XXXXX辦公樓無線覆蓋解決方案2008年3月PAGE28目錄一、 XXXXX辦公樓無線覆蓋建設(shè)需求 21．項(xiàng)目背景 21．1PAD接入和漫游 2二、 Aruba無線交換局域網(wǎng) 22．1Aruba公司介紹 22．2Aruba無線局域網(wǎng)的技術(shù)特點(diǎn) 32．3Aruba無線局域網(wǎng)系統(tǒng)架構(gòu) 42．3．1先進(jìn)的無線局域交換機(jī) 42．3．2靈活的組網(wǎng)方式 52．3．3優(yōu)秀的擴(kuò)展性 52．3．4無需更改有線網(wǎng)結(jié)構(gòu) 52．3．5方便地?zé)o線網(wǎng)規(guī)劃設(shè)計(jì) 62．4Aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理 62．4．1集中式管理 62．4．2無需安裝客戶端軟件 72．4．3RF智能控管 72．4．4多個SSID結(jié)構(gòu) 82．4．5故障自動恢復(fù) 82．4．6網(wǎng)絡(luò)負(fù)載均衡 82．4．7無線終端定位 92．5Aruba無線局域網(wǎng)系統(tǒng)的安全管理 92．5．1集中的安全管理 92．5．2多種用戶認(rèn)證方式 92．5．3安全的AP技術(shù) 92．5．4無線接入點(diǎn)安全偵測和保護(hù) 10三、 XXXXX無線覆蓋系統(tǒng)建議 103．1無線覆蓋建議 103．2天線安裝建議 143．3無線組網(wǎng)實(shí)現(xiàn) 153．4用戶使用流程 163．5用戶接入控制 173．5．1SSID的加密和認(rèn)證 173．5．2用戶接入時間控制 18四、 產(chǎn)品介紹 194．1移動交換機(jī)2400產(chǎn)品介紹 194．2移動交換機(jī)2400功能說明列表 224．3AP產(chǎn)品介紹 254．4用戶使用流程 26五、 配置清單 28XXXXX辦公樓無線覆蓋建設(shè)需求1．項(xiàng)目背景此次無線覆蓋項(xiàng)目的是針對XXXXX所屬的辦公樓做無線局域網(wǎng)的覆蓋，滿足PDA方面的應(yīng)用需求。具體需求如下：1．1PAD接入和漫游通過采用無線局域網(wǎng)覆蓋方式滿足PDA的WIFI接入和漫游。PDA采用的是多普達(dá)的P800W，該款PDA支持802.11b/g無線網(wǎng)絡(luò)，在無線信號覆蓋范圍內(nèi)可方便的接入網(wǎng)絡(luò)，實(shí)現(xiàn)移動辦公和上網(wǎng)的需求。Aruba無線交換局域網(wǎng)2．1Aruba公司介紹Aruba公司是2002年成立的總部設(shè)在美國硅谷的一家高科技公司，Aruba一直致力于無線領(lǐng)域的技術(shù)創(chuàng)新與進(jìn)步，在業(yè)界首先實(shí)現(xiàn)了無線交換并創(chuàng)造性地提出了“移動邊緣”的概念。在美國、歐洲、中東和亞太地區(qū)建有分支機(jī)構(gòu)，員工更是布滿全球。Aruba以開發(fā)出第一個模塊移動系統(tǒng)的著稱，該系統(tǒng)可集中控制所有接入、安全和移動服務(wù)，可使企業(yè)不間斷、可衡量、無斷裂地從固定網(wǎng)絡(luò)轉(zhuǎn)到移動網(wǎng)絡(luò)。公司同阿爾卡特、AT&T、IBM、惠普以及NCR公司建立了全球戰(zhàn)略銷售和服務(wù)合作關(guān)系。Aruba公司全球最先進(jìn)的無線產(chǎn)品得到了各個市場的領(lǐng)先企業(yè)的廣泛認(rèn)可。Aruba借助最新的發(fā)明的新網(wǎng)絡(luò)體系結(jié)構(gòu)，為客戶帶來“移動邊緣”，可以滿足IT管理人員的最關(guān)心的三個問題——移動性、安全性和整合性。代表了對無線網(wǎng)絡(luò)的戰(zhàn)略步驟，而不僅僅是建立無線局域網(wǎng)。Aruba的“移動邊緣”拓展了企業(yè)的網(wǎng)絡(luò)范圍——跨越了局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)——使用戶無論身在何處都可以安全訪問信息和語音服務(wù)的，而企業(yè)可以開發(fā)新的應(yīng)用。裝配“移動邊緣”后，可以無縫覆蓋現(xiàn)存的網(wǎng)絡(luò)，將校園、地區(qū)和分公司的網(wǎng)絡(luò)以及在家中、酒店、公眾景點(diǎn)的遠(yuǎn)程終端用戶聯(lián)系。最重要的是，“移動邊緣”在提高經(jīng)濟(jì)收益的同時可以滿足用戶對移動性能的爆炸式增長要求，對傳統(tǒng)固網(wǎng)或有線網(wǎng)絡(luò)的具有十倍優(yōu)勢。企業(yè)網(wǎng)絡(luò)的長期自然演化的趨勢是達(dá)到完全無線。企業(yè)網(wǎng)絡(luò)經(jīng)濟(jì)由于消除了光纜成本和移動、增加和改變的網(wǎng)絡(luò)的操作費(fèi)用，將經(jīng)劇烈的轉(zhuǎn)型?！耙苿舆吘墶弊鳛閯?chuàng)造性的新式網(wǎng)絡(luò)結(jié)構(gòu)，為當(dāng)今的網(wǎng)絡(luò)提供移動性、安全性和整合性，展現(xiàn)了將來企業(yè)網(wǎng)絡(luò)的端口最終將比現(xiàn)在少得多的前景?！耙苿舆吘墶笨梢粤r提供以下幾種優(yōu)勢：?為用戶和企業(yè)管理迅速、簡便以及經(jīng)濟(jì)的提供移動數(shù)據(jù)和語音服務(wù)?