计算机网络基础及局域网构建实习案例二十

计算机网络基础及局域网构建实习案例计算机技术系二〇一七年五月目录一、序言 1二、需要分析及方案 11．无线网络构建方案 12．无线网络山庄实施方案 33．固定场所网络实施分析 41.Vlan的划分 52.VTP的配置 63.NAT配置 77.静态路由配置 8四、网络安全 91.无线网络安全 92.SSID与WEP 133.安全方案 144．解决安全性时所遇到的隐患 14五、网络工程造价及设备部分参数 151.网络工程造价 15六、验收 181从客户端进行检测 182.在覆盖区域进行检测 193.区域角落检测的目的 19实习案例二十、山庄酒店办公无线网络设计与实现一、序言无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势，获得了家庭网络用户、广大企业用户及电信运营商的青睐，得到了快速的应用，也正是凭借可移动性强的特点，使许多人更加依赖无线上网，使用无线网络也正在成为一些企业办公使用的一种信息交流方式之一。根据无线信号的覆盖范围、组建无线网络的安全性、无线设备的兼容性等等问题。本文所要介绍的就是如何采用无线局域网技术来组建企业无线局域网，就组建一个中型无线局域网的过程进行详细的解析,并对如何合理配置路由器以提高无线局域网的安全性进行阐述。就互联网的发展趋势。

关键词：无线局域网、可移动性强、组建、配置、安全、覆盖、扩展

二、需要分析及方案1．无线网络构建方案对于很多娱乐场所来说，如何快速安全的组建网络，接入Internet，跨入信息化之门，是其迫切需要解决的问题。现在S选择有线的方式来组建局域网，会受到种种限制，例如，布线会影响办公场所的整体设计，而且也不雅观等。通过无线局域网不仅可以解决线路布局，在实现有线网络所有功能。同时，还可以实现无线共享上网，凭借着种种优点和优势，越来越多的企业开始把注意力转移到了无线局域网上，而究竟该怎么样来架设这种企业办公及娱乐场所的网络呢?下面就来。如何采用无线局域网技术来组建企业办公无线局域网详细的解析。自1999年IEEE802.11b标准得到批准后，无线局域网的应用变得越来越普遍。无线接入可以迅速、方便地部署到任何环境中。如果在企业中应用，那么在每次需求发生变化时，可以为办公区域与娱乐场所，节省布线及端口的设置所需要的时间和成本。我们可以用一种安全、经济的方式将网络连接拓展到整个需要划分的区域，使工作人员、用户无论在室内还是室外都可以接入网络。网络已经成为当今获得信息的主要手段之一，也因而变得前所未有的重要，细心观察不难发现传统有线网络容易出现以下问题：

（1）公共网络设施有限，而且使用频繁，人们为了上网不得不在这些地点之间奔波；

（2）计算机设备较多，其中，笔记本数目也在逐步增加。在这种情况下，全部用有线网连接终端设施，从布线到使用都会极不方便；

（3）建筑结构布局，地面和墙壁已经施工完毕，若进行网络应用改造，埋设缆线工作量巨大，而且如果娱乐场所位置不是很固定，导致信息点的放置也不能确定，这样，构建一个有线局域网络就会面对各种不便；

（4）用有线光缆连接一个块区域的网络工程复杂、成本高。

而使用无线网络，无论是住所还是娱乐的地方都可以实现全方位的无线上网。2．无线网络山庄实施方案

随着人们生活水平的日益提高及互联网络的迅速发展。办公自动化和信息化已成为企业成长的关键因素。针对这种情况，拟定山庄酒店这样的场所，对无线办公的应用需求、设备采购及无线办公组网方案。针对所做的设计方案，一方面要考虑无线网络的覆盖问题，另一方面也要考虑无线网络安全对网络管理提出的挑战。对于山庄这样的场所局域网一般具有较大的规模，不是无线产品的简单组合，而是一种整体的网络系统。考虑到日后扩展的需要，无线局域网系统应尽量保证高吞吐量、安全的移动性以及与有线网络的无缝结合。=1\*GB3①无线网络的容量需求：我们要对主体楼栋的每层的无线覆盖都是通过AP加天线实现的。为满足无线网络的容量需求，无线网络在网络规划时首先需要考虑AP（无线接入点）蜂窝直径内的用户数量与应用内容。用户数量和应用内容是推动带宽需求增长的主要因素。由无线网络的特点决定，用户对带宽的需求越高，要求信号质量越好，从而减小了无线信号的覆盖范围，要计算网络的容量，首先需要确定在覆盖区域和这个区域中的客户机数量，从而计算出这个区域提供服务所需的总带宽，然后在保证网络带宽的前提下，计算提供足够的覆盖所需要的AP数量。

