【正文】 工作流程自動(dòng)化和人員跟蹤――庫(kù)存使用、電子工作流程和分發(fā)流程都經(jīng)過(guò)了優(yōu)化。在一個(gè)零售環(huán)境中，店面布局和隊(duì)列管理都可以通過(guò)跟蹤客戶的購(gòu)物“模式”進(jìn)行優(yōu)化。在一個(gè)娛樂(lè)公園中，家長(zhǎng)可以隨時(shí)知道孩子所在的位置。在相關(guān)設(shè)施中，用戶還可以跟蹤安全人員的位置。在醫(yī)護(hù)人員嚴(yán)重短缺的醫(yī)療機(jī)構(gòu)中，醫(yī)院可以在正常工作期間或者在急需“距離最近的”醫(yī)護(hù)人員的緊急搶救期間，跟蹤醫(yī)護(hù)人員的位置。其他具有特殊需要的醫(yī)護(hù)人員可能需要跟蹤嬰兒或者老年人的位置。例如，有些患有阿爾茨海默氏病的老年人經(jīng)常會(huì)在醫(yī)院內(nèi)迷路。遠(yuǎn)程測(cè)量――帶有串行接口的WiFi標(biāo)簽可以被附加到某個(gè)設(shè)備上，將設(shè)備的重要信息直接發(fā)送到業(yè)務(wù)應(yīng)用。例如，汽車租賃企業(yè)常常需要與返還車輛的里程數(shù)和剩油有關(guān)的測(cè)量信息，而客戶需要可以幫助他們更快地找到車輛的位置信息。醫(yī)藥廠商、制造工廠和零售商需要關(guān)于產(chǎn)品的批數(shù)、過(guò)期時(shí)間、產(chǎn)品編號(hào)、序列號(hào)和不合格條件的信息。另外，在醫(yī)療行業(yè)，知道某個(gè)輸液泵的位置固然重要，但是知道它是否正在使用（啟動(dòng)還是關(guān)閉）更為重要。WLAN安全和網(wǎng)絡(luò)控制――IT人員可以迅速地定位安全威脅，例如惡意接入點(diǎn)和惡意客戶端設(shè)備。IT經(jīng)理還可以利用該設(shè)備為基于位置的安全措施建立框架，從而將樓宇的物理安全用于控制WAN接入――進(jìn)一步加強(qiáng)WLAN的安全性。RF容量管理和可見(jiàn)度――通過(guò)將位置跟蹤集成到WLAN中，IT人員可以執(zhí)行除跟蹤用戶以外的很多任務(wù)。利用這種設(shè)備，他們可以生成基于位置的趨勢(shì)報(bào)告，查看詳細(xì)的使用行為，以適應(yīng)流量模式的變化，實(shí)現(xiàn)更高質(zhì)量的RF容量管理?；赪LAN的語(yǔ)音（VoWLAN）――很多州的法律都要求E911電話服務(wù)必須能夠讓緊急派遣人員可以確定某個(gè)遇到困難的求助者的位置。E911服務(wù)可以通過(guò)針對(duì)無(wú)線語(yǔ)音設(shè)備的準(zhǔn)確位置跟蹤而具備這種能力。位置跟蹤已經(jīng)成為今天的WLAN的一個(gè)重要組成部分。通過(guò)發(fā)現(xiàn)和跟蹤無(wú)線用戶的位置，企業(yè)可以提高WLAN規(guī)劃和部署的準(zhǔn)確性，優(yōu)化長(zhǎng)期的網(wǎng)絡(luò)性能，加強(qiáng)無(wú)線安全，以及提高重要的業(yè)務(wù)應(yīng)用的效用和價(jià)值。位置跟蹤還提高了無(wú)線空間的可見(jiàn)度和控制，幫助IT人員以與部署傳統(tǒng)有線網(wǎng)絡(luò)一樣的便于管理、高效的方式部署無(wú)線網(wǎng)絡(luò)?？偨Y(jié)客戶需要一個(gè)經(jīng)濟(jì)有效、便于部署的解決方案來(lái)在不同的業(yè)務(wù)環(huán)境中跟蹤和管理WiFi設(shè)備和標(biāo)簽。