畢業(yè)論文(設(shè)計(jì))_第1頁
畢業(yè)論文(設(shè)計(jì))_第2頁
畢業(yè)論文(設(shè)計(jì))_第3頁
畢業(yè)論文(設(shè)計(jì))_第4頁
畢業(yè)論文(設(shè)計(jì))_第5頁
已閱讀5頁,還剩19頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、畢業(yè)設(shè)計(jì)設(shè)計(jì)(論文)題目:重慶三峽學(xué)院無線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)專 業(yè) 班 級(jí): 信安121 學(xué) 生 姓 名: 冉清夢(mèng) 指 導(dǎo) 教 師: 李清夢(mèng) 設(shè) 計(jì) 時(shí) 間: 2015年5月15日-2015年6月13日 重慶工業(yè)職業(yè)技術(shù)學(xué)院重慶工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)(論文)任務(wù)書任務(wù)下達(dá)日期:2015年5月15日設(shè)計(jì)(論文)題目:校園網(wǎng)絡(luò)建設(shè)方案設(shè)計(jì)(論文)主要內(nèi)容和要求:內(nèi)容主要是:由于當(dāng)今網(wǎng)絡(luò)的快速,網(wǎng)絡(luò)設(shè)備的不斷更新,人們對(duì)網(wǎng)絡(luò)要求不斷提高。本文主要是對(duì)重慶三峽學(xué)院無線網(wǎng)絡(luò)搭建進(jìn)行設(shè)計(jì)研究,根據(jù)要求進(jìn)行拓?fù)湟?guī)劃、IP地址規(guī)劃、功能介紹、設(shè)備選型、設(shè)備調(diào)試、工期安排規(guī)劃和后期培訓(xùn)。該設(shè)計(jì)同樣應(yīng)用于其他校園網(wǎng)絡(luò)

2、結(jié)構(gòu),涉及校園網(wǎng)絡(luò)有線與無線的配置常用技術(shù)與要點(diǎn)。教研室主任簽字: 指導(dǎo)教師簽字:年 月 日 年 月 日重慶工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)(論文)指導(dǎo)教師評(píng)語評(píng)語:成績:指導(dǎo)教師簽名:年 月 日重慶工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)(論文)答辯記錄學(xué)生姓名冉清夢(mèng)系別信息工程學(xué)院專業(yè)班級(jí)信安121設(shè)計(jì)(論文)題目重慶三峽學(xué)院無線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)說明書共 17 頁,圖紙共 2 張答 辯 情 況提 出 問 題回 答 問 題正確基本正確有一般性錯(cuò)誤有原則性錯(cuò)誤回答不清12345678答辯委員會(huì)評(píng)語及建議成績:答辯委員會(huì)主任:年 月 日信息工程學(xué)院畢業(yè)論文(設(shè)計(jì)) 重慶三峽學(xué)院無線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)論文(設(shè)計(jì))摘 要隨著社會(huì)和經(jīng)

3、濟(jì)的發(fā)展,網(wǎng)絡(luò)已經(jīng)成為了人們必不可少的部分,而且人們對(duì)網(wǎng)絡(luò)的要求也越來越高了,人們需要信號(hào)更加穩(wěn)定,傳輸速度更快、強(qiáng)大的靈活性的網(wǎng)絡(luò),無線網(wǎng)絡(luò)無意成為了新的網(wǎng)絡(luò)主角,現(xiàn)在大到公司小到家庭都離不開無線網(wǎng)絡(luò)。無線網(wǎng)絡(luò)就是利用無線設(shè)備發(fā)射的無線電波在無線客戶端和網(wǎng)絡(luò)直接的數(shù)據(jù)傳輸,無線網(wǎng)絡(luò)是一個(gè)非常靈巧的傳輸系統(tǒng),無線網(wǎng)絡(luò)之所以能有這么廣泛的應(yīng)用,是因?yàn)闊o線網(wǎng)絡(luò)的特點(diǎn),能夠?qū)崿F(xiàn)隨時(shí)隨地上網(wǎng)需求。本文在無線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)進(jìn)行論述的基礎(chǔ)上,選擇福建星網(wǎng)銳捷網(wǎng)絡(luò)產(chǎn)品,運(yùn)用Silverlight平臺(tái)下的 MVVM框架技術(shù),采用Microsoft Visual Studio 2010為開發(fā)工具,設(shè)計(jì)出以Micr

