无线网桥远程连接方案[1].doc

租用到线路；有些场合根本无法采用有线链接；多专线路由器的治理费用和复杂度高；因此，利用AboveCable的远程网桥方案来构建多个建筑物之间网络互连有着有线网络不可替代的优势：节省专线的安装费用，免除月租费；获得长距离、高带宽的无线链路；极短的建设周期，建完即可投入使用；不受非凡地点场合的限制，只要求现场供电保证；高性价比的点对点或点对多点的广域网连接；消除治理路由器所带来的高费用和高复杂性；重塑性和扩充性强，便于重新部署网络；AboveCable的远程无线网桥应用主要有以下几种模式：点对点无线桥接模式点对点型无线网桥可用来连接两个分别位于不同地点的网络，一般由一对桥接器和一对天线组成。该对桥接器应设置成相同的频道，AboveCable的ACAP2020-11/B支持同步信道的功能，只需要改变一方的频道，另一方便会自动改变到相应的频道。在相距较远的两点间，为了取得更好的桥接效果，AboveCable?提供了在桥接器和天线之间安装双向功率放大器的方案。双向射频放大器具有增益接收信号和放大输出功率的功能，从而大大的扩大了无线网桥的传输距离。AboveCable为不同的距离配置了多种型号的放大器，主要有输出功率为0.5W(ACAM2005，ACAM2005/W)、1W(ACAM2010/W)和5W(ACAM2050/W)的三种放大器，通常一对0.5W的放大器可以支持大约10公里的无线桥接，20公里以上建议使用1W或5W的放大器。通过放大器和天线的相互配合，AboveCable无线网桥最大可以支持相距50公里的两点之间的桥接。点对多点无线桥接模式点对多点的无线网桥能够把多个离散的远程的网络连成一体，结构相对于点对点无线网桥来说较复杂。点对多点无线网桥通常以一个网络为中心点发送无线信号，其他接收点进行信号接收。中心点的天线在不同的项目中会采用不同的中心天线配置方案：全向天线： 全向天线将信号均匀分布在中心点四周360度全方位区域，适用于链接点距离较近，分布角度范围大，且数量较多的情况；扇面天线： 扇面天线具有能量定向聚集功能，可以有效地进行水平180度、120度、90度范围内的覆盖，因此假如远程链接点在某一角度范围内比较集中时，可以采用扇面天线；定向天线： 定向天线的能量聚集能力最强，信号的方向指向性极好。因此当远程链接点数量较少，或者角度方位相当集中时，采用定向天线是最为有效的方案；组合天线： 上述三种天线各具一定的特性，因此在实际项目中，经常会出现组合使用的情况，例如利用多幅扇面天线，或者扇面天线和定向天线相结合使用。 远程链接点通常会使用定向天线，通过精确的天线角度定位对准中心点天线，进行无线信号接收，完成无线桥接。 桥接中继当需要连接的两个局域网之间有障碍物遮挡而不可视时，可以考虑使用无线中继的方法绕开障碍物，来完成两点之间的无线桥接。如图所示，无线中继点的位置应选择在可以同时看到网络A与网络B的位置，中继无线网桥连接的两个定向天线分别对准网络A与网络B的定向天线，无线网桥A与无线网桥B的通讯通过中继无线网桥来完成。构建中继网桥可以有两种方式：单个桥接器作为中继器和两个桥接器背靠背组成中继点。单个桥接器可以通过分路器连接两个天线。由于双向通讯共享带宽的原因，对于对带宽要求不是很敏感的用户来说，此方式是非常简单实用的。对带宽要求较高的用户，可采用背靠背两个处于不同频段的桥接器工作于无线网桥模式，每个无线网桥分别连接一个天线构成桥接中继，保证高速无线链路通讯。 在信息战争和战场中，由于地点不确定而无法在移动时访问局域网网络、增加新用户时原有的端口不够用等等诸如此类问题的困惑。随着无线网络技术的快速发展和成熟，以上问题将迎刃而解。本文在阐明无线网络技术特点的基础上，规划了五种常见无线网络的解决方案，并针对军用无线网络的保密与安全问题进行了探讨。1 引言随着我军信息化的不断推进，未来的战争就更多的依赖和依靠网络来进行数据传输和指挥作战等，从战争的多变和战场因素的不确定性来考虑，当有线网络出现故障或者遭到打击破坏后，可以考虑使用无线网络来替代有线网络。台湾以及美国等军方，就有军方网络受到破坏或者打击后，使用民用网络或者其它网络进行替代的实际方案。无线网络(WLAN)，即以无线电波等来代替有线局域网(LAN)中的部分或全部传输媒介，它是有线网络的补充和延伸。在进行网络规划中，在适当的场合选用一些无线设备，并配置可行的网络方案，可以加强我军指挥或者作战网络的灵活性，可以作为紧急情况下的备用方案考虑，因此探讨使用无线网络在军队的使用具有一定的参考价值。2 无线网络技术的主要特点(1)灵活性不需专用的线路，便于实现办公。(2)投资少相对长途专线和卫星线路和微波线路来说，只需一次性设备投资，而不需专门的申请和审批。(3)应用范围广可用于大楼局域网，也可用于建筑物之间(如运行中心和备份中心之间);能够在整个站点内或选定的区域内灵活且频繁地改变LAN布线;任何其地点因建筑物或预算的限制(如建筑物是老旧的、空间是租赁性的或地点是临时性的)而不适于使用LAN布线场合;任何需要视野内建筑物到建筑物桥接设备所能提供的灵活性和成本节省的场合。(4)扩展性强不需进行重新布线和专线的申请就可以实现网络的扩展。无线网络最远距离可达10公公里，因此对于部队作战演练可以快速部署作战，灵活转移，机动性强。3 无线网络解决方案3.1 室外点对点的连接(两个有线局域网之间)室外点对点连接方案主要用于两个有线局域网之间，如图1所示，A网与B网分别为两个有线局域网，现通过两台无线网桥将两个有线网联在一起，可通过网桥上的RJ45口或BNC细缆接口与有线网相接。