大唐電信科技股份有限公司XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．湖南移動(dòng)常德技術(shù)學(xué)院WLAN 組網(wǎng)方案大唐電信科技股份有限公司2009-5-301

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

湖南移動(dòng)常德技術(shù)學(xué)院WLAN 組網(wǎng)方案

大唐電信科技股份有限公司

2009-5-30

1

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

常德技術(shù)學(xué)院WLAN 組網(wǎng)方案

1、項(xiàng)目背景

隨著校園網(wǎng)絡(luò)信息化的普及，師生們?cè)絹碓揭蟊M可能方便、快速、移動(dòng)式的使用網(wǎng)絡(luò)，同時(shí)，隨著筆記本電腦的普及和無線網(wǎng)卡產(chǎn)品的價(jià)格逐步降低，越來越多的人擁有無線網(wǎng)絡(luò)客戶端產(chǎn)品。部分校園開始規(guī)劃并建設(shè)作為有線網(wǎng)絡(luò)之補(bǔ)充的校園無線網(wǎng)絡(luò)，為校園提供無線寬帶業(yè)務(wù)。于是，經(jīng)常德移動(dòng)和常德職業(yè)技術(shù)學(xué)院協(xié)商，確定啟動(dòng)常德職業(yè)技術(shù)學(xué)院WLAN 接入的建設(shè)，將常德職業(yè)技術(shù)學(xué)院建設(shè)成一個(gè)具有示范效應(yīng)的數(shù)字化校園。

2、常德職業(yè)技術(shù)學(xué)院WLAN 網(wǎng)絡(luò)架構(gòu)

2

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

常德職業(yè)技術(shù)學(xué)院WLAN 網(wǎng)絡(luò)架構(gòu)由兩部分組成，常德移動(dòng)機(jī)房和校園網(wǎng)絡(luò)，常德移動(dòng)機(jī)房放置AC、匯聚交換機(jī)CiscoS6509、GPON設(shè)備的匯聚OLT 設(shè)備、WLAN OMC集中網(wǎng)管系統(tǒng)四部分組成，校園網(wǎng)部分由AP 、POE交換機(jī)、GPON設(shè)備的ONU、校園返遷終端、校園有線網(wǎng)絡(luò)五部分組成，為常德移動(dòng)為校園建設(shè)一個(gè)WLAN 無線網(wǎng)絡(luò)。

學(xué)生用戶通過迅馳筆記本，登錄到CMCC,通過無線信號(hào)關(guān)聯(lián)到AP，AP有線接口連接到POE 交換機(jī)，POE 交換機(jī)連接到GPON 設(shè)備的ONU 上，通過光纖匯集到OLT，OLT 和匯聚交換機(jī)Cisco6509連接，MX-400設(shè)備連接到匯聚交換機(jī)Cisco6509上，MX-400設(shè)備和移動(dòng)總部的Raduis 和Portal 服務(wù)器組成認(rèn)證計(jì)費(fèi)系統(tǒng)，負(fù)責(zé)用戶的認(rèn)證計(jì)費(fèi)，這樣校園學(xué)生可以訪問到移動(dòng)以太網(wǎng)，如果學(xué)生想登錄到校園網(wǎng)，可以通過VPN 登錄到校園網(wǎng)，保證校園網(wǎng)的安全。

有線學(xué)生用戶通過登錄校園有線網(wǎng)，學(xué)校校租用移動(dòng)寬帶網(wǎng)絡(luò)，為學(xué)生提供有線上網(wǎng)業(yè)務(wù)。

