【正文】 工作流程自動化和人員跟蹤――庫存使用、電子工作流程和分發(fā)流程都經(jīng)過了優(yōu)化。在一個零售環(huán)境中，店面布局和隊列管理都可以通過跟蹤客戶的購物“模式”進行優(yōu)化。在一個娛樂公園中，家長可以隨時知道孩子所在的位置。在相關設施中，用戶還可以跟蹤安全人員的位置。在醫(yī)護人員嚴重短缺的醫(yī)療機構中，醫(yī)院可以在正常工作期間或者在急需“距離最近的”醫(yī)護人員的緊急搶救期間，跟蹤醫(yī)護人員的位置。其他具有特殊需要的醫(yī)護人員可能需要跟蹤嬰兒或者老年人的位置。例如，有些患有阿爾茨海默氏病的老年人經(jīng)常會在醫(yī)院內(nèi)迷路。遠程測量――帶有串行接口的WiFi標簽可以被附加到某個設備上，將設備的重要信息直接發(fā)送到業(yè)務應用。例如，汽車租賃企業(yè)常常需要與返還車輛的里程數(shù)和剩油有關的測量信息，而客戶需要可以幫助他們更快地找到車輛的位置信息。醫(yī)藥廠商、制造工廠和零售商需要關于產(chǎn)品的批數(shù)、過期時間、產(chǎn)品編號、序列號和不合格條件的信息。另外，在醫(yī)療行業(yè)，知道某個輸液泵的位置固然重要，但是知道它是否正在使用（啟動還是關閉）更為重要。WLAN安全和網(wǎng)絡控制――IT人員可以迅速地定位安全威脅，例如惡意接入點和惡意客戶端設備。IT經(jīng)理還可以利用該設備為基于位置的安全措施建立框架，從而將樓宇的物理安全用于控制WAN接入――進一步加強WLAN的安全性。RF容量管理和可見度――通過將位置跟蹤集成到WLAN中，IT人員可以執(zhí)行除跟蹤用戶以外的很多任務。利用這種設備，他們可以生成基于位置的趨勢報告，查看詳細的使用行為，以適應流量模式的變化，實現(xiàn)更高質量的RF容量管理。基于WLAN的語音（VoWLAN）――很多州的法律都要求E911電話服務必須能夠讓緊急派遣人員可以確定某個遇到困難的求助者的位置。E911服務可以通過針對無線語音設備的準確位置跟蹤而具備這種能力。位置跟蹤已經(jīng)成為今天的WLAN的一個重要組成部分。通過發(fā)現(xiàn)和跟蹤無線用戶的位置，企業(yè)可以提高WLAN規(guī)劃和部署的準確性，優(yōu)化長期的網(wǎng)絡性能，加強無線安全，以及提高重要的業(yè)務應用的效用和價值。位置跟蹤還提高了無線空間的可見度和控制，幫助IT人員以與部署傳統(tǒng)有線網(wǎng)絡一樣的便于管理、高效的方式部署無線網(wǎng)絡。總結客戶需要一個經(jīng)濟有效、便于部署的解決方案來在不同的業(yè)務環(huán)境中跟蹤和管理WiFi設備和標簽。他們還需要通過部署先進的服務，改進他們的業(yè)務應用，以及滿足法律對于加強安全性、提高資產(chǎn)可見度和支持E911呼叫的要求。三、新大樓無線設計方案 三、1物理連接示意圖根據(jù)XXXX網(wǎng)絡覆蓋需求和現(xiàn)場環(huán)境的勘查，確定實施方案，確定每層的設備使用數(shù)量：序列號樓層AP數(shù)量1234567891011121314151617181920三、2設備需求清單 設備名稱型號單位數(shù)量無線接入點Airspace臺197無線天線個476網(wǎng)絡供電模塊臺197無線網(wǎng)卡塊0饋線根468功分器個121WCS網(wǎng)管WCS臺1控制器4400臺2定位服務器2700臺1三、3樓層設備分布點位拓撲圖四、新大樓無線網(wǎng)絡項目施工本次設計實施目標為大樓內(nèi)無線網(wǎng)絡信號覆蓋，由于現(xiàn)階段裝修沒有開始，無線網(wǎng)絡施工還需要現(xiàn)場無線信號實際測試，最終確定每一臺AP的安裝位置。