高校无线校园技术方案建议书

1、 高校智慧型无线校园技术方案建议书目录TOC o 1-3 t h z u HYPERLINK l _Toc38526268 1.项目概述 PAGEREF _Toc38526268 h 1 HYPERLINK l _Toc38526269 1.1学校无线校园网需求分析 PAGEREF _Toc38526269 h 1 HYPERLINK l _Toc38526270 1.1.1校园无线网络接入需求 PAGEREF _Toc38526270 h 1 HYPERLINK l _Toc38526271 2.高校智慧型无线校园网设计方案 PAGEREF _Toc38526271 h 2 HYPERLIN

2、K l _Toc38526272 2.1无线校园网总体描述 PAGEREF _Toc38526272 h 2 HYPERLINK l _Toc38526276 2.2核心端无线网络设计 PAGEREF _Toc38526276 h 4 HYPERLINK l _Toc38526277 2.2.1高性能无线控制器选型考虑 PAGEREF _Toc38526277 h 4 HYPERLINK l _Toc38526278 2.2.2无线系统可靠性设计 PAGEREF _Toc38526278 h 4 HYPERLINK l _Toc38526279 2.2.3统一网络管理系统设计 PAGEREF

3、_Toc38526279 h 5 HYPERLINK l _Toc38526280 2.2.4无线终端管理系统规范 PAGEREF _Toc38526280 h 12 HYPERLINK l _Toc38526281 2.3接入端的网络建设 PAGEREF _Toc38526281 h 16 HYPERLINK l _Toc38526282 2.3.1接入端设备规划原则 PAGEREF _Toc38526282 h 17 HYPERLINK l _Toc38526283 2.3.2无线接入点选型与规划 PAGEREF _Toc38526283 h 18 HYPERLINK l _Toc3852

4、6284 2.3.3无线用户VLAN规划设计 PAGEREF _Toc38526284 h 19 HYPERLINK l _Toc38526289 2.3.4无线网络覆盖范围规划 PAGEREF _Toc38526289 h 20 HYPERLINK l _Toc38526290 2.3.5室内外覆盖方式规划 PAGEREF _Toc38526290 h 20 HYPERLINK l _Toc38526291 2.3.6无线网络点位规划 PAGEREF _Toc38526291 h 21 HYPERLINK l _Toc38526292 2.4无线射频管理设计 PAGEREF _Toc3852

5、6292 h 21 HYPERLINK l _Toc38526293 2.4.1智能频谱分析 PAGEREF _Toc38526293 h 21 HYPERLINK l _Toc38526294 2.4.2智能射频管理 PAGEREF _Toc38526294 h 22 HYPERLINK l _Toc38526295 2.4.3智能负载均衡 PAGEREF _Toc38526295 h 23 HYPERLINK l _Toc38526296 2.5智能SSID接入设计 PAGEREF _Toc38526296 h 24 HYPERLINK l _Toc38526297 2.5.1步骤一：终端

6、自助登录/自助注册 PAGEREF _Toc38526297 h 24 HYPERLINK l _Toc38526298 2.5.2步骤二：实现用户角色的映射 PAGEREF _Toc38526298 h 26 HYPERLINK l _Toc38526299 2.5.3步骤三：执行差异化的用户策略 PAGEREF _Toc38526299 h 26 HYPERLINK l _Toc38526300 2.6无线安全性设计 PAGEREF _Toc38526300 h 27 HYPERLINK l _Toc38526307 2.5.1系统管理账号密码机制考虑 PAGEREF _Toc385263

7、07 h 28 HYPERLINK l _Toc38526308 2.5.2基于无线终端设备识别安全考虑 PAGEREF _Toc38526308 h 29 HYPERLINK l _Toc38526309 2.5.1无线终端准入控制技术 PAGEREF _Toc38526309 h 29 HYPERLINK l _Toc38526310 2.5.2针对同一SSID的安全考虑 PAGEREF _Toc38526310 h 30 HYPERLINK l _Toc38526311 2.5.3对ARP欺骗、DHCP Flood攻击安全考虑 PAGEREF _Toc38526311 h 30 HYPE

8、RLINK l _Toc38526312 2.5.4与校园AAA系统整合 PAGEREF _Toc38526312 h 30 HYPERLINK l _Toc38526313 2.5.5无线用户的加密 PAGEREF _Toc38526313 h 31 HYPERLINK l _Toc38526314 2.5.6检测无线入侵和非法拦截和定位 PAGEREF _Toc38526314 h 31 HYPERLINK l _Toc38526315 2.5.7网络性能优化设计 PAGEREF _Toc38526315 h 32 HYPERLINK l _Toc38526316 2.5.8安全实现示例

9、PAGEREF _Toc38526316 h 33 HYPERLINK l _Toc38526317 2.7IPv6支持 PAGEREF _Toc38526317 h 34 HYPERLINK l _Toc38526332 2.6.1IPv6的功能特点 PAGEREF _Toc38526332 h 34 HYPERLINK l _Toc38526333 2.6.2未来无线网系统平滑过渡到IPv6网络的实施方案 PAGEREF _Toc38526333 h 35 HYPERLINK l _Toc38526334 2.8网络与用户管理 PAGEREF _Toc38526334 h 35 HYPER

