【《基于中小型企业无线网络的安全探究与设计》13000字】

基于中小型企业无线网络的安全研究与设计摘要随着计算机技术时代的到来，移动互联网快速发展并得到普遍使用，无线网络也相应的成为了当前信息化应用时代下必不可少并且极其重要的组成部分。为了给企业员工的日常工作提供更便利快捷的网络服务，为企业建设适用的，并且具有网络管控功能和安全防护的无线网络已经成为当前企业与互联网结合信息化时代下的重点工作内容。本论文结合当前中小型企业无线网络安全研究现况总结论述了企业无线网络设计在国内外的研究现状，应用网络建设知识和技术实现具有一定安全性的企业无线网络设计实施方案。从网络的可靠性、技术的先进性、网络的安全性和系统的相对灵活性详细论述了基于中小型企业无线网络的基本需求，介绍了在企业网络实现中所使用的关键技术，包含VLAN技术、负载分担技术、OSPF协议、STP技术、无线网络技术以及网络的边界防护技术等。本次设计主要对中小型企业网络无线网络的实现与网络的相对高安全性进行研究与设计。设计了基于当今中小型企业普遍适用的网络框架拓扑图。在满足基本网络使用的基础上，设计实现通过“AC+AP”控制方式组建的无线网络技术；考虑到企业网络使用过程中文件传输、外部人员通过网络途径进行非法攻击等常见安全性问题，增加了防火墙及外部访问防护策略等措施进行预防处理。旨在为中小型企业办公区域的无线网络设计寻找更合适的设计结构以及如何将其应用到企业网络建设之中提供一份参考。关键词中小型企业网、无线网络、网络安全、路由与交换技术目次TOC\o"1-3"\h\u233281引言 引言根据当前大部分中小型企业网络发展和使用需求，企业无线网络的设计同时满足范围广泛可用和高安全性，充分考虑到覆盖范围，并且考虑未来的网络扩展，做一定的预留，使无线网络尽可能的覆盖到最大范围，尽力避免存在未顾及到的盲区，提供可用及高效高速的上网环境。无线网络相对于有线网络来说具有可扩充性，能进行拓展延伸，易于网络管理者对网络进行管理和维护。它的设计应该满足高可用、实用性、高性能、高安全性、延展性和标准化的准则。所设计出来的企业无线网络需要符合当下时代发展趋势，能满足实际常有情况的场景使用，既要保证其能稳定接入，又要考虑到各种使用情况下的流量频发的问题，当流量过高场景下使用可以保证其基本的网络速率。为保证企业各层级网络使用人员的合法隐私及企业隐密数据不被轻易通过网络途径产生泄露，需要充分考虑到针对网络的安全防护手段的使用，防止不满足安全性原则管控的上网行为导致外部成员进行网络非法侵入，造成数据泄露及越权操作。另外，无线网络的接口安全是在网络设计实施上需要重点考虑且必须要解决的问题，这也是无线网络的信道具有开放性特点所决定的。在适用于各种应用场景下，在无线网络的互联网出口，需要通过部署防火墙设备，安全策略等方法措施来对不信任的上网行为进行管控，以加强网络的安全防护功能，从而能够最大程度地适配对网络2网络需求分析2.1企业网络基本需求考虑到其实际使用需求的基本规范性及条件满足，企业无线网络的设计应遵循以下原则：2.1.1网络的高可靠性实际应用中对于网络的高可靠性有一定必要性的要求，而随着对网络存储的要求越来越高，网络冗余技术也在被不断提升，因此对网络运行中的高可用性要求也越来越高。应该尽量缩短有计划的日常维护操作或者因网络冗余等问题造成的突发性的系统崩溃等情况，经常性发生此类原因导致的停机，甚至停机时间过长都是可靠性不满足的特点。为提高系统和应用的可用性与稳定性，保障网络出口能实现可靠的数据交换，需要在核心层设备设置冗余措施，确保在网络存在冗余的情况下依旧能够保证网络运行的可靠性。2.1.2技术的先进性在设计网络结构方案中，应当结合企业网络运营环境，考虑到网络建设与维护的运营开销，尽量保证建设上投资的利用率，实现性价平衡。此外，还需要确保系统能稳定地运行，以保证系统运行过程中功能的完全发挥具有稳定的前提条件。为了更好实现稳定性，让企业网络的使用者在使用过程中能体验到技术上先进的服务，建设网络时就需要选用性能较高且合适的网络设备进行部署，并结合以相对先进的组网知识进行设计。