基于中小型企业无线局域网的应用设计

陕西服装工程学院毕业论文 I 陕西服装工程学院陕西服装工程学院 ShanXi Fashion Engineering Institute 毕业论文毕业论文 课题名称课题名称 北京北阳电子有限公司网络搭建北京北阳电子有限公司网络搭建 专专 业业 系 陕西服装工程学院大专部系 陕西服装工程学院大专部 班级名称 班级名称 10 级计算机网络级计算机网络 学生姓名 刘锋学生姓名 刘锋 指导教师指导教师 郝建军郝建军 完成日期 完成日期 2012 年年 11 月月 陕西服装工程学院毕业论文 II 北京北阳电子有限公司网络搭建北京北阳电子有限公司网络搭建 摘摘 要要 随着 Internet 迅猛的更新换代 以及笔记本 PDA Personal Data Assistant 等移动智能 终端的使用的日益增长 给广大用户提供了诸多便利 随时随处自由接入 Internet 能享受 更多的业务 安全且有保障的网络 其也成为发展的必然 在接入速率和适应环境上与 3G 技术互为补充的 WLAN Wireless Local Area Network 无线局域网迅猛发展 成 为新一代无线接入网络 一个公司做局域网不但要组建有线局域网而且还要有无线局域网 一个公司根据部 门的职责不同而所需要的网络条件也不同 无线局域 WLAN 作为有线以太网的延伸 一 定程度上满足了网络迅猛发展的这种需求 其采用射频技术构成局域网络 是一种便函 利的数据传输系统 由于无线局域网设备一般工作于免授权频段 在频段的使用上无需 高昂的许可费用 加之 WLAN 技术的日趋成熟 使得 WLAN 的应用已经从单纯的有线 网络的延伸拓展开来 成为小区尤其是热点地区重要的高速无线数据接入手段之一 应 用潜力巨大 同时 WLAN 的先期部署将促进移动数据业务需求的增长的相关业条应用的 成熟 本次论文就是为了北阳电子公司的网络搭建而研究 探索探索了安全无线局域网在 无线企业网络中基本应用及有线网络防火墙的使用和 IP 地址的划分方法 关键词 WLAN AP 安全 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 III 目录目录 第第 1 1 章章 概概 述述 1 第第 2 2 章章 公司局域网的整体介绍公司局域网的整体介绍 4 2 12 1 无线局域网及无线局域网及基基本组成构架本组成构架 4 2 1 12 1 1 无线局域网 无线局域网 WirelessWireless LAN LAN WLANWLAN 4 2 1 22 1 2 无线局域网的基本组成构架无线局域网的基本组成构架 5 2 22 2 有线局域网及基本组成构架有线局域网及基本组成构架 2 2 12 2 1 无线路由器无线路由器 2 2 22 2 2 APAP 控制器控制器 2 2 32 2 3 无线无线 APAP 2 2 42 2 4 无线网卡无线网卡 第第 3 3 章章 有线局有线局域域网网络网网络 9 3 1 企业网络技术分类企业网络技术分类 6 3 2 企业网企业网中中的路由技术的路由技术 6 3 3 企业网中的交换企业网中的交换技技术术 7 3 4 企业网中的远程接入技术企业网中的远程接入技术 7 第第 4 4 章章 无线局域无线局域网网网络网络 12 4 14 1 无线网络的带宽与出口带宽无线网络的带宽与出口带宽 12 4 1 14 1 1 无线网络的带宽无线网络的带宽 12 4 1 24 1 2 出口带宽出口带宽 12 4 24 2 无线网络管理控制介绍无线网络管理控制介绍 13 4 34 3 无线网络的安全保障无线网络的安全保障 13 4 3 1 4 3 1 无线局域网安全问题无线局域网安全问题 13 4 3 24 3 2 无线局域网存在的几种安全问题无线局域网存在的几种安全问题 13 4 3 34 3 3 安全问题的解决方案安全问题的解决方案 13 第第 5 5 章章 无线无线局局域网设计方案域网设计方案 14 5 15 1 设计要求设计要求 14 5 25 2 设计理念设计理念 15 5 35 3 设计方案设计方案 15 5 45 4 无线局域网的设计原则要求无线局域网的设计原则要求 18 5 55 5 网络安全管理网络安全管理 18 5 5 1 5 5 1 集中的安全管理集中的安全管理 19 5 5 25 5 2 多种用户认证方式和用户状态防火墙多种用户认证方式和用户状态防火墙 19 5 5 35 5 3 安全的安全的 APAP 技术及其侦测和保护技术及其侦测和保护 19 5 5 45 5 4 无线接入的病毒防护无线接入的病毒防护 19 5 65 6 无线局域网的网络管理无线局域网的网络管理 20 5 6 15 6 1 统一管理统一管理 20 5 6 25 6 2 RFRF 智能控制管理智能控制管理 20 5 6 35 6 3 采用多个采用多个 SSIDSSID 结构结构 20 5 6 45 6 4 实现网络负载均衡调控实现网络负载均衡调控 20 第第 6 6 章章 企业局域网企业局域网的的测试与管理测试与管理 21 6 16 1 网络系统测试网络系统测试 21 陕西服装工程学院毕业论文 IV 6 1 1 使用使用 Ping 测测 试试 18 6 1 2 使用使用 WLAN VTP 命命 令令 18 6 1 3 使用使用 NAT 命命 令令 18 6 26 2 网络系网络系统统管管理理 