无线局域网工程

无线局域网(WLAN)是新兴网络技术中的重要分支之一,它把人们从网线的制约中解脱出来,提高了信息交换和工作的效率,并且特别适合于固定网线很难满足要求的场合。

常用的无线局域网设备有无线网卡、无线访问接入点(AP)、无线Hub和无线网桥。

无线网卡主要包括NIC(网卡)单元、扩频通信机和天线三个功能模块。NIC单元属于数据链路层,由它负责建立主机与物理层之间的连接;扩频通信机与物理层建立了对应关系,它通过天线实现无线电信号的接收与发射。

无线访问接入点(AP)是典型的WLAN设备。一个AP通常能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,AP可以通过标准的以太网电缆(如UTP)与传统的有线网络相连,作为无线网络和有线网络的连接点。

无线Hub既是无线工作站之间相互通信的桥梁和纽带,同时又是无线工作站进入有线以太网的访问点。

无线网桥主要用于无线或有线局域网之间的互连。当两个局域网无法实现有线连接或使用有线连接存在困难时,可使用无线网桥实现点对点的连接,在这里无线网桥起到了网络路由选择和协议转换的作用。

WLAN技术的难点在于对接入设备进行安全控制。在我公司承建的项目中,通常综合使用以下技术手段来提高WLAN网络的安全性:

  1. 控制访问设备的合法性:从MAC地址访问控制、SSID的设置、合理选择接入点位置和禁用DHCP四个方面加以考虑,对访问设备进行安全控制。
  2. 控制无线信号泄露:WLAN的覆盖范围是三维的,这意味着可能会有一些事先没有预料到的区域进入接入点的覆盖范围。在施工中,我们对无线信号进行测量,确定接入点的放置位置,使得合法用户范围内信号强度较强,合法用户范围之外信号强度较弱。
  3. 启用无线加密协议:主要使用的无线加密协议有有线对等保密(WEP),可扩展身份验证协议(EAP)等。
  4. 建立VPN网络:通过在WLAN上启用VPN相关协议,实现端到端的安全性,从而保护企业或机构的WLAN业务应用。
  5. 其他手段:其他手段包括使用访问控制列表(ACL)、启用RADIUS认证服务进行集中化认证、与其他网络安全设备(如IDS、IPS、防火墙设备等)进行紧密集成等。

 

 

WLAN案例:某部级国家机关办公大楼无线局域网

本次网络升级改造项目分为内网和外网两部分,其中内网部分全部使用有线网络;外网部分为提高网络接入的灵活性,大量使用了无线AP。

本项目内网以太网交换机全部选择华为3COM公司核心以太网交换机Quidway S8512,在提供双主控系统之后仍然可以12个业务槽位。外网的核心设备是Quidway S8512,外网用户均通过外网原有的一台路由器接入Internet网络。接入层全部是Quidway S6506R,内外网接入层设备与核心层设备均采用双千兆链路连接,两台核心设备均启用VRRP(路由器冗余备份协议)实现对接入层设备的上行网关备份。

对于外网接入点(AP)全部采用华为-3COM的3CRWX275075A,并用3CRWX440095A对AP进行统一管理。本项目外网安装了200多个AP接入点。

为了保证WLAN网络及有线网络的安全,外网分别采用华为先进的认证系统CAMS认证系统来完成用户的安全认证访问。由于本次网络设备全部采用中高端设备,所以完全支持802.1X认证协议,这样就和CAMS能够达到完美配合,从而实现用户端的安全认证访问。为了实现对内外网的管理,分别采用华为的Quidview 3.0网管系统网管系统对新建的内外网进行管理。

外网网络拓扑如图所示。

典型无线局域网用户清单:

国家知识产权局无线局域网

北京航空航天大学校园网无线局域网部分

山东日照钢铁公司园区网(包括无线局域网部分)

页面主体部分底边框