【正文】 1E，服務提供商無需銅線資源，可以在企業(yè)分支機構迅速建立通訊鏈路。⒅ 管理便捷 無線路由器無線路由器（Wireless Router）好比將單純性無線AP和寬帶路由器合二為一的擴展型產品，它不僅具備單純性無線AP所有功能如支持DHCP客戶端、支持VPN、防火墻、支持WEP加密等等，而且還包括了網絡地址轉換（NAT）功能，可支持局域網用戶的網絡連接共享。目前無線路由器產品支持的主流協(xié)議標準為IEEE 。+標準可以支持108M的無線傳輸速率，傳輸速度可以基本與有線網絡持平。確定開啟了電腦的無線網卡。⑴ 打開“網絡連接”設置窗口在桌面右鍵單擊“網上鄰居”，點擊“屬性” 菜單。⑶ 查看可用的無線連接右鍵單擊“無線網絡連接”，點擊“查看可用的無線連接” 菜單。⑸ 在彈出的對話框中，點擊“仍然連接”按鈕：至此便建立了與校園無線網絡的連接。⑹ 撥號認證上網無線網絡連接成功以后，用戶便可以使用已申請的教育網或網通的帳號密碼，撥號認證上網，訪問校園網和Internet，與有線網絡登陸方式一樣。⑻ 在彈出的對話框中，點擊“是”按鈕。用戶只需要建立業(yè)務參數模板和設備參數模板，并設定指定的AP引用這些模板，當FIT AP啟動時無線控制器會根據預先的配置引用信息給FIT AP下發(fā)配置，用戶的配置工作量大大減少。用戶對FIT AP的管理是通過無線控制器來代理完成，網管不再關心FIT AP的IP地址，FIT AP和無線控制器之間的關聯是自動完成，不再需用戶對AP進行的配置干預。無線用戶的數據報文被FIT AP封裝在AP和AC間的數據隧道中，接入AP的邊緣網絡不需要再為無線用戶的接入而更改VLAN和ACL等配置用戶對FIT AP的管理是通過無線控制器來代理完成，因此在線更改服務策略設定和安全策略設定也不再需要逐一登錄到AP設備，而只需要登錄到指定的無線控制器就可以完成設置，無線控制器會自動把新的配置下發(fā)到指定的FIT AP。用戶不再需要手動逐一對AP設備進行軟件升級，AP在每次重新啟動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，FIT AP會自動更新本地的軟件影像。AP本地不再保存配置信息，即使設備丟失也不存在因配置丟失而出現的安全隱患。二層網絡連接模式： FIT AP和無線控制器同屬于一個二層廣播域，FIT AP和AC之間通過二層交換機互聯。圖1 無線控制器和FIT AP之間的網絡拓撲⑶ 獲取IP地址FIT AP在和網絡通信前必須能夠獲取自身的IP地址，為了減少維護人員的配置，FIT AP必須能夠支持自動獲取IP地址，目前業(yè)界標準的做法是采用DHCP client功能. AP啟動以后會在其上行接口上通過DHCP client模塊發(fā)起獲取IP地址的過程. 通過DHCP的協(xié)議交互FIT AP可以從DHCP server獲取到以下信息：自身使用的IP地址、DNS server的IP地址、網關IP地址、域名、可接入的無線控制器的IP地址列表(此信息通過DHCP option43提供)等。FIT AP和無線控制器的交互過程詳見圖2：　方法二：用戶在DHCP server上通過option43屬性來配置無線控制器的IP地址，當FIT AP在從DHCP server獲取IP地址時，通過解析DHCP回應報文中攜帶的option43屬性就可以獲取無線控制器的IP地址并向該IP地址發(fā)送無線控制器發(fā)現請求。