【正文】 但亦有可能 SSID 在不同的 AP 接入點時，它設(shè)置的缺省 VLAN 是不一樣的。其實二者之間的關(guān)系并非是一對一，即一個 SSID 必須對應(yīng)有一個 VLAN。對網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的 VLAN/IP 子網(wǎng)應(yīng)當(dāng)和用戶是分開，這樣才可 確保正常網(wǎng)絡(luò)運行和維護。 由于 Aruba 的 AP 是通過 GRE 的隧道連接到 Aruba 交換機上，所以 Aruba 產(chǎn)品在規(guī)劃 上可以完全不改變園區(qū)網(wǎng)原有的網(wǎng)絡(luò)結(jié)構(gòu)，同時實現(xiàn)無縫的二三層漫游。 ??偵測和阻斷非法接入：防止非法 AP 接入學(xué)校的無線網(wǎng)絡(luò)中。使用 Aruba 無線 系統(tǒng)在學(xué)校的報告廳、各大小會議室以及多功能廳等區(qū)域?qū)崿F(xiàn)無線覆蓋，利用無線音視頻 會議網(wǎng)絡(luò)系統(tǒng)平臺可為各種會議提供豐富的文字、語音和視頻服務(wù)。 5． 4 多媒體以及音視頻應(yīng)用的實現(xiàn) 在會議廳、報告廳實現(xiàn)無線覆蓋，可以建立 Aruba 的無線音視頻會議網(wǎng)絡(luò)系統(tǒng)平臺。將訪 問策略中的語音業(yè)務(wù)和視頻業(yè)務(wù)的應(yīng)用優(yōu)先級提到最高，以確保這些服務(wù)的質(zhì)量。 采用 Aruba 無線系統(tǒng)的多 SSID 結(jié)構(gòu)的管理技術(shù)將不同類型的用戶和應(yīng)用劃分到不同 的 SSID 中，賦予不同的訪問規(guī)則與權(quán)限以及配置不同的管理策略。 在無線網(wǎng)絡(luò)音視頻會議教學(xué)系統(tǒng)的支持下，在校的留學(xué)生、教師和行政辦公人員以及與會 的來賓等，就可以利用其所攜帶的筆記本電腦或是配置有無線網(wǎng)絡(luò)適配器的 PC 機，在學(xué) 校內(nèi)的任何一個地方上網(wǎng)與世界的任何一地進行信息交流、教學(xué)或媒體演示。無線交換機和 AP 的連接可以穿透三層網(wǎng)絡(luò)設(shè)備，因此， 無線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)，可以實現(xiàn)全網(wǎng)的無線漫游。 Aruba 本身就可提 供不同域之間的認證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選 擇域名。在實現(xiàn)應(yīng)用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無 線用戶應(yīng)是可在內(nèi)無縫漫游。用戶的原交換機會告知用戶漫游到的 Aruba 交換機繼續(xù)保持用戶的 原有的 IP 地址。過去為了 解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點是它必須在 無線終端安裝軟件。在數(shù)據(jù)的檢測上， Aruba 無線交換機上可以設(shè)定策略， 對于某些無線用戶沾染病毒的終端， Aruba 無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進行防 病毒的檢查，檢查完成后，才允許接入。 21 （ 6）帶寬控制：可以對每個用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資 源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。認證服 務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS， 甚至是 Aruba 交換機內(nèi)置的帳戶數(shù)據(jù)庫。 （ 2） 加密： Aruba 無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動態(tài) WEP、 TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加密的 方式更加的靈活，可以根據(jù)實際需求進行選擇。所有這些在配置、使用和管理上都非常符合的大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。 Aruba 的基于用戶狀態(tài)的防火墻則是與用戶認證捆綁在一起，當(dāng)無線用戶成功 通過認證后，他會獲得一個預(yù)設(shè)的防火墻策略，不同的無線用戶有不同的防火墻策略，例 如一個用戶可以使用 SIP 的服務(wù)，而另一用戶則可用 FTP。 學(xué)校教職員工、學(xué)校工作人員和長期租用學(xué)校辦公的人員屬于學(xué)院內(nèi)的固定用戶，可以采 用專門的 SSID，可以采用級別較高的認證和加密手段，對于來賓和留學(xué)生、參加會議人員 和來訪人員可以使用另一個 SSID，采用級別相對較低的認證和加密手段，這樣就實現(xiàn)了區(qū) 分的服務(wù)。不能一步轉(zhuǎn)到 的主因在于很多的無線終端現(xiàn)在 尚未支持 ，而是不可能把所有的終端一次更換成最新的軟件程序。 19 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同 加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在的。由于用戶一般把 SSID 看成 VLAN， 所以它們都會慣性地以 VLAN 概念來劃分 SSID。 4． 2 多業(yè)務(wù)區(qū)分設(shè)計 從學(xué)校的用戶分類與分布情況分析，用戶主要分成以下幾類： （ 1）學(xué)校教師與領(lǐng)導(dǎo)； （ 2）來訪學(xué)者或留學(xué)生； （ 3）參加交流會議領(lǐng)導(dǎo)和來訪人員； （ 4）園區(qū)一般工作人員； （ 5）長期租用學(xué)校辦公的三產(chǎn)公司人員。