第一篇:毕业论文本科题目:无线校园网的设计与优化
无线校园网的设计与优化
南阳理工学院
毕业设计(论文)
题目:无线校园网的设计与优化
姓
名:唐 家 辉 学
号:64202128
专
业:计算机科学与技术
系
别:计算机科学与技术系 指导教师:吴 绍 兴 起止日期:2006.2——2006.6
第 1 页
无线校园网的设计与优化
无线校园网的设计与优化
[摘要] 目前,WLAN作为有线网络的补充手段,被越来越多的用户所认同和接受。然而,随着WLAN应用的不断普及,WLAN与有线网络融合过程中所遇到的问题也日益凸显。由于这两种标准都是由IEEE组织认证的,因此,架构WLAN和有线网络相融合的统一网络应该是趋势,也是受到关注的话题。
通过这个融合网络,用户可以将有线网络中的信息扩展性地利用到WLAN中,将WLAN的便利和有线网络已有的庞大信息结合起来,更加方便地服务于信息化的应用。
全文共分为四部分:
第一部分包括第一、二章,对无线校园网络的设计进行了可行性分析,并从技术上证明了该设计是可行的。
第二部分是第三章,介绍了具体实现该设计的方法、流程和必须掌握的知识。第三部分是第四章,具体介绍了如何管理WLAN及其设备,同时还具体的介绍了如何去实施网络监视和控制。
第四部分是第五章,主要总结了本设计的意义,并对设计的不足作了相应的描述。
[关键词] 无线 带宽 漫游 关联
第 2 页
无线校园网的设计与优化
The design of the wireless campus network with optimize
Abstract
Currently, the WLAN conduct and actions the complement means of the wired network is approve by more and more customers and accept.However, apply along with the WLAN of continuously universal, the WLAN and wired network blend process to also highlight increasingly in the problem meet.Because these two kinds of standards all from the IEEE organization attestation of, therefore, the structure WLAN blends with wired network mutually of unify a network and should be a trend, is also the topic that is pay attention to.Pass this fusion network, the customer can expand the information in the wired network sex land utilization use WLAN, putting together the huge information knot that the WLAN convenience have with wired network already, is serve in an information-based application more and expediently.The full text is divided into a four part cent totally: A part includes the first and two chapters, carrying on a viability assessment to the design of the wireless campus network, and proved that design to be viable from the technique.The second part is chapter three, introducing a concrete realization should design of method, process and have to control of knowledge.The third part is chapter 4, concrete introduction how manage the WLAN and its equipments, still concretely introduced in the meantime how to go to carry out the network surveillance and control.Four-part cent is chapter 5, mainly tallied up the meaning with this design, and made to correspond to the shortage of design of description.Key words:Wireless Bandwidth roaming association
第 3 页
无线校园网的设计与优化
目 录
前 言................................................................................................................5 1 可行性分析...................................................................................................6
1.1 无线校园网建设目标............................................................................6 1.2 无线传输技术......................................................................................7
1.2.1 FHSS..........................................................................................7 1.2.2 DSSS..........................................................................................8 1.2.3 OFDM.........................................................................................8 1.2.4 MIMO..........................................................................................9 1.2.5 MIMO+OFDM...........................................................................11 1.2.6 802.11b——2.4 GHz,11 Mbit/s...............................................11 1.2.7 802.11a——5 GHz,54 Mbit/s.................................................11 1.2.8 802.11g——2.4 GHz,54 Mbit/s..............................................12 1.3 802.11b/802.11a/802.11g技术比较...................................................12 1.4 网络设计原则....................................................................................14 2 无线网络设计..............................................................................................15 2.1 无线建网技术....................................................................................15 2.2 无线网络拓扑....................................................................................16 2.3 无线设备...........................................................................................21 2.3.1接入点(AP)...........................................................................21 2.3.2 无线网桥..................................................................................22 2.3.3天线..........................................................................................23 2.4 无线网络安全....................................................................................24 2.4.1安全基础...................................................................................24 2.4.2 WLAN安全技术.....................................................................28 2.4.3 Cisco的完整无线安全解决方案................................................31 3.5站点勘查和安装..................................................................................33 3 无线网络管理..............................................................................................35 3.1 全程管理...........................................................................................35 3.2 安全管理...........................................................................................36 3.3 无线电和WLAN设备管理.................................................................37 3.4 计费管理...........................................................................................38 4 小 结..........................................................................................................39 致谢语............................................................................................................39 参考文献........................................................................................................40 附录................................................................................................................41
第 4 页
无线校园网的设计与优化
无线校园网的设计与优化
姓名:唐家辉 学号:64202128 班级:02641
前 言
随着网络技术的发展和网络产品价格不断的下调,众多高校都开始搭建网络平台,组建自己的校园网络。一个校园网络的组建并不是我们想象中用几个交换机就能实现,它是一项庞大而又复杂的工程,它需要覆盖整个校园,要将校园内的计算机、服务器和其他终端设备连接起来,实现校园内部数据的流通,实现校园网络与互联网络的信息交流,并且它还要涉及到网络的安全,涉及到网络的管理。因此,一个校园网络系统的组建需要从多方面进行考虑。
在经历一系列改革后,为了进一步提升自身实力,很多高校都开始改建自己的校园网,大量新教学楼拔地而其,在新建设的建筑大楼中一般都布有网络线,这给校园组网带来了一定的方便。不过还有一部分老式的建筑大楼并没有布网络线,如果我们在这里也使用有线网络,不但会带来布线的麻烦,还会影响建筑大楼的美观。在一所校园内,总有一部分区域是有线网络不能涉及的范围,如果强行布置有线网,后果非常严重。所以,在上面提到的这些地方需要布置无线局域网,才能让整个校园都被网络覆盖。当然我们也不能在一所高校内全部布置无线局域网,毕竟无线局域网的数据传输速度较慢,并不适合一些高带宽业务的处理。因此,一所校园的校园网应该是一个有线、无线网络的有机结合。
第 5 页
无线校园网的设计与优化 可行性分析
1.1 无线校园网建设目标
随着802.11系列标准的推出,从技术上来讲无线网络已经逐步成熟了。无线传输速率从最初的1~2Mbit/s,到11Mbit/s直至今天的54Mbit/s。而且有理由相信今后无线传输速率还会进一步提高。
对于一般用户而言,当前的无线性能与有线连接的性能已无明显差异。使用128比特加密和其他可选安全机制(例如TKIP[Temporal Key Integrity Protocol,临时密钥完整性协议]、MIC[Message Integrity Check,消息完整性检查]和802.11x认证等)来增加安全,上述安全措施已经降低了人们对不恰当的保密和控制的畏惧。同时覆盖距离更长的AP增加了解决方案的可行性。
对于一个设计优良的WLAN校园网络,必须具备如下要求:
高可用性——通过系统冗余和适当的覆盖区域设计,WLAN解决方案能够达到高可用性。系统冗余包括在各个频率使用冗余的AP;适当的覆盖区域设计包括漫游、信号强度减弱时的自动速率协商、适当的天线选择,以及通过使用中继器将覆盖区域扩展到不能使用AP的区域。
