實驗室Wi-Fi網(wǎng)絡的部署與安全管理

陳 波， 陳國凱

(南京師范大學 計算機科學與技術學院， 江蘇 南京 210023)

?

計算機技術應用

實驗室Wi-Fi網(wǎng)絡的部署與安全管理

陳 波， 陳國凱

(南京師范大學 計算機科學與技術學院， 江蘇 南京 210023)

針對高校實驗室環(huán)境、用戶對象和主要用途，給出了部署Wi-Fi網(wǎng)絡應遵循的步驟和一套具體的Wi-Fi網(wǎng)絡部署方案。在部署網(wǎng)絡時融入安全設備以應對網(wǎng)絡安全問題，通過定期的掃描檢測來對Wi-Fi網(wǎng)絡的安全性進行監(jiān)測和預警，從而確保實驗室Wi-Fi網(wǎng)絡的安全。

Wi-Fi網(wǎng)絡； 無線網(wǎng)絡部署； 網(wǎng)絡安全管理

Wi-Fi是當今使用最廣泛的一種無線網(wǎng)絡傳輸技術[1]。在高校實驗室，實驗人員習慣用自己的手機或平板電腦進行信息查詢、資料檢索甚至是學術交流和實驗探討，故在實驗室部署Wi-Fi網(wǎng)絡已十分必要。

確保Wi-Fi網(wǎng)絡的安全運行是實驗室的工作重點之一。盡管實驗室Wi-Fi網(wǎng)絡已采用了防火墻、入侵檢測系統(tǒng)、增強網(wǎng)絡訪問控制、端口認證技術[2](802.1x)以及數(shù)據(jù)加密傳輸?shù)萚3]一系列常規(guī)安全措施，但這些都是被動防御技術手段，難以應對日益復雜的Wi-Fi網(wǎng)絡安全威脅，例如不能對系統(tǒng)進行脆弱性分析、不能抵御未知攻擊等[4]。筆者對Wi-Fi網(wǎng)絡采用主動安全防御手段，通過定期掃描檢測進行Wi-Fi網(wǎng)絡安全性分析，對網(wǎng)絡中的潛在安全威脅做出預警，從而保障了實驗室Wi-Fi網(wǎng)絡的安全。

1 實驗室Wi-Fi網(wǎng)絡部署的步驟

Wi-Fi網(wǎng)絡的設計要比有線網(wǎng)絡復雜得多，因為Wi-Fi網(wǎng)絡很容易受到其他信號的干擾，所面臨的安全威脅也比有線網(wǎng)絡更加嚴重。做好實驗室Wi-Fi網(wǎng)絡部署方案，不但能從性能和安全上保障網(wǎng)絡的可靠運行、提升用戶滿意度，也能節(jié)省網(wǎng)絡運營成本、降低后期網(wǎng)絡安全管理的難度。

1.1 認真進行實驗室勘探

實驗室勘探就是要根據(jù)用戶數(shù)量、業(yè)務特征、行為習慣等，明確Wi-Fi網(wǎng)絡的覆蓋范圍、應用背景、網(wǎng)絡設計容量以及預期質量。同時還需通過對目標網(wǎng)絡區(qū)域的現(xiàn)場勘察獲得現(xiàn)場環(huán)境參數(shù)。由于Wi-Fi網(wǎng)絡使用的是非授權的ISM頻段，還需實地測量Wi-Fi覆蓋區(qū)域的干擾情況，排除或屏蔽干擾源[5]。

筆者所在學院的實驗樓為2層“口”字型建筑，長約50 m，寬約42 m，中央為草坪。實驗樓一層有1間報告廳、4間教師辦公室、4間研究生實驗室、1間管理室；二層有9間教師辦公室、7間教師專屬實驗室、1間網(wǎng)絡機房。

實驗室Wi-Fi網(wǎng)絡應該方便研究人員使用自帶設備進行信息查詢、資料檢索以及信息交流，對網(wǎng)絡的吞吐量要求不高，但要求Wi-Fi網(wǎng)絡覆蓋各個實驗室和走廊，覆蓋的用戶數(shù)約為120個。部署實驗室Wi-Fi網(wǎng)絡前，應消除或減弱實驗室中的2.4 GHz頻段干擾源，例如微波爐或無繩電話，以保證網(wǎng)絡通信質量。

