中小企业无线网络解决方案毕业论文.doc 31页

'中小企业无线网络解决方案毕业论文目录摘要V目录VI第一章绪论11.1建设背景11.2需求分析21.3.1富东电子有限公司网络应用需求21.3.2富东电子有限公司安全需求2第二章无线企业网络总体设计方案42.1设计原则52.2设计方案62.3无线局域网的标准62.4富东电子有限公司无线局域网的网络拓扑结构图62.5无线网络设备选型72.5.1无线网卡选型72.5.2无线AP选型92.5.3接入层交换机选型102.5.4核心层交换机选型112.5.5无线路由器11第三章无线网络硬件设备安装与配置133.1无线网络的安装133.1.1无线网卡的安装133.1.2无线AP的安装1429 3.1.3交换机的安装173.1.4无线路由器的安装183.2无线网络设备的主要配置183.2.1无线网卡的主要配置183.2.2无线AP的主要配置193.2.3接入层交换机的主要配置193.2.4核心层交换机的主要配置193.2.5路由器的主要配置20第四章企业无线局域网的测试与管理214.1网络系统测试214.1.1使用Ping命令214.1.2使用VLAN、VTP命令214.1.3使用NAT命令214.2网络系统管理224.2.1使用管理主机管理网络224.2.2无线企业网安全224.2.3无线企业网安全策略23第五章无线局域网故障排除第六章总结25致谢26参考文献27第一章绪论1.1建设背景29 在信息迅猛发展的今天，国内大部分中小型企业均实现了有线网络的建设。但随着网络设施的完善，越来越多的便携式计算机终端走进了企业，越来越多的员工也开始拥有了带有无线网卡的计算机终端。员工对无线网络的依赖性也变得相当之高，“随时随地获取信息”已成为广大企业员工们的新需求。但是，传统的有线企业网存在着诸多“网络盲点”，比如大型会议室、餐厅、体育馆等许多不宜网络布线的场馆设施如何联网？在办公大楼等场合如何突破网络节点限制、实现多人同时上网的问题？1.2需求分析1.3.1电子有限公司网络应用需求在信息化的时代，计算机和网络已成为人们的生活中的不可缺少部分。依靠计算机及网络获取的信息已经占到各种媒体的大部分。同时，通过方便和移动的方式获取信息成为趋势，促使便携式和移动性计算机不断发展。未来的网络将使得人们能够在广阔的范围内里，方便灵活地连入网络。为了满足这种要求，除了在城市和广域范围内使用高效的专线和租用线路之外，还应该提供园区和家庭范围内的高速安全的无线传输方式。对于无线方式，需要达到的功能与要求有：1.高带宽，必须能够达到有线局域网络的带宽，从而保证家庭网络速度。2.可靠的保密性能，由于无线方式通过空中传播，必须有良好的保密措施使得数据传输的安全可靠，防止可能的窃取。3.无线电管理机关的许可，由于采用无线方式，必须符合所有本地无线电管理机构的规定。4.合理的造价，与租用线路和有线布线比较，无线方式应该有更加合理的价格和更高的性能。1.3.2电子有限公司安全需求1.硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。29 2.网络通迅系统安全性：网络的安全性主要包括采取以下安全措施：认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。3.操作系统安全性：操作系统安全性要达到C2级，即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性，实施存取限制，保护数据防止被别的用户读取或破坏。4.数据库安全性：数据库要有以下安全机制：磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。5.认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。6.采用杀毒软件，或在对网络服务器中的文件频率的扫描和监测，也可以在工作站上用防病毒芯片和对网络目录及文件设置访问权限。7.采用了路由器带防火墙模块里面集成内容过滤、邮件过滤，为了防止非法信息、恶意脚本及垃圾邮件；集成防范拒绝服务网关，提供攻击检测及攻击抵御。8.安全性内部网络之间、内部网络与外部公共网之间的互联，利用VLAN、ACL等对访问进行控制，确保网络的安全。第二章无线企业网络总体设计方案2.1设计原则该企业网络是具有高密度用户群的网络，为了保障全网的高速转发，企业网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。u可管理该企业网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于企业网络的使用者数量较多，跨网络开展的业务众多，因此需要能够提供用户的高效管理，以确保企业网络的信息安全。29 u可增值企业网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能提供丰富的宽带增值业务（如VoIP，IPV6等），全网支持IPV6，使网络能适应未来需求，节约各类费用。确保新建网络在3～5年内的使用价值。u安全保密性充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。