基于WLAN的校園網(wǎng)的設(shè)計與實現(xiàn)

基于WLAN的校園網(wǎng)的設(shè)計與實施基于WLAN的校園網(wǎng)的設(shè)計與實施基于WLAN的校園網(wǎng)的設(shè)計與實施 南陽理工學院本科畢業(yè)設(shè)計（論文）基于WLAN的校園網(wǎng)的設(shè)計與實施DesignandImplementationofCampusWLAN學院（系）：計算機與信息工程學院專業(yè)：通信工程學生姓名：學號：指導教師（職稱）：評閱教師：完成日期：南陽理工學院NanyangInstituteofTechnology基于WLAN的校園網(wǎng)的設(shè)計與實施[摘要]隨著科技的發(fā)展，傳統(tǒng)的有線網(wǎng)絡(luò)已不能滿足人們的需要，特別是在校園里，“隨時隨地獲取信息”已成為廣大師生們的新需求。基于WLAN的校園網(wǎng)絡(luò)，它利用的是交換技術(shù)，基于IEEE802.11標準，采用層次化結(jié)構(gòu)，取代舊式的雙絞銅線所構(gòu)成的有線局域網(wǎng)絡(luò)，使得用戶能夠利用其簡單的存取架構(gòu)，信息隨身化、隨時隨地連接網(wǎng)絡(luò)世界。無線局域網(wǎng)彌補有線局域網(wǎng)絡(luò)之不足，以達到網(wǎng)絡(luò)延伸之目的。[關(guān)鍵詞]:WLAN；校園網(wǎng)；拓撲結(jié)構(gòu)；網(wǎng)絡(luò)安全；DisigenandImplemenationofCampusWLANAbstract:Withthedevelopmentofscienceandtechnology,thetraditionalwirednetworkcannotmeettheneedsofpeople,especiallyinthecampus,"anytime,anywhereaccesstoinformation"hasbecomeanewdemandofthebroadmassesofteachersandstudents.BasedontheWLANwirelessnetworkconstructionofcampusnetwork,whichusesradiofrequencytechnology,basedontheIEEE802.11standard,usingtheswitchtechnolge,replacingtheoldtwisted-paircopperwireofwiredlocalareanetwork,enablestheusertouseaccesstoitssimplearchitecture,informationwithyou,anytime,anywheretoconnecttotheInternetworld.Wirelesslocalareanetwork(LAN)makeuptheshortageofwiredlocalareanetwork,inordertoachievethepurposeofextendingthenetwork.Keywords:wirelesslocalareanetwork;campusnetwork;topology;security 目錄97981緒論 網(wǎng)絡(luò)技術(shù)的產(chǎn)生和快速發(fā)展，計算機網(wǎng)絡(luò)的產(chǎn)生和使用為人類信息文明的發(fā)展帶來了革命性的變化。目前，在國外高等教育中很多國家的無線網(wǎng)絡(luò)技術(shù)基礎(chǔ)較好，發(fā)展及應(yīng)用也非?？?，最具典型的是北美和歐洲的一些國家，在這些高校里面，大學生使用筆記本電腦，PDA等便攜式移動設(shè)備的比率是較高的，因而他們的無線局域網(wǎng)工程的應(yīng)用也比較早，然而，我國多數(shù)高校目前在網(wǎng)絡(luò)工程的應(yīng)用方面起步較晚，個別大學雖然已經(jīng)投入了該工程，但是往往局限應(yīng)用在科研方面，這往往是因為有線網(wǎng)絡(luò)的優(yōu)點決定的，但是有線網(wǎng)絡(luò)缺少靈活性，隨著無線標準的成熟化和設(shè)備的普及，以及移動學習的工具和需求的增加，無線校園網(wǎng)因其高度的靈活性和自由性將在今后的教育中起著非常重要的作用。1.3本文研究的內(nèi)容通過對新鄉(xiāng)學院學校校區(qū)的研究和需求調(diào)查，明確了該校的性質(zhì)，任務(wù)和新校園網(wǎng)建設(shè)的需求和條件，確定了建設(shè)無線校園網(wǎng)使用的關(guān)鍵技術(shù)，在網(wǎng)絡(luò)出口利用了防火墻技術(shù)，實現(xiàn)了Internet上用戶與無線校園網(wǎng)內(nèi)部用戶之間的互訪進行了有效的控制，使用NAT地址轉(zhuǎn)換技術(shù)節(jié)約了公網(wǎng)地址的開銷，在核心層和匯聚層采用了路由協(xié)議，實現(xiàn)了路由的快速收斂，在匯聚層采用VRRP技術(shù)，鏈路集合，設(shè)備冗余技術(shù)，匯聚層和接入層采用STP技術(shù)實現(xiàn)了網(wǎng)絡(luò)資源的高可利用性，解決了單點故障問題。在該校用戶應(yīng)用需求分析的基礎(chǔ)上，確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標和學校的主要建筑分布特點，進行系統(tǒng)分析和設(shè)計，進行設(shè)備選型，地址規(guī)劃，然后做出網(wǎng)絡(luò)調(diào)試配置，最后對全網(wǎng)進行網(wǎng)絡(luò)測試，確保滿足該校廣大師生的需求。2校園無線局域網(wǎng)的需求分析新鄉(xiāng)學院有東校區(qū)和西校區(qū)兩個大校區(qū)，總占地面積1126.96畝，校舍總建筑面積36.64萬平方米，教學科研行政用房20.03萬平方米?，F(xiàn)有全日制在校生10000人，設(shè)有15個教學系（部），46個專業(yè)，學校現(xiàn)有專任教師526人，現(xiàn)在西校區(qū)有基礎(chǔ)部，社會科學部，材料工程系，自動控制系，計算機科學與技術(shù)等系部，還有其它機構(gòu)建設(shè)，在這里不再一一列舉。根據(jù)該?，F(xiàn)在的狀況，首先要對學校現(xiàn)狀認真分析，確定學校師生對網(wǎng)絡(luò)的真正需求，在滿足學校需求的同時，并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，為學校師生提供滿意的高質(zhì)量的服務(wù)。