18 6 2 1 使用管理主机管理网络使用管理主机管理网络 18 6 2 2 企业网的安全企业网的安全 19 6 36 3 企业局域企业局域网网安安全全 19 6 3 1 网络本身的安全设置网络本身的安全设置 19 6 3 2 网络操作系统安全网络操作系统安全 20 结束语结束语 23 致谢致谢 23 参考文献参考文献 24 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 1 第第 1 1 章章 概概 述述 在信息迅猛发展的今天 国内大部分中小型企业均实现了有线网络的建设 但随着网络 设施的完善 越来越多的便携式计算机终端走进了企业 越来越多的员工也开始拥有了带有 无线网卡的计算机终端 员工对无线网络的依赖性也变得相当之高 随时随地获取信息 已 成为广大企业员工们的新需求 但是 传统的有线企业网存在着诸多 网络盲点 比如大型 会议室 餐厅 体育馆等许多不宜网络布线的场馆设施如何联网 再者员工出差时需要安全 稳定的网络办公如何远程联网 在办公大楼等场合如何突破网络节点限制 实现多人同时上 网的问题 本公司计划在近期内建设企业网络信息系统 在企业内部实现资源高度共享 为生产 办公 管理提供服务 实现办公自动化 提供总部与分部 分部与分部间通讯的出入口 提 供电子函件 公告牌和办公信息查询等服务 提高工作效率和管理水平 及时 准确 可靠 地收集 处理 存储 传输企业的办公 管理信息 完成与因特网的通讯和资源共享 实现 企业资源和社会资源的有机结合 实现音频数字化资源共享 集中管理 建立企业网管理应 用系统 以顺应时代的发展趋势 充分利用现代化技术来进一步提高管理质量和办公效率 1 1总体的建设目标总体的建设目标 利用无线网络技术进一步扩展企业无线网的覆盖范围 使企业员工能够随时随地 方便 高效地使用企业网络 提升企业网络环境 提高管理水平和效率 推动企业信息化建设 要覆盖部分原来没有有线网的空间 诸如 会议厅等 由于本工程是在企业有线网的基础上加以无线扩充 即采用 AP 将无线网络不近接入到 有线网络 1 2 具体实施目标具体实施目标 侧重实际应用 覆盖企业内部分区域 为工作和生活提供切实可用的无线网络环境 采取通行的网络协议标准 目前无线局域网普遍采用 802 11 系列标准 因此企业无线局 域网将主要支持 802 11g 54M 带宽 标准以提供可供实际应用的相对稳定的网络通讯服务 同时兼顾多种类型应用和将来的投资保护 需要同时支持 801 11a 802 11b 实现双频三模 技术 全面的无线网络支撑系统 包括无线网管 无线安全 无线计费等 以避免无线设备及 软件之间的不兼容性或网络管理的混乱而导致的问题 陕西服装工程学院毕业论文 2 保证网络访问的安全性 采用非独立型的无线网络结构选型 覆盖范围要求覆盖范围要求 有线网络无法接入的室外场所 企业内一些场所很难实现网络有线接入 采用无线方式 可以实现覆盖大范围室外空间的无线网络接入 本次建设主要包括各休闲区及宿舍附近空地 等 有线网络使用不便或受限的室内空间 企业内一些室内场所空间较大 会产生许多人同 时接入网络的需求 采用有线的方式只能提供少量接口 不能满足要求 用无线网络覆盖来 解决相当数量的移动设备同时访问网络的问题 主要包括办公大楼 宿舍区等 安全 认证 计费和管理要求 要与现有的计费系统对接 实现针对用户计费 管理 控制功能 企业无线网网络结构要求 无线接入所需布设的 AP 通过企业网的汇聚层设备接入到企业网中 在汇聚层都提供相 应的接口给无线网线 在接入层设备要在方案中进行描述 工程布线和安装要求 室内部分 定好较为开阔位置 将网线和电源线走暗线敷设到位 挂在墙上 可利用设 备本身自带的安装附件进行安装 如果需要遮蔽 则需要定制非金属安装盒 如果是挂在天 花板上 则根据天花板的情况而定 若天花板是非金属结构 可以固定在天花板内 安装过 程中应充分考虑防盗问题 室外部分 根据设备位置有两种布线方式 如果 AP 设备放置在楼顶 则需要走网线和 电源线 如果 AP 设备放置在室内 天线放置在室外 则需要走天线馈线 这两种方式馈线 都需走铁管 贴防水胶方式处理 安装过程中应充分考虑防盗 供电部分 AP 的供电可采用 POE 方式由接入的网络设备进行供电 无需本地供电 产品能力要求 产品支持 AES WEP 加密等安全标准 漫游切换 支撑 QoS 能力 1 4 需求分析需求分析 1 4 1 北阳电子有限公司网络应用需求北阳电子有限公司网络应用需求 在信息化的时代 计算机和网络已成为人们的生活中的不可缺少部分 依靠计算机及网 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 3 络获取的信息已经占到各种媒体的大部分 同时 通过方便和移动的方式获取信息成为趋势 促使便携式和移动性计算机不断发展 未来的网络将使得人们能够在广阔的范围内里 方便 灵活地连入网络 为了满足这种要求 除了在城市和广域范围内使用高效的专线和租用线路 之外 还应该提供园区和家庭范围内的高速安全的无线传输方式 对于无线方式 需要达到的功能与要求有 1 高带宽 必须能够达到有线局域网络的带宽 从而保证家庭网络速度 2 可靠的保密性能 由于无线方式通过空中传播 必须有良好的保密措施使得数据传输 的安全可靠 防止可能的窃取 3 无线电管理机关的许可 