【正文】 當安裝 ARUBA 無線系統(tǒng)的時候，網(wǎng)管人員可把部署的圖紙輸入到 ARUBA 無線交換機內(nèi)的 RF Pla。如果把隔壁公司所 安裝和使用的 AP 視為非法 AP 的話，很容易就會把它們正常的無線連接打斷，間接變成 DOS 攻擊其它企業(yè)的網(wǎng)絡。 ARUBA 的自動保護系統(tǒng)是市場上最卓越和最全面的無線網(wǎng)絡安全保護工具。 DeAuth包會不停地發(fā)出直到在線的無線終端的無線連接被打斷為止。網(wǎng)管人員亦可開啟自動保護機制，阻止無線終端通過非法 AP連接到傳輸網(wǎng)內(nèi)。 由于 ARUBA 的 AP 是不儲存任何安全設置和無線局域網(wǎng)具體配置（ AP IP網(wǎng)絡設置除外），再者 ARUBA 的 AP 是不能單獨使用，所以就算 AP 被盜取，黑客也不會拿到無線網(wǎng)絡配置的資料。這種結(jié)構(gòu)稱為集中加密方式，不單比在AP 上做加密更安全，且大大簡化了用戶認證設置和管理。如果單純只考慮無線接入層的安全而把網(wǎng)絡層分開處理的話，就會把整個網(wǎng)絡的安全結(jié)構(gòu)打斷，不但在現(xiàn)有網(wǎng)絡上需重新設置以配合，令網(wǎng)絡維護變得更復雜和缺乏靈活性，且一不小心更會造成安全漏洞。 . 無線局域網(wǎng)的認證和加密 安全 可以說是 企業(yè) 是否采用無線網(wǎng)的最主要考慮因素。這種模式在企業(yè)內(nèi)部署會對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實現(xiàn)。從因特網(wǎng)進入 企業(yè) 內(nèi)網(wǎng)無線接入的最大區(qū)別在于后者是可對用戶做認證，但前者是不可能實現(xiàn)。且未來如要增加多一些 AP 接入點的話，亦同樣需要在局域網(wǎng)的接入層，匯聚 層做很多改動。這種方式在具體實施時有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶 /終端必需集中在同一 VLAN 上處理，否則的話很難把它們匯聚到一個 DMZ內(nèi)。并且網(wǎng)絡防火墻是不能防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網(wǎng)絡內(nèi)的其它網(wǎng)點。這樣，方便靈活的完成了 ,對訪客的訪問 XX集團公司 網(wǎng)絡資源的要求 。 當 訪客 來到 無線覆蓋區(qū)域 的時候，開啟筆記本電腦的無線網(wǎng)絡，可以搜尋并且連接 XX 集團公司 的無線網(wǎng)絡系統(tǒng)，當打開 IE 等網(wǎng)絡瀏覽器的時候，會自動彈出Aruba 的網(wǎng)頁認證界面，可以有以下幾種方式來控制 訪客 的上網(wǎng)流程： 訪客 需要填寫帳號名和密碼，通過認證之后能夠接入 XX 集團公司 的無線網(wǎng)絡，訪問更多的 Inter 資源，但是無法訪問內(nèi)網(wǎng)資源； XX 集團公司 無線網(wǎng)絡系統(tǒng)設計方案 ARUBA Networks 26 of 66 通過 ARUBA 提供的客戶化 Web Portal 認證功能 ,可很好的為外來訪問者提供接入網(wǎng)絡的可能 。 企業(yè) 領(lǐng)導 、 企業(yè) 工作人員屬于 企業(yè) 內(nèi)的固定用戶，可以采用專門的SSID，可以采用級別較高的認證和加密手段，對于來賓、參加會議人員和來訪人員可以使用另一個 SSID，采用級別相對較低的認證和加密手段，這樣就實現(xiàn)了區(qū)分的服務。一般的情況下是全網(wǎng)開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。未來的發(fā)展趨勢是新增設一個 SSID 讓員工以過度的方式逐漸從轉(zhuǎn)移到這個SSID 上。 XX集團公司 可根據(jù)實際的情況和 加密。 SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。其實在一個 AP 范圍內(nèi)，不管用戶連接到那一個 SSID 它們實際上都是在同一個 廣播域內(nèi)，因為無線電波的傳輸是共享。在一個無線局域網(wǎng)內(nèi)可以設置多個 SSID，例如一個 SSID 可給內(nèi)部員工所用，而另一個可給外來的客戶專用。 . 多業(yè)務區(qū)分設計 從 XX 集團公司 的用戶分類與分布情況分析， 使用無線網(wǎng)絡的 用戶主要分成以下幾類： （ 1） 企業(yè) 員工 與領(lǐng)導； （ 2）訪客 ； 使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。 