无线局域网解决方案建议书.doc

xxx学校无线局域网解决方案建议书xxx学校无线局域网解决方案建议书200x年x月目 录一、xxxx无线局域网系统建设需求31项目背景311扩展网络信息点数量需求312网络教学需求313远程教学和视频会议需求314建设数字化信息大学需求415无线覆盖范围需求4二、xxxx大学无线局域网设计原则和技术需求421遵循标准422技术成熟423安全可靠524可扩展可升级525易管理易维护526技术需求5三、aruba无线交换局域网系统技术特点631 aruba无线局域网系统架构7311先进的无线局域交换机7312灵活的组网方式7313优秀的扩展性8314 无需更改有线网结构8315方便地无线网规划设计832 aruba无线局域网的网络管理9321 集中式管理9322无需安装客户端软件10323 rf智能控管10324 多个ssid结构10325故障自动恢复11326网络负载均衡11327 无线终端定位1133 aruba无线局域网系统的安全管理12331 集中的安全管理12332多种用户认证方式12333 独特的无线访问控制12334 安全的ap技术13335无线接入点安全侦测和保护13336无线网络入侵侦测13337无线接入的病毒防护1334无线移动音视频应用14341 带宽控制与服务质量保证qos14342 voip与wi-fi 手机14343 无缝的三层漫游15四、xxxx大学无线局域网方案建议164.1无线组网方式设计16411中型无线局域网(100到250个ap)集中式组网16412大型无线局域网(250个ap以上)分布式组网17413大型无线局域网(250个ap以上)集中式组网17414 xxxx大学无线局域网的组网设计1842多业务区分设计1843网络与用户管理1944无线安全性设计2045移动漫游设计21五、xxxx大学无线局域网系统建议2351无线覆盖建议2352无线组网实现2353网络用户与应用管理实现2454多媒体与网络教学以及音视频应用的实现2555无线网的安全系统实现255、6无线交换机的配置实施建议26561 ap的vlan和无线用户的vlan26562vlan和无线ssid的关系26563 aruba无线局域网 不需更改局域网路由27六、 设备配置清单28附件一、aruba无线产品简介29一、无线交换机29二、aruba access 系列30一、 xxxx无线局域网系统建设需求1项目背景（xxxx介绍、概况）此次无线局域网系统项目的是针对xxxx所属的建筑群做无线局域网的覆盖，满足数据、语音和视频多方面的网络应用需求。具体需求如下：11扩展网络信息点数量需求xxxx在建设时所安装部署的有线网络信息点数量与实际使用的需要缺口较大，难以满足正常办公、各种会议以及来客使用网络的实际需求。由于xxxx是新建成投入使用的，采用有线网络扩充而进行的网络布线工程会对xxxx墙壁和顶棚做大量的施工，影响建筑楼群内部的外观。希望通过采用无线局域网覆盖方式满足目前和将来的需要，并减少有线网络布线带来的工程难度、施工量和工程费用。本项目的建设目的是采用无线局域网替代正准备扩展的有线局域网，而不是简单地作为有线网的延伸。无线网络的覆盖重点为（以下针对大学的需求展开）12网络教学需求xxxx大学有多个多媒体教学教室和计算机网络教室，由于在建设时这些房间的使用功能考虑，目前有线网络环境教室已经不能满足广大师生网络接入，如采用有线网络扩充方式还需要在这些教室布大量网线，其工程难度很大。因此，建议采用无线局域网覆盖方式可以很方便、灵活地配合教室的布局和计算机接入网络的位置。13远程教学和视频会议需求xxxx大学的主楼以及学术会议中心、会议厅（室）召开各种类型的会议和学术活动不断增多，在召开会议准备过程中，与会者常常提出需要提供临时性的无线网络环境，以便使用视频会议系统或通过互联网进行具有音视频内容的远程多媒体传输、演示和交互。14建设数字化信息大学需求xxxx大学经常接待来校访问的国外学者和专家以及参加各种会议和学术活动的来宾，来宾们随身携带的笔记本电脑需要随时随地接入internet处理日常事务，因此，无线网络要满足来宾移动接入internet以及wifi-voip语音通信需求。15无线覆盖范围需求根据xxxx无线网络需求要求无线局域网的覆盖区域的如下：（贴图以及说明具体覆盖需求的位置）二、 xxxx无线局域网设计原则和技术需求21遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。根据xxxx大学的需求和无线网建设与设计原则，建议采用美国aruba networks公司的第三代无线交换局域网系统（以下简称aruba无线系统），完成无线局域网覆盖项目。22技术成熟第一代无线局域网主要是采用胖ap架构，每台ap都是一个独立的个体，ap与ap之间不会进行任何沟通，需要逐台逐台进行配置和管理，费时、费力、维护成本高，安全低，融合性差；第二代无线局域网融入了认证网关设备，仍然不能集中对ap进行管理和配置，只是对认证管理方面有所提高而已。现今大型无线网络要求其与传统有线网络平滑融合，要求管理性和安全性都必须有一个质的提高，而第一代和第二代无线技术必定不能满足，因此，在这样的环境下，基于无线交换机集中式管理的第三代无线架构延生了。第三代无线局域网架构采用无线交换机加瘦ap的结构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高，使建设大型无线网成为可能。23安全可靠在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的vpn机制；（4）具有无线网的防病毒机制（5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。具有提供智能化的无线电波自动调控与切换能力，以确保单个ap接入点在发生故障时自动切换到邻近ap，不会影响无线的接入服务；具有支持热备份的无线交换机n+1的冗余备份机制。