【正文】 戶無法看到，防止非法用戶的連接企圖。SSID還可以選擇在某些AP上出現(xiàn)，某些AP上不出現(xiàn)，限制SSID出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。（2）加密：Aruba無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)WEP、動(dòng)態(tài)WEP、TKIP、WPA、 多種加密方式，三層的加密支持IPSec VPN加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。（3）用戶認(rèn)證：提供二種方式。① WPAPSK＋captive portal+VPN。加密方式采用WPAPSK，不建議采用靜態(tài)WEP，因?yàn)橛邪踩[患。采用captive portal+VPN的認(rèn)證方式，同時(shí)VPN還具有三層的加密功能，具有更高的安全性。認(rèn)證服務(wù)器的選擇比較靈活，可以使用RADIUS, LDAP, Windows NT, Active Directory, TACACS，甚至是Aruba交換機(jī)內(nèi)置的賬戶數(shù)據(jù)庫。② WPA+，如果客戶端不支持也可采用動(dòng)態(tài)WEP，認(rèn)證服務(wù)器選擇RADIUS。（4）用戶的Role（角色）：每一類用戶可以建立一個(gè)相關(guān)的Role，每個(gè)Role有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。（5）用戶狀態(tài)防火墻：用戶通過認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶設(shè)置他的訪問控制策略。（6）帶寬的控制：可以對每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。（7）認(rèn)證系統(tǒng)： Aruba無線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如Radius、LDAP、微軟的AD（活動(dòng)目錄）和在Aruba無線交換機(jī)內(nèi)部的Internal DB。（8）病毒的防護(hù)：無線終端病毒防護(hù)的可以從無線終端的準(zhǔn)入檢查以及對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢測兩個(gè)層面來進(jìn)行的。準(zhǔn)入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測上，Aruba無線交換機(jī)上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端，Aruba無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。無線用戶的移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡單的是二層漫游，所有廠家的產(chǎn)品都表現(xiàn)得不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無縫的漫游，Aruba無線局域網(wǎng)可以實(shí)現(xiàn)以上所有漫游功能。L2/L3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同AP之間漫游是有一定的困難，因?yàn)椴煌珹P之間，它的無線用戶IP子網(wǎng)可能都不是在同一個(gè)VLAN內(nèi)。所以當(dāng)無線終端從一個(gè)AP漫游到另一AP時(shí)，由于它們之間的缺省IP子網(wǎng)不同，無線終端會(huì)重新發(fā)出DHCP請求，這樣的話終端的IP地址就會(huì)更新，而所有在原先AP建立的連接都會(huì)被切斷。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術(shù)，但Mobile IP的缺點(diǎn)是它必須在無線終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無線接入端。通過Aruba 無線系統(tǒng)的Proxy DHCP 功能，就可解決了跨越不同三層IP子網(wǎng)的無線漫游問題。 當(dāng)無線終端從一個(gè)AP的IP子網(wǎng)漫游到另一個(gè)AP的IP子網(wǎng)時(shí)，它重新發(fā)出的DHCP請求會(huì)從這AP端的Aruba 無線交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無線交換機(jī)(用戶從那一個(gè)AP獲取它的IP地址)。用戶的原交換機(jī)會(huì)告知用戶漫游到的Aruba 交換機(jī)繼續(xù)保持用戶的原有的IP地址。所以雖然無線用戶已漫游到另一個(gè)IP子網(wǎng)，但它仍可以原有的IP地址繼續(xù)在新的AP上入網(wǎng)。Proxy DHCP 的優(yōu)點(diǎn)是它無需要求在用戶終端安裝任何軟件就可讓終端無縫的在不同IP子網(wǎng)之間漫游。 在不同域之間的用戶認(rèn)證和漫游在一個(gè)大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認(rèn)證服務(wù)器。