謝燕勝 寧都縣氣象局 寧都 342800

0、引言

無線局域網(wǎng)（Wireless Local Area Network，WLAN）是以無線電波為傳輸介質(zhì)，把無線路由器（access points，AP）和帶有無線網(wǎng)卡與天線的PC等設(shè)備連接在一起的計(jì)算機(jī)局域網(wǎng)，能夠脫離線纜的局限而實(shí)現(xiàn)互相通信和資源共享。

寧都?xì)庀缶质且粋€(gè)中小型企事業(yè)單位，現(xiàn)有職工20余人，基本上住在單位院內(nèi)宿舍區(qū)。以前單位使用的是有線局域網(wǎng)，現(xiàn)在辦公樓原址重建，并在宿舍區(qū)北側(cè)新建一棟宿舍樓作單身職工公寓和食堂，而且大多數(shù)職工都有了帶無線網(wǎng)卡的筆記本電腦、PDA、3G手機(jī)等輕便移動(dòng)設(shè)備，所以建個(gè)無線局域網(wǎng)，可免去布線的麻煩和影響房舍美觀，同時(shí)達(dá)到成本低廉，為職工共享單位寬帶移動(dòng)辦公提供便利。

1、無線局域網(wǎng)的組建和安全設(shè)計(jì)

一個(gè)無線局域網(wǎng)，可獨(dú)立作為有線局域網(wǎng)的替代設(shè)施，也可作為有線局域網(wǎng)的補(bǔ)充和擴(kuò)展，具有很強(qiáng)的組網(wǎng)靈活性。它在室外主要有點(diǎn)對(duì)點(diǎn)型、點(diǎn)對(duì)多點(diǎn)型、多點(diǎn)對(duì)點(diǎn)型和混合型幾種網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)應(yīng)用環(huán)境與需求的不同，無線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實(shí)現(xiàn)互聯(lián)。但在組網(wǎng)之初就應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行整體規(guī)劃和設(shè)計(jì)，以求達(dá)到成本低、可擴(kuò)展和高速、安全、穩(wěn)定等效果。

1.1、無線覆蓋規(guī)劃

圖1 無線覆蓋區(qū)域圖

無線覆蓋的主要地方是辦公樓和四棟宿舍樓,整個(gè)覆蓋區(qū)域呈梯形（圖1）。

1.1.1、圖中紅線框?yàn)闊o線覆蓋面，總長約75米，總寬約62米，夾角約85度。覆蓋面內(nèi)建筑物都是磚混結(jié)構(gòu)。

1.1.2、二層宿舍樓加上護(hù)坡高度約12米，比辦公樓高出約1米。各宿舍樓長度相差不大,約為28米，二室二廳和三室二廳的套房結(jié)構(gòu)。每棟樓東西向隔斷較多,南北向隔斷為3-4個(gè)。各棟樓之間相隔5-6米。

1.1.3、三層辦公樓長33米，高11米，寬9米。第一二層為行政辦公室，第三層為綜合業(yè)務(wù)室和會(huì)議室，屋頂有鍋狀衛(wèi)星接收天線。自動(dòng)站、衛(wèi)星接收、視頻會(huì)議等電腦設(shè)備主要集中在第三層的綜合業(yè)務(wù)室。

1.2、現(xiàn)有寬帶設(shè)備和網(wǎng)絡(luò)

1.2.1、4M光纖+2Madsl從辦公樓三層接入有線局域網(wǎng)，訪問省地業(yè)務(wù)內(nèi)網(wǎng)使用VPN連接。

1.2.2、Ethernet Converter 10/100Base-Tx to 100Base-Fx一個(gè)，BDCOM Router 1705一臺(tái)，交換機(jī)二臺(tái)（KN-S1024P+，H3C S3100 Series），adsl一臺(tái)。

1.3、目標(biāo)要求

總的設(shè)計(jì)要求是：在保障業(yè)務(wù)通訊安全穩(wěn)定通暢的前提下組建WLAN。所以綜合業(yè)務(wù)室保留以前的有線局域網(wǎng)，其它辦公室和宿舍樓組建WLAN。