2.1校園網(wǎng)的需求分析根據(jù)對學校的調(diào)查與研究，對新鄉(xiāng)學院的需求有了詳細的了解，現(xiàn)根據(jù)學校師生的需求制作表格，如圖2-1所示。表2-1學校需求用戶需求學生確保學生可以正常上網(wǎng)確保網(wǎng)絡(luò)可用性確保上網(wǎng)的安全性上網(wǎng)賬號唯一性數(shù)據(jù)上傳和下載的及時性教師確保正常上網(wǎng)確保網(wǎng)絡(luò)可用性確保上網(wǎng)的安全性數(shù)據(jù)上傳和下載的及時性財務(wù)老師個別主機可以接入外網(wǎng)網(wǎng)絡(luò)可用性網(wǎng)絡(luò)安全性非財務(wù)人員主機接入財務(wù)無效數(shù)據(jù)的及時傳輸性網(wǎng)管老師易于管理管理安全性網(wǎng)絡(luò)流量監(jiān)控分析遠程控制各院系網(wǎng)絡(luò)安全控制，數(shù)據(jù)共享安全需求網(wǎng)絡(luò)訪問控制信息傳輸保護攻擊防護災(zāi)難防備計劃針對上述學校用戶需求，以及學校實際情況采用如下分析方法解決，解決方案如表2-2所示。表2-2需求分析用戶需求需求分析學生確保學生可以正常上網(wǎng)全網(wǎng)實現(xiàn)互聯(lián)，確保連通性確保網(wǎng)絡(luò)可用性網(wǎng)絡(luò)出口采用一臺ASA防火墻，保護內(nèi)部安全，核心層采用一臺6000系列設(shè)備，確保6年之內(nèi)不會出現(xiàn)問題，匯聚層采用兩臺設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)確保了網(wǎng)絡(luò)的可用性確保上網(wǎng)的安全性網(wǎng)絡(luò)出口采用一臺ASA防火墻，對內(nèi)外互訪進行了有效的控制，采用ACL技術(shù)，限制了學生對某些不良網(wǎng)站的訪問上網(wǎng)賬號唯一性采用認證服務(wù)器認證，只有通過認證的用戶才可以上網(wǎng)，沒用通過的禁止上網(wǎng)數(shù)據(jù)上傳和下載的及時性匯聚層采用設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)充分利用了帶寬，保證了大量用戶同時傳輸和下載數(shù)據(jù)的及時性教師確保正常上網(wǎng)全網(wǎng)實現(xiàn)互聯(lián)，確保連通性確保網(wǎng)絡(luò)可用性網(wǎng)絡(luò)出口采用一臺ASA防火墻，保護內(nèi)部安全，核心層采用一臺6000系列設(shè)備，確保6年之內(nèi)不會出現(xiàn)問題，匯聚層采用兩臺設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)確保了網(wǎng)絡(luò)的可用性確保上網(wǎng)的安全性網(wǎng)絡(luò)出口采用一臺ASA防火墻，對內(nèi)外互訪進行了有效的控制，采用ACL技術(shù)，防止了一些攻擊數(shù)據(jù)上傳和下載的及時性匯聚層采用設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)充分利用了帶寬，保證了大量用戶同時傳輸和下載數(shù)據(jù)的及時性財務(wù)老師個別主機可以接入外網(wǎng)為了保護網(wǎng)絡(luò)安全只允許一臺主機接入網(wǎng)絡(luò)，為了跟銀行通信網(wǎng)絡(luò)可用性網(wǎng)絡(luò)出口采用一臺ASA防火墻，保護內(nèi)部安全，核心層采用一臺6000系列設(shè)備，確保6年之內(nèi)不會出現(xiàn)問題，匯聚層采用兩臺設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)確保了網(wǎng)絡(luò)的可用性網(wǎng)絡(luò)安全性外部采用一臺ASA防火墻保護了內(nèi)網(wǎng)的安全，采用ACL禁止外部和內(nèi)部對財務(wù)的訪問，并且財務(wù)的其他主機不允許接入外網(wǎng)，只允許個別主機接入非財務(wù)人員主機接入財務(wù)無效采用MAC地址綁定，只有財務(wù)主機可以接入，并且只允許學習一個MAC地址網(wǎng)管老師數(shù)據(jù)的及時傳輸性匯聚層采用設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)充分利用了帶寬，保證了數(shù)據(jù)上傳到服務(wù)器的及時性易于管理匯聚層配置成服務(wù)器模式，接入層配置成客戶端模式，信息自動同步，方便了管理和信息更新管理安全性鏈路采用認證，啟動設(shè)備自身安全，登陸設(shè)備都需要認證服務(wù)器認證才可以通過，密碼密文顯示，密碼最小長度為10，30秒內(nèi)錯誤3次，1分鐘內(nèi)不允許登錄，但是管理的登錄還是可以的，發(fā)送LOGIN信息給管理員網(wǎng)絡(luò)流量監(jiān)控分析采用端口鏡像進行對流量進行監(jiān)控，用日志服務(wù)器對日志進行實時分析遠程控制配置遠程控制鏈路密碼，進行遠程調(diào)試管理各院系網(wǎng)絡(luò)安全控制，數(shù)據(jù)共享院系直接采用不同的VLAN，防止二層攻擊，通過三層實現(xiàn)不同院系之間通信，達到數(shù)據(jù)共享安全需求網(wǎng)絡(luò)訪問控制出口采用一臺ASA防火墻對內(nèi)外用戶之間的互訪進行了有效控制，采用ACL禁止一些非法訪問信息傳輸保護新老校區(qū)采用VPN保護了數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩院涂捎眯?，防止非法用的竊取和篡改攻擊防護出口采用ASA防火墻保護了外部對內(nèi)部的DOS等攻擊災(zāi)難防備計劃學校采購設(shè)備時預(yù)備一些多余的設(shè)備防止災(zāi)難性情況的發(fā)生，當一些設(shè)備出現(xiàn)故障可以及時更換2.2網(wǎng)絡(luò)拓撲規(guī)劃根據(jù)自己大學所實踐的東西以及上面的需求分析，綜合此項目所要解決需求分析，全局上采用接入層、匯聚層、核心層三層架構(gòu)，層次型網(wǎng)絡(luò)有很多優(yōu)點：(1)易于理解和管理。層次化設(shè)計將平面網(wǎng)絡(luò)分為易于管理的小型模塊，使網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同層次實施不同難度的管理，降低了對專業(yè)技術(shù)人員的要求和管理維護代價、成本。(2)易于擴展和排錯。