某運營商無線局域網(wǎng)解決方案建議書.doc_第1頁
某運營商無線局域網(wǎng)解決方案建議書.doc_第2頁
某運營商無線局域網(wǎng)解決方案建議書.doc_第3頁
某運營商無線局域網(wǎng)解決方案建議書.doc_第4頁
某運營商無線局域網(wǎng)解決方案建議書.doc_第5頁
已閱讀5頁,還剩33頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

xxx運營商無線局域網(wǎng)解決方案建議書2006年11月目 錄一、xxx運營商無線局域網(wǎng)系統(tǒng)建設(shè)需求31項目背景311無線網(wǎng)絡(luò)業(yè)務(wù)需求3xxx 運營商wlan業(yè)務(wù)4wlan業(yè)務(wù)要求4wlan系統(tǒng)業(yè)務(wù)類型5二、xxx運營商無線局域網(wǎng)設(shè)計原則和技術(shù)需求621遵循標準622技術(shù)成熟623安全可靠724可擴展可升級725易管理易維護826技術(shù)需求8三、aruba無線交換局域網(wǎng)系統(tǒng)技術(shù)特點931 aruba無線局域網(wǎng)系統(tǒng)架構(gòu)11311先進的無線局域交換機11312靈活的組網(wǎng)方式11313優(yōu)秀的擴展性11314 無需更改有線網(wǎng)結(jié)構(gòu)12315方便地無線網(wǎng)規(guī)劃設(shè)計1332 aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理14321 集中式管理14322無需安裝客戶端軟件14323 rf智能控管15324 多個ssid結(jié)構(gòu)16325故障自動恢復(fù)17326網(wǎng)絡(luò)負載均衡17327 無線終端定位1833 aruba無線局域網(wǎng)系統(tǒng)的安全管理18331 集中的安全管理18332多種用戶認證方式18333 獨特的無線訪問控制19334 安全的ap技術(shù)19335無線接入點安全偵測和保護20336無線網(wǎng)絡(luò)入侵偵測20337無線接入的病毒防護2134無線移動音視頻應(yīng)用22341 帶寬控制與服務(wù)質(zhì)量保證qos22342 voip與wi-fi 手機22343 無縫的三層漫游23四、xxx 運營商無線局域網(wǎng)方案建議254.1無線組網(wǎng)方式設(shè)計25411中型無線局域網(wǎng)(100到250個ap)集中式組網(wǎng)25412大型無線局域網(wǎng)(250個ap以上)分布式組網(wǎng)26413大型無線局域網(wǎng)(250個ap以上)集中式組網(wǎng)26414 xxx 運營商無線局域網(wǎng)的組網(wǎng)設(shè)計2742多業(yè)務(wù)區(qū)分設(shè)計2743網(wǎng)絡(luò)與用戶管理2844無線安全性設(shè)計2945移動漫游設(shè)計30五、xxx 運營商無線局域網(wǎng)系統(tǒng)建議3251無線覆蓋建議3252無線組網(wǎng)實現(xiàn)3253網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn)3354多媒體與網(wǎng)絡(luò)教學以及音視頻應(yīng)用的實現(xiàn)3455無線網(wǎng)的安全系統(tǒng)實現(xiàn)345、6無線交換機的配置實施建議35561 ap的vlan和無線用戶的vlan35562vlan和無線ssid的關(guān)系35563 aruba無線局域網(wǎng) 不需更改局域網(wǎng)路由36六、 設(shè)備配置清單37附件一、aruba無線產(chǎn)品簡介38一、無線交換機38二、aruba access 系列39 37一、 xxx運營商無線局域網(wǎng)系統(tǒng)建設(shè)需求1項目背景(xxx運營商介紹、概況)此次無線局域網(wǎng)系統(tǒng)項目的是針對xxx運營商所屬的建筑群做無線局域網(wǎng)的覆蓋,滿足數(shù)據(jù)、語音和視頻多方面的網(wǎng)絡(luò)應(yīng)用需求。具體需求如下:11無線網(wǎng)絡(luò)業(yè)務(wù)需求無線局域網(wǎng)(以下簡稱wlan)作為一種能夠在一定區(qū)域范圍內(nèi)支持移動特性的無線寬帶接入手段,為xxx 運營商開展移動數(shù)據(jù)業(yè)務(wù)提供了一種重要手段。wlan業(yè)務(wù)的開展要求無線設(shè)備應(yīng)該支持以下原則:l 在xxx 運營商wlan網(wǎng)絡(luò)建設(shè)中,遵循國家環(huán)保局和無委電磁輻射的要求。l wlan接入點的部署以熱點地區(qū)和業(yè)務(wù)匯聚區(qū)為主,如機場,飯店,寫字樓群,會展中心,以及其他商務(wù)人員經(jīng)常聚集的公共場所。l 支持在xxx 運營商wlan覆蓋范圍內(nèi)的用戶漫游。l 用戶認證采用多種接入方式為主,同時支持用戶名/密碼認證方式。xxx 運營商wlan用戶認證和現(xiàn)有g(shù)sm網(wǎng)絡(luò)資源和現(xiàn)有radius認證系統(tǒng)高度融合。l 支持基于時長和流量的多種計費形式,并為現(xiàn)有移動用戶提供統(tǒng)一帳單。l 為用戶提供安全的wlan接入方式,保護合法用戶的認證和數(shù)據(jù)信息,防止非法用戶的入侵。xxx 運營商wlan業(yè)務(wù)基于802.11的wlan接入技術(shù)要求無線設(shè)備能夠提供多種帶寬的選擇,并且支持全wlan覆蓋地區(qū)的移動性,可滿足用戶使用筆記本電腦、pda等現(xiàn)有移動設(shè)備的高速上網(wǎng)需求,同時為wlan移動用戶使用寬帶多媒體業(yè)務(wù)提供了可能。 wlan業(yè)務(wù)要求(1) 一鍵上網(wǎng)wlan用戶能夠通過接入無線網(wǎng)絡(luò)設(shè)備及其相關(guān)客戶端軟件方便地使用xxx 運營商提供的各種網(wǎng)絡(luò)接入。(2) 業(yè)務(wù)控制wlan接入技術(shù)要求無線網(wǎng)絡(luò)設(shè)備能夠為用戶承載所提供的更多類型的數(shù)據(jù)業(yè)務(wù),并且可以捆綁xxx 運營商現(xiàn)有的各種數(shù)據(jù)業(yè)務(wù)(如mms等)。通過集中設(shè)置或者導(dǎo)入現(xiàn)有的各種業(yè)務(wù)控制機制,來引導(dǎo)用戶對xxx 運營商數(shù)據(jù)業(yè)務(wù)的使用。(3) 多種計費方式wlan業(yè)務(wù)要求無線網(wǎng)絡(luò)設(shè)備能夠與其他相關(guān)設(shè)備配合支持基于時長和流量的多種計費形式。將來應(yīng)支持基于qos和內(nèi)容的計費。