【正文】 戶，另外 2 個 SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語音和視頻的服務(wù)。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn) 從 學(xué)校 的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1） 學(xué)校 教職員工； （ 2） 來訪學(xué)者和 學(xué)生； （ 3）參加會議人員和來訪人員； （ 4） 學(xué)校 工作人員； （ 5）長期租用 學(xué)校 辦公的人員。 23 五、 XXXX 無線局域網(wǎng)系統(tǒng) 建議 5． 1 無線覆蓋 建議 根據(jù) 無線網(wǎng)絡(luò)需求 及 園區(qū) 內(nèi) 實地的了解，并結(jié)合以往的工程經(jīng)驗， 對 無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃： （給出無線接入點部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無線組網(wǎng)實現(xiàn) Aruba 6000 交換機，放置在網(wǎng)絡(luò)機房， Aruba 6000 無線交換機可以 最多 可 支持 512個 AP 的接入和管理 ，完全滿足 園區(qū) 無線覆蓋的需求，并留有 充足 的擴展余量。 代理 DHCP 的優(yōu)點是無要 在用戶終端安裝任何軟件就可讓終端無縫的在不同IP 子網(wǎng)之間漫游。 L2/L3 層漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不同 AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個 VLAN 內(nèi)。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個相關(guān)的 Role，每個 Role 有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。用戶狀態(tài)訪防火墻是 Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。最常見的做法是使用 多 個 SSID， 例如： 一個定義為 OPEN/Static WEP 供客戶用，另一個 SSID 則為TKIP(WPA)專為內(nèi)部員工使用。 因此，在設(shè)計上采用無線局域網(wǎng)多SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。P a g e 9大型無線局域網(wǎng)交換拓撲圖 ( 集中式 )大型無線局域網(wǎng)交換拓撲圖 ( 集中式 )Ma s te r 無線交換機G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機接入層交換機匯聚層交換機網(wǎng)絡(luò)中心骨干交換機匯聚層交換機匯聚層交換機接入層交換機A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0G R E 隧道 大型網(wǎng)絡(luò)支持 4000 個用戶以上的網(wǎng)絡(luò)環(huán)境。Aruba5000 或 6000 設(shè)置在數(shù)據(jù)中心 集中控管 全無線網(wǎng)絡(luò) 的 Aruba AP。 其他廠家一般只能實現(xiàn)二層漫游。 Aruba 無線交換技術(shù)已經(jīng)證明 支持 業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運行，且在最近的 Network World VoWLAN 測試結(jié)果被評選為市場上最卓越的產(chǎn)品。例如無線語音的應(yīng)用， SIP 和RTP 協(xié)議可設(shè)定在高的隊列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊 列。 3． 3． 7 無線接入的病毒防護 Aruba 無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發(fā)出 數(shù)據(jù)進行有效的檢查和監(jiān)控。 3． 3． 4 安全的 AP 技術(shù) Aruba 無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過AP，而是在 Aruba 無線交換機上實現(xiàn)。 大學(xué)對非法 AP 的定位，可以成為學(xué)校 網(wǎng)絡(luò)中心的管理人員提供清楚非法 AP 有效手段，可以方便快捷的清除非法 AP 的網(wǎng)絡(luò)接入。 3． 2． 6 網(wǎng)絡(luò)負載均衡 Aruba 系統(tǒng)可在一個 AP 的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的 AP 上。在一個視頻 SSID 內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。當(dāng) AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回 Aruba 無線交換機。 