為移動型企業(yè)提供安全的解決方法，使有線網(wǎng)絡(luò)同無線網(wǎng)絡(luò)同樣的安全?與現(xiàn)存基礎(chǔ)設(shè)備可以完全整合對接，保證了網(wǎng)絡(luò)的安全與穩(wěn)定?通過降低資本和運(yùn)營成本，大幅提高的網(wǎng)絡(luò)的經(jīng)濟(jì)性?為用戶和服務(wù)未來的增長提供堅(jiān)實(shí)而靈活的基礎(chǔ)。Aruba公司一直在高速發(fā)展，全球超過1000家頂級企業(yè)，包括世界最大的無線網(wǎng)絡(luò)系統(tǒng)，都采用了我們的產(chǎn)品。只有Aruba公司可以提供：?可以保護(hù)網(wǎng)絡(luò)和移動用戶身份對應(yīng)的安全策略；?與現(xiàn)存網(wǎng)絡(luò)無中斷整合；?為VoIP和數(shù)據(jù)服務(wù)保證整合性能；?適應(yīng)性無線電波管理以進(jìn)行無線局域網(wǎng)自我配置；?即時企業(yè)網(wǎng)絡(luò)接入據(jù)點(diǎn)的遠(yuǎn)程延伸；?企業(yè)級的升級性能、可靠性和性能；?開發(fā)和集成移動應(yīng)用的開放性平臺。2．2Aruba無線局域網(wǎng)的技術(shù)特點(diǎn)第一代無線局域網(wǎng)技術(shù)采用單純的AP實(shí)現(xiàn)無線接入，基本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)，采用AC＋智能AP構(gòu)架，AC兩者實(shí)質(zhì)均為二層設(shè)備，AP實(shí)現(xiàn)接入、AC實(shí)現(xiàn)匯聚和認(rèn)證功能，有的廠商的AC實(shí)現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如：WEB認(rèn)證、流量的控制、訪問的控制等；支持VLAN、VPN、WPA等基本的安全管理，它們無法實(shí)現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量(IPsessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機(jī)情況。第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)（以Aruba和Cisco為代表），實(shí)現(xiàn)了基于無線網(wǎng)絡(luò)交換機(jī)，以AP為單元交換的無線網(wǎng)絡(luò)系統(tǒng)，Aruba是采用獨(dú)立的無線網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)的。作為第三代的Aruba無線系統(tǒng)采用了WirelessSwitch＋AP構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos保證。Aruba無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面，Aruba無線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。在無線網(wǎng)絡(luò)管理方面，Aruba無線系統(tǒng)實(shí)現(xiàn)真正的集中控管，包括獨(dú)有的RF智能調(diào)控，自動恢復(fù)、負(fù)載均衡功能，使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化，動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果；還可以實(shí)現(xiàn)遠(yuǎn)端AP狀態(tài)監(jiān)測，方便實(shí)現(xiàn)對AP的管理；具有多SSID支持，實(shí)現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。在無線音視頻應(yīng)用方面，Aruba獨(dú)有的基于每個用戶的帶寬控制和QOS保證，可以確保語音和視頻業(yè)務(wù)的實(shí)時性，先進(jìn)的無縫三層移動漫游，使得VoIP以及Wi-fi手機(jī)可以自由的在任意AP間切換，具有目前業(yè)界最低的時延。2．3Aruba無線局域網(wǎng)系統(tǒng)架構(gòu)2．3．1先進(jìn)的無線局域交換機(jī)領(lǐng)導(dǎo)第三代的無線網(wǎng)絡(luò)技術(shù)的Aruba公司無線系統(tǒng)采用了控制交換機(jī)＋瘦AP構(gòu)架，將第二代分散在AP+AC上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn)，同時增加了許多無線局域網(wǎng)全新的功能。諸如：無線安全性、AP管理控制、RF站址監(jiān)測、無縫移動漫游，特別是對語音、視頻業(yè)務(wù)的支持有專門的Qos保證，使得VoWlan應(yīng)用的Wi-Fi技術(shù)應(yīng)用飛速發(fā)展。2．3．2靈活的組網(wǎng)方式第三代的Aruba產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個AP），到大型無線網(wǎng)規(guī)模（幾百個AP，甚至上千個AP），都可以采用集中或者分布式的組網(wǎng)方式進(jìn)行靈活的組網(wǎng)。