淺談企業(yè)無線辦公網(wǎng)絡的規(guī)劃與設計

摘 要：本文基于無線網(wǎng)絡自身的特點以及企業(yè)的發(fā)展對無線網(wǎng)絡的迫切需求為出發(fā)點，對企業(yè)的無線網(wǎng)絡架構(gòu)進行設計，并詳細闡述了各層次所采取的的路由協(xié)議，最后提出了局域網(wǎng)安全防范的幾點措施。

關(guān)鍵詞：無線網(wǎng)絡；拓撲結(jié)構(gòu)；協(xié)議

中圖分類號：TN925

目前，很多企業(yè)隨著業(yè)務的不斷拓展，規(guī)模在迅速擴大，新的廠址、新的辦公地點需要信息網(wǎng)絡規(guī)劃設計。目標是讓在企業(yè)不同部門的員工可以隨時隨地借助便攜式電腦、PDA等無線終端方便高效地使用網(wǎng)絡。這樣，所有辦公室、會議室的任何地方都需要具備接入網(wǎng)絡的能力。

充分利用無線局域網(wǎng)技術(shù)（WLAN），可以實現(xiàn)在一定區(qū)域內(nèi)實現(xiàn)不間斷移動辦公的需求，并且隨著需求增加，將來還可以迅速、方便地部署更多的網(wǎng)絡節(jié)點。無線網(wǎng)彌補了有線網(wǎng)的缺陷，可在需要的時間和地點經(jīng)濟有效地拓展連接能力，撇棄了傳統(tǒng)有線局域網(wǎng)在提供完善數(shù)據(jù)服務方面的不足，為樓網(wǎng)乃至企業(yè)網(wǎng)的建設，特別是解決公共區(qū)域的局域網(wǎng)建設，提供了新的思路和解決方案。

1 企業(yè)所需信息化網(wǎng)絡應具備的特點

（1）作為一個基于企業(yè)Intranet的信息管理和應用的網(wǎng)絡系統(tǒng)，提供相應的各種服務；（2）網(wǎng)絡上各種軟、硬件資源能得到共享，并能快速、穩(wěn)定地傳輸各種信息，提供有效的網(wǎng)絡信息管理手段；（3）采用開放式、標準化的系統(tǒng)結(jié)構(gòu)，以利于功能擴充和技術(shù)升級；（4）能夠與外界進行廣域網(wǎng)的連接，提供、享用各種信息服務；（5）具有完善的網(wǎng)絡安全機制；（6）能夠與原有的計算機局域網(wǎng)絡和應用系統(tǒng)平滑地連接，調(diào)用原有各種計算機系統(tǒng)的信息。

2 企業(yè)無線辦公網(wǎng)絡的網(wǎng)絡結(jié)構(gòu)

2.1 核心層：核心層多業(yè)務、高可靠、大容量設計，所有關(guān)鍵部件均采用冗余熱備份設計，采用分布式路由轉(zhuǎn)發(fā)處理引擎，支持真正熱插拔、熱備份；支持完善的DiffServ/QOS保障：實現(xiàn)簡單流分類、復雜流分類、流量監(jiān)管、真正的擁塞控制、完善的隊列調(diào)度和輸出流整形等功能，使網(wǎng)絡成為一個可以同時承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。

2.2 分布層：通過Vlan劃分實現(xiàn)不同部門內(nèi)部訪問安全的要求。配置公司各種服務器，滿足公司日常業(yè)務所需進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。包括ACL訪問控制列表、EIGRP路由協(xié)議等。

2.3 接入層：為企業(yè)員工提供最終的用戶接入。

3 路由協(xié)議的選擇

3.1 EIGRP路由協(xié)議。常用的動態(tài)路由協(xié)議主要是EIGRP協(xié)議和OSPF協(xié)議，由于OSPF協(xié)議在網(wǎng)絡區(qū)域劃分和網(wǎng)絡屬性的復雜性，并且需要網(wǎng)絡分析員具有較高的網(wǎng)絡知識水平才能配置和管理OSPF網(wǎng)絡，且OSPF協(xié)議只選擇優(yōu)先級較高的轉(zhuǎn)發(fā)，不能實現(xiàn)負載分擔，且實現(xiàn)負載均衡較難。由于公司核心架構(gòu)都采用CISCO設備，因此使用EIGRP協(xié)議為最佳選擇。

EIGRP協(xié)議的對等路由器之間周期性發(fā)送很小的hello報文，因此占用帶寬少；EIGRP協(xié)議使用DUAL算法在路由計算中不會出現(xiàn)路由環(huán)路，因此加速了收斂時間；運行EIGRP協(xié)議進程的路由器之間可以配置MD5認證，確保了路由獲得的安全性。

3.2 CHAP認證。PPP封裝認證方式有PAP認證和CHAP認證將定期的發(fā)出挑戰(zhàn)且密碼值是在進行不可預測的改變，因此很難遭受網(wǎng)絡攻擊，保證了會話的安全性。

為了保證本次辦公網(wǎng)絡的安全性，在外網(wǎng)與內(nèi)網(wǎng)的路由器之間我們配置了CHAP認證，確保了連接到內(nèi)網(wǎng)的用戶都是合法的。

