第一篇:校园局域网的构建感想(范文模版)
校园局域网构建的认知与感想
班级:电子商务0902班 姓名:贺亚云 学号26号
对于这次校园局域网的构建感慨颇多,也从中学习到很多知识,当然这其中少不了老师的指导以及我们全组成员的协作与努力,这也是一个自我学习的过程,从这次的实验中也了解到团队合作的重要性,一件事情的成功与否同大家的齐心协力相互配合是分不开的。学会与他人合作,发挥团队精神在具体生活中的运用,可以使我们收到事半功倍的效果,可以使我们的工作更加良好地向前发展。这次校园局域网构建主要目的在于掌握组建计算机网络的基本技术,以及对拓扑结构的了解,特别是网络规划、路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置,提高学生的应用能力和动手实践能力,也是一个自我学习的过程。
首先大致介绍一下我们第五组的具体情况,应该说是彼此都不怎么熟悉的人被分到了一组,当然也正是因为这样才让我们有了一个熟悉彼此的机会,所以说这不仅仅只是学习任务,还应该算是熟悉结交朋友的机会,从老师布置这个任务下来的这一段时间我们会协调大家一起讨论,先进行小组分工,把具体的某一个部分分给每位成员,这样才能提高工作效率,然后把大家的想法建议一起分享,彼此改进,这样才可以制作出更加完美的方案,虽然说最后我们小组的方案有那么些许欠缺,但是这绝对是经过我们一起努力的结果,我们都倍感珍惜。
本次班级小组查阅了很多案例,学习到了很多知识,原先很多不懂的东西都有了初步的了解。关于计算机网络包括网络需求分析、网络系统设计、网络详细设计、方案撰写等若干过程都是一种学习。建立一个校园网,还要根据实际情况,使性价比达到最佳。时代在发展,校园网已经成为学校提高水平的重要途径。校园网络的主干承担着很大的信息量,校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、等信息共享功能,能实现办公的自动化。能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒 体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习,校园网能为学校的信息化建设打下基础。
在我们实验小组本人主要负责综合布线,要想组建高性能、低成本的校园网,综合布线的好坏至关重要,一个好的综合布线系统如同给校园网打了一个好的地基。综合布线系统是建筑物或建筑群内的传输网络,是计算机网络的线路基础。它使语音与数据通信设备、交换设备和其他信息管理系统彼此相连,也使这些设备与外部通信网络相连。结构化布线设计应该满足以下目标:如满足要求,兼顾发展布线设计必须能够满足学校各楼宇、实验室、图书馆等的主要业务需求,并能兼顾未来的发展需要。易于扩展,预留空间符合当前和以后的信息传输需要,保证较好的扩展性和足够的升级空间。遵从标准,采用星型布线系统设计遵从国际标准和邮电部、建设部标准,布线系统采用国际标准建议的星型拓扑结构。高质传输,适应面广布线系统应该能够支持语音、数据等综合信息的高质量传输,并能适应各种不同类型、不同厂商的电脑及网络产品的需要。统一出口,线路规范布线系统的信息出口采用国际标准的RJ-45插座,以统一的线路规格和设备接口,使任意信息点都能接插不同类型的终端设备,如电脑、打印机、网络终端、电话机、传真机等,以支持话音、数据、图像及多媒体信息的传输等等。其次经过资料的查询以及实地考察我觉得采用地板布线是最好的布线方式,一来充分利用了地板下的空间,当然其中要注意地板下的漏水、鼠害和散热等等,还应保证在每个机柜下方开凿相应的穿线孔。其综合布线过程如下: 布线前询问客户网络需求,现场勘察建筑,根据建筑平面图等资料结算线材的用量,信息插座的数目和机柜定位、数量,做出综合布线调研报告。根据前期勘察数据做出布线材料预算表、工程进度安排表。接下来是布线中协调施工队与学校进行职责商谈,提出布线许可,主要是钻孔、走线、信息插座定位、机柜定位、做线缆标识等。安装信息模块、配线架及机柜内部。布线后链路测试后,选择若干节点,联接网络设备进行联通测试并提交。施工后打印出测试报告,学校以测试报告为标准对整个布线作出判断和结论。在施工质量达到合同要求、性能测试合格和软件验收合格的前提下,双方签字认定工程验收合格。其工程范围主要包括管槽安装、线缆布放; 线缆整理、编码、标识; 设备柜及演示板内的配线架安装,与线缆端接; 插座的标识、端接及面板安装; 布线初测与性能测试; 编写布线分布图、编码表、完工测试报告。这些就是本人负责的关于综合布线的要点及原则等
校园局域网构建的核心当然还是得围绕我们的网络拓扑结构图,综合布线也是按照拓扑图进行整体布线,整个网络拓扑结构是采用星型结构,其中每个子网则是采用的总线型,当然综合布线重点就是“光缆”。很多校园网络在园区架设或地埋室外多模光纤,为千兆网和ATM网络打下了坚实的基础,同时,提供了高带宽、高传输性、高抗干扰能力支持。以交换式千兆以太网作为校园网的主干,按100M交换式子网方式接入。校园网布线设计一般采用多级物理星型结构、点到点连接,任何一条线路故障均不影响其他线路的正常运行。网络采用分散式三层交换体系,二级交换机具有第三级交换能力,主干线路压力小,而且全部实现百兆交换入室。三级交换机可以堆叠,能将一个主干和桌面交换机组成一个整体,提供足够的交换口,可扩展性好。综合学校实际情况,在布线经费上面也需花费不少功夫,因一般校园网络的建设资金用量非常大,对于学校来说,办学资金是比较紧张的,所以在校园网构建是,宜采用当时最新的网络技术,结合学校财力,实行分步实施,循序渐进。这就要求在网络构件时要选择具有良好可扩展性能的网络互连设备,以及有效地保护现有的投资。
在我们这个方案中明确学院网管中心的位置,确定了网络拓扑结构方案,完成设备选型,注明了各种设备、设施和软件的生产商、名称、型号、配置与价格,并分别给出其价格的出处,基本确定方案的预算。如我们的网络拓扑结构大体是采用星型而旗下子网则采用总线型,主服务器、中心交换机均采用的是思科等
之前我们的学习仅限于书本,关于网络方面的很多东西都只知道其然而不知道其所以然,更不可思议的是开了计算机网络原理这门课程而学到的网络方面的知道却是微乎其微,这也跟没有深入了解体会有着重要的关系,感觉很多本应该了解的知识老师问起来却答不上话,如什么是自适应交换机、负责宽带分析的却连怎么使网速变快的方法也捉摸不透、以及服务器有哪些品牌、双绞线和同轴电缆之间的区别、OSI七层模型、TCP/IP模型的各层功能、传输介质等等。这些都应该去了解的,可是当涉及到这些方面的时候却不知所云,这也算是一个只是漏洞吧。其次就是要主要关注生活中的细节,像有些东西在我们身边无处不在却很少关注它,比如宿舍的自适应交换机、网线、以及网线接入等,以后就应该学会遇到这些东西多观察了解,如其生产厂家、规格、型号、使用方法等。也就是通过这次实验使我们懂得了理论与实际相结合是很重要的,只有理论知识是远远不够的,只有把所学的理论知识与实践相结合起来,从理论中得出结论,才能掌握了组建计算机网络的基本技术提高了我们的应用能力和动手实践能力,同时也让大家有了更深刻的结识。
