XXX 學校 無線局域網 解決方案 建議 書 XXX 學校 無線局域網解決方案建議書 200X 年 X 月 目 錄 一、 XXXX 無 線局域網系統建設需求 . 3 1項目背景 . 3 1 1 擴展網絡信息點數量需求 . 3 1 2 網絡教學需求 . 3 1 3 遠程教學和視頻會議需求 . 3 1 4 建設數字化信息大學需求 . 4 1 5 無線覆蓋范圍需求 . 4 二、 XXXX 大學無線局域網設計原則和技術需求 . 4 2 1 遵循標準 . 4 2 2 技術成熟 . 4 2 3 安全可靠 . 5 2 4 可擴展可升級 . 5 2 5 易管理易維護 . 5 2 6 技術需求 . 6 三、 Aruba 無線交換局域網系統技術特點 . 6 3 1 Aruba 無線局域網系統架構 . 7 3 1 1 先進的無線局域交換機 . 7 3 1 2 靈活的組網方式 . 7 3 1 3 優秀的擴展性 . 8 3 1 4 無需更改有線網結構 . 8 3 1 5 方便地無線網規劃設計 . 8 3 2 Aruba 無線局域網的網絡管理 . 9 3 2 1 集中式管理 . 9 3 2 2 無需安裝客戶端軟件 . 10 3 2 3 RF 智能控管 . 10 3 2 4 多個 SSID 結構 . 10 3 2 5 故障自動恢復 .11 3 2 6 網絡負載均衡 .11 3 2 7 無線終端定位 .11 3 3 Aruba 無線局域網系統的安全管理 . 12 3 3 1 集中的安全管理 . 12 3 3 2 多種用戶認證方式 . 12 3 3 3 獨特的無線訪問控制 . 12 3 3 4 安全的 AP 技術 . 13 3 3 5 無線接入點安全偵測和保護 . 13 3 3 6 無線網絡入侵偵測 . 13 3 3 7 無線接入的病毒防護 . 13 3 4 無線移動音視頻應用 . 14 3 4 1 帶寬控制與服務質量保證 QOS . 14 3 4 2 VoIP 與 WI-FI 手機 . 14 3 4 3 無縫的三層漫游 . 15 四、 XXXX 大學無線局域網方案建議 . 16 4.1 無線組網方式設計 . 16 4 1 1 中型無線局域網 (100 到 250 個 AP)集中式組網 . 16 4 1 2 大型無線局域網 (250 個 AP 以上 )分布式組網 . 17 4 1 3 大型無線局域網 (250 個 AP 以上 )集中式組網 . 17 4 1 4 XXXX 大學無線局域網的組網設計 . 18 4 2 多業務區分設計 . 18 4 3 網絡與用戶管理 . 19 4 4 無線安全性設計 . 20 4 5 移動漫游設計 . 21 五、 XXXX 大學無線局域網系統建議 . 23 5 1 無線覆蓋建議 . 23 5 2 無線組網實現 . 23 5 3 網絡用戶與應用管理實現 . 24 5 4 多媒體與網絡教學以及音視頻應用的實現 . 25 5 5 無線網的安全系統實現 . 25 5、 6 無線交換機的配置實施建議 . 26 5 6 1 AP 的 VLAN 和無線用戶的 VLAN. 26 5 6 2VLAN 和無線 SSID 的關系 . 26 5 6 3 Aruba 無線局域網 不需更改局域網路由 . 27 六、 設備配置清單 . 28 附件一、 Aruba 無線產品簡介 . 29 一、無線交換機 . 29 二、 Aruba Access 系列 . 30 一、 XXXX 無線局域網系統建設需求 1項目背景 （ XXXX 介紹、概況） 此次無線局域網系統項目的是針對 XXXX 所屬的建筑群做無線局域網的覆蓋，滿足數據、語音和視頻多方面的網絡應用需求。具體需求如下： 1 1 擴展網絡信息點數量需求 XXXX 在建設時所安裝部署的有線網絡信息點數量與實際 使用的需要缺口較大，難以滿足正常辦公、各種會議以及來客使用網絡的實際需求。由于 XXXX 是新建成投入使用的，采用有線網絡擴充而進行的網絡布線工程會對 XXXX 墻壁和頂棚做大量的施工，影響建筑樓群內部的外觀。 