層次化設(shè)計中，模塊化所具有的特性使得網(wǎng)絡(luò)足夠靈活，在網(wǎng)絡(luò)擴展時可以將網(wǎng)絡(luò)的復雜性限制在具體層次模塊，不會蔓延影響到網(wǎng)絡(luò)中的其它地方，而在平面設(shè)計和網(wǎng)狀設(shè)計中，任何一個節(jié)點的變動都將對網(wǎng)絡(luò)產(chǎn)生很大的影響。又由于層次化設(shè)計使得網(wǎng)絡(luò)拓撲結(jié)構(gòu)清晰簡單，易于理解，網(wǎng)絡(luò)管理員能夠輕易確定網(wǎng)絡(luò)故障范圍，簡化了排錯過程。(3)安全可用性。層次化模型能夠控制廣播過濾不必要的數(shù)據(jù)流，本地數(shù)據(jù)將留在本地，只有前往其他網(wǎng)絡(luò)的數(shù)據(jù)流才進入更高層，每層互不影響保證了安全可用性。且不同于平面網(wǎng)絡(luò)，隨著設(shè)備和應(yīng)用程序的增多，響應(yīng)時間將逐漸，最終導致網(wǎng)絡(luò)不可用。根據(jù)上述需求分析，規(guī)劃出網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如2-2所示。圖2-2網(wǎng)絡(luò)拓撲圖圖中核心層的與網(wǎng)絡(luò)出口防火墻ASA5520用萬兆光纖相連接，采用萬兆是因為核心層主要是負責數(shù)據(jù)的高速轉(zhuǎn)發(fā)，對帶寬速率要求較高。無線控制器旁掛在核心交換機上，匯聚層的設(shè)備采用千兆的光纖與接入層相連接，千兆相比于百兆肯定速度快，這不用細說。我們知道銅線每秒能達到1.54MHZ的速率，光纖網(wǎng)絡(luò)的運行速率達到了每秒2.5GB；從帶寬上看，很大的優(yōu)勢是光纖具有較大的信息容量，這意味著能夠使用尺寸很小的電纜，將來不用更新或增強傳輸光纜中信號；光纖對諸如無線電，電機或其他相鄰電纜的電磁噪聲具有較大的阻抗，使其免受電噪聲的干擾；從長遠維護角度來看，光纜最終的維護成本會非常低，光纖使用的是光脈沖沿光線路傳輸信息，以替代使用電脈沖沿電纜傳輸信息；光纖傳輸具有衰減小、頻帶寬、抗干擾能力強、安全性能高、體積小、重量輕等優(yōu)點，所以在長距離傳輸和特殊環(huán)境等方面具有無法比擬的優(yōu)勢。由于三層構(gòu)架可以將復雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計的網(wǎng)絡(luò)有三個層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。接入層與匯聚層交換機相連采用雙上聯(lián)的連接方式，雙上聯(lián)可以實現(xiàn)流量負載分擔及策略的部署，當其中的一臺鏈路down掉之后，另外一臺鏈路可以使用，接入層和AP之間用的是百兆的雙絞線連接起來,圖中接入層的設(shè)備均為代指，其數(shù)量不是現(xiàn)實的設(shè)備數(shù)量。另外，圖中所示的宿舍的設(shè)備連接的為代指即每一棟的學生宿舍樓的連接方式均為圖中所畫的那樣，在這里僅用這一處做代表說明，其他部分情況類似。2.3IP地址的規(guī)劃隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的迅速普及，IPv4地址數(shù)據(jù)急劇的短缺，地址的數(shù)量已經(jīng)不能滿足用戶的需求，在IPV6技術(shù)還沒有成熟的實施的情況下，合理的規(guī)劃IPv4地址顯得尤為重要，IP地址是網(wǎng)絡(luò)的基礎(chǔ)，合理的IP地址規(guī)劃方案不僅可以減少網(wǎng)絡(luò)負荷，還能為以后網(wǎng)絡(luò)擴展打下良好的基礎(chǔ)。在IP地址設(shè)計和分配時，主要遵循以下幾個原則：自治、有序、可持續(xù)性、可聚合、盡量節(jié)約IPv4地址、閑置IP地址回收利用。新鄉(xiāng)學院無線校園網(wǎng)規(guī)模一般較大，適合使用分層網(wǎng)絡(luò)編址，有效的分層編址結(jié)構(gòu)將核心層有類網(wǎng)絡(luò)地址邏輯性地劃分為分布層和接入層使用的更小子網(wǎng)。采用分層地址結(jié)構(gòu)可以優(yōu)化網(wǎng)絡(luò)性能，保證網(wǎng)絡(luò)安全，簡化網(wǎng)絡(luò)管理和故障排除工作，提升可擴展性和路由性能。要通過子網(wǎng)劃分來創(chuàng)建分層設(shè)計，關(guān)鍵是對子網(wǎng)掩碼的結(jié)構(gòu)有著清晰地了解，在分層網(wǎng)絡(luò)編址中，我們使用變長子網(wǎng)掩碼（VLSM）制定子網(wǎng)劃分方案。VLSM不僅能夠更有效地利用IP地址空間，還可以讓路由器能夠在除分類網(wǎng)絡(luò)邊界外的其他地方匯總路由。在IP編址方案中使用變長子網(wǎng)掩碼（VLSM）時，必須使用支持無類域間路由選擇（CIDR）的路由選擇協(xié)議，這里主要用OSPF。這種協(xié)議在路由選擇更新數(shù)據(jù)包中發(fā)送前綴長度和路由信息，讓路由器無需使用默認掩碼便可確定地址的網(wǎng)絡(luò)部分。如表2-3所示。表2-3網(wǎng)絡(luò)拓撲連接與IP規(guī)劃設(shè)備設(shè)備名稱設(shè)備接口IP地址交換機Core-AG1/3/30G1/4/30G1/5/30Conver-AG1/3/30Conver-BG1/30/30防火墻ASA-AGE0/0/30GE0/1/30GE4/29GE2/29三層交換機Conver-AVLAN10/16VLAN20/16VLAN30/16VLAN40/16VLAN50/16VLAN60/16Conver-BVLAN10/16VLAN20/16VLAN30/16VLAN40/16VLAN50/16VLAN60/16三層交換機Conver-BEth03/30Eth/30無線網(wǎng)絡(luò)WLC5500子網(wǎng)設(shè)備管理IP地址，WLC5500為無線用戶為無線用戶自動分配ip地址，ip范圍為(-55)3校園無線局域網(wǎng)的設(shè)計3.1校園網(wǎng)建設(shè)的原則1.合理利用有限資金。2.統(tǒng)一規(guī)劃，軟硬兼顧，分期實施，明確近期目標。3.技術(shù)先進成熟，總體性能價格比高。4.實用、易用，便于維護、管理。5.保護以往投資，兼容已有系統(tǒng)。6.支持靈活的擴展性和可重組性，考慮未來需求。7.采用開發(fā)產(chǎn)品，遵循國際標準。8.主干系統(tǒng)除遵循上述原則外，必須具有高可靠性、高安全性、高效性及可管理性。9.信息到系，主要建筑間光纜連接，建筑物內(nèi)采用無線覆蓋。系統(tǒng)應(yīng)用以Intranet技術(shù)為優(yōu)。