这次校园局域网的构建是培养我们综合运用所学知识,发现、提出、分析和解决实际问题,锻炼实践能力的重要环节,是对我们实际工作能力的具体训练和考察过程。随着科学技术发展的日新月异,网络已经成为当今计算机发展中空前活跃的领域,在生活中可以说是无处不在,所以对于我们来说掌握网络方面的相关知识也变得十分重要。
第二篇:校园局域网设计感想
校园局域网设计感想
通过本次设计,使我对局域网的有了更深层次的认识,让我对局域网的设计更加了解。
校园局域网设计是一次实践性较强的课程,其中不但涉及书本上的知识,而更多的是实践性的内容。还有,想把设计做的更好,就要学会参考一定的资料,吸取别人的经验,让自己的思想更加完善。
所谓校园局域网是指学校 校园内部信息设备互相连接运行的局域网络。是由计算机、网络技术和应用软件等构成 的, 为学校管理和教育教学服务的集成应用系统, 并可通过与广域网的连 接实现远距离信息交流和资源共享。
最简单的校园网络: 包括一个微机房、一个教师电脑办公室以及几台教师 办公室使用的电脑。
中档配置的校园网络: 包括若干个微机房、一个网络服务中心、每个教室配备电脑一台、每个教师办公室配 备教师办公电脑。
高档配置的校园网络: 包括足够的微机房, 一个大型的网络服务中心, 每个教室配备微机若干台采用联想的LS-5608G 智能型8机箱式以太网交换机作为校园网的中心主交换机,其提供了千兆位的交换能力。二级交换机我们选用了联想LS-5625智能型 24+1和10/100M自适应以太网交换机,它提供24个10/100M交换式端口和一个扩展插槽,可选插1个8联的10/100 Base-TX、1个 2联的 100Base-FX 或1个1联的千兆以太网模块。• 网络拓扑结构 • 结构化布线
布线线缆的选择
网络协议的选择
多局域网互联的问题
• 网络技术选型设计
校园网络中心的设计
教学子网的设计
宿舍区子网的设计
• 网络安全设置和管理
布线系统的安全方面考虑
病毒防护
外部安全防御
• 校园局域网的优化管理
增加网络流量控制系统
增加上网行为记录系统
安装网络设备管理系统
安装桌面管理系统
安装应用服务器系统
第三篇:中小企业局域网构建方案
企业网应如何规划才能提高工作效率?这些问题说大了不大,说小了不小,对于企业来说,我们需要什么样的网络?我们的网络够先进吗?它能否适应公司现在的需要和今后的发展?建成后的网络能否提高工作效率?分别回答这些问题就能为我们企业规划一个技术先进、结构合理、功能齐全、网络可升级的企业网。
(一)企业网与工作效率
应用决定需求,需求决定规模,我们公司需要什么样的应用来支撑公司业务,这是决定网络如何规划的关键因素。现代企业有资金流、物流、人流、信息流等等这些流,这些流有些是可以通过网络来流动,有些则不行,还得过传统方式,但也会多少以信息流沾边,可以通过信息化来管理,因此企业信息化是现代企业的重要标志,现代企业要有一个高效的工作效率就必须规划建设一个高效的企业网。
企业网号称企业的“神经系统”,在这个神经系统上运行:企业OA(包括办公协作、人力管理、消息发布、即时通信、内部邮件、文件管理、资源调度)、ERP、CRM、财务管理系统、内部IP电话、视频会议、监控报警系统等等。这些应用包含了:办公自动化、管理自动化、财务自动化、以及诱人的语音视频通信。所有这些应用真的运行起来的话,将大大地提高我们工作效率。比如基于企业网IP网络的语音视频通信就是这样,有了语音视频通信,我们随时可以与跨部门同事沟通工作细节,我们随时可以在内部网络上召开项目小组工作的视频会议,如同面对面般与身处不同楼层工作的同事探讨项目,不再为了要召集或征用会议室而苦恼。从公司的文件服务器下载工作资料、多媒体培训、IP电话、视频会议、文件拷贝等等这些高带宽应用需要企业网有足够的带宽来做保证。为了适应现在和将来需要,企业局域网总的要求是组建“全千兆以太网”。以全千兆以太网为企业网建设目标,是企业现在和将来能高效营运的坚实基础。为了企业的高效率,我们需要对企业的网络基础作尽量完美的规划。
(二)企业网络基础规划
我们以一百人的公司100-200个点为例来考虑,笔者认为这是目前中小创业型公司最普遍的员工规模,而且人手一台电脑的机会也不多,这100个点还包括信息点和语音点,一般语音点也不是很多,算一个办公室一个就足够,我们的规划目标是:信息点和语音点通用,统一布线,随需而换,全千兆以太网。
网络基础包括布线系统和网络设备两大块,按照上面提到的企业全千兆以太网要求,这两大块的选材都应选择相应的千兆以太网产品。
一.布线系统规划
综合布线是一种模块化、灵活性的建筑物内或建筑群之间的信息传输通道,是智能建筑的“信息高速公路”,不仅能使语音、数据、图像设备和交换设备与
其它信息管理彼此相连,也能使这些设备与外部相连接。它还包括建筑物外部网络和通信线路的连接点。综合布线的部件包括:
(1)传输介质:超五类双绞线、三类大对数语音线缆、多模光缆、RJ45超五类数据跳线、1对鸭嘴转RJ45超五类语音跳线、RJ11语音跳线、各类光纤跳线、各类光纤尾纤。
(2)连接器件:RJ45超五类配线架、110语音配线架、光缆终端盒、超五类信息模块、水晶头,光纤适配器。
通过这些部件来构成布线系统中各种子系统,组成易于实施,也能随需求变化而进行互换或升级。
综合布线系统具有开放式结构的特点,能支持语音和数据的各种应用,根据具体功能不同划分为以下六个子系统:工作区子系统、水平子系统、垂直子系统、设备间子系统、管理子系统、建筑与建筑群子系统。
工作区子系统
工作区子系统是一个独立的需要放置终端的区域,即一个工作区、一个办公室等,工作区系统由水平布线系统的信息插座延伸到工作站终端设备处的连接电缆及适配器组成。在工作区中,我们要使我们的布线能同时支持语音和数据,语音与数据能交换使用。因此每个信息插座采用双口信息面板,安装两个超五类信息模块,并在面板上做语音或数据的标志,并写上各自的编号。从信息插座标志数据的模块到计算机采用超五类RJ45跳线连接,标志语音的模块到电话机采用RJ11跳线连接,一般的RJ11水晶头是可以牢固地插在RJ45信息模块中的。这个标志为语音的模块插口,在需要扩展为数据时,只需在机房中RJ45配线架上对应标志的语音口跳接到交换机就行。同理,要换数据为语音,也只需在机房中RJ45配线架上对应标志的数据口跳接到110语音配线架上的相应语音插座即可。
水平子系统
