时间:2023-03-13 11:25:20
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇无线网络解决方案范例。如需获取更多原创内容,可随时联系我们的客服老师。
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
一、无线网络概述
无线网络(Wireless Local Area Network,WLAN)是以无线电波作为传输媒介的无线局域网,具有移动性、开放性、不稳定性等特点。与无线网络相比,它利用无线电技术代替网线,具有以下独特的优势:网络的扩展性好,可迅速便捷地扩展网络;网络建设简单方便;用户使用性好,网络可移动、兼容性好,不受固定的连接限制等。
(一)无线网络的加密方式
无线网络安全与其相关加密方式密切相关,无线网络的加密方式有:
1.WEP(Wired Equivalent Privacy)加密
该方式通过RC4算法在收发两端将数据加解密,且具有校验过程以确保数据完整安全,然而这种方式只要补集足够多的数据包,就可以推断出密码,安全问题逐渐显现。
2.WPA(Wi-Fi Protected Access)加密
该方式充分研究了WEP的不足,使用了比其更长的IV和密钥机制,具有较高的安全性。
3.WPA2加密
该方式使用AES算法,能克服以往的问题,也是当前的最高安全标准,但其对硬件要求过高。
(二)无线网络的安全特点
另一方面,无线网络的安全特点也有别与有线网络,它主要有以下几个特点:
1.易受干扰攻击
无线网络具有开放性,它不像有线网络具有固定的网络连接,更容易受到各种恶意攻击。
2.安全管理难度大
无线网络的移动性,使其网络终端可在大范围移动,这就意味着移动节点缺乏一定的物理保护,倘若从无线网络已入侵的节点开始攻击,造成的破坏将更大。
3.安全方案实施困难
无线网络具有动态变化的拓扑结构,这让安全技术更复杂,并且许多方案均是分散的,实施起来依赖所有节点。
4.鲁棒性问题
无线网络信道往往随着用户而变化,常常会受到干扰、衰弱等多分影响,造成网络信号不稳定,质量波动大。
二、无线网络面临的安全威胁
无线网络面临的安全威胁主要是针对无线网络信号的空间扩散特性进行的网络攻击。无线网络攻击方式主要有以下几种:
(1)War Driving。这是最常见的攻击方式,攻击者利用黑客软件检测出周围的无线网络,并且详细获知每个访问接入点的详细信息,同时借助GPS绘制出其对应的地理位置。
(2)拒绝服务攻击。这种攻击是通过耗尽网络、操作系统或应用程序的有限资源,使得计算机无法获得相应的服务。
(3)中间人攻击,例如包捕获、包修改、包植入和连接劫持等。
(4)欺骗攻击,即是通过伪造来自某个受信任地址的数据包,让该计算机认证另一台计算机,包括隐蔽式与非隐蔽式欺骗攻击,例如为IP欺骗、ARP欺骗、DNS欺骗等。
(5)暴力攻击,即是使用数字、字符和字母等的任意组合,猜测用户名及其口令,反复地进行试探性访问。
上述的这些攻击会威胁信息的完整性、机密性和可用性,这些安全威胁主要有四类:信息泄露、完整性破坏、拒绝服务和非法使用,具体来说主要有窃听、无授权访问、篡改、伪装、重放、重路由、错误路由、删除消息、网络泛洪等。这些从而导致窃取信息、非授权使用资源、窃取服务和拒绝服务等问题。其具体的网络安全问题主要表现为:
(1)未授权的非法访问服务。攻击者伪装成合法用户,未经授权访问网络资源,非法占用无线信道和网络带宽资源,严重影响了合法用户的服务质量。;
(2)合法用户的隐私信息外泄。恶意用户通过窃听、截取数据包,盗取用户的关键数据信息,例如无线链路上传输的未被加密的数据被攻击者截获等。另一方面不适当的数据同步导致数据不完整,手持设备的丢失也会泄露敏感信息,设备的不恰当配置也可能泄露数据。
(3)恶意用户可能通过无线网络主动攻击网络设备,获得对网络的管理控制权限,并篡改相关的网络配置,降低了网络的防护能力,将造成了恶劣的影响,严重时将使整个网络瘫痪。
(4)病毒主机直接接入无线网络,严重影响信息系统的安全可靠性。
三、无线网络安全的解决方案
针对上述的网络安全问题,无线网络安全的解决方案往往有以下几个方面:
(一)访问控制
即是按照用户身份及其所归属的某项定义组来限制用户访问某些信息项,或限制其使用某些控制功能。一般来说,访问控制有利用MAC地址和服务区域认证ID技术两种方式来控制无线设备的非法入侵。启用MAC地址过滤的策略就是无线路由器只允许部分MAC地址的网络设备进行通讯。由于MAC地址在每个无线工作站的网卡出厂时就已设定,所以用户可以利用其唯一性设置访问点,实现物理地址过滤。然而,这个方案存在MAC地址欺骗的缺陷,即是MAC地址可以进行伪造,而且也无法实现机器在不同AP间的漫游。这种方式是较低级的授权认证,但它是阻止恶意用户访问无线网络的一种理想方式,一定程度上可以保护网络安全。服务区域认证ID技术(SSID)是根据每一个AP内设置的对应服务区域认证ID,当无线终端设备需连接AP时,AP就会检查其SSID是否与自己的ID保持一致,AP才接受相应的访问并给予网络服务。该技术的缺陷同样也是容易被窃取,网络安全性较为一般。
当我们看到这位读者的户型图时,着实吓了我们一跳,整整四层楼的别墅,对于家庭网络布线来说这的确算是一个大工程。不过我们很高兴王先生来信告诉他遇到的问题,一方面是因为这代表了王先生对我们的信任,另外一方面我们也可以利用王先生的这个案例向其他有同样问题的朋友解惑。
负一层
负一层有四个功能房间:车库、酒窖、影音室以及储藏室。从房间的功能来看,只有影音室需要网络接口。目前各种可以连接网络的影音设备越来越多,如功放、蓝光播放机、电视机、高清播放机等等。需要有些影音设备也可以支持无线接入,但是相比来说有线网络更加稳定可靠。因此,我们认为影音室需要的有线网络接口至少为4个。
第一层
