无线网络的搭建
正如移动电话已成为固定电话的有力补充一样,无线网络也以其灵活便利的接入方式博得了众多移动用户的青睐。毋庸置疑,无线网络在远程接入、移动接入和临时接入中都拥有无与伦比的巨大优势,随着无线网络设备价格的平民化,无线网络的实际应用也就越来越多。有理由相信,未来两三年时间内将是无线网络蓬勃发展的大好时机。
无线网络概述
所谓无线网络,是指无需布线即可实现计算机互连的网络。无线网络的适用范围非常广泛,不客气的说,凡是可以通过布线而建立网络的环境和行业,无线网络也同样能够搭建,而通过传统布线无法解决的环境或行业,却正是无线网络大显身手的地方了。千万不要以为无线网络的保密性太差,恰恰相反,其保密性能比双绞线要安全得多。
一、无线局域网应用
与有线局域网相比,无线局域网的应用范围更加广泛,而且开发运营成本低、时间短,投资回报快,易扩展,受自然环境、地形及灾害影响小,组网灵活快捷。无线局域网主要应用在以下几个方面:
固定网络间的无线连接
如果您设计和施工的局域网络都在自己所属的范围内,那一切可就轻松多了。如果碰巧您不得不跨越马路,或者甚至两个局域网络间的距离较远,恐怕就要叫苦不迭了。如果必须得在被公路分隔开的两座建筑物之间布线,那么,除了事先要征得市政部门和城建部门的同意外,还必须进行勘测、挖掘管道、重新铺路,真能把您忙个四脚朝天,这哪儿是布线呀,简直就是修路。其实这还是好的,如果两个网络之间相隔几公里或十几公里(对于某些新合并的高校而言,这可不是什么新鲜事),就更惨了。由于所跨越的均为公共区域,因此,不可能被准许架设自己的线路,有这种特权的在我国目前只有两家,即电信和电力。所以,只能租用人家的电杆挂线,费用吗,不用我说您也知道,反正一般的单位是根本无力承受的。当然,除了租用电杆之外,也可以考虑租用电信局的线路,但每月所支付的费用同样惊人。而使用无线网络,无论建筑物是只隔一条街道还是距离十几公里甚至几十公里,都可以在几个小时之内以非常低廉的成本实现11Mbps的网络连接,而且除了设备投资外,无需再支付任何其他额外的费用。
移动用户接入固定网络
在局域网络中,有些人的位置其实并不是固定的。例如,在机场,装卸货物和包裹的工作人员在车上使用终端设备,通过网络来获得诸如航班信息或大门开关等信息;在校园中,身处草坪和教室的学生,通过便携式电脑在网络中查询图书和其他信息资料;市内公共汽车上,利用车上的终端设备,乘务人员实现与调度人员之间进行的行车路线和发车时间等信息的交换;在单位内部,乘坐交通工具的工作人员(或交通工具本身)或需要经常移动的用户,必须连续地存取网络数据,等等。利用无线网络,可以很好地将这些移动用户连接到固定的局域网络,从而实现无线与有线的无缝集成。
例如,学校为师生员工提供了诸如图书馆和数据中心等服务设施,然而,人们只能在有网络接入的地方才能够使用它们。如果学校提供了无线网络服务,那么,学生和员工就可使用了配有无线网卡的便携式计算机,在学校的任何时间、任何地点使用校园提供的所有服务,很方便地建立虚拟教室和调研项目。另外,在每个教室、实验室、图书馆等公共场所都铺设足够多的电缆、提供足够多的网络接口,以满足师生的笔记本电脑到任何地方都能接驳局域网络的需要,是一件既费力又难以办到的事。而如果通过无线网络,这简直是不费吹灰之力,既方便了师生的接入需求,又节约了大量的布线资金投入。
再如,由于电子医疗记录系统变得越来越普遍,无线网络可以为那些在医院中漫游、同时又需要存取网络数据的医生和护士提供更容易的访问方式,帮助他们及时取得数据,同时减少丢失或错误理解病人信息的事件发生,还可以通过减少笔记工作来提高工作人员的办事效率。医院还可以利用无线网络创建一个流动护理站,甚至是家庭医院,由特殊的设备采集病人信息并通过无线网络传送给医院,从而使医务人员能够及时掌握病人的病情,采取合理而必要的医疗手段,也使护士有更多的时间护理病人。
又如,货用叉车经常在巨大的仓库中、钢制船舱以及建筑工地等环境下运动,有时它们需要在室内和室外进进出出。这时对网络移动性能的要求是非常高的,使用无线网络终端可以将叉车或卡车与网络连接在一起,从而不管在何种工作环境下,都能保证通过网络指挥这些运输设备进行高效而有序地工作。
移动无线网络
在很多时候,根本不可能架设固定的网络,此时恐怕只能使用移动无线网络来解决计算机之间彼此互联的问题了。例如,在军事演习中,命令、通信以及后勤保障车辆几乎每时每刻都在移动过程中,有线网络如何架设?再如,地质勘探工作,需要非常频繁地变换办公地点,架设有线网络实在是显得太过烦琐。又如,在紧急事故现场或灾情地区,根本没有条件架设有线网络,计算机之间如何进行通讯?此时就是无线网络锋芒毕露的时候了。无线网络具有覆盖范围宽、抗干扰能力强等特点,并具有极高的安全性,因此,可以充分满足上述各种情况的要求,提供可靠的室外网络连接。
接入Internet
无线网络不仅可以用于连接局域网络,而且还可以直接连接至Internet,甚至可以借助Internet及其他公用通信网络建立自己的虚拟专网,其可提供的带宽比可达11Mbps,比T1还快。由于无线网络具有可任意移动的特点,因此,无论您在何时何处,只要附近十几公里、甚至几十公里之内有基站,那么,都可以随时随地的接入Internet,浏览信息、收发电子函件,总之,所有一切在Internet中可以做的事情您一样可以统统做。这无论是在偏僻地区,还是难以架设常规线路的区域,都是Internet接入的又一种非常好的选择。另外,由于无线网络具有非常高的完全性,因此,也是建立虚拟网络的完美的解决方案之一。
难于布线的环境
在许多环境中,或者是很难以进行传统的布线,或者是环境太过空旷,或者是建筑物内不允许布线,或者是建筑物之间必须逾越公用设施,或者是临时性的工作环境,等等。使用无线网络而根本无需布线,所以凡是难以布线的环境,无论是银行、金融、证券业、乡镇边远地区、矿业、发电厂厂区,野外水电站、大型码头、历史建筑、展览会、交易会等等,均可使用无线网络作为解决方案。
特殊项目或行业专用网
在众多的网络当中,有许多网络是专用网络,如银行数据备份网、政府财政专网、航空公司网、军队网、公安网等。目前,这些网络通常都是采用传统的通信手段,效率低、安全性差、费用高昂。如果采用无线网络,不仅可以节约每月可观的线路租赁费,而且通信速率会大大提升,交互性、抗风险能力会大大增强,安全性、稳定性也会得到大大提高。
连接较远分支机构
当公司发展到一定规模之后,总会产生(或建立或购买)许多的分支机构,而且这些分支机构彼此之间可能还会相距较远。事实上,除了公司的分支机构以外,目前业已存在着的分支机构就不少,如政府下属机关、税务总局及下属分局、银行及下属支行等等。如何连接这些分支机构呢?自己架设专线或租用专线的方式费用都太高,即使是以Internet接入实现VPN的方式花费也不会太少。因此,如果中心与分支机构之间的距离不是太远时,可以考虑采用无线网络,既节约了月租费用,又节约了线路铺设费用,还提高了网络的安全性和稳定性,实在是一举多得的好事。
科学技术监控
利用无线网络可灵活移动的特点,还可以将其用于仪器监控、城市环境监控、交通信号控制、高速公路收费站、自动数据采集和调度监控系统,随时将现场的数据信息及时反馈至控制中心和数据采集中心进行处理。
二、无线局域网组件
无线网络的硬件设备主要包括4种,即无线网卡、无线AP、无线路由和无线天线。当然,并不是所有的无线网络都需要这4种设备。事实上,只需几块无线网卡,就可以组建一个小型的对等式无线网络。当需要扩大网络规模时,或者需要将无线网络与传统的局域网连接在一起时,才需要使用无线AP。只有当实现Internet接入时,才需要无线路由。而无线天线主要用于放大信号,以接收更远距离的无线信号,从而延长无线网络的覆盖范围。
1,无线网卡
无线网卡的作用类似于以太网中的网卡,作为无线网络的接口,实现与无线网络的连接。无线网卡根据接口类型的不同,主要分为三种类型,即PCMCIA无线网卡、PCI无线网卡和USB无线网卡。
PCMCIA无线网卡(如图x-1所示)仅适用于笔记本电脑,支持热插拔,可以非常方便地实现移动式无线接入。
图x-1 PCMCIA无线网卡
PCI接口无线网卡(如图x-2所示)适用于普通的台式计算机使用。其实PCI接口的无线网卡只是在PCI转接卡上插入一块普通的PC卡。
图x-2 PCI接口无线网卡
USB接口无线网卡(如图x-3所示)适用于笔记本电脑和台式机,支持热插拨。不过,由于USB网卡对笔记本而言是个累赘,因此,USB网卡通常被用于台式机。
图x-3 USB接口无线网卡
2,无线AP
无线接入点或称无线AP(Access Point),其作用类似于以太网中的集线器。当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径。另外,也可使网络中容纳更多的网络设备。通常情况下,一个AP最多可以支持多达80台计算机的接入,当然,推荐数量为30台。
图x-4 无线AP
无线AP都拥有一个或多个以太网接口,用于无线与有线网络的连接,可以将安装双绞线网卡的计算机与安装无线网卡的计算机连接在一起,从而实现无线与有线的无缝融合。另外,借助于AP可接入固定网络的特性,还可以将分散布置在各处的无线AP利用双绞线连接在一起,实现类似于“小灵通”的无线漫游。另外,借助于AP,还可以实现若干固定网络的远程廉价连接,既无需架设光缆,也无需考虑由施工而可能带来的各种麻烦。
无线AP也通常拥有一个或多个以太网接口。如果网络中原来拥有安装双绞线网卡的计算机,可以选择多以太口无线AP,实现无线与有线的连接。否则,可只选择拥有一个以太网端口的无线AP,从而节约购置资金。
3,无线网桥
安装于室外的无线AP通常称为无线网桥(如图x-5所示),主要用于实现室外的无线漫游、无线网络的空中接力,或用于搭建点对点、点对多点的无线连接。
图x-5 无线网桥
4,无线路由器
无线路由器(如图x-6所示)事实上就是无线AP与宽带路由器的结合。借助于无线路由器,可实现无线网络中的Internet连接共享,实现ADSL、Cable Modem和小区宽带的无线共享接入。如果不购置无线路由,就必须在无线网络中设置一台代理服务器才可以实现Internet连接共享。
图x-6 无线路由器
无线路由器也通常拥有一个或多个以太网接口。如果家庭中原来拥有安装双绞线网卡的计算机,可以选择多端口无线路由器,实现无线与有线的连接,并共享Internet。否则,可只选择拥有一个以太网端口的无线路由器,从而节约购置资金。
5,无线天线
当计算机与无线AP或其他计算机相距较远时,随着信号的减弱,或者传输速率明显下降,或者根本无法实现与AP或其他计算机之间通讯,此时,就必须借助于无线天线对所接收或发送的信号进行增益。
无线天线有许多种类型,常见的有两种,一种是室内天线,一种是室外天线。室内天线主要有两种,即板状定向天线和柱状全向天线(如图x-7所示)。室外天线的类型比较多,常见的也有两种,即锅状定向天线和棒状全向天线。
图x-7 室内天线
6,其他无线产品
远程供电模块用于借助双绞线为无线网桥提供远程供电,避免传统馈线随着距离延长而导致的的信号衰减,从而便于无线网桥的布署。
图x-8 远程供电模块
无线打印共享器直接接驳于打印机的并行口,从而实现无线网络与打印机的连接,使无线网络中的计算机能够共享打印机。如图x-9所示为无线打印共享器。
图x-9 无线打印共享器
除此之外,还有无线摄像头(如图x-10所示),用于远程无线监控,等等。
图x-10 无线摄像头
三、无线局域网接入方式
目前,无线局域网的接入方式主要有以下四种:对等无线网络、独立无线网络、接入以太网的无线网络和无线漫游的无线网络。
1,对等无线网络
对等无线网络方案只使用无线网卡。因此,仅仅为每台计算机上插上无线网卡,就可以实现计算机之间的连接,构建成最简单的无线网络(如图x-11所示),它们之间可以相互直接通信。其中一台计算机可以兼作文件服务器、打印服务器和代理服务器,并通过Modem接入Internet。这样,只需使用诸如Windows 9x/Me、Windows 2000/XP等操作系统,就可以在服务器的覆盖范围内,不用使用任何电缆,实现计算机之间共享资源和Internet连接了。在该方案中,台式计算机和笔记本电脑均使用无线网卡,没有任何其他无线接入设备,是名副其实的对等无线网络。
图x-11 对等无线网络
由于无线网络的传输距离有限,而所有的计算机之间又都必须在该有效传输距离内,否则,根本无法实现彼此之间的通讯,也就是说,无线网络的有效传输距离即为该无线网络的最大直径,室内通常为30米左右。因此,对等无线网络的覆盖范围非常有限。另外,由于该方案中所有的计算机之间都共享连接带宽,而且廉价的802.11b无线产品的最高带宽只有11Mbps,所以,只适用于接入计算机数量较少,并对传输速率没有较高要求的小型网络。所以,对等无线网络方案最适用于组建小型的办公网络和家庭网络。
需要注意的是,虽然该方案可以借助于Internet接入设备,实现与Internet的连接,但却无法实现与其他以太网的连接。
2,独立无线网络
所谓独立无线网络,是指无线网络内的计算机之间构成一个独立的网络,无法实现与其他无线网络和以太网络的连接,如图x-12所示。独立无线网络使用一个无线访问点(AP,Access Point)和若干无线网卡。
图x-12 独立无线网络
独立无线网络方案与对等无线网络方案非常相似,所有的计算机中都安装有一块网卡。所不同的是,独立无线网络方案中加入了一个无线访问点(AP,Access Point)。无线访问点类似于以太网中的集线器,可以对网络信号进行放大处理,一个工作站到另外一个工作站的信号都可以经由该AP放大并进行中继。因此,拥有AP的独立无线网络的网络直径将是无线网络有效传输距离一倍,在室内通常为60米左右。
对等无线网络由唯一网络名标识。需要连接至此网络并配备所需硬件的所有设备均必须使用相同的网络名进行配置。
小知识 网络名是逻辑连接无线网络中的设备的值。该值(也称为SSID)通常被指定为公司名称或其他,用于区分与之相邻的无线网络。为了保证无线网卡在不同的AP之间漫游,需要为这些AP设置相同的网络名,否则,将无法支持漫游。同样,网卡的网络名需要设置成与AP的网络名相同,否则将无法接入网络。
只要在网络的基站的传输速率内,无线移动工作站就可以与对等无线网络保持通信。
需要注意的是,该方案仍然属于共享式接入,也就是说,虽然传输距离比对等无线网络增加了一倍,但所有计算机之间的通讯仍然共享无线网络带宽。由于带宽有限,因此,该无线网络方案仍然只能适用于小型网络(一般不超过20台计算机)。
3,接入以太网的无线网络
当无线网络用户足够多时,应当在有线网络中接入一个无线接入点(AP),从而将无线网络连接至有线网络主干。AP在无线工作站和有线主干之间起网桥的作用,实现了无线与有线的无缝集成,既允许无线工作站访问网络资源,同时又为有线网络增加了可用资源(如图x-13所示)。
图x-13 接入以太网的无线网络
该方案适用于将大量的移动用户连接至有线网络,从而以低廉的价格实现网络直径的迅速扩展,或为移动用户提供更灵活的接入方式。
4,无线漫游的无线网络
访问点作为无线基站和现有网络分布系统(网络中枢)之间的桥梁。当用户从一个位置移动到另一个位置时,以及一个无线访问点的信号变弱或访问点由于通讯量太大而拥塞时,可以连接到新的访问点,而不中断与网络的连接,与蜂窝移动电话非常相似,将多个AP各自形成的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络,访问整个网络资源。蜂窝覆盖大大扩展了单个AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。
使用无线蜂窝覆盖结构具有以下优势:
增加覆盖范围,实现全场覆盖;
实现众多终端用户的负载平衡;
可以动态扩展,系统可伸缩性大;
对用户完全透明,保证覆盖场内服务无间断。
由于多个AP信号覆盖区域相互交叉重叠,因此,各个AP覆盖区域所占频道之间必须遵守一定的规范,邻近的相同频道之间不能相互覆盖,否则会造成AP在信号传输时的相互干扰,从而降低AP的工作效率。在可用的11个频道中,仅有三个频道是完全不覆盖的,他们分别是频道1、频道6和频道11,利用这些频道作为多蜂窝覆盖是最合适的(如图x-14所示)。
图x-14 无线漫游的无线网络
由于无线蜂窝覆盖技术的漫游特性,使其成为应用最广泛的无线覆盖方案,适合在学校、仓库、机场、医院、办公室、会展中心等不便于布线的环境使用,快速简便地建立起区域内的无线网络,用户可以在区域内的任何地点进行网络漫游,从而解决了有线网络无法解决的问题,为用户带来了最大的便利。
四、IEEE 802.11和802.16a标准
IEEE 802.11标准是IEEE制定的无线局域网标准,主要是对网络的物理层(PH)和媒质访问控制层(MAC)进行了规定。目前,已经产品化的无线网络标准主要有3种,即802.11b、802.11g和802.11a。
IEEE802.11b工作于2.4GHz,支持最高11 Mbps的传输带宽。传输速率可因环境干扰或传输距离而变化,在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps之间切换,而且在2 Mbps、1 Mbps速率时与IEEE802.11兼容。室内通讯距离约为30~50米,信号传输不受墙壁的阻挡。IEEE 802.11b产品是目前技术最为成熟、价格也最为低廉、应用最为广泛的普及型产品。目前,借助于先进的调制解调技术,IEEE802.11b产品完全可以提供高达22Mbps和44Mbps的传输速率,成为无线产品市场的新宠。
IEEE802.11b+是一个非正式的标准,称为增强型IEEE802.11b,与IEEE802.11b完全兼容,只是采用了特殊的数据调制技术,所以,能够实现高达22Mbps的通讯速率,比IEEE802.11b标准快一倍!同时,由于IEEE802.11b+产品在价格上与IEEE802.11b相差无几,因此,具有很好的市场前景。
IEEE802.11a工作于5GHz,最高传输带宽可高达54Mbps,基本满足了现行局域网绝大多数应用的速度要求,而且采用了更为严密的算法。由于IEEE802.11b与IEEE802.11a工作的频带不同,因此,两种标准的产品无法兼容。同时,IEEE802.11a芯片价格过于昂贵,所以,在IEEE802.11g面前,IEEE802.11a显得缺乏竞争力。
IEEE802.11g也工作于2.4GHz的频带,最高传输带宽也高达54Mbps。由于该标准与IEEE 802.11b同工作于2.4GHz频带,所以,两者可以相互兼容,可与原有的IEEE802.11b产品实现正常通讯。虽然在价格上与IEEE802.11a相差无几,但由于能够与现有的802.11b充分兼容,可以有效地保护用户原有投资,因此,IEEE802.11g的前景一片光明。需要注意的是,IEEE 802.11b与IEEE 802.11g必须借助于无线AP才能进行通讯,如果只是单纯地将IEEE 802.11g和IEEE 802.11b混合在一起,彼此之间将无法联络。
IEEE802.16a标准是IEEE 802.16规范的扩展,运行于2GHz到11GHz频谱之上。它的特性表现在以下几个方面:传送距离高达31英里(50公里);使用的频率为2GHz到11GHz;每区段最大数据速率是每扇区70Mbps;每个基站最多6个扇区;服务质量支持不同的服务等级。此外,还可以支持话音和视频。如果说IEEE802.11产品只是一部无绳电话或小灵通,那么,IEEE802.16产品才是真正的移动电话。由于IEEE802.11的传输距离非常有限,所以,业内人士都戏称IEEE802.11为无绳网络,也就是说,只有IEEE802.16才能真正带我们走进无线网络时代。
五、Wi-Fi与WiMAX
喜欢音响的朋友对“Hi-Fi”(High-Fidelity)都非常熟悉,凡是贴有“Hi-Fi”标志的产品都能保证其“高保真”音效。然而,最近一段时间,在网上越来越多地看到的却是“Wi-Fi”,有些朋友不免诧异,“Hi-Fi与Wi-Fi”是什么关系呢?事实上,两者是风马牛不相及的,类似于松花江与松花蛋的关系。
1,Wi-Fi
Wi-Fi(Wireless Fidelity)是无线保证联盟的缩写。Wi-Fi联盟是一个非盈利的国际贸易组织,主要工作就是测试那些基于IEEE802.11(包括IEEE 802.11b、IEEE 802.11a和802.11g)标准的无线设备,以确保Wi-Fi产品的互操作性。Wi-Fi认证的意义在于,只要是经过Wi-Fi认证的产品,就能够在家、办公室、公司、校园网,或者在机场、旅馆、咖啡店及其它公众场所里,到处链接、随处上网。Wi-Fi认证商标作为唯一的保障,说明该产品符合严谨互操作性的测试,并保证它能和不同厂的产品互相操作。也就是说,只要我们购买的无线设备有Wi-Fi认证商标,就可以保证我们购买的无线设备能够融入其他无线网络,也可以保证其他无线设备能够融入我我们的无线网络,实现彼此之间的互连互通。Wi-Fi认证=无线互连保证!
既然通过Wi-Fi认证的无线LAN产品能够确保相互之间的连接性,所以,用户无需再像以前那样必须购买同一厂商的产品,这样,既可以有效地保障以前的投资和网络扩展的需要,同时,又有利于厂商间价格的竞争。有理由相信,在可预见的3~5年内,无线产品在价格上将非常接近现有的以太网络产品。
2,WiMAX
如果将Wi-Fi看做是老百姓能娶进家门的小家碧玉,那么,WiMAX就是大家无福消受的大家闺秀了。WiMAX(World Interoperability for Microwave Access)特指IEEE802.16a标准,是IEEE于今年1月制定的标准,用于解决无线MAN(城域网)和宽带接入“最后一公里”的问题。
WiMAX相当于无线LAN IEEE802.11的Wi-Fi联盟,其目标是促进IEEE802.16的应用,工作包括产品认证和相互连接的确保等。WiMAX主席宣称IEEE802.16a为“仅次于CATV和DSL线路的第三大宽带线路”。目前,业界芯片制造巨头英特尔公司正在开发支持高速无线通信标准IEEE802.16a的芯片组。芯片组最初将用于商用基站和接入点,今后有可能推出面向个人消费者接入点的芯片组。待便携终端规格IEEE802.16e标准出台后,还准备在面向便携个人电脑的“迅驰”相关产品中提供支持。专家估计,采用IEEE802.16a的产品目标价格方面,“基站约1万美元,用户终端为300美元”。有分析说,因为WiMAX论坛计划于2004年底开始进行兼容性测试,并于2005年进入普及期。
无线网络搭建方案
家庭无线网络方案
无线路由器方案
所谓无线路由器方案,是指采用无线路由器作为集线设备,实现计算机之间的无线连接,并共享Internet接入。该无线方案的拓朴结构如图y-1所示。
图y-1 无线路由器方案
该无线组网方案的特点如下:
移动灵活。每台计算机只需安装一块无线网卡,无论在卧室、客厅、阳台还是其他地方,均可随时随地接入家庭无线网络,实现与其他计算机的通讯,并借助无线路由实现Internet连接共享。
无需布线。由于计算机与无线路由之间采用微波进行通讯,因此,无线家庭网络无需实施网络布线,既不会破坏原有的装修风格,又可节约布线投入。
兼容有线。无线路由拥有LAN接口,因此,除了可以无线连接外,还兼容有线的以太网络,实现传统以太网与无线网络的通讯,并共享文件、打印和Internet连接。
方便共享。只要无线路由处于开机状态,就可以实现Internet连接共享,并实现与处于开机状态的计算机之间的资源和文件共享。经过设置,无线路由可以在客户机访问自动创建Internet连接,并经过一段时间的空闲后自动切断,从而节约Internet接入费用。
全面覆盖。在相对封闭的室内,无线路由器的有效覆盖半径大致为20~30米,几乎所有住宅都会处于该有效覆盖区域,因此,在家庭的每个角落都能获得良好的无线信号。
该方案适用于以下情形:
ADSL接入。ADSL Modem必须采用RJ-45接口,并且不具有路由功能或者采用了桥接方式。 l 住宅小区LAN方式接入。
,ADSL路由+无线AP”方案
所谓“ADSL路由+无线AP”方案,是指以ADSL方式接入Internet,ADSL Modem拥有并启用了路由功能,采用无线接入点(Access Point,AP)作为集线设备,实现计算机之间的无线通讯,并共享Internet接入。该无线方案的拓朴结构如图y-2所示。
图y-2,ADSL路由+无线AP”方案
该无线组网方案的特点与无线路由器方案非常相似,不同之处在于,该方案采用不具有路由功能的无线AP,从而降低设备购置费用。需要注意的是,ADSL Modem的路由和网络安全功能较差。
该方案仅适用于ADSL接入方式,并且ADSL Modem必须具有路由功能,不适用于Cable Modem和住宅小区LAN接入方式。
,代理服务器+无线AP”方案
所谓“代理服务器+无线AP”方案,是指以无线AP作为集线设备,实现计算机之间的无线通讯,并借助代理服务器实现Internet连接共享。该无线方案的拓朴结构如图y-3所示。
图y-3,代理服务器+无线AP”方案
该无线组网方案的优点是兼容有线、无需布线和全面覆盖。其缺点如下:
依赖代理服务器。只有代理服务器处于开机状态时,才能实现Internet连接共享。由于计算机硬件和软件故障都难以避免,由系统瘫痪而导致的Internet中断也就难以预料。
造成资源浪费。由于代理服务器必须长期处于开机状态,既会耗费大量电能,又会加速计算机硬件损坏。
代理服务器无法移动。尽管无线客户端可以在住宅内的任何位置漫游,但是,由于代理服务器必须与ADSL Modm或其他Internet接入设备连接,所以,代理服务器不能像其他客户端一样自由移动。
该无线无线路由器方案完全相同。由于Internet设备与计算机直接连接,所以,RJ-45接口或USB接口的设备均可使用。不过,当连接RJ-45接口的Modem时,代理服务器必须安装一块10/100Mbps以太网卡。
,代理服务器+对等网络”方案
所谓“代理服务器+对等网络”方案,是指两台或多台计算机使用无线网卡搭建对等无线网络,实现计算机之间的无线通讯,并借助代理服务器实现Internet连接共享。该无线方案的拓朴结构如图y-4所示。
图y-4 双机无线直连方案方案
如果家里原来就拥有一台台式机,并且已经连接至Internet,现在公司又发了一台笔记本电脑。那么,将两台计算机连接在一起,并实现Internet连接的方式有许多种。有线组网方式姑且不谈,仅无线搭建方式就有若干选择,即无线路由器方案、无线AP方案和无线对等网络方案。对于家庭网络而言,无线对等网络无疑是最具性价比的选择。
该无线组网方案的优点是兼容有线、无需布线和全面覆盖。
价格便宜。该无需购置昂贵的无线宽带路由器或无线AP,只需为每台计算机购置一块无线网卡,即可实现彼此之间的无线连接。如果笔记本内置有迅驰技术(又有哪台新笔记本不支持迅驰功能呢?),那么,全部投入将只是再为台式机购买一块无线网卡,区区150元而已。
速度快捷。IEEE 802.11b标准所提供的传输速率为11Mbps,而IEEE 802.11b+所提供的传输速率则为22Mbps或44Mbps。IEEE 802.11g的传输速率高达54Mbps,增强技术产品甚至达到了108Mbps。由此可见,无线速率一点儿也不比以太网和快速以太网的10Mbps和100Mbps逊色。另外,ADSL的下行速率大致为512Kbps或1Mbps,并且随着与局方距离的增加而不断降低。小区宽带的接入速率通常也不超过10Mbps,因此,只要Internet连接没有问题,无线网络安全可以支持在线视频点播。
无需布线。由于采用无线方式实现计算机之间的连接,因此,无需考虑网络布线的问题,即可节约投资,又不会破坏原有的装修。
其缺点如下:
依赖代理服务器。只有代理服务器处于开机状态时,才能实现Internet连接共享。由于计算机硬件和软件故障都难以避免,由系统瘫痪而导致的Internet中断也就难以预料。另外,由于代理服务器必须长期处于开机状态,既会耗费大量电能,又会加速计算机硬件损坏。
代理服务器无法移动。尽管无线客户端可以在住宅内的任何位置漫游,但是,由于代理服务器必须与ADSL Modem或其他Internet接入设备连接,所以,代理服务器不能像其他客户端一样自由移动。
无线信号覆盖有限。由于无线信号在封闭空间的有效传输距离为20~30米,因此,要求计算机之间的距离必须在这个范围之内,否则,将无法实现无线网络间的通讯。因为代理服务器无法移动,于是,也就在某种程度上限制了无线客户端的自由。不过,这个距离对于家庭而言,已经是绰绰有余了。
该无线组网方案几乎具有“代理服务器+无线AP”方案的所有优缺点,只有一点例外,那就是不能实现无线信号的全面覆盖。由于无线信号在封闭空间的有效传输距离为20~30米,因此,要求计算机之间的距离必须在这个范围之内,否则,将无法实现无线网络间的通讯。因为代理服务器无法移动,于是,也就在某种程度上限制了无线客户端的自由。
该无线组网方案的适用范围与“代理服务器+无线AP”方案完全相同。
小型企业无线网络方案
,无线AP+宽带路由器”方案
该无线方案为纯无线接入方案,根据办公场所的面积和分布情况,安装多个无线AP,实现无线信号的全部覆盖,并分别设置不同的频道,实现用户在整个企业的无线网络漫游。所有无线AP均使用双绞线连接至宽带路由器,实现无线AP之间的相互连接,并实现Internet连接共享。该无线方案的拓朴结构如图y-10所示。
图y-10,无线AP+宽带路由器”方案
该无线方案的特点如下:
灵活接入。由于无线信号将覆盖公司的每一个角落,所以,用户只需安装一块无线网卡,即可接入公司网络,实现与其他用户和公司服务器的通讯,共享网络资源和Internet连接。
扩充简单。由于无需使用网线和信息插座,所以,随时可以容纳新加入的用户,网络扩展变得十分简单。如果网络规模足够大,无线AP的数量足够多时,可以将无线AP连接至交换机,然后,再级联至宽带路由器,从而进一步扩展无线网络的覆盖范围。
无线漫游。将无线AP设置为互不相邻的频道后,无线用户可以实现在网络内的无线漫游,既不必重新设置网络连接,也不必担心无线信号中断,从而随时保持与公司网络的连接。
兼容有线。宽带路由器通常拥有4个LAN端口,除了可用于连接无线AP外,还可直接连接计算机或交换机,从而实现无线网络与有线网络的兼容与通讯。
Internet接入稳定。由于宽带路由器始终处于工作状态,所以,企业网络中的用户可以随时根据需要接入Internet。同时,通过对宽带路由器内部和外部防火墙的设置,可以有效保护无线网络的安全。
该无线方案适用于以下情况:
网络通讯量不是很大,而且绝大多数用户都对移动办公有较高的要求(如笔记本电脑),或者需要频繁接入或离开网络(如公司售前和售后人员)。
支持ADSL接入。ADSL Modem必须采用RJ-45端口,并且采用桥接方式。
支持光纤或小区LAN接入。当采用光纤接入方式时,必须使用光电转发器实现光与电的转换。
需要注意的是,通常情况下,SOHO路由器可容纳的计算机数量为10~20台。因此,当无线网络规模较大,拥有的计算机数量较多时,应当选用性能较高的宽带路由器(如网吧专用宽带路由器),而不要再使用普通的SOHO路由器。
,交换机+无线路由器”方案
该无线方案为无线与有线混合接入方案,适用于规模较小、对移动办公有一定需求的小型办公网络。由于无线路由器既可无线网卡提供WLAN接入,又拥有4个以太网LAN接口,实现与计算机、交换机和集线器的连接,从而实现无线与有线的融合。同时,由于无线路由具有宽带路由的功能,所以,也可为整个办公网络提供Internet连接共享。“交换机+无线路由器”方案的拓朴结构如图y-11所示。
图y-11,交换机+无线路由器”方案
该无线方案具有以下特点:
兼容有线和无线。该方案同时兼容无线网络与有线网络,实现以太网与无线局域网的相互通讯,保护原有的以太网投资。不过,由于无线路由器的无线接入性能有限,通常支持的无线用户不会多于20~30人,所以,该方案是以以太网接入为主,无线接入为辅的。换言之,无线只是作为有线的重要补充。
无线覆盖有限。由于只有无线路由器提供无线接入方式,而无线网络在室内的覆盖半径只有20~30米,所以,该方案的无线覆盖范围非常有限。因此,无线接入应当只被应用于最需要移动接入的地方。
无线扩展潜力。若欲实现扩展无线网络覆盖范围,可以将无线AP直接连接至无线路由器的LAN端口,并将无线AP与无线路由设置在不同的信道。
路由功能有限。由于无线路由所能容纳的用户数量大多不超过30,过多的计算机数量将导致路由转发阻塞,甚至导致系统瘫痪。所以,受路由功能的限制,该方案所能容纳的网络规模也十分有限。
该无线方案适用于以下情况:
会议室的无线接入。由于会议室内不可能安装太多的信息插座,另外,也不便让每个与会者都使用双绞线接入。采用无线作为补充接入方式,无论有多少与会者,只要安装一块无线网卡(迅驰笔记本计算机甚至内置有无线支持模块),即可实现与网络的连接。 l 人员流动频繁的办公场所。由于售前和售后的人员出差非常频繁,因此,灵活的无线网络接入方式更容易被使用。
支持ADSL接入方式(RJ-45接口的ADSL Modem)、光纤和小区LAN接入方式。
,无线AP+交换机+宽带路由器”方案
该无线方案为无线与有线混合接入方案,在许多方面与“无线AP+宽带路由器”方案非常相似。两者的不同之处在于,“无线AP+交换机+宽带路由器”方案采用交换机作为中心集线设备,更适合规模较大的办公网络,实现无线网络与有线网络的兼容,既保护了原有以太网投资,又保证了移动办公的需求。“无线AP+交换机+宽带路由器”方案的拓朴结构如图y-12所示。
图y-12,无线AP+交换机+宽带路由器”方案
该无线方案具有以下特点:
兼容无线与有线。无线AP提供WLAN接入,交换机提供LAN接入,从而实现无线与有线的相互通讯,共享各种网络资源和Internet连接。