能有效通过软硬件相互联动，有效保证企业网的安全；选择设备必须具有较高的安全特性，如蠕虫病毒防御、ARP欺骗防御、防代理、防攻击扫描、防私设DHCP等功能，系统采用数字签名,安全认证,密码技术以及超级防火墙软件,代理服务器和VPN(虚拟隧道网络技术)等来确保网内安全。对员工的上网行为进行实时记录，并保存到日志服务器。u可扩展与成熟性企业网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，要具有可扩展性和可升级性。随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。u经济性在满足高性能价格比(高性价比)的前提下,选用物廉价美,经济实用的产品,以减少开支。u开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。2.2设计方案根据无线企业网的设计原则，对各场所需采用不同的设计方案：人事部和行政部所在的办公大楼是员工的主要活动场所，最适宜采用无线局域网覆盖方式．根据室内面积及容量，确定AP的数目及位置。29 机房内容量和布置相对固定，一般不会有太大变动，可以采用传统的以太网。如有必要可以将无线局域网作为有线网络的扩展，以达到增加机房容量的效果。由于宿舍内房间数较多、面积相对较小，不适宜在室内布置AP，可以采用在公寓四周架设AP的方法，让AP的信号透过玻璃窗覆盖各房间。员工娱乐区等室外场所网络用户稀疏且地带空旷，布置无线局域网时主要考虑覆盖面积的因素。为扩大单个AP的覆盖范围，可以为每个AP安装功率放大器以及大功率天线。为更好地实现室内各个角落的信号覆盖，可以采用室内天线系统。2.3无线局域网的标准本方案当中设计采用的标准为IEEE802.11b标准。该标准采用直接序列扩频技术(DSSS)和伪随机噪声码(PNCODE)技术，实现了抗干扰能力强，带宽高，功率低，几乎对其他系统无干扰。2.4富东电子有限公司无线局域网的网络拓扑结构图本设计主要目标是企业无线网络进行设计，本企业网网络主干采用H3CS9512核心交换机，整个网络只有两层结构，保证了数据的快速交换，同时，网络主干全部使用光纤，桌面接入全部实现百兆接入，保证了企业网对多媒体数据流的需求。企业的网络拓扑如图2-1所示。29 图2-1富东电子有限公司无线网络拓扑图图2.5无线网络设备选型2.5.1无线网卡选型无线网卡是终端无线网络的设备，是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置，但是有了无线网卡也还需要一个可以连接的无线网络，如果你在家里或者所在地有无线路由器或者无线AP（AccessPoint无线接入点）的覆盖，就可以通过无线网卡以无线的方式连接无线网络可上网。在选购无线网卡的时候，需要从以下几个方面考虑：1.接口类型无线网卡的作用类似于以太网中的网卡，作为无线局域网的接口，实现与无线局域网的连接。按接口类型分，无线网卡主要分为PCI、USB、PCMCIA三种，PCI接口无线网卡主要用于台式电脑，PCMCIA接口的无线网卡主要用于笔记本电脑，USB接口无线网卡可以用于台式电脑也可以用于笔记本电脑。在选购无线网卡时，应该根据实际情况来选择合适的无线网卡。29 2.传输速率传输速率作为衡量无线网卡性能的一个重要指标。目前，无线网卡支持的最大传输速率可以达到54Mbps，一般都支持IEEE802.11g标准，兼容IEEE802.11b标准。不过部分厂家的产品通过各种无线传输技术，实现了高达108Mbps的传输速率，例如，TP-LINK、NETGEAR等。3.认证标准目前，无线网卡采用的网络标准主要是IEEE802.11b以及IEEE802.11g标准，两个标准之间，分别支持11Mbps和54Mbps的速率，后者可以兼容IEEE802.11b标准。4.兼容性无线局域网相关的IEEE802.11x系列标准中，除了IEEE802.11b和IEEE802.11g标准外，还有IEEE802.11a标准，该标准可以支持20Mbps的传输速率，但是与前面两个标准都不兼容。所以在选购产品时，最好不要选择该标准的产品。在选择多个无线网卡时，必须要选择支持同一标准或相互兼容的产品。5.传输距离传输距离同样是衡量无线网卡性能的重要指标，传输距离越大说明其灵活性越强。目前，一般的无线网卡室内传输距离可以达到30～100米，室外可达到100～300米。在选购时，注意产品的传输距离不低于该标准值即可。另外，无线网卡传输距离的远近还会受到环境的影响，比如墙壁、无线信号干扰等。6.安全性因为常见的IEEE802.11b和IEEE802.11g标准的无线产品使用了2.4GHz工作频率，所以，理论上任何人安装了无线网卡的用户都可以访问网络，这样的网络环境，其安全性得不到保障。为此，一般采取WAP(WirelessApplicationProtocal，无线应用协议)和WEP(WiredEquivalentPrivacy，有线等价加密)加密技术，WAP加密性能比WEP强，不过兼容性不好。目前，一般的无线网卡都支持68/128位的WEP加密，部分产品可以达到256位。