某运营商无线局域网解决方案建议书.doc

xxx运营商无线局域网解决方案建议书2006年11月目 录一、xxx运营商无线局域网系统建设需求31项目背景311无线网络业务需求3xxx 运营商wlan业务4wlan业务要求4wlan系统业务类型5二、xxx运营商无线局域网设计原则和技术需求621遵循标准622技术成熟623安全可靠724可扩展可升级725易管理易维护826技术需求8三、aruba无线交换局域网系统技术特点931 aruba无线局域网系统架构11311先进的无线局域交换机11312灵活的组网方式11313优秀的扩展性11314 无需更改有线网结构12315方便地无线网规划设计1332 aruba无线局域网的网络管理14321 集中式管理14322无需安装客户端软件14323 rf智能控管15324 多个ssid结构16325故障自动恢复17326网络负载均衡17327 无线终端定位1833 aruba无线局域网系统的安全管理18331 集中的安全管理18332多种用户认证方式18333 独特的无线访问控制19334 安全的ap技术19335无线接入点安全侦测和保护20336无线网络入侵侦测20337无线接入的病毒防护2134无线移动音视频应用22341 带宽控制与服务质量保证qos22342 voip与wi-fi 手机22343 无缝的三层漫游23四、xxx 运营商无线局域网方案建议254.1无线组网方式设计25411中型无线局域网(100到250个ap)集中式组网25412大型无线局域网(250个ap以上)分布式组网26413大型无线局域网(250个ap以上)集中式组网26414 xxx 运营商无线局域网的组网设计2742多业务区分设计2743网络与用户管理2844无线安全性设计2945移动漫游设计30五、xxx 运营商无线局域网系统建议3251无线覆盖建议3252无线组网实现3253网络用户与应用管理实现3354多媒体与网络教学以及音视频应用的实现3455无线网的安全系统实现345、6无线交换机的配置实施建议35561 ap的vlan和无线用户的vlan35562vlan和无线ssid的关系35563 aruba无线局域网 不需更改局域网路由36六、 设备配置清单37附件一、aruba无线产品简介38一、无线交换机38二、aruba access 系列39 37一、 xxx运营商无线局域网系统建设需求1项目背景（xxx运营商介绍、概况）此次无线局域网系统项目的是针对xxx运营商所属的建筑群做无线局域网的覆盖，满足数据、语音和视频多方面的网络应用需求。具体需求如下：11无线网络业务需求无线局域网（以下简称wlan）作为一种能够在一定区域范围内支持移动特性的无线宽带接入手段，为xxx 运营商开展移动数据业务提供了一种重要手段。wlan业务的开展要求无线设备应该支持以下原则：l 在xxx 运营商wlan网络建设中，遵循国家环保局和无委电磁辐射的要求。l wlan接入点的部署以热点地区和业务汇聚区为主，如机场，饭店，写字楼群，会展中心，以及其他商务人员经常聚集的公共场所。l 支持在xxx 运营商wlan覆盖范围内的用户漫游。l 用户认证采用多种接入方式为主，同时支持用户名/密码认证方式。xxx 运营商wlan用户认证和现有gsm网络资源和现有radius认证系统高度融合。l 支持基于时长和流量的多种计费形式，并为现有移动用户提供统一帐单。l 为用户提供安全的wlan接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。xxx 运营商wlan业务基于802.11的wlan接入技术要求无线设备能够提供多种带宽的选择，并且支持全wlan覆盖地区的移动性，可满足用户使用笔记本电脑、pda等现有移动设备的高速上网需求，同时为wlan移动用户使用宽带多媒体业务提供了可能。 wlan业务要求(1) 一键上网wlan用户能够通过接入无线网络设备及其相关客户端软件方便地使用xxx 运营商提供的各种网络接入。(2) 业务控制wlan接入技术要求无线网络设备能够为用户承载所提供的更多类型的数据业务，并且可以捆绑xxx 运营商现有的各种数据业务（如mms等）。通过集中设置或者导入现有的各种业务控制机制，来引导用户对xxx 运营商数据业务的使用。(3) 多种计费方式wlan业务要求无线网络设备能够与其他相关设备配合支持基于时长和流量的多种计费形式。将来应支持基于qos和内容的计费。(4) 用户漫游，认证和计费无线网络设备能够支持wlan业务用户在xxx 运营商wlan覆盖范围内的漫游识别，认证和计费。随着业务和技术的发展，将来能够支持用户在不同运营商wlan覆盖之间的漫游。(5) 安全的数据业务接入要求无线网络设备能够与其他相关设备配合为用户提供安全的wlan接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。(6) 热点地区局部无缝切换要求能够支持wlan业务用户在热点地区不同ap间的无缝切换而不中断用户数据连接。 wlan系统业务类型通过wlan接入方式，无线网络设备能够支持为wlan用户提供丰富的数据业务类型，主要包括：(1) 支持互联网无线宽带接入wlan为用户访问internet提供了一种宽带接入方式。通过wlan接入设备，用户能够高速使用www，ftp，e-mail等各种internet业务。(2) 支持虚拟专用网业务(vpn)移动办公者可以通过wlan接入方式，高速访问企业内部网络资源，如企业内部网页，内部邮件系统，内部文件系统等。(3) 支持多媒体数据业务wlan接入方式为用户使用多媒体应用（如视频点播、数字视频广播、视频会议、远程医疗、远程购物、远程监控、远程教学等）提供了可能。(4) 支持基于wlan的增值业务基于wlan接入方式的的数据业务可以和现有的数据业务结合，如voip语音应用，短消息服务，移动电子邮件，移动个人理财，娱乐天地，位置服务，游戏等。xxx 运营商可以利用业务控制手段如门户网站来引导用户对增值业务的使用。二、 xxx运营商无线局域网设计原则和技术需求21遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。根据的需求和无线网建设与设计原则，建议采用美国aruba networks公司的第三代无线交换局域网系统（以下简称aruba无线系统），完成无线局域网覆盖项目。