并可以提供冗余熱備份機(jī)制，保證系統(tǒng)的高可用性。2．3．3優(yōu)秀的擴(kuò)展性無線網(wǎng)絡(luò)具有非常方便擴(kuò)展的特性。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴(kuò)展性。在網(wǎng)絡(luò)系統(tǒng)擴(kuò)展性方面，Aruba的一臺2400型交換機(jī)可靈活地對48個AP進(jìn)行管理；從網(wǎng)絡(luò)管理擴(kuò)展性方面,Aruba的Master/Local方式，MasterAruba交換機(jī)可以同時控制管理28臺的LocalAruba交換機(jī)，因此增加交換機(jī)也非常容易管理。除了AP數(shù)量之外，怎樣控管大量的AP和部署也是擴(kuò)展性的重要考慮因素。要妥善處理數(shù)目眾多的AP在園區(qū)網(wǎng)內(nèi)正常遠(yuǎn)作，包括無線電波協(xié)調(diào)、無線用戶的帶寬和安全訪問控管以及其它各種各樣的無線增值服務(wù)都可以通過Aruba系統(tǒng)的網(wǎng)管系統(tǒng)實(shí)現(xiàn)。2．3．4無需更改有線網(wǎng)結(jié)構(gòu)由于無線用戶的傳輸是通過ArubaAP內(nèi)已建立的GRE隧道和Aruba交換機(jī)互連的，所以實(shí)際上無線用戶的VLAN是無須在接入層和匯聚層存在。無線用戶的VLAN是可透過Aruba交換機(jī)和骨干交換機(jī)互連互通。這樣非常方便在園區(qū)里實(shí)施無線局域網(wǎng)，同時也非常方便進(jìn)行擴(kuò)展。ARUBA的無線交換機(jī)可以安裝在辦公樓的中心機(jī)房，而AP則可以放置于園區(qū)的任何地方，無需用二層設(shè)備連到無線交換機(jī)，或者劃分VLAN；其他廠家則需要二層交換機(jī)連接或者劃分VLAN，否則只能將認(rèn)證點(diǎn)下放到AP上，導(dǎo)致整體性能的降低和漫游特性的缺失。不用劃分VLAN，對于無線網(wǎng)絡(luò)的管理帶來極大的便利性。對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。2．3．5方便地?zé)o線網(wǎng)規(guī)劃設(shè)計(jì)在規(guī)劃一個無線局域網(wǎng)絡(luò)時，規(guī)劃設(shè)計(jì)者一項(xiàng)重要的工作是要考慮安裝多少AP可以滿足覆蓋？應(yīng)在哪些位置安裝AP，安裝后電波的覆蓋范圍，信號在不同位置的強(qiáng)弱等，要完成此項(xiàng)工作，通常做法是規(guī)劃設(shè)計(jì)者要在現(xiàn)場做大量的測試工作，通過經(jīng)驗(yàn)去估算位置和數(shù)量，其工作量非常之大，無法預(yù)先規(guī)劃每個AP的電磁波和功率參數(shù)以及AP之間的覆蓋相交范圍。Aruba首創(chuàng)開發(fā)了RFPlanning工具，讓規(guī)劃設(shè)計(jì)者在無線局域網(wǎng)組網(wǎng)之初采用RFPlanning在計(jì)算機(jī)上做規(guī)劃設(shè)計(jì)，估算在要求的覆蓋面積上AP應(yīng)安裝的物理位置所在。使用這套工具時，在數(shù)字化的園區(qū)建筑圖紙上設(shè)定無線所覆蓋范圍如那幾個樓層和面積大小，輸入有關(guān)無線覆蓋和傳輸模型的相關(guān)參數(shù)，如無線終端的平均帶寬，AP和AP之間覆蓋面等。RFPlanning自動計(jì)算，然后顯示出AP在圖上的安裝坐標(biāo)位置和無線電波的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝AP，在無線網(wǎng)安裝完成后，網(wǎng)管人員通過RF規(guī)劃自動校準(zhǔn)功能，Aruba交換機(jī)可以自動調(diào)節(jié)無線網(wǎng)上所有ArubaAP的頻道與功率參數(shù)以達(dá)到一個最優(yōu)性能的運(yùn)行狀態(tài)。在無線局域網(wǎng)系統(tǒng)投入運(yùn)行后，網(wǎng)管人員可通過RFPlanning隨時監(jiān)測網(wǎng)內(nèi)的每個AP的無線電波實(shí)際的運(yùn)行狀態(tài)，及時掌握每個AP的工作狀態(tài)和故障診斷，及時做出調(diào)整策略。ArubaRFPlanning為無線網(wǎng)的規(guī)劃設(shè)計(jì)、調(diào)試以及維護(hù)提供科學(xué)化和規(guī)范化的管理。2．4Aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理2．4．1集中式管理網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個AP以上）是一件非常頭痛的事情。從RF覆蓋面，帶寬，用戶的認(rèn)證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于AP，因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個AP上進(jìn)行設(shè)置和更改。其工作量在有一定數(shù)量AP的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)，AP之間必須互協(xié)調(diào)工作，單獨(dú)改變一個AP參數(shù)和配置會引起AP之間的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會產(chǎn)生問題。