由于采用无线方式 必须符合所有本地无线电管理机构的规 定 4 合理的造价 与租用线路和有线布线比较 无线方式应该有更加合理的价格和更高的 性能 1 4 2 北阳电子有限公司安全需求北阳电子有限公司安全需求 1 硬件平台安全性 当计算机的元器件突然发生故障 或计算机系统工作环境设备突然 发生故障时 计算机系统能继续工作或迅速恢复 2 网络通迅系统安全性 网络的安全性主要包括采取以下安全措施 认证措施 包括网 点认证和人员认证 数据保密措施如传输加密 存取控制措施如防止非法操作 3 操作系统安全性 操作系统安全性要达到 C2 级 即通过注册 安全事件审计 资源隔 离等方式使用户的行为具有个体可查性 实施存取限制 保护数据防止被别的用户读取或破 坏 4 数据库安全性 数据库要有以下安全机制 磁盘镜像 数据备份 恢复机制 事务日 志 内部一致性检查 锁机制以及审计机制等安全保障体制 确保数据库的安全 5 认同用户和鉴别 确认用户的真实身份 防止非法用户进入系统 6 采用杀毒软件 或在对网络服务器中的文件频率的扫描和监测 也可以在工作站上用 防病毒芯片和对网络目录及文件设置访问权限 7 采用了路由器带防火墙模块里面集成内容过滤 邮件过滤 为了防止非法信息 恶意 脚本及垃圾邮件 集成防范拒绝服务网关 提供攻击检测及攻击抵御 8 安全性内部网络之间 内部网络与外部公共网之间的互联 利用 VLAN ACL 等对访 问进行控制 确保网络的安全 陕西服装工程学院毕业论文 4 北京北阳电子有限公司简介北京北阳电子有限公司简介 1 1背景背景 公司新办公地点共二层楼 面积约为 1200 平方多米 副总经理室 1 台电脑 财务部 6 台电脑 人力资源 4 台电脑 审计监察 3 台电 脑 营运管理部 2 台电脑 后勤部 2 台电脑 企划设计部 12 台电脑 营销部 5 台 电脑 技术开发部 16 台电脑 产品测试部 8 台电脑 共 59 台 1 2公司未来发展 公司未来在公司未来发展 公司未来在 3 5 内内单位电脑会增加到 100 台左右 主要增加在电子商务公 司的客服中心 计划该部门增加到 50 台电脑 1 3用户需求分析用户需求分析 为了能让公司更好的与现代社会的发展接轨 更快的获取市场信息及为了让外界了解该 本公司的相关信息特组建企业网 以实现对 公司档案管理 产品信息 供求信息 等 进行计算机网络化管理 1 4网络功能 网络功能 根据公司现有规模 业务需要及发展范围建立的网络有如下功能 a 建立公司自己的网站以及电子商务平台非常健康网 可向外界发布信息 并进行网络 上的业务 b 要求市场部 客服中心可以连接 Internet 与各企业保持联络 接受订单及发布本公 司产品信息 其他部门也可连接 Internet 但要求公司内部服务器网络严格监控 c 公司内部网络实现资源共享 以提高工作效率 d 建立网络时应注意网络的扩展性 以方便日后的网络升级和增加计算机 e 在公司内部建立公司的 OA 系统 如员工档案 业务计划 会议日程等 f 建立公司内部重要数据服务器 及时的备份公司重要数据和客服中心相关资料信息 g 网络分为集团公司网络和电子商务公司网络 两个网络段实现某些数据的共享 第第 2 2 章章 公司网络项目设计概况公司网络项目设计概况 2 12 1 无线局域网及基本组成构架无线局域网及基本组成构架 2 1 12 1 1 无线局域网 无线局域网 WirelessWireless LAN LAN WLANWLAN 计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起 在网络软 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 5 件的支持下可以相互通讯和资源共享的网络系统 通常计算机组网的传输媒介主要依赖铜缆 或光缆 构成有线局域网 但有线网络在某些场合要受到布线的限制 布线 改线工程量大 线路容易损坏 网中的各节点不可移动 特别是当要把相离较远的节点联结起来时 敷设专用 通讯线路布线施工难度之大 费用 耗时之多 实是令人生畏 这些问题都对正在迅速扩大的 联网需求形成了严重的瓶颈阻塞 限制了用户联网 WLAN 就是解决有线网络以上问题而出现的 WLAN 利用电磁波在空气中发送和接受数据 而无需线缆介质 WLAN 的数据传输速率现在已经能够达到 11Mbps 传输距离可远至 20km 以上 无线联网方式是对有线联网方式的一种补充和扩展 使网上的计算机具有可移动性 能快速 方便的解决以有线方式不易实现的网络联通问题 无线局域网 WLAN 与有线局域网通过铜线或光纤等导体传输不同的是 无线局域网使 用电磁频谱来传递信息 它是计算机网络与无线通信技术相结合的产物 无线网络用于一些 布线困难 上网设备经常移动的环境 及搭建临时性的网络 无线网络因其自身的优越特性 被作为有线网络的补充技术被广泛的应用 2 1 22 1 2 无线局域网的基本组成构架无线局域网的基本组成构架 1 无线局域网的组成 无线网络的硬件设备主要包括 4 种 即无线网卡 无线接入节点 下称无线 AP 无线 路由器 当然 并不是所有的无线网络都需要这 4 种设备 事实上 只需几块无线网卡 就 可以组建一个小型的对等式无线网络 当需要扩大网络规模时 或者需要将无线网络与传统 的局域网连接在一起时 才需要使用无线 AP 只有实现 Internet 接入时 