【正文】 的來賓等，就可以利用其所攜帶的筆記本電腦或是配置有無線網(wǎng)絡(luò)適配器的 PC 機(jī)，在學(xué) 校內(nèi)的任何一個地方上網(wǎng)與世界的任何一地進(jìn)行信息交流、教學(xué)或媒體演示。 Aruba 本身就可提 供不同域之間的認(rèn)證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選 擇域名。用戶的原交換機(jī)會告知用戶漫游到的 Aruba 交換機(jī)繼續(xù)保持用戶的 原有的 IP 地址。在數(shù)據(jù)的檢測上， Aruba 無線交換機(jī)上可以設(shè)定策略， 對于某些無線用戶沾染病毒的終端， Aruba 無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防 病毒的檢查，檢查完成后，才允許接入。認(rèn)證服 務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS， 甚至是 Aruba 交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫。所有這些在配置、使用和管理上都非常符合的大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。 學(xué)校教職員工、學(xué)校工作人員和長期租用學(xué)校辦公的人員屬于學(xué)院內(nèi)的固定用戶，可以采 用專門的 SSID，可以采用級別較高的認(rèn)證和加密手段，對于來賓和留學(xué)生、參加會議人員 和來訪人員可以使用另一個 SSID，采用級別相對較低的認(rèn)證和加密手段，這樣就實現(xiàn)了區(qū) 分的服務(wù)。 19 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同 加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在的。 4． 2 多業(yè)務(wù)區(qū)分設(shè)計 從學(xué)校的用戶分類與分布情況分析，用戶主要分成以下幾類： （ 1）學(xué)校教師與領(lǐng)導(dǎo)； （ 2）來訪學(xué)者或留學(xué)生； （ 3）參加交流會議領(lǐng)導(dǎo)和來訪人員； （ 4）園區(qū)一般工作人員； （ 5）長期租用學(xué)校辦公的三產(chǎn)公司人員。 在網(wǎng)絡(luò)中心內(nèi)則一定會 Aruba5100 用以管理其它 Aruba5000/Aruba5100 交換機(jī)?？梢愿鶕?jù)不同的網(wǎng)絡(luò) 規(guī)模和管理方式，考慮選用以下不同檔次的無線交換機(jī)進(jìn)行組網(wǎng) 。 3． 4． 3 無縫的三層漫游 Aruba 無線可以支持無線接入用戶在 AP、 WLAN 交換機(jī)、多子網(wǎng)以及多 VLAN 之 間無縫地漫游，而且不會丟失連接，也不需要重啟 DHCP。對于一些經(jīng)常出差的用戶 VoWiFi 會帶來極大的 方便，亦可節(jié)省長途電話費。 Aruba 無線系統(tǒng)可在每個用戶的權(quán)限限制內(nèi)用戶無線連接的最高帶寬。這些攻擊在 HotSpot 會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用 戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護(hù)只是基于 IP 地址或物理端口來制定 防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 Aruba 采用的無線定位模式稱為三角定位，無線定位的準(zhǔn)確性可達(dá)到 米 以內(nèi)，無線定位的條件是所尋找的無線終端附近須有最少三個 Aruba 的 AP 在范圍內(nèi)。但由于大多數(shù)的 AP 都是設(shè)置在外面 (不 是在機(jī)房 )，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護(hù)人員即 時做出更換 (很多的 AP 都是安裝在天花板上 )。 SSID 的另一用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。 當(dāng)無線局域網(wǎng)經(jīng)過自動校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運作時，網(wǎng)絡(luò)管理員可在 Aruba 交換機(jī)內(nèi)啟動 ARM 這功能，無線網(wǎng)上所有的 Aruba AP 都會在設(shè)定的時間內(nèi)自行掃描其它 的無線頻道。其工作量在有一定數(shù)量 AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng) 是一個整體系統(tǒng)， AP 之間必須互協(xié)調(diào)工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間 的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會產(chǎn)生問題。 使用這套工具時，在數(shù)字化的園區(qū)建筑圖紙上設(shè)定無線所覆蓋范圍如那幾個樓層和面積大 小，輸入有關(guān)無線覆蓋和傳輸模型的相關(guān)參數(shù)，如無線終端的平均帶寬， AP 和 AP 之間覆 蓋面等。 由于無線用戶的傳輸是通過 Aruba AP 內(nèi)已建立的 GRE 隧道和 Aruba 交換機(jī)互連的， 所以實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。 3． 1． 2 靈活的組網(wǎng)方式 第三代的 Aruba 產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個 AP），到大型無線網(wǎng)規(guī) 模（幾百個 AP，甚至上千個 AP），都可以采用集中或者分布式的組網(wǎng)方式進(jìn)行靈活的組 8 網(wǎng)。 