24可扩展可升级通过一个集中的无线局域网网管平台实现对所有的ap功能的配置和管理，ap既可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。25易管理易维护在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端ap数据进行采集、远程监控、终端定位等功能，支持多ssid，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。26技术需求根据xxxx大学无线局域网系统建设要求，无线局域网系统建设原则如下：1、采用wlan交换技术及wlan交换体系结构。2、充分利用现有网络结构与资源，不单独组网，ap就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。3、采用集中控管的组网方式，集中控制管理所有的ap。4、ap的供电可以不单独拉线，采用poe供电的方式。5、采用先进的wlan网管系统管理局域网。6、充分考虑wlan的安全性，采用先进的wlan安全技术保障。7、无线局域网系统要支持故障热备冗余能力。8、无线局域网系统要能方便和灵活地调整与扩充。三、 aruba无线交换局域网系统技术特点第一代无线局域网技术采用单纯的ap实现无线接入，基本上没有其它功能。第二代无线局域网技术（以正诚、昂科、bluesocket等为代表），采用ac智能ap构架，ac两者实质均为二层设备，ap实现接入、ac实现汇聚和认证功能，有的厂商的ac实现了二层网络交换，具有基本的网络的控制和用户的管理，如：web认证、流量的控制、访问的控制等；支持vlan、vpn、wpa等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的ap储存了大量的网络和安全的配置，包括加密的钥匙，radius client的安全密码 (secret) 等，而ap又是分散在建筑物中的各个位置，一旦ap的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于ac或无线网关的硬件多数是基于pentium架构的，所以当用户接入数量 (ip sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以aruba和cisco为代表），实现了基于无线网络交换机，以ap为单元交换的无线网络系统，aruba是采用独立的无线网络交换机实现的。作为第三代的aruba无线系统采用了wireless switchap构架，将密集型的无线网络和安全处理功能转移到集中的 wlan 交换机中实现，同时加入了许多重要新功能，诸如无线网管、ap间自适应、无线安管、rf监测、无缝漫游以及qos保证。aruba无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。在无线网融合到有线网络方面，aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施非常方便。在无线网络管理方面，aruba无线系统实现真正的集中控管，包括独有的rf智能调控，自动恢复、负载均衡功能，使无线网可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端ap状态监测，方便实现对ap的管理；具有多ssid支持，实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面，aruba无线系统具备多种用户认证、基于用户的状态防火墙、vpn加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。在无线音视频应用方面，aruba独有的基于每个用户的带宽控制和qos保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得voip以及wi-fi 手机可以自由的在任意ap间切换，具有目前业界最低的时延。31 aruba无线局域网系统架构311先进的无线局域交换机领导第三代的无线网络技术的aruba公司无线系统采用了wireless switchthin ap构架，将第二代分散在ap+ac上的网络管理和安全管理功能转移到集中的 wlan 交换机中实现，同时增加了许多无线局域网全新的功能。诸如：无线安全性、ap管理控制、rf站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的qos保证，使得vowlan应用的wi-fi技术应用飞速发展。312灵活的组网方式第三代的aruba产品可以根据从小型的无线网规模（几十个ap），到大型无线网规模（几百个ap，甚至上千个ap），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。313优秀的扩展性 无线网络具有非常方便扩展的特性。在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面，aruba的一台6000型交换机可灵活地对从48个ap到128个ap扩充到支持512个 ap，因此扩展ap非常容易；从网络管理扩展性方面, aruba的master/local方式， master aruba 交换机可以同时控制管理28台的local aruba交换机，因此增加交换机也非常容易管理。除了ap数量之外，怎样控管大量的ap和部署也是扩展性的重要考虑因素。要妥善处理数目众多的ap在园区网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过aruba系统的网管系统实现。