3.3 DHCP驗證。由于公司終端接入量較多，為了方便管理以及減輕網(wǎng)絡管理人員的繁瑣的工作量，在分布層的各網(wǎng)絡無線路由器中都配置了DHCP功能。

3.4 ACL訪問控制列表。根據(jù)公司網(wǎng)絡需求，為了防止外界用戶訪問公司內(nèi)網(wǎng)。在核心層交換機配置ACL。拒絕外接用戶訪問除公司明確允許的，如：WEB服務器等以外的任何設備；但不影響公司其他內(nèi)部訪問。

3.5 NAT驗證。網(wǎng)絡地址轉(zhuǎn)換（NAT）技術(shù)是利用防火墻的地址轉(zhuǎn)換功能，將內(nèi)網(wǎng)的私有地址實現(xiàn)地址轉(zhuǎn)換功能。防火墻可隨機設置靜態(tài)地址或者動態(tài)地址池，通過防火墻發(fā)往外部的數(shù)據(jù)報文從動態(tài)地址池中隨機找地址來完成數(shù)據(jù)報文轉(zhuǎn)發(fā)。通過地址轉(zhuǎn)換可達到兩個優(yōu)點：一是因臟內(nèi)部網(wǎng)絡的結(jié)構(gòu)；二是通過使用NAT負載功能，內(nèi)部網(wǎng)絡可使用私有保留地址，節(jié)約了網(wǎng)絡成本。

3.6 VTP驗證。在網(wǎng)絡設計中，將各分布層的三層交換機作VTP的服務器而二層交換機作VTP的客戶端。通過在各交換機上配置相同的域名和密碼，可僅在VTP服務器上創(chuàng)建VLAN將信息發(fā)送到VTP客戶端，從而節(jié)約了網(wǎng)絡管理員的配置量，并且確保了創(chuàng)建VLAN信息保持一致。

3.7 WEB服務器。WEB服務器的主要功能是為用戶提供網(wǎng)上信息瀏覽服務。在設計方案中WEB服務器主要是允許外接通過公司架構(gòu)的WEB服務器，讓其瀏覽用戶了解公司企業(yè)文化和辦公宗旨，并實時更新公司信息以及地產(chǎn)房屋市場信息以供用戶網(wǎng)上參考及辦公。

3.8 郵件服務器。電子郵件（E-Mail）是互聯(lián)網(wǎng)最基本、但卻是十分重要的組成部分之一，通過電子郵件可進行方便快捷的信息交流與共享。公司郵箱以該企業(yè)的域名作為郵箱后綴，既能體現(xiàn)了公司的品牌和形象，更能使公司郵件得到更安全的管理。

4 安全防范措施

4.1 開放認證。開放認證方法是802.nb標準中默認的認證方式，在明文狀態(tài)下進行認證，認證過程如下：客戶端向無線路由器發(fā)送認證請求，無線路由器確認認證，注冊客戶端；客戶端發(fā)送連接請求給無線路由器，無線路由器確認請求，注冊客戶端。通常無線路由器的開放認證有三種策略：第一種策略為默認方式，允許任何客戶端認證；第二種是只允許認證帶有合法服務器標識ID（實際為SSID）的客戶端，SSID相當于密碼的作用；第三種是無線路由器只允許認證MAC地址在無線路由器的訪問控制列表中的客戶端。

4.2 共享密鑰認證。共享密鑰認證是基于WEP共享密鑰的認證方法，前提是客戶端和無線路由器中己經(jīng)預先手動設置好了共享密鑰，共享密鑰認證與開放認證相似，只不過它使用WEP對認證過程進行加密，因而其安全性要高于開放認證。

4.3 無線局域網(wǎng)的加密技術(shù)。加密技術(shù)是網(wǎng)絡安全的一項重要技術(shù)。IEEE為無線局域網(wǎng)提供了三種安全性保護協(xié)議：WEP、TKIP、CCMP。主要的方法有無線局域網(wǎng)E無線路由器策略、無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)W無線路由器I以及IEEE802.11標準中的WPA等等。其中W無線路由器I是我國自主研發(fā)的、擁有自主知識產(chǎn)權(quán)的無線網(wǎng)絡安全標準而TKIP主要進行無線網(wǎng)絡產(chǎn)品的互通性測試。然而，這些還聯(lián)夠，還需要一些增強方法和策略等。

4.4 選擇無線局域網(wǎng)安全策略的原則。確保無線局域網(wǎng)網(wǎng)安全可以說“三分靠技術(shù)，七分靠策略”，無線局域網(wǎng)部署中要適當應用安全技術(shù)，合理選擇安全策略。在部署無線局域網(wǎng)時，只要結(jié)合自身的網(wǎng)路安全實際需求，合理選擇無線局域網(wǎng)的安全策略，提供足夠的網(wǎng)絡安全防護，就可以安心的享受無線接入的便捷，同時也能保證重要數(shù)據(jù)的安全。首先對無線局域網(wǎng)的各種安全措施以及無線路由器類型進行比較，最后選擇基本安全、增強安全和擴展安全三種無線局域網(wǎng)部署方案。

參考文獻：

[1]于雷，余兆明.高校校園無線局域網(wǎng)部署方案的分析研究[J].中國科技信息，2008（04）.

[2]董春慶.無線網(wǎng)絡局域網(wǎng)技術(shù)及應用[J].網(wǎng)絡世界，2007（06）.

作者簡介：黃丹（1979.10-），女，滿族，吉林遼源人，教師，講師，學士學位，研究方向：網(wǎng)絡安全。

作者單位：遼源職業(yè)技術(shù)學院，吉林遼源 136200