无线网络管理方案篇1
关键词:无线传感器网络;分簇;网络安全;密钥管理;基密钥
中图分类号:tn915.08?34;tp393.1文献标识码:a文章编号:1004?373X(2013)21?0078?05
0引言
由大量智能节点构成的无线传感器网络已经成为国内外学术界的一个研究热点,其自组织、自愈、多跳中继传输及无需人工值守等特性使其被广泛应用于军事领域、室内外环境监测、城市交通管理和各种商业领域中[1]。但由于使用无线链路多跳方式进行数据传输,且节点自身的资源有限、电池更换或能量补充比较困难,传统的复杂的安全机制无法直接应用到无线传感器网络中,受到恶意节点攻击时容易造成数据的破坏、丢失和被篡改,因此无线传感器网络在实际应用中面临着诸多来自外界的安全威胁。
无线传感器网络的安全性主要包括机密性、完整性、入侵检测和安全管理等内容,其中安全管理的核心问题是密钥管理,数据的加密解密、数字签名等安全措施都离不开密钥[2]。但由于wSn中的节点资源严重受限,节点通常部署在环境比较恶劣的检测区域,维护比较困难,容易被非法捕获。wSn的这些特点要求wSn的密钥管理方案必须区别于传统的密钥管理方案[3]。
1相关工作
目前,密钥管理方案的研究已经成为无线传感器网络安全领域的一个非常重要的课题,并取得了一定的成果。
eschenauerL和GligorV提出的基本随机密钥预分配方案[4]的基本原理是根据图论来控制节点间共享密钥的概率,当有节点被捕获时能实现节点密钥链的动态撤销,同时更新节点间已有的共享密钥。该方案的缺点是很难保证网络的连通性和安全性之间的平衡,在初始化的时候可以设置很大的密钥池,但很难保证任意两个节点间都能找到共享密钥,且即使有少量节点被捕获,整个密钥池也可能被完全泄露,随着网络规模的增大,该方案的安全性更难保证。Chan等人提出的q?Composite随机密钥预分配方案[5]的前提条件是要求网络内任意两个相邻节点之间至少共享[q]个密钥,采用一定的策略提高[q]值来保证节点之间通信的安全性和提高整个网络的抗毁性,其不足之处是可扩展性较差,即使网络中有少量节点被捕获,也会导致密钥池中的大部分密钥的泄露。Zhu等人提出的Leap密钥管理协议[6]在任意节点被捕获时能保证其他节点的密钥是安全的,具有更好的安全性,但其缺点是在设置的初始信任时间内,如果有节点的主密钥被泄漏,则会威胁到整个网络的安全性。Du等人提出的多密钥空间随机密钥预分配方案[7]为了满足节点的计算和存储空间要求采用简单的安全连通性,但整个算法的计算开销较大,减少了网络的生命周期。Blom方案的技术思想是保证网络中的任意一对节点之间都存在共享密钥[8],且只要被攻击节点的数目没有达到设定的门限值[λ,]整个网络就是安全的。
wenLiangDu和JingDeng提出的密钥预分配方案[9],是基于节点部署信息,并根据这些信息把网络分成若干个组,假设组内的节点相互之间是邻居关系,给每个组分配独立的密钥池,组内的每个节点独立从密钥池中随机选取若干个密钥。该方案首次引入节点位置信息来参与密钥预分配,把网络分组使得该方案可应用于大型无线传感器网络。但由于其理想化的把网络分成若干个形状规则的分组,且无法保证每个分组一定有8个相邻的组,使得该方案在实施过程中有很大的困难,其能量利用率也不高。文献[10]提出了一种基于时间部署的随机密钥管理方案,其基本思想是每个节点从多个相关的密钥池中随机选取若干个密钥子集,采用清除机制在一定的条件下删除有关密钥,网络中的所有传感器节点形成部署组,且按照时间的先后顺序被部署到网络中,该方案能有效提高节点的资源利用率、增强网络中节点被捕获的能力。马春光等提出了基于区域的异构网络密钥管理方案[11],利用节点部署信息和已知区域信息的异构网络密钥预分配方案来提高网络的连通性、减少存储空间和提高整个网络的抗攻击能力。文献[12]提出了基于单向散列密钥链分段激活的方法来降低节点被捕获后造成的网络安全威胁,并采用简单的方法实现节点重部署来提高网络覆盖率。
ChengY等人提出的基于簇的密钥预分配方案[13]是把监测区域划分为若干个六边形区域,所有节点分别属于不同的簇,整个密钥池被划分成与簇对应的子密钥池,簇内节点分别从簇头对应的子密钥池中选取安全密钥,该方案可以具有良好的密钥连通性和抗毁性,整个过程的通信代价较低,不足之处是密钥的更新代价较大。基于簇的无线传感器网络密钥管理方案[14],其基本思想是利用分簇的信息给簇分配对应的密钥池,同时使用网关节点实现簇间的安全通信,可适用于大规模无线传感器网络的安全管理,但能耗较大。
本文提出一种无线传感器网络动态混合密钥管理(DynamicandHybridKeymanagement,DHKm)方案,针对分簇结构的无线传感器网络,每个簇头随机生成子密钥矩阵,簇头利用动态密钥基数为每个成员节点分配互不相同的单向通信密钥;相邻簇头的子密钥矩阵的重叠部作为生成对密钥的密钥基数;当簇头的剩余能量低于设定门限值或被捕获时,需重新产生簇头,并动态生成新的子密钥矩阵,实现密钥的动态更新。和现有的方案相比较,DHKm方案支持网络拓扑变化,加入新节点比较容易,具有良好的安全性和扩展性,且可以节省存储空间。
2系统模型
2.1网络模型
本文假设有[n]个wSn节点随机且均匀地分布在一个检测区域a,负责周期性地采集检测区域的信息,对于采集到的信息采用多跳方式传输到Sink节点,并且具有如下性质[15]:
(1)wSn中的节点是静态均匀分布的,即所有节点在部署后不再移动;
(2)整个wSn中汇聚节点(Sink)是惟一的,且位于检测区域外的一个固定位置;
(3)假设每个节点通过GpS或其他技术获得具体的物理位置,对节点[i]而言,其地理位置是[xi,yi,]并且具有惟一的标识符iD;
(4)定义wSn中的任意两个节点[i,j]的距离采用欧式距离;
(5)所有节点都是同构的,即每个节点都具有相同的初始能量和相同的处理能力(计算/通信等);
(6)网络已按照某种策略划分为多个簇,每个簇有惟一的簇头,簇头负责是其成员节点的通信和邻簇头通信。
2.2能量模型
本文采用的能量模型如文献[16]所述,即包含发射电路消耗的能量、功率放大器消耗的能量以及接收电路消耗的能量,且能量损耗与距离相关。即发送[k]b信息到距离为[dij]的节点,其消耗的能量为:
式中:[n1]代表簇头发送信息包的次数;[n2]代表簇头接收信息包的次数。
3无线传感器网络中动态混合密钥管理方案
本文提出的DHKm方案首先假设Sink点位于安全的位置,且其被捕获的可能性很小。整个网络已经按照一定的策略被划分成多个簇,每个簇有一个簇头,簇头根据接收到的密钥池选择属于自己的子密钥池,产生与簇内成员节点之间进行通信的单向密钥;相邻簇头之间采用动态的方式产生用于簇头之间通信的对密钥。DHKm方案包含密钥预分配阶段、簇头和成员节点之间的单向密钥、簇头之间的动态对密钥和密钥更新4个部分。
3.1密钥预分配
为了方便描述,假设整个检测区域被划分为m个簇,编号分别为C1~Cm,每个簇按照一定的策略产生簇头,并建立和Sink点之间路由。簇头负责为簇内成员节点动态分配子密钥、管理成员节点、动态产生与邻簇头之间的对密钥。
在Sink点预置一个n×n的一个密钥矩阵(n足够大),如式(6)所示,在密钥预分配阶段,Sink点沿着路由传输密钥矩阵数据包,每个簇头收到密钥矩阵数据包后独立选取子密钥矩阵。对簇[Ci,]簇头CHi产生两个随机数并转换成1~[n]之间的整数[n1(Ci)]和[n2(Ci),]其中[n1(Ci)]是簇[Ci]在密钥池矩阵中选取子密钥的开始行,[n2(Ci)]是从选取的密钥矩阵行数,这样每个簇头[Ci]保存属于自己的子密钥矩阵[Gn1(Ci),n2(Ci)]和对应的参数[n1(Ci)]和[n2(Ci),]如式(7)所示。
3.2簇内单向密钥
簇头负责为簇内成员节点分配密钥,如果簇头子密钥矩阵中所有密钥分配给每个成员节点或者成员节点分配的密钥空间过大的话,容易造成因为单个成员节点被捕获或少量成员节点被捕获而导致整个簇的密钥矩阵被泄露。同时为了减少成员节点存储密钥的空间、通信消耗和提高子密钥池的安全性,簇头[Ci]从其存储的子密钥矩阵中为成员节点[j]随机选择1行(假定是第[r]行,且满足[n1(Ci)≤r
其中[G(Ci,r)]是簇头[Ci]从其子密钥矩阵中选取的第[r]行作为节点[j]的密钥基数,[r1=][(r+1)%(n2(Ci)),][r2=(r-1)%(n2(Ci))]。
3.3簇间动态对密钥
簇头之间的密钥是对称的,即2个相邻簇头Ci和Cj之间的通信密钥与簇头[Ci]和[Cj]各自的子密钥矩阵有关联,其产生过程如下:
(1)设[Ci]和[Cj,]是相邻簇头,[Ci]和[Cj]分别产生随机数[rCi]和[rCj,][rCi
(2)[Ci]和[Cj]分别判断2个子密钥矩阵是否存在重叠部分,对[Ci]簇和[Ci]簇分别用公式(9)求2个子密钥矩阵行号的交集。
[S(Ci,Cj)={p|p∈[n1(Ci),n1(Ci)+n2(Ci)-1]andp∈[n1(Cj),n1(Cj)+n2(Cj)-1]}](9)
(3)如果[S(Ci,Cj)≠Φ,]则说明相邻簇头[Ci]和[Cj]的子密钥矩阵存在重叠部分,簇头[Ci]和[Cj]分别用[SCi,Cj]的行号到子密钥矩阵中选取对应的行,以[(rCi+rCj)]作为参数分别计算密钥并求和,如公式(10)所示。
