保护Wi-Fi无线网络安全的十一个技巧
03:22 , 北纬36度
保护Wi-Fi无线网络安全的十一个技巧
Wi-Fi生来就容易受到黑客攻击和窃听。但是,如果你使用正确的安全措施,Wi-Fi可以是安全的。遗憾的是网站上充满了过时的忠告和误区。下面是Wi-Fi安全中应该做的和不应该做的一些事情。
1.不要使用WEP
WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此,你根本就不应该使用WEP。如果你使用WEP,请立即升级到具有802.1X身份识别功能的802.11i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点,你要设法进行固件升级或者干脆更换设备。
2.不要使用WPA/WPA2-PSK
WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候,同一个预共享密钥必须输入到每一个客户。因此,每当员工离职和一个客户丢失或失窃密钥时,这个PSK都要进行修改。这在大多数环境中是不现实的。
3.一定要应用802.11i
WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用802.1X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。
实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,你要做的事情就是在中央服务器修改登录证书,而不是在每一台客户机上改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互窃听对方的通讯。现在,使用火狐的插件Firesheep和Android应用DroidSheep等工具很容易进行窃听。
要记住,为了达到尽可能最佳的安全,你应该使用带802.1X的WPA2。这个协议也称作802.1i。
要实现802.1X身份识别,你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系统,你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件,你可以考虑使用开源FreeRADIUS服务器软件。
如果你运行WindowsServer2008R2或以上版本,你可以通过组策略把802.1X设置到区域连接在一起的客户机。否则,你可以考虑采用第三方解决方案帮助配置这些客户机。
4.一定要保证802.1X客户机设置的安全
WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如,在Windows的EAP设置中,你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。
你还可以通过组策略把802.1X设置推向区域连接在一起的客户机,或者使用Avenda公司的Quick1X等第三方解决方案。
5.一定要使用一个无线入侵防御系统
保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如,黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击,你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统一般都监视虚假的接入点或者恶意行动,向你报警和可能阻止这些恶意行为。
有许多商业厂商提供WIPS解决方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6.一定要应用NAP或者NAC
除了802.11i和WIPS之外,你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
有些NAC解决方案可能包括网络入侵防御和检测功能。但是,你要保证这个解决方案还专门提供无线保护功能。
如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开源软件的PacketFence。
7.不要信任隐藏的SSID
无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络,或者至少可以隐藏你的SSID,让黑客很难找到你的网络。然而,这种做法只是从接入点信标中取消了SSID。它仍然包含在802.11相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。
一些人可能争辩说,关闭SSID播出仍然会提供另一层安全保护。但是,要记住,它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID,这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加,从而减少可用带宽。
8.不要信任MAC地址过滤
无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全,控制哪一个客户机能够连接到这个网络。这有一些真实性。但是,要记住,窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。
因此,你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是,你还要考虑保持MAC列表处于最新状态所面临的管理难题。
9.一定要限制SSID用户能够连接的网络
许多网络管理员忽略了一个简单而具有潜在危险的安全风险:用户故意地或者非故意地连接到临近的或者非授权的无线网络,使自己的计算机向可能的入侵敞开大门。然而,过滤SSID是防止发生这种情况的一个途径。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说,你可以仅仅拒绝临近网络的SSID,让它们仍然连接到热点和它们自己的网络。
10.一定要物理地保护网络组件的安全
要记住,计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方,如假吊顶上面或者考虑把接入点放置在一个保密的地方,然后在一个最佳地方使用一个天线。如果不安全,有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。
11.不要忘记保护移动客户
你的WiFi安全的担心不应该仅限于你的网络。使用智能手机、笔记本电脑和平板电脑的用户也许也要得到保护。但是,在他们连接到WiFi热点或者自己家里的路由器的时候会怎样呢?你要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。
遗憾的是保证WiFi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法,如提供和推荐解决方案以及教育用户有关WiFi安全风险和防御措施等。
首先,所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行WindowsServe操作系统,你可以通过组策略强制执行这个功能,你还可以使用WindowsIntune等解决方案管理非范围内的名计算机。
其次,你需要保证用户的互联网通讯是加密的以防止本地窃听,同时在其它网络上提供访问你的网络的VPN(虚拟专用网)接入。如果你不为这种应用使用内部的VPN,可以考虑使用HotspotShield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPodTouch)和Android设备来说,你可以使用这些设备本地的VPN客户端软件。然而,对于黑莓和WindowsPhone7设备来说,你必须设置一个消息服务器并且设置这个设备使用自己的VPN客户端软件。
你还应该保证你的面向互联网的服务是安全的,一旦用户在公共网络或者不可信任的网络上不能使用VPN的时候可以使用这个服务。例如,如果你提供你的局域网、广域网或者VPN以外的电子邮件地址,你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信息
Wi-Fi生来就容易受到黑客攻击和窃听。但是,如果你使用正确的安全措施,Wi-Fi可以是安全的。遗憾的是网站上充满了过时的忠告和误区。下面是Wi-Fi安全中应该做的和不应该做的一些事情。
1.不要使用WEP
WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此,你根本就不应该使用WEP。如果你使用WEP,请立即升级到具有802.1X身份识别功能的802.11i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点,你要设法进行固件升级或者干脆更换设备。
