浅谈企业无线办公网络的规划与设计

浅谈企业无线办公网络的规划与设计摘要：本文基于无线网络自身的特点以及企业的发展对无线网络的迫切需求为出发点，对企业的无线网络架构进行设计，并详细阐述了各层次所采取的的路由协议，最后提出了局域网安全防范的几点措施。关键词：无线网络；拓扑结构；协议中图分类号：TN925目前，很多企业随着业务的不断拓展，规模在迅速扩大，新的厂址、新的办公地点需要信息网络规划设计。目标是让在企业不同部门的员工可以随时随地借助便携式电脑、PDA等无线终端方便高效地使用网络。这样，所有办公室、会议室的任何地方都需要具备接入网络的能力。充分利用无线局域网技术（WLAN），可以实现在一定区域内实现不间断移动办公的需求，并且随着需求增加，将来还可以迅速、方便地部署更多的网络节点。无线网弥补了有线网的缺陷，可在需要的时间和地点经济有效地拓展连接能力，撇弃了传统有线局域网在提供完善数据服务方面的不足，为楼网乃至企业网的建设，特别是解决公共区域的局域网建设，提供了新的思路和解决方案。1企业所需信息化网络应具备的特点（1）作为一个基于企业Intranet的信息管理和应用的网络系统，提供相应的各种服务；（2）网络上各种软、硬件资源能得到共享，并能快速、稳定地传输各种信息，提供有效的网络信息管理手段；（3）采用开放式、标准化的系统结构，以利于功能扩充和技术升级；（4）能够与外界进行广域网的连接，提供、享用各种信息服务；（5）具有完善的网络安全机制；（6）能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。2企业无线办公网络的网络结构2.1核心层：核心层多业务、高可靠、大容量设计，所有关键部件均采用冗余热备份设计，采用分布式路由转发处理引擎，支持真正热插拔、热备份；支持完善的DiffServ/QOS保障：实现简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能，使网络成为一个可以同时承载数据、语音和视频业务的综合网络。2.2分布层：通过Vlan划分实现不同部门内部访问安全的要求。配置公司各种服务器，满足公司日常业务所需进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括ACL访问控制列表、EIGRP路由协议等。2.3接入层：为企业员工提供最终的用户接入。3路由协议的选择3.1EIGRP路由协议。常用的动态路由协议主要是EIGRP协议和OSPF协议，由于OSPF协议在网络区域划分和网络属性的复杂性，并且需要网络分析员具有较高的网络知识水平才能配置和管理OSPF网络，且OSPF协议只选择优先级较高的转发，不能实现负载分担，且实现负载均衡较难。由于公司核心架构都采用CISCO设备，因此使用EIGRP协议为最佳选择。EIGRP协议的对等路由器之间周期性发送很小的hello报文，因此占用带宽少；EIGRP协议使用DUAL算法在路由计算中不会出现路由环路，因此加速了收敛时间；运行EIGRP协议进程的路由器之间可以配置MD5认证，确保了路由获得的安全性。3.2CHAP认证。PPP封装认证方式有PAP认证和CHAP认证将定期的发出挑战且密码值是在进行不可预测的改变，因此很难遭受网络攻击，保证了会话的安全性。为了保证本次办公网络的安全性，在外网与内网的路由器之间我们配置了CHAP认证，确保了连接到内网的用户都是合法的。3.3DHCP验证。由于公司终端接入量较多，为了方便管理以及减轻网络管理人员的繁琐的工作量，在分布层的各网络无线路由器中都配置了DHCP功能。3.4ACL访问控制列表。根据公司网络需求，为了防止外界用户访问公司内网。在核心层交换机配置ACL。拒绝外接用户访问除公司明确允许的，如：WEB服务器等以外的任何设备；但不影响公司其他内部访问。3.5NAT验证。网络地址转换（NAT）技术是利用防火墙的地址转换功能，将内网的私有地址实现地址转换功能。防火墙可随机设置静态地址或者动态地址池，通过防火墙发往外部的数据报文从动态地址池中随机找地址来完成数据报文转发。通过地址转换可达到两个优点：一是因脏内部网络的结构；二是通过使用NAT负载功能，内部网络可使用私有保留地址，节约了网络成本。3.6VTP验证。在网络设计中，将各分布层的三层交换机作VTP的服务器而二层交换机作VTP的客户端。通过在各交换机上配置相同的域名和密码，可仅在VTP服务器上创建VLAN将信息发送到VTP客户端，从而节约了网络管理员的配置量，并且确保了创建VLAN信息保持一致。3.7WEB服务器。WEB服务器的主要功能是为用户提供网上信息浏览服务。在设计方案中WEB服务器主要是允许外接通过公司架构的WEB服务器，让其浏览用户了解公司企业文化和办公宗旨，并实时更新公司信息以及地产房屋市场信息以供用户网上参考及办公。3.8邮件服务器。电子邮件（E-Mail）是互联网最基本、但却是十分重要的组成部分之一，通过电子邮件可进行方便快捷的信息交流与共享。公司邮箱以该企业的域名作为邮箱后缀，既能体现了公司的品牌和形象，更能使公司邮件得到更安全的管理。4安全防范措施4.1开放认证。开放认证方法是802.nb标准中默认的认证方式，在明文状态下进行认证，认证过程如下：客户端向无线路由器发送认证请求，无线路由器确认认证，注册客户端；客户端发送连接请求给无线路由器，无线路由器确认请求，注册客户端。通常无线路由器的开放认证有三种策略：第一种策略为默认方式，允许任何客户端认证；第二种是只允许认证带有合法服务器标识ID（实际为SSID）的客户端，SSID相当于密码的作用；第三种是无线路由器只允许认证MAC地址在无线路由器的访问控制列表中的客户端。4.2共享密钥认证。共享密钥认证是基于WEP共享密钥的认证方法，前提是客户端和无线路由器中己经预先手动设置好了共享密钥，共享密钥认证与开放认证相似，只不过它使用WEP对认证过程进行加密，因而其安全性要高于开放认证。4.3无线局域网的加密技术。加密技术是网络安全的一项重要技术。IEEE为无线局域网提供了三种安全性保护协议：WEP、TKIP、CCMP。主要的方法有无线局域网E无线路由器策略、无线局域网鉴别与保密基础架构W无线路由器I以及IEEE802.11标准中的WPA等等。其中W无线路由器I是我国自主研发的、拥有自主知识产权的无线网络安全标准而TKIP主要进行无线网络产品的互通性测试。然而，这些还联够，还需要一些增强方法和策略等。4.4选择无线局域网安全策略的原则。确保无线局域网网安全可以说“三分靠技术，七分靠策略”，无线局域网部署中要适当应用安全技术，合理选择安全策略。在部署无线局域网时，只要结合自身的网路安全实际需求，合理选择无线局域网的安全策略，提供足够的网络安全防护，就可以安心的享受无线接入的便捷，同时也能保证重要数据的安全。首先对无线局域网的各种安全措施以及无线路由器类型进行比较，最后选择基本安全、增强安全和扩展安全三种无线局域网部署方案。参考文献：[1]于雷，余兆明.高校校园无线局域网部署方案的分析研究[J].中国科技信息，2008（04）.[2]董春庆.无线网络局域网技术及应用[J].网络世界，2007（06）.作者简介：黄丹（1979.10-），女，满族，吉林辽源人，教师，讲师，学士学位，研究方向：网络安全。作者单位：辽源职业技术学院，吉林辽源136200