新書推薦:
《
人世事,几完缺 —— 啊,晚明
》
售價:HK$
115.6
《
樊树志作品:重写明晚史系列(全6册 崇祯传+江南市镇的早期城市化+明史十二讲+图文中国史+万历传+国史十六讲修订版)
》
售價:HK$
498.0
《
真谛全集(共6册)
》
售價:HK$
1156.4
《
敦煌通史:魏晋北朝卷
》
售價:HK$
162.3
《
唯美手编16:知性优雅的编织
》
售價:HK$
54.9
《
情绪的惊人力量:跟随内心的指引,掌控情绪,做心想事成的自己
》
售價:HK$
50.4
《
棉的全球史(历史·文化经典译丛)
》
售價:HK$
109.8
《
超越百岁看这本就够了
》
售價:HK$
55.8
|
編輯推薦: |
本书的主要内容包括概述、Windows Server常用配置、无线局域网技术、以太网组网技术、路由器及其配置、网络安全配置及应用、广域网及接入网技术、网络工程的设计等八个章节。内容涉及到计算机网络的基本概念、计算机网络的模拟工具、Windows服务器的常用配置、无线局域网的应用技术、以太网的组网技术、路由器及其配置、计算机网络的安全配置、常见广域网的接入技术、计算机网络的工程设计等
|
內容簡介: |
本书是湖北省教育科学地方本科院校计算机网络课程教学内容与方法改革课题组的研究成果,同时也是正在建设的省级计算机网络在线课程的实践指导教材。全书共分为8章,内容涉及计算机网络的基本概念、计算机网络的模拟工具、Windows服务器的常用配置、无线局域网的应用技术、以太网的组网技术、路由器及其配置、计算机网络的安全配置、常见广域网的接入技术、计算机网络的工程设计等。全书以计算机网络的应用及实践为目标,对计算机网络的相关应用技术进行了深入的介绍与分析,同时注重理论与实践相结合,力求培养学生分析问题与解决问题的能力,适用于计算机网络技术的实践指导。 本书既可与其他计算机网络理论教材配套使用,也可以单独作为计算机科学与技术、网络工程、软件工程等专业网络工程相关课程的教材使用。
|
目錄:
|
目录
第1章概述
1.1计算机网络概述
1.1.1计算机网络的历史与定义
1.1.2计算机网络的分类
1.1.3计算网络的功能组成
1.1.4计算机网络中的传输介质
1.1.5双绞线接头的制作
1.2计算机网络基本概念
1.2.1OSI与TCPIP体系结构
1.2.2网络常用协议及应用
1.2.3子网划分的实践
1.3网络工程环境的模拟
1.3.1计算机网络工程的特点
1.3.2VMware Workstation的模拟
1.3.3Cisco Packet Tracer的模拟
1.3.4Dynagen的模拟
1.4网络模拟的综合实践
1.4.1网络拓扑的说明
1.4.2需要准备的工作
1.4.3创建网络文件
1.4.4网络模拟的过程
第2章Windows Server的常用配置
2.1Windows Server 2012简介
2.1.1Windows Server的版本
2.1.2安装Windows Server 2012 R2
2.1.3GUI与Server Core模式
2.2DHCP服务的配置
2.2.1DHCP的工作原理
2.2.2DHCP服务的安装
2.2.3DHCP服务的配置
2.3DNS服务的配置
2.3.1DNS的工作原理
2.3.2DNS服务的安装
2.3.3DNS服务的配置
2.4Web服务的配置
2.4.1Web的工作原理
2.4.2Web服务的安装
2.4.3Web服务的配置
2.5FTP服务的配置
2.5.1FTP的工作原理
2.5.2FTP服务的安装
2.5.3FTP服务的配置
2.6CA服务的配置
2.6.1CA的工作原理
2.6.2CA服务的安装
2.6.3CA服务的配置
2.7SMTP服务的配置
2.7.1SMTP的工作原理
2.7.2SMTP服务的安装
2.7.3SMTP服务的配置
第3章无线局域网技术
3.1无线局域网概述
3.1.1HiperLAN技术
3.1.2蓝牙技术
3.1.3HomeRF技术
3.1.4IEEE 802.11技术
3.2基于IEEE 802.11的无线局域网
3.2.1调制技术
3.2.2CSMACA协议
3.2.3安全技术
3.2.4WiFi联盟与WAPI
3.3常见的无线设备
3.3.1无线网卡
3.3.2无线AP
3.3.3无线路由器
3.4WLAN的配置及应用
3.4.1无线AP的配置
3.4.2无线路由器的配置
第4章以太网组网技术
4.1以太网概述
4.1.1局域网的现状
4.1.2以太网的互连设备
4.1.3以太网交换机的选购
4.2交换机的基本配置
4.2.1交换机的组成
4.2.2交换机IOS的连接
4.2.3交换机的操作模式
4.2.4交换机的基本操作
4.2.5交换机的备份与灾难恢复
4.3VLAN的配置及应用
4.3.1VLAN的作用
4.3.2VLAN的配置
4.3.3VLAN的应用案例
4.4VLAN的相互通信
4.4.1VLAN互访的意义
4.4.2三层交换机的使用
4.4.3三层交换机的VLAN虚端口
4.4.4三层交换机实现VLAN互访的案例
4.5以太网的高级应用
4.5.1生成树协议概述
4.5.2生成树协议的配置
4.5.3应用生成树协议的案例
4.5.4以太通道概述
4.5.5以太通道的配置
4.5.6应用以太通道的案例
第5章路由器及其配置
5.1路由器概述
5.1.1路由器的组成
5.1.2路由器的选购
5.1.3路由器的操作模式
5.2路由器的基本配置与管理
5.2.1路由器的基本配置
5.2.2路由器的基本管理
5.2.3路由器的基本配置案例
5.2.4单臂路由实现VLAN互访的案例
5.3静态路由及配置
5.3.1路由表的组成
5.3.2路由决策的原则
5.3.3配置静态路由的注意事项
5.3.4静态路由配置的案例
5.4动态路由协议RIP
5.4.1RIP概述
5.4.2RIP的基本配置
5.4.3RIP的特殊配置