第一层有4个功能房间:客厅、茶厅、餐厅和厨房。客厅要放置电视机、播放机等影音设备,因此客厅电视墙处需要留至少2个有线网络接口。茶厅是和朋友喝茶聊天的地方,按理说这里没有必要安装有线网络接口,但是考虑到茶室位于整个一层的中间位置,正好是无线路由器的放置位置,所以在茶室我们建议留有两个有线网络接口(一个用于连接有线网络,一个用于连接无线路由器),并在附近预留电源接口。剩下的房间还有餐厅和厨房,如果在几年前这两个地方几乎没人考虑会预留有线网络接口,然而如今不同了,各种智能家电已经开始有了雏形,所以我们认为现在厨房和餐厅,王先生一定要考虑预留2个左右的网络接口。至于有线网络接口的位置我们建议是电冰箱位置、微波炉位置等。另外,我们暂时不清楚王先生的洗衣机摆放位置,但我们还是要建议王先生在洗衣机位置安装一个网络接口。
第二层
第二层的有线网络接口的确定就相对比较简单了,因为这里房间的功能性较为单一,只有三间卧室和一个休闲厅。三间卧室肯定每一个房间需要一个有线网络接口。家庭休闲厅位于这一楼层的中间位置,正好用来放置无线路由器。因此,在这里也需要1个有线网络接口。如果王先生在就家庭休闲厅有放置电视机的打算,那么在电视机的位置需要1~2个有线网络接口。
第三层
第三层的房间功能性与第二层相近,有两间卧室和一个书房。很显然,和楼下几层一样,用于覆盖全楼层的无线路由器应该放置在楼层中间的房间书房中。再加上书房本身需要1~2个有线网络接口,因此位于第三层的书房肯定至少2~3个有线网络接口。第三层的主卧室和另外一个卧室,当然也各自需要一个有线网络接口。
找准网络中心
按照王先生的要求,这套别墅要实现无线网络全覆盖,肯定要采用有线+无线的网络布局方式。确定了方向,那么我们首先就是要确定网络中心的位置。别墅户型与平层户型不同,一般别墅都是2层以上的楼房,因此网络a每层楼的具体功能:负一层是影音室和车库;第一层是客厅、餐厅以及茶厅,这里是平时招待朋友聚会的主要场所;第二层是次卧室和儿童房等,是休息的地方;第三层主卧室和书房。从各方面综合考虑,我们认为负一层应该是最好的网络中心所在地。因为负一层平时来客不多,而且可供隐藏有很多网线的网络中心的地方较多,比如车库、储藏室等。恰好的是,经过我们和王先生的电话沟通,王先生这套别墅的弱电箱正好位于负一层的车库,于是网络中心就定下来在车库了。
网络节点宜多不宜少
网络中心确定后,接下来就要确定每一个有线网络接口的位置,这样才能知道怎样去布设网络线。现在我们需要根据每一层每一个房间的功能以及具体需求来确定每一个网络接口的位置。
建一个完善的弱电控制中心
鉴于每一楼层的情况,到这里我们基本可以总结出整个别墅大致需要20个左右。可以想象20根网线同时有各个房间到车库弱电箱处汇集,将是很大一捆线缆。一般的弱电箱恐怕难以满足需求。所以我们建议王先生放弃原有开发商提供的弱电箱,而单独购置一个网络机柜用作网络控制中心,用于放置所有的弱电设备,如电话交换机、有线电视分配器、网络交换机、ADSL Modem以及无线路由器。
TIPS
卧室的有线网络接口安装在哪里?
解决这个问题需要解析卧室的网络使用情况,一般情况我们在卧室里需要使用到网络的设备是智能手机、笔记本电脑以及电视机。而智能手机和笔记本电脑都可以通过覆盖到卧室的无线网络信号达到上网的目的,因此有线网络接口的位置应该安装在卧室电视机的位置。
机柜图
目前网络商城上有很多网络机柜出售,大家可以根据需要购买。购买时,尽量购买一个12U左右的机柜。
选择适合自己的网络设备
到现在,我们基本上已经为王先生确定好了整个别墅的网络布线方案的90%,剩下的就是网络设备的确定了。前面我们提到,在王先生的网络解决方案中,需要用的有线网络接口预计有20个左右,所以王先生首先需要的是一个24口的网络交换机,用于连接每一个网络接口。其次,是网络中心的无线网络路由器,这个无线网络路由器将担负ASDL Modem的拨号、负一层的无线网络覆盖以及连接网络交换机的作用。最后是每一楼层的无线网络路由器的选择,考虑到美观和便于隐藏,我们建议王先生在除负一层之外的其他楼层的无线路由器均采用小巧的无线路由AP来承担每一楼层的无线网络信号覆盖。
D-LINK DGS-1024T 24口机架型千兆交换机
DGS-1024T是D-Link了具有环保绿色以太网技术的非网管型千兆级交换机,虽然这是一款专门针对企业级用户设的计交换机,不过对于家庭用来说使用这款产品更加确保了产品长时间工作的可靠性。DGS-1024T的端口都可以在无连接时自动休眠以降低电源功率,并且能够根据不同以太网线缆长度来预先估计功率输出以达到环保的目的。 DGS-1024T支持IEEE 802.1p QoS,能够在数据包爆发期间,对时间效应敏感的数据被有效发送,确保游戏玩家和要求优先权的数据包优先发送,保证用户的最佳使用效果。DGS-1024T具备的D-Link诊断功能带有连续的驱动器来适合于家庭和Soho千兆级用户,使他们仅通过查看前面板的LED指示灯显示就可以来检测线缆状况。
D-Link DIR-605无线宽带路由器
DIR-605 无线宽带路由器集有线/无线网络连接于一体,符合IEEE 802.11n标准,最高无线传输速率可达300M。以前11g的由于技术的限制可能无法对家庭做到完全的无线覆盖。随着11n的出现,在传输距离和无线信号的穿透力方面有了明显的提升,完全可以满足现在3居室、复式、跃层户型的无线覆盖,对于别墅也可以基本保证无线信号覆盖整个家庭。
DIR-605安装也非常简单,它具备的快速安装功能能够快速配置,能够一步一步的引导用户进行安装,指导用户配置互联网连接、无线网络设置和安全设置,以及其他所有运行网络所必须的东西。这样,即便您不是一个互联网专家也可以让您的网络运行起来。
TP-LINK TL-WR800N无线AP
