账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
建构一个零障碍的无线网路环境
超越时空限制

【作者: 劉芳吟】2007年04月26日 星期四

浏览人次:【4047】

前言

资讯科技日新月异,而资讯化的所衍生的话题,从Internet 的蓬勃发展,到电子商务的盛行,演进到e 化,进而延伸到m( mobile )化,对于资讯的取得,不仅在速度要求不断提升,甚至要达到不再受地域的影响,能够随时随地进行。就是这样的趋势,促使无线技术的蓬勃发展。


随着无线网路技术的日趋成熟,网路规划人员对于无线网路所关心的议题,已逐渐由是否采用无线网路,进展至如何规划无线网路,乃至无线网路所产生的安全的网管课题。面临企业主提高网路效能的要求下,如何规划应用,方能发挥无线网路机动化与弹性化的特,改善使用者的作业流程,提升营运效率,并进一步创造「时空零障碍,沟通无界限」的使用环境,成为网路规划人员瞩目的焦点。


无线网路的演进

IEEE 802.11b 标准

以往无线网路大多局限在特殊应用领域与环境中使用,各厂商也分别订立了不同的专有规格,尽管IEEE 802.11 标准早已通过,在早期技术尚不够成熟、传输速率只有2 Mbps、价格仍偏高的情况下,除了仓储、医院等特殊垂直市场,或少数用户受制于环境无法布线而不得不选用无线网路方案,一般用户采用无线网路的意愿并不高。直至IEEE 802.11b 标准的确立,由于传输速率大幅跃升为11Mbps,其大频宽的特,加上成本急遽下降与产品技术已臻成熟的大环境化作用,市场需求开始大量涌现,无线网路自此迈进了一个新的领域。


现今市场上的主流无线网路产品,清一色全为符合IEEE 802.11b 规范之产品,亦即使用2.4GHz 工业医疗科学频道( ISM ),采用DSSS 展频技术,传输速率可达11Mbps 之无线网路设备。在其价格速率比日趋合理的情况下,应用领域也从金字塔顶端向下拓展,由以往边陲零散的网路规划,逐渐升为整个企业网路架构的要角;使用范围也逐渐从垂直市场延伸到企业的网路架构,甚至走入SOHO 族与家庭,满足个人机动化弹性连网的需求。


何谓无线网路架构?

市面上无线网路产品的种类繁多,依据使用架构,大略可分为下列几类:


《图一 无线网络设备的产品》
《图一 无线网络设备的产品》

1.Bridging-无线骨干网

即连接多个LAN 的无线网路设备,多为无线桥接器Wireless Bridge,由于支援Spanning Tree 功能,可一对多延伸串接多个LAN,并可以中继站模式大幅延伸无线连网距离,适用于连接多个零散分支机构的网路。若仅针对连接远端小型工作群组网路,则可使用 Wireless Workgroup Bridge,便可有效节省成本。



《图二 Cisco Aironet 无线骨干网远距天线产品》
《图二 Cisco Aironet 无线骨干网远距天线产品》

2.Roaming-无线漫游网

即常见应用于室内的无线漫游应用,须由数个无线存取站Access Point,布成互相重叠的无线电波传输范围,在一般电脑、Notebook、PDA 等端点设备,便可使用各式PCMCIA/ PCI/ISA 无线网路卡,在电波范围内自由移,透过Access Point 互相连网,或者存取主干有线网路的资源。部份厂商并提供 RS-232 或 LAN 界面的外接式无线端点设备,供一般仪器设备或 Server 直接无线连网。


3.天线与配件

有了各式无线网路设备,便可因应不同环境的应用需求。然而,无线网路是使用 ISM 频道,通常设备功率都仅有100mW,在合法的情况下要加强电波传送范围,便须仰赖各式天线。在无线网路布建工程中,天线往往是影​​响传输品质的关键因素,例如在Bridging 应用中,必须搭配高增益远​​距定向无方向天线,才能有效延伸传输范围达数十公里远,并维持高稳定度的传输品质。以目前国内最远之实际应用-花莲县网中心与学区内国小远达20 公里远之无线骨干,即是采用 23 dBi碟型天线达成。即使在室内 Roaming 应用,也须各式定向 无向天线配合,才能有效减少传输死角,确保漫游 handoff 时顺畅不断讯。


另外一项常被忽略的配件,便是无线网路避雷设备。由于台湾地区经常发生雷阵雨,而无线设备又经常安装于建筑物屋顶,较易受到雷击威胁,除了建筑物本身的必须架设避雷针工程外,装设于屋顶之无线设备,须再加装避雷器。当通过的瞬间电流超过一定程度,避雷器便会立刻将电路阻绝,保护无线设备不至损坏,如此方是完全之策。


无线网路够安全吗?

