無線網(wǎng)絡(luò)設(shè)計和組建【畢業(yè)論文】

1、<p><b>　　畢業(yè)論文</b></p><p><b>　?。?0 屆）</b></p><p><b>　　無線網(wǎng)絡(luò)設(shè)計和組建</b></p><p><b>　　無線網(wǎng)絡(luò)設(shè)計與組建</b></p><p><b>　　摘要&

2、lt;/b></p><p>　　現(xiàn)在社會的活動越來越依賴于計算機及計算機網(wǎng)絡(luò)，隨著各種移動設(shè)備如筆記本電腦,PDA,PAD和WiFi手機等技術(shù)的日益成熟及普及，人們希望在移動中能夠保持計算機網(wǎng)絡(luò)的連通，但不希望受線纜的限制，能自由的變換這些移動設(shè)備的位置，在這種要求的推動下，產(chǎn)生了無線局域網(wǎng)（Wireless LAN ,WLAN）。一個小型的無線網(wǎng)絡(luò)的組建需要考慮到WLAN安全，AP的關(guān)聯(lián)和漫游，蜂窩的布

3、局和信道的使用，用戶設(shè)備的選型。主要應(yīng)用的技術(shù)包括VLAN,DHCP,DNS,Web Portal,CAPWAP ,應(yīng)用服務(wù)器的搭建等內(nèi)容，根據(jù)產(chǎn)生的報告進行分析和總結(jié)，并預(yù)測了網(wǎng)絡(luò)的可行性有效提高了無線局域網(wǎng)的正確性和可靠性為無線組網(wǎng)提供了科學(xué)的依據(jù)有較高的參考學(xué)習(xí)價值。</p><p>　　【關(guān)鍵詞】：WLC，AP的關(guān)聯(lián)和漫游，WebPortal，CAPWAP，DHCP，Mesh無線架構(gòu)。</p>

4、<p>　　Wireless network design and construction</p><p><b>　　Abstract</b></p><p>　　Now social activities are increasingly dependent on computer and computer networks, with vario

5、us mobile devices such as notebook computer, PDA, PAD and WiFi mobile phones and other technology increasingly mature and popular, people want to keep the computer network connectivity, but do not want to be restricted b

6、y the cable, can freely transform the position of these mobile devices, in such a demand driven by the LAN WLAN (Wireless). The formation of a small wireless network needs to take into a</p><p>　　Key words:

7、AP, WebPortal, CAPWAP, DHCP, WLC, Mesh wireless architecture.</p><p><b>　　目錄</b></p><p><b>　　前言5</b></p><p>　　第一章無線網(wǎng)絡(luò)的需求分析6</p><p>　　1.1項目需求分析

8、6</p><p>　　1.2無線網(wǎng)絡(luò)的最終實現(xiàn)7</p><p>　　1.3校園無線網(wǎng)絡(luò)的建設(shè)原則7</p><p>　　1.4項目研究的目的和意義。7</p><p>　　第二章CISCO無線網(wǎng)絡(luò)的架構(gòu)及設(shè)計8</p><p>　　2.1Cisco無線網(wǎng)絡(luò)架構(gòu)8</p><p>

9、　　2.2Cisco無線控制器（WLC）12</p><p>　　2.3Cisco LAP14</p><p>　　2.3.1Cisco 輕量級AP和自主AP的區(qū)別14</p><p>　　2.3.2自主AP和LAP間的轉(zhuǎn)換15</p><p>　　2.3.3WLC+LAP組網(wǎng)的優(yōu)勢17</p><p>　　

10、2.4LAP注冊到WLC17</p><p>　　第三章 Cisco無線網(wǎng)絡(luò)基本配置18</p><p>　　3.1AP的關(guān)聯(lián)和漫游18</p><p>　　3.2Cisco Wireless Mesh 網(wǎng)絡(luò)20</p><p>　　第四章Cisco統(tǒng)一無線局域網(wǎng)安全22</p><p>　　4.1安全目標(biāo)

11、22</p><p>　　4.2安全威脅22</p><p>　　4.2.1物理平臺的安全威脅22</p><p>　　4.2.2無線通信安全威脅23</p><p>　　4.3基于本地的WEB認證23</p><p>　　4.3.1 Web Portal23</p><p>　　4.

12、3.2自定義認證頁面25</p><p>　　4.3.3不經(jīng)過認證的廣告頁面26</p><p>　　4.4端口鏡像27</p><p>　　第五章 無線信號的增強28</p><p>　　5.1選擇合適的信道28</p><p>　　5.1.1 2.4GHz和5GHz28</p><p

13、>　　5.1.2使用軟件尋找合適信道29</p><p>　　5.2LAP的擺放及蜂窩布局30</p><p>　　5.3通過物理方法增強信號31</p><p>　　第六章個人總結(jié)32</p><p>　　6.1具體技術(shù)32</p><p>　　6.1.1三層交換機上配置32</p>

14、<p>　　6.1.2無線控制器初始化配置35</p><p><b>　　參考文獻37</b></p><p><b>　　致謝38</b></p><p><b>　　前言</b></p><p>　　在無線網(wǎng)普及之前，用戶只能通過電纜將計算機連接到網(wǎng)絡(luò)上，

15、因此用戶只能在室內(nèi)使用計算機，這在很大程度上限制了用戶的移動性，無線局域網(wǎng)的出現(xiàn)使用戶擺脫了電纜的束縛。如今在任何無線網(wǎng)絡(luò)覆蓋的范圍內(nèi)，配備無線網(wǎng)卡的用戶無論何時何地都能通網(wǎng)絡(luò)保持連接。高速的無線校園網(wǎng)，是高校當(dāng)前信息化基礎(chǔ)建設(shè)的一個新方向。隨著無線技術(shù)的進步，教育需求和資源的變化、發(fā)展，無線系統(tǒng)正逐漸成為發(fā)達國家教育機構(gòu)、院校或部門的重要組成部分。在部分院校中已經(jīng)成為某些學(xué)科主要的教學(xué)平臺。我國無線校園網(wǎng)絡(luò)的建設(shè)較國外起步較晚，但發(fā)展

