【導(dǎo)讀】建設(shè)安全、移動(dòng)，自主管理的。智慧型上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)

　　

【正文】 ARUBA AC7200 無(wú)線控制器提供的 IPv4/v6 雙棧無(wú)線網(wǎng)絡(luò)服務(wù)主要包括以下幾個(gè)部 分： ? 基于 IPv4/v6 雙棧的路由和交換服務(wù) ARUBA 無(wú) 線控制器支持 IPv4 和 IPv6 路由功能，不僅能夠作為無(wú)線用戶的 IPv4 網(wǎng)關(guān)，為無(wú)線用戶提供 IPv4 路由交換服務(wù)；而且還支持 IPv6 鄰居發(fā)現(xiàn)協(xié) 議，能夠向無(wú)線用戶發(fā)送 IPv6 路由通告 (Router Advertisement)，實(shí)現(xiàn)無(wú)線用戶無(wú) 狀態(tài)獲取 IPv6 地址，并提供 IPv6 路由交換服務(wù)。 ? 基于 Web Portal 的 IPv4/v6 用戶身份認(rèn)證 ARUBA 無(wú) 線控制器可以截獲未認(rèn)證 IPv4/v6 用戶的 Http 和 Https 請(qǐng)求，并 將其重定向到 Portal 認(rèn) 證頁(yè)面，對(duì)未認(rèn)證 IPv4/v6 用戶進(jìn)行身份驗(yàn)證。 ? 基于用戶角色的 IPv4/v6 防火墻策略 根據(jù) Web Portal 認(rèn)證 的 結(jié)果以及從 Radius 認(rèn)證系統(tǒng)返回的用戶屬 性， ARUBA 無(wú) 線控制器為每個(gè) IPv4/v6 用戶分配相應(yīng)的角色，并實(shí)施 IPv4/v6 防火 墻策略。 ? 基于 IPv4/v6 的網(wǎng)絡(luò)管理和系統(tǒng)日志 ARUBA 無(wú) 線控制器提供基于 IPv4/v6 的網(wǎng)絡(luò)管理功能，網(wǎng)絡(luò)管理員可以通 過(guò) IPv4/v6 網(wǎng)絡(luò)直接訪問(wèn)無(wú)線控制器的 IPv4/v6 管理服務(wù)接口，并通過(guò) IPv4/v6 日 志服務(wù)器接收來(lái)自無(wú)線控制器的系統(tǒng)日志。 Aruba7200 無(wú)線控制器的 IPv4 和 IPv6 接口及路由配置表格如下。 VLAN 名稱 ARUBA7200 控制器 VLAN ID IPv4 地址 /掩 碼 IPv4 網(wǎng)關(guān)地 址 IPv6 地址 /掩 碼 IPv6 網(wǎng)關(guān)地 址 Mgmt VLAN Master: Local1: Local2: User VLAN Master: Local1: Page 26 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 Local2: 電梯 轎 廂的 無(wú) 線覆 蓋 設(shè)計(jì) 為了實(shí)現(xiàn)無(wú)線的全覆蓋，我們提出兩種電梯轎廂內(nèi)的無(wú)線覆蓋。 電梯轎廂的金屬對(duì)無(wú)線信號(hào)具有相當(dāng)強(qiáng)的屏蔽作用，因此 建議將 AP 直接部署在每個(gè) 電梯轎廂的頂部，實(shí)現(xiàn)電梯內(nèi)部的信號(hào)覆蓋。 AP 與移動(dòng)控制器之間的連接有多種實(shí)現(xiàn)方法。 1. 利用電梯轎廂的兩芯備用電話線傳輸。 AP 與移動(dòng)控制器之間的連接則可以借用電梯隨行電纜中的兩芯備用電話線，通過(guò)在 轎廂和電梯機(jī)房?jī)?nèi)分別配置一臺(tái) xDSL 調(diào)制解調(diào)器，將以太網(wǎng)信號(hào)調(diào)制到這一對(duì)電話線 上，然后再由兩側(cè)的 xDSL 調(diào)制解調(diào)器分別連接轎廂內(nèi)的無(wú)線接入點(diǎn)以及相應(yīng)弱電間內(nèi)的 接入交換機(jī)。具體連接如下圖所示。 Page 27 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 目前下 xDSL 的最高下行可以達(dá)到 55M，上行 15M 能夠滿足電梯內(nèi)用戶的帶寬需求， 特點(diǎn)是比較穩(wěn)定。 2. 采用無(wú)線 Mesh 連接。 可以在電梯內(nèi)部署兩個(gè) AP， 5G 頻段進(jìn)行無(wú)線互連的方式實(shí)現(xiàn) AP 到 AC 的連接。