【正文】 對(duì)網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的 VLAN/IP 子網(wǎng)應(yīng)當(dāng)和用戶是分開，這樣才可確保正常網(wǎng)絡(luò)運(yùn)行和維護(hù)。 ? 偵測(cè)和阻斷非法接入：防止非法 AP 接入 學(xué)校的 無(wú)線網(wǎng)絡(luò)中。 5． 4 多媒體 以及音視頻應(yīng)用的實(shí)現(xiàn) 在會(huì)議廳、報(bào)告廳實(shí)現(xiàn)無(wú)線覆蓋，可以建立 Aruba 的無(wú)線音視頻會(huì)議網(wǎng)絡(luò)系統(tǒng)平臺(tái)。 采用 Aruba 無(wú)線系統(tǒng)的多 SSID 結(jié)構(gòu)的管理技術(shù)將不同類型的用戶 和應(yīng)用劃分到不同的 SSID 中，賦予不同的訪問規(guī)則與權(quán)限以及配置不同的管理策略。無(wú)線交換機(jī)和 AP 的連接可以穿透三層 網(wǎng)絡(luò)設(shè)備 ，因此，無(wú)線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)， 可以實(shí)現(xiàn)全網(wǎng)的 無(wú)線 漫游。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫(kù)是未必可行的，但同時(shí)無(wú)線用戶應(yīng)是可在內(nèi)無(wú)縫漫游。過(guò)去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點(diǎn)是它必須在無(wú)線終端安裝軟件。 21 （ 6）帶寬 控制：可以對(duì)每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。 （ 2） 加密： Aruba 無(wú)線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動(dòng) 態(tài) WEP、TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。 Aruba 的基于用戶狀態(tài)的防火墻則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的 防火墻策略，不同的無(wú)線用戶有不同的防火墻策略，例如一個(gè)用戶可以使用 SIP 的服務(wù)，而另一用戶則可用 FTP。不能一步轉(zhuǎn)到 的主因在于很多的無(wú)線終端現(xiàn)在尚未支持 ，而是不可能把所有的終端一次更換 成最新的軟件程序。由于用戶一般把 SSID 看成 VLAN，所以它們都會(huì)慣性 地以 VLAN 概念來(lái)劃分 SSID。這種組網(wǎng)方式簡(jiǎn)易靈活并 方便擴(kuò)容。一些要求較高的用戶會(huì)采用雙機(jī)（二臺(tái)Aruba2400）在配線間以 VRRP 串聯(lián)模式來(lái)加強(qiáng)網(wǎng)絡(luò)冗余備份。而 Aruba 的 handoff 性能極佳，保證了語(yǔ)音的流暢。 尤其 無(wú)線 語(yǔ)音的漫游 ,它會(huì)比一般的數(shù)據(jù)移動(dòng)傳輸更普及，但相對(duì)的要求也較嚴(yán)緊，所以要在無(wú)線局域網(wǎng)實(shí)現(xiàn)語(yǔ)音和數(shù)據(jù)融合，就不能隨意的安裝一些 AP，而必須是有規(guī)范的組建無(wú)線局域網(wǎng)。 提供語(yǔ)音服務(wù)，將極大以高無(wú)線網(wǎng)絡(luò)的實(shí)際運(yùn)營(yíng)效果，為廣大在校師生提供無(wú)線網(wǎng)絡(luò)服 務(wù)，隨著無(wú)線語(yǔ)音技術(shù)的發(fā)展，無(wú)線語(yǔ)音無(wú)線數(shù)據(jù)服務(wù)將極大方便用戶的園區(qū) 生活。 當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查，但是如何對(duì)無(wú)線 終端發(fā)出 數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。 3． 3． 5 無(wú)線接入點(diǎn)安全偵測(cè)和保護(hù) 采用 Aruba 無(wú)線系統(tǒng)的 RF 偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè) 園區(qū) 無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP 接入情況 ,如相鄰房間的 AP、設(shè)置錯(cuò)誤的 AP 以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。 3． 3 Aruba 無(wú)線局域網(wǎng)系統(tǒng)的安全管理 3． 3． 