《无线局域网、www访问控制和网络架构与网管命令》由会员分享,可在线阅读,更多相关《无线局域网、www访问控制和网络架构与网管命令(33页珍藏版)》请在金锄头文库上搜索。
1、无线局域网、无线局域网、WWWWWW 访问控制和网络架构与网管命令访问控制和网络架构与网管命令SOHO 局域网首选无线 如今,无线局域网技术正在以惊人的速度发展,随着无线局域网设备性能的提高及价格的降低,它已经成为许多用户特别是小型用户和家庭用户构建局域网的首选。现 早在 20 世纪 90 年代初,工作在 900MHz、2.4GHz 和 5GHz(未经 FCC 授权)频点上的无线局域网设备就已经出现了,但是由于价格、性能、通用性等种种原因,它们没有得到广泛的应用。1997 年6 月,第一个无线局域网标准 IEEE802.11 正式颁布实施,它为无线局域网的物理层和 MAC 层提供了统一的标准。
2、在物理标准方面,IEEE802.11 提供了三种选择:DSSS(直接序列扩频)技术、FHSS(跳频扩频)技术和漫射红外线技术。根据这一标准,所有无线局域网设备的基准数据传输率为 1Mbps,同时它们都具有以 2Mbps传输速率传送数据的能力。几乎所有的无线网络设备供应商在生产符合 IEEE802.11 标准的设备时都选择了 DSSS 技术,没有一家选择漫射红外线技术。 1998 年 6 月,IEEE 又提出了一个新标准 IEEE802.11b,由于几乎所有的供应商都使用 DSSS,新标准的物理层相应地修订为只支持工作在 2.4GHz 的 DSSS。IEEE802.11b 相对于 IEEE802
3、.11 的主要进步是增加了对 5.5Mbps 数据传输速率和 11Mbps 数据传输速率的支持。数据传输速率的增加并不只是简单地加快系统时钟的频率,通信链路的带宽是其中的关键因素。对于无线局域网来说,可用的 RF频率很少,通过增加频段来增加带宽的方法是行不通的。IEEE802.11b 通过采用一个新的调制方式 CCK(complementary code keying)解决了这一问题,简单地说,CCK 可以将更多的数据打包进传输信号中,从而增加了带宽、提高了数据传输速率。对于IEEE802.11 系统,当系统工作在 1Mbps 时,采用的调制方法为BPSK,按照 BPSK,每个信号只能携带 1
4、 个比特,这样每秒钟大约要传送一百万个信号才能使数据传输速率达到 1Mbps。当系统工作在2Mbps 时,采用的调制方法为 QPSK,它可以使每个信号携带两个比特,这样在信号传输速率不变的情况下,就可以达到 2Mbps 的数据传输速率。而采用了 CCK 的 IEEE802.11b 系统可以使每个信号携带四个比特,同时它的信号传输速率也提升为 1.375Msps,这样它的数据传输率就可以达到 11Mbps。 最简单的设计方式 无线局域网在设计方面并不复杂,它只包括两个组成部分:接入点和客户机。任何一个客户机都可以和其他任何网络设备(包括客户机)进行通信,所以主要工作都集中在软件配置方面。 无线局
5、域网最简单的构成方式是不包括接入点的计算机对计算机结构。采用这种结构,可以在一分钟内在一间会议室里建立一个无线局域网,然后就可以在便携式计算机之间以 11Mbps 的速率传送数据。如果将无线局域网配置为无接入点的计算机对计算机的结构,所有在这个局域网中的计算机都通过相同数据通道互相通讯,这与有线局域网的工作方式非常相似。这种简单设置的无线局域网有一个明显的缺点,即无线网中的计算机无法共享公司已有的有线局域网中的资源。 通常,无线局域网采用包含接入点的网络结构,无线局域网的接入点设备分布在公司有线局域网的各个地方,通过它们,装配有无线局域网适配器的计算机就可以直接接入公司的局域网,接入点的作用就
