校園無(wú)線局域網(wǎng)設(shè)計(jì)書

1、陜西國(guó)防工業(yè)職業(yè)技術(shù)學(xué)院北校區(qū)無(wú)線局域網(wǎng)設(shè)計(jì)書 2011-9-5 計(jì)算機(jī)教研室制目 錄1、 前言32、 需求分析3 2.1 業(yè)務(wù)需求分析3 2.2 網(wǎng)絡(luò)功能需求分析4 2.3 網(wǎng)絡(luò)性能需求分析6 2.4 安全性需求分析73、 設(shè)計(jì)方案 8 3.1 設(shè)計(jì)原則8 3.2 設(shè)計(jì)思想9 3.3 技術(shù)標(biāo)準(zhǔn)9 3.4 設(shè)計(jì)拓?fù)鋱D10 3.5 無(wú)線覆蓋方案11 3.6 無(wú)線網(wǎng)絡(luò)地址和路由規(guī)劃12 3.7 設(shè)備的選取13 3.8 安全防范14 3.9 注意事項(xiàng)15參考文獻(xiàn) 16前 言隨著當(dāng)代科技的發(fā)展，計(jì)算機(jī)用戶日益增多，用戶要求互連的計(jì)算機(jī)數(shù)量不斷增加，類型也更為復(fù)雜。但傳統(tǒng)的有線網(wǎng)絡(luò)由于受到設(shè)計(jì)或環(huán)境條件

2、的制約，在物理、邏輯和資金方面普遍存在著一系列的問(wèn)題，特別是當(dāng)涉及到網(wǎng)絡(luò)移動(dòng)和重新布局時(shí)，所以發(fā)展一種可行的無(wú)線通信技術(shù)作為現(xiàn)有的數(shù)據(jù)連接擴(kuò)充已成為一種需要。自從上個(gè)世紀(jì)90年代以來(lái)，隨著個(gè)人數(shù)據(jù)通信的發(fā)展，為了實(shí)現(xiàn)任何人在任何時(shí)間、任何地點(diǎn)均能實(shí)現(xiàn)數(shù)據(jù)通信的目標(biāo)，要求傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)由有線向無(wú)線，由固定向移動(dòng)，由單一業(yè)務(wù)向多媒體發(fā)展，更進(jìn)一步推動(dòng)了無(wú)線局域網(wǎng)（wlan）的發(fā)展。與有線局域網(wǎng)相比較，無(wú)線局域網(wǎng)具有移動(dòng)性高、傳輸距離長(zhǎng)、網(wǎng)絡(luò)保密性好、開發(fā)運(yùn)營(yíng)成本低、易擴(kuò)展、受自然環(huán)境影響小，組網(wǎng)方式靈活、管理方便 等優(yōu)點(diǎn)，彌補(bǔ)了傳統(tǒng)有線局域網(wǎng)的不足。2.1 業(yè)務(wù)需求分析國(guó)防學(xué)院北校區(qū)面積約為70

3、0畝，建筑面積為20萬(wàn)平方米，現(xiàn)有在校學(xué)生約7000多人，教職工500多人，現(xiàn)有主要建筑有5大區(qū)域，分別是教學(xué)樓區(qū)域、圖書館區(qū)域、建筑實(shí)驗(yàn)樓區(qū)域、學(xué)生宿舍區(qū)域、教師宿舍區(qū)域、學(xué)生餐廳區(qū)域。結(jié)合學(xué)院實(shí)際情況，學(xué)院信息化建設(shè)工作的核心目標(biāo)在于充分利用信息技術(shù)，建立多層次、高可靠、可管理、可運(yùn)營(yíng)的開放式的數(shù)字化校園，促使其提高辦學(xué)質(zhì)量和效益。2.2 網(wǎng)絡(luò)功能需求分析無(wú)線教學(xué)服務(wù)功能：通過(guò)無(wú)線校園網(wǎng)絡(luò)覆蓋教學(xué)樓及些校內(nèi)公共課教學(xué)環(huán)境，如計(jì)算機(jī)公共機(jī)房、多媒體教室等。為廣大師生提供了一個(gè)更為有效的網(wǎng)絡(luò)互動(dòng)平臺(tái)，加強(qiáng)了學(xué)習(xí)生活的交流，同時(shí)為學(xué)生在教室內(nèi)的自習(xí)提供一個(gè)方便的查詢資料的網(wǎng)絡(luò)環(huán)境。只要教師擁有一

