校园无线局域网的设计与实现毕业论文.docx
《校园无线局域网的设计与实现毕业论文.docx》由会员分享,可在线阅读,更多相关《校园无线局域网的设计与实现毕业论文.docx(35页珍藏版)》请在冰豆网上搜索。
校园无线局域网的设计与实现毕业论文
校园无线局域网的设计与实现毕业论文
1.绪论
1.1选题背景
近些年来,信息技术的发展日新月异,正以不可抗拒的力量改变着人们的生产方式、生活方式,同时也正在影响并改变着学校的管理模式、教学模式、学习方式乃至师生的生活方式。
目前除少数高职院校、民办高校外,国高校几乎都已建立校园网,随着校园网规模不断扩大,硬件环境逐渐完善,校园网络在高校教学、科研、管理中的应用也在逐步深化。
在校园网(有线网络)建设、运行和维护的实践过程中,由于众多高校的校园网基本上是通过光纤、网线连接起来的“有线网”,在技术实施、实际应用中不可避免地存在一定弊端,而且随着这种弊端的日益凸现,在一定程度上困扰甚至阻碍着校园网建设和教育信息化的进程。
诸如很多学校只在部分区域接入网络,而无法顾及所有区域;部分学校由于经费紧导致布置网线的室、图书馆数量有限;学校中有些具有历史意义的或年久失修的建筑物不适合钻孔布线。
此外,在现阶段,高校还有一个显著的特点就是建立分校区,校本部与分校区之间的网络联结就成了一个非常大的工程,通常组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。
但有线网络在某些场合要受到布线的限制,比如布线、改线工程量大;线路容易损坏;网中的各节点不可移动等等。
特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长,因此对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。
如何合理的解决此类问题,已成为高校校园网建设初期必须慎重考虑的问题。
传统有线校园网的“网络盲点”问题,与师生员工“随时随地获取信息”的新需求之间的矛盾一度困扰着高校教育信息化决策和建设人员。
如今随着无线技术的快速发展和日趋成熟,无线网络虽然还不能完全脱离有线网络,虽然教育行业的无线网络还未呈普及态势,但无线网络已经成功服务于某些高校,以它的高速传输能力和灵活性发挥日益重要的作用。
1.2课题研究的目的和意义
随着社会对计算机依赖性的迅速增加,用户要求互连的计算机数量更多,类型也更为复杂。
但传统有线网络由于受设计或环境条件的制约,在物理、逻辑和资金方面普遍存在着一系列问题,特别是当涉及到网络移动和重新布局时,所以发展一种可行的无线通信网络技术作为现有数据连接的扩充己成为一种需要。
自从上个世纪90年代以来,随着个人数据通信的发展,为了实现任何人在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线,由固定向移动,由单一业务向多媒体发展,更进一步推动了无线局域网(WirelessLAN,WLAN)的发展。
与有线局域网相比较,无线局域网具有移动性高、传输距离长、网络性好、开发运营成本低、易扩展、受自然环境影响小,组网方式灵活、管理方便等特点,弥补了传统有线局域网的不足。
1.3IEEE802.11系列标准
IEEE802.11[1]标准由很多子集构成,它己经历了十多年的发展,目前仍在不断的改进和修订之中,以适应提升网络速度、安全认证、漫游和QoS等方面的要求,它们各有侧重,下面简要介绍这些标准的基本容。
IEEE802.llb-它是802.11协议1999版的修改与补充,也叫Wi-Fi(WirelessFidelity)。
802.llb工作在2.4GHz频段,建立在直接序列扩频(DSSS,DirectSequenceSpreadSpectrum)的加强版本CCK(补充编码键控)基础上,它是当前应用最为广泛的WLAN标准。
该标准在物理层部分在原来802.11标准的1Mbit/s,2Mbit/s传输速率之外,增加了5.SMbit/s和11Mbit/s的高速数据传输速率。
IEEE802.1la协议-它工作在5GHzU-NII频带,物理层速率数据速率从6Mbit/s直到54Mbit/s,传输层可达25Mbit/s。
采用正交频分复用(OFDM)的独特的扩频技术;可提供25Mbit/S的无线ATM接口和10Mbit/s的以太网无线帧结构接口,以及TDD/TDMA的空中接口;支持语音、数据、图像业务。
IEEE802.11g-该标准于2003年6月16日正式定案,它工作在2.4GHz频段,使用CCK技术以与802.11b标准后向兼容,同时为支持54Mbit/S的高速率,802.11g又采用了OFDM技术。
