第一章：項目概 、項目介 、前期測試報 、項目設計原 第二章：無線網絡規劃設 、無線部署需求說 、無線接入設 、細粒度的無線安全設 、用戶認證和帶寬管 第三章：無線網絡穩定性設 、無線控制器冗余設 、無線接入點冗余設 終端接入設 、無縫漫游切換設 、負載均衡設 、功 第四章：無線設 、合法用戶保護機 、無線用戶接入認證方 、于現有系統用戶系統的整 、訪客流量與內網的、AP檢 、檢 第五章：校園認證系統部 、認證以及接入控制設 、Aruba無線狀態、ClearPass終端策略管理服務 、校內用戶無感知認證實 第六章：外來訪客的接入和管 、訪客帳號的管 、自助帳號的途 、智能的聯系人確認機 第七章：無線網絡可管理設 簡便的配置向導功 、無線系統的功 、無線網絡智能管理軟 、Airwave管 第八章：網絡性能優化設 統一集中化管 網絡性能優化設 第九章：ARUBA 附件一測試報 蘇州市職業大學(SuzhouVocationalUniversity)，簡稱蘇職大，能以保證各種應用的正常運行系統具備故障恢復能力，人員的侵入和不可預測的發生。LAN網絡系統無縫地集成。 AP無線信道、無線等等。 滿足中密度終端的高性能Wi-Fi接入全面啟用的802.11ac千兆 無線網絡系統應當具有多層次的無線功能，能夠提供基于用戶的無線狀態等一系列安全特性； AP時能實現無縫漫游；多層次無線體可以根據需要，如用戶的種類、應用的種類，在ARUBA無線系 不廣播，用戶無法看到，防止用戶的連接企圖。 可以選擇在某些AP上出現，某些AP上不出現，限制 圍也是實現安全性的一種。 WEB現在認證主要分為802.1X認證和WEB認證分WEP， X認證：2層認證方式，安全性高，但需要對終端進行配置，一次配置之后無需再使用用戶名和登陸。MAC認證：2MAC地址進行驗證，MACWEB頁面進行認證，獲取相應權限，客802.1x來說比較繁瑣。，，色來獲得不同的網絡權限。訪客進入學校之后需要找相關人員獲取用戶名和才能接入網絡防止有心人進入內部網絡竊取信息。ARUBA的策略執行是通過ICSA認證的狀態根據用戶識別、設備類型、位置和時間給用戶分類，并為不同類型的用戶提供了不同的接入，是以用戶，而不僅僅是IP地址為驗證方可根據企業的要求，基于IP地址可以對諸如類進行有效地限制，基于端口對一些應用程序如QQ、MSN、的流量進行。QOS,不同的用戶或者用戶組可實施不同的接入上、下行帶ARUBAMaster-Local架構的無線控制器集群工作模AP的配置和安全參數進行管理；Local控制器則位于用戶網絡的不同Master控制器的策略執行點，用于終結和轉發各區域內無線用戶的業務數據并通過內置的用戶對其實施在瘦AP+AP故障倒換機制存在的不足是，APAPAP（AP可能需要清除配置——踢出已關聯終端——連接至備份控制器并配置，所以ARUBAAPFastFailover?（AP快速故障倒換）技術，AP切換時間，以幫助客戶有效ARUBA無線控制器可以基于AP組設置主用控制器或備份控制StandbyActiveAP啟動后，將首先連接主用的無線控制器，與此同AP與備份無線控制器會建立起備用隧道，為故障的快速切換做好準備。AP和主要及備用控制器之間通過心跳報文檢測無線控制器的健康狀態，一旦檢測到主用控制器不可達或者無法工作，AP將自動ARUBAARM（自適應射頻管理）功能，可以在某個無線接入點故障后，通過自動增加附近無線接入點的，ARM中“Modeaware“的功能幫助用戶實現良好的信號分布，Aruba無線系統會自動將高密度覆蓋區域中的某顆無只有在這個區域中另外的無線接入點出現故障后，原先“AirAruba如果使用外部認證服務器，ArubaAC會將用戶認證信息透傳給外部認證ArubaACARUBA在傳統的無線局域網內，無線終端要不同AP之間漫游是有同一個VLAN內。