构建校园无线局域网的毕业设计

班 级：通信08304班 作 者：

学 号：08014666 指导老师：

完成时间：二〇一一年五月十七日

武汉职业技术学院 · 电信学院

一、绪论

前言

无线局域网（Wireless Local Area Network，缩写为“WLAN”）是高速发展的现代无线通信技术在计算机网络

1

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

中的应用，是计算机网络与无线通信技术相结合的产物。不像传统以太网那样，基于802.11标准的无线网络在空气中传播射频信号，在信号范围内的无线客户端都可以接受到数据，为通信的移动化、个人化和多媒体应用提供了实现的手段。

与有线网络相比，无线局域网以其方便、快捷、廉价等诸多优势，可以为不易布线的地方和短距离的数据传输提供网络支持，在校园和公共热点地区等领域的应用中很快得到了长足的发展和巨大的成功。此外，WLAN还有其他一些优点。它能够方便地实施联网技术，因为WLAN可以便捷、迅速地接纳新加入的雇员，而不必对网络的用户管理配置进行过多的变动。

项目简介

本项目介绍了校园无线局域网的应用需求，以及校园无线局域网的设计思路。该设计方案既考虑了无线技术本身的特点，同时也考虑了校园网的应用和日后的升级需求。是一个可以灵活部署、易于扩展、高性价比的校园无线局域网设计。

二、需求分析

为满足无线网络的容量需求，校园无线网络在网络规划时首先需要考虑AP（无线接入点）蜂窝直径内的用户数量与应用内容。用户数量和应用内容是推动带宽需求增长的主要因素。由无线网络的特点决定，用户对带宽的需求越高，要求信号质量越好，从而减小了无线信号的覆盖范围，要计算网络的容量，首先需要确定在覆盖区域和这个区域中的客户机数量，从而计算出这个区域提供服务所需的总带宽，然后在保证网络带宽的前提下，计算提供足够的覆盖所需要的AP数量。

三、现有网络特征分析

武汉职院早在2001年就按照主干千兆，百兆交换到桌面的网络架构选择网络设备对教学办公及家属区进行了校园网的规划与建设。于2006年启动的武职院数字化校园网建设项目，校园网系统覆盖全院，形成三个校区互连，两个出口备份，多种服务并存的网络格局校内光纤达50多公里，信息点超过12000个。

采用HP先进的且独有的“IDM-身份驱动管理” 及“AEA 适应性边缘网络架构”，它的优点在于让网络步入了安全时代，HP网络解决方案较好的解决了安全、移动和融合三大课题。适合有线与无线混建网络，IP的分配时内网静态分配，有完整的客户端管理和安全认证体制。

2

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

四、网络设计原则与目标

4.1网络设计原则

无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。

4.2网络设计目标

4.2.1提供教学无线网络

通过无线校园网络覆盖教学楼及些校内公共课教学环境，如计算机公共机房、电教楼公共教室等。为广大师生提供了一个更为有效的网络互动平台，加强了学习生活的交流，同时为学生在教室内的自习提供一个方便的查询资料的网络环境。

4.2.2提供图书馆无线网络

通过无线校园网覆盖整个图书馆内所有的区域，教师和学生可以很方便地利用无线网络使用图书馆提供的各种数字化服务，能够了解查阅各类信息知识。

4.2.3提供行政办公网络

通过无线校园网覆盖学校的各系、院办公楼和行政办公区，通过对办公区域提供无线网络，提高了各职能部门的效率，满足了教职员工的在线查询能力，大大提高了各职能部门的服务质量。

4.2.4提供教工、学生宿舍网络

在部分的教工宿舍和大部分的校内宿舍提供了无线局域网无限覆盖，满足了教工和学生临时上网的要求。

4.2.5无线应急系统

在出现需要突发性大规模网络服务要求的场合，提供临时性的无线网络服务，满足用户对网络的需求。比如露天的体育场的体育赛事。

3

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

五、网络逻辑结构设计

5.1整体的网络拓扑图：

5.2 IP地址方案：

VLAN和地址规划包括两部分：设备管理的规划和业务的规划。 设备管理地址和VLAN规划

由于采用了AC+FIT AP模式建设，对AP的管理都要通过AC，不必像FAT AP模式时网管要能直接管理AP。所以建议AP可以采用私网地址进行管理，同样在AC上配置一个私网地址的接口来实现与AP间的IP可达，为了和网管平台通信，AC上还要配置一个公网地址。在AC侧挂BRAS的模式下，由BRAS能够完成AC与AP间私网地址的L3转发，因此BRAS也要有私网地址的配置，要注意的是，BRAS上路由配置中要避免私网地址的路由扩散。

在管理VLAN规划上，建议同一个校园内AP采用相同的管理VLAN，所有AP设备在用一个私网网段内。 AC管理多个校园时，要求不同学校采用不同的管理VLAN和不同的IP私网网段。 业务地址和VLAN规划

为了加强对用户的管理和排障的便捷性，建议不同AP采用不同的VLAN进行接入，或者不同区域采用不同的VLAN接入。在IP地址分配上，Internet业务建议采用公网地址分配，而校园业务由校方自己分配地址。

