【正文】 戶，另外 2 個(gè) SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語(yǔ)音和視頻的服務(wù)。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實(shí)現(xiàn) 從 學(xué)校 的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1） 學(xué)校 教職員工； （ 2） 來(lái)訪學(xué)者和 學(xué)生； （ 3）參加會(huì)議人員和來(lái)訪人員； （ 4） 學(xué)校 工作人員； （ 5）長(zhǎng)期租用 學(xué)校 辦公的人員。 23 五、 XXXX 無(wú)線局域網(wǎng)系統(tǒng) 建議 5． 1 無(wú)線覆蓋 建議 根據(jù) 無(wú)線網(wǎng)絡(luò)需求 及 園區(qū) 內(nèi) 實(shí)地的了解，并結(jié)合以往的工程經(jīng)驗(yàn)， 對(duì) 無(wú)線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃： （給出無(wú)線接入點(diǎn)部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無(wú)線組網(wǎng)實(shí)現(xiàn) Aruba 6000 交換機(jī)，放置在網(wǎng)絡(luò)機(jī)房， Aruba 6000 無(wú)線交換機(jī)可以 最多 可 支持 512個(gè) AP 的接入和管理 ，完全滿足 園區(qū) 無(wú)線覆蓋的需求，并留有 充足 的擴(kuò)展余量。 代理 DHCP 的優(yōu)點(diǎn)是無(wú)要 在用戶終端安裝任何軟件就可讓終端無(wú)縫的在不同IP 子網(wǎng)之間漫游。 L2/L3 層漫游 在傳統(tǒng)的無(wú)線局域網(wǎng)內(nèi)，無(wú)線終端要跨越不同 AP 之間漫游是有一定的困難，因?yàn)椴煌?AP 之間，它的無(wú)線用戶 IP 子網(wǎng)可能都不是在同一個(gè) VLAN 內(nèi)。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個(gè)相關(guān)的 Role，每個(gè) Role 有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無(wú)法看到，防止非法用戶的連接企圖。用戶狀態(tài)訪防火墻是 Aruba 無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。最常見(jiàn)的做法是使用 多 個(gè) SSID， 例如： 一個(gè)定義為 OPEN/Static WEP 供客戶用，另一個(gè) SSID 則為TKIP(WPA)專為內(nèi)部員工使用。 因此，在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。P a g e 9大型無(wú)線局域網(wǎng)交換拓?fù)鋱D ( 集中式 )大型無(wú)線局域網(wǎng)交換拓?fù)鋱D ( 集中式 )Ma s te r 無(wú)線交換機(jī)G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機(jī)接入層交換機(jī)匯聚層交換機(jī)網(wǎng)絡(luò)中心骨干交換機(jī)匯聚層交換機(jī)匯聚層交換機(jī)接入層交換機(jī)A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0G R E 隧道 大型網(wǎng)絡(luò)支持 4000 個(gè)用戶以上的網(wǎng)絡(luò)環(huán)境。Aruba5000 或 6000 設(shè)置在數(shù)據(jù)中心 集中控管 全無(wú)線網(wǎng)絡(luò) 的 Aruba AP。 其他廠家一般只能實(shí)現(xiàn)二層漫游。 Aruba 無(wú)線交換技術(shù)已經(jīng)證明 支持 業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運(yùn)行，且在最近的 Network World VoWLAN 測(cè)試結(jié)果被評(píng)選為市場(chǎng)上最卓越的產(chǎn)品。例如無(wú)線語(yǔ)音的應(yīng)用， SIP 和RTP 協(xié)議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊(duì) 列。 3． 3． 