1.2 合理規(guī)劃網(wǎng)絡覆蓋范圍

確定無線AP的位置在Wi-Fi網(wǎng)絡覆蓋范圍規(guī)劃中是非常重要的[6]。合理的AP位置有利于提供一個連接到有線網(wǎng)絡資源的接口，并為在Wi-Fi網(wǎng)絡中漫游的用戶提供足夠的覆蓋范圍。在室內(nèi)環(huán)境中，AP的位置需要考慮墻壁、門窗等遮擋物對無線信號的影響，并且需要進行實地測試，以確保AP位置的選擇滿足要求。

無線AP的室內(nèi)覆蓋半徑通常為20～30 m，如果實驗室面積較小，只需部署1個無線AP，將其安裝在實驗室頂部的中心位置即可；如果實驗室面積稍大，則應部署2個無線AP，分別安裝于實驗室寬的中心，長的1/4和3/4位置處，以保證Wi-Fi信號的全面覆蓋；對于整個樓層的實驗室，可以間隔20 m設置一個無線AP。所有無線AP形成信號覆蓋區(qū)域的交叉覆蓋。

1.3 合理規(guī)劃網(wǎng)絡容量

目前Wi-Fi網(wǎng)絡支持IEEE802.11a/b/g/n標準。IEEE802.11b的標稱數(shù)據(jù)傳輸速率可高達11 Mbit/s，IEEE802.11a/g的標稱數(shù)據(jù)速率最高可達54 Mbit/s，IEEE802.11n的標稱數(shù)據(jù)速率最高可達300 Mbit/s(在5 GHz頻段)。但在實際使用中，IEEE802.11a/b/g/n的傳輸凈數(shù)據(jù)率遠遠低于標稱值。過于密集的AP群和單個AP接入過多的用戶數(shù)都會給網(wǎng)絡通信帶來沖突，從而影響Wi-Fi網(wǎng)絡的吞吐量。

實驗室的Wi-Fi網(wǎng)絡應部署支持802.11n的無線AP，因為研究人員的自帶設備很多都支持802.11n標準，而802.11n在提供較高數(shù)據(jù)傳輸率的同時兼容使用802.11a/b/g標準的設備。此外，Wi-Fi網(wǎng)絡中的傳輸速率還取決于距離，只有距離AP相當近時才能得到較高的速率?？紤]到大多數(shù)時間，只有部分用戶會連接至AP，故一個無線AP可以為十幾臺接入設備提供較為滿意的服務。

1.4 合理規(guī)劃網(wǎng)絡信道

在Wi-Fi網(wǎng)絡的組網(wǎng)中，可以通過信道復用來增加網(wǎng)絡的容量，但同頻干擾和鄰頻干擾已成為Wi-Fi組網(wǎng)中存在的主要干擾源。故在規(guī)劃AP信道時，需要盡量將兩個相鄰AP設定在不交疊的信道上，以確保在增加AP擴展網(wǎng)絡覆蓋范圍后，Wi-Fi網(wǎng)絡容量也同比增加。

實驗室Wi-Fi網(wǎng)絡通常使用2.4 GHz的ISM頻段，該頻段劃分為13個信道，其中只有3個不交疊信道。為最大限度地避免信道的同頻干擾和鄰頻干擾，可設置AP復用1、6、11信道。實驗室部署的802.1n標準AP同時也支持5.8 GHz頻段。5.8 GHz頻段提供了5個互不交疊的信道，信道號分別為149、153、157、161、165，該頻段抗干擾能力較強，可保證用戶的接入質量和接入速率。因此，在實驗室Wi-Fi組網(wǎng)中，可考慮采用2.4 GHz和5.8 GHz的雙頻組網(wǎng)(見圖1)。

