宁都气象局无线局域网与网络安全设计

2013-10-10谢燕胜宁都县气象局宁都342800

江西通信科技 2013年3期

谢燕胜宁都县气象局宁都 342800

0、引言

无线局域网（Wireless Local Area Network，WLAN）是以无线电波为传输介质，把无线路由器（access points，AP）和带有无线网卡与天线的PC等设备连接在一起的计算机局域网，能够脱离线缆的局限而实现互相通信和资源共享。

宁都气象局是一个中小型企事业单位，现有职工20余人，基本上住在单位院内宿舍区。以前单位使用的是有线局域网，现在办公楼原址重建，并在宿舍区北侧新建一栋宿舍楼作单身职工公寓和食堂，而且大多数职工都有了带无线网卡的笔记本电脑、PDA、3G手机等轻便移动设备，所以建个无线局域网，可免去布线的麻烦和影响房舍美观，同时达到成本低廉，为职工共享单位宽带移动办公提供便利。

1、无线局域网的组建和安全设计

一个无线局域网，可独立作为有线局域网的替代设施，也可作为有线局域网的补充和扩展，具有很强的组网灵活性。它在室外主要有点对点型、点对多点型、多点对点型和混合型几种网络结构。根据应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。但在组网之初就应对网络进行整体规划和设计，以求达到成本低、可扩展和高速、安全、稳定等效果。

1.1、无线覆盖规划

图1 无线覆盖区域图

无线覆盖的主要地方是办公楼和四栋宿舍楼,整个覆盖区域呈梯形（图1）。

1.1.1、图中红线框为无线覆盖面，总长约75米，总宽约62米，夹角约85度。覆盖面内建筑物都是砖混结构。

1.1.2、二层宿舍楼加上护坡高度约12米，比办公楼高出约1米。各宿舍楼长度相差不大,约为28米，二室二厅和三室二厅的套房结构。每栋楼东西向隔断较多,南北向隔断为3-4个。各栋楼之间相隔5-6米。

1.1.3、三层办公楼长33米，高11米，宽9米。第一二层为行政办公室，第三层为综合业务室和会议室，屋顶有锅状卫星接收天线。自动站、卫星接收、视频会议等电脑设备主要集中在第三层的综合业务室。

1.2、现有宽带设备和网络

1.2.1、4M光纤+2Madsl从办公楼三层接入有线局域网，访问省地业务内网使用VPN连接。

1.2.2、Ethernet Converter 10/100Base-Tx to 100Base-Fx一个，BDCOM Router 1705一台，交换机二台（KN-S1024P+，H3C S3100 Series），adsl一台。

1.3、目标要求

总的设计要求是：在保障业务通讯安全稳定通畅的前提下组建WLAN。所以综合业务室保留以前的有线局域网，其它办公室和宿舍楼组建WLAN。

1.3.1、尽量节省成本。希望现有网络设备也能用上。

1.3.2、无线局域网和有线局域网隔离，保障办公楼三楼主要业务终端的安全与稳定。

1.3.3、4M光纤+2M的adsl从办公楼三层接入有线局域网，同时供整个无线覆盖区共享。

1.3.4、无线局域网可接入无线终端30台，终端能实现部分设备互访，能把办公终端与其它终端隔离，同时安全稳定。

1.3.5、办公楼无线终端一般在15台以内，主要在一层、二层办公室和三层会议室使用；宿舍楼无线终端一般在20台以内，分散在各栋楼里。每天开机使用的终端在20台以内，一般不会超过30台。

1.3.6、无线终端主要用于查资料、视频等一般的互联网应用。

1.4、产品选用

1.4.1、前端路由器和交换机共享有线局域网中已有的设备。

1.4.2、无线局域网设备尽量选用配套产品，解决好速率匹配问题，以提高网络性能。经过反复比较，决定选用深圳市普联技术有限公司的无线产品，中心AP用TL-WA701N，宿舍楼室外节点用无线路由器TLWR742N，室内节点用无线路由器TL-WR740N组网。这三款产品采用11N标准，150M速度，与其它产品相比，有以下特点：

