校园网局域网的搭建

2024-07-16

校园网局域网的搭建（精选6篇）

篇1：校园网局域网的搭建

河南理工大学

计算机科学与技术学院

课程设计报告

2014— 2015学年第一学期

课程名称设计题目姓

名

学

号专业班级

指导教师

****年**月**日

一、设计分析......................................3 1.1 前言......................................3 1.2 校园网设计方案............................3 1.3 思科模拟器简介............................4

二、校园网简介....................................4 2.1 校园网现状................................5 2.2 校园网基本功能............................5 2.3 校园网的实施方案..........................5

三、校园网模拟与设计..............................5 3.1 校园网架构设计............................5 3.2 校园网架构测试............................7 3.3 网络相关技术的说明与分析..................8

四、防火墙........................................9 4.1 防火墙的定义..............................9 4.2 防火墙的基本特征.........................10 4.3 防火墙的使用技巧.........................11

五、结语.........................................12

六、参考文献.....................................12

一设计分析 1.1 前言

作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。

另一方面，作为“高新技术孵化器”的学校，知识、人才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。

本文从用户的需求分析入手，阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。

1.2校园网总体设计方案

总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和治理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。

建设校园网对每个学校来说都不是一件轻易的事情，都要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候，大部分学校的满腔热情也慢慢地冷却凝固。校园网建成了，各种问题也不断涌现:设计目标根本无法实现，没有合适的应用软件，许多设想根本无法实施，后续的维护费用不堪承受等等。

现在所谓的校园网多是一些系统集成商基于先进的硬件设备提出的解决方案，只是设备集成。

作为校园网，需要连接多少个节点，怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来，怎样使得整个网络中的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分。

从某种意义上讲，校园网的建设绝不仅仅只是涉及到技术问题，而是会引深到更深的层次，也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。

由于网络技术是一门比较新的技术，致使许多人产生了“重硬件，轻软件”的想法，国内斥资开发这方面软件的企业（高校）也很少，造成了软件匮乏的局面。

作为系统集成商来说，当然希望给学校的方案越先进越昂贵越好。但是作为学校必须研究以后会有什么样的用途，能不能发挥这些设备的潜能，这些设备能不能满足未来发展的需要。目前的校园网系统集成多数是先进的设备的集成，少则几十万元，一般几百万元，多则几千万元。有的学校花费几百万元采用ATM技术搭建起来的网络，最后只用来进行文件共享，没有合适的网络软件可运行。

基于以上的一些状况，我们提出校园网建设的原则应该是：先进性，先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品；实用性，建网时应考虑利用和保护现有的资源、充分发挥设备效益；开放性，系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通；灵活性，采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则，使网络具有强大的可增长性；可靠性，具有容错功能，治理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，经济性，投资合理，有良好的性能价格比。

1.3 思科模拟器简介

Packet Tracer 是由Cisco公司发布的一个辅助学习工具为学习CCNA课程的网络初学者去设计配置排除网络故障提供了网络模拟环境学生可在软件的图形用户界面上直接使用拖曳方法建立网络拓扑软件中实现的IOS子集允许学生配置设备并可提供数据包在网络中行进的详细处理过程观察网络实时运行情况

经测试以前版本下搭建的模拟应用文件在该版本中可能出现网络通讯不正常而且发现建立在不同版本中的模拟文件不能正常通用尤其是网络情况复杂的情况下如遇此类问题并非软件故障请按照模拟环境在使用的版本软件环境下重新搭建一番就可以了

二校园网简介

2.1 校园网现状

正是因为看到网络与学校之间的密切关系，国家从1994年正式启动中国教育科研计算机网(CERNET)以来，已与国内几百所学校相连，为广大师生及科研人员提供了一个全新的网络环境。1998年10月，中国教育科研网二期工程正式启动，工程到2000年二期工程完成，除达到连接1000所大学的目标外，对有条件的中小学也提供接入上网服务。