圖1 實驗室無線AP群雙頻信道配置

1.5 規(guī)劃網(wǎng)絡的安全

Wi-Fi在提供網(wǎng)絡資源的同時，也面臨著諸多安全問題，如鏈路竊聽、數(shù)據(jù)篡改、消息重放、身份假冒、非法訪問、拒絕服務、服務抵賴、路由攻擊和高級攻擊等[7-9]。為此，在Wi-Fi網(wǎng)絡的安全性規(guī)劃中，防火墻、入侵檢測系統(tǒng)是需要部署的常規(guī)安全設備，認證方案可以選擇集團認證、本地認證和家庭用戶認證。

集團認證是指Wi-Fi用戶認證要使用統(tǒng)一的集團RADIUS認證服務器，通過Web進行認證的方式；本地認證則是使用本地設置RADIUS認證服務器，以PPPoE、Web或IEEE802.1x等方式進行認證[10]；家庭用戶認證多采用WEP、WPA-PSK/WPA2-PSK認證，雖然安全性不及集團認證，但是其系統(tǒng)開銷較小[11]。Wi-Fi網(wǎng)絡中的加密包括無線鏈路層的加密和網(wǎng)絡層的加密。無線鏈路層的加密可采用WEP、TKIP、AES等協(xié)議算法加密，網(wǎng)絡層的加密通常會采用IPSec、L2TP、PPTP等隧道技術建立虛擬專用網(wǎng)后對通信數(shù)據(jù)進行加密[12]。

鑒于實驗室的Wi-Fi網(wǎng)絡并不以盈利為目的，為節(jié)省運營成本，可采取WPA2-PSK進行認證，認證口令盡量設置為20個以上的隨機字符，加密算法可選擇AES。同時應更改無線AP的默認管理地址和默認管理密碼，以保證無線AP自身配置的安全。此外，由于實驗室的人員較為固定，建議關閉無線AP的SSID廣播并設置MAC地址過濾，以提高安全性。

2 實驗室Wi-Fi網(wǎng)絡部署方案

由于實驗室Wi-Fi網(wǎng)絡的用戶接入量和網(wǎng)絡通信量都不及校園網(wǎng)和大中型單位的Wi-Fi網(wǎng)絡，并且實驗室已經(jīng)進行了綜合布線，因此，筆者在進行Wi-Fi網(wǎng)絡部署時采用了“無線AP+交換機+寬帶路由器”的方案(見圖2)，使用無線AP作為無線客戶端的接入設備，采用交換機作為AP間互聯(lián)的中心集線設備，使用寬帶路由器提供到Internet的連接(見圖3)。

圖2 “無線AP+交換機+寬帶路由器”方案

圖3 實驗樓一層Wi-Fi網(wǎng)絡部署圖

在部署方案中，無線AP可采用性價比較高的Cisco Aironet 1040系列接入點，交換機采用內(nèi)置無線局域網(wǎng)控制器的Cisco Catalyst 3750系列交換機。為了確保網(wǎng)絡的安全性，入侵檢測系統(tǒng)采用入門級的Cisco IDS 4210系列設備檢測器，防火墻采用新一代的Cisco ASA 5500系列自適應安全設備，寬帶路由器采用集成多業(yè)務的Cisco 1900系列路由器并配置好訪問控制列表(access control list，ACL)。

該方案能實現(xiàn)Wi-Fi網(wǎng)絡和有線網(wǎng)絡的兼容，既能保護實驗室原有以太網(wǎng)，又能保證移動設備聯(lián)網(wǎng)的需求，同時該方案還能實現(xiàn)無線用戶的漫游。

3 實驗室Wi-Fi網(wǎng)絡的安全管理

傳統(tǒng)的被動網(wǎng)絡安全防護設備難以滿足經(jīng)常變化的Wi-Fi網(wǎng)絡終端設備、終端用戶和終端應用的安全要求，對Wi-Fi網(wǎng)絡的信號干擾、偽裝AP和非法客戶端、網(wǎng)絡拒絕服務、惡意占用帶寬和無線接入設備配置錯誤等安全問題[13-14]非常突出。因此，需要在實驗室Wi-Fi網(wǎng)絡投入運行后，加強對網(wǎng)絡安全的管理，以保證網(wǎng)絡能持續(xù)穩(wěn)定地運行。

