Ruckus酒店方案模版-v1.4

word格式-可編輯-感謝下載支持RuckusWireless無線網(wǎng)解決方案建議書2009年6月word格式-可編輯-感謝下載支持目錄一、 重慶XXX酒店無線局域網(wǎng)系統(tǒng)建設(shè)需求 31．項目背景 3二、 重慶XXX酒店無線局域網(wǎng)設(shè)計原則和技術(shù)需求 42．1遵循標準 42．2技術(shù)潮流 42．3安全可靠 52．4可擴展可升級 52．5易管理易維護 52．6技術(shù)需求 5三、 Ruckus無線交換局域網(wǎng)系統(tǒng)技術(shù)特點 63．1Ruckus先進的智能天線和射頻控制 63．1．1智能天線技術(shù) 63．1．2Ruckus的智能天線系統(tǒng) 93．1．3綠色的的電磁環(huán)境 103．1．4BeamFlex和802.11n 143．2Ruckus無線局域網(wǎng)的管理 243．2．1集中管理–FlexMaster和ZD1000/3000 253．2．2RF的智能管控 323．2．3系統(tǒng)的冗余備份 333．2．4客戶端的漫游 363．2．5SNMP和TR-069 363．3Ruckus無線局域網(wǎng)系統(tǒng)的安全管理 373．3．1網(wǎng)絡(luò)安全的體系架構(gòu) 373．3．2基礎(chǔ)型無線網(wǎng)安全機制 393．3．3增強型無線網(wǎng)安全機制 403．3．4Ruckus支持的認證方式 423．3．5安全的AP技術(shù) 433．3．6無線接入點安全偵測和保護 433．3．7無線網(wǎng)絡(luò)入侵偵測 433．3．8無線接入的病毒防護 443．3．9通過VPN再次加固無線接入 443．4無線移動音視頻應(yīng)用－RuckusSmartCast 473．4．1帶寬控制與服務(wù)質(zhì)量保證QOS 473．4．2BeamFlex和服務(wù)品質(zhì)保證 483．4．3VoIP與WI-FI手機 523．5Ruckus的智能網(wǎng)狀網(wǎng)－SmartMesh 55四、 重慶XXX酒店無線局域網(wǎng)方案建議 594.1無線組網(wǎng)方式設(shè)計 594．1．1小型無線局域網(wǎng)(5到50個AP)集中式組網(wǎng) 594．1．2中型無線局域網(wǎng)(50到250個AP)集中式組網(wǎng) 604．1．3大型無線局域網(wǎng)(250個AP以上)集中式組網(wǎng) 614．1．4大型無線局域網(wǎng)(100個AP以上)分布式組網(wǎng) 624．1．6重慶XXX酒店無線局域網(wǎng)的組網(wǎng)設(shè)計 624．2多業(yè)務(wù)區(qū)分設(shè)計 634．3網(wǎng)絡(luò)與用戶管理 644．4無線安全性設(shè)計 654．5移動漫游設(shè)計 66五、 重慶XXX酒店無線局域網(wǎng)系統(tǒng)建議 685．1無線覆蓋建議 685．2無線網(wǎng)絡(luò)對酒店應(yīng)用系統(tǒng)的支撐 815．2．1數(shù)據(jù)業(yè)務(wù) 815．2．2語音業(yè)務(wù) 825．2．1視頻業(yè)務(wù) 825．3網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn) 865．4酒店無線網(wǎng)的安全系統(tǒng)實現(xiàn) 865．4．1認證方式 865．4．2數(shù)據(jù)加密 875．4．3語音加密 875．4．3無線空間的抗干擾 87六、Ruckus智能無線網(wǎng)絡(luò)方案特點 896．1組網(wǎng)方便 896．2智能天線技術(shù),更少的AP數(shù)量,更大更有效的覆蓋 896．3有效的支持視頻和音頻流，智能的QoS技術(shù) 906．4抗干擾能力強 906．5用戶密度高 916．6安裝部署簡單方便 926．7可預(yù)測的性能 926．8實時監(jiān)視無線RF環(huán)境 92無線控制器-ZoneDirector1000 95無線接收器-室內(nèi)ZoneFlex2942 100word格式-可編輯-感謝下載支持重慶XXX酒店無線局域網(wǎng)系統(tǒng)建設(shè)需求1．項目背景對于服務(wù)產(chǎn)業(yè)中的酒店業(yè)來說。目前酒店行業(yè)競爭的重點已經(jīng)從硬件的競爭轉(zhuǎn)移到服務(wù)的競爭，各大酒店均絞盡腦汁來提高自己的服務(wù)意識和服務(wù)水平。在傳統(tǒng)的服務(wù)項目已非常成熟的今天，作為四、五星級酒店如何為客戶提供新的服務(wù)成為酒店經(jīng)營者頭疼的問題。近兩年來，隨著來自世界各地商務(wù)客人的增加，全球信息技術(shù)的發(fā)展和無線網(wǎng)絡(luò)的高速發(fā)展，以及Internet在國內(nèi)的迅猛發(fā)展，為酒店經(jīng)營者提供新的信息服務(wù)成為一種趨勢。這一方面提升了現(xiàn)代化酒店的服務(wù)與管理水平，同時，也為酒店經(jīng)營者帶來了相應(yīng)的利益?？梢哉f，網(wǎng)絡(luò)不僅是酒店傳播信息的工具，也是留住回頭客保持入住率的有效手段，而無線網(wǎng)絡(luò)由于其移動性、便利性和靈活性的特點，更是得以在酒店中大顯身手。商務(wù)客人一般會要求酒店提供與其辦公室和個人家庭相同的高速Internet訪問能力，通過無線局域網(wǎng)就可實現(xiàn)靈活且可擴展的網(wǎng)絡(luò)解決方案。酒店對于無線網(wǎng)絡(luò)的建設(shè)有著不同的運營模式，有的酒店保留著運營商投資的模式，并參與運營商的分成，如同原有的語音話費以及上網(wǎng)業(yè)務(wù)一樣。但是運營商投資的模式，也讓酒店自己的分成利益減少了許多。在語音服務(wù)和上網(wǎng)出口在國內(nèi)壟斷的局面下，酒店也難有機會替自己增加收入。無線網(wǎng)絡(luò)的運用就不一樣了，通過無線局域網(wǎng)的搭建，酒店可以在提高自己酒店服務(wù)水準的同時為自己找到一個新的業(yè)務(wù)增長模式和利潤創(chuàng)造點，并且在其基礎(chǔ)上逐漸擴充出其他的業(yè)務(wù)增長和服務(wù)新領(lǐng)域。重慶XXX酒店無線局域網(wǎng)設(shè)計原則和技術(shù)需求2．1遵循標準無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標準或業(yè)界標準，不使用某個廠商的專用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護。根據(jù)重慶XXX酒店的需求和無線網(wǎng)建設(shè)與設(shè)計原則，建議采用美國RuckusNetworks公司的無線交換局域網(wǎng)系統(tǒng)（以下簡稱Ruckus無線系統(tǒng)），完成無線局域網(wǎng)覆蓋項目。2．2技術(shù)潮流第一代無線局域網(wǎng)主要是采用胖AP架構(gòu)，每臺AP都是一個獨立的個體，AP與AP之間不會進行任何溝通，需要逐臺逐臺進行配置和管理，費時、費力、維護成本高，安全低，融合性差；第二代無線局域網(wǎng)融入了認證網(wǎng)關(guān)設(shè)備，仍然不能集中對AP進行管理和配置，只是對認證管理方面有所提高而已?，F(xiàn)今大型無線網(wǎng)絡(luò)要求其與傳統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求管理性和安全性都必須有一個質(zhì)的提高，而第一代和第二代無線技術(shù)必定不能滿足，因此，在這樣的環(huán)境下，基于無線交換機集中式管理的第三代無線架構(gòu)延生了。第三代無線局域網(wǎng)架構(gòu)采用無線交換機加瘦AP的結(jié)構(gòu)，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高，使建設(shè)大型無線網(wǎng)成為可能。但是網(wǎng)絡(luò)的發(fā)展日新月異，隨著人們對無線局域網(wǎng)技術(shù)要求的不斷提高，以及對無線局域網(wǎng)認識的深入，瘦AP的概念已經(jīng)過時?？膳挚墒莩闪薃P發(fā)展的趨勢，尤其是隨著802.11n的普及，簡單的瘦AP給后臺的無線交換機帶來極大的負擔。為了解決這個問題，用戶付出的代價也是巨大而不劃算的。第四代可胖可瘦AP成為無線局域網(wǎng)發(fā)展的必然。2．3安全可靠在網(wǎng)絡(luò)安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護措施，無線網(wǎng)的安全性主要從以下幾個方面考慮：（1）接入認證：具有支持多種用戶認證方式；（2）數(shù)據(jù)鏈路的全程加密；（3）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。具有提供智能化的無線電波自動調(diào)控與切換能力，以確保單個AP接入點在發(fā)生故障時自動切換到鄰近AP，不會影響無線的接入服務(wù)；具有支持熱備份的無線交換機的冗余備份機制。2．4可擴展可升級通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的AP功能的配置和管理，AP在提供無線接入的同時，也可進行無線入侵監(jiān)控、無線電波傳輸分析。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功能和管理的模式保持不變。2．5易管理易維護在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動恢復(fù)、系統(tǒng)冗余等實用功能，使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動態(tài)地保證良好的應(yīng)用效果。同時，還應(yīng)支持多SSID，可以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進行分開管理。2．