314 无需更改有线网结构xxxx大学实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不愿意做的事情，采用aruba系统无需更改现有的有线网结构。由于无线用户的传输是通过aruba ap 内已建立的gre隧道和aruba交换机互连的，所以实际上无线用户的vlan是无须在接入层和汇聚层存在。无线用户的vlan是可透过aruba交换机和骨干交换机互连互通。这样非常方便在园区里实施无线局域网，同时也非常方便进行扩展。aruba的无线交换机可以安装在学校的中心机房，而ap则可以放置于园区的任何地方，无需用二层设备连到无线交换机，或者划分vlan；其他厂家则需要二层交换机连接或者划分vlan，否则只能将认证点下放到ap上，导致整体性能的降低和漫游特性的缺失。不用划分vlan，对于无线网络的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。315方便地无线网规划设计在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少ap可以满足覆盖？应在哪些位置安装ap，安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，无法预先规划每个ap的电磁波和功率参数以及ap之间的覆盖相交范围。aruba首创开发了rf planning工具，让规划设计者在无线局域网组网之初采用rf planning在计算机上做规划设计，估算在要求的覆盖面积上ap应安装的物理位置所在。使用这套工具时，在数字化的园区建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，ap和ap之间覆盖面等。rf planning自动计算，然后显示出ap在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装ap，在无线网安装完成后，网管人员通过rf 规划自动校准功能， aruba交换机可以自动调节无线网上所有aruba ap的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后，网管人员可通过rf planning随时监测网内的每个ap的无线电波实际的运行状态，及时掌握每个ap的工作状态和故障诊断，及时做出调整策略。aruba rf planning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。32 aruba无线局域网的网络管理321 集中式管理网络数据中心管理一个具有规模的无线局域网（通常在几十个ap以上）是一件非常头痛的事情。从rf覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于ap，因此对于无线网络的管理，其大量工作是要在每个ap上进行设置和更改。其工作量在有一定数量ap的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，ap之间必须互协调工作，单独改变一个ap参数和配置会引起ap之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。aruba系统具有非常强的无线局域网集中管理功能，通过无线交换机master switch和local switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有ap设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 322无需安装客户端软件aruba系统无需为每一个移动用户终端安装无线接入软件， aruba的认证可以基于web页面认证，认证只需用户打开浏览器就可以登陆。aruba采用gre隧道技术，可以透明地穿透在无线交换机和ap之间的任何三层网络交换设备实现web认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的l2tp 或 ipsec 或 802.1客户端软件才能实现web页面认证。323 rf智能控管aruba系统的rf智能控管可以自动调节网上所有aruba ap的电波特性。 初次安装无线局域网时，用户可通过rf planning的auto calibration功能来自动调节整个无线网上所有ap的无线电波频率和功率。启动了auto calibration以后ap和ap之间会自动互传有关无线电波的信息和调整电波的参数，直到ap之间达到了一个最优化的无线电波运行环境。aruba系统的rf智能控管可以自动对网上所有aruba ap的无线电波管理。当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在aruba 交换机内启动arm这功能，无线网上所有的aruba ap都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指aruba ap 从一个电波频道跳到另一频道时，如ch 1 到 ch 2 到 ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到ap上在同一频率上的无线终端）的传输过程是不受到影响地。当ap停留在一个频道时，它会把在这频道上收到的无线电波信息转送回aruba 无线交换机。aruba 无线交换机可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变，如出现干扰ap所发出的电波或其它应用所发出的电波等，aruba 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内ap的无线电波。324 多个ssid结构aruba系统的多ssid结构和和实现技术使得在aruba无线局域网系统的各种多媒体应用服务（数据、语音和视频）在qos上表现非常出色。