這種組網(wǎng)方式簡易靈 活并方便擴容。 在網(wǎng)絡(luò)中心內(nèi)則一定會 Aruba5100 用以管理其它 Aruba5000/Aruba5100 交換機。 一些要求較高的用戶會采用雙機（二臺 Aruba2400）在配線間以 VRRP 串聯(lián)模式來加強網(wǎng)絡(luò)冗余備份?？梢愿鶕?jù)不同的網(wǎng)絡(luò) 規(guī)模和管理方式，考慮選用以下不同檔次的無線交換機進行組網(wǎng) 。 而 Aruba 的 handoff 性能極佳，保證了語音的流暢。 3． 4． 3 無縫的三層漫游 Aruba 無線可以支持無線接入用戶在 AP、 WLAN 交換機、多子網(wǎng)以及多 VLAN 之 間無縫地漫游，而且不會丟失連接，也不需要重啟 DHCP。尤其無線語音的漫游 , 它會比一般的數(shù)據(jù)移動傳輸更普及，但相對的要求也較嚴(yán)緊，所以要在無線局域網(wǎng)實現(xiàn)語 音和數(shù)據(jù)融合，就不能隨意的安裝一些 AP，而必須是有規(guī)范的組建無線局域網(wǎng)。對于一些經(jīng)常出差的用戶 VoWiFi 會帶來極大的 方便，亦可節(jié)省長途電話費。 提供語音服務(wù)，將極大以高無線網(wǎng)絡(luò)的實際運營效果，為廣大在校師生提供無線網(wǎng)絡(luò) 服務(wù)，隨著無線語音技術(shù)的發(fā)展，無線語音無線數(shù)據(jù)服務(wù)將極大方便用戶的園區(qū)生活。 Aruba 無線系統(tǒng)可在每個用戶的權(quán)限限制內(nèi)用戶無線連接的最高帶寬。 當(dāng)無線終端通過了準(zhǔn)入檢查，但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是 更加進一步的病毒防護手段。這些攻擊在 HotSpot 會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用 戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。 3． 3． 5 無線接入點安全偵測和保護 采用 Aruba 無線系統(tǒng)的 RF 偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi) 的所有 AP 接入情況 ,如相鄰房間的 AP、設(shè)置錯誤的 AP 以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的 AP。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護只是基于 IP 地址或物理端口來制定 防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 3． 3 Aruba 無線局域網(wǎng)系統(tǒng)的安全管理 3． 3． 1 集中的安全管理 Aruba 無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入侵監(jiān)測以 及 RF 電磁波管理等多項安全功能匯聚到 Aruba 無線交換機上來完成的，解決了傳統(tǒng)的無 線網(wǎng)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安 全的依賴性。 Aruba 采用的無線定位模式稱為三角定位，無線定位的準(zhǔn)確性可達到 米 以內(nèi)，無線定位的條件是所尋找的無線終端附近須有最少三個 Aruba 的 AP 在范圍內(nèi)。要確保每個無線終端的傳輸就必須能限制一個 AP 上無線終端的數(shù)量或 AP 帶寬傳輸總和或和每個無線終端帶寬上限。但由于大多數(shù)的 AP 都是設(shè)置在外面 (不 是在機房 )，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護人員即 時做出更換 (很多的 AP 都是安裝在天花板上 )。在一個預(yù)設(shè) 定語音 SSID 內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語音傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這 SSID。 SSID 的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。當(dāng)某一覆蓋范圍內(nèi)的 無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等， Aruba 無線交 換機就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 當(dāng)無線局域網(wǎng)經(jīng)過自動校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運作時，網(wǎng)絡(luò)管理員可在 Aruba 交換機內(nèi)啟動 ARM 這功能，無線網(wǎng)上所有的 Aruba AP 都會在設(shè)定的時間內(nèi)自行掃描其它 的無線頻道。 3． 2． 3 RF 智能控管 Aruba 系統(tǒng)的 RF 智能控管可以自動調(diào)節(jié)網(wǎng)上所有 Aruba AP 的電波特性。其工作量在有一定數(shù)量 AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng) 是一個整體系統(tǒng)， AP 之間必須互協(xié)調(diào)工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間 的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。 Aruba RF Planning 為無線網(wǎng)的規(guī)劃設(shè)計、調(diào)試以及維護提供科學(xué)化和規(guī)范化的管理。 使用這套工具時，在數(shù)字化的園區(qū)建筑圖紙上設(shè)定無線所覆蓋范圍如那幾個樓層和面積大 小，輸入有關(guān)無線覆蓋和傳輸模型的相關(guān)參數(shù)，如無線終端的平均帶寬， AP 和 AP 之間覆 蓋面等。