淺析無(wú)線WiFi局域網(wǎng)覆蓋系統(tǒng)的常見(jiàn)問(wèn)題

李明君

（黑龍江建筑職業(yè)技術(shù)學(xué)院，黑龍江哈爾濱，150025）

目前市場(chǎng)上采用無(wú)線wifi 覆蓋的公共工程越來(lái)越多，特別是中大型無(wú)線Wifi 局域網(wǎng)項(xiàng)目，涉及到了網(wǎng)絡(luò)延時(shí)，信道規(guī)劃，同頻干擾等等實(shí)際問(wèn)題。

1 同頻干擾問(wèn)題的造成和根源

同頻干擾即相同的電磁波頻率信號(hào)互相干擾。實(shí)際上指的就是兩個(gè)或兩個(gè)以上無(wú)線AP 設(shè)備工作頻率如果相同，那么在同時(shí)收發(fā)數(shù)據(jù)時(shí)會(huì)產(chǎn)生干擾和延時(shí)。這種同頻率信號(hào)干擾在無(wú)線WiFi 覆蓋網(wǎng)絡(luò)中是一個(gè)不能回避的問(wèn)題。

在無(wú)線WiFi 最初的設(shè)計(jì)時(shí)，是沒(méi)有考慮到它會(huì)這么的普及，原本僅僅是為了一個(gè)區(qū)域內(nèi)的最多11 臺(tái)網(wǎng)絡(luò)無(wú)線設(shè)備接入而規(guī)劃的信道，但隨著WiFi 無(wú)線網(wǎng)絡(luò)的升級(jí)提速，單臺(tái)網(wǎng)絡(luò)無(wú)線設(shè)備同時(shí)占用2 個(gè)或4 個(gè)信道進(jìn)行傳輸，就導(dǎo)致了同頻干擾問(wèn)題的出現(xiàn)。單臺(tái)網(wǎng)絡(luò)設(shè)備占用2 個(gè)甚至4個(gè)信道，那么兩臺(tái)無(wú)線設(shè)備就需要相隔5 個(gè)信道才不會(huì)相互干擾。

2 無(wú)線WiFi 的信道應(yīng)該如何劃分

為了在無(wú)線覆蓋工程中減少信號(hào)的盲點(diǎn)，需要部署多臺(tái)無(wú)線AP 來(lái)完成無(wú)線覆蓋的區(qū)域重疊。要注意合理的規(guī)劃和使用無(wú)線信道，相鄰的AP 按1、6、11 相互隔開(kāi)。圖3 左邊同頻干擾嚴(yán)重，右邊改善一些，無(wú)線信號(hào)重疊部分會(huì)導(dǎo)致輕頻干擾。

3 如何避免同頻干擾

無(wú)線網(wǎng)絡(luò)同頻干擾會(huì)造成網(wǎng)絡(luò)丟包和延時(shí)，導(dǎo)致無(wú)線網(wǎng)絡(luò)質(zhì)量變得相當(dāng)差，網(wǎng)速變得很慢，由于兩個(gè)AP 工作頻率相同互相干擾，導(dǎo)致頻繁重復(fù)的發(fā)送數(shù)據(jù)，網(wǎng)絡(luò)使用越頻繁，同頻干擾越嚴(yán)重。

圖1 同一個(gè)區(qū)域中最多三個(gè)無(wú)線AP,分別相隔5 個(gè)信道，才不會(huì)互相干擾

要想有效的避免同頻干擾，相鄰的AP 須按1、6、11相互隔開(kāi)，盡量拉長(zhǎng)同一信道得間隔距離。移動(dòng)和電信采用專業(yè)天饋式覆蓋，工業(yè)級(jí)無(wú)線AP 通過(guò)饋線分接4～8 個(gè)天線，1 個(gè)AP 占用一個(gè)信道覆蓋一層樓或整棟建筑，有效的避免同頻干擾。