所以當無線終端從一個AP漫游到另一AP時，由于它們之間的缺省IP子網不同無線終端會重新發出DHCP請求這樣的話終端的IP地址就會更新所有在原先AP建立的連接都會被切斷。過去為了解決三層的漫游，有些用戶采用了 IP的技術， IP的缺點是它必須在無線終端安裝軟件。這是一般網絡管理人員不愿意做的事情因為它們就必須支持和用戶的無線接入端，通過ARUBA無線系統的DHCP 功能，就可解決了不同三層IP子網的無線漫游問題。負載均衡是充分發揮整體網絡性能的重要尤其對于無線網AP130MbpsAP同時利用時，帶寬就會成倍增加。Aruba無線網絡系統有著很強大的決方案可以做到基于頻道的負載均和基于信道AP的覆蓋范圍內，無線連接的帶寬是共享，即無線終端數目越多，每個APAP帶寬傳輸總和或和每個無線終端會在用戶關聯無線網絡的時候去判斷無線客戶端是否支持無線局域網是一個整體系統，AP之間必須相互協調工作，單獨APAP之間的無線電波干擾，用戶漫游重認證和也可能會產生問題。Aruba系統具有非常強的無線局域網集中射頻管理功能，通過無MasterSwitchLocalSwitch管理模式管理整個網絡，人員只需在無線控制器就可開通、管理、所有AP設備以及移動Aruba系統的智能射頻管理可以自動調節網上所有ArubaAP的電ArubaARM這功能，無線網上所ArubaAP都會在設定的時間內自行掃描其它的無線頻道。無線ArubaAPCh1到Ch2到Ch3....，由于掃描的速度非常快，所以對于的無線用（AP上在同一頻率上的無線終端）的傳輸過程是不受到影AP停留在一個頻道時，它會把在這頻道上收到的無線電波Aruba無線控制器。啟動了自動射頻管理（ARM）功能以后APAP之間會自動互傳有關無線電波的信息和調整電波的參數，直到AP之間達到了一個最優化的無線電波運行環境。Aruba無線控制器可以對整個無線網上的電波情況偵測和記錄。AP所發出的電波或AP的無線電波。借助于智能射頻管理功能，ArubaAP的發AP工作信道的優化則有第四章：無線設。，通過ArubaAC的WEB界面或中心化界面，中心便可實時查看到是否有AP在網內，或是企業無線網絡覆蓋范圍內是否有其它AP仿冒企業AP人員亦可開啟自動保護機制合法無線終端通過AP連接到網內或者被誘騙到AP上。這些非ArubaAP802.11De-Auth包所切斷。802.11De-Auth包會不停地發出直到的無線終端的無。，范圍內檢測出來的AP。如果把隔壁企業所安裝和使用的AP視為AP的話，很容易就會把它們正常的無線連接打斷，間接變成對其它企業無線網絡的DOSAruba的自動保護系統是市場上最卓越和最全面的無線線端口和無線信道兩方面的數據信息，Aruba無線保護系統能夠準確地區分出連接到企業內網的AP和位于圍墻外面的干擾AP之間的差異，從而可以避免對AP的錯判和漏判。ArubaACMACAC發現合法終端在關聯AP，那么Aruba無線系統可以將合法用戶從AP上中斷。Aruba無線交換系統提供業界獨有的多層次的無線安全來保護的分類引擎讓管理員可以通過自動檢測非用戶、抑制AP和保證用戶不會連接到AP等方法來保護無線資源。鏈路層的安全WEPWEP、TKIP（1.0）AES協議以保護用戶數據安全。基于WEB認證與標準的認證機制如RADIUS、LDAP和ActiveDirectory一起，并結合鏈路層的加密來保護用戶的隱私。并可WEB加密認證的同時，對用戶終端設備首先進行認證，這樣設IPSEC,PPTP,L2TP等多種隧道。