【正文】 Buffalo WLICBG54A 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) Cisco AIRPCM350 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) Cisco AIRCB20A 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) DLink AG650 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) Intel Centrino (2100, 2200BG, 2915ABG, 3945ABG) 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) Linksys WPC55AG 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) Netgear WAG511 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) Proxim ORiNOCO Gold 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) SMC 2336WAG 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) USRobotics TNET1130 通過(guò) 通過(guò) 通過(guò) 通過(guò) 通過(guò) 各種無(wú)線網(wǎng)卡的軟件版本如下： 網(wǎng)卡型號(hào) Driver Version 3COM 3CRWE154G72 Atheros AR5006x Buffalo WLICBG54A Cisco AIRCB20A Cisco AIRPCM350 DLink AG650 Intel Centrino – 2100 B Intel Centrino – 2915 ABG Intel Centrino – 2200 BG Intel Centrino – 3945 ABG Linksys WPC55AG Netgear WAG511 Proxim ORiNOCO Gold SMC 2336WAG USRobotics TNET1130 XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 42 頁(yè) . 無(wú)線網(wǎng)絡(luò) 方案設(shè)計(jì) 無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。 第二代無(wú)線局域網(wǎng)技術(shù)，采用 AC＋智能 AP 構(gòu)架， AC 兩者實(shí)質(zhì)均為二層設(shè)備， AP 實(shí)現(xiàn)接入、 AC 實(shí)現(xiàn)匯聚和認(rèn)證功能，有的廠商的 AC 實(shí)現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如： WEB 認(rèn)證、流量的控制、訪問(wèn)的控制等；支持 VLAN、 VPN、WPA等基本的安全管理，它們無(wú)法實(shí)現(xiàn)對(duì)無(wú)線電磁波層面的調(diào)控和優(yōu)化。另外由于 AC 或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于 Pentium 架構(gòu)的，所以當(dāng)用戶接入數(shù)量增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。 作為第三代的 ARUBA 無(wú)線系統(tǒng)采用了 Wireless Switch＋AP 構(gòu)架，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、 AP 間自適應(yīng)、無(wú)線安全管理、 RF 監(jiān)測(cè)、無(wú)縫漫游以及 QoS 保證等。示意圖如下： XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 43 頁(yè) XX 大學(xué)實(shí)現(xiàn)無(wú)線局域網(wǎng)接入，需要在現(xiàn)有的局域網(wǎng)上做很多路由 的修改，這當(dāng)然是網(wǎng)管人員不愿意做的事情， 采用 Aruba系統(tǒng)無(wú)需更改 XX 大學(xué)現(xiàn)有的有線網(wǎng)結(jié)構(gòu)。無(wú)線用戶的 VLAN 是可透過(guò)Aruba 交換機(jī)和骨干交換機(jī)互連互通。 Aruba 的無(wú)線控制器可以安裝在 XX 大學(xué)的中心機(jī)房，而 AP 則可以放置于 XX 大學(xué)的任何地方，無(wú)需用二層設(shè)備連到無(wú)線控制器、或者劃分 VLAN；其他廠 家則需要二層交換機(jī)連接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 對(duì)原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無(wú)線網(wǎng)的建設(shè)而對(duì)原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。