随着信息技术的飞速发展，中小学校园网的建设已经逐渐提到议事日程上来。

对比国外校园网的建设和使用情况，我国目前的大多数校园网的结构、规模和应用都不是很完整，网络设备、计算机设备的功能没有得到充分地挖掘和发挥。

怎样利用网络设备，进一步发挥各种设备的功能，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。

2.2 校园网的基本功能

校园网与校园群应具有为学校和学校之间的教育提供网络环境；实现资源共享、信息交流、协同工作等基本功能。

1．为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境；

2．为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平；

3．为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境；

4．为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式；

5．为科学研究的资料检索、收集和分析；成果的交流、研讨；模拟实验等提供环境和手段。

2.3 校园网方案实施

一个完整的校园网建设在实施过程中可以分成两个环节：网络集成方案设计和信息系统集成。其中信息系统集成是目的，网络集成是手段。

网络集成方案主要包括两个方面：结构化布线与设备选择、网络技术及设备选型。它的设计思想有两个，一个是网络方案采用模块化的设计，各个模块完成各自的功能。在实施的过程中，可以根据需要将相应的模块添加到网络中，也可以不使用某些模块，在需要时候再添加。同时，模块化设计轻易维护，某个模块出现故障，不会影响到整个网络的安全。

另一个设计思想是采用层次体系，整个网络通过主干网连接起来，各个子网通过接口与主干网连接，实现各自的功能，在子网内部及与主干网进行数据通信。

三校园网模拟与设计 3.1校园网架构设计

高校规模的扩大造就了高校网络规模的不断膨胀，众多高校在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现，随之而来的就是网络体

系变得越来越复杂，对网络的管理也变得越来越困难，网内的安全指数也变得越来越低，并且网络资源的利用率也大大降低，如何行之有效的管理网络和合理利用网络资源成为高校最大的难题。

采用VLAN方式划分网络体系能够让管理员更加方便的管理高校网络，而VLAN网络灵活的扩展能力也让高校网络规模在不断扩大的同时不会出现网络混乱的情况，VLAN网络所具有的控制广播风暴能力让高校网络资源的性能得到大幅度提高，并且VLAN网络还具有管理简单，安全性高的特点。因此，在网络最初的设计中采用VLAN方式能够对网络将来的扩展带来极大的好处。

在普通的小型高校中，采用路由器方式划分VLAN是一种节约成本的方法，不过在大中型高校中，采用路由器方式划分VLAN会严重影响高校网络的性能，而VLAN间的通信必需通过路由才能实现，因此，具有路由功能的三层交换机被广泛应用于大中型高校VLAN网络中。但我们必需清楚一点，就是采用三层交换机的VLAN网络同样需要路由器，只不过路由器只是高校网络和互联网的连接工具，VLAN间的通信不会靠路由器来实现。

在第二层就是采用的三层交换机，这也是整个大型VLAN网络的关键所在。三层交换机具有路由和交换两种功能，其中的路由功能是实现VLAN间通信的关键技术。

当第一个数据流进入三层交换机后，三层交换机将会对这个数据流进行路由，在路由的同时三层交换机会产生一个MAC地址与IP地址的映射表，这样做的好处就是当同样的数据流进入三层交换机后，不需要三层交换机对这个数据流

再进行一次路由，这个数据流只需要直接通过三层交换机就能实现VLAN间通信，从而有效解除了路由器所带来的网络瓶颈。三层交换机也是划分VLAN网络的关键所在，管理员只需要对三层交换机进行配置就可完成对VLAN网络的划分。所以在选择三层交换机时，我们一定要根据自己的实际情况进行合理选择，才能更加有效的保证整个VLAN网络的正常运行。

在网络的第三层，我们选用的二层交换机，二层交换机在VLAN网络中的作用实际上只是保证整个网络基层的正常运行，如果网络规模非常大，那么这一层最好选择千兆交换机，让网络的下一层继续连接交换机进行扩展，如果网络规模不是非常大（采用三层交换机连接的计算机数量最少也是在200台以上），这一层直接选择普通交换机就可以了。

3.2校园网架构配置测试

在网络最底层是整个网络的基础，也是我们决定怎样划分VLAN网络的标准，它们由企业（高校）的计算机终端、服务器等组成。

调试测试

3.3网络相关技术的说明与分析

VLAN技术：

交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业（高校）网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。

在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业（高校）网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业（高校）内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业（高校）网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用

户自如通讯。

在传统的局域网中，各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中，而不能根据需要将其划分至相应的逻辑子网，因此网络的机构缺乏灵活性。

为解决这一问题，从而引发了虚拟网VLAN的概念，所谓VLAN是指网络中的站点不拘泥于所处的物理位置，可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。VLAN可以是有混合的网络类型设备组成，VLAN的管理需要比较复杂的专门软件，它通过对用户、MAC地址、交换机端口号、VLAN号等管理对象的综合管理，来满足整个网络的VLAN划分、监视等功能，以及其他扩展管理功能。现在比较通用的VLAN的划分方法是基于MAC地址。但也有一些厂商的交换机提供更多的VLAN划分方法：MAC地址、协议地址、交换机端口、网络应用类型和用户权限等等。用户在选择交换机的同时，应当仔细考察选购的交换机的VLAN功能，根据自己企业（高校）的实际需要，选择满足要求而且管理方便的交换机。同时，应当特别注意现在不同厂商的交换机的VLAN之间大多数是不兼容的。

