1、附件1论文封皮样式天津电子信息职业技术学院毕业论文题目无线网络解决方案姓名专业班级计算机网络技术S112班指导教师完成时间2014年4月天津电子信息职业技术学院制20144II摘要随着INTERNET应用的迅猛发展,以及便携机、PDAPERSONALDATAASSISTANT等移动智能终端的使用的日益增长,给广大用户提供了诸多便利随时随处自由接入INTERNET、能享受更多的业务、安全且有保障的网络,其也成为发展的必然。在接入速率和适应环境上与3G技术互为补充的WLANWIRELESSLOCALAREANETWORK)无线局域网迅猛发展,成为新一代无线接入网络。无线局域WLAN作为有线以太网的
2、延伸,一定程度上满足了网络迅猛发展的这种需求。其采用射频技术构成局域网络,是一种便函利的数据传输系统。由于无线局域网设备一般工作于免授权频段,在频段的使用上无需高昂的许可费用,加之WLAN技术的日趋成熟,使得WLAN的应用已经从单纯的有线网络的延伸拓展开来,成为小区尤其是热点地区重要的高速无线数据接入手段之一,应用潜力巨大。同时WLAN的先期部署将促进移动数据业务需求的增长的相关业条应用的成熟。本次论文,主要深入研究分析了无线企业局域网的构建及其相关安全管理技术措施,探索了安全无线局域网在无线企业网络中基本应用,运用多种安全技术,结合富东电子有限公司无线企业网构建的实际需求,构建了一个安全无线
3、企业网的解决方案。III目录摘要I目录III第一章绪论111建设背景112需求分析2131富东电子有限公司网络应用需求2132富东电子有限公司安全需求2第二章无线企业网络总体设计方案421设计原则322设计方案423无线局域网的标准424富东电子有限公司无线局域网的网络拓扑结构图425无线网络设备选型5251无线网卡选型5252无线AP选型7253接入层交换机选型8254核心层交换机选型9255无线路由器9第三章无线网络硬件设备安装与配置1131无线网络的安装11311无线网卡的安装11312无线AP的安装12313交换机的安装15314无线路由器的安装1632无线网络设备的主要配置16321
4、无线网卡的主要配置16322无线AP的主要配置17IV323接入层交换机的主要配置17324核心层交换机的主要配置17325路由器的主要配置18第四章企业无线局域网的测试与管理1941网络系统测试19411使用PING命令19412使用VLAN、VTP命令19413使用NAT命令1942网络系统管理20421使用管理主机管理网络20422无线企业网安全20423无线企业网安全策略21第五章无线局域网故障排除第六章总结27致谢28参考文献291第一章绪论11建设背景在信息迅猛发展的今天,国内大部分中小型企业均实现了有线网络的建设。但随着网络设施的完善,越来越多的便携式计算机终端走进了企业,越来越
5、多的员工也开始拥有了带有无线网卡的计算机终端。员工对无线网络的依赖性也变得相当之高,“随时随地获取信息”已成为广大企业员工们的新需求。但是,传统的有线企业网存在着诸多“网络盲点”,比如大型会议室、餐厅、体育馆等许多不宜网络布线的场馆设施如何联网在办公大楼等场合如何突破网络节点限制、实现多人同时上网的问题12需求分析131富东电子有限公司网络应用需求在信息化的时代,计算机和网络已成为人们的生活中的不可缺少部分。依靠计算机及网络获取的信息已经占到各种媒体的大部分。同时,通过方便和移动的方式获取信息成为趋势,促使便携式和移动性计算机不断发展。未来的网络将使得人们能够在广阔的范围内里,方便灵活地连入网
6、络。为了满足这种要求,除了在城市和广域范围内使用高效的专线和租用线路之外,还应该提供园区和家庭范围内的高速安全的无线传输方式。对于无线方式,需要达到的功能与要求有1高带宽,必须能够达到有线局域网络的带宽,从而保证家庭网络速度。2可靠的保密性能,由于无线方式通过空中传播,必须有良好的保密措施使得数据传输的安全可靠,防止可能的窃取。3无线电管理机关的许可,由于采用无线方式,必须符合所有本地无线电管理机构的规定。4合理的造价,与租用线路和有线布线比较,无线方式应该有更加合理的价格和更高的性能。2132富东电子有限公司安全需求1硬件平台安全性当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发
