局域网的体系结构_局域网体系结构
局域网的体系结构由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“局域网体系结构”。
商丘工学院毕业论文(设计)
摘要 在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。无线局域网(Wirele local-area network,WLAN)是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。通俗地讲,无线局域网就是在不采用网线的情况下,提供以太网互联功能。
无线局域网是随着无线通信技术的快速发展而出现的一种新型网络。本文介绍了无线局域网的体系结构、发展现状、技术难点,以及搭建“莞工”无线局域网的需求分析和设备支持等。
广阔的应用前景、广泛的市场需求以及技术上的可实现性,促进了无线局域网技术的完善和产业化,已经商用化的802.11b网络也正在证实这一点。随着802.11a网络的商用和其他无线局域网技术的不断发展,无线局域网将迎来发展的黄金时期。关键字:无线局域网、通信、局域网标准、802.11b、现状及前景
目录
概要.......................................................错误!未定义书签。第一章 无线局域网的发展历史.................................................3 1.1 wi-fi(无线局域网)的发展................................................3 第二章.需求分析...........................................错误!未定义书签。
2.1 局域网设计背景......................................错误!未定义书签。2.2 局域网的功能需求....................................错误!未定义书签。第三章.详细设计...........................................错误!未定义书签。
3.1 设计方案描述........................................错误!未定义书签。3.2 宿舍网络拓扑图......................................错误!未定义书签。
3.2.1 整体网络拓扑图.................................错误!未定义书签。3.2.2 楼层内网络拓扑图...............................错误!未定义书签。3.2.3 宿舍内网络拓扑结构图...........................错误!未定义书签。3.3 IP地址分配..........................................错误!未定义书签。3.4 设备选择............................................错误!未定义书签。
I
商丘工学院毕业论文(设计)
3.4.1 路由器选择.....................................错误!未定义书签。3.4.2 服务器的选择...................................错误!未定义书签。3.4.3 交换机的选择...................................错误!未定义书签。3.4.4 线路的选择.....................................错误!未定义书签。3.5设备配置............................................错误!未定义书签。
3.5.1 配置单.........................................错误!未定义书签。3.5.2 路由器配置.....................................错误!未定义书签。3.5.3 CAMS的配置...................................错误!未定义书签。3.5.4 DHCP的安装与配置.............................错误!未定义书签。3.5.5 DNS服务器安装与配置...........................错误!未定义书签。3.6 Internet接入.........................................错误!未定义书签。第四章 无线局域网的组网实现................................错误!未定义书签。