[Key(Ci,Cj)=t∈S(Ci,Cj)ft(rC1+rC2)](10)
式中:[ft()]是簇[Ci]和[Cj]子密钥矩阵中[t]行对应的多项式。
(4)如果[S(Ci,Cj)=Φ,]则说明相邻簇头Ci和Cj的子密钥矩阵不存在重叠部分,簇头[Ci]和[Cj]分别把自己子密钥矩阵的第[rCi]行和第[rCj]行发送给邻簇头[Ci]和邻簇头Ci,簇头[Ci]和[Cj]分别用公式(11)计算对密钥。
[Key(Ci,Cj)=fCi_rCi(rCi+rCj)+fCj_rCj(rCi+rCj)](11)
式中:[fCi_rCi](),[fCi_rCj]()函数分别是簇[Ci]和簇[Ci]对应的子密钥矩阵的第[rCi]行和第[rCj]行多项式。
(5)在新的对密钥产生之前,相邻的簇头[Ci]和[Ci]之间用[Key(Ci,Cj)]进行加密通信。
这样可以保证任意2个相邻节点之间的对密钥都互不相同,即使一个簇头被捕获的话,也不会影响其邻簇头的安全性。
3.4密钥的动态更新
无线传感器网络中的节点一般无特殊保护,容易受到物理损坏或被捕获;另外,节点和簇头在发送和接收数据时需要消耗能量,当其剩余能量低于设定的阀值时,需要把这些节点屏蔽在网络之外;同时在运行期间可能有新节点加入,因此对密钥的动态更新或撤回是提高网络安全性的一个重要措施。
(1)新节点加入
当新节点加入时,让新节点就近归属于某一个簇,簇头检测到新节点加入时,为该节点分配单向密钥。
(2)成员节点被捕获
当簇内的成员节点被敌人从物理上攻陷,簇头必须做出相应的处理。假设无线传感器网络能够使用文献[14]中介绍的入侵检测方案来发现被捕获节点。当簇头发现成员节点被捕获时,簇头直接删除与该节点有关的密钥信息并设置标记。
(3)簇头正常更新
当簇头的剩余能量小于规定的阀值时,按照一定的策略重新生成一个新簇头,进行信息交换让新簇头负责管理本簇和实现与邻簇的通信,其成员节点的单向密钥不变。
(4)簇头被捕获
当簇头被捕获时,由其最近的邻簇头广播成簇信息,所有不属于某一个簇的节点收到广播后形成一个簇,选取剩余能量最大的节点成为簇头,建立和邻簇头的邻居关系表,新簇头接受所有邻簇头发送来的密钥子矩阵作为其密钥矩阵,按照3.2节所述方法产生簇内节点的单向密钥,按照3.3节产生簇头之间的对密钥。
4仿真及结果分析
4.1安全性能分析
wSn中的节点因物理原因受损或因能量耗尽而退出网络是无法避免的,因此要求密钥管理方案必须具有良好的抗毁性能来确保整个网络的安全,即,当部分节点受损时,应尽可能减少泄露或不泄露其他未受损节点的密钥信息[16]。本文提出的DHKm方案采用动态混合策略来确保在节点受损或能量耗尽而退出网络时的安全性,即簇内成员节点的密钥是由簇头子密钥矩阵中的不同基密钥来产生的,簇头子密钥矩阵的重叠部分作为簇头之间的密钥基数,结合动态随机数来生成对密钥。因此,当有成员节点或簇头被捕获时,不会暴露其他节点的密钥,同时成员节点或簇头的受损或退出能被能及时地发现,调用DHKm来生成新的密钥,及时地把节点排除在网络外。
图1是DHKm方案与2种经典方案的受损节点数和密钥泄露的关系比较图,仿真结果显示,当簇内的成员节点受损时,DHKm方案不会泄露其他节点的密钥,能完全保证网络的安全。
4.2可扩展性分析
网络的可扩展性主要用来衡量节点频繁加入或退出时无线传感器网络的适应性[17]。主要体现在节点加入或退出给网络带来额外的通信、存储和计算开销。在DHKm方案中,簇内成员节点仅与簇头通信,成员节点之间没有直接通信,且各成员节点的单向密钥相互独立。当有成员节点受损或因能量耗尽而退出时,由簇头进行相应的处理,不会给其他节点带来额外的开销。此外,根据网络规模把网络动态被划分为若干个簇,每个成员节点只存储与簇头通信的单向密钥,而簇头需要保存独立的子密钥矩阵、成员节点单向密钥和相应的随机数,从而减少节点的存储空间,提高网络的可扩展性。
图2是DHKm方案与2种经典算法在不同网络规模情况下节点存储的密钥数目的比较。仿真结果表明,DHKm方案中节点存储的密钥数目在不同规模的网络中相对固定,其他2种方案中节点存储的密钥数目随着网络规模的改变会有较大的变化。
5结语
本文提出了基于分簇结构的无线传感器网络的动态混合密钥管理方案,每个簇头随机生成子密钥矩阵,簇头利用动态基密钥为每个成员节点分配互不相同的单向通信密钥;相邻簇头的子密钥矩阵的重叠部作为生成对密钥的基密钥;当簇头的剩余能量低于设定门限值或被捕获时,需重新产生簇头,并动态生成新的子密钥矩阵,实现密钥的动态更新。和现有的方案相比较,DHKm方案能适应网络拓扑结构的变化,新节点加入的处理过程比较简单,该方案在安全性和扩展性2个方面明显优于2种经典算法,且减少了节点的存储空间。
参考文献
[1]掌明,王锁萍.能量高效的无线传感器网络动态分簇算法研究[J].计算机工程与设计,2011,32(10):3313?3316.
[2]CaLLawaYeH.wirelesssensornetworks:architectureandprotocols[m].[S.l.]:CRCpressLLC,2004:41?62.
[3]张聚伟,孙雨耕.基于部署信息的无线传感器网络密钥管理方案[J].计算机工程,2009,35(6):145?147.
[4]eSCHenaUeRL,GiLGoRV.akeymanagementschemefordistributedsensornetworks[C]//proceedingsofthe9thaCmConferenceonComputerandCommunicationsSecurity.newYork:aCmpress,2002:41?47.
[5]CHanH,peRRiGa,SonGD.Randomkeypredistributionschemesforsensornetworks[C]//proceedingsofthe2003ieeeSymposiumonSecurityandprivacy.washington:ieeeComputerSociety,2003:197?213.
[6]ZHUS,SetiaS,JaJoDiaS.Leap:efficientsecuritymechanismforlarge?scaledistributedsensornetworks[C]//proceedingsofthe10thaCmConferenceonComputerandCommunicationsSecurity.newYork:aCmpress,2003:62?72.
[7]DUwL,DenGJ.apairwisekeypre?distributionschemeforwirelesssensornetworks[C]//proceedingof10thaCmConferenceonComputerandCommunicationsSecurity.washington,DC:aCm,2003:42?51.
[8]BLomR.anoptimalclassossymmetrickeygenerationsystem[C]//proceedingoftheeURoCRYpt84workshoponadvancesinCryptology:theoryandapplicationofCryptographictechniques.newYork,USa:aCmpress,1985:335?338.
[9]DUwen?liang,DenGJing,HanYS,etal.akeypredistributionschemeforsensornetworksusingdeploymentknowledge[J].ieeetransactionsonDependableandSecureComputing,2006,3(1):62?77.
[10]袁婷,马建庆,钟亦平,等.基于时间部署的无线传感器网络密钥管理方案[J].软件学报,2010,21(3):516?527.
[11]马春光,尚治国,王慧强.基于区域的异构无线传感器网络密钥管理[J].通信学报,2009,30(5):74?81.
[12]覃荣华,何亮明,李宝清,等.基于单向散列链的定点布设无线传感器网络密钥分配方案[J].计算机科学,2013,40(1):41?44.
[13]沈金波,许力.基于簇的无线传感器网络密钥预分配方案[J].武汉大学学报:理学版,2009,55(1):117?120.
[14]单晓岚,张华忠,于鹏程.基于分簇的无线传感器网络密钥管理的研究[J].计算机工程与设计,2007,28(20):4897?4899.
[15]Yemao,LiCheng?fa,CHenGui?hai,etal.eeCS:anenergyef?cientclusteringschemeinwirelesssensornetworks[C]//proceedingsof200524thieeeinternationalperformance,Computing,andCommunicationsConference.newYork,nY,USa:ieee,2005:535?540.