可扩展性——通过在每个覆盖区域使用多个AP(使用不同的频率),WLAN解决方案就能够实现可扩展性。此外,AP也可以根据预期来执行负载均衡。
可管理性——诊断工具能够完成WLAN内的大部分管理工作。通过业界标准的API(包括SNMP和WEB方式),或者通过主流的企业管理解决方案,例如Cisco公司的WLSE(Wireless LAN Solution Engine,无线局域网解决方案引擎)、Wavelink和Airwave等公司的产品,用户应当能够管理WLAN设备。
开放式体系结构——通过遵从IEEE 802.11a和802.11g等标准,或者参加Wi-Fi联盟等互操作性协会,或者获得美国FCC的认证,WLAN的开放 第 6 页
无线校园网的设计与优化
性都能够得到保证。
安全性——如果需要在空气中传送数据分组,那么对它们进行加密是基本的要求。对于大型安装的情况,WLAN解决方案不仅需要集中的用户认证,还需要集中管理密钥。
成本——客户期望每年价格都连续下降15%到30%的幅度,而无线的性能和安全性却逐年增加。客户不仅仅关心购买价格,还关心TCO(Total cost of ownership,总拥有成本),其中包括安装、管理和维护等成本。
1.2 无线传输技术
1.2.1 FHSS FHSS(Frequency Hopping Spread Spectrum,跳频扩频)是一种利用频率捷变(frequency agility)将数据扩展到频谱的83MHz以上的扩频技术。频率捷变是无线设备在可用的RF频段内快速改变发送频率的一种能力。FHSS WLAN使用的频率是2.4 GHz ISM频段中的83 MHz。在FHSS系统中,载波根据伪随机序列来改变频率或跳频。有时它也称为跳码。伪随机序列定义了FHSS信道。跳码是一个频率的列表,载波以指定的时间间隔跳到该列表中的频率上。发送器使用这个跳频序列来选择它的发射频率。载波在指定的时间(称为停留时间)内保持频率不变。接着,发送器花少量的时间(称为跳时)跳到下一个频率上。当遍历了列表中的所有频率时,发送器就会重新开始并重复这个序列。接收器同步于发送器的跳频序列,使得它在正确的时间里位于正确的频率上。图1显示了FHSS框图。
第 7 页
无线校园网的设计与优化
1.2.2 DSSS DSSS(Direct Sequence Spread Spectrum,直序扩频)——扩频是将传送信号扩展到比较宽的无线频率中的调制技术。这种技术的基本原理是运用所有信道来产生一个860 kbit/s的快速信道,或者将信道分成很多小的部分,以产生更多的信道。但是,这些信道的速度较低,例如分成3个信道的速率为215 kbit/s;若分成2个信道,则每个信道的速率为344 kbit/s。FHSS以重复的方式使用每个频率一小段时间,而DSSS始终使用22MHz宽的频率范围。信号以不同的频率被发射出。每个数据位都变成遍布频率范围的一个分片序列,或者是并行发送的码片字符串;有时它也被成为分码(chipping code)。管制机构对所支持的不同速度规定了最小的码片速率。IEEE 802.11使用11个码片。图2显示了DSSS框图。
1.2.3 OFDM OFDM(Orthogonal Frequency-Division Multiplexing,正交频分多路复用)——OFDM的工作原理是将一个高速的数据载波分成若干个低速的子载波,然后 第 8 页
无线校园网的设计与优化
并行地发送这些子载波。每个高速载波的宽度为20MHz,被分成52个子信道,每个子信道的宽度为300 kHz。OFDM使用其中的48个子信道来传输数据,余下的4个子信道用于错误纠正。编码的OFDM(COFDM)由于其编码方案和错误纠正,因而能够更有效地使用频谱。由于载波之间是正交的,因此频谱使用更有效,能够防止相隔较近的载波之间的干扰。OFDM中的每个子信道都约300 kHz宽。根据所用数据率的不同,802.11a使用不同类型的调制技术。802.11a标准规定所有遵从802.11a的产品都必须支持3种基本数据率:BPSK(每个信道编码 125 kbit/s的数据数据率可达6000 kbit/s或6 Mbit/s)、QPSK(每个信道最多编码250 kbit/s的数据,数据率可达12 Mbit/s)和16QAM(每个赫兹编码4位,数据率可达24 Mbit/s)。802.11a标准还允许厂商将调制方案扩展到超过24 Mbit/s。通过使用64QAM可以实现54 Mbit/s的数据率,这种调制技术每个周期可以编码8或10位,因而每个300 kHz的信道的数据率最高可达1.125 Mbit/s。总共使用了48个这样的信道,数据率合起来为54 Mbit/s。但每个周期编码的数据位越多,则信号越容易受到干扰和衰减的影响,最终会减少传输距离。802.11g将OFDM和CCK定义为两种必需的调制技术。同时它也支持两种可选的调制技术,即CCK-OFDM和分组二进制卷积码(PBCC)。图3显示了OFDM框图。
1.2.4 MIMO MIMO(Multiple-Input Multiple-Output,多入多出)技术——是指在发射端和接收端,分别使用多个发射天线和接收天线。传统的通信系统是单进单出
第 9 页
无线校园网的设计与优化
SISO(Single-Input Single-Output)系统,基于发射分集和接收分集的多进单出MISO(Multiple-Input Single-Output)方式、单进多出SIMO(Single-Input Multiple-Output)方式也是MIMO的一部分。利用MIMO技术可以提高信道的容量,同时也可以提高信道的可靠性,降低误码率。
目前,MIMO技术领域,另一个研究热点就是空时编码。常见的空时码有空时块码、空时格码。空时码的主要思想是,利用空间和时间上的编码,实现一定的空间分集和时间分集,从而降低信道误码率。
MIMO天线阵列,是一种开环的MIMO技术,M个发送天线,使用编码重用技术,将同样码集的每个码重复使用M次,每个码用来调制不同的数据子流,这样在不增加码资源的基础上,提高了原始数据的传输速率。
为了分辨M个数据子流,在接收端,需要使用多天线和空间信号处理。MIMO是一种能使HSDPA增加容量、提高峰值速率的技术,但受限于物理信道模型,会增加射频的复杂性,是HSDPA进一步发展的技术。
MIMO解调解扩接收机主要分2个部分,一是空时RAKE接收机,主要功能是分离不同的扩频码扩频的信号,合并多径信号;二是VBLAST,即对垂直空时码进行译码,分离出不同天线发送的空间叠加信号。
为充分利用MIMO信道的容量,人们提出了不同的空时处理方案。贝尔实验室的Foschini等人,提出了一种分层空时结构(BLAST:Bell Laboratories Layered Space-Time),它将信源数据分成几个子数据流,独立进行编码/调制。AT&T的Tarokh等人在发射延迟分集的基础上,正式提出了基于发射分集的空时编码。同时,Alamouti提出了一种简单的发送分集方案,Tarokh等把它进一步推广,提出了空时分组编码。由于它具有很低的译码复杂度,因而,可以尽早应用于WLAN中。图4显示了MIMO框图。
第 10 页
无线校园网的设计与优化
1.2.5 MIMO+OFDM MIMO+OFDM技术——MIMO+OFDM技术通过在OFDM传输系统中,采用阵列天线实现空间分集,以提高信号质量,是OFDM与MIMO相结合而产生的一种新技术。它采用了时间、频率和空间三种分集技术,使无线系统对噪声、干扰、多径的容限大大增加。MIMO和OFDM 技术在各自的领域,都发挥了巨大的作用,将二者相结合并应用到下一代无线局域网中,正在成为无线通信的一个研究热点。
1.2.6 802.11b——2.4 GHz,11 Mbit/s 802.11b采用2.4GHz直接序列扩频,最大数据传输速率为11Mb/s,无须直线传播。动态速率转换当射频情况变差时,可将数据传输速率降低为5.5Mb/s、2Mb/s和1Mb/s。使用范围 支持的范围是在室外为300米,在办公环境中最长为100米。802.11b使用与以太网类似的连接协议和数据包确认,来提供可靠的数据传送和网络带宽的有效使用。
1.2.7 802.11a——5 GHz,54 Mbit/s 802.11a是应用于无线局域网的802.11规范族中的一个规范,主要用在接入式集线器中,为无线ATM系统提供规范。使用802.11a规范的网络运行于无线
第 11 页
无线校园网的设计与优化
频率在5.725GHz到5.850GHz之间的环境下。这个规范使用正交频分复用技术,这种技术尤其适合应用于办公室局域网。在802.11a规范中,数据速率可以达到54Mb/s,在干扰方面,它要优于802.11b规范,这是因为802.11a提供更多的可用信道,并且802.11b的使用频率和各种各样的家用器具及医疗设备的使用频率是共享的。
1.2.8 802.11g——2.4 GHz,54 Mbit/s 随着无线IEEE 802.11标准开始深入人心,各IC制造商开始寻求为以太网平台提供更为快速的协议和配置。而蓝牙产品和无线局域网(802.11b)产品的逐步应用,解决两种技术之间的干扰问题显得日益重要。为此,IEEE成立了无线LAN任务工作组,专门从事无线局域网802.11g标准的制定,力图解决这一问题。802.11g其实是一种混合标准,它既能适应传统的802.11b标准,在2.4GHz频率下提供每秒11Mbit/s数据传输率,也符合802.11a标准在5GHz频率下提供54 Mbit/s数据传输率。
1.3 802.11b/802.11a/802.11g技术比较
802.11b 力不从心
提及802.11b的最大缺点,想必大部分人都会对其速度略有微词。虽然11Mbps(实际值为550~600kB/s)的传输速率对大多数宽带用户的接入速度来说已经足够,但该性能指标却不能满足日益增长的宽带网络的需求。即便是个人用户,目前国内不少家庭的宽带接入速度也已超过1MB/s,无论802.11b如何改进,它已呈现出力不从心的态势。
802.11a稍逊一筹
从另一个角度来看,WLAN的应用也不仅仅是满足于客户端计算机的Internet接入。出于无线局域网“无线”的特性,许多个人及商业用户均希望将其相应的“家庭局域网”和“公司局域网”通过无线来组建,从而实现大容量数据的无线传输,此时相比有线局域网,WLAN的速度瓶颈则更加相形见绌。再加上早期802.11b标准的安全性问题,注定了它与主流应用的无缘。
第 12 页
无线校园网的设计与优化
作为802.11b的继承者,802.11a和802.11g均具备优秀的素质。首先,它们都是经IEEE(电子与电气工程师协会)批准的无线局域网规范,标准的确立也就意味着厂商们的认可和支持;其次,它们都拥有高达54Mbps的传输速度(实际传输速率可达3MB/s之多),非常接近传统100M有线局域网传输速率的一半,如此一来,大容量数据传输便得到了一定的解决;最后在安全性上,802.11a和802.11g较802.11b也要更胜一筹。然而在目前的市场上,很少看见有基于802.11a标准的无线网络产品。特别是随着Intel Dothan处理器的发布,主流高端笔记本电脑上几乎清一色地配备了Intel Pro 2200 b/g无线网卡,主流无线AP也大多为802.11b/g规范,是什么原因让802.11a标准受到市场的冷落?
802.11g与802.11a一样拥有54Mbps的传输速率。其中802.11a在信道可用性方面更具优势。这是因为802.11a工作在更加宽松的5GHz频段,拥有12条非重叠信道。而802.11g只有11条(802.11b同为11条),并且只有3条是非重叠信道(信道
1、信道
6、信道11)。因此802.11g在协调邻近接入点的特性上不如802.11a。由于802.11a的12条非重叠信道能给接入点提供更多的选择,因此它能有效降低各信道之间的“冲突”问题;此外,802.11a独特的5GHz工作频段也在抗干扰性上优于802.11b/g,因为在日常生活中,许多电子设备都是基于2.4GHz频段工作的,这正好与802.11b/g的工作频段相同并产生冲突(举个例子,如果你的家中同时安装有无线局域网和无绳电话,那么当你使用无绳电话时便会发现通话效果时好时坏,这就是典型的干扰问题),如蓝牙设备、微波炉等。
5GHz工作频段具有2.4GHz无法比拟的抗干扰优势,但同时也预示了802.11a的灭亡。由于频段较高,使得802.11a的传输距离大打折扣。以往802.11b无线AP的覆盖范围为80~100米(室内),而802.11a仅有30米左右。5GHz频段的电磁波在遭遇墙壁、地板、家具等障碍物时的反射与衍射效果均不如2.4GHz频段的电磁波好,因而造成802.11a覆盖范围偏小的缺陷;其次,由于设计复杂,基于802.11a标准的无线产品的成本要比802.11b高的多。据一份市场调查显示,802.11a产品的售价至少比802.11b高出四倍以上,在价格敏感的前提下,它很难替代已成主流的802.11b;最后就是802.11a致命的兼容性问题,其独特的5GHz频段无法与802.11b兼容,要知道目前全球有几千万个采用802.11b标准的无线 第 13 页
无线校园网的设计与优化
局域网,如果从现有的802.11b网络过渡到802.11a,光是更换无线AP的费用就十分可观,更不用提数量更为庞大的无线网卡了。尽管后来厂商们考虑到兼容性问题,将产品做成了802.11a/b双频、甚至802.11a/b/g三频模式,但也改变不了成本过高、802.11a大势已去的现状,在2002年几千万颗Wi-Fi产品的芯片出货量中,只有不到10万颗是基于802.11a标准。
802.11g 市场展望
市场对802.11a的怀疑,让802.11g迅速成为厂商们追捧的对象。和802.11a相比,802.11g在提供了同样54Mbps的高速下,采用了与802.11b相同的2.4GHz频段,因而解决了升级后的兼容性问题。同时802.11g也继承了802.11b覆盖范围广的优点,其价格也相对较低。当用户过渡到“g网”时,只需购买相应的无线AP即可,而原有的802.11b无线网卡则可继续使用,灵活性较802.11a要强得多。
802.11a已渐渐淡出市场,但它不会完全消失,至少在更新、更强、优点更出众的标准问世之前不会被市场完全抛弃。随着WLAN在无线语音传输和矿山、医院等领域应用,其抗干扰性强和多信道的设计仍是802.11b/g所望尘莫及的。因此有理由相信在未来的一段时间内,802.11a、802.11b、802.11g可能还会三足鼎立(虽然802.11a在市场份额上可能表现未必会很理想)。
1.4 网络设计原则
实用性——遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不不设计成华而不实的网络,也不设计成利用率低下的网络,要以实用性的原则要求为依据,建设具有最低TCO(拥有的总成本最低)、最高性价比的WLAN。
先进性——采用先进成熟的网络概念、技术、方法与设备,既反映当今先进水平,有给未来的发展留有余地。
可靠性——系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
第 14 页
无线校园网的设计与优化
可扩充——系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比。
可维护——系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性。
安全性——必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。无线网络设计
2.1 无线建网技术