通過(guò) AP 連接上來(lái)的客戶端的所有數(shù)據(jù)流量則通過(guò) GRE隧道（ AP 和Aruba 6000 之間）傳送到 Aruba 6000 上，解封裝后數(shù)據(jù)流再傳送到校園網(wǎng)中。兩臺(tái) Aruba 6000 在板卡和 license 配置充足的情況下，可以通過(guò) VRRP 模式來(lái)加強(qiáng)網(wǎng)絡(luò)冗余備份， 這種組網(wǎng)方式方便擴(kuò)容，最多可以支持1024 個(gè) AP。 在本次無(wú)線項(xiàng)目中， Aruba 6000 無(wú)線網(wǎng)絡(luò)控制器 具體 GRE 數(shù)據(jù)流如下圖所示： XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 45 頁(yè) Aruba 6000 無(wú)線網(wǎng)絡(luò)控制器 GRE 數(shù)據(jù)流 Aruba 提供設(shè)備編號(hào)管理功能，可以根據(jù) AP 所在的位置，按照建筑物、樓層、順序?qū)γ總€(gè) AP 進(jìn)行編號(hào)，在 WEB 管理界面能夠清晰的看到 AP 的編號(hào)、狀態(tài)、 IP 地址等信息，方便用戶的管理和維護(hù)。在對(duì) IP 地址進(jìn)行規(guī)劃建設(shè)的同時(shí)，應(yīng)充分考慮本地網(wǎng)對(duì) IP 地址的需求，以滿足未來(lái)業(yè)務(wù)發(fā)展對(duì) IP 地址的需求。 IP 地址規(guī)劃應(yīng)該是校園網(wǎng)整體規(guī)劃的一部分，即 IP 地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 46 頁(yè) 協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。 通過(guò)預(yù)測(cè)網(wǎng)絡(luò)的規(guī)模，應(yīng)該為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址留有一定的容量，便于系統(tǒng)擴(kuò)展。這種方式充分考慮了網(wǎng)絡(luò)層次和路由協(xié)議的規(guī)劃，通過(guò)聚合網(wǎng)絡(luò)減少網(wǎng)絡(luò)中路由的數(shù)目和地址維護(hù)的數(shù)量，充分體現(xiàn)了分層管理的思想。 IP 地址的分配必須采用 VLSM 技術(shù)，保證 IP 地址的利用效率。 充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率。 考慮同時(shí)接入無(wú)線網(wǎng)絡(luò)的人數(shù)，建議考慮為用戶 IP 地址分配 8 個(gè) C 的地址段。 . 客戶端 VLAN 規(guī)劃 一般廠家的無(wú)線網(wǎng) 絡(luò)產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。并且所有的AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 第一代無(wú)線組網(wǎng)無(wú)論對(duì)無(wú)線用戶、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很容易造成混亂。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無(wú)線用戶設(shè)置在XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 47 頁(yè) 同一個(gè) VLAN 內(nèi)。 VLAN 和無(wú)線 SSID 的關(guān)系 一般用戶都誤解無(wú)線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無(wú)線局域網(wǎng)都是通過(guò)“ FAT AP”組網(wǎng)的原因。當(dāng)然把一 SSID設(shè)定在一個(gè) VLAN 內(nèi)對(duì)傳統(tǒng)的無(wú)線局域網(wǎng)只能夠支持第二層的無(wú)線用戶漫游是唯一可實(shí)現(xiàn)的方式。 ARUBA交換機(jī)組網(wǎng)，當(dāng)無(wú)線用戶加入到無(wú)線網(wǎng)上的一個(gè) SSID時(shí)，很容易與 VLAN 綁定，無(wú)線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實(shí)際上是穿越接入層到 ARUBA交換機(jī)上，用戶的 VLAN 是無(wú)需在每個(gè)接入層上開(kāi)通。當(dāng)有這樣的情況出現(xiàn)時(shí)，無(wú)線用戶從一個(gè) AP 接入點(diǎn)漫游到另一個(gè) AP 接入點(diǎn)時(shí)， DHCP 協(xié)議應(yīng)會(huì)重分發(fā)給無(wú)線終端新的 IP 地址，但如果無(wú)線終端的 IP 地址更新的話，它先前建立的所有應(yīng)用連接就會(huì)被切斷。 