基于WLAN的校園網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)

基于WLAN的校園網(wǎng)的設(shè)計(jì)與實(shí)施基于WLAN的校園網(wǎng)的設(shè)計(jì)與實(shí)施基于WLAN的校園網(wǎng)的設(shè)計(jì)與實(shí)施 南陽(yáng)理工學(xué)院本科畢業(yè)設(shè)計(jì)（論文）基于WLAN的校園網(wǎng)的設(shè)計(jì)與實(shí)施DesignandImplementationofCampusWLAN學(xué)院（系）：計(jì)算機(jī)與信息工程學(xué)院專(zhuān)業(yè)：通信工程學(xué)生姓名：學(xué)號(hào)：指導(dǎo)教師（職稱(chēng)）：評(píng)閱教師：完成日期：南陽(yáng)理工學(xué)院NanyangInstituteofTechnology基于WLAN的校園網(wǎng)的設(shè)計(jì)與實(shí)施[摘要]隨著科技的發(fā)展，傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)已不能滿(mǎn)足人們的需要，特別是在校園里，“隨時(shí)隨地獲取信息”已成為廣大師生們的新需求?；赪LAN的校園網(wǎng)絡(luò)，它利用的是交換技術(shù)，基于IEEE802.11標(biāo)準(zhǔn)，采用層次化結(jié)構(gòu)，取代舊式的雙絞銅線(xiàn)所構(gòu)成的有線(xiàn)局域網(wǎng)絡(luò)，使得用戶(hù)能夠利用其簡(jiǎn)單的存取架構(gòu)，信息隨身化、隨時(shí)隨地連接網(wǎng)絡(luò)世界。無(wú)線(xiàn)局域網(wǎng)彌補(bǔ)有線(xiàn)局域網(wǎng)絡(luò)之不足，以達(dá)到網(wǎng)絡(luò)延伸之目的。[關(guān)鍵詞]:WLAN；校園網(wǎng)；拓?fù)浣Y(jié)構(gòu)；網(wǎng)絡(luò)安全；DisigenandImplemenationofCampusWLANAbstract:Withthedevelopmentofscienceandtechnology,thetraditionalwirednetworkcannotmeettheneedsofpeople,especiallyinthecampus,"anytime,anywhereaccesstoinformation"hasbecomeanewdemandofthebroadmassesofteachersandstudents.BasedontheWLANwirelessnetworkconstructionofcampusnetwork,whichusesradiofrequencytechnology,basedontheIEEE802.11standard,usingtheswitchtechnolge,replacingtheoldtwisted-paircopperwireofwiredlocalareanetwork,enablestheusertouseaccesstoitssimplearchitecture,informationwithyou,anytime,anywheretoconnecttotheInternetworld.Wirelesslocalareanetwork(LAN)makeuptheshortageofwiredlocalareanetwork,inordertoachievethepurposeofextendingthenetwork.Keywords:wirelesslocalareanetwork;campusnetwork;topology;security 目錄97981緒論 網(wǎng)絡(luò)技術(shù)的產(chǎn)生和快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和使用為人類(lèi)信息文明的發(fā)展帶來(lái)了革命性的變化。目前，在國(guó)外高等教育中很多國(guó)家的無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)基礎(chǔ)較好，發(fā)展及應(yīng)用也非?？欤罹叩湫偷氖潜泵篮蜌W洲的一些國(guó)家，在這些高校里面，大學(xué)生使用筆記本電腦，PDA等便攜式移動(dòng)設(shè)備的比率是較高的，因而他們的無(wú)線(xiàn)局域網(wǎng)工程的應(yīng)用也比較早，然而，我國(guó)多數(shù)高校目前在網(wǎng)絡(luò)工程的應(yīng)用方面起步較晚，個(gè)別大學(xué)雖然已經(jīng)投入了該工程，但是往往局限應(yīng)用在科研方面，這往往是因?yàn)橛芯€(xiàn)網(wǎng)絡(luò)的優(yōu)點(diǎn)決定的，但是有線(xiàn)網(wǎng)絡(luò)缺少靈活性，隨著無(wú)線(xiàn)標(biāo)準(zhǔn)的成熟化和設(shè)備的普及，以及移動(dòng)學(xué)習(xí)的工具和需求的增加，無(wú)線(xiàn)校園網(wǎng)因其高度的靈活性和自由性將在今后的教育中起著非常重要的作用。1.3本文研究的內(nèi)容通過(guò)對(duì)新鄉(xiāng)學(xué)院學(xué)校校區(qū)的研究和需求調(diào)查，明確了該校的性質(zhì)，任務(wù)和新校園網(wǎng)建設(shè)的需求和條件，確定了建設(shè)無(wú)線(xiàn)校園網(wǎng)使用的關(guān)鍵技術(shù)，在網(wǎng)絡(luò)出口利用了防火墻技術(shù)，實(shí)現(xiàn)了Internet上用戶(hù)與無(wú)線(xiàn)校園網(wǎng)內(nèi)部用戶(hù)之間的互訪進(jìn)行了有效的控制，使用NAT地址轉(zhuǎn)換技術(shù)節(jié)約了公網(wǎng)地址的開(kāi)銷(xiāo)，在核心層和匯聚層采用了路由協(xié)議，實(shí)現(xiàn)了路由的快速收斂，在匯聚層采用VRRP技術(shù)，鏈路集合，設(shè)備冗余技術(shù)，匯聚層和接入層采用STP技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)資源的高可利用性，解決了單點(diǎn)故障問(wèn)題。在該校用戶(hù)應(yīng)用需求分析的基礎(chǔ)上，確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校的主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)，進(jìn)行設(shè)備選型，地址規(guī)劃，然后做出網(wǎng)絡(luò)調(diào)試配置，最后對(duì)全網(wǎng)進(jìn)行網(wǎng)絡(luò)測(cè)試，確保滿(mǎn)足該校廣大師生的需求。2校園無(wú)線(xiàn)局域網(wǎng)的需求分析新鄉(xiāng)學(xué)院有東校區(qū)和西校區(qū)兩個(gè)大校區(qū)，總占地面積1126.96畝，校舍總建筑面積36.64萬(wàn)平方米，教學(xué)科研行政用房20.03萬(wàn)平方米。現(xiàn)有全日制在校生10000人，設(shè)有15個(gè)教學(xué)系（部），46個(gè)專(zhuān)業(yè)，學(xué)?，F(xiàn)有專(zhuān)任教師526人，現(xiàn)在西校區(qū)有基礎(chǔ)部，社會(huì)科學(xué)部，材料工程系，自動(dòng)控制系，計(jì)算機(jī)科學(xué)與技術(shù)等系部，還有其它機(jī)構(gòu)建設(shè)，在這里不再一一列舉。根據(jù)該?，F(xiàn)在的狀況，首先要對(duì)學(xué)?，F(xiàn)狀認(rèn)真分析，確定學(xué)校師生對(duì)網(wǎng)絡(luò)的真正需求，在滿(mǎn)足學(xué)校需求的同時(shí)，并在結(jié)合未來(lái)可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計(jì)合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，為學(xué)校師生提供滿(mǎn)意的高質(zhì)量的服務(wù)。