在一个无线局域网内可以设置多个ssid，例如一个ssid可给学校内部教师、工作人员以及学生所用，而另一个可给外来的访问客户专用。所以当无线终端在这个ap覆盖范围内启动时，它就能同时看到多个ssid。ssid的另一用途是可让无线终端以不同的安全认证和加密方式入网。在一个语音ssid内可把sip和h.323等无线语音数据以优先级队列处理。在一个视频ssid内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频ssid内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这ssid。在一个预设定语音ssid内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这ssid。可在多ssid的情况下确保语音和视频的qos支持。325故障自动恢复传统的无线网在有ap损坏或失效时，这个ap的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的ap换掉。但由于大多数的ap都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的ap都是安装在天花板上)。aruba系统具有自动恢复的功能，实时侦测出网上ap是否有失效，当发觉有ap出现故障时，aruba交换机能会自动调节邻近的ap的功率（覆盖范围）来接替失效ap的工作。326网络负载均衡aruba系统可在一个ap的覆盖范围内把无线用户或终端分散连接到附近的ap上。在一个ap的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个ap上无线终端的数量或ap带宽传输总和或和每个无线终端带宽上限。aruba无线系统可应用层面通过47层交换模块可以实现服务器的负载均衡，vpn设备，防火墙设备等等一系列基于tcp/ip协议设备的负载均衡来保证整体网络的可靠性。在视频应用中，负载均衡功能可以有效的缓解单个ap的负担，有效的利用临近的ap做接入，从而确保视频应用的质量得到保证。327 无线终端定位aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、pda和 wi-fi手机等。aruba采用的无线定位模式称为三角定位，无线定位的准确性可达到2.5米以内，无线定位的条件是所寻找的无线终端附近须有最少三个aruba的ap 在范围内。这是传统无线局域网所不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。大学对非法ap的定位，可以成为学校网络中心的管理人员提供清楚非法ap有效手段，可以方便快捷的清除非法ap的网络接入。可以保证园区网络接入的安全可靠性。33 aruba无线局域网系统的安全管理331 集中的安全管理aruba无线系统的安全管理是将防火墙、vpn、安全认证、防病毒、无线入侵监测以及rf 电磁波管理等多项安全功能汇聚到aruba无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ap、ac）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。332多种用户认证方式在aruba无线系统中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过dhcp获取ip地址、传送dns协议数据包，通过认证以后才可以接入无线网。aruba无线系统支持目前各种用户认证的方式（802.1、web认证、mac、ssid、vpn等），园区网内的用户可以根据需要方便选择。333 独特的无线访问控制用户状态防火墙是aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于ip地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。aruba无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发email等，这样可以极大方便园区网用户的安全管理。334 安全的ap技术aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过ap，而是在aruba无线交换机上实现。由于aruba的ap是不储存任何网络配置（ip地址除外）和安全设置，因此aruba 管理的ap是不能单独工作的，因此获得和接入进aruba ap，黑客也不会拿到无线网的网络和安全配置参数。335无线接入点安全侦测和保护采用aruba 无线系统的rf侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有ap接入情况,如相邻房间的ap、设置错误的ap以及未经认可而连接到网络中的ap。通过aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的ap接入，发现后可以开启自动保护机制，阻止无线终端通过非法ap联接到无线网中。336无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线dos攻击时，就会误以为是无线电波的信号受干扰或ap出现不稳定情况。这些攻击在hotspot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。337无线接入的病毒防护aruba无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端连接到aruba无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于java的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。