计算机网络设计论文

PAGE目录第一章 综述 -1-1.1网络建设的基本原则 -1-1.2设计总体目标 -2-1.3国内外计算机网络现状及发展趋势 -2-1.4无线局域网(WLAN) -5-第二章 系统主要相关技术 -6-2.1VlAN技术分析 -6-2.2WLAN无线网络的组建 -9-2.3三层交换技术 -11-第三章 计算机网络系统设计规划 -14-3.1核心层建设规划设计 -15-3.2汇聚层建设规划设计 -17-3.3接入层建设规划设计 -17-3.4数据中心建设规划设计 -18-3.5网络出口建设规划设计 -19-第四章 无线网络设计规划 -20-4.6WLAN无线网络规划 -20-4.6.1系统设计方案说明 -23-4.6.2整体网络性能评估 -23-4.6.3组网实施步骤 -24-4.6.4AP覆盖单元 -25-4.6.5具体解决方案 -31-第五章 数字化网络安全与管理平台设计规划 -40-5.1数字化园区网安全建设规划 -40-5.1.1接入安全防护规划设计 -40-5.1.2数据中心安全规划设计 -44-5.2数字化园区网统一管理平台建设规划 -44-5.2.1网络管理规划 -45-5.2.2iMC的特点 -45-第六章 结论与讨论 -53-6.1论文完成的工作 -53-6.2总结 -53-6.3展望 -53-致谢 …………..-54-参考文献. -55-附录：部分网络设备配置文件 -57-1、 VLAN配置 -57-2、 防火墙配置文件 -59-2.1 ASPF配置 -59-2.2 NAT配置 -60-2.3 核心交换机H3CS10508配置 -60-计算机网络方案设计摘要针对本论文中所做的工作主要包含了新大楼计算机网络架构设计，阐述整个新大楼内网、外网、固网以及无线局域网（WLAN）的方案设计、组建、配置等内容，同时还对网络安全方面的提出了有效的解决方案，最后分析并解决实现中的若干技术问题。关键词：VLAN、WLAN、IP宽带网络、三层交换、网络安全、服务器TheDesignOfComputerNetworkInWuhuFirstPeople'sHospitalAbstractThethesismainlytellsthecomputernetworkarchitecturedesignofthenewbuildingattheFirstPeople'sHospitalinWuhu.Italsoexpatiateonhowtodesignandconfiguretheintranet,extranetandwirelesslocalareanetwork(WLAN)inthenewbuilding.Thethesisputsforwardeffectivesolutionsaboutthenetworksecurity,andsometechniqueproblemsindailyworksareanalysedandresolvedintheendingofthethesis.

绪论20世纪末，随着计算机科学的发展，计算机网络技术在各个行业中的应用越来越广泛，为广大用户提供了更加周到和人性化的服务。新大楼落成后，随着网络规模的增大，其应用种类和复杂度也在不断增加。园区内包括很多不同的部门/用户群组在同时使用网络，网络上也承载着各种不同的复杂应用。为保障重要业务数据的安全传输，需要对这些不同部门/群组用户的访问权限进行控制、不同业务间的网络传输也需要安全隔离，这种隔离指的是访问、传输、应用端到端的隔离。另外计算机网络的普及给人们的工作、生活带来了深远的影响，同时，人们的需求也在应用过程中不断提高，摆脱线缆的束缚，创造一个自由移动的空间，因此无线局域网（WLAN）应运而生。WLAN通过电磁波在空气中发送和接收数据，而无须线缆介质，与有线网络相比，WLAN具有安装便捷、使用灵活、易于扩展和经济节约等优点。17-综述1.1网络建设的基本原则为达到网络系统建设的目标，在网络设计构建中，我们始终坚持以下建网原则：实用性和先进性采用先进成熟的技术满足各种应用系统的需求，兼顾其他相关的管理需求，保证满足各种应用系统业务的同时，又体现出网络系统的先进性。在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，对于办公网络来说更是如此，为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，在网络设计上应采用硬件备份、冗余等可靠性技术，合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证网络系统的高效运行。标准性与开放性网上新增设备应该和原有设备一样采用国际标准协议进行互连互通，确保本网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网及网管系统等，坚持统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议，不仅保证与其它网络(如公共数据网、Internet)之间的平滑连接和互通，还能适应未来若干年的网络发展趋势，便于将来网络自身的扩展。高安全性安全体系应该是一个多层次、多方面的结构，在总体结构上分为四个层次：网络层安全、应用层安全、系统层安全和管理层安全。高性能网络系统的性能是整个信息系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为实施现代化应用业务的瓶颈。灵活性及可扩展性网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性，能够根据不断深入发展的需要，根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。易操作性和可管理性由于网络复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。1.2设计总体目标建成后要成为具备建筑智能化、管理信息化、服务网络化、设备自动化的数字化功能；集成、诊疗、办公自动化、病历、影像数字化管理、传输等等诸多功能于一体，构建系统和服务的优化组合平台；建立一套集网络化、信息化和智能化为一体，以病人为中心，服务于业务工作的数字化，实现“国内领先”的数字化总体目标。1.3国内外计算机网络现状及发展趋势计算机网络是计算机技术与通信技术相结合的产物，它实现了远程通信、远程信息处理和资源共享等。它自20世纪60年代产生以来，经过半个世纪特别是最近10多年的迅猛发展，目前越来越多地被应用到经济、军事、生产、教育、科学技术及日常生活等各个领域。在现实的日常生活中，我们时刻都在与网络打交道。计算机网络的发展，缩短了人际交往的距离，给人们的日常生活带来了极大的便利。在计算机发展的初期，人们曾经用“没有软件的计算机只不过是一堆废铁”来强调软件的重要性；而今，随着计算机技术的高速发展，计算机应用日益普及，计算机技术尤其是网络技术正在对人类经济生活、社会生活等各方面产生巨大的影响。