校园网使用VLAN技术的优点：

1、控制广播风暴

2、提高网络整体安全性。

四防火墙

4.1防火墙定义

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业（高校）的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信

从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个

分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

4.2防火墙的基本特征

（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

（二）只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

（三）防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。

（四）应用层防火墙具备更细致的防护能力

自从Gartner提出下一代防火墙概念以来，信息安全行业越来越认识到应用层攻击成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法。

从2011年开始，国内厂家通过多年的技术积累，开始推出下一代防火墙，在国内从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天融信等在内的传统防火墙厂商也开始相互[3] 效仿，陆续推出了下一代防火墙，下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、IPS、防毒等功能的同时，还能够对用户和内容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护。

五）数据库防火墙针对数据库恶意攻击的阻断能力

虚拟补丁技术：针对CVE公布的数据库漏洞，提供漏洞特征检测技术。高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。SQL注入禁止技术：提供SQL注入特征库。

返回行超标禁止技术：提供对敏感表的返回行数控制。SQL黑名单技术：提供对非法SQL的语法抽象描述。

4.3防火墙的使用技巧

一、所有的防火墙文件规则必须更改。

尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改，会导致宕机吗？这是一个相当高发的状况。

防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础，因此团队的所有成员都必须达成共识，观察谁进行了何种更改。这样就能及时发现并修理故障，让整个协议管理更加简单和高效。

二、以最小的权限安装所有的访问规则。

另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的：即源（IP地址），目的地（网络/子网络）和服务（应用软件或者其他目的地）。为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量？

三、根据法规协议和更改需求来校验每项防火墙的更改。

在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神，而不仅是一篇法律条文。

四、当服务过期后从防火墙规则中删除无用的规则。

规则膨胀是防火墙经常会出现的安全问题，因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。

五、每年至少对防火墙完整的审核两次。

如果你是名信用卡活动频繁的商人，那么除非必须的话这项不是向你推荐的最佳实践方法，因为支付卡行业标准1.1.6规定至少每隔半年要对防火墙进行一次审核。

五总结

目前校园网的建设中，核心交换机都采用三层交换机，在很大程度上支持了虚拟局域网（VLAN）技术,便于管理员对网络的管理和维护，以高效的网络硬件性能和低成本的优势保证了校园网的传输效率和安全性能。本文就是在第三层交换应用中结合VLAN技术，针对具体校园网的实际情况对网络进行“升级”重组，使该校园网有了质的飞跃，从而方便了相关人员的管理、使用和维护。

通过本次课程设计我明白了课程设计是培养学生综合运用所学知识,发现,提出,分析和解决实际问题,锻炼实践能力的重要环节,是对学生实际工作能力的具体训练和考察过程.回顾起此次路由交换技术课程设计，至今我仍感慨颇多，的确，从选题到定稿，从理论到实践，在整整两星期的日子里，可以说得是苦多于甜，但是可以学到很多很多的的东西，同时不仅可以巩固了以前所学过的知识，而且学到了很多在书本上所没有学到过的知识。

这次课程设计使我懂得了理论与实际相结合是很重要的，只有理论知识是远远不够的，只有把所学的理论知识与实践相结合起来，从理论中得出结论，才能真正为社会服务，从而提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问题，可以说得是困难重重，这毕竟第一次做的，难免会遇到过各种各样的问题，同时在设计的过程中发现了自己的不足之处，对以前所学过的知识理解得不够深刻，掌握得不够牢固，因此在以后的日子里，不光要学习理论知识，还要加强自己的动手能力！

六参考文献

❶ 斯桃枝编著《路由协议与交换技术》清华大学出版社 2012 ❷ 百度百科 http://baike.baidu.com

❸Steve Rackley 著《无线网络技术原理与应用》电子工业出版社 ❹严春莹等译.[美]Black，D．p．《构建交换式网络》电子工业出版社 1999 ❺罗拥军、梁裕著《网络设备配置基础》高等教育出版社 2007 12