3.1 安全管理的解決思路

首先要確立主動安全管理的思路，即通過定期Wi-Fi網(wǎng)絡狀態(tài)掃描檢測的主動防御手段，對實驗室Wi-Fi網(wǎng)絡安全問題進行預警。Wi-Fi網(wǎng)絡狀態(tài)掃描檢測對于安全管理的重要意義在于：

(1) 可以通過掃描Wi-Fi網(wǎng)絡使用的信道，檢測干擾信號的強度和信噪比，同時檢測覆蓋實驗室的其他Wi-Fi網(wǎng)絡信號，并分析實驗室Wi-Fi網(wǎng)絡所受到的干擾影響程度，給出排除或減弱干擾信號的措施；

(2) 可以通過掃描檢測出不符合系統(tǒng)安全規(guī)則的異常設備，對偽裝AP和非法客戶端進行報警，幫助管理員對非法設備進行定位，并最終排除非法設備；

(3) 可以掃描檢測Wi-Fi網(wǎng)絡中的用戶行為，對存在的DoS攻擊或其他不合規(guī)行為進行報警，幫助管理員及早消除網(wǎng)絡攻擊；

(4) 通過監(jiān)測實驗室Wi-Fi網(wǎng)絡的流量，判斷是否存在惡意占用網(wǎng)絡帶寬的情況，是否存在ARP病毒等，以幫助管理員及時改善網(wǎng)絡性能；

(5) 檢測實驗室Wi-Fi網(wǎng)絡設備的基本配置情況，如加密認證方式、所使用的信道、SSID廣播設置、MAC過濾設置、設備制造商等信息，可以過濾出配置有誤的設備：其中加密認證信息能預估該網(wǎng)絡的安全性，所使用的信道能判斷Wi-Fi網(wǎng)絡頻段規(guī)劃是否合理，關閉SSID廣播和設置MAC地址過濾能提高Wi-Fi網(wǎng)絡的安全性，通過AP設備制造商的信息能及時獲取設備的安全公告和相應的補丁程序。

3.2 安全管理工具

針對實驗室Wi-Fi網(wǎng)絡的安全管理，可使用Nmap、Nessus、OpenVAS等系統(tǒng)安全漏洞掃描工具，也可使用NetStumbler、inSSIDer、Kismet等免費Wi-Fi網(wǎng)絡狀態(tài)監(jiān)測工具，還可使用AirMagnet Wi-Fi Analyzer、AirMagnet Spectrum Analyzer、AirMagnet Handheld Analyzer等專業(yè)Wi-Fi網(wǎng)絡分析管理工具。

以我校102實驗室為例，該實驗室是一個近似正方形的計算機系研究生實驗室，面積90 m2，內(nèi)部放置了36臺PC機，部署一個SSID名為“102”的Wi-Fi熱點。該實驗室附近還有3個研究生實驗室，每個實驗室都部署了Wi-Fi熱點。

筆者所用的Wi-Fi網(wǎng)絡安全管理軟件是美國Fluke電子儀器儀表公司的AirMagnet Wi-Fi Analyzer Pro(以下簡稱Analyzer)，配套Proxim公司的Proxim Orinoco 8494 802.11a/b/g/n USB無線適配器，軟件及無線適配器均安裝在一臺運行Windows 7操作系統(tǒng)的筆記本電腦上。Analyzer是一款用于移動審計和解決企業(yè)級Wi-Fi網(wǎng)絡問題的行業(yè)標準工具，它提供了一套全面的IEEE802.11監(jiān)控和診斷工具，用于搜索無線設備及其文件信息，能夠檢查設備活動情況以及測試和診斷各種無線網(wǎng)絡性能問題。該工具還可以自動探測Wi-Fi安全威脅和無線網(wǎng)絡漏洞，并給出檢測報告。

