【正文】 寬。例如無線語音的應(yīng)用， SIP 和RTP 協(xié)議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊(duì) 列。 提供語音服務(wù)，將極大以高無線網(wǎng)絡(luò)的實(shí)際運(yùn)營效果，為廣大在校師生提供無線網(wǎng)絡(luò)服 務(wù)，隨著無線語音技術(shù)的發(fā)展，無線語音無線數(shù)據(jù)服務(wù)將極大方便用戶的園區(qū) 生活。 WiFi 電話除了可在 園區(qū)、辦公樓以及住宅樓 之間等不同 AP 之間漫游外，用戶 亦可在其它有 Inter 連接的地方如酒店，住宅等使用，這是一般辦公室無線電話 (傳統(tǒng)的電話交換機(jī) )不能做到的。對于一些經(jīng)常出差的用戶 VoWiFi 會(huì)帶來極大的方便，亦可節(jié)省長途電話費(fèi)。 Aruba 無線交換技術(shù)已經(jīng)證明 支持 業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運(yùn)行，且在最近的 Network World VoWLAN 測試結(jié)果被評(píng)選為市場上最卓越的產(chǎn)品。 尤其 無線 語音的漫游 ,它會(huì)比一般的數(shù)據(jù)移動(dòng)傳輸更普及，但相對的要求也較嚴(yán)緊，所以要在無線局域網(wǎng)實(shí)現(xiàn)語音和數(shù)據(jù)融合，就不能隨意的安裝一些 AP，而必須是有規(guī)范的組建無線局域網(wǎng)。 Aruba 無線交換機(jī)內(nèi)的用戶防火墻 可把 SIP/RTP 等 VoIP 協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊(duì)列，所以就可確保在數(shù)據(jù)和語音同時(shí)傳送時(shí)，語音的質(zhì)量不受影響。 3． 4． 3 無縫的三層漫游 Aruba 無線 可以支持無線接入 用戶在 AP、 WLAN 交換機(jī)、多子網(wǎng)以及多 VLAN 之間無縫地漫游，而且不會(huì)丟失連接，也不需要重啟 DHCP。 其他廠家一般只能實(shí)現(xiàn)二層漫游。而 Aruba 的 handoff 性能極佳，保證了語音的流暢。 16 四、 XXXX 無線局域網(wǎng) 方案 建議 根據(jù) 無線網(wǎng)絡(luò)需求 和 無線網(wǎng)絡(luò) 設(shè)計(jì)原則，結(jié)合 Aruba 無線系統(tǒng)技術(shù)及產(chǎn)品的特點(diǎn)， 方案的設(shè)計(jì)分為 ：無線 組網(wǎng)方式設(shè)計(jì)、多業(yè)務(wù)區(qū)分設(shè)計(jì)、網(wǎng)絡(luò)及用戶管理、網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、移動(dòng)漫游、兼容性和計(jì)費(fèi)設(shè)計(jì)七個(gè)部分。可以根據(jù)不同的網(wǎng)絡(luò)規(guī)模和管理方式， 考慮選用以下不同檔次的無線交換機(jī)進(jìn)行組網(wǎng) 。Aruba5000 或 6000 設(shè)置在數(shù)據(jù)中心 集中控管 全無線網(wǎng)絡(luò) 的 Aruba AP。一些要求較高的用戶會(huì)采用雙機(jī)（二臺(tái)Aruba2400）在配線間以 VRRP 串聯(lián)模式來加強(qiáng)網(wǎng)絡(luò)冗余備份。網(wǎng)絡(luò)管理員就可透過配置成 Master 工作模式的 Aruba2400 來設(shè)定所有無線局域網(wǎng)設(shè)置。在網(wǎng)絡(luò)中心內(nèi)則一定會(huì) Aruba5100 用以管理其它 Aruba5000/Aruba5100 交換機(jī)。P a g e 9大型無線局域網(wǎng)交換拓?fù)鋱D ( 集中式 )大型無線局域網(wǎng)交換拓?fù)鋱D ( 集中式 )Ma s te r 無線交換機(jī)G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入層交換機(jī)接入層交換機(jī)匯聚層交換機(jī)網(wǎng)絡(luò)中心骨干交換機(jī)匯聚層交換機(jī)匯聚層交換機(jī)接入層交換機(jī)A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0G R E 隧道 大型網(wǎng)絡(luò)支持 4000 個(gè)用戶以上的網(wǎng)絡(luò)環(huán)境。這種組網(wǎng)方式簡易靈活并 方便擴(kuò)容。 當(dāng)無線局域網(wǎng)規(guī)模需要擴(kuò)大而增加 AP 數(shù)量時(shí)，可以擴(kuò)展 無線交換機(jī) 的板卡 相應(yīng) 許可證 ， Aruba6000無線交換機(jī) SC48C1卡 可以平滑的從 48個(gè) AP 支 持到 128個(gè) AP。 4． 2 多業(yè)務(wù)區(qū)分設(shè)計(jì) 從 學(xué)校 的用戶分類與分布情況分析，用戶主要分成以下幾類： （ 1） 學(xué)校 教師與領(lǐng)導(dǎo) ； （ 2） 來訪學(xué)者或 留學(xué)生； （ 3）參加 交流 會(huì)議 領(lǐng)導(dǎo) 和來訪人員； （ 4） 園區(qū) 一般 工作人員； （ 5）長期租用 學(xué)校 辦公的 三產(chǎn)公司 人員。 因此，在設(shè)計(jì)上采用無線局域網(wǎng)多SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。由于用戶一般把 SSID 看成 VLAN，所以它們都會(huì)慣性 地以 VLAN 概念來劃分 SSID。一個(gè)最簡單的例子就是 AP 把不同的 SSID 名字廣播，所以當(dāng)無線終端在這個(gè) AP 覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè) SSID。 