毕国平

0 引言

信息化进程对于现代企业的发展是尤为重要的，而企业信息化的基础是企业网，企业都在致力于建设一个高速、安全、可靠、可扩充的网络系统，以实现企业内信息的高度共享、传递，大大提高工作效率;为了实现对外信息的交流。而企业内部架设的传统的有线网络，已经不能满足企业不断的发展和规模的扩大的需求。在完成初次安装布线后，传统的有线网络，在移动性、灵活性、可扩充性上面存在严重的不足。

随着Wi-Fi技术和客户端的日益普及，以及越来越多的机场、酒店、会议中心、商场和咖啡厅设立无线热点，使企业对于无线接入和架构的需求日益迫切。线网络技术让企业可以大幅扩展员工的计算机使用范围，尤其是对于从事医疗保健、业务工作或在工厂跑来跑去等等移动性高的员工来说更是如此。

然而，由于无线网络特殊机理以及IEEE 802.11等无线安全加密认证机制本身的不完善，使得无线网络的安全性相对有线网络更为脆弱和敏感。无线网络安全也因此成为关注的焦点。和普通家庭用户不同，企业无线网络安全是一个涉及多方面设置的综合问题，对企业的信息安全尤为重要。

本文主要针对上述提出的问题，结合作者所参与的实际项目的实施经验，提出了可供企业在组建无线网络的过程中参考的平台以及指导经验。

1 无线网络

1.1 无线网络技术的发展

计算机通信分为两种：有线通信和无线通信。无线网络是无线通信技术与网络技术相结合的产物。从专业角度讲，无线网络就是通过无线信道来实现网络设备之间的通信，并实现通信的移动化、个性化和宽带化。通俗地讲，无线网络就是在不采用网线的情况下，提供以太网互联功能。

无线网络的历史起源可以追溯到50年前第二次世界大战期间。当时，美军研发了一种无线电传输技术，配合高强度的加密，将战时资料方便的在各军之间传输。这项技术令许多学者产生了灵感。真正的计算机无线网络的诞生则是在1971年。当时美国夏威夷大学的科学家们创造了第一个基于封包式技术的无线电通讯网络---这被称作ALOHNET的网络，它可是无线局域网（wireless local area network，WLAN）的雏形。

1.2 无线网络和传统有线网络的优缺点

随着无线通信技术的广泛应用，传统局域网络已经越来越不能满足人们的需求，于是无线局域网（Wireless Local Area Network，WLAN）应运而生，且发展迅速。尽管目前无线局域网还不能完全独立于有线网络，但近年来无线局域网的产品逐渐走向成熟，正以它优越的灵活性和便捷性在网络应用中发挥日益重要的作用。和传统有线网络相比，它主要具有以下优缺点：

1） 灵活性和移动性。

2）安装便捷。

3）易于进行网络规划和调整。

4）故障定位容易。

5）易于扩展。

2 企业无线网络的安全性

2.1 安全性问题

安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁可分为故意的和偶然的，故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听，而部队其进行修改。主动威胁包括对信息进行故意的篡改。信息安全主要包括以下5方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁，因此信息通常要加密。

2.2 企业无线网络的安全性

无线网的信号是在开放空间中传送的，根本不需要网线的连接。所以只要有合适的无线客户端设备，在信号覆盖范围之内就可以接收无线网的信号，并连接到企业内网中，然后通过各种手段渗入到全网。正是由于无线网络的这一传输特性，无线网络存在的核心安全问题归结起来有如下3个方面点：

1) 非法用户接入问题

2) 非法接入点连接问题

3) 数据安全问题

2.3如何提高企业无线网络的安全性

与普通家庭无线网络不同，对于企业而言，信息安全尤为重要。由于无线网络的开放的特性，作为企业主要做好如下几点安全防范工作：

1）身份认证：对于无线网络的认证可以是基于设备的，通过共享的WEP密钥来实现。它也可以是基于用户的，使用 EAP来实现。作为普通家庭用户，可以使用 WPA-PSK认证。而对于企业而言，需要使用 WPA2以上级别的认证机制，才更能提供安全保证。对于有域环境的企业，更应该采用AD+NAP(RADIUS)的安全机制。

2）MAC地址绑定：为了防止计算机随意出入内网和互联网之间，不被当下流行的ARP病毒袭击，可以对无线网络内的计算机都进行MAC地址绑定的操作。然后在AP的管理界面中，将所需要的MAC地址填入到允许访问AP的MAC地址列表中，而不在许可列表中的MAC地址不被AP接受。

3）SSID，SSID是一个无线网络的标识，在可能的情况下不应使用设备缺省的SSID.另外，设置为封闭的Wi-Fi网络，不响应那些将SSID设置为Any的无线设备，而且不在无线网络内进行SSID广播，这样能够减少无线网络被发现的可能

4）定期更换密钥：并不一定所有的环境都需要每周变更密钥，但是应该根据企业自身情况，考虑至少更换一次密钥的周期。随着时间的发展，一个从不更换密钥的无线网络，其安全性会大幅度下降。

3 解决方案的实例

3.1 需求分析

某一跨国公司在中国的办事处由于规模扩大，而原来的布线系统无法满足当前的需求。如果重新布线，一来成本较高，二来将影响现有办公室的装修布局。同时，公司内部有多个公共办公区域和会议室会客室。随着科技的进步，各种无线接入设备越来越多，如平板电脑、智能手机、投影仪等等。各种应用对无线网络的需求很高，故考虑在现有网络的基础上，架设无线网络。通过无线信号的覆盖来满足各种需求。

