【正文】 Aruba 無線系統(tǒng)以其技術先進的帶寬控制和Qos 管理功能可以保。考慮到會議廳、報告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時需要考慮接入容量因素。并同時采用不同的認證、加密和安全控管的手段，以方便的實現(xiàn)網絡安全和管理。25綜上所述，無線局域網系統(tǒng)共開設多個SSID。只出現(xiàn)在需要提供這類應用服務的AP 上，其他AP 都沒有該SSID，用戶也就無從使用該SSID 訪問網絡，保證無線網絡的安全性。在方案實現(xiàn)上使用多個SSID：一個供學生用戶和來賓使用，可以不用加密，只做基于WEB 的接入認證，另一個SSID 供學校教職員工和工作人員使用，該SSID 被配置為隱含，不廣播出來，采用WPA 加密＋ 認證方式，確保此類用戶安全性。應用主要有：（1）多媒體與網絡教學；（2）各種學術報告與會議需要的移動VoIP（音視頻）；（3）移動業(yè)務辦公；（4）訪問Internet。教師和學生以及學生也可以隨時查閱網上的資料或遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個多方位的可視化的遠程多媒體教學環(huán)境。無線局域網系統(tǒng)，可以支持在園區(qū)內的任何一處，即便是在沒有安裝有線網絡信息點的地方，也可以很方便地進行可視化的音視頻教學和召開各種需要使用網絡音視頻的會議。Aruba 公司的60/61 系列 AP ，具有Aruba AP 的各種安全和管理功能，Aruba 交換機可以完全使用管理Aruba AP 的管理方式一樣來管理該款新型AP，實現(xiàn)所有Aruba 提供的安全和管理功能。Aruba 6000交換機集中匯集AP 的接入和控管。Aruba 會把在不同域之間的認證請求轉發(fā)到對應這域的radius 服務器處理。但由于不是所有的認證服務器都支持這種功能所以在具體實施時也有一定的困難。當用戶不是在本地入網或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5跨IP子網的交替連接 語音不會中斷子網1子網2D H C P1 0 . 1 . 1 . 11 . 根據(jù)V L A N 的連接用戶從D H C P 服務器接收到一個IP 地址122 . 當用戶轉移到新的IP 子網時會發(fā)出另一D H C P 請求5 . 當用戶漫游跨越A r u b a 交換機時線路連接不會中斷33 . 透過p r o x y D H C P , A r u b a ’ s交換機更改請求使終端維持原來的IP a d d r e s s1 0 . 1 . 1 . 144 . 在新的IP 子網內， 用戶接收到原有的IP 地址I P I P T u n n e lA r u b a A P在不同域之間的用戶認證和漫游在大型網絡內，一般都有很多不同的部門，部門內通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認證服務器。無線用戶已漫游到另一個IP 子網，但它仍可以原有的IP 地址繼續(xù)在新的22AP 上入網。當無線終端從一個AP 的IP 子網漫游到另一個AP 的IP 子網時，它重新發(fā)出的DHCP 請求，會從AP 端的Aruba 無線交換機轉發(fā)到原有子網的無線交換機(用戶從那一個AP 獲取它的IP 地址)。這是一般網絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。所以當無線終端從一個AP 漫游到另一AP 時，由于它們之間的缺省IP 子網不同，無線終端會重新發(fā)出DHCP 請求，這樣的話終端的IP 地址就會更新，所有在原先AP 建立的連接都會被切斷。4．5 移動漫游設計無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游，Aruba 無線局域網可以實現(xiàn)快速無縫漫游功能。準入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設置安全策略是否準予進入網絡。（7）認證系統(tǒng)支持： Aruba 無線系統(tǒng)支持多種認證系統(tǒng)，諸如Radius、LDAP、微軟的AD（活動目錄）和在Aruba 無線交換機內部的Internal DB 等等。（5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設置他的訪問控制策略，比如可以訪問Internet,不能訪問圖書館的服務器，只能訪問WEB 網頁和收發(fā)郵件，不能運行P2P 的軟件等。② WPA+ 加密方式盡量采用WPA，如果客戶端不支持也可采用動態(tài)WEP，認證服務器選擇RADIUS。采用captiveportal+VPN 的認證方式，同時VPN 還具有三層的加密功能，具有更高的安全性。