综合以上因素考虑，本次设计无线网卡选择的产品是TL-WN322G+，该产品的主要性能与参数如表2-1所示。表2-1无线网卡TL-WN322G+的性能与参数图片主要性能和参数网络标准：IEEE802.11g、IEEE802.1数据传输：54Mbp29 有效工作：室内最远100米、外最远300频率范围：2.4-2.4835GHz支持网络：CSMA/CAwithAC信道数：13灵敏度：54M:-68dBm@10%PER、11M传输方式：直接序列扩频(DSSS)参考价格：95元2.5.2无线AP选型无线AP（AccessPoint）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米，目前主要技术为802.11系列。大多数无线AP还带有接入点客户端模式（APclient），可以和其它AP进行无线连接，延展网络的覆盖范围。在选购无线AP的时候，应注意以下几个方面：uAP的性能AP的网络位置大致等同于接入交换机，所以其同时接入的最大用户数以及数据的转发时延也是重要的指标参数。质量较好的AP可以做到30个以上并发用户的使用。功率过小，则无线网络的信号覆盖范围和传输稳定性较差；功率过大，则会对人体产生不利的影响。u通信协议标准目前性价比较好的是基于802.11b标准的网络设备，通信速率为11M，无线芯片提供商TI公司推出的芯片中采用了自行扩展协议达到了22M。802.11g标准的网络设备，通信速率为54M和108M。u数据传输安全性保护能力使用加密的手段是基本方法，但加密位数越多，对计算机资源的消耗也就越大。SSID隐藏作为一种简单高效的安全防范措施已经成为主流解决方案。此外，MAC地址过滤也是目前常用的小规模网络高效率安全解决方案。u设备管理的便利性29 AP作为一个网络设备，自然需要相应的设备设置。对于家庭和SOHO用户，AP使用的方便性十分重要。应该选择具有中文图形化管理界面的AP，这样用户易学易用，得以方便地修改参数。u天线的可拆卸这样便于我们更换增益天线。AP受电源和网线长度所限，AP不一定处于信号发射的最有利位置；另外，AP也不应该破坏家庭已有装修的美观，通常放置在角落里，其信号覆盖效果必然受损。这时可以考虑在AP上换装形态各异的增益天线，一来增加了室内的整体美感，二来增强了信号的有效覆盖范围。综合以上因素考虑，本次设计无线AP选择的产品是TP-LINKTL-WA501G+，该产品的主要性能与参数如表2-2所示。表2-2无线APTP-LINKTL-WA501G+的性能与参数图片主要性能和参数工作方式：无线频率范围：2.4-2.4835GHz网络标准：IEEE802.11g/b,IEEE传输速率：54Mbps天线类型：可拆卸全向天线4dBi调制技术：OFDM/DBPSK/DQPSK/接收灵敏度：54M:-68dBm@10%PER11端口类型：1个10/100M自适应RJ45价格：290元2.5.3接入层交换机选型接入层交换机均选用CiscoWS-C2960-24-S，该款交换机具有24个10/100Mbps以太网上行链路端口，LAN基本镜像。可提供集成安全性，包括网络准入控制(NAC)、高级服务质量(QoS)和为网络边缘提供智能服务的永续性。现销价2500元人民币左右。交换机实物如图2-1所示：图2-2WS-C2960交换机2.5.4核心层交换机选型核心层交换机选用WS-C3750-24TS-S29 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统。就好像是一整台交换机一样。市场的参考价格为8000元。交换机实物如图2-3所示：图2-3WS-C3750交换机2.5.5无线路由器无线路由器就是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/cable，动态xdsl，pptp四种接入方式，它还具有其它一些网络管理的功能，如dhcp服务、nat防火墙、mac地址过滤等等功能。在选购无线路由器的时候，应注意一下几个方面：u端口数目与速率很多无线路由器产品都内置有交换机，一般包括1个WAN(广域网)端口以及4个LAN(局域网)端口。WAN端口用于和宽带网进行连接，LAN端口用于和局域网内的网络设备或计算机连接，这样可以组建有线、无线混合网。u网络标准无线路由器一般支持IEEE802.11b和IEEE802.11g标准，理论上分别可以实现11Mbps、54Mbps的无线网络传输速率。家庭或小型办公网络用户一般选择IEEE802.11b标准的产品即可。u网络接入常见的Internet宽带接入方式有ADSL、CableModem、小区宽带等。所以在选购无线路由器时要注意它所支持的网络接入方式。u防火墙为了保证网络的安全，无线路由器最好还应该内置防火墙功能。防火墙功能一般包括LAN防火墙和WAN防火墙，前者可以采用IP地址限制、MAC过滤等手段来限制局域网内计算机访问Internet；后者可以采用网址过滤、数据包过滤等简单手段来阻止黑客攻击，保护网络传输安全。29 u高级功能选购无线路由器时，我们还需要注意它所支持的高级功能。除了上面介绍的注意事项外，在选购无线路由器产品时，我们还需要注意无线路由器的管理功能。它至少应该支持Web浏览器的管理方式；无线传输的距离，至少应该达到室内100米，室外300米；至少应该支持68/128位WEP加密。