才需要无线路由 器 而无线天线主要用于放大信号 以接收更远距离的无线信号 从而扩大无线网络的覆盖 范围 医院的无线局域网 通常选择无线接入点 当网络中增加一个无线 AP 之后 即可成倍 地扩展网络覆盖直径 另外 也可使网络中容纳更多的网络设备 通常情况下 一个无线 AP 最多可以支持多达 80 台无线网络设备同时接入 推荐数量为 30 台 无线局域网由无线网卡 无线接入点 AP 计算机和有关设备组成 常见的组成方式 有 3 种 点对点型 点对多点型 和混合型 点对点型常用于固定的要联网的两个位置之间 是无线联网的常用方式 使用这种联网 方式建成的网络 优点是传输距离远 传输速率高 受外界环境影响较小 点对多点型常用 于有一个中心点 多个远端点的情况下 其最大优点是组建网络成本低 维护简单 其次 由于中心使用了全向天线 设备调试相对容易 该种网络的缺点也是因为使用了全向天线 陕西服装工程学院毕业论文 6 波束的全向扩散使得功率大大衰减 网络传输速率低 对于较远距离的远端点 网络的可靠 性不能得到保证 混合型用于所建网络中有远距离的点 近距离的点 还有建筑物或山脉阻挡的点 在组 建这种网络时 综合使用上述几种类型的网络方式 对于远距离的点使用点对点方式 近距 离的多个点采用点对多点方式 有阻挡的点采用中继方式 2 无线局域网的拓扑结构 WLAN 有 2 种主要的拓扑结构 即自组织网络 对等网络 即人们常称的 AdHoc 网络 和 基础结构网络 infrastructure network 自组织型 WLAN 是一种对等模型的网络 它的建立是为了满足暂时需求的服务 自组织网 络由一组有无线接口卡的无线终端 特别是移动电脑组成 这些无线终端以相同的工作组名 扩展服务集标识号 ESSID 和密码以对等的方式相互直连 在 WLAN 的覆盖范围之内 进行 点对点或点对多点之间的通信 基础结构型 WLAN 利用了高速的有线或无线骨干传输网络 在这种拓扑结构中 移动节点 在基站 BS 的协调下接入到无线信道 2 22 2 有线局域网及基本组成构架有线局域网及基本组成构架 2 2 1 IP 地址规划地址规划 本网采用先地区后业务划分方法进行 IP 地址分配 192 168 地址位地址位 5 位位 业务功能位业务功能位 3 位位 子网位子网位 主机位主机位 地区代码表 1 1 表 地址位代码地区IP 地址段备注 0骨干192 168 0 0 21 1骨干 预留 192 168 8 0 21 汇总 192 168 0 0 20 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 7 2总部192 168 16 0 21 3总部 预留 192 168 24 0 21 汇总 192 168 16 0 20 4分部 1 公司192 168 32 0 21 5分部 2 公司192 168 40 0 21 表 1 1 业务功能代码表 1 2 表 业务功能位代码业务备注 0三层设备 Loopback 地址 1 2链路地址 3二层交换机网管 4生产业务 5办公业务 6 7 保留 表 1 2 IP 地址分配表 1 3 表 设备接口IP对端设备 对端接口对端 IP Loopback0192 168 0 1 32 F0 1192 168 1 1 30CS R 1F2 0192 168 1 2 30 vlan 300192 168 19 1 24 总部网管 vlan vlan 20192 168 20 1 24PC1 生产 CS CORE 1 vlan 21192 168 21 1 24PC2 办公 Loopback0192 168 0 2 32 CS R 1 F1 0172 1 1 2 28Internet172 1 1 1 28 CS AES 1vlan 300192 168 19 2 24网管地址 Loopback0192 168 32 1 32 F1 0172 1 2 2 28Internet172 1 2 1 28 Tunnel0192 168 33 2 30CS R 1Tunnel0192 168 33 1 30 F2 0 300192 168 35 1 24分部网管 vlan CZ R 1 F2 0 36192 168 36 1 24PC3 生产 陕西服装工程学院毕业论文 8 F2 0 37192 168 37 1 24PC4 办公 CZ AES 1vlan 300192 168 35 2 24网管地址 CZ AES 2vlan 300192 168 35 3 24网管地址 JS R 1Loopback0192 168 40 1 32 F1 0172 1 3 2 28Internet172 1 3 1 28 Tunnel0192 168 41 2 30CS R 1Tunnel1192 168 41 1 30 F2 0 300192 168 43 1 24分部网管 vlan F2 0 44192 168 44 1 24PC5 生产 F2 0 45192 168 45 1 24PC6 办公 JS AES 1vlan 300192 168 43 2 24网管地址 JS AES 2vlan 300192 168 43 3 24网管地址 表 1 3 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 9 2 2 22 2 