电子商务、网上银行、远程教育等与人们的联系越来越紧密。有理由相信，在不远的将来，人们将过上真正意义上的数字化生活。掌握计算机网络的基础知识，已经成为人们通向成功所必备的基本素质。有人说：“没有联网的计算机只不过是一个无用的信息孤岛”、“网络就是计算机”，可见计算机网络在信息社会中起着举足轻重的作用，预示着“以网络为中心的计算时代”已经到来。所谓计算机网络就是利用通信线路和通信设备将不同地理位置的、具有独立功能的多台计算机或共享设备互联起来，配以功能完善的网络软件，使之实现资源共享、信息传递和分布式处理的系统。对于用户来说，计算机网络是一个透明的数据传输机构，用户可以不必考虑网络的存在而访问网络中的任何资源。计算机网络的出现，使世界变得越来越小，生活节奏越来越快。它的产生拓宽了计算机的应用范围，为信息化社会的发展奠定了坚实的技术基础。计算机网络源于计算机与通信技术的结合，它经历了从简单到复杂、从单机到多机、从终端与计算机之间通信到计算机与计算机直接通信的发展时期。早在20世纪50年代初，以单个计算机为中心的远程联机系统构成，开创了把计算机技术和通信技术相结合的尝试。这类简单的“终端——通信线路——面向终端的计算机”系统，构成了计算机网络的雏形。严格的说，它和现代的计算机网络相比，存在根本的区别。当时的系统除了一台中央计算机外，其余的终端设备没有独立处理数据的功能，当然还不能算是真正意义上的计算机网络。为了区别以后发展的多个计算机互联的计算机网络，称它为面向终端的计算机网络，又称为第一代计算机网络。从20世纪60年代中期开始，出现了若干个计算机主机通过通信线路互联的系统，开创了“计算机——计算机”通信的时代，并呈现出多个中心处理机的特点。20世纪60年代后期，ARPANET网是由美国国防部高级研究计划局ARPA（目前称为DARPA，DefenseAdvancedResearchProjectsAgency）提供经费，联合计算机公司和大学共同研制而发展起来的，主要目标是借助通信系统，使网内各计算机系统间能够相互共享资源，它最初投入使用的是一个有4个节点的实验性网络。ARPANET网的出现，代表着计算机网络的兴起。人们称之为第二代计算机网络。20世纪70年代至80年代中期是计算机网络发展最快的阶段，通信技术和计算机技术互相促进，结合更加紧密。局域网诞生并被推广使用，网络技术飞速发展。为了使不同体系结构的网络也能相互交换信息，国际标准化组织（ISO）于1978年成立了专门机构并制定了世界范围内的网络互联标准，称为开放系统互联参考模型OSI/RM（OpenSystemsInterconnection/ReferenceModel），简称OSI，人们称之为第三代计算机网络。进入20世纪90年代后，局域网技术发展成熟，局域网已成为计算机网络结构的基本单元。网络间互联的要求越来越强烈，并出现了光纤及高速网络技术。随着多媒体、智能化网络的出现，整个系统就像一个对用户透明的大计算机系统，千兆位网络传输速率可达1G/s，它是实现多媒体计算机网络互联的重要技术基础。从1983年到1993年10年期间，Internet从一个小型的、实验型的研究项目，发展成为世界上最大的计算机网，从而真正实现了资源共享、数据通信和分布处理的目标。我们把它称为第四代计算机网络未来的计算机网络的发展趋势将是通信技术与计算机技术的进一步聚合，并且将改变各自原有的基本特征。人们预见，未来的信息网络将各种功能分成三个层次：1、比特路（Bitways）；2、服务（Services）；3、应用（Applications），这也许是未来计算机网络的体系结构。“比特路”是负责把二进制位流从一个位置传送到另一个位置的网络，例如：使用SDH传输网络构造的ATM网络，或与IP协议接口的Internet。“服务”提供一组通用或支撑特性，作为计算和通信基础设施的一部分用于构造其它所有的网络应用，象音频或视频传送、文件系统管理、打印、电子支付机制、加密和密钥分发、可靠数据传递等都属于服务。“应用”是提供给用户的一组有价值的功能，象电子邮件、电话、数据库访问、文件传送、WWW浏览和视频会议系统等都是应用的例子。应用还可以进一步分成两大类，一类是用户/服务器型的，象VOD、WWW等要求立即响应的和象FTP等可以适当延迟的；另一类是用户/用户型的，象电话、视频会议等要求立即响应的和象Email、音频mail等可以适当延迟的。这两种类型的应用都可以是点到点的或是一点到多点的。1.4无线局域网(WLAN)无线局域网(WLAN)采用成熟的以太网技术，将无线通信从移动通信简化出来，绕过高速数据通信在高速移动和跨区穿越等3G技术屏障，优先解决用户无线宽带接入的需求。WLAN同时也得到了网络设备，手持设备等供货商的支持，从目前到未来一年预计会有大量的支持WLAN的产品和应用，这也就是说它将带来无限商机。作为新一代宽带接入经营者，立足于基于IP宽带网络应用，果断和积极将WLAN作为其发展方向，一方面扬长避短，发挥在IP宽带雄厚的技术实力，又避开了兼容移动通信网路的顾虑，发挥先手的优势，从而可以利用这个良好的发展机遇，成为新一代的移动通信经营商。WLAN的优势是投资少，可以实现精确部署，在“热点”上可以很快实现这种网络，目前无线网卡的设备已大量普及并且售价已经能让消费大众所能接受，所以许多宽带运营商已开使以WLAN无线网的形式来经营宽带网业务。

系统主要相关技术2.1VlAN技术分析VLAN（VirtualLocalAreaNetwork）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。VLAN（VirtualLocalAreaNetwork，虚拟局域网）的目的非常的多。通过认识VLAN的本质，将可以了解到其用处究竟在哪些地方。第一，要知道/30和/30都属于不同的网段，都必须要通过路由器才能进行访问，凡是不同网段间要互相访问，都必须通过路由器。第二，VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的网段。下面，给予说明。比如一个路由器只有一个用于终端连接的端口（当然这种情况基本不可能发生，只不过简化举例），这个端口被分配了/24的地址。然而由于公司有两个部门，一个销售部，一个企划部，每个部门要求单独成为一个子网，有单独的服务器。那么当然可以划分为--127/25、28--255/25。但是路由器的物理端口只应该可以分配一个IP地址，那怎样来区分不同网段了？这就可以在这个物理端口下，创建两个子接口逻辑接口实现。比如逻辑接口F0/0.1就分配IP地址/25，用于销售部，而F0/0.2就分配IP地址29/25，用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能，这样就将原本只能划分一个网段的情形，扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的，所以称之为虚拟局域网VLAN。