某運營商無線局域網(wǎng)解決方案建議書.doc

xxx運營商無線局域網(wǎng)解決方案建議書2006年11月目 錄一、xxx運營商無線局域網(wǎng)系統(tǒng)建設(shè)需求31項目背景311無線網(wǎng)絡(luò)業(yè)務(wù)需求3xxx 運營商wlan業(yè)務(wù)4wlan業(yè)務(wù)要求4wlan系統(tǒng)業(yè)務(wù)類型5二、xxx運營商無線局域網(wǎng)設(shè)計原則和技術(shù)需求621遵循標準622技術(shù)成熟623安全可靠724可擴展可升級725易管理易維護826技術(shù)需求8三、aruba無線交換局域網(wǎng)系統(tǒng)技術(shù)特點931 aruba無線局域網(wǎng)系統(tǒng)架構(gòu)11311先進的無線局域交換機11312靈活的組網(wǎng)方式11313優(yōu)秀的擴展性11314 無需更改有線網(wǎng)結(jié)構(gòu)12315方便地無線網(wǎng)規(guī)劃設(shè)計1332 aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理14321 集中式管理14322無需安裝客戶端軟件14323 rf智能控管15324 多個ssid結(jié)構(gòu)16325故障自動恢復(fù)17326網(wǎng)絡(luò)負載均衡17327 無線終端定位1833 aruba無線局域網(wǎng)系統(tǒng)的安全管理18331 集中的安全管理18332多種用戶認證方式18333 獨特的無線訪問控制19334 安全的ap技術(shù)19335無線接入點安全偵測和保護20336無線網(wǎng)絡(luò)入侵偵測20337無線接入的病毒防護2134無線移動音視頻應(yīng)用22341 帶寬控制與服務(wù)質(zhì)量保證qos22342 voip與wi-fi 手機22343 無縫的三層漫游23四、xxx 運營商無線局域網(wǎng)方案建議254.1無線組網(wǎng)方式設(shè)計25411中型無線局域網(wǎng)(100到250個ap)集中式組網(wǎng)25412大型無線局域網(wǎng)(250個ap以上)分布式組網(wǎng)26413大型無線局域網(wǎng)(250個ap以上)集中式組網(wǎng)26414 xxx 運營商無線局域網(wǎng)的組網(wǎng)設(shè)計2742多業(yè)務(wù)區(qū)分設(shè)計2743網(wǎng)絡(luò)與用戶管理2844無線安全性設(shè)計2945移動漫游設(shè)計30五、xxx 運營商無線局域網(wǎng)系統(tǒng)建議3251無線覆蓋建議3252無線組網(wǎng)實現(xiàn)3253網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn)3354多媒體與網(wǎng)絡(luò)教學以及音視頻應(yīng)用的實現(xiàn)3455無線網(wǎng)的安全系統(tǒng)實現(xiàn)345、6無線交換機的配置實施建議35561 ap的vlan和無線用戶的vlan35562vlan和無線ssid的關(guān)系35563 aruba無線局域網(wǎng) 不需更改局域網(wǎng)路由36六、 設(shè)備配置清單37附件一、aruba無線產(chǎn)品簡介38一、無線交換機38二、aruba access 系列39 37一、 xxx運營商無線局域網(wǎng)系統(tǒng)建設(shè)需求1項目背景（xxx運營商介紹、概況）此次無線局域網(wǎng)系統(tǒng)項目的是針對xxx運營商所屬的建筑群做無線局域網(wǎng)的覆蓋，滿足數(shù)據(jù)、語音和視頻多方面的網(wǎng)絡(luò)應(yīng)用需求。具體需求如下：11無線網(wǎng)絡(luò)業(yè)務(wù)需求無線局域網(wǎng)（以下簡稱wlan）作為一種能夠在一定區(qū)域范圍內(nèi)支持移動特性的無線寬帶接入手段，為xxx 運營商開展移動數(shù)據(jù)業(yè)務(wù)提供了一種重要手段。wlan業(yè)務(wù)的開展要求無線設(shè)備應(yīng)該支持以下原則：l 在xxx 運營商wlan網(wǎng)絡(luò)建設(shè)中，遵循國家環(huán)保局和無委電磁輻射的要求。l wlan接入點的部署以熱點地區(qū)和業(yè)務(wù)匯聚區(qū)為主，如機場，飯店，寫字樓群，會展中心，以及其他商務(wù)人員經(jīng)常聚集的公共場所。l 支持在xxx 運營商wlan覆蓋范圍內(nèi)的用戶漫游。l 用戶認證采用多種接入方式為主，同時支持用戶名/密碼認證方式。xxx 運營商wlan用戶認證和現(xiàn)有g(shù)sm網(wǎng)絡(luò)資源和現(xiàn)有radius認證系統(tǒng)高度融合。l 支持基于時長和流量的多種計費形式，并為現(xiàn)有移動用戶提供統(tǒng)一帳單。l 為用戶提供安全的wlan接入方式，保護合法用戶的認證和數(shù)據(jù)信息，防止非法用戶的入侵。xxx 運營商wlan業(yè)務(wù)基于802.11的wlan接入技術(shù)要求無線設(shè)備能夠提供多種帶寬的選擇，并且支持全wlan覆蓋地區(qū)的移動性，可滿足用戶使用筆記本電腦、pda等現(xiàn)有移動設(shè)備的高速上網(wǎng)需求，同時為wlan移動用戶使用寬帶多媒體業(yè)務(wù)提供了可能。 wlan業(yè)務(wù)要求(1) 一鍵上網(wǎng)wlan用戶能夠通過接入無線網(wǎng)絡(luò)設(shè)備及其相關(guān)客戶端軟件方便地使用xxx 運營商提供的各種網(wǎng)絡(luò)接入。(2) 業(yè)務(wù)控制wlan接入技術(shù)要求無線網(wǎng)絡(luò)設(shè)備能夠為用戶承載所提供的更多類型的數(shù)據(jù)業(yè)務(wù)，并且可以捆綁xxx 運營商現(xiàn)有的各種數(shù)據(jù)業(yè)務(wù)（如mms等）。通過集中設(shè)置或者導(dǎo)入現(xiàn)有的各種業(yè)務(wù)控制機制，來引導(dǎo)用戶對xxx 運營商數(shù)據(jù)業(yè)務(wù)的使用。(3) 多種計費方式wlan業(yè)務(wù)要求無線網(wǎng)絡(luò)設(shè)備能夠與其他相關(guān)設(shè)備配合支持基于時長和流量的多種計費形式。將來應(yīng)支持基于qos和內(nèi)容的計費。(4) 用戶漫游，認證和計費無線網(wǎng)絡(luò)設(shè)備能夠支持wlan業(yè)務(wù)用戶在xxx 運營商wlan覆蓋范圍內(nèi)的漫游識別，認證和計費。