《在信息化的今天.doc》由会员分享,可在线阅读,更多相关《在信息化的今天.doc(27页珍藏版)》请在三一办公上搜索。
1、摘要在信息化的今天,建设现代化的智能型小区已经成为运营商和开发商的新一轮关注焦点。要想成为智能型小区,网络化程度是一个重要的标志,而宽带网络的接入是其核心问题。目前已经有很多新型小区实现了宽带接入,但是基本上只是满足了用户的接入需求,却不能满足用户对内容服务的渴望。合理的网络接入技术的选择不仅可以刺激消费,建立灵活的业务模式。并且可以优化网络结构。使用户真正体会高速上网的乐趣。在充分考虑以上特点的基础上,本文针对小区宽带接入网络提出了完整的解决方案,实现运营商和小区宽带接入的运营。整个系统的实施不需要改造小区内部网络布线系统,整个解决方案包括如下几个部分:接入技术的选择、VLAN的划分、网络安
2、全和管理的设计。关键字:宽带接入、VLAN、网络安全、网络管理SummaryIn the information technology today,building a modern intelligent district has become the operators and developers a new round of focus。 To become intelligent district,the network degree is an important symbol, while the broadband Internet access is its core iss
3、ue。There are already implemented many new residential broadband access,but basically to meet the needs of the users access,but can not satisfy the users desire for content。A reasonable choice of network access technology can not only stimulate consumption and to establish a flexible business model。A
4、nd can optimize the network structure。Enables users to truly experience the fun of high-speed Internet access。 In full consideration on the basis of the above characteristics, this paper put forward for residential broadband access network a complete solution for achieving operators and residential
5、broadband access operations。 The implementation of the entire system does not require transformation of cell internal network cabling system, the entire solution includes the following parts: the choice of access technologies, VLAN division, network security and management of design。 Keywords: broad
6、band access, VLAN, network security, network management目 录第1章 宽带接入网概述41.1 ADSL接入技术41.1.1 ADSL的定义41.1.2 ADSL的系统结构41.1.3 ADSL的技术标准51.2 混合接入技术51.2.1 FTTX+ADSL/VDSL 或无绳FTTB+LAN51.2.2 FTTX+ADSL/VDSL 几种方式的成本比较61.2.3 混合接入对城域网的要求61.3 光纤接入技术71.3.1光纤数字环路载波系统81.3.2基于ATM的无源光网络81.3.3 交换式数字视像技术81.4 无线接入技术8第2章 建设宽
7、带接入网的必要性112.1紫薇小区概貌及用户群分析112.2网络需求分析112.3建设宽带接入网的必要性12第3章 紫微星座小区宽带接入网的规划设计方案133.1 接入技术的选择133.2网络拓扑结构的设计133.3设备选型143.4 VLAN的划分153.4.1 VLAN的分类153.4.2 VLAN区域划分163.5 IP地址规划163.5.1 局域内部网IP地址规划173.5.2 外网IP地址规划17第4章 紫微星座小区宽带接入网的安全与管理的设计194.1网络安全的设计194.2网络管理的设计20第5章 宽带接入的认证方式225.1 PPPOE认证方式225.2 WEB认证方式225.
