毕业设计论文(校园无线局域网的设计与实现)

毕业设计论文(校园无线局域网的设计与实现)（精选6篇）

毕业设计论文(校园无线局域网的设计与实现) 第1篇

______________ 学 院 毕业设计（论文）

无线局域网的组建与安全设计 无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到「信息随身化、便利走天下」的理想境界。因其具有灵活性、可移动性及较低的投资成本等优势，无线局域网解决方案作为传统有线局域网络的补充和扩展，获得了中小型办公室用户、广大企业用户及家庭网络用户的青睐，得到了快速的应用。无线局域网可以提供传统LAN 技术(如以太网和令牌网)所有功能和好处。并且极大地提高经济效益，提高生产率48%，提高企业效率6%，改善收益与利润6%，降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支，还可以为用户提供灵活性更高、移动性更强的信息获取方法。近年来，无线局域网产品逐渐走向成熟，无线局域网带宽很宽，适合企业部门进行大量双向和多向的多媒体信息传输，正在以它的高速传输能力和灵活性发挥日益重要的作用。本文对部门办公无线局域网的基本结构做了介绍，并对该网络的组建及安全维护做了阐述，因为无线网络比有线网络更容易受到入侵。

前言 无线局域网是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线电波代替双绞线、同轴电缆等设备，提供了使用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个人化和多媒体应用提供了潜在的手段[1]。它既可满足各类便携机的入网要求，也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段，能迅速地应用于需要在移动中联网和在网间漫游的场合，并在不易架设有线的地方和远冲离的数据处理节点提供强大的网络支持。同时无线局域网的载频为公用频段，无需另外付费，因而使用无线局域网的成本较低。无线局域网带宽更会发展到上百兆的带宽，能够满足绝大多数企业的带宽要求。因此，WLAN已在许多行业中得到了应用。人们生活在“移动”的世界中，越来越多的移动产品的出现，标志着人们对快捷数据访问的需求在不断增加。近年来计算机局域网得到了很大的发展与普及，局域网已成为提高工作效率及生产率不可缺少的工具。通过无线局域网可以实现许多新的应用，这表明无线局域网的时代已经来临。无线局域网在人们的印象中是价格昂贵的，但实际上，在购买时不能只考虑设备的价格，因为无线局域网可以在其它方面降低成本。根据无线局域网协会的调查表明，无线局域网可极大地提高经济效益，提高生产率48%，提高企业效率6%，改善收益与利润6%，降低成本40%。使用无线局域网不仅可以减少对布线的需求和与布线相关的一些开支，还可以为用户提供灵活性更高、移动性更强的信息获取方法。目录 摘 要.............................................................................................................2.............................................................................................................3

一、组建无线局

域网的准备工作................................................................................5

（一）现有设备统计..........................................................................................5

（二）网络接入方式..........................................................................................5

（三）无线路由的安放位置................................................................................6

（四）组建设备.................................................................................................7 1.无线网卡................................................................................................7 2.无线路由器............................................................................................7 3.无线访问节点.........................................................................................7

二、如何组建无线局域网..........................................................................................8

（一）设备的连接..............................................................................................8

（二）无线局域网的配置...................................................................................8 1.使用何种无线标准..................................................................................8 2.选择加密方式.........................................................................................9

（三）测试无线网络..........................................................................................9 1.无线局域网安全测试方案设计思路.........................................................9 2.无线局域网加密状况测试方案..............................................................10 3．恶意攻击测试方案

三、无线局域网的安全配置.(一)设置网

络环境............................................................................................11

（二）IP与MAC的相互绑定.............................................................................13

（三）防火墙...................................................................................................13

四、日常维护.（一）备份......................................................................................................14

（二）密码变更...............................................................................................14

（三）设备维护...............................................................................................15

五、无线局域网故障排除

（一）检查AP的可连接性................................................................................15

（二）WLAN网络配置问题................................................................................15

（三）AP无线信号强度....................................................................................16

（四）改变无线信号频道.................................................................................16 结

论...........................................................................................................18

一、组建无线局域网的准备工作

（一）现有设备统计 为充分满足部门现有设备联网办公需要，建立无线局域网之前要对现有设备进行调查统计，然后再确定无线组网方案。现有一公司位于新办公楼内，办公区域较分散，某些区域不能实施布线。其中一个部门共占2层，每层200平方，主要办公区域在2楼。网络内有20台台式计算机、5台笔记本（全部配有内置无线网卡），全部安装了Windows XP操作系统，Internet接入采用以太网接入（10M）。但是工作要求在所有区域都能上网，同时，在办公楼的公共区域也要求能够提供无线接入。由于对网络灵活性的需求，使得无线网络成为构建网络的首选。

（二）网络接入方式

图1-1 Infrastructure模式结构示意图 无线局域网的组成包括无线网卡和无线接入点(Access Point，简称AP)，无线接入点的作用是完成WLAN 和LAN 之间的桥接。无线局域网利用常规的局域网(如10/100/1000M以太网)及其互联设备(路由器、交换机)构成骨干支撑网。利用无线接入点(AP)来支持移动终端(MT)的移动和漫游。配有无线网卡的台式PC机、笔记本电脑或其他设备就可以与无线网络连接起来。对于客户端，无线网卡作为无线网络的接口实现与无线网络的连接。因此根据部门多台计算机的无线组网的实际情况选用Infrastructure模式，计算机通过无线网卡与AP进行通讯，AP起到了有线网络中的作用。可以组建星型结构的无线局域网，所有传输的数据均需通过AP，由AP或路由器进行网络的控制管理。多个AP可以相互串联以形成更大规模的网络。

（三）无线路由的安放位置 由于主要办公区域在二层，因而将ADSL Modem与无线宽带路由器（无线HUB）放置于二层，并通过有线方式连接。如图２是该部门房间布置结构图，无线宽带HUB高达18dBm的输出功率可有效覆盖二层的全部无线网络环境。通过路由自动分配IP使得区域内的电脑即可实现随时随地互联、接入网络，可以不受场所或房间的限制进行连接以及共享文件、共享打印等。一楼办公区域由于电脑位置分散，可通过补充一台商用型大功率蜂鸟系列无线网络接入点(无线AP)以达到更大的覆盖面积和更高的连接速率。无线AP拥有美观的外形、小巧的体积，决不占用过多空间，并可通过放置在天花板内减低对于环境美观造成的影响。图1-2 房间布置结构图

（四）组建设备 除了配备无线路由器和AP外，还需要准备网线，用于连接无线路由器和AP，还需要为工作室的每台台式电脑配备一块无线网卡。1.无线网卡 无线网卡（Wireless LAN Card）的作用类型类似于以太网中的网卡，作为无线局域网的接口，实现与无限局域网的连接。无线网卡是终端无线网络的设备，是在无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。无线网卡根据接口类型的不同，主要有三种类型：PCMCIA无线网卡(适用于笔记本电脑，支持热插拔)、PCI无线网卡(适用于台式机)和USB无线网卡(适用于笔记本电脑和台式机，支持热插拔)。2.无线路由器 无线宽带路由器是为家庭和小型办公室用户设计的一类无线产品，通常集成了无线AP、以太网交换机和IP路由器的功能，就是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。无线路由器还具有其它一些网络管理的功能，如DHCP服务、NAT防火墙、MAC地址过滤等功能。3.无线访问节点 即“Access Point”，简称AP。它主要在媒体存取控制层MAC中扮演无线工作站与有线局域网络的桥梁。就像一般有线网络的HUB一般，无线工作站可以快速且轻易地与网络相连。有了无线网卡及AP，如此便能以无线的模式，配合既有的有线架构来分享网络资源。在无线网的方案中全部选用高锐CELL系列无线网络产品：增强型802.11G/B 无线网络宽带路由器(无线宽带HUB)、802.11B/B+/G三模PCI接口无线网卡、802.11B商用型大功率蜂鸟系列无线网络接入点(无线AP)。其中增强型802.11G/B 无线网络宽带路由器可提供高达108Mbps的传输速率，完全可满足笔记本计算机在区域内移动无线高速上网的需求。台式机全部安装802.11B/B+/G三模PCI接口无线网卡，速率最高可达54Mbps，灵敏度高，输出功率17dBm，支持高达256-Bit的 WEP通讯加密。而且这款设备可与一切 802.11g、802.11b 及 802.11b+无线设备兼容，为最佳无线网络配置提供完美无隙的接合。无线访问点使用户能够自由调整网络结构和随意增加减少工位，提供随时随地的企业网络资源访问。增强型802.11g/b 无线网络宽带路由器为办公区域部署了增强型的无线安全网络，内建防火墙及NAT，能有效的阻挡来自Internet的安全性风险。基于硬件的128/254-Bit WEP传输加密，提供安全的数据通信能力。支持高度安全的802.1x 认证与Wi-Fi Protected Access(WPA and WPA-SDK)加密系统，能使网络免遭无线窃听者的攻击。MAC地址授权访问功能确保只有合法认证后的用户才能访问有效的网络资源，可以通过WEB进行配置管理。

二、如何组建无线局域网

（一）设备的连接 在工作室中，首先需要给每台台式安装PCI无线网卡，将PCI无线网卡和计算机的USB接口连接，Windows XP会自动提示发现新硬件，并打开“找到新的硬件向导”对话框。将随网卡附带的驱动程序盘插入光驱，选择“自动安装软件”选项，然后点击“下一步”按钮即开始驱动程序的安装。这样，打开“网络连接”对话框就可以看到自动创建的“自动无线网络连接”。而且在系统“设备管理器”对话框中的“网络适配器”项中可以看到已经安装的 PCI无线网卡。然后将无线路由器的端口和进入办公网络的Internet接口用网线连接，另外选择一个端口与无线接入点的端口连接。最后，分别接通无线路由器、AP电源就可以了。

（二）无线局域网的配置 1.使用何种无线标准 根据各部门对网络的不同需求，要求无线网络能提供以下的应用：共享上网、从简单的文件共享与打印共享、办公自动化，到复杂的电子商务等。由于网络内有大量Photoshop文档列印需求，有时还有网络视频应用，因而对网络质量和速率要求非常高，普通的802.11b网络的11Mbps传输速率无法满足实际需求。而802.11n是最新的无线局域网标准。其独特的双频带工作模式(包含2.4GHz和5GHz 两个工作频段)，保障了与以往802.11a/b/g等标准的兼容，与以前的802.11协议相比，IEEE 802.11n无线局域网有两方面的优势。一是短期的优势，有较高的传输速率，数据传输速率达100Mbit/s以上，使无线局域网平滑地和有线网络结合，全面提升了网络吞吐量；二是长期的优势，今后无线局域网的产品可以使用双频方式，基于MIMO技术（利用多天线来抑制信道衰落）和OFDM调制（正交频分复用技术）提高数据传输速率。同时，802.11n的传输距离更远，容易与无线广域网融合。在传输速率方面，802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbit/s、108Mbit/s，提高到300Mbit/s甚至高达600Mbit/s，传输速率提升了10倍。在覆盖范围方面，802.11n采用智能天线技术，通过多组独立天线组成的天线阵列，可以动态调整波束，保证让WLAN 用户接收到稳定的信号，并可以减少其他信号的干扰。因此其覆盖范围可以扩大到好几平方公里，使WLAN 移动性极大提高。在兼容性方面，802.11n 它是一个完全可编程的硬件平台，使得不同系统的基站和终端都可以通过这一平台的不同软件实现互通和兼容，这使得WLAN 的兼容性得到极大改善[2]。2.选择加密方式 现在组建的无线局域网虽然实现了宽带共享功能，但是却非常不安全。附近任何的电脑只要安装了无线网卡，就可以不知不觉地入侵建立的无线局域网，甚至利用宽带接入上网。为了保证无线网络的安全，还有必要对网络进行加密。Wi-Fi组织联合IEEE802.11i任务组另外提出了WPA标准，代替在设计上有缺陷的WEP协议，来缓解WLAN安全性的燃眉之急。该标准允许用户通过软件升级的方式，使早期的Wi-Fi产品兼容支持WEP，保障用户的前期投资，持高度安全的802.1x身份认证与Wi-Fi Protected Access(WPA and WPA-SDK)加密系统在IEEE 802.11i 标准最终确定前，WPA（Wi-Fi Protected Access）技术将成为代替WEP的无线安全标准协议，为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11的一个子集，其核心就是IEEE 802.1x和TKIP。新一代的加密技术采用的TKIP(Temporary Key Integrity Protocol)协议与WEP一样基于RC4加密算法，且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。WPA之所以比WEP更可靠，就是因为它改进了加密算法。WEP加密采用RSA开发的RC4对称加密算法，在链路层加密数据，采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。由于WEP密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。而在使用WPA时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密钥加密，即使截获很多的数据，破解起来也非常地困难[3]。

（三）测试无线网络 1.无线局域网安全测试方案设计思路 无线网的安全问题始终是影响无线网络广泛应用的最大障碍。无线网的安全问题主要分为非法入侵和恶意攻击两大类。由于微波技术传输的特性，在某一空间内，微波信号能够被整个空间内所有的接收设备接受，信号干扰、非法入侵等与有线网络中完全不同的问题严重影响了网络性能，因此针对无线局域网的安全测试方案就是要在可能的情况下，发现并定位对网络实施攻击的可行性方案，该方案主要从以下两个方面进行：（1）物理隔离测试：物理隔离测试包括AP隔离测试，MAC(Medium Access Control)地址过滤测试。AP与用户两层隔离测试主要是为了对于不同的用户进行隔离，以保证只有经过授权的用户才能与特定的AP进行连接。MAC地址过滤测试主要是通过MAC 址进行合法用户的筛选。（2）加密与认证状况的测试：该测试主要是针对无线网络产品所采用的加密模式进行测试，认证测试是指对认证过程进行测试，主要是对802.1x认证过程进行测试。随着安全技术的逐步成熟，困扰无线网络的安全问题从技术层面目前己经得到了一定程度的解决，现在主要安全问题来源于使用过程中人为的疏忽，因此必须建立行之有效的安全测试方案，降低由于人为疏忽的安全问题而引起网络性能下降的程度，本文在大量现场测试的基础之上，提出了一套以加密状况和恶意攻击测试为主的安全测试方案。2.无线局域网加密状况测试方案 测试背景：在搭设无线网络之初，工程人员必须使用测试仪对周边环境进行信号测试，以确保环境内没有长期的射频干扰源，可以搭建无线网络。在WLAN建成之后，由于无线局域网的弱授权性，弱安全性，管理员必须时时对网络内的设备的加密情况进行测试，一方面监测长期使用本网的用户的加密状况，一方面还需要检测临时加入该网的用户的加密状况，从而能提醒网络管理员及时对未采取加密措施的设备进行加密处理，以避免给网络造成危险。因此，为了保证无线环境的相对安全性，应使用专业的无线网络测试仪对无线网络环境进行基本的安全测试，从而帮助网络管理员了解目前所处环境的基本无线网络安全状况，以便于管理员的管理和逐一对进行安全配置。测试方案：(1)测试人员搜集所测试网络的基本拓扑结构。由于无线局域网的移动性，网络拓扑会由于设备的移动而发生改变，因此在网络投入使用之前，需要了解相对固定的网络结构，如AP的部署情况，信道的分布情况，在此阶段测试人员需要先期对网络进行基本的安全测试，以保证AP、重要的站点、长期利用网络工作的站点均使用了健全的安全机制。并设置管理权限以避免人为对设备进行重新配置。当网络投入使用之后，需要网管人员时时测试并监控网络，以保证流动性的站点在加入网络时也设置了相应的安全机制。网管人员需要利用软件被动监听整个无线网络的数据包，搜集所有的信标帧，过滤基于SSID、AP、信道和站点的安全漏洞。(2)测试网络中AP的加密状况，根据拓扑图测试人员了解AP的部署情况，由于允许通过WEP页面对AP进行配置，因此测试人员可以参照网络拓扑，对AP进行察看，需要的信息包括AP的IP地址，管理员用户名及密码。(3)测试网络中流动站点的加密状况，由于站点具有流动性，每当有新的站点加入网络时，测试人员都需要对该站点的加密状况进行测试，测试方法可以对该站点返回的数据进行补包解码操作，分析该站点的加密状况。3．恶意攻击测试方案 测试背景：恶意攻击在无线网络中主要是非法设备的入侵和无线干扰攻击。由于MAC地址在网络中以明文的形式传输，所以黑客可以轻易的窃听用户的MAC地址，装该地址进行攻击行为，另一方面攻击者还可以在网络中偷偷放置一个AP，展开攻击。由于无线传输的特殊性，无线讯号的干扰不仅影响了无线系统的覆盖范围和容量，而且还限制了现有系统和新兴系统的效能。甚至能导致无线网络的彻底瘫痪。在无线局域网测试中必须采用无线勘测技术测试周围环境来发现无线干扰设备。测试方案：通过下述四个参数确定探测到的设备为非法入侵者。(l)测试人员以MAC地址为依据创建ACL表，用来过滤非法MAC地址，持续监测ACL表防止未经授权的AP入侵网络。测试首先会探测整个无线网络中的设备结构，在网络建成初期，由于没有设备加入ACL表，因此默认情形下所有的设备均被认为是非法设备，需要网络管理员人工将合法的站点或AP选入ACL。在ACL表初始化后，需要测试人员根据网络拓扑将允许的设备添加到ACL表，如果出现新的设备，测试人员根据ACL表和该设备在无线网中的活动情况考核该设备的安全性，从而决定是否将设备纳入ACL表中。(2)测试人员通过OUI(设备原厂ID)进行非法设备的测试。(3)测试人员通过频谱分析进行无线干扰源分析从而发现干扰信号，测试采用先进的频谱分析芯片，可以采集无线网卡无法识别的RF信号，探测被测环境中是否存在蓝牙设备，微波炉等会对无线信号产生干扰的设备，并发出报警；合法的站点每30秒钟发送一次广播，每次探测两个信道，探测时间大约为一秒钟左右，测试设备探测连续的RF信号噪声以防止潜在的RF干扰攻击，若发现非法设备持续跟AP进行连接，将发生报警。一旦发现非法的未经审核的AP/客户端，测试产生自动报警，报警的严重程度可以通过颜色加以区分，之后测试人员通过查看安全警报日志获得详细信息，并根据经验及软件提供的解决方案，如可采用定向天线、频谱分析仪、功率强大的感应器等定位干扰源或非法设备。一旦有未经授权的AP/客户端侵入有线网络，需要使用定向天线及测试设备来发现非法设备，测试时，测试人员需要掌握被测试环境的建筑图和无线网络的拓扑图，测试行走的路线通常采用以AP为圆心的圆形路线，测试信号指针越高，说明离非法设备越近。找到非法设备后。，测试人员可将非人为的干扰设备部署在无线网覆盖区域之外。若非法设备为人为原因造成，测试人员可通过专业工具发出阻断包来阻断非法设备的入侵，或直接对攻击者的行为采取必要的法律措施[4]。