在項目實施前還需要現(xiàn)場勘查確定AP到交換機的走線情況。 設備安裝：216。 AP安裝方式：安裝在天花板處或側墻壁上，安裝位置根據(jù)現(xiàn)場實際測的信號強度和房屋內(nèi)部裝修布置確定，實際安裝可以根據(jù)裝修情況進行優(yōu)化。216。 天線安裝：采用吸頂天線安裝方式。216。 采用6類UTP線纜從現(xiàn)場AP直接連接至配線間RJ45配線架上，經(jīng)跳線連接到樓層交換機。或就近空閑模塊接口。216。 AP工作電源由設備供電模塊提供48V DC電源。線纜、管道和橋架由綜合布線和綜合管道橋架統(tǒng)一考慮。本項目實施需著重考慮如下幾點：（1） 因為大樓內(nèi)部裝修未確定，在安裝設備和吸頂天線時不能影響大樓裝修的美觀。這個施工難度比較大，需要綜合考慮。（2） 接入點布局問題： Mbps設備，設備安裝需要充分考慮環(huán)境和不可抗拒的因素。（3） 信號覆蓋問題：因為在同一個環(huán)境中安裝多個設備，各個設備之間的信號相互竄繞的問題比較嚴重，需根據(jù)現(xiàn)場環(huán)境來調整設備內(nèi)部配置（4） 天線問題：天線的安裝要和大樓的裝修融為一體，不能影響大樓裝修的美觀，在顏色、尺寸方面充分考慮。（5） 安全問題：客戶端的無線鏈接可通過用戶認證和設備端口認證等一些安全措施解決。（6） 與大樓局域網(wǎng)鏈接問題：設備的網(wǎng)線鏈接選擇就近的弱電室，還有空閑的網(wǎng)絡接口也可考慮。五、新大樓無線網(wǎng)絡安全性設計 目前，無線LAN已經(jīng)形成了主流趨勢，各類公司都想把有線LAN和無線LAN進行集成。網(wǎng)絡管理人員希望無線LAN能夠提供和有線LAN一樣的安全性、可管理性以及可伸縮性。 其中最主要考慮是安全性，包括訪問控制和加密。訪問控制保證敏感數(shù)據(jù)只能由授權用戶訪問。加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶接收和理解。 有線LAN的接入是在LAN的以太端口接入時進行管理。因些，有線LAN的訪問控制常常以物理端口接入方式進行監(jiān)視。同樣，由于有線LAN的數(shù)據(jù)傳輸直接送到一定的目的地，除非有人使用特定的設備在傳播路徑上進行截聽，信息一般不會泄露。簡而言之，除非LAN物理上遭到破壞，否則不會發(fā)生信息的泄密問題。 在無線LAN中，傳送的數(shù)據(jù)是利用無線電波在空中輻射傳播，它可以被發(fā)射機覆蓋范圍內(nèi)任何無線LAN客戶機所接收到。無線電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達預期之外的、安裝在不同樓層、甚至是發(fā)射機所在的大樓之外的接收設備。配置無線LAN時，以太網(wǎng)端口相當于可以設置在任何地點，包括停車場，無法像有線LAN的端口那樣進行控制。由于沒有辦法把無線LAN發(fā)射的數(shù)據(jù)定向到一個特定的接收設備，所以數(shù)據(jù)保密成為最重要的問題。 IEEE ，這兩個部分必須在無線LAN中的每個設備上配置。擁有成百上千臺無線LAN用戶的公司需要可靠的安全解決方案，可以從一個控制中心進行有效的管理。缺乏集中的安全控制是無線LAN只在一些相對較小的公司和特定應用中得到使用的根本原因。 第一代無線LAN的安全性 IEEE ：服務配置標識符（SSID）和有線等效保密（WEP）。還有一種加密的機制是通過透明運行在無線LAN上的虛擬專網(wǎng)（VPN）來進行的。因為VPN的使用獨立于任何本地無線LAN安全方案，所以本文不涉及它的討論。 SSID 無線LAN中經(jīng)常用到的一個特性是稱為SSID的命名編號，它提供低級別上的訪問控制。