3.2總體設(shè)計的方案建設(shè)高速、穩(wěn)定和安全的網(wǎng)絡(luò)環(huán)境。采用主流的以太網(wǎng)技術(shù)核心，交換機可帶千兆三層交換模塊，二級交換機采用帶擴充槽的快速以太網(wǎng)交換機，可實現(xiàn)三層交換、百兆主干（可升級到千兆）、百兆交換到桌面?？筛鶕?jù)學校的應(yīng)用類型，例如辦公、多媒體課室、課室、網(wǎng)絡(luò)中心等功能劃分VLAN和子網(wǎng)。進行教師隊伍的培訓，包括網(wǎng)絡(luò)知識、相關(guān)硬件使用、多媒體軟件使用、教育資源中心等。通過培訓，逐步使教師從‘使用資源’發(fā)展到‘制作資源’。3.3校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)各層設(shè)計方案3.3.1核心層設(shè)計方案核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層設(shè)計任務(wù)的重點通常是處理數(shù)據(jù)能力強，可靠的和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在核心層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。核心層設(shè)備將占投資的主要部分。在核心層設(shè)計時，一般采用最快速率的鏈路連接技術(shù)，故在路由協(xié)議的選擇上，采用鏈路狀態(tài)的OSPF協(xié)議，核心設(shè)備之間采用三層端口聚合技術(shù)實現(xiàn)冗余，負載分擔作用,這樣規(guī)劃一是能夠有良好的層次感，利于實現(xiàn)較為復雜的網(wǎng)絡(luò)功能要求；二是這樣分層能夠使每層的功能較容易實現(xiàn)也較清楚；三是采用這種分層方式可以支持較大的網(wǎng)絡(luò)規(guī)模便于校園網(wǎng)網(wǎng)絡(luò)的升級擴大，核心層選用6000系列，如圖3-3所示。在設(shè)計核心層結(jié)構(gòu)時，還應(yīng)該充分考慮到以下幾點因素：(1)核心層交換機要有充足的帶寬。(2)必須具有高可靠性。(3)強大的數(shù)據(jù)處理能力。(4)高速的轉(zhuǎn)發(fā)速率。圖3-3核心層網(wǎng)絡(luò)設(shè)計拓撲圖3.3.2匯聚層設(shè)計方案匯聚層的功能主要是連接接入層節(jié)點和核心層中心。匯聚層設(shè)計為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能，用于在各個本地網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)流量，主要完成校園網(wǎng)中辦公樓宇和相關(guān)部門內(nèi)接入交換機的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，它與路由選擇、過濾相關(guān)聯(lián)，必須滿足其他兩層的需求，且能提供足夠大的帶寬。匯聚層設(shè)備一般采用可管理的三層交換機或堆疊式交換機以達到帶寬和傳輸性能的要求。其設(shè)備性能較好，但價格高于接入層設(shè)備，而且對環(huán)境的要求也較高，對電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。為實現(xiàn)接入層的不同VLAN之間的通信，在接口上設(shè)置SVI口，為保證在匯聚層上數(shù)據(jù)的正常的通信，就必須保證在設(shè)備出現(xiàn)問題時能夠正常的工作，在設(shè)備上設(shè)置MSTP防止產(chǎn)生廣播風暴，設(shè)置二層端口聚合提高鏈路可靠性及冗余，設(shè)置VRRP防止匯聚層出現(xiàn)單點故障后導致接入層用戶上網(wǎng)不正常，如圖3-4所示。在設(shè)計匯聚層結(jié)構(gòu)時，還應(yīng)該充分考慮到以下幾點因素：(1)必須具有冗余和流量均衡的功能。(2)能夠?qū)崿F(xiàn)各種安全策略以保證網(wǎng)絡(luò)的安全和數(shù)據(jù)包轉(zhuǎn)發(fā)的合理。(3)配置多層交換機最佳，以方便網(wǎng)絡(luò)的擴展。(4)地址的聚集。(5)安全控制。圖3-4匯聚層網(wǎng)絡(luò)設(shè)計拓撲圖3.3.3接入層設(shè)計方案接入層為用戶提供對本地網(wǎng)段的訪問，它的主要作用是將工作組計算機與匯聚層連接起來，主要完成邏輯網(wǎng)絡(luò)分段，給予工作組或LAN隔離廣播通信以及在多個CPU之間分布服務(wù)，如圖3-5所示。在設(shè)計接入層結(jié)構(gòu)時，還應(yīng)該充分考慮到以下幾點因素：(1)提供不同數(shù)量的100M端口到用戶，提供1000M上行鏈路端口到匯聚層交換機。(2)成本低，所有端口支持全線速二層交換。(3)網(wǎng)絡(luò)設(shè)備擴展性好，可平滑升級。圖3-5接入層網(wǎng)絡(luò)設(shè)計拓撲圖3.3.4網(wǎng)絡(luò)出口的設(shè)計網(wǎng)絡(luò)出口是校園網(wǎng)與外網(wǎng)相連接的樞紐，也是保護校園網(wǎng)的第一道屏障，此外，在一定程度上決定了外網(wǎng)數(shù)據(jù)傳輸?shù)乃俣?。在網(wǎng)絡(luò)出口的設(shè)計上為保證內(nèi)網(wǎng)的私有IP地址能夠轉(zhuǎn)換成公網(wǎng)上的IP地址，就要使用NAT，實現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶能夠訪問外網(wǎng)。此外，為防止外部的網(wǎng)絡(luò)用戶非法的訪問內(nèi)部的一些服務(wù)，在ASA5520上定義相應(yīng)的規(guī)則、禁止訪問某些網(wǎng)址等來保證內(nèi)網(wǎng)的安全；對于網(wǎng)絡(luò)帶寬浪費的問題，應(yīng)設(shè)置相應(yīng)的機制，禁止一些網(wǎng)絡(luò)端口或者服務(wù)。最后在網(wǎng)絡(luò)設(shè)備的選擇上，除了有高速的報文轉(zhuǎn)發(fā)速率和端口之外應(yīng)支持一些軟硬的支持等。圖3-6網(wǎng)絡(luò)出口設(shè)計拓撲圖一般的校園網(wǎng)絡(luò)的出口有兩個，一個連接教育網(wǎng)絡(luò)，一個連接到商業(yè)網(wǎng)絡(luò)上，故在網(wǎng)絡(luò)出口的設(shè)計上，有兩個出口，參考有關(guān)大型校園網(wǎng)絡(luò)出口安全的設(shè)計，結(jié)合實際情況，設(shè)計出網(wǎng)絡(luò)拓撲3-6所示，其中設(shè)備的硬件環(huán)境表3-4所示。