三、无线局域网的安全配置(一)设置网络环境 在安装完网络设备后，还需要对无线AP 算机进行相应网络设置。1.无线路由器设置 通过无线路由器组建的局域网中，除了进行常见的基本设置、DHCP设置，还需要进行WAN连接类型以及访问控制等内容的设置。(1)基本设置 当连接到无线网络后，在局域网中的任何一台计算机中打开IE浏览器，首先在地址框中输入192.168.1.1，再输入登录用户名和密码(用户名默认为空，密码为admin)，点击“确定”按钮打开路由器设置页面。在左侧窗口点击“基本设置”链接，在右侧的窗口中除了可以设置IP地址、是否允许无线设置、SSID名称、频道、WEP外，还可以为WAN口设置连接类型，包括自动获取IP、静态IP等。DHCP的作用是实现在域中自动分配内网IP。在基本设置页面中，为了省去为办公网络中的每台计算机设置IP地址的操作，配置协议即自动从DHCP服务器中获取租用IP地址，使电脑用户在网络中断时自动获得新的IP地址以便继续工作，从而享受无缝漫游。但禁止DHCP对无线网络具有重要意义，采取这项措施，黑客不得不破译用户的IP地址、子网掩码及其他所需的TCP/IP参数。把DHCP自动分配IP地址的功能关掉后，把路由器的IP地址改掉，因为一般的路由器分配的IP地址都是“192.168.1.* ”，而且网关都是“192.168.1.1”，即使关掉DHCP自动分配有些人也可以进入网络，把路由器IP地址改掉，路由器的IP地址要和计算机的网关一致，路由器的IP地址要和计算机的IP地址在同一个网段。使用以太网方式接入Internet的网络，可以选择静态IP，然后输入WAN口IP地址、子网掩码、缺省网关、DNS服务器地址等内容。最后点击“应用”按钮完成设置。(2)为网络环境设置访问控制 在办公网络中为了能有效地促进员工工作，提高工作效率，可以通过无线路由器提供的访问控制功能来限制员工对网络的访问。常见的操作包括IP访问控制、URL访问控制等。首先，在路由器管理页面左侧点击“访问控制”链接，接着在右侧的窗口中可以分别对IP访问、URL访问进行设置，在IP访问设置页面输入需要禁止的局域网IP地址和端口号，如果要禁止IP地址为192.168.1.100到192.168.1.102的计算机使用QQ，可以在“协议”列表中选择“UDP”选项，在“局域网IP范围”框中输入“192.168.1.100～192.168.1.102”，在“禁止端口范围”框中分别输入“4000”、“8000”。最后点击“应用”按钮。这样的设置是因为QQ聊天软件使用的是UDP协议，4000(客户端)和8000(服务器端)端口。如果不确定哪种协议的端口，可以在“协议”列表中选择“所有”选项，端口的范围在0～65535之间；要禁止某个端口，例如，FTP端口，可以在范围中输入21～21。对于“冲击波”病毒使用的RPC服务端口可以输入135～135。要设置URL访问控制功能，在访问控制页面中点击“URL访问设置”链接，在打开的页面中点击“URL访问限制”选项中的“允许”选项。在“网站访问权限”选项中选择访问的权限，可以设置“允许访问”或“禁止访问”，例如，要禁止访问http：//这样的网站，就可以在 “限制访问网站”框中输入http：//。最后点击“应用”按钮即可。最多可以限制20个网站。2.客户端设置 在办公无线局域网中，要注意工作室中的所有计算机需要设定相同的访问方式，例如，同为“仅访问点(结构)网络”或同为“任何可用的网络(首选访问点)”。另外，还要将每台计算机的工作组设置为相同的名称。可以在每一台计算机中设置共享文件夹，实现无线局域网中的文件的共享；设置共享打印机和传真机，实现无线局域网中的共享打印和传真等操作。3.无线访问节点设置 AP分为带网关和不带网关的，不带网关的AP相当于集线器。进入AP的设置界面，点击“Configure”，进入配置窗口；在“General”项，Access Point Name和ESSID中可随意填写便于记忆的名称。Channel也可任意选取，但笔记本电脑中的无线网卡要与其统一；“Rates”设为“Auto”；在“IP Setting”项，为了网络安全，各设备都需要指定IP地址，选择不使用DHCP(动态分配IP地址)，选择关闭(Disable)，然后为AP指定一个与局域网各机器同一网段,而且没有冲突的网址，而且子网掩码和默认网关栏的值也必需指定与局域网其他机器一样，AP设置完成。打开“网上邻居”的“属性”到“无线网络连接状态”，在“属性”中的“无线网络连接属性”，点击“无线网络配置”，在“首选网络”下的“添加”点击“关联”项，将服务名SSID设为与AP的ESSID统一，全部设置完成。

（二）IP与MAC的相互绑定 WLAN存在的安全风险和安全问题主要包括来自网络用户的进攻，未认证的用户获得访问权以及内部的窃听泄密等。针对这些威胁问题，IEEE 802.11技术本身设置了认证和加密功能，但还存在安全隐患，还需要采取物理地址过滤的方法，即每块网卡都有唯一的物理地址，在AP中设置允许访问的MAC地址列表，可实现属于硬件认证的物理地址过滤。绑定MAC地址和IP地址功能时，选择不使用自动获取IP地址，关闭DHCP服务，并使用MAC地址过滤，记下各计算机的Internet Address及对应的Physical Address，然后在AP设置中的允许访问的MAC地址列表和指定IP地址区域输入所有用户的地址即可完成网关的IP address与MAC address的绑定。

（三）防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。通常一个路由器，也可以是一台运行防火墙软件的PC机。防火墙有选择地过滤或阻塞网络间的流量。它通常在Intranet和Internet的交接处，也可以在两个Intranet之间设立防火墙。防火墙一般是基于源地址和目的地址以及每个IP包的端口来做出禁止或允许判断。为了保证网络的安全，无线路由器内置了防火墙功能。防火墙功能一般包括LAN防火墙和WAN防火墙，前者可以采用IP地址限制、MAC过滤等手段来限制局域网内计算机访问Internet；后者可以采用网址过滤、数据包过滤等简单手段来阻止黑客攻击，保护网络传输安全。使用防火墙能够强化安全策略，能有效地记录网络上的活动，限制暴露用户点，同时防火墙是一个安全策略的检查站。防火墙的实施就是把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用，因为它保护了防火墙后面的所有计算机。值得注意的是，防火墙本身并没有保障安全的能力，需要定期的检查防火墙对可疑事件做出的日志记录，还需要去发现和使用软件的安全补丁。

四、日常维护

（一）备份 在日常使用计算机的过程中，因为病毒的破坏或者误操作，以及其他意外情况的发生，都有可能导致文件和数据的破坏或丢失。通过备份可以事先将重要的或需要备份的文件和数据保存起来，或备份整个系统，一旦遇到上述情况，就可以将备份的文件还原过来，真正做到有备无患。Windows XP是自带备份功能，在附件中进行备份，通过单击打开“开始—程序—附件—系统工具”菜单项，在弹出的子菜单里选中“备份”命令来打开“备份或还原向导”窗口，通过这个向导模式，可以使用比较简洁的窗口来一步一步进行文件和目录和备份与还原。还需要进行数据备份，企业部门可以采用访问控制、身份验证、数据加密、安全审计等技术手段保证数据的安全，也可以制定一个有效的数据备份策略，这是企业部门局域网保护网络数据的较好方法。数据备份有完全备份、增量备份、指定备份等备份方式。企业部门可根据需要选择，重要数据应每天做数据备份，存放在光盘中。

（二）密码变更 密码设置完成后，还需要定期修改WEP密钥，因为WEP用来产生这些密钥的方法被发现具有可预测性，这样对于潜在的入侵者来说，就可以很容易的截取和破解这些密钥。所以为了无线网络的安全，需要定期修改密码。

（三）设备维护 对无线局域网设备进行维护需要对两方面进行维护：首先是联单无线接入点的维护，经常查看无线接入点的安全；其次是对无线局域网性能的监控及优化。安全与管理是两个需要同等重视的问题，而且是互相影响互相推动的。应该制定计划，支持多种安全策略应对不同的情况，从而提高无线局域网的性能，需要派专门人员对局域网进行维护和监控。加深管理员的安全意识，明白违规使用无线网络的危害性。

五、无线局域网故障排除 【导读】当进行WLAN(Wireless Local Area Network)网络故障的Troubleshooting时，应该首先以下几个关键问题进行排错。其中包括一些硬件的问题会导致网络错误，同时错误的配置也会导致WLAN网络不能正常工作。下面将介绍一些WLAN网络排错的方法和技巧。当只有一个AP(Access Point)以及一个WLAN客户端出现连接问题时，我们可能会很快的找到出有问题的客户端。但是当网络非常大时，找出问题的所在可能就不是那么容易了。在大型的WLAN网络环境中，如果有些用户无法连接网络，而另一些客户却没有任何问题，那么很有可能是众多AP中的某个出现了故障。一般来说，通过察看有网络问题的客户端的物理位置，你就能大概判断出是哪个AP出现问题。当所有客户都无法连接网络时，问题可能来自多方面。如果你的网络只使用了一个AP，那么这个AP可能有硬件问题或者配置有错误。另外，也有可能是由于无线电干扰过于强烈，或者是无线AP与有线网络间的连接出现了问题。

（一）检查AP的可连接性 要确定无法连接网络问题的原因，首先需要检测一下网络环境中的电脑是否能正常连接无线AP。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式，然后ping无线AP的IP地址，如果无线AP响应了这个ping命令，那么证明有线网络中的电脑可以正常连接到无线AP。如果无线AP没有响应，有可能是电脑与无线AP间的无线连接出现问题，或者是无线AP本身出现了故障。要确定到底是什么问题，你可以尝试从无线客户端ping无线AP的IP地址，如果成功，说明刚才那台电脑的网络连接部分可能出现了问题，比如网线损坏。如果WLAN客户端无法ping到无线AP，那么证明无线AP 以将其重新启动，等待大约五分钟后再通过有线网络中的电脑和WLAN客户端，利用ping命令察看它的连接性。如果从这两方面ping无线AP依然没有响应，那么证明无线AP已经损坏或者配置错误。此时你可以将这个可能损坏了的无线AP通过一段可用的网线连接到一个正常工作的网络，你还需要检查它的TCP/IP配置。之后，再次在有线网络客户端ping这个无线AP，如果依然失败，则表示这个无线AP已经损坏。这时你就应该更换新的无线AP了。

（二）WLAN网络配置问题 WLAN网络设备本身的质量一般还是可以信任的，因此最大的问题根源一般来自设备的配置上，而不是硬件本身。知道了这一点，我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。

（三）AP无线信号强度 如果你可以通过网线直接ping到无线AP，而不能通过无线方式ping到它，那么基本可以认定无线AP的故障只是暂时的。如果经过调试，问题还没有解决，那么你可以检测一下AP的信号强度。虽然对于大多数网管来说，还没有一个标准的测量无线信号强度的方法，但是大多数WLAN网卡厂商都会在网卡上包含某种测量信号强度的机制。

（四）改变无线信号频道 如果经过测试，你发现信号强度很弱，但是最近又没有做过搬移改动，那么可以试着改变无线AP的频道并通过一台WLAN终端检验信号是否有所加强。由于在所有的WLAN终端上修改连接频道是一项不小的工程，因此你首先应该在一台WLAN终端上测试，证明确实有效后才可以大面积实施。记住，有时候WLAN网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。

（五）检验WEP密钥 检查WEP加密设置。如果WEP设置错误，那么你也无法从WLAN终端ping到无线AP。不同厂商的WLAN网卡和AP需要你指定不同的WEP密钥。比如，有的WLAN网卡需要你输入十六进制格式的密钥，而另一些则需要你输入十进制的密钥。同样，有些厂商采用的是40位和64位加密，而另一些厂商则只支持128位加密方式。要让WEP正常工作，所有的WLAN客户端和AP都必须正确匹配。很多时候，虽然WLAN客户端看上去已经正确的配置了WEP，但是依然无法和 WLANAP通信。在面对这种情况时，我一般都会将无线AP恢复到出厂状态，然后重新输入WEP配置信息，并启动WEP功能。

（六）WEP配置问题 到现在为止，最常见的与配置有关的问题就是有关使用WEP协议。而且WEP带来的问题也相当棘手，因为由于WEP不匹配所产生的问题显现的症状和很多严重的问题非常相似。比如，如果WEP配置错误，那么WLAN客户端将无法从WLAN网络的DHCP服务器那里获得IP地址（就算是无线AP自带DHCP功能也不行）。如果WLAN客户端使用了静态IP地址，那么它也无法ping到无线AP的IP地址，这经常会让人误以为网络没有连接。判断到底是WEP配置错误还是网络硬件故障的基本技巧是利用WLAN网卡驱动和操作系统内置的诊断功能。举个例子，一个笔记本采用Windows XP系统，并配备了Linksys的WLAN网卡。当将鼠标移动到系统任务栏的WLAN网络图标时，会有网络连接信息摘要浮现出来。当连接频道和SSID 设置正确后，就算WEP设置错误，你也可以连接到无线AP。此时，从任务栏你会看到连接信号的强度为零。不论WEP是否设置正确，Linksys网卡都会显示出连接信号强度。由此你也可以知道网络确实是已经连接上了，虽然有可能无法ping到无线AP。如果你右键点击任务栏中的WLAN网络图标，并在弹出菜单中选择查看可用的WLAN网络（View Available Wireless Networks）命令，之后你会看到WLAN网络连接（Wireless Network Connection）对话窗。这个对话窗会显示出当前频道内的全部WLAN网络的SSID号，包括你没有连接上的网络。因此如果你发现你的WLAN网络号在列表中，但是你看起来不能正常连接，那么你可以放心，自己的网络连接并没有什么问题，问题是出在配置上。注意： WLAN网络连接对话框还提供了一个可以输入WEP密钥的区域，当你试图连接某个WLAN网络时，可以输入该网络的WEP密钥。一般在这里输入WEP密钥后，网络会马上连接成功。

（七）DHCP 配置问题 另一个让你无法成功的访问WLAN网络的原因可能是由DHCP配置错误引起的。网络中的DHCP服务器可以说是你能否正常使用WLAN网络的一个关键因素。很多新款的WLANAP都自带DHCP服务器功能。一般来说，这些DHCP服务器都会将192.168.0.x这个地址段分配给WLAN客户端。而且 DHCPAP也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的WLAN客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个AP。对于这种情况，有两种解决方法： 禁用AP的DHCP服务，并让WLAN客户端从网络内标准的DHCP服务器处获取IP地址。修改DHCP服务的地址范围，使它适用于你现有的网络。这两种方法都是可行的，不过具体还要看你的无线AP的固件功能。很多无线AP都允许你采用其中一种方法，而能够支持这两种方法的无线AP很少。

（八）多个AP的问题 设想一下假如有两个无线AP同时按照默认方式工作。在这种情况下，每个AP都会为无线客户端分配一个192.168.0.X的IP地址。由此产生的问题是，两个无线AP并不能区分哪个IP是自己分配的，哪个又是另一个AP分配的。因此网络中早晚会产生IP地址冲突的问题。要解决这个问题，你应该在每个 AP上设定不同的IP地址分配范围，以防止地址重叠。

（九）注意客户列表 有些AP带有客户列表，只有列表中的终端客户才可以访问AP，因此这也有可能是网络问题的根源。这个列表记录了所有可以访问AP的WLAN终端的MAC地址，从安全的角度来说，它可以防止那些未经认证的用户连接到你的网络。通常这个功能是不被激活的，但是，如果用户不小心激活了客户列表，这时由于列表中并没有保存任何MAC地址，因此不管其他的如何设置，所有的WLAN客户端都无法连接到这个AP了。结论 无线局域网具有很高的应用价值，其可移动性，由于没有线缆的限制，员工在不同的地方移动工作，可以实时地访问信息；简易布线，由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，建网时间可缩短；多样组网，无线局域网可以组成多种拓扑结构，从少数用户的点对点模式扩展到上千用户的基础架构网络；成本优势，这种优势体现在有线网络需要租用大量的电信专线进行通信，而自行组建的WLAN会为用户节约租用费用。全国Wi-Fi网络的覆盖上处于领先水平，并且覆盖面在继续扩大。因此学习研究无线局域网的组建与设计有现实意义，为企业部门的发展起到决定性作用。本文详细就部门小型无线局域网的基础架构模式的构建做了介绍，并对该网络的组建及安全维护做了阐述。针对目前无线网络中存在的多项安全漏洞，提出了一套切实可行的无线局域网组网方案，符合企业部门的实际情况，节约成本，保证了信息安全，对企业各部门之间的联系和信息交流产生了巨大作用，为部门的发展提供了基础保障。未来无线局域网技术发展，需要支持高速突发数据业务，在室内使用时要解决包括多径衰落、相邻子网间串扰等问题，并在安全性、移动漫游、网络管理等方面做出更大努力。勇气去面对那未知的未来。谢 真快，转眼三年，大学生活就这样结束了，在这儿三年里，我要感谢我的导师和我的朋友们，是他们让我变得坚强，让我一点点的成长，让我学会了感恩，现在想想，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意，谢谢你们！通过本次毕业设计中，我从指导老师身上学到了很多东西。他们深厚的理论水平和实践都让我收益匪浅。都给与我很大的帮助，我想这对于我以后的工作和学习来说是一种巨大的帮助。同时也感谢全体老师对我的教育和培养。报,2004（9）： 考文 [l] 沈芳阳,李振坤,林志,王帮海,刘瑞成,周晓冬,黄永泰.无线局域网安全机制探讨.[2] 张立峰.IEEE 802.11n高速无线技术标准研究.电信工程技术与标准化,2009（5）：41-44 [3] 仝菁,朱强.WLAN的安全问题与解决方案.微型电脑应用,2008（9）：43-45 [4] 张佳星.无线局域网安全测试技术与研究.太原理工大学硕士学位论文,2007 [5] 孙瑶琴.无线网络的构建及校园网中的应用.信息科学浙江,2009（1）：

毕业设计论文(校园无线局域网的设计与实现) 第2篇

南阳理工学院

毕业设计（论文）

题目：无线校园网的设计与优化

姓

名：唐 家 辉 学

号：64202128

专

业：计算机科学与技术

系

别：计算机科学与技术系 指导教师：吴 绍 兴 起止日期：2006.2——2006.6

第 1 页

无线校园网的设计与优化

无线校园网的设计与优化

[摘要] 目前，WLAN作为有线网络的补充手段，被越来越多的用户所认同和接受。然而，随着WLAN应用的不断普及，WLAN与有线网络融合过程中所遇到的问题也日益凸显。由于这两种标准都是由IEEE组织认证的，因此，架构WLAN和有线网络相融合的统一网络应该是趋势，也是受到关注的话题。

通过这个融合网络，用户可以将有线网络中的信息扩展性地利用到WLAN中，将WLAN的便利和有线网络已有的庞大信息结合起来，更加方便地服务于信息化的应用。

全文共分为四部分：

第一部分包括第一、二章，对无线校园网络的设计进行了可行性分析，并从技术上证明了该设计是可行的。

第二部分是第三章，介绍了具体实现该设计的方法、流程和必须掌握的知识。第三部分是第四章，具体介绍了如何管理WLAN及其设备，同时还具体的介绍了如何去实施网络监视和控制。

第四部分是第五章，主要总结了本设计的意义，并对设计的不足作了相应的描述。

[关键词] 无线 带宽 漫游 关联

第 2 页

无线校园网的设计与优化

The design of the wireless campus network with optimize

Abstract

Currently, the WLAN conduct and actions the complement means of the wired network is approve by more and more customers and accept.However, apply along with the WLAN of continuously universal, the WLAN and wired network blend process to also highlight increasingly in the problem meet.Because these two kinds of standards all from the IEEE organization attestation of, therefore, the structure WLAN blends with wired network mutually of unify a network and should be a trend, is also the topic that is pay attention to.Pass this fusion network, the customer can expand the information in the wired network sex land utilization use WLAN, putting together the huge information knot that the WLAN convenience have with wired network already, is serve in an information-based application more and expediently.The full text is divided into a four part cent totally: A part includes the first and two chapters, carrying on a viability assessment to the design of the wireless campus network, and proved that design to be viable from the technique.The second part is chapter three, introducing a concrete realization should design of method, process and have to control of knowledge.The third part is chapter 4, concrete introduction how manage the WLAN and its equipments, still concretely introduced in the meantime how to go to carry out the network surveillance and control.Four-part cent is chapter 5, mainly tallied up the meaning with this design, and made to correspond to the shortage of design of description.Key words：Wireless Bandwidth roaming association