22技术成熟第一代无线局域网主要是采用fat ap，每一台ap都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代wlan产品发展的瓶颈，在这样的环境下，基于无线交换机技术的第三代wlan产品应运而生。第三代无线局域网采用无线交换机和thin ap的架构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。23安全可靠在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的vpn机制；（4）具有无线网的防病毒机制（5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。具有提供智能化的无线电波自动调控与切换能力，以确保单个ap接入点在发生故障时自动切换到邻近ap，不会影响无线的接入服务；具有支持热备份的无线交换机n+1的冗余备份机制。24可扩展可升级通过一个集中的无线局域网网管平台实现对所有的ap功能的配置和管理，ap既可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。25易管理易维护在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端ap数据进行采集、远程监控、终端定位等功能，支持多ssid，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。26技术需求根据xxx 运营商无线局域网系统建设要求，无线局域网系统建设原则如下：1、采用wlan交换技术及wlan交换体系结构。2、充分利用现有网络结构与资源，不单独组网，ap就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。3、采用集中控管的组网方式，集中控制管理所有的ap。4、ap的供电可以不单独拉线，采用poe供电的方式。5、采用先进的wlan网管系统管理xxx 运营商局域网。6、充分考虑wlan的安全性，采用先进的wlan安全技术保障。7、无线局域网系统要支持故障热备冗余能力。8、无线局域网系统要能方便和灵活地调整与扩充。三、 aruba无线交换局域网系统技术特点第一代无线局域网技术采用单纯的ap实现无线接入，基本上没有其它功能。第二代无线局域网技术（以正诚、昂科、bluesocket等为代表），采用ac智能ap构架，ac两者实质均为二层设备，ap实现接入、ac实现汇聚和认证功能，有的厂商的ac实现了二层网络交换，具有基本的网络的控制和用户的管理，如：web认证、流量的控制、访问的控制等；支持vlan、vpn、wpa等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的ap储存了大量的网络和安全的配置，包括加密的钥匙，radius client的安全密码 (secret) 等，而ap又是分散在建筑物中的各个位置，一旦ap的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于ac或无线网关的硬件多数是基于pentium架构的，所以当用户接入数量 (ip sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以aruba和cisco为代表），实现了基于无线网络交换机，以ap为单元交换的无线网络系统，aruba是采用独立的无线网络交换机实现的。作为第三代的aruba无线系统采用了wireless switchap构架，将密集型的无线网络和安全处理功能转移到集中的 wlan 交换机中实现，同时加入了许多重要新功能，诸如无线网管、ap间自适应、无线安管、rf监测、无缝漫游以及qos保证。aruba无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。在无线网融合到有线网络方面，aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施非常方便。在无线网络管理方面，aruba无线系统实现真正的集中控管，包括独有的rf智能调控，自动恢复、负载均衡功能，使无线网可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端ap状态监测，方便实现对ap的管理；具有多ssid支持，实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面，aruba无线系统具备多种用户认证、基于用户的状态防火墙、vpn加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。在无线音视频应用方面，aruba独有的基于每个用户的带宽控制和qos保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得voip以及wi-fi 手机可以自由的在任意ap间切换，具有目前业界最低的时延。31 aruba无线局域网系统架构311先进的无线局域交换机领导第三代的无线网络技术的aruba公司无线系统采用了wireless switchthin ap构架，将第二代分散在ap+ac上的网络管理和安全管理功能转移到集中的 wlan 交换机中实现，同时增加了许多无线局域网全新的功能。诸如：无线安全性、ap管理控制、rf站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的qos保证，使得vowlan应用的wi-fi技术应用飞速发展。312灵活的组网方式第三代的aruba产品可以根据从小型的无线网规模（几十个ap），到大型无线网规模（几百个ap，甚至上千个ap），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。313优秀的扩展性 无线网络具有非常方便扩展的特性。在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面，aruba的一台6000型交换机可灵活地对从48个ap到128个ap扩充到支持512个 ap，因此扩展ap非常容易；从网络管理扩展性方面, aruba的master/local方式， master aruba 交换机可以同时控制管理28台的local aruba交换机，因此增加交换机也非常容易管理。