他們還需要通過(guò)部署先進(jìn)的服務(wù)，改進(jìn)他們的業(yè)務(wù)應(yīng)用，以及滿足法律對(duì)于加強(qiáng)安全性、提高資產(chǎn)可見(jiàn)度和支持E911呼叫的要求。三、新大樓無(wú)線設(shè)計(jì)方案 三、1物理連接示意圖根據(jù)XXXX網(wǎng)絡(luò)覆蓋需求和現(xiàn)場(chǎng)環(huán)境的勘查，確定實(shí)施方案，確定每層的設(shè)備使用數(shù)量：序列號(hào)樓層AP數(shù)量1234567891011121314151617181920三、2設(shè)備需求清單 設(shè)備名稱型號(hào)單位數(shù)量無(wú)線接入點(diǎn)Airspace臺(tái)197無(wú)線天線個(gè)476網(wǎng)絡(luò)供電模塊臺(tái)197無(wú)線網(wǎng)卡塊0饋線根468功分器個(gè)121WCS網(wǎng)管WCS臺(tái)1控制器4400臺(tái)2定位服務(wù)器2700臺(tái)1三、3樓層設(shè)備分布點(diǎn)位拓?fù)鋱D四、新大樓無(wú)線網(wǎng)絡(luò)項(xiàng)目施工本次設(shè)計(jì)實(shí)施目標(biāo)為大樓內(nèi)無(wú)線網(wǎng)絡(luò)信號(hào)覆蓋，由于現(xiàn)階段裝修沒(méi)有開(kāi)始，無(wú)線網(wǎng)絡(luò)施工還需要現(xiàn)場(chǎng)無(wú)線信號(hào)實(shí)際測(cè)試，最終確定每一臺(tái)AP的安裝位置。在項(xiàng)目實(shí)施前還需要現(xiàn)場(chǎng)勘查確定AP到交換機(jī)的走線情況。 設(shè)備安裝：216。 AP安裝方式：安裝在天花板處或側(cè)墻壁上，安裝位置根據(jù)現(xiàn)場(chǎng)實(shí)際測(cè)的信號(hào)強(qiáng)度和房屋內(nèi)部裝修布置確定，實(shí)際安裝可以根據(jù)裝修情況進(jìn)行優(yōu)化。216。 天線安裝：采用吸頂天線安裝方式。216。 采用6類UTP線纜從現(xiàn)場(chǎng)AP直接連接至配線間RJ45配線架上，經(jīng)跳線連接到樓層交換機(jī)?；蚓徒臻e模塊接口。216。 AP工作電源由設(shè)備供電模塊提供48V DC電源。線纜、管道和橋架由綜合布線和綜合管道橋架統(tǒng)一考慮。本項(xiàng)目實(shí)施需著重考慮如下幾點(diǎn)：（1） 因?yàn)榇髽莾?nèi)部裝修未確定，在安裝設(shè)備和吸頂天線時(shí)不能影響大樓裝修的美觀。這個(gè)施工難度比較大，需要綜合考慮。（2） 接入點(diǎn)布局問(wèn)題： Mbps設(shè)備，設(shè)備安裝需要充分考慮環(huán)境和不可抗拒的因素。（3） 信號(hào)覆蓋問(wèn)題：因?yàn)樵谕粋€(gè)環(huán)境中安裝多個(gè)設(shè)備，各個(gè)設(shè)備之間的信號(hào)相互竄繞的問(wèn)題比較嚴(yán)重，需根據(jù)現(xiàn)場(chǎng)環(huán)境來(lái)調(diào)整設(shè)備內(nèi)部配置（4） 天線問(wèn)題：天線的安裝要和大樓的裝修融為一體，不能影響大樓裝修的美觀，在顏色、尺寸方面充分考慮。（5） 安全問(wèn)題：客戶端的無(wú)線鏈接可通過(guò)用戶認(rèn)證和設(shè)備端口認(rèn)證等一些安全措施解決。（6） 與大樓局域網(wǎng)鏈接問(wèn)題：設(shè)備的網(wǎng)線鏈接選擇就近的弱電室，還有空閑的網(wǎng)絡(luò)接口也可考慮。