1、PAGE .：.；XX企業(yè)無線網(wǎng)絡工程ARUBA處理方案建議書2006年10月26日目錄 TOC o 1-3 h z u HYPERLINK l _Toc150518954 目錄 PAGEREF _Toc150518954 h 2 HYPERLINK l _Toc150518955 1. XX企業(yè)無線網(wǎng)絡建立需求 PAGEREF _Toc150518955 h 4 HYPERLINK l _Toc150518956 1.1 工程背景 PAGEREF _Toc150518956 h 4 HYPERLINK l _Toc150518957 1.2 XX企業(yè)無線網(wǎng)絡的運用需求 PAGEREF _To

2、c150518957 h 4 HYPERLINK l _Toc150518958 數(shù)據(jù)接入效力 PAGEREF _Toc150518958 h 4 HYPERLINK l _Toc150518959 2.無線網(wǎng)絡的設(shè)計原那么和參考技術(shù)目的 PAGEREF _Toc150518959 h 5 HYPERLINK l _Toc150518960 遵照規(guī)范 PAGEREF _Toc150518960 h 5 HYPERLINK l _Toc150518961 平安可靠 PAGEREF _Toc150518961 h 5 HYPERLINK l _Toc150518962 可擴展可晉級 PAGEREF

3、 _Toc150518962 h 5 HYPERLINK l _Toc150518963 無線性能技術(shù)參考目的 PAGEREF _Toc150518963 h 5 HYPERLINK l _Toc150518964 3. ARUBA“挪動邊緣處理方案的技術(shù)特點 PAGEREF _Toc150518964 h 6 HYPERLINK l _Toc150518965 3.1 先進而成熟的無線局域網(wǎng)交換架構(gòu) PAGEREF _Toc150518965 h 6 HYPERLINK l _Toc150518966 3.2 具有平安保證的無線網(wǎng)絡 PAGEREF _Toc150518966 h 7 HYP

4、ERLINK l _Toc150518967 集中的平安管理 PAGEREF _Toc150518967 h 7 HYPERLINK l _Toc150518968 多種用戶認證方式 PAGEREF _Toc150518968 h 7 HYPERLINK l _Toc150518969 獨特的無線訪問控制 PAGEREF _Toc150518969 h 7 HYPERLINK l _Toc150518970 平安的AP技術(shù) PAGEREF _Toc150518970 h 8 HYPERLINK l _Toc150518971 無線接入點平安偵測和維護 PAGEREF _Toc150518971

5、 h 8 HYPERLINK l _Toc150518972 無線網(wǎng)絡入侵偵測 PAGEREF _Toc150518972 h 8 HYPERLINK l _Toc150518973 無線接入的病毒防護 PAGEREF _Toc150518973 h 9 HYPERLINK l _Toc150518974 3.3 支撐多業(yè)務的網(wǎng)絡運用 PAGEREF _Toc150518974 h 9 HYPERLINK l _Toc150518975 帶寬控制與效力質(zhì)量保證QOS PAGEREF _Toc150518975 h 9 HYPERLINK l _Toc150518976 VoIP與WI-FI P

6、hone PAGEREF _Toc150518976 h 10 HYPERLINK l _Toc150518977 無縫的三層遨游 PAGEREF _Toc150518977 h 11 HYPERLINK l _Toc150518978 3.4 方便而強大的網(wǎng)管功能 PAGEREF _Toc150518978 h 11 HYPERLINK l _Toc150518979 集中式管理 PAGEREF _Toc150518979 h 11 HYPERLINK l _Toc150518980 無需安裝客戶端軟件 PAGEREF _Toc150518980 h 12 HYPERLINK l _Toc1

7、50518981 RF智能控管 PAGEREF _Toc150518981 h 12 HYPERLINK l _Toc150518982 多個SSID構(gòu)造 PAGEREF _Toc150518982 h 13 HYPERLINK l _Toc150518983 缺點自動恢復 PAGEREF _Toc150518983 h 13 HYPERLINK l _Toc150518984 網(wǎng)絡負載平衡 PAGEREF _Toc150518984 h 13 HYPERLINK l _Toc150518985 4. XX企業(yè)無線網(wǎng)絡系統(tǒng)的設(shè)計和實施方案 PAGEREF _Toc150518985 h 14