5.4.4RIPv2的认证配置
5.5动态路由协议OSPF
5.5.1OSPF协议概述
5.5.2OSPF协议的基本配置
5.5.3OSPF的虚链路配置
5.5.4OSPF的认证配置
5.6路由的冗余应用
5.6.1热备份路由器协议
5.6.2路由器应用HSRP的案例
5.6.3三层交换机应用HSRP的案例
5.6.4虚拟路由冗余协议
5.6.5路由器应用VRRP的案例
第6章网络安全配置及应用
6.1交换机端口安全
6.1.1端口安全概述
6.1.2应用端口安全的案例
6.2访问控制列表技术
6.2.1ACL概述
6.2.2标准ACL的配置及应用
6.2.3扩展ACL的配置及应用
6.3网络地址翻译技术
6.3.1NAT技术概述
6.3.2静态NAT的配置及案例
6.3.3动态NAT的配置及案例
6.3.4PAT的配置及案例
6.4虚拟专用网技术
6.4.1VPN概述
6.4.2IPSec VPN的配置步骤
6.4.3基于IPSec的VPN案例
第7章广域网及接入网技术
7.1广域网概述
7.1.1电路交换
7.1.2虚电路分组交换
7.1.3数据报分组交换
7.1.4光交换
7.2X.25协议
7.2.1X.25协议概述
7.2.2X.25协议的配置及案例
7.3帧中继协议
7.3.1帧中继协议概述
7.3.2FR的基本配置及案例
7.3.3FR的子接口配置及案例
7.4ATM异步传输模式
7.4.1ATM概述
7.4.2ATM模拟的配置及案例
7.5PPP
7.5.1PPP概述
7.5.2PPP的配置及案例
7.6PPPoE
7.6.1PPPoE协议概述
7.6.2PPPoE协议的配置及案例
第8章网络工程的设计
8.1网络工程的基本概念
8.1.1信息系统集成与网络工程
8.1.2网络工程实施的步骤
8.2需求分析
8.2.1需求分析的基本工作
8.2.2网络设计目标分析
8.2.3网络性能分析
8.2.4网络设计的约束
8.2.5可行性报告
8.3网络设计
8.3.1逻辑网络设计
8.3.2物理网络设计
8.4网络管理与维护
8.4.1网络的管理
8.4.2网络的维护
参考文献
|
內容試閱:
|
前言
近年来,从国内重点高校到省属普通本科高校,再到高等职业技术院校都开设了计算机科学与技术相关专业。其中,计算机网络课程是计算机科学与技术专业最重要的核心课程,很多本科高校都把它作为学位课程来开设。该课程的任务是使学生充分掌握和理解计算机网络的基本概念、基本理论、网络体系结构和网络协议、网络应用技术和应用方法等诸多方面的知识,为将来从事计算机网络的应用打下坚实的基础。该课程不仅要求学生掌握较扎实的理论基础,还要求学生具备很强的实践操作能力,尤其是对应用型本科院校而言,该课程的最终目的要落实到应用上,要求学生能综合运用计算机网络的理论知识,掌握网络的组建、配置和维护等技能。因此在传统的计算机网络理论教学的基础之上,迫切需要与之配套的实践指导教材,满足学生对计算机网络技术的应用需求,尤其是对于地方本科高校的应用型专业而言,合适的网络实践指导教材更为重要,这也是我们编写这本教材的出发点。实践教材对于培养网络应用型人才具有不可替代的作用,为了推动计算机网络的实践教学与研究,本教材的编写结合了湖北省教育科学地方本科院校计算机网络课程教学内容与方法改革课题组的研究成果,及正在建设的省级计算机网络在线课程的需要,对计算机网络技术的主要应用及实践技术进行了深入的研究与分析。为了更好地反映地方本科高校对计算机网络应用及实践的需要,本教材的编写人员汇集了来自湖北工程学院、湖北大学、福建师范大学等高校多年从事实践教学工作的教师,旨在向读者提供一本既能体现计算机网络应用型人才培养目标,又能反映当今计算机网络的主流技术与工程实践的系统性实践教材。本教材的主要内容包括概述、Windows Server常用配置、无线局域网技术、以太网组网技术、路由器及其配置、网络安全配置及应用、广域网及接入网技术、网络工程的设计8章。第1章概述主要介绍了计算机网络的常识及基本概念,为后续各章做了简单的理论铺垫。其中重点介绍了网络实践过程中的模拟环节,通过对VMware、Cisco Packet Tracer、Dynagen三个软件的应用说明了网络模拟的常见技术及方法。第2章Windows Server常用配置以Windows Server 2012 R2版本为目标,介绍了在网络工程应用中常见的几种服务配置,例如DHCP、DNS、Web、FTP、CA、SMTP等服务,这些服务在计算机网络的资源子网中最为常见。掌握并熟悉这些服务的配置,对于理解资源子网的网络应用非常重要。第3章无线局域网技术主要介绍了以IEEE 802.11为标准基础的相关技术,并以WLAN的常见配置及应用为例,详细说明了无线局域网的应用技术与配置方法。第4章以太网组网技术介绍的以太网是当前企事业网络中最基本的网络,本章介绍了其基本应用,包括交换机的基本配置、VLAN的配置及应用、VLAN的相互通信等,同时也对以太网的高级应用,例如生成树、以太通道等做了详细的介绍与分析。掌握以太网的组网技术是计算机网络应用中最基本的一项实践能力。第5章路由器及其配置的内容以路由器的路由配置为主,主要介绍了路由器的基本配置与管理过程、静态路由及其配置、动态路由RIP与OSPF的配置、路由的冗余应用等。掌握并理解路由器及其配置过程,是计算机网络在工程应用方面的核心目标。第6章网络安全配置及应用以当前计算机网络所面临的安全问题为目标,详细介绍并分析了如何从端口安全、ACL、NAT、VPN等方面保证计算机网络的安全。本章介绍的安全技术是目前企事业网络中常见的安全技术,是计算机网络在安全应用方面的重要技术。第7章广域网及接入网技术简要介绍了广域网及有代表性的几种接入网技术,例如FR、X.25、ATM、PPP、PPPoE等。这些广域网协议及其技术在互联网的发展过程中都发挥了不同的作用,了解这些技术及协议可以让读者更深入地理解当前的互联网。