4、部上網(wǎng)本，就可以很方便地把它拿到教室或?qū)嶒?yàn)室或室外進(jìn)行教學(xué)和演示；或者可以讓學(xué)生們用它來(lái)就地查閱網(wǎng)上資料或遞交電子文檔的作業(yè)等。這樣的帶無(wú)線網(wǎng)絡(luò)的教學(xué)上網(wǎng)本可以在整個(gè)校園內(nèi)移動(dòng)，其網(wǎng)絡(luò)連接都不會(huì)中斷，這樣可以十分方便地創(chuàng)造“移動(dòng)教室”。無(wú)線信息交流功能：無(wú)線信息交流功能主要有兩個(gè)方面的服務(wù)功能：互聯(lián)網(wǎng)信息服務(wù)和校內(nèi)信息服務(wù)?；ヂ?lián)網(wǎng)信息服務(wù)可以在校園內(nèi)任何一個(gè)地方實(shí)現(xiàn)網(wǎng)上瀏覽、查詢信息的功能，使教師能夠拓寬視野，充分利用互聯(lián)網(wǎng)上的資源輔助教學(xué)，提升教學(xué)理念，提高教師的教學(xué)能力、教學(xué)水平和科研能力?？梢猿浞掷没ヂ?lián)網(wǎng)資源來(lái)宣傳學(xué)校，展示學(xué)校的辦學(xué)能力與辦學(xué)水平，展示教師的教學(xué)能力與科研能力，提升學(xué)

5、校的辦學(xué)形象。校內(nèi)信息服務(wù)能為教育教學(xué)和管理決策提供各項(xiàng)信息服務(wù)，能為全校師生提供相互交流、相互學(xué)習(xí)的平臺(tái)。學(xué)校管理功能：無(wú)線校園網(wǎng)使學(xué)校建立完善及時(shí)的信息發(fā)布體系，在此基礎(chǔ)上可以實(shí)現(xiàn)學(xué)校管理的透明化、高效化、公平公正化。學(xué)校管理功能主要有以下幾個(gè)方面。（1）網(wǎng)上辦公系統(tǒng)。（2）教務(wù)管理系統(tǒng)。（3）學(xué)生管理系統(tǒng)。（4）行政辦公系統(tǒng)。（5）財(cái)務(wù)管理系統(tǒng)。（6）后勤管理系統(tǒng)。（7）圖書管理系統(tǒng)。（8）校園網(wǎng)一卡通。校園無(wú)線網(wǎng)絡(luò)的語(yǔ)音和視頻應(yīng)用：基于無(wú)線寬帶網(wǎng)絡(luò)的基礎(chǔ)上，可以考慮其他的應(yīng)用。比如voip，就是在無(wú)線局域網(wǎng)范圍內(nèi)，可以使用支持ieee802.11協(xié)議的無(wú)線終端設(shè)備如手機(jī)、pda或poc