19 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù)據(jù)包的封裝格式，所以在 用戶的無線接入使用不同的加密程式 ， 例 如 ：WEP,TKIP(WPA),(WPA2)等等，不同加密方式不 能在同一個(gè) SSID 內(nèi)同時(shí)存在的。最常見的做法是使用 多 個(gè) SSID， 例如： 一個(gè)定義為 OPEN/Static WEP 供客戶用，另一個(gè) SSID 則為TKIP(WPA)專為內(nèi)部員工使用。不能一步轉(zhuǎn)到 的主因在于很多的無線終端現(xiàn)在尚未支持 ，而是不可能把所有的終端一次更換 成最新的軟件程序。一般的情況下是全網(wǎng)開通，例如 ： 客人 (Guest)使用的 SSID；但有些 SSID 則可能 供某些部門使用，所以它的覆蓋范圍通常只會(huì)局限在某些范圍內(nèi)。學(xué)校 教職員工、 學(xué)校 工作人員和長期租用 學(xué)校 辦公的人員屬于 學(xué)院內(nèi) 的固定用戶，可以采用專門的 SSID，可以采用級(jí)別較高的認(rèn)證和加密手段，對于 來賓和 留學(xué)生、參加會(huì)議人員和來訪人員可以使用另一個(gè) SSID，采用級(jí)別相 對較低的認(rèn)證和加密手段，這樣就實(shí)現(xiàn)了區(qū)分的服務(wù)。用戶狀態(tài)訪防火墻是 Aruba 無線交換機(jī)的獨(dú)特功能，它本身就是針對無線接入的特性而設(shè)計(jì)。 Aruba 的基于用戶狀態(tài)的防火墻則是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的 防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個(gè)用戶可以使用 SIP 的服務(wù)，而另一用戶則可用 FTP。 20 大學(xué)的 教職員工 以及 校領(lǐng)導(dǎo) 具有較高的權(quán)限， 可以 訪問更多的 學(xué)校 資源，或者對某些特殊的來賓開放某些 VIP 賬號(hào)，分配給其較高權(quán)限的 role。所有這些在配置、使用和管理上都非常 符合 的 大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求 。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。 （ 2） 加密： Aruba 無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動(dòng) 態(tài) WEP、TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。 加密方式采用 WPAPSK， 不建議采用靜態(tài) WEP， 因?yàn)橛邪踩[患。認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Aruba 交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個(gè)相關(guān)的 Role，每個(gè) Role 有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。 21 （ 6）帶寬 控制：可以對每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。 （ 8） 網(wǎng)絡(luò) 病毒的防護(hù)：無線終端病毒防護(hù)的可以從無線終端的準(zhǔn)入檢查以及對無線 終端發(fā) 出 數(shù)據(jù)進(jìn)行有效的檢測兩個(gè)層面來進(jìn)行的。在數(shù)據(jù)的檢測上， Aruba 無線交換機(jī)上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端， Aruba 無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。 L2/L3 層漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因?yàn)椴煌?AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個(gè) VLAN 內(nèi)。過去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點(diǎn)是它必須在無線終端安裝軟件。 通過 Aruba 無線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP 子網(wǎng)的無線漫游問題。用戶的原交換機(jī)會(huì)告知用戶漫游到的 Aruba 交換機(jī)繼續(xù)保持用戶的原有的 IP 地址。 代理 DHCP 的優(yōu)點(diǎn)是無要 在用戶終端安裝任何軟件就可讓終端無縫的在不同IP 子網(wǎng)之間漫游。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫是未必可行的，但同時(shí)無線用戶應(yīng)是可在內(nèi)無縫漫游。要做到真 正的無縫漫游，則需要有支持 Radius 代理 這樣的功能。 Aruba 本身就可提供不同域之間的認(rèn)證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時(shí)輸入或選擇域名。 23 五、 XXXX 無線局域網(wǎng)系統(tǒng) 建議 5． 1 無線覆蓋 建議 根據(jù) 無線網(wǎng)絡(luò)需求 及 園區(qū) 內(nèi) 實(shí)地的了解，并結(jié)合以往的工程經(jīng)驗(yàn)， 對 無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃： （給出無線接入點(diǎn)部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無線組網(wǎng)實(shí)現(xiàn) Aruba 6000 交換機(jī)，放置在網(wǎng)絡(luò)機(jī)房， Aruba 6000 無線交換機(jī)可以 最多 可 支持 512個(gè) AP 的接入和管理 ，完全滿足 園區(qū) 無線覆蓋的需求，并留有 充足 的擴(kuò)展余量。