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫是未必可行的，但同時(shí)無線用戶應(yīng)是可在內(nèi)無縫漫游。 當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會(huì)被斷線。要做到真正的無縫漫游，則需要有支持Radius Proxy 這樣的功能。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。Aruba 本身就可提供不同域之間的認(rèn)證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁時(shí)輸入或選擇域名。Aruba會(huì)把在不同域之間的認(rèn)證請求轉(zhuǎn)發(fā)到對應(yīng)這域的radius服務(wù)器處理。 無線局域網(wǎng)系統(tǒng)的實(shí)現(xiàn)根據(jù)對xxA分部地區(qū)的實(shí)地考察，并結(jié)合以往的工程經(jīng)驗(yàn)，我們對2號(hào)樓7－8層的無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃：27F（全覆蓋）28F（全覆蓋）一般廠家的無線網(wǎng)絡(luò)產(chǎn)品在企業(yè)網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分VLAN，否則只能將認(rèn)證點(diǎn)下放到AP上，導(dǎo)致整體性能的降低和漫游特性的缺失。而Aruba的AP是通過GRE的隧道連接到Aruba交換機(jī)上，所以Aruba產(chǎn)品在規(guī)劃上可以完全不改變企業(yè)網(wǎng)原有的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)實(shí)現(xiàn)無縫的二三層漫游。并且所有的AP都統(tǒng)一規(guī)劃統(tǒng)一集中管理。下面詳細(xì)敘述一下無線交換機(jī)在規(guī)劃配置實(shí)施時(shí)需要考慮的問題：AP的VLAN和無線用戶的VLAN第一代的無線局域網(wǎng)對AP所在的VLAN(AP為網(wǎng)絡(luò)設(shè)備)和無線用戶所在的VLAN是沒有明確的區(qū)分。這樣組網(wǎng)無論對無線用戶、AP和網(wǎng)絡(luò)的管理都有一定困難，而且很容易造成混亂。對網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的VLAN/IP子網(wǎng)應(yīng)當(dāng)和用戶是分開，這樣才可確保正常網(wǎng)絡(luò)運(yùn)行和維護(hù)。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把AP和無線用戶設(shè)置在同一個(gè)VLAN內(nèi)。這種組網(wǎng)方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網(wǎng)的SSID為局域網(wǎng)的VLAN。VLAN和無線SSID的關(guān)系 一般用戶都誤解無線局域網(wǎng)的SSID為局域網(wǎng)的VLAN，這可能是由于第一代的無線局域網(wǎng)都是通過“FAT AP”組網(wǎng)的原因。其實(shí)二者之間的關(guān)系并非是一對一，即一個(gè)SSID必須對應(yīng)有一個(gè)VLAN。當(dāng)然把一SSID設(shè)定在一個(gè)VLAN內(nèi)對傳統(tǒng)的無線局域網(wǎng)只能夠支持第二層的無線用戶漫游是唯一可實(shí)現(xiàn)的方式。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多改動(dòng)，如果AP數(shù)量多的話，相對的無線用戶VLAN/IP子網(wǎng)在接入層也增多，這些無線用戶的IP子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開通) 否則的話無線用戶就不一定能訪問局域網(wǎng)上的其它網(wǎng)點(diǎn)，包括在不同接入層的無線用戶。采用Aruba組網(wǎng)，當(dāng)無線用戶加入到無線網(wǎng)上的一個(gè)SSID時(shí)，很容易就可把他與一個(gè)VLAN綁定，而且不管他漫游到那一個(gè)AP上，因SSID的缺省VLAN實(shí)際上是穿越接入層直到Aruba交換機(jī)上，所以用戶的VLAN是無需在每個(gè)接入層上開通。但亦有可能SSID在不同的AP接入點(diǎn)時(shí)，它設(shè)置的缺省VLAN是不一樣的。當(dāng)有這樣的情況出現(xiàn)時(shí)，無線用戶從一個(gè)AP接入點(diǎn)漫游到另一個(gè)AP接入點(diǎn)時(shí)， DHCP協(xié)議應(yīng)會(huì)重分發(fā)給無線終端新的IP地址，但如果無線終端的IP地址更新的話，它先前建立的所有應(yīng)用連接就會(huì)被切斷。這樣的無線局域網(wǎng)實(shí)際上就不能支持跨三層無線漫游。 