無線網(wǎng)橋遠(yuǎn)程連接方案.docVIP

租用到線路；有些場(chǎng)合根本無法采用有線鏈接；多專線路由器的治理費(fèi)用和復(fù)雜度高；因此，利用AboveCable的遠(yuǎn)程網(wǎng)橋方案來構(gòu)建多個(gè)建筑物之間網(wǎng)絡(luò)互連有著有線網(wǎng)絡(luò)不可替代的優(yōu)勢(shì)：節(jié)省專線的安裝費(fèi)用，免除月租費(fèi)；獲得長(zhǎng)距離、高帶寬的無線鏈路；極短的建設(shè)周期，建完即可投入使用；不受非凡地點(diǎn)場(chǎng)合的限制，只要求現(xiàn)場(chǎng)供電保證；高性價(jià)比的點(diǎn)對(duì)點(diǎn)或點(diǎn)對(duì)多點(diǎn)的廣域網(wǎng)連接；消除治理路由器所帶來的高費(fèi)用和高復(fù)雜性；重塑性和擴(kuò)充性強(qiáng)，便于重新部署網(wǎng)絡(luò)；AboveCable的遠(yuǎn)程無線網(wǎng)橋應(yīng)用主要有以下幾種模式：點(diǎn)對(duì)點(diǎn)無線橋接模式點(diǎn)對(duì)點(diǎn)型無線網(wǎng)橋可用來連接兩個(gè)分別位于不同地點(diǎn)的網(wǎng)絡(luò)，一般由一對(duì)橋接器和一對(duì)天線組成。該對(duì)橋接器應(yīng)設(shè)置成相同的頻道，AboveCable的ACAP2020-11/B支持同步信道的功能，只需要改變一方的頻道，另一方便會(huì)自動(dòng)改變到相應(yīng)的頻道。在相距較遠(yuǎn)的兩點(diǎn)間，為了取得更好的橋接效果，AboveCable?提供了在橋接器和天線之間安裝雙向功率放大器的方案。雙向射頻放大器具有增益接收信號(hào)和放大輸出功率的功能，從而大大的擴(kuò)大了無線網(wǎng)橋的傳輸距離。AboveCable為不同的距離配置了多種型號(hào)的放大器，主要有輸出功率為0.5W(ACAM2005，ACAM2005/W)、1W(ACAM2010/W)和5W(ACAM2050/W)的三種放大器，通常一對(duì)0.5W的放大器可以支持大約10公里的無線橋接，20公里以上建議使用1W或5W的放大器。通過放大器和天線的相互配合，AboveCable無線網(wǎng)橋最大可以支持相距50公里的兩點(diǎn)之間的橋接。點(diǎn)對(duì)多點(diǎn)無線橋接模式點(diǎn)對(duì)多點(diǎn)的無線網(wǎng)橋能夠把多個(gè)離散的遠(yuǎn)程的網(wǎng)絡(luò)連成一體，結(jié)構(gòu)相對(duì)于點(diǎn)對(duì)點(diǎn)無線網(wǎng)橋來說較復(fù)雜。點(diǎn)對(duì)多點(diǎn)無線網(wǎng)橋通常以一個(gè)網(wǎng)絡(luò)為中心點(diǎn)發(fā)送無線信號(hào)，其他接收點(diǎn)進(jìn)行信號(hào)接收。中心點(diǎn)的天線在不同的項(xiàng)目中會(huì)采用不同的中心天線配置方案：全向天線： 全向天線將信號(hào)均勻分布在中心點(diǎn)四周360度全方位區(qū)域，適用于鏈接點(diǎn)距離較近，分布角度范圍大，且數(shù)量較多的情況；扇面天線： 扇面天線具有能量定向聚集功能，可以有效地進(jìn)行水平180度、120度、90度范圍內(nèi)的覆蓋，因此假如遠(yuǎn)程鏈接點(diǎn)在某一角度范圍內(nèi)比較集中時(shí)，可以采用扇面天線；定向天線： 定向天線的能量聚集能力最強(qiáng)，信號(hào)的方向指向性極好。