希望通過采用無線局域網覆蓋方式滿足目前和將來的需要，并減少有線網絡布線帶來的工程難度、施工量和工程費用。本項目的建設目的是采用無線局域網替代正準備擴展的有線局域網，而不是簡單地作為有線網的延伸。 無線網絡的覆蓋重點為 （以下針對大學的需求展開） 1 2 網絡教學需求 XXXX 大學有多個多媒體教學教室和計 算機網絡教室，由于在建設時這些房間的使用功能考慮，目前有線網絡環境教室已經不能滿足廣大師生網絡接入，如采用有線網絡擴充方式還需要在這些教室布大量網線，其工程難度很大。因此，建議采用無線局域網覆蓋方式可以很方便、靈活地配合教室的布局和計算機接入網絡的位置。 1 3 遠程教學和視頻會議需求 XXXX 大學的主樓以及學術會議中心、會議廳（室）召開各種類型的會議和學術活動不斷增多，在召開會議準備過程中，與會者常常提出需要提供臨時性的無線網絡環境，以便使用視頻會議系統或通過互聯網進行具有音視頻內容的遠程多媒體傳輸、演示和 交互。 1 4 建設數字化信息大學需求 XXXX 大學經常接待來校訪問的國外學者和專家以及參加各種會議和學術活動的來賓，來賓們隨身攜帶的筆記本電腦需要隨時隨地接入 Internet 處理日常事務，因此，無線網絡要滿足來賓移動接入 Internet 以及 WiFi-VoIP 語音通信需求。 1 5 無線覆蓋范圍需求 根據 XXXX 無線網絡需求要求無線局域網的覆蓋區域的如下： （貼圖以及說明具體覆蓋需求的位置） 二、 XXXX 無線局域網設計原則和技術需求 2 1 遵循標準 無線局域網采用的技術支持應為國際標準或業界標準，不使用某個廠商的專 用技術和協議，以保證網絡設備的互通性，有利于網絡的投資保護。 根據 XXXX 大學的需求和無線網建設與設計原則，建議采用美國 Aruba Networks公司的第三代無線交換局域網系統（以下簡稱 Aruba 無線系統），完成無線局域網覆蓋項目 。 2 2 技術成熟 第一代無線局域網主要是采用胖 AP 架構，每臺 AP 都是一個獨立的個體， AP 與AP 之間不會進行任何溝通，需要逐臺逐臺進行配置和管理，費時、費力、維護成本高，安全低，融合性差；第二代無線局域網融入了認證網關設備，仍然不能集中對 AP 進行管理和配置，只是對認證管理方面有所 提高而已。現今大型無線網絡要求其與傳統有線網絡平滑融合，要求管理性和 安全 性都必須有一個質的提高，而第一代和第二代無線技術必定不能滿足，因此，在這樣的環境下，基于無線交換機集中式管理的第三代無線架構延生了。第三代無線局域網架構采用無線交換機加瘦 AP 的結構，使得無線局域網的網絡性能、網絡管理和安全管理能力得以大幅提高，使建設大型無線網成為可能。 2 3 安全可靠 在網絡安全性方面，無線局域網系統 要具有與有線局域網同樣要求的安全防護措施，無線網的安全性主要從以下幾個方面考慮： （ 1）接入認證：具有支持多種用戶認證方式； （ 2）采用具有用戶狀態訪問控制的防火墻技術； （ 3）具有數據在無線信道上傳輸的 VPN 機制； （ 4）具有無線網的防病毒機制 （ 5）具有無線電波監控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。 具有提供智能化的無線電波自動調控與切換能力，以確保單個 AP 接入點在發生故障時自動切換到鄰近 AP，不會影響無線的接入服務；具有支持熱備份的無線交換機 N+1的冗余備份機制。 2 4 可擴展可升級 通過一個集中的無線局域網網管平臺實現對所有的 AP 功能的配置和管理， AP 既可以提供無線接入，也可設置為無線入侵監控、無線終端追蹤定位、無線電波傳輸分析的工作模式。同時整個系統可以根據用戶的需要進行規模上的擴展，擴展后所有功能和管理的模式保持不便。 2 5 易管理易維護 在網絡管理方面，必須具有集中控管、智能調控、自動恢復、負載均衡等實用功能，使所建的無線網絡可以適應多種環境的變化，可動態地保證良好的應用效果。