16、仍然相當(dāng)迅速。</p><p>　　由于目前校園網(wǎng)里面大多數(shù)都是有線的網(wǎng)絡(luò)，在移動辦公的時候很不方便，老師也只能在辦公室上網(wǎng)，如果有什么需要，移動一下位置很不方便，為了讓學(xué)生有一個很方便的上網(wǎng)環(huán)境，所以決定在學(xué)校建設(shè)無線網(wǎng)絡(luò)，讓學(xué)生、老師能夠更好的學(xué)習(xí)和辦公。無線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，可以作為傳統(tǒng)有線網(wǎng)的伸延，在某些環(huán)境也可以替代傳統(tǒng)的有限網(wǎng)絡(luò)。</p><

17、;p>　　第一章無線網(wǎng)絡(luò)的需求分析</p><p><b>　　1.1項目需求分析</b></p><p>　?。?）無線網(wǎng)絡(luò)的功能</p><p>　　在無線網(wǎng)絡(luò)覆蓋的范圍內(nèi)，使配備無線網(wǎng)卡的用戶都能同網(wǎng)絡(luò)保持連接，進行快速高效的辦公和娛樂。</p><p>　?。?）無線網(wǎng)絡(luò)的需求</p><

18、;p>　　建立一個覆蓋整個5-102實驗室的無線網(wǎng)絡(luò)。使用戶連接上管理員廣播出的SSID進行簡單地WEB 認證后可以訪問外網(wǎng)。使用無線漫游，橋接等一系列技術(shù)實現(xiàn)整個網(wǎng)絡(luò)的高效可靠、穩(wěn)定，并對用戶的流量加以監(jiān)控，確保整個無線網(wǎng)絡(luò)的安全。</p><p>　?。?）無線網(wǎng)絡(luò)的設(shè)計原則</p><p><b>　　移動性</b></p><p>

19、;　　“無線”意味著可以移動，無線局域網(wǎng)的明顯優(yōu)點就是提供了移動性。通信范圍不再受環(huán)境條件的限制，這樣就拓寬了網(wǎng)絡(luò)傳輸?shù)牡乩矸秶o線局域網(wǎng)系統(tǒng)能夠為用戶提供實時的無處不再的網(wǎng)絡(luò)接入功能，使用戶可以很方便的獲取信息。</p><p><b>　　靈活性</b></p><p>　　安裝容易，使用簡便，組網(wǎng)靈活，無線局域網(wǎng)可以將網(wǎng)絡(luò)延伸到線纜無法連接的地方，并可方便的增

20、減，移動和修改設(shè)備。</p><p><b>　　可伸縮性</b></p><p>　　在適當(dāng)?shù)奈恢梅胖没蛱砑咏尤朦c（Access Point,AP）就可以滿足擴展組網(wǎng)的需要。</p><p><b>　　經(jīng)濟性</b></p><p>　　無線局域網(wǎng)可用于物理布線困難或不適合進行物理布線的地方，如

21、危險區(qū)和古建筑等場合，節(jié)省了纜線及附件的費用，省去布線工序，可快速組網(wǎng)，可以節(jié)省人員費用，并能將網(wǎng)絡(luò)快速投入使用，提供了經(jīng)濟效益。</p><p>　　1.2無線網(wǎng)絡(luò)的最終實現(xiàn)</p><p>　　（1）網(wǎng)絡(luò)方案應(yīng)用所學(xué)的各種技術(shù)，并盡可能的采用先進技術(shù)。</p><p>　?。?）采用統(tǒng)一標(biāo)準(zhǔn)，最大限度的采用統(tǒng)一廠家的產(chǎn)品。</p><p>

22、;　?。?）網(wǎng)絡(luò)方案具有穩(wěn)定性和可靠性、可擴展性。</p><p>　?。?）網(wǎng)絡(luò)方案針對安全，設(shè)置專門的安全策略實現(xiàn)網(wǎng)絡(luò)的安全。</p><p>　　1.3校園無線網(wǎng)絡(luò)的建設(shè)原則</p><p>　　（1）合理利用有限資金。</p><p>　　（2）統(tǒng)一規(guī)劃，分期實施，明確施工目標(biāo)。</p><p>　?。?）便于

23、管理，易擴展，高可靠。</p><p>　?。?）支持靈活的重組和擴展。</p><p>　?。?）選擇市場主流設(shè)備和技術(shù)。</p><p>　　1.4項目研究的目的和意義。</p><p>　　在無線網(wǎng)普及之前，用戶只能通過電纜將計算機連接到網(wǎng)絡(luò)上，因此用戶只能在室內(nèi)使用計算機，這在很大程度上限制了用戶的移動性，無線局域網(wǎng)的出現(xiàn)使用戶擺脫了

24、電纜的束縛。</p><p>　　搭建校園無線網(wǎng)絡(luò)旨在任何無線網(wǎng)絡(luò)覆蓋的范圍內(nèi)，配備無線網(wǎng)卡的老師和同學(xué)在5D-102內(nèi)無論何時何地都能同網(wǎng)絡(luò)保持連接。同時在本項目中將采用當(dāng)下十分流行的WLC+LAP無線組網(wǎng)模式達成以下目標(biāo)：</p><p>　?。?）用戶進行WEB認證訪問外網(wǎng)（可進行當(dāng)前流行的無認證式彈出廣告）</p><p>　?。?）AP之間進行無縫漫游&l

