【正文】 制； （ 4）具有無線網(wǎng)的防病毒機(jī)制 （ 5）具有無線電波監(jiān)控能力，能提供無線入侵偵測(cè)和無線終端位置的追蹤功能。 2． 5 易管理易維護(hù) 在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動(dòng)恢復(fù)、負(fù)載均衡等實(shí)用功 能，使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動(dòng)態(tài)地保證良好的應(yīng)用效果。 采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。 由于這一代技術(shù)的 AP 儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個(gè)位置，一旦 AP 的配置被 盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。 Aruba 無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、 安全和對(duì)音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢(shì)。 在無線音視頻應(yīng)用方面， Aruba 獨(dú)有的基于每個(gè)用戶的帶寬控制和 QOS 保證，可以 確保語音和視頻業(yè)務(wù)的實(shí)時(shí)性，先進(jìn)的無縫三層移動(dòng)漫游，使得 VoIP 以及 Wifi 手機(jī)可以 自由的在任意 AP 間切換，具有目前業(yè)界最低的時(shí)延。并可以提供冗余熱備份機(jī)制，保證系統(tǒng)的高可用性。 除了 AP 數(shù)量之外，怎樣控管大量的 AP 和部署也是擴(kuò)展性的重要考慮因素。無線用戶的 VLAN 是可透 過 Aruba 交換機(jī)和骨干交換機(jī)互連互通。 對(duì)原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設(shè)而對(duì)原有網(wǎng)絡(luò) 的結(jié)構(gòu)改變的工作量。 RF Planning 自動(dòng)計(jì)算，然后顯示出 AP 在圖上的安裝坐標(biāo)位置和無線電波的覆蓋 范圍。 3． 2 Aruba 無線局域網(wǎng)的網(wǎng)絡(luò)管理 3． 2． 1 集中式管理 網(wǎng)絡(luò)數(shù)據(jù)中心管理一個(gè)具有規(guī)模的無線局域網(wǎng)（通常在幾十個(gè) AP 以上）是一件非常 頭痛的事情。 Aruba 系統(tǒng)具有非常強(qiáng)的無線局域網(wǎng)集中管理功能，通過無線交換機(jī) Master Switch 和 Local Switch 管理模式管理整個(gè)網(wǎng)絡(luò)，網(wǎng)管人員只需在無線交換機(jī)就可開通、管理、維護(hù) 所有 AP 設(shè)備以及移動(dòng)終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動(dòng)漫游以及接 入用戶。 初次安裝無線局域網(wǎng)時(shí)，用戶可通過 RF Planning 的 Auto Calibration 功能來自動(dòng)調(diào)節(jié) 整個(gè)無線網(wǎng)上所有 AP 的無線電波頻率和功率。無線電波掃描是指 Aruba AP 從一個(gè)電波頻道跳到另一頻道時(shí)，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對(duì)于在線的無線用戶（指連接到 AP 上在同一 頻率上的無線終端）的傳輸過程是不受到影響地。 3． 2． 4 多個(gè) SSID 結(jié)構(gòu) Aruba 系統(tǒng)的多 SSID 結(jié)構(gòu)和和實(shí)現(xiàn)技術(shù)使得在 Aruba 無線局域網(wǎng)系統(tǒng)的各種多媒體 應(yīng)用服務(wù)（數(shù)據(jù)、語音和視頻）在 Qos 上表現(xiàn)非常出色。 在一個(gè)語音 SSID 內(nèi)可把 SIP 和 等無線語音數(shù)據(jù)以優(yōu)先級(jí)隊(duì)列處理。 可在多 SSID 的情況下確保語音和視頻的 Qos 支持。 Aruba 系統(tǒng)具有自動(dòng)恢復(fù)的功能，實(shí)時(shí)偵測(cè)出網(wǎng)上 AP 是否有失效，當(dāng)發(fā)覺有 AP 出現(xiàn) 故障時(shí)， Aruba 交換機(jī)能會(huì)自動(dòng)調(diào)節(jié)鄰近的 AP 的功率（覆蓋范圍）來接替失效 AP 的工作。 Aruba 無線系統(tǒng)可應(yīng)用層面通過 4－ 7 層交 換模塊可以實(shí)現(xiàn)服務(wù)器的負(fù)載均衡， VPN 設(shè)備，防火墻設(shè)備等等一系列基于 TCP/IP 協(xié)議 設(shè)備的負(fù)載均衡來保證整體網(wǎng)絡(luò)的可靠性。這 是傳統(tǒng)無線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無線定位技術(shù)來取代傳呼機(jī)在 醫(yī)院內(nèi)尋找醫(yī)生、病人等。 3． 3． 2 多種用戶認(rèn)證方式 在 Aruba 無線系統(tǒng)中，一個(gè)無線用戶進(jìn)入無線網(wǎng)以后，會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限， 這個(gè)權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù) 據(jù)包，通過認(rèn)證以后才可以接入無線網(wǎng)。 Aruba 無 線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會(huì)獲得 一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員 13 可以使用更多的服務(wù)，而學(xué)生只可以瀏覽網(wǎng)頁、收發(fā) Email 等，這樣可以極大方便園區(qū)網(wǎng) 用戶的安全管理。