3、對(duì)網(wǎng)絡(luò)設(shè)備的要求

3.1 BRAS5200寬帶接入的要求：

(1) BRAS5200寬帶接入設(shè)備放置在常德移動(dòng)機(jī)房，完成對(duì)校園無線業(yè)務(wù)和校園有線

業(yè)務(wù)的管理，有線和無線業(yè)務(wù)通過VLAN 區(qū)分，無線業(yè)務(wù)為VLAN101,有線業(yè)務(wù)為VLAN102,對(duì)于VLAN 101的無線數(shù)據(jù)業(yè)務(wù)，直接進(jìn)入移動(dòng)IP 城域網(wǎng)，對(duì)于VLAN102有線寬帶業(yè)務(wù)數(shù)據(jù)，按照校園和移動(dòng)簽訂的有線寬帶的要求，對(duì)校園有線帶寬進(jìn)行限制，為學(xué)生提供有線寬帶上網(wǎng)業(yè)務(wù)。

3.2 Cisco6509 匯聚交換機(jī)的要求：

Cisco6509交換機(jī)位于移動(dòng)機(jī)房，負(fù)責(zé)業(yè)務(wù)的匯聚，處于網(wǎng)絡(luò)中心位置，Cisco6509出口和BRAS5200連接，入口和AC 、GPON 設(shè)備連接。

(1)、為AC 預(yù)留4個(gè)GE 接口，主AC 為兩個(gè)GE 接口,備用為2個(gè)GE 接口；

(2)、Cisco6509 匯聚交換機(jī)劃分3個(gè)VLAN，分別為VLAN101 , VLAN 102,VLAN105 ,其中VLAN101用于為登錄移動(dòng)網(wǎng)的無線用戶業(yè)務(wù)群，VLAN102 用于管理有線網(wǎng)絡(luò)用戶群，VLAN105 用于管理AP 設(shè)備設(shè)立的設(shè)備管理群；

3

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

（3）、Cisco6509 匯聚交換機(jī)端口連接設(shè)備的配置：

GPON 連接的端口：兩個(gè)GE 接口，用于連接套OLT 設(shè)備，配置trunk 功能，包含有線業(yè)務(wù)VLAN 102（tag）,設(shè)備管理VLAN105（tag）；

MX-400設(shè)備的端口：LAN 接口VLAN105（tag），WAN 接口配置無線業(yè)務(wù)VLAN101（untag）； WLAN OMC 集中網(wǎng)管系統(tǒng)：配置公網(wǎng)IP 地址。

Cisco6509 匯聚交換機(jī)上行交換機(jī)端口：trunk接口，包含無線業(yè)務(wù)VLAN101 和有線業(yè)務(wù)VLAN102;

3.3 GPON的要求：

GPON 系統(tǒng)由局端設(shè)備（OLT）、用戶端設(shè)備（ONU）和光分配網(wǎng)（ODN）組成。OLT

放置在常德移動(dòng)機(jī)房，ONU 和ODN 放置在校園內(nèi)，把移動(dòng)IP 城域網(wǎng)的數(shù)據(jù)延伸到校園。

1) VLAN 的需求

GPON 的局端匯聚設(shè)備OLT ，和Cisco6509 匯聚交換機(jī)接口連接，都采用GE 以太網(wǎng)接口；支持VLAN TRUNK 包括有線業(yè)務(wù)VLAN102、AP 設(shè)備管理VLAN105、ONU 設(shè)備管理VLAN106 ;

GPON 的終端設(shè)備ONU 和POE 以太網(wǎng)交換機(jī)連接。都采用以太網(wǎng)接口, 支持VLAN TRUNK 包括有線VLAN102 、AP 設(shè)備管理VLAN105、ONU 設(shè)備管理VLAN106；

2) GPON IP地址需求：

OLT 設(shè)置公網(wǎng)IP 地址，用于管理GPON 設(shè)備，IP地址設(shè)置為公網(wǎng)IP 地址段；

ONU 設(shè)置為私網(wǎng)IP 地址，設(shè)置VLAN 106, IP地址為192.168.11.2~100/24,網(wǎng)關(guān)192.168.11.1 ， ONU數(shù)量36個(gè) 。