第 3 页

无线校园网的设计与优化

目 录

前 言................................................................................................................5 1 可行性分析...................................................................................................6

1.1 无线校园网建设目标............................................................................6 1.2 无线传输技术......................................................................................7

1.2.1 FHSS..........................................................................................7 1.2.2 DSSS..........................................................................................8 1.2.3 OFDM.........................................................................................8 1.2.4 MIMO..........................................................................................9 1.2.5 MIMO+OFDM...........................................................................11 1.2.6 802.11b——2.4 GHz，11 Mbit/s...............................................11 1.2.7 802.11a——5 GHz，54 Mbit/s.................................................11 1.2.8 802.11g——2.4 GHz，54 Mbit/s..............................................12 1.3 802.11b/802.11a/802.11g技术比较...................................................12 1.4 网络设计原则....................................................................................14 2 无线网络设计..............................................................................................15 2.1 无线建网技术....................................................................................15 2.2 无线网络拓扑....................................................................................16 2.3 无线设备...........................................................................................21 2.3.1接入点（AP）...........................................................................21 2.3.2 无线网桥..................................................................................22 2.3.3天线..........................................................................................23 2.4 无线网络安全....................................................................................24 2.4.1安全基础...................................................................................24 2.4.2 WLAN安全技术.....................................................................28 2.4.3 Cisco的完整无线安全解决方案................................................31 3.5站点勘查和安装..................................................................................33 3 无线网络管理..............................................................................................35 3.1 全程管理...........................................................................................35 3.2 安全管理...........................................................................................36 3.3 无线电和WLAN设备管理.................................................................37 3.4 计费管理...........................................................................................38 4 小 结..........................................................................................................39 致谢语............................................................................................................39 参考文献........................................................................................................40 附录................................................................................................................41

第 4 页

无线校园网的设计与优化

无线校园网的设计与优化

姓名：唐家辉 学号：64202128 班级：02641

前 言

随着网络技术的发展和网络产品价格不断的下调，众多高校都开始搭建网络平台，组建自己的校园网络。一个校园网络的组建并不是我们想象中用几个交换机就能实现，它是一项庞大而又复杂的工程，它需要覆盖整个校园，要将校园内的计算机、服务器和其他终端设备连接起来，实现校园内部数据的流通，实现校园网络与互联网络的信息交流，并且它还要涉及到网络的安全，涉及到网络的管理。因此，一个校园网络系统的组建需要从多方面进行考虑。

在经历一系列改革后，为了进一步提升自身实力，很多高校都开始改建自己的校园网，大量新教学楼拔地而其，在新建设的建筑大楼中一般都布有网络线，这给校园组网带来了一定的方便。不过还有一部分老式的建筑大楼并没有布网络线，如果我们在这里也使用有线网络，不但会带来布线的麻烦，还会影响建筑大楼的美观。在一所校园内，总有一部分区域是有线网络不能涉及的范围，如果强行布置有线网，后果非常严重。所以，在上面提到的这些地方需要布置无线局域网，才能让整个校园都被网络覆盖。当然我们也不能在一所高校内全部布置无线局域网，毕竟无线局域网的数据传输速度较慢，并不适合一些高带宽业务的处理。因此，一所校园的校园网应该是一个有线、无线网络的有机结合。

第 5 页

无线校园网的设计与优化 可行性分析

1.1 无线校园网建设目标

随着802.11系列标准的推出，从技术上来讲无线网络已经逐步成熟了。无线传输速率从最初的1～2Mbit/s，到11Mbit/s直至今天的54Mbit/s。而且有理由相信今后无线传输速率还会进一步提高。

对于一般用户而言，当前的无线性能与有线连接的性能已无明显差异。使用128比特加密和其他可选安全机制（例如TKIP[Temporal Key Integrity Protocol,临时密钥完整性协议]、MIC[Message Integrity Check,消息完整性检查]和802.11x认证等）来增加安全，上述安全措施已经降低了人们对不恰当的保密和控制的畏惧。同时覆盖距离更长的AP增加了解决方案的可行性。

对于一个设计优良的WLAN校园网络，必须具备如下要求：

 高可用性——通过系统冗余和适当的覆盖区域设计，WLAN解决方案能够达到高可用性。系统冗余包括在各个频率使用冗余的AP；适当的覆盖区域设计包括漫游、信号强度减弱时的自动速率协商、适当的天线选择，以及通过使用中继器将覆盖区域扩展到不能使用AP的区域。

 可扩展性——通过在每个覆盖区域使用多个AP（使用不同的频率），WLAN解决方案就能够实现可扩展性。此外，AP也可以根据预期来执行负载均衡。

 可管理性——诊断工具能够完成WLAN内的大部分管理工作。通过业界标准的API（包括SNMP和WEB方式），或者通过主流的企业管理解决方案，例如Cisco公司的WLSE（Wireless LAN Solution Engine,无线局域网解决方案引擎）、Wavelink和Airwave等公司的产品，用户应当能够管理WLAN设备。

 开放式体系结构——通过遵从IEEE 802.11a和802.11g等标准，或者参加Wi-Fi联盟等互操作性协会，或者获得美国FCC的认证，WLAN的开放 第 6 页

无线校园网的设计与优化

性都能够得到保证。

 安全性——如果需要在空气中传送数据分组，那么对它们进行加密是基本的要求。对于大型安装的情况，WLAN解决方案不仅需要集中的用户认证，还需要集中管理密钥。

 成本——客户期望每年价格都连续下降15%到30%的幅度，而无线的性能和安全性却逐年增加。客户不仅仅关心购买价格，还关心TCO（Total cost of ownership,总拥有成本），其中包括安装、管理和维护等成本。

1.2 无线传输技术

1.2.1 FHSS FHSS(Frequency Hopping Spread Spectrum，跳频扩频)是一种利用频率捷变（frequency agility）将数据扩展到频谱的83MHz以上的扩频技术。频率捷变是无线设备在可用的RF频段内快速改变发送频率的一种能力。FHSS WLAN使用的频率是2.4 GHz ISM频段中的83 MHz。在FHSS系统中，载波根据伪随机序列来改变频率或跳频。有时它也称为跳码。伪随机序列定义了FHSS信道。跳码是一个频率的列表，载波以指定的时间间隔跳到该列表中的频率上。发送器使用这个跳频序列来选择它的发射频率。载波在指定的时间（称为停留时间）内保持频率不变。接着，发送器花少量的时间（称为跳时）跳到下一个频率上。当遍历了列表中的所有频率时，发送器就会重新开始并重复这个序列。接收器同步于发送器的跳频序列，使得它在正确的时间里位于正确的频率上。图1显示了FHSS框图。

第 7 页

无线校园网的设计与优化

1.2.2 DSSS DSSS(Direct Sequence Spread Spectrum，直序扩频)——扩频是将传送信号扩展到比较宽的无线频率中的调制技术。这种技术的基本原理是运用所有信道来产生一个860 kbit/s的快速信道，或者将信道分成很多小的部分，以产生更多的信道。但是，这些信道的速度较低，例如分成3个信道的速率为215 kbit/s；若分成2个信道，则每个信道的速率为344 kbit/s。FHSS以重复的方式使用每个频率一小段时间，而DSSS始终使用22MHz宽的频率范围。信号以不同的频率被发射出。每个数据位都变成遍布频率范围的一个分片序列，或者是并行发送的码片字符串；有时它也被成为分码（chipping code）。管制机构对所支持的不同速度规定了最小的码片速率。IEEE 802.11使用11个码片。图2显示了DSSS框图。

1.2.3 OFDM OFDM(Orthogonal Frequency-Division Multiplexing，正交频分多路复用)——OFDM的工作原理是将一个高速的数据载波分成若干个低速的子载波，然后 第 8 页

无线校园网的设计与优化

并行地发送这些子载波。每个高速载波的宽度为20MHz，被分成52个子信道，每个子信道的宽度为300 kHz。OFDM使用其中的48个子信道来传输数据，余下的4个子信道用于错误纠正。编码的OFDM（COFDM）由于其编码方案和错误纠正，因而能够更有效地使用频谱。由于载波之间是正交的，因此频谱使用更有效，能够防止相隔较近的载波之间的干扰。OFDM中的每个子信道都约300 kHz宽。根据所用数据率的不同，802.11a使用不同类型的调制技术。802.11a标准规定所有遵从802.11a的产品都必须支持3种基本数据率：BPSK（每个信道编码 125 kbit/s的数据数据率可达6000 kbit/s或6 Mbit/s）、QPSK（每个信道最多编码250 kbit/s的数据，数据率可达12 Mbit/s）和16QAM（每个赫兹编码4位，数据率可达24 Mbit/s）。802.11a标准还允许厂商将调制方案扩展到超过24 Mbit/s。通过使用64QAM可以实现54 Mbit/s的数据率，这种调制技术每个周期可以编码8或10位，因而每个300 kHz的信道的数据率最高可达1.125 Mbit/s。总共使用了48个这样的信道，数据率合起来为54 Mbit/s。但每个周期编码的数据位越多，则信号越容易受到干扰和衰减的影响，最终会减少传输距离。802.11g将OFDM和CCK定义为两种必需的调制技术。同时它也支持两种可选的调制技术，即CCK-OFDM和分组二进制卷积码（PBCC）。图3显示了OFDM框图。

1.2.4 MIMO MIMO（Multiple-Input Multiple-Output，多入多出）技术——是指在发射端和接收端，分别使用多个发射天线和接收天线。传统的通信系统是单进单出

第 9 页

无线校园网的设计与优化

SISO（Single-Input Single-Output）系统，基于发射分集和接收分集的多进单出MISO（Multiple-Input Single-Output）方式、单进多出SIMO（Single-Input Multiple-Output）方式也是MIMO的一部分。利用MIMO技术可以提高信道的容量，同时也可以提高信道的可靠性，降低误码率。

目前，MIMO技术领域，另一个研究热点就是空时编码。常见的空时码有空时块码、空时格码。空时码的主要思想是，利用空间和时间上的编码，实现一定的空间分集和时间分集，从而降低信道误码率。

MIMO天线阵列，是一种开环的MIMO技术，M个发送天线，使用编码重用技术，将同样码集的每个码重复使用M次,每个码用来调制不同的数据子流，这样在不增加码资源的基础上，提高了原始数据的传输速率。

为了分辨M个数据子流，在接收端，需要使用多天线和空间信号处理。MIMO是一种能使HSDPA增加容量、提高峰值速率的技术，但受限于物理信道模型，会增加射频的复杂性，是HSDPA进一步发展的技术。

MIMO解调解扩接收机主要分2个部分，一是空时RAKE接收机，主要功能是分离不同的扩频码扩频的信号，合并多径信号；二是VBLAST，即对垂直空时码进行译码,分离出不同天线发送的空间叠加信号。

为充分利用MIMO信道的容量，人们提出了不同的空时处理方案。贝尔实验室的Foschini等人，提出了一种分层空时结构(BLAST：Bell Laboratories Layered Space-Time)，它将信源数据分成几个子数据流，独立进行编码/调制。AT&T的Tarokh等人在发射延迟分集的基础上，正式提出了基于发射分集的空时编码。同时，Alamouti提出了一种简单的发送分集方案，Tarokh等把它进一步推广，提出了空时分组编码。由于它具有很低的译码复杂度，因而，可以尽早应用于WLAN中。图4显示了MIMO框图。

第 10 页

无线校园网的设计与优化

1.2.5 MIMO+OFDM MIMO+OFDM技术——MIMO+OFDM技术通过在OFDM传输系统中，采用阵列天线实现空间分集，以提高信号质量，是OFDM与MIMO相结合而产生的一种新技术。它采用了时间、频率和空间三种分集技术，使无线系统对噪声、干扰、多径的容限大大增加。MIMO和OFDM 技术在各自的领域，都发挥了巨大的作用，将二者相结合并应用到下一代无线局域网中，正在成为无线通信的一个研究热点。

1.2.6 802.11b——2.4 GHz，11 Mbit/s 802.11b采用2.4GHz直接序列扩频，最大数据传输速率为11Mb/s，无须直线传播。动态速率转换当射频情况变差时，可将数据传输速率降低为5.5Mb/s、2Mb/s和1Mb/s。使用范围 支持的范围是在室外为300米，在办公环境中最长为100米。802.11b使用与以太网类似的连接协议和数据包确认，来提供可靠的数据传送和网络带宽的有效使用。

1.2.7 802.11a——5 GHz，54 Mbit/s 802.11a是应用于无线局域网的802.11规范族中的一个规范，主要用在接入式集线器中，为无线ATM系统提供规范。使用802.11a规范的网络运行于无线

第 11 页

无线校园网的设计与优化

频率在5.725GHz到5.850GHz之间的环境下。这个规范使用正交频分复用技术，这种技术尤其适合应用于办公室局域网。在802.11a规范中，数据速率可以达到54Mb/s，在干扰方面，它要优于802.11b规范，这是因为802.11a提供更多的可用信道，并且802.11b的使用频率和各种各样的家用器具及医疗设备的使用频率是共享的。

1.2.8 802.11g——2.4 GHz，54 Mbit/s 随着无线IEEE 802.11标准开始深入人心，各IC制造商开始寻求为以太网平台提供更为快速的协议和配置。而蓝牙产品和无线局域网（802.11b）产品的逐步应用，解决两种技术之间的干扰问题显得日益重要。为此，IEEE成立了无线LAN任务工作组，专门从事无线局域网802.11g标准的制定，力图解决这一问题。802.11g其实是一种混合标准，它既能适应传统的802.11b标准，在2.4GHz频率下提供每秒11Mbit/s数据传输率，也符合802.11a标准在5GHz频率下提供54 Mbit/s数据传输率。

1.3 802.11b/802.11a/802.11g技术比较

802.11b 力不从心

提及802.11b的最大缺点，想必大部分人都会对其速度略有微词。虽然11Mbps（实际值为550～600kB/s）的传输速率对大多数宽带用户的接入速度来说已经足够，但该性能指标却不能满足日益增长的宽带网络的需求。即便是个人用户，目前国内不少家庭的宽带接入速度也已超过1MB/s，无论802．11b如何改进，它已呈现出力不从心的态势。

802．11a稍逊一筹

从另一个角度来看，WLAN的应用也不仅仅是满足于客户端计算机的Internet接入。出于无线局域网“无线”的特性，许多个人及商业用户均希望将其相应的“家庭局域网”和“公司局域网”通过无线来组建，从而实现大容量数据的无线传输，此时相比有线局域网，WLAN的速度瓶颈则更加相形见绌。再加上早期802.11b标准的安全性问题，注定了它与主流应用的无缘。

第 12 页

无线校园网的设计与优化

作为802.11b的继承者，802.11a和802.11g均具备优秀的素质。首先，它们都是经IEEE（电子与电气工程师协会）批准的无线局域网规范，标准的确立也就意味着厂商们的认可和支持；其次，它们都拥有高达54Mbps的传输速度（实际传输速率可达3MB/s之多），非常接近传统100M有线局域网传输速率的一半，如此一来，大容量数据传输便得到了一定的解决；最后在安全性上，802.11a和802.11g较802.11b也要更胜一筹。然而在目前的市场上，很少看见有基于802.11a标准的无线网络产品。特别是随着Intel Dothan处理器的发布，主流高端笔记本电脑上几乎清一色地配备了Intel Pro 2200 b/g无线网卡，主流无线AP也大多为802.11b/g规范，是什么原因让802.11a标准受到市场的冷落？

802.11g与802.11a一样拥有54Mbps的传输速率。其中802.11a在信道可用性方面更具优势。这是因为802.11a工作在更加宽松的5GHz频段，拥有12条非重叠信道。而802.11g只有11条（802.11b同为11条），并且只有3条是非重叠信道（信道

1、信道

6、信道11）。因此802.11g在协调邻近接入点的特性上不如802.11a。由于802.11a的12条非重叠信道能给接入点提供更多的选择，因此它能有效降低各信道之间的“冲突”问题；此外，802.11a独特的5GHz工作频段也在抗干扰性上优于802.11b/g，因为在日常生活中，许多电子设备都是基于2.4GHz频段工作的，这正好与802.11b/g的工作频段相同并产生冲突（举个例子，如果你的家中同时安装有无线局域网和无绳电话，那么当你使用无绳电话时便会发现通话效果时好时坏，这就是典型的干扰问题），如蓝牙设备、微波炉等。

5GHz工作频段具有2.4GHz无法比拟的抗干扰优势，但同时也预示了802.11a的灭亡。由于频段较高，使得802.11a的传输距离大打折扣。以往802.11b无线AP的覆盖范围为80~100米（室内），而802.11a仅有30米左右。5GHz频段的电磁波在遭遇墙壁、地板、家具等障碍物时的反射与衍射效果均不如2.4GHz频段的电磁波好，因而造成802.11a覆盖范围偏小的缺陷；其次，由于设计复杂，基于802.11a标准的无线产品的成本要比802.11b高的多。据一份市场调查显示，802.11a产品的售价至少比802.11b高出四倍以上，在价格敏感的前提下，它很难替代已成主流的802.11b；最后就是802.11a致命的兼容性问题，其独特的5GHz频段无法与802.11b兼容，要知道目前全球有几千万个采用802.11b标准的无线 第 13 页

无线校园网的设计与优化

局域网，如果从现有的802.11b网络过渡到802.11a，光是更换无线AP的费用就十分可观，更不用提数量更为庞大的无线网卡了。尽管后来厂商们考虑到兼容性问题，将产品做成了802.11a/b双频、甚至802.11a/b/g三频模式，但也改变不了成本过高、802.11a大势已去的现状，在2002年几千万颗Wi-Fi产品的芯片出货量中，只有不到10万颗是基于802.11a标准。

802.11g 市场展望

市场对802.11a的怀疑，让802.11g迅速成为厂商们追捧的对象。和802.11a相比，802.11g在提供了同样54Mbps的高速下，采用了与802.11b相同的2.4GHz频段，因而解决了升级后的兼容性问题。同时802.11g也继承了802.11b覆盖范围广的优点，其价格也相对较低。当用户过渡到“g网”时，只需购买相应的无线AP即可，而原有的802.11b无线网卡则可继续使用，灵活性较802.11a要强得多。

802.11a已渐渐淡出市场，但它不会完全消失，至少在更新、更强、优点更出众的标准问世之前不会被市场完全抛弃。随着WLAN在无线语音传输和矿山、医院等领域应用，其抗干扰性强和多信道的设计仍是802.11b/g所望尘莫及的。因此有理由相信在未来的一段时间内，802.11a、802.11b、802.11g可能还会三足鼎立（虽然802.11a在市场份额上可能表现未必会很理想）。

1.4 网络设计原则

 实用性——遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不不设计成华而不实的网络，也不设计成利用率低下的网络，要以实用性的原则要求为依据，建设具有最低TCO（拥有的总成本最低）、最高性价比的WLAN。

 先进性——采用先进成熟的网络概念、技术、方法与设备，既反映当今先进水平，有给未来的发展留有余地。

 可靠性——系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。

第 14 页

无线校园网的设计与优化

 可扩充——系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比。

 可维护——系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性。

 安全性——必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。无线网络设计

2.1 无线建网技术

无线通信中的一个基本问题是介质共享大气层。如何使两个或更多个用户访问同一个介质而不会引起冲突？此外，带宽直接受到访问介质的用户数量的影响。在有线网络中，使用快速的集线器或迁移到交换式网络可以很容易地增加带宽。而在无线网络中，增加带宽的最佳方法是增加覆盖单元的数量并降低覆盖单元的覆盖范围。这样每个AP就可以分担少量的用户。与此类似，某些厂商开发出了无线交换机 “阵列”，它可以同时发送多个定向的波束。另一种策略是混合使用2.4 GHz和5GHz的设备。