2.不要使用WPA/WPA2-PSK
WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候,同一个预共享密钥必须输入到每一个客户。因此,每当员工离职和一个客户丢失或失窃密钥时,这个PSK都要进行修改。这在大多数环境中是不现实的。
3.一定要应用802.11i
WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用802.1X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。
实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,你要做的事情就是在中央服务器修改登录证书,而不是在每一台客户机上改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互窃听对方的通讯。现在,使用火狐的插件Firesheep和Android应用DroidSheep等工具很容易进行窃听。
要记住,为了达到尽可能最佳的安全,你应该使用带802.1X的WPA2。这个协议也称作802.1i。
要实现802.1X身份识别,你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系统,你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件,你可以考虑使用开源FreeRADIUS服务器软件。
如果你运行WindowsServer2008R2或以上版本,你可以通过组策略把802.1X设置到区域连接在一起的客户机。否则,你可以考虑采用第三方解决方案帮助配置这些客户机。
4.一定要保证802.1X客户机设置的安全
WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如,在Windows的EAP设置中,你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。
你还可以通过组策略把802.1X设置推向区域连接在一起的客户机,或者使用Avenda公司的Quick1X等第三方解决方案。
5.一定要使用一个无线入侵防御系统
保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如,黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击,你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统一般都监视虚假的接入点或者恶意行动,向你报警和可能阻止这些恶意行为。
有许多商业厂商提供WIPS解决方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6.一定要应用NAP或者NAC
除了802.11i和WIPS之外,你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
有些NAC解决方案可能包括网络入侵防御和检测功能。但是,你要保证这个解决方案还专门提供无线保护功能。
如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开源软件的PacketFence。
7.不要信任隐藏的SSID
无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络,或者至少可以隐藏你的SSID,让黑客很难找到你的网络。然而,这种做法只是从接入点信标中取消了SSID。它仍然包含在802.11相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。
一些人可能争辩说,关闭SSID播出仍然会提供另一层安全保护。但是,要记住,它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID,这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加,从而减少可用带宽。
8.不要信任MAC地址过滤
无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全,控制哪一个客户机能够连接到这个网络。这有一些真实性。但是,要记住,窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。
因此,你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是,你还要考虑保持MAC列表处于最新状态所面临的管理难题。
9.一定要限制SSID用户能够连接的网络
许多网络管理员忽略了一个简单而具有潜在危险的安全风险:用户故意地或者非故意地连接到临近的或者非授权的无线网络,使自己的计算机向可能的入侵敞开大门。然而,过滤SSID是防止发生这种情况的一个途径。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说,你可以仅仅拒绝临近网络的SSID,让它们仍然连接到热点和它们自己的网络。
10.一定要物理地保护网络组件的安全
要记住,计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方,如假吊顶上面或者考虑把接入点放置在一个保密的地方,然后在一个最佳地方使用一个天线。如果不安全,有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。
11.不要忘记保护移动客户
你的WiFi安全的担心不应该仅限于你的网络。使用智能手机、笔记本电脑和平板电脑的用户也许也要得到保护。但是,在他们连接到WiFi热点或者自己家里的路由器的时候会怎样呢?你要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。
遗憾的是保证WiFi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法,如提供和推荐解决方案以及教育用户有关WiFi安全风险和防御措施等。
首先,所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行WindowsServe操作系统,你可以通过组策略强制执行这个功能,你还可以使用WindowsIntune等解决方案管理非范围内的名计算机。
其次,你需要保证用户的互联网通讯是加密的以防止本地窃听,同时在其它网络上提供访问你的网络的VPN(虚拟专用网)接入。如果你不为这种应用使用内部的VPN,可以考虑使用HotspotShield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPodTouch)和Android设备来说,你可以使用这些设备本地的VPN客户端软件。然而,对于黑莓和WindowsPhone7设备来说,你必须设置一个消息服务器并且设置这个设备使用自己的VPN客户端软件。
你还应该保证你的面向互联网的服务是安全的,一旦用户在公共网络或者不可信任的网络上不能使用VPN的时候可以使用这个服务。例如,如果你提供你的局域网、广域网或者VPN以外的电子邮件地址,你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信息
Jan
14
2012
Wifi叠接十二问
很多最新款智能手机已经内置了叠接功能, 其让手机的作用超出了通话,发送邮件和网上冲浪,然而并未得到广泛使用。手机可以成为移动热点,为其附近的电脑、平板和其他设备提供无线上网服务。
In-Stat无线技术研究负责人Allen Nogee称,叠接技术让智能手机用户可以随时随地尽享无线网络而不需要携带其他额外的设备。
这些手机就好像连接移动数据网络的移动热点设备,可以作为wifi路由为附近的用户分配带宽。当然,作为热点的手机需要为此付费。
除此以外还需要了解什么吗?在与分析师,网络工程师和其他移动专家交谈过后,笔者罗列出了十二个常见的智能手机叠接技术问题,包括选项和运营商策略。此外,笔者在欧美多个地方使用了几个智能手机作为热点想看看实际使用效果。
什么是叠接技术?
叠接技术是指电脑或其他设备共享智能手机的互联网连接。可以通过一个USB电缆,一个蓝牙无线连接或是wifi连接来完成设备间的连接。本文关注的是wifi热点叠接因为它使用起来更方便而且可以同时服务多个用户——而且还因为现在所有笔记本和平板都内置wifi功能。
热点手机如何工作?
