基于WLAN的校园网的设计与实施Word下载.docx
- 文档编号:4707295
- 上传时间:2023-05-03
- 格式:DOCX
- 页数:36
- 大小:169.65KB
基于WLAN的校园网的设计与实施Word下载.docx
《基于WLAN的校园网的设计与实施Word下载.docx》由会员分享,可在线阅读,更多相关《基于WLAN的校园网的设计与实施Word下载.docx(36页珍藏版)》请在冰点文库上搜索。
WLAN;
校园网;
拓扑结构;
网络安全;
DisigenandImplemenationofCampusWLAN
CommunicationEngineeringSpecialtyYuanChunYan
Abstract:
Withthedevelopmentofscienceandtechnology,thetraditionalwirednetworkcannotmeettheneedsofpeople,especiallyinthecampus,"
anytime,anywhereaccesstoinformation"
hasbecomeanewdemandofthebroadmassesofteachersandstudents.BasedontheWLANwirelessnetworkconstructionofcampusnetwork,whichusesradiofrequencytechnology,basedontheIEEE802.11standard,usingtheswitchtechnolge,replacingtheoldtwisted-paircopperwireofwiredlocalareanetwork,enablestheusertouseaccesstoitssimplearchitecture,informationwithyou,anytime,anywheretoconnecttotheInternetworld.Wirelesslocalareanetwork(LAN)makeuptheshortageofwiredlocalareanetwork,inordertoachievethepurposeofextendingthenetwork.
Keywords:
wirelesslocalareanetwork;
campusnetwork;
topology;
security
1绪论
1.1课题研究背景和目的
无线局域网(WLAN)技术产生于20世纪90年代逐渐成熟并投入使用,它既是对有线网络的延伸,在某些环境下也可以替代传统的有线网络,无线局域网具有很多优势,由于传统校园网是几台PC同时连上Internet,通过局域网共享Internet。
无线局域网,也被成为WLAN(wirelessLAN),一般用于宽带家庭,大楼内部以及园区,覆盖距离为几十米到几百米,目前采用的技术主要802.11a/b/g系列,WLAN利用无线技术在空中传输数据,语音和视频,作为传统布线网络的一种替代和延伸,无线局域网把人从办公室中解脱出来,可以随时获取信息,提高了员工的办事效率,在网络的灵活性和扩展性显示出无可替代的优越性。
传统的校园网提供了一些方便,实现了校园网内部资源的共享,多媒体教学,办公自动化,网络图书馆,流媒体下载等应用,一些基本的简单的功能可以实现,但是随着数字化校园的不断发展改进,传统的校园网已经满足不了现在的需求,校园网的高可用性、稳定性、安全性仍然需要提高,因为网络结构中一个节点瘫痪就可能引起整个校园网网络瘫痪;
还有一些安全事件攻击引起的安全事故常常发生,往往造成一些不必要的麻烦;
传统的校园网还存在链路带宽小,造成上网速慢,甚至会掉线现象以及校园网可扩展性不强,不能随时随地添加网络设备,扩展网络使用范围。
在这个大背景的前提下,我们要构建一个多业务、安全、稳定、高速的运行的校园无线网络在我们当今校园中这是我们势在必行的最终目的。
1.2无线校园网的国内外现状
当今世界,网络科学技术飞速发展,给人们的生活,学习,工作带来了深远的影响,它极大的改善了我们的生活方式。
