基于WLAN的校园网的设计与实现

基于WLAN的校园网的设计与实施基于WLAN的校园网的设计与实施基于WLAN的校园网的设计与实施 南阳理工学院本科毕业设计（论文）基于WLAN的校园网的设计与实施DesignandImplementationofCampusWLAN学院（系）：计算机与信息工程学院专业：通信工程学生姓名：学号：指导教师（职称）：评阅教师：完成日期：南阳理工学院NanyangInstituteofTechnology基于WLAN的校园网的设计与实施[摘要]随着科技的发展，传统的有线网络已不能满足人们的需要，特别是在校园里，“随时随地获取信息”已成为广大师生们的新需求。基于WLAN的校园网络，它利用的是交换技术，基于IEEE802.11标准，采用层次化结构，取代旧式的双绞铜线所构成的有线局域网络，使得用户能够利用其简单的存取架构，信息随身化、随时随地连接网络世界。无线局域网弥补有线局域网络之不足，以达到网络延伸之目的。[关键词]:WLAN；校园网；拓扑结构；网络安全；DisigenandImplemenationofCampusWLANAbstract:Withthedevelopmentofscienceandtechnology,thetraditionalwirednetworkcannotmeettheneedsofpeople,especiallyinthecampus,"anytime,anywhereaccesstoinformation"hasbecomeanewdemandofthebroadmassesofteachersandstudents.BasedontheWLANwirelessnetworkconstructionofcampusnetwork,whichusesradiofrequencytechnology,basedontheIEEE802.11standard,usingtheswitchtechnolge,replacingtheoldtwisted-paircopperwireofwiredlocalareanetwork,enablestheusertouseaccesstoitssimplearchitecture,informationwithyou,anytime,anywheretoconnecttotheInternetworld.Wirelesslocalareanetwork(LAN)makeuptheshortageofwiredlocalareanetwork,inordertoachievethepurposeofextendingthenetwork.Keywords:wirelesslocalareanetwork;campusnetwork;topology;security 目录97981绪论 网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。目前，在国外高等教育中很多国家的无线网络技术基础较好，发展及应用也非常快，最具典型的是北美和欧洲的一些国家，在这些高校里面，大学生使用笔记本电脑，PDA等便携式移动设备的比率是较高的，因而他们的无线局域网工程的应用也比较早，然而，我国多数高校目前在网络工程的应用方面起步较晚，个别大学虽然已经投入了该工程，但是往往局限应用在科研方面，这往往是因为有线网络的优点决定的，但是有线网络缺少灵活性，随着无线标准的成熟化和设备的普及，以及移动学习的工具和需求的增加，无线校园网因其高度的灵活性和自由性将在今后的教育中起着非常重要的作用。1.3本文研究的内容通过对新乡学院学校校区的研究和需求调查，明确了该校的性质，任务和新校园网建设的需求和条件，确定了建设无线校园网使用的关键技术，在网络出口利用了防火墙技术，实现了Internet上用户与无线校园网内部用户之间的互访进行了有效的控制，使用NAT地址转换技术节约了公网地址的开销，在核心层和汇聚层采用了路由协议，实现了路由的快速收敛，在汇聚层采用VRRP技术，链路集合，设备冗余技术，汇聚层和接入层采用STP技术实现了网络资源的高可利用性，解决了单点故障问题。在该校用户应用需求分析的基础上，确定网络拓扑结构和功能，根据应用需求建设目标和学校的主要建筑分布特点，进行系统分析和设计，进行设备选型，地址规划，然后做出网络调试配置，最后对全网进行网络测试，确保满足该校广大师生的需求。2校园无线局域网的需求分析新乡学院有东校区和西校区两个大校区，总占地面积1126.96亩，校舍总建筑面积36.64万平方米，教学科研行政用房20.03万平方米。现有全日制在校生10000人，设有15个教学系（部），46个专业，学校现有专任教师526人，现在西校区有基础部，社会科学部，材料工程系，自动控制系，计算机科学与技术等系部，还有其它机构建设，在这里不再一一列举。根据该校现在的状况，首先要对学校现状认真分析，确定学校师生对网络的真正需求，在满足学校需求的同时，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，为学校师生提供满意的高质量的服务。