水平子系统由工作区用的信息插座、RJ45配线架、RJ45配线架至信息插座的超五类双绞线、110语音配线架、RJ45超五类数据跳线、1对鸭嘴转RJ45超五类语音跳线等组成。基于双备份原则,我们采用二条超五类双绞线从机房机柜的RJ45配线架拉至工作区的信息插座上的两个信息模块上,这两条双绞线按一样的线序标准(如T-586B)在RJ45配线架和信息模块打线。这样我们就有了两套完全一样的水平布线,既可以过数据,也可以过语音。当需要过数据时,只需用RJ45数据跳线将对应的数据配线架的用作数据的插口与交换机跳接就可以;当需要过语音时,只需用1对鸭嘴转RJ45超五类语音跳线将对应的数据配线架的用作语音的插口与110语音配线架上的语音插座跳接即可。
干线(垂直)子系统
干线子系统应由设备间的配线设备至各楼层配线间的主干线缆连接组成,主要分布在大楼的弱电井。语音主干采用三类大对数线缆作为语音主干连接主机房与分机房110语音配线架,数据主干采用多模光纤连接主机房与分机房的光缆终端盒。
设备间子系统
设备间是设置设备和跳接网络以及管理人员值班的场所,也就是主机房,是所有进线和主干及一些直接水平子系统的集中点。其中,进线包括来自电信公司的光纤专线或ADSL等数据线和电话线,出线就是语音、数据主干、直接水平子系统。主机房的主要设备是主机柜,数据、语音配线架和光缆终端盒安装在主机柜上,还有光纤收发器(或ADSL MODEM)、路由器、中心交换机也安装在在主机柜上。RJ45配线架宜安装在机柜中间有利于与交换机和语音配线架的跳线,网络设备安装在机柜上部,中心交换机靠近RJ45配线架,而110语音配线架安装机柜下部。并且预留出空间,以便容纳未来扩充的交接硬件。直接水平子系统的双绞线打在RJ45配线上架上,配线架宜采用色标、数字区别种类用途的配线区。主机房位置及大小应根据设备的数量、规模,最佳网络中心等内容,综合考虑确定。综合布线系统全部语音和数据集中在中心机房的机柜中。大部分的小型企业可能仅有主机房(设备间子系统)而没有分机房(设备间子系统),也就只有一个机柜,因此所有的配线架、水平子系统、电信数据及语音进线、交换机、路由器等等都安装在这里,这也是为了集中管理、简化管理的需要。
管理子系统
管理子系统设置在每楼层的配线间内,也就是楼层的分机房。管理子系统由数据、语音配线架、光缆终端盒、接入层交换机等组成。主要负责本楼层的水平子系统接入和来自主机房光缆主干、大对数线缆配线的接入。架宜采用色标区别种类用途的配线区。并且预留出空间,以便容纳未来扩充的交接硬件。网络的改动更换在数据和语音配线架上进行。
建筑群子系统
建筑群子系统由两个及两个以上建筑物的语音/数据主干连接组成,包括连接各建筑物之间的光缆主干和大对数线缆及连接设备。建筑群子系统宜采用地下管道敷设方式,安装时至少应预留1-2个备用管孔,以供扩充之用。对于光缆主干我们需要千兆解决方案。
二.交换设备规划
1.网络核心需要三层交换机
在上百个交换节点的网络核心一定要用三层交换机,否则整个网络计算机都在一个子网中,不仅毫无安全可言,也会因为无法分割广播域而无法隔离广播风暴。网络上的计算机如果超过一定数量,就很可能会因为网络上大量的广播而导致网络传输效率低下。为了避免在企业网内进行广播所引起的广播风暴,可将其进一步划分为多个虚拟网(VLAN)。但是这样做将导致一个问题:VLAN之间的通信必须通过路由器来实现。但是传统路由器也难以胜任VLAN之间的通信任务,因为相对于局域网的网络流量来说,传统的普通路由器的路由能力太弱。三层交换机可以与普通路由器一样,具有访问列表的功能,可以实现不同VLAN间的单向或双向通讯。如果在访问列表中进行设置,可以限制用户访问特定的IP地址,这样企业就可以禁止非授权的人员访问受限的内部服务器。企业网经常需要传输多媒体信息,如:视频会议。三层交换机具有QoS(服务质量)的控制功能,可以给不同的应用程序分配不同的带宽。在网中传输视频流时,就可以专门为视频传输预留一定量的专用带宽,因此能够保证视频流传输的稳定性。
另外,视频点播(VOD)也是企业网中业务培训经常使用的应用。但是由于有些视频点播系统使用广播来传输,而广播包是不能实现跨网段的,这样VOD就不能实现跨网段进行;如果采用单播形式实现VOD,虽然可以实现跨网段,但是支持的同时连接数就非常少,一般几十个连接就占用了全部带宽。而三层交换机具有组播功能,VOD的数据包以组播的形式发向各个子网,既实现了跨网段传输,又保证了VOD的性能。
应该承认三层交换机目前价位也是较高,24千兆(10/100/1000M)三层交换机报价在2~3万元左右,但是对一个中型企业来说,基于上述对网络的重要性,这样的投资还是值得的。
2.接入层需要可网管千兆二层交换机
千兆二层交换机是指24口10/100/1000 BASE-T千兆自适应铜缆端口。提供了基础安全及QoS的功能,包括了802.1Q VLAN、GVRP、802.1p优先队列、802.1x接入存取及广播风暴的控制。支持802.3ad链路聚合标准,可允许将多个千兆端口结合在一起,形成更高的聚合带宽。
十百千兆交换机是目前比较热门的企业级二层接入交换机选型,因这样24口的交换机报价只有2000~3000元,而它跟超五类双绞线配合,为千兆到桌面提供了可能。
上述交换设备的搭配,我们能建设一个可管理、可扩展、线速三层交换、线速二层交换、全千兆、高可用的交换网络,为我们高效的信息化企业营运提供网络支撑。
小结:
本文讲述了高效的信息化企业如何规划一个高效、高速的企业网基础设施。高效、高速的企业网基础设施基于最基本的超五类双备份布线,能与千兆交换机组成一个全千兆以太网,也能实现一般电话语音混合使用。这是一个可按需能扩展成双倍的全千兆以太网,是一个可灵活更换改变全千兆以太网,为高效率的信息化企业提供坚实的基础。
第四篇:校园局域网设计方案
xxxxx幼儿园 校园局域网
设 计 方 案
沧州市感知物联网络工程有限公司
2014年8月1日
校园局域网设计方案
目录
一、前言............................................................3
二、学校需求分析
1、用户目标..........................................................4
三、设计需求分析.....................................................5
四、网络总体设计方案.................................................5
1、网路构架分析......................................................5
2、设计思路.........................................................6