无线网络管理方案篇2
关键词:质检行业;无线网络;应用
中图分类号:tp393.1;tn92
1应用需求
在信息迅猛发展的今天,各单位均实现了有线网络的建设,但随着信息化设备日新月异的发展,人们对网络的依赖性相当之高,“随时随地获取信息”已成为广大员工和客户的新需求。但是,传统的有线网络存在着诸多问题:
(1)传统的有线网络存在着诸多“网络盲点”,甚至部分原来没有有线网络的空间,这就需要在有线网的基础上加以无线扩充;(2)随着人员的增加,网络用户接入不断增加,原先的综合布线已渐渐无法满足用户的需求。在会议室等场合如何突破网络节点限制、实现多人同时上网的问题?这就需要我们在现有网络的基础上充分扩展和利用无线网络来解决;(3)原先的布线时间过久,一旦线路出现故障,短时间内无法解决,从而影响到用户的办公,如重新布线,既不美观也不安全且工程量过大;(4)虽可在房间内通过连接路由设备,但该种方法对于网络是不安全的,容易造成整个网络形成环路,导致网络瘫痪,影响正常办公;(5)现在无线终端设备越来越普及,如笔记本、手机以及pad等,对无线网络需求越来越大;(6)通过二维条码对检验样品、检测设备等进行管理。
实验室中的检测样品往往牵涉多个部门使用,样品的交接繁琐,管理难度大。针对这些问题,检测样品条码管理系统将条码技术引入到实验室的信息化管理当中,使用条码扫描枪进行扫描,样品的信息会直接显示到终端设备上,用户可直接使用无线终端设备连接到扫描枪到各个房间进行登记,实现对检测样品的条码管理,从而大大提高了样品管理的工作效率,有效减少了样品交接的出错率,达到了实验室样品管理化繁为简的目的。
各类精密检测仪器是我院重要的物质和科研基础,具有价值大、精度高、功能多、性能先进的特点,是我院检测实力和水平的重要体现。在我院日常的检测工作中发挥着重要的作用,加强设备管理是保障检验结果准确、可靠的重要手段。目前的管理不能实现设备管理数据的动态控制,在进行资产清查、巡检等方面,需要消耗大量的人力和时间。对每台仪器设备的基础信息进行二维码的数据集成,同时对设备的维护、维修、检定/校准状态进行实时更新,利用手机等移动终端在检测现场实时查询,提升设备管理的效率。
2无线覆盖需求
无线覆盖需求属于基础需求,其目标是将无线网络建设成具备可取代有线的能力的网络覆盖方式,具体来说有以下几个方面的具体需求。
无线网络使用的特点可以总结为四个字——无处不在。使用无线网络的终端本身就具备高度的自由性,用户可以在工位使用无线终端,也可以在走廊使用无线终端,亦可在会议室、办公室、实验室、走廊使用。这就要求无线网络的覆盖不能有死角,否则就会带来不好的使用体验。同时,使用的是手持终端,由于功耗和体积的限制,其无线信号搜索与连接能力都比笔记本电脑要弱,所以更需要有针对性的无线覆盖来解决信号弱的问题
在无线网络的应用场景中,分别存在着不同的无线覆盖难题:在开放空间及密集办公室/实验室区。
综上所述,无线信号覆盖范围方面的需求可以归纳为:开放空间中,无线信号所使用的智能的与终端建立连接,既不会互相干扰,又能够为每一个位置的终端提供最佳的无线连接;密集办公室/实验室中,需要解决信号穿墙的问题,为移动终端提供更好的无线信号。
无线带机能力是指每个无线ap能够承载的用户数量,这个数字一方面标志了ap的性能,另一方面也决定了无线的信号覆盖效果,因为同一个ap的多个信道之间,干扰处理做的是最好的,所以ap数量越少,则干扰也越小,这点在人员密集的开放办公区尤为明显,如果由于ap带机能力弱而引进多个ap,则会导致信号互相干扰严重,无线网络可用性大大下降。所以单个ap的带机能力越强,无线的使用效果越好。
3统一管理需求
无线设备统一管理不同于有线网络,无线网络的接入点ap设备分布于各个办公/实验场所之中,所以其带来的维护工作量是巨大的,轻则几层楼,多则几栋楼甚至一个园区,如果某个ap出现了故障,首先故障排查将是个巨大的挑战,其次维护也要前往现场,会耗费大量的时间一个好的无线管理方案应该可以让管理员在办公室即可完成80%以上的工作,而不是事事都要到达现场。
4解决方案描述
4.1解决方案架构设计。围绕在采用无线网络时遇到的问题和需求,我们从统一管理、接入控制和无线覆盖几个方面给出了解决方案,解决方案的架构设计如下图1所示:
4.2解决方案部署设计。网络架构设计,该解决方案的部署结构如下图2所示,这里以实景的方式展现了无线网络方案的部署方式,共分为3种场景:开放办公室/会议室区、密集办公室/实验室区域和中心机房,其中前两者是员工接入无线网络的区域,后者是管理人员维护和管理网络的位置。
5解决方案
5.1“超越有线”的无线网络。(1)无线网络性能媲美有线网络,足以承载各种业务;(2)随时随地上网,信号无处不在,有线到不了的地方无线可到达;(3)贴心的准入控制,安全性不输有线网络;(4)易用的安全,使用简单程度超越有线网络。
按本方案建成的无线网络已完全具备取代有线网络的能力,采用纯无线网络部署将会给用户节约大量的综合布线、实施费用,同时大幅提升办公区域的美观程度,一举多得。
5.2“易管理”的无线网络。(1)用户统一管理,大幅节约了管理多个系统的时间,同时也提升了系统安全性和易用性;(2)设备可视化管理,使网管不用再跑来跑去,降低工作量的同时,也提升了管理效率。
总之,本次对我院的实验楼和行政楼进行无线覆盖,采用室分和智分两种覆盖方案。对会议室和开放办公区采用放装方案,其他办公、实验房间均为智分,且大房间内都放置了两个天线盒。
互联网为各行各业带来了迅速发展的契机,企业规模扩张迅速,因此办公场地频繁迁移,使笔记本电脑等移动终端逐渐取代台式机成为了办公首选。出于成本以及兼容性考虑,在组建无线局域网时最好选择同一品牌的无线网络产品。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。
参考文献:
[1]邹霖昊.网络局域网技术及应用探究[J].计算机光盘软件与应用,2013(11).
无线网络管理方案篇3
关键词:无线网络网络设备Snmp无线网络安全
中图分类号:tp393.1文献标识码:a文章编号:1007-9416(2013)03-0125-02
1计算机网络管理系统概述
在网络管理中,如果要实现复杂的网络管理需求,必须借助一定的网络管理平台或网络管理系统来实现。一般的简单的命令或一定的网络管理应用只完成一部分或某一方面的具体管理功能。网络管理系统(nmS,networkmanagementSystem)是用来管理网络,保障网络正常运行的软件和硬件的有机的集合,按照oSi模型的定义,计算机网络管理包括故障管理、配置管理、性能管理、安全管理、计费管理等。其中故障管理是网络管理的核心,配置管理是各管理功能的基础,网络管理员的基本任务就是通过网络管理系统提供的管理功能和管理工具来完成各种网络管理任务。网络管理系统主要是针对网络设备进行管理、配置和故障诊断。
2无线网络安全管理
随着无线局域网办公效率的提高,人们对移动需求的不断增加。但是无线局域网的安全系数很低,在通常的安全控制方面主要采用服务集标识符(SSiD:ServiceSetidentifier)识别,物理地址(maC:mediaaccessControl)过滤,一些加密如有线等效加密(wep:wiredequivalentprivacy)等。这些都存在着致命的漏洞,SSiD极易暴露和伪造,maC地址容易伪造,没有安全性可言。wep密钥在很短的时间内即可被破解,其基于wep的改造措施wpa并不能使其安全性得到根本改善。无线局域网的开放特性使其容易受到各种攻击和破坏,在网络管理中必须建立无线网络管理系统来对无线网络设备和无线用户进行实时的监测和配置。
3网络管理平台
国外在80年代就网络管理展开了相关研究,并提出了多种网络管理方案,在SGmp基础上开发的解决方案就是着名的Snmp(Simplenetworkmanagementprotocol)协议,后来称为Snmpvi。后来又相继推出了Snmpv2和Snmpv3,并得到业界广泛的支持和应用,目前大多数网络管理系统和平台还都是基于Snmp的,Snmp己成为网络管理领域中事实上的工业标准。
在网络管理系统方面,国外有许多成熟的产品如Hp(Hewlett-packard)公司的Snmp++、openView管理平台,SUn公司的netmanagers等等。就产品技术先进行性和实用性而言。以entersys的netSight,Hp的openView和tivoli的netview最为着名。agent++是一套建立在Hp的Snmp++的基础之上,用于开发Snmp的C++库免费的开源工具,agent++提供了完整的协议处理框架,并提供了miB对象的基类,用户可以方便的通过继承定义miB对象。aJmX是通过包含众多Snmp在内的协议来访问共通的底层结构的Java环境的管理框架。国外产品功能完善,一般支持多个Snmp协议版本,不管是开源软件还是商业软件,即使提供的网络管理解决方案,通常也只是一个开发原型和平台。基于具体应用,仍然需要在这类原型基础上再开发,且多数平台需要被购买。
在国内已有众多机构对网络管理进行了大量研究,并开发出了相关产品。国内网络管理水平不高,对网络管理的研究与应用比较迫切我们要采用引进与自主开发相结合的方式。北京科银京成技术有限公司开发的基于Snmp的网络管理解决方案利用标准的管理者软件以及深圳市微迪软件技术有限公司的Deviceman是一个为网络设备提供安全、方便的嵌入式网络管理的解决方案。
国内产品实现的小型网络管理系统,却较少采用标准Snmp协议;即使提供对Snmp的支持,其对设备系统性能要求较高且可移植性较弱;许多网络管理产品主要针对有线环境,对无线环境涉及较少。
4无线网络管理系统设计
在无线局域网中由于运营商的设备比较复杂并且缺乏统一的安全解决方案标准,致使不同的wLan设备在启用安全功能时无法互通,从而针对不同的安全方案开发不同用户管理功能,用户因为无法在不同的安全ap间漫游,导致运营和维护成本大大增加,在一定程度上也降低客户满意度。
无线网络管理模型按照一般网络的结构进行分层,大致可以分为三层:接入层,访问控制层,核心层;在接入层中对不同的设备进行鉴别,接入不同的系统,访问控制层对用户进行认证授权,核心层对网络中的事件进行处理保证网络流量和网络服务。
网络管理系统设计一般原则要从以下几个方面进行考虑:一是对设备的管理采用基于Snmp协议标准设计实现,这样才能提高系统的通用性与兼容性;二是采用国内外比较成熟的一些开源平台来进行设备管理开发;三是设计的设备管理库要兼容所有当前流行的设备这样提高可移植性和扩展性;四要采用国际通用的技术标准,加强无线网络的安全性,方便快捷地对提供无线网络的wLan设备进行管理和控制,并充分保证无线网络的安全性和可靠性。
对设备的管理和识别主要是基于设备的miB网络管理信息,miB是Snmp网络管理开发的基础,按照aSn.1抽象语法标记,根据需求设计和定义了wLan热点接入设备的私有miB管理信息库,并给出了miB的检验方法,以保证miB文件的合法性和正确性。miB的定制依赖于Smi,Snmp通过Smi对管理信息的名称组织方式、信息描述方式、以及传输编码机制进行约定,规定了miB的定制法规,即:由aSn.1作为消息定义抽象语法,BeR(BasicencodingRules基本编码规则)提供传输文法,oiD(objectidentifier对象标识符)作为管理对象名称的命名方式。
基于wLan热点接入设备的私有miB网络管理信息主要包括以下管理信息:
(1)设备配置信息:一般设备的信息包含系统参数配置和无线配置参数两个方面。系统参数配置包括设备名称、型号、序列号、操作系统、设备地址、位置信息、运行时间等设备基本信息的配置,而无线配置参数则是在针对ap设备的具体需求在公有miBieee802Dot11miB的基础上进行扩展,建立私有的miB导入到管理系统中。
(2)设备性能信息:设备性能管理信息可分为局域网以太接口、无线接口信息、终端用户信息三个部分,分别从有线、无线和终端用户三个接口来监控和管理ap设备的性能状态。
(3)设备安全信息:包括系统的开放性、wep(有线等效加密)、wpa/wpa2、radius、wapi等几种安全策略。
5结语
在信息社会计算机网络复杂性的不断增加,对网络管理的要求越来越高,也给网络管理带来了前所未有的发展契机。为了满足日益增长的网络应用需求,现代的网络管理技术正逐渐朝着集成化、层次化、web化和智能化方向发展,网管协议也在不断丰富。随着无线局域网技术的广泛应用和快速发展,大量无线网络接入设备被用于局域网络建设中,wLan(wirelessLocalareanetworks)热点接入设备现在是局域网中使用最多的设备之一。在无线快速组网中,设备的接入管理是网络管理系统的基础。系统的初始化模块完成miB的注册,故障管理监控设备的运行状态,采用基于Snmp协议标准的管理者软件很好的实现系统的兼容和迁移。
参考文献
[1]王美琴,王英龙,王少辉等.无线局域网网络管理系统的研究与实现.计算机应用研究,2004年第八期.
