WLAN第7章 无线局域网和Internet互连

第7章无线局域网与Internet互连 吉林大学通信工程学院姜宏jiangh 第一节局域网与上层协议的关系从网络体系的观点讲 局域网实现链路层与物理层的功能 它是为上层协议提供高速通信接口的 物理网 从网络用户的角度讲 用户并不直接使用该物理网 而是使用网络操作系统或某一网络应用程序 网络操作系统则调用其下的传送层及网络层功能实现网络通信 下图绘出了局域网与其上层协议的关系 图中列举了不同网络操作系统以及TCP IP网路应用程序与局域网的关系 对不同的网络操作系统 其使用的传送层及网络层协议是不同的 例如TCP IP应用程序使用的传送层协议为TCP 网络层协议为IP Netware系统分别使用SPX和IPX 第二节因特网概述一 因特网的现状1 因特网的规模因特网的规模是全球性的 与因特网互联的国家和地区遍及全世界 几乎所有的国家 连接的计算机几个亿 通过因特网 用户在自己办公室或家中可使用计算机与其他用户通信 并可获得因特网中的各种信息资源 2 因特网目前提供的服务基本服务包括 电子邮件 电子邮件 文件传送 FTP 远程终端仿真 远程登录 还有许多其它的服务项目 例如公告板服务 目录 图书索引服务 商用电子数据服务 多媒体信息查询与传送服务等 在这些服务中利用最多的是电子邮件及文件传送服务 3 因特网的组织管理机构1992年1月因特网学会 Internet协会 正式成立 因特网学会下属机构很多 其中IAB Internet架构委员会 是负责因特网网络体系的技术委员会 由它制定因特网技术上的发展方向 IAB有若干个分支机构 例如IANA 因特网赋值数代理权 与IETF Internet工程工作小组 等 二 因特网使用的协议任何一个计算机网络 为了保证网络内主机之间 节点之间能够正确地交换信息 这些主机或节点必须遵守一定的规则 这些规则通常称做协议 而各种协议的集合叫做协议集 因特网使用的协议集通常称做TCP IP 传输控制协议 Internet协议 支撑因特网的物理网可分为两类 一类是诸如以太网 FDDI 光纤分布式数据接口 等的局域网 另一类是诸如公共电话网 公共分组交换网 综合业务服务网等的广域网 对不同的物理网配以相应的网络接口协议 可使上层的网间协议运行在不同的物理网上 三 因特网的构成如图 局域网 广域网和路由器是构成因特网的要素 四 IP地址就像电话机的电话号码一样 在因特网上的主机 Host 也有一个世界唯一的网络地址 该地址被称做主机的IP地址 IP地址由4个字节 32比特 构成 IP地址分成了五类 即A类到E类 IP地址由三个字段组成 即 类别字段 又称为类别比特 用来区分IP地址的类型 网络号码字段 网 id 用于标识主机所在的网络 主机号码字段 主机 id 用于区分网络内部不同的主机 目前使用的大量IP地址仅A至C类三种 D类地址是一种组播地址 保留给因特网体系结构委员会IAB Internet架构委员会 使用 E类地址保留 IP地址主要有三类 A类 B类 C类 一个A类网络中可容纳224 2台主机 一个B类地址可容纳216 2台主机 而一个C类地址可容纳28 2台主机 A类B类C类 根据IP第一个字节区分 各类IP地址的范围如下 1 126A类地址126128 191B类地址64192 223C类地址32224 239D类地址16240 254E类地址15 网络屏蔽码 X X X X 用来划分网段根据网络屏蔽码和IP地址 可将IP网络分成三种 A类子网 网络屏蔽码 255 0 0 0 屏蔽第一字节 即具有256 256 256个IP地址资源 B类子网 网络屏蔽码 255 255 0 0 屏蔽前两字节 即具有256 256个IP地址资源 C类子网 网络屏蔽码 255 255 255 0 屏蔽前三字节 即具有256个IP地址 资源划分网段的意义 同一网段内的用户可以直接通讯 抑制不同网段间的广播风暴 在使用IP地址时 还要注意下列地址是保留作为特殊用途的 一般不使用 网络号码全为0 这表示 本网络 或 我不知道号码的这个网络 网络号码全为1 全0的主机号码 表示主机所在网络的网络地址 例如 129 9 0 0 255 255 0 0用于表示该网络的网络地址 全1的主机号码 表示广播地址 即该信息包对该网络上所有的主机进行广播 例如 129 9 255 255 255 255 0 0用于表示对该网络上所有的主机广播消息 全0的IP地址 即0 0 0 0 网络号码为127 X X X 这里X X X为任何数 这样的网络号码用作本地软件回送测试 