篇2：校园网局域网的搭建

一、实验要求

搭建虚拟局域网，

在路由器上配置DHCP地址池，动态给局域网里的主机配置地址。

配置以太网通道实现冗余备份，负载均衡。

二、实验拓扑

三、实验步骤

1、按照拓扑图连接链路

2、划分vlan

1)在S1上划分vlan2和vlan3

S1(config)#vlan 2

S1(config-vlan)#exit

S1(config)#vlan 3

S1(config-vlan)#exit

S1(config)#int range f0/1-2

S1(config-if-range)#switchport mode access

S1(config-if-range)#switchport access vlan 2

S1(config-if-range)#exit

S1(config)#int range f0/3-4

S1(config-if-range)#switchport mode access

S1(config-if-range)#switchport access vlan 3

2)在S2上划分vlan2和vlan3

S2(config)#vlan 2

S2(config-vlan)#exit

S2(config)#vlan 3

S2(config-vlan)#exit

S2(config)#int ran f0/1-2

S2(config-if-range)#swi m a

S2(config-if-range)#sw ac vlan 2

S2(config-if-range)#exit

S2(config)#int ran f0/3-4

S2(config-if-range)#sw m a

S2(config-if-range)#sw ac vlan 3

S2(config-if-range)#exit

3、在S1和S2之间的链路配置以太网通道，实现冗余备份，负载均衡。

1)在S1上配置trunk，并配置EthernetChannel

S1(config)#int range f0/22-24

S1(config-if-range)#sw mode trunk

S1(config-if-range)#channel-group 1 mode on

S1(config-if-range)#no shutdown

2)在S2上配置trunk，并配置EthernetChannel

S2(config)#int range f0/22-24

S2(config-if-range)#sw mod trunk

S2(config-if-range)#channel-group 1 mode on

S2(config-if-range)#no shutdown

4、在PC1上配置IP：192.168.2.1/24;在PC5上配置IP：192.168.2.2/24

在PC4上配置IP：192.168.3.1/24;在PC8上配置IP：192.168.3.2/24

ping测试，相同vlan间可以通信

1)PC1 ping PC5

2)PC4 ping PC8

5、在路由器DHCP上配置dhcp地址池，给本vlan的PC机分配除指定地址外的地址

1)在DHCP上配置vlan2 的地址池

DHCP(config)#int f0/0

DHCP(config-if)#ip add 192.168.2.254 255.255.255.0

DHCP(config-if)#no shutdown

DHCP(config)#ip dhcp pool vlan2_pool

DHCP(dhcp-config)#network 192.168.2.0 255.255.255.0

DHCP(dhcp-config)#default-router 192.168.2.254

DHCP(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.2

2)在S1上将F0/10端口划分到vlan2，用于给vlan2里的PC分配地址

S1(config)#int f0/10

S1(config-if)#switchport acc vlan 2

3)设置PC2和PC6用DHCP动态获取IP地址

4)在DHCP上配置vlan3的地址池

DHCP(config)#int f0/1

DHCP(config-if)#ip add 192.168.3.254 255.255.255.0

DHCP(config-if)#no shutdown

DHCP(config)#ip dhcp pool vlan3_pool

DHCP(dhcp-config)#network 192.168.3.0 255.255.255.0

DHCP(dhcp-config)#default-router 192.168.3.254

DHCP(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.2

5)在S2上将F0/10端口划分到vlan3，用于给vlan3里的PC分配地址

S2(config)#int f0/10

S2(config-if)#switchport acc vlan 3

6)设置PC3和PC7用DHCP动态获取IP地址

篇3：野外驻训无线局域网的搭建

部队野外驻训是指部队人员在野外驻扎，进行训练。新一代《军事训练与考核大纲》规定：担负全训任务的各兵种专业分队野外驻训时间，每年不少于4个月。部队体系训练已成常态化。

1 需求分析

(1）野外驻训所需专业信息量大，担负全训任务的各兵种分队所需知识涉及面广，如涉及机械、电子、通信、卫生防疫、医学救护等。这些海量信息如通过传统的授课和小册子方式进行教育指导，已满足不了需要。

(2）野外驻训所需信息专业程度高，各驻训分队人员理论上是相关专业的人员，但基于武器、装备更新速度快，其相应的技术知识、操作规范、方案、预案等也随之发生快速更新。靠低效、浪费的纸质印刷品教材已经不能适应这种快速变换的教育指导需求。

(3）“铁打的营盘，流水的兵”，野外驻训人员的流动性较大，且存在相当一部分非专业人员担负训练任务的情况，对新兵和非专业人员的教育指导，成为野外驻训中的一项重复劳动。

