校园无线网络设计方案.docx
《校园无线网络设计方案.docx》由会员分享,可在线阅读,更多相关《校园无线网络设计方案.docx(19页珍藏版)》请在冰豆网上搜索。
校园无线网络设计方案
潍坊学院计算机工程学院
课程设计说明书
课程名称:
网络系统集成综合设计
设计项目:
无线校园网方案设计
学生姓名:
潘彬彬
学号:
11021240217
专业:
网络工程
班级:
2011级2班
指导教师:
赵艳杰
2014年9月
一、任务与具体要求
设计一套较为完整的无线网络,以满足学校师生教学、办公、娱乐以及无线应急等项目。
二、设计说明书包括的内容
1、需求分析
2、无线网络的具体设计与实现
3、网络安全防护措施
三、应完成的图纸
四、评语及成绩
指导教师(签字)_____________
________年____月____日
目录
一、前言1
1.1概述1
1.2需求分析1
1.2.1建设背景1
1.2.2总体建设目标1
1.2.3具体实施目标1
1.3校园无线网在教育中的发展与应用2
1.3.1教学网络2
1.3.2图书馆网络2
1.3.3行政办公网络3
1.3.4教工、学生宿舍网络3
1.3.5无线应急网络3
二、校园无线网的设计方案3
2.1概述3
2.2WLAN的工作机制4
2.3硬件设备的选购4
2.3.1核心交换机的选购4
2.3.2POE交换机的选购5
2.3.3光纤收发器的选购5
2.3.4服务器的选购6
2.3.5无线路由器的选购7
2.4校园无线网设计分析7
2.4.1设计原则7
2.5设计方案9
2.5.1主要拓朴图9
2.5.2校园无线网络的三种典型应用及解决方案10
三、安全防范11
3.1概述11
3.2无线局域网的安全认证12
3.2.1开放认证12
3.2.2共享密钥认证13
3.3安全运维管理13
3.4无线安全问题及对应策略13
四、结束语15
五、参考文献15
一、前言
1.1概述
电脑编程技巧与维护随着计算机技术和通信设备的不断发展!
各个高校普遍建立了各自的校园网!
高校合并兼容现象的出现!
视频点播"多媒体教学"远程教学等新型多媒体教育方式也成为校园内学生学习的重要途径!
大多数学生有3G手机、Pad、笔记本电脑等!
因此无线校园网在高校中的作用就显得更为突出!
将无线网络的技术引入校园网!
实现校园"教室"会议室"图书馆"学生宿舍等率先覆盖无线网络!
组建灵活"方便"高效的无线局域网也是教育发展的大势所趋#然而校园网规模的不断扩大!
资源不断增加!
高数据库高访问率对无线校园网的网络设备要求也越来越高。
校园网安全问题也普遍存在!
黑客、病毒、恶意攻击等时刻威胁着校园网的安全
1.2需求分析
1.2.1建设背景
在信息迅猛发展的今天,国内所有高校均实现了有线校园的建设。
但随着教学设施的完善,越来越多的便携式计算机终端被带进了教室,越来越多的学生也开始拥有了带有无线网卡的计算机终端。
教师和学生对高校校园网的依赖性相当之高,“随时随地获取信息”已成为广大师生们的新需求。
但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、食堂等许多不宜网络布线的场馆设施如何联网?
在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题?