1.3.1、盡量節(jié)省成本。希望現(xiàn)有網(wǎng)絡(luò)設(shè)備也能用上。

1.3.2、無線局域網(wǎng)和有線局域網(wǎng)隔離，保障辦公樓三樓主要業(yè)務(wù)終端的安全與穩(wěn)定。

1.3.3、4M光纖+2M的adsl從辦公樓三層接入有線局域網(wǎng)，同時(shí)供整個(gè)無線覆蓋區(qū)共享。

1.3.4、無線局域網(wǎng)可接入無線終端30臺(tái)，終端能實(shí)現(xiàn)部分設(shè)備互訪，能把辦公終端與其它終端隔離，同時(shí)安全穩(wěn)定。

1.3.5、辦公樓無線終端一般在15臺(tái)以內(nèi)，主要在一層、二層辦公室和三層會(huì)議室使用；宿舍樓無線終端一般在20臺(tái)以內(nèi)，分散在各棟樓里。每天開機(jī)使用的終端在20臺(tái)以內(nèi)，一般不會(huì)超過30臺(tái)。

1.3.6、無線終端主要用于查資料、視頻等一般的互聯(lián)網(wǎng)應(yīng)用。

1.4、產(chǎn)品選用

1.4.1、前端路由器和交換機(jī)共享有線局域網(wǎng)中已有的設(shè)備。

1.4.2、無線局域網(wǎng)設(shè)備盡量選用配套產(chǎn)品，解決好速率匹配問題，以提高網(wǎng)絡(luò)性能。經(jīng)過反復(fù)比較，決定選用深圳市普聯(lián)技術(shù)有限公司的無線產(chǎn)品，中心AP用TL-WA701N，宿舍樓室外節(jié)點(diǎn)用無線路由器TLWR742N，室內(nèi)節(jié)點(diǎn)用無線路由器TL-WR740N組網(wǎng)。這三款產(chǎn)品采用11N標(biāo)準(zhǔn)，150M速度，與其它產(chǎn)品相比，有以下特點(diǎn)：

① 價(jià)格與11G標(biāo)準(zhǔn)、速度54M的產(chǎn)品相近，比較便宜，性價(jià)比好。官網(wǎng)價(jià)格TL-WA701N，￥256.00，比54M無線接入器（AP）TL-WA501G+貴4元；TL-WR740N，￥88.00，比54M無線寬帶路由器TL-WR340G+貴1元 ，比54M無線寬帶路由器TLWR541G+便宜22元；TL-WR742N，￥133.50。

② 它的覆蓋范圍、穿透能力和傳輸速度強(qiáng)于11G、54M產(chǎn)品（圖2），兼容性好，利于網(wǎng)絡(luò)擴(kuò)展。

圖2 TP-LINK WLAN產(chǎn)品覆蓋范圍對(duì)比圖

③ 使用了CCA（Clear Channel Assessment）空頻道檢測技術(shù)，在檢測到周邊有無線信號(hào)干擾時(shí)，可自動(dòng)調(diào)整頻寬模式，避開信道干擾，使無線信號(hào)更加穩(wěn)定。當(dāng)干擾消失時(shí)，又可自動(dòng)捆綁空閑信道，充分利用信道捆綁優(yōu)勢，提升無線性能。

④ 支持SSID隱藏、無線MAC地址過濾、64/128/152位WEP加密及WPA-PSK/WPA2-PSK、WPA/WPA2安全機(jī)制。

⑤ 有QSS快速安全設(shè)置功能，輕松搞定WPA2級(jí)別的無線安全連接，不需要記憶復(fù)雜的密碼。

⑥ TL-WA701N還提供AP、AP Client、Bridge、Multi-Bridge、Repeater多種實(shí)用工作模式?？筛鶕?jù)實(shí)際需求選擇不同的工作模式，組網(wǎng)自由。支持Passive PoE網(wǎng)線供電，讓AP擺脫電源接入點(diǎn)的限制，布設(shè)位置更自由。支持無線發(fā)射功率可調(diào)和天線可拆卸。可以根據(jù)布網(wǎng)范圍和布網(wǎng)模式需求，更改無線發(fā)射功率，或選用特定需求的天線產(chǎn)品。讓覆蓋范圍和發(fā)射方向輕松掌控，構(gòu)建最合適的無線網(wǎng)絡(luò)。

⑦ TL-WR740N還具有IP帶寬控制功能和WDS無線橋接功能，可實(shí)現(xiàn)兩臺(tái)或多臺(tái)無線路由器之間無線橋接，擴(kuò)展無線覆蓋范圍，橋接同時(shí)還可支持AP模式提供無線接入，滿足遠(yuǎn)距離、多樓層或宿舍樓等環(huán)境的無線覆蓋需求。

