【導(dǎo)讀】無(wú)線(xiàn)局域網(wǎng)解決方案建議書(shū)

　　

【正文】 限的 role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常 符合 的 大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求 。 4． 4 無(wú)線(xiàn)安全性設(shè)計(jì) 在 Aruba 無(wú)線(xiàn)系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶(hù)的種類(lèi)、應(yīng)用的種類(lèi)，在 Aruba無(wú)線(xiàn)系統(tǒng)中設(shè)置多個(gè) SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶(hù)及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶(hù)無(wú)法看到，防止非法用戶(hù)的連接企圖。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某 些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。 （ 2） 加密： Aruba 無(wú)線(xiàn)系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動(dòng)態(tài) WEP、TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。 （ 3） 用戶(hù)認(rèn)證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 加密方式采用 WPAPSK， 不建議采用靜態(tài) WEP， 因?yàn)橛邪踩[患。采用 captive portal+VPN 的認(rèn)證方式，同時(shí) VPN 還具有三層的加密功能，具有更高的安全性。認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Aruba 交換機(jī)內(nèi)置的帳戶(hù)數(shù)據(jù)庫(kù)。 ② WPA+ 加密方式盡量采用 WPA， 如果客戶(hù)端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。 （ 4）用戶(hù)的 Role（角色）：每一類(lèi)用戶(hù)可以建立一個(gè)相關(guān)的 Role，每個(gè) Role 有一個(gè)用戶(hù)狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安 全策略加載到每個(gè)用戶(hù)身上。 （ 5）用戶(hù)狀態(tài)防火墻：用戶(hù)通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶(hù)的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶(hù)設(shè)置他的訪(fǎng)問(wèn)控制策略，比如可以訪(fǎng)問(wèn) Inter,不能訪(fǎng)問(wèn)圖書(shū)館的服務(wù)器，只能訪(fǎng)問(wèn) WEB 網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行 P2P 的軟件等。 21 （ 6）帶寬 控制：可以對(duì)每個(gè)用戶(hù)設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶(hù)端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。 （ 7）認(rèn)證系統(tǒng) 支持 ： Aruba 無(wú)線(xiàn)系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、 LDAP、微軟的 AD（活動(dòng)目 錄）和在 Aruba 無(wú)線(xiàn)交換機(jī)內(nèi)部的 Internal DB 等等 。 （ 8） 網(wǎng)絡(luò) 病毒的防護(hù)：無(wú)線(xiàn)終端病毒防護(hù)的可以從無(wú)線(xiàn)終端的準(zhǔn)入檢查以及對(duì)無(wú)線(xiàn) 終端發(fā)出 數(shù)據(jù)進(jìn)行有效的檢測(cè)兩個(gè)層面來(lái)進(jìn)行的。準(zhǔn)入檢查可以檢查終端 操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測(cè)上， Aruba 無(wú)線(xiàn)交換機(jī)上可以設(shè)定策略，對(duì)于某些無(wú)線(xiàn)用戶(hù)沾染病毒的終端， Aruba 無(wú)線(xiàn)系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。 4． 