構(gòu)建校園無線局域網(wǎng)的畢業(yè)設(shè)計(jì)

武漢職業(yè)技術(shù)學(xué)院武漢職業(yè)技術(shù)學(xué)院WUHANINSTITUTEOFTECHNOLOGY項(xiàng)目：構(gòu)建校園無線局域網(wǎng)班級(jí)：通信08304班作者：學(xué)號(hào)：08014666指導(dǎo)老師：完成時(shí)間：二〇一一年五月十七日武漢職業(yè)技術(shù)學(xué)院·電信學(xué)院緒論前言無線局域網(wǎng)（WirelessLocalAreaNetwork，縮寫為“WLAN”）是高速發(fā)展的現(xiàn)代無線通信技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用，是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣，基于802.11標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)在空氣中傳播射頻信號(hào)，在信號(hào)范圍內(nèi)的無線客戶端都可以接受到數(shù)據(jù)，為通信的移動(dòng)化、個(gè)人化和多媒體應(yīng)用提供了實(shí)現(xiàn)的手段。與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)以其方便、快捷、廉價(jià)等諸多優(yōu)勢(shì)，可以為不易布線的地方和短距離的數(shù)據(jù)傳輸提供網(wǎng)絡(luò)支持，在校園和公共熱點(diǎn)地區(qū)等領(lǐng)域的應(yīng)用中很快得到了長(zhǎng)足的發(fā)展和巨大的成功。此外，WLAN還有其他一些優(yōu)點(diǎn)。它能夠方便地實(shí)施聯(lián)網(wǎng)技術(shù)，因?yàn)閃LAN可以便捷、迅速地接納新加入的雇員，而不必對(duì)網(wǎng)絡(luò)的用戶管理配置進(jìn)行過多的變動(dòng)。項(xiàng)目簡(jiǎn)介本項(xiàng)目介紹了校園無線局域網(wǎng)的應(yīng)用需求，以及校園無線局域網(wǎng)的設(shè)計(jì)思路。該設(shè)計(jì)方案既考慮了無線技術(shù)本身的特點(diǎn)，同時(shí)也考慮了校園網(wǎng)的應(yīng)用和日后的升級(jí)需求。是一個(gè)可以靈活部署、易于擴(kuò)展、高性價(jià)比的校園無線局域網(wǎng)設(shè)計(jì)。二、需求分析為滿足無線網(wǎng)絡(luò)的容量需求，校園無線網(wǎng)絡(luò)在網(wǎng)絡(luò)規(guī)劃時(shí)首先需要考慮AP（無線接入點(diǎn)）蜂窩直徑內(nèi)的用戶數(shù)量與應(yīng)用內(nèi)容。用戶數(shù)量和應(yīng)用內(nèi)容是推動(dòng)帶寬需求增長(zhǎng)的主要因素。由無線網(wǎng)絡(luò)的特點(diǎn)決定，用戶對(duì)帶寬的需求越高，要求信號(hào)質(zhì)量越好，從而減小了無線信號(hào)的覆蓋范圍，要計(jì)算網(wǎng)絡(luò)的容量，首先需要確定在覆蓋區(qū)域和這個(gè)區(qū)域中的客戶機(jī)數(shù)量，從而計(jì)算出這個(gè)區(qū)域提供服務(wù)所需的總帶寬，然后在保證網(wǎng)絡(luò)帶寬的前提下，計(jì)算提供足夠的覆蓋所需要的AP數(shù)量。三、現(xiàn)有網(wǎng)絡(luò)特征分析武漢職院早在2001年就按照主干千兆，百兆交換到桌面的網(wǎng)絡(luò)架構(gòu)選擇網(wǎng)絡(luò)設(shè)備對(duì)教學(xué)辦公及家屬區(qū)進(jìn)行了校園網(wǎng)的規(guī)劃與建設(shè)。于2006年啟動(dòng)的武職院數(shù)字化校園網(wǎng)建設(shè)項(xiàng)目，校園網(wǎng)系統(tǒng)覆蓋全院，形成三個(gè)校區(qū)互連，兩個(gè)出口備份，多種服務(wù)并存的網(wǎng)絡(luò)格局校內(nèi)光纖達(dá)50多公里，信息點(diǎn)超過12000個(gè)。采用HP先進(jìn)的且獨(dú)有的“IDM-身份驅(qū)動(dòng)管理”及“AEA適應(yīng)性邊緣網(wǎng)絡(luò)架構(gòu)”，它的優(yōu)點(diǎn)在于讓網(wǎng)絡(luò)步入了安全時(shí)代，HP網(wǎng)絡(luò)解決方案較好的解決了安全、移動(dòng)和融合三大課題。