《无线-Aruba无线解决方案技术建议书模板(43页).doc》由会员分享,可在线阅读,更多相关《无线-Aruba无线解决方案技术建议书模板(43页).doc(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-无线-Aruba无线解决方案技术建议书模板-第 40 页中国xx(集团)股份有限公司无线局域网项目技术服务要求应标书2007年x月x日目 录第一章、系统设计文档21.1 xx公司无线局域网系统建设需求21.2 无线局域网建设和设计原则31.3 方案设计51.4 无线局域网系统的实现141.5 Aruba无线交换局域网系统技术特点181.6 中国xx集团第一期无线网络设备清单26第二章、xx工程实施计划书272.1 工程实施概述272.2 工程实施组织设计282.3 工程实施计划29第三章、系统集成测试内容313.1 无线覆盖面积测试313.2 数据丢包率313.3 数据吞吐率323.4 域用
2、户登陆域测试333.5 无线控制器冗余备份测试343.6 WLAN管理监控测试35第四章、运营维护文档36第五章、验收文档405.1 系统集成测试验收组织405.2 集成测试验收条款415.3 系统集成测试验收文档415.4 系统集成验收报告44第六章、技术支持服务承诺45第七章、无线用户域认证解决方案46第八章、无线客户端设置方案59第九章、认证服务器硬件环境65第一章、系统设计文档1.1 xx公司无线局域网系统建设需求介绍:需求:在过去,中国xx集团在全球为业务建设了完善的内部网,网络接入类型均是有线接入,而无线接入由于安全问题,集中控管、认证加密等问题而迟迟未开展。这次经历几个月对新一代
3、无线解决方案的选型测试,已初步确定无线局域网技术的使用情况及其技术细节,并且了解到新一代无线解决方案能有效解决传统金融企业的安全问题。目前,根据提出的需求,中国xx集团在国内共有三个地点有无线的需求,分别是A分部,中心总部和B分部,我们简称为第一期无线建设工程。主要需求如下:1、 A分部地区主要为2号楼的第7、8层楼做无线全覆盖2、 中心总部为几个会议室提供无线接入3、 B分部的一个会议室提供无线接入1.2 无线局域网建设和设计原则1.2.1 中国xx集团第一期无线局域网建设原则根据中国xx集团第一期无线局域网系统建设要求,我们确立的无线局域网系统建设原则如下:1、采用标准WLAN交换技术及W
4、LAN交换体系。2、充分利用现有网络结构与资源,不单独组网,AP就近接入有线网络(最近的交换机),并且不改变原有网络结构以及交换机配置。3、采用集中控管的无线组网技术,集中统一管理所有的AP。4、所有无线接入点采用标准PoE供电方式。5、在指定范围内有无线覆盖信号,并且保证至少有36Mbps以上的无线连接速率6、所有正式员工的无线连接必须基于802.1x认证,并且能结合AD进行域认证登录7、所有正式员工的无线连接必须是WPA加密,将来可无逢升级到WPA2或WAPI8、能抵御无线入侵,有效防止非法AP接入9、无线局域网系统要支持热备份能力10、第一期的无线局域网系统要能方便和灵活地调整与扩展,投
5、资保护。1.2.2无线局域网的设计原则依据建设要求和无线网络的建设原则,在无线局域网组网技术、设备产品选型、网络管理和网络安全等方面考虑以下设计原则:1先进性原则第一代无线局域网主要是采用Fat AP,每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和Thin AP的架构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。2可管性原则在网络管理方面
6、,必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能,使所建的无线网络可以适应多种环境的变化,可动态地保证良好的应用效果。同时,还应具有远端AP数据进行采集、远程监控、终端定位等功能,支持多SSID,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。3安全性原则在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:(1)接入认证:具有支持多种用户认证方式;(2)采用具有用户状态访问控制的防火墙技术;(3)具有数据在无线信道上传输的VPN机制;(4)具有无线网的防病毒机制(5)具有无线电波监控能力,能提供无线入侵侦测和无线
7、终端位置的追踪功能。4可靠性原则具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线交换机N+1的冗余备份机制。5扩展性原则通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理,AP既可以提供无线接入,也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便。6标准化原则无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协议,以保证网络设备的互通性,有利于网络的投资保护。根据需
8、求和以上无线网建设与设计原则,本方案提出采用美国Aruba Networks公司的第三代无线交换局域网系统(以下简称Aruba无线系统),完成中国xx集团第一期无线局域网系统项目。1.3 方案设计根据现场视察和本方案的设计原则,结合Aruba无线系统技术及产品的特点,将方案的设计分为组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性六个部分。1.3.1组网方式设计1.3.1.1总拓扑图设计组网时,我们既考虑了系统的冗余性,又兼顾了成本节约。我们在方案里分别按三地区独立管理的方式设计无线控制器。首先,在中心地区,根据需求,中心系统设计支持AP容量为32个,因此,我们
9、规划了3台A800控制器,每台控制器支持16个AP容量,其中一台做主控制器,平时并不管理AP,处于备份状态,当另外两台其中一台出现故障,AP会自动跳到主控制器,实现热备份和消除单点故障的问题。目前实际配置支持xx大厦会议室和一个会议室共11个AP。其次,在A地区,需求支持AP的系统容量是144个,需要3台A2400无线控制器,外加一台A2400做主控制器,并做其余三台的热备份。我们把主的那台A2400设为MASTER控制器,去管理其余三台LOCAL控制器,每台LOCAL角色的控制器可以支持48个AP,所以为日后扩展AP提供方便,只要简单加装AP就可以了。目前A分部的AP实际使用量只有25个,主
