XXX 學校 無線局域網(wǎng) 解決方案 建議 書 XXX 學校 無線局域網(wǎng)解決方案建議書 200X 年 X 月 目 錄 一、 XXXX 無 線局域網(wǎng)系統(tǒng)建設需求 . 3 1項目背景 . 3 1 1 擴展網(wǎng)絡信息點數(shù)量需求 . 3 1 2 網(wǎng)絡教學需求 . 3 1 3 遠程教學和視頻會議需求 . 3 1 4 建設數(shù)字化信息大學需求 . 4 1 5 無線覆蓋范圍需求 . 4 二、 XXXX 大學無線局域網(wǎng)設計原則和技術需求 . 4 2 1 遵循標準 . 4 2 2 技術成熟 . 4 2 3 安全可靠 . 5 2 4 可擴展可升級 . 5 2 5 易管理易維護 . 5 2 6 技術需求 . 6 三、 Aruba 無線交換局域網(wǎng)系統(tǒng)技術特點 . 6 3 1 Aruba 無線局域網(wǎng)系統(tǒng)架構 . 7 3 1 1 先進的無線局域交換機 . 7 3 1 2 靈活的組網(wǎng)方式 . 7 3 1 3 優(yōu)秀的擴展性 . 8 3 1 4 無需更改有線網(wǎng)結構 . 8 3 1 5 方便地無線網(wǎng)規(guī)劃設計 . 8 3 2 Aruba 無線局域網(wǎng)的網(wǎng)絡管理 . 9 3 2 1 集中式管理 . 9 3 2 2 無需安裝客戶端軟件 . 10 3 2 3 RF 智能控管 . 10 3 2 4 多個 SSID 結構 . 10 3 2 5 故障自動恢復 .11 3 2 6 網(wǎng)絡負載均衡 .11 3 2 7 無線終端定位 .11 3 3 Aruba 無線局域網(wǎng)系統(tǒng)的安全管理 . 12 3 3 1 集中的安全管理 . 12 3 3 2 多種用戶認證方式 . 12 3 3 3 獨特的無線訪問控制 . 12 3 3 4 安全的 AP 技術 . 13 3 3 5 無線接入點安全偵測和保護 . 13 3 3 6 無線網(wǎng)絡入侵偵測 . 13 3 3 7 無線接入的病毒防護 . 13 3 4 無線移動音視頻應用 . 14 3 4 1 帶寬控制與服務質量保證 QOS . 14 3 4 2 VoIP 與 WI-FI 手機 . 14 3 4 3 無縫的三層漫游 . 15 四、 XXXX 大學無線局域網(wǎng)方案建議 . 16 4.1 無線組網(wǎng)方式設計 . 16 4 1 1 中型無線局域網(wǎng) (100 到 250 個 AP)集中式組網(wǎng) . 16 4 1 2 大型無線局域網(wǎng) (250 個 AP 以上 )分布式組網(wǎng) . 17 4 1 3 大型無線局域網(wǎng) (250 個 AP 以上 )集中式組網(wǎng) . 17 4 1 4 XXXX 大學無線局域網(wǎng)的組網(wǎng)設計 . 18 4 2 多業(yè)務區(qū)分設計 . 18 4 3 網(wǎng)絡與用戶管理 . 19 4 4 無線安全性設計 . 20 4 5 移動漫游設計 . 21 五、 XXXX 大學無線局域網(wǎng)系統(tǒng)建議 . 23 5 1 無線覆蓋建議 . 23 5 2 無線組網(wǎng)實現(xiàn) . 23 5 3 網(wǎng)絡用戶與應用管理實現(xiàn) . 24 5 4 多媒體與網(wǎng)絡教學以及音視頻應用的實現(xiàn) . 25 5 5 無線網(wǎng)的安全系統(tǒng)實現(xiàn) . 25 5、 6 無線交換機的配置實施建議 . 26 5 6 1 AP 的 VLAN 和無線用戶的 VLAN. 26 5 6 2VLAN 和無線 SSID 的關系 . 26 5 6 3 Aruba 無線局域網(wǎng) 不需更改局域網(wǎng)路由 . 27 六、 設備配置清單 . 28 附件一、 Aruba 無線產品簡介 . 29 一、無線交換機 . 29 二、 Aruba Access 系列 . 30 一、 XXXX 無線局域網(wǎng)系統(tǒng)建設需求 1項目背景 （ XXXX 介紹、概況） 此次無線局域網(wǎng)系統(tǒng)項目的是針對 XXXX 所屬的建筑群做無線局域網(wǎng)的覆蓋，滿足數(shù)據(jù)、語音和視頻多方面的網(wǎng)絡應用需求。具體需求如下： 1 1 擴展網(wǎng)絡信息點數(shù)量需求 XXXX 在建設時所安裝部署的有線網(wǎng)絡信息點數(shù)量與實際 使用的需要缺口較大，難以滿足正常辦公、各種會議以及來客使用網(wǎng)絡的實際需求。由于 XXXX 是新建成投入使用的，采用有線網(wǎng)絡擴充而進行的網(wǎng)絡布線工程會對 XXXX 墻壁和頂棚做大量的施工，影響建筑樓群內部的外觀。 希望通過采用無線局域網(wǎng)覆蓋方式滿足目前和將來的需要，并減少有線網(wǎng)絡布線帶來的工程難度、施工量和工程費用。