2.1校園網(wǎng)的需求分析根據(jù)對(duì)學(xué)校的調(diào)查與研究，對(duì)新鄉(xiāng)學(xué)院的需求有了詳細(xì)的了解，現(xiàn)根據(jù)學(xué)校師生的需求制作表格，如圖2-1所示。表2-1學(xué)校需求用戶(hù)需求學(xué)生確保學(xué)生可以正常上網(wǎng)確保網(wǎng)絡(luò)可用性確保上網(wǎng)的安全性上網(wǎng)賬號(hào)唯一性數(shù)據(jù)上傳和下載的及時(shí)性教師確保正常上網(wǎng)確保網(wǎng)絡(luò)可用性確保上網(wǎng)的安全性數(shù)據(jù)上傳和下載的及時(shí)性財(cái)務(wù)老師個(gè)別主機(jī)可以接入外網(wǎng)網(wǎng)絡(luò)可用性網(wǎng)絡(luò)安全性非財(cái)務(wù)人員主機(jī)接入財(cái)務(wù)無(wú)效數(shù)據(jù)的及時(shí)傳輸性網(wǎng)管老師易于管理管理安全性網(wǎng)絡(luò)流量監(jiān)控分析遠(yuǎn)程控制各院系網(wǎng)絡(luò)安全控制，數(shù)據(jù)共享安全需求網(wǎng)絡(luò)訪問(wèn)控制信息傳輸保護(hù)攻擊防護(hù)災(zāi)難防備計(jì)劃針對(duì)上述學(xué)校用戶(hù)需求，以及學(xué)校實(shí)際情況采用如下分析方法解決，解決方案如表2-2所示。表2-2需求分析用戶(hù)需求需求分析學(xué)生確保學(xué)生可以正常上網(wǎng)全網(wǎng)實(shí)現(xiàn)互聯(lián)，確保連通性確保網(wǎng)絡(luò)可用性網(wǎng)絡(luò)出口采用一臺(tái)ASA防火墻，保護(hù)內(nèi)部安全，核心層采用一臺(tái)6000系列設(shè)備，確保6年之內(nèi)不會(huì)出現(xiàn)問(wèn)題，匯聚層采用兩臺(tái)設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)確保了網(wǎng)絡(luò)的可用性確保上網(wǎng)的安全性網(wǎng)絡(luò)出口采用一臺(tái)ASA防火墻，對(duì)內(nèi)外互訪進(jìn)行了有效的控制，采用ACL技術(shù)，限制了學(xué)生對(duì)某些不良網(wǎng)站的訪問(wèn)上網(wǎng)賬號(hào)唯一性采用認(rèn)證服務(wù)器認(rèn)證，只有通過(guò)認(rèn)證的用戶(hù)才可以上網(wǎng)，沒(méi)用通過(guò)的禁止上網(wǎng)數(shù)據(jù)上傳和下載的及時(shí)性匯聚層采用設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)充分利用了帶寬，保證了大量用戶(hù)同時(shí)傳輸和下載數(shù)據(jù)的及時(shí)性教師確保正常上網(wǎng)全網(wǎng)實(shí)現(xiàn)互聯(lián)，確保連通性確保網(wǎng)絡(luò)可用性網(wǎng)絡(luò)出口采用一臺(tái)ASA防火墻，保護(hù)內(nèi)部安全，核心層采用一臺(tái)6000系列設(shè)備，確保6年之內(nèi)不會(huì)出現(xiàn)問(wèn)題，匯聚層采用兩臺(tái)設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)確保了網(wǎng)絡(luò)的可用性確保上網(wǎng)的安全性網(wǎng)絡(luò)出口采用一臺(tái)ASA防火墻，對(duì)內(nèi)外互訪進(jìn)行了有效的控制，采用ACL技術(shù)，防止了一些攻擊數(shù)據(jù)上傳和下載的及時(shí)性匯聚層采用設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)充分利用了帶寬，保證了大量用戶(hù)同時(shí)傳輸和下載數(shù)據(jù)的及時(shí)性財(cái)務(wù)老師個(gè)別主機(jī)可以接入外網(wǎng)為了保護(hù)網(wǎng)絡(luò)安全只允許一臺(tái)主機(jī)接入網(wǎng)絡(luò)，為了跟銀行通信網(wǎng)絡(luò)可用性網(wǎng)絡(luò)出口采用一臺(tái)ASA防火墻，保護(hù)內(nèi)部安全，核心層采用一臺(tái)6000系列設(shè)備，確保6年之內(nèi)不會(huì)出現(xiàn)問(wèn)題，匯聚層采用兩臺(tái)設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)確保了網(wǎng)絡(luò)的可用性網(wǎng)絡(luò)安全性外部采用一臺(tái)ASA防火墻保護(hù)了內(nèi)網(wǎng)的安全，采用ACL禁止外部和內(nèi)部對(duì)財(cái)務(wù)的訪問(wèn)，并且財(cái)務(wù)的其他主機(jī)不允許接入外網(wǎng)，只允許個(gè)別主機(jī)接入非財(cái)務(wù)人員主機(jī)接入財(cái)務(wù)無(wú)效采用MAC地址綁定，只有財(cái)務(wù)主機(jī)可以接入，并且只允許學(xué)習(xí)一個(gè)MAC地址網(wǎng)管老師數(shù)據(jù)的及時(shí)傳輸性匯聚層采用設(shè)備冗余，鏈路聚合，接入層采用雙上聯(lián)充分利用了帶寬，保證了數(shù)據(jù)上傳到服務(wù)器的及時(shí)性易于管理匯聚層配置成服務(wù)器模式，接入層配置成客戶(hù)端模式，信息自動(dòng)同步，方便了管理和信息更新管理安全性鏈路采用認(rèn)證，啟動(dòng)設(shè)備自身安全，登陸設(shè)備都需要認(rèn)證服務(wù)器認(rèn)證才可以通過(guò)，密碼密文顯示，密碼最小長(zhǎng)度為10，30秒內(nèi)錯(cuò)誤3次，1分鐘內(nèi)不允許登錄，但是管理的登錄還是可以的，發(fā)送LOGIN信息給管理員網(wǎng)絡(luò)流量監(jiān)控分析采用端口鏡像進(jìn)行對(duì)流量進(jìn)行監(jiān)控，用日志服務(wù)器對(duì)日志進(jìn)行實(shí)時(shí)分析遠(yuǎn)程控制配置遠(yuǎn)程控制鏈路密碼，進(jìn)行遠(yuǎn)程調(diào)試管理各院系網(wǎng)絡(luò)安全控制，數(shù)據(jù)共享院系直接采用不同的VLAN，防止二層攻擊，通過(guò)三層實(shí)現(xiàn)不同院系之間通信，達(dá)到數(shù)據(jù)共享安全需求網(wǎng)絡(luò)訪問(wèn)控制出口采用一臺(tái)ASA防火墻對(duì)內(nèi)外用戶(hù)之間的互訪進(jìn)行了有效控制，采用ACL禁止一些非法訪問(wèn)信息傳輸保護(hù)新老校區(qū)采用VPN保護(hù)了數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩院涂捎眯?，防止非法用的竊取和篡改攻擊防護(hù)出口采用ASA防火墻保護(hù)了外部對(duì)內(nèi)部的DOS等攻擊災(zāi)難防備計(jì)劃學(xué)校采購(gòu)設(shè)備時(shí)預(yù)備一些多余的設(shè)備防止災(zāi)難性情況的發(fā)生，當(dāng)一些設(shè)備出現(xiàn)故障可以及時(shí)更換2.2網(wǎng)絡(luò)拓?fù)湟?guī)劃根據(jù)自己大學(xué)所實(shí)踐的東西以及上面的需求分析，綜合此項(xiàng)目所要解決需求分析，全局上采用接入層、匯聚層、核心層三層架構(gòu)，層次型網(wǎng)絡(luò)有很多優(yōu)點(diǎn)：(1)易于理解和管理。層次化設(shè)計(jì)將平面網(wǎng)絡(luò)分為易于管理的小型模塊，使網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同層次實(shí)施不同難度的管理，降低了對(duì)專(zhuān)業(yè)技術(shù)人員的要求和管理維護(hù)代價(jià)、成本。(2)易于擴(kuò)展和排錯(cuò)。