这是在路由器的层次上阐述了VLAN的目的。第三，将在交换机的层次上阐述VLAN的目的。在现实中，由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机，然后接入路由器的一个端口，把企划部全部接入一个交换机，然后接入一个路由器端口。这种情况是LAN.然而正如上面所说，如果路由器就一个用于终端的接口，那么这两个交换机就必须接入这同一个路由器的接口，这个时候，如果还想保持原来的网段的划分，那么就必须使用路由器的子接口，创建VLAN.同样，比如两个交换机，如果你想要每个交换机上的端口都分别属于不同的网段，那么你有几个网段，就提供几个路由器的接口，这个时候，虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段，但是在交换机的层次上，它并不能区分哪个端口属于哪个网段，那么唯一实现能区分的方法，就是划分VLAN，使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。综上，当一个交换机上的所有端口中有至少一个端口属于不同网段的时候，当路由器的一个物理端口要连接2个或者以上的网段的时候，就是VLAN发挥作用的时候，这就是VLAN的目的。VLAN划分根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。按用户划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。*以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。2.2WLAN无线网络的组建无线局域网可以简单也可以复杂，最简单的网络可以只要两个装有无线适配卡（wirelessadaptercard）的PC，放在有效距离内，这就是所谓的对等（peer-to-peer）网络，这类简单网络无需经过特殊组合或专人管理，任何两个移动式PC之间不需要中央服务器（centralserver）就可以相互对通。无线网络访问点（AccessPoint，简称AP）可增大AD-Hoc网络移动室PC之间的有效距离到原来的两倍。因为访问点是连接在有线网络上，每一个移动式PC都可经服务器与其它移动式PC实现网络的互连互通，每个访问点可容纳许多PC，视其数据的传输实际要求而定，一个访问点容量可达15到63个PC。无线网络交换机和PC之间有一定的有效距离，在室内约为150米，户外约为500米。在大的场所例如仓库中或在企业中，可能需要多个访问点，网桥的位置需要事先考察决定，使有效范围覆盖全场并互相重迭，使每个用户都不会和网络失去联络。用户可以在一群访问点覆盖的范围内漫游（roam）。访问点把用户在不知不觉中从一个访问点的覆盖范围转移到另一个访问点的覆盖范围，确保通讯不会中断。为了解决覆盖问题，在设计网络时可用接力器（ExtensionPoint，简称EP）来增大网络的转接范围，接力器看起来和功能上都像是访问点，但接力器并不接在有线网络上。接力器望文生义，其作用就是把信号从一个AP传递到另一个AP或EP来延伸无线网络的覆盖范围。EP可串在一起，将讯号从一个AP传递到遥远的地方。如何规划WLAN?据Gartner报告，现在美国已经有1500万的WLAN用户，到2006年这一数目将达到3100万，但部署一个能保证性能的WLAN并非易事。规划WLAN的关键事规划接入点，需要有足够的蜂窝重迭覆盖以供漫游，并需要足够的宽带以供应用。如果无线接入点不足，最后可能导致吞吐量出现问题，同时也会使覆盖区域零星散落，对用户的漫游和工作地点造成一定的限制。考虑移动性需要在做接入点规划时需要考虑用户的移动性需要。一种用户在整个覆盖区域内移动时需要一直与WLAN相连接，就像医生外出时需要查看病人记录。另一种用户需要不时接入WLAN，比如人员在不同大楼会议间歇时需要不时查看电子邮件。第一种需求需要跨越WLAN的无缝漫游，此WLAN需要大接入点密度。而第二种需求属于间断性的无线连接，接入点密度可以相对小一些。计算吞吐量在布置WLAN之前需要考虑WLAN最常使用的是哪种通信，是电子邮件和Web通信，或是对速度要求很高的ERP（企业资源规划），还是CAD（计算机辅助设计）应用程序。是需要速度为54Mbps的802.11g，还是只需要速度为11Mbps的802.11b就足够。不管使用哪一种通信，当用户与接入点的距离过远时，网络速度都会显着下降，所以安装足够的接入点不仅仅是为了支持所有的用户，也是达到用户需要的连接速度所要求的。WLAN宣称的速度并不一定准确对应于它的实际速度。与交换式以太网不同，WLAN是一种共享介质，它更像是老式以太网的集线器模型，将可用的吞吐量分割为若干份而不是每个接入设备提供专线速度。这一限制（通过电波传输数据时还会有50％的损耗）对无线网络的吞吐量规划而言是一个很大的问题，计算接入点数目时最好多预留一些空间。仅仅根据用户数目及其最小宽带需求来计算接入点数目是及其冒险的，尽管它可以在一段时间内满足对容量的需求。防止干扰干扰对于某些机构可能会是个问题。尽管追踪入侵微电波，无绳电话和蓝牙设备并非难事，但更常遇到的是来自网络内部其它接入点甚至是网络外部的干扰。例如：802.11b和802.11g在2.4GHz频带内提供三个相同的非重迭通道，这使得规划密集部署或在相邻WLAN的干扰下工作变得困难，理想的情况使，2.4GHz环境中的通道1、6和11永远不会与同一通道相邻，这样它们就不会相互干扰，但这是不现实的。实际上需要一定量的良性蜂窝覆盖重迭以允许用户漫游（20％到30％最佳），但如果站点处的建筑物超过一层，即便是使用高增益天线，建筑物的层与层之间也会有一些渗漏。802.11a的12个非重迭通道可以在很大程度上缓解通道分配带来的问题。802.11a使用的5.8GHz频带几乎不会造成任何非WLAN干扰，而且用户也不太可能遇到相邻802.11a接入点，原因是这一标准还未像802.11g那样普及，因此以5.8G的802.11a来作传输是目前在作WLAN覆盖时的传输首选。覆盖区域知道WLAN的射频信号是怎样传播的吗？信号频率越低，无线网络传输速度越慢，有效范围就越远。由于大量射频信号以较低频率传播，同时信噪比的灵敏度因为高速调制方式而增加，所以速度为11Mbps的2.4GHz802.11b/g信号的传播距离远远超过速度为54Mbps/108Mbps的5.8GHz802.11a信号。WLAN的覆盖范围除了受不同射频带和吞吐量变化而造成的波传播特征影响之外，还会因为自由空间路径损耗和衰减而受到限制。自由空间路径损耗更大程度上是开放或户外环境方面的问题，实际上是无线电信号因为波前扩展引起的扩散导致接收天线接收不到这些信号。衰减则在WLAN的室内安装中比较常见，它是振幅下降，或者射频信号在穿过墙壁、门或其它障碍物时减弱造成的。这就是WLAN在密集建筑物周围性能不好的原因。