计算机网络基础及局域网构建实习案例二十八

1、计算机网络基础及局域网构建实习案例计算机技术系二一七 年五月目 录一、项目总则11.项目概述12.建设目标1二、网络拓扑概述21.交通学院割接后网络拓扑图2三、交付设备清单31.交通学院交付设备清单3四、设备模块分布41.模块安装4（1）交通学院无线控制器4（2）交通学院汇聚交换机5（3）交通学院接入交换机5五、节点定义与VLAN 规划61.设备命名定义原则6（1）设备命名规范6（2）设备端口命名原则7（3）连接业务端口命名原则72.VLAN规划7（1）VLAN整体规划（本次实施涉及vlan）7六、IP地址规划91.IP地址分配原则9（1）唯一性9（2）简单性9（3）连续性9（4）可扩展性9（

2、5）灵活性92.IP地址分配总表9（1）设备管理IP地址分配总表9（2）无线终端IP地址分配总表10七、优化及安全配置111.频率配置及协议支持112.功率控制123.最大用户数限制124.无线用户限速135.调整beacon帧间隔136.关闭probe广播应答137.频谱导航功能148.开启无线用户vlan内二层隔离149.空口发送公平调度1510.调整AP间信道重用1511.智能SSID隐藏1512.DHCP安全1613.ARP安全1614.管理安全16实习案例二十八、交通学院的网络覆盖改造一、项目总则1.项目概述 当前学院无线网络仅仅对教学楼等小部分区域进行覆盖，且为802.11bg，由

3、于无线终端的迅猛发展，旧有设计无法满足现有需求，此次无缝方案设计主要对全校进行无线覆盖，包括教学楼、图书馆、活动中心、专家公寓、学员公寓、食堂、后勤楼等室内区域和教学楼北侧广场、楼前停车场、小水池等室外区域。 北京交通学院园区占地180亩，由14幢单体建筑物组成,包括教学、会议、办公、图书馆、阅览室、宿舍、餐厅、活动等场所。目前，现有校园无线网络由不同时期建设的不同SSID的多个分立网络组成，覆盖面积有限，无线信号分布不均，用户使用有诸多不便，影响了一些信息化应用系统的使用。相对于国外一流大学的无线网络基础设施，不仅无线覆盖面积以及接入能力十分有限，而且建设采用的技术属于早期无线网络技术，这与

4、北京交通学院要成为一流大学所应具备的网络基础设施有着明显的差距。 随着学院各项业务的发展以及智能移动终端的普遍使用，学院信息化应用系统的建设对无线网络基础平台提出越来越高的要求。为满足学院教学、科研和管理的需要，经过调研、分析，决定对校园无线网络实施更新改造项目。2.建设目标由于无线终端的迅猛发展，旧有设计无法满足现有需求，此次无缝方案设计主要对全校进行无线覆盖，包括教学楼、图书馆、活动中心、专家公寓、学员公寓、食堂、后勤楼等室内区域和教学楼北侧广场、楼前停车场、小水池等室外区域。二、网络拓扑概述1.交通学院割接后网络拓扑图三、交付设备清单1.交通学院交付设备清单序号产品型号产品描述数量1无线

5、控制器部分EWP-WX6103EH3C WX6103E 无线控制器主机2 EWPXM2CTGS16SC0H3C WX6103E交换路由引擎-提供16端口万兆以太网SFP+光接口2 EWPXM2WCMD0WX6100E 高性能无线控制业务板模块4 LSQM1AC650H3C PSR650A 交流电源模块,650W4 LIS-WX-128-A高性能无线控制器license费用-管理128AP26 小计无线控制器部分38 2室内AP部分EWP-WA2610H-GN-FITH3C WA2610H-GN-802.11n无线局域网面板型2.4GHz单频接入点-FIT1,425 EWP-WA2620i-AG

6、N-FITH3C WA2620i-AGN-802.11n无线局域网智能室内放装型2.4/5GHz双频接入点-FIT101 EWP-WA3620i-AGN-FITH3C WA3620i-AGN-802.11n 智能天线2.4&5GHz双频接入点-FIT140 小计室内AP部分1,666 3室外ap部分EWP-WA2620X-AGNP-FITH3C WA2620X-AGNP 802.11n无线局域网室外型2.4&5GHz双频接入点-FIT13 ANT-2015P-M32.4GHz(15dBi),智能型MIMO定向扇区天线(65deg),N型×3,室外13 ANT-5018

