【導讀】建設(shè)安全、移動，自主管理的。智慧型上饒師范學院無線網(wǎng)絡(luò)

　　

【正文】 ARUBA AC7200 無線控制器提供的 IPv4/v6 雙棧無線網(wǎng)絡(luò)服務(wù)主要包括以下幾個部 分： ? 基于 IPv4/v6 雙棧的路由和交換服務(wù) ARUBA 無 線控制器支持 IPv4 和 IPv6 路由功能，不僅能夠作為無線用戶的 IPv4 網(wǎng)關(guān)，為無線用戶提供 IPv4 路由交換服務(wù)；而且還支持 IPv6 鄰居發(fā)現(xiàn)協(xié) 議，能夠向無線用戶發(fā)送 IPv6 路由通告 (Router Advertisement)，實現(xiàn)無線用戶無 狀態(tài)獲取 IPv6 地址，并提供 IPv6 路由交換服務(wù)。 ? 基于 Web Portal 的 IPv4/v6 用戶身份認證 ARUBA 無 線控制器可以截獲未認證 IPv4/v6 用戶的 Http 和 Https 請求，并 將其重定向到 Portal 認 證頁面，對未認證 IPv4/v6 用戶進行身份驗證。 ? 基于用戶角色的 IPv4/v6 防火墻策略 根據(jù) Web Portal 認證 的 結(jié)果以及從 Radius 認證系統(tǒng)返回的用戶屬 性， ARUBA 無 線控制器為每個 IPv4/v6 用戶分配相應的角色，并實施 IPv4/v6 防火 墻策略。 ? 基于 IPv4/v6 的網(wǎng)絡(luò)管理和系統(tǒng)日志 ARUBA 無 線控制器提供基于 IPv4/v6 的網(wǎng)絡(luò)管理功能，網(wǎng)絡(luò)管理員可以通 過 IPv4/v6 網(wǎng)絡(luò)直接訪問無線控制器的 IPv4/v6 管理服務(wù)接口，并通過 IPv4/v6 日 志服務(wù)器接收來自無線控制器的系統(tǒng)日志。 Aruba7200 無線控制器的 IPv4 和 IPv6 接口及路由配置表格如下。 VLAN 名稱 ARUBA7200 控制器 VLAN ID IPv4 地址 /掩 碼 IPv4 網(wǎng)關(guān)地 址 IPv6 地址 /掩 碼 IPv6 網(wǎng)關(guān)地 址 Mgmt VLAN Master: Local1: Local2: User VLAN Master: Local1: Page 26 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 Local2: 電梯 轎 廂的 無 線覆 蓋 設(shè)計 為了實現(xiàn)無線的全覆蓋，我們提出兩種電梯轎廂內(nèi)的無線覆蓋。 電梯轎廂的金屬對無線信號具有相當強的屏蔽作用，因此 建議將 AP 直接部署在每個 電梯轎廂的頂部，實現(xiàn)電梯內(nèi)部的信號覆蓋。 AP 與移動控制器之間的連接有多種實現(xiàn)方法。 1. 利用電梯轎廂的兩芯備用電話線傳輸。 AP 與移動控制器之間的連接則可以借用電梯隨行電纜中的兩芯備用電話線，通過在 轎廂和電梯機房內(nèi)分別配置一臺 xDSL 調(diào)制解調(diào)器，將以太網(wǎng)信號調(diào)制到這一對電話線 上，然后再由兩側(cè)的 xDSL 調(diào)制解調(diào)器分別連接轎廂內(nèi)的無線接入點以及相應弱電間內(nèi)的 接入交換機。具體連接如下圖所示。 Page 27 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 目前下 xDSL 的最高下行可以達到 55M，上行 15M 能夠滿足電梯內(nèi)用戶的帶寬需求， 特點是比較穩(wěn)定。 2. 采用無線 Mesh 連接。 可以在電梯內(nèi)部署兩個 AP， 5G 頻段進行無線互連的方式實現(xiàn) AP 到 AC 的連接。因為 電梯轎廂非靜止的，并且速度在變化。因此這種部署方式數(shù)據(jù)通信效果非常不 穩(wěn) 定，帶寬 的隨著電梯的移動距離和速度變化。 Page 28 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 用戶 接 入管 理 設(shè)計 無線用 戶 接入流 程 設(shè)計 在無線校園網(wǎng)絡(luò)常用的認證方式中 ， Web Portal 認證由于直接使用標準瀏覽器進 行，不需要安裝額外的認證客戶端，非常適合用戶數(shù)量龐大、終端類型各異的校園無線環(huán) 境，因而受到幾乎所有的無線校園網(wǎng)絡(luò)管理員和用戶的青睞。 在上饒師范學院無線校園網(wǎng)絡(luò)中，為了廣大教職工、學生以及外來訪客的接入以及策 略控制，考慮在 SRSY 這個無線信號上采用 Web Portal 方式進行用戶身份認證。 