【導讀】出口帶寬為千兆，公網出口帶寬為100兆，IPv6出口帶寬為千兆，教師上網用戶3000余人，校園網覆蓋了全部教學科研區(qū)和學生宿舍區(qū)，校園網共擁有80. 個C類約20480個IPv4地址和IPv6地址。校園網在技術層面、信息安全層面及用。戶上網行為管理等層面都具備了良好的可控制性和可管理性，用戶采用認證方式上網。和信息的重要途徑之一，校園網對學校辦公、教學、科研起著重要的支撐作用。校園無線局網是在校園有線網的基礎上加以無線擴充（即采用AP將無線網絡。目前XX大學校園有線網已達到了相當?shù)母采w范圍，可。供、、，提供可供實際應用的穩(wěn)定網絡通訊服務。單個AP用戶并發(fā)數(shù)<20個。AP必須支持通過af兼容的POE交換機供電；不低于總數(shù)量95%的AP使用POE交換機接入校園網；AP內置必須具有無線用戶的隔離功能,防止在公共區(qū)域無線用戶間的信息泄露；境檢測覆蓋漏洞，自動調節(jié)無線射頻發(fā)射功率以適應物理環(huán)境。在滿足要求的基礎之上，需要考慮用戶突發(fā)的特性。

　　

【正文】 分配必須采用 VLSM 技術，保證 IP 地址的利用效率。 采用 CIDR 技術，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網絡中廣播的路由信息的大小。 充分合理利用已申請的地址空間，提高地址的利用效率。 簡單一致性：地址分配力求簡單，分配規(guī)則力求一致，便于日后對 IP 地址的管理。 考慮同時接入無線網絡的人數(shù)，建議考慮為用戶 IP 地址分配 8 個 C 的地址段?？蛻舳薎P 地址分配方式建議采用 DHCP 方式。 . 客戶端 VLAN 規(guī)劃 一般廠家的無線網 絡產品在園區(qū)網規(guī)劃時都需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。 由于 ARUBA的 AP 是通過 GRE 的隧道連接到 ARUBA交換機上，所以 ARUBA產品在規(guī)劃上可以完全不改變園區(qū)網原有的網絡結構，同時實現(xiàn)無縫的二三層漫游。并且所有的AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網對 AP 所在的 VLAN(AP 為網絡設備 )和無線用戶所在的 VLAN 是沒有明確的區(qū)分。 第一代無線組網無論對無線用戶、 AP 和網絡的管理都有一定困難，而且很容易造成混亂。對網絡管理而然，網絡設備的 VLAN/IP 子網應當和用戶是分開，這樣才可確保正常網絡運行和維護。但在具體實施時，很多為了方便都會把 AP 和無線用戶設置在XX 大學無線網絡建設項目技術方案 第 47 頁 同一個 VLAN 內。這種組網方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網的 SSID為局域網的 VLAN。 VLAN 和無線 SSID 的關系 一般用戶都誤解無線局域網的 SSID 為局域網的 VLAN，這可能是由于第一代的無線局域網都是通過“ FAT AP”組網的原因。其實二者之間的關系并非是 一對一，即一個 SSID必須對應有一個 VLAN。當然把一 SSID設定在一個 VLAN 內對傳統(tǒng)的無線局域網只能夠支持第二層的無線用戶漫游是唯一可實現(xiàn)的方式。但這樣的組網必須在現(xiàn)有的網絡上做出很多改動， AP 數(shù)量多時，無線用戶 VLAN/IP 子網也增多，無線用戶 IP 子網在局域網內必須全打通， (即匯聚層和骨干層的路由開通 ) 否則無線用戶就不能訪問局域網上其它網點，包括在不同接入層的無線用戶。 ARUBA交換機組網，當無線用戶加入到無線網上的一個 SSID時，很容易與 VLAN 綁定，無線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實際上是穿越接入層到 ARUBA交換機上，用戶的 VLAN 是無需在每個接入層上開通。 但亦有可能 SSID 在不同的 AP 接入點時，它設置的缺省 VLAN 是不一樣的。當有這樣的情況出現(xiàn)時，無線用戶從一個 AP 接入點漫游到另一個 AP 接入點時， DHCP 協(xié)議應會重分發(fā)給無線終端新的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應用連接就會被切斷。這樣的無線局域網實際上就不能支持跨三層無線漫游。 無線局域網 – 不需更改局域網路由 大規(guī)模在園內實現(xiàn)無線局域網接入，不需要在現(xiàn)有的局域網上做很多路由的修 改， ARUBA AP 所在的 VLAN 和無線用戶的 VLAN 是獨立分開的，用戶只須在 ARUBA AP 的接入點分配給它 IP 地址即可，這個 IP 地址可以是通過 DHCP 服務器來分發(fā)，可以是以靜態(tài) IP 地址方式配置在 ARUBA AP 上。 