五、新大樓無(wú)線網(wǎng)絡(luò)安全性設(shè)計(jì) 目前，無(wú)線LAN已經(jīng)形成了主流趨勢(shì)，各類公司都想把有線LAN和無(wú)線LAN進(jìn)行集成。網(wǎng)絡(luò)管理人員希望無(wú)線LAN能夠提供和有線LAN一樣的安全性、可管理性以及可伸縮性。 其中最主要考慮是安全性，包括訪問(wèn)控制和加密。訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶訪問(wèn)。加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶接收和理解。 有線LAN的接入是在LAN的以太端口接入時(shí)進(jìn)行管理。因些，有線LAN的訪問(wèn)控制常常以物理端口接入方式進(jìn)行監(jiān)視。同樣，由于有線LAN的數(shù)據(jù)傳輸直接送到一定的目的地，除非有人使用特定的設(shè)備在傳播路徑上進(jìn)行截聽(tīng)，信息一般不會(huì)泄露。簡(jiǎn)而言之，除非LAN物理上遭到破壞，否則不會(huì)發(fā)生信息的泄密問(wèn)題。 在無(wú)線LAN中，傳送的數(shù)據(jù)是利用無(wú)線電波在空中輻射傳播，它可以被發(fā)射機(jī)覆蓋范圍內(nèi)任何無(wú)線LAN客戶機(jī)所接收到。無(wú)線電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達(dá)預(yù)期之外的、安裝在不同樓層、甚至是發(fā)射機(jī)所在的大樓之外的接收設(shè)備。配置無(wú)線LAN時(shí)，以太網(wǎng)端口相當(dāng)于可以設(shè)置在任何地點(diǎn)，包括停車場(chǎng)，無(wú)法像有線LAN的端口那樣進(jìn)行控制。由于沒(méi)有辦法把無(wú)線LAN發(fā)射的數(shù)據(jù)定向到一個(gè)特定的接收設(shè)備，所以數(shù)據(jù)保密成為最重要的問(wèn)題。 IEEE ，這兩個(gè)部分必須在無(wú)線LAN中的每個(gè)設(shè)備上配置。擁有成百上千臺(tái)無(wú)線LAN用戶的公司需要可靠的安全解決方案，可以從一個(gè)控制中心進(jìn)行有效的管理。缺乏集中的安全控制是無(wú)線LAN只在一些相對(duì)較小的公司和特定應(yīng)用中得到使用的根本原因。 第一代無(wú)線LAN的安全性 IEEE ：服務(wù)配置標(biāo)識(shí)符（SSID）和有線等效保密（WEP）。還有一種加密的機(jī)制是通過(guò)透明運(yùn)行在無(wú)線LAN上的虛擬專網(wǎng)（VPN）來(lái)進(jìn)行的。因?yàn)閂PN的使用獨(dú)立于任何本地?zé)o線LAN安全方案，所以本文不涉及它的討論。 SSID 無(wú)線LAN中經(jīng)常用到的一個(gè)特性是稱為SSID的命名編號(hào)，它提供低級(jí)別上的訪問(wèn)控制。SSID通常是無(wú)線LAN子系統(tǒng)中設(shè)備的網(wǎng)絡(luò)名稱；它用于在本地分割子系統(tǒng)。SSID做為編號(hào)來(lái)允許/拒絕訪問(wèn)是危險(xiǎn)的，因?yàn)镾SID的安全性并不好。把無(wú)線客戶機(jī)連接到有線網(wǎng)絡(luò)的設(shè)備稱為訪問(wèn)點(diǎn)，它通常在自己的信標(biāo)中廣播SSID。 WEP （或稱為WEP）的可選加密方案，提供了確保無(wú)線LAN數(shù)據(jù)流的機(jī)制。WEP利用一個(gè)對(duì)稱的方案，在數(shù)據(jù)的加密和解密過(guò)程中使用相同的密鑰和算法。