1 集中的安全管理 Aruba 無(wú)線系統(tǒng)的安全管理是將防火墻、 VPN、安全認(rèn)證、防病毒、無(wú)線入侵監(jiān)測(cè)以及 RF 電磁波管理等多項(xiàng)安全功能匯聚到 Aruba 無(wú)線交換機(jī)上來(lái)完成的，解決了傳統(tǒng)的無(wú)線網(wǎng)對(duì)安全的分散管理（ AP、 AC）和能力，給用戶帶來(lái)的不安全感，擺脫了對(duì)有線網(wǎng)安全的依賴性。要確保每個(gè)無(wú)線終端的傳輸就必須能限制一個(gè) AP 上無(wú)線終端的數(shù)量或AP 帶寬傳輸總和或和每個(gè)無(wú)線終端帶寬上限。在一個(gè)預(yù)設(shè)定語(yǔ)音 SSID 內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語(yǔ)音傳輸協(xié)議通過(guò)，以確保其它數(shù)據(jù)不能進(jìn)入這 SSID。當(dāng)某一覆蓋范圍內(nèi)的無(wú)線 電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等， Aruba 無(wú)線交換機(jī)就會(huì)把所獲取的無(wú)線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無(wú)線電波。 3． 2． 3 RF 智能控管 Aruba 系統(tǒng)的 RF 智能控管可以自動(dòng)調(diào)節(jié)網(wǎng)上所有 Aruba AP 的電波特性。 Aruba RF Planning 為無(wú)線網(wǎng)的規(guī)劃設(shè)計(jì)、調(diào)試以及維護(hù)提供科學(xué)化和規(guī)范化的管理。不用劃分 VLAN，對(duì)于無(wú)線網(wǎng) 絡(luò) 的 管理帶來(lái)極大的便利性。在網(wǎng)絡(luò)系統(tǒng)擴(kuò)展性方面， Aruba 的一臺(tái) 5000/6000 型交換機(jī)可靈活地對(duì)從 48 個(gè) AP 到 128 個(gè) AP擴(kuò)充到支持 512 個(gè) AP，因此擴(kuò)展 AP 非常容易；從網(wǎng)絡(luò)管理擴(kuò)展性方面 , Aruba 的Master/Local 方式， Master Aruba 交換機(jī)可以同時(shí)控制管理 28 臺(tái)的 Local Aruba 交換機(jī)，因此增加交換機(jī)也非常容易管理。 在無(wú)線安全性方面， Aruba 無(wú)線系統(tǒng)具備多種用戶認(rèn)證、基于用戶的狀態(tài)防火墻、VPN 加密機(jī)制、無(wú)線入侵偵測(cè)、無(wú)線接入病毒防護(hù)功能以及集中的安全管理。 第二代無(wú)線局域網(wǎng)技術(shù)（以正誠(chéng)、昂科、 Bluesocket 等為代表），采用 AC＋智能 AP構(gòu)架， AC 兩者實(shí)質(zhì) 均為二層設(shè)備， AP 實(shí)現(xiàn)接入、 AC 實(shí)現(xiàn)匯聚和認(rèn)證功能，有的廠商的AC 實(shí)現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如： WEB 認(rèn)證、流量的控制、訪問的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理，它們無(wú)法實(shí)現(xiàn)對(duì)無(wú)線電磁波層面的調(diào)控和優(yōu)化。 充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨(dú)組網(wǎng)， AP 就近接入有線網(wǎng)絡(luò)（最近的交換機(jī)），并且不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)以及交換機(jī)配置。第三代無(wú)線局域網(wǎng) 架構(gòu) 采用無(wú)線交換機(jī) 加瘦 AP 的 結(jié)構(gòu) ，使得無(wú)線局域網(wǎng)的 網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力 得 以 大幅提高 ，使建設(shè)大型無(wú)線網(wǎng)成為可能。 無(wú)線網(wǎng)絡(luò)的覆蓋重點(diǎn)為?? （以下針對(duì)大學(xué)的需求展開） 1． 2 網(wǎng)絡(luò)教學(xué)需求 XXXX 大學(xué) 有 多 個(gè)多媒體教學(xué)教室和 計(jì)算機(jī)網(wǎng)絡(luò)教室，由于在建設(shè)時(shí)這些房間的使用功能 考慮 ，目前有線 網(wǎng)絡(luò)環(huán)境教室 已經(jīng) 不能滿足 廣大師生 網(wǎng)絡(luò)接入，如采用有線網(wǎng)絡(luò)擴(kuò)充方式還需要在這些教室布大量 網(wǎng)線 ，其工程難度很大。