除了ap数量之外，怎样控管大量的ap和部署也是扩展性的重要考虑因素。要妥善处理数目众多的ap在xxx 运营商网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过aruba系统的网管系统实现。314 无需更改有线网结构xxx 运营商实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不愿意做的事情，采用aruba系统无需更改现有的有线网结构。由于无线用户的传输是通过aruba ap 内已建立的gre隧道和aruba交换机互连的，所以实际上无线用户的vlan是无须在接入层和汇聚层存在。无线用户的vlan是可透过aruba交换机和骨干交换机互连互通。这样非常方便在xxx 运营商里实施无线局域网，同时也非常方便进行扩展。aruba的无线交换机可以安装在运营商的中心机房，而ap则可以放置于xxx 运营商的任何地方，无需用二层设备连到无线交换机，或者划分vlan；其他厂家则需要二层交换机连接或者划分vlan，否则只能将认证点下放到ap上，导致整体性能的降低和漫游特性的缺失。不用划分vlan，对于无线网络的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。315方便地无线网规划设计在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少ap可以满足覆盖？应在哪些位置安装ap，安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，无法预先规划每个ap的电磁波和功率参数以及ap之间的覆盖相交范围。aruba首创开发了rf planning工具，让规划设计者在无线局域网组网之初采用rf planning在计算机上做规划设计，估算在要求的覆盖面积上ap应安装的物理位置所在。使用这套工具时，在数字化的xxx 运营商建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，ap和ap之间覆盖面等。rf planning自动计算，然后显示出ap在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装ap，在无线网安装完成后，网管人员通过rf 规划自动校准功能， aruba交换机可以自动调节无线网上所有aruba ap的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后，网管人员可通过rf planning随时监测网内的每个ap的无线电波实际的运行状态，及时掌握每个ap的工作状态和故障诊断，及时做出调整策略。aruba rf planning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。32 aruba无线局域网的网络管理321 集中式管理网络数据中心管理一个具有规模的无线局域网（通常在几十个ap以上）是一件非常头痛的事情。从rf覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于ap，因此对于无线网络的管理，其大量工作是要在每个ap上进行设置和更改。其工作量在有一定数量ap的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，ap之间必须互协调工作，单独改变一个ap参数和配置会引起ap之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。aruba系统具有非常强的无线局域网集中管理功能，通过无线交换机master switch和local switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有ap设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 322无需安装客户端软件aruba系统无需为每一个移动用户终端安装无线接入软件， aruba的认证可以基于web页面认证，认证只需用户打开浏览器就可以登陆。aruba采用gre隧道技术，可以透明地穿透在无线交换机和ap之间的任何三层网络交换设备实现web认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的l2tp 或 ipsec 或 802.1客户端软件才能实现web页面认证。323 rf智能控管aruba系统的rf智能控管可以自动调节网上所有aruba ap的电波特性。 初次安装无线局域网时，用户可通过rf planning的auto calibration功能来自动调节整个无线网上所有ap的无线电波频率和功率。启动了auto calibration以后ap和ap之间会自动互传有关无线电波的信息和调整电波的参数，直到ap之间达到了一个最优化的无线电波运行环境。aruba系统的rf智能控管可以自动对网上所有aruba ap的无线电波管理。当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在aruba 交换机内启动arm这功能，无线网上所有的aruba ap都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指aruba ap 从一个电波频道跳到另一频道时，如ch 1 到 ch 2 到 ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到ap上在同一频率上的无线终端）的传输过程是不受到影响地。当ap停留在一个频道时，它会把在这频道上收到的无线电波信息转送回aruba 无线交换机。aruba 无线交换机可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变，如出现干扰ap所发出的电波或其它应用所发出的电波等，aruba 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内ap的无线电波。324 多个ssid结构aruba系统的多ssid结构和和实现技术使得在aruba无线局域网系统的各种多媒体应用服务（数据、语音和视频）在qos上表现非常出色。