【正文】 制； （ 4）具有無(wú)線網(wǎng)的防病毒機(jī)制 （ 5）具有無(wú)線電波監(jiān)控能力，能提供無(wú)線入侵偵測(cè)和無(wú)線終端位置的追蹤功能。 2． 5 易管理易維護(hù) 在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動(dòng)恢復(fù)、負(fù)載均衡等實(shí)用功 能，使所建的無(wú)線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動(dòng)態(tài)地保證良好的應(yīng)用效果。 采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 無(wú)線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。 由于這一代技術(shù)的 AP 儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個(gè)位置，一旦 AP 的配置被 盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。 Aruba 無(wú)線系統(tǒng)不但具有一、二代無(wú)線產(chǎn)品所有的功能，并且在無(wú)線網(wǎng)的規(guī)劃、管理、 安全和對(duì)音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢(shì)。 在無(wú)線音視頻應(yīng)用方面， Aruba 獨(dú)有的基于每個(gè)用戶的帶寬控制和 QOS 保證，可以 確保語(yǔ)音和視頻業(yè)務(wù)的實(shí)時(shí)性，先進(jìn)的無(wú)縫三層移動(dòng)漫游，使得 VoIP 以及 Wifi 手機(jī)可以 自由的在任意 AP 間切換，具有目前業(yè)界最低的時(shí)延。并可以提供冗余熱備份機(jī)制，保證系統(tǒng)的高可用性。 除了 AP 數(shù)量之外，怎樣控管大量的 AP 和部署也是擴(kuò)展性的重要考慮因素。無(wú)線用戶的 VLAN 是可透 過 Aruba 交換機(jī)和骨干交換機(jī)互連互通。 對(duì)原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無(wú)線網(wǎng)的建設(shè)而對(duì)原有網(wǎng)絡(luò) 的結(jié)構(gòu)改變的工作量。 RF Planning 自動(dòng)計(jì)算，然后顯示出 AP 在圖上的安裝坐標(biāo)位置和無(wú)線電波的覆蓋 范圍。 3． 2 Aruba 無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理 3． 2． 1 集中式管理 網(wǎng)絡(luò)數(shù)據(jù)中心管理一個(gè)具有規(guī)模的無(wú)線局域網(wǎng)（通常在幾十個(gè) AP 以上）是一件非常 頭痛的事情。 Aruba 系統(tǒng)具有非常強(qiáng)的無(wú)線局域網(wǎng)集中管理功能，通過無(wú)線交換機(jī) Master Switch 和 Local Switch 管理模式管理整個(gè)網(wǎng)絡(luò)，網(wǎng)管人員只需在無(wú)線交換機(jī)就可開通、管理、維護(hù) 所有 AP 設(shè)備以及移動(dòng)終端，包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接 入用戶。 初次安裝無(wú)線局域網(wǎng)時(shí)，用戶可通過 RF Planning 的 Auto Calibration 功能來(lái)自動(dòng)調(diào)節(jié) 整個(gè)無(wú)線網(wǎng)上所有 AP 的無(wú)線電波頻率和功率。無(wú)線電波掃描是指 Aruba AP 從一個(gè)電波頻道跳到另一頻道時(shí)，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非常快，所以對(duì)于在線的無(wú)線用戶（指連接到 AP 上在同一 頻率上的無(wú)線終端）的傳輸過程是不受到影響地。 3． 2． 4 多個(gè) SSID 結(jié)構(gòu) Aruba 系統(tǒng)的多 SSID 結(jié)構(gòu)和和實(shí)現(xiàn)技術(shù)使得在 Aruba 無(wú)線局域網(wǎng)系統(tǒng)的各種多媒體 應(yīng)用服務(wù)（數(shù)據(jù)、語(yǔ)音和視頻）在 Qos 上表現(xiàn)非常出色。 在一個(gè)語(yǔ)音 SSID 內(nèi)可把 SIP 和 等無(wú)線語(yǔ)音數(shù)據(jù)以優(yōu)先級(jí)隊(duì)列處理。 可在多 SSID 的情況下確保語(yǔ)音和視頻的 Qos 支持。 Aruba 系統(tǒng)具有自動(dòng)恢復(fù)的功能，實(shí)時(shí)偵測(cè)出網(wǎng)上 AP 是否有失效，當(dāng)發(fā)覺有 AP 出現(xiàn) 故障時(shí)， Aruba 交換機(jī)能會(huì)自動(dòng)調(diào)節(jié)鄰近的 AP 的功率（覆蓋范圍）來(lái)接替失效 AP 的工作。 Aruba 無(wú)線系統(tǒng)可應(yīng)用層面通過 4－ 7 層交 換模塊可以實(shí)現(xiàn)服務(wù)器的負(fù)載均衡， VPN 設(shè)備，防火墻設(shè)備等等一系列基于 TCP/IP 協(xié)議 設(shè)備的負(fù)載均衡來(lái)保證整體網(wǎng)絡(luò)的可靠性。這 是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無(wú)線定位技術(shù)來(lái)取代傳呼機(jī)在 醫(yī)院內(nèi)尋找醫(yī)生、病人等。 3． 3． 2 多種用戶認(rèn)證方式 在 Aruba 無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)以后，會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限， 這個(gè)權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù) 據(jù)包，通過認(rèn)證以后才可以接入無(wú)線網(wǎng)。 Aruba 無(wú) 線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過認(rèn)證后，他會(huì)獲得 一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略，例如老師和工作人員 13 可以使用更多的服務(wù)，而學(xué)生只可以瀏覽網(wǎng)頁(yè)、收發(fā) Email 等，這樣可以極大方便園區(qū)網(wǎng) 用戶的安全管理。