第8章网络工程的设计使用系统集成的方法,从工程的角度详细地说明了计算机网络在工程设计环节的应用环节。本章从需求分析、网络设计、网络管理与维护三个环节详细地介绍了进行网络工程设计时所应考虑的问题及一般步骤。掌握网络工程的设计能力是计算机网络应用的终极目标。以上8章的基本思路是: 以计算机网络的各项常用技术为基础,并通过翔实的分析及实践案例,突出计算机网络技术的设计、配置及应用方法,着重培养学生分析问题和解决问题的能力,侧重于介绍计算机网络在工程应用方面的技术及经验。本书既可与其他计算机网络理论教材配套使用,也可以单独作为计算机科学与技术、网络工程、软件工程等专业网络工程相关课程的教材使用。本教材由湖北工程学院计算机与信息科学学院的陈晓文、熊曾刚、张学敏、徐方、郭海如,湖北大学计算机与信息工程学院的张,福建师范大学软件学院的肖如良等教师组成的团队集体编写完成。陈晓文、熊曾刚任主编,张、肖如良、张学敏、徐方、郭海如任副主编,陈晓文编写了第1章的网络工程环境的模拟与综合实践部分、第2章、第4章、第5章,熊曾刚编写了第1章的计算机网络概述及基本概念部分、第3章,张编写了第6章,肖如良编写了第7章,张学敏编写了第8章,徐方及郭海如负责全书配置案例的校验工作。熊曾刚负责全书的审定工作。需要说明的是,本书编写工作得到以下项目的资助和支持: 国家自然科学基金项目大数据环境下基于视觉主题模型的视觉数据分类方法研究No. 61370092,湖北省高等学校优秀中青年科技创新团队计划项目云计算环境下智能信息处理技术研究No. T201410,湖北省教育科学规划课题No.2009B105以及湖北工程学院自编教材立项课题No.[2014]66资助。由于编者水平有限,且本书配置案例众多,虽然作者在定稿前已经对全部内容进行了仔细校验,但书中难免仍有一些疏漏或不足之处,恳请专家及读者指正。作者2017年5月
第3章无线局域网技术
无线局域网Wireless LAN,WLAN技术是计算机网络与无线通信技术相结合的产物,WLAN以自由空间中的无线电波取代了有线电缆中的电磁波或光缆中的光波,可以不受有线电缆或光缆束缚、自由移动,因此可以解决因有线电缆或光缆布线困难所带来的布线问题,具有组网灵活、扩容方便等优点。无线局域网非常适合移动办公用户的需要,具有广阔的应用市场,目前无论是在家庭,还是在工作单位,无线局域网的使用已经越来越普及。因此在现在的网络工程实践中,应用WLAN技术已经成为一项基本的工程设计任务,本章将重点讲解WLAN中的IEEE 802.11标准及其应用。3.1无线局域网概述无线局域网中的通信标准有很多,主要有HiperLAN、蓝牙技术、HomeRF、IEEE 802.11等。从现在的应用市场来说,IEEE 802.11标准在性能、价格等各方面均已超过了蓝牙、Home RF等技术标准,在以太网的无线接入应用中成为使用最为广泛的标准。3.1.1HiperLAN技术HiperLAN是欧盟在1992年提出的一个WLAN标准。在IEEE制定802.11系列WLAN标准的同时,欧洲通信标准学会ETSI则在大力推广HiperLAN1/HiperLAN2标准。HiperLAN1发布于1996年,它工作于5GHz频带,数据速率最高可达25Mbs。整体上看,HiperLAN1与IEEE802.11b是相当的。HiperLAN2是HiperLANl的第二代版本,于2000年年底通过ETSI批准成为标准。它对应于IEEE的802.11a,工作在5GHz频带,支持最高数据速率为54Mbs。HiperLAN2标准也是目前较完善的WLAN协议,支持HiperLAN2标准的厂商主要集中在欧洲地区。3.1.2蓝牙技术蓝牙Bluetooth技术是由爱立信、诺基亚、Intel、IBM和东芝5家公司于1998年5月共同提出开发的。蓝牙技术的本质是设备间的无线连接,主要用于通信与信息设备。由于使用低功率的无线电传输技术,让不同产品例如打印机、PDA、PC、传真机、键盘、Notebook于短距离进行数据传输及沟通,因此蓝牙不必使用任何有线的传输线路例如电线或缆线,就能连接各种数字设备,让所谓的移动通信成为事实。蓝牙技术已经成为移动通信领域的基本技术,也是移动电话、个人计算机、笔记本型计算机和其他电器设备的标准功能。蓝牙技术与红外光无线传输技术IrDA相似,皆为短距离的无线传输。但是红外光无线传输装置在进行数据传输时需将两传输装置对准,而蓝牙为点传输技术,在进行传输时,数据从发射点以球状向四面八方进行传输,故在应用性及方便性上,蓝牙技术优于红外光无线传输技术。3.1.3HomeRF技术HomeRF技术是专为家庭用户设计的无线传输技术,由微软、英特尔、惠普、摩托罗拉和康柏等公司提出,其主要目标是为家庭用户建立具有互操作性的话音和数据通信网,工作频段为2.4GHz。HomeRF技术基于共享无线接入协议Shared Wireless Access Protocol,SWAP,SWAP使用TDMA CSMACA方式,适合语音和数据业务。在进行语音通信时,它采用数字增强无绳电话DECT标准,DECT使用TDMA时分多址技术,适合于传送交互式语音和其他时间敏感性业务。在进行数据通信时它采用IEEE 802.11的CSMACA协议,CSMACA适合于传送高速分组数据。3.1.4IEEE 802.11技术IEEE 802.11技术标准是IEEE制定的无线局域网标准,主要对物理层与媒体访问控制子层MAC子层进行了相关规定,物理层定义了工作在2.4GHz的ISM频段上的两种扩频作调制方式和一种红外线传输的方式,总数据传输速率设计为2Mbs。两个设备之间可以自行构建临时网络,也可以在基站Base Station,BS或者接入点Access Point,AP的协调下相互通信。为了在不同的通信环境下取得良好的通信质量,采用CSMACACarrier Sense Multiple AccessCollision Avoidance协议。