【正文】 寬。例如無線語音的應(yīng)用， SIP 和RTP 協(xié)議可設(shè)定在高的隊列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊 列。 提供語音服務(wù)，將極大以高無線網(wǎng)絡(luò)的實際運營效果，為廣大在校師生提供無線網(wǎng)絡(luò)服 務(wù)，隨著無線語音技術(shù)的發(fā)展，無線語音無線數(shù)據(jù)服務(wù)將極大方便用戶的園區(qū) 生活。 WiFi 電話除了可在 園區(qū)、辦公樓以及住宅樓 之間等不同 AP 之間漫游外，用戶 亦可在其它有 Inter 連接的地方如酒店，住宅等使用，這是一般辦公室無線電話 (傳統(tǒng)的電話交換機 )不能做到的。對于一些經(jīng)常出差的用戶 VoWiFi 會帶來極大的方便，亦可節(jié)省長途電話費。 Aruba 無線交換技術(shù)已經(jīng)證明 支持 業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運行，且在最近的 Network World VoWLAN 測試結(jié)果被評選為市場上最卓越的產(chǎn)品。 尤其 無線 語音的漫游 ,它會比一般的數(shù)據(jù)移動傳輸更普及，但相對的要求也較嚴緊，所以要在無線局域網(wǎng)實現(xiàn)語音和數(shù)據(jù)融合，就不能隨意的安裝一些 AP，而必須是有規(guī)范的組建無線局域網(wǎng)。 Aruba 無線交換機內(nèi)的用戶防火墻 可把 SIP/RTP 等 VoIP 協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊列，所以就可確保在數(shù)據(jù)和語音同時傳送時，語音的質(zhì)量不受影響。 3． 4． 3 無縫的三層漫游 Aruba 無線 可以支持無線接入 用戶在 AP、 WLAN 交換機、多子網(wǎng)以及多 VLAN 之間無縫地漫游，而且不會丟失連接，也不需要重啟 DHCP。 其他廠家一般只能實現(xiàn)二層漫游。而 Aruba 的 handoff 性能極佳，保證了語音的流暢。 16 四、 XXXX 無線局域網(wǎng) 方案 建議 根據(jù) 無線網(wǎng)絡(luò)需求 和 無線網(wǎng)絡(luò) 設(shè)計原則，結(jié)合 Aruba 無線系統(tǒng)技術(shù)及產(chǎn)品的特點， 方案的設(shè)計分為 ：無線 組網(wǎng)方式設(shè)計、多業(yè)務(wù)區(qū)分設(shè)計、網(wǎng)絡(luò)及用戶管理、網(wǎng)絡(luò)安全防護設(shè)計、移動漫游、兼容性和計費設(shè)計七個部分?？梢愿鶕?jù)不同的網(wǎng)絡(luò)規(guī)模和管理方式， 考慮選用以下不同檔次的無線交換機進行組網(wǎng) 。Aruba5000 或 6000 設(shè)置在數(shù)據(jù)中心 集中控管 全無線網(wǎng)絡(luò) 的 Aruba AP。一些要求較高的用戶會采用雙機（二臺Aruba2400）在配線間以 VRRP 串聯(lián)模式來加強網(wǎng)絡(luò)冗余備份。網(wǎng)絡(luò)管理員就可透過配置成 Master 工作模式的 Aruba2400 來設(shè)定所有無線局域網(wǎng)設(shè)置。在網(wǎng)絡(luò)中心內(nèi)則一定會 Aruba5100 用以管理其它 Aruba5000/Aruba5100 交換機。P a g e 9大型無線局域網(wǎng)交換拓撲圖 ( 集中式 )大型無線局域網(wǎng)交換拓撲圖 ( 集中式 )Ma s te r 無線交換機G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機接入層交換機匯聚層交換機網(wǎng)絡(luò)中心骨干交換機匯聚層交換機匯聚層交換機接入層交換機A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0G R E 隧道 大型網(wǎng)絡(luò)支持 4000 個用戶以上的網(wǎng)絡(luò)環(huán)境。這種組網(wǎng)方式簡易靈活并 方便擴容。 當無線局域網(wǎng)規(guī)模需要擴大而增加 AP 數(shù)量時，可以擴展 無線交換機 的板卡 相應(yīng) 許可證 ， Aruba6000無線交換機 SC48C1卡 可以平滑的從 48個 AP 支 持到 128個 AP。 4． 2 多業(yè)務(wù)區(qū)分設(shè)計 從 學(xué)校 的用戶分類與分布情況分析，用戶主要分成以下幾類： （ 1） 學(xué)校 教師與領(lǐng)導(dǎo) ； （ 2） 來訪學(xué)者或 留學(xué)生； （ 3）參加 交流 會議 領(lǐng)導(dǎo) 和來訪人員； （ 4） 園區(qū) 一般 工作人員； （ 5）長期租用 學(xué)校 辦公的 三產(chǎn)公司 人員。 因此，在設(shè)計上采用無線局域網(wǎng)多SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。由于用戶一般把 SSID 看成 VLAN，所以它們都會慣性 地以 VLAN 概念來劃分 SSID。一個最簡單的例子就是 AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。 