WLAN宽带网组网方案

北京通信公司无线局域网（WLAN）组网方案第一章 概述无线局域网（Wireless LAN,以下简称WLAN）是90年代计算机网络与无线通信技术相结合的产物，它提供了使用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个人化和多媒体应用提供了潜在的手段。无线通信作为新兴的通信技术在日常生活中的作用越来越大。从今年以来,无线局域网技术发展迅速，但无线局域网的性能与传统以太网相比还有一定距离，因此如何提高和优化网络性能显得十分重要。Internet业务的高速增长，实时业务和多媒体应用不断的增加，对网络的带宽、服务质量（QoS）可扩展性提出了更高的要求。但是，利用无线信道进行通信容易受到干扰，衰落等因素的影响，这对多媒体应用来说十分不利的。目前，IEEE802.11已成为无线局域网的主流标准。1997年802.11标准的制定是无线局域网发展的里程碑，它是由大量的局域网以及计算机专家审定通过的标准。其定义了单一的MAC层和多样的物理层，先后又推出了802.11b,a和g物理层标准。最近，刚刚正式批准的802.11g标准采用OFDM技术，和802.11a一样数据传输速率可达54Mbps。另外，它工作在2.4GHz频段上，与802.11b标准兼容，提高了网络的适用性，降低了无线局域网升级成本。技术不断更新，新的技术标准不断的推出，极大的推动了无线局域网的发展。1.1 WLAN业务的市场需求背景和业务的技术发展背景在机场、会议室、展览中心、酒吧、咖啡馆、茶馆等热点地区，Internet接入需求不同于传统办公场所采用有线方式，人们不会为电缆的束缚而固守于固定的位置。市场需要一种能够提供给用户较高的接入带宽、用户又可以在一定的范围内自由移动，并且造价比较低廉，简言之，就是一种廉价的高质量可移动的宽带接入业务。WLAN无线宽带接入业务正是迎合了市场的这种需求。随着WLAN技术的成熟，WLAN能够使得运营商能够提供一种可靠的、稳定的、宽带的、无线的Internet接入业务。1.2业务面向的客户群体和未来的客户群体WLAN无线宽带网络建设区域和业务面向的客户群体：热点区域l 商业楼宇：如租用办公室、会议室l 信息化酒店：如大堂、泳池、会议室、多功能厅l 信息中心：如展览馆、体育馆、新闻中心l 机场：侯机大厅、贵宾室l 公众休闲场所：酒吧、咖啡厅、茶馆业务特点：要求支持漫游、热点区域支持慢速移动、AP间无缝切换，用户可快速接入Internet。家庭住宅与SOHO办公业务特点：这两者有一个共同的特点是共用一条上连带宽，没有综合布线，多人同时上网，人数不同。这部分人大多收入水平较高，对WLAN无线宽带业务需求较大，尤其是在非常时期。高校业务特点：使用WLAN的人员大多文化素质较高、对新技术有浓厚的兴趣，他们的收入水平目前普遍不高，WLAN业务的收费水平决定了他们对WLAN的接受程度。不同类型的用户对WLAN无线宽带业务关注是不同的：企业/家庭用户：需要用WLAN来解决网络布线问题，该类用户可能会倾向于AP以太网，或者APDSL，对漫游、安全要求不高，对价格敏感。第二章需求分析2.1市场需求分析WLAN业务在国际上已有越来越广泛的应用，随着这一使用热潮的兴起，中国也同样在发起“网络无处不在”的活动，采用WLAN技术加以配合，提供更加灵活的高速因特网接入服务。2.1.1客户角色分类可以把WLAN业务涉及到的客户角色进行分类。WLAN无线宽带业务主要分为三种用户，一种是在机场、会议室、展览中心、酒吧、咖啡馆、茶馆等热点地区的用户；一种是在家庭和SOHO用户；一种是高等学校，包括学生和教师，目前，在国内，随着WLAN被越来越多的企业集团所使用，它开始渗入教育行业的学校校园区内。2.1.2场地角色定位把WLAN业务可能适用的场地进行分类。按照场地空间划分：室外场地和室内场地。2.1.3客户、场地及业务关联对照分析在本表中，将把客户、场地及此项业务进行关联对照，明确不同客户在何种场所需要此项业务服务。场地热点地区用户家庭和SOHO用户企业办公楼用户室内需要需要需要室外需要否定否定2.2 技术需求分析技术需求分析与市场需求分析的区别在于从技术发展的角度，说明此项业务的关键或者核心技术的可行性、成熟性和可扩展性。