当面对这种物理上的干扰时，即使弹性比5.8GHz信号好得多的2.4GHz信号，仍然会遇到某些射频问题。多路径效应也是影响覆盖范围的重要因素之一。所谓多路径效应，就是信号被反射并回送的现象。在大多数情况下，多路径效应使接收到的信号被削弱或是完全抵消。于是有一些本来应该充分传播信号的区域几乎或根本没有射频信号覆盖。防止多路径效应的办法是拆除或重新安置机柜和网络设备机架之类的干扰对象，同时增加接入点密度或功率输出。5)安全防范点未经授权用户的接入由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。2.3三层交换技术随着Internet的发展，局域网和广域网技术得到了广泛的推广和应用。数据交换技术从简单的电路交换发展到二层交换，从二层交换又逐渐发展到今天较成熟的三层交换，以致发展到将来的高层交换。三层交换技术就是：二层交换技术+三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术+三层转发技术。三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。第三层交换工作在OSI七层网络模型中的第三层即网络层，是利用第三层协议中的IP包的报头信息来对后续数据业务流进行标记，具有同一标记的业务流的后续报文被交换到第二层数据链路层，从而打通源IP地址和目的IP地址之间的一条通路。这条通路经过第二层链路层。有了这条通路，三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由，而是直接将数据包进行转发，将数据流进行交换。其原理是：假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站点A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内。若目的站B与发送站A在同一子网内，则进行二层的转发。若两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向“缺省网关”发出ARP(地址解析)封包，而“缺省网关”的IP地址其实是三层交换机的三层交换模块。当发送站A对“缺省网关”的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址。否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，当A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比相同路由器的价格低很多。计算机网络系统设计规划新大楼落成后，随着网络规模的增大，其应用种类和复杂度也在不断增加。园区内包括很多不同的部门/用户群组在同时使用网络，网络上也承载着各种不同的复杂应用。为保障重要业务数据的安全传输，需要对这些不同部门/群组用户的访问权限进行控制、不同业务间的网络传输也需要安全隔离，这种隔离指的是访问、传输、应用端到端的隔离。新区建设新的网络平台，对整体网络系统有以下要求，内部网与外部网之间在各种应用方面有一定交叉，但是需要实现安全隔离。需求如下：万兆主干，用户线速千兆交换到桌面，数字医学影像千兆光纤到桌面，应用服务器，如HIS、PACS系统等都部署在网络数据中心，数据中心需要有一定的备份容灾能力和安全防御能力。整个大楼部署WLAN，以增强网络的覆盖范围和应用的灵活性。网内所有用户需要使用认证安全接入，并且具有对认证用户进行规范化管理。整网实现智能网络管理，将多种管理系统，如设备管理、用户管理、业务管理、资源管理合为统一平台。本次采用网络虚拟化解决方案很好地解决了这个问题。其把各种用户共用的一套物理网络、客户端、服务器资源虚拟出多种逻辑资源，供不同的群组/部门/用户/业务使用，实现根据业务和应用划分访问权限和业务流向，进行安全隔离，同时也能根据需要提供灵活的互访控制。具体如下图所示：图1网络拓扑图如图所示：新区网络建设采用三层架构，分为：核心层、汇聚层、接入层的三层交换技术，网络主干采用万兆链路互联，千兆线速到桌面。在核心机房部署两台采用多级交换架构的高端路由交换机，接入交换机采用三层全千兆接入交换机，通过把VLAN终结在接入端口，限制广播域范围，减少广播报文对网络带宽的消耗，从接入层开始即可进行快速三层交换，利用网络中存在的等价多路径实现业务流量的负载分担。整网配置OSPF协议，具有网络故障收敛速度快、易于管理和维护的特点。3.1核心层建设规划设计核心交换机作为网络平台的核心，不仅要求能提供大容量、无阻塞的数据交换，还需具备持续扩展的能力，支持高密度的万兆接口、分布式缓存机制、精细化QoS等。交换架构是网络设备的核心，就像人的心脏一样重要，决定了一台设备的容量、性能、扩展性以及QoS等诸多关键属性。考虑网络的高扩展性及高性能，需采用CLOS交换架构的核心交换机作为网络核心。根椐业务的实际需求，本次我们采用两台H3CS10508高性能模块化核心路由交换机，配置双电源、双引擎，采用智能弹性堆叠技术进行均衡热备作为网络核心。每台配置一块16端口万兆以太网光接口模块和一块48端口千兆以太网电接口模块，其中两个万兆接口用于核心交换机间的互联，其余万兆接口用于连接汇聚交换机和数据中心交换机，根据实际距离配置万兆多模（300M内）或者万兆单模（10KM内）模块，千兆电口用于连接管理系统和提供高速互联接口。接入交换采用万兆光纤链路与核心交换机进行双归属连接，提高网络主干速率及链路的可靠性。核心交换机之间通过万兆链路连接起来，利用交换机支持的IRF2（第二代智能弹性架构）技术，将两台设备虚拟化为一台逻辑设备。这样核心层在可靠性、分布性和易管理性方面具有强大的优势。通过第二代智能弹性架构IRF2可使网络资源成倍增加，并可灵活调整，进一步简化了核心层网络配置，大大降低前期投入和后期维护成本。图2网络路由第二代智能弹性架构（IRF2）可实现分布式路由、跨设备链路聚合和分布式设备管理，并且核心设备和接入设备采用同一种技术，可以构建出一个具有弹性的数据中心基础网络平台。部署IRF2，除了提高网络的可用性，减少单点故障影响，还可以：·分布式处理二三层协议，提高网络处理性能·每组虚拟为一台设备，简化组网，配置管理更高效·虚拟交换组设备软件版本同步升级，易于维护·整个虚拟交换组的设备支持热插拔，灵活管理·对虚拟交换组来说，实现倍数级的接入密度和背板交换能力，并提高组网的可靠性核心层部署IRF2后，无需再考虑MSTP、VRRP等协议，解决了传统设备和链路只能工作在主/备模式和利用率低于50％的性能瓶颈。3.2汇聚层建设规划设计汇聚层是核心层和接入层的连接模块，为各个配线间网络设备提供接入层设备的集中和核心层链路的接入。汇聚来自接入层的节点，保护核心不受高密度对等关系的影响。此外，汇聚层还创建故障边界，在接入层发生故障时提供逻辑隔离点。负载平衡、服务质量(QoS)和易于设置等都是汇聚层的主要考虑因素。