【導(dǎo)讀】以下為本套設(shè)計(jì)參考資料的詳細(xì)文件目錄  成都某辦公樓拆除改造施工組織設(shè)計(jì) 理工大學(xué)車庫(kù)工程廠房施工組織設(shè)計(jì) 南部縣政務(wù)服務(wù)中心綜合用房遷建工程施工組織設(shè)計(jì) 南山田廈新村改造項(xiàng)目變壓器防護(hù)棚方案 廿三里二小學(xué)施工組織設(shè)計(jì) 山水小學(xué)施工組織設(shè)計(jì)方案(全套) 上海某模具廠辦公樓裝飾工程施工組織設(shè)計(jì) 田廈新村改造工程安全文明施工方案 田廈新村改造施工組織設(shè)計(jì) ×××學(xué)生公寓1~3棟施工組織設(shè)計(jì) CDB國(guó)際新城售樓處工程施工組織設(shè)計(jì) kV石牌變電站施工組織設(shè)計(jì) XX市某醫(yī)院綜合住院大樓施工組織設(shè)計(jì) 辦公樓裝修、供電系統(tǒng)大修工程施工組織設(shè)計(jì) 北京城鄉(xiāng)欣瑞中國(guó)廣播電視資料管 北京國(guó)際俱樂(lè)部公寓康樂(lè)中心工程施

　　

【正文】 卡，分別可以支持48 個(gè)AP 和128 個(gè)AP。當(dāng)無(wú)線局域網(wǎng)規(guī)模需要擴(kuò)大而增加AP 數(shù)量時(shí)，可以擴(kuò)展無(wú)線交換機(jī)的板卡相應(yīng)許可證，Aruba6000無(wú)線交換機(jī)SC48C1卡可以平滑的從48 個(gè)AP 支持到128個(gè)AP。Aruba 6000可以支持到256 個(gè)AP。4．2 多業(yè)務(wù)區(qū)分設(shè)計(jì)從學(xué)校的用戶分類與分布情況分析，用戶主要分成以下幾類：（1）學(xué)校教師與領(lǐng)導(dǎo)；（2）來(lái)訪學(xué)者或留學(xué)生；（3）參加交流會(huì)議領(lǐng)導(dǎo)和來(lái)訪人員；（4）園區(qū)一般工作人員；（5）長(zhǎng)期租用學(xué)校辦公的三產(chǎn)公司人員。使用無(wú)線網(wǎng)絡(luò)可以分為不同的無(wú)線接入業(yè)務(wù)類型。因此，在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。在一個(gè)無(wú)線局域網(wǎng)內(nèi)可以設(shè)置多個(gè)SSID，例如一個(gè)SSID可給內(nèi)部員工所用，而另一個(gè)可給外來(lái)的客戶專用。由于用戶一般把SSID 看成VLAN，所以它們都會(huì)慣性地以VLAN 概念來(lái)劃分SSID。其實(shí)在一個(gè)AP 范圍內(nèi)，不管用戶連接到那一個(gè)SSID 廣播域內(nèi)，因?yàn)闊o(wú)線電波的傳輸是共享。一個(gè)最簡(jiǎn)單的例子就是AP 把不同的SSID 名字廣播，所以當(dāng)無(wú)線終端在這個(gè)AP 覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè)SSID。SSID 的最主要用途是可讓無(wú)線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。19為什么要把不同的安全加密協(xié)議設(shè)置在不同的SSID 呢? 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù)據(jù)包的封裝格式，所以在用戶的無(wú)線接入使用不同的加密程式，例如：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個(gè)SSID 內(nèi)同時(shí)存在的。 發(fā)展來(lái)制定以怎樣方式來(lái)實(shí)現(xiàn)無(wú)線加密。最常見(jiàn)的做法是使用多個(gè)SSID，例如：一個(gè)定義為OPEN/Static WEP 供客戶用，另一個(gè)SSID 則為TKIP(WPA)專為內(nèi)部員工使用。 SSID 讓員工以過(guò)度的方式逐漸從轉(zhuǎn)移到這個(gè)SSID 上。 的主因在于很多的無(wú)線終端現(xiàn)在，而是不可能把所有的終端一次更換成最新的軟件程序。要注意的是SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開(kāi)通，例如：客人(Guest)使用的SSID；但有些SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會(huì)局限在某些范圍內(nèi)。所以針對(duì)無(wú)線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的SSID進(jìn)行管理和控制。學(xué)校教職員工、學(xué)校工作人員和長(zhǎng)期租用學(xué)校辦公的人員屬于學(xué)院內(nèi)的固定用戶，可以采用專門的SSID，可以采用級(jí)別較高的認(rèn)證和加密手段，對(duì)于來(lái)賓和留學(xué)生、參加會(huì)議人員和來(lái)訪人員可以使用另一個(gè)SSID，采用級(jí)別相對(duì)較低的認(rèn)證和加密手段，這樣就實(shí)現(xiàn)了區(qū)分的服務(wù)。4．3 網(wǎng)絡(luò)與用戶管理Aruba 無(wú)線系統(tǒng)中可以設(shè)定用戶的角色（role），每個(gè)role 可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。