8、HYPERLINK l _Toc150518986 4.1整體系統(tǒng)架構(gòu)設(shè)計 PAGEREF _Toc150518986 h 14 HYPERLINK l _Toc150518987 4.1.1設(shè)計原那么 PAGEREF _Toc150518987 h 14 HYPERLINK l _Toc150518988 4.1.2拓撲構(gòu)造 PAGEREF _Toc150518988 h 15 HYPERLINK l _Toc150518989 4.1.3設(shè)備選型和配置 PAGEREF _Toc150518989 h 15 HYPERLINK l _Toc150518990 4.1.4中心交換機銜接 PAG

9、EREF _Toc150518990 h 16 HYPERLINK l _Toc150518991 4.1.5接入層AP部署 PAGEREF _Toc150518991 h 16 HYPERLINK l _Toc150518992 4.1.7用戶接入戰(zhàn)略 PAGEREF _Toc150518992 h 16 HYPERLINK l _Toc150518993 4.2認證與加密方案 PAGEREF _Toc150518993 h 17 HYPERLINK l _Toc150518994 4.2.1設(shè)備認證方式建議 PAGEREF _Toc150518994 h 17 HYPERLINK l _T

10、oc150518995 4.2.2數(shù)據(jù)傳輸加密 PAGEREF _Toc150518995 h 18 HYPERLINK l _Toc150518996 4.3網(wǎng)絡管理措施 PAGEREF _Toc150518996 h 18 HYPERLINK l _Toc150518997 4.3.1性能管理 PAGEREF _Toc150518997 h 18 HYPERLINK l _Toc150518998 4.3.2缺點管理 PAGEREF _Toc150518998 h 18 HYPERLINK l _Toc150518999 5設(shè)備清單 PAGEREF _Toc150518999 h 191.

11、 XX企業(yè)無線網(wǎng)絡建立需求1.1 工程背景XX企業(yè)新建的行政辦公大樓作為整個碼頭未來的一個主要智能建筑，方案于2007 年3 月正式投入辦公運用。該大樓包括1 棟25 層高的主樓和1 棟5 層高的副樓主樓和副樓 之間經(jīng)過公用過道銜接在一同，未來建成為一個可以包容2000人辦公的國際一流寫字綜合樓。該建筑的剖面圖如下：本工程作為智能化大廈的配套網(wǎng)絡集成任務， XX企業(yè)要求賣方以現(xiàn)代技術(shù)規(guī)范集成大樓內(nèi)部的網(wǎng)絡系統(tǒng)，并在主樓第15 層數(shù)據(jù)中心中建立新的骨干網(wǎng)絡。1.2 XX企業(yè)無線網(wǎng)絡的運用需求數(shù)據(jù)接入效力為企業(yè)園區(qū)內(nèi)辦公樓、宿舍、操場，以及一系列等熱點場所提供典型的無線局域網(wǎng)接入，為有線網(wǎng)絡提供了

12、良好的銜接補充，完成了整個企業(yè)網(wǎng)絡接入的全面覆蓋，運用戶可以在企業(yè)內(nèi)的任何區(qū)域接入局域網(wǎng)，到達完善企業(yè)信息化的目的。在此，無線網(wǎng)絡作為有線網(wǎng)的良好擴展，既節(jié)約了本錢，而且加快了企業(yè)網(wǎng)信息化建立的步伐。2.無線網(wǎng)絡的設(shè)計原那么和參考技術(shù)目的根據(jù)XX企業(yè)的無線網(wǎng)絡建立需求，可以確立的以下根本設(shè)計原那么：遵照規(guī)范針對工程的技術(shù)需求，為了保證無線網(wǎng)絡設(shè)備之間的互通性，同時對于已有無線網(wǎng)絡的建立進展投資維護，ARUBA公司方案中的技術(shù)道路嚴厲遵照工程要求，做到支持802.11b/g規(guī)范，WiFi規(guī)范兼容。平安可靠針對不同的用戶、設(shè)備采用不同的認證方式，如802.1x、MAC地址認證等；并且結(jié)合隱藏SSI