不用劃分 VLAN，對于無線網(wǎng)絡(luò)的管理帶來極大的便利性。 由于無線用戶的傳輸是通過 Aruba AP 內(nèi)已建立的 GRE 隧道和 Aruba 交換機互連的， 所以實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。在網(wǎng) 絡(luò)系統(tǒng)擴展性方面， Aruba 的一臺 5000/6000 型交換機可靈活地對從 48 個 AP 到__________128 個 AP 擴充到支持 512 個 AP，因此擴展 AP 非常容易；從網(wǎng)絡(luò)管理擴展性方面 , Aruba 的 Master/Local 方式， Master Aruba 交換機可以同時控制管理 28 臺的 Local Aruba 交換機， 因此增加交換機也非常容易管理。 3． 1． 2 靈活的組網(wǎng)方式 第三代的 Aruba 產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個 AP），到大型無線網(wǎng)規(guī) 模（幾百個 AP，甚至上千個 AP），都可以采用集中或者分布式的組網(wǎng)方式進行靈活的組 8 網(wǎng)。 在無線安全性方面， Aruba 無線系統(tǒng)具備多種用戶認證、基于用戶的狀態(tài)防火墻、 VPN 加密機制、無線入侵偵測、無線接入病毒防護功能以及集中的安全管 理。 7 作為第三代的 Aruba 無線系統(tǒng)采用了 Wireless Switch＋ AP 構(gòu)架，將密集型的無線網(wǎng) 絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸 如無線網(wǎng)管、 AP 間自適應(yīng)、無線安管、 RF 監(jiān)測、無縫漫游以及 Qos 保證。 第二代無線局域網(wǎng)技術(shù)（以正誠、昂科、 Bluesocket 等為代表），采用 AC＋智能 AP 構(gòu)架， AC 兩者實質(zhì)均為二層設(shè)備， AP 實現(xiàn)接入、 AC 實現(xiàn)匯聚和認證功能，有的廠商的 AC 實現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如： WEB 認證、流量的 控制、訪問的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理，它們無法實現(xiàn)對無線 電磁波層面的調(diào)控和優(yōu)化。 充分考慮 WLAN 的安全性，采用先進的 WLAN 安全技術(shù)保障。 充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨組網(wǎng)， AP 就近接入有線網(wǎng)絡(luò)（最近的 交換機），并且不改變原有網(wǎng)絡(luò)結(jié)構(gòu)以及交換機配置。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功 能和管理的模式保持不便。第三代無線局域網(wǎng)架構(gòu)采用無線交換機加瘦 AP 的結(jié)構(gòu)，使得 無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高，使建設(shè)大型無線網(wǎng) 成為可能。 1． 5 無線覆蓋范圍需求 根據(jù) XXXX 無線網(wǎng)絡(luò)需求要求無線局域網(wǎng)的覆蓋區(qū)域的如下： （貼圖以及說明具體覆蓋需求的位置） 二、 XXXX 無線局域網(wǎng)設(shè)計原則和技術(shù)需求 2． 1 遵循標(biāo)準(zhǔn) 無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標(biāo)準(zhǔn)或業(yè)界標(biāo)準(zhǔn)，不使用某個廠商的專用技 術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護。 無線網(wǎng)絡(luò)的覆蓋重點為?? （以下針對大學(xué)的需求展開） 1． 2 網(wǎng)絡(luò)教學(xué)需求 XXXX 大學(xué)有多個多媒體教學(xué)教室和計算機網(wǎng)絡(luò)教室，由于在建設(shè)時這些房間的 使用功能考慮，目前有線網(wǎng)絡(luò)環(huán)境教室已經(jīng)不能滿足廣大師生網(wǎng)絡(luò)接入，如采用有線 網(wǎng)絡(luò)擴充方式還需要在這些教室布大量網(wǎng)線，其工程難度很大。具體需求如下： 1． 1 擴展網(wǎng)絡(luò)信息點數(shù)量需求 XXXX 在建設(shè)時所安裝部署的有線網(wǎng)絡(luò)信息點數(shù)量與實際使用的需要缺口較大， 難以滿足正常辦公、各種會議以及來客使用網(wǎng)絡(luò)的實際需求。由于 XXXX 是新建成投 入使用的，采用有線網(wǎng)絡(luò)擴充而進行的網(wǎng)絡(luò)布線工程會對 XXXX 墻壁和頂棚做大量的 施工，影響建筑樓群內(nèi)部的外觀。因此，建議采用無線 局域網(wǎng)覆蓋方式可以很方便、靈活地配合教室的布局和計算機接入網(wǎng)絡(luò)的位置。 根據(jù) XXXX 大學(xué)的需求和無線網(wǎng)建設(shè)與設(shè)計原則，建議采用美國 Aruba Networks 公司的第三代無線交換局域網(wǎng)系統(tǒng)（以下簡稱 Aruba 無線系統(tǒng)），完成無線局域網(wǎng)覆蓋 項目 。 2． 3 安全可靠 在網(wǎng)絡(luò)安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護措 施，無線網(wǎng)的安全性主要從以下幾個方面考慮： （ 1）接入認證：具有支持多種用戶認證方式； （ 2）采用具有用戶狀態(tài)訪問控制的防火墻技術(shù)； （ 3）具有數(shù)據(jù)在無線信道上傳輸?shù)?VPN 機