无线局域网部署(精选4篇)
无线局域网部署 篇1
0、引言
随着近几年来无线移动智能终端的普及, 如带wifi功能的智能手机大量使用, 以ipad为代表的wifi版平板电脑大量生产;以及2009年随着IEEE802.11n标准出台, 无线传输带宽从802.11a/b/g的54Mbps提高到802.11n的300Mbps, 这使得很多无线应用成为可能, 如无线视频、无线医疗、无线监控、无线定位等。这些促使了WLAN发展史上大跨越。在2008—2010年的三年间, 全球移动数据流量增长了696%, 2010年全球WLAN芯片组出货量达到3.668亿, 比2009年增长了135%左右, 相关机构预计, 2011年全球Wi-Fi芯片出货量将达到惊人的10亿片。
如今无线局域网在许多领域已经被广泛应用, 无线局域网的部署和实施上也有了许多经验, 但根据实际环境不同无线局域网部署好后, 通过现场测试后一般还是要进行调整方能达到最佳效果。
以下描述了与无线局域网相关的几项主要技术和本次局域网部署中相应的技术选择。
1、相关的无线局域网 (WLAN) 技术
无线局域网是计算机网络与无线通信技术相结合的产物。它利用射频 (RF) 技术, 取代旧式的双绞线构成局域网络, 提供传统有线局域网的所有功能。
1.1、802.11技术
目前无线局域网使用的主要技术是802.11协议, 从1997年发布的IEEE802.11标准到现在广泛使用的IEEE802.11n已经经历了十多年, 可以从以下802.11协议的发展看出, 不管是从无线的覆盖范围还是传输速率都很到了很大的提高, 对于网络对高带宽的应用的需求和移动终端数量快速增加的现在, 所以我们在这次无线局域网部署时选择了802.11n设备。
1.2、频率和信道
802.11n同时定义了2.4GHZ和5GHZ频段的WLAN标准, 但我们通常使用的笔记本、手机、无线路由器等的无线设备都使用的是2.4GHZ频率, 所以我们在配置AP时也是选择在2.4GHZ下工作。
802.11n工作频率在2.4GHZ下, 带宽83.5MHZ, 可划分为14个带宽为着2MHZ的子信道。从下图可以看出, 在实际使用中只有三个不重叠的信道, 如:1、6、11;2、7、12;3、8、13或4、9、14, 平时常用1、6、11信道。所以我们在部署AP时, 在相邻的AP上要设置不同的信道以免工作频道相互干扰。在这次无线局域网配置中我们选择了1和11两个信道。
1.3、AP
AP称为无线接入点, 在典型的WLAN环境, 移动用户通过它发送和接收数据。WLAN设备可以分为FIT AP与FAT AP, FAT AP与 (胖AP) FIT AP (瘦AP) 的区别如下图所示:
FAT AP集WLAN的物理层、用户加密、认证、QOS、二层漫游、网络管理及安全等应用为一体。每台AP都得单独进行配置, 无法集中管理, 对于大型网络就不方便了, 它适用于无线局域网建立初期, 组网规模小, 投入少, 见效快。FIT AP本身只有射频和加密功能, 其余的功能都由无线控制器来集中管理, 大大简化了AP的管理和配置功能。它适用于规模组网, 采用无线控制器 (AC) 和Fit AP的架构。
本次建立的无线局域网既要考虑到它规模小, 又考虑到将来大规模组网的需求, 所以我们采用了Fit/Fat双工作模式AP, 可以在原有设备和布局不变的情况下实现平滑升级 (FAT AP模式转换成FIT AP模式) , 就可以轻松改变网络的工作模式。
1.4、无线天线的选择
目前市场上的AP有部分是内置天线的, 但在一定的环境下, 自身内置天线不能满足需求, 天线能灵活地扩展信号发送的位置和强度。天线的基本功能之一是把从AP取得的能量向周围空间辐射出去, 基本功能之二是把大部分能量朝所需的方向辐射。水平面上各向能量辐射相等的天线称为全向天线。水平面上各向能量辐射不等的天线称为定向天线。天线的增益也是天线选择的重要参数之一, 增益越大信号越强, 一般根据环境要求选择2dBi到15dBi。
本次部署根据实际的环境既选择了全向天线也有定线, 而且采用的增益也不同。
2、无线局域网部署案例
