【正文】 但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多 改動(dòng)， AP 數(shù)量多時(shí)，無(wú)線用戶 VLAN/IP 子網(wǎng)也增多，無(wú)線用戶 IP 子網(wǎng)在局域網(wǎng)內(nèi)必須全 打通， (即匯聚層和骨干層的路由開(kāi)通 ) 否則無(wú)線用戶就不能訪問(wèn)局域網(wǎng)上其它網(wǎng)點(diǎn)，包 括在不同接入層的無(wú)線用戶。 下面詳細(xì)敘述一下無(wú)線交換機(jī)在規(guī)劃配置實(shí)施時(shí)需要考慮的問(wèn)題： 5． 6． 1 AP 的 VLAN 和無(wú)線用戶的 VLAN 第一代的無(wú)線局域網(wǎng)對(duì) AP 所在的 VLAN(AP 為網(wǎng)絡(luò)設(shè)備 )和無(wú)線用戶所在的 VLAN 是沒(méi) 有明確的區(qū)分。 5． 5 無(wú)線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn) Aruba 無(wú)線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn)如下安全功能： ??接入認(rèn)證控制： 驗(yàn)證用戶， 授權(quán)他們接入特定的資源， 同時(shí)拒絕為未經(jīng)授權(quán)的 用戶提供接入。 2 個(gè) SSID 用于數(shù)據(jù)應(yīng)用，分別對(duì)應(yīng) 2 類用戶，另外 2 個(gè) SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語(yǔ)音和視頻的服務(wù)。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實(shí)現(xiàn) 從學(xué)校的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1）學(xué)校教職員工； （ 2）來(lái)訪學(xué)者和學(xué)生； （ 3）參加會(huì)議人員和來(lái)訪人員； （ 4）學(xué)校工作人員； （ 5）長(zhǎng)期租用學(xué)校辦公的人員。 23 五、 XXXX 無(wú)線局域網(wǎng)系統(tǒng)建議 5． 1 無(wú)線覆蓋建議 根據(jù)無(wú)線網(wǎng)絡(luò)需求及園區(qū)內(nèi)實(shí)地的了解，并結(jié)合以往的工程經(jīng)驗(yàn)，對(duì)無(wú)線網(wǎng)絡(luò)覆蓋做 出以下規(guī)劃： （給出無(wú)線接入點(diǎn)部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無(wú)線組網(wǎng)實(shí)現(xiàn) Aruba 6000 交換機(jī)，放置在網(wǎng)絡(luò)機(jī)房， Aruba 6000 無(wú)線交換機(jī)可以最多可支持 512 個(gè) AP 的接入和管理，完全滿足園區(qū)無(wú)線覆蓋的需求，并留有充足的擴(kuò)展余量。代理 DHCP 的優(yōu)點(diǎn)是無(wú)要在用戶終端安裝任何軟件就可讓終端無(wú)縫的在不同 IP 子網(wǎng)之間漫游。 L2/L3 層漫游 在傳統(tǒng)的無(wú)線局域網(wǎng)內(nèi)，無(wú)線終端要跨越不同 AP 之間漫游是有一定的困難，因?yàn)椴? 同 AP 之間，它的無(wú)線用戶 IP 子網(wǎng)可能都不是在同一個(gè) VLAN 內(nèi)。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個(gè)相關(guān)的 Role，每個(gè) Role 有一個(gè) 用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè) 用戶身上。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無(wú)法看到，防止非法用戶 的連接企圖。用戶狀態(tài)訪防火墻是 Aruba 無(wú)線交換機(jī)的獨(dú)特功能，它本身就是 針對(duì)無(wú)線接入的特性而設(shè)計(jì)。最常見(jiàn)的做 法是使用多個(gè) SSID，例如：一個(gè)定義為 OPEN/Static WEP 供客戶用，另一個(gè) SSID 則為 TKIP(WPA)專為內(nèi)部員工使用。因此，在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。 Pag e 9 大型無(wú)線局域網(wǎng)交換拓?fù)鋱D (集中式 ) M aste r 無(wú)線交換機(jī) G R E 隧道 Arub a A P Arub a A P Arub a A P Arub a A P 接入層 交換機(jī) 接入層 交換機(jī) 匯聚層 交換機(jī) 網(wǎng)絡(luò)中心 骨干 交換機(jī) 匯聚層 交換機(jī) 匯聚層 交換機(jī) 接入層 交換機(jī) A 5 0 00 / 51 0 0 A 5 0 00 / 51 0 0 G R E 隧道 大型網(wǎng)絡(luò)支持 4000 個(gè)用戶以上的網(wǎng)絡(luò)環(huán)境。 