某校园无线网安全防范设计方案

1 某校园无线网安全防范设计方案 第一章 绪 论 概述 无线局域网（ 术于 20 世纪 90 年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点： 简易性： 桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得 备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面 络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于 术本身就是面向数据通信领域的 输技术，因此可直接通过百兆自适应网口和企业、学校内部连，从体系结构上节省了协议转换器等相关设备； 扩展能力强： 桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统； 随着 术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆，向客户提供各种业务 。 求分析 设背景 在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。但随着教学设施的完善，越来越多的便携式计算机终端被带进了教室，越来越多的学生也开始拥有了带有无线网卡的计算机终端。教师和学生对高校校园网的依赖性相当之高，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？ 体建设目标 2 利用无线 网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络； 促进教学和科研发展，进一步拓展研究空间； 提升校园网络环境，提高管理水平和效率，推动学校信息化建设； 要覆盖部分原来没有有线网的空间，诸如：报告厅； 由于本工程是在校园有线网的基础上加以无线扩充（即采用 无线网络不近接入到有线网络）。 体实施目标 侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境； 采取通行的网络协议标准：目前无线局域网普遍采用 列标准，因此校园无线局 域网将主要支持 54M 带宽）标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持 现双频三模技术； 全面 的无线网络支撑系统（包括无线网管、无线安全，无线计费等）， 以避免 无线设备及软件 之间的不兼容性或网络管理的混乱 而 导致 的 问题 ； 保证网络访问的安全性；采用非独立型的无线网络结构选型。 覆盖范围要求： 有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各宿舍及教学楼附近空地等。 有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等； 安全、认证、计费和管理要求： 要与现有的计费系统对接，实现针对用户计费、管理、控制功能； 校园无线网网络结构要求： 无线接入所需布设的 过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。 工程布线和安装要求： 室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天 3 花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。 室外部分：根据设备位置有两种布线方式。如果 备放置在楼顶，则需要走网线和电源线；如果 备放 置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶方式处理，安装过程中应充分考虑防盗。 供电部分： 供电可采用 式由接入的网络设备进行供电（无需本地供电）。 产品能力要求： 产品支持 密等安全标准； 漫游切换； 支撑 力。 线校园网在教育中的发展与应用 无线校园网的建立发展不断地改变我们学生和老师的日常学习生活，各个方面都有典型的应用比如： 供教学无线网络 通过无线校园网络覆盖教学楼及些校内公共课教学环境，如计算机公共机房、电教楼公共教室等。