搜索
小型办公室WLAN方案06通信(2)班冯群英060306221小型办公室WLAN的构建对办公的效率进一步提高。下面浅谈一下如何合理的构建小型办公WLAN。在50个节点以内的小型办公室网络中,除了用有线以太网来部署外,还可以用纯WLAN无线网络进行部署。现假设有一个50个左右用户的小型企业,用户分散在开发部、生产部、技术部、’市场部、行政部等几个部门办公室之中(具体是否在同一楼层不重要),并且每个部门的用户数基本上都在10个左右,每个办公室采用一个单独的AP,每个办公室中各无线用户通过无线网卡与相应办公室的AP连接,然后通过有线交换机与各AP的连接把各用户集中在一起,再与其他部分的有线网络连接(如服务器等),网络拓扑结构如图8—12所示。方案简介对于这样一个典型的应用环境,就目前来说最好选择IEEE802.11g标准的无线网络设备组合方案(虽然IEEE802.11a标准产品也可提供54Mbps接入性能,但它的产品价格通常比工作在免费频道的IEEE802.11g标准产品的要贵,而且不与以前的IEEE802.11b标准设备兼容),这样每个办公室可以只用一个AP,即可实现54Mbps的高性能连接。下面介绍我国台湾省的D-LINK公司的IEEE802.1lg产品方案。在D-LINK公司中,它的WLAN无线产品方案非常齐全,从最基本的IEEE802.11b标准,到自己开发,性能更高的108MbpsIEEE802.11g+规范产品应有尽有。对于这类5O个节点以内的小型办公室网络来说,目前的选择余地非常广,在D-LINK产品方案中就有3种:基本型的54MbpsIEEE802.1lg标准产品方案,增强型的54MbpsIEEE802.11g标准产品方案,以及自己开发的IEEE802.11g+规范产品方案。不过,对于普通的小型办公室用户,最好选择相对廉价的IEEE802.11g标准产品方案和增强型的54MbpsIEEE802.11g标准产品方案。方案产品介绍下面分别介绍D-LINK公司的基本型的54MbpsIEEE802.11g标准产品方案和增强型的54MbpsIEEE802.11g标准产品方案。IEEE802.11g+规范产品方案将在下节多媒体应用环境中进行介绍。1.基本型IEEE802.11g方案基本型的IEEE802.11g标准产品方案那就是它的D-LinkAirPlusG54M无线产品系列。这个系列中产品非常多,而且其中的产品也在不断地更新换代,但它们所支持的标准都是IEEE802.11g,最高传输性能为标准的54Mbps。在此仅介绍这一系列中的无线接入点、无线网卡和无线路由器3类的最新代表产品,下同。D-LinkAirPlusG54M无线产品系列不但可完全兼容IEEE802.1lb11Mbps无线产品,同时信息吞吐量高达一般IEEE802.11b产品的5倍(达54Mbps)。D-LinkAirPlus无线产品系列含有PCMCIA、PCI、USB无线网卡,无线接入点,无线路由器等产品,满足各种无线应用。均支持64/128位WEP及WPA最新无线安全标准;支持IPSec、PPTP和L2TP通透(Pass-Through)。DWL-G650+APCMCIA、DWL-G520+APCI及DWL-G122USB是该系列PCMCIA、PCI和USB3种主机接口的超强功能无线网卡,分别如图8一l3左、中、右图所示。DWL-G650+APCMCIA无线网卡适用于笔记本电脑,DWL-G520+APCI无线网卡适用于台式机,DWL-G122USB无线网卡则可同时适用于笔记本电脑及台式机。此3款无线网卡皆具有54Mbps的传输速度,数据吞吐量达到IEEE802.11b标准产品的5倍,内建站点搜寻自动信号侦测功能,可显示网络联机的强度及状态,便于最佳位置的摆放调整。DWL-2000AP+A是该系列的无线接入点设备(如图8.14左图所示),能在无线用户增加时使用多个DWL-2000AP+A来减轻网络负载并缩短响应时间,通过内置的10/100Mbps端口与以太网连接,使得有线网络上的工作站/服务器能与无线用户进行交互式操作。