Aruba5000 或 6000 設(shè)置在數(shù)據(jù)中心集中控管全無(wú)線網(wǎng)絡(luò)的 Aruba AP。 其他廠家一般只能實(shí)現(xiàn)二層漫游。 Aruba 無(wú)線交換技術(shù)已經(jīng)證明支持業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運(yùn)行，且在最 近的 Network World VoWLAN 測(cè)試結(jié)果被評(píng)選為市場(chǎng)上最卓越的產(chǎn)品。例如無(wú)線語(yǔ)音的應(yīng)用， SIP 和 RTP 協(xié)議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊(duì)列。 3． 3． 7 無(wú)線接入的病毒防護(hù) Aruba 無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面，一、無(wú)線終端的準(zhǔn)入檢查； 二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。 3． 3． 4 安全的 AP 技術(shù) Aruba 無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò) AP，而是在 Aruba 無(wú)線交換機(jī)上實(shí)現(xiàn)。大學(xué)對(duì)非法 AP 的定位，可以成為學(xué)校網(wǎng)絡(luò)中心的管理人員提 供清楚非法 AP 有效手段，可以方便快捷的清除非法 AP 的網(wǎng)絡(luò)接入。 3． 2． 6 網(wǎng)絡(luò)負(fù)載均衡 Aruba 系統(tǒng)可在一個(gè) AP 的覆蓋范圍內(nèi)把無(wú)線用戶或終端分散連接到附近的 AP 上。在一個(gè)視 頻 SSID 內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級(jí)隊(duì)列處理。當(dāng) AP 停留在一個(gè)頻道時(shí)，它會(huì)把在這 頻道上收到的無(wú)線電波信息轉(zhuǎn)送回 Aruba 無(wú)線交換機(jī)。 10 3． 2． 2 無(wú)需安裝客戶端軟件 Aruba 系統(tǒng)無(wú)需為每一個(gè)移動(dòng)用戶終端安裝無(wú)線接入軟件， Aruba 的認(rèn)證可以基于 WEB 頁(yè)面認(rèn)證，認(rèn)證只需用戶打開(kāi)瀏覽器就可以登陸。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝 AP，在無(wú)線網(wǎng)安裝完成后，網(wǎng)管人 員通過(guò) RF 規(guī)劃自動(dòng)校準(zhǔn)功能， Aruba 交換機(jī)可以自動(dòng)調(diào)節(jié)無(wú)線網(wǎng)上所有 Aruba AP 的頻 道與功率參數(shù)以達(dá)到一個(gè)最優(yōu)性能的運(yùn)行狀態(tài)。這樣非常方便在園區(qū)里實(shí)施無(wú)線局域網(wǎng)，同時(shí)也 非常方便進(jìn)行擴(kuò)展。 3． 1． 3 優(yōu)秀的擴(kuò)展性 無(wú)線網(wǎng)絡(luò)具有非常方便擴(kuò)展的特性。 在無(wú)線網(wǎng)融合到有線網(wǎng)絡(luò)方面， Aruba 無(wú)線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更 改原有線網(wǎng)的路由設(shè)定，使得無(wú)線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。 無(wú)線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)充。同 時(shí)，還應(yīng)具有遠(yuǎn)端 AP 數(shù)據(jù)進(jìn)行采集、遠(yuǎn)程監(jiān)控、終端定位等功能，支持多 SSID，可 以方便的把語(yǔ)音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進(jìn)行分開(kāi)管理。 2． 2 技術(shù)成熟 第一代無(wú)線局域網(wǎng)主要是采用胖 AP 架構(gòu)，每臺(tái) AP 都是一個(gè)獨(dú)立的個(gè)體， AP 與 AP 之間不會(huì)進(jìn)行任何溝通，需要逐臺(tái)逐臺(tái)進(jìn)行配置和管理，費(fèi)時(shí)、費(fèi)力、維護(hù)成本 高，安全低，融合性差；第二代無(wú)線局域網(wǎng)融入了認(rèn)證網(wǎng)關(guān)設(shè)備，仍然不能集中對(duì) AP 進(jìn)行管理和配置，只是對(duì)認(rèn)證管理方面有所提高而已。 希望通過(guò)采用無(wú)線局域網(wǎng)覆蓋方式滿足目前和將來(lái)的需要，并減少有線網(wǎng)絡(luò)布線 帶來(lái)的工程難度、施工量和工程費(fèi)用。