通過 Aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過非法 AP 聯(lián)接到無(wú)線網(wǎng)中。 Aruba 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè) 無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng) Aruba 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì) 記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無(wú)線交 換機(jī)上可以設(shè)定策略， 某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機(jī)會(huì)將其重 定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會(huì)將數(shù)據(jù)丟棄。對(duì)于不同的 IP 服務(wù)， Aruba 系統(tǒng)亦可透過 Aruba 無(wú)線交換機(jī)設(shè)置定義不同的 QoS 隊(duì)列。 3． 4． 2 VoIP 與 WIFI 手機(jī) 隨著 VoIP 的越來(lái)越普及 (如 Skype,… 等 )，基于 SIP 的 WiFi 電話將迅速變?yōu)閳@區(qū)內(nèi)用 戶之間話音聯(lián)絡(luò)的主流。很多手機(jī)廠家已開始推出雙模制式的手機(jī) (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無(wú)線局域網(wǎng)之間。 Aruba 無(wú)線系統(tǒng)可容許用戶設(shè)置專有的語(yǔ)音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi 手機(jī)用戶分開，但也可以在單一 SSID 內(nèi)同時(shí)傳送數(shù)據(jù)和話音，關(guān)鍵的重點(diǎn)就是怎樣保證 語(yǔ)音傳輸?shù)馁|(zhì)量。無(wú)線網(wǎng)絡(luò)不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn) 行任何改變就可以實(shí)現(xiàn)這一切。這種技術(shù)可以確保無(wú)線語(yǔ)音業(yè)務(wù)可以 無(wú)縫的在 AP 間漫游，而不會(huì)發(fā)生掉線，是語(yǔ)音業(yè)務(wù)的質(zhì)量保證。 4． 1． 1 中型無(wú)線局域網(wǎng) (100 到 250 個(gè) AP)集中式組網(wǎng) 根據(jù)園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶可選擇單臺(tái) Aruba 5000 或 6000 交換機(jī)來(lái)組網(wǎng)。在網(wǎng)絡(luò)中心則設(shè)置二臺(tái) Master Aruba2400 (VRRP) 作為主控管交換機(jī)。 4． 1． 3 大型無(wú)線局域網(wǎng) (250 個(gè) AP 以上 )集中式組網(wǎng) 所有的無(wú)線交換機(jī)都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)中心內(nèi)則一定會(huì)有 1 臺(tái) Aruba5100 設(shè)置成 Master 工作模式，用以管理其它 Aruba5000/5100 交換機(jī)。 Aruba6000 無(wú)線交換機(jī)現(xiàn)在配備 SC48C1 和 SC128C1 服務(wù)卡，分別可以 支持 48 個(gè) AP 和 128 個(gè) AP。 使用無(wú)線網(wǎng)絡(luò)可以分為不同的無(wú)線接入業(yè)務(wù)類型。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶連接到 那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o(wú)線電波的傳輸是共享。 用戶可根據(jù)實(shí)際的情況和 發(fā)展來(lái)制定以怎樣方式來(lái)實(shí)現(xiàn)無(wú)線加密。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。 4． 3 網(wǎng)絡(luò)與用戶管理 Aruba 無(wú)線系統(tǒng)中可以設(shè)定用戶的角色（ role），每個(gè) role 可以基于用戶狀態(tài)防火墻和 代理限制的設(shè)定等規(guī)則。 一般在防火墻策略設(shè)計(jì)中，可以將來(lái)賓和普通學(xué)生的權(quán)限設(shè)置的較低，只能訪問有限 的資源，且優(yōu)先級(jí)較低，并且有帶寬的限制，甚至可以 做時(shí)間段的限制。 4． 4 無(wú)線安全性設(shè)計(jì) 在 Aruba 無(wú)線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 Aruba 無(wú)線系統(tǒng)中設(shè) 置多個(gè) SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分 服務(wù)。 （ 3） 用戶認(rèn)證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 ② WPA+ 加密方式盡量采用 WPA，如果客戶端不支持也可采用動(dòng)態(tài) WEP， 認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。 （ 7）認(rèn)證系統(tǒng)支持： Aruba 無(wú)線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、 LDAP、微軟 的 AD（活動(dòng)目錄）和在 Aruba 無(wú)線交換機(jī)內(nèi)部的 Internal DB 等等。 4． 5 移動(dòng)漫游設(shè)計(jì) 無(wú)線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品 都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無(wú)縫漫游， Aruba 無(wú)線 局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫漫游功能。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù) 用戶的無(wú)線接入端。