为广大师生提供了一个更为有效的网络互动平台，加强了学习生活的交流，同时 4 为学生在教室内的自习提供一个方便的查询资料的网络环境。 供图书馆无线网络 通过无线校园网覆盖整个图书馆内所有的区域，教师和学生可以很方便地利用无线网络使用图书馆提供的各种数字化服务，能够了解查阅各类信息知识。 供行政办公网络 通过无线校园网覆盖学校的各系、院办公楼和行政办公区，通过对办公区域提供无线网络，提高了各职能部门的效率，满足了教职员工的在线查询能力，大大提高了各职能部门的服务质量。 供教工、学生宿舍网络 在部分的教工宿舍和大部分的校内宿舍提供了无线局域网无限覆盖，满足了教工和学生临时上网的要求。 线应急系统 在出现需要突发性大规模网络服务要求的场合，提供临时性的无线网络服务，满足用户对网络的需求。 校园信息化建设一直是高质量、高效率教学办公的保障，随着 线局域网技术和无线产品的成熟，无线网络的应用将会为网络化学习、教学开创新的应用模式； 利用无线网络实现校内信息的发布、共享、传递，推进教学及管理信息化，拓展学生的知识面。而有线网络只能提供师生们固定的、有限的网络信息点，随着时代的进步，笔记本电脑的普及，师生们希望不仅仅是在实验室才能将他们的计算机连上网络，而在校园的草坪上、宿舍区、学术报告厅里、图书馆的任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或 愿再受有线的束缚。 术的出现，学校采用无线组建校园网，学生们不仅可以在宿舍和实验室固定的地方上网 ，还可以在课堂上、图书馆、自习室也能很方便的接入， 甚至根据自己的合理时间安排，在学校宽阔空旷的花园草坪上上网查阅学习资料。在考试前夕更可以减少实验室、图书馆等可以有线园区上网的压力，改进学校的学习环境，提高了学生的学习效率与成绩。所以，对于学校来说，一方面教学的互动性增强了，另一方面，教学的信息量大大增加了；在课堂上，学生不再仅仅是被动的听者，也是互动教育的参与者，学生可以用自己的资料来参与教学，同时这些数据可随时共享，在课堂上现场做演示，并允许老师和同学们共享文件。回到宿舍，学生也不再为找网络接口而发愁，躺在宿舍的床上既可用笔记本无线上网，享受最前沿科技 带来的便捷和乐趣，周末期间可在多个宿舍之间自由共享文件进行学习探讨、学术交流、音乐视频点播等自由娱乐。 5 第二章 无线网络设计方案 硬件选择与配置 述 线局域网）是通信行业的一个时髦词语，而且可以肯定它是一种人人都想使用的技术。 得如此流行的原因是易于安装和使用。通过 统，用户无须考虑复杂的线路连接和布置问题。可是 统也不是完全的“无线”，因为只有客户端是可移动的，而服务器或者说接入设备是固 定的。 使用 决方案，网络服务商和企业能给他们的客户提供无线局域网服务，这些服务包括： 使用带有 能的设备组建一个无线网络。这个网络可以成为接入固网或者入口。 配置了无线 卡的客户端可以与无线网络建立连接并访问固网或 户端与传统的 域网的互连。 通过不同的加密和认证方式实现安全的访问。 能使用户能够安全的访问网络并且能在同一移动区域内进行快速漫游。 工作机制 以下几 个部分组成： 户端）：带有无线网卡的便携机。 入点）：执行桥接操作的设备，在客户端（ 局域网（ 间对无线帧和有线帧进行相互转换。 线控制管理器）：对 所有 行管理和控制的设备，通过与认证服务器的通信来进行信息过滤。 线媒介）：用于客户端间进行帧传输的媒介。在 统里使用无线电频率做为媒介。 统逻辑上是一个专一的针对无线局域网的解决方案。图 1示了典型的统。 6 图 1 典型的 统 在这个组网中有 1 个 3 个 以和 连，或者被 2 层或 3 层网络隔离开。在初始化阶段， 取自身的网络配置，包括 址和 务器的 址。用一个发现机制来识别邻近的 能请求 务器提供 网络地址。 (1) 客户端如果想和其它客户端进行通信必须与网络中的 立起连接。 (2) 然后 行通信，认证客户端的身份。 (3) 一 旦客户端被认证通过，它就可以和网络里的其它客户端进行通信了。 基本配置项 国家码：国家码会决定系统的许多特性，例如运行所需的电源规格，以及帧传输可以使用的频段总数等。 口：无线控制器支持 型虚拟接口。块动态地为每一个无线接入服务创建一个 接口，此虚接口的置继承于 口。 口是一种虚拟的二层接口，类似于型的二层以太网接口，具有二层属性，并可配置多种二层协议。它为 口提供配置模板。用户可以为 口配置参数，这些参数将应用到该接口下的口上。 