2.1校园网的需求分析根据对学校的调查与研究，对新乡学院的需求有了详细的了解，现根据学校师生的需求制作表格，如图2-1所示。表2-1学校需求用户需求学生确保学生可以正常上网确保网络可用性确保上网的安全性上网账号唯一性数据上传和下载的及时性教师确保正常上网确保网络可用性确保上网的安全性数据上传和下载的及时性财务老师个别主机可以接入外网网络可用性网络安全性非财务人员主机接入财务无效数据的及时传输性网管老师易于管理管理安全性网络流量监控分析远程控制各院系网络安全控制，数据共享安全需求网络访问控制信息传输保护攻击防护灾难防备计划针对上述学校用户需求，以及学校实际情况采用如下分析方法解决，解决方案如表2-2所示。表2-2需求分析用户需求需求分析学生确保学生可以正常上网全网实现互联，确保连通性确保网络可用性网络出口采用一台ASA防火墙，保护内部安全，核心层采用一台6000系列设备，确保6年之内不会出现问题，汇聚层采用两台设备冗余，链路聚合，接入层采用双上联确保了网络的可用性确保上网的安全性网络出口采用一台ASA防火墙，对内外互访进行了有效的控制，采用ACL技术，限制了学生对某些不良网站的访问上网账号唯一性采用认证服务器认证，只有通过认证的用户才可以上网，没用通过的禁止上网数据上传和下载的及时性汇聚层采用设备冗余，链路聚合，接入层采用双上联充分利用了带宽，保证了大量用户同时传输和下载数据的及时性教师确保正常上网全网实现互联，确保连通性确保网络可用性网络出口采用一台ASA防火墙，保护内部安全，核心层采用一台6000系列设备，确保6年之内不会出现问题，汇聚层采用两台设备冗余，链路聚合，接入层采用双上联确保了网络的可用性确保上网的安全性网络出口采用一台ASA防火墙，对内外互访进行了有效的控制，采用ACL技术，防止了一些攻击数据上传和下载的及时性汇聚层采用设备冗余，链路聚合，接入层采用双上联充分利用了带宽，保证了大量用户同时传输和下载数据的及时性财务老师个别主机可以接入外网为了保护网络安全只允许一台主机接入网络，为了跟银行通信网络可用性网络出口采用一台ASA防火墙，保护内部安全，核心层采用一台6000系列设备，确保6年之内不会出现问题，汇聚层采用两台设备冗余，链路聚合，接入层采用双上联确保了网络的可用性网络安全性外部采用一台ASA防火墙保护了内网的安全，采用ACL禁止外部和内部对财务的访问，并且财务的其他主机不允许接入外网，只允许个别主机接入非财务人员主机接入财务无效采用MAC地址绑定，只有财务主机可以接入，并且只允许学习一个MAC地址网管老师数据的及时传输性汇聚层采用设备冗余，链路聚合，接入层采用双上联充分利用了带宽，保证了数据上传到服务器的及时性易于管理汇聚层配置成服务器模式，接入层配置成客户端模式，信息自动同步，方便了管理和信息更新管理安全性链路采用认证，启动设备自身安全，登陆设备都需要认证服务器认证才可以通过，密码密文显示，密码最小长度为10，30秒内错误3次，1分钟内不允许登录，但是管理的登录还是可以的，发送LOGIN信息给管理员网络流量监控分析采用端口镜像进行对流量进行监控，用日志服务器对日志进行实时分析远程控制配置远程控制链路密码，进行远程调试管理各院系网络安全控制，数据共享院系直接采用不同的VLAN，防止二层攻击，通过三层实现不同院系之间通信，达到数据共享安全需求网络访问控制出口采用一台ASA防火墙对内外用户之间的互访进行了有效控制，采用ACL禁止一些非法访问信息传输保护新老校区采用VPN保护了数据在公网传输的安全性和可用性，防止非法用的窃取和篡改攻击防护出口采用ASA防火墙保护了外部对内部的DOS等攻击灾难防备计划学校采购设备时预备一些多余的设备防止灾难性情况的发生，当一些设备出现故障可以及时更换2.2网络拓扑规划根据自己大学所实践的东西以及上面的需求分析，综合此项目所要解决需求分析，全局上采用接入层、汇聚层、核心层三层架构，层次型网络有很多优点：(1)易于理解和管理。层次化设计将平面网络分为易于管理的小型模块，使网络结构清晰明了，可以在不同层次实施不同难度的管理，降低了对专业技术人员的要求和管理维护代价、成本。(2)易于扩展和排错。层次化设计中，模块化所具有的特性使得网络足够灵活，在网络扩展时可以将网络的复杂性限制在具体层次模块，不会蔓延影响到网络中的其它地方，而在平面设计和网状设计中，任何一个节点的变动都将对网络产生很大的影响。又由于层次化设计使得网络拓扑结构清晰简单，易于理解，网络管理员能够轻易确定网络故障范围，简化了排错过程。(3)安全可用性。层次化模型能够控制广播过滤不必要的数据流，本地数据将留在本地，只有前往其他网络的数据流才进入更高层，每层互不影响保证了安全可用性。且不同于平面网络，随着设备和应用程序的增多，响应时间将逐渐，最终导致网络不可用。根据上述需求分析，规划出网络拓扑结构图如2-2所示。图2-2网络拓扑图图中核心层的与网络出口防火墙ASA5520用万兆光纤相连接，采用万兆是因为核心层主要是负责数据的高速转发，对带宽速率要求较高。