本項目的建設目的是采用無線局域網(wǎng)替代正準備擴展的有線局域網(wǎng)，而不是簡單地作為有線網(wǎng)的延伸。 無線網(wǎng)絡的覆蓋重點為 （以下針對大學的需求展開） 1 2 網(wǎng)絡教學需求 XXXX 大學有多個多媒體教學教室和計 算機網(wǎng)絡教室，由于在建設時這些房間的使用功能考慮，目前有線網(wǎng)絡環(huán)境教室已經不能滿足廣大師生網(wǎng)絡接入，如采用有線網(wǎng)絡擴充方式還需要在這些教室布大量網(wǎng)線，其工程難度很大。因此，建議采用無線局域網(wǎng)覆蓋方式可以很方便、靈活地配合教室的布局和計算機接入網(wǎng)絡的位置。 1 3 遠程教學和視頻會議需求 XXXX 大學的主樓以及學術會議中心、會議廳（室）召開各種類型的會議和學術活動不斷增多，在召開會議準備過程中，與會者常常提出需要提供臨時性的無線網(wǎng)絡環(huán)境，以便使用視頻會議系統(tǒng)或通過互聯(lián)網(wǎng)進行具有音視頻內容的遠程多媒體傳輸、演示和 交互。 1 4 建設數(shù)字化信息大學需求 XXXX 大學經常接待來校訪問的國外學者和專家以及參加各種會議和學術活動的來賓，來賓們隨身攜帶的筆記本電腦需要隨時隨地接入 Internet 處理日常事務，因此，無線網(wǎng)絡要滿足來賓移動接入 Internet 以及 WiFi-VoIP 語音通信需求。 1 5 無線覆蓋范圍需求 根據(jù) XXXX 無線網(wǎng)絡需求要求無線局域網(wǎng)的覆蓋區(qū)域的如下： （貼圖以及說明具體覆蓋需求的位置） 二、 XXXX 無線局域網(wǎng)設計原則和技術需求 2 1 遵循標準 無線局域網(wǎng)采用的技術支持應為國際標準或業(yè)界標準，不使用某個廠商的專 用技術和協(xié)議，以保證網(wǎng)絡設備的互通性，有利于網(wǎng)絡的投資保護。 根據(jù) XXXX 大學的需求和無線網(wǎng)建設與設計原則，建議采用美國 Aruba Networks公司的第三代無線交換局域網(wǎng)系統(tǒng)（以下簡稱 Aruba 無線系統(tǒng)），完成無線局域網(wǎng)覆蓋項目 。 2 2 技術成熟 第一代無線局域網(wǎng)主要是采用胖 AP 架構，每臺 AP 都是一個獨立的個體， AP 與AP 之間不會進行任何溝通，需要逐臺逐臺進行配置和管理，費時、費力、維護成本高，安全低，融合性差；第二代無線局域網(wǎng)融入了認證網(wǎng)關設備，仍然不能集中對 AP 進行管理和配置，只是對認證管理方面有所 提高而已。現(xiàn)今大型無線網(wǎng)絡要求其與傳統(tǒng)有線網(wǎng)絡平滑融合，要求管理性和 安全 性都必須有一個質的提高，而第一代和第二代無線技術必定不能滿足，因此，在這樣的環(huán)境下，基于無線交換機集中式管理的第三代無線架構延生了。第三代無線局域網(wǎng)架構采用無線交換機加瘦 AP 的結構，使得無線局域網(wǎng)的網(wǎng)絡性能、網(wǎng)絡管理和安全管理能力得以大幅提高，使建設大型無線網(wǎng)成為可能。 2 3 安全可靠 在網(wǎng)絡安全性方面，無線局域網(wǎng)系統(tǒng) 要具有與有線局域網(wǎng)同樣要求的安全防護措施，無線網(wǎng)的安全性主要從以下幾個方面考慮： （ 1）接入認證：具有支持多種用戶認證方式； （ 2）采用具有用戶狀態(tài)訪問控制的防火墻技術； （ 3）具有數(shù)據(jù)在無線信道上傳輸?shù)?VPN 機制； （ 4）具有無線網(wǎng)的防病毒機制 （ 5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。 具有提供智能化的無線電波自動調控與切換能力，以確保單個 AP 接入點在發(fā)生故障時自動切換到鄰近 AP，不會影響無線的接入服務；具有支持熱備份的無線交換機 N+1的冗余備份機制。 2 4 可擴展可升級 通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的 AP 功能的配置和管理， AP 既可以提供無線接入，也可設置為無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的工作模式。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功能和管理的模式保持不便。 2 5 易管理易維護 在網(wǎng)絡管理方面，必須具有集中控管、智能調控、自動恢復、負載均衡等實用功能，使所建的無線網(wǎng)絡可以適應多種環(huán)境的變化，可動態(tài)地保證良好的應用效果。同時，還應具有遠端 AP 數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能，支持多 SSID，可以方便的把語音、視頻以及 其他類型的數(shù)據(jù)的應用進行分開管理。 