802.11g的兼容性和高数据速率弥补了802.11a和802.11b各自的缺陷,一方面使得802.llb产品可以平稳向高数据速率升级,满足日益增加的带宽需求,另一方面使得802.11a实现与802.11b的互通,克服了802.11a一直难以进入市场主流的难题。
1.4国相关研究现状
目前无线局域网仍处于众多标准共存时期,IEEE发布的最新标准为802.11g。
现在,支持11Mbps以上用户传输速率的系统相当成熟;速率在40MbpS甚至80MbpS及以上的系统实现己在加拿大、美国、欧洲、日本等国家的专门实验室展开。
研究的围从无线电设计、物理层实现、媒体接入控制(MAC)技术直至网络对无线多媒体的支持。
根据技术发展趋势和研究情况,在未来10年左右的时间里,为用户提供高达1Gbps速率的系统是可能的。
正是这样的发展速度刺激了今天无线网络快速的发展和应用。
1.5校园无线网络的发展前景。
校园无线网络是落实信息化校园的重要一步,作为对有线网络的补充和扩充,无线网络能够与学校现有的骨干网络实现最大化的兼容。
现在无线网络在技术上已日益成熟,有着非常光明的前途,在教育中的应用将会有更引人入胜的前景。
无线网络为通信的移动化、个性化和多媒体应用提供了可能。
目前全世界每天新增无线网用户约3万人,全球总数量已超过4亿。
随着3G技术的成熟与国家产业政策的扶持,我国也正在大规模建设3G无线互联接入网络,中国电信、中国移动、中国联通相继推出3G网络应用,今后无线网络将会有更广泛的发展空间并逐步进入家庭。
2.无线局域网设计特点、安全状况及方案设计
2.1无线局域网的特点
2.1.1传输方式
传输方式[2]涉及无线网采用的传输媒体、选择的频段及调制方式。
目前无线网采用的传输媒体主要有两种,即无线电波与红外线。
在采用无线电波作为传输媒体的无线网根据调制方式不同,又可分为扩展频谱方式与窄带调制方式。
(1)扩展频谱方式
在扩展频谱方式中,数据基带信号的频谱被扩展至几倍至几十倍后再被搬移至射频发射出去。
这一作法虽然牺牲了频带带宽,却提高了通信系统的抗干扰能力和安全性。
由于单位频带的功率降低,对其它电子设备的干扰也减小了。
采用扩展频谱方式的无线局域网一般选择所谓ISM频段,这里ISM分别取于Industrial,Scientific及Medical的第一个字母。
许多工业、科研和医疗设备辐射的能量集中于该频段,例如美国ISM频段由902MHz-928MHz,2.4GHz-2.48GHZ,5.725GHz-5.850GHz三个频段组成。
如果发射功率及带宽辐射满足美国联邦通信委员会(FCC)的要求,则无须向FCC提出专门的申请即可使用ISM频段。
(2)窄带调制方式
在窄带调制方式中,数据基带信号的频谱不做任何扩展即被直接搬移到射频发射出去。
与扩展频谱方式相比,窄带调制方式占用频带少,频带利用率高。
采用窄带调制方式的无线局域网一般选用专用频段,需要经过国家无线电管理部门的许可方可使用。
当然,也可选用ISM频段,这样可免去向无线电管理委员会申请。
但带来的问题是,当临近的仪器设备或通信设备也在使用这一频段时,会严重影响通信质量,通信的可靠性无法得到保障。
(3)红外线方式
基于红外线的传输技术最近几年有了很大发展。
目前广泛使用的家电遥控器几乎都是采用红外线传输技术。
作为无线局域网的传输方式,红外线的最大优点是这种传输方式不受无线电干扰,且红外线的使用不受国家无线电管理委员会的限制。
然而,红外线对非透明物体的透过性极差,这导致传输距离受限。
2.1.2网络拓扑
要组建一个无线局域网,设备是它的重要的硬件基础。
然而无线局域网设备有很多,而且在实际的产品设计和发展过程中,产品提供商不断为这些设备提供新的功能。
往往一种产品的形态,在不同的环境和配置下会体现不同的功能。
在不同的应用中,也会需要不同的设备。
就一个简单的无线局域网而言,一般包括无线局域网客户端和无线局域网基站。
无线局域网客户端的作用是与无线基站进行管理关联,使设备具有无线接入功能并接入到无线局域网中进行通信。
它包含了多种类型的设备,但最常见的是具有各种接口类型的无线网卡。
无线局域网基站设备指的是处于网络拓扑中心位置的设备,通常按功能划分为无线局域网接入点、无线局域网桥、无线局域网路由器。
这些功能上的划分,有时仅仅是一种工作模式上的划分,设备硬件本身并没有区别,也就是说,在同一设备上有可能实现多种功能。
无线网卡包括PCMCIA,ISA,PCI和USB等,提供与有线网卡一样丰富的系统接口。
在有线局域网中,网卡是网络操作系统与网线之间的接口。
在无线局域网中,它们是操作系统与天线之间的接口,用来创建透明的网络连接。
在无线局域网中最一般的构成PCMCIA无线网卡,通常被简称为“PC卡”,通常被用在笔一记本计算机上。