圖2 信道規(guī)劃不合理導(dǎo)致的同頻干擾

圖3 盡量減少AP 數(shù)量，避免同頻干擾

4 MAC 地址的欺騙與通信攔截

在802.11 網(wǎng)絡(luò)中對(duì)無(wú)線傳輸?shù)膸瑪?shù)據(jù)是不進(jìn)行認(rèn)證的，那么入侵者能夠使用通過(guò)欺騙幀造成ARP 表的混亂，或者還可使用一些容易的方法來(lái)獲取無(wú)線網(wǎng)絡(luò)中各接入端的MAC 地址來(lái)進(jìn)行惡意的攻擊。

入侵者除了可以以此發(fā)起攻擊外，還可以發(fā)現(xiàn)無(wú)線AP設(shè)備中的認(rèn)證缺陷。由于802.11 無(wú)法證明無(wú)線AP 設(shè)備真的是一個(gè)AP，使得入侵者很容易以無(wú)線AP 設(shè)備的身份進(jìn)入網(wǎng)絡(luò)，從而使入侵者可以進(jìn)一步獲取認(rèn)證身份信息來(lái)進(jìn)入網(wǎng)絡(luò)。在沒(méi)有采用802.11i 對(duì)每一個(gè)802.11MAC 幀進(jìn)行認(rèn)證的技術(shù)前，這樣的網(wǎng)絡(luò)入侵是無(wú)法避免的。必須將無(wú)線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開(kāi)才能最大限度的避免此種威脅的存在。

5 未經(jīng)授權(quán)使用服務(wù)

絕大多數(shù)的無(wú)線AP 設(shè)備都是按照出廠時(shí)的默認(rèn)配置來(lái)開(kāi)啟WEP 進(jìn)行加密的。由于無(wú)線局域網(wǎng)的開(kāi)放式訪問(wèn)方式，未經(jīng)授權(quán)者可以輕易的進(jìn)入到開(kāi)放式的無(wú)線WiFi 網(wǎng)絡(luò)中，不但耗用網(wǎng)絡(luò)資源增加擁堵，而且在不遵守網(wǎng)絡(luò)服務(wù)商的條款時(shí)，還可能會(huì)導(dǎo)致ISP 服務(wù)中斷。

訪問(wèn)權(quán)限是基于用戶身份而獲得的，而未被認(rèn)證的用戶是要阻止其進(jìn)入網(wǎng)絡(luò)的。那么對(duì)認(rèn)證過(guò)程進(jìn)行加密就成為了先決條件。網(wǎng)絡(luò)配置成功后，嚴(yán)格的認(rèn)證方式和策略非常重要。除此以外不定期的網(wǎng)絡(luò)測(cè)試也是確保網(wǎng)絡(luò)設(shè)備配置正常的重要手段。

6 入侵

由于絕大多數(shù)的無(wú)線WiFi 網(wǎng)絡(luò)都是開(kāi)放式的，同時(shí)為了能夠使用戶很容易的發(fā)現(xiàn)WiFi 網(wǎng)絡(luò)的存在，WiFi 設(shè)備必須不斷的發(fā)送有特定參數(shù)的信標(biāo)幀，這就導(dǎo)致了入侵者能夠獲得一些基本的網(wǎng)絡(luò)信息。入侵者可以使用類似高敏天線的設(shè)備從比較遠(yuǎn)的距離發(fā)起對(duì)網(wǎng)絡(luò)的攻擊而不需要有線網(wǎng)絡(luò)方式的硬件接入。

采用一種高成本的方式如增設(shè)建筑物的電磁屏蔽來(lái)防止電磁波的泄漏，可以使開(kāi)放式的WiFi 網(wǎng)絡(luò)成為封閉式?；蛘咄ㄟ^(guò)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制從而減少WiFi 網(wǎng)絡(luò)配置中存在的風(fēng)險(xiǎn)。在實(shí)施過(guò)程中如將無(wú)線AP 設(shè)備配置在硬件防火墻設(shè)備的上一級(jí)，那么當(dāng)采用VPN 技術(shù)來(lái)連接主網(wǎng)絡(luò)時(shí)會(huì)相對(duì)的比較安全，當(dāng)然使用IEEE802.1x 標(biāo)準(zhǔn)下的新型無(wú)線WiFi 設(shè)備可以取得更好的效果。通過(guò)企業(yè)網(wǎng)絡(luò)中已經(jīng)建立好的數(shù)據(jù)庫(kù)，IEEE802.1X 無(wú)線網(wǎng)絡(luò)的前端認(rèn)證可以轉(zhuǎn)換到有線網(wǎng)絡(luò)中的RASIUS 認(rèn)證。

