【正文】 天線 并不 適合圖 書館 環(huán)境的 覆蓋 。 天線下 方 增 益 較小 5. 無線覆蓋設(shè)計(jì)將遵循按照信號(hào)范圍最大化原則，在區(qū)域全面覆蓋的前提下，重點(diǎn)選 擇部分區(qū)域進(jìn)行更加細(xì)膩的覆蓋。 1. 內(nèi)置天 線室 內(nèi)型 AP105,AP93。 Page 22 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 POE 交 換 機(jī)設(shè)計(jì) POE 交換 機(jī) 我們?cè)O(shè) 計(jì)選 用 Aruba 公司 S250024P 型號(hào)交 換 機(jī)。下 圖詳 細(xì)說明 交換 機(jī)供電 情況 。例如，每個(gè) VLAN 采 用一個(gè) C 類地址，網(wǎng)絡(luò)掩碼是 ()，因此每個(gè) VLAN 內(nèi)最多支持 253 個(gè)用戶。 IPV4/IPV6 雙棧設(shè)計(jì) ARUBA AC7200 無線控制器具有業(yè)界領(lǐng)先的 IPv4 和 IPv6 支持能力，能夠?qū)崿F(xiàn)為上饒 師范學(xué)院提供真正的 IPv4/IPv6 雙棧無線網(wǎng)絡(luò)。 ? 基于 IPv4/v6 的網(wǎng)絡(luò)管理和系統(tǒng)日志 ARUBA 無 線控制器提供基于 IPv4/v6 的網(wǎng)絡(luò)管理功能，網(wǎng)絡(luò)管理員可以通 過 IPv4/v6 網(wǎng)絡(luò)直接訪問無線控制器的 IPv4/v6 管理服務(wù)接口，并通過 IPv4/v6 日 志服務(wù)器接收來自無線控制器的系統(tǒng)日志。 AP 與移動(dòng)控制器之間的連接有多種實(shí)現(xiàn)方法。 Page 27 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 目前下 xDSL 的最高下行可以達(dá)到 55M，上行 15M 能夠滿足電梯內(nèi)用戶的帶寬需求， 特點(diǎn)是比較穩(wěn)定。因此這種部署方式數(shù)據(jù)通信效果非常不 穩(wěn) 定，帶寬 的隨著電梯的移動(dòng)距離和速度變化。 Aruba 提出的以 UserCentric 的網(wǎng)絡(luò)架構(gòu)，安全性的策略是和用戶綁定在 一起的， 而不是和物理位置相關(guān)的，用戶無論在任何位置出現(xiàn)在校園里都能夠很方便地訪問到校園 的應(yīng)用。 1. 基于角色 的 路由 。 2. 基于角色 的 安全策略 。 個(gè) 性 化 的服 務(wù) 具備了統(tǒng) 一的入 口 。 1) 電信用 戶 teleuser。 帳號(hào) 性 質(zhì)：開通了移動(dòng)帳號(hào)的學(xué)生用戶，可以 訪問校園網(wǎng)，只能通過中國(guó)移動(dòng)訪問互聯(lián)網(wǎng)，由 中國(guó)移動(dòng)單獨(dú)計(jì)費(fèi)。帳號(hào)路由：流 量被策略路由到中國(guó)聯(lián)通門戶網(wǎng)站，進(jìn)行再認(rèn)證。 5) Teacheruser 帳 號(hào) 。 Radius 服 務(wù)器 進(jìn) 行 用 戶 認(rèn) 證 ， 認(rèn) 證 通 過 后 獲 得 免 費(fèi) 登 錄 校 園 無 線 網(wǎng) ， 只 能 訪 問 校 內(nèi) 資 源 。 用戶上 下 線流程 設(shè) 計(jì) ? 用戶上線 1. 用戶首 先關(guān) 聯(lián)到 SRSY 這個(gè) SSID， 獲得地 址和 初始角色 logon。 Page 32 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 3. 用戶輸 入用 戶名和 密碼， Portal Server 去訪問 學(xué) 校認(rèn)證 系統(tǒng) ，比如 LDAP 服務(wù)器 。 4. 