【導讀】出口帶寬為千兆，公網(wǎng)出口帶寬為100兆，IPv6出口帶寬為千兆，教師上網(wǎng)用戶3000余人，校園網(wǎng)覆蓋了全部教學科研區(qū)和學生宿舍區(qū)，校園網(wǎng)共擁有80. 個C類約20480個IPv4地址和IPv6地址。校園網(wǎng)在技術(shù)層面、信息安全層面及用。戶上網(wǎng)行為管理等層面都具備了良好的可控制性和可管理性，用戶采用認證方式上網(wǎng)。和信息的重要途徑之一，校園網(wǎng)對學校辦公、教學、科研起著重要的支撐作用。校園無線局網(wǎng)是在校園有線網(wǎng)的基礎上加以無線擴充（即采用AP將無線網(wǎng)絡。目前XX大學校園有線網(wǎng)已達到了相當?shù)母采w范圍，可。供、、，提供可供實際應用的穩(wěn)定網(wǎng)絡通訊服務。單個AP用戶并發(fā)數(shù)<20個。AP必須支持通過af兼容的POE交換機供電；不低于總數(shù)量95%的AP使用POE交換機接入校園網(wǎng)；AP內(nèi)置必須具有無線用戶的隔離功能,防止在公共區(qū)域無線用戶間的信息泄露；境檢測覆蓋漏洞，自動調(diào)節(jié)無線射頻發(fā)射功率以適應物理環(huán)境。在滿足要求的基礎之上，需要考慮用戶突發(fā)的特性。

　　

【正文】 分配必須采用 VLSM 技術(shù)，保證 IP 地址的利用效率。 采用 CIDR 技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大小。 充分合理利用已申請的地址空間，提高地址的利用效率。 簡單一致性：地址分配力求簡單，分配規(guī)則力求一致，便于日后對 IP 地址的管理。 考慮同時接入無線網(wǎng)絡的人數(shù)，建議考慮為用戶 IP 地址分配 8 個 C 的地址段?？蛻舳薎P 地址分配方式建議采用 DHCP 方式。 . 客戶端 VLAN 規(guī)劃 一般廠家的無線網(wǎng) 絡產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時都需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。 由于 ARUBA的 AP 是通過 GRE 的隧道連接到 ARUBA交換機上，所以 ARUBA產(chǎn)品在規(guī)劃上可以完全不改變園區(qū)網(wǎng)原有的網(wǎng)絡結(jié)構(gòu)，同時實現(xiàn)無縫的二三層漫游。并且所有的AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網(wǎng)對 AP 所在的 VLAN(AP 為網(wǎng)絡設備 )和無線用戶所在的 VLAN 是沒有明確的區(qū)分。 第一代無線組網(wǎng)無論對無線用戶、 AP 和網(wǎng)絡的管理都有一定困難，而且很容易造成混亂。對網(wǎng)絡管理而然，網(wǎng)絡設備的 VLAN/IP 子網(wǎng)應當和用戶是分開，這樣才可確保正常網(wǎng)絡運行和維護。但在具體實施時，很多為了方便都會把 AP 和無線用戶設置在XX 大學無線網(wǎng)絡建設項目技術(shù)方案 第 47 頁 同一個 VLAN 內(nèi)。這種組網(wǎng)方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網(wǎng)的 SSID為局域網(wǎng)的 VLAN。 VLAN 和無線 SSID 的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。其實二者之間的關(guān)系并非是 一對一，即一個 SSID必須對應有一個 VLAN。當然把一 SSID設定在一個 VLAN 內(nèi)對傳統(tǒng)的無線局域網(wǎng)只能夠支持第二層的無線用戶漫游是唯一可實現(xiàn)的方式。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡上做出很多改動， AP 數(shù)量多時，無線用戶 VLAN/IP 子網(wǎng)也增多，無線用戶 IP 子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開通 ) 否則無線用戶就不能訪問局域網(wǎng)上其它網(wǎng)點，包括在不同接入層的無線用戶。 ARUBA交換機組網(wǎng)，當無線用戶加入到無線網(wǎng)上的一個 SSID時，很容易與 VLAN 綁定，無線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實際上是穿越接入層到 ARUBA交換機上，用戶的 VLAN 是無需在每個接入層上開通。 但亦有可能 SSID 在不同的 AP 接入點時，它設置的缺省 VLAN 是不一樣的。當有這樣的情況出現(xiàn)時，無線用戶從一個 AP 接入點漫游到另一個 AP 接入點時， DHCP 協(xié)議應會重分發(fā)給無線終端新的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應用連接就會被切斷。這樣的無線局域網(wǎng)實際上就不能支持跨三層無線漫游。 無線局域網(wǎng) – 不需更改局域網(wǎng)路由 大規(guī)模在園內(nèi)實現(xiàn)無線局域網(wǎng)接入，不需要在現(xiàn)有的局域網(wǎng)上做很多路由的修 改， ARUBA AP 所在的 VLAN 和無線用戶的 VLAN 是獨立分開的，用戶只須在 ARUBA AP 的接入點分配給它 IP 地址即可，這個 IP 地址可以是通過 DHCP 服務器來分發(fā)，可以是以靜態(tài) IP 地址方式配置在 ARUBA AP 上。 