① 价格与11G标准、速度54M的产品相近，比较便宜，性价比好。官网价格TL-WA701N，¥256.00，比54M无线接入器（AP）TL-WA501G+贵4元；TL-WR740N，¥88.00，比54M无线宽带路由器TL-WR340G+贵1元，比54M无线宽带路由器TLWR541G+便宜22元；TL-WR742N，¥133.50。

② 它的覆盖范围、穿透能力和传输速度强于11G、54M产品（图2），兼容性好，利于网络扩展。

图2 TP-LINK WLAN产品覆盖范围对比图

③ 使用了CCA（Clear Channel Assessment）空频道检测技术，在检测到周边有无线信号干扰时，可自动调整频宽模式，避开信道干扰，使无线信号更加稳定。当干扰消失时，又可自动捆绑空闲信道，充分利用信道捆绑优势，提升无线性能。

④ 支持SSID隐藏、无线MAC地址过滤、64/128/152位WEP加密及WPA-PSK/WPA2-PSK、WPA/WPA2安全机制。

⑤ 有QSS快速安全设置功能，轻松搞定WPA2级别的无线安全连接，不需要记忆复杂的密码。

⑥ TL-WA701N还提供AP、AP Client、Bridge、Multi-Bridge、Repeater多种实用工作模式。可根据实际需求选择不同的工作模式，组网自由。支持Passive PoE网线供电，让AP摆脱电源接入点的限制，布设位置更自由。支持无线发射功率可调和天线可拆卸。可以根据布网范围和布网模式需求，更改无线发射功率，或选用特定需求的天线产品。让覆盖范围和发射方向轻松掌控，构建最合适的无线网络。

⑦ TL-WR740N还具有IP带宽控制功能和WDS无线桥接功能，可实现两台或多台无线路由器之间无线桥接，扩展无线覆盖范围，桥接同时还可支持AP模式提供无线接入，满足远距离、多楼层或宿舍楼等环境的无线覆盖需求。

⑧ TL-WR742N比TL-WR740N还多二个功能：家长控制功能，灵活控制小孩或员工上网行为；外置高增益可拆全向天线。

1.5、网络架构

本网络有线局域网和无线局域网共存，并且要能较好的隔离。（拓扑图见图3）

图3 宁都气象局WLAN拓扑图

根据经验，一般无线AP或无线路由器在空旷地带的覆盖范围约为100m，在室内的覆盖距离主要受空间隔断情况的影响，通常在15m范围内的信号可以穿透两堵20cm砖混结构的隔断或一堵20cm普通混凝土的隔断而保证网络稳定运行。本案例中，宿舍楼只有二层，南北和上下的隔断较少，而且楼与楼之间相距很近，与三层办公楼也相距不远，整个办公楼和宿舍楼区域有8-9个无线AP和无线路由器桥接在一起交叉重叠，应能获得较好的覆盖效果，可以保证每个职工家都能无线上网。每个无线路由器都有4个LAN口，若室内有盲点有必要扫盲，可通过LAN口添加AP或有线连接电脑。具体布置是：办公楼用1-2个TL-WR740N和1个TL-WA701N，通过线缆连接到三楼交换机上，TL-WR740N放在二层办公室内（图中B2），TLWA701N作为中心节点放在三层办公室外围墙壁（或用天线延长线外置屋顶）作信号发射点（图中B3）。宿舍区基本上每栋楼放2个无线路由器，共6个节点，其中3个TL-WR740N放室内（图中1内、3内、4内），3个TL-WR742N放外墙（或用天线延长线外置屋顶）作信号接收点（图中1外、3外、4外），与办公楼的信号发射点距离可视。注意放在室外的AP及无线路由器要加箱保护，用延长线将天线外置进行覆盖效果会更好些。