环后面的测试 之用 比如砰声127 0 0 1就表示砰声自己主机上的网卡 A类IP地址的网络号码数不多 目前几乎没有多余的可供分配 现在能够申请到的IP地址只有B类和C类两种 当某个单位向IAB申请到IP地址时 实际上只是拿到了一个网络号码网 id 具体的各个主机号码主机 id则由该单位自行分配 只要做到在该单位管辖的范围内无重复的主机号码即可 五 主机名与域名32比特的IP地址对路由器 主机等机器来讲非常方便 但不易于人的阅读与识别 为此 专门为因特网上的主机设置了便于人使用的主机名字 该名字由英文字母组成 主机名与主机的IP地址有一一对应关系 当与一台主机通信时 可指定其IP地址 也可指定其主机名 这样 就要求因特网上存在这样一种机制 该机制能够解决主机名字与IP地址的对应关系 目前 因特网使用DNS 域名系统 RFC1034 RFCl035 来完成这一工作 DNS采用树状结构对名字进行管理 因特网正是使用这种分布在各个域的名字服务器来完成对因特网上所有主机的分布式管理 通常 采用以下格式表示因特网中的一台主机或一个域 其中 句点的右侧表示该句点左侧主机 或域 的父域 加入Internet的组织除了应设置 管理自己的名字服务器之外 还应向其父域的名字服务器登录其名字与地址 第三节CERNET与校园网做为因特网上的网络实例 本节介绍中国教育科研计算机网 CERNET 主要讨论校园网的设计与构筑方法 一 CERNET简介1994年3月由国家教委组织立项 开始了中国教育科研计算机网络 CERNET 项目的实施 目前 CERNET已与因特网互连 并联接全国大部分高等院校 成为了我国信息网络建设的重要示范工程 CERNET由国家骨干网 地区网 校园网三级网络构成 骨干网租用邮电部门的公网线路 目前使用的是DDN 数字数据网 线路 骨干网上设有八个节点 采用网格状拓扑结构 如图9 5所示 地区网呈星型拓扑结构 各校园网可经公网或专用链路接入邻近的地区网节点 CERNET不对校园网的网络结构做任何规定 各院校可视各自的情况设计自己的校园网 根据学校规模的不同 校园网的结构可以是多种多样 为了与因特网互连 要求CERNET及接入CERNET的校园网支持因特网的标准协议 即支持TCP IP协议 二 校园网的构成校园网 顾名思义 指一个学校的计算机网络 其覆盖范围一般是整个校园 一个校园网通常由校园骨干网 部门子网以及相应的互连设备构成 如图9 6所示 校园骨干网把本校各部门子网连接起来 它可采用FDDI局域网 纤维分布式的数据接口 ATM局域网 交换式局域网及一般的局域网实现 目前使用最多的是FDDI 这是一种光纤环网 它的数据传输速率为100Mbps 采用令牌传递多址接入技术 图9 6 a 所示的骨干网采用FDDI 图9 6 b 中的骨干网采用了ATM局域网 它由两台ATM交换机相连接构成 ATM交换机之间 ATM交换机与集线器或ATM主机之间可采用光纤 双绞线等传输媒体 依使用的传输媒体 传输方式不同 可支持45Mbps 52Mbps等至2 4Gbps等传输速率 部门子网一般由以太网 令牌环网等局域网或由这些局域网的互连构成 部门子网可采用以下方式与骨干网连接 桥接器 路由器 交换机 开关 桥接器在链路层完成不同局域网之间的互通 如以太网与FDDI的互通等 路由器在网络层完成子网之间的互通 交换机主要在链路层完成局域网间互通 它可看做是多端口 高速桥接器 在具体构筑校园网时 可根据实际网络的配置 规划情况选用不同的设备 三 校园网接入因特网因特网是一个阶层网络 网上有许多网络管理中心 NOC 校园网处在因特网的最下层 校园网如果要加入因特网 最好从距自己最近的NOC加入 CERNET从北京租用国际线路加入亚太地区的NOC 1 校园网接入因特网的物理连接方法可采用以下线路接入NOC 租用专线接入 如租用电话线 X 25 DDN专线入网 拨号接入 如直接用电话线 X 25 DDN拨号入网 专用网接入 如使用无线局域网和无线分组交换网入网 2 互连方式的选择一般来讲 校园网可采取三种方式与因特网连接 开放式连接 部分限制连接 经防火墙主机连接 开放式连接 如图9 7 a 所示 这种方式下 挂在校园网上的主机可以访问因特网也可被因特网访问 部分限制连接 如图9 7 b 所示 这种方式下 限制校园网上的一部分主机与因特网的通信 而这些主机在校内范围内的通信不受限制 经防火墙主机连接 如图9 7 c 所示 防火墙主机分别与校园网及因特网相连 只有在该主机上登录的校园网与因特网的用户才可通过该主机相互访问 并使用该主机限定的应用 