无线网络管理方案篇4
其实,我们发现,大多数网络故障都是网络连接被断开,才导致了无法使用网络打印机或找不到网络中的某台pC的。因此我们汇总了最常见的网络故障原因和解决方案,供各位快速修复自己的网络故障。
让你的网络更畅通
失去internet连接解决方法:大多数时候你可以通过重启你的modem、路由器或pC来解决。如果重启后故障消失,但随后不久又掉线,可能就是你的路由器和pC的设置需要修改。
你可以延长路由器的DHCp租约时间(路由器为网络中每个节点或设备分配ip地址的时间)到一周左右,通过路由器的设置页面来调整该参数。
如果使用笔记本电脑时被断开了网络连接,请检查电源选项中的网络适配器选项的设置。在Xp中,进入“设备管理器”中的“网络适配器”,找到你的网卡后,右键选择“属性”。点击“电源管理栏”,去除“允许计算机关闭这个设备以节约电源”前面的勾选。虽然这可能令你笔记本电脑电池续航能力下降,但你会得到更好的网络连接。
DnS(域名解析)故障也是失去网络连接的常见原因。DnS就是iSp的域名服务器把用户输入的URL地址转换为ip地址的服务。如果你不能打开网页或无法发送电子邮件,可能是iSp的DnS服务出问题了。你可以尝试用/代替你的iSp来完成DnS服务。在路由器设置页修改wan的设置,把DnS服务器地址改为openDnS的地址。地址从208.67.222.222到208.67.222.220都可以,而且是免费的,还可以为你屏蔽钓鱼站点。
消失的网络打印机:如果网络共享的USB接口打印机时常消失在网络中,首先查看它连接的电脑是否处于休眠状态。如果连接它的主机一直处于休眠状态,打印机就会时常消失。为了省电,你可以关闭显示器而不是让主机休眠。有时关闭显示器可能比休眠主机更省电,而且不会出现打印故障。
在Xp中,也要查看其“微软网络的文件和打印机共享”是否安装在网络中每一台电脑上,以免在有线和无线网络中切换时无法实现打印机共享。我们可以在Xp的“控制面板”―“网络连接”中的每个连接和网络适配器上点右键选择“属性”。查看弹出来的“常规”或“网络”窗口中是否有“微软网络的文件和打印机共享”。如果没有,点击下面的“安装”按钮进行安装即可。
我们还可以架设专门的打印服务器来更好地进行打印共享。一些路由器内置了USB打印接口,所以你可以把打印机接到路由器上。如果你使用多功能一体机来打印,记得要选择支持扫描功能的打印服务器。比如D-Link内置usB的RangeBoosterG多功能路由器。
消失在网络中的pC:大多数情况下网络文件共享的问题源于不正确的工作组名和计算机名。
请确保网络中的每一台电脑都有自己惟一的名称。如果以产品型号或生产厂商作为电脑在网络中的名称会出问题。尽量避免用空格来作为名称,因为网络中的windowsme和更早版本的windows操作系统无法识别网络中以空格作为名称的电脑。同时名称长度也不要超过15个字符。而且同一网络中的电脑一定要使用同样的工作组名称。在Xp家用版中默认的工作组名称为“mSHome”,其他版本的windows及Vista的默认工作组名称为“workgroup”。在Xp中要更改工作组名和计算机名,点击“开始”―“控制面板”―“系统”,点击“计算机名”后修改工作组名和计算机名。
用Vista来解决网络问题:如果你在Xp等系统下还是有未解决的问题,你可以尝试使用Vista的强大网络功能来解决。Vista的“网络和共享中心”让你知道哪些共享功能是可以开启而不会引发网络故障和安全问题的,而且进行设置也非常简单。Vista的链路层拓扑发现会自动侦测网络设备,并显示它们在网络地图中的位置。
防火墙导致工作组无法共事:Vista的防火墙功能非常强大,不会影响工作组的共享。但Xp的防火墙会引发工作组共享问题,大家可以尝试选择第三方的防火墙软件。Zonealarm就是一款不错的产品,它的信任区域功能让工作组中每台电脑都可以正常通信。
你在Xp下也可以使用networkmagic这款软件来替代Xp的文件和打印共享。networkmagic和Vista一起入选了2006年pCworld的100款最佳产品。售价30美元的版本支持3台pC,40美元版本支持5台,50美元版本支持8台。通过它可轻松设置共享和网络功能,比如共享文件夹和打印机。当你的笔记本电脑连接到wi-Fi接入点时,它的特殊模式会保护笔记本电脑上的共享文件夹。这极大地保证了共享文件夹的安全性。netmagic免费版提供了internet连接修复和无线网络保护功能,但只有付费版才支持文件和打印机共享。
加强网络安全性
如果想保证百分之百的网络安全,只有拔掉网线,不浏览网页、不收发电子邮件,与网络绝缘了,但这样你也不能干任何事情了。你肯定不能通过这个“鸵鸟式”的方法来保证网络安全性。
你可以用硬件防火墙来保证家用网络的安全。很多路由器就内置了防火墙,但售价也比较昂贵。它们大都使用nat(网络地址转换)和Spi(封包侦测)技术,这能保证电脑只接收自己请求接收的数据。切记在配置网络时要更改路由器的默认密码,而且要经常更换密码。
开启网络中每台电脑的自动更新以建立第二道防线,还要安装杀毒软件,反间谍软件和软件防火墙。可以购买norton或Kaspersky的安全套装,或分别购买反问谍软件webrootSpySweeper、杀毒软件BitDefender、防火墙软件Zonealarm。
Xp自带的防火墙只能过滤接收的数据,防护能力很弱。而Zonealarm等第三方防火墙软件能同时过滤接收和发送的数据。Vista的防火墙也可以双向过滤,但你必须在命令行下输入:wf.msc后回车,才能配置发送过滤器。Vista有个自带的反间谍软件windowsDefender,但它不能替代杀毒软件。
对网络中的所有电脑都安装同样的软件,会让你在配置和维护时事半功倍。尽量以管理员帐号登录后安装这些软件,或者以家长控制的帐号登录安装,以防未成年人误操作引发网络故障。切记不要向任何人泄露密码,这样网络安全性就能得到最大的保障。
加密传送信号:防火墙和杀毒软件套装对以额定频率截获无线信号进行封包监听的入侵无能为力。建议使用无线网络设备所支持的最高级的加密方法传输信号,加密强度从高到低依次为wpa2、wpa和wep。
入侵者只要在网上随便下个相关破解软件,花不了几分钟就能破解wep加密。wep除了能预防邻居偷用你的带宽外,几乎没有太多安全特性。我们建议你至少应该购买支持wpa加密的无线网络设备。要给网络中不同时期购买的新旧设备提供最完善的安全性,最好购买能同时提供wpa和wpa2加密的路由器。
无论使用maC(媒体访问控制,一种统一的硬件认证)地址过滤还是关闭SSiD广播都不算是有效的安全措施。它们虽然可以在一定程度上控制你的无线接入,但还不及wep加密有效。
maC地址过滤会要求你在路由器地址簿中输入目标设备的maC地址,以授权它连接到你的网络中。但如果有人监听了你的无线网络信号,就很容易截获你的路由器授权的maC地址,从而入侵你的网络。同样的,即便你关闭了SSiD广播,只会让你网络中的用户难以连接到网络,但入侵者还是可以用嗅探器侦测到你的SSiD。
安全地接入:公共场合的无线接入点最容易遭受感染和入侵。要在这些地方安全连网最好使用Vpn(虚拟专用网络)来加密你电脑发送和接收的internet数据。很多公司内部都要求员工连入Vpn服务器以保证网络和数据安全。你也可以注册使用witopiapersonalVpn的Vpn服务(每年40美元)或JiwireHotspotHelper(每年25美元)。
同时建议设置笔记本电脑的wi-Fi时,关闭adHoc(无线对等网络中)网络并禁止自动连接到非首选网络。在Xp中,你可以在系统托盘处点击wi-Fi图标并选择“更改高级设置”来禁止上面两种服务。在“无线网络”中点击“高级”,选择“只允许无线路由器(基础)网络”,并去除“连接到非首选网络”的勾选。
当你接入无线网络时,最好关闭Vista中的网络发现功能(让其他人在网络中看到你的电脑)。在你连入公共无线接入点时,Vista会自动关闭这一功能,你也可以在控制面板中的“查看网络状态和任务”中手动关闭这一功能。
了解你的网络吗?