在建构无线网路同时,最受大家关心与讨论的课题,便是无线网路究竟够不够安全。无线网路的资料传输方式,由于是无形散布在空中,事实上只要在电波的涵盖范围内,非合法的用户是可能拦截到这些讯号并尝试破解的。而随着电脑运算能力的提升,骇客的攻击技术也越来越高强,相形之下,无线网路的安全加密机制益发重要。


1.WEP 加密技术

IEEE 802.11 同时规范了 WEP( Wired Equivalent Privacy )加密技术,提供较可靠的无线网路资料传输模式,即采对称的方式,用相同的金钥演算作为加解密资料之用。 WEP 技术包含了网路登入管制,用以预防无正确WEP 金钥的使用者未经授权登入网路,如此,便可避免其他采了同厂牌同型号无线设备的使用者,随意登录网路。所传输之资料,也惟有正确 WEP 金钥的使用者,才能对资料进行解密。


依据加解密金钥长度的不同,区分为40 bit 与 128 bit 两种层级。时至今日,在电脑处理速度与骇客入侵技术均大幅增进的情况下,40 bit 的 WEP 事实上已不敷需求。目前较可靠的,是采用 128 bit 的 WEP 加密技术,这也成为目前企业选 无线网路时的基本配备规格。


尽管 128 bit WEP 提供了相当程度的安全保障,WEP 技术的特 ,仍存在一些管理上的隐忧。由于WEP 使用固定的密码来演算金钥,随着设备增多,每次采无线网路设备时,可能获知这个密码的网管人员或者无线网卡持有人也会越来越多,一旦发生员工离职,密码便有外泄的可能;另外一个问题是,这组密码静态存放于用户端的设备内,当设备失窃时,原来的合法用户便无法再登入网路,反倒是窃取设备的人可以利用无线网路登入企业内部网路了。即使即时发现这些管理上的问题,要全面更换已经分发给各个使用者的无线网卡 WEP 金钥,又是一项耗时费力的大工程。这也是部份使用者对现今无线网路安全 仍存有疑虑的主要原因。


2.安全进击的动态加密技术

由于这些安全上的隐忧,更高阶的安全管理机制也应运而生。着眼于原先WEP使用同一组金钥,且静态储存于端点设备可能引发的问题,支援IEEE802.1x 安全标准的态加密技术( Dynamic Wired Equivalent Privacy ),便规范了在每次端点登入时,立刻态进行网路存取授权认证并分发加密金钥,使得无线网路的资料安全,有了进一步的保障。


3.ACS Server 统一管理授权认证

使用动态加密技术须在网路上设置一部 ACS Sever( Access Control Service Server ),对所有网路使用者进行统一管理与授权认证。当使用者登录时,会先确定使用者的帐号与密码,确认使用者合法之后,再发给该时段该用户的特定金钥给使用者与无线存取站,让使用者可以透过存取站登入网路。如此,即使是相同的使用者,在不同的时段登入,所取得的金钥也不同。由于金钥的分发须以使用者网路登入合法为前提,当使用者的设备遭窃时,公司网路也没有遭受入侵的顾虑。而认证的方式并非无线存取站与网卡的单向认证,网卡也必须认证存取站是否合法,便可进一步防止不明存取站登录及骇客的攻击。此外,藉由中央控管授权认证 态产生金钥,当有使用者离职时,也不须再召回所有 Client 端设备修改密码。


动态加密技术运作流程说明如下:参阅(图三)