四 校园网的安全防护校园网连入因特网后应考虑的安全防护措施 来自网络上的威胁有以下几种 非法侵入 指未经许可的用户非法进入网络 并读取 改写文件 这种非法侵入通常采用的手段是窃取合法用户的口令从而进入网络 盗听 篡改网上数据 指采用硬件设备从网络缆线 配线架上盗听网上的数据 并把经过篡改的数据再送上网络 防碍系统正常运行 指向网上或某一网上设备发送大量某种信息 使网络处于高负荷运转 或向路由器发送错误信息 使路由器无法正常工作 1 防止非法侵入 对校园网内可直接被因特网访问的主机进行限制 对保密性要求高的主机进行访问控制 例如 使用路由器的IP地址过滤功能 对数据分组的传送进行控制 使用路由器的端口号 港口数 过滤功能对网络上运行的应用软件进行控制 经由防火墙主机入网 充分利用Unix操作系统的口令管理及系统运行记录等功能 对企图非法侵入的活动进行监视 不运行不必要的应用服务程序 以减少非法侵入的可能性 2 防止窃听 篡改数据 对保密性要求高的数据进行加密处理 加强机房安全措施 对路由器 配线架等网上设备严格管理 网络布线要规范 减少缆线被直接窃听的可能性 3 路由信息的安全保护 加强对路由器的访问控制 应对路由器进行设置使其仅接受来自特定路由器的信息 必要时采取静态路由控制方法 吉林大学校园网是多层次的树型结构 2001年在长春市内各个方位的前卫南区 前卫北区 南岭校区 新民校区 朝阳校区 南湖校区局域网络 通过光纤线路互连在一起 形成校园网主干 这些主干线路 将各校区成千上万的计算机联系在一起 使吉林大学校园网具备了城域网的规模 目前双千兆骨干网络覆盖了九大校区 连接了全部办公楼 绝大部分学生宿舍楼和教职工住宅 其中 主要大楼千兆连接到校区主节点 其它楼宇百兆上连 学生宿舍楼和教职工住宅楼已经具备了入网的条件 校园网通过1G光纤连接到位于吉林大学内的中国教育科研计算机网吉林省主节点 后者目前与教育网东北节点以2 5G互连 第四节WLAN的接入安全机制 1 服务区标识符 SSID 2 MAC地址过滤3 有效等效保密 WEP 算法 第五节WLAN路由器的无线设置1 无线参数初步设置图1是TP LINKWR245无线路由器的管理界面 这款无线宽带路由器除多了一项无线设置外 其他设置项都跟同档次的有线路由产品一样 设置方法也都类似 所以这里只介绍无线设置部分 图1路由器管理界面 首次上网设置可以使用 设置向导 其中的参数设置与有线路由器相比多了 无线设置 一项 如图2所示 其中 无线功能 可决定其AP的功能是否启用 SSID号 也可写为 ESSID 是AP的标识字符 有时也翻译成 服务集标识符或服务区标识符 作为接入此无线网络的验证标识 可以想象成在Windows文件共享环境中的工作组名 无线客户端要加入此无线网络时 必须拥有相同的SSID号 否则就会被 拒之门外 此项默认为 TP LINK 可以改成自已喜欢的任何名称 作为一种最简单的安全保障措施 还需要禁止与SSID广播的配合使用 图2路由器无线设置 2 无线参数高级设置一般的无线路由器和AP都会有表1中所列的三种设置项 表1一般无线路由器和AP的三种设置项 1 无线网络基本设置无线网络基本设置界面如图3所示 图3 无线网络基本设置 界面 2 主机状态无线网络的主机状态在如图4所示的界面中显示 在这个界面中 可以查看到加入此无线网络的主机信息 最主要的是能获得其MAC地址 以便在MAC地址过滤中使用 图4无线网络主机状态 3 MAC地址过滤无线网络中MAC地址过滤设置界面如图5 6所示 图5无线网络MAC地址过滤设置界面1 图6无线网络MAC地址过滤设置界面2 在开始设置前 MAC地址过滤功能默认为关闭 先单击 启用过滤 按钮将其启用 通常我们只想让自己的几台客户端主机加入此无线网络 所以在 过滤规则 中选择 仅允许 项 单击下面的 添加新条目 按钮 在图6所示的界面中填写刚才记录的MAC地址 并加上自定义的描述 选择 生效 状态 保存后即弹回图5所示的界面 设置完成 这样 只有在表中的MAC地址无线网卡才能接入本WLAN 比默认配置要安全得多 还有一种获得MAC地址的方法 就是在客户机系统的命令提示符窗口运行 ipconfig all 找到无线网卡名称 其下面的一行 PhysicalAddress 信息即为该网卡的MAC地址 3 无线网卡客户端的设置在设置完无线路由器 尤其是对其无线安全设置做了修改之后 还要对客户端无线网卡的参数做相应的修改 才能使客户端加入到此WLAN中 以Win2000为例 在Windows系统的设备管理器中 选择安装无线网卡设备 并打开