19 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標準內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在 用戶的無線接入使用不同的加密程式 ， 例 如 ：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不 能在同一個 SSID 內(nèi)同時存在的。最常見的做法是使用 多 個 SSID， 例如： 一個定義為 OPEN/Static WEP 供客戶用，另一個 SSID 則為TKIP(WPA)專為內(nèi)部員工使用。不能一步轉(zhuǎn)到 的主因在于很多的無線終端現(xiàn)在尚未支持 ，而是不可能把所有的終端一次更換 成最新的軟件程序。一般的情況下是全網(wǎng)開通，例如 ： 客人 (Guest)使用的 SSID；但有些 SSID 則可能 供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。學(xué)校 教職員工、 學(xué)校 工作人員和長期租用 學(xué)校 辦公的人員屬于 學(xué)院內(nèi) 的固定用戶，可以采用專門的 SSID，可以采用級別較高的認證和加密手段，對于 來賓和 留學(xué)生、參加會議人員和來訪人員可以使用另一個 SSID，采用級別相 對較低的認證和加密手段，這樣就實現(xiàn)了區(qū)分的服務(wù)。用戶狀態(tài)訪防火墻是 Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。 Aruba 的基于用戶狀態(tài)的防火墻則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預(yù)設(shè)的 防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個用戶可以使用 SIP 的服務(wù)，而另一用戶則可用 FTP。 20 大學(xué)的 教職員工 以及 校領(lǐng)導(dǎo) 具有較高的權(quán)限， 可以 訪問更多的 學(xué)校 資源，或者對某些特殊的來賓開放某些 VIP 賬號，分配給其較高權(quán)限的 role。所有這些在配置、使用和管理上都非常 符合 的 大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求 。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。 （ 2） 加密： Aruba 無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動 態(tài) WEP、TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實際需求進行選擇。 加密方式采用 WPAPSK， 不建議采用靜態(tài) WEP， 因為有安全隱患。認證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Aruba 交換機內(nèi)置的帳戶數(shù)據(jù)庫。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個相關(guān)的 Role，每個 Role 有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。 21 （ 6）帶寬 控制：可以對每個用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。 （ 8） 網(wǎng)絡(luò) 病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線 終端發(fā) 出 數(shù)據(jù)進行有效的檢測兩個層面來進行的。在數(shù)據(jù)的檢測上， Aruba 無線交換機上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端， Aruba 無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。 L2/L3 層漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不同 AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個 VLAN 內(nèi)。過去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點是它必須在無線終端安裝軟件。 通過 Aruba 無線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP 子網(wǎng)的無線漫游問題。用戶的原交換機會告知用戶漫游到的 Aruba 交換機繼續(xù)保持用戶的原有的 IP 地址。 代理 DHCP 的優(yōu)點是無要 在用戶終端安裝任何軟件就可讓終端無縫的在不同IP 子網(wǎng)之間漫游。在實現(xiàn)應(yīng)用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無線用戶應(yīng)是可在內(nèi)無縫漫游。要做到真 正的無縫漫游，則需要有支持 Radius 代理 這樣的功能。 Aruba 本身就可提供不同域之間的認證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。 23 五、 XXXX 無線局域網(wǎng)系統(tǒng) 建議 5． 