4、osoft SQL server 2008為數(shù)據(jù)庫的樓盤銷售系統(tǒng)。本文主要運(yùn)用基于本地轉(zhuǎn)發(fā)的模式,為用戶提供高效、穩(wěn)定、安全的上網(wǎng)服務(wù)。對(duì)系統(tǒng)各功能模塊、數(shù)據(jù)庫、用戶界面、系統(tǒng)安全等進(jìn)行了分析和設(shè)計(jì),并對(duì)系統(tǒng)的實(shí)現(xiàn)進(jìn)行了詳細(xì)闡述。關(guān)鍵字:無線網(wǎng)絡(luò);交換機(jī);路由器;服務(wù)器。目 錄1項(xiàng)目概述11.1 項(xiàng)目背景11.2 項(xiàng)目目標(biāo)12 新建網(wǎng)絡(luò)規(guī)劃12.1 改造情況描述12.1 新建網(wǎng)絡(luò)拓?fù)?2.3 新增設(shè)備列表23項(xiàng)目設(shè)計(jì)33.1設(shè)備使用部署規(guī)劃33.1.1 設(shè)備命名規(guī)劃33.1.2 軟件版本規(guī)劃33.1.3 端口描述規(guī)劃33.1.4 板卡安裝規(guī)劃43.2 IP地址規(guī)劃43.2.1 AP地址段規(guī)劃4

5、3.2.2 用戶地址段規(guī)劃43.2.3 無線信號(hào)名稱規(guī)劃53.2.4 無線信道規(guī)劃53.3網(wǎng)絡(luò)技術(shù)方案53.3.1 核心路由協(xié)議規(guī)劃53.3.2 VSU設(shè)計(jì)63.3.3 無線AC熱備63.3.4 日志系統(tǒng)規(guī)劃設(shè)計(jì)73.4 安全技術(shù)方案83.4.1無線信號(hào)安全部署83.4.2 AAA認(rèn)證123.4.3 防火墻部署規(guī)劃123.4.5 接入安全規(guī)劃134工程實(shí)施規(guī)劃154.1 工程實(shí)施人員規(guī)劃154.2 工程實(shí)施進(jìn)度規(guī)劃154.3 工程服務(wù)與交付物說明15致謝16參考文獻(xiàn)17信息工程學(xué)院畢業(yè)論文(設(shè)計(jì)) 重慶三峽學(xué)院無線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)論文(設(shè)計(jì))前 言隨著internet的技術(shù)的告訴發(fā)展,人類越來越依

6、賴網(wǎng)絡(luò),生活中衣食住行,方方面面都有網(wǎng)絡(luò)的影子傳統(tǒng)的有線,面對(duì)人類在工作學(xué)習(xí)中,已經(jīng)越來越不能滿足人類的需求?,F(xiàn)在我們需要更放的工作學(xué)習(xí)環(huán)境,而無線正是最好的選擇。通過無線,我們可以實(shí)現(xiàn)隨時(shí)隨地的辦公和學(xué)習(xí),在校園里的任何一個(gè)地方學(xué)生 都能查到自己想要學(xué)習(xí)和查找的資料,這樣可一很大的提高學(xué)習(xí)的效率。而老師也能在校園里隨時(shí)隨地的辦公,給學(xué)生和老師都帶來了極大的便利。1項(xiàng)目概述1.1 項(xiàng)目背景隨著無線應(yīng)用及移動(dòng)終端的普及,無線網(wǎng)絡(luò)的飛速發(fā)展,為了更好的服務(wù)于師生,加快教育信息化建設(shè)的步伐,促進(jìn)校園信息化建設(shè)成為學(xué)校育人的有機(jī)組成部分,大力發(fā)展校園無線網(wǎng)絡(luò),建設(shè)高速、穩(wěn)定、可靠、可運(yùn)營、可管理的無線

7、網(wǎng)絡(luò)對(duì)于塑造重慶三峽學(xué)院新一代“智慧”校園來說,具有重要的戰(zhàn)略意義?,F(xiàn)在無線網(wǎng)絡(luò)產(chǎn)品和技術(shù)都已成熟,無線11n技術(shù)相比傳統(tǒng)11g的技術(shù)在性能和覆蓋上都有了質(zhì)的飛躍,加上學(xué)校無線應(yīng)用越來越多,如筆記本、Pad、手機(jī)等終端廣泛應(yīng)用,學(xué)校全校無線校園網(wǎng)建設(shè)成為學(xué)校信息化發(fā)展的必然趨勢(shì)。1.2 項(xiàng)目目標(biāo)統(tǒng)籌考慮重慶三峽學(xué)院校園網(wǎng)業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上,在統(tǒng)籌考慮學(xué)院業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上,兼顧遠(yuǎn)期發(fā)展目標(biāo),構(gòu)建一個(gè)高效、穩(wěn)定、安全可靠的網(wǎng)絡(luò)。采用動(dòng)態(tài)路由協(xié)議,維護(hù)簡單,擴(kuò)展性好;校園網(wǎng)部署用戶認(rèn)證,加強(qiáng)校園安全審計(jì)。2 新建網(wǎng)絡(luò)規(guī)劃2.1 改造情況描述 隨著無線應(yīng)用及移動(dòng)終端的普及,無線網(wǎng)絡(luò)的飛速發(fā)展

