校园无线网络wlan毕业设计.docx
《校园无线网络wlan毕业设计.docx》由会员分享,可在线阅读,更多相关《校园无线网络wlan毕业设计.docx(18页珍藏版)》请在冰点文库上搜索。
校园无线网络wlan毕业设计
目录
第一章绪论3
1.1无线校园网的概述3
1.2建设无线校园网必要性4
1.3无线局域网的应用方式5
1.4校园无线局域网的建设意义5
第二章校园网WLAN的设计思想6
2.1校园WLAN设计原则6
2.2校园WLAN各子网设计7
2.3校园WLAN设计思想7
2.4校园无线网络建设注意的事项8
第三章实现校园无线局域网的技术9
3.1无线局域网的主要技术9
3.2FHSS与DSSS技术的差异10
3.3DSSS和FHSS应用对比10
3.4组建校园无线局域网络的主要设备简介11
3.5无线局域网标准IEEE80211
3.6组建校园无线局域网络的设置细节12
3.7产品技术选择13
3.7.1覆盖方式选择13
3.7.2无线网络安全技术选择14
3.7.3认证技术选择14
3.7.4频率规划14
3.7.5频率复用15
3.8AP布点覆盖原则16
3.9表征覆盖效果理论的信号强度和传输距离的换算公式17
第四章无线校园网WLAN的实现方案17
4.1校园WLAN的逻辑设计17
4.1.1SSID和VLAN17
4.1.2地址和路由19
4.2校园WLAN设计分析21
4.2.1广东工业大学无线校园网的设计分析21
4.2.2设计原则22
4.2.3设计方案23
4.2.4整网拓朴图23
4.3校园WLAN的详细覆盖方案24
4.3.1室内方案24
4.3.2室外方案27
4.4计费认证系统设计29
4.5当前无线局域网解决的问题29
第五章安全防范30
5.1概述30
5.2无线局域网的结构30
5.3无线局域网的运行方式32
5.4无线局域网络主要的安全威胁32
5.5无线局域网中主要的安全防范技术33
总结34
校园无线网络wlan毕业设计
概述
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。
无线局域网具有以下显著特点:
简易性:
WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:
无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:
一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。
同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:
WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
随着WLAN技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业务。
侧重实际应用,覆盖校园内部分区域,为教学和学习生活提供切实可用的无线网络环境;
采取通行的网络协议标准:
目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a,802.11b,实现双频三模技术;
面的无线网络支撑系统(包括无线网管、无线安全,无线计费等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
保证网络访问的安全性;
采用非独立型的无线网络结构选型;
覆盖范围要求
I.有线网络无法接入的室外场所:
校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。
II.有线网络使用不便或受限的室内空间:
校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。
用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。
主要包括图书馆、主楼、各教学楼等;
安全、认证、计费和管理要求
要与现有的计费系统对接,实现针对用户计费、管理、控制功能;
校园无线网网络结构要求:
无线接入所需布设的AP通过校园网的汇聚层设备接入到校园网中,在汇聚层都提供相应的接口给无线网线,在接入层设备要在方案中进行描述。
工程布线和安装要求:
I.室内部分:
定好较为开阔位置,将网线和电源线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属
结构,可以固定在天花板内。
安装过程中应充分考虑防盗问题。
II.室外部分:
根据设备位置有两种布线方式。
如果AP设备放置在楼顶,则需要走网线和电源线;如果AP设备放置在室内,天线放置在室外,则需要走天线馈线。
这两种方式馈线都需走铁管,贴防水胶方式处理,安装过程中应充分考虑防盗。
III.供电部分:
AP的供电可采用POE方式由接入的网络设备进行供电(无需本地供电)。
Ø产品能力要求要求:
I.产品支持AES、WEP加密等安全标准;
II.漫游切换;
III.支撑QOS能力
1.1无线用户认证解决方案
本方案主要采用portal认证,WA2220E-AG/WA1208E-AGP与无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于无线业务插卡设备上,后台的iMC认证计费系统作为用户鉴权点。
鉴于目前无线网络本次规模,从网络支撑能力的角度来看,需要1块板卡就可以实现。
针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。
1.2
频率规划与负载均衡解决方案