无线漫游。由于采用交换机作为中心集线设备,因此,可以提供诸多数量的端口用于连接无线AP,为实现公司的无线覆盖和无线漫游奠定了坚实的基础。
接入灵活。由于台式计算机大多拥有内置以太网卡,且位置相对固定;笔记本电脑大多支持迅驰功能,且需要灵活移动。该方案不仅可以节约网卡的购置费用,因此,而且还很好地满足了两者不同的需求。
该无线方案适用于以下情况:
规模较大的混合网络。由于采用交换机作为中心集线设备,所以,可以支持较多数量的计算机。甚至可以通过交换机级联或堆叠的方式,成倍地扩展端口,从而容纳更多数量的台式机接入。同时,大量的LAN端口,也为无线AP和无线客户端的接入提供了可能。
需要较多无线接入的网络。由于交换机提供较多数量的端口,并且拥有较高的背板带宽,因此,可以根据需要连接多个无线AP,从而实现公司的无线信号的覆盖。当然,无线AP的数量应当根据实际需要确定,并且在需求增加时随时设置,甚至可以只在会议室或某些办公室放置1~2台无线AP,只为有特殊需求的用户和应用提供无线接入。
支持ADSL接入方式(RJ-45接口的ADSL Modem)、光纤和小区LAN接入方式。
需要注意的是,由于普通SOHO宽带路由器的性能有限,因此,当计算机数量多于30台时,应当考虑选用高性能的宽带路由器。否则,将导致Internet连接拥塞,甚至导致宽带路由器的瘫痪。
,无线AP+交换机+代理服务器”方案
该无线方案与“无线AP+交换机+宽带路由器”方案非常相似,不同之处在于该方案采用代理服务器,而前者采用宽带路由器作为Internet连接共享设备。因此,这两种方案无论是网络特点,还是适用情形都基本相同。“无线AP+交换机+代理服务器”方案的拓朴结构如图y-13所示。
图y-13,无线AP+交换机+代理服务器”方案
采用代理服务器而不是宽带路由器作为Internet连接共享设备,其优点如下:
适用更多的用户。作为高配置的计算机,代理服务器的性能远远高于普通的宽带路由器,因此,代理服务器能够为几十个甚至上百个用户提供Internet接入服务。
进行更复杂的设置。与宽带路由器相比,代理服务器的功能更强大。例如,可以设置网络防火墙、病毒防火墙,设置端口过滤和访问策略,从而使内部网络更加安全;可以设置带宽限制,记录Internet访问日志,甚至只允许特定用户访问某些Internet服务,等等。 l Internet访问更快捷。由于某些代理服务器(如WinGate、Microsoft ISA等)具有缓存功能,可以将其他用户访问的页面缓存到本地硬盘。当其他用户访问同一页面时,就如同在本地网络中访问远程服务器一样,访问不仅更加快捷,而且还减少了Internet链路的流量。
适应更多类型的Internet连接。由于计算机的接口类型比较丰富,因此,适用各种类型的Internet接入方式,如ADSL、Cable Modem、小区LAN,甚至光纤接入。
当然,采用代理服务器也有以下缺点:
价格更高。普通计算机无法适应7*24的不间断运行,因此,通常需要选用专用服务器来作为代理服务器。显然,其价格较宽带路由器要高出得多。 l 配置困难。在代理服务器上,不仅要安装和配置代理服务器服务器软件,而且还要设置网络防火墙和病毒防火墙。因此,要求管理员具有较高的技术水平。
维护困难。代理服务器必须根据需要不断地修改网络防火墙的配置,不断地下载病毒库更新文件,甚至必须不断地升级系统安全补丁。因此,服务器的维护任务非常艰巨。
运行不稳定。服务器与普通计算机一样,也会由于操作系统问题,或者其他软硬件问题而瘫痪,甚至会屡屡遭到病毒的攻击,所以,与由纯硬件构建的宽带路由器相比,代理服务器的运行不太稳定。
大中型企业无线网络方案
可供选择的办公网络无线方案有两种,即无线漫游网络方案和无线补充网络方案。
企业中无线网络的应用
在许多的环境中,实在是很难进行传统的布线,或者是环境太过空旷,或者是建筑物内不允许布线,或者是建筑物之间必须逾越公用设施,或者是临时性的工作环境,等等,而使用无线网络而根本无需布线,所以,凡是难以布线的环境,无论是银行、金融、证券业、乡镇边远地区、矿业、发电厂厂区,野外水电站、大型码头、历史建筑、展览会、交易会等等,均可使用无线网络作为解决方案。
企业分支机构间的互联
当公司发展到一定规模之后,总会产生(或建立或购买)许多的分支机构,而且这些分支机构彼此之间可能还会相距较远。事实上,除了公司的分支机构以外,目前业已存在着的分支机构就不少,如政府下属机关、税务总局及下属分局、银行及下属支行等等。如何连接这些分支机构呢?自己架设专线或租用专线的方式费用都太高,即使是以Internet接入实现VPN的方式花费也不会太少。因此,如果中心与分支机构之间的距离不是太远时,可以考虑采用无线网络,既节约了月租费用,又节约了线路铺设费用,还提高了网络的安全性和稳定性,实在是一举多得的好事。
特殊区域的网络接入
在局域网络中,有些人的位置其实并不是固定的。例如,在机场,装卸货物和包裹的工作人员在车上使用终端设备,通过网络来获得诸如航班信息或大门开关等信息;市内公共汽车上,利用车上的终端设备,乘务人员实现与调度人员之间进行的行车路线和发车时间等信息的交换;在单位内部,乘坐交通工具的工作人员(或交通工具本身)或需要经常移动的用户,必须连续地存取网络数据,等等。利用无线网络,可以很好地将这些移动用户连接到固定的局域网络,从而实现无线与有线的无缝集成。又如,货用叉车经常在巨大的仓库中、钢制船舱以及建筑工地等环境下运动,有时它们需要在室内和室外进进出出。这时对网络的移动性能的要求是非常高的。使用无线网络终端可以将叉车或卡车与网络连接在一起,从而不管在何种工作环境下,都能保证通过网络指挥这些运输设备进行高效而有序地工作。
临时或移动中的网络接入
工作中经常会有这样的需求,需要组建一个临时的计算机网络。比如说,有些项目组需要封闭开发,有些野外工作队需要对现场数据进行联网测试或计算等等。这些网络的应用一般说都是暂时的,如果只是为了一次临时应用,就投入人力物力做网络布线构建网络,显然是一种不合理的投资。采用无线局域网的解决方案,数人的开发小组和野外的工作队可以组建一个无线的局域网,达到随时随地迅速组建网络的目的,而且这种方案最好的保护了节省了投资、减少了布线所带来的麻烦。
科学技术监控
利用无线网络可灵活移动的特点,还可以将其用于仪器监控、城市环境监控、交通信号控制、高速公路收费站、自动数据采集和调度监控系统,随时将现场的数据信息及时反馈至控制中心和数据采集中心进行处理。
分布式网络无线互连方案
在搭建企业网络过程中,采用传统的光缆、电缆连接各个大楼的方案,很难适合企业的实际情况,而且费用比较贵。企业在不断发展壮大过程中,覆盖范围不断扩大。在发展过程中逐步建立起来的培训中心、物业、科研所、仓储中心、物流中心、分支机构等,位置分散,分支机构与总部的距离较远,大致在几至十几公里。如果采用传统的光缆施工,不仅施工困难,费时费力,而且有些建筑之间的连接要跨越街道,动工铺设光缆需要报批,手续很复杂,而且不易批准。另外,租赁电信部门的光缆不仅费用相当高,而且物流、仓储等机构往往处于比较偏僻的位置,电信部门一般不可能为此铺设线路。
建议采用无线网络实现总部与各分支机构的互联。原因如下:
投入少。由于只需购置少量的无线网桥,并在楼顶上架设无线天线,即可实现局域网之间的互联,因此,前期投入很少。同时,在无线网络的正常运行过程中,也不会再产生其他费用。
速度快。无线网络的施工难度少,设备安装简单,因此,只需一周左右的时间即可完成。
易维护。由于无线网络所涉及的设备很少,所以,在正常投入使用后,基本上无需进行维护。
高速率。无线网络可以达到54~108Mbps的传输速率,完全可以满足企业日常办公和数据交换的需要。
局域网之间远程互联的具体方案如下:
在处于中心区域的大楼之间采用光纤连接,每个楼顶各安装一个无线网桥,并各配一个全向天线,用于将分支机构接入集团网络。
在分支机构中相应建筑的楼顶上,也安装一个无线网桥,并根据距离不同分别安装蝶形天线或者八木天线。中心大楼与分支机构建筑物之间形成多点对多点的连接。全向天线支持11个传输通道,3个全向天线分别采用不同的无线通道(1、6和11频道),互不干扰。
无线通信采用128或256位WEP加密传输,确保无线网络安全。
无线漫游网络方案
在无线漫游网络中,当用户从一个位置移动到另一个位置时,以及一个无线AP的信号变弱或者无线AP由于通讯量太大而拥塞时,可以连接到新的无线AP,而不中断与网络的连接,这一点与移动电话非常相似。所有无线AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。多个无线AP的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。所有无线终端通过就近的无线AP接入网络,访问整个网络资源。蜂窝覆盖方式大大扩展了单个无线AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在无线AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。 无线漫游具有以下优势:
增加无线覆盖范围,实现整个楼宇的全方位覆盖,无论用户走到哪里,都处于无线网络的覆盖区域。
实现众多无线用户的负载平衡,确保每个用户都能顺利接入办公网络,不会由于个别无线AP的接入数量太多而造成拥塞。
可以动态扩展,用户可以随时接入网络,并且可以随时增加新的用户,网络系统的可伸缩性很大。
对网络用户完全透明,用户无需了解也感觉不到漫游的实现过程,并保证用户在无线覆盖范围内的网络不会间断。
需要注意的是,由于多个AP信号覆盖区域相互交叉重叠,因此,各个AP覆盖区域所占频道之间必须遵守一定的规范,邻近的相同频道之间不能相互覆盖,否则会造成AP在信号传输时的相互干扰,从而降低AP的工作效率。在可用的11个频道中,仅有三个频道是完全不覆盖的,他们分别是频道1、频道6和频道11,利用这些频道作为多蜂窝覆盖是最合适的。不过,所有无线设备必须使用同一个SSID,接入同一无线网络。否则,将无法实现无线漫游。
无线漫游办公网络的设计方案如下:
每个楼层均设置无线AP。由于无线信号几乎无法穿透楼板,而且穿透墙壁的能力很差,所以,除了必须在每个楼层都分别设置无线AP外,还应当在每一楼层中选择合适的位置放置无线AP。通常情况下,无线AP应当置于楼道内,以便于无线信号能够平均覆盖到各个房间。
利用交换机实现无线AP的互联。每2~3个楼层设置一台交换机,用于连接相应楼层的无线AP;设置一台中心交换机,用于连接各楼层的交换机。
所有的网络服务器都连接至中心交换机,避免可能产生的网络瓶颈。
无线漫游办公网络的拓朴结构如图y-15所示。
图y-15 无线漫游办公网络
无线补充网络方案
所谓无线补充网络方案,是指以原有的综合布线为基础,搭建传输的以太网络,并在需要的位置和场所(如办公室、会议室等)配备一定数量的无线AP,充分借助无线网络移动灵活和扩充方便的特点,作为有线网络的补充,弥补单纯由有线所构建的网络的缺点。无线补充网络方案的拓朴结构如图y-16所示。
图y-16 无线补充办公网络
校园网络无线方案
校园网络的无线网络应用
室内无线局域网主要针对不方便进行大规模布线或不宜布设太多信息点的建筑,如图y-书馆、办公大楼、网络教室、会议室和报告大厅等。此外,还可用于实现校园内的无线漫游,以及个别楼宇的局域网远程接入。无线局域网可以解决校园网许多令人头痛的问题,典型的应用如下:
解决信息点流动的问题。一般来说,如教室、图书馆、会议室等地方一般是不可能布设太多信息点的,但是随着学生中笔记本电脑的普及和现代化教学的普及,上述场所往往在同一时刻有大量的电脑,而目前的有线校园网没有办法使学生们在这些区域上网。采用无线方式,在有限的信息点上连接无线接入器,就可以轻松从一个信息点扩展到成百上千个信息点的应用。
解决难以布线的问题。在实验室、体育馆、礼堂等地方是不宜布线的,但校园网的用户却有上网的需求,采用无线局域网,可以简化在这些区域网络实施,提供直径近200米的无线网络覆盖,用户可以在无线所覆盖的区域移动应用。
提高教学效率。教师和学生上课时,不必再往返于图书馆、办公室、教室、宿舍,可以随意的检索图书馆的网上资料、服务器的教案、寝室电脑里的作业。同时,为用户对校园网的其他资源的应用提供了更便利的条件,提高了资源的利用率。 l 校区间的互联。随着学校的扩建或合并,越来越多的学校拥有了两个以上的校区。铺设光纤链路市政不允许,租赁电杆费用昂贵,租用光纤也是一笔不小的开支。借助无线网桥,可以实现各校区网络之间的互联,一次投资,终身免费使用,可以节约大笔开支。
实现校园区内建筑物间的高速互连。即使在在校园园区内,虽然敷设线路虽然不象在公共场所动土那般困难,但也决非易事,可以使用无线网络设备实现园区内建筑物间计算机网络的高速互联。
节约接入成本。无线接入点可以使原来的一个信息点,同时接入数十乃至数百个用户设备,布线的投资以及维护成本大大降低。
丰富课余生活。现在网络已经成为校园生活的重要组成部分,它已经把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起。随着越来越多的学生拥有了笔记本电脑,只有无线网络才能满足学生日益增长的需要,只有无线网络才能让学生们在校园中随时接入互联网。在校园中,学生不光可以在教室、实验室和宿舍上网,也可以在休息期间上网,同时在考试前夕更可以减少实验室、图书馆等可以有线上网地区的学生上网压力,改进学校的学习环境,提高学生的学习效率与成绩。 在校园网各区域分别布设无线局域网络以后,用户可以将无线网卡直接插到笔记本电脑的PCMCIA插槽,或者通过USB适配器转接插到台式机的USB接口上,只需简单的设置就可以连接到校园网上,从而实现上网功能。教师或者学生就可以在这些区域漫游使用,用户无需任何设置就可以在整个校园内连接到校园网上,从办公区到教学楼、从图书馆到宿舍都可以实现移动漫游连接互联网。
校区无线互联解决方案
校园中的建筑物,如教学楼、实验楼、宿舍楼、图书馆等,相互之间可以使用无线网桥直接连接,连接模式有户外点对点、点对多点及以上两种模式的结合。另外,相距几十公里之内的校区之间,也可采用无线互联解决方案。
点对点无线解决方案
该方案只适用于两个建筑或两个校区之间的连接。当建筑或校区之间采用光纤或双绞线等有线方式难以连接时(如中间间隔有道路、河流等,或者因相距较远铺设光纤费用太高),可采用点对点的无线连接方式。可以将每栋建筑或校区视为一个局域网络,只需在每个网段中都安装一个无线网桥,即可实现网段之间点到点连接,也可以实现有线主干的扩展。点对点无线网络的拓朴结构如图y-17所示。
图y-17 点对点无线解决方案
在点对点无线网络中,必须将其中一个无线网桥设置为“Master”(主),另一个无线网桥设置为“Slave”(从),一主一从才能实现彼此之间的通讯。为了减少无线信号的衰减,延长有效传输距离,点对点无线网络应当采用室外定向天线。
点对多点无线解决方案
该方案适用于三个或三个以上的校区或建筑之间的连接。当采用光纤或双绞线等有线方式难以连接时,可采用点对多点的无线连接方式。可以将每栋建筑或每个校园看作一个局域网络,只需在每个网段中都安装一个无线网桥,即可实现网段之间点到点连接,也可以实现有线主干的扩展。点对多点无线网络的拓朴结构如图y-18所示。
图y-18 点对多点方案
在点对多点无线网络中,必须将其中一个无线网桥设置为“Master”(主),其他无线网桥设置为“Slave”(从),一主多从才能实现彼此之间的通讯。Master必须采用全向天线,Slave则最采用定向天线,从而保证无线信号的覆盖和接收。
多点对多点无线解决方案
无线网络不仅带宽有限(目前最大带宽为104Mbps),而且由所有可用的无线连接所共享。所以,当实现多个网络之间的的无线连接时,无线网桥的带宽将成为网络传输的瓶颈。为了最大限度地保障网络之间的带宽,可以采用多点对多点的方案,即在校园网的建筑(可位于不同建筑物)上设置多个无线网桥,并采用为不同的信道,分别为不同方向的远程建筑或校区提供无线网络连接。同时,校园网络的无线网桥之间采用高速链路连接在一起,从而既实现了局域网之间的连接,又保证了足够的网络带宽。点对多点无线网络的拓朴结构如图y-19所示。
图y-19 多点对多点方案
事实上,多点对多点是点对点和点对多点网络的组合,不同之处在于多点对多点是设置了多个“Master”类型的无线网桥。需要注意的是,尽管有多个“Master”类型的无线网桥,但由于它们分处于不同的频道,因此,相互之间不会干扰。同时,“Master”无线网桥可以借助校园网光纤主干连接在一起,从而将不同建筑和校区连接成为一个统一的网络。
校园无线漫游方案
室外要实现学生能在校园中实现用笔记本随时随地地上网,就要对整个园区进行覆盖,或是对学生经常活动的区域进行覆盖。在校园内的每栋建筑上都安装一个或多个无线网桥,分别设置为不同的信道,并且使用网络主干将这些无线网桥连接在一起,即可实现整个校园的无线网络覆盖类似。需要注意的是,室外无线天线可以根据需要选用全向或定向,针对不同的区域,如操场、草坪等进行覆盖。校园无线漫游网络的拓朴结构如图y-20所示。
图y-20 无线漫游方案
除了实现室外的无线覆盖以外,还应当在教学楼、办公楼、体育馆等建筑内,安装若干无线AP,并连接至校园网主干,从而实现室内的无线覆盖。
校园的地毯式无线网络覆盖通常是通过把多个AP分散放置在整个校园,然后将每个AP通过以太网连到同一个校园网中。例如,每个AP可以通过这一层或这一栋楼的以太交换机连到有线网络上。有时候用VLAN标记把所有的无线通讯合起来当作一个大的子网来对待。另一种办法是将每一组AP通过以太网连到这栋楼的无线网桥或者交换机上。所有的网关和交换机通过有线网络连接起来。这种拓扑结构的好处是无线网桥或者交换机可以控制,监测和记录无线用户对校园局域网的访问。大多数无线网桥和交换机包括移动功能,可以使电脑从一个子网不间断地漫游到另一个子网。 需要注意的是,为了达到地毯式覆盖,所有有关的无线网桥和无线AP都有相同的SSID,并被当做是同一个WLAN的一部分。用户可以在不同的AP之间自由漫游,无论目前连接在哪一个AP上,都可以访问相同的服务器。当然,也可以设置成多个的无线局域网,每一个无线局域网有自己不同的SSID,并可能只允许某一部分用户连接。一些无线AP可以支持多个SSID,从而可以在一个物理AP上设置多个逻辑上的无线局域网。这些决定是网络设计的一部分,并反映了网络操作人员的目标。例如,大学可能会设置多个SSID,以满足教师无线局域网和学生无线局域网的需要,并在每个无线局域网应用不同的访问规则。
图书馆/报告厅无线方案
传统图书馆的阅览室和借阅室都不提供或只提供少量的网络接入,教师和学生都不能实时查询馆藏情况,如果在阅览室有资料需要记录,更是得手抄才行。要满足这些新的需求,使用有线方式就要重新进行布线,工程浩大、花费不菲,所以,最简单快捷的实现方式就是无线——WLAN接入方案。该方案具备了以下几个特点:
移动性强。无线局域网与有线局域网相比,最大优势在于它的可移动性。由于没有线缆的限制,用户可以随心所欲地增加工作站或重新配置工作站。此外,还拓宽了网络的传输范围。 l 灵活性高。无线局域网组网灵活,可以满足具体的应用和安装需要。系统结构可以是适用于小数量用户的对等网络,也可以是适用于几千名移动用户的完整的基础网络。在无线局域网中增加或减少移动主机都是相当容易的,增加无线接入点就可以增大用户数量和覆盖范围,并且允许在较大范围内进行漫游。
成本低。与有线网络相比,从长远来看,无线局域网从安装到日后的维护,都具有很大的资金优势。组建局域网的时候,不能单方面考虑购买设备的价格。在网络拓扑需要动态变化的环境中,长期费用是主要的,而无线局域网正好能减少维护管理的开销。对于经常移动、增加和变更的动态环境,无线局域网的长远投资收益更加明显。 图书馆的无线网络方案具体包括以下内容:
每个阅览室安装一个无线AP,实现室内的无线覆盖。通常情况下,一个无线AP最多可以支持多达80台计算机的接入。当然,数量为20~30台时工作站的工作状态最佳。无线AP的典型室内覆盖范围是30~100米。根据阅览室的具体大小,也可配置2个或多个无线接入点。 l 检索大厅和报告大厅内,间隔30米左右设置一个无线AP。所有无线AP形成的各自的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。
所有无线AP都借助室内的网络布线,连接到图书馆主干交换机,实现与图书馆子网和校园网络的连接,形成以有线网络为基础,无线覆盖为延伸的大面积服务区域。
相邻的无线AP设置为不同的频道,推荐选择的频道为1、6和11。
所有无线终端通过就近的无线AP接入图书馆网络,并继而访问整个校园网络资源,实现Internet接入共享。
阶梯教室无线网络方案
一方面,现代教学的互动性大大增强;另一方面,教学的信息量也大大增加。在课堂上,学生不再仅仅是被动的听者,也是互动教育的参与者,学生可以用自己的资料来参与教学。同时,所有数据都可以根据需要进行共享,并在课堂上显示或演示。另外,同学们不仅可以直接在笔记本电脑中记录听课笔记,甚至可以将教师的教案拷贝到自己的计算机中,从而摆脱抄写教案的传统方式,以便更加集中精力参与教学。同时,对教室进行无线网络覆盖,还可以使师生的笔记本电脑接入到校园网或Internet,随时查找自己所需的资料。
阶梯教室方案的无线网络方案具体包括以下内容:
每间阶梯教室安装2~4个无线AP。通常情况下,只需将无线AP置于教室的中间位置,即可实现室内的无线覆盖。不过,当工作站多于30个时,无线AP的性能将迅速下降。因此,应当根据学生拥有笔记本电脑的数量,来决定安装的无线AP数量。如果目前笔记本电脑拥有量较少,可以先只安装1~2个。以后,随着无线客户拥有量的不断增加,再继续增设无线AP。
所有无线AP都借助室内的网络布线,连接到楼宇内的骨干交换机,并实现与校园网络的连接。多个无线AP通过骨干交换机相互连接,不仅可以实现无线终端对校园网络的访问,还可以实现无线AP间的负载分担,避免可能导致的网络拥塞。
无线AP可以放在天花板、墙壁等地方,遵从的原则就是视线以内并尽可能在无线用户的中心位置。只有这样,才能使无线信号发射接收强,用户无线连接质量高。
相邻的无线AP设置为不同的频道,推荐选择的频道为1、6和11。相同或相邻频道的无线信号不能相互覆盖。
为每个无线AP分配一个固定的IP,用于实现网络管理。当校园网启用DHCP服务时,无线客户可以自动获取IP地址信息,从而避免了繁琐的网络属性设置。
所有无线终端通过就近的无线AP接入校园网络,并继而访问整个校园网络资源,实现Internet接入共享。
需要注意的是,无线AP的数量与教室的面积和用户数量密切相关,应当认真考虑教学环境对网络带宽、网络速度的要求,包括覆盖频率、信道使用和吞吐量需求等。
办公/科研大楼无线网络方案
对于办公/科研大楼而言,无线网络只能作为传统以太网的补充。通常情况下,无线网络被应用于会议室、接待室和大型办公室等场所。如果确有移动办公的需要,也可以借助少量无线AP,实现整个办公大楼的无线漫游。
办公/科研大楼无线网络方案具体包括以下内容:
在会议室、接待室和大型办公室等场所分别设置1~2个无线AP,用于实现临时的校园网络接入和Internet接入。每个AP可带30个左右的用户,用户数量越多,则所安置的无线AP数量也应当越多。
在一些特殊的、不适布线的办公或应用场所,也分别设置1~2个无线AP,为办公和科研工作提供必要的网络支持。
在每层楼的楼道内的两端和中间分别布设2~3个无线AP,实现整个楼层的无线信号覆盖,用于完成整个办公楼的无线网络漫游。无线AP在室内的有效覆盖半径为20~30米,应当确保无线AP的信号能够有部分交叠,从而确保无缝漫游。
无线AP的布放位置以无线AP与无线客户端尽可能在视线以内为原则,可以放在天花板、墙壁等地方,尽可能好的覆盖无线用户使用区域。
相邻的无线AP设置为不同的频道,推荐选择的频道为1、6和11。相同或相邻频道的无线信号不能相互覆盖。
每个无线AP通过综合布线与楼宇骨干交换机相连,并级联至校园中心交换机,实现与校园网和Internet的连接。
为每个无线AP指定一个固定的IP地址,用于实现远程网络管理。当校园网启用DHCP服务时,无线客户可以自动获取IP地址信息,从而避免了繁琐的网络属性设置。
所有无线终端通过就近的无线AP接入校园网络,并继而访问整个校园网络资源,实现Internet接入共享。
需要注意的是,无线AP间间距根据各楼层的实际结构、无线节点的数量和分布情况而定。在楼道或房间中布置若干个AP,以使整个楼层需要网络节点的区域都可以被无线信号完全覆盖,能够承受较多用户同时上网的要求,而不至于使网络堵塞或者瘫痪。
寝室网无线方案
寝室网无线接入方案
尽管拥有台式机和笔记本电脑的学生越来越多,但是,学生宿舍往往只提供1~2个信息接口。如果重新实施布线,不仅花费不菲,而且连接非常不便。特别是对于笔记本电脑而言,由于频繁地出入教室、宿舍和图书馆,不断地插拔网线,不仅非常麻烦,而且还容易导致网卡接口的损坏。尤其是拥有迅驰功能笔记本,原本就内置并支持移动技术,因此,也就更显得不胜其烦。所以,无线方式是最便捷、节约的方式。
寝室网无线接入方案具体内容如下:
寝室内安装一台无线AP或无线路由。如果校园网采用“用户名+密码”认证机制,并采用流量计费方式,建议选择采用无线AP,仅仅用于实现校园网的无线接入;如果校园网采用固定费用计费方式,建议选择无线路由,从而使用一个IP地址实现多计算机的共享接入。
无线AP的网络接口(或无线路由的WAN端口)连接至寝室网的信息插座,实现与校园网的连接。
笔记本电脑安装PCMCIA网卡,台式机安装USB网卡。支持迅驰功能的笔记本可不再另外安装无线网卡,但是,接入速率会受到影响。无线路由器的4个LAN端口可以连接寝室内的台式机,实现有线与无线的互联。
建议采用IEEE 802.11g产品。由于寝室网的应用较为丰富,因此,无线网络必须保证足够的网速。否则,用户除了浏览和聊天以外什么也做不了。所以,宿舍无线组网首选IEEE 802.11g产品,高达54/108Mbps的传输速率,可以使所有用户尽情享受视频影视、在线游戏等大数据流量的网络服务和Internet服务。
无线网卡和无线AP必须采用同一标准、甚至是同一厂家的产品,以确保相互之间的兼容性,取得最好的通信效果,并实现对无线网络的安全管理。
为了避免非授权用户接入无线网络,可以在无线AP上设置MAC地址过滤,并设置SSID拒绝其他用户访问。
寝室网无线接入的拓朴结构如图y-21所示。该方式最便于实现无线AP的校园网接入,并且可以为相邻7~10左右的寝室提供无线接入。由于无线AP所能容纳的客户端数量有限(通常不多于20~30个),所以,应当对非授权用户的无线接入作必要的限制。
图y-21 寝室网无线接入拓朴结构
寝室网Internet无线共享方案
如果寝室网没有接入校园网络,而是采用ADSL方式直接接入Internet,则可以采用无线路由组建无线网络,实现寝室计算机的无线连接和Internet共享。
寝室内安装一台无线路由,WAN端口连接至ADSL Modem,实现客户端的无线互联和Internet连接共享。
无线路由器的LAN端口可用于直接连接台式机的以太网卡,实现有线与无线的互联,使网络连接更加灵活,并充分利用现有的网络资源。
笔记本电脑安装PCMCIA网卡,台式机安装USB网卡。支持迅驰功能的笔记本可不再另外安装无线网卡。 l 建议采用IEEE 802.11b标准的产品。由于ADSL的接入速率通常为1Mbps,所以,相对而言,该标准所提供的11~44Mbps传输速率已经绰绰有余了。同时,该标准的产品价格更便宜、技术更成熟、更具性价比。
无线网卡和无线AP必须采用同一标准、甚至是同一厂家的产品,以确保相互之间的兼容性,取得最好的通信效果,并实现对无线网络的安全管理。
为了避免非授权用户接入无线网络,可以在无线AP上设置MAC地址过滤,并设置SSID拒绝其他用户访问。
无线网络的搭建
不少读者都存在这样的误区,以为无线网络的搭建,是只有专业技术人员才能够胜任的工作。其实,只要掌握一些最基本的理论和操作,即使是Diyer也完全可以自己动手组建无线网络。
一、无线网络设备的选购
1,无线设备的选购
选择无线局域网(WLAN)产品,应该主要从性能稳定、安全可靠、使用方便、性价比高等角度来考虑。
品牌
用户应该尽量选择名牌大厂的产品,由规模较大厂商提供的产品,会采用名牌正品无线芯片和电子元件,质量可靠,性能稳定。某些无名小厂大量采用低档甚至残次无线芯片,其结果就是AP的功率过大或过小。功率过小,则无线网络的信号覆盖范围和传输稳定性较差,功率过大,则会对人体产生不利的影响。国际标准综合考虑了在对人体无害基础上信号最强的功率为100毫瓦,即20个DB,AP的功率越接近这个数值则越好。还需强调的是,厂商或是销售渠道提供的良好售后服务也将是用户放心使用WLAN产品的一个保障。
数据传输速度
目前,几乎所有WLAN产品的数据传输速度都能达到11~108Mbps。但是,有一点需要注意,那就是标称的速率和实际使用起来得到的速率可能会有差距,因为它除了受所处环境因素影响外,还受产品质量的影响。通常情况下,传输距离越远、干扰越大、产品质量越差,传输速率越低。
产品性能
AP的网络位置大致等同于接入交换机,所以它同时接入的最大用户数以及数据的转发时延是重要的指标参数。质量较好的AP可以做到近似忽略的时延以及30个以上并发用户的使用。
安全可靠
安全可靠除了包含对人体无害、链路传输稳定之外,最主要的含义就是数据的安全性了。但不同的厂商所提供的数据加密技术和安全解决方案不尽相同,这一点在选购时要特别注意。
最初的无线安全解决方案是使用加密的手段来防范恶意攻击,而加密位数越多,对计算机资源的消耗也就越大。用户为了可能的攻击而承受着每时每刻电脑速度的急剧下降,而黑客却可以很轻松地调用N台计算机来进行解密攻击,所以加密的手段已不是安全防范的理想解决方案。继加密之后,SSID隐藏作为一种简单高效的安全防范措施已经成为安全防范的主流解决方案。此外,MAC地址过滤也是目前常用的小规模网络高效率安全解决方案。对于802.1x认证,比较适合于大规模的网络,其认证报文发起的客户端软件以及认证的数据查询软件的复杂性,使其在小规模网络中的应用得不偿失。
此外,有的产品采用无线通信与IP路由相结合的方式,通过在无线信道上利用IP的过滤、VPN等安全措施,保证无线接入和网络安全。有的产品还采用先进的Stateful Packet Inspection防火墙技术,可以防护DoS攻击,还可以对可能会出现问题的E-mail发出警告通知,这些措施都在不同层次保护用户的安全使用。
在这里要建议的是,用户在购买WLAN产品时最好不要单独购买而要整套购买,这样不但可以避免兼容性问题,而且设备的性能会发挥得更为出色,安全的解决方案也会更加完美。
管理与易用性
WLAN产品作为一个网络设备,自然需要相应的设备设置。对有些WLAN产品的安装维护比较复杂,没有专业的技术人员就很难完成驱动及其它方面的安装,而有些WLAN产品的安装维护却比较简单,这一点用户在购买时要特别注意。对于一些易用性不好的产品,即使经销商答应你帮你安装调试好,也尽量不要购买,因为这样会给以后的维护带来很多的麻烦。当然,对于有专业计算机技术人员的一些大型企业来说,易用性并不是很大的问题,但对于一些诸如只有十多个人的小型公司或家庭用户来说,就不得不认真考虑这个问题了。
天线是否可拆卸
天线的可拆卸,这样便于用户更换增益天线。AP受电源和网线长度所限,AP不一定处于信号发射的最有利位置,这时可以考虑在AP上换装形态各异的增益天线,一来增加了室内的整体美感,二来增强了信号的有效覆盖范围。
价格与选择
从价位来说,虽然WLAN产品经过不断的价格调整,但是目前的价格仍有高达几千元的,也有几百元的。一般来说,千元以上的产品,适合于大企业,几百元的符合小企业和SOHO一族,一百元左右的一般适合于家庭使用。
2,无线套件选购方案
所谓无线套件,往往是一块无线网卡与一台无线AP的组合。之所以推荐选择套件,是因为厂商往往会对套件采用一种特殊优惠的销售策略,因此,价格会更便宜、更划算。当然,若欲组建家庭无线网络,仅有一套套件是不够的,因为毕竟只有一块网卡,所以,还必须根据计算机的类型另行购置一块同型号的无线网卡。
在选购套件时,我们应当注意考察以下几个方面的参数:
认证
为了保证无线网络设备之间的兼容性,设备上应当贴有Wi-Fi认证标识。Wi-Fi(Wireless Fidelity)是无线保证联盟的缩写。Wi-Fi联盟是一个非盈利国际组织,主要工作就是测试基于IEEE802.11标准的无线设备,以确保Wi-Fi产品的互操作性。也就是说,只要有Wi-Fi认证商标,就可以保证我们购买的无线设备能够融入其他无线网络,也可以保证其他无线设备能够融入我我们的无线网络,实现彼此之间的互连互通。Wi-Fi认证=无线互连保证!
标准
IEEE 802.11主要包括3种标准,即IEEE 802.11b、IEEE 802.11a和IEEE 802.11g,不同标准之间的设备无法实现相互通讯。尽管IEEE 802.11g和IEEE 802.11b兼容,但必须借助于无线AP才能实现。因此,应当选择采用同一标准的设备。否则,有可能导致在家里还好端端的无线网卡,却无法接入单位的无线办公网络,或者相反。
速率
尽管IEEE 802.11b的标准带宽只有11Mbps,但是,由于PBCC调制技术的采用,最新产品已可提供高达22Mbps、甚至44Mbps。显然,带宽的增加会使数据传输变得更快捷,更适于多媒体数据的传输,更适于各种类型的网络应用。因此,在价格大致相同的情况下,建议选择传输速率更高的产品。
距离
无线网络的有效覆盖直径在室内为20~30米,室外为200~300米。毫无疑问,无线覆盖范围越大,用户就可以离无线AP越远,移动空间也就越大,也就更能随心所欲地选择接入位置。采用新技术后,室内有效距离为120米,室外为350米。既然技术条件已经允许,为什么不给自己更大的自由呢?