会展中心一般是面积较大的集办公、会议和展览于一体的专业会展服务中心,用于举办高规格、高品位的国家或国际级的大型科技文化类会议及各种展览。大型展览对于网络连接有特殊的需求,展会现场采用有线网络布线会导致现场出现混乱,同时也增加了管理、维护的成本。因此,"无线局域网"成为首选的网络连接方案。
该网络得主要特点是:
技术先进,以满足二十一世纪的网络要求;
可靠性高,保证信息的可靠传输;
扩展性强,以满足不断增长的信息量需求;
标准与开放,便于与原有网络系统的平滑连接;
灵活性,利用无线局域网的接入点(AP)将整个展会现场覆盖,无论展台位置如何变动,安装了无线局域网网卡的计算机都可以通过 AP 连接到 Internet;
高安全性,可以采用基于WEP的64位或128位的加密。
设计概述
对于展会来说,无论是展览者还是参观者,对网络连接都有很高的需求。如果采用有线网布线,会场会相当凌乱。另外,展会举办各种展览,展台的位置经常变动,每次布展需要重新连接有线网络,成本很高。使用无线局域网,是展会最好的选择。
利用无线局域网的接入点(AP)将整个展会现场覆盖,无论展台位置如何变动,安装了无线局域网网卡的计算机都可以通过 AP 连接到 Internet,这极大的方便了会场维护单位。展览者和观众都可以利用自由便捷的Internet连接在现场演示交流、交换文件、收发电子邮件,记者甚至可以在展会现场将报道发出。
方案说明
在原有网络的基础上,从骨干交换机上引出一条百兆链路接到会场的交换机。由于会展中心有多个馆,所以需要每一个馆分别作无线网覆盖。每一个AP分别连到会展中心的主干交换机上。在每一个馆内可以用多个AP进行覆盖,无论展台位置如何变动,安装了无线局域网网卡的计算机都可以通过 AP 连接到 Internet。可以使用TFW 2000系列AP做无线覆盖。在每个馆的商务中心的打印机可以使用TFW 2330无线打印服务器做无线网接入,那么不论有线网用户还是无线网用户都可以共享各种打印机。
在做无线网覆盖时一般将AP放在展馆的顶部效果会更好,那么在房顶放置AP时设备的供电会比较麻烦可以采用同方的以太网供电器,通过以太网线供电非常方便。
技术指标
无线信道传输速率最大可达11Mbps,数据吞吐量为5.8-4.8M,误码率为10-8,以太网接口为10/100M,无线传输 速率可升级。
采用直接序列扩频技术,抗干扰能力强,安全保密性好。
工作频段为2.4-2.4835Ghz,其间又可分为13个频段。
符合IEEE802.11无线网标准,与基于标准的其它无线局域网产品的互操作性,保护用户投资。
与各种网络操作系统兼容,透明传输。
系统优点
TFW系列无线网产品是清华同方最新推出的和可以太网络互联的无线网络产品。对于那些急需扩展现有的以太网络的覆盖范围和系统容量的网络管理者来说,该产品拥有超过了传统布线所能达到的解决方案。TFW系列可拓展现有以太网,与高性能的无线网络连接。它可以灵活的满足您的要求。尤其在现今不断变化的应用环境下,它能够大大提高工作效率。
可通过支持以Windows为基础且符合简单网管协议(SNMP)工具进行管理。通过相应软件,对网络进行集中管理、控制和远程监控。通过用户授权控制对无线网络的访问,从而实现安全控制。
1.灵活性
可以快速组建局域网络,不受线缆的限制。支持在多个无线访问接入点之间快速实现漫游。
2.高吞吐量
天线,采用抗射频干扰性能,理想的接收灵敏度,保证用户实现高速的无线传输。
3.安全性
安全机制包括DSSS扩频技术;在单个工作站一级实现MAC地址进行访问控制;使用网络标识和一种可选加密机制支持64位和128位(WEP)加密,使用户数据传输更安全。
4.兼容性
兼容802.11、802.11b无线局域网协议,能够与其他厂商(朗讯、思科、3COM等)11M或2M产品进行互操作。
关键词:无线网络 安全性 非法接入 信息泄露
在信息技术发展日新月异的大背景下,微型计算机不仅在高端科技领域被广泛使用,就算是在普通百姓人家也几乎成了必备品。加之随着我国各大计算机公司生产技术的不断成熟,以前只有那些都市白领才能使用的便携式笔记本计算机也逐渐走进了普通百姓的日常生活之中。在这种情况下,人们对无线网络的需求也就越来越普遍,但是一个忽视的问题是,人们在使用时往往只关注于它安装的简单与使用的便捷,对如何规避无线网络带来的安全问题却知之甚少。
一、无线网络在信息安全方面的特点
1.1 开放性
由于无线网络用户的分散性,使得无线网络必须具备比有线网络大得多的开放性,这使它非常容易被黑客所攻击。并且这种攻击是全方位的,从窃取用户隐私到破坏用户电脑数据几乎都可以做到。
1.2移动性
无线网络因为其比有线网络更加便捷的移动性而被人们广泛接受。但这同时也使对它进行安全管理具有了更大的难度。从移动范围来看,无线网络终端几乎可以实现无限制地漫游,这种情况表明移动节点并未获得安全的物理防护,更加容易产生安全隐患。同时,它的移动性也使入侵到无线网络内部的节点攻击肯能带来的危害性更大,也更加隐蔽。所以,它的移动性几乎可以说是一把“双刃剑”,不仅产生了严重的信息安全隐患,也使该移动无线网络体系的安全性大大降低。
1.3动态拓扑结构
因为在无线网络形成的信息环境中,主服务器、分工作站形成的拓扑结构是动态的且不断变化的。这使得管理员难以对其进行集中性的管理,从而安全技术实施的要求更高,加上无线网络中的决策多数是分散性的,导致难以协调其它节点进行集体协作。
二、无线网络在安全方面容易存在的问题
2.1容易被入侵
由于无线网是依靠空中传输来实现信号的传导,从而使辐射范围内的工作终端都可以接收到信号,进而实现同互联网的连接。这就给黑客的入侵提供了极大的便利。因为现阶段,我国大多数家庭用户在无线网络安全方面的知识几乎趋近于“零”,不仅对各自无线网络的加密不严,而且对于自己各种账户的保护意识也不强,使无线网成了不设防的“自由市场”。在该辐射范围内的接受终端都可以利用或简单或复杂的技术手段进入该网络而无需经过网络拥有者的授权。尤其是现在市面上流行的“万能蹭网器”等,非法进入用户只要购买一台这样的设备,就几乎可以进入任何安全性不高的个人或者企业无线网络,从而带来很大的安全隐患。
