摘 要：本文基于無線網(wǎng)絡(luò)自身的特點(diǎn)以及企業(yè)的發(fā)展對(duì)無線網(wǎng)絡(luò)的迫切需求為出發(fā)點(diǎn)，對(duì)企業(yè)的無線網(wǎng)絡(luò)架構(gòu)進(jìn)行設(shè)計(jì)，并詳細(xì)闡述了各層次所采取的的路由協(xié)議，最后提出了局域網(wǎng)安全防范的幾點(diǎn)措施。

關(guān)鍵詞：無線網(wǎng)絡(luò)；拓?fù)浣Y(jié)構(gòu)；協(xié)議

中圖分類號(hào)：TN925

目前，很多企業(yè)隨著業(yè)務(wù)的不斷拓展，規(guī)模在迅速擴(kuò)大，新的廠址、新的辦公地點(diǎn)需要信息網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)。目標(biāo)是讓在企業(yè)不同部門的員工可以隨時(shí)隨地借助便攜式電腦、PDA等無線終端方便高效地使用網(wǎng)絡(luò)。這樣，所有辦公室、會(huì)議室的任何地方都需要具備接入網(wǎng)絡(luò)的能力。

充分利用無線局域網(wǎng)技術(shù)（WLAN），可以實(shí)現(xiàn)在一定區(qū)域內(nèi)實(shí)現(xiàn)不間斷移動(dòng)辦公的需求，并且隨著需求增加，將來還可以迅速、方便地部署更多的網(wǎng)絡(luò)節(jié)點(diǎn)。無線網(wǎng)彌補(bǔ)了有線網(wǎng)的缺陷，可在需要的時(shí)間和地點(diǎn)經(jīng)濟(jì)有效地拓展連接能力，撇棄了傳統(tǒng)有線局域網(wǎng)在提供完善數(shù)據(jù)服務(wù)方面的不足，為樓網(wǎng)乃至企業(yè)網(wǎng)的建設(shè)，特別是解決公共區(qū)域的局域網(wǎng)建設(shè)，提供了新的思路和解決方案。

1 企業(yè)所需信息化網(wǎng)絡(luò)應(yīng)具備的特點(diǎn)

（1）作為一個(gè)基于企業(yè)Intranet的信息管理和應(yīng)用的網(wǎng)絡(luò)系統(tǒng)，提供相應(yīng)的各種服務(wù)；（2）網(wǎng)絡(luò)上各種軟、硬件資源能得到共享，并能快速、穩(wěn)定地傳輸各種信息，提供有效的網(wǎng)絡(luò)信息管理手段；（3）采用開放式、標(biāo)準(zhǔn)化的系統(tǒng)結(jié)構(gòu)，以利于功能擴(kuò)充和技術(shù)升級(jí)；（4）能夠與外界進(jìn)行廣域網(wǎng)的連接，提供、享用各種信息服務(wù)；（5）具有完善的網(wǎng)絡(luò)安全機(jī)制；（6）能夠與原有的計(jì)算機(jī)局域網(wǎng)絡(luò)和應(yīng)用系統(tǒng)平滑地連接，調(diào)用原有各種計(jì)算機(jī)系統(tǒng)的信息。

2 企業(yè)無線辦公網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)

2.1 核心層：核心層多業(yè)務(wù)、高可靠、大容量設(shè)計(jì)，所有關(guān)鍵部件均采用冗余熱備份設(shè)計(jì)，采用分布式路由轉(zhuǎn)發(fā)處理引擎，支持真正熱插拔、熱備份；支持完善的DiffServ/QOS保障：實(shí)現(xiàn)簡(jiǎn)單流分類、復(fù)雜流分類、流量監(jiān)管、真正的擁塞控制、完善的隊(duì)列調(diào)度和輸出流整形等功能，使網(wǎng)絡(luò)成為一個(gè)可以同時(shí)承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。

2.2 分布層：通過Vlan劃分實(shí)現(xiàn)不同部門內(nèi)部訪問安全的要求。配置公司各種服務(wù)器，滿足公司日常業(yè)務(wù)所需進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問控制。包括ACL訪問控制列表、EIGRP路由協(xié)議等。

