国防学院无线局域网的设计方案

1 国防学院无线局域网的设计方案 一、前言 述 随着当代科技的发展，计算机用户日益增多，用户要求互连的计算机数量不断增加，类型也更为复杂。但传统的有线网络由于受到设计或环境条件的制约，在物理、逻辑和资金方面普遍存在着一系列的问题，特别是当涉及到网络移动和重新布局时，所以发展一种可行的无线通信技术作为现有的数据连接扩充已成为一种需要。自从上个世纪 90 年代以来，随着个人数据通信的发展，为了实现任何人在任何时间、任何地点均能实现数据通信的目标，要求传统的计算机网络由有线向无线，由固定向移动，由单一业务向多媒 体发展，更进一步推动了无线局域网（ 发展。 与有线局域网相比较，无线局域网具有一下几条优点： （ 1）灵活性和移动性。在有线网络中，网络设备的安放位置受网络位置的限制，而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络，而且连接到无线局域网的用户可以移动且能同时与网络保持连接。 （ 2）安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量，一般只要安装一个或多个接入点设备，就可建立覆盖整个区域的局域网络。 （ 3）易于进行网络规划和调整。对于有线网络来说，办公地点或网络拓扑的改变通常意 味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程，无线局域网可以避免或减少以上情况的发生。 （ 4）故障定位容易。有线网络一旦出现物理故障，尤其是由于线路连接不良而造成的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络则很容易定位故障，只需更换故障设备即可恢复网络连接。 （ 5）易于扩展。无线局域网有多种配置方式，可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络，并且能够提供节点间“漫游”等有线网络无法实现的特性。 由于无线局域网有以上诸多优点，弥补了有限局域网的缺陷，因此其发 展十分迅速。 2 求分析 务需求分析 国防学院北校区面积约为 700亩，建筑面积为 20万平方米，现有在校学生约 7000多人，教职工 500 多人，现有主要建筑有 5 大区域，分别是教学楼区域、图书馆区域、建筑实验楼区域、学生宿舍区域、教师宿舍区域、学生餐厅区域。结合学院实际情况，学院信息化建设工作的核心目标在于充分利用信息技术，建立多层次、高可靠、可管理、可运营的开放式的数字化校园，促使其提高办学质量和效益。 络功能需求分析 无线教学服务功能： 通过无线校园网络覆盖教学楼及些校内公共课 教学环境，如计算机公共机房、多媒体教室等。为广大师生提供了一个更为有效的网络互动平台，加强了学习生活的交流，同时为学生在教室内的自习提供一个方便的查询资料的网络环境。 只要教师拥有一部上网本，就可以很方便地把它拿到教室或实验室或室外进行教学和演示；或者可以让学生们用它来就地查阅网上资料或递交电子文档的作业等。这样的带无线网络的教学上网本可以在整个校园内移动，其网络连接都不会中断，这样可以十分方便地创造“移动教室”。 无线信息交流功能： 无线信息交流功能主要有两个方面的服务功能 :互联网信息服务和校内信息服务。 互联网信息服务可以在校园内任何一个地方实现网上浏览、查询信息的功能，使教师能够拓宽视野，充分利用互联网上的资源辅助教学，提升教学理念，提高教师的教学能力、教学水平和科研能力。可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学水平，展示教师的教学能力与科研能力，提升学校的办学形象。 校内信息服务能为教育教学和管理决策提供各项信息服务，能为全校师生提供相互交流、相互学习的平台。 3 学校管理功能： 无线校园网使学校建立完善及时的信息发布体系，在此基础上可以实现学校管理的透明化、高效化、公平公正化。学校管理功 能主要有以下几个方面。 （ 1）网上办公系统。 （ 2）教务管理系统。 （ 3）学生管理系统。 （ 4）行政办公系统。 （ 5）财务管理系统。 （ 6）后勤管理系统。 （ 7）图书管理系统。 （ 8）校园网一卡通。 校园无线网络的语音和视频应用： 基于无线宽带网络的基础上，可以考虑其他的应用。比如 是在无线局域网范围内，可以使用支持 议的无线终端设备如手机、 一全 无线语音系统将具有巨大的应用前景。还可以利用无线网络进行室外视频的实时转播，完全摆脱 有线的束缚。 无线应急系统： 在出现需要突发性大规模网络服务要求的场合，提供临时性的无线网络服务，满足用户对网络的需求。 校园信息化建设一直是高质量、高效率教学办公的保障，随着 线局域网技术和无线产品的成熟，无线网络的应用将会为网络化学习、教学开创新的应用模式；利用无线网络实现校内信息的发布、共享、传递，推进教学及管理信息化，拓展学生的知识面。