在连入移动手机数据网络后,智能手机可以通过wifi连接把自己的互联网连接分配给其他客户。任何带有wifi功能的电脑或平板都可以连接到此手机,而wifi路由就存在于智能手机中,因此不需要再携带其他设备。
哪些手机支持wifi叠接技术?
主流手机厂商的很多产品都支持此功能,包括安卓,黑莓,iOS,WebOS和WP;而且手机形状与大小也各异。目前,安卓提供的选择最多,有48种热点 模式可用。
笔者在自己的办公室,家里,火车上和移动的车子中使用了手机热点。基本上,只要你的手机有移动数据连接,就可以作为热点手机使用。
WiFi叠接技术会增加手机大小和重量吗?
不会。WiFi叠接需要手机内置WiFi芯片,但是智能手机已经植入了这样的芯片,你可以在网吧或办公室进行连接。热点功能通过软件开启,所以不会增加手机重量。事实上,有些具备热点功能的手机仅重3.2盎司。
安装起来麻烦吗?
任何安装过WiFi路由或是使用过移动热点的人都可以开启WiFi叠接。要想把手机当作热点使用,首先要启动叠接应用。
开启热点后,要输入网络名称对其进行配置,选择加密方式并指定一个密码。目前大多数热点手机都使用WPA2保护,因此其他人无法使用你的移动网络或是读取数据。只需几分钟就可完成安装。
哪些用户可以连接到热点,同一时间可支持多少用户呢?
一个手机热点可以与任何带有WiFi联网功能的设备连接,包括各种笔记本,iPad和各种安卓平板。
手机可以为五到八位用户提供互联网连接,这要取决于网络连接模式。不过,用户一多,网速自然也就会变慢。
连接速度可以达到什么水平?
连接速度取决于很多因素,包括手机与最近信号发射塔的距离,网络的繁忙程度。一般来说应该可以达到100Kbps,不过300Kbps是合理的期望。
如果是3G和4G网络,那么地理位置很重要,因为很多地方没有新网络的覆盖。你可以到运营商网站查询覆盖范围,然后看看在自己所处位置是否可以访问网络。
一般来说,手机的WiFi信号可达100英尺,因此可以满足当前办公室,海滩甚至是最大号酒店套房的需求。要记住,和WiFi路由一样,你离热点距离越远,信号的强度和带宽都会减小。
能够一边打电话一边使用热点功能吗?
这要取决于手机本身以及所使用的网络。大多数4G手机可以满足此需求;CDMA网络的3G手机则不行;在HSPA 3G网络上运行的手机则是个大杂烩。如果这是一个很重要的需求,那么最好是咨询运营商看是否有特定的机型可以同时支持语音与数据传输功能。
叠接技术怎样收费?
每个网络的叠接收费都不同,所以很难进行比较。事先,最好咨询一下运营商,谨慎消费。
可以使用第三方叠接应用取代运营商的订购费用吗?
如果你不怕这样做可能出现的风险,且你的手机有内置WiFi功能,就可以下载并使用某些应用,如为iPhone开发的MyWi,为安卓开发的Android WiFi Tether或是为塞班开发的JoikuSpot Light WiFi Hotspot,下载这些应用并安装到手机中运行就可以开启热点了。这些应用与手机内置叠接应用的功效一样,只是没有运营商授权和收费而已。
无疑,你使用这些不收费应用时,运营商是不乐意的,因为这减少了他们的收入,而且他们会对自己网络上的应用进行监控。有些运营商可能会关闭这类服务,有些可能让你自动升级到叠接计划并实施收费。要了解清楚运营商的服务条款,搞清楚自己的权利义务。
这些手机在海外也可以作为热点使用吗?
