无线网络综合课程设计报告_图书馆

1、学院计算机科学与技术系无线网络课程设计20142015学年第1学期课程无线网络课程设计名称无线局域网络综合课程设计-图书馆专业班级指导教师小组成员2015年1月图书馆无线局域网络综合课程设计1、课程设计目的通过“无线局域网络综合课程设计”的环节，以系统集成项目的调研、规划与实施为主线,根据所掌握的无线局域网络知识，完成无线局域网络基础架构、无线局域网络系统的安装与配置、无线局域网络安全及网络管理等无线局域网络技术的综合设计与应用。通过课程设计，使学生进一步巩固在计算机无线局域网络课程中学到的专业知识，深入掌握计算机局域网络工程的设计与施工、无线局域网络系统的安装与配置技术，掌握有线无线一体化局

2、域网络设计与实施的方式方法，了解无线局域网络系统建设各部分之间的相互关系，提1/27高学生计算机网络技术的综合运用和实际动手能力，培养学生的分工协作的团队精神。2、课程设计名称及内容名称：某省立图书馆无线网络集成项目规划与实施学院背景描述及需求内容：图书馆随着业务规模的不断扩大，对图书馆提高运营效率的要求也不断提升，随着WIFI技术的不断发展，使其能更加稳定高效的承载图书馆应用。很多图书馆在有线网络的基础上扩展无线网络来进行日常业务的开展，甚至很大一部分图书馆在新建覆盖场所时，考虑建设的成本和传统网络的繁琐，也希望可以通过WIFI接入技术实现他们的目的。该省立图书馆建筑面积4万平方米，5层，要

3、求实现无线网络无缝覆盖，所有上网用户的带宽不得低于8Mbps图书馆用户通过无线网络可以访问图书馆提供的电子资源(WEBg式)，这些电子资源只能由通过认证的用户访问。3、实验过程3.1 需求分析3.1.1 建设背景在信息迅猛发展的今天，国内所有省立图书馆均实现了有线企业的建设。但随着设施的完善，越来越多的便携式计算机终端进入了图书馆，越来越多的读者和员工也开始拥有了带有无线网卡的计算机终端。读者对无线网的依赖性相当之高，“随时随地获取信息”已成为读者的新需求。但是，传统的有线网存在着诸多“网络盲点”，比如在仓库、食堂等许多不宜网络布线的场馆设施如何联网？这就需要我们在现有网络的基础上充分扩展和利

4、用无线网络来解决。3.1.2 企业建设无线网络的目标总体建设目标是以现有网络为依托，利用无线网络技术，改善图书馆信息网络建设基础设施的环境，解决何时何地都能上网问题，进一步扩大网络的使用范围，使员读者在任何时间、任何地点都能方便高效地使用信息网络。(1)在图书馆实行无线覆盖。在图书馆中，你是不可能做到每一个角落都一定可以网线到位的。而随着企业信息化的发展，势必要求把网络延伸到图书馆的每一个角落，比如阅览室、办公楼内,这些地方都无法采用有线网络来完成，只有WLANT以解决这些问题。(2)在图书馆能漫游。用户在移动中，需要时刻保持与网内不同无线接入点的稳定连接以实现漫游。室外无线接入点RG-P-7

5、80支持标准漫游协议，实现跨区域的无缝漫游，并自动寻找最佳信号质量的无线接入点建立连接。(3)方便管理，迅速排错。对设备的管理是网络管理的重要部分。建成后的企业无线网络中，所有网络设备应当遵循统一的、标准的管理协议和兼容性，并满足集中、统一管理的功能需要，使得网络中心管理人员可以在网管工作站随时观察每一台网络设备的工作状态。2/27（4）认证机制。基于802.1x的AAA平台，配合网络无线接入点，可为每个无线用户提供入网身份认证机制。3.1.3 具体实施目标侧重实际应用，覆盖图书馆内大部分区域，为工作和生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系

6、列标准，因此企业无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a,802.11b,实现双频三模技术。但是为了长远利益着想我们的无线设备将采用支持802.11n标准（300M带宽）的设备为以后的升级预留空间。全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；采用非独立型的无线网络结构选型（即：有线无线结合）。A、覆盖范围要求有线网络无法接入的室外场所：图书馆内一些场所很难实现网络有线接入，采用无线方