2 6 技術需求 根據(jù) XXXX 大學無線局域網(wǎng)系統(tǒng)建設要求，無線局域網(wǎng)系統(tǒng)建設原則如下： 1、采用 WLAN 交換技術及 WLAN 交換體系結構。 2、充分利用現(xiàn)有網(wǎng)絡結構與資源，不單獨組網(wǎng)， AP 就近接入有線網(wǎng)絡（最近的交換機），并且不改變原有網(wǎng)絡結構以及交換機配置。 3、采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 4、 AP 的供電可以不單獨拉線，采用 POE 供電的方式。 5、采用先進的 WLAN 網(wǎng)管系統(tǒng)管理局域網(wǎng)。 6、充分考慮 WLAN 的安全性，采用先進的 WLAN 安全技術保障。 7、無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。 8、無線局域網(wǎng)系統(tǒng)要能方便和靈活地調整與擴充。 三、 Aruba 無線交換局域網(wǎng)系統(tǒng)技術特點 第一代無線局域網(wǎng)技術采用單純的 AP 實現(xiàn)無線接入，基本上沒有其它功能。 第二代無線局域網(wǎng)技術（以正誠、昂科、 Bluesocket 等為代表），采用 AC智能 AP構架， AC 兩者實質均為二層設備， AP 實現(xiàn)接入、 AC 實現(xiàn)匯聚和認證功能，有的廠商的AC 實現(xiàn)了二層網(wǎng)絡交換，具有基本的網(wǎng)絡的控制和用戶的管理，如： WEB 認證、流量的控制、訪問的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理 ，它們無法實現(xiàn)對無線電磁波層面的調控和優(yōu)化。 由于這一代技術的 AP 儲存了大量的網(wǎng)絡和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個位置，一旦 AP 的配置被盜取讀出并修改，其無線網(wǎng)絡系統(tǒng)就失去了安全性。另外由于 AC 或無線網(wǎng)關的硬件多數(shù)是基于 Pentium 架構的，所以當用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。 第三代無線局域網(wǎng)技術采用無線交換網(wǎng)絡架構（以 Aruba 和 Cisco 為代表） ，實現(xiàn)了基于無線網(wǎng)絡交換機，以 AP 為單元交換的無線網(wǎng)絡系統(tǒng)， Aruba 是采用獨立的無線網(wǎng)絡交換機實現(xiàn)的。 作為第三代的 Aruba 無線系統(tǒng)采用了 Wireless Switch AP 構架，將密集型的無線網(wǎng)絡和安全處理功能轉移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、 AP 間自適應、無線安管、 RF 監(jiān)測、無縫漫游以及 Qos 保證。 Aruba 無線系統(tǒng)不但具有一、二代無線產品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務的支持方面都有著與一代和二代產品不可比擬的優(yōu)勢。 在無線網(wǎng)融 合到有線網(wǎng)絡方面， Aruba 無線系統(tǒng)所獨有的三層路由穿透技術可以不更改原有線網(wǎng)的路由設定，使得無線網(wǎng)絡的規(guī)劃和實施非常方便。 在無線網(wǎng)絡管理方面， Aruba 無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的 RF 智能調控，自動恢復、負載均衡功能，使無線網(wǎng)可以適應無線環(huán)境中的電磁波變化，動態(tài)自動調節(jié)到最佳應用效果；還可以實現(xiàn)遠端 AP 狀態(tài)監(jiān)測，方便實現(xiàn)對 AP 的管理；具有多 SSID 支持，實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應用帶寬管理。 在無線安全性方面， Aruba 無線系統(tǒng)具備多種用戶認證、基于用戶的狀態(tài)防火墻、 VPN加密機制、無 線入侵偵測、無線接入病毒防護功能以及集中的安全管理。 在無線音視頻應用方面， Aruba 獨有的基于每個用戶的帶寬控制和 QOS 保證，可以確保語音和視頻業(yè)務的實時性，先進的無縫三層移動漫游，使得 VoIP 以及 Wi-fi 手機可以自由的在任意 AP 間切換，具有目前業(yè)界最低的時延。 