校园无线网络的规划设计与实施

?

黄冈师范学院

课程论文

课程名称：短距离无线与移动通信网络)

论文题目：校园无线网络的规划设计与实施

学生班级：网络工程201301班

学生姓名：刘宏博

学生学号： 20

授课教师：刘小俊

目录

一、需求分析 (2)

二、网络设计原则 (3)

三、组网分析和设计 (4)

四、无线网络的规划与设计 (5)

无线接入点信道划分 (5)

楼栋内各楼层信道划分 (7)

室外区域的信道划分 (7)

无线上网的认证 (9)

无线区域漫游 (12)

五、无线网络安全 (13)

数据加密 (13)

建立无线虚拟专用网 (15)

使用入侵检测系统 (15)

总结 (16)

参考文献 (17)

一、需求分析

以黄冈师范学院校园网为例，进行需求分析

（一）．网络应用需求

（1）所有学生在缴费后均可接入Internet；

（2）在校园内部，接入校园网的方式同时满足有线和无线；

（3）通过网页或客户端的方式进行上网认证；

（4）无线网络要覆盖整个校园，能够满足移动设备随时随地上网需求；

（5）通过无线方式访问网络后，能够在校内各区域实现漫游；

（二）．安全需求

1. 校园网接入Internet,应该使用防火墙技术防止黑客和其他非法入侵者入侵网络系

统，并对接入Internet用户进行权限控制。

2. 进行用户权限设置，对不同的用户分组进行权限的设置。

3. 按照相应标准进行局域网的建设，确保物理层的安全。 2.采用主机访问控制手段加

强对主机的访问控制。

4. 划分完全子网，加强网络边界的访问控制，防止内外的攻击威胁，定期进行网络安

全的检测。

5. 建立身份认证系统，对各应用系统本身进行加固。

（三）.技术需求

1. 为确保校园网的性能及安全需求，采用光纤以太网作为校园网的主干。主干网承担

了整个学校网络包交换，子网的划分，网络管理等重要的任务，应采用具有三层路由功能，包交换性能高的交换机作为主干网的节点机，分布在网络中心，图书馆，教学楼，实训楼，食堂，教师公寓和学生公寓。

2. 设立一个网络中心，配置相应的服务器以及路由交换等设备。网络中心可对整个校

园网进行管理，并作为校内连接Internet的网络关口，承担防御过滤等功能。

3. 对校内各网络节点进行监控，防止病毒的传播。校园的主要建筑有图书馆，教学楼，

实训楼，食堂，教师公寓，学生公寓，必须在这些建筑物内安装足够信息点以及信息终

端以满足用户的需求。

4. 以学生公寓为例，没幢学生公寓6层，每层12间的话，每间宿舍需设置4个信息点。

据此应该在每层设集线箱，每幢公寓有一个管理间，管理间内设二层交换设备。

5. 整个校园为一个虚拟局域网，为管理不同性质的用户应划分不同的子网，进行IP

地址分配以及相应的路由配置。

（四）．其他需求

1. 在图书馆，自习教室建设无线网络，满足学习需求。

2. 做好应急的准备，相应设备在紧急情况下的正常使用。

二、网络设计原则

①实用性

实用性是网络系统建设的首要原则，该网络必须最大限度的满足需求，保证网络服务的质量，否则就会影响日常工作效率。

②标准化

整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求，必须支持国际标准的网络接口和协议，以提供高度的开放性。

③先进性

先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能，并且能保证在技术上不容易被淘汰。

④可扩展性

可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。

⑤可靠性

网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效，核心设备需要支持冗余备份。

⑥安全性

网络安全性在整个网络中是个很重要的问题，网络系统建设应采取一定手段控制网络

的安全性，以保证网络正常运行。

⑦管理性

随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心的正常运行，网络必须易于管理，支持网络网段与端口的监控与出错的统计、网络故障的定位、诊断、修复。

三、组网分析和设计

下图为黄冈师范学院南区的简化地图

根据简化的地图来看，可采用三层网络架构的层次化模型设计，每个层次实现各自的功能，各个层次分别为：

（1）接入层

采用可管理的固定配置的工作组级别的交换机，能提供多层堆叠功能实现大量用户的有线接入，还要连接到多个AP实现用户的无线接入。

（2）汇聚层

汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施路由策略、安全、工作组接入、虚

拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。

（3）核心层

接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量,能够向工作组提供高速带宽。

由以上信息设计出校园网的网络拓扑图，具体设计如下

四、无线网络的规划与设计

无线网络是整个校园网设计中的核心之一，如何实现无线网络覆盖整个校园以及如何在所有的覆盖区域内漫游都是问题的关键，下面我们对这些问题来进行一一讨论。

无线接入点信道划分

大多数的AP都支持b/g/n标准，其中和支持5GHz频率，其他都只支持（还同时支

持）,因为当前大部分AP都是工作在的频段下的，所以我们需要给这些设备在下设置不同信道来避免相邻的

AP之间产生干扰。

WLAN信道列表是法律所规定的IEEE 无线网络应该使用的无线信道。

工作组划分了两个独立的频段，和。每个频段又划分为

若干信道，且每个国家自己制定政策订出如何使用这些频段。

GHz g)