6、ketpc等來(lái)進(jìn)行語(yǔ)音交流。這一全ip的無(wú)線語(yǔ)音系統(tǒng)將具有巨大的應(yīng)用前景。還可以利用無(wú)線網(wǎng)絡(luò)進(jìn)行室外視頻的實(shí)時(shí)轉(zhuǎn)播，完全擺脫有線的束縛。無(wú)線應(yīng)急系統(tǒng)：在出現(xiàn)需要突發(fā)性大規(guī)模網(wǎng)絡(luò)服務(wù)要求的場(chǎng)合，提供臨時(shí)性的無(wú)線網(wǎng)絡(luò)服務(wù)，滿足用戶對(duì)網(wǎng)絡(luò)的需求。 校園信息化建設(shè)一直是高質(zhì)量、高效率教學(xué)辦公的保障，隨著802.11g無(wú)線局域網(wǎng)技術(shù)和無(wú)線產(chǎn)品的成熟，無(wú)線網(wǎng)絡(luò)的應(yīng)用將會(huì)為網(wǎng)絡(luò)化學(xué)習(xí)、教學(xué)開創(chuàng)新的應(yīng)用模式；利用無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)校內(nèi)信息的發(fā)布、共享、傳遞，推進(jìn)教學(xué)及管理信息化，拓展學(xué)生的知識(shí)面。而有線網(wǎng)絡(luò)只能提供師生們固定的、有限的網(wǎng)絡(luò)信息點(diǎn)，隨著時(shí)代的進(jìn)步，筆記本電腦的普及，師生們希望不僅僅是在實(shí)驗(yàn)室才能將他們

7、的計(jì)算機(jī)連上網(wǎng)絡(luò)，而在校園的草坪上、宿舍區(qū)、學(xué)術(shù)報(bào)告廳里、圖書館的任何一個(gè)角落都能將他們的筆記本電腦隨時(shí)隨地、隨心所欲的聯(lián)入校園網(wǎng)或internet、不愿再受有線的束縛。2.3 網(wǎng)絡(luò)性能需求分析高性能的ipv6和ipv4無(wú)線接入中國(guó)下一代互聯(lián)網(wǎng)項(xiàng)目（cngi）正在順利展開，基于純ipv6的骨干網(wǎng)在cernet已經(jīng)建設(shè)完成并可以提供接入服務(wù)。現(xiàn)在建設(shè)高校無(wú)線網(wǎng)絡(luò)，除了要考慮對(duì)現(xiàn)有ipv4網(wǎng)絡(luò)終端的無(wú)線接入，滿足當(dāng)前高校師生對(duì)無(wú)線網(wǎng)絡(luò)的需求外；又要支持高性能的ipv6的用戶接入，以適應(yīng)網(wǎng)絡(luò)發(fā)展趨勢(shì)，并保護(hù)網(wǎng)絡(luò)投資?？煞旨?jí)的一體化網(wǎng)絡(luò)管理系統(tǒng)： 有線、無(wú)線網(wǎng)絡(luò)管理相結(jié)合，集中與分布式管理相結(jié)合，為運(yùn)

8、營(yíng)維護(hù)提供高效率和低成本。支持用戶全網(wǎng)漫游：校園無(wú)線網(wǎng)絡(luò)應(yīng)支持用戶全網(wǎng)快速、安全、無(wú)縫漫游，保證用戶在園區(qū)移動(dòng)過(guò)程中可以保證ip地址不變、網(wǎng)絡(luò)連接不間斷、應(yīng)用會(huì)話不間斷，從而保證用戶網(wǎng)絡(luò)應(yīng)用在移動(dòng)中的不間斷性。2.4 安全性需求分析 與有線網(wǎng)絡(luò)相比較，無(wú)線局域網(wǎng)的安全問(wèn)題集中在以下兩方面：物理安全與存在的威脅物理安全：無(wú)線設(shè)備包括站點(diǎn)（sta，station）和接入點(diǎn)（ap，access point）。站點(diǎn)通常由一臺(tái)pc機(jī)或筆記本電腦加上一塊無(wú)線網(wǎng)絡(luò)接口卡構(gòu)成；接入點(diǎn)通常由一個(gè)無(wú)線輸出口和一個(gè)有線的網(wǎng)絡(luò)接口構(gòu)成，其作用是提供無(wú)線和有線網(wǎng)絡(luò)之間的橋接。物理安全是關(guān)于這些無(wú)線設(shè)備自身的安全問(wèn)題。首