4 實驗室Wi-Fi網(wǎng)絡安全檢測實例

4.1 兩層實驗樓整體Wi-Fi網(wǎng)絡運行情況的檢測

使用Analyzer對實驗樓中的Wi-Fi網(wǎng)絡信號進行掃描，發(fā)現(xiàn)除存在SSID名為“102”、“105”等實驗室部署的Wi-Fi網(wǎng)絡外，還有SSID名為“fly-pc_AP”、“TP-Link_0CEE60”等無線網(wǎng)絡信號不在實驗室Wi-Fi網(wǎng)絡登記之列，有些Wi-Fi信號來自附近樓宇或無線網(wǎng)絡運營商(如中國移動)的Wi-Fi網(wǎng)絡，不過其信號強度很弱，在實驗樓中無法連接至這些網(wǎng)絡。

通過掃描檢測得到的統(tǒng)計數(shù)據(jù)可以對Wi-Fi網(wǎng)絡的運行環(huán)境和運行狀況有一個大致的了解。例如信道利用率數(shù)據(jù)可以了解當前Wi-Fi網(wǎng)絡使用的信道情況；客戶端流量排行可以了解是哪臺設備正在占用大量帶寬；SSID利用率排行可以了解各個Wi-Fi網(wǎng)絡的使用情況；AP安全性設置可以了解當前實驗樓Wi-Fi網(wǎng)絡的安全防護狀況。這些數(shù)據(jù)為Wi-Fi網(wǎng)絡的安全管理提供了一個重要參考。

依據(jù)速率、幀類型、重傳/分片幀、目的地址和介質類型5個屬性，Analyzer能夠分別給出流量排名前10位的AP。Wi-Fi網(wǎng)絡的802.11b/g/n標準在各幀中使用多個不同速率發(fā)送，大量的低速幀意味著過量的帶寬占用以及低吞吐量。此外，Wi-Fi網(wǎng)絡中幀類型的比例對帶寬的利用率也有較大的影響，管理幀會以低速進行傳輸，比數(shù)據(jù)幀占用更多的帶寬。過多的重傳和分片幀也使Wi-Fi網(wǎng)絡過于擁擠，網(wǎng)絡吞吐率不高。Wi-Fi網(wǎng)絡對多播和廣播幀更為敏感，因為所有的多播和廣播幀都以低速傳輸，致使帶寬利用率低。多播和廣播幀需要更長的時間來完成傳輸過程，給其他等待信道空閑的設備造成了更多的延時。Wi-Fi網(wǎng)絡中不同介質所占據(jù)的傳輸比例反映了該網(wǎng)絡的性能狀況。802.11n網(wǎng)絡會向下兼容802.11b/g網(wǎng)絡，如果支持802.11n的Wi-Fi網(wǎng)絡存在過多的802.11b/g流量，那么該網(wǎng)絡的吞吐量會比較低。

可以根據(jù)以上5個屬性數(shù)據(jù)對Wi-Fi網(wǎng)絡做出針對性的改進。例如，當某個Wi-Fi網(wǎng)絡的管理幀比例過高時，應判斷網(wǎng)絡是否受到其他信號的干擾，并定位和排除干擾信號源。

4.2 針對102實驗室信號干擾的管理

對102實驗室中的Wi-Fi網(wǎng)絡信號進行掃描，可以發(fā)現(xiàn)有19個Wi-Fi網(wǎng)絡可以覆蓋到該實驗室，其中AP數(shù)有18個，信號強于-65 dBm的約占1/5，這些Wi-Fi網(wǎng)絡多集中在1、6、11信道上?！?02”網(wǎng)絡所在的信道6上共有5個AP，因此存在一定的同頻干擾，但該信道上的實時干擾評分僅為1.451，小于閾值5，故干擾在可接受的范圍內(nèi)。

進一步檢測“102”網(wǎng)絡在大量數(shù)據(jù)傳輸時信道6的利用率和吞吐量，可以看到低速幀的百分比過高，高速幀的百分比過低，流量主要集中在36 Mbit/s的低速幀(相對于54 Mbit/s)，使網(wǎng)絡的性能受到了影響?？梢詫嶒炇襑i-Fi使用的信道設為13，以減小信號干擾的影響。