有些可以,有些不行,买之前就要确定这一点。通常,如果手机支持HSPA或HSPA+技术,那么在欧洲,澳洲,新西兰,以及非洲部分区域,亚洲和南美洲应该都不成问题。不过你可能要升级服务包,使其可以支持国际数据漫游。
如果你去到的国家不在上述几个区域之内,In-Stat的Nogee推荐可以租用带热点功能的手机使用。例如,你可以租用HTC MyTouch 4G,这款手机适合任何欧盟国家以及瑞士,可同时为四个设备提供热点服务。租用的话,大概是12美元一天,80美元一周或是200美元一月,有500MB的流量包,适合短期使用。
在不同国家的热点操作
笔者自己携带使用Verizon网络的热点手机进行尝试。LG Revolution和摩托罗拉 Droid 3效果不错,但是对于不同的情境它们也可用。因为它可以用于Verizon 4G LTE网络,前者在美国等地有较强的速度优势,而后者速度稍慢,但是在欧洲效果不错。
笔者在主页上点击了移动热点图标,两款手机都弹出了热点设置页面。配置完热点的网络名称后,将其配置为安全的WPA2加密,然后输入密码。这些设置一般一两分钟就可完成。
笔者在纽约市测试了LG Revolution想看看它在Verizon 4G LTE网络上的性能。使用惠普笔记本接入该热点,经SpeedTest.net宽带基站测速,其下载速度达到了19.6Mbps,上传速度达到了4.5Mbps。而且其峰值更令人印象深刻:下载速度21Mbps,上传速度5.6Mbps。当然这些是在LTE下产生的数字。如果你在3G网络中使用,速度肯定要慢一些。
下一步,测试了Verizon 3G网络下的摩托罗拉 Droid 3。虽然它达不到Revolution在LTE下的速度,但是它适合HSPA网络。在纽约市,Droid 3的平均下载和上传速度分别为1.4Mbps和747Kbps,下载峰值达到2.1Mbps,上传峰值为824Kbps。这是笔者常用有线宽带速度的一半,但是对于旅途中的用户而言,这个速度还是令人满意的。
在去往密歇根的路上,笔者早晚都用Droid 3的叠接功能与惠普笔记本连接。其间,平均下载和上传速度分别为1.4Mbps和620Kbps,峰值分别为2.2Mbps和651Kbps。
跨国旅行期间,平均下载速度为1.5Mbps,平均上传速度为640Kbps。笔者使用Droid 3热点连接惠普笔记本以及iPad,查看电子地图,听网络收音机,看视频,玩游戏并对一个网站进行升级。最惊讶的是发现在从伦敦开往巴黎的欧洲之星列车上,还有足够带宽看下一站的地图以及阅读新闻。
这种数据消耗也有负面影响。使用Droid 3的热点功能,连接iPad播放在线视频会让电池在3小时15分钟左右就耗尽,而使用普通的数据传输,其电池可使用15小时左右。换言之,如果你要使用手机热点功能,请先确保随身携带充电器,而且要注意电耗。
很多最新款智能手机已经内置了叠接功能, 其让手机的作用超出了通话,发送邮件和网上冲浪,然而并未得到广泛使用。手机可以成为移动热点,为其附近的电脑、平板和其他设备提供无线上网服务。
In-Stat无线技术研究负责人Allen Nogee称,叠接技术让智能手机用户可以随时随地尽享无线网络而不需要携带其他额外的设备。
这些手机就好像连接移动数据网络的移动热点设备,可以作为wifi路由为附近的用户分配带宽。当然,作为热点的手机需要为此付费。
除此以外还需要了解什么吗?在与分析师,网络工程师和其他移动专家交谈过后,笔者罗列出了十二个常见的智能手机叠接技术问题,包括选项和运营商策略。此外,笔者在欧美多个地方使用了几个智能手机作为热点想看看实际使用效果。
什么是叠接技术?
叠接技术是指电脑或其他设备共享智能手机的互联网连接。可以通过一个USB电缆,一个蓝牙无线连接或是wifi连接来完成设备间的连接。本文关注的是wifi热点叠接因为它使用起来更方便而且可以同时服务多个用户——而且还因为现在所有笔记本和平板都内置wifi功能。
热点手机如何工作?
在连入移动手机数据网络后,智能手机可以通过wifi连接把自己的互联网连接分配给其他客户。任何带有wifi功能的电脑或平板都可以连接到此手机,而wifi路由就存在于智能手机中,因此不需要再携带其他设备。
哪些手机支持wifi叠接技术?
主流手机厂商的很多产品都支持此功能,包括安卓,黑莓,iOS,WebOS和WP;而且手机形状与大小也各异。目前,安卓提供的选择最多,有48种热点 模式可用。
笔者在自己的办公室,家里,火车上和移动的车子中使用了手机热点。基本上,只要你的手机有移动数据连接,就可以作为热点手机使用。
WiFi叠接技术会增加手机大小和重量吗?
不会。WiFi叠接需要手机内置WiFi芯片,但是智能手机已经植入了这样的芯片,你可以在网吧或办公室进行连接。热点功能通过软件开启,所以不会增加手机重量。事实上,有些具备热点功能的手机仅重3.2盎司。
安装起来麻烦吗?
任何安装过WiFi路由或是使用过移动热点的人都可以开启WiFi叠接。要想把手机当作热点使用,首先要启动叠接应用。
开启热点后,要输入网络名称对其进行配置,选择加密方式并指定一个密码。目前大多数热点手机都使用WPA2保护,因此其他人无法使用你的移动网络或是读取数据。只需几分钟就可完成安装。
哪些用户可以连接到热点,同一时间可支持多少用户呢?
一个手机热点可以与任何带有WiFi联网功能的设备连接,包括各种笔记本,iPad和各种安卓平板。
手机可以为五到八位用户提供互联网连接,这要取决于网络连接模式。不过,用户一多,网速自然也就会变慢。
连接速度可以达到什么水平?
连接速度取决于很多因素,包括手机与最近信号发射塔的距离,网络的繁忙程度。一般来说应该可以达到100Kbps,不过300Kbps是合理的期望。
如果是3G和4G网络,那么地理位置很重要,因为很多地方没有新网络的覆盖。你可以到运营商网站查询覆盖范围,然后看看在自己所处位置是否可以访问网络。
一般来说,手机的WiFi信号可达100英尺,因此可以满足当前办公室,海滩甚至是最大号酒店套房的需求。要记住,和WiFi路由一样,你离热点距离越远,信号的强度和带宽都会减小。
能够一边打电话一边使用热点功能吗?