10、LINK l _Toc38526335 2.9ClearPass终端接入管理系统 PAGEREF _Toc38526335 h 36 HYPERLINK l _Toc38526336 2.6.3终端设备自助接入配置服务 PAGEREF _Toc38526336 h 36 HYPERLINK l _Toc38526337 2.6.4集成网络准入控制 PAGEREF _Toc38526337 h 36 HYPERLINK l _Toc38526338 2.6.5访客接入管理服务系统 PAGEREF _Toc38526338 h 37 HYPERLINK l _Toc38526339 2.10无线网

11、络设备清单 PAGEREF _Toc38526339 h 38 HYPERLINK l _Toc38526340 3.ARUBA移动网络解决方案的技术特点 PAGEREF _Toc38526340 h 41 HYPERLINK l _Toc38526341 2.11基于用户身份的策略控制： PAGEREF _Toc38526341 h 41 HYPERLINK l _Toc38526342 2.12经过实践验证的稳定可靠性： PAGEREF _Toc38526342 h 41 HYPERLINK l _Toc38526343 2.13可扩展性和未来应用支持： PAGEREF _Toc38526

12、343 h 41 HYPERLINK l _Toc38526344 2.14灵活的mesh解决方案： PAGEREF _Toc38526344 h 42 HYPERLINK l _Toc38526345 2.15独特的Remote AP部署技术： PAGEREF _Toc38526345 h 42 HYPERLINK l _Toc38526346 2.16统一网管平台： PAGEREF _Toc38526346 h 42 HYPERLINK l _Toc38526347 2.17最优秀的BYOD解决方案ClearPass： PAGEREF _Toc38526347 h 43 HYPERLINK

13、 l _Toc38526348 2.18有QoS保障的多SSID设计，保障多业务支撑： PAGEREF _Toc38526348 h 43 HYPERLINK l _Toc38526349 2.19灵活的Cluster集群架构，保障网络无缝扩容： PAGEREF _Toc38526349 h 44 HYPERLINK l _Toc38526350 2.20无需额外无线施工，易于部署和维护： PAGEREF _Toc38526350 h 44 HYPERLINK l _Toc38526369 4.ARUBA典型成功案例介绍 PAGEREF _Toc38526369 h 45 HYPERLINK

14、l _Toc38526370 3.1ARUBA主要校园案例清单 PAGEREF _Toc38526370 h 45 HYPERLINK l _Toc38526377 3.1.1中国大陆地区 PAGEREF _Toc38526377 h 45 HYPERLINK l _Toc38526378 3.1.2香港地区 PAGEREF _Toc38526378 h 45 HYPERLINK l _Toc38526379 3.1.3美国 PAGEREF _Toc38526379 h 46 HYPERLINK l _Toc38526380 3.1.4其他 PAGEREF _Toc38526380 h 46

15、HYPERLINK l _Toc38526381 3.2Aruba建设全球最大无线校园网 PAGEREF _Toc38526381 h 47 HYPERLINK l _Toc38526382 3.3Aruba为大连理工大学打造亚洲最快的无线校园网 PAGEREF _Toc38526382 h 48 HYPERLINK l _Toc38526383 3.4Aruba建设安全可靠的上海外国语大学无线网络 PAGEREF _Toc38526383 h 50 HYPERLINK l _Toc38526384 3.5上海理工大学采用Aruba无线校园网解决方案 PAGEREF _Toc38526384

16、h 52 HYPERLINK l _Toc38526385 3.6Aruba助力上海大学打造大规模无线校园网 PAGEREF _Toc38526385 h 56 HYPERLINK l _Toc38526386 3.7ARUBA助力赛尔建设IPV6无线校园 PAGEREF _Toc38526386 h 58 HYPERLINK l _Toc38526387 5.产品简介 PAGEREF _Toc38526387 h 59项目概述随着师生们对无线网络的需求日益增加以及无线局域网技术的不断进步，高校希望在全校校区、学生宿舍区部署无线覆盖网络，形成智慧型的校园，在无线网络数据传输应用外，也为无线的校

17、园语音网络，无线监控网络，无线资产管理系统（支持无线扫描枪和RFID标签），无线一卡通网络等系统预备了相应的接口。Aruba无线网络不仅搭建起网络数据传输的承载通道，也与全球众多知名IT品牌都有良好的合作，保证了与其他应用系统做到无缝的连接，形成以Aruba为基础的，高安全、可管理、易维护的多功能无线应用平台。学校无线校园网需求分析校园无线网络接入需求 首先满足无线设备无缝的接入到学校原有的网络平台中；其次能够满足学校现有区域内的无线网络无死角覆盖，并为以后随着网络规模不断扩大提供系统的扩展以及未来无线技术的不断发展提供系统的平滑升级；再次能够解决学校对无线网络移动性、高可靠性、安全性的数据接