7、生故障时,计算机系统能继续工作或迅速恢复。2网络通迅系统安全性网络的安全性主要包括采取以下安全措施认证措施,包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。3操作系统安全性操作系统安全性要达到C2级,即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施存取限制,保护数据防止被别的用户读取或破坏。4数据库安全性数据库要有以下安全机制磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。5认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统。6采用杀毒软件,或在对网络服务器中的文件频率的扫描和
8、监测,也可以在工作站上用防病毒芯片和对网络目录及文件设置访问权限。7采用了路由器带防火墙模块里面集成内容过滤、邮件过滤,为了防止非法信息、恶意脚本及垃圾邮件;集成防范拒绝服务网关,提供攻击检测及攻击抵御。8安全性内部网络之间、内部网络与外部公共网之间的互联,利用VLAN、ACL等对访问进行控制,确保网络的安全。3第二章无线企业网络总体设计方案21设计原则该企业网络是具有高密度用户群的网络,为了保障全网的高速转发,企业网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要交换机具有高性能、高带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。可管理该企业网络是一个庞大而且复杂的
9、网络,为了保障网络的正常使用以及设备的良好维护需要一个功能强大,具有分级、分权管理能力的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。同时由于企业网络的使用者数量较多,跨网络开展的业务众多,因此需要能够提供用户的高效管理,以确保企业网络的信息安全。可增值企业网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能提供丰富的宽带增值业务(如VOIP,IPV6等),全网支持IPV6,使网络能适应未来需求,节约各类费用。确保新建网络在35年内的使用价值。安全保密性充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提
10、供网络安全防范措施。能有效通过软硬件相互联动,有效保证企业网的安全;选择设备必须具有较高的安全特性,如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能,系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN虚拟隧道网络技术等来确保网内安全。对员工的上网行为进行实时记录,并保存到日志服务器。可扩展与成熟性企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,要具有可扩展性和可升级性。随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。4经济性在满足高性能价格比高性价比的前提下,选用物
11、廉价美,经济实用的产品,以减少开支。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。22设计方案根据无线企业网的设计原则,对各场所需采用不同的设计方案人事部和行政部所在的办公大楼是员工的主要活动场所,最适宜采用无线局域网覆盖方式根据室内面积及容量,确定AP的数目及位置。机房内容量和布置相对固定,一般不会有太大变动,可以采用传统的以太网。如有必要可以将无线局域网作为有线网络的扩
12、展,以达到增加机房容量的效果。由于宿舍内房间数较多、面积相对较小,不适宜在室内布置AP,可以采用在公寓四周架设AP的方法,让AP的信号透过玻璃窗覆盖各房间。员工娱乐区等室外场所网络用户稀疏且地带空旷,布置无线局域网时主要考虑覆盖面积的因素。为扩大单个AP的覆盖范围,可以为每个AP安装功率放大器以及大功率天线。为更好地实现室内各个角落的信号覆盖,可以采用室内天线系统。23无线局域网的标准本方案当中设计采用的标准为IEEE80211B标准。该标准采用直接序列扩频技术DSSS和伪随机噪声码PNCODE技术,实现了抗干扰能力强,带宽高,功率低,几乎对其他系统无干扰。24富东电子有限公司无线局域网的网络