6、如同无线的 HUB。在配置无线局域网接入点时,必须为每个客户机定义一个网络名 ESSID(Extended Service Set ID) ,无线局域网客户机必须通过 ESSID 与一个接入点相连。如果一个子网中有多个接入点,应为它们配置相同的 ESSID。 在客户端可以测量来自接入点的载波信号的强度,可以把这一数据作为依据,优化接入点在工作区内的配置,尽量使所有的无线客户机都能够接收到强度令人满意的信号。如果信号强度较低,但又不想增加接入点,为它增加一个高增益天线或许会有所帮助。 拥有多个接入点的 IEEE802.11 无线局域网支持漫游功能,这一特性内建在 IEEE802.11 标准中。无
7、线用户可以由一个接入点自由移动并无缝连接到另一个接入点。当一个无线用户失去了与一个接入点的信号后,无线局域网适配器就会自动地寻找下一个接入点,一旦找到,它就会与新接入点建立连接并断开与旧接入点的连接。如果精心布置接入点,就可以使移动用户走遍整个无线局域网而不失去与网络的连接。 有放心的安全 无线传输的特性决定了它对安全性有特别的要求,一个没有安全措施的无线局域网对于任何处在它的覆盖范围之内的移动客户都是开放的。想象一下,如果没有安全设施,竞争对手就可以在你的办公地点附近用一台便携式计算机接入到你的网络中获取情报。 部分无线局域网设备供应商,例如 Lucent 公司,提供了配置封闭式无线局域网的
8、技术,在这个网络中,客户不能扫描整个区域寻找接入点,它必须广播自身的 ESSID 给邻近的接入点,由接入点应答并向它提供接入服务。这样,只要 ESSID 不被泄漏,就能够阻止非法侵人。 对于不想使用封闭式无线局域网的用户,WEP 是另一种安全选择。WEP 为无线局域网提供了用户身份鉴定和加密功能,所有在无线局域网中传输的数据都使用 WEP 密钥加密,在加密时,收发双方都必须知道 WEP 密钥,只要做好密钥的保密工作,就可以阻止非法侵入。 三种实施方案 在 IEEE802.11 阵营以外,还有两种无线局域网解决方案,一种是 HomeRF,一种是 Bluetooth(蓝牙技术) 。HomeRF 是
9、一种基于FHSS 的低成本的解决方案,它的数据传输速率为 2Mbps,它主要面向家庭用户。HomeRF 对多媒体(声音、MPEG 图像)有较好的支持,这样对于家庭用户来说,它就可以将各种家用电器连接在一起。Bluetooth 最初是由 Ericsson 开发的,现在有很多供应商都在提供Bluetooth 产品。Bluetooth 是一种短距离(10 米) 、低成本、低速率(低于 1Mbps)的无线局域网解决方案。 这三种解决方案(IEEE802.11b、HomeRF 和 Bluetooth)估计将会在市场上进行激烈的竞争,虽然有所重叠,但它们各有各的用户范围:IEEE802.11b 以较高的性
10、能面对的是中小型企业级用户,HomeRF 面向的则是家庭用户,而 Bluetooth 将会首先运用于手机、家庭及办公室电话、小型 PBX 等电话系统中。这三种解决方案都工作在 2.4GHz,都采用扩频技术,IEEE802.11b 采用的是 DSSS,而HomeRF 和 Bluetooth 采用的是跳频方式。WWW 访问控制及客户帐号管理WWW 访问控制及客户帐号管理 互联网上网站建立以后,一个普遍的需求是能够方便地管理上站用户的账号信息,以及某些页面针对限定用户开放。比较好的一个解决方案是采用.htaccess 协议,但网上关于此协议的文档很多并没有讲清楚,包括一些示例也存在歧义,初学者很容易
11、迷惑。 一、 为什么选择 .htaccess 解决方案 众所周知,html 的一个缺点是本身无法保持状态,客户连接服务器获取一个页面后,对服务器而言,此连接就已不存在了,下一页将重新连接。如何跟踪用户,目前常用的有以下解决方案: 1在 html 的表单中利用隐藏输入域来传递信息,如: INPUT TYPE=hidden NAME=“username“ VALUE=“foresee“ VALUE 值即为状态信息,所以每次不同,不可能事先写好,只能通过 CGI 程序生成 HTML 页面: Print input type=hidden name=“origname“ value=“username
