時間:2023-06-06 09:30:45
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇無線局域網解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
我系大二及大三學生居住的寢室屬于80年代建筑,沒有接入互聯網,并且不久將拆除,在離該建筑約60M的地方是機房,機房可正常上網,機房與建筑之間無明顯障礙物阻隔。
在這種情況下,如果將該建筑通過有線接入互聯網的話,只能采用拉線或者另外開通互聯網接入點。若采用直接拉線,不利于維護,網線懸空也不美觀,斷裂后重新拉線很麻煩,而且網線傳輸距離局限于100米左右;若采用另外開通接入點,則造成同單位的電腦處于不同網段中,不利于管理,且投資較高。
鑒于此,考慮利用無線局域網技術,使有線和無線混聯,解決寢室的孤島危機問題。下面就無線網絡的幾種工作模式進行分析,并提出既經濟又易于維護管理的解決方案。
2無線網絡的幾種工作模式
2.1無線AP+無線客戶機模式
AP是無線上網接入口,相當于網關的作用。只需一臺筆記本和可以實現無線信號網絡覆蓋的AP,就能實現無線上網。
這種模式是最常見也是組建無線局域網最簡單、最方便的模式。只需根據不同的網絡環境將無線路由器配置成無線AP,即可使無線客戶機連接局域網或者互聯網。
例如:常采取ADSL modem+無線路由器來組建家庭局域網。這里的路由器一般要同時起到對modem撥號和路由等功能。
而一般單位由于很多是采用有線和無線混聯,對無線的要求一般只需要轉發數據。這種情況下AP就只相當于一個無線集線器的作用。
2.2無線AP+無線客戶端+有線客戶機模式
這種模式是為了使一些需用有線連接的客戶機準備的模式。只需對無線路由器進行相應設置即可使其變成一臺無線客戶端,用來接收無線信號。這里的無線客戶端其實就相當于一個無線網卡,可以對設置好的無線信號進行接收,對相連客戶機發出的數據進行發送。但在該模式中,只能將無線客戶端作為無線網卡使用,其本身并不能對無線信號進行擴展,因此對于一些遠離源AP的無線客戶機來說,想用無線接入將不可能。
2.3利用WDS無線分布式系統
無線分布式系統WDS是一項新興技術,是建構在HFSS或DSSS底下,可讓基地臺與基地臺間得以溝通,其功能相當于無線網絡的中繼器,且可多臺基地臺對一臺,目前有許多無線基臺都有WDS。
WDS把有線網絡的資料,透過無線網絡當中繼架構來傳送,藉此可將網絡資料傳送到另一個無線網絡環境,或另一個有線網絡。WDS架構可以做到一對多傳送,并且橋接的對象可以是無線網絡卡或是有線系統。所以WDS最少要有兩臺同功能的AP,其最多數量則要看廠商設計的架構來決定。
簡而言之:就是WDS可以讓無線AP之間通過無線進行橋接(中繼),在這同時并不影響其無線AP覆蓋的功能。
除了以上三種無線工作模式以外,還有很多模式,這里不再闡述。
3解決方案
首先,考慮距離機房最近的寢室的筆記本電腦上網問題:采用無線AP+無線客戶機模式,將無線路由器設置成為無線AP以后可以成功轉發數據,便可實現無線客戶機正常上網。在設置時,直接將無線路由器的WAN口設置為自動獲取IP地址,然后關閉路由器的DHCP服務器功能。需特別說明的是,如果學校路由器設置為不能再使用路由器中轉,這時只能把無線路由器當作一個純無線AP來使用,否則將不能正常登錄互聯網,具體做法就是將校園網的線插入到四個LAN口中的任意一個即可。
然后解決同寢室的臺式機和距離AP較遠的寢室的筆記本電腦上網問題:利用WDS系統可以很好地解決這一問題。需要說明的是,組建WDS網絡的無線路由器和AP所選擇的無線頻段必須相同,此外,兩個無線路由器的ESSID如果設置為相同,不僅能實現WDS無線橋接功能,還可實現無線漫游。在部署兩臺具有WDS功能的無線路由器時,配置與前面無線路由器的配置相同,只是需要兩臺路由器均打開WDS功能。在臺式機連接時,只需將網線連接到寢室路由器的LAN口上即可,而距離源AP較遠的筆記本電腦更是只需像平常用無線網卡一樣連上路由器即可。
WDS改變了原有單一、簡單的無線應用模式。比如:大型熱點區域和企業用戶選用無線WDS技術的解決方案的時候,可以通過各種可選的無線應用方式來連接各個AP,這樣就大大提高了整個網絡結構的靈活性和便捷性。與此同時,使無線網絡使用者以購買最少無線設備達到更多用途的功能實現,實現了組網成本的降低。此外,WDS所搭建的無線網絡環境內,各種帶有無線信號收發功能的設備(如筆記本電腦、智能手機、PDA)都可以在覆蓋范圍內任意暢游!
[關鍵詞] WLAN IEEE802.11 網絡安全 WEP VPN
1.引言
無線通信技術的發展推動了無線網絡的快速發展,無線局域網在推出之后得到了快速普及。無線局域網采用無線傳輸媒介進行通信,擺脫了線纜的束縛,打破了地域和客觀條件的制約,具有靈活性、移動性強,成本低,吞吐量高的特點。隨著個人通信的發展,無線局域網已經掀起了移動計算的新浪潮并在社會生活的方方面面得到了廣泛的應用。
然而,無線局域網在帶來便利的同時卻給整個網絡帶來了巨大的安全威脅。無線局域網信號在自由空間中進行傳輸,無法像有線網絡一樣通過對傳輸媒介的接入控制來保證數據不會被惡意竊聽并獲取。所以無線局域網面臨一系列的安全問題。首先,由于移動終端與網絡之間的無線接口是開放性的,使得在無線信道上傳送的信令和業務消息很容易被他人竊聽,且很難被發現。其次,移動終端與網絡之間缺乏固定的物理連接,用戶必須通過無線信道來傳送其身份信息,身份認證機制不完善。因此,無線局域網必須采取更嚴密的安全措施以確保通信安全。
無線局域網安全分為身份認證和數據傳輸安全兩大塊,有關無線局域網的安全策略也是圍繞這兩方面進行分析和設計。文獻[4]中提出的安全方案需要改動WLAN基礎設施來保障身份認證。文獻[5]中的安全方案基于對稱密碼體制的第三方認證來解決身份認證和密碼協商。文獻[6]提出了基于IPSec的解決方案。本文提出了基于OSI模型層次化的WLAN安全策略,在物理層、數據鏈路層、網絡層和應用層分別采取了相應的安全措施,能夠最大限度地保障無線局域網通信安全。
2.WLAN 物理層協議及MAC協議
IEEE 802.11x WLAN 的物理層定義了數據傳輸的信號特征和調制方式:射頻(RF)和紅外線(IR)傳輸。RF分為直接序列擴頻(DSSS)和跳頻擴頻(FHSS)兩種傳輸方式。DSSS采用擴展的冗余編碼方式進行數據傳輸,通過用高碼率的擴頻碼序列與數據信號相乘實現擴頻。FHSS系統中發射機的載波頻率在一個預定集合(2.4G一2.483G)中隨時跳變,接收方和發送方事先協商跳頻模式。
IEEE 802.11的數據鏈路層由邏輯鏈路控制子層(LLC)和介質訪問控制子層(MAC)組成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子層,并且與IEEE 802協議中所規定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC層的幀格式由幀頭(MAC Header)、幀實體(Frame Body)和錯誤檢查碼(FCS)共同構成。幀頭包括幀控制(Frame Control)、持續時間(Duration / ID)、地址信息(Address)和順序控制(Sequence Control)等字段,如圖1所示。
圖1:無線局域網幀頭結構
3.層次化的無線局域網安全策略
3.1 無線局域網安全技術及其缺陷
SSID (服務配置標識符) 用來標識無線局域網,無線AP默認定時進行SSID廣播,黑客利用偵測軟件可以輕易獲得SSID。無線AP中存有合法MAC地址列表,管理員通過手工維護合法MAC列表可控制無線終端的訪問權限。但是攻擊者通過無線偵聽即可獲取合法的MAC地址并非法接入。WEP在鏈路層采用RC4對稱加密技術,它將密鑰擴展成任意長度的偽隨機位“密鑰流”,該算法的缺陷是:如果對兩個不同的消息使用相同的IV和密鑰進行加密,則可完全破解兩個消息的信息。同時,如果通過無線偵聽收集到包含特定IV密鑰的分組信息并對其進行解析,那么連通用密鑰也可被破解出來。WAPI協議分為WAI和WPI兩部分,分別實現對用戶身份的鑒別和對傳輸的數據加密。由于WAPI與原有WiFi標準存在較大差異,在設備兼容方面存在問題。所以WAPI標準仍在推廣之中,并沒有應用到現有的無線局域網之中。
WLAN所面臨的安全威脅分為被動攻擊和主動攻擊兩大類。被動攻擊是對WLAN信號的竊聽或干擾,主動攻擊則是對WLAN進行非法接入并篡改網絡設置等活動。為部署更安全的無線局域網,必須完善無線局域網網絡安全策略,在OSI網絡模型之上進行嚴格把關,在無線設備和終端之間建立多層次的保護機制,從根本上做到防止非法用戶接入WLAN,并保證數據在傳輸過程中安全、保密。
3.2 層次化的無線局域網安全策略
無線局域網的安全貫穿網絡架構、使用和維護的整個過程,單層次的安全技術并不能保證無線通信的絕對安全,一個設計良好,架構完整的無線局域網安全方案應該基于OSI參考模型,以分層方式整合多種不同的安全措施,以最大限度來確保無線局域網的通信安全。
考慮到WLAN物理層的安全,在架構WLAN時,通過專用審計儀器測量架設環境,確定AP的最佳位置,控制發散區,盡量減少無線信號泄露到網絡范圍以外的區域。當網絡中存在多個AP時,調整各AP的工作頻道,最大限度的減少干擾。
WLAN數據鏈路層的安全重點是對無線設備合理高效的應用。在WLAN中,啟用AP的MAC地址過濾功能。啟用WPA或WEP加密,選擇104或40位(一些舊設備不支持104位)加密密鑰。
圖2:無線局域網安全構架
在配置無線AP時,將SSID設置為長而復雜的字符并關閉SSID廣播功能,在AP中設置最大長度的共享密鑰并定期更改密鑰,將WLAN的地址分配設置為靜態手工分配。同時應采用IPSec的嵌套通道來構造VPN的安全通信,以確保WLAN網絡層的安全。
應用層的安全至關重要。在客戶無線終端和無線網絡間建立VPN(虛擬專用網)連接,在無線終端和VPN網關之間建立一對一的安全連接。同時在WLAN中架設RADIUS(Remote Authentication Dial-In User Service)服務器,對系統的遠程連接進行身份驗證、為網絡資源提供授權并記錄日志。此外,應該在客戶終端中安裝個人防火墻并在WLAN中架設入侵檢測系統。
4.小結
隨著人們對無線互聯需求的增長, 無線局域網技術必將會得到進一步的發展, 其安全性也會逐步完善。本文分析了現有無線局域網的安全技術及其漏洞, 提出了更為安全可靠的無線局域網部署方案。
參考文獻:
[1] 劉峰,王相林.WLAN安全方案及802.11i標準研究.計算機工程與設計,2006年13期.
[2] 姚志強,蒲江,唐金藝.802.11無線局域網安全性分析.計算機安全,2006年 04期.
[3] 陳一天,Laingal Ming.802.11 WLAN通信安全的研究.計算機應用研究,2006年03期.
[4] 趙鵬,羅平,曹學武.改進無線局域網的安全.計算機工程與應用,2004年02期.
[5] 陳卓,陳建峽,楊木祥.基于對稱密碼體制的第三方認證的無線局域網安全方案研究.計算機工程與科學,2005年07期.