6技術(shù)需求根據(jù)重慶XXX酒店無線局域網(wǎng)系統(tǒng)建設(shè)要求，無線局域網(wǎng)系統(tǒng)建設(shè)原則如下：1、充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨組網(wǎng)，AP就近接入有線網(wǎng)絡(luò)（最近的交換機），并且不改變原有網(wǎng)絡(luò)結(jié)構(gòu)以及交換機配置。2、采用集中控管的組網(wǎng)方式，集中控制管理所有的AP。3、AP的供電可以不單獨拉線，采用POE供電的方式。4、采用先進的WLAN網(wǎng)管系統(tǒng)管理局域網(wǎng)。5、充分考慮WLAN的安全性，采用先進的WLAN安全技術(shù)保障。6、無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。7、無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。Ruckus無線交換局域網(wǎng)系統(tǒng)技術(shù)特點3．1Ruckus先進的智能天線和射頻控制3．1．1智能天線技術(shù)智能天線技術(shù)智能天線通過一組帶有可編程電子相位關(guān)系的固定天線單元獲取方向性，并可以同時獲取基站和移動臺之間各個鏈路的方向特性。智能天線的原理是將無線電的信號導(dǎo)向具體的方向，產(chǎn)生空間定向波束，使天線主波束對準用戶信號到達方向DOA(DirectionofArrinal)，旁瓣或零陷對準干擾信號到達方向，達到充分高效利用移動用戶信號并刪除或抑制干擾信號的目的。同時，智能天線技術(shù)利用各個移動用戶間信號空間特征的差異，通過陣列天線技術(shù)在同一信道上接收和發(fā)射多個移動用戶信號而不發(fā)生相互干擾，使無線電頻譜的利用和信號的傳輸更為有效。在不增加系統(tǒng)復(fù)雜度的情況下，使用智能天線可滿足服務(wù)質(zhì)量和擴展網(wǎng)絡(luò)容量的需要。智能天線的發(fā)展里程９０年代以來，陣列處理技術(shù)引入移動通信領(lǐng)域，很快形成了一個新的研究熱點－智能天線。智能天線應(yīng)用廣泛，它在提高系統(tǒng)通信質(zhì)量、緩解無線通信日益發(fā)展與頻譜資源不足的矛盾、以及降低系統(tǒng)整體造價和改善系統(tǒng)管理等方面，都具有獨特的優(yōu)點。最初的智能天線技術(shù)主要用于雷達、聲納、軍事抗干擾通信，用來完成空間濾波和定位等。近年來，隨著移動通信的發(fā)展及對移動通信電波傳播、組網(wǎng)技術(shù)、天線理論等方面的研究逐漸深入，現(xiàn)代數(shù)字信號處理技術(shù)發(fā)展迅速，數(shù)字信號處理芯片處理能力不斷提高，利用數(shù)字技術(shù)在基帶形成天線波束成為可能，提高了天線系統(tǒng)的可靠性與靈活程度。智能天線技術(shù)因此用于具有復(fù)雜電波傳播環(huán)境的移動通信。此外，隨著移動通信用戶數(shù)迅速增長和人們對通話質(zhì)量和數(shù)據(jù)質(zhì)量要求的不斷提高，要求數(shù)據(jù)通信網(wǎng)在較大用戶承載下仍具有較高的話音和數(shù)據(jù)質(zhì)量。技術(shù)分類智能天線技術(shù)有兩個主要分支。波束轉(zhuǎn)換技術(shù)（switchedbeamtechnology）和自適應(yīng)空間數(shù)字處理技術(shù)（adaptivespatialdigitalprocessingtechnology），或簡稱波束轉(zhuǎn)換天線和自適應(yīng)天線陣。天線以多個高增益的動態(tài)窄波束分別跟蹤多個期望信號，來自窄波束以外的信號被抑制。但智能天線的波束跟蹤并不意味著一定要將高增益的窄波束指向期望用戶的物理方向，事實上，在隨機多徑信道上，移動用戶的物理方向是難以確定的，特別是在發(fā)射臺至接收機的直射路徑上存在阻擋物時，用戶的物理方向并不一定是理想的波束方向。智能天線波束跟蹤的真正含義是在最佳路徑方向形成高增益窄波束并跟蹤最佳路徑的變化，充分利用信號的有效的發(fā)送功率以減小電磁干擾。１．波束轉(zhuǎn)換天線波束轉(zhuǎn)換天線具有有限數(shù)目的、固定的、預(yù)定義的方向圖，通過陣列天線技術(shù)在同一信道中利用多個波束同時給多個用戶發(fā)送不同的信號，它從幾個預(yù)定義的、固定波束中選擇其一，檢測信號強度，當移動臺越過扇區(qū)時，從一個波束切換到另一個波束。在特定的方向上提高靈敏度，從而提高通信容量和質(zhì)量。為保證波束轉(zhuǎn)換天線共享同一信道的各移動用戶只接收到發(fā)給自己的信號而不發(fā)生串話，要求基站天線陣產(chǎn)生多個波束來分別照射不同用戶，特別地，在每個波束中發(fā)送的信息不同而且要互不干擾。每個波束的方向是固定的，并且其寬度隨著天線陣元數(shù)而變化。對于移動用戶，基站選擇不同的對應(yīng)波束，使接收的信號強度最大。但用戶信號未必在固定波束中心，當使用者是在波束邊緣，干擾信號在波束的中央，接收效果最差。因此，與自適應(yīng)天線陣比較，波束轉(zhuǎn)換天線不能實現(xiàn)最佳的信號接收。由于扇形失真，波束轉(zhuǎn)換天線增益在方位角上不均勻分布。但波束轉(zhuǎn)換天線有結(jié)構(gòu)簡單和不需要判斷用戶信號方向（ＤＯＡ）的優(yōu)勢。主要用于模擬通信系統(tǒng)。２．自適應(yīng)天線陣融入自適應(yīng)數(shù)字處理技術(shù)的智能天線是利用數(shù)字信號處理的算法去測量不同波束的信號強度，因而能動態(tài)地改變波束使天線的傳輸功率集中。應(yīng)用空間處理技術(shù)（spatialprocessingtechnology）可以增強信號能力，使多個用戶共同使用一個信道。自適應(yīng)天線陣是一個由天線陣和實時自適應(yīng)信號接收處理器所組成的一個閉環(huán)反饋控制系統(tǒng)，它用反饋控制方法自動調(diào)準天線陣的方向圖，使它在干擾方向形成零陷，將干擾信號抵消，而且可以使有用信號得到加強，從而達到抗干擾的目的。天線陣元配置方式包含直線的型，環(huán)型和平面的型，自適應(yīng)天線是智能天線的主要的型式。自適應(yīng)天線完成用戶信號接收和發(fā)送可認為是全向天線。它采用數(shù)字信號處理技術(shù)識別用戶信號的DOA，或者是主波束方向。根據(jù)不同空間用戶信號傳播方向，提供不同空間通道，有效克服對系統(tǒng)干擾。自適應(yīng)天線主要用于數(shù)字通信系統(tǒng)。3．1．2Ruckus的智能天線系統(tǒng)RuckusBeamFlex采用的就是自適應(yīng)天線陣形式的智能天線系統(tǒng)。它由12個天線單元組成可以形成2N-1種不同的波束特征，也就是4095種的組合。BeamFlex系統(tǒng)軟件實時了解工作環(huán)境，包括射頻情況，通訊設(shè)備，網(wǎng)絡(luò)性能已經(jīng)應(yīng)用流，并為每一臺通訊設(shè)備選擇最合適的天線陣列。傳輸控制模塊能夠選擇高質(zhì)量的信號路徑，并為接收設(shè)備選擇最佳的數(shù)據(jù)傳輸速率。3．1．3綠色的的電磁環(huán)境電磁輻射和健康隨著人們生活節(jié)奏的加快和生活質(zhì)量的提高，人們正被越來越多的電子設(shè)備所籠罩?？萍紟Ыo人們便捷的同時，也帶來更多的傷害。電子產(chǎn)品產(chǎn)生的電磁污染問題已經(jīng)成為人們關(guān)注的熱點。正所謂關(guān)心則亂，關(guān)于電磁輻射的相關(guān)報道和言論很多時候讓人談虎色變。電子產(chǎn)品的電磁輻射真就那么可怕嗎？究竟什么樣的電磁輻射才構(gòu)成污染？消費者又該如何正確認識電磁輻射，將電磁輻射的負面影響降低到最?。侩姶泡椛涫怯煽臻g共同移送的電能量和磁能量所組成，而該能量是由電荷移動所產(chǎn)生；舉例說，正在發(fā)射訊號的射頻天線所發(fā)出的移動電荷，便會產(chǎn)生電磁能量。電磁“頻譜”包括形形色色的電磁輻射，從極低頻的電磁輻射至極高頻的電磁輻射。兩者之間還有無線電波、微波、紅外線、可見光和紫外光等。電磁頻譜中射頻部分的一般定義，是指頻率約由3千赫至300吉赫的輻射。電磁輻射所衍生的能量，取決于頻率的高低-頻率愈高，能量愈大。頻率極高的X光和伽瑪射線可產(chǎn)生較大的能量，能夠破壞合成人體組織的分子。事實上，X光和伽瑪射線的能量之巨，足以令原子和分子電離化，故被列為“電離”輻射。這兩種射線雖具醫(yī)學用途，但照射過量將會損害健康。X光和伽瑪射線所產(chǎn)生的電磁能量，有別于射頻發(fā)射裝置所產(chǎn)生的電磁能量。射頻裝置的電磁能量屬于頻譜中頻率較低的那一端，不能破解把分子緊扣一起的化學鍵，故被列為“非電離”輻射。哪里會有電磁輻射？電磁輻射的來源有多種。人體內(nèi)外均布滿由天然和人造輻射源所發(fā)出的電能量和磁能量；閃電便是天然輻射源的例子之一。至于人造輻射源，則包括微波爐、收音機、電視廣播發(fā)射機和衛(wèi)星通訊裝置等。電磁輻射不等于電磁污染從理論上來講，電場和磁場的交互變化產(chǎn)生電磁波，電磁波向空中發(fā)射或匯汛的現(xiàn)象，叫電磁輻射。過量的電磁輻射造成了電磁污染。在這個電子產(chǎn)品充斥的時代，環(huán)境中的電磁輻射幾乎無處不在，尤其是擺滿各種電器設(shè)備的房間，電磁輻射源更多。通常情況下，電磁輻射能干擾電視的收看，使圖像不清或變形，并發(fā)出噪聲；會干擾收音機和通信系統(tǒng)工作，使自動控制裝置發(fā)生故障，使飛機導(dǎo)航儀表發(fā)生錯誤和偏差，影響地面站對人造衛(wèi)星、宇宙飛船的控制。專家指出，并非所有的電磁輻射都會傷害人體，電磁輻射和電磁污染其實是兩個概念。電磁污染是電磁輻射超過一定強度（即安全衛(wèi)生標準限值）后的結(jié)果，電磁污染會對人體產(chǎn)生負面效應(yīng)，如頭疼、失眠、記憶衰退、血壓升高或下降、心臟出現(xiàn)界限性異常等。據(jù)職業(yè)病研究的專業(yè)人士介紹，電磁輻射對人體危害程度則隨波長而異，波長愈短對人體作用愈強，微波作用最為突出。