毕业设计（论文）-什邡移动WLAN规划设计.doc

北京邮电大学网络教育学院毕 业 设 计设计题目：什邡移动wlan规划设计 入 学 年 月_2011.3_ 姓 名_x x_ 学 号1000000000000000 专 业_通信工程_ 总站/学习中心四川远程校外学习中心 指 导 教 师_张_碧_玲_ 完成时间_2013.2.21_内容摘要无线局域网是相当便利的数据传输系统，它利用射频技术，取代旧式的双绞铜线所构成的局域网络，使得用户能够利用其简单的网络架构，实现信息的随身化，摆脱了有线局域网络的束缚，达到了网络延伸的目的。而随着wlan技术的日益普及、市场的不断发展，使用支持wlan的笔记本、手机、消费电子等各类终端的用户越来越多，为用户提供高速、便捷的互联网业务也变得尤为重要。在这个信息化的时代，无线局域网扮演着越来越重要的角色，它可以满足用户随时随地接入互联网。本毕业设计主要针对什邡移动公司有线局域网的不足而设计的，既简化了该单位有线局域网的组网结构，又方便了用户随时随地进行信息获取、娱乐、移动办公等，也方便了外来合作单位对网络的使用需求。关键词：需求 wlan 设计目 录一 局域网规划设计概述1（一） wlan基本概念1（二） wlan的发展及应用1（三） 组建wlan的目的2二 单位环境概况4三 单位需求分析5（一） 用户总体需求分析5（二） 安全性需求分析5（三） wlan实现的基本功能6四 什邡移动wlan的规划设计方案8（一） 网络拓扑结构的设计8（二） 网络设备的选型10（三） 网络工作协议的确定11（四） 信道规划设计12（五） wlan主要设计指标141 无线覆盖技术指标142 无线设备技术指标153 系统吞吐量154 系统支持并发用户数15（六） ap覆盖范围、数量、位置等的设计151 ap覆盖范围设计152 ap数量设计163 ap位置设计16（七） 子网及vlan的划分171 子网划分172 vlan划分18（八） ip地址规划19五 综合布线设计21（一） 综合布线结构21（二） 综合布线设计标准（国际标准）21六 网络安全与管理的设计23（一） 网络安全的设计23（二） 网络管理的设计24七 论文总结26参考文献27附 录2829- -什邡移动wlan规划设计一 局域网规划设计概述（一） wlan基本概念无线局域网，也被称为wlan(wireless lan) ，一般用于宽带家庭，大楼内部以及园区内部，典型距离覆盖几十米至几百米，目前采用的技术主要是802.11a/b/g系列。它是相对有线网络的局域网组建技术, 在网络的灵活性和可扩展性等方面显示出无可替代的优越性。无线局域网（wlan）是指应用无线通信技术将计算机设备互联起来，构成的一个可以互相通信和实现资源共享的网络体系。无线局域网作为传统布线网络的一种替代方案或延伸，把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。其本质的特点是不再使用通信电缆将计算机与网络连接起来，而是通过无线的方式，在空中传输数据、话音和视频等，从而使网络的构建和终端的移动更加灵活。无线局域网是由无线网卡、无线接入点（ap）、计算机和有关设备组成。（二） wlan的发展及应用无线局域网技术的兴起，是基于现有的有线网络广泛应用的而产生巨大技术进步。随着人们的日常生活和工作与因特网关系的日益密切，无论在家庭或是室外，还是差旅,无线网络都逐渐进入了人们的视野。而在这种高密度环境中访问因特网的人也越来越多，更多的人也希望在无拘无束的环境下体验上网的冲浪乐趣。影响无线技术的接受程度的主要因素如下： (a)速度ieee 802.b所提供的11mbit/s数据速率能够满足企业的性能标准，ieee802.11a能够提供54mbit/s数据速率。 (b)定位通过将wlan定位完善lan/wan网络解决方案的方法，将有利于简化技术采纳的决策，也将鼓励客户在自已的策略连网规划中包括无线技术。(c)价值通过以更低成本提供可接受的性能，将使得无线方案成为替换有线方案的有力选择。(d) 易于实施即时解决方案和易于实施都加快了市场接受的节奏。 (e)安全伴随着日益增加的攻击和安全破坏行为，客户和商业机构也更加关心网络防护的问题。 wlan技术已在多个行业得到广泛的应用：希望在企业内部获得传统有线网络之外的移动功能的it专业人士或高级商业管理人员。需要能够在整个站点内或选定的区域内灵活且频繁地改变lan布线的公司所有者。任何其他点因建筑物或预算的限制（例如建筑物是旧的，空间是租凭性的或地点是临时性的）而不适于使用lan布线的公司。任何需要视距内建筑物到建筑物桥接设备所能提供的灵活性和节省成本的公司，这些公司可以通过这些设备避免昂贵的挖沟布线、租用线路或走线问题。