集成的讓管理員可以創建并執行跟隨用戶的狀態802.11IDS功能，以抵御已知的無線自動AP檢測和APL2安全：支持WEB\\AES\TK動態L3安全：支持IPSec、基于的狀態能夠實現基于用戶的安全和控基于用戶角色的Vlan和基于用戶的策略控制能夠實現用戶和數集成的Web在Aruba無線網絡系統中，由于采用了集中化的用戶認證、加密和控制器機制所有的用戶認證都將通過Aruba無線控制器IP地址為驗證方法的，從而可以基于每個無線網絡用戶的角色QoSAruba無線控制器也可以隨著無線用戶認證的進程，不斷更新用戶角色，并通過角色的變化賦予用戶不同的策略。關于訪客流量與內網的，我們可以通過在Aruba無線控制role（role以基于用戶狀態和限制的設定等規則用戶狀態訪是Aruba設計。傳統的網絡是沒有基于用戶的，它的保護只是基于IP地址或物理端口來制定策略所以對于沒有固定接入點的無線終端，這種的功效很小。Aruba的基于用戶狀態的則是role，Aruba絡中只能數據，而內網的數據他是沒有權限的。除上述實現方式之外，Aruba無線系統還擁有另一種更安全的想是將無線的訪客流量重定向到DMZ樣的關聯到Aruba無線系統中的，所以訪客的數據不會和內網數據有接觸。、AP檢企業人員所的主要風險之一就是用戶私設自駕授（rogue取適當的防護，的設備也可能干擾現有網絡的運Aruba無線網絡系統具備兩種對AP抑制的功能。第一種ArubaBeaconProbe幀，通過和仿冒的去實現抑制AP的功能第二種，Aruba無線系統會向無線接入點和無線終端發送假一個用戶失去關聯無線接入點的能力通過Aruba的管理系統，管理人員可以及時發現端通過AP聯接到無線網中。、檢今天已經有很多的無線和的工具可從這些工大部分的無線局域網都沒有偵測無線的功能所以當受到像無線情況。這些在HotSpot會導致用戶的無線連接斷線，但中心Aruba無線系統的特點是交換機由專有的網絡處理器和加理器組成，且內置一個無線模式庫，實時檢測異常的無線數據包，當Aruba無線系統偵測出有時，它會記錄和顯示的格式，并對Aruba的無線防護系統提供了偵測和防護兩種功能可以保護網絡的移動邊緣免受有害的無線。將無線防護集成到移動邊緣基礎結構中就不再需要RF端子和的獨立WIPAruba清楚地觀察網絡，阻擋無線、偽冒和未認證的ArubaAP定期掃描RF頻譜的所有信道，捕獲所有的802.11通信，并在本地檢查所有捕獲的數據。只發送策略的數據到移動控制器，這樣可以保證將其對無線網絡性能的影響降到最小。當掃描環境時，Aruba系統了解所有AP和站點的信息并根據和在空氣中發現的通信流為這些設備分類。這些通信是在移動控制器上接入用戶進行驗證以識別其然后再根據其對用無線校園網可以WebPortal方式對無線用戶進行驗證利用ClearPassManager系統為用戶/終端提供接入策略的靈活定制，AC實現策略控制。、Aruba無線狀態ARUBA無線網絡系統中，由于采用了集中化的用戶認證、加密和控制器機制，所有的用戶認證都將通過ARUBA無線控ARUBA在無線控制器上集成了經過ICSA（國際計算機安全）認證的用戶狀態，這個用戶狀態是以用戶，而不僅僅是IP地址為驗證方法的，從而可以基于每個無線網絡用戶的角色QoS全以用戶為中心的、不依賴于網絡參數（如VLAN、IP地址等）的用過角色的變化賦予用戶不同的策略。ARUBA無線控制器中的角色分配和更新可以通過以用戶角色依據終端特性（如終端類型、MAC地址、、連接的E等）來分配，這種方式需要在控制器內部預先定義特定終端用戶角色依據Radius或LDAP認證過程中從認證服務器獲得的用戶相關屬性來分配，這種方式是目前應用最為廣泛的認證和方式。，（ESI，器或者防系統主動添加和修改。