4.1 组建家庭无线局域网..................................错误!未定义书签。
4.1.1 选择组网方式...................................错误!未定义书签。4.1.2 硬件安装.......................................错误!未定义书签。4.1.3 设置网络环境...................................错误!未定义书签。4.2 组建办公无线局域网..................................错误!未定义书签。
4.2.1 组建前的准备...................................错误!未定义书签。4.2.2 安装网络设备...................................错误!未定义书签。4.2.3 设置网络环境...................................错误!未定义书签。
第五章.参考文献...........................................错误!未定义书签。
II
商丘工学院毕业论文(设计)
第一章 无线局域网的发展历史
无线网络的初步应用,可以追溯到五十年前的第二次世界大战期间,当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技,并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感,在1971年时,夏威夷大学(University of Hawaii)的研究员创造了第一个基于封包式技术的无线电通讯网络,这被称作ALOHNET的网络,可以算是相当早期的无线局域网络(WLAN)。这最早的WLAN包括了7台计算机,它们采用双向星型拓扑(bi-directional star topology),横跨四座夏威夷的岛屿,中心计算机放置在瓦胡岛(Oahu Island)上。从这时开始,无线网络可说是正式诞生了。虽然目前几乎所有的局域网络(LAN)都仍旧是有线的架构,不过近年来无线网络的应用却日渐增加,主要应用在学术界(像是大学校园)、医疗界、制造业和仓储业等,而且相关的技术也一直在进步,对企业而言要转换到无线网络也更加容易、更加便宜了。
1.1 wi-fi(无线局域网)的发展
广义而言,无线局域网络可归类为光束,高频无线电波两大种。经光作为传输媒介的无线网络时,两个端点必须在可以互相看得到的一直线,也就是所谓的 LOS,中间若有阻隔则通讯就会停摆,相信拥有笔记本电脑的读者大多都能了解,毕竟IRDA红外线传输已大量内建于商用笔记本电脑及PDA等,有鉴于光束 难以穿透大多障碍物,无线网络的应用开始朝着高频无线电波的方向走,包括窄带微波。由于源自军事应用的展频通讯具备高可靠性,高保密性而且不易受到干扰的 特性。现在已蔚为主流。而wi-fi展频技术主要又分为直接序列展频DSSS,跳频展频两类。
1999年 802.11a定义了一个在5GHz ISM频段上的数据传输速率可达54Mbit/s的物理层,802.11b定义了一个在2.4GHz的ISM频段上但数据传输速率高达11Mbit/s的 物理层。2.4GHz的ISM频段为世界上绝大多数国家通用,因此802.11b得到了最为广泛的应用。苹果公司把自己开发的802.11标准起名
商丘工学院毕业论文(设计)
叫 AirPort。1999年工业界成立了Wi-Fi联盟,致力解决符合802.11标准的产品的生产和设备兼容性问题。802.11标准和补充。802.11,1997年,原始标准(2Mbit/s 工作在2.4GHz)。802.11a,1999年,物理层补充(54Mbit/s工作在5GHz)。802.11b,1999年,物理层补充(11Mbit/s工作在2.4GHz)。
