王晓宇 卢皛 张军

摘要：本文论述了无线局域网技术应用，并通过杭州武林大厦的实际工程案例，介绍了无线局域网的安全风险及对策。

关键词：无线局域网；安全

Abstract: this article discusses the wireless local area network technology application, and through the practical engineering building hangzhou wu3 lin2 cases, introduces the wireless local area network security risk and countermeasures.

Keywords: wireless LAN; security

中图分类号： TP393.1文献标识码：A文章编号：

无线局域网是计算机网络与无线通信技术相结合的产物。通俗地说，无线局域网就是在不采用传统线缆的同时，提供以太网或者令牌网络的功能。IEEE802.x无线局域网标准让各种不同厂商生产的无线产品得以互联互通、互相兼容，使无线局域网在各种有移动要求的环境中被广泛接受。

一、前言

无线局域网(Wireless Local Area Network，简称为“WLAN”)本质上是一种网络互连技术，它是计算机网络与无线通信技术相结合的产物。是通用无线接入的一个子集，可支持较高的传输速率(可达2Mbps～300Mbps) ，传输距离可远至30km以上。无线局域网利用电磁波在空气中发送和接受数据，而无需线缆介质，它是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速方便地解决使用有线方式不易实现的网络联通问题。

二、无线局域网的拓扑结构

通常可分为两类：无中心拓扑方式和有中心拓扑方式。

（1）无中心拓扑方式

该方式是无线网络中最简单的应用，需要联网的计算机只需安装无线网卡，即可实现整个网络资源的共享。而无线网卡本身集成了内置天线，可以有效地提高无线信号的覆盖范围，一般可覆盖多达几十米。若采用合理的外接天线，选择合适增益的天线，则可以把无线电信号传递到更远的范围。

（2）有中心拓扑方式

在這种结构的无线接入网中，有一个无线站点是中心接入点AP，此站点控制接入网中所有其他站点对网络的访问。由于覆盖范围相对较小，当网络中站点数目增多时，网络的吞吐性能和延时性能可以控制在一定的范围。连接到AP的计算机均可共享网络上的资源和打印机。而且，AP为实现域网互联和接入有线主干网络提供了一个逻辑接入点。但当AP出现故障时，网络很容易陷入瘫痪；并且AP的引入增加了网络设备成本。

实际应用中，无线局域网往往与有线干线网结合使用，通过AP网桥上的以太网口实现与有线主干网络的互联。

三、工程应用实例

武林大厦位于杭州市莫干山路与环城西路交叉口，为一幢16层楼的建筑物，建筑面积为20500平方米，由于大楼建成于12年前，原有网络设备不能满足信息化建设的需求，在此基础上继续扩建有线网络受弱电井道、平面桥架等建筑结构的制约，难度和成本都很大，故此采用无线局域网技术来解决这一问题。

根据前期需要分析，确定本工程采购的设备如下：

由于AP设备的无线覆盖能力与其发射功率和应用的覆盖环境条件有直接的关系，在开阔环境的覆盖范围应能够达到150-300米，室内半开放的办公环境覆盖范围可达到30-50米。有关数据显示，计算机无线网络在2.4GHz频段上，穿透一堵混凝土墙时，信号损耗约为20db。由于室内环境复杂多变，无线发射功率低，因此很难有合适的无线覆盖数学模型可供使用。这就决定了现场勘测对优化无线局域网组网设计是必须的。利用厂商提供的客户端软件包含的完善的现场勘测功能，可以方便用户进行无线覆盖设计。在施工图设计时，按每个AP的覆盖半径15米来预留信息点及电源，考虑了约50％的冗余，根据现场的实测情况，有选择地确定AP设备的具体安装点。

由于AP设备的自身特性，终端设备采用的无线网卡芯片的性能将影响到连接的稳定性，建议采用intel或Atheros等芯片的无线网卡，另外由于AP本身是一个集线器，连接到同一AP的终端之间会相互影响，高速率的连接会减少相互影响，所以终端设备与AP的连接速率是系统性能的一个重要影响因素。

施工完成后对设备进行配置，实现与原有网络的互通，全大楼统一SIID为Intel，实现无线漫游，对接入的终端设备进行登记，划分多个vlan，将不同的终端分配到不同的vlan中。配置完成后对整个系统进行全面的测试并完善系统功能。

四、无线局域网的安全风险和安全设计

安全风险是指无线局域网中的资源面临的威胁，包含有以下几个方面：

（1）IEEE 802.11标准本身的安全问题；

（2）非法接入无线局域网导致的安全问题；

（3）数据传输的安全性问题。

当一个无线局域网组建成功后,用户最关心的是无线局域网的安全问题。为了保证网络安全,我们可以从以下几个方面考虑:

（1）用户接入认证控制:原有线如果网络已经部署了用户认证系统,建成后的无线网络必须完全融合进该认证系统中。

（2）基于用户的访问策略:不同的用户可能有不同的上网行为,包括HTTP、FTP、语音等,针对不同的应用,应加以配置不同的行为控制权限,保障不同用户的网络互访的安全性。

（3）受保护的无线数据传输:无线网络安全事件往往会发生在数据传输阶段。因此,建成的无线网络必须能够满足合法的无线用户与无线接入点数据传输的安全性,以及无线接入点与上行网络之间数据传输的安全性。

结合以上考虑以及原有网络的实际情况，采用的安全措施有：

（1）终端设备登记，实行mac地址与ip地址的绑定策略，控制非法终端的接入；

（2）将不同终端划分到不同的vlan中，配置不同的访问策略，保障不同用户的网络互访的安全性；

（3）加密方式采用WPA2加IES认证，保障数据在传输过程中的安全；

（4）利用设备自身安全技术，保证设备的性能在受到网络攻击时不会下降，并能有效抵御攻击；

（5）由于AP设备安装在天花板上，为防止失窃，将设备加锁保障物理安全。

五、结束语

无线局域网作为一种新的网络解决方案，大大增强了网络覆盖能力,对提高企业的信息化水平有着巨大的作用。尽管目前无线网络在速度、抗干扰性、保密性等方面还不如有线网络，但我们有理由相信，伴随无线网络技术的发展及无线网络产品价格的不断降低，无线局域网的应用会越来越广泛。

参考文献

1、GB15629.11-2003：中华人民共和国无线局域网国家标准

2、金纯，陈林星，杨吉云，《IEEE 802. 11无线局域网》，电子工业出版社，2004

3、王玲等:IEEE802.11无线局域网技术及安全性研究.电脑开发与应用, 2007年02期

注：文章内所有公式及图表请以PDF形式查看。