層次化設(shè)計(jì)中，模塊化所具有的特性使得網(wǎng)絡(luò)足夠靈活，在網(wǎng)絡(luò)擴(kuò)展時(shí)可以將網(wǎng)絡(luò)的復(fù)雜性限制在具體層次模塊，不會(huì)蔓延影響到網(wǎng)絡(luò)中的其它地方，而在平面設(shè)計(jì)和網(wǎng)狀設(shè)計(jì)中，任何一個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)網(wǎng)絡(luò)產(chǎn)生很大的影響。又由于層次化設(shè)計(jì)使得網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)清晰簡(jiǎn)單，易于理解，網(wǎng)絡(luò)管理員能夠輕易確定網(wǎng)絡(luò)故障范圍，簡(jiǎn)化了排錯(cuò)過(guò)程。(3)安全可用性。層次化模型能夠控制廣播過(guò)濾不必要的數(shù)據(jù)流，本地?cái)?shù)據(jù)將留在本地，只有前往其他網(wǎng)絡(luò)的數(shù)據(jù)流才進(jìn)入更高層，每層互不影響保證了安全可用性。且不同于平面網(wǎng)絡(luò)，隨著設(shè)備和應(yīng)用程序的增多，響應(yīng)時(shí)間將逐漸，最終導(dǎo)致網(wǎng)絡(luò)不可用。根據(jù)上述需求分析，規(guī)劃出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如2-2所示。圖2-2網(wǎng)絡(luò)拓?fù)鋱D圖中核心層的與網(wǎng)絡(luò)出口防火墻ASA5520用萬(wàn)兆光纖相連接，采用萬(wàn)兆是因?yàn)楹诵膶又饕秦?fù)責(zé)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，對(duì)帶寬速率要求較高。無(wú)線(xiàn)控制器旁?huà)煸诤诵慕粨Q機(jī)上，匯聚層的設(shè)備采用千兆的光纖與接入層相連接，千兆相比于百兆肯定速度快，這不用細(xì)說(shuō)。我們知道銅線(xiàn)每秒能達(dá)到1.54MHZ的速率，光纖網(wǎng)絡(luò)的運(yùn)行速率達(dá)到了每秒2.5GB；從帶寬上看，很大的優(yōu)勢(shì)是光纖具有較大的信息容量，這意味著能夠使用尺寸很小的電纜，將來(lái)不用更新或增強(qiáng)傳輸光纜中信號(hào)；光纖對(duì)諸如無(wú)線(xiàn)電，電機(jī)或其他相鄰電纜的電磁噪聲具有較大的阻抗，使其免受電噪聲的干擾；從長(zhǎng)遠(yuǎn)維護(hù)角度來(lái)看，光纜最終的維護(hù)成本會(huì)非常低，光纖使用的是光脈沖沿光線(xiàn)路傳輸信息，以替代使用電脈沖沿電纜傳輸信息；光纖傳輸具有衰減小、頻帶寬、抗干擾能力強(qiáng)、安全性能高、體積小、重量輕等優(yōu)點(diǎn)，所以在長(zhǎng)距離傳輸和特殊環(huán)境等方面具有無(wú)法比擬的優(yōu)勢(shì)。由于三層構(gòu)架可以將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問(wèn)題變成許多簡(jiǎn)單的小問(wèn)題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)有三個(gè)層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。接入層與匯聚層交換機(jī)相連采用雙上聯(lián)的連接方式，雙上聯(lián)可以實(shí)現(xiàn)流量負(fù)載分擔(dān)及策略的部署，當(dāng)其中的一臺(tái)鏈路down掉之后，另外一臺(tái)鏈路可以使用，接入層和AP之間用的是百兆的雙絞線(xiàn)連接起來(lái),圖中接入層的設(shè)備均為代指，其數(shù)量不是現(xiàn)實(shí)的設(shè)備數(shù)量。另外，圖中所示的宿舍的設(shè)備連接的為代指即每一棟的學(xué)生宿舍樓的連接方式均為圖中所畫(huà)的那樣，在這里僅用這一處做代表說(shuō)明，其他部分情況類(lèi)似。2.3IP地址的規(guī)劃隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的迅速普及，IPv4地址數(shù)據(jù)急劇的短缺，地址的數(shù)量已經(jīng)不能滿(mǎn)足用戶(hù)的需求，在IPV6技術(shù)還沒(méi)有成熟的實(shí)施的情況下，合理的規(guī)劃IPv4地址顯得尤為重要，IP地址是網(wǎng)絡(luò)的基礎(chǔ)，合理的IP地址規(guī)劃方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。在IP地址設(shè)計(jì)和分配時(shí)，主要遵循以下幾個(gè)原則：自治、有序、可持續(xù)性、可聚合、盡量節(jié)約IPv4地址、閑置IP地址回收利用。新鄉(xiāng)學(xué)院無(wú)線(xiàn)校園網(wǎng)規(guī)模一般較大，適合使用分層網(wǎng)絡(luò)編址，有效的分層編址結(jié)構(gòu)將核心層有類(lèi)網(wǎng)絡(luò)地址邏輯性地劃分為分布層和接入層使用的更小子網(wǎng)。采用分層地址結(jié)構(gòu)可以?xún)?yōu)化網(wǎng)絡(luò)性能，保證網(wǎng)絡(luò)安全，簡(jiǎn)化網(wǎng)絡(luò)管理和故障排除工作，提升可擴(kuò)展性和路由性能。要通過(guò)子網(wǎng)劃分來(lái)創(chuàng)建分層設(shè)計(jì)，關(guān)鍵是對(duì)子網(wǎng)掩碼的結(jié)構(gòu)有著清晰地了解，在分層網(wǎng)絡(luò)編址中，我們使用變長(zhǎng)子網(wǎng)掩碼（VLSM）制定子網(wǎng)劃分方案。VLSM不僅能夠更有效地利用IP地址空間，還可以讓路由器能夠在除分類(lèi)網(wǎng)絡(luò)邊界外的其他地方匯總路由。在IP編址方案中使用變長(zhǎng)子網(wǎng)掩碼（VLSM）時(shí)，必須使用支持無(wú)類(lèi)域間路由選擇（CIDR）的路由選擇協(xié)議，這里主要用OSPF。這種協(xié)議在路由選擇更新數(shù)據(jù)包中發(fā)送前綴長(zhǎng)度和路由信息，讓路由器無(wú)需使用默認(rèn)掩碼便可確定地址的網(wǎng)絡(luò)部分。如表2-3所示。表2-3網(wǎng)絡(luò)拓?fù)溥B接與IP規(guī)劃設(shè)備設(shè)備名稱(chēng)設(shè)備接口IP地址交換機(jī)Core-AG1/3/30G1/4/30G1/5/30Conver-AG1/3/30Conver-BG1/30/30防火墻ASA-AGE0/0/30GE0/1/30GE4/29GE2/29三層交換機(jī)Conver-AVLAN10/16VLAN20/16VLAN30/16VLAN40/16VLAN50/16VLAN60/16Conver-BVLAN10/16VLAN20/16VLAN30/16VLAN40/16VLAN50/16VLAN60/16三層交換機(jī)Conver-BEth03/30Eth/30無(wú)線(xiàn)網(wǎng)絡(luò)WLC5500子網(wǎng)設(shè)備管理IP地址，WLC5500為無(wú)線(xiàn)用戶(hù)為無(wú)線(xiàn)用戶(hù)自動(dòng)分配ip地址，ip范圍為(-55)3校園無(wú)線(xiàn)局域網(wǎng)的設(shè)計(jì)3.1校園網(wǎng)建設(shè)的原則1.合理利用有限資金。2.統(tǒng)一規(guī)劃，軟硬兼顧，分期實(shí)施，明確近期目標(biāo)。3.技術(shù)先進(jìn)成熟，總體性能價(jià)格比高。4.實(shí)用、易用，便于維護(hù)、管理。5.保護(hù)以往投資，兼容已有系統(tǒng)。6.支持靈活的擴(kuò)展性和可重組性，考慮未來(lái)需求。7.采用開(kāi)發(fā)產(chǎn)品，遵循國(guó)際標(biāo)準(zhǔn)。8.主干系統(tǒng)除遵循上述原則外，必須具有高可靠性、高安全性、高效性及可管理性。