这就需要我们在现有网络的基础上充分扩展和利用无线网络来解决。
1.2.2总体建设目标
利用无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络;
促进教学和科研发展,进一步拓展应用空间;
提升校园网络环境,提高管理水平和效率,推动学校信息化建设;
要覆盖部分原来没有有线网的空间,诸如:
食堂、礼堂、教室;
由于本工程是在校园有线网的基础上加以无线扩充(即采用无线路由器将无线网络接入到有线网络)。
1.2.3具体实施目标
侧重实际应用,覆盖校园内大部分区域,为教学和学习生活提供切实可用的无线网络环境;
采取通行的网络协议标准:
目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a,802.11b,实现双频三模技术。
但是为了长远利益着想我们的无线设备将采用支持802.11n标准(300M带宽)的设备为以后的升级预留空间。
全面的无线网络支撑系统(包括无线网管、无线安全等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
保证网络访问的安全性;采用非独立型的无线网络结构选型(即:
有线无线结合)。
A、覆盖范围要求
有线网络无法接入的室外场所:
校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。
本次建设主要包括图书馆前后空地(学生室外学习的主要地方)。
有线网络使用不便或受限的室内空间:
校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。
用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。
主要包括礼堂、图书馆、办公楼、实验楼、各教学楼等。
B、安全、认证、和管理要求
实现针对用户管理、认证、控制功能;
C、校园无线网网络结构要求
无线接入所需布设的无线路由器通过校园网的汇聚层设备接入到校园网中,在汇聚层都提供相应的接口给无线网。
D、工程布线和安装要求
室内部分:
定好较为开阔位置,将网线走暗线铺设到位,无线路由器可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。
安装过程中应充分考虑防盗问题。
室外部分:
根据设备位置有两种布线方式。
如果无线路由器设备放置在楼顶,则需要走网线和电源线;如果无线路由器设备放置在室内,天线放置在室外,则需要走天线馈线。
这两种方式馈线都需走铁管,贴防水胶方式处理,安装过程中应充分考虑防盗。
供电部分:
无线路由器的供电可采用POE方式由接入的网络设备进行供电(无需本地供电)。
E、产品能力要求
产品支持AES、WEP加密等安全标准、漫游切换、支撑QOS能力
1.3校园无线网在教育中的发展与应用
1.3.1教学网络
通过校园无线网络覆盖机房、多媒体教室等。
为广大师生提供了一个更为有效的网络互动平台,加强了学习生活的交流,同时为学生在教室内的自习提供一个方便的查询资料的网络环境。
1.3.2图书馆网络
通过无线校园网覆盖整个图书馆内所有的区域,教师和学生可以很方便地利用无线网络查阅到网络上的相关资料和浏览数字图书。
1.3.3行政办公网络
通过无线校园网覆盖学校的各系、院办公楼和行政办公区,通过对办公区域提供无线网络,提高了各职能部门的效率,满足了教职员工的在线查询能力,大大提高了各职能部门的服务质量。
1.3.4教工、学生宿舍网络
在教工宿舍和学生宿舍提供了无线局域网无线覆盖,满足了教工和学生临时上网的要求。
1.3.5无线应急网络
在出现需要突发性大规模网络服务要求的场合,提供临时性的无线网络服务,满足用户对网络的需求。
校园信息化建设一直是高质量、高效率教学办公的保障,随着802.11g无线局域网技术和无线产品的成熟,无线网络的应用将会为网络化学习、教学开创新的应用模式;利用无线网络实现校内信息的发布、共享、传递,推进教学及管理信息化,拓展学生的知识面。
而有线网络只能提供师生们固定的、有限的网络信息点,随着时代的进步,笔记本电脑的普及,师生们希望不仅仅是在实验室才能将他们的计算机连上网络,而在校园的草坪上、宿舍区、图书馆等任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或Internet、不愿再受有线的束缚。
WLAN技术的出现,学校采用无线组建校园网,学生们不仅可以在宿舍和实验室固定的地方上网,还可以在课堂上、图书馆等许多地方很方便的接入,甚至根据自己的合理时间安排,在学校宽阔空旷的花园草坪上上网查阅学习资料。
在考试前夕更可以减少机房、学校网吧等可以有线上网园区的压力,改进学校的学习环境,提高了学生的学习效率与成绩。