1.端点无线网卡与无线存取站进行沟通


2.无线存取站阻断使用者直接进入网路


3.使用者以使用者帐号与密码登入网路


4.ACS Server 依据端点使用者登入之帐号密码相互认证,认证通过后,端点获得一组 WEP 金钥


5.ACS Server 传送一组金钥给存取站


6.Client 端及 APP 启动 EP 并使用金钥传输


《图三 动态加密技术运用的流程》
《图三 动态加密技术运用的流程》

加密对传输效能的影响

完备的安全防护,再加上高速的传输速度,是许多网管人员规划无线网路的完美理想。然而,无线网路设备在启128 bit 的WEP 加密功能后,除了要演算金钥外,还要进行金钥与资料混合运算的工作,而接收资料时,也需以同样的方式进行解密的工作,庞大的运算工作量,若非在设备硬体设计上另寻解决方案,对传输效能的负面影响几乎无可避免。


依据国外PC Magazine 杂志的无线网路性能测试报告便指出,大部分无线网路产品在WEP 加密功能启动后,传输性能均大幅衰减,程度多在10% 以上,如Symbol Technologies(以3Com 为例)衰减程度为9.4%,Lucent Orinoco 性能衰减程度甚至达16.8%。 Cisco-Arionet 则是唯一启动 128 bit WEP 后性能几乎没有衰减的产品( 0% )。究其原因,在于其无线网路设备本身即设计了硬体执行加密运算工作,方能有优异的性能表现。参阅(图四)


《图四 无线网络性能测试报告 (启动 WEP功能)》
《图四 无线网络性能测试报告 (启动 WEP功能)》

无线网管课题日益重要

建置无线网路环境后,随之衍生而来的无线网路网管课题,正考验着网管人员。初期当无线设备尚属少数、架构仍较单纯时,无线网管问题的重要或许尚不显著,但随着无线设备增多,架构也愈形庞大而复杂时,如何维护网路顺畅,确保网路的安全,并使整体网路性能最佳化,便需要专业的诊断分析工具才能胜任。


无线网管软体除了可以控无线电波通讯状况,管理网路上所有的无线设备,并可将网管人员熟悉的网路管理工具带进无线网路世界,针对所有网路流量所撷取之包或过滤包组进行统计分析,提供完整的即时控统计资料。网管人员更可借此进行网路问题故障排除,迅速判别网路通讯问题发生点在有线或无线网路。


无线网管软体另外一项重要功能,便是能够做为网路安全控管的辅助工具。由于它能够严密 控WEP加密后的网路 包流向与去向,并能辨识多次密码错误的尝试登录 作,便可借此找出是否有可疑的潜在攻击者。


慎选规划是成功无线网路的基础

无线网路可以带来随时随地机动连网的弹性效益,然而,建置成功的无线网路,所需考虑的课题相当多,从一开始了解应用需求、现场查勘环境、实地测试通讯品质、决定设备天线与架设地点、到后续安装施工、避雷工程...等,在在都需要有实务经验的专业厂商协助规划,方能以最佳成本效益,创造最符合使用需求的无线网路环境。对企业而言,管理面的需求更须同时兼顾,今日企业建置无线网路已不仅仅是为使用者提供一个通讯品质稳定良好、可随时随地弹性漫游的网路环境,无线网路的管理与安全课题若未尽早与厂商讨论规划,往后将成为企业网路管理漏洞的一大隐忧。


(本文作者任职于翔益科技)






 


相关文章
以Wi-Fi无线通讯设备增进仓储物流效率与安全
帮浦设备迈向智慧生产的第一步
OTA测试决定5G通讯成败关键
厌祝Wi-Fi技术诞生20周年(III)
厌祝Wi-Fi技术诞生20周年(II)
comments powered by Disqus
相关讨论
  相关新闻
» 资策会携手日本5GMF推动5G发展趋势及创新应用
» Satellite 2024:仁宝携手耀登与富宇翔展示全新卫星通信解决方案
» 圆展与新光保全合作打造远距照护服务
» 远传以智慧空品解决方案打造健康永续城市
» 工研院MWC 2024展会直击 5G-A无线通讯、全能助理成下一波AI风潮


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83T7INE08STACUK2
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw