使用Linux构建无线网关/防火墙

　　使用Linux升级无线网

　　当时，新一代无线局域网协议IEEE802.11b尚未发布，市场上有多种标称速率在8Mbps至12Mbps的无线网络产品，大多是基于专有协议。我们对其中的5种产品进行了现场测试。测试方法是两端使用两台笔记本电脑，都安装Windows 98，一端安装Server U 2.4 FTP服务器软件，另一端使用Windows 98自带的命令行ftp程序进行连接，多次下载20MB的文件。经测试，没有一家的产品传输速率在500KBps以上。而且有些产品随距离增加传输速率迅速衰减。经过比较，我们选择了Lucent公司的WaveLan IEEE。在7km的距离上，WaveLan IEEE的FTP实测速率可达400KBps左右，约为传统有线10兆以太网的二分之一（原因见后文"方兴未艾的无线网络技术"），随距离增大信号衰减不明显。而且，由于Lucent是即将出台802.11b的主要制订者之一，WaveLan IEEE已经事实上支持了这个标准，为我们提供了可扩展性。

　　厂家建议的方案是使用两个WavePointⅡAP专用无线网桥，各插一块WaveLan IEEE PCMCIA卡，两端通过馈线连接高增益天线对连。网桥可配置为工作在下两层，不需要单独的网段。因为WavePointⅡAP价格较高而WavaLan IEEE PCMCIA支持多种系统，我们开始探讨使用PC机代替专用无线网关的可能性。经过调查，发现在台式机上使用ISA桥接卡转接即可使用WavaLan IEEE PCMCIA卡。在厂商的配合下，经过实验，我们成功地实现了用两台Linux机器作为无线网关，并发现这种方案的效率要比使用两台WavePointⅡAP略高。而且这样还免去了根据计划要在网络中再增加Linux防火墙的麻烦，可以直接把无线网关配置为防火墙。但由于WavePointⅡAP具有管理程序可供实时查看信道情况，有助于我们的管理，且安装也比较简单，我们最终采用了一个WavePointⅡAP和一台Linux机器。我们选择将无线网的Linux网关安装在办公楼一端，主要是基于如下考虑：访问流量以进入方向为主，而网络速度是有线以太网较快，这样可以减弱启用IPChains对网络速度带来的影响。事实证明，后来启用IPChains（约30条规则）效率非常高，没有对网络速度产生影响。其次，是最大保护原则，这样可以保护包括WavePointⅡAP在内的尽量多的设备。