【正文】 制； （ 4）具有無線網(wǎng)的防病毒機制 （ 5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。 2． 5 易管理易維護 在網(wǎng)絡管理方面，必須具有集中控管、智能調(diào)控、自動恢復、負載均衡等實用功 能，使所建的無線網(wǎng)絡可以適應多種環(huán)境的變化，可動態(tài)地保證良好的應用效果。 采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。 由于這一代技術(shù)的 AP 儲存了大量的網(wǎng)絡和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個位置，一旦 AP 的配置被 盜取讀出并修改，其無線網(wǎng)絡系統(tǒng)就失去了安全性。 Aruba 無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、 安全和對音視頻業(yè)務的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。 在無線音視頻應用方面， Aruba 獨有的基于每個用戶的帶寬控制和 QOS 保證，可以 確保語音和視頻業(yè)務的實時性，先進的無縫三層移動漫游，使得 VoIP 以及 Wifi 手機可以 自由的在任意 AP 間切換，具有目前業(yè)界最低的時延。并可以提供冗余熱備份機制，保證系統(tǒng)的高可用性。 除了 AP 數(shù)量之外，怎樣控管大量的 AP 和部署也是擴展性的重要考慮因素。無線用戶的 VLAN 是可透 過 Aruba 交換機和骨干交換機互連互通。 對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設而對原有網(wǎng)絡 的結(jié)構(gòu)改變的工作量。 RF Planning 自動計算，然后顯示出 AP 在圖上的安裝坐標位置和無線電波的覆蓋 范圍。 3． 2 Aruba 無線局域網(wǎng)的網(wǎng)絡管理 3． 2． 1 集中式管理 網(wǎng)絡數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常 頭痛的事情。 Aruba 系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，通過無線交換機 Master Switch 和 Local Switch 管理模式管理整個網(wǎng)絡，網(wǎng)管人員只需在無線交換機就可開通、管理、維護 所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接 入用戶。 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning 的 Auto Calibration 功能來自動調(diào)節(jié) 整個無線網(wǎng)上所有 AP 的無線電波頻率和功率。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對于在線的無線用戶（指連接到 AP 上在同一 頻率上的無線終端）的傳輸過程是不受到影響地。 3． 2． 4 多個 SSID 結(jié)構(gòu) Aruba 系統(tǒng)的多 SSID 結(jié)構(gòu)和和實現(xiàn)技術(shù)使得在 Aruba 無線局域網(wǎng)系統(tǒng)的各種多媒體 應用服務（數(shù)據(jù)、語音和視頻）在 Qos 上表現(xiàn)非常出色。 在一個語音 SSID 內(nèi)可把 SIP 和 等無線語音數(shù)據(jù)以優(yōu)先級隊列處理。 可在多 SSID 的情況下確保語音和視頻的 Qos 支持。 Aruba 系統(tǒng)具有自動恢復的功能，實時偵測出網(wǎng)上 AP 是否有失效，當發(fā)覺有 AP 出現(xiàn) 故障時， Aruba 交換機能會自動調(diào)節(jié)鄰近的 AP 的功率（覆蓋范圍）來接替失效 AP 的工作。 Aruba 無線系統(tǒng)可應用層面通過 4－ 7 層交 換模塊可以實現(xiàn)服務器的負載均衡， VPN 設備，防火墻設備等等一系列基于 TCP/IP 協(xié)議 設備的負載均衡來保證整體網(wǎng)絡的可靠性。這 是傳統(tǒng)無線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無線定位技術(shù)來取代傳呼機在 醫(yī)院內(nèi)尋找醫(yī)生、病人等。 3． 3． 2 多種用戶認證方式 在 Aruba 無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權(quán)限， 這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù) 據(jù)包，通過認證以后才可以接入無線網(wǎng)。 Aruba 無 線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得 一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員 13 可以使用更多的服務，而學生只可以瀏覽網(wǎng)頁、收發(fā) Email 等，這樣可以極大方便園區(qū)網(wǎng) 用戶的安全管理。