【文章內(nèi)容簡介】 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 8 / 38 網(wǎng)絡(luò)信息利用標準的 GRE 或 IPSec通道從 APs 流向移動控制器。 ARUBA 的 APs 是業(yè)內(nèi)唯一可以利用trusted IPSec 協(xié)議在非安全網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)）內(nèi)遠程裝配的無線網(wǎng)絡(luò)接入設(shè)備。因而 IT人員可以簡單輕松地將校園的無線網(wǎng)絡(luò)（包括服務和控制）擴展至遠程位置或家庭辦公室，就像在總部一樣。 4） ARUBAOS 系統(tǒng)軟件 ARUBAOS軟件功能強大、設(shè)計精密，可在任何 ARUBA 移動控制器上運行，以保證他們向處在 ―移動邊緣 ‖的用戶不間斷地提供服務。 ARUBAOS軟件的基本功能包括：精密的認證和加密、不間斷高速漫游、射頻管理和分析工具、集中配置、位置追蹤等。通過以下模塊可以實現(xiàn)高級功能：無線入侵防范、策略增強防火墻、 VPN 服務器、 客戶完整性、遠程接入點、發(fā)布服務借口、高級 AAA、 xSec 高級 L2 加密。 溫州永強機場新航站樓 無線網(wǎng)絡(luò)系統(tǒng)詳細設(shè)計 概述 本方案中，接入 建議 采用 POE 交換式快速以太網(wǎng)絡(luò)實現(xiàn) 10/100M 接入，為無線 AP 提供 POE 供電，如圖 4 所示 ，如果交換設(shè)備不具備 POE 端口，則需要對 AP單獨進行供電。 接入節(jié)點的主要作用是 WLAN AP的接入，為 AP 提供上聯(lián)通道。同時，接入交換機必須具備 VLAN隔離和廣播控制功能，并具備一定的數(shù)據(jù)包分類與隊列能力，以保證在網(wǎng)絡(luò)中提供端到端的服務質(zhì)量（ QoS）。 建議 接入交換機采用 千兆以太網(wǎng)鏈路與匯聚 交換機相連接。 方案應采用由一臺中央 WLAN 安全交換機控制和管理 ―瘦 ‖接入點 AP 的集中式無線局域網(wǎng)（ WLAN）部署模式。主要構(gòu)件包括若干接入點（ AP）、 WLAN 安全交換機組合在整個無線移動解決方案中。 WLAN安全交換機 可以 控制一定數(shù)量的接入點。然后，這些接入點再創(chuàng)建一個移動用戶可自由漫游的 服務域。通過多臺 WLAN安全交換機協(xié)同作業(yè)，可創(chuàng)建跨越多個樓層、整個大樓或園區(qū)的大型移動域。 在移動域中，當每個用戶從一個接入點漫游到另一個接入點時，其安全性、服務質(zhì)量（ QoS）和接入策略 一直追蹤他們。無論用戶在哪兒漫游，他們的數(shù)據(jù)流量將始終通過隧道被輸至起始的 WLAN安全交換機。 WLAN安全交換機可將他們放置在適當?shù)木W(wǎng)絡(luò) VLAN和子網(wǎng)。這種漫游 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 9 / 38 體系結(jié)構(gòu)確保對稱的數(shù)據(jù)流。 配置在網(wǎng)絡(luò)中心的無線局域網(wǎng)安全交換機可以提供千兆以太網(wǎng)接口（未來可升級到 10G），并通過這些千兆以太網(wǎng)接口接入核心路由交換機；同時，各 點 配置的無線局域網(wǎng)接入點 AP 均通過以太網(wǎng)交換機 的 接口接入有線局域網(wǎng)。 圖 溫州永強機場新航站樓 無線網(wǎng) 網(wǎng)絡(luò) 拓撲 所有的移動客戶均通過連接無線局域網(wǎng)接入點 AP，并通過無線局域網(wǎng)接入點與無線 局域網(wǎng)安全交換機之間的加密連接，經(jīng)過無線安全交換機接入到 溫州永強機場新航站樓 核心局域網(wǎng)當中。由于所有的用戶信息均由位于網(wǎng)絡(luò)中心的無線局域網(wǎng)安全交換機來控制，因此所有的移動用戶無論處于校園的哪個樓層，均可以獲得相同的訪問控制屬性（根據(jù)用戶策略，也可以設(shè)置為不同的訪問控制屬性），并實現(xiàn)在整個校園內(nèi)部的無縫漫游。 AP 接入點能夠為多媒體應用提供可靠的服務，并配有冗余以太網(wǎng)端口，在主端口發(fā)生故障時提供備用網(wǎng)絡(luò)連接。為了提供最佳用戶體驗，該接入點根據(jù) AAA 制定的服務質(zhì)量 （ QoS） 策略、 SVP或區(qū)分服務（ DiffServ）分類，將數(shù)據(jù)流量劃分為多種用戶和用戶群隊列。該接入點不在本地儲存任何敏感信息，可在不安全的地方安全運行。用戶可用支持 wifi的終端在校園提供無線覆蓋的任何區(qū)域，實時提供高可靠高清晰的視頻服務。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 10 / 38 無線組網(wǎng)方式設(shè)計 無線控制器 ARUBA 推出業(yè)內(nèi)唯一的模塊化和可堆疊式 WiFi 交換機，適合各種行業(yè)用戶和企業(yè)環(huán)境。