无线控制器旁挂在核心交换机上，汇聚层的设备采用千兆的光纤与接入层相连接，千兆相比于百兆肯定速度快，这不用细说。我们知道铜线每秒能达到1.54MHZ的速率，光纤网络的运行速率达到了每秒2.5GB；从带宽上看，很大的优势是光纤具有较大的信息容量，这意味着能够使用尺寸很小的电缆，将来不用更新或增强传输光缆中信号；光纤对诸如无线电，电机或其他相邻电缆的电磁噪声具有较大的阻抗，使其免受电噪声的干扰；从长远维护角度来看，光缆最终的维护成本会非常低，光纤使用的是光脉冲沿光线路传输信息，以替代使用电脉冲沿电缆传输信息；光纤传输具有衰减小、频带宽、抗干扰能力强、安全性能高、体积小、重量轻等优点，所以在长距离传输和特殊环境等方面具有无法比拟的优势。由于三层构架可以将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。接入层与汇聚层交换机相连采用双上联的连接方式，双上联可以实现流量负载分担及策略的部署，当其中的一台链路down掉之后，另外一台链路可以使用，接入层和AP之间用的是百兆的双绞线连接起来,图中接入层的设备均为代指，其数量不是现实的设备数量。另外，图中所示的宿舍的设备连接的为代指即每一栋的学生宿舍楼的连接方式均为图中所画的那样，在这里仅用这一处做代表说明，其他部分情况类似。2.3IP地址的规划随着网络技术的发展，网络应用的迅速普及，IPv4地址数据急剧的短缺，地址的数量已经不能满足用户的需求，在IPV6技术还没有成熟的实施的情况下，合理的规划IPv4地址显得尤为重要，IP地址是网络的基础，合理的IP地址规划方案不仅可以减少网络负荷，还能为以后网络扩展打下良好的基础。在IP地址设计和分配时，主要遵循以下几个原则：自治、有序、可持续性、可聚合、尽量节约IPv4地址、闲置IP地址回收利用。新乡学院无线校园网规模一般较大，适合使用分层网络编址，有效的分层编址结构将核心层有类网络地址逻辑性地划分为分布层和接入层使用的更小子网。采用分层地址结构可以优化网络性能，保证网络安全，简化网络管理和故障排除工作，提升可扩展性和路由性能。要通过子网划分来创建分层设计，关键是对子网掩码的结构有着清晰地了解，在分层网络编址中，我们使用变长子网掩码（VLSM）制定子网划分方案。VLSM不仅能够更有效地利用IP地址空间，还可以让路由器能够在除分类网络边界外的其他地方汇总路由。在IP编址方案中使用变长子网掩码（VLSM）时，必须使用支持无类域间路由选择（CIDR）的路由选择协议，这里主要用OSPF。这种协议在路由选择更新数据包中发送前缀长度和路由信息，让路由器无需使用默认掩码便可确定地址的网络部分。如表2-3所示。表2-3网络拓扑连接与IP规划设备设备名称设备接口IP地址交换机Core-AG1/3/30G1/4/30G1/5/30Conver-AG1/3/30Conver-BG1/30/30防火墙ASA-AGE0/0/30GE0/1/30GE4/29GE2/29三层交换机Conver-AVLAN10/16VLAN20/16VLAN30/16VLAN40/16VLAN50/16VLAN60/16Conver-BVLAN10/16VLAN20/16VLAN30/16VLAN40/16VLAN50/16VLAN60/16三层交换机Conver-BEth03/30Eth/30无线网络WLC5500子网设备管理IP地址，WLC5500为无线用户为无线用户自动分配ip地址，ip范围为(-55)3校园无线局域网的设计3.1校园网建设的原则1.合理利用有限资金。2.统一规划，软硬兼顾，分期实施，明确近期目标。3.技术先进成熟，总体性能价格比高。4.实用、易用，便于维护、管理。5.保护以往投资，兼容已有系统。6.支持灵活的扩展性和可重组性，考虑未来需求。7.采用开发产品，遵循国际标准。8.主干系统除遵循上述原则外，必须具有高可靠性、高安全性、高效性及可管理性。9.信息到系，主要建筑间光缆连接，建筑物内采用无线覆盖。系统应用以Intranet技术为优。3.2总体设计的方案建设高速、稳定和安全的网络环境。采用主流的以太网技术核心，交换机可带千兆三层交换模块，二级交换机采用带扩充槽的快速以太网交换机，可实现三层交换、百兆主干（可升级到千兆）、百兆交换到桌面。可根据学校的应用类型，例如办公、多媒体课室、课室、网络中心等功能划分VLAN和子网。进行教师队伍的培训，包括网络知识、相关硬件使用、多媒体软件使用、教育资源中心等。通过培训，逐步使教师从‘使用资源’发展到‘制作资源’。3.3校园网网络系统各层设计方案3.3.1核心层设计方案核心层的功能主要是实现骨干网络之间的优化传输，核心层设计任务的重点通常是处理数据能力强，可靠的和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。