wlan的纵向市场包括是一些特定的行业和团体，其中产品和服务都采用类似的方法进行开发和市场推广。这些市场包括： 零售行业、仓储行业、能源和公用事业、银行和金融行业、电子和技术、现场服务、政府机构、售货行业、医疗行业、制造和工业、保险业、教育行业、运输行业、军事国防、接待和会务等。（三） 组建wlan的目的在无线数据业务日益发展的今天，无线局域网（wlan）作为一种灵活的数据通信系统出现。无线局域网( wlan)技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：(a)独一无二的特征无线局域网是利用电磁波发送和接受数据的非线缆介质型局部区域网络。无线局域网的数据传输速率现在已达到108mbps, 传输距离可达20km 以上。它是对有线组网方式的补充和扩展, 实现了网络内计算机的便携性和可移动性。 (b)便捷的安装通常有线网络的布线施工工程在网络建设中施工周期较长、对周边环境影响较大, 而无线局域网则避免或减少了网络布线的工作量, 一般只要安装一个或多个接入点( access point ) 设备, 就可以建立覆盖整个建筑或地区的局域网络。由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。 (c)灵活使用有线网络中设备的安放位置受网络信息点位置的限制, 而无线局域网在信号覆盖区域内任何一个位置都可以接入网络。由于没有线缆的限制，户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。(d)节约成本要求网络规划尽可能地考虑未来发展的需要, 缺少灵活性, 不可避免地导致预设大量利用率较低的信息点, 一旦网络的发展超出了设计要求,就需要花费较多费用进行网络改造, 而无线局域网技术可以避免或减少这种现象。这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的wlan会为用户节约大量的租用费用。同时，由于wlan技术本身就是面向数据通信领域的ip传输技术，因此可直接通过百兆白适应网口和企业、学校内部internet相连，从体系结构上节省了协议转换器等相关设备。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。 (e)扩展容易能够根据需要进行灵活、多样的配置, 能够胜任从只有几个用户的小型局域网扩展到上千用户的大型网络。 (f)可以实现安全内部网络可以不允许任何来自内网、外网的安全威胁。 wep的设定为手工配置到ap和无线网卡中，管理员同时要将密码通知所有的用户，实现密钥共享。如果要更换wep密码，则需要重复上面的过程。二 单位环境概况什邡移动公司位于方亭镇208号，办公大楼共9层楼，员工120人。该单位与电信共享一幢大楼，电信已完成wlan覆盖。移动办公大楼主要分布情况（请见附件一）：-1楼_驾驶班休息室，1楼_大型会议室，2楼_政企客户部主任办公室、政企客户部会议室、党政客户组办公室、企事业客户组办公室、演示区，3楼_物流组办公室、经理助理办公室、副经理办公室、小会议室，4楼_市场部主任办公室、城区主任办公室、乡镇主任办公室、城区办事处办公室、市场支撑办公室，5楼_综合部办公室、财务室、经理办公室，6楼_网络部主任办公室、网络部会议室、网络部，7楼_核心机房、稽核组办公室，8楼_健身房。除了办公大楼外，还有门卫室、餐厅、停车场（请见附录）。经调查，发现越来越多的员工配置了笔记本电脑、上网本、wifi手机、ipad等网络接入设备，他们渴望在办公室、会议室、健身房等场地随时随地的接入互联网或办公内网，及时的获得所需的各种信息。而什邡移动公司目前只有三个无线ap（无线接入点）且一个ap覆盖一层楼（旧ap位置、覆盖情况请见附录），以致大部分楼层或办公室不能有效的接入无线网络，远不能满足该单位员工使用需求。在上述背景下，本设计对无线局域网的相关通信协议进行分析与研究，并在此基础上实现具体的无线局域网应用方案。三 单位需求分析（一） 用户总体需求分析公司的网络系统要满足公司日常办公电子化，各部门信息共享等，因涉及到公司内部办公网oa，所以公司网络要有很高的可靠性和安全性。用户现实要求：(a)实现公司内部资源共享，即文件服务器，但对不同的资源要有相应的权限。(b)可接入oa，也可连接internet，但公司内部oa办公与internet相互独立。(c)打印机共享。（二） 安全性需求分析无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现，除了目前有线网络上流行的病毒之外，还可能会出现专门针对无线局域网移动设备，比如手机或者pda的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后，无线病毒的威胁可能会加剧。