2 公司拓扑图公司拓扑图 如图 如图 1 11 1 陕西服装工程学院毕业论文 10 第三章第三章 有线局域网介绍 有线局域网介绍 3 1 企业网络技术分类企业网络技术分类 企业网是园区网络的一种 应用于企业网中的技术其实就是当今园区网络中的一些实用 技术 我们将园区网络技术从总体上划分为路由技术 交换技术和远程接入技术 1 路由技术路由技术 路由技术主要是指路由选择算法 因特网的路由选择协议的特点及分类 其中 路由选择算法可以分为静态路由选择算法和动态路由选择算法 因特网的路由选择协 议的特点是 属于自适应的选择协议 即动态的 是分布式路由选择协议 采用分层次的路 由选择协议 即分自治系统内部和自治系统外部路由选择协议 因特网的路由选择协议划分 为两大类 内部网关协议 IGP 具体的协议有 RIP 和 OSPF 等 和外部网关协议 EGP 目 前使用最多的是 BGP 2 交换技术交换技术 是指二层交换技术 三层转发技术 传统的交换技术是在 OSI 网络标准模型中的第二层 数据链路层进行操作的 而三层交换技术是在网络模型中的第三层实现了数据包的 高速转发 应用第三层交换技术即可实现网络路由的功能 又可以根据不同的网络状况 做到最优的网络性能 3 远程接入技术远程接入技术 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 11 在网络中部署服务器集群 在远程接入技术服务器上安装并发布用友通客户端 所有用户 运行远程接入技术服务器上的用友通客户端 并通过内部高速网络连接用友通服务器 完 成财务 供应链 生产制造 分销 零售 客户关系 服务管理等功能模块的使用 如果需要允许用户跨 Internet 访问 建议把远程接入技术服务器机群部署在DMZ 网络中 把用友通服务器端部署在内部网络中 在内部防火墙上设置允许用友通客户端和 服务器端通信的进行 3 2 企业网中的路由技术企业网中的路由技术 在园区网中由于受到自身网络的限制 应而不需要使用过多的路由技术 而路由技术主 要应用在核心层或者是出口去往其它网络 连接出自己园区的网络 在经过接入路由器时根据 IP 包的目的地址 在路由器的路由表中查询 是否有前往目的 地的路由 如果有则根据路由条目来转发 IP 包 静态路由技术静态路由技术 静态路由是指由网络管理员手工配置的路由信息 北京北阳电子有限公司公司使用静态路由技术 以实现公司总部和分部的互联互通 3 3 企业网中的交换技术企业网中的交换技术 在企业网使用的最多也是最广泛的技术就是交换技术 交换技术的成熟带动着这个网络 的发展 而企业网是基于这个交换架构的网络 因此在交换式的网络中有众多技术 VLAN TRUNK 三层交换 STP DHCP 等 下面将分别介绍这些技术的应用 1 VLAN 技术技术 VLAN 是一组以太网网段 逻辑广播域 这些网段的物理连接不同 但能够像位于同一个网段中那样通信 Vlan 的划分方法可分为以下几种 基于端口 MAC 地址 网络层协议划分的 vlan 根 据 IP 组播 子网 用户认证授权划分 vlan 几种 本方案中主要使用的划分方法为 基于端口创建 vlan 2 TRUNK 技术技术 一条物理链路上可以同时承载多个 vlan 的数据 3 三层交换三层交换 三层交换技术从广义上理解为集成了三层路由功能和二层交换功能的交换机 陕西服装工程学院毕业论文 12 三层交换 也称多层交换技术 或 IP 交换技术 是相对于传统交换概念而提出的 众所周知 传统的交换技术是在 OSI 网络标准模型中的第二层 数据链路层进行操作的 而三层交换 技术是在网络模型中的第三层实现了数据包的高速转发 简单地说 三层交换技术就是 二 层交换技术 三层转发技术 第三层交换提供以下优点 提高了网络速率 可持续发展 有更加广泛的拓扑结构 工作组 和服务器更加安全 性能更优异 4 STP 技术技术 STP 生成树协议 是一个二层链路管理协议 它的主要功能是在保证网络中没有回路 的基础上 允许在第二层链路中提供冗余路径 以保证网络可靠稳定的运行 STP 可以解决冗余拓扑带来的广播风暴 同一个帧多个副本 MAC 地址表的不稳定性 等问题 5 DHCP DHCP 是动态主机分配协议的简称 是一个简化主机 IP 地址分配管理的 TCP IP 标准协议 用户可以利用 DHCP 服务器动态分配 IP 地址以及进行其他相关的环境配置工作 DHCP 的主要优点为 提高效率 便于管理 节约 IP 地址资源 3 4 企业网中的远程接入技术企业网中的远程接入技术 1 访问控制列表 访问控制列表 ACL ACL 技术在路由器中被广泛采用 它是一种基于包过滤的流控制技术 标准访问控制 列表通过把源地址 目的地址及端口号作为数据包检查的基本元素 并可以规定符合 条件的数据包是否允许通过 ACL 通常应用在企业的出口控制上 可以通过实施 ACL 可以有效的部署企业网络出网策略 随着局域网内部网络资源的增加 一些企 业已经开始使用 ACL 来控制对局域网内部资源的访问能力 进而来保障这些资源的 安全性 本设计方案使用访问控制列表来实现以下需求 总部办公业务可以访问全网办公业务 不能访问分部生产业务 分部办公业务可以访问全网办公业务 不能访问总部或其他分部的生产业务 访问控制列表的另外一个重要作用是区分数据流 工程师可以使用访问控制列表来匹配 感兴趣的数据流量 