802.11c,符合802.1D的媒体接入控制层(MAC)桥接(MAC Layer Bridging)。802.11d,根据各国无线电规定做的调整。
802.11e,对服务等级(Quality of Service, QS)的支持。802.11f,基站的互连性(Interoperability)。802.11g,物理层补充(54Mbit/s工作在2.4GHz)。
802.11h,无线覆盖半径的调整,室内(indoor)和室外(outdoor)信道(5GHz频段)。
802.11i,安全和鉴权(Authentification)方面的补充。
802.11n,导入多重输入输出(MIMO)技术,基本上是802.11a的延伸版。除了上面的IEEE标准,另外有一个被称为IEEE802.11b+的技术,通过PBCC技术(Packet Binary Convolutional Code)在IEEE802.11b(2.4GHz频段)基础上提供22Mbit/s的数据传输速率。但这事实上并不是一个IEEE的公开标准,而是一项产权私有的技术(产权属于美国德州仪器,Texas Instruments)。也有一些被称为802.11g+的技术,在IEEE802.11g的基础上提供108Mbit/s的传输速率,跟 802.11b+一样,同样是非标准技术,由无线网络芯片生产商Atheros所提倡的则为SuperG。
另外值得注意的是,无线局域网络产品核心一无线网络卡亦有出货方面的消长。原本占最大比例的接口网络卡开始大量消退,取而代之的是迷你PCI接口无线网络卡或模块的崛起。由于许多WLAN网络设备都以迷你PCI通讯模块取代以往的内建PCMCIA适配卡,因此迷你PCI接口的占有率节节上升。不过最新的趋势是系统芯片SOC将微处理与无线网络卡基频芯片整合,可大幅省成本,是各厂争相开发的新技术。
尽管我国台湾在WLAN产量全球市场占有率达80%,属于世界第一,然而根据研院发布的数据展示,我国台湾无线通讯的产值仅达全球30%,在产量与 产
商丘工学院毕业论文(设计)
值的不对称情况下,随着全球无线产品通路竞争的白热化,生产代工WLAN可以说是赚辛苦钱。我国台湾业者除了进一步挑战高价值的无线芯片设计,自立研发 无线通讯芯片及其相关网络技术,促进其零组件进一步国产,更应该着眼于高获利的系统整合与智能加值服务,而非仅将气力摆在压低制造成本,以高品质的产品规 划出完整解决方案与服务,走出削价竞争的循环,如此WLAN霸业才有前途。以加值服务而言,最有商机的莫守于应用wi-fi的公众无线上网服务,我国于公元2003年已有超过百处的公众无线上网热点,各大电信运营商于未来 更将设置许多公众无线网络,无线宽带上网计划等,看准全球科技趋势,不遗余力地推广宣导,以促进全民无线上网,提升我国无线局域网产业的竞争力。
第二章 无线局域网的体系结构
无线局域网使用红外线和射频传输介质,可以提供高达11Mbps传输速度。本文重点介绍IEEE 803.11标准、基本构件模块以及性能参数(如可移动性和安全性)等方面的情况。
同IEEE802.3以太网标准允许用双绞线和同轴电缆进行数据传输类似,802.11标准通过无线频率传输数据,包括用红外线(IR)以及在未管制的2.4GHz频段的两种无线传输媒介:跳频扩谱(FH-SS)和直接顺序扩谱(DS-SS)。扩谱是一种在二战期间发展起来的调制技术,它在无线电频率的宽频带上发送传输信号。这种技术对无线数据通信非常理想,因为它不易受到无线电噪声的影响而且几乎不产生干扰。跳频扩谱被限制在2Mbps数据传输率,并建议用在特定的应用中,比如某种船舶等。对于其他所有的无线局域网服务,直接顺序扩谱是一个更好的选择。最近发布的IEEE标准802.11b中,允许采用DS-SS的以太网达到11Mbps数据率。
早期的无线局域网技术都属于低速应用,数据率为1Mbps到2Mbps。虽然存在这样的缺点,但无线所具有的自由度和机动性仍使得这些产品在多个领域发挥作用,比如在零售业和仓库管理中,流动的工作人员使用手持设备进行库存管理和数据采集。后来,医院也开始应用无线技术在病床边传送病人信息。
接着,在大学里开始安装无线网络以节省敷设电缆的费用以及共享Internet接入。早期的无线设备供应商很快意识到,为了使这项技术获得更广泛的市场认同,需要一个类似以太网的标准。他们在1991年联合起来,最初是提议,然后利用分布式技术制订了一个标准。1997年6月,IEEE发布了针对无线局域网的802.11标准。