表3-4硬件環(huán)境設(shè)備類型設(shè)備型號設(shè)備數(shù)量（臺）防火墻(ASA-A，ASA-B)ASA55201三層交換機(Core-A)CISCO65091二層交換機(SWX)WS-C2960-24-S100三層交換機(Conver-A,Convert-B)WS-C3750X-24S-E2無線交換機(SWN)WS-C2960-24PC-L10無線APCISCOWAP121-E-K930無線控制器(WLC)CISCO55001上面的表格中列出了各種設(shè)備的型號和對應(yīng)型號的使用數(shù)量，該表的設(shè)備全部選自cisco的設(shè)備，在眾多的廠家中為什么會選擇cisco的設(shè)備。首先采購設(shè)備時候，我們第一點考慮的就是價格，思科的核心的設(shè)備一般是比較貴，但是目前在市場中占據(jù)了主流；第二點是性能，我們知道思科設(shè)備特點是可靠性和穩(wěn)定性都是經(jīng)的起市場考驗的，這是其他廠家不能比擬的。思科的技術(shù)在全球都很領(lǐng)先,而且思科設(shè)備所具有的功能非常強大、研發(fā)等是其他廠家不能夠相比的，該廠家的產(chǎn)品線在全球的范圍內(nèi)很齊全；第三點綜合起來就是性價比，我們要根據(jù)網(wǎng)絡(luò)的規(guī)模，尋找到性價比適合的交換機、路由器等設(shè)備。當然還要考慮售后的服務(wù)，設(shè)備的知名程度等因素等等。本設(shè)計根據(jù)實際的情況，綜合上面三點的因素，所以，考慮選用cisco的設(shè)備。由于將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層進行設(shè)計，在整體上一般采用以樹型和星型混合的拓撲結(jié)構(gòu)。在主要通信接點上采用樹型拓撲是為了組網(wǎng)便捷、管理方便，出現(xiàn)故障時可迅速排查，同時在主干通信鏈路上還要考慮冗余鏈路設(shè)計，不僅可以達到負載均衡的目的，還可以保證網(wǎng)絡(luò)的可用性。防火墻選用ASA5520作為與核心交換機連接，三層交換機選用的是CISCO6509，其中無線控制器選用的是cisco5500，該設(shè)備是旁掛上到核心交換機，匯聚層交換機選用的是WS-C2960-24-S這個型號，其中，無線交換機和無線AP分別選用的是WS-C2960-24PC-L和CISCOWAP121-E-K9。4網(wǎng)絡(luò)設(shè)備配置與實現(xiàn)4.1連通性配置在配置之間，先介紹交換機的工作原理，它工作在數(shù)據(jù)鏈路層。交換機擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。交換機的所有的端口都掛接在這條背部總線上，控制電路收到數(shù)據(jù)包以后，處理端口會查找內(nèi)存中的地址對照表以確定目的MAC（網(wǎng)卡的硬件地址）的NIC（網(wǎng)卡）掛接在哪個端口上，通過內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口，目的MAC若不存在，廣播到所有的端口，接收端口回應(yīng)后交換機會“學習”新的地址，并把它添加入內(nèi)部MAC地址表中。使用交換機也可以把網(wǎng)絡(luò)“分段”，通過對照MAC地址表，交換機只允許必要的網(wǎng)絡(luò)流量通過交換機。通過交換機的過濾和轉(zhuǎn)發(fā)，可以有效的減少沖突域，但它不能劃分網(wǎng)絡(luò)層廣播，即廣播域。本章的主要任務(wù)是給網(wǎng)絡(luò)設(shè)備配置相應(yīng)的命令，實現(xiàn)整個網(wǎng)絡(luò)的設(shè)備能夠相互的通信，我主要通過模擬器來實現(xiàn)，而相對這些模擬器來說，我為什么會選擇cisco的模擬器，首先是CISCO的模擬器相對來說做的最成熟，該軟件提供了良好的圖形界面，具有操作方便、交互性強、直觀形象、真實準確等優(yōu)點，非常接近真實環(huán)境，它為網(wǎng)絡(luò)人員設(shè)計、配置網(wǎng)絡(luò)和排除網(wǎng)絡(luò)故障提供了一個良好的平臺。該設(shè)計僅用兩臺終端進行模擬，畫出的拓撲如4-1所示。(1)在匯聚層上劃分VLAN，所用接入層自動學習從匯聚層的VLAN，并將接入層交換機端口劃進相應(yīng)的VLAN，所以需要將Conver-A配置成服務(wù)器模式，接入層交換機配置成客戶端模式，這里僅用匯聚層交換機Conver-A作為實例來配置，接入層用一個交換機代表所有相同配置。Conver-A的VLAN，VTP配置如下：Conver-A(config)#vlan10Conver-A(config-vlan)#namecaiwuConver-A(config-if)#ipaddConver-A(config)#vlan1000Conver-A(config-vlan)#namenativeConver-A(config)#vtpmodeserverConver-A(config)#vtpdomainhnjdConver-A(config)#vtppasswordhnjdCISCOSW1(config)#vtpmodeclientSW1(config)#vtpdomainhnjdSW1(config)#vtppasswordhnjdCISCOSW1(config)#intrangefa0/1–6Conver-A(config-if-range)#swmoaccConver-A(config-if-range)#swaccvlan10圖4-1網(wǎng)絡(luò)拓撲圖(2)上面配置都演示了設(shè)備的幾個不同模式下使用的命令，為了節(jié)約時間不再演示，直接寫腳本。核心層與匯聚層路由協(xié)議的配置即OSPF的配置，設(shè)備之間互傳路由信息，達到互通性，部分鏈路認證安全已經(jīng)配置上去，其它幾個設(shè)備跟Core-A配置一樣，在這里不再配置，這里主要用Core-A作為示例。