7、式可以实现覆盖大范围室外空间的无线网络接入。有线网络使用不便或受限的室内空间：图书馆内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。R安全、认证、和管理要求实现针对用户管理、认证、控制功能；G图书馆无线网网络结构要求无线接入所需布设的无线路由器通过企业网的汇聚层设备接入到园区网中，在汇聚层都提供相应的接口给无线网。D工程布线和安装要求室内部分：定好较为开阔位置，将网线走暗线铺设到位，无线路由器可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板

8、上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分：根据设备位置有两种布线方式。如果无线路由器设备放置在楼顶，则需要走网线和电源线；如果无线路由器设备放置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶方式处理，安装过程中应充分考虑防盗。供电部分：无线路由器的供电可采用POEf式由接入的网络设备进行供电（无需本地供电）E、产品能力要求产品支持AESWEPto密等安全标准、漫游切换、支撑QO骑长力3/273.2 校园无线网的设计方案3.2.1 概述WLANWirelessLocalAreaNetwork,无线局

9、域网）是通信行业的一个时髦词语，而且可以肯定它是一种人人都想使用的技术。WLANBE得如此流行的原因是易于安装和使用。通过WLAN系统，用户无须考虑复杂的线路连接和布置问题。可是WLA陈统也不是完全的“无线”，因为只有客户端是可移动的，而服务器或者说接入设备是固定的。使用WLAN解决方案，网络服务商和企业能给他们的客户提供无线局域网服务，这些服务包括：使用带有WLAN功能的设备组建一个无线网络。这个网络可以成为接入固网或者Internet的入口。配置了无线PCI网卡的客户端可以与无线网络建立连接并访问固网或Internet。WLANg户端与传统的802.3局域网的互连。通过不同的加密和认证方式

10、实现安全的访问。WLANa能使用户能够安全的访问网络并且能在同一移动区域内进行快速漫游。3.2.2 WLAN的工作机制WLAN由以下几个部分组成：Client（客户端）：带有无线网卡的便携机。AccessPoint（无线路由器，接入点）：执行桥接操作的设备，在客户端（Client）和局域网（LAN之间对无线帧和有线帧进行相互转换。AccessController（AC无线控制管理器）：对WLAN内所有无线路由器进行管理和控制的设备，通过与认证服务器的通信来进行信息过滤。WirelessMedium（无线媒介）：用于客户端间进行帧传输的媒介。在WLA陈统里使用无线电频率做为媒介。3.2.3 无线

11、网络设计原则采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。本系统在软件配置和硬件设备，整个系统设计上依照以下原则确定：（1）先进性世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求，因此，主要、关键设备以进口为主，但国内能满足要求的，尽量采用国产设备。（2）实用性系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性

12、，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。4/27(3)安全性目前，计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。(4)易扩充性系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通讯协议要符

13、合国际标准，为将来系统的升级、扩展打下良好的基础。(5)灵活性采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。(6)规范性采用的技术标准按照国际标准和国家标准与规范，保证系统的延续性和可靠性。(7)系统性项目开发必须按照系统工程的管理方法，有计划做实施。(8)综合性满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。3.2.4 网络标准的选择无线局域网有很多协议标准，目前，全球主要有3大类型：美国的IEEE802.11标准系列、欧洲ETSIBRAN勺HIPERLA厢准、日本ARIB开发的MMA献准。其中，IEEE

14、802.11系列发展最为迅速。1997年发布的IEEE802.11是最早出现的无线局域网标准，它定义的三个物理层包括了一个红外传播规范和两个扩散频谱技术，即跳频扩频(FHSS和直接序列扩频(DSSSo该标准工作在2.4GHZ频段，支持1Mbps和2Mbps数据速率。由于IEEE802.11标准在速率和传输距离上都不满足人们的需要，因此，很快被其他的标准所取代。目前在无线局域网市场应用最广的一个标准IEEE802.11B是1999年底推出的，它以直序展频作为调变技术，该标准工作在2.4GHZ频段，支持最高11Mbps数据速率，使用范围以百米为单位，在室中最长为100米，在室外为300米。由于越来

15、越多的应用涉及到高密度数据传输，所以IEEE802.11标准应运而生。IEEE802.11允许在5GHZ®带上采用正交频分复用(OFDM来传输数据，由于该频段的使用者较少，因此干涉和信号争用情况也比较少。IEEE802.11最高传输为54Mbps,能满足高密度数据传输的需要。由于IEEE802.11技术具有先天的数据传输率高，抗干扰能力强的优点能满足高密度数据传输用户需要。在未来的几年内，尤其是“十一五”规划的这几年内，还有哪些伟大的新技术在等待着我们呢？MIMOK术，叫做多输入多输出技术，由于该技术可以将发射和接收采用不同的天线系统，并能更好地调整灵敏度，因此，未来具备MIMO勺无