在以计算机技术为代表的信息科技的发展更是日新月异,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,信息社会首先是要求教育信息化,教育现代化,教育网络化,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。
学校利用计算机辅助教学,辅助管理,将大大的提高办学效益,实现了真正的数字化校园。
随着人们对于信息资源共享以及信息交流的迫切需求,无线校园网显得越来越重要,不可或缺,成为全国广大师生生活和学习沟通交流的重要一部分,这必然带动了
网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。
目前,在国外高等教育中很多国家的无线网络技术基础较好,发展及应用也非常快,最具典型的是北美和欧洲的一些国家,在这些高校里面,大学生使用笔记本电脑,PDA等便携式移动设备的比率是较高的,因而他们的无线局域网工程的应用也比较早,然而,我国多数高校目前在网络工程的应用方面起步较晚,个别大学虽然已经投入了该工程,但是往往局限应用在科研方面,这往往是因为有线网络的优点决定的,但是有线网络缺少灵活性,随着无线标准的成熟化和设备的普及,以及移动学习的工具和需求的增加,无线校园网因其高度的灵活性和自由性将在今后的教育中起着非常重要的作用。
1.3本文研究的内容
通过对新乡学院学校校区的研究和需求调查,明确了该校的性质,任务和新校园网建设的需求和条件,确定了建设无线校园网使用的关键技术,在网络出口利用了防火墙技术,实现了Internet上用户与无线校园网内部用户之间的互访进行了有效的控制,使用NAT地址转换技术节约了公网地址的开销,在核心层和汇聚层采用了路由协议,实现了路由的快速收敛,在汇聚层采用VRRP技术,链路集合,设备冗余技术,汇聚层和接入层采用STP技术实现了网络资源的高可利用性,解决了单点故障问题。
在该校用户应用需求分析的基础上,确定网络拓扑结构和功能,根据应用需求建设目标和学校的主要建筑分布特点,进行系统分析和设计,进行设备选型,地址规划,然后做出网络调试配置,最后对全网进行网络测试,确保满足该校广大师生的需求。
2校园无线局域网的需求分析
新乡学院有东校区和西校区两个大校区,总占地面积1126.96亩,校舍总建筑面积36.64万平方米,教学科研行政用房20.03万平方米。
现有全日制在校生10000人,设有15个教学系(部),46个专业,学校现有专任教师526人,现在西校区有基础部,社会科学部,材料工程系,自动控制系,计算机科学与技术等系部,还有其它机构建设,在这里不再一一列举。
根据该校现在的状况,首先要对学校现状认真分析,确定学校师生对网络的真正需求,在满足学校需求的同时,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,为学校师生提供满意的高质量的服务。
2.1校园网的需求分析
根据对学校的调查与研究,对新乡学院的需求有了详细的了解,现根据学校师生的需求制作表格,如图2-1所示。
表2-1学校需求
用户
需求
学生
确保学生可以正常上网
确保网络可用性
确保上网的安全性
上网账号唯一性
数据上传和下载的及时性
教师
确保正常上网
财务老师
个别主机可以接入外网
网络可用性
网络安全性
非财务人员主机接入财务无效
数据的及时传输性
网管老师
易于管理
管理安全性
网络流量监控分析
远程控制
各院系
网络安全控制,数据共享
安全需求
网络访问控制
信息传输保护
攻击防护
灾难防备计划
针对上述学校用户需求,以及学校实际情况采用如下分析方法解决,解决方案如表2-2所示。
表2-2需求分析
需求
需求分析
全网实现互联,确保连通性
网络出口采用一台ASA防火墙,保护内部安全,核心层采用一台6000系列设备,确保6年之内不会出现问题,汇聚层采用两台设备冗余,链路聚合,接入层采用双上联确保了网络的可用性
网络出口采用一台ASA防火墙,对内外互访进行了有效的控制,采用ACL技术,限制了学生对某些不良网站的访问
采用认证服务器认证,只有通过认证的用户才可以上网,没用通过的禁止上网
汇聚层采用设备冗余,链路聚合,接入层采用双上联充分利用了带宽,保证了大量用户同时传输和下载数据的及时性