Aruba 以 用戶為中心的網(wǎng)絡(luò)設(shè)計實現(xiàn)了在單一 SSID 網(wǎng)絡(luò)中實現(xiàn)實現(xiàn)多運營商工作。 Aruba 提出的以 UserCentric 的網(wǎng)絡(luò)架構(gòu)，安全性的策略是和用戶綁定在 一起的， 而不是和物理位置相關(guān)的，用戶無論在任何位置出現(xiàn)在校園里都能夠很方便地訪問到校園 的應用。 上饒師范學院校園網(wǎng)主要采用開放 WEB 認證，終端用戶在進行身份認證前就獲得了 IP 地址，各個運營單位無法通過 IP 地址來區(qū)分終端的流量性質(zhì)，無法通過 IP 地址來進 行安全設(shè)計、流量統(tǒng)計。 Aruba 無線架構(gòu)以網(wǎng)絡(luò)用戶為中心，無線管理的對象不依賴于 IP 地址、 VLAN 編號。 Aruba 無線架構(gòu)可以通過用戶角色 Role 來實現(xiàn)上述功能。 1. 基于角色 的 路由 。 Aruba 無線架構(gòu)能夠?qū)崿F(xiàn)基于角 色的路由策略?？梢愿鶕?jù)用戶帳號 性質(zhì)來選擇下一跳。如果學生開通了中國電信互聯(lián)網(wǎng)服務(wù)，在學生輸入用戶名和密碼 后，該用戶流量被策略路由到中國電信路由器。 2. 基于角色 的 安全策略 。 不同的用戶帳號獲得不同的權(quán)限，諸如：中國電信帳號，只能 訪問互聯(lián)網(wǎng)，不能訪問校園網(wǎng)；學生帳號沒有開通互聯(lián)網(wǎng)服務(wù)只能訪問校園網(wǎng)絡(luò)，不 能訪問互聯(lián)網(wǎng)；教師帳號可以訪問校園網(wǎng)、也可以通過學校自有出口訪問互聯(lián)網(wǎng)。 Page 29 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 3. 采用統(tǒng)一 認 證計費系 統(tǒng) 為學校和 運 營商提供 服 務(wù)，提供 集 中統(tǒng)一的 門 戶。改善 了 用 戶 的體驗。 個 性 化 的服 務(wù) 具備了統(tǒng) 一的入 口 。 ? 無線用戶連接 SRSY 無線信號，并從 ARUBA7200 無線控制器得到無線用戶的初始角 色（ SRSY logon） ? 無線用戶打開瀏覽器，發(fā)起 Http 請求，該請求被 ARUBA7200 無線控制器重定向到 無線校園網(wǎng) Web Portal 認證頁面（建議放置在校園網(wǎng)內(nèi)的 Web 服務(wù)器上，以便于 日后根據(jù)校園應用的信息發(fā)布的需要隨時進行修改，由第三方提供） ? 無線用 戶 在 Web 門 戶上輸 入 用戶帳 號 、密碼 ， 通 過 Https 以加 密 方式發(fā) 送 到 Radius 服務(wù)器進行 認證。 Page 30 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 ? Radius 服務(wù)器判別 用 戶輸入帳 號 ， 如果是 各 自運營商 帳 號將為用 戶 返回不同的 角 色。用戶角色產(chǎn)生目的只是進行路由選擇，將用戶推送到不同運營上進行單 獨 認 證。 1) 電信用 戶 teleuser。 帳號性質(zhì)：開通了電信帳號的學生用戶，可以 訪問校園網(wǎng)，只能通過電信出口訪問互聯(lián)網(wǎng)，由中國電信單獨計費。帳號 路由：流量被策略路由到中國電信門戶網(wǎng)站，進行再認證。 2) 中國移動 用戶 CMCCuser。 帳號 性 質(zhì)：開通了移動帳號的學生用戶，可以 訪問校園網(wǎng)，只能通過中國移動訪問互聯(lián)網(wǎng)，由 中國移動單獨計費。帳號 路由：流量被策略路由到中國移動門戶網(wǎng)站，進行再認證。 3) 中國聯(lián) 通 戶 Uniuser。 開通了 聯(lián)通 帳號 的學 生用 戶， 可以 訪問 校 園 網(wǎng)，只能通過中國聯(lián)通訪問互聯(lián)網(wǎng)，由中國聯(lián)通單獨計費。帳號路由：流 量被策略路由到中國聯(lián)通門戶網(wǎng)站，進行再認證。 4) Studentuser 帳號 。 在學 校 網(wǎng) 絡(luò) 中心 申 請 了 互聯(lián) 網(wǎng) 服 務(wù) ，希 望 通 過 學 校 出口訪 問 外網(wǎng) 。 帳 號路 由： 流量 被策 略路 由到 學校 出口 路由 器直 接進 行 互聯(lián)網(wǎng)訪問，開啟計費等功能。 5) Teacheruser 帳 號 。 