GHz WLAN 频道与带宽示意图

从图中可看出，中国将其划分成13个信道，其中1，6，11这三个信道互不干扰,除此之外，还有2，7，12；3，7，13两组也是互不干扰的，也就是说按照该信道的划分标准，频段下最多只有3个信道能够互不干扰。我们知道数学上有一个四色

定理，通俗的来说就是任意一个地图，只用四种颜色即可将其涂满，且任意相邻的地区颜色不同，但目前只有三种频率可用，因此需要采用一种特殊结构，或根据具体情况来设计。

楼栋内各楼层信道划分

楼层内由于是水平结构,因此AP可以按照水平结构布局,如下图所示

AP分布示意图

把每一楼划到同一扩展服务区域,多个BSS组成一个扩展服务集(ESS),所有AP处于同一水平结构,因此仅用两个信道就可在楼层内实现空分复用,此时可选信道就非常多了,只要保证两个信道频率相隔25MHz以上即可使相邻AP之间互不干扰,最后我们随机选取符合要的两个信道给AP,那么关于楼栋内的信道划分就完成了。

室外区域的信道划分

室外的情况较室内要复杂，首先是区域面积广，AP覆盖范围有限，以及环境因素的影响，这会导致在设计时的难度会大大增加，所以仅给出一个在较为理想环境下的设计。

首先我们要解决的问题是AP应设置多大的功率，或者说AP的作用范围为多大比较合适，其次如何分布这些AP能够使其无缝辐射范围最大。通过几何证明可以得出，三个半径相同的圆两两相交，以圆心为顶点的三角形是正三角形且其边长是圆半径的3倍时，圆域的面积最大，相交部分最小，也即是说在这种情况下，三个圆构成的无缝拓扑面积最大，如图一所示。

对于给定区域，采用此方式进行覆盖，形成一个正六边形的蜂窝式结构，能保证以最小的节点数覆盖给定区域，如图2所示。我们可以把其他结构来做一个对比，比如正三角形和正方形，具体对比如下。

从上面对比图可发现，六边形结构的辐射面积最大，并且重叠区域最小，所以，我们可以采用这种模式来布置AP，我们把每个AP的辐射半径设置成相同的大小，半径大小为R，那么每个相邻的AP之间的距离为3R,任意两两相邻的AP之间形成一个正三角形，最终每个AP的辐射范围形成六边形结构，接下来，就需要对信道进行划分，可

以选取1,6,11这三个互不干扰的信道，因为是蜂窝结构，使用三个信道即可完成划分，且任意相邻的AP之间互不干扰，实现空分复用。如下图所示。

图4-4

对于黄冈师范学院，操场和科技广场均可采用该方式进行无线覆盖，以保证在室外的无线上网需求。

无线上网的认证

大部分有线网络都已经具有认证计费系统，有基于WebPortal，有基于，也有基于PPPoE方式。无线网络的接入，一般希望不要改变原有的认证计费方式，应该能无缝地纳入到现有认证计费系统中来。

我们首先来把这三种认证模式进行一个对比，列举出每种认证方式的优缺点，从中选取最合适的认证方案。

PPPoE

优点：与传统的接入方式相比，PPPoE具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式ADSL就使用了PPPoE协议。PPPoE在当前运营商接入网中得到广泛的应用，并且Windows系统自带客户端，更容易被用户接受。

缺点：第一，在网络安全方面，存在广播域的ARP攻击，假冒BRAS骗取用户账号密码等问题；第二，在网络稳定方面，容易产生巨包被网络中的节点丢弃，网络在BRAS 设备上容易形成单点瓶颈和故障；第三，在协议支持方面，PPPoE不支持组播BRAS需要将组播包单个封装后转发，组播数据流大量增加了BRAS的负担；第四，在安全审计方面，BRAS只能记录用户的IP、MAC、登录时间，无法进行更详细定位；第五，在计费策略方面，无法实施分区域的收费策略。