2.1.3网络的高安全性大部分企业对于系统及相关内部使用文件的隐秘性和保密性的要求都很高，大部分数据或文件都要求对外不能开放访问，对内部分限制范围访问进行加密存储或脱敏处理。在设计过程中要充分考虑到网络架构合理性及保密性，应用相对成熟先进的认证机制结合网络出口安全策略，确定出适宜可行的无线网络建设的优化方案，在设计合理的前提下最大程度的提高网络的业务性能和对安全性的保障，以达到最优化地保证网络能够正常进行运作。2.1.4系统的灵活性企业的发展是一个长久深远的过程，其网络系统建设也应该从长远的角度考虑，在与时俱进的不断发展过程中，须得考虑到系统设计的长远使用性，为后续可能的拓展需求提前预备相关的可用措施方案。对网络进行设计与部署时，在有限的资金投放中，要想让它的投入更具有价值，有更长久持续的利益，就需要充分考虑到设计的充分的灵活性与可持续拓展延伸性。因此，在企业网络未来发展上对可能的网络业务延伸和升级改造上需要进行长远考虑，使初始设计的网络系统具备满足企业业务后续发展需要的能力和空间。2.2需求分析在企业网络中，常见的框架设计通常为三级层次，它们分别为核心层、汇聚层和接入层。无线企业网络采用有线和无线的结合部署，在安全性上通过防火墙的安全策略进行实现，在主体框架上进行分析其基本需求：图2-1分级网络设计模型图接入层主要实现为网络的终端用户、各业务应用与网络的连接提供接入途径，使用户能够连通网络进行与整个网络数据传输的互通。汇聚层为网络连通运行提供策略上的优化分发处理，保证网络连通实现的可用性和可靠性。核心层则是主要提供最优化的区域间传输，以保证网络的稳定性运行。2.2.1核心层交换机作为网络中骨干地位的核心层，它的可用设备可以有核心层交换机，防火墙和路由器等，核心层是使整个网络性能正常运行的主要承担者与责任者，好比于位于公司高层的管理者，负责统筹与任务的分发。核心层交换机应当具有快速可靠的传输性能，它的主要作用在于提供高速的转发进行通信，确保网络能够稳定运转。因此，核心层交换机应该具备的特性有可供管理，转发低延时，运行高可靠，冗余性等。因为核心层是网络交换的重要交汇部分，所以它对整个网络的数据交换传输和稳定性运转都具有极其主要功能作用。所以，位于核心层的网络设备需要选用性能更高的，从而保证网络的带宽、传输性能、吞吐量以及可靠性都足够高。一般采用千兆甚至是万兆，以便能够更充足地进行管控和保障。在核心层中，对所配置的传输协议进行目标端口判断等都可以通过数据帧的协议端口的信息查看实现。三层交换机普遍应用于网络的核心层，一般实现基于网关协议和IP地址的交换。但三层交换机也不是仅能够在核心层进行应用，也可以使用在汇聚层上。2.2.2汇聚层交换机汇聚层相当于是公司的中层管理，它有着承上启下的作用。向上连接核心层，向下连接接入层设备使其接入到网络中。在网络架构中充当网络连接的枢纽桥梁，将接入层交换机与核心层交换机进行连接。汇聚层一般是实现策略的配置，它有着对源地址与目的地址进行筛选过滤，配置虚拟局域网中各vlan路由信息，实施接入层设置连接的作用。在汇聚层交换机上会汇聚多台接入层交换机，这些交换机的汇聚接入可以实现将由接入层交换机传输的所有通信数据提供到往上核心层的上行链路。这也就说明了汇聚层交换机的工作负载是相对来说比较大的，要想使网络能够不因为汇聚层交换机的负载过大而造成汇聚层交换机运行瘫痪进而影响到整体网络的运行，就得确保汇聚层设备具有能够处理自接入层传送而来的所有数据流量的能力。一般从三个方面考虑，设备性能、策略协议和接入数量限制。汇聚层选用性能较高的设备，在汇聚层交换机上进行链路聚合技术的配置来优化交换机工作的速率，并且尽量接入更少的接口，避免工作负载过大。在网络实际建设中，汇聚层很多时候是会被直接忽略的。在接入层能够实现直接接入到核心层上，且核心层具备足够的能进行直接连接的接口时，汇聚层是可以不进行设计的，这种方式下的网络状况反而是能够在一定程度上减轻后期网络维护的负担，同时也更利于进行监控。因为考虑到实际建设的总体成本问题，在传输距离较短，设备条件要求不复杂的情况下，省略汇聚层的搭建反而是更具经济性的。