第18頁PAGE9摘要無線局域網(wǎng)技術(shù)已迅速發(fā)展成為計算機網(wǎng)絡(luò)中一個至關(guān)重要的組成部分，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。此次課設(shè)中，首先采用瘦AP的組網(wǎng)方式對校園WLAN進行規(guī)劃，再運用網(wǎng)絡(luò)拓撲繪圖軟件LanFlow對校園WLAN進行了構(gòu)思，包括校園3D圖和網(wǎng)絡(luò)拓撲圖,并且對網(wǎng)絡(luò)安全進行了闡述。關(guān)鍵詞：校園無線局域網(wǎng)（WLAN);LanFlow;網(wǎng)絡(luò)安全前言高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)技術(shù)發(fā)展幾乎是同步進行的，高校不僅承擔(dān)著教書育人的工作，更承擔(dān)著部分國家級的科研任務(wù)，同時考慮未來幾年網(wǎng)絡(luò)平臺的發(fā)展趨勢，為了充分滿足高校骨干對高速、智能、安全、認證計費等的需求，可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。構(gòu)建校園骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本部之間的連接，以及實現(xiàn)端到端的以太網(wǎng)訪問，提高了傳輸?shù)乃俾?，有效的保證了遠程多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。隨著信息技術(shù)的高速發(fā)展，教育信息化水平正成為衡量學(xué)?？傮w發(fā)展水平的重要因素網(wǎng)絡(luò)技術(shù)的應(yīng)用對高校的教學(xué)手段和教育管理體系的促進作用是巨大的。1995年CERNET（中國教育和科研計算機網(wǎng)）建設(shè)全面啟動，全國各地的高校開始建設(shè)自己的計算機校園網(wǎng)。無線局域網(wǎng)作為計算機網(wǎng)絡(luò)的一個分支，隨著現(xiàn)代技術(shù)的日新月異，開始凸顯出它的巨大優(yōu)勢，它的簡易、靈活、成本低等特點，使得WLAN用戶無論何時何地實現(xiàn)個人與網(wǎng)絡(luò)世界的連接。目錄TOC\o"1-2"\h\u17752第一章無線局域網(wǎng)(WLAN)概述 1323381.1WLAN概述 190261.2WLAN結(jié)構(gòu) 115441.3無線橋接 2259591.4中型無線局域網(wǎng) 2314571.5大型可交換局域網(wǎng) 3326701.6WLAN的應(yīng)用 416921第二章WLAN在校園中的應(yīng)用 6266302.1校園WLAN應(yīng)用 6204402.2我校校園網(wǎng)建設(shè)、升級、改造的情況以及校園網(wǎng)基本現(xiàn)狀 626244第三章西校區(qū)校園無線局域網(wǎng)(WLAN)規(guī)劃思路 8264433.1概述 8186963.2WLAN的工作機制 882663.3WLAN技術(shù)指標 8274023.4WLAN覆蓋區(qū)域描述 91896第四章網(wǎng)絡(luò)規(guī)劃 11127684.1學(xué)生公寓樓 1149714.2總體規(guī)劃 11162314.3主要設(shè)備選型 124936第五章安全防范 15113205.1概述 15217225.2無線局域網(wǎng)的安全認證 15255255.3無線局域網(wǎng)的加密技術(shù) 16217255.4選擇無線局域網(wǎng)安全策略的原則 1629547結(jié)束語 178226參考文獻 18第一章無線局域網(wǎng)(WLAN)概述1.1WLAN概述無線局域網(wǎng)（WLAN）技術(shù)于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。無線局域網(wǎng)具有以下顯著特點：簡易性：WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少鋪設(shè)管道及布線等繁瑣工作；靈活性：無線技術(shù)使得WLAN設(shè)備可以靈活的進行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護已有投資。