Core-A的OSPF配置如下：iproutinginterfaceg1/3noswdescriptionTo_Conver-A_g1/3ipadd52ipospfnetworkpoint-to-pointipospf1area0ipospfauthenticatonmessage-digestipospfmessage-digest-key1md5CISCOnoshutinterfaceg1/4descriptionTo_Conver-B_g1/3ipadd52ipospfnetpoint-to-pointipospf1area0ipospfauthenticatonmessage-digestipospfmessage-digest-key1md5CISCOnoshutrouterospf1router-idlog-adjacency-changesauto-costreference-bandwidth1000004.2冗余性配置設(shè)備冗余，配置冗余性不僅當主設(shè)備DOWN掉之后，備份設(shè)備能夠快速的切換成主設(shè)備角色，承擔相應(yīng)的業(yè)務(wù)，保證網(wǎng)絡(luò)的暢通性，而且當主設(shè)備正常時還能實現(xiàn)負載分擔，提高了網(wǎng)絡(luò)的利用率。(1)由于CISCO的模擬器不支持VRRP配置，HSRP與VRRP原理基本一樣，這里用HSRP配置做代替，用Conver-A做示例演示配置。Conver-A的VRRP配置如下：interfacevlan10descriptioncaiwuipaddnoshutvrrp10ipvrrp10preemtvrrp10priority105vrrp10timers13vrrp100priority100vrrp100ipshowvrrpbriefMSTP用來在二層做負載均衡，把不同的幾個VLAN劃進一個生成樹示例，然后根據(jù)業(yè)務(wù)需求，把不同的交換機配置成不同示例的根橋，從而達到負載均衡的目的，提高了網(wǎng)絡(luò)的利用率。這里用Conver-A做MSTP配置示例。Conver-A的MSTP配置如下：spanning-treemodemstpspanning-treemstconfigurationinstance1vlan10，20，30instance2vlan40，50，60nameregion1revision1spanning-treemstp1priority0spanning-treemstp2priority12288由于東區(qū)學生公寓包括E01到E13，所以我劃分了vlan，讓每一個公寓分別屬于不同的子網(wǎng)，每一個公寓都有一個無線交換機，每個樓層都有相對應(yīng)的無線接入點，學生通過調(diào)整自己電腦上的無線設(shè)置，就可以訪問無線網(wǎng)絡(luò)進行漫游了。同時為了數(shù)據(jù)的安全性可慮，我可以相應(yīng)的做一些策略來改變網(wǎng)絡(luò)。下面是對無線AccessPoint0的設(shè)置。Ap#configureterminalAp(config)#hostnamemyap//設(shè)置系統(tǒng)名，默認是apAp#configureterminalAp(config)#interfacebvi1//進入BVI接口配置模式Ap(config-if)#ipaddress240Ap(config-if)#ipaddressdhcpClient-idSpecifyclient-idtouseHostnameSpecifyvalueforhostnameoptionAp(config-if)#ipaddressdhcpAp(config)#intdot11radio0Ap(config-if)#ssidmyAPAp(config-if-ssid)#authenticationopen//設(shè)置認證類型Ap(config)#linevty04（配置telnet/ssh服務(wù)）Ap(config-line)#loginlocalAp(config-line)#end4.3安全性的配置此節(jié)的主要任務(wù)是保證園區(qū)網(wǎng)絡(luò)的安全，杜絕掉一些安全隱患，為了保護東西校區(qū)數(shù)據(jù)在Internet上傳輸?shù)陌踩约翱捎眯裕乐购诳透`取和篡改里面的內(nèi)容采用VPN技術(shù)以及內(nèi)外互訪的控制，保護內(nèi)部網(wǎng)絡(luò)的安全，同時為了保證學校師生能正常上網(wǎng)，節(jié)約學校的開銷，并在ASA上NAT配置。東校區(qū)與西校區(qū)為了保證數(shù)據(jù)在Internet安全性，在ASA-A出口配置上，并做相應(yīng)的NAT配置，配置如下：interfaceGigabitEthernet0/1descriptionTo_Core-Anameifinside-1security-level100ipaddress348standby4noshutinterfaceGigabitEthernet0/2descriptionTo_Core-Bnameifinside-2security-level100ipadd148standby2noshutinterfaceGigabitEthernet0/3descriptionFailover_link_statefulnoshutinterfaceGigabitEthernet0/0descriptionTo_China_Unicomipaddressstandbynameifoutsidesecurity-level0noshutdownfailoverlanunitprimaryfailoverlaninterfacelfoGigabitEthernet0/3failoverinterfaceipifo255.255.255.standbyfailoverlinkinterfacestaGigabitEthernet0/3failoverinterfaceipsta255.255.255.standbyfailoverkeyCISCOfailovernat-controlnat(inside-1)1nat(inside-1)1nat(inside-1)1nat(inside-1)1nat(inside-2)1nat(inside-2)1nat(inside-2)1nat(inside-2)1global(outside)1interfacestatic(inside-1，outside)tcpinterface805480static(inside-1，outside)tcpinterface235423static(inside-2，outside)tcp0access-listoutpermiticmpanyanyaccess-listoutpermittcpanyinterfaceeq80access-listoutpermittcpanyinterfaceeq23access-listoutpermitipanyhostaccess-groupoutininterfaceoutside（2）在二層交換機上的某個端口上做MAC綁定，只允許交換機在此端口學習特定的MAC，當其他的主機接入時端口就會restrict，防止此端口被其他主機再使用，并且只允許此端口在交換機上學習一個MAC地址，這里用接入層交換機做示例配置。