有資料顯示，處于中、短波頻段電磁場（高頻電磁場）的操作人員，經(jīng)受一定強度與時間的暴露，將產(chǎn)生身體不適感，嚴重者引起神經(jīng)衰弱，如心血管系統(tǒng)的植物神經(jīng)失調(diào)，但這種作用是可逆的，脫離作用區(qū)，經(jīng)過一定時間的恢復(fù)，癥狀可以消失，并不成為永久性損傷;處于超短波與微波電磁場中的人員，其受傷害程度要比中、短波嚴重。尤其是微波的危害更甚。在其作用下，人體除將部分能量反射外，部分被吸收后產(chǎn)生熱效應(yīng)。這種熱效應(yīng)是由于人體組織的分子反復(fù)地極向和非極向的運動摩擦而產(chǎn)生的。熱效應(yīng)引起體內(nèi)溫度升高，如果過熱會引起損傷，一般以微波輻射最為有害。這種危害主要的病理表現(xiàn)為：引起嚴重神經(jīng)衰弱癥狀，最突出的是造成植物神經(jīng)機能紊亂。在高強度與長時間作用下，對視覺器官造成嚴重損傷，同時對生育機能也有顯著不良影響。電磁輻射衰減很快電磁場在介質(zhì)中傳播時，其場量的振幅隨距離的增加而按指數(shù)規(guī)律衰減。從能量的觀點看，電磁波在介質(zhì)中傳播時有能量損耗。所以人工設(shè)備產(chǎn)生的電磁輻射值隨距離的增加，而顯現(xiàn)衰減。普通純平電視機的磁場在屏幕前5厘米處可高達5微特斯拉，而屏前40厘米外就是安全范圍。日常所用功效的微波爐前5厘米處，磁場強度達8微特斯拉，離微波爐開關(guān)95厘米才是安全范圍。以下的表格是日常家電產(chǎn)品電磁波強度及衰減距離，供您日常擺放參考。3厘米30厘米1米吸塵器200－8002－200.13－2攪拌機60－700.6－600.02－0.25微波爐75－2004－80.25－0.6電視機2.5－500.04－20.1－0.15洗衣機0.8－500.15－30.01－0.15電熨斗8－300.12－0.30.01－0.025咖啡壺1.8－250.08－0.15>0.01電冰箱0.5－1.70.01－0.25>0.01從上表可以看出電磁波的強度隨著距離的增加，電磁波衰減的非常快。除了微波爐，其他電器距離超過1米以外的輻射都非常的低。電磁輻射不是惡魔在世界衛(wèi)生組織296號“實況報道”中，描述了電磁輻射超敏反應(yīng)的系列癥狀：“這些常見的癥狀包括皮膚癥狀（發(fā)紅、刺痛感和燒灼感）以及神經(jīng)衰弱和植物性癥狀（疲乏、勞累、不專心、眩暈、惡心、心悸和消化障礙）。大量癥狀聚集并不是任何公認綜合癥的一部分?！睂Ρ冗@些癥狀，人們會懷疑自己處在電磁輻射超敏反應(yīng)中。不過在同一篇文獻中，醫(yī)學界承認電磁輻射超敏反應(yīng)沒有明確的診斷標準，甚至沒有科學依據(jù)將電磁輻射超敏反應(yīng)與電磁場暴露聯(lián)系在一起。這是世界衛(wèi)生組織在2005年公開發(fā)布的實況報道。不過最近的醫(yī)學實踐似乎對電磁輻射尤其是持續(xù)的WiFi輻射提出了更多的懷疑和批評。尤其是對于家庭用戶而言，整天24小時使用WiFi是不可能的，甚至在某些公共場所的熱點也并非時時刻刻有人使用WiFi。就像手機一樣，WiFi完全有必要智能調(diào)節(jié)發(fā)射接受功率，在潛在的輻射危害和使用便捷中達成平衡。平衡的選擇－BeamFlex縱然電磁輻射不能被證明對健康有傷害；電磁輻射隨著距離的增加，輻射強度衰減非常明顯；Wi-Fi設(shè)備的輻射強度與手機相比較要更安全的，但是電磁輻射小一些，少一些，電磁環(huán)境就會更環(huán)保一些。Ruckus基于BeamFlex技術(shù)的智能無線網(wǎng)解決方案可以使得有限的無線信號能量更有目的性的指向正在通訊的客戶端；而在沒有無線客戶端工作的區(qū)域，沒有電磁輻射。與現(xiàn)有的無線網(wǎng)相比較，工作環(huán)境更綠色環(huán)保，電磁輻射的目的性更強，更有效率。最大程度的避免了電磁污染現(xiàn)象。還要強調(diào)的是，人體對于電磁波有很強的衰減。如果人體處于Ruckus的AP和客戶端之間時，Ruckus的AP會主動選擇其他信號路徑，主動避免對人體的照射。（上圖中指示燈的指示方向就是信號的發(fā)送方向）3．1．4BeamFlex和802.11n802.11n基礎(chǔ)802.11n是一個美國電氣電子工程師協(xié)會（IEEE）無線標準，和較老的802.11標準相比，在吞吐量和傳輸距離上有了顯著的提升。802.11n開發(fā)了很多高級技術(shù)和新技術(shù)，如空間復(fù)用、頻道復(fù)合以及幀集成等，在物理層面上，其理論數(shù)據(jù)傳輸率最高可達IEEE802.11a/g系統(tǒng)最大速度54Mbps的11倍。802.11n主要使用了七種技術(shù)來提升整體帶寬與性能：多路空間數(shù)據(jù)流：1路，2路，3路或4路這讓其可以在某些環(huán)境中，提升2到4倍的數(shù)據(jù)傳輸率。頻道帶寬：20MHz組合成40MHz在某些環(huán)境下，這讓其可以大體提升一倍的物理數(shù)據(jù)傳輸率。時空塊識別選項未來的某些芯片組將支持此功能，某些環(huán)境下能提升可靠性。波束形成（Beamforming）選項未來某些芯片組會支持?？勺儽Ｗo間隔某些環(huán)境下可以提升大約11%的吞吐量。幀集成更高的物理速率，可以極大的改善有效吞吐量。塊應(yīng)答更高的物理速率，可以極大的改善有效吞吐量。在目前生產(chǎn)的芯片組中，這些最重要技術(shù)已經(jīng)實現(xiàn)的有：空間復(fù)用，頻道復(fù)合，幀集成，以及塊應(yīng)答。期待的802.11n數(shù)據(jù)傳輸率雖然生產(chǎn)商們在不斷宣傳802.11n的理論數(shù)據(jù)傳輸率是300Mbps或者更高，但實際用戶們的吞吐量卻要低了不止一個數(shù)量級。這是因為當前的802.11n產(chǎn)品并未能最有效的使用這些新技術(shù)。因為擁有對Wi-Fi信號構(gòu)成以及信號方向的完全控制能力,SmartWi-Fi通過使用這些技術(shù)，無論在時間上還是距離上，都確保了更高的TCP吞吐量。物理速率的提升802.11n標準的核心之一，是一種叫做“空間復(fù)用”的技術(shù)?？臻g復(fù)用是基于多個傳輸天線的不同編碼數(shù)據(jù)信號或數(shù)據(jù)流的并發(fā)傳輸。這樣，同一空間就被重復(fù)利用了多次，或者是被多路復(fù)用了多次?？臻g復(fù)用的工作原理是將一個數(shù)據(jù)幀分割為多個數(shù)據(jù)片，然后通過多個天線的多路無線信號，并發(fā)傳輸這些數(shù)據(jù)片。而接受者則使用不同的天線，接受不同的信號，并執(zhí)行還原過程，將其恢復(fù)為原始數(shù)據(jù)流?？臻g復(fù)用通過提升發(fā)射者與接受者之間并發(fā)數(shù)據(jù)流的數(shù)量，從而提升吞吐量。空間復(fù)用實際上是利用了一個常見的無線現(xiàn)象，叫做“多路徑”（后文會對此進行詳細討論）。就是一個無線信號會因為反射，經(jīng)由不同的路徑達到最終客戶端，導(dǎo)致客戶端因此難以確定正確的信號。而在802.11n里，多路徑卻是被希望發(fā)生的現(xiàn)象，這樣就可以向接收端傳輸更多的數(shù)據(jù)。因此，確保信號會經(jīng)由不同的射頻路徑傳輸，對獲取更高性能而言就很重要了?？臻g復(fù)用的挑戰(zhàn)雖然802.11n規(guī)范允許高達4路的空間數(shù)據(jù)流，但是目前絕大多數(shù)可用的芯片組和系統(tǒng)只能支持2路?；蛟S在幾年后，芯片制造商們推出新一代802.11n芯片組時，會改變這一點。802.11n數(shù)據(jù)流速率:空間復(fù)用和物理數(shù)據(jù)傳輸率一樣，對干擾和數(shù)據(jù)包丟失高度的敏感。在一個充滿干擾的環(huán)境以及（或者）不佳的位置下，AP和客戶端可能會傾向于選擇更少的空間數(shù)據(jù)流。這會導(dǎo)致物理數(shù)據(jù)傳輸率和實際吞吐量的急劇降低。正如前文所提及的那樣，空間復(fù)用依賴于多路徑傳輸（無線信號通過2條或者多條路徑到達接受者天線）和相關(guān)延遲（每個信號自發(fā)射到被接收到之間的時間間隔）。接收端就是依據(jù)這些路徑差異來重組或者重建原始數(shù)據(jù)流的。如果在發(fā)送端和接收端之間的空間穿越路徑太過近似（或者“相互關(guān)聯(lián)”），空間復(fù)用就會失敗，發(fā)送端就必須削減空間數(shù)據(jù)流的數(shù)量，從而降低傳輸速率。因此，確保多路徑運作對于獲取802.11n所承諾的高性能來說，也是必不可少的空間復(fù)用同時也提升了空間數(shù)據(jù)流出錯的概率。因為此時穿越無線介質(zhì)的數(shù)據(jù)更多了，所以出現(xiàn)數(shù)據(jù)損傷或者數(shù)據(jù)包丟失的概率也就更大了。在這種情況下，對一個AP或者一個客戶端來說，最典型的反應(yīng)就是使用較少的空間數(shù)據(jù)流，并降低數(shù)據(jù)傳輸率，以確保平穩(wěn)運行以及最小化丟包率。認識空間復(fù)用的潛力智能天線技術(shù)才是最適合空間復(fù)用的。因為通過控制信號路徑的方向和時間，智能天線陣列最小化了陣列之間的關(guān)聯(lián)性。而正是不同的天線配置之間的非關(guān)聯(lián)性，才能保證實現(xiàn)使用這些系統(tǒng)所獲取的大部分統(tǒng)計增益。通過獨立掌控或者路由每一個空間數(shù)據(jù)流通過最適宜的射頻路徑，智能天線提升了空間復(fù)用通訊可用的時間百分比，拓展了空間復(fù)用的實用性。如今，幾乎所有的802.11nAP都使用了多根全方位天線，以發(fā)射不同的數(shù)據(jù)流。這些全方位天線幾乎是同等極化的，因此導(dǎo)致了多路徑的可能性被降到最低，特別是在很短的距離上。相反，智能天線陣列允許使用水平或者垂直極化的天線部件，以用于不同的空間數(shù)據(jù)流。這增加了（幾乎是確保了）正確多路徑傳輸?shù)目赡苄浴３俗畲蠡窂降姆窍嚓P(guān)性之外，智能天線陣列技術(shù)還可以排除干擾。這點對于2.4GHz的頻譜來說特別重要，因為它只有3個非重復(fù)的頻道，要不是那些全方位天線的Wi-Fi系統(tǒng)幾乎不可能做到這一點，頻道復(fù)合也不會變得如此困難。