由于無線用戶的傳輸是通過 ARUBA AP 內已建立的 GRE 隧道和 ARUBA交換機互連的，所以實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。當大規(guī)模開展無線局域網時，就無須把在不同接入層上新增的無線終端 VLAN/IP 子網逐一在局域網上打通。無線用戶的 VLAN 是可透過 ARUBA交換機和 骨干交換機互連互通。 . 路由設計 由于整個無線網絡結構比較簡單，所以采用靜態(tài)路由方式，路由到校園網。由于目前校XX 大學無線網絡建設項目技術方案 第 48 頁 園網使用動態(tài)路由協(xié)議，因此要將在 Aruba 6000 上的靜態(tài)路由重分布到動態(tài)路由協(xié)議中。 . RF 設計管理 網絡數(shù)據中心管理一個具有規(guī)模的無線局域網（通常在幾十個 AP 以上）是一件非常頭痛的事情。從 RF覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網是單純基于 AP，因此對于無線網絡的管理，其大量工作是要在每個 AP 上進行設置和更改。其工作量在有一定數(shù)量 AP 的無線網里是 非常大和煩瑣的，而且無線局域網是一個整體系統(tǒng)， AP 之間必須互協(xié)調工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間的無線電波干擾，用戶漫游重認證和授權也可能會產生問題。 Aruba 系統(tǒng)具有非常強的無線局域網集中管理功能，通過無線控制器 Master Switch 和Local Switch 管理模式管理整個網絡，網管人員只需在無線控制器就可開通、管理、維護所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 在本次項目中配置目前只配置了一臺無線控制器 Aruba 6000，將其設為 Master Switch?？梢院芊奖愕募锌毓芩邪惭b的 AP。在后續(xù)無線網絡規(guī)模擴大的情況下，增加控制器即可。這時采用 MasterLocal 的方式部署無線控制器，仍然能夠在 Master Switch 上對整個無線網絡設備集中控管。 Aruba 系統(tǒng)的 RF 智能控管可以自動調節(jié)網上所有 Aruba AP 的電波特性。 初次安裝無線局域網時，用戶可通過 RF Planning的 Auto Calibration 功能來自動調節(jié)整個無線網上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration 以后 AP 和 AP 之間 會自動互傳有關無線電波的信息和調整電波的參數(shù)，直到 AP 之間達到了一個最優(yōu)化的無線電波運行環(huán)境。 Aruba 系統(tǒng)的 RF 智能控管可以自動對網上所有 Aruba AP 的無線電波管理。 當無線局域網經過自動校準的調整后而正式投入網絡運作時，網絡管理員可在 Aruba 交換機內啟動 ARM 這功能，無線網上所有的 Aruba AP 都會在設定的時間內自行掃描其它的無線頻道。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非常快，所以對于在線的無線用戶（ 指連接到 AP 上在同一XX 大學無線網絡建設項目技術方案 第 49 頁 頻率上的無線終端）的傳輸過程是不受到影響地。當 AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉送回 Aruba 無線控制器。 Aruba 無線控制器可以對整個無線網上的電波情況偵測和記錄。當某一覆蓋范圍內的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應用所發(fā)出的電波等， Aruba 無線控制器就會把所獲取的無線電波資料做分析，以確定是否需要調整這范圍內 AP 的無線電波。 . 無線網絡接入認證與加密 目前 XX 大學 有線網絡采用的認證計費方式為：訪問校園網資源免費，當客戶端訪問Inter 時，需要使用瀏覽器彈出 EYOU 認證頁面，認證通過后客戶能夠訪問 Inter，并按照流量計費。 對于無線網絡的認證，我們建議共享 EYOU 網關的用戶數(shù)據庫。 EYOU是一個認證網關，包括一個 Radius 服務器，用戶數(shù)據存放在 MySql數(shù)據庫中，其部署在整個校園網絡的 Inter 出口處。只有數(shù)據包經過該網關才會產生計費。 為了實現(xiàn)無線、有線用戶的統(tǒng)一認證，以及無線用戶的一次認證。建議使用如下方式：在無線控制器中設定使用 WebPortal方式認證，指定 Radius 服務器為 EYou認證網關 IP 地址。 