对于无线局域网的接入设备，可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后，如果把ip地址直接暴露给外部网，那么针对该ip的dog或者ddos会使得接入设备无法完成正常服务，造成网络瘫痪。当某个恶意用户接入网络后，通过持续的发送垃圾数据或者利用ip层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃，造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值，这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效，同时硬件设备中的所有数据可能会泄露。这样，无线局域网中主机的操作系统面临着病毒的挑战，接入设备面临着拒绝服务攻击的威胁，用户设备则要考虑丢失。无线局域网与有线局域网紧密地结合在一起，并且已经成为市场的主流产品。在无线局域网上，数据传输是通过无线电波在空中广播的，因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好像在任何地方都放置了以太网接口。因此，无线局域网的用户主要关心的是网络的安全性，主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网安全性和管理能力，否则人们还是对使用无线局域网存在顾虑。针对该公司的网络使用需求，为了保证无线oa办公的稳定性以及安全性，本次wlan设计主要使用虚拟vlan的方式将内部oa办公网和互联网分开，internet与公司内部网络间采用防护措施，防止外界对内部网络未经授权的访问，增加网络的安全性。（三） wlan实现的基本功能无线局域网设计可实现用移动办公、高速wifi、大型会议网络需求、临时会议网络需求、休闲场所网络需求、简化网络结构等。经本次wlan重新组建、覆盖后，可以满足用户以下网络使用需求：(a)会议室无线网络：在会议室召开讨论会议的时候，往往需要互相传输数据，或者是接入internet。您是否遇到过人手一条rj45网络线，大家抢着去连接墙上或桌上的网络线插孔的情况？无论在会议室布设多少的信息点，总感觉不够用，不方便。有了无线网络，在召开会议时，不仅使网络应用方便了，而且扩展了会议室同时接入网络的人数，可以保证每个人对网络应用的需求。(b)临时工作小组：在接待来宾、召开例会或者临时会议的时候，会议时间非常短暂，会议地点非常自由。当需要互相传输数据，或者是接入internet，利用内部无线局域网随时组网，实现简单，可以直接接入internet查阅资料或者接入公司oa办公，很大程度上提高了工作的效率。(c)随时随地获得资源：无论是本单位员工还是来指导工作的高层领导，无论是接待客户还是合署办公的工作人员，无论是室内还是户外，只要拿出pda或者笔记本，就能使用无线网络接入公司oa办公的网络，或者接入互联网下载、查阅相关资料以及其他一些需要接入internet获得的资源。即使是在公司内的健身房、餐厅和停车场，都能够让人撷取网络信息，在无线局域网络涵盖范围内，皆可随处上网。(d)使用方便，节省话费的 wifi 电话：现在使用手机上网的用户越来越多，公司员工也不例外。即使可以使用手机上网，手机的网速、高昂的流量费用也是困扰大家的一大问题。而使用基于无线网络系统的wifi手机，不仅大大增加了网速，而且节省了话费。四 什邡移动wlan的规划设计方案（一） 网络拓扑结构的设计计算机网络的组成元素可以分为两大类，即网络节点（又可分为端节点和转发节点）和通信链路，网络中节点的互联模式叫网络的拓扑结构。网络拓扑定义了网络中资源的连接方式，局域网中常用的拓扑结构有：总线型结构、环形结构、星型结构。由于什邡移动公司网络站点不是特别多，而且站点相对集中，因此我们采用星型的网络拓扑结构。星型网络拓扑结构是由通过点到点链路接到中央节点的各站点组成的。星型网络中有一个唯一的转发节点（中央节点），每一台计算机都通过单独的通信线路连接到中央节点。在星型拓扑中利用中央节点可方便地提供服务和重新配置网络，单个连接点故障只会影响故障点连接的一个设备，不会影响全网，容易检测隔离故障，便于维护；任何一个连接只涉及到中央节点和一个站点，控制介质访问的方法很简单，从而访问协议也十分简单。什邡移动公司的总体方案拓扑图，如图4-1所示。图 4-1 什邡移动公司总体方案拓扑针对实际情况我们采用三层结构模型，即核心层、汇聚层、接入层。