3 1 Aruba 無線局域網(wǎng)系統(tǒng)架構 3 1 1 先進的無線局域交換機 領導第三代的無線網(wǎng)絡技術的 Aruba 公司無線系統(tǒng)采用了 Wireless Switch thin AP 構架，將第二代分散在 AP+AC 上的網(wǎng)絡管理和安全管理功能轉移到集中的 WLAN 交換機中實現(xiàn)，同時增加了許多無線局域網(wǎng)全新的功能。 諸如：無線安全性、 AP 管理控制、 RF 站址監(jiān)測、無縫移動漫游，特別是對語音、視頻業(yè)務的支持有專門的 Qos 保證，使得 VoWlan 應用的 Wi-Fi 技術應用飛速發(fā)展。 3 1 2 靈活的組網(wǎng)方式 第三代的 Aruba 產品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個 AP），到大型無線網(wǎng)規(guī)模（幾百個 AP，甚至上千個 AP），都可以采用集中或者分布式的組網(wǎng)方式進行靈活的組網(wǎng)。并可以提供冗余熱備份機制，保證系統(tǒng)的高可用性。 3 1 3 優(yōu)秀的擴展性 無線網(wǎng)絡具有非常方便擴展的特 性。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。在網(wǎng)絡系統(tǒng)擴展性方面， Aruba 的一臺 6000 型交換機可靈活地對從 48 個 AP 到 128 個 AP 擴充到支持 512 個 AP，因此擴展 AP 非常容易；從網(wǎng)絡管理擴展性方面 , Aruba 的 Master/Local 方式， Master Aruba 交換機可以同時控制管理 28 臺的 Local Aruba 交換機，因此增加交換機也非常容易管理。 除了 AP 數(shù)量之外，怎樣控管大量的 AP 和部署也是擴展性的重要考慮因素。要妥善處理數(shù)目眾多的 AP 在園區(qū)網(wǎng)內正常遠作，包括無線電波協(xié)調、無線用戶的帶寬和 安全訪問控管以及其它各種各樣的無線增值服務都可以通過 Aruba 系統(tǒng)的網(wǎng)管系統(tǒng)實現(xiàn)。 3 1 4 無需更改有線網(wǎng)結構 XXXX 大學實現(xiàn)無線局域網(wǎng)接入，需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改，這當然是網(wǎng)管人員不愿意做的事情，采用 Aruba 系統(tǒng)無需更改現(xiàn)有的有線網(wǎng)結構。 由于無線用戶的傳輸是通過 Aruba AP 內已建立的 GRE 隧道和 Aruba 交換機互連的，所以實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。無線用戶的 VLAN 是可透過Aruba 交換機和骨干交換機互連互通。這樣非常方便在園區(qū)里實施無線局域網(wǎng)，同時 也非常方便進行擴展。 ARUBA 的無線交換機可以安裝在學校的中心機房，而 AP 則可以放置于園區(qū)的任何地方，無需用二層設備連到無線交換機，或者劃分 VLAN；其他廠家則需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。不用劃分 VLAN，對于無線網(wǎng)絡的管理帶來極大的便利性。 對原有的有線網(wǎng)路由器不需要改變路由結構，減輕了由于無線網(wǎng)的建設而對原有網(wǎng)絡的結構改變的工作量。 3 1 5 方便地無線網(wǎng)規(guī)劃設計 在規(guī)劃一個無線局域網(wǎng)絡時，規(guī)劃設計者一項重要的工作是要考慮安裝多 少 AP 可以滿足覆蓋？應在哪些位置安裝 AP，安裝后電波的覆蓋范圍，信號在不同位置的強弱等，要完成此項工作，通常做法是規(guī)劃設計者要在現(xiàn)場做大量的測試工作，通過經驗去估算位置和數(shù)量，其工作量非常之大，無法預先規(guī)劃每個 AP 的電磁波和功率參數(shù)以及 AP 之間的覆蓋相交范圍。 Aruba 首創(chuàng)開發(fā)了 RF Planning 工具，讓規(guī)劃設計者在無線局域網(wǎng)組網(wǎng)之初采用 RF Planning 在計算機上做規(guī)劃設計，估算在要求的覆蓋面積上 AP 應安裝的物理位置所在。使用這套工具時，在數(shù)字化的園區(qū)建筑圖紙上設定無線所覆蓋范圍如那幾個樓層和面 積大小，輸入有關無線覆蓋和傳輸模型的相關參數(shù)，如無線終端的平均帶寬， AP 和 AP 之間覆蓋面等。 