9、先，無(wú)線設(shè)備存在許多的限制，這將對(duì)存儲(chǔ)在這些設(shè)備的數(shù)據(jù)和設(shè)備間建立的通信鏈路安全產(chǎn)生潛在的影響。與個(gè)人計(jì)算機(jī)相比，無(wú)線設(shè)備如個(gè)人數(shù)字助理（pda）和移動(dòng)電話等，存在如電池壽命短、顯示器小等缺陷。其次，無(wú)線設(shè)備雖有一定的保護(hù)措施，但是這些保護(hù)措施總是基于最小信息保護(hù)需求的。因此，有必要加強(qiáng)無(wú)線設(shè)備的各種防護(hù)措施。存在的威脅：由無(wú)線局域網(wǎng)的傳輸介質(zhì)的特殊性，使得信息在傳輸過(guò)程中具有更多的不確定性，受到影響更大，主要表現(xiàn)在：a) 竊聽。由于無(wú)線局域網(wǎng)使用2.5g范圍的無(wú)線電播進(jìn)行網(wǎng)絡(luò)通訊，任何人都可以用一臺(tái)帶無(wú)線網(wǎng)卡的pc機(jī)或者廉價(jià)的無(wú)線掃描器進(jìn)行竊聽，但是發(fā)送者和預(yù)期的接收者無(wú)法知道傳輸是否被竊聽

10、，且無(wú)法檢測(cè)竊聽。b) 修改替換。在無(wú)線局域網(wǎng)中，較強(qiáng)節(jié)點(diǎn)可以屏蔽較弱節(jié)點(diǎn)，用自已的數(shù)據(jù)取代，甚至?xí)嫫渌?jié)點(diǎn)作出反應(yīng)。c) 傳遞信任。當(dāng)校園網(wǎng)絡(luò)包括一部分無(wú)線局域網(wǎng)時(shí)，就會(huì)為攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。但在無(wú)線網(wǎng)絡(luò)環(huán)境下，受攻擊卻不能通過(guò)一條確定的路徑找到這個(gè)接口。因此，參與通信的雙方都應(yīng)該能相互認(rèn)證。d) 基礎(chǔ)結(jié)構(gòu)攻擊?；A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞如軟件臭蟲、錯(cuò)誤配置、硬件故障等。這種情況下也會(huì)出現(xiàn)在無(wú)線lan中。但是針對(duì)這種攻擊進(jìn)行的保護(hù)幾乎是不可能的，所能做的就是盡可能地降低破壞所造成的損失。e)拒絕服務(wù)。無(wú)線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以

11、發(fā)送與無(wú)線局域網(wǎng)相同頻率的干擾信號(hào)來(lái)干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶無(wú)法使用網(wǎng)絡(luò)。f) 置信攻擊。通常情況下，攻擊者可以將自己偽造成基站。當(dāng)攻擊者擁有一個(gè)很強(qiáng)的發(fā)送設(shè)備時(shí)，就可以讓移動(dòng)設(shè)備嘗試登錄到他的網(wǎng)絡(luò)，通過(guò)分析竊取密鑰和口令，以便發(fā)動(dòng)針對(duì)性的攻擊。3.1 設(shè)計(jì)原則實(shí)用性：遵循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則；充分保護(hù)已有投資，不設(shè)計(jì)成華而不實(shí)的無(wú)線網(wǎng)絡(luò)，也不設(shè)計(jì)成利用率低下的網(wǎng)絡(luò)，我們以實(shí)用性的原則要求為依據(jù)，建設(shè)具有最低的tco（擁有的總成本最低），有最高的性價(jià)比的校園無(wú)線局域網(wǎng)絡(luò)。先進(jìn)性：采用先進(jìn)成熟的網(wǎng)絡(luò)概念、技術(shù)、方法與設(shè)備，反映當(dāng)今先進(jìn)水平，又給未來(lái)的發(fā)展留有