3、网络方案设计原则...............................................6
4、网路结构概述及拓扑结构图.......................................7
5、Vlan的划分及IP地址的规划........................................8
6、IP划分、分配................................错误!未定义书签。
五、设备选型
1、防火墙........................................................15
2、中心数据交换机................................................15
3、接入交换机
4、无线AP 校园局域网设计方案
一、前 言
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。城市职业学院网将实现与校内各部门进行通信,城市职业学院大学校园网将为学校的科研、教育、管理提供必要的技术手段,为研究开发和培养人才建立平台,以此加快学校的发展,成为一个具有示范性的学校。
二、学校需求分析
1、用户目标
校园网必须要具备教学、管理和通讯这几大必要的功能。以便供应教师能够方便地浏览和查询网上资源,进行教学;学生可以方便地浏览和上网查询资料;还有学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层与层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和资源设备的共享,因此,校园网的建设必须有明确的建设目标和明确的构建思路。校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
三、设计需求分析
邮件服务器、WEB服务器、FTP服务器、数据库服务器、数据存储服务器。千兆光纤系统(用于楼宇之间)、5类双绞线(用于楼宇内),路由器 一台、防火墙一台、中心交换机两台、工作组交换机多台(要接入校园网的各个教室,学生休息室,位于分配线柜)。校园局域网设计方案
四、网络总体设计方案
1、网络构架分析
采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。
2、设计思路
在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。中心交换机和主干交换机采用千兆交换机。要有完善的安全机制,防止来自外部和内部的非法访问。
3、网络方案设计原则(1)、先进性原则(2)、开放性原则(3)、可管理性原则(4)、安全性原则
(5)、灵活性和可扩充性原则(6)、稳定性和可靠性的原则
4、网路结构概述及拓扑结构
网络的拓扑结构是指网络中通信线路和站点(计算机或设备)的相互连接的几何形式。按照拓扑结构的不同,常见的计算机网络拓扑结构有:总线型拓扑结构、星型拓扑结构、环型拓扑结构等。4.1总线型拓扑结构
总线型结构是指各工作站和服务器均连接在一条总线上,各工作站地位平等,无中心节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。各节点在接收信息时都进行地址检查,看是否与自己 校园局域网设计方案的工作站地址相符,相符则接收网上的信息。
4.2星型拓扑结构
星型结构是指各工作站以星型方式连接成网。网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。
4.3环型拓扑结构
环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,这种结构使公共传输电缆组成环型连接,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。信号通过每台计算机,计算机的作用就像一个中继器,增强该信号,并将该信号发到下一个计算机上。
4.4 蜂窝拓扑结构
蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质(微波、a卫星、红外线、无线发射台等)点到点和点到多点传输为特征,是一种无线网,适用于城市网、校园网、企业网,更适合于移动通信。
5、Vlan的划分及IP地址的规划 Vlan划分的原则:便于管理
Vlan划分理念:将几个楼划分在同一个Vlan,便于管理。
Vlan具体划分:如将梅园、桔园、竹园、桂园、桃园这几个宿舍楼划分在同一个Vlan下。再将博学馆、图书馆划分在同一个Vlan下。文化楼、实训楼、光华楼划分在同一个Vlan下。
6、IP 划分、分配
假设学校的公网IP为200.1.1.0-200.1.1.32
1、教室 :将连到教师办公室的交换机端口划分为VLAN2,将连到教室的交换机端口划分为VLAN3,每台计算机手工设置静态IP地址,DNS为202.96.128.166 202.96.18.86,网关192.168.1.1,子网掩码为255.255.255.0,在网络中心的路由器上设置动态NAT共享上网,公网的IP段为200.1.1.1-200.1.1.5。教室IP范围为:192.168.1.2-192.168.1.120 教师办公室IP范围为:192.168.1.120-192.168.1.254
2、学生宿舍区:将VLAN 68 到 VLAN 73分别划分给学生宿舍楼A的1-6层,VLAN 74 到 VLAN 79分别加划分给学生宿舍楼B的1-6层。其IP地址由网络中心的将路由器设为DHCP服务器,设其IP段为172.18.2.0-172.118.255.255 子网掩码为255.255.240.0自动分配给学生宿舍区。在网络中心的路由器上设置动态NAT上网,公网的IP段为200.1.1.11-200.1.1.20。校园局域网设计方案
五、设备选型
1、防火墙
H3C SecPath F100-M-G防火墙
市场领先的基础安全防护
全面的基础安全防护:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击
丰富的VPN特性:支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
专业的NAT应用:提供多对
一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能
灵活可扩展的深度安全防护
与基础安全防护高度集成的一体化安全业务处理平台