3.4 MX-400的要求：

MX-400為接入控制器設(shè)備，對(duì)AP 設(shè)備進(jìn)行管理控制維護(hù)，和移動(dòng)總部的raduis 配合，實(shí)現(xiàn)對(duì)學(xué)生用戶進(jìn)行鑒權(quán)認(rèn)證計(jì)費(fèi)等功能。

（1）、 MX-400和移動(dòng)總部的RADIUS 服務(wù)器，完成用戶認(rèn)證鑒權(quán)計(jì)費(fèi)功能；

（2）、 MX-400 配合總部的PORTAL 服務(wù)器，完成PORTAL 界面的推出，輸入用戶名、密碼, 保證用戶的正常上下線。

4

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

(3) 、VLAN 的配置：

AC 的WAN 接口無線用戶業(yè)務(wù)進(jìn)入Cisco6509 匯聚交換機(jī)時(shí)，交換機(jī)上配置VLAN102（untag ）；LAN 接口配置設(shè)備管理VLAN105；

（4）、AC 需要配置一些數(shù)據(jù)：

z 配置Portal 服務(wù)器的IP 地址；

AC 配置內(nèi)容如下：

移動(dòng)集團(tuán)portal 地址：http://221.176.1.140/wlan/index.php 或者 221.176.1.140

z 配置AC 用戶地址池的IP 地址段、掩碼；

AC 配置內(nèi)容如下：

由于公網(wǎng)地址限制，建議為用戶配置私網(wǎng)IP 地址。地址范圍建議為190.168.100.2~190.168.199.254/16 ,gatway 190.168.100.1。

z 配置AC 用戶DNS 主備服務(wù)器的IP 地址；

AC 配置內(nèi)容如下：

DNS 服務(wù)器地址：218.201.4.3

備用DNS 服務(wù)器：211.136.20.203

z 配置WLAN 認(rèn)證的相關(guān)參數(shù)：配置802.1X 的認(rèn)證流程，配置EAP 認(rèn)證方案（如

SIM 認(rèn)證點(diǎn)在AP 上，則在AP 上配置此項(xiàng)內(nèi)容）；

AC 配置內(nèi)容如下：

建議開放式，用戶自動(dòng)獲取IP 地址，如果用戶需要上網(wǎng)時(shí)，經(jīng)過移動(dòng)總部的Raduis 服務(wù)器認(rèn)證。

z 配置RADIUS（IP地址、認(rèn)證端口、計(jì)費(fèi)端口），以及和Radius 之間的密鑰； AC 配置內(nèi)容如下：

radius 地址：221.176.1.138 密鑰：88----89

認(rèn)證端口號(hào)：1645 計(jì)費(fèi)端口號(hào)：1646

z 配置域名、域內(nèi)強(qiáng)制門戶業(yè)務(wù)；

AC 配置內(nèi)容如下：

z 配置用戶接入地編號(hào)（NAS-ID）；

5

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

AC 配置內(nèi)容如下：

NAS-ID：xxxx （省公司規(guī)劃、分配）-0736（常德）-731（湖南）-00（中國移動(dòng)）

-460（中國）

z 配置AC 設(shè)備編碼

AC 配置內(nèi)容如下：

AC 編碼：xxxx （省公司規(guī)劃、分配）-0736（常德）-731（湖南）-00（中國移動(dòng)）

3.5 AP設(shè)備的需求：

（1）、 AP劃分兩個(gè)SSID, 分別為CMCC, 和CMTEST,CMCC 為移動(dòng)網(wǎng)，學(xué)生登錄CMCC ，彈出移動(dòng)的PORTAL, 輸入移動(dòng)的用戶名和密碼，可以登錄到外部以太網(wǎng)；

CMTEST 為隱含SSID, 配置WPA2-PSK 加密，用于調(diào)測(cè)配置AP, 屬于VLAN105，該CMTEST 和密碼都要保密。

（2）、 AP劃分兩個(gè)VLAN ,分別為無線業(yè)務(wù)VLAN101 、AP 管理VLAN105；無線業(yè)務(wù)VLAN101對(duì)于SSID 為CMCC ，用于訪問外網(wǎng)； VLAN105 用于管理維護(hù)配置AP 設(shè)備，對(duì)應(yīng)的SSID 為CMTEST;