本文考虑组建无线局域网络，将相关资源（如设备的使用说明、操作视频、数据库等）共享，通过手机、平板电脑、笔记本电脑等移动终端便可以接入网络随时进行资源的查询和相关学习，使问题得到解决。

2 系统构建

2.1 Web服务器的搭建

构建局域网首先要进行服务器的搭建。Web服务器也叫做WWW服务器，其主要功能是提供网上信息浏览服务。本文用于建立Web服务器使用的主机配置：CPU为Intel(R)Celeron(R)2.5 GHz，内存1 GB，硬盘为150 GB，使用的操作系统为Windows Server 2003，并打上SP2补丁。

操作系统安装完毕后，需要安装Web服务组件IIS。具体步骤如下：

(1）在“开始”菜单中选择“控制面板”中的“添加删除程序”；

(2）点击“添加删除组件”，在“组件向导”窗口中选择“应用程序服务器”；

(3）在“应用程序服务器”窗口中，可看见默认安装的子组件，这里不做任何改动，点击“确定”开始安装。

当IIS组件安装完成后，还需要进行默认网站的相关配置，选择“开始—程序—管理工具—IIS管理器”即可打开IIS管理器进行相应设置，设置方法这里不再赘述，图1所示为站点的属性中“网站”的设置界面。当所有配置完成后即可访问创建的Web服务器。

2.2 无线路由器的选购及设置

野外驻训由于其环境的特殊性，无线网络比有线网络要方便快捷得多，而无线网络的搭建也就离不开无线路由器，因此选择一款合适的路由器是非常重要的。本文选择的无线路由器是捷稀的JHR-N855R，该路由器支持无线传输标准IEEE 802.11b/g/n，选购的理由主要有以下三点：

(1）该无线路由器具有无线功率调节功能，用户可以根据实际需要（如终端与路由间的距离、接入无线网路的终端数量等）在功率调节键的1倍、5倍和10倍三个档位之间进行调节。1倍的发射功率为100 mW,5倍的发射功率为500 mW,10倍的发射功率为1 000 mW。

(2）该路由器带有4根增益为7 dBi的外置全向天线，天线可以进行弯曲或360°的旋转，并且可以拆卸，因此后期可以通过更换增益更高或方向性更好的天线来覆盖半径范围更大的区域。

(3）该路由器采用双频设计，能同时工作在2.4 GHz和5.0 GHz两个互不干扰的双频段，总的无线传输速率高达750 Mb/s，其中2.4 GHz频段速率达到主流的300 Mb/s,5.0 GHz频段速率更是高达450 Mb/s，能满足多个用户同时访问局域网络的需求。

此外，该路由器还支持智能波束调节，提供“入侵侦测”等功能。设置时，可根据“安装向导”快速进行路由的设置。当然，如果想进一步提升无线网络的使用效果，可以在“高级设置”中进行调整。如进行“防火墙”、“访问控制”等设置。

2.3 移动终端上的显示

移动终端有很多，最常用到的有笔记本电脑、平板电脑、手机等。下面对移动终端是否能够访问野外驻训无线局域网进行测试。

首先测试的是笔记本，其型号为联想的IdeaPad Y470，操作系统为Windows 7，测试结果表明，通过笔记本电脑是能够访问野外驻训无线局域网的，如图2所示；接着进行测试的是平板电脑，其型号为IPad min MD531CH/A，操作系统为ios，图3所示为通过IPAD访问无线局域网的登录界面；最后进行手机能否访问网站的测试，采用的机型是华为的H30-T00，操作系统为Android 4.2，结果表明手机同样可以访问该网站，如图4所示。

2.4 无线信号覆盖能力测试

在相对开阔区域（有树木、少量建筑物、汽车等物），通过WirelessMon软件，实际测试了该路由器的无线覆盖的信号强度。测试点与放置JHR-N855R路由器的位置相距55 m左右，可以看到通过软件测试的无线信号强度为71%，如图5所示，此路由器的无线覆盖能力还是不错的。当然无线信号强度测试的值与环境、网卡接收无线信号的能力、移动终端与路由器的相对位置都有很大关系，以上测试也仅仅作为参考。具体路由器的摆放位置、高度等也要根据驻训地点的实际情况而定。

3 讨论

通过构建无线局域网，野外驻训官兵利用已有的移动终端进行资料查询是非常便捷高效的。关于信息安全问题，笔者认为，在现有的技术条件下，此网络的信息是安全的，有如下四点理论依据：