5 移動(dòng)漫游 設(shè)計(jì) 無(wú)線(xiàn)用戶(hù)移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠(chǎng)家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶(hù)跨越多個(gè)域時(shí)怎樣無(wú)縫 漫游， Aruba 無(wú)線(xiàn)局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫 漫游功能。 L2/L3 層漫游 在傳統(tǒng)的無(wú)線(xiàn)局域網(wǎng)內(nèi)，無(wú)線(xiàn)終端要跨越不同 AP 之間漫游是有一定的困難，因?yàn)椴煌?AP 之間，它的無(wú)線(xiàn)用戶(hù) IP 子網(wǎng)可能都不是在同一個(gè) VLAN 內(nèi)。所以當(dāng)無(wú)線(xiàn)終端從一個(gè)AP 漫游到另一 AP 時(shí)，由于它們之間的缺省 IP 子網(wǎng)不同，無(wú)線(xiàn)終端會(huì)重新發(fā)出 DHCP 請(qǐng)求，這樣的話(huà)終端的 IP 地址就會(huì)更新， 所有在原先 AP 建立的連接 都會(huì)被切斷。過(guò)去為了解決跨越三層的漫游，有些用戶(hù)采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點(diǎn)是它必須在無(wú)線(xiàn)終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶(hù)的無(wú)線(xiàn)接入端。 通過(guò) Aruba 無(wú)線(xiàn)系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP 子網(wǎng)的無(wú)線(xiàn)漫游問(wèn)題。 當(dāng)無(wú)線(xiàn)終端從一個(gè) AP 的 IP 子網(wǎng)漫游到另一個(gè) AP 的 IP 子網(wǎng)時(shí)，它重新發(fā)出的DHCP 請(qǐng)求 ， 會(huì)從 AP 端的 Aruba 無(wú)線(xiàn)交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無(wú)線(xiàn)交換機(jī) (用戶(hù)從那一個(gè)AP 獲取它的 IP 地址 )。用戶(hù)的原交換機(jī)會(huì)告 知用戶(hù)漫游到的 Aruba 交換機(jī)繼續(xù)保持用戶(hù)的原有的 IP 地址。 無(wú)線(xiàn)用戶(hù)已漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。 代理 DHCP 的優(yōu)點(diǎn)是無(wú)要 在用戶(hù)終端安裝任何軟件就可讓終端無(wú)縫的在不同IP 子網(wǎng)之間漫游。 C O NF I D E NT I A L P R E S E NT A T I O N – P a g e 45跨 IP 子網(wǎng)的 交替連接 語(yǔ)音不會(huì)中斷跨 IP 子網(wǎng)的 交替連接 語(yǔ)音不會(huì)中斷子 網(wǎng) 1子 網(wǎng) 2D HC P1 0 . 1 . 1 . 11. 根據(jù) VLAN 的連接用戶(hù)從 DHCP 服務(wù)器接收到一 個(gè) IP 地 址122. 當(dāng)用戶(hù)轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā)出另一 DHCP 請(qǐng) 求5 . 當(dāng)用戶(hù)漫游跨 越 A ruba 交換機(jī) 時(shí)線(xiàn)路連接不會(huì)中 斷33 . 透 過(guò) p ro x y DH CP , A ruba ’ s 交換機(jī)更改請(qǐng)求使終 端 維持原來(lái)的 IP a d d res s1 0 . 1 . 1 . 144. 在新的 IP 子 網(wǎng)內(nèi)，用 戶(hù)接收到原有的 IP 地 址IP I P TunnelA r u b a A P 在不同域之間的用戶(hù)認(rèn)證和漫游 在 大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門(mén)，部門(mén)內(nèi)通常都有自己的用戶(hù)數(shù)據(jù)庫(kù)，即所謂的本地認(rèn)證服務(wù)器。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫(kù)是未必可行的，但同時(shí)無(wú)線(xiàn)用戶(hù)應(yīng)是可在內(nèi)無(wú)縫漫游。 當(dāng)用 戶(hù)不是在本地入網(wǎng)或是從一個(gè)部門(mén)的接入點(diǎn)漫游到另一部門(mén)的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶(hù)名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話(huà)，則用戶(hù)會(huì)被斷線(xiàn)。要做到真正的無(wú)縫漫游，則需要有支持 Radius 代理 這樣的功能。