⑧ TL-WR742N比TL-WR740N還多二個(gè)功能 ：家長控制功能，靈活控制小孩或員工上網(wǎng)行為；外置高增益可拆全向天線。

1.5、網(wǎng)絡(luò)架構(gòu)

本網(wǎng)絡(luò)有線局域網(wǎng)和無線局域網(wǎng)共存，并且要能較好的隔離。（拓?fù)鋱D見圖3）

圖3 寧都?xì)庀缶諻LAN拓?fù)鋱D

根據(jù)經(jīng)驗(yàn)，一般無線AP或無線路由器在空曠地帶的覆蓋范圍約為100m，在室內(nèi)的覆蓋距離主要受空間隔斷情況的影響，通常在15m范圍內(nèi)的信號(hào)可以穿透兩堵20cm磚混結(jié)構(gòu)的隔斷或一堵20cm普通混凝土的隔斷而保證網(wǎng)絡(luò)穩(wěn)定運(yùn)行。本案例中，宿舍樓只有二層，南北和上下的隔斷較少，而且樓與樓之間相距很近，與三層辦公樓也相距不遠(yuǎn)，整個(gè)辦公樓和宿舍樓區(qū)域有8-9個(gè)無線AP和無線路由器橋接在一起交叉重疊，應(yīng)能獲得較好的覆蓋效果，可以保證每個(gè)職工家都能無線上網(wǎng)。每個(gè)無線路由器都有4個(gè)LAN口，若室內(nèi)有盲點(diǎn)有必要掃盲，可通過LAN口添加AP或有線連接電腦。具體布置是：辦公樓用1-2個(gè)TL-WR740N和1個(gè)TL-WA701N，通過線纜連接到三樓交換機(jī)上，TL-WR740N放在二層辦公室內(nèi)（圖中B2），TLWA701N作為中心節(jié)點(diǎn)放在三層辦公室外圍墻壁（或用天線延長線外置屋頂）作信號(hào)發(fā)射點(diǎn)（圖中B3）。宿舍區(qū)基本上每棟樓放2個(gè)無線路由器，共6個(gè)節(jié)點(diǎn)，其中3個(gè)TL-WR740N放室內(nèi)（圖中1內(nèi)、3內(nèi)、4內(nèi)），3個(gè)TL-WR742N放外墻（或用天線延長線外置屋頂）作信號(hào)接收點(diǎn)（圖中1外、3外、4外），與辦公樓的信號(hào)發(fā)射點(diǎn)距離可視。注意放在室外的AP及無線路由器要加箱保護(hù)，用延長線將天線外置進(jìn)行覆蓋效果會(huì)更好些。

1.6、方案特點(diǎn)

1.6.1、降低成本：根據(jù)原有網(wǎng)絡(luò)及設(shè)備搭建無線網(wǎng)絡(luò)，充分利用了現(xiàn)有的網(wǎng)絡(luò)資源及節(jié)省了成本。采用室內(nèi)室外多節(jié)點(diǎn)同時(shí)覆蓋，比全室內(nèi)覆蓋更節(jié)省AP，也降低了成本，同時(shí)擴(kuò)大了覆蓋范圍。

1.6.2、組網(wǎng)靈活：TL-WA701N提供多種實(shí)用工作模式，無線路由器TL-WR740N、TL-WR742N也有多種功能，可以根據(jù)需要，搭配原有設(shè)備，靈活組網(wǎng)和調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。

1.6.3、安全穩(wěn)定：無線解決方案采用WPA//WPA2級(jí)別安全協(xié)議及美國高級(jí)加密算法AES，配合使用無線MAC地址過濾、AP隔離、AP的VALN功能、多WAN口策略路由、防火墻過濾、VPN策略等安全措施，可以完全杜絕非法用戶的接入嘗試，有效保證無線網(wǎng)絡(luò)安全。

1.6.4、隨時(shí)隨地接入：無線網(wǎng)絡(luò)建設(shè)完成之后，職工可以在無線覆蓋范圍的任意位置無線連接到單位網(wǎng)絡(luò)，不受硬件網(wǎng)絡(luò)接口及位置的限制，移動(dòng)性好。