安全
如果不采取有效的安全措施,那么,只要处于无线AP覆盖范围之内,任何无线客户端都可以加入到无线网络,想一想是不是觉得有些可怕?就好像一家人说悄悄时,却有一双看不见的耳朵在偷听一样。因此,对传输的数据进行加密就显得尤其重要。虽然WEP加密已经高达256位,但是,加密传输对速率和计算机性能都会有所损害,所以,对于家庭而言,128位的WEP就已经够了。当然,如果无线AP能够支持MAC地址过滤就更好了,这样,就可以彻底拒绝未经授权的无线网卡的加入。
功能
许多无线AP都拥有4种工作模式,即AP、AP Client、Wireless Bridge、Multiple Bridge,以适应大型的复杂网络结构,实现无线网络漫游。另外,有一些无线AP还支持DHCP服务,可以为无线客户端自动分配IP地址。当然,对于家庭用户而言,太多的功能并没有什么实际意义,所以,对没有必要过多地去追求功能,只要够用、好用、实用就好了。
3,选购时应当考虑的问题
在选购时还应当考虑以下几个方面的问题:
AP还是路由
虽然大量的套件都是“无线AP+无线网卡”,但是,“无线路由+无线网卡”更适合家庭用户。很显然,对于家庭用户而言,共享Internet连接是必不可少的应用之一。如果采用无线AP,必须有一台计算机作为代理服务器,而且只有当代理服务器处于开机状态时,其他计算机才能实现Internet连接共享。如果采用无线路由(,那么,任何计算机都可以随时连接至Internet,而不受其他计算机的影响。也就是说,采用无线路由才会享有更多的灵活性,才更符合自由的无线精神。
USB还是PCI
由于PC卡支持热插拔,且采用32位总线连接,所以,笔记本的选择相对简单。对于台式机而言,USB接口和PCI接口都还不错,应当选择哪种接口呢?虽然USB似乎拥有更多的优越性,如支持热插拨、安装方便,但是,笔者更推荐选择PCI接口。原因很简单,除Windows XP外,其他Windows操作系统对USB的支持不太好,经常莫名其妙地丢失设备或中断网络连接。
性价比
11Mbps、22Mbps与44Mbps产品的价格已经非常接近,考虑到网络应用的不断丰富,以及对网络传输速率要求的不断提高,笔者认为22Mbps和44Mbps不仅代表着无线网络的发展方向,而且产品更具性价比。所以,除非资金特别紧张,建议大家购置22Mbps或44Mbps的产品。
4,无线天线的选择
无论是无线网卡、无线AP还是无线路由,都内置有无线天线。因此,当传输距离较近时,无需安装外置的无线天线。然而,当在室内传输距离超出20~30米,室外超出50~100米时,就必须考虑为无线AP或无线网卡安装外置天线,以增强无线信号的强度,延伸无线网络的覆盖范围。
天线的品种比较多,以分别适应不同频率、不同用途、不同场合、不同要求等不同情况,因此,在选购天线时,应当注意以下几个因素:
无线标准
目前,可用的无线网络的标准主要有3个,即IEEE 802.11b、IEEE 802.11g和IEEE 802.11a。其中,IEEE 802.11b、IEEE 802.11g工作于2.4GHz,而IEEE 802.11a工作于5GHz。无线产品应当使用与其执行标准相对应的无线天线。
应用环境
当需要远距离通讯时,有些无线AP和无线路由的天线位于室内,而有些则位于室内,因此,应当根据需要选择适用于不同环境的室内天线(如图x-1所示)或室外天线(如图x-2所示)。需要注意的是,室内天线没有做过防水和防雷击处理,因此,绝对不可以用于室外。
图x-1 室内天线 图x-2 室外天线
覆盖范围
当需要远距离传输时,应当选择大增益的天线,而对于传输距离较近的无线网络而言,可以选择小增益天线。通常情况下,大增益天线适合远距离传输,而小增益天线则适合做网络漫游等需要大覆盖范围的应用。增益的大小使用dBi表示,室内天线大多为4~5dBi,室外天线大多为8.5~14dBi。
连接设备
定向天线(图x-3)的方向性很强,可以将信号集中发送至一个方向或从一个方向接收。全向天线(图x-4)则全方位发送或接收无线信号,尽管可以覆盖所有区域,但是,每个方向的信号都比较弱。所以,通常情况下,无线AP和无线路由应当选择全向天线,而无线网卡则采用定向天线。
图x-3 定向天线 图x-4 全向天线
网络类型
对于对等网络而言,所有无线网卡都应当采用全向天线。如果无线网络中只有两块无线网卡,那么,自然也应当全部采用定向天线。
对于接入点网络而言,由于无线AP或无线路由需要为无线网络内所有的无线网卡提供无线连接,因此,应当选择全向天线。而作为无线网卡而言,由于只是需要与无线AP或无线路由进行通讯,所以,应当选择定向天线。
对于无线漫游网络而言,无线AP和无线网卡都应当采用全向天线。
对于点对点无线网络而言,作为无线AP都应当使用定向天线。对于点对多点无线网络而言,除了中心无线AP应当采用定向天线外,其他无线AP都应当采用定向天线。
安装位置
尽管有些室内天线既可以安装于桌面,也可以安装于墙壁。但是,也有些产品只适合置于桌面。因此,应当根据无线AP或无线路由的安装位置,确定采用适当类型的室内天线。
产品品牌
尽管无线产品都执行同一国际标准,但是,不同产品的往往拥有不同的接口、使用不同的电缆,所以,不同品牌的无线天线往往不能通用。因此,应当选择与无线产品同一品牌的无线天线。
二、无线AP位置的选择
1,室内无线AP位置的选择
在选择无线AP的位置时,应当注意以下几个方面:
无线AP的位置应当相对较高
无线信号是直线传播的,每遇到一个阻碍物,无线信号就会被削弱一部分,尤其是金属物体,更是无线信号的杀手。将无线AP置于相对较高的位置,可以有效地消除无线AP与无线网卡之间的固定的或移动的遮挡物,从而能够保证无线网络的覆盖范围,保障无线网络的畅通。
无线AP应当尽量居于房间的中央
由于无线AP的覆盖范围是一个圆形区域,所以,只有将无线AP置于房间中央,才能保障房间内的每个位置都能接收到无线信号,从而有效地接入无线网络。当然,由于无线网络能够自动调整传输速率,以适应复杂的网络环境。离无线AP越近,无线信号越强,抗干扰能力越大,传输速率也就越高。反之,离无线AP越远,无线信号就越弱,抗干扰能力越差,传输速率也就越低。下表所示为IEEE 802.11b标准的无线传输距离与信号强度对照表。
表 IEEE 802.11b标准的无线传输距离及信号强度表
11Mbps
5.5Mbps
2Mbps
1Mbps
开放空间
160m(525ft)
270m(885ft)
400m(1300ft)
550m(1750ft)
半开放空间
50m(165ft)
70m(230ft)
90m(300ft)
115m(375ft)
封闭空间
25m(80ft)
35m(115ft)
40m(130ft)
50m(165ft)
尽量少穿墙壁
不要穿过太多的墙壁,尤其是浇筑的钢筋混凝土墙体。实验表明,在10米的距离,无线信号穿过两堵砖墙后,仍然可以达到标称的最高的传输速率,但穿过一层楼板后,无线信号将损失殆尽。可见,钢筋混凝土墙体会极大地削弱无线信号,因此,如果房间是两层或两层以上建筑,尽管垂直距离不会超过30米,但是,仍然建议在每一层楼都单独设置一个无线AP,以保证本楼层内能够覆盖无线信号。另外,如果房间的隔间比较多,那么,应当保证无线AP与无线客户端之间不超过2个墙体。否则,就应当考虑安装多个无线AP,以保证无线信号的强度。无线AP之间,需要借助于以太网络连接在一起。也就是说,应当为一个无线AP布设一条双绞线,并借助于交换机或其他集线设备,将这些无线AP连接在一起。
避开金属反射物和干扰设备
无线AP应当尽量不要安装在铁皮文件柜等大型金属物体附近,以避免由于电磁反射导致干扰增加,影响无线网络的覆盖范围和通讯速率。另外,也要避免安装在微波炉、无绳电话等微波设备附近,也不要安装在电冰箱、空调等电气设备附近,避免可能产生的电磁干扰,确保无线信号强度。
多无线AP的覆盖范围应当重叠
随着距离的延长,无线信号将越来越弱,传输速率也不断下降。因此,为了保证有足够的网络带宽,就必须应当使每个无线AP的覆盖区域有少量的重叠。另外,每个无线AP的覆盖范围均为圆形区域,因此,只有覆盖范围少许重叠后,才能尽可能多地减少无线盲区,使无线信号覆盖到全部所需区域。
2,室外无线网桥位置的选择
在为室外无线网桥选择位置时,应当注意以下几个方面的问题:
彼此可视
无论是室外无线网桥之间,还是无线网桥与无线客户端之间,都要求彼此可视。也就是说,要求彼此之间没有任何遮挡物,否则,将严重影响无线网络的连通性。因此,室外无线网桥通常应当选择在高层建筑物的楼顶上。如果无线网桥之间有遮挡物(比如小山、高层建筑等),那么,或者增加无线网桥的高度,或者在遮挡物上再设置一个无线网桥,实现无线接力。
便于连接
普通无线天线馈线的衰减较高,因此,馈线的距离应当尽量缩短。同时,无线网桥必须同时拥有三个连接,即与其他无线网桥或客户端的连接(WLAN连接)、与局域网交换机的连接(LAN连接),以及与电源供应的连接。也就是说,除了保证可视之外,还要便于与局域网和电源连接。
三、无线网络设备的安装
在此,将介绍无线设备安装的相关知识。如PCI接口无线网卡的安装、PCMCIA接口无线网卡的安装、USB接口无线网卡的安装、无线网卡驱动程序的安装和无线AP物理配置等相关知识。
1,PCI接口无线网卡的安装
第1步,断开计算机电源后打开机箱,用螺丝刀将PCI插槽后面机箱上对应的挡板去掉(如图x-1所示)。
图x-1 去掉机箱挡板
第2步,将网卡小心插入机箱中对应的PCI插槽(如图x-2所示)。注意,两手的用力要均匀,以保证网卡引脚与插槽之间的正常接触。
图x-2 将网卡压入插槽
第3步,用螺钉将网卡固定好(如图x-3所示),然后盖好机箱,上好机箱螺钉。
图x-3 网卡安装完毕
2,PCMCIA接口网卡的安装
PCMCIA网卡的安装相对而言就简单得多了,只要在笔记本电脑的一侧找到相应的插槽,然后,将有两排长长的孔的一端向前,有图案的一侧向上,轻轻插入到PCMCIA插槽内即可(如图x-1所示)。
图x-1 将PCMCIA网卡插入到PCMCIA插槽内
持续缓慢用力,直至无法再行插入为止(如图x-2所示)。
图x-2 PCMCIA接口网卡安装完毕
由于PCMCIA支持热拔插,所以,无论计算机是否何于何种状态(关机或运行),都可以执行该操作。
注意 笔记本电脑通常都拥有两个PCMICA插槽,所以,请注意对准相应的插槽。
3,USB接口无线网卡的安装
由于USB网络适配器无需安装至计算机机箱内,而是直接连接至计算机上的USB端口,与笔记本电脑所使用的PCMCIA卡有某些类似之处,所以,USB网卡的安装也非常简单。USB设置既支持即插即用,也支持热插拔,所以,可以在开机状态下,直接连接到计算机上,或从计算机上拔下。
操作如下:将一根USB“A to B”电缆(如图x-3所示)的A端(扁平状)插入计算机背板中的USB连接器(如图x-4所示),B端(D型状)插入USB网卡中的B连接器(如图x-5所示),即可完成USB网卡的物理连接。
图x-3 USB电缆的A、B两端
图x-4 插入背板中的USB连接器 图x-5 完成安装
4.无线网卡驱动程序的安装
目前,常见的无线网卡大多为PCMCIA、PCI和USB三种类型。下面,以AVAYA Wireless产品为例,介绍一下无线网卡的安装和设置。AVAYA无线网卡的驱动程序可以到AVAYA技术支持网站(http:// support.avaya.com)下载,然后再解压缩得到的ZIP文件。
PCMCIA、PCI和USB接口网卡在Windows XP下的安装过程非常类似,下面仅以PCMCIA卡为例。AVAYA随卡附送的安装光盘中没有提供Windows XP的驱动程序,因此,必须到AVAYA的网站上下载。
第1步,把无线网卡插入PCMCIA插槽,Windows XP提示发现新硬件(如图x-6所示)。一般来说,在Windows XP系统下,会自动安装发现的新硬件的驱动程序,如果是这样,则跳过下面的几步。
图x-6 发现新硬件
第2步,安装程序自动启动硬件安装向导(如图x-7所示)。选择“自动安装软件”单选项,让系统自动搜索并安装设备的驱动程序。
图x-7 硬件安装向导
第3步,单击“下一步”按钮,显示如图x-8所示“请选择您的搜索和安装选项”对话框。选择“在这些位置上搜索最佳驱动程序”单选项,同时选中“在搜索中包括这个位置”复选框,并指定驱动程序所在的文件夹(位于“PC Card”文件夹)。
图x-8“请选择搜索和安装选项”对话框
第4步,单击“下一步”按钮,显示如图x-9所示“正在安装软件”对话框,系统开始自动复制相应的驱动程序。
图x-9“正在安装软件”对话框
第5步,文件复制完毕后,显示如图x-10所示“完成新硬件向导”对话框,并在任务栏显示一个新的网络连接图标(如图x-11所示)。单击“完成”按钮,结束PC卡的安装。
图x-10,完成新硬件向导”对话框
图x-11 网络连接图标
四、Windows XP对等网络的配置
与有线网络相比较,无线网络更灵活、更方便、更安全、适应性更强、操作也更简单,让人能够真正体会到网络无处不在的奇妙感觉!随着宽带深入千家万户,相信越来越多的朋友已经奔上了Internet高速路。想想看,躺在床上抱个笔记本却拖一条尾巴,或者想舒服地坐在客厅的沙发上网聊天却找不到网线……这一切未免都太大煞风景。而每间屋子都安装一个信息插座,对于家装刚刚完成的朋友而言,在漂亮墙上钉一排排槽板根本无法接受。当如之何?鱼与熊掌二者不可得兼?非也,事实上,只需一块小小的网卡一切即可轻松搞定!
图 家庭无线网络
第1步,在“控制面板”中双击“网络连接”图标,打开“网络连接”窗口。
第2步,右键单击“无线网络连接”图标,在快捷菜单中单击“属性”,显示“无线网络连接 属性”对话框(如图x-10所示)。
图x-10,无线网络连接 属性”对话框
第3步,选择“无线网络配置”选项卡,选中“用Windows来配置我的无线网络配置”复选框(默认被选中),启用自动无线网络配置(如图x-11所示)。
图x-11,无线网络配置”对话框
第4步,单击“添加”按钮,显示如图x-12所示“无线网络属性”对话框,在“服务名(SSID)”中键入一个自己喜欢的家庭网络名称(如“coolpen”),并取消对“数据加密”复选框的选中。单击“确定”按钮返回。
图x-12,无线网络属性”对话框
第5步,单击“高级”按钮,显示如图x-13所示“高级”对话框。确认选择了“任何可用的网络(首选访问点)”选项(系统默认值)或“仅计算机到计算机(特定)”选项。
图x-13,高级”对话框
需要注意的是,在首选访问点无线网络中,如果有可用网络,通常会首先尝试连接到访问点无线网络。如果访问点网络不可用,则尝试连接到对等无线网络。例如,如果工作时在访问点无线网络中使用笔记本电脑,然后将笔记本电脑带回家使用计算机到计算机家庭网络,自动无线网络配置将会根据需要更改无线网络设置,这样无需用户作任何设置就可以直接连接到家庭网络。
第6步,依次单击“关闭”和“确定”按钮。
在其他计算机上作相同的设置(必须使用相同的服务名),然后,在“无线网络配置”选项卡重复单击“刷新”按钮,建立计算机之间的无线连接(如图x-14所示),表示无线网络连接已经成功。
图x-14 无线网络连接成功
由于Windows 98/Me/2000/XP可以自动为计算机分配IP地址,也就是说,即使没有为无线网卡设置IP地址,计算机也将自动获得一个IP地址(169.254.0.1~169.254.254),并实现彼此之间的通讯,从而共享文件夹和打印机。
五、接入点网络的配置
(1)接入点的配置
当无线网络中安装有无线AP时,除了必须设置无线路由和无线AP外,客户端的设置也稍有区别。无线基础架构由唯一网络名标识,因此,需要连接至此网络并配备所需硬件的所有设备均必须使用相同的网络名进行配置。下面,我们以D-Link无线AP DWL-900AP+为例,简单介绍一下无线接入点的配置。DWL-900AP+默认的IP地址为“192.168.0.50”,子网掩码为“255.255.255.0”。管理员帐号为“admin”,密码为空。
第1步,将计算机以太网卡的IP地址设置为“192.168.0.2”,子网掩码为“255.255.255.0”,打开Web浏览器,在“地址栏”中键入“192.168.0.50”,并回车,显示如图x-15所示用户登录窗口。
图x-15 登录窗口
第2步,在“用户名”框中键入“admin”,“密码”框保持为空,单击“确定”按钮,显示如图x-16所示配置主窗口。
图x-16 配置主窗口
第3步,选择“Home”标签,单击“Wireless”按钮,显示如图x-17所示无线配置页面。在“SSID”框中键入家庭无线网络名称。由于加密传输会对性能和传输速率有较大影响,所以,若无需加密传输,可在“WEP”栏中选择“Disabled”选项。在“Channel”下拉列表中可以选择该无线路由使用的信道。当只有一个无线AP或无线路由时,可以选择任意信道;当拥有两个或两个以上AP,并且无线信号的覆盖范围重叠时,则应当为每个AP设置不同的信道。
图x-18 无线配置页面
第4步,单击“LAN”按钮,显示如图x-19所示局域网配置页面。选中“Static IP Address”选项,为该无线AP指定静态IP地址。分别在“IP Address”和“Subnet Mask”框中键入该无线路由的局域网IP地址,用于实现与局域网的连接。如果小区没有采用“192.168.0.0”私有IP地址段,可以采用系统默认值。如果与小区使用的IP地址段发生冲突,可以使用“172.160.0.0 ~172.16.31.254”或“10.0.0.0 ~ 10.255.255.254”中的任意一段IP地址。若网络内安装有DHCP服务器,则可以选择“Dynamic IP Address”选项,让该无线AP自动获取IP地址。
图x-19 局域网配置页面
第5步,单击“DHCP”按钮,显示如图x-20所示动态IP地址分配页面。选择“Enable”选项,启用DHCP服务,无线网络中的客户端只需采用系统默认的“自动获取IP地址”和“自动获取DNS服务器的地址”选项即可,无需再为每个客户端设置IP地址信息。然后,分别在“Starting IP Address”和“Ending IP Address”框中分别键入欲分配的IP地址的起止范围。如果选择“Disable”选项,则需要为无线客户端分别键入IP地址信息。
图x-20 动态IP地址配置页面
第6步,单击“Apply”按钮,保存对设置的修改,重新引导无线AP。
如果网络中还有无线AP,那么,另一个无线AP也必须设置相同的服务名(SSID),LAN端口也必须设置为同一IP地址段的IP地址,并且禁用动态IP地址分配。另外,无线AP之间不得采用同一信道,以避免互相干扰。
(2)客户端的配置
第1步,当无线AP或无线路由配置完成后,无线客户端将显示如图x-21所示“无线网络连接”对话框,提示当前可用的网络。如果无线网络没有采用加密传输,应当选中“允许我连接到选择的无线网络,即使它是不安全的”复选框。如果采用WEP加密,则需要单击“高级”按钮,在“无线网络属性”对话框“关联”选项卡中选中“数据加密(WEP启用)”复选框。
图x-21,无线网络连接”对话框
第2步,单击“连接”按钮,将建立与无线AP的连接,如图x-22所示。
图x-22 建立无线连接
单击“属性”按钮,在“无线网络连接属性”对话框中选择“无线网络配置”选项卡,显示当前使用的无线连接(如图x-23所示)。默认状态下,无线客户端将自动获取IP地址,适用于以ICS或无线路由方式共享Internet连接。如果该客户端未找到无线AP,可以单击“刷新”按钮,自动扫描并发现可以使用的无线网络。
图x-23 可用的无线接入点网络
无线网络的资源共享、打印共享和Internet连接共享设置与以太网络的设置大致相同,此处不复赘述。
六、无线路由器的配置
当无线网络中的计算机数量较多时,可以借助于无线路由器实现Internet连接共享。另外,采用多LAN端口无线路由器,还可同时为以太网用户和无线网络用户提供Internet连接。只需将WAN连接至ADSL Modem或Cable Modem,将LAN连接至计算机或集线设备,并作相关配置,即可实现Internet连接共享。
无线AP与无线路由的配置基本相同,只是无线AP无需配置WAN端口。另外,无线客户端无论接入无线AP还是无线路由器,其配置完全相同。下面,我们以D-Link DI-614+为例,介绍一下无线路由的配置。DI-614+默认的IP地址为“192.168.0.1”,子网掩码为“255.255.255.0”。管理员帐号为“admin”,密码为空。
第1步,将无线网卡的IP地址设置为“192.168.0.2”,子网掩码为“255.255.255.0”,打开Web浏览器,在“地址栏”中键入“192.168.0.1”,并回车,显示用户登录窗口。
第2步,在“用户名”框中键入“admin”,“密码”框保持为空,单击“确定”按钮,显示如图x-24所示配置主窗口。
图x-24 配置主窗口
第3步,选择“Home”标签,单击“Wireless”按钮,显示如图x-25所示无线配置页面。选择“Enabled”选项,启用该无线路的无线接入点功能,并在“SSID”框中键入家庭无线网络名称。由于加密传输会对性能和传输速率有较大影响,所以,若无需加密传输,可在“WEP”栏中选择“Disabled”选项。在“Channel”下拉列表中可以选择该无线路由使用的信道。当室内只有一个无线AP或无线路由时,可以选择任意信道;当室内拥有两个或两个以上AP,或者与其他家庭无线AP的覆盖范围有重叠时,则为每个AP或路由设置不同的信道。
图x-25 无线配置页面
第4步,单击“WAN”按钮,显示如图x-26所示广域网配置页面。如果住宅小区提供动态IP地址服务,可选择“Dynamic IP Address”选项;如果小区为每个用户分配了静态IP地址,则应当选择“Static IP Address”选项,然后,依次在“IP Address”、“Subnet Mask”、“ISP Gateway Address”、“Primary DNS Address”、“Secondary DNS Address”框中键入IP地址、子网掩码、默认网关、主DNS的IP地址和辅DNS的IP地址;如果采用ADSL接入Internet,则应当选择“PPPoE”选项,然后分别在“Username”和“Password”框中键入在ISP申请的用户名和密码。
图x-26 广域网配置页面
第5步,单击“LAN”按钮,显示如图x-27所示局域网配置页面。分别在“IP Address”和“Subnet Mask”框中键入该无线路由的局域网IP地址,用于实现与局域网的连接。如果小区没有采用“192.168.0.0”私有IP地址段,可以采用系统默认值。如果与小区使用的IP地址段发生冲突,可以使用“172.160.0.0 ~172.16.31.254”或“10.0.0.0 ~ 10.255.255.254”中的任意一段IP地址。
图x-27 局域网配置页面
第6步,单击“DHCP”按钮,显示如图x-27所示动态IP地址分配页面。选择“Enable”选项,启用DHCP服务,无线网络中的客户端只需采用系统默认的“自动获取IP地址”和“自动获取DNS服务器的地址”选项即可,无需再为每个客户端设置IP地址信息。然后,分别在“Starting IP Address”和“Ending IP Address”框中分别键入欲分配的IP地址的起止范围。
图x-27 动态IP地址配置页面
第7步,单击“Apply”按钮,保存对设置的修改,重新引导无线路由。
如果网络内有服务器若欲发布到Internet,或若欲从Internet控制网络内部的计算机,还应当设置虚拟服务器。
选择“Advanced”选项卡,单击“Virtual Server”按钮,显示如图x-28所示虚拟服务器配置页。
图x-28 虚拟服务器配置页
选择“Enabled”选项,在“Virtual Server List”列表中选择已经预置的网络服务,单击“编辑”按钮,在“Private IP”框中指定提供该服务的计算机的IP地址。若欲添加新的网络服务,可直接在“Name”框中键入服务名称,在“Private IP”中指定服务器的IP地址,分别在“Private Port”和“Public Port”键入该服务使用的端口号。最后,单击“Apply”按钮即可。
七、无线漫游网络的配置
若欲实现无线漫游,必须将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络,访问整个网络资源。无线漫游覆盖大大扩展了单个AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。
使用无线漫游覆盖结构具有以下优势:
增加覆盖范围,实现全场覆盖;
实现众多终端用户的负载平衡;
可以动态扩展,系统可伸缩性大;
对用户完全透明,保证覆盖场内服务无间断。
使用无线漫游可以快速简便地建立起区域内的无线网络,用户可以在区域内的任何地点进行网络漫游,从而解决了有线无法解决的问题,为用户带来了最大的便利。 无线漫游中无线AP的配置与普通无线AP的配置基本相同,只是应当注意以下几个方面的问题:
所有无线AP必须使用同一SSID。
所有无线AP必须使用同一网段的IP地址,并且处于同一VLAN中。
信号相互覆盖的无线AP不能使用相同的频道。
由于多个AP信号覆盖区域相互交叉重叠,因此,各个AP覆盖区域所占频道之间必须遵守一定的规范,邻近的相同频道之间不能相互覆盖,也就是说,相互覆盖区域的无线AP不能采用同一频道,否则,会造成AP在信号传输时的相互干扰,从而降低AP的工作效率。在可用的11个频道中,仅有3个频道是完全不覆盖的,他们分别是频道1、频道6和频道11,利用这些频道作为多蜂窝覆盖是最合适的。另外,用于实现无线漫游网络的无线AP必须使用同一网络名称(SSID),使用同一网段的IP地址,否则,无线客户端将无法实现漫游功能。
无线漫游网络中,客户端的配置与接入点网络中的配置完全相同。用户在移动过程中,根本感觉不到无线AP间进行切换。
无线局域网安全
与双绞线和光纤等有线接入方式不同,只要处于无线网络的覆盖范围之内,就可以接收到无线网络信号,并且接入到无线网络。因此,为了确保无线网络的安全,必须采用一定的安全措施。通常情况下,可以采用WEP加密和802.11认证方式进行安全认证和数据的加密传输。另外,还可以在无线AP中设置MAC地址过滤。由于每块网卡都有一个烧录在ROM中的MAC地址,因此,可以借助于添加MAC地址列表的方式,限制允许接入无线网络的无线网卡,从而拒绝未被授权的无线网卡接入到无线网络。
一、无线网络通讯安全概述
1,无线网络的安全问题
无线网络的灵活性和移动性是使它们流行开来的原因。但是,由于WLAN的工作方式,也直接带来了一些安全性威胁。虽然通过正确地部署AP的位置,以及所用天线设备的类型、数量和方向等因素,可以部分地解决这些问题。但是,根据无线信号传播的自然规律,任何能够接收到这些信号的人都可能能够阅读或在网络中插入流量。因此,无线网络的安全问题表现在以下几个方面:
第一,非授权用户可能在我们不察觉的情况下能够访问无线网络,包括向Internet发送流量(例如垃圾邮件)。
第二,IEEE 802.11标准定义了一个安全协议,称为有线等效隐私(Wired Equivalent Privacy)或WEP。希望WEP能够对无线数据包进行加密,使得攻击者不能够轻松地读取这些数据包。WEP提供了两种强度的加密——40位和128位(802.11a和802.11g增加了第三种强度,152位)。但是,并不是所有无线设备总在默认情况下支持WEP,或者完全不支持更安全的128位WEP。当WEP确实被启用时,WEP中的缺陷可能使中等熟练的攻击者就可以破解加密,阅读或篡改流量。很多免费的工具都可以嗅探WLAN流量,对其进行分析并得到WEP密钥;由于IEEE 802.11要求手动地更改WEP共享密钥,这意味着我们可能需要频繁地更改您的密码,或者生活在有人破解密码的风险中。
第三,当有人在我们的无线网络中添加一个AP,而又关闭WEP时,立刻就有一个过客获得了网络的访问权。这种漏洞在单独存在时可能并不危险,但这是一个很坏的先例,因为这些过客中可能就有恶意攻击者,能够利用网络中某处未加补丁的漏洞。
虽然这三个安全性问题都是很严重的,但是,我们仍然可以采取很多预防措施来减轻它们的影响。Windows 2000、Windows XP和Windows Server 2003都包括了可以用来增强无线安全性的WLAN安全特性,WLAN AP可以被配置得比以往更安全。事实上,有效实现计算机安全的一个重要法宝就是深度防御。如果我们采用了更多的安全措施,攻击者就更难以渗透到足够进行攻击的深度。在无线网络开始运行时,就必须采用以下安全措施,l 确保桌面计算机和服务器系统实现尽可能的安全。这种保护提高了攻击的门槛,即使攻击者进入了WLAN,仍然很难渗透进用户的计算机。
启用无线AP和工作站所支持的最强WEP。同时,确保拥有一个强健的WEP密码,这个密码应该符合有线网络中所应用的相同的密码强度规则。
确保无线网络的网络名称(SSID)不是可以轻松识别的。不要使用公司名称、自己的姓名或者(千万不要)地址作为SSID。
如果无线AP支持SSID广播,应当关闭它。这个措施可以创建一个封闭网络,这样,新的客户端必须在连接之前输入正确的SSID。
如果正在使用具有 Windows XP客户端的Windows 2000服务器,建议使用IEEE 802.1X身份验证协议来保护我们的网络。
2,无线网络安全协议
(1)WEP加密
IEEE 802.11网络采用两种验证方法:开放式系统验证和共享密钥验证。在这两种模式中,每个移动客户端(称为工作站)都必须针对访问点进行验证。开放式系统验证可能称为“无验证”更合适一些,因为实际上没有进行验证:工作站说“请求验证”,而AP也是这样说,但并没有交换凭证。共享密钥验证稍微强大一些(除了其依赖于WEP之外)。工作站请求验证,而访问点(AP)用WEP加密的质询进行响应。只要工作站有正确的WEP密码,就可以解密该质询和响应。在这两种方法中,工作站还必须知道AP的服务集标识符(SSID)。然而,因为AP可能广播自己的SSID,并且因为与该SSID进行交谈的工作站始终对其进行广播,所以这种行为并不会对了解SSID造成多大障碍。
现有的Wi-Fi验证过程会产生两个潜在问题:
工作站无法验证AP的身份,因此,攻击者可以轻松地建立恶意AP,而不知情的客户端可能会连接到上面。网络中的其他设备也无法验证 AP,这意味着网络管理员没有什么好方法来阻止未经授权的用户使用他们的网络。(请将之与 Windows 2000的DHCP服务器进行比较,后者在开始发送地址之前需要进行Active Directory验证。)
AP无法告知是否在网络上对工作站进行验证。换句话说,AP只验证工作站,而不验证工作站的用户。这就像只要汽车上贴有通行证,就可以将车驶入大门,而不管是否应该由此进入。也就意味着,如果没有采取良好的预防措施,不道德的人就可能侵入我的网络。
我们可以采取的一些有效的步骤,以增加网络的安全性:
开启WEP加密。有胜于无,如果没有它,就根本不会获得任何验证。
确保WEP已经调至最大长度。128位的WEP比根本没有WEP强——如果没有WEP,任何人都可以窃听您的流量。
关闭SSID广播并且使您的网络成为一个闭合网络。诚然,这种安排会给客户端造成一些麻烦;Windows XP在自动查找无线网络方面做得很好,但是,却无法自动找到闭合网络——用户将必须手动输入SSID名称。
注意WLAN无线电波覆盖范围。如果能够拒窃听者和入侵者于您的信号覆盖范围之外,将有助于把验证问题减少到最低限度。不过,借助使用各种天线,还是可以从相当远的距离窃听信号。
将AP放在网络的防火墙以外。本质上,这种防范措施会强制要求我们将无线连接当作不受信任的连接来看待,就像看待其他任何来自Internet的连接一样。
通过一些其他方法来弥补WLAN验证。WLAN用户需要通过VPN访问网络,就像他们从家里进行访问一样。或者为WLAN客户端分配一个单独的IP地址范围,然后在内联网站点上应用基于IP的访问控制。
需要WLAN客户端使用虚拟专用网络来保护它们的流量。这一点在Windows 2000或 Windows XP下很容易做到,现在还出现了一个强大的IPsec VPN客户端,可应用于Windows 98、Windows ME和Windows NT工作站的客户端。
对于后续部署,应当选择支持自动WEP重新键入(rekeying)的IEEE 802.11b硬件。Cisco的Aironet系列产品(供Microsoft内部使用)提供了这一特性;IEEE的临时密钥集成协议(Temporal Key Integrity Protocol,TKIP)指定了一些互操作方法,可以应用于自动WEP重新键入,现在,一些厂商正通过使用固件发布来将这一特性添加到他们现有的设备中。
增强WLAN验证的最佳方法是通过添加对更强大的验证协议的支持进行增强。尤其,IEEE 802.1x标准以及受保护的EAP协议提供了更为安全的验证,您可能已经有了所需实施的工具。
(2)IEEE 802.1x身份验证
IEEE 802.1x标准允许对IEEE 802.11无线网络和有线以太网进行身份验证和访问。
当用户希望通过某个本地局域网(LAN)端口访问服务时,该端口可以承担两个角色中的一个:“身份验证器”或者“被验证方”。作为身份验证器,LAN端口在允许用户访问之前强制执行身份验证。作为被验证方,LAN端口请求访问用户要访问的服务。“身份验证服务器”检查被验证方的凭据,让身份验证方知道被验证方是否获得了访问身份验证方的服务的授权。
IEEE 802.1x使用标准安全协议来授权用户访问网络资源。用户身份验证、授权和记帐是由“远程验证拨号用户服务(RADIUS)”服务器执行的。RADIUS是支持对网络访问进行集中式身份验证、授权和记帐的协议。RADIUS服务器接收和处理由RADIUS客户端发送的连接请求。
此外,IEEE 802.1x还通过自动生成、分发和管理加密密钥,利用有线等效保密(WEP)加密来解决许多问题。
IEEE 802.1x实施基于端口的访问控制。在WLAN中,端口就是访问点(AP)和工作站之间的连接。在IEEE 802.1x中拥有两种类型的端口:非控制的和控制的。您现在正在使用的可能就是非控制端口:它允许设备连接到端口,与其他任何网络设备进行通讯。相反,控制端口限制了连接设备所能够通讯的网络地址。您可能已经能够了解到接下来是什么情况了:IEEE 802.1x允许所有的客户端连接到控制端口,但是这些端口仅将流量发送给身份验证服务器。在客户端通过身份验证以后,才被允许开始使用非控制端口。IEEE 802.1x的奥秘在于非控制和控制端口是并存于同一个物理网络端口上的逻辑设备。
针对身份验证,IEEE 802.1x进一步为网络设备定义了两种角色:申请者(supplicant) 和认证者(authenticator)。申请者是一个请求访问网络资源的设备(例如配备了802.11b网卡的膝上型计算机)。认证者是对申请者进行身份验证的设备,由它来决定是否授予申请者访问权限。无线 AP 可以作为认证者;但是使用行业标准的远程身份验证拨入用户服务(RADIUS) 协议更灵活一些。这个协议包含在 Windows 2000 中;通过 RADIUS,AP 接收身份验证请求,并将请求转发给 RADIUS 服务器,由这台服务器来根据 Active Directory 对用户进行身份验证。
IEEE 802.1x 在身份验证时并不使用有线等效隐私(Wired Equivalent Privacy,WEP);作为替代,它使用行业标准的可扩展身份验证协议(Extensible Authentication Protocol,EAP)或更新的版本。在任何一种情况下,EAP/PEAP 都拥有其独特的优势:它们允许选择身份验证方法。在默认情况下,IEEE 802.1x 使用EAP-TLS (EAP-传输层安全性),此时所有EAP保护的流量都由TLS协议(非常类似于SSL)进行加密。整个身份验证的过程是这样的:
1,无线工作站尝试通过非控制端口连接到AP。(由于此时该工作站还没有通过身份验证,因此它无法使用控制端口)。该AP向工作站发送一个纯文本质询。
2,作为响应,工作站提供自己的身份证明。
3,AP 将来自工作站的身份信息通过有线 LAN 转发给使用 RADIUS 的认证者。