全面的应用层流量识别与管理:通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制 校园局域网设计方案
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6 国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等 支持IPv6 ACL、Radius等安全技术
电信级设备的高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验
支持双机状态热备功能,支持配置同步与IPSecVPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
简单易用的智能管理
简单易用的Web UI管理 适合专业用户的全命令行管理 支持基于SNMP和TR-069协议的管理 校园局域网设计方案
通过H3C SecCenter安全管理中心实现统一管理
中小企业Internet出口安全
H3C SecPath F100-M-G支持完整的基础安全防护和深度安全防御功能,为企业提供专业的安全防护;F100-M-G能够支持完整的IPv6状态防火墙,满足马上到来的IPv6时代的安全防护需求;同时F100-M-G还内置了链路负载均衡、SSL VPN等丰富特性,能够满足当前互联网出口多ISP链路和移动办公的业务需求。校园局域网设计方案
2、中心数据交换机
H3C S5800PV2-EI 千兆交换机
千兆接入方案
在企业网络或园区网络中,S5800PV2-EI系列丰富完善的安全特性能最大程度地降低非法用户和病毒入侵对网络安全带来的危害,同时S5000PV2-EI对SNMP网管特性的支持使其在面对大中型网络的统一管理方面也能应对游刃有余,可广泛使用在企业、学校、酒店等网络搭建。校园局域网设计方案
3、接入交换机
H3C S1600系列安全智能交换机 产品特点
全线速的二层交换:
S1626/S1626-PWR/S1650交换机提供所有端口二层线速交换能力,保证所有端口无阻塞的进行报文转发。优异的安全性能:
支持802.1x认证,安全专区提供多种丰富的安全功能,可以实现IP+MAC+端口+VLAN四元素绑定,并可通过DHCP-Snooping或者智能绑定自动获取绑定列表,有效防御ARP攻击、DOS攻击及蠕虫攻击,并可以方便的实现脚本配置文件的导入和导出。
支持基于MAC的Guest VLAN,配合动态VLAN下发功能可控制接入同一端口的不同用户访问不同的网络资源,增强了网络的安全性和易用性。强大的链路扩展及备份能力:
提供LACP、STP/RSTP功能,可有效实现链路扩展及备份。简单方便的管理方式:
可以通过Web可视化的界面,对交换机的各种功能进行简单方便的操作,同时提供Console口和Telnet的命令行配置。多业务支持能力
支持PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如Wireless AP、IP Camera、IP Phone等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
H3C S1600系列安全智能交换机具有丰富的安全特性,这使得在企业应用中可方便的做到接入认证和授权访问,丰富的防攻击特性让企业内部的网络更加健壮、安全。校园局域网设计方案
S1600系列安全智能交换机在企业网的应用示意图 校园局域网设计方案
4、无线AP H3C WA2610H-GN 面板式无线接入设备
标准的86mm面板尺寸
WA2610H-GN采用标准的86*86mm面板尺寸,可以完全复用用户既有的86mm网口面板暗盒,安装实施时,无需专业人员,即可方便的将原有的网口面板替换为H3C的面板式AP——WA2610H-GN。由于WA2610H-GN采用86*86mm标准面板尺寸,所以在安装之后,不会对原有周边可能存在的其他插座面板或装修事物造成影响,对客户原有装修的影响接近于零。
5步!安装一个AP只需3~5分钟
WA2610H-GN采用国际标准的插座安装方法进行设计,和其他开关面板一样,更换一个面板式AP只需要简单的5个步骤,总耗时不超过5分钟,可以极大的加快客户部署无线网络的速度。校园局域网设计方案
图2 WA2610H-GN之5步安装方法
绿色低碳设计
WA2610H-GN采用专业绿色低碳设计,支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整MIMO工作模式。
WA2610H-GN支持Green AP模式,实现单天线待机,节能更精准。
WA2610H-GN通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。
提供本地转发功能
当WA2610H-GN通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。WA2610H-GN可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。校园局域网设计方案
支持IPv4/IPv6双协议栈(Native IPv6)WA2610H-GN全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6,都可以自动地与WX系列控制器进行注册提供WLAN服务,不会成为网络中的信息孤岛。
提供EAD无线接入
终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施企业安全策略,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。
支持智能负载均衡
WA2610H-GN支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。H3C公司创新性的支持智能负载均衡技术,保证只对处于覆盖重叠区的无线用户才启动负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
第五篇:构建小型无线局域网实验报告
构建小型局域网实验报告
实验名称:构建小型局域网实训 实验起止日期: 小组成员: 实验内容:
1.知识回顾
a)对比组建微型局域网多种方式的优劣性 i.有线局域网的缺点
1.在某些场合——如展览馆、野外环境等环境——难以布线,或者说难以周全布线。
2.布线改线工程量大。有线带宽不断的增加,只是线变得越来越粗,那时换线工作将会无比艰巨。
3.线路容易损坏,一旦出错将不得不换掉整条线,维护不易。4.网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。