网络出口采用一台ASA防火墙,对内外互访进行了有效的控制,采用ACL技术,防止了一些攻击
为了保护网络安全只允许一台主机接入网络,为了跟银行通信
外部采用一台ASA防火墙保护了内网的安全,采用ACL禁止外部和内部对财务的访问,并且财务的其他主机不允许接入外网,只允许个别主机接入
采用MAC地址绑定,只有财务主机可以接入,并且只允许学习一个MAC地址
网管老师
汇聚层采用设备冗余,链路聚合,接入层采用双上联充分利用了带宽,保证了数据上传到服务器的及时性
汇聚层配置成服务器模式,接入层配置成客户端模式,信息自动同步,方便了管理和信息更新
链路采用认证,启动设备自身安全,登陆设备都需要认证服务器认证才可以通过,密码密文显示,密码最小长度为10,30秒内错误3次,1分钟内不允许登录,但是管理的登录还是可以的,发送LOGIN信息给管理员
采用端口镜像进行对流量进行监控,用日志服务器对日志进行实时分析
配置远程控制链路密码,进行远程调试管理
各院系
院系直接采用不同的VLAN,防止二层攻击,通过三层实现不同院系之间通信,达到数据共享
安全需求
出口采用一台ASA防火墙对内外用户之间的互访进行了有效控制,采用ACL禁止一些非法访问
新老校区采用VPN保护了数据在公网传输的安全性和可用性,防止非法用的窃取和篡改
出口采用ASA防火墙保护了外部对内部的DOS等攻击
学校采购设备时预备一些多余的设备防止灾难性情况的发生,当一些设备出现故障可以及时更换
2.2网络拓扑规划
根据自己大学所实践的东西以及上面的需求分析,综合此项目所要解决需求分析,全局上采用接入层、汇聚层、核心层三层架构,层次型网络有很多优点:
(1)易于理解和管理。
层次化设计将平面网络分为易于管理的小型模块,使网络结构清晰明了,可以在不同层次实施不同难度的管理,降低了对专业技术人员的要求和管理维护代价、成本。
(2)易于扩展和排错。
层次化设计中,模块化所具有的特性使得网络足够灵活,在网络扩展时可以将网络的复杂性限制在具体层次模块,不会蔓延影响到网络中的其它地方,而在平面设计和网状设计中,任何一个节点的变动都将对网络产生很大的影响。
又由于层次化设计使得网络拓扑结构清晰简单,易于理解,网络管理员能够轻易确定网络故障范围,简化了排错过程。
(3)安全可用性。
层次化模型能够控制广播过滤不必要的数据流,本地数据将留在本地,只有前往其他网络的数据流才进入更高层,每层互不影响保证了安全可用性。
且不同于平面网络,随着设备和应用程序的增多,响应时间将逐渐,最终导致网络不可用。
根据上述需求分析,规划出网络拓扑结构图如2-2所示。
图2-2网络拓扑图
图中核心层的与网络出口防火墙ASA5520用万兆光纤相连接,采用万兆是因为核心层主要是负责数据的高速转发,对带宽速率要求较高。
无线控制器旁挂在核心交换机上,汇聚层的设备采用千兆的光纤与接入层相连接,千兆相比于百兆肯定速度快,这不用细说。
我们知道铜线每秒能达到1.54MHZ的速率,光纤网络的运行速率达到了每秒2.5GB;
从带宽上看,很大的优势是光纤具有较大的信息容量,这意味着能够使用尺寸很小的电缆,将来不用更新或增强传输光缆中信号;
光纤对诸如无线电,电机或其他相邻电缆的电磁噪声具有较大的阻抗,使其免受电噪声的干扰;
从长远维护角度来看,光缆最终的维护成本会非常低,光纤使用的是光脉冲沿光线路传输信息,以替代使用电脉冲沿电缆传输信息;
光纤传输具有衰减小、频带宽、抗干扰能力强、安全性能高、体积小、重量轻等优点,所以在长距离传输和特殊环境等方面具有无法比拟的优势。
由于三层构架可以将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有三个层次:
核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
接入层与汇聚层交换机相连采用双上联的连接方式,双上联可以实现流量负载分担及策略的部署,当其中的一台链路down掉之后,另外一台链路可以使用,接入层和AP之间用的是百兆的双绞线连接起来,图中接入层的设备均为代指,其数量不是现实的设备数量。