要減輕外來干擾，并防止空間數(shù)據(jù)流間彼此相互干擾，使用自適應(yīng)智能天線是最適合的，因為每一個Wi-Fi傳輸都可以被相應(yīng)的特定天線獨立控制，包括對方向的控制，以及對每個數(shù)據(jù)包穿越射頻介質(zhì)的路徑控制。此外，在5GHz的無線頻譜中（和2.4Ghz頻譜一樣），智能天線陣列為802.11n提供了相當高的信號增益（在許多個案中高達9dBi）。其結(jié)果就是可以在更大的覆蓋范圍內(nèi)使用更多的空間數(shù)據(jù)流。40MHz頻道（頻道復(fù)合）802.11n另一個重要的技術(shù)就是40MHz頻道（也就是常說的“頻道復(fù)合”）。頻道復(fù)合通過將兩個臨近的20MHz頻道復(fù)合成一個單獨的40MHz頻道，來提升帶寬。就吞吐量的提高來說，實際上比兩倍還略高一點點，因為兩個整合頻道之間的保護帶也能被去掉。2.4GHz對5GHz以及頻道復(fù)合沒有頻道復(fù)合的話，802.11n將是殘缺不全的。限制客戶端僅能使用20MHz是一種實質(zhì)上的誤導(dǎo)，并且會從整體上損害802.11n。由于絕大多數(shù)Wi-Fi系統(tǒng)中對于射頻傳輸控制的缺乏，傳統(tǒng)經(jīng)驗告訴我們，40MHz頻道僅在5GHz波段有效，因為在那個頻譜中，有大量的非重復(fù)頻道可用。而在2.4GHz波段，僅僅只有3個非重復(fù)的20MHz頻道（頻道1，6和11）。將3個非重復(fù)頻道中的2個組合成一個更寬的40MHz頻道，將限制你只能使用一個單獨的非重復(fù)40MHz頻道。在5GHz波段，有23個非重復(fù)的20MHz頻道（實際數(shù)目視不同的國家規(guī)定而不同），因此使用40MHz頻道沒有任何的風險。另一個常見的誤解是認為使用40MHz頻道的話，將造成更多的干擾。雖然40MHz的運作會消耗2倍的帶寬，但是數(shù)據(jù)包卻只有一半（相對于時間），所以在干擾方面其實并無實際增加。要最大化802.11n的運作，AP和客戶端方面是否都有足夠的智能以確認運作的正確模式，就顯得非常重要了。SmartWi-Fi通過其獨有的方式解決了干擾問題，因而在2.4GHz頻譜內(nèi)解決了頻道復(fù)合的問題。

SmartWi-Fi提升了頻道復(fù)合的幾率無論是使用2.4GHz還是5GHz的波段，40MHz的頻道都對干擾和數(shù)據(jù)包丟失極其敏感。對指定客戶端而言，絕大多數(shù)的AP都會在發(fā)現(xiàn)出現(xiàn)干擾或者數(shù)據(jù)包丟失時作出反應(yīng)，降回20MHz頻道。這會導(dǎo)致潛在吞吐量損失一半以上。SmartWi-Fi提供了更大程度上的更多自由，允許AP在數(shù)千種可能天線模式以及路徑之間進行選擇。在絕大多數(shù)情況下，它都可以找到一種特定的天線組合，可以保證在干擾依舊的情況下，繼續(xù)使用40MHz頻道。雖然實際操作還要依賴于具體的不同環(huán)境，但實際情況就是，使用了SmartWi-Fi的頻道復(fù)合，即使在2.4GHz的波段里也是非常有效的。有效吞吐量的提高除了物理速率提升，802.11n還增加了MAC-層技術(shù)，來提升有效吞吐量。802.11n幀集成幀集成幀集成將多個小數(shù)據(jù)包組合成一個大幀——系統(tǒng)開銷（Overhead）更少，有效地提高數(shù)據(jù)包效率。塊應(yīng)答塊應(yīng)答讓接受者可以對一組幀進行應(yīng)答，而不是以前那樣對單個幀進行應(yīng)答。因為延遲的響應(yīng)時間，應(yīng)答降低了發(fā)射時間的效率。而通過一次應(yīng)答多個幀，802.11n現(xiàn)在可以更加有效的使用無線介質(zhì)。802.11n塊應(yīng)答幀集成及塊應(yīng)答的潛在益處和挑戰(zhàn)這兩個技術(shù)在約定的物理數(shù)據(jù)傳輸率上，一起引人注目的提升了實際吞吐量。這種在時間和距離上的實際吞吐量才對絕大多數(shù)用戶有意義，因為環(huán)境的改變并不總能被事先考慮到。802.11g的最大物理傳輸速率是54Mbps，但是實際的UDP性能不超過大約35Mbps，而最大的TCP吞吐量則要更低得多。而使用802.11n，在物理數(shù)據(jù)傳輸率方面的問題就更加戲劇化了。在一個沒有塊應(yīng)答的300Mbps物理傳輸速率上，有效的最大UDP吞吐量不超過68Mbps。一次應(yīng)答2幀可以將潛在吞吐量提升到110Mbps；一次應(yīng)答4幀可以將吞吐量提升到200Mbps，以此類推。很顯然，幀集成和塊應(yīng)答技術(shù)，對于802.11n所承諾的性能而言，有多么的關(guān)鍵。毋庸置疑，幀集成和塊應(yīng)答同樣也對數(shù)據(jù)包丟失和干擾極其的敏感。在一個嘈雜的環(huán)境里，絕大多數(shù)AP和客戶端都會回歸到一個侵略性較少的集成上，其結(jié)果就是較低的吞吐量。通過優(yōu)化到達每個客戶端的路徑，減輕干擾，提升距離，以及提供優(yōu)異的接受靈敏度，SmartWi-Fi技術(shù)可以通過提升AP和客戶端之間協(xié)商達成更具侵略性的幀集成以及塊應(yīng)答方案的可能性，從而幫助實現(xiàn)并最大化MAC層增強技術(shù)的潛力。其結(jié)果就是，在距離方面獲得可靠的性能提升。向下兼容性——802.11a/b/g客戶端802.11n向下兼容于802.11a，802.11b，以及802.11g，所以老客戶們也可以使用802.11n的AP。許多人擔心，面對這些老客戶端，802.11n將失效。這種想法是錯誤的。一些專家推薦對新式802.11n客戶端使用5GHz波段（假定很少會有拖慢網(wǎng)絡(luò)的802.11a客戶端），而對老客戶（802.11b/g）則使用2.4GHz波段。嗯，很合理，但這遠不是最理想的。使用雙波段AP或者覆蓋式802.11n網(wǎng)絡(luò)將更加的昂貴，而5GHz波段的空氣傳播性更低，傳輸距離也更短。這會導(dǎo)致需要更多的AP，整體方案的成本也會更貴。相對于可供選擇的更多可用頻道，802.11n的5GHz波段提供了更多的彈性，但在使用此頻譜解決和低物理速率802.11a/802.11n客戶端相關(guān)的問題方面，并沒有任何與生俱來的優(yōu)勢。這一點，和802.11b在一個802.11g網(wǎng)絡(luò)中如何運作很相似。SmartWi-Fi引入了相關(guān)技術(shù)，以解決這些潛在的問題。某些情況下，最佳方案是給予每一個客戶端（無論其屬于何種類型）同等的介質(zhì)訪問份額。比方說，10個同時進行的客戶端，每一個都消耗十分之一的傳輸時間。對于有300Mbps物理速率的一個客戶端來說，這意味著最高30Mbps的吞吐量（忽略系統(tǒng)開銷）。而對于只有1Mbps物理速率的客戶端而言（可能是一個老客戶端，或者是一個遠程802.11n客戶端），則意味著不超過100kbps。在其他情況下，一個最佳方案可能是懲罰慢速客戶端，而給予更快的客戶端以更多的無線網(wǎng)絡(luò)訪問權(quán)。其結(jié)果就是更高的整體性能和整體應(yīng)用水平。問題是，絕大多數(shù)Wi-FiAP都使用集成在無線芯片組中的非彈性硬件隊列，只能提供4路標準隊列，分別是語音，視頻，數(shù)據(jù)，以及其他應(yīng)用。其結(jié)果就是，一個慢速的語音客戶端將消極影響網(wǎng)絡(luò)中的所有其他客戶端。SmartWi-Fi結(jié)合了智能天線陣列以及QoS（服務(wù)質(zhì)量控制）技術(shù)來解決這個問題。智能天線陣列允許對每一個數(shù)據(jù)包及每一個客戶端使用不同的天線陣列。與此同時，一個復(fù)雜的服務(wù)質(zhì)量控制引擎為每一個客戶端都保持4條軟件隊列。不同的客戶端之間應(yīng)用一個加權(quán)的循環(huán)法則。這些技術(shù)結(jié)合在一起，可以形成不同的特定策略，保證對不同客戶端之間的傳輸時間分配可以達到最優(yōu)化效果。BeamFlex和802.11n802.11允諾會重新定義無線網(wǎng)絡(luò)，最終讓企業(yè)無線化觸手可及。但是伴隨802.11n而來的，卻是復(fù)雜性、成本的增加以及混亂性。在生產(chǎn)商宣揚高達300Mbps的數(shù)據(jù)傳輸率時，用戶的體驗卻完全不同。獲取802.11n系統(tǒng)所承諾高性能的關(guān)鍵，在于利用全新的802.11n基本技術(shù)，例如空間復(fù)用、頻道復(fù)合、幀集成以及塊應(yīng)答。要做到這一點，在射頻領(lǐng)域方面擁有可見性以及控制力就勢在必行，與此同時，還需要對那些能對性能造成負面影響的實時環(huán)境變化擁有自適應(yīng)能力。當今的802.11n系統(tǒng)，絕大多數(shù)都未提供能滿足需求的射頻區(qū)域控制——其結(jié)果就是不合理的系統(tǒng)性能。這些系統(tǒng)必須不斷進行一次又一次的人工調(diào)整——需要你熟知信號傳播特征以及環(huán)境條件方面的相關(guān)知識。而智能天線技術(shù)的進步，卻的的確確解決了環(huán)繞在802.11n周圍的難題，比如復(fù)雜性、可靠性，以及性能方面的問題。通過自動控制Wi-Fi信號的路徑選擇，SmartWi-Fi系統(tǒng)能夠確保進行空間復(fù)用，頻道復(fù)合，幀集成以及塊應(yīng)答的最大可能性。此外，通過任何時候都對Wi-Fi信號進行最佳路徑的路由，這些SmartWi-Fi系統(tǒng)能夠避免和減輕所受到的干擾。其結(jié)果就是，在任何指定范圍內(nèi)，都能為用戶提供性能更好，更加可靠的無線連接。3．2Ruckus無線局域網(wǎng)的管理重慶XXX的無線局域網(wǎng)是一個數(shù)量龐大的無線網(wǎng)絡(luò)，包括有幾十個的無線AP，如何管理這些數(shù)量龐大的無線AP和復(fù)雜的無線應(yīng)用業(yè)務(wù)，是重慶XXX酒店IT管理者面臨的一大難題。傳統(tǒng)無線局域網(wǎng)的所有網(wǎng)絡(luò)配置都必須在AP上設(shè)定。