【正文】 生故障時自動切換到鄰近AP，不會影響無線的接入服務；具有支持熱備份的無線交換機N+1的冗余備份機制。同時整個系統(tǒng)可以根據用戶的需要進行規(guī)模上的擴展，擴展后所有功能和管理的模式保持不便。根據需求和以上無線網建設與設計原則，本方案提出采用美國Aruba Networks公司的第三代無線交換局域網系統(tǒng)（以下簡稱Aruba無線系統(tǒng)），完成中國xx集團第一期無線局域網系統(tǒng)項目。設計組網時，我們既考慮了系統(tǒng)的冗余性，又兼顧了成本節(jié)約。首先，在中心地區(qū)，根據需求，中心系統(tǒng)設計支持AP容量為32個，因此，我們規(guī)劃了3臺A800控制器，每臺控制器支持16個AP容量，其中一臺做主控制器，平時并不管理AP，處于備份狀態(tài)，當另外兩臺其中一臺出現(xiàn)故障，AP會自動跳到主控制器，實現(xiàn)熱備份和消除單點故障的問題。其次，在A地區(qū)，需求支持AP的系統(tǒng)容量是144個，需要3臺A2400無線控制器，外加一臺A2400做主控制器，并做其余三臺的熱備份。目前A分部的AP實際使用量只有25個，主要覆蓋張江2號樓第七和第八兩層樓。該方案采用了Aruba中檔型號Controller的堆疊模式，每個地區(qū)都采用N：1方式進行控制器熱備份，系統(tǒng)擴容可以通過繼續(xù)堆疊Controller實現(xiàn)。以下是三地區(qū)整體無線網絡拓撲圖：集中式無線交換架構設計特點：216。216。 加快了無線多業(yè)務開通216。 方便對本地無線網絡維護和管理216。AP與無線控制器之間無需直接連接起來，大大節(jié)省布線成本。下面是中心地區(qū)拓撲圖：該區(qū)域是全國災備中心會議室，面積雖小，但考慮到其重要性和突發(fā)用戶量，這里采用AP65高性能無線接入點，并且覆蓋加大部署密度，增加系統(tǒng)用戶容量。為了實現(xiàn)熱備份，所有控制器要獨立接入到骨干網，所有AP要獨立接入到內網交換機，不能直接與控制器相連。從用戶分類與分布情況分析，無線用戶主要有以下幾類：（1）中國xx集團正式員工；（2）參加會議人員和來訪等外來人員；（3）將來會使用的WIFI電話。目前，我們建議開設三個SSID號，其中一個SSID供可給內部員工使用，根據目前xx的已有架構，每個員工均使用有線連接，并且統(tǒng)一由微軟公司的域控制器提供權限控制，因此，給內部域用戶使用無線連接。而且使用無線連接，可以為每個員工配置不同的網絡使用權限。第三個SSID供給手持終端，例如WIFI電話使用。由于用戶一般把SSID看成VLAN，所以它們都會慣性地以VLAN概念來劃分SSID。一個最簡單的例子就是AP把不同的SSID名字廣播，所以當無線終端在這個AP覆蓋范圍內啟動時，它就能同時看到多個SSID。Aruba無線系統(tǒng)中可以設定用戶的角色（role），每個role可以基于用戶狀態(tài)防火墻和代理限制的設定等規(guī)則，包括每個用戶的使用帶寬，允許連接的時間等等。傳統(tǒng)的網絡防火墻是沒有基于用戶的，它的保護只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。在Aruba無線系統(tǒng)中，可以在多個層面對系統(tǒng)構筑安全防護，其安全性設計如下：（1）多SSID：可以根據需要，如用戶的種類、應用的種類，在Aruba無線系統(tǒng)中設置多個SSID，不同的SSID采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。SSID還可以選擇在某些AP上出現(xiàn)，某些AP上不出現(xiàn)，限制SSID出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。（3）用戶認證：提供二種方式。加密方式采用WPAPSK，不建議采用靜態(tài)WEP，因為有安全隱患。認證服務器的選擇比較靈活，可以使用RADIUS, LDAP, Windows NT, Active Directory, TACACS，甚至是Aruba交換機內置的賬戶數(shù)據庫。