最近,我们发现越来越多的朋友,特别是一些普通用户都开始给自己的家居,SoHo环境布置了无线网络,以快速共享多台电脑间的数据信息和各种资源。但是你真的了解你的网络吗?这里有一些你应该了解的网络技术和注意事项,相信会令你受益。
正如我们一直强调的,在构建自己的网络之前,应该根据自己预算和组网所花费时间来选择适合自己的网络类型。其实主要来说就分为有线网络和无线网络两大类。
而有线网络又有两种:一种是历史悠久的以太网。以太网最迅速,也最安全且最低廉。但要连接以太网中各个组件需要专用的5类双绞线,而以太网中的很多故障都是由这种线引起的。还有一种是电力线网络,它不需要铺设特殊的线缆连接。因为家家户户早已存在的电力线就是它的传输介质。
无线网络方面,大多数人会因为速度和性价比选择802.11g。为了追求高速和信号范围且对价格不敏感的用户可以选择pre-n和n系草案产品
下面咱们就详细说说这些听起来可能会让人却步的“高科技”概念。
新型网络知多少
无线网络没有复杂烦人的布线,它对那些不愿意在固定地点使用笔记本电脑的用户很有用。现在大多数笔记本电脑都内置了wi-Fi无线网卡,可以在公共场合的wi-Fi接入点接入802.11b或g的无线网络访问internet。大多数公共场合的接入点不支持802.11a。一些笔记本电脑更内置了手机无线上网卡,可以通过电信网络浏览internet。
然而无线网络的信号覆盖范围会受空间的影响,特别是在跃层或多层的大房间中。经过几扇门或几堵墙的阻挡,无线网络的信号会大幅度衰减。而由于无线信号是放射性发送的,在安全性上确有天生的缺陷。
如果你在大房间中使用无线网络,并备受信号衰减的困扰,建议还是尝试改用廉价、快速且安全的有线以太网。当然你必须用5类双绞线连接网络中的每个设备,而且布线是个比较麻烦的事。
嫌以太网布线麻烦还可以用电线组网,这样你只需用现有的电力线来连接pC和设备。电力线网络适配器一头连接在墙上的插座上,另一头就连接pC的以太网卡接口或其他网络设备,如路由器的以太网接口。
不过,目前电力线网络技术也有很多种规格。一种是经济的Homeplug1.0,但速度跟最慢的wi―Fi802.11b差不多。HomeplugaV、DS2的DigitalHomeStandard和松下的HDpLC这些新技术都能高速传输文件,并支持流媒体传输。HomeplugaV声称即便是在受其他电器干扰的情况下,都能传输高清晰视频。
网速与覆盖范围最关键
无论是xDSL,还是Cablemodem,还是小区宽带,你的internet带宽一般都在1~3mbps。如果你组网只是为了共享internet连接,你就无需考虑上面三种网络的速度问题。因为它们的速度几乎都大于iSp给你的带宽。但如果你组网是为了在pC和网络设备间传输大型文件或高清晰视频,你就需要选择高速网络了。
现今的10/100mbps以太网是应用最广泛的高速网络了,不过使用新近崛起的千兆网的人也越来越多。基于HomeplugaV、DigitalHomeStandard和HDpLC技术的电力线网络产品并不比10/100mbps的以太网快,但它们还是比无线网络稳定,而且能在很大范围内保持高速传输。
现在最快的无线网络设备都是基于802.11n草案的产品,或使用arigonetworks芯片非官方标准的pre-n产品。但使用airgo芯片的pre-n产品无法兼容802.11n草案产品,除非它们能固件升级到第二代11n草案。
802.11a和g都有54mbps的速度,而且它们的网络设备都比11n草案和pre-n产品便宜,和802.11b差不多。因为802.11g的产品本来就是针对家庭消费者的,它也比针对企业用户的802.11a产品要便宜很多。不过,理论最高速度11mbps的802.11b和最高速度14mbps的Homeplug1.0在实际使用中,带宽可能只有理论峰值的一半或甚至更小。
的确,使用无线网络时,距离无线路由器越远,信号衰减得越多;距离越近,信号越稳定快速。而且无线信号很容易因为门、墙、金属物体、天花板、地板的阻挡而衰减。虽然大多数wi-Fi厂商声称自己的产品信号范围达到300英尺(1英尺=0.3048m),但在空旷的办公室使用802.11b/g的产品时最好距离ap不要超过100到125英尺。在家里使用时,由于门和墙的数量多,所以距离更要小于上述距离。而pre-n和11n草案产品的覆盖范围则远远大于之前的所有wi-Fi产品。
无线信号放大器可以增强信号、提高无线ap信号的覆盖范围,拓展你使用无线网络的空间。
安全问题普遍关注
相比之下,以太网的安全性最好。而使用Homeplug电力线网络则可能会被使用同一组电力线的人监听(虽然这种可能性微乎其微)。所以使用电力线网络时,最好更改其适配器的默认设置。
因为无需物理连接就可以接收无线信号,wi-Fi的安全性是最低的。因此无线网络大都会通过对信号进行加密来保护自己的安全,最初人们使用有线等价保密算法(wep)加密,以提供类似有线网络的物理保护。但事实证明,wep加密轻而易举就会被破解。现在大多数无线设备都支持较新的wi-Fi保护存取(wpa),能提供更好的安全性。而最新的基于802.11i标准的wpa2加密则是更完善的加密措施。所以wi-Fi网络的安全性是由其网络设备所支持的加密协议决定的。如果你使用最老的只支持wep协议的设备组网,至少也该用128位加密方式(一般无线网都只使用40位加密)。如果你对无线网络的安全性还有更高的要求,建议采取额外的防护措施,比如Vpn(虚拟专用网络)、防火墙等。当然,无论是有线还是无线网络,你都可以使用这些额外安全措施。
与oa结合的图档管理系统
对于今天的企业来说,联网已经不再是什么难题。但在基础的网络平台之上,如何实现真正高效的可管理的信息网络则成为一个新的课题。或许,我们今天这个档案管理系统的设计会对大家有所帮助。
在某咨询勘察设计院档案馆中,现藏设计文件、公文、会计、科研、荣誉、声象档案等共129000余册,底图165000余张,测绘图5千余张。近几年年平均接收、发送技术文件110000册,接收、整编录入归档案卷22000余卷,查阅借阅档案5500余人次,20000余卷次。如今为了适应和加强档案的科学化管理,提高档案使用效率,提高设计工作效率,同时为设计人员创造“学习型组织”的环境,使设计人员在最大程度上实现信息共享,档案馆最新开发了工程图档管理系统。
现存问题分析
和很多企业老式信息系统类似,该档案馆原有的档案管理系统是用Foxpro数据库或是手工操作、维护。这种情况下存在档案维护十分繁琐、保密性不高、查询十分不便等明显缺陷。同时,由于文档的多样性,传统的数据库难以处理复杂的多媒体信息:诸如字处理软件产生的文档、扫描图像、电子表格、音频及视频信号等。此外,传统的档案管理系统也不支持web浏览器(如ie和netscape),现代的档案管理都需要在internet或intranet实现档案的管理(整理、检索、借阅)。
为了更好地管理日常工作过程中形成的各种档案,同时也更有效地利用各种档案,使系统摆脱过去的档案管理系统单一目录管理模式,完全实现档案的电子化管理,并以流程化管理模式取代以往以部门为主的职能化管理模式,档案馆决定开发新一代的工程图档管理系统。
新系统的运行环境
硬件环境:SunServer(5500)×2(一主一备,自动倒换)
操作系统软件:SunSolarisoS(unix)
应用软件:DominoDesigner(设计软件)
C+、javascript、vb、c、JaVa(编程语言)
防病毒软件:为了确保更加安全的网络环境,采用trendmicro(趋势)网络防病毒软件。全院所有用户安装officeScan客户端软件,该软件可以实现病毒代码库自动更新、主程序自动升级、扫描引擎自动升级,因此用户一旦成功安装该软件,就不必再做任何手动配置,从而保证整个网络环境的安全。
此外,图档管理系统是在oa办公自动化系统下整合嵌套运行的,所有的系统流程同样受oa系统流程的控制,诸如档案文件传送、借阅审批、催还管理等。体现了系统的结构化、集成化。
系统工作流程
工程图档管理系统需要提供档案的网上电子借阅管理(对借阅单的审批)、借阅统计、催还以及借阅监控等借阅功能以及日常打印功能。根据实际情况,图档管理设计了一套完整的文档管理流程,具体如下:
图档系统是在设计院oa办公系统下的一个子系统,所有的文档归类、管理、借阅都是通过oa系统流程所控制的。通过结合“办公自动化系统(oa)”的使用,可以提高设计人员的工作效率,实现设计人员的信息共享。
其中,工程设计档案在日常工程中被大量频繁的调用。本案实施纸质文件和电子文件同时归档,管理人员通过Lotus系统,把设计文档的原版电子文档作为附件同纸质文件的目录一同传到oa办公系统的服务器上。
以上档案提供web方式的工程图档档案的工程图档及其他相关信息资料,提供快捷方便,简单易行和免除客户端需安装软件的需要,供员工查阅、浏览、借阅和领导审批。
无线网络管理方案篇5
在未来信息无所不在的时代,无线网将依靠其无法比拟的灵活性,极强的可扩容性,使人们真正享受到简单、方便、快捷的连接。无线局域网在很多应用领域有独特的优势:可移动性,它提供了不受线缆限制的应用,用户可随时上网;安装容易,无须布线或减少布线,大大节约了建网时间;组网灵活,即插即用,网络管理人员可以迅速将其加入到现有的网络中;成本低,特别适合于变化频繁的工作场合。因此,为满足企业生产、管理工作流程优化,实现无线和移动工作管理,提高工作效率,需要在企业内部署无线局域网,实现无线局域网信号覆盖,为各类数据提供无线高速传输通道。
二、接入方式
本文中的无线局域网是指通过无线介质进行数据传送的局域网,工作于2.4GHz/5.8GHz频段,遵循ieee802.11系列协议无线局域技术,采用独立的无线局域网设备的网络。为避免出现带宽瓶颈,应合理选择传输方式,目前网络覆盖主要有Lan接入方式和pon接入方式。
2.1Lan接入方式
Lan接入方式,也称作以太网接入方式,点到点是最直接的以太网光纤接入技术,也就是交换机级联方案。为满足无线局域网的接入,承载网络宜采用三级组网模式,由核心层、汇聚层和接入层构成,实现二三层网络的分离,网络结构合理清晰,业务控制能力强;为保证信息安全和用户管理,划分鉴权中心和综合管理两个区域,具体组网示意图如下图所示。
(1)核心层。核心层部署两台高性能交换机,承载所有业务数据的汇聚和快速转发。(2)汇聚层。汇聚层由汇聚交换机组成,负责区域接入交换机的收敛与汇聚。(3)接入层。接入层由poe交换机组成,负责企业内生产区、办公区等相关需覆盖区域部署ap的接入。(4)鉴权中心。为保证企业信息安全,需对用户进行管理认证,部署无线控制器、鉴权服务器、入侵检测系统等安全保障系统接入核心交换机,实现对用户的安全防护。目前主要有三种认证方式:pppoe、weB和802.1X。pppoe认证功能只有在BaS上实现,即BRaS做认证点;802.1X必须在ap做认证点,可动态产生密钥,完成对无线链路(ap到无线客户端)加密;weB认证功能在ap、aC和BaS上都可以实现。所以企业大多采用aC作为认证点,支持weB认证方式。(5)综合管理。为方便日常管理和对用户的行为进行分析,部署上网行为管理系统和运维管理系统,为网络运行和用户行为分析提供基础数据,在日常网络管理工作中提供设备及链路的性能、故障实时监测等。
2.2pon接入方式
pon接入方式有epon/Gpon两种,趋势是Gpon系统,Gpon系统可实现wLan的ap、宽带上网、电话、视频等多业务的承载。适用于多网合一的应用场景。若增加SBC/ippBX设备实现与运营商固定语音网络对接,可实现内部短号码,内外部呼叫公网等功能。网络拓扑如下图示:
Gpon采用上下行不对称带宽分配方式,下行2.5Gbps,上行1.2Gbps,高带宽能更简单、通用、高效地支持全业务。为增强系统可靠性,oLt可以考虑1+1冗余备份。
(1)网管支撑系统。主要包括集中网管系统和认证计费系统。
集中网管系统:oLt、路由器、交换机、防火墙等实现网络监控、配置和业务的快速开通等。
认证计费系统:通过宽带接入服务器、Radius服务器、3a服务器portal服务器等的部署实现有线、无线接入用户的认证、计费和管理等功能。
(2)安全系统。
防火墙的部署,主要实现边界控制,过滤、屏蔽所有不安全的或不符合安全规则的数据包,杜绝越权访问,防止非法攻击等;部署高性能防火墙,实现双机热备,进一步提高防火墙系统的可靠性。
入侵防御系统部署。实现攻击防御、集中管理、实时监控和网络审计等功能;可对所有主流网络访问协议,包括网页访问(Http)、邮件收发(Smtp/pop3)、下载(Ftp/Bt)、远程登陆(telnet)、聊天(mSn)、p2p等进行有效地监测和动态防御,并对实时检测到的网络流量,进行及时地分析和响应;对攻击检测、内容恢复、网络流量等操作进行实时审计和分析,并可以对产生的事件生成统计图表、报表,通过图表数据直观地查看和分析网络信息的统计结果。