13、D、MAC地址過濾、Radius認證、WEP加密等多種平安機制保證無線網(wǎng)絡的平安運用?？蓴U展可晉級網(wǎng)絡擴展與晉級需求好的系統(tǒng)架構(gòu)支撐，采用擴展方便，晉級簡易的處理方案是構(gòu)建一個大規(guī)模的無線網(wǎng)絡的必要前提，同時利用集中方式易于實現(xiàn)網(wǎng)絡控制和遨游。無線性能技術(shù)參考目的2.4G頻段無線的等效全向輻射功率EIRP最大值小于27dbm。一切無線覆蓋處信號強度不小于80dbm，在-76dbm以上覆蓋區(qū)用Chariot測試無線網(wǎng)絡的時延(Response Time)5Mbps。在-76dbm以上的信號強度時，用戶和接入點測試到的錯誤率，在1024字節(jié)數(shù)據(jù)長度時，應不超越8%。包喪失和包重發(fā)Packet Lo

14、ss and Packet Retry這兩個參數(shù)的值都應該小于5。無線覆蓋區(qū)信噪比SNR值不小于20dbm。在11mbps下傳輸速率下：Ping包Length=32,Time=100Average response time 10ms；傳送非緊縮檔案 Download: 200kbps: upload: 150kbps。3. ARUBA“挪動邊緣處理方案的技術(shù)特點3.1 先進而成熟的無線局域網(wǎng)交換架構(gòu)無線局域網(wǎng)技術(shù)經(jīng)過十幾年的開展，曾閱歷了三代技術(shù)及產(chǎn)品的開展。第一代無線局域網(wǎng)技術(shù)采用單純的AP實現(xiàn)無線接入外，根本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)，采用AC智能AP構(gòu)架，AC兩者本質(zhì)均為二層

15、設(shè)備，AP實現(xiàn)接入、AC實現(xiàn)會聚和認證功能，有的廠商的AC實現(xiàn)了二層網(wǎng)絡交換，具有根本的網(wǎng)絡的控制和用戶的管理，如：WEB認證、流量的控制、訪問的控制等；支持VLAN、VPN、WPA等根本的平安管理，它們無法實現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡和平安的配置，包括加密的鑰匙，Radius client的平安密鑰等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修正，其無線網(wǎng)絡系統(tǒng)就失去了平安性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當用戶接入數(shù)量增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。第三代無線局域網(wǎng)技

16、術(shù)采用無線交換網(wǎng)絡架構(gòu)以ARUBA為代表，實現(xiàn)了基于無線網(wǎng)絡交換機，以AP為單元交換的無線網(wǎng)絡系統(tǒng)，ARUBA是采用獨立的無線網(wǎng)絡交換機實現(xiàn)的。作為第三代的ARUBA無線系統(tǒng)采用了Wireless SwitchAP構(gòu)架，將密集型的無線網(wǎng)絡和平安處置功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時參與了許多重要新功能，諸如無線網(wǎng)管、AP間自順應、無線平安管理、RF監(jiān)測、無縫遨游以及QoS保證等。3.2 具有平安保證的無線網(wǎng)絡集中的平安管理ARUBA無線系統(tǒng)的平安管理是將防火墻、VPN、平安認證、防病毒、無線入侵監(jiān)測以及RF 電磁波管理等多項平安功能會聚到ARUBA無線交換機上來完成的，處理了傳統(tǒng)的

17、無線網(wǎng)對平安的分散管理AP、AC和才干，給用戶帶來的不平安感，擺脫了對有線網(wǎng)平安的依賴性。多種用戶認證方式在ARUBA無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，只會拿到一個最根本的入網(wǎng)權(quán)限，這個權(quán)限不允許用戶訪問任何網(wǎng)段，只讓用戶經(jīng)過DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，經(jīng)過認證以后才可以接入無線網(wǎng)。ARUBA無線系統(tǒng)支持目前各種用戶認證的方式802.1X、WEB認證、MAC、SSID、VPN等，企業(yè)網(wǎng)用戶可以根據(jù)需求方便選擇。獨特的無線訪問控制用戶形狀防火墻是ARUBA無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡防火墻是沒有用戶這概念，它的維護只是基于IP地址或物