8、3 802.1X认证方式23第6章 总结25参考文献26第1章 宽带接入网概述1.1 ADSL接入技术1.1.1 ADSL的定义就从属关系而言,ADSL是XDSL家族的一种。DSL英文全称是Digital Subscriber Line,意即数字用户线路,是以铜芯对绞线作传输介质的传输技术。ADSL(Asymmetrical Digital Subscriber Line)的含义是非对称数字用户线路。高速率的视频、音频、和数据信号借助普通电话线传送,使得普通固定电话用户以较小的投资,实现家庭办公、多媒体通信、视频点播、快速访问Internet等诸多业务。1.1.2 ADSL的系统结构 ADSL
9、系统主要由安装在网络侧的ADSL局端设备(ADSL接入复用器),DSLAM和安装在用户侧的用户端设备ATR-U(ADSL-Modem)组成,如图1-1所示。除此之外,线路两侧还要安装POTS信号分离器(ADSL滤波器)。在网络侧,POTS分离器将电话信号和ADSL信号分离,分别送入程控交换机和ATM交换机(或者核心路由器)。在用户侧,POTS分离器负责将下行方向的混合信号分离出模拟信号和数字信号,分别送给用户电话机和ADSL-Modem,并且在上行方向上还负责将来自电话机的模拟信号和来自ADSL-Modem的数字信号复用在同一对双绞线上。 图1-1 ADSL系统结构图1.1.3 ADSL的技术
10、标准 ADSL的技术标准有两种:一种是全速率(Full-rate)的ADSL标准G.dmt。支持640Kbps/8Mbps的高速上行/下行速率;另一种是简化的ADSL技术标准G.lite。最高上行速率降为512Kbps,最高下行速率降为1。5Mbps,另外在用户侧还取消了POTS信号分离器。 我们说ADSL的标准化程度较高,有两层含义:其一是ADSL技术标准仅有两种(HFC宽带网有四种技术标准);其二是两种技术标准并非截然不同,G.lite仅是G.dmt的简化版本。实际上,这样给工程技术人员留下了极大的回旋余地,根据工程实际情况可采用不同的方案。就高档社区和小型办公室而言,对智能化程度要求较高
11、,我们不妨采用高配置方案,使用全速率的ADSL宽带网接入技术。 对于普通家庭用户,适合推广简化的ADSL技术方案G.lite。虽然速率有所降低,但用户端省去了POTS信号分离器,降低了设备的购置费用和安装成本,性价比占有一定优势。 一般而言,电信局为了最大范围的扩展市场,抓住庞大的普通消费群体,要对ADSL宽带网限速(一般提供512Kbps的接入速率),以降低用户费用。在这种背景之下,G.lite有着更好的市场前景。1.2 混合接入技术1.2.1 FTTX+ADSL/VDSL 或无绳FTTB+LAN以光纤为骨干、运行ATM或IP的光接入网,向下借助带有各类接口的用户网络单元连通用户,如无线、X
12、DSL、LAN等,向上通过V5接口连接各种业务节点和核心网。目前比较常用的是利用UTP五类线入室,优点是可组成从骨干到末端统一的Ethernet, 网卡非常便宜,缺点是五类线最多只能传100米距离,数量巨大的有源HUB的维护也是难题之一。典型产品有美国WaiLAN通信公司的XDSL(SDSL/ADSL/ RSDSL/G。SHDSL/ VDSL)和HomePNA产品组合,包括XDSL 远端接入交换服务器DeltaFire500、交换式集中器HomeGate以及各类HPNA终端适配器。这个方案比较适用于如中国、印度类型的国家。如下图1-2所示为一XDSL接入宽带示意图。图1-2 XDSL接入宽带示
13、意图1.2.2 FTTX+ADSL/VDSL 几种方式的成本比较不算应用业务的投资如各种服务器、VOD、WWW等,可以覆盖500户小区,其中以200用户申请宽带接入为例计算每户开通的投资成本。几种接入方式对比如下。(1)纯ADSL方式需要30004000元 。(2)纯以太网方式需要25003000元。(3)HFC开通成本需要800010000元。(4)ADSL加HomePNA方式需要30003500元 。(5)LAN加HomePNA方式需要30003500元。由以上对比可知,ADSL开通成本高于以太网,但当用户密度稀疏时(现在大多是这样)ADSL成本还是占优势的。1.2.3 混合接入对城域网的
