【正文】 天線 并不 適合圖 書館 環(huán)境的 覆蓋 。 天線下 方 增 益 較小 5. 無線覆蓋設(shè)計將遵循按照信號范圍最大化原則，在區(qū)域全面覆蓋的前提下，重點選 擇部分區(qū)域進行更加細(xì)膩的覆蓋。 1. 內(nèi)置天 線室 內(nèi)型 AP105,AP93。 Page 22 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 POE 交 換 機設(shè)計 POE 交換 機 我們設(shè) 計選 用 Aruba 公司 S250024P 型號交 換 機。下 圖詳 細(xì)說明 交換 機供電 情況 。例如，每個 VLAN 采 用一個 C 類地址，網(wǎng)絡(luò)掩碼是 ()，因此每個 VLAN 內(nèi)最多支持 253 個用戶。 IPV4/IPV6 雙棧設(shè)計 ARUBA AC7200 無線控制器具有業(yè)界領(lǐng)先的 IPv4 和 IPv6 支持能力，能夠?qū)崿F(xiàn)為上饒 師范學(xué)院提供真正的 IPv4/IPv6 雙棧無線網(wǎng)絡(luò)。 ? 基于 IPv4/v6 的網(wǎng)絡(luò)管理和系統(tǒng)日志 ARUBA 無 線控制器提供基于 IPv4/v6 的網(wǎng)絡(luò)管理功能，網(wǎng)絡(luò)管理員可以通 過 IPv4/v6 網(wǎng)絡(luò)直接訪問無線控制器的 IPv4/v6 管理服務(wù)接口，并通過 IPv4/v6 日 志服務(wù)器接收來自無線控制器的系統(tǒng)日志。 AP 與移動控制器之間的連接有多種實現(xiàn)方法。 Page 27 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 目前下 xDSL 的最高下行可以達到 55M，上行 15M 能夠滿足電梯內(nèi)用戶的帶寬需求， 特點是比較穩(wěn)定。因此這種部署方式數(shù)據(jù)通信效果非常不 穩(wěn) 定，帶寬 的隨著電梯的移動距離和速度變化。 Aruba 提出的以 UserCentric 的網(wǎng)絡(luò)架構(gòu)，安全性的策略是和用戶綁定在 一起的， 而不是和物理位置相關(guān)的，用戶無論在任何位置出現(xiàn)在校園里都能夠很方便地訪問到校園 的應(yīng)用。 1. 基于角色 的 路由 。 2. 基于角色 的 安全策略 。 個 性 化 的服 務(wù) 具備了統(tǒng) 一的入 口 。 1) 電信用 戶 teleuser。 帳號 性 質(zhì)：開通了移動帳號的學(xué)生用戶，可以 訪問校園網(wǎng)，只能通過中國移動訪問互聯(lián)網(wǎng)，由 中國移動單獨計費。帳號路由：流 量被策略路由到中國聯(lián)通門戶網(wǎng)站，進行再認(rèn)證。 5) Teacheruser 帳 號 。 Radius 服 務(wù)器 進 行 用 戶 認(rèn) 證 ， 認(rèn) 證 通 過 后 獲 得 免 費 登 錄 校 園 無 線 網(wǎng) ， 只 能 訪 問 校 內(nèi) 資 源 。 用戶上 下 線流程 設(shè) 計 ? 用戶上線 1. 用戶首 先關(guān) 聯(lián)到 SRSY 這個 SSID， 獲得地 址和 初始角色 logon。 Page 32 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 3. 用戶輸 入用 戶名和 密碼， Portal Server 去訪問 學(xué) 校認(rèn)證 系統(tǒng) ，比如 LDAP 服務(wù)器 。 4. 下面以 移動 運營商 為例 介紹后 續(xù)移 動二次 認(rèn) 證 。 7. Portal 服務(wù)器傳遞 用戶 名和密 碼到 移動 Radius。 11. Portal Server 發(fā)起注 銷指 令給 Radius。 關(guān)于移動下線過程類似，不在描述。以下示 Page 34 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 例為正在實施過程中的上海交通大學(xué)無線校園網(wǎng)的 Web Portal 認(rèn)證頁面，其中圖 1 為筆 記本電腦連接網(wǎng)絡(luò)時獲得的認(rèn)證頁面，圖 2 為 iPhone、 Android、 Blackberry 等智能手機 終端連接無線網(wǎng)絡(luò)時獲得的認(rèn)證頁面。作為一個智能的網(wǎng)絡(luò)，必須能夠考慮到不 同的終端類型、屏幕尺寸對 Portal 認(rèn)證頁面的不同要求，實時地 對各種終端類型進行識 別，并推送差異化的 Web Portal 頁面。 13. 記帳結(jié) 束 。 9. 