16、线设备可能是多天线系统的天线阵，网卡也需要更新，这种技术可以将信号有效覆盖距离更加扩大，并大大提高信噪比，提高带宽。这个技术将在2007年成熟起来。802.11n技术是大家都知道的，这种未来的传输协议可以提供高达320Mbps的峰值速率和不少于100Mbps的平均速率。这个协议将在2007年正式发布，届时锐捷网络也会有正式的产5/27品出来，该协议将会改写WLAN的从属地位，很可能会成为接入层的主要接入技术。综上述的描述WLAN作为网络技术的重要趋势，在未来必将成为主流网络技术。3.2.5 企业无线网络设备选型原则根据已制定的网络设计原则，我们所选择的网络设备必须具有以下一些特定：(1)安全、

17、稳定、可靠作为整个企业网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品，所以在选择产品时选用国际知名厂商的产品。(2)技术先进性网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有技术先进性。在选择网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。(3)易于扩展性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定

18、扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。(4)管理和维护方便先进的设备必须配合先进的管理和维护的方法，才能够发挥最大的作用。所以，在选择设备时必须支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。(5)硬件设备的选购aCiscoAIR-WLC4404-LOO- 网络®®IEEE802.11a.IEEE802.11b.IEEE802,llg.IEEE8OZlld.IEEE302.11 最高传输

19、速率54MbpW :WPA;IEEE802Jli(WPA2dRSN):RFC1321MD5信息摘要宜去；RFC2104HMAC:用于信息甄证的声铜散列，RFC2246TLS协设版本L。小单箭“4Q0006今1。总计Q40000PWLC:整个圉书憎用一台可滞足需求C6/27 产品类型智能交换机媪 传输速率10/lOOMbps 产品内存DRAM内存:54M即 FLASH内存：32MB- 背板存宽16Gbps+1 ifflCU®26个纠相， 道口描述24个L反网10/lOOMbpsPoEws3,2个上行端LkCiscoWS-C2960-24PC-LP单饰炉6400tl/+i黑3*二归3p三

20、*U四四五楼3本总计会32000tup接入层交换机：在有限网络的基踪上,每层楼增加一台该交逢机，设备支持POE供电，耐保方便施工”iCiscoAIR-LAPHM2N-C-K9 产品类型无嫩人点, 阿IEEE802.11n,IEEE802.11g,EEE802.11* 最高3码初Mbpw 频率痘围双频(2.4GHz,5GH2)/ 网络接口10/100/1000Mbp5LAN单价19印元姬。1皿二的8e三窿Q120四廓8.5五愠瓯总诃川2970。元P考虑到图书培一推.二楼自习型学习同学较普，同时，考虑扩展性，萼检同学接入点（手机,pad,电脑）为三斗，故饵个白习室三台AP卖的，另外大厅,需舍厅实现

21、全幅,采用以上数量AP接入.J3.2.6 图书馆无线网的设计分析7/27无线局域网的主要指标决定了设计无线局域网的原则是以数目尽可能少的无线路由器来为所有网络用户提供服务。用户相对疏散区域只需要布置少数无线路由器即可，以无线路由器覆盖范围最大为宜：用户相对密集区域需要通过增加单位面积内无线路由器数目来为用户提供可靠服务。前者主要考虑覆盖范围这一因素，后者则主要考虑单位面积系统容量这一因素。设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在图书馆全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容

22、做好预留。一般来讲室内容许最大覆盖距离为35100米，室外容许最大距离100400米；障碍物阻挡；要观测无线覆盖周围的障碍物确定无线路由器的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下：A.水泥墙(1525cm):衰减1012dBB.木板墙(510cm):衰减56dBC.玻璃窗(35cm):衰减57dB各种建筑材料对无线讯号的影响如下：当无线路由器与终端隔一座水泥墙时，无线路由器的可传送覆盖距离约剩下5米有效距离。当无线路由器与终端中间隔一座木板墙时，无线路由器的传送距离约剩下15米有效距离。当无线路由器与终端中间隔一座玻璃墙时，无线路由器的传送距离约剩下15米有效距离

