无线局域网的组建与安全设计的毕业论文

学 院 毕业设计 论文 题 目 无线局域网的组建与安全设计 系 部 专业班级 学生姓名 学生学号 指导教师 职称 导师单位 精品文档 2欢迎下载 无线局域网的组建与安全设计 摘 要 无线局域网络 Wireless Local Area Networks WLAN 是相当便利的数据传输系 统 它利用射频 Radio Frequency RF 的技术 取代旧式碍手碍脚的双绞铜线 Coax ial 所构成的局域网络 使得无线局域网络能利用简单的存取架构让用户透过它 达 到 信息随身化 便利走天下 的理想境界 因其具有灵活性 可移动性及较低的投资成本等优势 无线局域网解决方案作为 传统有线局域网络的补充和扩展 获得了中小型办公室用户 广大企业用户及家庭网 络用户的青睐 得到了快速的应用 无线局域网可以提供传统 LAN 技术 如以太网和 令牌网 所有功能和好处 并且极大地提高经济效益 提高生产率 48 提高企业效 率 6 改善收益与利润 6 降低成本 40 使用无线局域网不仅可以减少对布线的需 求和与布线相关的一些开支 还可以为用户提供灵活性更高 移动性更强的信息获取 方法 近年来 无线局域网产品逐渐走向成熟 无线局域网带宽很宽 适合企业部门进 行大量双向和多向的多媒体信息传输 正在以它的高速传输能力和灵活性发挥日益重 要的作用 本文对部门办公无线局域网的基本结构做了介绍 并对该网络的组建及安 全维护做了阐述 因为无线网络比有线网络更容易受到入侵 精品文档 3欢迎下载 前 言 无线局域网是 20 世纪 90 年代计算机网络与无线通信技术相结合的产物 它使用 无线电波代替双绞线 同轴电缆等设备 提供了使用无线多址信道的一种有效方法来 支持计算机之间的通信 并为通信的移动化 个人化和多媒体应用提供了潜在的手段 1 它既可满足各类便携机的入网要求 也可实现计算机局域网远端接入 图文传真 电子邮件等功能 无线局域网技术作为一种网络接入手段 能迅速地应用于需要在移 动中联网和在网间漫游的场合 并在不易架设有线的地方和远冲离的数据处理节点提 供强大的网络支持 同时无线局域网的载频为公用频段 无需另外付费 因而使用无 线局域网的成本较低 无线局域网带宽更会发展到上百兆的带宽 能够满足绝大多数 企业的带宽要求 因此 WLAN 已在许多行业中得到了应用 人们生活在 移动 的世界中 越来越多的移动产品的出现 标志着人们对快捷数 据访问的需求在不断增加 近年来计算机局域网得到了很大的发展与普及 局域网已 成为提高工作效率及生产率不可缺少的工具 通过无线局域网可以实现许多新的应用 这表明无线局域网的时代已经来临 无线局域网在人们的印象中是价格昂贵的 但实际上 在购买时不能只考虑设备 的价格 因为无线局域网可以在其它方面降低成本 根据无线局域网协会的调查表明 无线局域网可极大地提高经济效益 提高生产率 48 提高企业效率 6 改善收益 与利润 6 降低成本 40 使用无线局域网不仅可以减少对布线的需求和与布线相关 的一些开支 还可以为用户提供灵活性更高 移动性更强的信息获取方法 精品文档 4欢迎下载 目 录 摘要 2 前言 3 一 组建无线局域网的准备工作 5 一 现有设备统计 5 二 网络接入方式 5 三 无线路由的安放位置 6 四 组建设备 7 1 无线网卡 7 2 无线路由器 7 3 无线访问节点 7 二 如何组建无线局域网 8 一 设备的连接 8 二 无线局域网的配置 8 1 使用何种无线标准 8 2 选择加密方式 9 三 测试无线网络 9 1 无线局域网安全测试方案设计思路 9 2 无线局域网加密状况测试方案 10 3 恶意攻击测试方案 10 三 无线局域网的安全配置 11 一 设置网络环境 11 二 IP 与 MAC 的相互绑定 13 三 防火墙 13 四 日常维护 14 一 备份 14 二 密码变更 14 三 设备维护 15 五 无线局域网故障排除 15 一 检查 AP 的可连接性 15 二 WLAN 网络配置问题 15 三 AP 无线信号强度 16 四 改变无线信号频道 16 结论 18 致谢 19 精品文档 5欢迎下载 一 组建无线局域网的准备工作 一 现有设备统计 为充分满足部门现有设备联网办公需要 建立无线局域网之前要对现有设备进行 调查统计 然后再确定无线组网方案 现有一公司位于新办公楼内 办公区域较分散 某些区域不能实施布线 其中一 个部门共占 2 层 每层 200 平方 主要办公区域在 2 楼 网络内有 20 台台式计算机 5 台笔记本 全部配有内置无线网卡 全部安装了 Windows XP 操作系统 Internet 接入采用以太网接入 10M 但是工作要求在所有区域都能上网 