7、P-M35.1505.850GHz(18dBi),智能型MIMO定向扇区天线(18deg),N型×3,室外13 CAB-RF-1.83m-(2*NSM+RG8/U)射频电缆-1.83m-50ohm-N50直公-(COAX-RG8/U)-N50直公78 EWPAM1POE5H3C 单端口大功率POE注入单元(含36W电源,千兆,推荐配套室外型设备使用)13 小计室外AP部分130 4H3C S5120SI 28p以太网poe接入交换机LS-5120-28P-HPWR-SI-H3H3C S5120-28P-HPWR-SI,L2以太网交换机主机,24个10/100/1000BASE-T,4

8、个SFP,支持AC/DC,POE61 小计H3C S5120SI 28p以太网poe接入交换机61 3H3C S5120-SI 以太网poe接入交换机LS-5120-9P-HPWR-SI-H3H3C S5120-9P-HPWR-SI,L2以太网交换机主机,8个10/100/1000BASE-T,1个SFP,支持AC110/220V,POE7 LS5-FL-B安装弯角组件7 小计H3C S5120-SI 以太网poe接入交换机14 4H3C S5500-EI 以太网poe汇聚交换机LS-5500-28C-PWR-EIH3C S5500-28C-PWR-EI-以太网交换机主机(24GE+4SFP

9、Combo+2Slots+POE Plus)16 SFP-XG-SX-MM850-ASFP+ 万兆模块(850nm,300m,LC)22 SFP-XG-LX-SM1310SFP+ 万兆模块(1310nm,10km,LC)8 LSPM2SP2PH3C S5500 2端口万兆以太网SFP+接口板16 小计H3C S5500-EI 以太网poe汇聚交换机62 5H3C iMC V5智能管理中心SWP-IMC-IMPH3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)1 LIS-IMC-IMPC-100H3C iMC-智能管理平台标准版管理100节点License费用1 SWP-IMC-W

10、SMH3C iMC-WSM无线业务管理组件-纯软件(CD)1 LIS-IMC-WSMG-2KH3C iMC-WSM无线业务管理组件管理2000台Fit AP设备License费用1 SWP-IMC-UAMH3C iMC-UAM用户接入管理组件(不含用户)-纯软件(CD)1 LIS-IMC-UAMB-2KH3C iMC-UAM用户接入管理组件管理2000用户License费用1 小计H3C iMC V5智能管理中心6 四、设备模块分布1.模块安装（1）交通学院无线控制器无线控制器-H3C WX6103E（共2台）槽位板卡类型板卡名称0EWPXM2CTGS16SC0H3C WX6103E交换路由引

11、擎-提供16端口万兆以太网SFP+光接口1EWPXM2WCMD0WX6100E 高性能无线控制业务板模块2EWPXM2WCMD0WX6100E 高性能无线控制业务板模块正面板ALSQM1AC650H3C PSR650A 交流电源模块,650W正面板BLSQM1AC650H3C PSR650A 交流电源模块,650W设备正面板示意图（2）交通学院汇聚交换机接入交换机-LS-5500-28C-PWR-EI（共16台）槽位模块类型模块名称背面板1LSPM2SP2PH3C S5500 2端口万兆以太网SFP+接口板背面板2预留设备正面板图设备背面板图1212（3）交通学院接入交换机接入交换机-LS-5

12、120-28P-HPWR-SI-H3（共61台）设备正面板图设备背面板图接入交换机-LS-5120-9P-HPWR-SI-H3（共7台）设备正面板设备背面板五、节点定义与VLAN 规划1.设备命名定义原则（1）设备命名规范网络设备命名规则将采用字母与数字结合的方法，具体规则为：字段1_字段2_字段3_(字段4_)nn各字段的含义如下：字段名称字段含义字段1字段1用于标识设备安装地点，为：Ø A1楼号：A1Ø B号楼：BØ N号楼：N字段2字段2用于标识楼层Ø 一层：F1 Ø 二层：F2 字段3字段3用于设备型号，定义为：Ø S5500

13、-28C汇聚交换机：S5500-28C Ø S5120-28P接入交换机：S5120-28PØ S5120-9P接入交换机：S5120-9PNnnn用于标识网络设备编号，范围为1 200注：针对无线控制器的命名，命名为：WX6103E，无线ssid为NAI。（2）设备端口命名原则格式： To 对方设备名称 插槽号/模块号/端口号说明：设备口显示方式为：To 固定字符串；对方设备名称：采用与设备直接连接的对方设备名称；插槽号/模块号/端口号：表示对方设备的插槽号/模块号/端口号，对于没有模块号的设备直接用插槽号/端口号表示。（3）连接业务端口命名原则格式： To 业务名称 业