技术需求分析的目的是在市场需求分析的基础上，避免无序的市场业务开发。由于满足客户某一项通信需求的技术方式可能有多种，所以并不是有市场需求的业务建议就是合理的。在本章节中，通过技术上的论证，确定此项业务的核心技术是有良好的发展方向，在整个通信技术体系处于合理位置。2.2.1核心功能需求在WLAN业务面对的客户需求中，最能够被客户认可的功能及技术，如：酒店业务中的“即插即用”等功能和技术2.2.2安全技术分析在用户使用WLAN网络时，最重要的是保证用户的重要信息不被别有用心的人窃取，所以安全也是一个非常重要的因素。第三章WLAN无线局域网相关技术介绍近些年来，随着局域网的应用领域不断拓宽和现代通信方式的不断变化，尤其是移动和便携 式通信的发展，无线局域网(WLAN)便应运而生。无线局域网是一种能支持较高数据速率(211Mbit/s)、采用微蜂窝、微微蜂窝结构的、自主管理的计算机局部网络。它可采用无线电或红外线作为传输媒质，采用扩展频谱技术，移动的终端可通过无线接入点来实现对 Internet的访问。WLAN利用常规的局域网(如10/100/1000Mbit/s以太网)及其互连设备(路由器)构成骨干支撑网，利用无线接入点(AP)和无线接入控制器(AC)来支持移动终端(MT)的移动和漫游。无线接入服务器的作用是提供无线终端的接入管理和移动性管理。在无线接入服务器管辖的范围内(称为服务区)可支持多个小区。无线接入点的作用是完成WLAN和LAN之间的桥接，实现无线空中接口协议到LAN协议的转换，并实现小区的移动用户管理。在无线接入服务器中运行移动IP服务器软件，在移动终端上运行移动IP客户机便可支持移动IP功能。3.1核心技术介绍3.1.1 技术概述WLAN无线宽带网采用IEEE 802.11x中802.11b/802.11b+标准。依照802.11b无线局域网的国际规范和国家无线电管理委员会的标准，无线局域网的无线设备的工作频段为：2400-2483.5MHz。作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3 Ethernet协议、802.5 Token Ring协议、802.3z 100BASET快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11bHigh Rate协议，用来对802.11协议进行补充，802.11b在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两个新的网络吞吐速率。利用802.11b，移动用户能够获得同Ethernet一样的性能、网络吞吐率、可用性。这个基于标准的技术使得管理员可以根据环境选择合适的局域网技术来构造自己的网络，满足他们的商业用户和其他用户的需求。802.11协议主要工作在ISO协议的最低两层上，并在物理层上进行了一些改动，加入了高速数字传输的特性和连接的稳定性。3.1.2 IEEE 802.11族介绍 802.11工作方式802.11定义了两种类型的设备，一种是无线站，通常是通过一台PC机器加上一块无线网络接口卡构成的，另一个称为无线接入点(Access Point, AP)，它的作用是提供无线和有线网络之间的桥接。一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成，桥接软件符合802.1d桥接协议。接入点就像是无线网络的一个无线基站，将多个无线的接入站聚合到有线的网络上。无线的终端可以是802.11PCMCIA卡、PCI接口、ISA接口的，或者是在非计算机终端上的嵌入式设备(例如802.11手机)。 802.11物理层在802.11最初定义的三个物理层包括了两个扩散频谱技术和一个红外传播规范，无线传输的频道定义在2.4GHz的ISM波段内，这个频段，在各个国际无线管理机构中，例如美国的USA，欧洲的ETSI和日本的MKK都是非注册使用频段。这样，使用802.11的客户端设备就不需要任何无线许可。扩散频谱技术保证了802.11的设备在这个频段上的可用性和可靠的吞吐量，这项技术还可以保证同其他使用同一频段的设备不互相影响。 