综合以上因素考虑，本次设计无线路由器选择的产品是TP-LINKTL-WR841N，该产品的主要性能与参数如表2-3所示。表2-3无线路由器TP-LINKTL-WR841N的性能与参数图片主要性能和参数网络标准：IEEE802.11n、IEEE802.1数据传输：300Mbp频率范围：2.4-2.4835GHz信道数：13调制方式：DBPSK、DQPSK、CCK、OFDM支持网络：CSMA/CA、CSMA/CD、TCP/IP灵敏度：270M:-68dBm@10%PER、13价格：￥201至￥26529 第三章无线网络硬件设备安装与配置3.1无线网络的安装3.1.1无线网卡的安装步骤1.选择一个电脑主机，在其插槽里装入无线网卡或采用USB接口网卡，插好后，确保是否接触良好。步骤2.开机后，安装TL-WA200+AP+A的安装驱动，根据驱动向导，安装完成后，重启系统。启动TL-WN322G/WN322G+客户端驱动程序，如图3-1所示。图3-1启动TL-WN322G/WN322G+客户端驱动程序步骤3.重启系统后，单击“我的电脑”，右击“属性”，进入“硬件管理器”，然后选择网络适配器扫描网络硬件改动，然后扫描到所安装的网络适配器的相关信息，如图3-2所示。29 图3-2设备管理器界面步骤4.安装网卡驱动。步骤5.设置无线网络连接，右击“网上邻居”选择“属性”，右击“无线连接”选择“属性”选择“TCP/IP”，设置IP地址。步骤6.查看无线网络的连接状态，双击任务栏中的“无线连接”的图标即可查看无线网络的连接状态。3.1.2无线AP的安装步骤1.用一根直通双绞线将无线AP的LAN口与一台计算机的RJ-45口相连，待指示灯连接正常。步骤2.在IE浏览器地址栏中输入“192.168.1.1”进入无线AP的设置界面，选择“BasicSetting”选项卡进行SSID的设置，如图3-3所示。29 图3-3SSID的设置步骤3.选择“IpSetting”选项卡进行Ap地址、子网掩码的设置以及IpRange的设置。局域网中的IP地址范围从192.168.1.2到192.168.1.101。步骤4.选择“Status”选项卡可对设置进行查看。通过对无线局域网无线AP、无限网卡的设置，可以通过右击“网上邻居”选择“属性”，打开“网络连接”对话框，然后右击“无线网络连接”选择“查看无线网络连接”，刷新网络列表可以查看网络。桌面右下角也显示出无线网络已连接成功，如图3-4所示。图3-4无线网络连接成功步骤5.双击桌面上TL-WN322G/WN322G+客户端应用程序可以进行WEP加密，默认情况下无加密，如图3-5所示。29 图3-5无加密状态在“无加密”状态下可以Ping通192.168.1.23主机，如图3-6所示。图3-6可以ping通192.168.1.23步骤6.在TL-WN322G/WN322G+客户端应用程序窗口中，点击“更多的设置”，对网络进行WEP加密，如图3-7所示。29 图3-7进行WEP加密显示对TL-WN322G/WN322G+网卡进行了加密，在“加密”状态下不可以Ping通192.168.1.23主机，如图3-8所示。图3-8不可以Ping通192.168.1.233.1.3交换机的安装根据网络拓扑图可以看到，交换机中使用到先兆线路，所以我选用的是光纤端口，首先需要安装光模块，再将光纤的LC连接器接到光模块上。配置电缆的RJ-45一端连接到交换机的配置口（Console)上，另一端可以直接PC电脑。29 3.1.4无线路由器的安装用一条直连网线从路由器的LAN口连接至PC机的RJ45口，连接完成后打开电脑电源启动电脑，然后检查路由的工作状态，路由器指示灯M2长相亮，M1熄灭表示工作正常，反之工作不正常。3.2无线网络设备的主要配置对于我所设计的方案中，接入层交换机的配置相对简单，所以我只为它做些最简单的配置，下面我将详细配置的步骤与命令写在下面。3.2.1无线网卡的主要配置（1）打开“网络连接”设置窗口在桌面右键单击“网上邻居”，点击“属性”菜单（2）保证无线网络连接已启用在“网络连接”窗口中，如果“无线网络连接”状态是“禁用”，右键单击“无线网络连接”，点击“启用”菜单：（3）查看可用的无线连接右键单击“无线网络连接”，点击“查看可用的无线连接”菜单：（4）连接企业无线网络在“无线网络连接”窗口中，选择“SWJTUnet”无线网络，然后点击“连接”按钮：（5）在弹出的对话框中，点击“仍然连接”按钮：至此便建立了与企业无线网络的连接。连接成功后，将显示星号标记，和“已连接上”文字。（6）拨号认证上网无线网络连接成功以后，用户便可以使用已申请的教育网或网通的帐号密码，拨号认证上网，访问企业网和Internet，与有线网络登陆方式一样。