以下通过一个简单局域网部署的实例, 谈谈在实施过程中遇到的问题和解决的办法。一栋办公大楼的第八、九层部署无线局域网, 如下图示, 每层的结构是很普通的南北结构的办公室 (如下图) , 由于施工要求是在不破坏装修、墙面的条件下进行, 但楼道与办公室之间有墙隔断, 所以AP和天线都无法放置在办公室两侧, 只能部署在走廊上。结合该区域办公人员不多的情况, 我们开始的方案是在走廊的天花板上放置两个内置全向天线的AP, 选用的AP支持MIMO (多入多出) 、FAT/FIT两种工作模式, 胖、瘦兼容的AP便于今后网络升级后由FAT向FIT转换。两个AP分别放置在天花板中间和西边的检修口上, 部署完成后经过测试, 结果并不理想:走廊信号都正常;南边办公室905、913信号比较弱, 其余南边办公室靠窗的位定向天线信号辐射图置信号也很弱, 不稳定;北边办公室916没有信号, 908信号很弱, 其余尚可;女洗手间没有信号。
从上图可以看出, 在南边办公室靠窗的位置测试仅有一个AP的信号强度为-75dBi, 而且不稳定, 分析了一个环境特点, 走廊与办公室之间的隔墙比较厚, 使信号衰减厉害;信号从AP到女洗手间之间要穿过两、三道厚墙, 信号严重衰减;905和908房正处在两个AP中间的位置也是信号比较弱的地方, 916房和913离中间的AP位置也相对较远, 加上AP信号的入射角度的关系, 要进入913房要穿透两堵厚墙, 而916房周围有金属阻挡物, 造成信号接收不到。结合以下的经验值, 我们对部署方案进行了改进。
◎2.4GHz电磁波对于各种建筑材质的穿透损耗的经验值如下:
→隔墙的阻挡 (砖墙厚度100-300mm) :20-40dB;
→楼层的阻挡:30dB以上;
→木制家具、门和其它木板隔墙的阻挡:2-15dB;
→厚玻璃 (12mm) :10dB
◎在衡量墙壁等对于AP信号的穿透损耗时, 需考虑AP信号入射角度:一面0.5米厚的墙壁, 当AP信号和覆盖区域之间直线连接呈45度角入射时, 相当于1米厚的墙壁;在2度角时相当于超过14米厚的墙壁。所以要获取更好的接受效果应尽量使AP信号能够垂直的穿过 (90度角) 墙壁或天花板。
经改进后的方案是:将原来两个内置天线的AP换成大功率自身不带天线的AP, 仍然放置两个检修口上方, 每个接入点利用功分器分别接上两个天线, 其中中间检修口上方的AP在东西两侧分别连接一个高增益的定向天线;西边检修口上方在东西两侧连接一个高增益的定向天线和一个低增益的全向天线, 以此保证整层办公区域的WLAN信号的强度。其中最东边放置增益为15dBi的定向天线, 方向正对着厕所, 大功率的天线信号以穿透厕所的两层墙壁和瓷砖, 使之信号稳定。另一头天线为11dBi的定向天线, 方向指向东边, 以穿透913的双墙以及916的阻碍物。西边的AP的东边也连接的是一个11dBi的定向天线, 方向也是指向东边, 以增强905和908房的信号强度, 而在AP的西边仅放置了一个3dBi的全向天线, 便可以保证西边办公室的信号了。经过测试整层楼的信号都可以稳定-60dBi以上。如下图:
可以从上图中看出, 四个AP (****WIFI) 设置的通道是两个1, 两个11, 我们在部署AP时, 在相邻的AP上要设置不同的信道以免工作频道相互干扰。如下图:
在无线局域网部署过程中往往还会遇到许多问题, 只有对高品质WLAN网络稳定运营需要考虑的因素加以总结和分析, 采取相应的措施才能较好地解决问题。
参考文献
H3C新一代网络建理论与实践 杭州华三通信技术有限公司 电子工业出版社
无线局域网 (WLAN) 设计与实践 段水福, 历晓华, 段炼浙江大学出版社
下一代无线局域网——802.11n的吞吐率、强健性和可靠性 (美) 佩拉亚, (美) 斯泰西
人民邮电出版社
高校无线局域网部署方案的研究 篇2
无线局域网(Wireless Local Area Networks),简称WLAN[1]。相对有线局域网而言,它采用无线信号进行数据传输,通过无线设备接入有线局域网,利用无线传输介质在有线网络和移动客户端之间信息交换的一种网络。主要使用无线网卡、无线网桥(Wireless Bridges)、无线接入点(AP)、无线路由器(Wire-less Router)等设备,采用Ad-hoc、蜂窝和基础结构集中式等拓扑结构实现网络连接。
1凯里学院无线网络部署方案
凯里学院校园占地总面积共110.61万m2,全校包含教学楼、实验楼、艺术楼、图书馆、体育馆、后勤楼、学生宿舍等建筑物29栋,每栋楼都实现了有线网络连接。但是在学校食堂、室外体育场等空旷地带有线网络不能满足校园内人员实时上网需求,利用无线网络实现全校网络覆盖势在必行。
1.1室内无线网络的覆盖
WLAN的覆盖包括建筑物内和空旷地区两部分。建筑内主要采用无线终端通过AP接入现有有线局域网,且结合天线的使用达到尽可能的实现全面覆盖。AP在布置时还应该结合无线勘查的结果和无线介质的特性进行综合考虑AP的位置及具体的安装环境,如水泥墙对无线信号的衰减作用和无线信号传播过程中具有直线性等性质。室内覆盖如图11:
本文主要以具有代表性的建筑物三号教学楼、四栋学生宿舍和实验楼为例,详解室内覆盖方法。
三号教学楼覆盖平面图,如图2所示。该栋楼共5层,每层安装4个AP和4个定向天线,整栋教学楼共需两个全向天线与一台汇聚交换机。
对于学生宿舍而言,以4栋为例,宿舍楼共7层,每层共28间寝室,其覆盖平面图,如图3所示。该栋楼在过道每端安装一个内置定向天线的AP,每层共两个,整栋楼公需一台汇聚交换机。
实验楼,其建筑物呈四合院分布,共有6层,每层共有28个实验室,内侧为四合院中心,其覆盖平面图如图4所示。实验楼每层共4个AP,附带定向天线。
1.2室外无线网的覆盖
室外覆盖通过天线接入AP,再经过AP接入现有的有线网络环境,最后接入Internet和中国教育科研网,必要时需配合无线网桥的桥接一起使用,达到更大范围的覆盖。在此过程中主要应该考虑障碍物对无线信号的影响,基于勘查结果,对本校而言障碍物主要是电磁干扰,建筑物和部分的树木等。室外覆盖如图5。
由于WLAN容易受到所处环境影响,因此需对WLAN进行周密的网络规划。即使成功部署WLAN后,还需在应用阶段根据环境变化进行相应的参数调整;比如使用状态下的微波炉或空调、移动过程中障碍物都会对Wireless signal的传播产生干扰,因此信道、发射功率、频率等射频资源必须能根据用户所处的环境变化进行动态调整。
无线漫游是无线终端用户欲在整个WLAN覆盖区域内移动地使用无线网络,不但要求整个无线网络环境存在多个AP, 且AP之间要有一定范围互相重合的微单元,当附近信号强度最强的AP被无线网卡自动发现时并进行连接,通过此AP能够进行数据传输与网络连接。
1.3无线网络接入控制方案
在无线网络控制方面,主要采用基于WAPI协议的RADI-US认证技术[2],该技术是一个AAA协议,意思就是同时兼顾验证(authentication)、授权(authorization)及计费(accounting)三种服务的协议(protocol),通常用于网络存取或流动IP服务,适用于局域网及漫游服务。在学院的中心机房部署RADIUS服务器,教师和学生可以分别通过自己的工号和学号登录到该服务器,通过验证的用户即可实现无线网络接入。
2凯里学院无线网络设备选择方案
Wireless Network设备的选择包括无线AP、无线控制器 (AC)、无线网桥和天线。对于无线设备的选型应该充分考虑到设备所支持的协议,以及工作频段等参数信息。
1)AP选型:
AP在网络中工作在接入层,是无线网络与无线客户端之间数据交换的中间设备,对于AP的选择,应该重点考虑它的工作频段、所支持的网络协议、最大传输速率、功率大小及覆盖范围等。文中以思科无线路由WRT300N作为无线接入点。
2)AC选型:
AC是对AP进行管理的以一种网络设备,通过对AP的管理从而实现管理无线局域网的目的,而关于无线控制器的选型应综合参考无线控制器的适应性,网络标准,传输协议,端口类型等。文中以WLC(思科无线控制器)为例,如AIR-WLC2112-K9。
3)无线网桥:
无线网桥主要用于对WLAN的桥接,扩大WLAN范围,所以对于无线网桥使用应遵循实际应用,在选型时应当根据实际应用考虑其所工作的频段,支持的网络标准,调制方式及天线类型,如思科无线网桥AIR-BR1410A-A-K9。
4)天线:
天线被广泛应用于WLAN中,主要用来增强发送信号,达到更大范围的无线覆盖,天线根据所长的安装环境可分为室内天线和室外天线,一般来讲室外天线在覆盖范围上要求要更高一些,因此在对天线进行选型时除了要考虑到天线的工作频段,协议,传输速率等因素外,还应该考虑天线的类型和扩频技术,如全向天线,定向天线(八木天线、定向平板式天线、抛物面天线)等。
全向天线用于室外比较开阔的环境中,有中心向四周辐射,提供360度的辐射模式,达到更大的覆盖面积。
定向平板式天线,进行单向覆盖,一般用于室内环境,如长廊过道或大型会议室等。
3凯里学院无线网络拓扑
经过上面两节的分析得到凯里学院无线网络拓扑图如图6所示,受到Cisco Packet Tracer 5.3模拟环境功能限制,图中没有标示出天线的布线方式。
4总结
本文主要从网络构建所需的技术知识,网络设计,设备选型与项目造价预算等方面叙述凯里学院无线局域网的部署方案,并利用Cisco Packet Tracer5.3模拟环境绘制了凯里学院无线局域网的拓扑图,以供需要者参考。
摘要:无线技术的发展,尤其是以智能手机为代表的移动终端的普及,促使各高校在原有有线网络的基础上建立无线网络。文章以贵州省凯里学院为例,利用Cisco Packet Tracer5.3模拟环境,分析无线网络的相关技术,研究了凯里学院无线网络的部署方案和无线网络设备的选择方案,并用Cisco Packet Tracer 5.3模拟环境绘制出凯里学院无线网络的拓扑图。
无线局域网部署 篇3
关键词:802.1Q协议,虚拟局域网,子网掩码,网关
医院局域网为我院向数字化医院发展提供了良好的保障,基本上满足了管理层和医务人员的工作需要。但随着网络应用的不断深入和大量用户的接入,现有的网络节点都处于同一个广播域内,大大增加了网络的数据流量,出现了由于广播风暴引起的网速过慢,很大程度上限制了网络资源的使用。VLAN可以控制广播风暴,增强网络的安全性和加强网络管理。由于在局域网组建的时候没有进行VLAN划分,因此,我院对局域网进行了改造,对网络进行了VLAN划分[1]。
1 VLAN技术简介
VLAN即虚拟局域网,是一种将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而实现虚拟工作组的新兴技术。
VLAN是对第二层交换机端口的网络用户的逻辑分段,不受网络用户物理位置限制。应用VLAN技术,网络管理者可将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),与物理上形成的LAN有着相同的属性;但由于它是逻辑地而不是物理地划分,因此同一个VLAN内的各个计算机或工作站无需放置在同一个物理空间里,这些计算机或工作站也不一定属于同一个物理LAN网段。为此,VLAN可以根据网络用户的位置、作用、部门或用户所使用的应用程序和协议来进行分组。图1为VLAN应用示意图。
VLAN适用于OSI参考模型第二层(数据链路层)的广播域,能够将广播风暴控制在一个VLAN内部。划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到了显著提高。同时,不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络,且划分VLAN后网络管理员可通过控制交换机的每一个端口来控制网络用户对网络资源的访问,能够为网络提供较好的安全措施。另外,使用VLAN管理程序可对整个网络进行集中管理,提高网络的可管理性,减少因网络成员变化所带来的开销。以上几点是应用VLAN的优势所在,所以随着VLAN技术的日益完善,此技术越来越多地应用于交换以太网中,成为网络灵活分段和提高网络安全的方法。
2 VLAN工作模式
2.1 划分VLAN的基本策略
定义VLAN有5种基本方法:(1)按端口划分VLAN;(2)按MAC地址划分VLAN;(3)基于网络层划分VLAN;(4)基于IP广播组划分VLAN;(5)基于规则划分VLAN。此5种方法各有优缺点,其中基于交换机端口的VLAN划分是目前最常用、最简单的方法,适用于研究所局域网,下面进行着重介绍。
按端口组划分VLAN就是把一个或多个交换机上的几个端口划分一个逻辑组,该方法只需网络管理员对网络设备的交换端口进行分配,无需考虑该端口所连接的设备。如:某交换机1~4端口为VLAN 2,5~17为VLAN 3,18~24为VLAN 4,当然,这些属于同一VLAN的端口可以不连续,如何分配由管理员决定;如果有多个交换机,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即1个交换机可以划分多个VLAN,同一VLAN可以跨越数个交换机。
