当前位置：巨优公文网>范文大全 > 教案设计 > 校园无线局域网设计研究

校园无线局域网设计研究

时间：2022-11-19 15:45:10 教案设计来源：网友投稿

��zoޛ�)j馐�� 3��Mu�N��7d׭��3��
z�n��M�׭5�M{�M��?�� 教学自动化的各项需求，实现“数字化校园”。本文对校园无线局域网进行了拓扑模型设计和校园无线局域网的设计规划。

1系统需求分析

不同的学校对无线网络的应用需求不尽相同，但大体上可分为自动化办公、信息化教学及信息服务等方面的需求。学校的信息服务一般用于满足校园网站建设、图书馆阅览室管理、学校教务管理、师生间的文件传输服务、学校日常办公事务管理，以及部分多媒体设备运用及一些远程教学服务。

应用于教学的无线网络一般要考虑其安全性、稳定性和可扩展性等。鉴于此，校园无线网络的性能需求大体可分为：高可靠性、较短的响应时间、高吞吐率、高传输速度、高性价比等。根据这些特点在有线网络主干部分统一使用光纤，其它数据点使用超5类双绞线来满足这些需求。对设备的选用，可选择性能高、WAN接口（广域网接口）多的路由器连接到外网，再通过防火墙接入核心层交换机，采用存储转发速率高、低延迟的交换机作为核心层交换机，对每个楼层之间、不同部门之间接入其各自单独的交换机再接进无线AP。在各节点上的客户端，通过VLAN的划分技术、Trunk设置技术等保证整个网络正常运行。

2系统设计

2.1无线局域网拓扑结构设计

无线局域网一般分为以下几种结构：星型网络结构、环型网络结构和总线型网络结构。本文采用树型和星型混合的拓扑结构，这种结构可以满足多用户需求。可将网络划分为核心层、分布层、接入层进行设计。无线网拓扑设计如图1所示。

2.2系统详细设计

2.2.1无线局域网方案

从该教学楼建筑结构看，这种结构房间较多，障碍物多且人员较密集，因而对网络的性能要求也较高。可以采取在各楼层实现多个无线AP交叉覆盖的方案，每一个无线AP分别连接一个交换机，尽可能地保证带宽。对于图书馆这种特殊的结构，其室内空间大、障碍物少、人群密度高，因而可采用同一楼层中多个无线AP交叉覆盖的方案。

针对学校的广场、运动场这些室外活动区域，这种空间地形宽阔且存在的障碍物较少，可以根据室外场地的实际大小范围，适当设立多个无线AP并采取交叉重叠的覆盖方案，实现用户在室外无线漫游。

2.2.2无线局域网AP布设

一个无线AP信号理论上为200m左右的覆盖范围，考虑到网络设计的成本需求以及满足移动设备在移动时能够正常使用无线局域网，在布设无线局域网时考虑了地板、墙之类的障碍物对于无线AP的影响。一般而言，当信号穿透地板时衰减在20dB～40dB之间，信号穿透墙时衰减在10dB～15dB之间，可以在每一层都布设独立的AP，以此来避免AP信号穿越太多的障碍物间隔。另外，在两个无线AP少量重叠时可以使得用户在走到一个无线AP覆盖边缘的情况下进入另一个无线AP的覆盖范围，这样可以增强用户体验。根据这些因素设计出校园无线AP放置方案如图3所示

2.2.3信道规划

完成AP布设后，一般情况下信道由路由器自己选择，为了减少邻近楼层的信道重叠，其可能会发生干扰情况，因而有必要对AP的设备信道进行分配。在我国使用最多的是IEEE802.11b和802.11g标准，它们的工作频率为2.4GHz，频段最多为14个信道，每个信道占用的带宽是22MHz。为了避免干扰，相邻接入点之间的信道间隔应该至少为5，每个频段中至多只有3个频段（如：信道1、信道6、信道11）。

根据信道规划将图3中的AP1、AP6、AP9设置为频道1，AP2、AP4、AP7、AP10设置为频道6，AP3、AP5、AP8、AP11设置为频道11，设置在室外的AP12为频道6，AP13为频道11。

2.2.4客户端和AP关联建立

客户端和接入点之间传输数据需要先建立关联，步骤如下：①客户端查找可用的WLAN，当客户端搜索到特定网络名称后发送一个连接请求；②接入点处理客户请求，将质询文本发送至客户端并通过WEP或WPA等方法进行身份验证；③当接入点授予关联后它会返还一个连接ID和一个为“0”的状态代码以示成功；④接入点和客户端关联建立，客户端获得接入点MAC地址，接入点开始将帧转发到移动设备；⑤当客户端离开了一个信号覆盖范围逐步进入到另一个信号范围内，客户端就会重新发送请求，当第二个AP接受了客户端的请求后通过有线网络将客户端的更新信息发送至前一个AP，这时前一个AP就会断开连接。