(1）此网络只是一个局域网络，与互联网呈物理隔绝状态；

(2）无线路由器的覆盖范围仅限于野外驻训营地范围内，营地岗哨和流动哨基本可以消除所有陆地侦测设备的侵入；

(3）空中侦测设备的入侵，目前也只有无人机这种可能性，但通常无人机的巡航高度是在3 000 m以上，就是低空巡航，也在300 m左右，均在无线路由器的覆盖范围以外；

(4）该路由器所提供的“入侵侦测”、“防火墙”、“访问控制”等功能，可在软件层面上进一步加强系统的防护。但以上四点依据仅仅是针对此无线局域网络自身的安全性讨论，至于与之相连的各种移动终端，如手机、IPAD自身的安全性问题则不在本文的讨论范围之内。

4 结语

野外驻训无线局域网络对野外驻训官兵来说，是一种高效、快速获取相关海量信息的方式，推荐使用笔记本电脑或部队制式的移动终端连接网络，而不推荐连接过互联网的手机或IPAD。

注：本文通讯作者为王毅。

参考文献

[1]罗惟,王萍.一个Web服务器的设计[J].现代电子技术,2003,26(14):157-159.

[2]林晓.组网不用愁,无线路由器选购五要诀[J].网络与信息,2011(3):94-95.

[3]白宁.小小Wi Fi工具,帮你挑选最好的无线网络[J].网络与信息,2011(4):49-51.

[4]刘辛酉.Wi Fi通信的安全分析[J].信息通信技术,2009(4):50-56.

[5]魏急波,王杉,赵海涛.认知无线网络:关键技术与研究现状[J].通信学报,2011(11):32-34.

[6]任伟.无线网络安全问题初探[J].信息网络安全,2012(1):40-43.

[7]王伟.基于无线路由器桥接在家庭中的应用研究[J].计算机光盘软件与应用,2012(8):121-124.

[8]陈文周.Wi Fi技术研究及应用[J].数据通信,2008(4):98-100.

[9]崔小冬.基于Wi Fi的无线校园网建设研究[J].南京理工大学学报,2010(10):26-28.

篇4：轻松搭建无线局域网

Wi-Fi与蓝牙

根据目前的无线技术状况，目前可以通过红外、蓝牙及802.11b/a/g三种无线技术组建无线办公网络。红外技术的数据传输速率仅为115.2Kbps，传输距离一般只有1米；蓝牙技术的数据传输速率为1Mbps，通信距离为10米左右；而802.11b/a/g的数据传输速率达到了11Mbps，并且有效距离长达100米，更具有“移动办公”的特点，可以满足用户运行大量占用带宽的网络操作，基本就像在有线局域网上一样。所以802.11b/a/g比较适合用在办公室构建的企业无线网络（特别是笔记本电脑）。

从成本来看，802.11b/a/g也比较廉价，因为目前很多笔记本一般都为迅弛平台，本身就集成了802.11b/a/g无线网卡，用户只要够买一台无线局域网接入器（无线AP）即可组建无线网络。蓝牙根据网络的概念提供点对点和点对多点的无线连接。在任意一个有效通信范围内，所有设备的地位都是平等的。当然，从另一个角度来看，蓝牙更适合家庭组建无线局域网。

Wi-Fi无线网络方案

Wi-Fi无线组网原理

在组建Wi-Fi无线网络前，需要准备无线网卡和无线AP，如果电脑本身不具备无线网卡，那么可以购买相同协议的PCMICA、USB等接口的802.11b无线网卡(如图1)，目前这类无线网卡价格都在200元内。另一个就是无线AP的选择了，建议这类用户选择小型办公使用的USB无线AP(如图2)，价格在500至800元左右。不过建议商务办公的性质，如果预算比较充裕，尽量购买功能和性能强一些的无线AP，这关系到商务办公电脑上网的稳定性和安全性。

在实际组建当中，比如有5台电脑，其中1台（1号）放在单独里面的一间房间里，另外4台在办公的大房间里（分别为2号、3号、4号），并且使用ADSL拨号的电话也在1号机器上。因此，将无线AP安装到1号机器上，其它机器通过无线网关连接到1号机器的AP上组成无线网络（如图3）。