每层有不同的功能。核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。核心交换区的作用是尽快地提供所有区域间的数据交换。汇聚层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。接入层主要提供最终用户接入网络的途径，主要进行vlan划分与汇聚层的连接等。什邡移动公司的核心层、汇聚层拓扑图，如图4-2所示；什邡移动公司的接入层网络拓扑图，如图4-3所示。图 4-2 什邡移动公司的核心层、汇聚层拓扑图图 4-3 什邡移动公司接入层网络拓扑图（二） 网络设备的选型无线ap：ap是accesspoint的简称，无线ap就是无线局域网的接入点、无线网关，它的作用类似于有线网络中的集线器。本方案选用京信的ap2400，采用poe交换机进行网线供电。ap2400室内放装型可以很好的融入运营商现有的小灵通天馈合路系统；相对传统增加额外功放器的合路方式，该解决方案具有更小的信号衰减以及更高的传输带宽，从而很好的保护了运营商投资，并降低了运维成本。ap2400室内放装型设备的硬件配置示意图如4-4、图4-5所示：图 4-4 ap2400室内放装型设备后面板图图 4-5 ap2400室内放装型设备前面板图交换机：本方案选用迈普24口poe供电交换机3026g，该交换机可通过网线对ap进行供电，且具备vlan划分功能。核心设备采用该单位原有网络资源。（三） 网络工作协议的确定无线局域网的协议至今已出现多个标准，由最初的802.11标准到现在的802.11v标准，已有24个标准规范。目前，无线网卡大部分均是支持ieee 802.11a、ieee 802.11b、ieee 802.11g、ieee 802.11n。802.11a/b/g/n协议的比较如表4-1所示：标准ieee 802.11bieee 802.11aieee 802.11gieee 802.11n时间1999年9月1999年9月2003年7月2009年9月工作频率范围2.42.4835ghz 5.155.35ghz；5.4755.725ghz；5.7255.85ghz2.42.4835ghz2.42.4835ghz； 5.155.85ghz非重叠信道数324315物理速率（mbps）115454600实际吞吐量mbps62424.7100以上频带宽度20 mhz20 mhz20 mhz20 mhz/40 mhz调制方式cck/dsssofdmcck/dsss/ofdmmimo-ofdm/dsss/cck兼容性802.11b802.11a802.11b/g802.11a/b/g/n表 4-1 802.11a/b/g/n协议的比较（四） 信道规划设计本设计主要采用2.4ghz中国信道划分。802.11b和802.11g的工作频段在2.4ghz（2.410ghz-2.483ghz），其可用带宽为83.5mhz，划分为13个信道，每个信道带宽为22mhz。其中，北美/fcc 2.412-2.461ghz(11信道)、欧洲/etsi 2.412-2.472ghz(13信道)、日本/arib 2.412-2.484ghz(14信道）。2.4ghz信道划分图示：图 4-6 2.4g信道划分示意图从图 4-6可看出信道1 在频谱上和信道2、3、4、5 都有交叠的地方，这就意味着：如果有两个无线同时工作，且它们工作的信道分别为1 和3，则它们发送出来的信号会互相干扰。为了最大程度的利用频段资源，可以使用1、6、11；2、7、12；3、8，13；4、9、14，这四组互相不干扰的信道来进行无线覆盖。由于只有部分国家开放了1214 信道频段，所以一般情况下，使用1、6、11 三个信道。蜂窝覆盖示意图：图 4-7 蜂窝覆盖示意图（1）图 4-8 蜂窝覆盖示意图（2）为避免同频、邻频干扰，该单位大楼采用蜂窝覆盖方式，ap信道规划如表4-2：表 4-2 ap信道规划（五） wlan主要设计指标1 无线覆盖技术指标网络区域无线网卡最低接收电平：不低于-80dbm；无线信号（扩频）信噪比（s/n）：大于20db；网络数据吞吐率：在802.11b模式下，上行或下行单向吞吐量应不低于5mbps（不加密）；在802.11g模式下，上行或下行单向吞吐量应不低于20mbps（不加密）；数据（速率为11mbps时）接受误帧率（fer）：105。2 无线设备技术指标* 网络标准：ieee802.11系列标准；* 传输速率：1/2/12/24/36/48/54mbps；* 介质访问协议：csma/ca（载波监听多点接入/避免冲撞）；* 调制：dbpsk1mbps、dqpsk2mbps、bpsk12mbps、qpsk24mbps、qam1636mbps、qam1648mbps和qam6454mbps。