无线局域网组网设计方案探析

２０１１年第９期　（总第１４５期）　大众科技　ＤＡＺＨＯＮＧ　ＫＥ　Ｊ　Ｎｏ．９，２０１１　（Ｃｕｍｕｌａｔｉｖｅｌｙ　Ｎｏ．１　４５）　无线局域网组网设计方案探析　戴元　（民航东北地区空中交通管理局通信网络中心，辽宁沈阳ｌ　１００４３）　【摘要】文章结合民航东北空管局实际，介绍了无线局域网的组成、设计原则和组网方案，并就无线局域网存在的安全　问题，提出了相应的安全防护措施。　【关键词】无线局域网；无线控制器；无线接入点　【中图分类号】ＴＰ３９３　【文献标识码】Ａ　【文章编号】１００８—１１５１（２０１１）０９—０００７—０２　无线局域网是无线通信技术与计算机网络相结合的产　１．３　ＣＡＰＷＡＰ协议　物，具有覆盖范围广、传输速率高、便于组网、易于扩展、　ＣＡＰＷＡＰ协议规定当无线控制器与无线接入点建立　使用灵活、经济节约等优点，不仅可以作为信息化有线网络　ＣＡＰＷＡＰ连接后，无线控制器与无线接入点之间发送的数据报　的补充和延伸，而且还可以与之互为备份，对信息化的建设　文，都通过一条点到点的单播通信隧道进行传输，由此实现　和发展起到了重要的作用。如何建设可靠、稳定、架构合理、　无线控制器对无线接入点的统一配置和管理，从而增加网络　易于管理的高速无线局域网，使之更好地服务于信息化建设，　的可管理性，极大的减轻网络维护人员的工作量。　是本文重点研究的问题。　２无线局域网组网原则　ｌ无线局域网组成及技术标准　无线局域网的设计应遵循如下原则：　１．１无线局域网组成　（１）采用层次化结构设计，组网结构清晰，尽可能降低　无线局域网由无线控制器、无线接入点、无线终端等部　网络的复杂程度，使网络管理、故障排除更容易。　分共同组成。　（２）网络设计应遵循统一的技术标准，支持多种标准网　（１）ＡＣ。ＡＣ（Ａｃｃｅｓｓ　Ｃｏｎｔｒｏ１），即无线控制器，它是无　络协议，实现不同厂商问设备互联。　线局域网的核心控制设备，为无线用户提供访问控制、集中　（３）重要设备、链路采用冗余设计，避免因单点故障引　管理和无缝漫游等服务，并实现用户身份认证、安全管理、　起的网络瘫痪，最大限度确保网络稳定、可靠。　移动管理、射频管理等功能。　（４）采用多层次、全方位的安全控制策略，防止非授权　（２）ＡＰ。ＡＰ（Ａｃｃｅｓｓ　Ｐｏｉｎｔ），即无线接入点，它通过　用户非法访问网络。　标准以太网电缆与无线控制器连接，并通过无线电波与无线　（５）设备、链路、网络流量等关键资源应具备实时监控　终端进行通信，实现无线局域网和有线网络之间数据的接收、　功能，一旦网络出现故障，管理人员能够快速定位故障、排　缓冲、存储和传输功能。通常一个无线接入点能够在几十米　除故障。　至上百米的范围内连接多个无线用户。　（６）网络设计应兼顾未来发展需要，使网络具有较强的　（３）无线终端。在无线接入点覆盖范围内，终端用户通　可扩展性，易于后期升级和扩容。　过无线网卡实现对无线局域网的访问。无线接入点覆盖范围　内的无线终端之间可以相互通信。　３无线局域网组网设计方案　１．２　８０２．１１ｎ标准　３．１网络结构设计　８０２．１　Ｉｎ标准是ＩＥＥＥ推出的高速无线数据传输标准，具　民航东北空管局无线局域网采用ＩＥＥＥ　８０２．１　Ｉｎ标准设　有传输质量高、传输速率快、信号干扰影响小等优点。它采　计，覆盖东塔、桃仙两个园区共１Ｏ个楼宇，初期设计规模为　用智能天线技术，可以将无线局域网的传输速率提高到　３００用户。全网以无线控制器为核心，采用四层结构设计，　３００Ｍｂｐｓ。　分为核心层、汇聚层、接入层和出口层。无线控制器与无线　接入点之间采用ＣＡＰＷＡＰ协议进行通信，实现网内所有无线接　【收稿日期】２０１卜Ｏ６—１３　【作者简介】戴元（１９７９一），男，民航东北地区空中交通管理局通信网络中心工程师。　一７．　入点的统一管理和集中配置。　３．２核心层设计　核心层由两台高性能无线控制器组成，分别部署在东塔、　桃仙两个场区。无线控制器、汇聚交换机、无线接入点之间　形成二层网络，以广播方式进行发现和管理。两台无线控制　器配置双引擎、双电源，确保发生故障时设备能在最短时间　内恢复，有效避免单点故障。　３．