同時，還應具有遠端 AP 數據進行采集、遠程監控、終端定位等功能，支持多 SSID，可以方便的把語音、視頻以及 其他類型的數據的應用進行分開管理。 2 6 技術需求 根據 XXXX 大學無線局域網系統建設要求，無線局域網系統建設原則如下： 1、采用 WLAN 交換技術及 WLAN 交換體系結構。 2、充分利用現有網絡結構與資源，不單獨組網， AP 就近接入有線網絡（最近的交換機），并且不改變原有網絡結構以及交換機配置。 3、采用集中控管的組網方式，集中控制管理所有的 AP。 4、 AP 的供電可以不單獨拉線，采用 POE 供電的方式。 5、采用先進的 WLAN 網管系統管理局域網。 6、充分考慮 WLAN 的安全性，采用先進的 WLAN 安全技術保障。 7、無線局域網系統要支持故障熱備冗余能力。 8、無線局域網系統要能方便和靈活地調整與擴充。 三、 Aruba 無線交換局域網系統技術特點 第一代無線局域網技術采用單純的 AP 實現無線接入，基本上沒有其它功能。 第二代無線局域網技術（以正誠、昂科、 Bluesocket 等為代表），采用 AC智能 AP構架， AC 兩者實質均為二層設備， AP 實現接入、 AC 實現匯聚和認證功能，有的廠商的AC 實現了二層網絡交換，具有基本的網絡的控制和用戶的管理，如： WEB 認證、流量的控制、訪問的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理 ，它們無法實現對無線電磁波層面的調控和優化。 由于這一代技術的 AP 儲存了大量的網絡和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個位置，一旦 AP 的配置被盜取讀出并修改，其無線網絡系統就失去了安全性。另外由于 AC 或無線網關的硬件多數是基于 Pentium 架構的，所以當用戶接入數量 (IP sessions)增多時，無線網的性能會急劇下降，時常會發生掉線或死機情況。 第三代無線局域網技術采用無線交換網絡架構（以 Aruba 和 Cisco 為代表） ，實現了基于無線網絡交換機，以 AP 為單元交換的無線網絡系統， Aruba 是采用獨立的無線網絡交換機實現的。 作為第三代的 Aruba 無線系統采用了 Wireless Switch AP 構架，將密集型的無線網絡和安全處理功能轉移到集中的 WLAN 交換機中實現，同時加入了許多重要新功能，諸如無線網管、 AP 間自適應、無線安管、 RF 監測、無縫漫游以及 Qos 保證。 Aruba 無線系統不但具有一、二代無線產品所有的功能，并且在無線網的規劃、管理、安全和對音視頻業務的支持方面都有著與一代和二代產品不可比擬的優勢。 在無線網融 合到有線網絡方面， Aruba 無線系統所獨有的三層路由穿透技術可以不更改原有線網的路由設定，使得無線網絡的規劃和實施非常方便。 在無線網絡管理方面， Aruba 無線系統實現真正的集中控管，包括獨有的 RF 智能調控，自動恢復、負載均衡功能，使無線網可以適應無線環境中的電磁波變化，動態自動調節到最佳應用效果；還可以實現遠端 AP 狀態監測，方便實現對 AP 的管理；具有多 SSID 支持，實現了對無線數據、語音和視頻的應用帶寬管理。 在無線安全性方面， Aruba 無線系統具備多種用戶認證、基于用戶的狀態防火墻、 VPN加密機制、無 線入侵偵測、無線接入病毒防護功能以及集中的安全管理。 在無線音視頻應用方面， Aruba 獨有的基于每個用戶的帶寬控制和 QOS 保證，可以確保語音和視頻業務的實時性，先進的無縫三層移動漫游，使得 VoIP 以及 Wi-fi 手機可以自由的在任意 AP 間切換，具有目前業界最低的時延。 3 1 Aruba 無線局域網系統架構 3 1 1 先進的無線局域交換機 領導第三代的無線網絡技術的 Aruba 公司無線系統采用了 Wireless Switch thin AP 構架，將第二代分散在 AP+AC 上的網絡管理和安全管理功能轉移到集中的 WLAN 交換機中實現，同時增加了許多無線局域網全新的功能。 