【正文】 5． 6． 2VLAN 和無(wú)線(xiàn) SSID 的關(guān)系 一般用。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無(wú)線(xiàn)用戶(hù)設(shè)置在同一個(gè) VLAN 內(nèi)。 第一代 無(wú)線(xiàn) 組網(wǎng)無(wú)論對(duì)無(wú)線(xiàn)用戶(hù)、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很容易造成混亂。并且所有的 AP都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 26 6 無(wú)線(xiàn)交換機(jī)的配置實(shí)施建議 一般廠(chǎng)家的 無(wú)線(xiàn)網(wǎng)絡(luò)產(chǎn)品在 園區(qū) 網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 ? 監(jiān)測(cè)和阻斷無(wú)線(xiàn)攻擊： 防止攻擊占用某個(gè)接入點(diǎn)的所有可用帶寬， 導(dǎo)致其他用戶(hù)的正當(dāng)接入。 ? 確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶(hù)讀取或更動(dòng)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。通過(guò)無(wú)線(xiàn)局域網(wǎng)，可以輕松地實(shí)現(xiàn)主會(huì)場(chǎng)與分會(huì)場(chǎng)間資源共享的問(wèn)題，這樣即可解決了會(huì)議場(chǎng)所的空間問(wèn)題，又可以相應(yīng) 地節(jié)省人力和物力。 Aruba 無(wú)線(xiàn)系統(tǒng)以其技術(shù)先進(jìn)的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運(yùn)行?？紤]到會(huì)議廳、報(bào)告廳以及多功能廳的用途，接入的用戶(hù)多的情況，覆蓋時(shí)需要考慮接入容量因素。并同時(shí)采用不同的認(rèn)證、加密和安全控管的手段，以方便的實(shí)現(xiàn)網(wǎng)絡(luò)安全和管理。 25 綜上所述，無(wú)線(xiàn)局域網(wǎng)系統(tǒng)共開(kāi)設(shè) 多 個(gè) SSID。只出現(xiàn)在需要提供這類(lèi)應(yīng)用服務(wù)的 AP 上，其他AP 都沒(méi)有該 SSID，用戶(hù)也就無(wú)從使用該 SSID 訪(fǎng)問(wèn)網(wǎng)絡(luò)，保證 無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。 在方案實(shí)現(xiàn)上使用 多 個(gè) SSID：一個(gè)供學(xué)生用戶(hù)和來(lái)賓使用，可以不用加密，只做基于WEB 的接入認(rèn)證，另一個(gè) SSID 供 學(xué)校 教職員工和工作人員使用，該 SSID 被配置為隱含，不廣播出來(lái)，采用 WPA 加密＋ 認(rèn)證方式，確保此類(lèi)用戶(hù) 安全性。 應(yīng)用主要有：（ 1）多媒體與網(wǎng)絡(luò)教學(xué)；（ 2）各種學(xué)術(shù)報(bào)告與會(huì)議需要的移動(dòng) VoIP（音視頻）；（ 3）移動(dòng)業(yè)務(wù)辦公；（ 4）訪(fǎng)問(wèn) Inter。 教師和學(xué)生以及 學(xué)生 也可以隨時(shí)查閱網(wǎng)上的資料或 遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。 無(wú)線(xiàn)局域網(wǎng)系統(tǒng)， 可以支持 在 園區(qū) 內(nèi)的任何一處，即便是在沒(méi)有安裝有線(xiàn)網(wǎng)絡(luò)信息點(diǎn)的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開(kāi)各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。 Aruba 公司 的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機(jī)可以完全使用管理 Aruba AP 的管理方式一樣來(lái)管理該款新型 AP，實(shí)現(xiàn)所 有 Aruba 提供的安全和管理功能。 Aruba 6000交換機(jī) 集中 匯集 AP 的接入 和 控管。 Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。 當(dāng)用戶(hù)不是在本地入網(wǎng)或是從一個(gè)部門(mén)的接入點(diǎn)漫游到另一部門(mén)的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶(hù)名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話(huà)，則用戶(hù)會(huì)被斷線(xiàn)。 