[6] 周星,康耀紅,孫盛杰.基于IPSec的無線局域網安全解決方案的研究.計算機工程與應用,2003年18期.
什么是無線局域網
無線局域網(Wireless Local Area Network,縮寫為"WLAN")是計算機網絡與無線通信技術相結合的產物。從專業角度講,無線局域網利用了無線多址信道的一種有效方法來支持計算機之間的通信,并為通信的移動化、個性化和多媒體應用提供了可能。通俗地說,無線局域網就是在不采用傳統纜線的同時,提供以太網或者令牌網絡的功能。
在同一建筑物之內,無線局域網使得信息交換、協作無論在線或者移動狀態下都能進行。只要在筆記本或PC上安裝PC Card適配器,用戶就能夠在無線網絡覆蓋區內自由移動而保持與網絡的聯結。將無線局域網技術應用到臺式機系統,則具有傳統局域網無法比擬的靈活性。桌面用戶能夠安放在纜線所無法到達的地方,臺式機的位置能夠隨時隨地進行變換。
按與有線局域網的關系,無線局域網分為獨立式和非獨立式兩種。獨立式無線局域網指整個網絡都使用無線通信的無線局域網,非獨立式無線局域網指局域網中無線網絡設備與有線網絡設備相結合使用的局域網。目前非獨立式無線局域網居于無線局域網的主流,在有線局域網的基礎上通過無線訪問節點、無線網橋、無線網卡等設備使無線通信得以實現,其本身還要依賴于有線局域網,是有線局域網的擴展和補充,而不是有線局域網的替代產品。非獨立式無線局域網的拓撲圖如圖1所示。
圖1中,帶有無線網卡的電腦與接入點(Access Point,簡稱"AP")實現無線通信,訪問點通過線纜與網絡的其他部分相連接。一個接入點覆蓋的半徑在35~100米之間,實際連接距離和速度視環境有無障礙物而定。
什么情形需要無線局域網絡
無線局域網絡絕不是用來取代有線局域網絡,而是用來彌補有線局域網絡之不足,以達到網絡延伸之目的,現在有線局域網技術已經發展得比較完善,但是什么情形需要使用無線局域網呢?因為無線局域網無線的特性具有常規網絡無可比擬的優點。下面就是無線局域網大顯身手的幾種場合。
移動辦公
有了無線局域網,你就可以充分享受無線的自由:到辦公室后,打開自己的筆記本電腦,就可以擺脫煩人的雙絞線,在公司內自由移動辦公了。而且,如果你來到分公司,如果他們也有無線局域網,你也可以直接聯入網絡,再也不用為找一個臨時座位和雙絞線而發愁了。
會議
會場布置過程中最令人頭痛的就是網絡布線,因為演示者很可能需要聯入網絡環境才能得心應手。如果拉雙絞線到會場,則會非常麻煩,既不美觀,也不方便,還存在來往人員被線纜絆倒或將線纜損壞的可能。此時,如果在會場附近架設無線局域網,使無線局域網覆蓋會場,筆記本電腦借助無線網卡上網,那么問題就會迎刃而解。
布線困難的場所
地方利用無線局域網進行信息的交流;零售商、空運和航運公司高峰時間所需的額外工作站等。
流動工作者可得到信息的區域:需要在醫院、零售商店或辦公室區域流動時得到信息的醫生、護士、零售商、白領工作者。
辦公室和家庭辦公室(SOHO)用戶,以及需要方便快捷地安裝小型網絡的用戶。
目前,無線局域網已經在教育、金融、健康、旅館以及零售業、制造業等各方面有了廣泛的應用。
目前的幾種無線網絡技術
目前,實現無線網絡的技術,有藍牙無線接入技術、家庭網絡的HomeRF以及IEEE802.11連接技術。
藍牙技術
Bluetooth(藍牙)是一種短距的無線通訊技術,電子裝置彼此可以透過藍牙而連接起來,傳統的電線在這里就毫無用武之地了。透過芯片上的無線接收器,配有藍牙技術的電子產品能夠在十米的距離內彼此相通,傳輸速度可以達到10M/s。以往紅外線接口的傳輸技術需要電子裝置在視線之內的距離,而現在有了藍牙技術,這樣的麻煩也可以免除了。不過Bluetooth產品致命的缺陷是任何藍牙產品都離不開Bluetooth芯片、Bluetooth模塊較難生產,Bluetooth難于全面測試。這三點是藍牙產品發展的瓶頸。
HomeRF技術
HomeRF是由HomeRF工作組開發的,是在家庭區域范圍內的任何地方,在PC機和用戶電子設備之間實現無線數字通信的開放性工業標準。作為無線技術方案,它代替了需要鋪設昂貴傳輸線的有線家庭網絡,為網絡中的設備,如筆記本電腦和Internet應用提供了漫游功能。HomeRF工作頻段是2.4GHz,支持數據和音頻。該協議的網絡是對等網,也就是說,網上的每一個節點都是西對獨立的,不受中央節點的控制。因此,任何一個節點離開網絡都不會影響到網絡上其他節點的正常工作。它的另外一個特點是低功耗,很適合筆記本電腦。
IEEE802.11 IEEE802.11是IEEE最初制定的一個無線局域網標準,主要用于解決辦公室局域網和校園網中用戶與用戶終端的無線接入,業務主要限于數據存取,速率最高只能達到2Mb/s。
由于IEEE802.11在速率和傳輸距離上都不能滿足人們的需要,因此,IEEE小組又相繼推出了IEEE802.11b和IEEE802.11a兩個新標準。三者之間技術上的主要差別在于MAC子層和物理層。此外還出現了最新802.11g。
本文主要討論以802.11b為基礎的無線局域網。
無線局域網的標準
20世紀90年代初,無線局域網設備就已經出現,但是由于價格、性能、通用性等種種原因,沒有得到廣泛應用。IEEE 802.11標準是IEEE(電氣和電子工程師協會)于1997年制定的一個無線局域網標準,主要用于解決辦公室局域網和校園網中設備的無線接入,速率最高只能達到2Mbps。由于IEEE 802.11標準在速率和傳輸距離上都不能滿足人們的需要,1999年IEEE小組又相繼推出了IEEE 802.11b和IEEE 802.11a兩個新標準。 由于802.11b和802.11a互不兼容,由802.11b升級到802.11a成本非常高,經過長時間的研究, IEEE于近日試驗性的批準了802.11g。
802.11
IEEE 802.11是最初的一個無線局域網標準,用于用戶與用戶終端的無線接入,業務主要限于數據存取,速率最高為2Mbps。目前,3Com等公司都有該標準的無線網卡。
WLAN的安全性
由于無線局域網采用公共的電磁波作為載體,因此對越權存取和竊聽的行為也更不容易防備。無線局域網必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。影響無線局域網安全的問題主要在以下方面:
數據保密。無線LAN網絡通信安全會受到幾方面的危害,例如傳輸中數據被人查看或捕獲,傳輸中數據被人改動、重新發送。
訪問和驗證。每個訪問點形成了通向網絡的一個新的入口。正因為如此,你會受到下列漏洞的威脅:首先,未授權實體進入網絡,瀏覽存放在網絡上的信息,或者是讓網絡感染上病毒。其次,未授權實體進入網絡,利用該網絡作為攻擊第三方網絡的出發點(致使受危害的網絡卻被誤認為攻擊始發者)。第三,入侵者對移動終端發動攻擊,或為了瀏覽移動終端上的信息,或為了通過受危害的移動設備訪問網絡。因此,我們在一開始應用無線網絡時,就應該充分考慮其安全性。常見的無線網絡安全技術有以下幾種:
服務集標識符(SSID)
通過對多個無線接入點AP設置不同的SSID,并要求無線工和站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區別限制。這只是一個簡單的口令,只能提供一定的安全;而且如果配置AP向外廣播其SSID,那么安全程度還將下降。
物理地址(MAC)過濾
由于每個無線工作站的網卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。
連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術,用戶的加密金鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)或128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務區內的所有用戶都共享一個密鑰,一個用戶丟失鑰匙將使整個網絡不安全。
虛擬專用網絡(VPN)
VPN是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性,它不屬于802.11標準定義;倡用戶可以借助VPN來抵抗無線網絡的不安全因素,同時還可以提供Radius的用戶認證以及計費。
端口訪問控制技術(802.1x)
該技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公共無線接入解決方案。
無線局域網的拓撲結構
無線局域網的拓撲結構可分為兩類:無中心拓撲(對等式拓撲)和有中心拓撲。無中心拓撲的網絡要求網中任意兩點均可直接通信。采用這種結構的網絡一般使用公用廣播信道,而信道接入控制(MAC)協議多采用載波監測多址接入(CSMA)類型的多址接入協議。有中心拓撲結構中則要求一個無線站點充當中心站,所有站點對網絡的訪問均由中心站控制。
對于不同局域網的應用環境與需求,無線局域網可采取不同的網絡結構來實現互連。
網橋連接型:不同的局域網之間互連時,由于物理上的原因,若采取有線方式不方便,則可利用無線網橋的方式實現二者的點對點連接,無線網橋不僅提供二者之間的物理與數據鏈路層的連接,還為兩個網的用戶提供較高層的路由與協議轉換。
基站接入型:當采用移動蜂窩通信網接入方式組建無線局域網時,各站點之間的通信是通過基站接入、數據交換方式來實現互連的。各移動站不僅可以通過交換中心自行組網,還可以通過廣域網與遠地站點組建自己的工作網絡。
Hub接入型:利用無線Hub可以組建星型結構的無線局域網,具有與有線Hub組網方式相類似的優點。在該結構基礎上的無線局域網,可采用類似于交換型以太網的工作方式,要求Hub具有簡單的網內交換功能。
無中心結構:要求網中任意兩個站點均可直接通信。此結構的無線局域網一般使用公用廣播信道,MAC層采用CSMA類型的多址接入協議。
無線局域網中數據量和接入點數量的關系
零售店環境
WLAN可以實現商場內擺設的靈活調整,并使PC和POS機終端和手持條碼掃描器與網絡隨時相連,由于數據傳輸量不大,2Mbps速率完全可以滿足要求。 所以接入點的數量少,以最低帶寬實現最大覆蓋面積。可實現2Mbps的最大覆蓋,在屋頂布線比較適宜。布置接入點的示意圖如圖3。
都市頻道應用方案
關鍵詞:數字化校園無線局城網應用探討
在教育信息化快速發展的今天,校園網已經成為校園生活的重要組成部分,是教職員工和學生獲取資源和信息的主要途徑。它將校園里的院系、學生與從事社交、學術、業務活動的行政人員緊密地聯系在一起,在教育系統中具有重要的作用。目前,越來越多的教師、學生擁有了筆記本電腦,他們渴望在教室、實驗室、圖書館和室外廣場等場地隨時隨地地接人互聯網或校園內網,及時地獲得所需的信息。
一、傳統有線網絡的局限性
(一)永遠不夠用的網絡信息點
在教學樓、學生宿舍樓,學校圖書館等校園內,學生的數量多而密集,大量的學生、教師要求接人校園網絡,于是有限的網絡接口就變得炙手可熱,甚至很多宿舍學生自己買了switch與之相連,導致滿宿舍的網線錯綜復雜,不易管理。
(二)無法及時獲取信息
在校園內的開闊地點,如草坪、操場、學術報告廳等,學生們休息的時候想瀏覽網頁;想上學校的BBS;想在網上視頻點播,但卻找不到網絡信息點。
(三)無法滿足開放式電子圖書資源的訪問
學校圖書館是學生查閱資料相對比較集中的地方,學生需要在圖書管理員處查詢、借還各種圖書,以及機房占用有限的網絡接口無法瀏覽電子圖書,所以經常可以看到在圖書管機房排著長長的隊伍。
無線局域網是無線通信技術與網絡技術相結合的產物。從專業角度講,無線局域網就是通過無線信道來實現網絡設備之間的通信,并實現通信的移動化、個性化和寬帶化。.通俗地講,無線局域網就是在不采用網線的情況下,提供以太網互聯功能。廣闊的應用前景、廣泛的市場需求以及技術上的可實現性,促進了無線局域網技術的完善和產業化,已經商用化的802.11b網絡也正在證實這一點。隨著802.1la網絡的商用和其他無線局域網技術的不斷發展,無線局域網將迎來發展的黃金時期。無線局域網逐步在企業、醫院、商店、工廠和學校等場合得到應用。
架設高校無線局域網所需的硬件設備如:
A無線網橋/網卡/路由器設備
B室外高增益天線系統
C網絡安全系統何選)無線網絡控制器
D避雷及防水設備
接人點通過天線與無線設備進行通信。一般一個接人點可以支持250個用戶,通過添加更多的接人點,可以輕松地擴大覆蓋范圍。實際運用中的邏輯結構圖如圖1
如果校園網中采用了無線網絡接人,這一切都會發生翻天覆地的變化:教學樓、宿舍區的學生可通過帶無線終端的設備(如:擁有IntelCentrino芯片的筆記本電腦)輕松聯人校園網絡,高達54Mbps的傳輸速度,可滿足師生瀏覽網頁、文件傳輸等多種需求;課后、周末的時候,學生在草坪、.操場等休憩場所隨時隨地進行網絡音樂、視頻的點播;圖書管理員的工作也變得井然有序,學生使用自己隨身攜帶的筆記本電腦聯人學校圖書管理系統,快速查找自己所需的資料,隨時檢查自己所借的圖書是否已到了歸還期,這一切讓校園生活變得輕松而時尚。無線局域網因其靈活移動、方便快捷的組網方式和低廉的價格,與教育界的網絡特性結合,創造出許多更經濟、高效、自由的應用方案,滿足從校間、校內、樓內、室內的新型網絡需求。
二、高校架設無線局域網的優勢
1.可以充分利用學校已有資源。當前,教師利用多媒體進行教學已經司空見慣,許多高校教師人手一臺筆記本電腦,許多高校已經基本形成無紙化課堂。隨著無線技術迅速發展,學校難以避免需要向無線局域網技術升級。無線局域網的架設,可以使用戶不再受線路的限制,并能使高速無線與各校已經安裝的有線局域網集成起來,從而保護學校和教師已有的投資。
2.可以很方便地擴容和調試。對于有線網絡來說,辦公地點或網絡拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網可以避免或減少以上情況的發生。使用無線接人方式,既可用于物理布線困難的地方,調試也相對簡單,又更能節省大量的維護費用,是目前局域網用戶升級、改造現有網絡最佳的途徑。
3.解決“信息孤島”問題。構建學校校園網,主要解決重要建筑之間的聯網,如通常會連接主樓、信息中心、圖書館等,一般采用光纖網絡的方式。許多距離較遠或用戶較少的建筑變成了“信息孤島”。在學校的主要室外活動地點如主廣場、運動場等架設一套無線網橋路由設備,配備大功率室外天線,裝有無線網卡的筆記本電腦用戶就可以享受無線網絡帶來的便利:可以在草地上查閱圖書管資料、在湖邊收發郵件、在樹蔭下、在網站上過行比賽文字現場直播!