802.11数字链路层802.11的MAC和802.3协议的MAC非常相似，都是在一个共享媒体之上支持多个用户共享资源，由发送者在发送数据前先进行网络的可用性。在802.3协议中，是由一种称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection)的协议来完成调节，而在802.11无线局域网协议中，冲突的检测存在一定的问题，这个问题称为Near/Far现象，这是由于要检测冲突，设备必须能够一边接受数据信号一边传送数据信号，而这在无线系统中是无法办到的。鉴于这个差异，在802.11中对CSMA/CD进行了一些调整，采用了新的协议CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)或者DCF(Distributed Coordination Function)。 CSMA/CA利用ACK信号来避免冲突的发生，也就是说，只有当客户端收到网络上返回的ACK信号后才确认送出的数据已经正确到达目的。CSMA/CA通过这种方式来提供无线的共享访问，这种显式的ACK机制在处理无线问题时非常有效。然而不管是对于802.11还是802.3来说，这种方式都增加了额外的负担，所以802.11网络和类似的Ethernet网比较总是在性能上稍逊一筹。 联合结构、蜂窝结构和漫游802.11的MAC子层负责解决客户端工作站和访问接入点之间的连接。当一个802.11客户端进入一个或者多个接入点的覆盖范围时，它会根据信号的强弱以及包错误率来自动选择一个接入点来进行连接，一旦被一个接入点接受，客户端就会将发送接受信号的频道切换为接入点的频段。这种重新协商通常发生在无线工作站移出了它原连接的接入点的服务范围，信号衰减后。其他的情况还发生在建筑物造成的信号的变化或者仅仅由于原有接入点中的拥塞。在拥塞的情况下，这种重新协商实现?quot;负载平衡的功能，它将能够使得整个无线网络的利用率达到最高。802.11的DSSS中一共存在着相互覆盖的14个频道，在这14个频道中，仅有三个频道是完全不覆盖的，利用这些频道来作为多蜂窝覆盖是最合适的。如果两个接入点的覆盖范围互相影响，同时他们使用了互相覆盖的频段，这会造成他们在信号传输时的互相干扰，从而降低了他们各自网络的性能和效率。 IEEE 802.11a高速WLAN协议，使用5G赫兹频段。最高速率54Mbps，实际使用速率约为22-26Mbps与802.11b不兼容，是其最大的缺点。也许会因此而被802.11g淘汰。 IEEE 802.11b目前最流行的WLAN协议，使用2.4G赫兹频段。最高速率11Mbps，实际使用速率根据距离和信号强度可变（150米内1-2Mbps，50米内可达到11Mbps），802.11b的较低速率使得无线数据网的使用成本能够被大众接受（目前接入节点的成本仅为10-30美元）。另外，通过统一的认证机构认证所有厂商的产品，802.11b设备之间的兼容性得到了保证。兼容性促进了竞争和用户接收程度。 IEEE 802.11g802.11g是802.11b在同一频段上的扩展。支持达到54Mbps的最高速率。兼容802.11b。该标准已经战胜了802.11a成为下一步无线数据网的标准。3.2频道配置无线局域网的无线设备的工作频段为：2400-2483.5MHz划分为14个子频道，每个子频道带宽为22MHz。子频道分配如下图所示： 子频道分配图最多有13个信道可用，13个信道的标号及所用中心频率的情况见下表信道标号中心频率信道低端/高端频率12412MHz2401/2423MHz22417MHz2411/2433MHz32422MHz2416/2438MHz42427MHz2421/2443MHz52432MHz2426/2448MHz62437MHz2431/2453MHz72442MHz2431/2453MHz82447MHz2436/2458MHz92452MHz2441/2463MHz102457MHz2446/2468MHz112462MHz2451/2473MHz122467MHz2456/2478MHz132472MHz2461/2483MHz在多个频道同时工作的情况下，为保证频道之间不相互干扰，要求两个频道的中心频率间隔不能低于25MHz。