因此當(dāng)遠(yuǎn)程鏈接點(diǎn)數(shù)量較少，或者角度方位相當(dāng)集中時(shí)，采用定向天線是最為有效的方案；組合天線： 上述三種天線各具一定的特性，因此在實(shí)際項(xiàng)目中，經(jīng)常會(huì)出現(xiàn)組合使用的情況，例如利用多幅扇面天線，或者扇面天線和定向天線相結(jié)合使用。 遠(yuǎn)程鏈接點(diǎn)通常會(huì)使用定向天線，通過精確的天線角度定位對(duì)準(zhǔn)中心點(diǎn)天線，進(jìn)行無線信號(hào)接收，完成無線橋接。 橋接中繼當(dāng)需要連接的兩個(gè)局域網(wǎng)之間有障礙物遮擋而不可視時(shí)，可以考慮使用無線中繼的方法繞開障礙物，來完成兩點(diǎn)之間的無線橋接。如圖所示，無線中繼點(diǎn)的位置應(yīng)選擇在可以同時(shí)看到網(wǎng)絡(luò)A與網(wǎng)絡(luò)B的位置，中繼無線網(wǎng)橋連接的兩個(gè)定向天線分別對(duì)準(zhǔn)網(wǎng)絡(luò)A與網(wǎng)絡(luò)B的定向天線，無線網(wǎng)橋A與無線網(wǎng)橋B的通訊通過中繼無線網(wǎng)橋來完成。構(gòu)建中繼網(wǎng)橋可以有兩種方式：?jiǎn)蝹€(gè)橋接器作為中繼器和兩個(gè)橋接器背靠背組成中繼點(diǎn)。單個(gè)橋接器可以通過分路器連接兩個(gè)天線。由于雙向通訊共享帶寬的原因，對(duì)于對(duì)帶寬要求不是很敏感的用戶來說，此方式是非常簡(jiǎn)單實(shí)用的。對(duì)帶寬要求較高的用戶，可采用背靠背兩個(gè)處于不同頻段的橋接器工作于無線網(wǎng)橋模式，每個(gè)無線網(wǎng)橋分別連接一個(gè)天線構(gòu)成橋接中繼，保證高速無線鏈路通訊。 在信息戰(zhàn)爭(zhēng)和戰(zhàn)場(chǎng)中，由于地點(diǎn)不確定而無法在移動(dòng)時(shí)訪問局域網(wǎng)網(wǎng)絡(luò)、增加新用戶時(shí)原有的端口不夠用等等諸如此類問題的困惑。隨著無線網(wǎng)絡(luò)技術(shù)的快速發(fā)展和成熟，以上問題將迎刃而解。本文在闡明無線網(wǎng)絡(luò)技術(shù)特點(diǎn)的基礎(chǔ)上，規(guī)劃了五種常見無線網(wǎng)絡(luò)的解決方案，并針對(duì)軍用無線網(wǎng)絡(luò)的保密與安全問題進(jìn)行了探討。1 引言隨著我軍信息化的不斷推進(jìn)，未來的戰(zhàn)爭(zhēng)就更多的依賴和依靠網(wǎng)絡(luò)來進(jìn)行數(shù)據(jù)傳輸和指揮作戰(zhàn)等，從戰(zhàn)爭(zhēng)的多變和戰(zhàn)場(chǎng)因素的不確定性來考慮，當(dāng)有線網(wǎng)絡(luò)出現(xiàn)故障或者遭到打擊破壞后，可以考慮使用無線網(wǎng)絡(luò)來替代有線網(wǎng)絡(luò)。臺(tái)灣以及美國(guó)等軍方，就有軍方網(wǎng)絡(luò)受到破壞或者打擊后，使用民用網(wǎng)絡(luò)或者其它網(wǎng)絡(luò)進(jìn)行替代的實(shí)際方案。無線網(wǎng)絡(luò)(WLAN)，即以無線電波等來代替有線局域網(wǎng)(LAN)中的部分或全部傳輸媒介，它是有線網(wǎng)絡(luò)的補(bǔ)充和延伸。