二層交換機SW1上的端口安全配置如下：intrangefa0/1-20switchportaccessvlan10switchportmodeaccessswitchportport-securitymaximum1switchportport-securitymaximum1vlanaccessswitchportport-securityswitchportport-securityviolationrestrict（3）三層交換上ACL的配置，拒絕一些網(wǎng)絡(luò)用戶的訪問。Conver-A的ACL配置如下：ipaccex100permittcpany54eqwwwpertcp54eqftpdenyiphostanyhost54intf0/20ipacc100in5網(wǎng)絡(luò)測試當一個項目工程做完以后，測試它的功能是十分重要的，看它是否符合用戶的需求，是否有要完善的地方，實施網(wǎng)絡(luò)測試對工程師來說是很重要的，以下還用CISCO的模擬器PacketTracer來進行模擬。5.1連通性測試連通性的測試就是要測試從終端設(shè)備到網(wǎng)絡(luò)邊界之間是否正常的通信，一般的使用ping命令來測試的，ping命令是最直接的也是最有效的，如果通說明網(wǎng)絡(luò)沒有太大問題，如果ping不通可以通過tracert命令來進行跟蹤進行分段測試，然后一一排查出問題，直到問題的解決，現(xiàn)在從整體來測試，從PC1到出口路由的路徑應(yīng)該是PC1—Conver-A—CoreA然后到出口來測試看全網(wǎng)是否是通的，測試結(jié)果如下。PC>tracertTracingroutetooveramaximumof30hops:163ms62ms62ms293ms78ms94ms3110ms125ms125msTracecomplete.由上測試結(jié)果可以看出，校園網(wǎng)的終端用戶到網(wǎng)絡(luò)出口網(wǎng)絡(luò)是按照預(yù)測的結(jié)果，網(wǎng)絡(luò)是通的可以實現(xiàn)正常的通信。PC0對遠端的PC1的測試，測試路徑應(yīng)該是PC0—Conver-A—Conver-B—PC1，測試結(jié)果如下。PC>tracertTracingroutetooveramaximumof30hops:163ms47ms63ms278ms78ms47ms3141ms141ms157msTracecomplete.由上測試結(jié)果可以看出，PC0到遠端PC1也是通的，跟預(yù)測的結(jié)果是一樣的，可以正常訪問。5.2冗余性測試網(wǎng)絡(luò)冗余性就是當設(shè)備或者鏈路出現(xiàn)問題時，會自動切換的備用設(shè)備，能夠及時的解決問題，不影響網(wǎng)絡(luò)的正常的通信。在驗證冗余性測試的時候，在配置了冗余性的設(shè)備上去掉有關(guān)的線纜和down掉主用設(shè)備，再ping外部網(wǎng)絡(luò)或者服務(wù)器的地址，看是否能夠ping的通，如果ping的通，則說明配置的正確，如果ping不通，則通過show命令來檢查配置是否正確，如果出現(xiàn)問題，通過一步一步的show命令來解決。如果沒有出現(xiàn)問題，則繼續(xù)通過命令來查看，直到找出問題。當Conver-A與Core-A鏈路down時，pingPC0到遠端的路徑應(yīng)該是PC0—Conver-A—Conver-B—CoreA具體的測試結(jié)果如下所示。PC>tracertTracingroutetooveramaximumof30hops:149ms62ms63ms294ms63ms94ms3125ms125ms96ms4141ms157ms143msTracecomplete.由上測試結(jié)果可以看出，當Core-A與Conver-A鏈路down掉之后，網(wǎng)絡(luò)會自動切換到備用鏈路之后又恢復正常，網(wǎng)絡(luò)仍然可以正常工作。當接入層交換機與Conver-A路down之后，PC0自動切換到備用網(wǎng)關(guān)Conver-B，路徑應(yīng)該是PC0—Conver-B—Core-A，測試結(jié)果如下所示。PC>tracertTracingroutetooveramaximumof30hops:162ms62ms62ms293ms78ms94ms3125ms125ms125msTracecomplete.由上測試結(jié)果可以看出，當接入層交換機與Conver-A路down之后，PC0自動切換到備用網(wǎng)關(guān)Conver-B，網(wǎng)絡(luò)仍然可以正常工作。5.3安全性測試通過上面測試，保證全網(wǎng)互通后，我們來進行安全測試。由于模擬器功能有限無法測試ASA安全功能，還有一些無線功能，在這里不再驗證，我們僅用一些代表性的測試來進行安全性的驗證，如果不成功，我們用相應(yīng)的show命令來進行驗證。在設(shè)置ACL規(guī)則之后，首先驗證PC1訪問學校的WWW服務(wù)器，看訪問是否正常。正常情況下是可以訪問的，用PC1來進行訪問驗證測試，測試結(jié)果如圖5-1所示。圖5-1安全性測試圖從上圖可以看出，學校老師學生以及外來用戶訪問學校的WWW服務(wù)器正常的。在設(shè)置ACL規(guī)則之后，驗證其它院系來訪問學校財務(wù)服務(wù)器是否可以正常訪問。為了保護財務(wù)的安全，正常情況下是拒絕訪問學校財務(wù)服務(wù)器的，用PC1訪問財務(wù)服務(wù)器，測試結(jié)果如下圖5-2所示。圖5-2安全性測試圖可以看出，學校內(nèi)部訪問財務(wù)服務(wù)器被拒絕，說明設(shè)置ACL規(guī)則后起作用了，測試成功。用戶必須登錄后才能訪問服務(wù)器，相應(yīng)的驗證用戶登陸的測試結(jié)果如圖5-3所示。用戶登錄設(shè)備必須經(jīng)過認證才可以正常的登錄，如果認證服務(wù)器的數(shù)據(jù)庫中沒有該用戶的用戶名或者密碼之一錯誤，用戶就會認證失敗，只有都正確才能通過認證，就行訪問，并且打開了所有交換機和路由器設(shè)備自身的安全特性，當?shù)顷憰r密碼30秒內(nèi)錯誤3次，1分鐘內(nèi)不允許再登錄，但是管理的登錄還是可以的，發(fā)送LOGIN信息給管理員。正常情況下這些安全功能都是起作用的，用PC1來進行登陸驗證測試，圖5-3設(shè)備登錄安全性測試圖從圖可以看出，測試的結(jié)果跟預(yù)測的一樣，設(shè)備安全性登錄驗證成功，遠程登錄都需要設(shè)置用戶名和密碼，測試成功。