在這種模式下，ARUBA無線控制器提供一個開放的XML-API接口的外部系統可以通過標準，提供專業的防此外ARUBA無線控制器內置的用戶狀態還能夠在第一時間檢RSTRelay、ARPSpoofing等多種基于TCP/IP層面的網絡，并能夠自動將網絡列入系統安全日志，同時通過syslog或者snmptrapClearPassManager將網絡、設備和應用程序策略管理集成到了一個軟件平臺中。ClearPass使得信息中心部門可以從一個面板序以及批準用戶等所有任務。通過統一的策略，ClearPass能夠在一個集中位置定義控制，在什么時候從什么位置哪些內容，以及如何跨有線、無線和在的校園網中，信息中心部門無法接受單獨配置每個網絡、ClearPass消除了這些信息孤網絡控制針對有線、Wi-Fi和接入網絡。在ClearPass中，學校可以針對任意廠商網絡和連接類型，定義所有類型的策略，包括教職工、學生和訪客策略。使用RADIUS，ClearPass策略在用戶連接時按需下載，不論是通過WLAN、有線網絡、還是分支機構網絡連接，ClearPass為2臺；與此同時對于學生或教師則無此限制。與此類似，策略可以限制只能通過宿舍區的Wi-Fi互聯網，并且時Aruba采用了面向筆記本電腦和臺式機的OnGuardNAC，以及面向智能和平板電腦的MDM，支持第NAC和MDM實現了自動化設備接入和管理ClearPass通過強制每臺新設備完成自行配置向導來實現自動接入提示用戶設備憑據以ClearPass使得學校可以實施由這些強制的廣泛設備策略。例如，IT部門可以定義一組安全策略，在提供對網絡的權限之有防軟件以及設備是否為設備。ClearPassManager使得管理員可以定義一系列的應用程中，則需要使用。ArubaCleraPass策略服務器，作為用戶認證系統，一方面可以與ClearPassClearPass綁定后的用戶無感知認證（Portal認證。如上圖所示用戶的接入控制可以分成終端與無感知認證兩Portal認證可以的終端數量）對終端進行帳號綁定。在用戶終端第一次連接網絡的過程中，ClearPass策略服務器可以ClearPass策略服務器聯動根據終端MAC地址、綁定的帳號和終端類型等多重因素對終端進行認證無線用戶不需要輸入任何帳號具有無感知特性。對于這部分用戶，如果提供了便捷的上網服務，又不進行認證，則會導致審計信息的缺失因此有必要提升外來訪客的接入訪客本人的對應，又滿足了審計的需要。利用ClearPassGuest軟件模塊提供訪客管理功能。ClearPassGuest用戶管理系統是一套基于集中式管理架構的用戶和終基礎設施平臺上輕松實現對各類外來訪客進行認證和接入策略ClearPassGuest提供基于角色的管理員權限控制功能，將創建訪客帳號等任務給大型會議服務人員，允許他們通過基于Web的訪客自助和自助服ClearPassGuest也提供友好的用戶自助和自助服務頁面，對于外來訪客用戶他們可以通過在自助和自助服務頁面填寫個人信息以及可定制的問卷來獲得臨時性的訪客帳號，ClearPassGuest可以將訪客帳號和通過息、電子郵件、打印一是通過管理員（如各學院的前臺接待人員）根據訪客的要求開設，然后打印出來給訪客；方式二是基于方式一的延伸，通過外另外式是通過ClearPass訪客頁面由訪客通過預定義流程自助賬號。。采用管理員開設上網帳號的方式時，在ClearPass終端認證系統上可以對管理員開設的帳號權限、有效時間進行設置管理員通過ClearPass終端認證系統的管理頁面，輸入管理。成的自動登錄。