【導讀】以下為本套設計參考資料的詳細文件目錄  成都某辦公樓拆除改造施工組織設計 理工大學車庫工程廠房施工組織設計 南部縣政務服務中心綜合用房遷建工程施工組織設計 南山田廈新村改造項目變壓器防護棚方案 廿三里二小學施工組織設計 山水小學施工組織設計方案(全套) 上海某模具廠辦公樓裝飾工程施工組織設計 田廈新村改造工程安全文明施工方案 田廈新村改造施工組織設計 ×××學生公寓1~3棟施工組織設計 CDB國際新城售樓處工程施工組織設計 kV石牌變電站施工組織設計 XX市某醫(yī)院綜合住院大樓施工組織設計 辦公樓裝修、供電系統(tǒng)大修工程施工組織設計 北京城鄉(xiāng)欣瑞中國廣播電視資料管 北京國際俱樂部公寓康樂中心工程施

　　

【正文】 卡，分別可以支持48 個AP 和128 個AP。當無線局域網(wǎng)規(guī)模需要擴大而增加AP 數(shù)量時，可以擴展無線交換機的板卡相應許可證，Aruba6000無線交換機SC48C1卡可以平滑的從48 個AP 支持到128個AP。Aruba 6000可以支持到256 個AP。4．2 多業(yè)務區(qū)分設計從學校的用戶分類與分布情況分析，用戶主要分成以下幾類：（1）學校教師與領導；（2）來訪學者或留學生；（3）參加交流會議領導和來訪人員；（4）園區(qū)一般工作人員；（5）長期租用學校辦公的三產(chǎn)公司人員。使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。因此，在設計上采用無線局域網(wǎng)多SSID 技術，設置多業(yè)務區(qū)分方式。在一個無線局域網(wǎng)內可以設置多個SSID，例如一個SSID可給內部員工所用，而另一個可給外來的客戶專用。由于用戶一般把SSID 看成VLAN，所以它們都會慣性地以VLAN 概念來劃分SSID。其實在一個AP 范圍內，不管用戶連接到那一個SSID 廣播域內，因為無線電波的傳輸是共享。一個最簡單的例子就是AP 把不同的SSID 名字廣播，所以當無線終端在這個AP 覆蓋范圍內啟動時，它就能同時看到多個SSID。SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。19為什么要把不同的安全加密協(xié)議設置在不同的SSID 呢? 的標準內定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個SSID 內同時存在的。 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個SSID，例如：一個定義為OPEN/Static WEP 供客戶用，另一個SSID 則為TKIP(WPA)專為內部員工使用。 SSID 讓員工以過度的方式逐漸從轉移到這個SSID 上。 的主因在于很多的無線終端現(xiàn)在，而是不可能把所有的終端一次更換成最新的軟件程序。要注意的是SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內的某些范圍。一般的情況下是全網(wǎng)開通，例如：客人(Guest)使用的SSID；但有些SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內。所以針對無線局域網(wǎng)多種用戶的不同業(yè)務類型應該采取不同的SSID進行管理和控制。學校教職員工、學校工作人員和長期租用學校辦公的人員屬于學院內的固定用戶，可以采用專門的SSID，可以采用級別較高的認證和加密手段，對于來賓和留學生、參加會議人員和來訪人員可以使用另一個SSID，采用級別相對較低的認證和加密手段，這樣就實現(xiàn)了區(qū)分的服務。4．3 網(wǎng)絡與用戶管理Aruba 無線系統(tǒng)中可以設定用戶的角色（role），每個role 可以基于用戶狀態(tài)防火墻和代理限制的設定等規(guī)則。用戶狀態(tài)訪防火墻是Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。傳統(tǒng)的網(wǎng)絡防火墻是沒有基于用戶的，它的保護只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。Aruba 的基于用戶狀態(tài)的防火墻則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個用戶可以使用SIP 的服務，而另一用戶則可用FTP。一般在防火墻策略設計中，可以將來賓和普通學生的權限設置的較低，只能訪問有限的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以做時間段的限制。20大學的教職員工以及校領導具有較高的權限，可以訪問更多的學校資源，或者對某些特殊的來賓開放某些VIP 賬號，分配給其較高權限的role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合的大學網(wǎng)絡中心的網(wǎng)絡管理需求。4．4 無線安全性設計在Aruba 無線系統(tǒng)中，可以在多個層面對系統(tǒng)構筑安全防護，其安全性設計如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應用的種類，在Aruba 無線系統(tǒng)中設置多個SSID，不同的SSID 采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。另外SSID 還可以選擇隱藏的方式，該SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。