適合有線與無線混建網(wǎng)絡(luò)，IP的分配時(shí)內(nèi)網(wǎng)靜態(tài)分配，有完整的客戶端管理和安全認(rèn)證體制。網(wǎng)絡(luò)設(shè)計(jì)原則與目標(biāo)4.1網(wǎng)絡(luò)設(shè)計(jì)原則無線覆蓋設(shè)計(jì)將遵循按照信號(hào)范圍最大化原則，在全校全面覆蓋的前提下，重點(diǎn)選擇部分區(qū)域進(jìn)行更加細(xì)膩的覆蓋。并且，保證無線網(wǎng)絡(luò)穩(wěn)定性并與絕大多數(shù)主流無線網(wǎng)卡兼容，同時(shí)兼顧考慮網(wǎng)絡(luò)擴(kuò)容，為今后網(wǎng)絡(luò)擴(kuò)容做好預(yù)留。4.2網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)4.2.1提供教學(xué)無線網(wǎng)絡(luò)通過無線校園網(wǎng)絡(luò)覆蓋教學(xué)樓及些校內(nèi)公共課教學(xué)環(huán)境，如計(jì)算機(jī)公共機(jī)房、電教樓公共教室等。為廣大師生提供了一個(gè)更為有效的網(wǎng)絡(luò)互動(dòng)平臺(tái)，加強(qiáng)了學(xué)習(xí)生活的交流，同時(shí)為學(xué)生在教室內(nèi)的自習(xí)提供一個(gè)方便的查詢資料的網(wǎng)絡(luò)環(huán)境。4.2.2提供圖書館無線網(wǎng)絡(luò)通過無線校園網(wǎng)覆蓋整個(gè)圖書館內(nèi)所有的區(qū)域，教師和學(xué)生可以很方便地利用無線網(wǎng)絡(luò)使用圖書館提供的各種數(shù)字化服務(wù)，能夠了解查閱各類信息知識(shí)。4.2.3提供行政辦公網(wǎng)絡(luò)通過無線校園網(wǎng)覆蓋學(xué)校的各系、院辦公樓和行政辦公區(qū)，通過對(duì)辦公區(qū)域提供無線網(wǎng)絡(luò)，提高了各職能部門的效率，滿足了教職員工的在線查詢能力，大大提高了各職能部門的服務(wù)質(zhì)量。4.2.4提供教工、學(xué)生宿舍網(wǎng)絡(luò)在部分的教工宿舍和大部分的校內(nèi)宿舍提供了無線局域網(wǎng)無限覆蓋，滿足了教工和學(xué)生臨時(shí)上網(wǎng)的要求。4.2.5無線應(yīng)急系統(tǒng)在出現(xiàn)需要突發(fā)性大規(guī)模網(wǎng)絡(luò)服務(wù)要求的場(chǎng)合，提供臨時(shí)性的無線網(wǎng)絡(luò)服務(wù)，滿足用戶對(duì)網(wǎng)絡(luò)的需求。比如露天的體育場(chǎng)的體育賽事。五、網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計(jì)5.1整體的網(wǎng)絡(luò)拓?fù)鋱D：5.2IP地址方案：VLAN和地址規(guī)劃包括兩部分：設(shè)備管理的規(guī)劃和業(yè)務(wù)的規(guī)劃。設(shè)備管理地址和VLAN規(guī)劃由于采用了AC+FITAP模式建設(shè)，對(duì)AP的管理都要通過AC，不必像FATAP模式時(shí)網(wǎng)管要能直接管理AP。所以建議AP可以采用私網(wǎng)地址進(jìn)行管理，同樣在AC上配置一個(gè)私網(wǎng)地址的接口來實(shí)現(xiàn)與AP間的IP可達(dá)，為了和網(wǎng)管平臺(tái)通信，AC上還要配置一個(gè)公網(wǎng)地址。在AC側(cè)掛BRAS的模式下，由BRAS能夠完成AC與AP間私網(wǎng)地址的L3轉(zhuǎn)發(fā)，因此BRAS也要有私網(wǎng)地址的配置，要注意的是，BRAS上路由配置中要避免私網(wǎng)地址的路由擴(kuò)散。在管理VLAN規(guī)劃上，建議同一個(gè)校園內(nèi)AP采用相同的管理VLAN，所有AP設(shè)備在用一個(gè)私網(wǎng)網(wǎng)段內(nèi)。AC管理多個(gè)校園時(shí)，要求不同學(xué)校采用不同的管理VLAN和不同的IP私網(wǎng)網(wǎng)段。業(yè)務(wù)地址和VLAN規(guī)劃為了加強(qiáng)對(duì)用戶的管理和排障的便捷性，建議不同AP采用不同的VLAN進(jìn)行接入，或者不同區(qū)域采用不同的VLAN接入。在IP地址分配上，Internet業(yè)務(wù)建議采用公網(wǎng)地址分配，而校園業(yè)務(wù)由校方自己分配地址。