同时 在办公楼的 公共区域也要求能够提供无线接入 由于对网络灵活性的需求 使得无线网络成为构 建网络的首选 二 网络接入方式 无线网络有两种建网模式 Ad hoc 对等模式和 Infrastructure 的集中控制模式 Ad hoc 模式指带有无线设备的计算机之间直接进行通讯 类似有线网络的双机互联 Infrastructure 模式指无线网与有线网通过一个接入点来进行通讯 如果无线网络中 的计算机需要使用有线网络中的资源 则需要设置无线网络为 Infrastructure 模式 Infrastructure 模式的核心设备为无线接入点 一般为无线路由器 路由器将数据传 送到配备有无线网卡的电脑上 这些装有无线适配器且以与路由器联通的电脑可在路 由器工作半径内漫游 也可以安装多个这样的无线路由器来扩大漫游的范围 如图 1 所示 PC AP PC PC 路由器 集线器 Internet 图1 1 Infrastructure模式结构示意图 精品文档 6欢迎下载 无线局域网的组成包括无线网卡和无线接入点 Access Point 简称AP 无线接 入点的作用是完成WLAN 和LAN 之间的桥接 无线局域网利用常规的局域网 如 10 100 1000M以太网 及其互联设备 路由器 交换机 构成骨干支撑网 利用无线接入 点 AP 来支持移动终端 MT 的移动和漫游 配有无线网卡的台式PC机 笔记本电脑或 其他设备就可以与无线网络连接起来 对于客户端 无线网卡作为无线网络的接口实 现与无线网络的连接 因此根据部门多台计算机的无线组网的实际情况选用Infrastructure模式 计算 机通过无线网卡与AP进行通讯 AP起到了有线网络中的作用 可以组建星型结构的无 线局域网 所有传输的数据均需通过AP 由AP或路由器进行网络的控制管理 多个AP 可以相互串联以形成更大规模的网络 三 无线路由的安放位置 由于主要办公区域在二层 因而将 ADSL Modem 与无线宽带路由器 无线 HUB 放 置于二层 并通过有线方式连接 如图 是该部门房间布置结构图 无线宽带 HUB 高 达 18dBm 的输出功率可有效覆盖二层的全部无线网络环境 通过路由自动分配 IP 使得 区域内的电脑即可实现随时随地互联 接入网络 可以不受场所或房间的限制进行连 接以及共享文件 共享打印等 一楼办公区域由于电脑位置分散 可通过补充一台商用型大功率蜂鸟系列无线网 络接入点 无线 AP 以达到更大的覆盖面积和更高的连接速率 无线 AP 拥有美观的外 形 小巧的体积 决不占用过多空间 并可通过放置在天花板内减低对于环境美观造 成的影响 图 1 2 房间布置结构图 精品文档 7欢迎下载 四 组建设备 除了配备无线路由器和 AP 外 还需要准备网线 用于连接无线路由器和 AP 还 需要为工作室的每台台式电脑配备一块无线网卡 1 无线网卡 无线网卡 Wireless LAN Card 的作用类型类似于以太网中的网卡 作为无 线局域网的接口 实现与无限局域网的连接 无线网卡是终端无线网络的设备 是在无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备 无 线网卡根据接口类型的不同 主要有三种类型 PCMCIA 无线网卡 适用于笔记本电脑 支持热插拔 PCI 无线网卡 适用于台式机 和 USB 无线网卡 适用于笔记本电脑和台 式机 支持热插拔 2 无线路由器 无线宽带路由器是为家庭和小型办公室用户设计的一类无线产品 通常集成了无 线 AP 以太网交换机和 IP 路由器的功能 就是带有无线覆盖功能的路由器 它主要 应用于用户上网和无线覆盖 无线路由器还具有其它一些网络管理的功能 如 DHCP 服务 NAT 防火墙 MAC 地址过滤等功能 3 无线访问节点 即 Access Point 简称 AP 它主要在媒体存取控制层 MAC 中扮演无线工作站 与有线局域网络的桥梁 就像一般有线网络的 HUB 一般 无线工作站可以快速且轻易 地与网络相连 有了无线网卡及 AP 如此便能以无线的模式 配合既有的有线架构来 分享网络资源 在无线网的方案中全部选用高锐 CELL 系列无线网络产品 增强型 802 11G B 无 线网络宽带路由器 无线宽带 HUB 802 11B B G 三模 PCI 接口无线网卡 802 11B 商用型大功率蜂鸟系列无线网络接入点 无线 AP 其中增强型 802 11G B 无线网络宽带路由器可提供高达 108Mbps 的传输速率 完 全可满足笔记本计算机在区域内移动无线高速上网的需求 台式机全部安装 802 11B B G 三模 PCI 接口无线网卡 速率最高可达 54Mbps 灵敏度高 输出功率 