下面以 移動(dòng) 運(yùn)營(yíng)商 為例 介紹后 續(xù)移 動(dòng)二次 認(rèn) 證 。 7. Portal 服務(wù)器傳遞 用戶 名和密 碼到 移動(dòng) Radius。 11. Portal Server 發(fā)起注 銷指 令給 Radius。 關(guān)于移動(dòng)下線過程類似，不在描述。以下示 Page 34 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 例為正在實(shí)施過程中的上海交通大學(xué)無線校園網(wǎng)的 Web Portal 認(rèn)證頁面，其中圖 1 為筆 記本電腦連接網(wǎng)絡(luò)時(shí)獲得的認(rèn)證頁面，圖 2 為 iPhone、 Android、 Blackberry 等智能手機(jī) 終端連接無線網(wǎng)絡(luò)時(shí)獲得的認(rèn)證頁面。作為一個(gè)智能的網(wǎng)絡(luò)，必須能夠考慮到不 同的終端類型、屏幕尺寸對(duì) Portal 認(rèn)證頁面的不同要求，實(shí)時(shí)地 對(duì)各種終端類型進(jìn)行識(shí) 別，并推送差異化的 Web Portal 頁面。 13. 記帳結(jié) 束 。 9. 移動(dòng)開 始進(jìn) 行單獨(dú) 計(jì)費(fèi) 。以 及強(qiáng) 制用戶 HTTP 流量再 次 彈出 cmcc 的 認(rèn)證頁 面 。識(shí) 別用 戶的屬 性。其 他任何 地址 不可以 訪問 。 Page 31 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 ? ARUBA7200 無線控制器根據(jù)用戶角色將通過 Web Portal 認(rèn)證后的無線用戶 Http 請(qǐng) 求重定向到與其身份角色（教師、學(xué)生）相對(duì)應(yīng)的歡迎和信息發(fā)布頁面 ? 無線用戶在與身份相對(duì)應(yīng)的安全接入策略（訪問權(quán)限 、 帶寬權(quán) 限 、會(huì)話 數(shù) 權(quán)限、 QoS 策略以及路由策略等）控制下訪問各種網(wǎng)絡(luò)資源。 ARUBA7200 無線控制器根據(jù)認(rèn)證過程中獲得的用 戶屬性的對(duì)用戶身份進(jìn)行判定，并修改無線用戶在控制器中的角色，同時(shí) 應(yīng)用與該角色相對(duì)應(yīng)的帶寬策略和安全策略。 在學(xué) 校 網(wǎng) 絡(luò) 中心 申 請(qǐng) 了 互聯(lián) 網(wǎng) 服 務(wù) ，希 望 通 過 學(xué) 校 出口訪 問 外網(wǎng) 。 3) 中國(guó)聯(lián) 通 戶 Uniuser。帳號(hào) 路由：流量被策略路由到中國(guó)電信門戶網(wǎng)站，進(jìn)行再認(rèn)證。 Page 30 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 ? Radius 服務(wù)器判別 用 戶輸入帳 號(hào) ， 如果是 各 自運(yùn)營(yíng)商 帳 號(hào)將為用 戶 返回不同的 角 色。 Page 29 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 3. 采用統(tǒng)一 認(rèn) 證計(jì)費(fèi)系 統(tǒng) 為學(xué)校和 運(yùn) 營(yíng)商提供 服 務(wù)，提供 集 中統(tǒng)一的 門 戶?？梢愿鶕?jù)用戶帳號(hào) 性質(zhì)來選擇下一跳。 Aruba 無線架構(gòu)以網(wǎng)絡(luò)用戶為中心，無線管理的對(duì)象不依賴于 IP 地址、 VLAN 編號(hào)。 在上饒師范學(xué)院無線校園網(wǎng)絡(luò)中，為了廣大教職工、學(xué)生以及外來訪客的接入以及策 略控制，考慮在 SRSY 這個(gè)無線信號(hào)上采用 Web Portal 方式進(jìn)行用戶身份認(rèn)證。 