18、理端口來制定防火墻戰(zhàn)略，所以對于沒有固定接入點的無線終端，這種防火墻的效果是不大。ARUBA無線系統(tǒng)的防火墻功能那么是與用戶認證捆綁在一同，當無線用戶勝利經(jīng)過認證后，他會獲得一個預設(shè)的用戶形狀防火墻，不同的無線用戶有不同的防火墻戰(zhàn)略，例如教師和任務人員可以運用更多的效力，而學生只可以閱讀網(wǎng)頁、收發(fā)Email等，這樣可以極大方便企業(yè)網(wǎng)用戶的平安管理。平安的AP技術(shù)ARUBA無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是經(jīng)過AP，而是在ARUBA無線交換機上實現(xiàn)。由于ARUBA的AP是不儲存任何網(wǎng)絡配置IP地址除外和平安設(shè)置，因此ARUBA 管理的AP是不能單獨任務的，因此獲得和接

19、入進ARUBA AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡和平安配置參數(shù)。無線接入點平安偵測和維護采用ARUBA 無線系統(tǒng)的RF偵測功能和維護機制可以實時監(jiān)測大廈無線網(wǎng)覆蓋區(qū)域內(nèi)的一切AP接入情況,如相鄰房間的AP、設(shè)置錯誤的AP以及未經(jīng)認可而銜接到網(wǎng)絡中的AP。經(jīng)過ARUBA 的網(wǎng)絡平安管理系統(tǒng)，網(wǎng)絡平安管理人員可以及時發(fā)現(xiàn)能否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動維護機制，阻止無線終端經(jīng)過非法AP聯(lián)接到無線網(wǎng)中。無線網(wǎng)絡入侵偵測今天曾經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對企業(yè)、和運營商的無線網(wǎng)的平安構(gòu)成很大的要挾。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當遭到像無線

20、DOS攻擊時，就會誤以為是無線電波的信號受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會導致用戶的無線銜接斷線，但網(wǎng)管中心依然不知，用戶那么誤以為是網(wǎng)絡問題，間接影響無線網(wǎng)系統(tǒng)的質(zhì)量。ARUBA 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡處置器和加密處置器組成，且內(nèi)置一個無線入侵方式庫，實時檢測異常的無線數(shù)據(jù)包，當ARUBA 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動維護呼應。無線接入的病毒防護ARUBA無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發(fā)出數(shù)據(jù)進展有效的檢查和監(jiān)控。無線終端病毒防護的第一步是準入檢查，當無線終端銜接到ARU

21、BA無線系統(tǒng)中，當試圖訪問網(wǎng)絡，在用戶認證之前，需求下載一個基于JAVA的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼晉級的情況，做一個檢查，假設(shè)不能經(jīng)過檢查，可以設(shè)定戰(zhàn)略制止其訪問網(wǎng)絡，也可設(shè)置成將無線用戶重定向到一臺晉級效力器，打系統(tǒng)補丁、安裝防病毒軟件和晉級病毒定義碼，滿足系統(tǒng)制定的平安戰(zhàn)略以后，該無線終端才可以進入認證環(huán)節(jié)進展用戶的認證。當無線終端經(jīng)過了準入檢查，但是如何對無線終端發(fā)出數(shù)據(jù)進展有效的檢查和監(jiān)控是更加進一步的病毒防護手段。ARUBA公司和第三方的防病毒墻廠家協(xié)作，在ARUBA無線交換機上可以設(shè)定戰(zhàn)略，某些用戶，以及某些能夠沾染病毒的數(shù)

22、據(jù)，ARUBA交換時機將其重定向到防病毒墻上進展防病毒檢查，檢查完成后，才允許經(jīng)過，否那么會將數(shù)據(jù)丟棄?；谏鲜鰞蓚€層面，ARUBA無線局域網(wǎng)系統(tǒng)對無線終端進展有效和方便的病毒防護。3.3 支撐多業(yè)務的網(wǎng)絡運用帶寬控制與效力質(zhì)量保證QOSARUBA無線系統(tǒng)的帶寬管理才干使得在挪動音視頻運用方面表現(xiàn)出很強的優(yōu)勢。ARUBA無線系統(tǒng)可在每個用戶的權(quán)限限制內(nèi)用戶無線銜接的最高帶寬。對于不同的IP效力，ARUBA系統(tǒng)亦可透過ARUBA無線交換機設(shè)置定義不同的QoS隊列。例如無線語音的運用，SIP和RTP協(xié)議可設(shè)定在高的隊列，而普通運用如http、ftp那么可設(shè)定在低的隊列。例如語音視頻這樣對于時延敏感