同時，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過千兆自適應(yīng)網(wǎng)口和企業(yè)、學(xué)校內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴展能力強：WLAN網(wǎng)橋系統(tǒng)支持多種拓撲結(jié)構(gòu)及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆，向客戶提供各種業(yè)務(wù)。1.2WLAN結(jié)構(gòu)無線局域網(wǎng)拓撲結(jié)構(gòu)概述：基于IEEE802.11標準的無線局域網(wǎng)允許在局域網(wǎng)絡(luò)環(huán)境中使用可以不必授權(quán)的ISM頻段中的2.4或5.8GHz射頻波段進行無線連接。它們被廣泛應(yīng)用，從家庭到企業(yè)再到Internet接入熱點。圖1.1無線局域網(wǎng)簡單的家庭無線LAN簡單的家庭無線LAN：在家庭無線局域網(wǎng)最通用和最便宜的例子，如圖1.1所示，一臺設(shè)備作為防火墻，路由器，交換機和無線接入點。這些無線路由器可以提供廣泛的功能，例如：保護家庭網(wǎng)絡(luò)遠離外界的入侵。允許共享一個ISP（Internet服務(wù)提供商）的單一IP地址。可為4臺計算機提供有線以太網(wǎng)服務(wù)，但是也可以和另一個以太網(wǎng)交換機或集線器進行擴展。為多個無線計算機作一個無線接入點。通?；灸K提供2.4GHz802.11b/g操作的Wi-Fi，而更高端模塊將提供雙波段Wi-Fi或高速MIMO性能。雙波段接入點提供2.4GHz802.11b/g和5.8GHz802.11a性能，而MIMO接入點在2.4GHz范圍中可使用多個射頻以提高性能。雙波段接入點本質(zhì)上是兩個接入點為一體并可以同時提供兩個非干擾頻率，而更新的MIMO設(shè)備在2.4GHz范圍或更高的范圍提高了速度。2.4GHz范圍經(jīng)常擁擠不堪而且由于成本問題，廠商避開了雙波段MIMO設(shè)備。雙波段設(shè)備不具有最高性能或范圍，但是允許你在相對不那么擁擠的5.8GHz范圍操作，并且如果兩個設(shè)備在不同的波段，允許它們同時全速操作。家庭網(wǎng)絡(luò)中的例子并不常見。該拓撲費用更高但是提供了更強的靈活性。路由器和無線設(shè)備可能不提供高級用戶希望的所有特性。在這個配置中，此類接入點的費用可能會超過一個相當?shù)穆酚善骱虯P一體機的價格，歸因于市場中這種產(chǎn)品較少，因為多數(shù)人喜歡組合功能。一些人需要更高的終端路由器和交換機，因為這些設(shè)備具有諸如帶寬控制，千兆以太網(wǎng)這樣的特性，以及具有允許他們擁有需要的靈活性的標準設(shè)計。1.3無線橋接當有線連接以太網(wǎng)或者需要為有線連接建立第二條冗余連接以作備份時，無線橋接允許在建筑物之間進行無線連接。802.11設(shè)備通常用來進行這項應(yīng)用以及無線光纖橋。802.11基本解決方案一般更便宜并且不需要在天線之間有直視但是比光纖解決方案要慢很多。802.11解決方案通常在5至30mbps范圍內(nèi)操作，而光纖解決方案在100至1000mbps范圍內(nèi)操作。這兩種橋操作距離可以超過10英里，基于802.11的解決方案可達到這個距離，而且它不需要線纜連接。但基于802.11的解決方案的缺點是速度慢和存在干擾，而光纖解決方案不會。光纖解決方案的缺點是價格高以及兩個地點間不具有直視性。圖1.2無線局域網(wǎng)1.4中型無線局域網(wǎng)中等規(guī)模的企業(yè)傳統(tǒng)上使用一個簡單的設(shè)計，他們簡單地向所有需要無線覆蓋的設(shè)施提供多個接入點。這個特殊的方法可能是最通用的，因為它入口成本低，盡管一旦接入點的數(shù)量超過一定限度它就變得難以管理。大多數(shù)這類無線局域網(wǎng)允許你在接入點之間漫游，因為它們配置在相同的以太子網(wǎng)和SSID中。從管理的角度看，每個接入點以及連接到它的接口都被分開管理。在更高級的支持多個虛擬SSID的操作中，VLAN通道被用來連接訪問點到多個子網(wǎng)，但需要以太網(wǎng)連接具有可管理的交換端口。