由于無線用戶的傳輸是通過 ARUBA AP 內(nèi)已建立的 GRE 隧道和 ARUBA交換機互連的，所以實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。當大規(guī)模開展無線局域網(wǎng)時，就無須把在不同接入層上新增的無線終端 VLAN/IP 子網(wǎng)逐一在局域網(wǎng)上打通。無線用戶的 VLAN 是可透過 ARUBA交換機和 骨干交換機互連互通。 . 路由設計 由于整個無線網(wǎng)絡結(jié)構(gòu)比較簡單，所以采用靜態(tài)路由方式，路由到校園網(wǎng)。由于目前校XX 大學無線網(wǎng)絡建設項目技術(shù)方案 第 48 頁 園網(wǎng)使用動態(tài)路由協(xié)議，因此要將在 Aruba 6000 上的靜態(tài)路由重分布到動態(tài)路由協(xié)議中。 . RF 設計管理 網(wǎng)絡數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常頭痛的事情。從 RF覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于 AP，因此對于無線網(wǎng)絡的管理，其大量工作是要在每個 AP 上進行設置和更改。其工作量在有一定數(shù)量 AP 的無線網(wǎng)里是 非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)， AP 之間必須互協(xié)調(diào)工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。 Aruba 系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，通過無線控制器 Master Switch 和Local Switch 管理模式管理整個網(wǎng)絡，網(wǎng)管人員只需在無線控制器就可開通、管理、維護所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 在本次項目中配置目前只配置了一臺無線控制器 Aruba 6000，將其設為 Master Switch?？梢院芊奖愕募锌毓芩邪惭b的 AP。在后續(xù)無線網(wǎng)絡規(guī)模擴大的情況下，增加控制器即可。這時采用 MasterLocal 的方式部署無線控制器，仍然能夠在 Master Switch 上對整個無線網(wǎng)絡設備集中控管。 Aruba 系統(tǒng)的 RF 智能控管可以自動調(diào)節(jié)網(wǎng)上所有 Aruba AP 的電波特性。 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning的 Auto Calibration 功能來自動調(diào)節(jié)整個無線網(wǎng)上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration 以后 AP 和 AP 之間 會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到 AP 之間達到了一個最優(yōu)化的無線電波運行環(huán)境。 Aruba 系統(tǒng)的 RF 智能控管可以自動對網(wǎng)上所有 Aruba AP 的無線電波管理。 當無線局域網(wǎng)經(jīng)過自動校準的調(diào)整后而正式投入網(wǎng)絡運作時，網(wǎng)絡管理員可在 Aruba 交換機內(nèi)啟動 ARM 這功能，無線網(wǎng)上所有的 Aruba AP 都會在設定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對于在線的無線用戶（ 指連接到 AP 上在同一XX 大學無線網(wǎng)絡建設項目技術(shù)方案 第 49 頁 頻率上的無線終端）的傳輸過程是不受到影響地。當 AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回 Aruba 無線控制器。 Aruba 無線控制器可以對整個無線網(wǎng)上的電波情況偵測和記錄。當某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應用所發(fā)出的電波等， Aruba 無線控制器就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 . 無線網(wǎng)絡接入認證與加密 目前 XX 大學 有線網(wǎng)絡采用的認證計費方式為：訪問校園網(wǎng)資源免費，當客戶端訪問Inter 時，需要使用瀏覽器彈出 EYOU 認證頁面，認證通過后客戶能夠訪問 Inter，并按照流量計費。 對于無線網(wǎng)絡的認證，我們建議共享 EYOU 網(wǎng)關(guān)的用戶數(shù)據(jù)庫。 EYOU是一個認證網(wǎng)關(guān)，包括一個 Radius 服務器，用戶數(shù)據(jù)存放在 MySql數(shù)據(jù)庫中，其部署在整個校園網(wǎng)絡的 Inter 出口處。只有數(shù)據(jù)包經(jīng)過該網(wǎng)關(guān)才會產(chǎn)生計費。 為了實現(xiàn)無線、有線用戶的統(tǒng)一認證，以及無線用戶的一次認證。建議使用如下方式：在無線控制器中設定使用 WebPortal方式認證，指定 Radius 服務器為 EYou認證網(wǎng)關(guān) IP 地址。 