7 作為第三代的 Aruba 無線系統(tǒng)采用了 Wireless Switch＋ AP 構(gòu)架，將密集型的無線網(wǎng) 絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實現(xiàn)，同時加入了許多重要新功能，諸 如無線網(wǎng)管、 AP 間自適應(yīng)、無線安管、 RF 監(jiān)測、無縫漫游以及 Qos 保證。 充分考慮 WLAN 的安全性，采用先進(jìn)的 WLAN 安全技術(shù)保障。同時整個系統(tǒng)可以根據(jù)用戶的需要進(jìn)行規(guī)模上的擴(kuò)展，擴(kuò)展后所有功 能和管理的模式保持不便。 1． 5 無線覆蓋范圍需求 根據(jù) XXXX 無線網(wǎng)絡(luò)需求要求無線局域網(wǎng)的覆蓋區(qū)域的如下： （貼圖以及說明具體覆蓋需求的位置） 二、 XXXX 無線局域網(wǎng)設(shè)計原則和技術(shù)需求 2． 1 遵循標(biāo)準(zhǔn) 無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標(biāo)準(zhǔn)或業(yè)界標(biāo)準(zhǔn)，不使用某個廠商的專用技 術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護(hù)。具體需求如下： 1． 1 擴(kuò)展網(wǎng)絡(luò)信息點數(shù)量需求 XXXX 在建設(shè)時所安裝部署的有線網(wǎng)絡(luò)信息點數(shù)量與實際使用的需要缺口較大， 難以滿足正常辦公、各種會議以及來客使用網(wǎng)絡(luò)的實際需求。因此，建議采用無線 局域網(wǎng)覆蓋方式可以很方便、靈活地配合教室的布局和計算機(jī)接入網(wǎng)絡(luò)的位置。 2． 3 安全可靠 在網(wǎng)絡(luò)安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護(hù)措 施，無線網(wǎng)的安全性主要從以下幾個方面考慮： （ 1）接入認(rèn)證：具有支持多種用戶認(rèn)證方式； （ 2）采用具有用戶狀態(tài)訪問控制的防火墻技術(shù)； （ 3）具有數(shù)據(jù)在無線信道上傳輸?shù)?VPN 機(jī)制； （ 4）具有無線網(wǎng)的防病毒機(jī)制 （ 5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。 采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 由于這一代技術(shù)的 AP 儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個位置，一旦 AP 的配置被 盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。 在無線音視頻應(yīng)用方面， Aruba 獨有的基于每個用戶的帶寬控制和 QOS 保證，可以 確保語音和視頻業(yè)務(wù)的實時性，先進(jìn)的無縫三層移動漫游，使得 VoIP 以及 Wifi 手機(jī)可以 自由的在任意 AP 間切換，具有目前業(yè)界最低的時延。 除了 AP 數(shù)量之外，怎樣控管大量的 AP 和部署也是擴(kuò)展性的重要考慮因素。 對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò) 的結(jié)構(gòu)改變的工作量。 3． 2 Aruba 無線局域網(wǎng)的網(wǎng)絡(luò)管理 3． 2． 1 集中式管理 網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常 頭痛的事情。 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning 的 Auto Calibration 功能來自動調(diào)節(jié) 整個無線網(wǎng)上所有 AP 的無線電波頻率和功率。 3． 2． 4 多個 SSID 結(jié)構(gòu) Aruba 系統(tǒng)的多 SSID 結(jié)構(gòu)和和實現(xiàn)技術(shù)使得在 Aruba 無線局域網(wǎng)系統(tǒng)的各種多媒體 應(yīng)用服務(wù)（數(shù)據(jù)、語音和視頻）在 Qos 上表現(xiàn)非常出色。 可在多 SSID 的情況下確保語音和視頻的 Qos 支持。 Aruba 無線系統(tǒng)可應(yīng)用層面通過 4－ 7 層交 換模塊可以實現(xiàn)服務(wù)器的負(fù)載均衡， VPN 設(shè)備，防火墻設(shè)備等等一系列基于 TCP/IP 協(xié)議 設(shè)備的負(fù)載均衡來保證整體網(wǎng)絡(luò)的可靠性。 3． 3． 2 多種用戶認(rèn)證方式 在 Aruba 無線系統(tǒng)中，一個無線用戶進(jìn)入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權(quán)限， 這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù) 據(jù)包，通過認(rèn)證以后才可以接入無線網(wǎng)。通過 Aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動保護(hù)機(jī)制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無線交 換機(jī)上可以設(shè)定策略， 某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機(jī)會將其重 定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。 3． 4． 2 VoIP 與 WIFI 手機(jī) 隨著 VoIP 的越來越普及 (如 Skype,… 等 )，基于 SIP 的 WiFi 電話將迅速變?yōu)閳@區(qū)內(nèi)用 戶之間話音聯(lián)絡(luò)的主流。 