2.3 接入層：為企業(yè)員工提供最終的用戶接入。

3 路由協(xié)議的選擇

3.1 EIGRP路由協(xié)議。常用的動(dòng)態(tài)路由協(xié)議主要是EIGRP協(xié)議和OSPF協(xié)議，由于OSPF協(xié)議在網(wǎng)絡(luò)區(qū)域劃分和網(wǎng)絡(luò)屬性的復(fù)雜性，并且需要網(wǎng)絡(luò)分析員具有較高的網(wǎng)絡(luò)知識(shí)水平才能配置和管理OSPF網(wǎng)絡(luò)，且OSPF協(xié)議只選擇優(yōu)先級(jí)較高的轉(zhuǎn)發(fā)，不能實(shí)現(xiàn)負(fù)載分擔(dān)，且實(shí)現(xiàn)負(fù)載均衡較難。由于公司核心架構(gòu)都采用CISCO設(shè)備，因此使用EIGRP協(xié)議為最佳選擇。

EIGRP協(xié)議的對(duì)等路由器之間周期性發(fā)送很小的hello報(bào)文，因此占用帶寬少；EIGRP協(xié)議使用DUAL算法在路由計(jì)算中不會(huì)出現(xiàn)路由環(huán)路，因此加速了收斂時(shí)間；運(yùn)行EIGRP協(xié)議進(jìn)程的路由器之間可以配置MD5認(rèn)證，確保了路由獲得的安全性。

3.2 CHAP認(rèn)證。PPP封裝認(rèn)證方式有PAP認(rèn)證和CHAP認(rèn)證將定期的發(fā)出挑戰(zhàn)且密碼值是在進(jìn)行不可預(yù)測(cè)的改變，因此很難遭受網(wǎng)絡(luò)攻擊，保證了會(huì)話的安全性。

為了保證本次辦公網(wǎng)絡(luò)的安全性，在外網(wǎng)與內(nèi)網(wǎng)的路由器之間我們配置了CHAP認(rèn)證，確保了連接到內(nèi)網(wǎng)的用戶都是合法的。

3.3 DHCP驗(yàn)證。由于公司終端接入量較多，為了方便管理以及減輕網(wǎng)絡(luò)管理人員的繁瑣的工作量，在分布層的各網(wǎng)絡(luò)無線路由器中都配置了DHCP功能。

3.4 ACL訪問控制列表。根據(jù)公司網(wǎng)絡(luò)需求，為了防止外界用戶訪問公司內(nèi)網(wǎng)。在核心層交換機(jī)配置ACL。拒絕外接用戶訪問除公司明確允許的，如：WEB服務(wù)器等以外的任何設(shè)備；但不影響公司其他內(nèi)部訪問。

3.5 NAT驗(yàn)證。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)是利用防火墻的地址轉(zhuǎn)換功能，將內(nèi)網(wǎng)的私有地址實(shí)現(xiàn)地址轉(zhuǎn)換功能。防火墻可隨機(jī)設(shè)置靜態(tài)地址或者動(dòng)態(tài)地址池，通過防火墻發(fā)往外部的數(shù)據(jù)報(bào)文從動(dòng)態(tài)地址池中隨機(jī)找地址來完成數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。通過地址轉(zhuǎn)換可達(dá)到兩個(gè)優(yōu)點(diǎn)：一是因臟內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)；二是通過使用NAT負(fù)載功能，內(nèi)部網(wǎng)絡(luò)可使用私有保留地址，節(jié)約了網(wǎng)絡(luò)成本。

3.6 VTP驗(yàn)證。在網(wǎng)絡(luò)設(shè)計(jì)中，將各分布層的三層交換機(jī)作VTP的服務(wù)器而二層交換機(jī)作VTP的客戶端。通過在各交換機(jī)上配置相同的域名和密碼，可僅在VTP服務(wù)器上創(chuàng)建VLAN將信息發(fā)送到VTP客戶端，從而節(jié)約了網(wǎng)絡(luò)管理員的配置量，并且確保了創(chuàng)建VLAN信息保持一致。

3.7 WEB服務(wù)器。WEB服務(wù)器的主要功能是為用戶提供網(wǎng)上信息瀏覽服務(wù)。在設(shè)計(jì)方案中WEB服務(wù)器主要是允許外接通過公司架構(gòu)的WEB服務(wù)器，讓其瀏覽用戶了解公司企業(yè)文化和辦公宗旨，并實(shí)時(shí)更新公司信息以及地產(chǎn)房屋市場(chǎng)信息以供用戶網(wǎng)上參考及辦公。