4,RADIUS服务器查询指定帐户,确定需要何种凭证(例如,您可能将您的RADIUS服务器配置为仅接受数字证书)。该信息转换成凭证请求,返回到工作站。
5,工作站通过AP上的非控制端口发送它的凭证。
6,RADIUS 服务器对凭证进行验证;如果通过验证,则将身份验证密钥发送给AP。这个密钥是加密的,因此只有AP能够对其进行解密。
7,AP 对密钥进行解密,并用它来为工作站创建一个新的密钥。这个新的密钥将被发送给工作站,它被用来加密工作站的主全局身份验证密钥。
定期的,AP 会生成新的主全局身份验证密钥,并将其发送给客户端。这很好地解决了802.11中长寿命固定密钥的问题,攻击者能够很容易地通过暴力破解来攻击固定密钥。
(3)IEEE 802.11i身份验证
电气和电子工程师协会 (IEEE) 802.11i无线网络标准指定了对无线局域网 (LAN) 安全性的改进。802.11i标准解决了原来的IEEE 802.11标准的许多安全性问题,无线供应商已经在使用一个称为 WPA (Wi-Fi Protected Access) 的标准。
WPA的安全功能
WPA标准包含以下安全功能:
WPA身份验证
WPA中需要802.1x身份验证。在802.11标准中,802.1x身份验证是可选的。
对于没有远程身份验证拨号用户服务(RADIUS)结构的环境,WPA支持使用预共享的密钥。对于具有RADIUS结构的环境,支持可扩展身份验证协议(EAP)和RADIUS。
对于802.1x,单路广播加密密钥的重新加密操作是可选的。另外,802.11和802.1x没有提供任何机制来更改多路广播和广播通信所使用的全局加密密钥。对于WPA,需要对单路广播和全局加密密钥进行重新加密操作。对于单路广播加密密钥,临时密钥完整性协议(TKIP)更改每一帧的密钥,而且更改操作会在无线客户端和无线访问点(AP)之间保持同步。对于全局加密密钥,WPA包含一个工具,以便无线AP将更改后的密钥公布到连接的无线客户端。
对于802.11,有线等价隐私(WEP)加密是可选的。对于WPA,需要使用TKIP进行加密。TKIP将WEP替换为新的加密算法,该算法比WEP算法更强,但需要使用现有无线设备上存在的计算工具执行加密操作。TKIP还提供以下功能:
确定加密密钥后验证安全配置。
同步更改每一帧的单路广播加密密钥。
为每个预共享密钥身份验证确定唯一的起始单路广播加密密钥。
AES支持
WPA将高级加密标准(AES)的使用定义为WEP加密的另外一种替代方法。由于可能无法通过固件更新将AES支持添加到现有的无线设备,因此,对AES的支持是可选的,并依赖于供应商驱动程序的支持。
支持WPA和WEP无线客户端的混合使用
为支持将基于WEP的无线网络逐渐转换到WPA,无线AP可以同时支持WEP和WPA客户端。在关联过程中,无线AP确定哪些客户端使用WEP以及哪些客户端使用WPA。支持WEP和WPA客户端的混合使用的缺点在于:全局加密密钥不是动态的。这是因为基于WEP的客户端不支持这样做。WPA客户端的所有其他优点(如完整性)都保留了下来。
WPA所需的软硬件环境
无线访问点必须更新其固件才能支持以下内容:
新的WPA信息元素。为公布对WPA的支持,无线AP使用新的802.11WPA信息元素发送信号帧,而该元素包含无线AP的安全配置(加密算法和无线安全配置信息)。
WPA两段式身份验证。开放系统,然后是802.1x(具有RADIUS的EAP或预共享密钥)。
TKIP
Michael
AES(可选)
若欲升级无线访问点以支持WPA,需要从无线AP供应商处获取WPA固件更新,并将其上载到无线AP。
无线网络适配器必须更新其固件才能支持以下内容:
新的WPA信息元素。无线客户端必须能够处理WPA信息元素并响应特定的安全配置。
WPA两段式身份验证。开放系统,然后是802.1x(EAP或预共享密钥)。
TKIP
Michael
AES(可选)
若欲升级无线网络适配器以支持WPA,需要从无线网络适配器供应商处获取WPA更新,并更新无线网络适配器驱动程序。对于Windows无线客户端,必须获取已更新的、支持WPA的网络适配器驱动程序,更新后的网络适配器驱动程序,必须能够将该适配器的WPA功能和安全配置传递到Wireless Zero Configuration服务。
另外,还必须更新无线端客户程序,才能允许配置WPA身份验证(和预共享的密钥)以及新的WPA加密算法(TKIP和可选的AES组件)。
对于运行Windows XP Service Pack1(SP1)及更高版本或Windows Server 2003的无线客户端,以及对于使用支持Wireless Zero Configuration服务的无线网络适配器的客户端而言,必须获取并安装Windows WPA Client。Windows WPA Client更新无线网络配置对话框以支持新的WPA选项。
若欲获得WPA客户端程序,可Microsoft Web站点:
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=009d8425-ce2b-47a4-abec-274845dc9e91
下载Windows XP i386软件包。
对于运行Windows 2000的无线客户端(或者运行Windows XP SP1或Windows Server 2003以及使用不支持Wireless Zero Configuration服务的无线网络适配器的客户端)而言,必须从无线网络适配器供应商处获取并安装新的与WPA兼容的配置工具。
二、无线网络通讯安全技术
1,设置连线对等保密(WEP)
IEEE 802.11 的安全性选项包括以 WEP 算法为基础的身份验证服务和加密服务。WEP 是一套安全服务,用来防止IEEE 802.11 网络受到未授权用户的访问,例如,偷听(捕获无线网络通讯)。利用自动无线网络配置,可以指定进入网络时用于身份验证的网络密钥。也可以指定使用哪个网络密码来对通过该网络传输的数据进行加密。启用数据加密时,生成秘密的共享加密密钥,并由源台和目标台用来改变帧位,因而可避免泄漏给偷听者。
开放式系统和共享密钥身份验证
IEEE 802.11 支持两个子类型的网络身份验证服务,开放式系统和共享密钥。在“开放式身份验证”下,任何无线站都可请求身份验证。需要通过另一个无线站身份验证的站将包含发送站的身份验证管理帧发送出去。接收站然后将表明其是否识别发送站的身份的帧发送回去。在“共享密钥”身份验证下,每个无线站都被假定为具有安全频道的秘密共享密钥,该安全频道独立于IEEE 802.11 无线网络通讯频道。要使用“共享密钥”身份验证,您必须具有一个网络密钥。
网络密钥
启用WEP时,用户可以指定用于加密的网络密钥。可为用户自动提供网络密钥(例如,可能会提供在无线网络适配器上),用户也可以通过键入方式来亲自指定密钥。如果用户亲自指定密钥,还可以指定密钥长度(40 位或 104 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数量就会增加一倍。
在IEEE 802.11 下,可用多达4个密钥(密钥索引值为 0、1、2 和 3)配置无线站。当访问点或无线站利用存储在特定密钥索引中的密钥传送加密邮件时,传送的邮件指明用来对邮件正文加密的密钥索引。然后接收访问点或无线站可以检索存储在密钥索引处的密码并使用它来对加密邮件正文进行解码。
(1)无线AP的设置
以D-Link DWL-900AP+为例。应当选中WEP栏的“Enable”选项,启用WEP加密传输功能,并在“WEP Encryption”下拉列表中选择密钥的长度(如图y-1所示)。当然,密钥越长,加密效果越好,但同时也将占用更多的性能,从而导致无线传输速率的下降。
图y-1 启用WEP加密
然后,在“Key Type”下拉列表中选择字符的类型,并分别在“Key1”~“Key4”中键入不同的密钥。
(2)Windows XP中的设置
第1步,打开“无线网络连接 属性”对话框,切换到“无线网络配置”选项卡(如图y-2所示)
图y-2“无线网络配置”选项卡
第2步,在“首选网络”列表中选择当前可用无线连接,单击“属性”按钮,显示如图y-3所示当前无线连接“属性”对话框。
图y-3 当前无线连接“属性”对话框
第3步,在“关联”选项卡的“数据加密”下拉列表中选择“WEP”,然后,在“网络密钥”和“确认网络密钥”文本框中键入在无线AP中设置的网络密钥。同时,在“密钥索引”下拉列表框中选择该密钥在无线AP中的序号。
第4步,单击“确定”按钮,保存所做的修改。
2,802.1x身份认证
IEEE 802.1x是基于IEEE标准的网络认证访问框架,可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络,事实上,它还在顶级供应商的高端有线 LAN 设备上使用。802.1X依赖于RADIUS(远程身份验证拨入用户服务)网络身份验证和授权服务来验证网络客户端的凭据。802.1X使用EAP来打包解决方案不同组件间的身份验证会话,并生成保护客户端与网络访问硬件畅通的密钥。部署RADIUS并不困难。如果用户采用Microsoft产品,那么,可以利用Internet认证服务器(IAS)来帮助部署RADIUS。
IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的通过验证的访问权限。802.1x使无线网络安全风险降低到最低程度,并使用标准安全协议(例如,RADIUS)。
在Windows XP客户端配置802.1x
第1步,打开当前无线网络连接“属性”对话框,选择“验证”选项卡,选中“启用此网络的IEEE802.1x验证”(如图y-4所示)。
图y-4,验证”选项卡
第2步,在“EAP类型”中,选择要用于此连接的“可扩展的身份验证协议”类型。通常,企业网络将使用具有智能卡或本地存储证书的EAP-TLS,小型网络则可以使用PEAP(只有您已经安装了Windows XP Service Pack 1以后才可以选择。)
第3步,如果您在“EAP类型”中选择“智能卡或其它证书”,可以配置额外的属性。单击“属性”,在“智能卡或其它证书属性”中,执行以下步骤:
若欲使用智能卡证书进行身份验证,单击“使用我的智能卡”。
若欲使用计算机证书存储中的证书进行身份验证,单击“在此计算机上使用证书”。
若欲验证提供给计算机的服务器证书是否仍然有效,选中“验证服务器证书”复选框,指定是否只有在服务器驻留在特定域时才进行连接,然后,指定可信根证书颁发机构。
如果智能卡或证书中的用户名与您要登录到的域的用户名不同,选中“为此连接使用一个不同的用户名”复选框。
第3步,如果用户未登录或者计算机或用户信息不可用,若欲指定计算机是否应尝试网络的身份验证,执行以下操作:
当用户未登录时,若欲指定计算机应尝试网络的身份验证,选中“当计算机信息可用时验证为计算机”复选框。 l 当用户信息或计算机信息不可用时,若欲指定计算机应尝网络的身份验证,选中“当用户或计算机信息不可用时验证为来宾”复选框。
需要注意的是,若欲在Windows 2000客户端配置802.1x身份验证,需安装一个系统补丁“Q313664_W2K_SP4_X86_CN.exe”。该补丁支持的操作系统为Windows 2000+ Service Pack 3。
第4步,单击“确定”按钮,保存所做的修改。
为小型网络部署802.1x
对于小型网络而言,即使没有一个完整的公共密钥基础构架,也不需要很多工作,就可以部署802.1x。简单地说,需要设置 Windows XP SP 1或更新版本的客户端来使用 PEAP,然后,设置至少一台计算机运行Windows Internet身份验证服务 (IAS),该服务将提供 RADIUS 连接性。每个IAS服务都必须拥有一个由自己签署或从第三方证书颁发机构(CA)购买的数字证书。
为大型企业部署802.1x
对于至少拥有一个域控制器的Windows 2000网络,可以设置一个更灵活有力的802.1x基础构架,充分利用Active Directory和Windows 2000对远程访问策略的支持。首先,为客户端获得数字证书。在域网络中,可以很方便地通过创建组策略来获得这些证书,组策略能够自动地为域中的计算机请求机器证书。然后,部署所需基础结构(包括IAS)的剩余部分,将无线AP配置为使用 RADIUS 来与 IAS 服务器进行通讯。至此,WLAN流量已经被安全地保护起来。
3,修改SSID并禁止SSID广播
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过,即可顺利连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给那些恶意攻击提供了入侵的便利。一旦他们使用通用的初始化字符串来连接无线网络时,就很容易建成功一条非授权链接,从而给无线网络的安全带来威胁。因此,在初次安装好无线局域网时,必须及时登录到无线网络节点的管理页面,修改默认的SSID初始化字符串。并且在条件允许的前提下,取消SSID的网络广播,从而将黑客入侵机会降到最低限度。
图y-4,验证”选项卡
第2步,在“EAP类型”中,选择要用于此连接的“可扩展的身份验证协议”类型。通常,企业网络将使用具有智能卡或本地存储证书的EAP-TLS,小型网络则可以使用PEAP(只有您已经安装了Windows XP Service Pack 1以后才可以选择。)
第3步,如果您在“EAP类型”中选择“智能卡或其它证书”,可以配置额外的属性。单击“属性”,在“智能卡或其它证书属性”中,执行以下步骤:
若欲使用智能卡证书进行身份验证,单击“使用我的智能卡”。
若欲使用计算机证书存储中的证书进行身份验证,单击“在此计算机上使用证书”。
若欲验证提供给计算机的服务器证书是否仍然有效,选中“验证服务器证书”复选框,指定是否只有在服务器驻留在特定域时才进行连接,然后,指定可信根证书颁发机构。
如果智能卡或证书中的用户名与您要登录到的域的用户名不同,选中“为此连接使用一个不同的用户名”复选框。
第3步,如果用户未登录或者计算机或用户信息不可用,若欲指定计算机是否应尝试网络的身份验证,执行以下操作:
当用户未登录时,若欲指定计算机应尝试网络的身份验证,选中“当计算机信息可用时验证为计算机”复选框。 l 当用户信息或计算机信息不可用时,若欲指定计算机应尝网络的身份验证,选中“当用户或计算机信息不可用时验证为来宾”复选框。
需要注意的是,若欲在Windows 2000客户端配置802.1x身份验证,需安装一个系统补丁“Q313664_W2K_SP4_X86_CN.exe”。该补丁支持的操作系统为Windows 2000+ Service Pack 3。
第4步,单击“确定”按钮,保存所做的修改。
为小型网络部署802.1x
对于小型网络而言,即使没有一个完整的公共密钥基础构架,也不需要很多工作,就可以部署802.1x。简单地说,需要设置 Windows XP SP 1或更新版本的客户端来使用 PEAP,然后,设置至少一台计算机运行Windows Internet身份验证服务 (IAS),该服务将提供 RADIUS 连接性。每个IAS服务都必须拥有一个由自己签署或从第三方证书颁发机构(CA)购买的数字证书。
为大型企业部署802.1x
对于至少拥有一个域控制器的Windows 2000网络,可以设置一个更灵活有力的802.1x基础构架,充分利用Active Directory和Windows 2000对远程访问策略的支持。首先,为客户端获得数字证书。在域网络中,可以很方便地通过创建组策略来获得这些证书,组策略能够自动地为域中的计算机请求机器证书。然后,部署所需基础结构(包括IAS)的剩余部分,将无线AP配置为使用 RADIUS 来与 IAS 服务器进行通讯。至此,WLAN流量已经被安全地保护起来。
3,修改SSID并禁止SSID广播
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过,即可顺利连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给那些恶意攻击提供了入侵的便利。一旦他们使用通用的初始化字符串来连接无线网络时,就很容易建成功一条非授权链接,从而给无线网络的安全带来威胁。因此,在初次安装好无线局域网时,必须及时登录到无线网络节点的管理页面,修改默认的SSID初始化字符串。并且在条件允许的前提下,取消SSID的网络广播,从而将黑客入侵机会降到最低限度。
以D-Link DWL-900AP+为例。其默认SSID为“default”,因此,应当将其修改为一个复杂且不容易被别人所猜到的无线网络名称(如图y-5所示)。
以D-Link DWL-900AP+为例。其默认SSID为“default”,因此,应当将其修改为一个复杂且不容易被别人所猜到的无线网络名称(如图y-5所示)。
图y-5 修改默认的SSID
当然,修改无线AP的SSID名称后,也必须在工作站的无线网络属性中作相应的设置(如图y-6所示),从而保持与无线AP的一致。需要注意的是,在无线漫游网络中,所有无线AP的SSID必须保持相同。
图y-6 客户端作相应的修改
4,禁用DHCP服务
如果启用无线AP的DHCP,那么,黑客将能够自动获取IP地址信息,从而轻松地接入到无线网络。如果禁用无线AP的DHCP功能,那么,黑客将不得不猜测和破译IP地址、子网掩码、默认网关等一切所需的TCP/IP参数。原因很简单,无论黑客想怎样利用无线网络,首先要做的必须是弄清楚IP地址信息。
以D-Link DWL-900AP+为例。应当将DHCP Server功能设置为“Disabled”(如图y-7所示),禁用DHCP服务,而由用户手动为客户端设置IP地址信息。
图y-7 禁用DHCP服务
5,禁用或修改SNMP设置
如果无线AP支持SNMP,建议禁用该功能。如果确实需要SNMP进行远程管理,那么,必须修改公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关网络的重要信息。
以D-Link DI-614+为例。应当将Remote Management设置为“Disable”模式(如图y-8所示),禁止从远程管理该无线设备。
图y-8 禁止远程管理
6,使用访问列表
如果无线AP支持访问列表功能,那么,可以利用该功能,精确限制哪些工作站可以连接到无线网络节点,而那些不在访问列表中的工作站,则无权访问无线网络。例如,每一块无线上网卡都有自己的MAC地址,完全可以在无线网络节点设备中创建一张“MAC访问控制表”,然后,将合法网卡的MAC地址逐一输入到这个表格中。以后,只有“MAC访问控制表”中显示的MAC地址,才能进入到无线网络。
以D-Link DWL-900AP+为例。在“Advanced”选项页面(如图y-9所示),选择“Only allow MAC address(es) listed below to connect to DWL-900AP+”选项,只允许拥有指定MAC地址的无线网卡连接至该无线AP。然后,一一添加允许连接至无线AP的无线网卡的MAC地址。
图y-9 MAC地址过滤
如何获取计算机的MAC地址呢?大致有以下几种方式可获取网卡的MAC地址:
直接获取
在计算机上执行使用winipcfg(适用Windows 9x/Me)或ipconfig /all(适用Windows NT/2000/XP)命令,即可获得该计算机上的MAC地址(如图y-10)。由于该方式只能获取本地计算机的MAC地址,因此,若欲获得整个网络所有计算机的IP地址,就必须在每台计算机上进行测试,在拥有上百台计算机的网络中,显然劳动量也太大,很难做到,也没有太多必要。所以,该方式只适用于测试服务器及特殊用户等少量计算机的MAC地址。
图y-10 运行ipconfig /all
远程获取
既然到每一台计算机上获取MAC地址太过繁琐,那么,我们不妨使用DOS命令“nbtstat”,坐在自己的计算机前远程获获取其他计算机网卡的MAC地址。
命令格式为:
c:\ nbtstat –a ip_address
其中,ip_address用于表示欲测试MAC地址的远程计算机的IP地址。执行结果如图y-11所示。
图y-11 运行nbtstat
软件获取
借助于网络工具软件也可以实现对IP地址和MAC地址的快速扫描和记录,如Essential NetTools和TCP NetView都是不错的软件。
Essential NetTools是一款功能强大的网络管理软件。打开“Essential NetTools”主窗口(如图y-12所示),单击左侧栏的“NBScan”按钮,在左下角“Starting IP address”框中输入要扫描的开始IP地址,在“Ending IP address”中输入结束的IP地址(最多为一个C类地址),单击“Start”按钮,经过一段时间后,屏幕上就会显示出扫描到的计算机名、IP地址及网卡的MAC地址。在“File”菜单中选择“Save Report→As HTML”命令,还可把扫描到的结果保存为HTML文件,从而自动建立并保存IP地址和MAC地址对照表。令人欣喜的是,Essential NetTools甚至可以扫描并列出其他VLAN计算机的MAC地址。
图y-12 Essential NetTools
TCP NetView是一款自由软件,可以扫描局域网中“计算机──IP地址──Mac地址”对应列表的网络辅助工具软件。在局域网中任意一台计算机上运行TCP NetView,系统将自动开始扫描,并迅速列出该局域网内所有计算机的主机名、IP地址、MAC地址以及计算机的简要说明(如图y-13所示)。需要注意的是,TCP NetView只能显示本网段即本VLAN内(含不同工作组)计算机的MAC地址。
图y-13 TCP NetView
7,合适放置无线AP和天线
由于无线AP是有线信号和无线信号的转换“枢纽”,无线AP中的天线位置,不但能够决定无线局域网的信号传输速度、通信信号强弱,而且还能影响无线网络的通信安全。因此,将无线AP摆放在一个合适的位置是非常有必要的。另外,在放置天线之前,一定要先搞清楚无线信号的覆盖范围有多大。然后,依据范围大小,将天线放置到其他用户无法“触及”的位置处。
例如,最好将无线网络节点放置在该空间的正中央,同时将其他工作站分散在无线网络节点的四周放置,使其他房间的工作站无法自动搜索到无线网络,也就不容易出现信号泄密的危险。倘若随便将无线网络节点放置在靠窗口或墙壁的位置处,不但会影响信号的对外发射,而且位于墙壁另一边的工作站用户,就能很轻易地搜索并连接,网络安全性就会大大降低。
无线网络故障
一、常见无线网络故障
网络故障实在是一件令人头痛不已以不得不面对的难题。对于无线网络而言,网络故障大致可以分为4类,即硬件故障、配置故障、天线故障和拓朴故障。硬件故障通常是由于产品质量所致,而其他故障则往往由人为的设置所致。
硬件故障包括:
无线AP或无线路由器硬件故障
无线网卡硬件故障
无线AP与主干网络的连接故障
配置故障包括:
无线AP工作模式选择错误
无线AP设置错误
多AP无线网络中频道选择错误,采用相同或相邻频道
同一无线网络中无线AP的SSID设置错误
网卡驱动程序故障
客户端网络协议故障
客户端IP地址信息设置故障
无线客户端的WEP、SSID设置错误
天线故障包括:
无线天线连接故障
无线天线类型选择错误
无线天线位置选择错误
拓朴故障包括:
无线漫游网络中存在盲区
无线网络设备距离无线干扰源太近
不同标准的无线产品混用,导致无法通信或通信速率下降
传输距离太远或有障碍物阻挡
二、无线网络故障的一般排错
(1)客户端没有无线信号
如果客户端没有无线信号,那么,导致该故障的原因可能是:
没有插入无线网卡,无线网卡驱动程序故障,或者无线网卡硬件故障。
无线网卡与无线AP或无线路由的距离过远,超过无线网络的覆盖范围,无线信号非常微弱,无线客户端无法实现正确连接。
无线AP或无线路由未加电,或没有正常工作,导致无线客户端无法连接。
如果无线客户端距离无线AP距离较远,采用定向天线进行无线信号的增益时,怀疑定向天线的角度有问题,导致无法很好地接收无线AP的信号。 l 无线客户端没有设置正确的IP地址信息,无法与无线AP进行通讯。
无线AP或无线路由设置有安全策略,MAC地址被无线AP或无线路由过滤掉,导致无法与无线AP建立通讯连接。
请试着采用以下方式解决:
查看无线AP与无线客户端是否采用相同的、或兼容的无线网络标准。
查看接入同一无线AP的其他计算机是否正常。如果其他客户端有无线信号,那么,故障应当定位在本地计算机。
如果其他客户端也没有无线信号,则怀疑是无线AP故障。应当检查无线AP是否插电,是否工作正常。查看LED指示灯,并使用笔记本电脑进行近距离测试。如果故障无法排除,建议更换无线AP。
查看是否将无线网卡正确插入计算机,可以将该无线网卡拔除并重新插入。
在“计算机管理”中查看无线网卡是否正确安装,并重新安装无线网卡驱动程序。
检查无线网络配置是否正确,并与其他可以正常接入无线网络的计算机进行比较,确认WEP、SSID等设置。
使用无线网络测试工具,或者将其他无线客户端置于该位置,查看无线网络的信号强度。
如果无线网卡正常安装,所有无线网络设置全部正确,并且无线信号正常,建议更换无线网卡。
检查客户端与无线AP之间是否有阻挡物,是否相隔较多的墙壁。如果测试结果证实无线信号太弱,建议增加无线AP,或为无线客户端加装无线天线,以增强无线信号强度。如果大多客户端都无法连接至无线AP,则应当为无线AP加装全向无线天线。
调整无线客户端定向无线天线的角度,使其面向无线AP或无线路由的方向。
检查无线AP或无线客户端附近是否有无绳电话、微波炉等强烈的干扰源。移除干扰源后,再进行测试。
为无线客户端设置正确的IP地址信息。
检查无线网络的安全设置,添加无线客户端的MAC地址。
(2)有无线信号,但是无法接入无线网络
如果虽然在无线客户端显示有无线信号,但是,有几台计算机无法接入无线网络。那么,导致该故障的可能是:
无线AP或无线路由的IP地址池已经分别完毕。当无线客户端设置为自动获以IP地址信息时,由于无法获取正确的IP地址信息,从而无法接入无线网络。
无线网卡没有设置正确的IP地址信息。当无线客户端采用手工设置IP地址信息时,由于IP地址信息设置错误,从而导致与无线AP不在同一IP地址段,导致无线通讯失败。
请试着采用以下方式解决:
增加无线AP或无线路由的IP地址池范围。
为无线网卡设置正确的IP地址信息。
(3)有无线信号,但是所有计算机均无法接入无线网络
如果虽然在无线客户端显示有无线信号,但是所有计算机均无法接入无线网络。那么,导致该故障的可能有以下几个方面:
无线AP或无线路由与其他计算机发生IP地址冲突,导致无线通讯失败。
无线AP或无线路由系统死机。
无线AP或无线路由设置故障。
请试着采用以下方式解决:
检查网络内的IP地址信息,特别是与无线AP或无线路由相连接的以太网络中的IP地址信息。
重新为无线AP或无线路由加电。
(4)无线网络可以相互通讯,但无法与以太网通讯
如果无线客户端与无线AP或无线路由之间可以相互通讯,但无法与以太网通讯。那么,导致该故障的原因可能有以下几个方面:
LAN端口连接故障
IP地址信息设置错误
请试着采用以下方式解决:
检查LAN端口与以太网设备的连接,查看LAN指示灯是否被点亮。当集线设备与LAN端口连接时,通常应当采用交叉线。
检查无线网络与以太网络是否在同一IP地址段,只有相同IP地址段的计算机之间才能实现通讯。
三、无线网络故障排错工具
1,Ping
Ping是Windows操作系统集成的TCP/IP应用程序之一,通常在命令提示符下运行。利用Ping命令可以有效地测试网络连通故障,并可确定网络故障发生的大致原因,下面就来看看该命令的简单应用。
Ping本地地址或127.0.0.1
Ping本地计算机的IP地址或127.0.0.1,可以确认:
该计算机是否正确安装了无线网卡。如果测试不成功,应当在“设备管理器”中查看网卡是否有黄色的“!”。如果有,则删除该网卡或重新正确安装。如果没有,说明网卡安装正确。
该计算机是否正确安装了TCP/IP协议。如果测试不成功,应打开控制面板的“网络”属性查看是否安装TCP/IP协议。如果没有,则需安装TCP/IP协议并正确配置后,重新启动计算机并再次测试。如果已经安装,继续向下检查。
该计算机是否正确配置了IP地址和子网掩码。如果测试不成功,应打开控制面板的“网络”属性查看IP地址和子网掩码是否设置正确。如果不正确,需重新设置,重新启动计算机并再次测试。
Ping所连接的无线AP
Ping所连接的无线AP,可以确认:
无线客户端的IP地址、子网掩码的设置是否正确。如果测试不成功,应打开控制面板的“网络”属性查看IP地址和子网掩码是否设置正确。如果设置不正确,需重新设置,重新启动计算机并再次测试。如果设置正确,继续向下检查。
WEP、SSID等无线网络设置是否正确。
无线AP工作是否正常。如果测试不成功,应当对网络设备和通讯介质逐段测试、检查和排除。
Ping同一无线网络中的其它AP
Ping同一无线网络中的其它AP,可以确认:
无线AP是否全部正确连接至主干,远程无线AP是否正常工作。如果测试不成功,应当对网络设备和通讯介质逐段测试、检查和排除。
Ping同一无线网络中的其它计算机 Ping同一无线网络中的其它计算机,可以确认:
无线网络是否可以实现漫游,无线网络的频道选择与设置是否正确。
常见的出错信息
常见的出错信息通常分为4种情况:
unknown host(不知名主机)表示该远程主机名不能被命名服务器转换成IP地址。故障原因可能是命名服务器有故障,或者其名称不正确,或者网络管理员的系统与远程主机之间的通信线路有故障。
Network unreachable(网络不能到达),表示本地系统没有到达远程系统的路由,可用netstat –rn命令检查路由表来确定路由配置情况。
No answer(无响应),远程系统没有响应。这种说明本地系统有一条到达远程主机的路由,但却接受不到它发给该远程主机的任何分组报文。故障原因可能是远程主机没有工作,或本地或远程主机网络配置不正确,或本地或远程的路由器没有工作,或通信线路有故障,或远程主机存在路由选择问题。
timed out(超时),表示与远程主机的链接超时,数据包全部丢失。故障原因可能是到路由器的连接问题、路由器不能通过、也可能是远程主机已经当机。
Ping命令详细参数
Ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v Tos] [-r count] [-s count] [{-j Hostlist | -k Hostlist}] [-w timeout] [TargetName]
参数说明
-t:指定在中断前Ping可以持续发送回响请求信息到目的地。要中断并显示统计信息,按Ctrl+Break组合键;要中断并退出Ping测试,可按Ctrl+C组合键。
-a:指定对目的地IP地址进行反向名称解析。如果解析成功,Ping将显示相应的主机名。
-n count:指定发送回响请求消息的次数。默认值为4。
-l size:指定发送的回响请求消息中“数据”字段的长度(以字节表示)。默认值为32。size的最大值是65527。
-f:指定发送的回响请求消息带有“不要拆分”标志(所在的IP标题设为1)。回响请求消息不能由目的地路径上的路由器进行拆分。该参数可用于检测并解决“路径最大传输单位(PMTU)”的故障。
-i TTL:指定发送回响请求消息的IP标题中的TTL字段值。其默认值是主机的默认TTL值。对于Windows XP主机,该值一般是128。TTL的最大值是255。
-v Tos:指定发送回响请求消息的IP标题中的“服务类型(TOS)”字段值。默认值是0。tos被指定为0到255的十进制数。
-r count:指定IP标题中的“记录路由”选项用于记录由回响请求消息和相应的回响应答消息使用的路径。路径中的每个跃点都使用“记录路由”选项中的一个值。如果可能,可以指定一个等于或大于来源和目的地之间跃点数的count。count的最小值必须为1,最大值为9。
-s count:指定IP标题中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count的最小值必须为1,最大值为4。
-j Hostlist:指定回响请求消息使用带有hostlist指定的中间目的地集的IP标题中的“稀疏资源路由”选项。可以由一个或多个具有松散源路由的路由器分隔连续中间的目的地。主机列表中的地址或名称的最大数为9,主机列表是一系列由空格分开的IP地址(带点的十进制符号)。 -k Hostlist:指定回响请求消息使用带有hostlist指定的中间目的地集的IP标题中的“严格来源路由”选项。使用严格来源路由,下一个中间目的地必须是直接可达的(必须是路由器接口上的邻居)。主机列表中的地址或名称的最大数为9,主机列表是一系列由空格分开的IP地址(带点的十进制符号)。
-w Timeout:指定等待回响应答消息响应的时间(以微妙计),该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息,将会显示“请求超时”的错误消息。默认的超时时间为4000(4秒 )。
TargetName:指定目的端,它既可以是IP地址,也可以是主机名。
/?,在命令提示符中显示帮助。
2,Fluke无线通
无线通(WaveRunner)是一台基于 Linux 系统的 HP iPAQ 袖珍型 PC 机,是Fluke的一款专门针对无线网络的测试工具,可以验证IEEE 802.11b 网络的配置,检测危及企业网的性能和安全的无授权访问点及客户端,测量和计划访问点位置,可在任意访问点验证无线网络客户端的连通性,快速分析无线网络的问题,并定位失败的连接点。当我们检测、配置或支持无线网络时,就需要这样一个好帮手。本期,我们就来了解一下无线通的使用技巧。
图z- Fluke无线通
检测非法接入点
在未采取安全措施的情况下,借助于无线网络,未经授权的用户可以很方便地接入局域网。因此,必须对网络中的无线AP进行严格的管理,绝对禁止未经授权的无线AP接入网络,从而避免可能发生的安全事故。借助无线通,可以查看网络中是否存在非法接入点、接入点的位置,以及谁在使用这个非法接入点。通过对WLAN设备进行扫描和对非法接入点的定位,可以成功执行无线网络中非法用户的“搜寻和消灭”任务,并搜集必要的信息,用于创建并调整应对非法访问的策略。
第1步,打开HP PDA,运行无线通(图1)。
图z- 无线通主界面
第2步,按下“Device Scan”,系统就会开始搜索网络中的非法无线设备。所谓“非法无线设备”,是指未经企业网络管理员的允许和授权,而非法接入企业网络中的无线网络设备(包括无线AP、无线路由器和无线客户端)。这些无线设备往往是用户私自购置并接入网络中的。由于非法无线设备通常没有设置安全策略,因此,将导致许多安全漏洞,极大地增加企业网络的安全危害。
当WaveRunner刚启动时,所有设备都会显示为“未知”设备(绿色表示已知设备,黄色表示未知设备,红色表示欺诈设备,蓝色表示邻近的设备)。可在“安装”(Setup)“设备列表”(device List)屏幕的“编辑访问点”(Edit Access Point)和“编辑用户端”(Edit Client)屏幕上进行色彩指定的配置。同时,一个斜体的SSID名称表示该SSID尚未配置。通常这表示WEP已经启动,但尚未设置加密密钥。有关加亮标明的访问点的细节会显示在屏幕底部。其中包含BSSID/MAC地址、SSID、信号强度、关联用户端的数目、使用的验证类型、前导类型以及IP地址等信息。信号强度值表示如下:极佳(80~100%)、良好(60~80%)、尚可(30~59%)、极弱(0~29%)。
图z- 扫描无线设备
第3步,按下“Locate”按钮,可以根据无线信号的强度,寻找非法的无线AP。无线信号越强,表示距离无线AP越近。
图z- 显示无线信号强度
由于放置无线AP的位置是固定的,而且是由网络管理员所确定的。所以,当在不应当有无线信号覆盖的位置发现无线信号时,就证明此处存在非法无线AP。由于距离无线AP距离越近,无线信号的强度越高,因此,借助非法无线AP的信号强度,就可以迅速找到非法无线AP了。
协助无线网络设计
在安装无线网络之前,需要确定:
无线接入点的位置
如何分配通道
借助于无线通,可计划并测量访问点的位置和配置,工程初期进行巧妙的设计,可在实现最大化覆盖范围的同时,降低设备安装费用,避免将来再次进行网络调整。
第1步,按下“Channels”,显示当前位置不同信道的无线AP的信号强度。为了实现无线网络的无缝漫游,或者扩大无线网络的覆盖范围,无线信号间往往需要彼此覆盖一定区域。但是,相互覆盖的部分必须位于不同频道,否则,彼此间会相互干扰,导致无线网络通讯失败。通常情况下,相互覆盖的区域应当选择分别选择1、6、11频道。
图z- 不同频道的信号强度
第2步,在“Show”下拉列表中选择“Good Bytes”,显示有效传输数据。
图z- 显示有效传输数据
确认在任何无线客户端所在的位置都能接入无线网络,并且能够正常完成数据传输。借助对无线信号覆盖范围和强度的测试,可以确定现有无线AP的位置是否恰当,能否实现无线信号的覆盖,并根据无线接入需要,适当增加无线AP的数量,或者调整无线AP的位置。
验证无线网配置
一旦无线网被安装,无线通(WaveRunner)就可以帮您验证无线网接口、信号覆盖面并测试通道冲突。为了验证无线网络配置,无线通可以帮您确保:
连接到每一个访问点的客户
所有被正确配置的访问点
覆盖面足够大
有线等价协议(WEP)正在工作
无线通(WaveRunner)对验证结果进行文档备案,生成简洁的测试报告,对未来的故障诊断提供基准的同时显示网络性能。
第1步,按下“Site Scan”,选择一个或多个欲测试的无线网络的SSID(如图z-所示)。
图z- 选择欲测试的SSID
第2步,按下“Select”按钮,无线通开始自动扫描,并显示所测试无线网络使用的信道、无线AP和无线客户端的数量。
图z- 系统开始扫描
第3步,按下“Stop”按钮,显示无线网络的扫描信息。
图z- 显示无线网络的扫描信息
第4步,按下“Yes”按钮,保存该扫描信息。
无线网络故障诊断
无线通(WaveRunner)可以对无线网络的连通性进行故障诊断,更快地解决网络故障。利用它的 Ping 功能、吞吐量测试以及 web 测试工具,可以深入查看详细对话,确定:
用户是否可以看到访问点
WEP的设置是否正确
客户端是否可以看到关键设备
WLAN卡是否有缺陷故障
第1步,按下“Tools”,进入测试工具界面(如图z-所示)。其中:
Link Test(链接测试) 作为用户端连接至一个SSID或访问点,并显示有关链接的信息,包括信号强度、信号质量、IP地址、MAC地址、及传送速率。信号质量是指信噪比。低信号质量表示频道或是邻近的频道上有过多的噪声,可能影响性能。
Ping(轮询) 作为用户端连接至一个SSID或访问点,并将一个ICMP信息包送至特定的目的地地址。特定的目的地地址应以自己的信息包回复WaveRunner。“轮询”(Ping) 屏幕会显示轮询测试的结果,并可设置目的地地址和信息包尺寸及开始/停止测试。
Throughput(处理量) 作为用户端连接至一个SSID或访问点,并测量至一个设备的数据速率。可初始轮询或FTP处理量测试。轮询测试将会在调整数据速率的同时传送数据,直到检测到丢失的数据。FTP测试可测量送出一份内部文件或从设备收到一份内部文件所需的时间。这两种测试都会以图表来显示平均及最佳时间。
Network Validation(网络验证) 通过连接一个或更多访问点来验证用户端与SSID的连接。
Web Browser(网络浏览器) 连接至SSID或访问点,并开启因特网连接。可为网络浏览器配置网络代理。
WLAN Card Test(WLAN网卡测试) 测试第三方无线LAN网络卡。以下的WaveRunner功能可与第三方网络卡一起使用:链接测试、轮询、处理量、网络浏览器、及软件更新。需要注意的是,第三方WLAN卡不能用于上述以外的其它WaveRunner功能。
图z- 测试工具界面
第2步,按下“Link Test”,无线通开始自动测试链路,并显示所测试无线网络的SSID、频道、连接速率、信号强度等相关信息。
图z- 自动测试链路
第3步,按下“Detail”按钮,显示当前无线网络的其他基本网络服务器信息。
图z- 显示基本网络服务信息
3,网络传输速率测试
无线网络的传输速率可以借助软件——QCHECK进行测试。QCHECK是NetIQ公司一款易用的免费网络测试软件,被NetIQ称为“Ping命令的扩展版本”,可以简单测试网络的响应时间和数据传输率。测试使用两台计算机,分别连接至无线网络。其中,TCP/UDP传输率测试表明路由器的吞吐量(Throughput)。测试中,从一个客户端向另外一个客户端发送文件,然后测试所消耗的时间,并且计算出来传输率(以Mbps为单位),测试结果越高越好,理论值最高为标称带宽的94%。需要注意的是,TCP/UDP响应时间用于测试接收并返回信息之间的时间,测试结果越低越好,对于游戏、语音应用或者视频应用,测试结果在10ms以下才能良好的工作。UDP Stream用于测试设备处理持续数据流的能力,比如在收听网络音频、观看网络视频的时候,都要进行持续不断的数据传输,测试结果越高,表示用户在进行这类应用时,遇到间断的可能就越小。
QCheck测试界面
正如移动电话已成为固定电话的有力补充一样,无线网络也以其灵活便利的接入方式博得了众多移动用户的青睐。毋庸置疑,无线网络在远程接入、移动接入和临时接入中都拥有无与伦比的巨大优势,随着无线网络设备价格的平民化,无线网络的实际应用也就越来越多。有理由相信,未来两三年时间内将是无线网络蓬勃发展的大好时机。
无线网络概述
所谓无线网络,是指无需布线即可实现计算机互连的网络。无线网络的适用范围非常广泛,不客气的说,凡是可以通过布线而建立网络的环境和行业,无线网络也同样能够搭建,而通过传统布线无法解决的环境或行业,却正是无线网络大显身手的地方了。千万不要以为无线网络的保密性太差,恰恰相反,其保密性能比双绞线要安全得多。
一、无线局域网应用
与有线局域网相比,无线局域网的应用范围更加广泛,而且开发运营成本低、时间短,投资回报快,易扩展,受自然环境、地形及灾害影响小,组网灵活快捷。无线局域网主要应用在以下几个方面:
固定网络间的无线连接
如果您设计和施工的局域网络都在自己所属的范围内,那一切可就轻松多了。如果碰巧您不得不跨越马路,或者甚至两个局域网络间的距离较远,恐怕就要叫苦不迭了。如果必须得在被公路分隔开的两座建筑物之间布线,那么,除了事先要征得市政部门和城建部门的同意外,还必须进行勘测、挖掘管道、重新铺路,真能把您忙个四脚朝天,这哪儿是布线呀,简直就是修路。其实这还是好的,如果两个网络之间相隔几公里或十几公里(对于某些新合并的高校而言,这可不是什么新鲜事),就更惨了。由于所跨越的均为公共区域,因此,不可能被准许架设自己的线路,有这种特权的在我国目前只有两家,即电信和电力。所以,只能租用人家的电杆挂线,费用吗,不用我说您也知道,反正一般的单位是根本无力承受的。当然,除了租用电杆之外,也可以考虑租用电信局的线路,但每月所支付的费用同样惊人。而使用无线网络,无论建筑物是只隔一条街道还是距离十几公里甚至几十公里,都可以在几个小时之内以非常低廉的成本实现11Mbps的网络连接,而且除了设备投资外,无需再支付任何其他额外的费用。
移动用户接入固定网络
在局域网络中,有些人的位置其实并不是固定的。例如,在机场,装卸货物和包裹的工作人员在车上使用终端设备,通过网络来获得诸如航班信息或大门开关等信息;在校园中,身处草坪和教室的学生,通过便携式电脑在网络中查询图书和其他信息资料;市内公共汽车上,利用车上的终端设备,乘务人员实现与调度人员之间进行的行车路线和发车时间等信息的交换;在单位内部,乘坐交通工具的工作人员(或交通工具本身)或需要经常移动的用户,必须连续地存取网络数据,等等。利用无线网络,可以很好地将这些移动用户连接到固定的局域网络,从而实现无线与有线的无缝集成。
例如,学校为师生员工提供了诸如图书馆和数据中心等服务设施,然而,人们只能在有网络接入的地方才能够使用它们。如果学校提供了无线网络服务,那么,学生和员工就可使用了配有无线网卡的便携式计算机,在学校的任何时间、任何地点使用校园提供的所有服务,很方便地建立虚拟教室和调研项目。另外,在每个教室、实验室、图书馆等公共场所都铺设足够多的电缆、提供足够多的网络接口,以满足师生的笔记本电脑到任何地方都能接驳局域网络的需要,是一件既费力又难以办到的事。而如果通过无线网络,这简直是不费吹灰之力,既方便了师生的接入需求,又节约了大量的布线资金投入。
再如,由于电子医疗记录系统变得越来越普遍,无线网络可以为那些在医院中漫游、同时又需要存取网络数据的医生和护士提供更容易的访问方式,帮助他们及时取得数据,同时减少丢失或错误理解病人信息的事件发生,还可以通过减少笔记工作来提高工作人员的办事效率。医院还可以利用无线网络创建一个流动护理站,甚至是家庭医院,由特殊的设备采集病人信息并通过无线网络传送给医院,从而使医务人员能够及时掌握病人的病情,采取合理而必要的医疗手段,也使护士有更多的时间护理病人。
又如,货用叉车经常在巨大的仓库中、钢制船舱以及建筑工地等环境下运动,有时它们需要在室内和室外进进出出。这时对网络移动性能的要求是非常高的,使用无线网络终端可以将叉车或卡车与网络连接在一起,从而不管在何种工作环境下,都能保证通过网络指挥这些运输设备进行高效而有序地工作。
移动无线网络
在很多时候,根本不可能架设固定的网络,此时恐怕只能使用移动无线网络来解决计算机之间彼此互联的问题了。例如,在军事演习中,命令、通信以及后勤保障车辆几乎每时每刻都在移动过程中,有线网络如何架设?再如,地质勘探工作,需要非常频繁地变换办公地点,架设有线网络实在是显得太过烦琐。又如,在紧急事故现场或灾情地区,根本没有条件架设有线网络,计算机之间如何进行通讯?此时就是无线网络锋芒毕露的时候了。无线网络具有覆盖范围宽、抗干扰能力强等特点,并具有极高的安全性,因此,可以充分满足上述各种情况的要求,提供可靠的室外网络连接。
接入Internet
无线网络不仅可以用于连接局域网络,而且还可以直接连接至Internet,甚至可以借助Internet及其他公用通信网络建立自己的虚拟专网,其可提供的带宽比可达11Mbps,比T1还快。由于无线网络具有可任意移动的特点,因此,无论您在何时何处,只要附近十几公里、甚至几十公里之内有基站,那么,都可以随时随地的接入Internet,浏览信息、收发电子函件,总之,所有一切在Internet中可以做的事情您一样可以统统做。这无论是在偏僻地区,还是难以架设常规线路的区域,都是Internet接入的又一种非常好的选择。另外,由于无线网络具有非常高的完全性,因此,也是建立虚拟网络的完美的解决方案之一。
难于布线的环境
在许多环境中,或者是很难以进行传统的布线,或者是环境太过空旷,或者是建筑物内不允许布线,或者是建筑物之间必须逾越公用设施,或者是临时性的工作环境,等等。使用无线网络而根本无需布线,所以凡是难以布线的环境,无论是银行、金融、证券业、乡镇边远地区、矿业、发电厂厂区,野外水电站、大型码头、历史建筑、展览会、交易会等等,均可使用无线网络作为解决方案。
特殊项目或行业专用网
在众多的网络当中,有许多网络是专用网络,如银行数据备份网、政府财政专网、航空公司网、军队网、公安网等。目前,这些网络通常都是采用传统的通信手段,效率低、安全性差、费用高昂。如果采用无线网络,不仅可以节约每月可观的线路租赁费,而且通信速率会大大提升,交互性、抗风险能力会大大增强,安全性、稳定性也会得到大大提高。
连接较远分支机构
当公司发展到一定规模之后,总会产生(或建立或购买)许多的分支机构,而且这些分支机构彼此之间可能还会相距较远。事实上,除了公司的分支机构以外,目前业已存在着的分支机构就不少,如政府下属机关、税务总局及下属分局、银行及下属支行等等。如何连接这些分支机构呢?自己架设专线或租用专线的方式费用都太高,即使是以Internet接入实现VPN的方式花费也不会太少。因此,如果中心与分支机构之间的距离不是太远时,可以考虑采用无线网络,既节约了月租费用,又节约了线路铺设费用,还提高了网络的安全性和稳定性,实在是一举多得的好事。
科学技术监控
利用无线网络可灵活移动的特点,还可以将其用于仪器监控、城市环境监控、交通信号控制、高速公路收费站、自动数据采集和调度监控系统,随时将现场的数据信息及时反馈至控制中心和数据采集中心进行处理。
二、无线局域网组件
无线网络的硬件设备主要包括4种,即无线网卡、无线AP、无线路由和无线天线。当然,并不是所有的无线网络都需要这4种设备。事实上,只需几块无线网卡,就可以组建一个小型的对等式无线网络。当需要扩大网络规模时,或者需要将无线网络与传统的局域网连接在一起时,才需要使用无线AP。只有当实现Internet接入时,才需要无线路由。而无线天线主要用于放大信号,以接收更远距离的无线信号,从而延长无线网络的覆盖范围。
1,无线网卡
无线网卡的作用类似于以太网中的网卡,作为无线网络的接口,实现与无线网络的连接。无线网卡根据接口类型的不同,主要分为三种类型,即PCMCIA无线网卡、PCI无线网卡和USB无线网卡。
PCMCIA无线网卡(如图x-1所示)仅适用于笔记本电脑,支持热插拔,可以非常方便地实现移动式无线接入。
图x-1 PCMCIA无线网卡
PCI接口无线网卡(如图x-2所示)适用于普通的台式计算机使用。其实PCI接口的无线网卡只是在PCI转接卡上插入一块普通的PC卡。
图x-2 PCI接口无线网卡
USB接口无线网卡(如图x-3所示)适用于笔记本电脑和台式机,支持热插拨。不过,由于USB网卡对笔记本而言是个累赘,因此,USB网卡通常被用于台式机。
图x-3 USB接口无线网卡
2,无线AP
无线接入点或称无线AP(Access Point),其作用类似于以太网中的集线器。当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径。另外,也可使网络中容纳更多的网络设备。通常情况下,一个AP最多可以支持多达80台计算机的接入,当然,推荐数量为30台。
图x-4 无线AP
无线AP都拥有一个或多个以太网接口,用于无线与有线网络的连接,可以将安装双绞线网卡的计算机与安装无线网卡的计算机连接在一起,从而实现无线与有线的无缝融合。另外,借助于AP可接入固定网络的特性,还可以将分散布置在各处的无线AP利用双绞线连接在一起,实现类似于“小灵通”的无线漫游。另外,借助于AP,还可以实现若干固定网络的远程廉价连接,既无需架设光缆,也无需考虑由施工而可能带来的各种麻烦。
无线AP也通常拥有一个或多个以太网接口。如果网络中原来拥有安装双绞线网卡的计算机,可以选择多以太口无线AP,实现无线与有线的连接。否则,可只选择拥有一个以太网端口的无线AP,从而节约购置资金。
3,无线网桥
安装于室外的无线AP通常称为无线网桥(如图x-5所示),主要用于实现室外的无线漫游、无线网络的空中接力,或用于搭建点对点、点对多点的无线连接。
图x-5 无线网桥
4,无线路由器
无线路由器(如图x-6所示)事实上就是无线AP与宽带路由器的结合。借助于无线路由器,可实现无线网络中的Internet连接共享,实现ADSL、Cable Modem和小区宽带的无线共享接入。如果不购置无线路由,就必须在无线网络中设置一台代理服务器才可以实现Internet连接共享。
图x-6 无线路由器
无线路由器也通常拥有一个或多个以太网接口。如果家庭中原来拥有安装双绞线网卡的计算机,可以选择多端口无线路由器,实现无线与有线的连接,并共享Internet。否则,可只选择拥有一个以太网端口的无线路由器,从而节约购置资金。
5,无线天线
当计算机与无线AP或其他计算机相距较远时,随着信号的减弱,或者传输速率明显下降,或者根本无法实现与AP或其他计算机之间通讯,此时,就必须借助于无线天线对所接收或发送的信号进行增益。
无线天线有许多种类型,常见的有两种,一种是室内天线,一种是室外天线。室内天线主要有两种,即板状定向天线和柱状全向天线(如图x-7所示)。室外天线的类型比较多,常见的也有两种,即锅状定向天线和棒状全向天线。
图x-7 室内天线
6,其他无线产品
远程供电模块用于借助双绞线为无线网桥提供远程供电,避免传统馈线随着距离延长而导致的的信号衰减,从而便于无线网桥的布署。
图x-8 远程供电模块
无线打印共享器直接接驳于打印机的并行口,从而实现无线网络与打印机的连接,使无线网络中的计算机能够共享打印机。如图x-9所示为无线打印共享器。
图x-9 无线打印共享器
除此之外,还有无线摄像头(如图x-10所示),用于远程无线监控,等等。
图x-10 无线摄像头
三、无线局域网接入方式
目前,无线局域网的接入方式主要有以下四种:对等无线网络、独立无线网络、接入以太网的无线网络和无线漫游的无线网络。
1,对等无线网络
对等无线网络方案只使用无线网卡。因此,仅仅为每台计算机上插上无线网卡,就可以实现计算机之间的连接,构建成最简单的无线网络(如图x-11所示),它们之间可以相互直接通信。其中一台计算机可以兼作文件服务器、打印服务器和代理服务器,并通过Modem接入Internet。这样,只需使用诸如Windows 9x/Me、Windows 2000/XP等操作系统,就可以在服务器的覆盖范围内,不用使用任何电缆,实现计算机之间共享资源和Internet连接了。在该方案中,台式计算机和笔记本电脑均使用无线网卡,没有任何其他无线接入设备,是名副其实的对等无线网络。
图x-11 对等无线网络
由于无线网络的传输距离有限,而所有的计算机之间又都必须在该有效传输距离内,否则,根本无法实现彼此之间的通讯,也就是说,无线网络的有效传输距离即为该无线网络的最大直径,室内通常为30米左右。因此,对等无线网络的覆盖范围非常有限。另外,由于该方案中所有的计算机之间都共享连接带宽,而且廉价的802.11b无线产品的最高带宽只有11Mbps,所以,只适用于接入计算机数量较少,并对传输速率没有较高要求的小型网络。所以,对等无线网络方案最适用于组建小型的办公网络和家庭网络。
需要注意的是,虽然该方案可以借助于Internet接入设备,实现与Internet的连接,但却无法实现与其他以太网的连接。
2,独立无线网络
所谓独立无线网络,是指无线网络内的计算机之间构成一个独立的网络,无法实现与其他无线网络和以太网络的连接,如图x-12所示。独立无线网络使用一个无线访问点(AP,Access Point)和若干无线网卡。
图x-12 独立无线网络
独立无线网络方案与对等无线网络方案非常相似,所有的计算机中都安装有一块网卡。所不同的是,独立无线网络方案中加入了一个无线访问点(AP,Access Point)。无线访问点类似于以太网中的集线器,可以对网络信号进行放大处理,一个工作站到另外一个工作站的信号都可以经由该AP放大并进行中继。因此,拥有AP的独立无线网络的网络直径将是无线网络有效传输距离一倍,在室内通常为60米左右。
对等无线网络由唯一网络名标识。需要连接至此网络并配备所需硬件的所有设备均必须使用相同的网络名进行配置。
小知识 网络名是逻辑连接无线网络中的设备的值。该值(也称为SSID)通常被指定为公司名称或其他,用于区分与之相邻的无线网络。为了保证无线网卡在不同的AP之间漫游,需要为这些AP设置相同的网络名,否则,将无法支持漫游。同样,网卡的网络名需要设置成与AP的网络名相同,否则将无法接入网络。
只要在网络的基站的传输速率内,无线移动工作站就可以与对等无线网络保持通信。
需要注意的是,该方案仍然属于共享式接入,也就是说,虽然传输距离比对等无线网络增加了一倍,但所有计算机之间的通讯仍然共享无线网络带宽。由于带宽有限,因此,该无线网络方案仍然只能适用于小型网络(一般不超过20台计算机)。
3,接入以太网的无线网络
当无线网络用户足够多时,应当在有线网络中接入一个无线接入点(AP),从而将无线网络连接至有线网络主干。AP在无线工作站和有线主干之间起网桥的作用,实现了无线与有线的无缝集成,既允许无线工作站访问网络资源,同时又为有线网络增加了可用资源(如图x-13所示)。
图x-13 接入以太网的无线网络
该方案适用于将大量的移动用户连接至有线网络,从而以低廉的价格实现网络直径的迅速扩展,或为移动用户提供更灵活的接入方式。
4,无线漫游的无线网络
访问点作为无线基站和现有网络分布系统(网络中枢)之间的桥梁。当用户从一个位置移动到另一个位置时,以及一个无线访问点的信号变弱或访问点由于通讯量太大而拥塞时,可以连接到新的访问点,而不中断与网络的连接,与蜂窝移动电话非常相似,将多个AP各自形成的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络,访问整个网络资源。蜂窝覆盖大大扩展了单个AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。
使用无线蜂窝覆盖结构具有以下优势:
增加覆盖范围,实现全场覆盖;
实现众多终端用户的负载平衡;
可以动态扩展,系统可伸缩性大;
对用户完全透明,保证覆盖场内服务无间断。
由于多个AP信号覆盖区域相互交叉重叠,因此,各个AP覆盖区域所占频道之间必须遵守一定的规范,邻近的相同频道之间不能相互覆盖,否则会造成AP在信号传输时的相互干扰,从而降低AP的工作效率。在可用的11个频道中,仅有三个频道是完全不覆盖的,他们分别是频道1、频道6和频道11,利用这些频道作为多蜂窝覆盖是最合适的(如图x-14所示)。
图x-14 无线漫游的无线网络
由于无线蜂窝覆盖技术的漫游特性,使其成为应用最广泛的无线覆盖方案,适合在学校、仓库、机场、医院、办公室、会展中心等不便于布线的环境使用,快速简便地建立起区域内的无线网络,用户可以在区域内的任何地点进行网络漫游,从而解决了有线网络无法解决的问题,为用户带来了最大的便利。
四、IEEE 802.11和802.16a标准
IEEE 802.11标准是IEEE制定的无线局域网标准,主要是对网络的物理层(PH)和媒质访问控制层(MAC)进行了规定。目前,已经产品化的无线网络标准主要有3种,即802.11b、802.11g和802.11a。
IEEE802.11b工作于2.4GHz,支持最高11 Mbps的传输带宽。传输速率可因环境干扰或传输距离而变化,在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps之间切换,而且在2 Mbps、1 Mbps速率时与IEEE802.11兼容。室内通讯距离约为30~50米,信号传输不受墙壁的阻挡。IEEE 802.11b产品是目前技术最为成熟、价格也最为低廉、应用最为广泛的普及型产品。目前,借助于先进的调制解调技术,IEEE802.11b产品完全可以提供高达22Mbps和44Mbps的传输速率,成为无线产品市场的新宠。
IEEE802.11b+是一个非正式的标准,称为增强型IEEE802.11b,与IEEE802.11b完全兼容,只是采用了特殊的数据调制技术,所以,能够实现高达22Mbps的通讯速率,比IEEE802.11b标准快一倍!同时,由于IEEE802.11b+产品在价格上与IEEE802.11b相差无几,因此,具有很好的市场前景。
IEEE802.11a工作于5GHz,最高传输带宽可高达54Mbps,基本满足了现行局域网绝大多数应用的速度要求,而且采用了更为严密的算法。由于IEEE802.11b与IEEE802.11a工作的频带不同,因此,两种标准的产品无法兼容。同时,IEEE802.11a芯片价格过于昂贵,所以,在IEEE802.11g面前,IEEE802.11a显得缺乏竞争力。
IEEE802.11g也工作于2.4GHz的频带,最高传输带宽也高达54Mbps。由于该标准与IEEE 802.11b同工作于2.4GHz频带,所以,两者可以相互兼容,可与原有的IEEE802.11b产品实现正常通讯。虽然在价格上与IEEE802.11a相差无几,但由于能够与现有的802.11b充分兼容,可以有效地保护用户原有投资,因此,IEEE802.11g的前景一片光明。需要注意的是,IEEE 802.11b与IEEE 802.11g必须借助于无线AP才能进行通讯,如果只是单纯地将IEEE 802.11g和IEEE 802.11b混合在一起,彼此之间将无法联络。
IEEE802.16a标准是IEEE 802.16规范的扩展,运行于2GHz到11GHz频谱之上。它的特性表现在以下几个方面:传送距离高达31英里(50公里);使用的频率为2GHz到11GHz;每区段最大数据速率是每扇区70Mbps;每个基站最多6个扇区;服务质量支持不同的服务等级。此外,还可以支持话音和视频。如果说IEEE802.11产品只是一部无绳电话或小灵通,那么,IEEE802.16产品才是真正的移动电话。由于IEEE802.11的传输距离非常有限,所以,业内人士都戏称IEEE802.11为无绳网络,也就是说,只有IEEE802.16才能真正带我们走进无线网络时代。
五、Wi-Fi与WiMAX
喜欢音响的朋友对“Hi-Fi”(High-Fidelity)都非常熟悉,凡是贴有“Hi-Fi”标志的产品都能保证其“高保真”音效。然而,最近一段时间,在网上越来越多地看到的却是“Wi-Fi”,有些朋友不免诧异,“Hi-Fi与Wi-Fi”是什么关系呢?事实上,两者是风马牛不相及的,类似于松花江与松花蛋的关系。
1,Wi-Fi
Wi-Fi(Wireless Fidelity)是无线保证联盟的缩写。Wi-Fi联盟是一个非盈利的国际贸易组织,主要工作就是测试那些基于IEEE802.11(包括IEEE 802.11b、IEEE 802.11a和802.11g)标准的无线设备,以确保Wi-Fi产品的互操作性。Wi-Fi认证的意义在于,只要是经过Wi-Fi认证的产品,就能够在家、办公室、公司、校园网,或者在机场、旅馆、咖啡店及其它公众场所里,到处链接、随处上网。Wi-Fi认证商标作为唯一的保障,说明该产品符合严谨互操作性的测试,并保证它能和不同厂的产品互相操作。也就是说,只要我们购买的无线设备有Wi-Fi认证商标,就可以保证我们购买的无线设备能够融入其他无线网络,也可以保证其他无线设备能够融入我我们的无线网络,实现彼此之间的互连互通。Wi-Fi认证=无线互连保证!
既然通过Wi-Fi认证的无线LAN产品能够确保相互之间的连接性,所以,用户无需再像以前那样必须购买同一厂商的产品,这样,既可以有效地保障以前的投资和网络扩展的需要,同时,又有利于厂商间价格的竞争。有理由相信,在可预见的3~5年内,无线产品在价格上将非常接近现有的以太网络产品。
2,WiMAX
如果将Wi-Fi看做是老百姓能娶进家门的小家碧玉,那么,WiMAX就是大家无福消受的大家闺秀了。WiMAX(World Interoperability for Microwave Access)特指IEEE802.16a标准,是IEEE于今年1月制定的标准,用于解决无线MAN(城域网)和宽带接入“最后一公里”的问题。
WiMAX相当于无线LAN IEEE802.11的Wi-Fi联盟,其目标是促进IEEE802.16的应用,工作包括产品认证和相互连接的确保等。WiMAX主席宣称IEEE802.16a为“仅次于CATV和DSL线路的第三大宽带线路”。目前,业界芯片制造巨头英特尔公司正在开发支持高速无线通信标准IEEE802.16a的芯片组。芯片组最初将用于商用基站和接入点,今后有可能推出面向个人消费者接入点的芯片组。待便携终端规格IEEE802.16e标准出台后,还准备在面向便携个人电脑的“迅驰”相关产品中提供支持。专家估计,采用IEEE802.16a的产品目标价格方面,“基站约1万美元,用户终端为300美元”。有分析说,因为WiMAX论坛计划于2004年底开始进行兼容性测试,并于2005年进入普及期。
无线网络搭建方案
家庭无线网络方案
无线路由器方案
所谓无线路由器方案,是指采用无线路由器作为集线设备,实现计算机之间的无线连接,并共享Internet接入。该无线方案的拓朴结构如图y-1所示。
图y-1 无线路由器方案
该无线组网方案的特点如下:
移动灵活。每台计算机只需安装一块无线网卡,无论在卧室、客厅、阳台还是其他地方,均可随时随地接入家庭无线网络,实现与其他计算机的通讯,并借助无线路由实现Internet连接共享。
无需布线。由于计算机与无线路由之间采用微波进行通讯,因此,无线家庭网络无需实施网络布线,既不会破坏原有的装修风格,又可节约布线投入。
兼容有线。无线路由拥有LAN接口,因此,除了可以无线连接外,还兼容有线的以太网络,实现传统以太网与无线网络的通讯,并共享文件、打印和Internet连接。
方便共享。只要无线路由处于开机状态,就可以实现Internet连接共享,并实现与处于开机状态的计算机之间的资源和文件共享。经过设置,无线路由可以在客户机访问自动创建Internet连接,并经过一段时间的空闲后自动切断,从而节约Internet接入费用。
全面覆盖。在相对封闭的室内,无线路由器的有效覆盖半径大致为20~30米,几乎所有住宅都会处于该有效覆盖区域,因此,在家庭的每个角落都能获得良好的无线信号。
该方案适用于以下情形:
ADSL接入。ADSL Modem必须采用RJ-45接口,并且不具有路由功能或者采用了桥接方式。 l 住宅小区LAN方式接入。
,ADSL路由+无线AP”方案
所谓“ADSL路由+无线AP”方案,是指以ADSL方式接入Internet,ADSL Modem拥有并启用了路由功能,采用无线接入点(Access Point,AP)作为集线设备,实现计算机之间的无线通讯,并共享Internet接入。该无线方案的拓朴结构如图y-2所示。
图y-2,ADSL路由+无线AP”方案
该无线组网方案的特点与无线路由器方案非常相似,不同之处在于,该方案采用不具有路由功能的无线AP,从而降低设备购置费用。需要注意的是,ADSL Modem的路由和网络安全功能较差。
该方案仅适用于ADSL接入方式,并且ADSL Modem必须具有路由功能,不适用于Cable Modem和住宅小区LAN接入方式。
,代理服务器+无线AP”方案
所谓“代理服务器+无线AP”方案,是指以无线AP作为集线设备,实现计算机之间的无线通讯,并借助代理服务器实现Internet连接共享。该无线方案的拓朴结构如图y-3所示。
图y-3,代理服务器+无线AP”方案
该无线组网方案的优点是兼容有线、无需布线和全面覆盖。其缺点如下:
依赖代理服务器。只有代理服务器处于开机状态时,才能实现Internet连接共享。由于计算机硬件和软件故障都难以避免,由系统瘫痪而导致的Internet中断也就难以预料。
造成资源浪费。由于代理服务器必须长期处于开机状态,既会耗费大量电能,又会加速计算机硬件损坏。
代理服务器无法移动。尽管无线客户端可以在住宅内的任何位置漫游,但是,由于代理服务器必须与ADSL Modm或其他Internet接入设备连接,所以,代理服务器不能像其他客户端一样自由移动。
该无线无线路由器方案完全相同。由于Internet设备与计算机直接连接,所以,RJ-45接口或USB接口的设备均可使用。不过,当连接RJ-45接口的Modem时,代理服务器必须安装一块10/100Mbps以太网卡。
,代理服务器+对等网络”方案
所谓“代理服务器+对等网络”方案,是指两台或多台计算机使用无线网卡搭建对等无线网络,实现计算机之间的无线通讯,并借助代理服务器实现Internet连接共享。该无线方案的拓朴结构如图y-4所示。
图y-4 双机无线直连方案方案
如果家里原来就拥有一台台式机,并且已经连接至Internet,现在公司又发了一台笔记本电脑。那么,将两台计算机连接在一起,并实现Internet连接的方式有许多种。有线组网方式姑且不谈,仅无线搭建方式就有若干选择,即无线路由器方案、无线AP方案和无线对等网络方案。对于家庭网络而言,无线对等网络无疑是最具性价比的选择。
该无线组网方案的优点是兼容有线、无需布线和全面覆盖。
价格便宜。该无需购置昂贵的无线宽带路由器或无线AP,只需为每台计算机购置一块无线网卡,即可实现彼此之间的无线连接。如果笔记本内置有迅驰技术(又有哪台新笔记本不支持迅驰功能呢?),那么,全部投入将只是再为台式机购买一块无线网卡,区区150元而已。
速度快捷。IEEE 802.11b标准所提供的传输速率为11Mbps,而IEEE 802.11b+所提供的传输速率则为22Mbps或44Mbps。IEEE 802.11g的传输速率高达54Mbps,增强技术产品甚至达到了108Mbps。由此可见,无线速率一点儿也不比以太网和快速以太网的10Mbps和100Mbps逊色。另外,ADSL的下行速率大致为512Kbps或1Mbps,并且随着与局方距离的增加而不断降低。小区宽带的接入速率通常也不超过10Mbps,因此,只要Internet连接没有问题,无线网络安全可以支持在线视频点播。
无需布线。由于采用无线方式实现计算机之间的连接,因此,无需考虑网络布线的问题,即可节约投资,又不会破坏原有的装修。
其缺点如下:
依赖代理服务器。只有代理服务器处于开机状态时,才能实现Internet连接共享。由于计算机硬件和软件故障都难以避免,由系统瘫痪而导致的Internet中断也就难以预料。另外,由于代理服务器必须长期处于开机状态,既会耗费大量电能,又会加速计算机硬件损坏。
代理服务器无法移动。尽管无线客户端可以在住宅内的任何位置漫游,但是,由于代理服务器必须与ADSL Modem或其他Internet接入设备连接,所以,代理服务器不能像其他客户端一样自由移动。
无线信号覆盖有限。由于无线信号在封闭空间的有效传输距离为20~30米,因此,要求计算机之间的距离必须在这个范围之内,否则,将无法实现无线网络间的通讯。因为代理服务器无法移动,于是,也就在某种程度上限制了无线客户端的自由。不过,这个距离对于家庭而言,已经是绰绰有余了。
该无线组网方案几乎具有“代理服务器+无线AP”方案的所有优缺点,只有一点例外,那就是不能实现无线信号的全面覆盖。由于无线信号在封闭空间的有效传输距离为20~30米,因此,要求计算机之间的距离必须在这个范围之内,否则,将无法实现无线网络间的通讯。因为代理服务器无法移动,于是,也就在某种程度上限制了无线客户端的自由。
该无线组网方案的适用范围与“代理服务器+无线AP”方案完全相同。
小型企业无线网络方案
,无线AP+宽带路由器”方案
该无线方案为纯无线接入方案,根据办公场所的面积和分布情况,安装多个无线AP,实现无线信号的全部覆盖,并分别设置不同的频道,实现用户在整个企业的无线网络漫游。所有无线AP均使用双绞线连接至宽带路由器,实现无线AP之间的相互连接,并实现Internet连接共享。该无线方案的拓朴结构如图y-10所示。
图y-10,无线AP+宽带路由器”方案
该无线方案的特点如下:
灵活接入。由于无线信号将覆盖公司的每一个角落,所以,用户只需安装一块无线网卡,即可接入公司网络,实现与其他用户和公司服务器的通讯,共享网络资源和Internet连接。
扩充简单。由于无需使用网线和信息插座,所以,随时可以容纳新加入的用户,网络扩展变得十分简单。如果网络规模足够大,无线AP的数量足够多时,可以将无线AP连接至交换机,然后,再级联至宽带路由器,从而进一步扩展无线网络的覆盖范围。
无线漫游。将无线AP设置为互不相邻的频道后,无线用户可以实现在网络内的无线漫游,既不必重新设置网络连接,也不必担心无线信号中断,从而随时保持与公司网络的连接。
兼容有线。宽带路由器通常拥有4个LAN端口,除了可用于连接无线AP外,还可直接连接计算机或交换机,从而实现无线网络与有线网络的兼容与通讯。
Internet接入稳定。由于宽带路由器始终处于工作状态,所以,企业网络中的用户可以随时根据需要接入Internet。同时,通过对宽带路由器内部和外部防火墙的设置,可以有效保护无线网络的安全。
该无线方案适用于以下情况:
网络通讯量不是很大,而且绝大多数用户都对移动办公有较高的要求(如笔记本电脑),或者需要频繁接入或离开网络(如公司售前和售后人员)。
支持ADSL接入。ADSL Modem必须采用RJ-45端口,并且采用桥接方式。
支持光纤或小区LAN接入。当采用光纤接入方式时,必须使用光电转发器实现光与电的转换。
需要注意的是,通常情况下,SOHO路由器可容纳的计算机数量为10~20台。因此,当无线网络规模较大,拥有的计算机数量较多时,应当选用性能较高的宽带路由器(如网吧专用宽带路由器),而不要再使用普通的SOHO路由器。
,交换机+无线路由器”方案