3 系统吞吐量系统吞吐量如表4-3所示：项 目吞 吐 量cmnet访问支持吞吐量2m（e1）以太网络接口交换速率197.38mbit/s(全双工)移动终端支持最高接入速率54mbps(802.11g)表 4-3 系统吞吐量4 系统支持并发用户数在本次wlan工程中：l 覆盖区域网络ap数量：21个；l 每个ap最佳并发接入用户数：25个；l 故本次覆盖工程支持覆盖用户数共：21*25=525个。（六） ap覆盖范围、数量、位置等的设计1 ap覆盖范围设计本方案边缘场强根据ap及pc机接收天线灵敏度确定，同时根据现场无线环境、干扰源情况、系统容量、数据流量、系统信噪比等因素，本系统边缘场强定为pe-80dbm。由于高频无线电波室内外传播受建筑物墙体、桌子、窗户、夹板、玻璃、金属柜等障碍物遮挡的影响，使信号造成散射、衰减和阴影效应；根据cost室内外传输模型,不考虑楼层损耗，只考虑本楼层墙体及障碍物损耗，则传播模损耗型可简化为：p=pt-pl pt表示天线口发射功率pl=32.24+20lgd+20lgf+lw式中pl表示空间损耗，用db来显示；d表示收、发天线间距离，以km为单位；f表示频率，用mhz为单位，lw为墙体损耗。以ap1-1f为例，其覆盖最远点约20米处场强p为：设pt为26.0dbm，天线增益g为2.1dbi，隔墙或天花衰减25db，则：p=26.0+2.1-32.24+20lg（20*10-3）+20lg2400+25=-36dbm即满足覆盖要求。2 ap数量设计为有效利用网络资源，本案根据该单位现场建筑情况，以及每层楼办公人员数量，设计ap数量如下：-1楼_驾驶班休息室1个ap；1楼_大型会议室3个ap；7楼_核心机房、稽核组办公室1个ap；餐厅1个ap；门卫室1个ap；停车场2个ap；2楼、3楼、4楼、5楼、6楼、8楼均是2个ap；共计：21个ap。3 ap位置设计选择ap设置点的原则：尽量减少信道干扰；加大信号覆盖范围；提高无线覆盖质量；满足重点区域的用户容量需求；便于设备维护。ap的定位需考虑以下几种情况：是否存在2.4gmhz以上高频干扰信号；系统容量；空间及其它介质（如墙体、桌子、窗户、夹板、玻璃等）损耗；边缘场强；建筑物天花、供电、走线路由（ap至ac的五类线最大长度必须小于100米）等情况对周围环境、装修等整体美观的影响；工作环境喧闹混乱程度；模拟测试数据。本案ap设计具体位置如表4-4：建筑楼层ap编号ap位置ap覆盖范围-1楼ap1驾驶班右边墙上驾驶班1楼ap2、ap3、ap4会议室左后、右后、正前方墙上会议室2楼ap5、ap6演示区楼道上方、政企会议室外楼道上方政企主任、演示区、党政客户组、企事业客户组办公室及政企会议室3楼ap7、ap8物流组室外楼道上方、经理助理室外楼道上方物流组、经理助理、副经理办公室及会议室4楼ap9、ap10市场支撑室外楼道上方、城区主任室外楼道上方市场部主任、城区主任、乡镇主任、市场支撑及城区办事处办公室5楼ap11、ap12综合部室外楼道上方、财务室外楼道上方综合部、财务室及经理办公室6楼ap13、ap14网络部主任室外上方、网络部会议室外上方网络部会议室、网络部主任办公室及网络部办公室7楼ap15稽核组左边墙上稽核组8楼ap16、ap17健身房左边墙上、健身房右边墙上健身房餐厅ap18餐厅正上方餐厅门卫室ap19门卫室正上方门卫室停车场ap20、ap21停车场左边墙上、停车场右边墙上停车场表 4-4 ap设计具体位置ap设计具体物理位置请见附录。（七） 子网及vlan的划分1 子网划分子网划分定义：internet组织机构定义了五种ip地址，把所有的ip地址划分为 a，b，c，d，e五大类。a类地址:范围从0-127，0是保留的并且表示所有ip地址，而127也是保留的地址，并且是用于测试环回用的。因此a类地址的范围其实是从1-126之间，以子网掩码来进行区别：255.0.0.0。b类地址：范围从128-191，如172.168.1.1，第一和第二段号码为网络号码，剩下的2段号码为本地计算机的号码。地址范围从128.0.0.0到191.255.255.255。可用的b类网络有16382个，每个网络能容纳6万多个主机，以子网掩码来进行区别：255.255.0.0。c类地址：范围从192-223，如192.168.1.1，第一，第二，第三段号码为网络号码，剩下的最后一段号码为本地计算机的号码。范围从192.0.0.0到223.255.255.255。c类网络可达209万余个，每个网络能容纳254个主机，以子网掩码来进行区别： 255.255.255.0。