商丘工学院毕业论文(设计)
顾名思义,无线局域网确实就像它的名字一样--具有传统局域网技术(如以太网和令牌环)的所有特性和优点,却没有电线或电缆的限制(图1)。
图1
无线局域网用红外线或者射频取代双绞线或光纤作为传输媒介。在红外线和射频两者中,无线电信号因为覆盖范围广且带宽高,因而应用更加广泛。目前无线局域网大多使用2.4GHz频段,这是RF频谱中唯一在全球保留的非管制应用部分。无线网络的自由度和机动性使其既可以应用于楼宇内,也可以用于建筑物之间。网络构造模块
与有线网络对应部分非常相似,楼宇内无线局域网设备也包括PC插卡、PCI或ISA用户适配器以及功能类似于有线网络集线器的接入点(图2)。
图2
商丘工学院毕业论文(设计)
无线局域网收发器充当网络集线器,为无线和有线网络之间的数据通信提供连接。同小型或临时安装的有线局域网一样,无线局域网可以只需用户适配器就配置成为对等或其它特定拓扑结构。如果希望再有额外的功能和范围,接入点还可以结为一体充当星型拓扑的中心,实现相当于以太网络中网桥的功能。
在一座楼内,有了无线局域网就可以在移动点或固定点进行计算处理。将PC用户适配器插卡安装在笔记本电脑或手持式PC中,用户就能够自由移动,同时保持与网络的连接。
在台式系统中应用无线局域网技术,可以获得传统局域网无法实现的那种非常灵活的组织形式。如图3所示,图3
台式用户系统能置于无法铺设电缆的地方,而且可根据需要,随时在组织内的任何地方重新布置。因此无线技术非常适合于临时性工作小组以及迅速增长的机构中。
与商业无线电信号可以在任何天气情况下从发射机接收信号相同,无线局域网技术由于采用无线电波从而真正地重新定义了局域网中“局域”的概念。通过无线网
商丘工学院毕业论文(设计)
桥,即使相隔几公里的建筑物,其内部网络也可以合成为一个局域网。当在建筑物之间用传统的铜缆或光缆连接时,高速公路、湖泊、甚至地方政府都会成为无法克服的障碍,但无线网桥使这些障碍变得不会再有什么关系,它在空中传输数据,不需要为建立通路申请许可。
无线网桥可以出资购买,用一个下午就可安装完毕,其成本通常与一个T1的安装费用相当。一旦投资完成,以后就不会再有费用发生。性能参数
IEEE 802.11b无线局域网标准运行于2.4GHz频段,仍然还有带宽增长的余地。通过使用在802.11b规范中的一种可选调制技术,使现有数据率加倍是完全可能的。
为了提高网络速度,无线局域网的制造商已从900MHz频段移向到2.4GHz频段。这种趋势肯定还会继续下去而达到更广阔的频带,这时将能够支持可以用在5GHz的更高带宽。IEEE已经针对运行于5GHz且支持速度高达54Mbps的设备发布了规范。
一般来说,价格随着时间的推移会降低,同时数据率则会增加,5.7GHz频段肯定能用于下一个突破性数据速率:100Mbps。
802.11标准的有线等同保密性(WEP)选项仅仅是满足用户安全需求的第一步,当WEP激活时,每一个站点(包括用户和接入点)都有四个密钥,这些密钥用于在数据通过广播频率传输之前加密数据。如果站点接收到用不正确的密钥加密的信息包,那么该信息包将会被丢弃,不再传送给主机。
尽管802.11标准提供了很强的加密服务来确保无线局域网的安全,但是安全密钥认可、废除以及刷新的方法仍未确定,不过幸好还有几种密钥管理结构。对于大型网络最好的方法是使用加密密钥服务器对密钥集中管理,加密密钥服务器可进行密钥的集中生成、密钥分配以及密钥轮换等。密钥服务器使网络管理员能够在用户的层次上,控制用户鉴定所需的RSA公共/个人密钥对生成。无线接入点
无线局域网最主要的优点就是机动性,但是目前没有工业标准满足对管理信息库(MIB)中移动设备的跟踪和管理,这一遗漏将禁止用户在公共区域(如一座建筑物的各楼层间)的无线接入点之间漫游。Cisco提出一种用于在一个IP域(比如一层楼)内漫游的机动算法,来解决这一问题,并打算对其进行优化以便在更大的IP域内(如企业或校园内)漫游。
无线接入点可行使网络集线器和交换器功能(图4)。
商丘工学院毕业论文(设计)
图4
与接入点相连的无线用户共享无线局域网,这与网络集线器的功能类似。但是,接入点还可以跟踪穿越其服务区域用户的移动,并在与之通信后决定是否允许其进行信息传递。对于使用这些服务并从中获益的网络管理员来说,有必要将这些接入点装配成网络集线器和交换器。