无线接入点提供一个无线客户端设备进入无线局域网的“接入点”,是协调无线与有线网络之间通信的关键部件。
它在无线局域网和有线网络之间接收、缓冲存储和
传输数据,以支持一组无线用户设备。
接入点通常是通过标准以太网线连接到有线网络上,并通过天线与无线设备进行通信。
在有多个接入点时,用户可以在接入点之间漫游切换。
接入点的有效围是20-500m。
根据技术、配置和使用情况,一个接入点可以支持15~250个用户,通过添加更多的接入点,可以比较轻松地扩充无线局域网,从而减少网络拥塞并扩大网络的覆盖围。
目前无线局域网的组网方式主要有点对点模式、基础架构模式、多AP模式、无线网桥模式和无线中继器模式五种组网方式。
点对点模式也称为AdhoC模式,该模式要求网中的任意两个无线客户端之间均可直接通信,网络中的所有无线客户端的地位平等,无需设置任何的中心控制节点。
每个无线客户端均配有无线网卡,但不连接到接入点和有线网络,而是通过无线网卡相互间进行通信。
点对点中的一个无线客户端必须能同时“看”到网络中的其他无线客户端,否则就认为网络中断。
它主要用来在没有基础设施的地方快速而轻松地建无线局域网。
点对点模式的组网模式如图2.1所示。
图2-1点对点模式
基础架构模式是目前最常见的一种架构,这种架构包含一个接入点和多个无线终端,接入点一方面可以通过电缆连线与有线网络建立连接,一方面可以通过无线电波与无线终端连接,实现了无线终端之间的通信,以及无线终端与有线网络之间的通信。
基础架构网络的组网模式如图2-2所示。
该图由无线访问点(AP),无线工作站(STA)以及分布式系统(DSS)构成,覆盖的区域称基本服务区(BSS)[3]。
无线访问点也称无线hub,用于在无线STA和有线网络之间接收、缓存和转发数据,所有的无线通讯都经过AP完成。
无线访问点通常能够覆盖几十至几百用户,覆盖半径达上百米。
AP可以连接到有线网络,实现无线网络和有线网络的互联。
图2-2基础架构模式
多AP模式是指由多个AP以及连接他们的分布式系统组成的基础勾结模式网络,也称为扩展服务区。
扩展服务区中的每个AP都是一个独立的无线网络基本服务区,所有AP共享同一个扩展服务区标示符(ESSID)。
虽然在802.11标准中并没有定义分布式系统,但现在大都是指以太网。
相同ESSID的无线网络间可以进行漫游,不同ESSID的无线网络形成逻辑子网。
该模式的组网模式如图2-3所示。
图2-3多AP模式
无线网桥模式是利用一对AP连接两个有线或者无线局域网网段。
无线网桥模式的组网如图2-4所示。
图2-4无线网桥模式
无线中继器模式是利用无线中继器在通信路径的中间转发数据,从而延伸系统的覆盖围。
’无线中继器模式组网如图2-5所示。
图2-5无线中继器模式
2.2几种主要的WLAN技术
(1)IrDA
IrDA(InfraredDataAssociation)是一种利用红外线进行点到点通信的技术。
其优点是体积小,功率低,传输速率可达16Mbps,成本低。
超过95%的手提电脑安装了IrDA接口。
市场上推出了可以通过USB接口与PC相连的USB-IrDA设备。
IrDA是一种视距传输技术,通信设备间不能有阻挡物。
不适合多点到点通信。
另外IrDA的核心部件——红外线LED还不是一种耐用器件。
(2)BlueTooth
BlueTooth技术是用于数字设备间的低成本、近距离传输的无线通信连接技术。
其程序写在微型芯片上,可以方便地嵌入到设备之中。
BlueTooth技术工作在2.4GHz频率上。
采用调频技术,理想连接围为10cm~10m,带宽为1Mb/s。
(3)802.11/802.11a/b/g
采用802.11协议族的WLAN设备以其覆盖距离广,传输速率高的特点,成为了市面上的主流产品,将是本文介绍的重点。
2.3无线局域网安全状况
由于无线局域网通过无线电波在空中传输数据,所以在数据发射机覆盖区域的几乎任何一个无线局域网用户都能接触到这些数据。
无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外,无线就意味着会让人接触到数据。
与此同时,要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。
而防火墙对通过无线电波进行的网络通讯起不了作用,任何人都可以截获和插入数据。
因此,虽然无线网络和无线局域网的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖围的全功能漫游服务。
然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。
