发布时间 : 星期五 文章XX医院aruba技术方案 - 图文更新完毕开始阅读33e01da4f524ccbff12184ff
2.3无线网络拓扑图
首都机场医院实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是网管人员不愿意做的事情,采用Aruba系统无需更改现有的有线网结构。
由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便在院区里实施无线局域网,同时也非常方便进行扩展。
对原有的有线网路由器不需要改变路由结构,减轻了由于无线网的建设而对原有网络的结构改变的工作量。
无线网络拓扑图如下:
在院区的网络中心放置一台Aruba3200无线交换机,全网络AP统一接收管理,AP以及通过AP接入进来的用户,通过采用各种策略,将用户划分到各个不同的角色中。这种组网方式具有简易灵活并方便扩容的特点。
当首都机场医院无线局域网规模需要扩大而增加AP数量时,直接扩展无线AP数量以及相应许可证即可, Aruba 3200最多可以支持到32个AP。
在本次无线项目中,Aruba3200 无线网络交换机连接到网络的核心层的一台
Page 9 of 33
交换机上(信息中心节点);而放置于院区任何地方的Aruba AP 通过接入院区原有有线网络和Aruba3200无线交换机进行互连。通过AP连接上来的客户端的所有数据流量则通过GRE隧道(AP和ARUBA3200之间)传送到Aruba3200上,解封装后数据流再传送到院区网中。以此来实现无线网络与院区原有有线网络的互连互通。具体GRE数据流如下图所示:
2.4设备管理IP地址分配
对于网络设备的管理地址,建议使用院区网分配的IP地址。
2.5客户端IP地址分配
2.5.1 IP地址分配原则
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响。在对IP地址
Page 10 of 33
进行规划建设的同时,应充分考虑本地网对IP地址的需求,以满足未来业务发展对IP地址的需求。
IP地址规划遵循以下几点:
? IP地址的规划与划分应该考虑到IP网络的飞速发展,能够满足网络未来发展的需要;既要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
? IP地址规划应该是院区网整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。 ? 通过预测网络的规模,应该为一个网络区域分配的网络地址留有一定的容量,便于系统扩展;
? 大型局域网规划,应该首先把整个网络划分为几个大区域,方法是根据地域、设备分布及区域内用户数量来划分,每个大区域又可以分为几个子区域,每个子区域从它的上一级区域里获取IP地址段(子网段)。这种方式充分考虑了网络层次和路由协议的规划,通过聚合网络减少网络中路由的数目和地址维护的数量,充分体现了分层管理的思想。
? 尽量保证本地网内IP地址的较大范围的连续性,通过汇总缩小路由表,提高转发效率;
? IP地址的分配必须采用VLSM技术,保证IP地址的利用效率; ? 采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小; ? 充分合理利用已申请的地址空间,提高地址的利用效率。 ? 简单一致性:地址分配力求简单,分配规则力求一致,便于日后对IP地址的管理。
2.5.2 IP地址规划
考虑同时接入无线网络的人数,建议考虑为用户IP地址分配1个C的地址段。客户端IP地址分配方式建议采用DHCP方式。
Page 11 of 33
2.6无线网络认证系统设计
目前业界普遍的做法是使用静态wpa加密与基于MAC地址的认证方式来进行设备接入认证。
当用户想要接入无线网络,首先要由网管在用户电脑输入wpa加密密钥,其次在aruba内置数据库中存入用户MAC地址,这样这台电脑就可以使用无线网络。
对于非法用户,由于非法用户不知道wpa密钥,可避免非法用户关联到无线网络中,即使wpa密钥泄漏,由于非法用户MAC地址不在aruba内置数据库中,aruba也会拒绝非法用户使用无线网络。
(建议wpa密钥由网管管理,避免泄漏。)
三、首都机场医院体检中心接入点设计
3.1室内覆盖方案
体检中心用6个AP覆盖,AP放置在楼道顶部,AP放置位置如下图。
图例:●AP●●●大厅●●● Page 12 of 33