8、,為了更好的服務(wù)于師生,加快教育信息化建設(shè)的步伐,促進(jìn)校園信息化建設(shè)成為學(xué)校育人的有機(jī)組成部分,大力發(fā)展校園無線網(wǎng)絡(luò),建設(shè)高速、穩(wěn)定、可靠、可運(yùn)營、可管理的無線網(wǎng)絡(luò)對(duì)于塑造重慶三峽學(xué)院新一代“智慧”校園來說,具有重要的戰(zhàn)略意義?,F(xiàn)在無線網(wǎng)絡(luò)產(chǎn)品和技術(shù)都已成熟,無線11n技術(shù)相比傳統(tǒng)11g的技術(shù)在性能和覆蓋上都有了質(zhì)的飛躍,加上學(xué)校無線應(yīng)用越來越多,如筆記本、Pad、手機(jī)等終端廣泛應(yīng)用,學(xué)校全校無線校園網(wǎng)建設(shè)成為學(xué)校信息化發(fā)展的必然趨勢(shì)。2.1 新建網(wǎng)絡(luò)拓?fù)涓鶕?jù)客戶要求和原網(wǎng)絡(luò)的實(shí)際情況,重新設(shè)計(jì)出一套新的網(wǎng)絡(luò)拓?fù)鋱D。圖2.1 新建網(wǎng)絡(luò)拓?fù)鋱D2.3 新增設(shè)備列表表2.3 新增網(wǎng)絡(luò)設(shè)備信息表設(shè)備名

9、稱型號(hào)數(shù)量(臺(tái))RG-S5750S5750-24GT/12SFP2RG-ACERG-ACE 20001RG-S8606RG S86062RG-S2928G-PRG S2928G15RG-S2924RG S292413RG WS5708RG WS57082licenseLicense-1282APRG AP220-E192RG AP620-H123項(xiàng)目設(shè)計(jì)3.1設(shè)備使用部署規(guī)劃3.1.1 設(shè)備命名規(guī)劃為滿足標(biāo)準(zhǔn)化、規(guī)范化的要求,總體命名規(guī)范如下表3.1.1 設(shè)備命名規(guī)劃表設(shè)備型號(hào)設(shè)備安裝位置設(shè)備命名RG WS5708綜合樓三樓信息中心S5750_ZHL_3F_01RG-S8606綜合樓三樓信息中

10、心S8606_ZHL_3F_01RG-S2928G-P一教學(xué)樓一樓S2928-P_YJXL_1F_01RG-S5750三教學(xué)樓五樓S5750_SJXL_5F_01RG-ACE綜合樓三樓五樓機(jī)房ACE_SJXL_5F_013.1.2 軟件版本規(guī)劃記錄根據(jù)版本導(dǎo)入系統(tǒng)確定結(jié)果明確的本次項(xiàng)目中設(shè)備使用的具體版本。表3.1.2 軟件版本規(guī)劃表設(shè)備類型軟件版本備注RG-WS5708RGOS 10.4(1b17), Release(144996)AC版本RG-AP220-ERGOS 10.4(1b17), Release(144996)AP版本3.1.3 端口描述規(guī)劃為便于識(shí)別和維護(hù),所有設(shè)備的端口只要有

11、設(shè)備連接都應(yīng)在傳輸介質(zhì)上打上相應(yīng)標(biāo)簽,在設(shè)備接口模式下也應(yīng)該添加端口描述,以便與后期網(wǎng)絡(luò)維護(hù)時(shí)方便維護(hù),物理端口描述的規(guī)則必須滿足同交換機(jī)之間互聯(lián)用VLAN、VLAN接口的描述規(guī)則,如:TO-設(shè)備名稱-端口編號(hào)。3.1.4 板卡安裝規(guī)劃柜式設(shè)備的板卡插槽分為管理板插槽(標(biāo)記為M)與業(yè)務(wù)卡插槽(只有數(shù)字插槽),管理板插槽與業(yè)務(wù)板插槽一般不能混用。部分設(shè)備的業(yè)務(wù)線卡根據(jù)不同的類型,可以安裝的槽位上有限制,但對(duì)于業(yè)務(wù)線卡的安裝來說,只要是符合產(chǎn)品規(guī)定可安裝的插槽,安裝時(shí)并沒有特別的規(guī)定,業(yè)務(wù)卡安裝于不同的插槽也不會(huì)有性能上的差異。主要是從散熱、方便線纜連接、美觀幾個(gè)方面進(jìn)行考慮,給出部署柜式設(shè)備的板