筆者對102實驗室四壁處的Wi-Fi網(wǎng)絡信號進行了測量，實測信號強度為-45～-65 dBm，覆蓋效果較理想。檢測還表明，該Wi-Fi網(wǎng)絡存在多徑效應，它是無線信號的多徑傳輸引起的干涉延時效應。多徑效應越嚴重，無線網(wǎng)絡的傳輸效率也就越差。改進的措施是將該AP固定在實驗室天花板的中心位置。

4.3 針對非法AP和非法客戶端的管理

對于實驗室中用戶私自搭建的非法AP，可以使用Analyzer監(jiān)測其信號強度并定位，然后予以清除。在Analyzer的安全告警中能夠提示實驗室中可能存在偽AP，原因是這些AP始終沒有關聯(lián)客戶端，因此可能會造成客戶端需要更長的時間去發(fā)現(xiàn)合法AP并進行關聯(lián)。然而實驗室中是否真的存在偽AP，并不能依據(jù)AP是否關聯(lián)客戶端來判斷，需要結合被報警AP的詳細信息進行判斷。

對于非法客戶端的管理，可以查看實驗室Wi-Fi網(wǎng)絡所關聯(lián)客戶端的MAC地址，如果接入客戶端的MAC地址不在實驗室移動設備登記之列，就可以判斷該設備為非法客戶端，可在“102”網(wǎng)絡的AP中設置MAC地址過濾，以清除非法客戶端。

4.4 針對網(wǎng)絡攻擊的管理

在掃描檢測中，可以勾選Airmagnet策略管理的告警選項，得到AirWISE智能分析引擎的告警。AirWISE將告警分為4個級別，并能給出有關告警的描述、告警的原因以及推薦的解決辦法。例如經(jīng)檢測發(fā)現(xiàn)信道6上存在RTS(請求發(fā)送)和CTS(允許發(fā)送)的拒絕服務攻擊，從而影響網(wǎng)絡性能。而該攻擊的來源和可能引發(fā)的原因(病毒造成、黑客行為、相關配置的問題)需要借助相關的專業(yè)設備進一步確定。

檢測還顯示出在信道5上存在過多的具有重疊RF頻率的AP，即網(wǎng)絡中可能存在信號干擾攻擊。雖然它們都工作在信道6上，但已經(jīng)對信道5造成了比較大的干擾，故再增加AP時，應避免使用信道5。

4.5 實驗室Wi-Fi網(wǎng)絡性能和安全性設置管理

針對實驗室的Wi-Fi網(wǎng)絡，AirWISE會給出11項告警。例如網(wǎng)絡中低速幀傳輸百分比過高告警，可能是網(wǎng)絡受到較大干擾所致，也可能是網(wǎng)絡中長時間沒有較大的數(shù)據(jù)流量；AP利用率超載告警是由于該網(wǎng)絡目前有過多的客戶端接入，使得帶寬利用率持續(xù)高于正常值，故可考慮在實驗室中再部署一個AP以均衡負載。在安全方面，該網(wǎng)絡使用的是WPA2-PSK的認證機制，其PSK的4次握手信息可能會被截獲，并用于離線字典攻擊，安全性相比基于802.1x+EAP的認證方式要弱，但使用PSK的開銷要小。可以根據(jù)實驗室Wi-Fi網(wǎng)絡的要求來選擇相應的安全設置。此外，為了實驗室Wi-Fi網(wǎng)絡的安全，建議在AP配置中關閉SSID廣播。根據(jù)AirWISE告警信息，可以有針對性地調(diào)整Wi-Fi網(wǎng)絡設備的配置，以提高網(wǎng)絡性能和安全性。