3.8 郵件服務(wù)器。電子郵件（E-Mail）是互聯(lián)網(wǎng)最基本、但卻是十分重要的組成部分之一，通過電子郵件可進(jìn)行方便快捷的信息交流與共享。公司郵箱以該企業(yè)的域名作為郵箱后綴，既能體現(xiàn)了公司的品牌和形象，更能使公司郵件得到更安全的管理。

4 安全防范措施

4.1 開放認(rèn)證。開放認(rèn)證方法是802.nb標(biāo)準(zhǔn)中默認(rèn)的認(rèn)證方式，在明文狀態(tài)下進(jìn)行認(rèn)證，認(rèn)證過程如下：客戶端向無線路由器發(fā)送認(rèn)證請(qǐng)求，無線路由器確認(rèn)認(rèn)證，注冊(cè)客戶端；客戶端發(fā)送連接請(qǐng)求給無線路由器，無線路由器確認(rèn)請(qǐng)求，注冊(cè)客戶端。通常無線路由器的開放認(rèn)證有三種策略：第一種策略為默認(rèn)方式，允許任何客戶端認(rèn)證；第二種是只允許認(rèn)證帶有合法服務(wù)器標(biāo)識(shí)ID（實(shí)際為SSID）的客戶端，SSID相當(dāng)于密碼的作用；第三種是無線路由器只允許認(rèn)證MAC地址在無線路由器的訪問控制列表中的客戶端。

4.2 共享密鑰認(rèn)證。共享密鑰認(rèn)證是基于WEP共享密鑰的認(rèn)證方法，前提是客戶端和無線路由器中己經(jīng)預(yù)先手動(dòng)設(shè)置好了共享密鑰，共享密鑰認(rèn)證與開放認(rèn)證相似，只不過它使用WEP對(duì)認(rèn)證過程進(jìn)行加密，因而其安全性要高于開放認(rèn)證。

4.3 無線局域網(wǎng)的加密技術(shù)。加密技術(shù)是網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù)。IEEE為無線局域網(wǎng)提供了三種安全性保護(hù)協(xié)議：WEP、TKIP、CCMP。主要的方法有無線局域網(wǎng)E無線路由器策略、無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)W無線路由器I以及IEEE802.11標(biāo)準(zhǔn)中的WPA等等。其中W無線路由器I是我國(guó)自主研發(fā)的、擁有自主知識(shí)產(chǎn)權(quán)的無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)而TKIP主要進(jìn)行無線網(wǎng)絡(luò)產(chǎn)品的互通性測(cè)試。然而，這些還聯(lián)夠，還需要一些增強(qiáng)方法和策略等。

4.4 選擇無線局域網(wǎng)安全策略的原則。確保無線局域網(wǎng)網(wǎng)安全可以說“三分靠技術(shù)，七分靠策略”，無線局域網(wǎng)部署中要適當(dāng)應(yīng)用安全技術(shù)，合理選擇安全策略。在部署無線局域網(wǎng)時(shí)，只要結(jié)合自身的網(wǎng)路安全實(shí)際需求，合理選擇無線局域網(wǎng)的安全策略，提供足夠的網(wǎng)絡(luò)安全防護(hù)，就可以安心的享受無線接入的便捷，同時(shí)也能保證重要數(shù)據(jù)的安全。首先對(duì)無線局域網(wǎng)的各種安全措施以及無線路由器類型進(jìn)行比較，最后選擇基本安全、增強(qiáng)安全和擴(kuò)展安全三種無線局域網(wǎng)部署方案。

參考文獻(xiàn)：

[1]于雷，余兆明.高校校園無線局域網(wǎng)部署方案的分析研究[J].中國(guó)科技信息，2008（04）.

[2]董春慶.無線網(wǎng)絡(luò)局域網(wǎng)技術(shù)及應(yīng)用[J].網(wǎng)絡(luò)世界，2007（06）.

作者簡(jiǎn)介：黃丹（1979.10-），女，滿族，吉林遼源人，教師，講師，學(xué)士學(xué)位，研究方向：網(wǎng)絡(luò)安全。

作者單位：遼源職業(yè)技術(shù)學(xué)院，吉林遼源 136200