這種情況中的交換機需要進行配置，以在單一端口上支持多個VLAN。盡管使用一個模板配置多個接入點是可能的，但是當固件和配置需要進行升級時，管理大量的接入點仍會變得困難。從安全的角度來看，每個接入點必須被配置為能夠處理其自己的接入控制和認證。RADIUS服務(wù)器將這項任務(wù)變得更輕松，因為接入點可以將訪問控制和認證委派給中心化的RADIUS服務(wù)器，這些服務(wù)器可以輪流和諸如Windows活動目錄這樣的中央用戶數(shù)據(jù)庫進行連接。但是即使如此，仍需要在每個接入點和每個RADIUS服務(wù)器之間建立一個RADIUS關(guān)聯(lián)，如果接入點的數(shù)量很多會變得很復(fù)雜。1.2.1建設(shè)背景圖1.3無線局域網(wǎng)1.5大型可交換局域網(wǎng)交換無線局域網(wǎng)是無線連網(wǎng)最新的進展，簡化的接入點通過幾個中心化的無線控制器進行控制。數(shù)據(jù)通過Cisco，ArubaNetworks，Symbol和TrapezeNetworks這樣的制造商的中心化無線控制器進行傳輸和管理。這種情況下的接入點具有更簡單的設(shè)計，用來簡化復(fù)雜的操作系統(tǒng)，而且更復(fù)雜的邏輯被嵌入在無線控制器中。接入點通常沒有物理連接到無線控制器，但是它們邏輯上通過無線控制器交換和路由。要支持多個VLAN，數(shù)據(jù)以某種形式被封裝在隧道中，所以即使設(shè)備處在不同的子網(wǎng)中，但從接入點到無線控制器有一個直接的邏輯連接。從管理的角度來看，管理員只需要管理可以輪流控制數(shù)百接入點的無線局域網(wǎng)控制器。這些接入點可以使用某些自定義的DHCP屬性以判斷無線控制器在哪里，并且自動連結(jié)到它成為控制器的一個擴充。這極大地改善了交換無線局域網(wǎng)的可伸縮性，因為額外接入點本質(zhì)上是即插即用的。要支持多個VLAN，接入點不再在它連接的交換機上需要一個特殊的VLAN隧道端口，并且可以使用任何交換機甚至易于管理的集線器上的任何老式接入端口。VLAN數(shù)據(jù)被封裝并發(fā)送到中央無線控制器，它處理到核心網(wǎng)絡(luò)交換機的單一高速多VLAN連接。安全管理也被加固了，因為所有訪問控制和認證在中心化控制器進行處理，而不是在每個接入點。只有中心化無線控制器需要連接到RADIUS服務(wù)器，這些服務(wù)器在圖6顯示的例子中輪流連接到活動目錄。交換無線局域網(wǎng)的另一個好處是低延遲漫游。這允許VoIP和Citrix這樣的對延遲敏感的應(yīng)用。切換時間會發(fā)生在通常不明顯的大約50毫秒內(nèi)。傳統(tǒng)的每個接入點被獨立配置的無線局域網(wǎng)有1000毫秒范圍內(nèi)的切換時間，這會破壞電話呼叫并丟棄無線設(shè)備上的應(yīng)用會話。交換無線局域網(wǎng)的主要缺點是由于無線控制器的附加費用而導(dǎo)致的額外成本。但是在大型無線局域網(wǎng)配置中，這些附加成本很容易被易管理性所抵消。圖1.4無線局域網(wǎng)1.6WLAN的應(yīng)用大樓之間：大樓之間建構(gòu)網(wǎng)絡(luò)的連結(jié)，取代專線，簡單又便宜。餐飲及零售：餐飲服務(wù)業(yè)可使用無線局域網(wǎng)絡(luò)產(chǎn)品，直接從餐桌即可輸入并傳送客人點菜內(nèi)容至廚房、柜臺。零售商促銷時，可使用無線局域網(wǎng)絡(luò)產(chǎn)品設(shè)置臨時收銀柜臺。醫(yī)療：使用附無線局域網(wǎng)絡(luò)產(chǎn)品的手提式計算機取得實時信息，醫(yī)護人員可藉此避免對傷患救治的遲延、不必要的紙上作業(yè)、單據(jù)循環(huán)的遲延及誤診等，而提升對傷患照顧的品質(zhì)。企業(yè)：當企業(yè)內(nèi)的員工使用無線局域網(wǎng)絡(luò)產(chǎn)品時，不管他們在辦公室的任何一個角落，有無線局域網(wǎng)絡(luò)產(chǎn)品，就能隨意地發(fā)電子郵件、分享檔案及上網(wǎng)絡(luò)瀏覽。倉儲管理：一般倉儲人員的盤點事宜，透過無線網(wǎng)絡(luò)的應(yīng)用，能立即將最新的資料輸入計算機倉儲系統(tǒng)。圖1.5無線局域網(wǎng)貨柜集散場：一般貨柜集散場的橋式起重車，可于調(diào)動貨柜時，將實時信息傳回office，以利相關(guān)作業(yè)之逐行。