在核心层设计时，一般采用最快速率的链路连接技术，故在路由协议的选择上，采用链路状态的OSPF协议，核心设备之间采用三层端口聚合技术实现冗余，负载分担作用,这样规划一是能够有良好的层次感，利于实现较为复杂的网络功能要求；二是这样分层能够使每层的功能较容易实现也较清楚；三是采用这种分层方式可以支持较大的网络规模便于校园网网络的升级扩大，核心层选用6000系列，如图3-3所示。在设计核心层结构时，还应该充分考虑到以下几点因素：(1)核心层交换机要有充足的带宽。(2)必须具有高可靠性。(3)强大的数据处理能力。(4)高速的转发速率。图3-3核心层网络设计拓扑图3.3.2汇聚层设计方案汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能，用于在各个本地网络之间转发流量，主要完成校园网中办公楼宇和相关部门内接入交换机的汇聚及数据交换和VLAN终结，它与路由选择、过滤相关联，必须满足其他两层的需求，且能提供足够大的带宽。汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。为实现接入层的不同VLAN之间的通信，在接口上设置SVI口，为保证在汇聚层上数据的正常的通信，就必须保证在设备出现问题时能够正常的工作，在设备上设置MSTP防止产生广播风暴，设置二层端口聚合提高链路可靠性及冗余，设置VRRP防止汇聚层出现单点故障后导致接入层用户上网不正常，如图3-4所示。在设计汇聚层结构时，还应该充分考虑到以下几点因素：(1)必须具有冗余和流量均衡的功能。(2)能够实现各种安全策略以保证网络的安全和数据包转发的合理。(3)配置多层交换机最佳，以方便网络的扩展。(4)地址的聚集。(5)安全控制。图3-4汇聚层网络设计拓扑图3.3.3接入层设计方案接入层为用户提供对本地网段的访问，它的主要作用是将工作组计算机与汇聚层连接起来，主要完成逻辑网络分段，给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务，如图3-5所示。在设计接入层结构时，还应该充分考虑到以下几点因素：(1)提供不同数量的100M端口到用户，提供1000M上行链路端口到汇聚层交换机。(2)成本低，所有端口支持全线速二层交换。(3)网络设备扩展性好，可平滑升级。图3-5接入层网络设计拓扑图3.3.4网络出口的设计网络出口是校园网与外网相连接的枢纽，也是保护校园网的第一道屏障，此外，在一定程度上决定了外网数据传输的速度。在网络出口的设计上为保证内网的私有IP地址能够转换成公网上的IP地址，就要使用NAT，实现内部网络用户能够访问外网。此外，为防止外部的网络用户非法的访问内部的一些服务，在ASA5520上定义相应的规则、禁止访问某些网址等来保证内网的安全；对于网络带宽浪费的问题，应设置相应的机制，禁止一些网络端口或者服务。最后在网络设备的选择上，除了有高速的报文转发速率和端口之外应支持一些软硬的支持等。图3-6网络出口设计拓扑图一般的校园网络的出口有两个，一个连接教育网络，一个连接到商业网络上，故在网络出口的设计上，有两个出口，参考有关大型校园网络出口安全的设计，结合实际情况，设计出网络拓扑3-6所示，其中设备的硬件环境表3-4所示。表3-4硬件环境设备类型设备型号设备数量（台）防火墙(ASA-A，ASA-B)ASA55201三层交换机(Core-A)CISCO65091二层交换机(SWX)WS-C2960-24-S100三层交换机(Conver-A,Convert-B)WS-C3750X-24S-E2无线交换机(SWN)WS-C2960-24PC-L10无线APCISCOWAP121-E-K930无线控制器(WLC)CISCO55001上面的表格中列出了各种设备的型号和对应型号的使用数量，该表的设备全部选自cisco的设备，在众多的厂家中为什么会选择cisco的设备。首先采购设备时候，我们第一点考虑的就是价格，思科的核心的设备一般是比较贵，但是目前在市场中占据了主流；第二点是性能，我们知道思科设备特点是可靠性和稳定性都是经的起市场考验的，这是其他厂家不能比拟的。思科的技术在全球都很领先,而且思科设备所具有的功能非常强大、研发等是其他厂家不能够相比的，该厂家的产品线在全球的范围内很齐全；第三点综合起来就是性价比，我们要根据网络的规模，寻找到性价比适合的交换机、路由器等设备。当然还要考虑售后的服务，设备的知名程度等因素等等。本设计根据实际的情况，综合上面三点的因素，所以，考虑选用cisco的设备。由于将网络划分为核心层、汇聚层、接入层进行设计，在整体上一般采用以树型和星型混合的拓扑结构。在主要通信接点上采用树型拓扑是为了组网便捷、管理方便，出现故障时可迅速排查，同时在主干通信链路上还要考虑冗余链路设计，不仅可以达到负载均衡的目的，还可以保证网络的可用性。防火墙选用ASA5520作为与核心交换机连接，三层交换机选用的是CISCO6509，其中无线控制器选用的是cisco5500，该设备是旁挂上到核心交换机，汇聚层交换机选用的是WS-C2960-24-S这个型号，其中，无线交换机和无线AP分别选用的是WS-C2960-24PC-L和CISCOWAP121-E-K9。