（7）断开企业无线网络上网完毕注销账号后，或不需要再使用无线网络时，在“无线网络连接”窗口中，选择“SWJTUnet”无线网络，然后点击“断开”按钮：（8）在弹出的对话框中，点击“是”按钮29 3.2.2无线AP的主要配置（1）配置系统名并分配地址AP>enableAP>configtermainalAP(config)#hostnameJFRSB(config)#interfacebvi1RSB(config-if)#ipaddress192.168.1.2255.255.255.0（2）配置SSID(一个唯一的标识，允许客户端识别一个接入点)RSB(config)#intdot11radio0RSB(config-if)#ssidRSBRSB(config-if-ssid)#authenticationopen3.2.3接入层交换机的主要配置在这个方案当中为交换机配置了Trunk链路，其中主要以Switch1进行配置（1）配置trunk链路Switch1#configterminalSwitch1(config)#intfa0/2Switch1(config-if)#switchportmodetrunkSwitch1(config-if)#exitSwitch1(config)#intfa0/3Switch1(config-if)#switchportmodetrunk3.2.4核心层交换机的主要配置本方案中需要为核心层交换机做了VTP服务器、Vlan和路由等配置，本节主要以Switch2交换机为例进行说明其配置过程（1）配置VTP服务器Switch2#configterminalSwitch2(config)#VTPmodeserver（2）配置VLANSwitch2#configterminalSwitch2(config)#vlan229 Switch2(config-vlan)#namej1jiaoxuelouSwitch2(config-vlan)#vlan3Switch2(config-vlan)#namejifangSwitch2(config-vlan)#exitSwitch2(config)#intvlan2Switch2(config-if)#ipaddress192.168.1.1255.255.255.0Switch2(config-if)#intvlan3Switch2(config-if)#ipaddress192.168.2.1255.255.255.0Switch2(config-if)#intvlan4Switch2(config-if)#ipaddress192.168.3.1255.255.255.0Switch2(config-if)#intvlan5Switch2(config-if)#ipaddress192.168.4.1255.255.255.0（3）配置trunk链路Switch2#configterminalSwitch2(config)#intrangeg0/1–2Switch2(config-if)#switchportmodetrunk（4）配置路由Switch2#configterminalSwitch2(config)#iproute0.0.0.0.0.0.0.0s0/0Switch2(config)#iproute192.168.0.0255.255.248.0fa0/03.2.5路由器的主要配置本方案中为路由器配置了访问控制列表与Nat，使用企业能访问外网，本节主要以Router路由器为例进行说明其配置过程。（1）定义访问控制列表router#configureterminalrouter(config)#access-list|permitip192.168.0.00.0.7.255（2）设置natrouter#configureterminalrouter(config)#ipnatinsidesourelist|interfaces0/029 第四章企业无线局域网的测试与管理4.1网络系统测试4.1.1使用Ping命令1．Ping127.0.0.1确认本地的TCP/IP工作正常。测试结果得到响应。（如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题或者是网卡损坏）。2．Ping本机IP地址确认网卡和链路工作正常。测试结果得到响应。表明网络适配器（网卡或MODEM）工作正常。（不通则是网络适配器出现故障。出现此问题时，断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址）。3．Ping局域网内其他IP。测试结果得到响应。（如果不通，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题）。4.1.2使用VLAN、VTP命令1．Showinterfacevlanvlan-num用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。2．Showmac-address-table用于显示CAM，即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所端口、条目类型（静态STATIC、动态DYNAMIC等）以及满足列表条件的MAC地址数目。3． Showvlan用于查看VLAN创建情况。该命令可以显示系统所有的VLAN信息，包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。4．Showvtpstatus用于检查VTP配置情况。4.1.3使用NAT命令1．