14、务单位说明：显示方式为To:固定字符串；可以是字母或数字；业务名称：汉语拼音缩写，字母使用大写；例如 数据库系统填写：shujuku2.VLAN规划（1）VLAN整体规划（本次实施涉及vlan）Vlan范围用途备注Vlan4互联vlan（TO_C7609）、终端vlan（IPhone-PC）-Vlan21管理vlan（AP-Manager）AP、交换机管理vlanVlan22业务vlan（WLAN-C）C楼无线终端vlanVlan23业务vlan（WLAN-A）A楼无线终端vlanVlan24业务vlan（WLAN-B）B楼无线终端vlanVlan25业务vlan（WLAN-D(ZhuanJi

15、aGongYu)）D楼无线终端vlanVlan26业务vlan（WLAN-E(8)）E楼无线终端vlanVlan27业务vlan（WLAN-F2(6)）F2楼无线终端vlanVlan28业务vlan（WLAN-F1(7)）F1楼无线终端vlanVlan29业务vlan（WLAN-H(5)）H楼无线终端vlanVlan30业务vlan（WLAN-J(ShiTang)）J楼无线终端vlanVlan31业务vlan（WLAN-K(4)）K楼无线终端vlanVlan32业务vlan（WLAN-L(3)）L楼无线终端vlanVlan33业务vlan（WLAN-M(2)）M楼无线终端vlanVlan34业

16、务vlan（WLAN-N(1)）N楼无线终端vlanVlan35业务vlan（WLAN-P）P楼无线终端vlanVlan36业务vlan（vLAN-Q(YouYongGuan)）Q楼无线终端vlan六、IP地址规划1.IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：（1）唯一性一个IP网络中不能有两个主机采用相同的

17、IP地址；（2）简单性 地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项。（3）连续性 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。（4）可扩展性 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性（5）灵活性 地址分配应具有灵活性，以满足多种路由策略的优化，采用VLSM等地址方式，充分利用地址空间。2.IP地址分配总表（1）设备管理IP地址分配总表设备管理IP地址分配总表序号楼号vlan idAP管理ip范围网关汇聚、接入交换机预留ip地址1C21172.16.8.21-172.16.8.254/24172.16.8.11

18、72.16.8.1-172.16.8.202A121172.16.9.21-172.16.9.254/24172.16.9.1172.16.9.1-172.16.9.203A221172.16.10.21-172.16.10.254/24172.16.10.1172.16.10.1-172.16.10.204B21172.16.11.21-172.16.11.254/24172.16.11.1172.16.11.1-172.16.11.205D21172.16.12.21-172.16.12.254/24172.16.12.1172.16.12.1-172.16.12.206E21172.16

19、.13.21-172.16.13.254/24172.16.13.1172.16.13.1-172.16.13.207F121172.16.14.21-172.16.14.254/24172.16.14.1172.16.14.1-172.16.14.208F221172.16.15.21-172.16.15.254/24172.16.15.1172.16.15.1-172.16.15.209H21172.16.16.21-172.16.16.254/24172.16.16.1172.16.16.1-172.16.16.2010J21172.16.17.21-172.16.17.254/2417

20、2.16.17.1172.16.17.1-172.16.17.2011K21172.16.18.21-172.16.18.254/24172.16.18.1172.16.18.1-172.16.18.2012L21172.16.19.21-172.16.19.254/24172.16.19.1172.16.19.1-172.16.19.2013M21172.16.20.21-172.16.20.254/24172.16.20.1172.16.20.1-172.16.20.2014N21172.16.21.21-172.16.21.254/24172.16.21.1172.16.21.1-172

21、.16.21.2015P21172.16.22.21-172.16.22.254/24172.16.22.1172.16.22.1-172.16.22.2016Q21172.16.24.21-172.16.24.254/24172.16.24.1172.16.24.1-172.16.24.20（2）无线终端IP地址分配总表无线终端IP地址分配总表序号楼号竖井vlan id地址范围网关备注1CC1、C22210.10.8.1-10.10.15.254/2110.10.8.1/212AA1、A22310.10.16.1-10.10.23.254/2110.10.16.1/213BB2410.10.

22、24.1-10.10.27.254/2210.10.24.1/224DD1、D2、D32510.10.28.1-10.10.31.254/2210.10.28.1/225EE2610.10.32.1-10.10.35.254/2210.10.32.1/226F1F12710.10.36.1-10.10.39.254/2210.10.36.1/227F2F22810.10.40.1-10.10.43.254/2210.10.40.1/228HH2910.10.44.1-10.10.47.254/2210.10.44.1/229JJ3010.10.48.1-10.10.51.254/2210.10

23、.48.1/2210KK3110.10.52.1-10.10.55.254/2210.10.52.1/2211LL3210.10.56.1-10.10.59.254/2210.10.56.1/2212MM3310.10.60.1-10.63.51.254/2210.10.60.1/2213NN3410.10.64.1-10.10.67.254/2210.10.64.1/2214PP3510.10.68.1-10.10.71.254/2210.10.68.1/2215QQ3610.10.72.1-10.10.75.254/2210.10.72.1/22七、优化及安全配置1.频率配置及协议支持说明