25、t;/p><p>　　（3）無線網(wǎng)絡(luò)安全（監(jiān)控用戶流量）</p><p>　?。?）增強無線信號及AP間的橋接（Cisco Wireless Mesh 網(wǎng)絡(luò)）</p><p>　　第二章CISCO無線網(wǎng)絡(luò)的架構(gòu)及設(shè)計</p><p>　　2.1Cisco無線網(wǎng)絡(luò)架構(gòu)</p><p>　　圖2-1 網(wǎng)絡(luò)拓撲圖</p&g

26、t;<p>　　如圖2-1WLC通過物理端口1(Port1)連接到Cisco3560交換機的fa0/23接口，WLC上所有的接口（Interface）都映射到物理接口1。三層交換機與WLC相連的fa0/23端口被配為Trunk模式，并加入VLAN2。POE交換機用來給AP供電，并連接三層交換機的fa0/24端口，加入VLAN4。為了使配置簡潔明了，本項目將所有的網(wǎng)絡(luò)服務(wù)（AAA,DHCP和DNS）都使用了三層交換機fa/2

27、2端口并加入了VLAN3。</p><p>　　IP地址的劃分主要選取在10.1.0.0和192.168.2.0這兩個網(wǎng)段。VLAN 2主要用來連接無線控制器將10.1.2.1劃給了無線控制器的管理IP。VLAN 3主要用來連接一系列的外部服務(wù)器（DHCP,WEB,DNS,AAA）。VLAN 4主要連接4臺無線接入點，通過動態(tài)分配地址的方法使他們獲取10.1.4.0網(wǎng)段的IP 地址。</p><

28、;p>　　表2-1 IP地址規(guī)劃表</p><p>　　表2-2 設(shè)備密碼規(guī)劃表</p><p>　　考慮到本項目的實驗環(huán)境是在五號教學(xué)樓D棟的102實驗室，所以4個AP的布置分別放在教室的4個角落用以將實驗環(huán)境的覆蓋面積最大化。如圖2-2：</p><p>　　圖2-2 總體結(jié)構(gòu)圖</p><p>　　在整個方案中將選擇思科系列的設(shè)備

29、，整個方案的設(shè)備選擇原則是適用性與先進性相結(jié)合的原則、選擇市場主流的產(chǎn)品（技術(shù)成熟，售后，性能穩(wěn)點）、產(chǎn)品與服務(wù)相結(jié)合，高性能，高可靠性，高安全性，可擴張性，高可維護性，根據(jù)方案的整體預(yù)算以及最終方案的效果功能，設(shè)備的選擇必須與預(yù)算相符合，節(jié)約成本，如表：表2-3，表2-4</p><p>　　表2-3 工程材料計劃表</p><p>　　表2-4 工程預(yù)算表</p><

30、;p>　　2.2Cisco無線控制器（WLC）</p><p>　　本項目選用當(dāng)前十分流行的WLC+LAP模式的無線架構(gòu)。在一個或多個輕量級AP關(guān)聯(lián)上WLC后，無線控制器就能提供一些功能用來對AP進行管理。</p><p>　　（1）動態(tài)分配信道：為每個關(guān)聯(lián)上的AP分配信道。</p><p>　　（2）優(yōu)化發(fā)射功率：無線控制器能夠自主的調(diào)整發(fā)射功率。<

31、/p><p>　?。?）自我修復(fù)無線覆蓋范圍：如果某個LAP出現(xiàn)故障，WLC能夠自主的調(diào)整覆蓋范圍來填補出現(xiàn)的空洞。</p><p>　　（4）靈活的客戶端漫游：這是Cisco等企業(yè)級無線架構(gòu)最大的特點</p><p>　?。?）動態(tài)的客戶端負載均衡。</p><p>　　Cisco無線控制器有多種用于不同用途的接口。無論硬件型號如何，WLC都包

32、含下述接口類型。</p><p><b>　?。?）管理接口</b></p><p>　　管理接口是使用靜態(tài)ip地址的接口，用于傳輸帯內(nèi)數(shù)據(jù)流，這些接口用于建立到WLC的Web，安全外殼（SSH），或Telnet會話。</p><p><b>　?。?）虛擬接口</b></p><p>　　虛擬接口

33、是用來中繼來自無線客戶端的DHCP請求的邏輯接口，給該接口分配一個偽造（但唯一）的靜態(tài)ip地址，這樣客戶端將把該虛擬地址視為其DHCP服務(wù)器；</p><p><b>　　（3）動態(tài)接口</b></p><p>　　動態(tài)接口是根據(jù)需要為通過CAPWAP隧道擴展到LAP的VLAN自動創(chuàng)建的接口。動態(tài)接口有時也被稱為用戶接口，它使用的IP地址屬于無線客戶端VLAN的子網(wǎng)。

34、</p><p>　　WLC的初始化配置只能通過連接到WLC的控制臺端口（Console）的Cisco標(biāo)準(zhǔn)控制電纜進行，然后使用超級終端（SecureCRT）通過CLI輸入?yún)?shù)，在WLC啟動并運行其代碼映像，CLI就以交互的方式提示輸入以下信息。</p><p><b>　　管理用戶名和密碼：</b></p><p>　　管理接口IP地址，子網(wǎng)

35、掩碼，默認網(wǎng)關(guān)：</p><p>　　管理接口和管理VLAN號：</p><p>　　DHCP服務(wù)器地址：客戶端服務(wù)器將從DHCP服務(wù)器那里獲得其IP地址。</p><p>　　虛擬接口的IP地址：通常為1.1.1.1</p><p>　　是否要求客戶端從DHCP服務(wù)器哪里或的IP地址：</p><p>　　是否允許客