目前使用的IEEE 802.11标准主要有4种,分别是802.11a、802.11b、802.11g、802.11n。1. IEEE 802.11aIEEE 802.11a是对IEEE 802.11原始标准的一个修订标准,使用与原始标准相同的核心协议,工作频率为5GHz,采用了52个正交频分多路复用载波技术,最大原始数据传输率为54Mbs。随着传输距离的增加或背景噪声的增大,数据传输率会不断递减。需要注意的是此标准与其他标准如802.11bgn不兼容。2. IEEE 802.11bIEEE 802.11b工作于2.4GHz频率,支持最高为11Mbs的传输速率,在低速率2Mbs或1Mbs下与IEEE 802.11标准兼容。此标准最大的贡献是增加了两个新的速率: 5.5Mbs与11Mbs,为了更好地支持有噪声的环境,802.11b使用了动态速率调节技术,允许用户在不同的环境中自动使用不同的连接速率。在理想环境下,用户可以11Mbs速率传输,而当用户环境恶化后,802.11b可以将速率自动按序降低到5.5Mbs、2Mbs、1Mbs; 而当用户环境改善后,其速率可以反向增加到11Mbs。这些变化及调节均在物理层自动实现,对用户及上层协议没有任何影响。3. IEEE 802.11gIEEE 802.11g标准工作于2.4GHz频率,并具有两个明显特征: 高速率、兼容802.11b。IEEE 802.11g使用了与802.11a相同的正交频分多路复用载波技术,因此可以实现最高为54Mbs的数据传输速率。在同样54Mbs的数据传输速率下,802.11g可以提供大约两倍于802.11a的距离覆盖; 802.11g同时保留了802.11b的编码技术,可以实现与IEEE 802.11b的兼容。4. IEEE 802.11nIEEE 802.11n标准是802系列标准中最新的标准,此标准具有向下兼容的能力,能够与802.11bg混合通信。802.11n的数据传输速率可以达到100Mbs以上,最高可以达到600Mbs,是802.11g标准的10倍左右。此标准使用智能天线技术,可以通过多组独立天线组成天线阵列系统,动态调整无线电波的方向,保证用户可以接收到稳定的无线信号,其覆盖范围可以扩大到几平方千米。3.2基于IEEE 802.11的无线局域网在如今的网络工程应用中,基于以太网进行无线接入的需求越来越多,使用IEEE 802.11标准体系组建WLAN的应用也越来越普及,因此了解基于IEEE 802.11标准的WLAN对于网络工程应用的设计非常重要。本节将从无线局域网使用的调制技术、CSMACA协议、安全协议等方面介绍IEEE 802.11。3.2.1调制技术根据无线电标准的定义,调制是改变载波的特性使其与承载信息的信号相一致的过程或过程的结果,调制的目的是将信号覆盖到载波上。调制的基本方法主要有调幅、调频、调相,大多数通信系统都部分或组合地使用这三种基本调制技术。这些通信技术在极端情况还会使用幅移键控、频移键控、相移键控等技术。在IEEE 802.11的无线标准中同样使用了多种不同的调制技术,根据数据率的不同,这些具体标准使用了不同的调制技术。1. 802.11a802.11a使用了三种必需的和一种可选的调制技术。1 二进制相移键控BPSK: 对于一位的二进制数据,用一个相位来代表二进制的1,用另一个相位代表二进制的0。2 正交相移键控QPSK: 载波有4种相位的变化,因而它可以表示两个二进制位的数据。通常用于在2Mbs的速率下发送数据。3 16位的正交调幅16QAM: 每Hz编码4位,数据率可达24Mbs。4 64位的正交调幅64QAM: 此调制技术为可选技术,每个周期编码8位或10位,相当于每个300kHz的信道编码最多1.125Mbs的数据,数据率可达54Mbs。2. 802.11b802.11b使用了三种不同类型的调制技术。1 二进制相移键控: 通常用于在1Mbs速率下发送数据。2 正交相移键控: 通常用于在2Mbs的速率下发送数据。3 补码键控CCK: 使用一个称为补码的复杂函数来发送更多的数据。CCK比类似的调制技术有一个优势,那就是它可以避免多路干扰。CCK用于在5.5Mbs和11Mbs的速率下发送数据。3. 802.11g802.11g使用与802.11a相同的调制技术,同时也支持CCK调制技术。这就是802.11g支持54Mbs的客户端并后向兼容802.11b客户端的原因。4. 802.11n802.11n使用了OFDMOrthogonal Frequency Division Multiplexing,正交频分复用技术技术,此技术是MCMMultiCarrier Modulation,多载波调制技术的一种,其核心思想是将信道分成许多进行窄带调制和传输正交子信道,并使每个子信道上的信号带宽小于信道的相关带宽,用以减少各个载波之间的相互干扰,同时提高频谱的利用率的技术。OFDM还通过使用不同数量的子信道来实现上行和下行的非对称性传输。802.11n在使用OFDM技术的同时,还融入了MIMO多入多出天线技术,从而使802.11n的有效传输速率有质的提升,其数据传输速率最高可以达到600Mbs。3.2.2CSMACA协议IEEE 802.11的各类标准一般都工作在2.4GHz或5GHz频段中,这些频率都属于ISM频段,是未加管制的频段。这意味着在无线电信号覆盖的空间中,不同站点之间同时发送数据可能会引起信号叠加即冲突,因此在无线局域网中必须采取措施来解决信号冲突的问题,目前在IEEE 802.11标准中使用的解决技术被称为CSMACACarrier Sense Multiple Access with Collision Avoidance,带冲突避免的载波监听多路访问,此协议与以太网中的CSMACD协议类似,都是用于共享信道的通信协议,但又有明显的不同: CSMACD协议用于在共享以太网中检测冲突,而CSMACA则用于无线信道中避免冲突。