温州永强机场新航站楼无线网络规划与建设方案

温州永强机场新航站楼无线网络规划与建设方案内容摘要：

浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 8 / 38 网络信息利用标准的 GRE 或 IPSec通道从 APs 流向移动控制器。 ARUBA 的 APs 是业内唯一可以利用trusted IPSec 协议在非安全网络（例如互联网）内远程装配的无线网络接入设备。 因而 IT人员可以简单轻松地将校园的无线网络（包括服务和控制）扩展至远程位置或家庭办公室，就像在总部一样。 4） ARUBAOS 系统软件 ARUBAOS软件功能强大、设计精密，可在任何 ARUBA 移动控制器上运行，以保证他们向处在 ―移动边缘 ‖的用户不间断地提供服务。 ARUBAOS软件的基本功能包括：精密的认证和加密、不间断高速漫游、射频管理和分析工具、集中配置、位置追踪等。 通过以下模块可以实现高级功能：无线入侵防范、策略增强防火墙、 VPN 服务器、 客户完整性、远程接入点、发布服务借口、高级 AAA、 xSec 高级 L2 加密。 温州永强机场新航站楼 无线网络系统详细设计 概述 本方案中，接入 建议 采用 POE 交换式快速以太网络实现 10/100M 接入，为无线 AP 提供 POE 供电，如图 4 所示 ，如果交换设备不具备 POE 端口，则需要对 AP单独进行供电。 接入节点的主要作用是 WLAN AP的接入，为 AP 提供上联通道。 同时，接入交换机必须具备 VLAN隔离和广播控制功能，并具备一定的数据包分类与队列能力，以保证在网络中提供端到端的服务质量（ QoS）。 建议 接入交换机采用 千兆以太网链路与汇聚 交换机相连接。 方案应采用由一台中央 WLAN 安全交换机控制和管理 ―瘦 ‖接入点 AP 的集中式无线局域网（ WLAN）部署模式。 主要构件包括若干接入点（ AP）、 WLAN 安全交换机组合在整个无线移动解决方案中。 WLAN安全交换机 可以 控制一定数量的接入点。 然后，这些接入点再创建一个移动用户可自由漫游的 服务域。 通过多台 WLAN安全交换机协同作业，可创建跨越多个楼层、整个大楼或园区的大型移动域。 在移动域中，当每个用户从一个接入点漫游到另一个接入点时，其安全性、服务质量（ QoS）和接入策略 一直追踪他们。 无论用户在哪儿漫游，他们的数据流量将始终通过隧道被输至起始的 WLAN安全交换机。 WLAN安全交换机可将他们放置在适当的网络 VLAN和子网。 这种漫游 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 9 / 38 体系结构确保对称的数据流。 配置在网络中心的无线局域网安全交换机可以提供千兆以太网接口（未来可升级到 10G），并通过这些千兆以太网接口接入核心路由交换机；同时，各 点 配置的无线局域网接入点 AP 均通过以太网交换机 的 接口接入有线局域网。 图 温州永强机场新航站楼 无线网 网络 拓扑 所有的移动客户均通过连接无线局域网接入点 AP，并通过无线局域网接入点与无线 局域网安全交换机之间的加密连接，经过无线安全交换机接入到 温州永强机场新航站楼 核心局域网当中。 由于所有的用户信息均由位于网络中心的无线局域网安全交换机来控制，因此所有的移动用户无论处于校园的哪个楼层，均可以获得相同的访问控制属性（根据用户策略，也可以设置为不同的访问控制属性），并实现在整个校园内部的无缝漫游。 AP 接入点能够为多媒体应用提供可靠的服务，并配有冗余以太网端口，在主端口发生故障时提供备用网络连接。 为了提供最佳用户体验，该接入点根据 AAA 制定的服务质量 （ QoS） 策略、 SVP或区分服务（ DiffServ）分类，将数据流量划分为多种用户和用户群队列。 该接入点不在本地储存任何敏感信息，可在不安全的地方安全运行。 用户可用支持 wifi的终端在校园提供无线覆盖的任何区域，实时提供高可靠高清晰的视频服务。 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 10 / 38 无线组网方式设计 无线控制器 ARUBA 推出业内唯一的模块化和可堆叠式 WiFi 交换机，适合各种行业用户和企业环境。 