无线局域网设计方案

5.4逻辑设计

5.4.1 SSID和VLAN

根据学校实际情况和应用需求，建议学校园区使用三种SSID

1. 数据服务SSID－Data-SSID：基于三层的Web认证；

2. VoWLAN/双模等形式手机服务的SSID－Voice-SSID：基于二层的MAC认证

3. 根据所部署校园的需求，可能还有第三个为访客服务的SSID－Guest-SSID，为访客/中国移动漫游客户接入提供特定VLAN的访问

上述SSID原则上均是全部可以广播出去，提供对外服务的。也可以根据实际部署需求进行灵活定制。比如学校的某些特定场所，不允许访客进入的/或者不允许访客在此无线上网的，此处的AP可以不用开启Guest-SSID。

为了有效的隔离广播域，提学校园无线网络的性能，建议采用思科AP-Group技术，将所有AP划分不同的组（Group），每一组AP为一个VLAN。300个AP的校园无线覆盖典型环境下，支持同一SSID的所有AP，按照AP所处楼层、校区位臵划分为不同的AP-Group，客户端接入不同AP-Group时被分割到不同的VLAN，获得不同网段的IP地址。

建议根据用户实际情况（应用类型、上网人数等），每个数据类AP-Group不超过30个AP；Voice类AP-Group不超过80个AP。

根据实际情况，建议：

? Data-SSID对应16个AP-Group，每个AP-Group对应一个VLAN ? Voice-SSID对应4个AP-Group，每个AP-Group对应一个VLAN ? Data-SSID对应VLAN101-116 ? Voice-SSID对应VLAN157-160

17

? Guest-SSID对应VLAN191 (访客数量相对很少，暂时仅分配一个VLAN) ? 管理网段对应VLAN199

? Supervisor Engine 720完成VLAN间的路由 5.4.2无线用户接入地址和路由规划

根据学校接入用户的数量，并预留一定扩展能力的前提下，建议：

? 32个C类地址段(C1--C32)，共8000个地址，用于数据/话音/访客用户接入地址分配 ? C1—C16，共4000个IPv4地址，作为Data-SSID客户端地址；对应VLAN101-VLAN116，每个VLAN一个C类IPv4地址段；

? C32，共250个IPv4地址，作为Guest-SSID客户端地址（如果部署访客SSID）；对应VLAN191，一个C类IPv4地址段；

? C27—C30，共1000个IPv4地址，作为Voice-SSID客户端地址；对应VLAN157-VLAN160，每个VLAN一个C类IPv4地址段；

? C17—C26及C31，共2750个IPv4地址，作为保留地址池

? 每个与SSID对应的VLAN，需要分配一个IPv4地址给无线控制器，作为IP-DHCP-Relay等功能的源地址

? 也可以根据具体情况减少每个AP-Group的AP数量，增多AP-Group数量（即增加VLAN数），也同时把保留的地址段分给新VLAN，避免VLAN内用户激增使VLAN内用户过多而地址不够

无线用户在地址分配方式上建议采用DHCP动态地址分配，配臵外臵DHCP服务器实现。无线控制器WiSM对无线客户端的DHCP Request进行DHCP Proxy的操作（源地址为WiSM的VLAN接口地址）。

5.4.3无线网络地址和路由规划

对于无线接入点AP，基本原则：虽然瘦AP支持通过DHCP动态获取IP地址，但是从运营管理的角度，本方案建议采用静态IP地址。

如果AP连接在现有校园网的接入交换机，则IP地址由现有校园网有线端提供，虽然从原理上来讲AP和无线控制器的AP-Manager只要IP可达即可创建并维护数据/控制隧道，但是从性能/可管理性等角度出发，建议在满足下列条件的前提下可以将AP接入现有网络交换机：

? AP和无线控制器的AP-Manager之间端到端环回延迟(round trip delay)<100毫秒－局域网交换环境均能实现

? AP不与一般有线网络设备混合在一个VLAN中，避免有线设备的异常流量阻断AP和无线控制器之间的通讯

? 连接在同一L3交换机端口下的所有AP，建议放臵在一个受保护的VLAN中，部署时统一分配给这些AP静态IP地址

18

? 需要修改现有交换机的VLAN参数设臵，现有L3交换机的路由设臵

如果AP连接在新构建的有线网络中（与原有校园有线网络隔离），则IP地址可以由有线网络分配，也可以从32个C类IPv4地址段中分配，建议从保留地址池中分配?比如将C21＋C22(共500个IPv4地址)用来作为管理网段的IP地址池

? 300个AP;

? 6509上的一个WiSM需要至少4个IPv4地址，用于和AP通讯的AP-Manager地址及管理地址Management-Interface;

无线网络设备需要两类地址：

? 管理地址AP-Manager, Management?从管理网段分配；

? 无线SSID映射VLAN的Dynamic-Interface地址，有多少个AP-Group就有多少Dynamic-Interface?从客户端VLAN中分配

IPv6规划考虑

用户终端IPv6地址设计 按IPv6常规单播地址规划方式分配，前64比特作为Prefix，对应不同学校和VLAN；后64比特对应终端，对应不同主机、终端或接口。

主机地址采用Auto Configuration方式，采用EUI-64地址方式映射传统MAC地址

终端IPv6单播地址获得过程：

19

Controller/AP需要打开IPv6 Pass-through功能和以太网组播穿过支持功能

整个LWAPP隧道对包括ICMPv6在内的IPv6的传输是透明的终端和Sup720路由引擎之间采用Autoconfig或在相应VLAN内使用DHCPv6都可以。

无线网络设备IPv6地址设计 当前无线部分无需设臵IPv6地址

? 当前无线部分对IPv6的支持是穿透方式的

? 将来很快我们会支持在Native IPv6的网络上实现LWAPP等机制 ? 而在当前无线部分无需设臵IPv6地址

Sup 720的VLAN路由虚端口和对外CERNET2的相关端口需要分配IPv6地址

? IPv6的无线客户端可以被看做是被透明连接到6500 Sup720的不同VLAN上的IPv6终端

? 靠6500丰富的双栈支持实现IPv6的高性能传输

? 因此Sup 720的VLAN路由虚端口和对外CERNET2的相关端口需要分配IPv6地址和做相关IPv6路由设臵

IPv4和IPv6组播地址规划还需根据组播应用需求进行进一步考虑 5.4.4认证和计费

采用Web和Mac地址认证相结合的认证方式：

1. Data-SSID

a. 针对无线用户的数据终端接入建议采用Web认证方式，外臵Portal，MD5-CHAP b. 采用CERNET的Portal/RADIUS c. 与CERNET计费系统相集成 2. Voice-SSID

a. 对于无线话音设备建议采用Mac认证方式，以保证使用的方便性 b. 采用CERnet的Portal/RADIUS

6 解决方案的设计亮点

6.1 高性能的IPv6和IPv4无线接入

IPv6作为下一代互联网的支撑技术对于处于科研前沿的学校而言至关重要，思科是业界最早支持IPv6的无线接入，并且无线控制单元与核心交换机一体化设计，利用核心交换机超大容量的

20