在一个无线局域网内可以设置多个ssid，例如一个ssid可给内部人员专用，而另一个ssid可给外来的访问客户使用。所以当无线终端在这个ap覆盖范围内启动时，它就能同时看到多个ssid。ssid的另一用途是可让无线终端以不同的安全认证和加密方式入网。在一个语音ssid内可把sip和h.323等无线语音数据以优先级队列处理。在一个视频ssid内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频ssid内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这ssid。在一个预设定语音ssid内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这ssid。可在多ssid的情况下确保语音和视频的qos支持。325故障自动恢复传统的无线网在有ap损坏或失效时，这个ap的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的ap换掉。但由于大多数的ap都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的ap都是安装在天花板上)。aruba系统具有自动恢复的功能，实时侦测出网上ap是否有失效，当发觉有ap出现故障时，aruba交换机能会自动调节邻近的ap的功率（覆盖范围）来接替失效ap的工作。326网络负载均衡aruba系统可在一个ap的覆盖范围内把无线用户或终端分散连接到附近的ap上。在一个ap的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个ap上无线终端的数量或ap带宽传输总和或和每个无线终端带宽上限。aruba无线系统可应用层面通过47层交换模块可以实现服务器的负载均衡，vpn设备，防火墙设备等等一系列基于tcp/ip协议设备的负载均衡来保证整体网络的可靠性。在视频应用中，负载均衡功能可以有效的缓解单个ap的负担，有效的利用临近的ap做接入，从而确保视频应用的质量得到保证。327 无线终端定位aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、pda和 wi-fi手机等。aruba采用的无线定位模式称为三角定位，无线定位的准确性可达到2.5米以内，无线定位的条件是所寻找的无线终端附近须有最少三个aruba的ap 在范围内。这是传统无线局域网所不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。xxx 运营商对非法ap的定位，可以成为xxx 运营商网络中心的管理人员提供清楚非法ap有效手段，可以方便快捷的清除非法ap的网络接入。可以保证xxx 运营商网络接入的安全可靠性。33 aruba无线局域网系统的安全管理331 集中的安全管理aruba无线系统的安全管理是将防火墙、vpn、安全认证、防病毒、无线入侵监测以及rf 电磁波管理等多项安全功能汇聚到aruba无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ap、ac）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。332多种用户认证方式在aruba无线系统中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过dhcp获取ip地址、传送dns协议数据包，通过认证以后才可以接入无线网。aruba无线系统支持目前各种用户认证的方式（802.1、web认证、mac、ssid、vpn等），xxx 运营商网内的用户可以根据需要方便选择。333 独特的无线访问控制用户状态防火墙是aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于ip地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。aruba无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发email等，这样可以极大方便xxx 运营商网用户的安全管理。334 安全的ap技术aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过ap，而是在aruba无线交换机上实现。由于aruba的ap是不储存任何网络配置（ip地址除外）和安全设置，因此aruba 管理的ap是不能单独工作的，因此获得和接入进aruba ap，黑客也不会拿到无线网的网络和安全配置参数。335无线接入点安全侦测和保护采用aruba 无线系统的rf侦测功能和保护机制可以实时监测xxx 运营商无线网覆盖区域内的所有ap接入情况,如相邻房间的ap、设置错误的ap以及未经认可而连接到网络中的ap。通过aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的ap接入，发现后可以开启自动保护机制，阻止无线终端通过非法ap联接到无线网中。336无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线dos攻击时，就会误以为是无线电波的信号受干扰或ap出现不稳定情况。这些攻击在hotspot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。337无线接入的病毒防护aruba无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端连接到aruba无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于java的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。aruba公司和第三方的防病毒墙厂家合作，在aruba无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据，aruba交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。基于上述两个层面，aruba无线局域网系统对无线终端进行有效和方便的病毒防护。