weB应用防护。用于控制网络的web访问管理系统,软件通过控制底层tCp/ip通讯数据,管理整个网络的web访问权限和行为,对DmZ区服务器群进行防护。
防病毒服务器。防病毒服务器可以对整个网络系统进行病毒查杀。
统一身份认证系统。利用账号同步管理模块,将用户的身份信息和密码同步到各个系统的数据库中,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。在人员离职、岗位变动时,只需在管理平台一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。
三、wLan系统方案
3.1ap建设方案
常见的wLanap分类主要有2种:Fatap和Fitap。
(1)Fatap设备功能及典型组网。Fatap将wLan的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身,俗称胖ap。胖ap组网:包括ap、L2交换机、管理软件和业务软件,适合规模较小并对管理和漫游要求比较低的网络部署。
(2)Fitap设备功能及典型组网。Fatap除了提供基本的无线连接功能外,还提供安全、管理和性能增强功能。导致单一ap设备结构复杂,比较昂贵且难于管理。无线交换机和Fitap配合在一起提供传统ap的功能,无线交换机集中处理所有的安全、控制和管理功能,Fitap只提供可靠、高性能的RF功能。wLan交换机方案除具有易于管理等特点外,还支持快速切换、QoS、无线网络安全防护、网络故障自愈等高级功能。无线交换机和Fitap之间的组网可以采用直连、跨越二层网络或者是跨越三层网络三种模式,用户原有的有线网络的拓朴和VLan等配置不需要进行更改。
3.2aC建设方案
(1)wLanaC设备,主要包括无线控制器设备和接入控制器设备。
无线控制器设备。无线控制器设备需配合瘦ap使用,需通过设备控制ap进行信道选择、BSS切换、负载分担等功能,通过设备对ap实现集中控制、管理,提供统一的网管,可以对流量进行汇接和处理。
接入控制器设备。接入控制器设备主要完成用户的接入会话的终结和认证功能,支持RaDiUS认证和计费,可以实现流量的汇聚、用户的带宽和Qos的控制,支持对数据ip层的处理能力。
(2)aC组网方案。aC组网方案主要有以下三种。
aC旁挂在接入控制器上的三层解决方案。此方案在接入控制器上对隧道VLan不启用认证,通过三层转发到无线控制器上。此方案对现网的改动较小,“瘦”ap管理地址池可放在接入控制器或无线控制器上。此方案可以解决热点部署初期,用户量少且比较分散的问题。当wLan网络规模扩大时,可以考虑下移无线控制器到汇聚。热点中新增一台“瘦”ap,接入控制器不用做任何处理。新增一个热点,接入控制器只需增加配置终结相应的管理VLan和用户VLan即可。
aC旁挂在汇聚交换机的解决方案。对于规模较大,用户量较集中的热点,建议无线控制器布放在热点内部,或旁挂到汇聚交换机。ap和用户数量较多时也可以作为热点部署的后期方案。
aC直挂方案。无线控制器直挂接入控制器的方案,可以利用汇聚交换机和接入控制器之间的备用光纤,连接无线控制器。无线流量通过无线控制器转发,有线流量直接到接入控制器处理。此方案有线流量没有迂回,可以针对汇聚交换机下用户密度比较高的场景下。
无线网络管理方案篇6
伴随着大数据时代的到来,企业的生产网络日益复杂且业务对于网络的依存度日益增加,某些行业,如金融、制造业、政府等对生产及办公环境的网络安全又有极高要求。对于这样的客户,日常的网络安全风险监控及主动的故障的排除就显得尤为重要。
作为网络故障诊断专家,福禄克网络推出将监控网络安全与保障网络应用性能相结合的企业级信息安全解决方案。福禄克解决方案的优势包括:可以同时兼顾有线和无线网络,并对它们进行统一的管理和监控;不仅可以有效避免安全漏洞、防止信息泄露、阻止黑客攻击,还可以为优化网络性能提供帮助,这是其他信息安全解决方案所不能比拟的;整体监控与现场检测的点面结合,使得本解决方案具备了全面、快速解决网络问题的能力;部署简单且可扩展性好,易用性、灵活性俱佳,这些特性使得本解决方案在应用时会给相关技术人员带来令人惊喜的体验;软件与硬件结合,使得本解决方案以较低的部署成本获得理想的投资回报。
其功能包括:7×24小时实时监护无线、有线网络,有线和无线的非法设备抑制,快速精准的非法设备检测、分类与定位,异常流量监控、端口攻击检测、敏感信息泄露追踪,上网行为管控、内外网访问管理,非法网站访问记录与回放,无线攻击检测与多种通知告警功能,安全事件取证、现场安全攻击检测,智能专家系统指导用户解决复杂的安全问题。
福禄克网络的产品涵盖了网络故障诊断的方方面面,包括了软件和硬件,既有大型监控系统,也有手持式的便携设备。以下是本方案中涉及的3款重点产品。
airmagnetenterprise无线实时监控防御系统:本系统不仅提供7×24小时的wi-Fi网络安全和性能监测,以及远程故障诊断功能,同时,它还可以快速精准地对非法设备进行检测、分类与定位,然后通过有线和无线两种途径抑制非法设备。基于对DtU功能的支持,airmagnetenterprise可以保证无线威胁数据库得到及时更新。另外,airmagnetenterprise还是目前市场上唯一集成了频谱分析功能的同类解决方案,通过硬件或软件探针快速检测和分析影响wi-Fi网络性能的射频干扰源。
networktimemachine海量在线应用分析系统:本系统是一套7×24小时实时监控有线网络环境的多合一解决方案,它可以存储海量的网络环境数据,以便使用者按时间回放当时的网络状态,取证分析并查找问题根源。网络管理者还能通过这套解决方案,实时对上网行为进行管控。值得一提的是,尽管networktimemachine包含多重高级功能,但它的部署却极其简单,可即插即用地接入目标网络。
无线网络管理方案篇7
计算机是一种用于高速计算的电子计算机器,可同时进行逻辑运算及数值计算,具备一定储存记忆功能,可根据程序自动、高速地进行大量信息处理工作,是现代化智能电子设备,由软件系统和硬件系统组成。计算机网络毕业论文是基于计算机基础上发展起来的全新概念,指将不同地理位置、具有独立功能的多台计算机及其他外部设备,通过通信线路连接起来,在网络操作系统、网络通信协议、网络管理软件的管理与协调下,实现信息资源的共享与传递。计算机网络规划与建设以传输信息为基础目的,主要组成部分包括:通信设备、传输介质两大部分,是通信线路互相连接、许多自主工作计算机构成的集合体。若按照网络范围可划分为:局域网、广域网、城域网、互联网4种。世界上最早的计算机网络出现于20世纪60年代,由美国国防部远景规划局提出并研制。计算机网络结构虽简单,却能够可靠地传输数据信息。70年代计算机网络得到发展,进入_个新的阶段,现如今计算机网络己成为生活、学习、工作中不可或缺的重要工具。局域网特点是用户少,配置容易,连接速率高,传输速度快,以令牌环网、以太网、接口网络、异步网络、无线局域网络为主。城域网比局域网范围要大,用户要多,例如企业Lan、电信Lan、政府Lan、医院Lan等,城域网传输的数据类型更丰富,建设成本也更高。广域网又称远程网,比城域网范围大,地理范围可达到几千公里,典型的有:CHinapC网、CHinant网、CHinaDDn网等。无线网络是近些年来新兴的网络形式,建设成本低,应用方便,前景巨大,但稳定性有待提高,应用中存在局限。典型无线网络有:蜂窝网络、数字网络、无线wan、无线Lan等。想要保障计算机网络的稳定性和可靠性,必须做好网络规划与设计,保障网络工程施工质量,降低故障率。
2计算机网络规划设计基本原则
计算机网络规划设计具有较强的复杂性和专业性,涉及方案规划设计、实施,包括网络设备、网络软件、网络结构、硬件系统、网络安全等多方面内容,任何方面存在缺失或设计不规范,都可能带来网络安全问题,影响计算机网络正常使用,好的规划与设计方案是构建一个成功计算机网络的关键。因此,计算机网络规划设计中,必须坚持规划设计基本原则。在计算机网络规划设计中,应保持网络的先进性、实用性、扩充性、开放性,要便于维护,各节点微机和工作站都应该建立有效联接,从而组成一个高性能的计算机网络。为了保障计算机网络运行速度,保障网络稳定性,应统一调控和管理,并做好网络安全防护措施。具体规划设计应根据用户需要,考虑计算机网络使用长期目标和近期目标,明确使用需要目标,确定规划设计目标,保障计算机网络规划设计针对性。因此,要考虑到用户需要什么,如何才能满足用户需要。再根据分析,结合用户需要,确定协议集、网络规模、节点数量、覆盖范围。从先进性原则来看,计算机网络设计规划应尽可能采用先进网络技术,从而保障网络能够长时间保持先进性和可用性,避免建设后短时间内被淘汰,造成资源和成本浪费。从扩充性原则来讲,网络规划设计中应采取模块化设计思路,提高网络系统配置的灵活性,为了应对未来计算机网络应用的需要,预留合理的扩充余地,保障系统能够简单扩充新的设备,降低计算机网络改造与更新成本。从安全性原则来讲,安全是计算机网络使用的前提条件,不论广域网,还是局域网都要满足安全、可靠的基本要求。网络具有一定的开放性,易受到攻击和破坏,造成数据的损坏或丢失。若企业计算机网络受到攻击,导致商业机密丢失后果不堪设想,往往会给企业造成巨大的经济损失,保障网络安全事关重要。网络安全部件要考虑网络组件、网络节点,还要考虑通信线路、拓扑结构、应用软件等方面,确保网络安全性和保密性,应设置防火墙和防护软件,对网络安全进行控制,从而抵御外部网络攻击。从实用性原则角度来讲,是计算机网络设计规避中必须遵守的基本原则,计算机网络的建设要保障性价比,在有限的资金投入下,尽可能规划能够满足用户使用要求的网络系统和结构,压缩成本,提高实用性。另外,还要保障网络的可维护性,建立合理的问题解决方案和定期维护方案,以提高维护效率,降低故障率,避免影响网络的正常使用。在设计中只有遵循规划设计的基本原则,才能设计出高性能的网络。
3计算机网络规划设计及实施方案
3.1总体规划设计
通过前文的分析,不难看出做好计算机网络规划设计及实施方案的重要性和必要性。企业网络、校园网络、局域网络都要做好网络设计与规划。具体网络设计与实施中,要先考虑计算机网络通信业务需求,选取合适的网络硬件设施,以模块化组合方式,把语言、数据、图像及控制信号系统用统一的传输媒介进行规划设计,使其形成一套标准的综合布线系统,将各子系统与模块连接起来,为整个计算机网络系统提供物理介质。综合布线系统设计与实施成功与否,影响着整个网络系统的成败,影响着网络传输速度与稳定性及抗干扰能力,它是信息数据传递的通道,负责数据信息管理系统与网络硬件设备的连接,整个网络都需要依靠综合布线系统作为网络连接的物理基础。总体规划设计中,要尽可能提高综合布线系统集成度,对网络结构进行整理与优化,保障网络通用性、扩展性、灵活性,降低维护与管理成本,提高传输速率。除了要对综合布线系统进行考虑外,通信协议方面与网络管理软件方面也应进行设计。具体设计中要以国际通信标准为依据,参考11801,iSo,ieC,tia,anSi等标准,采用符合6类标准的布线线缆,根据配网结构进行统一规划设计,从而进一步提高计算机网络兼容性,以满足不同的网络使用要求。网络硬件方面,要选择先进的交换机、路由器、服务器,尤其是服务器的选择非常重要。iBmSystemx3850X6和thinkServerRD450都有较高的性价比。iBmSystemx3850X6采用了4U结构和SaS接口,完全能够满足各类局域网络应用需求。想要降低网络建设成本,可考虑租用云服务器。云服务器无需维护和管理,能够节省维护与管理费用。但云服务由云商运营,若云商出现问题将可能造成数据信息的泄漏或丢失,所以做好云商选择非常重要。企业应根据自身经济实力和实际使用需求选择设计方案和思路,进行合理的网络建设。