另外,如果用户所安装的无线网络设备生产技术不够先进,一些安全漏洞没有及时地更新补丁,从而为非法入侵打开方便之门,也会导致网络安全受到威胁。
2.2用户隐私遭到窃取
因为无线网络利用的载体是公共电磁波,这种电磁波具有比较强的穿透力,可以轻易地突破用户的居住限制,从而使辐射范围内的工作终端都可以接收到信号。其中不仅包括了允许用户,也包括了非允许用户。在被恶意的非允许用户进入后,轻者盗取用户数据流量,给用户的正常使用带来一定影响;重则通过AiroPeek或者TCPDump这种数据监控软件来窃取用户的隐私。
2.3 引起相关的法律问题
由于现阶段我国大部分用户在使用无线节点时,安全意识不强,通常只是对出厂的配置作简单的修改,其他绝大多数的功能几乎都维持原样,不仅WEP的开启是使用默认形式,就连登陆秘钥等关键部位也都是用默认配置,即几乎所用用户都熟知的“admin”形式。因此,非法进入这样的无线网络非常简单,那些非法用户肆意侵占用户的网络带宽,甚至可能以用户的ID进行各种违法宣传,以致法律问题的产生。
三、提升无线网络安全性的建议
3.1 对默认设置修改
在我国,大多数的网民都是属于初级的上网水平,让他们进行技术含量复杂的各种设置与软件安装显然是不现实的,因此对无限网络设备的默认配置进行修改就成为了一条提升无线网络性能的捷径。
对于无线网络设备的修改,首要的是对无线节点进行设置,我国的绝大多数无线设备在默认配置上都是关闭了数据传输加密功能的,这样可以提升数据传输的速度,达到厂家所宣传的最大理论传输值,用户在使用新购置的无线设备之前一定要对数据传输功能进行加密;第二,对于登陆口令也要进行修改,不要设置那些简单的123或者生日之类的纯数字密码;第三,用户购买的无线设备具有简单网络管理协议功能,那么一定要注意对它的各种标识符进行修改,减少黑客利用这种功能来窃取用户的隐私;第四,许多家庭及企业的无线网络管理者因为图省事或者限于自身能力,往往将发射装备设置为动态主机配置协议,这样可以由设备自行分配各接受用户的IP地址以及进行配套的TCP/IP参数设置,这样做大大减弱了无线网络的安全性。所以禁止动态主机配置协议对于保证无线网络安全而言来说极为重要的作用;第五要想加大对“蹭网者”的防御力度,就要对SSID广播进行隐藏或者禁止;第六,要将路由器的MAC地址过滤功能启动,从而防止网络连接被盗用,增加无线网络的安全性。
3.2加强信息防范
加强信息的防范控制,首先要做到的是确保无线接入点的安全,这项技术的关键是拒绝非法用户进入网络。要对进入网络的用户进行严格的身份查证,对合法用户也要设定访问的权限,严格禁止非法用户的进入等;其次要做到对链路安全的保护,要开启无线加密协议,以此来杜绝非法用户对网络传输数据的读取和更改,以此来保证链路的完整性。对非法接入链路的节点要实施严格的禁用;第三,放置发射设备的位置也能够对链路安全性产生很大的影响,应尽量将其放在在其服务范围中心,从而使想要上网的每一个接受装置都可以实现与互联网的沟通并防止信号的无谓扩散,还能够保证各接收端的接收质量。第四,要对各项参数诸如TCP/IP协议、网关掩码等进行相关的设置,增加防护的力度。定期对服务器的访问列表进行查看,保持列表的即时更新,以此来预防非法用户破坏无线网络的相关数据与设置。
3.3加强安全认证
加强安全认证最好的防御方法就是阻止未被认证的用户进入网络。由于所有对于无线网络设备的访问都是以用户而非管理员的身份进行的,因此加强认证过程的加密性就成为了提升安全性的前提;与此同时,还可以利用VPN技术来保护网络的流量,因为严格的认证方式与认证策略都将对无线网络的安全保障提供巨大的作用。此外,还要养成定期测试无线网络的好习惯,以此来检验设备的安全认证是否生效,并检测网络的相关配置。
四、结束语
随着无线网络在人们生活中的逐渐普及,人们已经习惯了坐在沙发上或者躺在床上进行网络购物与支付电费、水费与银行账户查询等生活方式。但是在享受便利的同时,人们对于无线网络容易带来的安全隐患却并未产生清晰的认识。由于人们在无线网络设备维护与管理上意识和水平的不足,导致“蹭网器”等提供非法网络接入的设备大行其道。要想有效地防范非法用户的侵入,提升自己网络的安全性,进而保护自己的隐私,人们就一定要掌握一些关于无线网络设备的参数设置与管理办法,只有这样,才能根据实际情况制定出行之有效的防护方案。
参考文献:
[1]任伟.无线网络安全问题初探[J].信息网络安全.2012,(01):10
[2]张博,高松.无线网络安全技术分析[J].信息安全与技术.2013,(02):18
捷迪讯(JDSU)公司是全球通信及光学领域的领先企业,总部设在美国加利福尼亚州,在全球30多个国家设有代表处,在我国的北京、苏州、深圳设有分支机构。JDSU公司近年来为运营商、设备商的2G/3G/4G移动网络提供了先进的端到端的测试解决方案,获得了用户广泛认可。201 1中国国际信息通信展期间,本刊记者在展会现场与捷迪讯公司北亚区总经理邓伟安先生等进行了简单座谈。
据邓伟安先生介绍,J DSU公司的测试解决方案能够提供对GSM、GPRS、EDGE、UMTS、HSPA、TD-SCDMA、CDMA2000、EVDO、TD-LTE、FDD-LTE、WiMAX等技术的全面支持,其中包括无线网络覆盖质量测试和优化、接入网和核心网信令测试和故障定位、KPl分析以及7×24的实时监控和保障、基站现场开通及维护测量验证等的测试工具及监测系统。JDSU公司的路测解决方案可对FDD-LTE@TD-LTE网络进行优化和故障诊断,提供扫频仪和手机方案的测量。JDSU的实时信号分析仪(SART)解决方案可用于测试不同场景下的LTE语音通话性能,包括漫游和网络互连、自组网络、切换及重新定位,能为网络整体过渡到LTE提供端到端支持的解决方案。JD745A基站综合仪可用于各种基站的研发、调测、安装和维护、天馈测试和频谱干扰测试,是一种较理想的现场测试工具,可完成维护人员全部的日常测试。