9.信息到系，主要建筑間光纜連接，建筑物內(nèi)采用無(wú)線(xiàn)覆蓋。系統(tǒng)應(yīng)用以Intranet技術(shù)為優(yōu)。3.2總體設(shè)計(jì)的方案建設(shè)高速、穩(wěn)定和安全的網(wǎng)絡(luò)環(huán)境。采用主流的以太網(wǎng)技術(shù)核心，交換機(jī)可帶千兆三層交換模塊，二級(jí)交換機(jī)采用帶擴(kuò)充槽的快速以太網(wǎng)交換機(jī)，可實(shí)現(xiàn)三層交換、百兆主干（可升級(jí)到千兆）、百兆交換到桌面?？筛鶕?jù)學(xué)校的應(yīng)用類(lèi)型，例如辦公、多媒體課室、課室、網(wǎng)絡(luò)中心等功能劃分VLAN和子網(wǎng)。進(jìn)行教師隊(duì)伍的培訓(xùn)，包括網(wǎng)絡(luò)知識(shí)、相關(guān)硬件使用、多媒體軟件使用、教育資源中心等。通過(guò)培訓(xùn)，逐步使教師從‘使用資源’發(fā)展到‘制作資源’。3.3校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)各層設(shè)計(jì)方案3.3.1核心層設(shè)計(jì)方案核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層設(shè)計(jì)任務(wù)的重點(diǎn)通常是處理數(shù)據(jù)能力強(qiáng)，可靠的和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在核心層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。在核心層設(shè)計(jì)時(shí)，一般采用最快速率的鏈路連接技術(shù)，故在路由協(xié)議的選擇上，采用鏈路狀態(tài)的OSPF協(xié)議，核心設(shè)備之間采用三層端口聚合技術(shù)實(shí)現(xiàn)冗余，負(fù)載分擔(dān)作用,這樣規(guī)劃一是能夠有良好的層次感，利于實(shí)現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能要求；二是這樣分層能夠使每層的功能較容易實(shí)現(xiàn)也較清楚；三是采用這種分層方式可以支持較大的網(wǎng)絡(luò)規(guī)模便于校園網(wǎng)網(wǎng)絡(luò)的升級(jí)擴(kuò)大，核心層選用6000系列，如圖3-3所示。在設(shè)計(jì)核心層結(jié)構(gòu)時(shí)，還應(yīng)該充分考慮到以下幾點(diǎn)因素：(1)核心層交換機(jī)要有充足的帶寬。(2)必須具有高可靠性。(3)強(qiáng)大的數(shù)據(jù)處理能力。(4)高速的轉(zhuǎn)發(fā)速率。圖3-3核心層網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D3.3.2匯聚層設(shè)計(jì)方案匯聚層的功能主要是連接接入層節(jié)點(diǎn)和核心層中心。匯聚層設(shè)計(jì)為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能，用于在各個(gè)本地網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)流量，主要完成校園網(wǎng)中辦公樓宇和相關(guān)部門(mén)內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，它與路由選擇、過(guò)濾相關(guān)聯(lián)，必須滿(mǎn)足其他兩層的需求，且能提供足夠大的帶寬。匯聚層設(shè)備一般采用可管理的三層交換機(jī)或堆疊式交換機(jī)以達(dá)到帶寬和傳輸性能的要求。其設(shè)備性能較好，但價(jià)格高于接入層設(shè)備，而且對(duì)環(huán)境的要求也較高，對(duì)電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)備之間以及匯聚層設(shè)備與核心層設(shè)備之間多采用光纖互聯(lián)，以提高系統(tǒng)的傳輸性能和吞吐量。為實(shí)現(xiàn)接入層的不同VLAN之間的通信，在接口上設(shè)置SVI口，為保證在匯聚層上數(shù)據(jù)的正常的通信，就必須保證在設(shè)備出現(xiàn)問(wèn)題時(shí)能夠正常的工作，在設(shè)備上設(shè)置MSTP防止產(chǎn)生廣播風(fēng)暴，設(shè)置二層端口聚合提高鏈路可靠性及冗余，設(shè)置VRRP防止匯聚層出現(xiàn)單點(diǎn)故障后導(dǎo)致接入層用戶(hù)上網(wǎng)不正常，如圖3-4所示。在設(shè)計(jì)匯聚層結(jié)構(gòu)時(shí)，還應(yīng)該充分考慮到以下幾點(diǎn)因素：(1)必須具有冗余和流量均衡的功能。(2)能夠?qū)崿F(xiàn)各種安全策略以保證網(wǎng)絡(luò)的安全和數(shù)據(jù)包轉(zhuǎn)發(fā)的合理。(3)配置多層交換機(jī)最佳，以方便網(wǎng)絡(luò)的擴(kuò)展。(4)地址的聚集。(5)安全控制。圖3-4匯聚層網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D3.3.3接入層設(shè)計(jì)方案接入層為用戶(hù)提供對(duì)本地網(wǎng)段的訪問(wèn)，它的主要作用是將工作組計(jì)算機(jī)與匯聚層連接起來(lái)，主要完成邏輯網(wǎng)絡(luò)分段，給予工作組或LAN隔離廣播通信以及在多個(gè)CPU之間分布服務(wù)，如圖3-5所示。在設(shè)計(jì)接入層結(jié)構(gòu)時(shí)，還應(yīng)該充分考慮到以下幾點(diǎn)因素：(1)提供不同數(shù)量的100M端口到用戶(hù)，提供1000M上行鏈路端口到匯聚層交換機(jī)。(2)成本低，所有端口支持全線(xiàn)速二層交換。(3)網(wǎng)絡(luò)設(shè)備擴(kuò)展性好，可平滑升級(jí)。圖3-5接入層網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D3.3.4網(wǎng)絡(luò)出口的設(shè)計(jì)網(wǎng)絡(luò)出口是校園網(wǎng)與外網(wǎng)相連接的樞紐，也是保護(hù)校園網(wǎng)的第一道屏障，此外，在一定程度上決定了外網(wǎng)數(shù)據(jù)傳輸?shù)乃俣?。在網(wǎng)絡(luò)出口的設(shè)計(jì)上為保證內(nèi)網(wǎng)的私有IP地址能夠轉(zhuǎn)換成公網(wǎng)上的IP地址，就要使用NAT，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶(hù)能夠訪問(wèn)外網(wǎng)。此外，為防止外部的網(wǎng)絡(luò)用戶(hù)非法的訪問(wèn)內(nèi)部的一些服務(wù)，在ASA5520上定義相應(yīng)的規(guī)則、禁止訪問(wèn)某些網(wǎng)址等來(lái)保證內(nèi)網(wǎng)的安全；對(duì)于網(wǎng)絡(luò)帶寬浪費(fèi)的問(wèn)題，應(yīng)設(shè)置相應(yīng)的機(jī)制，禁止一些網(wǎng)絡(luò)端口或者服務(wù)。最后在網(wǎng)絡(luò)設(shè)備的選擇上，除了有高速的報(bào)文轉(zhuǎn)發(fā)速率和端口之外應(yīng)支持一些軟硬的支持等。圖3-6網(wǎng)絡(luò)出口設(shè)計(jì)拓?fù)鋱D一般的校園網(wǎng)絡(luò)的出口有兩個(gè)，一個(gè)連接教育網(wǎng)絡(luò)，一個(gè)連接到商業(yè)網(wǎng)絡(luò)上，故在網(wǎng)絡(luò)出口的設(shè)計(jì)上，有兩個(gè)出口，參考有關(guān)大型校園網(wǎng)絡(luò)出口安全的設(shè)計(jì)，結(jié)合實(shí)際情況，設(shè)計(jì)出網(wǎng)絡(luò)拓?fù)?