無線交換機(jī)和 AP 的連接可以穿透三層 網(wǎng)絡(luò)設(shè)備 ，因此，無線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)， 可以實(shí)現(xiàn)全網(wǎng)的 無線 漫游。 無線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖所示 : 閱覽室 住宅 樓 辦公 樓 會(huì)議中心 辦公樓 Aruba6000 三層交換機(jī) 主交換機(jī) 園區(qū) 網(wǎng)/Inter 24 AP 的供電 可以 采用單獨(dú)的 PoE 供電設(shè)備（ 與原有的普通樓 層交換機(jī)配合，不用添加新的 POE 交換機(jī)），用于 AP 數(shù)據(jù)接入和供電，又不增加過多的成本。在無線網(wǎng)絡(luò)音視頻會(huì)議教學(xué)系統(tǒng)的支持下，在校的留學(xué)生、教師和行政辦公人員以及與會(huì)的來賓等，就可以利用其所攜帶的筆記本電腦或是配置有無線網(wǎng)絡(luò)適配器的 PC 機(jī)，在 學(xué)校 內(nèi)的任何一個(gè)地方上網(wǎng)與世界的任何一地進(jìn)行信息交流、教學(xué)或媒體演示。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實(shí)現(xiàn) 從 學(xué)校 的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1） 學(xué)校 教職員工； （ 2） 來訪學(xué)者和 學(xué)生； （ 3）參加會(huì)議人員和來訪人員； （ 4） 學(xué)校 工作人員； （ 5）長期租用 學(xué)校 辦公的人員。 采用 Aruba 無線系統(tǒng)的多 SSID 結(jié)構(gòu)的管理技術(shù)將不同類型的用戶 和應(yīng)用劃分到不同的 SSID 中，賦予不同的訪問規(guī)則與權(quán)限以及配置不同的管理策略。 音視頻會(huì)議應(yīng)用使用專門的 SSID。將訪問策略中的語音業(yè)務(wù)和視頻業(yè)務(wù)的應(yīng)用優(yōu)先 級(jí)提到最高，以確保這些服務(wù)的質(zhì)量。 2 個(gè) SSID 用于數(shù)據(jù)應(yīng)用，分別對應(yīng) 2類用戶，另外 2 個(gè) SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語音和視頻的服務(wù)。 5． 4 多媒體 以及音視頻應(yīng)用的實(shí)現(xiàn) 在會(huì)議廳、報(bào)告廳實(shí)現(xiàn)無線覆蓋，可以建立 Aruba 的無線音視頻會(huì)議網(wǎng)絡(luò)系統(tǒng)平臺(tái)。在這個(gè)平臺(tái)上為各種會(huì)議、報(bào)告提供無線音視頻會(huì)議 系統(tǒng)，會(huì)議的組織者可以在這個(gè)平臺(tái)上方便地、靈活地使用音視頻會(huì)議系統(tǒng)，為會(huì)議參加者提供豐富地文字、語音、視頻會(huì)議服務(wù)，為主持會(huì)議者與參會(huì)者提供一個(gè)互動(dòng)服務(wù)。使用 Aruba 無線系統(tǒng)在 學(xué)校 的報(bào)告廳、各大小會(huì)議室以及多功能廳等區(qū)域?qū)崿F(xiàn)無線覆蓋，利用無線音視頻會(huì)議網(wǎng)絡(luò)系統(tǒng)平臺(tái)可為各種會(huì)議提供豐富的文字、語音和視頻服務(wù)。 5． 5 無線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn) Aruba 無線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn)如下安全功能： ? 接入認(rèn)證控制： 驗(yàn)證用戶， 授權(quán)他們接入特定的資源， 同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入。 ? 偵測和阻斷非法接入：防止非法 AP 接入 學(xué)校的 無線網(wǎng)絡(luò)中。 ? 檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。 由于 Aruba 的 AP 是通過 GRE 的隧道連接到 Aruba 交換機(jī)上，所以 Aruba 產(chǎn)品在規(guī)劃上可以完全不改變 園區(qū) 網(wǎng)原有的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)實(shí)現(xiàn)無縫的二三層漫游。 下面詳細(xì)敘述一下無線交換機(jī)在規(guī)劃配置實(shí)施時(shí)需要考慮的問題： 5． 6． 1 AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網(wǎng)對 AP 所在的 VLAN(AP 為網(wǎng)絡(luò)設(shè)備 )和無線用戶所在的 VLAN 是沒有明確的區(qū)分。對網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的 VLAN/IP 子網(wǎng)應(yīng)當(dāng)和用戶是分開，這樣才可確保正常網(wǎng)絡(luò)運(yùn)行和維護(hù)。這種組網(wǎng)方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網(wǎng)的 SSID為局域網(wǎng)的