CSMACA使用的载波监听机制与共享以太网使用的CSMACD协议类似,站点在发送数据前监听信道,若信道忙则需要等待一个随机时间后继续监听; 但与CSMACD协议不同的是当CSMACA协议监听到信道空闲后,并不是立即开始数据帧的发送,而是等待一个随机的时间后再发送,这样做的目的是使发送的无线电信号发生碰撞的概率减至最小,这种机制也被称为CSMACA的随机退避机制。虽然使用了随机退避机制,但冲突仍然可能出现,因此CSMACA为了保证协议工作的稳定性,专门设置了ACK应答帧用来指示是否发生了冲突,同时还使用虚拟载波检测机制: 发送方在发送的数据帧中加入持续期字段,该字段存放有一个称为网络分配矢量NAV的持续时间。持续期字段用于通知其他站点在此时间段内不必监听信道,其他站点通过NAV设置计时器并进行倒计时,计时器不为零表示信道有载波不空闲即使此时信道空闲。3.2.3安全技术WLAN最基本的特点是在数据通信过程中使用无线电信号传输数据,而在无线电信号覆盖的空间中,任何站点均可对通信的数据进行窃听或伪造。因此如何在无线局域网中提高用户的通信安全,是WLAN必须考虑的重要问题。不断改进并提高WLAN的安全,是WLAN在安全领域内的重要内容,本节重点介绍当前WLAN中常见的几种安全技术。1. 配置SSIDSSIDService Set Identifier,服务集标识是相邻无线网络区分的标志,这个标志通常使用字符串表示,是当前无线局域网中唯一的字符串,通常SSID被配置在无线接入点AP或无线路由器WRouter中。使用SSID可以将一个无线空间分为几个需要不同身份验证的WLAN,每一个WLAN都可以使用独立的身份验证,只有通过身份验证的用户才可以进入相应的WLAN,从而可以防止未被授权的用户进入网络。任何用户在连接WLAN时,都必须提供这个唯一的SSID字符串,但是由于无线电信号广播的特性,此SSID字符串在无线空间中是很容易被窃听到的,因此配置SSID只是WLAN中最基本、同时也是最不安全的技术手段。2. MAC地址过滤MAC地址过滤技术可以在AP或WRouter中配置一个允许用户接入的用户MAC地址清单,接入用户的MAC地址若不在当前MAC地址清单中,则AP或WRouter将拒绝其接入请求。这种安全技术一般只适用于用户数量很少的轻量级WLAN例如家庭使用的WLAN,在用户数较多或安全要求较高的WLAN中,一般不建议使用MAC地址过滤技术。其原因在于用户的MAC地址在WLAN中属于明文传输形式,攻击者只要监听无线信道便可获得相应用户的MAC地址,并可以轻易将自己无线网卡的MAC地址改为此MAC地址,从而可以伪装成另一个用户进入WLAN。这种MAC地址控制属于硬件认证,对于网管而言,一旦用户数达到一定规模,通过MAC地址进行过滤的工作量将非常巨大且无效率。真正具有应用价值的安全认证还是需要使用更高层次的用户认证。3. WEP协议WEPWired Equivalent Privacy,有线等效保密协议是对两台设备间无线传输的数据进行加密的协议,用来防止非法用户窃听或入侵WLAN,可以提供访问控制、数据加密和安全性检验等功能,是IEEE 802.11中的第一个安全协议,同时也是一种可选的链路层安全机制,其加密技术来源于RSA数据安全公司的RC4对称加密技术,可以满足用户更高层次的安全需求。RC4用在IEEE 802.11的数据链路层中,只有当用户的加密密钥与AP的密钥相同时,用户才能获取网络资源。WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当IEEE 802.11启用WEP功能时,每个合法站点使用这个认证口令,将要发送的明文数据进行加密形成密文数据,并通过无线电传输; 其他接收站点同样使用此认证口令对接收的密文数据进行解密,从而可以获得明文数据。由于WEP加密技术自身的技术缺陷,目前这种安全技术已经很少被使用,也不建议在IEEE 802.11的WLAN中使用WEP加密技术。4. WPA协议WPAWiFi Protected Access,WiFi保护性接入协议是继承了WEP基本原理、同时又解决了WEP自身缺陷的一种全新加密技术。WPA的基本原理是根据通用密钥,配合站点的MAC地址和分组信息的序列号,为每个分组生成不同的加密密钥。然后使用与WEP一样的方式,将此加密密钥用于RC4协议进行加密处理。通过这种技术,所有站点发送的分组都将使用不同的加密密钥进行加密,可以防止数据被中途篡改,并实现认证功能。目前有WPA和WPA2两个标准,WPA2是WPA的升级版,与WPA的主要差别在于其使用了更安全的AES加密技术。因此建议在IEEE 802.11的WLAN中使用最新的WPA2协议。3.2.4WiFi联盟与WAPIIEEE 802.11的相关协议及技术标准还有很多,本章只是有针对性地进行了一些简单介绍与说明。在深入学习与了解WLAN的标准时,将不得不了解与WLAN标准有着非常密切关系的WiFi联盟及WAPI。WiFi联盟WiFi Alliance,WFA是一个商业联盟,拥有WiFi的商标,负责WiFi认证及商标授权的工作。该联盟的成员有来自世界各地的公司及厂家,其成员的产品通过认证后,有权标明这些产品的WiFi标志。认证过程简单来说是测试产品是否符合IEEE 802.11标准的相关规定,以及WPA和WPA2等安全标准的实现。因此WiFi认证是建立在IEEE 802.11标准上的认证技术,目前在WLAN领域内的影响力非常大,在网络工程中使用的无线设备也基本都来自WiFi联盟即通过WiFi认证的产品。WAPIWLAN Authentication and Privacy Infrastructure,无线鉴别和保密基础结构是一个关于无线局域网的中华人民共和国国家标准GB 15629.112003。虽然它被设计为基于WiFi运行,但其与IEEE 802.11的WLAN标准所用安全协议存在兼容性问题。