12、卡安裝位置的較科學(xué)的方式。柜式設(shè)備安裝時(shí),宜根據(jù)事前板卡安裝規(guī)劃,將擋板依次卸下并收攬整齊后,將板卡從左至右(豎式機(jī)柜,可根據(jù)信號(hào)線纜的布放調(diào)整方向)、從下至上(橫式機(jī)柜)的順序進(jìn)行安裝,注意未安裝板卡的插槽上必須安裝防塵擋板;柜式設(shè)備只安裝單管理板時(shí),應(yīng)統(tǒng)一將管理板安裝在M1插槽,豎式機(jī)柜設(shè)備進(jìn)行業(yè)務(wù)板安裝時(shí),如用戶沒有特殊要求,宜將業(yè)務(wù)卡從遠(yuǎn)離管理槽的位置開始安裝,如果業(yè)務(wù)卡較少,遵循從最遠(yuǎn)離管理槽的情況下間隔進(jìn)行部署。橫式機(jī)柜設(shè)備進(jìn)行業(yè)務(wù)板安裝時(shí),如用戶沒有特殊要求,宜將業(yè)務(wù)卡從遠(yuǎn)離管理槽的位置開始安裝,由于橫式設(shè)備的特殊性,為后續(xù)布線方便,業(yè)務(wù)卡安裝宜從下至上依次安裝,少量業(yè)務(wù)卡時(shí)宜間

13、隔部署。3.2 IP地址規(guī)劃3.2.1 AP地址段規(guī)劃AP的IP地址在分支網(wǎng)絡(luò)IP段內(nèi)進(jìn)行增加,按照分支網(wǎng)絡(luò)的IP規(guī)劃來給AP分配IP。原則是保證AP獲取到的IP地址與AC之間能夠三層可達(dá)??赡苡腥缦聨追N情況:(1)接入網(wǎng)關(guān)下的IP段還有空余此種情況,直接使用空余的IP地址分配給AP。(2)接入網(wǎng)關(guān)下的IP地址已經(jīng)使用完針對(duì)此種情況,只能新增一個(gè)IP段給AP來使用。(3)無線用戶的VLAN與AP劃分開。3.2.2 用戶地址段規(guī)劃無線SSID信號(hào)為SanXiaU的無線用戶IP地址段為:/22,通過DHCP獲取,建議采用外置專用的DHCP服務(wù)器。無線用戶SSID信號(hào)為CMCC-

14、EDU的無線用戶IP地址段為:/22,通過DHCP獲取,建議采用外置專用的DHCP服務(wù)器。AP管理IP地址段為/24,通過DHCP進(jìn)行下發(fā)管理地址,以便與管理AP的工作情況。3.2.3 無線信號(hào)名稱規(guī)劃SSID是無線服務(wù)的標(biāo)識(shí),直接反映接入服務(wù)的屬性。為了方便使用和管理,此次項(xiàng)目所有區(qū)域均采用相同SSID,且客戶嚴(yán)格要求校園無線的SSID為SanXiaU,移動(dòng)無線網(wǎng)絡(luò)為CMCC-EDU。3.2.4 無線信道規(guī)劃雖然2.4G2.483G之間的802.11標(biāo)準(zhǔn)的無線頻點(diǎn)有13個(gè),但由于設(shè)計(jì)為相互重疊,所以只有3個(gè)不重疊頻點(diǎn)(一般設(shè)計(jì)工作在1,6,11這三個(gè)

15、完全不重疊的頻點(diǎn)),這樣使得頻點(diǎn)配置工程十分必要。合理的進(jìn)行信道規(guī)劃,降低同頻干擾,同時(shí)樓層之間的泄漏信號(hào)干擾也要考慮在內(nèi)。信道建議采用手動(dòng)靜態(tài)設(shè)置。漫游需求的規(guī)劃一是要確定漫游的范圍,二是要確保覆蓋范圍內(nèi)無線信號(hào)的無縫覆蓋。圖3.2.4 AP信道規(guī)劃設(shè)計(jì)3.3網(wǎng)絡(luò)技術(shù)方案3.3.1 核心路由協(xié)議規(guī)劃重慶三峽學(xué)院數(shù)字化校園網(wǎng)核心與出口路由器相連,使用OSPF協(xié)議。局域網(wǎng)核心交換機(jī)為局域網(wǎng)與廣域網(wǎng)的路由邊界點(diǎn),負(fù)責(zé)OSPF與靜態(tài)路由的再發(fā)布。全網(wǎng)局域網(wǎng)采用動(dòng)態(tài)路由OSPF協(xié)議,進(jìn)程號(hào)統(tǒng)一為1,其中,根據(jù)學(xué)校功能區(qū)域,為OSPF進(jìn)行區(qū)域劃分。此外,將各區(qū)域(除區(qū)域0以外)設(shè)置為total stub