23、。所以在安装选点时，一定要注意以避开墙、柱子等。3.2.7设计方案(1)图书馆原有有线网络拓扑结构图(2)在原有的有线网络基础上根据给出的背景加上无线网络的，画出网络拓扑结构图如下，在核心设备上直连一个无线控制器，对图书馆接入层的AP进行管理。,rtiP(3)绘制无线局域网络部署区域的CAES意图，示意图上需标示房间尺寸、AP部署位置;房间2房间i房间352平方米52平方米54平方米田间1干°U52平方米81平方米午房间2:甲I。N52平方举11/27(4)地址规划(用动态地址)、虚拟局域网络划分、有线无线一体化设计等环节详细配置清单；三层交换配置：Switch(config)#ho

24、stnamesw-1Sw-1(config)#noipdomain-lookupSw-I(config)#linecon0Sw-1(config-line)#exec-timeout00Sw-1(config-line)#loggingsynchronous在三层交换上给每个vlan起一个管理地址Sw-1(config)#interfaceVlan2Sw-1(config-if)#ipaddress192.168.2.254255.255.255.0Sw-1(config)#interfaceVlan3Sw-1(config-if)#ipaddress192.168.3.254255.255.

25、255.0Sw-1(config)#interfaceVlan10Sw-1(config-if)#ipaddress192.168.1.254255.255.255.0将端口划入相应vlaninterfaceGigabitEthernet1/0/2switchportaccessvlan2interfaceGigabitEthernet1/0/312/27switchportaccessvlan2在三层和无线控制器之间配trunkinterfaceGigabitEthernet1/0/25switchportaccessvlan10switchporttrunkencapsulationdot

26、1qswitchportmodetrunk在三层上做DHCPipdhcppoolvlan2network192.168.2.0255.255.255.0default-router192.168.2.254option43hexf108.c0a8.0101ipdhcppoolvlan3network192.168.3.0255.255.255.0default-router192.168.3.254option43hexf108.c0a8.0101interfaceVlan1noipaddress开启单播路由功能Sw-1(config)#iproutingWlc配置：(CiscoControl

27、ler)User:adminPassword:*(CiscoController)>(CiscoController)>(CiscoController)>showinterfacedetailed<interface-name>Enterinterfacename.ap-managerDisplaytheAPManagerinterface.managementDisplaythemanagementinterface.service-portDisplaytheout-of-bandservicePort.virtualDisplaythevirtualgat

28、ewayinterface.(CiscoController)>showinterfacedetailedap-manager13/27InterfaceNameap-managerMACAddress58:8d:09:f7:33:03IPAddress192.168.2.1IPNetmask255.255.255.0IPGateway192.168.2.254ExternalNATIPStateDisabledExternalNATIPAddressVLANActivePhysicalPortPrimaryPhysicalPortBackupPhysicalPortPrimaryDHC

29、PServer.SecondaryDHCPServerDHCPOption82ACLAPManager0.0.0.0211Unconfigured192.168.1.254UnconfiguredDisabledUnconfigured.YesGuestInterfaceNoL2MulticastDisabled(CiscoController)>showinterfacedetailedmanagementInterfaceNamemanagementMACAddress58:8d:09:f7:33:00IPAddress192.168.1.1IPNetmask255.255.255.

30、0IPGateway192.168.1.254ExternalNATIPStateDisabledExternalNATIPAddress0.0.0.0VLANQuarantine-vlanActivePhysicalPortPrimaryPhysicalPortBackupPhysicalPortPrimaryDHCPServer.SecondaryDHCPServerDHCPOption82ACL10011Unconfigured192.168.1.254UnconfiguredDisabledUnconfigured14/27APManagerNoGuestInterfaceNoL2Mu

31、lticastDisabled(CiscoController)>showinterfacedetailedservice-portInterfaceNameservice-portMACAddress58:8d:09:f7:33:01IPAddress192.168.20.1IPNetmask255.255.255.0DHCPOption82DisabledDHCPProtocolDisabledAPManagerNoGuestInterfaceNo(CiscoController)>showinterfacedetailedvirtualInterfaceNamevirtual

32、MACAddress58:8d:09:f7:33:00IPAddress192.168.30.1DHCPOption82DisabledVirtualDNSHostNameDisabledAPManagerNoGuestInterfaceNo15/27Wlc图形化界面配置16/27WLANs-CI9CQHLAHiZllElr-"n1"sCtanr'F/MI'K!戏EL714%，»''!0*更IttINHI!值*fBs-TrlF«fi»看鼻i；4,rM同*CT«t.m”刊r.llti-|iiCISCOmr