隨著業(yè)務(wù)和技術(shù)的發(fā)展，將來能夠支持用戶在不同運營商wlan覆蓋之間的漫游。(5) 安全的數(shù)據(jù)業(yè)務(wù)接入要求無線網(wǎng)絡(luò)設(shè)備能夠與其他相關(guān)設(shè)備配合為用戶提供安全的wlan接入方式，保護合法用戶的認證和數(shù)據(jù)信息，防止非法用戶的入侵。(6) 熱點地區(qū)局部無縫切換要求能夠支持wlan業(yè)務(wù)用戶在熱點地區(qū)不同ap間的無縫切換而不中斷用戶數(shù)據(jù)連接。 wlan系統(tǒng)業(yè)務(wù)類型通過wlan接入方式，無線網(wǎng)絡(luò)設(shè)備能夠支持為wlan用戶提供豐富的數(shù)據(jù)業(yè)務(wù)類型，主要包括：(1) 支持互聯(lián)網(wǎng)無線寬帶接入wlan為用戶訪問internet提供了一種寬帶接入方式。通過wlan接入設(shè)備，用戶能夠高速使用www，ftp，e-mail等各種internet業(yè)務(wù)。(2) 支持虛擬專用網(wǎng)業(yè)務(wù)(vpn)移動辦公者可以通過wlan接入方式，高速訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源，如企業(yè)內(nèi)部網(wǎng)頁，內(nèi)部郵件系統(tǒng)，內(nèi)部文件系統(tǒng)等。(3) 支持多媒體數(shù)據(jù)業(yè)務(wù)wlan接入方式為用戶使用多媒體應(yīng)用（如視頻點播、數(shù)字視頻廣播、視頻會議、遠程醫(yī)療、遠程購物、遠程監(jiān)控、遠程教學等）提供了可能。(4) 支持基于wlan的增值業(yè)務(wù)基于wlan接入方式的的數(shù)據(jù)業(yè)務(wù)可以和現(xiàn)有的數(shù)據(jù)業(yè)務(wù)結(jié)合，如voip語音應(yīng)用，短消息服務(wù)，移動電子郵件，移動個人理財，娛樂天地，位置服務(wù)，游戲等。xxx 運營商可以利用業(yè)務(wù)控制手段如門戶網(wǎng)站來引導(dǎo)用戶對增值業(yè)務(wù)的使用。二、 xxx運營商無線局域網(wǎng)設(shè)計原則和技術(shù)需求21遵循標準無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標準或業(yè)界標準，不使用某個廠商的專用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護。根據(jù)的需求和無線網(wǎng)建設(shè)與設(shè)計原則，建議采用美國aruba networks公司的第三代無線交換局域網(wǎng)系統(tǒng)（以下簡稱aruba無線系統(tǒng)），完成無線局域網(wǎng)覆蓋項目。22技術(shù)成熟第一代無線局域網(wǎng)主要是采用fat ap，每一臺ap都要單獨進行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進行管理和配置，其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代wlan產(chǎn)品發(fā)展的瓶頸，在這樣的環(huán)境下，基于無線交換機技術(shù)的第三代wlan產(chǎn)品應(yīng)運而生。第三代無線局域網(wǎng)采用無線交換機和thin ap的架構(gòu)，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。23安全可靠在網(wǎng)絡(luò)安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護措施，無線網(wǎng)的安全性主要從以下幾個方面考慮：（1）接入認證：具有支持多種用戶認證方式；（2）采用具有用戶狀態(tài)訪問控制的防火墻技術(shù)；（3）具有數(shù)據(jù)在無線信道上傳輸?shù)膙pn機制；（4）具有無線網(wǎng)的防病毒機制（5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。具有提供智能化的無線電波自動調(diào)控與切換能力，以確保單個ap接入點在發(fā)生故障時自動切換到鄰近ap，不會影響無線的接入服務(wù)；具有支持熱備份的無線交換機n+1的冗余備份機制。24可擴展可升級通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的ap功能的配置和管理，ap既可以提供無線接入，也可設(shè)置為無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的工作模式。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功能和管理的模式保持不便。25易管理易維護在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動恢復(fù)、負載均衡等實用功能，使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動態(tài)地保證良好的應(yīng)用效果。同時，還應(yīng)具有遠端ap數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能，支持多ssid，可以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進行分開管理。26技術(shù)需求根據(jù)xxx 運營商無線局域網(wǎng)系統(tǒng)建設(shè)要求，無線局域網(wǎng)系統(tǒng)建設(shè)原則如下：1、采用wlan交換技術(shù)及wlan交換體系結(jié)構(gòu)。2、充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨組網(wǎng)，ap就近接入有線網(wǎng)絡(luò)（最近的交換機），并且不改變原有網(wǎng)絡(luò)結(jié)構(gòu)以及交換機配置。3、采用集中控管的組網(wǎng)方式，集中控制管理所有的ap。4、ap的供電可以不單獨拉線，采用poe供電的方式。5、采用先進的wlan網(wǎng)管系統(tǒng)管理xxx 運營商局域網(wǎng)。6、充分考慮wlan的安全性，采用先進的wlan安全技術(shù)保障。7、無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。