14、要求混合接入对城域网的要求包含以下几点。(1)设计MAN带宽并不是简单地以用户数乘以每用户带宽,还应考虑并发率:如电话线每线0.08 erl,因特网按1:10计算并发率,而宽带接入的最大用户群其实不是网民而是电视观众,可按1:21:4估计带宽。(2)分析流量分布与网络结构的关系,合理安排VOD点播点以及干线带宽。(3)收费管理是宽带网生存的关键。宽带网如延续因特网近乎免费的模式,必然步入。COM兴衰老路;如果不按内容、流量计费而以简单月租方式,则无法刺激内容供应商ICP的发展,反过来影响宽带用户的增长。(4)宽带接入网虽是通信网的“第一公里”,但两者有不同之处:宽带接入网带有较强地域色彩,可以
15、作为数字岛独立发展;而通信网较多强调全程全网。(5)宽带瓶颈还可能不在网络传输速率而在内容提供设备- 数据中心服务器上,比如VOD服务器所能支持的并发流数量上。1.3 光纤接入技术光纤接入技术是面向未来的光纤到路边(HTTC)和光纤到户(HTTH)的宽带网络接入技术,如图1-3所示。光纤接入网(OAN)是目前电信网中发展最为快速的接入网技术,除了重点解决电话等窄带业务的有效接入问题外,还可以同时解决高速数据业务、多媒体图像等宽带业务的接入问题。OAN泛指从交换机到用户之间的馈线段、配线段及引入线段的部分或全部以光纤实现接入的系统。除了HFC外,光纤接入的方法还有以下几种。图1-3 光纤接入技术
16、图1.3.1光纤数字环路载波系统DLC系统以光纤传输方式代替馈线、配线,然后再以双绞线连接到用户。以传送窄带业务为主时采用PDH准同步时分复用技术体制,以传送宽带业务为主时可采用异步转移模式(ATM)加SDH同步时分复用技术体制。网络结构以点到点、链型或环型网结构为常见。传输速率34Mbps-155Mbps不等。传输距离可由几千米到上百千米。采用DLC技术可以将光纤到路边(FTTC)和光纤到户(FTTH)分期实现。该系统技术成熟,可靠性高,易于推广应用。国内已有多家厂商推出成熟产品,网上实际应用也最多。 1.3.2基于ATM的无源光网络 无源光网络(PON)是采用光纤分支的方法实现点对多点通信
17、的接入技术,可以支持ISDN基群或同等速率的各类业务。每个光网络单元(ONU)一般可以连接几个到几十个用户。APON是采用ATM信元传送方式的PON,可以是上、下行速率相等的对称系统,也可以是上、下行速率不相等的非对称系统,支持iSDN及B一iSDN业务的带宽需求,可以满足各类电信业务和全业务网(FSN)的共同要求。APON代表了宽带接入技术的最新发展方向,目前在英国、德国等已有实际应用,被认为是实现FTTC和FTTH的一种较好方法。APON的优点是可以节省光纤和光设备的费用,并可以实现宽带数据业务与CATV业务的共网传送。缺点是成本较高,如何经济地实现双向高质量传输仍是一个有待研究的问题。1
18、.3.3 交换式数字视像技术 SDV是在CATV网上采用波分复用(WDM)或分光纤技术共享光缆线路的网络接入技术。SDV技术与HFC技术比较,SDV是采用数字传输技术的系统,HFC是采用模拟技术体制的系统。因此,SDV具有较好的传输质量,便于升级,具有长远的发展前景。SDV采用光纤接入系统和ATM技术,采用分层面的方式提供电话、数据和视像信号的传输。第一个层面采用传统的光纤接入系统传输电话和数据业务。第二个层面采用基于SDH的ATM信元方式,支持交互式的数字视像等宽带业务。1.4 无线接入技术无线接入技术(也称空中接口)是无线通信的关键问题。它是指通过无线介质将用户终端与网络节点连接起来,以实
19、现用户与网络间的信息传递。如图1-4所示为使用无线接入技术的网络结构图。无线信道传输的信号应遵循一定的协议,这些协议即构成无线接入技术的主要内容。无线接入技术与有线接入技术的一个重要区别在于可以向用户提供移动接入业务。无线接入网是指部分或全部采用无线电波这一传输媒质连接用户与交换中心的一种接入技术。在通信网中,无线接入系统的定位,是本地通信网的一部分,是本地有线通信网的延伸、补充和临时应急系统。图1-3 无线接入技术图无线接入网是指部分或全部采用无线电波这一传输媒质连接用户与交换中心的一种接入技术。在通信网中,无线接入系统的定位,是本地通信网的一部分,是本地有线通信网的延伸、补充和临时应急系统
20、。无线接入系统可分以下几种技术类型。模拟调频技术。工作在470MHz频率以下,通过FDMA方式实现,因载频带宽小于25KHz,其用户容量小,仅可提供话音通信或传真等低速率数据通信业务,适用于用户稀少、业务量低的农村地区。在超短波频率已大量使用的情况下,在超短波频段给无线接入技术规划专用的频率资源不会很多。因此,无线接入系统在与其他固定、移动无线电业务互不干扰的前提下可共用相同频率。数字直接扩频技术。工作在1700MHz频率以上,宽带载波可提供话音通信或高速率、图像通信等业务,其具有通信范围广、处理业务量大的特点,可满足城市和农村地区的基本需求。数字无绳电话技术。可提供话音通信或中速率数据通信等