4网络设备配置与实现4.1连通性配置在配置之间，先介绍交换机的工作原理，它工作在数据链路层。交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照MAC地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域，但它不能划分网络层广播，即广播域。本章的主要任务是给网络设备配置相应的命令，实现整个网络的设备能够相互的通信，我主要通过模拟器来实现，而相对这些模拟器来说，我为什么会选择cisco的模拟器，首先是CISCO的模拟器相对来说做的最成熟，该软件提供了良好的图形界面，具有操作方便、交互性强、直观形象、真实准确等优点，非常接近真实环境，它为网络人员设计、配置网络和排除网络故障提供了一个良好的平台。该设计仅用两台终端进行模拟，画出的拓扑如4-1所示。(1)在汇聚层上划分VLAN，所用接入层自动学习从汇聚层的VLAN，并将接入层交换机端口划进相应的VLAN，所以需要将Conver-A配置成服务器模式，接入层交换机配置成客户端模式，这里仅用汇聚层交换机Conver-A作为实例来配置，接入层用一个交换机代表所有相同配置。Conver-A的VLAN，VTP配置如下：Conver-A(config)#vlan10Conver-A(config-vlan)#namecaiwuConver-A(config-if)#ipaddConver-A(config)#vlan1000Conver-A(config-vlan)#namenativeConver-A(config)#vtpmodeserverConver-A(config)#vtpdomainhnjdConver-A(config)#vtppasswordhnjdCISCOSW1(config)#vtpmodeclientSW1(config)#vtpdomainhnjdSW1(config)#vtppasswordhnjdCISCOSW1(config)#intrangefa0/1–6Conver-A(config-if-range)#swmoaccConver-A(config-if-range)#swaccvlan10图4-1网络拓扑图(2)上面配置都演示了设备的几个不同模式下使用的命令，为了节约时间不再演示，直接写脚本。核心层与汇聚层路由协议的配置即OSPF的配置，设备之间互传路由信息，达到互通性，部分链路认证安全已经配置上去，其它几个设备跟Core-A配置一样，在这里不再配置，这里主要用Core-A作为示例。Core-A的OSPF配置如下：iproutinginterfaceg1/3noswdescriptionTo_Conver-A_g1/3ipadd52ipospfnetworkpoint-to-pointipospf1area0ipospfauthenticatonmessage-digestipospfmessage-digest-key1md5CISCOnoshutinterfaceg1/4descriptionTo_Conver-B_g1/3ipadd52ipospfnetpoint-to-pointipospf1area0ipospfauthenticatonmessage-digestipospfmessage-digest-key1md5CISCOnoshutrouterospf1router-idlog-adjacency-changesauto-costreference-bandwidth1000004.2冗余性配置设备冗余，配置冗余性不仅当主设备DOWN掉之后，备份设备能够快速的切换成主设备角色，承担相应的业务，保证网络的畅通性，而且当主设备正常时还能实现负载分担，提高了网络的利用率。(1)由于CISCO的模拟器不支持VRRP配置，HSRP与VRRP原理基本一样，这里用HSRP配置做代替，用Conver-A做示例演示配置。Conver-A的VRRP配置如下：interfacevlan10descriptioncaiwuipaddnoshutvrrp10ipvrrp10preemtvrrp10priority105vrrp10timers13vrrp100priority100vrrp100ipshowvrrpbriefMSTP用来在二层做负载均衡，把不同的几个VLAN划进一个生成树示例，然后根据业务需求，把不同的交换机配置成不同示例的根桥，从而达到负载均衡的目的，提高了网络的利用率。这里用Conver-A做MSTP配置示例。Conver-A的MSTP配置如下：spanning-treemodemstpspanning-treemstconfigurationinstance1vlan10，20，30instance2vlan40，50，60nameregion1revision1spanning-treemstp1priority0spanning-treemstp2priority12288由于东区学生公寓包括E01到E13，所以我划分了vlan，让每一个公寓分别属于不同的子网，每一个公寓都有一个无线交换机，每个楼层都有相对应的无线接入点，学生通过调整自己电脑上的无线设置，就可以访问无线网络进行漫游了。