(4) 用戶漫游,認證和計費無線網(wǎng)絡(luò)設(shè)備能夠支持wlan業(yè)務(wù)用戶在xxx 運營商wlan覆蓋范圍內(nèi)的漫游識別,認證和計費。隨著業(yè)務(wù)和技術(shù)的發(fā)展,將來能夠支持用戶在不同運營商wlan覆蓋之間的漫游。(5) 安全的數(shù)據(jù)業(yè)務(wù)接入要求無線網(wǎng)絡(luò)設(shè)備能夠與其他相關(guān)設(shè)備配合為用戶提供安全的wlan接入方式,保護合法用戶的認證和數(shù)據(jù)信息,防止非法用戶的入侵。(6) 熱點地區(qū)局部無縫切換要求能夠支持wlan業(yè)務(wù)用戶在熱點地區(qū)不同ap間的無縫切換而不中斷用戶數(shù)據(jù)連接。 wlan系統(tǒng)業(yè)務(wù)類型通過wlan接入方式,無線網(wǎng)絡(luò)設(shè)備能夠支持為wlan用戶提供豐富的數(shù)據(jù)業(yè)務(wù)類型,主要包括:(1) 支持互聯(lián)網(wǎng)無線寬帶接入wlan為用戶訪問internet提供了一種寬帶接入方式。通過wlan接入設(shè)備,用戶能夠高速使用www,ftp,e-mail等各種internet業(yè)務(wù)。(2) 支持虛擬專用網(wǎng)業(yè)務(wù)(vpn)移動辦公者可以通過wlan接入方式,高速訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源,如企業(yè)內(nèi)部網(wǎng)頁,內(nèi)部郵件系統(tǒng),內(nèi)部文件系統(tǒng)等。(3) 支持多媒體數(shù)據(jù)業(yè)務(wù)wlan接入方式為用戶使用多媒體應(yīng)用(如視頻點播、數(shù)字視頻廣播、視頻會議、遠程醫(yī)療、遠程購物、遠程監(jiān)控、遠程教學等)提供了可能。(4) 支持基于wlan的增值業(yè)務(wù)基于wlan接入方式的的數(shù)據(jù)業(yè)務(wù)可以和現(xiàn)有的數(shù)據(jù)業(yè)務(wù)結(jié)合,如voip語音應(yīng)用,短消息服務(wù),移動電子郵件,移動個人理財,娛樂天地,位置服務(wù),游戲等。xxx 運營商可以利用業(yè)務(wù)控制手段如門戶網(wǎng)站來引導(dǎo)用戶對增值業(yè)務(wù)的使用。二、 xxx運營商無線局域網(wǎng)設(shè)計原則和技術(shù)需求21遵循標準無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標準或業(yè)界標準,不使用某個廠商的專用技術(shù)和協(xié)議,以保證網(wǎng)絡(luò)設(shè)備的互通性,有利于網(wǎng)絡(luò)的投資保護。根據(jù)的需求和無線網(wǎng)建設(shè)與設(shè)計原則,建議采用美國aruba networks公司的第三代無線交換局域網(wǎng)系統(tǒng)(以下簡稱aruba無線系統(tǒng)),完成無線局域網(wǎng)覆蓋項目。22技術(shù)成熟第一代無線局域網(wǎng)主要是采用fat ap,每一臺ap都要單獨進行配置,費時、費力、費成本;第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進行管理和配置,其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代wlan產(chǎn)品發(fā)展的瓶頸,在這樣的環(huán)境下,基于無線交換機技術(shù)的第三代wlan產(chǎn)品應(yīng)運而生。第三代無線局域網(wǎng)采用無線交換機和thin ap的架構(gòu),使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。23安全可靠在網(wǎng)絡(luò)安全性方面,無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護措施,無線網(wǎng)的安全性主要從以下幾個方面考慮:(1)接入認證:具有支持多種用戶認證方式;(2)采用具有用戶狀態(tài)訪問控制的防火墻技術(shù);(3)具有數(shù)據(jù)在無線信道上傳輸?shù)膙pn機制;(4)具有無線網(wǎng)的防病毒機制(5)具有無線電波監(jiān)控能力,能提供無線入侵偵測和無線終端位置的追蹤功能。具有提供智能化的無線電波自動調(diào)控與切換能力,以確保單個ap接入點在發(fā)生故障時自動切換到鄰近ap,不會影響無線的接入服務(wù);具有支持熱備份的無線交換機n+1的冗余備份機制。24可擴展可升級通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的ap功能的配置和管理,ap既可以提供無線接入,也可設(shè)置為無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的工作模式。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展,擴展后所有功能和管理的模式保持不便。25易管理易維護在網(wǎng)絡(luò)管理方面,必須具有集中控管、智能調(diào)控、自動恢復(fù)、負載均衡等實用功能,使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化,可動態(tài)地保證良好的應(yīng)用效果。同時,還應(yīng)具有遠端ap數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能,支持多ssid,可以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進行分開管理。26技術(shù)需求根據(jù)xxx 運營商無線局域網(wǎng)系統(tǒng)建設(shè)要求,無線局域網(wǎng)系統(tǒng)建設(shè)原則如下:1、采用wlan交換技術(shù)及wlan交換體系結(jié)構(gòu)。2、充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源,不單獨組網(wǎng),ap就近接入有線網(wǎng)絡(luò)(最近的交換機),并且不改變原有網(wǎng)絡(luò)結(jié)構(gòu)以及交換機配置。3、采用集中控管的組網(wǎng)方式,集中控制管理所有的ap。4、ap的供電可以不單獨拉線,采用poe供電的方式。5、采用先進的wlan網(wǎng)管系統(tǒng)管理xxx 運營商局域網(wǎng)。6、充分考慮wlan的安全性,采用先進的wlan安全技術(shù)保障。7、無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。