通過 Aruba 的網(wǎng)絡安全管理系統(tǒng)，網(wǎng)絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 Aruba 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡處理器和加密處理器組成，且內(nèi)置一個 無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當 Aruba 無線系統(tǒng)偵測出有入侵時，它會 記錄和顯示入侵的格式，并對入侵做出自動保護響應。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無線交 換機上可以設定策略， 某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機會將其重 定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。對于不同的 IP 服務， Aruba 系統(tǒng)亦可透過 Aruba 無線交換機設置定義不同的 QoS 隊列。 3． 4． 2 VoIP 與 WIFI 手機 隨著 VoIP 的越來越普及 (如 Skype,… 等 )，基于 SIP 的 WiFi 電話將迅速變?yōu)閳@區(qū)內(nèi)用 戶之間話音聯(lián)絡的主流。很多手機廠家已開始推出雙模制式的手機 (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。 Aruba 無線系統(tǒng)可容許用戶設置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi 手機用戶分開，但也可以在單一 SSID 內(nèi)同時傳送數(shù)據(jù)和話音，關(guān)鍵的重點就是怎樣保證 語音傳輸?shù)馁|(zhì)量。無線網(wǎng)絡不需要對現(xiàn)有網(wǎng)絡進 行任何改變就可以實現(xiàn)這一切。這種技術(shù)可以確保無線語音業(yè)務可以 無縫的在 AP 間漫游，而不會發(fā)生掉線，是語音業(yè)務的質(zhì)量保證。 4． 1． 1 中型無線局域網(wǎng) (100 到 250 個 AP)集中式組網(wǎng) 根據(jù)園區(qū)網(wǎng)絡結(jié)構(gòu)和需求，用戶可選擇單臺 Aruba 5000 或 6000 交換機來組網(wǎng)。在網(wǎng)絡中心則設置二臺 Master Aruba2400 (VRRP) 作為主控管交換機。 4． 1． 3 大型無線局域網(wǎng) (250 個 AP 以上 )集中式組網(wǎng) 所有的無線交換機都放置在網(wǎng)絡中心，但是在網(wǎng)絡中心內(nèi)則一定會有 1 臺 Aruba5100 設置成 Master 工作模式，用以管理其它 Aruba5000/5100 交換機。 Aruba6000 無線交換機現(xiàn)在配備 SC48C1 和 SC128C1 服務卡，分別可以 支持 48 個 AP 和 128 個 AP。 使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。其實在一個 AP 范圍內(nèi)，不管用戶連接到 那一個 SSID 它們實際上都是在同一個 廣播域內(nèi)，因為無線電波的傳輸是共享。 用戶可根據(jù)實際的情況和 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。 4． 3 網(wǎng)絡與用戶管理 Aruba 無線系統(tǒng)中可以設定用戶的角色（ role），每個 role 可以基于用戶狀態(tài)防火墻和 代理限制的設定等規(guī)則。 一般在防火墻策略設計中，可以將來賓和普通學生的權(quán)限設置的較低，只能訪問有限 的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以 做時間段的限制。 4． 4 無線安全性設計 在 Aruba 無線系統(tǒng)中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護，其安全性設計如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶的種類、應用的種類，在 Aruba 無線系統(tǒng)中設 置多個 SSID，不同的 SSID 采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分 服務。 （ 3） 用戶認證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 ② WPA+ 加密方式盡量采用 WPA，如果客戶端不支持也可采用動態(tài) WEP， 認證方式采用 ，認證服務器選擇 RADIUS。 （ 7）認證系統(tǒng)支持： Aruba 無線系統(tǒng)支持多種認證系統(tǒng)，諸如 Radius、 LDAP、微軟 的 AD（活動目錄）和在 Aruba 無線交換機內(nèi)部的 Internal DB 等等。 4． 5 移動漫游設計 無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品 都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游， Aruba 無線 局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。這是一般網(wǎng)絡管理人員不愿意做的事情，因為它們就必須支持和維護 用戶的無線接入端。無線用戶已漫游到另一個 IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。