10、要覆盖张江2号楼第七和第八两层楼。最后,在B地区,需求是无线覆盖一个会议室,我们设计了两台A804互为热备,系统设计容量为最大支持4个AP,目前用量是2个AP。该方案采用了Aruba中档型号Controller的堆叠模式,每个地区都采用N:1方式进行控制器热备份,系统扩容可以通过继续堆叠Controller实现。具体网络拓扑结构可参考以下图形。以下是三地区整体无线网络拓扑图:集中式无线交换架构设计特点: 各地区分别设计MASTER主控制器,独立管理,并具有热备功能。 简化无线局域网实施、无须改动原有线局域网的设置 加快了无线多业务开通 节省网络工程投资成本和运营成本 方便对本地无线网络维护和管
11、理 ARUBA第三代无线架构具有极高的安全性下面是A分部地区拓扑图:Aruba所有无线AP通过现有配线间的接入层交换机分别连接到局域网内,通过原有的局域网从IP层连接到无线控制器,再经过控制器的认证加密等策略,实施管理和传输数据。AP与无线控制器之间无需直接连接起来,大大节省布线成本。每个AP均以POE方式供电。下面是中心地区拓扑图:该区域是全国灾备中心会议室,面积虽小,但考虑到其重要性和突发用户量,这里采用AP65高性能无线接入点,并且覆盖加大部署密度,增加系统用户容量。其中一台A816为MASTER主控制器,其余两台为LOCAL副控制器,所有AP受副控制器管理,副控制器受主控制器管理。为了
12、实现热备份,所有控制器要独立接入到骨干网,所有AP要独立接入到内网交换机,不能直接与控制器相连。B地区拓扑图:B会议室共需2台AP,我们设计了两个A804控制器,均设为MASTER,并有这两台控制器采用VRRP标准协议互为热备份。1.3.2业务区分设计从用户分类与分布情况分析,无线用户主要有以下几类:(1)中国xx集团正式员工;(2)参加会议人员和来访等外来人员;(3)将来会使用的WIFI电话。因此,他们各自使用的无线网络被分为不同的业务类型,在设计上,应用无线局域网多SSID技术,每个SSID均是一套独立的无线网,方便地设置多业务区分方式。目前,我们建议开设三个SSID号,其中一个SSID供
13、可给内部员工使用,根据目前xx的已有架构,每个员工均使用有线连接,并且统一由微软公司的域控制器提供权限控制,因此,我们建议采用802.1x认证和WPA加密这种方式,给内部域用户使用无线连接。由于域用户数据库庞大,我们建议在AD控制器加装IAS认证服务器与之关联,即可实现与原有域系统的无逢接轨,不需要双重认证,支持SSO单次输入,在登录域的使用上与有线连接是一模一样的,并没有额外的输入。而且使用无线连接,可以为每个员工配置不同的网络使用权限。第二个SSID给外来人员使用,建议采用WEB页面认证方式,做简单的数据加密WEP协议,登录此SSID的外来人员只能拥有访问互联网的权限,而不能连接到任何内部
14、网的数据,保证安全。第三个SSID供给手持终端,例如WIFI电话使用。此SSID采用MAC认证和WEP加密,网络权限设计为只能与语音服务器通讯。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。1.3.3网络与用户管理Aruba无线系统中可以设定用户的角色(r
15、ole),每个role可以基于用户状态防火墙和代理限制的设定等规则,包括每个用户的使用带宽,允许连接的时间等等。用户状态防火墙是Aruba无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效很小。Aruba的基于用户状态的防火墙则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的防火墙策略,不同的无线用户有不同的防火墙策略,例如一个用户可以使用SIP的服务,而另一用户则可用FTP。1.3.4无线安全性设计在Aruba无线系统中,可以在多
16、个层面对系统构筑安全防护,其安全性设计如下:(1)多SSID:可以根据需要,如用户的种类、应用的种类,在Aruba无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。(2)加密:Aruba无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更
17、加的灵活,可以根据实际需求进行选择。(3)用户认证:提供二种方式。 WPA-PSKcaptive portal+VPN。加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, Active Directory, TACACS,甚至是Aruba交换机内置的账户数据库。 WPA+802.1X加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.1X,认证服务器选择RADIUS。
18、(4)用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。(5)用户状态防火墙:用户通过认证以后,会有一个基于这个用户的状态防火墙,可以根据每个用户设置他的访问控制策略。(6)带宽的控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。(7)认证系统: Aruba无线系统支持多种认证系统,诸如Radius、LDAP、微软的AD(活动目录)和在Aruba无线交换机内部的Internal DB
19、。(8)病毒的防护:无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态,诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,并设置安全策略是否准予进入网络。在数据的检测上,Aruba无线交换机上可以设定策略,对于某些无线用户沾染病毒的终端,Aruba无线系统将其导向到第三方防病毒系统进行防病毒的检查,检查完成后,才允许接入。1.3.5移动漫游设计无线用户的移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,所有厂家的产品都表现得不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝的漫游