在進(jìn)行網(wǎng)絡(luò)規(guī)劃中，在適當(dāng)?shù)膱?chǎng)合選用一些無線設(shè)備，并配置可行的網(wǎng)絡(luò)方案，可以加強(qiáng)我軍指揮或者作戰(zhàn)網(wǎng)絡(luò)的靈活性，可以作為緊急情況下的備用方案考慮，因此探討使用無線網(wǎng)絡(luò)在軍隊(duì)的使用具有一定的參考價(jià)值。2 無線網(wǎng)絡(luò)技術(shù)的主要特點(diǎn)(1)靈活性不需專用的線路，便于實(shí)現(xiàn)辦公。(2)投資少相對(duì)長(zhǎng)途專線和衛(wèi)星線路和微波線路來說，只需一次性設(shè)備投資，而不需專門的申請(qǐng)和審批。(3)應(yīng)用范圍廣可用于大樓局域網(wǎng)，也可用于建筑物之間(如運(yùn)行中心和備份中心之間);能夠在整個(gè)站點(diǎn)內(nèi)或選定的區(qū)域內(nèi)靈活且頻繁地改變LAN布線;任何其地點(diǎn)因建筑物或預(yù)算的限制(如建筑物是老舊的、空間是租賃性的或地點(diǎn)是臨時(shí)性的)而不適于使用LAN布線場(chǎng)合;任何需要視野內(nèi)建筑物到建筑物橋接設(shè)備所能提供的靈活性和成本節(jié)省的場(chǎng)合。(4)擴(kuò)展性強(qiáng)不需進(jìn)行重新布線和專線的申請(qǐng)就可以實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)展。無線網(wǎng)絡(luò)最遠(yuǎn)距離可達(dá)10公公里，因此對(duì)于部隊(duì)作戰(zhàn)演練可以快速部署作戰(zhàn)，靈活轉(zhuǎn)移，機(jī)動(dòng)性強(qiáng)。3 無線網(wǎng)絡(luò)解決方案3.1 室外點(diǎn)對(duì)點(diǎn)的連接(兩個(gè)有線局域網(wǎng)之間)室外點(diǎn)對(duì)點(diǎn)連接方案主要用于兩個(gè)有線局域網(wǎng)之間，如圖1所示，A網(wǎng)與B網(wǎng)分別為兩個(gè)有線局域網(wǎng)，現(xiàn)通過兩臺(tái)無線網(wǎng)橋?qū)蓚€(gè)有線網(wǎng)聯(lián)在一起，可通過網(wǎng)橋上的RJ45口或BNC細(xì)纜接口與有線網(wǎng)相接。每臺(tái)網(wǎng)橋上插有一塊無線PC卡，通過PC卡來完成無線鏈路的聯(lián)通。PC卡的射頻輸出端口，通過饋線接到天線。無線網(wǎng)橋連接完成后的效果類似于HUB級(jí)聯(lián)。3.2 室外中繼的連接(兩個(gè)有線局域網(wǎng)之間有障礙物)當(dāng)需要聯(lián)接的兩個(gè)有線局域之間有障礙物遮擋而不能可視時(shí)，可以考慮增加天線來解決。如圖2所示，可以在水平或垂直方向?qū)ふ乙粋€(gè)可以同時(shí)能看到A與B網(wǎng)的位置設(shè)置一個(gè)中繼用的無線網(wǎng)橋，連接方式與上例一點(diǎn)對(duì)兩點(diǎn)的大致相同，不同的只是中繼點(diǎn)可以有也可以沒有有線網(wǎng)。中繼點(diǎn)的目的只是為繞過障礙物。圖2室外中繼的連接3.3室外點(diǎn)到兩點(diǎn)連接(三個(gè)有線局域網(wǎng)之間)如圖3所示：A、B、C網(wǎng)分別為三個(gè)有線網(wǎng)，A網(wǎng)為中心點(diǎn)，外圍有B網(wǎng)和C網(wǎng)。