圖3 AP和無線控制器部署于IPv4/IPv6雙棧網絡⑸ AP軟件下載很多情況下網絡維護者需要升級FIT AP的軟件，如果采用傳統(tǒng)的設備升級方法則需要網絡維護者利用TFTP/FTP來逐一對需要升級的AP進行軟件升級，為了保證升級以后的可回退性，還需要在AP的Flash空間中保存?zhèn)浞蒈浖榱撕喕W絡維護者的工作，H3C的FIT AP在每次啟動時都會比較本地保存的軟件版本和無線控制器上保存的FIT AP的軟件版本，一旦FIT AP發(fā)現本地保存的版本不是最新版本時，FIT AP會主動要求從無線控制器下載最新的軟件版本，這個下載更新過程無需用戶配置干預.為了保證下載過程的可回退性，H3C的FIT AP的bootrom軟件可以監(jiān)控下載的FIT AP軟件的運行狀況，一旦發(fā)現FIT AP軟件無法正常啟動，bootrom軟件會接管和無線控制器的交互，強制升級本地軟件版本。在分布式管理模型中網絡維護者需要登錄到每臺AP上對這些參數進行逐一配置，FIP AP的配置信息保存在無線控制器上，FIT AP在每次系統(tǒng)啟動時都會從無線控制器上下載。例如：用戶可以配置一個針對加密用戶的服務模板，該模板內包含：ssid=“TKIP加密”，加密方式=TKIP，認證方式=，模板被AP1AP10引用，這樣用戶就不用再對每個AP都配置這些參數，而只需配置一遍。WX5002上有兩個SSID，分別是h3cvlan2和h3cvlan3。SSID h3cvlan3的WEP加密的密鑰為67890，密鑰索引為2。無線客戶端連接h3cvlan3時屬于VLAN 3。用戶相對疏散區(qū)域只需要布置少數AP即可，以AP覆蓋范圍最大為宜：用戶相對密集區(qū)域需要通過增加單位面積內AP數目來為用戶提供可靠服務。與校園網骨干網相連的以太網交換機、AP和遠程無線網橋將不同容量、分布在不同設計原則：無線覆蓋設計將遵循按照信號范圍最大化原則，在全校全面覆蓋的前提下，重點選擇部分區(qū)域進行更加細膩的覆蓋。⑴ 一般來講室內容許最大覆蓋距離為35~100米，室外容許最大距離100~400米；⑵ 障礙物阻擋；⑶ 要觀測無線覆蓋周圍的障礙物確定AP的數量和放置位置。當AP與終端中間隔一座木板墻時， AP 的傳送距離約剩下 15米有效距離。所以在安裝選點時，一定要注意以避開墻、柱子等。⑴ 教室和圖書館是教師和學生的主要活動場所，最適宜采用無線局域網覆蓋方式．根據室內面積及容量，確定AP的數目及位置。特別是在會議室、報告廳內，由于容量較大、用戶相對密集，可以采用蜂窩網絡結構和微蜂窩網絡結構來保證各區(qū)域完全得到網絡覆蓋。⑶ 機房內容量和布置相對固定，一般不會有太大變動，可以采用傳統(tǒng)的以太網。宜在室內布置AP，可以采用在公寓四周架設AP的方法，讓AP的信號透過玻璃窗覆蓋各房間。⑸ 運動場等室外場所網絡用戶稀疏且地帶空曠，布置無線局域網時主要考慮覆蓋面積的因素。覆蓋范圍，可以為每個AP安裝功率放大器以及大功率天線。為更好地實現室內各個角落的信號覆蓋，可以采用室內天饋系統(tǒng)。我們通過實地調查研究發(fā)現，我校辦公樓為4層，東西方向共有辦公室近一百間，有無線上網需求電腦差不多100臺左右，工作高峰期上網用戶電腦數約為80臺。無線信號穿過室內墻壁時信號衰減較大,需布設大量AP接入節(jié)點才能達到樓宇整體覆蓋的理想效果。在調查中我們發(fā)現，辦公樓“移動”信號覆蓋較好，GPRS基站規(guī)劃合理、科學，無信號盲區(qū)存在。我們選取辦公大樓每層5個測試點（每層樓兩端選取2個測試點，沿樓層水平線中段選取3個測試點），通過對信號質量進行檢測，各樓層95%的區(qū)域WLAN信號強度在一75dBm以上，且每用戶信號帶寬達到100Mbps以上，取得了較好的覆蓋效果。