无线局域网必须考虑的安全要素有三个:
信息、身份验证和访问控制。
如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。
难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。
影响无线局域网安全的问题主要在以下方面:
数据。
无线LAN网络通信安全会受到几方面的危害,例如传输中数据被人查看或捕获,传输中数据被人改动、重新发送。
访问和验证。
每个访问点形成了通向网络的一个新的入口。
正因为如此就会受到下列漏洞的威胁:
首先,未授权实体进入网络,浏览存放在网络上的信息,或者是让网络感染上病毒。
其次,未授权实体进入网络,利用该网络作为攻击第三方网络的出发点(致使受危害的网络却被误认为攻击始发者)。
第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。
2.3.1无线局域网安全技术
在开始应用无线局域网时,应该充分考虑其安全性。
常见的无线局域网安全技术有以下几种:
服务集标识符(SSID)
通过对多个无线接入点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。
物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
有线等效加密(WEP)
在链路层采用RC4对称加密技术,用户的密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
计算校验和(CheckSumming)
(1)对输入数据进行完整性校验和计算。
(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明文作为下一步加密过程的输入。
加密。
在这个过程中,将第一步得到的数据明文采用算法加密。
对明文的加密有两层含义:
明文数据的加密,保护未经认证的数据。
(3)将24位的初始化向量和40位的密钥连接进行校验和计算,得到64位的数据。
(4)将这个64位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。
(5)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。
将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输。
(如图2-6所示)
P1=(M1,CS)(2-1)
PRGA=RC4(IV,PASSWORD)(2-2)
ENCRYPTED=P1⊕PRGA(2-3)
发送时,IV将以明文形式和密文一起传输,否则接收器无法建立RC4引擎用于解密。
图2-6WEP加密过程
解密过程如图2-7所示。
无线设备接收到一个加密数据包ENCRYPTED后,首先会提取出IV,再把它与共享密码合并。
其结果值用于重建KSA中使用的RC4状态,后者由PRGA用于创建Keystream。
然后这个流与密文进行XOR运算,从而还原明文P1',明文中包含数据和数据的CRC-32值,最后,数据被分离出来,并应用CRC算法创建一个新的CRC-32值,与原来的CRC-32值进行比较。
若两者相符则数据有效;否则丢弃。
P'=ENCRYPTED⊕RC4(IV,PASSWORD)=P1(2-4)
图2-7WEP解密过程
WEP的密钥是可以被解出来的。
所以在安全性要求比较高的企业和部门,可以采用802.1X认证或者WPA。
图2-8基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPOL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接人设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUSAccess.Request报文中,发
送给认证服务器;
(5)认证服务器产生一个Challenge,通过接人设备将RADIUSAccess—Challenge报文发
送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后
的Challenged-Password,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由
RADIUS服务器进行认证;
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成