本次网络设计的汇聚层需要能提供快速的数据交换和极高的永续性，从设备考虑，需选用交换性能和可靠性高的高端路由交换设备，支持双主控、电源冗余、风扇冗余、分布式转发等特性。本次网络设四个汇聚，每个汇聚配置一台H3CS10508E-S模块化路由交换机，H3CS10508E-S具有6个业务插槽，可以满足后期扩容需求，天然支持全线速分布式转发，配置高性能路由交换引擎和双电源冗余，每台配置8个万兆接口和48个千兆光接口（其中两台配置96个千兆光接口），万兆接口用于连接两台核心交换机，千兆光口提供接入交换机高速互联。H3CS7500E路由交换机是杭州H3C通信技术有限公司面向融合业务网络推出的新一代高端多业务路由交换机，采用了全分布式体系架构，基于H3C自主知识产权的ComwareV5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。3.3接入层建设规划设计接入层是边缘设备、终端站和IP电话接入网络的第一层。健壮的接入层提供以下主要特性：链路汇聚（以太网通道或802.3ad）高可用特性，提供更高的带宽利用率，同时降低复杂性，汇聚的链路之间在故障发生时，正常链路可承担起所有网络流量为满足办公网络用户的全千兆接入需求，所以端口必须支持线速转发，硬件识别和处理各种应用业务流，所有端口都具有单独的数据包过滤和区分不同应用流的能力，并根据不同的流进行不同的管理和控制使用QoS为关键任务网络流量分发优先级，从而靠近网络入口对流量进行分类和排队，提供多样的队列调度满足高级QoS、更为精细的流分类、限速粒度和组播服务，实现网络控制和带宽优化安全服务，通过配置802.1x,、端口安全性、DHCP侦听、动态ARP检查及IP源保护等工具来增加安全性，从而更有效地防止非法网络访问为网络提供了更多的智能特性，如基于策略的VLAN、支持基于端口／流／MAC／VLAN镜像、增强的ACL和端口安全功能等支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系建议选用H3CS5120全千兆三层交换机，提供24/48个千兆以太网端口，4个千兆SFP端口，采用千兆光纤链路与核心交换连接，楼层交换的端口数将根据楼层实际信息点数量进行分配。3.4数据中心建设规划设计数据中心是在数据大集中背景下形成的集成IT应用环境，它是各种IT业务和应用服务的提供中心，是数据运算/交换/存储的中心，实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。为保证数据中心的高安全性和快速数据交换，数据中心接入交换机建议采用H3C公司的S5800-60C数据中心级万兆以太网交换产品，配置2个万兆端口采用万兆多模光纤分别与两台核心交换机互联。H3CS5800-60C交换机单台设备可以按需扩展至最多8个全线速转发的万兆端口,或提供灵活的千兆接入端口，可以提供16个千兆光接口或者电接口扩展模块，单台设备可以按需扩展至最多84个全线速转发的千兆端口，满足数据中心对于光电混合配置的要求。针对于数据中心大流量数据无阻塞传输的要求，H3CS5800-60C可以提供强大的缓存能力，并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。支持电源冗余和模块化风扇组件，电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。完全满足数据中心网络建设需求。3.5网络出口建设规划设计为保障网络的安全性，需针对INTERNET、医保出口分别部署网络设备。建议在INTERNET出口处，部署一台H3CMSR5040开放多核路由器和一台UTM200统一威胁管理产品，保证网络出口安全和快速NAT转换。MSR50路由器在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的N-Bus多总线设计方案，语音、数据、交换、安全四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了该路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。H3CSecPathU200采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。支持L2TPVPN、GREVPN、IPSecVPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理，可以为用户提供大容量、高性能的安全VPN接入。

无线网络设计规划4.6WLAN无线网络规划与有线网络相比，WLAN具有安装便捷、移动性好、使用灵活、易于扩展等优点，可以为不易布线的地方和远距离的数据处理节点提供强大的网络支持。由于WLAN具有上述不可替代的优点，因而会迅速地应用于需要在移动中联网和在网络间漫游的场合。但与此同时也给WLAN的优化设计与管理带来了很多新的问题。WLAN包括无线网卡和接入点（AP）.无线网卡安装在移动终端上，用来访问AP。无线网卡带有发送器、接收器、天线和提供无线终端接口的硬件。AP是一个桥接的无线基站，放置于固定位置并可连接到有线局域网。AP带有发送器、接收器、天线和桥接器，带有与IEEE802.3有线局域网的接口，可以让无线终端同有线局域网通信。网络结构是进行优化设计的基础。大型WLAN应用的网络结构以基础设施网络为主。基础设施网络提供对其它网络的访问，带有转发功能和介质访问控制等功能。在基于这种结构的网络中，通信只发生在无线节点和AP之间，而不是两个无线节点之间直接通信。AP起到了桥接其它无线或有线网络的作用。这种网络结构典型的使用场景为、办公室、超市和仓库。WLAN不同于传统的有线网络，噪声和干扰、建筑物结构、无线设备的摆放及其参数的设置都对WLAN的信号质量和传输速度等性能有很大的影响。因此，WLAN的设计也与有线网络不同。WLAN优化设计的目的是：使无线接入设备覆盖所有期望覆盖的区域，并且具有足够承担预期负载的能力。由于环境的复杂性，WLAN的设计必须通过实际的测量才能达到理想效果。其中，AP的定位和频率分配是WLAN优化设计的两个重要方面。根据与业主相关负责人员详细沟通后对于贵现况及无线上网需求和无线网的运用，我们根据现场实际的场地状况及日后相关需求发展做了以下的归纳分析:目前工作人员约有二万五千余人，根据使用方规划最终学生人数将达三万五千人，由于企业所有员工皆配备有笔计型PC对于无线上网是有其必需与必要性的故规划整个无线互联网环境首要的思路就是如何让每个员工都能在无线讯号覆概良好并能提供足够带宽的上网环境来做规划。初期使用方以办公大楼及阅览室为无线覆盖主要区域其范围分布较广且办公楼都是采用U型或较为开阔的建筑，基本上属于分布式的环境，所以若以一般传统式的室内WLAN系统及传统式短室内距离的WLAN覆盖方式根本无法满足学生所需要的无线上网环境。