5.3安全方案終端和AP間數(shù)據(jù)加密首先在無線側(cè)，針對(duì)用戶數(shù)據(jù)加密部分，我們提供了多種加密手段，包括WEP加密、802.11i和WAPI等方式。其中802.11i和WAPI不僅僅提供了加密手段，還可以針對(duì)對(duì)用戶接入無線網(wǎng)絡(luò)進(jìn)行認(rèn)證。對(duì)AP的DoS攻擊針對(duì)用戶采用無線工具對(duì)無線網(wǎng)絡(luò)發(fā)起的攻擊，比如無線報(bào)文Flood攻擊、無線報(bào)文Spoofing攻擊和WeakIV攻擊等，WLAN系統(tǒng)接收到802.11報(bào)文，可以根據(jù)報(bào)文類型以及報(bào)文的源地址（即無線客戶端）更新統(tǒng)計(jì)信息；如果報(bào)文為De-authentication報(bào)文或者Disassociation報(bào)文，則需要進(jìn)行spoofing檢測(cè)，如果報(bào)文的源地址為WLAN系統(tǒng)的地址則標(biāo)志W(wǎng)LAN系統(tǒng)受到了De-authentication或者DisassociationSpoofing攻擊；對(duì)于數(shù)據(jù)報(bào)文，如果該報(bào)文使用了WEP加密算法，則啟動(dòng)IV檢測(cè)，根據(jù)IV的安全性策略判斷是否存在WeakIV攻擊。對(duì)WIDS的統(tǒng)計(jì)信息需要進(jìn)行定期的檢測(cè)。如果檢測(cè)發(fā)現(xiàn)滿足入侵策略，則可以確定WLAN系統(tǒng)收到了Flood攻擊。若系統(tǒng)啟動(dòng)了動(dòng)態(tài)黑名單，WIDS可以將檢測(cè)的Flood攻擊設(shè)備加入黑名單，實(shí)現(xiàn)WLAN系統(tǒng)的入侵防范。非法AP的檢測(cè)非法設(shè)備是未經(jīng)網(wǎng)絡(luò)管理者許可部署的無線設(shè)備或者是發(fā)起無線攻擊的設(shè)備。無線控制器可以指定AP工作在兩種工作模式：模式一、AP負(fù)責(zé)監(jiān)聽空口所有信道的信息，但不負(fù)責(zé)用戶報(bào)文的轉(zhuǎn)發(fā)。模式二、AP在為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)定期切換到其他信道監(jiān)聽信息AP設(shè)備負(fù)責(zé)把監(jiān)聽到的無線設(shè)備和有攻擊行為的無線設(shè)備上報(bào)給無線控制器，而無線控制器根據(jù)AP上報(bào)的設(shè)備信息識(shí)別非法設(shè)備，排除合法設(shè)備。并且可以控制AP將非法設(shè)備列入黑名單或者對(duì)其發(fā)起攻擊。有線網(wǎng)絡(luò)自身的安全防范有線網(wǎng)絡(luò)主要訪問的是ARP攻擊和IP/MAC欺騙等，我們主要通過用戶間隔離和部署ARP防攻擊特性來加以防范。其中，用戶隔離需要在所有L2設(shè)備上部署，包括AP設(shè)備。通過用戶隔離，可以有效的防范用戶間的ARP欺騙、偽DHCP服務(wù)器接入等攻擊。而ARP防攻擊特性是利用在接入交換機(jī)，配合DHCPSNOOPING特性，對(duì)用戶的ARP報(bào)文進(jìn)行監(jiān)聽，當(dāng)發(fā)現(xiàn)用戶的ARP報(bào)文IP地址或MAC地址與其在DHCP申請(qǐng)時(shí)有不同時(shí)，則認(rèn)為存在ARP攻擊，并丟棄攻擊報(bào)文，從而實(shí)現(xiàn)防ARP攻擊的六、總體方案設(shè)計(jì)6.1.具體方案?jìng)?cè)重實(shí)際應(yīng)用，覆蓋校園內(nèi)部分區(qū)域，為教學(xué)和學(xué)習(xí)生活提供切實(shí)可用的無線網(wǎng)絡(luò)環(huán)境；采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，因此校園無線局域網(wǎng)將主要支持802.11g（54M帶寬）標(biāo)準(zhǔn)以提供可供實(shí)際應(yīng)用的相對(duì)穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)，同時(shí)兼顧多種類型應(yīng)用和將來的投資保護(hù)，需要同時(shí)支持801.11a，802.11b，實(shí)現(xiàn)雙頻三模技術(shù)；全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線網(wǎng)管、無線安全，無線計(jì)費(fèi)等），以避免無線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題；保證網(wǎng)絡(luò)訪問的安全性；采用非獨(dú)立型的無線網(wǎng)絡(luò)結(jié)構(gòu)選型。