另外,图中所示的宿舍的设备连接的为代指即每一栋的学生宿舍楼的连接方式均为图中所画的那样,在这里仅用这一处做代表说明,其他部分情况类似。
2.3IP地址的规划
随着网络技术的发展,网络应用的迅速普及,IPv4地址数据急剧的短缺,地址的数量已经不能满足用户的需求,在IPV6技术还没有成熟的实施的情况下,合理的规划IPv4地址显得尤为重要,IP地址是网络的基础,合理的IP地址规划方案不仅可以减少网络负荷,还能为以后网络扩展打下良好的基础。
在IP地址设计和分配时,主要遵循以下几个原则:
自治、有序、可持续性、可聚合、尽量节约IPv4地址、闲置IP地址回收利用。
新乡学院无线校园网规模一般较大,适合使用分层网络编址,有效的分层编址结构将核心层有类网络地址逻辑性地划分为分布层和接入层使用的更小子网。
采用分层地址结构可以优化网络性能,保证网络安全,简化网络管理和故障排除工作,提升可扩展性和路由性能。
要通过子网划分来创建分层设计,关键是对子网掩码的结构有着清晰地了解,在分层网络编址中,我们使用变长子网掩码(VLSM)制定子网划分方案。
VLSM不仅能够更有效地利用IP地址空间,还可以让路由器能够在除分类网络边界外的其他地方汇总路由。
在IP编址方案中使用变长子网掩码(VLSM)时,必须使用支持无类域间路由选择(CIDR)的路由选择协议,这里主要用OSPF。
这种协议在路由选择更新数据包中发送前缀长度和路由信息,让路由器无需使用默认掩码便可确定地址的网络部分。
如表2-3所示。
表2-3网络拓扑连接与IP规划
设备
设备名称
设备接口
IP地址
交换机
Core-A
G1/3
192.168.2.5/30
G1/4
192.168.2.9/30
G1/5
192.168.2.2/30
Conver-A
192.168.2.6/30
Conver-B
192.168.2.10/30
防火墙
ASA-A
GE0/0
200.200.200.1/30
GE0/1
192.168.2.1/30
GE1
10.0.0.34/29
GE2
10.0.0.42/29
三层交换机
VLAN10
10.1.0.2/16
VLAN20
10.2.0.2/16
VLAN30
10.3.0.2/16
VLAN40
10.4.0.2/16
VLAN50
10.5.0.2/16
VLAN60
10.6.0.2/16
10.1.0.3/16
10.2.0.3/16
10.3.0.3/16
10.4.0.3/16
10.5.0.3/16
10.6.0.3/16
Eth0
10.0.0.13/30
Eth1
10.1.0.1/30
无线网络
WLC5500
子网
设备管理IP地址10.6.0.2,WLC5500为无线用户为无线用户自动分配ip地址,ip范围为
(10.6.0.3-10.6.255.255)
3校园无线局域网的设计
3.1校园网建设的原则
1.合理利用有限资金。
2.统一规划,软硬兼顾,分期实施,明确近期目标。
3.技术先进成熟,总体性能价格比高。
4.实用、易用,便于维护、管理。
5.保护以往投资,兼容已有系统。
6.支持灵活的扩展性和可重组性,考虑未来需求。
7.采用开发产品,遵循国际标准。
8.主干系统除遵循上述原则外,必须具有高可靠性、高安全性、高效性及可管理性。
9.信息到系,主要建筑间光缆连接,建筑物内采用无线覆盖。
系统应用以Intranet技术为优。
3.2总体设计的方案
建设高速、稳定和安全的网络环境。
采用主流的以太网技术核心,交换机可带千兆三层交换模块,二级交换机采用带扩充槽的快速以太网交换机,可实现三层交换、百兆主干(可升级到千兆)、百兆交换到桌面。
可根据学校的应用类型,例如办公、多媒体课室、课室、网络中心等功能划分VLAN和子网。
进行教师队伍的培训,包括网络知识、相关硬件使用、多媒体软件使用、教育资源中心等。
通过培训,逐步使教师从‘使用资源’发展到‘制作资源’。
3.3校园网网络系统各层设计方案
3.3.1核心层设计方案
核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是处理数据能力强,可靠的和高速的传输。
网络的控制功能最好尽量少在核心层上实施。