根据企业的日后发展方向及未来场地扩展，我们也确定必须对系统的扩充性及整合性做一详细的考虑，如所选用的系统必须视可以随时扩充及必须做到扩充后的无缝结合。整个办公楼群基本上每栋都有电信光缆到楼，只有图书馆尚未有接入电信光缆，但使用方考虑到施工对环境的影响原则上不再采用铺光缆的方式。方案实施规划方向根据以上实际需求分析我们可以很清楚的得到一些方案实施方向:考虑到上网人数多且密集我们根据使用方的预期要求以五比一的高峰上网比例来规划也就是整个无线必须满足能让5000个用户同时上网。就覆盖信号范围需求方面一般的室内无线WLAN系统不适用于本方案的实施因为本方案属于分布式无线上网系统的运用其覆盖方式是属于大面积覆盖，适用室外型高性能电信运营级WLAN设备方能满足需求而室内小面积并不具备所需之性能要求；故我们采用以室外大面积高性能电信运营级WLAN设备来规划整个网络架构。针对高密度的用户环境我们必须采用高带宽的54Mbps802.11g的产品来规划。图书馆尚未有接入电信光缆，但使用方考虑到施工对环境的影响原则上不再采用铺光缆的方式。及对于设备的维护及稳定度更加要求故我们采用目前业界公认最稳定也是最有效的802.11a5.8GHz无线网桥将带宽传到图书馆办公楼。根据上述及与使用方相关负责人员详细沟通后对于企业现况及无线系统的需求和运用，我们根据现场实际的场地状况及日后相关需求发展规划了一套基于54Mbps的室外无线WLAN局域网接入规划，本着“专业、实效和用户至上”的原则来设计。基本组网架构首先利用现有已布设完成的电信光缆将Internet信号从电信机房引到各出将办公大楼，再接入AP的以太网供电器经过室外以太网再接入ODU-8200PG，然后再通过ODU-8200PG2.4G的802.11b/802.11g的覆盖发射出AP覆盖无线信号(如图七所示)，在客户端只要使用一张无线网卡，就可以连上AP，畅游网络世界。图3ODU-8200PG组网示意2.4GHz网桥802.11b54Mbps2.4GHz网桥802.11b54Mbps2.4GHz网桥802.11b54Mbps2.4GHz网桥802.11b54Mbps2.4GHz网桥802.11b54Mbps中国电信机房图4ODU-8200PG组网示意4.6.1系统设计方案说明本方案以既有的中国电信已铺设的光缆作做为网络骨干之基础再以WLAN无线AP将带宽经RF无线方式传输到终端设备(如:PC,无线IAD,无线PDA等...)。整个需要无线覆盖房间如图八所示，其中紫色、蓝色、绿色、红色分别代表四个不同通道(CH1/CH4/CH8/CH11)的无线覆盖蜂窝，无线AP以4个ODU-8200PG2.4GHz54Mbps作传输/覆盖AP为中心点(如图八AP1/AP2/AP3/AP4)分别以三个到四个AP组成WDS蜂窝之架设方式；第一蜂窝为图八所示之紫色线条示意之AP1/AP2/AP3/AP4(共由四颗ODU-8200PG组成)，第二蜂窝为图八所示之红色现线调示意AP5/AP6/AP7/AP8(共由四颗ODU-8200PG组成)，第三蜂窝为图八所示之绿色线条示意之AP9/AP10/AP111(共由三颗ODU-8200PG组成)，第四蜂窝为图八所示之蓝色线条示意之AP12/AP13/AP14/AP15(共由四颗ODU-8200PG组成)，整个无线覆盖网工共使用15颗ODU-8200PG4.6.2整体网络性能评估十五个AP其可提供总带宽应为300Mbps，计算方式如下:因每一AP出口均为54Mbps(实际有效带宽为20Mbps)故15个AP将提供20Mbps*15=300Mbps的实际带宽，并可同时提供960个用户(64*15=960)在线互联并发(每一AP并发数为64个用户)。4.6.3组网实施步骤实际覆盖宿舍环境分析与AP架设位置之选择实际覆盖环境如图八所示，共需覆盖大楼如图八黄色标示之建筑物，组网实施方式将分为下面几个步骤进行:各覆盖蜂窝之远端点之安装实施步骤分述如下:覆盖蜂窝一之远端点:AP-2,AP-3,AP-4因每个AP之覆盖天线覆盖之角度为左右120°上下各为15°故各远端点必须在中心点覆盖面120°内才能顺利接收到中心点所传过来之讯号。覆盖蜂窝二之远端点:图八所示之AP-6,AP-7,AP-8因每个AP之覆盖天线覆盖之角度为左右120°上下各为15°故各远端点必须在中心点覆盖面120°内才能顺利接收到中心点所传过来之讯号。覆盖蜂窝三之远端点:图八所示之AP-10,AP-11因每个AP之覆盖天线覆盖之角度为左右120°上下各为15°故各远端点必须在中心点覆盖面120°内才能顺利接收到中心点所传过来之讯号，因AP-10,AP-11主要覆盖为覆盖楼三和覆盖楼四之南面外侧，因该面并无其它相邻之建筑物可装社AP故我提供们两种AP之架设方式；一为直接将AP装在覆盖三和楼四的覆盖面外侧屋顶角上；一为在南面外侧立抱竿将AP装设在抱竿上如图八AP-10,AP-11。覆盖蜂窝四之远端点:图八所示之AP-13,AP-14,AP-15因每个AP之覆盖天线覆盖之角度为左右120°上下各为15°故各远端点必须在中心点覆盖面120°内才能顺利接收到中心点所传过来之讯号。4.6.4AP覆盖单元一)覆盖设备ODU-8200PG系列是在-20~70°C温度下提供超长距离接入的无线局域网覆盖设备，ODU-8200PG系列提供了AP/网桥混合模式减少布线成本、及自带天线，更有利于无线网之建设。此系统主要用在小区无线覆盖/城域无线网覆盖,并可用于点到点及点到多点射频方案，以连接多个建筑物间之局网。本系统支持11/54Mbps传输率，使用DSSS/OFDM技术。图5ODU-8200PG产品外观特色及益处DSSS/OFDM技术特色及益处DSSS/OFDM技术网桥功能(2.4G)可达10公里传输距离及54Mbps传输数率AP功能(2.4G)最高速率54Mbps(802.11g)及11Mbps(802.11b)用户隔离AP隐藏功能支持无线VLAN功能支持WDS以太网供电采用SNMP简化管理广泛操作温度从-40到70°C防水室外单元支援802.1x认证MAC捆绑/MAC认证最高并发数64个用户同时支持802.11b/802.11g协议使用1个中心网桥和多个远程室外网桥可以创建一个点对多点链路，每个通道远程室外网桥的数量最多可以达到4个，同一个位置可以配置3到4个不重迭通道。ISP可以创建一个无线网络为一些住宅用户提供因特网的接入，用户需要使用安装有无线网卡的台式机、笔记本计算机。提供11Mbps(802.11b)和54Mbps(802.11g)的数据速率，高于E1/T1数十倍的链路速率。支持IAPP漫游协议及WDSAP/网桥混合模式,可用于搭建一个蜂窝示WLAN网络。10/100Base-T以太网接口，适用于10和100Mb/s以太网环境。高安全性的系统，使用了以下加密措施：64-bitWEP和128-bitRC4AccessControlSystemAddressPassPhrase用户隔离VLANAPESSID隐藏ANY搜索限制802.1X标准的IP路由设置，可以将不同IP子网的LAN连接起来，使无线网络和有线网络容易的进行连接。