Web + Portal

优点：不需要特殊的客户端软件，降低网络维护工作量，可以提供Portal等业务认证。

缺点：WEB承载在7层协议上，对于设备的要求较高，建网成本高；用户连接性差，不容易检测用户离线，基于时间的计费较难实现；易用性不够好，用户在访问网络前，不管是TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证； IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。认证前后业务流和数据流无法区分。

优点：协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；

缺点：需要特定客户端软件；网络现有楼道交换机的问题：由于是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题； IP地址分配和网络安全问题：协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机＋，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题；计费问题：协议可以根据用户完成认证和离线间的时间进行时长计费，

不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。

由以上对比及需求分析，校园网中用户数庞大，局域网内数据交换多且频繁，如文件传输、局域网游戏；校内资源丰富，希望达到高速资源共享，如校园数据中心资源、图书馆资源等；网络应用复杂，组播流量大，特别是视频流量；用户群活跃，喜欢尝试对网络的攻击；不同区域的用户群体不同，网络流量特征有差别，管理需求相异。

从前面的分析可以总结出PPPoE认证更侧重于管理，认证则可以更好维护网络性能。校园网中认证模式可以基于用户群体特点和管理需求进行选择。

因此的认证方式最适合校园网，协议是一种基于端口的接入控制协议。如图4-5，认证系统一般包含三个实体：客户端(Supplicant)、认证系统(authenticator system，通常为支持的接入交换机)、认证服务器(authenticator server)。客户端向认证系统发起接入请求；认证服务器验证用户账户，并通知认证系统是否开放业务数据接入端口。的认证数据流和业务数据流是分开的。在认证前，客户端只能发送认证数据包，直接屏蔽了ARP 广播；认证成功后，对该主机开放交换机端口的业务数据接入通道，不改变用户的数据包格式和传输路径。目前，大部分主流交换机均支持，可以较为方便地实施认证的分布式部署。

图4-5

无线区域漫游

什么是漫游标准并未提到“漫游”，通常来说我们所指的漫游就是移动设备在转换接入点的同时仍然维持原有的网络连接，也就是从一个接入点转换到另一个接入点，我们现在要讨论的漫游问题就是从一个AP接入到另一个AP时，保证网络的持续连接同时重新关联。

每次通过无线方式访问网络时，是需要身份认证的，而我们采用的认证方式是，从加入网络到能够送出网络协议封包，身份认证是耗时最长的步骤，那么对于一个扩展服务集内，每次BSS切换时都进行身份认证，在此期间造成短时间的网络中断，对于该问题的解决方案就是采用预先身份认证，其好处就是，一旦进入接入点的涵盖范围，移动设备就可以立即与接入点重新关联，而不必等候认证交换过程。具体关联步骤如下:

1. 工作站关联到它在网络中所发现的第一个接人点。之所以选择与这个接入点关联，是根据工作站固件的判断标准。

2.关联之后，工作站就可以进行身份验证。这个步骤使用 EAPOL帧, 它的Ethertype 类型代码为88-8E（十六进制）。接人点会将EAPOL帧转换为RADIUS封包，会话的真实性也经过验证。

3.双方会分别生成无线电波链路所使用的动态密钥，以四次握手生成成对密钥，以组密钥握手生成组密钥。

4. 当密钥配置完成，工作站就等于“上线"了，可以收发网络协议封包。工作站软件掌控了漫游的行为，如果对它有利，就可以进行漫游。在移动的过程中，工作站发现AP2似乎是较好的选择，所以开始进行预先身份验证，加快转移到AP2 的过程。不过，工作站并不是一并移转所有事项，而是利用预先身份验证缩短收发网络封包因此而中断的时间。

5.工作站送出一个EAPOL-Start消息给新的接人点，揭开预先身份验证的序幕。工作站每次只能与一个接人点关联，因此预先身份验证帧必须通过旧接人点转达。预先身份验证本身属于完整的交换。