無(wú)線局域網(wǎng) – 不需更改局域網(wǎng)路由 大規(guī)模在園內(nèi)實(shí)現(xiàn)無(wú)線局域網(wǎng)接入，不需要在現(xiàn)有的局域網(wǎng)上做很多路由的修 改， ARUBA AP 所在的 VLAN 和無(wú)線用戶的 VLAN 是獨(dú)立分開(kāi)的，用戶只須在 ARUBA AP 的接入點(diǎn)分配給它 IP 地址即可，這個(gè) IP 地址可以是通過(guò) DHCP 服務(wù)器來(lái)分發(fā)，可以是以靜態(tài) IP 地址方式配置在 ARUBA AP 上。當(dāng)大規(guī)模開(kāi)展無(wú)線局域網(wǎng)時(shí)，就無(wú)須把在不同接入層上新增的無(wú)線終端 VLAN/IP 子網(wǎng)逐一在局域網(wǎng)上打通。 . 路由設(shè)計(jì) 由于整個(gè)無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，所以采用靜態(tài)路由方式，路由到校園網(wǎng)。 . RF 設(shè)計(jì)管理 網(wǎng)絡(luò)數(shù)據(jù)中心管理一個(gè)具有規(guī)模的無(wú)線局域網(wǎng)（通常在幾十個(gè) AP 以上）是一件非常頭痛的事情。由于傳統(tǒng)的無(wú)線局域網(wǎng)是單純基于 AP，因此對(duì)于無(wú)線網(wǎng)絡(luò)的管理，其大量工作是要在每個(gè) AP 上進(jìn)行設(shè)置和更改。 Aruba 系統(tǒng)具有非常強(qiáng)的無(wú)線局域網(wǎng)集中管理功能，通過(guò)無(wú)線控制器 Master Switch 和Local Switch 管理模式管理整個(gè)網(wǎng)絡(luò)，網(wǎng)管人員只需在無(wú)線控制器就可開(kāi)通、管理、維護(hù)所有 AP 設(shè)備以及移動(dòng)終端，包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。可以很方便的集中控管所有安裝的 AP。這時(shí)采用 MasterLocal 的方式部署無(wú)線控制器，仍然能夠在 Master Switch 上對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備集中控管。 初次安裝無(wú)線局域網(wǎng)時(shí)，用戶可通過(guò) RF Planning的 Auto Calibration 功能來(lái)自動(dòng)調(diào)節(jié)整個(gè)無(wú)線網(wǎng)上所有 AP 的無(wú)線電波頻率和功率。 Aruba 系統(tǒng)的 RF 智能控管可以自動(dòng)對(duì)網(wǎng)上所有 Aruba AP 的無(wú)線電波管理。無(wú)線電波掃描是指 Aruba AP 從一個(gè)電波頻道跳到另一頻道時(shí)，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對(duì)于在線的無(wú)線用戶（ 指連接到 AP 上在同一XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 49 頁(yè) 頻率上的無(wú)線終端）的傳輸過(guò)程是不受到影響地。 Aruba 無(wú)線控制器可以對(duì)整個(gè)無(wú)線網(wǎng)上的電波情況偵測(cè)和記錄。 . 無(wú)線網(wǎng)絡(luò)接入認(rèn)證與加密 目前 XX 大學(xué) 有線網(wǎng)絡(luò)采用的認(rèn)證計(jì)費(fèi)方式為：訪問(wèn)校園網(wǎng)資源免費(fèi)，當(dāng)客戶端訪問(wèn)Inter 時(shí)，需要使用瀏覽器彈出 EYOU 認(rèn)證頁(yè)面，認(rèn)證通過(guò)后客戶能夠訪問(wèn) Inter，并按照流量計(jì)費(fèi)。 EYOU是一個(gè)認(rèn)證網(wǎng)關(guān)，包括一個(gè) Radius 服務(wù)器，用戶數(shù)據(jù)存放在 MySql數(shù)據(jù)庫(kù)中，其部署在整個(gè)校園網(wǎng)絡(luò)的 Inter 出口處。 為了實(shí)現(xiàn)無(wú)線、有線用戶的統(tǒng)一認(rèn)證，以及無(wú)線用戶的一次認(rèn)證。 