無線網(wǎng)絡(luò)管理人員可以便捷管理無線接入點，節(jié)省大量時間和金錢。企業(yè)能夠支持無線交換機配置各種新安全標準和新增無線服務，無線業(yè)務可以擴展至整個領(lǐng)域。 ARUBA 無線交換機在單機無線系 統(tǒng)內(nèi)含了強大的封包處理能力、 10/100/1000Mbps 以太網(wǎng)交換能力、對應各種狀態(tài)及 LAN速度防火墻、虛擬專用網(wǎng)絡(luò)（ VPN）終端、無線入侵預防和先進的 RF 管理功能。 ARUBA WiFi交換機能夠接受并處理 數(shù)據(jù)傳輸，企業(yè)現(xiàn)在可以以前所未有的方式監(jiān)控及遠程管理 RF 環(huán)境。所有 ARUBA 的 WiFi交換系統(tǒng)均支持 ARUBA 屢獲殊榮的軟件，并可無縫的整合到任何現(xiàn)有的有線網(wǎng)絡(luò)中，而無須重新進行任何邏輯或物理配置。 圖 ARUBA6000 無線控制交換機 本次工程配置 1 臺 ARUBA6000 無線控制 交換機（每臺最多可支持 512 個 AP），配置 148 個 AP Llicense。 ARUBA 6000 是 ARUBA 的旗艦產(chǎn)品，它是市場上可擴展性最高的移動控制器。 ARUBA 6000 移動擴展器有 4 個插槽，配有一個集成的策略執(zhí)行防火墻和一個基于硬件的加密引擎，具有目前所能達到的最佳性能。 ARUBA 6000 支持高達 8 Gbps 吞吐量 / Gbps 加密吞吐量、最多 72 個 10/100 Mbps 端口、超過 8000 個并發(fā)用戶，以及 4 到 512 個接入點 （ AP） 。 ARUBA 6000 交換 機通過千兆接口直接連接 溫州永強機場 網(wǎng)絡(luò)核心層的三層交換機設(shè)備。 在接入側(cè)，采用 ARUBA的 AP60/61 室內(nèi)型及室外型 作為無線接入點，通過 POE的接入交換機連接至核心交換網(wǎng)絡(luò)。 AP 和交換機之間的網(wǎng)絡(luò)結(jié)構(gòu)無需考慮，如果是 L2 結(jié)構(gòu)， AP 通過 DHCP 拿到地址后，通過廣播包找到無線控制器；如果是 L3， AP 通過 DHCP 拿到地址以后，通過 DNS 或者 HDCP的 43 屬性，獲得主用和備用的無線控制器地址，然后跟無線控制器直接通信（具體描述請見后面章節(jié)）。無線網(wǎng)絡(luò)管理員可通過中心配置的集中網(wǎng)管，對全網(wǎng)的各種 AP 和無線控制交換機 進行有效的 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 11 / 38 管理。 AP 以及下面的用戶按接入策略分配接入到無線交換機上。這種組網(wǎng)方式簡易靈活并方便擴容。未來當無線局域網(wǎng)規(guī)模需要擴大而增加 AP 數(shù)量時。 多業(yè)務區(qū)分設(shè)計 從 溫州永強機場新航站樓 的用戶分類與分布情況分析，使用無線網(wǎng)絡(luò)的用戶主要分成以下幾類： ? 機場工作人員與領(lǐng)導 ； ? 常駐機場的人員（如商戶等） ； ? 前來 交流 的 來訪人員； ? 旅客。 使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務類型。因此，建議在設(shè)計上采用無線局域網(wǎng)多 SSID技術(shù)，設(shè)置多業(yè)務區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個 SSID，例如一個 SSID 可給內(nèi)部員工所用，而另一個可給外來的 旅客 專用。由于用戶一般把 SSID 看成 VLAN，所以它們都會慣性地以 VLAN概念來劃分 SSID。其實在一個 AP 范圍內(nèi)，不管用戶連接到那一個 SSID 它們實際上都是在同一個 廣播域內(nèi)，因為無線電波的傳輸是共享。一個最簡單的例子就是 AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。 SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標 準內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP， TKIP（ WPA）， （ WPA2） 等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在的。 溫州永強機場新航站樓 可根據(jù)實際的情況和 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個 SSID，例如：一個定義為通過 WEB 門戶的方式為 旅客 使用，另一個 SSID 則為 TKIP（ WPA） 專為第三方公司或者內(nèi)部員工使用。未來的發(fā)展趨勢是新增設(shè)一個 SSID讓員工以過度的方式逐漸從轉(zhuǎn) 移到這個 SSID 上。