8、無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。三、 aruba無線交換局域網(wǎng)系統(tǒng)技術(shù)特點第一代無線局域網(wǎng)技術(shù)采用單純的ap實現(xiàn)無線接入,基本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)(以正誠、昂科、bluesocket等為代表),采用ac智能ap構(gòu)架,ac兩者實質(zhì)均為二層設(shè)備,ap實現(xiàn)接入、ac實現(xiàn)匯聚和認證功能,有的廠商的ac實現(xiàn)了二層網(wǎng)絡(luò)交換,具有基本的網(wǎng)絡(luò)的控制和用戶的管理,如:web認證、流量的控制、訪問的控制等;支持vlan、vpn、wpa等基本的安全管理,它們無法實現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的ap儲存了大量的網(wǎng)絡(luò)和安全的配置,包括加密的鑰匙,radius client的安全密碼 (secret) 等,而ap又是分散在建筑物中的各個位置,一旦ap的配置被盜取讀出并修改,其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于ac或無線網(wǎng)關(guān)的硬件多數(shù)是基于pentium架構(gòu)的,所以當用戶接入數(shù)量 (ip sessions)增多時,無線網(wǎng)的性能會急劇下降,時常會發(fā)生掉線或死機情況。第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)(以aruba和cisco為代表),實現(xiàn)了基于無線網(wǎng)絡(luò)交換機,以ap為單元交換的無線網(wǎng)絡(luò)系統(tǒng),aruba是采用獨立的無線網(wǎng)絡(luò)交換機實現(xiàn)的。作為第三代的aruba無線系統(tǒng)采用了wireless switchap構(gòu)架,將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 wlan 交換機中實現(xiàn),同時加入了許多重要新功能,諸如無線網(wǎng)管、ap間自適應(yīng)、無線安管、rf監(jiān)測、無縫漫游以及qos保證。aruba無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能,并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面,aruba無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定,使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。在無線網(wǎng)絡(luò)管理方面,aruba無線系統(tǒng)實現(xiàn)真正的集中控管,包括獨有的rf智能調(diào)控,自動恢復(fù)、負載均衡功能,使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化,動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果;還可以實現(xiàn)遠端ap狀態(tài)監(jiān)測,方便實現(xiàn)對ap的管理;具有多ssid支持,實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。在無線安全性方面,aruba無線系統(tǒng)具備多種用戶認證、基于用戶的狀態(tài)防火墻、vpn加密機制、無線入侵偵測、無線接入病毒防護功能以及集中的安全管理。在無線音視頻應(yīng)用方面,aruba獨有的基于每個用戶的帶寬控制和qos保證,可以確保語音和視頻業(yè)務(wù)的實時性,先進的無縫三層移動漫游,使得voip以及wi-fi 手機可以自由的在任意ap間切換,具有目前業(yè)界最低的時延。31 aruba無線局域網(wǎng)系統(tǒng)架構(gòu)311先進的無線局域交換機領(lǐng)導(dǎo)第三代的無線網(wǎng)絡(luò)技術(shù)的aruba公司無線系統(tǒng)采用了wireless switchthin ap構(gòu)架,將第二代分散在ap+ac上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的 wlan 交換機中實現(xiàn),同時增加了許多無線局域網(wǎng)全新的功能。諸如:無線安全性、ap管理控制、rf站址監(jiān)測、無縫移動漫游,特別是對語音、視頻業(yè)務(wù)的支持有專門的qos保證,使得vowlan應(yīng)用的wi-fi技術(shù)應(yīng)用飛速發(fā)展。312靈活的組網(wǎng)方式第三代的aruba產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模(幾十個ap),到大型無線網(wǎng)規(guī)模(幾百個ap,甚至上千個ap),都可以采用集中或者分布式的組網(wǎng)方式進行靈活的組網(wǎng)。并可以提供冗余熱備份機制,保證系統(tǒng)的高可用性。313優(yōu)秀的擴展性 無線網(wǎng)絡(luò)具有非常方便擴展的特性。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。在網(wǎng)絡(luò)系統(tǒng)擴展性方面,aruba的一臺6000型交換機可靈活地對從48個ap到128個ap擴充到支持512個 ap,因此擴展ap非常容易;從網(wǎng)絡(luò)管理擴展性方面, aruba的master/local方式, master aruba 交換機可以同時控制管理28臺的local aruba交換機,因此增加交換機也非常容易管理。除了ap數(shù)量之外,怎樣控管大量的ap和部署也是擴展性的重要考慮因素。要妥善處理數(shù)目眾多的ap在xxx 運營商網(wǎng)內(nèi)正常遠作,包括無線電波協(xié)調(diào)、無線用戶的帶寬和安全訪問控管以及其它各種各樣的無線增值服務(wù)都可以通過aruba系統(tǒng)的網(wǎng)管系統(tǒng)實現(xiàn)。314 無需更改有線網(wǎng)結(jié)構(gòu)xxx 運營商實現(xiàn)無線局域網(wǎng)接入,需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改,這當然是網(wǎng)管人員不愿意做的事情,采用aruba系統(tǒng)無需更改現(xiàn)有的有線網(wǎng)結(jié)構(gòu)。由于無線用戶的傳輸是通過aruba ap 內(nèi)已建立的gre隧道和aruba交換機互連的,所以實際上無線用戶的vlan是無須在接入層和匯聚層存在。