移動開 始進 行單獨 計費 。以 及強 制用戶 HTTP 流量再 次 彈出 cmcc 的 認(rèn)證頁 面 。識 別用 戶的屬 性。其 他任何 地址 不可以 訪問 。 Page 31 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 ? ARUBA7200 無線控制器根據(jù)用戶角色將通過 Web Portal 認(rèn)證后的無線用戶 Http 請 求重定向到與其身份角色（教師、學(xué)生）相對應(yīng)的歡迎和信息發(fā)布頁面 ? 無線用戶在與身份相對應(yīng)的安全接入策略（訪問權(quán)限 、 帶寬權(quán) 限 、會話 數(shù) 權(quán)限、 QoS 策略以及路由策略等）控制下訪問各種網(wǎng)絡(luò)資源。 ARUBA7200 無線控制器根據(jù)認(rèn)證過程中獲得的用 戶屬性的對用戶身份進行判定，并修改無線用戶在控制器中的角色，同時 應(yīng)用與該角色相對應(yīng)的帶寬策略和安全策略。 在學(xué) 校 網(wǎng) 絡(luò) 中心 申 請 了 互聯(lián) 網(wǎng) 服 務(wù) ，希 望 通 過 學(xué) 校 出口訪 問 外網(wǎng) 。 3) 中國聯(lián) 通 戶 Uniuser。帳號 路由：流量被策略路由到中國電信門戶網(wǎng)站，進行再認(rèn)證。 Page 30 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 ? Radius 服務(wù)器判別 用 戶輸入帳 號 ， 如果是 各 自運營商 帳 號將為用 戶 返回不同的 角 色。 Page 29 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 3. 采用統(tǒng)一 認(rèn) 證計費系 統(tǒng) 為學(xué)校和 運 營商提供 服 務(wù)，提供 集 中統(tǒng)一的 門 戶?？梢愿鶕?jù)用戶帳號 性質(zhì)來選擇下一跳。 Aruba 無線架構(gòu)以網(wǎng)絡(luò)用戶為中心，無線管理的對象不依賴于 IP 地址、 VLAN 編號。 在上饒師范學(xué)院無線校園網(wǎng)絡(luò)中，為了廣大教職工、學(xué)生以及外來訪客的接入以及策 略控制，考慮在 SRSY 這個無線信號上采用 Web Portal 方式進行用戶身份認(rèn)證。 可以在電梯內(nèi)部署兩個 AP， 5G 頻段進行無線互連的方式實現(xiàn) AP 到 AC 的連接。 AP 與移動控制器之間的連接則可以借用電梯隨行電纜中的兩芯備用電話線，通過在 轎廂和電梯機房內(nèi)分別配置一臺 xDSL 調(diào)制解調(diào)器，將以太網(wǎng)信號調(diào)制到這一對電話線 上，然后再由兩側(cè)的 xDSL 調(diào)制解調(diào)器分別連接轎廂內(nèi)的無線接入點以及相應(yīng)弱電間內(nèi)的 接入交換機。 VLAN 名稱 ARUBA7200 控制器 VLAN ID IPv4 地址 /掩 碼 IPv4 網(wǎng)關(guān)地 址 IPv6 地址 /掩 碼 IPv6 網(wǎng)關(guān)地 址 Mgmt VLAN Master: Local1: Local2: User VLAN Master: Local1: Page 26 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 Local2: 電梯 轎 廂的 無 線覆 蓋 設(shè)計 為了實現(xiàn)無線的全覆蓋，我們提出兩種電梯轎廂內(nèi)的無線覆蓋。 ? 基于 Web Portal 的 IPv4/v6 用戶身份認(rèn)證 ARUBA 無 線控制器可以截獲未認(rèn)證 IPv4/v6 用戶的 Http 和 Https 請求，并 將其重定向到 Portal 認(rèn) 證頁面，對未認(rèn)證 IPv4/v6 用戶進行身份驗證。 Page 24 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 對于大型網(wǎng)絡(luò)設(shè)計和部署，為 N 的子網(wǎng)設(shè)的很大，比如一個 B 類地址（就是說將最多 65000 多個終端放在同一 VLAN 中），由于廣播域過大，大量的廣播報文（如 DHCP、 ARP 等）將直接 造成嚴(yán)重的網(wǎng)絡(luò)擁塞。 