C O NF I D E NT I A L P R E S E NT A T I O N – P a g e 45跨 IP 子網(wǎng)的 交替連接 語(yǔ)音不會(huì)中斷跨 IP 子網(wǎng)的 交替連接 語(yǔ)音不會(huì)中斷子 網(wǎng) 1子 網(wǎng) 2D HC P1 0 . 1 . 1 . 11. 根據(jù) VLAN 的連接用戶(hù)從 DHCP 服務(wù)器接收到一 個(gè) IP 地 址122. 當(dāng)用戶(hù)轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā)出另一 DHCP 請(qǐng) 求5 . 當(dāng)用戶(hù)漫游跨 越 A ruba 交換機(jī) 時(shí)線(xiàn)路連接不會(huì)中 斷33 . 透 過(guò) p ro x y DH CP , A ruba ’ s 交換機(jī)更改請(qǐng)求使終 端 維持原來(lái)的 IP a d d res s1 0 . 1 . 1 . 144. 在新的 IP 子 網(wǎng)內(nèi)，用 戶(hù)接收到原有的 IP 地 址IP I P TunnelA r u b a A P 在不同域之間的用戶(hù)認(rèn)證和漫游 在 大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門(mén)，部門(mén)內(nèi)通常都有自己的用戶(hù)數(shù)據(jù)庫(kù)，即所謂的本地認(rèn)證服務(wù)器。 無(wú)線(xiàn)用戶(hù)已漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。 當(dāng)無(wú)線(xiàn)終端從一個(gè) AP 的 IP 子網(wǎng)漫游到另一個(gè) AP 的 IP 子網(wǎng)時(shí)，它重新發(fā)出的DHCP 請(qǐng)求 ， 會(huì)從 AP 端的 Aruba 無(wú)線(xiàn)交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無(wú)線(xiàn)交換機(jī) (用戶(hù)從那一個(gè)AP 獲取它的 IP 地址 )。這是一般網(wǎng) 絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶(hù)的無(wú)線(xiàn)接入端。所以當(dāng)無(wú)線(xiàn)終端從一個(gè)AP 漫游到另一 AP 時(shí)，由于它們之間的缺省 IP 子網(wǎng)不同，無(wú)線(xiàn)終端會(huì)重新發(fā)出 DHCP 請(qǐng)求，這樣的話(huà)終端的 IP 地址就會(huì)更新， 所有在原先 AP 建立的連接都會(huì)被切斷。 4． 5 移動(dòng)漫游設(shè)計(jì) 無(wú)線(xiàn)用戶(hù)移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠(chǎng)家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶(hù)跨越多個(gè)域時(shí)怎樣無(wú)縫 漫 游， Aruba 無(wú)線(xiàn)局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫 漫游功能。準(zhǔn)入檢查可以檢查終端 操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。 （ 7）認(rèn)證系統(tǒng) 支持 ： Aruba 無(wú)線(xiàn)系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、 LDAP、微軟的 AD（活動(dòng)目錄）和在 Aruba 無(wú)線(xiàn)交換機(jī)內(nèi)部的 Internal DB 等等 。 （ 5）用戶(hù)狀態(tài)防火墻：用戶(hù)通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶(hù)的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶(hù)設(shè)置他的訪(fǎng)問(wèn)控制策略，比如 可以訪(fǎng)問(wèn) Inter,不能訪(fǎng)問(wèn)圖書(shū)館的服務(wù)器，只能訪(fǎng)問(wèn) WEB 網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行 P2P 的軟件等。 ② WPA+ 加密方式盡量采用 WPA， 如果客戶(hù)端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。采用 captive portal+VPN 的認(rèn)證方式，同時(shí) VPN 還具有三層的加密功能，具有更高的安全性。 （ 3） 用戶(hù)認(rèn)證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。 4． 