6未來研究方向WLAN技術(shù)經(jīng)過幾年的推進和發(fā)展，其標準和產(chǎn)品已經(jīng)逐步成熟，應(yīng)用也日漸廣泛。由計算機設(shè)備供應(yīng)商、通信運營商和專業(yè)服務(wù)提供商在內(nèi)的龐大陣營正積極進軍這一領(lǐng)域，無線局域網(wǎng)的熱潮正在沖擊全球的市場?，F(xiàn)階段，國際上的一些大型通信公司，如Intel、IBM、Cisco等公司都投入數(shù)億美元乃至更多的資金來進行WLAN產(chǎn)品和設(shè)備的研究，也推出了很多成熟的WLAN產(chǎn)品和設(shè)備。無線網(wǎng)絡(luò)新的意義將主要體現(xiàn)在企業(yè)市場中，這也是以往限制WLAN發(fā)展的一個重要方面。如上所述。WLAN研究的技術(shù)方興未艾，是目前無線通信領(lǐng)域乃至整個行業(yè)的熱點，從無線局域網(wǎng)進一步的推廣來看，未來的研究方向主要集中在安全性，移動漫游，網(wǎng)絡(luò)管理以及與3G等其他移動通信系統(tǒng)之間的關(guān)系上。6.1安全性問題IEEE802.11協(xié)議標準建議使用2種安全解決方案，一種IEEE802.11安全任務(wù)組（TGI）構(gòu)建的安全框架RSN，這種網(wǎng)絡(luò)提供用802.11x提供基于端口的接入控制、鑒權(quán)和密鑰管理。用EAP實現(xiàn)對用戶的鑒權(quán)，由于802.11x是針對有線網(wǎng)絡(luò)設(shè)計的，在無線局域網(wǎng)使用中會有漏洞，所以，盡管它對WLAN的安全性能有一定的改善，802.1x和802.11的結(jié)合也不能提供一定的安全。另一種方式是目前廣泛應(yīng)用與局域網(wǎng)絡(luò)及遠程接入等領(lǐng)域的虛擬專用網(wǎng)（VPN）安全技術(shù)，與802.11b標準所采用的技術(shù)不同，在IP網(wǎng)絡(luò)中，VPN主要采用IPsec技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩裕瑢τ诎踩砸蟾叩挠脩?，?02.11b與現(xiàn)有的VPN技術(shù)結(jié)合起來，是目前較為理想的WLAN安全解決方案。無線網(wǎng)絡(luò)安全并不是一個獨立的問題，企業(yè)需要認識到應(yīng)該在幾條戰(zhàn)線上對付攻擊者，但有許多威脅是無線網(wǎng)絡(luò)所獨有的，要想解決這些問題，可以通過以下方法來解決。（1）采用強力的密碼。正如我在文中所指出，一個足夠強大的密碼可以讓暴力破解成為不可能實現(xiàn)的情況。相反的，如果密碼強度不夠，幾乎可以肯定會讓你的系統(tǒng)受到損害。（2）嚴禁廣播服務(wù)集合標識符(SSID)。如果不能對服務(wù)集合標識符也就是你給無線網(wǎng)絡(luò)的命名進行保護的話，會帶來嚴重的安全隱患。對無線路由器進行配置，禁止服務(wù)集合標識符的廣播，盡管不能帶來真正的安全，但至少可以減輕受到的威脅，因為很多初級的惡意攻擊都是采用掃描的方式尋找那些有漏洞的系統(tǒng)。隱藏了服務(wù)集合標識符，這種可能就大大降低了。大多數(shù)商業(yè)級路由器/防火墻設(shè)備都提供相關(guān)的功能設(shè)置。（3）采用有效的無線加密方式。動態(tài)有線等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一樣免費工具，就可以在短短的幾分鐘里找出動態(tài)有線等效保密模式加密過的無線網(wǎng)絡(luò)中的漏洞。無線網(wǎng)絡(luò)保護訪問(WPA)是通用的加密標準，你很可能已經(jīng)使用了。當然，如果有可能的話，你應(yīng)該選擇使用一些更強大有效的方式。畢竟，加密和解密的斗爭是無時無刻不在進行的。（4）可能的話，采用不同類型的加密。不要僅僅依靠無線加密手段來保證無線網(wǎng)絡(luò)的整體安全。不同類型的加密可以在系統(tǒng)層面上提高安全的可靠性。舉例來說，OpenSSH就是一個不錯的選擇，可以為在同一網(wǎng)絡(luò)內(nèi)的系統(tǒng)提供安全通訊，即使需要經(jīng)過因特網(wǎng)也沒有問題。采用加密技術(shù)來保護無線網(wǎng)絡(luò)中的所有通訊數(shù)據(jù)不被竊取是非常重要的，就象采用了SSL加密技術(shù)的電子商務(wù)網(wǎng)站一樣。實際上，如果沒有確實必要的話，盡量不要更換加密方式。（5）對介質(zhì)訪問控制(MAC)地址進行控制。很多人會告訴你，介質(zhì)訪問控制(MAC)地址的限制不會提供真正的保護。但是，象隱藏無線網(wǎng)絡(luò)的服務(wù)集合標識符、限制介質(zhì)訪問控制(MAC)地址對網(wǎng)絡(luò)的訪問，是可以確保網(wǎng)絡(luò)不會被初級的惡意攻擊者騷擾的。對于整個系統(tǒng)來說，針對從專家到新手的各種攻擊進行全面防護，以保證系統(tǒng)安全的無懈可擊是非常重要的。（6）在網(wǎng)絡(luò)不使用的時間，將其關(guān)閉。這個建議的采用與否，取決于網(wǎng)絡(luò)的具體情況。如果你并不是需要一天二十四小時每周七天都使用網(wǎng)絡(luò)，那就可以采用這個措施。畢竟，在網(wǎng)絡(luò)關(guān)閉的時間，安全性是最高的，沒人能夠連接不存在的網(wǎng)絡(luò)。6.2漫游切換問題無線局域網(wǎng)的漫游問題是繼安全問題之后的另一個至關(guān)重要的問題，如果一邊使用無線局域網(wǎng)接入服務(wù)，一邊移動接入的位置，如果終端超過子網(wǎng)覆蓋的范圍，IP數(shù)據(jù)包將無法到達終端位置，正在進行的通信將會中斷，為此，IETF制定了擴展IP移動性的系列標準，所謂移動IP，就是指在IP網(wǎng)絡(luò)上的多個子網(wǎng)內(nèi)均可使用同一IP技術(shù)，通過使用本地代理和外地代理的特殊路由器對網(wǎng)絡(luò)終端進行管理，不管咋樣在移動的過程中TCP連接都不會中斷，而且移動IP技術(shù)可以突破網(wǎng)絡(luò)地域限制，并可以克服在跨網(wǎng)段時使用動態(tài)主機配置協(xié)議（DHCP）方式所造成的通信中斷，極限變化等問題。6.3無線網(wǎng)絡(luò)管理問題相對于有線網(wǎng)絡(luò)，無線局域網(wǎng)絡(luò)確實具有非常獨特的特性，因此，必須建立完善的管理系統(tǒng)，除了系統(tǒng)結(jié)構(gòu)，用戶需求和典型應(yīng)用等模塊之外，一個好的無線管理系統(tǒng)還必須考慮以下因素：網(wǎng)絡(luò)監(jiān)視和報告。主機必須能