d类地址：范围从224-239，d类ip地址第一个字节以“1110”开始，它是一个专门保留的地址。它并不指向特定的网络，目前这一类地址被用在多点广播(multicast)中。多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。e类地址：范围从240-254，以“11110”开始，为将来使用保留。 全零(“0.0.0.0”)地址对应于当前主机。全“1”的ip地址(“255.255.255.255”)是当前子网的广播地址。在日常网络环境中，基本是都在使用b,c两大类地址，而ade这3类地址都不打可能被使用到。2 vlan划分vlan（virtual local area network）又称虚拟局域网，是指在交换局域网的基础上采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个vlan组成一个逻辑子网即一个逻辑广播域它可以覆盖多个网络设备允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲，vlan的划分可依据不同原则，一般有以下三种划分方法：a.基于端口的vlan划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 b.基于mac地址的vlan划分 mac地址其实就是指网卡的标识符，每一块网卡的mac地址都是惟一且固化在网卡上的。mac地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按mac地址把一些站点划分为一个逻辑子网。 c.基于路由的vlan划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个vlan跨越多个交换机，或一个端口位于多个vlan中。本方案中，vlan规划表如表4-5：vlan iddescriptionip range1所有ap同属于vlan1（默认vlan）192.168.1.0/242-1楼至7楼ap属于vlan2（办公oa）10.1.1.0/24表 4-5 vlan规划（八） ip地址规划ip地址的合理规划是网络设计中的重要一环，大型网络必须对ip地址进行统一规划并得到实施。ip地址规划的好坏，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。ip地址规划的基本原则：唯一性：一个ip网络中不能有两个主机采用相同的ip地址。即使使用了支持地址重叠的mpls/vpn技术，也尽量不要规划为相同的地址。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性：地址分配在没一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性：“望址生义”，好的ip地址规划使每个地址具有实际含义，看到一个ip地址就可以大致判断出该地址所属的设备。这是ip地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个ip地址公式，以及一些参数及系数，通过计算得出每一个需要用到的ip地址。本方案中ip地址规划如表4-6：ap编号vlan idip 地址备 注ap1-ap151dhcp自动分配192.168.1.0/242dhcp自动分配10.1.1.0/24ap16-ap211dhcp自动分配192.168.1.0/24表 4-6 ip地址规划表dhcp ip地址池范围如表4-7：开始地址结束地址子网掩码dhcp网关192.168.1.2192.168.1.254255.255.255.0192.168.1.110.1.1.210.1.1.254255.255.255.010.1.1.1表 4-7 dhcp ip地址池五 综合布线设计综合布线是一个模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道，是智能建筑的“信息高速公路”。它既能使语音、数据、图象设备和交换设备与其它信息管理系统彼此相连，也能使这些设备与外部通信网相连接。（一） 综合布线结构综合布线一般采用星型拓扑结构。该结构下的每个分支子系统都是相对独立的单元，对每个分支子系统的改动都不影响其它子系统，只要改变节点连接方式就可使综合布线在星型、总线形、环型、树型等结构之间进行转换。 综合布线采用模块化的结构。按每个模块的作用，可把它划分成6个部分。这6个部分可以概括成“一间、二区、三个子系统”，即：设备间、工作区、管理区、水平子系统、干线子系统、建筑群子系统。