36、戶端配置靜態(tài)IP地址：</p><p>　　是否配置RADIUS服務(wù)器：</p><p>　　配置國別碼：中國的國別碼為CN</p><p>　　是否在WLC管理的所有AP上開啟802.11b，802.11a，802.11g服務(wù)：</p><p>　　當(dāng)前Cisco的一些設(shè)備除了默認的命令行模式還可以通過瀏覽器進入到Web管理界面，給予用戶極

37、大地方便。</p><p>　　本項目將WLC的管理接口地址配置為10.1.2.1/24</p><p>　　管理接口為port1</p><p><b>　　管理VLAN 2</b></p><p>　　虛擬接口IP 1.1.1.1</p><p><b>　　用戶名：admin<

38、;/b></p><p>　　密碼：Cisco123</p><p>　　將PC 與三層交換機接口fa0/22相連 并修改IP地址為10.1.3.241/24 網(wǎng)關(guān)為 10.1.3.245</p><p>　　打開瀏覽器，在地址欄中輸入無線控制器管理接口IP地址后彈出如圖2-3界面：</p><p>　　圖2-3 WLC登錄界面<

39、/p><p>　　輸入正確的用戶名密碼后，得到如圖2-4所示的歡迎界面。</p><p>　　圖2-4 WLC管理界面</p><p>　　2.3Cisco LAP</p><p>　　2.3.1Cisco 輕量級AP和自主AP的區(qū)別</p><p>　　輕量級AP由無線控制器統(tǒng)一管理，此無線設(shè)備的傳輸機制相當(dāng)于有線網(wǎng)絡(luò)中

40、的集線器，只用來不停地接收和傳輸數(shù)據(jù)。自主AP（胖AP）學(xué)名為無線路由器，除無線接入功能之外，一般具備WLN，LAN兩個接口，多支持DHCP服務(wù)器，DNS和MAC地址克隆，以及VPN接入，防火墻等功能。</p><p>　　表2-5胖瘦AP區(qū)分表</p><p>　　2.3.2自主AP和LAP間的轉(zhuǎn)換</p><p>　　用網(wǎng)線連接PC 和AP的以太網(wǎng)端口，將PC

41、IP配為10.0.0.2 下載TFTP軟件將PC偽裝成TFTP服務(wù)器，修改TFTP目錄</p><p>　　圖2-5 TFTP服務(wù)器</p><p>　　服務(wù)器地址要配成10.0.0.2，本項目將根目錄設(shè)置成PC桌面 所以我們必須將須先下載好的LAP 的IOS 放到桌面上。斷掉AP電源，用手指按住mode 鍵 ，插上電源，當(dāng)出現(xiàn)下面提示時松開手指。</p><p>

42、<b>　　圖2-6 AP重啟</b></p><p>　　此時進入AP 會全網(wǎng)廣播 尋找名為ap1g2-k9w7-tar.default 的文件。</p><p>　　圖2-7 AP全網(wǎng)廣播</p><p>　　將桌面上的文件改成這個名字。AP就會自動下載，等待……</p><p>　　2.3.3WLC+LAP組網(wǎng)的優(yōu)

43、勢</p><p>　　隨著無線網(wǎng)絡(luò)的發(fā)展?jié)u趨成熟，愈來越多的企業(yè)事業(yè)單位開始在工作場合部署無線網(wǎng)絡(luò)。常見的無線組網(wǎng)架構(gòu)有兩種，一種是傳統(tǒng)的自主AP，一種是無線控制器+輕量級AP。</p><p>　　傳統(tǒng)的自主AP架構(gòu)優(yōu)缺點不必多說，無線控制器+輕量級AP的優(yōu)點卻不得不說。</p><p>　　（1）集中的網(wǎng)絡(luò)管理</p><p>　　所有

44、關(guān)于無線的設(shè)置都可以通過無線控制器統(tǒng)一配置，例如開通，管理與維護所有AP，以及無線安全，接入認證信道設(shè)定等所有功能。</p><p>　?。?）強大的接入和安全策略控制</p><p>　　所有的接入和安全策略全都可以在無線控制器上統(tǒng)一配置。支持目前各種認證方式，如802.1X。WEB認證等，配置非常簡單靈活。</p><p>　　（3）智能的調(diào)節(jié)AP的負載實現(xiàn)負載

45、均衡</p><p>　　如果多個LAP覆蓋的區(qū)域相同，WLC將客戶端同用戶最少的LAP關(guān)聯(lián)，從而在LAP之間分配客戶端負載。</p><p>　?。?）AP之間的關(guān)聯(lián)和漫游變得十分簡單。</p><p>　　2.4LAP注冊到WLC</p><p>　　LAP和WLC使用無線接入點控制和配置協(xié)議（CAPWAP協(xié)議，Control And P

46、rovisioning of Wireless Access Points,早期版本叫輕量級接入點協(xié)議，LWAPP）作為隧道化協(xié)議。 AP注冊到WLC大體過程： 搜索 ：Hunting phase:AP needs to find WLC 加入 ：Join phase:AP associates securely with WLC 授權(quán) ：Authorization phas

47、e:WLC accept or not AP 配置：Configuration phase:WLC upload firmware (if needed),WLC upload AP configuration</p><p>　　（1）LAP發(fā)送一個DHCP請求獲取IP地址。</p><p>　?。?）如果LAP支持第二層的CAPWAP模式，LAP將會在第二層廣播一個發(fā)現(xiàn)報文，任

48、何一個配置了第二層CAPWAP模式的WLC在收到此報文后必須發(fā)送一個發(fā)現(xiàn)應(yīng)答，除非WLC不支持第二層的發(fā)現(xiàn)模式。</p><p>　?。?）如果第一步失敗或LAP不支持第二層的發(fā)現(xiàn)，則進入第三層發(fā)現(xiàn)。</p><p>　　（4）如果第三部失敗LAP將重啟。</p><p>　　本項目中使用DHCP的Option 43選項來返回WLC的IP地址。當(dāng)LAP從DHCP服務(wù)