16、區(qū)域,保留本區(qū)路由及缺省路由,并將匯聚上聯(lián)至核心的端口設(shè)置為點(diǎn)到點(diǎn)的接口類型,加快OSPF進(jìn)程的收斂速度,并可以避免接口UP/DOWN時(shí),影響路由全網(wǎng)震蕩核心交換機(jī)通過默認(rèn)路由指向出口設(shè)備。便于日后的網(wǎng)絡(luò)維護(hù)。3.3.2 VSU設(shè)計(jì)在傳統(tǒng)網(wǎng)絡(luò)中,為了增強(qiáng)網(wǎng)絡(luò)的可靠性,在核心層部署了兩臺(tái)交換機(jī),所有的匯聚交換機(jī)都有兩條鏈路分別連接到兩臺(tái)核心層交換機(jī)。為了消除環(huán)路,在匯聚層交換機(jī)部署MSTP協(xié)議阻塞部分鏈路,為了提供冗余網(wǎng)關(guān),在核心層部署VRRP協(xié)議。傳統(tǒng)網(wǎng)絡(luò)存在的缺陷有:網(wǎng)絡(luò)拓?fù)鋸?fù)雜,管理困難。為了增加可靠性,設(shè)計(jì)了冗余鏈路,不得不配置MSTP消除環(huán)路;故障恢復(fù)時(shí)間一般在秒級(jí),如VRRP協(xié)議,狀

17、態(tài)為master的交換機(jī)發(fā)生故障,狀態(tài)為backup的交換機(jī)至少需要3秒切換為master;生成樹協(xié)議消除了環(huán)路,需要阻塞一些鏈路,導(dǎo)致資源浪費(fèi)。為了解決傳統(tǒng)網(wǎng)絡(luò)的這些問題,提出把兩臺(tái)物理交換機(jī)組合成一臺(tái)虛擬交換機(jī)的新技術(shù),稱為VSU,全稱是Virtual Switch Unit,即虛擬交換單元。如下圖所示,把傳統(tǒng)網(wǎng)絡(luò)中的兩臺(tái)核心交換機(jī)用VSU技術(shù)虛擬成一臺(tái)交換機(jī),VSU和匯聚層交換機(jī)通過聚合鏈路連接,在外圍設(shè)備看來,VSU相當(dāng)于一臺(tái)交換機(jī),和傳統(tǒng)網(wǎng)絡(luò)相比,VSU的優(yōu)勢(shì)有一下情況。簡化管理,兩臺(tái)交換機(jī)組成VSU后,管理員可以對(duì)兩臺(tái)交換機(jī)統(tǒng)一管理,不需要分別配置管理兩臺(tái)交換機(jī);簡化網(wǎng)絡(luò)拓?fù)洌琕S

18、U在網(wǎng)絡(luò)中相當(dāng)于一臺(tái)交換機(jī),通過聚合鏈路和外圍設(shè)備連接,不存在二層環(huán)路,不需要配置MSTP,各種控制協(xié)議作為一臺(tái)交換機(jī)運(yùn)行。故障恢復(fù)時(shí)間縮短到毫秒級(jí),VSU和外圍設(shè)備通過聚合鏈路連接,既提供了冗余鏈路,又實(shí)現(xiàn)負(fù)載均衡,充分利用所有帶寬。3.3.3 無線AC熱備在無線局域網(wǎng)的部署中,當(dāng)前有兩種部署方式:瘦 AP(Access Point,無線接入點(diǎn))模式和胖 AP模式。其中,瘦 AP 模式逐漸成為主流的部署方式。在瘦 AP 模式的部署中,有兩類無線設(shè)備:AC(Access Controller,無線控制器)和 AP;AP需要與 AC建立連接,然后用戶在 AC上進(jìn)行統(tǒng)一配置,AC會(huì)把相關(guān)配置下發(fā)給

19、 AP。AC和 AP通過協(xié)作,從而為用戶提供無線局域網(wǎng)的服務(wù)。關(guān)于 AC和 AP 間的協(xié)作規(guī)范在 RFC5415,即 CAPWAP 協(xié)議中定義。 在 CAPWAP 協(xié)議中規(guī)定:當(dāng) AC與 AP 建立了 CAPWAP 連接后,AC與每臺(tái) AP 間都會(huì)建立一條 CAPWAP通信隧道,AC發(fā)送給 AP的每個(gè)報(bào)文,都必須通過 CAPWAP通信隧道;而 AP 發(fā)給 AC的每個(gè)報(bào)文,也必須通過 CAPWAP 通信隧道。CAPWAP 通信隧道是一種點(diǎn)到點(diǎn)的隧道,是一種單播隧道。銳捷網(wǎng)絡(luò)無線控制器(AC)的熱備份功能,是在 AC發(fā)生不可達(dá)(故障)時(shí),為AC-AP 提供毫秒級(jí)的 CAPWAP隧道切換能力,確保已