WEP的目標(biāo)包括： 訪問(wèn)控制：防止沒(méi)有正確WEP密鑰的非授權(quán)用戶獲得網(wǎng)絡(luò)的訪問(wèn)權(quán)。 保密：通過(guò)只允許有正確WEP密鑰的用戶來(lái)對(duì)無(wú)線LAN的數(shù)據(jù)流進(jìn)行加密和解密，從而達(dá)到保密的目的 盡管WEP是可選的，但WECA要求WiFi認(rèn)證的產(chǎn)品要支持WEP的40位密鑰，因此WECA成員都支持WEP。有的廠家利用軟件實(shí)現(xiàn)加密和解密過(guò)程的大量計(jì)算，也有的廠家，如Cisco，利用硬件加速器來(lái)保證數(shù)據(jù)流加密和解密過(guò)程中的性能損失最小。 IEEE 。第一種方案中，無(wú)線子系統(tǒng)中所有的工作站（包括客戶機(jī)和訪問(wèn)點(diǎn)）共享一套四個(gè)缺省的密鑰。當(dāng)一個(gè)客戶機(jī)得到缺省的密鑰后，它可以安全地和系統(tǒng)中其它所有的工作站進(jìn)行通信。這種缺省密鑰的問(wèn)題在于它們?cè)绞菑V泛地進(jìn)行分配，也就越有可能暴露。在第二種方案中，每個(gè)客戶機(jī)建立和其它工作站密鑰映射關(guān)系。這種方案工作起來(lái)更為安全，因?yàn)閾碛忻荑€的工作站更少。但是當(dāng)工作站的數(shù)量不斷增加時(shí)，分配這樣一個(gè)獨(dú)一無(wú)二的密鑰會(huì)變得很困難。 身份驗(yàn)證 一個(gè)客戶機(jī)在進(jìn)行身份驗(yàn)證之前不能接入到無(wú)線LAN中。IEEE ：開(kāi)放和共享密鑰。身份驗(yàn)證必須在每臺(tái)客戶機(jī)上進(jìn)行設(shè)置，并且這些設(shè)置應(yīng)該能夠與想和客戶機(jī)通信的所有訪問(wèn)點(diǎn)相匹配。 開(kāi)放式身份驗(yàn)證為缺省的方法，整個(gè)驗(yàn)證過(guò)程以明碼電文的方式完成，客戶機(jī)即使沒(méi)有提供正確的WEP密鑰也能和訪問(wèn)點(diǎn)進(jìn)行通信。在共享密鑰的方法中，訪問(wèn)點(diǎn)發(fā)送給客戶機(jī)一個(gè)詢問(wèn)文本信息包，客戶機(jī)必須使用正確的WEP密鑰對(duì)它進(jìn)行編碼，并且把它返回訪問(wèn)點(diǎn)。如果客戶機(jī)提供的密鑰錯(cuò)誤或者根本沒(méi)有提供密鑰，說(shuō)明身份驗(yàn)證失敗，它將不會(huì)被允許和訪問(wèn)點(diǎn)進(jìn)行通信。 一些無(wú)線LAN廠商支持基于客戶機(jī)物理地址，或者說(shuō)基于介質(zhì)訪問(wèn)控制（MAC）地址的身份驗(yàn)證方法。只有當(dāng)客戶機(jī)的MAC地址與訪問(wèn)點(diǎn)所使用的驗(yàn)證表中的地址相匹配時(shí)，訪問(wèn)點(diǎn)才允許客戶機(jī)與它進(jìn)行通信。 安全隱患 硬件被竊 靜態(tài)地指定WEP密鑰給一臺(tái)客戶機(jī)是很常見(jiàn)的方法，密鑰或者存儲(chǔ)在客戶機(jī)的磁盤存儲(chǔ)器中，或者存儲(chǔ)在客戶機(jī)的無(wú)線LAN適配器的內(nèi)存中。當(dāng)這些步驟完成后，客戶機(jī)處理器就擁有了客戶機(jī)的MAC地址和WEP密鑰，并且可以利用這些單元獲得對(duì)無(wú)線LAN的訪問(wèn)權(quán)了。如果多個(gè)用戶共用一臺(tái)客戶機(jī)，這些用戶將有效地共享MAC地址和WEP密鑰。 