2011年3月,香港移动通讯有限公司(CSL)选择JDSU公司的解决方案支援该公司在香港的LTE/DC―HSPA+网络部署。根据合约,JDSU将对CSL的现有客户通话性能监察平台进行扩充升级,用以支援LTE技术,令CSL能为客户提供全球领先的移动宽频服务。
2011年9月,由多业务论坛(MSF)及GSMA共同主办的LTE语音(简称“VoLTE”)互通测试活动在北京中国移动研究中心及德国沃达丰测试与创新中心举行。JDSU公司参加了此次活动,并为其提供通讯测试方面的专业支持。JDSU的LTE测试技术可评估不同网络设备商进行互通操作的水平,从而改善LTE网络语音通话的服务质量。
年初,捷迪讯(JDSU)公司与北京邮电大学合作成立了联合实验室,并将开设专项奖学金项目,共同培养中国通信领域的人才。邓伟安先生表示,JDSU公司非常愿意参与中国的通信网络建设,并为中国的移动网络建设与优化提供全面的测试解决方案。
【关键字】 机场 大型交通枢纽 覆盖 容量 共建共享 5G
一、项目背景
1.1项目背景
乌鲁木齐现有航站区T1、T2、T3航站楼总面积18.5万平方米,现设计容量为年旅客吞吐量1650万人次。2015年乌鲁木齐年旅客吞吐量为1852万人次,现航站楼内设施已处于超负荷运行状态。
为响应国家“一带一路”的战略要求,满足乌鲁木齐机场航空业务发展,提升机场服务水平和运行效率,新疆维吾尔自治区政府决定对现有机场实施改扩建工程,打造丝绸之路经济带上重要的交通枢纽中心,同时完善机场周边基础设施配套。机场新建航站区规划图见下图。
北区规划新建T4航站楼,航站楼面积为45万平方米,新建机位180个。航站楼前交通中心,约50万平方米,采用多层形式,包含公共停车场、地铁站台、城际铁路站台、巴士站等。
乌鲁木齐国际机场北区改扩建工程预计将在2019-2020年完工,T4航站楼及交通中心将在2020年试运行。机场属于大型交通枢纽,面积规模大,人流密集,超高话务需求,而机场建筑建构复杂多变,区域划分具有特殊性,为保证机场的无线网络覆盖质量及容量需求,提出无线网络的规划解决方案至关重要,为基础建设预留资源。
1.2北区航站楼旅客量预测
近期至2025年,现有航站区(南区)承担1300万年旅客吞吐量,北区承担3500万年旅客吞吐量;终端,现有航站区(南区)承担1300万年旅客吞吐量,北区承担5000万年旅客吞吐量。
二、无线网络规划需求
2.1机场T4航站楼网络覆盖特点
超大面积:面积规模大、人流密集,超高话务需求
结构复杂:建筑建构复杂多变,区域划分具有特殊性
系统干扰:多系统干扰,设计难度大
2.2机场方及运营商需求
满足三家运营商T4航站楼、交通中心等室内及航站区室外无线覆盖需求,要求覆盖无盲区、满足峰值用户容量需求。机场属于特大型交通枢纽,在满足机场网络覆盖良好的前提下,尽量简化室分系统数量、优化室外站点数量,充分考虑共建共享、降低投资,综合考虑各运营商系统及机场专网各频点分配及各系统干扰问题。并考虑预留5G及相P物联网技术端口。
2.3需引入的系统、频段
中国移动:GSM900M、DCS1800M、TD-SCDMA、TDDLTE
中国联通:WCDMA、FDD-LTE
中国电信:CDMA、FDD-LTE
机 场:机场集群,包含公安专网等。
三、总体规划设计思路
1、覆盖全面:实现机场室内区域全覆盖,覆盖无盲区、保证覆盖范围、质量及用户体验感知度。室外保证室外公共区域及道路良好覆盖。
2、多系统合理设计分布:为简化分布系统数量、降低投入,同时满足覆盖需求,室内采用整体POI宽频技术合路,特殊区域采用多种技术综合覆盖特的设计方式。
3、考虑容量:满足峰值用户容量需求,CA实现4G+传统室分做基础网络,使用Lampsite(皮基站)、微基站(BOOK RRU、EasyMacro)等技术设备,叠加覆盖,满足高峰期人流量的话务需求。
4、便于扩容:预需留足够的线缆资源,充分考虑后期网络(5G网络、物联网等)发展。
四、室内覆盖建设方案
4.1路由设计
乌鲁木齐国际机场做为西部地区对外开放的门户,为树立良好的城市形象,构建优质的通信网络,机场T4航站楼采用室内分布系统双路由设计。
4.2小区规划
本项目采用顶层设计理念,依据机场功能区域现场实际情况,采用纵向小区分布,合理规划频点,减少小区间系统干扰。
4.3机房设计
依据机场方面目前给出的设备机房规划,本次航站楼及交通中心规划BBU及配套设备安放在航站楼的无线设备主机房,充分利用机房空间,为后续设备安装预留足够位置。室分信源RRU及微基站采用射频拉远方式,就近选择机房安装。
4.4系统设计
在满足覆盖要求的前提下,尽量简化室分系统,综合考虑系统频点分配及各系统间干扰问题。本次网络规划采用三家运营商建设一套室内分布系统,上下行分离,所有网络通过POI宽频合路器进行合路,覆盖机场内所有室内区域。
4.5规划方案
三家运营商共室分系统合路,机场集群系统单独建设
运营商采用POI合路进行建设,建设两路分布系统,机场集群系统单独建设。运营商系统需合理进行频率规划,POI需满足系统合路的隔离度要求,系统互调需估算。
优点:和机场集群系统分开建设,三家运营商合路建设,技术较成熟,降低系统间干扰;
4.6详细建设方案
根据机场统一规划,对室内进行功能分区,分析覆盖特点,在客流量密集的值机业务大厅、候机厅、交通中转站及商业区域,采用传统室分进行建设,在考虑高峰期用户容量的前提下,使用BOOK RRU、EasyMacro等微基站及皮基站进行特殊区域的叠加覆盖。功能区分布特点划分及覆盖方案。
(1)室分信源及机房需求规划
本次规划按照机场规划图,划分区域,详细功能分区,规划出T4航站楼及交通中心覆盖所需的室分设备数量。运营商单系统室分信源数各为194台。在客流量密集的值机业务大厅、候机厅、交通中转站及商业区域进行叠加微基站覆盖。室分机房配套需求规划表:
4.7 5G发展及规划
(1)5G技术发展方向
2015年6月,ITU-R WP5D完成了5G远景建议书,定义了5G系统将支持增强型移动带宽、海量的机器间通信一级高可靠、低时延的三大类应用场景。未来的5G系统是多种接口技术的组合,其频率框架将涵盖高、中、低频段,高频段解决热点地区容量需求,中低频段解决网络覆盖需求。
乌鲁木齐国际机场北区改扩建工程预计将在2019-2020年完工,T4航站楼及交通中心将在2020年试运行,而我国政府目前也在积极推进5G技术于2020年商用,所以本次规划应考虑5G技术的发展方向及相关技术设备的预留问题。
从现阶段各技术厂家提出的5G技术发展方向及关键技术测试数据着眼,其超高频段的特性,注定其覆盖将以小范围高密度矩阵性,本次规划考虑光纤端口对5G热点做出相应预留。
(2)机场T4航站楼5G规划需求
本次规划在机场候机区、值机业务大厅、及旅客中转区等用户密集区域,预留后期5G热点覆盖,单运营商预留5G微基站数量为178台;每台设备的光缆需求为两芯,本次规划将在机场候机区、值机业务大厅、及旅客中转区等区域,做出对5G设备光缆预留,单运营商数量为356芯。
五、室外覆盖建设方案
5.1 T4航站楼周边整体规划
由于机场区域内对站点有净高要求,无法在航站楼及跑道周边建设塔站,方案考虑充分利用航站楼及跑道周边已有监控杆体或灯杆,对航站楼周边及跑到周边室外区域覆盖。点位分布见下图虚线范围。
根据航站楼、交通中心及跑道区域范围规划,在上述虚线内,共计规划基站160个,利用区域及道路周边监控杆体、灯杆,及交通中心周边的建筑物进行建设。
5.2东西工作区室外规划
(1)、东工作区外站规划:楼顶美化天线站点22个,规划点位见下图。
(2)、西工作区外站规划:楼顶美化天线站点3个美化塔站点2个,规划点位见下图。
机场T4航站楼东、西工作区域内工规划外站27个,其中美化塔站点2个,楼顶美化天线站点25个。三家共站进行建设。
5.3室外需求描述
站点按2G/3G、4G考虑,后期5G预留考虑使用2G退网后的光纤及配套资源;航站楼周边、东工作区、西工 作区室外覆盖需求。
本次规划航站楼周边室外站BBU集中规划到航站楼-13.5标高层无线设备主机房,以减少光缆跨区域的建设成本,充分利用机房空间,为后续设备安装预留足够位置。
考 文 献
[1]肖开宏, 《LTE无线网络规划与设计》. 人民邮电出版社. 2012-05-01
[2]万俊青. LTE网络室内分布系统共建共享探讨, 《移动通信》, 2013, 37(6):16-20
论文摘要:无线网络相对于有线网络更容易遭到攻击,因为无线网络通过无线电在特定频率的范围内传送信号,所有具有接收设备的人都能获得该信号。提高无线网络安全性能已成为不可忽视的问题。总结目前无线局域网遇到的主要威胁,及应对网络威胁的安全技术和基本的防范措施。
0 引言
在信息时代的今天,无线网络技术的发展可谓日新月异。从早期利用AX.25传输网络资料,到如今的802.11、802.15、802.16/20等无线标准,无线技术总是不断地给人们带来惊喜。大则跨广阔的地理区域,小则仅限个人空间,无线网络已经渗透到了人们生活中的方方面面。然而,伴随着无线局域网技术的快速发展,应用的日益广泛。无线网络的安全也成为计算机通信技术领域中一个极为重要的课题。对于有线网络,数据通过电缆传输到特定的目的地,通常在物理链路遭到破坏的情况下,数据才有可能泄露;而无线局域网中,数据是在空中传播,只要在无线接入点(AP)覆盖的范围内,终端都可以接收到无线信号,因此无线局域网的安全问题显得尤为突出。
1 无线局域网存在的常见安全问题
无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,更容易受到攻击,面临的主要安全问题如下:
(1)WEP存在的漏洞
IEEE为了防止无线网络用户偶然窃听和提供与有线网络中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人们发现了不少漏洞:
①整体设计:无线网络不用保密措施会存在危险。WEP只是一个可选项:
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位数太短和初始化复位设计,容易出现重用现象,而被人破解密钥。而RC4算法,头256个字节数据中的密钥存在弱点。另外CRC fCyclic Redun-daⅡcv Check,循环冗余校验)只保证数据正确传输。并不保证其数据未被修改:
③密钥管理:大多数都使用缺省的WEP密钥,从而容易被破解入侵。WEP的密钥通过外部控制可以减少IV冲突,但是过程非常复杂而且需要手工操作,而另外一些高级解决方案需要额外资源造成费昂贵:
④用户操作:大多数用户不会设置缺省选项,令黑客容易猜出密钥。
(2)执行搜索
通过软件搜索出无线网络,然而大多数无线网络不加密,容易被人获得AP广播信息。从而推断WEP的密钥信息。
(3)窃听、截取和监听
以被动方式入侵无线网络设备,一旦获取明文信息就可以进行入侵。也可通过软件监听和分析通信量。劫持和监视通过无线网络的网络通信,通过分析无线数据包来获取用户名和口令,从而冒充合法用户,劫持用户会话和执行非授权命令。还有广播包监视,监视于集线器。
(4)窃取网络资源
部分用户从访问邻近无线网络上网,造成占用大量网络带宽,影响网络正常使用。
(5)欺诈性接人点
在未经许可的情况下设置接人点。
(6)双面恶魔攻击
也被称作“无线钓鱼”。以邻近网络名隐藏的欺诈接人点,用户一旦进入错误接入点,然后窃取数据或攻击计算机。
(7)服务和性能的限制
无线局域网的传输带宽有限。如果攻击者快速用以太网发送大量的ping流量,吞噬AP的带宽。如果发送广播流量,就会同时阻塞多个AP。
(8)欺骗和非授权访问