一些制造商正在提供易于管理的无线局域网设备,通过普通的Telnet或SNMP服务和Web浏览器就可以对其进行监测和控制。除了连接统计和计数器,接入点还应具有其他功能而使其更强大、更易管理,这些功能包括无线接入点及与之相连用户的映射,以及用户统计监测报告。
接入点也可以通过媒介访问控制(MAC)和协议级访问清单来控制接入与通过无线局域网的通信数据流。配置参数同接入点代码图像可以集中配置管理,便于整个无线局域网络都具有一致性。更快、更好、更便宜
随着产量持续增加,规模经济效应会使价格进一步下降。但就算将电缆铺设费用和人工也加以考虑,要无线用户适配器的价格与有线用户适配器的价格相当还是不太可能的,不过差别会变得越来越无关紧要。
有线局域网技术进步的历史可以总结为“更快、更好、更便宜”,而无线局域网也开始在沿着这条路走下去:数据率从1Mbps增加到11Mbps、互用性随着IEEE 802.11标准的引入成为现实以及价格开始大幅度下降。
商丘工学院毕业论文(设计)
无线局域网已经重新定义,它意味着可以通过延伸局域网的边界进行连接,形成一种随需要而变化的动态结构。通过采用统一的标准和可互用无线产品,局域网可以利用有线结构扩展到难以想象的规模。它仅需传统广域技术投资的一部分,就可实现高速互连。在无线世界,用户不仅可以在校园,而且还可在城市内漫游,同时保持与外部网、内部网以及Internet的高速连接。
局域网的体系结构
局域网的体系结构与广域网的体系结构有很大的区别,广域网使用的是点到点连接的网络,各个主机之间通过很多个节点组成的网络进行通信。而局域网则使用广播信道,即所有的主机都连接到同一传输媒体上,各主机对传输媒体的控制和使用采用多路访问信道及随机访问信道机制。
1980年2月成立IEEE802委员会(IEEEInstitute of Electrical and Electronics Engineers INC,即电器和电子工程师协会)。该委员会制定了一系列局域网标准,称为IEEE802标准。目前许多802标准已经成为ISO国际标准。
由于局域网不需要路由选择,因此它并不需要网络层,而只需要最低的两层:物理层和数据链路层。
按IEEE802标准,又将数据链路层分为两个子层:介质访问控制子层(MAC-Media Acce Control)和逻辑链路子层LLC(Logical Link Control)。
因此,在IEEE802标准中,局域网体系结构由物理层、介质访问控制子层(MAC-Media Acce Control)和逻辑链路子层LLC(Logical Link Control)组成。
商丘工学院毕业论文(设计)
图4-4 局域网的802参考模型与ISO/RM的对比
局域网的链路层有两种不同的数据单元:LLC PDU和MAC帧。
图4-5 LLC PDU和MAC帧的关系
(1)物理层
物理层的主要作用是确保二进制位信号的正确传输,包括位流的正确传送与正确接收。局域网物理层制定的标准规范主要有如下一些内容:
局域网传输介质与传输距离
物理接口的机械特性、电气特性、性能特性和规程特性特性
传输信号的编码方案,局域网常用的编码方案有:曼彻斯特码、差分曼彻斯特码、非归零码、4B/5B码、8B/6T和8B/10B等。 错误校验码以及同步信号的产生与删除
商丘工学院毕业论文(设计)
传输速率 拓扑结构 信令方式
(2)LLC子层(逻辑链路控制)
LLC也是数据链路层的一个功能子层。LLC在MAC子层的支持下向网络层提供服务。可运行于所有802 局域网和城域网协议之上的数据链路协议,被称为逻辑链路控制LLC。
LLC子层与传输介质无关,它独立于介质访问控制方法,隐藏了各种802网络之间的差别,向网络层提供一个统一的格式和接口。
LLC子层的功能包括:数据帧的组装与拆卸、帧的收发、差错控制、数据流控制和发送顺序控制等功能并为网络层提供两种类型的服务,面向连接服务和无连接服务。
一个主机当中可能有多个进程在运行,它们可能同时与其他主机上的一个或多个进程进行通信。因此,在一个主机的LLC子层上应设多个服务访问点(SAP),以便向多个进程提供服务,这些服务访问点共享数据链路。
图4-6 多个SAP复用一条数据链路
因此,在局域网的进程通信时,需要以下两种地址:
(3)MAC地址 即主机在网络中的主机地址或物理地址,这由MAC帧负责传送;(4)SAP地址 即进程在某一个主机中的地址,也就是LLC子层上面的服务访问点SAP,这由LLC帧负责传送。
因此,LAN中的寻址分成两步