20、關(guān)聯(lián)用戶業(yè)務(wù)最大程度上不間斷。兩臺(tái) AC通過協(xié)商確定主 AC和備 AC,AC間通過?;顧C(jī)制進(jìn)行保活; AP 與主 AC建立主 CAPWAP 隧道,與備 AC建立備 CAPWAP 隧道; 用戶使用無線客戶端關(guān)聯(lián)到 AP; 用戶通過 AP與 AC的主CAPWAP 隧道與外部進(jìn)行網(wǎng)絡(luò)通信; 當(dāng)主 AC發(fā)生故障,備 AC檢測(cè)到?;畛瑫r(shí),馬上通知 AP; 備 AC與 AP之間的備用 CAPWAP 隧道被激活;備 AC變成主 AC; 用戶的業(yè)務(wù)在備 CAPWAP 隧道激活后恢復(fù)正常; 當(dāng)原主 AC 恢復(fù)正常,與新主 AC 重新建立熱備關(guān)系,原主 AC 變成備 AC;AP 與之建立備CAPWAP 隧道;用戶

21、的業(yè)務(wù)不會(huì)中斷。通過在兩臺(tái)無線控制上應(yīng)用AC熱備技術(shù),可以保證任意一臺(tái)無線控制AC出現(xiàn)故障時(shí),各學(xué)校的AP仍然可以連接到另外的一臺(tái)AC,保證無線網(wǎng)絡(luò)運(yùn)行正常。3.3.4 日志系統(tǒng)規(guī)劃設(shè)計(jì)安裝CentOS,由于Log日志系統(tǒng)目前不支持在Windows系統(tǒng)上運(yùn)行,需安裝CentOS系統(tǒng)之后,再在CentOS系統(tǒng)上安裝eLog。注:安裝CentOS的時(shí)候不要選擇系統(tǒng)自帶的MySQL數(shù)據(jù)庫,否則會(huì)導(dǎo)致elog系統(tǒng)運(yùn)行異常。配置eLog日志系統(tǒng),成安裝之后,通過在IE瀏覽器輸入00.:8088/elog來訪問并管理eLog,在系統(tǒng)參數(shù)配置中完成與SAM服務(wù)器的聯(lián)動(dòng)配

22、置,并在設(shè)備管理中分別添加EG及WALL設(shè)備。注意eLog目前支持EG、WALL、NPE、ACE這幾個(gè)系列的設(shè)備聯(lián)動(dòng),其余的暫不支持。添加完成之后,eLog會(huì)自動(dòng)記錄SAM認(rèn)證用戶的流量、url及相關(guān)日志;設(shè)備的流量、NAT等相關(guān)日志。3.4 安全技術(shù)方案3.4.1無線信號(hào)安全部署為提高無線網(wǎng)絡(luò)的安全性和穩(wěn)定性,采用AC控制器統(tǒng)一管理無線AP,以便與對(duì)用戶數(shù)據(jù)安全過濾,同時(shí)也使后期網(wǎng)絡(luò)維護(hù)更方便,具體配置如下:version RGOS 10.4(1b19)p2, Release(179742)(Fri Oct 31 18:54:51 CST 2014 -ngcf67)hostname 主ac控

23、制器localeapeap-methods peappeap inner-methods eap-mschapv2 eap-gtcTenGigabitEthernet 0/1 enablewebmaster level 0 username admin password 7 1014162a0c1cwebmaster level 2 username guest password 7 101207221606http redirect port 8081cwmpcpe informnfpp vlan 1vlan 10name 管理vlanvlan 11name ap管理vlanvlan 101

24、name cmcc1vlan 1801name 會(huì)議室vlan 4014name cmcc_EDUservice password-encryptionservice dhcpip fragment-quota 200ip access-list standard 1010 permit 55 webauth-proxy enable!link-check disablewlan-config 1801 SanXiauenable-broad-ssidwlan-config 4014 CMCC_EDUenable-broad-ssidap-group de

25、faultinterface-mapping 1801 1801 ap-wlan-id 1ap-group xycmccinterface-mapping 1801 1801 ap-wlan-id 1interface-mapping 4014 101 ap-wlan-id 2ap-config all11acsupport enable radio 111acsupport enable radio 2802.11n mcs support 23 radio 1802.11n mcs support 23 radio 2802.11ac mcs support 29 radio 1802.1

26、1ac mcs support 29 radio 2antenna receive 7 radio 1antenna receive 7 radio 2antenna transmit 7 radio 1antenna transmit 7 radio 2ac-controllercountry CN802.11g network rate 1 mandatory802.11g network rate 2 mandatory802.11g network rate 5 mandatory802.11g network rate 11 mandatory802.11g network rate

27、 6 supported802.11g network rate 9 supported802.11g network rate 12 supported802.11g network rate 18 supported802.11g network rate 24 supported802.11g network rate 36 supported802.11g network rate 48 supported802.11g network rate 54 supporteddhcp_name JFAAcapwap ctrl-ip 51active-bin-file

28、 AP220.binactive-bin-file AP530.binactive-bin-file ap320.bin802.11b network rate 1 mandatory802.11b network rate 2 mandatory802.11b network rate 5 mandatory802.11b network rate 11 mandatory802.11a network rate 6 mandatory802.11a network rate 9 supported802.11a network rate 12 mandatory802.11a networ

29、k rate 18 supported802.11a network rate 24 mandatory802.11a network rate 36 supported802.11a network rate 48 supported802.11a network rate 54 supportedap-serial ruijie1 ap530 hw-ver 1.xap-serial ruijie3 ap320-i hw-ver 1.xap-serial ruijie20 AP220SH-(C) hw-ver 1.xap-serial ruijie5 ap620-H(C) hw-ver 1.