aruba公司和第三方的防病毒墙厂家合作，在aruba无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据，aruba交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。基于上述两个层面，aruba无线局域网系统对无线终端进行有效和方便的病毒防护。34无线移动音视频应用341 带宽控制与服务质量保证qosaruba无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。aruba无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的ip服务，aruba系统亦可透过aruba无线交换机设置定义不同的qos队列。例如无线语音的应用，sip和rtp协议可设定在高的队列，而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务，目前，经过中国网通、赛尔公司对几家wlan设备厂商的设备测试结果表明，aruba的无线网系统以其完善qos特性在测试中表现最佳。提供语音服务，将极大以高无线网络的实际运营效果，为广大在校师生提供无线网络服务，随着无线语音技术的发展，无线语音无线数据服务将极大方便用户的园区生活。342 voip与wi-fi 手机随着voip的越来越普及(如skype,等)，基于sip的wi-fi电话将迅速变为园区内用户之间话音联络的主流。wi-fi电话除了可在园区、办公楼以及住宅楼之间等不同ap之间漫游外，用户亦可在其它有internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户vowifi会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(gsm/cdma + wi-fi)，用户很快就可以漫游于手机移动网和无线局域网之间。aruba无线交换技术已经证明支持业界voip系统在aruba系统上成功的运行，且在最近的network world vowlan测试结果被评选为市场上最卓越的产品。在具体实现wi-fi语音时要注意考虑语音的时延， ap呼叫的容量和漫游切换时间。 尤其无线语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些ap，而必须是有规范的组建无线局域网。aruba无线系统可容许用户设置专有的语音ssid，把单纯是数据传输的用户和wi-fi手机用户分开，但也可以在单一ssid内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 aruba无线交换机内的用户防火墙可把sip/rtp等voip协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在无线语音安全接入方面，aruba可防止没有无线语音权限的用户使用无线语音，以确保无线网络资源能有效运用。343 无缝的三层漫游aruba 无线可以支持无线接入用户在 ap、wlan 交换机、多子网以及多vlan 之间无缝地漫游，而且不会丢失连接，也不需要重启dhcp。无线网络不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而aruba的handoff性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在ap间漫游，而不会发生掉线，是语音业务的质量保证。四、 xxxx无线局域网方案建议根据无线网络需求和无线网络设计原则，结合aruba无线系统技术及产品的特点，方案的设计分为：无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。4.1无线组网方式设计aruba无线系统的组网方式有两种，集中式组网和分布式组网。可以根据不同的网络规模和管理方式，考虑选用以下不同档次的无线交换机进行组网。411中型无线局域网(100到250个ap)集中式组网根据园区网络结构和需求，用户可选择单台aruba6000交换机来组网。aruba6000设置在数据中心集中控管全无线网络的aruba ap。如下图所示：412大型无线局域网(250个ap以上)分布式组网大型无线局域网架构，用户可选择以分布式组网，即采用多台配置成local工作模式 aruba2400交换机分别设置于不同的配线间。一些要求较高的用户会采用双机（二台aruba2400）在配线间以vrrp串联模式来加强网络冗余备份。在网络中心则设置二台master aruba2400 (vrrp) 作为主控管交换机。网络管理员就可透过配置成master工作模式的 aruba2400来设定所有无线局域网设置。选用aruba6000无线交换机，一般是把250个ap汇聚到aruba 6000 上，而视乎ap实际数目和园区网络拓扑，多台aruba6000可分别设置在园区的不同的配线间/机房。在网络中心内则一定会aruba6000用以管理其它aruba6000交换机。413大型无线局域网(250个ap以上)集中式组网所有的无线交换机都放置在网络中心，但是在网络中心内则一定会有1台 aruba6000设置成master工作模式，用以管理其它aruba6000交换机。大型网络支持4000个用户以上的网络环境。414 xxxx无线局域网的组网设计xxxx无线局域网系统属于中型规模的无线局域网，考虑方案的性价比，建议选用集中式组网的方式：在网络中心采用一台aruba6000无线交换机，采用无线集中管理，全网络ap接受统一管理，ap以及下面的用户按接入策略分配接入到无线交换机上。