此种划分方法的优点是配置非常方便,只需在交换机上进行相关的设置即可,适用于网络用户比较固定的情况。不足之处是不够灵活,当一台计算机需要从一个端口移动到另一个新的端口、而新端口与旧端口不属于同一VLAN时,则要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能加入到新的VLAN中。否则,这台计算机将无法进行网络通信。
根据医院网络的规模和用户比较固定的特点,我们规划局域网基于交换机端口来部署应用VLAN技术。
2.2 划分VLAN后的网络通信
虚拟局域网可以用来在网络内部设立广播域,类似路由器,但无法从一个虚拟局域网向另一个转发数据通信。虚拟局域网之间的通信需要路由器,同时优化的虚拟局域网部署将保持尽可能少的通信量穿越路由器,因此在虚拟局域网环境中“能交换就交换,必须路由时才路由”。这也正是虚拟局域网的优势所在。
VLAN是为解决以太网广播问题和安全性而提出的一种协议,VLAN的通信分为同一VLAN内的通信和不同VLAN间的通信。在以太网帧的基础上增加VLAN头,用VLAN ID为标志把用户划分为工作组,每个工作组就是一个虚拟局域网。存在通信时,交换机收到网络中计算机或其他设备的报文进行判断,如果通信的源端和目的端在同一个VLAN内部(VLAN ID相同),则属于VLAN间二层的点到点通信,只需要交换机进行二层转发即可;如果两者不在同一个VLAN内(VLAN ID不同),则必须通过路由才能实现数据转发,既可以通过路由器,也可以通过具有路由功能的三层交换机。因此,同一VLAN间的计算机通信数据包只会在其VLAN内部广播,不会加载到主干网络线路中,从而有效地控制了数据流量,抑制了网络广播风暴的产生,提高了网络的安全性。
3 医院局域网VLAN实现
我院局域网为独立的内部网络,与外网物理隔绝,局域网交换机使用了多家公司的产品。网络结构采用三层拓扑结构,网络支持1 000 MB/100 MB/10 MB交换速度,核心交换机具有第三层(即网络层)的路由功能,二层交换机均支持802.1Q协议。网络提供的服务主要有WWW服务、FTP服务、Email服务、Telnet服务和数据库服务。
3.1 VLAN的设计与划分
根据医院的网络配备和应用情况,结合最终用户在具体使用过程中需求和计算中心人员的维护方便,在不追加任何网络设备和重新布线的情况下,我们设计将局域网划分为16个VLAN:1个管理VLAN,管理所有交换机和服务器;15个用户VLAN。网络类型使用B类,子网掩码24位,默认网关为*.*.*.254。图2为医院局域网VLAN划分示意图。
3.2 配置VLAN
以太网端口有2种链路类型:Access和Trunk。Access类型的端口只能属于一个VLAN,一般用于连接计算机的端口;Trunk类型的端口可以属于多个VLAN,接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。因此,VLAN的配置一般分为两级:一级为路由器或核心路由交换机的设置;一级为连接核心交换机和终端设备的二级交换机的设置。核心交换机连接二层交换机,端口配置为Trunk模式,二层交换机端口则根据定义规则设置成Access模式。
3.2.1 交换机的连接
要想配置交换机VLAN属性,首先应连接交换机并进入操作系统,登录交换机操作系统一般采用Console口、Telnet、Web 3种连接方式。第1种方式是通过交换机串行接口(Console口)以专用线和计算机串口相连,运用超级终端登陆到交换机操作系统,以命令行方式来配置交换机,属于本地管理。另外2种方式是通过网络进行的远程配置,它们均要求交换机IP地址和网关已配置且网络连通良好。以下叙述的操作均采用串口连接方式。
3.2.2 在交换机上配置VLAN
VLAN配置包括:开启/关闭交换机的VLAN特性、创建/删除VLAN、为VLAN指定以太网端口、为VLAN或VLAN接口指定描述字符、创建/删除VLAN接口、为VLAN接口指定/删除IP地址及掩码、打开/关闭VLAN接口。核心交换机和二层交换机分别有不同的配置方式,下面分别以局域网核心路由交换机和二层交换机配置为例阐述配置步骤。
(1)配置核心路由交换机:设置好超级终端,连接上交换机后进入主配置界面。
以上每个命令前加上“undo”,即为删除该命令定义的各参数。
断开超级终端连接。