監(jiān)視系統(tǒng)：一般位于遠方且需受監(jiān)控現(xiàn)場之場所，由于布線之困難，可藉由無線網(wǎng)絡(luò)將遠方之影像傳回主控站。展示會場：諸如一般的電子展，計算機展，由于網(wǎng)絡(luò)需求極高，而且布線又會讓會場顯得凌亂，因此若能使用無線網(wǎng)絡(luò)，則是再好不過的選擇。1.7WLAN的優(yōu)點1.靈活性和移動性。在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)位置的限制，而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個位置都可以接入網(wǎng)絡(luò)。無線局域網(wǎng)另一個最大的優(yōu)點在于其移動性，連接到無線局域網(wǎng)的用戶可以移動且能同時與網(wǎng)絡(luò)保持連接。2.安裝便捷。無線局域網(wǎng)可以免去或最大程度地減少網(wǎng)絡(luò)布線的工作量，一般只要安裝一個或多個接入點設(shè)備，就可建立覆蓋整個區(qū)域的局域網(wǎng)絡(luò)。3.易于進行網(wǎng)絡(luò)規(guī)劃和調(diào)整。對于有線網(wǎng)絡(luò)來說，辦公地點或網(wǎng)絡(luò)拓撲的改變通常意味著重新建網(wǎng)。重新布線是一個昂貴、費時、浪費和瑣碎的過程，無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。4.故障定位容易。有線網(wǎng)絡(luò)一旦出現(xiàn)物理故障，尤其是由于線路連接不良而造成的網(wǎng)絡(luò)中斷，往往很難查明，而且檢修線路需要付出很大的代價。無線網(wǎng)絡(luò)則很容易定位故障，只需更換故障設(shè)備即可恢復(fù)網(wǎng)絡(luò)連接。5.易于擴展。無線局域網(wǎng)有多種配置方式，可以很快從只有幾個用戶的小型局域網(wǎng)擴展到上千用戶的大型網(wǎng)絡(luò)，并且能夠提供節(jié)點間“漫游”等有線網(wǎng)絡(luò)無法實現(xiàn)的特性。由于無線局域網(wǎng)有以上諸多優(yōu)點，因此其發(fā)展十分迅速。最近幾年，無線局域網(wǎng)已經(jīng)在企業(yè)、醫(yī)院、商店、工廠和學(xué)校等場合得到了廣泛的應(yīng)用。無線局域網(wǎng)的不足之處：無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實用的同時，也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在以下幾個方面：⑴性能。無線局域網(wǎng)是依靠無線電波進行傳輸?shù)?。這些電波通過無線發(fā)射裝置進行發(fā)射，而建筑物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸，所以會影響網(wǎng)絡(luò)的性能。⑵速率。無線信道的傳輸速率與有線信道相比要低得多。目前，無線局域網(wǎng)的最大傳輸速率為150Mbit/s，只適合于個人終端和小規(guī)模網(wǎng)絡(luò)應(yīng)用。⑶安全性。本質(zhì)上無線電波不要求建立物理的連接通道，無線信號是發(fā)散的。從理論上講，很容易監(jiān)聽到無線電波廣播范圍內(nèi)的任何信號，造成通信信息泄漏。第二章WLAN在校園中的應(yīng)用2.1校園WLAN應(yīng)用校園網(wǎng)已經(jīng)成為校園生活的重要組成部分，成為教師和學(xué)生獲取資源和信息的主要途徑之一，它把學(xué)校中的學(xué)生、院系和社交、學(xué)術(shù)、業(yè)務(wù)活動的行政人員緊密地聯(lián)系在一起，在高校教育中的作用與地位日益顯著。經(jīng)過這些年有線網(wǎng)絡(luò)建設(shè)、運行、維護，從實踐結(jié)果來看，由于目前網(wǎng)絡(luò)是“有線”的，所以在有些應(yīng)用領(lǐng)域會出現(xiàn)困難。例如，很多高校只是在部分區(qū)域接通了網(wǎng)絡(luò)，而不能顧及所有區(qū)域，布置了網(wǎng)線的教室、圖書館數(shù)量有限；有些高校經(jīng)費比較緊張，很難投入較大的財力來鋪設(shè)光纜；有些高校的建筑物具有一定的歷史意義，不適合鉆孔布線；有些高校由多個校區(qū)組成，校區(qū)之間聯(lián)網(wǎng)成本較高等等。