随着局域网技术的快速发展，以及无线局域网产品稳定性的提高，无线局域网逐渐应用到复杂的网络环境中，本文介绍了无线局域网的技术及其特点，阐述了无线局域网在江苏质监信息化建设中的应用。

　　关键词：无线局域网；安全；用户管理

　　江苏质监信息化高速发展，传统的有线局域网在承担大量数据运行的同时出现了瓶颈阻塞。例如在某些场合要受到布线的限制，布线、改线工程量大，线路容易损坏，网中的各节点不可移动，特别是当要把相离较远的节点联结起来时，敷设专用通讯线路布线施工难度之大，费用、耗时之多等等。面对迅速扩大的应用需求，针对有线局域网的不足，构建一套无线局域网作为其补充，是信息化建设发展中重要而有效的一部分。

　　1、无线局域网简介

　　无线局域网络（wireless Local Area Networks：WLAN）是相当便利的数据传输系统，它利用射频（Radio Frequency；RF）的技术，取代旧式碍手碍脚的双绞铜线（Coaxial）所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到“信息随身化、便利走天下”的理想境界。

　　相对于传统的有线局域网，它的优势体现在：

　　（1）灵活性和移动性。在有线网络中，网络设备的安放位置受网络位置的限制，而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性，连接到无线局域网的用户可以移动且能同时与网络保持连接。

　　（2）安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量，一般只要安装一个或多个接入点设备，就可建立覆盖整个区域的局域网络。

　　（3）易于进行网络规划和调整。对于有线网络来说，办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程，无线局域网可以避免或减少以上情况的发生。

　　（4）故障定位容易。有线网络一旦出现物理故障，尤其是由于线路连接不良而造成的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络则很容易定位故障，只需更换故障设备即可恢复网络连接。

　　（5）易于扩展。无线局域网有多种配置方式，可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络，并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点，因此其发展十分迅速。最近几年，无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。

　　无线局域网在能够给网络用户带来便捷和实用的同时，也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面：

　　（1）性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射，而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输，所以会影响网络的性能。

　　（2）速率。无线信道的传输速率与有线信道相比要低得多。目前，无线局域网的最大传输速率为1Gbit/s，只适合于个人终端和小规模网络应用。

　　（3）安全性。本质上无线电波不要求建立物理的连接通道，无线信号是发散的。从理论上讲，很容易监听到无线电波广播范围内的任何信号，造成通信信息泄漏。

　　因此，在江苏质监信息化建设中，建设无线局域网作为主干有线局域网的一个有效补充，发挥其优势，控制其弱点，使之更好地服务于江苏质监信息化应用。

　　2、无线局域网设计方案

　　2.1 无线局域网标准

　　由于WLAN是基于计算机网络与无线通信技术，在计算机网络结构中，逻辑链路控制（LLC）层及其之上的应用层对不同的物理层的要求可以是相同的，也可以是不同的，因此，WLAN标准主要是针对物理层和媒质访问控制层（MAC），涉及到所使用的无线频率范围、空中接口通信协议等技术规范与技术标准。

　　1990年IEEE802标准化委员会成立IEEE802.11WLAN标准工作组。IEEE802.11（别名：Wi-Fi（wirelessFidelity）无线保真）是在1997年6月由大量的局域网以及计算机专家审定通过的标准，该标准定义物理层和媒体访问控制（MAC）规范。物理层定义了数据传输的信号特征和调制，定义了两个RF传输方法和一个红外线传输方法，RF传输标准是跳频扩频和直接序列扩频，工作在2.4000～2.4835Gttz频段。

　　IEEE802.11是IEEE最初制定的一个无线局域网标准，主要用于解决办公室局域网和校园网中用户与用户终端的无线接入，业务主要限于数据访问，速率最高只能达到2Mbps。由于它在速率和传输距离上都不能满足人们的需要，所以IEEE802.11标准被IEEE802.11b所取代了。

　　IEEE802.11b

　　1999年9月IEEE802.11b被正式批准，该标准规定WLANT作频段在2.4-2.4835GHz，数据传输速率达到11Mbps，传输距离控制在50-150英尺。该标准是对IEEE802.11的一个补充，采用补偿编码键控调制方式，采用点对点模式和基本模式两运作模式，在数据传输速率方面可以根据实际情况在11Mbps、5.5Mbps、2Mbps、iMbps的不同速率间自动切换，它改变了WLAN设计状况，扩大了WLAN的应用领域。

　　IEEE802.11b已成为当前主流的WLAN标准，被多数厂商所采用，所推出的产品广泛应用于办公室、家庭、宾馆、车站、机场等众多场合，但是由于许多WLAN的新标准的出现，IEEES02。11a和IEEE802.11g更是倍受业界关注。

　　IEEE802.11a

　　1999年，IEEE802.11a标准制定完成，该标准规定WLAN工作频段在5.15-5.825GHz，数据传输速率达到54Mbps/72Mbps（Turbo），传输距离控制在i0-100米。该标准也是IEEE802.11的一个补充，扩充了标准的物理层，采用正交频分复用（OFDM）的独特扩频技术，采用QFSK调制方式，可提供25Mbps的无线ATM接口和lOMbps的以太网无线帧结构接口，支持多种业务如话音、数据和图像等，一个扇区可以接入多个用户，每个用户可带多个用户终端。