并且提供 良好的多業(yè)務支持能力。 這項高級功能允許職員通過遠程 AP 安全連接到網(wǎng)絡，而無需考慮用戶位置，因為用戶安全策略將始終跟隨他們。 該通信提供了高度的團狀和動態(tài)安全策略，大大改良了企業(yè) WLAN 的安全狀態(tài)。 在遠程 AP 上沒有存儲任何安全證書，因此 即使 AP 丟失或被竊，也不存在破壞安全的風險。 遠程 Aruba AP 從 Aruba 移動控制器下載它的配置和安全策略。 在認證成功之后，在 Ipsec 內(nèi)部對所有的通信進行隧接或加密。 遠程連接的 Aruba AP 使用現(xiàn)有客戶機上的 申請者運行，通過對所有客戶機和移動控制器之間的認證信息進行 Ipsec 加密來提供安全認證。 XX 集團公司 無線網(wǎng)絡系統(tǒng)設計方案 ARUBA Networks 23 of 66 使用 Aruba 遠程 AP， 網(wǎng)絡中心 管理員可以訪問所有遠程 Aruba AP 參數(shù)，例如操作信道、無線電類型、 SSID 、 BSSID 和所有相關(guān)客戶機，并可以集中更改配置。 Aruba 啟用 QoS 和語音協(xié)議識別的體系，甚至可以在遠程連接上提供一種長話級品質(zhì)的語音體驗。 這種基于標準、終端到終端的加密支持可以將遠程 AP 直接插入連接到互聯(lián)網(wǎng)的 DSL 路由器，這就不再需要在遠程位置安裝移動控制器。 用戶在家庭辦公室、遠程辦公室或任何其它位置的辦公體驗和在企業(yè)總部完全相同。無線網(wǎng)絡管理員 可 通過中心配置的集中網(wǎng)管，對全網(wǎng)的 AP 和交換機進行有效的管理 。在接入側(cè)，采用 ARUBA 的 18 個 AP 作為無線接入點，通過 POE的接入交換機或者 AC 電源 連接至核心交換網(wǎng)絡 。 . 無線組網(wǎng)方式設計 根據(jù) XX 集團公司 無線覆蓋的 分布和建筑平面， 公司總部的 室內(nèi)無線局域網(wǎng)初步配置如下： 采用 1 臺配置 ARUBA 2400 無線控制 交換機 （每臺最多可支持 48 個 AP） 。這種技術(shù)可以確保無線語音業(yè)務可以無縫的在 AP間漫游，而不會發(fā)生掉線，是語音業(yè)務的質(zhì)量保證。跨網(wǎng)段時需要二次認證，導致丟包或者很大延遲。它不需要對現(xiàn)有網(wǎng)絡進行任何改變就可以實現(xiàn)這一切。另在語音安全接入方面，ARUBA 可防止沒有無線語音權(quán)限的用戶使用無線語音，以確保網(wǎng)絡資源能有效運用。 ARUBA 無線系統(tǒng)可容許用戶設置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi手機用戶分開，但也可以在單一 SSID 內(nèi)同時傳送數(shù)據(jù)和話音，關(guān)鍵的重點就是怎樣保證語音傳輸?shù)馁|(zhì)量。在具體實現(xiàn) WiFi 語音時要注意考慮語音的時延， AP 呼叫的容量，和漫游切換時間。很多手機廠家已開始推出雙模制式的手機 (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。 WiFi電話除了辦公室和會議室 之間等不同 AP 之間漫游外，用戶亦可在其它有 Inter 連接的地方如酒店，住宅等使用，這是一般辦公室無線電話 (傳統(tǒng)的電話交換機 )不能做到的。例如語音視頻這樣對于時延敏感的業(yè)務，目前，經(jīng)過中國網(wǎng)通、中國賽爾公司對幾家WLAN 設備廠商的設備測試結(jié)果表明， ARUBA 的無線網(wǎng)系統(tǒng)以其完善 QoS特性在測試中表現(xiàn)最佳。對于不同的 IP 服務， ARUBA 系統(tǒng)亦可透過 ARUBA 無線交換機設置定義不同的 QoS 隊列。 ? 帶寬控制與服務質(zhì)量保證 QOS ARUBA 無線系統(tǒng)的帶寬管理能力使得在移動音視頻應用方面表現(xiàn)出很強的優(yōu)勢。 . 支撐 未來 多業(yè)務 應用 的 無線基礎(chǔ) 網(wǎng)絡 隨著技術(shù)手段的不斷進步， 企業(yè) 無線網(wǎng)絡一定會需要支持多媒體融合應用，包括組播， VOD， IP 視頻監(jiān)控，以及 WIFI Phone 等等， 無線 企業(yè) 網(wǎng)解決方案對未來的發(fā)展 一定要具備 很好的前瞻性 。 ARUBA 公司和第三方的防病毒墻廠家合作，在 ARUBA 無線交換機上可以設定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， ARUBA 交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。 