当连接网络时只需把另一节点重新向AP进行身份验证就能欺骗无线网身份验证。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.传输控制协议/网际协议1设计缺陷,只有通过静态定义的MAC地址才能有效防止MAC/IP欺骗。但由于负担过重,一般通过智能事件记录和监控对方已出现过的欺骗。(9)网络接管与篡改
由于TCP/IP设计缺陷,如果入侵者接管了AP,那么所有信息都会通过无线网上传到入侵者的计算机上。其中包括使用密码和个人信息等。
(10)窃取网络资源
因为任何人都可以购买AP.不经过授权而连入网络。部分用户从访问邻近无线网络上网。
(11)插入攻击
插入攻击以部署非授权的设备或创建新的无线网络为基础,由于往往没有经过安全过程或安全检查。如果客户端接入时没有口令,入侵者就可以通过启用一个无线客户端与接人点通信,就能连接到内部网络。
(12)拒绝服务攻击DoSlfDenial of Service,拒绝服务)
拒绝服务攻击指入侵者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。这都是由于传输特性和扩频技术造成。
(13)恶意软件
攻击者通过特定的应用程序可以直接到终端用户上查找访问信息。以便获取WEP密钥并把它发送回到攻击者的机器上。
(14)偷窃用户设备
由于MAC地址是唯一的,若攻击者获得无线网网卡就拥有合法MAC地址。
2 无线局域网安全问题的解决方法
无线网络存在许多安全隐患。多数情况下是用户使用不当而造成安全隐患,除了用有效手段来防止攻击外,也要加强用户的防范意识和强化安全技术手段,而且养成良好的使用习惯,使入侵者无机可乘。解决安全问题方法有很多,以下介绍一些常见方法。
(1)关闭非授权接入
(2)禁用动态主机配置协议
手动设置IP地址、子网掩码以及TCP/IP参数等。
(3)定期更换密钥
(4)同时采用不同的加密方式
不同类型的加密可以在系统层面上提高安全的可靠性。
(5)不使用情况下关闭无线网络与网络接口,关闭无线网络接口使用户不会成为恶意攻击的目标。
(6)提高用户防范意识
了解被入侵后的迹象,及时处理。养成良好的上网习惯,安装必要的杀毒软件与防火墙,并及时更新,定期查杀。
(7)禁用或修改SNMP设置
SNMP(simple Network Management ProtoeolI简单网络管理协议).网络上一些设备行SNMP协议,但是许多是不必要的,而由于SNMP都采用了默认的通信字符串,安全机制比较脆弱,通信不加密,容易被入侵者获取信息。
(8)MAC地址过滤
在AP内部建立一张MAC地址控制表(ACaeSS Contr01),将无线网卡的MAC地址输入AP中,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。通过MAC地址限制可以确保只有经过注册的终端设备才可以接入无线网络,使用网络资源。以实现物理地址的访问过滤。
(9)SSID匹配
只有SSID与AP的SSID相匹配时才能连接。
(10)隐藏SSID
服务集标识符SSID(Service Set Identifier)是无线客户端对不同网络的识别,用它来建立与接入点之间的连接。参数是被AP广播出去,无线客户端只有收到参数或者手动设定与AP相同的SSID才能连接到无线网络。而把广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络。隐藏SSID能大大降低威胁。
(11)WEP加密
在每个使用的移动设备和AP上配置密码使用静态非交换式密钥,能有效防止一般数据获取攻击。当加密机制功能启用时,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。尽量设置一个高强度的WEP密钥,使得暴力破解成为不可能情况。
(12)AP隔离
类似于VLAN。将所有的无线客户端设备完全隔离,只能访问AP连接的固定网络。
(13)802.1x协议
802.1x协议基于Client/Server的访问控制和认证,被称为端口级的访问控制,可限制未授权用户/设备通过接入端口访问LAN/WLAN。协议对设备整体要求不高降低组网成本,使用扩展认证协议EAP。802.1x的客户端认证请求也通过Radius服务器进行认证,但费用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技术TKIPfremporal Key Integrity Protocoll暂时密钥完整性协议,是IEEE 802,11i的一个子集,其核心就是IEEE 802.1x和TKIP。与WEP不同之处是TKip修改常用的密钥,使用密钥与网络上其他MAC地址以及一个更大的初始化向量合并,每节点都用不同的密钥对数据进行加密。TKIP可以大量解决WEP存在的安全问题。WPA拥有完整性检查功能,并加强了用户认证功能,而且对802.1x和EAP(扩展认证协议)支持。和802.1x协议一样WPA可以通过外部Radius服务器对无线用户进行认证,也使用Radius协议自动更改和分配密钥。但并不是所有的设备都支持WAP,而且使用时只要对设备进行升级以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在开发的新一代的无线协议,致力于彻底解决无线网络的安全问题,包含加密技术AESfAdvaneedEncryption Standard)与TKIP,以及认证协议IEEE 802.1x。IEEE 802.11i将为无线局域网的安全提供可信的标准支持。
(16)VPN
VPN虚拟专用网(Virtual Private Network)核心是在利用公共网络建立虚拟私有网。当用户使用一个VPN隧道时,数据通信保持加密状态直到它到达VPN网关,此网关为AP,整个传输过程都是加密的。VPN连接可以借助于多种凭证进行管理,例如口令、证书、智能卡等。