采用無線交換機管理控制的AP解決了上述問題，但由于所有AP的業(yè)務(wù)流量都要匯聚到無線交換機，使得無線交換機成為單點故障和性能瓶頸，而且隨著最新的802.11n技術(shù)的逐步采用，每個AP無線傳輸速率高達300Mbps，如果遍布在各處的802.11nAP的數(shù)據(jù)都匯聚到中心的無線交換機進行處理，那么集中式無線交換機的單點故障和瓶頸效應(yīng)彰顯的尤為明顯，而且將遍布各處的無線用戶的數(shù)據(jù)都匯聚到中心的無線交換機進行處理，無論是用戶的使用性能還是可擴展性都是需要慎重考慮的。對重慶XXX酒店來講，兼容現(xiàn)有的網(wǎng)絡(luò)和運營模式是建設(shè)任何網(wǎng)絡(luò)的優(yōu)先考慮。所以集中管理就是一個必須要支持的功能，比如部署在用戶場所的AP要求獲取當?shù)氐腎P，而部署在管理中心機房的集中網(wǎng)管系統(tǒng)可以跨網(wǎng)段對部署在各用戶場所的AP進行遠程管理。新一代的無線網(wǎng)絡(luò)管理方案既要能夠滿足當前重慶XXX酒店業(yè)務(wù)的集中管理需求，又能夠滿足重慶XXX酒店網(wǎng)絡(luò)規(guī)模和新業(yè)務(wù)不斷發(fā)展的需要。Ruckus無線公司基于TR-069標準的網(wǎng)管系統(tǒng)FlexMaster是目前最適合的無線網(wǎng)管系統(tǒng)，它使得網(wǎng)絡(luò)管理者能夠方便的管理分布于不同區(qū)域、數(shù)量龐大的AP，可以在很大程度上減少的配置/管理工作，提高設(shè)備的易用性和可管理性，便于設(shè)備的快速部署和業(yè)務(wù)的迅速開展。FlexMaster最大支持同時管理10000個AP3．2．1集中管理–FlexMaster和ZD1000/3000FlexMaster集中網(wǎng)管服務(wù)器安裝在網(wǎng)管中心，直接管理分布在各處的2942AP和無線控制器ZoneDirector1000/3000。有些地方如運營商管理的連鎖咖啡廳、連鎖零售商店、無線熱點等，由于這些場所一般安裝的2942AP數(shù)目比較少，建議這些地點安裝的2942AP直接歸FlexMaster集中網(wǎng)管系統(tǒng)管理，供電可采用220伏AC/DC轉(zhuǎn)換器直接供電，也可以通過支持802.3af標準的PoE以太網(wǎng)交換機對其供電。對于連鎖酒店、學區(qū)、中大型企業(yè)以及無線管理業(yè)務(wù)，由于這些客戶一般擁有多個場所，每個場所需要部署幾十個到成百上千個AP不等，建議在這些場所的設(shè)備間部署Ruckus無線公司的無線控制器ZoneDirector1000/3000，統(tǒng)一管理部署在本場所的2942AP，分布在各個場所的無線控制器ZoneDirector1000/3000由部署在網(wǎng)管中心的FlexMaster集中管理。這樣每個場所可以通過部署在本地的ZoneDirector1000/3000進行一些本地化的配置，如只服務(wù)于該場所的特定的SSID，ZoneDirector1000/3000可以對部署在本場所的AP做靈活的射頻管理，如無線信道的選擇，發(fā)射功率的調(diào)整、負載均衡等，也有利于VoWLAN等語音業(yè)務(wù)的無縫漫游。FlexMaster集中網(wǎng)管系統(tǒng)提供以下基本功能：

(1)AP“零”配置、即插即用在任何地點的AP加電后，能夠自動找到FlexMaster網(wǎng)管服務(wù)器，主動請求管理，從FlexMaster網(wǎng)管服務(wù)器下載配置，自動進行初始化配置。AP只需要配置IP地址和指定FlexMaster網(wǎng)管服務(wù)器的IP/URL地址，其它的配置都由AP自動完成?；咀龅紸P設(shè)備的“零”配置或即插即用。AP也可以通過DHCP服務(wù)器或DNS服務(wù)器自動獲得FlexMaster網(wǎng)管服務(wù)器的IP/URL地址。（2）集中配置管理配置管理由FlexMaster網(wǎng)管服務(wù)器控制發(fā)起，通過在FlexMaster網(wǎng)管服務(wù)器上按組或設(shè)備類型設(shè)置配置模板。批量對指定設(shè)備和指定設(shè)備組配置更新，也可以對單臺設(shè)備進行個性化配置和管理。

(3)軟件升級管理

AP可以主動請求版本更新，也可由以FlexMaster網(wǎng)管服務(wù)器強制進行版本的升級。無論是哪種方式，版本的決策都由FlexMaster網(wǎng)管服務(wù)器來控制。FlexMaster網(wǎng)管服務(wù)器可以定制升級任務(wù)，為了不影響用戶的正常上網(wǎng)，F(xiàn)lexMaster網(wǎng)管服務(wù)器一般可以指定軟件升級或配置更新安排在凌晨用戶比較少的時間段進行。(4)性能監(jiān)控和系統(tǒng)日志文件

FlexMaster網(wǎng)管服務(wù)器可以實時查詢設(shè)備狀態(tài)，顯示設(shè)備信息，包括：型號,設(shè)備名稱,MAC地址,序列號，F(xiàn)irmware版本,上次通信事件，組名稱等。AP可主動發(fā)送事件報告實現(xiàn)設(shè)備的實時告警，設(shè)備告警、事件、設(shè)備日志能夠通過Email發(fā)送到指定管理員帳號。FlexMaster網(wǎng)管服務(wù)器能夠查看設(shè)備log信息和存儲log文件。(5)基于加密通道的遠程管理

采用加密通道對AP進行遠程管理，管理更安全。采用基于TCP的網(wǎng)管，管理更可靠（SNMP是基于UDP的網(wǎng)管）。（6）提供審計log保存管理員操作日志，內(nèi)容包括時間、審計類型、重要程度、用戶帳號和日志具體信息?？梢訣mail審計日志到指定管理員賬號。（7）實時監(jiān)視無線RF環(huán)境提供無線信號的熱敏圖，能夠?qū)崟r看到無線頻譜分布、無線信號強度。在在各個服務(wù)場所部署ZoneDirector和APFlexMasterDHCP/DNS服務(wù)器AAA服務(wù)器服務(wù)器在網(wǎng)管中心設(shè)置FlexMaster和配置DNSZoneDirector和AP自動‘訪問回家’ZoneFlexZoneFlex連鎖零售店連鎖咖啡廳外語學院圖書館當某個區(qū)域AP相對集中，如酒店、學校的圖使館、教學樓等，可以在這些大樓的設(shè)備管理間部署Ruckus無線公司的無線控制器ZoneDirector1000/3000，統(tǒng)一管理部署在本樓內(nèi)的2942室內(nèi)型11gAP。這樣無論2942AP安裝本樓的在什么地方，都集中到安裝在本樓設(shè)備管理間的無線控制器ZoneDirector1000/3000進行管理。ZoneDirector1000/3000可以對部署在本樓內(nèi)的AP做靈活的射頻管理，如無線信道的選擇，發(fā)射功率的調(diào)整、負載均衡等，也有利于VoWLAN等語音業(yè)務(wù)的無縫漫游。ZoneDirector1000/3000則可以由部署在網(wǎng)管中心的FlexMaster網(wǎng)管系統(tǒng)集中遠程管理。DHCPDHCP服務(wù)器AAA服務(wù)器FirewallRouterInternet2942/7942AP部署在大樓內(nèi)的2942AP，通過以太網(wǎng)線連接到樓層以太網(wǎng)交換機或通過大樓的綜合布線系統(tǒng)直接連接到大樓設(shè)備管理間的以太網(wǎng)交換機。如果樓層有些地方難以實施綜合布線，則可以考慮采用Ruckus無線公司的智能MESH技術(shù)，2942AP只需部署到所需的位置，通過220VAC/DC電源適配器對其進行供電，2942AP會自動發(fā)現(xiàn)周圍鄰居，并自動發(fā)現(xiàn)一條最佳的路徑連接到有線網(wǎng)。RootRoot11nAP802.11g802.11g802.11n300Mbps150Mbps150Mbps100MbpsMesh11nAP如果采用Ruckus無線公司智能MESH技術(shù)，則可以大大降低施工的難度，降低工程成本，加快工程建設(shè)進度。這項技術(shù)對于已裝修的大樓或臨時增加無線覆蓋的應(yīng)用場景尤為重要。由于無線MESH網(wǎng)經(jīng)過多跳后，性能會下降。如采用Ruckus無線公司294211gAP，經(jīng)過3跳MESH連接后，帶寬約為7Mbps。如果用戶應(yīng)用需要很大的帶寬，則建議采用Ruckus無線公司最新的794211nAP，如上圖所示，經(jīng)過3跳MESH連接后，帶寬仍高達100Mbps。2942AP如果和ZoneDirector1000/3000處于同一個二層子網(wǎng)內(nèi)，那么AP通過二層子網(wǎng)內(nèi)廣播自動發(fā)現(xiàn)ZoneDirector1000/3000，進行軟件和配置的更新和管理。2942AP如果和ZoneDirector1000/3000處于不同二層網(wǎng)絡(luò)內(nèi)，那么AP可通過DHCP服務(wù)器的選項Option43或手動設(shè)置ZoneDirector1000/3000的IP地址來發(fā)現(xiàn)ZoneDirector1000/3000，進行軟件和配置的更新和管理。ZoneDirector1000/3000安裝在XX大樓的管理設(shè)備間，一臺ZoneDirector1000/3000最多可以管理50/250個部署大樓內(nèi)的AP。294211gAP的配置管理、日志管理、RF管理、RougeAP檢測和故障診斷管理均由ZoneDirector1000/3000負責。RADIUSRADIUSAAA服務(wù)器ZF294211g無線用戶EAPoverwirelessLAN(EAP-OL)EAPoverRADIUSPEAP,TTLS,TLSoverEAPoverwirelessLAN(EAP-OL)andoverRADIUS用戶的認證和計費可以通過ZoneDirector1000/3000與大樓現(xiàn)有的AAA認證計費服務(wù)器聯(lián)系完成。ZoneDirector1000/3000負責將用戶的用戶名和密碼認證信息以及計費信息傳送到大樓現(xiàn)有的AAA認證計費服務(wù)器。 實現(xiàn)的功能如下：與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)兼容，無需對現(xiàn)有網(wǎng)絡(luò)進行任何調(diào)整和改變。