配置要点:核心路由交换机端口全部为光纤接口,负责转发所有需要路由的数据包。因此,VLAN划分确定后,首先必须在核心交换机上建立所有的管理和用户VLAN,此处建立的VLAN将作为在二层交换机定义VLAN的依据,只有与核心交换机上的VLAN号相同才是有效的VLAN。其次,定义每一个VLAN的IP地址和子网掩码,IP地址将作为各个虚拟子网的默认网关地址,当不同的VLAN通信时通过此网关经由核心交换机路由转发完成通信,因此核心交换机兼有路由器的功能。最后,还需要将所有交换机端口设置成Trunk(或Tagged)模式,并允许所有VLAN通过。配置完成后必须存储当前配置信息,否则重启交换机会造成信息丢失,在一切操作完成后应退出System-view视图模式,否则下次登录时仍在该模式内,存在安全隐患。
(2)配置二层交换机:设置好超级终端,连接交换机输入用户名和密码进入配置界面。
以上每个命令前加上“undo”,即为删除该命令定义的各参数。
配置要点:此处配置的二层交换机含有2种端口,上行端口(24口)级联到核心交换机,端口属性设置成Trunk(或Tagged)模式,并允许特定的VLAN通过;下行端口直接连接到客户端的计算机或其他设备,端口属性设置成Access(或Untagged)模式。
3.3 用户端计算机配置网络
当交换机的VLAN信息配置完成后,客户端设备就可以根据定义好的虚拟网段(VLAN)配置了,客户端设备的配置包括IP地址、子网掩码和缺省网关。根据我院局域网应用情况,我们将每个虚拟网段(VLAN)定义为1个子网,分配255个IP地址(0~254),其中IP地址*.**.254设为每个网段的默认网关,与核心交换机各VLAN的IP对应,作为跨网段通信时的路由地址;子网掩码定义为255.255.255.0,子网掩码对IP地址起屏蔽作用,掩码为3个255就表示对IP地址的第四段起屏蔽作用。当2台计算机通信时,如果IP地址的前三段地址相同,则这2台计算机就被认为属于同一网段,就可以通过二层交换机通信而不必经过核心交换机路由转发了。这样既提高了网络速度,又减轻了主干网和核心交换机的压力。
4 VLAN配置要点
4.1 交换机的配置管理
除核心交换机外,所有交换机与交换机互联端口为网络数据上行端口,端口定义属性为Trunk(或Tagged)模式。
配置好交换机的端口属性后,为方便交换机远程管理,还应配置交换机的网络属性:IP地址、子网掩码和网关,这三者与管理VLAN一致;设置交换机的远程虚拟登录用户和密码,只有如此设置后才能对交换机进行远程配置管理。
多级级联交换机配置VLAN时,除了要在本交换机上建立VLAN,将其上行端口设置成Trunk(或Tagged)模式,还需要在与其级联的上行的所有交换机上建立相应VLAN并将级联端口设置成Trunk(或Tagged)模式,并允许所设的VLAN通过。
交换机与终端设备连接的端口一般设置成Access(或Untagged)模式,此种模式既可直接连终端设备,也可连集线器后再连多台终端设备。
设置成Trunk(或Tagged)模式的端口可属于多个VLAN,而设置成Access(或Untagged)模式的端口只能属于一个VLAN。
对于不支持802.1Q协议的交换机可以直接连到交换机终端端口当作集线器使用。
某些型号交换机配置VLAN或IP后需要设置为启动(No Shutdown)状态才可生效。还有些类型的交换机需要重新启动交换机后才能使当前设置信息生效,重启交换机前应保存当前配置,防止配置信息重启后丢失。
4.2 故障检查
由于局域网计算机进行了VLAN的划分,当出现某些计算机不能上网或出现连接问题时,首先应该检查VLAN的划分情况,然后再检查网络线路连接和硬件问题。另外,由于不属于同一个VLAN的设备不通过网关是不能互相访问的,因此在划分VLAN时需要特别小心,以免造成不必要的访问中断。
5 结束语
本文阐述了部署应用VLAN的全过程,其中配置过程只给出了2种型号交换机具体的配置方法与命令格式。由于每个品牌的交换机都有自己的操作系统和配置格式,配置命令虽可能有异,但原理基本相同。只要认真阅读厂家提供的命令手册,按照本文所示的步骤进行,就可以给一个典型的以太网络部署应用VLAN来管理网络。
参考文献
[1]马锡坤,徐旭东.我院VLAN划分的组织与实施[J].医疗卫生装备,2007,28(4):37.