17dBm 支持高达 256 Bit 的 WEP 通讯加密 而且这款设备可与一切 802 11g 802 11b 及 802 11b 无线设备兼容 为最佳无线网络配置提供完美无隙的 接合 无线访问点使用户能够自由调整网络结构和随意增加减少工位 提供随时随地 的企业网络资源访问 增强型 802 11g b 无线网络宽带路由器为办公区域部署了增强型的无线安全网络 内建防火墙及 NAT 能有效的阻挡来自 Internet 的安全性风险 基于硬件的 128 254 精品文档 8欢迎下载 Bit WEP 传输加密 提供安全的数据通信能力 支持高度安全的 802 1x 身份认证与 Wi Fi Protected Access WPA and WPA SDK 加密系统 能使网络免遭无线窃听者的 攻击 MAC 地址授权访问功能确保只有合法认证后的用户才能访问有效的网络资源 可以通过 WEB 进行配置管理 二 如何组建无线局域网 一 设备的连接 在工作室中 首先需要给每台台式安装 PCI 无线网卡 将 PCI 无线网卡和计算机 的 USB 接口连接 Windows XP 会自动提示发现新硬件 并打开 找到新的硬件向导 对话框 将随网卡附带的驱动程序盘插入光驱 选择 自动安装软件 选项 然后点 击 下一步 按钮即开始驱动程序的安装 这样 打开 网络连接 对话框就可以看 到自动创建的 自动无线网络连接 而且在系统 设备管理器 对话框中的 网络适 配器 项中可以看到已经安装的 PCI 无线网卡 然后将无线路由器的端口和进入办公网络的 Internet 接口用网线连接 另外选择 一个端口与无线接入点的端口连接 最后 分别接通无线路由器 AP 电源就可以了 二 无线局域网的配置 1 使用何种无线标准 根据各部门对网络的不同需求 要求无线网络能提供以下的应用 共享上网 从 简单的文件共享与打印共享 办公自动化 到复杂的电子商务等 由于网络内有大量 Photoshop文档列印需求 有时还有网络视频应用 因而对网络质量和速率要求非常高 普通的802 11b网络的11Mbps传输速率无法满足实际需求 而802 11n是最新的无线局域网标准 其独特的双频带工作模式 包含2 4GHz和 5GHz 两个工作频段 保障了与以往802 11a b g等标准的兼容 与以前的802 11协议 相比 IEEE 802 11n无线局域网有两方面的优势 一是短期的优势 有较高的传输速 率 数据传输速率达100Mbit s以上 使无线局域网平滑地和有线网络结合 全面提升 了网络吞吐量 二是长期的优势 今后无线局域网的产品可以使用双频方式 基于 MIMO技术 利用多天线来抑制信道衰落 和OFDM调制 正交频分复用技术 提高数据 传输速率 同时 802 11n的传输距离更远 容易与无线广域网融合 在传输速率方面 802 11n可以将WLAN的传输速率由目前802 11a及802 11g提供的 54Mbit s 108Mbit s 提高到300Mbit s甚至高达600Mbit s 传输速率提升了10倍 在覆盖范围方面 802 11n采用智能天线技术 通过多组独立天线组成的天线阵列 可 以动态调整波束 保证让WLAN 用户接收到稳定的信号 并可以减少其他信号的干扰 精品文档 9欢迎下载 因此其覆盖范围可以扩大到好几平方公里 使WLAN 移动性极大提高 在兼容性方面 802 11n采用了一种软件无线电技术 它是一个完全可编程的硬件平台 使得不同系统 的基站和终端都可以通过这一平台的不同软件实现互通和兼容 这使得WLAN 的兼容性 得到极大改善 2 2 选择加密方式 现在组建的无线局域网虽然实现了宽带共享功能 但是却非常不安全 附近任何的电 脑只要安装了无线网卡 就可以不知不觉地入侵建立的无线局域网 甚至利用宽带接 入上网 为了保证无线网络的安全 还有必要对网络进行加密 Wi Fi 组织联合 IEEE802 11i 任务组另外提出了 WPA 标准 代替在设计上有缺陷 的 WEP 协议 来缓解 WLAN 安全性的燃眉之急 该标准允许用户通过软件升级的方式 使早期的 Wi Fi 产品兼容支持 WEP 保障用户的前期投资 持高度安全的 802 1x 身份 认证与 Wi Fi Protected Access WPA and WPA SDK 加密系统在 IEEE 802 11i 标准 最终确定前 WPA Wi Fi Protected Access 技术将成为代替 WEP 的无线安全标准协 议 为 IEEE 802 11 无线局域网提供更强大的安全性能 WPA 是 IEEE802 11 的一个子 集 其核心就是 IEEE 802 1x 和 TKIP 新一代的加密技术采用的 TKIP