3.2计算机网络建设实施方案合理的实施方案非常重要,是顺利进行计算机网络建设的基础。实施方案的确定要结合预期网络规模和使用要求,具体的网络结构包括:星型结构、树型结构、环形结构等,不同的网络结构有不同的特点和优势。若资金允许的条件下,应尽可能采用分层星型结构。这种网络结构与其他网络结构相比,不仅故障率低,且不会因某一节点故障导致整个网络瘫痪,具有较高集成度,中央节点执行集中式通信控制,完全符合复杂的综合计算机网络建设和使用要求。另一方面,该网络结构能够合理减轻各节点负荷,提高网络整体运行速度和效率,尤其是大数据传输、处理、共享等方面,都有明显的应用优势,整体运行速度是树型的2倍。但该网络结构形式不仅建设成本高,且对中央节点依赖性较大,若中央节点出现故障将影响整个计算机网络的使用。因此,应用这种网络结构,必须做好中央节点维护工作,准备备用网络设备,应对各类突发性故障问题,从而降低中央节点故障率。具体方案实施中,为了提高网络整体安全性、可靠性、稳定性,强电部分则要采用树形拓扑结构,能够提高结构融通性,保障强电部分稳定性。线时强电要集中于中枢站,尽可能设置于中心地带或负荷中心区。实际进行网络结构布线前,必须现场勘察,分析影响布线及可能对网络造成干扰的因素,确定布线策略,选择合适的方案和工艺手段,避免因外界干扰造成全网瘫痪。电缆沟截面积应在l-2m之间,主干道要在功能区附近,电缆沟结构要上下、左右分布,采取分层结构,配线架要设置在中央节点附近的出口干线处,以便于使用及后续的管理,其他配需中心根据功能区分布、建筑面积大小来确定。例如,在企业或医院网络规划设计中,网络覆盖范围为38万㎡,就要配置一个50㎡的主配线中心,设置2万多个布线点。具体布线中,功能区的划分要结合建筑的施工功能和功能区特点。最好分2个路由布线,配线节点间距最好不要超过2000m,BD至FD的距离要小于500m,要采用光纤线,但节点光纤端口不宜超过20个,以提高整个网络的信息传输速率。FD距信息插座距离要小于90m,每楼层布线点不宜超过200个,若有使用需求超过标准数量,可考虑适当增加距离。节点确定后,布线方式应选择暗敷施工方式,以保障建筑美观性。另外,在方案实施中要尽可能避免对建筑结构造成较大的影响,所使用管线管径要小于32cm,分层布线要保持在50-60m内。具体布线点设定必须经过科学计算和严密的分析,不仅要满足当前使用要求,同时还要考虑未来使用要求和扩充需要,避免造成资源浪费。主要功能区要设中心配电间,主回路20回,电柜6台,采用封闭式配电桥架将线路分送至各功能区。要根据实际应用需用设置Lan,以满足移动设备对网络使用的需要,同时要设置网络应用接口。网络应用接口数量的确定和位置的确定,要根据外部网络设备预期数量及特点来决定。如果外部网络设备过多,建筑面对过大,应设置布线总端口和分级控制台,布线端口应位于地板下货天花板。预埋线要包括:三芯电源线、封头端口线、两端口视频线、两端口RGB线,管线铺设时应选择pVC管或薄壁钢管。布线端口处应预留备用线,降低故障率。各功能区中心应设3-5个备用临时网络端口,以满足临时网络使用需求。此外,为了满足多形式数据传输要求,各功能区还应设置3-4个数据点和语音点,用于数据的采集与录入、处理、传输。并且每一个数据点和语音点都应进入服务器,以保障数据上传、处理的及时性,提高网络运行效率。数据点与语音点在连接中应采用有线同轴电缆连接服务器来提高效能。总机房网络规划中应采用架空地板布线方式进行建设。总机房对端口需求量大,为了保障网络灵活性,以便于应对随时扩充,这种方式最理想。但架空地板布线方式可能会引起消防问题,因此必须做好消防工作,避免安全事故的发生。在网络规划实施方案确定后,要进行基本的维护方案和安全方案设计。必要的定期维护能够将故障效率在萌芽中,提高网络可靠性。并且维护记录还能够为故障维修提供可靠的数据资料,大大提高网络维护效率。计算机网络规划、设计、实施中,网络结构、网络布线、网络维护都要考虑到。
无线网络管理方案篇8
wLan以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但wLan中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。
问题一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
解决方案:加强网络访问控制
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将ap安置在像防火墙这样的网络安全设备的外面,最好考虑通过Vpn技术连接到主干网络,更好的办法是使用基于ieee802.1x的新的无线网络产品。ieee802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于ieee802.1×无线网络的认证转换到后端基于有线网络的RaSiUS认证。
问题二:非法的ap
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的ap,不经过授权而连入网络。很多部门未通过公司it中心授权就自建无线局域网,用户通过非法ap接入给网络带来很大安全隐患。
解决方案:定期进行的站点审查
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折中的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
问题三:未经授权使用服务
一半以上的用户在使用ap时,只是在其默认的配置基础上进行很少的修改。几乎所有的ap都按照默认配置来开启wep进行加密,或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致iSp中断服务。
解决方案:加强安全认证
最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过Vpn技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
问题四:服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被ap所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的ping流量,就会轻易地吞噬ap有限的带宽;如果发送广播流量,就会同时阻塞多个ap;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过csma/Ca机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
解决方案:网络检测
定位性能故障应当从监测和发现问题入手,很多ap可以通过Snmp报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
问题五:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使aRp表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的maC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现ap中存在的认证缺陷,通过监测ap发出的广播帧发现ap的存在。然而,由于802.11没有要求ap必须证明自己真是一个ap,攻击者很容易装扮成ap进入网络,通过这样的ap,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11maC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
解决方案:同重要网络隔离
在802.11i被正式批准之前,maC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
问题六:流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,wep有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被wep加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,wep非常容易被airsnort、wepcrack一类的工具解密,但后来很多厂商的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次wep密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
解决方案:采用可靠的协议进行加密
如果用户的无线网络用于传输比较敏感的数据,那么仅用wep加密方式是远远不够的,需要进一步采用像SSH、SSL、ipSec等加密技术来加强数据的安全性。
问题七:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
无线网络管理方案篇9
关键词:学生宿舍;802.11n;wLan
中图分类号:tn925.93
随着个人计算机硬件和网络的飞速发展,移动上网要求也随之上升。伴随着wLan(wirelessLocalareanetwork,无线局域网)技术的逐渐走向成熟和无线产品线的延伸,无线网络不再只是有线网络的补充,完全可以独当一面。
1802.11n技术特点
目前wLan的技术标准主要有使用5.8GHZ频段的802.11a协议,使用2.4GHZ频段的802.11b/g协议和采用双频工作模式(包含2.4GHz和5GHz两个工作频段)的802.11n协议。802.11n最大传输范围可达到几十公里,具有以下几大特点:一是具有高移动性;二是抗干扰性强;三是无线网络的易扩展性好;四是组网速度快、工程周期短;五是开发运营成本低。
2存在问题及需求
目前高校学生宿舍网,不管是新建还是改建,它们的建设模式基本相同,都是以有线网络为主,无线网络为辅。为了容纳数量众多的网线,都无一例外的在走廊上安装宽大而笨重的金属桥架,影响美观和采光;多数院校每间宿舍分布1-2个有线网络接口,只有少数院校新建宿舍每人一个有线接口。
从管理的角度出发,我们发现安装有线网络的宿舍因学生乱接网线导致的混乱屡禁不止;有线信息插座因乱接线,暴力接线导致的网络故障时有发生;学生在宿舍间流动感觉网线接口的不足。另外,凡是开通有线网络的学生均有私自接无线路由器的可能,这些私自接入的无线路由器因与原来的wLan设备频率重叠,必然会影响到原宿舍wLan的正常运行。
3解决方案
本方案使用成熟且易于集中管理的瘦ap(accesspoint)接入技术,达到整个学生宿舍的网络无缝覆盖和集中控制。所谓的瘦ap也称无线网桥、无线网关。此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的终端均可通过ap来分享有线局域网络甚至广域网络的资源。
3.1方案设计要求:①根据学院学生宿舍的实际和一个ap最佳接入能力,要求每个ap最多覆盖4间学生宿舍。②采用802.11n技术,兼容802.11b/g,对每个终端接入服务要进行限速,以平衡802.11n和802.11b/g设备之间的访问流量差异,确保每个设备不低于2m的交换流量。③设计过程中,做到网络结构清晰合理,精心控制频道和功率分配,尽可能防止相互之间可能产生的干扰。设备配置可靠、管理界面良好、易于操作和维护。天馈系统同时满足2G,3G移动网络的整合要求。④整个无线网络采用瘦ap技术,各ap直接接入到无线网络控制器,距离较远的ap采用poe远程供电模式,简化线路布置。各个接入点通过有线网络与汇聚交换机连接,汇聚交换机通过光纤与中心机房核心交换机连接,满足对internet和校园数据资源的快速访问。⑤学生在宿舍通过无线形式上网时可以自由的切换internet和校园网的访问。汇聚层接入认证服务器和Radius计费服务器。接入用户在访问因特网时进行强制web身份认证,只有通过认证的用户才进行internet访问。⑥整个wLan必须给校方安排管理接口,以便于随时接受校方的监管。
3.2方案实施。整个宿舍wLan系统架构,如图1所示。
图1wLan系统拓扑示意图
在网络中心安装一台aC2400作为ap的集中管理器;一台S9306交换机作为核心汇聚交换机,通过光纤接入宽带接入服务器(BaS,BroadbandaccessServer)。学生公寓安装poe交换机,ap。交换机分别安装在的不同楼层的弱电井;每层楼都有ap,包括合路ap和放装ap。合路ap分别装在每栋楼的每层楼的弱电井,放装ap安装在宿舍里。每间公寓采用1个定向天线伸入宿舍内部并隐藏在壁柜中,宿舍门厅采用吊顶的全向天线。主要设备使用情况如表1所示。
表1学生公寓wLan系统主要设备使用表
名称型号
核心交换机华为S9306
接入汇聚交换机华为S2326
无线控制器aC京信maseLinkaC2400
无线接入点ap京信maseLinkap2400-iFU
3.3主要性能参数和测试结果
方案完成后,设备进行了主要的性能测试,结果如表2所示。
表2学生公寓wLan性能测试结果表
性能参数测试结果
无线网卡最低接收电平>-75dBm
无线信号信噪比(S/n)>20dB
网络数据吞吐率>20mb
数据接受误帧率(FeR)
ap最大输出功率500mw
最大无线用户数>9000个
每ap并发接入用户数≤30个
方案中涉及的一个ap最多4间的要求是基本合理的,事实上,4个4人间,每人一台笔记本,学生上网满意,基本不出现竞争断网现象;若4个6人间,每人一台笔记本电脑,学生上网基本满意,偶尔出现竞争断网现象。由于没有有线接口,学生自带无线路由器现象很少发生。因此设计良好的802.11n无线网络完全可以在学生宿舍区代替有线网络。
参考文献:
[1]缪无照等.校园网宿舍网络管理模式的探讨[J].现代电子技术,2003(15).
