【導(dǎo)讀】ARUBANetworks0of77. XXXX大學(xué)無線網(wǎng)絡(luò)。系統(tǒng)設(shè)計方案。DateOct15,2020. ARUBANetworks1of77. 目錄。.L

　　

【正文】 。 未來 當(dāng)無線局域網(wǎng)規(guī)模需要擴(kuò)大而增加 AP 數(shù)量時 。 對于接入交換機(jī)， 可采用任意廠家的支持 的標(biāo)準(zhǔn) POE 交換機(jī)，本次工程 建議采用 Cisco， H3C， Nortel 的 24 口 100M POE 交換機(jī)。分別的型號為Cisco Catalyst 356024PS24 個以太網(wǎng) 10/100/1000 端口，帶 PoE， 2 個 SFP 千兆位以太網(wǎng)端口； Nortel Ether Switch 470－ 24T－ PWR 24 個以太網(wǎng) 10/100/1000端口， PoE， 2 個 SFP 千兆位以太網(wǎng)端口 ； H3C 的 S360028PPWREI： 24 個10/100BaseT以太網(wǎng)端口，帶 POE， 4 個 1000BaseX SFP 千兆以太網(wǎng)端口 。 對于匯聚交換機(jī)，建議采用 Cisco， H3C， Nortel的全光口三層交換機(jī)。分別的型號為 Cisco 3750－ 12G， Nortel Ether Routing Switch 1624G， H3C S550028FEI。 . 多業(yè)務(wù)區(qū)分設(shè)計 從 XXXX 的用戶分類與分布情況分析， 使用無線網(wǎng)絡(luò)的 用戶主要分成以下幾類： （ 1）學(xué)校教師與領(lǐng)導(dǎo)； （ 2）來訪學(xué)者或留學(xué)生； （ 3）參加交流會議領(lǐng)導(dǎo)和來訪人員； （ 4）校園一般工作人員； （ 5）長期租用學(xué)校辦公的 第三方 公司人員。 使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。因此， 建議 在設(shè)計上采用無線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設(shè)置ARUBA Networks 27 of 77 多個 SSID，例如一個 SSID 可給內(nèi)部員工所用，而另一個可給外來的客戶專用。由于用戶一般把 SSID 看成 VLAN，所以它們都 會慣性地以 VLAN 概念來劃分SSID。其實(shí)在一個 AP 范圍內(nèi)，不管用戶連接到那一個 SSID 它們實(shí)際上都是在同一個 廣播域內(nèi)，因為無線電波的傳輸是共享。一個最簡單的例子就是AP 把不同的 SSID 名字廣播，所以當(dāng)無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。 SSID 的最主要用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在的。 XXXX可根據(jù)實(shí)際的情況和 。最常見的做法是使用多個 SSID，例如：一個定義為 通過 WEB門戶的方式為教師 /學(xué)生 /訪客使用 ，另一個 SSID 則為 TKIP(WPA)專為 第三方公司或者 內(nèi)部員工使用。未來的發(fā)展趨勢是新增設(shè)一個 SSID 讓員工以過度的方式逐漸從轉(zhuǎn)移到這個 SSID 上。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于校園網(wǎng)內(nèi)的某些范圍。一般的 情況下是全網(wǎng)開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。 所以針對無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID 進(jìn)行管理和控制。學(xué)校教職員工、學(xué)校工作人員和長期租用學(xué)校辦公的人員屬于學(xué)院內(nèi)的固定用戶，可以采用專門的 SSID，可以采用級別較高的認(rèn)證和加密手段，對于來賓和留學(xué)生、參加會議人員和來訪人員可以使用另一個 SSID，采用級別相對較低的認(rèn)證和加密手段，這樣就實(shí)現(xiàn)了區(qū)分的服務(wù)。 XXXX 是一所全國知名的高等學(xué)府，每天都有 大量的外來人員在校區(qū)內(nèi)活動，很多人員有移動辦公的需求；同時， 學(xué)校 又存在著大量對計算機(jī)技術(shù)不是非常精通的文科教師，如果強(qiáng)行采用 ，如何為這些人員配置復(fù)雜的客戶端軟件，將會成為難以完成的任務(wù)。 鑒于現(xiàn)在 XXXX 的統(tǒng)一認(rèn)證門戶的建設(shè)已經(jīng)完成，大多數(shù)老師 /學(xué)生已經(jīng)形成了固定的使用習(xí)慣， 綜合多種利弊ARUBA Networks 28 of 77 因素， 建議老師 /學(xué)生 /訪客目前仍然按照通過加密的 WEB門戶進(jìn)行認(rèn)證（ SSID仍為 zjuwireless）， ARUBA 的安全交換機(jī)可以無縫的和已有的后臺 LDAP 數(shù)據(jù)庫溝通 ,并可作多臺 LDAP 的認(rèn)證服務(wù)器組 群的相互備份 。 