核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
核心层设备将占投资的主要部分。
在核心层设计时,一般采用最快速率的链路连接技术,故在路由协议的选择上,采用链路状态的OSPF协议,核心设备之间采用三层端口聚合技术实现冗余,负载分担作用,这样规划一是能够有良好的层次感,利于实现较为复杂的网络功能要求;
二是这样分层能够使每层的功能较容易实现也较清楚;
三是采用这种分层方式可以支持较大的网络规模便于校园网网络的升级扩大,核心层选用6000系列,如图3-3所示。
在设计核心层结构时,还应该充分考虑到以下几点因素:
(1)核心层交换机要有充足的带宽。
(2)必须具有高可靠性。
(3)强大的数据处理能力。
(4)高速的转发速率。
图3-3核心层网络设计拓扑图
3.3.2汇聚层设计方案
汇聚层的功能主要是连接接入层节点和核心层中心。
汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能,用于在各个本地网络之间转发流量,主要完成校园网中办公楼宇和相关部门内接入交换机的汇聚及数据交换和VLAN终结,它与路由选择、过滤相关联,必须满足其他两层的需求,且能提供足够大的带宽。
汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。
其设备性能较好,但价格高于接入层设备,而且对环境的要求也较高,对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。
汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐量。
为实现接入层的不同VLAN之间的通信,在接口上设置SVI口,为保证在汇聚层上数据的正常的通信,就必须保证在设备出现问题时能够正常的工作,在设备上设置MSTP防止产生广播风暴,设置二层端口聚合提高链路可靠性及冗余,设置VRRP防止汇聚层出现单点故障后导致接入层用户上网不正常,如图3-4所示。
在设计汇聚层结构时,还应该充分考虑到以下几点因素:
(1)必须具有冗余和流量均衡的功能。
(2)能够实现各种安全策略以保证网络的安全和数据包转发的合理。
(3)配置多层交换机最佳,以方便网络的扩展。
(4)地址的聚集。
(5)安全控制。
图3-4汇聚层网络设计拓扑图
3.3.3接入层设计方案
接入层为用户提供对本地网段的访问,它的主要作用是将工作组计算机与汇聚层连接起来,主要完成逻辑网络分段,给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务,如图3-5所示。
在设计接入层结构时,还应该充分考虑到以下几点因素:
(1)提供不同数量的100M端口到用户,提供1000M上行链路端口到汇聚层交换机。
(2)成本低,所有端口支持全线速二层交换。
(3)网络设备扩展性好,可平滑升级。
图3-5接入层网络设计拓扑图
3.3.4网络出口的设计
网络出口是校园网与外网相连接的枢纽,也是保护校园网的第一道屏障,此外,在一定程度上决定了外网数据传输的速度。
在网络出口的设计上为保证内网的私有IP地址能够转换成公网上的IP地址,就要使用NAT,实现内部网络用户能够访问外网。
此外,为防止外部的网络用户非法的访问内部的一些服务,在ASA5520上定义相应的规则、禁止访问某些网址等来保证内网的安全;
对于网络带宽浪费的问题,应设置相应的机制,禁止一些网络端口或者服务。
最后在网络设备的选择上,除了有高速的报文转发速率和端口之外应支持一些软硬的支持等。
图3-6网络出口设计拓扑图
一般的校园网络的出口有两个,一个连接教育网络,一个连接到商业网络上,故在网络出口的设计上,有两个出口,参考有关大型校园网络出口安全的设计,结合实际情况,设计出网络拓扑3-6所示,其中设备的硬件环境表3-4所示。
表3-4硬件环境
设备类型
设备型号
设备数量(台)
防火墙(ASA-A,ASA-B)
ASA5520
1
三层交换机(Core-A)
CIS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 WLAN 校园网 设计 实施