然后再由其他的网络协议或工具来对所匹配的数据流执行相应的动作 本设计方案中后面提到的网络地址转换技术的实现便需要利用到访问控制列表的此项功能 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 13 2 网络地址转换 网络地址转换 NAT NAT 是网络地址转换的简写 其功能是指在一个网络内部根据需要可以随便使用合法的保 留 IP 地址 而不需要经过申请 可以简单的概括为 对于向外发出的数据包 NAT 将源 IP 地址和源 TCP UDP 端口号转换 成一个公共的 IP 地址和端口号 对于流入内部网络的数据包 NAT 将目的地址和 TCP UDP 端口号转换为专有的 IP 地址和最初的 TCP UDP 端口号 3 通用路由器封装 通用路由器封装 GRE GRE Generic Routing Encapsulation 通用路由封装 协议是对某些网络层协议 如 IP 和 IPX 的数据报文进行封装 使这些被封装的数据报文能够在另一个网络层协议 如 IP 中传输 GRE 采用了 Tunnel 隧道 技术 是 VPN Virtual Private Network 的第三层隧 道协议 IP 隧道技术中使用的一种封装格式 把企业内部网的各种信息分组封装在内 可通 过 IP 协议透明地穿过因特网 实现端点之间互连 第第 4 4 章章 无线局域网网络无线局域网网络 4 14 1 无线网络的带宽与出口带宽无线网络的带宽与出口带宽 4 1 14 1 1 无线网络的带宽无线网络的带宽 带宽是一个非常重要的指标 在通讯和网络领域 带宽的含义指的是网络信号可使用的 最高频率与最低频率之差 或者说是 频带的宽度 也就是所谓的 Bandwidth 信道 带宽 这也是最严谨的技术定义 网络带宽与数据传输能力的正比关系最早是由贝尔实验室的工程师 Claude Shannon 所发 现 普遍也将网络的数据传输能力与 网络带宽 完全等同起来 所以现在普遍说的 带宽 是网速 网络的信道带宽与它的数据传输能力 单位 Byte s 存在一个稳定的基本关系 我们也 可以用高速公路来作比喻 在高速路上 它所能承受的最大交通流量就相当于网络的数据运 输能力 而这条高速路允许形成的宽度就相当于网络的带宽 无线网络的带宽是指接收端和 发射端的带宽 4 1 24 1 2 出口带宽出口带宽 出口带宽是宽带负载能力 出口带宽是指一定数量的用户汇聚在某个节点之上 这个节 陕西服装工程学院毕业论文 14 点与上层路由或者交换设备连接的带宽 4 24 2 无线网络管理控制介绍无线网络管理控制介绍 大概范围 配置管理 故障管理 性能管理 安全管理 设备布局和信号管理 设备安装和配置 流量监控和分析 故障检修 构造正确的无线 网络 渗入测试 漏洞评估 使用额外的身份验证 使用无线网络管理工具 4 34 3 无线网络的安全保障无线网络的安全保障 4 3 1 4 3 1 无线局域网安全问题无线局域网安全问题 由于无线网络的自身特性 决定了其除了具有有线网络的不安全因素外 还容易遭受窃 听和干扰 冒充 欺骗等形式的攻击 安全性已经成为一个迫切需要解决的问题 4 3 24 3 2 无线局域网存在的几种安全问题无线局域网存在的几种安全问题 几种常见的无线局域网安全问题 1 容易侵入 2 非法的 AP 3 经授权使用服务 4 服务和性能的限制 5 地址欺骗和会话拦截 6 流量分析与流量侦听 4 3 34 3 3 安全问题的解决方案安全问题的解决方案 采取隔离无线网络和核心网络 加强网络访问控制 定期进行的站点审查 网络检测 同重要网络隔离 采用可靠的协议进行加密 通过强大的网络访问控制可以减少无线网络配置的风险 如果将 AP 安置在像防火墙这样 的网络安全设备的外面 最好考虑通过 VPN 技术连接到主干网络 更好的办法是使用基于 IEEE802 1x 的新的无线网络产品 IEEE802 1x 定义了用户级认证的新的帧的类型 借助于企 业网已经存在的用户数据库 将前端基于 IEEE802 1X 无线网络的认证转换到后端基于有线网 络的 RASIUS 认证 像其他许多网络一样 无线网络在安全管理方面也有相应的要求 在入侵 者使用网络之前通过接收天线找到未被授权的网络 通过物理站点的监测应当尽可能地频繁 进行 频繁的监测可增加发现非法配置站点的存在几率 但是这样会花费很多的时间并且移 动性很差 一种折衷的办法是选择小型的手持式检测设备 管理员可以通过手持扫描设备随 时到网络的任何位置进行检测 加强安全认证最好的防御方法就是阻止未被认证的用户进入 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 15 网络 由于访问特权是基于用户身份的 所以通过加密办法对认证过程进行加密是进行认证 的前提 通过 VPN 技术能够有效地保护通过电波传输的网络流量 定位性能故障应当从监测 和发现问题入手 很多 AP 可以通过 SNMP 报告统计信息 但是信息十分有限 不能反映用户 的实际问题 而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况 测试 仪可以有效识别网络速率 帧的类型 帮助进行故障定位 如果用户的无线网络用于传输比 较敏感的数据 那么仅用 WEP 加密方式是远远不够的 需要进一步采用像 SSH SSL IPSec 等加密技术来加强数据的安全性 