無線用戶的vlan是可透過aruba交換機和骨干交換機互連互通。這樣非常方便在xxx 運營商里實施無線局域網(wǎng),同時也非常方便進行擴展。aruba的無線交換機可以安裝在運營商的中心機房,而ap則可以放置于xxx 運營商的任何地方,無需用二層設(shè)備連到無線交換機,或者劃分vlan;其他廠家則需要二層交換機連接或者劃分vlan,否則只能將認證點下放到ap上,導(dǎo)致整體性能的降低和漫游特性的缺失。不用劃分vlan,對于無線網(wǎng)絡(luò)的管理帶來極大的便利性。對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu),減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。315方便地無線網(wǎng)規(guī)劃設(shè)計在規(guī)劃一個無線局域網(wǎng)絡(luò)時,規(guī)劃設(shè)計者一項重要的工作是要考慮安裝多少ap可以滿足覆蓋?應(yīng)在哪些位置安裝ap,安裝后電波的覆蓋范圍,信號在不同位置的強弱等,要完成此項工作,通常做法是規(guī)劃設(shè)計者要在現(xiàn)場做大量的測試工作,通過經(jīng)驗去估算位置和數(shù)量,其工作量非常之大,無法預(yù)先規(guī)劃每個ap的電磁波和功率參數(shù)以及ap之間的覆蓋相交范圍。aruba首創(chuàng)開發(fā)了rf planning工具,讓規(guī)劃設(shè)計者在無線局域網(wǎng)組網(wǎng)之初采用rf planning在計算機上做規(guī)劃設(shè)計,估算在要求的覆蓋面積上ap應(yīng)安裝的物理位置所在。使用這套工具時,在數(shù)字化的xxx 運營商建筑圖紙上設(shè)定無線所覆蓋范圍如那幾個樓層和面積大小,輸入有關(guān)無線覆蓋和傳輸模型的相關(guān)參數(shù),如無線終端的平均帶寬,ap和ap之間覆蓋面等。rf planning自動計算,然后顯示出ap在圖上的安裝坐標位置和無線電波的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝ap,在無線網(wǎng)安裝完成后,網(wǎng)管人員通過rf 規(guī)劃自動校準功能, aruba交換機可以自動調(diào)節(jié)無線網(wǎng)上所有aruba ap的頻道與功率參數(shù)以達到一個最優(yōu)性能的運行狀態(tài)。在無線局域網(wǎng)系統(tǒng)投入運行后,網(wǎng)管人員可通過rf planning隨時監(jiān)測網(wǎng)內(nèi)的每個ap的無線電波實際的運行狀態(tài),及時掌握每個ap的工作狀態(tài)和故障診斷,及時做出調(diào)整策略。aruba rf planning為無線網(wǎng)的規(guī)劃設(shè)計、調(diào)試以及維護提供科學化和規(guī)范化的管理。32 aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理321 集中式管理網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)(通常在幾十個ap以上)是一件非常頭痛的事情。從rf覆蓋面,帶寬,用戶的認證,以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于ap,因此對于無線網(wǎng)絡(luò)的管理,其大量工作是要在每個ap上進行設(shè)置和更改。其工作量在有一定數(shù)量ap的無線網(wǎng)里是非常大和煩瑣的,而且無線局域網(wǎng)是一個整體系統(tǒng),ap之間必須互協(xié)調(diào)工作,單獨改變一個ap參數(shù)和配置會引起ap之間的無線電波干擾,用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。aruba系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能,通過無線交換機master switch和local switch管理模式管理整個網(wǎng)絡(luò),網(wǎng)管人員只需在無線交換機就可開通、管理、維護所有ap設(shè)備以及移動終端,包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 322無需安裝客戶端軟件aruba系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件, aruba的認證可以基于web頁面認證,認證只需用戶打開瀏覽器就可以登陸。aruba采用gre隧道技術(shù),可以透明地穿透在無線交換機和ap之間的任何三層網(wǎng)絡(luò)交換設(shè)備實現(xiàn)web認證,而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下,必須要為客戶端裝上基于標準的l2tp 或 ipsec 或 802.1客戶端軟件才能實現(xiàn)web頁面認證。323 rf智能控管aruba系統(tǒng)的rf智能控管可以自動調(diào)節(jié)網(wǎng)上所有aruba ap的電波特性。 初次安裝無線局域網(wǎng)時,用戶可通過rf planning的auto calibration功能來自動調(diào)節(jié)整個無線網(wǎng)上所有ap的無線電波頻率和功率。啟動了auto calibration以后ap和ap之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù),直到ap之間達到了一個最優(yōu)化的無線電波運行環(huán)境。aruba系統(tǒng)的rf智能控管可以自動對網(wǎng)上所有aruba ap的無線電波管理。當無線局域網(wǎng)經(jīng)過自動校準的調(diào)整后而正式投入網(wǎng)絡(luò)運作時,網(wǎng)絡(luò)管理員可在aruba 交換機內(nèi)啟動arm這功能,無線網(wǎng)上所有的aruba ap都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指aruba ap 從一個電波頻道跳到另一頻道時,如ch 1 到 ch 2 到 ch 3.,由于掃描的速度非??欤詫τ谠诰€的無線用戶(指連接到ap上在同一頻率上的無線終端)的傳輸過程是不受到影響地。當ap停留在一個頻道時,它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回aruba 無線交換機。aruba 無線交換機可以對整個無線網(wǎng)上的電波情況偵測和記錄。當某一覆蓋范圍內(nèi)的無線電波改變,如出現(xiàn)干擾ap所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等,aruba 無線交換機就會把所獲取的無線電波資料做分析,以確定是否需要調(diào)整這范圍內(nèi)ap的無線電波。