SSID通常是無線LAN子系統(tǒng)中設備的網(wǎng)絡名稱；它用于在本地分割子系統(tǒng)。SSID做為編號來允許/拒絕訪問是危險的，因為SSID的安全性并不好。把無線客戶機連接到有線網(wǎng)絡的設備稱為訪問點，它通常在自己的信標中廣播SSID。 WEP （或稱為WEP）的可選加密方案，提供了確保無線LAN數(shù)據(jù)流的機制。WEP利用一個對稱的方案，在數(shù)據(jù)的加密和解密過程中使用相同的密鑰和算法。WEP的目標包括： 訪問控制：防止沒有正確WEP密鑰的非授權用戶獲得網(wǎng)絡的訪問權。 保密：通過只允許有正確WEP密鑰的用戶來對無線LAN的數(shù)據(jù)流進行加密和解密，從而達到保密的目的 盡管WEP是可選的，但WECA要求WiFi認證的產(chǎn)品要支持WEP的40位密鑰，因此WECA成員都支持WEP。有的廠家利用軟件實現(xiàn)加密和解密過程的大量計算，也有的廠家，如Cisco，利用硬件加速器來保證數(shù)據(jù)流加密和解密過程中的性能損失最小。 IEEE 。第一種方案中，無線子系統(tǒng)中所有的工作站（包括客戶機和訪問點）共享一套四個缺省的密鑰。當一個客戶機得到缺省的密鑰后，它可以安全地和系統(tǒng)中其它所有的工作站進行通信。這種缺省密鑰的問題在于它們越是廣泛地進行分配，也就越有可能暴露。在第二種方案中，每個客戶機建立和其它工作站密鑰映射關系。這種方案工作起來更為安全，因為擁有密鑰的工作站更少。但是當工作站的數(shù)量不斷增加時，分配這樣一個獨一無二的密鑰會變得很困難。 身份驗證 一個客戶機在進行身份驗證之前不能接入到無線LAN中。IEEE ：開放和共享密鑰。身份驗證必須在每臺客戶機上進行設置，并且這些設置應該能夠與想和客戶機通信的所有訪問點相匹配。 開放式身份驗證為缺省的方法，整個驗證過程以明碼電文的方式完成，客戶機即使沒有提供正確的WEP密鑰也能和訪問點進行通信。在共享密鑰的方法中，訪問點發(fā)送給客戶機一個詢問文本信息包，客戶機必須使用正確的WEP密鑰對它進行編碼，并且把它返回訪問點。如果客戶機提供的密鑰錯誤或者根本沒有提供密鑰，說明身份驗證失敗，它將不會被允許和訪問點進行通信。 一些無線LAN廠商支持基于客戶機物理地址，或者說基于介質訪問控制（MAC）地址的身份驗證方法。只有當客戶機的MAC地址與訪問點所使用的驗證表中的地址相匹配時，訪問點才允許客戶機與它進行通信。 安全隱患 硬件被竊 靜態(tài)地指定WEP密鑰給一臺客戶機是很常見的方法，密鑰或者存儲在客戶機的磁盤存儲器中，或者存儲在客戶機的無線LAN適配器的內(nèi)存中。當這些步驟完成后，客戶機處理器就擁有了客戶機的MAC地址和WEP密鑰，并且可以利用這些單元獲得對無線LAN的訪問權了。如果多個用戶共用一臺客戶機，這些用戶將有效地共享MAC地址和WEP密鑰。 當客戶機丟失或被盜時，該客戶機的正常用戶將不再擁有對MAC地址和WEP密鑰的訪問權，而非正常用戶則有了這些權限。此時管理員要想檢測網(wǎng)絡的安全性是否被破壞是不可能的；原有的機主應該及時通知網(wǎng)絡管理員。當網(wǎng)絡管理員接到通知后，必須改變安全方案，使MAC地址和WEP密鑰在訪問無線LAN和對傳送的數(shù)據(jù)進行解密時變得無效。同時，網(wǎng)絡管理員還必須對與丟失或被盜的客戶機密鑰相同的其它客戶機的靜態(tài)密鑰全部進行重新編碼。客戶機的數(shù)目越多，對WEP密鑰進行重新編程的工作量也就越大。 所需要的安全方案： 無線LAN身份驗證基于設備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 使用由用戶身份驗證動態(tài)產(chǎn)生的WEP密鑰，并不是和客戶機物理相關的靜態(tài)密鑰 虛假訪問點 ，非相互的身份驗證方法。