WAPI起初是为了解决WEP协议中的安全漏洞而设计的,主要由WAIWLAN Authentication Infrastructure,无线局域网鉴别基础结构和WPIWLAN Privacy Infrastructure,无线局域网保密基础结构两部分组成。WAI定义了WLAN中身份鉴别和密钥管理的安全方案,WPI定义了WLAN中数据传输保护的安全方案,包括数据加密、鉴别和重放保护等。WAPI标准中使用了SM4分组密码算法、ECDSA椭圆曲线数字签名算法以及ECDH密钥交换算法,其中,SM4分组密码算法由国家商用密码管理办公室发布,根据不同的情况,也可以使用AES来替代SM4算法。2006年3月,ISO通过802.11i加密标准,并驳回WAPI提案; 2009年6月,中国重新提交WAPI标准申请,但在2011年11月21日,将此申请撤回,ISO随即将WAPI项目取消。3.3常见的无线设备无线设备是组建WLAN时必须使用的设备,目前无线产品的种类及功能众多,为了保持网络最大的兼容性及后期网络管理的统一性,在选择无线设备产品时,应当尽量选用支持以太网技术的同一厂商、同一系列或同一标准的产品。本节将介绍WLAN中最常见的三类无线设备: 无线网卡、无线AP、无线路由器,这些无线设备在网络工程实践中经常使用。3.3.1无线网卡无线网卡是无线用户接入WLAN的必备设备,现在绝大多数移动设备例如笔记本、智能手机等都通过集成方式内置了无线网卡,没有集成无线网卡的设备例如台式计算机可以通过安装无线网卡接入WLAN。这些可安装的无线网卡根据接口类型的不同,可以将无线网卡分为以下三种。USB无线网卡: 通过USB接口连接设备,适用于没有内置无线网卡的笔记本或普通台式计算机,具有支持热插拔、兼容性强的特点,是目前网络工程应用中最为简便的无线网卡解决方案。PCI无线网卡: 适用于普通的台式计算机,通过主板的PCI插槽连接PCI无线网卡。在网络工程应用中的缺点是需要打开计算机的机箱进行操作,不仅工作量大,而且对于某些在保修期内的计算机而言,机箱是不能打开的。PCMCIA无线网卡: 仅用于早期没有集成无线网卡的笔记本,同样支持热插拔功能,但目前在网络工程应用中几乎看不到这类无线网卡了。如图3.1所示的是TPLINK公司的三种无线网卡,从左到右分别是USB、PCI、PCMCIA无线网卡。其他厂商的无线网卡形状与此基本类似。
图3.1三种不同的无线网卡
3.3.2无线AP无线APAccess Point是无线网络与有线网络之间的节点设备,无线客户端通过无线网卡接入无线AP设备后,就可以通过WLAN相互访问,还可以通过无线AP与有线以太网相互通信。无线AP根据管理方式的不同,可以分为胖AP与瘦AP两种。胖AP相当于功能较强的无线路由器,除了可以提供无线接入功能外,一般还支持DHCP、DNS、VPN、防火墙等功能。胖AP的应用场合仅限于小型无线网络例如家庭无线网络,对于大规模无线部署,如大型企业网无线应用、行业无线应用以及运营级无线网络,则不适合使用胖AP。
图3.2胖瘦一体无线AP型号TLAP450IPoE
瘦AP属于轻型无线AP,必须借助无线网络控制器进行配置和管理,瘦AP不能独立工作。通过无线网络控制器加瘦AP的组网模式,可以将密集型的无线网络例如大型企业网无线应用及安全控制功能从无线AP转移到集中的无线网络控制器中,进行统一的配置和管理; 而瘦AP只负责无线数据的发送与接收,基本可以做到零配置。无论是胖AP还是瘦AP,其工作模式都是共享背板总线带宽,因此当接入无线AP的用户数量增加到一定数量时将严重影响无线AP的数据传输速率。一般建议无线AP实际接入的无线用户数量控制在30个左右。有些无线AP的生产厂家为了方便客户的使用,在生产无线AP时会将胖、瘦两种AP融合在一起,由客户在使用时自己决定无线AP的管理方式; 有些无线AP也会使用一些附加的功能,如以太网供电PoE功能,这样客户就可以简化掉无线AP在网络工程施工中的电源布线工程。例如,TPLINK的无线AP产品TLAP450IPoE就采用了这种胖瘦一体、PoE供电的设计模式,其产品形状如图3.2所示。3.3.3无线路由器无线路由器属于扩展型的无线AP,一般融合了宽带路由器与无线AP两者的功能。其中的宽带功能用于接入互联网,为WLAN中的用户提供上网功能; 而无线AP用于将无线客户端接入到有线的以太网中。无线路由器在提供无线接入功能的同时,也会提供若干个有线以太网接口一般有4个以太网接口用于连接有线网络中的计算机。此设备是小型无线局域网应用例如家庭无线网络中最常见的无线设备,这种设备既可实现无线客户端的接入,也可以实现有线客户端的接入,同时还能为这些客户
图3.3无线路由器的一般形状
端提供接入互联网的服务。如图3.3所示图片为无线路由器常见的形状,无线路由器一般使用独立电源适配器供电,有显式的天线用于无线电信号的发送与接收,有的设备可能配备两根或4根天线以增加无线电信号的覆盖范围; 图3.3中的第一个RJ45端口用于连接小区宽带进来的以太网线,实现互联网的接入功能; 后面的4个RJ45端口用于连接有线的计算机网卡,这4个端口连接的计算机构成一个小型的LAN。3.4WLAN的配置及应用WLAN中使用的设备型号虽说众多,但不同产品的配置方法大同小异。为了实验的方便,本节将使用思科的Packet Tracer软件模拟WLAN中常见的无线AP与无线路由器的配置。3.4.1无线AP的配置为了说明无线AP的配置及其应用模式,本节使用思科的Packet Tracer软件设计了如图3.4所示的网络拓扑结构。图中的路由器端口f00连接以太网交换机,用于模拟当前以太网的网关10.1.1.25424,路由器同时为当前LAN提供DHCP服务; 交换机分别连接一台计算机PC1与无线AP的以太网端口; 计算机PC2用于模拟使用无线网卡的客户端; PC1与PC2均使用路由器的DHCP服务。