隨著信息技術(shù)的飛速發(fā)展，教師和學(xué)生對高校校園網(wǎng)的依賴性相當之高，“隨時隨地獲取信息”已成為廣大師生們的新需求。但是，傳統(tǒng)的有線校園網(wǎng)存在著諸多“網(wǎng)絡(luò)盲點”，比如在圖書館、大型會議室、體育館等許多不宜網(wǎng)絡(luò)布線的場館設(shè)施如何聯(lián)網(wǎng)，在教室、實驗室等場合如何突破網(wǎng)絡(luò)節(jié)點限制、實現(xiàn)多人同時上網(wǎng)的問題。從應(yīng)用需求方面考慮，無線網(wǎng)絡(luò)很適合學(xué)校的一些不易于網(wǎng)絡(luò)布線的場所應(yīng)用?，F(xiàn)在如何使校園的每個角落都處在網(wǎng)絡(luò)中，形成真正意義上的校園網(wǎng)。想象一下，當學(xué)生們放完暑假返回校園，驚奇地發(fā)現(xiàn)自己的筆記本電腦在學(xué)校任何地方都可以上網(wǎng)時的那份欣喜若狂……現(xiàn)在這已經(jīng)是一些學(xué)校的現(xiàn)實。2.2我校校園網(wǎng)建設(shè)、升級、改造的情況以及校園網(wǎng)基本現(xiàn)狀我校的校園網(wǎng)絡(luò)自1996年建設(shè)以來，經(jīng)歷了3次大規(guī)模的建設(shè)、升級與改造過程，前后歷時10年時間，學(xué)校在信息化建設(shè)上共投資2599余萬元，其中包括教育部“西部大學(xué)校園網(wǎng)建設(shè)項目”的網(wǎng)絡(luò)建設(shè)資金800萬元。我校校園網(wǎng)已經(jīng)達到了比較高的建設(shè)水平，校園網(wǎng)絡(luò)覆蓋了全部教學(xué)區(qū)、辦公區(qū)、實驗室、各工程中心（所）、學(xué)生公寓、家屬區(qū)、信息點已達12500多個，校園網(wǎng)注冊用戶數(shù)量達4594個，全校聯(lián)網(wǎng)計算機共計7851臺。另外，網(wǎng)絡(luò)IP電話、無線局域網(wǎng)（WLAN）的建設(shè)也在我校得到了充分的應(yīng)用，我校的主要職能處室與各院系的主要辦公室全部配置了網(wǎng)絡(luò)IP電話，我校的主要辦公場所、會議地點與學(xué)生活動場所，均開通了WLAN無線上網(wǎng)方式。目前，我校的校園網(wǎng)絡(luò)經(jīng)過升級與改造，軟、硬件的配置水平已達到較高的水平，包括7臺網(wǎng)絡(luò)核心運行設(shè)備、35臺網(wǎng)絡(luò)匯聚層交換機、521臺網(wǎng)絡(luò)接入層交換機、2臺IPv6網(wǎng)絡(luò)核心實驗設(shè)備和2臺網(wǎng)絡(luò)安全設(shè)備及62臺網(wǎng)絡(luò)服務(wù)器、3臺數(shù)據(jù)庫陣列，所有設(shè)備全部屬于準企業(yè)級運行標準，現(xiàn)代化程度達到了目前甘肅省高校網(wǎng)絡(luò)建設(shè)的一級水平。在網(wǎng)絡(luò)應(yīng)用服務(wù)方面，包含了WEB、E_MAIL、垃圾郵件過濾網(wǎng)關(guān)、計費網(wǎng)關(guān)、OA辦公自動化、綜合教務(wù)管理系統(tǒng)、數(shù)字圖書館、電子圖書、期刊和學(xué)術(shù)論文全文檢索管理系統(tǒng)、校園一卡通管理系統(tǒng)、學(xué)生收費系統(tǒng)、學(xué)生就業(yè)網(wǎng)、科技創(chuàng)新網(wǎng)、網(wǎng)絡(luò)安全管理系統(tǒng)、網(wǎng)絡(luò)防殺毒管理系統(tǒng)、財務(wù)管理系統(tǒng)、新聞中心、VOD視頻點播、FTP下載、BBS論壇、IPPHONE、高校人事管理系統(tǒng)，校董校友會，后勤水電查詢管理系統(tǒng)、國資設(shè)備管理系統(tǒng)等應(yīng)用服務(wù)平臺，各應(yīng)用系統(tǒng)符合學(xué)校自身的管理流程和特色，在學(xué)校的本科教學(xué)、科研與管理中發(fā)揮了重要作用?