Showipnattranslation用于显示当前正在进行的NAT情况。2．Showipnattranslationverbose用于显示当前正在进行的NAT更为详细的情况。3．Showipnatstatistics用于显示NAT运行情况统计。4．Debugipnat用于打开对NAT的诊断。29 4.2网络系统管理4.2.1使用管理主机管理网络使用管理主机可以非常好的管理网络，其中可以对网络进行各个方面的设置，比如配置各种服务，设置各种安全策略，限制访问数量、优化网络性能等功能。管理主机安装的是服务器版本系列系统，所以在为昌翔股份有限公司设计网络方案时特意加上了一台管理主机，以实现对网络的管理与忧化，提高网络的整体性能。4.2.2无线企业网安全1．非法接入有线网络能明显地分辨出计算机是否连接在网线上。而无线网络则不同，理论上无线电波范围内的任何一台计算机都可以监听并登录无线网络。并且无线网络的覆盖范围受建筑物和其他因素的影响，具有不确定性。再者，无线电波的频率较为固定。因此非法接入是无线局域网最基本的安全问题。2．盗用合法计算机或无线网卡即使在无线企业网中已经采用了一些安全策略，如基于MAC的用户认证，但黑客和非法用户仍可以通过盗用合法计算机或无线网卡的方法通过认证，侵入WLAN，进行破坏或窃取信息。3．截获用户数据由于WLAN是开放的系统，黑客可以很轻松的截获附近传输的未加密或加密很弱的数据。一旦重要数据被截获，将会给用户带来巨大的损失。4．病毒和攻击WLAN和有线局域网一样，都会遭受病毒和攻击。不同的是WLAN中AP(访问节点，AccessPoint)一般都没有防病毒和防攻击的功能。一旦黑客知道了某个AP的IP地址，并向其发起DoS（拒绝服务）攻击的话，该AP很快就会瘫痪。5．用户安全意识不足即使有合理的安全策略，由于无线网管理人员和无线企业网用户的安全意识不强，也会从内部给无线企业网带来潜在的威胁。29 4.2.3无线企业网安全策略针对以上安全隐患，根据富东电子有限公司的实际情况（多AP模式，如图4-1），采取以下安全控制策略。图4-1多AP模式1.基本安全策略包括扩展频谱技术、MAC（物理地址）过滤、SSID(服务区标识符)匹配和WEP（有线等效保密）。MAC地址过滤和SSID匹配是两项基本的安全技术。扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种，最常用的两种是直接序列和跳频序列。扩频无线传输技术本身使盗听者难以捕捉到有用的数据。由于采用的AP设备支持直接序列，我们把相邻的AP设置成不同的频率。MAC过滤指在AP中维护一组允许访问的MAC地址列表，实现物理地址过滤。我们通过把固定用户的MAC地址加入所在区域AP的MAC地址列表中，把移动用户的无线网卡MAC地址加入到所有允许访问的AP中这一策略，在一定程度上限制了无线网卡的盗用，而且让移动用户体验到了WLAN的移动性。SSID匹配则要求无线网用户出示正确的SSID，才能访问AP，因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的无线安全。我们给各个AP所在服务区以不同的SSID，不仅增加了非法用户接入时的难度，同时也方便了我们的管理。有线等效保密（WiredEquivalentPrivacy29 ）用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙，采用RC4对称加密算法，在链路层加密数据和访问控制。40位的WEP和128位共享密钥加密技术能够提供基本的安全需求，并能抵御最低水平的危险。我们启用了AP上的WEP128功能，给数据一个基本的安全保证。2.无线网隔离策略由于公司WLAN用户较多，我们把有线局域网和WLAN隔离，中间用防火墙和三层交换机相连。这样可以把重要的服务器放到有线局域网中加以保护。在防火墙上设置相应策略，阻止有线网络用户向WLAN发送二层数据包，防止从无线网以外发起的攻击。在三层交换机上为WLAN中的计算机设置MAC与IP的绑定，对防止网卡盗用有很大的作用。3.边界防护策略合理放置AP天线的位置。将AP隐藏在不容易被发现的地方，防止被非法篡改或物理破坏。也不能将天线放在窗户附近，因为玻璃无法阻挡信号的传输。为此，我们将天线放在需要覆盖的区域中心的最高处，以便能够限制信号在覆盖区以外的传输距离，减少信号泄露到区域外的机会。4.防病毒防攻击策略我们一方面在三层交换机上设置防病毒策略，另一方面在计算机上安装个人防病毒软件和个人防火墙软件。防病毒软件我们使用Panda网络版。个人防火墙使用江民防火墙、瑞星个人防火墙、天网个人防火墙等。5.复杂密码策略AP的登陆密码、个人常用密码都采用复杂密码并经常更改，增加了黒客的破译难度。第五章无线局域网故障排除【导读】当进行WLAN(WirelessLocalAreaNetwork)网络故障的Troubleshooting时，应该首先以下几个关键问题进行排错。其中包括一些硬件的问题会导致网络错误，同时错误的配置也会导致WLAN网络不能正常工作。下面将介绍一些WLAN网络排错的方法和技巧。29 当只有一个AP(AccessPoint)以及一个WLAN客户端出现连接问题时，我们可能会很快的找到出有问题的客户端。