1.6.5、高速無線網(wǎng)絡(luò)：150M無線AP作為無線接入點(diǎn)，保證高速的無線網(wǎng)絡(luò)。

1.6.6、管理維護(hù)簡單：設(shè)備支持全中文配置界面，支持配置導(dǎo)入與導(dǎo)出，管理維護(hù)簡單，操作方便。TL-WA701N支持軟件看門狗功能，當(dāng)無線網(wǎng)絡(luò)出現(xiàn)故障 ，可以自動(dòng)重啟設(shè)備，恢復(fù)無線網(wǎng)絡(luò)。無線AP支持Passive PoE網(wǎng)線供電，擺脫取電位置的限制，降低安裝難度。

1.7、網(wǎng)絡(luò)連接與設(shè)置

由于無線AP有Access Point、Multi-SSID、Repeater、Bridge with AP等多種工作模式可選，因而各節(jié)點(diǎn)也存在多種連接方式。經(jīng)過反復(fù)比較，確定了一個(gè)合理的連接方案，這個(gè)方案成本低，設(shè)置和維護(hù)也比較簡單。具體的連接方法是：1內(nèi)、3內(nèi)、4內(nèi)分別與1外、3外、4外有線連接，1外、3外、4外與B3建立WDS連接，B3用工作模式Multi-SSID，B3有線連接到H3C S3100 Series。這種連接方式，B3不僅能與1外、3外、4外分別建立WDS連接，還能利用多SSID、多VLAN功能對(duì)接入終端進(jìn)行分類控制和管理。

無線局域網(wǎng)搭建好之后，需要對(duì)路由器、交換機(jī)、無線接入節(jié)點(diǎn)進(jìn)行合理的配置，統(tǒng)一服務(wù)端與客戶端的訪問規(guī)則、設(shè)定IP地址及安全措施等。這里參照《BDCOM1705系列路由器Web配置說明書》、《H3C S3100系列以太網(wǎng)交換機(jī)操作手冊(cè)》、《TL-WA701N詳細(xì)配置指南》、《TL-WR740N詳細(xì)配置指南》進(jìn)行配置，對(duì)于安全措施可結(jié)合下一節(jié)的內(nèi)容和實(shí)際需要完善配置和策略。本案例作為點(diǎn)對(duì)多點(diǎn)的橋接網(wǎng)絡(luò)，配置時(shí)要注意以下幾點(diǎn)：

1.7.1、BDCOM Router 1705：使用策略路由、防火墻過濾、端口限速，開啟DHCP。

1.7.2、H3C S3100 Series：使用端口VLAN或802.1Q VLAN劃分，將有線局域網(wǎng)和無線局域網(wǎng)隔離。

1.7.3、橋接的兩個(gè)設(shè)備的SSID不可隱藏，其他的SSID可以隱藏。為了網(wǎng)絡(luò)安全，可啟用無線MAC地址過濾。

1.7.4、使用WPA-PSK/WPA2-PSK AES算法加密。

1.7.5、其它節(jié)點(diǎn)的DHCP全部關(guān)閉。

1.7.6、為網(wǎng)絡(luò)設(shè)備分配靜態(tài)IP。

1.7.7、信道設(shè)置：相橋接的B3、1外、3外、4外設(shè)成同一信道，加密方式一致，其他的信道設(shè)成“自動(dòng)”就可以，因?yàn)樵O(shè)備有CCA技術(shù)。

1.7.8、可開啟AP隔離。也可用B3的多SSID、多VALN功能分隔不同的無線用戶群組。

1.7.9、B2、1內(nèi)、3內(nèi)、4內(nèi)可以用TL-WR740N的路由功能設(shè)成不同網(wǎng)段的局域網(wǎng)，可用不同的SSID分隔無線網(wǎng)絡(luò)。

1.7.10、作為AP的無線路由器的防火墻不生效，不開啟。

1.7.11、作為AP的無線路由器的高級(jí)安全設(shè)置不生效，不開啟。

1.7.12、可開啟AP的看門狗功能。

1.7.13、同一局域網(wǎng)各節(jié)點(diǎn)的IP設(shè)置不能相同，要避免沖突。

1.8、網(wǎng)絡(luò)測試與維護(hù)