由于 XXXX 是新建成投入使用的，采用有線網(wǎng)絡(luò)擴(kuò)充而進(jìn)行的網(wǎng)絡(luò)布線工程會(huì)對(duì) XXXX 墻壁和頂棚做大量的施工，影響 建筑樓群 內(nèi)部的外觀。 根據(jù) XXXX 大學(xué)的需求和無(wú)線網(wǎng)建設(shè)與設(shè)計(jì)原則， 建議 采用美國(guó) Aruba Networks公司的第三代無(wú)線交換局域網(wǎng)系統(tǒng)（以下簡(jiǎn)稱 Aruba 無(wú)線系統(tǒng)），完成 無(wú)線局域網(wǎng) 覆蓋項(xiàng)目 。 2． 5 易管理易維護(hù) 在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào) 控、自動(dòng)恢復(fù)、負(fù)載均衡等實(shí)用功能，使所建的無(wú)線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動(dòng)態(tài)地保證良好的應(yīng)用效果。 無(wú)線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。 Aruba 無(wú)線系統(tǒng)不但具有一、二代無(wú)線產(chǎn)品所有的功能，并且在無(wú)線網(wǎng)的規(guī)劃、管理、安全和對(duì)音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢(shì)。并可以提供冗余熱備份機(jī)制，保證系統(tǒng)的高可用性。無(wú)線用戶的 VLAN 是可透過(guò) Aruba 交換機(jī)和骨干交換機(jī)互連互通。 RF Planning 自動(dòng)計(jì)算，然后顯示出 AP 在圖上的安裝坐標(biāo)位置和無(wú)線電波的覆蓋范圍。 Aruba 系統(tǒng)具有非常強(qiáng)的無(wú)線局域網(wǎng)集中管理功能， 通過(guò)無(wú)線交換機(jī) Master Switch 和Local Switch 管理模式管理整個(gè)網(wǎng)絡(luò)，網(wǎng)管人員 只需在無(wú)線交 換機(jī)就可開通、管理、維護(hù)所有 AP 設(shè)備以及移動(dòng)終端，包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。 無(wú)線電波掃描 是指 Aruba AP 從一個(gè)電波頻道跳到另一頻道時(shí)，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對(duì)于在線的無(wú)線用戶（指連接到 AP 上在同一頻率上的無(wú)線終端）的傳輸過(guò)程是不受到影響地。 在一個(gè)語(yǔ)音 SSID 內(nèi)可把 SIP 和 等無(wú)線語(yǔ)音數(shù)據(jù)以優(yōu)先級(jí)隊(duì)列處理。 Aruba 系統(tǒng)具有自動(dòng)恢復(fù)的功能，實(shí)時(shí)偵測(cè)出網(wǎng)上 AP 是否有失效，當(dāng)發(fā)覺有 AP 出現(xiàn)故障時(shí)， Aruba 交換機(jī)能會(huì)自動(dòng)調(diào)節(jié)鄰近的 AP 的功率（覆蓋范圍）來(lái)接替失效 AP 的工作。這是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無(wú)線定位技術(shù)來(lái)取代傳呼機(jī)在醫(yī)院內(nèi)尋找醫(yī)生、病人等。 Aruba 無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略，例如老師和工作人員 13 可以使用更多的服務(wù)，而學(xué)生只可以瀏覽網(wǎng)頁(yè)、收發(fā) Email 等，這樣可以極大方便 園區(qū) 網(wǎng)用戶的安全管理。 Aruba 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的 無(wú)線數(shù)據(jù)包，當(dāng) Aruba 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。對(duì)于不同的 IP 服務(wù)， Aruba系統(tǒng)亦可透過(guò) Aruba 無(wú)線交換機(jī)設(shè)置定義不同的 QoS 隊(duì)列。很多手機(jī)廠家已開始推出雙模制式的手機(jī) (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無(wú)線局域網(wǎng)之間。 無(wú)線網(wǎng)絡(luò) 不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何改變就可以實(shí)現(xiàn)這一切。 4． 1． 1 中型無(wú)線局域網(wǎng) (100 到 250 個(gè) AP)集中式組網(wǎng) 根據(jù) 園區(qū) 網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶可選擇單臺(tái) Aruba 5000 或 6000 交換機(jī)來(lái)組網(wǎng)。 