324 多個ssid結(jié)構(gòu)aruba系統(tǒng)的多ssid結(jié)構(gòu)和和實現(xiàn)技術(shù)使得在aruba無線局域網(wǎng)系統(tǒng)的各種多媒體應(yīng)用服務(wù)(數(shù)據(jù)、語音和視頻)在qos上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個ssid,例如一個ssid可給內(nèi)部人員專用,而另一個ssid可給外來的訪問客戶使用。所以當無線終端在這個ap覆蓋范圍內(nèi)啟動時,它就能同時看到多個ssid。ssid的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。在一個語音ssid內(nèi)可把sip和h.323等無線語音數(shù)據(jù)以優(yōu)先級隊列處理。在一個視頻ssid內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。同時在一個預(yù)設(shè)定的視頻ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過,以確保其它數(shù)據(jù)不能進入這ssid。在一個預(yù)設(shè)定語音ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語音傳輸協(xié)議通過,以確保其它數(shù)據(jù)不能進入這ssid??稍诙鄐sid的情況下確保語音和視頻的qos支持。325故障自動恢復(fù)傳統(tǒng)的無線網(wǎng)在有ap損壞或失效時,這個ap的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現(xiàn)場失效的ap換掉。但由于大多數(shù)的ap都是設(shè)置在外面(不是在機房),所以不一定能馬上作更換,現(xiàn)場的環(huán)境也有局限性,不一定很容易維護人員即時做出更換(很多的ap都是安裝在天花板上)。aruba系統(tǒng)具有自動恢復(fù)的功能,實時偵測出網(wǎng)上ap是否有失效,當發(fā)覺有ap出現(xiàn)故障時,aruba交換機能會自動調(diào)節(jié)鄰近的ap的功率(覆蓋范圍)來接替失效ap的工作。326網(wǎng)絡(luò)負載均衡aruba系統(tǒng)可在一個ap的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的ap上。在一個ap的覆蓋范圍內(nèi),無線連接的帶寬是共享,即無線終端數(shù)目越多,每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須能限制一個ap上無線終端的數(shù)量或ap帶寬傳輸總和或和每個無線終端帶寬上限。aruba無線系統(tǒng)可應(yīng)用層面通過47層交換模塊可以實現(xiàn)服務(wù)器的負載均衡,vpn設(shè)備,防火墻設(shè)備等等一系列基于tcp/ip協(xié)議設(shè)備的負載均衡來保證整體網(wǎng)絡(luò)的可靠性。在視頻應(yīng)用中,負載均衡功能可以有效的緩解單個ap的負擔,有效的利用臨近的ap做接入,從而確保視頻應(yīng)用的質(zhì)量得到保證。327 無線終端定位aruba 網(wǎng)管系統(tǒng)可以跟蹤和定位無線終端的位置,諸如無線接入的電腦、pda和 wi-fi手機等。aruba采用的無線定位模式稱為三角定位,無線定位的準確性可達到2.5米以內(nèi),無線定位的條件是所尋找的無線終端附近須有最少三個aruba的ap 在范圍內(nèi)。這是傳統(tǒng)無線局域網(wǎng)所不能做的,有些單位如醫(yī)院就是采用了無線定位技術(shù)來取代傳呼機在醫(yī)院內(nèi)尋找醫(yī)生、病人等。xxx 運營商對非法ap的定位,可以成為xxx 運營商網(wǎng)絡(luò)中心的管理人員提供清楚非法ap有效手段,可以方便快捷的清除非法ap的網(wǎng)絡(luò)接入??梢员WCxxx 運營商網(wǎng)絡(luò)接入的安全可靠性。33 aruba無線局域網(wǎng)系統(tǒng)的安全管理331 集中的安全管理aruba無線系統(tǒng)的安全管理是將防火墻、vpn、安全認證、防病毒、無線入侵監(jiān)測以及rf 電磁波管理等多項安全功能匯聚到aruba無線交換機上來完成的,解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理(ap、ac)和能力,給用戶帶來的不安全感,擺脫了對有線網(wǎng)安全的依賴性。332多種用戶認證方式在aruba無線系統(tǒng)中,一個無線用戶進入無線網(wǎng)以后,會拿到一個最基本的入網(wǎng)權(quán)限,這個權(quán)限不容許用戶訪問任何網(wǎng)段,只讓用戶通過dhcp獲取ip地址、傳送dns協(xié)議數(shù)據(jù)包,通過認證以后才可以接入無線網(wǎng)。aruba無線系統(tǒng)支持目前各種用戶認證的方式(802.1、web認證、mac、ssid、vpn等),xxx 運營商網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。333 獨特的無線訪問控制用戶狀態(tài)防火墻是aruba無線交換機的獨特功能,它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念,它的保護只是基于ip地址或物理端口來制定防火墻策略,所以對于沒有固定接入點的無線終端,這種防火墻的功效是不大。aruba無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起,當無線用戶成功通過認證后,他會獲得一個預(yù)設(shè)的用戶狀態(tài)防火墻,不同的無線用戶有不同的防火墻策略,例如老師和工作人員可以使用更多的服務(wù),而學生只可以瀏覽網(wǎng)頁、收發(fā)email等,這樣可以極大方便xxx 運營商網(wǎng)用戶的安全管理。334 安全的ap技術(shù)aruba無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過ap,而是在aruba無線交換機上實現(xiàn)。由于aruba的ap是不儲存任何網(wǎng)絡(luò)配置(ip地址除外)和安全設(shè)置,因此aruba 管理的ap是不能單獨工作的,因此獲得和接入進aruba ap,黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。