23、的業(yè)務，目前，經(jīng)過中國網(wǎng)通、中國賽爾公司對幾家WLAN設(shè)備廠商的設(shè)備測試結(jié)果闡明，ARUBA的無線網(wǎng)系統(tǒng)以其完善QoS特性在測試中表現(xiàn)最正確。VoIP與WI-FI Phone隨著VoIP的越來越普及(如Skype,等)，基于SIP的Wi-Fi將迅速變?yōu)槠髽I(yè)內(nèi)，企業(yè)之間話音聯(lián)絡的主流。Wi-Fi除了可在企業(yè)內(nèi)部不同區(qū)域間等不同AP遨游外，用戶亦可在其它有Internet銜接的地方如酒店，住宅等運用，這是普通辦公室無線(傳統(tǒng)的交換機)不能做到的。簡單地說，用戶可在有寬帶接入的地方繼續(xù)運用辦公室的號碼，不論是國內(nèi)或國外。對于一些經(jīng)常出差的用戶VoWiFi會帶來極大的方便，亦可節(jié)省長途費。很多手機廠家

24、已開場推出雙模制式的手機(GSM/CDMA + Wi-Fi)，用戶很快就可以遨游于手機挪動網(wǎng)和無線局域網(wǎng)之間。ARUBA的無線交換技術(shù)曾經(jīng)證明很多業(yè)界VoIP系統(tǒng)在ARUBA系統(tǒng)上勝利的運轉(zhuǎn)，且在最近的Network World VoWLAN測試結(jié)果被評選為市場上最杰出的產(chǎn)品。在詳細實現(xiàn)Wi-Fi語音時要留意思索語音的時延， AP呼叫的容量，和遨游切換時間。 尤其語音的遨游,它會比普通的數(shù)據(jù)挪動傳輸更普及，但相對的要求也較嚴緊，所以要在無線局域網(wǎng)實現(xiàn)語音和數(shù)據(jù)交融，就不能隨意的安裝一些AP，而必需是有規(guī)范的組建無線局域網(wǎng)。ARUBA無線系統(tǒng)可允許用戶設(shè)置專有的語音SSID，把單純是數(shù)據(jù)傳輸?shù)挠?/p>

25、戶和Wi-Fi手機用戶分開，但也可以在單一SSID內(nèi)同時傳送數(shù)據(jù)和話音，關(guān)鍵的重點就是怎樣保證語音傳輸?shù)馁|(zhì)量。 ARUBA無線交換機內(nèi)的用戶防火墻可把SIP/RTP等VoIP協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊列，所以就可確保在數(shù)據(jù)和語音同時傳送時，語音的質(zhì)量不受影響。另在語音平安接入方面，ARUBA可防止沒有無線語音權(quán)限的用戶運用無線語音，以確保網(wǎng)絡資源能有效運用。無縫的三層遨游ARUBA 無線可以讓用戶在 AP、WLAN 交換機、多子網(wǎng)以及多VLAN 之間無縫地遨游，而且不會喪失銜接，也不需求重啟。它不需求對現(xiàn)有網(wǎng)絡進展任何改動就可以實現(xiàn)這一切。其他廠家普通只能實現(xiàn)二層遨游。跨網(wǎng)段時需求二次認證，導

26、致丟包或者很大延遲。而ARUBA的handoff性能極佳，保證了語音的流暢。這種技術(shù)可以確保無線語音業(yè)務可以無縫的在AP間遨游，而不會發(fā)生掉線，是語音業(yè)務的質(zhì)量保證。3.4 方便而強大的網(wǎng)管功能集中式管理管理一個具有規(guī)模的無線局域網(wǎng)通常在幾十個AP以上是一件非常頭痛的事情。從RF覆蓋面，帶寬，用戶的認證，以及接入的平安都要思索。由于傳統(tǒng)的無線局域網(wǎng)是單純基于AP，因此對于無線網(wǎng)絡的管理，其大量任務是要在每個AP上進展設(shè)置和更改。其任務量在有一定數(shù)量AP的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)，AP之間必需互協(xié)調(diào)任務，單獨改動一個AP參數(shù)和配置會引起AP之間的無線電波干擾，用戶遨