具體用戶登錄無(wú)線網(wǎng)后的認(rèn)證流程如下： 1） 無(wú)線 用戶 搜索相關(guān)的 SSID 關(guān)聯(lián)到校園網(wǎng)中的某一個(gè) AP 2） 無(wú)線用戶接入無(wú)線網(wǎng)絡(luò)后， 使用瀏覽器訪問(wèn)校園網(wǎng)或 Inter 3） Aruba 6000 控制器截獲用戶的 HTTP 請(qǐng)求，無(wú)線用戶端彈出認(rèn)證界面 4） 無(wú)線 用戶輸入用戶名和密碼 5） Aruba 6000 控制器得到 用戶名和密碼后 ，將 用戶名和密碼送到 EYOUR 進(jìn)行驗(yàn)證 6） EYOUR 收到 用戶名和密碼 后對(duì)無(wú)線用戶 進(jìn)行驗(yàn)證 ，并將認(rèn)證結(jié)果返回給 Aruba 6000控制器 7） 如果 無(wú)線用戶 認(rèn)證通過(guò) ，那么該無(wú)線 用戶就能夠 經(jīng)過(guò) Aruba 的無(wú)線網(wǎng) 訪問(wèn)校園網(wǎng)和Inter 8） 如果 該無(wú)線 用戶訪問(wèn) Inter，那么 數(shù)據(jù)包會(huì)通過(guò) EYOU 網(wǎng)關(guān)，就會(huì)產(chǎn)生計(jì)費(fèi)，并計(jì)帳到該用戶帳號(hào)上。 XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 50 頁(yè) 為了有線、無(wú)線用戶認(rèn)證界面感官上的一致性，我們建議使用 Aruba 的定制 WebPortal的功能，將 Aruba 控制器的認(rèn)證界面更改成與現(xiàn)有認(rèn)證網(wǎng)頁(yè)一樣，這樣就能夠在最大限度上實(shí)現(xiàn)認(rèn)證方式的統(tǒng)一性。 當(dāng)訪客或?qū)W生來(lái)到無(wú)線覆蓋區(qū)域的時(shí)候，開(kāi)啟筆記本電腦的無(wú)線網(wǎng)絡(luò)，可以搜尋并且連接 XX 大學(xué)的無(wú)線網(wǎng)絡(luò)系統(tǒng)，當(dāng)打開(kāi) IE 等網(wǎng)絡(luò)瀏覽器的時(shí)候，會(huì)自動(dòng)彈出 Aruba 的網(wǎng)頁(yè)認(rèn)證界面（界面可完全客戶化，根據(jù)客戶要求隨意定制），可以有以下幾種方式來(lái)控制訪客的上網(wǎng)流程： 訪客需要填寫帳號(hào)名和密碼，通過(guò)認(rèn)證之后能夠接入 XX 大學(xué)的無(wú)線網(wǎng)絡(luò)，訪問(wèn)更多的Inter 資源，但是無(wú)法訪問(wèn)內(nèi)網(wǎng)資源； XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 51 頁(yè) 通 過(guò) ARUBA 6000 提供的客戶化 Web Portal認(rèn)證功能 ,可很好的為外來(lái)訪問(wèn)者提供接入網(wǎng)絡(luò)的可能 。這樣，方便靈活的完成了 ,對(duì)訪客的訪問(wèn) XX 大學(xué)網(wǎng)絡(luò)資源的要求 。鑒于現(xiàn)在 XX 大學(xué)的統(tǒng)一認(rèn)證門戶的建設(shè)已經(jīng)完成，大多數(shù)老師 /學(xué)生已經(jīng)形成了固定的使用習(xí)慣，綜合多種利弊因素，建議老師 /學(xué)生 /訪客目前仍然按照通過(guò)加密的 WEB門戶進(jìn)行認(rèn)證（ SSID 仍為 zjuwireless）， ARUBA的安全交換機(jī)可以無(wú)縫的和已有的后臺(tái)LDAP 數(shù)據(jù)庫(kù)溝通 ,并可作多臺(tái) LDAP 的認(rèn)證服務(wù)器組群的相互備份。 XX 大學(xué)無(wú)線網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)方案 第 52 頁(yè) . 無(wú)線 網(wǎng)絡(luò)用戶訪問(wèn)控制 從 XX 大學(xué)的用戶分類與分布情況分析，使用無(wú)線網(wǎng)絡(luò)的用戶主要分成以下幾類： （ 1）學(xué)校教師與領(lǐng)導(dǎo)； （ 2）來(lái)訪學(xué)者或留學(xué)生； （ 3）參加交流會(huì)議領(lǐng)導(dǎo)和來(lái)訪人員； （ 4）校園一般工作 人員； （ 5）校園學(xué)生； （ 6）長(zhǎng)期租用學(xué)校辦公的第三方公司人員。因此，建議在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。由于用戶一般把 SSID看成 VLAN，所以它們都會(huì)慣性地以 VLAN 概念來(lái)劃分 SSID。一個(gè)最簡(jiǎn)單的例子就是 AP 把不同的 SSID 名字廣播，所以當(dāng)無(wú)線終端在這個(gè) AP 覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè) SSID。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù)據(jù)包的封裝格式，所以在用戶的無(wú)線接入使用不同的加密程式， 例如：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個(gè) SSID 內(nèi)同時(shí)存在的。最常見(jiàn)的做法是使用多個(gè) SSID，例如：一個(gè)定義為通過(guò) WEB 門戶的方式為教師 /學(xué)生 /訪客使用，另一個(gè)SSID 則為 TKIP(WPA)專為第三方公司或者內(nèi)部員工使用。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于校園網(wǎng)內(nèi)的某些 范圍