18、入需求；第四能够满足学校对多业务应用需求的平台支持等；高校智慧型无线校园网设计方案无线校园网总体描述 通过对高校校园网网络架构分析，高校的有线系统的建设采用核心层、汇聚层、接入层三层网络架构，实现万兆骨干千兆到桌面的网络应用。两台核心交换机组成万兆环网。建筑物之间交换机的连接主要采用单模光纤连接，楼内设备间之间交换机的连接采用单模或多模光纤连接，设备间内设备之间全部采用多莫光纤连接。具体如下： 在每个校区内核心机房通过单模光缆或多模光缆分别与各自校区内的教学楼、办公楼、实验楼、图书馆、体育馆、宿舍楼等区域进行链路连接；每栋建筑物内分别设置汇聚交换系统负责本楼宇内各楼层交换机的数据汇聚，并完成与

19、核心网络的数据处理；各楼层部署千兆接入层交换机设备负责本楼层的无线接入点AP的POE供电及为AP提供网络通讯链路。 有线网络系统的建设为无线网络的建设提供了网络的基础链路平台，有线网络系统的建设质量好坏直接决定了无线网络系统的高可靠性、高稳定性和网络的健壮性。 本次无线网络建设是在原有校园有线网络的基础上,通过增加无线控制器、无线AP、PoE交换机及Airwave网管系统、Clearpass认证系统实现校园无线网络的全面覆盖。 AC万兆上联，必须采用N+1或1+1冗余方式，且在任何一台AC发生故障的情况下AC系统的功能和性能均不受影响，即AP的管理数量、终端的接入能力、连接带宽、转发能力等均不

20、能受影响。 下面我们将从以上几方面展开详细描述高校无线校园网建设的具体设计方案。 根据本期高校无线覆盖的需求，在本次高校的无线网络系统建设中我们将采用瘦AP的网络架构方式进行无线网络部署。新一代的瘦AP无线网络架构系统采用overlay的网络组网方式进行无线网络系统的搭建，该部署方式对原有有线网络系统架构没有任何的影响，不需要更改原有有线网络设备的配置。 无线网络系统建设从整体上包括以下几部分组成：核心端：包括无线控制器系统负责对整个无线网络系统进行集中配置和控制；Airwave网络管理系统，为全校有线、无线网络系统的日常管理及维护提供统一的管理界面；ClearPass终端管理系统，为全校师生

21、及访客的无线终端提供智能的安全认证；接入端：无线接入点，负责无线信号的收发，完成与无线终端设备的交互；供电端：接入层POE交换机，负责为AP提供POE供电，并为其提供网络链路平台；链路传输端：综合布线系统，负责AP与楼层POE交换机间基础物理链路的线路搭建。 根据本期高校无线覆盖的需求，本方案按照整体规划、分步实施的原则，考虑采用多台ARUBA72x0无线控制器作为无线网络核心设备，工作在N+1冗余备份模式。一套网管系统放在网络核心，负责管理和监控所有无线网络设备和无线用户。 室内AP采用主要采用高性能无线接入点AP135进行部署，部分区域采用了AP93H提供有线/无线接入。国内的802.11

22、N标准中，5.8G频段具有5个以上的不干扰信道（未来将会扩展至十几个），在网络吞吐量和防止同频干扰方面具有巨大的优势。2.4G频段只有三个可以利用的频道，而且在信道绑定方面的缺憾使其在11N时代成为了利用性很低的摆设。所以，我们建议所有双频AP同时打开5.8G和2.4G，增加系统兼容性和吞吐量。核心端无线网络设计本方案按照整体规划、分步实施的原则，考虑采用4台ARUBA72x0无线控制器作为无线网络核心设备，其中1台工作在Master模式，对整个无线网络系统进行统一集中管理和监控，剩余3台Aruba72x0无线控制器作为本地无线网络核心设备，工作在Local模式，负责其他AP的管理和监控，核心

23、端的无线系统建设将从以下几点方面进行阐述：高性能无线控制器选型考虑在本次高校核心机房中心端的设计中，在对无线网络规模充分分析的前提下，结合与学校网络中心老师的技术交流的结果，我们将在本项目采用Aruba的旗舰产品A7200系列控制器作为无线网络中心端核心设备。每台72x0可支持本次AP的数量为：（512至2048）个。硬件本身支持4个SFP+端口，2个SFP端口（1000BASE-X or 10/100/1000BASE-T），40G吞吐量(large packets)，支持的设备vlan数24576个，防火墙会话数2015591，IPsec会话数24576，GRE隧道（system BSSI

24、D）16384，该系列设备型号拥有8核处理器，每核处理器有4个线程，因此共计拥有32个虚拟CPU同时参数无线网络数据的处理。完全满足于高校现有及未来网络容量的扩展。无线系统可靠性设计网络冗余设计本次工程配置4台ARUBA72x0控制器，控制器间采用MasterLocal管理模式，Master控制器对无线网络进行集中统一管理，Local控制器只负责连接在本控制器下的AP的管理。控制器组采用N+1方式进行冗余，Master控制器作为其他本地控制器其中任何一台的backup备份控制器，当任何一台本地无线控制器发生故障时，所有的AP都可以自动连接到Master控制器上，并继续提供服务，真正为用户提供一