諸如：無線安全性、 AP 管理控制、 RF 站址監測、無縫移動漫游，特別是對語音、視頻業務的支持有專門的 Qos 保證，使得 VoWlan 應用的 Wi-Fi 技術應用飛速發展。 3 1 2 靈活的組網方式 第三代的 Aruba 產品可以根據從小型的無線網規模（幾十個 AP），到大型無線網規模（幾百個 AP，甚至上千個 AP），都可以采用集中或者分布式的組網方式進行靈活的組網。并可以提供冗余熱備份機制，保證系統的高可用性。 3 1 3 優秀的擴展性 無線網絡具有非常方便擴展的特 性。在組建無線網時必須要考慮系統的擴展性。在網絡系統擴展性方面， Aruba 的一臺 6000 型交換機可靈活地對從 48 個 AP 到 128 個 AP 擴充到支持 512 個 AP，因此擴展 AP 非常容易；從網絡管理擴展性方面 , Aruba 的 Master/Local 方式， Master Aruba 交換機可以同時控制管理 28 臺的 Local Aruba 交換機，因此增加交換機也非常容易管理。 除了 AP 數量之外，怎樣控管大量的 AP 和部署也是擴展性的重要考慮因素。要妥善處理數目眾多的 AP 在園區網內正常遠作，包括無線電波協調、無線用戶的帶寬和 安全訪問控管以及其它各種各樣的無線增值服務都可以通過 Aruba 系統的網管系統實現。 3 1 4 無需更改有線網結構 XXXX 大學實現無線局域網接入，需要在現有的局域網上做很多路由的修改，這當然是網管人員不愿意做的事情，采用 Aruba 系統無需更改現有的有線網結構。 由于無線用戶的傳輸是通過 Aruba AP 內已建立的 GRE 隧道和 Aruba 交換機互連的，所以實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。無線用戶的 VLAN 是可透過Aruba 交換機和骨干交換機互連互通。這樣非常方便在園區里實施無線局域網，同時 也非常方便進行擴展。 ARUBA 的無線交換機可以安裝在學校的中心機房，而 AP 則可以放置于園區的任何地方，無需用二層設備連到無線交換機，或者劃分 VLAN；其他廠家則需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。不用劃分 VLAN，對于無線網絡的管理帶來極大的便利性。 對原有的有線網路由器不需要改變路由結構，減輕了由于無線網的建設而對原有網絡的結構改變的工作量。 3 1 5 方便地無線網規劃設計 在規劃一個無線局域網絡時，規劃設計者一項重要的工作是要考慮安裝多 少 AP 可以滿足覆蓋？應在哪些位置安裝 AP，安裝后電波的覆蓋范圍，信號在不同位置的強弱等，要完成此項工作，通常做法是規劃設計者要在現場做大量的測試工作，通過經驗去估算位置和數量，其工作量非常之大，無法預先規劃每個 AP 的電磁波和功率參數以及 AP 之間的覆蓋相交范圍。 Aruba 首創開發了 RF Planning 工具，讓規劃設計者在無線局域網組網之初采用 RF Planning 在計算機上做規劃設計，估算在要求的覆蓋面積上 AP 應安裝的物理位置所在。使用這套工具時，在數字化的園區建筑圖紙上設定無線所覆蓋范圍如那幾個樓層和面 積大小，輸入有關無線覆蓋和傳輸模型的相關參數，如無線終端的平均帶寬， AP 和 AP 之間覆蓋面等。 RF Planning 自動計算，然后顯示出 AP 在圖上的安裝坐標位置和無線電波的覆蓋范圍。安裝人員就可以根據圖紙上所顯示的位置安裝 AP，在無線網安裝完成后，網管人員通過 RF 規劃自動校準功能， Aruba 交換機可以自動調節無線網上所有 Aruba AP 的頻道與功率參數以達到一個最優性能的運行狀態。 