7 無(wú)線接入的病毒防護(hù) Aruba 無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面，一、無(wú)線終端的準(zhǔn)入檢查；二、對(duì)無(wú)線終端發(fā)出 數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。 3． 3． 4 安全的 AP 技術(shù) Aruba 無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)AP，而是在 Aruba 無(wú)線交換機(jī)上實(shí)現(xiàn)。 大學(xué)對(duì)非法 AP 的定位，可以成為學(xué)校 網(wǎng)絡(luò)中心的管理人員提供清楚非法 AP 有效手段，可以方便快捷的清除非法 AP 的網(wǎng)絡(luò)接入。 3． 2． 6 網(wǎng)絡(luò)負(fù)載均衡 Aruba 系統(tǒng)可在一個(gè) AP 的覆蓋范圍內(nèi)把無(wú)線用戶或終端分散連接到附近的 AP 上。在一個(gè)視頻 SSID 內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級(jí)隊(duì)列處理。當(dāng) AP 停留在一個(gè)頻道時(shí)，它會(huì)把在這頻道上收到的無(wú)線電波信息轉(zhuǎn)送回 Aruba 無(wú)線交換機(jī)。 10 3． 2． 2 無(wú)需安裝客戶端軟件 Aruba 系統(tǒng)無(wú)需為每一個(gè)移動(dòng)用戶終端安裝無(wú)線接入軟件， Aruba 的認(rèn)證可以基于WEB 頁(yè)面認(rèn)證， 認(rèn)證只需用戶打開瀏覽器就可以登陸。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝 AP，在無(wú)線網(wǎng)安裝完成后，網(wǎng)管人員通過(guò) RF 規(guī)劃自動(dòng)校準(zhǔn) 功能， Aruba 交 換機(jī) 可以 自動(dòng)調(diào)節(jié) 無(wú)線 網(wǎng)上所有 Aruba AP 的頻道與功率參數(shù)以達(dá)到一個(gè)最優(yōu)性能的運(yùn)行狀態(tài)。這樣非常方便在 園區(qū) 里實(shí)施無(wú)線局域網(wǎng)，同時(shí)也非常方便進(jìn)行擴(kuò)展。 3． 1． 3 優(yōu)秀的擴(kuò)展性 無(wú)線網(wǎng)絡(luò)具有非常 方便擴(kuò)展的特性。 在無(wú)線網(wǎng)融合到有線網(wǎng)絡(luò)方面， Aruba 無(wú)線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無(wú)線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。 無(wú)線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)充。同時(shí)，還應(yīng)具有遠(yuǎn)端 AP 數(shù)據(jù)進(jìn)行采集、遠(yuǎn)程監(jiān)控、終端定位等功能，支持多 SSID，可以方便的把語(yǔ)音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進(jìn)行分開管理。 2． 2 技術(shù)成熟 第一代無(wú)線局域網(wǎng)主要是采用 胖 AP 架構(gòu) ，每 臺(tái) AP 都是一個(gè) 獨(dú)立的個(gè)體， AP 與AP 之間不會(huì)進(jìn)行任何溝通，需要逐臺(tái)逐臺(tái) 進(jìn)行配置 和管理 ，費(fèi)時(shí)、費(fèi)力、 維護(hù) 成本高，安全低，融合性差 ；第二代無(wú)線局域網(wǎng)融入 了 認(rèn)證 網(wǎng)關(guān) 設(shè)備，仍然 不能集中 對(duì) AP進(jìn)行管理和配置 ， 只是對(duì)認(rèn)證管理方面有所提高而已。 希望通過(guò)采用無(wú)線局域網(wǎng)覆蓋方式滿足目前和將來(lái)的需要，并減少有線網(wǎng)絡(luò)布線帶來(lái)的工程難度、施工量和工程費(fèi)用 。本項(xiàng)目的建設(shè)目的是采用無(wú)線局域網(wǎng)替代正準(zhǔn)備擴(kuò)展的有線局域網(wǎng)，而不是簡(jiǎn)單地作為有線網(wǎng)的延伸?，F(xiàn)今大型無(wú)線網(wǎng)絡(luò)要求 其 與傳統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求 管理性 和 安全 性 都必須有一個(gè)質(zhì)的提高，而 第一代和第二 5 代 無(wú)線技術(shù)必定不能滿足，因此， 在這樣的環(huán)境下，基于 無(wú)線交換機(jī) 集中式管理 的第三 代 無(wú)線架構(gòu)延生了 。 