无线网络轻松装

设备准备好后，接下来就需要将设备安装并配置。首先是无线网卡的安装，不管是使用笔记本内置无线网卡，还是通过扩展安装无线网卡，首先需要安装好无线网卡的驱动程序。一般而言，在Windows XP下无线网卡无需安装驱动，系统可自动识别无线网卡。但对兼容性的考虑，还是建议安装网卡自身的最新驱动（如图4）。

接下来进行无线网络的安装，最新版本的Windows XP SP2中对无线的支持也有很大程度的提高。Windows XP SP2中对于无线网络的支持，主要从安全和易用性两个方面进行了加强。首先在Windows XP中安装最新版SP2补丁，然后进入“控制面板”的“无线网络安装向导”（如图5）。

点“下一步” 进入“创建无线网络名称”窗口。在“网络名”中输入SSID名称（比如alo），SSID主要用来区别不同的无线网络，请根据自己的情况进行设置。如果选择“自动分配网络密匙”选项，Windows将自动创建密匙（推荐），如果点选“手动分配网络密匙” 选项，那么将需要自己添加密匙。如果你确认自己的所有无线设备都支持WPA，请勾选“使用WPA加密，不使用WEP”（如图6）。和WEP相比，WPA加密的安全性更高，不过由于是新出现的标准，所以有可能部分设备和WPA不兼容。

点“下一步”进入“创建无线网络方法选择”窗口。Windows XP SP2中的“无线网络安装向导”提供了两种方法来创建无线网络：使用USB闪存驱动器和手动设置网络（如图7）。手动设置网络需要你手工为无线设备设置相应参数。笔者不建议在Windows XP SP2中采用“手动设置网络”，除非无线设备不支持微软的WSNK快速配置。如果无线设备不支持WSNK快速配置，就在选中“手动设置网络”后，按下“下一步”，选择“打印网络设置”（如图8），然后根据打印信息到相应的无线设备上进行手工设置（如图9）。

选择“使用USB闪存驱动器”点“下一步” Windows XP SP2借助于USB闪存驱动器可以自动、快速地完成无线网络的配置，首先将把USB闪存盘与电脑连接好，然后在“将设置保存到闪存驱动器”窗口中，选择USB闪存盘的盘符（如图10），就可以制作一个可以自动配置其他无线网络设备的USB盘。

当出现“将您的网络设置传送到其他计算机或设备”窗口时，将闪存盘从此计算机取出，插入其他须要配置的无线访问点。如果无线设备支持WSNK，则可以自动配置，并在配置完毕后闪三下（如果没有闪三下，请等待30秒）。当所有无线访问点配置完毕后，把闪存盘插回原来的计算机，并在“无线网络安装向导”中点击下一步（如图11），弹出设置成功窗口，此时你所设置的所有“网络设备”都会在该窗口中显示。

无线网络配置技巧

接下来，为每台电脑的无线网卡设置一个IP地址（如192.168.168.1、192.168.168.2、192.168.168.3……），如果此时已经安装好了无线AP，那么无线网卡将会自动搜索无线AP，最初无线网卡会搜索到一个无线接入点，由于这个连接没有使用WEP加密，因此这个连接是不安全的，系统会提示你是否要连接（如图12）。

用USB线将AP连接到1号机器上，将ADSL拨号的网线接到无线AP的LAN接口，然后将无线AP的电源连接好，打开无线AP电源开关，此时可以看到无线AP的工作指示灯亮了。系统开始搜索设备，安装好无线AP驱动和管理软件，接着开始搜索IP地址。找到IP地址后按“确定”结束搜索（如图13）。

无线网络的安全

目前，无线网络最令人不放心的因素便是安全问题。虽然通过WEP或WPA加密、禁用SSID广播等措施可以对无线网络进行加密设置，保护网络的安全，但无线网络还是非常脆弱。

在安装SP2之后，通过它所提供的增强型防火墙功能可以为无线网络保驾护航，让无线网络密不透风。首先，打开“控制面板”中的“网络连接”，右键点击已经建立的“无线网络连接”，选择“属性”打开属性窗口。接着选择“高级”选项卡，在“Windows防火墙”区域点击“设置”按钮打开“Windows防火墙”窗口，在“常规”选项卡中选择“启用” （如图14）。

在“例外”选项卡中能够添加可以访问网络的“例外程序”和服务，比如MSN Messenger、QQ等等（如图15）。此外，点击“添加程序”按钮还可以添加其他要访问网络的程序，比如泡泡堂、UC等；点击“添加端口”按钮可以添加要访问网络的端口号，包括TCP和UDP端口。接下来在“高级”选项卡中，选中“无线网络连接”。最后，点击“确定”按钮就可启用无线网络的防火墙。