Aruba系統(tǒng)具有非常強(qiáng)的無線局域網(wǎng)集中管理功能，通過無線交換機(jī)MasterSwitch和LocalSwitch管理模式管理整個網(wǎng)絡(luò)，網(wǎng)管人員只需在無線交換機(jī)就可開通、管理、維護(hù)所有AP設(shè)備以及移動終端，包括無線電波頻譜、接入認(rèn)證、移動漫游。2．4．2無需安裝客戶端軟件Aruba系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件，Aruba的認(rèn)證可以基于WEB頁面認(rèn)證，認(rèn)證只需用戶打開瀏覽器就可以登陸。ARUBA采用GRE隧道技術(shù)，可以透明地穿透在無線交換機(jī)和AP之間的任何三層網(wǎng)絡(luò)交換設(shè)備實(shí)現(xiàn)WEB認(rèn)證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標(biāo)準(zhǔn)的L2TP或IPSEC或802.1客戶端軟件才能實(shí)現(xiàn)WEB頁面認(rèn)證。2．4．3RF智能控管Aruba系統(tǒng)的RF智能控管可以自動調(diào)節(jié)網(wǎng)上所有ArubaAP的電波特性。初次安裝無線局域網(wǎng)時，用戶可通過RFPlanning的AutoCalibration功能來自動調(diào)節(jié)整個無線網(wǎng)上所有AP的無線電波頻率和功率。啟動了AutoCalibration以后AP和AP之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到AP之間達(dá)到了一個最優(yōu)化的無線電波運(yùn)行環(huán)境。Aruba系統(tǒng)的RF智能控管可以自動對網(wǎng)上所有ArubaAP的無線電波管理。當(dāng)無線局域網(wǎng)經(jīng)過自動校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運(yùn)作時，網(wǎng)絡(luò)管理員可在Aruba交換機(jī)內(nèi)啟動ARM這功能，無線網(wǎng)上所有的ArubaAP都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指ArubaAP從一個電波頻道跳到另一頻道時，如Ch1到Ch2到Ch3，由于掃描的速度非?？?，所以對于在線的無線用戶（指連接到AP上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當(dāng)AP停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回Aruba無線交換機(jī)。Aruba無線交換機(jī)可以對整個無線網(wǎng)上的電波情況偵測和記錄。當(dāng)某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾AP所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等，Aruba無線交換機(jī)就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)AP的無線電波。2．4．4多個SSID結(jié)構(gòu)Aruba系統(tǒng)的多SSID結(jié)構(gòu)和和實(shí)現(xiàn)技術(shù)使得在Aruba無線局域網(wǎng)系統(tǒng)的各種多媒體應(yīng)用服務(wù)（數(shù)據(jù)、語音和視頻）在QoS上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個SSID，例如一個SSID可給公司領(lǐng)導(dǎo)以及普通員工所用，而另一個可給外來的訪問客戶專用。所以當(dāng)無線終端在這個AP覆蓋范圍內(nèi)啟動時，它就能同時看到多個SSID。SSID的另一用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。在一個語音SSID內(nèi)可把SIP和H.323等無線語音數(shù)據(jù)以優(yōu)先級隊(duì)列處理。在一個視頻SSID內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊(duì)列處理。同時在一個預(yù)設(shè)定的視頻SSID內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進(jìn)入這SSID。在一個預(yù)設(shè)定語音SSID內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語音傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進(jìn)入這SSID。可在多SSID的情況下確保語音和視頻的Qos支持。2．4．5故障自動恢復(fù)傳統(tǒng)的無線網(wǎng)在有AP損壞或失效時，這個AP的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現(xiàn)場失效的AP換掉。