【正文】 但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多 改動， AP 數(shù)量多時，無線用戶 VLAN/IP 子網(wǎng)也增多，無線用戶 IP 子網(wǎng)在局域網(wǎng)內(nèi)必須全 打通， (即匯聚層和骨干層的路由開通 ) 否則無線用戶就不能訪問局域網(wǎng)上其它網(wǎng)點，包 括在不同接入層的無線用戶。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： 5． 6． 1 AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網(wǎng)對 AP 所在的 VLAN(AP 為網(wǎng)絡(luò)設(shè)備 )和無線用戶所在的 VLAN 是沒 有明確的區(qū)分。 5． 5 無線網(wǎng)的安全系統(tǒng)實現(xiàn) Aruba 無線網(wǎng)的安全系統(tǒng)實現(xiàn)如下安全功能： ??接入認證控制： 驗證用戶， 授權(quán)他們接入特定的資源， 同時拒絕為未經(jīng)授權(quán)的 用戶提供接入。 2 個 SSID 用于數(shù)據(jù)應(yīng)用，分別對應(yīng) 2 類用戶，另外 2 個 SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語音和視頻的服務(wù)。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn) 從學(xué)校的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1）學(xué)校教職員工； （ 2）來訪學(xué)者和學(xué)生； （ 3）參加會議人員和來訪人員； （ 4）學(xué)校工作人員； （ 5）長期租用學(xué)校辦公的人員。 23 五、 XXXX 無線局域網(wǎng)系統(tǒng)建議 5． 1 無線覆蓋建議 根據(jù)無線網(wǎng)絡(luò)需求及園區(qū)內(nèi)實地的了解，并結(jié)合以往的工程經(jīng)驗，對無線網(wǎng)絡(luò)覆蓋做 出以下規(guī)劃： （給出無線接入點部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無線組網(wǎng)實現(xiàn) Aruba 6000 交換機，放置在網(wǎng)絡(luò)機房， Aruba 6000 無線交換機可以最多可支持 512 個 AP 的接入和管理，完全滿足園區(qū)無線覆蓋的需求，并留有充足的擴展余量。代理 DHCP 的優(yōu)點是無要在用戶終端安裝任何軟件就可讓終端無縫的在不同 IP 子網(wǎng)之間漫游。 L2/L3 層漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不 同 AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個 VLAN 內(nèi)。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個相關(guān)的 Role，每個 Role 有一個 用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個 用戶身上。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶 的連接企圖。用戶狀態(tài)訪防火墻是 Aruba 無線交換機的獨特功能，它本身就是 針對無線接入的特性而設(shè)計。最常見的做 法是使用多個 SSID，例如：一個定義為 OPEN/Static WEP 供客戶用，另一個 SSID 則為 TKIP(WPA)專為內(nèi)部員工使用。因此，在設(shè)計上采用無線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。 Pag e 9 大型無線局域網(wǎng)交換拓撲圖 (集中式 ) M aste r 無線交換機 G R E 隧道 Arub a A P Arub a A P Arub a A P Arub a A P 接入層 交換機 接入層 交換機 匯聚層 交換機 網(wǎng)絡(luò)中心 骨干 交換機 匯聚層 交換機 匯聚層 交換機 接入層 交換機 A 5 0 00 / 51 0 0 A 5 0 00 / 51 0 0 G R E 隧道 大型網(wǎng)絡(luò)支持 4000 個用戶以上的網(wǎng)絡(luò)環(huán)境。 Aruba5000 或 6000 設(shè)置在數(shù)據(jù)中心集中控管全無線網(wǎng)絡(luò)的 Aruba AP。 其他廠家一般只能實現(xiàn)二層漫游。 Aruba 無線交換技術(shù)已經(jīng)證明支持業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運行，且在最 近的 Network World VoWLAN 測試結(jié)果被評選為市場上最卓越的產(chǎn)品。例如無線語音的應(yīng)用， SIP 和 RTP 協(xié)議可設(shè)定在高的隊列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊列。 3． 3． 7 無線接入的病毒防護 Aruba 無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準(zhǔn)入檢查； 二、對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控。 3． 3． 4 安全的 AP 技術(shù) Aruba 無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過 AP，而是在 Aruba 無線交換機上實現(xiàn)。