可以在電梯內(nèi)部署兩個(gè) AP， 5G 頻段進(jìn)行無線互連的方式實(shí)現(xiàn) AP 到 AC 的連接。 AP 與移動(dòng)控制器之間的連接則可以借用電梯隨行電纜中的兩芯備用電話線，通過在 轎廂和電梯機(jī)房?jī)?nèi)分別配置一臺(tái) xDSL 調(diào)制解調(diào)器，將以太網(wǎng)信號(hào)調(diào)制到這一對(duì)電話線 上，然后再由兩側(cè)的 xDSL 調(diào)制解調(diào)器分別連接轎廂內(nèi)的無線接入點(diǎn)以及相應(yīng)弱電間內(nèi)的 接入交換機(jī)。 VLAN 名稱 ARUBA7200 控制器 VLAN ID IPv4 地址 /掩 碼 IPv4 網(wǎng)關(guān)地 址 IPv6 地址 /掩 碼 IPv6 網(wǎng)關(guān)地 址 Mgmt VLAN Master: Local1: Local2: User VLAN Master: Local1: Page 26 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 Local2: 電梯 轎 廂的 無 線覆 蓋 設(shè)計(jì) 為了實(shí)現(xiàn)無線的全覆蓋，我們提出兩種電梯轎廂內(nèi)的無線覆蓋。 ? 基于 Web Portal 的 IPv4/v6 用戶身份認(rèn)證 ARUBA 無 線控制器可以截獲未認(rèn)證 IPv4/v6 用戶的 Http 和 Https 請(qǐng)求，并 將其重定向到 Portal 認(rèn) 證頁面，對(duì)未認(rèn)證 IPv4/v6 用戶進(jìn)行身份驗(yàn)證。 Page 24 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 對(duì)于大型網(wǎng)絡(luò)設(shè)計(jì)和部署，為 N 的子網(wǎng)設(shè)的很大，比如一個(gè) B 類地址（就是說將最多 65000 多個(gè)終端放在同一 VLAN 中），由于廣播域過大，大量的廣播報(bào)文（如 DHCP、 ARP 等）將直接 造成嚴(yán)重的網(wǎng)絡(luò)擁塞。 VLAN 名稱 VLAN ID ARUBA7200 VLAN 所屬端口 核心交換機(jī) VLAN 所屬端口 APVLAN 無 待定 MgmtVLAN 萬兆以太網(wǎng)端口 待定 UserVLAN 不分配 無 ARUBA 的無線網(wǎng)絡(luò)解決方案中，所有用戶流量都通過 AP 與移動(dòng)控制器之間的 GRE 隧 道直接傳送到移動(dòng)控制器上，再通過移動(dòng)控制器與核心交換機(jī)之間的高速網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到 骨干網(wǎng)絡(luò)中，因此無線用戶的 VLAN 僅僅出現(xiàn)在移動(dòng)控制器和核心交換機(jī)之間，只需要在 移動(dòng)控制器和核心交換機(jī)的互聯(lián)接口上配置相應(yīng)的 VLAN 即可，不需 要在有線網(wǎng)絡(luò)的接入 層和匯聚層存在，從而大大簡(jiǎn)化了網(wǎng)絡(luò)配置和管理工作的復(fù)雜程度。 能夠 提供 128Gbps 交換背 板 ，實(shí)現(xiàn) 線速 轉(zhuǎn)發(fā)。 2. 高密度 室內(nèi) 型 AP135。 目標(biāo)覆 蓋區(qū) 域信號(hào)強(qiáng) 度 70dbm。 方 向 ) Page 21 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計(jì)方案 原因在于這種天 線位 于水平 方向 的最大 增益 將會(huì)導(dǎo) 致較 為嚴(yán)重的 AP 之間的 同 頻干擾 ， 而 縮小 AP 發(fā) 信功率 則又 會(huì)使天 線下 方的用 戶接 收信號(hào) 進(jìn)一 步惡化 ，因 此通過 “微 蜂窩” 方式 來增 加系統(tǒng) 容量 的效果 不佳 。 