4． 1． 3 大型無(wú)線局域網(wǎng) (250 個(gè) AP 以上 )集中式組網(wǎng) 所有的無(wú)線交換機(jī)都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)中心內(nèi)則一定會(huì)有 1 臺(tái) Aruba5100設(shè)置成 Master 工作模式，用以管理其它 Aruba5000/5100 交換機(jī)。 使用 無(wú)線 網(wǎng)絡(luò) 可以 分為不同的 無(wú)線接入業(yè)務(wù)類型。 用戶可根據(jù)實(shí)際的情況和 發(fā)展來(lái)制定以怎樣方式來(lái)實(shí)現(xiàn)無(wú)線加密。 4． 3 網(wǎng)絡(luò)與用戶管理 Aruba 無(wú)線系統(tǒng)中可以設(shè)定用戶的角色（ role），每個(gè) role 可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。 4． 4 無(wú)線安全性設(shè)計(jì) 在 Aruba 無(wú)線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 Aruba無(wú)線系統(tǒng)中設(shè)置多個(gè) SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。 ② WPA+ 加密方式盡量采用 WPA， 如果客戶端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。 4． 5 移動(dòng)漫游設(shè)計(jì) 無(wú)線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無(wú)縫 漫 游， Aruba 無(wú)線局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫 漫游功能。 無(wú)線用戶已漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。 Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。 教師和學(xué)生以及 學(xué)生 也可以隨時(shí)查閱網(wǎng)上的資料或 遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。 25 綜上所述，無(wú)線局域網(wǎng)系統(tǒng)共開設(shè) 多 個(gè) SSID。通過(guò)無(wú)線局域網(wǎng)，可以輕松地實(shí)現(xiàn)主會(huì)場(chǎng)與分會(huì)場(chǎng)間資源共享的問題，這樣即可解決了會(huì)議場(chǎng)所的空間問題，又可以相應(yīng) 地節(jié)省人力和物力。并且所有的 AP都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 5． 6． 2VLAN 和無(wú)線 SSID 的關(guān)系 一般用。 26 6 無(wú)線交換機(jī)的配置實(shí)施建議 一般廠家的 無(wú)線網(wǎng)絡(luò)產(chǎn)品在 園區(qū) 網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 Aruba 無(wú)線系統(tǒng)以其技術(shù)先進(jìn)的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運(yùn)行。只出現(xiàn)在需要提供這類應(yīng)用服務(wù)的 AP 上，其他AP 都沒有該 SSID，用戶也就無(wú)從使用該 SSID 訪問網(wǎng)絡(luò)，保證 無(wú)線網(wǎng)絡(luò)的安全性。 無(wú)線局域網(wǎng)系統(tǒng)， 可以支持 在 園區(qū) 內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡(luò)信息點(diǎn)的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。 當(dāng)無(wú)線終端從一個(gè) AP 的 IP 子網(wǎng)漫游到另一個(gè) AP 的 IP 子網(wǎng)時(shí)，它重新發(fā)出的DHCP 請(qǐng)求 ， 會(huì)從 AP 端的 Aruba 無(wú)線交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無(wú)線交換機(jī) (用戶從那一個(gè)AP 獲取它的 IP 地址 )。準(zhǔn)入檢查可以檢查終端 操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。采用 captive portal+VPN 的