另外， 可 加設(shè)一個 或 WPA2 的 SSID（如 SSID 為 zjutecher） ，為 高級別的 教師或內(nèi)部員工提供直接訪問內(nèi)部資源的使用。 ARUBA 無線控制器內(nèi)置強(qiáng)大的 PORTAL登錄界面可以通過網(wǎng)絡(luò)管理靈活簡潔的進(jìn)行客戶化，進(jìn)行廣告招商，登錄頁面推送，歡迎頁面推送等多種模式以配合 XXXX 的 商務(wù)活動策劃。 當(dāng) 訪客或?qū)W生 來到 無線覆蓋區(qū)域 的時候，開啟筆記本電腦的無線網(wǎng)絡(luò)，可以搜尋并且連接 XXXX 的無線網(wǎng)絡(luò)系統(tǒng) zjuwireless，當(dāng)打開 IE等網(wǎng)絡(luò)瀏覽器的時候，會自動彈出 Aruba 的網(wǎng)頁認(rèn)證 界面 （界面可完全客戶化，根據(jù)客戶要求隨意定制） ，可以有以下幾種方式來控制 訪客 的上網(wǎng)流程： 訪客 需要填寫帳號名和密碼，通過認(rèn)證之后能夠接入 XXXX 的無線網(wǎng)絡(luò)，訪問更多的 Inter 資源，但是無法訪問內(nèi)網(wǎng)資源； ARUBA Networks 29 of 77 通過 ARUBA 6000 提供的客戶化 Web Portal 認(rèn)證功能 ,可很好的為外來訪問者提供接入網(wǎng)絡(luò)的可能 。 一種為前臺人員設(shè)計的獨(dú)特的簡化用戶生成系統(tǒng)，帶有到期時間和預(yù)設(shè)接入控制的臨時客人 ID。這樣，方便靈活的完成了 ,對訪客的訪問 XXXX 網(wǎng)絡(luò)資源的要求 。 . 原有胖 AP 的整合和管理 由于 XXXX 無線網(wǎng)絡(luò) ，部署了大量的 各個廠家 的胖 AP。由于胖 AP 單個部署，對網(wǎng)絡(luò)要求高 ，安裝困難，而且價格昂貴。而且需要的 AP 越多，管理費(fèi)用就越高，價格也越貴。 處于成本的考慮，現(xiàn)有的胖 AP 仍然要使用，如果整合現(xiàn)有胖 AP 到新的瘦 AP 架構(gòu)的無線網(wǎng)絡(luò)中來，顯得尤為重要。 ARUBA 深刻了解和體會到 XXXX 用戶的需求于困難，將整個無線網(wǎng)絡(luò)的演進(jìn)和擴(kuò)展分成兩個部分，以便很好為用戶提供投資保護(hù)和新架構(gòu)下的管理和安全的新功能。 ARUBA Networks 30 of 77 首先， ARUBA 的無線控制器可以管理控制任何第三方的胖 AP。 對胖 AP下掛的用戶 提供統(tǒng)一認(rèn)證，加密，以及用戶流量控制服務(wù)。 具體區(qū)別請見下圖： 由于現(xiàn)有的 XXXX 校園 網(wǎng)絡(luò)的胖 AP 都是通過二層連接直接連到 的 portal服務(wù)器，從網(wǎng)絡(luò)最小改動原則入手， ARUBA 建議不對現(xiàn)有的網(wǎng)絡(luò)進(jìn)行任何改造，直接將連接 的 Portal服務(wù)器淘汰，原來連接至骨干交換機(jī)的 光纖 直接 連接至 ARUBA 6000 的千兆接口， 在這個端口設(shè)置相應(yīng)的 VLAN 信息，并將 這個 端 口 在 ARUBA 交換機(jī) 中 設(shè)置為 untrust 的端口，所有 流經(jīng)此端口流量均可被 ARUBA 的無線交換機(jī)識別，并根 據(jù)設(shè)置的策略進(jìn)行認(rèn)證和訪問 控制 。具體原理見下圖 。 ARUBA Networks 31 of 77 整個方案對原有網(wǎng)絡(luò)幾乎沒有任何的改動，只在網(wǎng)絡(luò)中心進(jìn)行了設(shè)置，簡單方便，易于實(shí)施。 所有用戶在胖 AP 和新的瘦 AP 架構(gòu)下，使用不會有任何的區(qū)別，一次認(rèn)證，可反復(fù)漫游，并享有相同的安全和帶寬策略。 . 無線 RF管理設(shè)計 網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常頭痛的事情。從 RF 覆蓋面，帶寬，用戶的認(rèn)證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于 AP，因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個 AP 上進(jìn)行設(shè)置和更改。其工 作量在有一定數(shù)量 AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)， AP 之間必須互協(xié)調(diào)工作，單獨(dú)改變一個 AP 參數(shù)和配置會引起 AP 之間的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會產(chǎn)生問題。 Aruba 系統(tǒng)具有非常強(qiáng)的無線局域網(wǎng)集中管理功能，通過無線控制器 Master Switch和 Local Switch管理模式管理整個網(wǎng)絡(luò)，網(wǎng)管人員只需在無線控制器就可ARUBA Networks 32 of 77 開通、管理、維護(hù)所有 AP 設(shè)備以及移動終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動漫游以及接入用戶。 