無線終端病毒防護的第一步是準入檢查，當無線終端連接到 ARUBA 無線系統(tǒng)中， 試圖訪問網(wǎng)絡，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設定策略禁止其訪問 網(wǎng)絡，也可設置成將無線用戶重定向到一臺升級服務器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。 ARUBA 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當 ARUBA 無線系統(tǒng)偵測 出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當受到像無線 DOS 攻擊時，就會誤以XX 集團公司 無線網(wǎng)絡系統(tǒng)設計方案 ARUBA Networks 17 of 66 為是無線電波的信號受干擾或 AP 出現(xiàn)不穩(wěn)定情況。通過 ARUBA 的網(wǎng)絡安全管理系統(tǒng)，網(wǎng)絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。由于 ARUBA 的 AP是不儲存任何網(wǎng)絡配置（ IP 地址除外）和安全設置，因此 ARUBA 管理的AP 是不能單 獨工作的，因此獲得或 接入 ARUBA 的 AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡和安全配置參數(shù) 和信息 。 ARUBA 無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如 領(lǐng)導 和工作人員可以使用更多的服務，而 訪客 只可以瀏覽網(wǎng)頁、收發(fā) Email等，這樣可以極大方便 企業(yè) 用戶的安全管理。 ? 無線訪問控制 （可選 license 模塊） 用戶狀態(tài)防火墻是 ARUBA 無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。 ? 多種用戶認證方式 組合 在 ARUBA 無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后， 只會拿到一個最基XX 集團公司 無線網(wǎng)絡系統(tǒng)設計方案 ARUBA Networks 16 of 66 本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP獲取 IP 地址、傳送 DNS 協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網(wǎng)。采用了分散的遠程辦公、居家辦公的政府機構(gòu)和企業(yè)， 能 向眾多員工提供輕松的遠程辦公環(huán)境，企業(yè)內(nèi)部員工溝通順暢，處理業(yè)務及時，實實在在地保障了企業(yè)的工作效率和生產(chǎn)率，為經(jīng)濟的持續(xù)穩(wěn)定發(fā)展提供了有力的通信保障。 從廣泛的意義上看， Aruba 提出的創(chuàng)新 遠程 /移動辦公 新解決方案 ，是利用Inter 構(gòu)建企業(yè) 有線 /無線、 話音 /數(shù)據(jù)一體化 Intra 信息化系統(tǒng)的一種應用方案。 分布在企業(yè)遠程機構(gòu)，居家辦公，或者在出差旅行途中的企業(yè)員工都可以利用 基于 SIP 的 IP 軟 電話 或 WIFI 電話 ，像撥打企業(yè)內(nèi)部電話一樣方便地與企業(yè)中的所有員工通話。固定電話、移動電話等多樣化的話音通信的手段雖然在一定程度上滿足了員工通話的基本要求，但是一種與辦公室內(nèi)部電話系統(tǒng)統(tǒng)一的廉價電話系統(tǒng)，依然吸引大量用戶。 ARUBA 遠程 /移動辦公 解決方案與傳統(tǒng)通過遠程撥號系統(tǒng) (RAS)的另一個本XX 集團公司 無線網(wǎng)絡系統(tǒng)設計方案 ARUBA Networks 15 of 66 質(zhì)區(qū)別是它有效地集成了辦公環(huán)境中非常重要的話音通信業(yè)務。出差旅行的您可以非常方便地在酒店或會議中心的 Inter 接入點，利用安裝在 PC上的 Aruba VPN 客戶軟件安全地連接到企業(yè) Intra。 而只需增加僅僅是 VPN license，并且沒有任何人數(shù)上的 限制 。 ? 有 線移動辦公 前面闡述了通過 Remote AP 的方案解決遠程分支機構(gòu)或居家人員的無線接入解決方案。其倡導集中和分散