本次无线局域网络设计环境是整个校园，设计时使用了无线双频（2.4 GHz和5GHz）设备阵列，极大的增加了可用带宽，同时还设计将一定面积的区域划分为一个VLAN，整个校园将按照实际需求划分为多个VLAN，设计时每个VLAN将容纳至少30个用户。同时要求公共区域必须有网络的覆盖，基于接入点的带宽共享机制，根据无线网络设计普遍适用于802.11a及802.11g网络的有效经验法则，是为每位用户4Mbps带宽，可以提供与用户在有线局域网上相同的使用感受。适用于802.11b网络的经验法则是为每为用户分配1Mbps带宽，这可以提供类似与宽带ADSL连接类似的用户使用感受（但802.11b标准已经无法适应校园 第 15 页

无线校园网的设计与优化

网络的应用需求，因此本次设计主要采用802.11a/g标准）。因此如果要实现每间教室30人以上同时上网的性能需求，则要为每间教室分配至少120M的带宽。由于电脑机房用户密度较大、信号传输环境很差，因此设计较小的蜂窝即接入点采用定向天线进行无线覆盖，仅为保证漫游需求在两房间交界处采用全向天线，接入方式上可以选择固定台式计算机接入、远程接入与移动笔记本接入的方式。每台路由器大约能带动的用户上限为32左右，因此，四台无线路由器可以充分满足一间教室50人同时访问网络的需求，将信号功率上适当减小，具体数值需专业设备进行检测，将无线漫游及信号中继的功能完全转移到路由器及交换机上，最大限度的减少网络实验室区域内的无线辐射，同时可实现网络的轻松维护、控制与管理。在网络的灵活性设计上采用了最先进的以太网供电系统，全面的实现了工作区域的按需规划的目标。小带宽的分配可以采用配线板设计，根据需要灵活分配带宽，并冗余设计网络信息插座。根据无线局域网的工作原理，在多个子频道同时工作的情况下，为保证频道之间不相互干扰，要求两个频道的中心频率间隔不能低于25MHz。在一个蜂窝区(Cell)内，直序扩频技术最多可以提供 4个不重叠的频道同时工作。因此在配置时将位于每层楼楼道内的5个无线接入逻辑点的工作子频道分别设为：1 频道、6 频道和11频道。当用户感觉到有线网络性能下降的时候，也可以选择禁用有线连接，通过配置使用无线USB网卡接入同时存在的无线网络。或申请在子层无线路由器的交换机端口内扩展接入无线接入点。无线局域网络使用DMZ主机、透明代理、链路聚合、数据备份、VLAN划分等方式进行网络容错与安全保护。无线局域网络使用扩展星型拓扑结构，支持目前和将来各种无线网络应用与网络扩展。在干扰避免上，选择蓝牙数据包类型改变、频率分离、模式切换等方法解决蓝牙网络与无线局域网信号的冲突与传输频率的干扰。

2.2 无线网络拓扑

校园WLAN的目标就是形成具有充分移动性的访问系统。WLAN允许用户从未布线的户外访问信息，如从食堂、偏僻的研究室、教室甚至运动场中进行访问。第 16 页

无线校园网的设计与优化

但是不应该认为WLAN取代了有线网络，相反，它们是为现有网络添加功能的一种途径。

遍布校园的无线部署可以为那些难于达到的或者临时场所提供网络连接，否则，这些地方就会完全不被考虑。校园WLAN的一个最大好处就是人们可以坐在公共场合一起工作，同时轻松地进行网络连接。在许多资源有限的教学机构中，这种方式可以减少对固定有线计算机的争用。

校园网络拓扑分为有线和无线两个部分，无线是在有线的基础上进行设计实施的。下图为学校至2005年年底的整体网络拓扑图。

第 17 页

无线校园网的设计与优化

WLAN是访问层元素或者产品。WLAN可以分为两种：建筑物内部的无线LAN和建筑物之间的无线桥接。图6显示了两个建筑物之间的无线桥接。

第 18 页

无线校园网的设计与优化

无线校园网络建设完成后，学校的网络将实现校内随时随地都可以连接校园网络。由于建成后的校园网络规模十分庞大，其网络拓扑结构也非常复杂，在这里并没有详细勾勒出每个细节，只是把校园网络的基本结构勾画出来。下图是一个校园网的基本网络拓扑：

校园网的无线部分主要是针对一些老式的大楼，图书馆、宿舍和会议室等不能布线的地方而设计，这一部分的网络产品主要以无线AP为主。下图为校园无线网络的基本拓扑。

第 19 页

无线校园网的设计与优化

在无线部分采用了多个无线AP来实现无线局域网的组建，上图是校园网内无线局域网的基本拓扑图，从这个拓扑结构中反映出无线局域网分为两层，一层是连接有线网络的无线AP，另外一层是大楼内分布的无线AP。这两层的无线AP通过内部集成的桥接功能，实现它们的无线互连。连接有线网络的这个无线AP最好安置在离需要组建无线局域网的大楼附近，并且中间最好没有建筑物阻挡，相隔距离也不要超过300米，这样才能让无线AP性能得到发挥，最大限度节约成本投入。而需要组建无线局域网的大楼内每一层楼布置了一个无线AP，以目前无线AP的性能而言，基本上能够将信号覆盖到一层楼的每一个角落，这样，一个无线局域网的基本结构就形成了。由于无线AP安置的地点一般都在高处，而且比较空旷，所以无线AP的防雷措施也要考虑。

在大型会议室内，由于室内空间比较大，没有墙壁阻挡，在这里布置的无线AP不用像在大楼中那样用多个无线AP来实现无线网络信号的覆盖。大型会议室组建无线局域网有一个特点，在大型会议室周围一般都有有线网络的接入点，可使用网线实现接入点与无线AP的连接，然后将无线AP置于会议室内，就可将信号覆盖到整个会议室内。在这里要考虑一件事情，一个大型会议室内如果召开会议，其笔记本数量肯定不会少，而无线AP在通常情况下能够连接20多台无线接入终端，如果无线接入终端数量过多，将严重影响网络性能，为了不影响网络性能实现更多的无线接入终端接入无线局域网中，可在这里多增加无线AP。

第 20 页

无线校园网的设计与优化

相信大家清楚，多个无线AP在同一个地方使用，信号覆盖肯定会重叠，造成对网络性能的影响。要解决这一问题，就必需将无线AP上的频段进行设置，无线AP一般都提供了11个频道，只要将会议室内的无线AP设置为各自不同的频道，就不会造成信号覆盖重叠。

2.3 无线设备

2.3.1接入点（AP）

AP充当无线网络用户的中心通信点，它可以连接有线和无线网络。在有多个AP的情况下，多个AP可以被配置成允许无线用户在AP之间漫游而不会被中断。AP还可以充当一个无线转发器，或者是无线网络的一个扩展点。

网络管理员可以通过命令行和WEB界面来控制和配置AP。也可以使用诸如简单网络管理协议（SNMP）的传统协议进行管理。根据天线的安装方式而定，选用各种类型的天线可以不同程度地增加覆盖范围和速率。AP可以是单频的，例如Cisco 1100AP；也可能是双频的，如Cisco 1200AP。

AP的重要特性包括如下： 集成的网络管理——使用现有的网络管理来支持接口级的SNMP和系统日志是一个基本要求。此外，Web或命令行管理也是必需的。根据网络管理架构的不同，Cisco发现协议（CDP）可能会提供一些附加的管理信息。系统安全——可能需要限制一些用户访问AP管理系统。因此，必须支持加密和有线等效加密（WEP）或动态WEP。此外，还需要支持802.1x以提供认证。过滤——需要协议过滤器来防止或允许通过ＡＰ使用特定的协议。此外，还需要对单播和组播包的转发与过滤进行控制。

固件——固件应该是可以升级的，并且应该支持复制和恢复配置。备用——该特性允许ＡＰ作为另一个ＡＰ的备份，以提供不中断的连接。用于国际游客的World模式——全世界不同地区的频率管制略有不同。这

第 21 页

无线校园网的设计与优化

个功能允许来自日本的游客在一个客户端设备上使用World模式，以便关联到美国的一个ＡＰ，并自动切换到正确的区域设置。负载平衡——这个特性根据用户数、比特误差率、可用无线带宽和信号强度等因素，将客户端设备自动定向到能够提供最佳网络连接的ＡＰ。

2.3.2 无线网桥

无线网桥的设计目的是连接两个或者多个网络（通常位于不同的建筑物中），它可以为数据密集型视距内应用提供很高的数据传输速率和出色的吞吐率。可以连接各种难以布线的场所、不相邻的楼层、分支机构、校园或者企业园区网络、临时性网络和仓库。它们可以针对点对点或者点对多点应用进行设置，从而让多个场所可以共享单

一、高速的互联网连接。为了提供灵活的功能，网桥还可以设置为一个接入点。

无线网桥之间的高速连接能够提供比E1/T1线路高几倍的吞吐量，而成本只是后者的一小部分--从而使得用户无须使用价格昂贵的专线或者难以安装的光纤电缆。因为网桥不会带来重复性费用，所以用户可以通过节约专线费用，迅速地收回前期的硬件投资。这款无线网桥可以将分散的建筑物连接到一个单一的LAN中，即使它们之间被高速公路、铁路、河流等障碍物隔开，无法铺设铜缆或者光纤电缆也是如此。

图1 点对点无线网桥解决方案

图2 点对多点无线网桥解决方案

第 22 页

无线校园网的设计与优化

2.3.3天线

天线为无线系统带来了３个特性：

 增益——它是一个功率增加的度量标准。它指天线在指定方向上发射功率的集中程度。任何天线的增益在本质上都是对天线将辐射的RF能量集中于特定方向的一种度量。根据选用的参考点的不同，测定增益的方法也不相同。

 方向——它是指发射模式的形态。

 极化——它是实际发射RF能量的天线上分子的物理排列方向。它是无线信号传播的物理现象。它指的是电磁波在空间移动时所形成的电场的排列方向。其基本的准则如下：(1)对于一个水平极化的天线而言，它的电场位于水平面中。对于一个垂直极化的天线而言，它的电场位于竖直面中。(2)对于两个天线之间的任何指定链路而言，链路两端的天线必须具有同样的极化。否则将导致不必要的信号损失。

天线分为各向同性天线（isotropic antenna）或偶极天线（dipole antenna）。各向同性天线是一个理论上的天线，它在３个维度上的辐射是相同的，这类似于没有反射镜的电灯泡。与各向同性天线不同，偶极天线是一个真正的天线，它在各个方向上的辐射方向为75º，在形状上就像一个圆环。

天线通常可以分为两类：定向天线和全向天线。定向天线集中在一个方向上辐射RF能量。它包括下列几种常见类型：八木天线、实心抛物线天线、半抛物线天线和接线天线或平板天线。全向天线在水平方向上均等地辐射RF能量。水平方向上的辐射覆盖了360º。全向天线包括杆装天线和橡胶偶极天线两种常见类型。

用于无线LAN(WLAN)的天线具有两个功能：

 接收——它是传输媒体上的信号接收器或终端负载。在进行通信时，它是从源接受信息或控制其他信号的设备。 发送——它是传输媒体上信号的发生器或源。在安装天线时，应遵照下列安全原则：

在开始之前仔细周密地规划安装过程。

如果不熟悉天线安装，则应该寻求专业人员的帮助。向经销商咨询安装方法，第 23 页

无线校园网的设计与优化

以便确定天线的安装地点。选择安装地点。此外还要考虑到安全性和性能。由于电源线和电话线看起来很相似，因此在区分出它们之前，将所有的线路都当作电源线。如果离安装地点很近，则打电话给公共事业公司或负责该建筑物的维修公司。

在安装天线时，不要使用金属梯子。

适当地着装。应该穿上带有橡胶底和鞋跟的鞋子、橡胶手套以及长袖衬衣或夹克。如果电源线发生事故或紧急情况，则应立即呼叫合格的应急处理人员。始终假定任何天线都正在发射RF能量。尤其要小心30.48(1英尺)或更小的 碟形天线。这些碟形天线通常以千兆赫兹频率发射RF能量。作为一个一般规则，频率越高，则辐射的危害就越大。即使在辐射中暴露区区10秒钟并且发射功率只有几瓦特，其危害仍然很大。对于传输这些能量的同轴电缆的无接头终端而言，迄今为止尚没有什么已知的危害。在移动或更换任何天线连接之前，必须确认发送器当前没有工作。

在安装微波天线时，如果你站在屋顶上，那么应避免走动，尤其要避免站立在任何天线面前。如果你必须在这些天线面前走动，而且又急步穿过天线路径轴线的话，那么安全性通常会变得非常低。

2.4 无线网络安全

网络安全是保护数字信息资产的过程。其目标是保证信息的完整性、机密性和可用性。计算机技术（包括无线技术）的发展给人们的生活和工作带来了许多好处。因此，所有的网络都应该保证它们的潜力得到最大限度的发挥。无线局域网（WLAN）给网络安全带来了独特的挑战。

2.4.1安全基础

安全的目标是保护资产、维持网络和商业流程。从历史上的大部分情形来看，第 24 页

无线校园网的设计与优化

安全意味着修建强大的防护墙，安装更小并且守得很好的门，为一小部分人提供安全访问。这种策略更适合有线局域网。移动商务和无线网络的兴起使得这种模型不合适宜。一台防火墙设备不再能够提供安全性，因为无线信号很难进行物理隔离，因此，WLAN必须采用另外一些技术和策略。

大多数人在谈论安全问题的意思是保证用户只能执行授权的操作，只能访问授权的信息。其实，安全还意味着用户不能破坏系统的数据、应用和操作环境。安全不仅需要防范恶意攻击，也需要控制错误和设备失效带来的影响。能够阻止一种无线攻击的安全措施应该能够阻挡其他类型的麻烦。

2.4.1.1 WLAN弱点

WLAN对特定的攻击比较脆弱。由于802.11 WLAN的安全措施比较新，大多数攻击都是利用WLAN的技术弱点。一些公司没有在它们的设备上打开WLAN安全功能，所以配置上也存在问题。事实上，许多设备都使用了默认管理口令，它们通常很容易被获取。最后是安全策略上的弱点，有的公司没有明晰的无线设备使用策略，员工可以搭建自己的AP。这样的AP称为“AP”，它通常都是不安全的。

802.11的主要安全弱点包括：

 仅认证设备的认证方式——对客户端设备进行认证。没有认证用户。这样没有授权的用户可以访问网络资源和资产。

 弱数据加密——有效等效加密(WEP)被证明是一种低效率的加密方式。没有加密的数据在无线链路上传输时非常容易被黑客窃听。

 没有消息完整性检验——完整性检验值(ICV)作为验证消息完整性的方式已经被证明效率不高。没有消息完整性验证，黑客可以修改任何无线数据帧的内容。

802.11的安全弱点会成为部署WLAN的障碍。决策者和用户不会采用可 能造成对敏感数据非法访问的新技术。

2.4.1.2 WLAN面临的威胁

如果WLAN技术是完全安全的，那么WLAN就不会面临威胁。由于存在许

第 25 页

无线校园网的设计与优化

多已知和未知的弱点，黑客可以给WLAN带来威胁。无线安全主要面临４大威胁：

 无组织的威胁  有组织的威胁  外部威胁  内部威胁

无组织的威胁主要来自于业余人士，他们使用可以轻易获得的黑客工具，例 如shell脚本、驾驶攻击(war driving)程序和密码破解程序。

有组织的威胁来自于具有明确攻击目的的专业人士。他们对无线系统的弱点 有深入的认识，并且能够理解和编写攻击代码、脚本和程序。在很多情况下，他们会分享他们的攻击知识和工具。

外部威胁来自于公司外部的个人或组织。他们没有权限访问公司的无线网 络。他们会设法从公司建筑的外部进入公司网络，这些地点包括停车场、相邻的建筑或者是无线网络重叠的区域。

外部威胁是人们需要花费大量时间和金钱来对付的威胁类型。

内部威胁来自于对网络具有访问权限的人员，他可能具有某台服务器的帐号，或者是能够接触物理线路。根据FBI的调查，有报告的事故中，内部访问和帐号的滥用占60%~80%。由于无线信号会从网络的物理边界中泄漏出来，现在WLAN很容易暴露给外部黑客。

2.4.1.3 WLAN面临的攻击

从本质上讲，所有的攻击工具、脚本、代码等都可以归入到侦测攻击、访问攻击和拒绝服务(DoS)攻击这三个类别中。许多新的攻击工具，包括专门针对无线网络的攻击工具，它们同时包含了侦测工具和访问工具。一些脚本或程序可能是多种攻击的联合体，例如Internet蠕虫。幸运的是WLAN设备不会感染病毒或蠕虫，但它们会使得这些攻击代码迅速地传播给台式机或服务器。侦测攻击——侦测是对系统、服务或弱点进行未经授权的查询和绘制。它也称为信息收集或指纹采集，通常在访问攻击和DoS攻击的前面进行。侦测就像是一个小偷在观察邻居的薄弱攻击部位。在许多情况下，入侵者会检查门把手是 第 26 页

无线校园网的设计与优化

否坚固，以发现日后可以利用的弱点。侦测意味着使用常用的命令或工具获取目标网络尽量多的信息。无线窃听或包嗅探是偷听数据的常用方式。收集到的数据用来进行下一步访问攻击或DoS攻击。使用数据加密，同时避免使用容易受到窃听的协议，可以对抗窃听。无线侦测也称为战争驱动。用来进行无线网络扫描的工具包括主动式和被动式两种。被动式工具在侦测无线网络时不发送数据。主动式工具在完成侦测后发送一些请求来获取额外的无线网络信息。访问攻击——系统访问在这里指没有权限的入侵者获取设备访问权限的能力。进入或访问未经授权的系统意味着运行攻击脚本或工具利用被攻击系统或应用的已知弱点。访问是一个泛指的术语，它代表未经授权的数据操作、系统访问或权限扩大。访问攻击包括：利用弱点或不存在的密码和利用服务，例如HTTP、FTP、SNMP、CDP和Telnet。最简单的攻击称为社会工程。它不需要计算机技术。如果一个入侵者可以从组织的成员那里获取有价值的信息，例如文件、服务器或密码的位置，那么攻击的过程将变得异常简单。在WLAN中，黑客经常利用AP访问有线LAN中的设备，例如台式机和服务器。一个更高级的黑客会控制整个AP并按照自己的需要重新配置AP。恶意AP攻击——大多数客户端会连接到信号最强的AP上。如果一个未经授权的AP（一个恶意AP）信号最强，则客户端会连接到它上面。恶意AP可以访问连接到它上面的所有客户端设备的数据。因此，恶意AP可以进行中间人攻击，从而获取加密的数据，例如安全套接字(SSL)或安全Shell(SSH)。恶意AP可以使用ARP或IP欺骗引诱客户端发送密码和敏感数据。恶意AP在连接中与客户端建立未经WEP保护的会话。WEP攻击——针对WEP的攻击包括比特抖动、重放攻击和弱初始化向量（IV）收集。许多WEP攻击还处在实验室状态，但它们被记录得很好。拒绝服务攻击——指攻击者破坏无线网络、系统或服务，使得它们无法向合法用户提供服务。DoS攻击包括多种方式。常见的DoS攻击仅需要能够访问网络即可。由于这些原因以及它的潜在破坏性，DoS攻击是最让人头疼的，也是最难以防备的。无线干扰是WLAN实现没有解决的主要安全问题。一个简单的干扰发射机就可以中断通信。例如，持续地向一个AP发送访问请求，不管请求是否成功，这都回耗尽AP可用的无线频谱资源，使它不再可用。