無線網(wǎng)橋的接法與上一例點(diǎn)到點(diǎn)的非常相似，只是中心點(diǎn)A網(wǎng)的無線網(wǎng)橋上需插有兩塊無線網(wǎng)卡，兩塊無線網(wǎng)卡分別通過饋線接兩部天線，兩部天線分別指向B網(wǎng)和C網(wǎng)。圖3室外點(diǎn)到兩點(diǎn)連接3.4 室內(nèi)無線網(wǎng)絡(luò)如圖4所示：當(dāng)室內(nèi)布線不方便時(shí)，或有計(jì)算機(jī)的相對(duì)時(shí)，可以利用無線網(wǎng)卡插入計(jì)算機(jī)的方式解決，可以使插有無線網(wǎng)卡的客戶共享有線網(wǎng)資源，實(shí)現(xiàn)有線無線的共享。圖4室內(nèi)無線網(wǎng)絡(luò)3.5 室外點(diǎn)對(duì)多點(diǎn)并有路由功能的連接如圖5所示，為一點(diǎn)對(duì)多點(diǎn)且有路由功能的無線連接方案。A有線網(wǎng)為中心點(diǎn)，B、C、D分別為外圍的三個(gè)有線網(wǎng)，在本方案中，幾個(gè)有線網(wǎng)可以為不同網(wǎng)段。在無線設(shè)備上的選用有所不同，在中心點(diǎn)需要采用全向天線，并且需要有關(guān)專用路由軟件的支持，才能實(shí)現(xiàn)路由功能。圖5 室外點(diǎn)對(duì)多點(diǎn)并有路由功能的連接4 軍用無線網(wǎng)絡(luò)特殊要求無線網(wǎng)絡(luò)要在軍隊(duì)中應(yīng)用，最先考慮無線環(huán)境的安全性，其中包含了兩個(gè)最重要的因素連接控制與數(shù)據(jù)保密。連接控制在于確保機(jī)密資料只能由被授權(quán)的使用者存取;而數(shù)據(jù)保密則側(cè)重透過無線網(wǎng)絡(luò)傳遞的資料只能被特定使用者接收與解讀。4.1使用無線網(wǎng)絡(luò)自帶的安全手段無線網(wǎng)路協(xié)議802.11標(biāo)準(zhǔn)在連接控制方面，制定了包含開放與共享密鑰的兩種無線網(wǎng)路客戶端認(rèn)證機(jī)制;除此之外還提供了服務(wù)識(shí)別碼SSID (Service Set Identifier)和MAC地址認(rèn)證機(jī)制。在802.11標(biāo)準(zhǔn)中采用WEP加密法來保護(hù)無線網(wǎng)絡(luò)基站與客戶端網(wǎng)絡(luò)間的資料安全。其加密方式為利用40位或128位的密鑰，透過RC4演算法對(duì)資料進(jìn)行加密。 WEP密鑰還可被視為一種控制存取的機(jī)制，當(dāng)使用者缺少WEP密鑰時(shí)，將無法從無線網(wǎng)絡(luò)存取點(diǎn)接收或傳送資料。(1)開放式認(rèn)證開放式認(rèn)證本身是一種無效的認(rèn)證演算法，如果沒有配合數(shù)據(jù)加密技術(shù)，無線網(wǎng)路基站將會(huì)準(zhǔn)予任何來自客戶端的認(rèn)證要求，即任何知道基站SSID的客戶端裝置，都可以連線到此網(wǎng)絡(luò)。但若基站使用了WEP數(shù)據(jù)加密，WEP密鑰就成為了另一種存取控制機(jī)制。假設(shè)沒有WEP密鑰，客戶端就算是通過了認(rèn)證，也無法傳送資料到基站，更不用說將基站傳送出來的信息解碼。