本項(xiàng)目的建設(shè)目的是采用無(wú)線局域網(wǎng)替代正準(zhǔn) 備擴(kuò)展的有線局域網(wǎng)，而不是簡(jiǎn)單地作為有線網(wǎng)的延伸。現(xiàn)今大型無(wú)線網(wǎng)絡(luò)要求其與傳 統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求管理性和安全性都必須有一個(gè)質(zhì)的提高，而第一代和第二 5 代無(wú)線技術(shù)必定不能滿足，因此，在這樣的環(huán)境下，基于無(wú)線交換機(jī)集中式管理的第 三代無(wú)線架構(gòu)延生了。 6 2． 6 技術(shù)需求 根據(jù) XXXX 大學(xué)無(wú)線局域網(wǎng)系統(tǒng)建設(shè)要求，無(wú)線局域網(wǎng)系統(tǒng)建設(shè)原則如下： 采用 WLAN 交換技術(shù)及 WLAN 交換體系結(jié)構(gòu)。 三、 Aruba 無(wú)線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn) 第一代無(wú)線局域網(wǎng)技術(shù)采用單純的 AP 實(shí)現(xiàn)無(wú)線接入，基本上沒(méi)有其它功能。 在無(wú)線網(wǎng)絡(luò)管理方面， Aruba 無(wú)線系統(tǒng)實(shí)現(xiàn)真正的集中控管，包括獨(dú)有的 RF 智能調(diào) 控，自動(dòng)恢復(fù)、負(fù)載均衡功能，使無(wú)線網(wǎng)可以適應(yīng)無(wú)線環(huán)境中的電磁波變化，動(dòng)態(tài)自動(dòng)調(diào) 節(jié)到最佳應(yīng)用效果；還可以實(shí)現(xiàn)遠(yuǎn)端 AP 狀態(tài)監(jiān)測(cè)，方便實(shí)現(xiàn)對(duì) AP 的管理；具有多 SSID 支持，實(shí)現(xiàn)了對(duì)無(wú)線數(shù)據(jù)、語(yǔ)音和視頻的應(yīng)用帶寬管理。在組建無(wú)線網(wǎng)時(shí)必須要考慮系統(tǒng)的擴(kuò)展性。 ARUBA 的無(wú)線交換機(jī)可以安裝在學(xué)校的中心機(jī)房，而 AP 則可以放置于園區(qū)的任何 地方，無(wú)需用二層設(shè)備連到無(wú)線交換機(jī)，或者劃分 VLAN；其他廠家則需要二層交換機(jī)連 接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的 缺失。 在無(wú)線局域網(wǎng)系統(tǒng)投入運(yùn)行后，網(wǎng)管人員可通過(guò) RF Planning 隨時(shí)監(jiān)測(cè)網(wǎng)內(nèi)的每個(gè) AP 的無(wú)線電波實(shí)際的運(yùn)行狀態(tài)，及時(shí)掌握每個(gè) AP 的工作狀態(tài)和故障診斷，及時(shí)做出調(diào)整策 略。 ARUBA 采用 GRE 隧道技術(shù)，可以透明地穿透在無(wú)線交換機(jī)和 AP 之間的任何三層網(wǎng) 絡(luò)交換設(shè)備實(shí)現(xiàn) WEB 認(rèn)證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于 標(biāo)準(zhǔn)的 L2TP 或 IPSEC 或 客戶端軟件才能實(shí)現(xiàn) WEB 頁(yè)面認(rèn)證。 Aruba 無(wú)線交換機(jī)可以對(duì)整個(gè)無(wú)線網(wǎng)上的電波情況偵測(cè)和記錄。同時(shí)在一個(gè)預(yù)設(shè)定的視頻 SSID 內(nèi)只允 許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過(guò)，以確保其它數(shù)據(jù)不能進(jìn)入這 SSID。在 一個(gè) AP 的覆蓋范圍內(nèi)，無(wú)線連接的帶寬是共享，即無(wú)線終端數(shù)目越多，每個(gè)終端所能分 享的帶寬就越小。可以保證園區(qū)網(wǎng)絡(luò) 接入的安全可靠性。由于 Aruba 的 AP 是不儲(chǔ)存任何網(wǎng)絡(luò)配置（ IP 地址 除外）和安全設(shè)置，因此 Aruba 管理的 AP 是不能單獨(dú)工作的，因此獲得和接入進(jìn) Aruba AP， 黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。 14 無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線終端連接到 Aruba 無(wú)線系統(tǒng)中，當(dāng)試 圖訪問(wèn)網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于 JAVA 的程序，可以對(duì)無(wú)線終端的操作 系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查， 如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶重定向到一臺(tái) 升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略 以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。