但由于大多數(shù)的AP都是設(shè)置在外面(不是在機(jī)房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護(hù)人員即時做出更換(很多的AP都是安裝在天花板上)。Aruba系統(tǒng)具有自動恢復(fù)的功能，實(shí)時偵測出網(wǎng)上AP是否有失效，當(dāng)發(fā)覺有AP出現(xiàn)故障時，Aruba交換機(jī)能會自動調(diào)節(jié)鄰近的AP的功率（覆蓋范圍）來接替失效AP的工作。2．4．6網(wǎng)絡(luò)負(fù)載均衡Aruba系統(tǒng)可在一個AP的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的AP上。在一個AP的覆蓋范圍內(nèi)，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須能限制一個AP上無線終端的數(shù)量或AP帶寬傳輸總和或和每個無線終端帶寬上限。Aruba無線系統(tǒng)可應(yīng)用層面通過4－7層交換模塊可以實(shí)現(xiàn)服務(wù)器的負(fù)載均衡，VPN設(shè)備，防火墻設(shè)備等等一系列基于TCP/IP協(xié)議設(shè)備的負(fù)載均衡來保證整體網(wǎng)絡(luò)的可靠性。在視頻應(yīng)用中，負(fù)載均衡功能可以有效的緩解單個AP的負(fù)擔(dān)，有效的利用臨近的AP做接入，從而確保視頻應(yīng)用的質(zhì)量得到保證。2．4．7無線終端定位Aruba網(wǎng)管系統(tǒng)可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、PDA和Wi-Fi手機(jī)等。Aruba采用的無線定位模式稱為三角定位，無線定位的準(zhǔn)確性可達(dá)到2.5米以內(nèi)，無線定位的條件是所尋找的無線終端附近須有最少三個Aruba的AP在范圍內(nèi)。這是傳統(tǒng)無線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無線定位技術(shù)來取代傳呼機(jī)在醫(yī)院內(nèi)尋找醫(yī)生、病人等。大學(xué)對非法AP的定位，可以成為學(xué)校網(wǎng)絡(luò)中心的管理人員提供清楚非法AP有效手段，可以方便快捷的清除非法AP的網(wǎng)絡(luò)接入。可以保證園區(qū)網(wǎng)絡(luò)接入的安全可靠性。2．5Aruba無線局域網(wǎng)系統(tǒng)的安全管理2．5．1集中的安全管理Aruba無線系統(tǒng)的安全管理是將防火墻、VPN、安全認(rèn)證、防病毒、無線入侵監(jiān)測以及RF電磁波管理等多項(xiàng)安全功能匯聚到Aruba無線交換機(jī)上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（AP、AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。2．5．2多種用戶認(rèn)證方式在Aruba無線系統(tǒng)中，一個無線用戶進(jìn)入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過認(rèn)證以后才可以接入無線網(wǎng)。Aruba無線系統(tǒng)支持目前各種用戶認(rèn)證的方式（802.1、WEB認(rèn)證、MAC、SSID、VPN等），園區(qū)網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。2．5．3安全的AP技術(shù)Aruba無線系統(tǒng)和其它廠家在無線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過AP，而是在Aruba無線交換機(jī)上實(shí)現(xiàn)。由于Aruba的AP是不儲存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此Aruba管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)ArubaAP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。2．5．4無線接入點(diǎn)安全偵測和保護(hù)采用Aruba無線系統(tǒng)的RF偵測功能和保護(hù)機(jī)制可以實(shí)時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過Aruba的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護(hù)機(jī)制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。XXXXX無線覆蓋系統(tǒng)建議3．1無線覆蓋建議根據(jù)無線網(wǎng)絡(luò)需求及園區(qū)內(nèi)實(shí)地的了解，并結(jié)合以往的工程經(jīng)驗(yàn)，對無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃：圖一1樓圖二2樓圖三3樓圖四4樓圖五5樓圖六6樓在規(guī)劃中，每一層需要7個AP才能實(shí)現(xiàn)全層的覆蓋，這個是一個規(guī)劃值，由于無線信號的穿透受多種因素影響，如墻體的用料，厚度；木門還是鐵門；轉(zhuǎn)彎和拐角等，因此可能需要增加AP在一些無線信號穿透不到的位置，如樓梯，辦公樓的四個角位等。