8、無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。三、 aruba無線交換局域網(wǎng)系統(tǒng)技術(shù)特點第一代無線局域網(wǎng)技術(shù)采用單純的ap實現(xiàn)無線接入，基本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)（以正誠、昂科、bluesocket等為代表），采用ac智能ap構(gòu)架，ac兩者實質(zhì)均為二層設(shè)備，ap實現(xiàn)接入、ac實現(xiàn)匯聚和認證功能，有的廠商的ac實現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如：web認證、流量的控制、訪問的控制等；支持vlan、vpn、wpa等基本的安全管理，它們無法實現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的ap儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，radius client的安全密碼 (secret) 等，而ap又是分散在建筑物中的各個位置，一旦ap的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于ac或無線網(wǎng)關(guān)的硬件多數(shù)是基于pentium架構(gòu)的，所以當用戶接入數(shù)量 (ip sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)（以aruba和cisco為代表），實現(xiàn)了基于無線網(wǎng)絡(luò)交換機，以ap為單元交換的無線網(wǎng)絡(luò)系統(tǒng)，aruba是采用獨立的無線網(wǎng)絡(luò)交換機實現(xiàn)的。作為第三代的aruba無線系統(tǒng)采用了wireless switchap構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 wlan 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、ap間自適應(yīng)、無線安管、rf監(jiān)測、無縫漫游以及qos保證。aruba無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。在無線網(wǎng)融合到有線網(wǎng)絡(luò)方面，aruba無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。在無線網(wǎng)絡(luò)管理方面，aruba無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的rf智能調(diào)控，自動恢復(fù)、負載均衡功能，使無線網(wǎng)可以適應(yīng)無線環(huán)境中的電磁波變化，動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果；還可以實現(xiàn)遠端ap狀態(tài)監(jiān)測，方便實現(xiàn)對ap的管理；具有多ssid支持，實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。在無線安全性方面，aruba無線系統(tǒng)具備多種用戶認證、基于用戶的狀態(tài)防火墻、vpn加密機制、無線入侵偵測、無線接入病毒防護功能以及集中的安全管理。在無線音視頻應(yīng)用方面，aruba獨有的基于每個用戶的帶寬控制和qos保證，可以確保語音和視頻業(yè)務(wù)的實時性，先進的無縫三層移動漫游，使得voip以及wi-fi 手機可以自由的在任意ap間切換，具有目前業(yè)界最低的時延。31 aruba無線局域網(wǎng)系統(tǒng)架構(gòu)311先進的無線局域交換機領(lǐng)導(dǎo)第三代的無線網(wǎng)絡(luò)技術(shù)的aruba公司無線系統(tǒng)采用了wireless switchthin ap構(gòu)架，將第二代分散在ap+ac上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的 wlan 交換機中實現(xiàn)，同時增加了許多無線局域網(wǎng)全新的功能。諸如：無線安全性、ap管理控制、rf站址監(jiān)測、無縫移動漫游，特別是對語音、視頻業(yè)務(wù)的支持有專門的qos保證，使得vowlan應(yīng)用的wi-fi技術(shù)應(yīng)用飛速發(fā)展。312靈活的組網(wǎng)方式第三代的aruba產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個ap），到大型無線網(wǎng)規(guī)模（幾百個ap，甚至上千個ap），都可以采用集中或者分布式的組網(wǎng)方式進行靈活的組網(wǎng)。并可以提供冗余熱備份機制，保證系統(tǒng)的高可用性。313優(yōu)秀的擴展性 無線網(wǎng)絡(luò)具有非常方便擴展的特性。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。在網(wǎng)絡(luò)系統(tǒng)擴展性方面，aruba的一臺6000型交換機可靈活地對從48個ap到128個ap擴充到支持512個 ap，因此擴展ap非常容易；從網(wǎng)絡(luò)管理擴展性方面, aruba的master/local方式， master aruba 交換機可以同時控制管理28臺的local aruba交換機，因此增加交換機也非常容易管理。除了ap數(shù)量之外，怎樣控管大量的ap和部署也是擴展性的重要考慮因素。要妥善處理數(shù)目眾多的ap在xxx 運營商網(wǎng)內(nèi)正常遠作，包括無線電波協(xié)調(diào)、無線用戶的帶寬和安全訪問控管以及其它各種各樣的無線增值服務(wù)都可以通過aruba系統(tǒng)的網(wǎng)管系統(tǒng)實現(xiàn)。314 無需更改有線網(wǎng)結(jié)構(gòu)xxx 運營商實現(xiàn)無線局域網(wǎng)接入，需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改，這當然是網(wǎng)管人員不愿意做的事情，采用aruba系統(tǒng)無需更改現(xiàn)有的有線網(wǎng)結(jié)構(gòu)。由于無線用戶的傳輸是通過aruba ap 內(nèi)已建立的gre隧道和aruba交換機互連的，所以實際上無線用戶的vlan是無須在接入層和匯聚層存在。