由于现在的IP资源十分紧张,故可以通过无线路由器提供的DHCP功能为办公室中的用户分配内部地址,在访问控制器AC端设立NAT服务,以实现地址的转换。
表2 IP分配范围
楼层 1楼客户端 2楼客户端 3楼客户端 4楼客户端 5楼客户端 IP地址范围 192.168.11.0~192.168.11.255 192.168.12.0~192.168.12.255 192.168.13.0~192.168.13.255 192.168.14.0~192.168.14.255 192.168.15.0~192.168.15.255 5.4 设备清单
表3 设备清单
序产品名称 号 H3C 1 2 3 4 5
单价/型号 元 企业级路由器 RT-MSR3020-AC-H3 核心交换机 汇聚交换机 接入点 电缆 H3C LS-3600-28P-SI CISCO WAP4410N TL-WA801N 安普超五类双绞线屏蔽 ¥4900 ¥1100 ¥270 ¥620 1台 5台 6台 5箱 ¥7580 1台 数量 总价/元 7580 4900 5500 1620 3100 第六章 总体安装实施
6.1 AP的安装
第13页 共19页
(1)先在墙上打4个直径为5mm左右的孔,间距为120×275mm的长方形四个顶角。
(2)将安装导管置入孔内,并使安装导管外沿与墙面齐平。 (3)将壁挂用螺钉固定在墙壁或天花板上。
(4)AP上有3个指示灯,POWER代表电源连接的状态;ACT表示无线通讯的状态,无线通信接收信号时闪烁;LINK表示10BASE-T通道的状态。由于AP将定期发被称为BEACON(一种无线电信号)的数据,因此即使不进行通信,ACT灯也会闪烁。如果3个指示灯都显示正常工作,AP安装完成。
第七章 无线网络安全
7.1 无线网络威胁
无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,这包括:
(1)插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
(2)漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如 Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
(3)欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,
第14页 共19页
其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
(4)双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
(5)窃取网络资源:有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
(6)对无线通信的劫持和监视:正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。
7.2无线网络保安措施
防范非法用户这主要通过认证技术及加密技术来保证。通过802.1x认证、MAC地址认证、Portal认证等多种认证方式,保证无线用户身份的安全性,结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性。
第15页 共19页
另外,通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改,实现精细的用户权限控制,从而大大增强了无线网络的可用度,网管人员可以轻松地对不同级别的人进行接入权限分配。
(1)防范ARP攻击。企业内部普遍存在ARP 攻击手段,通过伪造IP地址和M无线交换机地址实现ARP欺骗,产生大量的ARP通信量使网络阻塞或者实现中间人攻击,严重的可以使网络不可用,危害企业应用。为了防止攻击者通过ARP报文实施“中间人”攻击,要求无线控制器具有ARP入侵检测功能,即通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文。从而有效防御ARP欺骗。
(2)防范网络带宽滥用。这并不是直接的安全问题,但是会防碍企业内部正常网络应用。需要一些智能管理手段来解决这样的问题。WLAN网络中,同一个无线AP下会同时接入多个无线终端,如果部分终端应用BT等下载应用,将占用所有的无线端口带宽,导致其它终端不能正常工作。
(3)停止使用WPA / TKIP 。TKIP不是一个加密标准,802.11n工作小组认为足够安全的。 802.11n标准是向后兼容的,但你使用它必将受到他的惩罚。 尽管你可能有802.11n功能的AP和客户端,如果您使用的是WPA / TKIP,你将不会看到802.11n标准的全部好处。因为任何SSID和它关联的客户机使用的是WPA / TKIP都将扼杀54Mbps的服务。
为了避免上述问题,需要网络支持智能带宽限速,可以限制终端使用为固定带宽,也可以限制所有终端平均分享限定带宽,从而有效解决带宽占用的问题。另外,为了避免无线网络中部分AP过载,部分AP闲置而影响网络使用,需要通过负载均衡来实现。智能负载分担方法可以动态地确定在当前时刻和当
第16页 共19页
前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。
第八章 结论
在国内无线网络技术虽然已经得到广泛的应用,但随着人们对信息化要求的不断提高和无线网络本身的缺点,无线网络最终完全要融入到我们的生活中来.无线网络虽然具有传统网络无法比拟的优越性,但从实际来看无线网络并不能完全取代有线网络,而两者因地制宜的结合使用却能使整个网络的性能、品质最优。现在这种混合组网的方式已出现在国内外的一些高校和企业中,相信不久的将来它将成为局域网的主要组网形式.
第17页 共19页
参考文献
[1] 你震亚.现代计算机网络教程.北京.电子工业出版社,1999:68 [2] 张振川.无线局域网技术与协议.辽宁.东北大学出版社,2003:148 [3] 沈芳阳,李振坤,黄永泰.无线局域网安全机制探讨.工业大学学报,2004:69-73
[4] 张立峰.IEEE 802.11n高速无线技术标准研究,2009(5):41-44 [3] 仝菁,朱强.WLAN的安全问题与解决方案.微型电脑应用,2008:43-45 [5] 张佳星.无线局域网安全测试技术与研究.太原理工大学硕士学位论文,2007
[6] 孙瑶琴.无线网络的构建及校园网中的应用.信息科学浙江,2009:57-58
第18页 共19页