支持VLAN功能，在VLAN环境下，可以对其进行管理。最高支持上网并发数为64个用户(2)、ODU-8200系统技术指针：规格设备接口以太网接口:IEEE802.3100/10BaseT(RJ-45)无线网络连接标准:IEEE802.11b/802.11g频率范围:2400-2484MHz(802.11b/802.11g)传输率:802.11b(11Mbps)/802.11g(54Mbps)散射型式:DSSS802.11b(2.4GHz)OFDM802.11g(2.4GHz)频段:11channels(802.11b/802.11g)调变:BPSK/QPSK/CCK输出功率:500mW(0.5W)/1000Mw(1W)协定安全:WEPEncryption640-bitand128-bit支援802.1x认证网络:SNMP,TCP/IP,IPX/SPX,NetBEUI操作系统支持支援Windows98/2000/NT/XP网络架构PTP连接(点到点)PTMP连接(点到多点)WDS(AP/网桥混何模式)LED指示灯Power,Act,SignalStrength电力需求输入:AC100-264V,50-60Hz,21W尺寸ODU-8200(190长×190宽×90高)厘米;2.8公斤操作环境操作温度:-20~60°C储存温度:-40~80°C湿度范围:85%,无水珠凝结下AP的位置首先应根据实际的场景和需求初步进行选择，然后在通过实地测量进行调整。定位需要遵循以下原则：AP的覆盖区域之间无间隙，AP之间重迭区域最小。第一条原则保证所有的区域都能覆盖到，而第二条原则是要尽可能减少所需的AP数量。AP覆盖区域的确定需要根据接收到的信号强度来决定，做法是先设定一个信号强度阀值，例如为满足某小区域的无线终端点播流媒体课件的需求，通过测量得知信噪比SNR＝10dB是能够保证点播流媒体课件质量稳定的最低信号强度，所以可将10dB作为阀值，凡是信号强度不低于这个阀值的区域就确定为AP的覆盖区域；然后进行实地测量，并记录，产生AP的覆盖区域图；最后根据定位原则进行调整，直到满意为止。由于各个区域的用户密度不同，一般情况下用户密度大的区域情况更复杂，所以应先在用户密度高的区域进行AP的布置然后再布置用户密度低的区域。在空旷的户外可用对称圆形和球形来划定AP覆盖区域；而在规则的狭长或矩形建筑物内可用线形或矩形将AP对称分布。但是由于室内建筑结构的复杂性，例如金属防盗门、铝合金门窗等，应当在初步选择AP位置后进行仔细的测量，以确保布置的AP能够覆盖所有区域。在AP的位置已经固定，覆盖范围也已经确定之后，要考虑的是频率分局的问题。IEEE802.11b/g的工作频率为2.4GHz。在多个频道同时工作的情况下，为保证频道之间的相互干扰最小，可以使用三个互相不重迭的频道。频率分配实质上也就类似于一个用三种颜色给地图涂色的问题。另外，WLAN的优化设计不仅是要从覆盖范围的角度来考虑，还要考虑其负载能力，以保证服务质量。以布置天线为例，假设实际的需求是要保证30个学生同时点播多媒体课件，一个AP不能满足要求，需要在同一教室里面布置两个AP。由于用户需求是动态变化的，AP的实际负载可能会加重或减轻，这些变换可以通过对WLAN监视得知。网络管理员应根据实际变化对AP的数量和分布作出调整。总之，良好的WLAN设计不仅可以保证较好的服务质量，也可以减少AP的使用数量从而节约成本，其前提是事先经过充分的实地测量和评估。用户认证管理核心技术（PPPoE、WEB、DHCP）解决方案

认证可称AAA，包含三个方面：Authentication鉴别、Authorization授权、Accounting计费。Radius协议是用来解决AAA的，现在用得最广，成为事实上的标准。用户主机与网络设备的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面会专门介绍这三种方式。网络设备与AAAServer的通信协议：采用标准的Radius协议，为实现增强功能，可采用扩展的Radius协议，即俗称Radius+；网络设备与AAAServer通过Radius协议的认证的简要过程如下：1)网络设备向AAAServer发出AccessRequest包，其中包含用户的账号、密码、端口号、埠类型等；2)AAAServer向网络设备回送AccessResponse包，其中包含用户的合法性和用户的一些设置，如IP地址，屏蔽，DNSserver，上网带宽，上网时段等；3)网络设备不断向AAAServer发送计费消息包，这些消息包可以反映出上网开始时间，上网结束时间，输入输出流量，SessionID、账号等；三种认证方式在无线宽带接入中，按用户与网络设备之间的通信方式，可将认证分为以下三种：

（1）PPPoE（包PPPoA、PPTP等）

（2）DHCP/DHCP+

（3）Web认证

1、PPPoE认证

通过PPPoE（Point-to-PointProtocoloverEthernet）协议，服务提供商可以在无线以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。(说明:PPPoE（Point-to-PointProtocoloverEthernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。)PPPoE的建立需要两个阶段，分别是搜寻阶段（Discoverystage）和点对点对话阶段（PPPSessionstage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。PPPoE一般用于卡号用户，卡号用户的账号和密码是通过PPPoE拔号软件输入的，费用也从输入的账号上扣。PPPoE认证主要利用PPP的一些属性，与它类似的认证方式还有PPPoA、PPTP、L2TP等。相比之下，PPPoE应用最普遍。2、DHCP认证DHCP的认证过程如下：用户主机上电，发出DHCPRequst广播包；该包到达网络设备，网络设备得到用户的VlanID，根据VlanID查表得到用户的认证账号。将认证账号送到RadiusServer认证。Radiusserver返回认证回应。用户上internet，有流量流经网络设备。网络设备检测到用户的上网流量，向Radiusserver发计费开始的消息包。关机时，用户主机会发出DHCPRelease包；该包达到网络设备，网络设备将向Radiusserver发一个终止计费的消息包，该包同时也包含了用户的流量。计费结束。DHCP认证适合固定用户。3、Web认证认证步骤如下：用户机器上电启动，系统程序根据配置，通过DHCP由ISN做DHCP-Relay，向DHCPServer要IP地址（私网或公网）；ISN为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portalserver和一些内部服务器，个别外部服务器如DNS）；Portalserver向用户提供认证页面。