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。 Aruba 本身就可提供不同域之間的認(rèn)證功能，域名可以與 SSID 綁定，亦可以讓用戶(hù)在登陸網(wǎng)頁(yè)時(shí)輸入或選擇域名。 Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。 23 五、 XXXX 無(wú)線(xiàn)局域網(wǎng)系統(tǒng) 建議 5． 1 無(wú)線(xiàn)覆蓋 建議 根據(jù) 無(wú)線(xiàn)網(wǎng)絡(luò)需求 及 園區(qū) 內(nèi) 實(shí)地的了解，并結(jié)合以往的工程經(jīng)驗(yàn)， 對(duì) 無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋做出以下規(guī)劃： （給出無(wú)線(xiàn)接入點(diǎn)部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無(wú)線(xiàn)組網(wǎng)實(shí)現(xiàn) Aruba 6000 交換機(jī)，放置在網(wǎng)絡(luò)機(jī)房， Aruba 6000 無(wú)線(xiàn)交換機(jī)可以 最多 可 支持 512個(gè) AP 的接入和管理 ，完全滿(mǎn)足 園區(qū) 無(wú)線(xiàn)覆蓋的需求，并留有 充足 的擴(kuò)展余量。 Aruba 6000交換機(jī) 集中 匯集 AP 的接入 和 控管。無(wú)線(xiàn)交換機(jī)和 AP 的連接可以穿透三層 網(wǎng)絡(luò)設(shè)備 ，因此，無(wú)線(xiàn)網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)， 可以實(shí)現(xiàn)全網(wǎng)的 無(wú)線(xiàn) 漫游。 Aruba 公司 的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機(jī)可以完全使用管理 Aruba AP 的管理方式一樣來(lái)管理該款新型 AP，實(shí)現(xiàn)所有 Aruba 提供的安全和管理功能。 無(wú)線(xiàn)局域網(wǎng)系統(tǒng)組網(wǎng)示意圖所示 : 閱覽室 住宅 樓 辦公 樓 會(huì)議中心 辦公樓 Aruba6000 三層交換機(jī) 主交換機(jī) 園區(qū) 網(wǎng)/Inter 24 AP 的供電 可以 采用單獨(dú)的 PoE 供電設(shè)備（ 與原有的普通樓層交換機(jī)配合，不用添加新的 POE 交換機(jī)），用于 AP 數(shù)據(jù)接入和供電，又不增加過(guò)多的成本。 無(wú)線(xiàn)局域網(wǎng)系統(tǒng)， 可以支持 在 園區(qū) 內(nèi)的任何一處，即便是在沒(méi)有安裝有線(xiàn)網(wǎng)絡(luò)信息點(diǎn)的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開(kāi)各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。在無(wú)線(xiàn)網(wǎng)絡(luò)音視頻會(huì)議教學(xué)系統(tǒng)的支持下，在校的留學(xué)生、教師和行政辦公人員以及與會(huì)的來(lái)賓等，就可以利用其所攜帶的筆記本電腦或是配置 有無(wú)線(xiàn)網(wǎng)絡(luò)適配器的 PC 機(jī)，在 學(xué)校 內(nèi)的任何一個(gè)地方上網(wǎng)與世界的任何一地進(jìn)行信息交流、教學(xué)或媒體演示。 教師和學(xué)生以及 學(xué)生 也可以隨時(shí)查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。 5． 3 網(wǎng)絡(luò)用戶(hù)與應(yīng)用管理實(shí)現(xiàn) 從 學(xué)校 的上網(wǎng)用戶(hù)類(lèi)型與應(yīng)用類(lèi)型情況分析，用戶(hù)主要有： （ 1） 學(xué)校 教職員工； （ 2） 來(lái)訪(fǎng)學(xué)者和 學(xué)生； （ 3）參加會(huì)議人員和來(lái)訪(fǎng)人員； （ 4） 學(xué)校 工作人員； （ 5）長(zhǎng)期租用 學(xué)校 辦公的人員。 應(yīng)用主要有：（ 1）多媒體與網(wǎng)絡(luò)教學(xué)；（ 2）各種學(xué)術(shù)報(bào)告與會(huì)議 需要的移動(dòng) VoIP（音視頻）；（ 3）移動(dòng)業(yè)務(wù)辦公；（ 4）訪(fǎng)問(wèn) Inter。 采用 Aruba 無(wú)線(xiàn)系統(tǒng)的多 SSID 結(jié)構(gòu)的管理技術(shù)將不同類(lèi)型的用戶(hù)和應(yīng)用劃分到不同的 SSID 中，賦予不同的訪(fǎng)問(wèn)規(guī)則與權(quán)限以及配置不同的管理策略。 