（4）用戶的Role（角色）：每一類用戶可以建立一個相關的Role，每個Role有一個用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個用戶身上。（6）帶寬的控制：可以對每個用戶設定其可以使用的帶寬，一方面可以限制其對網絡資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網絡全部的帶寬。（8）病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線終端發(fā)出數(shù)據進行有效的檢測兩個層面來進行的。在數(shù)據的檢測上，Aruba無線交換機上可以設定策略，對于某些無線用戶沾染病毒的終端，Aruba無線系統(tǒng)將其導向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。L2/L3層漫游在傳統(tǒng)的無線局域網內，無線終端要跨越不同AP之間漫游是有一定的困難，因為不同AP之間，它的無線用戶IP子網可能都不是在同一個VLAN內。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術，但Mobile IP的缺點是它必須在無線終端安裝軟件。通過Aruba 無線系統(tǒng)的Proxy DHCP 功能，就可解決了跨越不同三層IP子網的無線漫游問題。用戶的原交換機會告知用戶漫游到的Aruba 交換機繼續(xù)保持用戶的原有的IP地址。Proxy DHCP 的優(yōu)點是它無需要求在用戶終端安裝任何軟件就可讓終端無縫的在不同IP子網之間漫游。在實現(xiàn)應用時，要求有單一的認證數(shù)據庫是未必可行的，但同時無線用戶應是可在內無縫漫游。要做到真正的無縫漫游，則需要有支持Radius Proxy 這樣的功能。Aruba 本身就可提供不同域之間的認證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網頁時輸入或選擇域名。 無線局域網系統(tǒng)的實現(xiàn)根據對xxA分部地區(qū)的實地考察，并結合以往的工程經驗，我們對2號樓7－8層的無線網絡覆蓋做出以下規(guī)劃：27F（全覆蓋）28F（全覆蓋）一般廠家的無線網絡產品在企業(yè)網規(guī)劃時都需要二層交換機連接或者劃分VLAN，否則只能將認證點下放到AP上，導致整體性能的降低和漫游特性的缺失。并且所有的AP都統(tǒng)一規(guī)劃統(tǒng)一集中管理。這樣組網無論對無線用戶、AP和網絡的管理都有一定困難，而且很容易造成混亂。但在具體實施時，很多為了方便都會把AP和無線用戶設置在同一個VLAN內。VLAN和無線SSID的關系 一般用戶都誤解無線局域網的SSID為局域網的VLAN，這可能是由于第一代的無線局域網都是通過“FAT AP”組網的原因。當然把一SSID設定在一個VLAN內對傳統(tǒng)的無線局域網只能夠支持第二層的無線用戶漫游是唯一可實現(xiàn)的方式。采用Aruba組網，當無線用戶加入到無線網上的一個SSID時，很容易就可把他與一個VLAN綁定，而且不管他漫游到那一個AP上，因SSID的缺省VLAN實際上是穿越接入層直到Aruba交換機上，所以用戶的VLAN是無需在每個接入層上開通。當有這樣的情況出現(xiàn)時，無線用戶從一個AP接入點漫游到另一個AP接入點時， DHCP協(xié)議應會重分發(fā)給無線終端新的IP地址，但如果無線終端的IP地址更新的話，它先前建立的所有應用連接就會被切斷。 開通無線局域網接入 – 不需更改局域網路由要大規(guī)模在企業(yè)內實現(xiàn)無線局域網接入，很多人都誤解需要在現(xiàn)有的局域網上做很多路由的修改，這當然是企業(yè)網絡管理部門不愿意做的事情。由于無線用戶的傳輸是通過Aruba AP 內已建立的GRE隧道和Aruba交換機互連的，所以實際上無線用戶的VLAN是無須在接入層和匯聚層存在。無線用戶的VLAN是可透過Aruba交換機和骨干交換機互連互通。 接入認證控制：驗證用戶，授權他們接入特定的資源，同時拒絕為未經授權的用戶提供無線接入。 