12、余地；充分采用目前國(guó)際、國(guó)內(nèi)流行和成熟的技術(shù)，保證網(wǎng)絡(luò)能適應(yīng)技術(shù)的快速發(fā)展?？煽啃裕合到y(tǒng)必須可靠運(yùn)行，主要的、關(guān)鍵的設(shè)備應(yīng)有冗余，一旦系統(tǒng)某些部分出現(xiàn)故障，應(yīng)能很快恢復(fù)工作，并且不能造成任何損失。開放性：選擇的產(chǎn)品應(yīng)具有好的互操作性和可移植性，并符合相關(guān)的國(guó)際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)；無(wú)論發(fā)生任何變化，均能夠最大可能性的開放標(biāo)準(zhǔn)?？蓴U(kuò)充性：系統(tǒng)是一個(gè)逐步發(fā)展的應(yīng)用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級(jí)換代的可能，這種擴(kuò)充不僅能充分保護(hù)原有資源，而且具有較高的性能價(jià)格比；可維護(hù)性：系統(tǒng)具有良好的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可維護(hù)性；安全性：必須具有高度

13、的保密機(jī)制，靈活方便的權(quán)限設(shè)定和控制機(jī)制，以使系統(tǒng)具有多種手段來(lái)防備各種形式的非法侵入和機(jī)密信息的泄露。 3.2 設(shè)計(jì)思想建議校園網(wǎng)wlan采用思科公司集中管理架構(gòu)下的“瘦ap”無(wú)線網(wǎng)絡(luò)架構(gòu)，以保證無(wú)線網(wǎng)絡(luò)可管理性、安全性、qos、無(wú)縫漫游等功能需求，尤其是方便未來(lái)的運(yùn)維管理。建議網(wǎng)絡(luò)部署應(yīng)該結(jié)合高校的實(shí)際情況，采用室內(nèi)、室外多種無(wú)線接入方式相結(jié)合的方式，以滿足高校樓宇多、廣場(chǎng)多的特點(diǎn)。如在必要的時(shí)候采用室外mesh wlan技術(shù)通過(guò)無(wú)線回傳技術(shù)解決有線網(wǎng)絡(luò)傳輸距離的合布線難度的問(wèn)題。同時(shí)由于采用室內(nèi)、外多種無(wú)線接入手段在滿足無(wú)線覆蓋的前提下，可以節(jié)省無(wú)線接入點(diǎn)的數(shù)量，從而提高無(wú)線網(wǎng)絡(luò)的性價(jià)比

14、。校園無(wú)線網(wǎng)絡(luò)在滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的同時(shí)，保證對(duì)未來(lái)網(wǎng)絡(luò)技術(shù)和應(yīng)用的支持，如ipv6、無(wú)線話音、無(wú)線視頻、組播等技術(shù)的支持，以滿足高校教學(xué)和科研的要求。為滿足高校網(wǎng)絡(luò)的安全性，建議校園無(wú)線網(wǎng)絡(luò)采用獨(dú)立的有線網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)無(wú)線接入點(diǎn)的互聯(lián)，同時(shí)本次無(wú)線網(wǎng)絡(luò)在滿足用戶接入安全認(rèn)證、加密的同時(shí)，支持無(wú)線射頻的安全防護(hù)功能。 3.3 技術(shù)標(biāo)準(zhǔn) ieee802.11系列標(biāo)準(zhǔn)（由最初的802.11標(biāo)準(zhǔn)到現(xiàn)在的802.11v標(biāo)準(zhǔn)，已有24個(gè)標(biāo)準(zhǔn)規(guī)范。）各信號(hào)輸出點(diǎn)信號(hào)強(qiáng)度1015dbm；將按照2.4g工作頻段2.4122.462ghz（fcc）分為channel1、channel6、channel11三個(gè)完全不