由于无线网络非常容易受到攻击 因此被认为是一种不可 靠的网络 很多公司把无线网络布置在诸如休息室 培训教室等公共区域 作为提供给客人 的接入方式 应将网络布置在核心网络防护外壳的外面 如防火墙的外面 接入访问核心网 络采用 VPN 方式 第第 5 5 章章 无线局域网设计方案无线局域网设计方案 5 15 1 设计要求设计要求 该企业网络是具有高密度用户群的网络 为了保障全网的高速转发 企业网全网的组网 设计的无瓶颈性 要求方案设计的阶段就要充分考虑到 另外无线局域网在网络安全上 网 络管理上 传输速率上与有线局域网相当 1 企业在组建无线网络时 不要全部放弃有线网络 而是仍然以有线网络为主 无线 局域网为辅助 充分利用有线网络与无线网络的优点 达到扬长避短的目的 2 该企业网络是一个庞大而且复杂的网络 为了保障网络的正常使用以及设备的良好维 护需要一个功能强大 具有分级 分权管理能力的网管系统 实现统一的网络业务调度和管 理 降低网络运营成本 无线局域网传输的稳定性 网络传输的速度 网络安全性达到较高 的要求 3 在对既有无线网络又有有线网络的企业 为了安全与管理方便 采取多网段 IP 地址管理 策略 4 采用 WAP2 加密 通过加密 可以最大限度的保护数据在传输过程中的安全性 5 企业网络要建设成完整统一 组网灵活 易扩充的弹性网络平台 要具有可扩展性和 可升级性 随着业务的增长和应用水平的提高 网络中的数据和信息流将按指数增长 需要 陕西服装工程学院毕业论文 16 网络有很好的可扩展性 并能随着技术的发展不断升级 5 25 2 设计理念设计理念 传统的无线网络解决方案的每一个 AP 都是一个独立的工作体 AP 之间各自为战 互不 相干 无线适配器则安装在用户的不同的终端里面 对于大型局域网会造成资源浪费和管理 缺陷 且存在着设备单一 缺乏集中管理手段等的前天不足 因而随着无线网络应用的不断 发展和深入 已经暴露出越来越多的不足 缺乏智能的 RF 管理策略 AP 集中统一管理 支持漫游 采用有效的接入和安全控制策 略 5 35 3 设计方案设计方案 采用接入无线交换机和 Fit AP 的方式进行局域网设计 包括有 无线网络控制器 瘦无 线接入点 Fit AP 管理服务器 所有这些设备联合在一起 在有线局域网络的基础上以 瘦 AP 为边界 无线控制器为核心的无线网络 该网络具有支持统一管理 且能够使移动和 安全融为一体等先进特性 此方案优点 灵活的组网方式和优秀的扩展性 智能的 RF 管理功 能 自动部署和故障恢复 集中的网络管理 强大的漫游功能支持 完善负载均衡 无线终 端定位 快速定位故障点和入侵检测 具有强大的接入和安全策略控制 根据要求设计无线局域网 图 1 由网络接入无线交换机 此处接入 AP 控制器 再接 核心交换机 再分由三个区域交换机 每个分布层交换机接入相应数量的接入交换机 图 2 最后接入多个单纯的无线 AP 瘦 AP 进行实地覆盖 实现的无线局域网要在同一时间能 满足 600 台终端机移动连接 以考虑 600 台电脑都可以移动则采用多个 AP 频率规划实现对区 域的全覆盖以及高带宽提供 用户可热点内在不同 AP 间实现无缝切换 考虑到频段干扰问题 相邻 AP 不能选用同样的 Channel 并且 Channel 号最差要相差 5 也就是构成小区的任意三个 相邻的 AP 的 Channel 设置为 1 6 11 选用支持 802 11n 的无线 AP 进行区域覆盖 带宽 达到 300M 此区域可满足几十台移动电脑接入网络 用几个这样的无线路由器就可以满足要求 对于企业中远程之间采用 WLAN 网桥功能实现无线网络连接 实现网络统一 WLAN 需要考虑 很多因素 需要连接的建筑物必须要能保持明确的视线 因此 像高大的树木和建筑物等障 碍物都会直接影响无线电波的传输 对于远距离区域用中继器进行链接传送 一个 AP 的覆盖范围内 无线连接的带宽是共享 即无线终端数目越多 每个终端所能分 享的带宽就越小 要确保每个无线终端的传输就必须能限制一个 AP 上无线终端的数量或 AP 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 17 带宽传输总和或和每个无线终端带宽上限 每个 AP 覆盖能提供 20 台终端机接入 设置分配每台终端机的带宽为 4M 并加以控制管 理 那每个 AP 的出口带宽为 80 兆 由于接入交换机的设备共享带宽 那本方案的设计所需 出口带宽为 80M 以上 600 台终端机入网要求 用到两台无线交换机 两台核心交换机 分由三台分布层交换 机 再用到九台 POE 接入交换机 无线 AP 用到 30 个左右 若需拓展网络则可以添加 AP 本设计所需的硬件设备如下表格 1 1 列出 设备名称及规格设备名称及规格设备数量设备数量 MX 200R 智能无线交换机 2 H3C U200 CA 核心交换机 2 Catalyst 3550 分布层交换机 3 LREtrans 4200 POE 交换机 9 无线 AP TP LINK TL WA801N 30 1 1 陕西服装工程学院毕业论文 18 1 网络总干图 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 19 2 无线网络拓扑图 5 45 4 无线局域网的设计原则要求无线局域网的设计原则要求 