３汇聚层设计　汇聚层由多台楼宇供电交换机组成，用于连接各楼宇的　无线接入点，并为无线接入点供电。汇聚交换机分别采用两　条不同的链路连接到各自场区的无线控制器，实现链路备份，　提高网络的可靠性。　３．４接入层设计　接入层由多个无线接入点组成。无线接入点的安装位置　根据实际覆盖效果进行调整。无线接入点只提供加密和射频　功能，监控和优化功能由无线控制器实现。由于无线接入点　的管理ＶＬＡＮ需要运行ＣＡＰＷＡＰ协议，因此要求此ＶＬＡＮ下的所　有端口都必须保持不打标记，即端口设置为Ｕｎｔａｇ模式。　３．５出口层设计　出口层由一台多功能防火墙组成，用于实现网络隔离　地址转换、路由选择、流量控制等功能。出口防火墙内部通　过千兆光纤与无线控制器连接，外部通过ＩＰＳ连接到信息化　有线网络。　４无线局域网安全设计方案　由于无线接入点与无线终端之间采用无线电波方式进行　通信，与有线网络相比，更容易受到来自外界的攻击和干扰。　为防止非授权用户非法接入网络，需要采用无线网数据加密、　ＭＡＣ地址和ＲＡＤＩＵＳ双重身份认证、禁用服务集标识符广播、　二层隔离技术、降低无线接入点发射功率、用户行为审计等　多重安全防护策略，对网络进行综合防护，才能确保无线局　域网的安全、可靠、稳定运行。　４．１无线数据加密　ＷＰＡ２（Ｗｉ—Ｆｉ　Ｐｒｏｔｅｃｔｅｄ　Ａｃｃｅｓｓ　２），即无线保护访问标　准第二版，是ｗｉ—Ｆｉ联盟提出的无线数据加密标准。该标准　采用密钥集成协议和ＡＥＳ算法对无线电波里的数据进行认证　和数据加密，将敏感的明文数据变换成难以识别的密文数据，　以提高无线数据的安全性。　４．２用户身份认证　在网络中启用身份认证技术，鉴别用户身份是否合法，　确保只有经过授权的无线用户才能够接入到无线局域网。首　先在ＲＡＤＩＵＳ服务器为每个无线用户分配一个帐户，当用户连　接到无线局域网时，通过帐户的属性实施策略匹配，验证用　户身份。然后通过预先在无线控制器配置的“黑、白名单”　策略，对接入终端进行ＭＡＣ地址认证。“白名单”用于保存网　络中允许接入的终端ＭＡＣ地址，“黑名单”用于保存网络中禁　止接入的终端ＭＡＣ地址。通过ＭＡＣ地址认证，确保即使网络　无线数据加密被破解，非授权用户也无法接入无线局域网。　４．３禁用服务集标识符广播　根据实际需求，为无线接入点配置不同的服务集标识符　和ＶＬＡＮ，将网络划分为不同身份验证的逻辑子网。由于服务　集标识符由无线接入点对外进行广播，非常容易被非法入侵　者窃取，因此建议在网络中禁用服务集标识符广播，降低潜　在的安全威胁。　４．４二层隔离技术　在网络中启用二层隔离技术，即同一无线接入点下的隔　离端口之间不会产生单播、广播和组播，从而防止恶意用户　通过无线局域网访问其它用户，有效减少ＡＲＰ病毒对网络的　攻击，抑制广播风暴，提高网络性能。　４．５降低功率　通过降低无线接入点的发射功率、调整天线位置、合理　分配信道等策略，减少网络的覆盖范围，有效防止非授权用　户非法接入网络。　４．６实施网络监控　对网内无线控制器、汇聚交换机、无线接入点等关键设　备的运行状态进行全面实时监控，并通过预先设定的告警阈　值，对检测出的重要事件进行预警，为网络管理人员在第一　时间快速定位故障和排除故障提供依据。　４．７用户行为审计　在网络中启用用户行为审计技术，对网内用户的上网行　为进行记录、控制和管理，使无线局域网更加有序、可控。　用户行为审计的内容包括：源ＩＰ、源端口、目的ＩＰ、目的端　口、协议号、ＮＡＴ方向、ＮＡＴ　ＩＰ、ＮＡＴ端口、服务类型、发送　数据包大小、接收数据包大小等信息。　５结语　文章结合民航东北空管局实际，探讨了无线局域网的组　成、设计原则和组网方案，并就无线局域网存在的安全问题，　提出了具体的解决措施。通过无线局域网的建设，能够对有　线网络进行补充和延伸，对信息化建设和发展起到一定的推　进作用。　【参考文献】　【１汪涛．１］无线网络技术导论【Ｍ】．清华大学出版社，２００８．　【２】杨哲．无线网络安全攻防实战【Ｍ】．电子工业出版社，２００８．　【３】麻信洛，李晓中，葛长涛．无线局域网构建及应用［Ｍ】．国防　工业出版社．２００９．　［４】朱建明．无线局域网安全方法与技术［Ｍ】．机械工业出版　社．２００９．　一８一