这要取决于手机本身以及所使用的网络。大多数4G手机可以满足此需求;CDMA网络的3G手机则不行;在HSPA 3G网络上运行的手机则是个大杂烩。如果这是一个很重要的需求,那么最好是咨询运营商看是否有特定的机型可以同时支持语音与数据传输功能。
叠接技术怎样收费?
每个网络的叠接收费都不同,所以很难进行比较。事先,最好咨询一下运营商,谨慎消费。
可以使用第三方叠接应用取代运营商的订购费用吗?
如果你不怕这样做可能出现的风险,且你的手机有内置WiFi功能,就可以下载并使用某些应用,如为iPhone开发的MyWi,为安卓开发的Android WiFi Tether或是为塞班开发的JoikuSpot Light WiFi Hotspot,下载这些应用并安装到手机中运行就可以开启热点了。这些应用与手机内置叠接应用的功效一样,只是没有运营商授权和收费而已。
无疑,你使用这些不收费应用时,运营商是不乐意的,因为这减少了他们的收入,而且他们会对自己网络上的应用进行监控。有些运营商可能会关闭这类服务,有些可能让你自动升级到叠接计划并实施收费。要了解清楚运营商的服务条款,搞清楚自己的权利义务。
这些手机在海外也可以作为热点使用吗?
有些可以,有些不行,买之前就要确定这一点。通常,如果手机支持HSPA或HSPA+技术,那么在欧洲,澳洲,新西兰,以及非洲部分区域,亚洲和南美洲应该都不成问题。不过你可能要升级服务包,使其可以支持国际数据漫游。
如果你去到的国家不在上述几个区域之内,In-Stat的Nogee推荐可以租用带热点功能的手机使用。例如,你可以租用HTC MyTouch 4G,这款手机适合任何欧盟国家以及瑞士,可同时为四个设备提供热点服务。租用的话,大概是12美元一天,80美元一周或是200美元一月,有500MB的流量包,适合短期使用。
在不同国家的热点操作
笔者自己携带使用Verizon网络的热点手机进行尝试。LG Revolution和摩托罗拉 Droid 3效果不错,但是对于不同的情境它们也可用。因为它可以用于Verizon 4G LTE网络,前者在美国等地有较强的速度优势,而后者速度稍慢,但是在欧洲效果不错。
笔者在主页上点击了移动热点图标,两款手机都弹出了热点设置页面。配置完热点的网络名称后,将其配置为安全的WPA2加密,然后输入密码。这些设置一般一两分钟就可完成。
笔者在纽约市测试了LG Revolution想看看它在Verizon 4G LTE网络上的性能。使用惠普笔记本接入该热点,经SpeedTest.net宽带基站测速,其下载速度达到了19.6Mbps,上传速度达到了4.5Mbps。而且其峰值更令人印象深刻:下载速度21Mbps,上传速度5.6Mbps。当然这些是在LTE下产生的数字。如果你在3G网络中使用,速度肯定要慢一些。
下一步,测试了Verizon 3G网络下的摩托罗拉 Droid 3。虽然它达不到Revolution在LTE下的速度,但是它适合HSPA网络。在纽约市,Droid 3的平均下载和上传速度分别为1.4Mbps和747Kbps,下载峰值达到2.1Mbps,上传峰值为824Kbps。这是笔者常用有线宽带速度的一半,但是对于旅途中的用户而言,这个速度还是令人满意的。
在去往密歇根的路上,笔者早晚都用Droid 3的叠接功能与惠普笔记本连接。其间,平均下载和上传速度分别为1.4Mbps和620Kbps,峰值分别为2.2Mbps和651Kbps。
跨国旅行期间,平均下载速度为1.5Mbps,平均上传速度为640Kbps。笔者使用Droid 3热点连接惠普笔记本以及iPad,查看电子地图,听网络收音机,看视频,玩游戏并对一个网站进行升级。最惊讶的是发现在从伦敦开往巴黎的欧洲之星列车上,还有足够带宽看下一站的地图以及阅读新闻。
这种数据消耗也有负面影响。使用Droid 3的热点功能,连接iPad播放在线视频会让电池在3小时15分钟左右就耗尽,而使用普通的数据传输,其电池可使用15小时左右。换言之,如果你要使用手机热点功能,请先确保随身携带充电器,而且要注意电耗。
Jan
14
2012
利用无线接入点作为中继器扩展网络覆盖范围
20:01 , 北纬36度
利用无线接入点作为中继器扩展网络覆盖范围由于曾经多次遇到过这一问题,并且非常具有代表意义(还将节省大量费用);因此,我决定在这里将解决方案发布出来。情况是这样的:如果出现需要使用无线网络,但所处范围又太大,一台无线路由器无法实现完全覆盖的情况。并且,由于价格过于昂贵,所以,购买一台专业路由器(可以扩大覆盖范围)不属于可行的选择,而增强器的效果似乎又不好;这时间,为了让所有客户和员工都被同一张无线网络覆盖,应该采取什么样的措施?