6 2． 6 技術(shù) 需求 根據(jù) XXXX 大學(xué)無(wú)線局域網(wǎng)系統(tǒng)建設(shè)要求， 無(wú)線局域網(wǎng)系統(tǒng)建設(shè)原則如下： 采用 WLAN 交換技術(shù)及 WLAN 交換體系結(jié)構(gòu)。 三、 Aruba 無(wú)線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn) 第一代無(wú)線局域網(wǎng)技術(shù)采用單純的 AP 實(shí)現(xiàn)無(wú)線接入 ，基本上沒(méi)有其它功能。 在無(wú)線網(wǎng)絡(luò)管理方面， Aruba 無(wú)線系統(tǒng)實(shí)現(xiàn)真正的集中控管，包括獨(dú)有的 RF 智能調(diào)控，自動(dòng)恢復(fù)、負(fù)載均衡功能，使無(wú)線網(wǎng)可以適應(yīng)無(wú)線環(huán)境中的電磁波變化，動(dòng)態(tài)自動(dòng)調(diào)節(jié)到最佳應(yīng)用效果；還可以 實(shí)現(xiàn)遠(yuǎn)端 AP 狀態(tài)監(jiān)測(cè)，方便實(shí)現(xiàn)對(duì) AP 的管理；具有多 SSID支持，實(shí)現(xiàn)了對(duì)無(wú)線數(shù)據(jù)、語(yǔ)音和視頻的應(yīng)用帶寬管理。 在組建無(wú)線網(wǎng)時(shí)必須要考慮系統(tǒng)的擴(kuò)展性。 ARUBA 的無(wú)線交換機(jī)可以安裝在 學(xué)校 的中心機(jī)房，而 AP 則可以放置于 園 區(qū) 的任何地方，無(wú)需用二層設(shè)備連到無(wú)線交換機(jī)，或者劃分 VLAN；其他廠家則需要二層交換機(jī)連接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 在無(wú)線局域網(wǎng)系統(tǒng)投入運(yùn)行后，網(wǎng)管人員可通過(guò) RF Planning 隨時(shí)監(jiān)測(cè)網(wǎng)內(nèi)的每個(gè) AP的無(wú)線電波 實(shí)際 的 運(yùn)行 狀態(tài)，及時(shí)掌握每個(gè) AP 的工作狀態(tài)和故障診斷，及時(shí)做出調(diào)整策略。 ARUBA 采用 GRE 隧道技術(shù)，可以透明地穿透在無(wú)線交換機(jī)和 AP 之間的任何三層網(wǎng)絡(luò)交換設(shè)備實(shí)現(xiàn) WEB 認(rèn)證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標(biāo)準(zhǔn)的 L2TP 或 IPSEC 或 客戶端軟件才能實(shí)現(xiàn) WEB 頁(yè)面認(rèn)證 。 Aruba 無(wú)線交換機(jī) 可以對(duì)整個(gè)無(wú)線網(wǎng)上的電波情 況偵測(cè) 和記錄。同時(shí)在一個(gè)預(yù)設(shè)定的視頻 SSID 內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過(guò)，以確保其它數(shù)據(jù)不能進(jìn)入這 SSID。在一個(gè) AP 的覆蓋范圍內(nèi)，無(wú)線連接的帶寬是共享，即無(wú)線終端數(shù)目越多，每個(gè)終端所能分享的帶寬就越小?？梢员ＷC 園區(qū) 網(wǎng)絡(luò)接入的安全可靠性。由于 Aruba 的 AP 是不儲(chǔ)存 任何網(wǎng)絡(luò)配置（ IP 地址除外 ） 和安全設(shè)置，因此 Aruba 管理的 AP 是不能單獨(dú)工作的，因此獲得和接入進(jìn) Aruba AP，黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。 14 無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線 終端連接到 Aruba 無(wú)線系統(tǒng)中，當(dāng)試圖訪問(wèn)網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于 JAVA 的程序，可以對(duì)無(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查 ，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證 。例如語(yǔ)音視頻這樣對(duì)于時(shí)延敏感的業(yè)務(wù) ，目前，經(jīng)過(guò)中國(guó)網(wǎng)通、 賽爾公司對(duì)幾家 WLAN 設(shè)備廠商的設(shè)備測(cè)試結(jié)果表明， Aruba 的無(wú)線網(wǎng)系統(tǒng)以其完善 QoS 特性在測(cè)試中表現(xiàn)最佳。