10 3． 2． 2 無需安裝客戶端軟件 Aruba 系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件， Aruba 的認證可以基于WEB 頁面認證， 認證只需用戶打開瀏覽器就可以登陸。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝 AP，在無線網(wǎng)安裝完成后，網(wǎng)管人員通過 RF 規(guī)劃自動校準 功能， Aruba 交 換機 可以 自動調(diào)節(jié) 無線 網(wǎng)上所有 Aruba AP 的頻道與功率參數(shù)以達到一個最優(yōu)性能的運行狀態(tài)。這樣非常方便在 園區(qū) 里實施無線局域網(wǎng)，同時也非常方便進行擴展。 3． 1． 3 優(yōu)秀的擴展性 無線網(wǎng)絡(luò)具有非常 方便擴展的特性。 在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面， Aruba 無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。 無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。同時，還應(yīng)具有遠端 AP 數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能，支持多 SSID，可以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進行分開管理。 2． 2 技術(shù)成熟 第一代無線局域網(wǎng)主要是采用 胖 AP 架構(gòu) ，每 臺 AP 都是一個 獨立的個體， AP 與AP 之間不會進行任何溝通，需要逐臺逐臺 進行配置 和管理 ，費時、費力、 維護 成本高，安全低，融合性差 ；第二代無線局域網(wǎng)融入 了 認證 網(wǎng)關(guān) 設(shè)備，仍然 不能集中 對 AP進行管理和配置 ， 只是對認證管理方面有所提高而已。 希望通過采用無線局域網(wǎng)覆蓋方式滿足目前和將來的需要，并減少有線網(wǎng)絡(luò)布線帶來的工程難度、施工量和工程費用 。本項目的建設(shè)目的是采用無線局域網(wǎng)替代正準備擴展的有線局域網(wǎng)，而不是簡單地作為有線網(wǎng)的延伸。現(xiàn)今大型無線網(wǎng)絡(luò)要求 其 與傳統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求 管理性 和 安全 性 都必須有一個質(zhì)的提高，而 第一代和第二 5 代 無線技術(shù)必定不能滿足，因此， 在這樣的環(huán)境下，基于 無線交換機 集中式管理 的第三 代 無線架構(gòu)延生了 。 6 2． 6 技術(shù) 需求 根據(jù) XXXX 大學(xué)無線局域網(wǎng)系統(tǒng)建設(shè)要求， 無線局域網(wǎng)系統(tǒng)建設(shè)原則如下： 采用 WLAN 交換技術(shù)及 WLAN 交換體系結(jié)構(gòu)。 三、 Aruba 無線交換局域網(wǎng)系統(tǒng)技術(shù)特點 第一代無線局域網(wǎng)技術(shù)采用單純的 AP 實現(xiàn)無線接入 ，基本上沒有其它功能。 在無線網(wǎng)絡(luò)管理方面， Aruba 無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的 RF 智能調(diào)控，自動恢復(fù)、負載均衡功能，使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化，動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果；還可以 實現(xiàn)遠端 AP 狀態(tài)監(jiān)測，方便實現(xiàn)對 AP 的管理；具有多 SSID支持，實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。 在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。 ARUBA 的無線交換機可以安裝在 學(xué)校 的中心機房，而 AP 則可以放置于 園 區(qū) 的任何地方，無需用二層設(shè)備連到無線交換機，或者劃分 VLAN；其他廠家則需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 在無線局域網(wǎng)系統(tǒng)投入運行后，網(wǎng)管人員可通過 RF Planning 隨時監(jiān)測網(wǎng)內(nèi)的每個 AP的無線電波 實際 的 運行 狀態(tài)，及時掌握每個 AP 的工作狀態(tài)和故障診斷，及時做出調(diào)整策略。 ARUBA 采用 GRE 隧道技術(shù)，可以透明地穿透在無線交換機和 AP 之間的任何三層網(wǎng)絡(luò)交換設(shè)備實現(xiàn) WEB 認證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標準的 L2TP 或 IPSEC 或 客戶端軟件才能實現(xiàn) WEB 頁面認證 。 