開通無線局域網(wǎng)接入 – 不需更改局域網(wǎng)路由要大規(guī)模在企業(yè)內(nèi)實(shí)現(xiàn)無線局域網(wǎng)接入，很多人都誤解需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改，這當(dāng)然是企業(yè)網(wǎng)絡(luò)管理部門不愿意做的事情。上面提到Aruba AP所在的VLAN和無線用戶的VLAN是獨(dú)立分開的，用戶只須在Aruba AP的接入點(diǎn)分配給它IP地址即可，這個(gè)IP地址可以是通過DHCP 服務(wù)器來分發(fā)，亦可以是以靜態(tài)IP地址方式配置在Aruba AP上。由于無線用戶的傳輸是通過Aruba AP 內(nèi)已建立的GRE隧道和Aruba交換機(jī)互連的，所以實(shí)際上無線用戶的VLAN是無須在接入層和匯聚層存在。當(dāng)大規(guī)模開展無線局域網(wǎng)時(shí)，就無須把在不同接入層上新增的無線終端VLAN/IP子網(wǎng)逐一在局域網(wǎng)上打通。無線用戶的VLAN是可透過Aruba交換機(jī)和骨干交換機(jī)互連互通。．3無線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn)無線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn)如下安全功能：216。 接入認(rèn)證控制：驗(yàn)證用戶，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供無線接入。 216。 確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶讀取或更改在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。 216。 偵測和阻斷非法接入：防止非法AP接入xx內(nèi)部網(wǎng)絡(luò)中。216。 監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個(gè)接入點(diǎn)的所有可用帶寬， 導(dǎo)致其他用戶的正當(dāng)接入。216。 檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。（可選功能）  Aruba無線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn) 無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)技術(shù)采用單純的AP實(shí)現(xiàn)無線接入外，基本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)（以正誠、昂科、Bluesocket等為代表），采用AC＋智能AP構(gòu)架，AC兩者實(shí)質(zhì)均為二層設(shè)備，AP實(shí)現(xiàn)接入、AC實(shí)現(xiàn)匯聚和認(rèn)證功能，有的廠商的AC實(shí)現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如：WEB認(rèn)證、流量的控制、訪問的控制等；支持VLAN、VPN、WPA等基本的安全管理，它們無法實(shí)現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個(gè)位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP sessions)增多時(shí)，無線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)（以Cisco、Aruba為代表），實(shí)現(xiàn)了基于無線網(wǎng)絡(luò)交換機(jī)，以AP為單元交換的無線網(wǎng)絡(luò)系統(tǒng)，Aruba是采用獨(dú)立的無線網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)的。作為第三代的Aruba無線系統(tǒng)采用了Wireless Switch＋AP構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos。Aruba無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面，Aruba無線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。在無線網(wǎng)絡(luò)管理方面，Aruba無線系統(tǒng)實(shí)現(xiàn)真正的集中控管，包括獨(dú)有的RF智能調(diào)控，自動(dòng)恢復(fù)、負(fù)載均衡功能，使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化，動(dòng)態(tài)自動(dòng)調(diào)節(jié)到最佳應(yīng)用效果；還可以實(shí)現(xiàn)遠(yuǎn)端AP狀態(tài)監(jiān)測，方便實(shí)現(xiàn)對AP的管理；具有多SSID支持，實(shí)現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。在無線安全性方面，Aruba無線系統(tǒng)具備多種用戶認(rèn)證、基于用戶的狀態(tài)防火墻、VPN加密機(jī)制、無線入侵偵測、無線接入病毒防護(hù)功