【正文】 用戶的 R。 27 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 采用 captive portal 的認(rèn)證方式，認(rèn)證服務(wù)器的選擇比較靈活，可以使 用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 ARUBA交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫。 加密： ARUBA無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動(dòng)態(tài) WEP、 TKIP、 WPA、 多種加密方式，三層的加 密支持 IPSec VPN加密，這樣使得加密的方式更加的靈活，可以根據(jù) 實(shí)際需求進(jìn)行選擇。另外 SSID 還可以選擇隱藏的方式，該SSID不廣播，用戶無法看到，防止非法用戶的連接企圖。這是傳統(tǒng)無線網(wǎng)絡(luò)所不能做的。當(dāng)在這個(gè)系統(tǒng)環(huán)境中尋找?guī)в袩o線終端的企業(yè)員工等所在位置時(shí)，例如非法 AP 或 WiFi 手機(jī)，在交換機(jī)內(nèi)無線終端的記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按 ―定位 ‖這按鈕，則網(wǎng)管界面會(huì)彈出在 RF Planning上終端在圖紙中的物理 位置。 ARUBA 還有一個(gè)獨(dú)特的無線射頻特性是可跟蹤在無線網(wǎng)絡(luò)內(nèi)所有 WiFi 終端的位置，如 PDA, WiFi 手機(jī)，和筆記本等。要做到一個(gè)真正自動(dòng)的保護(hù)機(jī)制就必須能正確識(shí)別所有在企業(yè)范圍內(nèi)檢測(cè)出來的 AP 身份。若要尋查非 法 AP 的位置所在，只需在 WEB 界面按 ―定位 ‖這按鈕，非法 AP 的位置就會(huì)顯示在企業(yè)辦公室的圖紙上（用戶必須預(yù)先把無線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入 ARUBA 交換機(jī)內(nèi)的 RF Planning 系統(tǒng)），網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到這 AP。這些非法的無線連接會(huì)被周邊最接近的 ARUBA AP 透過所發(fā)出的 DeAuth包所切斷。 25 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 檢測(cè)無線入侵和非法攔截和定位 通過 ARUBA 交換機(jī)的 WEB界面或中心化網(wǎng)管界面，企業(yè)網(wǎng)管中心便可查看到是否有非法 AP 在傳輸網(wǎng)內(nèi)。 試想當(dāng)用戶透過 WPA登陸無線網(wǎng)時(shí)，認(rèn)證是必須經(jīng)過后臺(tái)的 radius 服務(wù)器，亦即前端必須有 radius clients．如果 AP 是 radius client的話，則在一個(gè)企業(yè)無線局域網(wǎng)，便須設(shè)置和管理很多 radius clients，這不但加添了不必要的麻煩，且亦增加了網(wǎng)絡(luò)安全的漏洞，因 radius 的 secret 密碼都是儲(chǔ)存在 AP 內(nèi)，所以萬一AP 被盜竊，它的 Radius secret便泄露，這樣整個(gè)網(wǎng)絡(luò)的安全都會(huì)受到威脅。 ARUBA 和其它廠家在認(rèn)證和加密上的最大區(qū)別在于二者都不是通過 AP 來實(shí)現(xiàn)的，而是在 ARUBA 交換機(jī)上實(shí)現(xiàn)。網(wǎng)絡(luò)安全范圍是非常廣 ，從無線電波，無線鏈路層，以致網(wǎng)絡(luò)層和應(yīng)用層等，它們都是息息相關(guān)和相互影響。要做到實(shí)施和維護(hù)簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略， ARUBA 的無線解決方案就可以徹底解決這些問題。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。 24 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)無線接入安全保護(hù)的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來做內(nèi)部的安全保護(hù)，而是用來確保外來數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。如果不是經(jīng)過 DMZ 的話，則可能威脅到 內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn) AP 的無線用戶 /終端和有線用戶 (在同一接入點(diǎn) )完全分隔開而設(shè)置到DMZ上的同一個(gè) VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。