4.可以節省大量專項經費。使用無線接人解決方案,可以節省大量的布線成本,僅需要在每個教室或宿舍的每個樓層預留一至兩個以太局域網接口,便可輕松實現無縫接人校園網。啟用無線接人解決方案后,教師和學生都使用筆記本電腦或PDA移動辦公,便可完全取代PC,因此學校就無需購置專用的教學PC,僅需購置幾十塊無線網卡即可。
5.可以充分覆蓋校園。合理地布置無線局域網接人點,可以使整個校園都有網絡,學校就不必再投人大量的資金來建設更多公共機房;在座位緊張的電子閱覽室,學生也不必為上機發愁,真正實現數字化校園的功能。而且由于沒有線纜的限制,學校可以方便地按需增加工作站或重新配置工作站。
6.可以讓網絡管理高效有序。采用無線接人的方式來訪問校園網,同有線網絡比較,安全維護上并不需要特殊的投資,在管理上則完全按照有線網絡來管理。即通過服務器來給不同的用戶設置權限,這樣不同的用戶只能訪問特定的資源。
7.有線局域網與無線局域網并存。自從上世紀末,各高校開始校園數字化建設起,各校大都進行并完成了有線局域網的架設工作,其間,因大學校園的擴建,網絡基礎設施建設進行了大規模的擴容和增加信息點,各種管理信息系統的上線,教育平臺的搭建上已經基本形成格局。根據對高速網絡技術及應用的需求,各大學可以采用以有線局域網為基礎的網絡平臺,構建各樣的無線局域網。校園網通常分為三級建設:核心層、分布層和接人層。只用在已經分布好的信息點處加裝一些無線寬帶路由器,即可實現一定范圍的無線局域網覆蓋面。雖然純無線局域網要比有線局域網成本高,但無線局域網會是有線方案的有利補充。隨著大學師生個人購買筆記本和PDA人數的增多,網絡無線化應用將會普及到校園中去。
無線局域網在能夠給網絡用戶帶來便捷和實用的同時,也存在著一些缺陷:
1.無線電波易受干擾,建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,會影響網絡的性能;
2.無線信道的傳輸速率與有線信道相比偏低;
3.從理論上講,無線網絡更容易被監測到信息,造成通信信息泄漏。
可采用揚長避短,針對性策略:
1.組合使用安全技術保障信息安全。對于安全性要求更高的用戶,將現有的VPN安全技術與802.11b安全技術結合起來,是目前較為理想的無線局域網絡的安全解決方案。
盡管IT的寒冬還未渡過,但WLAN以其便利的安裝、使用,高速的接入速度,可移動的接入方式贏得了眾多公司、政府、個人以及電信運營商的青睞。但WLAN中,由于傳送的數據是利用無線電波在空中輻射傳播,無線電波可以穿透天花板、地板和墻壁,發射的數據可能到達預期之外的、安裝在不同樓層,甚至是發射機所在的大樓之外的接收設備,數據安全也就成為最重要的問題。
問題一:容易侵入
無線局域網非常容易被發現,為了能夠使用戶發現無線網絡的存在,網絡必須發送有特定參數的信標幀,這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發起攻擊而不需要任何物理方式的侵入。
解決方案:加強網絡訪問控制
容易訪問不等于容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏,當然通過強大的網絡訪問控制可以減少無線網絡配置的風險。如果將AP安置在像防火墻這樣的網絡安全設備的外面,最好考慮通過VPN技術連接到主干網絡,更好的辦法是使用基于IEEE802.1x的新的無線網絡產品。IEEE802.1x定義了用戶級認證的新的幀的類型,借助于企業網已經存在的用戶數據庫,將前端基于IEEE802.1X無線網絡的認證轉換到后端基于有線網絡的RASIUS認證。
問題二 :非法的AP
無線局域網易于訪問和配置簡單的特性,使網絡管理員和安全官員非常頭痛。因為任何人的計算機都可以通過自己購買的AP,不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網,用戶通過非法AP接入給網絡帶來很大安全隱患。
解決方案:定期進行的站點審查
像其他許多網絡一樣,無線網絡在安全管理方面也有相應的要求。在入侵者使用網絡之前通過接收天線找到未被授權的網絡,通過物理站點的監測應當盡可能地頻繁進行,頻繁的監測可增加發現非法配置站點的存在幾率,但是這樣會花費很多的時間并且移動性很差。一種折衷的辦法是選擇小型的手持式檢測設備。管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測。
問題三:經授權使用服務
一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改。幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。由于無線局域網的開放式訪問方式,未經授權擅自使用網絡資源不僅會增加帶寬費用,更可能會導致法律糾紛。而且未經授權的用戶沒有遵守服務提供商提出的服務條款,可能會導致ISP中斷服務。
解決方案:加強安全認證
最好的防御方法就是阻止未被認證的用戶進入網絡,由于訪問特權是基于用戶身份的,所以通過加密辦法對認證過程進行加密是進行認證的前提,通過VPN技術能夠有效地保護通過電波傳輸的網絡流量。
一旦網絡成功配置,嚴格的認證方式和認證策略將是至關重要的。另外還需要定期對無線網絡進行測試,以確保網絡設備使用了安全認證機制,并確保網絡設備的配置正常。
問題四:服務和性能的限制
無線局域網的傳輸帶寬是有限的,由于物理層的開銷,使無線局域網的實際最高有效吞吐量僅為標準的一半,并且該帶寬是被AP所有用戶共享的。
無線帶寬可以被幾種方式吞噬:來自有線網絡遠遠超過無線網絡帶寬的網絡流量,如果攻擊者從快速以太網發送大量的Ping流量,就會輕易地吞噬AP有限的帶寬;如果發送廣播流量,就會同時阻塞多個AP;攻擊者可以在同無線網絡相同的無線信道內發送信號,這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適應,同樣影響無線網絡的傳輸;另外,傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網絡流量。
解決方案:網絡檢測
定位性能故障應當從監測和發現問題入手,很多AP可以通過SNMP報告統計信息,但是信息十分有限,不能反映用戶的實際問題。而無線網絡測試儀則能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型,幫助進行故障定位。
問題五:地址欺騙和會話攔截
由于802.11無線局域網對數據幀不進行認證操作,攻擊者可以通過欺騙幀去重定向數據流和使ARP表變得混亂,通過非常簡單的方法,攻擊者可以輕易獲得網絡中站點的MAC地址,這些地址可以被用來惡意攻擊時使用。
除攻擊者通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。然而,由于802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網絡,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前,通過會話攔截實現的網絡入侵是無法避免的。
解決方案:同重要網絡隔離
在802.11i被正式批準之前,MAC地址欺騙對無線網絡的威脅依然存在。網絡管理員必須將無線網絡同易受攻擊的核心網絡脫離開。
問題六 :流量分析與流量偵聽
802.11無法防止攻擊者采用被動方式監聽網絡流量,而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前,WEP有漏洞可以被攻擊者利用,它僅能保護用戶和網絡通信的初始數據,并且管理和控制幀是不能被WEP加密和認證的,這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。早期,WEP非常容易被Airsnort、WEPcrack一類的工具解密,但后來很多廠商的固件可以避免這些已知的攻擊。作為防護功能的擴展,最新的無線局域網產品的防護功能更進了一步,利用密鑰管理協議實現每15分鐘更換一次WEP密鑰。即使最繁忙的網絡也不會在這么短的時間內產生足夠的數據證實攻擊者破獲密鑰。
解決方案:采用可靠的協議進行加密
如果用戶的無線網絡用于傳輸比較敏感的數據,那么僅用WEP加密方式是遠遠不夠的,需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。
問題七:高級入侵
一旦攻擊者進入無線網絡,它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼,以防止非法攻擊,但是在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干,但這樣會使網絡暴露在攻擊者面前。即使有一定邊界安全設備的網絡,同樣也會使網絡暴露出來從而遭到攻擊。
關鍵詞:無線局域網安全技術;WEP;WPA;WAPI;VPN
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)10-2274-02
隨著互聯網的迅速發展和網絡社會化的到來,無線局域網的應用也越來越廣泛。無線局域網最大的優點就是實現了網絡互聯的可移動性,它能大幅提高用戶訪問信息的及時性和有效性。但無線局域網具有開放性、互聯性和共享性的特點,因此無線局域網面臨著更嚴峻的安全問題。
1 無線局域網存在的安全威脅
無線局域網存在的安全威脅,最大問題在于無線通信設備在自由空間中進行傳輸,無法通過對傳輸媒介接入控制保證數據不會被未經授權的用戶獲取。現代無線局域網面臨的主要安全威脅:
1.1 無線局域網探測
當前網絡上有不同操作系統平臺下的多種無線局域網探測和定位軟件,其中最著名是由Marius Milner開發的Netstumbler。這種軟件能夠收集到無線局域網覆蓋區域內的數據包,比如WEP密鑰加密包,并進行分析以恢復WEP密鑰,最快可以在很短時間內攻破WEP密鑰。
1.2 無線局域網監聽
目前絕大多數無線AP屬于無線集線器,對于線集線器共享網絡環境,只要把網絡適配器設置成混雜工作模式,就能監聽到整個WLAN內的數據帖流量。
1.3 無線局域網欺詐
無線局域網欺詐就是利用默認配置漏洞、加密漏洞、密鑰管理漏洞和服務設置標識漏洞等突破身份認證的封鎖,假冒合法無線客戶端騙取WLAN的信任,竊聽重要信息或非法訪問資源的攻擊行為。
1.4 無線局域網劫持
無線局域網劫持是指通過偽造ARP緩沖表,使會話流向指定惡意無線客戶端的攻擊行為。ARP發送請求進程與偵聽應答進程之間的無關聯性,為通過偽造MAC地址實現會話劫持提供了機會。
2 無線局域網安全標準
在國際上,為了確保不同廠家生產設備之間的互操性,ITU-R,IEEE和Wi-Fi聯盟3個組織制定了WLAN標準。常見的WLAN標準有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11i和IEEE 802.11n等。
WAPI是無線局域網鑒別和保密基礎結構,是一種無線局域網安全協議,同時也是中國無線局域網強制性標準中的安全機制。
3 無線局域網安全技術