a. 预先身份验证帧使用编号范围从88到C7（十六进制）的Ethertype，因为大

多数接人点对正常的身份验证Ethertype会做特殊的处理。此帧的源地址为工

作站，接收端地址为当前接人点的BSSID（在本例中为API无线接口的MAC地

址），而目的端地址则是接人点的BSSID（在本例中为AP2的无线接口）。

b. 由API收到以后，帧就会通过分布式系统传给AP2。接人点本身只有一个MAC

地址。如果这两个接人点不是位于相同的Ethernet广播域，则必须通过别的

方式在两者之间传递预先身份验证帧。

c. 在整个过程中，工作站仍然与API保持关联，也可以使用现有经加密的连接来

收发网络封包。由于工作站仍在线，因此不会发生需要进行其他身份验证的情

况。

d. 预先身份验证的结果是与AP2建立起一个安全的操作环境。工作站与AP2各自

产生成对主密钥，进一步处理后，创建了工作站与AP2之间的密钥。工作站与

接人点均将成对主密钥存放于密钥缓存中。

6.当工作站扣下扳机，关联就会转移到AP20 作为初始关联过程的一部分，工作站

将会提供密钥缓存的副本，告诉AP2它已经通过身份验证。

7. AP2收到身份验证请求并开始搜寻本身的密钥缓存。找出可用密钥之后，便立

刻启动成对密钥的四次握手过程。在派生密钥的过程中，短时间内工作站将无法正常收发封包。

图4-6

当预先身份验证启动费时的 EAP身份验证之际,还是可以通过原本已验证的连接收发网络帧。第一次关联过程较慢,因为需要进行完整的EAP交换过程。使用预先身份验证之后,即可大幅缩短后续关联的切换时间。

五、无线网络安全

数据加密

为保证数据不被非法读取，而且在接入点和无线设备之间传输的过程中不被修改，可以使用加密技术。从根本意义上讲，加密与密码相似，都是将数据转换成只有合法接收者才能读懂的符号。加密要求发送方和接收方都拥有密钥，才能对传输数据进行解码。

无线网络目前使用的数据加密方式主要有如下几种：

(1) WEP

在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获

准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。

(2) WPA

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP 中此前倍受指责的缺点得以全部解决。

(3) WPA2

WPA2与WPA后向兼容，支持更高级的AES加密，能够更好地解决的安全问题。由于部分AP和大多数移动客户端不支持此协议，尽管微软已经提供最新的WPA2补丁，但是仍需要对客户端逐一部署。该方法适用于企业、政府。

目前使用WPA2方式加密数据通讯可以为提供足够的安全，但是WPA2方式还不是很成熟，并不是所有用户都可以顺利使用，部分无线设备也不支持WPA2加密，所以对于这些用户和设备来说，只能被迫停留在不安全的技术上。

(4)

IEEE （当接入点经过Wi-Fi联盟认证时，它也被称为WPA2）为数据加密采用了高级加密标准（AES）。AES是目前最严格的加密标准，而且这种方法从来没有被破解过。

(5) WAPI

WAPI(WLAN Authentication and Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对中WEP协议安全问题，在中国无线局域网国家标准中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority 审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不

同地区漫游，方便用户使用。

目前WEP加密方式已经被黑客攻破，网上已经有完整的破解攻略及攻击软件，WPA 最近也出现了暴力破解的攻略，而WPA2、WAPI及目前还是非常安全的数据加密手段。

建立无线虚拟专用网

VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN功能虽然不属于标准定义下的技术，但它作为目前最常见的连接中、大型企业或团体与团体间的私人网络的通讯技术，已经成为无线路由器的一项基本功能。

如果客户端因为过于陈旧或者驱动程序不兼容而无法支持、WPA2或者WAPI，在这种情况下，VPN可以作为保护无线客户端连接的备用解决方案，利用VPN并使用定期密钥轮换和额外的MAC地址控制加强安全管理，达到安全目的。

使用入侵检测系统

入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统的入侵事件。无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测加入了一些无线局域网的检查和对破坏系统反应的特性，可以监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警等。

目前，市场上常见的无线入侵检测系统是“AirdefenseRogueWatch”和AirdefenseGuard。而一些无线入侵检测系统也得到了Linux系统的支持。

总结

综上所述，面对校园网络的需求，随着无线设备技术的日趋成熟，人们逐渐对无线局域网的认识，价格也不断下降，很多学校都建立了自己的公共机房和局域网络并尝试无线网的探索和应用。以及INTEL的“迅驰”移动技术在笔记本电脑的大量普及。无线网络技术的应用会越来越多被人们认可并应用到实际学习生活中。

从校园网的组建方案、可以选用的网络技术、对网络设备的介绍和选择及安全解决方案等多方面的论述，使我们对校园网建设工程有了一个比较深入的了解，它的所用到的各种技术是多方面的，即有网络技术，也有管理制度等各个方面的知识。网络技术的发展是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究，并能将其应用到实际的网络建设之中。

参考文献

[1]董健. 物联网与短距离无线通信技术. 北京：电子工业出版社

[2]孙阳，陈枭，刘天华. 网络综合布线技术. 北京：人民邮电出版社

[3]谢希仁. 计算机网络. 北京：电子工业出版社

[4]Mattbew . 无线网络. 南京：东南大学出版社

…