-6所示，其中設(shè)備的硬件環(huán)境表3-4所示。表3-4硬件環(huán)境設(shè)備類(lèi)型設(shè)備型號(hào)設(shè)備數(shù)量（臺(tái)）防火墻(ASA-A，ASA-B)ASA55201三層交換機(jī)(Core-A)CISCO65091二層交換機(jī)(SWX)WS-C2960-24-S100三層交換機(jī)(Conver-A,Convert-B)WS-C3750X-24S-E2無(wú)線(xiàn)交換機(jī)(SWN)WS-C2960-24PC-L10無(wú)線(xiàn)APCISCOWAP121-E-K930無(wú)線(xiàn)控制器(WLC)CISCO55001上面的表格中列出了各種設(shè)備的型號(hào)和對(duì)應(yīng)型號(hào)的使用數(shù)量，該表的設(shè)備全部選自cisco的設(shè)備，在眾多的廠家中為什么會(huì)選擇cisco的設(shè)備。首先采購(gòu)設(shè)備時(shí)候，我們第一點(diǎn)考慮的就是價(jià)格，思科的核心的設(shè)備一般是比較貴，但是目前在市場(chǎng)中占據(jù)了主流；第二點(diǎn)是性能，我們知道思科設(shè)備特點(diǎn)是可靠性和穩(wěn)定性都是經(jīng)的起市場(chǎng)考驗(yàn)的，這是其他廠家不能比擬的。思科的技術(shù)在全球都很領(lǐng)先,而且思科設(shè)備所具有的功能非常強(qiáng)大、研發(fā)等是其他廠家不能夠相比的，該廠家的產(chǎn)品線(xiàn)在全球的范圍內(nèi)很齊全；第三點(diǎn)綜合起來(lái)就是性?xún)r(jià)比，我們要根據(jù)網(wǎng)絡(luò)的規(guī)模，尋找到性?xún)r(jià)比適合的交換機(jī)、路由器等設(shè)備。當(dāng)然還要考慮售后的服務(wù)，設(shè)備的知名程度等因素等等。本設(shè)計(jì)根據(jù)實(shí)際的情況，綜合上面三點(diǎn)的因素，所以，考慮選用cisco的設(shè)備。由于將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層進(jìn)行設(shè)計(jì)，在整體上一般采用以樹(shù)型和星型混合的拓?fù)浣Y(jié)構(gòu)。在主要通信接點(diǎn)上采用樹(shù)型拓?fù)涫菫榱私M網(wǎng)便捷、管理方便，出現(xiàn)故障時(shí)可迅速排查，同時(shí)在主干通信鏈路上還要考慮冗余鏈路設(shè)計(jì)，不僅可以達(dá)到負(fù)載均衡的目的，還可以保證網(wǎng)絡(luò)的可用性。防火墻選用ASA5520作為與核心交換機(jī)連接，三層交換機(jī)選用的是CISCO6509，其中無(wú)線(xiàn)控制器選用的是cisco5500，該設(shè)備是旁?huà)焐系胶诵慕粨Q機(jī)，匯聚層交換機(jī)選用的是WS-C2960-24-S這個(gè)型號(hào)，其中，無(wú)線(xiàn)交換機(jī)和無(wú)線(xiàn)AP分別選用的是WS-C2960-24PC-L和CISCOWAP121-E-K9。4網(wǎng)絡(luò)設(shè)備配置與實(shí)現(xiàn)4.1連通性配置在配置之間，先介紹交換機(jī)的工作原理，它工作在數(shù)據(jù)鏈路層。交換機(jī)擁有一條很高帶寬的背部總線(xiàn)和內(nèi)部交換矩陣。交換機(jī)的所有的端口都掛接在這條背部總線(xiàn)上，控制電路收到數(shù)據(jù)包以后，處理端口會(huì)查找內(nèi)存中的地址對(duì)照表以確定目的MAC（網(wǎng)卡的硬件地址）的NIC（網(wǎng)卡）掛接在哪個(gè)端口上，通過(guò)內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口，目的MAC若不存在，廣播到所有的端口，接收端口回應(yīng)后交換機(jī)會(huì)“學(xué)習(xí)”新的地址，并把它添加入內(nèi)部MAC地址表中。使用交換機(jī)也可以把網(wǎng)絡(luò)“分段”，通過(guò)對(duì)照MAC地址表，交換機(jī)只允許必要的網(wǎng)絡(luò)流量通過(guò)交換機(jī)。通過(guò)交換機(jī)的過(guò)濾和轉(zhuǎn)發(fā)，可以有效的減少?zèng)_突域，但它不能劃分網(wǎng)絡(luò)層廣播，即廣播域。本章的主要任務(wù)是給網(wǎng)絡(luò)設(shè)備配置相應(yīng)的命令，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的設(shè)備能夠相互的通信，我主要通過(guò)模擬器來(lái)實(shí)現(xiàn)，而相對(duì)這些模擬器來(lái)說(shuō)，我為什么會(huì)選擇cisco的模擬器，首先是CISCO的模擬器相對(duì)來(lái)說(shuō)做的最成熟，該軟件提供了良好的圖形界面，具有操作方便、交互性強(qiáng)、直觀形象、真實(shí)準(zhǔn)確等優(yōu)點(diǎn)，非常接近真實(shí)環(huán)境，它為網(wǎng)絡(luò)人員設(shè)計(jì)、配置網(wǎng)絡(luò)和排除網(wǎng)絡(luò)故障提供了一個(gè)良好的平臺(tái)。該設(shè)計(jì)僅用兩臺(tái)終端進(jìn)行模擬，畫(huà)出的拓?fù)淙?-1所示。(1)在匯聚層上劃分VLAN，所用接入層自動(dòng)學(xué)習(xí)從匯聚層的VLAN，并將接入層交換機(jī)端口劃進(jìn)相應(yīng)的VLAN，所以需要將Conver-A配置成服務(wù)器模式，接入層交換機(jī)配置成客戶(hù)端模式，這里僅用匯聚層交換機(jī)Conver-A作為實(shí)例來(lái)配置，接入層用一個(gè)交換機(jī)代表所有相同配置。Conver-A的VLAN，VTP配置如下：Conver-A(config)#vlan10Conver-A(config-vlan)#namecaiwuConver-A(config-if)#ipaddConver-A(config)#vlan1000Conver-A(config-vlan)#namenativeConver-A(config)#vtpmodeserverConver-A(config)#vtpdomainhnjdConver-A(config)#vtppasswordhnjdCISCOSW1(config)#vtpmodeclientSW1(config)#vtpdomainhnjdSW1(config)#vtppasswordhnjdCISCOSW1(config)#intrangefa0/1–6Conver-A(config-if-range)#swmoaccConver-A(config-if-range)#swaccvlan10圖4-1網(wǎng)絡(luò)拓?fù)鋱D(2)上面配置都演示了設(shè)備的幾個(gè)不同模式下使用的命令，為了節(jié)約時(shí)間不再演示，直接寫(xiě)腳本。核心層與匯聚層路由協(xié)議的配置即OSPF的配置，設(shè)備之間互傳路由信息，達(dá)到互通性，部分鏈路認(rèn)證安全已經(jīng)配置上去，其它幾個(gè)設(shè)備跟Core-A配置一樣，在這里不再配置，這里主要用Core-A作為示例。Core-A的OSPF配置如下：iproutinginterfaceg1/3noswdescriptionTo_Conver-A_g1/3ipadd52ipospfnetworkpoint-to-pointipospf1area0ipospfauthenticatonmessage-digestipospfmessage-digest-key1md5CISCOnoshutinterfaceg1/4descriptionTo_Conver-B_g1/3ipadd52ipospfnetpoint-to-pointipospf1area0ipospfauthenticatonmessage-digestipospfmessage-digest-key1md5CISCOnoshutrouterospf1router-idlog-adjacency-changesauto-costreference-bandwidth1000004.2冗余性配置設(shè)備冗余，配置冗余性不僅當(dāng)主設(shè)備DOWN掉之后，備份設(shè)備能夠快速的切換成主設(shè)備角色，承擔(dān)相應(yīng)的業(yè)務(wù)，保證網(wǎng)絡(luò)的暢通性，而且當(dāng)主設(shè)備正常時(shí)還能實(shí)現(xiàn)負(fù)載分擔(dān)，提高了網(wǎng)絡(luò)的利用率。