RF Planning 自動計算，然后顯示出 AP 在圖上的安裝坐標位置和無線電波的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝 AP，在無線網(wǎng)安裝完成后，網(wǎng)管人員通過 RF 規(guī)劃自動校準功能， Aruba 交換機可以自動調節(jié)無線網(wǎng)上所有 Aruba AP 的頻道與功率參數(shù)以達到一個最優(yōu)性能的運行狀態(tài)。 在無線局域網(wǎng)系統(tǒng)投入運行后，網(wǎng)管人員可通過 RF Planning 隨時監(jiān)測網(wǎng)內的每個 AP的無線電波實際的運行狀態(tài)，及時掌握每個 AP 的工作狀態(tài)和故障診斷，及時做出調整策略。Aruba RF Planning 為無線網(wǎng)的規(guī)劃設計、調試以及維護提供科學化和規(guī)范化的管理。 3 2 Aruba 無線局域網(wǎng)的網(wǎng)絡管理 3 2 1 集中式管理 網(wǎng)絡數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常頭痛的事情。從 RF 覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于 AP，因此對于無線網(wǎng)絡的管理，其大量工作是要在每個 AP 上進行設置和更改。其工作量在有一定數(shù)量 AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域 網(wǎng)是一個整體系統(tǒng)， AP 之間必須互協(xié)調工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間的無線電波干擾，用戶漫游重認證和授權也可能會產生問題。 Aruba 系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能， 通過無線交換機 Master Switch 和Local Switch 管理模式管理整個網(wǎng)絡，網(wǎng)管人員 只需在無線交換機就可開通、管理、維護所有 AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 3 2 2 無需安裝客戶端軟件 Aruba 系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件， Aruba 的認 證可以基于WEB 頁面認證，認證只需用戶打開瀏覽器就可以登陸。 ARUBA 采用 GRE 隧道技術，可以透明地穿透在無線交換機和 AP 之間的任何三層網(wǎng)絡交換設備實現(xiàn) WEB 認證，而其他的廠家在這種網(wǎng)絡環(huán)境下，必須要為客戶端裝上基于標準的 L2TP 或 IPSEC 或 802.1 客戶端軟件才能實現(xiàn) WEB 頁面認證。 3 2 3 RF 智能控管 Aruba 系統(tǒng)的 RF 智能控管可以自動調節(jié)網(wǎng)上所有 Aruba AP 的電波特性。 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning 的 Auto Calibration 功能來自動調節(jié)整個 無線網(wǎng)上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration 以后 AP 和 AP 之間會自動互傳有關無線電波的信息和調整電波的參數(shù)，直到 AP 之間達到了一個最優(yōu)化的無線電波運行環(huán)境。 Aruba 系統(tǒng)的 RF 智能控管可以自動對網(wǎng)上所有 Aruba AP 的無線電波管理。 當無線局域網(wǎng)經過自動校準的調整后而正式投入網(wǎng)絡運作時，網(wǎng)絡管理員可在 Aruba 交換機內啟動 ARM 這功能，無線網(wǎng)上所有的 Aruba AP 都會在設定的時間內自行掃描其它的無線頻道。無線電波掃描是指 Aruba AP 從一個電波頻道跳到另一頻道時， 如 Ch 1 到 Ch 2 到 Ch 3.，由于掃描的速度非?？?，所以對于在線的無線用戶（指連接到 AP 上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當 AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉送回 Aruba 無線交換機。 Aruba 無線交換機可以對整個無線網(wǎng)上的電波情況偵測和記錄。當某一覆蓋范圍內的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應用所發(fā)出的電波等， Aruba 無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調整這范圍內 AP 的無線電波。 