无线通信中的一个基本问题是介质共享大气层。如何使两个或更多个用户访问同一个介质而不会引起冲突?此外,带宽直接受到访问介质的用户数量的影响。在有线网络中,使用快速的集线器或迁移到交换式网络可以很容易地增加带宽。而在无线网络中,增加带宽的最佳方法是增加覆盖单元的数量并降低覆盖单元的覆盖范围。这样每个AP就可以分担少量的用户。与此类似,某些厂商开发出了无线交换机 “阵列”,它可以同时发送多个定向的波束。另一种策略是混合使用2.4 GHz和5GHz的设备。
本次无线局域网络设计环境是整个校园,设计时使用了无线双频(2.4 GHz和5GHz)设备阵列,极大的增加了可用带宽,同时还设计将一定面积的区域划分为一个VLAN,整个校园将按照实际需求划分为多个VLAN,设计时每个VLAN将容纳至少30个用户。同时要求公共区域必须有网络的覆盖,基于接入点的带宽共享机制,根据无线网络设计普遍适用于802.11a及802.11g网络的有效经验法则,是为每位用户4Mbps带宽,可以提供与用户在有线局域网上相同的使用感受。适用于802.11b网络的经验法则是为每为用户分配1Mbps带宽,这可以提供类似与宽带ADSL连接类似的用户使用感受(但802.11b标准已经无法适应校园 第 15 页
无线校园网的设计与优化
网络的应用需求,因此本次设计主要采用802.11a/g标准)。因此如果要实现每间教室30人以上同时上网的性能需求,则要为每间教室分配至少120M的带宽。由于电脑机房用户密度较大、信号传输环境很差,因此设计较小的蜂窝即接入点采用定向天线进行无线覆盖,仅为保证漫游需求在两房间交界处采用全向天线,接入方式上可以选择固定台式计算机接入、远程接入与移动笔记本接入的方式。每台路由器大约能带动的用户上限为32左右,因此,四台无线路由器可以充分满足一间教室50人同时访问网络的需求,将信号功率上适当减小,具体数值需专业设备进行检测,将无线漫游及信号中继的功能完全转移到路由器及交换机上,最大限度的减少网络实验室区域内的无线辐射,同时可实现网络的轻松维护、控制与管理。在网络的灵活性设计上采用了最先进的以太网供电系统,全面的实现了工作区域的按需规划的目标。小带宽的分配可以采用配线板设计,根据需要灵活分配带宽,并冗余设计网络信息插座。根据无线局域网的工作原理,在多个子频道同时工作的情况下,为保证频道之间不相互干扰,要求两个频道的中心频率间隔不能低于25MHz。在一个蜂窝区(Cell)内,直序扩频技术最多可以提供 4个不重叠的频道同时工作。因此在配置时将位于每层楼楼道内的5个无线接入逻辑点的工作子频道分别设为:1 频道、6 频道和11频道。当用户感觉到有线网络性能下降的时候,也可以选择禁用有线连接,通过配置使用无线USB网卡接入同时存在的无线网络。或申请在子层无线路由器的交换机端口内扩展接入无线接入点。无线局域网络使用DMZ主机、透明代理、链路聚合、数据备份、VLAN划分等方式进行网络容错与安全保护。无线局域网络使用扩展星型拓扑结构,支持目前和将来各种无线网络应用与网络扩展。在干扰避免上,选择蓝牙数据包类型改变、频率分离、模式切换等方法解决蓝牙网络与无线局域网信号的冲突与传输频率的干扰。
2.2 无线网络拓扑
校园WLAN的目标就是形成具有充分移动性的访问系统。WLAN允许用户从未布线的户外访问信息,如从食堂、偏僻的研究室、教室甚至运动场中进行访问。第 16 页
无线校园网的设计与优化
但是不应该认为WLAN取代了有线网络,相反,它们是为现有网络添加功能的一种途径。
遍布校园的无线部署可以为那些难于达到的或者临时场所提供网络连接,否则,这些地方就会完全不被考虑。校园WLAN的一个最大好处就是人们可以坐在公共场合一起工作,同时轻松地进行网络连接。在许多资源有限的教学机构中,这种方式可以减少对固定有线计算机的争用。
校园网络拓扑分为有线和无线两个部分,无线是在有线的基础上进行设计实施的。下图为学校至2005年年底的整体网络拓扑图。
第 17 页
无线校园网的设计与优化
WLAN是访问层元素或者产品。WLAN可以分为两种:建筑物内部的无线LAN和建筑物之间的无线桥接。图6显示了两个建筑物之间的无线桥接。
第 18 页
无线校园网的设计与优化
无线校园网络建设完成后,学校的网络将实现校内随时随地都可以连接校园网络。由于建成后的校园网络规模十分庞大,其网络拓扑结构也非常复杂,在这里并没有详细勾勒出每个细节,只是把校园网络的基本结构勾画出来。下图是一个校园网的基本网络拓扑:
校园网的无线部分主要是针对一些老式的大楼,图书馆、宿舍和会议室等不能布线的地方而设计,这一部分的网络产品主要以无线AP为主。下图为校园无线网络的基本拓扑。
第 19 页
无线校园网的设计与优化
在无线部分采用了多个无线AP来实现无线局域网的组建,上图是校园网内无线局域网的基本拓扑图,从这个拓扑结构中反映出无线局域网分为两层,一层是连接有线网络的无线AP,另外一层是大楼内分布的无线AP。这两层的无线AP通过内部集成的桥接功能,实现它们的无线互连。连接有线网络的这个无线AP最好安置在离需要组建无线局域网的大楼附近,并且中间最好没有建筑物阻挡,相隔距离也不要超过300米,这样才能让无线AP性能得到发挥,最大限度节约成本投入。而需要组建无线局域网的大楼内每一层楼布置了一个无线AP,以目前无线AP的性能而言,基本上能够将信号覆盖到一层楼的每一个角落,这样,一个无线局域网的基本结构就形成了。由于无线AP安置的地点一般都在高处,而且比较空旷,所以无线AP的防雷措施也要考虑。
在大型会议室内,由于室内空间比较大,没有墙壁阻挡,在这里布置的无线AP不用像在大楼中那样用多个无线AP来实现无线网络信号的覆盖。大型会议室组建无线局域网有一个特点,在大型会议室周围一般都有有线网络的接入点,可使用网线实现接入点与无线AP的连接,然后将无线AP置于会议室内,就可将信号覆盖到整个会议室内。在这里要考虑一件事情,一个大型会议室内如果召开会议,其笔记本数量肯定不会少,而无线AP在通常情况下能够连接20多台无线接入终端,如果无线接入终端数量过多,将严重影响网络性能,为了不影响网络性能实现更多的无线接入终端接入无线局域网中,可在这里多增加无线AP。
第 20 页
无线校园网的设计与优化
相信大家清楚,多个无线AP在同一个地方使用,信号覆盖肯定会重叠,造成对网络性能的影响。要解决这一问题,就必需将无线AP上的频段进行设置,无线AP一般都提供了11个频道,只要将会议室内的无线AP设置为各自不同的频道,就不会造成信号覆盖重叠。
2.3 无线设备
2.3.1接入点(AP)
AP充当无线网络用户的中心通信点,它可以连接有线和无线网络。在有多个AP的情况下,多个AP可以被配置成允许无线用户在AP之间漫游而不会被中断。AP还可以充当一个无线转发器,或者是无线网络的一个扩展点。
网络管理员可以通过命令行和WEB界面来控制和配置AP。也可以使用诸如简单网络管理协议(SNMP)的传统协议进行管理。根据天线的安装方式而定,选用各种类型的天线可以不同程度地增加覆盖范围和速率。AP可以是单频的,例如Cisco 1100AP;也可能是双频的,如Cisco 1200AP。
AP的重要特性包括如下: 集成的网络管理——使用现有的网络管理来支持接口级的SNMP和系统日志是一个基本要求。此外,Web或命令行管理也是必需的。根据网络管理架构的不同,Cisco发现协议(CDP)可能会提供一些附加的管理信息。系统安全——可能需要限制一些用户访问AP管理系统。因此,必须支持加密和有线等效加密(WEP)或动态WEP。此外,还需要支持802.1x以提供认证。过滤——需要协议过滤器来防止或允许通过AP使用特定的协议。此外,还需要对单播和组播包的转发与过滤进行控制。
固件——固件应该是可以升级的,并且应该支持复制和恢复配置。备用——该特性允许AP作为另一个AP的备份,以提供不中断的连接。用于国际游客的World模式——全世界不同地区的频率管制略有不同。这
第 21 页
无线校园网的设计与优化
个功能允许来自日本的游客在一个客户端设备上使用World模式,以便关联到美国的一个AP,并自动切换到正确的区域设置。负载平衡——这个特性根据用户数、比特误差率、可用无线带宽和信号强度等因素,将客户端设备自动定向到能够提供最佳网络连接的AP。
2.3.2 无线网桥
无线网桥的设计目的是连接两个或者多个网络(通常位于不同的建筑物中),它可以为数据密集型视距内应用提供很高的数据传输速率和出色的吞吐率。可以连接各种难以布线的场所、不相邻的楼层、分支机构、校园或者企业园区网络、临时性网络和仓库。它们可以针对点对点或者点对多点应用进行设置,从而让多个场所可以共享单
一、高速的互联网连接。为了提供灵活的功能,网桥还可以设置为一个接入点。
无线网桥之间的高速连接能够提供比E1/T1线路高几倍的吞吐量,而成本只是后者的一小部分--从而使得用户无须使用价格昂贵的专线或者难以安装的光纤电缆。因为网桥不会带来重复性费用,所以用户可以通过节约专线费用,迅速地收回前期的硬件投资。这款无线网桥可以将分散的建筑物连接到一个单一的LAN中,即使它们之间被高速公路、铁路、河流等障碍物隔开,无法铺设铜缆或者光纤电缆也是如此。
图1 点对点无线网桥解决方案
图2 点对多点无线网桥解决方案
第 22 页
无线校园网的设计与优化
2.3.3天线
天线为无线系统带来了3个特性:
增益——它是一个功率增加的度量标准。它指天线在指定方向上发射功率的集中程度。任何天线的增益在本质上都是对天线将辐射的RF能量集中于特定方向的一种度量。根据选用的参考点的不同,测定增益的方法也不相同。
方向——它是指发射模式的形态。
极化——它是实际发射RF能量的天线上分子的物理排列方向。它是无线信号传播的物理现象。它指的是电磁波在空间移动时所形成的电场的排列方向。其基本的准则如下:(1)对于一个水平极化的天线而言,它的电场位于水平面中。对于一个垂直极化的天线而言,它的电场位于竖直面中。(2)对于两个天线之间的任何指定链路而言,链路两端的天线必须具有同样的极化。否则将导致不必要的信号损失。
天线分为各向同性天线(isotropic antenna)或偶极天线(dipole antenna)。各向同性天线是一个理论上的天线,它在3个维度上的辐射是相同的,这类似于没有反射镜的电灯泡。与各向同性天线不同,偶极天线是一个真正的天线,它在各个方向上的辐射方向为75º,在形状上就像一个圆环。
天线通常可以分为两类:定向天线和全向天线。定向天线集中在一个方向上辐射RF能量。它包括下列几种常见类型:八木天线、实心抛物线天线、半抛物线天线和接线天线或平板天线。全向天线在水平方向上均等地辐射RF能量。水平方向上的辐射覆盖了360º。全向天线包括杆装天线和橡胶偶极天线两种常见类型。
用于无线LAN(WLAN)的天线具有两个功能:
接收——它是传输媒体上的信号接收器或终端负载。在进行通信时,它是从源接受信息或控制其他信号的设备。 发送——它是传输媒体上信号的发生器或源。在安装天线时,应遵照下列安全原则:
在开始之前仔细周密地规划安装过程。
如果不熟悉天线安装,则应该寻求专业人员的帮助。向经销商咨询安装方法,第 23 页
无线校园网的设计与优化
以便确定天线的安装地点。选择安装地点。此外还要考虑到安全性和性能。由于电源线和电话线看起来很相似,因此在区分出它们之前,将所有的线路都当作电源线。如果离安装地点很近,则打电话给公共事业公司或负责该建筑物的维修公司。
在安装天线时,不要使用金属梯子。
适当地着装。应该穿上带有橡胶底和鞋跟的鞋子、橡胶手套以及长袖衬衣或夹克。如果电源线发生事故或紧急情况,则应立即呼叫合格的应急处理人员。始终假定任何天线都正在发射RF能量。尤其要小心30.48(1英尺)或更小的 碟形天线。这些碟形天线通常以千兆赫兹频率发射RF能量。作为一个一般规则,频率越高,则辐射的危害就越大。即使在辐射中暴露区区10秒钟并且发射功率只有几瓦特,其危害仍然很大。对于传输这些能量的同轴电缆的无接头终端而言,迄今为止尚没有什么已知的危害。在移动或更换任何天线连接之前,必须确认发送器当前没有工作。
在安装微波天线时,如果你站在屋顶上,那么应避免走动,尤其要避免站立在任何天线面前。如果你必须在这些天线面前走动,而且又急步穿过天线路径轴线的话,那么安全性通常会变得非常低。
2.4 无线网络安全
网络安全是保护数字信息资产的过程。其目标是保证信息的完整性、机密性和可用性。计算机技术(包括无线技术)的发展给人们的生活和工作带来了许多好处。因此,所有的网络都应该保证它们的潜力得到最大限度的发挥。无线局域网(WLAN)给网络安全带来了独特的挑战。
2.4.1安全基础
安全的目标是保护资产、维持网络和商业流程。从历史上的大部分情形来看,第 24 页
无线校园网的设计与优化
安全意味着修建强大的防护墙,安装更小并且守得很好的门,为一小部分人提供安全访问。这种策略更适合有线局域网。移动商务和无线网络的兴起使得这种模型不合适宜。一台防火墙设备不再能够提供安全性,因为无线信号很难进行物理隔离,因此,WLAN必须采用另外一些技术和策略。
大多数人在谈论安全问题的意思是保证用户只能执行授权的操作,只能访问授权的信息。其实,安全还意味着用户不能破坏系统的数据、应用和操作环境。安全不仅需要防范恶意攻击,也需要控制错误和设备失效带来的影响。能够阻止一种无线攻击的安全措施应该能够阻挡其他类型的麻烦。
2.4.1.1 WLAN弱点
WLAN对特定的攻击比较脆弱。由于802.11 WLAN的安全措施比较新,大多数攻击都是利用WLAN的技术弱点。一些公司没有在它们的设备上打开WLAN安全功能,所以配置上也存在问题。事实上,许多设备都使用了默认管理口令,它们通常很容易被获取。最后是安全策略上的弱点,有的公司没有明晰的无线设备使用策略,员工可以搭建自己的AP。这样的AP称为“AP”,它通常都是不安全的。
802.11的主要安全弱点包括:
仅认证设备的认证方式——对客户端设备进行认证。没有认证用户。这样没有授权的用户可以访问网络资源和资产。
弱数据加密——有效等效加密(WEP)被证明是一种低效率的加密方式。没有加密的数据在无线链路上传输时非常容易被黑客窃听。
没有消息完整性检验——完整性检验值(ICV)作为验证消息完整性的方式已经被证明效率不高。没有消息完整性验证,黑客可以修改任何无线数据帧的内容。
802.11的安全弱点会成为部署WLAN的障碍。决策者和用户不会采用可 能造成对敏感数据非法访问的新技术。
2.4.1.2 WLAN面临的威胁
如果WLAN技术是完全安全的,那么WLAN就不会面临威胁。由于存在许
第 25 页
无线校园网的设计与优化
多已知和未知的弱点,黑客可以给WLAN带来威胁。无线安全主要面临4大威胁:
无组织的威胁 有组织的威胁 外部威胁 内部威胁
无组织的威胁主要来自于业余人士,他们使用可以轻易获得的黑客工具,例 如shell脚本、驾驶攻击(war driving)程序和密码破解程序。
有组织的威胁来自于具有明确攻击目的的专业人士。他们对无线系统的弱点 有深入的认识,并且能够理解和编写攻击代码、脚本和程序。在很多情况下,他们会分享他们的攻击知识和工具。
外部威胁来自于公司外部的个人或组织。他们没有权限访问公司的无线网 络。他们会设法从公司建筑的外部进入公司网络,这些地点包括停车场、相邻的建筑或者是无线网络重叠的区域。
外部威胁是人们需要花费大量时间和金钱来对付的威胁类型。
内部威胁来自于对网络具有访问权限的人员,他可能具有某台服务器的帐号,或者是能够接触物理线路。根据FBI的调查,有报告的事故中,内部访问和帐号的滥用占60%~80%。由于无线信号会从网络的物理边界中泄漏出来,现在WLAN很容易暴露给外部黑客。
2.4.1.3 WLAN面临的攻击