　　IEEE802.11a标准是IEEE802。11b的后续标准，其设计初衷是取代802.11b标准，然而，工作于2.4GHz频带是不需要执照的，该频段属于工业、教育、医疗等专用频段，是公开的，工作于5.15-8.825GHz频带需要执照的。一些公司仍没有表示对802.11a标准的支持，一些公司更加看好最新混合标准——802.11g。

　　IEEE802.11g

　　目前，IEEE推出最新版本IEEE802.11g认证标准，该标准提出拥有IEEE802.11a的传输速率，安全性较IEEE802.11b好，采用2种调制方式，含802.11a中采用的OFDM和IEEE802.11b中采用的CCK，做到与802.11a和802.11b兼容。

　　江苏质监无线局域网组网方案中采用了802.11g标准。

　　2.2 无线局域网网络结构

　　江苏质监办公大楼已建成可连接互联网的有线网络环境，因此，可以在原有的网络环境上扩展部署无线接入设备，用户成功连接无线接入设备后通过有线网络到达网关访问网络资源和互联网，从而很好地将无线网络与原有的有线网络无缝结合在一起。

　　采用无线控制器统一管理所有“瘦”AP，在无线局域网的管理、维护、性能上有较大的优势，具体体现在：

　　（1）管理权全部集中在无线控制器上，可以对全网无线设备进行统一管理，批量配置、升级，无线AP可以做到“零配置”，大大降低管理和维护成本；

　　（2）无线控制器智能管理所有AP频谱，限制无线信号之间的干扰，有效提高网络的性能和稳定性；

　　（3）无线控制器动态调整所有AP功率，优化无线信号覆盖范围，智能分配客户端连接不同的AP进行负载均衡，提高网络使用效率。

　　（4）全网使用唯一的SSID，在该SSID下动态分配不同的VLAN，改善用户体验，同时达到不同用户不同管理策略的管理要求。

　　2.2.1 无线局域网的主要设备

　　（1）无线控制器H3C WXS004

　　提供对802.1ln AP的管理，提供灵活的数据转发方式，支持运营级无线用户接入控制和管理，提供高可靠的备份功能，支持信道智能切换，支持智能AP负载分担，支持7层移动安全检测/防御（WIDS/WIPS），支持RealTime Spectrum Guard（实时频谱保护）模式，支持智能无线业务感知（WIAA），支持远程探针分析，内置射频优化引擎（ROE），支持802.1x认证，MAC地址认证，Portal认证等，支持IPv4/IPv6双协议栈（Native IPv6），提供端到端的OoS，支持快速的二、三层漫游，支持多种分支机构远程接入场景等。

　　（2）无线AP WA2612-AGN

　　实现高性能无线接入和最佳无线网络TCO，绿色低碳设计，提供千兆以太网接口有线连接，支持Fat/Fit两种模式，提供本地转发功能，支持IPv4/IPv6双协议栈，支持智能负载均衡，提供only 11n接入功能，支持中国标准WAPI，支持无线入侵检测/防御（WIDS/WIPS），提供EAD无线接入，支持中文SSID，支持TR-069特性（CWMP），全面支持智能型有线无线一体化管理等。

　　2.2.2 无线接入点（Access Point，AP）的设计

　　根据江苏质监大楼实际情况，无线覆盖设计归纳为两大类：AP室内无障碍覆盖，AP室内穿越障碍覆盖。

　　（1）AP室内无障碍覆盖

　　主要应用于空间较大的会议室等重点室内区域，此时主要信号进行此空间内覆盖，无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖。室内部分采用吸顶天线的方式进行操作。

　　（2）AP室内穿越障碍覆盖

　　主要应用于办公楼内中间走廊两边房间结构室内区域，因为无线信号穿越墙壁、地板等障碍物会存在衰减，但在走廊式结构的室内区域具备一定的穿越障碍的能力，一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置AP，来覆盖两边的房间区域，采用吸项天线的方式进行操作。

　　针对AP设备的供电问题，由于无线局域网中AP设备数量较多，AP布放的位置又必须根据实际覆盖的效果而调整，在已建设完成的建筑物上较难进行本地供电。采取的方案是通过在接入交换机处叠加一个供电电源，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足了实际组网的要求。

　　根据无线网络工作原理，无线信号在多个子频道同时工作的情况下，为保证频道之间不相互干扰，要求两个频道的中心频率间隔不能低于25MHz。IEEE802.11g标准采用2.4G频率工作，无线信号2.4-2.483G的13个频段内最多可以提供3个不重叠的频道同时工作。因此，在部署无线AP时，需将每个楼层的4个AP的工作子频道错井，上下楼层相邻的AP同样错开工作子频道从而避免干扰问题，实现无线信号有效的交叉覆盖。