用戶狀態(tài)訪防火墻是Aruba 無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有基于用戶的，它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效很小。Aruba 的基于用戶狀態(tài)的防火墻則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的防火墻策略，不同的無(wú)線用戶有不同的防火墻策略，例如一個(gè)用戶可以使用SIP 的服務(wù)，而另一用戶則可用FTP。一般在防火墻策略設(shè)計(jì)中，可以將來(lái)賓和普通學(xué)生的權(quán)限設(shè)置的較低，只能訪問(wèn)有限的資源，且優(yōu)先級(jí)較低，并且有帶寬的限制，甚至可以做時(shí)間段的限制。20大學(xué)的教職員工以及校領(lǐng)導(dǎo)具有較高的權(quán)限，可以訪問(wèn)更多的學(xué)校資源，或者對(duì)某些特殊的來(lái)賓開(kāi)放某些VIP 賬號(hào)，分配給其較高權(quán)限的role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合的大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。4．4 無(wú)線安全性設(shè)計(jì)在Aruba 無(wú)線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在Aruba 無(wú)線系統(tǒng)中設(shè)置多個(gè)SSID，不同的SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外SSID 還可以選擇隱藏的方式，該SSID 不廣播，用戶無(wú)法看到，防止非法用戶的連接企圖。SSID 還可以選擇在某些AP 上出現(xiàn)，某些AP 上不出現(xiàn)，限制SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。（2）加密：Aruba 無(wú)線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)WEP、動(dòng)態(tài)WEP、TKIP、WPA、 多種加密方式，三層的加密支持IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。（3）用戶認(rèn)證提供二種方式：① WPAPSK＋captive portal+VPN。加密方式采用WPAPSK，不建議采用靜態(tài)WEP，因?yàn)橛邪踩[患。采用captiveportal+VPN 的認(rèn)證方式，同時(shí)VPN 還具有三層的加密功能，具有更高的安全性。認(rèn)證服務(wù)器的選擇比較靈活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是Aruba 交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫(kù)。② WPA+ 加密方式盡量采用WPA，如果客戶端不支持也可采用動(dòng)態(tài)WEP，認(rèn)證服務(wù)器選擇RADIUS。（4）用戶的Role（角色）：每一類用戶可以建立一個(gè)相關(guān)的Role，每個(gè)Role 有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。（5）用戶狀態(tài)防火墻：用戶通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶設(shè)置他的訪問(wèn)控制策略，比如可以訪問(wèn)Internet,不能訪問(wèn)圖書館的服務(wù)器，只能訪問(wèn)WEB 網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行P2P 的軟件等。21（6）帶寬控制：可以對(duì)每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。（7）認(rèn)證系統(tǒng)支持： Aruba 無(wú)線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如Radius、LDAP、微軟的AD（活動(dòng)目錄）和在Aruba 無(wú)線交換機(jī)內(nèi)部的Internal DB 等等。（8）網(wǎng)絡(luò)病毒的防護(hù)：無(wú)線終端病毒防護(hù)的可以從無(wú)線終端的準(zhǔn)入檢查以及對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢測(cè)兩個(gè)層面來(lái)進(jìn)行的。準(zhǔn)入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測(cè)上，Aruba 無(wú)線交換機(jī)上可以設(shè)定策略，對(duì)于某些無(wú)線用戶沾染病毒的終端，Aruba 無(wú)線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。4．5 移動(dòng)漫游設(shè)計(jì)無(wú)線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無(wú)縫漫游，Aruba 無(wú)線局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫漫游功能。