無(wú)線用戶已漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一 部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話，則用戶 會(huì)被斷線。 Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。 Aruba 公司的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機(jī) 可以完全使用管理 Aruba AP 的管理方式一樣來(lái)管理該款新型 AP，實(shí)現(xiàn)所有 Aruba 提供的 安全和管理功能。 教師和學(xué)生以及學(xué)生也可以隨時(shí)查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以 十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。 在方案實(shí)現(xiàn)上使用多個(gè) SSID：一個(gè)供學(xué)生用戶和來(lái)賓使用，可以不用加密，只做基于 WEB 的接入認(rèn)證，另一個(gè) SSID 供學(xué)校教職員工和工作人員使用，該 SSID 被配置為隱含， 不廣播出來(lái)，采用 WPA 加密＋ 認(rèn)證方式，確保此類用戶安全性。 25 綜上所述，無(wú)線局域網(wǎng)系統(tǒng)共開設(shè)多個(gè) SSID。 考慮到會(huì)議廳、報(bào)告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時(shí)需要考慮接入 容量因素。通過無(wú)線局域網(wǎng)，可 以輕松地實(shí)現(xiàn)主會(huì)場(chǎng)與分會(huì)場(chǎng)間資源共享的問題，這樣即可解決了會(huì)議場(chǎng)所的空間問題， 又可以相應(yīng)地節(jié)省人力和物力。 ??監(jiān)測(cè)和阻斷無(wú)線攻擊： 防止攻擊占用某個(gè)接入點(diǎn)的所有可用帶寬， 導(dǎo)致其他用戶 的正當(dāng)接入。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無(wú)線用戶設(shè)置在同 一個(gè) VLAN 內(nèi)。當(dāng)然把一 SSID 設(shè)定在一個(gè) VLAN 內(nèi)對(duì)傳統(tǒng)的無(wú)線局域網(wǎng)只能夠支持 第二層的無(wú)線用戶漫游是唯一可實(shí)現(xiàn)的方式。當(dāng)有這樣 27 的情況出現(xiàn)時(shí)，無(wú)線用戶從一個(gè) AP 接入點(diǎn)漫游到另一個(gè) AP 接入點(diǎn)時(shí)， DHCP 協(xié)議應(yīng)會(huì)重 分發(fā)給無(wú)線終端新的 IP 地址，但如果無(wú)線終端的 IP 地址更新的話，它先前建立的所有應(yīng) 。 Aruba 交換機(jī)組網(wǎng)，當(dāng)無(wú)線用戶加入到無(wú)線網(wǎng)上的一個(gè) SSID 時(shí)，很容易與 VLAN 綁定， 無(wú)線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實(shí)際上是穿越接入層到 Aruba 交換機(jī)上， 用戶的 VLAN 是無(wú)需在每個(gè)接入層上開通。 5． 6． 2VLAN 和無(wú)線 SSID 的關(guān)系 一般用戶都誤解無(wú)線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無(wú)線 局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。第一代無(wú)線組網(wǎng)無(wú)論對(duì)無(wú)線用戶、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很 容易造成混亂。 26 6 無(wú)線交換機(jī)的配置實(shí)施建議 一般廠家的無(wú)線網(wǎng)絡(luò)產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否 則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 ??確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶讀取或更動(dòng)在網(wǎng)絡(luò)上傳輸?shù)? 數(shù)據(jù)。 Aruba 無(wú)線系統(tǒng)以其技術(shù)先進(jìn) 的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運(yùn)行。并同時(shí) 采用不同的認(rèn)證、加密和安全控管的手段，以方便的實(shí)現(xiàn)網(wǎng)絡(luò) 安全和管理。只出現(xiàn)在需要提供這類應(yīng)用服務(wù)的 AP 上，其他 AP 都沒有該 SSID，用戶也就無(wú)從使用該 SSID 訪問網(wǎng)絡(luò)，保證無(wú)線網(wǎng)絡(luò)的安全性。 應(yīng)用主要有：（ 1）多媒體與網(wǎng)絡(luò)教學(xué)；（ 2）各種學(xué)術(shù)報(bào)告與會(huì)議需要的移動(dòng) VoIP （音視頻）；（ 3）移動(dòng)業(yè)務(wù)辦公；（ 4）訪問 Inter。 無(wú)線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡(luò)信息點(diǎn) 的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。 Aruba 6000 交換機(jī)集中匯集 AP 的接入和控管。但由于不是 所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。 C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5 跨 IP子網(wǎng)的交替連接 語(yǔ)音不會(huì)中斷 子網(wǎng) 1 子網(wǎng) 2 D H C P 1 0 . 1 . 1 . 1 1 . 根據(jù) V L A N 的連接用戶從 D H C P 服 務(wù)器接收到一個(gè) IP 地址 1 2 2 . 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā) 出另一 D H C P 請(qǐng)求 5 . 當(dāng)用戶漫游跨越 A r u b a 交換機(jī)時(shí) 線路連接不