隨著信息技術的不斷發展,在對無線局域網安全問題的研究過程中,出現了適應不同環境下的無線局域網安全技術。
3.1 防問控制技術
3.1.1 服務區標識符(SSID)匹配
無線工作站必須出示正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP。如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令,從而提供口令誰機制,實現一定的安全。在無線局域網接入點AP上對此項技術就是可不讓AP廣播其SSID號,這樣無線工作站就必須主動提供正確的SSID號才能與AP進行關聯。
3.1.2 無線網卡物理地址(MAC)過濾
每個無線工作站都有唯一的物理地址標識,網絡管理員可在無線局域網訪問點中手工維護一組允許訪問的MAC地址列表,以實現物理地址的訪問過濾。
3.1.3 端口訪問控制技術(IEEE 802.1 x)和可擴展認證協議
這是用于無線局域網的一種增強性網絡安全方案。當無線工作站與無線訪問點AP關聯后,是否可以使用AP的服務決于802.1x的認證結果。如果認證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網。現在,安全功能比較全的AP在支持IEEE802.1x和Radius的集中認證時支持的可擴展認證協議類型有:EAP-MD5&TLS、TTLS和PEAP。
3.2 數據加密技術
3.2.1WEP有線等價保密
有線等價保密WEP是IEEE 802.11a,IEEE 802.11b和IEEE 802.11g無線局域網采用的安全保護機制,只要正確配置WEP的全部安全功能,WEP仍然能夠為WLAN應用提供基本的保密性和完整性。WEP加密利用共享密鑰在提供數據傳輸保密性的同時,也提供了身份認證機制,能夠在一定程度上防止通過無線鏈路泄露、竊聽和非法訪問等惡意行為。
3.2.2 WPA
WPA是IEEE 802.11i 標準的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案。有WPA 和 WPA2兩個標準,它是應研究者在前一代的系統有線等效加密(WEP)中找到的幾個嚴重的弱點而產生的。在現有的WEP加密引擎中增加了“密鑰細分”,“消息完整性檢查”,“具有序列功能的初始向量”和“密鑰生成和定期更新功能”4種算法,極大提高了加密安全強度。該標準的數據加密采用TKIP協議(Temporary Key Integrity Protocol),認證有兩種模式可供選擇,一種是使用802.1x協議進行認證;一種是稱為預先共享密鑰PSK(Pre-Shared Key)模式。
3.3 認證技術
3.3.1 基于PPPoE的認證
PPPoE認證是出現最早也是最為成熟的一種認證機制,現有的寬帶接入技術采用這種接入認證方式。在無線局域中,采用PPPoE認證,只需對原有的后臺系統增加相關的軟件模塊,就可以達到認證目的,從而大大節省投資,因此使用較為廣泛。
3.3.2 基于WEB的認證
WEB認證相比PPPoE認證,一個非常重要的特點就是客戶端除了IE瀏覽器外不需要安裝認證客戶端軟件,給用戶面去了安裝、配置與管理客戶端軟件的煩惱,也給維護人員減少了很多相關維護壓力。
3.3.3 基于802.1x認證
802.1x認證是采用802.1x協議的認證方式的總稱。IEEE802.1x協議由IEEE于2001年6月提出,是一種基于端口的訪問控制協議,能夠實現對局域網設備的安全認證和授權。802.1x協議的基礎在于EAP認證協議,即IEEE提出的PPP協議的擴展。IEEE 802.1x協議的體系結構包括3個重要的部分:客戶端、認證系統和認證服務器,者之間通過EAP協議進行通信。
3.4 虛擬專用網(VPN)技術
目前廣泛應用于廣域網絡及遠程接入等領域的VPN安全技術也可以用于無線局域網。與IEEE802.1x標準所采用的安全技術不同,VPN主要采用DFS,3DFS等技術來保障數據傳輸的安全。對于安全性要求更高的用戶,將現有的VPN安全技術與IEEE802.1x安全技術結合起來,是目前較為理想的無線局域網絡的安全解決方案之一。與WEP機制和MAC地址過濾接入不同,VPN方案具有較強的擴沖及升級性能,可應用于大規模的無線網絡。
4 結束語
無線局域網目前正處于蓬勃發展時期,而無線局域網安全問題也是業界尤為關注的焦點之一。無線局域網安全技術是一個不斷改善和升級的過程,只有在現有的無線局域網安全框架基礎上,運用相關的關鍵技術搭建一個增強的,有足夠安全性的無線局域網,才能推動無線局域網的實際應用,尤其是在企業、機關等重要部門中使用。也只有這樣,無線局域網才能安全順利地與其它有線網絡、無線網絡乃至3G網絡實現互聯互通,發揮其巨大的潛力。
參考文獻:
[1] 程勝軍,韓桂華.無線局域網安全技術研究[J].軟件導刊,2008(7).
[2] 鄭向軍.無線局域網安全技術研探討[J].福建電腦,2009(10).
在家里構建一個屬于自己的無線局域網,讓數據在家庭網絡中“再飛一會兒”――這聽上去很美。然而,如果把這個想法付諸實踐,大家就不得不面對無線局域網的種種主客觀局限。怎樣才能讓不帶Wi-Fi模塊的數字電視機借助無線局域網播放電腦上的高清視頻文件呢?想在任意角落借助無線局域網播放NAS上面的音樂嗎?這似乎也不太靠譜,因為無線局域網的信號覆蓋范圍相當有限。與之形成鮮明對比的是,選擇電力線局域網就無需擔心信號覆蓋范圍限制,因為電力線局域網借用家庭電路來充當傳輸介質。
電力線局域網可以完美替代無線局域網嗎?為了尋求這個問題的答案,4位CHIP全球測試中心總部編輯在位于德國的住宅中進行了實地測試。
持久性測試:性能大PK
新一代無線路由器的標稱數據傳輸速率已達450Mb/s(約56MB/s),電力線適配器的標稱數據傳輸速率更高達500Mb/s(約62MB/s)。不過,它們的實際表現如何呢?CHIP選擇了兩款有代表性的產品來測試,它們是無線路由器Trendnet TEW-691GR和電力線適配器NETGEAR500(XAVB5001)。
CHIP測試人員分別使用它們組建無線局域網、電力線局域網,并選取了一臺上網本和一臺NAS來測試這兩個網絡中的數據傳輸速率。
理論上來說,按照無線局域網遵循的最新802.11n標準,無線路由器可以為距離300m以內的終端提供無線信號。但真實的信號覆蓋范圍要小得多。因為其信號采用的2.4GHz頻段電波會被墻壁阻擋,而且容易與水分子發生共振而削弱,從而導致信號強度隨距離提升而急劇衰減。
電力線局域網的數據傳輸介質就是供電線路。電力線適配器會將數據轉換成頻率為2MHz~30MHz的電波,然后發送到電線上――另一個適配器接收到這些電波并且轉換回數據。電力線局域網的安裝方式極其簡單:只需將兩個電力線適配器插到電源插座,然后分別將它們用網線連接到上網本、NAS。如果擔心他人盜用網絡,那么不妨設置一個密碼。
小戶型:無線局域網占優
對無線局域網來說,面積大約為40m2的“一室戶”公寓是最恰當的測試環境:在這里將上網本、NAS連接到無線路由器,它們就可以穩定、高速地互傳數據――NAS采用有線連接方式而上網本采用無線連接方式,當上網本與無線路由器的距離為2m、兩者之間不存在任何阻礙物時,NAS與上網本之間的實測數據傳輸速率可達18MB/s。然而,一旦將無線路由器挪到地面上,拿著上網本在房間內走動并讓桌腳始終阻擋在兩者之間,兩者之間的實測數據傳輸速率就會立刻下降大約2MB/s――這種情況在傳輸多個大文件時顯現得尤其明顯。
在同樣的環境中,電力線局域網令人失望。由于“一室戶”公寓的墻壁上并未預留太多電路插座,CHIP測試人員只能讓電力線適配器與家電設備共享插板,而這會導致電力線局域網的傳輸速率明顯降低。此外,家庭電路里的所有設備都可能帶來不良影響,比如說,處于同一回路上的設備的功率變化就能讓電力線局域網的傳輸速率降低。在電路中加入整流器有助于減輕這種不良影響。
CHIP測試人員在擁有兩個房間、墻壁厚實濕潤的公寓中分別部署這兩類網絡,發現情況與之類似。雖然當上網本和無線路由器處在不同的房間里時,無線局域網的實測數據傳輸速率下降了大約1/3,但這樣的速率仍足以保證瀏覽網頁、無延時地播放NAS上存放的高清電影。而電力線局域網的實測數據傳輸速率急劇降到6MB/s左右。為了消除其他連入電路的設備帶來的影響,CHIP測試人員將電視機、家庭影院控制臺和臺式電腦的電源線都拔掉了――但電力線局域網的表現依然不見起色。經過反復測試,真正的原因被找到了,那就是配對的電力線適配器所使用的插座正好位于電路中的不同相位。CHIP測試人員使用了相位耦合器,這使得電力線局域網的實測數據傳輸速率從6MB/s提升到8MB/s――不過考慮到相位耦合器的昂貴售價,這種解決方案略顯奢侈。
總之,在小戶型住宅中構建家庭網絡時,無線局域網是首選。無線局域網在近距離內能提供出色的性能表現,顯得更加靈活易用,更能可靠地傳輸數據。不過,在嘗試構建無線局域網時,請用戶務必牢記安裝操作步驟,并且把無線局域網加密。構建電力線局域網確實顯得更加簡單,但其數據傳輸速率較低,而且用戶仍然需要使用令人煩惱的網線來連接電力線適配器和上網本等終端。
大戶型:電力線局域網更佳
然而,當用戶需要在大戶型住宅中構建家庭網絡時,電力線局域網的優勢就明顯了。在擁有4個房間的住宅中,無線局域網的信號很難覆蓋它的所有區域。即便上網本從遠處連接到了無線路由器,斷線的情況也時常發生。想要快樂地瀏覽網頁?不用抱多大指望。當然,在這樣的惡劣環境下,用戶就更別想借助無線局域網來傳輸音樂、電影了。如果用戶仍然堅持選擇無線局域網,那么無線中繼器是不錯的選擇。無線中繼器可以偵聽周圍的Wi-Fi信號并且將它放大后傳送到預定目的地。
反之,電力線局域網在這樣的環境下可以正常工作:在大戶型住宅中尋找閑置的插座并不困難。電力線適配器可以保證兩個分別位于住宅任意角落的終端設備之間的數據傳輸速率達到4MB/s~5MB/s――這已足以滿足家庭網絡中的絕大多數應用。值得一提的是,用戶最好選擇來自同一廠商的多個電力線適配器,因為不同廠商的產品之間可能存在著兼容性問題,這也使得升級擴充電力線局域網略顯麻煩。此外,如果某個房間內只有一個閑置插座,那么不妨部署路由器或交換機來配合電力線適配器工作。
兩類網絡的最終較量在獨棟復式住宅中進行,這里的家庭網絡需要從底樓部署到頂樓。無線局域網能夠勝任嗎?測試結果足以說明問題:無線局域網顯得相當不切合實際環境,因為處于各樓層內的終端都必須借助無線中繼器才能連入無線局域網。
然而,電力線局域網可以輕松完成部署家庭網絡的任務,雖然這棟復式住宅已經建成10年、其電路已經略有老化――通過電力線局域網,頂樓房間內的上網本可以順暢地放映位于地下室的NAS里的高清電影,兩者之間傳輸單個3GB大小的文件僅需10分鐘。而安放在地下室內的無線路由器僅能將其信號覆蓋到地下室和一樓。
因此,在大戶型住宅中,電力線局域網明顯更能承擔起建立大范圍家庭網絡的任務。不過,考慮到諸多移動終端的存在,將電力線局域網與無線局域網結合起來應該是更為理想的解決方案。
無線局域網
信號覆蓋范圍不足
通常,無線局域網提供的信號在穿透兩堵承重墻或兩層天花板后就會衰減到無法正常連接的地步。如果用戶需要擴充無線局域網的信號覆蓋范圍,那就需要額外配備無線中繼器。