3.2 产品选型

在无线产品选型上，由于公司对信息安全性较为重视，故选择了全套CISCO产品的解决方案。它主要具有以下特点：

1）安全：无线局域网安全的一个基本最佳实践是能够保护和控制RF环境。思科在提供企业级RF安全和WLAN安全策略监控方面处于业界领先地位。包括： 通过多种验证和加密策略，包括802.11i、Wi-Fi受保护接入(WPA)、WPA2和移动VPN等，提供了到WLAN的可控接入。WLAN IPS用于检测并防御恶意接入点、无客户端设备和临时网络，并提供了可定制RF攻击签名来防御常见无线威胁。

2）管理：思科通过提供 RF环境的明确可视性和控制而简化了WLAN管理。这提高了网络可扩展性、故障排除能力和网络管理员的生产率，从而降低了运营开支。

3）性能：WLAN覆盖范围必须可靠，RF带宽必须经过优化，以确保实现其最优性能。包括带负载均衡的实时容量管理，覆盖范围漏洞检测和修复。

4）移动性：最终用户在各接入点间漫游时（子网内和子网间）需要不间断网络接入。包括安全的第二、第三层漫游，在802.11i环境中实现快速、安全、可扩展的漫游。安全和 Qos策略在各环境中专业，是用户的身份能随其一起漫游。

5）可扩展性：支持数个、数百乃至数千中央或远程接入点的不熟。WLAN永续性、冗余性和故障容错性。

3.3 具体各级产品的选择

1）AIR-WLC2106-K9（图1）：适用于企业无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1000系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便 IT经理能构建从分支机构到主园区的安全、企业级无线网络。

图1 AIR-WLC2106-K9

2）AIR-LAP1242AG-C-K9（图2）：Cisco Aironet 1200 系列接入点不但为高性能、安全、可管理且可靠的新一代无线局域网（WLAN）制定了企业标准，还能提供投资保护，因为它既可以升级，又符合当前的无线局域网标准。Cisco Aironet 1200的模块化设计支持电子和电气工程小组（IEEE）802.11a和802.11b技术，它可以工作在单模式（802.11b或802.11a）操作或者双模式（802.11b＋802.11a）操作模式下。

图2 AIR-LAP1242AG-C-K9

3）AIR-PWRINJ3，无线AP网线供电模块

4）AIR-ANT4941，cisco Aironet 2.4GHz 2.2dBi全向天线

3.4 网络架设（图3）

图3 网络的架构图

通过对办公区域结构的分析，发现该公司的楼宇平面呈长条形，考虑到各个房间都是采用承重墙分割，而不是普通的石膏板。故决定使用2个AP来做信号接入。在具体安装位置的选择上，考虑到会议室对无线的较高需求，将一个AP安装在大会议室门口，同时兼顾另一个会议室。而另一个AP安装在公共办公较为集中的区域。

在实际安装的过程中，考虑到布线和AP安装的美观，将2个AP安装在吊顶的隔板上。这样便将AP巧妙的隐藏起来。由于吊顶上面没有电源线路，所以选用AIR-PWRINJ3电源模块接口，利用连接AP和控制器的普通超5类电缆中空闲的一对铜线来传输电力。这样所有设备的电源都取自机房，无需在AP点而且布设电源线。在天线的选择上，考虑到整个环境都是在室内应用，所以为每台AP选择2个2.4G的全向天线。

将2个无线AP和控制器连接后，再使用一根网线将无线控制器联入现有局域网的主干交换机上，实现无线网络到现有网络的接入。

在解决了物理连接后，还需要解决联入无线网络计算机的IP地址分配问题。通常由无线网络控制器来分配联入计算机的IP地址。考虑到现有的有线网络环境中已经有了专用的 DHCP服务器，而在一个网段中，只能有一个 DHCP服务器来统一分发、管理用户设备的IP地址，所以就必须在无线网络控制器上做 DHCP请求转发。一方面解决的DHCP广播数据包无法跨路由传播，另一方面也解决了一个网段只能有一个DHCP服务器的问题。

3.5 安全性问题

在用户认证方面，WEP认证采用一个静态的密钥来加密所有的通讯，加上密码固定，初始向量只有24位，故容易被破解。而WPA是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。虽然WPA和WPA2的认证方式在安全上有了很大的保证，但是在企业的应用中，还必须定期的修改密码。同时针对不同的用户组需要设定不同的验证密码，而WPA在一个信道里只能设定一组密码，这就无法满足复杂的应用。

为此就需要采用 IAS RADIUS方式，结合现有域的结构来实现对无线网络的用户接入验证。在基于现有域的基础上，使用无线控制器和 IAS结合，将无线网络无缝的嵌入到用户现有的域结构中，并实现用户登录域的过程中，完成无线连接，域计算机认证，域用户认证等多项功能。由于采用和域用户整合的用户验证方式，每个用户都有各自的登录帐号和密码，更新密码的工作就由用户自己完成。而对于临时外来访客，可以专门建一访客帐号，定期修改密码。这样也不会影响到正常的用户使用。

4 结束语

随着企业信息化和企业自身规模的不断发展，企业对无线局域网的要求已越来越高，如何寻求成本低，实现容易并且可操作性强的无线网络解决方案，对于企业有着重要的意义。计算机网络和无线技术在不断的发展，无线网络以其特有的自由行、便捷性越来越被广大用户所接受。对于企业而言，无线网络建立了高效、便捷、自由的平台，实现企业用户移动办公的梦想，大大提高了员工的工作效率，节约了网络建设成本，且扩充性强，是企业迈入了网络应用的新时代。

[1]常潘 CISCO无线局域网配置基础，[M]北京，电子工业出版社，2011.3

[2]林晓，见证时代发展，从有线网络到无线网络，[J]网络与信息，2011.6

[3]Carlo Blundo, Security in Communication Networks,[J]SCN 2004.9

[4]王元，王东，潘洪友，无线网络安全威胁与防范措施综述，[J]北京，中国无线电，2011.5