[2]王文寿,王珂.网络管理员必备宝典—网络应用[M].北京:清华大学出版社,2006.
[3]韩文智,蒋文彬.VLAN间的通信方式[J].计算机与信息技术,2005(9):75-76.
[4]双木.网络管理[N].中国电脑教育报,2003-05-05(56-57).
防火墙在局域网中的部署与实现 篇4
关键词:网络安全,防火墙,局域网
1 防火墙的介绍
防火墙作为网络安全管理的首选工具,已经在网络安全领域得到了广泛的应用。防火墙技术也成为该领域的的关注焦点。防火墙的主要作用就是对不信任的外部网络的访问进行访问控制,更好的保护内部网络的安全稳定运行。也可以视为对于内部不同网络之间的访问控制工具。
防火墙的部署方案:
防火墙的工作模式有:透明模式、路由模式以及混合模式。
(1)路由模式是指网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC地址替换为相应接口的MAC地址,然后转发。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP地址。
(2)透明模式是指,网络卫士防火墙的所有接口均作为交换接口工作。即对于同一VLAN的数据包在转发时不作任何改动,包括IP和MAC地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。
(3)混合模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境[2]。
2 网络规划
由于防火墙要部署在已运行的局域网中,此时防火墙的部署往往要求尽可能地少改动或禁止改动各节点的网络属性,如网络拓扑结构、网络设备地址等,同时要求防火墙的接入对现网络的通信影响为最低。为此防火墙的部署采用了透明模式。
根据外网用户的需求及外网内各类服务器的需求实现访问控制管理。具体部署如图1。
3 实现访问控制功能
根据业务需求及安全策略的考虑主要对以下进行配置。根据现局域网网络部署及安全管理要求,接口模式采用交换接口模式。外网局域网中主要进行资源管理的有外网路由器、外网web服务器及防火墙。为了便于管理外网IP地址从新更换了网段地址。
3.1 访问控制
访问控制规则主要针对于局域网中客户端允许或禁止访问控制规则的报文通过或仅记录为符合规则的连接信息等。
本地主要配置的访问控制规则有:
(1)限制访问路由器的用户。通过MAC地址、IP地址来限制访问和管理路由器的用户。同时禁止外部网络用户访问路由器。
(2)不限制内部用户访问web服务器,但禁止外部任何地址对web服务器的访问。
(3)限制访问防火墙的用户。通过MAC地址、IP地址来限制访问和管理防火墙的用户。同时禁止外部网络用户访问防火墙。
(4)针对于普通访问外网用户,不做限制。禁止外网的任何地址访问到内网客户端。
3.2 入侵防御
入侵防御部分也主要针对路由器、web服务器、防火墙等进行了配置。
3.3 内容过滤
根据常用的网络服务及协议,对于ftp服务、smtp服务、tftp服务、http服务、pop3、sqlnet、telnet等应用协议及端口进行绑定、配置。
3.4 阻断策略
通过阻断策略可实现简单的二、三层的访问控制。如果没有匹配到任何策略,则会依据默认规则对该报文进行处理。
3.5 日志与报警
根据单位实际业务运行情况,对于日志及报警信息进行存储。以备于查询。
4 结束语
网络安全卫士防火墙接入运行以来,对于内部网络的网络安全起到了决定性作用。作为一种安全审计设备对访问内部业务系统及信息进行了合法授权和有效控制。对于提升本单位信息网络安全及保密管理等方面有着不可忽视的“墙”的作用。
参考文献
[1]华蓓,蒋凡,史杏荣,等.计算机安全[M].人民邮电出版社,2003.
[2]网络卫士防火墙系统.NGFW4000-UF系列产品说明[Z].