编号,它提供低级别上的访问控制。SSID通常是无线LAN子系统中设备的网络名称;它用于在本地分割子系统。SSID做为编号来允许/拒绝访问是危险的,因为SSID的安全性并不好。把无线客户机连接到有线网络的设备称为访问点,它通常在自己的信标中广播SSID。 4.3 WEP IEEE802.11b标准规定了一种称为有线等效保密(或称为WEP)的可选加密方案,提供了确保无线LAN数据流的机制。WEP利用一个对称的方案,在数据的加密和解密过程中使用相同的密钥和算法。WEP的目标包括: 访问控制:防止没有正确WEP密钥的非授权用户获得网络的访问权。

38、 保密:通过只允许有正确WEP密钥的用户来对无线LAN的数据流进行加密和解密,从而达到保密的目的 尽管WEP是可选的,但WECA要求Wi-Fi认证的产品要支持WEP的40位密钥,因此WECA成员都支持WEP。有的厂家利用软件实现加密和解密过程的大量计算,也有的厂家,如Cisco,利用硬件加速器来保证数据流加密和解密过程中的性能损失最小。 IEEE 802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中,无线子系统中所有的工作站(包括客户机和访问点)共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后,它可以安全地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于

39、它们越是广泛地进行分配,也就越有可能暴露。在第二种方案中,每个客户机建立和其它工作站密钥映射关系。这种方案工作起来更为安全,因为拥有密钥的工作站更少。但是当工作站的数量不断增加时,分配这样一个独一无二的密钥会变得很困难。 4.4 身份验证 一个客户机在进行身份验证之前不能接入到无线LAN中。IEEE 802.11b标准定义了两种身份验证的方法:开放和共享密钥。身份验证必须在每台客户机上进行设置,并且这些设置应该能够与想和客户机通信的所有访问点相匹配。 开放式身份验证为缺省的方法,整个验证过程以明码电文的方式完成,客户机即使没有提供正确的WEP密钥也能和访问点进行通信。在共享密钥的方法中,访问点

40、发送给客户机一个询问文本信息包,客户机必须使用正确的WEP密钥对它进行编码,并且把它返回访问点。如果客户机提供的密钥错误或者根本没有提供密钥,说明身份验证失败,它将不会被允许和访问点进行通信。 一些无线LAN厂商支持基于客户机物理地址,或者说基于介质访问控制(MAC)地址的身份验证方法。只有当客户机的MAC地址与访问点所使用的验证表中的地址相匹配时,访问点才允许客户机与它进行通信。 4.5 硬件被窃静态地指定WEP密钥给一台客户机是很常见的方法,密钥或者存储在客户机的磁盘存储器中,或者存储在客户机的无线LAN适配器的内存中。当这些步骤完成后,客户机处理器就拥有了客户机的MAC地址和WEP密钥,

41、并且可以利用这些单元获得对无线LAN的访问权了。如果多个用户共用一台客户机,这些用户将有效地共享MAC地址和WEP密钥。 当客户机丢失或被盗时,该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权,而非正常用户则有了这些权限。此时管理员要想检测网络的安全性是否被破坏是不可能的;原有的机主应该及时通知网络管理员。当网络管理员接到通知后,必须改变安全方案,使MAC地址和WEP密钥在访问无线LAN和对传送的数据进行解密时变得无效。同时,网络管理员还必须对与丢失或被盗的客户机密钥相同的其它客户机的静态密钥全部进行重新编码。客户机的数目越多,对WEP密钥进行重新编程的工作量也就越大。 4.6 所

42、需要的安全方案 无线LAN身份验证基于设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用 使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥 4.7 虚假访问点 802.11b共享密钥验证使用单向,非相互的身份验证方法。访问点可以验证用户的身份,但是用户并不能验证访问点的身份。如果一个虚假访问点放置到无线LAN中,它可以通过劫持合法用户客户机来成为发动拒绝服务攻击的平台。 因此在客户机和验证服务器之间需要一个相互验证方法,双方都应在一个合理的时间证明它们的合法性。因为客户机和验证服务器通过访问点进行通信,访问点必须支持双向的身份验证方法

43、。双向的身份验证使检测和隔离虚假访问点成为可能。 4.8 其它隐患 标准的WEP支持每个信息包加密功能,但是并不支持对每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,从而能够发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。 通过监视802.11b控制和数据通道,黑客可以得到如下信息: 客户机和访问点MAC地址 内部主机的MAC地址 进行通信/断开通信的时间 黑客可能使用这些信息来进行长期的流量测量和分析,从而获悉用户和设备的详细信息。为预防此类黑客活动,站点应使用每次会话WEP密钥。 4.9 解决安全性时所遇到的隐患 总的来说,为了确保本部分所提到的安全性,无线LAN

44、安全方案应做到: 无线LAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用 支持客户机和验证(RADIUS)服务器之间的双向身份验证 使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥 支持基于会话的WEP密钥 第一代无线LAN安全性能依赖于访问控制和保密的静态WEP密钥,它并不能解决以上这些需求。 4.10 完整的安全解决方案 我们所需要的无线LAN安全解决方案,应该利用基于标准的和开放的结构,充分利用802.11b安全部件,提供最高级别的可用安全性,实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容,这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面: 可扩展身份验证协议(EAP),是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务(RADIUS)的扩展 IEEE 802.11X,用于控制端口通信的推荐标准 在使用安全解决方案时,在用户进行网络登录之前,与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后,客户机和RADIUS服务器(或其它验证服务器)通过用户所提供的用户名和口令进行双向的身份验证,对被验证

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 其他范文


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号