在具體實(shí)現(xiàn) WiFi語(yǔ)音時(shí)要注意考慮語(yǔ)音的時(shí)延， AP 呼叫的容量 和漫游切換時(shí)間?？缇W(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包 或者很大延遲。如下圖所示： P a g e 7中型無(wú)線局域網(wǎng)交換拓?fù)鋱D ( 集中式 )中型無(wú)線局域網(wǎng)交換拓?fù)鋱D ( 集中式 )大樓大樓V RRPMa s te r 無(wú)線交換機(jī)G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機(jī)接入層交換機(jī)接入層交換機(jī)匯聚層交換機(jī)匯聚層交換機(jī)網(wǎng)絡(luò)中心骨干交換機(jī)A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0 17 4． 1． 2 大型無(wú)線局域網(wǎng) (250 個(gè) AP 以上 )分布式組網(wǎng) 大型無(wú)線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺(tái)配置成 Local 工作模式 Aruba2400 交換機(jī)分別設(shè) 置于不同的配線間。 18 4． 1． 4 XXXX 無(wú)線局域網(wǎng)的組網(wǎng)設(shè)計(jì) XXXX 無(wú)線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無(wú)線局域網(wǎng)，考慮方案的性價(jià)比，建議 選 用 集中 式組網(wǎng)的方式： 在網(wǎng)絡(luò)中心 采用 一 臺(tái) Aruba6000 無(wú)線交換機(jī)，采用 無(wú)線 集中 管理， 全網(wǎng)絡(luò) AP 接受統(tǒng)一 管理， AP 以及下面的用戶 按接入策略分配接入到無(wú)線 交換機(jī)上。在一個(gè)無(wú)線局域網(wǎng)內(nèi)可以設(shè)置多個(gè) SSID，例如一個(gè) SSID可給內(nèi)部員工所用，而另一個(gè)可給外來(lái)的客戶專用。未來(lái)的發(fā)展趨勢(shì)是新增設(shè)一個(gè) SSID 讓員工以過(guò)度的方式逐漸從轉(zhuǎn)移到這個(gè) SSID 上。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有基于用戶的，它的保護(hù)只是基于 IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效很小。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。 （ 5）用戶狀態(tài)防火墻：用戶通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶設(shè)置他的訪問(wèn)控制策略，比如 可以訪問(wèn) Inter,不能訪問(wèn)圖書館的服務(wù)器，只能訪問(wèn) WEB 網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行 P2P 的軟件等。所以當(dāng)無(wú)線終端從一個(gè)AP 漫游到另一 AP 時(shí)，由于它們之間的缺省 IP 子網(wǎng)不同，無(wú)線終端會(huì)重新發(fā)出 DHCP 請(qǐng)求，這樣的話終端的 IP 地址就會(huì)更新， 所有在原先 AP 建立的連接都會(huì)被切斷。 C O NF I D E NT I A L P R E S E NT A T I O N – P a g e 45跨 IP 子網(wǎng)的 交替連接 語(yǔ)音不會(huì)中斷跨 IP 子網(wǎng)的 交替連接 語(yǔ)音不會(huì)中斷子 網(wǎng) 1子 網(wǎng) 2D HC P1 0 . 1 . 1 . 11. 根據(jù) VLAN 的連接用戶從 DHCP 服務(wù)器接收到一 個(gè) IP 地 址122. 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā)出另一 DHCP 請(qǐng) 求5 . 當(dāng)用戶漫游跨 越 A ruba 交換機(jī) 時(shí)線路連接不會(huì)中 斷33 . 透 過(guò) p ro x y DH CP , A ruba ’ s 交換機(jī)更改請(qǐng)求使終 端 維持原來(lái)的 IP a d d res s1 0 . 1 . 1 . 144