Temporary Key Integrity Protocol 协议与 WEP 一样基于 RC4 加密算法 且对现有的 WEP 进行了改进 在现有的 WEP 加密引擎中增加了 密钥细分 每发一个包重新生成一个新的密钥 消息完整性检查 MIC 具有序列功能的初始向量 和 密钥生成和定期更新 功能 等 4 种算法 极大地提高了加密安全强度 WPA 之所以比 WEP 更可靠 就是因为它改进了加密算法 WEP 加密采用 RSA 开发的 RC4 对称加密算法 在链路层加密数据 采用静态的保密密钥 各 WLAN 终端使用相同 的密钥访问无线网络 由于 WEP 密钥分配是静态的 黑客可以通过拦截和分析加密的 数据 在很短的时间内就能破解密钥 而在使用 WPA 时 系统频繁地更新主密钥 确 保每一个用户的数据分组使用不同的密钥加密 即使截获很多的数据 破解起来也非 常地困难 3 三 测试无线网络 1 无线局域网安全测试方案设计思路 无线网的安全问题始终是影响无线网络广泛应用的最大障碍 无线网的安全问题 主要分为非法入侵和恶意攻击两大类 由于微波技术传输的特性 在某一空间内 微 波信号能够被整个空间内所有的接收设备接受 信号干扰 非法入侵等与有线网络中 完全不同的问题严重影响了网络性能 因此针对无线局域网的安全测试方案就是要在 可能的情况下 发现并定位对网络实施攻击的可行性方案 该方案主要从以下两个方 面进行 精品文档 10欢迎下载 1 物理隔离测试 物理隔离测试包括 AP 隔离测试 MAC Medium Access Control 地址过滤测试 AP 与用户两层隔离测试主要是为了对于不同的用户进行隔离 以保证只有经过授权的用户才能与特定的 AP 进行连接 MAC 地址过滤测试主要是通过 MAC 地址进行合法用户的筛选 2 加密与认证状况的测试 该测试主要是针对无线网络产品所采用的加密模式 进行测试 认证测试是指对认证过程进行测试 主要是对 802 1x 认证过程进行测试 随着安全技术的逐步成熟 困扰无线网络的安全问题从技术层面目前己经得到了 一定程度的解决 现在主要安全问题来源于使用过程中人为的疏忽 因此必须建立行 之有效的安全测试方案 降低由于人为疏忽的安全问题而引起网络性能下降的程度 本文在大量现场测试的基础之上 提出了一套以加密状况和恶意攻击测试为主的安全 测试方案 2 无线局域网加密状况测试方案 测试背景 在搭设无线网络之初 工程人员必须使用测试仪对周边环境进行信号 测试 以确保环境内没有长期的射频干扰源 可以搭建无线网络 在 WLAN 建成之后 由于无线局域网的弱授权性 弱安全性 管理员必须时时对网络内的设备的加密情况 进行测试 一方面监测长期使用本网的用户的加密状况 一方面还需要检测临时加入 该网的用户的加密状况 从而能提醒网络管理员及时对未采取加密措施的设备进行加 密处理 以避免给网络造成危险 因此 为了保证无线环境的相对安全性 应使用专 业的无线网络测试仪对无线网络环境进行基本的安全测试 从而帮助网络管理员了解 目前所处环境的基本无线网络安全状况 以便于管理员的管理和逐一对进行安全配置 测试方案 1 测试人员搜集所测试网络的基本拓扑结构 由于无线局域网的移动 性 网络拓扑会由于设备的移动而发生改变 因此在网络投入使用之前 需要了解相 对固定的网络结构 如 AP 的部署情况 信道的分布情况 在此阶段测试人员需要先期 对网络进行基本的安全测试 以保证 AP 重要的站点 长期利用网络工作的站点均使 用了健全的安全机制 并设置管理权限以避免人为对设备进行重新配置 当网络投入 使用之后 需要网管人员时时测试并监控网络 以保证流动性的站点在加入网络时也 设置了相应的安全机制 网管人员需要利用软件被动监听整个无线网络的数据包 搜 集所有的信标帧 过滤基于 SSID AP 信道和站点的安全漏洞 2 测试网络中 AP 的加密状况 根据拓扑图测试人员了解 AP 的部署情况 由于允 许通过 WEP 页面对 AP 进行配置 因此测试人员可以参照网络拓扑 对 AP 进行察看 需要的信息包括 AP 的 IP 地址 管理员用户名及密码 3 测试网络中流动站点的加密状况 由于站点具有流动性 每当有新的站点加入 网络时 测试人员都需要对该站点的加密状况进行测试 测试方法可以对该站点返回 的数据进行补包解码操作 分析该站点的加密状况 精品文档 11欢迎下载 3 恶意攻击测试方案 测试背景 恶意攻击在无线网络中主要是非法设备的入侵和无线干扰攻击 由于 MAC 地址在网络中以明文的形式传输 所以黑客可以轻易的窃听用户的 MAC 地址 并 伪装该地址进行攻击行为 另一方面攻击者还可以在网络中偷偷放置一个 AP 展开攻 击 由于无线传输的特殊性 