21、业务。欧洲的DECT、日本的PHS等技术体制和采用PHS体制的UT斯达康的小灵通等系统用途比较灵活,既可用于公众网无线接入系统,也可用于专用网无线接入系统。最适宜建筑物内部或单位区域内的专用无线接入系统。也适宜公众通信运营企业在用户变换频繁、业务量高的展览中心、证券交易场所、集贸市场组建小区域无线接入系统,或在小海岛上组建公众无线接入系统。蜂窝通信技术。利用模拟蜂窝移动通信技术,如TACS、AMPS等技术体制和数字蜂窝移动通信技术。如GSM、DAMPS、IS-95CDMA和正在讨论的第3代无线传输技术等技术体制组建无线接入系统,但不具备漫游功能。这类技术适用于高业务量的城市地区。根据上述各种接
22、入技术的分析与对比,在之后的设计中采用的是无线接入技术来实现小区宽带接入。第2章 建设宽带接入网的必要性根据宽带网接入的方式,宽带小区接入可以方便用户使用互联网与了解信息及外界沟通,利用宽带网与小区物业管理中心连接,享受智能小区的全方位服务。2.1紫薇小区概貌及用户群分析根据实地观察,整个小区有8栋,每栋5层楼,每栋有10户。楼与楼之间间距有20到30米不等。如图2-1所示。图2-1 小区地理布局图随着网络通信技术和应用的不断发展,网络已遍及世界各国和地区,越来越多的人们为追求更加快捷、高效的生活而选择各种网络应用和服务,紫微星座小区作为顶级的住宅区,主要客户为企业老总、高科技人士、金融证券人
23、士等,他们对网络应用的需求很多。如随时查询政府各项信息、汇报工作报告、查询和讨论课题在世界范围内的发展状况、通过网络来发布商业信息及实现网上购物等电子商务应用。2.2网络需求分析根据该小区用户群的特点,接入的网络应该满足如下功能。(1)应用需求整个小区有8栋5层楼,每栋有10户。楼与楼之间间距有2030M。我们设计的方案要实现小区内所有业主在房间内和户外实现无线上网。(2)功能需求紫微星座小区是一流小区,希望采用的无线网络覆盖也是一流的。所以采用是先进的、具有一定领先水平的技术,能平滑升级,与营运商的实施计划一致。无线网络的优点在于移动性,将根据国家的有关规定,对用户进行管理。(3)性能需求可
24、扩充性、兼容性、安装简便性、可管理性、安全性、布线方便并具有用户认证的功能。(4)方案选型需求根据业主要求和平面图分析,采用室外覆盖的话,室外空旷区域没有什么问题,但是室内盲区会比较多,某些业主屋内信号可能较弱;需要根据现场实际信号强度优化布点。2.3建设宽带接入网的必要性随着802.11a、802.11b、802.11g、802.11n成为工业网络接入标准,因特网的日益普及,以及移动终端的不断增加,人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless Local Area Network)作为有线以太网的延伸,一定程度上满足了这种需求。随着光纤网络建设的进一步发展,宽带接人
25、互联网将是21世纪信息化小区、大厦的普遍接人方式。21世纪的住宅将是集家居生活、办公、娱乐于一体的信息智能化住宅。目前,网络已成为人类生活必不可少的基础设施,网络新文化正以不可阻挡的趋势迅速渗入社会生活的各个领域。因此,宽带信息化高尚住宅已逐步成为人们追求的新时尚。在信息技术、网络技术渗透人们生活的今天,居家能否实现宽带上网、小区是否设立独立网站已成为现代社会人们购房的一个主要参考依据。因此住宅小区也需预设宽带网络接口并配置小区局域网,使业主能通过该网络实现商务、学习、生活、娱乐等,实现网上的虚拟生活与现实生活的结合。第3章 紫微星座小区宽带接入网的规划设计方案3.1 接入技术的选择智能化小区
26、的宽带接入方式主要有ADSL、LAN、HFC三种,由于各种接入方式在技术背景和物理承载媒介上各不相同,所以对于小区的建设者和管理者来说如何在小区内采取最经济、最优化的设备选择和线路布放是在智能小区建设中亟待解决的问题。根据之前的用户需求分析,本小区将采用无线接入技术能够很好的满足该小区所有用户的上网需求。3.2网络拓扑结构的设计网络的拓扑结构对整个网络系统的运行效率、技术性能的发挥、可靠性与费用等方面都有着重要的影响。确立网络拓扑结构是整个网络系统方案规划设计的基础。拓扑结构的选择和地理环境的分布、传输介质、介质访问控制方法,甚至网络设备选型等因素紧密相关。构成局域网的拓扑结构有很多种,最常见