20、,Aruba无线局域网可以实现以上所有漫游功能。L2/L3层漫游在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,而所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。通过Aruba 无线系统
21、的Proxy DHCP 功能,就可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的IP子网时,它重新发出的DHCP请求会从这AP端的Aruba 无线交换机转发到原有子网的无线交换机(用户从那一个AP获取它的IP地址)。用户的原交换机会告知用户漫游到的Aruba 交换机继续保持用户的原有的IP地址。所以虽然无线用户已漫游到另一个IP子网,但它仍可以原有的IP地址继续在新的AP上入网。Proxy DHCP 的优点是它无需要求在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。在不同域之间的用户认证和漫游在一个大型网络内,一般都有很多不同的部门,
22、部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius Proxy 这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。Aruba 本身就可提供不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。Aruba会把在不同域之间的认证请求转发到对应这域的radius
23、服务器处理。1.4 无线局域网系统的实现1.4.1无线覆盖实现根据对xxA分部地区的实地考察,并结合以往的工程经验,我们对2号楼78层的无线网络覆盖做出以下规划:2-7F(全覆盖)2-8F(全覆盖)1.4.2无线交换机的配置实施建议一般厂家的无线网络产品在企业网规划时都需要二层交换机连接或者划分VLAN,否则只能将认证点下放到AP上,导致整体性能的降低和漫游特性的缺失。而Aruba的AP是通过GRE的隧道连接到Aruba交换机上,所以Aruba产品在规划上可以完全不改变企业网原有的网络结构,同时实现无缝的二三层漫游。并且所有的AP都统一规划统一集中管理。下面详细叙述一下无线交换机在规划配置实施
24、时需要考虑的问题:AP的VLAN和无线用户的VLAN第一代的无线局域网对AP所在的VLAN(AP为网络设备)和无线用户所在的VLAN是没有明确的区分。这样组网无论对无线用户、AP和网络的管理都有一定困难,而且很容易造成混乱。对网络管理而然,网络设备的VLAN/IP子网应当和用户是分开,这样才可确保正常网络运行和维护。但在具体实施时,很多为了方便都会把AP和无线用户设置在同一个VLAN内。这种组网方式在现今的非常普遍,所以一般用户都误解无线局域网的SSID为局域网的VLAN。VLAN和无线SSID的关系 一般用户都误解无线局域网的SSID为局域网的VLAN,这可能是由于第一代的无线局域网都是通过
25、“FAT AP”组网的原因。其实二者之间的关系并非是一对一,即一个SSID必须对应有一个VLAN。当然把一SSID设定在一个VLAN内对传统的无线局域网只能够支持第二层的无线用户漫游是唯一可实现的方式。但这样的组网必须在现有的网络上做出很多改动,如果AP数量多的话,相对的无线用户VLAN/IP子网在接入层也增多,这些无线用户的IP子网在局域网内必须全打通, (即汇聚层和骨干层的路由开通) 否则的话无线用户就不一定能访问局域网上的其它网点,包括在不同接入层的无线用户。采用Aruba组网,当无线用户加入到无线网上的一个SSID时,很容易就可把他与一个VLAN绑定,而且不管他漫游到那一个AP上,因S
26、SID的缺省VLAN实际上是穿越接入层直到Aruba交换机上,所以用户的VLAN是无需在每个接入层上开通。但亦有可能SSID在不同的AP接入点时,它设置的缺省VLAN是不一样的。当有这样的情况出现时,无线用户从一个AP接入点漫游到另一个AP接入点时, DHCP协议应会重分发给无线终端新的IP地址,但如果无线终端的IP地址更新的话,它先前建立的所有应用连接就会被切断。这样的无线局域网实际上就不能支持跨三层无线漫游。 开通无线局域网接入 不需更改局域网路由要大规模在企业内实现无线局域网接入,很多人都误解需要在现有的局域网上做很多路由的修改,这当然是企业网络管理部门不愿意做的事情。上面提到Aruba
27、 AP所在的VLAN和无线用户的VLAN是独立分开的,用户只须在Aruba AP的接入点分配给它IP地址即可,这个IP地址可以是通过DHCP 服务器来分发,亦可以是以静态IP地址方式配置在Aruba AP上。由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。当大规模开展无线局域网时,就无须把在不同接入层上新增的无线终端VLAN/IP子网逐一在局域网上打通。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。1.43无线网的安全系统实现无线网的安全系统实现如下安全功能: 接入认证控制:验证用
28、户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供无线接入。 确保链路的保密与数据的完整: 防止未经授权的用户读取或更改在网络上传输的数据。 侦测和阻断非法接入:防止非法AP接入xx内部网络中。 监测和阻断无线攻击: 防止攻击占用某个接入点的所有可用带宽, 导致其他用户的正当接入。 检测无线终端的防病毒状态:防止染有病毒的无线终端接入。(可选功能) 1.5 Aruba无线交换局域网系统技术特点 无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外,基本上没有其它功能。第二代无线局域网技术(以正诚、昂科、Bluesocket等为代表
29、),采用AC智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP
30、sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构(以Cisco、Aruba为代表),实现了基于无线网络交换机,以AP为单元交换的无线网络系统,Aruba是采用独立的无线网络交换机实现的。作为第三代的Aruba无线系统采用了Wireless SwitchAP构架,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。Aruba无线系统不但具有一、二代无线产品所有的功能,并且在无线网的规划、管理、安全和对音视频业务的支持方
31、面都有着与一代和二代产品不可比拟的优势。在无线网融合到有线网络方面,Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定,使得无线网络的规划和实施非常方便。在无线网络管理方面,Aruba无线系统实现真正的集中控管,包括独有的RF智能调控,自动恢复、负载均衡功能,使无线网可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端AP状态监测,方便实现对AP的管理;具有多SSID支持,实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面,Aruba无线系统具备多种用户认证、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安
32、全管理。在无线音视频应用方面,Aruba独有的基于每个用户的带宽控制和QOS保证,可以确保语音和视频业务的实时性,先进的无缝三层移动漫游,使得VoIP以及Wi-fi Fhone可以自由的在任意AP间切换,具有目前业界最低的时延。1.5.1 Aruba无线局域网系统架构1511先进的无线局域交换机作为第三代的Aruba系统采用了Wireless Switchthin AP构架,将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现,同时增加了许多无线局域网全新的功能:诸如:无线安全性、AP管理控制、RF站址监测、无缝移动漫游,特别是对语音、视频业务的支持有专门的Q
33、os保证,使得VoIP的应用,如Wi-Fi技术应用得到了飞速发展。1512灵活的组网方式第三代的Aruba产品可以根据从小型的无线网规模(几十个AP),到大型无线网规模(几百个AP,甚至上千个AP),都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制,保证系统的高可用性。1513优秀的扩展性 无线网络具有非常容易扩展的特性,因此,今天在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面,Aruba的一台2400型交换机可灵活地对从24个AP扩充到支持48个 AP,因此扩展AP非常容易;从网络管理扩展性方面, Aruba的Master/Local方式, Master
34、 Aruba 交换机可以同时控制管理28台的Local Aruba交换机,因此增加交换机也非常容易管理。除了AP数量之外,怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在园区网内正常运作,包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。1514 无需更改有线网结构实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是的网管人员不愿意做的事情,采用Aruba系统无需更改现有的有线网结构。由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用
35、户的VLAN是无须在接入层和汇聚层存在。无线终端的VLAN是可透过Aruba交换机和骨干交换机互连互通.ARUBA的无线交换机可以安装在xx集团的中心机房,而AP则可以放置于xx集团的任何地方,无需用二层设备连到无线交换机,或者划分VLAN;其他厂家则需要二层交换机连接或者划分VLAN,否则只能将认证点下放到AP上,导致整体性能的降低和漫游特性的缺失。不用划分VLAN,对于无线网的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构,减轻了由于无线网的建设而对原有网络的结构改变的工作量。1515方便地无线网规划设计在规划一个无线局域网络时,规划设计者一项重要的工作是要考虑安装多少AP可
36、以满足覆盖?应在哪些位置安装AP,安装后电波的覆盖范围,信号在不同位置的强弱等,要完成此项工作,通常做法是规划设计者要在现场做大量的测试工作,通过经验去估算位置和数量,其工作量非常之大,且还无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。Aruba首创开发了RF Planning工具,可以让规划设计者在考虑无线局域网组网之初采用RF Planning在计算机上做规划设计,估算在要求的覆盖面积上AP应安装的物理位置所在。使用这套工具时,在数字化的建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小,输入有关无线覆盖和传输模型的相关参数,如无线终端的平均带宽,AP和AP之间覆盖面等
37、。RF Planning自动计算,然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP,在无线网安装完成后,网管人员通过RF Planning的Auto-Calibration功能,设定Aruba交换机自动调节网上所有Aruba AP的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后,网管人员可通过RF Planning随时监测网内的每个AP的无线电波的状态,及时掌握每个AP的工作状态和故障诊断,及时做出调整策略。Aruba RF Planning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。1.5.2 Arub
38、a无线局域网的网络管理1521 集中式管理管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。Aruba系统具有非常强的无线局域网集中管理功能,通过无线交换机Master Switch和Local Switch管理模式管