集中管理和計費。支持8個SSID，支持PoE。認證加密機制是基于每個SSID來設(shè)定，針對不同的目標用戶可以采用不同的認證加密機制，例如對于訪客可以采用Webportal認證方式，而且可以設(shè)定訪客限制，一旦認證成功，訪客一般只能接入訪問互聯(lián)網(wǎng)。和大樓現(xiàn)有的AAA認證計費服務(wù)器相配合，支持基于802.1x的EAP-PEAP、EAP-TTLS等無線用戶認證加密機制，合法用戶必須輸入正確的用戶名和密碼，通過AAA系統(tǒng)認證后，才能接入訪問互聯(lián)網(wǎng)。用戶數(shù)據(jù)庫可以采用ZoneDirector1000/3000內(nèi)置的用戶數(shù)據(jù)庫，也可以采用外置的RADIUS服務(wù)器或ActiveDirectory服務(wù)器。支持合法用戶在在大樓內(nèi)無線網(wǎng)覆蓋范圍內(nèi)的漫游識別，認證和計費。支持無線用戶在大樓內(nèi)不同2942AP間的無縫切換而不中斷用戶數(shù)據(jù)連接。具有提供智能化的無線電波自動調(diào)控與切換能力，以確保單個AP接入點在發(fā)生故障時無線用戶自動切換到鄰近AP，不會影響到用戶的無線接入服務(wù)。支持無線用戶的二層隔離，保證用戶數(shù)據(jù)的安全。支持數(shù)據(jù)在無線信道上傳輸?shù)腣PN機制，以實現(xiàn)某些特殊的用戶數(shù)據(jù)集中管理；支持無線電波監(jiān)控能力，能自動調(diào)整信道和發(fā)射功率，以減少干擾。支持多業(yè)務(wù)區(qū)分，可以根據(jù)用戶分類與分布情況，設(shè)置多SSID技術(shù)來實現(xiàn)多業(yè)務(wù)區(qū)分。支持基于每個SSID的用戶上行、下行數(shù)據(jù)輸率限制，防止使用PtP下載應(yīng)用的用戶大量占用寶貴的網(wǎng)絡(luò)帶寬。支持防DoS惡意攻擊，一旦ZoneDirector1000/3000檢測到某臺機器連續(xù)多次認證失敗，ZoneDirector1000/3000可以根據(jù)預(yù)先的設(shè)定，一段時間內(nèi)拒絕該機器發(fā)出的所有無線數(shù)據(jù)，缺省時間一般為30秒鐘。無線用戶數(shù)據(jù)流量缺省不經(jīng)過ZoneDirector1000/3000進行交換，沒有瓶頸，性能好，擴展靈活。如果有些應(yīng)用確實需要匯聚到ZoneDirector1000/3000進行處理，則可以通過建立VPN隧道的方式來實現(xiàn)。支持零配置安裝，全自動配置更新、軟件升級。除了支持硬件QoS隊列以外，還支持分別針對每個無線用戶的軟件QoS隊列，以確保對時延和抖動敏感的應(yīng)用如語音、視頻等的良好支持。支持智能WiFiMESH功能，有些難以布線的地方或臨時需要部署AP的地方，則可以采用無線MESH的方法，通過其它有以太網(wǎng)連接的2942AP接入到大樓的有線以太網(wǎng)內(nèi)。3．2．2RF的智能管控Ruckus基于BeamFlex技術(shù)的智能無線網(wǎng)解決方案可以使得有限的無線信號能量更有目的性的指向正在通訊的客戶端；而在沒有無線客戶端工作的區(qū)域，沒有電磁輻射。與現(xiàn)有的無線網(wǎng)相比較，工作環(huán)境更綠色環(huán)保，電磁輻射的目的性更強，更有效率。最大程度的避免了電磁污染現(xiàn)象。Ruckus無線控制器ZoneDirector1000/3000自動設(shè)定AP的工作信道，當檢測到AP工作信道有射頻干擾時，ZoneDirector1000/3000會自動調(diào)整AP的工作信道來避免干擾。當AP的部署密度很高，一旦AP內(nèi)置的BeamFlex技術(shù)無法有效避免鄰近AP的相互干擾，ZoneDirector1000/3000會自動調(diào)整AP的發(fā)射功率來有效避免相互之間的射頻干擾。由于Ruckus無線公司的2942AP采用專利的BeamFlex智能天線技術(shù)，AP只往有無線用戶的方向定向發(fā)送無線信號，而不象其它廠商的AP采用360度全向發(fā)送無線信號，因此大大減少了鄰近AP之間的相互干擾，ZoneDirector1000/3000無需像其它廠商的無線交換機頻繁地調(diào)整AP的發(fā)射功率，這一點在動態(tài)環(huán)境下尤為重要。3．2．3系統(tǒng)的冗余備份當無線網(wǎng)絡(luò)規(guī)模越來越大，作為集中網(wǎng)管系統(tǒng)FlexMaster就需要系統(tǒng)冗余備份。最簡單、最初步的系統(tǒng)冗余備份是增加冗余的外置數(shù)據(jù)庫和FlexMaster服務(wù)器，增加一個負載均衡器來平衡每個FlexMaster服務(wù)器的負載，所有的FlexMaster服務(wù)器共用一個虛擬的IP地址。進一步的網(wǎng)絡(luò)擴展和系統(tǒng)冗余備份則是分布式數(shù)據(jù)中心冗余，分別部署FlexMaster集中網(wǎng)管系統(tǒng)在地理冗余的不同數(shù)據(jù)中心，北部地區(qū)的AP則配置網(wǎng)管URL到部署在北部數(shù)據(jù)中心FlexMaster的URL，同樣南部地區(qū)的AP則配置網(wǎng)管URL到部署在南部數(shù)據(jù)中心FlexMaster的URL，利用AP上配置不同F(xiàn)lexMaster服務(wù)器URL來做適當?shù)呢撦d均衡。最高級別的系統(tǒng)冗余則是帶冗余的災(zāi)難恢復(fù)，多個地理冗余的數(shù)據(jù)中心共享同步的數(shù)據(jù)庫，數(shù)據(jù)中心可以是工作-工作狀態(tài)，也可以是工作-備份狀態(tài)，這樣可以從容應(yīng)對災(zāi)難性事件。在某些重要的場所，可以在一個IP子網(wǎng)內(nèi)部署冗余的Ruckus無線公司的無線控制器ZoneDirector1000/3000，當某一個工作的ZoneDirector1000/3000出現(xiàn)故障，AP會自動注冊到備用的ZoneDirector1000/3000，無線用戶能夠維持會話，不需要重新手工登錄。其效果和無線用戶在同一個ZoneDirector1000/3000管理下的不同AP之間漫游的效果是一樣的。ZDAZDAZDBZDAZDB3．2．4客戶端的漫游無線用戶在在同一個ZoneDirector1000/3000管理下的不同AP之間可以無縫漫游，維持會話的連續(xù)性。RADIUSRADIUS對于基于802.1x認證的漫游，ZoneDirector1000/3000和無線客戶端在完成802.1x/EAP認證后，ZoneDirector1000/3000和無線客戶端保存PMK，ZoneDirector1000/3000把保存的PMK通知鄰近的AP，當無線客戶端漫游到鄰近AP，搜索到同樣的SSID，無線客戶端會使用存儲的PMK和新的AP做4次握手，完成快速漫游切換。當無線客戶端再漫游回到原先的AP時，無線客戶端仍然會使用存儲的PMK和原先的AP做4次握手，完成快速漫游切換，每個PMK一般保存8個小時。3．2．5SNMP和TR-069SNMP簡單網(wǎng)管協(xié)議比較適合在企業(yè)網(wǎng)內(nèi)使用，當用于管理大規(guī)模網(wǎng)絡(luò)的時候，SNMP會遇到不能穿透防火墻或NAT設(shè)備的難題。而基于TR-069的集中網(wǎng)管系統(tǒng)能夠穿透NAT設(shè)備，方便的管理分布于不同區(qū)域、數(shù)量龐大的CPE(客戶端網(wǎng)絡(luò)設(shè)備)，集中管理服務(wù)器具有如下功能：自動設(shè)備發(fā)現(xiàn)、批量并發(fā)配置更新、安全遠程無線監(jiān)視、告警、日志和報告、單個設(shè)備的細節(jié)管理、無需上門進行故障診斷、可遠程自動升級。AP的部署簡單，只需要配置好IP地址和TR-069的集中網(wǎng)管服務(wù)器的URL，設(shè)備就會自動完成AP的復(fù)雜配置?；咀龅紸P設(shè)備的“零”配置或即插即用。Ruckus無線公司的AP既支持傳統(tǒng)的SNMP網(wǎng)管，也支持新型的TR-069網(wǎng)管。如果用戶已部署SNMP網(wǎng)管系統(tǒng)，Ruckus公司可以提供AP詳細的MIB庫，經(jīng)SNMP網(wǎng)管軟件編譯后，Ruckus公司的AP就可以納入用戶的SNMP網(wǎng)管系統(tǒng)來管理。如果用戶新建網(wǎng)管系統(tǒng)，則建議采用新的TR-069網(wǎng)管系統(tǒng)，如Ruckus公司的基于TR-069協(xié)議的FlexMaster網(wǎng)管系統(tǒng)，安裝在一臺通用的Linux服務(wù)器上，就可以管理多達20000臺Ruckus公司的AP。Ruckus公司的AP可以人為配置由基于SNMP的網(wǎng)管系統(tǒng)管理還是由基于TR-069的網(wǎng)管系統(tǒng)管理，也可以讓AP自動選擇。如果AP找到基于TR-069的網(wǎng)管系統(tǒng)，則選擇TR-069管理系統(tǒng)，否則選擇SNMP的網(wǎng)管系統(tǒng)，但同時AP仍然會繼續(xù)尋找基于TR-069的網(wǎng)管系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，基于TR-069的網(wǎng)管系統(tǒng)會越來越普遍。3．3Ruckus無線局域網(wǎng)系統(tǒng)的安全管理3．3．1網(wǎng)絡(luò)安全的體系架構(gòu)網(wǎng)絡(luò)安全的任何一項工作，都必須在網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全運行體系的綜合作用下才能取得成效。