从本质上讲,所有的攻击工具、脚本、代码等都可以归入到侦测攻击、访问攻击和拒绝服务(DoS)攻击这三个类别中。许多新的攻击工具,包括专门针对无线网络的攻击工具,它们同时包含了侦测工具和访问工具。一些脚本或程序可能是多种攻击的联合体,例如Internet蠕虫。幸运的是WLAN设备不会感染病毒或蠕虫,但它们会使得这些攻击代码迅速地传播给台式机或服务器。侦测攻击——侦测是对系统、服务或弱点进行未经授权的查询和绘制。它也称为信息收集或指纹采集,通常在访问攻击和DoS攻击的前面进行。侦测就像是一个小偷在观察邻居的薄弱攻击部位。在许多情况下,入侵者会检查门把手是 第 26 页
无线校园网的设计与优化
否坚固,以发现日后可以利用的弱点。侦测意味着使用常用的命令或工具获取目标网络尽量多的信息。无线窃听或包嗅探是偷听数据的常用方式。收集到的数据用来进行下一步访问攻击或DoS攻击。使用数据加密,同时避免使用容易受到窃听的协议,可以对抗窃听。无线侦测也称为战争驱动。用来进行无线网络扫描的工具包括主动式和被动式两种。被动式工具在侦测无线网络时不发送数据。主动式工具在完成侦测后发送一些请求来获取额外的无线网络信息。访问攻击——系统访问在这里指没有权限的入侵者获取设备访问权限的能力。进入或访问未经授权的系统意味着运行攻击脚本或工具利用被攻击系统或应用的已知弱点。访问是一个泛指的术语,它代表未经授权的数据操作、系统访问或权限扩大。访问攻击包括:利用弱点或不存在的密码和利用服务,例如HTTP、FTP、SNMP、CDP和Telnet。最简单的攻击称为社会工程。它不需要计算机技术。如果一个入侵者可以从组织的成员那里获取有价值的信息,例如文件、服务器或密码的位置,那么攻击的过程将变得异常简单。在WLAN中,黑客经常利用AP访问有线LAN中的设备,例如台式机和服务器。一个更高级的黑客会控制整个AP并按照自己的需要重新配置AP。恶意AP攻击——大多数客户端会连接到信号最强的AP上。如果一个未经授权的AP(一个恶意AP)信号最强,则客户端会连接到它上面。恶意AP可以访问连接到它上面的所有客户端设备的数据。因此,恶意AP可以进行中间人攻击,从而获取加密的数据,例如安全套接字(SSL)或安全Shell(SSH)。恶意AP可以使用ARP或IP欺骗引诱客户端发送密码和敏感数据。恶意AP在连接中与客户端建立未经WEP保护的会话。WEP攻击——针对WEP的攻击包括比特抖动、重放攻击和弱初始化向量(IV)收集。许多WEP攻击还处在实验室状态,但它们被记录得很好。拒绝服务攻击——指攻击者破坏无线网络、系统或服务,使得它们无法向合法用户提供服务。DoS攻击包括多种方式。常见的DoS攻击仅需要能够访问网络即可。由于这些原因以及它的潜在破坏性,DoS攻击是最让人头疼的,也是最难以防备的。无线干扰是WLAN实现没有解决的主要安全问题。一个简单的干扰发射机就可以中断通信。例如,持续地向一个AP发送访问请求,不管请求是否成功,这都回耗尽AP可用的无线频谱资源,使它不再可用。
第 27 页
无线校园网的设计与优化
2.4.2 WLAN安全技术
大多数无线安全事件的发生都是因为系统管理员没有采用有效的防范措施。因此,问题的关键不仅仅承认存在技术弱点和采取可用的应对措施,还需要验证应对措施是否处于适当的位置并且工作正常。
制定WLAN安全策略以开始应用安全措施非常有用。这些策略值得花费时间和精力去开发。一种好的安全策略应该达到如下目标:
提供审核现有无线安全的过程; 提供实现安全的总体框架;
定义哪些行为是允许的,哪些是禁止的; 帮助定义组织需要的工具和过程;
帮助关键决策者之间传递信息,定义用户和管理员的反馈; 定义处理破坏无线网络行为的过程; 如果需要,创建采取法律行动的基本原则。
一种有效的无线安全策略可以保证组织的网路资源得到保护,免遭破坏和非 法访问(包括有意的和无意的)。所有的无线安全特性都应该与组织的无线安全策略保持一致。如没有安全策略或者已经过时,它应该在决定如何配置和部署无线设备前创建或得到更新。
2.4.2.1服务集标识符(SSID)通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
第 28 页
无线校园网的设计与优化
2.4.2.2物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
2.4.2.3连线对等保密(WEP)在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
2.4.2.4 Wi-Fi保护接入(WPA)WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性
第 29 页
无线校园网的设计与优化
校验三个组成部分,是一个完整的安全性方案。
2.4.2.5 国家标准(WAPI)WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。
2.4.2.6 端口访问控制技术(802.1x)该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
2.4.2.7 虚拟专用网络(VPN)虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
第 30 页
无线校园网的设计与优化
2.4.3 Cisco的完整无线安全解决方案
我们所需要的无线LAN安全解决方案,应该利用基于标准的和开放的结构,充分利用802.11安全部件,提供最高级别的可用安全性,实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容,这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面:
可扩展身份验证协议(EAP),是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务(RADIUS)的扩展 IEEE 802.11X,用于控制端口通信的推荐标准
在使用安全解决方案时,在用户进行网络登录之前,与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后,客户机和RADIUS服务器(或其它验证服务器)通过用户所提供的用户名和口令进行双向的身份验证,对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护,不会被被动监听和其它攻击方法所截获。如果没有保护措施,没有什么能在空气中畅行无阻、绝对安全地传播。
这个过程的顺序如下:
无线客户机与访问点进行通信
在登录到网络之前,访问点拒绝所有客户机的对网络资源的访问。客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。利用802.11X和EAP,无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中,RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应,并把这个响应送到RADIUS服务器。RADIUS 第 31 页
无线校园网的设计与优化
服务器根据它的用户数据库中的信息,自己产生一个响应,并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份,上述过程逆向重复。当这个双向的验证过程全部完成后,RADIUS服务器和客户机确定一个有别于客户机的WEP密钥,并为客户机提供合适级别的网络访问权限,为个人台式机提供与有线交换部分相似的安全性。然后,客户机加载密钥,准备把它应用到登录会话过程中。RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。访问点利用会话密钥对广播密钥进行加密,把经过加密的密钥送到客户机,客户机利用会话密钥进行解密。客户机和访问点激活WEP,并把会话和广播密钥应用到后续会话的所有通信过程中。
EAP和802.11X在遵循WEP的基础上,提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时,EAP框架是对有线网络的扩展,使企业为每个访问方法提供一个单独的安全结构。下图为Cisco无线解决方案的认证流程。
第 32 页
无线校园网的设计与优化
3.5站点勘查和安装
RF勘察
无线电波传输、接受数据的能力以及传输速度受到周围环境中各种物体的影响。因为无线信号是直线传播的,每遇到一个障碍物,无线信号就会被削弱一部分,尤其是浇注的钢筋混凝土墙体。实验表明,在10米的距离,无线信号穿过两堵砖墙后,仍然可以达到标称的最高的传输速率,但再穿过一层楼板后,传输速率将只有标称速率的一半了。可见,钢筋混凝土墙体会极大地削弱无线信号。另外的其他一些建筑物材质,也是无线信号的或大或小的杀手。
覆盖范围
环境勘查的下一步就是确定覆盖范围,由此确定需要部署AP的个数。无线信号的重叠是非常重要的,它保证漫游的顺利实现,但是它们必须工作在不同的信道上,减少干扰的发生。WLAN的应用场合主要是在大楼内或大楼间,因此,建筑物的体积、布局、建材以及办公环境内各式各样的干扰源都是影响信号传输质量的因素。同样的一套WLAN设备在一个地方信号有效传输距离可能是100多米,换个地方可能连50米都不到。所以,在确定AP位置时,设备的标称值只能作为一个大致的参考,精确的位置必须要通过场地信号强度测试仪和比较试验来定。许多网络厂商都有面向企业的场地信号强度测试产品,效果都不错。
场地信号强度测试工具的种类很多,有基于笔记本、袖珍PC的,也有基于PDA的。基于袖珍PC的测试工具用起来比笔记本灵活,但功能和适应性稍差。如果选用基于PDA的测试工具,最好挑能接标准PC卡的那种,因为在标准PC卡上附加无线收发功能已是时下非常流行的做法。场地信号强度测试工具比较知名的品牌和型号有:思科的Aironet NIC、Symbol Spectrum24以及AgereOrinoco。
模型选择
WLAN的优化设计不仅要从覆盖范围的角度来考虑,还要考虑其负载能力,以保证服务质量。以布置WLAN教室为例,假设实际的需求是要保证30个学生同时点播多媒体课件,一个AP不能满足要求,需要在同一教室里面布置两个AP。第 33 页
无线校园网的设计与优化
由于用户需求是动态变化的,AP的实际负载可能会加重或减轻,这些变化可以通过对WLAN监视得知。网络管理员应根据实际变化对AP的数量和分布作出调整。
第三个重要因素就是用户使用WLAN的目的,不同的应用采用的不同的WLAN设计方案。举例来说,咖啡店的WLAN使用者可能是学生,而旅馆更多是商务人士。学生上网喜欢聊天、网络游戏和语音对话,而商务人士更可能的是连接到企业的企业网、收发电子邮件和处理商务。
在进行环境勘查时需要了解用户在WLAN上将运行哪些应用,因为这也将决定网络的带宽。网络应用需要的带宽乘上同时在线的用户数量,就是网络需要最少出口带宽。例如,如果网络应用需要200kbps的带宽,而同时最多有5个在线用户,那么就需要1Mbps的互联网带宽。
总之,良好的WLAN设计不仅可以保证较好的服务质量,也可以减少AP的使用数量从而节约成本,其前提是事先经过充分的实地测量和评估。
AP的覆盖范围与布放
AP的位置首先应根据实际的场景和需求初步进行选择,然后再通过实地测量进行调整。定位需要遵循以下原则:AP覆盖区域之间无间隙,AP之间重叠区域最小。第一条原则保证所有的区域都能覆盖到,而第二条原则是要尽可能减少所需的AP数量。
AP覆盖区域的确定需要根据接收到的信号强度来决定,做法是先设定一个信号强度阈值,例如为满足某个区域的WLAN终端点播流媒体课件的需求,通过测量得知信噪比SNR=10dB是能够保证点播流媒体课件质量稳定的最低信号强度,所以可将10dB作为阈值,凡是信号强度不低于这个阈值的区域就确定为AP的覆盖区域;然后进行实地测量,并记录产生AP的覆盖区域图,最后根据定位原则进行调整,直到满意为止。
由于各个区域的用户密度不同,一般情况下用户密度大的区域情况更复杂,所以应先在用户密度高的区域进行AP的布置,然后再布置用户密度低的区域。在空旷的户外可用对称圆形和球形来划定AP覆盖区域;而在规则的狭长或矩形建筑物内可用线形或矩形将AP对称分布。但是由于室内建筑结构的复杂性,例如金属防盗门、铝合金门窗等,应当在初步选择AP位置后进行仔细的测量,以 第 34 页
无线校园网的设计与优化
确保所布置的AP能够覆盖所有区域。
如果要通过增加AP 来提高覆盖能力和范围时,一定要在详细的规划和设计后再作出决定。在WLAN中,传送的数据是利用无线电波在空中辐射传播,它可以被发射机覆盖范围内任何WLAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,这样就可能会有人非法使用你的WLAN,更糟糕的是破坏或者攻击网络。所以你必须从安全的角度出发,仔细考虑AP的布放位置。
另外,在布放AP时,你还必须详细考虑信道的安排和单元大小。为了实现完美的信道规划,你必须仔细阅读AP的说明书或者厂商的支持网站,详尽了解该AP的无线信号覆盖范围。
总而言之,站点布放步骤如下:
收集建筑物的设计图和公文,从而了解房间电源和结构基础(例如金属防火通道、墙、门口和通道);
评估建筑物的环境,选择对无线信号影响最小的AP布放点; 测试无线信道,确保没有干扰; 选择全向或者定向天线的布放点; 配置多样化的天线避免或者减少干扰。无线网络管理
3.1 全程管理
随着用户数量的增加,以及WLAN越来越多地用于高速传输和重大应用,使WLAN实现集中化管理尤其重要。全程管理可使网络管理人员能够发现、管理和提升整个网络中的AP,并为增加功能和带宽管理能力创造条件。网络管理部门可以通过集中管理WLAN,对不同用户群给予优惠和接入权。对于大型企业网络来说,可使这种管理功能自动化和集中化。这样,当无线用户通过802.11x得到
第 35 页
无线校园网的设计与优化
认证时,企业AP自动将用户指配给相应的WLAN。
未来,智能化的AP让用户把业务推向网络边缘,也就是说通过无线基础实施,使管理控制形成分布式配置。每个AP都配有唯一的接入控制信息、用户认证和策略管理。把这种智能直接置入AP,意味着用户能够在连接企业几个地点的子网络间漫游。即使对AP分配的功能较多,也能由一个中央控制系统实施管理。
全程管理的一体化管理方式采用智能交换机、WLAN管理设备和智能无线接入设备,使有线网络和WLAN实现一体化管理和操作。这种接入方式的优点是:WLAN与现有的企业网无缝隙集成,从而降低运营成本。
在部署WLAN的初期可以只建少数几个AP。随着业务的发展,增加AP和交换机便能增大覆盖范围和容量,从而使网络达到较高的可扩充性。显然,这种接入方式最适合于现在拥有相当规模的有线网络的大型应用场合。
3.2 安全管理
在物理安全的管理上除应满足常规的机房安全管理外还需要对设备进行防雷击、信号屏蔽保护等现代信息技术保护。为防止蓝牙设备产生的网络对无线局域网络造成影响,在网络实验室内必须严格禁止蓝牙设备的开启,同时将无线网络接入点放置在金属盒中屏蔽,将天线外置,减少电磁辐射和干扰对关键无线网络设备内部电子器件的损伤。同时应尽可能的减少天线的发射功率,降低用户长时间使用无线网络受到的辐射的影响程度。
逻辑安全,无线局域网络的逻辑安全时要对用户的接入进行安全保障,同时防治网络受到黑客的攻击,可以综合运用智能卡技术,设计专用的无线网络接入管理系统,同时也可以使用交换机和无线路器以及无线接入点内置的SSID、WPA、WEP安全认证体系,DMZ主机、代理功能、防火墙功能、NAT转换、MAC地址过滤、VLAN、MAC与IP地址绑定功能等,进行综合配置。定期进行接入点扫描,可以防止用户的未授权接入。
第 36 页
无线校园网的设计与优化
3.3 无线电和WLAN设备管理