在方案實(shí)現(xiàn)上使用 多 個(gè) SSID：一個(gè)供學(xué)生用戶(hù)和來(lái)賓使用，可以不用加密，只做基于WEB 的接入認(rèn)證，另一個(gè) SSID 供 學(xué)校 教職員工和工作人員使用，該 SSID 被配置為隱含，不廣播出來(lái)，采用 WPA 加密＋ 認(rèn)證方式，確保此類(lèi)用戶(hù) 安全性。 音視頻會(huì)議應(yīng)用使用專(zhuān)門(mén)的 SSID。只出現(xiàn)在需要提供這類(lèi) 應(yīng)用服務(wù)的 AP 上，其他AP 都沒(méi)有該 SSID，用戶(hù)也就無(wú)從使用該 SSID 訪(fǎng)問(wèn)網(wǎng)絡(luò)，保證 無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。將訪(fǎng)問(wèn)策略中的語(yǔ)音業(yè)務(wù)和視頻業(yè)務(wù)的應(yīng)用優(yōu)先級(jí)提到最高，以確保這些服務(wù)的質(zhì)量。 25 綜上所述，無(wú)線(xiàn)局域網(wǎng)系統(tǒng)共開(kāi)設(shè) 多 個(gè) SSID。 2 個(gè) SSID 用于數(shù)據(jù)應(yīng)用，分別對(duì)應(yīng) 2類(lèi)用戶(hù)，另外 2 個(gè) SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語(yǔ)音和視頻的服務(wù)。并同時(shí)采用不同的認(rèn)證、加密和安全控管的手段，以方便的實(shí)現(xiàn)網(wǎng)絡(luò)安全和管理。 5． 4 多媒體 以及音視頻應(yīng)用的實(shí)現(xiàn) 在會(huì)議廳、報(bào)告廳實(shí)現(xiàn)無(wú)線(xiàn)覆蓋，可以建立 Aruba 的無(wú)線(xiàn)音視頻會(huì)議網(wǎng)絡(luò) 系統(tǒng)平臺(tái)。考慮到會(huì)議廳、報(bào)告廳以及多功能廳的用途，接入的用戶(hù)多的情況，覆蓋時(shí)需要考慮接入容量因素。在這個(gè)平臺(tái)上為各種會(huì)議、報(bào)告提供無(wú)線(xiàn)音視頻會(huì)議系統(tǒng)，會(huì)議的組織者可以在這個(gè)平臺(tái)上方便地、靈活地使用音視頻會(huì)議系統(tǒng)，為會(huì)議參加者提供豐富地文字、語(yǔ)音、視頻會(huì)議服務(wù)，為主持會(huì)議者與參會(huì)者提供一個(gè)互動(dòng)服務(wù)。 Aruba 無(wú)線(xiàn)系統(tǒng)以其技術(shù)先進(jìn)的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運(yùn)行。使用 Aruba 無(wú)線(xiàn)系統(tǒng)在 學(xué)校 的報(bào)告廳、各大小會(huì)議室以及多功能廳等區(qū)域?qū)崿F(xiàn)無(wú)線(xiàn)覆蓋，利用無(wú)線(xiàn)音視頻會(huì)議網(wǎng)絡(luò)系統(tǒng)平臺(tái)可為各 種會(huì)議提供豐富的文字、語(yǔ)音和視頻服務(wù)。通過(guò)無(wú)線(xiàn)局域網(wǎng)，可以輕松地實(shí)現(xiàn)主會(huì)場(chǎng)與分會(huì)場(chǎng)間資源共享的問(wèn)題，這樣即可解決了會(huì)議場(chǎng)所的空間問(wèn)題，又可以相應(yīng)地節(jié)省人力和物力。 5． 5 無(wú)線(xiàn)網(wǎng)的安全系統(tǒng)實(shí)現(xiàn) Aruba 無(wú)線(xiàn)網(wǎng)的安全系統(tǒng)實(shí)現(xiàn)如下安全功能： ? 接入認(rèn)證控制： 驗(yàn)證用戶(hù)， 授權(quán)他們接入特定的資源， 同時(shí)拒絕為未經(jīng)授權(quán)的用戶(hù)提供接入。 ? 確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶(hù)讀取或更動(dòng)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。 ? 偵測(cè)和阻斷非法接入：防止非法 AP 接入 學(xué)校的 無(wú)線(xiàn)網(wǎng)絡(luò)中。 ? 監(jiān)測(cè)和阻斷無(wú)線(xiàn)攻擊： 防止攻擊占用某個(gè)接入點(diǎn) 的所有可用帶寬， 導(dǎo)致其他用戶(hù)的正當(dāng)接入。 ? 檢測(cè)無(wú)線(xiàn)終端的防病毒狀態(tài)：防止染有病毒的無(wú)線(xiàn)終端接入。 26 6 無(wú)線(xiàn)交換機(jī)的配置實(shí)施建議 一般廠(chǎng)家的無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品在 園區(qū) 網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 由于 Aruba 的 AP 是通過(guò) GRE 的隧道連接到