1 無線覆蓋 建議 根據(jù) 無線網(wǎng)絡(luò)需求 及 園區(qū) 內(nèi) 實地的了解，并結(jié)合以往的工程經(jīng)驗， 對 無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃： （給出無線接入點部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無線組網(wǎng)實現(xiàn) Aruba 6000 交換機，放置在網(wǎng)絡(luò)機房， Aruba 6000 無線交換機可以 最多 可 支持 512個 AP 的接入和管理 ，完全滿足 園區(qū) 無線覆蓋的需求，并留有 充足 的擴展余量。無線交換機和 AP 的連接可以穿透三層 網(wǎng)絡(luò)設(shè)備 ，因此，無線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)， 可以實現(xiàn)全網(wǎng)的 無線 漫游。 無線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖所示 : 閱覽室 住宅 樓 辦公 樓 會議中心 辦公樓 Aruba6000 三層交換機 主交換機 園區(qū) 網(wǎng)/Inter 24 AP 的供電 可以 采用單獨的 PoE 供電設(shè)備（ 與原有的普通樓 層交換機配合，不用添加新的 POE 交換機），用于 AP 數(shù)據(jù)接入和供電，又不增加過多的成本。在無線網(wǎng)絡(luò)音視頻會議教學(xué)系統(tǒng)的支持下，在校的留學(xué)生、教師和行政辦公人員以及與會的來賓等，就可以利用其所攜帶的筆記本電腦或是配置有無線網(wǎng)絡(luò)適配器的 PC 機，在 學(xué)校 內(nèi)的任何一個地方上網(wǎng)與世界的任何一地進行信息交流、教學(xué)或媒體演示。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn) 從 學(xué)校 的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1） 學(xué)校 教職員工； （ 2） 來訪學(xué)者和 學(xué)生； （ 3）參加會議人員和來訪人員； （ 4） 學(xué)校 工作人員； （ 5）長期租用 學(xué)校 辦公的人員。 采用 Aruba 無線系統(tǒng)的多 SSID 結(jié)構(gòu)的管理技術(shù)將不同類型的用戶 和應(yīng)用劃分到不同的 SSID 中，賦予不同的訪問規(guī)則與權(quán)限以及配置不同的管理策略。 音視頻會議應(yīng)用使用專門的 SSID。將訪問策略中的語音業(yè)務(wù)和視頻業(yè)務(wù)的應(yīng)用優(yōu)先 級提到最高，以確保這些服務(wù)的質(zhì)量。 2 個 SSID 用于數(shù)據(jù)應(yīng)用，分別對應(yīng) 2類用戶，另外 2 個 SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語音和視頻的服務(wù)。 5． 4 多媒體 以及音視頻應(yīng)用的實現(xiàn) 在會議廳、報告廳實現(xiàn)無線覆蓋，可以建立 Aruba 的無線音視頻會議網(wǎng)絡(luò)系統(tǒng)平臺。在這個平臺上為各種會議、報告提供無線音視頻會議 系統(tǒng)，會議的組織者可以在這個平臺上方便地、靈活地使用音視頻會議系統(tǒng)，為會議參加者提供豐富地文字、語音、視頻會議服務(wù)，為主持會議者與參會者提供一個互動服務(wù)。使用 Aruba 無線系統(tǒng)在 學(xué)校 的報告廳、各大小會議室以及多功能廳等區(qū)域?qū)崿F(xiàn)無線覆蓋，利用無線音視頻會議網(wǎng)絡(luò)系統(tǒng)平臺可為各種會議提供豐富的文字、語音和視頻服務(wù)。 5． 5 無線網(wǎng)的安全系統(tǒng)實現(xiàn) Aruba 無線網(wǎng)的安全系統(tǒng)實現(xiàn)如下安全功能： ? 接入認證控制： 驗證用戶， 授權(quán)他們接入特定的資源， 同時拒絕為未經(jīng)授權(quán)的用戶提供接入。 ? 偵測和阻斷非法接入：防止非法 AP 接入 學(xué)校的 無線網(wǎng)絡(luò)中。 ? 檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。 由于 Aruba 的 AP 是通過 GRE 的隧道連接到 Aruba 交換機上，所以 Aruba 產(chǎn)品在規(guī)劃上可以完全不改變 園區(qū) 網(wǎng)原有的網(wǎng)絡(luò)結(jié)構(gòu)，同時實現(xiàn)無縫的二三層漫游。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： 5． 6． 1 AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網(wǎng)對 AP 所在的 VLAN(AP 為網(wǎng)絡(luò)設(shè)備 )和無線用戶所在的 VLAN 是沒有明確的區(qū)分。對網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的 VLAN/IP 子網(wǎng)應(yīng)當和用戶是分開，這樣才可確保正常網(wǎng)絡(luò)運行和維護。這種組網(wǎng)方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網(wǎng)的 SSID為局域網(wǎng)的