無線用戶的vlan是可透過aruba交換機和骨干交換機互連互通。這樣非常方便在xxx 運營商里實施無線局域網(wǎng)，同時也非常方便進行擴展。aruba的無線交換機可以安裝在運營商的中心機房，而ap則可以放置于xxx 運營商的任何地方，無需用二層設(shè)備連到無線交換機，或者劃分vlan；其他廠家則需要二層交換機連接或者劃分vlan，否則只能將認證點下放到ap上，導(dǎo)致整體性能的降低和漫游特性的缺失。不用劃分vlan，對于無線網(wǎng)絡(luò)的管理帶來極大的便利性。對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。315方便地無線網(wǎng)規(guī)劃設(shè)計在規(guī)劃一個無線局域網(wǎng)絡(luò)時，規(guī)劃設(shè)計者一項重要的工作是要考慮安裝多少ap可以滿足覆蓋？應(yīng)在哪些位置安裝ap，安裝后電波的覆蓋范圍，信號在不同位置的強弱等，要完成此項工作，通常做法是規(guī)劃設(shè)計者要在現(xiàn)場做大量的測試工作，通過經(jīng)驗去估算位置和數(shù)量，其工作量非常之大，無法預(yù)先規(guī)劃每個ap的電磁波和功率參數(shù)以及ap之間的覆蓋相交范圍。aruba首創(chuàng)開發(fā)了rf planning工具，讓規(guī)劃設(shè)計者在無線局域網(wǎng)組網(wǎng)之初采用rf planning在計算機上做規(guī)劃設(shè)計，估算在要求的覆蓋面積上ap應(yīng)安裝的物理位置所在。使用這套工具時，在數(shù)字化的xxx 運營商建筑圖紙上設(shè)定無線所覆蓋范圍如那幾個樓層和面積大小，輸入有關(guān)無線覆蓋和傳輸模型的相關(guān)參數(shù)，如無線終端的平均帶寬，ap和ap之間覆蓋面等。rf planning自動計算，然后顯示出ap在圖上的安裝坐標位置和無線電波的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝ap，在無線網(wǎng)安裝完成后，網(wǎng)管人員通過rf 規(guī)劃自動校準功能， aruba交換機可以自動調(diào)節(jié)無線網(wǎng)上所有aruba ap的頻道與功率參數(shù)以達到一個最優(yōu)性能的運行狀態(tài)。在無線局域網(wǎng)系統(tǒng)投入運行后，網(wǎng)管人員可通過rf planning隨時監(jiān)測網(wǎng)內(nèi)的每個ap的無線電波實際的運行狀態(tài)，及時掌握每個ap的工作狀態(tài)和故障診斷，及時做出調(diào)整策略。aruba rf planning為無線網(wǎng)的規(guī)劃設(shè)計、調(diào)試以及維護提供科學化和規(guī)范化的管理。32 aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理321 集中式管理網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個ap以上）是一件非常頭痛的事情。從rf覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于ap，因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個ap上進行設(shè)置和更改。其工作量在有一定數(shù)量ap的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)，ap之間必須互協(xié)調(diào)工作，單獨改變一個ap參數(shù)和配置會引起ap之間的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。aruba系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，通過無線交換機master switch和local switch管理模式管理整個網(wǎng)絡(luò)，網(wǎng)管人員只需在無線交換機就可開通、管理、維護所有ap設(shè)備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 322無需安裝客戶端軟件aruba系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件， aruba的認證可以基于web頁面認證，認證只需用戶打開瀏覽器就可以登陸。aruba采用gre隧道技術(shù)，可以透明地穿透在無線交換機和ap之間的任何三層網(wǎng)絡(luò)交換設(shè)備實現(xiàn)web認證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標準的l2tp 或 ipsec 或 802.1客戶端軟件才能實現(xiàn)web頁面認證。323 rf智能控管aruba系統(tǒng)的rf智能控管可以自動調(diào)節(jié)網(wǎng)上所有aruba ap的電波特性。 初次安裝無線局域網(wǎng)時，用戶可通過rf planning的auto calibration功能來自動調(diào)節(jié)整個無線網(wǎng)上所有ap的無線電波頻率和功率。啟動了auto calibration以后ap和ap之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到ap之間達到了一個最優(yōu)化的無線電波運行環(huán)境。aruba系統(tǒng)的rf智能控管可以自動對網(wǎng)上所有aruba ap的無線電波管理。當無線局域網(wǎng)經(jīng)過自動校準的調(diào)整后而正式投入網(wǎng)絡(luò)運作時，網(wǎng)絡(luò)管理員可在aruba 交換機內(nèi)啟動arm這功能，無線網(wǎng)上所有的aruba ap都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指aruba ap 從一個電波頻道跳到另一頻道時，如ch 1 到 ch 2 到 ch 3.，由于掃描的速度非?？欤詫τ谠诰€的無線用戶（指連接到ap上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當ap停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回aruba 無線交換機。aruba 無線交換機可以對整個無線網(wǎng)上的電波情況偵測和記錄。