因此从上图可以看出，在一个蜂窝区内，直序扩频技术最多可以提供3个不重叠的频道同时工作，提供高达33Mbps的吞吐量。3.3业务支持能力WLAN支持的业务应当能够实现各种用户业务接入的需要，并符合IP网络的业务功能要求。根据业务对实时性要求的不同及提供方式的不同将业务分为如下几类：a)实时业务该类业务包括双向、双方和多方业务。在进行通信时要求具有实时响应，要求提供业务的网络能依据标准严格控制延时和抖动。b)非实时业务该类业务通常为信息传输业务对网络没有严格的延时和抖动要求，例如传统的IP业务（e-mail 、文件传送协议FTP 、Web 等）。c)VPN 业务在包括WLAN在内的公用网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络，为企业用户提供远端接入服务。各类业务的典型业务用如表1 所示：表1 各类业务的典型业务业 务具 体 应 用非实时业务e-mail、FTP、Web（Internet 接入）、VOD点播、网络传真等实时业务IP电话、会议电视、网上直播等VPN业务企业内部用户的远端接入等第四章WLAN宽带网组网方案4.1 WLAN组网方案总体思想无线局域（WLAN）的基本结构由接入点（AP）和接入控制器（AC）构成。由WLAN的基本结构结合INTERNET或其它网络已有的认证服务器（AS），用户可以最终实现移动数据的接入服务。AP是WLAN业务网络的小型无线基站设备，完成802.11x标准的无线接入功能。AP也是一种网络桥接器，是连接有线网络与无线局域网络的桥梁，任何WLAN终端设备均可通过相应的AP接入外部的网络资源。在数据通讯方面，AP负责完成它与WLAN终端设备之间数据包的加密和解密。当用户在AP无缝覆盖区域移动时，WLAN终端设备可以在不同的AP之间切换（Switchover），保证数据通讯不中断。在安全控制方面，AP可以通过网络标志来控制用户接入，在采用基于802.1x的用户认证机制时，AP能够和认证中心的认证服务器协同工作，来完成对WLAN用户的认证。AC在因特网和无线接入局域网之间充当网关（Gateway）。对用户的认证、对网络的实时监控和搜集计费信息进行管理，是一个具有支持各种路由协议和支持众多网络管理功能的路由器。AC可以直接与认证服务器AS相连，或者通过RADIUS网络与其相连。与认证服务器AS相连可实现SIM卡认证，从而实现认证、漫游和计费等功能。与标准的RADIUS服务器相连可实现用户名/密码认证。AC应支持SIM和WEB两种认证方式同时工作。与企业内部无线局域网的应用模式不同的是，做为可运营的无线局域网不再是仅仅为用户提供简单的网络互联，更重要的是为实现WLAN的电信级运营，需要在无线局域网的基本架构基础上添加认证计费平台。认证计费平台主要完成对接入用户的认证请求，并根据不同的用户进行授权，同时记录用户访问网络的使用情况，进行原始计费的采集、计费信息入库、实时扣取费用等。认证中心的主要设备是RADIUS Server，用以存储用户的身份信息，并完成用户的认证和授权等功能。而计费中心则主要完成用户的计费功能。计费、认证中心可以根据业务量的大小和实际需要，可以在每个城域网中分别部署或在全国集中部署一个。认证计费中心采用RADIUS 协议与接入控制器进行通信。实际上，RADIUS认证、计费中心开展其它业务如以太网接入、ADSL接入时已经建设好，WLAN业务的开发可以利用现有设备。 WLAN组网结构示意图：主要的WLAN组网模式有以下几种（如图所示）。为机场、展览厅等公共场所提供WLAN业务，在公共场所部署的无线局域网被称之为公共WLAN，主要是为用户提供无线宽带接入业务；为企业提供的WLAN业务，主要是为了满足企业内部各部门之间的移动办公；为居民区、工业开发区提供的WLAN业务，方便家庭、企业用户通过无线宽带接入Internet；还有就是为家庭和SOHO用户提供的家庭WLAN接入，在不破坏家庭装饰的基础上方便用户宽带接入。无论采用何种组网模式，所有AP都汇聚到宽带接入服务器（AC），再上联到骨干路由器。AP上联AC主要采用以太网接入方式，在不具备布线条件的地方，也可以采用ADSL接入的方式。