25、个永不间断的无线网络。ARUBA的无线控制器也可以为AP设置主用控制器或备份控制器，当AP启动后，将首先连接主用的无线控制器，AP和控制器之间通过PAPI协议发送keepalive消息，一旦长时间检测到主用控制器无法工作，AP将自动连接到备份的控制器。这种方式的优点是对控制器的连接没有特殊要求，网络可以是2层也可以是3层。Master/Local统一网络管理系统设计 在本次高校无线校园网建设项目中针对无线网管系统的设计要求能够全面管理无线网络设备的配置、故障、性能及用户。本次设计的无线网管数量在3000个以上，建议采用的服务器配置为：2个Dual Quad Core Intel Xeon X5

26、687 3.6GHz以上，32G内存以上，375G硬盘以上。无线网管系统功能设计：在本次高校无线校园网网管系统的建设中，我们将采用Aruba的Airwave网管系统进行部署。结合项目的特点我们将从以下几点对无线网管系统进行规划设计。该系统要具有完善的无线网设备、资源和用户管理能力；具有高效的所有子系统设备集中配置、自动下发配置信息等配置管理功能；具备状态、故障、告警、远程抓包和诊断调试等故障管理功能；具备信号冲突避免、频谱分析（FFT、占空比）、检测RF干扰等无线射频管理功能；具备流量监控、记录、分析和带宽分配与管理等性能管理功能；具备用户信息配置、用户状态检测记录、用户的资源占用率检测记录等

27、用户管理功能。网管系统功能调试1)、无线网设备、资源和用户管理能力；.自动发现无线局域网(WLAN)设备；.自动跟踪接入网络的每个无线用户和设备。2)、通过自动识别功能，可以针对不同无线终端的和操作系统分配不同的控制权限；3)、通过应用软件识别功能，可以针对不同的软件类型系统分配不同的控制限制；4)、设备集中配置、自动下发配置信息等配置管理功能.自动配置接入点、控制器和Aruba S2500移动接入交换机；.通过基于Web的用户界面定义配置策略或从现有设备导入经过确认的配置文档；.分级策略定义功能允许快速、轻松地对整个网络的通用配置进行更新，不需要覆盖可能因地域而不同的设置；.高效远程软件分发

28、功能消除了耗费时间且容易出错的手动更新；.智能计划功能使IT可以在几乎不影响业务的情况下自动完成配置或固件更新，并支持创建重复任务；.支持将存档的设备配置用于配置审计和版本控制；.维护所有AirWave操作员所做更改的详细审核日志。5、设备状态、故障、告警、远程抓包和诊断调试等故障管理功能.自动跟踪接入网络的每个无线用户和设备，实时记录设备设备状态、故障、告警；.对连接无线控制器和接入点的有线基础设施进行监控；.记录并显示射频和RADIUS错误，这些错误是发生连接问题的常见原因；.快速查看从整个网络到设备级别的监控视图；.在接入点、控制器和交换机之间映射上游关系，帮助识别宕机和性能故障；.支持

29、远程抓包功能，可以通过AP远程全频段抓包，同时对1，6，11三个频道进行抓包，有助于帮助网络故障和性能分析。6、信号冲突避免、频谱分析（FFT、占空比）、检测RF干扰等无线射频管理功能.支持信号冲突避免，通过ARM技术可以扫描周围无线电波，检测信号干扰强度，自动调整AP信道和发射功率；.支持频谱分析功能，可以根据实时无线电波扫描结果对现场无线电环境作出实时分析。并且支持无线场景重现功能，可以将实时的无线电波扫描结果记录下来并且进行回放，方便在事后对之前的无线电环境进行分析；.聚合、关联、报警和记录网络上已经检测到和报告过的无线攻击，实现基础设施的全面安全；.查看由AirWave RAPIDS发

30、现的恶意接入点的位置，便于更加快速地调查和消除威胁。7、流量监控、记录、分析和带宽分配与管理等性能管理功能.支持AP设备和用户终端流量监控、记录、分析功能，实现网络性能的监测；.根据用户终端的流量监控，可以实时调整用户的接入带宽。8、支持用户信息配置、用户状态检测记录资源占用率检测记录等用户管理功能.支持用户信息配置，显示用户信息状态。.支持快速对用户和无线设备进行定位，便于故障排除、规划和资产跟踪.回放过去一天之内个别用户的位置历史，便于故障排除和丢失设备的恢复.支持用户资源占用率监测分析，查看用户资源情况举例说明 ：（下面将从图形界面进行说明）1、控制器管理2、AP的管理3、用户终端的管理