根据MAC地址找到目的站点
根据SAP地址找到该站点中的相应进程
LLC提供的服务:4种操作类型
LLC1:不确认的无连接服务,适用于广播、组播通信,周期性数据采集
LLC2:面向连接服务,适用于长文件传输
LLC3:带确认的无连接服务,适用于传送可靠性和实时性都要求的信息,如告警信息
LLC4:高速传送服务,适用于MAN
LLC的帧结构
商丘工学院毕业论文(设计)
图4-7 LLC的帧结构
I/G: 0--单个SAP地址--组地址(全1为广播地址)C/R: 0--命令帧--响应帧
控制字段:信息帧和监督帧与HDLC的扩展字段相同(2B)
无编号帧与HDLC的相同(1B)
(3)MAC子层(介质访问控制)
MAC是数据链路层的一个功能子层。MAC构成了数据链路层的下半部,它直接与物理层相邻。它的主要功能是进行合理的信道分配,解决信道竞争问题。它在支持LLC子层中,完成介质访问控制功能,为竞争的用户分配信道使用权,并具有管理多链路的功能。
MAC子层为不同的物理介质定义了介质访问控制标准。目前,IEEE802已规定的介质访问控制标准有著名的带冲突检测的载波监听多路访问(CSMA/CD)、令牌环(Token-Ring)和令牌总线(Token-Bus)等。
MAC地址:物理地址(或硬件地址)的划分
MAC地址用来区别一个局域网上的主机,相当于一台主机的唯一标识符,通常被烧制在网卡中。网卡从网上每收到一个MAC帧,首先检查其硬件地址,若与本卡的MAC地址相同,则接收,否则就丢弃。
MAC地址字段可以采用两种形式之一: 6B 全球范围,2B 单位范围。但6B最常用,即MAC地址采用6字节,共48位。
为了保证MAC地址不会重复,由IEEE作为MAC地址的法定管理机构,它负责将地址字段的前3个字节(高24位)统一分配给厂商,而低24位则由厂商分配。
图4-8 6B、2B结构的MAC地址结构
地址类型标识:地址字段的第一字节的最低位I/G 0--单个站地址
商丘工学院毕业论文(设计)--组地址
地址范围标识:地址字段的第一字节的最低第二位U/L 0--局部管理--全局管理
IEEE802局域网标准
IEEE802委员会于1984前后年公布了五项标准:IEEE802.1-IEEE802.5,最新的千兆以太网技术目前也已标准化。
IEEE802.1 —局域网概述、体系结构、网络管理和网络互联
IEEE802.2 —逻辑链路控制 LLC
IEEE802.3—CSMA/CD访问方法和物理层规范,主要包括如下几个标准:
IEEE802.3 — CSMA/CD介质访问控制标准和物理层规范:定义了四种不同介质10Mbps以太网规范 :10BASE2、10BASE5、10BASET、10BASEF
IEEE802.3u — 100Mbps快速以太网标准,现已合并到802.3中
IEEE802.3z — 光纤介质千兆以太网标准规范
IEEE802.3ab — 传输距离为100米的5类无屏蔽双绞线介质千兆以太网标准规范
IEEE802.4—Token Paing BUS(令牌总线)
IEEE802.5—Token Ring(令牌环)访问方法和物理层规范
IEEE802.6—城域网访问方法和物理层规范
IEEE802.7—宽带技术咨询和物理层课题与建议实施
IEEE802.8—光纤技术咨询和物理层课题
IEEE802.9—综合声音/数据服务的访问方法和物理层规范
IEEE802.10 —安全与加密访问方法和物理层规范
IEEE802.11 —无线局域网访问方法和物理层规范,包括:
IEEE802.11a、IEEE802.11b、IEEE802.11c 和IEEE802.11q标准。
IEEE802.12 —100VG-AnyLAN快速局域网访问方法和物理层规范
商丘工学院毕业论文(设计)
图4-9 IEEE802各分委员会结构关系与局域网标准图
第三章 无线局域网的安全探讨
随着WLAN(无线局域网)技术的快速发展,WLAN市场、服务和应用的增长速度非常惊人,各级组织在选用WLAN产品时如何使用安全技术手段来保护WLAN中传输的数据——特别是敏感的、重要的数据的安全,是值得考虑的非常重要的问题,必须确保数据不外泄和数据的完整性。
通常网络的安全性主要体现在两个方面:一是访问控制,它用于保证敏感数据只能由授权用户进行访问;另一个是数据加密,它用于保证传送的数据只被所期望的用户所接收和理解。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号,其他方面的安全问题两者是相同的。