无线策略：将 无线参数抽象为一个无线策略模板，通过将无线策略模板下发到 的方式实现对 线参数的配置。减少了为每一个 置无线参数的工作。 服务模板：提供对客户端的接入和访问控制等功能。每个服务模板对应一个口，服务模板和 口组成了 逻辑管 理接口 板： 板为 了对 行管理和配置创建的与 一对应的模板。首先在 创建 板， 板的 唯一标识，与 一对应。通过对 板的配置完成对 配置。 7 线网络设备选购 线网卡 无线网卡是终端无线网络的设备，是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置，但是有了无线网卡也还需要一个可以连接的无线网络，如果你在家里或者所在地有无线路由器或者无线 线接入点）的覆盖，就可以通过无线网卡以无线的方式连接无线网络可上网。 线网卡标准 使用 5段，传输速度 54 兼容； 使用 段，传输速度 11 使用 段，传输速度 54向下兼容 ：用于 的迅驰 2 笔记本和高端路由上，可向下兼容 ,传输速度 300 线网卡的分类 无线网卡按照接口的不同可以分为多种： 一种是台式机专用的 口无线网卡； 一种是笔记本电脑专用的 口网卡 ； 一种是 线网卡，这种网卡不管是台式机用户还是笔记本用户，只要安装了驱动程序，都可以使用。在选择时要注意的只有采用 口的无线网卡才能满足 需求。 线网卡除此而外，还有笔记本电脑中应用比较广泛的 内置型无线网卡，其优点是无需占用 或 槽，并且免去了随时身携一张 或 的麻烦。 台式机专用的 口无线网卡 笔记本电脑专用的 口网卡 8 卡 口无线网卡 线网卡 笔记本电脑内置的 线网卡 线网卡 线网卡与无线上网卡的区别 无线上网卡 无线网卡和无线上网卡外观很象，但功用确大不一样。通过这一比较可见，二者虽然都可以实现无线上网功能，但其实现的方式和途径却大相径庭。所有无线网卡只能局限在已布有无线局域网的范围内。如果要在无线局域网覆盖的范围以外，也就是通过无线广域网实现无线上网功能，电脑就要在拥有无线网卡的基础上，同时配置无线上网卡。 由于手机信号覆盖的地方远远大于无线局域网的环境，所有无线上网卡大大减少了对地域方面的依赖，对广大个人用户而言更加方便适用 实现的方式和途径是完全不同的。 无线网卡主要应用在无线局域网内用于局域网连接，要有无线路由或无线 样的接入设备才可以使用，而无线上网卡就象普通的 56K 样用在手机信号可以覆盖的任何地方进行 入，新手要注意区别。 线 线 线访问节点、会话点或存取桥接器）是一 个包含很广的名称，它不仅包含单纯性无线接入点（无线 也同样是无线路由器（含无线网关、无线网桥）等类设备的统称单纯性无线 是一个无线的交换机，提供无线信号发射接受的功能。单纯性无线 工作原理是将网络信号通过双绞线传送过来，经过 品的编译，将电信号转换成为无线电讯号发送出来，形成无线网的覆盖。根据不同的功率，其可以实现 9 不同程度、不同范围的网络覆盖，一般无线 最大覆盖距离可达 300 米。 多数单纯性无线 身不具备路由功能，包括 内的服务器功能都必须有独立的路由或是计算机来完成。目前大多数的无线 支持多用户（ 30电脑）接入，数据加密，多速率发送等功能，在家庭、办公室内，一个无线 可实现所有电脑的无线接入。 单纯性无线 可对装有无线网卡的电脑做必要的控制和管理。单纯性无线 可以通过10口与内置路由功能的 接相连，也可以在使用时通过交换机 /集线器、宽带路由器再接入有线网络。 无线 网结构图 P 选购 介： 华三通信技术有限公司（ 主研发的双频多模系列无线接入点，可广泛应用于各种向用户提供 入的无线网络； 为瘦 P）与 司自主研发的无线控制器系列产品配套使用。 要参数 无线 作方式：室内型 P 无线 输距离： 600m 频率范围： 10 网络标准： 制技术： 接收灵敏度： 4他功能：支持虚拟 持 “ 零配 ” 安全： 口类型： 1 个 10/100出功率： 2向 网络接口 参数纠错 1 10/100M 、 4 10/100M 安全性能 参数纠错支持 证 参数纠错 19 线网络的配置 线网络的安装 确定你的电脑已安装好无线网卡。确定开启了电脑的无线网卡。内置无线网卡的笔记本电脑一般均有开关无线网卡的装置，和表示无线网卡开关状态的指示灯。 打开“网络连接”设置窗口 在桌面右键单击“网上邻居”，点击“属性” 菜单。 