无线讯号的干扰不仅影响了无线系统的覆盖范围和容量 而且还限制了现有系统和新兴系统的效能 甚至能导致无线网络的彻底瘫痪 在无线 局域网测试中必须采用无线勘测技术测试周围环境来发现无线干扰设备 测试方案 通过下述四个参数确定探测到的设备为非法入侵者 l 测试人员以 MAC 地址为依据创建 ACL 表 用来过滤非法 MAC 地址 持续监测 ACL 表防止未经授权的 AP 入侵网络 测试首先会探测整个无线网络中的设备结构 在 网络建成初期 由于没有设备加入 ACL 表 因此默认情形下所有的设备均被认为是非 法设备 需要网络管理员人工将合法的站点或 AP 选入 ACL 在 ACL 表初始化后 需要 测试人员根据网络拓扑将允许的设备添加到 ACL 表 如果出现新的设备 测试人员根 据 ACL 表和该设备在无线网中的活动情况考核该设备的安全性 从而决定是否将设备 纳入 ACL 表中 2 测试人员通过 OUI 设备原厂 ID 进行非法设备的测试 3 测试人员通过频谱分析进行无线干扰源分析从而发现干扰信号 测试采用先进 的频谱分析芯片 可以采集无线网卡无法识别的 RF 信号 探测被测环境中是否存在蓝 牙设备 微波炉等会对无线信号产生干扰的设备 并发出报警 合法的站点每 30 秒钟 发送一次广播 每次探测两个信道 探测时间大约为一秒钟左右 测试设备探测连续 的 RF 信号噪声以防止潜在的 RF 干扰攻击 若发现非法设备持续跟 AP 进行连接 将发 生报警 一旦发现非法的未经审核的 AP 客户端 测试产生自动报警 报警的严重程度可 以通过颜色加以区分 之后测试人员通过查看安全警报日志获得详细信息 并根据经 验及软件提供的解决方案 如可采用定向天线 频谱分析仪 功率强大的感应器等定 位干扰源或非法设备 一旦有未经授权的 AP 客户端侵入有线网络 需要使用定向天线及测试设备来发 现非法设备 测试时 测试人员需要掌握被测试环境的建筑图和无线网络的拓扑图 测试行走的路线通常采用以 AP 为圆心的圆形路线 测试信号指针越高 说明离非法设 备越近 找到非法设备后 测试人员可将非人为的干扰设备部署在无线网覆盖区域之 外 若非法设备为人为原因造成 测试人员可通过专业工具发出阻断包来阻断非法设 备的入侵 或直接对攻击者的行为采取必要的法律措施 4 三 无线局域网的安全配置 精品文档 12欢迎下载 一 设置网络环境 在安装完网络设备后 还需要对无线 AP 或无线路由器 以及安装了无线网卡的计 算机进行相应网络设置 1 无线路由器设置 通过无线路由器组建的局域网中 除了进行常见的基本设置 DHCP 设置 还需要 进行 WAN 连接类型以及访问控制等内容的设置 1 基本设置 当连接到无线网络后 在局域网中的任何一台计算机中打开 IE 浏览器 首先在地 址框中输入 192 168 1 1 再输入登录用户名和密码 用户名默认为空 密码为 admin 点击 确定 按钮打开路由器设置页面 在左侧窗口点击 基本设置 链接 在右侧的窗口中除了可以设置 IP 地址 是否允许无线设置 SSID 名称 频道 WEP 外 还可以为 WAN 口设置连接类型 包括自动获取 IP 静态 IP 等 DHCP 的作用是实现在域中自动分配内网 IP 在基本设置页面中 为了省去为办公 网络中的每台计算机设置 IP 地址的操作 配置协议即自动从 DHCP 服务器中获取租用 IP 地址 使电脑用户在网络中断时自动获得新的 IP 地址以便继续工作 从而享受无 缝漫游 但禁止 DHCP 对无线网络具有重要意义 采取这项措施 黑客不得不破译用户 的 IP 地址 子网掩码及其他所需的 TCP IP 参数 把 DHCP 自动分配 IP 地址的功能关掉后 把路由器的 IP 地址改掉 因为一般的路 由器分配的 IP 地址都是 192 168 1 而且网关都是 192 168 1 1 即 使关掉 DHCP 自动分配有些人也可以进入网络 把路由器 IP 地址改掉 路由器的 IP 地 址要和计算机的网关一致 路由器的 IP 地址要和计算机的 IP 地址在同一个网段 使 用以太网方式接入 Internet 的网络 可以选择静态 IP 然后输入 WAN 口 IP 地址 子 网掩码 缺省网关 DNS 服务器地址等内容 最后点击 应用 按钮完成设置 2 为网络环境设置访问控制 在办公网络中为了能有效地促进员工工作 提高工作效率 可以通过无线路由器 提供的访问控制功能来限制员工对网络的访问 常见的操作包括 IP 访问控制 URL 访 问控制等 首先 在路由器管理页面左侧点击 访问控制 链接 接着在右侧的窗口中可以 分别对 IP 访问 URL 访问进行设置 在 IP 访问设置页面输入需要禁止的局域网 IP 地 址和端口号 