27、到的有总线拓扑、星型拓扑、环型拓扑及各种混合性拓扑等。采用不同的网络控制策略,所有使用的网络连接设备也不一样。因此,无论在网络的规划或设计时都必须首先决定将采用那一种网络拓扑结构,选择合适的网络拓扑结构非常重要的。也就是说,选择网络拓扑结构是网络规划设计的第一步。根据该小区的特点,采用星型拓扑结构,如图3-1所示。从图中可知,通过核心交换机的控制,将紫薇小区分为四个区域,其中VLAN1区域负责紫薇一区和紫薇二区,VLAN1区域负责紫薇三区和紫薇四区,VLAN1区域负责紫薇五区和紫薇六区,VLAN1区域负责紫薇七区和紫薇八区,所有的客户机都可以通过指定区域获得IP地址接入网络,为方便小区用户使用
28、无线网卡上网,在小区中安装无线路由,可以通过无线信号访问点在四个区域中设立无线VLAN区域,SSID1负责紫薇一区和紫薇二区,SSID2区域负责紫薇三区和紫薇四区,SSID3区域负责紫薇五区和紫薇六区,SSID4区域负责紫薇七区和紫薇八区。有线网络中存在 VLAN 1、 VLAN2、VLAN3、VLAN4这4个VLAN,不同的VLAN处于不同的IP地址段,并且具有不同网络访问权限。交换机的以太网端口同无线AP相连接,交换机的以太网端口和AP的以太网端口被设置为标准的802.1q 方式。这样无线 AP 就可以同时传输4个 VLAN 信息。无线 AP 会同时支持多个 SSID,每个 SSID 都对
29、应于不同的 VLAN。无线客户端用户,只要设置不同的 SSID 号,就能加入到不同的 VLAN 当中去。如下图中,用户的无线网卡中将 SSID 设置为 SSID2 ,那么用户就会加入到 VLAN2 中,成为 VLAN2 中的一个成员。图3-1 星型拓扑示意图3.3设备选型本次使用的是成电先锋科技产业有限公司SWR5800系统的性能指标,验证试验系统提供各种数据业务的能力,并对系统的稳定性及可靠性和安全性进行综合评估,从而评估5.8GHz无线宽带接入技术作为接入手段实现各种宽带数据业务的可行性和商用前景,进一步为华通无线接入网络方案的确定和设备的选型提供充分的依据。SWR5800系统是为满足IS
30、P、小区区网络服务提供商的大容量接入需求而设计的。他的工作频段为5.8GHz,其主要特点是采用扇区覆盖方式,可同时提供多个无线接口,提供多用户大容量的IP接入,能够提供高速数据、图像和IP语音传输服务,中心基站的全天候覆盖范围为10公里,可提供ISP所需的访问服务控制、动态IP地址分配、地址和协议过滤等功能。十分适合组建无线宽带数据接入网的需求。SWR5800采用直接序列扩频技术(DSSS),具有良好的抗射频干扰性。支持高性能的远距离无线数据通信,可提供高达11Mbps的高速数据传输速率,其传输距离能达到40公里。 为适应国内城市建筑物密集地区的安装环境,并节省网络建设成本,SWR5800 A
31、P采用了高性价比的室内/室外分体式结构,每个AP都由室内单元(IDU)和室外单元(ODU)两部分组成,室外单元为射频部分,通过无线方式和远端站设备通信;室内单元包括接入和控制部分,室外单元和室内单元之间使用同轴电缆连接,传输电源、信息数据、管理控制信号设备,不必另外铺设光纤或数据线连接,可节省大量安装费用,而且特别适用于建筑物林立密集、天线和办公场所相对高度差距较大的环境。 SWR5800 RU远端站采用一体化设计,室外单元集成AP、射频模块和控制模块,通过100/1000Mbps自适应网络接口直接连接至本地100/10Base-T以太网。设备能直接挂在天线上,不必另设机房,安装灵活、方便,特
32、别适合于用户端环境。由图3-1可知,一级网络中心是小区网络的核心,为避免可能的网络上的碰撞,我们的核心设备选用的是 Bay 公司的 350T 型交换机,它自适应 100/1000M 网络,带有路由功能,总体性能不错。无线路由器选择TP LINK 841N 300M的,所有的路由器都直接与交换机相连,重要的服务器也直接接在交换机上,这样可以充分发挥交换机速度快,带宽高的优点的我们选用的交换机是Intel公司堆式交换机。它有24个口,可堆叠使用。使用Bay公司的技术制造,性价比不错。每台电脑都需要一块网卡,我们初期选用的是 3Com 公司的无线网卡。用来保障每台设备之间的网络通信。所选用的网络布线
33、系统为AMP公司的五类布线系统。该系统可以保障网络能在该中心内正常的运行。3.4 VLAN的划分3.4.1 VLAN的分类VLAN分为三类,基于端口、基于MAC地址和基于路由的。(1)基于端口的VLAN这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。(2)基于MAC地址的VLANMAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。网络管理员可按MA