此外在辦公樓的一些重要位置安裝性能高的AP，如三樓的董事長室，副總經(jīng)理室等，可以確保貴公司領(lǐng)導(dǎo)在無線應(yīng)用的穩(wěn)定性。3．2天線安裝建議為了增強(qiáng)無線信號，降低投入成本，本設(shè)計(jì)擬采用加裝大功率的天線來實(shí)現(xiàn)，將AP的信號覆蓋范圍增大。具體天線安裝的位置要通過現(xiàn)場測試信號的范圍才能確定，預(yù)計(jì)安裝在走廊上，一些房間由于有實(shí)體墻和鐵門阻擋，信號難以覆蓋，則可以安裝在室內(nèi)。本方案將全部采用室內(nèi)天線，室內(nèi)天線分兩種，一種是可放置在桌面的全向天線，一種則是吸頂定向天線，在這里建議使用吸頂天線，因?yàn)橄啾容^而言，定向天線的信號比全向的要好。安裝上可將吸頂天線裝在走廊或室內(nèi)的天花上，這樣無線信號可以作一個比較大范圍的輻射，效果比桌面天線要好，而在吸頂天線不方便安裝區(qū)域則可以采用桌面天線。方案的安裝圖如下：圖七天線安裝圖3．3無線組網(wǎng)實(shí)現(xiàn)Aruba2400無線交換機(jī)可以最多可支持48個AP的接入和管理，完全滿足辦公區(qū)無線覆蓋的需求，并留有充足的擴(kuò)展余量。Aruba2400交換機(jī)集中匯集AP的接入和控管。無線交換機(jī)和AP的連接可以穿透三層網(wǎng)絡(luò)設(shè)備，因此，無線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)，可以實(shí)現(xiàn)全網(wǎng)的無線漫游。Aruba公司的60/61/65/70系列AP，具有各種安全和管理功能，Aruba交換機(jī)可以完全使用管理ArubaAP的管理方式一樣來管理AP，實(shí)現(xiàn)所有Aruba提供的安全和管理功能。無線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖如圖八所示：圖八網(wǎng)絡(luò)拓?fù)鋱D移動交換機(jī)2400放置在機(jī)房與核心交換機(jī)相連，AP根據(jù)安裝位置和距離，部分AP可直接與2400相連，由2400直接通過PoE供電，無需再使用外接電源，另外一部分AP可與樓層交換機(jī)相連，由外接電源供電。3．4用戶使用流程用戶可以在無線信號覆蓋的范圍內(nèi)使用PDA的WIFI功能接入到網(wǎng)絡(luò)，只需打開PDA的WIFI功能即可方便的接入，體驗(yàn)移動辦公的方便與快捷。具體流程如圖九所示：圖九用戶使用流程圖3．5用戶接入控制3．5．1SSID的加密和認(rèn)證2400移動控制器支持多個SSID接入，可以按用戶需求劃分不同的SSID，比如專供領(lǐng)導(dǎo)使用的SSID，給員工使用的SSID以及供訪客使用的SSID，不同的SSID可以設(shè)置不同的認(rèn)證和加密方式，需注意的是每個SSID僅支持一種認(rèn)證和加密方式。對于外來的AP以及非用戶的SSID，可在移動控制器上將該AP設(shè)置成非法AP，這樣可以阻擋用戶去連接其SSID，達(dá)到用戶僅能連接本公司的無線網(wǎng)絡(luò)的目的。如圖十所示：圖十Rogue（非法）AP設(shè)定圖移動控制器2400目前可以支持以下認(rèn)證方式：802.1X/WEP，WPA，WPA-PSK，WPA2，WPA2-PSK，xSec，此外支持多種高級認(rèn)證：網(wǎng)頁注冊，網(wǎng)頁強(qiáng)制認(rèn)證，VPN，MAC。認(rèn)證服務(wù)器可以支持多種方式，如：外部Radius，LDAP，內(nèi)部數(shù)據(jù)庫等。由于多普達(dá)P800W僅支持802.11b/g協(xié)議，因此需選用802.11b/g，為確保安全性，可選擇WEP加密認(rèn)證方式，在接入到無線網(wǎng)絡(luò)時需輸入認(rèn)證密碼才能通過。3．5．2用戶接入時間控制當(dāng)采用內(nèi)部數(shù)據(jù)庫認(rèn)證時，可以對接入用戶進(jìn)行時間控制。界面圖十一所示圖十一用戶接入時間控制在Expiration（過期時限）里有三個選項(xiàng)，第一個是Entrydoesnotexpire（接入永不過期），第二個是SetExpirytime（mins）（按分鐘來設(shè)置過期的時間），第三個是SetExpiryData（mm/dd/yyyy）(過期的日期)，ExpiryTime（hh:mm）（過期的時間），可根據(jù)需求選擇時間控制的方法。產(chǎn)品介紹4．1移動交換機(jī)2400產(chǎn)品介紹Aruba2400移動控制器Aruba2400移動控制器配有24個10/100Mbps以太網(wǎng)端口和2個千兆以太網(wǎng)(GBIC)級聯(lián)端口。Aruba2400支持最多48個接入點(diǎn)(AP)和多達(dá)512個并發(fā)用戶。2400專為區(qū)域總部或密集辦事處部署而設(shè)計(jì)，通過集成的硬件加速加密引擎可傳輸高達(dá)400Mbps的加密吞吐量。