该无线方案为无线与有线混合接入方案,适用于规模较小、对移动办公有一定需求的小型办公网络。由于无线路由器既可无线网卡提供WLAN接入,又拥有4个以太网LAN接口,实现与计算机、交换机和集线器的连接,从而实现无线与有线的融合。同时,由于无线路由具有宽带路由的功能,所以,也可为整个办公网络提供Internet连接共享。“交换机+无线路由器”方案的拓朴结构如图y-11所示。
图y-11,交换机+无线路由器”方案
该无线方案具有以下特点:
兼容有线和无线。该方案同时兼容无线网络与有线网络,实现以太网与无线局域网的相互通讯,保护原有的以太网投资。不过,由于无线路由器的无线接入性能有限,通常支持的无线用户不会多于20~30人,所以,该方案是以以太网接入为主,无线接入为辅的。换言之,无线只是作为有线的重要补充。
无线覆盖有限。由于只有无线路由器提供无线接入方式,而无线网络在室内的覆盖半径只有20~30米,所以,该方案的无线覆盖范围非常有限。因此,无线接入应当只被应用于最需要移动接入的地方。
无线扩展潜力。若欲实现扩展无线网络覆盖范围,可以将无线AP直接连接至无线路由器的LAN端口,并将无线AP与无线路由设置在不同的信道。
路由功能有限。由于无线路由所能容纳的用户数量大多不超过30,过多的计算机数量将导致路由转发阻塞,甚至导致系统瘫痪。所以,受路由功能的限制,该方案所能容纳的网络规模也十分有限。
该无线方案适用于以下情况:
会议室的无线接入。由于会议室内不可能安装太多的信息插座,另外,也不便让每个与会者都使用双绞线接入。采用无线作为补充接入方式,无论有多少与会者,只要安装一块无线网卡(迅驰笔记本计算机甚至内置有无线支持模块),即可实现与网络的连接。 l 人员流动频繁的办公场所。由于售前和售后的人员出差非常频繁,因此,灵活的无线网络接入方式更容易被使用。
支持ADSL接入方式(RJ-45接口的ADSL Modem)、光纤和小区LAN接入方式。
,无线AP+交换机+宽带路由器”方案
该无线方案为无线与有线混合接入方案,在许多方面与“无线AP+宽带路由器”方案非常相似。两者的不同之处在于,“无线AP+交换机+宽带路由器”方案采用交换机作为中心集线设备,更适合规模较大的办公网络,实现无线网络与有线网络的兼容,既保护了原有以太网投资,又保证了移动办公的需求。“无线AP+交换机+宽带路由器”方案的拓朴结构如图y-12所示。
图y-12,无线AP+交换机+宽带路由器”方案
该无线方案具有以下特点:
兼容无线与有线。无线AP提供WLAN接入,交换机提供LAN接入,从而实现无线与有线的相互通讯,共享各种网络资源和Internet连接。
无线漫游。由于采用交换机作为中心集线设备,因此,可以提供诸多数量的端口用于连接无线AP,为实现公司的无线覆盖和无线漫游奠定了坚实的基础。
接入灵活。由于台式计算机大多拥有内置以太网卡,且位置相对固定;笔记本电脑大多支持迅驰功能,且需要灵活移动。该方案不仅可以节约网卡的购置费用,因此,而且还很好地满足了两者不同的需求。
该无线方案适用于以下情况:
规模较大的混合网络。由于采用交换机作为中心集线设备,所以,可以支持较多数量的计算机。甚至可以通过交换机级联或堆叠的方式,成倍地扩展端口,从而容纳更多数量的台式机接入。同时,大量的LAN端口,也为无线AP和无线客户端的接入提供了可能。
需要较多无线接入的网络。由于交换机提供较多数量的端口,并且拥有较高的背板带宽,因此,可以根据需要连接多个无线AP,从而实现公司的无线信号的覆盖。当然,无线AP的数量应当根据实际需要确定,并且在需求增加时随时设置,甚至可以只在会议室或某些办公室放置1~2台无线AP,只为有特殊需求的用户和应用提供无线接入。
支持ADSL接入方式(RJ-45接口的ADSL Modem)、光纤和小区LAN接入方式。
需要注意的是,由于普通SOHO宽带路由器的性能有限,因此,当计算机数量多于30台时,应当考虑选用高性能的宽带路由器。否则,将导致Internet连接拥塞,甚至导致宽带路由器的瘫痪。
,无线AP+交换机+代理服务器”方案
该无线方案与“无线AP+交换机+宽带路由器”方案非常相似,不同之处在于该方案采用代理服务器,而前者采用宽带路由器作为Internet连接共享设备。因此,这两种方案无论是网络特点,还是适用情形都基本相同。“无线AP+交换机+代理服务器”方案的拓朴结构如图y-13所示。
图y-13,无线AP+交换机+代理服务器”方案
采用代理服务器而不是宽带路由器作为Internet连接共享设备,其优点如下:
适用更多的用户。作为高配置的计算机,代理服务器的性能远远高于普通的宽带路由器,因此,代理服务器能够为几十个甚至上百个用户提供Internet接入服务。
进行更复杂的设置。与宽带路由器相比,代理服务器的功能更强大。例如,可以设置网络防火墙、病毒防火墙,设置端口过滤和访问策略,从而使内部网络更加安全;可以设置带宽限制,记录Internet访问日志,甚至只允许特定用户访问某些Internet服务,等等。 l Internet访问更快捷。由于某些代理服务器(如WinGate、Microsoft ISA等)具有缓存功能,可以将其他用户访问的页面缓存到本地硬盘。当其他用户访问同一页面时,就如同在本地网络中访问远程服务器一样,访问不仅更加快捷,而且还减少了Internet链路的流量。
适应更多类型的Internet连接。由于计算机的接口类型比较丰富,因此,适用各种类型的Internet接入方式,如ADSL、Cable Modem、小区LAN,甚至光纤接入。
当然,采用代理服务器也有以下缺点:
价格更高。普通计算机无法适应7*24的不间断运行,因此,通常需要选用专用服务器来作为代理服务器。显然,其价格较宽带路由器要高出得多。 l 配置困难。在代理服务器上,不仅要安装和配置代理服务器服务器软件,而且还要设置网络防火墙和病毒防火墙。因此,要求管理员具有较高的技术水平。
维护困难。代理服务器必须根据需要不断地修改网络防火墙的配置,不断地下载病毒库更新文件,甚至必须不断地升级系统安全补丁。因此,服务器的维护任务非常艰巨。
运行不稳定。服务器与普通计算机一样,也会由于操作系统问题,或者其他软硬件问题而瘫痪,甚至会屡屡遭到病毒的攻击,所以,与由纯硬件构建的宽带路由器相比,代理服务器的运行不太稳定。
大中型企业无线网络方案
可供选择的办公网络无线方案有两种,即无线漫游网络方案和无线补充网络方案。
企业中无线网络的应用
在许多的环境中,实在是很难进行传统的布线,或者是环境太过空旷,或者是建筑物内不允许布线,或者是建筑物之间必须逾越公用设施,或者是临时性的工作环境,等等,而使用无线网络而根本无需布线,所以,凡是难以布线的环境,无论是银行、金融、证券业、乡镇边远地区、矿业、发电厂厂区,野外水电站、大型码头、历史建筑、展览会、交易会等等,均可使用无线网络作为解决方案。
企业分支机构间的互联
当公司发展到一定规模之后,总会产生(或建立或购买)许多的分支机构,而且这些分支机构彼此之间可能还会相距较远。事实上,除了公司的分支机构以外,目前业已存在着的分支机构就不少,如政府下属机关、税务总局及下属分局、银行及下属支行等等。如何连接这些分支机构呢?自己架设专线或租用专线的方式费用都太高,即使是以Internet接入实现VPN的方式花费也不会太少。因此,如果中心与分支机构之间的距离不是太远时,可以考虑采用无线网络,既节约了月租费用,又节约了线路铺设费用,还提高了网络的安全性和稳定性,实在是一举多得的好事。
特殊区域的网络接入
在局域网络中,有些人的位置其实并不是固定的。例如,在机场,装卸货物和包裹的工作人员在车上使用终端设备,通过网络来获得诸如航班信息或大门开关等信息;市内公共汽车上,利用车上的终端设备,乘务人员实现与调度人员之间进行的行车路线和发车时间等信息的交换;在单位内部,乘坐交通工具的工作人员(或交通工具本身)或需要经常移动的用户,必须连续地存取网络数据,等等。利用无线网络,可以很好地将这些移动用户连接到固定的局域网络,从而实现无线与有线的无缝集成。又如,货用叉车经常在巨大的仓库中、钢制船舱以及建筑工地等环境下运动,有时它们需要在室内和室外进进出出。这时对网络的移动性能的要求是非常高的。使用无线网络终端可以将叉车或卡车与网络连接在一起,从而不管在何种工作环境下,都能保证通过网络指挥这些运输设备进行高效而有序地工作。
临时或移动中的网络接入
工作中经常会有这样的需求,需要组建一个临时的计算机网络。比如说,有些项目组需要封闭开发,有些野外工作队需要对现场数据进行联网测试或计算等等。这些网络的应用一般说都是暂时的,如果只是为了一次临时应用,就投入人力物力做网络布线构建网络,显然是一种不合理的投资。采用无线局域网的解决方案,数人的开发小组和野外的工作队可以组建一个无线的局域网,达到随时随地迅速组建网络的目的,而且这种方案最好的保护了节省了投资、减少了布线所带来的麻烦。
科学技术监控
利用无线网络可灵活移动的特点,还可以将其用于仪器监控、城市环境监控、交通信号控制、高速公路收费站、自动数据采集和调度监控系统,随时将现场的数据信息及时反馈至控制中心和数据采集中心进行处理。
分布式网络无线互连方案
在搭建企业网络过程中,采用传统的光缆、电缆连接各个大楼的方案,很难适合企业的实际情况,而且费用比较贵。企业在不断发展壮大过程中,覆盖范围不断扩大。在发展过程中逐步建立起来的培训中心、物业、科研所、仓储中心、物流中心、分支机构等,位置分散,分支机构与总部的距离较远,大致在几至十几公里。如果采用传统的光缆施工,不仅施工困难,费时费力,而且有些建筑之间的连接要跨越街道,动工铺设光缆需要报批,手续很复杂,而且不易批准。另外,租赁电信部门的光缆不仅费用相当高,而且物流、仓储等机构往往处于比较偏僻的位置,电信部门一般不可能为此铺设线路。
建议采用无线网络实现总部与各分支机构的互联。原因如下:
投入少。由于只需购置少量的无线网桥,并在楼顶上架设无线天线,即可实现局域网之间的互联,因此,前期投入很少。同时,在无线网络的正常运行过程中,也不会再产生其他费用。
速度快。无线网络的施工难度少,设备安装简单,因此,只需一周左右的时间即可完成。
易维护。由于无线网络所涉及的设备很少,所以,在正常投入使用后,基本上无需进行维护。
高速率。无线网络可以达到54~108Mbps的传输速率,完全可以满足企业日常办公和数据交换的需要。
局域网之间远程互联的具体方案如下:
在处于中心区域的大楼之间采用光纤连接,每个楼顶各安装一个无线网桥,并各配一个全向天线,用于将分支机构接入集团网络。
在分支机构中相应建筑的楼顶上,也安装一个无线网桥,并根据距离不同分别安装蝶形天线或者八木天线。中心大楼与分支机构建筑物之间形成多点对多点的连接。全向天线支持11个传输通道,3个全向天线分别采用不同的无线通道(1、6和11频道),互不干扰。
无线通信采用128或256位WEP加密传输,确保无线网络安全。
无线漫游网络方案
在无线漫游网络中,当用户从一个位置移动到另一个位置时,以及一个无线AP的信号变弱或者无线AP由于通讯量太大而拥塞时,可以连接到新的无线AP,而不中断与网络的连接,这一点与移动电话非常相似。所有无线AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。多个无线AP的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。所有无线终端通过就近的无线AP接入网络,访问整个网络资源。蜂窝覆盖方式大大扩展了单个无线AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在无线AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。 无线漫游具有以下优势:
增加无线覆盖范围,实现整个楼宇的全方位覆盖,无论用户走到哪里,都处于无线网络的覆盖区域。
实现众多无线用户的负载平衡,确保每个用户都能顺利接入办公网络,不会由于个别无线AP的接入数量太多而造成拥塞。
可以动态扩展,用户可以随时接入网络,并且可以随时增加新的用户,网络系统的可伸缩性很大。
对网络用户完全透明,用户无需了解也感觉不到漫游的实现过程,并保证用户在无线覆盖范围内的网络不会间断。
需要注意的是,由于多个AP信号覆盖区域相互交叉重叠,因此,各个AP覆盖区域所占频道之间必须遵守一定的规范,邻近的相同频道之间不能相互覆盖,否则会造成AP在信号传输时的相互干扰,从而降低AP的工作效率。在可用的11个频道中,仅有三个频道是完全不覆盖的,他们分别是频道1、频道6和频道11,利用这些频道作为多蜂窝覆盖是最合适的。不过,所有无线设备必须使用同一个SSID,接入同一无线网络。否则,将无法实现无线漫游。
无线漫游办公网络的设计方案如下:
每个楼层均设置无线AP。由于无线信号几乎无法穿透楼板,而且穿透墙壁的能力很差,所以,除了必须在每个楼层都分别设置无线AP外,还应当在每一楼层中选择合适的位置放置无线AP。通常情况下,无线AP应当置于楼道内,以便于无线信号能够平均覆盖到各个房间。
利用交换机实现无线AP的互联。每2~3个楼层设置一台交换机,用于连接相应楼层的无线AP;设置一台中心交换机,用于连接各楼层的交换机。
所有的网络服务器都连接至中心交换机,避免可能产生的网络瓶颈。
无线漫游办公网络的拓朴结构如图y-15所示。
图y-15 无线漫游办公网络
无线补充网络方案
所谓无线补充网络方案,是指以原有的综合布线为基础,搭建传输的以太网络,并在需要的位置和场所(如办公室、会议室等)配备一定数量的无线AP,充分借助无线网络移动灵活和扩充方便的特点,作为有线网络的补充,弥补单纯由有线所构建的网络的缺点。无线补充网络方案的拓朴结构如图y-16所示。
图y-16 无线补充办公网络
校园网络无线方案
校园网络的无线网络应用
室内无线局域网主要针对不方便进行大规模布线或不宜布设太多信息点的建筑,如图y-书馆、办公大楼、网络教室、会议室和报告大厅等。此外,还可用于实现校园内的无线漫游,以及个别楼宇的局域网远程接入。无线局域网可以解决校园网许多令人头痛的问题,典型的应用如下:
解决信息点流动的问题。一般来说,如教室、图书馆、会议室等地方一般是不可能布设太多信息点的,但是随着学生中笔记本电脑的普及和现代化教学的普及,上述场所往往在同一时刻有大量的电脑,而目前的有线校园网没有办法使学生们在这些区域上网。采用无线方式,在有限的信息点上连接无线接入器,就可以轻松从一个信息点扩展到成百上千个信息点的应用。
解决难以布线的问题。在实验室、体育馆、礼堂等地方是不宜布线的,但校园网的用户却有上网的需求,采用无线局域网,可以简化在这些区域网络实施,提供直径近200米的无线网络覆盖,用户可以在无线所覆盖的区域移动应用。
提高教学效率。教师和学生上课时,不必再往返于图书馆、办公室、教室、宿舍,可以随意的检索图书馆的网上资料、服务器的教案、寝室电脑里的作业。同时,为用户对校园网的其他资源的应用提供了更便利的条件,提高了资源的利用率。 l 校区间的互联。随着学校的扩建或合并,越来越多的学校拥有了两个以上的校区。铺设光纤链路市政不允许,租赁电杆费用昂贵,租用光纤也是一笔不小的开支。借助无线网桥,可以实现各校区网络之间的互联,一次投资,终身免费使用,可以节约大笔开支。
实现校园区内建筑物间的高速互连。即使在在校园园区内,虽然敷设线路虽然不象在公共场所动土那般困难,但也决非易事,可以使用无线网络设备实现园区内建筑物间计算机网络的高速互联。
节约接入成本。无线接入点可以使原来的一个信息点,同时接入数十乃至数百个用户设备,布线的投资以及维护成本大大降低。
丰富课余生活。现在网络已经成为校园生活的重要组成部分,它已经把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起。随着越来越多的学生拥有了笔记本电脑,只有无线网络才能满足学生日益增长的需要,只有无线网络才能让学生们在校园中随时接入互联网。在校园中,学生不光可以在教室、实验室和宿舍上网,也可以在休息期间上网,同时在考试前夕更可以减少实验室、图书馆等可以有线上网地区的学生上网压力,改进学校的学习环境,提高学生的学习效率与成绩。 在校园网各区域分别布设无线局域网络以后,用户可以将无线网卡直接插到笔记本电脑的PCMCIA插槽,或者通过USB适配器转接插到台式机的USB接口上,只需简单的设置就可以连接到校园网上,从而实现上网功能。教师或者学生就可以在这些区域漫游使用,用户无需任何设置就可以在整个校园内连接到校园网上,从办公区到教学楼、从图书馆到宿舍都可以实现移动漫游连接互联网。
校区无线互联解决方案
校园中的建筑物,如教学楼、实验楼、宿舍楼、图书馆等,相互之间可以使用无线网桥直接连接,连接模式有户外点对点、点对多点及以上两种模式的结合。另外,相距几十公里之内的校区之间,也可采用无线互联解决方案。
点对点无线解决方案
该方案只适用于两个建筑或两个校区之间的连接。当建筑或校区之间采用光纤或双绞线等有线方式难以连接时(如中间间隔有道路、河流等,或者因相距较远铺设光纤费用太高),可采用点对点的无线连接方式。可以将每栋建筑或校区视为一个局域网络,只需在每个网段中都安装一个无线网桥,即可实现网段之间点到点连接,也可以实现有线主干的扩展。点对点无线网络的拓朴结构如图y-17所示。
图y-17 点对点无线解决方案
在点对点无线网络中,必须将其中一个无线网桥设置为“Master”(主),另一个无线网桥设置为“Slave”(从),一主一从才能实现彼此之间的通讯。为了减少无线信号的衰减,延长有效传输距离,点对点无线网络应当采用室外定向天线。
点对多点无线解决方案
该方案适用于三个或三个以上的校区或建筑之间的连接。当采用光纤或双绞线等有线方式难以连接时,可采用点对多点的无线连接方式。可以将每栋建筑或每个校园看作一个局域网络,只需在每个网段中都安装一个无线网桥,即可实现网段之间点到点连接,也可以实现有线主干的扩展。点对多点无线网络的拓朴结构如图y-18所示。
图y-18 点对多点方案
在点对多点无线网络中,必须将其中一个无线网桥设置为“Master”(主),其他无线网桥设置为“Slave”(从),一主多从才能实现彼此之间的通讯。Master必须采用全向天线,Slave则最采用定向天线,从而保证无线信号的覆盖和接收。
多点对多点无线解决方案
无线网络不仅带宽有限(目前最大带宽为104Mbps),而且由所有可用的无线连接所共享。所以,当实现多个网络之间的的无线连接时,无线网桥的带宽将成为网络传输的瓶颈。为了最大限度地保障网络之间的带宽,可以采用多点对多点的方案,即在校园网的建筑(可位于不同建筑物)上设置多个无线网桥,并采用为不同的信道,分别为不同方向的远程建筑或校区提供无线网络连接。同时,校园网络的无线网桥之间采用高速链路连接在一起,从而既实现了局域网之间的连接,又保证了足够的网络带宽。点对多点无线网络的拓朴结构如图y-19所示。
图y-19 多点对多点方案
事实上,多点对多点是点对点和点对多点网络的组合,不同之处在于多点对多点是设置了多个“Master”类型的无线网桥。需要注意的是,尽管有多个“Master”类型的无线网桥,但由于它们分处于不同的频道,因此,相互之间不会干扰。同时,“Master”无线网桥可以借助校园网光纤主干连接在一起,从而将不同建筑和校区连接成为一个统一的网络。
校园无线漫游方案
室外要实现学生能在校园中实现用笔记本随时随地地上网,就要对整个园区进行覆盖,或是对学生经常活动的区域进行覆盖。在校园内的每栋建筑上都安装一个或多个无线网桥,分别设置为不同的信道,并且使用网络主干将这些无线网桥连接在一起,即可实现整个校园的无线网络覆盖类似。需要注意的是,室外无线天线可以根据需要选用全向或定向,针对不同的区域,如操场、草坪等进行覆盖。校园无线漫游网络的拓朴结构如图y-20所示。
图y-20 无线漫游方案
除了实现室外的无线覆盖以外,还应当在教学楼、办公楼、体育馆等建筑内,安装若干无线AP,并连接至校园网主干,从而实现室内的无线覆盖。
校园的地毯式无线网络覆盖通常是通过把多个AP分散放置在整个校园,然后将每个AP通过以太网连到同一个校园网中。例如,每个AP可以通过这一层或这一栋楼的以太交换机连到有线网络上。有时候用VLAN标记把所有的无线通讯合起来当作一个大的子网来对待。另一种办法是将每一组AP通过以太网连到这栋楼的无线网桥或者交换机上。所有的网关和交换机通过有线网络连接起来。这种拓扑结构的好处是无线网桥或者交换机可以控制,监测和记录无线用户对校园局域网的访问。大多数无线网桥和交换机包括移动功能,可以使电脑从一个子网不间断地漫游到另一个子网。 需要注意的是,为了达到地毯式覆盖,所有有关的无线网桥和无线AP都有相同的SSID,并被当做是同一个WLAN的一部分。用户可以在不同的AP之间自由漫游,无论目前连接在哪一个AP上,都可以访问相同的服务器。当然,也可以设置成多个的无线局域网,每一个无线局域网有自己不同的SSID,并可能只允许某一部分用户连接。一些无线AP可以支持多个SSID,从而可以在一个物理AP上设置多个逻辑上的无线局域网。这些决定是网络设计的一部分,并反映了网络操作人员的目标。例如,大学可能会设置多个SSID,以满足教师无线局域网和学生无线局域网的需要,并在每个无线局域网应用不同的访问规则。
图书馆/报告厅无线方案
传统图书馆的阅览室和借阅室都不提供或只提供少量的网络接入,教师和学生都不能实时查询馆藏情况,如果在阅览室有资料需要记录,更是得手抄才行。要满足这些新的需求,使用有线方式就要重新进行布线,工程浩大、花费不菲,所以,最简单快捷的实现方式就是无线——WLAN接入方案。该方案具备了以下几个特点:
移动性强。无线局域网与有线局域网相比,最大优势在于它的可移动性。由于没有线缆的限制,用户可以随心所欲地增加工作站或重新配置工作站。此外,还拓宽了网络的传输范围。 l 灵活性高。无线局域网组网灵活,可以满足具体的应用和安装需要。系统结构可以是适用于小数量用户的对等网络,也可以是适用于几千名移动用户的完整的基础网络。在无线局域网中增加或减少移动主机都是相当容易的,增加无线接入点就可以增大用户数量和覆盖范围,并且允许在较大范围内进行漫游。
成本低。与有线网络相比,从长远来看,无线局域网从安装到日后的维护,都具有很大的资金优势。组建局域网的时候,不能单方面考虑购买设备的价格。在网络拓扑需要动态变化的环境中,长期费用是主要的,而无线局域网正好能减少维护管理的开销。对于经常移动、增加和变更的动态环境,无线局域网的长远投资收益更加明显。 图书馆的无线网络方案具体包括以下内容:
每个阅览室安装一个无线AP,实现室内的无线覆盖。通常情况下,一个无线AP最多可以支持多达80台计算机的接入。当然,数量为20~30台时工作站的工作状态最佳。无线AP的典型室内覆盖范围是30~100米。根据阅览室的具体大小,也可配置2个或多个无线接入点。 l 检索大厅和报告大厅内,间隔30米左右设置一个无线AP。所有无线AP形成的各自的无线信号覆盖区域进行交叉覆盖,实现各覆盖区域之间无缝连接。
所有无线AP都借助室内的网络布线,连接到图书馆主干交换机,实现与图书馆子网和校园网络的连接,形成以有线网络为基础,无线覆盖为延伸的大面积服务区域。
相邻的无线AP设置为不同的频道,推荐选择的频道为1、6和11。
所有无线终端通过就近的无线AP接入图书馆网络,并继而访问整个校园网络资源,实现Internet接入共享。
阶梯教室无线网络方案
一方面,现代教学的互动性大大增强;另一方面,教学的信息量也大大增加。在课堂上,学生不再仅仅是被动的听者,也是互动教育的参与者,学生可以用自己的资料来参与教学。同时,所有数据都可以根据需要进行共享,并在课堂上显示或演示。另外,同学们不仅可以直接在笔记本电脑中记录听课笔记,甚至可以将教师的教案拷贝到自己的计算机中,从而摆脱抄写教案的传统方式,以便更加集中精力参与教学。同时,对教室进行无线网络覆盖,还可以使师生的笔记本电脑接入到校园网或Internet,随时查找自己所需的资料。
阶梯教室方案的无线网络方案具体包括以下内容:
每间阶梯教室安装2~4个无线AP。通常情况下,只需将无线AP置于教室的中间位置,即可实现室内的无线覆盖。不过,当工作站多于30个时,无线AP的性能将迅速下降。因此,应当根据学生拥有笔记本电脑的数量,来决定安装的无线AP数量。如果目前笔记本电脑拥有量较少,可以先只安装1~2个。以后,随着无线客户拥有量的不断增加,再继续增设无线AP。
所有无线AP都借助室内的网络布线,连接到楼宇内的骨干交换机,并实现与校园网络的连接。多个无线AP通过骨干交换机相互连接,不仅可以实现无线终端对校园网络的访问,还可以实现无线AP间的负载分担,避免可能导致的网络拥塞。
无线AP可以放在天花板、墙壁等地方,遵从的原则就是视线以内并尽可能在无线用户的中心位置。只有这样,才能使无线信号发射接收强,用户无线连接质量高。
相邻的无线AP设置为不同的频道,推荐选择的频道为1、6和11。相同或相邻频道的无线信号不能相互覆盖。
为每个无线AP分配一个固定的IP,用于实现网络管理。当校园网启用DHCP服务时,无线客户可以自动获取IP地址信息,从而避免了繁琐的网络属性设置。
所有无线终端通过就近的无线AP接入校园网络,并继而访问整个校园网络资源,实现Internet接入共享。
需要注意的是,无线AP的数量与教室的面积和用户数量密切相关,应当认真考虑教学环境对网络带宽、网络速度的要求,包括覆盖频率、信道使用和吞吐量需求等。
办公/科研大楼无线网络方案
对于办公/科研大楼而言,无线网络只能作为传统以太网的补充。通常情况下,无线网络被应用于会议室、接待室和大型办公室等场所。如果确有移动办公的需要,也可以借助少量无线AP,实现整个办公大楼的无线漫游。
办公/科研大楼无线网络方案具体包括以下内容:
在会议室、接待室和大型办公室等场所分别设置1~2个无线AP,用于实现临时的校园网络接入和Internet接入。每个AP可带30个左右的用户,用户数量越多,则所安置的无线AP数量也应当越多。
在一些特殊的、不适布线的办公或应用场所,也分别设置1~2个无线AP,为办公和科研工作提供必要的网络支持。
在每层楼的楼道内的两端和中间分别布设2~3个无线AP,实现整个楼层的无线信号覆盖,用于完成整个办公楼的无线网络漫游。无线AP在室内的有效覆盖半径为20~30米,应当确保无线AP的信号能够有部分交叠,从而确保无缝漫游。
无线AP的布放位置以无线AP与无线客户端尽可能在视线以内为原则,可以放在天花板、墙壁等地方,尽可能好的覆盖无线用户使用区域。
相邻的无线AP设置为不同的频道,推荐选择的频道为1、6和11。相同或相邻频道的无线信号不能相互覆盖。
每个无线AP通过综合布线与楼宇骨干交换机相连,并级联至校园中心交换机,实现与校园网和Internet的连接。
为每个无线AP指定一个固定的IP地址,用于实现远程网络管理。当校园网启用DHCP服务时,无线客户可以自动获取IP地址信息,从而避免了繁琐的网络属性设置。
所有无线终端通过就近的无线AP接入校园网络,并继而访问整个校园网络资源,实现Internet接入共享。
需要注意的是,无线AP间间距根据各楼层的实际结构、无线节点的数量和分布情况而定。在楼道或房间中布置若干个AP,以使整个楼层需要网络节点的区域都可以被无线信号完全覆盖,能够承受较多用户同时上网的要求,而不至于使网络堵塞或者瘫痪。
寝室网无线方案
寝室网无线接入方案
尽管拥有台式机和笔记本电脑的学生越来越多,但是,学生宿舍往往只提供1~2个信息接口。如果重新实施布线,不仅花费不菲,而且连接非常不便。特别是对于笔记本电脑而言,由于频繁地出入教室、宿舍和图书馆,不断地插拔网线,不仅非常麻烦,而且还容易导致网卡接口的损坏。尤其是拥有迅驰功能笔记本,原本就内置并支持移动技术,因此,也就更显得不胜其烦。所以,无线方式是最便捷、节约的方式。
寝室网无线接入方案具体内容如下:
寝室内安装一台无线AP或无线路由。如果校园网采用“用户名+密码”认证机制,并采用流量计费方式,建议选择采用无线AP,仅仅用于实现校园网的无线接入;如果校园网采用固定费用计费方式,建议选择无线路由,从而使用一个IP地址实现多计算机的共享接入。
无线AP的网络接口(或无线路由的WAN端口)连接至寝室网的信息插座,实现与校园网的连接。
笔记本电脑安装PCMCIA网卡,台式机安装USB网卡。支持迅驰功能的笔记本可不再另外安装无线网卡,但是,接入速率会受到影响。无线路由器的4个LAN端口可以连接寝室内的台式机,实现有线与无线的互联。
建议采用IEEE 802.11g产品。由于寝室网的应用较为丰富,因此,无线网络必须保证足够的网速。否则,用户除了浏览和聊天以外什么也做不了。所以,宿舍无线组网首选IEEE 802.11g产品,高达54/108Mbps的传输速率,可以使所有用户尽情享受视频影视、在线游戏等大数据流量的网络服务和Internet服务。
无线网卡和无线AP必须采用同一标准、甚至是同一厂家的产品,以确保相互之间的兼容性,取得最好的通信效果,并实现对无线网络的安全管理。
为了避免非授权用户接入无线网络,可以在无线AP上设置MAC地址过滤,并设置SSID拒绝其他用户访问。
寝室网无线接入的拓朴结构如图y-21所示。该方式最便于实现无线AP的校园网接入,并且可以为相邻7~10左右的寝室提供无线接入。由于无线AP所能容纳的客户端数量有限(通常不多于20~30个),所以,应当对非授权用户的无线接入作必要的限制。
图y-21 寝室网无线接入拓朴结构
寝室网Internet无线共享方案
如果寝室网没有接入校园网络,而是采用ADSL方式直接接入Internet,则可以采用无线路由组建无线网络,实现寝室计算机的无线连接和Internet共享。
寝室内安装一台无线路由,WAN端口连接至ADSL Modem,实现客户端的无线互联和Internet连接共享。
无线路由器的LAN端口可用于直接连接台式机的以太网卡,实现有线与无线的互联,使网络连接更加灵活,并充分利用现有的网络资源。
笔记本电脑安装PCMCIA网卡,台式机安装USB网卡。支持迅驰功能的笔记本可不再另外安装无线网卡。 l 建议采用IEEE 802.11b标准的产品。由于ADSL的接入速率通常为1Mbps,所以,相对而言,该标准所提供的11~44Mbps传输速率已经绰绰有余了。同时,该标准的产品价格更便宜、技术更成熟、更具性价比。
无线网卡和无线AP必须采用同一标准、甚至是同一厂家的产品,以确保相互之间的兼容性,取得最好的通信效果,并实现对无线网络的安全管理。
为了避免非授权用户接入无线网络,可以在无线AP上设置MAC地址过滤,并设置SSID拒绝其他用户访问。
无线网络的搭建
不少读者都存在这样的误区,以为无线网络的搭建,是只有专业技术人员才能够胜任的工作。其实,只要掌握一些最基本的理论和操作,即使是Diyer也完全可以自己动手组建无线网络。
一、无线网络设备的选购
1,无线设备的选购
选择无线局域网(WLAN)产品,应该主要从性能稳定、安全可靠、使用方便、性价比高等角度来考虑。
品牌
用户应该尽量选择名牌大厂的产品,由规模较大厂商提供的产品,会采用名牌正品无线芯片和电子元件,质量可靠,性能稳定。某些无名小厂大量采用低档甚至残次无线芯片,其结果就是AP的功率过大或过小。功率过小,则无线网络的信号覆盖范围和传输稳定性较差,功率过大,则会对人体产生不利的影响。国际标准综合考虑了在对人体无害基础上信号最强的功率为100毫瓦,即20个DB,AP的功率越接近这个数值则越好。还需强调的是,厂商或是销售渠道提供的良好售后服务也将是用户放心使用WLAN产品的一个保障。
数据传输速度
目前,几乎所有WLAN产品的数据传输速度都能达到11~108Mbps。但是,有一点需要注意,那就是标称的速率和实际使用起来得到的速率可能会有差距,因为它除了受所处环境因素影响外,还受产品质量的影响。通常情况下,传输距离越远、干扰越大、产品质量越差,传输速率越低。
产品性能
AP的网络位置大致等同于接入交换机,所以它同时接入的最大用户数以及数据的转发时延是重要的指标参数。质量较好的AP可以做到近似忽略的时延以及30个以上并发用户的使用。
安全可靠
安全可靠除了包含对人体无害、链路传输稳定之外,最主要的含义就是数据的安全性了。但不同的厂商所提供的数据加密技术和安全解决方案不尽相同,这一点在选购时要特别注意。
最初的无线安全解决方案是使用加密的手段来防范恶意攻击,而加密位数越多,对计算机资源的消耗也就越大。用户为了可能的攻击而承受着每时每刻电脑速度的急剧下降,而黑客却可以很轻松地调用N台计算机来进行解密攻击,所以加密的手段已不是安全防范的理想解决方案。继加密之后,SSID隐藏作为一种简单高效的安全防范措施已经成为安全防范的主流解决方案。此外,MAC地址过滤也是目前常用的小规模网络高效率安全解决方案。对于802.1x认证,比较适合于大规模的网络,其认证报文发起的客户端软件以及认证的数据查询软件的复杂性,使其在小规模网络中的应用得不偿失。
此外,有的产品采用无线通信与IP路由相结合的方式,通过在无线信道上利用IP的过滤、VPN等安全措施,保证无线接入和网络安全。有的产品还采用先进的Stateful Packet Inspection防火墙技术,可以防护DoS攻击,还可以对可能会出现问题的E-mail发出警告通知,这些措施都在不同层次保护用户的安全使用。
在这里要建议的是,用户在购买WLAN产品时最好不要单独购买而要整套购买,这样不但可以避免兼容性问题,而且设备的性能会发挥得更为出色,安全的解决方案也会更加完美。
管理与易用性
WLAN产品作为一个网络设备,自然需要相应的设备设置。对有些WLAN产品的安装维护比较复杂,没有专业的技术人员就很难完成驱动及其它方面的安装,而有些WLAN产品的安装维护却比较简单,这一点用户在购买时要特别注意。对于一些易用性不好的产品,即使经销商答应你帮你安装调试好,也尽量不要购买,因为这样会给以后的维护带来很多的麻烦。当然,对于有专业计算机技术人员的一些大型企业来说,易用性并不是很大的问题,但对于一些诸如只有十多个人的小型公司或家庭用户来说,就不得不认真考虑这个问题了。
天线是否可拆卸
天线的可拆卸,这样便于用户更换增益天线。AP受电源和网线长度所限,AP不一定处于信号发射的最有利位置,这时可以考虑在AP上换装形态各异的增益天线,一来增加了室内的整体美感,二来增强了信号的有效覆盖范围。
价格与选择
从价位来说,虽然WLAN产品经过不断的价格调整,但是目前的价格仍有高达几千元的,也有几百元的。一般来说,千元以上的产品,适合于大企业,几百元的符合小企业和SOHO一族,一百元左右的一般适合于家庭使用。
2,无线套件选购方案
所谓无线套件,往往是一块无线网卡与一台无线AP的组合。之所以推荐选择套件,是因为厂商往往会对套件采用一种特殊优惠的销售策略,因此,价格会更便宜、更划算。当然,若欲组建家庭无线网络,仅有一套套件是不够的,因为毕竟只有一块网卡,所以,还必须根据计算机的类型另行购置一块同型号的无线网卡。
在选购套件时,我们应当注意考察以下几个方面的参数:
认证
为了保证无线网络设备之间的兼容性,设备上应当贴有Wi-Fi认证标识。Wi-Fi(Wireless Fidelity)是无线保证联盟的缩写。Wi-Fi联盟是一个非盈利国际组织,主要工作就是测试基于IEEE802.11标准的无线设备,以确保Wi-Fi产品的互操作性。也就是说,只要有Wi-Fi认证商标,就可以保证我们购买的无线设备能够融入其他无线网络,也可以保证其他无线设备能够融入我我们的无线网络,实现彼此之间的互连互通。Wi-Fi认证=无线互连保证!
标准
IEEE 802.11主要包括3种标准,即IEEE 802.11b、IEEE 802.11a和IEEE 802.11g,不同标准之间的设备无法实现相互通讯。尽管IEEE 802.11g和IEEE 802.11b兼容,但必须借助于无线AP才能实现。因此,应当选择采用同一标准的设备。否则,有可能导致在家里还好端端的无线网卡,却无法接入单位的无线办公网络,或者相反。
速率
尽管IEEE 802.11b的标准带宽只有11Mbps,但是,由于PBCC调制技术的采用,最新产品已可提供高达22Mbps、甚至44Mbps。显然,带宽的增加会使数据传输变得更快捷,更适于多媒体数据的传输,更适于各种类型的网络应用。因此,在价格大致相同的情况下,建议选择传输速率更高的产品。
距离
无线网络的有效覆盖直径在室内为20~30米,室外为200~300米。毫无疑问,无线覆盖范围越大,用户就可以离无线AP越远,移动空间也就越大,也就更能随心所欲地选择接入位置。采用新技术后,室内有效距离为120米,室外为350米。既然技术条件已经允许,为什么不给自己更大的自由呢?