31、用户凡走必留痕迹用户的带宽使用情况4、无线用户的管理设备的版本、制造商和型号用户的IP、信号强度、带宽等使用情况5、基于SSID，设备类型和操作系统的流量和使用报告6、网络总流量与各校区流量总人数与总带宽的统计各校区使用人数与使用带宽统计值7、无线频谱分析集成的无线频谱分析功能，可以根据实时无线电波扫描结果对现场无线电环境作出实时分析。场景重现功能，可以将实时的无线电波扫描结果记录下来并且进行回放，方便在事后对之前的无线电环境进行分析。在要进行无线扫描的区域，把某一个AP设置成AM模式，选择要扫描的频点（2.4G和5G），AP进行扫描。8、无线入侵检测非法客户端以及无线攻击非法AP和干扰AP无

32、线终端管理系统规范类别 技术要求 系统架构基于Linux操作系统，通过物理服务器或VMware虚拟机进行快速部署。并且在物理服务器和VMWare虚拟机环境下所有系统功能完全一致。支持基于浏览器的WebUI管理方式，不需要安装管理客户端。支持终端自动识别管理系统、终端健康检查及网络准入控制系统、终端自助注册及配置管理系统、访客自助接入管理系统等功能模块和组件，并能够以添加软件许可的方式进行功能模块的扩展。支持服务器集群工作模式，同一集群中可配置服务器数量不低于30台，支持认证服务器之间的数据库同步、负载平衡和License共享，保证系统在未来能够平滑扩展直接提供硬件服务器系统平台或VMWare可

33、执行ovf文件，无需现场运行安装。硬件配置 2 x Quad core processors (2.4 GHz) 500 GB disk space 12 GB RAM 2 Gigabit virtual switched ports (Only 1 needed if not using separate ports for data and management) 功能特性支持灵活、可定制的认证策略，能够基于认证方式、认证时间、认证地点、用户身份、帐号属性、终端类型、健康状态等多重因素及其组合进行身份认证和策略决策能够同时提供RADIUS, TACACS+, Kerberos等多种认证服务

34、能够同时提供基于Web、802.1X和非802.1X的认证和授权服务，并对不同服务指定独立的认证源及其顺序能够提供丰富的认证事件报告和用户认证故障分析工具内置业界主流的网络设备接口，能够与多家产品实现认证、网络准入的互操作支持RFC3576，能够主动发送CoA报文给支持RFC3576的网络设备，实现对接入终端的授权变更身份认证支持以下身份认证方法：RADIUS, RADIUS CoA, TACACS+, web authenticationEAP-FAST (EAP-MSCHAPv2, EAP-GTC, EAP-TLS)PEAP (EAP-MSCHAPv2, EAP-GTC)TTLS (EAP

35、-MSCHAPv2, EAP-GTC, EAP-TLS, EAP-MD5, PAP, CHAP)EAP-TLSPAP, CHAP, MSCHAPv1 and 2, EAP-MD5Wireless, wired, and VPN 802.1XWindows machine authenticationMAC auth (non 802.1X devices)支持以下认证源：Microsoft Active Directory（支持Multi-Domain及AD forest)KerberosLDAP服务器ODBC兼容SQL服务器Token服务器基于身份的内置数据库内置的MAC地址数据库支持以下认

36、证决策：基于Radius和SNMP的VLAN动态分配基于VSA的角色(Role)基于VSA的可下载ACL基于RFC3576的CoA基于IETF的各种属性返回基于VSA的各种属性返回内置多厂商Radius-Dictionaries，并可按需扩展终端自动识别支持终端类型的自动检测识别功能，须支持以下终端信息收集方式：MAC OUIDHCP OptionHTTP AgentSNMP-based pollingAD and Exchange ActiveSync Plugins等方法自动精确识别终端类型，并提供终端类型库文件的在线升级终端自助注册及配置支持基于终端自动识别进行终端设备自助注册，设备认证

37、帐号及证书自动创建及自动下发，完成终端网络参数自动配置终端健康检查及网络准入管理支持终端健康检查和网络准入功能，并能提供基于Windows、MAC OS X和Linux的终端代理(agent)。终端健康检查至少须包括如下内容：ServicesProcessesRegistry Keys AntiVirusAntiSpywareFirewall Windows Patches Patch Management Network Connections USB Mass Storage Peer-to-Peer applications第三方整合提供标准XML API接口，能够与第三方系统（如办公系

38、统、资产管理系统）整合，实现用户帐号的添加、修改和删除。厂商支持需要提供原厂授权接入端的网络建设通过对本次项目覆盖区域内的现场勘查，我们建议接入端AP的设计采用双频设备，根据安装位置不同采用内置天线和外置天线的AP型号，对于室外的无线网络部署采用室外型AP，在保证防水、防尘、防雷击等方面的前提下进行设计实施。因此室内AP我们采用AP135用于常规部署，AP93H用于面板部署；室外采用AP175P进行部署。无线网络系统全部采用双路双频AP（双频同时工作），室内AP的MIMO多路径输入输出天线矩阵为3*3:3，室外AP的MIMO多路径输入输出天线矩阵为2*2:2。在无线网络系统中能够解决实际应用环