13、拓扑结构图本设计主要目标是企业无线网络进行设计,本企业网网络主干采用H3C5S9512核心交换机,整个网络只有两层结构,保证了数据的快速交换,同时,网络主干全部使用光纤,桌面接入全部实现百兆接入,保证了企业网对多媒体数据流的需求。企业的网络拓扑如图21所示。图21富东电子有限公司无线网络拓扑图图25无线网络设备选型251无线网卡选型无线网卡是终端无线网络的设备,是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置,但是有了无线网卡也还需要一个可以连接的无线网络,如果你在家里或者所在地有无线路由器或者无线AP(ACCESS
14、POINT无线接入点)的覆盖,就可以通过无线网卡以无线的方式连接无线网络可上网。在选购无线网卡的时候,需要从以下几个方面考虑1接口类型无线网卡的作用类似于以太网中的网卡,作为无线局域网的接口,实现与无线局域网的连接。按接口类型分,无线网卡主要分为PCI、USB、PCMCIA三种,6PCI接口无线网卡主要用于台式电脑,PCMCIA接口的无线网卡主要用于笔记本电脑,USB接口无线网卡可以用于台式电脑也可以用于笔记本电脑。在选购无线网卡时,应该根据实际情况来选择合适的无线网卡。2传输速率传输速率作为衡量无线网卡性能的一个重要指标。目前,无线网卡支持的最大传输速率可以达到54MBPS,一般都支持IEE
15、E80211G标准,兼容IEEE80211B标准。不过部分厂家的产品通过各种无线传输技术,实现了高达108MBPS的传输速率,例如,TPLINK、NETGEAR等。3认证标准目前,无线网卡采用的网络标准主要是IEEE80211B以及IEEE80211G标准,两个标准之间,分别支持11MBPS和54MBPS的速率,后者可以兼容IEEE80211B标准。4兼容性无线局域网相关的IEEE80211X系列标准中,除了IEEE80211B和IEEE80211G标准外,还有IEEE80211A标准,该标准可以支持20MBPS的传输速率,但是与前面两个标准都不兼容。所以在选购产品时,最好不要选择该标准的产品
16、。在选择多个无线网卡时,必须要选择支持同一标准或相互兼容的产品。5传输距离传输距离同样是衡量无线网卡性能的重要指标,传输距离越大说明其灵活性越强。目前,一般的无线网卡室内传输距离可以达到30100米,室外可达到100300米。在选购时,注意产品的传输距离不低于该标准值即可。另外,无线网卡传输距离的远近还会受到环境的影响,比如墙壁、无线信号干扰等。6安全性因为常见的IEEE80211B和IEEE80211G标准的无线产品使用了24GHZ工作频率,所以,理论上任何人安装了无线网卡的用户都可以访问网络,这样的网络环境,其安全性得不到保障。为此,一般采取WAPWIRELESSAPPLICATIONPR
17、OTOCAL,无线应用协议和WEPWIREDEQUIVALENTPRIVACY,有线等价加密加密技术,WAP加密性能比WEP强,不过兼容性不好。目前,一般的无线网卡都支持68/128位的WEP加密,部分产品可以达到256位。综合以上因素考虑,本次设计无线网卡选择的产品是TLWN322G,该产品的主要性能与参数如表21所示。7表21无线网卡TLWN322G的性能与参数图片主要性能和参数网络标准IEEE80211G、IEEE8021数据传输54MBP有效工作室内最远100米、外最远300频率范围2424835GHZ支持网络CSMA/CAWITHAC信道数13灵敏度54M68DBM10PER、11M
18、传输方式直接序列扩频DSSS参考价格95元252无线AP选型无线AP(ACCESSPOINT)即无线接入点,它是用于无线网络的无线交换机,也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为80211系列。大多数无线AP还带有接入点客户端模式(APCLIENT),可以和其它AP进行无线连接,延展网络的覆盖范围。在选购无线AP的时候,应注意以下几个方面AP的性能AP的网络位置大致等同于接入交换机,所以其同时接入的最大用户数以及数据的转发时延也是重要的指标参数。质量较好的AP可以做到30个以上并发用户的
19、使用。功率过小,则无线网络的信号覆盖范围和传输稳定性较差;功率过大,则会对人体产生不利的影响。通信协议标准目前性价比较好的是基于80211B标准的网络设备,通信速率为11M,无线芯片提供商TI公司推出的芯片中采用了自行扩展协议达到了22M。80211G标准的网络设备,通信速率为54M和108M。数据传输安全性保护能力使用加密的手段是基本方法,但加密位数越多,对计算机资源的消耗也就越大。SSID隐藏作为一种简单高效的安全防范措施已经成为主流解决方案。此外,MAC地址过滤也是目前常用的小规模网络高效率安全解决方案。8设备管理的便利性AP作为一个网络设备,自然需要相应的设备设置。对于家庭和SOHO用