3 2 4 多個 SSID 結構 Aruba 系統(tǒng)的多 SSID 結構和和實現(xiàn)技術使得在 Aruba 無線局域網(wǎng)系統(tǒng)的各種多媒體應用服務（數(shù)據(jù)、語音和視頻）在 Qos 上表現(xiàn)非常出色。在一個無線局域網(wǎng)內可以設置多個SSID，例如一個 SSID 可給學校內部教師、工作人員以及學生所用，而另一個可給外來的訪問客戶專用。所以當無線終端在這個 AP 覆蓋范圍內啟動時，它就能同時看到多個 SSID。SSID 的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。 在一個語音 SSID 內可把 SIP 和 H.323 等無線語音數(shù)據(jù)以優(yōu)先級隊列處理。在一個視頻SSID 內可把視 頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。同時在一個預設定的視頻 SSID 內只允許網(wǎng)絡管理設定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這 SSID。在一個預設定語音 SSID 內只允許網(wǎng)絡管理設定語音傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這 SSID。 可在多 SSID 的情況下確保語音和視頻的 Qos 支持。 3 2 5 故障自動恢復 傳統(tǒng)的無線網(wǎng)在有 AP 損壞或失效時，這個 AP 的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現(xiàn)場失效的 AP 換掉。但由于大多數(shù)的 AP 都是設置在外面 (不是在機房 )，所以不一定能馬上作更換，現(xiàn)場的環(huán) 境也有局限性，不一定很容易維護人員即時做出更換 (很多的 AP 都是安裝在天花板上 )。 Aruba 系統(tǒng)具有自動恢復的功能，實時偵測出網(wǎng)上 AP 是否有失效，當發(fā)覺有 AP 出現(xiàn)故障時， Aruba 交換機能會自動調節(jié)鄰近的 AP 的功率（覆蓋范圍）來接替失效 AP 的工作。 3 2 6 網(wǎng)絡負載均衡 Aruba 系統(tǒng)可在一個 AP 的覆蓋范圍內把無線用戶或終端分散連接到附近的 AP 上。在一個 AP 的覆蓋范圍內，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須能限制一個 AP 上無線終端的數(shù)量或 AP帶寬傳輸總和或和每個無線終端帶寬上限。 Aruba 無線系統(tǒng)可應用層面通過 4 7 層交換模塊可以實現(xiàn)服務器的負載均衡， VPN 設備，防火墻設備等等一系列基于 TCP/IP 協(xié)議設備的負載均衡來保證整體網(wǎng)絡的可靠性。 在視頻應用中，負載均衡功能可以有效的緩解單個 AP 的負擔，有效的利用臨近的 AP做接入，從而確保視頻應用的質量得到保證。 3 2 7 無線終端定位 Aruba 網(wǎng)管系統(tǒng)可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、 PDA 和 Wi-Fi手機等。 Aruba 采用的無線定位模式稱為三角定位，無線定位的準確性可達到 2.5 米以內，無線定位的條件是所尋找的無線終端附近須有最少三個 Aruba 的 AP 在范圍內。這是傳統(tǒng)無線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無線定位技術來取代傳呼機在醫(yī)院內尋找醫(yī)生、病人等。大學對非法 AP 的定位，可以成為學校網(wǎng)絡中心的管理人員提供清楚非法AP 有效手段，可以方便快捷的清除非法 AP 的網(wǎng)絡接入?？梢员ＷC園區(qū)網(wǎng)絡接入的安全可靠性。 3 3 Aruba 無線局域網(wǎng)系統(tǒng)的安全管理 3 3 1 集中的安全管理 Aruba 無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入侵監(jiān)測以及RF 電磁波 管理等多項安全功能匯聚到 Aruba 無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。 3 3 2 多種用戶認證方式 在 Aruba 無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權限，這個權限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網(wǎng)。 Aruba 無線系統(tǒng)支持目前各種用戶認證的方式（ 802.1、 WEB 認證、 MAC、 SSID、 VPN等），園區(qū)網(wǎng)內的用戶可以根 據(jù)需要方便選擇。 