(1)由于CISCO的模擬器不支持VRRP配置，HSRP與VRRP原理基本一樣，這里用HSRP配置做代替，用Conver-A做示例演示配置。Conver-A的VRRP配置如下：interfacevlan10descriptioncaiwuipaddnoshutvrrp10ipvrrp10preemtvrrp10priority105vrrp10timers13vrrp100priority100vrrp100ipshowvrrpbriefMSTP用來(lái)在二層做負(fù)載均衡，把不同的幾個(gè)VLAN劃進(jìn)一個(gè)生成樹(shù)示例，然后根據(jù)業(yè)務(wù)需求，把不同的交換機(jī)配置成不同示例的根橋，從而達(dá)到負(fù)載均衡的目的，提高了網(wǎng)絡(luò)的利用率。這里用Conver-A做MSTP配置示例。Conver-A的MSTP配置如下：spanning-treemodemstpspanning-treemstconfigurationinstance1vlan10，20，30instance2vlan40，50，60nameregion1revision1spanning-treemstp1priority0spanning-treemstp2priority12288由于東區(qū)學(xué)生公寓包括E01到E13，所以我劃分了vlan，讓每一個(gè)公寓分別屬于不同的子網(wǎng)，每一個(gè)公寓都有一個(gè)無(wú)線(xiàn)交換機(jī)，每個(gè)樓層都有相對(duì)應(yīng)的無(wú)線(xiàn)接入點(diǎn)，學(xué)生通過(guò)調(diào)整自己電腦上的無(wú)線(xiàn)設(shè)置，就可以訪問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行漫游了。同時(shí)為了數(shù)據(jù)的安全性可慮，我可以相應(yīng)的做一些策略來(lái)改變網(wǎng)絡(luò)。下面是對(duì)無(wú)線(xiàn)AccessPoint0的設(shè)置。Ap#configureterminalAp(config)#hostnamemyap//設(shè)置系統(tǒng)名，默認(rèn)是apAp#configureterminalAp(config)#interfacebvi1//進(jìn)入BVI接口配置模式Ap(config-if)#ipaddress240Ap(config-if)#ipaddressdhcpClient-idSpecifyclient-idtouseHostnameSpecifyvalueforhostnameoptionAp(config-if)#ipaddressdhcpAp(config)#intdot11radio0Ap(config-if)#ssidmyAPAp(config-if-ssid)#authenticationopen//設(shè)置認(rèn)證類(lèi)型Ap(config)#linevty04（配置telnet/ssh服務(wù)）Ap(config-line)#loginlocalAp(config-line)#end4.3安全性的配置此節(jié)的主要任務(wù)是保證園區(qū)網(wǎng)絡(luò)的安全，杜絕掉一些安全隱患，為了保護(hù)東西校區(qū)數(shù)據(jù)在Internet上傳輸?shù)陌踩约翱捎眯裕乐购诳透`取和篡改里面的內(nèi)容采用VPN技術(shù)以及內(nèi)外互訪的控制，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)為了保證學(xué)校師生能正常上網(wǎng)，節(jié)約學(xué)校的開(kāi)銷(xiāo)，并在ASA上NAT配置。東校區(qū)與西校區(qū)為了保證數(shù)據(jù)在Internet安全性，在ASA-A出口配置上，并做相應(yīng)的NAT配置，配置如下：interfaceGigabitEthernet0/1descriptionTo_Core-Anameifinside-1security-level100ipaddress348standby4noshutinterfaceGigabitEthernet0/2descriptionTo_Core-Bnameifinside-2security-level100ipadd148standby2noshutinterfaceGigabitEthernet0/3descriptionFailover_link_statefulnoshutinterfaceGigabitEthernet0/0descriptionTo_China_Unicomipaddressstandbynameifoutsidesecurity-level0noshutdownfailoverlanunitprimaryfailoverlaninterfacelfoGigabitEthernet0/3failoverinterfaceipifo255.255.255.standbyfailoverlinkinterfacestaGigabitEthernet0/3failoverinterfaceipsta255.255.255.standbyfailoverkeyCISCOfailovernat-controlnat(inside-1)1nat(inside-1)1nat(inside-1)1nat(inside-1)1nat(inside-2)1nat(inside-2)1nat(inside-2)1nat(inside-2)1global(outside)1interfacestatic(inside-1，outside)tcpinterface805480static(inside-1，outside)tcpinterface235423static(inside-2，outside)tcp0access-listoutpermiticmpanyanyaccess-listoutpermittcpanyinterfaceeq80access-listoutpermittcpanyinterfaceeq23access-listoutpermitipanyhostaccess-groupoutininterfaceoutside（2）在二層交換機(jī)上的某個(gè)端口上做MAC綁定，只允許交換機(jī)在此端口學(xué)習(xí)特定的MAC，當(dāng)其他的主機(jī)接入時(shí)端口就會(huì)restrict，防止此端口被其他主機(jī)再使用，并且只允許此端口在交換機(jī)上學(xué)習(xí)一個(gè)MAC地址，這里用接入層交換機(jī)做示例配置。二層交換機(jī)SW1上的端口安全配置如下：intrangefa0/1-20switchportaccessvlan10switchportmodeaccessswitchportport-securitymaximum1switchportport-securitymaximum1vlanaccessswitchportport-securityswitchportport-securityviolationrestrict（3）三層交換上ACL的配置，拒絕一些網(wǎng)絡(luò)用戶(hù)的訪問(wèn)。Conver-A的ACL配置如下：ipaccex100permittcpany54eqwwwpertcp54eqftpdenyiphostanyhost54intf0/20ipacc100in5網(wǎng)絡(luò)測(cè)試當(dāng)一個(gè)項(xiàng)目工程做完以后，測(cè)試它的功能是十分重要的，看它是否符合用戶(hù)的需求，是否有要完善的地方，實(shí)施網(wǎng)絡(luò)測(cè)試對(duì)工程師來(lái)說(shuō)是很重要的，以下還用CISCO的模擬器PacketTracer來(lái)進(jìn)行模擬。