無線局域網在江蘇質監信息化建設中的應用

摘要：隨著局域網技術的快速發展，以及無線局域網產品穩定性的提高，無線局域網逐漸應用到復雜的網絡環境中，本文介紹了無線局域網的技術及其特點，闡述了無線局域網在江蘇質監信息化建設中的應用。

關鍵詞：無線局域網；安全；用戶管理

江蘇質監信息化高速發展，傳統的有線局域網在承擔大量數據運行的同時出現了瓶頸阻塞。例如在某些場合要受到布線的限制，布線、改線工程量大，線路容易損壞，網中的各節點不可移動，特別是當要把相離較遠的節點聯結起來時，敷設專用通訊線路布線施工難度之大，費用、耗時之多等等。面對迅速擴大的應用需求，針對有線局域網的不足，構建一套無線局域網作為其補充，是信息化建設發展中重要而有效的一部分。

1、無線局域網簡介

無線局域網絡（wireless Local Area Networks：WLAN）是相當便利的數據傳輸系統，它利用射頻（Radio Frequency；RF）的技術，取代舊式礙手礙腳的雙絞銅線（Coaxial）所構成的局域網絡，使得無線局域網絡能利用簡單的存取架構讓用戶透過它，達到“信息隨身化、便利走天下”的理想境界。

相對于傳統的有線局域網，它的優勢體現在：

（1）靈活性和移動性。在有線網絡中，網絡設備的安放位置受網絡位置的限制，而無線局域網在無線信號覆蓋區域內的任何一個位置都可以接入網絡。無線局域網另一個最大的優點在于其移動性，連接到無線局域網的用戶可以移動且能同時與網絡保持連接。

（2）安裝便捷。無線局域網可以免去或最大程度地減少網絡布線的工作量，一般只要安裝一個或多個接入點設備，就可建立覆蓋整個區域的局域網絡。

（3）易于進行網絡規劃和調整。對于有線網絡來說，辦公地點或網絡拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程，無線局域網可以避免或減少以上情況的發生。

（4）故障定位容易。有線網絡一旦出現物理故障，尤其是由于線路連接不良而造成的網絡中斷，往往很難查明，而且檢修線路需要付出很大的代價。無線網絡則很容易定位故障，只需更換故障設備即可恢復網絡連接。

（5）易于擴展。無線局域網有多種配置方式，可以很快從只有幾個用戶的小型局域網擴展到上千用戶的大型網絡，并且能夠提供節點間“漫游”等有線網絡無法實現的特性。由于無線局域網有以上諸多優點，因此其發展十分迅速。最近幾年，無線局域網已經在企業、醫院、商店、工廠和學校等場合得到了廣泛的應用。

無線局域網在能夠給網絡用戶帶來便捷和實用的同時，也存在著一些缺陷。無線局域網的不足之處體現在以下幾個方面：

（1）性能。無線局域網是依靠無線電波進行傳輸的。這些電波通過無線發射裝置進行發射，而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸，所以會影響網絡的性能。

（2）速率。無線信道的傳輸速率與有線信道相比要低得多。目前，無線局域網的最大傳輸速率為1Gbit/s，只適合于個人終端和小規模網絡應用。

（3）安全性。本質上無線電波不要求建立物理的連接通道，無線信號是發散的。從理論上講，很容易監聽到無線電波廣播范圍內的任何信號，造成通信信息泄漏。

因此，在江蘇質監信息化建設中，建設無線局域網作為主干有線局域網的一個有效補充，發揮其優勢，控制其弱點，使之更好地服務于江蘇質監信息化應用。

2、無線局域網設計方案

2.1 無線局域網標準

由于WLAN是基于計算機網絡與無線通信技術，在計算機網絡結構中，邏輯鏈路控制（LLC）層及其之上的應用層對不同的物理層的要求可以是相同的，也可以是不同的，因此，WLAN標準主要是針對物理層和媒質訪問控制層（MAC），涉及到所使用的無線頻率范圍、空中接口通信協議等技術規范與技術標準。

1990年IEEE802標準化委員會成立IEEE802.11WLAN標準工作組。IEEE802.11（別名：Wi-Fi（wirelessFidelity）無線保真）是在1997年6月由大量的局域網以及計算機專家審定通過的標準，該標準定義物理層和媒體訪問控制（MAC）規范。物理層定義了數據傳輸的信號特征和調制，定義了兩個RF傳輸方法和一個紅外線傳輸方法，RF傳輸標準是跳頻擴頻和直接序列擴頻，工作在2.4000～2.4835Gttz頻段。