34无线移动音视频应用341 带宽控制与服务质量保证qosaruba无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。aruba无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的ip服务，aruba系统亦可透过aruba无线交换机设置定义不同的qos队列。例如无线语音的应用，sip和rtp协议可设定在高的队列，而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务，目前，经过中国网通、赛尔公司对几家wlan设备厂商的设备测试结果表明，aruba的无线网系统以其完善qos特性在测试中表现最佳。提供语音服务，将极大以高无线网络的实际运营效果，为广大在校师生提供无线网络服务，随着无线语音技术的发展，无线语音无线数据服务将极大方便用户的xxx 运营商生活。342 voip与wi-fi 手机随着voip的越来越普及(如skype,等)，基于sip的wi-fi电话将迅速变为xxx 运营商内的用户之间话音联络的主流。wi-fi电话除了可在热点地区、办公楼以及区域之间等不同ap之间漫游外，用户亦可在其它有internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户vowifi会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(gsm/cdma + wi-fi)，用户很快就可以漫游于手机移动网和无线局域网之间。aruba无线交换技术已经证明支持业界voip系统在aruba系统上成功的运行，且在最近的network world vowlan测试结果被评选为市场上最卓越的产品。在具体实现wi-fi语音时要注意考虑语音的时延， ap呼叫的容量和漫游切换时间。 尤其无线语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些ap，而必须是有规范的组建无线局域网。aruba无线系统可容许用户设置专有的语音ssid，把单纯是数据传输的用户和wi-fi手机用户分开，但也可以在单一ssid内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 aruba无线交换机内的用户防火墙可把sip/rtp等voip协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在无线语音安全接入方面，aruba可防止没有无线语音权限的用户使用无线语音，以确保无线网络资源能有效运用。343 无缝的三层漫游aruba 无线可以支持无线接入用户在 ap、wlan 交换机、多子网以及多vlan 之间无缝地漫游，而且不会丢失连接，也不需要重启dhcp。无线网络不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而aruba的handoff性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在ap间漫游，而不会发生掉线，是语音业务的质量保证。四、 xxx 运营商无线局域网方案建议根据xxx运营商的无线网络需求和无线网络设计原则，结合aruba无线系统技术及产品的特点，方案的设计分为：无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。4.1无线组网方式设计aruba无线系统的组网方式有两种，集中式组网和分布式组网。可以根据不同的网络规模和管理方式，考虑选用以下不同档次的无线交换机进行组网。411中型无线局域网(100到250个ap)集中式组网根据xxx 运营商网络结构和需求，用户可选择单台aruba6000交换机来组网。aruba6000设置在数据中心集中控管全无线网络的aruba ap。如下图所示：412大型无线局域网(250个ap以上)分布式组网大型无线局域网架构，用户可选择以分布式组网，即采用多台配置成local工作模式 aruba2400交换机分别设置于不同的配线间。一些要求较高的用户会采用双机（二台aruba2400）在配线间以vrrp串联模式来加强网络冗余备份。在网络中心则设置二台master aruba2400 (vrrp) 作为主控管交换机。网络管理员就可透过配置成master工作模式的 aruba2400来设定所有无线局域网设置。选用aruba6000无线交换机，一般是把250个ap汇聚到aruba6000 上，而视乎ap实际数目和xxx 运营商网络拓扑，多台aruba6000可分别设置在xxx 运营商的不同的配线间/机房。在网络中心内则一定会aruba6000用以管理其它aruba6000交换机。413大型无线局域网(250个ap以上)集中式组网所有的无线交换机都放置在网络中心，但是在网络技术中心内则一定会有1台 aruba6000设置成master工作模式，用以管理其它aruba6000交换机。大型网络支持4000个用户以上的网络环境。414 xxx 运营商无线局域网的组网设计xxx无线局域网系统属于中型规模的无线局域网，考虑方案的性价比，建议选用集中式组网的方式：在网络中心采用一台aruba6000无线交换机，采用无线集中管理，全网络ap接受统一管理，ap以及下面的用户按接入策略分配接入到无线交换机上。这种组网方式简易灵活并方便扩容。aruba6000无线交换机现在配备sc-48-c1和sc-128-c1服务卡，分别可以支持48个ap 和128个ap。当无线局域网规模需要扩大而增加ap数量时，可以扩展无线交换机的板卡相应许可证，aruba6000无线交换机sc-48-c1卡可以平滑的从48个ap 支持到128个ap。aruba 6000可以支持到256个ap。42多业务区分设计从用户分类与分布情况分析，用户主要分成以下几类：（1）办公用户；（2）企业用户；（3）移动人员；（4）xxx 运营商一般工作人员；（5）集团用户。使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多ssid技术，设置多业务区分方式。在一个无线局域网内可以设置多个ssid，例如一个ssid可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把ssid看成vlan，所以它们都会惯性地以vlan概念来划分ssid。