335無線接入點安全偵測和保護采用aruba 無線系統(tǒng)的rf偵測功能和保護機制可以實時監(jiān)測xxx 運營商無線網(wǎng)覆蓋區(qū)域內(nèi)的所有ap接入情況,如相鄰房間的ap、設(shè)置錯誤的ap以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的ap。通過aruba 的網(wǎng)絡(luò)安全管理系統(tǒng),網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的ap接入,發(fā)現(xiàn)后可以開啟自動保護機制,阻止無線終端通過非法ap聯(lián)接到無線網(wǎng)中。336無線網(wǎng)絡(luò)入侵偵測今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載,這些工具的普及對運營商的無線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能,所以當受到像無線dos攻擊時,就會誤以為是無線電波的信號受干擾或ap出現(xiàn)不穩(wěn)定情況。這些攻擊在hotspot會導(dǎo)致用戶的無線連接斷線,但網(wǎng)管中心仍然不知,用戶則誤以為是網(wǎng)絡(luò)問題,間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。aruba 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡(luò)處理器和加密處理器組成,且內(nèi)置一個無線入侵模式庫,實時檢測異常的無線數(shù)據(jù)包,當aruba 無線系統(tǒng)偵測出有入侵時,它會記錄和顯示入侵的格式,并對入侵做出自動保護響應(yīng)。337無線接入的病毒防護aruba無線系統(tǒng)針對無線終端的病毒防護分為兩個層面,一、無線終端的準入檢查;二、對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控。無線終端病毒防護的第一步是準入檢查,當無線終端連接到aruba無線系統(tǒng)中,當試圖訪問網(wǎng)絡(luò),在用戶認證之前,需要下載一個基于java的程序,可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況,做一個檢查,如果不能通過檢查,可以設(shè)定策略禁止其訪問網(wǎng)絡(luò),也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器,打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼,滿足系統(tǒng)制定的安全策略以后,該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。當無線終端通過了準入檢查,但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。aruba公司和第三方的防病毒墻廠家合作,在aruba無線交換機上可以設(shè)定策略,某些用戶,以及某些可能沾染病毒的數(shù)據(jù),aruba交換機會將其重定向到防病毒墻上進行防病毒檢查,檢查完成后,才允許通過,否則會將數(shù)據(jù)丟棄?;谏鲜鰞蓚€層面,aruba無線局域網(wǎng)系統(tǒng)對無線終端進行有效和方便的病毒防護。34無線移動音視頻應(yīng)用341 帶寬控制與服務(wù)質(zhì)量保證qosaruba無線系統(tǒng)的帶寬管理能力使得在移動音視頻應(yīng)用方面表現(xiàn)出很強的優(yōu)勢。aruba無線系統(tǒng)可在每個用戶的權(quán)限限制內(nèi)用戶無線連接的最高帶寬。對于不同的ip服務(wù),aruba系統(tǒng)亦可透過aruba無線交換機設(shè)置定義不同的qos隊列。例如無線語音的應(yīng)用,sip和rtp協(xié)議可設(shè)定在高的隊列,而一般應(yīng)用如http、ftp則可設(shè)定在低的隊列。例如語音視頻這樣對于時延敏感的業(yè)務(wù),目前,經(jīng)過中國網(wǎng)通、賽爾公司對幾家wlan設(shè)備廠商的設(shè)備測試結(jié)果表明,aruba的無線網(wǎng)系統(tǒng)以其完善qos特性在測試中表現(xiàn)最佳。提供語音服務(wù),將極大以高無線網(wǎng)絡(luò)的實際運營效果,為廣大在校師生提供無線網(wǎng)絡(luò)服務(wù),隨著無線語音技術(shù)的發(fā)展,無線語音無線數(shù)據(jù)服務(wù)將極大方便用戶的xxx 運營商生活。342 voip與wi-fi 手機隨著voip的越來越普及(如skype,等),基于sip的wi-fi電話將迅速變?yōu)閤xx 運營商內(nèi)的用戶之間話音聯(lián)絡(luò)的主流。wi-fi電話除了可在熱點地區(qū)、辦公樓以及區(qū)域之間等不同ap之間漫游外,用戶亦可在其它有internet連接的地方如酒店,住宅等使用,這是一般辦公室無線電話(傳統(tǒng)的電話交換機)不能做到的。簡單地說,用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號碼,不管是國內(nèi)或國外。對于一些經(jīng)常出差的用戶vowifi會帶來極大的方便,亦可節(jié)省長途電話費。很多手機廠家已開始推出雙模制式的手機(gsm/cdma + wi-fi),用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。aruba無線交換技術(shù)已經(jīng)證明支持業(yè)界voip系統(tǒng)在aruba系統(tǒng)上成功的運行,且在最近的network world vowlan測試結(jié)果被評選為市場上最卓越的產(chǎn)品。在具體實現(xiàn)wi-fi語音時要注意考慮語音的時延, ap呼叫的容量和漫游切換時間。 尤其無線語音的漫游,它會比一般的數(shù)據(jù)移動傳輸更普及,但相對的要求也較嚴緊,所以要在無線局域網(wǎng)實現(xiàn)語音和數(shù)據(jù)融合,就不能隨意的安裝一些ap,而必須是有規(guī)范的組建無線局域網(wǎng)。aruba無線系統(tǒng)可容許用戶設(shè)置專有的語音ssid,把單純是數(shù)據(jù)傳輸?shù)挠脩艉蛍i-fi手機用戶分開,但也可以在單一ssid內(nèi)同時傳送數(shù)據(jù)和話音,關(guān)鍵的重點就是怎樣保證語音傳輸?shù)馁|(zhì)量。 aruba無線交換機內(nèi)的用戶防火墻可把sip/rtp等voip協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊列,所以就可確保在數(shù)據(jù)和語音同時傳送時,語音的質(zhì)量不受影響。