30、xap-serial ruijie10 AP620-H(C) hw-ver 2.xap-serial ap320 AP320-I hw-ver 1.xap-serial ruijie21 AP530-I hw-ver 1.xap-image ap320.bin ap320ap-image AP530.bin ruijie21wtp-limit 384logging rate-limit 100logging userinfo command-logno logging onlogging buffered 8000 logging file flash:syslog 6291456no log

31、ging console enable secret 5 $1$2bii$syy5tpAs5439E4F3 widsspanning-treeinterface GigabitEthernet 0/1switchport mode trunkinterface GigabitEthernet 0/2switchport access vlan 101interface GigabitEthernet 0/3interface GigabitEthernet 0/4interface TenGigabitEthernet 0/1switchport mode trunkinterface VLA

32、N 10no ip proxy-arpip address 51 interface VLAN 101no ip proxy-arpip address 53 interface VLAN 1801no ip proxy-arpinterface VLAN 4014no ip proxy-arpip route ip route snmp-server host 218.2

33、06.25.132 traps Net96You*snmp-server enable trapssnmp-server community 7 ro 005a35414f3e1b line con 0line vty 0 4loginpassword 7 035122110c3706wlan-qos rl minpktq 1end3.4.2 AAA認(rèn)證需在認(rèn)證設(shè)備上完成相關(guān)的認(rèn)證配置,當(dāng)用戶接入的時(shí)候,會(huì)觸發(fā)相應(yīng)的配置,開始整個(gè)上網(wǎng)的認(rèn)證過程。aaa new-mode 開啟AAA認(rèn)證開關(guān)aaa group server radius default 配置AAA認(rèn)證服務(wù)器組 aaa accou

34、nting update periodic 15 設(shè)置記賬更新時(shí)間間隔為15分鐘aaa accounting update 打開記賬更新功能aaa accounting network default start-stop group radius 打開記賬報(bào)文發(fā)送功能aaa authentication dot1x default group radius 定義AAA認(rèn)證方法列表radius-server host 指定Radius服務(wù)器的IP地址radius-server key 7 06142b0a251c17 定義與Radius服務(wù)器通信的口令 dot1x aut

35、hentication default 使用AAA服務(wù)和default列表進(jìn)行認(rèn)證dot1x probe-timer alive 300 配置客戶端探測(cè)定時(shí)器dot1x client-probe enable 打開客戶端在線探測(cè)功能dot1x port-control auto 打開端口下的dot1x認(rèn)證功能snmp-server enable traps 打開設(shè)備的SNMP traps消息主動(dòng)發(fā)送功能snmp-server community 7 0251563e120f3b rw 指定SNMP團(tuán)體的訪問字符3.4.3 防火墻部署規(guī)劃防火墻目前部署為透明模式,通過綁定下聯(lián)至核心及上聯(lián)至ACE

36、的兩個(gè)端口為透明橋組,對(duì)流經(jīng)這兩個(gè)端口的數(shù)據(jù)進(jìn)行統(tǒng)計(jì);并開啟防火墻特有的病毒防護(hù)、入侵防御和應(yīng)用控制的功能性授權(quán),全面保證內(nèi)網(wǎng)數(shù)據(jù)的安全性。出口采用RG-EG1000M高性能業(yè)務(wù)保障網(wǎng)關(guān),由于當(dāng)前校園網(wǎng)出口為移動(dòng)和電信,設(shè)備默認(rèn)開啟自動(dòng)選路功能,即訪問電信走電信,訪問移動(dòng)走移動(dòng)。并定義一個(gè)NAT地址池,包含電信、移動(dòng)的地址,實(shí)現(xiàn)負(fù)載均衡的效果。同時(shí),利用EG產(chǎn)品功能特性,可在EG的WEB頁面中查看當(dāng)前的網(wǎng)絡(luò)流量使用情況,可幫助網(wǎng)絡(luò)管理人員詳細(xì)的分析流量走向。3.4.4 防ARP攻擊設(shè)計(jì)IP 源防護(hù)(IP Source Guard,簡稱 IPSG)是一種基于 IP/MAC 的端口流量過濾技術(shù),它