此過程利用了ClearPass終端認證系統的開放接*注：本方式需由APP供應商按Aruba提供的格式編寫相關XML采用訪客自助方式時，在ClearPass終端認證系統提供的Internet上網登錄頁面上提供訪客自助頁面的，訪客通過訪、自助帳號的途ClearPass顯示或的途徑：訪客有效填寫完表單之后，在同一個Web頁面中顯示“回執表單格式如下圖所示：diabled號途徑同樣適用于此聯系人確認機制。訪客有效填寫完表單之后，ClearPass系統通過系統預設的電子郵箱，自動發送一條回執給訪客收件地址為訪客在登記時填寫的個人。說明：由于訪客必須通過郵件程序，如：Outlook、FoxMail相應的郵件服務才能收到回執所以在無線控制器上對于未用戶開放相應的策略，以確保自訪客能夠正常收取電子郵件。途徑4：通過SMS發訪客有效填寫完表單之后，ClearPass系統可通過系統填寫的號碼、，如果采用發送的方式，需要學校提供基于HTTP接口的網關，ClearPass終端認證系統采用URL格式將用戶號碼以及需要發送給用戶的短消息內容（包括上網帳號以及使用時限等）作為參數發送給網關網關收到消息后將內容通過短消息發送到用戶的上。、，ClearPass終端認證系統與網關之間的HTTP接口配置如下圖所，ClearPass系統將預留的號碼、自助的上網帳號以URL參數的形式發送給網關網關根據號碼選擇相應的電信運營商的Modem發送上網帳號給上網用戶。，在訪客自助時，可以在ClearPass訪客系統中開啟聯系確認機制以實現某種安全和管理目的訪客的申請只有在被其提名的了整個流程中相對重要的一個因素對于聯系人的真實性和有效ClearPassldap_lookup方式對聯系人的有效性AD服務器現有的賬戶屬性，自定義設置需要校驗的內容如：、郵箱、等等，這里以聯系人的為例：通過自動訪客在自助頁面上填寫的聯系人，AD服務器中進行查詢，ClearPass訪客系統可以確認訪客帳AD服務器中查詢到相應的則該條自助請求才被視為有效請求，ClearPass訪客系統通過郵件發送請求到聯系人的郵箱并要求聯系人進行確認，在聯系確認之后執行賬號開通和。如上圖所示，如果訪客填寫的通過LDAP預驗證，等待聯系人；如果訪客填寫的不能通過LDAP預驗證，則ClearPass訪客系統返回錯誤提示信息，要求訪客輸入正確的Aruba無線控制器配有簡單便捷的配置向導功能，它可以一步步引導用戶完成Aruba無線系統的簡單配置這能特別適合剛接觸ArubaIT人員的場所使用。離他很遠的現場去解決問題。Aruba無線系統里具有的功能，Aruba無線接入點可以實現抓包的功能，同時Aruba 無線系統同時支持Ethereal/Airopeek兩大抓包軟件，使用Aruba功能之后網絡定的PC，并使用抓包軟件進行分析，可以達到實時無線網絡狀況的目的，并能有效的降低成本。由于現有許多用戶已經安裝許多第無線AP（如Cisco的瘦AP中就會出現幾種不同類型的AP。管理將變成一個很重要的問題，ARUBA正是從用戶角度出發，提出了新的綜合的概念，來統一平臺可管理現有的絕大多數無線局域網廠家的設備（AP和胖AP，MESH,WIMAXWLAN網絡中，通SSHSNMP和HTTPSAirwaveARUBA的產品外，還支持下列無線局域網廠家設備：您的公司最關鍵的設置。您甚至可以配置AMP在檢測到配置錯））AMP同時也支持您管理和MESH設備。、、Tropos、WiFi、MESHWiMax，告警和診斷理解了解WLAN中發生的潛在問題。告警可以通過電子郵件或SNMP陷阱發送到另一個故障管理系統。，session是分支接入用戶較多，無線部署區域較為零散的狀況，從RF覆AP，因此對于無線網絡的管理，其大量工作是APAP的無線APAP之間的無線電波干擾，用戶漫游重認證和也可能會產生問題。Aruba系統具有非常強的無線局域網集中管理功能，如果有多個MasterSwitch和LocalSwitch