无线电和WLAN设备管理一般包括网络监视和网络控制两个部分。在WLAN中,无线信号因受周围环境干扰而有较大的误码率,它的数据传输速率是随距离、功率等因素的变化而变化的。而WLAN的优化以及数据传输质量的保证都是基于对WLAN的当前性能和状态的了解的。因此,对WLAN的监视与控制就显得很重要。网络管理员可以通过分析监控结果,对WLAN进行调整,使WLAN的性能达到最大的优化。
网络监视
网络监视可以通过采用以太网监视器和WLAN监视器来实现,这两种方法各有其特点。
对于WLAN监视器而言,在空气中传播的无线数据包也可以被捕获,因此可以通过对WLAN的MAC帧进行分析得到客户机和AP的MAC地址、服务配置标志符等,对其内容进行统计分析就可以得到当前WLAN的状态。目前,很多无线网卡可以工作在“监视模式”下,通过使用相应的接口来捕获MAC帧。此方法的优点是可以直接获得WLAN数据包并且不占用网络资源。但是由于无线信号的作用范围有限,若要对所有的AP都进行监视的话,每个AP一般情况下也都要配置一个这样的监视器,成本较高。
此外,基于简单网络管理协议(SNMP)的监视器具有管理站的功能。它读出AP的管理信息库中的信息,然后进行统计分析,可以得知AP的使用情况。如:哪一个AP覆盖的区域中的用户多、负载大,要在此区域内增加AP的数量来平衡负载;每一个AP及其覆盖区域内无线用户的信号质量和网络流量;无线终端在WLAN中的移动情况等。一个这样的监视器可以监视多个AP,因此基于SNMP的管理系统很适合于管理AP数量众多、分布范围广的WLAN。尽管SNMP的数据包会占用少量带宽,但是相对而言大大节省了网络监视的成本,而且方便实用。
网络控制
网络控制是网络管理的重要内容之一。由于无线环境的特殊性以及带宽的限制,更要对WLAN进行控制以保证服务质量。WLAN的网络控制主要有AP参数控制和自适应控制这两种方式。
第 37 页
无线校园网的设计与优化
所谓AP参数控制是指利用AP的自身参数设置进行的控制,这种控制主要包括:设置允许接入AP的用户数量(部分AP支持此功能)。由于带宽有限,如果对网络有一定的服务质量要求,例如视频课件点播、视频会议等,则必须限制同时使用同一个AP的用户数量。可以通过过滤用户的MAC地址来允许或禁止某些MAC地址的用户使用AP;通过过滤协议来禁用某些网络协议减少网络不必要的负担;在不存在隐藏节点的情况下,例如无线教室,AP和无线网卡还可以禁用RTS/CTS设置,减少额外增加的网络负担。
自适应控制是指按照预先指定的控制策略(如基于带宽或响应时间),网络监视器根据监视到的网络信息生成控制信息,然后将控制信息反馈到服务器,服务器对正在进行的服务内容进行相应控制,对某些客户的请求进行响应或拒绝。例如,在基于Web的多媒体点播系统中,预先在网络监视器中设定可用带宽和点播人数的阈值上限,如果当前网络带宽或点播人数超过预设的阈值,那么监视器通知服务器不再接受新的客户点播请求,或降低服务质量(比如降低画面清晰度或只传送声音数据)以响应更多的用户请求;而对于无线信号很弱(小于预先设定的阈值下限,不适合点播多媒体节目)的用户,服务器同样也可以拒绝他的点播请求,并通过Web方式通知此用户。对于TCP连接,如果无法或不适合在服务器端进行的控制可以考虑在链路上控制。控制的方法是在链路上监视TCP的数据包,当有新的用户进行TCP连接请求时,控制器立即发出复位包来中断这个请求。这种方法的缺点是对用户不友好,但在网络拥挤的情况下也不失为一种可行的策略。
3.4 计费管理
无线局域网应具有多种计费策略,除开发专用的计费管理平台外,还可以配合使用有线局域网络的计费方法,实现无线局域网络灵活的计费方式。
第 38 页
无线校园网的设计与优化 小 结
本文设计的无线校园网最大的特点是:摆脱了连接网线的束缚,能够使学习远离教室,可以在网络覆盖的范围内的任何地方上网;带宽很宽,适合进行大量双向和多向多媒体信息传输;通过无线终端与网络连接,可以做到人手一部终端而无需进行大量的综合布线、设备配置等工作。
无线校园网以上突出的特点,给高等教育带来了极大的便利,其便利程度超出了以往任何时期。这些便利的条件为高校实现教育理论的实践、进行深层次的教学改革提供了极大的潜力空间,必然引领着高校按照新的条件进行教学理念、教学方法、教学评估和教学管理等方方面面的改变,从某种程度上说,这种改变是革命性的。表面上看,无线校园网还是在技术方面对教学进行支持,但是由于这种支持可以深入到教学的核心部分,因此,必将引发高等教育教学改革的新一轮高潮。
校园网是一个庞大而复杂的工程,需要根据具体的环境来组建网络,涉及的面也比较广,本文这套方案只是针对无线校园网络建设提出的一种设计思路,在具体设计过程中没有进行本文中提到的收集建筑图纸和实地勘测的工作,因而在很多方面都只能说是一种设想,倘若要具体实施,就必须需要专业人员针对具体校园环境作出一个完整的解决方案,所以这只是一个基础,如果要组建校园网还需要对各个地方进行改进,这样才能节省校园网络成本,才能最大限度发挥出校园网的性能。
致谢语
这篇毕业设计论文是我大学学习生活的小结,四年的大学生活将随着论文的完成而告一段落。同时我也将开始新的工作和生活。
在这篇论文的研究和实现过程中,我得到了学校老师的悉心指导和帮助,对此,我向各位老师表达我最真诚的感谢,特别是我的指导老师吴绍兴老师,他在课题选择、内容安排、参考文献等许多方面都给了我不少非常好的意见,同时还
第 39 页
无线校园网的设计与优化
给我在熟悉无线设备、组建无线网络方面给了我很大的帮助,使我在研究探索的道路上少走了许多弯路,让我的论文得以顺利完成。在此我特别向您表示我的感谢和祝福,预祝您今后工作顺利,身体健康!
另外,非常感谢在我论文完成期间关心和帮助过我的同学、朋友们,是你们让我的工作更顺畅。还有要感谢的是我的父母,虽说平时您没有说什么,但您的行动让我知道在外不论是成功还是失败,我都有一个避风的港湾。
最后,我要感谢我的母校——南阳理工学院,是你给我了成长的空间,是你给了我梦想的舞台,是你给了我腾飞的翅膀。在此预祝母校在今后的越办越好!
参考文献
[1] Cisco Networking Academy Program 《思科网络技术学院教程——无线局域网基础》
人民邮电出版社
2005年8月 [2] Cisco Networking Academy Program 《思科网络技术学院教程(第一、二学期)(第三版)》 人民邮电出版社
2004年7月
[3] Cisco Networking Academy Program 《思科网络技术学院教程(第三、四学期)(第三版)》
第 40 页
无线校园网的设计与优化
人民邮电出版社
2004年7月
[4] Cisco Networking Academy Program 《思科网络技术学院教程网络安全基础》 人民邮电出版社
2005年4月
[5] Cisco Networking Academy Program
《思科网络技术学院教程CCNP1高级路由(第二版)》 人民邮电出版社
2005年3月
[6] Cisco Networking Academy Program 《思科网络技术学院教程CCNP 2远程接入(第二版)》 人民邮电出版社
2005年2月
[7] Cisco Networking Academy Program/Wayne Lewis, Ph.D.《思科网络技术学院教程CCNP 3多层交换(第二版)》 人民邮电出版社
2006年1月
[8] Cisco Networking Academy Program/Wayne Lewis, Ph.D.《思科网络技术学院教程 CCNP4 故障排除》 人民邮电出版社
2005年6月
[9]无线网络-产品与网络解决方案-中国-Cisco Systems
http://
[10]圆网—无线局域网安全技术
http://&b=10&a=0&user=baidu
附录
接入点(AP)配置
基本配置
配置系统名(主机名)
第 41 页
无线校园网的设计与优化
ap#configure terminal ap(config)#hostname ap001 ap001(config)#end
ap001#show running-config
ap001#copy running-config startup-config
分配IP地址
ap001#configure terminal ap001(config)#interface bvi1 ap001(config-if)#ip address 172.17.10.1 255.255.255.0 ap001(config-if)#end(或Ctrl-Z)ap001#show running-config
ap001#copy running-config startup-config
验证AP运行 网络映射
ap001#configure terminal ap001(config)#dot11 network-map 30 ap001(config)#end
ap001#show dot11 network-map ap001#show dot11 adjacent-ap
ap001#copy running-config startup-config 关联
ap001#configure terminal ap001(config)#show dot11 associations ap001(config)#show dot11 associations client ap001(config)#show dot11 associations statistics ap001(config)#end
ap001#clear dot11 client 0040.9645.2196 ap001#clear dot11 statistics dot11radio 0 ap001(config)#show dot11 associations 第 42 页
无线校园网的设计与优化
ap001(config)#show dot11 associations client ap001(config)#show dot11 associations statistics
网络接口配置
ap001#configure terminal
ap001(config)#interface dot11radio 0 ap001(config-if)#
ap001#configure terminal
ap001(config)#interface fastEthernet 0 ap001(config-if)#
ap001#configure terminal
ap001(config)#interface fastEthernet 0 ap001(config-if)#ip address 172.17.10.1 255.255.255.0 ap001(config-if)#speed 100 ap001(config-if)#duplex full ap001(config-if)#no shutdown ap001(config-if)#^Z ap001# ap001#show interfaces ap001#show ip interface brief ap001#show running-config
ap001#copy running-config startup-config
ap001#configure terminal ap001(config)#int dot11radio 0 ap001(config-if)#ssid ap1 ap001(config-if-ssid)#authentication open ap001(config-if-ssid)#exit
第 43 页
无线校园网的设计与优化
服务配置 ap001(config-if)#no ssid tsunami ap001(config-if-ssid)#^Z ap001# ap001#show running-config
ap001#copy running-config startup-config
ap001(config-if)#power client 20 ap001(config-if)#power local 20 ap001(config-if)#speed throughtput ap001(config-if)#speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0
ap001#configure terminal
ap001(config)#interface dot11radio {0|1} ap001(config-if)#no dot11 extension aironet
ap001(config-if)#payload-encapsulation snap | dot1h ap001#show running-config
ap001#copy running-config startup-config
ap001#configure terminal ap001(config)#line vty 0 4 ap001(config-line)#login local ap(config-line)#end ap001#show run ap001#configure terminal ap001(config)#ip domain-lookup ap001(config)#ip domain-name cisco.com ap001(config)#no ip domain-lookup
第 44 页
无线校园网的设计与优化
ap001#configure terminal ap001(config)#ip http authentication local ap001(config)#ip http port 8080
ap001(config)#access-list 1 permit host 10.0.1.1 ap001(config)#ip http access-class 1
ap001(config)#ip http help-path file://c:wirelesshelp ap001(config)#end ap001# ap001#show running-config
ap001#copy running-config startup-config
第 45 页
第二篇:校园网规划与设计
广东交通职业技术学院
校园网设计与规划
09
姓名: 杰(10号)
旋(8号)
指导老师: 雷
班班级:应用电子技术
前言
校园网络的规划设计是一项系统工程,不同的规划设计方案,可使网络存在较大的性能差异,它不仅体现在网络本身具备的技术特性和应用特点上,也体现了不同用户的各种需求,而校园网的建设必将对我院的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。本文通过对本校校园网建设的研究,着重从校园网现状及须求分析、系统设计原则和实现目标、系统建设方案、VLAN划分及子网配置等四个方面进行了初步的探讨。
21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展,使得计算机网络发展的非常迅速,已经成为信息科学的一个新的分支。随着计算机网络的发展,校园网已经成为我院走向信息化时代的必然发展趋势,使我国教育管理向智能化发展。校园网以信息资源为根本,硬件网络系统为物质基础,同时以网络软件系统实现系统的管理与使用,是一个具有宽带通路和交互功能的专业性局域网,应具有教学(科研)、管理和通讯三大功能。我院教师的教学、科研工作和学生的学习生活对一个高速的、资源丰富的和应用多方面的校园网的需求是迫切的。
目录
一、现状及需求分析„„„„„„„„„„„„„„„„4
1、计算机网络系统现状