49、器取得IP地址時，LAP在DHCP應(yīng)答中的Option 43字段尋找WLC的IP地址，LAP向Option43字段中的WLC發(fā)送一個發(fā)現(xiàn)請求，WLC收到請求后，將向LAP會送一個發(fā)現(xiàn)響應(yīng)報文。</p><p>　　Cisco無線網(wǎng)絡(luò)基本配置</p><p>　　3.1AP的關(guān)聯(lián)和漫游</p><p>　　當(dāng)相鄰的AP連接到一個交換型網(wǎng)絡(luò)，屬于同一個VLAN，因此AP

50、間的IEEE802.11漫游發(fā)生在第二層。由于位于同一個VLAN中，在漫游期間客戶端的IP地址不發(fā)生變化。在漫游過程中，客戶端必須先解除原來的關(guān)聯(lián)才能協(xié)商新的關(guān)聯(lián)，因此在相當(dāng)短的一段時間內(nèi)客戶端沒有同任何AP關(guān)聯(lián)。</p><p>　　如果WLAN被劃分成多個VLAN和子網(wǎng)，無線客戶端在漫游時可能跨越第三層邊界，客戶端的IP地址會發(fā)生變化。在這種情況下漫游不僅需要發(fā)送IEEE802.11探針和關(guān)聯(lián)請求，客戶端還要

51、請求獲取新的IP地址，因此離線時間將更長。</p><p>　　要使客戶端能夠漫游必須將相鄰的AP配置為使用互不相同的信道。因為遵循IEEE802.11b或802.11g的AP只能使用1,6,11三個信道，所以使用信道1的AP不能與使用信道1的AP相鄰，確保信號不被干擾。為了能夠正常的漫游，客戶端必須能夠從一個信道切換到另一個信道。</p><p><b>　　圖3-1 AP信道

52、</b></p><p>　　如下圖3-2當(dāng)客戶端從位置A向B移動時，會發(fā)現(xiàn)AP1的信號不再是最優(yōu)的，當(dāng)信號低于客戶端設(shè)置的某個閥時，在移動過程的某個位置客戶端開始查找最佳的AP以便與其關(guān)聯(lián)（事實上一般客戶端將會把閥值設(shè)的很低，以便信號不較差時能夠穩(wěn)定連接），無線客戶端將發(fā)送IEEE802.11探針請求管理幀。偵聽到的AP將發(fā)送響應(yīng)幀來應(yīng)答客戶端，通告自己的存在。</p><p&g

53、t;　　本項目中AP被劃分在VLAN4這個相同的VLAN里所以客戶端只需進行二層漫游，并且是控制器內(nèi)漫游。在漫游過程中控制器只需更新其列表，以便使連接到AP2的CAPWAP隧道找到客戶端即可。</p><p><b>　　圖3-2 無線漫游</b></p><p>　　3.2Cisco Wireless Mesh 網(wǎng)絡(luò)</p><p>　　無線

54、mesh 網(wǎng)絡(luò)是一種新的無線局域網(wǎng)類型 與傳統(tǒng)的WLAN不同的是，無線mesh網(wǎng)絡(luò)中AP是無線連接的，而且AP 是無線連接的，而且AP間可以建立多跳的無線鏈路。無線mesh網(wǎng)絡(luò)只是對骨干網(wǎng)絡(luò)進行了變動，和傳統(tǒng)的WLAN沒有任何的區(qū)別。無線mesh網(wǎng)絡(luò)具有以下優(yōu)點：</p><p><b>　?。?）高性價比</b></p><p><b>　?。?）可擴轉(zhuǎn)性

55、強</b></p><p><b>　?。?）部署快捷</b></p><p><b>　?。?）應(yīng)用場景廣</b></p><p><b>　?。?）高可靠性</b></p><p>　　在Cisco統(tǒng)一無線網(wǎng)絡(luò)中，所有的mesh AP可以分為兩種：Root Ac

56、cess Point（RAP）和Mesh Access Point（MAP）；RAP使用有線同控制器相連，MAP通過無線鏈路最終同無線控制器相連。MAP之間相互通信并最終通過RAP將數(shù)據(jù)送回到控制器，MAP之間使用AWPP來決定MAP到控制器的最佳傳輸路徑。</p><p>　　Mesh AP支持如下幾種部署方式：</p><p>　?。?）wireless mesh</p>

57、<p>　?。?）WLAN Backhaul(回程)</p><p>　　（3）點對多點無線橋接</p><p>　　本項目采用了第三種方式：點對多點無線橋接。</p><p>　　Mesh AP支持點對點的橋接應(yīng)用，RAP用作根，建立同多個MAP的連接RAP使用有線同以太網(wǎng)相連。默認情況下，MAP上的橋接是被禁止的，如果使用以太網(wǎng)橋接功能必須在控制器上

58、對每個MAP 開啟對RAP的橋接功能。配置完成后可以進入命令行觀察AP狀態(tài)。如下圖3-3：</p><p><b>　　圖3-3 AP狀態(tài)</b></p><p>　　第四章Cisco統(tǒng)一無線局域網(wǎng)安全</p><p><b>　　4.1安全目標(biāo)</b></p><p>　　無線局域網(wǎng)安全是指保護無