另在無線語音安全接入方面,aruba可防止沒有無線語音權(quán)限的用戶使用無線語音,以確保無線網(wǎng)絡(luò)資源能有效運用。343 無縫的三層漫游aruba 無線可以支持無線接入用戶在 ap、wlan 交換機、多子網(wǎng)以及多vlan 之間無縫地漫游,而且不會丟失連接,也不需要重啟dhcp。無線網(wǎng)絡(luò)不需要對現(xiàn)有網(wǎng)絡(luò)進行任何改變就可以實現(xiàn)這一切。其他廠家一般只能實現(xiàn)二層漫游??缇W(wǎng)段時需要二次認證,導(dǎo)致丟包或者很大延遲。而aruba的handoff性能極佳,保證了語音的流暢。這種技術(shù)可以確保無線語音業(yè)務(wù)可以無縫的在ap間漫游,而不會發(fā)生掉線,是語音業(yè)務(wù)的質(zhì)量保證。四、 xxx 運營商無線局域網(wǎng)方案建議根據(jù)xxx運營商的無線網(wǎng)絡(luò)需求和無線網(wǎng)絡(luò)設(shè)計原則,結(jié)合aruba無線系統(tǒng)技術(shù)及產(chǎn)品的特點,方案的設(shè)計分為:無線組網(wǎng)方式設(shè)計、多業(yè)務(wù)區(qū)分設(shè)計、網(wǎng)絡(luò)及用戶管理、網(wǎng)絡(luò)安全防護設(shè)計、移動漫游、兼容性和計費設(shè)計七個部分。4.1無線組網(wǎng)方式設(shè)計aruba無線系統(tǒng)的組網(wǎng)方式有兩種,集中式組網(wǎng)和分布式組網(wǎng)??梢愿鶕?jù)不同的網(wǎng)絡(luò)規(guī)模和管理方式,考慮選用以下不同檔次的無線交換機進行組網(wǎng)。411中型無線局域網(wǎng)(100到250個ap)集中式組網(wǎng)根據(jù)xxx 運營商網(wǎng)絡(luò)結(jié)構(gòu)和需求,用戶可選擇單臺aruba6000交換機來組網(wǎng)。aruba6000設(shè)置在數(shù)據(jù)中心集中控管全無線網(wǎng)絡(luò)的aruba ap。如下圖所示:412大型無線局域網(wǎng)(250個ap以上)分布式組網(wǎng)大型無線局域網(wǎng)架構(gòu),用戶可選擇以分布式組網(wǎng),即采用多臺配置成local工作模式 aruba2400交換機分別設(shè)置于不同的配線間。一些要求較高的用戶會采用雙機(二臺aruba2400)在配線間以vrrp串聯(lián)模式來加強網(wǎng)絡(luò)冗余備份。在網(wǎng)絡(luò)中心則設(shè)置二臺master aruba2400 (vrrp) 作為主控管交換機。網(wǎng)絡(luò)管理員就可透過配置成master工作模式的 aruba2400來設(shè)定所有無線局域網(wǎng)設(shè)置。選用aruba6000無線交換機,一般是把250個ap匯聚到aruba6000 上,而視乎ap實際數(shù)目和xxx 運營商網(wǎng)絡(luò)拓撲,多臺aruba6000可分別設(shè)置在xxx 運營商的不同的配線間/機房。在網(wǎng)絡(luò)中心內(nèi)則一定會aruba6000用以管理其它aruba6000交換機。413大型無線局域網(wǎng)(250個ap以上)集中式組網(wǎng)所有的無線交換機都放置在網(wǎng)絡(luò)中心,但是在網(wǎng)絡(luò)技術(shù)中心內(nèi)則一定會有1臺 aruba6000設(shè)置成master工作模式,用以管理其它aruba6000交換機。大型網(wǎng)絡(luò)支持4000個用戶以上的網(wǎng)絡(luò)環(huán)境。414 xxx 運營商無線局域網(wǎng)的組網(wǎng)設(shè)計xxx無線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無線局域網(wǎng),考慮方案的性價比,建議選用集中式組網(wǎng)的方式:在網(wǎng)絡(luò)中心采用一臺aruba6000無線交換機,采用無線集中管理,全網(wǎng)絡(luò)ap接受統(tǒng)一管理,ap以及下面的用戶按接入策略分配接入到無線交換機上。這種組網(wǎng)方式簡易靈活并方便擴容。aruba6000無線交換機現(xiàn)在配備sc-48-c1和sc-128-c1服務(wù)卡,分別可以支持48個ap 和128個ap。當無線局域網(wǎng)規(guī)模需要擴大而增加ap數(shù)量時,可以擴展無線交換機的板卡相應(yīng)許可證,aruba6000無線交換機sc-48-c1卡可以平滑的從48個ap 支持到128個ap。aruba 6000可以支持到256個ap。42多業(yè)務(wù)區(qū)分設(shè)計從用戶分類與分布情況分析,用戶主要分成以下幾類:(1)辦公用戶;(2)企業(yè)用戶;(3)移動人員;(4)xxx 運營商一般工作人員;(5)集團用戶。使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。因此,在設(shè)計上采用無線局域網(wǎng)多ssid技術(shù),設(shè)置多業(yè)務(wù)區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個ssid,例如一個ssid可給內(nèi)部員工所用,而另一個可給外來的客戶專用。由于用戶一般把ssid看成vlan,所以它們都會慣性地以vlan概念來劃分ssid。其實在一個ap范圍內(nèi),不管用戶連接到那一個ssid它們實際上都是在同一個802.11廣播域內(nèi),因為無線電波的傳輸是共享。一個最簡單的例子就是ap把不同的ssid名字廣播,所以當無線終端在這個ap覆蓋范圍內(nèi)啟動時,它就能同時看到多個ssid。ssid的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。為什么要把不同的安全加密協(xié)議設(shè)置在不同的ssid呢? 802.11的標準內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式,所以在用戶的無線接入使用不同的加密程式,例如:wep,tkip(wpa),802.11i(wpa2)等等,不同加密方式不能在同一個ssid內(nèi)同時存在的。用戶可根據(jù)實際的情況和802.11發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個ssid,例如:一個定義為open/static wep供客戶用,另一個ssid則為tkip(wpa)專為內(nèi)部員工使用。未來的發(fā)展趨勢是新增設(shè)一個802.11i ssid讓員工以過度的方式逐漸從轉(zhuǎn)移到這個ssid上。不能一步轉(zhuǎn)到802.11i的主因在于很多的無線終端現(xiàn)在尚未支持802.11i,而是不可能把所有的終端一次更換成最新的軟件程序。