IEEE802.11是IEEE最初制定的一個無線局域網標準，主要用于解決辦公室局域網和校園網中用戶與用戶終端的無線接入，業務主要限于數據訪問，速率最高只能達到2Mbps。由于它在速率和傳輸距離上都不能滿足人們的需要，所以IEEE802.11標準被IEEE802.11b所取代了。

IEEE802.11b

1999年9月IEEE802.11b被正式批準，該標準規定WLANT作頻段在2.4-2.4835GHz，數據傳輸速率達到11Mbps，傳輸距離控制在50-150英尺。該標準是對IEEE802.11的一個補充，采用補償編碼鍵控調制方式，采用點對點模式和基本模式兩運作模式，在數據傳輸速率方面可以根據實際情況在11Mbps、5.5Mbps、2Mbps、iMbps的不同速率間自動切換，它改變了WLAN設計狀況，擴大了WLAN的應用領域。

IEEE802.11b已成為當前主流的WLAN標準，被多數廠商所采用，所推出的產品廣泛應用于辦公室、家庭、賓館、車站、機場等眾多場合，但是由于許多WLAN的新標準的出現，IEEES02。11a和IEEE802.11g更是倍受業界關注。

IEEE802.11a

1999年，IEEE802.11a標準制定完成，該標準規定WLAN工作頻段在5.15-5.825GHz，數據傳輸速率達到54Mbps/72Mbps（Turbo），傳輸距離控制在i0-100米。該標準也是IEEE802.11的一個補充，擴充了標準的物理層，采用正交頻分復用（OFDM）的獨特擴頻技術，采用QFSK調制方式，可提供25Mbps的無線ATM接口和lOMbps的以太網無線幀結構接口，支持多種業務如話音、數據和圖像等，一個扇區可以接入多個用戶，每個用戶可帶多個用戶終端。

IEEE802.11a標準是IEEE802。11b的后續標準，其設計初衷是取代802.11b標準，然而，工作于2.4GHz頻帶是不需要執照的，該頻段屬于工業、教育、醫療等專用頻段，是公開的，工作于5.15-8.825GHz頻帶需要執照的。一些公司仍沒有表示對802.11a標準的支持，一些公司更加看好最新混合標準——802.11g。

IEEE802.11g

目前，IEEE推出最新版本IEEE802.11g認證標準，該標準提出擁有IEEE802.11a的傳輸速率，安全性較IEEE802.11b好，采用2種調制方式，含802.11a中采用的OFDM和IEEE802.11b中采用的CCK，做到與802.11a和802.11b兼容。

江蘇質監無線局域網組網方案中采用了802.11g標準。

2.2 無線局域網網絡結構

江蘇質監辦公大樓已建成可連接互聯網的有線網絡環境，因此，可以在原有的網絡環境上擴展部署無線接入設備，用戶成功連接無線接入設備后通過有線網絡到達網關訪問網絡資源和互聯網，從而很好地將無線網絡與原有的有線網絡無縫結合在一起。

采用無線控制器統一管理所有“瘦”AP，在無線局域網的管理、維護、性能上有較大的優勢，具體體現在：

（1）管理權全部集中在無線控制器上，可以對全網無線設備進行統一管理，批量配置、升級，無線AP可以做到“零配置”，大大降低管理和維護成本；

（2）無線控制器智能管理所有AP頻譜，限制無線信號之間的干擾，有效提高網絡的性能和穩定性；

（3）無線控制器動態調整所有AP功率，優化無線信號覆蓋范圍，智能分配客戶端連接不同的AP進行負載均衡，提高網絡使用效率。

（4）全網使用唯一的SSID，在該SSID下動態分配不同的VLAN，改善用戶體驗，同時達到不同用戶不同管理策略的管理要求。

2.2.1 無線局域網的主要設備

（1）無線控制器H3C WXS004

提供對802.1ln AP的管理，提供靈活的數據轉發方式，支持運營級無線用戶接入控制和管理，提供高可靠的備份功能，支持信道智能切換，支持智能AP負載分擔，支持7層移動安全檢測/防御（WIDS/WIPS），支持RealTime Spectrum Guard（實時頻譜保護）模式，支持智能無線業務感知（WIAA），支持遠程探針分析，內置射頻優化引擎（ROE），支持802.1x認證，MAC地址認證，Portal認證等，支持IPv4/IPv6雙協議棧（Native IPv6），提供端到端的OoS，支持快速的二、三層漫游，支持多種分支機構遠程接入場景等。