第 27 页

无线校园网的设计与优化

2.4.2 WLAN安全技术

大多数无线安全事件的发生都是因为系统管理员没有采用有效的防范措施。因此，问题的关键不仅仅承认存在技术弱点和采取可用的应对措施，还需要验证应对措施是否处于适当的位置并且工作正常。

制定WLAN安全策略以开始应用安全措施非常有用。这些策略值得花费时间和精力去开发。一种好的安全策略应该达到如下目标：

提供审核现有无线安全的过程； 提供实现安全的总体框架；

定义哪些行为是允许的，哪些是禁止的； 帮助定义组织需要的工具和过程；

帮助关键决策者之间传递信息，定义用户和管理员的反馈； 定义处理破坏无线网络行为的过程； 如果需要，创建采取法律行动的基本原则。

一种有效的无线安全策略可以保证组织的网路资源得到保护，免遭破坏和非 法访问（包括有意的和无意的）。所有的无线安全特性都应该与组织的无线安全策略保持一致。如没有安全策略或者已经过时，它应该在决定如何配置和部署无线设备前创建或得到更新。

2.4.2.1服务集标识符(SSID)通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。

第 28 页

无线校园网的设计与优化

2.4.2.2物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

2.4.2.3连线对等保密(WEP)在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。

2.4.2.4 Wi-Fi保护接入(WPA)WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性

第 29 页

无线校园网的设计与优化

校验三个组成部分，是一个完整的安全性方案。

2.4.2.5 国家标准(WAPI)WAPI（WLAN Authenticationand Privacy Infrastructure），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。

2.4.2.6 端口访问控制技术(802.1x)该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。

2.4.2.7 虚拟专用网络(VPN)虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等加密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义，因此它是一种增强性网络解决方案。

第 30 页

无线校园网的设计与优化

2.4.3 Cisco的完整无线安全解决方案

我们所需要的无线LAN安全解决方案，应该利用基于标准的和开放的结构，充分利用802.11安全部件，提供最高级别的可用安全性，实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容，这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面：

可扩展身份验证协议（EAP），是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务（RADIUS）的扩展 IEEE 802.11X，用于控制端口通信的推荐标准

在使用安全解决方案时，在用户进行网络登录之前，与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后，客户机和RADIUS服务器（或其它验证服务器）通过用户所提供的用户名和口令进行双向的身份验证，对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护，不会被被动监听和其它攻击方法所截获。如果没有保护措施，没有什么能在空气中畅行无阻、绝对安全地传播。

这个过程的顺序如下：

无线客户机与访问点进行通信

在登录到网络之前，访问点拒绝所有客户机的对网络资源的访问。客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。利用802.11X和EAP，无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中，RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应，并把这个响应送到RADIUS服务器。RADIUS 第 31 页

无线校园网的设计与优化

服务器根据它的用户数据库中的信息，自己产生一个响应，并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份，上述过程逆向重复。当这个双向的验证过程全部完成后，RADIUS服务器和客户机确定一个有别于客户机的WEP密钥，并为客户机提供合适级别的网络访问权限，为个人台式机提供与有线交换部分相似的安全性。然后，客户机加载密钥，准备把它应用到登录会话过程中。RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。访问点利用会话密钥对广播密钥进行加密，把经过加密的密钥送到客户机，客户机利用会话密钥进行解密。客户机和访问点激活WEP，并把会话和广播密钥应用到后续会话的所有通信过程中。

EAP和802.11X在遵循WEP的基础上，提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时，EAP框架是对有线网络的扩展，使企业为每个访问方法提供一个单独的安全结构。下图为Cisco无线解决方案的认证流程。

第 32 页

无线校园网的设计与优化

3.5站点勘查和安装

RF勘察

无线电波传输、接受数据的能力以及传输速度受到周围环境中各种物体的影响。因为无线信号是直线传播的，每遇到一个障碍物，无线信号就会被削弱一部分，尤其是浇注的钢筋混凝土墙体。实验表明，在10米的距离，无线信号穿过两堵砖墙后，仍然可以达到标称的最高的传输速率，但再穿过一层楼板后，传输速率将只有标称速率的一半了。可见，钢筋混凝土墙体会极大地削弱无线信号。另外的其他一些建筑物材质，也是无线信号的或大或小的杀手。

覆盖范围

环境勘查的下一步就是确定覆盖范围，由此确定需要部署AP的个数。无线信号的重叠是非常重要的，它保证漫游的顺利实现，但是它们必须工作在不同的信道上，减少干扰的发生。WLAN的应用场合主要是在大楼内或大楼间，因此，建筑物的体积、布局、建材以及办公环境内各式各样的干扰源都是影响信号传输质量的因素。同样的一套WLAN设备在一个地方信号有效传输距离可能是100多米，换个地方可能连50米都不到。所以，在确定AP位置时，设备的标称值只能作为一个大致的参考，精确的位置必须要通过场地信号强度测试仪和比较试验来定。许多网络厂商都有面向企业的场地信号强度测试产品，效果都不错。

场地信号强度测试工具的种类很多，有基于笔记本、袖珍PC的，也有基于PDA的。基于袖珍PC的测试工具用起来比笔记本灵活，但功能和适应性稍差。如果选用基于PDA的测试工具，最好挑能接标准PC卡的那种，因为在标准PC卡上附加无线收发功能已是时下非常流行的做法。场地信号强度测试工具比较知名的品牌和型号有：思科的Aironet NIC、Symbol Spectrum24以及AgereOrinoco。

模型选择

WLAN的优化设计不仅要从覆盖范围的角度来考虑，还要考虑其负载能力，以保证服务质量。以布置WLAN教室为例，假设实际的需求是要保证30个学生同时点播多媒体课件，一个AP不能满足要求，需要在同一教室里面布置两个AP。第 33 页

无线校园网的设计与优化

由于用户需求是动态变化的，AP的实际负载可能会加重或减轻，这些变化可以通过对WLAN监视得知。网络管理员应根据实际变化对AP的数量和分布作出调整。

第三个重要因素就是用户使用WLAN的目的，不同的应用采用的不同的WLAN设计方案。举例来说，咖啡店的WLAN使用者可能是学生,而旅馆更多是商务人士。学生上网喜欢聊天、网络游戏和语音对话，而商务人士更可能的是连接到企业的企业网、收发电子邮件和处理商务。

在进行环境勘查时需要了解用户在WLAN上将运行哪些应用，因为这也将决定网络的带宽。网络应用需要的带宽乘上同时在线的用户数量，就是网络需要最少出口带宽。例如，如果网络应用需要200kbps的带宽，而同时最多有5个在线用户，那么就需要1Mbps的互联网带宽。

总之，良好的WLAN设计不仅可以保证较好的服务质量，也可以减少AP的使用数量从而节约成本，其前提是事先经过充分的实地测量和评估。

AP的覆盖范围与布放

AP的位置首先应根据实际的场景和需求初步进行选择，然后再通过实地测量进行调整。定位需要遵循以下原则：AP覆盖区域之间无间隙，AP之间重叠区域最小。第一条原则保证所有的区域都能覆盖到，而第二条原则是要尽可能减少所需的AP数量。

AP覆盖区域的确定需要根据接收到的信号强度来决定，做法是先设定一个信号强度阈值，例如为满足某个区域的WLAN终端点播流媒体课件的需求，通过测量得知信噪比SNR＝10dB是能够保证点播流媒体课件质量稳定的最低信号强度，所以可将10dB作为阈值，凡是信号强度不低于这个阈值的区域就确定为AP的覆盖区域；然后进行实地测量，并记录产生AP的覆盖区域图，最后根据定位原则进行调整，直到满意为止。

由于各个区域的用户密度不同，一般情况下用户密度大的区域情况更复杂，所以应先在用户密度高的区域进行AP的布置，然后再布置用户密度低的区域。在空旷的户外可用对称圆形和球形来划定AP覆盖区域；而在规则的狭长或矩形建筑物内可用线形或矩形将AP对称分布。但是由于室内建筑结构的复杂性，例如金属防盗门、铝合金门窗等，应当在初步选择AP位置后进行仔细的测量，以 第 34 页

无线校园网的设计与优化

确保所布置的AP能够覆盖所有区域。

如果要通过增加AP 来提高覆盖能力和范围时，一定要在详细的规划和设计后再作出决定。在WLAN中，传送的数据是利用无线电波在空中辐射传播，它可以被发射机覆盖范围内任何WLAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备，这样就可能会有人非法使用你的WLAN，更糟糕的是破坏或者攻击网络。所以你必须从安全的角度出发，仔细考虑AP的布放位置。

另外，在布放AP时，你还必须详细考虑信道的安排和单元大小。为了实现完美的信道规划，你必须仔细阅读AP的说明书或者厂商的支持网站，详尽了解该AP的无线信号覆盖范围。

总而言之，站点布放步骤如下：

 收集建筑物的设计图和公文，从而了解房间电源和结构基础（例如金属防火通道、墙、门口和通道）；

 评估建筑物的环境，选择对无线信号影响最小的AP布放点；  测试无线信道，确保没有干扰；  选择全向或者定向天线的布放点；  配置多样化的天线避免或者减少干扰。无线网络管理

3.1 全程管理

随着用户数量的增加，以及WLAN越来越多地用于高速传输和重大应用，使WLAN实现集中化管理尤其重要。全程管理可使网络管理人员能够发现、管理和提升整个网络中的AP，并为增加功能和带宽管理能力创造条件。网络管理部门可以通过集中管理WLAN，对不同用户群给予优惠和接入权。对于大型企业网络来说，可使这种管理功能自动化和集中化。这样，当无线用户通过802.11x得到

第 35 页

无线校园网的设计与优化

认证时，企业AP自动将用户指配给相应的WLAN。

未来，智能化的AP让用户把业务推向网络边缘，也就是说通过无线基础实施，使管理控制形成分布式配置。每个AP都配有唯一的接入控制信息、用户认证和策略管理。把这种智能直接置入AP,意味着用户能够在连接企业几个地点的子网络间漫游。即使对AP分配的功能较多，也能由一个中央控制系统实施管理。

全程管理的一体化管理方式采用智能交换机、WLAN管理设备和智能无线接入设备，使有线网络和WLAN实现一体化管理和操作。这种接入方式的优点是：WLAN与现有的企业网无缝隙集成，从而降低运营成本。

在部署WLAN的初期可以只建少数几个AP。随着业务的发展，增加AP和交换机便能增大覆盖范围和容量，从而使网络达到较高的可扩充性。显然，这种接入方式最适合于现在拥有相当规模的有线网络的大型应用场合。

3.2 安全管理

在物理安全的管理上除应满足常规的机房安全管理外还需要对设备进行防雷击、信号屏蔽保护等现代信息技术保护。为防止蓝牙设备产生的网络对无线局域网络造成影响，在网络实验室内必须严格禁止蓝牙设备的开启，同时将无线网络接入点放置在金属盒中屏蔽，将天线外置，减少电磁辐射和干扰对关键无线网络设备内部电子器件的损伤。同时应尽可能的减少天线的发射功率，降低用户长时间使用无线网络受到的辐射的影响程度。

逻辑安全，无线局域网络的逻辑安全时要对用户的接入进行安全保障，同时防治网络受到黑客的攻击，可以综合运用智能卡技术，设计专用的无线网络接入管理系统，同时也可以使用交换机和无线路器以及无线接入点内置的SSID、WPA、WEP安全认证体系，DMZ主机、代理功能、防火墙功能、NAT转换、MAC地址过滤、VLAN、MAC与IP地址绑定功能等，进行综合配置。定期进行接入点扫描，可以防止用户的未授权接入。

第 36 页

无线校园网的设计与优化

3.3 无线电和WLAN设备管理

无线电和WLAN设备管理一般包括网络监视和网络控制两个部分。在WLAN中，无线信号因受周围环境干扰而有较大的误码率，它的数据传输速率是随距离、功率等因素的变化而变化的。而WLAN的优化以及数据传输质量的保证都是基于对WLAN的当前性能和状态的了解的。因此，对WLAN的监视与控制就显得很重要。网络管理员可以通过分析监控结果，对WLAN进行调整，使WLAN的性能达到最大的优化。

网络监视

网络监视可以通过采用以太网监视器和WLAN监视器来实现，这两种方法各有其特点。

对于WLAN监视器而言，在空气中传播的无线数据包也可以被捕获，因此可以通过对WLAN的MAC帧进行分析得到客户机和AP的MAC地址、服务配置标志符等，对其内容进行统计分析就可以得到当前WLAN的状态。目前，很多无线网卡可以工作在“监视模式”下，通过使用相应的接口来捕获MAC帧。此方法的优点是可以直接获得WLAN数据包并且不占用网络资源。但是由于无线信号的作用范围有限，若要对所有的AP都进行监视的话，每个AP一般情况下也都要配置一个这样的监视器，成本较高。

此外，基于简单网络管理协议（SNMP）的监视器具有管理站的功能。它读出AP的管理信息库中的信息，然后进行统计分析，可以得知AP的使用情况。如：哪一个AP覆盖的区域中的用户多、负载大，要在此区域内增加AP的数量来平衡负载；每一个AP及其覆盖区域内无线用户的信号质量和网络流量；无线终端在WLAN中的移动情况等。一个这样的监视器可以监视多个AP，因此基于SNMP的管理系统很适合于管理AP数量众多、分布范围广的WLAN。尽管SNMP的数据包会占用少量带宽，但是相对而言大大节省了网络监视的成本，而且方便实用。

网络控制

网络控制是网络管理的重要内容之一。由于无线环境的特殊性以及带宽的限制，更要对WLAN进行控制以保证服务质量。WLAN的网络控制主要有AP参数控制和自适应控制这两种方式。

第 37 页

无线校园网的设计与优化

所谓AP参数控制是指利用AP的自身参数设置进行的控制，这种控制主要包括：设置允许接入AP的用户数量（部分AP支持此功能）。由于带宽有限，如果对网络有一定的服务质量要求，例如视频课件点播、视频会议等，则必须限制同时使用同一个AP的用户数量。可以通过过滤用户的MAC地址来允许或禁止某些MAC地址的用户使用AP；通过过滤协议来禁用某些网络协议减少网络不必要的负担；在不存在隐藏节点的情况下，例如无线教室，AP和无线网卡还可以禁用RTS/CTS设置，减少额外增加的网络负担。

自适应控制是指按照预先指定的控制策略（如基于带宽或响应时间），网络监视器根据监视到的网络信息生成控制信息，然后将控制信息反馈到服务器，服务器对正在进行的服务内容进行相应控制，对某些客户的请求进行响应或拒绝。例如，在基于Web的多媒体点播系统中，预先在网络监视器中设定可用带宽和点播人数的阈值上限，如果当前网络带宽或点播人数超过预设的阈值，那么监视器通知服务器不再接受新的客户点播请求，或降低服务质量（比如降低画面清晰度或只传送声音数据）以响应更多的用户请求；而对于无线信号很弱（小于预先设定的阈值下限，不适合点播多媒体节目）的用户，服务器同样也可以拒绝他的点播请求，并通过Web方式通知此用户。对于TCP连接，如果无法或不适合在服务器端进行的控制可以考虑在链路上控制。控制的方法是在链路上监视TCP的数据包，当有新的用户进行TCP连接请求时，控制器立即发出复位包来中断这个请求。这种方法的缺点是对用户不友好，但在网络拥挤的情况下也不失为一种可行的策略。

3.4 计费管理

无线局域网应具有多种计费策略，除开发专用的计费管理平台外，还可以配合使用有线局域网络的计费方法，实现无线局域网络灵活的计费方式。

第 38 页

无线校园网的设计与优化 小 结

本文设计的无线校园网最大的特点是：摆脱了连接网线的束缚，能够使学习远离教室，可以在网络覆盖的范围内的任何地方上网；带宽很宽，适合进行大量双向和多向多媒体信息传输；通过无线终端与网络连接，可以做到人手一部终端而无需进行大量的综合布线、设备配置等工作。

无线校园网以上突出的特点，给高等教育带来了极大的便利，其便利程度超出了以往任何时期。这些便利的条件为高校实现教育理论的实践、进行深层次的教学改革提供了极大的潜力空间，必然引领着高校按照新的条件进行教学理念、教学方法、教学评估和教学管理等方方面面的改变，从某种程度上说，这种改变是革命性的。表面上看，无线校园网还是在技术方面对教学进行支持，但是由于这种支持可以深入到教学的核心部分，因此，必将引发高等教育教学改革的新一轮高潮。

校园网是一个庞大而复杂的工程，需要根据具体的环境来组建网络，涉及的面也比较广，本文这套方案只是针对无线校园网络建设提出的一种设计思路，在具体设计过程中没有进行本文中提到的收集建筑图纸和实地勘测的工作，因而在很多方面都只能说是一种设想，倘若要具体实施，就必须需要专业人员针对具体校园环境作出一个完整的解决方案，所以这只是一个基础，如果要组建校园网还需要对各个地方进行改进，这样才能节省校园网络成本，才能最大限度发挥出校园网的性能。

致谢语

这篇毕业设计论文是我大学学习生活的小结，四年的大学生活将随着论文的完成而告一段落。同时我也将开始新的工作和生活。

在这篇论文的研究和实现过程中，我得到了学校老师的悉心指导和帮助，对此，我向各位老师表达我最真诚的感谢，特别是我的指导老师吴绍兴老师，他在课题选择、内容安排、参考文献等许多方面都给了我不少非常好的意见，同时还

第 39 页

无线校园网的设计与优化

给我在熟悉无线设备、组建无线网络方面给了我很大的帮助，使我在研究探索的道路上少走了许多弯路，让我的论文得以顺利完成。在此我特别向您表示我的感谢和祝福，预祝您今后工作顺利，身体健康！

另外，非常感谢在我论文完成期间关心和帮助过我的同学、朋友们，是你们让我的工作更顺畅。还有要感谢的是我的父母，虽说平时您没有说什么，但您的行动让我知道在外不论是成功还是失败，我都有一个避风的港湾。

最后，我要感谢我的母校——南阳理工学院，是你给我了成长的空间，是你给了我梦想的舞台，是你给了我腾飞的翅膀。在此预祝母校在今后的越办越好！

参考文献

[1] Cisco Networking Academy Program 《思科网络技术学院教程——无线局域网基础》

人民邮电出版社

2005年8月 [2] Cisco Networking Academy Program 《思科网络技术学院教程（第一、二学期）（第三版）》 人民邮电出版社

2004年7月

[3] Cisco Networking Academy Program 《思科网络技术学院教程（第三、四学期）（第三版）》

第 40 页

无线校园网的设计与优化

人民邮电出版社

2004年7月

[4] Cisco Networking Academy Program 《思科网络技术学院教程网络安全基础》 人民邮电出版社

2005年4月

[5] Cisco Networking Academy Program

《思科网络技术学院教程CCNP1高级路由（第二版）》 人民邮电出版社

2005年3月

[6] Cisco Networking Academy Program 《思科网络技术学院教程CCNP 2远程接入（第二版）》 人民邮电出版社

2005年2月

[7] Cisco Networking Academy Program/Wayne Lewis, Ph.D.《思科网络技术学院教程CCNP 3多层交换（第二版）》 人民邮电出版社

2006年1月

[8] Cisco Networking Academy Program/Wayne Lewis, Ph.D.《思科网络技术学院教程 CCNP4 故障排除》 人民邮电出版社