SSID 還可以選擇在某些AP 上出現(xiàn)，某些AP 上不出現(xiàn)，限制SSID 出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。（2）加密：Aruba 無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)WEP、動態(tài)WEP、TKIP、WPA、 多種加密方式，三層的加密支持IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實際需求進行選擇。（3）用戶認證提供二種方式：① WPAPSK＋captive portal+VPN。加密方式采用WPAPSK，不建議采用靜態(tài)WEP，因為有安全隱患。采用captiveportal+VPN 的認證方式，同時VPN 還具有三層的加密功能，具有更高的安全性。認證服務器的選擇比較靈活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是Aruba 交換機內置的帳戶數(shù)據(jù)庫。② WPA+ 加密方式盡量采用WPA，如果客戶端不支持也可采用動態(tài)WEP，認證服務器選擇RADIUS。（4）用戶的Role（角色）：每一類用戶可以建立一個相關的Role，每個Role 有一個用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個用戶身上。（5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設置他的訪問控制策略，比如可以訪問Internet,不能訪問圖書館的服務器，只能訪問WEB 網(wǎng)頁和收發(fā)郵件，不能運行P2P 的軟件等。21（6）帶寬控制：可以對每個用戶設定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡全部的帶寬。（7）認證系統(tǒng)支持： Aruba 無線系統(tǒng)支持多種認證系統(tǒng)，諸如Radius、LDAP、微軟的AD（活動目錄）和在Aruba 無線交換機內部的Internal DB 等等。（8）網(wǎng)絡病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線終端發(fā)出數(shù)據(jù)進行有效的檢測兩個層面來進行的。準入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設置安全策略是否準予進入網(wǎng)絡。在數(shù)據(jù)的檢測上，Aruba 無線交換機上可以設定策略，對于某些無線用戶沾染病毒的終端，Aruba 無線系統(tǒng)將其導向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。4．5 移動漫游設計無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游，Aruba 無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。L2/L3 層漫游在傳統(tǒng)的無線局域網(wǎng)內，無線終端要跨越不同AP 之間漫游是有一定的困難，因為不同AP 之間，它的無線用戶IP 子網(wǎng)可能都不是在同一個VLAN 內。所以當無線終端從一個AP 漫游到另一AP 時，由于它們之間的缺省IP 子網(wǎng)不同，無線終端會重新發(fā)出DHCP 請求，這樣的話終端的IP 地址就會更新，所有在原先AP 建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP 的技術，但Mobile IP 的缺點是它必須在無線終端安裝軟件。這是一般網(wǎng)絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。通過Aruba 無線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層IP 子網(wǎng)的無線漫游問題。當無線終端從一個AP 的IP 子網(wǎng)漫游到另一個AP 的IP 子網(wǎng)時，它重新發(fā)出的DHCP 請求，會從AP 端的Aruba 無線交換機轉發(fā)到原有子網(wǎng)的無線交換機(用戶從那一個AP 獲取它的IP 地址)。用戶的原交換機會告知用戶漫游到的Aruba 交換機繼續(xù)保持用戶的原有的IP 地址。無線用戶已漫游到另一個IP 子網(wǎng)，但它仍可以原有的IP 地址繼續(xù)在新的22AP 上入網(wǎng)。代理DHCP 的優(yōu)點是無要在用戶終端安裝任何軟件就可讓終端無縫的在不同IP 子網(wǎng)之間漫游。C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5跨IP子網(wǎng)的交替連接 語音不會中斷子網(wǎng)1子網(wǎng)2D H C P1 0 . 1 . 1 . 11 . 根據(jù)V L A N 的連接用戶從D H C P 服務器接收到一個IP 地址122 . 當用戶轉移到新的IP 子網(wǎng)時會發(fā)出另一D H C P 請求5 . 當用戶漫游跨越A r u b a 交換機時線路連接不會中斷33 . 透過p r o x y D H C P , A r u b a ’ s交換機更改請求使終端維持原來的IP a d d r e s s1 0 . 1 . 1 . 144 . 