39、理整个网络,网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端。 1522无需安装客户端软件Aruba系统无需为每一个移动用户终端安装无线接入软件, Aruba的认证可以基于WEB页面认证,该认证只需用户打开浏览器就可以登陆。ARUBA采用GRE隧道技术,可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证,而其他的厂家在这种网络环境下,必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1X客户端软件才能实现WEB页面认证。1523 RF智能控管Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。 当初次安装无线局域
40、网时,用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。Aruba系统的RF智能控管可以自动对网上所有Aruba AP的无线电波管理。当无线局域网经过Auto Calibration调整后而正式运作时,网络管理员可在Aruba 交换机内启动ARM这功能,则无线网上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描,是指Aruba AP 从一个电波频道
41、跳到另一频道时,如Ch 1 到 Ch 2 到 Ch 3.,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响地。当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。这样Aruba 无线交换机就对整个无线网上的电波情况有了一定解和记录。当某一覆盖范围内的电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba 无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波。1524 多个SSID结构Aruba系统的多SSID结构和和实现技术使得在Aruba无线局域网系
42、统的各种应用服务(数据、语音和视频)在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。1525故障自动恢复传统的无线网在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。Aruba系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当
43、发觉有AP出现故障时,Aruba交换机能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。1526网络负载均衡Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无线系统可应用层面通过47层交换模块可以实现服务器的负载均衡,VPN设备,防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。1527 无线终端定位Aruba 网管系
44、统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA和 Wi-Fi手机等。Aruba采用的无线定位模式称为三角定位,它的准确性可达到2.5米以内,先决条件是所寻找的无线终端附近须有最少三个Aruba的AP 在范围内。1.5.3 Aruba无线局域网系统的安全管理1531 集中的安全管理Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的,解决了传统的无线网对安全的分散管理(AP、AC)和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。1532多种用户认证方式在Aruba无线系统中,一个
45、无线用户进入无线网以后,只会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。Aruba无线系统支持目前各种用户认证的方式(802.1X、WEB认证、MAC、SSID、VPN等)1533 独特的无线访问控制用户状态防火墙是Aruba无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通
46、过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略。1534 安全的AP技术Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在Aruba无线交换机上实现。由于Aruba的AP是不储存任何网络配置(IP地址除外)和安全设置,因此Aruba 管理的AP是不能单独工作的,因此获得和接入进Aruba AP,黑客也不会拿到无线网的网络和安全配置参数。1535无线接入点安全侦测和保护采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。
47、通过Aruba 的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。1536无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当Aruba 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。1537无线接入的病毒防护Aruba无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准入检查;二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查,当无线终端连接到Aruba无线系统中,当试图访问网络,在用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