具體用戶登錄無線網(wǎng)后的認證流程如下： 1） 無線 用戶 搜索相關(guān)的 SSID 關(guān)聯(lián)到校園網(wǎng)中的某一個 AP 2） 無線用戶接入無線網(wǎng)絡后， 使用瀏覽器訪問校園網(wǎng)或 Inter 3） Aruba 6000 控制器截獲用戶的 HTTP 請求，無線用戶端彈出認證界面 4） 無線 用戶輸入用戶名和密碼 5） Aruba 6000 控制器得到 用戶名和密碼后 ，將 用戶名和密碼送到 EYOUR 進行驗證 6） EYOUR 收到 用戶名和密碼 后對無線用戶 進行驗證 ，并將認證結(jié)果返回給 Aruba 6000控制器 7） 如果 無線用戶 認證通過 ，那么該無線 用戶就能夠 經(jīng)過 Aruba 的無線網(wǎng) 訪問校園網(wǎng)和Inter 8） 如果 該無線 用戶訪問 Inter，那么 數(shù)據(jù)包會通過 EYOU 網(wǎng)關(guān)，就會產(chǎn)生計費，并計帳到該用戶帳號上。 9） 如果 無線用戶沒有通過認證，那么該無線 用戶就 無法接入無線網(wǎng)。 XX 大學無線網(wǎng)絡建設項目技術(shù)方案 第 50 頁 為了有線、無線用戶認證界面感官上的一致性，我們建議使用 Aruba 的定制 WebPortal的功能，將 Aruba 控制器的認證界面更改成與現(xiàn)有認證網(wǎng)頁一樣，這樣就能夠在最大限度上實現(xiàn)認證方式的統(tǒng)一性。 ARUBA無線控制器內(nèi)置強大的 PORTAL 登錄界面可以通過網(wǎng)絡管理靈活簡潔的進行客戶化，進行廣告招商，登錄頁面推送，歡迎頁面推送等多種模式以配合 XX 大學的商務活動策劃。 當訪客或?qū)W生來到無線覆蓋區(qū)域的時候，開啟筆記本電腦的無線網(wǎng)絡，可以搜尋并且連接 XX 大學的無線網(wǎng)絡系統(tǒng)，當打開 IE 等網(wǎng)絡瀏覽器的時候，會自動彈出 Aruba 的網(wǎng)頁認證界面（界面可完全客戶化，根據(jù)客戶要求隨意定制），可以有以下幾種方式來控制訪客的上網(wǎng)流程： 訪客需要填寫帳號名和密碼，通過認證之后能夠接入 XX 大學的無線網(wǎng)絡，訪問更多的Inter 資源，但是無法訪問內(nèi)網(wǎng)資源； XX 大學無線網(wǎng)絡建設項目技術(shù)方案 第 51 頁 通 過 ARUBA 6000 提供的客戶化 Web Portal認證功能 ,可很好的為外來訪問者提供接入網(wǎng)絡的可能 。 一種為前臺人員設計的獨特的簡化用戶生成系統(tǒng)，帶有到期時間和預設接入控制的臨時客人 ID。這樣，方便靈活的完成了 ,對訪客的訪問 XX 大學網(wǎng)絡資源的要求 。 XX 大學是一所全國知名的高等學府，每天都有大量的外來人員在校區(qū)內(nèi)活動，很多人員有移動辦公的需求；同時，學校又存在著大量對計算機技術(shù)不是非常精通的文科教師，如果強行采用 ，如何為這些 人員配置復雜的客戶端軟件，將會成為難以完成的任務。鑒于現(xiàn)在 XX 大學的統(tǒng)一認證門戶的建設已經(jīng)完成，大多數(shù)老師 /學生已經(jīng)形成了固定的使用習慣，綜合多種利弊因素，建議老師 /學生 /訪客目前仍然按照通過加密的 WEB門戶進行認證（ SSID 仍為 zjuwireless）， ARUBA的安全交換機可以無縫的和已有的后臺LDAP 數(shù)據(jù)庫溝通 ,并可作多臺 LDAP 的認證服務器組群的相互備份。另外，可加設一個 或 WPA2 的 SSID（如 SSID 為 zjutecher），為高級別的教師或內(nèi)部員工提供直接訪問內(nèi)部資源的使用。 XX 大學無線網(wǎng)絡建設項目技術(shù)方案 第 52 頁 . 無線 網(wǎng)絡用戶訪問控制 從 XX 大學的用戶分類與分布情況分析，使用無線網(wǎng)絡的用戶主要分成以下幾類： （ 1）學校教師與領導； （ 2）來訪學者或留學生； （ 3）參加交流會議領導和來訪人員； （ 4）校園一般工作 人員； （ 5）校園學生； （ 6）長期租用學校辦公的第三方公司人員。 使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。因此，建議在設計上采用無線局域網(wǎng)多 SSID 技術(shù)，設置多業(yè)務區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設置多個 SSID，例如一個SSID 可給內(nèi)部員工所用，而另一個可給外來的客戶專用。由于用戶一般把 SSID看成 VLAN，所以它們都會慣性地以 VLAN 概念來劃分 SSID。其實在一個 AP 范圍內(nèi)，不管用戶連接到那一個 SSID 它們實際上都是在同一個 ，因為無線電波的傳輸是共享。一個最簡單的例子就是 AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。 SSID的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設置在不同的 SSID 呢 ? 的標準內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式， 例如：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在的。 XX 大學可根據(jù)實際的情況和 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個 SSID，例如：一個定義為通過 WEB 門戶的方式為教師 /學生 /訪客使用，另一個SSID 則為 TKIP(WPA)專為第三方公司或者內(nèi)部員工使用。未來的發(fā)展趨勢是新增設一個 SSID 讓員工以過度的方式逐漸從轉(zhuǎn)移到這個 SSID 上。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于校園網(wǎng)內(nèi)的某些 范圍。一般的情況下是全網(wǎng)開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范