在新的IP 子網(wǎng)內， 用戶接收到原有的IP 地址I P I P T u n n e lA r u b a A P在不同域之間的用戶認證和漫游在大型網(wǎng)絡內，一般都有很多不同的部門，部門內通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認證服務器。在實現(xiàn)應用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無線用戶應是可在內無縫漫游。當用戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持Radius 代理這樣的功能。但由于不是所有的認證服務器都支持這種功能所以在具體實施時也有一定的困難。Aruba 本身就可提供不同域之間的認證功能，域名可以與SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。Aruba 會把在不同域之間的認證請求轉發(fā)到對應這域的radius 服務器處理。23五、XXXX 無線局域網(wǎng)系統(tǒng)建議5．1 無線覆蓋建議根據(jù)無線網(wǎng)絡需求及園區(qū)內實地的了解，并結合以往的工程經(jīng)驗，對無線網(wǎng)絡覆蓋做出以下規(guī)劃：（給出無線接入點部署規(guī)劃圖，總結設備需求清單）5．2 無線組網(wǎng)實現(xiàn)Aruba 6000 交換機，放置在網(wǎng)絡機房，Aruba 6000 無線交換機可以最多可支持512個AP 的接入和管理，完全滿足園區(qū)無線覆蓋的需求，并留有充足的擴展余量。Aruba 6000交換機集中匯集AP 的接入和控管。無線交換機和AP 的連接可以穿透三層網(wǎng)絡設備，因此，無線網(wǎng)絡不影響原有網(wǎng)絡的結構，可以實現(xiàn)全網(wǎng)的無線漫游。Aruba 公司的60/61 系列 AP ，具有Aruba AP 的各種安全和管理功能，Aruba 交換機可以完全使用管理Aruba AP 的管理方式一樣來管理該款新型AP，實現(xiàn)所有Aruba 提供的安全和管理功能。無線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖所示:閱覽室住宅樓辦公樓會議中心辦公樓Aruba6000三層交換機主交換機園區(qū)網(wǎng)/Internet24AP 的供電可以采用單獨的PoE 供電設備（與原有的普通樓層交換機配合，不用添加新的POE 交換機），用于AP 數(shù)據(jù)接入和供電，又不增加過多的成本。無線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內的任何一處，即便是在沒有安裝有線網(wǎng)絡信息點的地方，也可以很方便地進行可視化的音視頻教學和召開各種需要使用網(wǎng)絡音視頻的會議。在無線網(wǎng)絡音視頻會議教學系統(tǒng)的支持下，在校的留學生、教師和行政辦公人員以及與會的來賓等，就可以利用其所攜帶的筆記本電腦或是配置有無線網(wǎng)絡適配器的PC 機，在學校內的任何一個地方上網(wǎng)與世界的任何一地進行信息交流、教學或媒體演示。教師和學生以及學生也可以隨時查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個多方位的可視化的遠程多媒體教學環(huán)境。5．3 網(wǎng)絡用戶與應用管理實現(xiàn)從學校的上網(wǎng)用戶類型與應用類型情況分析，用戶主要有：（1）學校教職員工；（2）來訪學者和學生；（3）參加會議人員和來訪人員；（4）學校工作人員；（5）長期租用學校辦公的人員。應用主要有：（1）多媒體與網(wǎng)絡教學；（2）各種學術報告與會議需要的移動VoIP（音視頻）；（3）移動業(yè)務辦公；（4）訪問Internet。采用Aruba 無線系統(tǒng)的多SSID 結構的管理技術將不同類型的用戶和應用劃分到不同的SSID 中，賦予不同的訪問規(guī)則與權限以及配置不同的管理策略。在方案實現(xiàn)上使用多個SSID：一個供學生用戶和來賓使用，可以不用加密，只做基于WEB 的接入認證，另一個SSID 供學校教職員工和工作人員使用，該SSID 被配置為隱含，不廣播出來，采用WPA 加密＋ 認證方式，確保此類用戶安全性。音視頻會議應用使用專門的SSID。只出現(xiàn)在需要提供這類應用服務的AP 上，其他AP 都沒有該SSID，用戶也就無從使用該SSID 訪問網(wǎng)絡，保證無線網(wǎng)絡的安全性。將訪問策略中的語音業(yè)務和視頻業(yè)務的應用優(yōu)先級提到最高，以確保這些服務的質量。25綜上所述，無線局域網(wǎng)系統(tǒng)共開設多個SSID。2 個SSID 用于數(shù)據(jù)應用，分別對應2類用戶，另外2 個SSID 有選擇的出現(xiàn)在某些AP 上，分別提供語音和視頻的服務。并同時采用不同的認證、加密和安全控管的手段，以方便的實現(xiàn)網(wǎng)絡安全和管理。5．4 多媒體以及音視頻應用的實現(xiàn)在會議廳、報告廳實現(xiàn)無線覆蓋，可以建立Aruba 的無線音視頻會議網(wǎng)絡系統(tǒng)平臺。考慮到會議廳、報告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時需要考慮接入容量因素。在這個平臺上為各種會議、報告提供無線音視頻會議系統(tǒng)，會議的組織者可以在這個平臺上方便地、靈活地使用音視頻會議系統(tǒng)，為會議參加者提供豐富地文字、語音、視頻會議服務，為主持會議者與參會者提供一個互動服務。Aruba 無線系統(tǒng)以其技術先進的帶寬控制和Qos 管理功