例如語(yǔ)音視頻 這樣對(duì)于時(shí)延敏感的業(yè)務(wù)，目前，經(jīng)過(guò)中國(guó)網(wǎng)通、賽爾公司對(duì)幾家 WLAN 設(shè)備廠商的設(shè)備 測(cè)試結(jié)果表明， Aruba 的無(wú)線網(wǎng)系統(tǒng)以其完善 QoS 特性在測(cè)試中表現(xiàn)最佳。在具體實(shí)現(xiàn) WiFi 語(yǔ)音時(shí)要注意考慮語(yǔ)音的時(shí)延， AP 呼叫的容量和漫游切換時(shí)間?？缇W(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包或者很大延遲。如下圖所示： Page 7 中型無(wú)線局域網(wǎng)交換拓?fù)鋱D (集中式 ) 大樓 大樓 VRRP Master 無(wú)線交換機(jī) GRE 隧道 Ar uba AP Ar uba AP Ar uba AP Ar uba AP 接入層 交換機(jī) 接入層 交換機(jī) 接入層 交換機(jī) 匯聚層 交換機(jī) 匯聚層 交換機(jī) 網(wǎng)絡(luò)中心 骨干 交換機(jī) A5000/5100 A5000/5100 17 4． 1． 2 大型無(wú)線局域網(wǎng) (250 個(gè) AP 以上 )分布式組網(wǎng) 大型無(wú)線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺(tái)配置成 Local 工作模式 Aruba2400 交換機(jī)分別設(shè)置于不同的配線間。 18 4． 1． 4 XXXX 無(wú)線局域網(wǎng)的組網(wǎng)設(shè)計(jì) XXXX 無(wú)線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無(wú)線局域網(wǎng)，考慮方案的性價(jià)比，建議選用集 中式組網(wǎng)的方式： 在網(wǎng)絡(luò)中心采用一臺(tái) Aruba6000 無(wú)線交換機(jī)，采用無(wú)線集中管理，全網(wǎng)絡(luò) AP 接受統(tǒng) 一管理， AP 以及下面的用戶按接入策略分配接入到無(wú)線交換機(jī)上。在一個(gè)無(wú)線局域網(wǎng)內(nèi)可以設(shè)置多個(gè) SSID，例如一個(gè) SSID 可給內(nèi)部員工所用，而另一個(gè)可給外來(lái)的客戶專用。未來(lái)的發(fā)展趨勢(shì) 是新增設(shè)一個(gè) SSID 讓員工以過(guò)度 的方式逐漸從轉(zhuǎn)移到這個(gè) SSID 上。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有基于用戶的，它的保護(hù)只是基于 IP 地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的 功效很小。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范 圍也是實(shí)現(xiàn)安全性的一種手段。 （ 5）用戶狀態(tài)防火墻：用戶通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可 以根據(jù)每個(gè)用戶設(shè)置他的訪問(wèn)控制策略，比如可以訪問(wèn) Inter,不能訪問(wèn)圖書(shū)館的服務(wù) 器，只能訪問(wèn) WEB 網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行 P2P 的軟件等。所以當(dāng)無(wú)線終端從一個(gè) AP 漫游到另一 AP 時(shí)，由于它們之間的缺省 IP 子網(wǎng)不同，無(wú)線終端會(huì)重新發(fā)出 DHCP 請(qǐng) 求，這樣的話終端的 IP 地址就會(huì)更新，所有在原先 AP 建立的連接都會(huì)被切斷。 C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5 跨 IP子網(wǎng)的交替連接 語(yǔ)音不會(huì)中斷 子網(wǎng) 1 子網(wǎng) 2 D H C P 1 0 . 1 . 1 . 1 1 . 根據(jù) V L A N 的連接用戶從 D H C P 服 務(wù)器接收到一個(gè) IP 地址 1 2 2 . 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā) 出另一 D H C P 請(qǐng)求 5 . 當(dāng)用戶漫游跨越 A r u b a 交換機(jī)時(shí) 線路連接不會(huì)中斷 3 3 . 透過(guò) p r o x y D H C P , A r u b a ’ s 交換機(jī)更改請(qǐng)求使終端維持原來(lái) 的 IP a d d r e s s 1 0 . 1 . 1 . 1 4 4 . 在新的 IP 子網(wǎng)內(nèi)， 用戶接收到原 有的 IP 地址 I P I P T u n n e l A r u b a A P 在不同域之間的用戶認(rèn)證和漫游 在