15、干擾頻段設(shè)計(jì)；目標(biāo)覆蓋區(qū)域信號(hào)強(qiáng)度-80dbm。1、一般來(lái)講室內(nèi)容許最大覆蓋距離為35100米，室外容許最大距離100400米2、障礙物阻擋要觀測(cè)無(wú)線覆蓋周圍的障礙物確定ap的數(shù)量和放置位置。2.4g電磁波對(duì)于各種建筑材質(zhì)的穿透損耗的經(jīng)驗(yàn)值如下：a. 水泥墻(1525cm): 衰減1012dbb. 木板墻(510cm): 衰減56dbc. 玻璃窗(35cm): 衰減57db各種建筑材料對(duì)無(wú)線訊號(hào)的影響如下：當(dāng)ap與終端隔一座水泥墻時(shí),ap的可傳送覆蓋距離約剩下 5米有效距離。當(dāng)ap與終端中間隔一座木板墻時(shí), ap 的傳送距離約剩下 15米有效距離。當(dāng)ap與終端中間隔一座玻璃墻時(shí), ap 的傳送

16、距離約剩下 15米 有效距離。所以在安裝選點(diǎn)時(shí)，一定要注意以避開墻、柱子等。 3.4 設(shè)計(jì)拓?fù)鋱D 3.5 無(wú)線覆蓋方案覆蓋區(qū)域：無(wú)線網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)全校范圍無(wú)線網(wǎng)絡(luò)接入環(huán)境，其中包括教學(xué)樓、學(xué)生和教師公寓、辦公樓、餐廳、圖書館、體育館、室外場(chǎng)所等。覆蓋方式：在覆蓋區(qū)域內(nèi)，選擇教學(xué)樓和辦公樓為主，其他區(qū)域?yàn)檩o的覆蓋方式，實(shí)現(xiàn)全校整體無(wú)線覆蓋，具體分為室內(nèi)覆蓋和室外覆蓋兩種方式。室內(nèi)覆蓋 室內(nèi)覆蓋規(guī)劃原則： ap的放置要遵循兩個(gè)原則ap覆蓋區(qū)域無(wú)間隙； ap重疊區(qū)域最小。相鄰ap工作在不同頻道，實(shí)現(xiàn)全方位的覆蓋。 根據(jù)經(jīng)驗(yàn)值，當(dāng)相鄰ap設(shè)定相同頻點(diǎn)時(shí), 要求間隔25米以上；當(dāng)相鄰ap設(shè)定相鄰頻點(diǎn)時(shí),

17、要求ap間隔16米以上；當(dāng)ap設(shè)定相隔頻點(diǎn)時(shí), 要求間隔12米以上。室外覆蓋 室外設(shè)備的ap使用數(shù)量大概也遵循室內(nèi)的條件，但外ap的放置和設(shè)計(jì)又有它的獨(dú)特性主要包括： 天線的使用天線的正常使用包括對(duì)天線增益和天線類型的選擇。 對(duì)室外設(shè)備特殊要求室外設(shè)備應(yīng)該放置在密封盒內(nèi)；天線布置應(yīng)該增加避雷器防止雷擊； 不提供本地供電的場(chǎng)所，應(yīng)盡量選用poe遠(yuǎn)程供電設(shè)備；3.6 無(wú)線網(wǎng)絡(luò)地址和路由規(guī)劃由于ap連接在現(xiàn)有校園網(wǎng)的接入交換機(jī)，則ip地址由現(xiàn)有校園網(wǎng)有線端提供，雖然從原理上來(lái)講ap和無(wú)線控制器的ap-manager只要ip可達(dá)即可創(chuàng)建并維護(hù)數(shù)據(jù)/控制隧道，但是從性能/可管理性等角度出發(fā)，建議在滿足下