即在物理鏈路上AP盡量接入無線專用的交換機，在邏輯拓撲結構上無線網絡劃入一個單獨的無線VLAN進行管理，從而形成無線校園網與有線校園網并行管理的網絡。我們根據無線用戶所處的地理位置及所需要的無線應用要求不同，將無線網絡劃分成若干個無線VLAN進行管理，每個VLAN可以單獨啟用加密和認證，使得用戶可以按照身份不同得到不同的校園網絡訪問權限。在此基礎上采用統(tǒng)一的安全策略、認證方式、訪問控制都非常方便，對于無線VLAN做的任何修改只會影響到這個VLAN的無線用戶，而不會波及到有線網絡用戶。另外，無線用戶還可以融合校園認證系統(tǒng)實施認證計費。實際上，IEEE以及Wifi聯盟、Microsoft、Cisco等無線局域網標準的制定機構和軟硬件廠商，一直致力于重新定義和改進無線局域網安全標準，以便無線局域網能經受惡劣的安全環(huán)境的考驗。 無線局域網的安全認證在無線客戶端和無線AP交換數據之前，它們之間必須先進行一次對話。這種認證方式有兩種：開放認證和共享密鑰認證。通常AP的開放認證有三種策略：第一種策略為默認方式，允許任何客戶端認證；第二種是只允許認證帶有合法服務器標識ID(實際為SSID)的客戶端，SSID相當于密碼的作用。共享密鑰認證是基于WEP共享密鑰的認證方法，前提是客戶端和AP中己經預先手動設置好了共享密鑰，共享密鑰認證與開放認證相似，只不過它使用WEP對認證過程進行加密，因而其安全性要高于開放認證。IEEE為無線局域網提供了三種安全性保護協(xié)議:WEP、TKIP、CCMP。其中WAPI是我國自主研發(fā)的、擁有自主知識產權的無線網絡安全標準而TKIP主要進行無線網絡產品的互通性測試。 選擇無線局域網安全策略的原則確保無線局域網網安全可以說“三分靠技術，七分靠策略”，無線局域網部署中要適當應用安全技術，合理選擇安全策略。本章首先對無線局域網的各種安全措施以及EAP類型進行比較，最后提出了基本安全、增強安全和擴展安全的三種無線局域網部署方案。由于在此之前對于無線網絡組建和無線設備知識的了解都比較片面，學到的也只是片面知識，并不能很好的運用到實際操作中去，所以從一開始就碰到許多困難。首先是解決問題的方式，雖然面臨的信息很多，但是如何從大量的信息中篩選出所需的信息，有用的信息，才是解決問題的關鍵，另外一個就是解決問題的方法，就像我在解決設計中的很多問題一樣，一開始總是在看書，和樹上的進行比對，雖然書本上的只是大部分都是有價值，正確的，但實際上每個人編程的思路和對數據處理的方法、思想都是不同的，這舊要求我們一定要通過實踐才能找到解決問題的方案。本設計方案還存在許多不足，特別是在無線局域網的安全防范中，隨著無線技術的不斷更新給無線局域網的發(fā)展帶來了很大的發(fā)展，也對無線局域網的安全帶來了前所未有的挑戰(zhàn)。第五章 致 謝在這次畢業(yè)設計過程中，非常感謝在本次設計過程中給我提供無私幫助的老師、同學們。老師認真負責的工作態(tài)度，嚴謹的治學精神和深厚的理論水平都使我受益匪淺。同樣還有同學們也給與我不少的幫助，在此也非常的謝謝他們！ 參考文獻[1] 于雷，[2] 張圣，[3] 余智，[4] 王燕濤，[5] ，2003，(14)[6] 馮錫平，2005，(03)[7] [J].網絡世界，2007（06）[8]（美）[M].北京：電子工業(yè)出版社,2007[9] [D].北京：北京郵電大學，2008[10] ：電子工業(yè)出出版社，200636