網(wǎng)絡(luò)建好后，還要進(jìn)行必要的測試，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，比如調(diào)整無線設(shè)備間的距離以及清除信號(hào)范圍內(nèi)的障礙物等，使網(wǎng)絡(luò)傳輸達(dá)到理想的效果。

在維護(hù)方面，要注意設(shè)備的日常維護(hù)與保養(yǎng)，利用一些工具軟件，隨時(shí)關(guān)注無線網(wǎng)絡(luò)的傳輸質(zhì)量，發(fā)現(xiàn)問題及時(shí)解決，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

2、結(jié)束語

無線局域網(wǎng)的組建，要考慮的因素很多，一般要進(jìn)行現(xiàn)場勘測，考慮無線覆蓋的范圍、方法，產(chǎn)品選用與搭配，節(jié)點(diǎn)密度、節(jié)點(diǎn)連接方式，工程造價(jià)，安全維護(hù)等多種因素，其中產(chǎn)品選用與搭配、節(jié)點(diǎn)的連接方式和密度、安全策略與維護(hù)是值得深入探討的問題。

對(duì)于具體的網(wǎng)絡(luò)組建，可能會(huì)有多種解決方案，工程造價(jià)也很懸殊，但并不是所用產(chǎn)品的各種性能越好，價(jià)位越高，布置的密度越大，網(wǎng)絡(luò)的使用效果就越好，必須綜合考慮各種因素，統(tǒng)籌兼顧，抓住重點(diǎn)，對(duì)產(chǎn)品性能參數(shù)、工作模式、安全要求等作深入的了解，才能制定合適的解決方案，經(jīng)濟(jì)而有效地解決實(shí)際問題。

本案例的主要特點(diǎn)是：成本低；節(jié)點(diǎn)移動(dòng)性小，較穩(wěn)定；采用11N、150M配套無線設(shè)備，有多種實(shí)用功能，性價(jià)比較高，可擴(kuò)展；網(wǎng)絡(luò)有防火墻和VLAN劃分功能，配合策略路由、端口限速、VPN策略等措施，安全性高。

［1］薛慶水，朱元忠等，《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》，大連理工大學(xué)出版社，2008

［2］http://www.hudong.com/wiki/WiFi

［3］http://it.21cn.com/software/wlyy/2011/01/13/8055998.shtml

［4］付穎芳，《無線Mesh網(wǎng)絡(luò)的密鑰管理及入侵檢測技術(shù)研究》

［5］許高建，無線網(wǎng)絡(luò)的構(gòu)建和安全策略研究[J]，計(jì)算機(jī)技術(shù)與發(fā)展，2007.17(7)：156-159

［6］何苗，《無線局域網(wǎng)安全分析與入侵檢測技術(shù)研究》

［7］Aspinwall J.Installing，Troubleshooting and Repairing Wireless Networks[M].北京.電子工業(yè)出版社.2004.

［8］David Coleman,CWNE#4.Top 10 Security Checklist for SOHO Wireless LANs

［9］吳新民，4G無線網(wǎng)絡(luò)安全問題的研究[J]，通信技術(shù)，2008(6)：127-129

［10］http://www.tp-link.com.cn/pages/product-list.asp?c=11.

［11］李海濤，翁俊鏗，WLAN無線橋接技術(shù)與應(yīng)用[J]，廣東氣象，2004(3)：42-43

［12］周潔，《基于GPU的WPA/WPA2-PSK高速破譯方法研究》

［13］丁方明，基于VPN的無線網(wǎng)絡(luò)安全性的分析與研究[J]，電腦知識(shí)與技術(shù)，2010.6(32)：9018-9019

［14］張民凱,鄭美琴等,基于VPN的遠(yuǎn)程氣象服務(wù)實(shí)現(xiàn)方案[J],山東氣象,2007(2):37-39

［15］梵音天,深入WEP和WPA密碼原理,中國無線論壇,論壇ID 0o90o9

［16］陳冠宇,《無線局域網(wǎng)安全管理規(guī)范研究》

［17］黃旭彬,校園無線網(wǎng)絡(luò)的安全研究[J].理論探索與創(chuàng)新,2010(7):21-22

［18］http://www.h3c.com.cn

［19］桑明剛，王恕等，電腦知識(shí)與技術(shù)[J]，2007.3(15)：706-711

［20］吳越，孫皓等，下一代網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J]，信息網(wǎng)絡(luò)安全，2007(5)