2.2.3接入层交换机一般情况下，网络中直接面向终端进行连接或访问的部分被称为接入层，它的定位也就相当于企业组织架构中的基层员工。接入层作为底层设备，与网络终端用户直接相连接，主要为使用者提供在本地网段上对应用系统的访问。为网络的访问连接提供相对充足的带宽，提高访问速率，以实现本网段或相邻间用户的相互访问的需求。在规模较大的网络中，接入层还应该提供一些对终端用户的管理功能，比如实现接入用户许可，地址许可和网络计费管理等，并且能够汇集接入用户的IP地址、MAC地址以及对访问行为进行跟踪的访问日志等，以便能从用户接入时就确保其接入的许可，并进行上网行为的跟踪，进而避免掉一些不法行为接入通过网络攻击造成的的安全性问题。因为接入层主要是为了将终端设备连接到整体的网络架构中去，一般情况而言，接入层的负载会相对来说比较稳定，不会出现工作程度过高而造成设备瘫痪等情况，所以，接入层设备可用从经济上考虑，选用相对低成本、性价比较高的设备，具有能够充分满足接入密集度的端口即可。有时，在较高安全性和用户控制要求的网络中，网络建设者会将部分接入层设置为管理型交换机，实现网络基层管控。2.2.4网络技术方案实施依托广东第二师范学院工科专业工程实践教育中心，对选题背景、课题研究现状进行前期调研，并阐述课题研究意义与设计思路；根据当前普遍中小型企业的无线网络设计现况，本课题所研究设计的中小型企业无线网络是在传统网络的设计基础上进行发散拓展的，满足当下企业无线网络设计的基本使用需求。在无线网络技术上选用无线控制器AC与无线接入点AP进行配合使用的方式进行实现与设计，无线控制器AC上可以配置其对应的许可认证和安全策略，实现对网段中所有无线AP进行管控的目的。符合普遍企业实际使用的情况下，根据对移动网络的需求，部署实现无线AC控制所有AP，采用瘦AP无线架构，最终实现能够更好的支持网络范围内各种类型应用的便捷接入使用和更好的移动办公工作。无线AP选型设计根据不同使用场景的特点来选择相应的策略，以尽可能少的AP数量来为尽可能多的用户提供高效服务。为提高对无线资源的利用率，需要对接入设备的部署进行合理规划，通常在日常业务中接入流量较多使用场景上，配置能承载较大接入流量的控制的设备，在接入较为稳定且不太繁忙的区域里配置对应较合适速率的设备，以实现满足使用需求下的经济适配。在办公区域中部署AP接入点，通过连接到管控作用的无线网络控制器AC，负责对接入点AP进行管理维护。提高带宽，提升企业员工办公使用需求。无线网络用户可以随时随地的接入网络，并不受空间和时间的限制，所以在安全管控方面也有相应措施，采用不同的安全认证措施，在不同情景下进行分角色的用户授权，分隔出类型不同的用户，并对接入终端的互访进行限制，通过企业无线网络的设计，原有的传统网络中存在的接入信号强度不够，使用区域部署覆盖程度不足，对用户行为的安全管控能力不足，无法追踪接入终端上网行为，安全防护性能不够的问题都将得到一定程度上的优化。在企业提高终端使用者的体验度，在强化无线网络安全管控能力的同时对相关网络管控针对使用场所无线上网接入的管理要求进行配合。本次设计最终实现设计出一个基于一定安全性的中小型企业无线网络的网络拓扑图，并根据当前中小型企业对无线网络的功能和安全需求，实现用户隔离和限制用户使用时长以及限制终端连接数目，提高企业网络登录安全性，帮助实现一些重要的终端或者服务器系统实施更有效、更安全的网络保护，给实际的中小型企业网络设计建设提出对当下企业网络适用的设计建议。3关键技术介绍3.1VLAN技术VLAN（VirtualLocalAreaNetwork），也就是虚拟局域网。虚拟局域网指的是在广域网LAN中通过路由器配置的方式进行网络分割的区域网络。在计算机网络中，不同的广播域之间在默认的情况下是相互分开的，每个二层网络都能进行划分。将其划分成多个不相同的小型广播域，划分出来的每个区域相对应一个特定的用户组。在网络中用来隔离广播域、防止广播风暴的产生，即一个VLAN一个广播域。