安全
如果不采取有效的安全措施,那么,只要处于无线AP覆盖范围之内,任何无线客户端都可以加入到无线网络,想一想是不是觉得有些可怕?就好像一家人说悄悄时,却有一双看不见的耳朵在偷听一样。因此,对传输的数据进行加密就显得尤其重要。虽然WEP加密已经高达256位,但是,加密传输对速率和计算机性能都会有所损害,所以,对于家庭而言,128位的WEP就已经够了。当然,如果无线AP能够支持MAC地址过滤就更好了,这样,就可以彻底拒绝未经授权的无线网卡的加入。
功能
许多无线AP都拥有4种工作模式,即AP、AP Client、Wireless Bridge、Multiple Bridge,以适应大型的复杂网络结构,实现无线网络漫游。另外,有一些无线AP还支持DHCP服务,可以为无线客户端自动分配IP地址。当然,对于家庭用户而言,太多的功能并没有什么实际意义,所以,对没有必要过多地去追求功能,只要够用、好用、实用就好了。
3,选购时应当考虑的问题
在选购时还应当考虑以下几个方面的问题:
AP还是路由
虽然大量的套件都是“无线AP+无线网卡”,但是,“无线路由+无线网卡”更适合家庭用户。很显然,对于家庭用户而言,共享Internet连接是必不可少的应用之一。如果采用无线AP,必须有一台计算机作为代理服务器,而且只有当代理服务器处于开机状态时,其他计算机才能实现Internet连接共享。如果采用无线路由(,那么,任何计算机都可以随时连接至Internet,而不受其他计算机的影响。也就是说,采用无线路由才会享有更多的灵活性,才更符合自由的无线精神。
USB还是PCI
由于PC卡支持热插拔,且采用32位总线连接,所以,笔记本的选择相对简单。对于台式机而言,USB接口和PCI接口都还不错,应当选择哪种接口呢?虽然USB似乎拥有更多的优越性,如支持热插拨、安装方便,但是,笔者更推荐选择PCI接口。原因很简单,除Windows XP外,其他Windows操作系统对USB的支持不太好,经常莫名其妙地丢失设备或中断网络连接。
性价比
11Mbps、22Mbps与44Mbps产品的价格已经非常接近,考虑到网络应用的不断丰富,以及对网络传输速率要求的不断提高,笔者认为22Mbps和44Mbps不仅代表着无线网络的发展方向,而且产品更具性价比。所以,除非资金特别紧张,建议大家购置22Mbps或44Mbps的产品。
4,无线天线的选择
无论是无线网卡、无线AP还是无线路由,都内置有无线天线。因此,当传输距离较近时,无需安装外置的无线天线。然而,当在室内传输距离超出20~30米,室外超出50~100米时,就必须考虑为无线AP或无线网卡安装外置天线,以增强无线信号的强度,延伸无线网络的覆盖范围。
天线的品种比较多,以分别适应不同频率、不同用途、不同场合、不同要求等不同情况,因此,在选购天线时,应当注意以下几个因素:
无线标准
目前,可用的无线网络的标准主要有3个,即IEEE 802.11b、IEEE 802.11g和IEEE 802.11a。其中,IEEE 802.11b、IEEE 802.11g工作于2.4GHz,而IEEE 802.11a工作于5GHz。无线产品应当使用与其执行标准相对应的无线天线。
应用环境
当需要远距离通讯时,有些无线AP和无线路由的天线位于室内,而有些则位于室内,因此,应当根据需要选择适用于不同环境的室内天线(如图x-1所示)或室外天线(如图x-2所示)。需要注意的是,室内天线没有做过防水和防雷击处理,因此,绝对不可以用于室外。
图x-1 室内天线 图x-2 室外天线
覆盖范围
当需要远距离传输时,应当选择大增益的天线,而对于传输距离较近的无线网络而言,可以选择小增益天线。通常情况下,大增益天线适合远距离传输,而小增益天线则适合做网络漫游等需要大覆盖范围的应用。增益的大小使用dBi表示,室内天线大多为4~5dBi,室外天线大多为8.5~14dBi。
连接设备
定向天线(图x-3)的方向性很强,可以将信号集中发送至一个方向或从一个方向接收。全向天线(图x-4)则全方位发送或接收无线信号,尽管可以覆盖所有区域,但是,每个方向的信号都比较弱。所以,通常情况下,无线AP和无线路由应当选择全向天线,而无线网卡则采用定向天线。
图x-3 定向天线 图x-4 全向天线
网络类型
对于对等网络而言,所有无线网卡都应当采用全向天线。如果无线网络中只有两块无线网卡,那么,自然也应当全部采用定向天线。
对于接入点网络而言,由于无线AP或无线路由需要为无线网络内所有的无线网卡提供无线连接,因此,应当选择全向天线。而作为无线网卡而言,由于只是需要与无线AP或无线路由进行通讯,所以,应当选择定向天线。
对于无线漫游网络而言,无线AP和无线网卡都应当采用全向天线。
对于点对点无线网络而言,作为无线AP都应当使用定向天线。对于点对多点无线网络而言,除了中心无线AP应当采用定向天线外,其他无线AP都应当采用定向天线。
安装位置
尽管有些室内天线既可以安装于桌面,也可以安装于墙壁。但是,也有些产品只适合置于桌面。因此,应当根据无线AP或无线路由的安装位置,确定采用适当类型的室内天线。
产品品牌
尽管无线产品都执行同一国际标准,但是,不同产品的往往拥有不同的接口、使用不同的电缆,所以,不同品牌的无线天线往往不能通用。因此,应当选择与无线产品同一品牌的无线天线。
二、无线AP位置的选择
1,室内无线AP位置的选择
在选择无线AP的位置时,应当注意以下几个方面:
无线AP的位置应当相对较高
无线信号是直线传播的,每遇到一个阻碍物,无线信号就会被削弱一部分,尤其是金属物体,更是无线信号的杀手。将无线AP置于相对较高的位置,可以有效地消除无线AP与无线网卡之间的固定的或移动的遮挡物,从而能够保证无线网络的覆盖范围,保障无线网络的畅通。
无线AP应当尽量居于房间的中央
由于无线AP的覆盖范围是一个圆形区域,所以,只有将无线AP置于房间中央,才能保障房间内的每个位置都能接收到无线信号,从而有效地接入无线网络。当然,由于无线网络能够自动调整传输速率,以适应复杂的网络环境。离无线AP越近,无线信号越强,抗干扰能力越大,传输速率也就越高。反之,离无线AP越远,无线信号就越弱,抗干扰能力越差,传输速率也就越低。下表所示为IEEE 802.11b标准的无线传输距离与信号强度对照表。
表 IEEE 802.11b标准的无线传输距离及信号强度表
11Mbps
5.5Mbps
2Mbps
1Mbps
开放空间
160m(525ft)
270m(885ft)
400m(1300ft)
550m(1750ft)
半开放空间
50m(165ft)
70m(230ft)
90m(300ft)
115m(375ft)
封闭空间
25m(80ft)
35m(115ft)
40m(130ft)
50m(165ft)
尽量少穿墙壁
不要穿过太多的墙壁,尤其是浇筑的钢筋混凝土墙体。实验表明,在10米的距离,无线信号穿过两堵砖墙后,仍然可以达到标称的最高的传输速率,但穿过一层楼板后,无线信号将损失殆尽。可见,钢筋混凝土墙体会极大地削弱无线信号,因此,如果房间是两层或两层以上建筑,尽管垂直距离不会超过30米,但是,仍然建议在每一层楼都单独设置一个无线AP,以保证本楼层内能够覆盖无线信号。另外,如果房间的隔间比较多,那么,应当保证无线AP与无线客户端之间不超过2个墙体。否则,就应当考虑安装多个无线AP,以保证无线信号的强度。无线AP之间,需要借助于以太网络连接在一起。也就是说,应当为一个无线AP布设一条双绞线,并借助于交换机或其他集线设备,将这些无线AP连接在一起。
避开金属反射物和干扰设备
无线AP应当尽量不要安装在铁皮文件柜等大型金属物体附近,以避免由于电磁反射导致干扰增加,影响无线网络的覆盖范围和通讯速率。另外,也要避免安装在微波炉、无绳电话等微波设备附近,也不要安装在电冰箱、空调等电气设备附近,避免可能产生的电磁干扰,确保无线信号强度。
多无线AP的覆盖范围应当重叠
随着距离的延长,无线信号将越来越弱,传输速率也不断下降。因此,为了保证有足够的网络带宽,就必须应当使每个无线AP的覆盖区域有少量的重叠。另外,每个无线AP的覆盖范围均为圆形区域,因此,只有覆盖范围少许重叠后,才能尽可能多地减少无线盲区,使无线信号覆盖到全部所需区域。
2,室外无线网桥位置的选择
在为室外无线网桥选择位置时,应当注意以下几个方面的问题:
彼此可视
无论是室外无线网桥之间,还是无线网桥与无线客户端之间,都要求彼此可视。也就是说,要求彼此之间没有任何遮挡物,否则,将严重影响无线网络的连通性。因此,室外无线网桥通常应当选择在高层建筑物的楼顶上。如果无线网桥之间有遮挡物(比如小山、高层建筑等),那么,或者增加无线网桥的高度,或者在遮挡物上再设置一个无线网桥,实现无线接力。
便于连接
普通无线天线馈线的衰减较高,因此,馈线的距离应当尽量缩短。同时,无线网桥必须同时拥有三个连接,即与其他无线网桥或客户端的连接(WLAN连接)、与局域网交换机的连接(LAN连接),以及与电源供应的连接。也就是说,除了保证可视之外,还要便于与局域网和电源连接。
三、无线网络设备的安装
在此,将介绍无线设备安装的相关知识。如PCI接口无线网卡的安装、PCMCIA接口无线网卡的安装、USB接口无线网卡的安装、无线网卡驱动程序的安装和无线AP物理配置等相关知识。
1,PCI接口无线网卡的安装
第1步,断开计算机电源后打开机箱,用螺丝刀将PCI插槽后面机箱上对应的挡板去掉(如图x-1所示)。
图x-1 去掉机箱挡板
第2步,将网卡小心插入机箱中对应的PCI插槽(如图x-2所示)。注意,两手的用力要均匀,以保证网卡引脚与插槽之间的正常接触。
图x-2 将网卡压入插槽
第3步,用螺钉将网卡固定好(如图x-3所示),然后盖好机箱,上好机箱螺钉。
图x-3 网卡安装完毕
2,PCMCIA接口网卡的安装
PCMCIA网卡的安装相对而言就简单得多了,只要在笔记本电脑的一侧找到相应的插槽,然后,将有两排长长的孔的一端向前,有图案的一侧向上,轻轻插入到PCMCIA插槽内即可(如图x-1所示)。
图x-1 将PCMCIA网卡插入到PCMCIA插槽内
持续缓慢用力,直至无法再行插入为止(如图x-2所示)。
图x-2 PCMCIA接口网卡安装完毕
由于PCMCIA支持热拔插,所以,无论计算机是否何于何种状态(关机或运行),都可以执行该操作。
注意 笔记本电脑通常都拥有两个PCMICA插槽,所以,请注意对准相应的插槽。
3,USB接口无线网卡的安装
由于USB网络适配器无需安装至计算机机箱内,而是直接连接至计算机上的USB端口,与笔记本电脑所使用的PCMCIA卡有某些类似之处,所以,USB网卡的安装也非常简单。USB设置既支持即插即用,也支持热插拔,所以,可以在开机状态下,直接连接到计算机上,或从计算机上拔下。
操作如下:将一根USB“A to B”电缆(如图x-3所示)的A端(扁平状)插入计算机背板中的USB连接器(如图x-4所示),B端(D型状)插入USB网卡中的B连接器(如图x-5所示),即可完成USB网卡的物理连接。
图x-3 USB电缆的A、B两端
图x-4 插入背板中的USB连接器 图x-5 完成安装
4.无线网卡驱动程序的安装
目前,常见的无线网卡大多为PCMCIA、PCI和USB三种类型。下面,以AVAYA Wireless产品为例,介绍一下无线网卡的安装和设置。AVAYA无线网卡的驱动程序可以到AVAYA技术支持网站(http:// support.avaya.com)下载,然后再解压缩得到的ZIP文件。
PCMCIA、PCI和USB接口网卡在Windows XP下的安装过程非常类似,下面仅以PCMCIA卡为例。AVAYA随卡附送的安装光盘中没有提供Windows XP的驱动程序,因此,必须到AVAYA的网站上下载。
第1步,把无线网卡插入PCMCIA插槽,Windows XP提示发现新硬件(如图x-6所示)。一般来说,在Windows XP系统下,会自动安装发现的新硬件的驱动程序,如果是这样,则跳过下面的几步。
图x-6 发现新硬件
第2步,安装程序自动启动硬件安装向导(如图x-7所示)。选择“自动安装软件”单选项,让系统自动搜索并安装设备的驱动程序。
图x-7 硬件安装向导
第3步,单击“下一步”按钮,显示如图x-8所示“请选择您的搜索和安装选项”对话框。选择“在这些位置上搜索最佳驱动程序”单选项,同时选中“在搜索中包括这个位置”复选框,并指定驱动程序所在的文件夹(位于“PC Card”文件夹)。
图x-8“请选择搜索和安装选项”对话框
第4步,单击“下一步”按钮,显示如图x-9所示“正在安装软件”对话框,系统开始自动复制相应的驱动程序。
图x-9“正在安装软件”对话框
第5步,文件复制完毕后,显示如图x-10所示“完成新硬件向导”对话框,并在任务栏显示一个新的网络连接图标(如图x-11所示)。单击“完成”按钮,结束PC卡的安装。
图x-10,完成新硬件向导”对话框
图x-11 网络连接图标
四、Windows XP对等网络的配置
与有线网络相比较,无线网络更灵活、更方便、更安全、适应性更强、操作也更简单,让人能够真正体会到网络无处不在的奇妙感觉!随着宽带深入千家万户,相信越来越多的朋友已经奔上了Internet高速路。想想看,躺在床上抱个笔记本却拖一条尾巴,或者想舒服地坐在客厅的沙发上网聊天却找不到网线……这一切未免都太大煞风景。而每间屋子都安装一个信息插座,对于家装刚刚完成的朋友而言,在漂亮墙上钉一排排槽板根本无法接受。当如之何?鱼与熊掌二者不可得兼?非也,事实上,只需一块小小的网卡一切即可轻松搞定!
图 家庭无线网络
第1步,在“控制面板”中双击“网络连接”图标,打开“网络连接”窗口。
第2步,右键单击“无线网络连接”图标,在快捷菜单中单击“属性”,显示“无线网络连接 属性”对话框(如图x-10所示)。
图x-10,无线网络连接 属性”对话框
第3步,选择“无线网络配置”选项卡,选中“用Windows来配置我的无线网络配置”复选框(默认被选中),启用自动无线网络配置(如图x-11所示)。
图x-11,无线网络配置”对话框
第4步,单击“添加”按钮,显示如图x-12所示“无线网络属性”对话框,在“服务名(SSID)”中键入一个自己喜欢的家庭网络名称(如“coolpen”),并取消对“数据加密”复选框的选中。单击“确定”按钮返回。
图x-12,无线网络属性”对话框
第5步,单击“高级”按钮,显示如图x-13所示“高级”对话框。确认选择了“任何可用的网络(首选访问点)”选项(系统默认值)或“仅计算机到计算机(特定)”选项。
图x-13,高级”对话框
需要注意的是,在首选访问点无线网络中,如果有可用网络,通常会首先尝试连接到访问点无线网络。如果访问点网络不可用,则尝试连接到对等无线网络。例如,如果工作时在访问点无线网络中使用笔记本电脑,然后将笔记本电脑带回家使用计算机到计算机家庭网络,自动无线网络配置将会根据需要更改无线网络设置,这样无需用户作任何设置就可以直接连接到家庭网络。
第6步,依次单击“关闭”和“确定”按钮。
在其他计算机上作相同的设置(必须使用相同的服务名),然后,在“无线网络配置”选项卡重复单击“刷新”按钮,建立计算机之间的无线连接(如图x-14所示),表示无线网络连接已经成功。
图x-14 无线网络连接成功
由于Windows 98/Me/2000/XP可以自动为计算机分配IP地址,也就是说,即使没有为无线网卡设置IP地址,计算机也将自动获得一个IP地址(169.254.0.1~169.254.254),并实现彼此之间的通讯,从而共享文件夹和打印机。
五、接入点网络的配置
(1)接入点的配置
当无线网络中安装有无线AP时,除了必须设置无线路由和无线AP外,客户端的设置也稍有区别。无线基础架构由唯一网络名标识,因此,需要连接至此网络并配备所需硬件的所有设备均必须使用相同的网络名进行配置。下面,我们以D-Link无线AP DWL-900AP+为例,简单介绍一下无线接入点的配置。DWL-900AP+默认的IP地址为“192.168.0.50”,子网掩码为“255.255.255.0”。管理员帐号为“admin”,密码为空。
第1步,将计算机以太网卡的IP地址设置为“192.168.0.2”,子网掩码为“255.255.255.0”,打开Web浏览器,在“地址栏”中键入“192.168.0.50”,并回车,显示如图x-15所示用户登录窗口。
图x-15 登录窗口
第2步,在“用户名”框中键入“admin”,“密码”框保持为空,单击“确定”按钮,显示如图x-16所示配置主窗口。
图x-16 配置主窗口
第3步,选择“Home”标签,单击“Wireless”按钮,显示如图x-17所示无线配置页面。在“SSID”框中键入家庭无线网络名称。由于加密传输会对性能和传输速率有较大影响,所以,若无需加密传输,可在“WEP”栏中选择“Disabled”选项。在“Channel”下拉列表中可以选择该无线路由使用的信道。当只有一个无线AP或无线路由时,可以选择任意信道;当拥有两个或两个以上AP,并且无线信号的覆盖范围重叠时,则应当为每个AP设置不同的信道。
图x-18 无线配置页面
第4步,单击“LAN”按钮,显示如图x-19所示局域网配置页面。选中“Static IP Address”选项,为该无线AP指定静态IP地址。分别在“IP Address”和“Subnet Mask”框中键入该无线路由的局域网IP地址,用于实现与局域网的连接。如果小区没有采用“192.168.0.0”私有IP地址段,可以采用系统默认值。如果与小区使用的IP地址段发生冲突,可以使用“172.160.0.0 ~172.16.31.254”或“10.0.0.0 ~ 10.255.255.254”中的任意一段IP地址。若网络内安装有DHCP服务器,则可以选择“Dynamic IP Address”选项,让该无线AP自动获取IP地址。
图x-19 局域网配置页面
第5步,单击“DHCP”按钮,显示如图x-20所示动态IP地址分配页面。选择“Enable”选项,启用DHCP服务,无线网络中的客户端只需采用系统默认的“自动获取IP地址”和“自动获取DNS服务器的地址”选项即可,无需再为每个客户端设置IP地址信息。然后,分别在“Starting IP Address”和“Ending IP Address”框中分别键入欲分配的IP地址的起止范围。如果选择“Disable”选项,则需要为无线客户端分别键入IP地址信息。
图x-20 动态IP地址配置页面
第6步,单击“Apply”按钮,保存对设置的修改,重新引导无线AP。
如果网络中还有无线AP,那么,另一个无线AP也必须设置相同的服务名(SSID),LAN端口也必须设置为同一IP地址段的IP地址,并且禁用动态IP地址分配。另外,无线AP之间不得采用同一信道,以避免互相干扰。
(2)客户端的配置
第1步,当无线AP或无线路由配置完成后,无线客户端将显示如图x-21所示“无线网络连接”对话框,提示当前可用的网络。如果无线网络没有采用加密传输,应当选中“允许我连接到选择的无线网络,即使它是不安全的”复选框。如果采用WEP加密,则需要单击“高级”按钮,在“无线网络属性”对话框“关联”选项卡中选中“数据加密(WEP启用)”复选框。
图x-21,无线网络连接”对话框
第2步,单击“连接”按钮,将建立与无线AP的连接,如图x-22所示。
图x-22 建立无线连接
单击“属性”按钮,在“无线网络连接属性”对话框中选择“无线网络配置”选项卡,显示当前使用的无线连接(如图x-23所示)。默认状态下,无线客户端将自动获取IP地址,适用于以ICS或无线路由方式共享Internet连接。如果该客户端未找到无线AP,可以单击“刷新”按钮,自动扫描并发现可以使用的无线网络。
图x-23 可用的无线接入点网络
无线网络的资源共享、打印共享和Internet连接共享设置与以太网络的设置大致相同,此处不复赘述。
六、无线路由器的配置
当无线网络中的计算机数量较多时,可以借助于无线路由器实现Internet连接共享。另外,采用多LAN端口无线路由器,还可同时为以太网用户和无线网络用户提供Internet连接。只需将WAN连接至ADSL Modem或Cable Modem,将LAN连接至计算机或集线设备,并作相关配置,即可实现Internet连接共享。
无线AP与无线路由的配置基本相同,只是无线AP无需配置WAN端口。另外,无线客户端无论接入无线AP还是无线路由器,其配置完全相同。下面,我们以D-Link DI-614+为例,介绍一下无线路由的配置。DI-614+默认的IP地址为“192.168.0.1”,子网掩码为“255.255.255.0”。管理员帐号为“admin”,密码为空。
第1步,将无线网卡的IP地址设置为“192.168.0.2”,子网掩码为“255.255.255.0”,打开Web浏览器,在“地址栏”中键入“192.168.0.1”,并回车,显示用户登录窗口。
第2步,在“用户名”框中键入“admin”,“密码”框保持为空,单击“确定”按钮,显示如图x-24所示配置主窗口。
图x-24 配置主窗口
第3步,选择“Home”标签,单击“Wireless”按钮,显示如图x-25所示无线配置页面。选择“Enabled”选项,启用该无线路的无线接入点功能,并在“SSID”框中键入家庭无线网络名称。由于加密传输会对性能和传输速率有较大影响,所以,若无需加密传输,可在“WEP”栏中选择“Disabled”选项。在“Channel”下拉列表中可以选择该无线路由使用的信道。当室内只有一个无线AP或无线路由时,可以选择任意信道;当室内拥有两个或两个以上AP,或者与其他家庭无线AP的覆盖范围有重叠时,则为每个AP或路由设置不同的信道。
图x-25 无线配置页面
第4步,单击“WAN”按钮,显示如图x-26所示广域网配置页面。如果住宅小区提供动态IP地址服务,可选择“Dynamic IP Address”选项;如果小区为每个用户分配了静态IP地址,则应当选择“Static IP Address”选项,然后,依次在“IP Address”、“Subnet Mask”、“ISP Gateway Address”、“Primary DNS Address”、“Secondary DNS Address”框中键入IP地址、子网掩码、默认网关、主DNS的IP地址和辅DNS的IP地址;如果采用ADSL接入Internet,则应当选择“PPPoE”选项,然后分别在“Username”和“Password”框中键入在ISP申请的用户名和密码。
图x-26 广域网配置页面
第5步,单击“LAN”按钮,显示如图x-27所示局域网配置页面。分别在“IP Address”和“Subnet Mask”框中键入该无线路由的局域网IP地址,用于实现与局域网的连接。如果小区没有采用“192.168.0.0”私有IP地址段,可以采用系统默认值。如果与小区使用的IP地址段发生冲突,可以使用“172.160.0.0 ~172.16.31.254”或“10.0.0.0 ~ 10.255.255.254”中的任意一段IP地址。
图x-27 局域网配置页面
第6步,单击“DHCP”按钮,显示如图x-27所示动态IP地址分配页面。选择“Enable”选项,启用DHCP服务,无线网络中的客户端只需采用系统默认的“自动获取IP地址”和“自动获取DNS服务器的地址”选项即可,无需再为每个客户端设置IP地址信息。然后,分别在“Starting IP Address”和“Ending IP Address”框中分别键入欲分配的IP地址的起止范围。
图x-27 动态IP地址配置页面
第7步,单击“Apply”按钮,保存对设置的修改,重新引导无线路由。
如果网络内有服务器若欲发布到Internet,或若欲从Internet控制网络内部的计算机,还应当设置虚拟服务器。
选择“Advanced”选项卡,单击“Virtual Server”按钮,显示如图x-28所示虚拟服务器配置页。
图x-28 虚拟服务器配置页
选择“Enabled”选项,在“Virtual Server List”列表中选择已经预置的网络服务,单击“编辑”按钮,在“Private IP”框中指定提供该服务的计算机的IP地址。若欲添加新的网络服务,可直接在“Name”框中键入服务名称,在“Private IP”中指定服务器的IP地址,分别在“Private Port”和“Public Port”键入该服务使用的端口号。最后,单击“Apply”按钮即可。
七、无线漫游网络的配置
若欲实现无线漫游,必须将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络,访问整个网络资源。无线漫游覆盖大大扩展了单个AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。
使用无线漫游覆盖结构具有以下优势:
增加覆盖范围,实现全场覆盖;
实现众多终端用户的负载平衡;
可以动态扩展,系统可伸缩性大;
对用户完全透明,保证覆盖场内服务无间断。
使用无线漫游可以快速简便地建立起区域内的无线网络,用户可以在区域内的任何地点进行网络漫游,从而解决了有线无法解决的问题,为用户带来了最大的便利。 无线漫游中无线AP的配置与普通无线AP的配置基本相同,只是应当注意以下几个方面的问题:
所有无线AP必须使用同一SSID。
所有无线AP必须使用同一网段的IP地址,并且处于同一VLAN中。
信号相互覆盖的无线AP不能使用相同的频道。
由于多个AP信号覆盖区域相互交叉重叠,因此,各个AP覆盖区域所占频道之间必须遵守一定的规范,邻近的相同频道之间不能相互覆盖,也就是说,相互覆盖区域的无线AP不能采用同一频道,否则,会造成AP在信号传输时的相互干扰,从而降低AP的工作效率。在可用的11个频道中,仅有3个频道是完全不覆盖的,他们分别是频道1、频道6和频道11,利用这些频道作为多蜂窝覆盖是最合适的。另外,用于实现无线漫游网络的无线AP必须使用同一网络名称(SSID),使用同一网段的IP地址,否则,无线客户端将无法实现漫游功能。
无线漫游网络中,客户端的配置与接入点网络中的配置完全相同。用户在移动过程中,根本感觉不到无线AP间进行切换。
无线局域网安全
与双绞线和光纤等有线接入方式不同,只要处于无线网络的覆盖范围之内,就可以接收到无线网络信号,并且接入到无线网络。因此,为了确保无线网络的安全,必须采用一定的安全措施。通常情况下,可以采用WEP加密和802.11认证方式进行安全认证和数据的加密传输。另外,还可以在无线AP中设置MAC地址过滤。由于每块网卡都有一个烧录在ROM中的MAC地址,因此,可以借助于添加MAC地址列表的方式,限制允许接入无线网络的无线网卡,从而拒绝未被授权的无线网卡接入到无线网络。
一、无线网络通讯安全概述
1,无线网络的安全问题
无线网络的灵活性和移动性是使它们流行开来的原因。但是,由于WLAN的工作方式,也直接带来了一些安全性威胁。虽然通过正确地部署AP的位置,以及所用天线设备的类型、数量和方向等因素,可以部分地解决这些问题。但是,根据无线信号传播的自然规律,任何能够接收到这些信号的人都可能能够阅读或在网络中插入流量。因此,无线网络的安全问题表现在以下几个方面:
第一,非授权用户可能在我们不察觉的情况下能够访问无线网络,包括向Internet发送流量(例如垃圾邮件)。
第二,IEEE 802.11标准定义了一个安全协议,称为有线等效隐私(Wired Equivalent Privacy)或WEP。希望WEP能够对无线数据包进行加密,使得攻击者不能够轻松地读取这些数据包。WEP提供了两种强度的加密——40位和128位(802.11a和802.11g增加了第三种强度,152位)。但是,并不是所有无线设备总在默认情况下支持WEP,或者完全不支持更安全的128位WEP。当WEP确实被启用时,WEP中的缺陷可能使中等熟练的攻击者就可以破解加密,阅读或篡改流量。很多免费的工具都可以嗅探WLAN流量,对其进行分析并得到WEP密钥;由于IEEE 802.11要求手动地更改WEP共享密钥,这意味着我们可能需要频繁地更改您的密码,或者生活在有人破解密码的风险中。
第三,当有人在我们的无线网络中添加一个AP,而又关闭WEP时,立刻就有一个过客获得了网络的访问权。这种漏洞在单独存在时可能并不危险,但这是一个很坏的先例,因为这些过客中可能就有恶意攻击者,能够利用网络中某处未加补丁的漏洞。
虽然这三个安全性问题都是很严重的,但是,我们仍然可以采取很多预防措施来减轻它们的影响。Windows 2000、Windows XP和Windows Server 2003都包括了可以用来增强无线安全性的WLAN安全特性,WLAN AP可以被配置得比以往更安全。事实上,有效实现计算机安全的一个重要法宝就是深度防御。如果我们采用了更多的安全措施,攻击者就更难以渗透到足够进行攻击的深度。在无线网络开始运行时,就必须采用以下安全措施,l 确保桌面计算机和服务器系统实现尽可能的安全。这种保护提高了攻击的门槛,即使攻击者进入了WLAN,仍然很难渗透进用户的计算机。
启用无线AP和工作站所支持的最强WEP。同时,确保拥有一个强健的WEP密码,这个密码应该符合有线网络中所应用的相同的密码强度规则。
确保无线网络的网络名称(SSID)不是可以轻松识别的。不要使用公司名称、自己的姓名或者(千万不要)地址作为SSID。
如果无线AP支持SSID广播,应当关闭它。这个措施可以创建一个封闭网络,这样,新的客户端必须在连接之前输入正确的SSID。
如果正在使用具有 Windows XP客户端的Windows 2000服务器,建议使用IEEE 802.1X身份验证协议来保护我们的网络。
2,无线网络安全协议
(1)WEP加密
IEEE 802.11网络采用两种验证方法:开放式系统验证和共享密钥验证。在这两种模式中,每个移动客户端(称为工作站)都必须针对访问点进行验证。开放式系统验证可能称为“无验证”更合适一些,因为实际上没有进行验证:工作站说“请求验证”,而AP也是这样说,但并没有交换凭证。共享密钥验证稍微强大一些(除了其依赖于WEP之外)。工作站请求验证,而访问点(AP)用WEP加密的质询进行响应。只要工作站有正确的WEP密码,就可以解密该质询和响应。在这两种方法中,工作站还必须知道AP的服务集标识符(SSID)。然而,因为AP可能广播自己的SSID,并且因为与该SSID进行交谈的工作站始终对其进行广播,所以这种行为并不会对了解SSID造成多大障碍。
现有的Wi-Fi验证过程会产生两个潜在问题:
工作站无法验证AP的身份,因此,攻击者可以轻松地建立恶意AP,而不知情的客户端可能会连接到上面。网络中的其他设备也无法验证 AP,这意味着网络管理员没有什么好方法来阻止未经授权的用户使用他们的网络。(请将之与 Windows 2000的DHCP服务器进行比较,后者在开始发送地址之前需要进行Active Directory验证。)
AP无法告知是否在网络上对工作站进行验证。换句话说,AP只验证工作站,而不验证工作站的用户。这就像只要汽车上贴有通行证,就可以将车驶入大门,而不管是否应该由此进入。也就意味着,如果没有采取良好的预防措施,不道德的人就可能侵入我的网络。
我们可以采取的一些有效的步骤,以增加网络的安全性:
开启WEP加密。有胜于无,如果没有它,就根本不会获得任何验证。
确保WEP已经调至最大长度。128位的WEP比根本没有WEP强——如果没有WEP,任何人都可以窃听您的流量。
关闭SSID广播并且使您的网络成为一个闭合网络。诚然,这种安排会给客户端造成一些麻烦;Windows XP在自动查找无线网络方面做得很好,但是,却无法自动找到闭合网络——用户将必须手动输入SSID名称。
注意WLAN无线电波覆盖范围。如果能够拒窃听者和入侵者于您的信号覆盖范围之外,将有助于把验证问题减少到最低限度。不过,借助使用各种天线,还是可以从相当远的距离窃听信号。
将AP放在网络的防火墙以外。本质上,这种防范措施会强制要求我们将无线连接当作不受信任的连接来看待,就像看待其他任何来自Internet的连接一样。
通过一些其他方法来弥补WLAN验证。WLAN用户需要通过VPN访问网络,就像他们从家里进行访问一样。或者为WLAN客户端分配一个单独的IP地址范围,然后在内联网站点上应用基于IP的访问控制。
需要WLAN客户端使用虚拟专用网络来保护它们的流量。这一点在Windows 2000或 Windows XP下很容易做到,现在还出现了一个强大的IPsec VPN客户端,可应用于Windows 98、Windows ME和Windows NT工作站的客户端。
对于后续部署,应当选择支持自动WEP重新键入(rekeying)的IEEE 802.11b硬件。Cisco的Aironet系列产品(供Microsoft内部使用)提供了这一特性;IEEE的临时密钥集成协议(Temporal Key Integrity Protocol,TKIP)指定了一些互操作方法,可以应用于自动WEP重新键入,现在,一些厂商正通过使用固件发布来将这一特性添加到他们现有的设备中。
增强WLAN验证的最佳方法是通过添加对更强大的验证协议的支持进行增强。尤其,IEEE 802.1x标准以及受保护的EAP协议提供了更为安全的验证,您可能已经有了所需实施的工具。
(2)IEEE 802.1x身份验证
IEEE 802.1x标准允许对IEEE 802.11无线网络和有线以太网进行身份验证和访问。
当用户希望通过某个本地局域网(LAN)端口访问服务时,该端口可以承担两个角色中的一个:“身份验证器”或者“被验证方”。作为身份验证器,LAN端口在允许用户访问之前强制执行身份验证。作为被验证方,LAN端口请求访问用户要访问的服务。“身份验证服务器”检查被验证方的凭据,让身份验证方知道被验证方是否获得了访问身份验证方的服务的授权。
IEEE 802.1x使用标准安全协议来授权用户访问网络资源。用户身份验证、授权和记帐是由“远程验证拨号用户服务(RADIUS)”服务器执行的。RADIUS是支持对网络访问进行集中式身份验证、授权和记帐的协议。RADIUS服务器接收和处理由RADIUS客户端发送的连接请求。
此外,IEEE 802.1x还通过自动生成、分发和管理加密密钥,利用有线等效保密(WEP)加密来解决许多问题。
IEEE 802.1x实施基于端口的访问控制。在WLAN中,端口就是访问点(AP)和工作站之间的连接。在IEEE 802.1x中拥有两种类型的端口:非控制的和控制的。您现在正在使用的可能就是非控制端口:它允许设备连接到端口,与其他任何网络设备进行通讯。相反,控制端口限制了连接设备所能够通讯的网络地址。您可能已经能够了解到接下来是什么情况了:IEEE 802.1x允许所有的客户端连接到控制端口,但是这些端口仅将流量发送给身份验证服务器。在客户端通过身份验证以后,才被允许开始使用非控制端口。IEEE 802.1x的奥秘在于非控制和控制端口是并存于同一个物理网络端口上的逻辑设备。
针对身份验证,IEEE 802.1x进一步为网络设备定义了两种角色:申请者(supplicant) 和认证者(authenticator)。申请者是一个请求访问网络资源的设备(例如配备了802.11b网卡的膝上型计算机)。认证者是对申请者进行身份验证的设备,由它来决定是否授予申请者访问权限。无线 AP 可以作为认证者;但是使用行业标准的远程身份验证拨入用户服务(RADIUS) 协议更灵活一些。这个协议包含在 Windows 2000 中;通过 RADIUS,AP 接收身份验证请求,并将请求转发给 RADIUS 服务器,由这台服务器来根据 Active Directory 对用户进行身份验证。
IEEE 802.1x 在身份验证时并不使用有线等效隐私(Wired Equivalent Privacy,WEP);作为替代,它使用行业标准的可扩展身份验证协议(Extensible Authentication Protocol,EAP)或更新的版本。在任何一种情况下,EAP/PEAP 都拥有其独特的优势:它们允许选择身份验证方法。在默认情况下,IEEE 802.1x 使用EAP-TLS (EAP-传输层安全性),此时所有EAP保护的流量都由TLS协议(非常类似于SSL)进行加密。整个身份验证的过程是这样的:
1,无线工作站尝试通过非控制端口连接到AP。(由于此时该工作站还没有通过身份验证,因此它无法使用控制端口)。该AP向工作站发送一个纯文本质询。
2,作为响应,工作站提供自己的身份证明。
3,AP 将来自工作站的身份信息通过有线 LAN 转发给使用 RADIUS 的认证者。
4,RADIUS服务器查询指定帐户,确定需要何种凭证(例如,您可能将您的RADIUS服务器配置为仅接受数字证书)。该信息转换成凭证请求,返回到工作站。
5,工作站通过AP上的非控制端口发送它的凭证。
6,RADIUS 服务器对凭证进行验证;如果通过验证,则将身份验证密钥发送给AP。这个密钥是加密的,因此只有AP能够对其进行解密。
7,AP 对密钥进行解密,并用它来为工作站创建一个新的密钥。这个新的密钥将被发送给工作站,它被用来加密工作站的主全局身份验证密钥。
定期的,AP 会生成新的主全局身份验证密钥,并将其发送给客户端。这很好地解决了802.11中长寿命固定密钥的问题,攻击者能够很容易地通过暴力破解来攻击固定密钥。
(3)IEEE 802.11i身份验证
电气和电子工程师协会 (IEEE) 802.11i无线网络标准指定了对无线局域网 (LAN) 安全性的改进。802.11i标准解决了原来的IEEE 802.11标准的许多安全性问题,无线供应商已经在使用一个称为 WPA (Wi-Fi Protected Access) 的标准。
WPA的安全功能
WPA标准包含以下安全功能:
WPA身份验证
WPA中需要802.1x身份验证。在802.11标准中,802.1x身份验证是可选的。
对于没有远程身份验证拨号用户服务(RADIUS)结构的环境,WPA支持使用预共享的密钥。对于具有RADIUS结构的环境,支持可扩展身份验证协议(EAP)和RADIUS。
对于802.1x,单路广播加密密钥的重新加密操作是可选的。另外,802.11和802.1x没有提供任何机制来更改多路广播和广播通信所使用的全局加密密钥。对于WPA,需要对单路广播和全局加密密钥进行重新加密操作。对于单路广播加密密钥,临时密钥完整性协议(TKIP)更改每一帧的密钥,而且更改操作会在无线客户端和无线访问点(AP)之间保持同步。对于全局加密密钥,WPA包含一个工具,以便无线AP将更改后的密钥公布到连接的无线客户端。
对于802.11,有线等价隐私(WEP)加密是可选的。对于WPA,需要使用TKIP进行加密。TKIP将WEP替换为新的加密算法,该算法比WEP算法更强,但需要使用现有无线设备上存在的计算工具执行加密操作。TKIP还提供以下功能:
确定加密密钥后验证安全配置。
同步更改每一帧的单路广播加密密钥。
为每个预共享密钥身份验证确定唯一的起始单路广播加密密钥。
AES支持
WPA将高级加密标准(AES)的使用定义为WEP加密的另外一种替代方法。由于可能无法通过固件更新将AES支持添加到现有的无线设备,因此,对AES的支持是可选的,并依赖于供应商驱动程序的支持。