18、列條件的前提下可以將ap接入現(xiàn)有網(wǎng)絡(luò)交換機(jī)： ap和無(wú)線控制器的ap-manager之間端到端環(huán)回延遲(round trip delay)100毫秒局域網(wǎng)交換環(huán)境均能實(shí)現(xiàn) ap不與一般有線網(wǎng)絡(luò)設(shè)備混合在一個(gè)vlan中，避免有線設(shè)備的異常流量阻斷ap和無(wú)線控制器之間的通訊 連接在同一交換機(jī)端口下的所有ap，建議放置在一個(gè)受保護(hù)的vlan中，部署時(shí)統(tǒng)一分配給這些ap靜態(tài)ip地址需要修改現(xiàn)有交換機(jī)的vlan參數(shù)設(shè)置，現(xiàn)有交換機(jī)的路由設(shè)置用戶終端ipv6地址設(shè)計(jì)按ipv6常規(guī)單播地址規(guī)劃方式分配，前64比特作為prefix，對(duì)應(yīng)不同學(xué)校和vlan；后64比特對(duì)應(yīng)終端，對(duì)應(yīng)不同主機(jī)、終端或接口。主機(jī)地址

19、采用auto configuration方式，采用eui-64地址方式映射傳統(tǒng)mac地址controller/ap需要打開ipv6 pass-through功能和以太網(wǎng)組播穿過(guò)支持功能整個(gè)lwapp隧道對(duì)包括icmpv6在內(nèi)的ipv6的傳輸是透明的終端和sup720路由引擎之間采用autoconfig或在相應(yīng)vlan內(nèi)使用dhcpv6都可以。無(wú)線網(wǎng)絡(luò)設(shè)備ipv6地址設(shè)計(jì)當(dāng)前無(wú)線部分無(wú)需設(shè)置ipv6地址 當(dāng)前無(wú)線部分對(duì)ipv6的支持是穿透方式的 將來(lái)很快我們會(huì)支持在native ipv6的網(wǎng)絡(luò)上實(shí)現(xiàn)lwapp等機(jī)制 而在當(dāng)前無(wú)線部分無(wú)需設(shè)置ipv6地址sup 720的vlan路由虛端口和對(duì)外ce

20、rnet2的相關(guān)端口需要分配ipv6地址 ipv6的無(wú)線客戶端可以被看做是被透明連接到6500 sup720的不同vlan上的ipv6終端 靠6500豐富的雙棧支持實(shí)現(xiàn)ipv6的高性能傳輸 因此sup 720的vlan路由虛端口和對(duì)外cernet2的相關(guān)端口需要分配ipv6地址和做相關(guān)ipv6路由設(shè)置ipv4和ipv6組播地址規(guī)劃還需根據(jù)組播應(yīng)用需求進(jìn)行進(jìn)一步考慮3.7 設(shè)備的選取無(wú)線ap : cisco air-ap1242ag-c-k9、cisco aironet 1042兩種cisco air-ap1242ag-c-k9參數(shù)：網(wǎng)絡(luò)標(biāo)準(zhǔn)ieee 802.11a/ieee 802.11b/i

21、eee 802.11g傳輸速率54,48,36,24,18,12,9,6,5.5,2,1mbps頻率范圍2.4122.462ghz(fcc)2.4122.472ghz(etsi)2.4222.452ghz(以色列)2.4122.484ghz(telec)傳輸距離290m管理snmp標(biāo)準(zhǔn)mib 1和mib iiweb安全ul 1950, csa 22.2 no. 950-95, iec 60950, en 60950, 支持靜態(tài)和動(dòng)態(tài) ieee 802.11 wep 40位和128位密鑰, 支持wep增強(qiáng)cisco aironet 1042參數(shù)：網(wǎng)絡(luò)標(biāo)準(zhǔn) ieee 802.11a/b/g 、ie

22、ee 802.11n、ieee 802.11h、ieee 802.11d 傳輸速率 300mbps 頻率范圍 2.4ghz-5ghz， 信道 20mhz和40mhz信道 端口類型 10/100/1000base-t自感(rj-45) 管理控制臺(tái)端口(rj-45) 路由引擎： 6500 sup720 無(wú)線基站 避雷針室外天線：cisco air-ant1949cisco air-ant1949參數(shù)：天饋系統(tǒng)類型 板狀定向天線 工作帶寬 83mhz 頻率范圍 2400-2483 mhz 極化方向 垂直極化 其他參數(shù) 增益: 22dbi大致覆蓋范圍(2mbps): 29.49公里 大致覆蓋范圍(11