20、户,AP使用的方便性十分重要。应该选择具有中文图形化管理界面的AP,这样用户易学易用,得以方便地修改参数。天线的可拆卸这样便于我们更换增益天线。AP受电源和网线长度所限,AP不一定处于信号发射的最有利位置;另外,AP也不应该破坏家庭已有装修的美观,通常放置在角落里,其信号覆盖效果必然受损。这时可以考虑在AP上换装形态各异的增益天线,一来增加了室内的整体美感,二来增强了信号的有效覆盖范围。综合以上因素考虑,本次设计无线AP选择的产品是TPLINKTLWA501G,该产品的主要性能与参数如表22所示。表22无线APTPLINKTLWA501G的性能与参数图片主要性能和参数工作方式无线频率范围242
21、4835GHZ网络标准IEEE80211G/B,IEEE传输速率54MBPS天线类型可拆卸全向天线4DBI调制技术OFDM/DBPSK/DQPSK/接收灵敏度54M68DBM10PER11端口类型1个10/100M自适应RJ45价格290元253接入层交换机选型接入层交换机均选用CISCOWSC296024S,该款交换机具有24个10/100MBPS以太网上行链路端口,LAN基本镜像。可提供集成安全性,包括网络准入控制NAC、高级服务质量QOS和为网络边缘提供智能服务的永续性。现销价2500元人民币左右。交换机实物如图21所示图22WSC2960交换机9254核心层交换机选型核心层交换机选用W
22、SC375024TSS3750系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,这个产品系列采用了最新的思科STACKWISE智能堆叠技术,不但实现高达32GBPS的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统。就好像是一整台交换机一样。市场的参考价格为8000元。交换机实物如图23所示图23WSC3750交换机255无线路由器无线路由器就是带有无线覆盖功能的路由器,它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线XDSL/CABLE,动态XDSL,PPTP四种接入方式,它还具有其它一些网络管理
23、的功能,如DHCP服务、NAT防火墙、MAC地址过滤等等功能。在选购无线路由器的时候,应注意一下几个方面端口数目与速率很多无线路由器产品都内置有交换机,一般包括1个WAN广域网端口以及4个LAN局域网端口。WAN端口用于和宽带网进行连接,LAN端口用于和局域网内的网络设备或计算机连接,这样可以组建有线、无线混合网。网络标准无线路由器一般支持IEEE80211B和IEEE80211G标准,理论上分别可以实现11MBPS、54MBPS的无线网络传输速率。家庭或小型办公网络用户一般选择IEEE80211B标准的产品即可。网络接入常见的INTERNET宽带接入方式有ADSL、CABLEMODEM、小区
24、宽带等。所以在选购无线路由器时要注意它所支持的网络接入方式。防火墙10为了保证网络的安全,无线路由器最好还应该内置防火墙功能。防火墙功能一般包括LAN防火墙和WAN防火墙,前者可以采用IP地址限制、MAC过滤等手段来限制局域网内计算机访问INTERNET;后者可以采用网址过滤、数据包过滤等简单手段来阻止黑客攻击,保护网络传输安全。高级功能选购无线路由器时,我们还需要注意它所支持的高级功能。除了上面介绍的注意事项外,在选购无线路由器产品时,我们还需要注意无线路由器的管理功能。它至少应该支持WEB浏览器的管理方式;无线传输的距离,至少应该达到室内100米,室外300米;至少应该支持68/128位W
25、EP加密。综合以上因素考虑,本次设计无线路由器选择的产品是TPLINKTLWR841N,该产品的主要性能与参数如表23所示。表23无线路由器TPLINKTLWR841N的性能与参数图片主要性能和参数网络标准IEEE80211N、IEEE8021数据传输300MBP频率范围2424835GHZ信道数13调制方式DBPSK、DQPSK、CCK、OFDM支持网络CSMA/CA、CSMA/CD、TCP/IP灵敏度270M68DBM10PER、13价格201至26511第三章无线网络硬件设备安装与配置31无线网络的安装311无线网卡的安装步骤1选择一个电脑主机,在其插槽里装入无线网卡或采用USB接口网卡