1.6、方案特点

1.6.1、降低成本：根据原有网络及设备搭建无线网络，充分利用了现有的网络资源及节省了成本。采用室内室外多节点同时覆盖，比全室内覆盖更节省AP，也降低了成本，同时扩大了覆盖范围。

1.6.2、组网灵活：TL-WA701N提供多种实用工作模式，无线路由器TL-WR740N、TL-WR742N也有多种功能，可以根据需要，搭配原有设备，灵活组网和调整网络结构。

1.6.3、安全稳定：无线解决方案采用WPA//WPA2级别安全协议及美国高级加密算法AES，配合使用无线MAC地址过滤、AP隔离、AP的VALN功能、多WAN口策略路由、防火墙过滤、VPN策略等安全措施，可以完全杜绝非法用户的接入尝试，有效保证无线网络安全。

1.6.4、随时随地接入：无线网络建设完成之后，职工可以在无线覆盖范围的任意位置无线连接到单位网络，不受硬件网络接口及位置的限制，移动性好。

1.6.5、高速无线网络：150M无线AP作为无线接入点，保证高速的无线网络。

1.6.6、管理维护简单：设备支持全中文配置界面，支持配置导入与导出，管理维护简单，操作方便。TL-WA701N支持软件看门狗功能，当无线网络出现故障，可以自动重启设备，恢复无线网络。无线AP支持Passive PoE网线供电，摆脱取电位置的限制，降低安装难度。

1.7、网络连接与设置

由于无线AP有Access Point、Multi-SSID、Repeater、Bridge with AP等多种工作模式可选，因而各节点也存在多种连接方式。经过反复比较，确定了一个合理的连接方案，这个方案成本低，设置和维护也比较简单。具体的连接方法是：1内、3内、4内分别与1外、3外、4外有线连接，1外、3外、4外与B3建立WDS连接，B3用工作模式Multi-SSID，B3有线连接到H3C S3100 Series。这种连接方式，B3不仅能与1外、3外、4外分别建立WDS连接，还能利用多SSID、多VLAN功能对接入终端进行分类控制和管理。

无线局域网搭建好之后，需要对路由器、交换机、无线接入节点进行合理的配置，统一服务端与客户端的访问规则、设定IP地址及安全措施等。这里参照《BDCOM1705系列路由器Web配置说明书》、《H3C S3100系列以太网交换机操作手册》、《TL-WA701N详细配置指南》、《TL-WR740N详细配置指南》进行配置，对于安全措施可结合下一节的内容和实际需要完善配置和策略。本案例作为点对多点的桥接网络，配置时要注意以下几点：

1.7.1、BDCOM Router 1705：使用策略路由、防火墙过滤、端口限速，开启DHCP。

1.7.2、H3C S3100 Series：使用端口VLAN或802.1Q VLAN划分，将有线局域网和无线局域网隔离。

1.7.3、桥接的两个设备的SSID不可隐藏，其他的SSID可以隐藏。为了网络安全，可启用无线MAC地址过滤。

1.7.4、使用WPA-PSK/WPA2-PSK AES算法加密。

1.7.5、其它节点的DHCP全部关闭。

1.7.6、为网络设备分配静态IP。

1.7.7、信道设置：相桥接的B3、1外、3外、4外设成同一信道，加密方式一致，其他的信道设成“自动”就可以，因为设备有CCA技术。

1.7.8、可开启AP隔离。也可用B3的多SSID、多VALN功能分隔不同的无线用户群组。

1.7.9、B2、1内、3内、4内可以用TL-WR740N的路由功能设成不同网段的局域网，可用不同的SSID分隔无线网络。

1.7.10、作为AP的无线路由器的防火墙不生效，不开启。

1.7.11、作为AP的无线路由器的高级安全设置不生效，不开启。

1.7.12、可开启AP的看门狗功能。