當某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾ap所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等，aruba 無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)ap的無線電波。324 多個ssid結(jié)構(gòu)aruba系統(tǒng)的多ssid結(jié)構(gòu)和和實現(xiàn)技術(shù)使得在aruba無線局域網(wǎng)系統(tǒng)的各種多媒體應(yīng)用服務(wù)（數(shù)據(jù)、語音和視頻）在qos上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個ssid，例如一個ssid可給內(nèi)部人員專用，而另一個ssid可給外來的訪問客戶使用。所以當無線終端在這個ap覆蓋范圍內(nèi)啟動時，它就能同時看到多個ssid。ssid的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。在一個語音ssid內(nèi)可把sip和h.323等無線語音數(shù)據(jù)以優(yōu)先級隊列處理。在一個視頻ssid內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。同時在一個預(yù)設(shè)定的視頻ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這ssid。在一個預(yù)設(shè)定語音ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語音傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這ssid?？稍诙鄐sid的情況下確保語音和視頻的qos支持。325故障自動恢復(fù)傳統(tǒng)的無線網(wǎng)在有ap損壞或失效時，這個ap的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現(xiàn)場失效的ap換掉。但由于大多數(shù)的ap都是設(shè)置在外面(不是在機房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護人員即時做出更換(很多的ap都是安裝在天花板上)。aruba系統(tǒng)具有自動恢復(fù)的功能，實時偵測出網(wǎng)上ap是否有失效，當發(fā)覺有ap出現(xiàn)故障時，aruba交換機能會自動調(diào)節(jié)鄰近的ap的功率（覆蓋范圍）來接替失效ap的工作。326網(wǎng)絡(luò)負載均衡aruba系統(tǒng)可在一個ap的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的ap上。在一個ap的覆蓋范圍內(nèi)，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須能限制一個ap上無線終端的數(shù)量或ap帶寬傳輸總和或和每個無線終端帶寬上限。aruba無線系統(tǒng)可應(yīng)用層面通過47層交換模塊可以實現(xiàn)服務(wù)器的負載均衡，vpn設(shè)備，防火墻設(shè)備等等一系列基于tcp/ip協(xié)議設(shè)備的負載均衡來保證整體網(wǎng)絡(luò)的可靠性。在視頻應(yīng)用中，負載均衡功能可以有效的緩解單個ap的負擔，有效的利用臨近的ap做接入，從而確保視頻應(yīng)用的質(zhì)量得到保證。327 無線終端定位aruba 網(wǎng)管系統(tǒng)可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、pda和 wi-fi手機等。aruba采用的無線定位模式稱為三角定位，無線定位的準確性可達到2.5米以內(nèi)，無線定位的條件是所尋找的無線終端附近須有最少三個aruba的ap 在范圍內(nèi)。這是傳統(tǒng)無線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無線定位技術(shù)來取代傳呼機在醫(yī)院內(nèi)尋找醫(yī)生、病人等。xxx 運營商對非法ap的定位，可以成為xxx 運營商網(wǎng)絡(luò)中心的管理人員提供清楚非法ap有效手段，可以方便快捷的清除非法ap的網(wǎng)絡(luò)接入?？梢员ＷCxxx 運營商網(wǎng)絡(luò)接入的安全可靠性。33 aruba無線局域網(wǎng)系統(tǒng)的安全管理331 集中的安全管理aruba無線系統(tǒng)的安全管理是將防火墻、vpn、安全認證、防病毒、無線入侵監(jiān)測以及rf 電磁波管理等多項安全功能匯聚到aruba無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（ap、ac）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。332多種用戶認證方式在aruba無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過dhcp獲取ip地址、傳送dns協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網(wǎng)。aruba無線系統(tǒng)支持目前各種用戶認證的方式（802.1、web認證、mac、ssid、vpn等），xxx 運營商網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。333 獨特的無線訪問控制用戶狀態(tài)防火墻是aruba無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護只是基于ip地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。aruba無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員可以使用更多的服務(wù)，而學生只可以瀏覽網(wǎng)頁、收發(fā)email等，這樣可以極大方便xxx 運營商網(wǎng)用戶的安全管理。334 安全的ap技術(shù)aruba無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過ap，而是在aruba無線交換機上實現(xiàn)。