3 3 3 獨特的無線訪問控制 用戶狀態(tài)防火墻是 Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。傳統(tǒng)的網(wǎng)絡防火墻是沒有用戶這概念，它的保護只是基于 IP 地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 Aruba 無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員可以使用更多的服務，而學生只可以瀏覽網(wǎng)頁、收發(fā) Email 等，這樣可 以極大方便園區(qū)網(wǎng)用戶的安全管理。 3 3 4 安全的 AP 技術 Aruba 無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過AP，而是在 Aruba 無線交換機上實現(xiàn)。由于 Aruba 的 AP 是不儲存任何網(wǎng)絡配置（ IP 地址除外）和安全設置，因此 Aruba 管理的 AP 是不能單獨工作的，因此獲得和接入進 Aruba AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡和安全配置參數(shù)。 3 3 5 無線接入點安全偵測和保護 采用 Aruba 無線系統(tǒng)的 RF 偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內的所有 AP 接入情況 ,如相鄰房 間的 AP、設置錯誤的 AP 以及未經認可而連接到網(wǎng)絡中的 AP。通過 Aruba 的網(wǎng)絡安全管理系統(tǒng)，網(wǎng)絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 3 3 6 無線網(wǎng)絡入侵偵測 今天已經有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對學校、和運營商的無線網(wǎng)的安全構成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當受到像無線 DOS 攻擊時，就會誤以為是無線電波的信號受干擾或 AP 出現(xiàn)不穩(wěn)定情況。這些攻擊在 HotSpot 會 導致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡問題，間接影響無線網(wǎng)系統(tǒng)的品質。 Aruba 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡處理器和加密處理器組成，且內置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當 Aruba 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。 3 3 7 無線接入的病毒防護 Aruba 無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發(fā)出 數(shù)據(jù)進行有效的檢查和監(jiān)控。 無線終端病毒防護的第一步是準入檢查，當無線 終端連 接到 Aruba 無線系統(tǒng)中，當試圖訪問網(wǎng)絡，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設定策略禁止其訪問網(wǎng)絡，也可設置成將無線用戶重定向到一臺升級服務器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證 。 當無線終端通過了準入檢查，但是如何對無線 終端發(fā)出 數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。 Aruba 公司 和第三方的防病毒墻廠家合作，在 Aruba 無線交換機上可以設定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。 基于上述兩個層面， Aruba 無線局域網(wǎng)系統(tǒng)對無線終端進行有效和方便的病毒防護。 3 4 無線移動音視頻應用 3 4 1 帶寬控制與服務質量保證 QOS Aruba 無線系統(tǒng)的帶寬管理能力使得在移動音視頻應用方面表現(xiàn)出很強的優(yōu)勢。 Aruba無線系統(tǒng)可在每個用戶的權限限制內用戶無線連接的最高帶寬。對于不同的 IP 服務， Aruba系統(tǒng)亦可透過 Aruba 無線交換機設置定義不同的 QoS 隊列。