如果要禁止 IP 地址为 192 168 1 100 到 192 168 1 102 的计算机 使用 QQ 可以在 协议 列表中选择 UDP 选项 在 局域网 IP 范围 框中输入 192 168 1 100 192 168 1 102 在 禁止端口范围 框中分别输入 4000 8000 最后点击 应用 按钮 这样的设置是因为 QQ 聊天软件使用的 是 UDP 协议 4000 客户端 和 8000 服务器端 端口 如果不确定哪种协议的端口 可 精品文档 13欢迎下载 以在 协议 列表中选择 所有 选项 端口的范围在 0 65535 之间 要禁止某个端 口 例如 FTP 端口 可以在范围中输入 21 21 对于 冲击波 病毒使用的 RPC 服 务端口可以输入 135 135 要设置 URL 访问控制功能 在访问控制页面中点击 URL 访问设置 链接 在打 开的页面中点击 URL 访问限制 选项中的 允许 选项 在 网站访问权限 选项 中选择访问的权限 可以设置 允许访问 或 禁止访问 例如 要禁止访问 http www xxxx com 这样的网站 就可以在 限制访问网站 框中输入 http www xxxx com 最后点击 应用 按钮即可 最多可以限制 20 个网站 2 客户端设置 在办公无线局域网中 要注意工作室中的所有计算机需要设定相同的访问方式 例如 同为 仅访问点 结构 网络 或同为 任何可用的网络 首选访问点 另外 还要将每台计算机的工作组设置为相同的名称 可以在每一台计算机中设置共享文件 夹 实现无线局域网中的文件的共享 设置共享打印机和传真机 实现无线局域网中 的共享打印和传真等操作 3 无线访问节点设置 AP 分为带网关和不带网关的 不带网关的 AP 相当于集线器 进入 AP 的设置界面 点击 Configure 进入配置窗口 在 General 项 Access Point Name 和 ESSID 中可随意填写便于记忆的名称 Channel 也可任意选取 但笔记本电脑中的无线网卡要与其统一 Rates 设为 Auto 在 IP Setting 项 为了网络安全 各设备都需要指定 IP 地址 选择不使用 DHCP 动态分配 IP 地址 选择关闭 Disable 然后为 AP 指定一个与局域网各机器同一网段 而且没有冲突的网 址 而且子网掩码和默认网关栏的值也必需指定与局域网其他机器一样 AP 设置完成 打开 网上邻居 的 属性 到 无线网络连接状态 在 属性 中的 无线 网络连接属性 点击 无线网络配置 在 首选网络 下的 添加 点击 关联 项 将服务名 SSID 设为与 AP 的 ESSID 统一 全部设置完成 二 IP 与 MAC 的相互绑定 WLAN 存在的安全风险和安全问题主要包括来自网络用户的进攻 未认证的用户获 得访问权以及内部的窃听泄密等 针对这些威胁问题 IEEE 802 11 技术本身设置了 认证和加密功能 但还存在安全隐患 还需要采取物理地址过滤的方法 即每块网卡 都有唯一的物理地址 在 AP 中设置允许访问的 MAC 地址列表 可实现属于硬件认证的 物理地址过滤 精品文档 14欢迎下载 绑定 MAC 地址和 IP 地址功能时 选择不使用自动获取 IP 地址 关闭 DHCP 服务 并使用 MAC 地址过滤 记下各计算机的 Internet Address 及对应的 Physical Address 然后在 AP 设置中的允许访问的 MAC 地址列表和指定 IP 地址区域输入所有用 户的地址即可完成网关的 IP address 与 MAC address 的绑定 三 防火墙 防火墙是指设置在不同网络 如可信任的企业内部网和不可信的公共网 或网络 安全域之间的一系列部件的组合 它可通过监测 限制 更改跨越防火墙的数据流 尽可能地对外部屏蔽网络内部的信息 结构和运行状况 以此来实现网络的安全保护 通常一个路由器 也可以是一台运行防火墙软件的 PC 机 防火墙有选择地过滤或阻塞 网络间的流量 它通常在 Intranet 和 Internet 的交接处 也可以在两个 Intranet 之 间设立防火墙 防火墙一般是基于源地址和目的地址以及每个 IP 包的端口来做出禁止 或允许判断 为了保证网络的安全 无线路由器内置了防火墙功能 防火墙功能一般包括 LAN 防火墙和 WAN 防火墙 前者可以采用 IP 地址限制 MAC 过滤等手段来限制局域网内计 算机访问 Internet 后者可以采用网址过滤 数据包过滤等简单手段来阻止黑客攻击 保护网络传输安全 使用防火墙能够强化安全策略 能有效地记录网络上的活动 限 制暴露用户点 同时防火墙是一个安全策略的检查站 防火墙的实施就是把局域网和 ISP 