由于aruba的ap是不儲存任何網(wǎng)絡(luò)配置（ip地址除外）和安全設(shè)置，因此aruba 管理的ap是不能單獨工作的，因此獲得和接入進aruba ap，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。335無線接入點安全偵測和保護采用aruba 無線系統(tǒng)的rf偵測功能和保護機制可以實時監(jiān)測xxx 運營商無線網(wǎng)覆蓋區(qū)域內(nèi)的所有ap接入情況,如相鄰房間的ap、設(shè)置錯誤的ap以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的ap。通過aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的ap接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法ap聯(lián)接到無線網(wǎng)中。336無線網(wǎng)絡(luò)入侵偵測今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對運營商的無線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當受到像無線dos攻擊時，就會誤以為是無線電波的信號受干擾或ap出現(xiàn)不穩(wěn)定情況。這些攻擊在hotspot會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。aruba 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當aruba 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應(yīng)。337無線接入的病毒防護aruba無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控。無線終端病毒防護的第一步是準入檢查，當無線終端連接到aruba無線系統(tǒng)中，當試圖訪問網(wǎng)絡(luò)，在用戶認證之前，需要下載一個基于java的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。當無線終端通過了準入檢查，但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。aruba公司和第三方的防病毒墻廠家合作，在aruba無線交換機上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)，aruba交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄?；谏鲜鰞蓚€層面，aruba無線局域網(wǎng)系統(tǒng)對無線終端進行有效和方便的病毒防護。34無線移動音視頻應(yīng)用341 帶寬控制與服務(wù)質(zhì)量保證qosaruba無線系統(tǒng)的帶寬管理能力使得在移動音視頻應(yīng)用方面表現(xiàn)出很強的優(yōu)勢。aruba無線系統(tǒng)可在每個用戶的權(quán)限限制內(nèi)用戶無線連接的最高帶寬。對于不同的ip服務(wù)，aruba系統(tǒng)亦可透過aruba無線交換機設(shè)置定義不同的qos隊列。例如無線語音的應(yīng)用，sip和rtp協(xié)議可設(shè)定在高的隊列，而一般應(yīng)用如http、ftp則可設(shè)定在低的隊列。例如語音視頻這樣對于時延敏感的業(yè)務(wù)，目前，經(jīng)過中國網(wǎng)通、賽爾公司對幾家wlan設(shè)備廠商的設(shè)備測試結(jié)果表明，aruba的無線網(wǎng)系統(tǒng)以其完善qos特性在測試中表現(xiàn)最佳。提供語音服務(wù)，將極大以高無線網(wǎng)絡(luò)的實際運營效果，為廣大在校師生提供無線網(wǎng)絡(luò)服務(wù)，隨著無線語音技術(shù)的發(fā)展，無線語音無線數(shù)據(jù)服務(wù)將極大方便用戶的xxx 運營商生活。342 voip與wi-fi 手機隨著voip的越來越普及(如skype,等)，基于sip的wi-fi電話將迅速變?yōu)閤xx 運營商內(nèi)的用戶之間話音聯(lián)絡(luò)的主流。wi-fi電話除了可在熱點地區(qū)、辦公樓以及區(qū)域之間等不同ap之間漫游外，用戶亦可在其它有internet連接的地方如酒店，住宅等使用，這是一般辦公室無線電話(傳統(tǒng)的電話交換機)不能做到的。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號碼，不管是國內(nèi)或國外。對于一些經(jīng)常出差的用戶vowifi會帶來極大的方便，亦可節(jié)省長途電話費。很多手機廠家已開始推出雙模制式的手機(gsm/cdma + wi-fi)，用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。aruba無線交換技術(shù)已經(jīng)證明支持業(yè)界voip系統(tǒng)在aruba系統(tǒng)上成功的運行，且在最近的network world vowlan測試結(jié)果被評選為市場上最卓越的產(chǎn)品。在具體實現(xiàn)wi-fi語音時要注意考慮語音的時延， ap呼叫的容量和漫游切換時間。 尤其無線語音的漫游,它會比一般的數(shù)據(jù)移動傳輸更普及，但相對的要求也較嚴緊，所以要在無線局域網(wǎng)實現(xiàn)語音和數(shù)據(jù)融合，就不能隨意的安裝一些ap，而必須是有規(guī)范的組建無線局域網(wǎng)。aruba無線系統(tǒng)可容許用戶設(shè)置專有的語音ssid，把單純是數(shù)據(jù)傳輸?shù)挠脩艉蛍i-fi手機用戶分開，但也可以在單一ssid內(nèi)同時傳送數(shù)據(jù)和話音，關(guān)鍵的重點就是怎樣保證語音傳輸?shù)馁|(zhì)量。 aruba無線交換機內(nèi)的用戶防火墻可把sip/rtp等voip協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊列，所以就可確保在數(shù)據(jù)和語音同時傳送時，語音的質(zhì)量不受影響。另在無線語音安全接入方面，aruba可防止沒有無線語音權(quán)限的用戶使用無線語音，以確保無線網(wǎng)絡(luò)資源能有效運用。343 無縫的三層漫游aruba 無線可以支持無線接入用戶在 ap、wlan 交換機、多子網(wǎng)以及多vlan 之間無縫地漫游，而且不會丟失連接，也不需要重啟dhcp。