频率规划(支持双频三模,建议部署802.11g)
802.11g使用开放的2.4GHzISM频段,可工作的信道数为欧洲标准信道数13个。
由于其支持直序扩频技术造成相邻频点之间存在重叠。
对于真正相互不重叠信道只有相隔5个信道的工作中心频点。
因此对于802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。
此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
`
频率规划需要配合使用的功能包括:
I.AP支持13个信道设置
II.AP支持100mW最大射频功率以及多级功率控制
III.AP支持外置天线以及定向天线
IV.针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
1.3无线网络管理解决方案
基于标准的SNMP协议实现对设备的管理,专门的无线局域网管理软件Quidview无线组件可实现对WLAN所有网元的管理。
网管工作站可以放在网上的任意位置,通过标准的SNMP即可实现对无线交换机的管理。
无线交换机可以实现更为强大的管理包括AP的自动拓扑发
现、自动升级、批量配置、分级管理、分级告警等,并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。
而无线局域网管理软件WXM可以实现配置管理整个WLAN无线网络,其具备以下特点:
1、零配置安装:
接入点无需准备预设置,AP从无线控制器继承配置信息。
可将无线控制器接入中心机房核心交换机中,WA2220E-AG/WA1208E-AGP无需事先进行任何配置,即通过接入层交换机接入有线网络,并自动注册到无线控制器上,获得DHCPSERVER分配的IP地址,并自动下载配置文件正常工作,在大规模AP的项目中大量节省安装维护成本。
2、防盗防入侵:
敏感配置信息不在本地保存,即使设备被入侵被盗也不会丢失安全信息。
实际运营中很多AP是放置在公共场所,如果密钥、SSID等安全信息在本地保存的话,一旦失窃对全网安全性造成威胁,WA2220E-AG/WA1208E-AGP由于其零配置安装,一旦掉电不会保存任何信息,避免入侵。
3、支持灵活的拓扑结构:
AP允许多种部署,从而能够直接或间接连接到管理它的无线局域网控制器。
无线控制器与WA2220E-AG/WA1208E-AGP之间可以隔离任何路由器或交换机,只要共同连接进有线网络,WA2220E-AG/WA1208E-AGP就可以自动寻找到无线控制器实现注册。
4、自动设置发射功率和分配射频信道:
自动设置发射功率和分配射频信道,用以优化射频单元大小和满足各国对射频信道的要求。
当有个别AP故障时,无线控制器会自动调大相邻AP的功率弥补信号盲区。
5、基于身份的组网:
根据用户名对用户权限进行区分,不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分,并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。
6、提供增强的安全性和无缝漫游:
通过这项基于身份的组网功能,经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性,实现了无缝的用户移动性和自由性,从而可以进行安全连接和漫游,一次认证多次接入,免去在不同AP下切换的再次认证。
7、安全管理:
提供入侵检测功能,专用AP可以不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。
一旦无线网络中有非法接入点接入,WA2220E-AG/WA1208E-AGP将上报相应的告警给无线控制器,并通过网管软件显示。
1.4无线AP供电解决方案
由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,对于校园室外覆盖主要采用AP放在室外,对AP的本地
供电问题难度更大。
基于标准的802.3af实现对AP的供电。
通过在汇集交换机处叠加一个供电电源或者内嵌交换机内,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。
但部分区域AP需室外放置,即需要配合室外机箱使用,为保证寒冷天气低温工作室外机箱内置电加热板,因此除给AP进行POE供电外还需对机箱进行本地交流供电。
,推送后勤相关信息等。
AP室内无障碍覆盖:
主要应用于空间较大的阶梯教室等重点室内区域,此时主要信号进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖;此时又分二种情况,划分原则主要要看是否要使用吸顶天线的问题,根据实现工程勘测情况来看,室内部分都可以采用吸顶天线的方式进行操作。
AP室内穿越障碍覆盖:
主要应用于各办公楼、图书馆、各教学楼等中间走廊两边房间结构室内区域,因为无线信号穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信号效果较好。
因此这样的结构适合在走廊中布置AP,来覆盖两边的房间区域;并且根据实现工程勘测情况来看,室内走廊部分都可以采用吸顶天线的方式进行操作。
室外开阔空间覆盖:
主要应用于各教学楼、宿舍楼门前空地这样的室外开阔区域,在室外开阔空间中AP的覆盖能力比室内半开阔空间要远,但为了保证效果通常是添加室外天线使用。
考虑到AP的有线端需要接入到有线网络,这就存在两种方式:
在附近具备有线网络建筑物的情况,往往考虑通过将AP安装在具备有线网络的建筑物的楼顶或是侧壁上通过室外定向天线对室外开阔空间进行覆盖。