而有线网络只能提供师生们固定的、有限的网络信息点，随着时代的进步，笔记本电脑的普及，师生们希望不仅仅是在实验室才能将他们的计算机连上网络，而在校园 的草坪上、宿舍区、学术报告厅里、图书馆的任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或 愿再受有线的束缚。 络性能需求分析 4 高性能的 线接入 中国下一代互联网项目（ 在顺利展开，基于纯 骨干网在 在建设高校无线网络，除了要考虑对现有 足当前高校师生对无线网络的需求外；又要支持高性能的用户接入，以适应网络发展趋势，并保护网络投资。 可分级的一 体化网络管理系统： 有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。 支持用户全网漫游： 校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证 址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。 全性需求分析 与有线网络相比较，无线局域网的安全问题集中在以下两方面：物理安全与存在的威胁 物理安全： 无线设备包括站点（ 接入点（ 站点通常由一台 或笔记本电脑加上一块无线网络接口卡构成；接入点通常由一个无线输出口和一个有线的网络接口构成，其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题。首先，无线设备存在许多的限制，这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比，无线设备如个人数字助理（ 移动电话等，存在如电池寿命短、显示器小等缺陷。其次，无线设备虽有一定的保护措施，但是这些保护措施总是基于最小信息保护需求的。因此，有必要加强无线设备的各种防护措施。 存在 的威胁： 由无线局域网的传输介质的特殊性，使得信息在传输过程中具有更多的不确定性，受到影响更大，主要表现在： a) 窃听。由于无线局域网使用 围的无线电播进行网络通讯，任何人都 5 可以用一台带无线网卡的 或者廉价的无线扫描器进行窃听，但是发送者和预期的接收者无法知道传输是否被窃听，且无法检测窃听。 b) 修改替换。在无线局域网中，较强节点可以屏蔽较弱节点，用自已的数据取代，甚至会代替其他节点作出反应。 c) 传递信任。当校园网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络 入侵。但在无线网络环境下，受攻击却不能通过一条确定的路径找到这个接口。因此，参与通信的双方都应该能相互认证。 d) 基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。这种情况下也会出现在无线 。但是针对这种攻击进行的保护几乎是不可能的，所能做的就是尽可能地降低破坏所造成的损失。 e)拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。 f) 置信攻击。通常情况下，攻击者可以 将自己伪造成基站。当攻击者拥有一个很强的发送设备时，就可以让移动设备尝试登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。 二、 校园无线网的设计方案 计原则 实用性： 遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的 有的总成本最低），有最高的性价比的校园无线局域网络。 先进性： 采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充 分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。 可靠性： 系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现 6 故障，应能很快恢复工作，并且不能造成任何损失。 开放性： 选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。 可扩充性： 系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比； 可维护性： 系统具有良好 的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性； 安全性： 必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。 计思想 建议校园网 用思科公司集中管理架构下的“瘦 线网络架构，以保证无线网络可管理性、安全性、 缝漫游等功能需求，尤其是方便未来的运维管理。 