在無線局域網系統投入運行后，網管人員可通過 RF Planning 隨時監測網內的每個 AP的無線電波實際的運行狀態，及時掌握每個 AP 的工作狀態和故障診斷，及時做出調整策略。Aruba RF Planning 為無線網的規劃設計、調試以及維護提供科學化和規范化的管理。 3 2 Aruba 無線局域網的網絡管理 3 2 1 集中式管理 網絡數據中心管理一個具有規模的無線局域網（通常在幾十個 AP 以上）是一件非常頭痛的事情。從 RF 覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統的無線局域網是單純基于 AP，因此對于無線網絡的管理，其大量工作是要在每個 AP 上進行設置和更改。其工作量在有一定數量 AP 的無線網里是非常大和煩瑣的，而且無線局域 網是一個整體系統， AP 之間必須互協調工作，單獨改變一個 AP 參數和配置會引起 AP 之間的無線電波干擾，用戶漫游重認證和授權也可能會產生問題。 Aruba 系統具有非常強的無線局域網集中管理功能， 通過無線交換機 Master Switch 和Local Switch 管理模式管理整個網絡，網管人員 只需在無線交換機就可開通、管理、維護所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 3 2 2 無需安裝客戶端軟件 Aruba 系統無需為每一個移動用戶終端安裝無線接入軟件， Aruba 的認 證可以基于WEB 頁面認證，認證只需用戶打開瀏覽器就可以登陸。 ARUBA 采用 GRE 隧道技術，可以透明地穿透在無線交換機和 AP 之間的任何三層網絡交換設備實現 WEB 認證，而其他的廠家在這種網絡環境下，必須要為客戶端裝上基于標準的 L2TP 或 IPSEC 或 802.1 客戶端軟件才能實現 WEB 頁面認證。 3 2 3 RF 智能控管 Aruba 系統的 RF 智能控管可以自動調節網上所有 Aruba AP 的電波特性。 初次安裝無線局域網時，用戶可通過 RF Planning 的 Auto Calibration 功能來自動調節整個 無線網上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration 以后 AP 和 AP 之間會自動互傳有關無線電波的信息和調整電波的參數，直到 AP 之間達到了一個最優化的無線電波運行環境。 Aruba 系統的 RF 智能控管可以自動對網上所有 Aruba AP 的無線電波管理。 當無線局域網經過自動校準的調整后而正式投入網絡運作時，網絡管理員可在 Aruba 交換機內啟動 ARM 這功能，無線網上所有的 Aruba AP 都會在設定的時間內自行掃描其它的無線頻道。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時， 如 Ch 1 到 Ch 2 到 Ch 3.，由于掃描的速度非常快，所以對于在線的無線用戶（指連接到 AP 上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當 AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉送回 Aruba 無線交換機。 Aruba 無線交換機可以對整個無線網上的電波情況偵測和記錄。當某一覆蓋范圍內的無線電波改變，如出現干擾 AP 所發出的電波或其它應用所發出的電波等， Aruba 無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調整這范圍內 AP 的無線電波。 3 2 4 多個 SSID 結構 Aruba 系統的多 SSID 結構和和實現技術使得在 Aruba 無線局域網系統的各種多媒體應用服務（數據、語音和視頻）在 Qos 上表現非常出色。