当一个VLAN中产生广播风暴时其他VLAN中的数据并不会因此而受到影响，也不会造成网络紊乱或者使得网络瘫痪。它具有如下优点性使得它在网络中显得尤为重要：（1）限制广播域：为提高网络运行中的处理能力，节省网络带宽，通常将广播域限制在一个局域网之中。（2）强化局域网的安全性：VLAN之间在工作之中进行报文传输的过程中都是相互隔离的，相同VLAN之间是可以直接进行传输通信的，但不能直接的与其它VLAN进行数据传输。具有隔离性，也就在一定程度上增强了局域网之间的安全性能。（3）提高了网络的强壮性：VLAN之间的隔离作用也使得VLAN之间的影响同样具有隔离性，如果在此出现故障，故障也会是VLAN之内的，使其不能波及到其它VLAN，避免对其它VLAN中的正常运转造成影响。（4）虚拟工作组的灵活性：在网络构建中，将VLAN进行划分，不同的用户分配到不同的工作组之中，但被划分到同一个工作组的用户并不能被限制在固定不变的区域中。所以，虚拟工作组的划分给网络构建和后期维护都带来了更多的方便性，更加灵活不受限制。3.2STP技术在报文传输过程中，网络往往会存在环形，环形的网络会导致报文传输的循环，无限的循环和增生是实际使用中的一大弊端。而生成树协议STP（SpanningTreeProtocol）就是将这种环形的网络修剪为无环路的树形结构，避免无限的资源占用和消耗。在网络中应用数据链路层协议STP，在网络运行过程中，设备之间会通过连接交互的数据信息判断出网络中出现了环路，通过算法有目的地将连接的某个端口进行断开，实现将网络中的环路传输转换成没有环路的树状结构。进而避免重复收到来源相同并且信息相同的报文，造成网络传输的死循环，降低网络工作的处理能力，还有可能会导致网络的瘫痪。在网络设计的环境中，通常情况下都是会不可避免是纯在环路出现的。环路的出现会对整个网络的资源进行极大的消耗，最终将网络通路资源消耗殆尽，导致整个网络都因此而瘫痪。这就是所谓的广播风暴，它会导致整个网络都不可用，这样对网络造成的伤害是及其严重的。同时，环路的产生还会形成MAC地址表项被破坏，导致MAC地址表的不稳定震荡的情况。在设计网络之时，可以在设备之间部署多条物理链路，将其中一条物理链路作为主要使用的链路，其他物理链路作为备份使用，通过这样的方式就可以很大程度上对网络中出现的环路情况进行避免，同时也实现了冗余备份的需要。3.3无线技术无线技术的实现需要作为控制管理的接入控制器AC和负责信号发放的无线接入点AP结合使用。接入控制器AC负责控制设备，将来自不同接入点AP的数据接入到网络中并进行聚集，通过无线用户接入的配置对AP设备进行管理，管控所有无线网段中的无线AP。而无线AP是无线网络实现的最终承接点，它作为无线网络的重要媒介，被用作为无线网络的无线交换机，实现无线信号的转换开放。无线AP在无线局域网中不断地进行数据的接收和传送，为无线设备和无线网络的连接充当桥梁，实现它们之间的相互访问和数据传输功能。笔记本电脑和移动手机终端等无线设备通过无线AP连接进入到网络中，实现无线网络到有线网络的接入绑定。在企业建筑楼群、园区等部署了无线设备的区域范围进行网络覆盖，只要在访问接入点的无线网络覆盖范围内，移动设备都可以实现连接到企业网络进行相互访问通信。一般的无线接入点放射范围都可以实现几十米距离的覆盖，有些甚至有上百米距离。无线AP的信号范围是一个由无线接入点AP的中央向外围进行扩散的一个圆形区域，所以无线接入点AP是无线网络信号源的核心点，在网络部署过程中需要尽量的把无线AP放置在无线网络的中央方位。并且各连接终端设备与无线AP的直径一般不要超过三十米，防止在逐渐向外衰减的因通讯信号不足够支持无线设备的成功连接。3.4防火墙防火墙作为内部网络与外部网络的关口，在计算机网络的内外网络之间形成一个相对而言将内外部分开的保护屏障。它通过预先设置的限制安全通信规则，对往来的网络数据流量进行监测和管控。防火墙作为监控作用的网络安全系统，所有外来的网络通信流量都要流经防火墙，在往来通信的网络流量经过防火墙时，对其进行扫描，将与预定设置规则不一致的流量进行过滤或阻断，防止不合法的流量在目的计算机上被执行，从而对网络系统造成攻击。