例如無線語音的應用， SIP 和RTP 協(xié)議可設定在高的隊列，而一般應用如 http、 ftp 則可設定在低的隊列。例如語音視頻這樣對于時延敏感的業(yè)務，目前，經過中國網(wǎng)通、賽爾公司對幾家 WLAN 設備廠商的設備測試結果表明， Aruba 的無線網(wǎng)系統(tǒng)以其完善 QoS 特性在測試中表現(xiàn)最佳。 提供語音服務，將極大以高無線網(wǎng)絡的實際運營效果，為廣大在校師生提供無線網(wǎng)絡服務，隨著無線語音技術的發(fā)展，無線語音無線數(shù)據(jù)服務將極大方便用戶的園區(qū)生活。 3 4 2 VoIP 與 WI-FI 手機 隨著 VoIP 的越來越普及 (如 Skype, 等 )，基于 SIP 的 Wi-Fi 電話將迅速變?yōu)閳@區(qū)內用戶之間話音聯(lián)絡的主流。 Wi-Fi 電話除了可在園區(qū)、辦公樓以及住宅樓之間等不同 AP 之間漫游外，用戶亦可在其它有 Internet 連接的地方如酒店，住宅等使用，這是一般辦公室無線電話 (傳統(tǒng)的電話交換機 )不能做到的。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號碼，不管是國內或國外。對于一些經常出差的用戶 VoWiFi 會帶來極大的方便，亦可節(jié)省長途電話費。很多手機廠家已開始推出雙模制式的手機 (GSM/CDMA + Wi-Fi)，用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。 Aruba 無線交換技術已經證明支持業(yè)界 VoIP 系統(tǒng)在 Aruba 系統(tǒng)上成功的運行，且在最近的 Network World VoWLAN 測試結果被評選為市場上最卓越的產品。在具體實現(xiàn) Wi-Fi語音時要注意考慮語音的時延， AP 呼叫的容量和漫游切換時間。 尤其無線語音的漫游 ,它會比一般的數(shù)據(jù)移動傳輸更普及，但相對的要求也較嚴緊，所以要在無線局域網(wǎng)實現(xiàn)語音和數(shù)據(jù)融合，就不能隨意的安裝一些 AP，而必須是有規(guī)范的組建無線局域網(wǎng)。 Aruba 無 線系統(tǒng)可容許用戶設置專有的語音 SSID，把單純是數(shù)據(jù)傳輸?shù)挠脩艉?Wi-Fi手機用戶分開，但也可以在單一 SSID 內同時傳送數(shù)據(jù)和話音，關鍵的重點就是怎樣保證語音傳輸?shù)馁|量。 Aruba 無線交換機內的用戶防火墻可把 SIP/RTP 等 VoIP 協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊列，所以就可確保在數(shù)據(jù)和語音同時傳送時，語音的質量不受影響。 另在無線語音安全接入方面， Aruba 可防止沒有無線語音權限的用戶使用無線語音，以確保無線網(wǎng)絡資源能有效運用。 3 4 3 無縫的三層漫游 Aruba 無線可以支持無線接入用戶在 AP、 WLAN 交換機、多子網(wǎng)以及多 VLAN 之間無縫地漫游，而且不會丟失連接，也不需要重啟 DHCP。無線網(wǎng)絡不需要對現(xiàn)有網(wǎng)絡進行任何改變就可以實現(xiàn)這一切。 其他廠家一般只能實現(xiàn)二層漫游?？缇W(wǎng)段時需要二次認證，導致丟包或者很大延遲。而 Aruba 的 handoff 性能極佳，保證了語音的流暢。這種技術可以確保無線語音業(yè)務可以無縫的在 AP 間漫游，而不會發(fā)生掉線，是語音業(yè)務的質量保證。 四、 XXXX 無線局域網(wǎng)方案建議 根據(jù)無線網(wǎng)絡需求和無線網(wǎng)絡設計原則，結合 Aruba 無線系統(tǒng)技術及產品的特點，方案的設計分為：無線組網(wǎng)方式設計、 多業(yè)務區(qū)分設計、網(wǎng)絡及用戶管理、網(wǎng)絡安全防護設計、移動漫游、兼容性和計費設計七個部分。 4.1 無線組網(wǎng)方式設計 Aruba 無線系統(tǒng)的組網(wǎng)方式有兩種，集中式組網(wǎng)和分布式組網(wǎng)。可以根據(jù)不同的網(wǎng)絡規(guī)模和管理方式，考慮選用以下不同檔次的無線交換機進行組網(wǎng) 。 4 1 1 中型無線局域網(wǎng) (100 到 250 個 AP)集中式組網(wǎng) 根據(jù)園區(qū)網(wǎng)絡結構和需求，用戶可選擇單臺 Aruba6000 交換機來組網(wǎng)。 Aruba6000 設置在數(shù)據(jù)中心集中控管全無線網(wǎng)絡的 Aruba AP。如下圖所示： P a g e 7中型無線局域網(wǎng)交換拓撲圖 ( 集中式 )中型無線局域網(wǎng)交換拓撲圖 ( 集中式 )大樓大樓V RRPMa s t