39、境下AP的高密度部署问题。在国内的802.11N标准中，5.8G频段具有5个以上的不干扰信道（未来将会扩展至十几个），在网络吞吐量和防止同频干扰方面具有巨大的优势。2.4G频段只有三个可以利用的频道，而且在信道绑定方面的缺憾使其在11N时代成为了利用性很低的摆设。所以，我们建议所有AP同时打开5.8G和2.4G，增加系统兼容性和吞吐量。接入端设备规划原则覆盖要求：无线网络全面覆盖校区全部建筑物内部和室外区域，同时兼顾建筑物内主要楼梯间、电梯等区域的信号覆盖，尽可能实现无死角、无盲区；全网具备无线终端在线漫游能力，达到不掉线、无需重新认证。 信号要求：覆盖区域信号稳定，信号强度不低于-65dBm

40、（笔记本电脑），信噪比不低于20dBm，语音、数据业务在不同AP间切换无掉线，无明显延迟。实现无线系统的语音跨3层漫游切换时间小于50ms。SSID要求：每台AP在2.4G和5G频段至少各开通2个SSID供电要求：室内AP在双频同时工作的情况下，要求采用基于超五类非屏蔽系统的POE（IEEE802.3af）供电方式，室外AP在双频同时工作的情况下只允许采用POE（IEEE02.3af）或单口千兆供电模块供电方式。天线要求：室内天线系统采用吸顶天线和定向天线，要求室内AP提供可与外置天线接口匹配的接口类型以便正常安装；室外AP天线系统要求采用2.4G和5G定向天线，并能够在抱杆上正常安装。常规安

41、装要求：室内AP原则上设置在走廊，有吊顶的：必须安装在吊顶内；无吊顶的：有弱电水平桥架的，安装在桥架上，否则应使用金属软管套接线缆从桥架引出后在指定位置安装，同时保证美观；既无吊顶又无水平弱电桥架的，可以考虑面板型AP（选用原则见后续描述）；室内AP安装应尽可能在室内靠近走廊侧墙壁、靠近桥架位置安装，室内引线应采用PVC线槽或套接金属软管安装；室内AP用信息点线缆末端采用已提供的RJ45连接头直接与AP连接安装；室外AP安装在甲方提供的抱杆上，应注重美观，并采取可靠的防雷措施，室外AP用信息点线缆末端采用已提供的RJ45连接头直接与AP连接安装，网口做好防雷处理。面板AP选用原则：对于部分具备

42、RJ5面板的区域（如办公室、宾馆），同时应现场装修要求，AP安装不得破坏墙体的；或者布线困难以致不能为AP提供单独上联跳线的，将考虑选用面板型AP（AP93H），提供该区域的无线接入。原有线网络终端亦可通过面板型AP的有线端口连接至校园网。室外AP低温要求：大庆的室外温度较低，所以室外AP要求在低温环境下运行，能够在零下40度的温度正常工作。无线接入点选型与规划设备选型：802.11N室内AP采用ARUBA双频设备内置天线型AP135，室内面板型AP采用单频内置天线的ARUBA AP93H，室外型选择ARUBA AP175P。其中AP135为3*3:3 MIMO，可提供900M接口带宽；AP1

43、75P为2*2:2 MIMO，可提供600M接口带宽；AP93H为2*2:2 MIMO，提供300M无线带宽，同时提供4个百兆有线上联口。系统组成：所有的ARUBA无线接入点均根据现场实际环境，通过POE交换机或交流电源供电，并通过接入交换机连接至核心交换网络。AP和交换机之间的网络结构无需考虑，如果是二层网络结构，AP获得IP地址后，通过广播包发现并连接无线控制器；如果是三层网络结构，AP获得IP地址后，通过DNS或者DHCP的43属性，发现并连接无线控制器。AP的供电统一由各楼层的POE供电交换机通过网线实现远端的POE供电，POE供电的协议为IEEE802.3af。我们采用AP的功率分别

44、为：AP135：额定功耗15瓦，电压DC48V，0.32A；AP175P：额定功耗：18瓦，电压DC48V，0.38A。工作原理：AP与无线控制器建立隧道后，就从逻辑上构成了一个架构在有线网络平台之上的纯星型网络，所有无线用户都通过AP提供的WLAN接入服务连接学校网络，并经由AP与无线控制器之间的GRE隧道访问学校网络资源。无线用户VLAN规划设计对于xxxx校园这样的大型网络，在地址的规划这方面上，为了减小广播域，降低每个子网内部的广播报文数量，网络管理员通常采用网络掩码对子网的大小进行限制。例如，每个VLAN采用一个C类地址，网络掩码是()，因此每个VLAN内最多支持253个用户。但是传