（3）用戶認證提供二種方式：① WPAPSK＋captive portal+VPN。SSID 還可以選擇在某些AP 上出現(xiàn)，某些AP 上不出現(xiàn)，限制SSID 出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。4．4 無線安全性設計在Aruba 無線系統(tǒng)中，可以在多個層面對系統(tǒng)構筑安全防護，其安全性設計如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應用的種類，在Aruba 無線系統(tǒng)中設置多個SSID，不同的SSID 采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。在帶寬方面可以做比較寬松的限制。一般在防火墻策略設計中，可以將來賓和普通學生的權限設置的較低，只能訪問有限的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以做時間段的限制。傳統(tǒng)的網絡防火墻是沒有基于用戶的，它的保護只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。4．3 網絡與用戶管理Aruba 無線系統(tǒng)中可以設定用戶的角色（role），每個role 可以基于用戶狀態(tài)防火墻和代理限制的設定等規(guī)則。所以針對無線局域網多種用戶的不同業(yè)務類型應該采取不同的SSID進行管理和控制。要注意的是SSID 可以覆蓋全網，也可以只局限于園區(qū)網內的某些范圍。 SSID 讓員工以過度的方式逐漸從轉移到這個SSID 上。 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網。其實在一個AP 范圍內，不管用戶連接到那一個SSID 廣播域內，因為無線電波的傳輸是共享。在一個無線局域網內可以設置多個SSID，例如一個SSID可給內部員工所用，而另一個可給外來的客戶專用。使用無線網絡可以分為不同的無線接入業(yè)務類型。Aruba 6000可以支持到256 個AP。Aruba6000 無線交換機現(xiàn)在配備SC48C1 和SC128C1 服務卡，分別可以支持48 個AP 和128 個AP。184．1．4 XXXX 無線局域網的組網設計XXXX 無線局域網系統(tǒng)屬于中型規(guī)模的無線局域網，考慮方案的性價比，建議選用集中式組網的方式：在網絡中心采用一臺Aruba6000 無線交換機，采用無線集中管理，全網絡AP 接受統(tǒng)一管理，AP 以及下面的用戶按接入策略分配接入到無線交換機上。4．1．3 大型無線局域網(250 個AP 以上)集中式組網所有的無線交換機都放置在網絡中心，但是在網絡中心內則一定會有1 臺 Aruba5100設置成Master 工作模式，用以管理其它Aruba5000/5100 交換機。選用Aruba5000 無線交換機，一般是把250 個AP 匯聚到Aruba5100 上，而視乎AP實際數(shù)目和園區(qū)網絡拓撲，多臺Aruba5000/5100 可分別設置在園區(qū)的不同的配線間/機房。在網絡中心則設置二臺Master Aruba2400 (VRRP) 作為主控管交換機。如下圖所示：Page 7中型無線局域網交換拓撲圖(集中式)大樓大樓VRRP Master無線交換機GRE 隧道Aruba APAruba APAruba APAruba AP接入層交換機接入層交換機接入層交換機匯聚層交換機匯聚層交換機網絡中心骨干交換機A5000/5100A5000/5100174．1．2 大型無線局域網(250 個AP 以上)分布式組網大型無線局域網架構，用戶可選擇以分布式組網，即采用多臺配置成Local 工作模式Aruba2400 交換機分別設置于不同的配線間。4．1．1 中型無線局域網(100 到250 個AP)集中式組網根據(jù)園區(qū)網絡結構和需求，用戶可選擇單臺Aruba 5000 或6000 交換機來組網。 無線組網方式設計Aruba 無線系統(tǒng)的組網方式有兩種，集中式組網和分布式組網。這種技術可以確保無線語音業(yè)務可以無縫的在AP 間漫游，而不會發(fā)生掉線，是語音業(yè)務的質量保證?？缇W段時需要二次認證，導致丟包或者很大延遲。無線網絡不需要對現(xiàn)有網絡進行任何改變就可以實現(xiàn)這一切。另在無線語音安全接入方面，Aruba 可防止沒有無線語音權限的用戶使用無線語音，以確保無線網絡資源能有效運用。Aruba 無線系統(tǒng)可容許用戶設置專有的語音SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉蚖iFi手機用戶分開，但也可以在單一SSID 內同時傳送數(shù)據(jù)和話音，關鍵的重點就是怎樣保證語音傳輸?shù)馁|量。