27、游重認證和授權(quán)也能夠會產(chǎn)生問題。ARUBA系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，經(jīng)過無線交換機Master Switch和Local Switch管理方式管理整個網(wǎng)絡，網(wǎng)管人員只需在無線交換機就可開通、管理、維護一切AP設(shè)備以及挪動終端，包括無線電波頻譜、無線平安、接入認證、挪動遨游以及接入用戶。 無需安裝客戶端軟件ARUBA系統(tǒng)無需為每一個挪動用戶終端安裝無線接入軟件，登錄認證可以基于WEB頁面認證，該認證只需用戶翻開閱讀器就可以登陸。ARUBA采用GRE隧道技術(shù)，可以透明地穿透在無線交換機和AP之間的任何三層網(wǎng)絡交換設(shè)備實現(xiàn)WEB認證，而其他的廠家在這種網(wǎng)絡環(huán)境下，必需求為客戶端裝上基于

28、規(guī)范的L2TP 或 IPSEC 或 802.1X客戶端軟件才干實現(xiàn)WEB頁面認證。RF智能控管ARUBA系統(tǒng)的RF智能控管可以自動調(diào)理網(wǎng)上一切ARUBA AP的電波特性。 當初次安裝無線局域網(wǎng)時，用戶可經(jīng)過RF Planning的Auto Calibration功能動調(diào)理整個無線網(wǎng)上一切AP的無線電波頻率和功率。啟動了Auto Calibration以后AP和AP之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到AP之間到達了一個最優(yōu)化的無線電波運轉(zhuǎn)環(huán)境。ARUBA系統(tǒng)的RF智能控管可以自動對網(wǎng)上一切ARUBA AP的無線電波管理。當無線局域網(wǎng)經(jīng)過Auto Calibration調(diào)整后而正

29、式運作時，網(wǎng)絡管理員可在ARUBA 交換機內(nèi)啟動ARM這功能，那么無線網(wǎng)上一切的ARUBA AP都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。所謂電波掃描，是指ARUBA AP 從一個電波頻道跳到另一頻道時，如Ch 1 到 Ch 2 到 Ch 3，由于掃描的速度非?？欤詫τ谠诰€的無線用戶指銜接到AP上在同一頻率上的無線終端的傳輸過程是不遭到影響地。當AP停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回ARUBA 無線交換機。這樣ARUBA 無線交換機就對整個無線網(wǎng)上的電波情況有了一定解和記錄。當某一覆蓋范圍內(nèi)的電波改動，如出現(xiàn)干擾AP所發(fā)出的電波或其它運用所發(fā)出的電波等，ARUBA

30、無線交換機就會把所獲取的無線電波資料做分析，以確定能否需求調(diào)整這范圍內(nèi)AP的無線電波。多個SSID構(gòu)造ARUBA系統(tǒng)的多SSID構(gòu)造和和實現(xiàn)技術(shù)使得在ARUBA無線局域網(wǎng)系統(tǒng)的各種運用效力數(shù)據(jù)、語音和視頻在Qos上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個SSID，例如一個SSID可給學院內(nèi)部教師、任務人員以及學生所用，而另一個可給外來的訪問客戶公用。所以當無線終端在這個AP覆蓋范圍內(nèi)啟動時，它就能同時看到多個SSID。SSID的另一用途是可讓無線終端以不同的平安認證和加密方式入網(wǎng)。在一個語音SSID內(nèi)可把SIP和H.323等無線語音數(shù)據(jù)以優(yōu)先級隊列處置。在一個視頻SSID內(nèi)可把視頻數(shù)據(jù)流傳