为阻断来着不明入侵攻击的所有通信，防火墙还可以在必要情况下将为被应用的端口进行关闭。禁止不明入侵在特定端口上的信息流通，对来自特殊站点的访问设置不允许进行访问，从而确保网络系统的相对安全性。防火墙为内部网络和外部网络之间企业内部业务专用网络通道公共业务运行的网络提供保护屏障。它是一个结合硬件设备和软件进行组合运用而形成的。防火墙被放置在不同网络安全区域之间，能够进行高级访问流量的管控，在网络系统管理员设置的安全访问规则之下，通过相关安全策略对往来流量进行控制把关，实现往来数据流的过滤，从而实现的进出网络行为的管控。防火墙对往来通信流量可以进行允许数据流通过、拒绝数据流通过、将数据流量进行丢弃的操作。当流量数据合法时，允许数据流通行；当数据不匹配规则时，防火墙会回复流量发送源一条消息提示，表示该访问数据流量被防火墙拒绝；当需要丢弃数据流时，对于要被丢弃的数据包将不会有任何的处理，也不会回复任何丢弃提示信息给数据源。防火墙只允许预先有过授权操作的流量继续通行，并且防火墙本地区域对非法数据的侵害是可以免疫的，在所有进出网络的通信流都经过防火墙时并不会对防火墙造成破坏。它只是负责监测流量，为内外网络的通信进行保护。3.5OSPF路由协议开放式最短路径优先协议，简称为OSPF（OpenShortest-PathFirst）。OSPF是一种链路状态的路由协议，通常情况下在同一个路由区域间运行，每个路由区域就是一个自治域。它是通过链路状态数据库对OSPF路由表进行计算的，使用链路状态协议算法，在不进行AS划分的情况下保存整个AS的拓扑结构，形成链路状态数据库，通过一个路由器对每个相同的链路状态的数据库进行维护。有了完整的链路状态数据库后，该维护的路由器会以本路由为根，进行最短路径树生成，根据生成的最短路径构造路由表。OSPF是一种链路状态型路由协议，链路状态型路由协议，采用链路状态类型，即使网络中有环路，也不会影响路由的数据传输，实现稳定的路由控制，形成无路由自环的效果，同时还能加快网络收敛速度。OSPF支持子网掩码，使得曾经RIP协议中无法实现可变长的子网构造的网络路由控制成为现实。OSPF有着“区域”的定义，将一个自治的网络划分为多个更小的区间，减少了网络传输的流量，因此可以对路由协议之间不必要的数据传输进行降低。网络拓扑信息由路由器之间的链路状态进行生成，然后路由表再由得来的拓扑信息进行生成，最终实现OSPF对网络路由表的生成。通过类似于接力的方式进行将网络或者路由器之间的信息进行传递，由此，每个途径的路由器都能够学习到各路由器的信息。OSPF中掌握着整个网络的拓扑结构，可以从中找到最短路径来决定最终的路由选择。途中所经过的路由器更少时对进行RIP的路由选择是更有优势的。与RIP相比来说，OSPF会为每一条链路进行赋给权重，在对路由选择上都将会选择代价最小的一个作为它的最终路由。在OSPF定义里，相邻路由器是指连接于相同链路的路由器。相邻路由器之间在相对简单的网络模式下是可以进行路由信息的交换的，这也就造成了他的一个弊端，在相对复杂的网络拓扑中运用的话，每次进行交换的路由信息也会变得非常大，因为它的交换是定期的，所以即使是网络稳定的条件下也是会进行交换的，这种在不需要的情景下也进行交换的方式无疑是会对网络带宽资源造成不必要的消耗。3.6负载分担技术负载分担是指如果发往某一目的地的数据流存在多条等价的转发路径时，就将数据进行在这多条路径上转发，从而达到分流的目的。流量转发的多少一般是根据负载分担的方式来判断的，在转发数据时，数据流量在每一条路径上都不一定会一样。在Eth-Trunk使用时，同一个链路聚合组之间两个设备会有多条物理链路，但他们在总体上其实是一条虚拟链路。在多条链路捆绑的情况下就会使产生的数据帧分别在不同链路上进行传输的情况，最终因为数据帧的先后到达目的设备的关系就会导致在接收数据时有数据包顺序紊乱的情况出现。为防止数据包乱序的现象，可以使用逐流负载分担的机制，这种机制可以源地址，目的地址等规律和一定的规则将报文进行划分，相同报文流上的数据流在相同的链路上进行发送。