功/失败报文到接入设备。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获
取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。
用户上线完毕
WPA显著改善了WEP的安全性能,并且可以与原有采用WEP协议的Wi-Fi产品兼容。
Wi-Fi联盟2003年4月在一份文件中为WPA定义了一个公式:
WPA=802.1x+EAP+TKIP+MIC(2-5)
这个公式大致说明了WPA对原有WEP协议的主要:
引入临时密钥完整性协议TKIP[4](TemporalKeyIntegrityProtocol),加强了密钥破解的难度。
TKIP与WEP一样基于RC4流加密算法,但是将密钥位数从40位增加到128位,将IV的长度也由24位加长到48位,并采用动态生成以及通过认证服务器来分配的多组密钥取代了WEP的单一静态密钥。
TKIP使用一种密钥层以及一套密钥管理方法,去掉了入侵者通过可预测性来破解的部分。
2.3.2无线局域网安全隐患
服务集标识符(SSID)只是一个简单的口令,只能提供一定的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降。
物理地址(MAC)过滤要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
有线对等加密(WEP)提供了40位(有时也称为64位)或128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区的所有用户都共享一个密钥,一个用户丢失钥匙将使整个网络不安全。
2.4方案设计
2.4.1需求分析
通过征询用户来了解所要建设的网络需要满足的需求,根据校园的特点,一般有如下需求:
(1)功能需求
应该能满足校区之间、楼宇之间的通信,师生在移动的情况下可以对校园网、图书馆、Internet资源进行访问,支持多媒体教室等地的多媒体信息高质传输,这些需求可归纳为:
支持教学、提供资源与综合服务。
(2)性能要求
性能直接决定了校园无线网络的服务质量,因此必须明确校园无线网络的性能要求,以下即为不同地点局部无线网络的性能要求:
1)校园部的室外场所(草坪、操场等):
速率要求高,安全要求一般,主要是满足在网络使用人数激增时仍然能够保证服务质量。
2)办公室或会议室:
速率要求一般、安全要求高,因为这类场所的网络应用主要是收发、浏览网页、聊天等,对速率要求不高,但涉及个人隐私、账户等信息,因此对安全性要求较高。
3)图书馆、多媒体教室或计算机机房:
速率要求高,安全要求低,因为教学信息多以多媒体的形式呈现,只有很高的传输速率才能保证传输的带宽和时延,有效地支持教学活动。
(3)网络运行环境的要求
根据具体情况而定,如果对网络安全性和服务性能要求较高,一般选择UNIX类(含Linux、FreeBSD等)操作系统,因为该系统比较灵活、安全性好、而且服务质量高;而如果要求不高,则可选择微软的WindowsServer2003或WindowsServer2008。
在其他软件的选择上则可根据具体应用需求而定,例如Linux下,若需提供电子服务可使用Qmail、Sendmail等,架设Web服务器可使用Apache,提供DNS服务一般选择Bind等。
另外还可以根据需要选用账户认证软件、计费软件等。
(4)网络的可扩展性和可维护性要求
校园无线网络在扩展性和维护性上要求较高:
在扩展性上,校园无线网络的用户比较多且访问的人数不确定,因此要求较高;在维护上,校园是从事教学为主的地方,专业维护人员较少,因此网络要便于维护管理。
2.4.2对现有校园网络的体系结构进行分析
如果学校从未建设过任何网络,则可跳过这个过程。
目前,大多数院校一般已经建设了以有线传输介质为主的网络,因此在学校经费有限的情况下可以考虑将有线网络与无线网络混合,这样可以最大程度地保护原有投资,降低建设成本。
在将无线网络和有线网络混合时,主要是通过双绞线等有线介质将无线网络的AP(无线接入点)、无线交换机、无线路由器等无线设备与有线网络的Hub或者交换机、路由器等连接。
2.4.3校园无线网络逻辑结构设计
对于局部无线网络,主要采用的是以AP或者无线交换机等为中心结点的星型结构,其目的是为了满足多用户的需求。
而如果建设全局无线校园网,可将网络划分为核心层、汇聚层、接入层进行设计,在整体上一般采用以树型和星型混合的拓扑结构。
在主要通信接点上采用树型拓扑是为了组网便捷、管理方便,出现故障时可迅速排查,同时在主干通信链路上还要考虑冗余链路设计,不仅可以达到负载均衡的目的,还可以保证网络的可
升级会员 