當(dāng)客戶機(jī)丟失或被盜時(shí)，該客戶機(jī)的正常用戶將不再擁有對(duì)MAC地址和WEP密鑰的訪問(wèn)權(quán)，而非正常用戶則有了這些權(quán)限。此時(shí)管理員要想檢測(cè)網(wǎng)絡(luò)的安全性是否被破壞是不可能的；原有的機(jī)主應(yīng)該及時(shí)通知網(wǎng)絡(luò)管理員。當(dāng)網(wǎng)絡(luò)管理員接到通知后，必須改變安全方案，使MAC地址和WEP密鑰在訪問(wèn)無(wú)線LAN和對(duì)傳送的數(shù)據(jù)進(jìn)行解密時(shí)變得無(wú)效。同時(shí)，網(wǎng)絡(luò)管理員還必須對(duì)與丟失或被盜的客戶機(jī)密鑰相同的其它客戶機(jī)的靜態(tài)密鑰全部進(jìn)行重新編碼?？蛻魴C(jī)的數(shù)目越多，對(duì)WEP密鑰進(jìn)行重新編程的工作量也就越大。 所需要的安全方案： 無(wú)線LAN身份驗(yàn)證基于設(shè)備獨(dú)立的項(xiàng)目，如用戶名和口令等，不論在哪一部客戶機(jī)上運(yùn)行，這些項(xiàng)目都由用戶擁有和使用 使用由用戶身份驗(yàn)證動(dòng)態(tài)產(chǎn)生的WEP密鑰，并不是和客戶機(jī)物理相關(guān)的靜態(tài)密鑰 虛假訪問(wèn)點(diǎn) ，非相互的身份驗(yàn)證方法。訪問(wèn)點(diǎn)可以驗(yàn)證用戶的身份，但是用戶并不能驗(yàn)證訪問(wèn)點(diǎn)的身份。如果一個(gè)虛假訪問(wèn)點(diǎn)放置到無(wú)線LAN中，它可以通過(guò)劫持合法用戶客戶機(jī)來(lái)成為發(fā)動(dòng)拒絕服務(wù)攻擊的平臺(tái)。 因此在客戶機(jī)和驗(yàn)證服務(wù)器之間需要一個(gè)相互驗(yàn)證方法，雙方都應(yīng)在一個(gè)合理的時(shí)間證明它們的合法性。因?yàn)榭蛻魴C(jī)和驗(yàn)證服務(wù)器通過(guò)訪問(wèn)點(diǎn)進(jìn)行通信，訪問(wèn)點(diǎn)必須支持雙向的身份驗(yàn)證方法。雙向的身份驗(yàn)證使檢測(cè)和隔離虛假訪問(wèn)點(diǎn)成為可能。 其它隱患 標(biāo)準(zhǔn)的WEP支持每個(gè)信息包加密功能，但是并不支持對(duì)每個(gè)信息包的驗(yàn)證。黑客可從對(duì)已知數(shù)據(jù)包的響應(yīng)來(lái)重構(gòu)信息流，從而能夠發(fā)送欺騙信息包。彌補(bǔ)這個(gè)安全弱點(diǎn)的途徑之一是定期更換WEP密鑰。 ，黑客可以得到如下信息： 客戶機(jī)和訪問(wèn)點(diǎn)MAC地址 內(nèi)部主機(jī)的MAC地址 進(jìn)行通信/斷開(kāi)通信的時(shí)間 黑客可能使用這些信息來(lái)進(jìn)行長(zhǎng)期的流量測(cè)量和分析，從而獲悉用戶和設(shè)備的詳細(xì)信息。為預(yù)防此類黑客活動(dòng)，站點(diǎn)應(yīng)使用每次會(huì)話WEP密鑰。 解決安全性時(shí)所遇到的隱患 總的來(lái)說(shuō)，為了確保本部分所提到的安全性，無(wú)線LAN安全方案應(yīng)做到： 無(wú)線LAN身份驗(yàn)證基于與設(shè)備獨(dú)立的項(xiàng)目，如用戶名和口令等，不論在哪一部客戶機(jī)上運(yùn)行，這些項(xiàng)目都由用戶擁有和使用 支持客戶機(jī)和驗(yàn)證（RADIUS）服務(wù)器之間的雙向身份驗(yàn)證 使用由用戶身份驗(yàn)證動(dòng)態(tài)產(chǎn)生的WEP密鑰，并非和客戶機(jī)物理相關(guān)的靜態(tài)密鑰 支持基于會(huì)話的WEP密鑰 第一代無(wú)線LAN安全性能依賴于訪問(wèn)控制和保密的靜態(tài)WEP密鑰，它并不能解決以上這些需求。 