33、rEtWRHF钙JSOIBTVIWV由IFRT即飞VM1CIUmteJ(jwqvrtiavflAUillUMMcst41nw皿*hhM.II4ddmataLiithiaPrpvfiwwHa*MaawmlM3呼撑二I，&M|EuWRJ因“ahlCmoc>«EMK!Q川mi«llSiskiiUdU曲II工HLXlLMini02.Zda*IHLNI4LSilk1蜓11mVW0iHdtY，gHirwig凶叫BTP-(HF4测试结果，土血*17/2718/2716:24coa6.35%0号：Hill<338WifiInfoWiLSignulCToial6Ibung

34、Ch-alnel-*MIII*mflx_r-'iw.8-*1附gSSID:HFUU信道:11强度:91SSIO：RedFoxnetwork信道:6强度:84SSID:Hang信道:1强度:80SSIDJbing信道:1强度>3119/27丢失=0C0x丢失工=:lJserschh>ning192.168r3,S媒体已断开isatap=<#iE7F7S23-25AS-4EEE-8FC9-l?fl4Dfi42CB33>：，媒体已断开寺定小JDN&Q啜:MJaErsS£hh>&Cndoi/vV5)5tn32',cid-.ese在

35、自自自自-=32节节节节JhWt千iP上回回回回45Z=-1-nHHmHnnr-222VT333倨3.包的L据噜16较窠2-返4、安全防护4.1 概述4.1.1 从忽视到重视的转变企业布设无线局域网络的需求一般包括为：“员工安装无线网卡，进行简单的设置就可以在教学区和办公区漫游使用，在整个企业内连接到企业网上，都可以实现移动漫游连接互联网。”非法授权的用户可利用无线局域网（WLAN的漏洞，入侵到有线局域网当中，去窃听或干扰信息非常容易。早期的无线网络标准安全性并不完善，技术上存在一些安全漏洞，主要提到的安全问题也是针对802.11b协议搭建的WLA而言。802.11b存在着加密和频率问题，例如

36、：802.11b采用WEP在链路层进行RC4寸称加密，还比如802.11b采用的2.4GHz频率和蓝牙设备、微波炉等很多设备相同，这样很容易造成相互干扰。1.1.2 WLAN面临的威胁对WLA城说，其安全性主要体现在访问控制和数据加密两个方面。可以说，所有有线网络存在的安全威胁和隐患都同样存在。同时，任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试，一定程度上暴露了网络的存在。同时，外部人员可以通过无线网络绕过防火墙，对企业内部数据非法存取；内部员工可以私自设置无线网卡，使用例如P2P等方式与外界通信，大量占据可用带宽。在实际工作中，有可能遇到的威胁主要包括以下几个方面：A信息重放在

37、没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了VPN?保护措施也难以避免。中间人攻击则对授权客户端和AP20/27进行双重欺骗，进而对信息进行窃取和篡改。BWE被解现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于AP信号覆盖区域内的数据包，收集到足够的WEP芍密钥加密的包，并进行分析以恢复WE呢钥。根据监听无线通信的机器速度、WLANJ发射信号的无线主机数量，最快可以在两个小时内攻破WEP5钥。C网络窃听一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通

38、信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。DMAC!址欺骗通过上面提到的网络窃听工具获取数据，从而进一步获得AP允许通信的静态地址池，这样不法之徒就能利用MAC*址伪装等手段合理接入网络。E拒绝服务攻击者可能对AP进行泛洪攻击，使AP拒绝服务，这是一种后果最为严重的攻击方式。此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。1.1.3 实现目标与协议标准为了保护无线网路免于攻击入侵的威胁，用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使

39、用者验证及授权等方面予以改善，实现最基本的安全目的。提供接入控制：验证用户，授权他们接入特定的资源，同时拒绝为未经授权的用户提供接入；确保连接的保密与完好：利用强有力的加密和校验技术，防止未经授权的用户窃听、插入或修改通过无线网络传输的数据；防止拒绝服务（DoS攻击：确保不会有用户占用某个接入点的所有可用带宽，从而影响其他用户的正常接入。安全问题一直是制约无线局域网技术的推广的关键因素之一，越来多的决策者认为安全问题是影响他们做出无线局域网部署决定的首要因素。实际上，IEEE以及Wifi联盟、Microsoft、Cisco等无线局域网标准的制定机构和软硬件厂商，一直致力于重新定义和改进无线局域