首先必須有具體的人和組織來承擔安全工作，并且賦予組織相應(yīng)的責權(quán)；其次必須有相應(yīng)的安全策略來指導(dǎo)和規(guī)范安全工作的開展，明確應(yīng)該做什么，不應(yīng)該做什么，按什么流程和方法來做；再次若有了安全組織、安全目標和安全策略后，需要選擇合適的安全技術(shù)方案來滿足安全目標；最后在確定了安全組織、安全策略、安全技術(shù)后，必須通過規(guī)范的運作過程來實施安全工作，將安全組織、安全策略和安全技術(shù)有機地結(jié)合起來，形成一個相互推動、相互聯(lián)系地整體，通過實際的工程運作和動態(tài)的運營維護，最終實現(xiàn)安全工作的目標。完善的網(wǎng)絡(luò)安全體系應(yīng)包括安全策略體系、安全組織體系、安全技術(shù)體系、安全運作體系.安全策略體系應(yīng)包括網(wǎng)絡(luò)安全的目標、方針、策略、規(guī)范、標準及流程等，并通過在組織內(nèi)對安全策略的發(fā)布和落實來保證對網(wǎng)絡(luò)安全的承諾與支持。安全組織體系包括安全組織結(jié)構(gòu)建立、安全角色和職責劃分、人員安全管理、安全培訓(xùn)和教育、第三方安全管理等。安全技術(shù)體系主要包括鑒別和認證、訪問控制、內(nèi)容安全、冗余和恢復(fù)、審計和響應(yīng)。安全運作體系包括安全管理和技術(shù)實施的操作規(guī)程，實施手段和考核辦法。安全運作體系提供安全管理和安全操作人員具體的實施指導(dǎo)，是整個安全體系的操作基礎(chǔ)。從管理和技術(shù)兩個維度推進網(wǎng)絡(luò)安全工作不僅是現(xiàn)階段解決好網(wǎng)絡(luò)安全問題的需要，也是今后網(wǎng)絡(luò)安全發(fā)展的必然趨勢。從技術(shù)角度而言1．邏輯隔離技術(shù)。以防火墻為代表的邏輯隔離技術(shù)將逐步向大容量，高效率，基于內(nèi)容的過濾技術(shù)以及與入侵監(jiān)測和主動防衛(wèi)設(shè)備、防病毒網(wǎng)關(guān)設(shè)備聯(lián)動的方向發(fā)展，形成具有統(tǒng)計分析功能的綜合性網(wǎng)絡(luò)安全產(chǎn)品。2．防病毒技術(shù)。防病毒技術(shù)將逐步實現(xiàn)由單機防病毒向網(wǎng)絡(luò)防病毒方式過渡，而防病毒網(wǎng)關(guān)產(chǎn)品的病毒庫更新效率和服務(wù)水平，將成為今后防病毒產(chǎn)品競爭的核心要素。3．身份認證技術(shù)。80%的攻擊發(fā)生在內(nèi)部，而不是外部。內(nèi)部網(wǎng)的管理和訪問控制相對外部的隔離來講要復(fù)雜得多。在一般人的心目中，基于Radius的鑒別、授權(quán)和管理（AAA）系統(tǒng)是一個非常龐大的安全體系，主要用于大的網(wǎng)絡(luò)運營商，企業(yè)內(nèi)部不需要這么復(fù)雜的東西。這種看法越來越過時，實際上組織內(nèi)部網(wǎng)同樣需要一套強大的AAA系統(tǒng)。4．入侵監(jiān)測和主動防衛(wèi)技術(shù)。入侵檢測和主動防衛(wèi)（IDS、IPS）作為一種實時交互的監(jiān)測和主動防衛(wèi)手段，正越來越多的被政府和企業(yè)應(yīng)用，但如何解決監(jiān)測效率和錯報、漏報率的矛盾，需要繼續(xù)進行研究。5．加密和虛擬專用網(wǎng)技術(shù)。組織的員工外出、移動辦公、單位和合作伙伴之間、分支機構(gòu)之間通過公用的互聯(lián)網(wǎng)通信是必需的，因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。IPSec已經(jīng)成為市場的主流和標準。6．網(wǎng)管。網(wǎng)絡(luò)安全越完善，體系架構(gòu)就越復(fù)雜。管理網(wǎng)絡(luò)的多臺安全設(shè)備需要集中網(wǎng)管。集中網(wǎng)管是目前安全市場的一大趨勢。從管理角度講應(yīng)遵循以下原則1．整體考慮，統(tǒng)一規(guī)劃。網(wǎng)絡(luò)安全取決于系統(tǒng)中最薄弱的環(huán)節(jié)?！耙稽c突破，全網(wǎng)突破”，單個系統(tǒng)考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網(wǎng)絡(luò)安全架構(gòu)，整體考慮，全面防護。2．戰(zhàn)略優(yōu)先，合理保護。網(wǎng)絡(luò)安全工作應(yīng)服從組織信息化建設(shè)總體戰(zhàn)略，滾動式實現(xiàn)系統(tǒng)安全體系的統(tǒng)一。在此前提之下，追求適度安全，合理保護組織信息資產(chǎn)，安全投入與資產(chǎn)的價值應(yīng)相匹配。3．集中管理，重點防護。統(tǒng)籌設(shè)計安全總體架構(gòu)，建立規(guī)范、有序的安全管理流程，集中管理各系統(tǒng)的安全問題，避免安全“孤島”和安全“短板”。4．七分管理，三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準則并和安全技術(shù)手段合理結(jié)合，網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。3．3．2基礎(chǔ)型無線網(wǎng)安全機制（1）更改無線AP的管理員登錄初始口令和初始SSID（2）SSID設(shè)置成隱藏，不廣播SSID大多數(shù)破解無線網(wǎng)的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進行下一個步抓包、破解。隱藏SSID廣播功能可能對某些嗅探工具有用。（3）WEP加密盡管WEP已經(jīng)被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。現(xiàn)在可以從互聯(lián)網(wǎng)上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對無線網(wǎng)信號進行抓包，進行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設(shè)置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時間。（4）采用比WEP更安全的WPA，甚至WPA2要破解WPA加密并非易事，需要監(jiān)聽到的數(shù)據(jù)包是合法客戶端正在開始與無線AP進行“握手”的有關(guān)驗證操作過程，而且還要提供一個正好包含有這個密鑰的“字典文件”“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設(shè)置了復(fù)雜的密碼組合還是比較安全的。而WPA2是WPA的第二代，它支持更高級的AES加密，因此能夠更好地解決無線網(wǎng)絡(luò)的安全問題。（5）MAC地址訪問控制列表對于小型的無線網(wǎng)，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網(wǎng)中，而那些不在訪問列表中的工作站，是無權(quán)進入無線網(wǎng)絡(luò)中的。每一塊無線網(wǎng)卡都有自己的MAC地址，我們可以在無線網(wǎng)絡(luò)節(jié)點設(shè)備中創(chuàng)建一張“MAC訪問控制表”，然后將合法的無線網(wǎng)卡MAC地址逐一錄入到這個列表中，允許只有“MAC訪問控制表”中顯示的MAC地址，才能進入到無線網(wǎng)絡(luò)中。當然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關(guān)網(wǎng)卡的MAC信息，防止遺失。（6）關(guān)閉SNMP功能要是無線網(wǎng)絡(luò)訪問節(jié)點支持“簡單網(wǎng)絡(luò)管理”（SNMP）功能的話，筆者建議你盡量將該功能關(guān)閉，以防止非法攻擊者輕易地通過無線網(wǎng)絡(luò)節(jié)點，來獲取整個無線局域網(wǎng)中的隱私信息。以上安全機制主要針對分布式胖的部署方式。實現(xiàn)比較簡單有效，主要解決無線覆蓋的問題。3．3．3增強型無線網(wǎng)安全機制若無線網(wǎng)傳輸?shù)臄?shù)據(jù)較為重要，或者連接到一個保密級別較高但又不能進物理隔離的有線網(wǎng)絡(luò)的情況下，可以考慮采用增強的無線網(wǎng)安全防范措施。（1）WebPortal和802.1x認證WebPortal認證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也 可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務(wù)器的IP地址。采用Portal認證的接入設(shè)備必須具備這個能力。用戶登錄到PortalServer后，可以瀏 覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應(yīng)用程序傳給PortalServer，再由PortalServer與NAS之間交互來實現(xiàn)用戶的認證。PortalServer在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后PortalServer與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS服務(wù)器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。它的優(yōu)點是不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護工作量。802.1X是一個IEEE標準，用于對有線以太網(wǎng)和無線802.11網(wǎng)絡(luò)進行經(jīng)過身份驗證的網(wǎng)絡(luò)訪問。IEEE802.1X支持集中化用戶標識、身份驗證、動態(tài)密鑰管理以及記帳。802.1X標準通過允許計算機和網(wǎng)絡(luò)彼此驗證身份、生成通過無線連接加密數(shù)據(jù)的每用戶/每會話密鑰以及提供動態(tài)更改密鑰的能力來提高安全性。（2）VPN虛擬專網(wǎng)系統(tǒng)除了802.1x認證，在無線網(wǎng)之上采用VPN技術(shù)，可以進一步增強關(guān)鍵數(shù)據(jù)的安全性。