H3CWA2200无线局域网接入点设备是华三公司最新研制的高性能系列化无线接入点产品,包括室内型、增强型类产品。
WA2200系列既可以作为瘦AP(FitAP)与无线控制器配合组网,也可以作为胖AP(FATAP)独立进行组网,为WLAN(WirelessLocalAreaNetwork)用户提供无线接入服务。
室内型设备型号:
H3CWA2210-AG(单频)、H3CWA2220-AG(双频)
增强型设备型号:
H3CWA2220E-AG(双频)
产品特点
WA2200系列无线接入点具有以下特点:
系列化产品满足不同的应用环境
1>室内型的两款,适用于覆盖半径小、对环境要求不高的室内应用场景;
2>增强型的一款,主要面向仓库、工厂车间等对温度、防尘等环境要求较高的应用场景;
3>室外型三款,主要面向对高低温、防潮、防水、防尘、防雷有较高要求的室外应用场景。
支持FAT/FIT两种工作模式
WA2200系列支持FAT和FIT两种工作模式,根据网络规划的需要,可以通过命令行灵活地在FAT和FIT两种工作模式中切换。
当客户的WLAN网络初始规模较小时,客户可以只采购WA2200设备并设置其工作于FAT模式。
随着客户网络规模的不断扩容,当几十甚至上百台WA2200得到应用时,为降低网络管理的复杂度,建议客户采购无线控制器,用于集中管理所有的WA2200设备。
WA2200只有切换到FIT工作模式后,才能接受无线控制器的集中管理。
支持FAT/FIT两种工作模式,有利于将客户的WLAN网络由小型网络平滑升级到大型网
络,从而很好地保护用户的投资。
支持双频多模
双频是指2.4GHz频段和5GHz频段。
多模是指IEEE802.11a、IEEE802.11b和IEEE802.11g三种模式。
WA2210-AG可支持IEEE802.11b/g或IEEE802.11a,WA2220-AG、WA2220E-AG可以同时支持IEEE802.11b/g和IEEE802.11a。
支持集中控制管理
WA2200工作于FIT模式时,无线控制器通过CAPWAP协议对WA2200实施控制,所有WA2200的状态在控制器上均可查询和管理。
此外,对于来自无线客户端的协商报文,WA2200会将其透传至无线控制器进行集中处理。
因此,所有客户端的状态在控制器上同样也是可查询和管理的。
支持“零配置”特性
WA2200工作于FIT模式时,所有必须配置均通过CAPWAP协议由无线控制器动态获取,WA2200上不需要作任何配置。
此特性使WLAN网络维护变得简单。
支持版本自动升级
WA2200作为FITAP和无线控制器配合使用时,可以和网络内的CAPWAP服务器取得联系,并下载最新的软件版本到AP设备。
所有的这些操作都是自动完成的,不需要人工的干预,减少了网络维护的工作量。
灵活的转发策略
WA2200工作于FIT模式时,在对无线用户数据的转发控制上,既可以支持本地转发模式,也可以支持集中转发模式,集中转发即数据帧通过CAPWAP隧道传送到控制器上再进行转发。
具体采用哪种转发模式,这可以通过在无线控制器上进行相应配置来实现。
集中控制和管理,降低了管理员维护WLAN网络的难度。
支持虚拟AP
WA2200支持虚拟AP特性,每个虚拟AP可应用不同的VLAN、不同的网络服务以及不同的认证方式。
该特性使得网络管理员可方便地为不同的用户群提供特定的服务。
支持完善的安全策略
支持丰富的认证方式
WA2200同时支持802.1x认证、PSK认证、MAC认证、PPPoE认证等多种认证方式,认证方式的多样性保证了应用的灵活性。
支持硬件加解密
WA2200采用了业界先进的无线芯片,支持WEP/TKIP/AES等硬件加解密算法,使安全处理不成为系统应用的瓶颈。
支持密钥动态协商和更新
WA2200当采用TKIP或AES加密算法时,相应的密钥均是由动态协商而来,且可以在使用一定的时长或加密数据帧后,进行动态更新。
这使得非法无线用户的窃听企图难以得逞。
支持中国标准WAPI(无线局域网鉴别和保密基础结构)
WA2200除了支持802.11i和WPA等国际标准外,还支持中国无线局域网国家标准GB15629.11-2003中提出的、安全等级更高的WAPI。
支持IPv6特性
WA2200全面支持IPv6特性,解决了IPv4下的地址枯竭等问题,可以满足今后网络发展的需要,是发展的一个大趋势。
支持QoS
WA2200支持无线QoS标准WMM(802.11e),保证了为不同的业务可以提供不同的无线信道竞争能力。
WMM结合有线QoS策略,可以提供端到端的QoS保证。
支持无线用户隔离
WA2200工作于FATAP模式时,支持无线用户之间的隔离。
当启用了此功能后,两个无线客户端之间无法直接通讯,无线客户端只能访问上游的有线网络。
应用此特性,运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证,实现所谓的热点应用。
高可靠性的业务设计
BOOTWARE支持CAPWAP
WA2200产品Bootware软件支持CAPWAP特性,可以与无线控制器进行交互完成应用程序的加载。
支持此特性,当WA2200工作于FIT模式时,在本地应用程序损坏或下载了非法应用程序的情况下,仍然可以通过无线控制器远程为WA2200加载合法的应用程序,恢复其正常工作,省却了本地升级版本的烦恼。
室内无线覆盖:
WA1208E设备系列能根据室内接入用户的数量或接入用户的类型选用合适的型号,安装在墙壁上使用自带天线,或安装在天花板内、桌面上外接天线放置,对50m以内范围进行覆盖。
WA1208E-DG、WA1208E-AG等根据其无线模块的配置自动将802.11a、802.11b、802.11g用户引导到合适的无线模块上,以提高网络效能,保证用户接入效果。