在具體實現(xiàn)WiFi語音時要注意考慮語音的時延， AP 呼叫的容量和漫游切換時間。很多手機廠家已開始推出雙模制式的手機(GSM/CDMA +WiFi)，用戶很快就可以漫游于手機移動網和無線局域網之間。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用15辦公室的電話號碼，不管是國內或國外。3．4．2 VoIP 與WIFI 手機隨著VoIP 的越來越普及(如Skype,…等)，基于SIP 的WiFi 電話將迅速變?yōu)閳@區(qū)內用戶之間話音聯(lián)絡的主流。例如語音視頻這樣對于時延敏感的業(yè)務，目前，經過中國網通、賽爾公司對幾家WLAN 設備廠商的設備測試結果表明，Aruba 的無線網系統(tǒng)以其完善QoS 特性在測試中表現(xiàn)最佳。對于不同的IP 服務，Aruba系統(tǒng)亦可透過Aruba 無線交換機設置定義不同的QoS 隊列。3．4 無線移動音視頻應用3．4．1 帶寬控制與服務質量保證QOSAruba 無線系統(tǒng)的帶寬管理能力使得在移動音視頻應用方面表現(xiàn)出很強的優(yōu)勢。Aruba 公司和第三方的防病毒墻廠家合作，在Aruba 無線交換機上可以設定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)，Aruba 交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。14無線終端病毒防護的第一步是準入檢查，當無線終端連接到Aruba 無線系統(tǒng)中，當試圖訪問網絡，在用戶認證之前，需要下載一個基于JAVA 的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設定策略禁止其訪問網絡，也可設置成將無線用戶重定向到一臺升級服務器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。Aruba 無線系統(tǒng)的特點是交換機由專有的網絡處理器和加密處理器組成，且內置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當Aruba 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。今天絕大部分的無線局域網都沒有偵測無線入侵的功能，所以當受到像無線DOS 攻擊時，就會誤以為是無線電波的信號受干擾或AP 出現(xiàn)不穩(wěn)定情況。通過Aruba 的網絡安全管理系統(tǒng)，網絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法AP 聯(lián)接到無線網中。由于Aruba 的AP 是不儲存任何網絡配置（IP 地址除外）和安全設置，因此Aruba 管理的AP 是不能單獨工作的，因此獲得和接入進Aruba AP，黑客也不會拿到無線網的網絡和安全配置參數(shù)。Aruba 無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員13可以使用更多的服務，而學生只可以瀏覽網頁、收發(fā)Email 等，這樣可以極大方便園區(qū)網用戶的安全管理。3．3．3 獨特的無線訪問控制用戶狀態(tài)防火墻是Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。3．3．2 多種用戶認證方式在Aruba 無線系統(tǒng)中，一個無線用戶進入無線網以后，會拿到一個最基本的入網權限，這個權限不容許用戶訪問任何網段，只讓用戶通過DHCP 獲取IP 地址、傳送DNS 協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網。可以保證園區(qū)網絡接入的安全可靠性。這是傳統(tǒng)無線局域網所不能做的，有些單位如醫(yī)院就是采用了無線定位技術來取代傳呼機在醫(yī)院內尋找醫(yī)生、病人等。3．2．7 無線終端定位Aruba 網管系統(tǒng)可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、PDA 和12WiFi 手機等。Aruba 無線系統(tǒng)可應用層面通過4－7 層交換模塊可以實現(xiàn)服務器的負載均衡，VPN 設備，防火墻設備等等一系列基于TCP/IP 協(xié)議設備的負載均衡來保證整體網絡的可靠性。在一個AP 的覆蓋范圍內，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。Aruba 系統(tǒng)具有自動恢復的功能，實時偵測出網上AP 是否有失效，當發(fā)覺有