其实,这项工作其实是相当简单的。所有需要的设备和支持项目就是:
◆两台无线路由器。为了让工作更简单,我建议使用固件相同的同一类型。
◆一条可用的网络连接。
◆一台可以通过硬拔线连接到路由器上对配置进行调整的机器。
由于每一种无线路由器的具体设置都是不同的,所以,在这里我就大概地描述一下。将通用方式转化为针对具体路由器的特定操作不是很困难的事情。
先让我们确认一下要进行的操作:
◆为两台无线接入点(无线路由器)设置相同的服务集标识符,这样的话,覆盖范围就可以叠加起来。
◆在两台路由器上设置无线安全策略。
◆对路由器设置进行调整防止DHCP或频道方面出现冲突。
现在,我们了解了工作的原理,开始部署吧!
第一步:设置服务集标识符
第一步也是最容易的步骤。所有要做的工作就是将两台路由器的SSID设定为相同的。这样的操作应该非常简洁明了。如果这些路由器采用了不同SSID的话,当一台移动设备的位置发生变化时,就可能会出现不得不选择加入新网络的情况。
第二步:设置无线安全策略
与第一步类似,在这里,需要为两台无线路由器设置相同的无线安全策略。这就意味着安全类型和密码都必须相同。如果设置存在差异的话,移动设备将无法实现在网络间无缝漫游。
第三步:设置DHCP
现在,操作开始变得有点难度了。我们需要对两台路由器进行设置,以保证IP地址得到了妥善处理,各自路由器的DHCP服务也不会产生冲突。这时,首先要做的事情就是为每台无线路由器分配一个静态IP地址。在这里我们选择的是192.168.100.*地址类型。我们决定将192.168.100.1的地址分配给网关了,所以,就需要使用192.168.100.2和192.168.100.3作为无线路由器的地址。现在我们将.2地址作为主无线路由器的地址,而.3作为辅助无线路由器的地址。接下来,就是另一个关键点了。当为路由器设置静态IP地址时,会希望同时只能使用一台路由器(或者说在网络中一次只能连接一台路由器)。因此,在启动路由器的时间,很可能会默认为192.168.100.1,所以,正确的做法应该是先打开第一台使用静态IP地址的路由器,然后再打开第二台使用静态IP地址的路由器。
在静态IP地址集的情况下,我们需要使用DHCP分配地址。为了防止出现地址冲突,所以,只能由一台路由器提供DHCP服务。因此,在辅助路由器上的DHCP服务必须被关闭。而在第一台路由器上,就需要打开它,但也要进行设置,将地址分配的起点控制在192.168.100.4以后。千万不能容许它使用已经分配给辅助无线路由器使用的.3地址。
最后,我们就可以对主无线路由器和辅助无线路由器的信道进行设置,防止出现使用同一信道引起冲突的情况(为了确保在信道方面不会出现问题,可以选择使用6和11信道)。
第四步:安装并启用网络
最后的工作,就是为两台路由器找到可以将建筑整体覆盖到无线网络中的位置。请务必牢记,在以太网中这两台路由器需要属于相互“可见”的。解决这一问题的最简单方法就是通过墙壁上的插座直接连接到网络上(采用和路由器相同的IP地址模式)。如果不能实现这种模式的话,就应该选择利用5类双绞线将它们连接起来(这一小项目在成本方面的投入接近于零)。当安装到位,并连接完成后,就可以启动设备,实现网络覆盖了。一旦开始运行,就可以使用移动设备连接到其中的一台路由器上。在建立连接后,就可以在房间中移动,确认覆盖范围的有效性。如果没有出现问题,那么,恭喜你了,这又可以节省不少费用了!
Jul
15
2011
多接入点网络如何判断可靠传播信号
19:57 , 北纬36度
多接入点网络如何判断可靠传播信号
如果一个区域内有两个或者更多的网络接入点,那么设备(比如:笔记本)怎么辨别从这些接入点发出的信号?
首先,每个WiFi设备都有自己独特的物理地址,在出厂时已经设置好,也可以重新配置。比如一个Linksys WiFi 5赫兹无线接入点的物理地址可能是00:25:9C:57:0C:0F,这个地址包含在路由器发送的每帧里,所以其他无线设备可以区分是谁发送了这一帧。
其次,每个WiFi网络都有自己的名字,叫做扩展服务集标识符(ESSID,通常也简称SSID)。比如,一个双频Linksys接入点可能有两个无线设备,每个有独立的物理地址但相同的SSID(这里称为NetA),这个SSID在用于建立无线连接的管理帧中,它包含由接入点发送的信号,用来传播它们支持的网络或者处理客户链入接入点的请求。
现在,假如我们想在NetA旁安装另外一个接入点,注意是新建一个单独的网络。为了能做到这样,我们给新路由一个不同的SSID(比如NetB)。连接到NetA的客户收到的仍然是以前接入点的信号,而需要接入NetB的用户将要从新接入点接收信号,所以你应该改变默认的SSID接入点,以使世界范围内所有的linksys的SSID不冲突,冲突会导致意外连接。
或者,假如我们想要安装第二个接入点,扩展网络。所以我们要给新接入口同样的SSID(NetA)。客户仍然收听的是NetA传出的信号,现在由新旧接入口一起发送。每个客户从最强的信号中辨别出发送端物理地址,处理相关请求。由此在客户端和“最好的”接入点中产生了一个中介,尽管新旧接入口是同样的SSID,中介产生后,发送的每个数据帧中就包含被选出的接入口的物理地址,使该接入口知道它负责处理那些帧,虽然其他接入口可能也会收到这些帧,但不会处理没有发给它的帧。
注意其他一些影响客户端接入点交流的因素,比如,一个接收2.4赫兹频道的用户不会接收到5赫兹频道的接入口信号,虽然他们在同一个领域。因此每个设备必须接收相同频率,才能交流。而且,新802.11设备必须选择混合模式,以使旧版802.11设备能知道它们接听的是什么。最后,每当客户端需要接入新接入口,它必须符合接入口数据频率和安全需求,这就是为什么所有的接入口传播相同的SSID是如此重要,因为可以有相同的被支持的数据频率和安全设置。否则,客户端可能会不停的尝试连接,但连接不正确,而是连到其他接入口,导致连接不稳。
如果一个区域内有两个或者更多的网络接入点,那么设备(比如:笔记本)怎么辨别从这些接入点发出的信号?