因?yàn)? 電梯轎廂非靜止的，并且速度在變化。因此這種部署方式數(shù)據(jù)通信效果非常不 穩(wěn) 定，帶寬 的隨著電梯的移動(dòng)距離和速度變化。 Page 28 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 用戶 接 入管 理 設(shè)計(jì) 無(wú)線用 戶 接入流 程 設(shè)計(jì) 在無(wú)線校園網(wǎng)絡(luò)常用的認(rèn)證方式中 ， Web Portal 認(rèn)證由于直接使用標(biāo)準(zhǔn)瀏覽器進(jìn) 行，不需要安裝額外的認(rèn)證客戶端，非常適合用戶數(shù)量龐大、終端類型各異的校園無(wú)線環(huán) 境，因而受到幾乎所有的無(wú)線校園網(wǎng)絡(luò)管理員和用戶的青睞。 在上饒師范學(xué)院無(wú)線校園網(wǎng)絡(luò)中，為了廣大教職工、學(xué)生以及外來(lái)訪客的接入以及策 略控制，考慮在 SRSY 這個(gè)無(wú)線信號(hào)上采用 Web Portal 方式進(jìn)行用戶身份認(rèn)證。 Aruba 以 用戶為中心的網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)了在單一 SSID 網(wǎng)絡(luò)中實(shí)現(xiàn)實(shí)現(xiàn)多運(yùn)營(yíng)商工作。 Aruba 提出的以 UserCentric 的網(wǎng)絡(luò)架構(gòu)，安全性的策略是和用戶綁定在 一起的， 而不是和物理位置相關(guān)的，用戶無(wú)論在任何位置出現(xiàn)在校園里都能夠很方便地訪問(wèn)到校園 的應(yīng)用。 上饒師范學(xué)院校園網(wǎng)主要采用開(kāi)放 WEB 認(rèn)證，終端用戶在進(jìn)行身份認(rèn)證前就獲得了 IP 地址，各個(gè)運(yùn)營(yíng)單位無(wú)法通過(guò) IP 地址來(lái)區(qū)分終端的流量性質(zhì)，無(wú)法通過(guò) IP 地址來(lái)進(jìn) 行安全設(shè)計(jì)、流量統(tǒng)計(jì)。 Aruba 無(wú)線架構(gòu)以網(wǎng)絡(luò)用戶為中心，無(wú)線管理的對(duì)象不依賴于 IP 地址、 VLAN 編號(hào)。 Aruba 無(wú)線架構(gòu)可以通過(guò)用戶角色 Role 來(lái)實(shí)現(xiàn)上述功能。 1. 基于角色 的 路由 。 Aruba 無(wú)線架構(gòu)能夠?qū)崿F(xiàn)基于角 色的路由策略?？梢愿鶕?jù)用戶帳號(hào) 性質(zhì)來(lái)選擇下一跳。如果學(xué)生開(kāi)通了中國(guó)電信互聯(lián)網(wǎng)服務(wù)，在學(xué)生輸入用戶名和密碼 后，該用戶流量被策略路由到中國(guó)電信路由器。 2. 基于角色 的 安全策略 。 不同的用戶帳號(hào)獲得不同的權(quán)限，諸如：中國(guó)電信帳號(hào)，只能 訪問(wèn)互聯(lián)網(wǎng)，不能訪問(wèn)校園網(wǎng)；學(xué)生帳號(hào)沒(méi)有開(kāi)通互聯(lián)網(wǎng)服務(wù)只能訪問(wèn)校園網(wǎng)絡(luò)，不 能訪問(wèn)互聯(lián)網(wǎng)；教師帳號(hào)可以訪問(wèn)校園網(wǎng)、也可以通過(guò)學(xué)校自有出口訪問(wèn)互聯(lián)網(wǎng)。 Page 29 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 3. 采用統(tǒng)一 認(rèn) 證計(jì)費(fèi)系 統(tǒng) 為學(xué)校和 運(yùn) 營(yíng)商提供 服 務(wù)，提供 集 中統(tǒng)一的 門 戶。改善 了 用 戶 的體驗(yàn)。 個(gè) 性 化 的服 務(wù) 具備了統(tǒng) 一的入 口 。 ? 無(wú)線用戶連接 SRSY 無(wú)線信號(hào)，并從 ARUBA7200 無(wú)線控制器得到無(wú)線用戶的初始角 色（ SRSY logon） ? 無(wú)線用戶打開(kāi)瀏覽器，發(fā)起 Http 請(qǐng)求，該請(qǐng)求被 ARUBA7200 無(wú)線控制器重定向到 無(wú)線校園網(wǎng) Web Portal 認(rèn)證頁(yè)面（建議放置在校園網(wǎng)內(nèi)的 Web 服務(wù)器上，以便于 日后根據(jù)校園應(yīng)用的信息發(fā)布的需要隨時(shí)進(jìn)行修改，由第三方提供） ? 