（3）、為了方便管理AP ，AP 設(shè)置靜態(tài)IP 地址，地址范圍 192.168.10.2～179/24 ，網(wǎng)關(guān)192.168.10.1 ,屬于VLAN105；

(4) 、 AP配置要求：

z 配置三個(gè)無線網(wǎng)絡(luò)的SSID，分別為CMCC 、CMTEST ,其中CMTEST 為隱含SSID，

設(shè)備WPA2-PSK 加密，用于通過無線方式管理AP ；

z 配置二層隔離；

z 配置使用的無線頻點(diǎn)；

z 設(shè)置AP 的發(fā)射功率；

z 配置AP 為靜態(tài)IP 地址；

3.6 POE交換機(jī)的要求

（1） 、POE 交換機(jī)直接為AP 饋電；

6

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

（2） 、POE 交換機(jī)端口支持VLAN trunk ，支持AP 管理VLAN 105;

（3）、 交換機(jī)最大輸出功率不能超過70W

(4) 、POE 交換機(jī)的IP 地址范圍 192.168.10.180～192.168.10.254/24 網(wǎng)關(guān)192.168.10.1；

3.7 WLAN OMC 集中網(wǎng)絡(luò)管理系統(tǒng)

WLAN OMC集中網(wǎng)絡(luò)管理系統(tǒng)對(duì)WLAN 的AC 、AP 進(jìn)行管理維護(hù)，要求OMC 為公網(wǎng)IP 地址；

3.8 校園返遷終端

在常德職業(yè)技術(shù)學(xué)院設(shè)置一個(gè)管理終端，即返遷終端，可以委托學(xué)校對(duì)AC、AP設(shè)備進(jìn)行維護(hù)。返遷終端為公網(wǎng)IP 地址。為了學(xué)校了解學(xué)生和教工上網(wǎng)的資費(fèi)情況，在返遷終端上安裝省移動(dòng)公司授權(quán)BOSS 終端機(jī)軟件；

3.9 校園網(wǎng)絡(luò)

校園網(wǎng)絡(luò)由防火墻、VPN 、匯聚交換機(jī)S6505、8個(gè)服務(wù)器、15個(gè)二層交換機(jī)S3900、返遷終端組成，校園網(wǎng)服務(wù)器上有電子期刊、教學(xué)軟件、EDA 設(shè)計(jì)工具等, 都享有有知識(shí)產(chǎn)權(quán)，為了保證校園網(wǎng)絡(luò)的安全，對(duì)于有線學(xué)生用戶，通過校園網(wǎng)內(nèi)部的認(rèn)證服務(wù)器，直接登錄校園網(wǎng)；對(duì)于無線用戶，用戶可以登錄到移動(dòng)城域網(wǎng)，通過VPN 訪問校園網(wǎng)，每一個(gè)學(xué)生有自己唯一的數(shù)字證書，這樣可以保證校園網(wǎng)絡(luò)安全。

4、組網(wǎng)IP 地址規(guī)劃：

4.1 、BRAS 5200 的IP 地址規(guī)劃

BRAS 5200 配置4個(gè)公網(wǎng)IP 地址；2個(gè)WAN 和2個(gè)LAN 接口

7

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

4.2、匯聚交換機(jī)Cisco 6509 的IP 地址規(guī)劃

Cisco6509 匯聚交換機(jī)劃分3個(gè)VLAN，分別為無線業(yè)務(wù)VLAN101 , 有線業(yè)務(wù)VLAN 102,AP 設(shè)備管理VLAN105 ,其中VLAN101用于為登錄移動(dòng)網(wǎng)的無線用戶業(yè)務(wù)群，VLAN102 用于管理有線網(wǎng)絡(luò)用戶群，VLAN105 用于管理AP 設(shè)備設(shè)立的設(shè)備管理群，無線業(yè)務(wù)VLAN101和有線業(yè)務(wù)VLAN102各需要一個(gè)公網(wǎng)IP 地址，VLAN105需要設(shè)備管理私網(wǎng)IP 地址，設(shè)置為192.168.10.2/24,網(wǎng)管 192.168.10.1。