首先,每个WiFi设备都有自己独特的物理地址,在出厂时已经设置好,也可以重新配置。比如一个Linksys WiFi 5赫兹无线接入点的物理地址可能是00:25:9C:57:0C:0F,这个地址包含在路由器发送的每帧里,所以其他无线设备可以区分是谁发送了这一帧。
其次,每个WiFi网络都有自己的名字,叫做扩展服务集标识符(ESSID,通常也简称SSID)。比如,一个双频Linksys接入点可能有两个无线设备,每个有独立的物理地址但相同的SSID(这里称为NetA),这个SSID在用于建立无线连接的管理帧中,它包含由接入点发送的信号,用来传播它们支持的网络或者处理客户链入接入点的请求。
现在,假如我们想在NetA旁安装另外一个接入点,注意是新建一个单独的网络。为了能做到这样,我们给新路由一个不同的SSID(比如NetB)。连接到NetA的客户收到的仍然是以前接入点的信号,而需要接入NetB的用户将要从新接入点接收信号,所以你应该改变默认的SSID接入点,以使世界范围内所有的linksys的SSID不冲突,冲突会导致意外连接。
或者,假如我们想要安装第二个接入点,扩展网络。所以我们要给新接入口同样的SSID(NetA)。客户仍然收听的是NetA传出的信号,现在由新旧接入口一起发送。每个客户从最强的信号中辨别出发送端物理地址,处理相关请求。由此在客户端和“最好的”接入点中产生了一个中介,尽管新旧接入口是同样的SSID,中介产生后,发送的每个数据帧中就包含被选出的接入口的物理地址,使该接入口知道它负责处理那些帧,虽然其他接入口可能也会收到这些帧,但不会处理没有发给它的帧。
注意其他一些影响客户端接入点交流的因素,比如,一个接收2.4赫兹频道的用户不会接收到5赫兹频道的接入口信号,虽然他们在同一个领域。因此每个设备必须接收相同频率,才能交流。而且,新802.11设备必须选择混合模式,以使旧版802.11设备能知道它们接听的是什么。最后,每当客户端需要接入新接入口,它必须符合接入口数据频率和安全需求,这就是为什么所有的接入口传播相同的SSID是如此重要,因为可以有相同的被支持的数据频率和安全设置。否则,客户端可能会不停的尝试连接,但连接不正确,而是连到其他接入口,导致连接不稳。
Jul
15
2011
详细解读无线路由器传输速率
14:01 , 北纬36度
无线路由器传输速率实际上并不如产品介绍上面的快,这是什么原因呢?难道是商家做的虚假标识吗?其实不然,真正的原因还让看看文章来具体了解下吧。
无线局域网,也被称为WLAN(Wireless LAN),已经成为越来越多用户采用的组网方式。无线网络安装十分方便,不需要重新布线。因此也不会破坏家庭原有装修,相比有线网络,无线网络要灵活得多。
在使用过程中,我们发现尽管WLAN没有的排线的麻烦,并且使用也很方便,但有时我们会发现其信号不太稳定,数据传输速度有变慢的现象,基本上很难达到相关所标称的无线路由器传输速度。比如一款标称为54Mbps(实际上无线路由器传输速率在20Mbps左右)的WLAN网络,但其显示传输速度只有11Mbps(实际传输速率在4Mbps左右)、5.5Mbps(实际传输速率在2Mbps左右)或更低,最到这种情况我们应该怎样处理呢?
