【正文】 當(dāng)有這樣 27 的情況出現(xiàn)時(shí)，無線用戶從一個(gè) AP 接入點(diǎn)漫游到另一個(gè) AP 接入點(diǎn)時(shí)， DHCP 協(xié)議應(yīng)會(huì)重 分發(fā)給無線終端新的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應(yīng) 。 Aruba 交換機(jī)組網(wǎng)，當(dāng)無線用戶加入到無線網(wǎng)上的一個(gè) SSID 時(shí)，很容易與 VLAN 綁定， 無線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實(shí)際上是穿越接入層到 Aruba 交換機(jī)上， 用戶的 VLAN 是無需在每個(gè)接入層上開通。當(dāng)然把一 SSID 設(shè)定在一個(gè) VLAN 內(nèi)對(duì)傳統(tǒng)的無線局域網(wǎng)只能夠支持 第二層的無線用戶漫游是唯一可實(shí)現(xiàn)的方式。 5． 6． 2VLAN 和無線 SSID 的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線 局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無線用戶設(shè)置在同 一個(gè) VLAN 內(nèi)。第一代無線組網(wǎng)無論對(duì)無線用戶、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很 容易造成混亂。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 26 6 無線交換機(jī)的配置實(shí)施建議 一般廠家的無線網(wǎng)絡(luò)產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分 VLAN，否 則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 ??監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個(gè)接入點(diǎn)的所有可用帶寬， 導(dǎo)致其他用戶 的正當(dāng)接入。 ??確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶讀取或更動(dòng)在網(wǎng)絡(luò)上傳輸?shù)? 數(shù)據(jù)。通過無線局域網(wǎng)，可 以輕松地實(shí)現(xiàn)主會(huì)場與分會(huì)場間資源共享的問題，這樣即可解決了會(huì)議場所的空間問題， 又可以相應(yīng)地節(jié)省人力和物力。 Aruba 無線系統(tǒng)以其技術(shù)先進(jìn) 的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運(yùn)行。 考慮到會(huì)議廳、報(bào)告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時(shí)需要考慮接入 容量因素。并同時(shí) 采用不同的認(rèn)證、加密和安全控管的手段，以方便的實(shí)現(xiàn)網(wǎng)絡(luò) 安全和管理。 25 綜上所述，無線局域網(wǎng)系統(tǒng)共開設(shè)多個(gè) SSID。只出現(xiàn)在需要提供這類應(yīng)用服務(wù)的 AP 上，其他 AP 都沒有該 SSID，用戶也就無從使用該 SSID 訪問網(wǎng)絡(luò)，保證無線網(wǎng)絡(luò)的安全性。 在方案實(shí)現(xiàn)上使用多個(gè) SSID：一個(gè)供學(xué)生用戶和來賓使用，可以不用加密，只做基于 WEB 的接入認(rèn)證，另一個(gè) SSID 供學(xué)校教職員工和工作人員使用，該 SSID 被配置為隱含， 不廣播出來，采用 WPA 加密＋ 認(rèn)證方式，確保此類用戶安全性。 應(yīng)用主要有：（ 1）多媒體與網(wǎng)絡(luò)教學(xué)；（ 2）各種學(xué)術(shù)報(bào)告與會(huì)議需要的移動(dòng) VoIP （音視頻）；（ 3）移動(dòng)業(yè)務(wù)辦公；（ 4）訪問 Inter。 教師和學(xué)生以及學(xué)生也可以隨時(shí)查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以 十分方便、快捷地創(chuàng)造一個(gè)多方位的可視化的遠(yuǎn)程多媒體教學(xué)環(huán)境。 無線局域網(wǎng)系統(tǒng)，可以支持在園區(qū)內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡(luò)信息點(diǎn) 的地方，也可以很方便地進(jìn)行可視化的音視頻教學(xué)和召開各種需要使用網(wǎng)絡(luò)音視頻的會(huì)議。 Aruba 公司的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機(jī) 可以完全使用管理 Aruba AP 的管理方式一樣來管理該款新型 AP，實(shí)現(xiàn)所有 Aruba 提供的 安全和管理功能。 Aruba 6000 交換機(jī)集中匯集 AP 的接入和控管。 Aruba 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。但由于不是 所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一 部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶 會(huì)被斷線。 C O N F ID E N T IA L P R E S E N T A T IO N – P a g e 4 5 跨 IP子網(wǎng)的交替連接 語音不會(huì)中斷 子網(wǎng) 1 子網(wǎng) 2 D H C P 1 0 . 1 . 1 . 1 1 . 根據(jù) V L A N 的連接用戶從 D H C P 服 務(wù)器接收到一個(gè) IP 地址 1 2 2 . 