同时为了数据的安全性可虑，我可以相应的做一些策略来改变网络。下面是对无线AccessPoint0的设置。Ap#configureterminalAp(config)#hostnamemyap//设置系统名，默认是apAp#configureterminalAp(config)#interfacebvi1//进入BVI接口配置模式Ap(config-if)#ipaddress240Ap(config-if)#ipaddressdhcpClient-idSpecifyclient-idtouseHostnameSpecifyvalueforhostnameoptionAp(config-if)#ipaddressdhcpAp(config)#intdot11radio0Ap(config-if)#ssidmyAPAp(config-if-ssid)#authenticationopen//设置认证类型Ap(config)#linevty04（配置telnet/ssh服务）Ap(config-line)#loginlocalAp(config-line)#end4.3安全性的配置此节的主要任务是保证园区网络的安全，杜绝掉一些安全隐患，为了保护东西校区数据在Internet上传输的安全性及可用性，防止黑客窃取和篡改里面的内容采用VPN技术以及内外互访的控制，保护内部网络的安全，同时为了保证学校师生能正常上网，节约学校的开销，并在ASA上NAT配置。东校区与西校区为了保证数据在Internet安全性，在ASA-A出口配置上，并做相应的NAT配置，配置如下：interfaceGigabitEthernet0/1descriptionTo_Core-Anameifinside-1security-level100ipaddress348standby4noshutinterfaceGigabitEthernet0/2descriptionTo_Core-Bnameifinside-2security-level100ipadd148standby2noshutinterfaceGigabitEthernet0/3descriptionFailover_link_statefulnoshutinterfaceGigabitEthernet0/0descriptionTo_China_Unicomipaddressstandbynameifoutsidesecurity-level0noshutdownfailoverlanunitprimaryfailoverlaninterfacelfoGigabitEthernet0/3failoverinterfaceipifo255.255.255.standbyfailoverlinkinterfacestaGigabitEthernet0/3failoverinterfaceipsta255.255.255.standbyfailoverkeyCISCOfailovernat-controlnat(inside-1)1nat(inside-1)1nat(inside-1)1nat(inside-1)1nat(inside-2)1nat(inside-2)1nat(inside-2)1nat(inside-2)1global(outside)1interfacestatic(inside-1，outside)tcpinterface805480static(inside-1，outside)tcpinterface235423static(inside-2，outside)tcp0access-listoutpermiticmpanyanyaccess-listoutpermittcpanyinterfaceeq80access-listoutpermittcpanyinterfaceeq23access-listoutpermitipanyhostaccess-groupoutininterfaceoutside（2）在二层交换机上的某个端口上做MAC绑定，只允许交换机在此端口学习特定的MAC，当其他的主机接入时端口就会restrict，防止此端口被其他主机再使用，并且只允许此端口在交换机上学习一个MAC地址，这里用接入层交换机做示例配置。二层交换机SW1上的端口安全配置如下：intrangefa0/1-20switchportaccessvlan10switchportmodeaccessswitchportport-securitymaximum1switchportport-securitymaximum1vlanaccessswitchportport-securityswitchportport-securityviolationrestrict（3）三层交换上ACL的配置，拒绝一些网络用户的访问。