无线局域网采用的技术支持国际标准 使用 802 11n 协议 采用无线交换机加瘦 AP 完成 无线局域网的覆盖项目 完成对 AP 的集中管理 在网络安全方面 无线局域网系统要具有与有线局域网同样要求的安全防护措施 考虑 以下问题 1 接入认证 具有支持多种用户认证方式 2 采用具有用户状态访问控制的防火墙技术 3 具有数据在无线信道上传输的 VPN 机制 4 具有无线网的防病毒机制 5 具有无线电波控制能力 能提供无线入侵侦测和无线终端位置的追踪功能 通过一个 集中的无线局域网网管平台实现对所有的 AP 功能的配置和管理 采用 WLLAN 交换技术 充分利用现有网络结构与资源 不单独 AP 就近接入有线网络 最 近的交换机 并且不改变原有网络结构以及交换机配置 采用集中控管的组网方式 集中控 制管理所有的 AP AP 的供电可以不单独拉线 采用 POE 供电的方式 采用先进的 WLAN 网管 系统管理局域网 该无线局域网系统要能方便和灵活地调整与扩充 陕西服装工程学院毕业论文 20 5 55 5 网络安全管理网络安全管理 5 5 1 5 5 1 集中的安全管理集中的安全管理 将防火墙 VPN 安全认证 防病毒 无线入侵监测以及 RF 电磁波管理等多项安全功能 汇聚到无线交换机上来完成的 解决了传统的无线网对安全的分散管理 AP AC 和能力 给用户带来的不安全感 摆脱了对有线网安全的依赖性 5 5 25 5 2 多种用户认证方式和用户状态防火墙多种用户认证方式和用户状态防火墙 一个无线用户进入无线网以后 会拿到一个最基本的入网权限 这个权限不容许用户访 问任何网段 只让用户通过 DHCP 获取 IP 地址 传送 DNS 协议数据包 通过认证以后才可以 接入无线网 采用支持各种用户认证的方式 802 1 WEB 认证 MAC SSID VPN 等 园区网内的用 户可以根据需要方便选择 用户状态防火墙功能则是与用户认证捆绑在一起 当无线用户成功通过认证后 他会获 得一个预设的用户状态防火墙 不同的无线用户有不同的防火墙策略 5 5 35 5 3 安全的安全的 APAP 技术及其侦测和保护技术及其侦测和保护 无线接入的认证和加密在无线交换机上实现 而瘦 AP 是不储存任何网络配置 IP 地址 除外 和安全设置 因此管理的 AP 是不能单独工作的 因此获得和接入进 AP 黑客也不会 拿到无线网的网络和安全配置参数 采用的 RF 侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有 AP 接入情况 如相邻房间的 AP 设置错误的 AP 以及未经认可而连接到网络中的 AP 通过网络安全管理系 统 网络安全管理人员可以及时发现是否有非法的 AP 接入 发现后可以开启自动保护机制 阻止无线终端通过非法 AP 联接到无线网中 5 5 45 5 4 无线接入的病毒防护无线接入的病毒防护 无线终端的病毒防护分为两个层面 一 无线终端的准入检查 二 对无线终端发出数 据进行有效的检查和监控 无线终端病毒防护的第一步是准入检查 当无线终端试图访问网络 在用户认证之前 需要下载一个基于 JAVA 的程序 可以对无线终端的操作系统打补丁的情况 安装防病毒软件 的情况 以及防病毒定义码升级的情况 做一个检查 如果不能通过检查 可以设定策略禁 止其访问网络 也可设置成将无线用户重定向到一台升级服务器 打系统补丁 安装防病毒 软件和升级病毒定义码 满足系统制定的安全策略以后 该无线终端才可以进入认证环节进 作者 刘锋 陕服 2010 级计算机网络专业学生 指导老师 郝建军 21 行用户的认证 当无线终端通过了准入检查 但是如何对无线终端发出数据进行有效的检查 和监控是更加进一步的病毒防护手段 5 65 6 无线局域网的网络管理无线局域网的网络管理 5 6 15 6 1 统一管理统一管理 传统的无线局域网是单纯基于 AP 因此对于无线网络的管理 其大量工作是要在每个 AP 上进行设置和更改 通过无线交换机管理模式管理整个网络 网管人员只需在无线交换机就可开通 管理 维护所有 AP 设备以及移动终端 包括无线电波频谱 无线安全 接入认证 移动漫游以及接 入用户 5 6 25 6 2 RFRF 智能控制管理智能控制管理 采用 RF 智能系统控制管理可以自动调节网上所有 AP 的电波特性 自动对网上所有 AP 的无线电波管理 无线交换机可以对整个无线网上的电波情况侦测和记录 当某一覆盖范围内的无线电波 改变 如出现干扰 AP 所发出的电波或其它应用所发出的电波等 无线交换机就会把所获取的 无线电波资料做分析 以确定是否需要调整这范围内 AP 的无线电波 5 6 35 6 3 采用多个采用多个 SSIDSSID 结构结构 系统的多 SSID 结构和和实现技术使得各种多媒体应用服务 数据 语音和视频 在 Qos 上表现非常出色 SSID 的另一用途是可让无线终端以不同的安全认证和加密方式入网 在一 个语音 SSID 内可把 SIP 和 H 323 等无线语音数据以优先级队列处理 5 6 45 6 4 实现网络负载均衡调控实现网络负载均衡调控 设计系统可在一个 AP 的覆盖范围内把无线用户或终端分散连接到附近的 AP 上 在一个 AP 的覆盖范围内 无线连接的带宽是共享 即无线终端数目越多 每个终端所能分享的带宽 就越小 要确保每个无线终端的传输就必须能限制一个 AP 上无线终端的数量或