34、C地址把一些站点划分为一个逻辑子网。(3)基于路由的VLAN路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。3.4.2 VLAN区域划分目前 VLAN技术已经在有线网络中得到了广泛的应用,VLAN技术对于隔离广播域,制定符合企业要求的网络安全策略可以起到重要的作用。实际应用中用户对于无线网VLAN的要求也越来越强烈。为了适应市场的需求,Net gear商用无线AP目前已经全面支持无线网VLAN功能,无线网VLAN功能使得无线用户在漫游到无线网络的不同区域后,仍然能够保持自己原有的VLAN信息,维护自己
35、在网络中的相应权限。在同一覆盖区域中,采用终端用户之间的完全隔离或划分成不同的VLAN。其中,以两栋楼为一个VLAN区域,一共有四个区域。有线网络中存在 VLAN 1、 VLAN2、VLAN3、VLAN4这4个VLAN,不同的VLAN处于不同的IP地址段,并且具有不同网络访问权限。交换机的第10端口同无线AP想连接,交换机的10端口和AP的以太网端口被设置为标准的802.1q 方式。这样无线 AP 就可以同时传输4个 VLAN 信息。无线 AP 会同时支持多个 SSID,每个 SSID 都对应于不同的 VLAN。无线客户端用户,只要设置不同的 SSID 号,就能加入到不同的 VLAN 当中去。
36、如图中,用户的无线网卡中将 SSID 设置为 SSID2 ,那么用户就会加入到 VLAN2 中,成为 VLAN2 中的一个成员。3.5 IP地址规划在该无线网络中,由于小区客户数目较多,为方便进行管理,防止设置的IP产生冲突,除了划分VLAN之外,可以使用无线路由器提供的DHCP服务,为客户机提供TCP/IP参数配置,如IP地址、网关地址和DNS服务器等。但如果你的无线网络中,有些电脑必须手工指定TCP/IP参数配置,这时DHCP服务器提供的动态IP地址和手工指定的静态IP地址共存,如果你没有合理配置无线路由器中DHCP服务器的参数,就会很容易造成IP地址冲突。3.5.1 局域内部网IP地址规
37、划合理设置DHCP服务器中的“地址池”参数。但是要清晰的知道,采用静态IP地址方式的电脑占用了哪些IP地址段,为了避免发生IP地址冲突,在配置DHCP服务器的“地址池”参数时,一定要排除被静态IP地址占用的这些地址段。根据 RFC1597标准的有关规定,为便于方便与Internet相连及以后的网络维护与管理,决定在小区内部使用 C类网络,网络号为 192.168.0,对应的子网掩码为 255.255.255.0。 经统计,共有四个VLAN区域,IP地址可划分为如下所示。(1)VLAN1:紫薇一区使用IP的范围为192.168.0.1/22192.168.0.11/22;紫薇二区使用IP的范围为
38、192.168.0.12/22192.168.0.22/22。(2)VLAN2:紫薇三区使用IP的范围为192.168.0.23/22192.168.0.34/22;紫薇四区使用IP的范围为192.168.0.35/22192.168.0.45/22。(3)VLAN3:紫薇五区使用IP的范围为192.168.0.46/22192.168.0.57/22。紫薇六区使用IP的范围为192.168.0.58/22192.168.0.68/22。(4)VLAN4:紫薇七区使用IP的范围为192.168.0.69/22192.168.0.80/22。紫薇八区使用IP的范围为192.168.0.81/22
39、192.168.0.91/22。根据无线网络IP地址的分类,采用静态IP地址的电脑占用了“192.168.0.1、192.168.0.21、192.168.0.44、192.168.0.66”这几个IP地址,用来设置在当前区域的服务器上,用来维护和管理当前几个区域的网络,因此在设置“地址池”参数时必须排除这几个IP地址,以防止冲突的产生,这样又可满足了80台动态IP地址客户机的需要,又防止了IP地址冲突的产生。IP地址段192.168.0.92192.168.0.254可以保留作为以后小区宽带升级使用。3.5.2 外网IP地址规划随着计算机网络迅速发展,目前有许多的小区同时拥有自己的内部网和I
40、nternet网。其实如果不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址,而内部计算机却可以随时访问这两个网络中的资源。NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。NAT主要的处理