當用戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一 部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶 會被斷線。 Aruba 會把在不同域之間的認證請求轉(zhuǎn)發(fā)到對應這域的 radius 服務器處理。 Aruba 公司的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機 可以完全使用管理 Aruba AP 的管理方式一樣來管理該款新型 AP，實現(xiàn)所有 Aruba 提供的 安全和管理功能。 教師和學生以及學生也可以隨時查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以 十分方便、快捷地創(chuàng)造一個多方位的可視化的遠程多媒體教學環(huán)境。 在方案實現(xiàn)上使用多個 SSID：一個供學生用戶和來賓使用，可以不用加密，只做基于 WEB 的接入認證，另一個 SSID 供學校教職員工和工作人員使用，該 SSID 被配置為隱含， 不廣播出來，采用 WPA 加密＋ 認證方式，確保此類用戶安全性。 25 綜上所述，無線局域網(wǎng)系統(tǒng)共開設多個 SSID。 考慮到會議廳、報告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時需要考慮接入 容量因素。通過無線局域網(wǎng)，可 以輕松地實現(xiàn)主會場與分會場間資源共享的問題，這樣即可解決了會議場所的空間問題， 又可以相應地節(jié)省人力和物力。 ??監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個接入點的所有可用帶寬， 導致其他用戶 的正當接入。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。但在具體實施時，很多為了方便都會把 AP 和無線用戶設置在同 一個 VLAN 內(nèi)。當然把一 SSID 設定在一個 VLAN 內(nèi)對傳統(tǒng)的無線局域網(wǎng)只能夠支持 第二層的無線用戶漫游是唯一可實現(xiàn)的方式。當有這樣 27 的情況出現(xiàn)時，無線用戶從一個 AP 接入點漫游到另一個 AP 接入點時， DHCP 協(xié)議應會重 分發(fā)給無線終端新的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應 。 Aruba 交換機組網(wǎng)，當無線用戶加入到無線網(wǎng)上的一個 SSID 時，很容易與 VLAN 綁定， 無線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實際上是穿越接入層到 Aruba 交換機上， 用戶的 VLAN 是無需在每個接入層上開通。 5． 6． 2VLAN 和無線 SSID 的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線 局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。第一代無線組網(wǎng)無論對無線用戶、 AP 和網(wǎng)絡的管理都有一定困難，而且很 容易造成混亂。 26 6 無線交換機的配置實施建議 一般廠家的無線網(wǎng)絡產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時都需要二層交換機連接或者劃分 VLAN，否 則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。 ??確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶讀取或更動在網(wǎng)絡上傳輸?shù)? 數(shù)據(jù)。 Aruba 無線系統(tǒng)以其技術(shù)先進 的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運行。并同時 采用不同的認證、加密和安全控管的手段，以方便的實現(xiàn)網(wǎng)絡 安全和管理。只出現(xiàn)在需要提供這類應用服務的 AP 上，其他 AP 都沒有該 SSID，用戶也就無從使用該 SSID 訪問網(wǎng)絡，保證無線網(wǎng)絡的安全性。 應用主要有：（ 1）多媒體與網(wǎng)絡教學；（ 2）各種學術(shù)報告與會議需要的移動 VoIP （音視頻）；（ 3）移動業(yè)務辦公；（ 4）訪問 Inter。 無線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡信息點 的地方，也可以很方便地進行可視化的音視頻教學和召開各種需要使用網(wǎng)絡音視頻的會議。 Aruba 6000 交換機集中匯集 AP 的接入和控管。但由于不是 所有的認證服務器都支持這種功能所以在具體實施時也有一定的困難。 C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5 跨 IP子網(wǎng)的交替連接 語音不會中斷 子網(wǎng) 1 子網(wǎng) 2 D H C P 1 0 . 1 . 1 . 1 1 . 根據(jù) V L A N 的連接用戶從 D H C P 服 務器接收到一個 IP 地址 1 2 2 . 當用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時會發(fā) 出另一 D H C P 請求 5 . 當用戶漫游跨越 A r u b a 交換機時 線路連接不