4.3 、AC 的IP 地址規(guī)劃

WAN 接口劃分和功能：

z AC WAN接口劃分1個(gè)VLAN，為VLAN101 ,VLAN101用于為登錄移動(dòng)網(wǎng)的無線用戶業(yè)

務(wù)群；該地址配置2個(gè)公網(wǎng)IP 地址，主備用共4個(gè)IP 地址；

z DHCP 服務(wù)器：

MX-400 支持DHCP 服務(wù)器和地址池

外網(wǎng)地址池：為VLAN101用戶分配IP 地址，并啟用HDCP 池，DHCP池地址范圍 190.168.100.0～190.168.199.254/16，學(xué)生用戶通過獲取VLAN101的地址登錄外網(wǎng)； LAN接口劃分和功能：

LAN 接口通過EPON 設(shè)備和AP 連接，為了方便管理和維護(hù)，建議AP 的IP 地址設(shè)為靜態(tài)IP 地址，AP的地址范圍為192.168.10.3～179/24,網(wǎng)關(guān)設(shè)為192.168.10.1，AC LAN接口的IP 地址設(shè)為192.168.10.1;

4.4 、AP 管理IP 地址設(shè)置

為了方便管理AP ，AP 設(shè)置靜態(tài)IP 地址，地址范圍 192.168.10.3～179/24 ；

IP 地址分配見《附件_常德職業(yè)技術(shù)學(xué)院WLAN 網(wǎng)絡(luò) IP地址分配表090529》

8

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

4.5 POE交換機(jī)管理IP 地址設(shè)置

POE 交換機(jī)的IP 地址范圍 192.168.10.180～192.168.10.254/24 網(wǎng)關(guān)192.168.10.1；

IP 地址分配見《附件_常德職業(yè)技術(shù)學(xué)院WLAN 網(wǎng)絡(luò) IP地址分配表090529》

4.6 ONU管理IP 地址設(shè)置

ONU 設(shè)置為私網(wǎng)IP 地址，設(shè)置VLAN 106, IP地址為192.168.11.2~100/24,網(wǎng)關(guān)192.168.11.1 , ONU數(shù)量36個(gè),

IP 地址分配見《附件_常德職業(yè)技術(shù)學(xué)院WLAN 網(wǎng)絡(luò) IP地址分配表090529》

4.7 OLT管理IP 地址設(shè)置

OLT 設(shè)置公網(wǎng)IP 地址，兩個(gè)GPON 設(shè)備總共配置4個(gè)公網(wǎng)IP 地址。

4.8、WLAN OMC網(wǎng)絡(luò)管理和返遷終端IP 地址：

WLAN 網(wǎng)絡(luò)中的AP 和AC 由專門的WLAN OMC直接管理，OMC放在常德市網(wǎng)管中心機(jī)房； 在常德職業(yè)技術(shù)學(xué)院設(shè)置一個(gè)管理終端，即返遷終端，可以委托學(xué)校對(duì)AC、AP設(shè)備進(jìn)行維護(hù)。WLAN OMC 和返遷終端為公網(wǎng)IP 地址。為了學(xué)校了解學(xué)生和教工上網(wǎng)的資費(fèi)情況，在返遷終端上安裝省移動(dòng)公司授權(quán)BOSS 終端機(jī)軟件。