40、网安全标准，以便无线局域网能经受恶劣的安全环境的考验。本方案对无线局域网各种安全标准和协议进行分析与研究，提出了选择无线局域网的安全策略，并给出了无线局域网安全技术在企业网工程建设中的应用。如下图：21/274.2 无域网的安全认证在无线线局客户端和无线无线路由器交换数据之前，它们之间必须先进行一次对话。在802.llb标准制定时，IEEE在其中加入了一项功能：当无线客户端和无线无线路由器对话后,就立即开始认证工作，在通过认证之前，设备无法进行其他关键通信。这种认证方式有两种：开放认证和共享密钥认证。4.2.1 开放认证开放认证方法是802.nb标准中默认的认证方式，在明文状态下进行认证，认证

41、过程如图所示：客户端向无线路由器发送认证请求，无线路由器确认认证，注册客户端；客户端发送连接请求给无线路由器，无线路由器确认请求，注册客户端。通常无线路由器的开放认证有三种策略：第一种策略为默认方式，允许任何客户端认证；第二种是只允许认证带有合法服务器标识ID（实际为SSID）的客户端，SSID相当于密码的作用；第三种是无线路由器只允许认证MA04址在无线路由器的访问控制列表中的客户端。如下图：无线路由器无i芭喜卢奈4.2.2共享密钥认证22/27共享密钥认证是基于WEA享密钥的认证方法，前提是客户端和无线路由器中己经预先手动设置好了共享密钥，共享密钥认证与开放认证相似，只不过它使用WEFM认

42、证过程进行加密，因而其安全性要高于开放认证。如下图：4.3 无线局域网的加密技术加密技术是网络安全的一项重要技术。IEEE为无线局域网提供了三种安全性保护协议：WERTKIP、CCMP主要的方法有无线局域网E无线路由器策略、无线局域网鉴别与保密基础架构W无线路由器I以及IEEE802.11标准中的WP邵等。其中WS线路由器I是我国自主研发的、拥无浅路由器无线终端有自主知识产权的无线网络安全标准而TKIP主要进行无线网络产品的互通性测试。然而，这些还联够，还需要一些增强方法和策略等。4.4 选择无线局域网安全策略的原则确保无线局域网网安全可以说“三分靠技术，七分靠策略”，无线局域网部署中要适当应

43、用安全技术，合理选择安全策略。在部署无线局域网时，只要结合自身的网路安全实际需求，合理选择无线局域网的安全策略，提供足够的网络安全防护，就可以安心的享受无线接入的便捷，同时也能保证重要数据的安全。首先对无线局域网的各种安全措施以及无线路由器类型进行比较，最后选择基本安全、增强安全和扩展安全三种无线局域网部署方案。如下图：Z.5无线网络安全认证与计费实际配置此次无线设计中，我们选择思科的ACS乍为AAA服务器认证，基于802.1x协议。所有AP通过802.1x协议到AAAK务器进行认证。配置的基本命令：(config)#aaanew-model'启动AAA23/27(config)#ra

44、dius-serverhost192.168.1.100keynetdigedu'配置RADIUS)艮务器地址及密钥。(config)#aaaauthenticationdot1xdefaultgroupradius'酉己置802.1x默认认证方法为RADIUS(config)#dot1xsystem-auth-control'在交换上全局启用802.1x认证。(config)#intfa0/24(config-if)#switchportmodeaccess(config-if)#dot1xport-controlauto'设置接口的802.1x状态。这个命令

45、一定要注意；状态有三种：force-authorized:端口始终处于认证状态并转发流量，这个是默认状态。force-unauthorized:端口始终处于未认证状态并不能转发流量。auto：端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的，所以dot1xport-control命令后一定要用auto。(config-if)#dot1xhost-modemulti-host'交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令，默认只支持对一台PC认证。#showdot1xall'查看802.1x配置。RADIUS勺工作过程RADI

46、U助、议旨在简化认证流程。其典型认证授权工作过程是：1、用户输入用户名、密码等信息到客户端或连接到NAS2、客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUSK务器，其中包括用户名、口令、客户端(NASID和用户访问端口的ID。口令经过MD除法进行加密。3、RADIUSR务器对用户进行认证。4、若认证成功，RADIUS®务器向客户端或NAS®送允许接入包(Access-Accept),否则发送拒绝加接入包(Access-Reject)。5、若客户端或NA或收到允许接入包，则为用户建立连接，对用户进行授权和提供服务，并转入6;若接收到拒绝接入包，则拒绝用户的连接请求，结束协商过程。Acs相关截图：Acs版本24/27hC