每台网桥上插有一块无线PC卡，通过PC卡来完成无线链路的联通。PC卡的射频输出端口，通过馈线接到天线。无线网桥连接完成后的效果类似于HUB级联。3.2 室外中继的连接(两个有线局域网之间有障碍物)当需要联接的两个有线局域之间有障碍物遮挡而不能可视时，可以考虑增加天线来解决。如图2所示，可以在水平或垂直方向寻找一个可以同时能看到A与B网的位置设置一个中继用的无线网桥，连接方式与上例一点对两点的大致相同，不同的只是中继点可以有也可以没有有线网。中继点的目的只是为绕过障碍物。图2室外中继的连接3.3室外点到两点连接(三个有线局域网之间)如图3所示：A、B、C网分别为三个有线网，A网为中心点，外围有B网和C网。无线网桥的接法与上一例点到点的非常相似，只是中心点A网的无线网桥上需插有两块无线网卡，两块无线网卡分别通过馈线接两部天线，两部天线分别指向B网和C网。图3室外点到两点连接3.4 室内无线网络如图4所示：当室内布线不方便时，或有计算机的相对时，可以利用无线网卡插入计算机的方式解决，可以使插有无线网卡的客户共享有线网资源，实现有线无线的共享。图4室内无线网络3.5 室外点对多点并有路由功能的连接如图5所示，为一点对多点且有路由功能的无线连接方案。A有线网为中心点，B、C、D分别为外围的三个有线网，在本方案中，几个有线网可以为不同网段。在无线设备上的选用有所不同，在中心点需要采用全向天线，并且需要有关专用路由软件的支持，才能实现路由功能。图5 室外点对多点并有路由功能的连接4 军用无线网络特殊要求无线网络要在军队中应用，最先考虑无线环境的安全性，其中包含了两个最重要的因素连接控制与数据保密。连接控制在于确保机密资料只能由被授权的使用者存取;而数据保密则侧重透过无线网络传递的资料只能被特定使用者接收与解读。4.1使用无线网络自带的安全手段无线网路协议802.11标准在连接控制方面，制定了包含开放与共享密钥的两种无线网路客户端认证机制;除此之外还提供了服务识别码SSID (Service Set Identifier)和MAC地址认证机制。在802.11标准中采用WEP加密法来保护无线网络基站与客户端网络间的资料安全。其加密方式为利用40位或128位的密钥，透过RC4演算法对资料进行加密。 WEP密钥还可被视为一种控制存取的机制，当使用者缺少WEP密钥时，将无法从无线网络存取点接收或传送资料。(1)开放式认证开放式认证本身是一种无效的认证演算法，如果没有配合数据加密技术，无线网路基站将会准予任何来自客户端的认证要求，即任何知道基站SSID的客户端装置，都可以连线到此网络。但若基站使用了WEP数据加密，WEP密钥就成为了另一种存取控制机制。假设没有WEP密钥，客户端就算是通过了认证，也无法传送资料到基站，更不用说将基站传送出来的信息解码。(2)共享密钥式认证共享密钥式认证是802.11标准中的第二种认证模式，其要求客户端先设定一个静态的WEP密钥;客户端首先将共享密钥的认证要求(Authentication Request)传送给基站;基站再传送包含了认证字串的认证回应(Authentication Response);客户端使用其设定的WEP密钥将该认证字串加密编码之后再传送一个包含此加密信息的认证要求给基站;如果基站可以成功地解密该消息，且此数据能与原传送的认证字串相符合，则基站将传送连接回应(Association Response)并开放与该客户端的连接。(3)服务识别码SSIDSSID主要是用来划分不同无线网络服务的区域，一般而言，客户端需要设定适当的服务识别码才能读取到无线网络。(4)MAC地址认证MAC地址认证并不包含于802.11标准中，但是有很多无线设备供应商，运作逻辑为基站可针对事先设定好的MAC地址名单，或是透过认证服器来对客户端进行认证;主要目的是加强开放式与共享密钥式的认证机制，进一步限制未经过授权的客户端装置对网络进行存取的动作。以上四种安全机制在安全上都存在一定的缺陷，开放式认证如果不配合其它安全措施，极易被攻击;共享密钥式认证数据在被截获后，也可以进行解密;服务识别码SSID可以通过无线网络分析器，例如Sniffer Pro，即可从资料封包中找出基站的SSID。MAC地址认证中的MAC地址以不加密的方式传送，因此入侵者可直接经由监听无线网路，取得一个可用的MAC地址。针对以上四种认证机制存在的缺陷，后面提供了网络层的加密技术IPSec、基于相互认证以及密钥发送方式的802.1x标准来加强无线网络数据传输和控制的安全。(1)IPSecIPSec是一种开放式的通讯协议，能确保私有资料在IP网络上传送时的安全性。在无线环境中使用IPSec，必须在每个无线网络的客户端上安装IPSec，并且在无线基站和有线网络中间架设VPN通道，而任何无线网络客户端要传送到有线网络的通讯，也都必须建立IPSec通道。IPSec使用3DES演算法，并利用3个不同的密钥将资料加密三次，借此确保资料的安全性。(2)802.1x与EAP标准IEEE 802.1x 与EAP(Extensible Authentication Protocol，可扩充式验证协议)是新一代的无线网路安全标准。让企业可采用符合标准且能集中管理的安全性架构，来部署数千个使用者的无线网路环境。EAP允许无线网路客户端使用多种不同的认证方式，来与后端的