2、校园网系统需求分析
3、网络管理系统设计
二、系统设计原则和实现目标„„„„„„„„„„„„5
1、网络系统设计原则。
2、系统建设目标。(1)统一规划,分步实施。(2)采用先进的成熟的技术。
(3)坚持开放性和标准化,统一网络协议。(4)坚持规范布线,考虑长远发展。(5)建立完善的网络管理体系。(6)易于使用和管理。
三、系统建设方案„„„„„„„„„„„„„„„„„7
1、网络拓扑结构设计。
2、网络拓扑结构设计图
四、VLAN划分及子网配置„„„„„„„„„„„„„9
1、IP地址分配。
2、传输及布线设计。
一、现状及需求分析
1、计算机网络系统现状。
我院占地面积较小,校园网的建设不同于其他高等院校的校园网络,它的结构相对简单,主要集中在校园主干网和综合办公子网、教学子网和宿舍子网的建设方面。
综合办公子网,主要用来完成我院的各项管理功能,为校领导和各个部门提供可靠的数据,实现办公自动化。
教学子网,主要实现多媒体教学,普及计算机网络基础知识。宿舍子网,主要提供学生上网查资料、学习网络知识等。建立网络管理中心,各应用子网设立分中心;建立功能齐备的网络管理系统,保证网络高效可靠地运行,同时提供丰富的网络应用资源和便利的资源访问手段。将网络中心与CERNET相连,并由此进入Internet。校园网逐步为广大教师、学生、科研人员提供丰富的网络应用资源,包括电子邮件服务、网络目录服务、文件访问和共享服务、图书科技情报查询服务、电子新闻服务、远程高速信息服务和计算服务、远程计算机教育、远程计算机协同工作以及教育和科研管理服务等等。
2、校园网系统需求分析。
我院北校区坐落在交通方便的花都区工业大道两旁,始建于1959年,占地面积约66000平方米,建筑面积24000平方米,现有专业60个,在校学生约6000名,拥有由教授、副教授、博士(后)、硕士、高级工程师、高级技师、远洋船长、轮机长等高层次专业人才
组成的是一支团结勤奋,务实进取、干事创业的教师队伍,是一支年轻化、知识化、专业化的优秀群体,在历年的综合评估中,我校2008年成为广东省首批立项建设的省级示范性高等职业学院等光荣称号,受到上级领导特别是当地群众的广泛好评。
。随着网络技术的不断发展,新兴的教学手段在世界各地被广泛地采用,在中国也被各方所接受认可。网络为教师、学生带来了更多的信息、素材,也带来了新的教学沟通方法。随着 “校校通”我院网络工程的推进。构建校园网络系统已经成为必然的趋势。
二、系统设计原则和实现目标。
1、网络系统设计原则。
(1)我院校园网主要为服务于教育、教学,实现我院的信息化教育。所以在校园网设计的初期就要充分考虑到教育教学的需要与实际经济承受能力的紧密结合,本着高效、适用、实用的原则,有计划、有重点,分层次,积极稳妥地推进校园网信息化建设。严格规范校园网信息化建设及相应的软件平台的开发标准,以确保校园网的整体建设规划和管理要求的一致性,才能真正为我院的教育、教学添砖加瓦。
(2)在建设校园网的时候还要应做到培训在先、建网建库同行、重在应用三个关键点。切实做好我院教师、技术、管理与行政人员的不同层次的培训,形成一支能使校园网充分发挥使用效益的应用队伍、教学软件开发队伍和能保证校园网正常持续运行的软、硬件管理队伍。只有这样,才可以使老师积极开发、推广、使用教育教学软件,自愿自主的建设校园网信息资源库,充分发挥校园网在当今教育普及
中的重要作用,是我们的教育信息化建设真正落到实处。(3)对原有资源进行升级改造,要充分利用现有的设备,并充分考虑到原有设备和新建网络的融合和互通,使资源可以得到充分的利用,实现资源的优化配置和合理应用,这也是对于资金比较困难的我院在建设校园网一种解决途径。
2、系统建设目标。
在满足校园网络需求的基础上结合当前网络的发展趋势及我院的经济状况来确定校园网设计:(1)统一规划,分步实施。
网络技术快速发展的特点以及我院经济承受能力决定了很多我院校园网建设无法一步到位,为了使有限的资金能够发挥最大的作用,避免重复投资造成浪费,网络设计必须分布实施。
(2)采用先进的成熟的技术。
采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。有利于保护投资,并且有利于校园网的维护和升级。
(3)坚持开放性和标准化,统一网络协议。
校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
(4)坚持规范布线,考虑长远发展。
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性,使网络
难以管理和维护,所以必须采用标准的综合布线系统。
(5)建立完善的网络管理体系。
必须建立健全的规章制度,采用集中统一管理的方法,以便于网络的维护和管理。
(6)易于使用和管理。
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定,不应轻易更改。
三、系统建设方案。
1、网络拓扑结构设计。
(1)网络的拓扑结构包括物理结构和逻辑规划两方面。物理结构容易受到重视,而通讯协议规划不合理、软件设置不当是引起网络故障、降低网络性能最常见的原因。因此,网络拓扑结构设计时必须进行物理和逻辑两方面的规划,在拓扑结构图中示明IP地址、子网、网关和路由等逻辑规划信息。
(2)在设计网络拓扑结构时,必须当考虑到未来3~5年内我院的发展和布局结构的调整。物理网段布局要充分考虑网络的成长性。对本地通信负荷大的局域网(如多媒体教室、软件实现的电子教室等),要采取分段的方法进行隔离。同一网段中的计算机数量要有一定限制。对一个应用较为完善的校园网,必须划分子网以保障网络干线负载均衡。要做到即使有客户机的IP地址与某台服务器重复,其
他网段甚至该客户机所在网段的其余工作站仍能正常通信。
(3)从我院的实际情况出发,实现各个部分的智能化操作。网络采要分为主干网和部门网两个层次。以放射状的形式连到宿舍以及机房和教职工宿舍。网络结构具有先进性、实用性、可靠性,又充分的保证我院的投资在相当时间内具有保值性。同时系统具有可扩充性和可升级性的特点,以方便我院进行网络扩充和升级改造。
2、网络拓扑结构设计图
宿舍网
四、VLAN划分及子网配置。
1、IP地址分配。根据实际需要划分
2、传输及布线设计。布线系统设计原则:
(1)灵活性:布线系统只通过跳线,而无需对线路,插座做任何改动,便可以在任何一间办公室,机房,教室,信息点为用户提供终端,局域网工作站等不同性质的应用。
(2)先进性:用户对该布线系统不用做任何修改,只需引入新的网络设备,便可用该布线系统支持更先进的应用。
(3)可靠性:该布线系统应能保证使用寿命与性能可靠,并有一定的冗余接口以备应用增加或不可预期损坏时使用。
(4)标准化:各种设计规范,技术指标及产品均符合国际和国家的各类工业标准,并提供多厂商产品的支持能力。
(5)可扩充性:布线系统具有很长使用寿命,而信息技术的发展又特别快,因此在设计布线系统使,应考虑具有充分的扩展能力。
根据以上原则:网络中心综合布线需要采用集中式的网络配置方案,因为它具有以下的优点:易于管理维护,安全性好,网络易于调整,扩展性好。
3、网络管理系统设计
(1)网络管理的目的在于保证网络正常、稳定地运行,随着网络管理的作用日益上升,网络管理也担负了整合网络资源、协调网络
运行的重任。网络管理基本上提供了保障网络系统正常运行的基本功能,它担当着网络的维护重任,负责排除网络故障等;更重要的是,它在提高网络性能上的作用日益突出,因为网络动态性能的提高是通过网管系统来解决的。网管系统是整个网络工作状态的名副其实的调度中心。
(2)校园网作为学院日常工作的重要信息化平台,对教学资源共享、人力资源管理、办公支持、内部交流、远程教育、培训招生、对外合作等几乎所有的我院业务提供服务,因此,对校园网建设提出了可运营和多业务支持的要求。
总之,建设一个以办公自动化、计算机辅助教学为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖我院主要楼宇的校园主干网络,将我院的各种终端设备和局域网连接,并与市教育城域网相连,形成结构合理、内外沟通的校园网络。在此基础上建立能满足教学、教研和管理工作需要的软硬件环境,开发教育教学资源库、信息库,为我院各类人员提供充分的网络信息服务。校园网的建设必将对我院的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。校园网一方面缩短了我院与外界的距离;另一方面,构建了以INTRANET为基础的科学管理体系,必将推动我院信息化建设的极大发展。
第三篇:校园网设计与规划
农村中学校园网设计与规划
2007-9-6 14:50:00
校园网络的规划设计是一项系统工程,不同的规划设计方案,可使网络存在较大的性能差异,它不仅体现在网络本身具备的技术特性和应用特点上,也体现了不同用户的各种需求,而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。本文通过对响水县运河中学校园网建设的研究,着重从校园网现状及须求分析、系统设计原则和实现目标、系统建设方案、VLAN划分及子网配置等四个方面进行了初步的探讨。
【关键字】校园网、现状、规划
21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展,使得计算机网络发展的非常迅速,已经成为信息科学的一个新的分支。随着计算机网络的发展,校园网已经成为学校走向信息化时代的必然发展趋势,使我国教育管理向智能化发展。校园网以信息资源为根本,硬件网络系统为物质基础,同时以网络软件系统实现系统的管理与使用,是一个具有宽带通路和交互功能的专业性局域网,应具有教学(科研)、管理和通讯三大功能。学校教师的教学、科研工作和学生的学习生活对一个高速的、资源丰富的和应用多方面的校园网的需求是迫切的。
一、现状及需求分析。
1、计算机网络系统现状。
中小学校园网的建设不同于高等院校的校园网络,它的结构相对简单,主要集中在校园主干网和综合办公子网、教学子网的建设方面。当然一些规模较大的高中也会涉及到图书馆、实验室等应用子网的建设。
综合办公子网,主要用来完成学校的各项管理功能,为校领导和各个部门提供可靠的数据,实现办公自动化。
教学子网,主要实现多媒体教学,普及计算机网络基础知识。
建立网络管理中心,各应用子网设立分中心;建立功能齐备的网络管理系统,保证网络高效可靠地运行,同时提供丰富的网络应用资源和便利的资源访问手段。将网络中心与CERNET相连,并由此进入Internet。校园网逐步为广大教师、学生、科研人员提供丰富的网络应用资源,包括电子邮件服务、网络目录服务、文件访问和共享服务、图书科技情报查询服务、电子新闻服务、远程高速信息服务和计算服务、远程计算机教育、远程计算机协同工作以及教育和科研管理服务等等。
2、校园网系统需求分析。
响水县运河中学是响水县,乃至盐城市一所历史悠久的完全中学,学校以优秀的师资力量、良好的教学质量享誉全县。随着网络技术的不断发展,新兴的教学手段在世界各地被广泛地采用,在中国也被各方所接受认可。网络为教师、学生带来了更多的信息、素材,也带来了新的教学沟通方法。随着江苏省“校校通”学校网络工程的推进。响水县运河中学作为响水地区的一所非常有影响力的中学,构建校园网络系统已经成为必然的趋势。
二、系统设计原则和实现目标。
1、网络系统设计原则。
(1)中小学校园网主要为服务于教育、教学,实现学校的信息化教育。所以在校园网设计的初期就要充分考虑到教育教学的需要与实际经济承受能力的紧密结合,本着高效、适用、实用的原则,有计划、有重点,分层次,积极稳妥地推进校园网信息化建设。严格规范校园网信息化建设及相应的软件平台的开发标准,以确保校园网的整体建设规划和管理要求的一致性,才能真正为学校的教育、教学添砖加瓦。
(2)在建设校园网的时候还要应做到培训在先、建网建库同行、重在应用三个关键点。切实做好学校教师、技术、管理与行政人员的不同层次的培训,形成一支能使校园网充分发挥使用效益的应用队伍、教学软件开发队伍和能保证校园网正常持续运行的软、硬件管理队伍。只有这样,才可以使老师积极开发、推广、使用教育教学软件,自愿自主的建设校园网信息资源库,充分发挥校园网0在当今教育普及中的重要作用,是我们的教育信息化建设真正落到实处。
(3)对原有资源进行升级改造,要充分利用现有的设备,并充分考虑到原有设备和新建网络的融合和互通,使资源可以得到充分的利用,实现资源的优化配置和合理应用,这也是对于资金比较困难的学校在建设校园网一种解决途径。
2、系统建设目标。
在满足校园网络需求的基础上结合当前网络的发展趋势及学校的经济状况来确定校园网设计:
(1)统一规划,分步实施。
网络技术快速发展的特点以及学校经济承受能力决定了很多学校校园网建设无法一步到位,为了使有限的资金能够发挥最大的作用,避免重复投资造成浪费,网络设计必须分布实施。
(2)采用先进的成熟的技术。
采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。有利于保护投资,并且有利于校园网的维护和升级。
(3)坚持开放性和标准化,统一网络协议。
校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
(4)坚持规范布线,考虑长远发展。
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性,使网络难以管理和维护,所以必须采用标准的综合布线系统。
(5)建立完善的网络管理体系。
必须建立健全的规章制度,采用集中统一管理的方法,以便于网络的维护和管理。
(6)易于使用和管理。
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定,不应轻易更改。
(7)有良好的分层设计,强调应用和服务。
三、系统建设方案。
1、网络拓扑结构设计。
(1)网络的拓扑结构包括物理结构和逻辑规划两方面。物理结构容易受到重视,而通讯协议规划不合理、软件设置不当是引起网络故障、降低网络性能最常见的原因。因此,网络拓扑结构设计时必须进行物理和逻辑两方面的规划,在拓扑结构图中示明IP地址、子网、网关和路由等逻辑规划信息。
(2)在设计网络拓扑结构时,必须当考虑到未来3~5年内学校的发展和布局结构的调整。物理网段布局要充分考虑网络的成长性。对本地通信负荷大的局域网(如多媒体教室、软件实现的电子教室等),要采取分段的方法进行隔离。同一网段中的计算机数量要有一定限制。对一个应用较为完善的校园网,必须划分子网以保障网络干线负载均衡。要做到即使有客户机的IP地址与某台服务器重复,其他网段甚至该客户机所在网段的其余工作站仍能正常通信。
(3)从学校的实际情况出发,实现各个部分的智能化操作。网络采要分为主干网和部门网两个层次。以放射状的形式连到宿舍以及机房和教职工宿舍。网络结构具有先进性、实用性、可靠性,又充分的保证学校的投资在相当时间内具有保值性。同时系统具有可扩充性和可升级性的特点,以方便学校进行网络扩充和升级改造。
2、网络选型。校园网络系统可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。
(1)校园网络中心的设计
网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。
①主干网络的设计
主干网络采用联想新推出的LS-5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机,它提供8个插槽,可选插8联的10/100Base-TX、2联的100Base-FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。同时可以选择MS-5103千兆位以太网模块(SX/MM/850nm,0-350m)或MS-5104千兆以太网模块(LX/SM/1310nm,0-6km)与下面的各个子网通过千兆位的链路相连。