(17)无线安全路由器
无线路由器是基于硬件的安全解决方案,直接安插有线网络的高速链路中,并且访问点完成数据包转换。这种路由器的目标是在大型的分布式网络上对访问点的安全性和管理进行集中化。
3 结语
经过10多年的发展,无线局域网在技术上已经日渐成熟,无线局域网将从小范围应用进人主流应用。无线局域网安全技术对日后无线网络是否能够发展及其发展状况产生极大的影响。因此必须继续研究无线局域网安全技术,就是对本论题继续进行深入的研究,为无线网络提供技术支撑,确保无线网络的安全性,为社会更加繁荣、先进和进步提供最基本的条件,具有极其深远的意义。
参考文献
[1]赖庆,无线网络安全对策和技术[J].科技资讯,2006(19)
[2]赵琴。浅谈无线网络的安全性研究[J].机械管理开发,2008(01)
[3]陈鹤,曹科,无线局域网技术研究与安全管理[J].现代机械,2006(04)
[4]王秋华,章坚武,浅析无线网络实施的安全措施[J].中国科技信息。2005(17)
无线局域网(WLAN)的普及在网络管理员和网络用户之间带来了冲突。网络管理人员在保证WLAN安全方面仍然面临严峻的挑战。问题的底线是企业同时需要有线和无线网络,并且对于两种类型的网络需要保证同样的安全性水平。然而,无线技术快速演化,而无线安全性却无法跟上发展速度。
WLAN安全面临挑战
在研究无线安全性解决方案需要满足的要求之前,我们首先必须理解无线网络管理员和无线用户同时面临的一些挑战。
从网络管理员角度
网络管理员所面临的最大挑战之一源于这样的事实,无线网络传统上是作为有线网络的叠加而实现的,因此必须独立部署、配置和管理两个并行网络基础设施。这意味着网络管理员的工作加了一倍,因为有线管理上的每项管理工作都必须在无线网络上重复进行。并行网络没有统一的网络事件日志和报告管理平台。因此,网络管理员不得不寻求某种方式来汇总这些信息。由于网络管理员不得不学习两种不同的接口,因此,需要额外的培训。总的来说,这种情况带来了额外的工作负担。
除这些挑战之外,并行网络存在成本过高,甚至不太实际或不可行。因为其成本通常会超过一般企业的承担能力。
从用户角度
相反,用户则不会考虑网络管理人员所面临的挑战,而是要求无线网络提供更大的灵活性。当然,用户也面临自己的挑战,如无线访问限制、服务中断以及不方便或不完善的客人临时接入服务。
另一种困难在于许多无线安全解决方案都需要用户在自己的机器上安全应用软件。由于这种方法对于用户来说具有强迫性,并且要安装的软件经常与用户平台存在兼容性问题,因此经常是不实际的。这些困难降低了无线网络的灵活性以及用户经验的透明度。
寻找安全替代方案
传统无线解决方案并没有满足网络和管理人员和无线用户的所有需要,但不再需要并行网络基础结构的新兴无线安全解决方案可解决大多数问题,从而提供一种易于部署和管理的统一有线和无线安全性的解决方案。
能够提供全面解决方案的合格WLAN安全解决方案必须具有以下特点:
高水平安全性。无线技术已经成熟到这样的程度,利用诸如增强IPsec VPN安全性的技术,无线安全解决方案能够提供与有线网络同样的安全性水平。
易于部署和可扩展性。无线安全性解决方案必须易于部署和扩展,并且能够方便地从遗留无线网络升级。
统一安全性管理。将无线和有线网络安全性集中到一个平台中,包括从单个集中管理界面同时对有线和无线网络进行配置和管理、对整个网络强制执行企业安全策略的能力,从而避免冗余的管理活动。同时还应当包括防火墙和网络活动日志记录和报告的集中控制。
无缝漫游。从用户的角度来看,无线安全性解决方案必须保证无论用户位于设施内的任何地方都能够保持网络接入,不会失去连接。
来宾无线接入。一个无线安全性解决方案必须能够提供易于部署的来宾接入,只允许临时来访的客户访问非信任的公共资源,如因特网,同时还要保证客户不能够访问企业的信任网络资源,如有线局域网。
欺骗接入点侦测。无线安全性解决方案必须能够提供欺骗接入点侦测功能才能保护网络不受非授权用户破坏。
核心网络服务。无线安全性解决方案不应区分有线和无线网络的安全性需要,而是应该保证无线和有线网络达到同样的安全性水平。
随着无线网络应用的普及,确保无线连接的稳定性、质量和无线网络的性能至关重要。不过,要确保无线局域网拥有最佳性能,通常需要投入大量人力对无线网络进行修正和维护。即便如此,许多可变因素仍使客户端的连接故障难以进行定位。准确地查出问题所在,尤其是必须进行现场分析的情况下,可能需要花费数小时。当网络中增加新用户、应用或进行网络结构变更时,管理无线网络将需要花费更多时间,而支持难度也将随之上升,因而导致无线业务连续性遭到破坏。
摩托罗拉系统(中国)有限公司无线网络解决方案业务中国区总经理蔡卤硎荆骸岸杂谖尴咄络提供商或企业IT 部门而言,将重点放在对无线网络的修正和维护上耗时耗力,他们所需的其实是一款智能的网络管理工具。”
此外,因所处行业、规模不同,企业对于网络管理的重点也不尽相同。在运营商群体中,由于面向规模、需求不断变化的公共用户,因此亲睐对网络优化和故障排除。而对于企业而言,由于面向特定用户,因此,企业通常在无线网络建设初期就将投入重点放在网络设计与优化上。在后期使用过程中,无线网络的安全性、故障排除能力以及可管理性成为企业的最大需求。
地处市中心核心地段的英国电信公司,许多办公室里都能检测出超过30个其它企业或机构的无线局域网。因此,英国电信需要一个能够经济高效地自动检测出入侵者和流氓接入点、确保其无线通信安全的解决方案,该方案还必须同时支持其基于非摩托罗拉系统的无线网络。根据英国电信的需求,摩托罗拉系统为其提供了AirDefense企业级解决方案,并在英国电信的15家机构中实际部署,不仅提高了企业员工的工作效率,还帮助网管员高效制定并执行安全策略、考核遵守情况,确保网络实现最高安全性和作业完善性。