4.9、常德職業(yè)技術(shù)學(xué)院校園網(wǎng)IP 地址：

常德職業(yè)技術(shù)學(xué)院已經(jīng)有完備的有線校園網(wǎng)，校園網(wǎng)由防火墻、VPN 、S6505匯聚交換機(jī)、8個(gè)校園服務(wù)器、15個(gè)二層交換機(jī)S3900、返遷終端組成，校園網(wǎng)啟用私網(wǎng)IP 地址，主要滿足學(xué)校圖書館、辦公樓、教學(xué)樓老師學(xué)生有線上網(wǎng)的需求，現(xiàn)在外網(wǎng)租用中國教育網(wǎng)10Mbps 帶寬，中國聯(lián)通10Mbps 帶寬，中國電信100Mbps 帶寬。常德職業(yè)技術(shù)學(xué)院和電信的合同已經(jīng)到期，如果學(xué)校取消和中國電信合作，會(huì)直接租用中國移動(dòng)的100Mbps 有線帶

9

大唐電信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

寬。

常德職業(yè)技術(shù)學(xué)院總共需要15個(gè)公網(wǎng)IP 地址，可以保證校園網(wǎng)絡(luò)正常運(yùn)行。

如果學(xué)生校園網(wǎng)服務(wù)器上有電子期刊、教學(xué)軟件、EDA 設(shè)計(jì)工具等, 都享有有知識(shí)產(chǎn)權(quán)，為了保證校園網(wǎng)絡(luò)的安全，學(xué)生可以通過無線登錄到移動(dòng)的IP 城域網(wǎng)，然后通過VPN 訪問校園網(wǎng)，每一個(gè)學(xué)生有自己唯一的數(shù)字證書，這樣可以保證校園網(wǎng)絡(luò)安全。

5、有線校園網(wǎng)和無線校園網(wǎng)

常德移動(dòng)為常德職業(yè)技術(shù)學(xué)院建設(shè)兩個(gè)網(wǎng)絡(luò)，一個(gè)WLAN 無線覆蓋的網(wǎng)絡(luò)，一個(gè)為有線寬帶校園網(wǎng)絡(luò)，如果學(xué)校的學(xué)生和老師要想登錄到外網(wǎng)，可以參加移動(dòng)辦理優(yōu)惠套餐，采用手機(jī)號(hào)/密碼或在移動(dòng)營(yíng)業(yè)廳辦理預(yù)付費(fèi)卡用戶，獲取用戶名/密碼，可以登錄到外網(wǎng)；如果學(xué)生想登錄內(nèi)網(wǎng)，可以通過有線直接登錄內(nèi)網(wǎng)，還可以通過無線先登錄到移動(dòng)IP 城域網(wǎng)，通過VPN 登錄到校園網(wǎng)絡(luò)，這樣保證校園網(wǎng)絡(luò)的安全。

6、省移動(dòng)需要提供的資源

6.1 公網(wǎng)IP 地址資源

1) BRAS 5200需要4個(gè)公網(wǎng)IP 地址；

2) Cisco6509 匯聚交換機(jī)無線業(yè)務(wù)VLAN101和有線業(yè)務(wù)VLAN102各需要一個(gè)公網(wǎng)IP 地址，

如果有主備設(shè)備，總共需要4個(gè)公網(wǎng)IP 地址。

3) OLT 設(shè)置公網(wǎng)IP 地址，用于管理GPON 設(shè)備，IP 地址設(shè)置為公網(wǎng)IP 地址段,主備各需要

一個(gè)IP 地址，設(shè)計(jì)總共2套GPON,各需要4個(gè)公網(wǎng)IP 地址。

4) AC WAN 接口配置公網(wǎng)IP 地址，需要4個(gè)公網(wǎng)IP 地址，主用兩個(gè)IP 地址，備用兩個(gè)IP

地址。

5) WLAN OMC集中網(wǎng)絡(luò)管理系統(tǒng)，對(duì)WLAN 的AC 、AP 進(jìn)行管理，要求OMC 為公網(wǎng)

IP 地址；

6) 校園有線網(wǎng)絡(luò)包括由防火墻、VPN 、匯聚交換機(jī)S6505、8個(gè)服務(wù)器、15個(gè)二層交換機(jī)

10