这样一来通行的端口也会不一样，既能实现数据帧在同一条物理链路上进行转发同一数据流，又实现了逐流的负载分担，使流量负载分担在聚合组内各物理链路上。4设计及仿真测试4.1网络设计概况根据有一定安全性要求的中小型企业无线网络的需求研究设计了如下拓扑图：图4-1中小型企业无线网络拓扑图根据企业网络使用需求，网络设计了以核心汇聚层、接入层为网络主体框架结构。使用子网划分来对每个部门进行规划，企业结构设置6个业务部门，分别为人力资源部，技术部，市场部，行政部，财务部和业务拓展部，每一个部门单独一个24位的子网断，以保证其连续性，24位有254个地址，足够支撑中小型企业普遍部门人员的正常使用。设计上利用实现链路的冗余性与网关的热备功能，增加网络性能，并且在核心之间设置链路聚合，提高带宽。在为了增强安全性的实施上，对连接外部网络的区域设置防火墙，以实现对处于企业办公楼的外部访问人员进行上网行为的监测，避免外部不法人员通过网络途径进行入侵或数据攻击操作，危害到企业内部数据的安全。对特定的流量进行管控，从而保护企业内部网络区域免受外部网络区域的攻击或入侵。使用AC+AP的三层旁挂架构组件无线网络，实现内部网络使用无线网络接入，为企业员工提供便捷的网络接入服务。4.2部署及实现策略4.2.1IP规划及VLAN划分网络设计上对IP规划及VLAN划分如下：表4-1IP及VLAN划分部门名称设备IP/掩码分配vlan网关人力资源部PC/24Vlan1054技术部PC/24Vlan2054市场部PC/24Vlan3054行政部PC/24Vlan4054财务部PC/24Vlan5054业务拓展部PC/24Vlan6054将各部门网段划分为不同VLAN下，避免不同部门之间的相互访问，实现仅能本部门之间，及同一VLAN之下能进行访问。各接口划分：表4-2配置接口划分设备名称型号接口IP地址/掩码网关LSW1S5700Vlanif10/2454Vlanif20/2454Vlanif30/2454Vlanif40/2454Vlanif50/2454Vlanif60/2454Vlanif70/2454LSW1S5700Vlanif10/2454Vlanif20/2454Vlanif30/2454Vlanif40/2454Vlanif50/2454Vlanif60/2454Vlanif70/2454Vlanif82/2454AR1AR3260G0/0/0/24/G0/0/1/24/G0/0/20/24/G1/0/0/24/G2/0/0/24/AR2AR3260G0/0/0/24/G0/0/1/24/G0/0/2/24/G1/0/0/24/G2/0/0/24/DHCPRouterG0/0/0/24/FW1USG5500G1/0/0/24/G1/0/1/24/G1/0/2/24/AR5AR1220G0/0/1/24/4.2.2接入层配置与部门网络直连的部分为接入层，它主要对用户接入进行识别、严格控制非法用户接入，接入层配置实现方式如下：图4-2接入层设备批量添加创建VLAN，接入层涉及到的有vlan1020304050607080，分别对应为人力资源部，技术部，市场部，行政部，财务部，业务拓展部和DHCP服务器。在接入层交换机上进入对应的端口，将接口类型设置为trunk，进行VLAN划分配置及网络访问许可，例如将人力资源部划分为vlan10，设置许可通过的vlan。此外，还需要对各部门下的无线AP进行划分，进入AP对应接口后，进行AP的VLAN的划分。对接入层直连的上联接口进行配置，进入对应接入层交换机上联接口设置接口类型为trunk，开放区域内可允许通过的VLAN。与三层交换机配置的vlanif接口地址相对应，实现相同部门之间的隔离管理与不同vlan之间的联通性。各主机之间通过动态主机配置协议DHCP功能，实现地址的自动获取。将主机PC设备开启到DHCP模式，DHCP服务器会根据DHCP协议通过中继进行地址转发给客户端，从而客户端能获得自动分配的地址，并利用获取到的地址进行上网。