完整的安全解決方案 我們所需要的無(wú)線LAN安全解決方案，應(yīng)該利用基于標(biāo)準(zhǔn)的和開(kāi)放的結(jié)構(gòu)，提供最高級(jí)別的可用安全性，實(shí)現(xiàn)從一個(gè)中央控制點(diǎn)進(jìn)行有效的安全管理。一個(gè)對(duì)安全做出承諾的安全解決方案應(yīng)該遵循IEEE提案中的關(guān)鍵內(nèi)容，這個(gè)提案由Cisco、Microsoft和其它公司聯(lián)合提出。它的中心問(wèn)題集中在以下幾個(gè)方面： 可擴(kuò)展身份驗(yàn)證協(xié)議（EAP），是使無(wú)線客戶機(jī)適配器與RADIUS服務(wù)器進(jìn)行通信的遠(yuǎn)程訪問(wèn)撥號(hào)用戶服務(wù)（RADIUS）的擴(kuò)展 IEEE ，用于控制端口通信的推薦標(biāo)準(zhǔn) 在使用安全解決方案時(shí)，在用戶進(jìn)行網(wǎng)絡(luò)登錄之前，與訪問(wèn)點(diǎn)通信的無(wú)線客戶機(jī)并不能獲得網(wǎng)絡(luò)訪問(wèn)權(quán)。用戶在網(wǎng)絡(luò)登錄對(duì)話框或與之功能相似的對(duì)話框中鍵入用戶名和口令之后，客戶機(jī)和RADIUS服務(wù)器（或其它驗(yàn)證服務(wù)器）通過(guò)用戶所提供的用戶名和口令進(jìn)行雙向的身份驗(yàn)證，對(duì)被驗(yàn)證的客戶機(jī)進(jìn)行檢驗(yàn)。RADIUS服務(wù)器和客戶機(jī)利用客戶機(jī)所提供的特定WEP密鑰進(jìn)行登錄對(duì)話連接。所有敏感的信息如口令等都受到保護(hù)，不會(huì)被被動(dòng)監(jiān)聽(tīng)和其它攻擊方法所截獲。如果沒(méi)有保護(hù)措施，沒(méi)有什么能在空氣中暢行無(wú)阻、絕對(duì)安全地傳播。 這個(gè)過(guò)程的順序如下： 無(wú)線客戶機(jī)與訪問(wèn)點(diǎn)進(jìn)行通信 在登錄到網(wǎng)絡(luò)之前，訪問(wèn)點(diǎn)拒絕所有客戶機(jī)的對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 客戶機(jī)上的用戶在網(wǎng)絡(luò)登錄對(duì)話框或類似功能的對(duì)話框中提供用戶名和口令。 ，無(wú)線LAN上的客戶機(jī)和RADIUS服務(wù)器通過(guò)訪問(wèn)點(diǎn)進(jìn)行雙向身份驗(yàn)證。有幾種驗(yàn)證身份的方法備選。在Cisco的身份驗(yàn)證方法中，RADIUS服務(wù)器發(fā)送一個(gè)驗(yàn)證詢問(wèn)信息到客戶機(jī)?？蛻魴C(jī)利用用戶提供的單向口令散列信息來(lái)生成對(duì)詢問(wèn)的響應(yīng)，并把這個(gè)響應(yīng)送到RADIUS服務(wù)器。RADIUS服務(wù)器根據(jù)它的用戶數(shù)據(jù)庫(kù)中的信息，自己產(chǎn)生一個(gè)響應(yīng)，并與客戶機(jī)所送來(lái)響應(yīng)進(jìn)行比較。一旦RADIUS服務(wù)器驗(yàn)證了客戶機(jī)的身份，上述過(guò)程逆向重復(fù)。 當(dāng)