有一些企業(yè)為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個(gè) DMZ內(nèi)，再通過網(wǎng)絡(luò)防火墻的過濾才讓無線數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)。 無線安全性設(shè)計(jì) 無線網(wǎng)絡(luò)的安全保護(hù)和檢測(cè) 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接 (防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 )。一種為前臺(tái)人員設(shè)計(jì)的獨(dú)特的簡化用戶生成系統(tǒng)，帶有到期時(shí)間和預(yù)設(shè)接入控制的臨時(shí)客人 ID。 ARUBA無線控制器內(nèi)置強(qiáng)大的 PORTAL登錄界面可以通過網(wǎng)絡(luò)管理靈活簡潔的進(jìn)行客戶化，登錄頁面推送，歡迎頁面推送等多種模式以配合 XX高新開發(fā)區(qū)的需求。 所以針對(duì)無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID 進(jìn)行管理和控制。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于企業(yè)網(wǎng)內(nèi)的某些范圍。最常見的做法是使用多個(gè) SSID，例如：一個(gè)定義為通過 WEB 門戶的方式為訪客使用，另一個(gè) SSID則為專為內(nèi)部員工使用。在一個(gè)無線局域網(wǎng) 內(nèi)定義了不同加密情況時(shí)數(shù)據(jù)包的封裝格式，所以在用戶的無線 接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個(gè) SSID內(nèi)同時(shí)存在的。 21 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 多業(yè)務(wù)區(qū)分設(shè)計(jì) 從 XX高新開發(fā)區(qū)的用戶分類與分布情況分析，使用無線網(wǎng)絡(luò)的用戶主要分成以下幾類： （ 1）園區(qū)各個(gè)企業(yè)； （ 2）訪客； （ 2）園區(qū)管理人員 使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。 根據(jù)不同的客戶要求， Aruba的 MESH系統(tǒng)可以進(jìn)行室內(nèi)以及室外的 MESH快速部署，通過 AP 的傳輸鏈路同時(shí)以 。而在 Wireless Mesh work中，每個(gè)節(jié)點(diǎn)都可以與一個(gè)或者多個(gè)對(duì)等節(jié)點(diǎn)進(jìn)行直接 通信，兼有 Wireless bridge 和接入訪問點(diǎn)的功能，甚至可以作為 Ether bridge的形式出現(xiàn)。傳統(tǒng)的無線網(wǎng)絡(luò)必須首先訪問集中的接入點(diǎn)（ AP）才能進(jìn)行無線連接。 室外無線覆蓋組網(wǎng)方式 Aruba無線系統(tǒng)室外覆蓋可以采用 2種解決方案： 點(diǎn)對(duì)點(diǎn)的橋接模式 采用 AP80SM 與 AP80MB 做為室外橋接，解決點(diǎn)對(duì)點(diǎn)室外傳輸?shù)膯栴}。 16 根據(jù)現(xiàn)場(chǎng)調(diào)研后的模擬測(cè)試計(jì)算出 AP 的布放數(shù)量如下： 無線信號(hào)模擬測(cè)試圖如下： 17 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 由于只有第一階段的圖紙，因此在根據(jù)圖紙模擬測(cè)試得出相應(yīng)的 AP 布放位置以及模擬信號(hào)強(qiáng)度圖，上圖紅色區(qū)域?yàn)檐浖侨龢强梢缘玫綌?shù)據(jù)連接的區(qū)域。針對(duì)園區(qū)的公司人員，可以采用通過 SSID分配不同的 VLAN 方式，保證每個(gè)公司的網(wǎng)絡(luò)和地址單獨(dú)隔離，認(rèn)證同樣采用 WPA2的 方式，同時(shí)建議使用 的 Radius 集成統(tǒng)一 的賬號(hào)。 無線的認(rèn)證方面： Aruba的無線系統(tǒng)支持各種認(rèn)證方式，設(shè)計(jì)中建議， 針對(duì)不同的用戶采用不同的認(rèn)證方式，針對(duì) Guest用戶，采用同一的 Portal 驗(yàn)證同時(shí)采用訪客系統(tǒng)中動(dòng)態(tài)用戶密碼管理方式，保證 Guest用 戶密碼的安全性。 組網(wǎng)安全方面：控制器可以支持集成的 7層狀態(tài)防火墻，如上圖所示， 控制器通過集成的狀態(tài)防火墻可以對(duì) Inter的流量，服務(wù)器區(qū)域的流 量，以及不同公司的流量進(jìn)行統(tǒng)一的管理和控制?？刂破鞅旧硪餐瑯又С?2層和 3層的部署模式，即可以 2 層 Trunk接入核心交換機(jī)也同樣可以 3層路由的方式接入核心交換機(jī)。