首先我们先简单了解下无线网络数据传输速度变慢的原因,无线电波在空气中传播很容易被各种障碍物、干扰源给干扰,这就自然而然会造成WLAN传输速度变慢。此外无线网络的传输距离是有限的,尽管一般标称的无线路由器传输距离可以达到100~300米,但是在实际使用中如果有阻隔的话,这个距离会急剧缩短并会导致数据传输速度变慢。
知道了传输速度变慢的原因我们就可以有的放矢地来着手解决这个问题了。首先在布局的时候我们就要把握好,无线路由器与配备无线网卡的电脑之间最好能够通视,尽量避免它们之间有墙壁阻挡,特别是承重墙(钢筋水泥墙)。我们知道,为了减少对人体的辐射,无线路由器的功率一般都不大,因此在使用过程中很容量受到附近电子设备的干扰,因此在设置无线路由器的摆放位置时,我们一定要记得远离微波炉、冰箱等家电。
良好的天线也是确保路由器无线传输距离和稳定性的有效保证,一些高档无线路由器会使用双天线,一般来说多天线的产品总比单天线的产品在传输性能上更有保障,如果有可能我们尽量选择双天线或者更多天线的无线路由器。另外天线的增益大小对数据传输的影响也非常重要,普通路由器一般只标配了天线增益为2dBi全向天线,但是许多高性能的无线路由器配备的确是3dBi或5dBi全向天线。毫无疑问,同等环境下,采用5dBi全向天线的无线路由器的性能肯定要优于2-3dBi全向天线的产品。因此我们可以通过改用高增益的天线来改善无线信号状况。
无线路由器和网卡之间的配套也是提升无线数据传输速度的一个重要因素,我们知道,目前市场上无线传输标准有802.11G、G+、N、B等多种标准,比如我们使用的路由器采用的是108Mbps的802.11G +标准,但无线网卡使用的是11Mbps(802.11b)标准,因此在其实际速度肯定达不到108Mbps,这时我们就需要升级网卡以达到最好的兼容效果。在选购相关产品的时候,我们一定要选择采用相同标准的无线路由器和网卡,这样才能最大限度的减少兼容性问题的发生。
前面我们介绍的主要是硬件方面对于无线路由器传输速度的影响,在软件方面,合理的设置也有利于提供无线路由的数据传输速度。我们知道,现在绝大多数无线路由器都支持WEP或WPA加密,加密的采用虽然有效的提升家庭网络的保密性能,但其或多或少的会影响数据传输速度。
无线网络对于一般的家庭来说,WEP或WPA加密作用不大,因此我们可以关闭或禁用这项功能。此外有时我们可以通过连接互联网升级无线路由器的驱动来改善无线传输的性能。
无线局域网,也被称为WLAN(Wireless LAN),已经成为越来越多用户采用的组网方式。无线网络安装十分方便,不需要重新布线。因此也不会破坏家庭原有装修,相比有线网络,无线网络要灵活得多。
在使用过程中,我们发现尽管WLAN没有的排线的麻烦,并且使用也很方便,但有时我们会发现其信号不太稳定,数据传输速度有变慢的现象,基本上很难达到相关所标称的无线路由器传输速度。比如一款标称为54Mbps(实际上无线路由器传输速率在20Mbps左右)的WLAN网络,但其显示传输速度只有11Mbps(实际传输速率在4Mbps左右)、5.5Mbps(实际传输速率在2Mbps左右)或更低,最到这种情况我们应该怎样处理呢?
首先我们先简单了解下无线网络数据传输速度变慢的原因,无线电波在空气中传播很容易被各种障碍物、干扰源给干扰,这就自然而然会造成WLAN传输速度变慢。此外无线网络的传输距离是有限的,尽管一般标称的无线路由器传输距离可以达到100~300米,但是在实际使用中如果有阻隔的话,这个距离会急剧缩短并会导致数据传输速度变慢。
知道了传输速度变慢的原因我们就可以有的放矢地来着手解决这个问题了。首先在布局的时候我们就要把握好,无线路由器与配备无线网卡的电脑之间最好能够通视,尽量避免它们之间有墙壁阻挡,特别是承重墙(钢筋水泥墙)。我们知道,为了减少对人体的辐射,无线路由器的功率一般都不大,因此在使用过程中很容量受到附近电子设备的干扰,因此在设置无线路由器的摆放位置时,我们一定要记得远离微波炉、冰箱等家电。
良好的天线也是确保路由器无线传输距离和稳定性的有效保证,一些高档无线路由器会使用双天线,一般来说多天线的产品总比单天线的产品在传输性能上更有保障,如果有可能我们尽量选择双天线或者更多天线的无线路由器。另外天线的增益大小对数据传输的影响也非常重要,普通路由器一般只标配了天线增益为2dBi全向天线,但是许多高性能的无线路由器配备的确是3dBi或5dBi全向天线。毫无疑问,同等环境下,采用5dBi全向天线的无线路由器的性能肯定要优于2-3dBi全向天线的产品。因此我们可以通过改用高增益的天线来改善无线信号状况。
无线路由器和网卡之间的配套也是提升无线数据传输速度的一个重要因素,我们知道,目前市场上无线传输标准有802.11G、G+、N、B等多种标准,比如我们使用的路由器采用的是108Mbps的802.11G +标准,但无线网卡使用的是11Mbps(802.11b)标准,因此在其实际速度肯定达不到108Mbps,这时我们就需要升级网卡以达到最好的兼容效果。在选购相关产品的时候,我们一定要选择采用相同标准的无线路由器和网卡,这样才能最大限度的减少兼容性问题的发生。
前面我们介绍的主要是硬件方面对于无线路由器传输速度的影响,在软件方面,合理的设置也有利于提供无线路由的数据传输速度。我们知道,现在绝大多数无线路由器都支持WEP或WPA加密,加密的采用虽然有效的提升家庭网络的保密性能,但其或多或少的会影响数据传输速度。
无线网络对于一般的家庭来说,WEP或WPA加密作用不大,因此我们可以关闭或禁用这项功能。此外有时我们可以通过连接互联网升级无线路由器的驱动来改善无线传输的性能。
Jun
4
2011