其实在一个ap范围内，不管用户连接到那一个ssid它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是ap把不同的ssid名字广播，所以当无线终端在这个ap覆盖范围内启动时，它就能同时看到多个ssid。ssid的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的ssid呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：wep,tkip(wpa),802.11i(wpa2)等等，不同加密方式不能在同一个ssid内同时存在的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个ssid，例如：一个定义为open/static wep供客户用，另一个ssid则为tkip(wpa)专为内部员工使用。未来的发展趋势是新增设一个802.11i ssid让员工以过度的方式逐渐从转移到这个ssid上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。要注意的是ssid可以覆盖全网，也可以只局限于xxx 运营商网内的某些范围。一般的情况下是全网开通，例如：客人(guest)使用的ssid；但有些ssid则可能供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。所以针对无线局域网多种用户的不同业务类型应该采取不同的ssid进行管理和控制。集团用户、企业固定用户，可以采用专门的ssid，可以采用级别较高的认证和加密手段，对于移动用户和临时用户可以使用另一个ssid，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。43网络与用户管理aruba无线系统中可以设定用户的角色（role），每个role可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的，它的保护只是基于ip地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。aruba的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使用sip的服务，而另一用户则可用ftp。一般在防火墙策略设计中，可以将移动用户和临时用户的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。集团用户和企业用户具有较高的权限，可以访问更多的网络资源，或者对某些特殊的来宾开放某些vip账号，分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合的xxx 运营商网络中心的网络管理需求。44无线安全性设计在aruba无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：（1）多ssid：可以根据需要，如用户的种类、应用的种类，在aruba无线系统中设置多个ssid，不同的ssid采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外ssid还可以选择隐藏的方式，该ssid不广播，用户无法看到，防止非法用户的连接企图。ssid还可以选择在某些ap上出现，某些ap上不出现，限制ssid出现的范围也是实现安全性的一种手段。（2）加密：aruba无线系统支持多种加密的方式，二层的加密支持静态wep、动态wep、tkip、wpa、802.11i多种加密方式，三层的加密支持ipsec vpn加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。（3）用户认证提供二种方式： wpa-pskcaptive portal+vpn。加密方式采用wpa-psk，不建议采用静态wep，因为有安全隐患。采用captive portal+vpn的认证方式，同时vpn还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用radius, ldap, windows nt, activedirectory, tacacs，甚至是aruba交换机内置的帐户数据库。 wpa+802.11x加密方式尽量采用wpa，如果客户端不支持也可采用动态wep，认证方式采用802.11x，认证服务器选择radius。（4）用户的role（角色）：每一类用户可以建立一个相关的role，每个role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。（5）用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问internet,不能访问图书馆的服务器，只能访问web网页和收发邮件，不能运行p2p的软件等。（6）带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。（7）认证系统支持： aruba无线系统支持多种认证系统，诸如radius、ldap、微软的ad（活动目录）和在aruba无线交换机内部的internal db等等。（8）网络病毒的防护：无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态，诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，并设置安全策略是否准予进入网络。在数据的检测上，aruba无线交换机上可以设定策略，对于某些无线用户沾染病毒的终端，aruba无线系统将其导向到第三方防病毒系统进行防病毒的检查，检查完成后，才允许接入。45移动漫游设计无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，aruba无线局域网可以实现快速无缝漫游功能。l2/l3层漫游在传统的无线局域网内，无线终端要跨越不同ap之间漫游是有一定的困难，因为不同ap之间，它的无线用户ip子网可能都不是在同一个vlan内。所以当无线终