大學(xué)對非法 AP 的定位，可以成為學(xué)校網(wǎng)絡(luò)中心的管理人員提 供清楚非法 AP 有效手段，可以方便快捷的清除非法 AP 的網(wǎng)絡(luò)接入。 3． 2． 6 網(wǎng)絡(luò)負載均衡 Aruba 系統(tǒng)可在一個 AP 的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的 AP 上。在一個視 頻 SSID 內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。當(dāng) AP 停留在一個頻道時，它會把在這 頻道上收到的無線電波信息轉(zhuǎn)送回 Aruba 無線交換機。 10 3． 2． 2 無需安裝客戶端軟件 Aruba 系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件， Aruba 的認證可以基于 WEB 頁面認證，認證只需用戶打開瀏覽器就可以登陸。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝 AP，在無線網(wǎng)安裝完成后，網(wǎng)管人 員通過 RF 規(guī)劃自動校準(zhǔn)功能， Aruba 交換機可以自動調(diào)節(jié)無線網(wǎng)上所有 Aruba AP 的頻 道與功率參數(shù)以達到一個最優(yōu)性能的運行狀態(tài)。這樣非常方便在園區(qū)里實施無線局域網(wǎng)，同時也 非常方便進行擴展。 3． 1． 3 優(yōu)秀的擴展性 無線網(wǎng)絡(luò)具有非常方便擴展的特性。 在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面， Aruba 無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更 改原有線網(wǎng)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。 無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。同 時，還應(yīng)具有遠端 AP 數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能，支持多 SSID，可 以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進行分開管理。 2． 2 技術(shù)成熟 第一代無線局域網(wǎng)主要是采用胖 AP 架構(gòu)，每臺 AP 都是一個獨立的個體， AP 與 AP 之間不會進行任何溝通，需要逐臺逐臺進行配置和管理，費時、費力、維護成本 高，安全低，融合性差；第二代無線局域網(wǎng)融入了認證網(wǎng)關(guān)設(shè)備，仍然不能集中對 AP 進行管理和配置，只是對認證管理方面有所提高而已。 希望通過采用無線局域網(wǎng)覆蓋方式滿足目前和將來的需要，并減少有線網(wǎng)絡(luò)布線 帶來的工程難度、施工量和工程費用。本項目的建設(shè)目的是采用無線局域網(wǎng)替代正準(zhǔn) 備擴展的有線局域網(wǎng)，而不是簡單地作為有線網(wǎng)的延伸?，F(xiàn)今大型無線網(wǎng)絡(luò)要求其與傳 統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求管理性和安全性都必須有一個質(zhì)的提高，而第一代和第二 5 代無線技術(shù)必定不能滿足，因此，在這樣的環(huán)境下，基于無線交換機集中式管理的第 三代無線架構(gòu)延生了。 6 2． 6 技術(shù)需求 根據(jù) XXXX 大學(xué)無線局域網(wǎng)系統(tǒng)建設(shè)要求，無線局域網(wǎng)系統(tǒng)建設(shè)原則如下： 采用 WLAN 交換技術(shù)及 WLAN 交換體系結(jié)構(gòu)。 三、 Aruba 無線交換局域網(wǎng)系統(tǒng)技術(shù)特點 第一代無線局域網(wǎng)技術(shù)采用單純的 AP 實現(xiàn)無線接入，基本上沒有其它功能。 在無線網(wǎng)絡(luò)管理方面， Aruba 無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的 RF 智能調(diào) 控，自動恢復(fù)、負載均衡功能，使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化，動態(tài)自動調(diào) 節(jié)到最佳應(yīng)用效果；還可以實現(xiàn)遠端 AP 狀態(tài)監(jiān)測，方便實現(xiàn)對 AP 的管理；具有多 SSID 支持，實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。 ARUBA 的無線交換機可以安裝在學(xué)校的中心機房，而 AP 則可以放置于園區(qū)的任何 地方，無需用二層設(shè)備連到無線交換機，或者劃分 VLAN；其他廠家則需要二層交換機連 接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的 缺失。 在無線局域網(wǎng)系統(tǒng)投入運行后，網(wǎng)管人員可通過 RF Planning 隨時監(jiān)測網(wǎng)內(nèi)的每個 AP 的無線電波實際的運行狀態(tài)，及時掌握每個 AP 的工作狀態(tài)和故障診斷，及時做出調(diào)整策 略。 ARUBA 采用 GRE 隧道技術(shù)，可以透明地穿透在無線交換機和 AP 之間的任何三層網(wǎng) 絡(luò)交換設(shè)備實現(xiàn) WEB 認證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于 標(biāo)準(zhǔn)的 L2TP 或 IPSEC 或 客戶端軟件才能實現(xiàn) WEB 頁面認證。 Aruba 無線交換機可以對整個無線網(wǎng)上的電波情況偵測和記錄。