37、可以防止局域網(wǎng)內(nèi)的 IP 地址欺騙攻擊。IPSG 能夠確保第 2 層網(wǎng)絡(luò)中終端設(shè)備的 IP 地址不會(huì)被劫持,而且還能確保非授權(quán)設(shè)備不能通過自己指定 IP 地址的方式來訪問網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)崩潰及癱瘓。本網(wǎng)絡(luò)設(shè)計(jì)中,在核心57上開啟DHCP功能,同時(shí)開啟ip dhcp snooping,開啟IPSG。只有所接收到的IP包滿足IP源綁定表中 Port/IP/MAC相匹配的或者所接收到的是DHCP 數(shù)據(jù)包的才進(jìn)行轉(zhuǎn)發(fā),在設(shè)備下朕口開啟arp-check。3.4.5 接入安全規(guī)劃重慶三峽學(xué)院數(shù)字化校園網(wǎng)建設(shè)項(xiàng)目中,在設(shè)備部署接入安全策略,防止因內(nèi)網(wǎng)攻擊所導(dǎo)致的網(wǎng)絡(luò)不穩(wěn)定的情況發(fā)生。部署NFPP基礎(chǔ)

38、保護(hù)策略,對(duì)接入設(shè)備下的每個(gè)用戶IP進(jìn)行arp/ip報(bào)文的發(fā)送速率進(jìn)行檢測(cè),并根據(jù)所設(shè)定的閥值觸發(fā)相應(yīng)的處理規(guī)則,全面有效的防止設(shè)備CPU利用率過高的現(xiàn)象發(fā)生。針對(duì)動(dòng)態(tài)獲取IP地址的區(qū)域部署ip dhcp snooping,對(duì)設(shè)備下的每用戶進(jìn)行IP地址的合法檢測(cè);在設(shè)備上聯(lián)端口開啟dhcp snooping trust功能,只允許用戶從合法的端口獲取IP地址,有效防止用戶私設(shè)DHCP服務(wù)器;每端口下開啟IPSG+ARP-Check功能,通過匹配dhcp snoooping數(shù)據(jù)庫中的用戶信息,來進(jìn)行非法篩選,有效防止用戶私設(shè)IP地址。樓層匯聚設(shè)備做相關(guān)網(wǎng)絡(luò)優(yōu)化配置,如:與核心的互聯(lián)端口進(jìn)行Vla

39、n修剪或修改接口類型為路由接口。避免造成廣播風(fēng)暴影響核心網(wǎng)絡(luò)的轉(zhuǎn)發(fā);用戶Vlan更改被動(dòng)接口,拒絕用戶接收OSPF的hello報(bào)文,提高網(wǎng)絡(luò)效率;網(wǎng)絡(luò)出口及匯聚設(shè)備部署防病毒ACL,防止內(nèi)外網(wǎng)的非法用戶針對(duì)校內(nèi)的SAM、ePortal等關(guān)鍵服務(wù)器進(jìn)行惡意掃描、數(shù)據(jù)入侵等操作,匯聚區(qū)設(shè)備配置實(shí)現(xiàn)。service password-encryption 設(shè)置設(shè)備密碼以密文顯示,增強(qiáng)安全性service dhcp 開啟DHCP服務(wù)ip helper-address 0 開啟DHCP中繼服務(wù)ip access-list extended antivirus 配置常見病毒防護(hù)ACL1

40、0 deny tcp any any eq 135 常見病毒防護(hù)ACL內(nèi)容20 deny tcp any any eq 139 30 deny tcp any any eq 445 40 deny tcp any any eq 593 50 deny tcp any any eq 1025 60 deny tcp any any range 3127 3198 70 deny tcp any any eq 4444 80 deny tcp any any eq 5554 90 deny tcp any any eq 9996 100 deny tcp any any eq 389 110 de

41、ny tcp any any eq 636 120 deny tcp any any eq 3268 130 deny tcp any any eq 3269 140 deny tcp any any eq 1720 150 deny tcp any any eq 1503 160 deny tcp any any eq 443 170 deny udp any any eq 135 180 deny udp any any eq netbios-ns 190 deny udp any any eq netbios-dgm 200 deny udp any any eq 445 210 den

42、y udp any any eq tftp 220 permit ip any any interface GigabitEthernet 0/24no switchport 設(shè)置三層路由接口medium-type fiber 切換接口為光口ip ospf network point-to-point 配置OSPF網(wǎng)絡(luò)類型為點(diǎn)對(duì)點(diǎn)no ip proxy-arp 關(guān)閉arp免費(fèi)代理ip access-group antivirus out 應(yīng)用防病毒條目于該接口的發(fā)報(bào)文方向ip address 52 配置與核心交換機(jī)的互聯(lián)地址no nfpp ip-guard enableno nfpp arp-guard enabledescription connect_to_GZSJX-HXJF-CS-S12010_G0/13router ospf 1 開啟OSPF動(dòng)態(tài)路由協(xié)議進(jìn)程,進(jìn)程號(hào)為1passive-interface VLAN 100 用戶接口為被動(dòng)接口,拒絕接受hello報(bào)文ar

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論