12、“ 这样,在下次表单重新提交时可以包含进去。 使用隐藏输入确实是保持状态的一种简单办法,但必须由 CGI程序生成页面,如大量使用,速度慢、不易于维护。 2向客户端发送 cookie cookie 是一种通过客户端的浏览器本身维持状态(甚至不同会话间)的方法。在浏览器访问站点时,调用 setcookie 在客户端建立 cookie,它将在以后每次连接到站点时返回给 Web 服务器,从而携带用户 ID。但 cookie 技术在使用中有以下缺陷,这甚至是致命的缺陷: 1) cookie 由于涉及到用户隐私的争论,所以缺乏广泛的支持,首先,不是所有的浏览器都支持 cookie,另外,像 IE 这样的浏
13、览器出于安全性的考虑,还可以设置屏蔽掉 cookie。所以,使用cookie ,至少要为客户提供其他选择。 2) cookie 缺乏安全保证,如果你的机器被别人使用访问 Web服务器,浏览器也会同样发送 cookie。 3会话 ID 会话 ID 是每个客户在到达 Web 站点时分配的惟一标识,多经由URL 自身传递。在有些站点我们可能见到很长、看起来很奇怪的URL,常常是一串数字或字母。也正由于这种方案将 URL 弄得长且怪,笔者不倾向采用此方案,所以也不是本文的主旨。 4建立服务器端客户文件 这种方案是在服务器端维护一个注册后的在线客户表,利用 IP地址等信息来保持客户状态。但这种方案不能独
14、立地解决我们的需求。很简单,如果几个客户使用同一个代理服务器(proxy)来访问Web Server,那么,在此方案下他们将被视为同一个用户。 5.htaccess 协议 .htaccess 实际是系统访问控制文件(ACF)族中的一个。该协议目前为大多数 UNIX 环境的服务器支持,例如,普遍采用的 Apache服务器较为通用(值得一提的是,与此相关的另一个文件为access.conf,还可实现基于主机域名/地址的访问控制) 。其优点为: 控制取决于服务器(当然目前 NT 除外) ,客户端具有很好的兼容性; 针对目录保护,可方便灵活地定制; 弹出窗口式密码校验简单明了,符合惯例; 客户注册后,
15、CGI 环境变量“REMOTEUSER”即为校验后的客户账号,在整个保护区访问无需再注册,有效地保持了状态。 二、 .htaccess 协议 实施步骤及要点 .htaccess 的具体实施步骤如下: 1规划目录,将要控制访问的所有文件集中至选定的目录里。 2在要存取控制目录下建立一个文件,文件名为“.htaccess” ,别忘了有一个“.” (以“.”开始的文件名在 UNIX 下表示是隐含文件) 。文件内容网上的很多地方都没有讲清楚,包括一些 ISP 提供的示例,也模糊不清。一个经验证的样本如下: AuthUserFile /path/.htpasswd AuthGroupFile /dev/
16、null AuthName Information AuthType Basic Limit GET POST PUT require validuser /Limit 黑体字需根据实际情况替换。其中: AuthName: 用户认证名,将会在密码检测框中出现,但注意应为一个单词,否则要用引号括起来; AuthType: 使用的认证方式, 缺省为: Basic; AuthUserFile: 认证用户口令文件绝对路径,请根据实际情况替换/path/; AuthGroupFile: 认证用户组别文件绝对路径; Limit GET /Limit: 标识访问特定目录访问控制段的开始/结束; require entity1 entity2: 要求认证的内容,entity1 可以是user、group; entity2 为认证用户或组名。这一项最需要特殊说明,它可导致几种不同的配置,这正是往往没被说清之处: 1) 不配置用户组时, 第二行的用户组别文件可设为:AuthGroupFile /dev/null。要求认证的内容则为:re