之间的包过滤器换成防火墙就可以了 这是一 个防火墙的最安全的应用 因为它保护了防火墙后面的所有计算机 值得注意的是 防火墙本身并没有保障安全的能力 需要定期的检查防火墙对可疑事件做出的日志记 录 还需要去发现和使用软件的安全补丁 四 日常维护 一 备份 在日常使用计算机的过程中 因为病毒的破坏或者误操作 以及其他意外情况的 发生 都有可能导致文件和数据的破坏或丢失 通过备份可以事先将重要的或需要备 份的文件和数据保存起来 或备份整个系统 一旦遇到上述情况 就可以将备份的文 件还原过来 真正做到有备无患 Windows XP 是自带备份功能 在附件中进行备份 通过单击打开 开始 程序 附件 系统工具 菜单项 在弹出的子菜单里选中 备份 命令来打开 备份或还 原向导 窗口 通过这个向导模式 可以使用比较简洁的窗口来一步一步进行文件和 目录和备份与还原 精品文档 15欢迎下载 还需要进行数据备份 企业部门可以采用访问控制 身份验证 数据加密 安全 审计等技术手段保证数据的安全 也可以制定一个有效的数据备份策略 这是企业部 门局域网保护网络数据的较好方法 数据备份有完全备份 增量备份 指定备份等备 份方式 企业部门可根据需要选择 重要数据应每天做数据备份 存放在光盘中 二 密码变更 密码设置完成后 还需要定期修改 WEP 密钥 因为 WEP 用来产生这些密钥的方法 被发现具有可预测性 这样对于潜在的入侵者来说 就可以很容易的截取和破解这些 密钥 所以为了无线网络的安全 需要定期修改密码 三 设备维护 对无线局域网设备进行维护需要对两方面进行维护 首先是联单无线接入点的维 护 经常查看无线接入点的安全 其次是对无线局域网性能的监控及优化 安全与管 理是两个需要同等重视的问题 而且是互相影响互相推动的 应该制定计划 支持多 种安全策略应对不同的情况 从而提高无线局域网的性能 需要派专门人员对局域网 进行维护和监控 加深管理员的安全意识 明白违规使用无线网络的危害性 五 无线局域网故障排除 导读 当进行 WLAN Wireless Local Area Network 网络故障的 Troubleshooting 时 应该首先以下几个关键问题进行排错 其中包括一些硬件的问题会导致网络错误 同时错误的配置也会导致 WLAN 网络不能正常工作 下面将介绍一些 WLAN 网络排错的 方法和技巧 当只有一个 AP Access Point 以及一个 WLAN 客户端出现连接问题时 我们可能会很 快的找到出有问题的客户端 但是当网络非常大时 找出问题的所在可能就不是那么 容易了 在大型的 WLAN 网络环境中 如果有些用户无法连接网络 而另一些客户却没有任 何问题 那么很有可能是众多 AP 中的某个出现了故障 一般来说 通过察看有网络问 题的客户端的物理位置 你就能大概判断出是哪个 AP 出现问题 当所有客户都无法连接网络时 问题可能来自多方面 如果你的网络只使用了一 个 AP 那么这个 AP 可能有硬件问题或者配置有错误 另外 也有可能是由于无线电 干扰过于强烈 或者是无线 AP 与有线网络间的连接出现了问题 一 检查 AP 的可连接性 要确定无法连接网络问题的原因 首先需要检测一下网络环境中的电脑是否能正 常连接无线 AP 简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式 精品文档 16欢迎下载 然后 ping 无线 AP 的 IP 地址 如果无线 AP 响应了这个 ping 命令 那么证明有线网络 中的电脑可以正常连接到无线 AP 如果无线 AP 没有响应 有可能是电脑与无线 AP 间 的无线连接出现问题 或者是无线 AP 本身出现了故障 要确定到底是什么问题 你可以尝试从无线客户端 ping 无线 AP 的 IP 地址 如果 成功 说明刚才那台电脑的网络连接部分可能出现了问题 比如网线损坏 如果 WLAN 客户端无法 ping 到无线 AP 那么证明无线 AP 本身工作异常 你可以 将其重新启动 等待大约五分钟后再通过有线网络中的电脑和 WLAN 客户端 利用 ping 命令察看它的连接性 如果从这两方面 ping 无线 AP 依然没有响应 那么证明无线 AP 已经损坏或者配置 错误 此时你可以将这个可能损坏了的无线 AP 通过一段可用的网线连接到一个正常工 作的网络 你还需要检查它的 TCP IP 配置 之后 再次在有线网络客户端 ping 这个 无线 AP 如果依然失败 则表示这个无线 AP 已经损坏 这时你就应该更换新的无线 AP 了 二 WLAN 网络配置问题 WLAN 网络设备本身的质量一般还是可以信任的 因此最大的问题根源一般来自设 备的配置上 而不是硬件本身 