，F(xiàn)在，我校的校園網(wǎng)已成為教學(xué)、科研網(wǎng)絡(luò)信息輔助系統(tǒng)的重要組成部分，并且按照實施“數(shù)字理工大”的建設(shè)目標，我們將不斷拓展新的應(yīng)用與服務(wù)，使信息化建設(shè)與應(yīng)用更加全面與完善。第三章西校區(qū)校園無線局域網(wǎng)(WLAN)規(guī)劃思路 3.1概述WLAN（WirelessLocalAreaNetwork，無線局域網(wǎng)）是通信行業(yè)的一個時髦詞語，而且可以肯定它是一種人人都想使用的技術(shù)。WLAN變得如此流行的原因是易于安裝和使用。通過WLAN系統(tǒng)，用戶無須考慮復(fù)雜的線路連接和布置問題。可是WLAN系統(tǒng)也不是完全的“無線”，因為只有客戶端是可移動的，而服務(wù)器或者說接入設(shè)備是固定的。使用WLAN解決方案，網(wǎng)絡(luò)服務(wù)商和企業(yè)能給他們的客戶提供無線局域網(wǎng)服務(wù)，這些服務(wù)包括：使用帶有WLAN功能的設(shè)備組建一個無線網(wǎng)絡(luò)。這個網(wǎng)絡(luò)可以成為接入固網(wǎng)或者Internet的入口。配置了無線PCI網(wǎng)卡的客戶端可以與無線網(wǎng)絡(luò)建立連接并訪問固網(wǎng)或Internet。WLAN客戶端與傳統(tǒng)的802.3局域網(wǎng)的互連。通過不同的加密和認證方式實現(xiàn)安全的訪問。WLAN功能使用戶能夠安全的訪問網(wǎng)絡(luò)并且能在同一移動區(qū)域內(nèi)進行快速漫游。3.2WLAN的工作機制WLAN由以下幾個部分組成：⑴Client（客戶端）：帶有無線網(wǎng)卡的便攜機。⑵AccessPoint（無線路由器，接入點）：執(zhí)行橋接操作的設(shè)備，在客戶端（Client）和局域網(wǎng)（LAN）之間對無線幀和有線幀進行相互轉(zhuǎn)換。⑶AccessController（AC，無線控制管理器）：對WLAN內(nèi)所有無線路由器進行管理和控制的設(shè)備，通過與認證服務(wù)器的通信來進行信息過濾。⑷WirelessMedium（無線媒介）：用于客戶端間進行幀傳輸?shù)拿浇?。在WLAN系統(tǒng)里使用無線電頻率做為媒介。3.3WLAN技術(shù)指標表3.1WLAN技術(shù)指標項目要求場強無線覆蓋邊緣功率場強：高速數(shù)據(jù)密集區(qū)域≥-75dBm；低速數(shù)據(jù)區(qū)域≥-95dBm。覆蓋率服務(wù)區(qū)域覆蓋率：符合指定功率強度的區(qū)域，占設(shè)計服務(wù)區(qū)域的比例不低于95％信道吞吐量Wlan無線信道吞吐量，單個AP無干擾情況下無線信道實際吞吐量。對802.11b信道實測吞吐量≥5M，對802.11G信道實測吞吐量≥15M。3.4WLAN覆蓋區(qū)域描述蘭州理工大學(xué)西校區(qū)位于七里河區(qū)彭家坪，由教學(xué)樓、實驗教學(xué)示范中心、學(xué)生公寓、圖書館、體育館組成。表3.2覆蓋區(qū)域統(tǒng)計覆蓋區(qū)域統(tǒng)計大樓名稱覆蓋區(qū)域交換機數(shù)量及位置AP數(shù)量及位置教學(xué)樓1號教學(xué)樓（1-5層）1臺位于1層弱電間每層10個（該層弱電間）2號教學(xué)樓（1-5層）1臺位于1層弱電間每層10個（該層弱電間）4號教學(xué)樓（1-5層）1臺位于1層弱電間每層10個（該層弱電間）6號教學(xué)樓（1-5層）1臺位于1層弱電間每層10個（該層弱電間）實驗教學(xué)示范中心1-3層1臺位于1層弱電間每層5個（該層弱電間）學(xué)生公寓南村（A-H樓，每樓7層）每樓1臺位于

1層弱電間每層12個（該層弱電間）北村（A-H樓，

每樓7層）每樓1臺位于

1層弱電間每層12個（該層弱電間）圖書館1-3層(含食堂和大學(xué)生活動中心)1臺位于1層弱電間每層5個（該層弱電間）體育館北村體育館1臺位于南村體育部

1層弱電間3個（南村體育部弱電間）南村體育部