易于為移動終端提供服務
如今,諸如手機、平板之類的移動終端大多內置了Wi-Fi模塊,而3G上網的資費又居高不下。想要使用這些移動終端的用戶可以將它們連入無線局域網以節省寶貴的3G流量。
無線家庭娛樂體驗
主流的高清播放機、音響產品也內置了Wi-Fi模塊。用戶可以借助無線局域網搭建家庭娛樂環境,避免了部署網線的麻煩。倘若選擇電力線局域網,又會遭遇“插座數量不夠”的問題。
傳輸速率易受環境影響
天花板和墻壁會阻礙、吸收無線局域網信號,而信號強度的衰減意味著無線傳輸速率的暴跌。
電力線局域網
大覆蓋范圍
跟無線局域網不同,在電力線局域網中,終端與路由器之間的物理距離并不明顯影響速度――同一個電表內的供電線路都可以充當電力線局域網的傳輸介質。
移動性較差
電力線適配器通常只提供一個RJ-45接口,用戶需要把它連接到額外配備的無線局域網設備,搭建出無線局域網,以便于使用手機、平板等移動終端進行連接。
部署的煩惱
電力線適配器需要獨占插座且與其他適配器并聯,因為適配器串聯會明顯影響其數據傳輸速率。
速率受相位影響
如果電力線適配器工作在不同的相位下,其數據傳輸速率就會明顯受到影響。此時,用戶可以借助相位耦合器(Phase coupler)來解決問題。
相位耦合器價格昂貴,所以我們建議用戶在三相電環境中將所有電力線適配器連在同一相電路上。
無線局域網的特點
無線,顯得靈活易用。
存在著諸多可用的終端產品。
數據傳輸速率隨距離增長而明顯下降。
無線信號很難穿透兩層以上的承重墻、天花板。
Trendnet TEW-691GR
標稱傳輸速率:450Mb/s
網購價:1800元
電力線局域網的特點
易于安裝、構建網絡。
能保持一定的數據傳輸速率。
需結合無線局域網設備來為移動終端服務。
不同品牌的電力線適配器之間存在著兼容性問題。
NETGEAR500(XAVB5001)
標稱傳輸速率:500Mb/s
網購價:1800元一對
數據傳輸速率對比
無線局域網在近距離內使用明顯占優勢,但墻壁會極大影響無線信號強度。在終端設備之間隔著幾個房間的情況下,電力線局域網是更好的選擇,因為它可以在距離較遠時保證數據傳輸速率。
改善家庭網絡環境的小建議
無線局域網非常容易受到環境影響,所以最好把無線路由器擺放在四周沒有障礙的位置。此外,如果無線局域網的數據傳輸速率較低,用戶不妨切換一下無線路由器的工作頻道,比如說從11頻道切換到6頻道。
關鍵詞:無線局域網;校園網;傳輸帶寬
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)24-6629-02
The Application of WLAN Technology In Campus Network
HE Cheng-qian1, LU Man-li2
(1.Yangzhou Polytechnic College,Yangzhou 225009,China;2.Yangzhou Vocational College of Environment and Resources, Yangzhou 225007,China)
Abstract: In this paper, the author supplies an overview of WLAN, and then, introduces current application of WLAN technology in Campus Network,analies the difference between WLAN and wired networks,for the advantages and defects of WLAN, advances the present practicalapplication prospect of WLAN technology in Campus Network.
Key words: WLAN; gampus network; transportation bandwidth
目前校園網用戶有多種新的需求,如網絡信息點流動的需求、難以布線區域網絡接入需求、降低成本和保護投資的需求等等。這些迫切的需求問題目前都難以通過有線介質網絡技術加以解決,所以在原有網絡基礎下使用無線局域網技術建立無線校園網,方便或是完善校園網的功能,已成為現代化校園網的一個重要標志。根據相關報道,2008年6月,中國已有600所高校建設無線校園網。
1 校園對無線局域網的需求
21世紀是數字化、網絡化、信息化的世紀。隨著信息技術的飛速發展和教育信息化程度的提高, 在校園網內全面實現全面信息電子化交換和信息資源共享成為必要。從而在原有的網絡基礎上提出了新的一些問題:
1)網絡擴展問題:隨著校園的發展,有一定物理分隔的老校區與新校區之間可能需要實現網絡互聯,比如新老校區間需跨越城市主干道;或是建筑物之間的不易架設網線的網絡互聯,比如建筑物之間有河流、湖泊等自然阻隔,這些情況下使用有線網絡介質實現網絡互聯都比較困難;
2)移動獲取網絡服務問題:隨著筆記本電腦、掌上電腦等移動智能設備的普及,這類移動性強設備對網絡接入服務提出了很高的移動性要求,而當前有線網絡環境卻無法滿足此項要求;
3)網絡接入要求密集問題:當大量用戶在一個相對空間狹小的地點同時要求網絡接入時,比如學校電子閱覽室,如果用電纜連網,恐怕連鋪設電纜的位置都很難找到的情況;
要解決上述問題,就促使我們必須打破有線網絡通信介質的束縛,尋求使用無線局域網通信介質擴充網絡的解決方案。
2 無線局域網的性能和特點
無線局域網(WLAN)是指利用無線電波作為傳輸介質,使用無線射頻(RF)技術實現與設備位置無關的網絡數據傳輸體統,是一種數據傳輸系統,是從有線網絡系統發展而來的一種新技術,使用無線射頻技術通過空中收發數據,從而減少使用有線連接。一般來說,凡是采用無線傳輸數據或媒體計算機網絡都稱為無線網絡,它是計算機網絡與無線通信技術相互結合共同發展的產物。
當前,在諸多計算機連網技術中,無線局域網技術以其無需布線、在一定區域漫游、安裝運行費用低廉等特點,在許多場合發揮著其他連網技術不可替代的作用。
3 無線局域網在校園網應用優勢
如前所述,根據無線局域網技術的特點,其在校園網應用中的具有一些優勢,這些優勢主要表現在三種典型的應用:
3.1 無線局域網實現校園網擴展中的優勢
無線局域網的安裝維護簡單,無需布線或開挖溝槽可實現快速安裝,對在已建建筑群區域使用,及對具有一定物理分隔或是其他無法進行有線傳輸介質鋪設的網絡連接需要時,無線局域網能提供更簡單的網絡接入保障。另外,當網絡發生故障時,網絡管理員不必巡線尋找損壞的線路,只要檢查信號發送與接收端的信號是否正常即可判斷網絡故障所在。因此使用無線局域網技術相比使用有線網絡技術而言,在很大程度上簡化施工維護難度的同時還能有效地削減施工成本。
3.2 無線局域網實現校園網移動接入的優勢
無線局域網技術具有無縫覆蓋, 不受布線接點位置的限制的優點,使傳統的有線網絡傳輸距離得到了無線的延伸,克服了布線困難的問題。有線網絡難以延伸的區域,可由無線局域網覆蓋,在無線局域網的信號覆蓋范圍內的任何一個位置都可以接入網絡,使得網絡的接入和擴容非常的靈活。具有有線網絡不具有可移動性,為學生和教師提供移動網絡服務。傳統校園網為學生和教師提供了像互聯網接入、圖書館和數據中心等服務,但是用戶為了使用這類服務不得不整天在它們之間奔波。如果學生與教師使用了配有無線網卡的便攜式計算機,他們就可以在學校的任何時間、任何地點來使用這些校園網提供的服務,可以很方便地建立虛擬教室和調研項目,為學生提供方便即時的無線上網服務。
另外,無線局域網還可以對臨時教學活動提供靈活方便的服務。一間教室有可能有不同用途,而該教室中的計算機也可能需要被拿到另外的教室中用于其它用途。無線局域網產品可以很容易地實現這些頻繁移動的計算機之間的網絡互連,從而很快地將一個本來是用于其他目的的教室變成你需要的功能教室,省去了布線的費用以及所耗精力。
3.3 無線局域網技術實現校園網密集接入的優勢
無線局域網技術具有大容量接入,且不受布線束縛接入方便的特點,一個信道可以支持多用戶共享,大大的提高了設備邏輯端口密度,更適合在用戶密集的熱點地區部署。就目前使用的無線局域網接入設備而言,理論上一臺AP(無線訪問節點)可以提供250臺以上安裝了無線網卡的電腦或其他移動智能設備接入網絡,由于沒有線纜,根本上解決了有線網絡在密集接入中需要考慮的布線問題和多交換機級聯、多交換機設置等問題。同時也節省了購置線纜和其他網絡連接設備的費用。對于校園網中電子閱覽室、禮堂等這類室內空間且需要提供密集連接場所的網絡接入要求,相比使用有線網絡技術而言,使用無線局域網技術的確可以起到事半功倍的效果。
并且,無線局域網采用CSMA/CA介質訪問協議,與有線以太網IEEE802.3的MAC物理鏈路層標準CSMA/CD兼容,所以能與標準以太網及目前的幾種主流的網絡操作系統完全兼容。因此,在網絡連接由有線以太網方式改為無線局域網方式時,用戶已有的網絡軟件可不做任何的設置修改,就能在新的網絡環境中正常運行。所以在原有有線網絡環境下實現無線網絡的改造比較方便。
4 無線局域網在校園網應用中的缺點
目前無線局域網技術在校園網絡中仍然無法完全取代有線網絡的,其原因主要在于一下三方面:
4.1 信號抗干擾性、穿透性弱
我們目前的校園環境中的無線信號本就種類繁多。比如校園內的廣播站信號,移動通信信號甚至是辦公室里的微波爐產生的微波,而這些都能對同樣利用無線電波作為傳輸介質的無線局域網產生影響。這和通常使用抗輻射屏蔽技術的無線局域網傳輸介質相比的能力有較大的差異。而且無線電波的較差,當AP與安裝無線網卡的接入設備之間有建筑或其他各種障礙物或干擾體遮擋時,信號的衰減相當明顯,這也是無法和有線網絡相比的。
4.2 傳輸距離有限
由表1可知無線局域網的理論最大傳輸距離比較有線網絡的沒有優勢。且由于上文所述無線局域網信號抗干擾性、穿透性弱的原因,在實際應用中其有效傳輸距離往往很大程度上低于理論最大值。故而在進行長距離網絡傳輸時,還是使用有線網絡技術。
4.3 數據傳輸帶寬有限
從表2和表3中我們可以看出,就理論數值分析,無線局域網的速度較有線網絡有一定的差距。而且,一般狀態下無線局域網的用戶實際使用中上并未達到理論速度的最大值。業界公認,無線局域網的實際傳輸速度是最大傳輸速度的一半以下。而這樣的速度僅僅接近100M有線網絡的傳輸帶寬。更何況由于前文提到的原因,無線信號易受干擾,在傳輸距離較長時,信號衰變較快,因而上述的實際傳輸帶寬也僅僅時短距離,無信號干擾的理想環境中的測試值。因此在對傳輸帶寬要求比較高的的網絡部分,比如校園網主干網建議使用有線網絡技術架設。
5 結束語
從前文可以看出,校園網中引入無線局域網技術能很好的擴展和補充單一有線局域網的缺點,這樣的綜合方案能有效的涉及校園網絡的實際建設要求,在現階段無線局域網雖然無法完全取代有線局域網的傳輸主干的作用,但可以明顯的增強原有有線校園網的實用性,補充原有有線校園網的功能性。隨著無線通信技術的成熟和提高,無線局域網技術必將得到廣泛的應用,使校園網中無線局域網與有線網絡的結合使用成為當前校園網絡發展趨勢。
參考文獻:
[1] 謝希仁.計算機網絡[M].2版.北京:電子工業出版社,1999.