5.1連通性測(cè)試連通性的測(cè)試就是要測(cè)試從終端設(shè)備到網(wǎng)絡(luò)邊界之間是否正常的通信，一般的使用ping命令來(lái)測(cè)試的，ping命令是最直接的也是最有效的，如果通說(shuō)明網(wǎng)絡(luò)沒(méi)有太大問(wèn)題，如果ping不通可以通過(guò)tracert命令來(lái)進(jìn)行跟蹤進(jìn)行分段測(cè)試，然后一一排查出問(wèn)題，直到問(wèn)題的解決，現(xiàn)在從整體來(lái)測(cè)試，從PC1到出口路由的路徑應(yīng)該是PC1—Conver-A—CoreA然后到出口來(lái)測(cè)試看全網(wǎng)是否是通的，測(cè)試結(jié)果如下。PC>tracertTracingroutetooveramaximumof30hops:163ms62ms62ms293ms78ms94ms3110ms125ms125msTracecomplete.由上測(cè)試結(jié)果可以看出，校園網(wǎng)的終端用戶(hù)到網(wǎng)絡(luò)出口網(wǎng)絡(luò)是按照預(yù)測(cè)的結(jié)果，網(wǎng)絡(luò)是通的可以實(shí)現(xiàn)正常的通信。PC0對(duì)遠(yuǎn)端的PC1的測(cè)試，測(cè)試路徑應(yīng)該是PC0—Conver-A—Conver-B—PC1，測(cè)試結(jié)果如下。PC>tracertTracingroutetooveramaximumof30hops:163ms47ms63ms278ms78ms47ms3141ms141ms157msTracecomplete.由上測(cè)試結(jié)果可以看出，PC0到遠(yuǎn)端PC1也是通的，跟預(yù)測(cè)的結(jié)果是一樣的，可以正常訪問(wèn)。5.2冗余性測(cè)試網(wǎng)絡(luò)冗余性就是當(dāng)設(shè)備或者鏈路出現(xiàn)問(wèn)題時(shí)，會(huì)自動(dòng)切換的備用設(shè)備，能夠及時(shí)的解決問(wèn)題，不影響網(wǎng)絡(luò)的正常的通信。在驗(yàn)證冗余性測(cè)試的時(shí)候，在配置了冗余性的設(shè)備上去掉有關(guān)的線(xiàn)纜和down掉主用設(shè)備，再ping外部網(wǎng)絡(luò)或者服務(wù)器的地址，看是否能夠ping的通，如果ping的通，則說(shuō)明配置的正確，如果ping不通，則通過(guò)show命令來(lái)檢查配置是否正確，如果出現(xiàn)問(wèn)題，通過(guò)一步一步的show命令來(lái)解決。如果沒(méi)有出現(xiàn)問(wèn)題，則繼續(xù)通過(guò)命令來(lái)查看，直到找出問(wèn)題。當(dāng)Conver-A與Core-A鏈路down時(shí)，pingPC0到遠(yuǎn)端的路徑應(yīng)該是PC0—Conver-A—Conver-B—CoreA具體的測(cè)試結(jié)果如下所示。PC>tracertTracingroutetooveramaximumof30hops:149ms62ms63ms294ms63ms94ms3125ms125ms96ms4141ms157ms143msTracecomplete.由上測(cè)試結(jié)果可以看出，當(dāng)Core-A與Conver-A鏈路down掉之后，網(wǎng)絡(luò)會(huì)自動(dòng)切換到備用鏈路之后又恢復(fù)正常，網(wǎng)絡(luò)仍然可以正常工作。當(dāng)接入層交換機(jī)與Conver-A路down之后，PC0自動(dòng)切換到備用網(wǎng)關(guān)Conver-B，路徑應(yīng)該是PC0—Conver-B—Core-A，測(cè)試結(jié)果如下所示。PC>tracertTracingroutetooveramaximumof30hops:162ms62ms62ms293ms78ms94ms3125ms125ms125msTracecomplete.由上測(cè)試結(jié)果可以看出，當(dāng)接入層交換機(jī)與Conver-A路down之后，PC0自動(dòng)切換到備用網(wǎng)關(guān)Conver-B，網(wǎng)絡(luò)仍然可以正常工作。5.3安全性測(cè)試通過(guò)上面測(cè)試，保證全網(wǎng)互通后，我們來(lái)進(jìn)行安全測(cè)試。由于模擬器功能有限無(wú)法測(cè)試ASA安全功能，還有一些無(wú)線(xiàn)功能，在這里不再驗(yàn)證，我們僅用一些代表性的測(cè)試來(lái)進(jìn)行安全性的驗(yàn)證，如果不成功，我們用相應(yīng)的show命令來(lái)進(jìn)行驗(yàn)證。在設(shè)置ACL規(guī)則之后，首先驗(yàn)證PC1訪問(wèn)學(xué)校的WWW服務(wù)器，看訪問(wèn)是否正常。正常情況下是可以訪問(wèn)的，用PC1來(lái)進(jìn)行訪問(wèn)驗(yàn)證測(cè)試，測(cè)試結(jié)果如圖5-1所示。圖5-1安全性測(cè)試圖從上圖可以看出，學(xué)校老師學(xué)生以及外來(lái)用戶(hù)訪問(wèn)學(xué)校的WWW服務(wù)器正常的。在設(shè)置ACL規(guī)則之后，驗(yàn)證其它院系來(lái)訪問(wèn)學(xué)校財(cái)務(wù)服務(wù)器是否可以正常訪問(wèn)。為了保護(hù)財(cái)務(wù)的安全，正常情況下是拒絕訪問(wèn)學(xué)校財(cái)務(wù)服務(wù)器的，用PC1訪問(wèn)財(cái)務(wù)服務(wù)器，測(cè)試結(jié)果如下圖5-2所示。圖5-2安全性測(cè)試圖可以看出，學(xué)校內(nèi)部訪問(wèn)財(cái)務(wù)服務(wù)器被拒絕，說(shuō)明設(shè)置ACL規(guī)則后起作用了，測(cè)試成功。用戶(hù)必須登錄后才能訪問(wèn)服務(wù)器，相應(yīng)的驗(yàn)證用戶(hù)登陸的測(cè)試結(jié)果如圖5-3所示。用戶(hù)登錄設(shè)備必須經(jīng)過(guò)認(rèn)證才可以正常的登錄，如果認(rèn)證服務(wù)器的數(shù)據(jù)庫(kù)中沒(méi)有該用戶(hù)的用戶(hù)名或者密碼之一錯(cuò)誤，用戶(hù)就會(huì)認(rèn)證失敗，只有都正確才能通過(guò)認(rèn)證，就行訪問(wèn)，并且打開(kāi)了所有交換機(jī)和路由器設(shè)備自身的安全特性，當(dāng)?shù)顷憰r(shí)密碼30秒內(nèi)錯(cuò)誤3次，1分鐘內(nèi)不允許再登錄，但是管理的登錄還是可以的，發(fā)送LOGIN信息給管理員。正常情況下這些安全功能都是起作用的，用PC1來(lái)進(jìn)行登陸驗(yàn)證測(cè)試，圖5-3設(shè)備登錄安全性測(cè)試圖從圖可以看出，測(cè)試的結(jié)果跟預(yù)測(cè)的一樣，設(shè)備安全性登錄驗(yàn)證成功，遠(yuǎn)程登錄都需要設(shè)置用戶(hù)名和密碼，測(cè)試成功。6未來(lái)研究方向WLAN技術(shù)經(jīng)過(guò)幾年的推進(jìn)和發(fā)展，其標(biāo)準(zhǔn)和產(chǎn)品已經(jīng)逐步成熟，應(yīng)用也日漸廣泛。由計(jì)算機(jī)設(shè)備供應(yīng)商、通信運(yùn)營(yíng)商和專(zhuān)業(yè)服務(wù)提供商在內(nèi)的龐大陣營(yíng)正積極進(jìn)軍這一領(lǐng)域，無(wú)線(xiàn)局域網(wǎng)的熱潮正在沖擊全球的市場(chǎng)。現(xiàn)階段，國(guó)際上的一些大型通信公司，如Intel、IBM、Cisco等公司都投入數(shù)億美元乃至更多的資金來(lái)進(jìn)行WLAN產(chǎn)品和設(shè)備的研究，也推出了很多成熟的WLAN產(chǎn)品和設(shè)備。無(wú)線(xiàn)網(wǎng)絡(luò)新的意義將主要體現(xiàn)在企業(yè)市場(chǎng)中，這也是以往限制WLAN發(fā)展的一個(gè)重要方面。如上所述。