图4-3PC1通过DHCP自动获取IP地址和网关DHCP服务器在开启后实现终端IP的自动分配功能，客户端可以自动获取到DHCP分配的IP、子网掩码、网关和DNS等信息。4.2.3汇聚层配置在网络架构中，汇聚层主要实现流量的访问控制，可以在此进行实施安全和工作组的接入，在此配置虚拟局域网（VLAN）之间的路由。主要链接核心层中心和接入层节点，为整体网络的工作提供较高的性能和比较丰富的功能，从而更好地提高网络系统的传输效率。VLAN配置在终端设备同时使用数目较多的情况下，极其容易造成广播风暴，流量混杂导致严重的数据传输冲突，此时网络的性能和速率都会严重受到影响，最终造成网络不可达的情况，可以说整个网络都形成了混乱。广域网上的互联虽然说可以通过交换机来实现，一定程度上避免这种严重的冲突问题。但却是不能通过隔离传播报文从而提高网络性能。局域网VLAN技术的出现打破了这一难点，VLAN技术将一个广域网划分为多个逻辑上的局域网VLAN，在每个VLAN中是可以直接进行通信的，就如同一个小型的LAN，但是，不相同的VLAN中又是不能直接进行通信，这样就实现了将报文限制在一个个小型域网中进行广播，避免在广域网中的广播泛滥。图4-4汇聚层交换机企业网络中要针对不同的业务部门对VLAN进行一个划分，不同业务部门使用不同的VLAN，在交换机SW1和SW2上对网络中的VLAN进行划分。先创建vlan，进入对应的vlan，根据各部门使用的vlan网段进行IP和网关的配置，如人力资源部使用的为vlan10，进入端口g0/0/1端口，将端口类型设置为access类型，并将这个端口划分到vlan10中。进入vlan10虚拟口，将vlanif10的接口地址配置为，子网掩码设置为24位，设置虚拟网关为54，测试如下：图SEQ图\*ARABIC4-5PC2自动获取的IP如图4-5所示，属于vlan20网段的的技术部自动获取得到IP地址，为53。图4-6PC1跨vlan访问PC2成功在属于vlan10的PC1去ping属于vlan20的PC2的IP地址，结果连通成功，可以实现不同VLAN之间的通信。链路聚合为提供更高的可靠性，实现更优化的网络通讯带宽，通常使用链路聚合配置，将一组物理接口捆绑在一起，为设备间的通信提供冗余保护。在配置时创建链路聚合Trunk端口，进行vlan通过许可，将捆绑的链路接口加入到链路聚合组中。实现效果为，当其中一条链路断开或出现故障后，相同链路组的其它链路仍能维持正常通信，如图4-4所示。OSPF协议配置OSPF通过相邻路由之间的关系进行报文转发，在发送报文后正式建立起邻居关系，这个过程也叫邻居发现。在形成信息连接后测量各邻居间的代价，通过得到的信息构造链路状态数据包，将其向网络中的所有路由器进行发布，最终构造出网络拓扑结果并执行最短路径算法进行路由计算。形成OSPF路由表是通过进行比较计算将最优的路由加入到全局路由表中。配置ospf1，配置标准区域为0，宣告各vlan网段。图4-7ospf配置情况图4-8查看邻居表建立情况如图4-8，查看OSPF邻居表的建立情况，状态显示为Full，说明邻居关系建立成功。4.2.4核心层配置核心层是所有流量的最终承受者，它为网络中的优化数据传输功能发挥着至关重要的作用。基础配置图4-9核心层在核心层中，需要实现流量高速转发与高度可用的特性。对核心层设备进行静态路由配置，实现路由转发。无线技术配置从对企业无线网络接入设备的需求考虑，需要在局域网中部署无线网络，通过无线控制器AC对网络中所有的无线AP设备进行分发管控，无线网络下发的信号满足不同无线设备的连接使用。图4-10无线设备开启进行无线配置实现，首先需要实现网络之间的互通，在交换机上配置DHCP中继，实现代理AC分配IP地址。创建vlan，配置IP地址和子网掩码，配置AC与核心交换机的对接vlan，在AC上创建全局地址池为AP提供地址。配置创建一个AP组，将配置了相同条件和策略的AP加入到同一个AP组中，进行域间管理模块的创建，在其中设定AC的国家码。将域间管理模板加入到AP组下，配置AC的源接口，在AC上离线导入AP，新建一个组为test，将AP加入到test组中。