在一個無線局域網內可以設置多個SSID，例如一個 SSID 可給學校內部教師、工作人員以及學生所用，而另一個可給外來的訪問客戶專用。所以當無線終端在這個 AP 覆蓋范圍內啟動時，它就能同時看到多個 SSID。SSID 的另一用途是可讓無線終端以不同的安全認證和加密方式入網。 在一個語音 SSID 內可把 SIP 和 H.323 等無線語音數據以優先級隊列處理。在一個視頻SSID 內可把視 頻數據流傳輸以優先級隊列處理。同時在一個預設定的視頻 SSID 內只允許網絡管理設定視頻數據流傳輸協議通過，以確保其它數據不能進入這 SSID。在一個預設定語音 SSID 內只允許網絡管理設定語音傳輸協議通過，以確保其它數據不能進入這 SSID。 可在多 SSID 的情況下確保語音和視頻的 Qos 支持。 3 2 5 故障自動恢復 傳統的無線網在有 AP 損壞或失效時，這個 AP 的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現場失效的 AP 換掉。但由于大多數的 AP 都是設置在外面 (不是在機房 )，所以不一定能馬上作更換，現場的環 境也有局限性，不一定很容易維護人員即時做出更換 (很多的 AP 都是安裝在天花板上 )。 Aruba 系統具有自動恢復的功能，實時偵測出網上 AP 是否有失效，當發覺有 AP 出現故障時， Aruba 交換機能會自動調節鄰近的 AP 的功率（覆蓋范圍）來接替失效 AP 的工作。 3 2 6 網絡負載均衡 Aruba 系統可在一個 AP 的覆蓋范圍內把無線用戶或終端分散連接到附近的 AP 上。在一個 AP 的覆蓋范圍內，無線連接的帶寬是共享，即無線終端數目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須能限制一個 AP 上無線終端的數量或 AP帶寬傳輸總和或和每個無線終端帶寬上限。 Aruba 無線系統可應用層面通過 4 7 層交換模塊可以實現服務器的負載均衡， VPN 設備，防火墻設備等等一系列基于 TCP/IP 協議設備的負載均衡來保證整體網絡的可靠性。 在視頻應用中，負載均衡功能可以有效的緩解單個 AP 的負擔，有效的利用臨近的 AP做接入，從而確保視頻應用的質量得到保證。 3 2 7 無線終端定位 Aruba 網管系統可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、 PDA 和 Wi-Fi手機等。 Aruba 采用的無線定位模式稱為三角定位，無線定位的準確性可達到 2.5 米以內，無線定位的條件是所尋找的無線終端附近須有最少三個 Aruba 的 AP 在范圍內。這是傳統無線局域網所不能做的，有些單位如醫院就是采用了無線定位技術來取代傳呼機在醫院內尋找醫生、病人等。大學對非法 AP 的定位，可以成為學校網絡中心的管理人員提供清楚非法AP 有效手段，可以方便快捷的清除非法 AP 的網絡接入。可以保證園區網絡接入的安全可靠性。 3 3 Aruba 無線局域網系統的安全管理 3 3 1 集中的安全管理 Aruba 無線系統的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入侵監測以及RF 電磁波 管理等多項安全功能匯聚到 Aruba 無線交換機上來完成的，解決了傳統的無線網對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網安全的依賴性。 3 3 2 多種用戶認證方式 在 Aruba 無線系統中，一個無線用戶進入無線網以后，會拿到一個最基本的入網權限，這個權限不容許用戶訪問任何網段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協議數據包，通過認證以后才可以接入無線網。 Aruba 無線系統支持目前各種用戶認證的方式（ 802.1、 WEB 認證、 MAC、 SSID、 VPN等），園區網內的用戶可以根 據需要方便選擇。 