在该页面中，用户输入账号和口令，并单击"login"按钮。也可不输入由账号和口令，直接单击"Login"按钮；该按钮启动portalserver上的Java程序，该程序将用户信息（IP地址，账号和口令）送给网络中心设备ISN；ISN8850利用IP地址将收到用户的信息，对用户的合法性进行检查。便于以后的合法性检查。如果用输入了账号，则认为是卡号用户，使用用户输入的账号和口令到Radiusserver对用户进行认证。如果用户未输入账号，则认为用户是固定用户，网络设备利用VlanID（或PVCID）查用户表得到用户的账号和口令。将账号送到Radiusserver进行认证；RadiusServer返回认证结果给网络设备；认证通过后，修改该用户的ACL，用户可以访问外部因特网或特定的网络服务。用户离开网络前，连接到portalserver上，单击"断开网络"按钮。系统停止计费，删除用记的ACL和转发信息，限制用户不能访问外部网络。在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。4.6.5具体解决方案根据以上客观的分析我们做出以下必须在规划无线WLAN网时应解决的问题:有效的覆盖区域考虑移动性需要达到用户需要的连接速度要求防止干扰安全性议题网络优化用户计费考虑移动性需要/有效的覆盖区域规划WLAN的关键事规划接入点，需要有足够的蜂窝重迭覆盖以供漫游，并需要足够的宽带以供应用。如果无线接入点不足，最后可能导致吞吐量出现问题，同时也会使覆盖区域零星散落，对用户的漫游和工作地点造成一定的限制.有线、无线间的无缝连接，让带有WLAN的PC/PDA轻松移动上网、视频信号在PC与PC间顺畅传输，这种可能性已经成为现实的应用。在未来10年内，IBMPervasiveComputing部门的战略总监LatinaConnelly表示，无线网络将集成到多种网络、设备和服务中去，到时，如果你要设置一个Wi-Fi网，就不再需要购买额外的Wi-Fi兼容硬件了。未来的网络将是普通适用和无线的，电视与掌上计算机(PDA)的区别可能只是屏幕大小不同了。解决方案:建造WLAN无缝接入蜂窝网根据以上分析采用无线城科技的室外型无线AP/网桥/天线一体型ODU-8200PG来解决这样的问题及需求,其主要利用该机型具备了WDS(WDS蜂窝网架构如图一所示),及AP漫游技术并运用其全球最先进的54Mbps802.11gDFDM功率放大器使该产品能提供业界覆盖最广穿透力最强的室外WLAN覆盖AP，并提供AP隐藏及用户隔离技术及无线VLAN画分等先进安全性功能；可提供解决移动计算机的漫游及不固定地点上网，将开辟一个全新的宽带网运用的领域，这得益于Wi-Fi与新型WDS蜂窝资料网的融合。Wi-Fi网间自如切换，这可用户节省了大量成本。且速度更快的宽带网接入将Wi-Fi的无线技术与运营商相结合，将催生出一个很大的市场，不少运营商意识到了这一点，即将有更多的服务推出。目前一种多模手机(PDA/GSM/GPRS/WLAN或PDA/CDMA/GPRS/WLAN)如我700型(PDA/GSM/WLAN)智能手机及WP-5200WiFi手机，它可以在Wi-FiWLAN蜂窝网、或传统数据上进行通话。2.4GHz网桥802.11b54Mbps2.4GHz网桥802.11b54Mbps2.4GHz网桥802.11b54Mbps2.4GHzAP覆盖接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆盖接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆盖接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆盖接入802.11b11Mbps802.11g54Mbps2.4GHzAP覆盖接入802.11b11Mbps802.11g54Mbps图6WLAN无缝接入蜂窝网示意图此外，集成Wi-Fi功能的电话，在一些特殊领域的应用也有了新进展。比如，在的急救中心，带有Wi-Fi功能的手机/座机(图二)、PDA(图三)等与的信息系统进行紧密的集成，这样护士的活动空间更大了，但不至于当输液管里的生理盐水不多时找不到她。未来，将应用更多的移动终端，以最大化地提高工作效率。Wi-Fi将成为越来越多设备的标准功能，比如电冰箱、游戏机、打印机等。由于移动网络可以找到用户的位置，这样，在一个偌大的办公室或其它环境，移动人员就可以在最近的打印机打印数据了。图7WP-5200WiFi手机/IAD图8700型PDA/GSM/WLAN达到用户需要的连接速度要求无线城科技所生产的ODU-8200PG同时支持802.11b/802.11g两种传输覆盖方式,提供2.4G频段的802.11b/g桥接功能最高可提供54M的传输速率及5公里的传输距离(网桥功能可支持点对点,及点对多点方式进行桥接;并支持WDS网桥/AP混合模式以供组建成WLAN蜂窝组网)最高连结速率达54M。防止干扰无线城科技所生产的ODU-8200PG同时支持802.11b/802.11g两种传输覆盖方式，2.4G频段的802.11b/g其可提供3个不重迭频段，并提供WDS功能可让最多五个AP同时在一个地方用同一频段来进行蜂窝状覆盖使得频段资源更有效利用,并在一些需要长距离跨区传输配上ODU-9500室外5.8G频段的802.11a网桥来进寻行传输(ODU-9500可提供12个不重迭频段,以供解决日益严重的干扰问题)。安全性保证作为一家研究无线网络产品及应用技术的专业性公司，针对现有的无线网络安全性能进行了全面周到的分析和研究，在提供给您全面、先进的无线产品和配套方案的同时，还为您制定了一系列的无线安全技术解决方案，从传统的WEP加密到新一代的IEEE802.11i，从MAC地址限制到IEEE802.1x安全认证技术，WiFi-City全面先进的安全技术能够针对不同的应用环境提出相应的方案，无论是大型企业或者是运营商，都能最大程度上满足用户不同级别的安全需求。在结合了各种安全措施和认证手段后的无线网络，具有强大的安全性能，能够有效地防止攻击，保护网络数据的传输安全，各种先进的加密措施保障有效数据不被非法盗取。WiFi-City先进的AP隐藏技术及无线用户隔离VLAN无线网络安全技术使用户不必再为无线的安全问题而担忧，WiFi-City的全套安全方案使您可以毫无顾虑地在无线网络世界畅游。无线网络安全防范措施-无线网络安全技术应用方案WiFi-City针对无线网络的各个环节制定出了一系列安全方案，有效防止非法终端接入、虚假的AP、中途数据截取等安全问题，同时灵活地结合了WEP、VPN、IEEE802.1x等多种网络安全技术手段，进一步加强了无线网络的安全性能。完备的技术解决方案，为您构建安全的无线网络提供最大的便利。安全防范点1：未经授权用户的接入对应措施：使用各种先