31、輸以優(yōu)先級隊列處置。同時在一個預設(shè)定的視頻SSID內(nèi)只允許網(wǎng)絡管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議經(jīng)過，以確保其它數(shù)據(jù)不能進入這SSID。在一個預設(shè)定語音SSID內(nèi)只允許網(wǎng)絡管理設(shè)定語音傳輸協(xié)議經(jīng)過，以確保其它數(shù)據(jù)不能進入這SSID。這樣可在多SSID的情況下確保音視頻的QoS。缺點自動恢復傳統(tǒng)的無線網(wǎng)在有AP損壞或失效時，這個AP的覆蓋范圍就會失去了無線銜接。遇到這種情況的普通做法就是把現(xiàn)場失效的AP換掉。但由于大多數(shù)的AP都是設(shè)置在外面(不是在機房)，所以不一定能馬上作改換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護人員即時做出改換(很多的AP都是安裝在天花板上)。ARUBA系統(tǒng)具有自動恢復的功能，實時

32、偵測出網(wǎng)上AP能否有失效，當覺察有AP出現(xiàn)缺點時，ARUBA交換機能會自動調(diào)理臨近的AP的功率覆蓋范圍來接替失效AP的任務。網(wǎng)絡負載平衡ARUBA系統(tǒng)可在一個AP的覆蓋范圍內(nèi)把無線用戶或終端分散銜接到附近的AP上。在一個AP的覆蓋范圍內(nèi)，無線銜接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必需能限制一個AP上無線終端的數(shù)量或AP帶寬傳輸總和或和每個無線終端帶寬上限。ARUBA無線系統(tǒng)可運用層面經(jīng)過47層交換模塊可以實現(xiàn)效力器的負載平衡，VPN設(shè)備，防火墻設(shè)備等等一系列基于TCP/IP協(xié)議設(shè)備的負載平衡來保證整體網(wǎng)絡的可靠性。在視頻運用中，負載平衡功

33、能可以有效的緩解單個AP的負擔，有效的利用臨近的AP做接入，從而確保視頻運用的質(zhì)量得到保證。4. XX企業(yè)無線網(wǎng)絡系統(tǒng)的設(shè)計和實施方案4.1整體系統(tǒng)架構(gòu)設(shè)計4.1.1設(shè)計原那么結(jié)合XX企業(yè)的網(wǎng)絡和運用需求以及ARUBA處理方案的特點，無線網(wǎng)絡通訊系統(tǒng)的設(shè)計原那么可以分為以下幾大點：采用無線交換架構(gòu)組建無線網(wǎng)絡子系統(tǒng)；利用現(xiàn)有的有線網(wǎng)絡資源，架設(shè)“層疊網(wǎng)絡，堅持已有的有線網(wǎng)絡配置和設(shè)置不更改；用戶子網(wǎng)和設(shè)備子網(wǎng)隔離，無線用戶無法訪問設(shè)備子網(wǎng)；無線網(wǎng)絡按運用對象應分為內(nèi)部員工用戶及Guest用戶。內(nèi)部員工用戶經(jīng)授權(quán)提供普通員工的無線網(wǎng)絡運用權(quán)限權(quán)限與普通OA用戶一樣。Guest用戶經(jīng)過懇求，僅具有

34、一定時間限制的運用Internet的權(quán)限，超越懇求時間，無線網(wǎng)絡自動斷開。XX企業(yè)對于無線用戶， 應具有記錄其帶寬流量，上網(wǎng)站點，并可以實時地進展控制的功能。4.1.2拓撲構(gòu)造如以下圖所示，在整個無線網(wǎng)絡系統(tǒng)當中，ARUBA的無線交換機A6000放置在數(shù)據(jù)中心，與中心交換機之間采用VLAN trunk進展銜接；而樓層中的AP經(jīng)過GRE隧道匯接回到無線交換機，途經(jīng)樓層會聚有線交換機和其它相關(guān)的有線網(wǎng)絡設(shè)備。在這樣的網(wǎng)絡實現(xiàn)當中，AP上用戶的流量都將經(jīng)過AP與無線交換機建立起的GRE隧道，流向無線交換機，在經(jīng)過相應的戰(zhàn)略匹配之后，用戶會被要求認證，或者流量會被轉(zhuǎn)發(fā)/丟棄。4.1.3設(shè)備選型和配置由