4 無(wú)線(xiàn)安全性設(shè)計(jì) 在 Aruba 無(wú)線(xiàn)系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶(hù)的種類(lèi)、應(yīng)用的種類(lèi)，在 Aruba無(wú)線(xiàn)系統(tǒng)中設(shè)置多個(gè) SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶(hù)及應(yīng)用進(jìn)行區(qū)分服務(wù)。在帶寬方面可以做比較寬松的限制。 一般在防火墻策略設(shè)計(jì)中，可以將來(lái)賓和普通學(xué)生的權(quán)限設(shè)置的較低，只能訪(fǎng)問(wèn)有限的資源，且優(yōu)先級(jí)較低，并且有帶寬的限制，甚至可以做時(shí)間段的限制。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有基于用戶(hù)的，它的保護(hù)只是基于 IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線(xiàn)終端，這種防火墻的功效很小。 4． 3 網(wǎng)絡(luò)與用戶(hù)管理 Aruba 無(wú)線(xiàn)系統(tǒng)中可以設(shè)定用戶(hù)的角色（ role），每個(gè) role 可以基于用戶(hù)狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。 所以針對(duì)無(wú)線(xiàn)局域網(wǎng)多種用戶(hù)的不同業(yè)務(wù)類(lèi)型應(yīng)該采取不同的 SSID進(jìn)行管理和控制。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于 園區(qū) 網(wǎng)內(nèi)的某些范圍。未來(lái)的發(fā)展趨勢(shì)是新增設(shè)一個(gè) SSID 讓員工以過(guò)度的方式逐漸從轉(zhuǎn)移到這個(gè) SSID 上。 用戶(hù)可根據(jù)實(shí)際的情況和 發(fā)展來(lái)制定以怎樣方式來(lái)實(shí)現(xiàn)無(wú)線(xiàn)加密。 SSID 的最主要用途是可讓無(wú)線(xiàn)終端以不同的安全認(rèn)證和加密方式入網(wǎng)。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶(hù)連接到那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o(wú)線(xiàn)電波的傳輸是共享。在一個(gè)無(wú)線(xiàn)局域網(wǎng)內(nèi)可以設(shè)置多個(gè) SSID，例如一個(gè) SSID可給內(nèi)部員工所用，而另一個(gè)可給外來(lái)的客戶(hù)專(zhuān)用。 使用 無(wú)線(xiàn) 網(wǎng)絡(luò) 可以 分為不同的 無(wú)線(xiàn)接入業(yè)務(wù)類(lèi)型。 Aruba 6000可以 支 持 到 256 個(gè) AP。 Aruba6000 無(wú)線(xiàn)交換機(jī)現(xiàn)在配備 SC48C1 和 SC128C1 服務(wù)卡，分別可以支持 48 個(gè) AP 和 128 個(gè) AP。 18 4． 1． 4 XXXX 無(wú)線(xiàn)局域網(wǎng)的組網(wǎng)設(shè)計(jì) XXXX 無(wú)線(xiàn)局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無(wú)線(xiàn)局域網(wǎng)，考慮方案的性?xún)r(jià)比，建議 選 用 集中 式組網(wǎng)的方式： 在網(wǎng)絡(luò)中心 采用 一 臺(tái) Aruba6000 無(wú)線(xiàn)交換機(jī)，采用 無(wú)線(xiàn) 集中 管理， 全網(wǎng)絡(luò) AP 接受統(tǒng)一 管理， AP 以及下面的用戶(hù) 按接入策略分配接入到無(wú)線(xiàn) 交換機(jī)上。 4． 1． 3 大型無(wú)線(xiàn)局域網(wǎng) (250 個(gè) AP 以上 )集中式組網(wǎng) 所有的無(wú)線(xiàn)交換機(jī)都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)中心內(nèi)則一定會(huì)有 1 臺(tái) Aruba5100設(shè)置成 Master 工作模式，用以管理其它 Aruba5000/5100 交換機(jī)。 選用 Aruba5000 無(wú)線(xiàn)交換機(jī)，一般是把 250 個(gè) AP 匯聚到 Aruba5100 上，而視乎 AP實(shí)際數(shù)目和 園區(qū) 網(wǎng)絡(luò)拓?fù)?，多臺(tái) Aruba5000/5100 可分別設(shè)置在 園區(qū) 的不同的配線(xiàn)間 /機(jī)房。在網(wǎng)絡(luò)中心則設(shè)置二臺(tái)Master Aruba2400 (VRRP) 作為主控管交換機(jī)。