（2）無線AP WA2612-AGN

實現高性能無線接入和最佳無線網絡TCO，綠色低碳設計，提供千兆以太網接口有線連接，支持Fat/Fit兩種模式，提供本地轉發功能，支持IPv4/IPv6雙協議棧，支持智能負載均衡，提供only 11n接入功能，支持中國標準WAPI，支持無線入侵檢測/防御（WIDS/WIPS），提供EAD無線接入，支持中文SSID，支持TR-069特性（CWMP），全面支持智能型有線無線一體化管理等。

2.2.2 無線接入點（Access Point，AP）的設計

根據江蘇質監大樓實際情況，無線覆蓋設計歸納為兩大類：AP室內無障礙覆蓋，AP室內穿越障礙覆蓋。

（1）AP室內無障礙覆蓋

主要應用于空間較大的會議室等重點室內區域，此時主要信號進行此空間內覆蓋，無需要考慮到穿越墻壁、地板等障礙物對隔壁空間的覆蓋。室內部分采用吸頂天線的方式進行操作。

（2）AP室內穿越障礙覆蓋

主要應用于辦公樓內中間走廊兩邊房間結構室內區域，因為無線信號穿越墻壁、地板等障礙物會存在衰減，但在走廊式結構的室內區域具備一定的穿越障礙的能力，一般是穿越一道墻壁之后信號效果較好。因此這樣的結構適合在走廊中布置AP，來覆蓋兩邊的房間區域，采用吸項天線的方式進行操作。

針對AP設備的供電問題，由于無線局域網中AP設備數量較多，AP布放的位置又必須根據實際覆蓋的效果而調整，在已建設完成的建筑物上較難進行本地供電。采取的方案是通過在接入交換機處疊加一個供電電源，通過以太網線在傳輸數據同時給AP供電，供電距離達100米，滿足了實際組網的要求。

根據無線網絡工作原理，無線信號在多個子頻道同時工作的情況下，為保證頻道之間不相互干擾，要求兩個頻道的中心頻率間隔不能低于25MHz。IEEE802.11g標準采用2.4G頻率工作，無線信號2.4-2.483G的13個頻段內最多可以提供3個不重疊的頻道同時工作。因此，在部署無線AP時，需將每個樓層的4個AP的工作子頻道錯井，上下樓層相鄰的AP同樣錯開工作子頻道從而避免干擾問題，實現無線信號有效的交叉覆蓋。

3、無線局域網安全

3.1 WEP加密

WEP（Wired Equivalent Privacy，有線等效保密），有線等效保密協議是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。WEP是1999年9月通過的IEEES02.11標準的一部分，使用RC4（Rirest Cipher）串流加密技術達到機密性，并使用CRC-32驗和達到資料正確性。標準的64比特WEP使用40比特的鑰匙接上24比特的初向量（initialization vector，IV）成為RC傭的鑰匙。它的安全技術源自于名為RC4的RsA數據加密技術，是無線局域網WLAN的必要的安全防護層。目前常見的是64位WEP加密和128位WAP加密。

但是，越來越多的研究表明，由于對流密碼算法Rc4的設計不當造成了WEP保密協議存在著各種各樣的安全漏洞，它無法有效保證數據的機密性、完整性和對接入用戶實現身份認證。

3.2 WPA/WPA2加密

WPA（Wi-Fi Protected Access），有WPA和WPA2兩個標準，是一種保護無線電腦網絡（wi-Fi）安全的系統，它是應研究者在前一代的系統有線等效加密（WEP）中找到的幾個嚴重的弱點而產生的。

WPA是一種基于標準的可互操作的WLAN安全性增強解決方案，可大大增強現有以及未來無線局域網系統的數據保護和訪問控制水平。WPA源于正在制定中的IEEE802.1li標準并將與之保持前向兼容。部署適當的話，WPA可保證WLAN用戶的數據受到保護，并且只有授權的網絡用戶才可以訪問WLAN網絡。