Aruba 無線交換機 可以對整個無線網(wǎng)上的電波情 況偵測 和記錄。同時在一個預(yù)設(shè)定的視頻 SSID 內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這 SSID。在一個 AP 的覆蓋范圍內(nèi)，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。可以保證 園區(qū) 網(wǎng)絡(luò)接入的安全可靠性。由于 Aruba 的 AP 是不儲存 任何網(wǎng)絡(luò)配置（ IP 地址除外 ） 和安全設(shè)置，因此 Aruba 管理的 AP 是不能單獨工作的，因此獲得和接入進 Aruba AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。 14 無線終端病毒防護的第一步是準入檢查，當(dāng)無線 終端連接到 Aruba 無線系統(tǒng)中，當(dāng)試圖訪問網(wǎng)絡(luò)，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查 ，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證 。例如語音視頻這樣對于時延敏感的業(yè)務(wù) ，目前，經(jīng)過中國網(wǎng)通、 賽爾公司對幾家 WLAN 設(shè)備廠商的設(shè)備測試結(jié)果表明， Aruba 的無線網(wǎng)系統(tǒng)以其完善 QoS 特性在測試中表現(xiàn)最佳。在具體實現(xiàn) WiFi語音時要注意考慮語音的時延， AP 呼叫的容量 和漫游切換時間。跨網(wǎng)段時需要二次認證，導(dǎo)致丟包 或者很大延遲。如下圖所示： P a g e 7中型無線局域網(wǎng)交換拓撲圖 ( 集中式 )中型無線局域網(wǎng)交換拓撲圖 ( 集中式 )大樓大樓V RRPMa s te r 無線交換機G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機接入層交換機接入層交換機匯聚層交換機匯聚層交換機網(wǎng)絡(luò)中心骨干交換機A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0 17 4． 1． 2 大型無線局域網(wǎng) (250 個 AP 以上 )分布式組網(wǎng) 大型無線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺配置成 Local 工作模式 Aruba2400 交換機分別設(shè) 置于不同的配線間。 18 4． 1． 4 XXXX 無線局域網(wǎng)的組網(wǎng)設(shè)計 XXXX 無線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無線局域網(wǎng)，考慮方案的性價比，建議 選 用 集中 式組網(wǎng)的方式： 在網(wǎng)絡(luò)中心 采用 一 臺 Aruba6000 無線交換機，采用 無線 集中 管理， 全網(wǎng)絡(luò) AP 接受統(tǒng)一 管理， AP 以及下面的用戶 按接入策略分配接入到無線 交換機上。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個 SSID，例如一個 SSID可給內(nèi)部員工所用，而另一個可給外來的客戶專用。未來的發(fā)展趨勢是新增設(shè)一個 SSID 讓員工以過度的方式逐漸從轉(zhuǎn)移到這個 SSID 上。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的，它的保護只是基于 IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。 （ 5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設(shè)置他的訪問控制策略，比如 可以訪問 Inter,不能訪問圖書館的服務(wù)器，只能訪問 WEB 網(wǎng)頁和收發(fā)郵件，不能運行 P2P 的軟件等。所以當(dāng)無線終端從一個AP 漫游到另一 AP 時，由于它們之間的缺省 IP 子網(wǎng)不同，無線終端會重新發(fā)出 DHCP 請求，這樣的話終端的 IP 地址就會更新， 所有在原先 AP 建立的連接都會被切斷。 C O NF I D E NT I A L P R E S E NT A T I O N – P a g e 45跨 IP 子網(wǎng)的 交替連接 語音不會中斷跨 IP 子網(wǎng)的 交替連接 語音不會中斷子 網(wǎng) 1子 網(wǎng) 2D HC P1 0 . 1 . 1 . 11. 根據(jù) VLAN 的連接用戶從 DHCP 服務(wù)器接收到一 個 IP 地 址122. 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時會發(fā)出另一 DHCP 請 求5 . 當(dāng)用戶漫游跨 越 A ruba 交換機 時線路連接不會中 斷33 . 透 過 p ro x y DH CP , A ruba ’ s 交換機更改請求使終 端 維持原來的 IP a d d res s1 0 . 1 . 1 . 144