图3.4所描述的拓扑图在实际网络工程应用中很常见,本节就以此拓扑为例详细说明无线AP的具体配置与应用,其操作的基本过程如下所示。1. 首次连接无线AP在模拟软件Packet Tracer中,计算机默认都是使用以太网网卡进行网络的连接。为了连接无线AP,必须将PC2中的以太网网卡移除,并添加一个无线网卡。其操作的方法可以参考1.3节如下。单击图3.4所示界面中的PC2图标,打开PC2的配置窗口; 选择其中的Physical选项卡,在Physical Device View视图区中单击计算机的电源开关,关闭计算机的电源后,将计算机下方的以太网网卡移除; 选择Modules列表中的第一个选项WMP300N选项此选项表示Linksys的无线网卡型号,使用鼠标将配置窗口右下角的无线网卡图示拖到Physical Device View视图区中计算机的网卡位置; 单击计算机的电源开关,打开计算机的电源。
图3.4无线AP的配置及应用
此时仔细观察Packet Tracer模拟软件的工作区,将会发现图3.4中的PC2会自动与无线AP设备建立一条无线连接的示意线。图3.4中的PC2之所以能够自动连接无线AP,是因为此时的无线AP没有进行任何配置,无线AP上也没有使用任何安全措施,任何无线客户端均可以自动连接到此无线AP上。在实际的无线AP产品中,一般也都会使用默认无安全措施的参数,以便让无线客户端可以很方便地连接到无线AP上进行首次配置。即使部分厂商为了安全,使用了Web登录的安全措施,但登录的用户名与密码一般也会使用简单的字符串,例如使用admin作为用户名及密码。因此在实际的网络工程应用中,对于新的无线AP设备,计算机一般通过无线网卡都可以很方便地连接到无线AP上; 如果不能成功连接到无线AP设备,可以长按无线AP设备上专门设置的Reset按钮5s以上,则无线AP会自动重新初始化所有参数回到默认值。等待无线AP重新启动成功后,无线客户端就可以自动连接到使用默认参数的无线AP设备上。2. 配置无线AP的安全参数当计算机PC2连接到无线AP后,紧跟着必须马上实施的一项配置是为无线AP配置安全技术参数及网络参数。在模拟软件Packet Tracer中,单击图3.4中的无线AP图标,打开无线AP的配置窗口,打开其中的Config选项卡,在左边的列表中选择Interface中的Port1选项,在配置窗口右边配置无线AP相关的参数,其配置界面如图3.5所示。
图3.5无线AP的参数
在图3.5中,分别配置SSID为jkx、Authentication方式选择WPA2PSK选项、密钥短语为jkx12345。完成以上参数后,仔细观察图3.4中的PC2,会发现PC2与无线AP之间的无线连接已经断开。原因是此时的无线AP已经被配置了安全参数,网络中的无线客户端必须使用这些安全参数才能接入到此无线AP,没有这些安全参数则不能接入到无线AP。需要说明的是在实际的网络工程应用中,如图3.5所示的界面多数通过无线AP设备上的Web服务提供。当无线客户端通过默认没有安全参数的方式首次连接无线AP时,可以使用一个默认的IP地址参数一般使用192.168.1.*24形式,具体参数需要查阅产品说明书连接到无线AP。然后客户端用户就可以使用Web浏览器打开无线AP的Web页面,Web浏览器浏览的地址一般为192.168.1.1代表无线AP的IP地址需要查阅产品说明书,这些页面的内容虽说各不相同,但基本都具有如图3.5所示的类似参数。
3. 重新配置无线客户端在模拟软件Packet Tracer中,单击图3.4中的PC2图标,打开PC2的配置窗口; 打开Desktop选项卡; 单击选项卡中的PC Wireless图标打开无线AP的配置界面,如图3.6所示。
图3.6无线客户端的配置界面
在图3.6中,打开Connect选项卡,PC2将自动识别出当前的无线AP名称,即SSID为jkx的无线AP。单击下方的Connect按钮,打开如图3.7所示的界面。
图3.7设置WPA2的密钥短语
在图3.7中使用默认的安全协议WPA2Personal,并输入无线AP中已经配置的密钥jkx12345,然后单击Connect按钮进行连接。如果图3.7中配置的参数与无线AP中配置的安全参数相同,则会发现图3.4中PC2与无线AP之间的无线连接再次出现。这表明PC2作为无线客户端已经成功连接到了无线AP。在图3.6所示界面中配置无线客户端参数时,也可以使用Profile选项卡配置客户端,其操作的过程如下。单击对话框下方的Edit链接打开Available Wireless Networks对话框; 继续单击对话框下方的Advanced Setup链接,打开Wireless Mode对话框; 此时有两个选项: Infrastructure Mode与Adhoc Mode,其中的Infrastructure Mode用于连接无线网络,并要求存在一个无线AP,加入WLAN的无线AP和所有的无线客户端都必须配置相同的SSID; 而Adhoc Mode是一种专为无线设备设计,让它们可以直接互相进行通信的模式,运行于Adhoc模式下,允许所有无线设备在彼此的射程之内发现对方并进行点对点的通信,而无须通过中心访问点。若要建立一个Adhoc无线网络,则每个无线设备都必须配置为adhoc模式而不是infrastructure模式,并且使用相同的SSID和channel号。这里使用默认的Infrastructure Mode,并在下方的文本框中输入无线AP的SSID: jkx,然后连续单击Next链接,在配置WPA2密钥短语的文本框中输入无线AP配置的密钥: jkx12345,单击Next链接直至完成操作。3.4.2无线路由器的配置无线路由器设备在企事业单位的部门科室应用较多,它不仅可以提供无线客户端接入有线以太网的服务,还可以用于连接少量使用有线网卡的PC,如图3.8所示的网络拓扑图是此类应用常见的拓扑结构。
图3.8无线路由器的应用案例