[2] 趙國芳,嚴戰友.校園網的無線設計方案[J].通信信息技術,2005,4:44-47.
[3] 崔少儀.無線局域網的優勢及在校園應用探討[J].金卡工程,2005,8:45-49.
[4] 龍.淺析無線局域網技術[J].應用能源技術,2006,4:45-48.
關鍵詞:數字化校園無線局城網應用
在教育信息化快速發展的今天,校園網已經成為校園生活的重要組成部分,是教職員工和學生獲取資源和信息的主要途徑。它將校園里的院系、學生與從事社交、學術、業務活動的行政人員緊密地聯系在一起,在教育系統中具有重要的作用。目前,越來越多的教師、學生擁有了筆記本電腦,他們渴望在教室、實驗室、圖書館和室外廣場等場地隨時隨地地接入互聯網或校園內網,及時地獲得所需的信息。
一、傳統有線網絡的局限性
(1)永遠不夠用的網絡信息點。在教學樓、學生宿舍樓,學校圖書館等校園內,學生的數量多而密集,大量的學生、教師要求接入校園網絡,于是有限的網絡接口就變得炙手可熱,甚至很多宿舍學生自己買了switch與之相連,導致滿宿舍的網線錯綜復雜,不易管理。
(2)無法及時獲取信息。在校園內的開闊地點,如草坪、操場、學術報告廳等,學生們休息的時候想瀏覽網頁;想上學校的BBS;想在網上視頻點播,但卻找不到網絡信息點。
(3)無法滿足開放式電子圖書資源的訪問。學校圖書館是學生查閱資料相對比較集中的地方,學生需要在圖書管理員處查詢、借還各種圖書,以及機房占用有限的網絡接口無法瀏覽電子圖書,所以經常可以看到在圖書管機房排著長長的隊伍。
無線局域網是無線通信技術與網絡技術相結合的產物。從專業角度講,無線局域網就是通過無線信道來實現網絡設備之間的通信,并實現通信的移動化、個性化和寬帶化。.通俗地講,無線局域網就是在不采用網線的情況下,提供以太網互聯功能。廣闊的應用前景、廣泛的市場需求以及技術上的可實現性,促進了無線局域網技術的完善和產業化,已經商用化的802.11b網絡也正在證實這一點。隨著802.1la網絡的商用和其他無線局域網技術的不斷發展,無線局域網將迎來發展的黃金時期。無線局域網逐步在企業、醫院、商店、工廠和學校等場合得到應用。
架設高職院校無線局域網所需的硬件設備如:
A.無線網橋/網卡/路由器設備
B.室外高增益天線系統
C.網絡安全系統(可選)無線網絡控制器
D.避雷及防水設備
接入點通過天線與無線設備進行通信。一般一個接入點可以支持250個用戶,通過添加更多的接入點,可以輕松地擴大覆蓋范圍。
二、高職院校架設無線局域網的優勢
(1)可以充分利用學校已有資源。當前,教師利用多媒體進行教學已經司空見慣,許多高職院校教師人手一臺筆記本電腦,許多高職院校已經基本形成無紙化課堂。隨著無線技術迅速發展,學校難以避免需要向無線局域網技術升級。無線局域網的架設,可以使用戶不再受線路的限制,并能使高速無線與各校已經安裝的有線局域網集成起來,從而保護學校和教師已有的投資。
(2)可以很方便地擴容和調試。對于有線網絡來說,辦公地點或網絡拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網可以避免或減少以上情況的發生。使用無線接入方式,既可用于物理布線困難的地方,調試也相對簡單,又更能節省大量的維護費用,是目前局域網用戶升級、改造現有網絡最佳的途徑。
(3)解決“信息孤島”問題。構建學校校園網,主要解決重要建筑之間的聯網,如通常會連接主樓、信息中心、圖書館等,一般采用光纖網絡的方式。許多距離較遠或用戶較少的建筑變成了“信息孤島”。在學校的主要室外活動地點如主廣場、運動場等架設一套無線網橋路由設備,配備大功率室外天線,裝有無線網卡的筆記本電腦用戶就可以享受無線網絡帶來的便利:可以在草地上查閱圖書管資料、在湖邊收發郵件、在樹蔭下、在網站上過行比賽文字現場直播!
(4)可以節省大量專項經費。使用無線接入解決方案,可以節省大量的布線成本,僅需要在每個教室或宿舍的每個樓層預留一至兩個以太局域網接口,便可輕松實現無縫接入校園網。啟用無線接入解決方案后,教師和學生都使用筆記本電腦或PDA移動辦公,便可完全取代PC,因此學校就無需購置專用的教學PC,僅需購置幾十塊無線網卡即可。
(5)可以充分覆蓋校園。合理地布置無線局域網接入點,可以使整個校園都有網絡,學校就不必再投人大量的資金來建設更多公共機房;在座位緊張的電子閱覽室,學生也不必為上機發愁,真正實現數字化校園的功能。而且由于沒有線纜的限制,學校可以方便地按需增加工作站或重新配置工作站。
(6)可以讓網絡管理高效有序。采用無線接入的方式來訪問校園網,同有線網絡比較,安全維護上并不需要特殊的投資,在管理上則完全按照有線網絡來管理。即通過服務器來給不同的用戶設置權限,這樣不同的用戶只能訪問特定的資源。
(7)有線局域網與無線局域網并存。自從上世紀末,各高職院校開始校園數字化建設起,各校大都進行并完成了有線局域網的架設工作,其間,因大學校園的擴建,網絡基礎設施建設進行了大規模的擴容和增加信息點,各種管理信息系統的上線,教育平臺的搭建上已經基本形成格局。根據對高速網絡技術及應用的需求,各大學可以采用以有線局域網為基礎的網絡平臺,構建各樣的無線局域網。校園網通常分為三級建設:核心層、分布層和接入層。只用在已經分布好的信息點處加裝一些無線寬帶路由器,即可實現一定范圍的無線局域網覆蓋面。雖然純無線局域網要比有線局域網成本高,但無線局域網會是有線方案的有利補充。隨著大學師生個人購買筆記本和PDA人數的增多,網絡無線化應用將會普及到校園中去。
無線局域網在技術上已經日漸成熟,應用日趨廣泛,無線局域網將從小范圍應用進人主流應用。大學校園應大力進行校園無線局域網技術的研究和實用化工作,抓住無線局域網發展的契機。不但可極大地推動國家信息化的發展進程,還將為我國信息產業和通信市場步入國際市場創造了機會與條件。
參考文獻:
[1]張棋,邢露.無線網絡的安全與對策.《河南科技:上半月》,2010年第12期
關鍵詞 : 無線局域網;安全;802.11標準;有線等效保密;WAPI鑒別與保密
1 引言
經過20多年的發展,無線局域網(Wireless Local Area Network,WLAN),已經成為一種比較成熟的技術,應用也越來越廣泛,是計算機有線網絡的一個必不可少的補充。WLAN的最大優點就是實現了網絡互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網應用是基于開放系統的,它具有更大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安全問題。
無線局域網的安全問題伴隨著市場與產業結構的升級而日益凸現,安全問題已經成為WLAN走入信息化的核心舞臺,成為無線局域網技術在電子政務、行業應用和企業信息化中大展拳腳的桎梏。
2 無線局域網的安全威脅
隨著公司無線局域網的大范圍推廣普及使用,WLAN網絡信息系統所面臨的安全問題也發生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發起攻擊,而且我們的系統還同時要面臨來自外部、內部、自然等多方面的威脅。
由于無線局域網采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權存取和竊聽的行為也更不容易防備。無線局域網必須考慮的安全威脅有以下幾種:
>所有有線網絡存在的安全威脅和隱患都存在;
>無線局域網的無需連線便可以在信號覆蓋范圍內進行網絡接入的嘗試,一定程度上暴露了網絡的存在;
>無線局域網使用的是ISM公用頻段,使用無需申請,相鄰設備之間潛在著電磁破壞(干擾)問題;
>外部人員可以通過無線網絡繞過防火墻,對公司網絡進行非授權存取;
>無線網絡傳輸的信息沒有加密或者加密很弱,易被竊取、竄改和插入;
> 無線網絡易被拒絕服務攻擊(DOS)和干擾;
> 內部員工可以設置無線網卡為P2P模式與外部員工連接。
3 無線局域網的安全保障
自從無線局域網誕生之日起,安全患與其靈活便捷的優勢就一直共存,安全問題的解決方案從反面制約和影響著無線局域網技術的推廣和應用。為了保證無線局域網的安全性,IEEE 802.11系列標準從多個層次定義了安全性控制手段。
3.1 SSID訪問控制
服務集標識符(Service Set Identifier,SSID)這是人們最早使用的一種WLAN安全認證方式。服務集標識符SSID,也稱業務組標識符,是一個WLAN的標識碼,相當于有線局域網的工作組(WORKGROUP)。無線工作站只有出示正確的SSID才能接入WLAN,因此可以認為SSID是一個簡單的口令,通過對AP點和網卡設置復雜的SSID(服務集標識符),并根據需求確定是否需要漫游來確定是否需要MAC地址綁定,同時禁止AP向外廣播SSID。嚴格來說SSID不屬于安全機制,只不過,可以用它作為一種實現訪問控制的手段。
3.2 MAC地址過濾
MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認證,而不是用戶認證。MAC地址過濾這種很常用的接入控制技術,在運營商鋪設的有線網絡中也經常使用,即只允許合法的MAC地址終端接入網絡。用無線局域網中,AP只允許合法的MAC地址終端接入BSS,從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新,但是目前都是通過手工操作完成,因此擴展能力差,只適合小型網絡規模,同時這種方法的效率也會隨著終端數目的增加而降低。
3.3 802.11的認證服務
802.11站點(AP或工作站)在與另一個站點通信之前都必須進行認證服務,兩個站點能否通過認證是能否相互通信的根據。802.11標準定義了兩種認證服務:開放系統認證和共享密鑰認證。采用共享密鑰認證的工作站必須執行有線等效保密協議(Wires Equivalent Privacy,WEP)。
WEP利用一個64位的啟動源密鑰和RC4加密算法保護調制數據傳輸。WEP為對稱加密,屬于序列密碼。為了解決密鑰重用的問題,WEP算法中引入了初始向量(Initialilization Vector,IV),IV為一隨機數,每次加密時隨機產生,IV與原密鑰結合作為加密的密鑰。由于IV并不屬于密鑰的一部分,所以無須保密,多以明文形式傳輸。
WEP協議自公布以來,它的安全機制就遭到了廣泛的抨擊,主要問題如下:
(1) WEP加密存在固有的缺陷,它的密鑰固定且比較短(只有64-24=40bits)。
(2) IV的使用解決了密鑰重用的問題,但是IV的長度太短,強度并不高,同時IV多以明文形式傳輸,帶來嚴重的安全隱患。
(3) 密鑰管理是密碼體制中最關鍵的問題之一,但是802.11中并沒有具體規定密鑰的生成、分發、更新、備份、恢復以及更改的機制。
(4) WEP的密鑰在傳遞過程中容易被截獲。
所有上述因素都增加了以WEP作為安全手段的WLAN的安全風險。目前在因特網上已經出現了許多可供下載的WEP破解工具軟件,例如WEPCrack和AirSnort。
4 WLAN安全的增強性技術