要注意的是ssid可以覆蓋全網(wǎng),也可以只局限于xxx 運營商網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通,例如:客人(guest)使用的ssid;但有些ssid則可能供某些部門使用,所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。所以針對無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的ssid進行管理和控制。集團用戶、企業(yè)固定用戶,可以采用專門的ssid,可以采用級別較高的認證和加密手段,對于移動用戶和臨時用戶可以使用另一個ssid,采用級別相對較低的認證和加密手段,這樣就實現(xiàn)了區(qū)分的服務(wù)。43網(wǎng)絡(luò)與用戶管理aruba無線系統(tǒng)中可以設(shè)定用戶的角色(role),每個role可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。用戶狀態(tài)訪防火墻是aruba無線交換機的獨特功能,它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的,它的保護只是基于ip地址或物理端口來制定防火墻策略,所以對于沒有固定接入點的無線終端,這種防火墻的功效很小。aruba的基于用戶狀態(tài)的防火墻則是與用戶認證捆綁在一起,當無線用戶成功通過認證后,他會獲得一個預(yù)設(shè)的防火墻策略,不同的無線用戶有不同的防火墻策略,例如一個用戶可以使用sip的服務(wù),而另一用戶則可用ftp。一般在防火墻策略設(shè)計中,可以將移動用戶和臨時用戶的權(quán)限設(shè)置的較低,只能訪問有限的資源,且優(yōu)先級較低,并且有帶寬的限制,甚至可以做時間段的限制。集團用戶和企業(yè)用戶具有較高的權(quán)限,可以訪問更多的網(wǎng)絡(luò)資源,或者對某些特殊的來賓開放某些vip賬號,分配給其較高權(quán)限的role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合的xxx 運營商網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。44無線安全性設(shè)計在aruba無線系統(tǒng)中,可以在多個層面對系統(tǒng)構(gòu)筑安全防護,其安全性設(shè)計如下:(1)多ssid:可以根據(jù)需要,如用戶的種類、應(yīng)用的種類,在aruba無線系統(tǒng)中設(shè)置多個ssid,不同的ssid采用不同的安全策略,這樣可以對不同的用戶及應(yīng)用進行區(qū)分服務(wù)。另外ssid還可以選擇隱藏的方式,該ssid不廣播,用戶無法看到,防止非法用戶的連接企圖。ssid還可以選擇在某些ap上出現(xiàn),某些ap上不出現(xiàn),限制ssid出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。(2)加密:aruba無線系統(tǒng)支持多種加密的方式,二層的加密支持靜態(tài)wep、動態(tài)wep、tkip、wpa、802.11i多種加密方式,三層的加密支持ipsec vpn加密,這樣使得加密的方式更加的靈活,可以根據(jù)實際需求進行選擇。(3)用戶認證提供二種方式: wpa-pskcaptive portal+vpn。加密方式采用wpa-psk,不建議采用靜態(tài)wep,因為有安全隱患。采用captive portal+vpn的認證方式,同時vpn還具有三層的加密功能,具有更高的安全性。認證服務(wù)器的選擇比較靈活,可以使用radius, ldap, windows nt, activedirectory, tacacs,甚至是aruba交換機內(nèi)置的帳戶數(shù)據(jù)庫。 wpa+802.11x加密方式盡量采用wpa,如果客戶端不支持也可采用動態(tài)wep,認證方式采用802.11x,認證服務(wù)器選擇radius。(4)用戶的role(角色):每一類用戶可以建立一個相關(guān)的role,每個role有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定,這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。(5)用戶狀態(tài)防火墻:用戶通過認證以后,會有一個基于這個用戶的狀態(tài)防火墻,可以根據(jù)每個用戶設(shè)置他的訪問控制策略,比如可以訪問internet,不能訪問圖書館的服務(wù)器,只能訪問web網(wǎng)頁和收發(fā)郵件,不能運行p2p的軟件等。(6)帶寬控制:可以對每個用戶設(shè)定其可以使用的帶寬,一方面可以限制其對網(wǎng)絡(luò)資源的占有,另一方面,當該客戶端中了病毒以后,其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。(7)認證系統(tǒng)支持: aruba無線系統(tǒng)支持多種認證系統(tǒng),諸如radius、ldap、微軟的ad(活動目錄)和在aruba無線交換機內(nèi)部的internal db等等。(8)網(wǎng)絡(luò)病毒的防護:無線終端病毒防護的可以從無線終端的準入檢查以及對無線終端發(fā)出數(shù)據(jù)進行有效的檢測兩個層面來進行的。準入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài),諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況,并設(shè)置安全策略是否準予進入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測上,aruba無線交換機上可以設(shè)定策略,對于某些無線用戶沾染病毒的終端,aruba無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進行防病毒的檢查,檢查完成后,才允許接入。45移動漫游設(shè)計無線用戶移動漫游,涉及到多個層次的漫游,最為簡單的是二層漫游,其他廠家產(chǎn)品都表現(xiàn)不錯,三層漫游就困難多了,還有當用戶跨越多個域時怎樣無縫漫游,aruba無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。l2/l3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi),無線終端要跨越不同ap之間漫游是有一定的困難,因為不同ap之間,它的無線用戶ip子網(wǎng)可能都不是在同一個vlan內(nèi)。所以當無線終

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論