在图3.8中: 左边的路由器充当部门网关设备,与无线路由器的WAN端口连接,用于将无线网络接入到单位的现有网络中,其网关地址为211.85.5.25424; 无线路由器是Cisco Packet Tracer模拟软件模拟的设备,其型号为WRT300N; 计算机PC1连接无线路由器的LAN端口01,模拟使用有线网卡的计算机通过无线路由器接入网络的情形,而计算机PC2安装无线网卡连接到无线路由器,模拟无线客户端通过无线路由器接入网络的情形。本节以图3.8所示的拓扑结构为例,详细说明无线路由器在应用时会使用的常规配置,其操作过程大致如下。1. 首次连接无线路由器无线路由器设备与前面介绍的无线AP一样,在没有配置安全参数前,任何无线客户端都可以直接接入无线路由器,如图3.8所示,PC2就已经自动连接到了无线路由器。对于多数的无线路由器设备而言,一般在提供无线接入的功能之外,还会提供4个以太网RJ45端口有的无线路由器产品可能还会提供更多的端口,用于连接使用有线网卡的普通计算机,这些端口连接的计算机与无线接入的计算机共同构成了此无线路由器本地的小型局域网。因此在首次连接无线路由器时,除了使用无线客户端进行无线接入配置外,还可以通过网线连接普通计算机到无线路由器上进行配置,且这种方式相对更简单。无论是通过有线的PC1、还是无线的PC2,首次连接无线路由器时,只需要将计算机的IP地址参数设置为自动获得即可也称为DHCP方式。在PT模拟软件中,单击PC1图标,打开PC1的配置窗口,选择Desktop选项卡,单击其中的IP Configuration图标,打开IP Configuration对话框,如图3.9所示。在图3.9所示界面中,单击DHCP选项,此时PC将通过无线路由器默认提供的DHCP服务获得一个动态IP地址参数: 192.168.0.10324,如图3.9所示。PC获得的IP地址一般均为RFC 1918文档中定义的私有IP地址,不同的无线路由器产品分配的私有IP地址可能会有些不同,有的产品使用192.168.0.024,也有的产品使用192.168.1.024地址。
图3.9配置PC的DHCP方式
在PC2同样需要进行上述操作,以便获得一个能够连接无线路由器Web页面的IP地址参数。2. 配置无线路由器的相关参数当PC通过上一步得到相应的IP地址参数后,计算机就可以通过自己的Web浏览器打开无线路由器提供的Web页面。打开方法是在Desktop选项卡中单击Web Browser图标,在弹出的Web浏览器地址栏中输入代表无线路由器的IP地址,此IP地址一般为计算机通过DHCP获得的IP地址参数中的网关地址例如本例的网关为192.168.0.1。打开Web页面后,无线路由器会要求输入用户名与密码,默认的用户名与密码都是admin,如果输入后不正确,则需要查阅相应的产品说明书。此时在计算机上打开的Web页面一般会与图3.10所示的界面基本类似。
图3.10配置无线路由器的Web页面
1 配置外网端口的IP地址参数图3.10中所示的页面是默认的Setup选项卡界面,此页面用于设置无线路由器连接外网的端口IP参数。由于网络拓扑结构中,无线路由器连接的网关为211.85.5.25424如图3.8所示,因此在图3.10中需要选择Internet Connection Type列表中的Static IP选项,并在其下的选项中依次输入IP地址为211.85.5.100、子网掩码为255.255.255.0、默认网关为211.85.5.254、DNS为211.85.1.1。这些参数在不同的网络拓扑设计中,肯定会有所不同,无线路由器的WAN端口参数必须与其外连的网络IP规划保持一致。
2 配置内网的网关地址参数无线路由器通过LAN端口及无线连接的计算机形成了一个小型的LAN环境,这个LAN必须配置一个网关参数才能使LAN中的PC无论是PC1还是PC2能够与其他网络通信。图3.10所示界面下方的Router IP区域就是配置LAN网关参数的位置,PT模拟软件使用的默认参数为192.168.0.124,即当前内网的网关为192.168.0.124; 如果需要修改默认的网关参数,可以直接在此区域输入新的IP地址及子网掩码参数。这个操作不是必需的操作步骤,这里可以不进行修改。3 配置无线参数完成内外网参数配置后,就可以接着配置无线参数,其配置界面对应图3.10中的Wireless选项卡。打开此选项卡后,将出现如图3.11所示的界面。在图3.11所示的Basic Wireless Settings界面中,选择Network Mode列表中的WirelessN only选项,在SSID文本栏中输入jkx。最后单击页面下方的Save Settings按钮保存以上参数。在图3.11所示界面中单击Wireless选项卡下的Wireless Security项,可以打开Wireless Security配置界面,如图3.12所示。
图3.11无线参数设置界面
图3.12无线安全参数设置界面
在图3.12中首先选择Security Mode列表中的WPA2 Personal选项,Encryption列表中选择AES选项,然后在Passphrase文本栏中输入无线密码串jkx12345,最后单击界面下方的Save Settings按钮保存以上参数。此时无线路由器的基本配置已经完成,其他参数如MAC地址过滤、防火墙等,本节不做介绍。3. 重新配置无线客户端此时仔细观察网络拓扑图中的PC2,会发现PC2与无线路由器的无线连接已经消失。其原因与上一节中出现的现象是一样的,因为无线路由器在上一步操作中已经使用了新的安全参数及密钥,无线客户端没有这些参数将不能连接到无线路由器。因此在完成无线路由器的参数修改后,需要重新配置无线客户端PC2的参数,以便让其可以再次连接到无线路由器。需要注意的是有线客户端PC1不需要重新配置任何参数,因为上一步中所修改的只是有关无线的参数,对于通过LAN端口连接的有线计算机而言是没有任何影响的。无线客户端PC2的配置过程与3.4.1节中的第3步完全一样,这里就不再重复介绍其操作步骤了。
|
|