（含校醫(yī)室）2個（南村體育部弱電間）3.5設(shè)備配置簡介表3.3WLANAP配置情況WLANAP配置情況AP華為WA601（500mW瘦AP）27dBm接口類型N型母頭設(shè)備位置弱電間覆蓋方式AP+室外布放式WLANAC配置情況AC華為AC6605設(shè)備位置機房、弱電井或配電間POE交換機配置情況POE華為S1626-PWR設(shè)備位置機房、弱電間說明：1.瘦AP是指需要無線控制器進行管理、調(diào)試和控制的AP。此無線設(shè)備的傳輸機制相當于有線網(wǎng)絡(luò)中的集線器，在無線局域網(wǎng)中不停地接收和傳送數(shù)據(jù);任何一臺裝有無線網(wǎng)卡的PC均可通過AP來分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當網(wǎng)絡(luò)中增加一個無線AP之后，即可成倍地擴展網(wǎng)絡(luò)覆蓋直徑;還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備。每個無線AP基本上都擁有一個以太網(wǎng)接口，用于實現(xiàn)無線與有線的連接。而“胖”AP，其學(xué)名應(yīng)該稱之為無線路由器。無線路由器與純AP不同，除無線接入功能外，一般具備WAN、LAN兩個接口，多支持DHCP服務(wù)器、DNS和MAC地址克隆，以及VPN接入、防火墻等安全功能。2.POE(PowerOverEthernet)指的是在現(xiàn)有的以太網(wǎng)Cat.5布線基礎(chǔ)架構(gòu)不作做何改動的情況下，在為一些基于IP的終端（如IP電話機、無線局域網(wǎng)接入點AP、網(wǎng)絡(luò)攝像機等）傳輸數(shù)據(jù)信號的同時，還能為此類設(shè)備提供直流供電的技術(shù)。POE技術(shù)能在確?，F(xiàn)有結(jié)構(gòu)化布線安全的同時保證現(xiàn)有網(wǎng)絡(luò)的正常運作，最大限度地降低成本。第四章網(wǎng)絡(luò)規(guī)劃4.1學(xué)生公寓樓學(xué)生公寓為7層建筑，有吊頂，有弱電井。AP數(shù)量：12臺華為WA601（500mW瘦AP）室內(nèi)分布型AP；AP位置：各樓層弱電井；POE交換機：1臺華為S1626-PWR，POE交換機位置：一樓弱電間；以公寓樓1－7層平面圖為例，AP置于該層弱電間，過道區(qū)域每隔8-10米布放一個全向吸頂天線，但是由于吊頂，加之天花板上突起橫梁較多，實際布線間隔會在13米左右。AP電源由一層弱電間的POE交換機統(tǒng)一提供，使用POE網(wǎng)線經(jīng)弱電井上聯(lián)到各樓層AP。室內(nèi)分布通過功分器、耦合器、7/8英寸射頻電纜和全向吸頂天線實現(xiàn)信號的合理覆蓋，其它樓層類似。4.2總體規(guī)劃無心接入點AP分布：：教學(xué)樓提供200個AP；實驗樓提供15個AP；圖書館提供15個AP；體育教研部及校醫(yī)院配備5個AP；學(xué)生公寓按照每層樓配備1344個AP?？偱鋫?708個AP。其各棟建筑地理分布及AP總體需求數(shù)如圖4.1所示。圖4.1西校區(qū)WLAN的平面圖根據(jù)規(guī)劃的需求，則西校區(qū)校園無線局域網(wǎng)（WLAN）的總拓撲圖如圖4.2所示：2.3硬件設(shè)備的選購2.3.1核心交換機圖4.2西校區(qū)WLAN的總拓撲圖4.3主要設(shè)備選型1.WLANAP的選擇：教學(xué)區(qū)和學(xué)生宿舍的通訊量都比較高，根據(jù)設(shè)計原則和網(wǎng)絡(luò)設(shè)備選型原則，則AP選擇華為WA601無線AP，相關(guān)的主要參數(shù)如表4-1所示。表4-1華為WA601的主要參數(shù)基礎(chǔ)參數(shù)工作方式無線網(wǎng)絡(luò)標準IEEE802.11b/g傳輸速率54Mbps頻率范圍2.4GHz輸出功率500mW天線類型可拆卸天線網(wǎng)絡(luò)參數(shù)傳輸協(xié)議QoS協(xié)議其他參數(shù)安全認證WEP/WPA/WPA2/WAPI/802.1X認證電源電壓5VDC環(huán)境參數(shù)工作溫度-10℃~55℃存儲溫度-40℃~70℃濕度范圍5%~95%非冷凝外觀參數(shù)尺寸210×125×25外觀參數(shù)重量0.637kg2.WLANAC的選擇：AC在WLAN中稱為無線控制器,對局域網(wǎng)內(nèi)的AP進行控制和管理，同印證服務(wù)器交互信息為用戶提供印證服務(wù)。在這里我選用華為的AC6605.AC6605是華為技術(shù)有限公司推出的無線接入控制器，提供大容量、高性能、高可靠性、易安裝、易維護的無線數(shù)據(jù)業(yè)務(wù)控制業(yè)務(wù)，具有組網(wǎng)靈活、綠色節(jié)能、易安裝、易維護等優(yōu)勢。AC6605位于整個網(wǎng)絡(luò)的業(yè)務(wù)接入層，提供高速、安全、可靠的WLAN業(yè)務(wù)控制，AC6605在整個網(wǎng)絡(luò)部署時中可采用直連式和旁掛式兩種組網(wǎng)方式，如下圖4.3所示：