L2/L3 層漫游在傳統(tǒng)的無(wú)線局域網(wǎng)內(nèi)，無(wú)線終端要跨越不同AP 之間漫游是有一定的困難，因?yàn)椴煌珹P 之間，它的無(wú)線用戶IP 子網(wǎng)可能都不是在同一個(gè)VLAN 內(nèi)。所以當(dāng)無(wú)線終端從一個(gè)AP 漫游到另一AP 時(shí)，由于它們之間的缺省IP 子網(wǎng)不同，無(wú)線終端會(huì)重新發(fā)出DHCP 請(qǐng)求，這樣的話終端的IP 地址就會(huì)更新，所有在原先AP 建立的連接都會(huì)被切斷。過(guò)去為了解決跨越三層的漫游，有些用戶采用了Mobile IP 的技術(shù)，但Mobile IP 的缺點(diǎn)是它必須在無(wú)線終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無(wú)線接入端。通過(guò)Aruba 無(wú)線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層IP 子網(wǎng)的無(wú)線漫游問(wèn)題。當(dāng)無(wú)線終端從一個(gè)AP 的IP 子網(wǎng)漫游到另一個(gè)AP 的IP 子網(wǎng)時(shí)，它重新發(fā)出的DHCP 請(qǐng)求，會(huì)從AP 端的Aruba 無(wú)線交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無(wú)線交換機(jī)(用戶從那一個(gè)AP 獲取它的IP 地址)。用戶的原交換機(jī)會(huì)告知用戶漫游到的Aruba 交換機(jī)繼續(xù)保持用戶的原有的IP 地址。無(wú)線用戶已漫游到另一個(gè)IP 子網(wǎng)，但它仍可以原有的IP 地址繼續(xù)在新的22AP 上入網(wǎng)。代理DHCP 的優(yōu)點(diǎn)是無(wú)要在用戶終端安裝任何軟件就可讓終端無(wú)縫的在不同IP 子網(wǎng)之間漫游。C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5跨IP子網(wǎng)的交替連接 語(yǔ)音不會(huì)中斷子網(wǎng)1子網(wǎng)2D H C P1 0 . 1 . 1 . 11 . 根據(jù)V L A N 的連接用戶從D H C P 服務(wù)器接收到一個(gè)IP 地址122 . 當(dāng)用戶轉(zhuǎn)移到新的IP 子網(wǎng)時(shí)會(huì)發(fā)出另一D H C P 請(qǐng)求5 . 當(dāng)用戶漫游跨越A r u b a 交換機(jī)時(shí)線路連接不會(huì)中斷33 . 透過(guò)p r o x y D H C P , A r u b a ’ s交換機(jī)更改請(qǐng)求使終端維持原來(lái)的IP a d d r e s s1 0 . 1 . 1 . 144 . 在新的IP 子網(wǎng)內(nèi)， 用戶接收到原有的IP 地址I P I P T u n n e lA r u b a A P在不同域之間的用戶認(rèn)證和漫游在大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫(kù)，即所謂的本地認(rèn)證服務(wù)器。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫(kù)是未必可行的，但同時(shí)無(wú)線用戶應(yīng)是可在內(nèi)無(wú)縫漫游。當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話，則用戶會(huì)被斷線。要做到真正的無(wú)縫漫游，則需要有支持Radius 代理這樣的功能。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。Aruba 本身就可提供不同域之間的認(rèn)證功能，域名可以與SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁(yè)時(shí)輸入或選擇域名。Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的radius 服務(wù)器處理。23五、XXXX 無(wú)線局域網(wǎng)系統(tǒng)建議5．1 無(wú)線覆蓋建議根據(jù)無(wú)線網(wǎng)絡(luò)需求及園區(qū)內(nèi)實(shí)地的了解，并結(jié)合以往的工程經(jīng)驗(yàn)，對(duì)無(wú)線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃：（給出無(wú)線接入點(diǎn)部署規(guī)劃圖，總結(jié)設(shè)備需求清單）5．2 無(wú)線組網(wǎng)實(shí)現(xiàn)Aruba 6000 交換機(jī)，放置在網(wǎng)絡(luò)機(jī)房，Aruba 6000 無(wú)線交換機(jī)可以最多可支持512個(gè)AP 的接入和管理，完全滿足園區(qū)無(wú)線覆蓋的需求，并留有充足的擴(kuò)展余量。Aruba 6000交換機(jī)集中匯集AP 的接入和控管。無(wú)線交換機(jī)和AP 的連接可以穿透三層網(wǎng)絡(luò)設(shè)備，因此，無(wú)線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)，可以實(shí)現(xiàn)全網(wǎng)的無(wú)線漫游。