【導讀】ARUBANetworks0of77. XXXX大學無線網(wǎng)絡。系統(tǒng)設計方案。DateOct15,2020. ARUBANetworks1of77. 目錄。.L

　　

【正文】 。 未來 當無線局域網(wǎng)規(guī)模需要擴大而增加 AP 數(shù)量時 。 對于接入交換機， 可采用任意廠家的支持 的標準 POE 交換機，本次工程 建議采用 Cisco， H3C， Nortel 的 24 口 100M POE 交換機。分別的型號為Cisco Catalyst 356024PS24 個以太網(wǎng) 10/100/1000 端口，帶 PoE， 2 個 SFP 千兆位以太網(wǎng)端口； Nortel Ether Switch 470－ 24T－ PWR 24 個以太網(wǎng) 10/100/1000端口， PoE， 2 個 SFP 千兆位以太網(wǎng)端口 ； H3C 的 S360028PPWREI： 24 個10/100BaseT以太網(wǎng)端口，帶 POE， 4 個 1000BaseX SFP 千兆以太網(wǎng)端口 。 對于匯聚交換機，建議采用 Cisco， H3C， Nortel的全光口三層交換機。分別的型號為 Cisco 3750－ 12G， Nortel Ether Routing Switch 1624G， H3C S550028FEI。 . 多業(yè)務區(qū)分設計 從 XXXX 的用戶分類與分布情況分析， 使用無線網(wǎng)絡的 用戶主要分成以下幾類： （ 1）學校教師與領導； （ 2）來訪學者或留學生； （ 3）參加交流會議領導和來訪人員； （ 4）校園一般工作人員； （ 5）長期租用學校辦公的 第三方 公司人員。 使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。因此， 建議 在設計上采用無線局域網(wǎng)多 SSID 技術，設置多業(yè)務區(qū)分方式。在一個無線局域網(wǎng)內可以設置ARUBA Networks 27 of 77 多個 SSID，例如一個 SSID 可給內部員工所用，而另一個可給外來的客戶專用。由于用戶一般把 SSID 看成 VLAN，所以它們都 會慣性地以 VLAN 概念來劃分SSID。其實在一個 AP 范圍內，不管用戶連接到那一個 SSID 它們實際上都是在同一個 廣播域內，因為無線電波的傳輸是共享。一個最簡單的例子就是AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆蓋范圍內啟動時，它就能同時看到多個 SSID。 SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設置在不同的 SSID 呢 ? 的標準內定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個 SSID 內同時存在的。 XXXX可根據(jù)實際的情況和 。最常見的做法是使用多個 SSID，例如：一個定義為 通過 WEB門戶的方式為教師 /學生 /訪客使用 ，另一個 SSID 則為 TKIP(WPA)專為 第三方公司或者 內部員工使用。未來的發(fā)展趨勢是新增設一個 SSID 讓員工以過度的方式逐漸從轉移到這個 SSID 上。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于校園網(wǎng)內的某些范圍。一般的 情況下是全網(wǎng)開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內。 所以針對無線局域網(wǎng)多種用戶的不同業(yè)務類型應該采取不同的 SSID 進行管理和控制。學校教職員工、學校工作人員和長期租用學校辦公的人員屬于學院內的固定用戶，可以采用專門的 SSID，可以采用級別較高的認證和加密手段，對于來賓和留學生、參加會議人員和來訪人員可以使用另一個 SSID，采用級別相對較低的認證和加密手段，這樣就實現(xiàn)了區(qū)分的服務。 XXXX 是一所全國知名的高等學府，每天都有 大量的外來人員在校區(qū)內活動，很多人員有移動辦公的需求；同時， 學校 又存在著大量對計算機技術不是非常精通的文科教師，如果強行采用 ，如何為這些人員配置復雜的客戶端軟件，將會成為難以完成的任務。 鑒于現(xiàn)在 XXXX 的統(tǒng)一認證門戶的建設已經(jīng)完成，大多數(shù)老師 /學生已經(jīng)形成了固定的使用習慣， 綜合多種利弊ARUBA Networks 28 of 77 因素， 建議老師 /學生 /訪客目前仍然按照通過加密的 WEB門戶進行認證（ SSID仍為 zjuwireless）， ARUBA 的安全交換機可以無縫的和已有的后臺 LDAP 數(shù)據(jù)庫溝通 ,并可作多臺 LDAP 的認證服務器組 群的相互備份 。 