也可以把DWL-2000AP+A的以太网端口连到宽带路由器上,使无线用户可共享一条ADSL线路对因特网进行访问。DI-624+A和DI-724UP+A是该系列中的两款超强功能无线路由器(分别如图8一l4中、右图所示)。通过它们可方便地构建中小型企业多人同时上网的环境,并具有坚固的防火墙安全特性,可基于MAC地址、IP地址、URL和域名等多种数据过滤以实施访问的安全策略,同时支持IPSec、PPTP、L2TP等VPN通透(Pass-Through)服务,以对敏感性数据进行安全加密的传输。由于支持最新的WPA安全标准,DI-624+A和DI-724UP+A将无线网络的安全性推向了更高层次。另外,该路由器还可以同时支持多个远程用户的IPSec及PPTPVPN会话,确保敏感性数据的安全传输。另外,DI-724UP+A内置USB打印口和打印服务器,支持Windows、MacOS、Linux等操作系统。2.增强IEEE802.11g方案增强型IEEE802.11g方案就是D-LINK公司的AirPlusXPlusXtremeG+TM系列,这个系列产品的最高传输速率可达54Mbps,但带宽的可用性要比基本型的IEEE802.11g方案要好许多,结合AirPlusXtremeG+TM同系列的产品使用,传输速率可8倍于IEEE802.11b系列的产品。增强型的无线网络安全,支持64/128/256位WEP加密。在这个系列中目前主要包括PCMCIA和PCI两种接口的无线网卡,以及一款无线接入点。DWL-G650+CardBus(如图8—15左图所示)和WL-G520+PCI(如图8—14中图所示)是该系列的两款增强型无线局域网网卡,它们都采用了德州仪器公司最先进的IEEE802.11g+硅芯片技术,完全兼容IEEE802.11b标准,使得可以与现有的IEEE802.11b标准设备一起使用。它提供了一个设置应用程序用于搜索可用的无线网络,以及为经常访问的网络保存链路配置参数。在与其他D-LinkAirplus网络设备连接的同时,它们分别支持32位CardBus(或PCI)总线结构使得其可以简单而快速地被安装到笔记本电脑中并且自动地连接到网络上。所有D-LINK无线适配器可以使用分布对等方式(Ad-hoc)与其他无线适配器直接通信。或者使用集中控制方式(Infrastructure)通过访问节点与有线网络进行数据通信以及访问Internet。DWL-2000AP+(如图8—15右图所示)是该系列的无线接入点设备,支持4种模式:AP、AP客户机、点对点网桥和点对多点网桥。它提供有多种功能,各功能对无线网络都很重要。(1)能够在Infrastructure模式下将无线用户连接在一起。当无线用户增加影响到网络性能时,可以使用多个AccessPoint,来减轻网络负载并缩短响应时间。(2)通过内置10/100Mbps自适应的端口,AccessPoint也可以与以太网网络连接,使得有线网络上工作站/服务器与无线用户彼此之间能够进行交互式操作。(3)也可以把一台AccessPoint(通过AccessPoint以太网端口)连到宽带Internet网关上。通过该网关,无线用户可共享一个单独ISP账户和一条宽带缆线或ADSL线路来对Internet进行访问。方案主要特点D-LINK公司是一个全球著名的网络设备开发、生产商,它的产品最主要的特点就是以工艺精良、高性能、高稳定性和高服务水平著称。在WLAN设备领域,它同样有着举足轻重的地位,产品线非常齐全。本节介绍的两个小型办公室无线网络方案最大的特点就是高传输性能和高安全性。在基本型IEEE802.11g方案中,虽然最高传输速率都是标准的54Mbps,但是凭借D-LINK的出色技术,产品整体性能非常不错,在安全性方面,除了支持基本的64/128位WEP加密外,还支持最新的WPA安全标准。