根据用户的需求不同，每类用户在组网、计费方式上也存在区别。公共WLAN多用于机场、酒店大堂、展览厅等公共场所。公共场所最大的特点就是空间开阔、用户流动性大，因此，在计费方式上适合使用按时计费策略，或者使用上网卡。对企业来说，根据企业的规模也可以采用不同的组网方式。企业的特点就是用户群比较固定，部门或者独立的区域比较多。因此，在企业内布置WLAN的时候，可以将AP分别布置在各部门，然后在集联到AC接入Internet。对于比较大的企业，如果部门之间的空间距离较大，我们也可以通过远程无线互联来实现，通过大功率的AP实现各部门局域网之间的互联。如果采用远程无线互联就要考虑AP的供电问题。因为远程无线互联使用的AP多布置在室外，如果无法提供外接的电源就要考虑采用交换机远程供电。在计费方式上，企业用户多使用包月的策略。与企业特点相类似的还有酒店客房和居民区用户，其也可以采用与企业类似的WLAN布置方式，只是在计费上多采用分户按时计费的方式。为家庭和SOHO用户提供的家庭WLAN接入只是为了满足家庭内多成员共同访问Internet或者便于在家庭内实现移动办公而提供的服务，其AP多布置在靠近网络接口的地方，这样可以避免综合布线而破坏房间的装饰。而AP也可以采用LAN或者ADSL方式接入AC。因为家庭WLAN只是LAN和ADSL接入方式的一种扩展，因此其计费策略可以采用现有LAN和DSL用户的按时计费策略。4.2 WLAN无线宽带业务技术方案WLAN无线宽带网络技术方案主要包括驻地网技术方案、接入网络技术方案、AAA（认证、计费、鉴权）技术方案。驻地网技术方案主要包括小区漫游、负载均衡、供电等内容。接入网络技术方案主要包括AP、AC的布放，安全策略等，AAA技术方案主要包括对接入用户的认证、授权和计费。4.2.1 业务所属类型WLAN无线宽带业务属于宽带接入业务，用户可以通过WLAN无线宽带接入业务继而使用基于IP的电话业务、数据业务、视频业务。4.2.2该业务涉及到的网络资源包括IP网、ADSL宽带网、Internet资源等。4.3驻地网方案WLAN无线宽带业务驻地网方案描述了WLAN在业务使用场所的网络建设方案，主要包括小区漫游技术方案、负载均衡技术方案、供电技术方案。4.3.1小区漫游技术方案当能够进行WLAN访问的服务区域从“点”发展成“面”的时候，必须采用无缝的漫游技术，以满足用户跨网段使用的要求。一般情况下，在IP网络中，当接入某一子网的个人电脑移动到其他子网覆盖的区域时，如果不及时转换为包含新网址在内的IP地址的话，那么IP数据包就无法到达个人电脑。子网，通常是指由路由器划分的IP网络区域，如果一边使用WLAN接入服务，一边移动接入位置，那么一旦超越子网覆盖范围，就会无法继续进行通信。此时就要用到移动IP技术。WLAN无线宽带业务驻地网建设时，当要求WLAN覆盖的范围较大或接入人数要求较多时，一个AP已经不能够满足需要，这时需要几个AP协同工作，增大WLAN的覆盖范围和接入人数。用户可以在这个WLAN覆盖的度假村内自由移动，其接入的AP根据移动后的位置变化而变化，也就是度假村漫游。在IEEE 802.11的技术指标中，有三类终端移动：非转移：移动可能发生或不发生，终端的AP不变。BSS转移：无线终端在同一无线基站多个AP之间移动。ESS转移：无线终端在不同无线基站多个AP之间移动。当无线终端改变其AP时， 无线终端用户的数据信息必须改变其物理路径。这种改变不可能瞬间完成，而且很可能触发各种错误，包括信息丢失、误插入、重复、破坏数据包的顺序以及增加等待时间。无线终端正在移出一个AP范围时，它能够不断地在正在传送数据的低速率和未传送数据的高速率之间进行速率调整。另外，如果无线终端处于两个AP的范围内，它也许会不断地在两个AP之间切换。这种切换对性能会产生很大影响。802.11指标指出有可能在ESS转移时服务中断，而BSS转移时有可能不中断服务。然而资料中并没有提供实现无线终端重新连接或AP 断开功能的任何具体步骤。既然没有实现这些功能的标准方法，每个销售商可能提供其独特的测试方法。