采用雙 頻 工作的 ARUBA AP105 和 ArubaAP135 無線接入點(diǎn)可以實(shí)現(xiàn) 和 5GHz 雙頻 段同時(shí) 覆蓋 ，并利 用頻 段指引 等技 術(shù)引導(dǎo) 雙頻 無線終 端優(yōu) 先通過 5GHz 頻段連 接 無線網(wǎng) 絡(luò)， 一方 面使 5GHz 終端能 夠獲 得更好 的接 入性能 體驗(yàn) ，另一 方面 也降低了 頻 段 上 的終端 密度 ，有 效緩解 頻段 上的 性能瓶 頸 。在普通 的環(huán) 境中， 我們 設(shè)計(jì)選擇 AP105。設(shè)計(jì)以旁路模式接入網(wǎng)絡(luò)，萬兆接口設(shè) 計(jì)成為 Trunk 模式。無線 AP 的 IP 地址采用 DHCP 協(xié)議 獲得，同時(shí)將 DHCP 的 option 43 屬性配置為 Master 控制器地址，無線 AP 可以自動(dòng)發(fā)現(xiàn) 無線控制器，并根據(jù)預(yù)先規(guī)劃注冊(cè)到相應(yīng)的 Local 控制器。 ClearPass Policy Manager 平臺(tái)的軟件模塊可 以簡(jiǎn)化和自動(dòng)實(shí)現(xiàn)設(shè)備配置、預(yù)配置、分析、健康檢查和訪客接入功能。 Master 控制器作為 Local 控制器的備份，當(dāng)任何一個(gè) Local 控制器板卡發(fā)生故障 的時(shí)候，可通過多種冗余方式，切換到備用控制器，提供無縫連接，真正為用戶提供一個(gè) 永不間斷的無線網(wǎng)絡(luò)。我們?cè)诰W(wǎng)絡(luò)服務(wù)層為上饒師范學(xué)院設(shè)計(jì)選擇 如下組件。 根據(jù)我們前期勘查的設(shè)計(jì)，整個(gè)逸夫樓的 AP 數(shù)量為 193 個(gè)。 Airwave 可以無縫集成到現(xiàn)有 WLAN 網(wǎng)絡(luò)中，通過 SSH、 SNMP 和 HTTPS 協(xié)議管理所有無線局域網(wǎng)設(shè)備。我們?cè)敿?xì)介紹上饒師范學(xué)院的無線設(shè)計(jì)架 構(gòu)。 1. 逸夫樓點(diǎn)位統(tǒng)計(jì)及分布如下： 建筑名稱 區(qū)域 AP 數(shù)量 AP 型號(hào) POE 交換機(jī) 逸夫樓 南大樓 73 10 個(gè) AP135， 19 個(gè) AP105， 44 個(gè) AP93 4 中大樓 48 8 個(gè) AP135， 39 個(gè) AP105， 1 個(gè) AP93 2 北大樓 72 12 個(gè) AP135， 49 個(gè) AP105， 11 個(gè) AP93 3 AP135 主要覆蓋多媒體教室、會(huì)議室及展廳等高密度人群區(qū)域； AP105 主要覆蓋教 室區(qū)域，為以后的數(shù)字化教學(xué)使用 ； AP93 主要覆蓋辦公區(qū)域。這就需要建立一個(gè)包括對(duì)無線設(shè)備、智能終 端、電腦、用戶和多廠商的統(tǒng)一管理融合（特別是對(duì)現(xiàn)有無線網(wǎng)絡(luò)的管理）等多層次的管 理體系。 高安 全 性 上饒師范學(xué)院作為一個(gè)擁有近 2 萬名師生的高校，無線終端種類繁多，無線用戶規(guī)模 大，對(duì)網(wǎng)絡(luò)安全（尤其是無線網(wǎng)絡(luò)安全方面）提出了不小的挑戰(zhàn)，這就需要建立一個(gè)多層 次的安全體系與架構(gòu)，從而滿足涵蓋諸如無線設(shè)備的安全接入方式、個(gè)性化的安全策略分 配、電子監(jiān)考、涉密部門高安全接入等不同的需求。 對(duì)于內(nèi)部員工，系統(tǒng)可以協(xié)助其 自動(dòng)配置無線客戶端而連接無線網(wǎng)絡(luò)，無需網(wǎng)管