商丘工学院毕业论文(设计)4.1 WLAN的访问控制技术
(1)服务集标识SSID(Service Set Identifier)匹配
通过对多个无线AP设置不同的SSID标识字符串(最多32个字符),并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。但是SSID只是一个简单的字符串,所有使用该无线网络的人都知道该SSID,很容易泄漏;而且如果配置AP向外广播其SSID,那么安全程度还将下降,因为任何人都可以通过工具或Windows XP自带的无线网卡扫描功能就可以得到当前区域内广播的SSID。所以,使用SSID只能提供较低级别的安全防护。
(2)物理地址(MAC,Media Acce Control)过滤
由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现基于物理地址的过滤。如果各级组织中的AP数量很多,为了实现整个各级组织所有AP的无线网卡MAC地址统一认证,现在有的AP产品支持无线网卡MAC地址的集中RADIUS认证。物理地址过滤的方法要求AP中的MAC地址列表必须及时更新,因此此方法维护不便、可扩展性差;而且MAC地址还可以通过工具软件或修改注册表伪造,因此这也是较低级别的访问控制方法。
(3)端口访问控制技术(IEEE 802.1x)和可扩展认证协议(EAP)由于以上两种访问控制技术的可靠性、灵活性、可扩展性都不是很好,802.1x协议应运而生,802.1x定义了基于端口的网络接入控制协议(Port Based Network Acce Control),其主要目是为了解决无线局域网用户的接入认证问题,802.1x架构的优点是集中式、可扩展,双向用户验证。有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。但是,由于无线局域网的网络空间具有开放性和终端可移动性,所以很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止非法的移动终端接入本单位的无线网络就成为一项非常现实的问题。
IEEE 802.1x提供了一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接到网络。但IEEE 802.1x本身并不提供实际的认证机制,需要和扩展认证协议
商丘工学院毕业论文(设计)
EAP(Extensible Authentication Protocol)配合来实现用户认证和密钥分发。EAP允许无线终端使用不同的认证类型,与后台的认证服务器进行通讯,如远程认证拨号用户服务器(RADIUS)交互。EAP的类型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等类型,EAP-TLS是现在普遍使用的,因为它是唯一被IETF(因特网工程任务组)接受的类型。当无线工作站与无线AP关联后,是否可以使用AP的受控端口要取决于802.1x的认证结果,如果通过非受控端口发送的认证请求通过了验证,则AP为无线工作站打开受控端口,否则一直关闭受控端口,用户将不能上网。认证过程如图1所示。
4.2 WLAN的数据加密技术
(1)WEP(Wired Equivalent Privacy)有线等效保密协议
为了保证数据能安全地通过无线网络传输而制定的一个加密标准,使用了共享秘钥RC4加密算法,只有在用户的加密密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。密钥长度最初为40位(5个字符),后来增加到128位(13个字符),有些设备可以支持152位加密。
WEP标准在保护网络安全方面存在固有缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。另外,WEP加密有自身的安全缺陷,有许多公开可用的工具能够从互联网上免费下载,用于入侵不安全网络。而且黑客有可能发现网络传输,然后利用这些工具来破解密钥,截取网络上的数据包,或非法访问网络。
(2)WPA保护访问(Wi-Fi Protected Acce)技术