=2\*GB3②无线网络的覆盖范围：一般情况下AP的通信范围，室内被限定在50～100米左右、室外被限定在100～600米左右，AP的支持最大的使用用户是80个，在20-30个用户使用的时候最佳。一般空旷场地AP的覆盖范围可达到100m，一般在室内可以穿透2堵墙信号良好，覆盖范围在50m左右。通过增加天线可以增加发射功率，每增加3dBi可以增加一倍的发射功率。

无线局域网用户往往被束缚于局部空间内，一旦超越信号覆盖范围，那么就会失去与网络的连接，无法继续进行通信。

针对这种状况，采用多AP微蜂窝无线覆盖可以得到很好的解决。实施微蜂窝覆盖，首先要建立包含多个访问点的无线网络，将要提供服务的范围划分为若干个基本服务区，每个区域由一个访问点以及与其关联的无线客户端构成。无线客户端与访问点关联采用AP的基本服务区标示符（BSSID），内部设备都使用同一个频道通信，相邻蜂窝选择不同的频道。每个接入点分别与有线网络相连，从而形成以有线网络为主干的多接入点的无线网络，这样可以有效地扩大无线网络覆盖面积，达到在较大活动空间无线覆盖的目的。

其特点与移动电话的蜂窝系统十分类似，系统允许一个用户在不同的接入点覆盖区域内任意漫游，随着位置的变换，无线客户端会扫描附近的接入点，并根据信号的强弱和包错误率来自动获取IP地址，选择一个接入点进行连接，一旦找到新的接入点，无线客户端就向其发送重新关联请求。如果能够收到重新关联响应，信号会由一个AP自动切换到另外一个AP，整个切换过程对用户是完全透明的，而且在切换的过程中网络不会感觉到中断。3．固定场所网络实施分析

针对酒店这样固定的场所呢，采用传统的交换机或集线器组成的星型有线网络，虽然硬件成本较低，但布设难度较大。要实现网络到桌面，烦杂的网络布线和工位布局让人头痛。

而如果能采用无线组网技术，则只需采用少量的布线，在根据每个建筑的结构或电脑的位置，布置单个或数个无线路由器或AP，就能实现桌面PC及移动用户的以太网服务，就可保证住宿区内、办公区内或户外所有用户都能够便捷的使用无线。这样不仅能够在布设时更自由调整网络结构和随意增加减少工位，还能在一定程度上满足用户娱乐对移动网络需求，提高服务的质量。通过无线路由器的使用，可兼顾传统的有线星型网与无线网络的优点，其较低的布线费用、较低的网络维护费用是有线网络所不能比拟的，对财力有限和没有很专业的网络维护技术人员的企业都很适合，并且，通过无线路由器的使用，它不仅可让企业、办公室中多台电脑共享上网，提供1个10/100M自适应以太网(WAN)接口，可接ADSL/CableMODEM或以太网交换机/路由器等多种宽带或网络接入方式。内置的4个交换机端口方便您在无线之外，用有线方式直接连接4台或更多的计算机。不需要大规模改造，在原有的有线局域网基础上添加无线设备，进行无线网络升级，就可以满足新增终端和无线办公的需求。三、进行网络配置1.Vlan的划分为了使每个部门内部可以互相不混乱的进行通讯，根据每个部门划分，在整个网络是以部门为单位的，这样就简便了很多；同时无线网是覆盖整个划分区域的，所以要在任何一个角落都要能上网，将娱乐、住所，以及温泉等等地理上距离近的作为一个部门来与网络连接；详细请见下表格3-1所示：

Switch#vlan

database

Switch(vlan)#vlan

2

VLAN

2

added:

Name:

VLAN0002Switch(vlan)#vlan

3

VLAN

3

added:

Name:

VLAN0003Switch#vlan

database

Switch(vlan)#vlan

17

VLAN

17

added:

Name:

VLAN0017

Switch(vlan)#vlan

18

VLAN

18

added:

Name:

VLAN0018

2.VTP的配置VTP的配置

在校园网络中，随着用户的不断增加，信息不能达到更新，同时在网络中心不能给予控制，对于整个网络而言是一件很麻烦的事情，在交换机的配置上就要想到信息更新这一点，在接入层交换机上多了一个部门，而三层交换机却没有显示；或者在三层交换机上对部门进行了改动，而接入层交换机上没有相应的改变，则三层交换机上则无法控制网络，有可能使网络瘫痪，所以VTP配置是相当有必要的。在接入层交换机上配置