另外， 可 加設一個 或 WPA2 的 SSID（如 SSID 為 zjutecher） ，為 高級別的 教師或內部員工提供直接訪問內部資源的使用。 ARUBA 無線控制器內置強大的 PORTAL登錄界面可以通過網(wǎng)絡管理靈活簡潔的進行客戶化，進行廣告招商，登錄頁面推送，歡迎頁面推送等多種模式以配合 XXXX 的 商務活動策劃。 當 訪客或學生 來到 無線覆蓋區(qū)域 的時候，開啟筆記本電腦的無線網(wǎng)絡，可以搜尋并且連接 XXXX 的無線網(wǎng)絡系統(tǒng) zjuwireless，當打開 IE等網(wǎng)絡瀏覽器的時候，會自動彈出 Aruba 的網(wǎng)頁認證 界面 （界面可完全客戶化，根據(jù)客戶要求隨意定制） ，可以有以下幾種方式來控制 訪客 的上網(wǎng)流程： 訪客 需要填寫帳號名和密碼，通過認證之后能夠接入 XXXX 的無線網(wǎng)絡，訪問更多的 Inter 資源，但是無法訪問內網(wǎng)資源； ARUBA Networks 29 of 77 通過 ARUBA 6000 提供的客戶化 Web Portal 認證功能 ,可很好的為外來訪問者提供接入網(wǎng)絡的可能 。 一種為前臺人員設計的獨特的簡化用戶生成系統(tǒng)，帶有到期時間和預設接入控制的臨時客人 ID。這樣，方便靈活的完成了 ,對訪客的訪問 XXXX 網(wǎng)絡資源的要求 。 . 原有胖 AP 的整合和管理 由于 XXXX 無線網(wǎng)絡 ，部署了大量的 各個廠家 的胖 AP。由于胖 AP 單個部署，對網(wǎng)絡要求高 ，安裝困難，而且價格昂貴。而且需要的 AP 越多，管理費用就越高，價格也越貴。 處于成本的考慮，現(xiàn)有的胖 AP 仍然要使用，如果整合現(xiàn)有胖 AP 到新的瘦 AP 架構的無線網(wǎng)絡中來，顯得尤為重要。 ARUBA 深刻了解和體會到 XXXX 用戶的需求于困難，將整個無線網(wǎng)絡的演進和擴展分成兩個部分，以便很好為用戶提供投資保護和新架構下的管理和安全的新功能。 ARUBA Networks 30 of 77 首先， ARUBA 的無線控制器可以管理控制任何第三方的胖 AP。 對胖 AP下掛的用戶 提供統(tǒng)一認證，加密，以及用戶流量控制服務。 具體區(qū)別請見下圖： 由于現(xiàn)有的 XXXX 校園 網(wǎng)絡的胖 AP 都是通過二層連接直接連到 的 portal服務器，從網(wǎng)絡最小改動原則入手， ARUBA 建議不對現(xiàn)有的網(wǎng)絡進行任何改造，直接將連接 的 Portal服務器淘汰，原來連接至骨干交換機的 光纖 直接 連接至 ARUBA 6000 的千兆接口， 在這個端口設置相應的 VLAN 信息，并將 這個 端 口 在 ARUBA 交換機 中 設置為 untrust 的端口，所有 流經(jīng)此端口流量均可被 ARUBA 的無線交換機識別，并根 據(jù)設置的策略進行認證和訪問 控制 。具體原理見下圖 。 ARUBA Networks 31 of 77 整個方案對原有網(wǎng)絡幾乎沒有任何的改動，只在網(wǎng)絡中心進行了設置，簡單方便，易于實施。 所有用戶在胖 AP 和新的瘦 AP 架構下，使用不會有任何的區(qū)別，一次認證，可反復漫游，并享有相同的安全和帶寬策略。 . 無線 RF管理設計 網(wǎng)絡數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常頭痛的事情。從 RF 覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于 AP，因此對于無線網(wǎng)絡的管理，其大量工作是要在每個 AP 上進行設置和更改。其工 作量在有一定數(shù)量 AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)， AP 之間必須互協(xié)調工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間的無線電波干擾，用戶漫游重認證和授權也可能會產(chǎn)生問題。 Aruba 系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，通過無線控制器 Master Switch和 Local Switch管理模式管理整個網(wǎng)絡，網(wǎng)管人員只需在無線控制器就可ARUBA Networks 32 of 77 開通、管理、維護所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 在本次項目中配置目前只配置了一臺無線控制器 Aruba 6000，將其設為Master Switch?？梢院芊奖愕募锌毓芩邪惭b的 AP。