3 3 3 獨特的無線訪問控制 用戶狀態防火墻是 Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。傳統的網絡防火墻是沒有用戶這概念，它的保護只是基于 IP 地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 Aruba 無線系統的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員可以使用更多的服務，而學生只可以瀏覽網頁、收發 Email 等，這樣可 以極大方便園區網用戶的安全管理。 3 3 4 安全的 AP 技術 Aruba 無線系統和其它廠家在無線接入的認證和加密上最大的區別是前者不是通過AP，而是在 Aruba 無線交換機上實現。由于 Aruba 的 AP 是不儲存任何網絡配置（ IP 地址除外）和安全設置，因此 Aruba 管理的 AP 是不能單獨工作的，因此獲得和接入進 Aruba AP，黑客也不會拿到無線網的網絡和安全配置參數。 3 3 5 無線接入點安全偵測和保護 采用 Aruba 無線系統的 RF 偵測功能和保護機制可以實時監測園區無線網覆蓋區域內的所有 AP 接入情況 ,如相鄰房 間的 AP、設置錯誤的 AP 以及未經認可而連接到網絡中的 AP。通過 Aruba 的網絡安全管理系統，網絡安全管理人員可以及時發現是否有非法的 AP 接入，發現后可以開啟自動保護機制，阻止無線終端通過非法 AP 聯接到無線網中。 3 3 6 無線網絡入侵偵測 今天已經有很多的無線入侵和攻擊的工具可從網站下載，這些工具的普及對學校、和運營商的無線網的安全構成很大的威脅。今天絕大部分的無線局域網都沒有偵測無線入侵的功能，所以當受到像無線 DOS 攻擊時，就會誤以為是無線電波的信號受干擾或 AP 出現不穩定情況。這些攻擊在 HotSpot 會 導致用戶的無線連接斷線，但網管中心仍然不知，用戶則誤以為是網絡問題，間接影響無線網系統的品質。 Aruba 無線系統的特點是交換機由專有的網絡處理器和加密處理器組成，且內置一個無線入侵模式庫，實時檢測異常的無線數據包，當 Aruba 無線系統偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。 3 3 7 無線接入的病毒防護 Aruba 無線系統針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發出 數據進行有效的檢查和監控。 無線終端病毒防護的第一步是準入檢查，當無線 終端連 接到 Aruba 無線系統中，當試圖訪問網絡，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設定策略禁止其訪問網絡，也可設置成將無線用戶重定向到一臺升級服務器，打系統補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統制定的安全策略以后，該無線終端才可以進入認證環節進行用戶的認證 。 當無線終端通過了準入檢查，但是如何對無線 終端發出 數據進行有效的檢查和監控是更加進一步的病毒防護手段。 Aruba 公司 和第三方的防病毒墻廠家合作，在 Aruba 無線交換機上可以設定策略，某些用戶，以及某些可能沾染病毒的數據， Aruba 交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數據丟棄。 基于上述兩個層面， Aruba 無線局域網系統對無線終端進行有效和方便的病毒防護。 3 4 無線移動音視頻應用 3 4 1 帶寬控制與服務質量保證 QOS Aruba 無線系統的帶寬管理能力使得在移動音視頻應用方面表現出很強的優勢。 Aruba無線系統可在每個用戶的權限限制內用戶無線連接的最高帶寬。