通過 Aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 Aruba 無線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè) 無線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無線數(shù)據(jù)包，當(dāng) Aruba 無線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì) 記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無線交 換機(jī)上可以設(shè)定策略， 某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機(jī)會(huì)將其重 定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會(huì)將數(shù)據(jù)丟棄。對(duì)于不同的 IP 服務(wù)， Aruba 系統(tǒng)亦可透過 Aruba 無線交換機(jī)設(shè)置定義不同的 QoS 隊(duì)列。 3． 4． 2 VoIP 與 WIFI 手機(jī) 隨著 VoIP 的越來越普及 (如 Skype,… 等 )，基于 SIP 的 WiFi 電話將迅速變?yōu)閳@區(qū)內(nèi)用 戶之間話音聯(lián)絡(luò)的主流。很多手機(jī)廠家已開始推出雙模制式的手機(jī) (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無線局域網(wǎng)之間。 Aruba 無線系統(tǒng)可容許用戶設(shè)置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi 手機(jī)用戶分開，但也可以在單一 SSID 內(nèi)同時(shí)傳送數(shù)據(jù)和話音，關(guān)鍵的重點(diǎn)就是怎樣保證 語音傳輸?shù)馁|(zhì)量。無線網(wǎng)絡(luò)不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn) 行任何改變就可以實(shí)現(xiàn)這一切。這種技術(shù)可以確保無線語音業(yè)務(wù)可以 無縫的在 AP 間漫游，而不會(huì)發(fā)生掉線，是語音業(yè)務(wù)的質(zhì)量保證。 4． 1． 1 中型無線局域網(wǎng) (100 到 250 個(gè) AP)集中式組網(wǎng) 根據(jù)園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶可選擇單臺(tái) Aruba 5000 或 6000 交換機(jī)來組網(wǎng)。在網(wǎng)絡(luò)中心則設(shè)置二臺(tái) Master Aruba2400 (VRRP) 作為主控管交換機(jī)。 4． 1． 3 大型無線局域網(wǎng) (250 個(gè) AP 以上 )集中式組網(wǎng) 所有的無線交換機(jī)都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)中心內(nèi)則一定會(huì)有 1 臺(tái) Aruba5100 設(shè)置成 Master 工作模式，用以管理其它 Aruba5000/5100 交換機(jī)。 Aruba6000 無線交換機(jī)現(xiàn)在配備 SC48C1 和 SC128C1 服務(wù)卡，分別可以 支持 48 個(gè) AP 和 128 個(gè) AP。 使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶連接到 那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o線電波的傳輸是共享。 用戶可根據(jù)實(shí)際的情況和 發(fā)展來制定以怎樣方式來實(shí)現(xiàn)無線加密。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。 4． 3 網(wǎng)絡(luò)與用戶管理 Aruba 無線系統(tǒng)中可以設(shè)定用戶的角色（ role），每個(gè) role 可以基于用戶狀態(tài)防火墻和 代理限制的設(shè)定等規(guī)則。 一般在防火墻策略設(shè)計(jì)中，可以將來賓和普通學(xué)生的權(quán)限設(shè)置的較低，只能訪問有限 的資源，且優(yōu)先級(jí)較低，并且有帶寬的限制，甚至可以 做時(shí)間段的限制。 4． 4 無線安全性設(shè)計(jì) 在 Aruba 無線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 Aruba 無線系統(tǒng)中設(shè) 置多個(gè) SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分 服務(wù)。 （ 3） 用戶認(rèn)證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 ② WPA+ 加密方式盡量采用 WPA，如果客戶端不支持也可采用動(dòng)態(tài) WEP， 認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。 （ 7）認(rèn)證系統(tǒng)支持： Aruba 無線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、 LDAP、微軟 的 AD（活動(dòng)目錄）和在 Aruba 無線交換機(jī)內(nèi)部的 Internal DB 等等。 4． 5 移動(dòng)漫游設(shè)計(jì) 無線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品 都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無縫漫游， Aruba 無線 局域網(wǎng)可以實(shí)現(xiàn)快速無縫漫游功能。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù) 用戶的無線接入端。