41、方式是通过修改UDP或TCP报文头部地址信息实现地址的转换。根据NAT设置类型,采用静态地址转换。静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。静态地址转换基本配置步骤:(1)在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:ip nat inside source static 内部本地地址 内部合法地址。(2)指定连接网络的内部端口 在端口设置状态下输入: ip nat insi
42、de 8。(3)指定连接外部网络的外部端口 在端口设置状态下输入:ip nat outside 8。可以根据实际需要,定义8个内部端口及8个外部端口,用于每栋楼之间。第4章 紫微星座小区宽带接入网的安全与管理的设计 4.1网络安全的设计由于无线局域网采用公共的电磁波作为载体,因此与有线线缆不同,任何人都有条件窃听或干扰信息,因此在无线局域网中,网络安全很重要。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。(1)信息重放在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN 等保护措施也难以避免。中间人攻击则对授权客户端和AP
43、 进行双重欺骗,进而对信息进行窃取和篡改。(2)WEP 破解现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP 信号覆盖区域内的数据包,收集到足够的WEP 弱密钥加密的包,并进行分析以恢复W E P 密钥。根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量,最快可以在两个小时内攻破W E P 密钥。(3)网络窃听一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。(4)假冒攻击某个实体假
44、装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。(5)MAC地址欺骗通过网络窃听工具获取数据,从而进一步获得AP 允许通信的静态地址池,这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。(6)拒绝服务攻击者可能对A P 进行泛洪攻击,使AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节
45、点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。(7)服务后抵赖服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。4.2网络管理的设计涉及到无线网络的安全性设计时,通常应该从以下几个安全因素考虑并制定相关措施。(1)身份认证对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息
46、应该通过安全隧道传输,从而保证用户认证信息交换是加密的。(2)访问控制对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC 地址列表,实现物理地址过滤。这要求AP 中的MAC 地址列表必须随时更新,可扩展性差,无法实现机器在不
47、同AP 之间的漫游;而且MAC 地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。(3)完整性通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11 标准定义的,用于在无线局域网中保护链路层数据。WEP 使用40 位钥匙,采用RSA 开发的RC4 对称加密算法,在链路层加密数据。WEP 加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP 也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP 会发出一个Challenge Packet 给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128 位的钥匙,能够提供更高等级的安全加密。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。(