Conver-A的ACL配置如下：ipaccex100permittcpany54eqwwwpertcp54eqftpdenyiphostanyhost54intf0/20ipacc100in5网络测试当一个项目工程做完以后，测试它的功能是十分重要的，看它是否符合用户的需求，是否有要完善的地方，实施网络测试对工程师来说是很重要的，以下还用CISCO的模拟器PacketTracer来进行模拟。5.1连通性测试连通性的测试就是要测试从终端设备到网络边界之间是否正常的通信，一般的使用ping命令来测试的，ping命令是最直接的也是最有效的，如果通说明网络没有太大问题，如果ping不通可以通过tracert命令来进行跟踪进行分段测试，然后一一排查出问题，直到问题的解决，现在从整体来测试，从PC1到出口路由的路径应该是PC1—Conver-A—CoreA然后到出口来测试看全网是否是通的，测试结果如下。PC>tracertTracingroutetooveramaximumof30hops:163ms62ms62ms293ms78ms94ms3110ms125ms125msTracecomplete.由上测试结果可以看出，校园网的终端用户到网络出口网络是按照预测的结果，网络是通的可以实现正常的通信。PC0对远端的PC1的测试，测试路径应该是PC0—Conver-A—Conver-B—PC1，测试结果如下。PC>tracertTracingroutetooveramaximumof30hops:163ms47ms63ms278ms78ms47ms3141ms141ms157msTracecomplete.由上测试结果可以看出，PC0到远端PC1也是通的，跟预测的结果是一样的，可以正常访问。5.2冗余性测试网络冗余性就是当设备或者链路出现问题时，会自动切换的备用设备，能够及时的解决问题，不影响网络的正常的通信。在验证冗余性测试的时候，在配置了冗余性的设备上去掉有关的线缆和down掉主用设备，再ping外部网络或者服务器的地址，看是否能够ping的通，如果ping的通，则说明配置的正确，如果ping不通，则通过show命令来检查配置是否正确，如果出现问题，通过一步一步的show命令来解决。如果没有出现问题，则继续通过命令来查看，直到找出问题。当Conver-A与Core-A链路down时，pingPC0到远端的路径应该是PC0—Conver-A—Conver-B—CoreA具体的测试结果如下所示。PC>tracertTracingroutetooveramaximumof30hops:149ms62ms63ms294ms63ms94ms3125ms125ms96ms4141ms157ms143msTracecomplete.由上测试结果可以看出，当Core-A与Conver-A链路down掉之后，网络会自动切换到备用链路之后又恢复正常，网络仍然可以正常工作。当接入层交换机与Conver-A路down之后，PC0自动切换到备用网关Conver-B，路径应该是PC0—Conver-B—Core-A，测试结果如下所示。PC>tracertTracingroutetooveramaximumof30hops:162ms62ms62ms293ms78ms94ms3125ms125ms125msTracecomplete.由上测试结果可以看出，当接入层交换机与Conver-A路down之后，PC0自动切换到备用网关Conver-B，网络仍然可以正常工作。5.3安全性测试通过上面测试，保证全网互通后，我们来进行安全测试。由于模拟器功能有限无法测试ASA安全功能，还有一些无线功能，在这里不再验证，我们仅用一些代表性的测试来进行安全性的验证，如果不成功，我们用相应的show命令来进行验证。在设置ACL规则之后，首先验证PC1访问学校的WWW服务器，看访问是否正常。正常情况下是可以访问的，用PC1来进行访问验证测试，测试结果如图5-1所示。图5-1安全性测试图从上图可以看出，学校老师学生以及外来用户访问学校的WWW服务器正常的。在设置ACL规则之后，验证其它院系来访问学校财务服务器是否可以正常访问。为了保护财务的安全，正常情况下是拒绝访问学校财务服务器的，用PC1访问财务服务器，测试结果如下图5-2所示。图5-2安全性测试图可以看出，学校内部访问财务服务器被拒绝，说明设置ACL规则后起作用了，测试成功。用户必须登录后才能访问服务器，相应的验证用户登陆的测试结果如图5-3所示。用户登录设备必须经过认证才可以正常的登录，如果认证服务器的数据库中没有该用户的用户名或者密码之一错误，用户就会认证失败，只有都正确才能通过认证，就行访问，并且打开了所有交换机和路由器设备自身的安全特性，当登陆时密码30秒内错误3次，1分钟内不允许再登录，但是管理的登录还是可以的，发送LOGIN信息给管理员。正常情况下这些安全功能都是起作用的，用PC1来进行登陆验证测试，图5-3设备登录安全性测试图从图可以看出，测试的结果跟预测的一样，设备安全性登录验证成功，远程登录都需要设置用户名和密码，测试成功。