45、统的无线局域网厂商都只能做到SSID对应1个VLAN，这样的带来的问题就是，如果有大规模学校无线接入的时候，必须把这个映射VLAN的子网设的很大，比如一个B类地址（就是说将最多65000多个终端放在同一VLAN中），由于广播域过大，大量的广播报文（如DHCP、ARP等）将直接造成严重的网络拥塞。正是基于这个问题考虑，ARUBA提出了VLAN POOL的概念，也就是说一个SSID可以映射多个VLAN，用户在连接入网络中时，ARUBA移动控制器依据终端的MAC地址为其随机分配某个VLAN，然后再通过WEB进行认证，这样既解决了一个VLAN接入用户数较少的问题，又保留了网络部署（特别是用户VLAN分

46、配）的简单性和易用性。我们就根据校园的不同的地址段划分情况，将校园本地的需要划分给客户端的vlan地址段统一集中成为一个vlan pool划分给本校区用户使用，而且vlan pool根据本校区来命名，这样每个校园就相当于只有一个地址池需要管理，而且根据各自特有的命名来区分开来，极大的方便了网络管理者后期的维护便捷性。无线网络覆盖范围规划在本次高校无线网络系统建设项目中覆盖范围包括：（无线覆盖需求区域，根据校方要求整理 ）室内外覆盖方式规划部署方式：室内无线网络根据建筑区域不同；根据无线终端用户数的不同采用内置天线部署方式。室内内置天线型AP的部署：本项目中采用3*3:3 MIMO型内置天线的A

47、P，主要部署在楼道、图书馆、教室、寝室内等。安装方式：室内AP原则上设置在走廊，安装方式分为三种。具体表现为：有吊顶的：必须安装在吊顶内；无吊顶的：有弱电水平桥架的，安装在桥架上，应使用金属软管套接线缆从桥架引出后在指定位置安装，同时保证美观；既无吊顶又无水平弱电桥架的：（新、老校区），采用AP93H安装在原有跳线面板上；室内AP安装应尽可能在室内靠近走廊侧墙壁、靠近桥架位置安装，室内引线应采用PVC线槽或套接金属软管安装；室内AP用信息点线缆末端采用已提供的RJ45连接头直接与AP连接安装；室外AP原则上设置在女儿墙：室外AP安装在甲方提供的抱杆上，应注重美观，并采取可靠的防雷措施，室外AP

48、用信息点线缆末端采用已提供的RJ45连接头直接与AP连接安装，网口做好防雷处理。无缝漫游考虑：在满足信号无盲区的前提下设计AP与AP之间存在20-25%的信号的重叠区，以保证无缝漫游功能。AP之间利用Aruba系统的ARM功能进行信道与功率的动态调整，将同频干扰对于无线网络性能的影响降到最低。室外无线覆盖overlap示意无线网络点位规划(略，将根据实际情况进行设计)总共室内AP数量为2461台，室外AP数量为80台无线射频管理设计智能频谱分析目前Aruba最新推出了业界最强的“Spectrum Analysis:Diagnostic”频谱分析功能，此功能可以在所有的Aruba AP上通过无线

49、入侵检测功能实现，其功能如下：Active Devices by Device TypeActive Devices by ChannelActive Devices TrendChannel MetricsChannel Quality TrendDevice Duty CycleChannel Utilization TrendFFT PowerFFT Duty CycleInterference PowerSwept SpectrogramChannel Quality Spectrogram智能射频管理此外，ARUBA系统具有非常强的无线局域网集中射频管理功能，通过无线控制器Maste

50、r Switch和Local Switch管理模式管理整个网络，网管人员只需在无线控制器就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 ARUBA系统的智能射频管理可以自动调节网上所有ARUBA AP的电波特性。 当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在ARUBA 交换机内启动ARM这功能，无线网上所有的ARUBA AP都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指ARUBA AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3，由于扫描的速度非常快，所以对于在线的无线用户

51、（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回ARUBA 无线控制器。启动了自动射频管理（ARM）功能以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。ARUBA 无线控制器可以对整个无线网上的电波情况侦测和记录并且可实现场景回放。当某一覆盖范围内的无线电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，ARUBA 无线控制器就会把所获取的无线电波资料做分析，以确定是否需要调整这个范围内AP的无线电波。借助于智能射频管理功能，ARUBA无线

52、控制器可以通过调整AP的发信功率，消除无线网络覆盖的盲区，同时对AP工作信道的优化则有助于帮助无线网络避免同频干扰，从而更加有效地运行。智能负载均衡无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况；也可以基于不同AP的信道做负载均衡；也可以基于AP的频段（radio）做负载均衡；当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP；只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的

53、避免误均衡的出现。智能SSID接入设计由于高校有几万名师生，同时大部分学生和教职工都持有2台或以上的无线终端（笔记本 + 智能手机/平板电脑），因此在设计SSID与认证的实施过程就变得异常复杂。在Aruba的无线校园网整体解决方案中，我们将利用Aruba无线防火墙与ClearPass设备安全管理系统组合去解决这一难题，让每一名师生及访客在不依赖网络管理员协助的前提下，自动部署终端安全认证，自动加入到学校无线网络安全架构中。对于本次高校无线网络SSID分配原则采用以下分配方法：SSID名称加密方式隧道模式用途对应相应VLAN备注加密XXWIRELESS802.1X/WPA2 认证隧道部分高安全性