知道了这一点 我们下面就来看看几种常见的由于错 误配置而导致的网络连接故障 三 AP 无线信号强度 如果你可以通过网线直接 ping 到无线 AP 而不能通过无线方式 ping 到它 那么 基本可以认定无线 AP 的故障只是暂时的 如果经过调试 问题还没有解决 那么你可 以检测一下 AP 的信号强度 虽然对于大多数网管来说 还没有一个标准的测量无线信 号强度的方法 但是大多数 WLAN 网卡厂商都会在网卡上包含某种测量信号强度的机制 四 改变无线信号频道 如果经过测试 你发现信号强度很弱 但是最近又没有做过搬移改动 那么可以 试着改变无线 AP 的频道并通过一台 WLAN 终端检验信号是否有所加强 由于在所有的 WLAN 终端上修改连接频道是一项不小的工程 因此你首先应该在一台 WLAN 终端上测 试 证明确实有效后才可以大面积实施 记住 有时候 WLAN 网络的故障可能由于某个 员工挂断手机或者关闭微波炉而突然好转 五 检验 WEP 密钥 检查 WEP 加密设置 如果 WEP 设置错误 那么你也无法从 WLAN 终端 ping 到无线 AP 不同厂商的 WLAN 网卡和 AP 需要你指定不同的 WEP 密钥 比如 有的 WLAN 网卡需 精品文档 17欢迎下载 要你输入十六进制格式的密钥 而另一些则需要你输入十进制的密钥 同样 有些厂 商采用的是 40 位和 64 位加密 而另一些厂商则只支持 128 位加密方式 要让 WEP 正常工作 所有的 WLAN 客户端和 AP 都必须正确匹配 很多时候 虽然 WLAN 客户端看上去已经正确的配置了 WEP 但是依然无法和 WLANAP 通信 在面对这 种情况时 我一般都会将无线 AP 恢复到出厂状态 然后重新输入 WEP 配置信息 并启 动 WEP 功能 六 WEP 配置问题 到现在为止 最常见的与配置有关的问题就是有关使用 WEP 协议 而且 WEP 带来 的问题也相当棘手 因为由于 WEP 不匹配所产生的问题显现的症状和很多严重的问题 非常相似 比如 如果 WEP 配置错误 那么 WLAN 客户端将无法从 WLAN 网络的 DHCP 服 务器那里获得 IP 地址 就算是无线 AP 自带 DHCP 功能也不行 如果 WLAN 客户端使用 了静态 IP 地址 那么它也无法 ping 到无线 AP 的 IP 地址 这经常会让人误以为网络 没有连接 判断到底是 WEP 配置错误还是网络硬件故障的基本技巧是利用 WLAN 网卡驱动和操 作系统内置的诊断功能 举个例子 一个笔记本采用 Windows XP 系统 并配备了 Linksys 的 WLAN 网卡 当将鼠标移动到系统任务栏的 WLAN 网络图标时 会有网络连 接信息摘要浮现出来 当连接频道和 SSID 设置正确后 就算 WEP 设置错误 你也可 以连接到无线 AP 此时 从任务栏你会看到连接信号的强度为零 不论 WEP 是否设置 正确 Linksys 网卡都会显示出连接信号强度 由此你也可以知道网络确实是已经连 接上了 虽然有可能无法 ping 到无线 AP 如果你右键点击任务栏中的 WLAN 网络图标 并在弹出菜单中选择查看可用的 WLAN 网络 View Available Wireless Networks 命令 之后你会看到 WLAN 网络连 接 Wireless Network Connection 对话窗 这个对话窗会显示出当前频道内的全部 WLAN 网络的 SSID 号 包括你没有连接上的网络 因此如果你发现你的 WLAN 网络号在 列表中 但是你看起来不能正常连接 那么你可以放心 自己的网络连接并没有什么 问题 问题是出在配置上 注意 WLAN 网络连接对话框还提供了一个可以输入 WEP 密钥的区域 当你试图连接某个 WLAN 网络时 可以输入该网络的 WEP 密钥 一般在这里输入 WEP 密钥后 网络会马上 连接成功 七 DHCP 配置问题 另一个让你无法成功的访问 WLAN 网络的原因可能是由 DHCP 配置错误引起的 网 络中的 DHCP 服务器可以说是你能否正常使用 WLAN 网络的一个关键因素 很多新款的 WLANAP 都自带 DHCP 服务器功能 一般来说 这些 DHCP 服务器都会将 精品文档 18欢迎下载 192 168 0 x 这个地址段分配给 WLAN 客户端 而且 DHCPAP 也不会接受不是自己分配 的 IP 地址的连接请求 这意味着具有静态 IP 地址的 WLAN 客户端或者从其它 DHCP 服 务器获取 IP 地址的客户端有可能无法正常连接到这个 AP 对于这种情况 有两种解决方法 禁用 AP 的 DHCP 服务 并让 WLAN 客户端从网络内标准的 DHCP 服