　　3、无线局域网安全

　　3.1 WEP加密

　　WEP（Wired Equivalent Privacy，有线等效保密），有线等效保密协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。WEP是1999年9月通过的IEEES02.11标准的一部分，使用RC4（Rirest Cipher）串流加密技术达到机密性，并使用CRC-32验和达到资料正确性。标准的64比特WEP使用40比特的钥匙接上24比特的初向量（initialization vector，IV）成为RC佣的钥匙。它的安全技术源自于名为RC4的RsA数据加密技术，是无线局域网WLAN的必要的安全防护层。目前常见的是64位WEP加密和128位WAP加密。

　　但是，越来越多的研究表明，由于对流密码算法Rc4的设计不当造成了WEP保密协议存在着各种各样的安全漏洞，它无法有效保证数据的机密性、完整性和对接入用户实现身份认证。

　　3.2 WPA/WPA2加密

　　WPA（Wi-Fi Protected Access），有WPA和WPA2两个标准，是一种保护无线电脑网络（wi-Fi）安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。

　　WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.1li标准并将与之保持前向兼容。部署适当的话，WPA可保证WLAN用户的数据受到保护，并且只有授权的网络用户才可以访问WLAN网络。

　　由于WEP业已证明的不安全性，在802.11i协议完善前，采用WPA为用户提供一个临时性的解决方案。该标准的数据加密采用TKIP协议（Temporary Key Integrity Protoc01），认证有两种模式可供选择，一种是使用802.1x协议进行认证：一种是称为预先共享密钥PSK（Pre-Shared Key）模式。WPA实现了IEEE802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上，但未必能用在第一代的无线接入点上。Wi-Fi联盟制定802.11 i协议后，正式推出了WPA2加密方式，WPA2采用了更安全的算法，以CCMP（Counter-Mode/CBC-MAC Protoc01）取代了WPA的TKILAES（Advanced Encryption Standard）加密算法取代了WPA的MIC，使得WLAN的安全程度大大提高。WPA2实现了完整的标准，但不能用在某些古老的网卡上。

　　这两个都提供优良的安全能力，但也都有两个明显的问题：WPA或WPA2一定要启动并且被选来代替WEP才有用，但是大部分的安装指引都把WEP列为第一选择。

　　3.3 江苏质监无线局域网加密方式

　　考虑到AES的加密方法虽然安全性高，但并不是全部的客户端设备都支持AES加密，而大部分客户端都很好的支持了TKIP协议。因此，在江苏质监无线局域中，针对办公人员采用WPA2以及TKIP的加密方式。对于访客，由于其只是临时性接入网络，安全性要求不高，因此，采用64位密钥的开放式WEP验证模式，同时，为了防止访客在接入网络后有恶意行为，对其访问资源和访问速度都做了相应的限制，在相关策略下有条件的访问互联网以及相关的内网资源。

　　4、用户身份管理

　　4.1 IEEE 802.1X协议及可扩展认证协议（EAP）

　　IEEE 802.1X标准定义了基于端口的网络访问控制，可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败，使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的，但是其已经过改编以便在IEEE802.11无线局域网上应用。

　　IEEE 802.1X认证包括三个部分：请求方、认证方、认证服务器。请求方就是希望接入无线局域网来上网的设备，比如一台笔记本，有时候也指设备上运行的客户端软件；认证方则是管理接入的设备，比如以太网交换机或者无线接入点：认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口：受控端口和非受控端口，非受控端口始终对用户开放，只允许用于传送认证信息，认证通过之后，受控端口才会打开，用户才能正常访问网络服务。

　　EAP（Extentional Authentication Protocol，可扩展的认证协议），这是一个能够为没有接入网络的设备提供认证及网络接入的服务，工作于0SI七层模型中的数据链路层。之所以称其为“可扩展的”，是因为协议只是规定了一个框架，允许根据实际需要自行定制，但是它要求标准符合IEEE标准中对于安全性的要求。

　　EAP协议类型包括Cisco公司的轻量可扩展认证协议（LEAP），传输层安全可扩展认证协议（TLS），微软的受保护的可扩展认证协议（PEAP），隧道的传输层安全可扩展认证协议（TTLS）等等。由于受保护的可扩展认证协议（PEAP）配置较简单、安全性较高以及江苏质监无线客户端基本上都是微软操作系统，可以完全支持PEAP协议，因此江苏质监无线局域网采用802.1x协议/PEAP协议进行用户身份认证，以提高安全性。

　　4.2 身份集中管理系统

　　在江苏质监无线局域网中大约有300个用户，采用802.1x协议认证方式需要存储所有的用户信息，若采用非集中式管理方法，一个典型的问题便是需要在不同位置存储所有的身份信息，其复杂程度以及管理成本之高可想而知。因此，采用集中式用户管理方式较为合理。

　　5、结语

　　随着信息化的高速发展，计算机、网络技术的日益提高，以及无线局域网络产品的逐渐成熟，无线局域网以它先天的组网灵活性和良好的扩展性，将越来越广泛的应用到各行各业中。作为江苏质监信息化建设的组成部分，无线局域网将会发挥更重要的作用。

标签：无线网络标准认证