6未来研究方向WLAN技术经过几年的推进和发展，其标准和产品已经逐步成熟，应用也日渐广泛。由计算机设备供应商、通信运营商和专业服务提供商在内的庞大阵营正积极进军这一领域，无线局域网的热潮正在冲击全球的市场。现阶段，国际上的一些大型通信公司，如Intel、IBM、Cisco等公司都投入数亿美元乃至更多的资金来进行WLAN产品和设备的研究，也推出了很多成熟的WLAN产品和设备。无线网络新的意义将主要体现在企业市场中，这也是以往限制WLAN发展的一个重要方面。如上所述。WLAN研究的技术方兴未艾，是目前无线通信领域乃至整个行业的热点，从无线局域网进一步的推广来看，未来的研究方向主要集中在安全性，移动漫游，网络管理以及与3G等其他移动通信系统之间的关系上。6.1安全性问题IEEE802.11协议标准建议使用2种安全解决方案，一种IEEE802.11安全任务组（TGI）构建的安全框架RSN，这种网络提供用802.11x提供基于端口的接入控制、鉴权和密钥管理。用EAP实现对用户的鉴权，由于802.11x是针对有线网络设计的，在无线局域网使用中会有漏洞，所以，尽管它对WLAN的安全性能有一定的改善，802.1x和802.11的结合也不能提供一定的安全。另一种方式是目前广泛应用与局域网络及远程接入等领域的虚拟专用网（VPN）安全技术，与802.11b标准所采用的技术不同，在IP网络中，VPN主要采用IPsec技术来保障数据传输的安全性，对于安全性要求更高的用户，将802.11b与现有的VPN技术结合起来，是目前较为理想的WLAN安全解决方案。无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有的，要想解决这些问题，可以通过以下方法来解决。（1）采用强力的密码。正如我在文中所指出，一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的，如果密码强度不够，几乎可以肯定会让你的系统受到损害。（2）严禁广播服务集合标识符(SSID)。如果不能对服务集合标识符也就是你给无线网络的命名进行保护的话，会带来严重的安全隐患。对无线路由器进行配置，禁止服务集合标识符的广播，尽管不能带来真正的安全，但至少可以减轻受到的威胁，因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了服务集合标识符，这种可能就大大降低了。大多数商业级路由器/防火墙设备都提供相关的功能设置。（3）采用有效的无线加密方式。动态有线等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一样免费工具，就可以在短短的几分钟里找出动态有线等效保密模式加密过的无线网络中的漏洞。无线网络保护访问(WPA)是通用的加密标准，你很可能已经使用了。当然，如果有可能的话，你应该选择使用一些更强大有效的方式。毕竟，加密和解密的斗争是无时无刻不在进行的。（4）可能的话，采用不同类型的加密。不要仅仅依靠无线加密手段来保证无线网络的整体安全。不同类型的加密可以在系统层面上提高安全的可靠性。举例来说，OpenSSH就是一个不错的选择，可以为在同一网络内的系统提供安全通讯，即使需要经过因特网也没有问题。采用加密技术来保护无线网络中的所有通讯数据不被窃取是非常重要的，就象采用了SSL加密技术的电子商务网站一样。实际上，如果没有确实必要的话，尽量不要更换加密方式。（5）对介质访问控制(MAC)地址进行控制。很多人会告诉你，介质访问控制(MAC)地址的限制不会提供真正的保护。但是，象隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问，是可以确保网络不会被初级的恶意攻击者骚扰的。对于整个系统来说，针对从专家到新手的各种攻击进行全面防护，以保证系统安全的无懈可击是非常重要的。（6）在网络不使用的时间，将其关闭。这个建议的采用与否，取决于网络的具体情况。如果你并不是需要一天二十四小时每周七天都使用网络，那就可以采用这个措施。毕竟，在网络关闭的时间，安全性是最高的，没人能够连接不存在的网络。6.2漫游切换问题无线局域网的漫游问题是继安全问题之后的另一个至关重要的问题，如果一边使用无线局域网接入服务，一边移动接入的位置，如果终端超过子网覆盖的范围，IP数据包将无法到达终端位置，正在进行的通信将会中断，为此，IETF制定了扩展IP移动性的系列标准，所谓移动IP，就是指在IP网络上的多个子网内均可使用同一IP技术，通过使用本地代理和外地代理的特殊路由器对网络终端进行管理，不管咋样在移动的过程中TCP连接都不会中断，而且移动IP技术可以突破网络地域限制，并可以克服在跨网段时使用动态主机配置协议（DHCP）方式所造成的通信中断，极限变化等问题。6.3无线网络管理问题相对于有线网络，无线局域网络确实具有非常独特的特性，因此，必须建立完善的管理系统，除了系统结构，用户需求和典型应用等模块之外，一个好的无线管理系统还必须考虑以下因素：网络监视和报告。主机必须能