性能和容量機(jī)架式1U配置固定10/100端口24以太網(wǎng)供電是以太網(wǎng)串聯(lián)是GBIC級聯(lián)端口2有線L2/L3交換機(jī)操作是硬件加速加密是RS-232串聯(lián)控制臺(RJ-45)是帶外以太網(wǎng)管理端口否每臺交換機(jī)最大用戶數(shù)目512每臺交換機(jī)最大接入點(diǎn)數(shù)目48加密流量(3DES)吞吐量400Mbps交換機(jī)吞吐量2Gbps容錯性VRRP用于交換機(jī)故障切換是自動接入點(diǎn)再導(dǎo)引是冗余電源否冗余風(fēng)扇否冗余監(jiān)控模塊否多個級聯(lián)端口以實(shí)現(xiàn)冗余是（可使用任一交換機(jī)端口）802.11傳送、認(rèn)證和加密802.11通信標(biāo)準(zhǔn)a，b/g802.1x是加密類型WEP、動態(tài)WEP、TKIPWPA、WPA-2、802.11i、DES、3DES、AES-CCMP、AES-CBC、EAP、PEAP、TLS、TTLS、LEAP、EAP-FAST、xSec-L2AESMAC地址認(rèn)證是可升級到新的加密機(jī)制是Wi-FiCertified標(biāo)志是RF管理和控制適合無線電資源管理(ARM)是語音察覺掃描是，多ESSID最多48個接入點(diǎn)3維RF站點(diǎn)視圖是自動接入點(diǎn)校準(zhǔn)分布式和集中式在失敗的接入點(diǎn)旁進(jìn)行自恢復(fù)是負(fù)載平衡—用戶數(shù)目是負(fù)載平衡—基于利用情況是覆蓋盲區(qū)和干擾檢測是無線RMON/分組捕捉是第三方分析工具插件Ethereal，Airopeek基于定時器的接入點(diǎn)接入控制是移動性快速漫游2–3米秒（交換機(jī)間）10–15米秒（交換機(jī)內(nèi)內(nèi)部子網(wǎng)漫游是移動IP支持是代理移動IP是代理DHCP是VPN和防火墻并發(fā)IPsec通道512狀態(tài)防火墻策略（每用戶和每端口）64,000VPN終端Ipsec、PPTP、XAUTH、xSec（客戶端服務(wù)器和點(diǎn)到點(diǎn)）VPN撥號器是定制強(qiáng)制網(wǎng)絡(luò)門戶是外部強(qiáng)制網(wǎng)絡(luò)門戶是網(wǎng)絡(luò)地址轉(zhuǎn)換是ACLs標(biāo)準(zhǔn)和擴(kuò)展用戶管理每個用戶或每個角色分配防火墻策略、帶寬合同、會話優(yōu)先級、VLAN分配角色來源根據(jù)認(rèn)證、ESSID、加密、OUI基于位置的接入控制是服務(wù)質(zhì)量帶寬合同是—每個用戶和每個角色應(yīng)用識別流量分類和優(yōu)先級是802.1p支持 是DiffServ控制協(xié)議支持（DSCP標(biāo)記）是VoIP支持語音察覺RF監(jiān)控/掃描是—基于會話狀態(tài)語音會話優(yōu)先級SCP、SIP、Skinny、Vocera認(rèn)證服務(wù)本地RADIUS是第三方AAA服務(wù)器互用性MicrosoftActiveDirectory、MicrosoftIASRadiusServer、CiscoACSRadiusServer、FunkSteelBeltedRadiusServer、RSAACEserver、Infoblox、InterlinkRadiusServerLDAP/SSL安全LDAP是 無線LAN入侵語音察覺掃描是多頻段掃描（單模，整個頻段）是與第三方WLAN協(xié)同工作是檢測并消除未經(jīng)授權(quán)的接入點(diǎn)是拒絕服務(wù)攻擊檢測和防護(hù)認(rèn)證和解除認(rèn)證洪泛(Deauthenticationflood)、探測器請求洪泛(Proberequestflood)、偽接入點(diǎn)洪泛(FakeAPflood)人為攻擊序列號、檢測和防護(hù)EAP速率、工作站斷開分析工作站和接入點(diǎn)分類是工作站黑名單手動、認(rèn)證失敗、人為攻擊基于MAC地址的用戶數(shù)據(jù)庫對未經(jīng)授權(quán)或無效接入點(diǎn)分類是—MS-SQL或MySQL接入點(diǎn)錯誤配置保護(hù)是假冒工作站和接入點(diǎn)是不正確/效率低的WEPkeys和初始化矢量是自組網(wǎng)檢測和防止是未授權(quán)的NIC類型(OUI)是特征符分析是可升級至識別新的特征符和攻擊是多租戶策略是無線網(wǎng)橋檢測是網(wǎng)絡(luò)和系統(tǒng)管理網(wǎng)站用戶界面是命令行控制臺、telnet、SSH系統(tǒng)日志(Syslog)是SNMPv2c是Aruba私有MIB是MIB-II是本地Wi-Fi多路復(fù)用器的集中配置12本地Wi-Fi交換機(jī)的集中配置48Wi-Fi交換機(jī)和所有接入點(diǎn)的集中圖像更新c是第三方安全服務(wù)集成防病毒服務(wù)集成和用戶隔離是—Fortinet修復(fù)集成和用戶隔離是—Sygate服務(wù)器負(fù)載平衡用于外部服務(wù)器/服務(wù)器組是標(biāo)準(zhǔn)支持IEEE802.1xIEEE802.310BASE-TIEEE802.3u100BASE-TIEEE802.1QIEEE802.3afIEEE802.11a/b/gIEEE802.11dIEEE802.11i（草案）4．2移動交換機(jī)2400功能說明列表一、操作界面（OS版本2.5.5）圖十二操作界面圖二、功能說明1、Monitoring（監(jiān)視）——這個工具可顯示在整個ARUBA移動邊緣系統(tǒng)的組件和客戶端的情況，以及本地移動控制器，WLAN的連接情況和顯示自定義的日志。分欄描述Network（網(wǎng)絡(luò)）可以看到整個無線網(wǎng)絡(luò)的情況，包括所有的無線交換機(jī)，AP，空中監(jiān)測，接入的客戶端等Switch（本機(jī)）可以看到本機(jī)的無線網(wǎng)絡(luò)的情況，包括連接到本機(jī)的無線AP，空中監(jiān)測，客戶端，黑名的客戶端等WLAN（無線網(wǎng)絡(luò)）可以看到當(dāng)前啟用的SSID的情況，沒有啟用的SSID不會顯示在這里。