这种组网方式简易灵活并方便扩容。aruba6000无线交换机现在配备sc-48-c1和sc-128-c1服务卡，分别可以支持48个ap 和128个ap。当无线局域网规模需要扩大而增加ap数量时，可以扩展无线交换机的板卡相应许可证，aruba6000无线交换机sc-48-c1卡可以平滑的从48个ap 支持到128个ap。aruba 6000可以支持到256个ap。42多业务区分设计从学校的用户分类与分布情况分析，用户主要分成以下几类：（1）学校教师与领导；（2）来访学者或留学生；（3）参加交流会议领导和来访人员；（4）园区一般工作人员；（5）长期租用学校办公的三产公司人员。使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多ssid技术，设置多业务区分方式。在一个无线局域网内可以设置多个ssid，例如一个ssid可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把ssid看成vlan，所以它们都会惯性地以vlan概念来划分ssid。其实在一个ap范围内，不管用户连接到那一个ssid它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是ap把不同的ssid名字广播，所以当无线终端在这个ap覆盖范围内启动时，它就能同时看到多个ssid。ssid的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的ssid呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：wep,tkip(wpa),802.11i(wpa2)等等，不同加密方式不能在同一个ssid内同时存在的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个ssid，例如：一个定义为open/static wep供客户用，另一个ssid则为tkip(wpa)专为内部员工使用。未来的发展趋势是新增设一个802.11i ssid让员工以过度的方式逐渐从转移到这个ssid上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。要注意的是ssid可以覆盖全网，也可以只局限于园区网内的某些范围。一般的情况下是全网开通，例如：客人(guest)使用的ssid；但有些ssid则可能供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。所以针对无线局域网多种用户的不同业务类型应该采取不同的ssid进行管理和控制。学校教职员工、学校工作人员和长期租用学校办公的人员属于学院内的固定用户，可以采用专门的ssid，可以采用级别较高的认证和加密手段，对于来宾和留学生、参加会议人员和来访人员可以使用另一个ssid，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。43网络与用户管理aruba无线系统中可以设定用户的角色（role），每个role可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的，它的保护只是基于ip地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。aruba的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使用sip的服务，而另一用户则可用ftp。一般在防火墙策略设计中，可以将来宾和普通学生的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。大学的教职员工以及校领导具有较高的权限，可以访问更多的学校资源，或者对某些特殊的来宾开放某些vip账号，分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合的大学网络中心的网络管理需求。44无线安全性设计在aruba无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：（1）多ssid：可以根据需要，如用户的种类、应用的种类，在aruba无线系统中设置多个ssid，不同的ssid采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外ssid还可以选择隐藏的方式，该ssid不广播，用户无法看到，防止非法用户的连接企图。ssid还可以选择在某些ap上出现，某些ap上不出现，限制ssid出现的范围也是实现安全性的一种手段。（2）加密：aruba无线系统支持多种加密的方式，二层的加密支持静态wep、动态wep、tkip、wpa、802.11i多种加密方式，三层的加密支持ipsec vpn加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。（3）用户认证提供二种方式： wpa-pskcaptive portal+vpn。加密方式采用wpa-psk，不建议采用静态wep，因为有安全隐患。采用captive portal+vpn的认证方式，同时vpn还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用radius, ldap, windows nt, activedirectory, tacacs，甚至是aruba交换机内置的帐户数据库。 wpa+802.11x加密方式尽量采用wpa，如果客户端不支持也可采用动态wep，认证方式采用802.11x，认证服务器选择radius。