所以,对于学校来说,一方面教学的互动性增强了,另一方面,教学的信息量大大增加了;在课堂上,学生不再仅仅是被动的听者,也是互动教育的参与者,学生可以用自己的资料来参与教学,同时这些数据可随时共享,在课堂上现场做演示,并允许老师和同学们共享文件。
回到宿舍,学生也不再为找网络接口而发愁,躺在宿舍的床上既可用笔记本无线上网,享受最前沿科技带来的便捷和乐趣,周末期间可在多个宿舍之间自由共享文件进行学习探讨、学术交流、音乐视频点播等自由娱乐。
二、校园无线网的设计方案
2.1概述
WLAN(WirelessLocalAreaNetwork,无线局域网)是通信行业的一个时髦词语,而且可以肯定它是一种人人都想使用的技术。
WLAN变得如此流行的原因是易于安装和使用。
通过WLAN系统,用户无须考虑复杂的线路连接和布置问题。
可是WLAN系统也不是完全的“无线”,因为只有客户端是可移动的,而服务器或者说接入设备是固定的。
使用WLAN解决方案,网络服务商和企业能给他们的客户提供无线局域网服务,这些服务包括:
使用带有WLAN功能的设备组建一个无线网络。
这个网络可以成为接入固网或者Internet的入口。
配置了无线PCI网卡的客户端可以与无线网络建立连接并访问固网或Internet。
WLAN客户端与传统的802.3局域网的互连。
通过不同的加密和认证方式实现安全的访问。
WLAN功能使用户能够安全的访问网络并且能在同一移动区域内进行快速漫游。
2.2WLAN的工作机制
WLAN由以下几个部分组成:
Client(客户端):
带有无线网卡的便携机。
AccessPoint(无线路由器,接入点):
执行桥接操作的设备,在客户端(Client)和局域网(LAN)之间对无线帧和有线帧进行相互转换。
AccessController(AC,无线控制管理器):
对WLAN内所有无线路由器进行管理和控制的设备,通过与认证服务器的通信来进行信息过滤。
WirelessMedium(无线媒介):
用于客户端间进行帧传输的媒介。
在WLAN系统里使用无线电频率做为媒介。
2.3硬件设备的选购
2.3.1核心交换机的选购
H3CS9512
主要参数
交换机类型
路由交换机
应用层级
三层
传输速率
10Mbps/100Mbps/1000Mbps
网络标准
IEEE802.1P、IEEE802.1Q、IEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1ad、IEEE802.3x、IEEE802.3ad、IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3af
接口介质
10Base-T、100Base-T、1000BASE-X、1000BaseT
背板带宽
1.8Tbps
支持
VLAN支持、QOS支持、网管支持
2.3.2POE交换机的选购
H3CS5500-28C-PWR-EI
主要参数
传输速率
10Mbps/100Mbps/1000Mbps/10000Mbps
端口数量
28
背板带宽
192Gbps
包转发率
95.2Mpps
支持
VLAN支持、QOS支持、网管支持
网管功能
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
其他技术参数
支持:
以太网供电PoE
2.3.3光纤收发器的选购
NCCGE-1000S-B13(15)
基本规格:
设备类型:
光纤收发器
接口类型:
10/100/1000M,单纤单模SC
网络:
符合协议标准:
IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z、IEEE802.3x
传输速率:
10/100/1000Mbps
最大传输距离:
20000米
注:
以上设备的样图、详细信息和报价均来自中关村在线网站。
2.3.4服务器的选购
IBMSystemx3850X5(7145N09)
基本类别
产品类型
企业级
产品类别
机架式
处理器
CPU类型
XeonX7550CPU频率:
2000MHz三级缓存:
18MCUP核心:
8核
处理器描述
标配2个XeonX7550处理器最大支持4个处理器
内存
内存类型
DDR316GB
最大内存容量
1TB
存储
硬盘大小
4*146GB最大支持8个热插拔硬盘
网络
网络控制器
两个千兆以太网卡
软件系统
系统支持
MicrosoftWindowsServer2008(Standard、Enterprise和DataCenterEdition、32位和64位)、32位和64位
RedHatEnterpriseLinux
SUSEEnterpriseLinux(Server和AdvancedServer)
VMwareESXServer/ESXi4.0
2.3.5无线路由器的选购
TP-LINKTL-WR1043N
主要性能
网络标准