保证无线网络连接已启用 在“网络连接”窗口中，如果“无线网络连接”状态是“禁用”，右键单击“无线网络连接”，点击“启用” 菜单。 查看可用的无线连接 右键单击“无线网络连接” ， 点击“查看可用的无线连接” 菜单。 连接校园无线网络 在“无线网络连接”窗口中，选择“ 线网络，然后点击“连接”按钮。 在弹出的对话框中，点击“仍然连接”按钮： 至此便建立了与校园无线网络的连接。连接成功后，将显示星号标记，和“已连接上”文字。 拨号认证上网 无线网络连接成功以后，用户便可以使用已申请的教育网或网通的 帐号 密码，拨号认证上网，访问校园网和 有线网络登陆方式一样。 断开校园无线网络 上网完毕注销账号后，或不需要再使用无线网络时，在“无线网络连接”窗口中，选择“ 线网络，然后点击“断开”按钮。 在弹出的对话框中，点击“是”按钮。 配置 ” 在无线校园网的部署 配置对无线校园网的价值 通过全新的网络管理接口可以很好的解决目前无线校园组网中存在的管理问题： 1、 用户只需要建立业务参数模板和设备参数模板，并设定指定的 用这些模板，当 P 启动时无线控制器会根据预先的配置引用信息给 P 下发配置，用户的配置工作量大大减少。 2、 用户对 P 的管理是通过无线控制器来代理完成，网管不再关心 P 的 P 和无线控制器之间的关联是自动完成，不再需用户对 行的配置干预。 3、 无线用户的数据报文被 P 封装在 的数据隧道中，接入 边缘网络不需要再为无线用户的接入而更改 配置 20 4、 无线控制器保存了所管理的 P 的运行状况和在线用户统计信息，维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对 P 的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到 备，而只需要登录到指定的无线控制器就可以完成设置， 无线控制器会自动把新的配置下发到指定的 P。 5、 用户不再需要手动逐一对 备进行软件升级， 每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新， 6、 地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。 无线控制器和 P 之间的网络拓扑 在集中式 理模式中， P 和无线控制器之间可以支持三种网络拓扑结构： 1、 直连模式： :P 和无线控制器直接互联，中间不经过其他设备节点 。 2、 二层网络连接模式： P 和无线控制器同属于一个二层广播域， P 和 3、 三层网络连接模式： P 和无线控制器属于不同的 段 . P 和 间的通信需要通过路由器或者三层交换机三层转发来完成 。 图 1 无线控制器和 P 之间的网络拓扑 21 获取 址 P 在和网络通信前必须能够获取自身的 址，为了减少维护人员的配置， P 地址，目前业界标准的 做法是采用 能 . 动以后会在其上行接口上通过 块发起获取 址的过程 . 通过 协议交互P 可以从 取到以下信息：自身使用的 址、 址、网关 址、域名、可接入的无线控制器的 址列表 (此信息通过 供 )等 。 发现相同二层网络内的无线控制器 (含直连模式 ) P 一旦获取到 址，就会通过广播方式发起无线控制器发现请求 P 同属于相同二层广播域的无线控 制器会根据预先配置的可接入 P 的发现请求 P 均衡的接入到不同的无线控制器。 P 和无线控制器的交互过程详见图 2： 图 2 相同广播域内的无线控制器发现过程 发现跨三层网络的无线控制器 P 还能够支持被跨三层网络的无线控制器管理 此 P 已经无法通过二层广播方式来发现无线控制器而只能通过单播形式来发现远端的无线控制器， 但 P 如何能够获取到无线控制器的 址呢？ P 支持两种方法来实现这一功能： 方法一： P 从 取 址时同时会获取到自身的 字和 址， P 将获取到的 字和固定的 拼接成 2 域名，同时 P 会向 求解析获取 址，用户只需在 配置 应的无线控制器的 址， 能获取到 无线控制器的 P 地址发送无线控制器发现请求 。 方法二：用户在 通过 性来配置无线控制器的 址，当P 在从 取 址时，通过解析 应报文中携带的 性就可以获取无线控制器的 址并向该 址发送无线控制器发现请求 。 