同時在一個預(yù)設(shè)定的視頻 SSID 內(nèi)只允 許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這 SSID。在 一個 AP 的覆蓋范圍內(nèi)，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分 享的帶寬就越小?？梢员ＷC園區(qū)網(wǎng)絡(luò) 接入的安全可靠性。由于 Aruba 的 AP 是不儲存任何網(wǎng)絡(luò)配置（ IP 地址 除外）和安全設(shè)置，因此 Aruba 管理的 AP 是不能單獨工作的，因此獲得和接入進 Aruba AP， 黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。 14 無線終端病毒防護的第一步是準(zhǔn)入檢查，當(dāng)無線終端連接到 Aruba 無線系統(tǒng)中，當(dāng)試 圖訪問網(wǎng)絡(luò)，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作 系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查， 如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺 升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略 以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。例如語音視頻 這樣對于時延敏感的業(yè)務(wù)，目前，經(jīng)過中國網(wǎng)通、賽爾公司對幾家 WLAN 設(shè)備廠商的設(shè)備 測試結(jié)果表明， Aruba 的無線網(wǎng)系統(tǒng)以其完善 QoS 特性在測試中表現(xiàn)最佳。在具體實現(xiàn) WiFi 語音時要注意考慮語音的時延， AP 呼叫的容量和漫游切換時間?？缇W(wǎng)段時需要二次認證，導(dǎo)致丟包或者很大延遲。如下圖所示： Page 7 中型無線局域網(wǎng)交換拓撲圖 (集中式 ) 大樓 大樓 VRRP Master 無線交換機 GRE 隧道 Ar uba AP Ar uba AP Ar uba AP Ar uba AP 接入層 交換機 接入層 交換機 接入層 交換機 匯聚層 交換機 匯聚層 交換機 網(wǎng)絡(luò)中心 骨干 交換機 A5000/5100 A5000/5100 17 4． 1． 2 大型無線局域網(wǎng) (250 個 AP 以上 )分布式組網(wǎng) 大型無線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺配置成 Local 工作模式 Aruba2400 交換機分別設(shè)置于不同的配線間。 18 4． 1． 4 XXXX 無線局域網(wǎng)的組網(wǎng)設(shè)計 XXXX 無線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無線局域網(wǎng)，考慮方案的性價比，建議選用集 中式組網(wǎng)的方式： 在網(wǎng)絡(luò)中心采用一臺 Aruba6000 無線交換機，采用無線集中管理，全網(wǎng)絡(luò) AP 接受統(tǒng) 一管理， AP 以及下面的用戶按接入策略分配接入到無線交換機上。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個 SSID，例如一個 SSID 可給內(nèi)部員工所用，而另一個可給外來的客戶專用。未來的發(fā)展趨勢 是新增設(shè)一個 SSID 讓員工以過度 的方式逐漸從轉(zhuǎn)移到這個 SSID 上。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的，它的保護只是基于 IP 地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的 功效很小。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范 圍也是實現(xiàn)安全性的一種手段。 （ 5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可 以根據(jù)每個用戶設(shè)置他的訪問控制策略，比如可以訪問 Inter,不能訪問圖書館的服務(wù) 器，只能訪問 WEB 網(wǎng)頁和收發(fā)郵件，不能運行 P2P 的軟件等。所以當(dāng)無線終端從一個 AP 漫游到另一 AP 時，由于它們之間的缺省 IP 子網(wǎng)不同，無線終端會重新發(fā)出 DHCP 請 求，這樣的話終端的 IP 地址就會更新，所有在原先 AP 建立的連接都會被切斷。 C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5 跨 IP子網(wǎng)的交替連接 語音不會中斷 子網(wǎng) 1 子網(wǎng) 2 D H C P 1 0 . 1 . 1 . 1 1 . 根據(jù) V L A N 的連接用戶從 D H C P 服 務(wù)器接收到一個 IP 地址 1 2 2 . 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時會發(fā) 出另一 D H C P 請求 5 . 當(dāng)用戶漫游跨越 A r u b a 交換機時 線路連接不會中斷 3 3 . 透過 p r o x y D H C P , A r u b a ’ s 交換機更改請求使終端維持原來 的 IP a d d r e s s 1 0 . 1 . 1 . 1 4 4 . 在新的 IP 子網(wǎng)內(nèi)， 用戶接收到原 有的 IP 地址 I P I P T u n n e l A r u b a A P 在不同域之間的用戶認證和漫游 在