具體用戶登錄無線網后的認證流程如下： 1） 無線 用戶 搜索相關的 SSID 關聯(lián)到校園網中的某一個 AP 2） 無線用戶接入無線網絡后， 使用瀏覽器訪問校園網或 Inter 3） Aruba 6000 控制器截獲用戶的 HTTP 請求，無線用戶端彈出認證界面 4） 無線 用戶輸入用戶名和密碼 5） Aruba 6000 控制器得到 用戶名和密碼后 ，將 用戶名和密碼送到 EYOUR 進行驗證 6） EYOUR 收到 用戶名和密碼 后對無線用戶 進行驗證 ，并將認證結果返回給 Aruba 6000控制器 7） 如果 無線用戶 認證通過 ，那么該無線 用戶就能夠 經過 Aruba 的無線網 訪問校園網和Inter 8） 如果 該無線 用戶訪問 Inter，那么 數(shù)據包會通過 EYOU 網關，就會產生計費，并計帳到該用戶帳號上。 9） 如果 無線用戶沒有通過認證，那么該無線 用戶就 無法接入無線網。 XX 大學無線網絡建設項目技術方案 第 50 頁 為了有線、無線用戶認證界面感官上的一致性，我們建議使用 Aruba 的定制 WebPortal的功能，將 Aruba 控制器的認證界面更改成與現(xiàn)有認證網頁一樣，這樣就能夠在最大限度上實現(xiàn)認證方式的統(tǒng)一性。 ARUBA無線控制器內置強大的 PORTAL 登錄界面可以通過網絡管理靈活簡潔的進行客戶化，進行廣告招商，登錄頁面推送，歡迎頁面推送等多種模式以配合 XX 大學的商務活動策劃。 當訪客或學生來到無線覆蓋區(qū)域的時候，開啟筆記本電腦的無線網絡，可以搜尋并且連接 XX 大學的無線網絡系統(tǒng)，當打開 IE 等網絡瀏覽器的時候，會自動彈出 Aruba 的網頁認證界面（界面可完全客戶化，根據客戶要求隨意定制），可以有以下幾種方式來控制訪客的上網流程： 訪客需要填寫帳號名和密碼，通過認證之后能夠接入 XX 大學的無線網絡，訪問更多的Inter 資源，但是無法訪問內網資源； XX 大學無線網絡建設項目技術方案 第 51 頁 通 過 ARUBA 6000 提供的客戶化 Web Portal認證功能 ,可很好的為外來訪問者提供接入網絡的可能 。 一種為前臺人員設計的獨特的簡化用戶生成系統(tǒng)，帶有到期時間和預設接入控制的臨時客人 ID。這樣，方便靈活的完成了 ,對訪客的訪問 XX 大學網絡資源的要求 。 XX 大學是一所全國知名的高等學府，每天都有大量的外來人員在校區(qū)內活動，很多人員有移動辦公的需求；同時，學校又存在著大量對計算機技術不是非常精通的文科教師，如果強行采用 ，如何為這些 人員配置復雜的客戶端軟件，將會成為難以完成的任務。鑒于現(xiàn)在 XX 大學的統(tǒng)一認證門戶的建設已經完成，大多數(shù)老師 /學生已經形成了固定的使用習慣，綜合多種利弊因素，建議老師 /學生 /訪客目前仍然按照通過加密的 WEB門戶進行認證（ SSID 仍為 zjuwireless）， ARUBA的安全交換機可以無縫的和已有的后臺LDAP 數(shù)據庫溝通 ,并可作多臺 LDAP 的認證服務器組群的相互備份。另外，可加設一個 或 WPA2 的 SSID（如 SSID 為 zjutecher），為高級別的教師或內部員工提供直接訪問內部資源的使用。 XX 大學無線網絡建設項目技術方案 第 52 頁 . 無線 網絡用戶訪問控制 從 XX 大學的用戶分類與分布情況分析，使用無線網絡的用戶主要分成以下幾類： （ 1）學校教師與領導； （ 2）來訪學者或留學生； （ 3）參加交流會議領導和來訪人員； （ 4）校園一般工作 人員； （ 5）校園學生； （ 6）長期租用學校辦公的第三方公司人員。 使用無線網絡可以分為不同的無線接入業(yè)務類型。因此，建議在設計上采用無線局域網多 SSID 技術，設置多業(yè)務區(qū)分方式。在一個無線局域網內可以設置多個 SSID，例如一個SSID 可給內部員工所用，而另一個可給外來的客戶專用。由于用戶一般把 SSID看成 VLAN，所以它們都會慣性地以 VLAN 概念來劃分 SSID。其實在一個 AP 范圍內，不管用戶連接到那一個 SSID 它們實際上都是在同一個 ，因為無線電波的傳輸是共享。一個最簡單的例子就是 AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆蓋范圍內啟動時，它就能同時看到多個 SSID。 SSID的最主要用途是可讓無線終端以不同的安全認證和加密方式入網。 為什么要把不同的安全加密協(xié)議設置在不同的 SSID 呢 ? 的標準內定義了不同加密情況時數(shù)據包的封裝格式，所以在用戶的無線接入使用不同的加密程式， 例如：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個 SSID 內同時存在的。 XX 大學可根據實際的情況和 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個 SSID，例如：一個定義為通過 WEB 門戶的方式為教師 /學生 /訪客使用，另一個SSID 則為 TKIP(WPA)專為第三方公司或者內部員工使用。未來的發(fā)展趨勢是新增設一個 SSID 讓員工以過度的方式逐漸從轉移到這個 SSID 上。 要注意的是 SSID 可以覆蓋全網，也可以只局限于校園網內的某些 范圍。一般的情況下是全網開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范