當(dāng)用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時(shí)會(huì)發(fā) 出另一 D H C P 請(qǐng)求 5 . 當(dāng)用戶漫游跨越 A r u b a 交換機(jī)時(shí) 線路連接不會(huì)中斷 3 3 . 透過 p r o x y D H C P , A r u b a ’ s 交換機(jī)更改請(qǐng)求使終端維持原來 的 IP a d d r e s s 1 0 . 1 . 1 . 1 4 4 . 在新的 IP 子網(wǎng)內(nèi)， 用戶接收到原 有的 IP 地址 I P I P T u n n e l A r u b a A P 在不同域之間的用戶認(rèn)證和漫游 在大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所 謂的本地認(rèn)證服務(wù)器。無線用戶已漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。當(dāng)無線終端從一個(gè) AP 的 IP 子網(wǎng)漫游到另一個(gè) AP 的 IP 子網(wǎng)時(shí)，它重新發(fā)出的 DHCP 請(qǐng)求，會(huì)從 AP 端的 Aruba 無線交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無線交換機(jī) (用戶從那一個(gè) AP 獲取它的 IP 地址 )。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù) 用戶的無線接入端。所以當(dāng)無線終端從一個(gè) AP 漫游到另一 AP 時(shí)，由于它們之間的缺省 IP 子網(wǎng)不同，無線終端會(huì)重新發(fā)出 DHCP 請(qǐng) 求，這樣的話終端的 IP 地址就會(huì)更新，所有在原先 AP 建立的連接都會(huì)被切斷。 4． 5 移動(dòng)漫游設(shè)計(jì) 無線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品 都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無縫漫游， Aruba 無線 局域網(wǎng)可以實(shí)現(xiàn)快速無縫漫游功能。準(zhǔn)入檢查可以檢查終端操作系統(tǒng)的安全狀 態(tài)，諸如系統(tǒng) 打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并 設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。 （ 7）認(rèn)證系統(tǒng)支持： Aruba 無線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、 LDAP、微軟 的 AD（活動(dòng)目錄）和在 Aruba 無線交換機(jī)內(nèi)部的 Internal DB 等等。 （ 5）用戶狀態(tài)防火墻：用戶通過認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可 以根據(jù)每個(gè)用戶設(shè)置他的訪問控制策略，比如可以訪問 Inter,不能訪問圖書館的服務(wù) 器，只能訪問 WEB 網(wǎng)頁和收發(fā)郵件，不能運(yùn)行 P2P 的軟件等。 ② WPA+ 加密方式盡量采用 WPA，如果客戶端不支持也可采用動(dòng)態(tài) WEP， 認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。采用 captive portal+VPN 的認(rèn)證方式，同時(shí) VPN 還具有三層的加密功能，具有更高的安全性。 （ 3） 用戶認(rèn)證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范 圍也是實(shí)現(xiàn)安全性的一種手段。 4． 4 無線安全性設(shè)計(jì) 在 Aruba 無線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 Aruba 無線系統(tǒng)中設(shè) 置多個(gè) SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分 服務(wù)。在帶寬方面可以做比較寬松的 限制。 一般在防火墻策略設(shè)計(jì)中，可以將來賓和普通學(xué)生的權(quán)限設(shè)置的較低，只能訪問有限 的資源，且優(yōu)先級(jí)較低，并且有帶寬的限制，甚至可以 做時(shí)間段的限制。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的，它的保護(hù)只是基于 IP 地址或物理端口來制定防火墻策略，所以對(duì)于沒有固定接入點(diǎn)的無線終端，這種防火墻的 功效很小。 4． 3 網(wǎng)絡(luò)與用戶管理 Aruba 無線系統(tǒng)中可以設(shè)定用戶的角色（ role），每個(gè) role 可以基于用戶狀態(tài)防火墻和 代理限制的設(shè)定等規(guī)則。 所以針對(duì)無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID進(jìn)行管理和控制。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。未來的發(fā)展趨勢 是新增設(shè)一個(gè) SSID 讓員工以過度 的方式逐漸從轉(zhuǎn)移到這個(gè) SSID 上。 用戶可根據(jù)實(shí)際的情況和 發(fā)展來制定以怎樣方式來實(shí)現(xiàn)無線加密。 SSID 的最主要用途是可讓無線終端以不同的安全認(rèn) 證和加密方式入網(wǎng)。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶連接到 那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o線電波的傳輸是共享。在一個(gè)無線局域網(wǎng)內(nèi)可以設(shè)置多個(gè) SSID，例如一個(gè) SSID 可給內(nèi)部員工所用，而另一個(gè)可給外來的客戶專用。 