支持WPA和WEP无线客户端的混合使用
为支持将基于WEP的无线网络逐渐转换到WPA,无线AP可以同时支持WEP和WPA客户端。在关联过程中,无线AP确定哪些客户端使用WEP以及哪些客户端使用WPA。支持WEP和WPA客户端的混合使用的缺点在于:全局加密密钥不是动态的。这是因为基于WEP的客户端不支持这样做。WPA客户端的所有其他优点(如完整性)都保留了下来。
WPA所需的软硬件环境
无线访问点必须更新其固件才能支持以下内容:
新的WPA信息元素。为公布对WPA的支持,无线AP使用新的802.11WPA信息元素发送信号帧,而该元素包含无线AP的安全配置(加密算法和无线安全配置信息)。
WPA两段式身份验证。开放系统,然后是802.1x(具有RADIUS的EAP或预共享密钥)。
TKIP
Michael
AES(可选)
若欲升级无线访问点以支持WPA,需要从无线AP供应商处获取WPA固件更新,并将其上载到无线AP。
无线网络适配器必须更新其固件才能支持以下内容:
新的WPA信息元素。无线客户端必须能够处理WPA信息元素并响应特定的安全配置。
WPA两段式身份验证。开放系统,然后是802.1x(EAP或预共享密钥)。
TKIP
Michael
AES(可选)
若欲升级无线网络适配器以支持WPA,需要从无线网络适配器供应商处获取WPA更新,并更新无线网络适配器驱动程序。对于Windows无线客户端,必须获取已更新的、支持WPA的网络适配器驱动程序,更新后的网络适配器驱动程序,必须能够将该适配器的WPA功能和安全配置传递到Wireless Zero Configuration服务。
另外,还必须更新无线端客户程序,才能允许配置WPA身份验证(和预共享的密钥)以及新的WPA加密算法(TKIP和可选的AES组件)。
对于运行Windows XP Service Pack1(SP1)及更高版本或Windows Server 2003的无线客户端,以及对于使用支持Wireless Zero Configuration服务的无线网络适配器的客户端而言,必须获取并安装Windows WPA Client。Windows WPA Client更新无线网络配置对话框以支持新的WPA选项。
若欲获得WPA客户端程序,可Microsoft Web站点:
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=009d8425-ce2b-47a4-abec-274845dc9e91
下载Windows XP i386软件包。
对于运行Windows 2000的无线客户端(或者运行Windows XP SP1或Windows Server 2003以及使用不支持Wireless Zero Configuration服务的无线网络适配器的客户端)而言,必须从无线网络适配器供应商处获取并安装新的与WPA兼容的配置工具。
二、无线网络通讯安全技术
1,设置连线对等保密(WEP)
IEEE 802.11 的安全性选项包括以 WEP 算法为基础的身份验证服务和加密服务。WEP 是一套安全服务,用来防止IEEE 802.11 网络受到未授权用户的访问,例如,偷听(捕获无线网络通讯)。利用自动无线网络配置,可以指定进入网络时用于身份验证的网络密钥。也可以指定使用哪个网络密码来对通过该网络传输的数据进行加密。启用数据加密时,生成秘密的共享加密密钥,并由源台和目标台用来改变帧位,因而可避免泄漏给偷听者。
开放式系统和共享密钥身份验证
IEEE 802.11 支持两个子类型的网络身份验证服务,开放式系统和共享密钥。在“开放式身份验证”下,任何无线站都可请求身份验证。需要通过另一个无线站身份验证的站将包含发送站的身份验证管理帧发送出去。接收站然后将表明其是否识别发送站的身份的帧发送回去。在“共享密钥”身份验证下,每个无线站都被假定为具有安全频道的秘密共享密钥,该安全频道独立于IEEE 802.11 无线网络通讯频道。要使用“共享密钥”身份验证,您必须具有一个网络密钥。
网络密钥
启用WEP时,用户可以指定用于加密的网络密钥。可为用户自动提供网络密钥(例如,可能会提供在无线网络适配器上),用户也可以通过键入方式来亲自指定密钥。如果用户亲自指定密钥,还可以指定密钥长度(40 位或 104 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。密钥长度越长,密钥越安全。密钥长度每增加一位,可能的密钥数量就会增加一倍。
在IEEE 802.11 下,可用多达4个密钥(密钥索引值为 0、1、2 和 3)配置无线站。当访问点或无线站利用存储在特定密钥索引中的密钥传送加密邮件时,传送的邮件指明用来对邮件正文加密的密钥索引。然后接收访问点或无线站可以检索存储在密钥索引处的密码并使用它来对加密邮件正文进行解码。
(1)无线AP的设置
以D-Link DWL-900AP+为例。应当选中WEP栏的“Enable”选项,启用WEP加密传输功能,并在“WEP Encryption”下拉列表中选择密钥的长度(如图y-1所示)。当然,密钥越长,加密效果越好,但同时也将占用更多的性能,从而导致无线传输速率的下降。
图y-1 启用WEP加密
然后,在“Key Type”下拉列表中选择字符的类型,并分别在“Key1”~“Key4”中键入不同的密钥。
(2)Windows XP中的设置
第1步,打开“无线网络连接 属性”对话框,切换到“无线网络配置”选项卡(如图y-2所示)
图y-2“无线网络配置”选项卡
第2步,在“首选网络”列表中选择当前可用无线连接,单击“属性”按钮,显示如图y-3所示当前无线连接“属性”对话框。
图y-3 当前无线连接“属性”对话框
第3步,在“关联”选项卡的“数据加密”下拉列表中选择“WEP”,然后,在“网络密钥”和“确认网络密钥”文本框中键入在无线AP中设置的网络密钥。同时,在“密钥索引”下拉列表框中选择该密钥在无线AP中的序号。
第4步,单击“确定”按钮,保存所做的修改。
2,802.1x身份认证
IEEE 802.1x是基于IEEE标准的网络认证访问框架,可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络,事实上,它还在顶级供应商的高端有线 LAN 设备上使用。802.1X依赖于RADIUS(远程身份验证拨入用户服务)网络身份验证和授权服务来验证网络客户端的凭据。802.1X使用EAP来打包解决方案不同组件间的身份验证会话,并生成保护客户端与网络访问硬件畅通的密钥。部署RADIUS并不困难。如果用户采用Microsoft产品,那么,可以利用Internet认证服务器(IAS)来帮助部署RADIUS。
IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的通过验证的访问权限。802.1x使无线网络安全风险降低到最低程度,并使用标准安全协议(例如,RADIUS)。
在Windows XP客户端配置802.1x
第1步,打开当前无线网络连接“属性”对话框,选择“验证”选项卡,选中“启用此网络的IEEE802.1x验证”(如图y-4所示)。
图y-4,验证”选项卡
第2步,在“EAP类型”中,选择要用于此连接的“可扩展的身份验证协议”类型。通常,企业网络将使用具有智能卡或本地存储证书的EAP-TLS,小型网络则可以使用PEAP(只有您已经安装了Windows XP Service Pack 1以后才可以选择。)
第3步,如果您在“EAP类型”中选择“智能卡或其它证书”,可以配置额外的属性。单击“属性”,在“智能卡或其它证书属性”中,执行以下步骤:
若欲使用智能卡证书进行身份验证,单击“使用我的智能卡”。
若欲使用计算机证书存储中的证书进行身份验证,单击“在此计算机上使用证书”。
若欲验证提供给计算机的服务器证书是否仍然有效,选中“验证服务器证书”复选框,指定是否只有在服务器驻留在特定域时才进行连接,然后,指定可信根证书颁发机构。
如果智能卡或证书中的用户名与您要登录到的域的用户名不同,选中“为此连接使用一个不同的用户名”复选框。
第3步,如果用户未登录或者计算机或用户信息不可用,若欲指定计算机是否应尝试网络的身份验证,执行以下操作:
当用户未登录时,若欲指定计算机应尝试网络的身份验证,选中“当计算机信息可用时验证为计算机”复选框。 l 当用户信息或计算机信息不可用时,若欲指定计算机应尝网络的身份验证,选中“当用户或计算机信息不可用时验证为来宾”复选框。
需要注意的是,若欲在Windows 2000客户端配置802.1x身份验证,需安装一个系统补丁“Q313664_W2K_SP4_X86_CN.exe”。该补丁支持的操作系统为Windows 2000+ Service Pack 3。
第4步,单击“确定”按钮,保存所做的修改。
为小型网络部署802.1x
对于小型网络而言,即使没有一个完整的公共密钥基础构架,也不需要很多工作,就可以部署802.1x。简单地说,需要设置 Windows XP SP 1或更新版本的客户端来使用 PEAP,然后,设置至少一台计算机运行Windows Internet身份验证服务 (IAS),该服务将提供 RADIUS 连接性。每个IAS服务都必须拥有一个由自己签署或从第三方证书颁发机构(CA)购买的数字证书。
为大型企业部署802.1x
对于至少拥有一个域控制器的Windows 2000网络,可以设置一个更灵活有力的802.1x基础构架,充分利用Active Directory和Windows 2000对远程访问策略的支持。首先,为客户端获得数字证书。在域网络中,可以很方便地通过创建组策略来获得这些证书,组策略能够自动地为域中的计算机请求机器证书。然后,部署所需基础结构(包括IAS)的剩余部分,将无线AP配置为使用 RADIUS 来与 IAS 服务器进行通讯。至此,WLAN流量已经被安全地保护起来。
3,修改SSID并禁止SSID广播
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过,即可顺利连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给那些恶意攻击提供了入侵的便利。一旦他们使用通用的初始化字符串来连接无线网络时,就很容易建成功一条非授权链接,从而给无线网络的安全带来威胁。因此,在初次安装好无线局域网时,必须及时登录到无线网络节点的管理页面,修改默认的SSID初始化字符串。并且在条件允许的前提下,取消SSID的网络广播,从而将黑客入侵机会降到最低限度。
图y-4,验证”选项卡
第2步,在“EAP类型”中,选择要用于此连接的“可扩展的身份验证协议”类型。通常,企业网络将使用具有智能卡或本地存储证书的EAP-TLS,小型网络则可以使用PEAP(只有您已经安装了Windows XP Service Pack 1以后才可以选择。)
第3步,如果您在“EAP类型”中选择“智能卡或其它证书”,可以配置额外的属性。单击“属性”,在“智能卡或其它证书属性”中,执行以下步骤:
若欲使用智能卡证书进行身份验证,单击“使用我的智能卡”。
若欲使用计算机证书存储中的证书进行身份验证,单击“在此计算机上使用证书”。
若欲验证提供给计算机的服务器证书是否仍然有效,选中“验证服务器证书”复选框,指定是否只有在服务器驻留在特定域时才进行连接,然后,指定可信根证书颁发机构。
如果智能卡或证书中的用户名与您要登录到的域的用户名不同,选中“为此连接使用一个不同的用户名”复选框。
第3步,如果用户未登录或者计算机或用户信息不可用,若欲指定计算机是否应尝试网络的身份验证,执行以下操作:
当用户未登录时,若欲指定计算机应尝试网络的身份验证,选中“当计算机信息可用时验证为计算机”复选框。 l 当用户信息或计算机信息不可用时,若欲指定计算机应尝网络的身份验证,选中“当用户或计算机信息不可用时验证为来宾”复选框。
需要注意的是,若欲在Windows 2000客户端配置802.1x身份验证,需安装一个系统补丁“Q313664_W2K_SP4_X86_CN.exe”。该补丁支持的操作系统为Windows 2000+ Service Pack 3。
第4步,单击“确定”按钮,保存所做的修改。
为小型网络部署802.1x
对于小型网络而言,即使没有一个完整的公共密钥基础构架,也不需要很多工作,就可以部署802.1x。简单地说,需要设置 Windows XP SP 1或更新版本的客户端来使用 PEAP,然后,设置至少一台计算机运行Windows Internet身份验证服务 (IAS),该服务将提供 RADIUS 连接性。每个IAS服务都必须拥有一个由自己签署或从第三方证书颁发机构(CA)购买的数字证书。
为大型企业部署802.1x
对于至少拥有一个域控制器的Windows 2000网络,可以设置一个更灵活有力的802.1x基础构架,充分利用Active Directory和Windows 2000对远程访问策略的支持。首先,为客户端获得数字证书。在域网络中,可以很方便地通过创建组策略来获得这些证书,组策略能够自动地为域中的计算机请求机器证书。然后,部署所需基础结构(包括IAS)的剩余部分,将无线AP配置为使用 RADIUS 来与 IAS 服务器进行通讯。至此,WLAN流量已经被安全地保护起来。
3,修改SSID并禁止SSID广播
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过,即可顺利连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给那些恶意攻击提供了入侵的便利。一旦他们使用通用的初始化字符串来连接无线网络时,就很容易建成功一条非授权链接,从而给无线网络的安全带来威胁。因此,在初次安装好无线局域网时,必须及时登录到无线网络节点的管理页面,修改默认的SSID初始化字符串。并且在条件允许的前提下,取消SSID的网络广播,从而将黑客入侵机会降到最低限度。
以D-Link DWL-900AP+为例。其默认SSID为“default”,因此,应当将其修改为一个复杂且不容易被别人所猜到的无线网络名称(如图y-5所示)。
以D-Link DWL-900AP+为例。其默认SSID为“default”,因此,应当将其修改为一个复杂且不容易被别人所猜到的无线网络名称(如图y-5所示)。
图y-5 修改默认的SSID
当然,修改无线AP的SSID名称后,也必须在工作站的无线网络属性中作相应的设置(如图y-6所示),从而保持与无线AP的一致。需要注意的是,在无线漫游网络中,所有无线AP的SSID必须保持相同。
图y-6 客户端作相应的修改
4,禁用DHCP服务
如果启用无线AP的DHCP,那么,黑客将能够自动获取IP地址信息,从而轻松地接入到无线网络。如果禁用无线AP的DHCP功能,那么,黑客将不得不猜测和破译IP地址、子网掩码、默认网关等一切所需的TCP/IP参数。原因很简单,无论黑客想怎样利用无线网络,首先要做的必须是弄清楚IP地址信息。
以D-Link DWL-900AP+为例。应当将DHCP Server功能设置为“Disabled”(如图y-7所示),禁用DHCP服务,而由用户手动为客户端设置IP地址信息。
图y-7 禁用DHCP服务
5,禁用或修改SNMP设置
如果无线AP支持SNMP,建议禁用该功能。如果确实需要SNMP进行远程管理,那么,必须修改公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关网络的重要信息。
以D-Link DI-614+为例。应当将Remote Management设置为“Disable”模式(如图y-8所示),禁止从远程管理该无线设备。
图y-8 禁止远程管理
6,使用访问列表
如果无线AP支持访问列表功能,那么,可以利用该功能,精确限制哪些工作站可以连接到无线网络节点,而那些不在访问列表中的工作站,则无权访问无线网络。例如,每一块无线上网卡都有自己的MAC地址,完全可以在无线网络节点设备中创建一张“MAC访问控制表”,然后,将合法网卡的MAC地址逐一输入到这个表格中。以后,只有“MAC访问控制表”中显示的MAC地址,才能进入到无线网络。
以D-Link DWL-900AP+为例。在“Advanced”选项页面(如图y-9所示),选择“Only allow MAC address(es) listed below to connect to DWL-900AP+”选项,只允许拥有指定MAC地址的无线网卡连接至该无线AP。然后,一一添加允许连接至无线AP的无线网卡的MAC地址。
图y-9 MAC地址过滤
如何获取计算机的MAC地址呢?大致有以下几种方式可获取网卡的MAC地址:
直接获取
在计算机上执行使用winipcfg(适用Windows 9x/Me)或ipconfig /all(适用Windows NT/2000/XP)命令,即可获得该计算机上的MAC地址(如图y-10)。由于该方式只能获取本地计算机的MAC地址,因此,若欲获得整个网络所有计算机的IP地址,就必须在每台计算机上进行测试,在拥有上百台计算机的网络中,显然劳动量也太大,很难做到,也没有太多必要。所以,该方式只适用于测试服务器及特殊用户等少量计算机的MAC地址。
图y-10 运行ipconfig /all
远程获取
既然到每一台计算机上获取MAC地址太过繁琐,那么,我们不妨使用DOS命令“nbtstat”,坐在自己的计算机前远程获获取其他计算机网卡的MAC地址。
命令格式为:
c:\ nbtstat –a ip_address
其中,ip_address用于表示欲测试MAC地址的远程计算机的IP地址。执行结果如图y-11所示。
图y-11 运行nbtstat
软件获取
借助于网络工具软件也可以实现对IP地址和MAC地址的快速扫描和记录,如Essential NetTools和TCP NetView都是不错的软件。
Essential NetTools是一款功能强大的网络管理软件。打开“Essential NetTools”主窗口(如图y-12所示),单击左侧栏的“NBScan”按钮,在左下角“Starting IP address”框中输入要扫描的开始IP地址,在“Ending IP address”中输入结束的IP地址(最多为一个C类地址),单击“Start”按钮,经过一段时间后,屏幕上就会显示出扫描到的计算机名、IP地址及网卡的MAC地址。在“File”菜单中选择“Save Report→As HTML”命令,还可把扫描到的结果保存为HTML文件,从而自动建立并保存IP地址和MAC地址对照表。令人欣喜的是,Essential NetTools甚至可以扫描并列出其他VLAN计算机的MAC地址。
图y-12 Essential NetTools
TCP NetView是一款自由软件,可以扫描局域网中“计算机──IP地址──Mac地址”对应列表的网络辅助工具软件。在局域网中任意一台计算机上运行TCP NetView,系统将自动开始扫描,并迅速列出该局域网内所有计算机的主机名、IP地址、MAC地址以及计算机的简要说明(如图y-13所示)。需要注意的是,TCP NetView只能显示本网段即本VLAN内(含不同工作组)计算机的MAC地址。
图y-13 TCP NetView
7,合适放置无线AP和天线
由于无线AP是有线信号和无线信号的转换“枢纽”,无线AP中的天线位置,不但能够决定无线局域网的信号传输速度、通信信号强弱,而且还能影响无线网络的通信安全。因此,将无线AP摆放在一个合适的位置是非常有必要的。另外,在放置天线之前,一定要先搞清楚无线信号的覆盖范围有多大。然后,依据范围大小,将天线放置到其他用户无法“触及”的位置处。
例如,最好将无线网络节点放置在该空间的正中央,同时将其他工作站分散在无线网络节点的四周放置,使其他房间的工作站无法自动搜索到无线网络,也就不容易出现信号泄密的危险。倘若随便将无线网络节点放置在靠窗口或墙壁的位置处,不但会影响信号的对外发射,而且位于墙壁另一边的工作站用户,就能很轻易地搜索并连接,网络安全性就会大大降低。
无线网络故障
一、常见无线网络故障
网络故障实在是一件令人头痛不已以不得不面对的难题。对于无线网络而言,网络故障大致可以分为4类,即硬件故障、配置故障、天线故障和拓朴故障。硬件故障通常是由于产品质量所致,而其他故障则往往由人为的设置所致。
硬件故障包括:
无线AP或无线路由器硬件故障
无线网卡硬件故障
无线AP与主干网络的连接故障
配置故障包括:
无线AP工作模式选择错误
无线AP设置错误
多AP无线网络中频道选择错误,采用相同或相邻频道
同一无线网络中无线AP的SSID设置错误
网卡驱动程序故障
客户端网络协议故障
客户端IP地址信息设置故障
无线客户端的WEP、SSID设置错误
天线故障包括:
无线天线连接故障
无线天线类型选择错误
无线天线位置选择错误
拓朴故障包括:
无线漫游网络中存在盲区
无线网络设备距离无线干扰源太近
不同标准的无线产品混用,导致无法通信或通信速率下降
传输距离太远或有障碍物阻挡
二、无线网络故障的一般排错
(1)客户端没有无线信号
如果客户端没有无线信号,那么,导致该故障的原因可能是:
没有插入无线网卡,无线网卡驱动程序故障,或者无线网卡硬件故障。
无线网卡与无线AP或无线路由的距离过远,超过无线网络的覆盖范围,无线信号非常微弱,无线客户端无法实现正确连接。
无线AP或无线路由未加电,或没有正常工作,导致无线客户端无法连接。
如果无线客户端距离无线AP距离较远,采用定向天线进行无线信号的增益时,怀疑定向天线的角度有问题,导致无法很好地接收无线AP的信号。 l 无线客户端没有设置正确的IP地址信息,无法与无线AP进行通讯。
无线AP或无线路由设置有安全策略,MAC地址被无线AP或无线路由过滤掉,导致无法与无线AP建立通讯连接。
请试着采用以下方式解决:
查看无线AP与无线客户端是否采用相同的、或兼容的无线网络标准。
查看接入同一无线AP的其他计算机是否正常。如果其他客户端有无线信号,那么,故障应当定位在本地计算机。
如果其他客户端也没有无线信号,则怀疑是无线AP故障。应当检查无线AP是否插电,是否工作正常。查看LED指示灯,并使用笔记本电脑进行近距离测试。如果故障无法排除,建议更换无线AP。
查看是否将无线网卡正确插入计算机,可以将该无线网卡拔除并重新插入。
在“计算机管理”中查看无线网卡是否正确安装,并重新安装无线网卡驱动程序。
检查无线网络配置是否正确,并与其他可以正常接入无线网络的计算机进行比较,确认WEP、SSID等设置。
使用无线网络测试工具,或者将其他无线客户端置于该位置,查看无线网络的信号强度。
如果无线网卡正常安装,所有无线网络设置全部正确,并且无线信号正常,建议更换无线网卡。
检查客户端与无线AP之间是否有阻挡物,是否相隔较多的墙壁。如果测试结果证实无线信号太弱,建议增加无线AP,或为无线客户端加装无线天线,以增强无线信号强度。如果大多客户端都无法连接至无线AP,则应当为无线AP加装全向无线天线。
调整无线客户端定向无线天线的角度,使其面向无线AP或无线路由的方向。
检查无线AP或无线客户端附近是否有无绳电话、微波炉等强烈的干扰源。移除干扰源后,再进行测试。
为无线客户端设置正确的IP地址信息。
检查无线网络的安全设置,添加无线客户端的MAC地址。
(2)有无线信号,但是无法接入无线网络
如果虽然在无线客户端显示有无线信号,但是,有几台计算机无法接入无线网络。那么,导致该故障的可能是:
无线AP或无线路由的IP地址池已经分别完毕。当无线客户端设置为自动获以IP地址信息时,由于无法获取正确的IP地址信息,从而无法接入无线网络。
无线网卡没有设置正确的IP地址信息。当无线客户端采用手工设置IP地址信息时,由于IP地址信息设置错误,从而导致与无线AP不在同一IP地址段,导致无线通讯失败。
请试着采用以下方式解决:
增加无线AP或无线路由的IP地址池范围。
为无线网卡设置正确的IP地址信息。
(3)有无线信号,但是所有计算机均无法接入无线网络
如果虽然在无线客户端显示有无线信号,但是所有计算机均无法接入无线网络。那么,导致该故障的可能有以下几个方面:
无线AP或无线路由与其他计算机发生IP地址冲突,导致无线通讯失败。
无线AP或无线路由系统死机。
无线AP或无线路由设置故障。
请试着采用以下方式解决:
检查网络内的IP地址信息,特别是与无线AP或无线路由相连接的以太网络中的IP地址信息。
重新为无线AP或无线路由加电。
(4)无线网络可以相互通讯,但无法与以太网通讯
如果无线客户端与无线AP或无线路由之间可以相互通讯,但无法与以太网通讯。那么,导致该故障的原因可能有以下几个方面:
LAN端口连接故障
IP地址信息设置错误
请试着采用以下方式解决:
检查LAN端口与以太网设备的连接,查看LAN指示灯是否被点亮。当集线设备与LAN端口连接时,通常应当采用交叉线。
检查无线网络与以太网络是否在同一IP地址段,只有相同IP地址段的计算机之间才能实现通讯。
三、无线网络故障排错工具
1,Ping
Ping是Windows操作系统集成的TCP/IP应用程序之一,通常在命令提示符下运行。利用Ping命令可以有效地测试网络连通故障,并可确定网络故障发生的大致原因,下面就来看看该命令的简单应用。
Ping本地地址或127.0.0.1
Ping本地计算机的IP地址或127.0.0.1,可以确认:
该计算机是否正确安装了无线网卡。如果测试不成功,应当在“设备管理器”中查看网卡是否有黄色的“!”。如果有,则删除该网卡或重新正确安装。如果没有,说明网卡安装正确。
该计算机是否正确安装了TCP/IP协议。如果测试不成功,应打开控制面板的“网络”属性查看是否安装TCP/IP协议。如果没有,则需安装TCP/IP协议并正确配置后,重新启动计算机并再次测试。如果已经安装,继续向下检查。
该计算机是否正确配置了IP地址和子网掩码。如果测试不成功,应打开控制面板的“网络”属性查看IP地址和子网掩码是否设置正确。如果不正确,需重新设置,重新启动计算机并再次测试。
Ping所连接的无线AP
Ping所连接的无线AP,可以确认:
无线客户端的IP地址、子网掩码的设置是否正确。如果测试不成功,应打开控制面板的“网络”属性查看IP地址和子网掩码是否设置正确。如果设置不正确,需重新设置,重新启动计算机并再次测试。如果设置正确,继续向下检查。
WEP、SSID等无线网络设置是否正确。
无线AP工作是否正常。如果测试不成功,应当对网络设备和通讯介质逐段测试、检查和排除。
Ping同一无线网络中的其它AP
Ping同一无线网络中的其它AP,可以确认:
无线AP是否全部正确连接至主干,远程无线AP是否正常工作。如果测试不成功,应当对网络设备和通讯介质逐段测试、检查和排除。
Ping同一无线网络中的其它计算机 Ping同一无线网络中的其它计算机,可以确认:
无线网络是否可以实现漫游,无线网络的频道选择与设置是否正确。
常见的出错信息
常见的出错信息通常分为4种情况:
unknown host(不知名主机)表示该远程主机名不能被命名服务器转换成IP地址。故障原因可能是命名服务器有故障,或者其名称不正确,或者网络管理员的系统与远程主机之间的通信线路有故障。
Network unreachable(网络不能到达),表示本地系统没有到达远程系统的路由,可用netstat –rn命令检查路由表来确定路由配置情况。
No answer(无响应),远程系统没有响应。这种说明本地系统有一条到达远程主机的路由,但却接受不到它发给该远程主机的任何分组报文。故障原因可能是远程主机没有工作,或本地或远程主机网络配置不正确,或本地或远程的路由器没有工作,或通信线路有故障,或远程主机存在路由选择问题。
timed out(超时),表示与远程主机的链接超时,数据包全部丢失。故障原因可能是到路由器的连接问题、路由器不能通过、也可能是远程主机已经当机。
Ping命令详细参数
Ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v Tos] [-r count] [-s count] [{-j Hostlist | -k Hostlist}] [-w timeout] [TargetName]
参数说明
-t:指定在中断前Ping可以持续发送回响请求信息到目的地。要中断并显示统计信息,按Ctrl+Break组合键;要中断并退出Ping测试,可按Ctrl+C组合键。
-a:指定对目的地IP地址进行反向名称解析。如果解析成功,Ping将显示相应的主机名。
-n count:指定发送回响请求消息的次数。默认值为4。
-l size:指定发送的回响请求消息中“数据”字段的长度(以字节表示)。默认值为32。size的最大值是65527。
-f:指定发送的回响请求消息带有“不要拆分”标志(所在的IP标题设为1)。回响请求消息不能由目的地路径上的路由器进行拆分。该参数可用于检测并解决“路径最大传输单位(PMTU)”的故障。
-i TTL:指定发送回响请求消息的IP标题中的TTL字段值。其默认值是主机的默认TTL值。对于Windows XP主机,该值一般是128。TTL的最大值是255。
-v Tos:指定发送回响请求消息的IP标题中的“服务类型(TOS)”字段值。默认值是0。tos被指定为0到255的十进制数。
-r count:指定IP标题中的“记录路由”选项用于记录由回响请求消息和相应的回响应答消息使用的路径。路径中的每个跃点都使用“记录路由”选项中的一个值。如果可能,可以指定一个等于或大于来源和目的地之间跃点数的count。count的最小值必须为1,最大值为9。
-s count:指定IP标题中的“Internet 时间戳”选项用于记录每个跃点的回响请求消息和相应的回响应答消息的到达时间。Count的最小值必须为1,最大值为4。
-j Hostlist:指定回响请求消息使用带有hostlist指定的中间目的地集的IP标题中的“稀疏资源路由”选项。可以由一个或多个具有松散源路由的路由器分隔连续中间的目的地。主机列表中的地址或名称的最大数为9,主机列表是一系列由空格分开的IP地址(带点的十进制符号)。 -k Hostlist:指定回响请求消息使用带有hostlist指定的中间目的地集的IP标题中的“严格来源路由”选项。使用严格来源路由,下一个中间目的地必须是直接可达的(必须是路由器接口上的邻居)。主机列表中的地址或名称的最大数为9,主机列表是一系列由空格分开的IP地址(带点的十进制符号)。
-w Timeout:指定等待回响应答消息响应的时间(以微妙计),该回响应答消息响应接收到的指定回响请求消息。如果在超时时间内未接收到回响应答消息,将会显示“请求超时”的错误消息。默认的超时时间为4000(4秒 )。
TargetName:指定目的端,它既可以是IP地址,也可以是主机名。
/?,在命令提示符中显示帮助。
2,Fluke无线通
无线通(WaveRunner)是一台基于 Linux 系统的 HP iPAQ 袖珍型 PC 机,是Fluke的一款专门针对无线网络的测试工具,可以验证IEEE 802.11b 网络的配置,检测危及企业网的性能和安全的无授权访问点及客户端,测量和计划访问点位置,可在任意访问点验证无线网络客户端的连通性,快速分析无线网络的问题,并定位失败的连接点。当我们检测、配置或支持无线网络时,就需要这样一个好帮手。本期,我们就来了解一下无线通的使用技巧。
图z- Fluke无线通
检测非法接入点
在未采取安全措施的情况下,借助于无线网络,未经授权的用户可以很方便地接入局域网。因此,必须对网络中的无线AP进行严格的管理,绝对禁止未经授权的无线AP接入网络,从而避免可能发生的安全事故。借助无线通,可以查看网络中是否存在非法接入点、接入点的位置,以及谁在使用这个非法接入点。通过对WLAN设备进行扫描和对非法接入点的定位,可以成功执行无线网络中非法用户的“搜寻和消灭”任务,并搜集必要的信息,用于创建并调整应对非法访问的策略。
第1步,打开HP PDA,运行无线通(图1)。
图z- 无线通主界面
第2步,按下“Device Scan”,系统就会开始搜索网络中的非法无线设备。所谓“非法无线设备”,是指未经企业网络管理员的允许和授权,而非法接入企业网络中的无线网络设备(包括无线AP、无线路由器和无线客户端)。这些无线设备往往是用户私自购置并接入网络中的。由于非法无线设备通常没有设置安全策略,因此,将导致许多安全漏洞,极大地增加企业网络的安全危害。
当WaveRunner刚启动时,所有设备都会显示为“未知”设备(绿色表示已知设备,黄色表示未知设备,红色表示欺诈设备,蓝色表示邻近的设备)。可在“安装”(Setup)“设备列表”(device List)屏幕的“编辑访问点”(Edit Access Point)和“编辑用户端”(Edit Client)屏幕上进行色彩指定的配置。同时,一个斜体的SSID名称表示该SSID尚未配置。通常这表示WEP已经启动,但尚未设置加密密钥。有关加亮标明的访问点的细节会显示在屏幕底部。其中包含BSSID/MAC地址、SSID、信号强度、关联用户端的数目、使用的验证类型、前导类型以及IP地址等信息。信号强度值表示如下:极佳(80~100%)、良好(60~80%)、尚可(30~59%)、极弱(0~29%)。
图z- 扫描无线设备
第3步,按下“Locate”按钮,可以根据无线信号的强度,寻找非法的无线AP。无线信号越强,表示距离无线AP越近。
图z- 显示无线信号强度
由于放置无线AP的位置是固定的,而且是由网络管理员所确定的。所以,当在不应当有无线信号覆盖的位置发现无线信号时,就证明此处存在非法无线AP。由于距离无线AP距离越近,无线信号的强度越高,因此,借助非法无线AP的信号强度,就可以迅速找到非法无线AP了。
协助无线网络设计
在安装无线网络之前,需要确定:
无线接入点的位置
如何分配通道
借助于无线通,可计划并测量访问点的位置和配置,工程初期进行巧妙的设计,可在实现最大化覆盖范围的同时,降低设备安装费用,避免将来再次进行网络调整。
第1步,按下“Channels”,显示当前位置不同信道的无线AP的信号强度。为了实现无线网络的无缝漫游,或者扩大无线网络的覆盖范围,无线信号间往往需要彼此覆盖一定区域。但是,相互覆盖的部分必须位于不同频道,否则,彼此间会相互干扰,导致无线网络通讯失败。通常情况下,相互覆盖的区域应当选择分别选择1、6、11频道。
图z- 不同频道的信号强度
第2步,在“Show”下拉列表中选择“Good Bytes”,显示有效传输数据。
图z- 显示有效传输数据
确认在任何无线客户端所在的位置都能接入无线网络,并且能够正常完成数据传输。借助对无线信号覆盖范围和强度的测试,可以确定现有无线AP的位置是否恰当,能否实现无线信号的覆盖,并根据无线接入需要,适当增加无线AP的数量,或者调整无线AP的位置。
验证无线网配置
一旦无线网被安装,无线通(WaveRunner)就可以帮您验证无线网接口、信号覆盖面并测试通道冲突。为了验证无线网络配置,无线通可以帮您确保:
连接到每一个访问点的客户
所有被正确配置的访问点
覆盖面足够大
有线等价协议(WEP)正在工作
无线通(WaveRunner)对验证结果进行文档备案,生成简洁的测试报告,对未来的故障诊断提供基准的同时显示网络性能。
第1步,按下“Site Scan”,选择一个或多个欲测试的无线网络的SSID(如图z-所示)。
图z- 选择欲测试的SSID
第2步,按下“Select”按钮,无线通开始自动扫描,并显示所测试无线网络使用的信道、无线AP和无线客户端的数量。
图z- 系统开始扫描
第3步,按下“Stop”按钮,显示无线网络的扫描信息。
图z- 显示无线网络的扫描信息
第4步,按下“Yes”按钮,保存该扫描信息。
无线网络故障诊断
无线通(WaveRunner)可以对无线网络的连通性进行故障诊断,更快地解决网络故障。利用它的 Ping 功能、吞吐量测试以及 web 测试工具,可以深入查看详细对话,确定:
用户是否可以看到访问点
WEP的设置是否正确
客户端是否可以看到关键设备
WLAN卡是否有缺陷故障
第1步,按下“Tools”,进入测试工具界面(如图z-所示)。其中:
Link Test(链接测试) 作为用户端连接至一个SSID或访问点,并显示有关链接的信息,包括信号强度、信号质量、IP地址、MAC地址、及传送速率。信号质量是指信噪比。低信号质量表示频道或是邻近的频道上有过多的噪声,可能影响性能。
Ping(轮询) 作为用户端连接至一个SSID或访问点,并将一个ICMP信息包送至特定的目的地地址。特定的目的地地址应以自己的信息包回复WaveRunner。“轮询”(Ping) 屏幕会显示轮询测试的结果,并可设置目的地地址和信息包尺寸及开始/停止测试。
Throughput(处理量) 作为用户端连接至一个SSID或访问点,并测量至一个设备的数据速率。可初始轮询或FTP处理量测试。轮询测试将会在调整数据速率的同时传送数据,直到检测到丢失的数据。FTP测试可测量送出一份内部文件或从设备收到一份内部文件所需的时间。这两种测试都会以图表来显示平均及最佳时间。
Network Validation(网络验证) 通过连接一个或更多访问点来验证用户端与SSID的连接。
Web Browser(网络浏览器) 连接至SSID或访问点,并开启因特网连接。可为网络浏览器配置网络代理。
WLAN Card Test(WLAN网卡测试) 测试第三方无线LAN网络卡。以下的WaveRunner功能可与第三方网络卡一起使用:链接测试、轮询、处理量、网络浏览器、及软件更新。需要注意的是,第三方WLAN卡不能用于上述以外的其它WaveRunner功能。
图z- 测试工具界面
第2步,按下“Link Test”,无线通开始自动测试链路,并显示所测试无线网络的SSID、频道、连接速率、信号强度等相关信息。
图z- 自动测试链路
第3步,按下“Detail”按钮,显示当前无线网络的其他基本网络服务器信息。
图z- 显示基本网络服务信息
3,网络传输速率测试
无线网络的传输速率可以借助软件——QCHECK进行测试。QCHECK是NetIQ公司一款易用的免费网络测试软件,被NetIQ称为“Ping命令的扩展版本”,可以简单测试网络的响应时间和数据传输率。测试使用两台计算机,分别连接至无线网络。其中,TCP/UDP传输率测试表明路由器的吞吐量(Throughput)。测试中,从一个客户端向另外一个客户端发送文件,然后测试所消耗的时间,并且计算出来传输率(以Mbps为单位),测试结果越高越好,理论值最高为标称带宽的94%。需要注意的是,TCP/UDP响应时间用于测试接收并返回信息之间的时间,测试结果越低越好,对于游戏、语音应用或者视频应用,测试结果在10ms以下才能良好的工作。UDP Stream用于测试设备处理持续数据流的能力,比如在收听网络音频、观看网络视频的时候,都要进行持续不断的数据传输,测试结果越高,表示用户在进行这类应用时,遇到间断的可能就越小。
QCheck测试界面