②校园网与Internet的互连: 采用局域网专线接入方式,此方式需要配备路由器等设备,租用专线DDN或帧中继(Relay),也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名,以专线方式连入Internet,并提供防火墙、计费管理等功能。
本方案选用联想的LR-2501路由器,具有1个局域网(LAN),2个广域网(WAN)和1个控制台。支持帧中继(-Relay)、X.25、PPP、HDLC协议。
③远程访问服务
采用联想LA-220和LA-240访问服务器,安装在本地局域网中,通过1至4个调制解调器(或ISDTA)和1至4根电话线,即可为远程访问人员提供拨号上网服务,远程用户只需拥有1个调制解调器和1根电话线,通过拨接LA-220或LA-240上所连接的电话号码,就可以登录访问。
(2)教学子网的设计
校园网建网的目的之一,是利用网络实现多媒体教学,如:交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。目前在局域网上实时传送高质量的视频数据还未成熟,但传送压缩后的视频数据确是可行的。根据教学子网对速度要求较高的特点,可以采用了联想LS-5625智能型24+1和10/100M自适应以太网交换机,它提供24个10/100M交换式端口和一个扩展插槽,可选插1个8联的10/100Base-TX、1个2联的100Base-FX或1个1联的千兆以太网模块。但实际上大量用户(指超过60个流)的视频传输的瓶颈在于存储介质的外部传输速率,因此可选用多通道的磁盘阵列接多台主机的方式提高访问的总线带宽。
在教学子网的软件方面,可选用的种类较多,如:联想传奇(ParaSago)、电子教室、海航的电子阅览室、中教的课件制作系统等。
(3)办公子网的设计
办公子网主要面向学校的各级领导及各职能部门,能够实现对网络数据的查询、修改、添加、删除等操作,同时,应该能够满足支持视频传送的要求。鉴于此,办公子网采用了联想LH-262724+3的10/100M自适应集线器或LH-261312+1的10/100M自适应集线器,这两款集线器除具备普通双速集线器功能外,还专门提供了交换式端口,能够为连接在该端口上的设备提供独享的10/100M带宽,极大地提高数据传输速率,解决服务器瓶颈问题。采用联想LP-1363联10/100M以太网打印服务器,来完成共享打印功能。该服务器具有3个标准并联,可同时连接三台任意标准并联打印机。
办公子网对应的软件有科利华等公司研制开发的办公软件等。
(4)图书馆子网的设计
图书馆是一个相对独立的系统,我们采用联想LS-301616的10/100M自适应以太网交换机,它提供了优良的每端口性能价格比,并支持基于端口的VLAN划分。图书馆管理系统的应用软件产品较多而且相对成熟。
(5)宿舍区子网及后勤子网等的设计
宿舍区子网即在学生宿舍内部连网,用以直接浏览学校发布的信息及查阅一些电子文档资料;后勤子网覆盖范围较大,主要用途有食堂IC卡计费系统等。由于宿舍区子网及后勤子网对带宽的要求并不高,因此我们选用联想LH-201616的10/100M自适应集线器,提供16个双速集线器端口,能够自动适应所接设备的速度(10/100Mbps),每台LH-2016背面都有2个堆叠口、利用这两个堆叠口最多可堆叠6台集线器,最大可用端口数为96个。
四、VLAN划分及子网配置。
1、IP地址分配。
2、传输及布线设计。
布线系统设计原则:
(1)灵活性:布线系统只通过跳线,而无需对线路,插座做任何改动,便可以在任何一间办公室,机房,教室,信息点为用户提供终端,局域网工作站等不同性质的应用。
(2)先进性:用户对该布线系统不用做任何修改,只需引入新的网络设备,便可用该布线系统支持更先进的应用。
(3)可靠性:该布线系统应能保证使用寿命与性能可靠,并有一定的冗余接口以备应用增加或不可预期损坏时使用。
(4)标准化:各种设计规范,技术指标及产品均符合国际和国家的各类工业标准,并提供多厂商产品的支持能力。
(5)可扩充性:布线系统具有很长使用寿命,而信息技术的发展又特别快,因此在设计布线系统使,应考虑具有充分的扩展能力。
根据以上原则:网络中心综合布线需要采用集中式的网络配置方案,因为它具有以下的优点:易于管理维护,安全性好,网络易于调整,扩展性好。
3、网络管理系统设计
(1)网络管理的目的在于保证网络正常、稳定地运行,随着网络管理的作用日益上升,网络管理也担负了整合网络资源、协调网络运行的重任。网络管理基本上提供了保障网络系统正常运行的基本功能,它担当着网络的维护重任,负责排除网络故障等;更重要的是,它在提高网络性能上的作用日益突出,因为网络动态性能的提高是通过网管系统来解决的。网管系统是整个网络工作状态的名副其实的调度中心。
(2)校园网作为学校日常工作的重要信息化平台,对教学资源共享、人力资源管理、办公支持、内部交流、远程教育、培训招生、对外合作等几乎所有的学校业务提供服务,因此,对校园网建设提出了可运营和多业务支持的要求。
(3)根据学校的应用特点和各项要求,①在网络中心,配置了1台DES-6300机箱式路由交换机。该交换机可以提供最大96个10/100M快速以太网端口或者12个千兆位端口或者组合使用,且包括了1000BASE-SX、1000BASE-LX、GBIC等多种介质端口。方案中,DES-6300的2个带2端口1000Base-LX的模块,被用来连接分中心DES-6000以及距离较远的大礼堂,同时实现与教育信息网的千兆连接;3个2端口1000Base-SX接口模块分别连接多台服务器以及其它建筑物;1个16口10/100Base-TX接口模块连接主楼的办公区、教室和网管工作站等。因每个模块都已内置了三层交换功能,所以不需要另配三层交换模块。另外为了实现电源冗余备份,还需另外配置1个电源模块DES-6310。
②分中心交换机采用DES-6000可网管机箱式千兆以太网交换机,它通过2口单模千兆模块DES-6007,与DES-6300之间采用2条1000Base-LX聚合链路形成全双工4Gbps的骨干;通过若干2口多模千兆模块DES-6006连接各建筑物。如果宿舍楼对带宽需求不高,也可通过1个12口100Base-FX百兆光纤模块连接。
③教学楼等办公区楼宇接入交换机采用千兆通DES-3226S系列可堆叠交换机。接入信息点较少的楼宇采用EDS-2626或DES-3226。依据距离的长短分别采用单模或多模千兆光纤连接DES-6300或DES-6000。
④学生和教工宿舍区的楼宇接入交换机采用EDS-2626,EDS-2626是D-Link专为教育行业设计的交换机,能够提供24个10/100M接口加1个扩展插槽;EDS-2626的最大特色在于它采用D-Link自主研发的网管协议实现无IP的集群管理,并且支持基于端口的上下行的限速,同时还支持802.1qVLAN、802.1x等多种认证协议,使校园网可以实现安全的用户隔离和对学生认证管理。
4、设备以及配置的选型
(1)服务器
选用专业的高性能服务器作为网络服务器,其中有一台作为主服务器,另一台作为备份服务器,选用高性能的网络操作系统如(Unix、Linux、Windows2000Server等)。
(2)路由器
网络连接的关键设备是路由器(Router),无论是Internet接入,异地网络连接还是大型网络广播域的划分,都离不开路由器,因此,路由器的性能较为重要,选择Cisco公司和3Com公司的产品,就能体现出极高的性能。
(3)交换机
主服务器是整个网络的核心部分,是存储的中心,因此选用可靠性安全性较好的100兆路由交换机,而二级的网络设备由一般的交换机,但交换机应选用性能稳定的交换机。
(4)连接介质
连接介质的选择分两部分,第一部分为各交换机(switch)之间(楼与楼之间,楼层之间)及网络出口干线选择光纤;第二部分为从访问层的交换机到用户的PC桌面选择超五类双绞线。
(5)网卡
工作站网卡选择10/100自适应网卡。服务器可以更换为百兆网卡,以提高性能。
(6)数据存储设备
除选择大容量硬盘外,还可选磁带机、磁盘阵列、光盘阵列,这些外存设备,均可用于储存海量网络数据,如图书资料,多媒体素材及课件学生学籍和成绩管理等。
五、总结
建设一个以办公自动化、计算机辅助教学为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖学校主要楼宇的校园主干网络,将学校的各种终端设备和局域网连接,并与市教育城域网相连,形成结构合理、内外沟通的校园网络。在此基础上建立能满足教学、教研和管理工作需要的软硬件环境,开发教育教学资源库、信息库,为学校各类人员提供充分的网络信息服务。校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。校园网一方面缩短了学校与外界的距离;另一方面,构建了以INTRANET为基础的科学管理体系,必将推动学校信息化建设的极大发展。
第四篇:校园网规划与设计
校
园
网
络
规
划
与
设
计
校园网设计与规划
校园网络的规划设计是一项系统工程,不同的规划设计方案,可使网络存在较大的性能差异,它不仅体现在网络本身具备的技术特性和应用特点上,也体现了不同用户的各种需求,而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。本文通过对本校校园网建设的研究,着重从校园网现状及须求分析、系统设计原则和实现目标、系统建设方案、VLAN划分及子网配置等四个方面进行了初步的探讨。
21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展,使得计算机网络发展的非常迅速,已经成为信息科学的一个新的分支。随着计算机网络的发展,校园网已经成为学校走向信息化时代的必然发展趋势,使我国教育管理向智能化发展。校园网以信息资源为根本,硬件网络系统为物质基础,同时以网络软件系统实现系统的管理与使用,是一个具有宽带通路和交互功能的专业性局域网,应具有教学(科研)、管理和通讯三大功能。学校教师的教学、科研工作和学生的学习生活对一个高速的、资源丰富的和应用多方面的校园网的需求是迫切的。
一、现状及需求分析。
1、计算机网络系统现状。
中小学校园网的建设不同于高等院校的校园网络,它的结构相对简单,主要集中在校园主干网和综合办公子网、教学子网的建设方面。
综合办公子网,主要用来完成学校的各项管理功能,为校领导和各个部门提供可靠的数据,实现办公自动化。
教学子网,主要实现多媒体教学,普及计算机网络基础知识。
建立网络管理中心,各应用子网设立分中心;建立功能齐备的网络管理系统,保证网络高效可靠地运行,同时提供丰富的网络应用资源和便利的资源访问手段。将网络中心与CERNET相连,并由此进入Internet。校园网逐步为广大教师、学生、科研人员提供丰富的网络应用资源,包括电子邮件服务、网络目录服务、文件访问和共享服务、图书科技情报查询服务、电子新闻服务、远程高速信息服务和计算服务、远程计算机教育、远程计算机协同工作以及教育和科研管理服务等等。
2、校园网系统需求分析。
某中学坐落在青山环绕,山川秀美的孔氏乡丁峪村,始建于1958年,占地面积6600平方米,建筑面积2400平方米,现有教学班6个,在校学生200名,教职工17名,其中中学一级教师4名,占全体教师 的23.5%,本科学历6人,占全体教师的35.3%,是一支团结勤奋,务实进取、干事创业的教师队伍,是一支年轻化、知识化、专业化的优秀群体,在历年的综合评估中,我校多次被县教育局获得“昔阳县文明单位”、“教学成绩提高显著学校”、“新课程改革先进单位”等光荣称号,受到上级领导特别是当地群众的广泛好评。
。随着网络技术的不断发展,新兴的教学手段在世界各地被广泛地采用,在中国也被各方所接受认可。网络为教师、学生带来了更多的信息、素材,也带来了新的教学沟通方法。随着 “校校通”学校网络工程的推进。构建校园网络系统已经成为必然的趋势。
二、系统设计原则和实现目标。
1、网络系统设计原则。
(1)中小学校园网主要为服务于教育、教学,实现学校的信息化教育。所以在校园网设计的初期就要充分考虑到教育教学的需要与实际经济承受能力的紧密结合,本着高效、适用、实用的原则,有计划、有重点,分层次,积极稳妥地推进校园网信息化建设。严格规范校园网信息化建设及相应的软件平台的开发标准,以确保校园网的整体建设规划和管理要求的一致性,才能真正为学校的教育、教学添砖加瓦。
(2)在建设校园网的时候还要应做到培训在先、建网建库同行、重在应用三个关键点。切实做好学校教师、技术、管理与行政人员的不同层次的培训,形成一支能使校园网充分发挥使用效益的应用队伍、教学软件开发队伍和能保证校园网正常持续运行的软、硬件管理队伍。只有这样,才可以使老师积极开发、推广、使用教育教学软件,自愿自主的建设校园网信息资源库,充分发挥校园网在当今教育普及中的重要作用,是我们的教育信息化建设真正落到实处。
(3)对原有资源进行升级改造,要充分利用现有的设备,并充分考虑到原有设备和新建网络的融合和互通,使资源可以得到充分的利用,实现资源的优化配置和合理应用,这也是对于资金比较困难的学校在建设校园网一种解决途径。
2、系统建设目标。
在满足校园网络需求的基础上结合当前网络的发展趋势及学校的经济状况来确定校园网设计:(1)统一规划,分步实施。
网络技术快速发展的特点以及学校经济承受能力决定了很多学校校园网建设无法一步到位,为了使有限的资金能够发挥最大的作用,避免重复投资造成浪费,网络设计必须分布实施。
(2)采用先进的成熟的技术。
采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。有利于保护投资,并且有利于校园网的维护和升级。
(3)坚持开放性和标准化,统一网络协议。
校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
(4)坚持规范布线,考虑长远发展。
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性,使网络难以管理和维护,所以必须采用标准的综合布线系统。
(5)建立完善的网络管理体系。
必须建立健全的规章制度,采用集中统一管理的方法,以便于网络的维护和管理。(6)易于使用和管理。
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定,不应轻易更改。
(7)有良好的分层设计,强调应用和服务。
三、系统建设方案。
1、网络拓扑结构设计。
(1)网络的拓扑结构包括物理结构和逻辑规划两方面。物理结构容易受到重视,而通讯协议规划不合理、软件设置不当是引起网络故障、降低网络性能最常见的原因。因此,网络拓扑结构设计时必须进行物理和逻辑两方面的规划,在拓扑结构图中示明IP地址、子网、网关和路由等逻辑规划信息。
(2)在设计网络拓扑结构时,必须当考虑到未来3~5年内学校的发展和布局结构的调整。物理网段布局要充分考虑网络的成长性。对本地通信负荷大的局域网(如多媒体教室、软件实现的电子教室等),要采取分段的方法进行隔离。同一网段中的计算机数量要有一定限制。对一个应用较为完善的校园网,必须划分子网以保障网络干线负载均衡。要做到即使有客户机的IP地址与某台服务器重复,其他网段甚至该客户机所在网段的其余工作站仍能正常通信。
(3)从学校的实际情况出发,实现各个部分的智能化操作。网络采要分为主干网和部门网两个层次。以放射状的形式连到宿舍以及机房和教职工宿舍。网络结构具有先进性、实用性、可靠性,又充分的保证学校的投资在相当时间内具有保值性。同时系统具有可扩充性和可升级性的特点,以方便学校进行网络扩充和升级改造。