無線用戶已漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一 部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話，則用戶 會(huì)被斷線。 Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。 Aruba 公司的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機(jī) 可以完全使用管理 Aruba AP 的管理方式一樣來管理該款新型 AP，實(shí)現(xiàn)所有 Aruba 提供的 安全和管理功能。 教師和學(xué)生以及學(xué)生也可以隨時(shí)查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以 十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。 在方案實(shí)現(xiàn)上使用多個(gè) SSID：一個(gè)供學(xué)生用戶和來賓使用，可以不用加密，只做基于 WEB 的接入認(rèn)證，另一個(gè) SSID 供學(xué)校教職員工和工作人員使用，該 SSID 被配置為隱含， 不廣播出來，采用 WPA 加密＋ 認(rèn)證方式，確保此類用戶安全性。 25 綜上所述，無線局域網(wǎng)系統(tǒng)共開設(shè)多個(gè) SSID。 考慮到會(huì)議廳、報(bào)告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時(shí)需要考慮接入 容量因素。通過無線局域網(wǎng)，可 以輕松地實(shí)現(xiàn)主會(huì)場(chǎng)與分會(huì)場(chǎng)間資源共享的問題，這樣即可解決了會(huì)議場(chǎng)所的空間問題， 又可以相應(yīng)地節(jié)省人力和物力。 ??監(jiān)測(cè)和阻斷無線攻擊： 防止攻擊占用某個(gè)接入點(diǎn)的所有可用帶寬， 導(dǎo)致其他用戶 的正當(dāng)接入。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無線用戶設(shè)置在同 一個(gè) VLAN 內(nèi)。當(dāng)然把一 SSID 設(shè)定在一個(gè) VLAN 內(nèi)對(duì)傳統(tǒng)的無線局域網(wǎng)只能夠支持 第二層的無線用戶漫游是唯一可實(shí)現(xiàn)的方式。當(dāng)有這樣 27 的情況出現(xiàn)時(shí)，無線用戶從一個(gè) AP 接入點(diǎn)漫游到另一個(gè) AP 接入點(diǎn)時(shí)， DHCP 協(xié)議應(yīng)會(huì)重 分發(fā)給無線終端新的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應(yīng) 。 Aruba 交換機(jī)組網(wǎng)，當(dāng)無線用戶加入到無線網(wǎng)上的一個(gè) SSID 時(shí)，很容易與 VLAN 綁定， 無線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實(shí)際上是穿越接入層到 Aruba 交換機(jī)上， 用戶的 VLAN 是無需在每個(gè)接入層上開通。 5． 6． 2VLAN 和無線 SSID 的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線 局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。第一代無線組網(wǎng)無論對(duì)無線用戶、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很 容易造成混亂。 26 6 無線交換機(jī)的配置實(shí)施建議 一般廠家的無線網(wǎng)絡(luò)產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否 則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 ??確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶讀取或更動(dòng)在網(wǎng)絡(luò)上傳輸?shù)? 數(shù)據(jù)。 Aruba 無線系統(tǒng)以其技術(shù)先進(jìn) 的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運(yùn)行。并同時(shí) 采用不同的認(rèn)證、加密和安全控管的手段，以方便的實(shí)現(xiàn)網(wǎng)絡(luò) 安全和管理。只出現(xiàn)在需要提供這類應(yīng)用服務(wù)的 AP 上，其他 AP 都沒有該 SSID，用戶也就無從使用該 SSID 訪問網(wǎng)絡(luò)，保證無線網(wǎng)絡(luò)的安全性。 應(yīng)用主要有：（ 1）多媒體與網(wǎng)絡(luò)教學(xué)；（ 2）各種學(xué)術(shù)報(bào)告與會(huì)議需要的移動(dòng) VoIP （音視頻）；（ 3）移動(dòng)業(yè)務(wù)辦公；（ 4）訪問 Inter。 無線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡(luò)信息點(diǎn) 的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。 Aruba 6000 交換機(jī)集中匯集 AP 的接入和控管。但由于不是 所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。 C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5 跨 IP子網(wǎng)的交替連接 語音不會(huì)中斷 子網(wǎng) 1 子網(wǎng) 2 D H C P 1 0 . 1 . 1 . 1 1 . 根據(jù) V L A N 的連接用戶從 D H C P 服 務(wù)器接收到一個(gè) IP 地址 1 2 2 . 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā) 出另一 D H C P 請(qǐng)求 5 . 當(dāng)用戶漫游跨越 A r u b a 交換機(jī)時(shí) 線路連接不