無線網(wǎng)絡(luò)不需要對現(xiàn)有網(wǎng)絡(luò)進行任何改變就可以實現(xiàn)這一切。其他廠家一般只能實現(xiàn)二層漫游?？缇W(wǎng)段時需要二次認證，導(dǎo)致丟包或者很大延遲。而aruba的handoff性能極佳，保證了語音的流暢。這種技術(shù)可以確保無線語音業(yè)務(wù)可以無縫的在ap間漫游，而不會發(fā)生掉線，是語音業(yè)務(wù)的質(zhì)量保證。四、 xxx 運營商無線局域網(wǎng)方案建議根據(jù)xxx運營商的無線網(wǎng)絡(luò)需求和無線網(wǎng)絡(luò)設(shè)計原則，結(jié)合aruba無線系統(tǒng)技術(shù)及產(chǎn)品的特點，方案的設(shè)計分為：無線組網(wǎng)方式設(shè)計、多業(yè)務(wù)區(qū)分設(shè)計、網(wǎng)絡(luò)及用戶管理、網(wǎng)絡(luò)安全防護設(shè)計、移動漫游、兼容性和計費設(shè)計七個部分。4.1無線組網(wǎng)方式設(shè)計aruba無線系統(tǒng)的組網(wǎng)方式有兩種，集中式組網(wǎng)和分布式組網(wǎng)?？梢愿鶕?jù)不同的網(wǎng)絡(luò)規(guī)模和管理方式，考慮選用以下不同檔次的無線交換機進行組網(wǎng)。411中型無線局域網(wǎng)(100到250個ap)集中式組網(wǎng)根據(jù)xxx 運營商網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶可選擇單臺aruba6000交換機來組網(wǎng)。aruba6000設(shè)置在數(shù)據(jù)中心集中控管全無線網(wǎng)絡(luò)的aruba ap。如下圖所示：412大型無線局域網(wǎng)(250個ap以上)分布式組網(wǎng)大型無線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺配置成local工作模式 aruba2400交換機分別設(shè)置于不同的配線間。一些要求較高的用戶會采用雙機（二臺aruba2400）在配線間以vrrp串聯(lián)模式來加強網(wǎng)絡(luò)冗余備份。在網(wǎng)絡(luò)中心則設(shè)置二臺master aruba2400 (vrrp) 作為主控管交換機。網(wǎng)絡(luò)管理員就可透過配置成master工作模式的 aruba2400來設(shè)定所有無線局域網(wǎng)設(shè)置。選用aruba6000無線交換機，一般是把250個ap匯聚到aruba6000 上，而視乎ap實際數(shù)目和xxx 運營商網(wǎng)絡(luò)拓撲，多臺aruba6000可分別設(shè)置在xxx 運營商的不同的配線間/機房。在網(wǎng)絡(luò)中心內(nèi)則一定會aruba6000用以管理其它aruba6000交換機。413大型無線局域網(wǎng)(250個ap以上)集中式組網(wǎng)所有的無線交換機都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)技術(shù)中心內(nèi)則一定會有1臺 aruba6000設(shè)置成master工作模式，用以管理其它aruba6000交換機。大型網(wǎng)絡(luò)支持4000個用戶以上的網(wǎng)絡(luò)環(huán)境。414 xxx 運營商無線局域網(wǎng)的組網(wǎng)設(shè)計xxx無線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無線局域網(wǎng)，考慮方案的性價比，建議選用集中式組網(wǎng)的方式：在網(wǎng)絡(luò)中心采用一臺aruba6000無線交換機，采用無線集中管理，全網(wǎng)絡(luò)ap接受統(tǒng)一管理，ap以及下面的用戶按接入策略分配接入到無線交換機上。這種組網(wǎng)方式簡易靈活并方便擴容。aruba6000無線交換機現(xiàn)在配備sc-48-c1和sc-128-c1服務(wù)卡，分別可以支持48個ap 和128個ap。當無線局域網(wǎng)規(guī)模需要擴大而增加ap數(shù)量時，可以擴展無線交換機的板卡相應(yīng)許可證，aruba6000無線交換機sc-48-c1卡可以平滑的從48個ap 支持到128個ap。aruba 6000可以支持到256個ap。42多業(yè)務(wù)區(qū)分設(shè)計從用戶分類與分布情況分析，用戶主要分成以下幾類：（1）辦公用戶；（2）企業(yè)用戶；（3）移動人員；（4）xxx 運營商一般工作人員；（5）集團用戶。使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。因此，在設(shè)計上采用無線局域網(wǎng)多ssid技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個ssid，例如一個ssid可給內(nèi)部員工所用，而另一個可給外來的客戶專用。由于用戶一般把ssid看成vlan，所以它們都會慣性地以vlan概念來劃分ssid。其實在一個ap范圍內(nèi)，不管用戶連接到那一個ssid它們實際上都是在同一個802.11廣播域內(nèi)，因為無線電波的傳輸是共享。一個最簡單的例子就是ap把不同的ssid名字廣播，所以當無線終端在這個ap覆蓋范圍內(nèi)啟動時，它就能同時看到多個ssid。ssid的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。為什么要把不同的安全加密協(xié)議設(shè)置在不同的ssid呢? 802.11的標準內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如：wep,tkip(wpa),802.11i(wpa2)等等，不同加密方式不能在同一個ssid內(nèi)同時存在的。用戶可根據(jù)實際的情況和802.11發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個ssid，例如：一個定義為open/static wep供客戶用，另一個ssid則為tkip(wpa)專為內(nèi)部員工使用。未來的發(fā)展趨勢是新增設(shè)一個802.11i ssid讓員工以過度的方式逐漸從轉(zhuǎn)移到這個ssid上。不能一步轉(zhuǎn)到802.11i的主因在于很多的無線終端現(xiàn)在尚未支持802.11i，而是不可能把所有的終端一次更換成最新的軟件程序。