圖4 非法AP

7 非法進(jìn)入的AP

由于wifi 無(wú)線網(wǎng)絡(luò)本身就是為了便于用戶接入，同時(shí)其信號(hào)網(wǎng)絡(luò)又是開(kāi)放性的，所以無(wú)線wifi網(wǎng)絡(luò)具有配置簡(jiǎn)單、易于訪問(wèn)的特點(diǎn)。那么就導(dǎo)致了隨便什么人都可以使用自己的無(wú)線AP 設(shè)備，在不經(jīng)授權(quán)的情況下而接入網(wǎng)絡(luò)。這些非法進(jìn)入的AP 會(huì)給網(wǎng)絡(luò)的安全與穩(wěn)定帶來(lái)很大的隱患。

高頻率的對(duì)站點(diǎn)進(jìn)行定期監(jiān)測(cè)和審查，可以大大提高發(fā)現(xiàn)非法配置站點(diǎn)的幾率。

8 傳輸流量的偵聽(tīng)與分析

由于802.11 控制不了入侵者對(duì)網(wǎng)絡(luò)流量的被動(dòng)偵聽(tīng)，從而使任意的無(wú)線WiFi 分析設(shè)備都能夠隨意地偵聽(tīng)未進(jìn)行加密的傳輸流量。

WEP 僅能保護(hù)用戶和通信的原始數(shù)據(jù)，而且無(wú)法加密認(rèn)證控制幀，致使入侵者有機(jī)會(huì)以欺騙幀的方式中止流量的傳輸。新型的無(wú)線WiFi 設(shè)備利用密鑰管理協(xié)議使秘鑰每15分鐘就可以更換一次，提高了防護(hù)的等級(jí)。但是當(dāng)傳輸比較重要或敏感的數(shù)據(jù)時(shí)，僅僅使用WEP 加密就無(wú)法滿足要求。需要采用更加可靠的協(xié)議進(jìn)行加密，如IPSec、SSH、SSL等加密技術(shù)，來(lái)進(jìn)一步提高數(shù)據(jù)的安全等級(jí)。

WAP-3502C 可以對(duì)覆蓋區(qū)域內(nèi)的wifi 報(bào)文進(jìn)行偵聽(tīng)。

9 低速信標(biāo)導(dǎo)致的網(wǎng)絡(luò)癱瘓

無(wú)線WiFi 網(wǎng)絡(luò)的傳輸帶寬是有限的，由于傳輸設(shè)備和線纜等的消耗，使得無(wú)線WiFi 網(wǎng)絡(luò)的實(shí)際最高傳輸帶寬僅僅達(dá)到標(biāo)準(zhǔn)的一半，并且該帶寬還是被無(wú)線網(wǎng)絡(luò)中的所有用戶共享的。

現(xiàn)在的接入設(shè)備發(fā)射功率都不算低，2.4Ghz 覆蓋范圍大，當(dāng)在高舉架大空間沒(méi)有無(wú)建筑構(gòu)件阻礙信號(hào)的空間中時(shí)，即使位于遠(yuǎn)離信號(hào)發(fā)射設(shè)備的地方，也會(huì)以比較低的連接速率進(jìn)行無(wú)線覆蓋，這就造成了遠(yuǎn)距離用戶的低速率接入，用戶既無(wú)法有效連接還會(huì)因接入用戶過(guò)多而把整個(gè)信道搞到堵死。只要將低連接速率的遠(yuǎn)距離用戶信標(biāo)關(guān)閉，例如在802.11g 中只連接36M/s、48M/s、54M/s，其他相對(duì)較低的速率一律不再連接來(lái)解決此種問(wèn)題。

10 結(jié)語(yǔ)

對(duì)于以上常見(jiàn)的無(wú)線Wifi 覆蓋問(wèn)題，在采用了合適的方法、技術(shù)及產(chǎn)品后，都可以得到相對(duì)有效的解決。