IEEE802.11n、IEEE802.11g、IEEE802.11b、IEEE802.3、IEEE802.3u、IEEE802.3ab
最高传输速率
300Mbps
频率范围
2.4-2.4835GHz
信道数
13
网络协议
CSMA/CA、CSMA/CD、TCP/IP、DHCP、ICMP、NAT、PPPoE
灵敏度
270M:
-68dBm@10%PER、130M:
-68dBm@10%PER、108M:
-68dBm@10%PER、54M:
-68dBm@10%PER、11M:
-85dBm@8%PER、6M:
-88dBm@10%PER、1M:
-90dBm@8%PER
网络接口
1个WAN口、4个LAN口
网络功能
安全性能
提供64/128/152位WEP加密,支持WPA/WPA2、WPA-PSK/WPA2-PSK安全机制
网络管理
全中文WEB管理界面,支持免费WEB软件升级
2.4校园无线网设计分析
2.4.1设计原则
无线局域网的主要指标决定了设计无线局域网的原则是以数目尽可能少的无线路由器来为所有网络用户提供服务。
用户相对疏散区域只需要布置少数无线路由器即可,以无线路由器覆盖范围最大为宜:
用户相对密集区域需要通过增加单位面积内无线路由器数目来为用户提供可靠服务。
前者主要考虑覆盖范围这一因素,后者则主要考虑单位面积系统容量这一因素。
设计原则:
无线覆盖设计将遵循按照信号范围最大化原则,在全校全面覆盖的前提下,重点选择部分区域进行更加细腻的覆盖。
并且,保证无线网络稳定性并与绝大多数主流无线网卡兼容,同时兼顾考虑网络扩容,为今后网络扩容做好预留。
⑴一般来讲室内容许最大覆盖距离为35~100米,室外容许最大距离100~400米;
⑵障碍物阻挡;
⑶要观测无线覆盖周围的障碍物确定无线路由器的数量和放置位置。
2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下:
A.水泥墙(15~25cm):
衰减10~12dB
B.木板墙(5~10cm):
衰减5~6dB
C.玻璃窗(3~5cm):
衰减5~7dB
各种建筑材料对无线讯号的影响如下:
当无线路由器与终端隔一座水泥墙时,无线路由器的可传送覆盖距离约剩下<5米有效距离。
当无线路由器与终端中间隔一座木板墙时,无线路由器的传送距离约剩下<15米有效距离。
当无线路由器与终端中间隔一座玻璃墙时,无线路由器的传送距离约剩下<15米有效距离。
所以在安装选点时,一定要注意以避开墙、柱子等。
2.5设计方案
2.5.1主要拓朴图
2.5.2校园无线网络的三种典型应用及解决方案
第一:
户外公共区域的覆盖;第二:
局部开放的室内大环境,如大型公共教室、大礼堂、阅览室等无线覆盖;第三:
房间多、用户分散的楼宇(教学楼、办公楼、宿舍区等)的无线覆盖。
A、室外区域无线覆盖方案
学校体育场、图书馆前后空地是学生课外学习较为集中的区域,也是学校最为需要实现无线覆盖的室外公共区域。
根据需覆盖的室外区域的实际情况,设计建立多个无线覆盖点,采用重叠交叉无线漫游的覆盖方式,即可成功实现设计要求和目标。
具体的实施如下:
要实现无线漫游,就需要将多个无线路由器的信号覆盖范围相互重叠一小部分,不过要想漫游成功,还需要对各个无线路由器进行适当的设置。
首先需要登录进无线路由器的参数设置界面,在其中找到SSID设置选项,然后将所有无线路由器的SSID名称设置成相同,这样才能确保漫游用户在同一网络中漫游;接着还要修改每一个无线路由器的IP地址,让所有无线路由器的IP地址属于同一网段之中;
还需要修改信号互相覆盖的无线路由器的频道。
考虑到相邻的两个无线路由器之间有信号重叠区域,为保证这部分区域所使用的信号频道不能互相覆盖,具体地说信号互相覆盖的无线路由器必须使用不同的频道,否则很容易造成各个无线路由器之间的信号相互产生干扰,从而导致无线网络的整体性能下降。
目前一个无线路由器可以使用的频道总共有11个,其中只有1、6、11这三个频道是完全不被覆盖的,因此你可以将相邻的无线路由器设置成使用这些频道,来确保无线漫游成功。
B、室内区域无线覆盖方案一
室内覆盖区域的大小和建筑结构的复杂程度往往差别很大,需要根据具体需求,设计多种室内覆盖解决方案。
一般来讲,针对局部开发的室内大环境,如图书阅览室、礼堂、体育馆、大教室等,网络用户数量较多而集中,采用多个多个无线路由器整合交叉覆盖形成大面积覆盖区域,每个无线路由器都独立接到交换机上,以保证有更高的带宽。
C、室内区域无线覆盖方案二
针对办公楼、教学楼、宿舍等结构较为复杂的室内区域,可根据建筑结构具体情况,选用以下两种方案:
方案一:
采用多个无线路由器整合交叉覆盖形成大面积覆盖区域,每个无线路由器都独立接到交换机上,以保证有更高的带宽。
方案二:
采用室外覆盖方式,选用室外无线路由器,通过天线聚集无线信号,使无线覆盖范围更大、更远,穿透能力更强。
设备与天线安置于楼宇顶部,以无线信号向下整体覆盖楼宇。