26、,插好后,确保是否接触良好。步骤2开机后,安装TLWA200APA的安装驱动,根据驱动向导,安装完成后,重启系统。启动TLWN322G/WN322G客户端驱动程序,如图31所示。图31启动TLWN322G/WN322G客户端驱动程序步骤3重启系统后,单击“我的电脑”,右击“属性”,进入“硬件管理器”,然后选择网络适配器扫描网络硬件改动,然后扫描到所安装的网络适配器的相关信息,如图32所示。12图32设备管理器界面步骤4安装网卡驱动。步骤5设置无线网络连接,右击“网上邻居”选择“属性”,右击“无线连接”选择“属性”选择“TCP/IP”,设置IP地址。步骤6查看无线网络的连接状态,双击任务栏中的“
27、无线连接”的图标即可查看无线网络的连接状态。312无线AP的安装步骤1用一根直通双绞线将无线AP的LAN口与一台计算机的RJ45口相连,待指示灯连接正常。步骤2在IE浏览器地址栏中输入“19216811”进入无线AP的设置界面,选择“BASICSETTING”选项卡进行SSID的设置,如图33所示。13图33SSID的设置步骤3选择“IPSETTING”选项卡进行AP地址、子网掩码的设置以及IPRANGE的设置。局域网中的IP地址范围从19216812到1921681101。步骤4选择“STATUS”选项卡可对设置进行查看。通过对无线局域网无线AP、无限网卡的设置,可以通过右击“网上邻居”选择
28、“属性”,打开“网络连接”对话框,然后右击“无线网络连接”选择“查看无线网络连接”,刷新网络列表可以查看网络。桌面右下角也显示出无线网络已连接成功,如图34所示。图34无线网络连接成功步骤5双击桌面上TLWN322G/WN322G客户端应用程序可以进行WEP加密,默认情况下无加密,如图35所示。14图35无加密状态在“无加密”状态下可以PING通192168123主机,如图36所示。图36可以PING通192168123步骤6在TLWN322G/WN322G客户端应用程序窗口中,点击“更多的设置”,对网络进行WEP加密,如图37所示。15图37进行WEP加密显示对TLWN322G/WN322G
29、网卡进行了加密,在“加密”状态下不可以PING通192168123主机,如图38所示。图38不可以PING通192168123313交换机的安装根据网络拓扑图可以看到,交换机中使用到先兆线路,所以我选用的是光纤端口,首先需要安装光模块,再将光纤的LC连接器接到光模块上。配置电缆的RJ45一端连接到交换机的配置口(CONSOLE上,另一端可以直接PC电脑。16314无线路由器的安装用一条直连网线从路由器的LAN口连接至PC机的RJ45口,连接完成后打开电脑电源启动电脑,然后检查路由的工作状态,路由器指示灯M2长相亮,M1熄灭表示工作正常,反之工作不正常。32无线网络设备的主要配置对于我所设计的方
30、案中,接入层交换机的配置相对简单,所以我只为它做些最简单的配置,下面我将详细配置的步骤与命令写在下面。321无线网卡的主要配置(1)打开“网络连接”设置窗口在桌面右键单击“网上邻居”,点击“属性”菜单(2)保证无线网络连接已启用在“网络连接”窗口中,如果“无线网络连接”状态是“禁用”,右键单击“无线网络连接”,点击“启用”菜单(3)查看可用的无线连接右键单击“无线网络连接”,点击“查看可用的无线连接”菜单(4)连接企业无线网络在“无线网络连接”窗口中,选择“SWJTUNET”无线网络,然后点击“连接”按钮(5)在弹出的对话框中,点击“仍然连接”按钮至此便建立了与企业无线网络的连接。连接成功后,
31、将显示星号标记,和“已连接上”文字。(6)拨号认证上网无线网络连接成功以后,用户便可以使用已申请的教育网或网通的帐号密码,拨号认证上网,访问企业网和INTERNET,与有线网络登陆方式一样。(7)断开企业无线网络上网完毕注销账号后,或不需要再使用无线网络时,在“无线网络连接”窗口中,选择“SWJTUNET”无线网络,然后点击“断开”按钮(8)在弹出的对话框中,点击“是”按钮17322无线AP的主要配置(1)配置系统名并分配地址APENABLEAPCONFIGTERMAINALAPCONFIGHOSTNAMEJFRSBCONFIGINTERFACEBVI1RSBCONFIGIFIPADDRESS