2005年6月

[9]无线网络-产品与网络解决方案-中国-Cisco Systems

http://

[10]圆网—无线局域网安全技术

http://&b=10&a=0&user=baidu

附录

接入点（AP）配置

基本配置

配置系统名（主机名）

第 41 页

无线校园网的设计与优化

ap#configure terminal ap(config)#hostname ap001 ap001(config)#end

ap001#show running-config

ap001#copy running-config startup-config

分配IP地址

ap001#configure terminal ap001(config)#interface bvi1 ap001(config-if)#ip address 172.17.10.1 255.255.255.0 ap001(config-if)#end(或Ctrl-Z)ap001#show running-config

ap001#copy running-config startup-config

验证AP运行 网络映射

ap001#configure terminal ap001(config)#dot11 network-map 30 ap001(config)#end

ap001#show dot11 network-map ap001#show dot11 adjacent-ap

ap001#copy running-config startup-config 关联

ap001#configure terminal ap001(config)#show dot11 associations ap001(config)#show dot11 associations client ap001(config)#show dot11 associations statistics ap001(config)#end

ap001#clear dot11 client 0040.9645.2196 ap001#clear dot11 statistics dot11radio 0 ap001(config)#show dot11 associations 第 42 页

无线校园网的设计与优化

ap001(config)#show dot11 associations client ap001(config)#show dot11 associations statistics

网络接口配置

ap001#configure terminal

ap001(config)#interface dot11radio 0 ap001(config-if)#

ap001#configure terminal

ap001(config)#interface fastEthernet 0 ap001(config-if)#

ap001#configure terminal

ap001(config)#interface fastEthernet 0 ap001(config-if)#ip address 172.17.10.1 255.255.255.0 ap001(config-if)#speed 100 ap001(config-if)#duplex full ap001(config-if)#no shutdown ap001(config-if)#^Z ap001# ap001#show interfaces ap001#show ip interface brief ap001#show running-config

ap001#copy running-config startup-config

ap001#configure terminal ap001(config)#int dot11radio 0 ap001(config-if)#ssid ap1 ap001(config-if-ssid)#authentication open ap001(config-if-ssid)#exit

第 43 页

无线校园网的设计与优化

服务配置 ap001(config-if)#no ssid tsunami ap001(config-if-ssid)#^Z ap001# ap001#show running-config

ap001#copy running-config startup-config

ap001(config-if)#power client 20 ap001(config-if)#power local 20 ap001(config-if)#speed throughtput ap001(config-if)#speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0

ap001#configure terminal

ap001(config)#interface dot11radio {0|1} ap001(config-if)#no dot11 extension aironet

ap001(config-if)#payload-encapsulation snap | dot1h ap001#show running-config

ap001#copy running-config startup-config

ap001#configure terminal ap001(config)#line vty 0 4 ap001(config-line)#login local ap(config-line)#end ap001#show run ap001#configure terminal ap001(config)#ip domain-lookup ap001(config)#ip domain-name cisco.com ap001(config)#no ip domain-lookup

第 44 页

无线校园网的设计与优化

ap001#configure terminal ap001(config)#ip http authentication local ap001(config)#ip http port 8080

ap001(config)#access-list 1 permit host 10.0.1.1 ap001(config)#ip http access-class 1

ap001(config)#ip http help-path file://c:wirelesshelp ap001(config)#end ap001# ap001#show running-config

ap001#copy running-config startup-config

毕业设计论文(校园无线局域网的设计与实现) 第3篇

1 无线局域网技术

近些年, 无限网络技术得到了快速发展, 其通过结合计算机网络与无线通信技术来满足了更大范围、更多用户对网络的需求, 而无线局域网技术 (Wireless Local Area Network, WLAN) 就是如此诞生的。为了满足高职院校广大师生提出对会议中心、多媒体教室、图书馆阅览室等校园公共场所的网络覆盖要求, 无线局域网技术因其经济实用、设备配置方便、覆盖面广、移动方便、维护成本低等优势而成为高职校园网的首选。于是乎, 高职院校可以根据本校的实际情况、经费额度来逐步推广无线局域网技术, 鉴于无线局域网技术具有很好的可扩充性, 因此高校可以尝试在网络重要使用场所进行配置设备, 之后再根据实际需求逐步增加无线接入设备的配置。这样, 不仅能够最大限度满足高校师生对校园网络的使用需求, 而且能够逐渐实现整个校园网络的无线局域网技术推行。

2 基于无线局域网技术的高职校园网的设计

对于校园无线网络的设计, 一般都是以校园内原有的有线网络为依托, 运用无线网络技术实现对有线网络的补充, 改善学校信息网络建设基础设施的环境, 延伸校园网在公共区域的覆盖面, 尤其是校内移动用户较多的公共教学科研区域。利用无线局域网技术能够进一步扩大校园网的使用范围, 实现主要公共区域与校园网及Internet的高速联网, 这样高校师生就可以随时随地享受高效的信息网络。当然, 有线网络与无线网络之间的连接则需要通过AP (Access Point) 这一接入点才能实现, 通过设置AP以扩展有线网络, 并运用各种覆盖方式来实现校园网络的全面覆盖。而无线网卡则是连接校园网Internet的载体, 只要设置了AP就可以满足高职院校任何一个角落的无线网络连接, 但关于AP的设置又需要考虑室内、室外两个因素。

2.1 室内

AP的室内设置, 即包括会议室、多媒体教室、图书馆阅览室等公共场所, 而这些场所原先并没有安装有线网络。因而, 在设置室内AP之前, 技术人员需要考虑这些室内公共场所对网络覆盖面积、覆盖频率、网络带宽、网络速度的实际需求, 同时还需以网络信道使用以及吞吐量的多少为依据, 以此来决定AP安装的数量与位置。为了每一个AP之间相互联通, 实现各覆盖区域之间的密切连接, 需要利用线缆实现AP与有线骨干网络的连接, 采用无线微蜂窝覆盖技术实现各个区域之间无线信号的交叉覆盖。在室内AP安装与设置好之后, 室内的无线终端要访问整个网络资源时, 只需要就近通过一个AP来连接网络即可。

2.2 室外

AP的室外设置, 顾名思义包括那些室外的公共场所, 如运动场、校园湖边等。由于室外环境更为复杂, 因此在进行室外AP安装与设置时需要利用无线全向天线、无线定向天线这两种信号设备来辅助, 从而实现AP网络信号之间的发射与接收。无线定向天线可以用以接收远距离的网络信号, 而无线全向天线则可以用以覆盖密集区域的网络信号, 因此技术员只需要确定好室外无线架设的配置接入点即可, 在每一栋建筑物的顶端安装无线定向天线或无线全向天线, 从而实现远距离局域网之间的连接。而后, 技术员在指定位置安装与设置AP并接入, 最终实现远距离室外网段的联通。

3 基于无线局域网技术的高职校园网的实现

IEEE 802.11g协议因其具有高速率的连接 (快达54 Mbps连接速率) 、大范围的向下兼容 (多达IEEE 802.11b兼容能力) 、2.4G频段等优势, 因此它是目前各大高职院校在运用无线局域网技术中使用最广泛、最先进的一种协议。除此之外, IEEE 802.11b协议、IEEE 802.11a协议作为辅助协议同样运用在高职校园网的无线局域网技术中, 从而实现高职院校最理想的无线网络搭建。一般情况下, 学院无线网络中的许多AP并没有进行加密, 只有一部分重点部门AP采用了128 bit数据的加密方式, 这样的设置能够进一步便于高校师生使用网络。而为了尽可能达到多台计算机同时上网的目的, 技术员采用DHCP动态地址分配来进行各AP网络之间的IP地址分配, 如此高职校园网就能够更好的满足广大师生同时使用网络的需求。

4 结语

建设校园数字化, 实现校园网络的全面覆盖, 这已是我国各大高职院校对基本设施条件的具体要求。无线局域网技术在高职校园网中的设计与运用可以实现高职院校各区域的校园网络覆盖, 满足广大高校师生对网络使用的巨大需求。而高职院校信息网络条件的提高不仅能够有效促进学院教学、科研、管理等水平的提高, 而且还能有效达到高校学生运用教育资源提高自身能力的目标, 可谓是一举多得。

参考文献

[1]杨亚洲.高职院校无线网络建设的思考[J].硅谷, 2010 (24) :169-169.

校园无线网络的设计与实现 第4篇

关键词：无线网络 校园网 无线局域网络 无线局域网通用标准802.11

一、背景

近些年来，网络己经与我们的生活产生了密切的联系，根据最新的调查报告显示，全球范围内的无线用户数量目前已经超过2亿，未来我国的上网用户八成将会使用无线上网。在宽带网络己经普及、各种新业务层出不穷的背景下，“无线网络”成为近年来非常流行的名词。同时，随着无线局域网客户端适配器产品价格的逐步降低以及笔记本电脑的大众普及，更多的老师和学生有能力拥有无线网络客户端产品，因此校园用户们越来越希望尽可能方便、快捷地使用无线网络，无线校园的建设正驶向快车道[1]。

二、无线校园网的设计

通过实地考察，无线网络在校园中主要应用于四种典型的环境：①局部开放的室内公共区域；②房间多、用户数量少，但用户分布不规则的楼体建筑；③校园内的户外公共区域；④校區与校区之间。

（一）要使用的技术和实现的功能

根据环境的考察以及前面章节的分析，准备在此次校园网络的建设中实现以下技术和功能：①采用IEEE802.11系列标准，建立支持漫游的微蜂窝覆盖网络；②设立无线中继点，覆盖开阔区域；③使用无线网桥技术，解决校区之间无线网络的覆盖；④集中管理无线网络设备。

（二）无线网络的结构设计

在同一校区内，采用有线主干网与无线网桥相结合的方式，充分利用有线网络的资源。对于校区内学校楼宇间以及户外公共区域的网络接入需求，应根据需要覆盖区域的实际情况，设计建立多个无线覆盖基站，采用重叠交叉无线覆盖方式，在每栋楼房或建筑物上接入AP，并在距离远或信号弱的地方外接增益天线或采用无线网桥等技术[2]。也可以在校园内各建筑群采用点对多点的连接方式，将其中一个建筑设置为中心站点，其他的建筑作为从站，利用全向天线把各站点覆盖在信号范围内。室外全向天线大约可覆盖1000米的半径范围。可以利用无线网桥的接入原理通过两个无线设备进行点对点的链接。一方面扩大覆盖范围，另一方面，无线网桥起到网络路由选择和协议转换的作用[3]。

1.局部开放的室内公共区域。在局部开放的室内公共区域部署无线网络需要确定AP的数量和位置。

2.楼体建筑。对于没有任何布线的楼宇，在每层办公室的天花板上和墙壁上安装无线网接入点，天线可以根据天花板采用的材料决定是否将天线暴露在天花板下。采用无线网络结构，只要在楼内的计算机都配置了无线笔记本网卡和无线台式机网卡，笔记本用户可以拿着笔记本在大楼内实现无缝漫游。

3.校园内的户外公共区域。在校园的户外公共区域布置无线网络，最大的优势就是没有大的建筑物阻挡，不用过多考虑无线信号的穿墙问题，但要考虑一些外来信号的干扰问题。户外无线网络的结构要根据区域的大小来确定，如果户外公共区域最大半径在400米（理论值）之内，可以直接通过使用区域中心的无线AP就能接收到无线信号。如果户外公共区域的最大半径大于400米，小于1000米（理论值）时，可以通过无线AP的桥接功能实现。还有一种情况，当户外公共区域的最大半径大于1000米（理论值）时，考虑采用无线网桥来实现数据传输。而此种情况在目前的校园环境中还不存在，因此可以暂时不用考虑。

4.校区与校区之间。由于大学的两所校区之间的距离处于无线网桥的有效距离范围之内，因此，两校区之间的无线网络结构可以采用无线网桥技术。

根据对校园内四种典型环境中的无线网络结构的分析和整理，可以得到校园无线网络的总体结构：校区间（校区A和校区B）采用对等网络，校区内不同局域网络之间（户外公共区域、楼体建筑、室内公共区域三种环境之间）用点对点网络，每个局域网内部（户外公共区域内部、楼体建筑内部、室内公共区域内部）使用接入点网络。这种网络以三种成熟的无线网络模式理论作支撑，根据不同的环境将它们有机结合，形成复杂的、灵活性高的网络。

三、结论

本文主要对校园无线网络服务进行研究，从目前广为使用的技术标准IEEE802.11g标准出发，介绍了校园无线网络的发展情况以及解决了在组建无线网络的过程中要遇到的无线网络安全问题。然后通过对各个环境的分析，制订每个环境下无线网络结构。结合现有硬件设备的性质及特点，实现了校园无线网络的架构方案。

参考文献：

[1]谭伟.无线校园网的应用与设计[M].科技信息，2009：10.

校园网的设计与实现 论文 第5篇

本科毕业设计（论文）

题

目

校园网的设计与实现 学生姓名

* * *

专业班级

网络系统管理12-01 学

号

000000000000

院（系）* * 学院 指导教师(职称)* * *（教授）完成时间 2016年 6月1日

郑州轻工业学院 毕业设计（论文）任务书

题目 校园网的设计与实现 专业 网络系统管理 学号 *********** 姓名 *** 主要内容、基本要求、主要参考资料等： 主要内容： 校园网建设的原则、目标;2 校园网总体框架;3 校园网规划、建设方案;4 校园网的安防设计;5 校园网系统预算

基本要求：

能让校园网络正常的运行，利用各种技术保证校园网络的安全性，保证能让教师、学生能够正常的访问网络。

主要参考资料：

[1]王平魏大新 李育龙 编著 Cisco网络技术教程 电子工业出版社 2012 [2]刘晓辉 张运凯 李福亮 编著 网络综合布线 清华大学出版社 2012 [3]谢希仁 编著 计算机网络 电子工业出版社 2013 完 成 期 限： 2016年5月13日 指导教师签名：

专业负责人签名：

2016 年 3 月 1 日

目 录

摘 要.......................................................I ABSTRACT....................................................II 1 引言.......................................................1 1.1 项目相关背景..........................................1 1.2 国内外现状............................................1 1.3 开发目的意义..........................................2 2 校园网络介绍...............................................3 2.1 校园网................................................3 2.2 校园网的建设原则......................................3 3 局域网简介.................................................4 3.1 局域网的特点..........................................4 3.2 网络的体系结构........................................4 3.3 网络协议..............................................5 4 校园建设的需求分析.........................................6 4.1 总体设计分析..........................................6 4.2 需求分析..............................................6 4.3 收集学院的网络需求....................................7 5 网络系统设计...............................................8 5.1 设计目标..............................................8 5.2 设计原则..............................................8 5.3 网络服务评估与总体设计................................8

5.4 主干网设计...........................................10 5.5 无线局域网设计.......................................10 5.6 网络管理设计.........................................11 5.7 网络安全设计.........................................11 5.8 地址规划.............................................11 6 网络设备选型..............................................13 6.1 网络设备选型.........................................13 6.2 中心交换机...........................................13 6.3 其它交换机选型.......................................15 6.4 服务器...............................................16 6.5 路由器...............................................17 6.6 防火墙...............................................19 6.7 电源以及其他.........................................19 7 校园网详细设计及实现......................................20 7.1 交换模块设计.........................................20 7.1.1 访问层交换服务的实现－配置访问层交换机...................20 7.1.1.1 配置访问层交换机AccessSwitch1的基本参数...............20 7.1.1.2 配置访问层交换机AccessSwitch1的管理IP、默认网关.......22 7.1.1.3 配置访问层交换机AccessSwitch1的VLAN及VTP.............22 7.1.1.4 配置访问层交换机AccessSwitch1端口基本参数.............22 7.1.1.5 配置访问层交换机AccessSwitch1的访问端口...............23 7.1.1.6 配置访问层交换机AccessSwitch1的主干道端口.............24 7.1.1.7 配置访问层交换机AccessSwitch2..........................24 7.2 广域网接入模块设计...................................25

7.2.1 配置接入路由器 InternetRouter 的基本参数.................25 7.2.2 配置接入路由器 InternetRouter 的各接口参数...............25 7.2.3 配置接入路由器 InternetRouter 的路由功能.................26 7.2.4 配置接入路由器 InternetRouter 上的 NAT...................26 7.2.5 配置接入路由器 InternetRouter 上的 ACL...................27 7.3 远程访问模块设计.....................................27

7.3.1 配置物理线路的基本参数...................................28 7.3.2 配置接口基本参数并指定 IP 地址池.........................28 7.3.3 配置身份认证.............................................28 7.4 服务器模块设计.......................................29 8 布线系统..................................................31 8.1 方案采用.............................................31 8.2 BICC Brand_Rex 结构化布线产品主要特点................31 8.3 设计依据.............................................31 8.4 技术方案.............................................32 8.5 建筑群系统设计说明...................................33 8.6 工程实施内容.........................................33 9 校园网的测试..............................................35 结束语......................................................36 致谢........................................................37 参考文献....................................................38

校园网的设计与实现

校园网的设计与实现

摘 要

20世纪后期互联网在我国得到快速发展，通过网络办公涉及到企业、单位、学校、军事等各个领域，教育发展也逐渐走上了网络化。互联网和现代化式的教育发展的结合使得校园网成为学校教育、教学的重要平台。

学校的校园网已经成为重要的信息传递设施，其规模已经成为学校实力和科研水平的重要标志，结合当前校园网的发展水平完成了本次毕业设计并得到学习为以后更好的设计校园网打下了基础。通过校园网的设计与建设的整体方案，从而完成了宽带多媒体网络，为师生提供教学、科研和综合服务信息。

在本次毕业设计当中，根据校园网的需求，设计的校园网的规划；根据校园网的规划，设计的网络拓扑、IP地址划分、设备选型等，根据校园网的布线，设计了工作区子系统、管理区子系统、水平子系统等，然后根据校园网的具体实现，设计了设备的配置并有校园网的安防等。

关键词 校园网，规划，设计，网络安全，设备

I

校园网的设计与实现

CAMPUS NETWORK DESIGN AND IMPLEMENTATION

ABSTRACT

In late twentieth Century, the Internet has been rapidly developed in China, involved in various fields of enterprises, units, schools, military through the network office, education has gradually embarked on the network.The development of education combined with Internet and modern style of the campus network has become an important platform of school education, teaching.Campus network has become an important information infrastructure, the scale has become an important symbol of the school strength and level of scientific research, combined with the current development level of the campus network completed the graduation design and study for the future design of campus network better foundation.The overall design and construction of campus network, thus completing the broadband multimedia network, providing teaching, scientific research and comprehensive information service for teachers and students.In this graduation design, according to the needs of the campus network, the campus network planning;according to the campus network planning, network topology, design of IP address, equipment selection, layout of campus network based on, design work area subsystem, management subsystem, horizontal subsystem, and then according to the specific implementation of the campus network, the design of the equipment configuration and campus network security.KEY WORDS

Campus Network, the planning, Network security, equipment

II

校园网的设计与实现 引言

1.1 项目相关背景

信息时代的发展，影响着世界的每一个角落。每个人的生活和工作几乎都与计算机密切相关。在速度越来越快的计算机硬件和日益更新的软件背后，网络作为中枢神经把我们联系在一起。也正是因为网络的出现与发展，使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分，联系上亿人的Internet将我们带入了一个新的网络时代。

在现今的网络建设中，企业网的建设是非常重要的，企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享，简单数据库的共享到现在内部全方位的数据共享，从过去单一的企业到现在多个分支公司的全部互连，因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部，现在则已是整个企业、整个行业，甚至整个Internet的共同要求。

1.2 国内外现状

早期校园网络主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在访问速度慢、安全、可管理性较差等方面的问题。现在学校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QOS保障服务，使校园网实现安全可靠的高速访问，从而达到教育管理、多媒体教学、图书馆管理自动化的目的。而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。本着技术先进、投资合理、充分利用现有教学设备，在技术上和设备上适当超前的原则，建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。要在全院教学和行政管理两方面实现信息化，积极开发，广泛运用现代教育技术和信息资源，全面提高学院教师学生运用信息技术进行学习和工作的能力，全面推进信息技术与学科课程的整合、创造适应新时代要求的现代教学模式和管理模式，提高教育效益与质量，形成具有现代教育信息化