59、線局域網(wǎng)系統(tǒng)的硬件，軟件和數(shù)據(jù)，防止無線局域網(wǎng)上處理，存儲或傳輸?shù)臄?shù)據(jù)的故意或偶然的泄露，更改，破壞或非授權(quán)訪問，保障系統(tǒng)連續(xù)，可靠，安全的運行。其最終目標(biāo)就是通過各種技術(shù)和管理手段實現(xiàn)無線局域網(wǎng)及其信息系統(tǒng)的保密性，完整性，認證性，可授權(quán)性，不可否認性等。另外無線局域網(wǎng)的特殊性還要求安全方案具有可用性和高效性。</p><p>　　本項目旨在架設(shè)一個全面覆蓋四川工程職業(yè)技術(shù)學(xué)院實驗室5D102的無線局域網(wǎng)，使連

60、接上AP廣播的SSID的每位用戶在訪問網(wǎng)頁時必須經(jīng)過一個簡單地認證才能連接外網(wǎng)。同時我們在三層交換機上所有內(nèi)部流量流向外網(wǎng)的端口做了一份鏡像。將用戶訪問外網(wǎng)的流量COPY到本地PC上用特殊的軟件進行監(jiān)控。</p><p><b>　　4.2安全威脅</b></p><p>　　4.2.1物理平臺的安全威脅</p><p>　　物理硬件平臺缺乏完

61、整性保護和驗證機制，平臺的各個模塊的固件容易被攻擊者篡改。</p><p>　　各個不同的物理平臺可能會使用不同的操作系統(tǒng)軟件，這些操作系統(tǒng)可能并不安全，存在許多公開的漏洞。</p><p>　　物理平臺所支持的各類無線應(yīng)用自身可能存在著固有的安全隱患和程序漏洞。</p><p>　　4.2.2無線通信安全威脅</p><p>　　由于無線局

62、域網(wǎng)的傳輸介質(zhì)的特殊性，使得信息在傳輸過程中具有更多的不確定性。</p><p><b>　　竊聽。</b></p><p>　　修改替換。無線局域網(wǎng)中較強節(jié)點可以屏蔽較弱節(jié)點，用自己的數(shù)據(jù)取代，甚至?xí)嫫渌?jié)點做出反應(yīng)。</p><p>　　4.3基于本地的WEB認證</p><p>　　4.3.1 Web Porta

63、l</p><p>　　Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設(shè)備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動訪問已知的Portal認證網(wǎng)站，輸入用戶名和密碼進行認證，這種開始Portal認證的方式稱作主動認

64、證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問Portal認證網(wǎng)站，從而開始Portal認證過程，這種方式稱作強制認證。</p><p>　　圖4-1 Portal認證流程圖</p><p>　　本項目中Radius認證服務(wù)器和Portal服務(wù)器都使用WLC內(nèi)部自帶的服務(wù)器。客戶端的IP地址由開啟了DHCP服務(wù)的三層交換機動態(tài)分配。當(dāng)用戶連接到AP廣播的SSID后就會通過三層

65、交換機動態(tài)獲取一個IP地址。當(dāng)用戶打開瀏覽器訪問某個網(wǎng)站，發(fā)送HTTP請求，WLC會截取用戶的HTTP請求，由于用戶沒有認證過就會被強制定向到Portal服務(wù)器，Portal服務(wù)器向用戶推送web認證頁面。</p><p>　　用戶在認證頁面填寫用戶名和密碼等信息提交到Portal服務(wù)器。Portal服務(wù)器接收到用戶信息，必須按照CHAP（挑戰(zhàn)握手認證協(xié)議）流程，向WLC請求 Challenge。WLC返回Cha

66、llenge，包括Challenge ID和Challenge。Portal將密碼和Challenge ID和Challeng做MD5算法之后的Challenge-Password，和用戶名一起提交到WLC，發(fā)起認證。 </p><p>　　WLC將Challenge ID、Challenge、Challenge-Password和用戶名一起送到RADIUS用戶認證服務(wù)器，由RADIUS用戶認證服務(wù)器進行認證

67、。 RADIUS用戶認證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認證成功/失敗報文到WLC。WLC返回認證結(jié)果給Portal服務(wù)器。 Portal服務(wù)器根據(jù)認證結(jié)果，推送認證結(jié)果頁面，如果成功允許用戶訪問外網(wǎng)。Portal服務(wù)器回應(yīng)AC收到認證結(jié)果報文。如果認證失敗，則流程到此結(jié)束。</p><p>　　4.3.2自定義認證頁面</p><p>　　在項目的實際需求中可以自定義web認

68、證界面。要實現(xiàn)這種效果首先要保證本地PC可以訪問WLC web管理界面，然后將PC偽裝成TFTP服務(wù)器，將自定義的認證界面壓縮成login.tar格式。打開無線控制器管理界面。如圖4-2</p><p>　　圖4-2 無線控制器管理界面</p><p>　　點擊Download按鈕等待上傳結(jié)束。完成后連接AP廣播的SSID訪問網(wǎng)頁此時就會看到剛剛上傳的自定義認證界面了。如圖4-3</

69、p><p>　　圖4-3 自定義認證界面</p><p>　　4.3.3不經(jīng)過認證的廣告頁面</p><p>　　當(dāng)前比較流行的Portal認證是當(dāng)用戶連接上AP廣播的SSID后會被推送一個web廣告頁面。用戶無需做任何認證就可以訪問外網(wǎng)。由于本項目使用的Cisco 2500系列無線控制器必須識別Radius服務(wù)器回傳的對用戶提交的Username和Password認證

70、結(jié)果的報文，所以在自定義web認證界面時可以使用一個障眼法來迷惑WLC。</p><p>　　<input name=”username” type=”hiden” vlaue=””/></p><p>　　<input name=”password” type=”hiden” value=””/></p><p>　　<button

71、name=”btn” type=”hiden”/></p><p>　　由于用戶名和密碼必須通過點擊button才能提交到WLC，而們<input />標(biāo)簽被隱藏了，所以只能通過JS 代碼來調(diào)用DOM對象并且生成一個定時器按照規(guī)定來點擊按鈕提交到WLC,這樣當(dāng)廣告界面停留2-4秒時 就會被定向到外網(wǎng)無線控制器規(guī)定的頁面。</p><p><b>　　4.4端口鏡