32、192168122552552550(2)配置SSID一个唯一的标识,允许客户端识别一个接入点RSBCONFIGINTDOT11RADIO0RSBCONFIGIFSSIDRSBRSBCONFIGIFSSIDAUTHENTICATIONOPEN323接入层交换机的主要配置在这个方案当中为交换机配置了TRUNK链路,其中主要以SWITCH1进行配置(1)配置TRUNK链路SWITCH1CONFIGTERMINALSWITCH1CONFIGINTFA0/2SWITCH1CONFIGIFSWITCHPORTMODETRUNKSWITCH1CONFIGIFEXITSWITCH1CONFIGINTFA0/
33、3SWITCH1CONFIGIFSWITCHPORTMODETRUNK324核心层交换机的主要配置本方案中需要为核心层交换机做了VTP服务器、VLAN和路由等配置,本节主要以SWITCH2交换机为例进行说明其配置过程(1)配置VTP服务器SWITCH2CONFIGTERMINALSWITCH2CONFIGVTPMODESERVER(2)配置VLANSWITCH2CONFIGTERMINALSWITCH2CONFIGVLAN218SWITCH2CONFIGVLANNAMEJ1JIAOXUELOUSWITCH2CONFIGVLANVLAN3SWITCH2CONFIGVLANNAMEJIFANGSW
34、ITCH2CONFIGVLANEXITSWITCH2CONFIGINTVLAN2SWITCH2CONFIGIFIPADDRESS192168112552552550SWITCH2CONFIGIFINTVLAN3SWITCH2CONFIGIFIPADDRESS192168212552552550SWITCH2CONFIGIFINTVLAN4SWITCH2CONFIGIFIPADDRESS192168312552552550SWITCH2CONFIGIFINTVLAN5SWITCH2CONFIGIFIPADDRESS192168412552552550(3)配置TRUNK链路SWITCH2CONF
35、IGTERMINALSWITCH2CONFIGINTRANGEG0/12SWITCH2CONFIGIFSWITCHPORTMODETRUNK(4)配置路由SWITCH2CONFIGTERMINALSWITCH2CONFIGIPROUTE00000000S0/0SWITCH2CONFIGIPROUTE192168002552552480FA0/0325路由器的主要配置本方案中为路由器配置了访问控制列表与NAT,使用企业能访问外网,本节主要以ROUTER路由器为例进行说明其配置过程。(1)定义访问控制列表ROUTERCONFIGURETERMINALROUTERCONFIGACCESSLIST|P
36、ERMITIP19216800007255(2)设置NATROUTERCONFIGURETERMINALROUTERCONFIGIPNATINSIDESOURELIST|INTERFACES0/019第四章企业无线局域网的测试与管理41网络系统测试411使用PING命令1PING127001确认本地的TCP/IP工作正常。测试结果得到响应。(如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题或者是网卡损坏)。2PING本机IP地址确认网卡和链路工作正常。测试结果得到响应。表明网络适配器(网卡或MODEM)工作正常。(不通则是网络适配器出现故障。出现此问题时,断开网络电缆,然
37、后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址)。3PING局域网内其他IP。测试结果得到响应。(如果不通,那么表示子网掩码不正确或网卡配置错误或电缆系统有问题)。412使用VLAN、VTP命令1SHOWINTERFACEVLANVLANNUM用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。2SHOWMACADDRESSTABLE用于显示CAM,即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所端口、条目类型(静态STATIC、动态DYNAMIC等)以及满足列表条件的MAC地址数目。3SHOWVLAN用于查看VLAN创建情