Switch(vlan)#vtp

domain

123

Changing

VTP

domain

name

from

NULL

to

123

Switch(vlan)#vtp

password

wangluo

Switch(vlan)#vtp

client在三层交换机上配置Switch(vlan)#vtp

domain

123Switch(vlan)#vtp

password

wangluo

Setting

device

VLAN

database

password

to

wangluo

Switch(vlan)#vtp

server3.NAT配置随着网络的日益扩大，将要面临着IP地址的缺乏，可网络用户不会减少反而大幅度的增加，对于这样一个问题，在一些单位乃至于学校都要用到一个NAT地址转换技术，这是针对地址缺乏而用的。在外部网络里面使用的都是公网地址，需要将内部网络地址转换为公网地址就可以上网。NAT配置：（采用端口复用）Router(config-if)#exit

Router(config)#int

f0/0

Router(config-if)#ip

nat

insideRouter(config-if)#int

s0/0

Router(config-if)#ip

nat

outside

Router(config-if)#exit

Router(config)#access-list

2

permit

any

Router(config)#ip

nat

ins

Router(config)#ip

nat

inside

sou

Router(config)#ip

nat

inside

source

list

2

interface

s0/0

overload7.静态路由配置静态路由配置

做NAT地址转换的时候

在内网以默认路由方式将内部网络的全部数据包发送到外网

外部网络要做回路由进行通信。具体配置如表3-6所示：

Rout四、网络安全1.无线网络安全从某种意义上讲，无线网络是非常不安全的。原因很简单，所有的无线讯号都在网络中进行传输，因此，任何一台在无线网络覆盖范围内的计算机都能够截获这些信号。无线信号都是在空气中传播的，只要是在信号覆盖范围内，一些非法用户就可以无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。解决办法是使用身份验证来防止未经授权用户的访问，换句话说就是使用各种加密手段来防止非法用户入侵。无线网络的架设和接入无线网络都很方便，病毒及黑客的攻击也是会对无线局域网络构成威胁，很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。黑客可以通过简单配置就可快速地接入网络主干，使网络暴露在攻击者面前，因此必须加强防范措施。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。常见的解决方法是加装防火墙、将客户端安装升级和杀毒软件等，另外还要将公司的无线网络与核心网络隔离。但对于中小企业办公无线网络用户来说，必要的安全设置和安全防范也必不可少。对于多数中小企业办公无线网络用户，我们推荐以下方案：=1\*GB3①使用DMZ主机

对于FTP、IIS、POP3、P2P等网络应用虽可使用端口映射来解决问题，但还是不如设置DMZ主机来得直接与安全。DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间。

在无线路由器中，可将一台不重要的部门电脑设置成DMZ主机。其设置很简单，在设置页面中将“DMZ主机”选项开启。让后将作为DMZ主机的电脑的IP地址填入(先将该电脑的IP地址手工设置为与路由器同一网段的固定IP地址)即可。

需要说明的是设置DMZ主机之后，与该IP相关的防火墙设置将不起作用。其所有端口都会向Internet开放，将承担很大的安全风险，所以所选择的电脑应是没有安装任何重要数据和资料的办公电脑。但这种方案的采用，可让网内其它重要电脑相对更安全，并且将DMZ主机用来与外部进行非重要数据交换及网络下载都十分有用。=2\*GB3②关闭SSID广播

SSID(ServiceSetIdentifier)，也可以写为ESSID，是无线AP或无线路由器的标志字符，有时候也译为“业务组标志符”、“服务集标志符”或“服务区标志符”，该标志主要用来区分不同的无线网络。默认情况下，无线路由器都开启了SSID广播功能，只要其信号覆盖范围内的具备无线网卡的电脑都可很方便的接入该网络。而关闭SSID广播后，其信号覆盖范围内的具备无线网卡的电脑要想接入该网络，就必需输入对应SSID名称(可定期更换)才行。=3\*GB3③通过MAC地址限制MAC地址是MediaAccessControl缩写，它是在网络中唯一能标识您的计算机的硬件地址，存在于你所购买的网络设备上。每块合法的无线或有线网卡在出厂时都被赋予了一个MAC地址，且所有的网卡的MAC地址都不会重复，所以，启用无线路由器具备的MAC地址限制可让非认定的网络设备不能接入本网络。其使用很简便，先开启无线路由器配置页面中的MAC地址过滤功能，再将过滤规则设为仅允许已设MAC地址列表中已生效的MAC地址访问本无线网络。然后，填入本办公室局域网内的电脑的有线或无线网卡的MAC地址。这样，其它非法或非认证电脑就不能接入本网络。=4\*GB3④启用WEP/WPA加密可考虑使用WEP/WPA加密。特别是利用瞬间密钥完整性协议(TKIP)加密和802.1x的WPA，以及利用AES高级加密标准的WPA2加密，其安全性都还是比较高的。

在设置时在安全认证类型中选择相应的安全规格，然后密钥内容中输入对应密钥(任意数字或英文)，保存设置即可。=5\*GB3⑤身份验证：一个客户机在进行身份验证之前不能接入到无线LAN中。IEEE