为了更清晰明确的知道众多AP部署的地理位置，就需要对AP进行配置命名，AP是根据其AMC地址进行命名的。例如部署在区域1的AP，其MAC地址为00e0-fc96-3c70，就将AP名称命名为area_1。进行密码设置时，将连接上线的密码设置为12345678。配置完成后，需要等待一段时间AP才能够上电连通，连通后，在AC上执行命令查看所有配置的AP，当看到“State”下面对应状态为“nor”时说明此时AP已经正常连通运行了，如图4-11所示。图4-11AP正常上线通过上面系列配置，AP能正常使用，在无线设备STA1上进行连接上网，输入配置时设置的密码12345678，进行登录，如图4-12所示：图4-12无线设备连接上线WIFI的状态显示已连接，此时已经实现了成功连接，无线终端设备也已经接入到了网络中，如图4-13所示。图4-13连接上线成功防火墙配置为避免企业内部网络受到外部网络的入侵，在出口区域进行防火墙设置，配置安全策略，实现企业内部网络可以访问外部网络，外部区域的网络数据要想对内部网络进行访问是需要经过预先配置的防火墙进行安全策略过滤。安全策略按照一定规则控制设备对流量转发和内容进行一次检测，实现反病毒、入侵防御等不安全因素的入侵攻击行为。（1）防火墙登录在初次设置防火墙时需要进行初始账号密码的设置，将账号设置为admin，密码设置为Admin@123；需要进行更改密码，将防火墙登录密码更改为admin@123。图4-14以命令方式登录防火墙防火墙分为受信任区域和非受信任区域，对受信任区域的添加配置如下：图4-15防火墙配置在缺省时，防火墙有4个安全区域：local：本地区域，所有IP都属于这个区域；trust：受信任的区域；DMZ：是介于管制和不管制区域之间的区域，一般放置服务器；untrust：一般连接Internet和不属于内网的部分；在进行防火墙配置时，首先，进入防火墙FW1两端接口，开启端口并配置接口的IP地址，设置允许登录方式，如service-managepingpermit为设置允许命令形式登录。然后，划分安全区域，防火墙FW1的端口g1/0/0和g1/0/2方向为内网，是信任区域，g1/0/1方向通往外部网络，为非信任区域，防火墙FW1为本地区域。所以，最终应该实现来着非信任方向的数据将被防火墙安全策略进行拦截，外部网络不能直接通过防火墙到达内部进行访问；对于来着信任区域的数据，可以不被拦截阻断经过防火墙到达外部网络区域中去。最后，进入到安全区域视图，将受信任的接口加入进去，配置安全策略并放行。以同样的操作步骤，添加本地区域和非信任区域的接口并开通放行。测试效果如下：对信任区trust的配置进行连通性测试：图4-16外部路由AR5访问内部路由AR1图4-17内部路由AR1访问外部路由AR5抓包图4-18用PC1访问防火墙和外部设备AR5使用内部网络的设备AR1去ping外部网络设备AR5，结果可以进行连通，说明此时信任区可以通过防火墙向外访问，防火墙受信任区域的添加配置成功实现，此时将允许所有服务通过。对到达本地区域local的连通性进行测试：图4-19内部网络设备AR1访问本地区域FW1图4-20防火墙FW1访问内部网络设备SW1可见，外部网络设备和内部网络设备对防火墙本地区域local进行访问时都是可以成功到达的。对非信任区untrust到达信任区的方向进行测试：图4-21外部设备AR5访问内部设备AR1使用外部网络设备AR5对内部网络设备AR1使用ping命令检查其是否成功连接，结果显示为无法成功连通，说明外部网络设备在结果防火墙FW1访问内部网络设备时，未能成功到达内部网络，对防火墙非受信任区域策略配置成功。此时端口g1/0/1方向为非信任方向，由该方向而来的不明确访问和IP将会被防火墙阻碍与禁止。5总结与展望对比国内外安全性较高的企业级无线网络建设的发展水平，以及分析相关学者对于基于中小型企业无线网络安全研究与设计的研究现状，通过梳理可以得到以下结论：企业无线网络的各项技术现如今都已经有了深入的研究与