訪問點可以驗證用戶的身份，但是用戶并不能驗證訪問點的身份。如果一個虛假訪問點放置到無線LAN中，它可以通過劫持合法用戶客戶機來成為發(fā)動拒絕服務攻擊的平臺。 因此在客戶機和驗證服務器之間需要一個相互驗證方法，雙方都應在一個合理的時間證明它們的合法性。因為客戶機和驗證服務器通過訪問點進行通信，訪問點必須支持雙向的身份驗證方法。雙向的身份驗證使檢測和隔離虛假訪問點成為可能。 其它隱患 標準的WEP支持每個信息包加密功能，但是并不支持對每個信息包的驗證。黑客可從對已知數(shù)據(jù)包的響應來重構信息流，從而能夠發(fā)送欺騙信息包。彌補這個安全弱點的途徑之一是定期更換WEP密鑰。 ，黑客可以得到如下信息： 客戶機和訪問點MAC地址 內(nèi)部主機的MAC地址 進行通信/斷開通信的時間 黑客可能使用這些信息來進行長期的流量測量和分析，從而獲悉用戶和設備的詳細信息。為預防此類黑客活動，站點應使用每次會話WEP密鑰。 解決安全性時所遇到的隱患 總的來說，為了確保本部分所提到的安全性，無線LAN安全方案應做到： 無線LAN身份驗證基于與設備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 支持客戶機和驗證（RADIUS）服務器之間的雙向身份驗證 使用由用戶身份驗證動態(tài)產(chǎn)生的WEP密鑰，并非和客戶機物理相關的靜態(tài)密鑰 支持基于會話的WEP密鑰 第一代無線LAN安全性能依賴于訪問控制和保密的靜態(tài)WEP密鑰，它并不能解決以上這些需求。 完整的安全解決方案 我們所需要的無線LAN安全解決方案，應該利用基于標準的和開放的結構，提供最高級別的可用安全性，實現(xiàn)從一個中央控制點進行有效的安全管理。一個對安全做出承諾的安全解決方案應該遵循IEEE提案中的關鍵內(nèi)容，這個提案由Cisco、Microsoft和其它公司聯(lián)合提出。它的中心問題集中在以下幾個方面： 可擴展身份驗證協(xié)議（EAP），是使無線客戶機適配器與RADIUS服務器進行通信的遠程訪問撥號用戶服務（RADIUS）的擴展 IEEE ，用于控制端口通信的推薦標準 在使用安全解決方案時，在用戶進行網(wǎng)絡登錄之前，與訪問點通信的無線客戶機并不能獲得網(wǎng)絡訪問權。用戶在網(wǎng)絡登錄對話框或與之功能相似的對話框中鍵入用戶名和口令之后，客戶機和RADIUS服務器（或其它驗證服務器）通過用戶所提供的用戶名和口令進行雙向的身份驗證，對被驗證的客戶機進行檢驗。RADIUS服務器和客戶機利用客戶機所提供的特定WEP密鑰進行登錄對話連接。所有敏感的信息如口令等都受到保護，不會被被動監(jiān)聽和其它攻擊方法所截獲。如果沒有保護措施，沒有什么能在空氣中暢行無阻、絕對安全地傳播。 這個過程的順序如下： 無線客戶機與訪問點進行通信 在登錄到網(wǎng)絡之前，訪問點拒絕所有客戶機的對網(wǎng)絡資源的訪問。 客戶機上的用戶在網(wǎng)絡登錄對話框或類似功能的對話框中提供用戶名和口令。 ，無線LAN上的客戶機和RADIUS服務器通過訪問點進行雙向身份驗證。有幾種驗證身份的方法備選。在Cisco的身份驗證方法中，RADIUS服務器發(fā)送一個驗證詢問信息到客戶機?？蛻魴C利用用戶提供的單向口令散列信息來生成對詢問的響應，并把這個響應送到RADIUS服務器。RADIUS服務器根據(jù)它的用戶數(shù)據(jù)庫中的信息，自己產(chǎn)生一個響應，并與客戶機所送來響應進行比較。一旦RADIUS服務器驗證了客戶機的身份，上述過程逆向重復。 當