54、无线用户使用根据不同楼宇属于不同vlan或者统一由控制器集中分配VLan按需按地区广播加密XX-GuestMAC+Portal认证隧道全校师生和访客与智能移动终端使用统一由控制器集中分配VLan全校区广播开放当采取此SSID分配方式时，所有的无线用户将使用同一个SSID接入无线网络。用户可在任何无线覆盖范围内进行快速的三层漫游，并不会造成用户当前无线业务的中断。下文将分三个步骤描述智能式认证的实现过程：步骤一：终端自助登录/自助注册步骤二：实现用户角色的映射步骤三：执行差异化的用户策略步骤一：终端自助登录/自助注册SSID1:XX-Wireless采用高安全加密的802.1X/WPA/WPA2

55、认证协议，用于有较高要求的无线用户接入；SSID2:XX-Guest采用非加密的Web认证，具备双重功能，一方面提供访客接入服务，另一方面提供师生终端的自动化部署（Onboard）服务，可以实现用户到高安全XX-Wireless的无感知认证。无感知认证部署过程：当用户终端连接XX-Guest信号时，系统通过Web Portal为其提供到Onboard部署页面的链接，师生在Onboard部署页面通过输入LDAP帐号完成Onboard部署（此时，ClearPass Policy Manager通过LDAP接口到LDAP/SQL Database服务器对用户进行绑定操作，以确认其是否具有Onboar

56、d权限，在核对成功后，终端即开始自动的配置过程。）整个过程中，用户只需点击几次向导按钮，相对以往复杂的操作，大大简化了网络管理员的工作，也为用户带来极大便利。开放式的访客自助认证过程：我们建议访客上网账号一次一密，达到安全管理目的。XX-Guest信号可以为给访客提供一个自注册的链接，无须网络管理帮助，访客可以注册一个临时登陆账号，用于无线上网。访客账号将由ClearPass 访客系统的数据库管理，并提供审计功能。步骤二：实现用户角色的映射在无线用户通过了第一步认证的同时，ClearPass Policy Manager还能够通过多种依据对无线用户进行授权处理，目的在于根据各种情景下的多种无线

57、用户属性作为依据，以此派生出不同的授权结果，最终体现出差异化的策略。本方案建议以用户角色（Role）作为授权依据。ClearPass Policy Manager 可以通过LDAP接口，在学校LDAP服务器中对用户属性进行查询，执行相应的Role Mapping操作，并实现基于用户LDAP属性的角色返回。步骤三：执行差异化的用户策略通过步骤二，无论是何种无线用户，都应在系统中对应获得一个Role，通过Aruba无线控制器中的策略防火墙，通过预定义Role对应的防火墙策略如优先级、带宽、会话数等等，以此对用户实现差异化的策略与服务，下文将分成领导、老师、IT、学生和访客，对无线用户的策略进行举例

58、：领导：完全权限，高带宽需求；老师：允许访问校园的教育教学服务器资源、Internet资源，能够在校园网平台上进行教育教学研究，禁止访问校园其他网络资源，1M带宽；IT维护：允许访问校园网所有网络设备资源，校园公共服务器资源，Internet资源，禁止访问其他特殊网络资源，1M带宽；学生：允许访问校园网的教务资源、公共服务器资源、Internet资源，禁止访问校园网其他资源，512K带宽；外来访客人员：只能访问互联网资源和校园开放的公共网络资源、Internet资源，不能访问校园网其他服务器资源，256K带宽；无线安全性设计对于无线网络而言，由于其利用空中载波信道作为传输载体，其物理层与数据链

59、路层工作原理与有线网络有所不同，其所遵循的安全策略也与有线网络截然不同。在校园级无线网络的规划中，由于信号的覆盖将会带来众多的未知访问者试图进行的访问连接，无线网络如何从中识别出合法的用户，避免非法用户利用无线网络的安全隐患入侵整个网络，往往成为了无线网络规划者需要解决的难点。系统和设备支持良好的发现、分析、抵御网络攻击和安全审计能力，具有良好的抗干扰和排除干扰源能力，具有完善的设置、发现、报警、防护、记录、统计、分析各种安全事件和日志的能力，具有完善的设置、记录、统计、分析包括信号特征、信道、带宽等资源的能力，并支持以后的策略升级和许可升级。本此方案建议书中，我们将从以下几个层面来阐述ARU

60、BA设备如何保护整个无线网络安全。系统和设备具有可靠的系统管理账号密码机制、具有限制管理通道非法接入及抗暴力破解特性；先进的无线终端识别技术；无线终端准入控制技术；系统可以针对不同SSID制定不同的网络安全机制；系统支持同一SSID 下用户的二三层隔离、不同SSID 间的隔离；与校园AAA系统整合，与控制器联动进行无线网络认证；无线网络的认证和加密，实现无线网络的安全准入控制；检测无线入侵和非法拦截及定位；用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问Internet,不能访问校园网的服务器资源，只能访问WEB网页和收发邮