WLAN研究的技術(shù)方興未艾，是目前無(wú)線(xiàn)通信領(lǐng)域乃至整個(gè)行業(yè)的熱點(diǎn)，從無(wú)線(xiàn)局域網(wǎng)進(jìn)一步的推廣來(lái)看，未來(lái)的研究方向主要集中在安全性，移動(dòng)漫游，網(wǎng)絡(luò)管理以及與3G等其他移動(dòng)通信系統(tǒng)之間的關(guān)系上。6.1安全性問(wèn)題IEEE802.11協(xié)議標(biāo)準(zhǔn)建議使用2種安全解決方案，一種IEEE802.11安全任務(wù)組（TGI）構(gòu)建的安全框架RSN，這種網(wǎng)絡(luò)提供用802.11x提供基于端口的接入控制、鑒權(quán)和密鑰管理。用EAP實(shí)現(xiàn)對(duì)用戶(hù)的鑒權(quán)，由于802.11x是針對(duì)有線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)的，在無(wú)線(xiàn)局域網(wǎng)使用中會(huì)有漏洞，所以，盡管它對(duì)WLAN的安全性能有一定的改善，802.1x和802.11的結(jié)合也不能提供一定的安全。另一種方式是目前廣泛應(yīng)用與局域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的虛擬專(zhuān)用網(wǎng)（VPN）安全技術(shù)，與802.11b標(biāo)準(zhǔn)所采用的技術(shù)不同，在IP網(wǎng)絡(luò)中，VPN主要采用IPsec技術(shù)來(lái)保障數(shù)據(jù)傳輸?shù)陌踩?，?duì)于安全性要求更高的用戶(hù)，將802.11b與現(xiàn)有的VPN技術(shù)結(jié)合起來(lái)，是目前較為理想的WLAN安全解決方案。無(wú)線(xiàn)網(wǎng)絡(luò)安全并不是一個(gè)獨(dú)立的問(wèn)題，企業(yè)需要認(rèn)識(shí)到應(yīng)該在幾條戰(zhàn)線(xiàn)上對(duì)付攻擊者，但有許多威脅是無(wú)線(xiàn)網(wǎng)絡(luò)所獨(dú)有的，要想解決這些問(wèn)題，可以通過(guò)以下方法來(lái)解決。（1）采用強(qiáng)力的密碼。正如我在文中所指出，一個(gè)足夠強(qiáng)大的密碼可以讓暴力破解成為不可能實(shí)現(xiàn)的情況。相反的，如果密碼強(qiáng)度不夠，幾乎可以肯定會(huì)讓你的系統(tǒng)受到損害。（2）嚴(yán)禁廣播服務(wù)集合標(biāo)識(shí)符(SSID)。如果不能對(duì)服務(wù)集合標(biāo)識(shí)符也就是你給無(wú)線(xiàn)網(wǎng)絡(luò)的命名進(jìn)行保護(hù)的話(huà)，會(huì)帶來(lái)嚴(yán)重的安全隱患。對(duì)無(wú)線(xiàn)路由器進(jìn)行配置，禁止服務(wù)集合標(biāo)識(shí)符的廣播，盡管不能帶來(lái)真正的安全，但至少可以減輕受到的威脅，因?yàn)楹芏喑跫?jí)的惡意攻擊都是采用掃描的方式尋找那些有漏洞的系統(tǒng)。隱藏了服務(wù)集合標(biāo)識(shí)符，這種可能就大大降低了。大多數(shù)商業(yè)級(jí)路由器/防火墻設(shè)備都提供相關(guān)的功能設(shè)置。（3）采用有效的無(wú)線(xiàn)加密方式。動(dòng)態(tài)有線(xiàn)等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一樣免費(fèi)工具，就可以在短短的幾分鐘里找出動(dòng)態(tài)有線(xiàn)等效保密模式加密過(guò)的無(wú)線(xiàn)網(wǎng)絡(luò)中的漏洞。無(wú)線(xiàn)網(wǎng)絡(luò)保護(hù)訪問(wèn)(WPA)是通用的加密標(biāo)準(zhǔn)，你很可能已經(jīng)使用了。當(dāng)然，如果有可能的話(huà)，你應(yīng)該選擇使用一些更強(qiáng)大有效的方式。畢竟，加密和解密的斗爭(zhēng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的。（4）可能的話(huà)，采用不同類(lèi)型的加密。不要僅僅依靠無(wú)線(xiàn)加密手段來(lái)保證無(wú)線(xiàn)網(wǎng)絡(luò)的整體安全。不同類(lèi)型的加密可以在系統(tǒng)層面上提高安全的可靠性。舉例來(lái)說(shuō)，OpenSSH就是一個(gè)不錯(cuò)的選擇，可以為在同一網(wǎng)絡(luò)內(nèi)的系統(tǒng)提供安全通訊，即使需要經(jīng)過(guò)因特網(wǎng)也沒(méi)有問(wèn)題。采用加密技術(shù)來(lái)保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)中的所有通訊數(shù)據(jù)不被竊取是非常重要的，就象采用了SSL加密技術(shù)的電子商務(wù)網(wǎng)站一樣。實(shí)際上，如果沒(méi)有確實(shí)必要的話(huà)，盡量不要更換加密方式。（5）對(duì)介質(zhì)訪問(wèn)控制(MAC)地址進(jìn)行控制。很多人會(huì)告訴你，介質(zhì)訪問(wèn)控制(MAC)地址的限制不會(huì)提供真正的保護(hù)。但是，象隱藏?zé)o線(xiàn)網(wǎng)絡(luò)的服務(wù)集合標(biāo)識(shí)符、限制介質(zhì)訪問(wèn)控制(MAC)地址對(duì)網(wǎng)絡(luò)的訪問(wèn)，是可以確保網(wǎng)絡(luò)不會(huì)被初級(jí)的惡意攻擊者騷擾的。對(duì)于整個(gè)系統(tǒng)來(lái)說(shuō)，針對(duì)從專(zhuān)家到新手的各種攻擊進(jìn)行全面防護(hù)，以保證系統(tǒng)安全的無(wú)懈可擊是非常重要的。（6）在網(wǎng)絡(luò)不使用的時(shí)間，將其關(guān)閉。這個(gè)建議的采用與否，取決于網(wǎng)絡(luò)的具體情況。如果你并不是需要一天二十四小時(shí)每周七天都使用網(wǎng)絡(luò)，那就可以采用這個(gè)措施。畢竟，在網(wǎng)絡(luò)關(guān)閉的時(shí)間，安全性是最高的，沒(méi)人能夠連接不存在的網(wǎng)絡(luò)。6.2漫游切換問(wèn)題無(wú)線(xiàn)局域網(wǎng)的漫游問(wèn)題是繼安全問(wèn)題之后的另一個(gè)至關(guān)重要的問(wèn)題，如果一邊使用無(wú)線(xiàn)局域網(wǎng)接入服務(wù)，一邊移動(dòng)接入的位置，如果終端超過(guò)子網(wǎng)覆蓋的范圍，IP數(shù)據(jù)包將無(wú)法到達(dá)終端位置，正在進(jìn)行的通信將會(huì)中斷，為此，IETF制定了擴(kuò)展IP移動(dòng)性的系列標(biāo)準(zhǔn)，所謂移動(dòng)IP，就是指在IP網(wǎng)絡(luò)上的多個(gè)子網(wǎng)內(nèi)均可使用同一IP技術(shù)，通過(guò)使用本地代理和外地代理的特殊路由器對(duì)網(wǎng)絡(luò)終端進(jìn)行管理，不管咋樣在移動(dòng)的過(guò)程中TCP連接都不會(huì)中斷，而且移動(dòng)IP技術(shù)可以突破網(wǎng)絡(luò)地域限制，并可以克服在跨網(wǎng)段時(shí)使用動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）方式所造成的通信中斷，極限變化等問(wèn)題。6.3無(wú)線(xiàn)網(wǎng)絡(luò)管理問(wèn)題相對(duì)于有線(xiàn)網(wǎng)絡(luò)，無(wú)線(xiàn)局域網(wǎng)絡(luò)確實(shí)具有非常獨(dú)特的特性，因此，必須建立完善的管理系統(tǒng)，除了系統(tǒng)結(jié)構(gòu)，用戶(hù)需求和典型應(yīng)用等模塊之外，一個(gè)好的無(wú)線(xiàn)管理系統(tǒng)還必須考慮以下因素：網(wǎng)絡(luò)監(jiān)視和報(bào)告。主機(jī)必須能