802.11b标准定义了两种身份验证的方法：开放和共享密钥。身份验证必须在每台客户机上进行设置，并且这些设置应该能够与想和客户机通信的所有访问点相匹配。开放式身份验证为缺省的方法，整个验证过程以明码电文的方式完成，客户机即使没有提供正确的WEP密钥也能和访问点进行通信。在共享密钥的方法中，访问点发送给客户机一个询问文本信息包，客户机必须使用正确的WEP密钥对它进行编码，并且把它返回访问点。如果客户机提供的密钥错误或者根本没有提供密钥，说明身份验证失败，它将不会被允许和访问点进行通信。一些无线LAN厂商支持基于客户机物理地址，或者说基于介质访问控制（MAC）地址的身份验证方法。只有当客户机的MAC地址与访问点所使用的验证表中的地址相匹配时，访问点才允许客户机与它进行通信。

=6\*GB3⑥无线VLAN的安全性：

IEEE

802.11b标准定义了两种机理来提供无线LAN的访问控制和保密：服务配置标识符（SSID）和有线等效保密（WEP）。还有一种加密的机制是通过透明运行在无线LAN上的虚拟专网（VPN）来进行的。因为VPN的使用独立于任何本地无线LAN安全方案，所以本文不涉及它的讨论。保密：通过只允许有正确WEP密钥的用户来对无线LAN的数据流进行加密和解密，从而达到保密的目的，尽管WEP是可选的，但WECA要求Wi-Fi认证的产品要支持WEP的40位密钥，因此WECA成员都支持WEP。有的厂家利用软件实现加密和解密过程的大量计算，也有的厂家，如Cisco，利用硬件加速器来保证数据流加密和解密过程中的性能损失最小。

IEEE

802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中，无线子系统中所有的工作站（包括客户机和访问点）共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后，它可以安全地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配，也就越有可能暴露。在第二种方案中，每个客户机建立和其它工作站"密钥映射"关系。这种方案工作起来更为安全，因为拥有密钥的工作站更少。但是当工作站的数量不断增加时，分配这样一个独一无二的密钥会变得很困难。2.SSID与WEPSSID无线LAN中经常用到的一个特性是称为SSID的命名编号，它提供低级别上的访问控制。SSID通常是无线LAN子系统中设备的网络名称；它用于在本地分割子系统。SSID做为编号来允许/拒绝访问是危险的，因为SSID的安全性并不好。把无线客户机连接到有线网络的设备称为访问点，它通常在自己的信标中广播SSID。

IEEE802.11b标准规定了一种称为有线等效保密（或称为WEP）的可选加密方案，提供了确保无线LAN数据流的机制。WEP利用一个对称的方案，在数据的加密和解密过程中使用相同的密钥和算法。WEP的目标包括访问控制：防止没有正确WEP密钥的非授权用户获得网络的访问权。3.安全方案我们所需要的无线LAN安全解决方案，应该利用基于标准的和开放的结构，充分利用802.11b安全部件，提供最高级别的可用安全性，实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容，这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面：可扩展身份验证协议（EAP），是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务（RADIUS）的扩展。IEEE

802.11X，用于控制端口通信的推荐标准

在使用安全解决方案时，在用户进行网络登录之前，与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中4．解决安全性时所遇到的隐患总的来说，为了确保本部分所提到的安全性，无线LAN安全方案应做到：无线LAN身份验证基于与设备独立的项目，如用户名和口令等，不论在哪一部客户机上运行，这些项目都由用户拥有和使用

支持客户机和验证（RADIUS）服务器之间的双向身份验证使用由用户身份验证动态产生的WEP密钥，并不是和客户机物理相关的静态密钥支持基于会话的WEP密钥

第一代无线LAN安全性能依赖于访问控制和保密的静态WEP密钥，它并不能解决以上这些需求。五、网络工程造价及设备部分参数1.网络工程造价为使的任何一个角落进行上网，设计方案以上提出，现在对所购硬件进行统计和价格统计：

无线AP：247个

价格为：247*170=41990元

室外：4个价格为：4*320=1280元

（规格：室内：TWL54A

距离为100米

170元

室外：WA1008

600米

320元）

桌面化交换机：30个

价格为：30*120=3600元（规格：中兴ZXR101008120元）

接入层交换机：5个

价格为：11*500=5500元（规格：腾达TEG1024

500元）汇聚层交换机：2个

价格为：2*2400=4800元（规格：H3CS5024P

2400元）

三层交换机：1个

价格为：37500元（规格：h3c

LS-S5600-50C

37500元）

防火墙1个价格为：118000元（规格：H3CSecPathU200-CS-AC7199元）无线路由器