[2]孙茂圣.高校学生宿舍网络建设与管理浅析[J].信息技术,2012(05).
[3]于雷,余兆明.高校校园无线局域网部署方案的研究[J].信息科技,2005(06).
无线网络管理方案篇10
关键词:移动通信网络、问题、维护管理、优化
中图分类号:tn929.5文献标识码:a文章编号:
一、前言
改革开放以来,城市化进程不断加快、信息化程度日益加深,人们对于移动通信网络的服务水平要求越来越高,特别是网络的速度及其稳定性。随着移动通信技术的快速发展、移动用户人数的不断增长和网络规模的迅速扩大,通信设备的数量直线上涨,旧设备更新频率加快。移动通信网络的维护和管理出现了许多新问题。
二、现阶段移动通信网络维护管理较为常见的一些问题
1、无法保证移动通信网络传输线路质量
一般来讲,自建传输线路的维护大多承包给了外包线路公司,全部传输线路中只有一小部分是自建传输线路,而且传输线路质量好坏与否完全由代维管理的水平、线路本身质量以及代维公司水平等因素决定;而线路本身情况、出租单位的重视与否以及维护水平等因素则决定了租用传输线路质量水平。
2、从业技术人员素质参差不齐
在移动通信运营企业不乏整体素质高、技术水平好的交换、无线专业人员,然而却缺乏传输维护专业技术人员,已有的一些由原电信企业改制剥离过来的传输技术专业人员,已难以适应现阶段的新技术、新维护方式。
3、移动通信网络对网络维护质量要求高
众所周知,移动通信网络结构较为复杂,在组网过程中,一些关键网元对于整个移动通信网络而言极为重要,因此,它的要求维护人员要有很高的维护质量水平。通过简单的概率能够得到:在其他条件不变的基础上,维护设备量增多,将会导致设备本身出现更多的故障次数。随着科技发展,应用了越来越多的新技术在移动通信网络中,制造工艺水平越来越高,大大提高了使设备总体的无故障时间,然而部分设备单元盘,对温度非常敏感,在光元器件本身特性的影响下,进行更大容量、更远距离的传输,会缩短光元器件使用寿命,增大设备本身的故障次数,所以对网络维护的要求很高。
三、如何加强移动通信网络的维护与管理
1、提高人员技术的专业性
在科技发展带动下,设备更新越来越快,很多新设备加入通信网络,此外,还必须要更新旧设备。为了管理越来越多的人员及设备,必须要借助自动化的管理工具,以确保移动通信网络维护和管理的有效性。要重视培训维护人员,使其具备进行新设备配置和安装的能力,可以对新旧设备之间的转换模式进行配置。此外,就管理人员而言,必须要经常开展实践锻炼,使其了解并掌握新的管理系统,通过新的系统保证通信网络的维护和管理的有效性,不断提升管理效率。
2、提高人员的素质
移动通信行业是以服务为主的行业,要求维护人员有较高的素质,公司的利益很大程度上取决于人员的服务态度、服务水平以及服务质量。这就要求维护人员必须要具备可以快速确定客户问题,在第一时间解决客户问题。比如,实际进行维护过程中,有客户反应在连接移动通信网络过程中,网络时断时续。在管理中心进行紧急调度后,一位维护人员立即到达现场,一方面对通讯设备进行检查已确定其能否正常判断通信设备工作正常。另一方面维护人员向用户进行询问和对周围环境进行细致耐心的查探后,发现一个大功率的收发电视信号的接收器,再通过询问知道这是一个居民昨天才安装完成的,通过交涉,对电视信号接收器关闭后进行测试后,问题最终定位在这台大功率的电视信号收发器上。维护人员通过对移动通信设备进行调频,降低通信网络的干扰程度,使用户网络时断时续的情况得以解决。在上述维护过程中,就要求测试人员要具备良好的沟通能力,熟练掌握移动通信的基本知识、设备调频技术,而且随机应变能力要求较高等。高素质的移动通信维护人员的培养,必须要不断通过实践,积累经验。
4、及时检测设备状态
设备在整个网络中起到关键作用,怎样才能对设备进行及时的检测,尽管现在的通信设备已经有了告警模块,但是其功能只是在设备出现错误的时候发出警报,不能够有效记录设备的运行状态。有一种方案是应用物联网技术,在通信设备上安装一个传感器,记录和发送通信设备的状态信息到一个设备信息管理中心,根据一定的算法,可以预测出有问题的设备,将有问题的设备及时显示给管理人员。管理人员可以了解到设备目前的状态,可以及时对有问题的设备采取相应的处理措施。
5、不断进行移动通信网络优化
网络优化是高层次的维护工作,是通过采用新技术手段以及优化工具对正式投入运行的移动通信网络进行参数的修改及网络资源进行合理的分配,使网络达到最佳运行状态,从而提高移动网络质量的维护工作。网络优化的过程实际上是一个循环过程,整个过程包括数据采集、数据分析、制定优化方案、实施优化方案以及调整优化方案5个步骤。
(1)数据采集
要想把网络优化好,就必须要有充分了解网络的运行状态,主要是发现当前网络中存在的问题,这就是数据的采集,它是网络优化必须首先完成的,而且是个非常重要的环节。当前我们的数据采集包括以下四种方式:
其一是Dt数据采集法:
Dt,英文Drivertest的缩写,译为车载测试,即在测试车内借助测试仪表、测试手机等测试工具结合地理信息图和网络资源配置对当前网络的无线覆盖情况、话音质量、小区间的切换关系及下行链路的无线干扰情况等,从而收集到当前网络中存在的问题,为接下来的数据分析提供可靠的数据。
其二是CQt数据采集法:
CQt,英文CallQuantitytest的缩写,译为语音质量测试,即在当前网络覆盖范围内选取多个测试点,进行一定数量的拨打呼叫,它以用户的主观评价为主,主要测试通话的语音质量情况、接收电平的高低、收集是否频繁小区间切换及掉话情况,测试点一般选择在通信比较集中的公共场所,如机场、酒店、车站、写字楼等。
其三是omC数据采集法:
omC,英文operationmanageCenter的缩写,译为操作管理中心,即通过基站操作管理中心获得无线话务统计报告数据和系统告警信息。通过分析话务统计报告中的各项Kpi指标(呼叫建立成功率、掉话率、切换成功率、每时隙话务量、无线信道可用率、话音信道阻塞率和信令信道的可用率、掉话率及阻塞率等),可以了解到无线基站的话务分布及变化情况,从而发现异常问题所在。结合其它手段,还可分析出网络逻辑或物理参数设计的合理性、话务量均衡性以及是否有频率干扰及硬件故障等。利用这些指标可分析该小区基站工作状况及优化方向。
其四是用户申告数据采集法:
用户申告数据采集法即通过用户投诉或来自业务部门投诉或用户调查了解网络质量,此方法能及时了解到网络中有关服务质量方面的问题,是我们了解网络服务状况的一个重要途径,也是最能反映用户感知信息来源。通过这种采集方法我们可以了解到网络中如呼叫失败、掉话、串话、单通、回声、信号时有时无以及话音断断续续等现象。
但是,我们在实际工作中会将这四种手段相互配合、彼此印证来发现网络中存在的问题。
(2)数据分析。
通过Dt、CQt、用户申告三种采集方法可得到网络场强覆盖分布图、质量分布图、比特误码率分布图、帧丢失率分布图、有效相邻小区分布图、ta分布图、相邻基站频率干扰分布图以及双频网评估,呼叫过程事件和发生的频度统计报告,从而得到网络覆盖问题定位。网络干扰(上/下行)定位、切换分析报告等。通过omC采集方法可获得话务统计报表,处理后得到接通率、掉话率、切换成功率、切换失败率等网络测试指标信息。
(3)制定优化方案。
根据各种数据分析方法得到数据,对有效数据的分析,判断问题产生的原因,从而采取相应的措施,进而对网络进行优化。
通常我们在网络维护中所制定的优化方案一般是初层次的优化方案,进一步提高网络的运行质量就必须要进行较高层次的优化,它需要周期性地、渐进地进行,不断提高网络要求,根据数据分析结果循环进行网络优化的过程,最终得到高质量的网络。
(4)实施优化方案。
针对制定的优化方案,到现场严格按照优化方案实施,使网络达到好的质量。如果遇到无法完成的步骤需记录并返回维护中心重新制定可执行方案。
(5)调整优化方案。
当按照优化方案实施后仍然没有达到预期的网络质量,也就是说我们实施的优化方案还存在问题,此时我们将重新根据采集的有效数据进行数据分析,得到更好的解决方案的过程,我们称为调整优化方案,这个过程通常会重复很多遍。
四、结语
综上所述,移动通信运营商在不断加快网络建设的同时,将会更加重视和加强网络的维护管理工作。作为各级移动通信网络的维护管理部门,必须牢固树立网络质量是企业生命线的理念,在实践中不断总结经验和提高维护。
参考文献:
赵佳溪李颖:《浅谈移动通信网络的维护与管理》,《中国高新技术企业》,2008年13期
蒋安全:《网络维护与维修》,《网络与信息》,2007年07期