(2)共享密鑰式認(rèn)證共享密鑰式認(rèn)證是802.11標(biāo)準(zhǔn)中的第二種認(rèn)證模式，其要求客戶端先設(shè)定一個(gè)靜態(tài)的WEP密鑰;客戶端首先將共享密鑰的認(rèn)證要求(Authentication Request)傳送給基站;基站再傳送包含了認(rèn)證字串的認(rèn)證回應(yīng)(Authentication Response);客戶端使用其設(shè)定的WEP密鑰將該認(rèn)證字串加密編碼之后再傳送一個(gè)包含此加密信息的認(rèn)證要求給基站;如果基站可以成功地解密該消息，且此數(shù)據(jù)能與原傳送的認(rèn)證字串相符合，則基站將傳送連接回應(yīng)(Association Response)并開放與該客戶端的連接。(3)服務(wù)識(shí)別碼SSIDSSID主要是用來劃分不同無線網(wǎng)絡(luò)服務(wù)的區(qū)域，一般而言，客戶端需要設(shè)定適當(dāng)?shù)姆?wù)識(shí)別碼才能讀取到無線網(wǎng)絡(luò)。(4)MAC地址認(rèn)證MAC地址認(rèn)證并不包含于802.11標(biāo)準(zhǔn)中，但是有很多無線設(shè)備供應(yīng)商，運(yùn)作邏輯為基站可針對(duì)事先設(shè)定好的MAC地址名單，或是透過認(rèn)證服器來對(duì)客戶端進(jìn)行認(rèn)證;主要目的是加強(qiáng)開放式與共享密鑰式的認(rèn)證機(jī)制，進(jìn)一步限制未經(jīng)過授權(quán)的客戶端裝置對(duì)網(wǎng)絡(luò)進(jìn)行存取的動(dòng)作。以上四種安全機(jī)制在安全上都存在一定的缺陷，開放式認(rèn)證如果不配合其它安全措施，極易被攻擊;共享密鑰式認(rèn)證數(shù)據(jù)在被截獲后，也可以進(jìn)行解密;服務(wù)識(shí)別碼SSID可以通過無線網(wǎng)絡(luò)分析器，例如Sniffer Pro，即可從資料封包中找出基站的SSID。MAC地址認(rèn)證中的MAC地址以不加密的方式傳送，因此入侵者可直接經(jīng)由監(jiān)聽無線網(wǎng)路，取得一個(gè)可用的MAC地址。針對(duì)以上四種認(rèn)證機(jī)制存在的缺陷，后面提供了網(wǎng)絡(luò)層的加密技術(shù)IPSec、基于相互認(rèn)證以及密鑰發(fā)送方式的802.1x標(biāo)準(zhǔn)來加強(qiáng)無線網(wǎng)絡(luò)數(shù)據(jù)傳輸和控制的安全。(1)IPSecIPSec是一種開放式的通訊協(xié)議，能確保私有資料在IP網(wǎng)絡(luò)上傳送時(shí)的安全性。在無線環(huán)境中使用IPSec，必須在每個(gè)無線網(wǎng)絡(luò)的客戶端上安裝IPSec，并且在無線基站和有線網(wǎng)絡(luò)中間架設(shè)VPN通道，而任何無線網(wǎng)絡(luò)客戶端要傳送到有線網(wǎng)絡(luò)的通訊，也都必須建立IPSec通道。IPSec使用3DES演算法，并利用3個(gè)不同的密鑰將資料加密三次，借此確保資料的安全性。(2)802.1x與EAP標(biāo)準(zhǔn)IEEE 802.1x 與EAP(Extensible Authentication Protocol，可擴(kuò)充式驗(yàn)證協(xié)議)是新一代的無線網(wǎng)路安全標(biāo)準(zhǔn)。讓企業(yè)可采用符合標(biāo)準(zhǔn)且能集中管理的安全性架構(gòu)，來部署數(shù)千個(gè)使用者的無線網(wǎng)路環(huán)境。EAP允許無線網(wǎng)路客戶端使用多種不同的認(rèn)證方式，來與后端的