淺析無線WiFi局域網(wǎng)覆蓋系統(tǒng)的常見問題

李明君

（黑龍江建筑職業(yè)技術學院，黑龍江哈爾濱，150025）

目前市場上采用無線wifi 覆蓋的公共工程越來越多，特別是中大型無線Wifi 局域網(wǎng)項目，涉及到了網(wǎng)絡延時，信道規(guī)劃，同頻干擾等等實際問題。

1 同頻干擾問題的造成和根源

同頻干擾即相同的電磁波頻率信號互相干擾。實際上指的就是兩個或兩個以上無線AP 設備工作頻率如果相同，那么在同時收發(fā)數(shù)據(jù)時會產(chǎn)生干擾和延時。這種同頻率信號干擾在無線WiFi 覆蓋網(wǎng)絡中是一個不能回避的問題。

在無線WiFi 最初的設計時，是沒有考慮到它會這么的普及，原本僅僅是為了一個區(qū)域內(nèi)的最多11 臺網(wǎng)絡無線設備接入而規(guī)劃的信道，但隨著WiFi 無線網(wǎng)絡的升級提速，單臺網(wǎng)絡無線設備同時占用2 個或4 個信道進行傳輸，就導致了同頻干擾問題的出現(xiàn)。單臺網(wǎng)絡設備占用2 個甚至4個信道，那么兩臺無線設備就需要相隔5 個信道才不會相互干擾。

2 無線WiFi 的信道應該如何劃分

為了在無線覆蓋工程中減少信號的盲點，需要部署多臺無線AP 來完成無線覆蓋的區(qū)域重疊。要注意合理的規(guī)劃和使用無線信道，相鄰的AP 按1、6、11 相互隔開。圖3 左邊同頻干擾嚴重，右邊改善一些，無線信號重疊部分會導致輕頻干擾。

3 如何避免同頻干擾

無線網(wǎng)絡同頻干擾會造成網(wǎng)絡丟包和延時，導致無線網(wǎng)絡質量變得相當差，網(wǎng)速變得很慢，由于兩個AP 工作頻率相同互相干擾，導致頻繁重復的發(fā)送數(shù)據(jù)，網(wǎng)絡使用越頻繁，同頻干擾越嚴重。

圖1 同一個區(qū)域中最多三個無線AP,分別相隔5 個信道，才不會互相干擾

要想有效的避免同頻干擾，相鄰的AP 須按1、6、11相互隔開，盡量拉長同一信道得間隔距離。移動和電信采用專業(yè)天饋式覆蓋，工業(yè)級無線AP 通過饋線分接4～8 個天線，1 個AP 占用一個信道覆蓋一層樓或整棟建筑，有效的避免同頻干擾。

圖2 信道規(guī)劃不合理導致的同頻干擾

圖3 盡量減少AP 數(shù)量，避免同頻干擾

4 MAC 地址的欺騙與通信攔截

在802.11 網(wǎng)絡中對無線傳輸?shù)膸瑪?shù)據(jù)是不進行認證的，那么入侵者能夠使用通過欺騙幀造成ARP 表的混亂，或者還可使用一些容易的方法來獲取無線網(wǎng)絡中各接入端的MAC 地址來進行惡意的攻擊。

入侵者除了可以以此發(fā)起攻擊外，還可以發(fā)現(xiàn)無線AP設備中的認證缺陷。由于802.11 無法證明無線AP 設備真的是一個AP，使得入侵者很容易以無線AP 設備的身份進入網(wǎng)絡，從而使入侵者可以進一步獲取認證身份信息來進入網(wǎng)絡。在沒有采用802.11i 對每一個802.11MAC 幀進行認證的技術前，這樣的網(wǎng)絡入侵是無法避免的。必須將無線網(wǎng)絡同易受攻擊的核心網(wǎng)絡脫離開才能最大限度的避免此種威脅的存在。

5 未經(jīng)授權使用服務

絕大多數(shù)的無線AP 設備都是按照出廠時的默認配置來開啟WEP 進行加密的。由于無線局域網(wǎng)的開放式訪問方式，未經(jīng)授權者可以輕易的進入到開放式的無線WiFi 網(wǎng)絡中，不但耗用網(wǎng)絡資源增加擁堵，而且在不遵守網(wǎng)絡服務商的條款時，還可能會導致ISP 服務中斷。

訪問權限是基于用戶身份而獲得的，而未被認證的用戶是要阻止其進入網(wǎng)絡的。那么對認證過程進行加密就成為了先決條件。網(wǎng)絡配置成功后，嚴格的認證方式和策略非常重要。除此以外不定期的網(wǎng)絡測試也是確保網(wǎng)絡設備配置正常的重要手段。

6 入侵

由于絕大多數(shù)的無線WiFi 網(wǎng)絡都是開放式的，同時為了能夠使用戶很容易的發(fā)現(xiàn)WiFi 網(wǎng)絡的存在，WiFi 設備必須不斷的發(fā)送有特定參數(shù)的信標幀，這就導致了入侵者能夠獲得一些基本的網(wǎng)絡信息。入侵者可以使用類似高敏天線的設備從比較遠的距離發(fā)起對網(wǎng)絡的攻擊而不需要有線網(wǎng)絡方式的硬件接入。

采用一種高成本的方式如增設建筑物的電磁屏蔽來防止電磁波的泄漏，可以使開放式的WiFi 網(wǎng)絡成為封閉式。或者通過加強網(wǎng)絡訪問控制從而減少WiFi 網(wǎng)絡配置中存在的風險。在實施過程中如將無線AP 設備配置在硬件防火墻設備的上一級，那么當采用VPN 技術來連接主網(wǎng)絡時會相對的比較安全，當然使用IEEE802.1x 標準下的新型無線WiFi 設備可以取得更好的效果。通過企業(yè)網(wǎng)絡中已經(jīng)建立好的數(shù)據(jù)庫，IEEE802.1X 無線網(wǎng)絡的前端認證可以轉換到有線網(wǎng)絡中的RASIUS 認證。

圖4 非法AP

7 非法進入的AP

由于wifi 無線網(wǎng)絡本身就是為了便于用戶接入，同時其信號網(wǎng)絡又是開放性的，所以無線wifi網(wǎng)絡具有配置簡單、易于訪問的特點。那么就導致了隨便什么人都可以使用自己的無線AP 設備，在不經(jīng)授權的情況下而接入網(wǎng)絡。這些非法進入的AP 會給網(wǎng)絡的安全與穩(wěn)定帶來很大的隱患。

高頻率的對站點進行定期監(jiān)測和審查，可以大大提高發(fā)現(xiàn)非法配置站點的幾率。

8 傳輸流量的偵聽與分析

由于802.11 控制不了入侵者對網(wǎng)絡流量的被動偵聽，從而使任意的無線WiFi 分析設備都能夠隨意地偵聽未進行加密的傳輸流量。

WEP 僅能保護用戶和通信的原始數(shù)據(jù)，而且無法加密認證控制幀，致使入侵者有機會以欺騙幀的方式中止流量的傳輸。新型的無線WiFi 設備利用密鑰管理協(xié)議使秘鑰每15分鐘就可以更換一次，提高了防護的等級。但是當傳輸比較重要或敏感的數(shù)據(jù)時，僅僅使用WEP 加密就無法滿足要求。需要采用更加可靠的協(xié)議進行加密，如IPSec、SSH、SSL等加密技術，來進一步提高數(shù)據(jù)的安全等級。

WAP-3502C 可以對覆蓋區(qū)域內(nèi)的wifi 報文進行偵聽。

9 低速信標導致的網(wǎng)絡癱瘓

無線WiFi 網(wǎng)絡的傳輸帶寬是有限的，由于傳輸設備和線纜等的消耗，使得無線WiFi 網(wǎng)絡的實際最高傳輸帶寬僅僅達到標準的一半，并且該帶寬還是被無線網(wǎng)絡中的所有用戶共享的。

現(xiàn)在的接入設備發(fā)射功率都不算低，2.4Ghz 覆蓋范圍大，當在高舉架大空間沒有無建筑構件阻礙信號的空間中時，即使位于遠離信號發(fā)射設備的地方，也會以比較低的連接速率進行無線覆蓋，這就造成了遠距離用戶的低速率接入，用戶既無法有效連接還會因接入用戶過多而把整個信道搞到堵死。只要將低連接速率的遠距離用戶信標關閉，例如在802.11g 中只連接36M/s、48M/s、54M/s，其他相對較低的速率一律不再連接來解決此種問題。

10 結語

對于以上常見的無線Wifi 覆蓋問題，在采用了合適的方法、技術及產(chǎn)品后，都可以得到相對有效的解決。