38、况。该命令可以显示系统所有的VLAN信息,包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。4SHOWVTPSTATUS用于检查VTP配置情况。413使用NAT命令1SHOWIPNATTRANSLATION用于显示当前正在进行的NAT情况。2SHOWIPNATTRANSLATIONVERBOSE用于显示当前正在进行的NAT更为详细的情况。3SHOWIPNATSTATISTICS用于显示NAT运行情况统计。4DEBUGIPNAT用于打开对NAT的诊断。2042网络系统管理421使用管理主机管理网络使用管理主机可以非常好的管理网络,其中可以对网络进行各个方面的设置,比如配置各种服务
39、,设置各种安全策略,限制访问数量、优化网络性能等功能。管理主机安装的是服务器版本系列系统,所以在为昌翔股份有限公司设计网络方案时特意加上了一台管理主机,以实现对网络的管理与忧化,提高网络的整体性能。422无线企业网安全1非法接入有线网络能明显地分辨出计算机是否连接在网线上。而无线网络则不同,理论上无线电波范围内的任何一台计算机都可以监听并登录无线网络。并且无线网络的覆盖范围受建筑物和其他因素的影响,具有不确定性。再者,无线电波的频率较为固定。因此非法接入是无线局域网最基本的安全问题。2盗用合法计算机或无线网卡即使在无线企业网中已经采用了一些安全策略,如基于MAC的用户认证,但黑客和非法用户仍可
40、以通过盗用合法计算机或无线网卡的方法通过认证,侵入WLAN,进行破坏或窃取信息。3截获用户数据由于WLAN是开放的系统,黑客可以很轻松的截获附近传输的未加密或加密很弱的数据。一旦重要数据被截获,将会给用户带来巨大的损失。4病毒和攻击WLAN和有线局域网一样,都会遭受病毒和攻击。不同的是WLAN中AP访问节点,ACCESSPOINT一般都没有防病毒和防攻击的功能。一旦黑客知道了某个AP的IP地址,并向其发起DOS(拒绝服务)攻击的话,该AP很快就会瘫痪。5用户安全意识不足即使有合理的安全策略,由于无线网管理人员和无线企业网用户的安全意识不强,也会从内部给无线企业网带来潜在的威胁。21423无线企
41、业网安全策略针对以上安全隐患,根据富东电子有限公司的实际情况(多AP模式,如图41),采取以下安全控制策略。图41多AP模式1基本安全策略包括扩展频谱技术、MAC(物理地址)过滤、SSID服务区标识符匹配和WEP(有线等效保密)。MAC地址过滤和SSID匹配是两项基本的安全技术。扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。扩频无线传输技术本身使盗听
42、者难以捕捉到有用的数据。由于采用的AP设备支持直接序列,我们把相邻的AP设置成不同的频率。MAC过滤指在AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。我们通过把固定用户的MAC地址加入所在区域AP的MAC地址列表中,把移动用户的无线网卡MAC地址加入到所有允许访问的AP中这一策略,在一定程度上限制了无线网卡的盗用,而且让移动用户体验到了WLAN的移动性。SSID匹配则要求无线网用户出示正确的SSID,才能访问AP,因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的无线安全。我们给各个AP所在服务区以不同的SSID,不仅增加了非法用户接入时的难度,同时也方便了我们
43、的管理。有线等效保密(WIREDEQUIVALENTPRIVACY)用于在无线局域网中保护链路层22数据。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在链路层加密数据和访问控制。40位的WEP和128位共享密钥加密技术能够提供基本的安全需求,并能抵御最低水平的危险。我们启用了AP上的WEP128功能,给数据一个基本的安全保证。2无线网隔离策略由于公司WLAN用户较多,我们把有线局域网和WLAN隔离,中间用防火墙和三层交换机相连。这样可以把重要的服务器放到有线局域网中加以保护。在防火墙上设置相应策略,阻止有线网络用户向WLAN发送二层数据包,防止从无线网以外发起的攻击。在三层
44、交换机上为WLAN中的计算机设置MAC与IP的绑定,对防止网卡盗用有很大的作用。3边界防护策略合理放置AP天线的位置。将AP隐藏在不容易被发现的地方,防止被非法篡改或物理破坏。也不能将天线放在窗户附近,因为玻璃无法阻挡信号的传输。为此,我们将天线放在需要覆盖的区域中心的最高处,以便能够限制信号在覆盖区以外的传输距离,减少信号泄露到区域外的机会。4防病毒防攻击策略我们一方面在三层交换机上设置防病毒策略,另一方面在计算机上安装个人防病毒软件和个人防火墙软件。防病毒软件我们使用PANDA网络版。个人防火墙使用江民防火墙、瑞星个人防火墙、天网个人防火墙等。5复杂密码策略AP的登陆密码、个人常用密码都采