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于 網(wǎng)絡(luò) 內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通，例如：客人 （ Gues） 使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 12 / 38 所以針對無線局域網(wǎng)多種用戶的不同業(yè)務類型應該采取不同的 SSID 進行管理和控制。 機場工作人員 、長期租用 場地的商戶和駐機場的第三方單位的工作人員 屬于學院內(nèi)的固定用戶，可以采用專門的 SSID，可以采用級別較高的認證和加密手段，對于 旅客 和來訪人員可以使用另一個 SSID，采用級別相對較低的認證 和加密手段，這樣就實現(xiàn)了區(qū)分的服務。 圖 能夠智能區(qū)分用戶及應用的網(wǎng)絡(luò)架構(gòu) 溫州永強機場新航站樓 每天都有大量的 旅客經(jīng)過 ， 同時機場 又 可能 存在著對計算機技術(shù)不是非常精通的 工作人員 ，如果強行采用 ，如何為這些人員配置復雜的客戶端軟件，將會成為難以完成的任務。建議 旅客和一般工作人員 按照通過加密的 WEB 門戶進行認證（ SSID 仍為 XXX – wireless）， ARUBA 的安全交換機可以無縫的和已有的后臺 LDAP 數(shù)據(jù)庫溝通 ， ,并可作多臺 LDAP 的認證服務器組群的相互備份。另外，可加設(shè)一個 WPA2 的 SSID（如 SSID 為 XXXtecher），為高級別的 應用及相關(guān)工作人員 提供直接訪問內(nèi)部資源的使用 。 公眾上網(wǎng)的使用流程 航站樓的無線網(wǎng)絡(luò)初步設(shè)計接入公眾上網(wǎng)的 SSID 為 wenzhouairport，設(shè)計接入商戶接入的 SSID為 wenzhoubiz，設(shè)計備份網(wǎng)絡(luò)的 SSID 為 wenzhoubackup（該網(wǎng)絡(luò)在有線網(wǎng)絡(luò)失效的時候進行激活）。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 13 / 38 常旅客和隨機旅客上網(wǎng) 當機場旅客來到公共區(qū)域或者貴賓室的時候，開啟筆記本電腦的無線網(wǎng)絡(luò)，可以搜尋并且連接航站樓的無線網(wǎng)絡(luò)系統(tǒng) wuxiairport，當打開 IE等網(wǎng)絡(luò)瀏覽器的時候，會自動彈出 Aruba 的網(wǎng)頁認證界面（認證網(wǎng)頁界面可以定制），可以有以下幾種方式來控制旅客的上網(wǎng)流程： 1） 旅客無需帳號和口令，只要填寫一個 Email郵件地址，即可登錄使用網(wǎng)絡(luò)，但是有嚴格的網(wǎng)絡(luò)訪問控制限定，無法訪問內(nèi)網(wǎng)的網(wǎng)絡(luò)資源； 2） 旅客需要填寫帳號名和密碼，該帳號和密碼通過機場內(nèi)售卡或者電子銀行等方式獲取，通過認證之后能夠接入航站樓的無線網(wǎng)絡(luò)，訪問更多的 Inter 資源，但是無法訪問內(nèi)網(wǎng)資源； 3） 如果旅客是運營商客戶，在該運營商已經(jīng)和溫州機場無線網(wǎng)絡(luò)進行 對接并且已制定商務模式（如資費等）的基礎(chǔ)之上，可以通過運營商的數(shù)據(jù)庫對旅客上網(wǎng)進行認證，決定其網(wǎng)絡(luò)使用的權(quán)限；通常來說，機場的 Inter 出口由一家運營商（如電信）提供，在這種情況下，基本上只有該運營商的客戶能夠使用其帳號在機場使用無線網(wǎng)絡(luò)，如圖 7 所示。 機 場 網(wǎng) 絡(luò)R a d i u ss e r v e rA CI n t e r n e t運 營 商 提 供的 接 入 設(shè) 備旅 客 無 線 終 端無 線 控 制 器A P 1A P 2A P 3A P 4S T A 圖 運營商客戶的上網(wǎng)方式 4） 如果是機場工作人員以及領(lǐng)導訪問機場的無線網(wǎng)絡(luò)，使用領(lǐng)導專用帳號和密碼，通過認證之后，可以在有線網(wǎng)絡(luò)的管理監(jiān)控之內(nèi)，進行內(nèi)網(wǎng)資源的訪問； 5） 如果是機場商戶，可以通過無線 網(wǎng)絡(luò) wenzhoubiz 進行接入，根據(jù)資費情況與運營模式將會設(shè)定一定的帶寬和質(zhì)量的保障，訪問 Inter，無法訪問內(nèi)網(wǎng)資源。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 14 / 38 商戶管理模式 建議以如下的模式進行溫州機場商戶 Inter 接入的管理（可用于駐場單位），溫州機場首先得到運營商包月的寬帶接入，然后通過無線網(wǎng)絡(luò)向機場商戶批發(fā)帶寬。例如，溫州無錫機場每月向電信支付一定費用，申請電信的 100M光纖專線，用于機場和 Inter 的連接；