（4）用户的role（角色）：每一类用户可以建立一个相关的role，每个role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。（5）用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问internet,不能访问图书馆的服务器，只能访问web网页和收发邮件，不能运行p2p的软件等。（6）带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。（7）认证系统支持： aruba无线系统支持多种认证系统，诸如radius、ldap、微软的ad（活动目录）和在aruba无线交换机内部的internal db等等。（8）网络病毒的防护：无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态，诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，并设置安全策略是否准予进入网络。在数据的检测上，aruba无线交换机上可以设定策略，对于某些无线用户沾染病毒的终端，aruba无线系统将其导向到第三方防病毒系统进行防病毒的检查，检查完成后，才允许接入。45移动漫游设计无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，aruba无线局域网可以实现快速无缝漫游功能。l2/l3层漫游在传统的无线局域网内，无线终端要跨越不同ap之间漫游是有一定的困难，因为不同ap之间，它的无线用户ip子网可能都不是在同一个vlan内。所以当无线终端从一个ap漫游到另一ap时，由于它们之间的缺省ip子网不同，无线终端会重新发出dhcp请求，这样的话终端的ip地址就会更新，所有在原先ap建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了mobile ip的技术，但mobile ip的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过aruba 无线系统的代理 dhcp 功能，就可解决了跨越不同三层ip子网的无线漫游问题。 当无线终端从一个ap的ip子网漫游到另一个ap的ip子网时，它重新发出的dhcp请求，会从ap端的aruba 无线交换机转发到原有子网的无线交换机(用户从那一个ap获取它的ip地址)。用户的原交换机会告知用户漫游到的aruba 交换机继续保持用户的原有的ip地址。无线用户已漫游到另一个ip子网，但它仍可以原有的ip地址继续在新的ap上入网。代理dhcp 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同ip子网之间漫游。 在不同域之间的用户认证和漫游在大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据库，即所谓的本地认证服务器。在实现应用时，要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在的话，则用户会被断线。要做到真正的无缝漫游，则需要有支持radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。aruba 本身就可提供不同域之间的认证功能，域名可以与ssid绑定，亦可以让用户在登陆网页时输入或选择域名。aruba会把在不同域之间的认证请求转发到对应这域的radius服务器处理。五、 xxxx无线局域网系统建议51无线覆盖建议根据无线网络需求及园区内实地的了解，并结合以往的工程经验，对无线网络覆盖做出以下规划：（给出无线接入点部署规划图，总结设备需求清单）52无线组网实现aruba 6000交换机，放置在网络机房，aruba 6000无线交换机可以最多可支持512个ap的接入和管理，完全满足园区无线覆盖的需求，并留有充足的扩展余量。aruba 6000交换机集中汇集ap的接入和控管。无线交换机和ap的连接可以穿透三层网络设备，因此，无线网络不影响原有网络的结构，可以实现全网的无线漫游。 aruba公司的60/61系列 ap ，具有aruba ap的各种安全和管理功能，aruba交换机可以完全使用管理aruba ap的管理方式一样来管理该款新型ap，实现所有aruba提供的安全和管理功能。无线局域网系统组网示意图所示:阅览室住宅楼aruba6000主交换机办公楼 会议中心办公楼三层交换机园区网/internetap的供电可以采用单独的poe供电设备（与原有的普通楼层交换机配合，不用添加新的poe交换机），用于ap数据接入和供电，又不增加过多的成本。无线局域网系统，可以支持在园区内的任何一处，即便是在没有安装有线网络信息点的地方，也可以很方便地进行可视化的音视频教学和召开各种需要使用网络音视频的会议。在无线网络音视频会议教学系统的支持下，在校的留学生、教师和行政办公人员以及与会的来宾等，就可以利用其所携带的笔记本电脑或是配置有无线网络适配器的pc机，在学校内的任何一个地方上网与世界的任何一地进行信息交流、教学或媒体演示。教师和学生以及学生也可以随时查阅网上的资料或递交电子文档的作业等，这样可以十分方便、快捷地创造一个多方位的可视化的远程多媒体教学环境。53网络用户与应用管理实现从学校的上网用户类型与应用类型情况分析，用户主要有：（1）学校教职员工；（2）来访学者和学生；（3）参加会议人员和来访人员；（4）学校工作人员；（5）长期租用学校办公的人员。应用主要有：（1）多媒体与网络教学；（2）各种学术报告与会议需要的移动voip（音视频）；（3）移动业务办公；（4）访问internet。采用aruba无线系统的多ssid结构的管理技术将不同类型的用户和应用划分到不同的ssid中，赋予不同的访问规则与权限以及配置不同的管理策略。在方案实现上使用多个ssid：一个供学生用户和来宾使用，可以不用加密