如下圖所示： P a g e 7中型無(wú)線(xiàn)局域網(wǎng)交換拓?fù)鋱D ( 集中式 )中型無(wú)線(xiàn)局域網(wǎng)交換拓?fù)鋱D ( 集中式 )大樓大樓V RRPMa s te r 無(wú)線(xiàn)交換機(jī)G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機(jī)接入層交換機(jī)接入層交換機(jī)匯聚層交換機(jī)匯聚層交換機(jī)網(wǎng)絡(luò)中心骨干交換機(jī)A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0 17 4． 1． 2 大型無(wú)線(xiàn)局域網(wǎng) (250 個(gè) AP 以上 )分布式組網(wǎng) 大型無(wú)線(xiàn)局域網(wǎng)架構(gòu)，用戶(hù)可選擇以分布式組網(wǎng)，即采用多臺(tái)配置成 Local 工作模式 Aruba2400 交換機(jī)分別設(shè) 置于不同的配線(xiàn)間。 4． 1． 1 中型無(wú)線(xiàn)局域網(wǎng) (100 到 250 個(gè) AP)集中式組網(wǎng) 根據(jù) 園區(qū) 網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶(hù)可選擇單臺(tái) Aruba 5000 或 6000 交換機(jī)來(lái)組網(wǎng)。 無(wú)線(xiàn) 組網(wǎng)方式設(shè)計(jì) Aruba 無(wú)線(xiàn)系統(tǒng)的組網(wǎng)方式有兩種，集中式組網(wǎng)和分布式組網(wǎng)。這種技術(shù)可以確保無(wú)線(xiàn)語(yǔ)音業(yè)務(wù)可以無(wú)縫的在 AP 間漫游，而不會(huì)發(fā)生掉線(xiàn)，是語(yǔ)音業(yè)務(wù)的質(zhì)量保證?？缇W(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包 或者很大延遲。 無(wú)線(xiàn)網(wǎng)絡(luò) 不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何改變就可以實(shí)現(xiàn)這一切。 另在 無(wú)線(xiàn) 語(yǔ)音安全接入方面， Aruba 可防止沒(méi)有無(wú)線(xiàn)語(yǔ)音權(quán)限的用戶(hù)使用無(wú)線(xiàn)語(yǔ)音，以確保 無(wú)線(xiàn) 網(wǎng)絡(luò)資源能有效運(yùn)用。 Aruba 無(wú)線(xiàn)系統(tǒng)可容許用戶(hù)設(shè)置專(zhuān)有的語(yǔ)音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩?hù)和 WiFi手機(jī)用戶(hù)分開(kāi)，但也可以在單一 SSID 內(nèi)同時(shí)傳送數(shù)據(jù)和話(huà)音，關(guān)鍵的重點(diǎn)就是怎樣保證語(yǔ)音傳輸?shù)馁|(zhì)量。在具體實(shí)現(xiàn) WiFi語(yǔ)音時(shí)要注意考慮語(yǔ)音的時(shí)延， AP 呼叫的容量 和漫游切換時(shí)間。很多手機(jī)廠(chǎng)家已開(kāi)始推出雙模制式的手機(jī) (GSM/CDMA + WiFi)，用戶(hù)很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無(wú)線(xiàn)局域網(wǎng)之間。簡(jiǎn)單地說(shuō)，用戶(hù)可在有寬帶接入的地方繼續(xù)使用 15 辦公室的電話(huà)號(hào)碼，不管是國(guó)內(nèi)或國(guó)外。 3． 4． 2 VoIP 與 WIFI 手機(jī) 隨著 VoIP 的越來(lái)越普及 (如 Skype,… 等 )，基于 SIP 的 WiFi 電話(huà)將迅速變?yōu)?園區(qū)內(nèi)用戶(hù) 之間話(huà)音聯(lián)絡(luò)的主流。例如語(yǔ)音視頻這樣對(duì)于時(shí)延敏感的業(yè)務(wù) ，目前，經(jīng)過(guò)中國(guó)網(wǎng)通、 賽爾公司對(duì)幾家 WLAN 設(shè)備廠(chǎng)商的設(shè)備測(cè)試結(jié)果表明， Aruba 的無(wú)線(xiàn)網(wǎng)系統(tǒng)以其完善 QoS 特性在測(cè)試中表現(xiàn)最佳。對(duì)于不同的 IP 服務(wù)， Aruba系統(tǒng)亦可透過(guò) Aruba 無(wú)線(xiàn)交換機(jī)設(shè)置定義不同的 QoS 隊(duì)列。 3． 4 無(wú)線(xiàn)移動(dòng)音視頻應(yīng)用 3． 4． 1 帶寬控制與服務(wù)質(zhì)量保證 QOS Aruba 無(wú)線(xiàn)系統(tǒng)的帶寬管理能力使得在移動(dòng)音視頻應(yīng)用方面表現(xiàn)出很強(qiáng)的優(yōu)勢(shì)。 Aruba 公司和第三方的防病毒墻廠(chǎng)家合作，在 Aruba 無(wú)線(xiàn)交換機(jī)上可以設(shè)定策略，某些用戶(hù)，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成