無(wú)線用 戶 在 Web 門 戶上輸 入 用戶帳 號(hào) 、密碼 ， 通 過(guò) Https 以加 密 方式發(fā) 送 到 Radius 服務(wù)器進(jìn)行 認(rèn)證。 Page 30 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 ? Radius 服務(wù)器判別 用 戶輸入帳 號(hào) ， 如果是 各 自運(yùn)營(yíng)商 帳 號(hào)將為用 戶 返回不同的 角 色。用戶角色產(chǎn)生目的只是進(jìn)行路由選擇，將用戶推送到不同運(yùn)營(yíng)上進(jìn)行單 獨(dú) 認(rèn) 證。 1) 電信用 戶 teleuser。 帳號(hào)性質(zhì)：開(kāi)通了電信帳號(hào)的學(xué)生用戶，可以 訪問(wèn)校園網(wǎng)，只能通過(guò)電信出口訪問(wèn)互聯(lián)網(wǎng)，由中國(guó)電信單獨(dú)計(jì)費(fèi)。帳號(hào) 路由：流量被策略路由到中國(guó)電信門戶網(wǎng)站，進(jìn)行再認(rèn)證。 2) 中國(guó)移動(dòng) 用戶 CMCCuser。 帳號(hào) 性 質(zhì)：開(kāi)通了移動(dòng)帳號(hào)的學(xué)生用戶，可以 訪問(wèn)校園網(wǎng)，只能通過(guò)中國(guó)移動(dòng)訪問(wèn)互聯(lián)網(wǎng)，由 中國(guó)移動(dòng)單獨(dú)計(jì)費(fèi)。帳號(hào) 路由：流量被策略路由到中國(guó)移動(dòng)門戶網(wǎng)站，進(jìn)行再認(rèn)證。 3) 中國(guó)聯(lián) 通 戶 Uniuser。 開(kāi)通了 聯(lián)通 帳號(hào) 的學(xué) 生用 戶， 可以 訪問(wèn) 校 園 網(wǎng)，只能通過(guò)中國(guó)聯(lián)通訪問(wèn)互聯(lián)網(wǎng)，由中國(guó)聯(lián)通單獨(dú)計(jì)費(fèi)。帳號(hào)路由：流 量被策略路由到中國(guó)聯(lián)通門戶網(wǎng)站，進(jìn)行再認(rèn)證。 4) Studentuser 帳號(hào) 。 在學(xué) 校 網(wǎng) 絡(luò) 中心 申 請(qǐng) 了 互聯(lián) 網(wǎng) 服 務(wù) ，希 望 通 過(guò) 學(xué) 校 出口訪 問(wèn) 外網(wǎng) 。 帳 號(hào)路 由： 流量 被策 略路 由到 學(xué)校 出口 路由 器直 接進(jìn) 行 互聯(lián)網(wǎng)訪問(wèn)，開(kāi)啟計(jì)費(fèi)等功能。 5) Teacheruser 帳 號(hào) 。 免費(fèi) 登 錄 校 園無(wú) 線 網(wǎng) ， 可以 訪 問(wèn) 校 內(nèi)資 源 和 通過(guò) 學(xué) 校自有鏈路訪問(wèn)互聯(lián)網(wǎng)。 ARUBA7200 無(wú)線控制器根據(jù)認(rèn)證過(guò)程中獲得的用 戶屬性的對(duì)用戶身份進(jìn)行判定，并修改無(wú)線用戶在控制器中的角色，同時(shí) 應(yīng)用與該角色相對(duì)應(yīng)的帶寬策略和安全策略。 6) 沒(méi) 有 開(kāi) 通任 何 運(yùn) 營(yíng) 商服 務(wù) 的 Internaluser。 Radius 服 務(wù)器 進(jìn) 行 用 戶 認(rèn) 證 ， 認(rèn) 證 通 過(guò) 后 獲 得 免 費(fèi) 登 錄 校 園 無(wú) 線 網(wǎng) ， 只 能 訪 問(wèn) 校 內(nèi) 資 源 。 ARUBA7200 無(wú)線控制器根據(jù)認(rèn)證過(guò)程中獲得的用戶屬性的對(duì)用戶身份進(jìn)行 判定，并修改無(wú)線用 戶在控制器中的角色，同時(shí)應(yīng)用與該角色相對(duì)應(yīng)的帶 寬策略和安全策略。 Page 31 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 ? ARUBA7200 無(wú)線控制器根據(jù)用戶角色將通過(guò) Web Portal 認(rèn)證后的無(wú)線用戶 Http 請(qǐng) 求重定向到與其身份角色（教師、學(xué)生）相對(duì)應(yīng)的歡迎和信息發(fā)布頁(yè)面 ? 