72、像 </b></p><p>　　為了隨時監(jiān)聽用戶訪問外網(wǎng)的流量，本項目在三層交換機上配置一個目的鏡像端口Fa0/2 將所有流經(jīng)源鏡像端口Fa0/1 上的所有外網(wǎng)流量全部復(fù)制一份到Fa0/2，然后用網(wǎng)線連接安裝了流量分析軟件的本地PC和Fa0/2端口。</p><p>　　(config)# monitor session 1 source interface0/1

73、 (config)# monitor session 1 destination interface 0/2</p><p>　　在PC上用Wireshark 分析的用戶流量如下圖：</p><p><b>　　圖4-4 用戶流量</b></p><p><b>　　無線信號的增強</b></p><p

74、>　　5.1選擇合適的信道</p><p>　　5.1.1 2.4GHz和5GHz</p><p>　　對2.4GHz和5GHz頻段的電磁波來說，其主要傳播方式是直線傳播，在碰到障礙物時會產(chǎn)生穿透、反射、衍射等多種現(xiàn)象，其中穿透是主要現(xiàn)象，只有小部分的信號會發(fā)生反射和衍射。然而電磁波信號在穿透障礙物時會損失大量的能量，有時候尚未穿透障礙物，能量就已經(jīng)消耗殆盡，結(jié)果接收端收到的是通過反

75、射和衍射而來信號，簡單來說就是繞過了障礙物的信號。</p><p>　　5GHz頻段的電磁波比2.4GHz頻段電磁波有更強的穿透力，但相比之下反射和衍射的能力不如后者。當(dāng)兩種頻段的電磁波在碰到障礙物的時候，5GHz信號幾乎全部能量都會用在穿透上，而2.4GHz信號則有部分會產(chǎn)生反射和衍射，繞過了障礙物繼續(xù)傳播。因此5GHz信號雖然選擇了路程最短的傳輸路徑，但是在傳輸過程中的會有很大的能量損失，2.4GHz信號走得

76、路徑會更長一些，但是保留下來的能量卻更多，信號強度更強。</p><p>　　支持2.4GHz頻段的設(shè)備比較多，穿透性相對較好，同樣功率的覆蓋范圍也較遠。但由于使用2.4GHz頻段的設(shè)備越來越多所以2.4GHz頻段的環(huán)境越來越嘈雜，干擾越來越多。如圖5-1 2.4GHz頻段互相不干擾的信道只有3個而5GHz頻段互補干擾的信道則有22個之多。（國內(nèi)規(guī)定可用的5G信道只有149、153、157、161、165這5個（

77、民用）歐美采用的36-64。）</p><p>　　圖5-1 2.4GHz頻段和5GHz頻段信道</p><p>　　本項目中可以進入無線控制器開啟Band Steering / Band Select功能，將大部分同時具有802.11a/g或者802.11a/g/n的用戶從2.4Ghz的頻段移動到5Ghz去，這一點可以可以大大降低無線信道的擁塞程度，從而極大地改善情況。</p&g

78、t;<p>　　5.1.2使用軟件尋找合適信道</p><p>　　圖5-2 WI-FI信道</p><p>　　5.2LAP的擺放及蜂窩布局</p><p>　　通常一個合適的排放位置能很大程度的影響AP的信號，如下圖5-3AP的擺放盡可能的擴大覆蓋范圍，然而在這些信道交叉的中央?yún)^(qū)域有一個沒有被RF覆蓋的小洞，如果客戶端漫游時經(jīng)過這里就會立即失去信號

79、。如果縮短蜂窩之間的距離一覆蓋這個洞，兩個使用信道1的蜂窩將重疊，進而互相干擾。</p><p><b>　　圖5-3 蜂窩布局</b></p><p>　　為確保正常漫游，客戶端必須能夠從一個信道切換到另一個信道，交替使用信道可避免重疊。如圖5-4蜂巢式布局可以很好地解決空洞問題。</p><p><b>　　圖5-4 蜂窩布局&l

80、t;/b></p><p>　　5.3通過物理方法增強信號</p><p>　　可以自己動手用易拉罐D(zhuǎn)IY一個無線信號放大器，實測正常情況下可以將無線信號增大1--2倍。</p><p><b>　　第六章個人總結(jié)</b></p><p><b>　　6.1具體技術(shù)</b></p>

81、<p>　　WLC+LAP邏輯拓撲圖：</p><p>　　圖6-1 WLC+LAP邏輯拓撲圖</p><p>　　6.1.1三層交換機上配置</p><p><b>　?。?）劃分VLAN</b></p><p>　　interface Vlan2</p><p>　　ip add

82、ress 10.1.2.254 255.255.255.0 </p><p>　　interface Vlan3</p><p>　　ip address 10.1.3.254 255.255.255.0 </p><p>　　interface Vlan4</p><p>　　ip address 10.1.