Debug調(diào)試2、Configuration（配置）——這個工具是配置ARUBA移動邊緣系統(tǒng)的。分欄功能描述Base（基本配置）WLAN（無線網(wǎng)絡(luò)）配置SSID，可根據(jù)需要配置自己的SSID，這里可以選擇加密和認(rèn)證方式RFmanagement（射頻管理）配置頻道，有a/b/g三種方式Security（無線安全）配置安全規(guī)則，如果沒有防火墻的許可，僅可配置基本的規(guī)則Network（網(wǎng)絡(luò)）配置交換機(jī)的網(wǎng)絡(luò)，端口、VLAN、接口IP、網(wǎng)關(guān)等Management（管理）配置交換機(jī)的管理方式，SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）、Logging（日志服務(wù)器），Clock（時鐘）、ACCESSCONCTRL（管理員及權(quán)限設(shè)定）Advanced（高級配置）Switch（交換機(jī)）General（通用配置）交換機(jī)的詳細(xì)配置，比基本配置的網(wǎng)絡(luò)選項(xiàng)多了General（可配置loopback接口）、Tunnel（AP與交換機(jī)的GRE連接通道）、VRRP（冗余備份）、DHCPServer（DHCP服務(wù)器）Management（管理）與基本配置中相同Secureaccess簡單防火墻的規(guī)則WLAN（無線網(wǎng)絡(luò)）Network（網(wǎng)絡(luò)）配置SSIDRadio（射頻）802.11b/g和802.11a射頻的詳細(xì)配置Advanced（高級）可配置一些特殊要求的SSID，或者可配置某臺AP上使用的SSIDRFmanagement（射頻管理）Calibration（自動配置）自動優(yōu)化射頻的信道，功率等Optimization（優(yōu)化）射頻的優(yōu)化SecurityRogueAP設(shè)定非法AP監(jiān)測AAAServers認(rèn)證服務(wù)器的設(shè)定，如Radius，LDAP，內(nèi)部數(shù)據(jù)庫等AuthenticationMethods認(rèn)證方法的設(shè)定，如802.1x，VPN，網(wǎng)頁強(qiáng)制認(rèn)證，MAC地址，靜態(tài)802.1x，SSID，L2Encryption等3、Diagnostics（診斷）——這個工具是運(yùn)行PING和TRACERT命令檢測網(wǎng)絡(luò)情況，儲存和顯示輸出的技術(shù)支持文檔，以及顯示AP的配置和狀態(tài)。分欄描述P測試網(wǎng)絡(luò)連通情況Tracert檢測路由4、Maintenance（維護(hù)）——這個工具是升級OS軟件，加載許可證，從閃存中拷貝或恢復(fù)備份，配置和重啟AP，以及配置網(wǎng)頁強(qiáng)制認(rèn)證的功能。分欄功能描述Switch（交換機(jī)）ImageManagement（映象管理）操作軟件升級RebootSwitch重啟交換機(jī)ClearConfig清除配置SynchronizeDatabase同步數(shù)據(jù)庫LicenseManagement許可管理，從這里添加購買的許可，如防火墻，入侵檢測，VPN等BootParameters可選擇啟動的分區(qū)，Aruba的交換機(jī)的內(nèi)存分為兩個分區(qū)，可裝載兩個不同版本的操作系統(tǒng)File（檔案）可備份配置，設(shè)定的文檔等WLANProgramAP配置AP，可配置AP的Location，天線的dbi，IP，以及屬于哪個移動交換機(jī)等RebootAP重啟APCaptiveprotal（網(wǎng)頁強(qiáng)制認(rèn)證）CustomizeLoginPage自定義登陸窗口UploadCertificate上傳認(rèn)證證書UploadcustomLoginPage上傳自定義登陸窗口5、Plan（無線規(guī)劃）——這個工具是根據(jù)使用環(huán)境設(shè)計(jì)WLAN的部署和提供無線覆蓋信號圖以及AP或AM的位置定位。分欄功能描述BuildingSpecification（建筑規(guī)格）Dimension配置建筑的長寬高，樓層數(shù)Modeling：AP配置AP的類型，數(shù)量和采用的射頻（a/b/g）Modeling：AM配置空中檢測的類型，數(shù)量和采用的射頻（a/b/g）Planning（規(guī)劃）Floors配置樓層的平面圖，選擇需要無線覆蓋的區(qū)域APPlan根據(jù)平面圖以及AP的數(shù)量配置AP的位置及采用的信道AMPlan根據(jù)平面圖以及AP的數(shù)量配置AP的位置及采用的信道Deployed（部署）Floors每個樓層已經(jīng)部署好的AP的位置及射頻圖，可從這里看到AP的狀態(tài)及信號覆蓋的范圍6、Events（事件）——這個工具可以顯示移動邊緣系統(tǒng)的事件以及自定義的事件報(bào)告。分欄描述CustomEvents自定義事件顯示7、Reports（報(bào)告）——這個工具可以顯示AP的情況報(bào)告（包括非法AP和可能有干擾的AP），客戶端的接入情況和自定義的報(bào)告。4．3AP產(chǎn)品介紹ArubaAP60和61Arub