由于WEP業已證明的不安全性，在802.11i協議完善前，采用WPA為用戶提供一個臨時性的解決方案。該標準的數據加密采用TKIP協議（Temporary Key Integrity Protoc01），認證有兩種模式可供選擇，一種是使用802.1x協議進行認證：一種是稱為預先共享密鑰PSK（Pre-Shared Key）模式。WPA實現了IEEE802.11i標準的大部分，是在802.11i完備之前替代WEP的過渡方案。WPA的設計可以用在所有的無線網卡上，但未必能用在第一代的無線接入點上。Wi-Fi聯盟制定802.11 i協議后，正式推出了WPA2加密方式，WPA2采用了更安全的算法，以CCMP（Counter-Mode/CBC-MAC Protoc01）取代了WPA的TKILAES（Advanced Encryption Standard）加密算法取代了WPA的MIC，使得WLAN的安全程度大大提高。WPA2實現了完整的標準，但不能用在某些古老的網卡上。

這兩個都提供優良的安全能力，但也都有兩個明顯的問題：WPA或WPA2一定要啟動并且被選來代替WEP才有用，但是大部分的安裝指引都把WEP列為第一選擇。

3.3 江蘇質監無線局域網加密方式

考慮到AES的加密方法雖然安全性高，但并不是全部的客戶端設備都支持AES加密，而大部分客戶端都很好的支持了TKIP協議。因此，在江蘇質監無線局域中，針對辦公人員采用WPA2以及TKIP的加密方式。對于訪客，由于其只是臨時性接入網絡，安全性要求不高，因此，采用64位密鑰的開放式WEP驗證模式，同時，為了防止訪客在接入網絡后有惡意行為，對其訪問資源和訪問速度都做了相應的限制，在相關策略下有條件的訪問互聯網以及相關的內網資源。

4、用戶身份管理

4.1 IEEE 802.1X協議及可擴展認證協議（EAP）

IEEE 802.1X標準定義了基于端口的網絡訪問控制，可用于為以太網絡提供經過身份驗證的網絡訪問。基于端口的網絡訪問控制使用交換局域網基礎結構的物理特征來對連接到交換機端口的設備進行身份驗證。如果身份驗證過程失敗，使用以太網交換機端口來發送和接收幀的能力就會被拒絕。雖然這個標準是為有線以太網絡設計的，但是其已經過改編以便在IEEE802.11無線局域網上應用。

IEEE 802.1X認證包括三個部分：請求方、認證方、認證服務器。請求方就是希望接入無線局域網來上網的設備，比如一臺筆記本，有時候也指設備上運行的客戶端軟件；認證方則是管理接入的設備，比如以太網交換機或者無線接入點：認證服務器就是一個運行有支持RADIUS和EAP的軟件的主機。在認證過程中認證方起到了關鍵作用。它將網絡接入端口分成兩個邏輯端口：受控端口和非受控端口，非受控端口始終對用戶開放，只允許用于傳送認證信息，認證通過之后，受控端口才會打開，用戶才能正常訪問網絡服務。

EAP（Extentional Authentication Protocol，可擴展的認證協議），這是一個能夠為沒有接入網絡的設備提供認證及網絡接入的服務，工作于0SI七層模型中的數據鏈路層。之所以稱其為“可擴展的”，是因為協議只是規定了一個框架，允許根據實際需要自行定制，但是它要求標準符合IEEE標準中對于安全性的要求。

EAP協議類型包括Cisco公司的輕量可擴展認證協議（LEAP），傳輸層安全可擴展認證協議（TLS），微軟的受保護的可擴展認證協議（PEAP），隧道的傳輸層安全可擴展認證協議（TTLS）等等。由于受保護的可擴展認證協議（PEAP）配置較簡單、安全性較高以及江蘇質監無線客戶端基本上都是微軟操作系統，可以完全支持PEAP協議，因此江蘇質監無線局域網采用802.1x協議/PEAP協議進行用戶身份認證，以提高安全性。

4.2 身份集中管理系統

在江蘇質監無線局域網中大約有300個用戶，采用802.1x協議認證方式需要存儲所有的用戶信息，若采用非集中式管理方法，一個典型的問題便是需要在不同位置存儲所有的身份信息，其復雜程度以及管理成本之高可想而知。因此，采用集中式用戶管理方式較為合理。

5、結語

隨著信息化的高速發展，計算機、網絡技術的日益提高，以及無線局域網絡產品的逐漸成熟，無線局域網以它先天的組網靈活性和良好的擴展性，將越來越廣泛的應用到各行各業中。作為江蘇質監信息化建設的組成部分，無線局域網將會發揮更重要的作用。