但是当网络非常大时，找出问题的所在可能就不是那么容易了。　　在大型的WLAN网络环境中，如果有些用户无法连接网络，而另一些客户却没有任何问题，那么很有可能是众多AP中的某个出现了故障。一般来说，通过察看有网络问题的客户端的物理位置，你就能大概判断出是哪个AP出现问题。当所有客户都无法连接网络时，问题可能来自多方面。如果你的网络只使用了一个AP，那么这个AP可能有硬件问题或者配置有错误。另外，也有可能是由于无线电干扰过于强烈，或者是无线AP与有线网络间的连接出现了问题。（一）检查AP的可连接性要确定无法连接网络问题的原因，首先需要检测一下网络环境中的电脑是否能正常连接无线AP。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式，然后ping无线AP的IP地址，如果无线AP响应了这个ping命令，那么证明有线网络中的电脑可以正常连接到无线AP。如果无线AP没有响应，有可能是电脑与无线AP间的无线连接出现问题，或者是无线AP本身出现了故障。　　要确定到底是什么问题，你可以尝试从无线客户端ping无线AP的IP地址，如果成功，说明刚才那台电脑的网络连接部分可能出现了问题，比如网线损坏。　　如果WLAN客户端无法ping到无线AP，那么证明无线AP本身工作异常。你可以将其重新启动，等待大约五分钟后再通过有线网络中的电脑和WLAN客户端，利用ping命令察看它的连接性。　　如果从这两方面ping无线AP依然没有响应，那么证明无线AP已经损坏或者配置错误。此时你可以将这个可能损坏了的无线AP通过一段可用的网线连接到一个正常工作的网络，你还需要检查它的TCP/IP配置。之后，再次在有线网络客户端ping这个无线AP，如果依然失败，则表示这个无线AP已经损坏。这时你就应该更换新的无线AP了。（二）WLAN网络配置问题　　WLAN网络设备本身的质量一般还是可以信任的，因此最大的问题根源一般来自设备的配置上，而不是硬件本身。知道了这一点，我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。29 （三）AP无线信号强度如果你可以通过网线直接ping到无线AP，而不能通过无线方式ping到它，那么基本可以认定无线AP的故障只是暂时的。如果经过调试，问题还没有解决，那么你可以检测一下AP的信号强度。虽然对于大多数网管来说，还没有一个标准的测量无线信号强度的方法，但是大多数WLAN网卡厂商都会在网卡上包含某种测量信号强度的机制。（四）改变无线信号频道　　如果经过测试，你发现信号强度很弱，但是最近又没有做过搬移改动，那么可以试着改变无线AP的频道并通过一台WLAN终端检验信号是否有所加强。由于在所有的WLAN终端上修改连接频道是一项不小的工程，因此你首先应该在一台WLAN终端上测试，证明确实有效后才可以大面积实施。记住，有时候WLAN网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。（五）检验WEP密钥　　检查WEP加密设置。如果WEP设置错误，那么你也无法从WLAN终端ping到无线AP。不同厂商的WLAN网卡和AP需要你指定不同的WEP密钥。比如，有的WLAN网卡需要你输入十六进制格式的密钥，而另一些则需要你输入十进制的密钥。同样，有些厂商采用的是40位和64位加密，而另一些厂商则只支持128位加密方式。　　要让WEP正常工作，所有的WLAN客户端和AP都必须正确匹配。很多时候，虽然WLAN客户端看上去已经正确的配置了WEP，但是依然无法和WLANAP通信。在面对这种情况时，我一般都会将无线AP恢复到出厂状态，然后重新输入WEP配置信息，并启动WEP功能。（六）WEP配置问题　　到现在为止，最常见的与配置有关的问题就是有关使用WEP协议。而且WEP带来的问题也相当棘手，因为由于WEP不匹配所产生的问题显现的症状和很多严重的问题非常相似。比如，如果WEP配置错误，那么WLAN客户端将无法从WLAN网络的DHCP服务器那里获得IP地址（就算是无线AP自带DHCP功能也不行）。如果WLAN客户端使用了静态IP地址，那么它也无法ping到无线AP的IP地址，这经常会让人误以为网络没有连接。29 　　判断到底是WEP配置错误还是网络硬件故障的基本技巧是利用WLAN网卡驱动和操作系统内置的诊断功能。举个例子，一个笔记本采用WindowsXP系统，并配备了Linksys的WLAN网卡。当将鼠标移动到系统任务栏的WLAN网络图标时，会有网络连接信息摘要浮现出来。当连接频道和SSID设置正确后，就算WEP设置错误，你也可以连接到无线AP。此时，从任务栏你会看到连接信号的强度为零。不论WEP是否设置正确，Linksys网卡都会显示出连接信号强度。由此你也可以知道网络确实是已经连接上了，虽然有可能无法ping到无线AP。　　如果你右键点击任务栏中的WLAN网络图标，并在弹出菜单中选择查看可用的WLAN网络（ViewAvailableWirelessNetworks）命令，之后你会看到WLAN网络连接（WirelessNetworkConnection）对话窗。这个对话窗会显示出当前频道内的全部WLAN网络的SSID号，包括你没有连接上的网络。