無線網(wǎng)絡(luò)管理員可通過中心配置的集中網(wǎng)管，對(duì)全網(wǎng)的 AP 和交換機(jī)進(jìn)行有效的管理。在接入側(cè)，采用 ARUBA的 AP 61作為無線接入點(diǎn)， AP 直接與 POE 交換機(jī)相連，交換機(jī)之間的網(wǎng)絡(luò)結(jié)構(gòu)無需考慮。 無線組網(wǎng)方式設(shè)計(jì) 室內(nèi)無線覆蓋組網(wǎng)方式 根據(jù)無線覆蓋的分布和建筑平面，無線系統(tǒng)采用與原來網(wǎng)絡(luò)物理隔離的方式，室內(nèi)無線局域網(wǎng)初步配置如下： （通過和用戶交流本次所 有固網(wǎng)設(shè)備不包括在產(chǎn)品清單中） 采用 1臺(tái) ARUBA 6000無線控制交換機(jī)（每臺(tái)最多可支持 2048個(gè) AP）?？梢暂p松定位的設(shè)備包括 PDA、非法 AP/客戶端、 VoWLAN 電話、筆記本電腦和 WiFi 資產(chǎn)管理標(biāo)簽等。 定位服務(wù)可以跟蹤和定位 ARUBA 移動(dòng)基礎(chǔ)架構(gòu)范圍內(nèi)任何可觀察到的 WiFi 設(shè)備。網(wǎng)管可對(duì)不斷演進(jìn)的 RF 環(huán)境提供實(shí)時(shí)更新，而且不需要手動(dòng)識(shí)別 RF 覆蓋后期部署。 13 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 WEB 網(wǎng)管可用于預(yù)部署規(guī)劃和現(xiàn)場(chǎng)可視化 RF 環(huán)境，非常適用于迅速理解干擾模式和覆蓋盲區(qū)。 WEB管理系統(tǒng)了降低總體擁有成本。 web圖形化網(wǎng)管被優(yōu)化來管理網(wǎng)絡(luò)用戶而不僅僅是網(wǎng)絡(luò)設(shè)備。這種技術(shù)可以確保無線 語音業(yè)務(wù)可以無縫的在 AP 間漫游，而不會(huì)發(fā)生掉線，是語 12 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 音業(yè)務(wù)的質(zhì)量保證。跨網(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包或者很大延遲。它不需要對(duì)現(xiàn)有網(wǎng) 絡(luò)進(jìn)行任何改變就可以實(shí)現(xiàn) 這一切。另在語音安全接入方面， ARUBA可防止沒有無線語音權(quán)限的用戶使用無線語音，以確保網(wǎng)絡(luò)資源能有效運(yùn)用。 ARUBA 無線系統(tǒng)可容許用戶設(shè)置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi 手機(jī)用戶分開，但也可以在單一 SSID內(nèi)同時(shí)傳送數(shù)據(jù)和話音，關(guān)鍵的重點(diǎn)就是怎樣保證語音傳輸?shù)馁|(zhì)量。在具體實(shí)現(xiàn) WiFi 語音時(shí)要注意考 慮語音的時(shí)延， AP 呼叫的容量，和漫游切換時(shí)間。很多手機(jī)廠家已開始推出雙模制式的手機(jī) (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無線局域網(wǎng)之間。 WiFi 電話除了辦公 11 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 室和會(huì)議室之間等不同 AP 之間漫游外，用戶亦可在 其它有 Inter連接的地方如酒店，住宅等使用，這是一般辦公室無線電話 (傳統(tǒng)的電話交換機(jī) )不能做到的。例如語音視頻這樣對(duì)于時(shí)延敏感的業(yè)務(wù)，目前，經(jīng)過中國網(wǎng)通、中國賽爾公司對(duì)幾家 WLAN 設(shè)備廠商的設(shè)備測(cè)試結(jié)果表明， ARUBA的無線網(wǎng)系統(tǒng)以其完善 QoS特性在測(cè)試中表現(xiàn)最佳。對(duì)于不同的 IP 服務(wù)， ARUBA 系統(tǒng)亦可透過 ARUBA 無線交換機(jī)設(shè)置定義不同的QoS隊(duì)列。 帶寬控制與服務(wù)質(zhì)量保證 QOS ARUBA 無線系統(tǒng)的帶寬管理能力使得在移動(dòng)音視頻應(yīng)用方面表現(xiàn)出很強(qiáng)的優(yōu)勢(shì)。 10 ****產(chǎn)業(yè)開發(fā)區(qū)無線網(wǎng)絡(luò)工程建設(shè)方案 支撐未來多業(yè)務(wù)應(yīng)用的無線基礎(chǔ)網(wǎng)絡(luò) 隨著技術(shù)手段的不斷進(jìn)步，企業(yè)無線網(wǎng)絡(luò)一定會(huì)需要支持多媒體融合應(yīng)用，包括組播， VOD， IP 視 頻監(jiān)控，以及 WIFI Phone 等等，無線企業(yè)網(wǎng)解決方案對(duì)未來的發(fā)展一定要具備很好的前瞻性。 ARUBA 公司和第三方的防病毒墻廠家合作，在 ARUBA無線交換機(jī)上可以設(shè)定策略，某些用戶