WEP存在的缺陷不能满足市场的需要,而最新的IEEE 802.11i安全标准的批准被不断推迟,Wi-Fi联盟适时推出了WPA技术,作为临时代替WEP的无线安全标准协议,为IEEE 802.11无线局域网提供较强大的安全性能。WPA实际上是IEEE 802.11i的一个子集,其核心就是
IEEE 802.1x和TKIP。
新一代的加密技术TKIP,与WEP一样基于RC4加密算法,但对现有的WEP进行了改进,使用了动态会话密钥。TKIP引入了48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Meage Integrity Code,MIC)以及密钥重获/分发4个新算法,极大提高了无线网络数据加密安全强度。
商丘工学院毕业论文(设计)
WPA之所以比WEP更可靠,就是因为它改进了WEP的加密算法。由于WEP密钥分配是静态的,黑客可以通过拦截和分析加密的数据,在很短的时间内就能破解密钥。而在使用WPA时,系统频繁地更新主密钥,确保每一个用户的数据分组使用不同的密钥加密,即使截获很多的数据,破解起来也非常地困难。
(3)WLAN验证与安全标准—IEEE 802.11i 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组于2004年6月正式批准了IEEE 802.11i安全标准,从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准主要包含的加密技术是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard),以及认证协议IEEE 802.1x。定义了强壮安全网络RSN(Robust Security Network)的概念,并且针对WEP加
密机制的各种缺陷做了多方面的改进。
IEEE 802.11i规范了802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wirele Ro2bust Authenticated Protocol)三种加密机制。其中TKIP可以通过在现有的设备上升级固件和驱动程序的方法实现,达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。AES是一种对称的块加密技术,有128/192/256位不同加密位数,提供比WEP/TKIP中RC4算法更高的加密性能,但由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。
(4)虚拟专用网络(VPN)虚拟专用网络(VPN)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全。它不属于802.11标准定义,是以另外一种强大的加密方法来保证传输安全的技术,可以和其它的无线安全技术一起使用。VPN协议包括二层的PPTP/L2TP协议和三层的IPSec协议,IPSec用于保护IP数据包或上层数据,IPSec采用诸如数据加密标准(DES)和168位三重数据加密标准(3DES)以及其它数据包鉴权算法来进行数据加密,并使用数字证书来验证公钥,VPN在客户端与各级组织之间架起一条动态加密的隧道,并支持用户身份验证,实现高级别的安全。VPN支持中央安全管理,不足之处是需要在客户机中进行数据的加密和解密,增加了系统的负担,另外要求在AP后面配备VPN集中器,从而提高了成本。无
商丘工学院毕业论文(设计)
线局域网的数据用VPN技术加密后再用无线加密技术加密,就好像双重门锁,提高了可靠
性。
以上便是,伴随WLAN一路发展而来的几种安全机制,目前相对来说,比较完善、正在使用的是基于IEEE 802.11的WLAN安全机制,WEP提供了大部分的安全服务,在无线客户端与AP进行通信时,保护链路层数据,也就是说,WEP只能提供无线连接部分的安全性,而不提供端对端的安全性,即AP与有线主机之间的数据通信不受WEP保护。
无线局域网目前正处于蓬勃发展时期,而无线局域网的安全问题 也是业界尤为关注的焦点之一。只有在现有的无线局域网安全框架基础上,运用相关的关键技术搭建一个增强的、有足够安全性的无线局域网,才能推动无线局域网的实际应用,尤其是在企业、机关等重要部门中的使用。也只有这样,无线局域网才能安全顺利地与其他有线网络、无线网络乃至3G网络实现互联互通,并发挥其巨大的潜力。