無(wú)線用戶在與身份相對(duì)應(yīng)的安全接入策略（訪問(wèn)權(quán)限 、 帶寬權(quán) 限 、會(huì)話 數(shù) 權(quán)限、 QoS 策略以及路由策略等）控制下訪問(wèn)各種網(wǎng)絡(luò)資源。 ? 臨時(shí)訪客通過(guò) Aruba ClearPass Guest 產(chǎn)生帳號(hào)，通過(guò)學(xué)校出口上網(wǎng)。 用戶上 下 線流程 設(shè) 計(jì) ? 用戶上線 1. 用戶首 先關(guān) 聯(lián)到 SRSY 這個(gè) SSID， 獲得地 址和 初始角色 logon。這個(gè) logon 角色只能 訪問(wèn) Portal 服務(wù)器 。其 他任何 地址 不可以 訪問(wèn) 。 2. 用戶打開(kāi) IE 等瀏覽 器 ， AC 將用 戶 流量重 定向 到學(xué)校 Portal 服務(wù)器。 Page 32 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 3. 用戶輸 入用 戶名和 密碼， Portal Server 去訪問(wèn) 學(xué) 校認(rèn)證 系統(tǒng) ，比如 LDAP 服務(wù)器 。 讀 取器分 組屬 性。識(shí) 別用 戶的屬 性。 返回不 同角 色。 4. 下面以 移動(dòng) 運(yùn)營(yíng)商 為例 介紹后 續(xù)移 動(dòng)二次 認(rèn) 證 。 5. 無(wú)線控 制器 根據(jù)用 戶獲 得的角 色， 如 cmccuser，被強(qiáng) 制路 由下一 條是 移動(dòng) Bras 設(shè) 備。以 及強(qiáng) 制用戶 HTTP 流量再 次 彈出 cmcc 的 認(rèn)證頁(yè) 面 。 6. 用戶在移動(dòng) Portal 服務(wù)器，輸 入用 戶名和 密碼 。 7. Portal 服務(wù)器傳遞 用戶 名和密 碼到 移動(dòng) Radius。 8. Radius 認(rèn) 證 通過(guò)后 ，返 回用戶 認(rèn)證 通過(guò)信 息 。 9. 移動(dòng)開(kāi) 始進(jìn) 行單獨(dú) 計(jì)費(fèi) 。 Page 33 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 用戶下線 10. 用戶發(fā) 起注 銷請(qǐng)求。 11. Portal Server 發(fā)起注 銷指 令給 Radius。 12. Radius 通過(guò) DM 指令 將 用戶下 線， 并改變 角色 。 13. 記帳結(jié) 束 。 14. 用戶下 線成 功。 關(guān)于移動(dòng)下線過(guò)程類似，不在描述。 基于終 端 類型的 Portal 頁(yè)面設(shè)計(jì) 隨著近年來(lái) iPhone、 iPod、 iPad、 Android、 Blackberry 等各種智能移動(dòng)終端的日益 普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。作為一個(gè)智能的網(wǎng)絡(luò)，必須能夠考慮到不 同的終端類型、屏幕尺寸對(duì) Portal 認(rèn)證頁(yè)面的不同要求，實(shí)時(shí)地 對(duì)各種終端類型進(jìn)行識(shí) 別，并推送差異化的 Web Portal 頁(yè)面。 ARUBA 無(wú)線控制器支持基于終端 DHCP 指紋的終端識(shí)別功能，能夠自動(dòng)識(shí)別出終端設(shè) 備的類型，并根據(jù)終端類型分配不同的角色、權(quán)限以及不同的 Portal 認(rèn)證頁(yè)面。以下示 Page 34 上饒師范學(xué)院無(wú)線網(wǎng)絡(luò)設(shè)計(jì)方案 例為正在實(shí)施過(guò)程中的上海交通大學(xué)無(wú)線校園網(wǎng)的 Web Portal 認(rèn)證頁(yè)面，其中圖 1 為筆 記本電腦連接網(wǎng)絡(luò)時(shí)獲得的認(rèn)證頁(yè)面，圖 2 為 iPhone、 Android、 Blackberry 等智能手機(jī) 終端連接無(wú)線網(wǎng)絡(luò)時(shí)獲得的認(rèn)證頁(yè)面。 圖 1： 筆記本電腦認(rèn)證頁(yè)面