23、mbps): 18.01公里大致覆蓋范圍(54mbps): 227公里 工作溫度 -20 - 50 工作濕度 0 - 100% 存儲(chǔ)溫度 -2070 存儲(chǔ)濕度 5% - 95% 3.8 安全防范無(wú)線局域網(wǎng)的安全認(rèn)證在無(wú)線客戶端和無(wú)線ap交換數(shù)據(jù)之前，它們之間必須先進(jìn)行一次對(duì)話。在802.llb標(biāo)準(zhǔn)制定時(shí)，ieee在其中加入了一項(xiàng)功能：當(dāng)無(wú)線客戶端和無(wú)線ap對(duì)話后，就立即開始認(rèn)證工作，在通過(guò)認(rèn)證之前，設(shè)備無(wú)法進(jìn)行其他關(guān)鍵通信。這種認(rèn)證方式有兩種：開放認(rèn)證和共享密鑰認(rèn)證。開放認(rèn)證開放認(rèn)證方法是802.nb標(biāo)準(zhǔn)中默認(rèn)的認(rèn)證方式，在明文狀態(tài)下進(jìn)行認(rèn)證，認(rèn)證過(guò)程：客戶端向ap發(fā)送認(rèn)證請(qǐng)求，ap確認(rèn)認(rèn)證，

24、注冊(cè)客戶端；客戶端發(fā)送連接請(qǐng)求給ap，ap確認(rèn)請(qǐng)求，注冊(cè)客戶端。通常ap的開放認(rèn)證有三種策略：第一種策略為默認(rèn)方式，允許任何客戶端認(rèn)證；第二種是只允許認(rèn)證帶有合法服務(wù)器標(biāo)識(shí)id(實(shí)際為ssid)的客戶端，ssid相當(dāng)于密碼的作用;第三種是ap只允許認(rèn)證mac地址在ap的訪問(wèn)控制列表中的客戶端。共享密鑰認(rèn)證共享密鑰認(rèn)證是基于wep共享密鑰的認(rèn)證方法，前提是客戶端和ap中己經(jīng)預(yù)先手動(dòng)設(shè)置好了共享密鑰，共享密鑰認(rèn)證與開放認(rèn)證相似，只不過(guò)它使用wep對(duì)認(rèn)證過(guò)程進(jìn)行加密，因而其安全性要高于開放認(rèn)證。無(wú)線局域網(wǎng)的加密技術(shù)加密技術(shù)是網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù)。ieee為無(wú)線局域網(wǎng)提供了三種安全性保護(hù)協(xié)議:wep

25、、tkip、ccmp。主要的方法有無(wú)線局域網(wǎng)eap策略、無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)wapi以及ieee802.11標(biāo)準(zhǔn)中的wpa等等。其中wapi是我國(guó)自主研發(fā)的、擁有自主知識(shí)產(chǎn)權(quán)的無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)而tkip主要進(jìn)行無(wú)線網(wǎng)絡(luò)產(chǎn)品的互通性測(cè)試。然而，這些還聯(lián)夠，還需要一些增強(qiáng)方法和策略等。 選擇無(wú)線局域網(wǎng)安全策略的原則 確保無(wú)線局域網(wǎng)安全可以說(shuō)“三分靠技術(shù)，七分靠策略”，無(wú)線局域網(wǎng)部署中要適當(dāng)應(yīng)用安全技術(shù)，合理選擇安全策略。在部署無(wú)線局域網(wǎng)時(shí)，只要結(jié)合自身的網(wǎng)路安全實(shí)際需求，合理選擇無(wú)線局域網(wǎng)的安全策略，提供足夠的網(wǎng)絡(luò)安全防護(hù)，就可以安心的享受無(wú)線接入的便捷，同時(shí)也能保證重要數(shù)據(jù)的安全。 3.9 注意事項(xiàng)1無(wú)線局域網(wǎng)不可能