5.而且如果室内的布局需要调整不便捷。
ii.无线局域网优点
1.安装便捷、无缝漫游,灵活性和移动性相对于有线网络来说,无线局域网的组建、配置和维护都较为容易。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。2.节约建设投资、降低消耗;有线网络都是盖楼时预布在墙体内的,需要富裕出很信息点,早期造成浪费,一旦网络的发展超出了设计规划,又要挖墙凿地进行网络改造,而无线网络可 以根据需要进行规划和随时调整。
3.易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。4.故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。
5.维护费用低,设备安全性好。线路的维护费用高而困难,是有线组网(接入)的主要维护开支,而这些在无线组网(接入)是完全可以节省的。无线组网(接入)的主要开支在于设备及天线和铁塔的维护,相比较而言费用要低很多。有线电缆和明线容易发生故障,查找困难,且易受雷击、火灾等灾害影响,安全性差。无线系统抗灾能力强,容易设置备用系统,可以在很大程度上提高网 络的安全性。
b)常用无线网络互联设备 i.路由器(Router)(工作在OSI第三层(网络层))1.路由器的功能:
a)在网络之间转发网络分组; b)为网络分组寻找最佳传输路径; c)实现子网隔离,限制广播风暴; d)提供逻辑地址,以识别互联网上的主机; e)提供广域网服务。2.路由器的应用:
把LAN连入广域网或作为广域网的核心连接设备。3.用路由器进行网络互联的特点:
用路由器连接起来的若干个网络,它们仍是各自独立的。要想从一个网络访问用路由器连接起来的另一个网络中的站点,必须指定该站点的逻辑地址(IP地址),通过广播是无法与之进行通信的。4.路由表
路由表是保存到达其他网络的路由信息的数据库,包含目的网络地址(号)、传输路径、传输开销等。根据目的网络地址查找路由表并确定分组转发路径的过程称为路由选择(Routing)。
路由表的信息随网络拓扑的变化而变化——建立、更新路由表的算法称为路由算法(Routing Algorithm): • 网络中的每个路由器都会根据路由算法定时地或在网络
拓扑发生变化时更新其路由表;
• 静态路由:由网络管理员预先手工设置路由信息; • 动态路由:由路由器在运行时动态地建立与更新。自动学习、记忆网络的变化并根据路由算法重新计算路由的协议称为路由选择协议(Routing Protocol)。5.路由器的路由选择过程
采用存储转发的方法: • 接收并缓存IP数据分组;
• 提取分组中的目的主机的IP地址; • 计算目的主机所在的网络地址;
• 用目的网络地址查找路由表决定转发路径:
丢弃;
如果目的网络地址就是与输出接口连接的网络,则如果目的网络地址就是与输入接口连接的网络,则直接递交;
如果找到匹配项,则通过对应接口转发出去; 如果有默认路径,则通过与默认路径对应的接口转发出去;
未查到,丢弃该分组。
6.路由器的优缺点
a)优点
• 限制了冲突域;
• 可以用于LAN 或WAN的环境;
• 可以连接不同介质的网络和不同体系结构的网络; • 可以为分组确定传输的最佳路径; • 可以过滤广播信息。b)缺点
• 昂贵;
• 必须用于可路由协议网络; • 配置复杂;
• 处理速度比桥接器慢。
7.无线路由器
是将AP和路由器功能结合在一起的网络设备,特别适合于家庭或小型办公室环境的组网,使多台计算机共享一条宽带连接。8.常见无线路由器的基本配置:
• 支持IEEE802.11 b/g无线接口;
• 1个10/100M WAN接口,4个10/100M LAN接口; • 支持CSMA/CA、CSMA/CD、TCP/IP、DHCP、ICMP、NAT、PPPoE等协议;
• 支持VPN、QoS、内置防火墙;
• 支持64/128/152位WEP、WPA、IEEE 802.1X、TKIP、AES等加密与安全机制; • 支持远程和Web管理。
ii.交换机
1.交换机的特点
交换机通过内部的交换矩阵把网络划分为多个网段——每个端口为一个冲突域;
交换机能够同时在多对端口间无冲突地交换帧。2.交换机的三种转发方式
a)存储转发(Store and forward)
整个帧完整接收后,对帧进行差错检验,然后再进行转发操作
• 优点:进行差错校验,错误不会扩散到目的网段 • 缺点:延迟比较大 b)直通转发(Cut-through)
只要收到帧的前6个字节(目的MAC地址),就开始进行转发操作
• 优点:交换延迟小。
• 缺点:无法进行差错校验,帧错误会扩散到目的网段。
c)无碎片直通转发(Fragment free cut-through)
接收到一帧的前64字节后,再进行转发操作。小于64字节的帧不转发,小于64字节的帧一般是冲突造成的帧碎片(错误帧)
• 优点:交换速度较快,并且降低了错误帧转发的概率
• 缺点:长度大于64字节的错误帧仍会转发,转发延时大于直通转发 d)使用网络交换机的好处 i.ii.iii.分割冲突(碰撞)域——减少了冲突 允许建立多个连接——提高了网络总体带宽 减少了每个网段中的站点数——提高了站点平均拥有带宽
iv.v.iii.允许全双工连接——提高带宽、消除冲突 能够连接不同速度的网段
无线接入点(AP)1.AP的概念
AP是位于无线局域网拓扑中心位置的无线基站设备
2.AP的功能
AP的功能是实现无线客户端之间以及无线局域网和有线局域网之间的互联
3.AP的通信端口
a)符合IEEE 802.3标准的有线以太网端口 b)符合IEEE 802.11标准的WLAN端口
802.11b:无线传输速率最高为11Mb/s 802.11g:无线传输速率最高为54Mb/s 802.11n:无线传输速率最高约为300Mb/s 4.AP的基本配置
a)天线:802.11b/g标准的AP往往只有1根天线,而
802.11n标准的AP则具有2根以上的天线 b)有线网络接口:包括局域网端口和广域网端口 i.ii.局域网接口类型一般都是以太网接口 广域网接口类型根据所连网络不同而有所不同
• Phone/ISDN接口:用于通过电话线连网 • 以太网接口:用于通过园区局域网或ADSL连网 • USB端口(某些AP配置):连接打印机,实现无线打
印功能,连接外置硬盘,实现网络存储或P2P下载功能
5.AP的工作模式
AP可支持的组网方式包括: • 基础架构模式 • 点对点桥接模式 • 点对多点桥接模式 • 无线中继模式
c)无线网络的标准(常见标准有以下几种)i.IEEE 802.11a :使用5GHz频段,传输速度54Mbps,与802.11b不兼容