24、：现场2.4G、5.8G均采用蜂窝部署。其中2.4G使用信道1、6、11并关闭对11b协议支持；5.8G使用信道149、153、157、161、165（AU模式与5.8G类似）。 2.4GHz： 161116111611116111611161115.8GHz：149153157161165157161165149153161165149153157149153157159161关闭11b支持，在wlan rrm视图使用disable-rate命令关闭1 2 5.5 11Mbps速率配置命令：Wlan rrmdot11g mandatory-rate 6 9 12 24dot11g suppo

25、rted-rate 18 36 48 54 dot11g disabled-rate 1 2 5.5 112.功率控制 说明：2.4G、5.8G射频均采用最低功率发射。 配置命令： wlan ap test model WA2620i-AGN radio 2 max-power 5 /缺省最大，推荐配置5。11a根据现场情况微调。 radio enable3.最大用户数限制 说明：单AP接入的所有无线客户端实际上是共享一个信道的物理带宽，当单AP接入的用户数过多，会导致所有用户的带宽降低，用户体验下降，甚至导致“网络不可用”的极端情况出现。所以在高密度接入的情况下，需要对单AP能接入的最大用户

26、数做限制，防止过多用户拥挤在某一个AP上导致体验下降。 配置命令： wlan radio-policy 1 client max-count 50 /缺省64，推荐配置50。 wlan ap test model WA2620i-AGN radio 2 radio-policy 1 radio enable4.无线用户限速说明：针对VIP的SSID，我们单用户限速2Mbps，针对普通的SSID，我们单用户限速1Mbps。配置命令： wlan service-template 1 clear ssid 360vip bind wlan-ess 1 client-rate-limit direct

27、ion inbound mode static cir 2048 /上行限速2M client-rate-limit direction outbound mode static cir 2048 /下行限速2M service-template enablewlan service-template 2 clearssid 360bind wlan-ess 2 client-rate-limit direction inbound mode static cir 1024 /上行限速2M client-rate-limit direction outbound mode static cir

28、 1024 /下行限速2Mservice-template enable5.调整beacon帧间隔配置命令：wlan radio-policy 1 Beacon-interval 160 /缺省100，建议配置160。 Wlan ap test model WA2620i-AGNradio 2radio-policy 1radio enable6.关闭probe广播应答配置命令：Wlan ap test model WA2620i-AGNradio 2undo broadcast-probe reply7.频谱导航功能说明：频谱导航功能是基于单个AP实现的。单射频的AP不支持导航；对于双频AP

29、，频谱导航会给终端更多的机会接入5.8G频段。实现方式是通过拒绝用户接入2.4G频段。如果5GHz射频接收到的客户端RSSI低于设定门限值，则不会将此客户端导航。配置命令： wlan rrm band-navigation enable band-navigation rssi-threshold rssi-threshold /取值5100，缺省15。 wlan ap ap01 band-navigation enable /缺省开启。注意事项：由于该特性主要通过拒绝终端当前的链接请求，给终端提供5GHz更多的链接机会，有可能会出现终端接入网络时间相对比较长的问题。8.开启无线用户vlan内

30、二层隔离说明：同一VLAN内，来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播，而且在空间介质中广播报文通常使用最低速率进行发送。当广播报文比较多时，会占用较多的空口资源，在一定程度上影响到整个网络应用。无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备，而不能互相之间访问。这样可以大量减少整个WLAN网络的广播流量，提高WLAN网络的整体性能。配置命令：【命令一】user-isolation vlan vlan-list enable【参数】 vlan-list：vlan-list为VLAN列表，其表示方式为vlan-list = vlan-id to vla

31、n-id &<1-10>。其中，vlan-id为指定VLAN的编号，取值范围为14094。&<1-10>表示前面的参数最多可以输入10次。【命令二】user-isolation vlan vlan-list permit-mac mac-list【参数】vlan-list：在指定VLAN内配置用户隔离功能。vlan-list为VLAN列表，表示多个VLAN。其表示方式为vlan-list vlan-id to vlan-id &<1-10>，其中，vlan-id为指定VLAN的编号，取值范围为14094。&<1-10>表示前面的参数最多可以输入10次。mac-list：允许的MAC地址列表，格式为H-H-H，在一个VLAN内最多可以配置16个允许的MAC地址，该MAC地址不允许为广播或组播地址。【举例】 # 在VLAN 1上开启用户隔离功能，允许访问MAC地址为00bb-cc