建议网络部署应该结合高校的实际情况，采用室内、室外多种无线接入方式相结合的方式，以满足高校楼宇多、广场多的特点。如在必要的时候采用室外 时由于采用室内、外多种无线接入手段在满足无线覆盖的前提下，可以节省无线接入点的数量，从而提高无线网络的性价比。 校园无线网络在满足现有网络应用的同时，保证对未来网络技术和应用的支持，如 线话音、无线视频、组播等技术的支持，以满足高校教学和科研的要求。 为满足高校网络的安全性，建议校园无线网络采用独立的有线网络系统实现无线接入点的互联，同时本次无线网络在满足用户接入安全认证、加密的同时，支持无线射频的安全防护功能。 术标准 列标准（ 由最初的 准到现在的 准，已有 24个 标准规范。） 各信号输出点信号强度 10 15按照 作频段 为 个完全不干扰频段设计；目标覆盖 7 区域信号强度 1、一般来讲室内容许最大覆盖距离为 35100 米，室外容许最大距离 100400米 2、障碍物阻挡 要观测无线覆盖周围的障碍物确定 数量和放置位置。 磁 波对于各种建筑材质的穿透损耗的经验值如下： A. 水泥墙 (1525 衰减 1012. 木板墙 (510 衰减 56. 玻璃窗 (35 衰减 57种建筑材料对无线讯号的影响如下： 当 终端隔一座水泥墙时 ,可传送覆盖距离约剩下 5 米有效距离。 当 终端中间隔一座木板墙时 , 传送距离约剩下 15 米有效距离。 当 终端中间隔一座玻璃墙时 , 传送距离约剩下 15 米 有效距离。所以在安装选点时，一定要注意以避开墙、柱子等。 计拓扑图 线 8 覆盖方案 覆盖区域： 无线网络设计实现全校范围无线网络接入环境，其中包括教学楼、学生和教师公寓、办公楼、餐厅、图书馆、体育馆、室外场所等。 覆盖方式： 在覆盖区域内，选择教学楼和办公楼为主，其他区域为辅的覆盖方式，实现全校整体无线覆盖，具体分为室内覆盖和室外覆盖两种方式。 室内覆盖 室内覆盖规划原则： 放置要遵循两个原则 盖区域无间隙； 叠区域最小。相邻 作在不同频道，实现全方位的覆盖。 根据经验值，当相邻 定相同频点时 , 要 求间隔 25 米以上；当相邻 要求 隔 16 米以上；当 定相隔频点时 , 要求间隔 12 米以上。 室外覆盖 室外设备的 外 天线的使用 天线的正常使用包括对天线增益和天线类型的选择。 对室外设备特殊要求 室外设备应该放置在密封盒内； 天线布置应该增加避雷器 防止 雷击； 不提供本地供电的场所，应尽量选用 程供电设备； 线网络地址和路由规划 由于 接在现有校园网的接入交换机，则 址由 现有校园网有线端提供，虽然从原理上来讲 控制隧道，但是从性能 /可管理性等角度出发，建议在满足下列条件的前提下可以将入现有网络交换机： 9 无线控制器的 间端到端环回延迟 (100 毫秒局域网交换环境均能实现 与一般有线网络设备混合在一个 ，避免有线设备的异常流量阻断 无线控制器之间的通讯 连接在同一交换机端口下的所有 议放置在一个受保护的 ，部署时 统一分配给这些 态 址 需要修改现有交换机的 数设置，现有交换机的路由设置 用户终端 址设计 按 规单播地址规划方式分配，前 64 比特作为 应不同学校和 64 比特对应终端，对应不同主机、终端或接口。 主机地址采用 式，采用 址方式映射传统 P 需要打开 能和以太网组播穿过支持功能 整个 道对包括 内的 传输是透明 的终端和 由引擎之间采用 在相应 使用 可以。 无线网络设备 址设计 当前无线部分无需设置 址 当前无线部分对 支持是穿透方式的 将来很快我们会支持在 网络上实现 机制 而在当前无线部分无需设置 址 20 的 由虚端口和对外 相关端口需要分配 址 无线客户端可以被看做是被透明连接到 6500 不同的 端 靠 6500 丰 富的双栈支持实现 高性能传输 因此 20 的 由虚端口和对外 相关端口需要分配 址和做相关 由设置 播地址规划还需根据组播应用需求进行进一步考虑 心交换机的选购 10 9512 主要参数 交换机类型 路由交换机 应用层级 三层 传输速率 1000000络标准 口介质 1010010001000板带宽 持 持 、 持、网管支持 11 换机的选购 5500要参数 传输速 率 10000000000口数量 28 背板带宽 192转发率 持 持 、 持、网管支持 网管功能 支持命令行接口 (进行配置 支持 v2/管 其他技术参数 支持 :以太网供电 12 服务器的选购 5(7145基本类别 产品类型 企业级 产品类 别 机架式 处理器 型 7550 率： 2000三级缓存： 18M 心：8 核 处理器描述 标配 2 个 7550 处理器 最大支持 4 个处理器 内存 内存类型 16大内存容量 1储 硬盘大小 4*146最大支持 8 个热插拔硬盘 网络 网络控制器 两个千兆以太网卡 软件系统 系统支持 008( 