2、网络拓扑结构设计图
四、VLAN划分及子网配置。
1、IP地址分配。
2、传输及布线设计。布线系统设计原则:
(1)灵活性:布线系统只通过跳线,而无需对线路,插座做任何改动,便可以在任何一间办公室,机房,教室,信息点为用户提供终端,局域网工作站等不同性质的应用。
(2)先进性:用户对该布线系统不用做任何修改,只需引入新的网络设备,便可用该布线系统支持更先进的应用。
(3)可靠性:该布线系统应能保证使用寿命与性能可靠,并有一定的冗余接口以备应用增加或不可预期损坏时使用。
(4)标准化:各种设计规范,技术指标及产品均符合国际和国家的各类工业标准,并提供多厂商产品的支持能力。
(5)可扩充性:布线系统具有很长使用寿命,而信息技术的发展又特别快,因此在设计布线系统使,应考虑具有充分的扩展能力。
根据以上原则:网络中心综合布线需要采用集中式的网络配置方案,因为它具有以下的优点:易于管理维护,安全性好,网络易于调整,扩展性好。
3、网络管理系统设计
(1)网络管理的目的在于保证网络正常、稳定地运行,随着网络管理的作用日益上升,网络管理也担负了整合网络资源、协调网络运行的重任。网络管理基本上提供了保障网络系统正常运行的基本功能,它担当着网络的维护重任,负责排除网络故障等;更重要的是,它在提高网络性能上的作用日益突出,因为网络动态性能的提高是通过网管系统来解决的。网管系统是整个网络工作状态的名副其实的调度中心。
(2)校园网作为学校日常工作的重要信息化平台,对教学资源共享、人力资源管理、办公支持、内部交流、远程教育、培训招生、对外合作等几乎所有的学校业务提供服务,因此,对校园网建设提出了可运营和多业务支持的要求。
总之,建设一个以办公自动化、计算机辅助教学为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖学校主要楼宇的校园主干网络,将学校的各种终端设备和局域网连接,并与市教育城域网相连,形成结构合理、内外沟通的校园网络。在此基础上建立能满足教学、教研和管理工作需要的软硬件环境,开发教育教学资源库、信息库,为学校各类人员提供充分的网络信息服务。校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。校园网一方面缩短了学校与外界的距离;另一方面,构建了以INTRANET为基础的科学管理体系,必将推动学校信息化建设的极大发展。
第五篇:校园网规划与设计
湖北科技学院
计算机学院课程设计
专 业: 10网络工程 课程名称: 计算机网络 课题名称: 校园网规划与设计 教 师: 学 号: 姓 名:
时 间: 2012 年 6 月 10 日
1、场景
某所学院,有一个校区,校区都有办公区、教学区、教师园区、学生公寓。校区有4000个接入点,在校区图书馆建立网络管理中心,所有计算机通过网络中心的出口访问外网。网络中心提供web服务、FTP服务、DHCP等。web服务器、FTP服务器要求外部网络也能访问。(中心校区图书馆建立无线网络,采用DHCP为无线网络分配IP地址。)学校目前只获得了一个C类地址。(如:200.1.1.0,可任意设定)。
2、要求:
(1)编写课程设计文档,文档中包含需求分析(用户需求、功能需求、设备需求、设备选型、设备位置)、网络规划与实现技术(三层交换、路由技术、NAT技术、IP地址规划、网络设备命名规划、路由规划)、网络设计(拓扑设计、网络配置)、总结。(2)采用packet tracker软件完成拓扑设计。(3)采用packet tracker软件实现网络配置。
(4)上交课程设计文档和packet tracker网络实现文件。
大型校园网络规划与设计
一、需求分析
校区有4000个接入点,在校区图书馆建立网络管理中心,所有计算机通过网络中心的出口访问外网。网络中心提供web服务、FTP服务、DHCP等。web服务器、FTP服务器要求外部网络也能访问。(中心校区图书馆建立无线网络,采用DHCP为无线网络分配IP地址。)学校目前只获得了一个C类地址。(如:200.1.1.0,可任意设定)。
二、实现技术 1.路由技术(1)静态路由协议
静态路由协议需要三个参数:目标网段,子网掩码,下一跳。基本格式:(每个路由器要到达网络的所有网段,直连的网段不需要到达,因为当你使用该协议时直连网段就包含在路由表项中了)Router rip Version 2(路由协议的版本,默认的版本是1版本)Ip router 目标网段 子网掩码 下一跳
(2)动态路由协议
动态路由协议需要一个参数:直连网段
基本格式:(与路由器直连的网段要包含在路由表项中)Router rip Version 2
Network 直连网段
(有几个直连网段就有几个network)(3)缺省路由
缺省路由需要3个参数:0.0.0.0 0.0.0.0 下一跳 基本格式:
Ip router 0.0.0.0 0.0.0.0 下一跳(4)ospf协议
Router rip ospf num(num 是任意数)Network 直连网段 反子网掩码 area 0 2.三层交换
(1)申明vlan 端口划分--申明vlan:int vlan 10--端口划分:int f0/0 switchport mode access ,switchport access vlan 10(这是将端口f0/0划分到vlan 10 中)--Trunk链路的设置:要先封装,后设置 Switchport trunk encapsulation dot 1 Switchport mode trunk(2)vlan ip 设置
Int vlan 10
(选中vlan)Ip add 217.168.10.0 255.255.255.0 3.nat 技术
主要有:标准访问控制,扩展访问控制,网络地址转换(静态和动态)(1)标准访问控制(接口定在离目标网段近的地方out)
--定义规则
access-list 编号(1-99)deny 网段 反子网掩码(不允许网段那部分访问服务器)
--应用到接口
int f0/0(选定接口)ip access-group 编号(和上面的的数字相同)out(随选择的访问控制方式不同而不同)access-list 10 permit any 禁止217.168 的所有网段访问: access-list 20 deny 217.168.0.0 0.0.255.255 access-list 20 permit any(2)扩展访问控制(接口定义在离源网段近的地方in)--定义规则 access-list 编号 deny 网段 反子网掩码
access-list 110 deny tcp 源网段 反子网掩码
目的网段
反子网掩码(不允许web反问)eq www access-list 110 permit tcp 源网段 反子网掩码
目的网段
反子网掩码(不允许ftp访问)eq ftp access-list 110 permit tcp any any
--应用到接口 int f0/0 选定离源网段近的接口
ip access group 编号(和上面的的数字相同)in(3)地址转换(在三层交换机上配置)三层交换机中的端口要设ip的时候要将端口设置成路由端口,命令:int f0/3 no switchport--接口(是外部转换接口还是内部转换接口):
Int f0/3 ip nat out side(将f0/3指定为外部转换接口)Int vlan 编号
ip nat inside(将vlan的虚拟接口指定为内部转换接口)静态:指定一个映射,用于服务器
ip nat inside source static 192.168.100.2 200.168.100.20(ip 为192.168.100.2的主机访问外网时,转换的地址为200.168.100.20)动态:指定一组映射 所有映射只能在该组中选 配置地址池:
ip nat pool netin(pool名)200.168.100.100 200.168.100.220 netmask 255.255.255.0(指定地址池用作地址转换)access-list 50 permit 192.168.50.0 0.0.0.255(指定所选网段的地址可以用该地址池进行地址转换)access-list 50 permit 192.168.60.0 0.0.0.255 access-list 50 permit 192.168.70.0 0.0.0.255 access-list 50 permit 192.168.80.0 0.0.0.255 access-list 50 permit 192.168.100.0 0.0.0.255 ip nat inside sourcr list 50 pool netin 允许50列表作为内部转换 show ip nat translation 显示转换结果
基于端口 ip nat inside sourcr list 50 pool netin overload
三、网络规划
本次设计的网络规划如下:(详解见 校园网规划与设计.pkt 文件)200.100.4.0连接的是内网和外网部分
四、网络设计(配置)
运用所给的技术在网络拓扑图中实现网络互通以及其他设计 校园网的设计目的:内网通过网络地址转换后,能访问外网;外网不能访问内网,但能访问内网的服务器。
总的线路:1.网络配通;2.用命令使内网部分不能访问外网3.在router 5中去掉内网的路由表项;4.在三层交换集中使用地址转换(地址池和静态),配置地址池时不要把服务器所在的vlan也配到地址池中,因为外网要访问服务器的,服务器的vlan使用静态的指定所要转换的地址,网络地址转换后的地址是与外网相连的网段的地址 基本命令如下:(1)设置电脑ip(2)路由设置: Router 4:
-----端口ip设置部分 interface F0/0 ip address 200.100.1.1 255.255.255.0
no shut interface S0/0 ip address 200.100.2.1 255.255.255.0 clock rate 64000-----router 4路由协议部分(路由协议部分等电脑ip和端口ip都设置好了后再来配置)router rip version 2 ip route 200.100.3.0 255.255.255.0 200.100.2.2 ip route 200.100.4.0 255.255.255.0 200.100.2.2 ip route 217.168.10.0 255.255.255.0 200.100.2.2 ip route 217.168.20.0 255.255.255.0 200.100.2.2 ip route 217.168.30.0 255.255.255.0 200.100.2.2 ip route 217.168.40.0 255.255.255.0 200.100.2.2 ip route 217.168.50.0 255.255.255.0 200.100.2.2 router 5: interface F0/0 ip address 200.100.3.1 255.255.255.0 no shut interface F0/1 ip address 200.100.4.1 255.255.255.0 no shut
interface S0/0 ip address 200.100.2.2 255.255.255.0-----router 5的协议部分(该部分没有内网路由的信息,因为网络直允许内网访问外网,不允许外网访问内网不过能访问内网的服务器)ip route 200.100.1.0 255.255.255.0 200.100.2.1 ip route 217.168.50.0 255.255.255.0 200.100.4.2---使内网不能访问外网
access-list 20 deny 217.168.0.0 0.0.255.255 int f0/0 ip access-group 20 out access-list 20 permit any(3)三层交换机命令配置 首先划分vlan: Int vlan 10 Int vlan 20 Int vlan 30
Int vlan 40 Int vlan 50-----设置中继trunk链路 interface F0/1 switchport trunk encapsulation dot1q switchport mode trunk interface F0/2 switchport trunk encapsulation dot1q switchport mode trunk interface F0/3(f0/3使属于vlan 50的此处不做中继接口,不用封装switchport mode access switchport access vlan 50-----vlan ip 的设置 interface Vlan10 ip address 217.168.10.1 255.255.255.0 interface Vlan20 ip address 217.168.20.1 255.255.255.0 interface Vlan30 ip address 217.168.30.1 255.255.255.0 interface Vlan40 ip address 217.168.40.1 255.255.255.0 interface Vlan50)
ip address 217.168.50.1 255.255.255.0--接口(是外部转换接口还是内部转换接口)Int f0/3 ip nat out side In vlan 10 ip nat inside In vlan 20 ip nat inside In vlan 30 ip nat inside In vlan 40 ip nat inside In vlan 50 ip nat inside----路由协议部分
ip route 200.100.1.0 255.255.255.0 200.100.4.1 ip route 200.100.2.0 255.255.255.0 200.100.4.1 ip route 200.100.3.0 255.255.255.0 200.100.4.1-----地址池配置
ip nat pool netin 200.100.4.100 200.100.4.220 netmask 255.255.255.0 access-list 50 permit 217.168.10.0 0.0.0.255 access-list 50 permit 217.168.20.0 0.0.0.255 access-list 50 permit 217.168.30.0 0.0.0.255 access-list 50 permit 217.168.40.0 0.0.0.255 ip nat inside source list 50 pool netin ip nat inside source static 217.168.50.2 200.100.4.20(静态指定)(4)交换机2,3使作傻瓜交换机用的
交换机0,1需要划分vlan 和将相应的端口划分到相应的vlan中
五、总结
通过这次校园网的规划与设计,进一步的熟悉了网络配置的命令,一个网络由不通到能相互通讯,再到用扩展访问限制网络用户的访问权限,达到一定网络安全,最后到用网络地址转换转换地址,使原本不能访问外网的主机能访问外网。实验开始,确实觉得有点难度,因为那时对这个不是很熟悉,但后来熟悉了以后,觉得还是不难的,只要思路清晰,一步一步的做,最后这也会是一个简单的实验
点击咨询 