5.3 安全方案

终端和AP间数据加密

首先在无线侧，针对用户数据加密部分，我们提供了多种加密手段，包括WEP加密、802.11i和WAPI等方式。其中802.11i和WAPI不仅仅提供了加密手段，还可以针对对用户接入无线网络进行认证。

对AP的DoS攻击

针对用户采用无线工具对无线网络发起的攻击，比如无线报文Flood攻击、无线报文Spoofing攻击和Weak IV攻击等，WLAN系统接收到802.11报文，可以根据报文类型以及报文的源地址（即无线客户端）更新统计信息；如果报文为De-authentication报文或者Disassociation报文，则需要进行spoofing检测，如果报文的源地址为WLAN系统的地址则标志WLAN系统受到了De-authentication或者Disassociation Spoofing攻击；对于数据报文，如果该报文使用了WEP加密算法，则启动IV检测，根据IV的安全性策略判断是否存在Weak IV攻击。对WIDS的统计信息需要进行定期的检测。如果检测发现满足入侵策略，则可以确定WLAN系统收到了Flood攻击。若系统启动了动态黑名单，WIDS可以将检测的Flood攻击设备加入黑名单，实现WLAN系统的入侵防范。

非法AP的检测

非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备。无线控制器可以指定AP工作在两种工作模式：

模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。 模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息

AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器，而无线控制器根据AP上报的设备信息识别非法设备，排除合法设备。并且可以控制AP 将非法设备列入黑名单或者对其发起攻击。

有线网络自身的安全防范

有线网络主要访问的是ARP攻击和IP/MAC欺骗等，我们主要通过用户间隔离和部署ARP防攻击特性来加以

4

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

防范。其中，用户隔离需要在所有L2设备上部署，包括AP设备。通过用户隔离，可以有效的防范用户间的ARP欺骗、伪DHCP服务器接入等攻击。而ARP防攻击特性是利用在接入交换机，配合DHCP SNOOPING特性，对用户的ARP报文进行监听，当发现用户的ARP报文IP地址或MAC地址与其在DHCP申请时有不同时，则认为存在ARP攻击，并丢弃攻击报文，从而实现防ARP攻击的

六、总体方案设计

6.1.具体方案

侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境；

采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a，802.11b，实现双频三模技术；

全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；

保证网络访问的安全性；采用非独立型的无线网络结构选型。 覆盖范围要求：

有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各宿舍、食堂及教学楼附近空地等。

有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等；

安全、认证、计费和管理要求：

要与现有的计费系统对接，实现针对用户计费、管理、控制功能； 校园无线网网络结构要求：

无线接入所需布设的AP通过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。

工程布线和安装要求：

室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。

室外部分：根据设备位置有两种布线方式。如果AP设备放置在楼顶，则需要走网线和电源线；如果AP设备放置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶方式处理，安装过程

5

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

中应充分考虑防盗。

供电部分：AP的供电可采用POE方式由接入的网络设备进行供电（无需本地供电）。 产品能力要求：

产品支持AES、WEP加密等安全标准； 漫游切换； 支撑QOS能力。

6.2.各部分的网络拓扑图：

6.2.1不同校区之间的无线互联：

6.2.2同一校区同楼之间的无线互联:

七、项目设备报价清单

无线网卡

无线网卡接口类型

1. 台式机专用的PCI接口无线网卡 选用Tenda腾达CardBus

6

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

2. USB接口无线网卡 选用TP-LINK TL-WN821N

无线AP

选用D-Link的 DWL-2100AP 主要参数：

型号 TL-WA501G+

支持协

TCP/IP协议,IPX/SPX协议,NetBEUI协议

议

无线标准

IEEE 802.11b,IEEE 802.11g

传输速率

54,48,36,24,18,12,11,9,6,5.5,2,1Mbps 接口类RJ-45,1个

型

7

K2MG-E《专业技术人员绩效管理与业务能力提升》练习与答案

无线路由器

选用TP-LINK TL-WR340G+

八、总结

通过这次的项目设计，我对无线局域网、无线接入点（AP）、无线设备（无线网卡、无线路由器等）以及安全防范和网络管理等知识都有了一定的了解。

在整个方案设计阶段感受最为深刻的是如何全局的考虑网络规划。从一个个子网规划到整体的规划，不仅仅只考虑一个点的接入，还有各个网络的中和实际情况的考察以及资费的控制。在网络规划中参考的信息很多，但是如何从大量的信息中筛选出所需的信息，有用的信息，才是解决问题的关键。

在整个毕业设计的过程中，我要感谢我的老师——李雪老师，老师的讲解带领我进入无线网络的世界，指导我们设计网络。

本设计方案还存在许多不足，特别是在无线局域网的安全防范中，随着无线技术的不断更新给无线局域网的发展带来了很大的发展，也对无线局域网的安全带来了前所未有的挑战。随着IPV6的发展趋势，无线局域网的发展也得随着IPV6的发展而发展。

世上没有一件工作不辛苦，没有一处人事不复杂。不要随意发脾气，谁都不欠你的

8