因此如果你发现你的WLAN网络号在列表中，但是你看起来不能正常连接，那么你可以放心，自己的网络连接并没有什么问题，问题是出在配置上。注意：　　WLAN网络连接对话框还提供了一个可以输入WEP密钥的区域，当你试图连接某个WLAN网络时，可以输入该网络的WEP密钥。一般在这里输入WEP密钥后，网络会马上连接成功。（七）DHCP配置问题　　另一个让你无法成功的访问WLAN网络的原因可能是由DHCP配置错误引起的。网络中的DHCP服务器可以说是你能否正常使用WLAN网络的一个关键因素。　　很多新款的WLANAP都自带DHCP服务器功能。一般来说，这些DHCP服务器都会将192.168.0.x这个地址段分配给WLAN客户端。而且DHCPAP也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的WLAN客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个AP。对于这种情况，有两种解决方法：禁用AP的DHCP服务，并让WLAN客户端从网络内标准的DHCP服务器处获取IP地址。修改DHCP服务的地址范围，使它适用于你现有的网络。29 　　这两种方法都是可行的，不过具体还要看你的无线AP的固件功能。很多无线AP都允许你采用其中一种方法，而能够支持这两种方法的无线AP很少。（八）多个AP的问题　　设想一下假如有两个无线AP同时按照默认方式工作。在这种情况下，每个AP都会为无线客户端分配一个192.168.0.X的IP地址。由此产生的问题是，两个无线AP并不能区分哪个IP是自己分配的，哪个又是另一个AP分配的。因此网络中早晚会产生IP地址冲突的问题。要解决这个问题，你应该在每个AP上设定不同的IP地址分配范围，以防止地址重叠。（九）注意客户列表　　有些AP带有客户列表，只有列表中的终端客户才可以访问AP，因此这也有可能是网络问题的根源。这个列表记录了所有可以访问AP的WLAN终端的MAC地址，从安全的角度来说，它可以防止那些未经认证的用户连接到你的网络。通常这个功能是不被激活的，但是，如果用户不小心激活了客户列表，这时由于列表中并没有保存任何MAC地址，因此不管其他的如何设置，所有的WLAN客户端都无法连接到这个AP了。29 第六章总结此次毕业设计经过了选题、构思到最后定稿了几个环节，这是一个从不懂到懂、从遇到问题到解决问题的过程。毕业论文是大学学习阶段一次非常难得的理论与实际相结合的机会，通过这次毕业设计，我摆脱了单纯的理论知识学习状态，和实际设计的结合锻炼了我综合运用所学的专业基础知识解决实际问题的能力，同时也提高了查阅文献资料的能力。毕业设计不仅能让我巩固了以前所学的知识，而且让我在做人做事方面学到了很多，我明白了做任何事情都要一丝不苟，对于出现的任何问题和偏差都不要轻视，要通过正确的途径去解决，在做事情的过程中要有耐心和毅力，不要一遇到困难就打退堂鼓，只要坚持下去就可以找到思路去解决问题的。在工作中要学会与人合作的态度，认真听取别人的意见，这样做起事情来就可以事倍功半。此次论文的完成既为大学三年划上了一个完美的句号，也为将来的人生之路做好了一个很好的铺垫。在以后的日子中，我一定得更加严格要求自己，改正缺点，不断努力，不断进步。29 致谢本文从拟定题目到定稿，历时数天。在本论文完成之际，首先要向我的指导老师XXX老师致以诚挚的谢意。在论文的写作过程中，由于在外面实习的原因不能经常向言老师当面请教，但言老师总是不顾自己工作繁忙，经常在网上和用手机发信息敦促帮助我完成论文的研究。马上就要离开学校了，这篇论文算是我大学期间的最后一次作业了，能够顺利完成这次作业，真的很感谢言老师对我的指导和帮助，让我给自己的大学生活画一个圆满的句号。在此我谨向言老师以及所有的课程老师表示衷心的感谢和深深的敬意。另外，衷心感谢我的同窗同学们和身边支持我的好朋友，在我毕业论文写作中，与他们的探讨交流使我受益颇多；同时，他们也给了我很多无私的帮助和支持，我在次深表谢意。最后，感谢湖南XX学院三年对我的栽培。学无止境。明天，将是我终身学习另一天的开始。29 参考文献[1]吴学毅.计算机网络规划与设计.机械工业出版社,2009.4[2]吴献文,李卓玲.计算机网络安全基础与技能训练.西安科技大学出版社[3]陆魁军.网络实践指南.北京.清华大学出版社,2007.5[4]吴献文,陈承欢.局域网组建技术.北京.人民邮电出版社,2008.4[5](美)KennethD.Reed.TCP/IP基础.北京.电子工业出版社,2008.5[6]张蒲生．局域网组网技术与实训．北京.清华大学出版社．2006[7]苏英如．局域网技术与组网工程．北京.中国水利水电出版社．2004[8]吴彦文，刘方，周光明.固定宽带无线接入技术.北京邮电大学出版社，[9]张金文.宽带无线城域网技术.电子工业出版社，2006.[10]杨闯网络规划与实现高等教育出版社2005.12[11]胡衍庆计算机组网技术实训教程高等教育出版社2005.4[12]马宜兴网络安全与病毒防范，上海交通大学出版社2009.8[13]龚娟．计算机网络基础，人民邮电出版社,2007.5http://wenku.baidu.com/view/b8a5f33ea32d7375a4178089.html29'