校园网的设计与实现 的新特色。

1.3 开发目的意义

校园网网络建设是一项复杂的系统工程，与一般的工程相比，它除了具有一般的工程特点外，更有其独特之处。它不仅涉及许多技术问题，而且也涉及管理、组织、经费、法律等诸多方面的其他问题，因此，必须遵循一定的网络系统分析与设计方法。网络规划的主要任务就是对一些指标给出尽可能准确的分析和评估，包括需求分析、网络规模、网络结构、网络扩充、网络安全以及外网互联等方面。对网络工程而言，网络规划并不是最终的目的，网络规划是为网络工程实施服务的，网络工程实施的主要方法是系统集成，因此，一般说来，一个完整的网络规划应该包括需求分析、网络系统设计、布线系统设计、应用系统设计和服务系统体系等多个方面的内容。

校园网是各种类型网络中的一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。

本课题的理论意义和实践意义：

（1）校园网的建设和发展是推进素质教育的需要

互联网已成为学校培养学生道德品质、创新能力等方面的新环境，成为培养高素质人才的崭新的平台，是学校推进素质教育的需要。

（2）校园网的建设和发展是学校教育改革的战略制高点

创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念，促进教学内容、教学方法、教学结构和教学模式的改革，对于深化基础教育改革，提高教育质量，培养高素质的创新人才具有深远意义。

（3）校园网的建设和发展是学校教育现代化的重点标志

运用现代教育技术建设和发展校园网，营造清新的校园网络文化氛围，就是从根本上落实教育的战略地位，解放教师的生产力，推动和发展教师、学生的创造力的一种创新优势的重要标志。

校园网的设计与实现 校园网络介绍

2.1 校园网

计算机网络，简单地说，就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。它包括：计算机、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是空气）以及相应的应用软件四部分。

计算机网络如按网络的组建规模和地域范围来划分的话，可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network, MAN)、广域网(Wide Area Network, WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密的方向发展。

2.2 校园网的建设原则

校园网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。

校园网的设计与实现 局域网简介

3.1 局域网的特点

局域网，是指范围在几百米到十几公里内办公楼群或校园内的计算机相互连接所构成的，外部设备和数据库等互相联接起来组成的计算机通信网，简称LAN。美国电气和电子工程师协会（IEEE）局域网标准委员会员会曾提出局域网一些具体特征：

（1)局域网在通信距离有一定的限制，一般在1~2Km的地域范围内。比如在一个办公楼内、一个学校等。

（2)局域网中经常使用共享信道，即所有的计算机都接在同一条电缆上。采用专用的传输媒介来构成网路，传输速率在1兆比特/秒到100兆比特/秒之间或更高。

（3)因为连接线路都比较短，中间几乎不会受任何干扰，所以局域网还具有始终一致的低误码率。

（4)局域网一般是一个单位或部门专用的，所以管理起很方便。另外局域网的拓扑结构比较简单，拓扑结构主要为总线型和环型。所支持连接的计算机数量也是有限的(一般在数十台到数百台之间)。组网时也就相对很容易连接。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。

LAN目前广泛应用于办公室自动化、生产自动化和信息处理系统中。通过电话线上网的adsl宽带上网，上的是广域网，就是我们说的互联网。

3.2 网络的体系结构

网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构，当前重要的和使用广泛的网络体结构是TCP/IP体系结构。

TCP/IP（Transmission Control Protocol/Internet Protocol,传输控制协议和互连网协议），TCP/IP体系结构是当前应用于Internet网络中的体系结构，它是由OSI结构演变来的，它没有表示层，只有应用层、传输层，网际层和网络接口层

校园网的设计与实现

3.3 网络协议

网络协议是网络上所有设备（网络服务器、计算机及交换机、路由器、防火墙等）之间通信规则的集合，它规定了通信时信息必须采用的格式

校园网的设计与实现 校园建设的需求分析

4.1 总体设计分析

本设计是为校园网网络规划设计，为保证学院校园网的实用性、先进性、经济性以及可延展性，现按学院的整体布局及实际需求，提出校园网综合设计方案。

4.2 需求分析

目前校园主要建筑有1号教学楼、2号教学楼、图书综合楼、实训中心、女生公寓、男生公寓、食堂。根据教育部门有关文件精神，结合学院实际情况，学院信息化建设工作的核心目标在于充分利用信息技术，建立多层次、高可靠、可管理、可运营的开放式的数字化校园，促使其提高办学质量和效益。重点体现在以下几个方面。

教学方面，利用多媒体、网络技术实现高质量的教学资源、信息资源和智力资源的共享和传播，同时促进高水平的师生互动，促进主动式、协作式、研究型的学习，从而形成开放、高效的教学模式，更好地培养学生的信息素养、问题解决能量和创新能力。

管理方面，利用信息技术实现职能信息管理的自动化，实现上下级部门之间更迅速、便捷的沟通，实现不同职能部门之间的数据共享与协调，提高决策的科学性和民主性，减员增效，形成充满活力的新型管理机制。

科研方面，促进科研资源共享，加快科研信息传播，促进院内外学术交流。公共服务体系方面，建设和维护好覆盖学院教学、科研、管理、生活等各个区域的宽带网络环境，提供面向全院师生的基本网络服务，建设高质量的数字化图书馆等应用信息资源库，以及服务于学院中心工作的基本信息资源库，实现身份认证等院内公共管理、服务功能和这些格式的意义。

在校园局域网上用到的主要协议有 TCP/IP协议IPX/SPX协议等等。一个网络协议至少包括三要素:语法，语义，时序。TCP/IP是一种分层协议，它共被分为个4层次，大约包含近期100个非专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP（传输控制协议）、UDP（用户数据报协议）和IP（互联网协议）。

校园网的设计与实现

4.3 收集学院的网络需求

学院局域网的功能要求包括能够高速、安全、及时地传送文本、音频和视频等多种媒体信息，能够支持一定程度的突发访问。在性能和安全性上应满足10000人的网络应用需求，对响应时间不作特殊要求；为了存储数据和备份数据，网络中心需要建立磁盘列阵；为保障网络中心设备的安全运行要求在网络中心提供不间断电源；在遵循经济实用、成熟先进和安全可靠的设计原则下，最大限度地考虑采用符合发展趋势的新技术；网络设备必须采用成熟先进的技术，所采用的标要求统一，支持目前业界最新的网络协议，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；网络设备要求提供足够的宽带，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成公布式三层交换网；网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口的监控；网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。在广域网选择上考虑学院的实际需求我们的校园网将通过光纤接入因特网。

校园网的设计与实现 网络系统设计

5.1 设计目标

以上面需求分析的结果为依据，进行学院校园网的网络系统设计

校园网系统由硬件系统和软件系统构成。其中，硬件系统主要由网络系统（交换机、路由器、防火墙等）、主机系统（服务器、工作站等）、外部设备（打印机、UPS、磁盘阵列等）以及布线系统组成；软件系统主要由系统软件（网络操作系统、网络管理系统、安全系统等）和应用软（办公自动化系统、综合教务管理系统、图书馆自动化系统等）组成。

网络系统设计的总体目标是充分利用信息技术，建立多层次、高可靠、可管理、可运营、经济实用的开放式数字化校园，促进提高办学质量和效益。具体体现在以下4个方面。

（1）总体规划，分步实施。

（2）以教学活动为核心，以师生为主题。（3）注重应用系统建设。

（4）注重网络建设的扩展性和可升级性以及向后兼容性。

5.2 设计原则

设计原则为标准化、可扩展性、可靠性与安全性、先进性、可管理性、完善的技术支持服务。

5.3 网络服务评估与总体设计

根据需求分析可知，校园网要求覆盖学院的教学区、行政办公区以及生活后勤区，要求数据、图形、图像、语音、视频等信息都能在网络上较好地传输，考虑到需求分析中收集的师生员工规模的信息，在网络设计时将校园网分为主干网和各区子网，主干网带宽1000Mbps，子网带宽100Mbps，网络支持VLAN管理，IP组播、第三层交换以及多种路由协议；在网络技术选型上，采用目前主流的快速以太网技术。

校园网的设计与实现

千兆以太网是超高速主干网的一种选择方案，它在数据、语音、视频等实时业务方面表现优良。千兆以太网频宽较高，能够克服原以太网的弱点，提供服务保证。从网络设备投资成本与维护成本、技术的先进性与稳定性、应用系统的开发难易程度等诸多方面考虑，应选择基于1000M和100M相结合的高速以太网技术作为四川信息职业技术学院校园网的设备、选型的主要依据之一。

在网络拓扑结构方面，选用星型的扑结构，将校园网整体划分为核心层、汇聚层、接入层三个逻辑层次。各建筑物之间采用光纤进行互连，楼内采用超5类非屏蔽双绞线布线，在同一幢楼的汇聚层和接入层交换机之间也采用超5类非屏蔽双绞线进行连接。全网设一个核心层节点，位于网络中心。校内所有主干线路均汇聚于此节点，同时网络中心骨干节点也是学院广域网的唯一出口。

汇聚层又根据实际情况分为一级汇聚节点和二级汇聚根据以上分析设计结果，网络拓扑结构如图5-1所示。

教学区防火墙实心训中路由器寝室区Web服务器邮件服务器Internet核心交换机管理服务器后勤中心

图5-1网络拓扑结构

校园网的设计与实现

5.4 主干网设计

校园网将实训中心作为本校的网络中心，在设备选型时必须具有光纤接入能力以及支持VLAN划分。实训中心作为网络中心，同时必须应对整个网络进行有效的全面的管理。

5.5 无线局域网设计

校园网建设的主要目的是利用计算机网络来实现现代化的多媒体教学，让有限的教学材料资源利用网络技术、多媒体技术来激发广大教职工、学生的学习兴趣，提高教学质量；另一个重要作用是利用网络进行协同办公，不同的工作人员可以通过电子邮件或者其他方式的协作来加速工作进程等，这就涉及到各种子网的构建。

在网络中，网络用户一般分布在不同的楼宇和组织中，甚至拥有自己的服务器和应用系统（多媒体教室、电子阅览室等），而这一切都由同一个通信网络提供服务。如何将同一组织在不同楼宇中的用户群所组成的逻辑组与他们所在的物理位置关系上区分开，从而达到限定不同逻辑组间的通信流量以提高安全性和系统性能，是在网络集成和设计中必须考虑的问题。解决的手段是建设无线局域网，采用合理的划分策略，形成最佳的网络应用体系。

所谓无线局域网就是试图形成这样一种在一个大网中处于不同物理位置的各个成员可以不受位置限制而构成，即WLAN，如下图5-2。

校园网的设计与实现

图5-2 5.6 网络管理设计

根据用户需求分析的结果可知，四川信息职业技术学院的校园网必须是一个可管理的网络，因此，在我们必须进行网络管理设计 网络管理设计主要解决故障查找、配置与重配置和网络监视问题，而解决这些问题现在一般都借助网络管理软件。所以，校园网中，我们选用主干交换设备厂商提供的网络管理软件来完成网络管理工作。

5.7 网络安全设计

根据用户需求分析的结果可知，校园网必须是一个安全的网络。,因此，在逻辑网络设计时必须进行网络安全设计。提供网络安全实质上是一种平衡策略，因此，权衡网络安全需要和方便用户需要，在校园网的安全设计方面主要采用访问控制技术、用户认证技术、防火墙和安全管理技术以及病毒防范技术等来保障网络安全运行。

5.8 地址规划

采用内部地址和合法IP地址，需要向上级信息中心申请统一的内部IP地址和合

校园网的设计与实现

法的IP地址，数量大约要3段B类内部地址。需要的合法IP地址大约需要2个C类地址。域名规划要求我们申请独立域名，统一标志，全面规划，方便管理。互联网接入设计 根据用户需求分析的结果，校园网必须接入互联网。通过学院所在地区的电信业务运营商的商谈，征得学院主管领导的同意、相关职能部门认可，决定以光纤（1000M）方式接入Internet。

校园网的设计与实现 网络设备选型

6.1 网络设备选型

采用的设备主要包括：

1)整体网络系统可分为主干网络、分支网络、和广域网络三部分

2)核心网络设备采用锐捷RG-S9620路由千兆以太网交换机，负责对骨干节点网络、服务器接入以及VLAN等主要功能。

3)接入层设备采用高端密度交换机EN-2924S,实现10M/100M用户接入。

6.2 中心交换机

网络主干的网络设备选用1台锐捷RG-S9620千兆中心路由交换机，通过光纤与各楼宇二级交换机相连，形成星型结构千兆以太网的主干解决方案。它不仅可以同时满足铜缆、多模与单模接入的共存问题，而且具有较高的无阻塞的背板速率，支持全线速交换能力，较好的扩展性，可为学院的进一步扩容提供快捷与低成本的升级方式。锐捷RG-S9620千兆中心路由交换机具有以下特点：

1）最小的代价满足需求，实现主干网络的1000M连接，同时还实现线速的2、3、4层交换能力。

2）实现VLAN划分、应用级负载均衡等功能，并能保证性能不受影响。3）投入成本小，网络连接易于实现。

4）预留一定数量的100M网络端口，便于网络的扩展。该款交换机是企业级智能交换机，拥有强大的功能，为校园网的稳定、快速、高效的运行提供了保障，其参考价格为228864元。如下图6-1

校园网的设计与实现

图6-1 核心交换机

锐捷RG-S9620基本规格 交换机类型 路由交换机 交换方式 存储-转发 背板带宽 9830Gbps MAC地址表 768K 锐捷RG-S9620网络参数

包转发率 L2: 3571Mpps L3: 3571Mpps 网络标准：IEEE802.3, IEEE802.3u, IEEE802.3z, IEEE802.3ab, IEEE802.3ae, IEEE802.3ak, IEEE802.3an, IEEE802.3x, IEEE802.3ad, IEEE802.1p, IEEE802.1x, IEEE802.1Q, IEEEE802.1D, IEEEE802.1w, IEEEE802.1s 网络协议：BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、IGMP v1/v2/v3、DVMRP、PIM-SSM/SM/DM MBGP、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP 网管功能：SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP、USB、监控显示屏

其他功能：QOS: IP Precedence、802.1P、DSCP、ACL流分类、Urgent Queue、、Protocol Queue、硬件队列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LL、WRED、CAR、LR(InOut)Traffic Shaping(GTS)、HOL、RSVP 锐捷RG-S9620端口参数 模块化插槽数：20个 锐捷RG-S9620电气规格

电源电压 100-240VAC 额定功率 2000W

校园网的设计与实现

锐捷RG-S9620外观参数 尺寸 448×437×1797 mm

6.3 其它交换机选型

接入层选择EN2924-SGM+型号的交换机，提供了24个10/100MbpsRJ-45端口和用于扩展及上链路模块的2个可选插槽。此外还专门提供一个专用管理插槽。其即插即用式安装、先进的网络管理和基于标准的交换能力是我们的理想选择。其参考价格为5000.00元 EN-2924 SGM+千兆交换机 图6-2

图6-2 主 要 性 能 千兆高性能以太网交换机 支持端口汇聚（Port Trunking）、VLAN、流量控制（Flow Control）、端口镜像

Port Mirror）等功能，可以提高网络性能和可监控性 支持IGMP协议，可在组播（如视频点播）时有效降低网络流量8.8Gbps大容量背板带宽19”机架式安装全双工和半双工自适应支持多达6K的MAC地址空间内建3M缓存最高支持8.8G的吞吐量自动地址学习功能安全过滤通信数据符合IEEE802.3X

校园网的设计与实现 支持存储转发模式 自适应交叉线和平行线

6.4 服务器

根据学院的实际需求情况高性能的服务器必不可少，所以我们选择了HP ProLiant DL580 G5 451993-AA1的服务器，它为校园网高效、稳定、安全地运行提供了优质服务。根据需要应配置WWW服务器、邮件服务器、管理服务器以提高整个校园网的服务效率和质量。其参考价格为140000.00元。图6-3

图6-3核心服务器

HP ProLiant DL580 G5 451993-AA1基本参数 服务器类型 机架式 结构 4U 处理器类型 Intel 至强 E7350 服务器处理器主频 2.93GHz CPU核心 四核 标配处理器 4颗 最大支持处理器 4颗 处理器二级缓存 8MB 主板芯片组 Intel 7300 芯片组

扩展插槽 PCI-Express 插槽（多达 11 个可用）；标配 8 个插槽 内存类型 DDR2

校园网的设计与实现

内存容量 8G 最大内存 128GB 光驱 标配薄型 DVD 光驱

配薄型 DVD 光驱 标配支持8 个 SFF SAS/SATA，最多可支持16个SFF SAS/SATA 重量 30.8Kg 电源说明 800 瓦, 符合 CE Mark 标准(可选热插拔 AC 冗余电源)电源功率 800W 网卡数量 2个

网络控制器 NC373i 多功能千兆网络适配器

I/O接口 1 个串行端口、1 个定位设备（鼠标）、1 个

正面视频接口、1 个背面视频接口、1 个键盘、共 6 个 USB 2.0 端口：正面 2 个；背面 2 个

内部 2 个；1 个 iLO 2 远程管理端口；2 个 RJ-45 网络接口

操作系统 Microsoft Windows Server 2003；Red HatEnterprise Linux；SuSE Linux Enterprise sever；Novell NetWare；Sun Solaris Intel Platform Edition；VMware 虚拟化软件

网卡数量 2个

6.5 路由器

路由器我们根据学院的需求结果选择 H3C RT-SR6608-H3型号的核心路由器，报价为220000.00元，如下图6-4

校园网的设计与实现

图6-4核心路由器

H3C RT-SR6608-H3主要参数 路由器类型 开放多核企业级路由器 其他控制端口 Console, AUX, USB 扩展插槽 ≥18 Mpps 路由器包转发率 30个

路由器网络协议 支持静态路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Client, Telnet Server, Telnet Client, TFTP Client, FTP Server, FTP Client, 二层协议等 VPN功能 支持VPN 防火墙功能 内置

安全标准 ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec 机身重量

＜50kg 外观尺寸 436×468×308mm

校园网的设计与实现

6.6 防火墙

防火墙采用天融信的NGFW4000-E-VPN(E)。面向中心骨干机构和复杂的高端流量环境。拥有内置的IPSEC加密、Web页面包护和负载均衡双机热备，提供强大的功能和安全保障，其报价为140000.00元。图6-5

图6-5物理防火墙

天融信NGFW4000-E-VPN(E)主要参数如下： 防火墙类型 百兆级防火墙 网络吞吐量 100Mbps 管理 SNMP/CLI/SSH 人数限制 无用户数限制 入侵检测 IDS/Dos/DDoS 主要功能 VPN, 访问控制, 宽带管理, 防火墙功能 安全标准 UL 1950, EN 41003, AS/NZS 3260, AS/NZS 3548 Class A, CSA Class A, FCC Class A, EN 60555-2, VCCI(ClassII)控制端口 RS-232 其他端口 3个10/100BASE-TX,最多可扩展7个端口

6.7 电源以及其他

UPS电源对于机房服务器和网络设备的正常运行非常重要，而电池对于UPS电源而言至关重要，在此，我们采用爱克赛的主机，而电池采用大力神电池，提供4小时的后备电源。其它外部设备我们根据实际需要再临时购买。

校园网的设计与实现 校园网详细设计及实现

7.1 交换模块设计

校网网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。

本网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN 的影响。在 VLAN 间需要通信的时候，可以利用 VLAN 间路由技术来实现。