无线网络管理人员可以便捷管理无线接入点，节省大量时间和金钱。 企业能够支持无线交换机配置各种新安全标准和新增无线服务，无线业务可以扩展至整个领域。 ARUBA 无线交换机在单机无线系 统内含了强大的封包处理能力、 10/100/1000Mbps 以太网交换能力、对应各种状态及 LAN速度防火墙、虚拟专用网络（ VPN）终端、无线入侵预防和先进的 RF 管理功能。 ARUBA WiFi交换机能够接受并处理 数据传输，企业现在可以以前所未有的方式监控及远程管理 RF 环境。 所有 ARUBA 的 WiFi交换系统均支持 ARUBA 屡获殊荣的软件，并可无缝的整合到任何现有的有线网络中，而无须重新进行任何逻辑或物理配置。 图 ARUBA6000 无线控制交换机 本次工程配置 1 台 ARUBA6000 无线控制 交换机（每台最多可支持 512 个 AP），配置 148 个 AP Llicense。 ARUBA 6000 是 ARUBA 的旗舰产品，它是市场上可扩展性最高的移动控制器。 ARUBA 6000 移动扩展器有 4 个插槽，配有一个集成的策略执行防火墙和一个基于硬件的加密引擎，具有目前所能达到的最佳性能。 ARUBA 6000 支持高达 8 Gbps 吞吐量 / Gbps 加密吞吐量、最多 72 个 10/100 Mbps 端口、超过 8000 个并发用户，以及 4 到 512 个接入点 （ AP）。 ARUBA 6000 交换 机通过千兆接口直接连接 温州永强机场 网络核心层的三层交换机设备。 在接入侧，采用 ARUBA的 AP60/61 室内型及室外型 作为无线接入点，通过 POE的接入交换机连接至核心交换网络。 AP 和交换机之间的网络结构无需考虑，如果是 L2 结构， AP 通过 DHCP 拿到地址后，通过广播包找到无线控制器；如果是 L3， AP 通过 DHCP 拿到地址以后，通过 DNS 或者 HDCP的 43 属性，获得主用和备用的无线控制器地址，然后跟无线控制器直接通信（具体描述请见后面章节）。 无线网络管理员可通过中心配置的集中网管，对全网的各种 AP 和无线控制交换机 进行有效的 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 11 / 38 管理。 AP 以及下面的用户按接入策略分配接入到无线交换机上。 这种组网方式简易灵活并方便扩容。 未来当无线局域网规模需要扩大而增加 AP 数量时。 多业务区分设计 从 温州永强机场新航站楼 的用户分类与分布情况分析，使用无线网络的用户主要分成以下几类：  机场工作人员与领导 ；  常驻机场的人员（如商户等） ；  前来 交流 的 来访人员；  旅客。 使用无线网络可以分为不同的无线接入业务类型。 因此，建议在设计上采用无线局域网多 SSID技术，设置多业务区分方式。 在一个无线局域网内可以设置多个 SSID，例如一个 SSID 可给内部员工所用，而另一个可给外来的 旅客 专用。 由于用户一般把 SSID 看成 VLAN，所以它们都会惯性地以 VLAN概念来划分 SSID。 其实在一个 AP 范围内，不管用户连接到那一个 SSID 它们实际上都是在同一个 广播域内，因为无线电波的传输是共享。 一个最简单的例子就是 AP 把不同的 SSID 名字广播，所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个 SSID。 SSID 的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的 SSID 呢 ? 的标 准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如： WEP， TKIP（ WPA）， （ WPA2） 等等，不同加密方式不能在同一个 SSID 内同时存在的。 温州永强机场新航站楼 可根据实际的情况和 发展来制定以怎样方式来实现无线加密。 最常见的做法是使用多个 SSID，例如：一个定义为通过 WEB 门户的方式为 旅客 使用，另一个 SSID 则为 TKIP（ WPA） 专为第三方公司或者内部员工使用。 