在本次項目中配置目前只配置了一臺無線控制器 Aruba 6000，將其設(shè)為Master Switch?？梢院芊奖愕募锌毓芩邪惭b的 AP。在后續(xù)無線網(wǎng)絡(luò)規(guī)模擴(kuò)大的情況下，增加控制器即可。這時采用 MasterLocal的方式部署無線控制器，仍然能夠在 Master Switch上對整個無線網(wǎng)絡(luò)設(shè)備集中控管。 Aruba 系統(tǒng)的 RF 智能控管可以自動調(diào)節(jié)網(wǎng)上所有 Aruba AP 的電波特性。 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning 的 Auto Calibration功能來自動調(diào)節(jié)整個無線網(wǎng)上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration以后 AP 和 AP 之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到 AP之間達(dá)到了一個最優(yōu)化的無線電波運(yùn)行環(huán)境。 Aruba 系統(tǒng)的 RF 智能控管可以自動對網(wǎng)上所有 Aruba AP 的無線電波管理。 當(dāng)無線局域網(wǎng)經(jīng)過自動校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運(yùn)作時，網(wǎng)絡(luò)管理員可在 Aruba 交換機(jī)內(nèi)啟動 ARM 這功能，無線網(wǎng)上所有的 Aruba AP 都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度 非?？欤詫τ谠诰€的無線用戶（指連接到 AP 上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當(dāng) AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回 Aruba 無線控制器。 Aruba 無線控制器可以對整個無線網(wǎng)上的電波情況偵測和記錄。當(dāng)某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等， Aruba 無線控制器就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 . 無線安全性設(shè)計 . 無線網(wǎng)絡(luò)的安全保護(hù)和檢測 由于無線終端接入是沒有明確物理位置限制 的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接 (防火墻一般很少會設(shè)置在每一個接入層的數(shù)據(jù)鏈路上 )。并且網(wǎng)絡(luò)防火墻是不能防止無線終端之間的通信，所以萬一有無線終端ARUBA Networks 33 of 77 被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些 學(xué)校 為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個 DMZ內(nèi)，再通過網(wǎng)絡(luò)防火墻的過濾才讓無線數(shù)據(jù)進(jìn)入 校園內(nèi)網(wǎng)。這種方式在具體實(shí)施時有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶 /終端必需集中在同一 VLAN 上處理，否則的話很難把它們 匯聚到一個 DMZ內(nèi)。如果不是經(jīng)過 DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn) AP 的無線用戶 /終端和有線用戶 (在同一接入點(diǎn) )完全分隔開而設(shè)置到DMZ上的同一個 VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動。且未來如要增加多一些 AP 接入點(diǎn)的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動。 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)無線接入安全保護(hù)的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計來做內(nèi)部的安全保護(hù)，而是用來確保外來數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入 學(xué)校 內(nèi)網(wǎng)和 校園 內(nèi)部的無線 接入的最大區(qū)別在于后者是可對用戶做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內(nèi)部署會對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略，ARUBA 的無線解決方案就可以徹底解決這些問題。 . 無線局域網(wǎng)的認(rèn)證和加密 安全 可以說是學(xué)校 是否采用無線網(wǎng)的最主要考慮因素。網(wǎng)