ii.IEEE 802.11b :使用2.4GHz频段,传输速度11Mbps iii.IEEE 802.11g :使用2.4GHz频段,传输速度主要有54Mbps、108Mbps,可向下兼容802.11b iv.IEEE 802.11n草案:使用2.4GHz频段,传输速度可达300Mbps,目前标准尚为草案,但产品已层出不穷
目前IEEE 802.11b最常用,但IEEE 802.11g更具下一代标准的实力,802.11n也在快速发展中。
IEEE 802.11b标准含有确保访问控制和加密的两个部分,这两个部分必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的安全解决方案,可以从一个控制中心进行有效的管理。缺乏集中的安全控制是无线LAN只在一些相对较的小公司和特定应用中得到使用的根本原因。
IEEE 802.11b标准定义了两种机理来提供无线LAN的访问控制和保密:服务配置标识符(SSID)和有线等效保密(WEP)。还有一种加密的机制是通过透明运行在无线LAN上的虚拟专网(VPN)来进行的。
SSID,无线LAN中经常用到的一个特性是称为SSID的命名编号,它提供低级别上的访问控制。SSID通常是无线LAN子系统中设备的网络名称;它用于在本地分割子系统。
WEP,IEEE802.11b标准规定了一种称为有线等效保密(或称为WEP)的可选加密方案,提供了确保无线LAN数据流的机制。WEP利用一个对称的方案,在数据的加密和解密过程中使用相同的密钥和算法。
d)IP地址A-E类地址的区分 IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址,才能正常通信。我们可以把“个人电脑”比作“一台电话”,那么“IP地址”就相当于“电话号码”,而Internet中的路由器,就相当于电信局的“程控式交换机”。IP地址是一个32位的二进制数,通常被分割为4个“8位二进制数”(也就是4个字节)。IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例:点分十进IP地址(100.4.5.6),实际上是32位二进制数(01100100.00000100.00000101.00000110)。
目前使用的IPV4,就是有4段数字,每一段最大不超过255 国际规定:把所有的IP地址划分为 A,B,C,D,E。A类地址:范围从0-127,0是保留的并且表示所有IP地址,而127也是保留的地址,并且是用于测试环回用的。因此A类地址的范围其实是从1-126之间。
如:10.0.0.1,第一段号码为网络号码,剩下的三段号码为本地计算机的号码。地址范围从0.0.0.1 到126.0.0.0。可用的A类网络有126个,每个网络能容纳1亿多个主机(2的24次方的主机数目)。以子网掩码来进行区别:255.0.0.0 B类地址:范围从128-191,如172.168.1.1,第一和第二段号码为网络号码,剩下的2段号码为本地计算机的号码。地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个,每个网络能容纳6万多个主机。以子网掩码来进行区别:255.255.0.0 C类地址:范围从192-223,如192.168.1.1,第一,第二,第三段号码为网络号码,剩下的最后一段号码为本地计算机的号码。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个,每个网络能容纳254个主机。以子网掩码来进行区别: 255.255.255.0 D类地址:范围从224-239,D类IP地址第一个字节以“1110”开始,它是一个专门保留的地址。它并不指向特定的网络,目前这一类地址被用在多点广播(Multicast)中。多点广播地址用来一次寻址一组计算机,它标识共享同一协议的一组计算机。
E类地址:范围从240-254,以“11110”开始,为将来使用保留。全零(“0.0.0.0”)地址对应于当前主机。全“1”的IP地址(“255.255.255.255”)是当前子网的广播地址。
e)无线网络安全技术 i.插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
ii.漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
iii.欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
iv.双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
窃取网络资源:有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
vi.对无线通信的劫持和监视:正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。v.vii.2.方案实施
a)无线网络拓扑结构
b)安装无线路由器
将网络接入点引出的线接到路由器的WAN口接着把电脑的网线接到路由器上,无线路由器配置成功后,即可将网络线拔出 c)无线路由器的设置(以TP-Link的无线路由为例)i.配置用于管理路由器的电脑IP:现在的路由器设置,多是通过WEB进行设置。由于路由器在没有正确设置以前,无线功能可能无法使用,因此在通过WEB设置路由器时,用于设置路由器的电脑的IP地址,必须设置成与路由器同一网关中;通常路由器IP地址是192.168.1.1(这可以从路由器的说明书上查到),因此与之联接的电脑的IP可设置成192.168.1.2~192.168.1.255之间任一地址。具体步骤: 在桌面“网上邻居”的图标上单击鼠标右键选择“属性”,接着在“本地连接”的图标上单击鼠标右键选择“属性”项,在弹出的对话框里双击“Internet协议(TCP/IP)”打开属性页,单击“使用下面的IP地址”,IP地址输入:192.168.1.2~192.168.1.255之间任一地址,如192.168.1.10,子网掩码输入255.255.255.0,默认网关输入192.168.1.1即路由器的IP地址。ii.无线路由器的设置:以目前最为普及宽带接入方式——ADSL虚拟拨号(PPPoE)的拨号方式为例: 在上网浏览器(如IE)地址栏中输入路由器的IP:192.168.1.1,输入管理员密码(如第一次输入,查看说明书,输入原始密码)后,就进入“设置向导”页。根据提示,单击“下一步”,选择ADSL虚拟拨号(PPPoE),输入拨号上网的账户名和密码再“下一步”,“无线状态:”选择为“开启” ,“SSID:”输入该无线局域网的组名,如:WlanHome09,单击“下一步”,完成账号设置。