当网络管理人员需要管理的交换机数量众多时，可以使用 VLAN 中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。

当校园网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议（SpanningTree Protocol，STP）来解决。

7.1.1 访问层交换服务的实现－配置访问层交换机

访问层为所有的终端用户提供一个接入点。

这里的访问层交换机采用的CiscoCatalyst295024口交换机（WS-C2950-24）。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。

7.1.1.1 配置访问层交换机AccessSwitch1的基本参数

（1）设置交换机名称：设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。语句如下：

校园网的设计与实现

Switch（config）#hostname accessswitch1 Accessswitch1（config）#（2）设置交换机的加密使能口令：当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。将交换机的加密使能口令设置为secretpasswd。如下：

Accessswitch1（config）#enable secret secrepaswd（3）设置登录虚拟终端线时的口令：对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。:设置登录交换机时需要验证用户身份，同时设置口令为youguess如下：

（4）设置终端线超时时间：为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟如下：

（5）设置禁用IP地址解析特性：在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomain-lookup可以禁用这个特性。设置禁用IP地址解析特性如下：

（6）设置启用消息同步特性：有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。设置启用消息同步特性如下：

校园网的设计与实现

7.1.1.2 配置访问层交换机AccessSwitch1的管理IP、默认网关

访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必要给访问层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。

给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表2-1，管理交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表2-1，管理VLAN所在的子网是：192.168.0.0/24，这里将访问层交换机AccessSwitch1的管理IP地址设为：192.168.0.5/24如下所示，显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。

为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.254。

7.1.1.3 配置访问层交换机AccessSwitch1的VLAN及VTP 从提高效率的角度出发，在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。

这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。设置访问层交换机AccessSwitch1成为VTP客户机如下：

7.1.1.4 配置访问层交换机AccessSwitch1端口基本参数

（1）端口双工配置：可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型

校园网的设计与实现 的情况下，建议手动设置端口双工模式。设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式如下：

（2）端口速度：可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps如下：

7.1.1.5 配置访问层交换机AccessSwitch1的访问端口

访问层交换机AccessSwitch1为终端用户提供接入服务。在图中，访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。

（1）设置访问层交换机AccessSwitch1的端口1～10：设置访问层交换机AccessSwitch1的端口1～端口10工作在访问（接入）模式。同时，设置端口1～端口10为VLAN10的成员。如下：

（2）设置访问层交换机AccessSwitch1的端口11～20：设置访问层交换机AccessSwitch1的端口11～端口20工作在访问（接入）模式。同时，设置端口1～端口10为VLAN20的成员。如下：

（3）设置快速端口：默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。

校园网的设计与实现

对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。设置访问层交换机AccessSwitch1的端口1～端口20为快速端口。如下：

7.1.1.6 配置访问层交换机AccessSwitch1的主干道端口

访问层交换机AccessSwitch1通过端口FastEthernet0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet0/23。同时，访问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet0/23。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。设置访问层交换机AccessSwitch1的端口FastEthernet0/

23、FastEthernet0/24为主干道端口。如下：

7.1.1.7 配置访问层交换机AccessSwitch2 访问层交换机AccessSwitch2为VLAN30和VLAN40的用户提供接入服务。同时分别通过自己的FastEthernet0/

23、FastEthernet0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。

对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里，不再详细分析，只给出最后的配置文件内容（只留下了必要的命令）。需要指出的是，为了提供主干道的吞吐量，可以采用链路捆绑（快速以太网信道）技术增加可用带宽。例如，可以将访问层交换机AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch1。

校园网的设计与实现

同样，也可以将访问层交换机AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch2。

7.2 广域网接入模块设计

广域网接入模块的功能是由广域网接入路由器InternetRouter 来完成的。采用的是Cisco 2851 路由器。它通过自己的串行接口 serial 2/0接入 Internet。其作用主要是在 Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器 InternetRouter 还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。

7.2.1 配置接入路由器 InternetRouter 的基本参数

对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1 的基本参数的配置类似。如图7-1

图7-1配置接入路由器 InternetRouter 的基本参数

7.2.2 配置接入路由器 InternetRouter 的各接口参数

对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0 以及接口 Serial 2/0 的 IP 地址、子网掩码的配置。如图7-2所示：

校园网的设计与实现

图7-2配置接入路由器 InternetRouter 的各接口参数

7.2.3 配置接入路由器 InternetRouter 的路由功能

在接入路由器 InternetRouter 上需要定义两个方向上的路由：到校园网内部的静态路由以及到 Internet 上的缺省路由。

到 Internet 上的路由需要定义一条缺省路由，其中，下一跳指定从本路由器的接口 serial 2/0 送出。到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图7-3所示：

图7-3配置接入路由器 InternetRouter 的路由功能

7.2.4 配置接入路由器 InternetRouter 上的 NAT 由于目前 IP 地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有 IP（Internet 可路由的）地址。为了解决所有工作站访问 Internet 的需要，必须使用 NAT（网络地址转换）技术。

为了接入 Internet，本校园网向当地ISP申请了6个 IP 地址。其中一个IP地址：202.110.5.1 被分配给了 Internet 接入路由器的串行接口，另外 5 个 IP 地址：202.110.5.2～ 202.110.5.6 用作 NAT。

NAT 的配置可以分为以下几个步骤：

（1）定义 NAT 内部、外部接口，如图7-4所示：

校园网的设计与实现

图 7-4定义 NAT 内部、外部接口

（2）定义允许进行 NAT 的工作站的内部局部 IP 地址范围，如图7-5所示：

图 7-5定义工作站的内部局部 IP 地址范围

（3）为服务器定义静态地址转换，其他工作站定义复用地址转换。如图7.2.4-3所示：

图7-5为服务器定义静态地址转换及为工作站定义复用地址转换

7.2.5 配置接入路由器 InternetRouter 上的 ACL 路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙软件后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对内网包括防火墙本身实施保护。

7.3 远程访问模块设计

远程访问也是校园网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供远程、移动接入服务。

远程访问有三种可选的接入方式：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，考虑到面对的用户群规模较小、业务量较小，所以采用了异步拨号连接作为远程访问的接入方式。

异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话 网（Public Switched Telephone Network，PSTN）上提供服务的。传统 PSTN 提

校园网的设计与实现

供的服务也被称为简易老式电话业务（Plan Old Telephone System，POTS）。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最方便和普遍的远程访问类型。

广域网连接可以采用不同类型的封装协议，如 HDLC、PPP 等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。本设计所采用封装协议是 PPP。

7.3.1 配置物理线路的基本参数

对物理线路的配置包括配置线路速度（DTE、DCE之间的速率）、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。如图7-6所示：

图7-6配置物理线路的基本参数

7.3.2 配置接口基本参数并指定 IP 地址池

对接口基本参数的配置包括：接口封装协议类型、接口异步模式、IP 地址、为远程客户分配IP 地址的方式等。这里，设置远程客户从IP地址池 huangrong 中获得 IP 地址。并建立一个名为huangrong 的 IP 地址池。其 IP 地址范围是： 192.168.200.1～ 192.168.200.16。如图7-7所示：

图7-7配置接口基本参数并指定 IP 地址池

7.3.3 配置身份认证

PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password

校园网的设计与实现

Authentication Protocol，PAP）和质询握手协议（Challenge HandshakeAuthentication Protocol，CHAP）。

PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。

CHAP 认证比 PAP 认证更安全，因为 CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。

CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的 CPU 资源，因此只用在对安全要求很高的场合。

PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此节省了宝贵的链路带宽。本设计中将采用 PAP 身份认证方法。

（1）建立本地口令数据库，如图7-8所示：

图7-8建立本地口令数据库

（2）设置进行 PAP 认证，如图7-9所示：

图7-9设置进行 PAP 认证

7.4 服务器模块设计

服务器模块用来对校园网的接入用户提供各种服务。在本设计中，所有的服务器被集中到VLAN 100，构成服务器群并通过分布层交换机DistributeSwitch1 的端口F1～ 10 接入校园网。

校园网网络提供的常用服务（服务器）包括：

WEB 服务器，提供 WEB 网站服务。DNS、目录服务器，提供域名解析以及目录服务。FTP文件服务器，提供文件传输、共享服务。邮件服务器，提供邮件收发服务。数据库服务器，提供各种数据库服务。打印服务器，提供打印机共享服务。网管服务器，对校园网网络设备进行综合管理。

校园网的设计与实现

表7-10给出了所有的服务器名称及IP地址、网关：

表7-10 服务器名称及IP地址、网关

服务器编号 Server 1 Server 2 Server 3 Server 4 Server 5 Server 6 Server 7 服务器名称 WEB 服务器 FTP文件服务器 DNS、目录服务器 邮件服务器 数据库服务器 打印服务器 网管服务器

服务器IP地址 192.168.100.1 192.168.100.2 192.168.100.3 192.168.100.4 192.168.100.5 192.168.100.6 192.168.100.7

网关 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 表7-11给出了所有的服务器硬件平台、操作系统以及服务软件的选型表：

表7-11 服务器硬件平台、操作系统以及服务软件的选型表

编号 Server 1 Server 2 Server 3 Server 4 Server 5 Server 6 Server 7 服务器名称 WEB 服务器 FTP文件服务器 DNS、目录服务器 邮件服务器 数据库服务器 打印服务器 网管服务器

硬件平台 HP LH3000 HP LH3000 HP TC 4100 SUN E250 HP TC 4100 HP TC 4100 HP TC 4100

操作系统 Windows2000 Server Windows2000 Server Windows2000 Server

Solaris 8.0 Windows2000 Server Windows2000 Server Windows2000 Server

服务软件 IIS5.0 SER V-U5.0 ActiveDirectory EYOU Mail SQLServer2000

---

Cisco Works 2000

校园网的设计与实现 布线系统

8.1 方案采用

本设计方案采用BICC Structured Cabling Systems(结构化综合布线系统)的设计思想，遵循国际、国内标准设计，设备采用BICC产品。BICC集团总部位于英国伦敦，BICC是英文“British Insulated Callenders Cables”的缩写，意即英国独立电缆集团。

8.2 BICC Brand_Rex 结构化布线产品主要特点

Brand_Rex结构化布线系统由非屏蔽铜缆系统、铜缆系统、普通光缆系统、吹光纤布线系统四个部分组成。它是世界少数可同时提供屏蔽线和非屏蔽线系统的厂家，更是少数可同时提供50/125、62.5/125多模和单模光纤系统的厂家。同时，在Brand_Rex系统中，涵盖了从线缆到配线架到模块、面板等端的全系列产品。

8.3 设计依据

1）标准 综合布线系统标准是一个开发系统标准，它支持广泛的应用，保护用户以往的投资，综合布线系统遵循下列标准：

EIA/TIA 568 民用建筑布线标准 EIA/TIA 569 民用建筑通信通道及空间标准 ANSI/EIA/TIA-570 住宅及商业应用 ANSI/EIA/TIA-606 商业建筑电讯设施管理标准

ANSI/EIA/TIA-607 商业建筑电讯设施接地标准 TSB-67 非屏蔽双绞线布线系统传输性能

测试标准

TSB-72 简明光纤布线指导 ISO/IEC DIS11801 建筑物通用布线系统 IEEE802.3 10BASET-T 10M双绞线以太网通信标准

校园网的设计与实现

IEEE802.3 100BASET-T 100M双绞线以太网通信标准 IEEE802.3 1000BASET-T 1000M双绞线以太网通信标准

2）安装与设计规范 目前，在国内需要遵循的主要规范如下：中国建筑电气设计规范；工业企业通信设计规范；中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程设计规范”；结构化保险系统设计总则；市内电话线路工程施工及验收技术规；BICC Millennium系统设计总则。

3）BICC Millennium的优势如下：将各系统统一布线，提高全系统的性价比；具有开放性和充分的灵活性，不论各个子系统设备如何改变，位置如何移动，布线系统只需跳线而不需其任何其它改变；设计思路简洁，施工简单，施工费用低；充分适应通信和计算机网络的发展，为今后办公全面自动化打下了坚实的线路基础；大大减少维护管理人员的数量及费用；根据最终用户的不同需求进行随时改变和调整。

8.4 技术方案

1）设计范围及要求

本设计是以建筑物分布平面图为基本依据，并结合学院的实际情况而进行设计的。信息点结合平面分布图及信息中心统计数据进行配置与选型，根据用户需求，所有信息点为数据点，未考虑话音点。在设计过程中系统的主干传输介质选用多模光缆。

2）设计目标的确定

这需要充分考虑到学校对组建网络的总体要求，并最终按照哪些标准进行鉴定。总体要求为：体现适应性、先进性，满足用户网络应用未来的发展；主干网满足计算机系统高速网络的传输要求，适应未来宽带多媒体业务发展的需要；保证多个区域的网络连接清晰、明确。各层面的网络子系统尽可能科学合理，保证有足够的空间以方便维护和使用；实现每间房一条以上数据线，并预留出一定数量的接口。

3）我们为学院设计的结构化布线系统将基于以下目标：

符合当前和长远的信息传输要求；布线系统设计遵从国际（ISO/CEI1801）标准；布线系统采用国际标准建议的层层星型拓扑结构；布线系统将支持数据（计算机）、视频图像（电视会议、电视监视等）以及综合信息的高质量传输，并适应各种不同类型不同厂商的计算机及网络产品；布线系统的信息出口采用国际标准的RJ-45插座，使用统一的线路规格和设备接口使任意信息点都能接插不同类型的终端设备，以便支

校园网的设计与实现

持话音、数据、图像等数据信息或多媒体信息的传输；布线系统符合综合业务数据网ISDN的要求，以便于Internet相连；布线系统要立足开放原则，既要支持集中式网络系统，又要支持Client/Sever分布式网络系统。

4）系统性能需要满足考虑到的性能如下：实用性、灵活性、开放性、模块 化、扩展性、经济性。

5）信号种类及布线系统的要求

信号种类：学院结构化布线系统支持的信息传输类别为数据信号；布线要求：学院校园网综合布线系统主干传输介质宜选用多模光缆，数据点水平线缆至终端插座均采用BICC的千兆比产品，通过在配线间的配线架上对数据点进行方便地跳接调整即可实现数据点的任意替换。

8.5 建筑群系统设计说明

一号教学楼系统设计说明：一号教学楼内用户点数设计为90点，根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。二号教学楼系统设计说明：二号教学楼内用户点数设计为48点，根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。图书综合楼楼系统设计说明：图书综合楼内用户点数设计为100点，根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。实训中心系统设计说明：实训中心楼内用户点数设计为300点，根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。宿舍区系统设计说明: 宿舍区系统共有3幢楼，每幢楼内用户点数设计为300点，共计900点，根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。

8.6 工程实施内容

按照预定方案，在具体施工过程中将按照如下顺序进行。

1）布线设计 ：根据学院需求具体情况，完成布线设计配置方案，并在校方确认后，进一步完成建筑的管线设计或修正。2）铜缆施工：进行铜缆及相关管线的布放、安装

校园网的设计与实现

3）光缆施工：对光缆及相关管线的安装进行督导。

4）线路测试：工程完工后，将选用BICC公司认定的专用仪器对系统进行导通、接续测试，并提交测试证明报告。

5）系统联调：在系统的线路测试后，选择若干站点，对外部连接网络设备进行连通测试，并提供测试报告。

6）工程验收：完成上述两项测试后，双方签字认定工程验收完毕，并由工程方完成有关BICC 15年质保体系的认证工作。

7）文档：工程验收后，工程方将以文本或磁盘文件方式，向校方提供系统设计与方案配置、施工记录等在内的文档

校园网的设计与实现 校园网的测试

当校园网初具规模后，还应该对校园网的整体运行情况做一下细致的测试和评估。

1．主要的测试内容应该包括： 对设备间的物理连通性的测试。对相同VLAN内的通信进行测试。对不同VLAN内的通信进行测试。对冗余链路的工作状态进行测试。对广域网接入路由器上的NAT进行测试。对广域网接入路由器上的ACL进行测试。对远程访问服务进行测试。对各种服务器提供的服务进行测试。2．常用诊断命令 Ping 测试设备间连通性

Show running-config 显示设备运行配置文件内容 Show startup-config 显示设备启动配置文件内容 Show interface vlan vlan号 显示Vlan信息 Show interface 显示端口所有信息

校园网的设计与实现

结束语

本毕业设计从校园网的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述，使我们对校园网建设工程有了一个比较深入的了解，校园网络建设作为一项重要的系统工程，它的所用到的各种技术是多方面的，即有网络技术、工程施工技术，也有管理制度等各个方面的知识。网络技术的发展是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究，并能将其应用到实际的网络工程建设之中。由于校园网功能齐全，技术含量高，接触面广，在网络设计、规划和建设中都非常复杂，在论述中不可能面面具到，同时也由于本人的知识水平有限，文中的不足和错误在所难免，敬请各位老师多多指点。

校园网的设计与实现

致谢

这篇论文的顺利完成，首先要感谢我的指导老师张建伟教授。在我做论文的初期过程中，张老师始终耐心的指出我需要改进的地方，在后期过程中，又在网络拓扑结构图、IP地址划分、结构化布线等方面给了我很多的提示，从细节上提高了论文的质量，帮我完成了这篇论文。

另外，这篇论文的完成要感谢学校的支持，为我们开辟了专门做论文的机房。还要感谢我宿舍的众多室友们，在与他们的讨论中，许多好的建议、想法都被我用运到论文中。论文还参考了许多文献资料及网站资料。

在这里我向直接或间接帮助我的老师、朋友、文献作者、网络资料共享者致以我由衷的谢意。

校园网的设计与实现

参考文献

[1]王平.Cisco网络技术教程[M].北京：电子工业出版社，2012.131-426 [2]刘晓辉.网络综合布线[M].北京：清华大学出版社，2012.17-195 [3]谢希仁.计算机网络[M].北京：电子工业出版社，2013.50-67 [4]任泰明.TCP/IP网络编程[M].北京：人民邮电出版社，2009.13-109 [5]肖清华.网络规划设计与优化[M].北京：人民邮电出版社，2014.20-56 [6]姜大庆.网络互连及路由器技术[M].北京：清华大学出版社，2014.46-126 [7]西奎拉.Cisco网络设备互连[M].北京：人民邮电出版社，2014.56-156 [8]张守祥.计算机网络技术[M].北京：清华大学出版社，2014.10-68 [9]Richard Froom.组建Cisco多层交换网络[M].北京：人民邮电出版社，2008.8-56 [10]Cisco System.思科网络技术学院教程

毕业设计论文(校园无线局域网的设计与实现) 第6篇

中间件是一类位于应用系统与系统软件之间的软件，在移动应用开发中，移动终端通过虚拟浏览器向服务器提交用户的访问申请，并分析、抓取并最终生成数据流交给数据流过滤模块，并由这一模块过滤多余控制符的操作，最后由数据渲染模块生成用户显示页面并返回给浏览器呈现给用户。由于移动智能终端性能和无线网络的差别和特性的限制，在传统的分布式应用系统中使用的中间件技术不能满足移动应用的需求，移动终端中间件应满足如下要求。

3.1.1 轻计算负载

由于移动应用是运行于资源有限的移动智能终端，所以要考虑终端性能、网络条件的差异性，简化功能，构造轻量型中间件。

3.1.2 上下文感知

由于使用移动应用的用户位置可能是随时发生变化的，导致本来就不太稳定的无线网络(相对于高速、稳定的有线网络而言)的稳定性更加难以保障，从而带来不能正常获取服务，这就要求中间件具备一定的上下文感知性能，通过及时感知上下文变化，提高应用性能。

3.1.3 自适应

中间件要随时监视资源供需变化情况，并及时做出相应调整，采取不同的执行策略确保应用的高效稳定运行。

3.2 移动终端单点登录