圖4.3AC6605在網(wǎng)路中的應(yīng)用直連式組網(wǎng)是指AC6605下直接接入AP或接入交換機，同時扮演AC和匯聚交換機功能，AP的數(shù)據(jù)業(yè)務(wù)和管理業(yè)務(wù)都由AC6605集中轉(zhuǎn)發(fā)和處理。旁掛式組網(wǎng)是指AC6605旁掛在現(xiàn)有網(wǎng)絡(luò)中(多在匯聚交換機旁邊)，實現(xiàn)對AP的WLAN信令和策略控制業(yè)務(wù)的管理。3.POE交換機的選擇：POE(PowerOverEthernet)指的是在現(xiàn)有的以太網(wǎng)Cat.5布線基礎(chǔ)架構(gòu)不作做何改動的情況下，在為一些基于IP的終端（如IP電話機、無線局域網(wǎng)接入點AP、網(wǎng)絡(luò)攝像機等）傳輸數(shù)據(jù)信號的同時，還能為此類設(shè)備提供直流供電的技術(shù)。POE技術(shù)能在確?，F(xiàn)有結(jié)構(gòu)化布線安全的同時保證現(xiàn)有網(wǎng)絡(luò)的正常運作，最大限度地降低成本。在此次實驗中我選用華為的S1626-PWR。相關(guān)的主要參數(shù)如表4-2所示：表4-2華為S1626-PWR的主要參數(shù)項目描述產(chǎn)品S1626S1626-PWRS1650標準IEEE802.310BASE-T以太網(wǎng)IEEE802.3u100BASE-TX快速以太網(wǎng)IEEE802.3ab1000BASE-T千兆以太網(wǎng)IEEE802.3z千兆以太網(wǎng)（光纖）ANSI/IEEE802.3NWay自動協(xié)商IEEE802.3x流量控制固定端口24個10/100BASE-T自協(xié)商的以太網(wǎng)端口2個10/100/1000BASE-T自協(xié)商的以太網(wǎng)端口（Combo端口，電口優(yōu)先）1個Console端口24個10/100BASE-T自協(xié)商的以太網(wǎng)端口2個10/100/1000BASE-T自協(xié)商的以太網(wǎng)端口（Combo端口，電口優(yōu)先）1個Console端口1～端口24，可以為連接到該端口的設(shè)備進行遠程供電，總供電不能超過154W，單個端口供電能力30W48個10/100BASE-T自協(xié)商的以太網(wǎng)端口2個10/100/1000BASE-T自協(xié)商的以太網(wǎng)端口（Combo端口，電口優(yōu)先）1個Console端口可選端口2個1000Base-SX/LXSFP光口固定端口屬性連接器類型：RJ-45支持半雙工、全雙工、自協(xié)商工作模式支持MDI/MDI-X自適應(yīng)可選端口屬性連接器類型：LC支持1000Mbit/s傳輸速率全雙工第五章安全防范5.1概述安全問題一直是制約無線局域網(wǎng)技術(shù)的推廣的關(guān)鍵因素之一，越來多的決策者認為安全問題是影響他們做出無線局域網(wǎng)部署決定的首要因素。實際上，IEEE以及Wifi聯(lián)盟、Microsoft、Cisco等無線局域網(wǎng)標準的制定機構(gòu)和軟硬件廠商，一直致力于重新定義和改進無線局域網(wǎng)安全標準，以便無線局域網(wǎng)能經(jīng)受惡劣的安全環(huán)境的考驗。本方案對無線局域網(wǎng)各種安全標準和協(xié)議進行分析與研究，提出了選擇無線局域網(wǎng)的安全策略，并給出了無線局域網(wǎng)安全技術(shù)在校園網(wǎng)工程建設(shè)中的應(yīng)用。圖5.1無線局域網(wǎng)安全技術(shù)5.2無線局域網(wǎng)的安全認證在無線客戶端和無線無線路由器交換數(shù)據(jù)之前，它們之間必須先進行一次對話。在802.llb標準制定時，IEEE在其中加入了一項功能：當無線客戶端和無線無線路由器對話后，就立即開始認證工作，在通過認證之前，設(shè)備無法進行其他關(guān)鍵通信。這種認證方式有