部署于 栈网络 为了适应下一代 络的部署要求， 司的 P 能够同时满足 种不同网络的组网要求 (图 4 所示 )，为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整 P 的缺省发现方式 P 会首先作为 点发起无线控制器发现过程，当发现过程失败以后， P 会切换到 点方式继续无线控制器发现过程 . P 会在以下两种情况下切换到 式： P 无法从 取到 络地址 P 在 络没有无线控制器响应 P 的发现请求 P 在 络中和所有的无线控制器建立连接失败 。 图 3 无线控制 器部署于 栈网络 件下载 很多情况下网络维护者需要升级 P 的软件，如果采用传统的设备升级方法则需要网络维护者利用 逐一对需要升级的 行软件升级，为了保证升级以后的可回退性，还需要在 间中保存备份软件。这种升级方式对于网络维护者的工作负担很大，同时为了支持升级以后的可回退性而增加 间会提升 成本。为了简化网络维护者的工作， P 在每次启 动时都会比较本地保存的软件版本和无线 23 控制器上保存的 P 的软件版本，一旦 P 发现本地保存的版本不是最新版本时， P 会主动要求从无线控制器下载最新的软件版本，这个下载更新过程无需用户配置干预 . 为了保证下载过程的可回退性， P 的 件可以监控下载的 旦发现 P 软件无法正常启动， 件会接管和无线控制器的交互，强制升级本地软件版本。 配置下发 P 为了给无线用户提供接入服务需要获得无线业务参数、射频参数 等配置信息。在分布式管理模型中网络维护者需要登录到每台 对这些参数进行逐一配置，配置工作量巨大 P 的配置信息保存在无线控制器上， P 在每次系统启动时都会从无线控制器上下载。为了方便配置， 无线控制器提供了通用的业务模板和设备模板，用户可以根据开通的业务建立一个模板，并由不同的 引用。例如：用户可以配置一个针对加密用户的服务模板，该模板内包含： 密 ”，加密方式=证方式 =板被 用，这样用户就不用再 对每个 配置这些参数，而只需配置一遍。 同 同 能的配置 组网需求 换机、便携机（安装有 11b/g 无线网卡） 组网图 序列号为 有两个 别是 密的密钥为 12345，密钥索引为 1。 密的密钥为 67890，密钥索引为 2。 无线客户端连接 属于 ， 4 网段。 无线客户端连接 属于 ， 4 网段。 24 无线校园网设计分析 计原则 无线局域网的主要指标决定了设计无线局域网的原则是以数目尽可能少的 户相对疏散区域只需要布置少数 可，以 盖范围最大为宜：用户相对密集区域需要通过增加单位面积内 目来为用户提供可靠服务。前者主要考虑覆盖范围这一因素，后者则主要考虑单位面积系统容量这一因素 。 与校园网骨干网相连的以太网交换机、 远程无线网桥将不同容量、分布在不同 问的局域网连入校园网从而实现了各分组局域网通过校园网骨干网接入中国教育网 ( 设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。 一般来讲室内容许最大覆盖距离为 35100 米，室外容许最大距离 100400 米； 障碍物阻挡； 要观测无线覆盖周围的障 碍物确定 数量和放置位置。 磁波对于各种建筑材质的穿透损耗的经验值如下： A. 水泥墙 (1525 衰减 1012. 木板墙 (510 衰减 56. 玻璃窗 (35 衰减 57种建筑材料对无线讯号的影响如下： 当 终端隔一座水泥墙时， 可传送覆盖距离约剩下 5 米有效距离。 当 终端中间隔一座木板墙时， 传送距离约剩下 15 米有效距离。 当 终端中间隔一座玻璃墙时， 传送距离约剩下 15 米 有效距离。 所以在安 装选点时，一定要注意以避开墙、柱子等。 计方案 根据无线校园网的设计原则，对各场所需采用不同的设计方案： 教室和图书馆是教师和学生的主要活动场所，最适宜采用无线局域网覆盖方式根据室内面积及容量，确定 数目及位置。 办公室及实验室都是相对独立的，根据实际需要，可以在楼道中或每个房间内设置一定数目的 别是在会议室、报告厅内 ，由于 容量较大、用户相对密集，可以采用蜂窝网络结构和微蜂窝网络结构来保证各区域完全得到网络覆盖。 机房内容量和布置相对 固定 ， 一 般不会有太大变动，可以采用传统的以太网。如有必要可以将无线局域网作为有线网络的扩展，以达到增加机房容量的效果。 25 由于学生公寓内房间数较多、面积相对较小，不适 宜在室内布置 以采用在公寓四周架设 方法，让 信号透过玻璃窗覆盖各房间。 