2.3主干网络设计

2.3.1路由器的访问安全配置

创建不同的用户并为它们各自设置不同的密码，应设置8位以上的密码来保证安全。对客户频繁登入路由器的限制，可以有效防范非法用户恶意破解密码。当客户在30s内登入3次都失败时，须等待60s才能再次登入。同时设置一个ACL，当非法用户多次登入失败处于等待期时，ACL中特定的用户仍然可以登入，避免正常用户的使用受影响。使用Telnet协议访问路由器是一种明文传输且较简单的方法，它不够安全，可以使用加密传输的SSH协议来代替Telnet协议。SSH协议是应用于传输层和应用层的安全协议，提供基于口令的和基于密钥的安全验证。

2.3.2路由器日志配置

使用路由器日志，用户可以掌握路由器活动情况，定时检查路由器是否遭受到攻击，了解网络的工作情况，可以更好地帮助用户识别攻击，保护校园网络安全。打开路由器日志功能，设置实现路由器日志在控制台上显示，同时将日志在远程终端上显示出来。

2.3.3访问控制列表（ACL）

使用ACL访问控制列表可以对数据进行检查过滤，限制不必要的路由更新，根据优先级对数据包进行处理，它是一种保护网络安全的基本手段。ACL主要有3种：标准ACL是最简单的，它通过IP地址进行过滤；扩展ACL提供了更多项以供选择，它允许一些通信讯息通过，拒绝另一些通信；命名ACL可以增删特定项，更方便修改。

2.4无线局域网安全措施

对于WLAN的安全防护，最主要的措施就是访问控制和数据加密。路由器ACL配置可以适当控制对路由器的非法访问，也可对链路层进行加密与认证配置。

2.4.1SSID

SSID即服务集标示符。对不同的AP设备设置各不相同的SSID，当无线工作站出示与AP设置的SSID相同时才允许访问AP，如果SSID不相同AP则拒绝请求。SSID只是非常简单的口令，其安全度不够高，如果AP配置向外广播它的SSID，其安全性就更低[1]。

2.4.2端口控制访问

客户端和AP建立关联后由IEEE802.1x决定认证结果，如果成功AP就会为用户打开一个逻辑端口，若失败则拒绝用户上网。对端口的控制可以保证过滤不经允许的客户接入。

2.4.3MAC（物理地址）过滤

每一个工作站都有唯一的MAC地址，因而可在AP中设置允许访问的MAC地址列表，这种方法可以起到物理地址过滤的作用。MAC也存在明显缺陷，若攻击者可以通过软件更换MAC地址而无线网卡对此是允许的，那么伪装的有效MAC地址就能轻易进入网络[2]。

2.4.4WEP加密

射频在穿过某些物体时存在信号被泄露的风险，必须采取一种机制对隐私信号予以保护。有线等效保密（WEP）就是IEEE802.1标准中创建的一个解决方案，它是一种单向认证方案。为了保护隐私信号，WEP采用了加密对策通过共享的密钥来实现，以此对无线通信进行加密和解密操作。并且，WEP在AP上定义了不止一个密钥，交替使用不同的密钥更增加了安全性。

2.4.5WPA加密

由于WEP不太安全，后期采用了WPA加密技术。WPA技术包含了IEEE802.11x即端口访问控制技术、EAP、TKIP和MIC。WPA使用端口控制访问技术和EAP对客户端进行验证，当用户提供了正确的证明时才允许客户端加入[3]。同时，WPA通过TKIP技术生成一个动态密钥，客户端以接收到的密钥对数据进行加密。WPA又通过MIC进行攻击阻拦、防止篡改等技术。总体而言，WPA加密技术有效增强了WLAN的安全性，也提升了单向认证的WEP加密性。

2.4.6WPA2加密

WIFI对WPA技术进行增补，产生了WPA的下一个版本WPA2。WPA2对原来WPA中的TKIP技术进行了改进，它使用AEC-CCMP技术进而实现AES算法。在WPA2中仍然保有IEEE802.1x和EAP，其作用与原WPA中的相同。AEC-CCMP是一种比TKIP安全性更高的高级加密算法，它对以太帧进行再加密，密钥的长度为128位。WPA2中AES提供了加密算法，CCMP提供了加密技术和认证以及检查完整性的功能。同时WPA2对AP进行了认证，改进了WPA的不足。

3网络管理

3.1性能管理

对接入校园网络的IP地址数量和流量进行记录，能适时对校园网络流量的高峰进行统计。对性能的管理能帮助网络管理者有效解决网络瓶颈问题。

3.2配置管理

运用数据库系统对网络设备和服务器的主要配置信息、网络通信、用户名、口令密码等重要信息进行管理。

3.3失效管理

及时进行失效管理以消除故障，这是确保校园无线网络正常运作的一个重要部分。

3.4环境安全管理

对校园无线网络所在的环境进行保护并对突发灾难进行预防，防止线路等设备被人为破坏。

3.5数据备份

数据一旦被破坏会严重影响正常工作和生活，因而数据的备份和恢复不容忽视。根据不同的需求，可以选择本区域内或者其它场地的数据进行存储备份。备份不止在故障中防止重要数据丢失，同时在面对网络攻击时对被破坏的数据进行修护，它更是系统灾难恢复的重要基础[4]。

3.6设备管理