D、机房无线覆盖方案
机房内容量和布置相对固定,一般不会有太大变动,可以采用传统的以太网。
如有必要可以将无线局域网作为有线网络的扩展,以达到增加机房容量的效果。
三、安全防范
3.1概述
移动互联网的快速发展和智能移动终端的快速普及,师生用户对校园内无线覆盖的需求越来越强烈。
校园无线网建设程度逐渐成为衡量高校信息化发展的一个重要指标,高校纷纷建设大规模无线校园网。
由于无线网信号是在开放空间传输,Wi-Fi协议在安全性上又不同于有线网络,容易遭受黑客的攻击,通过无线传输的信息容易受到攻击者窃取和篡改。
在高校校园内,学生在网络上的活跃程度和好奇心都非常强,网络攻击行为时有发生。
因此,高校无线校园网络安全有其自身的特点,在建设和运维无线校园网络时需要充分考虑其安全性,以保障无线网络可靠稳定
运行。
3.2无线局域网的安全认证
在无线客户端和无线无线路由器交换数据之前,它们之间必须先进行一次对话。
在802.llb标准制定时,IEEE在其中加入了一项功能:
当无线客户端和无线无线路由器对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他关键通信。
这种认证方式有两种:
开放认证和共享密钥认证。
3.2.1开放认证
开放认证方法是802.nb标准中默认的认证方式,在明文状态下进行认证,认证过程如图所示:
客户端向无线路由器发送认证请求,无线路由器确认认证,注册客户端;客户端发送连接请求给无线路由器,无线路由器确认请求,注册客户端。
通常无线路由器的开放认证有三种策略:
第一种策略为默认方式,允许任何客户端认证;第二种是只允许认证带有合法服务器标识ID(实际为SSID)的客户端,SSID相当于密码的作用;第三种是无线路由器只允许认证MAC地址在无线路由器的访问控制列表中的客户端。
3.2.2共享密钥认证
共享密钥认证是基于WEP共享密钥的认证方法,前提是客户端和无线路由器中己经预先手动设置好了共享密钥,共享密钥认证与开放认证相似,只不过它使用WEP对认证过程进行加密,因而其安全性要高于开放认证。
3.3安全运维管理
尽管无线网络相关安全技术和设备已有较快发展,但由于系统开销和性价比原因,在无线校园网络建设时很难采用非常复杂的安全技术和过多的安全设备。
因此,后期的安全运维管理是保障无线校园网稳定运行的重要手段。
无线校园网安全运维管理可分为流程定义、运行监控、事件分析安全响应四个环节。
1.流程定义环节:
根据学校安全应急等级制度以及校园网安全管理制度,预定义无线校园网安事件等级和安全响应流程,明确各类安全事件的响应步骤及相关责任岗位,定期进行安全预演。
2.运行监控环节:
建立无线校园网运行监控系统,通过网络运行监控中心对无线网络控制器、交换机、AP等设备的运行状态以及安全设备告警日志进行实时采集和定期查看,生成安全报表。
3.事件分析环节:
管理员对监控中心发现的异常告警进行分析,对监控系统收集的运行数据进行分类梳理,对海量日志信息进行过滤和审计,评估安全风险。
4.安全响应环节:
针对已发生的安全事件,根据预定义的流程及时响应处理并保存日志备查,同时修复漏洞;对潜在的安全威胁,提出解决方案并组织实施。
3.4无线安全问题及对应策略
无线校园网络面临的主要安全问题有:
1.侦测攻击:
通过窃听、伪造等方式针对系统或服务弱点进行XX的查询和访问。
2.非法AP欺骗:
通过使正常用户接入未授权的AP,以获取正常用户的认证和数据信息。
3.ARP病毒:
很多校园网内ARP病毒泛滥,无线校园网由于共享带宽机制,更易受到ARP病毒影响。
4.DoS攻击:
通过发起大量服务请求来占用过多服务资源,从而使合法用户无法得到正常服务。
针对无线校园网的特点及安全问题,
可在网络不同层次采取多种安全策略,如图1所示,
主要措施有:
1.建立完善的无线用户认证和授权系统,支持802.1X认证、MAC地址认证、Portal认证、PPPoE和WAPI认证等多种方式,用户通过身份认证后可动态授权VLAN和ACL,对用户的策略可以事先设定好。
无线用户经认证系统认证后,无线控制器应对用户进行标识并绑定,并分配带宽等属性。
可以防止IP地址欺骗、带宽滥用、DHCP服务器被攻击等问题。
2.提供基于AP位置的用户接入控制,出于安全性或计费等的考虑,要求无线控制器支持基于AP的用户接入控制。
当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在无线校园网络安全与应对策略图1无线校园网安全策略示意无线网建设与管理42中国教育网络2014.5AC上进行接入控制,从而达到限制无线用户只能接入到指定位置AP的目的。
3.采取无线用户隔离措施,用户隔离包括同AP下用户的隔离以及不同AP下用户的隔离。
AP内部采用MAC互访控制原理隔离用户,保证同AP下用户只能与上联端口进行通讯;AP之间采用MAC地址访问控制
升级会员 