45、用复杂密码并经常更改,增加了黒客的破译难度。第五章无线局域网故障排除【导读】当进行WLANWIRELESSLOCALAREANETWORK网络故障的TROUBLESHOOTING时,应该首先以下几个关键问题进行排错。其中包括一些硬件的问题会导致网络错误,同时错误的配置也会导致WLAN网络不能正常工作。下面将介绍一些WLAN网络排错的方法和技巧。23当只有一个APACCESSPOINT以及一个WLAN客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。在大型的WLAN网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,
46、那么很有可能是众多AP中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个AP出现问题。当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个AP,那么这个AP可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线AP与有线网络间的连接出现了问题。(一)检查AP的可连接性要确定无法连接网络问题的原因,首先需要检测一下网络环境中的电脑是否能正常连接无线AP。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式,然后PING无线AP的IP地址,如果无线AP响应了这个PING命令,那么证明有线网络中的电脑可以正常
47、连接到无线AP。如果无线AP没有响应,有可能是电脑与无线AP间的无线连接出现问题,或者是无线AP本身出现了故障。要确定到底是什么问题,你可以尝试从无线客户端PING无线AP的IP地址,如果成功,说明刚才那台电脑的网络连接部分可能出现了问题,比如网线损坏。如果WLAN客户端无法PING到无线AP,那么证明无线AP本身工作异常。你可以将其重新启动,等待大约五分钟后再通过有线网络中的电脑和WLAN客户端,利用PING命令察看它的连接性。如果从这两方面PING无线AP依然没有响应,那么证明无线AP已经损坏或者配置错误。此时你可以将这个可能损坏了的无线AP通过一段可用的网线连接到一个正常工作的网络,你还
48、需要检查它的TCP/IP配置。之后,再次在有线网络客户端PING这个无线AP,如果依然失败,则表示这个无线AP已经损坏。这时你就应该更换新的无线AP了。(二)WLAN网络配置问题WLAN网络设备本身的质量一般还是可以信任的,因此最大的问题根源一般来自设备的配置上,而不是硬件本身。知道了这一点,我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。24(三)AP无线信号强度如果你可以通过网线直接PING到无线AP,而不能通过无线方式PING到它,那么基本可以认定无线AP的故障只是暂时的。如果经过调试,问题还没有解决,那么你可以检测一下AP的信号强度。虽然对于大多数网管来说,还没有一个标准的
49、测量无线信号强度的方法,但是大多数WLAN网卡厂商都会在网卡上包含某种测量信号强度的机制。(四)改变无线信号频道如果经过测试,你发现信号强度很弱,但是最近又没有做过搬移改动,那么可以试着改变无线AP的频道并通过一台WLAN终端检验信号是否有所加强。由于在所有的WLAN终端上修改连接频道是一项不小的工程,因此你首先应该在一台WLAN终端上测试,证明确实有效后才可以大面积实施。记住,有时候WLAN网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。(五)检验WEP密钥检查WEP加密设置。如果WEP设置错误,那么你也无法从WLAN终端PING到无线AP。不同厂商的WLAN网卡和AP需要你指定不同的WEP密钥。比如,有的WLAN网卡需要你输入十六进制格式的密钥,而另一些则需要你输入十进制的密钥。同样,有些厂商采用的是40位和64位加密,而另一些厂商则只支持128位加密方式。要让WEP正常工作,所有的WLAN客户端和AP都必须正确匹配。很多时候,虽然WLAN客户端看上去已经正确的配置了WEP,但是依然无法和WLANAP通信。在面对这种情况时,我一般都会将无线AP恢复到出厂状态,然后重新输入WEP配置信息,并启动WEP功能。(六)WEP配置问题到现在为止,最常见的与配置有关的问题就是有关使用WEP协议。而且WEP