隨著WLAN應用的進一步發展,802.11規定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發展和應用,業界積極研究,開發了很多增強WLAN安全性的方法。
4.1 802.1x擴展認證協議
【關鍵詞】無線局域網 安全性 IEEE802.11
1 簡介
無線局域網具有組網靈活、接入簡便和適用范圍廣泛的特點,但由于其基于無線路徑進行傳播,因此傳播方式的開放性特性給無線局域網的安全設計和實現帶來了很大的問題。目前無線局域網的主流標準為IEEE802.11,但其存在設計缺陷,缺少密鑰管理,存在很多安全漏洞。
2 無線局域網的結構
2.1 網橋連接型
不同的局域網之間互聯時,由于物理上的原因,若采取有線方式不方便,則可利用無線網橋的方式實現二者的點對點連接,無線網橋不僅提供二者之間的物理與數據鏈路層的連接,還為兩個網的用戶提供較高層的路由與協議轉換。
2.2 基站接入型
當采用移動蜂窩通信網接入方式組建無線局域網時,各站點之間的通信是通過基站接入、數據交換方式來實現互聯的。各移動站不僅可以通過交換中心自行組網,還可以通過廣域網與遠地站點組建自己的工作網絡。
2.3 HUB接入型
利用無線Hub可以組建星型結構的無線局域網,具有與有線Hub組網方式相類似的優點。在該結構基礎上的WLAN,可采用類似于交換型以太網的工作方式,要求Hub具有簡單的網內交換功能。
2.4 無中心結構
要求網中任意兩個站點均可直接通信。此結構的無線局域網一般使用公用廣播信道,MAC層采用CSMA類型的多址接入協議。
無線局域網可以在普通局域網基礎上通過無線Hub、無線接入站(AP)、無線網橋、無線Modem及無線網卡等來實現,其中以無線網卡最為普遍,使用最多。
3 無線局域網的安全現狀及安全性缺陷
3.1 靜態密鑰的缺陷
靜態分配的WEP密鑰一般保存在適配卡的非易失性存儲器中,因此當適配卡丟失或者被盜用后,非法用戶都可以利用此卡非法訪問網絡。除非用戶及時告知管理員,否則將產生嚴重的安全問題。及時的更新共同使用的密鑰并重新新的密鑰可以避免此問題,但當用戶少時,管理員可以定期更新這個靜態配置的密鑰,而且工作量也不大。但是在用戶數量可觀時,即便可以通過某些方法對所有AP(接入點)上的密鑰一起更新以減輕管理員的配置任務,管理員及時更新這些密鑰的工作量也是難以想像的。
3.2 訪問控制機制的安全缺陷
3.2.1 封閉網絡訪問控制機制
幾個管理消息中都包括網絡名稱或SSID,并且這些消息被接入點和用戶在網絡中廣播,并不受到任何阻礙。結果是攻擊者可以很容易地嗅探到網絡名稱,獲得共享密鑰,從而連接到“受保護”的網絡上。
3.2.2 以太網MAC地址訪問控制表
MAC地址很容易的就會被攻擊者嗅探到,如激活了WEP,MAC地址也必須暴露在外;而且大多數的無線網卡可以用軟件來改變MAC地址。因此,攻擊者可以竊聽到有效的MAC地址,然后進行編程將有效地址寫到無線網卡中,從而偽裝一個有效地址,越過訪問控制。
4 無線局域網安全保障策略
4.1 SSID訪問控制
通過對多個無線接人點AP設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接人,并對資源訪問的權限進行區別限制。
4.2 MAC地址過濾
每個無線客戶端網卡都有唯一的一個物理地址,因此可以通過手工的方式在在AP中設置一組允許訪問的MAC地址列表,實現物理地址過濾。
4.3 使用移動管理器
使用移動管理器可以用來增強無線局域網的安全性能,實現接入點的安全特性。移動管理器可以提高無線網絡的清晰度,當網絡出現問題時,它能產生告警信號通知網絡管理員,使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險,網絡管理員設置一個網絡行為的門限,這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置,可以防止入侵者通過改變接入點配置而連接到網絡上。
4.4 運用VPN技術
VPN技術的運用可以為無線網絡的安全性能提供保障。VPN技術通過三級安全保障:用戶認證、加密和數據認證來實現無線網絡的安全性保證。用戶認證確保只有已被授權的用戶才能夠進行無線網絡連接、發送和接收數據。加密確保即使攻擊者攔截竊聽到傳輸信號,沒有充足的時間和精力他也不能將這些信息解密。數據認證確保在無線網絡上傳輸的數據的完整性,保證所有業務流都是來自已經得到認證的設備。
4.5 采用802.1x 基于端口的認證協議
802.1x為接入控制搭建了一個新的框架,使得系統可以根據用戶的認證結果決定是否開放服務端口。基于802.1x認證體系結構,其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方完成。接入設備用來傳送用戶與后臺RADIUS服務器之間的會話數據包。這種認證機制的好處是方便了管理,可以更容易地與現有的資源融合,802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,更適合公共無線接入解決方案。在采用802.1x的WLAN中,無線用戶端安裝802.1x客戶端軟件,無線AP內嵌802.1x認證,同時它還作為RADIUS服務器的客戶端,負責用戶與RADIUS服務器之間認證信息的轉發。當無線客戶端登錄到無線訪問AP點后,是否可使用AP的服務取決于802.1x的認證結果。如果認證通過,則AP為客戶端打開這個邏輯端口,否則不允許用戶上網。
5 結論
無線網絡的出現就是為了解決有線網絡無法克服的困難。雖然無線網絡有諸多優勢,但與有線網絡相比,無線局域網也有很多不足。無線網絡速率較慢、價格較高,因而它主要面向有特定需求的用戶。目前無線局域網還不能完全脫離有線網絡,無線網絡與有線網絡是互補的關系,而不是競爭,目前還只是有線網絡的補充,而不是替換。但也應該看到,近年來,無線局域網產品的價格正逐漸下降,相應軟件也逐漸成熟。此外,無線局域網已能夠通過與廣域網相結合的形式提供移動互聯網的多媒體業務。相信在未來,無線局域網將以它的高速傳輸能力和靈活性發揮更加重要的作用。
參考文獻
[1]張仕斌.網絡安全技術[M].北京:清華大學出版社,2004.
[2]趙偉艇.無線局域網的加密和訪問控制安全性分析[J].微計算機信息,2007(21).
[3]趙琴.淺談無線網絡的安全性研究[J].機械管理開發,2008,(01).
關鍵詞:無線局域網;安全;用戶管理
江蘇質監信息化高速發展,傳統的有線局域網在承擔大量數據運行的同時出現了瓶頸阻塞。例如在某些場合要受到布線的限制,布線、改線工程量大,線路容易損壞,網中的各節點不可移動,特別是當要把相離較遠的節點聯結起來時,敷設專用通訊線路布線施工難度之大,費用、耗時之多等等。面對迅速擴大的應用需求,針對有線局域網的不足,構建一套無線局域網作為其補充,是信息化建設發展中重要而有效的一部分。
1、無線局域網簡介
無線局域網絡(wireless Local Area Networks:WLAN)是相當便利的數據傳輸系統,它利用射頻(Radio Frequency;RF)的技術,取代舊式礙手礙腳的雙絞銅線(Coaxial)所構成的局域網絡,使得無線局域網絡能利用簡單的存取架構讓用戶透過它,達到“信息隨身化、便利走天下”的理想境界。
相對于傳統的有線局域網,它的優勢體現在:
(1)靈活性和移動性。在有線網絡中,網絡設備的安放位置受網絡位置的限制,而無線局域網在無線信號覆蓋區域內的任何一個位置都可以接入網絡。無線局域網另一個最大的優點在于其移動性,連接到無線局域網的用戶可以移動且能同時與網絡保持連接。
(2)安裝便捷。無線局域網可以免去或最大程度地減少網絡布線的工作量,一般只要安裝一個或多個接入點設備,就可建立覆蓋整個區域的局域網絡。
(3)易于進行網絡規劃和調整。對于有線網絡來說,辦公地點或網絡拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線局域網可以避免或減少以上情況的發生。
(4)故障定位容易。有線網絡一旦出現物理故障,尤其是由于線路連接不良而造成的網絡中斷,往往很難查明,而且檢修線路需要付出很大的代價。無線網絡則很容易定位故障,只需更換故障設備即可恢復網絡連接。
(5)易于擴展。無線局域網有多種配置方式,可以很快從只有幾個用戶的小型局域網擴展到上千用戶的大型網絡,并且能夠提供節點間“漫游”等有線網絡無法實現的特性。由于無線局域網有以上諸多優點,因此其發展十分迅速。最近幾年,無線局域網已經在企業、醫院、商店、工廠和學校等場合得到了廣泛的應用。
無線局域網在能夠給網絡用戶帶來便捷和實用的同時,也存在著一些缺陷。無線局域網的不足之處體現在以下幾個方面:
(1)性能。無線局域網是依靠無線電波進行傳輸的。這些電波通過無線發射裝置進行發射,而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,所以會影響網絡的性能。
(2)速率。無線信道的傳輸速率與有線信道相比要低得多。目前,無線局域網的最大傳輸速率為1Gbit/s,只適合于個人終端和小規模網絡應用。
(3)安全性。本質上無線電波不要求建立物理的連接通道,無線信號是發散的。從理論上講,很容易監聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
因此,在江蘇質監信息化建設中,建設無線局域網作為主干有線局域網的一個有效補充,發揮其優勢,控制其弱點,使之更好地服務于江蘇質監信息化應用。
2、無線局域網設計方案
2.1 無線局域網標準
由于WLAN是基于計算機網絡與無線通信技術,在計算機網絡結構中,邏輯鏈路控制(LLC)層及其之上的應用層對不同的物理層的要求可以是相同的,也可以是不同的,因此,WLAN標準主要是針對物理層和媒質訪問控制層(MAC),涉及到所使用的無線頻率范圍、空中接口通信協議等技術規范與技術標準。
1990年IEEE802標準化委員會成立IEEE802.11WLAN標準工作組。IEEE802.11(別名:Wi-Fi(wirelessFidelity)無線保真)是在1997年6月由大量的局域網以及計算機專家審定通過的標準,該標準定義物理層和媒體訪問控制(MAC)規范。物理層定義了數據傳輸的信號特征和調制,定義了兩個RF傳輸方法和一個紅外線傳輸方法,RF傳輸標準是跳頻擴頻和直接序列擴頻,工作在2.4000~2.4835Gttz頻段。
IEEE802.11是IEEE最初制定的一個無線局域網標準,主要用于解決辦公室局域網和校園網中用戶與用戶終端的無線接入,業務主要限于數據訪問,速率最高只能達到2Mbps。由于它在速率和傳輸距離上都不能滿足人們的需要,所以IEEE802.11標準被IEEE802.11b所取代了。
IEEE802.11b
1999年9月IEEE802.11b被正式批準,該標準規定WLANT作頻段在2.4-2.4835GHz,數據傳輸速率達到11Mbps,傳輸距離控制在50-150英尺。該標準是對IEEE802.11的一個補充,采用補償編碼鍵控調制方式,采用點對點模式和基本模式兩運作模式,在數據傳輸速率方面可以根據實際情況在11Mbps、5.5Mbps、2Mbps、iMbps的不同速率間自動切換,它改變了WLAN設計狀況,擴大了WLAN的應用領域。