运动场等室外场所网络用户稀疏且地带空旷，布置无线局域网时主要考虑覆盖面积的因素。为扩大单个 覆盖范围，可以为每个 装功率放大器以及大功率天线。 为更好地实现室内各个角落的信号覆盖，可以采用室内天馈系统。 络拓朴结构 整个校园具体拓 朴结构图如下图所示： 公楼 盖解决方案 在对办公楼的 线覆盖过程中，工程施工方公司在设计方案中提出采用有线方式将网络信号直接引入室内，再通过小型 线将信号发送出去。我们通过实地调查研究发现，我校办公楼为 4 层，东西方向共有办公室近一百间，有无线上网需求电脑差不多 100台左右，工作高峰期上网用户电脑数约为 80 台。具有上网用户数密度较小，无线覆盖保障范围较大的特点。如果采用 g 标准，工作频段为 线信号穿过室内墙壁时信号衰减较大 ,需布设大量 入节点才能达到楼宇整体覆盖的理想效果。而且存在同时上网人数偏低 ,造成无线 备及无线信号带宽浪费严重的现象，使设计及安装的人力和物力成本较高。 在调查中我们发现，办公楼“移动”信号覆盖较好， 站规划合理、科学，无信号盲区存在。考虑到 站发射信号与 号工作频段间隔较大，二者不会产生信号 26 干扰，我们便利用办公楼周边多个 站，在已有 站的天线上安装 500线 容 g)，选取宽角度定向板状天线对办公楼进行全面覆盖。我们选取办公大楼每层 5 个测试 点（每层楼两端选取 2 个测试点，沿楼层水平线中段选取 3 个测试点），通过对信号质量进行检测，各楼层 95%的区域 号强度在一 75上，且每用户信号带宽达到 100上，取得了较好的覆盖效果。 置统一的 理 为了加强无线网络的安全性及可管理性，我们将无线网络单独组网。即在物理链路上量接入无线专用的交换机，在逻辑拓扑结构上无线网络划入一个单独的无线 行管理，从而形成无线校园网与有线校园网并行管理的网络。这种设计原则提高了管理无线设备的效率，便于依据实际需要对无线网络实施特有 的网络管理策略，也便于实现基于校园无线网络的特定开发。我们根据无线用户所处的地理位置及所需要的无线应用要求不同，将无线网络划分成若干个无线 行管理，每个 以单独启用加密和认证，使得用户可以按照身份不同得到不同的校园网络访问权限。一个不同于有线网络的 当于在逻辑上建立了一个独立于有线的网络。在此基础上采用统一的安全策略、认证方式、访问控制都非常方便，对于无线 的任何修改只会影响到这个 无线用户，而不会波及到有线网络用户。另一个特殊的优势是可以在用户名和某个特定的 址 之间建立起关联关系，只需要在这个 样用户不管在学校的哪个热点地区无线上网，都可以使用相同的 址登陆校园网，加强了对外来无线用户的管理。另外，无线用户还可以融合校园认证系统实施认证计费。 27 第三章 安全防范 述 安全问题一直是制约无线局域网技术的推广的关键因素之一，越来多的决策者认为安全问题是影响他们做出无线局域网部署决定的首要因素。实际上， 及 盟、无线局域网标准的制定机构和软硬件厂商，一直致力于重新定义和改进无线局域网安全标准，以便无线局域网能经受恶劣的安全环境的考验。本方案对无线局域网各种安全标准和协议进行分析与研究，提出了选择无线局域网的安全策略，并给出了无线局域网安全技术在校园网工程建设中的应用。 线局域网的安全认证 在无线客户端和无线 换数据之前，它们之间必须先进行一次对话。在 准制定时， 其中加入了一项功能：当无线客户端和无线 话后，就立即开始认证工作，在通过认证之前，设备无法进行其他关键通信。这种认证方式有两种：开放认证和共享密钥认证。 放认证 开放认证方法是 准中默认的认证方式，在明文状态下进行认证，认证过程如图所示：客户端向 送认证请求， 认认证，注册客户端；客户端发送连接请求给认请求，注册客户端。通常 开放认证有三种策略：第一种策 略为默认方式，允许任何客户端认证；第二种是只允许认证带有合法服务器标识 际为 客户端，当于密码的作用 ;第三种是 允许认证 址在 访问控制列表中的客户端。 28 享密钥认证 共享密钥认证是基于 享密钥的认证方法，前提是客户端和 己经预先手动设置好了共享密钥，共享密钥认证与开放认证相似，只不过它使用 认证过程进行加密，因而其安全性要高于开放认证。 线局域网的加密技术 加密技术是网络安全的一项重要技术。 无线局域网提供了三种安 全性保护协议 :要的方法有无线局域网 略、无线局域网鉴别与保密基础架构 及 准中的 等。其中 我国自主研发的、拥有自主知识产权的无线网络安全标准而 要进行无