35、于此次無線覆蓋范圍包括鹽田國際三期行政樓各主要會議室，空中花園，實現(xiàn)空中或地面覆蓋。對樓層各個辦公區(qū)間能否接納到無線信號，不做特別要求。無線覆蓋范圍包括主樓1/2/4/8/12/13/15/16/17/18/19/20/21/22/23/24/25層會議室和三個空中花園公共部分，副樓2/3/4/5層會議室，培訓室，實現(xiàn)地面到桌面高度覆蓋。第1層、第22層兩個關(guān)鍵部位的大型會議室部位要實現(xiàn)無信信號的重疊覆蓋。防止一臺AP缺點，另一臺AP仍能正常提供無線網(wǎng)絡接入的效力。綜合了以上幾點之后，設(shè)備的型號以及配置見第5節(jié)的設(shè)備清單。4.1.4中心交換機銜接采用ARUBA2400交換機，放置在數(shù)據(jù)中心的網(wǎng)

36、絡機房，每臺ARUBA2400無線交換機可以支持48個AP接入和管理，完全滿足XX企業(yè)大樓無線覆蓋的需求。同時，無線交換機和AP的銜接可以穿透三層，因此，方案的實現(xiàn)完全不影響原有網(wǎng)絡的構(gòu)造，并且可以實現(xiàn)全網(wǎng)的遨游。AP的供電采用單獨的Poe供電設(shè)備或與原有的普通樓層交換機配合，不用添加新的POE交換機，用于AP的數(shù)據(jù)接入和供電，又不添加過多的本錢。在ARUBA的處理方案當中，無線交換機的放置位置需求留意以下兩點：ARUBA的無線交換機與相連中心交換機/路由器之間端口協(xié)商的匹配性：假設(shè)存在著匹配失誤的情況，那么整個網(wǎng)絡的穩(wěn)定性會遭到影響。ARUBA的無線交換機與中心設(shè)備之間相連的VLAN情況需求

37、和網(wǎng)絡的規(guī)劃一同進展，普通來說，ARUBA無線交換機和網(wǎng)絡中心設(shè)備之間會建立VLAN trunk的標志，用于將用戶劃分到不同的VLAN當中去。4.1.5接入層AP部署ARUBA方案可以方便的實現(xiàn)跨三層部署，接入層的AP部署只是需求拿到屬于本人的IP網(wǎng)絡設(shè)置和網(wǎng)絡中曾經(jīng)部署的ARUBA交換機IP地址即可。這樣的架構(gòu)大大簡化了傳統(tǒng)無線網(wǎng)絡部署當中的復雜程度，減輕了AP設(shè)置與用戶設(shè)備以及AP所銜接的有線網(wǎng)絡配置相雜揉的情況。通常，視AP需求管理的程度以及有線網(wǎng)絡的整體架構(gòu)來規(guī)劃AP的部署。XX企業(yè)大樓的無線接入點曾經(jīng)預留在各對應樓層天花上。4.1.7用戶接入戰(zhàn)略從xx企業(yè)的用戶分類與分布情況分析，用

38、戶主要分成以下幾類：1內(nèi)部員工；2Guest用戶；運用網(wǎng)絡是被分為不同的業(yè)務類型，因此，在設(shè)計上采用無線局域網(wǎng)多SSID技術(shù)，設(shè)置多業(yè)務區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個SSID，例如一個SSID可給內(nèi)部員工所用，而另一個可給外來的客戶公用。SSID的最主要用途是可讓無線終端以不同的平安認證和加密方式入網(wǎng)。用戶可根據(jù)實踐的情況和802.11開展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是運用二個SSID，一個定義為OPEN/Static WEP供客戶用，另一個SSID那么為TKIP(WPA)專為內(nèi)部員工運用。另外，可以增設(shè)一個802.11i SSID讓員工以過度的方式逐漸從轉(zhuǎn)移到這個SSID上。不能一步轉(zhuǎn)到802.11i的主因在于很多的無線終端如今尚未支持802.11i。SSID可以覆蓋全網(wǎng)，也可以只局限于XX企業(yè)大樓內(nèi)的某些范圍。普通的情況下是全網(wǎng)開通，例如客人(Guest)運用的SSID；但有些SSID那么能夠只供某些部門運用，所以無線覆蓋范圍通常只會局限在某些范圍內(nèi)。所以針對XX企業(yè)無線局域網(wǎng)多種用戶的不同業(yè)務類型應該采取不同的SSID進展管理和控制。