免費 登 錄 校 園無 線 網(wǎng) ， 可以 訪 問 校 內(nèi)資 源 和 通過 學 校自有鏈路訪問互聯(lián)網(wǎng)。 ARUBA7200 無線控制器根據(jù)認證過程中獲得的用 戶屬性的對用戶身份進行判定，并修改無線用戶在控制器中的角色，同時 應用與該角色相對應的帶寬策略和安全策略。 6) 沒 有 開 通任 何 運 營 商服 務(wù) 的 Internaluser。 Radius 服 務(wù)器 進 行 用 戶 認 證 ， 認 證 通 過 后 獲 得 免 費 登 錄 校 園 無 線 網(wǎng) ， 只 能 訪 問 校 內(nèi) 資 源 。 ARUBA7200 無線控制器根據(jù)認證過程中獲得的用戶屬性的對用戶身份進行 判定，并修改無線用 戶在控制器中的角色，同時應用與該角色相對應的帶 寬策略和安全策略。 Page 31 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 ? ARUBA7200 無線控制器根據(jù)用戶角色將通過 Web Portal 認證后的無線用戶 Http 請 求重定向到與其身份角色（教師、學生）相對應的歡迎和信息發(fā)布頁面 ? 無線用戶在與身份相對應的安全接入策略（訪問權(quán)限 、 帶寬權(quán) 限 、會話 數(shù) 權(quán)限、 QoS 策略以及路由策略等）控制下訪問各種網(wǎng)絡(luò)資源。 ? 臨時訪客通過 Aruba ClearPass Guest 產(chǎn)生帳號，通過學校出口上網(wǎng)。 用戶上 下 線流程 設(shè) 計 ? 用戶上線 1. 用戶首 先關(guān) 聯(lián)到 SRSY 這個 SSID， 獲得地 址和 初始角色 logon。這個 logon 角色只能 訪問 Portal 服務(wù)器 。其 他任何 地址 不可以 訪問 。 2. 用戶打開 IE 等瀏覽 器 ， AC 將用 戶 流量重 定向 到學校 Portal 服務(wù)器。 Page 32 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 3. 用戶輸 入用 戶名和 密碼， Portal Server 去訪問 學 校認證 系統(tǒng) ，比如 LDAP 服務(wù)器 。 讀 取器分 組屬 性。識 別用 戶的屬 性。 返回不 同角 色。 4. 下面以 移動 運營商 為例 介紹后 續(xù)移 動二次 認 證 。 5. 無線控 制器 根據(jù)用 戶獲 得的角 色， 如 cmccuser，被強 制路 由下一 條是 移動 Bras 設(shè) 備。以 及強 制用戶 HTTP 流量再 次 彈出 cmcc 的 認證頁 面 。 6. 用戶在移動 Portal 服務(wù)器，輸 入用 戶名和 密碼 。 7. Portal 服務(wù)器傳遞 用戶 名和密 碼到 移動 Radius。 8. Radius 認 證 通過后 ，返 回用戶 認證 通過信 息 。 9. 移動開 始進 行單獨 計費 。 Page 33 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 用戶下線 10. 用戶發(fā) 起注 銷請求。 11. Portal Server 發(fā)起注 銷指 令給 Radius。 12. Radius 通過 DM 指令 將 用戶下 線， 并改變 角色 。 13. 記帳結(jié) 束 。 14. 用戶下 線成 功。 關(guān)于移動下線過程類似，不在描述。 基于終 端 類型的 Portal 頁面設(shè)計 隨著近年來 iPhone、 iPod、 iPad、 Android、 Blackberry 等各種智能移動終端的日益 普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。作為一個智能的網(wǎng)絡(luò)，必須能夠考慮到不 同的終端類型、屏幕尺寸對 Portal 認證頁面的不同要求，實時地 對各種終端類型進行識 別，并推送差異化的 Web Portal 頁面。 ARUBA 無線控制器支持基于終端 DHCP 指紋的終端識別功能，能夠自動識別出終端設(shè) 備的類型，并根據(jù)終端類型分配不同的角色、權(quán)限以及不同的 Portal 認證頁面。以下示 Page 34 上饒師范學院無線網(wǎng)絡(luò)設(shè)計方案 例為正在實施過程中的上海交通大學無線校園網(wǎng)的 Web Portal 認證頁面，其中圖 1 為筆 記本電腦連接網(wǎng)絡(luò)時獲得的認證頁面，圖 2 為 iPhone、 Android、 Blackberry 等智能手機 終端連接無線網(wǎng)絡(luò)時獲得的認證頁面。 圖 1： 筆記本電腦認證頁面