使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。 Aruba 6000 可以支持到 256 個(gè) AP。 Aruba6000 無線交換機(jī)現(xiàn)在配備 SC48C1 和 SC128C1 服務(wù)卡，分別可以 支持 48 個(gè) AP 和 128 個(gè) AP。 18 4． 1． 4 XXXX 無線局域網(wǎng)的組網(wǎng)設(shè)計(jì) XXXX 無線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無線局域網(wǎng)，考慮方案的性價(jià)比，建議選用集 中式組網(wǎng)的方式： 在網(wǎng)絡(luò)中心采用一臺(tái) Aruba6000 無線交換機(jī)，采用無線集中管理，全網(wǎng)絡(luò) AP 接受統(tǒng) 一管理， AP 以及下面的用戶按接入策略分配接入到無線交換機(jī)上。 4． 1． 3 大型無線局域網(wǎng) (250 個(gè) AP 以上 )集中式組網(wǎng) 所有的無線交換機(jī)都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)中心內(nèi)則一定會(huì)有 1 臺(tái) Aruba5100 設(shè)置成 Master 工作模式，用以管理其它 Aruba5000/5100 交換機(jī)。 選用 Aruba5000 無線交換機(jī)，一般是把 250 個(gè) AP 匯聚到 Aruba5100 上，而視乎 AP 實(shí)際數(shù)目和園區(qū)網(wǎng)絡(luò)拓?fù)?，多臺(tái) Aruba5000/5100 可分別設(shè)置在園區(qū)的不同的配線間 /機(jī)房。在網(wǎng)絡(luò)中心則設(shè)置二臺(tái) Master Aruba2400 (VRRP) 作為主控管交換機(jī)。如下圖所示： Page 7 中型無線局域網(wǎng)交換拓?fù)鋱D (集中式 ) 大樓 大樓 VRRP Master 無線交換機(jī) GRE 隧道 Ar uba AP Ar uba AP Ar uba AP Ar uba AP 接入層 交換機(jī) 接入層 交換機(jī) 接入層 交換機(jī) 匯聚層 交換機(jī) 匯聚層 交換機(jī) 網(wǎng)絡(luò)中心 骨干 交換機(jī) A5000/5100 A5000/5100 17 4． 1． 2 大型無線局域網(wǎng) (250 個(gè) AP 以上 )分布式組網(wǎng) 大型無線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺(tái)配置成 Local 工作模式 Aruba2400 交換機(jī)分別設(shè)置于不同的配線間。 4． 1． 1 中型無線局域網(wǎng) (100 到 250 個(gè) AP)集中式組網(wǎng) 根據(jù)園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶可選擇單臺(tái) Aruba 5000 或 6000 交換機(jī)來組網(wǎng)。 無線組網(wǎng)方式設(shè)計(jì) Aruba 無線系統(tǒng)的組網(wǎng)方式有兩種，集中式組網(wǎng)和分布式組網(wǎng)。這種技術(shù)可以確保無線語音業(yè)務(wù)可以 無縫的在 AP 間漫游，而不會(huì)發(fā)生掉線，是語音業(yè)務(wù)的質(zhì)量保證。跨網(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包或者很大延遲。無線網(wǎng)絡(luò)不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn) 行任何改變就可以實(shí)現(xiàn)這一切。 另在無線語音安全接入方面， Aruba 可防止沒有無線語音權(quán)限的用戶使用無線語音， 以確保 無線網(wǎng)絡(luò)資源能有效運(yùn)用。 Aruba 無線系統(tǒng)可容許用戶設(shè)置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?WiFi 手機(jī)用戶分開，但也可以在單一 SSID 內(nèi)同時(shí)傳送數(shù)據(jù)和話音，關(guān)鍵的重點(diǎn)就是怎樣保證 語音傳輸?shù)馁|(zhì)量。在具體實(shí)現(xiàn) WiFi 語音時(shí)要注意考慮語音的時(shí)延， AP 呼叫的容量和漫游切換時(shí)間。很多手機(jī)廠家已開始推出雙模制式的手機(jī) (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無線局域網(wǎng)之間。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用 15 辦公室的電話號(hào)碼，不管是國內(nèi)或國外。 3． 4． 2 VoIP 與 WIFI 手機(jī) 隨著 VoIP 的越來越普及 (如 Skype,… 等 )，基于 SIP 的 WiFi 電話將迅速變?yōu)閳@區(qū)內(nèi)用 戶之間話音聯(lián)絡(luò)的主流。例如語音視頻 這樣對(duì)于時(shí)延敏感的業(yè)務(wù)，目前，經(jīng)過中國網(wǎng)通、賽爾公司對(duì)幾家 WLAN 設(shè)備廠商的設(shè)備 測試結(jié)果表明， Aruba 的無線網(wǎng)系統(tǒng)以其完善 QoS 特性在測試中表現(xiàn)最佳。對(duì)于不同的 IP 服務(wù)， Aruba 系統(tǒng)亦可透過 Aruba 無線交換機(jī)設(shè)置定義不同的 QoS 隊(duì)列。 3． 4 無線移動(dòng)音視頻應(yīng)用 3． 4． 1 帶寬控制與服務(wù)質(zhì)量保證 QOS Aruba 無線系統(tǒng)的帶寬管理能力使得在移動(dòng)音視頻應(yīng)用方面表現(xiàn)出很強(qiáng)的優(yōu)勢。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無線交 換機(jī)上可以設(shè)定策略， 某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機(jī)會(huì)將其重 定向到防病毒墻上進(jìn)