確保鏈路的保密與數(shù)據的完整： 防止未經授權的用戶讀取或更改在網絡上傳輸?shù)臄?shù)據。 偵測和阻斷非法接入：防止非法AP接入xx內部網絡中。 監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個接入點的所有可用帶寬， 導致其他用戶的正當接入。 檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。第一代無線局域網技術采用單純的AP實現(xiàn)無線接入外，基本上沒有其它功能。由于這一代技術的AP儲存了大量的網絡和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網絡系統(tǒng)就失去了安全性。第三代無線局域網技術采用無線交換網絡架構（以Cisco、Aruba為代表），實現(xiàn)了基于無線網絡交換機，以AP為單元交換的無線網絡系統(tǒng)，Aruba是采用獨立的無線網絡交換機實現(xiàn)的。Aruba無線系統(tǒng)不但具有一、二代無線產品所有的功能，并且在無線網的規(guī)劃、管理、安全和對音視頻業(yè)務的支持方面都有著與一代和二代產品不可比擬的優(yōu)勢。在無線網絡管理方面，Aruba無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的RF智能調控，自動恢復、負載均衡功能，使無線網可以適應無線環(huán)境中的電磁波變化，動態(tài)自動調節(jié)到最佳應用效果；還可以實現(xiàn)遠端AP狀態(tài)監(jiān)測，方便實現(xiàn)對AP的管理；具有多SSID支持，實現(xiàn)了對無線數(shù)據、語音和視頻的應用帶寬管理。在無線音視頻應用方面，Aruba獨有的基于每個用戶的帶寬控制和QOS保證，可以確保語音和視頻業(yè)務的實時性，先進的無縫三層移動漫游，使得VoIP以及Wifi Fhone可以自由的在任意AP間切換，具有目前業(yè)界最低的時延。1．5．1．2靈活的組網方式第三代的Aruba產品可以根據從小型的無線網規(guī)模（幾十個AP），到大型無線網規(guī)模（幾百個AP，甚至上千個AP），都可以采用集中或者分布式的組網方式進行靈活的組網。1．5．1．3優(yōu)秀的擴展性 無線網絡具有非常容易擴展的特性，因此，今天在組建無線網時必須要考慮系統(tǒng)的擴展性。除了AP數(shù)量之外，怎樣控管大量的AP和部署也是擴展性的重要考慮因素。1．5．1．4 無需更改有線網結構實現(xiàn)無線局域網接入，需要在現(xiàn)有的局域網上做很多路由的修改，這當然是的網管人員不愿意做的事情，采用Aruba系統(tǒng)無需更改現(xiàn)有的有線網結構。無線終端的VLAN是可透過Aruba交換機和骨干交換機互連互通.ARUBA的無線交換機可以安裝在xx集團的中心機房，而AP則可以放置于xx集團的任何地方，無需用二層設備連到無線交換機，或者劃分VLAN；其他廠家則需要二層交換機連接或者劃分VLAN，否則只能將認證點下放到AP上，導致整體性能的降低和漫游特性的缺失。對原有的有線網路由器不需要改變路由結構，減輕了由于無線網的建設而對原有網絡的結構改變的工作量。Aruba首創(chuàng)開發(fā)了RF Planning工具，可以讓規(guī)劃設計者在考慮無線局域網組網之初采用RF Planning在計算機上做規(guī)劃設計，估算在要求的覆蓋面積上AP應安裝的物理位置所在。RF Planning自動計算，然后顯示出AP在圖上的安裝坐標位置和無線電波的覆蓋范圍。在無線局域網系統(tǒng)投入運行后，網管人員可通過RF Planning隨時監(jiān)測網內的每個AP的無線電波的狀態(tài)，及時掌握每個AP的工作狀態(tài)和故障診斷，及時做出調整策略。 Aruba無線局域網的網絡管理1．5．2．1 集中式管理管理一個具有規(guī)模的無線局域網（通常在幾十個AP以上）是一件非常頭痛的事情。由于傳統(tǒng)的無線局域網是單純基于AP，因此對于無線網絡的管理，其大量工作是要在每