未来的发展趋势是新增设一个 SSID让员工以过度的方式逐渐从转 移到这个 SSID 上。 要注意的是 SSID 可以覆盖全网，也可以只局限于 网络 内的某些范围。 一般的情况下是全网开通，例如：客人 （ Gues） 使用的 SSID；但有些 SSID 则可能供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 12 / 38 所以针对无线局域网多种用户的不同业务类型应该采取不同的 SSID 进行管理和控制。 机场工作人员 、长期租用 场地的商户和驻机场的第三方单位的工作人员 属于学院内的固定用户，可以采用专门的 SSID，可以采用级别较高的认证和加密手段，对于 旅客 和来访人员可以使用另一个 SSID，采用级别相对较低的认证 和加密手段，这样就实现了区分的服务。 图 能够智能区分用户及应用的网络架构 温州永强机场新航站楼 每天都有大量的 旅客经过 ， 同时机场 又 可能 存在着对计算机技术不是非常精通的 工作人员 ，如果强行采用 ，如何为这些人员配置复杂的客户端软件，将会成为难以完成的任务。 建议 旅客和一般工作人员 按照通过加密的 WEB 门户进行认证（ SSID 仍为 XXX – wireless）， ARUBA 的安全交换机可以无缝的和已有的后台 LDAP 数据库沟通 ， ,并可作多台 LDAP 的认证服务器组群的相互备份。 另外，可加设一个 WPA2 的 SSID（如 SSID 为 XXXtecher），为高级别的 应用及相关工作人员 提供直接访问内部资源的使用。 公众上网的使用流程 航站楼的无线网络初步设计接入公众上网的 SSID 为 wenzhouairport，设计接入商户接入的 SSID为 wenzhoubiz，设计备份网络的 SSID 为 wenzhoubackup（该网络在有线网络失效的时候进行激活）。 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 13 / 38 常旅客和随机旅客上网 当机场旅客来到公共区域或者贵宾室的时候，开启笔记本电脑的无线网络，可以搜寻并且连接航站楼的无线网络系统 wuxiairport，当打开 IE等网络浏览器的时候，会自动弹出 Aruba 的网页认证界面（认证网页界面可以定制），可以有以下几种方式来控制旅客的上网流程： 1） 旅客无需帐号和口令，只要填写一个 Email邮件地址，即可登录使用网络，但是有严格的网络访问控制限定，无法访问内网的网络资源； 2） 旅客需要填写帐号名和密码，该帐号和密码通过机场内售卡或者电子银行等方式获取，通过认证之后能够接入航站楼的无线网络，访问更多的 Inter 资源，但是无法访问内网资源； 3） 如果旅客是运营商客户，在该运营商已经和温州机场无线网络进行 对接并且已制定商务模式（如资费等）的基础之上，可以通过运营商的数据库对旅客上网进行认证，决定其网络使用的权限；通常来说，机场的 Inter 出口由一家运营商（如电信）提供，在这种情况下，基本上只有该运营商的客户能够使用其帐号在机场使用无线网络，如图 7 所示。 机 场 网 络R a d i u ss e r v e rA CI n t e r n e t运 营 商 提 供的 接 入 设 备旅 客 无 线 终 端无 线 控 制 器A P 1A P 2A P 3A P 4S T A 图 运营商客户的上网方式 4） 如果是机场工作人员以及领导访问机场的无线网络，使用领导专用帐号和密码，通过认证之后，可以在有线网络的管理监控之内，进行内网资源的访问； 5） 如果是机场商户，可以通过无线 网络 wenzhoubiz 进行接入，根据资费情况与运营模式将会设定一定的带宽和质量的保障，访问 Inter，无法访问内网资源。 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 14 / 38 商户管理模式 建议以如下的模式进行温州机场商户 Inter 接入的管理（可用于驻场单位），温州机场首先得到运营商包月的宽带接入，然后通过无线网络向机场商户批发带宽。 例如，温州无锡机场每月向电信支付一定费用，申请电信的 100M光纤专线，用于机场和 Inter 的连接；。