83、4.254 255.255.255.0 </p><p>　　interface Vlan5</p><p>　　ip address 192.168.2.132 255.255.255.0 </p><p>　　interface Vlan99</p><p>　　ip address 10.0.0.254 25

84、5.255.255.0 </p><p>　　interface Vlan100</p><p>　　ip address 10.1.100.254 255.255.255.0 </p><p>　　interface Vlan200</p><p>　　ip address 10.1.200.254 255.25

85、5.255.0 </p><p>　　interface Vlan250</p><p>　　ip address 10.1.250.254 255.255.255.0</p><p><b>　　將接口加入VLAN</b></p><p>　　interface FastEthernet0/1</p

86、><p>　　switchport access vlan 5</p><p>　　switchport mode access</p><p>　　spanning-tree portfast </p><p>　　interface FastEthernet0/2 </p><p>　　int

87、erface FastEthernet0/3</p><p>　　switchport access vlan 4</p><p>　　switchport mode access</p><p>　　spanning-tree portfast</p><p>　　interface FastEthernet0/9</p>&

88、lt;p>　　switchport access vlan 99</p><p>　　switchport mode access </p><p>　　interface FastEthernet0/21</p><p>　　switchport access vlan 3</p><p>　　switchport mode acc

89、ess </p><p>　　interface FastEthernet0/22</p><p>　　switchport access vlan 3</p><p>　　switchport mode access</p><p>　　spanning-tree portfast </p><p

90、>　　interface FastEthernet0/23</p><p>　　switchport trunk encapsulation dot1q</p><p>　　switchport mode trunk </p><p>　　interface FastEthernet0/24</p><p>　　switch

91、port access vlan 4</p><p>　　switchport mode access</p><p>　　spanning-tree portfast </p><p><b>　　連接外網(wǎng)</b></p><p>　　ip default-gateway 192.168.2.1</

92、p><p>　　ip route 0.0.0.0 0.0.0.0 192.168.2.1</p><p>　　ip http server</p><p>　　ip http secure-server</p><p><b>　　開啟路由功能</b></p><p>　　ip routing<

93、/p><p><b>　　劃分動態(tài)地址池</b></p><p>　　ip dhcp pool APPOOL #給LAP分配地址</p><p>　　network 10.1.4.0 255.255.255.0</p><p>　　default-router 10.1.4.254 </p><p>

94、;　　dns-server 10.1.2.1 </p><p>　　option 43 hex f104.0a01.0201 #廣播WLC地址讓AP發(fā)現(xiàn) </p><p>　　ip dhcp pool HELLOWORLD #客戶端地址池</p><p>　　network 10.1.200.0 255.255.255.0</p>

95、<p>　　default-router 10.1.200.254 </p><p>　　dns-server 61.139.2.69 </p><p>　　ip dhcp pool 802 </p><p>　　ip dhcp pool 802.1x-POOL</p><p>　　network 10.

96、1.250.0 255.255.255.0</p><p>　　default-router 10.1.250.254 </p><p>　　dns-server 61.139.2.69 </p><p>　　ip dhcp pool HELLO_VLAN100</p><p>　　network 10.1.100.0 255

97、.255.255.0</p><p>　　default-router 10.1.100.254 </p><p>　　dns-server 10.1.3.241 </p><p><b>　　修改DNS服務(wù)器</b></p><p>　　ip domain-lookup</p><p>　　ip

98、 name-server 61.139.2.69</p><p><b>　　鏡像端口</b></p><p>　　monitor session 1 source interface Fa0/1</p><p>　　monitor session 1 destination interface Fa0/2</p><p&g

99、t;　　6.1.2無線控制器初始化配置</p><p>　　Welcome to the Cisco Wizard Configuration Tool </p><p>　　Use the '-' character to backup </p><p>　　System Name [Cisco_68:9b:e3]: Cisco_68:9b:e3

100、 #無線控制器系統(tǒng)命名。</p><p>　　Enter Administrative User Name (24 characters max): admin #管理員。</p><p>　　Enter Administrative Password ***** #管理員密碼</p><p>　　Re-enter Administrative

101、Password : ***** #確認密碼</p><p>　　Service Interface IP Address Configuration [none][DHCP]: none #開啟DHCP</p><p>　　Enable Link Aggregation (LAG) [yes][NO]: NO #鏈路聚合</p><p>　　Man

102、agement Interface IP Address: 10.1.2.1 #管理接口IP</p><p>　　Management Interface Netmask: 255.255.255.0 </p><p>　　Management Interface Default Router: 10.1.2.254 #默認網(wǎng)關(guān)</p><p>　　Manag

103、ement Interface VLAN Identifier (0 = untagged): 2 #管理VLAN </p><p>　　Management Interface Port Num [1 to 2]: 1 #管理端口 </p><p>　　Management Interface DHCP Server IP Address: 10.1.3.241 #DHCP

104、服務(wù)器IP</p><p>　　Virtual Gateway IP Address: 1.1.1.1 #虛擬接口IP地址</p><p>　　Mobility/RF Group Name: CISCO #設(shè)置所屬分組</p><p>　　Network Name (SSID): source #設(shè)置無線網(wǎng)絡(luò)SSID</p><p>

105、　　Allow Static IP Addresses [YES][no]: no #是否允許客戶端獲取靜態(tài)IP地址</p><p>　　Configure a RADIUS Server now? [YES][no]: no #設(shè)置RADIUS服務(wù)器</p><p>　　Enter Country Code list [US]: CN #配置國別碼</p>&

106、lt;p>　　Enable 802.11b Network [YES][no]: YES #啟用802.11b的網(wǎng)絡(luò)</p><p>　　Enable 802.11a Network [YES][no]: YES </p><p>　　Enable 802.11g Network [YES][no]: YES </p><p>　　Enable Auto-

107、RF [YES][no]: YES #啟用自動射頻</p><p>　　Configuration saved! Resetting system with new configuration...</p><p><b>　　參考文獻</b></p><p>　　[1] 思科無線：_2500_系列無線控制器部署指南.</p>

108、<p>　　[2] 無線局域網(wǎng)安全：設(shè)計及實現(xiàn)/郭淵博著.</p><p>　　[3] Cisco無線局域網(wǎng)配置基礎(chǔ)（第二版）.</p><p>　　[4] 百度文庫，道客巴巴、51cto、豆丁網(wǎng).</p><p><b>　　致謝</b></p><p>　　首先誠摯的感謝我的指導(dǎo)老師黃景廣老師，再次謹向黃