對于不同的 IP 服務， Aruba系統亦可透過 Aruba 無線交換機設置定義不同的 QoS 隊列。例如無線語音的應用， SIP 和RTP 協議可設定在高的隊列，而一般應用如 http、 ftp 則可設定在低的隊列。例如語音視頻這樣對于時延敏感的業務，目前，經過中國網通、賽爾公司對幾家 WLAN 設備廠商的設備測試結果表明， Aruba 的無線網系統以其完善 QoS 特性在測試中表現最佳。 提供語音服務，將極大以高無線網絡的實際運營效果，為廣大在校師生提供無線網絡服務，隨著無線語音技術的發展，無線語音無線數據服務將極大方便用戶的園區生活。 3 4 2 VoIP 與 WI-FI 手機 隨著 VoIP 的越來越普及 (如 Skype, 等 )，基于 SIP 的 Wi-Fi 電話將迅速變為園區內用戶之間話音聯絡的主流。 Wi-Fi 電話除了可在園區、辦公樓以及住宅樓之間等不同 AP 之間漫游外，用戶亦可在其它有 Internet 連接的地方如酒店，住宅等使用，這是一般辦公室無線電話 (傳統的電話交換機 )不能做到的。簡單地說，用戶可在有寬帶接入的地方繼續使用辦公室的電話號碼，不管是國內或國外。對于一些經常出差的用戶 VoWiFi 會帶來極大的方便，亦可節省長途電話費。很多手機廠家已開始推出雙模制式的手機 (GSM/CDMA + Wi-Fi)，用戶很快就可以漫游于手機移動網和無線局域網之間。 Aruba 無線交換技術已經證明支持業界 VoIP 系統在 Aruba 系統上成功的運行，且在最近的 Network World VoWLAN 測試結果被評選為市場上最卓越的產品。在具體實現 Wi-Fi語音時要注意考慮語音的時延， AP 呼叫的容量和漫游切換時間。 尤其無線語音的漫游 ,它會比一般的數據移動傳輸更普及，但相對的要求也較嚴緊，所以要在無線局域網實現語音和數據融合，就不能隨意的安裝一些 AP，而必須是有規范的組建無線局域網。 Aruba 無 線系統可容許用戶設置專有的語音 SSID，把單純是數據傳輸的用戶和 Wi-Fi手機用戶分開，但也可以在單一 SSID 內同時傳送數據和話音，關鍵的重點就是怎樣保證語音傳輸的質量。 Aruba 無線交換機內的用戶防火墻可把 SIP/RTP 等 VoIP 協議數據包放在較高的優先隊列，所以就可確保在數據和語音同時傳送時，語音的質量不受影響。 另在無線語音安全接入方面， Aruba 可防止沒有無線語音權限的用戶使用無線語音，以確保無線網絡資源能有效運用。 3 4 3 無縫的三層漫游 Aruba 無線可以支持無線接入用戶在 AP、 WLAN 交換機、多子網以及多 VLAN 之間無縫地漫游，而且不會丟失連接，也不需要重啟 DHCP。無線網絡不需要對現有網絡進行任何改變就可以實現這一切。 其他廠家一般只能實現二層漫游。跨網段時需要二次認證，導致丟包或者很大延遲。而 Aruba 的 handoff 性能極佳，保證了語音的流暢。這種技術可以確保無線語音業務可以無縫的在 AP 間漫游，而不會發生掉線，是語音業務的質量保證。 四、 XXXX 無線局域網方案建議 根據無線網絡需求和無線網絡設計原則，結合 Aruba 無線系統技術及產品的特點，方案的設計分為：無線組網方式設計、 多業務區分設計、網絡及用戶管理、網絡安全防護設計、移動漫游、兼容性和計費設計七個部分。 4.1 無線組網方式設計 Aruba 無線系統的組網方式有兩種，集中式組網和分布式組網。可以根據不同的網絡規模和管理方式，考慮選用以下不同檔次的無線交換機進行組網 。 4 1 1 中型無線局域網 (100 到 250 個 AP)集中式組網 根據園區網絡結構和需求，用戶可選擇單臺 Aruba6000 交換機來組網。 Aruba6000 設置在數據中心集中控管全無線網絡的 Aruba AP。如下圖所示： P a g e 7中型無線局域網交換拓撲圖 ( 集中式 )中型無線局域網交換拓撲圖 ( 集中式 )大樓大樓V RRPMa s t