32 位和 64 位 )、 32 位和 64 位 13 无线路由器的选购 要性能 网络标准 高 传输速率 300率范围 道数 13 网络协议 A、 D、 P、 敏度 270M:0% 130M:0% 108M:0% 54M:0% 11M:% 6M:0% 1M:% 络接口 1 个 、 4 个 网络功能 安全 性能 提供 64/128/152 位 密 , 支持 全机制 网络管理 全中文 理界面 ,支持免费 件升级 14 光纤收发器的选购 5) 基本规格 设备类型 光纤收发器 接口类型 10/100/1000M,单纤单模 络 符合协议标准 输速率 10/100/1000大传输距离 20000 米 园无线网络的三种典型应用及解决方案 第一：户外公共区域的覆盖；第二：局部开放的室内大环境，如大型公共教室、大礼堂、阅览室等无线覆盖； 第三：房间多、用户分散的楼宇（教学楼、办公楼、宿舍区等）的无线覆盖。 A、室外区域无线覆盖方案 学校体育场、图书馆前后空地是学生课外学习较为集中的区域，也是学校最为需要实现无线覆盖的室外公共区域。根据需覆盖的室外区域的实际情况，设计建立多个无线覆盖点，采用重叠交叉无线漫游的覆盖方式，即可成功实现设计要求和目标。 具体的实施如下： 要实现无线漫游，就需要将多个无线路由器的信号覆盖范围相互重叠一小部分，不过要想漫游成功，还需要对各个无线路由器进行适当的设置。 首先需要登录进无线路由器的参数设置界面，在其中找到 置选项，然后将所有无线路由器的 称设置成相同，这样才能确保漫游用户在同一网络中漫游；接着还要修改每一个无线路由器的 址，让所有无线路由器的 址属于同一网段之中； 还需要修改信号互相覆盖的无线路由器的频道。考虑到相邻的两个无线路由器之间有信号重叠区域，为保证这部分区域所使用的信号频道不能互相覆盖，具体地说信号 互相覆盖的无线路由器必须使用不同的频道，否则很容易造成各个无线路由器之间的信号相互产生干扰，从而导致无 15 线网络的整体性能下降。目前一个无线路由器可以使用的频道总共有 11 个，其中只有 1、 6、 11这三个频道是完全不被覆盖的，因此你可以将相邻的无线路由器设置成使用这些频道，来确保无线漫游成功。 B、室内区域无线覆盖方案一 室内覆盖区域的大小和建筑结构的复杂程度往往差别很大，需要根据具体需求，设计多种室内覆盖解决方案。 一般来讲，针对局部开发的室内大环境，如图书阅览室、礼堂、体育馆、大教室等，网络用户数量较多而集 中，采用多个多个无线路由器整合交叉覆盖形成大面积覆盖区域，每个无线路由器都独立接到交换机上，以保证有更高的带宽。 C、室内区域无线覆盖方案二 针对办公楼、教学楼、宿舍等结构较为复杂的室内区域，可根据建筑结构具体情况，选用以下两种方案： 方案一：采用多个无线路由器整合交叉覆盖形成大面积覆盖区域，每个无线路由器都独立接到交换机上，以保证有更高的带宽。 16 方案二：采用室外覆盖方式，选用室外无线路由器，通过天线聚集无线信号，使无线覆盖范围更大、更远，穿透能力更强。设备与天线安置于楼宇顶部，以无线信号向下整体覆 盖楼宇。 D、机房无线覆盖方案 机房内容量和布置相对固定，一般不会有太大变动，可以采用传统的以太网。如有必要可以将无线局域网作为有线网络的扩展，以达到增加机房容量的效果。 三、安全防范 线局域网的安全认证 在无线客户端和无线无线路由器交换数据之前，它们之间必须先进行一次对话。在 准制定时， 其中加入了一项功能：当无线客户端和无线无线路 17 由器对话后，就立即开始认证工作，在通过认证之前，设备无法进行其他关键通信。这种认证方式有两种：开放认证和共享密钥认证。 放认 证 开放认证方法是 准中默认的认证方式，在明文状态下进行认证，认证过程如图所示：客户端向无线路由器发送认证请求，无线路由器确认认证，注册客户端；客户端发送连接请求给无线路由器，无线路由器确认请求，注册客户端。通常无线路由器的开放认证有三种策略：第一种策略为默认方式，允许任何客户端认证；第二种是只允许认证带有合法服务器标识 际为 客户端， 当于密码的作用 ;第三种是无线路由器只允许认证 址在无线路由器的访问控制列表中的客户端。 享密钥认证 共享密钥认证是 基于 享密钥的认证方法，前提是客户端和无线路由器中己经预先手动设置好了共享密钥，共享密钥认证与开放认证相似，只不过它使用 而其安全性要高于开放认证。 18 线局域网的加密技术 加密技术是网络安全的一项重要技术。 无线局域网提供了三种安全性保护协议 :要的方法有无线局域网 E 无线路由器策略、无线局域网鉴别与保密基础架构 W 无线路由器 I 以及 准中的 等。其中 W 无线路由器 I 是我国自主研发的、拥有自主知识产权的无线网络 安全标准而 要进行无线网络产品的互通性测试。然而，这些还联够，还需要一些增强方法和策略等。 择无线局域网安全策略的原则 确保无线局域网网安全可以说“三分靠技术，七分靠策略”，无线局