在Windows XP当中，要设置802.1x身份验证，可打开网络连接。右键单击要为其启用或禁用 IEEE 802.1x 身份验证的连接，然后单击“属性”。在“身份验证”选项卡上，要为此连接启用 IEEE 802.1x 身份验证，请选中“使用 IEEE 802.1X 的网络访问控制”复选框。默认情况下将选中此复选框。在“EAP类型”中，单击要用于此连接的“可扩展的身份验证协议”类型。

当然，我们最好能采用无线AP自带的安全功能，进入无线AP软件管理界面，进入“无线设置”界面，在“SSID”文本框中可以输入该无线网络服务设置标识（即无线网络名称），该标识不能超过32位字符；在“Channle”项中选择该无线网络使用的频道，一般会提供1至13个频道供我们选择，在此可以根据需要进行选择。最后单击“OK”按钮设置生效（如图16）。当然，这里还可以设置IP、加密等信息，这些都可以在无线AP的管理软件里设置。

蓝牙无线网络方案

蓝牙无线组网原理

首先每台电脑准备必须具备蓝牙功能，如果没有，可以购买USB接口的蓝牙适配器，价格在200元左右，其次需要购买一个蓝牙无线接入点，价格在600元左右。在蓝牙组建局域网中有两种组网方式：一种是PC对PC组网；另一种是PC对蓝牙接入点的组网。

对于PC对PC组网方式，可以用蓝牙适配器来让两台电脑共享互联网络连入。其中的一台电脑通过网卡连接ADSL MODEM等接入设备已经能访问Internet，装上蓝牙USB适配器，把它当作一台Internet共享的代理服务器。其它配有蓝牙USB适配器的电脑当作客户端可以通过它访问Internet，也可以共享其它资源。这种方案也是蓝牙技术在家庭组网方案中最具有代表性和最普遍采用的方案（如图17）。

对PC对蓝牙接入点的组网，蓝牙接入点（蓝牙网关）通过RJ45与ADSL MODEM等宽带接入设备相连。其它要接入网络的电脑均安装有蓝牙适配器，一个蓝牙网关最多可连接7台这样的电脑。这里的蓝牙接入点的功能就如同上个方案中的Internet代理服务器。这个方案的组网拓朴类似Wi-Fi无线接入点组网（如图18）。

蓝牙无线网络设置

以PC对蓝牙接入点的组网为例，首先我们做好蓝牙接入点与宽带接入设备的连接，并给电脑插入USB蓝牙适配器，并为USB蓝牙适配器安装好驱动程序。这样电脑就可以通过浏览器以蓝牙接入点预设的IP访问蓝牙接入点，再继续根据自己的宽带接入类型，为蓝牙接入点设置相应的IP，DNS参数就可以上网了。当然电脑本身也要相应设置IP段的IP，网关（蓝牙接入点IP）和DNS等。IP、网关等参数和以上的WIFI无线网络组建设置方法基本一致。

双击电脑屏幕右下角的蓝牙图标启动“我的蓝牙位置”（如图19），会弹出一个叫BLUETOOTH CONFIGURATION的窗口，显然，这是用来配置这个无线传输器的窗口。点击“蓝牙设置向导”。选择“我知道我需要的服务和我要找提供服务的蓝牙设备”。按“下一步”，在出现的“蓝牙服务选择”对话框中选择“网络访问”。按“下一步”开始搜索附近的蓝牙设备（蓝牙接入点）。选中“开始连接”单选钮。最后按“结束”即可。

接下来点击桌面上的图标，可以进入一个目录，上面又有两个图标，分别是SEARCH FOR DEVICES和LOCAL DEVICE。显然，前者是搜寻在10米通信范围内的一切蓝牙设备，包括另外的一个（甚至几个）USB无线传输器，蓝牙手机以及其他的使用了蓝牙技术的通信设备；而后者是用来配置和控制本地这个蓝牙无线传输器的。下面点击SEARCH FOR DEVICES这个图标，很快，就找到了在另外一台电脑上安装的另外一个无线传输器，而那台电脑的机器名叫SKY（如图20）。

接下来进入LOCAL DEVICE这层子目录，可以看到七个图标(如图21)，分别是蓝牙串行端口，拨号网络，传真，网络连接，文件传输，信息交换和信息同步。其中图标上没有红叉的表示已经启动了，而有红叉的则说明该项服务无法启用。

无线网络的安全