IEEE802.11b已成為當前主流的WLAN標準,被多數廠商所采用,所推出的產品廣泛應用于辦公室、家庭、賓館、車站、機場等眾多場合,但是由于許多WLAN的新標準的出現,IEEES02。11a和IEEE802.11g更是倍受業界關注。
IEEE802.11a
1999年,IEEE802.11a標準制定完成,該標準規定WLAN工作頻段在5.15-5.825GHz,數據傳輸速率達到54Mbps/72Mbps(Turbo),傳輸距離控制在i0-100米。該標準也是IEEE802.11的一個補充,擴充了標準的物理層,采用正交頻分復用(OFDM)的獨特擴頻技術,采用QFSK調制方式,可提供25Mbps的無線ATM接口和lOMbps的以太網無線幀結構接口,支持多種業務如話音、數據和圖像等,一個扇區可以接入多個用戶,每個用戶可帶多個用戶終端。
IEEE802.11a標準是IEEE802。11b的后續標準,其設計初衷是取代802.11b標準,然而,工作于2.4GHz頻帶是不需要執照的,該頻段屬于工業、教育、醫療等專用頻段,是公開的,工作于5.15-8.825GHz頻帶需要執照的。一些公司仍沒有表示對802.11a標準的支持,一些公司更加看好最新混合標準——802.11g。
IEEE802.11g
目前,IEEE推出最新版本IEEE802.11g認證標準,該標準提出擁有IEEE802.11a的傳輸速率,安全性較IEEE802.11b好,采用2種調制方式,含802.11a中采用的OFDM和IEEE802.11b中采用的CCK,做到與802.11a和802.11b兼容。
江蘇質監無線局域網組網方案中采用了802.11g標準。
2.2 無線局域網網絡結構
江蘇質監辦公大樓已建成可連接互聯網的有線網絡環境,因此,可以在原有的網絡環境上擴展部署無線接入設備,用戶成功連接無線接入設備后通過有線網絡到達網關訪問網絡資源和互聯網,從而很好地將無線網絡與原有的有線網絡無縫結合在一起。
采用無線控制器統一管理所有“瘦”AP,在無線局域網的管理、維護、性能上有較大的優勢,具體體現在:
(1)管理權全部集中在無線控制器上,可以對全網無線設備進行統一管理,批量配置、升級,無線AP可以做到“零配置”,大大降低管理和維護成本;
(2)無線控制器智能管理所有AP頻譜,限制無線信號之間的干擾,有效提高網絡的性能和穩定性;
(3)無線控制器動態調整所有AP功率,優化無線信號覆蓋范圍,智能分配客戶端連接不同的AP進行負載均衡,提高網絡使用效率。
(4)全網使用唯一的SSID,在該SSID下動態分配不同的VLAN,改善用戶體驗,同時達到不同用戶不同管理策略的管理要求。
2.2.1 無線局域網的主要設備
(1)無線控制器H3C WXS004
提供對802.1ln AP的管理,提供靈活的數據轉發方式,支持運營級無線用戶接入控制和管理,提供高可靠的備份功能,支持信道智能切換,支持智能AP負載分擔,支持7層移動安全檢測/防御(WIDS/WIPS),支持RealTime Spectrum Guard(實時頻譜保護)模式,支持智能無線業務感知(WIAA),支持遠程探針分析,內置射頻優化引擎(ROE),支持802.1x認證,MAC地址認證,Portal認證等,支持IPv4/IPv6雙協議棧(Native IPv6),提供端到端的OoS,支持快速的二、三層漫游,支持多種分支機構遠程接入場景等。
(2)無線AP WA2612-AGN
實現高性能無線接入和最佳無線網絡TCO,綠色低碳設計,提供千兆以太網接口有線連接,支持Fat/Fit兩種模式,提供本地轉發功能,支持IPv4/IPv6雙協議棧,支持智能負載均衡,提供only 11n接入功能,支持中國標準WAPI,支持無線入侵檢測/防御(WIDS/WIPS),提供EAD無線接入,支持中文SSID,支持TR-069特性(CWMP),全面支持智能型有線無線一體化管理等。
2.2.2 無線接入點(Access Point,AP)的設計
根據江蘇質監大樓實際情況,無線覆蓋設計歸納為兩大類:AP室內無障礙覆蓋,AP室內穿越障礙覆蓋。
(1)AP室內無障礙覆蓋
主要應用于空間較大的會議室等重點室內區域,此時主要信號進行此空間內覆蓋,無需要考慮到穿越墻壁、地板等障礙物對隔壁空間的覆蓋。室內部分采用吸頂天線的方式進行操作。
(2)AP室內穿越障礙覆蓋
主要應用于辦公樓內中間走廊兩邊房間結構室內區域,因為無線信號穿越墻壁、地板等障礙物會存在衰減,但在走廊式結構的室內區域具備一定的穿越障礙的能力,一般是穿越一道墻壁之后信號效果較好。因此這樣的結構適合在走廊中布置AP,來覆蓋兩邊的房間區域,采用吸項天線的方式進行操作。
針對AP設備的供電問題,由于無線局域網中AP設備數量較多,AP布放的位置又必須根據實際覆蓋的效果而調整,在已建設完成的建筑物上較難進行本地供電。采取的方案是通過在接入交換機處疊加一個供電電源,通過以太網線在傳輸數據同時給AP供電,供電距離達100米,滿足了實際組網的要求。
根據無線網絡工作原理,無線信號在多個子頻道同時工作的情況下,為保證頻道之間不相互干擾,要求兩個頻道的中心頻率間隔不能低于25MHz。IEEE802.11g標準采用2.4G頻率工作,無線信號2.4-2.483G的13個頻段內最多可以提供3個不重疊的頻道同時工作。因此,在部署無線AP時,需將每個樓層的4個AP的工作子頻道錯井,上下樓層相鄰的AP同樣錯開工作子頻道從而避免干擾問題,實現無線信號有效的交叉覆蓋。
3、無線局域網安全
3.1 WEP加密
WEP(Wired Equivalent Privacy,有線等效保密),有線等效保密協議是對在兩臺設備間無線傳輸的數據進行加密的方式,用以防止非法用戶竊聽或侵入無線網絡。WEP是1999年9月通過的IEEES02.11標準的一部分,使用RC4(Rirest Cipher)串流加密技術達到機密性,并使用CRC-32驗和達到資料正確性。標準的64比特WEP使用40比特的鑰匙接上24比特的初向量(initialization vector,IV)成為RC傭的鑰匙。它的安全技術源自于名為RC4的RsA數據加密技術,是無線局域網WLAN的必要的安全防護層。目前常見的是64位WEP加密和128位WAP加密。
但是,越來越多的研究表明,由于對流密碼算法Rc4的設計不當造成了WEP保密協議存在著各種各樣的安全漏洞,它無法有效保證數據的機密性、完整性和對接入用戶實現身份認證。
3.2 WPA/WPA2加密
WPA(Wi-Fi Protected Access),有WPA和WPA2兩個標準,是一種保護無線電腦網絡(wi-Fi)安全的系統,它是應研究者在前一代的系統有線等效加密(WEP)中找到的幾個嚴重的弱點而產生的。
WPA是一種基于標準的可互操作的WLAN安全性增強解決方案,可大大增強現有以及未來無線局域網系統的數據保護和訪問控制水平。WPA源于正在制定中的IEEE802.1li標準并將與之保持前向兼容。部署適當的話,WPA可保證WLAN用戶的數據受到保護,并且只有授權的網絡用戶才可以訪問WLAN網絡。
由于WEP業已證明的不安全性,在802.11i協議完善前,采用WPA為用戶提供一個臨時性的解決方案。該標準的數據加密采用TKIP協議(Temporary Key Integrity Protoc01),認證有兩種模式可供選擇,一種是使用802.1x協議進行認證:一種是稱為預先共享密鑰PSK(Pre-Shared Key)模式。WPA實現了IEEE802.11i標準的大部分,是在802.11i完備之前替代WEP的過渡方案。WPA的設計可以用在所有的無線網卡上,但未必能用在第一代的無線接入點上。Wi-Fi聯盟制定802.11 i協議后,正式推出了WPA2加密方式,WPA2采用了更安全的算法,以CCMP(Counter-Mode/CBC-MAC Protoc01)取代了WPA的TKILAES(Advanced Encryption Standard)加密算法取代了WPA的MIC,使得WLAN的安全程度大大提高。WPA2實現了完整的標準,但不能用在某些古老的網卡上。
這兩個都提供優良的安全能力,但也都有兩個明顯的問題:WPA或WPA2一定要啟動并且被選來代替WEP才有用,但是大部分的安裝指引都把WEP列為第一選擇。
3.3 江蘇質監無線局域網加密方式
考慮到AES的加密方法雖然安全性高,但并不是全部的客戶端設備都支持AES加密,而大部分客戶端都很好的支持了TKIP協議。因此,在江蘇質監無線局域中,針對辦公人員采用WPA2以及TKIP的加密方式。對于訪客,由于其只是臨時性接入網絡,安全性要求不高,因此,采用64位密鑰的開放式WEP驗證模式,同時,為了防止訪客在接入網絡后有惡意行為,對其訪問資源和訪問速度都做了相應的限制,在相關策略下有條件的訪問互聯網以及相關的內網資源。
4、用戶身份管理
4.1 IEEE 802.1X協議及可擴展認證協議(EAP)
IEEE 802.1X標準定義了基于端口的網絡訪問控制,可用于為以太網絡提供經過身份驗證的網絡訪問。基于端口的網絡訪問控制使用交換局域網基礎結構的物理特征來對連接到交換機端口的設備進行身份驗證。如果身份驗證過程失敗,使用以太網交換機端口來發送和接收幀的能力就會被拒絕。雖然這個標準是為有線以太網絡設計的,但是其已經過改編以便在IEEE802.11無線局域網上應用。
IEEE 802.1X認證包括三個部分:請求方、認證方、認證服務器。請求方就是希望接入無線局域網來上網的設備,比如一臺筆記本,有時候也指設備上運行的客戶端軟件;認證方則是管理接入的設備,比如以太網交換機或者無線接入點:認證服務器就是一個運行有支持RADIUS和EAP的軟件的主機。在認證過程中認證方起到了關鍵作用。它將網絡接入端口分成兩個邏輯端口:受控端口和非受控端口,非受控端口始終對用戶開放,只允許用于傳送認證信息,認證通過之后,受控端口才會打開,用戶才能正常訪問網絡服務。
EAP(Extentional Authentication Protocol,可擴展的認證協議),這是一個能夠為沒有接入網絡的設備提供認證及網絡接入的服務,工作于0SI七層模型中的數據鏈路層。之所以稱其為“可擴展的”,是因為協議只是規定了一個框架,允許根據實際需要自行定制,但是它要求標準符合IEEE標準中對于安全性的要求。
EAP協議類型包括Cisco公司的輕量可擴展認證協議(LEAP),傳輸層安全可擴展認證協議(TLS),微軟的受保護的可擴展認證協議(PEAP),隧道的傳輸層安全可擴展認證協議(TTLS)等等。由于受保護的可擴展認證協議(PEAP)配置較簡單、安全性較高以及江蘇質監無線客戶端基本上都是微軟操作系統,可以完全支持PEAP協議,因此江蘇質監無線局域網采用802.1x協議/PEAP協議進行用戶身份認證,以提高安全性。
4.2 身份集中管理系統
在江蘇質監無線局域網中大約有300個用戶,采用802.1x協議認證方式需要存儲所有的用戶信息,若采用非集中式管理方法,一個典型的問題便是需要在不同位置存儲所有的身份信息,其復雜程度以及管理成本之高可想而知。因此,采用集中式用戶管理方式較為合理。