Aruba 無線系統(tǒng)可容許用戶設(shè)置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi 手機(jī)用戶分開，但也可以在單一 SSID 內(nèi)同時傳送數(shù)據(jù)和話音，關(guān)鍵的重點就是怎樣保證 語音傳輸?shù)馁|(zhì)量。這種技術(shù)可以確保無線語音業(yè)務(wù)可以 無縫的在 AP 間漫游，而不會發(fā)生掉線，是語音業(yè)務(wù)的質(zhì)量保證。在網(wǎng)絡(luò)中心則設(shè)置二臺 Master Aruba2400 (VRRP) 作為主控管交換機(jī)。 Aruba6000 無線交換機(jī)現(xiàn)在配備 SC48C1 和 SC128C1 服務(wù)卡，分別可以 支持 48 個 AP 和 128 個 AP。其實在一個 AP 范圍內(nèi)，不管用戶連接到 那一個 SSID 它們實際上都是在同一個 廣播域內(nèi)，因為無線電波的傳輸是共享。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。 一般在防火墻策略設(shè)計中，可以將來賓和普通學(xué)生的權(quán)限設(shè)置的較低，只能訪問有限 的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以 做時間段的限制。 （ 3） 用戶認(rèn)證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 （ 7）認(rèn)證系統(tǒng)支持： Aruba 無線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、 LDAP、微軟 的 AD（活動目錄）和在 Aruba 無線交換機(jī)內(nèi)部的 Internal DB 等等。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因為它們就必須支持和維護(hù) 用戶的無線接入端。當(dāng)用戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一 部門的接入點需要重新認(rèn)證時，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶 會被斷線。 Aruba 公司的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機(jī) 可以完全使用管理 Aruba AP 的管理方式一樣來管理該款新型 AP，實現(xiàn)所有 Aruba 提供的 安全和管理功能。 在方案實現(xiàn)上使用多個 SSID：一個供學(xué)生用戶和來賓使用，可以不用加密，只做基于 WEB 的接入認(rèn)證，另一個 SSID 供學(xué)校教職員工和工作人員使用，該 SSID 被配置為隱含， 不廣播出來，采用 WPA 加密＋ 認(rèn)證方式，確保此類用戶安全性。 考慮到會議廳、報告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時需要考慮接入 容量因素。 ??監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個接入點的所有可用帶寬， 導(dǎo)致其他用戶 的正當(dāng)接入。但在具體實施時，很多為了方便都會把 AP 和無線用戶設(shè)置在同 一個 VLAN 內(nèi)。當(dāng)有這樣 27 的情況出現(xiàn)時，無線用戶從一個 AP 接入點漫游到另一個 AP 接入點時， DHCP 協(xié)議應(yīng)會重 分發(fā)給無線終端新的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應(yīng) 。 5． 6． 2VLAN 和無線 SSID 的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線 局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。 26 6 無線交換機(jī)的配置實施建議 一般廠家的無線網(wǎng)絡(luò)產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時都需要二層交換機(jī)連接或者劃分 VLAN，否 則只能將認(rèn)證點下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 Aruba 無線系統(tǒng)以其技術(shù)先進(jìn) 的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運行。只出現(xiàn)在需要提供這類應(yīng)用服務(wù)的 AP 上，其他 AP 都沒有該 SSID，用戶也就無從使用該 SSID 訪問網(wǎng)絡(luò)，保證無線網(wǎng)絡(luò)的安全性。 無線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡(luò)信息點 的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開各種需要使用網(wǎng)絡(luò)音視頻的會議。但由于不是 所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實施時也有一定的困難。當(dāng)無線終端從一個 AP 的 IP 子網(wǎng)漫游到另一個 AP 的 IP 子網(wǎng)時，它重新發(fā)出的 DHCP 請求，會從 AP 端的 Aruba 無線交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無線交換機(jī) (用戶從那一個 AP 獲取它的 IP 地址 )。準(zhǔn)入檢查可以檢查終端操作系統(tǒng)的安全狀 態(tài)，諸如系統(tǒng) 打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并 設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。采用 captive portal+V