在后續(xù)無線網(wǎng)絡規(guī)模擴大的情況下，增加控制器即可。這時采用 MasterLocal的方式部署無線控制器，仍然能夠在 Master Switch上對整個無線網(wǎng)絡設備集中控管。 Aruba 系統(tǒng)的 RF 智能控管可以自動調節(jié)網(wǎng)上所有 Aruba AP 的電波特性。 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning 的 Auto Calibration功能來自動調節(jié)整個無線網(wǎng)上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration以后 AP 和 AP 之間會自動互傳有關無線電波的信息和調整電波的參數(shù)，直到 AP之間達到了一個最優(yōu)化的無線電波運行環(huán)境。 Aruba 系統(tǒng)的 RF 智能控管可以自動對網(wǎng)上所有 Aruba AP 的無線電波管理。 當無線局域網(wǎng)經(jīng)過自動校準的調整后而正式投入網(wǎng)絡運作時，網(wǎng)絡管理員可在 Aruba 交換機內啟動 ARM 這功能，無線網(wǎng)上所有的 Aruba AP 都會在設定的時間內自行掃描其它的無線頻道。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度 非常快，所以對于在線的無線用戶（指連接到 AP 上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當 AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉送回 Aruba 無線控制器。 Aruba 無線控制器可以對整個無線網(wǎng)上的電波情況偵測和記錄。當某一覆蓋范圍內的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應用所發(fā)出的電波等， Aruba 無線控制器就會把所獲取的無線電波資料做分析，以確定是否需要調整這范圍內 AP 的無線電波。 . 無線安全性設計 . 無線網(wǎng)絡的安全保護和檢測 由于無線終端接入是沒有明確物理位置限制 的，所以管理方極難用固定的網(wǎng)絡防火墻設備來防范無線連接 (防火墻一般很少會設置在每一個接入層的數(shù)據(jù)鏈路上 )。并且網(wǎng)絡防火墻是不能防止無線終端之間的通信，所以萬一有無線終端ARUBA Networks 33 of 77 被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網(wǎng)絡內的其它網(wǎng)點。有一些 學校 為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個 DMZ內，再通過網(wǎng)絡防火墻的過濾才讓無線數(shù)據(jù)進入 校園內網(wǎng)。這種方式在具體實施時有一定的困難，只能局限在傳輸網(wǎng)內的某些范圍，因無線用戶 /終端必需集中在同一 VLAN 上處理，否則的話很難把它們 匯聚到一個 DMZ內。如果不是經(jīng)過 DMZ的話，則可能威脅到內網(wǎng)的安全，但要把在不同接入點 AP 的無線用戶 /終端和有線用戶 (在同一接入點 )完全分隔開而設置到DMZ上的同一個 VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動。且未來如要增加多一些 AP 接入點的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動。 采用傳統(tǒng)的網(wǎng)絡防火墻來實現(xiàn)無線接入安全保護的最大問題是缺乏靈活性，因它本質上不是設計來做內部的安全保護，而是用來確保外來數(shù)據(jù)進入企業(yè)內網(wǎng)是安全可靠的，所以一般都會設置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進入 學校 內網(wǎng)和 校園 內部的無線 接入的最大區(qū)別在于后者是可對用戶做認證，但前者是不可能實現(xiàn)。由于不能確認用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內部署會對用戶的內網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實現(xiàn)。要做到實施和維護簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略，ARUBA 的無線解決方案就可以徹底解決這些問題。 . 無線局域網(wǎng)的認證和加密 安全 可以說是學校 是否采用無線網(wǎng)的最主要考慮因素。網(wǎng)