使用Analyzer可以對實驗樓Wi-Fi網(wǎng)絡進行很好的安全管理，然而Analyzer是一款商業(yè)化的工具，價格比較昂貴，普通用戶難以獲得。筆者在實踐中也使用了前面提到的NetStumbler、inSSIDer、Kismet等免費的Wi-Fi網(wǎng)絡狀態(tài)檢測軟件，這些具有類似功能的軟件也可以幫助管理人員了解實驗室Wi-Fi網(wǎng)絡的性能和安全狀況，進而對其中的Wi-Fi網(wǎng)絡進行一定程度的安全管理。

5 結束語

隨著Wi-Fi網(wǎng)絡的應用普及，Wi-Fi網(wǎng)絡面臨的性能和安全問題也日益突出，這也給實驗室Wi-Fi網(wǎng)絡的建設和管理帶來了很大的挑戰(zhàn)。隨著新的安全威脅不斷地出現(xiàn)，Wi-Fi網(wǎng)絡安全管理和安全威脅的博弈還會持續(xù)下去，這就要求管理者不斷轉變安全防護思路，變被動為主動、變靜態(tài)為動態(tài)、變局部為整體，以確保實驗室Wi-Fi網(wǎng)絡的安全運行。

References)

[1] 李曉陽.WiFi技術及其應用與發(fā)展[J].信息技術,2012(2):196-198.

[2] 劉文杰,惠煌,薛強，等.基于802.1X混合認證體系的無線網(wǎng)絡實驗研究[J].實驗技術與管理,2012,29(10):89-92.

[3] 孟祥豐.無線局域網(wǎng)安全設置優(yōu)化研究[J].現(xiàn)代電子技術,2011,34(19):108-110.

[4] 李洪敏,李宇明,張建平，等.基于局域網(wǎng)的主動防御技術應用[J].兵工自動化,2013(12):20-22.

[5] 高峰,高澤華,文柳，等.無線城市：電信級Wi-Fi網(wǎng)絡建設與運營[M].2版：北京:人民郵電出版社,2012.

[6] 李麗,楊建華.WLAN無線網(wǎng)絡覆蓋解決方案研究[J].通信技術,2012,45(1):38-40,43.

[7] Pan Feng. Wireless LAN Security Issues and Solutions[C]//2012 IEEE Symposium on Robotics and Applications(ISRA).Kuala Lumpur:IEEE,2012:921-924.

[8] 盛仲飆.WiFi無線網(wǎng)絡技術及安全性研究[J].電子設計工程,2012,20(16):1-3.

[9] 李宇.基于IEEE802.11上的無線局域網(wǎng)安全簡要分析及改進[D].長春：吉林大學,2012.

[10] 朱燕瓊,徐慧.無線局域網(wǎng)認證機制綜述[J].計算機工程與設計,2012,33(1):96-100.

[11] 吳一塵.WPA/WPA2-PSK的安全性分析與改進[J].計算機與現(xiàn)代化,2013(1):153-157.

[12] 白珅,王軼駿,薛質.WPA/WPA2協(xié)議安全性研究[J].信息安全與通信保密,2012(1):106-108.

[13] 林烈青.無線局域網(wǎng)通信安全機制的研究[J].實驗室研究與探索,2012,31(8):257-260,284.

[14] 任偉.無線網(wǎng)絡安全[M].北京:電子工業(yè)出版社,2011.

Deployment and security management of Wi-Fi network in the laboratory

Chen Bo, Chen Guokai

(School of Computer Science and Technology, Nanjing Normal University, Nanjing 210023, China)

Considering the laboratory environment, the user object and the main purpose, this paper introduces the steps adopted to deploy Wi-Fi network and a practical deployment scenario of Wi-Fi network. To deal with the security issues in the laboratory’s Wi-Fi network, the security devices are integrated in deployment scenarios. Then in the daily Wi-Fi network’s management, the idea of active security is established. Active defense means regular scans and detections for monitoring Wi-Fi network in a laboratory and gives early warning.

Wi-Fi network; deployment of wireless network; security management of network

2014- 07- 22

陳波(1972—)，男，江蘇南通，博士，教授，從事無線網(wǎng)絡安全管理、移動互聯(lián)網(wǎng)安全等研究與應用.

E-mail：njnuchenbo@163.com

TP393

B

1002-4956(2015)2- 0136- 05