VLAN 名稱 VLAN ID ARUBA7200 VLAN 所屬端口 核心交換機 VLAN 所屬端口 APVLAN 無 待定 MgmtVLAN 萬兆以太網(wǎng)端口 待定 UserVLAN 不分配 無 ARUBA 的無線網(wǎng)絡(luò)解決方案中，所有用戶流量都通過 AP 與移動控制器之間的 GRE 隧 道直接傳送到移動控制器上，再通過移動控制器與核心交換機之間的高速網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到 骨干網(wǎng)絡(luò)中，因此無線用戶的 VLAN 僅僅出現(xiàn)在移動控制器和核心交換機之間，只需要在 移動控制器和核心交換機的互聯(lián)接口上配置相應(yīng)的 VLAN 即可，不需 要在有線網(wǎng)絡(luò)的接入 層和匯聚層存在，從而大大簡化了網(wǎng)絡(luò)配置和管理工作的復(fù)雜程度。 能夠 提供 128Gbps 交換背 板 ，實現(xiàn) 線速 轉(zhuǎn)發(fā)。 2. 高密度 室內(nèi) 型 AP135。 目標(biāo)覆 蓋區(qū) 域信號強 度 70dbm。 方 向 ) Page 21 上饒師范學(xué)院無線網(wǎng)絡(luò)設(shè)計方案 原因在于這種天 線位 于水平 方向 的最大 增益 將會導(dǎo) 致較 為嚴(yán)重的 AP 之間的 同 頻干擾 ， 而 縮小 AP 發(fā) 信功率 則又 會使天 線下 方的用 戶接 收信號 進一 步惡化 ，因 此通過 “微 蜂窩” 方式 來增 加系統(tǒng) 容量 的效果 不佳 。 采用雙 頻 工作的 ARUBA AP105 和 ArubaAP135 無線接入點可以實現(xiàn) 和 5GHz 雙頻 段同時 覆蓋 ，并利 用頻 段指引 等技 術(shù)引導(dǎo) 雙頻 無線終 端優(yōu) 先通過 5GHz 頻段連 接 無線網(wǎng) 絡(luò)， 一方 面使 5GHz 終端能 夠獲 得更好 的接 入性能 體驗 ，另一 方面 也降低了 頻 段 上 的終端 密度 ，有 效緩解 頻段 上的 性能瓶 頸 。在普通 的環(huán) 境中， 我們 設(shè)計選擇 AP105。設(shè)計以旁路模式接入網(wǎng)絡(luò)，萬兆接口設(shè) 計成為 Trunk 模式。無線 AP 的 IP 地址采用 DHCP 協(xié)議 獲得，同時將 DHCP 的 option 43 屬性配置為 Master 控制器地址，無線 AP 可以自動發(fā)現(xiàn) 無線控制器，并根據(jù)預(yù)先規(guī)劃注冊到相應(yīng)的 Local 控制器。 ClearPass Policy Manager 平臺的軟件模塊可 以簡化和自動實現(xiàn)設(shè)備配置、預(yù)配置、分析、健康檢查和訪客接入功能。 Master 控制器作為 Local 控制器的備份，當(dāng)任何一個 Local 控制器板卡發(fā)生故障 的時候，可通過多種冗余方式，切換到備用控制器，提供無縫連接，真正為用戶提供一個 永不間斷的無線網(wǎng)絡(luò)。我們在網(wǎng)絡(luò)服務(wù)層為上饒師范學(xué)院設(shè)計選擇 如下組件。 根據(jù)我們前期勘查的設(shè)計，整個逸夫樓的 AP 數(shù)量為 193 個。 Airwave 可以無縫集成到現(xiàn)有 WLAN 網(wǎng)絡(luò)中，通過 SSH、 SNMP 和 HTTPS 協(xié)議管理所有無線局域網(wǎng)設(shè)備。我們詳細(xì)介紹上饒師范學(xué)院的無線設(shè)計架 構(gòu)。 1. 逸夫樓點位統(tǒng)計及分布如下： 建筑名稱 區(qū)域 AP 數(shù)量 AP 型號 POE 交換機 逸夫樓 南大樓 73 10 個 AP135， 19 個 AP105， 44 個 AP93 4 中大樓 48 8 個 AP135， 39 個 AP105， 1 個 AP93 2 北大樓 72 12 個 AP135， 49 個 AP105， 11 個 AP93 3 AP135 主要覆蓋多媒體教室、會議室及展廳等高密度人群區(qū)域； AP105 主要覆蓋教 室區(qū)域，為以后的數(shù)字化教學(xué)使用 ； AP93 主要覆蓋辦公區(qū)域。這就需要建立一個包括對無線設(shè)備、智能終 端、電腦、用戶和多廠商的統(tǒng)一管理融合（特別是對現(xiàn)有無線網(wǎng)絡(luò)的管理）等多層次的管 理體系。 高安 全 性 上饒師范學(xué)院作為一個擁有近 2 萬名師生的高校，無線終端種類繁多，無線用戶規(guī)模 大，對網(wǎng)絡(luò)安全（尤其是無線網(wǎng)絡(luò)安全方面）提出了不小的挑戰(zhàn)，這就需要建立一個多層 次的安全體系與架構(gòu)，從而滿足涵蓋諸如無線設(shè)備的安全接入方式、個性化的安全策略分 配、電子監(jiān)考、涉密部門高安全接入等不同的需求。 對于內(nèi)部員工，系統(tǒng)可以協(xié)助其 自動配置無線客戶端而連接無線網(wǎng)絡(luò)，無需網(wǎng)管