要注意的是ssid可以覆蓋全網(wǎng)，也可以只局限于xxx 運營商網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通，例如：客人(guest)使用的ssid；但有些ssid則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。所以針對無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的ssid進行管理和控制。集團用戶、企業(yè)固定用戶，可以采用專門的ssid，可以采用級別較高的認證和加密手段，對于移動用戶和臨時用戶可以使用另一個ssid，采用級別相對較低的認證和加密手段，這樣就實現(xiàn)了區(qū)分的服務(wù)。43網(wǎng)絡(luò)與用戶管理aruba無線系統(tǒng)中可以設(shè)定用戶的角色（role），每個role可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。用戶狀態(tài)訪防火墻是aruba無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的，它的保護只是基于ip地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。aruba的基于用戶狀態(tài)的防火墻則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預(yù)設(shè)的防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個用戶可以使用sip的服務(wù)，而另一用戶則可用ftp。一般在防火墻策略設(shè)計中，可以將移動用戶和臨時用戶的權(quán)限設(shè)置的較低，只能訪問有限的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以做時間段的限制。集團用戶和企業(yè)用戶具有較高的權(quán)限，可以訪問更多的網(wǎng)絡(luò)資源，或者對某些特殊的來賓開放某些vip賬號，分配給其較高權(quán)限的role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合的xxx 運營商網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。44無線安全性設(shè)計在aruba無線系統(tǒng)中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護，其安全性設(shè)計如下：（1）多ssid：可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在aruba無線系統(tǒng)中設(shè)置多個ssid，不同的ssid采用不同的安全策略，這樣可以對不同的用戶及應(yīng)用進行區(qū)分服務(wù)。另外ssid還可以選擇隱藏的方式，該ssid不廣播，用戶無法看到，防止非法用戶的連接企圖。ssid還可以選擇在某些ap上出現(xiàn)，某些ap上不出現(xiàn)，限制ssid出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。（2）加密：aruba無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)wep、動態(tài)wep、tkip、wpa、802.11i多種加密方式，三層的加密支持ipsec vpn加密，這樣使得加密的方式更加的靈活，可以根據(jù)實際需求進行選擇。（3）用戶認證提供二種方式： wpa-pskcaptive portal+vpn。加密方式采用wpa-psk，不建議采用靜態(tài)wep，因為有安全隱患。采用captive portal+vpn的認證方式，同時vpn還具有三層的加密功能，具有更高的安全性。認證服務(wù)器的選擇比較靈活，可以使用radius, ldap, windows nt, activedirectory, tacacs，甚至是aruba交換機內(nèi)置的帳戶數(shù)據(jù)庫。 wpa+802.11x加密方式盡量采用wpa，如果客戶端不支持也可采用動態(tài)wep，認證方式采用802.11x，認證服務(wù)器選擇radius。（4）用戶的role（角色）：每一類用戶可以建立一個相關(guān)的role，每個role有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。（5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設(shè)置他的訪問控制策略，比如可以訪問internet,不能訪問圖書館的服務(wù)器，只能訪問web網(wǎng)頁和收發(fā)郵件，不能運行p2p的軟件等。（6）帶寬控制：可以對每個用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。（7）認證系統(tǒng)支持： aruba無線系統(tǒng)支持多種認證系統(tǒng)，諸如radius、ldap、微軟的ad（活動目錄）和在aruba無線交換機內(nèi)部的internal db等等。（8）網(wǎng)絡(luò)病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線終端發(fā)出數(shù)據(jù)進行有效的檢測兩個層面來進行的。準入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設(shè)置安全策略是否準予進入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測上，aruba無線交換機上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端，aruba無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。45移動漫游設(shè)計無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游，aruba無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。l2/l3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同ap之間漫游是有一定的困難，因為不同ap之間，它的無線用戶ip子網(wǎng)可能都不是在同一個vlan內(nèi)。所以當無線終