大范围室外无线覆盖:
对没有入户线缆资源的企业,采用基于802.11技术的无线接入方式,为最终用户提供宽带服务,同时发挥了在无线覆盖范围内,室内、室外任何位置随时随地接入、建设工程量小工期短、建网成本低等特点。
无线分布式系统应用:
对多个离散局域网子网需要组成更大的局域网络的应用或有环境保护要求的室外景区应用,基于802.11技术的WDS无疑是一种建网成本低、工期短、传输性能高的有效工具,WA1208E-AGP支持PTP、PTMP(每个射频模块最多支持16个点)WDS与无线接入点合一工作模式。
方便部署、易于管理
传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个AP,工作量巨大,且易于出错。
而采用无线控制器和FITAP配合组网,网络管理人员不再需要对每个AP进行逐一配置,而只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置文件。
另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。
AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联,真正做到了零配置,免维护,极大地减轻了网络管理员在部署网络阶段的维护工作量。
当网络正常运行以后,无线控制器对所管理的AP以及AP所接入的用户进行实时监控,并能将这些信息实时上报给网管,并且维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。
同时,无线控制器支持AP软件自动更新功能,AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致,如不一致AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。
另外,为了保证设备的安全性,无线控制器支持对接入的AP设备进行身份认证,保证只有合法的AP才能接入网络。
丰富的RF管理和安全
RF管理功能,可以使得无线网络的布网灵活性大大增强,网络的可维护性得到很大的提高。
AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段,信道和功率还需要按照国家代码自动设置,H3C无线控制器系列无线控制器的RF管理功能使得网络部署
非常简单。
RSSI/SNR的不断更新,更是让系统可以适时了解每一个无线用户所处电磁环境的好坏,离AP的距离,从而可以采取相应的策略来提升网络可用性。
支持智能的负载均衡
支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP,但如果无线用户不在AP的重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。
H3C公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
IPv6
无线控制器实现了IPv4/IPv6双协议栈。
AP和无线控制器之间可以穿过IPv6网络互联,从而使组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。
完善的QoS
无线控制器系列无线控制器基于H3C公司最新的ComwareV5平台开发,不但对Diff-Serv标准进行了完善,同时还增加了对IPv6协议的QoS支持。
QoSDiff-Serv模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,可为用户提供具有不同服务质量等级的服务保证,真正成为同时承载数据、语音和视频业务的综合网络。
实施DifferentiatedService(Diff-Serv)的主要技术包括流分类、流量监管(CAR)、拥塞管理(PQ/CQ)和拥塞避免。
有线无线一体化的网管系统
Quidview是H3C公司自主研发的新一代网络管理系统。
Quidview采用组件化结构设计,通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。
无论对于企业网、校园网、园区网用户还是各大运营商,Quidview都可以提供完善的解决方案,方便用户监控、维护、管理各自的网络。
Quidview的设备管理组件在单独安装时,可以与业界通用的网管平台进行集成,常用平台有SNMPc、HPOpenview等。
H3C无线控制器系列无线控制器提供本地维护、远程维护、集中维护等多种维护手段,并提供完备的告警、测试、诊断、跟踪、日志等功能,方便用户的日常维护管理。
支持EAD无线接入
端点准入防御(EAD,EndpointAdmissionDefense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
H3C无线控制器系列无线控制器支持无线用户的EAD接入,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。
从已经部署无线网络的学校的方案中不难看出,不少存在安全问题。
最重要的问题是非法授权的用户可利用无线局域网的漏洞,入侵到有线局域网当中,去窃听或干扰信息。
校园网中“教师人手一机”和学生自带笔记本等无线设备不断增加,很多学校都已经把无线校园网的建设纳入到校园网改造和升级范围内。
但是,从许多已经部署无线网络的学校的方案中不难看出,大都存在安全问题。
学校布设无线局域网络的需求一般包括为:
“教师或者学生安装无线网卡,进行简单的设置就可以在教学区和办公区漫游使用,在整个校园内连
升级会员 