覆蓋范圍要求：有線網(wǎng)絡(luò)無法接入的室外場(chǎng)所：校園內(nèi)一些場(chǎng)所很難實(shí)現(xiàn)網(wǎng)絡(luò)有線接入，采用無線方式可以實(shí)現(xiàn)覆蓋大范圍室外空間的無線網(wǎng)絡(luò)接入。本次建設(shè)主要包括各宿舍、食堂及教學(xué)樓附近空地等。有線網(wǎng)絡(luò)使用不便或受限的室內(nèi)空間：校園內(nèi)一些室內(nèi)場(chǎng)所空間較大，會(huì)產(chǎn)生許多人同時(shí)接入網(wǎng)絡(luò)的需求，采用有線的方式只能提供少量接口，不能滿足要求。用無線網(wǎng)絡(luò)覆蓋來解決相當(dāng)數(shù)量的移動(dòng)設(shè)備同時(shí)訪問網(wǎng)絡(luò)的問題。主要包括圖書館、主樓、各教學(xué)樓等；安全、認(rèn)證、計(jì)費(fèi)和管理要求：要與現(xiàn)有的計(jì)費(fèi)系統(tǒng)對(duì)接，實(shí)現(xiàn)針對(duì)用戶計(jì)費(fèi)、管理、控制功能；校園無線網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)要求：無線接入所需布設(shè)的AP通過校園網(wǎng)的匯聚層設(shè)備接入到校園網(wǎng)中，在匯聚層都提供相應(yīng)的接口給無線網(wǎng)線，在接入層設(shè)備要在方案中進(jìn)行描述。工程布線和安裝要求：室內(nèi)部分：定好較為開闊位置，將網(wǎng)線和電源線走暗線敷設(shè)到位；掛在墻上，可利用設(shè)備本身自帶的安裝附件進(jìn)行安裝；如果需要遮蔽，則需要定制非金屬安裝盒；如果是掛在天花板上，則根據(jù)天花板的情況而定，若天花板是非金屬結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。室外部分：根據(jù)設(shè)備位置有兩種布線方式。如果AP設(shè)備放置在樓頂，則需要走網(wǎng)線和電源線；如果AP設(shè)備放置在室內(nèi)，天線放置在室外，則需要走天線饋線。這兩種方式饋線都需走鐵管，貼防水膠方式處理，安裝過程中應(yīng)充分考慮防盜。供電部分：AP的供電可采用POE方式由接入的網(wǎng)絡(luò)設(shè)備進(jìn)行供電（無需本地供電）。產(chǎn)品能力要求：產(chǎn)品支持AES、WEP加密等安全標(biāo)準(zhǔn)；漫游切換；支撐QOS能力。6.2.各部分的網(wǎng)絡(luò)拓?fù)鋱D：6.2.1不同校區(qū)之間的無線互聯(lián)：6.2.2同一校區(qū)同樓之間的無線互聯(lián):七、項(xiàng)目設(shè)備報(bào)價(jià)清單無線網(wǎng)卡無線網(wǎng)卡接口類型1.臺(tái)式機(jī)專用的PCI接口無線網(wǎng)卡選用Tenda騰達(dá)CardBus2.USB接口無線網(wǎng)卡選用TP-LINKTL-WN821N無線AP選用D-Link的DWL-2100AP主要參數(shù)：型號(hào)TL-WA501G+支持協(xié)議TCP/IP協(xié)議,IPX/SPX協(xié)議,NetBEUI協(xié)議無線標(biāo)準(zhǔn)IEEE802.11b,IEEE802.11g傳輸速率54,48,36,24,18,12,11,9,6,5.5,2,1Mbps接口類型RJ-45,1個(gè)無線路由器選用TP-LINKTL-WR340G+八、總結(jié)通過這次的項(xiàng)目設(shè)計(jì)，我對(duì)無線局域網(wǎng)、無線接入點(diǎn)（AP）、無線設(shè)備（無線網(wǎng)卡、無線路由器等）以及安全防范和網(wǎng)絡(luò)管理等知識(shí)都有了一定的了解。在整個(gè)方案設(shè)計(jì)階段感受最為深刻的是如何全局的考慮網(wǎng)絡(luò)規(guī)劃。從一個(gè)個(gè)子網(wǎng)規(guī)劃到整體的規(guī)劃，不僅僅只考慮一個(gè)點(diǎn)的接入，還有各個(gè)網(wǎng)絡(luò)的中和實(shí)際情況的考察以及資費(fèi)的控制。在網(wǎng)絡(luò)規(guī)劃中參