Aruba 公司的60/61 系列 AP ，具有Aruba AP 的各種安全和管理功能，Aruba 交換機(jī)可以完全使用管理Aruba AP 的管理方式一樣來(lái)管理該款新型AP，實(shí)現(xiàn)所有Aruba 提供的安全和管理功能。無(wú)線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖所示:閱覽室住宅樓辦公樓會(huì)議中心辦公樓Aruba6000三層交換機(jī)主交換機(jī)園區(qū)網(wǎng)/Internet24AP 的供電可以采用單獨(dú)的PoE 供電設(shè)備（與原有的普通樓層交換機(jī)配合，不用添加新的POE 交換機(jī)），用于AP 數(shù)據(jù)接入和供電，又不增加過(guò)多的成本。無(wú)線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內(nèi)的任何一處，即便是在沒(méi)有安裝有線網(wǎng)絡(luò)信息點(diǎn)的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開(kāi)各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。在無(wú)線網(wǎng)絡(luò)音視頻會(huì)議教學(xué)系統(tǒng)的支持下，在校的留學(xué)生、教師和行政辦公人員以及與會(huì)的來(lái)賓等，就可以利用其所攜帶的筆記本電腦或是配置有無(wú)線網(wǎng)絡(luò)適配器的PC 機(jī)，在學(xué)校內(nèi)的任何一個(gè)地方上網(wǎng)與世界的任何一地進(jìn)行信息交流、教學(xué)或媒體演示。教師和學(xué)生以及學(xué)生也可以隨時(shí)查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。5．3 網(wǎng)絡(luò)用戶與應(yīng)用管理實(shí)現(xiàn)從學(xué)校的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有：（1）學(xué)校教職員工；（2）來(lái)訪學(xué)者和學(xué)生；（3）參加會(huì)議人員和來(lái)訪人員；（4）學(xué)校工作人員；（5）長(zhǎng)期租用學(xué)校辦公的人員。應(yīng)用主要有：（1）多媒體與網(wǎng)絡(luò)教學(xué)；（2）各種學(xué)術(shù)報(bào)告與會(huì)議需要的移動(dòng)VoIP（音視頻）；（3）移動(dòng)業(yè)務(wù)辦公；（4）訪問(wèn)Internet。采用Aruba 無(wú)線系統(tǒng)的多SSID 結(jié)構(gòu)的管理技術(shù)將不同類型的用戶和應(yīng)用劃分到不同的SSID 中，賦予不同的訪問(wèn)規(guī)則與權(quán)限以及配置不同的管理策略。在方案實(shí)現(xiàn)上使用多個(gè)SSID：一個(gè)供學(xué)生用戶和來(lái)賓使用，可以不用加密，只做基于WEB 的接入認(rèn)證，另一個(gè)SSID 供學(xué)校教職員工和工作人員使用，該SSID 被配置為隱含，不廣播出來(lái)，采用WPA 加密＋ 認(rèn)證方式，確保此類用戶安全性。音視頻會(huì)議應(yīng)用使用專門的SSID。只出現(xiàn)在需要提供這類應(yīng)用服務(wù)的AP 上，其他AP 都沒(méi)有該SSID，用戶也就無(wú)從使用該SSID 訪問(wèn)網(wǎng)絡(luò)，保證無(wú)線網(wǎng)絡(luò)的安全性。將訪問(wèn)策略中的語(yǔ)音業(yè)務(wù)和視頻業(yè)務(wù)的應(yīng)用優(yōu)先級(jí)提到最高，以確保這些服務(wù)的質(zhì)量。25綜上所述，無(wú)線局域網(wǎng)系統(tǒng)共開(kāi)設(shè)多個(gè)SSID。2 個(gè)SSID 用于數(shù)據(jù)應(yīng)用，分別對(duì)應(yīng)2類用戶，另外2 個(gè)SSID 有選擇的出現(xiàn)在某些AP 上，分別提供語(yǔ)音和視頻的服務(wù)。并同時(shí)采用不同的認(rèn)證、加密和安全控管的手段，以方便的實(shí)現(xiàn)網(wǎng)絡(luò)安全和管理。5．4 多媒體以及音視頻應(yīng)用的實(shí)現(xiàn)在會(huì)議廳、報(bào)告廳實(shí)現(xiàn)無(wú)線覆蓋，可以建立Aruba 的無(wú)線音視頻會(huì)議網(wǎng)絡(luò)系統(tǒng)平臺(tái)?？紤]到會(huì)議廳、報(bào)告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時(shí)需要考慮接入容量因素。在這個(gè)平臺(tái)上為各種會(huì)議、報(bào)告提供無(wú)線音視頻會(huì)議系統(tǒng)，會(huì)議的組織者可以在這個(gè)平臺(tái)上方便地、靈活地使用音視頻會(huì)議系統(tǒng)，為會(huì)議參加者提供豐富地文字、語(yǔ)音、視頻會(huì)議服務(wù)，為主持會(huì)議者與參會(huì)者提供一個(gè)互動(dòng)服務(wù)。Aruba 無(wú)線系統(tǒng)以其技術(shù)先進(jìn)的帶寬控制和Qos 管理功