VPN技術(shù)不屬于802.11標準定義，因此它是一種增強性無線網(wǎng)絡(luò)安全解決方案。VPN協(xié)議包括第二層PPTP/L2TP協(xié)議以及第三層的IPsec協(xié)議。VPN只涉及發(fā)起端，終結(jié)端，因此對無線訪問點AP來講是透明的，并不需要在無線訪問點支持VPN。IPsec是標準的第三層安全協(xié)議，用于保護IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護，怎樣保護以及應(yīng)該將這些受保護的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺主機之間，網(wǎng)絡(luò)安全網(wǎng)關(guān)之間，或主機與網(wǎng)關(guān)之間。當對數(shù)據(jù)的安全性要求非常之高時，可以考慮增加VPN虛擬網(wǎng)關(guān)，尤其是以IPsec協(xié)議建立的VPN。這是目前可以實現(xiàn)的較高數(shù)據(jù)安全等級的技術(shù)。（3）防火墻系統(tǒng)防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計。防火墻產(chǎn)品主要分為兩大類：包過濾防火墻（網(wǎng)絡(luò)層）在網(wǎng)絡(luò)層提供較低級別的安全防護和控制。應(yīng)用級防火墻（應(yīng)用代理）在最高的應(yīng)用層提供高級別的安全防護和控制。應(yīng)將無線局域網(wǎng)的流量接入有線網(wǎng)的非信任區(qū)，由整個網(wǎng)絡(luò)的安全控制機制統(tǒng)一的進行安全控制。如果專門為無線配置防火墻，會造成不必要的設(shè)備成本的增加；分散的安全機制造成安全策略的不一致等。（4）專用無線網(wǎng)入侵檢測系統(tǒng)采用第三方專業(yè)公司生產(chǎn)的無線網(wǎng)專用入侵檢測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)控，及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對無線網(wǎng)的安全狀況進行實時的分析和監(jiān)控。WLAN入侵檢測系統(tǒng)主要是針對采用802.11協(xié)議的WLAN進行網(wǎng)絡(luò)安全狀態(tài)的判斷和分析，WLAN入侵檢測系統(tǒng)采用了分布式的結(jié)構(gòu)，將進行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關(guān)鍵地點，并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋€集中的信息處理平臺。信息處理平臺通過對802.11協(xié)議的解碼和分析，判斷有無異?，F(xiàn)象，比如非法接入的AP和終端設(shè)備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況，以及通過對無線網(wǎng)絡(luò)進行的性能和狀態(tài)分析，識別拒絕服務(wù)攻擊現(xiàn)象。它能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的AdHoc網(wǎng)絡(luò)，并且通過通知管理員來及時阻止可能造成的進一步損害。基于Web界面的安全管理界面讓管理員可以進行策略的集中配置和分發(fā)，以及觀察網(wǎng)絡(luò)狀況、產(chǎn)生報表。WLAN入侵檢測系統(tǒng)通過結(jié)合協(xié)議分析、特征比對以及異常狀況檢測三種技術(shù)，對WLAN網(wǎng)絡(luò)流量進行深入分析，并且能夠?qū)崟r阻斷非法連接。（5）動態(tài)秘鑰技術(shù)3．3．4Ruckus支持的認證方式AP支持認證方式用戶可以通過設(shè)置AP自身對無線用戶進行認證。認證方式有以下幾種：開放WEPWPA/WPA2802.1X認證ZoneDirector支持的認證方式用戶可以通過RuckusZoneDirector對無線用戶進行認證。認證方式有以下幾種：本地認證與現(xiàn)有的Windows服務(wù)器的AD認證與現(xiàn)有的RADIUS 服務(wù)器整合進行認證802.1X認證3．3．5安全的AP技術(shù)由于Ruckus的AP是不儲存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此Ruckus管理的AP是不能單獨工作的，因此獲得和接入進RuckusAP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。3．3．6無線接入點安全偵測和保護采用Ruckus無線系統(tǒng)的RF偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰的AP、設(shè)置錯誤的AP以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的AP。通過Ruckus的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。3．3．7無線網(wǎng)絡(luò)入侵偵測網(wǎng)絡(luò)監(jiān)控與入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實時捕獲下來，檢查是否有黑客入侵和可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵，系統(tǒng)將做出實時響應(yīng)和報警。入侵檢測模型可以分為兩大類：基于網(wǎng)絡(luò)的入侵檢測：通過實時監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，來尋找具有網(wǎng)絡(luò)攻擊特征的活動；基于主機的入侵檢測：通過分析系統(tǒng)的審記數(shù)據(jù)，檢查系統(tǒng)資源的使用情況以及啟動的服務(wù)等來檢測本機是否受到了攻擊。對已知攻擊的檢測:通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識別攻擊；對未知攻擊和可疑活動的檢測:通過建立統(tǒng)計模型和智能分析模塊，來發(fā)現(xiàn)新的攻擊和可疑活動。Ruckus向用戶推薦使用第三方的入侵偵測產(chǎn)品。入侵偵測是專業(yè)性非常強的技術(shù)，需要對網(wǎng)絡(luò)攻擊有深入的認識。入侵偵測做的不專業(yè)，只能是花錢買心理安慰，不能發(fā)揮作用。入侵偵測只是報警并不能防范，所以還要與網(wǎng)絡(luò)安全服務(wù)商簽訂服務(wù)合同，通過人為的方式改變網(wǎng)絡(luò)的參數(shù)配置實現(xiàn)網(wǎng)絡(luò)的防入侵，防攻擊。Ruckus的專長在天線的技術(shù)，射頻的技術(shù)，以及網(wǎng)絡(luò)接入技術(shù)。我們認為在無線產(chǎn)品中加入入侵偵測功能，并不能對用戶的網(wǎng)絡(luò)安全做到全方位的保護，同時還增加了用戶不必要的成本。3．3．8無線接入的病毒防護病毒的防護要從客戶端的防護做起?？蛻舳酥卸緯斐尚阅芟陆?，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機所控制。對網(wǎng)絡(luò)有影響主要是蠕蟲類病毒。通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌麢C器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。像蠕蟲病毒尼坶達，它不但會感染EXE文件，還會通過局域網(wǎng)，電子郵件網(wǎng)頁等途徑進行傳播。對網(wǎng)絡(luò)形成壓力，造成網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定。所以病毒的防護，一定要從源頭抓起，要采取各種手段，減少客戶端不中毒的可能性。同時RuckusAP還可以進行限速，對于每一個客戶端的速率進行嚴格限定，縱然客戶端中毒，病毒在網(wǎng)絡(luò)上泛濫也不會造成網(wǎng)絡(luò)的癱瘓，減緩病毒在網(wǎng)絡(luò)上傳播的速度。同時Ruckus還有較強的訪問控制機制，可以采取阻斷中毒客戶端流量的措施。但所有這些網(wǎng)絡(luò)手段只能是輔助性的，是防護性的。3．3．9通過VPN再次加固無線接入 對于數(shù)據(jù)安全性要求非常高的用戶可以考慮VPN的方式，尤其是IPSec的VPN解決方案。IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議,是為保障IP通信而提供的一系列協(xié)議族。IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務(wù)。IPSec的基本目的是把密碼學的安全機制引入IP協(xié)議，通過使用現(xiàn)代密碼學方法支持保密和認證服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IPSec將幾種安全技術(shù)結(jié)合形成一個完整的安全體系，它包括安全協(xié)議部分和密鑰協(xié)商部分。（1）安全關(guān)聯(lián)和安全策略：安全關(guān)聯(lián)（SecurityAssociation，SA）是構(gòu)成IPSec的基礎(chǔ)，是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時間等。（2）IPSec協(xié)議的運行模式：IPSec協(xié)議的運行模式有兩種，IPSec隧道模式及IPSec傳輸模式。隧道模式的特點是數(shù)據(jù)包最終目的地不是安全終點。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。傳輸模式下，IPSec主要對上層協(xié)議即