对于宾馆、机场、会展中心、酒吧、咖啡馆、茶馆这样的驻地网，因为要求网络覆盖的范围比较大（例：300m *150m），并且要考虑到无线AP供电、无缝连接切换等方面的要求，在该区域范围内，配置3台以上AP，实现在要求范围内无网络盲点；在规划小区网络时，要在相邻的上设置不同的Channel通过将这些AP组建成无缝的无线蜂窝网络，从而实现用户在AP间无缝的漫游。考虑到频段干扰问题，相邻AP不能选用同样的Channel,并且Channel 号最好要相差5，也就是构成小区的任意三个相邻的AP的Channel设置为1、6、11。图 WLAN小区漫游4.3.2负载均衡技术方案为了保证用户接入信号质量和带宽，当用户出于两个AP相交覆盖区域内时，按流量和用户数制定统一的负载均衡策略，将连接了的用户平均的分布在现有的各个接入点。如下图：APAP图 负载均衡机制WLAN提供的负载均衡机制是：当用户漫游到两个AP共同的覆盖区域中时，存在着用户终端无线网卡与哪个AP连接的问题，按照传统IEEE 802.11协议组的规定，是根据接收AP信号的灵敏度和强度等参数接入AP的，但是由于无线AP工作机理是基于共享带宽，因此需要对WLAN制定负载均衡方案：负载均衡是两台AP, 其中一台AP上线机器数乘以传送数据报数超过另一台达到一定数量时,新接入使用者切到使用者及流量少的AP上。此时，这两个AP要设置为一个工作组。4.3.3供电技术方案WLAN具有的一个优点就是不需要作综合布线，AP设备大多安装在天花板上或挂装在墙壁上，并且为了不破坏建筑内部的布局，尽量安装在不显眼的地方。但是，这些适合安装AP的地方，大多没有电源插口，因此对AP设备的远程供电就变得非常必要。下面将描述北京通信公司WLAN无线宽带网的供电技术方案。方式一：如果WLAN AP设备安装位置附近有220V市电的接口，就可以通过AP设备的外置电话适配器进行直接供电。方式二：如果WLAN AP设备安装位置附近没有220 V 市电的接口，就只能通过五类线远程供电。如果有远程供电交换机，AP内置远程供电模块，则通过连接AP和远程供电交换机的五类线就可以直接给AP供电。如果只有普通的交换机，AP内置远程供电模块，则可以在交换机侧增加外置的远程供电模块通过五类线给AP供电。如果只有普通的交换机，AP没有内置远程供电模块，则需要在交换机侧和AP侧分别安装相应的远程供电模块，再通过五类线给AP供电。4.4 接入网技术设计方案目前的宽带业务主要有两种：LAN宽带业务和ADSL宽带业务。在开展WLAN无线宽带业务时，可以借鉴上述宽带业务的经验。从技术上看，WLAN更靠近LAN宽带技术，从本质上讲，WLAN也是LAN家族中的一员，只不过是把无线信号作为传送介质，因此，接入网可以采用LAN接入技术方案。另外，为了更方便在不同地域和场所推行WLAN业务，WLAN技术和ADSL技术结合，应用ADSL Modem作为WLAN的上连设备，因此接入网也可以采用ADSL接入方案。4.4.1以太网接入技术方案采用LAN接入的WLAN无线宽带网络拓扑见下图所示。用户驻地网连接各个AP的工作组交换机，通过五类线或当距离超过一百米时通过光电转换器和光缆连接到汇聚交换机，再由汇聚交换机连接到AC上。在汇聚交换机上，划分VLAN来隔离不同工作组交换机上来的流量。图 LAN接入网络拓扑4.4.2 ADSL接入技术方案采用ADSL接入方案的WLAN网络拓扑如下图所示。WLAN用户的上连带宽由ADSL网来提供，在驻地网建设中，普通AP和作为ADSL Router的AP都连接在工作组交换机上。ADSL Router型AP有网关的功能，能够作简单的路由功能、NAT功能，内置了DHCP服务器，内置了PPPOE拨号功能。当有WLAN无线宽带用户需要接入Internet时，作为网关的AP能够自动发起PPPOE拨号，通过北京通信公司的ADSL网络接入Internet。因此，采用ADSL接入方案的WLAN无线宽带业务也可以看作是ADSL宽带业务的延伸。图 ADSL接入方案45 安全技术方案4.5.1网络运营安全为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，标准中引入了认证和加密的手段，即有线等价加密（WEP）。北京通信公司WLAN无线宽带网的AP设备应支持该种加密功能。