增强型的IEEE802.11g方案中,传输性能有了明显的提高,如果网络中使用的全是这一系列的产品,最高传输性能可以8倍于IEEE802.11b标准产品。在安全性方面,尽管目前还没有提供对最新安全标准——WPA的支持,但加强了基本的WEP加密措施,最高支持到256位,支持VPN透传,所以在安全性和VPN应用等方面同样可以得到足够的保障。最后一点不得不说的是,在增强型的IEEE802.11g方案中的DWL-2000AP+接入点设备,它同样支持AP、AP客户机、点对点网桥和点对多点网桥4种工作模式,不仅扩展了接入点设备的应用领域,还使采用这一接入点的WLAN网络的扩展性得到了极大的加强,因为它支持两种网桥模式,通过它可以连接其他WLAN网段。近来年,越来越多的产品加入到无线这个庞大的家族中,笔记本、手机、相机、投影机等设备成为人们日常必不可少的办公及通讯设备之一。我们时常在咖啡厅门口看到一些正在使用笔记本无线上网的SOHO一族,使用PDA下载邮件的商务用户。也正是凭借可移动性强的特点,使许多人更加依赖无线上网。除此之外,使用无线网络也正在成为一些中、小型企业使用的一种信息交流方式之一。然而,架设一套办公室无线设备并不是像我们想象中那样,买一些设备组装起来那样简单,这里面包含了很多在组建办公室局域网之前的很多因素,其中主要有:办公室无线信号的覆盖范围、组建无线网络的安全性、无线设备的兼容性等等问题。构建VLAN的安全问题:安全方面的考虑安全性是广泛部署无线局域网需要考虑的主要问题之一。因为无线局域网使用无线电波传输数据信号,所以较易受到攻击。无线电波能够穿透墙壁和隔板,使黑客有机会截获电波并进入未受保护的公司局域网。尽管无线局域网不是100%安全,但是有许多解决方案能够提供安全保护,如虚拟专用网(VPN)、IPSec加密和利用IEEE802.1x的EAP(可扩展鉴权协议)。所有这些解决方案都使实施者能够享受到使用无线局域网的优势,而不必牺牲安全性。VPN是目前市场上最安全的解决方案,能够阻止无线黑客入侵公司局域网或从汽车、建筑物内、甚至建筑物附近截取机密信息。以保护无线局域网安全为己任的网络管理员应该慎重考虑鉴权和保密性。无线局域网无线电波在整个企业内部传播,有时会传播到企业外部,使保护网络安全成为一项艰巨任务。鉴权鉴权是通过使用数字证书或令牌识别服务器用户的过程。为了获得更出色的安全性,企业可以在每个彼此鉴权的用户和服务器处部署相互鉴权机制,以阻止所谓的“内部用户攻击”。利用相互鉴权,没有必需数字证书的黑客将不能通过鉴权程序,从而不被允许访问无线网络。目前市场中的大多数无线基站都支持EAP802.1x鉴权。利用EAP,企业可以选择实施TLS(传输层安全)或TTLS(隧道传输层安全)协议来保护鉴权服务器和无线用户之间的相互鉴权。除了使用EAP802.1x,企业还可以部署VPN来支持鉴权和加密要求。通常的做法是将无线局域网设置成单独的局域网部分,并通过VPN网关将该部分连接到公司局域网上。利用VPN,所有无线用户在得到许可访问公司局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用IPSec加密。因此黑客将无法破解这些数据包的内容。这些安全措施需要额外的程序(如要求用户登录VPN网关、在所有无线机器上安装VPN客户端程序)。保密性IEEE802.11标准使用有线等效保密(WEP)加密技术。它的基础是使用40位密钥和RC4加密算法。不知道WEP密钥的用户将发现自己被排除在网络通信之外。不幸的是,现在有很多方法可以算出WEP加密密钥。一旦密钥被人获得,它就可以用于破解信息。有很多工具可以攻击WEP加密。英特尔建议使用支持802.11a和802.11bWLAN的VPN解决方案增强无线安全性。IEEE802.11TGi(任务组I)委员会已经制订了临时密钥完整性协议(TKIP),作