由于新设置了路由器,因此路由器会重新联接,如果正确启动,选择设置界面上的“运行状态”,应正确显示路由器当时状态,如果WAN口状态显示错误,或者IP显示数据为0.0.0.0,则表示设置错误,须重新设置。
如果想让客户机方便地配置网络,可以在路由器中打开DHCP服务。这样,所有与路由器联接的局域网中的电脑的TCP/IP协议设置为“自动获得IP地址”,路由器即可自动为每台机器配置网络。这样无需每台机器分别指定IP地址。当然,就是打开了DHCP服务,也可手动为每台电脑指定IP地址。
开启DHCP服务的过程:进入路由器管理页面选择“DHCP服务器”菜单,启用DHCP服务器,输入地址池开始地址,如:192.168.1.200及地址池结束地址,如:192.168.1.220,保存DHCP服务器的设置即可。
d)无线网卡设置 i.正确安装无线网卡的驱动,如安装程序带有配套的应用程序也一起安装,无线网卡自带的应用程序可使无线上网更加便捷 无线网卡IP设置(如开启了DHCP服务则不需要进行该操作)在桌面“网上邻居”的图标上单击鼠标右键选择“属性”,接着在“无线网络连接”的图标上单击鼠标右键选择“属性”项,在弹出的对话框里双击“Internet协议(TCP/IP)”打开属性页,单击“使用下面的IP地址”,IP地址输入:192.168.1.2~192.168.1.255之间任一地址,如192.168.1.100,子网掩码输入255.255.255.0,默认网关输入192.168.1.1即路由器的IP地址。iii.设置网卡的无线网络配置
在桌面“网上邻居”的图标上单击鼠标右键选择“属性”,ii.接着在“无线网络连接”的图标上单击鼠标右键选择“属性”项,在弹出的对话框里选择“无线网络配置”标签页,单击“添加”按钮,输入同路由器里设置一样的无线网的SSID,即:WlanHome09,勾选“即使此网络未广播,也进行连接”,网络身份验证方式:选择“WAP2-PSK”,数据加密方式:选择“AES”,最后输入网络密钥,再确认网络密钥,单击“确定”即可完成无线网卡的无线网络配置。注意:(1)如果在选择刷新网络列表中,无法检测到无线网络,请检查无线路由器中的无线网络是否打开,电脑上的无线网卡是否打开。如果是第一次使用无线上网最好先将SSID广播开启,待无线网卡连接正常后再关闭SSID广播;(2)无线网络有一定的传输距离,只有在有效距离内,才可能正常联接。
e)无线网络安全设置 i.安全的防范点
对于小型无线局域网而言,安全的防范点主要在于: • 未经授权用户的接入 • 网上邻居的攻击
• 非法用户截取无线链路中的数据 ii.针对这些安全防范点的相应措施 1.更改路由器管理用户名及密码
这是保证无线局域网不被未经授权用户接入乃至入侵路由器的第一道屏障,一旦路由器的用户名及密码被破解,任何基于路由器的安全策略将会全部失效。具体的设置如下:进入路由器管理页面,选择“系统工具”菜单,单击“修改登陆口令”,根据提示更改路由器的用户名及口令,注意用户名不要过于简单,英文字母尽量要有大小写混合,密码应是8位以上强密码,设置完成后保存对用户名和口令的更改即可。2.SSID访问控制
SSID(网络名称)不要过于简单,不要使用自己的名字或者地址作为SSID名称。另外,SSID广播也要禁用。这样可以创建一个独立的网络,任*的客户端访问都必须输入正确的SSID才能登录。配置方法: 进入路由器管理页面,选择“无线参数”菜单,在“SSID号:”框中输入合适的SSID名称,如:WlanHome09,清除“允许SSID广播”选项前的“√”号,勾选“开启安全设置”,安全类型选择:WPA-PSK/WPA2-PSK,安全选项选择:WPA2-PSK,加密方法选择:AES,最后输入PSK密码并保存设置。3.MAC地址过滤
每个无线客户端网卡都有唯一的一个物理地址即MAC 地址,因此可以通过手工的方式在无线路由器中设置一组允许访问的MAC地址访问控制表,进行IP与MAC绑定,实现物理地址过滤,确保只有允许的设备才能进入网络。网卡MAC地址的查看:在桌面“网上邻居”的图标上单击鼠标右键选择“属性”,接着在“无线网络连接”的图标上单击鼠标右键选择“状体”项,选择“支持”选项卡,单击“详细信息”,“实际地址”即网卡的MAC地址。
MAC地址过滤方法:进入路由器管理页面,选择“无线参数”菜单,选择“MAC地址过滤”项,单击“启用过滤过滤”,选中“禁止列表中生效规则之外的MAC地址访问本无线网络”,单击“添加新条目”,正确输入网卡的MAC地址后保存设置,如果多台电脑无线上网则重复进行“添加新条目”的操作。
注意:如果开启了无线网络的MAC地址过滤功能,并且过滤规则选择了“禁止列表中生效规则之外的MAC地址访问本无线网络”,而过滤列表中又没有任何生效的条目,那么任何主机都不可以访问本无线网络。4.加密技术
使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译基本的WEP加密。相对于WEP加密方式,WPA2-PSK加密方式支持AES加密算法,安全性更高。如果路由器硬件能够支持,尽量选择这种加密方式。具体配置如下:
进入路由器管理页面,选择“无线参数”菜单,勾选“开启安全设置”,安全类型选择:WPA-PSK/WPA2-PSK,安全选项选择:WPA2-PSK,加密方法选择:AES,最后输入PSK密码并保存设置。3.实验心得
**:本次实验我主要负责的是常用网络互联设备和internet的接入方式两个模块。通过查找相关资料,使我明白了解了常用的一些网络互联设备的功能,优缺点,工作环境和internet的具体接入方式及每种接入方式的具体选择。另外,在本次实验中,很好的锻炼了我的团队协作能力,是我深刻的认识到团队协作能力在我以后工作中的重要性。
**:我主要负责本次实验的网络拓扑结构,因此这段时间我主要用visio画网络拓扑图,对我来说这个软件是完全陌生的,我通过看网上的教程,终于成功的完成了队长分配的任务,同时熟悉了visio的一般操作。对于本次实验我感觉学有所得。
**:本次试验中我主要负责整合大家查阅的资料和制作PPT。整合资料使我作为一个终结者的角色来整理、总结、压缩大家提供的资料,锻炼了我的全局统筹能力。制作PPT,让我明白了,一份漂亮的、美观的、大方的PPT是需要付出许多汗水的,但是当你成功完成时,就会感觉这一切都是值得的。
**:本次实验中我主要负责微型局域网组建方式的优劣性和IP地址的分类。通过上网查阅资料,让我知道了原来组建一个微型局域网是需要根据多方面因素,才能最终确定组建方式的。经过激烈的讨论,我们最终确定组建一个微型无线局域网。在整个讨论过程中,我们理解了各种组建方式的优缺点。
点击咨询 