扩展频谱技术：扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种，最常用的两种是直接序列和跳频序列。用户认证-口令控制我们推荐在无线网的站点上使用口令控制-当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个安全级别，它有助于确认网站是否正被合法的用户使用。、认证IEEE 802.11定义了2种认证方式：A）开放系统认证：这是一种简单的请求/应答的认证方式，仅仅用于无需严格确认的情况下。B）共享密钥认证：这是一种更复杂的认证方式，引入了在认证过程中对文本的加密操作。请求方传输一个表明共享密钥认证的帧数据。接受方的回答包含128个字节的握手文本。请求方加密这个握手文本，并回传给接受方。接受方解密回传的文本，并检查是否与先前传送的文本一致，以决定认证是被拒绝还是被接受。、WEP模式在提供的AP中应具备以下WEP模式。1）开放模式（必选项）在开放模式下，AP既接受开放系统认证，也接受共享密钥认证。如果无线客户端采用开放系统认证，则其相关的连接将不被加密。如果无线客户端采用共享密钥认证，则其相关的连接中传输的所有数据将被加密。2）WiFi模式（必选项）这种模式既接受开放系统认证也接受共享密钥认证，但是所有数据在传输中都是利用共享密钥进行加密。3）私用密钥模式（可选项）仅采用私用密钥来实现共享加密模式。私用密钥可以存储在AP本地或者远程数据库（如，RADIUS服务器）。多流向数据采用共享密钥进行加密，单流向数据采用私用密钥进行加密。以上WEP模式中，1）和2）项为必选项，AP设备必须支持。3）项为可选项。、WEP密钥IEEE 802.11规定WEP密钥的长度为40位或128位。中国移动OWLAN的AP设备必须支持最低40位的WEP密钥。即应支持40位/128位WEP静态密钥数据安全加密。可选支持128位动态密钥数据加密。. 数据加密 假如您的数据要求极高的安全性，譬如说是商用网或军用网上的数据，那么您可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复，读取这些数据。如果需要全面的安全保障，加密是最好的方法。一些网络操作系统具有加密能力。基于每个用户或服务器、价位较低的第三方加密产品也可以胜任，象McAfeeAssicoate的NetCrypto或Captial Resour-ces Snare等加密产品能够确保唯有授权用户可以进入网络、读取数据，而每个用户只须为此支付大约50美元。鉴于第三方加密软件开发商致力于加密事务，并可为用户提供最好的性能、质量。服务和技术支持，WLAN赞成使用第三方加密软件。 其他无线网络方面的考虑：无线局域网还有些其他好的安全特性。首先无线接入点会过滤那些对相关无线站点而言毫无用处的网络数据，这就意味着大部分有线网络数据根本不会以电波的形式发射出去；其次，无线网的节点和接入点有个与环境有关的转发范围限制，这个范围一般是几英尺。这使得窃听者必须处于节点或接人点的附近。最后，无线用户具有流动性，他们可能在一次上网时间内由一个接人点移动至另一个接人点，与之对应，他们进行网络通信所使用的跳频序列也会发生变化，这使得窃听几乎毫无可能。 防止蓄意攻击对网络系统蓄意攻击是网络运营的大敌，因此WLAN网络应该采用相应的机制防止恶意攻击。这些攻击行为主要有：IP/MAC地址仿冒防止、DHCP服务器攻击保护、非授权使用网络资源。经常采用的办法是：AC在用户接入连接建立后绑定IP-MAC-VLAN关系，丢弃不符合以上绑定关系的报文，用户断开连接后，绑定关系解除；控制每个端口接入用户书目；设置用户访问控制列表，控制网络资源分配。4.5.2接入用户安全保证 AP接入隔离WLAN无线宽带业务应支持控制接入用户之间互通或者隔离，系统应可以通过网管或手动设置实现接入用户的隔离或互通。 这里实现方式主要是通过设置AP上接入用户之间的隔离来实现。二层隔离VLAN技术也能够有效保证用户的安全，通过在工作组交换机上划分VLAN，来防止同一WLAN 小区内用户之间的互访，通过在汇聚交换机上划分VLAN，来防止不同工作组交换机之间的二层互通。通过以上安全措施，能保证只有合法用户才能访问北京通信公司WLAN 无线宽带网，能保证合法用