这六个部分中的每一个都相互独立，可以单独设计，单独施工。更改其中一个子系统时，均不会影响其它子系统。（二） 综合布线设计标准（国际标准） ansi/eia/tia-569商业大楼路径和空间结构标准 ansi/eia/tia-607商业大楼接地线和耦合线标准 ansi/tia/eia-568商业大楼通讯布线标准 ansi/tia/eia-606商业大楼通讯布线结构管理标准 tia/eia tsb-67utp端到端系统功能检测标准 iso11801国际商务建筑布线标准 ieee 802.3cdma/dc 10base5 10base2 10baset 100baset ieee 802.5 token ring cddi 铜线分布数据接口高速网络标准 atm异步传输模式 城市住宅区和办公楼电话通信设施设计标准 建筑与建筑群结构化布线系统设计规范gb50311-2000 建筑与建筑群结构化布线系统工程施工及验收规范gb50312-2000 工业企业通信设计规范 中国建筑电气设计规范 高层民用建筑设计防火规范 相关厂家产品设计、选型、施工、验收手册说明的标准根据综合布线标准，考虑到最长布线距离=100m，未超出5类线传输距离，且无室外布线。本方案采用5类网线进行布线，并进行pvc穿管，综合布线设计图（如图5-1）：图 5-1 综合布线图六 网络安全与管理的设计（一） 网络安全的设计与有线网络相比较，无线局域网的安全问题集中在以下方面：(1) 无线设备自身的各种防护措施；(2)主要是传输数据存在的威胁。由无线局域网的传输介质的特殊性，使得信息在传输过程中具有更多的不确定性，受到影响更大，主要表现在：a.窃听。由于无线局域网使用2.5g范围的无线电播进行网络通讯，任何人都可以用一台带无线网卡的pc机或者廉价的无线扫描器进行窃听，但是发送者和预期的接收者无法知道传输是否被窃听，且无法检测窃听。b.修改替换。在无线局域网中，较强节点可以屏蔽较弱节点，用自已的数据取代，甚至会代替其他节点作出反应。c.传递信任。当公司网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵。但在无线网络环境下，受攻击却不能通过一条确定的路径找到这个接口。因此，参与通信的双方都应该能相互认证。d.基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。这种情况下也会出现在无线lan中。但是针对这种攻击进行的保护几乎是不可能的，所能做的就是尽可能地降低破坏所造成的损失。e.拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。f.置信攻击。通常情况下，攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时，就可以让移动设备尝试登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。建立一个安全的无线局域网的最好途径是通过一个认证、授权和审计服务器（aaa: authentication,authorization,accounting）来实现。为了提高网络的安全性，需要对接入用户的合法性进行认证。只有合法用户才能通过无线网络接入，访问企业内部网和互联网。当用户在网络登录对话框或类似的东西上输入了用户名和密码以后，用户和radius服务器（或其他认证服务器）相互之间就会通过输入的用户名和密码进行认证，之后radius服务器和用户将获得一个在当前登录段上用户使用的专门的wep密钥。通过认证后才能上外网和企业内网。所有的像密码这样的敏感信息都是受保护的，以防止被动监测和其他方式的攻击。没有信息是在空中是透明传输的。而没有通过认证的用户将不具备访问网络的权限。（二） 网络管理的设计在wlan系统内外部网络之间，以及内部不同安全域之间需要通过防火墙实现的隔离及访问控制。针对胖、瘦ap两种架构，胖ap，每个ap都需要独立配置安全策略，瘦ap，由ac统一配置并下发安全策略。实现系统远程控制和维护：如控制关机、吐货、各种控制参数的远程设定，并实现数据维护、用户管理、终端身份验证、故障诊断信息等的管理。对wlan各个网元进行正确、有效的安全配置及安全检查是提高wlan安全防护水平的关键。安全配置主要包含以下各项：禁止ap向与其关联的所有终端广播arp报文； 在ac上设置dns白名单或实施acl控制，限定指定的dns为wlan用户使用；将无需访问公网的设备（如ap、交换机等）地址设置为私网地址，断绝用户地址与设备地址路由。在ac上配置acl限制用户地址段访问设备地址段，限制wlan的设备地址段访问互联网。在ac上启用dhcp snoop