Aruba-北京师范大学无线局域网系统建议书

北京师范大学无线局域网系统建议书2006年4月目 录一、Aruba公司简介3二、北京师范大学无线局域网系统建设需求321扩展网络信息点数量需求622网络教学需求623远程教学和视频会议需求624建设数字化信息北京师范大学需求625无线覆盖范围需求7三、无线局域网建设和设计原则931北京师范大学无线局域网建设原则932北京师范大学无线局域网设计原则10321先进性设计原则10322可管性原则10323安全性原则10323可靠性原则11324扩展性原则11325标准化原则11四、北京师范大学无线局域网方案建议124.1无线组网方式设计12411中型无线局域网(100到250个AP)集中式组网12412大型无线局域网(250个AP以上)分布式组网13413大型无线局域网(250个AP以上)集中式组网13414北京师范大学无线局域网的组网设计1442多业务区分设计1443网络与用户管理1544无线安全性设计1645移动漫游设计17五、 Aruba无线交换局域网系统技术特点1851 Aruba无线局域网系统架构20511先进的无线局域交换机20512灵活的组网方式20513优秀的扩展性20514 无需更改有线网结构20515方便地无线网规划设计2152 Aruba无线局域网的网络管理22521 集中式管理22522无需安装客户端软件22523 RF智能控管22524 多个SSID结构23525故障自动恢复23526网络负载均衡24527 无线终端定位2453 Aruba无线局域网系统的安全管理24531 集中的安全管理24532多种用户认证方式25533 独特的无线访问控制25534 安全的AP技术25535无线接入点安全侦测和保护25536无线网络入侵侦测26537无线接入的病毒防护2654无线移动音视频应用27541 带宽控制与服务质量保证QOS27542 VoIP与WI-FI 手机27543 无缝的三层漫游28六、 北京师范大学无线局域网系统建议2961无线覆盖建议2962无线组网实现3563网络用户与应用管理实现3764多媒体与网络教学以及音视频应用的实现3765无线网的安全系统实现386、6无线交换机的配置实施建议38661 AP的VLAN和无线用户的VLAN39662VLAN和无线SSID的关系396.。6。3 Aruba无线局域网 不需更改局域网路由39七、 设备配置清单41附件一、Aruba无线产品简介42一、无线交换机42二、Aruba Access 系列43 43一、 Aruba公司简介Aruba Networks是美国高速发展无线网络公司，专为企业制造移动网络系统。Aruba NetworksThe proliferation of wireless technology and growth of user mobility is driving fundamental changes in the way corporations build networks, creating a multi-billion dollar market.无线技术和应用的发展在根本上改变了企业构建网络的方式，这创造了价值数十亿美元的市场。Arubas solutions are purpose-built to address these network changes.Aruba公司的产品是特别为解决这些网络变化而生产制造的。The companys products, which include mobility controllers, controlled access points, and mobility software, are positioned at the intersection of three of the fastest growing technology marketswireless, security, and convergence.Aruba公司产品，包括控制网络接入点的移动控制器以及移动软件，集中代表了三项高速发展的无线网络技术无线、安全和整合。Aruba is credited with developing the first modular mobility system providing centralized control of all access, security, and mobility services, giving corporations a scalable, seamless, and non-disruptive migration from a fixed network to a mobile network.Aruba以开发出第一个模块移动系统的著称，该系统可集中控制所有接入、安全和移动服务，使企业了一个可衡量、不间断、无断裂地从固定网络转到移动网络。Aruba has worldwide strategic reseller and service partnerships with Alcatel, AT&T, IBM Corporation, Hewlett-Packard Corporation and NCR Corporation.Aruba公司同阿尔卡特、AT&T、IBM、惠普以及NCR公司建立了全球战略销售和服务合作关系。Arubas mobility systems are widely recognized as the most advanced in the world by leading enterprises across nearly every vertical market.Aruba公司全球最先进的无线产品得到了各个市场领先企业的广泛认可。Headquartered in Sunnyvale, California, Aruba has operations in the United States, Europe, the Middle East, and Asia Pacific, and employs staff around the world.Aruba公司总部设在加里福尼亚的Sunnyvale市，在美国、欧洲、中东和亚太地区建有分支机构，Aruba公司员工更是布满全球。0 Aruba公司倡导的第三代无线网络设备，创造了构建和管理无线网络创造的全新模式。Common functions such as encryption, VPN termination, and upper layer media access controls, were removed from conventional APs and integrated within a centralized “switching” or controller system.将传统APs的加密、VPN终端、上层媒体访问控制等普通功能转移并集成到中心的网关或控制系统。These systems built a seamless overlay to the existing wired IP network, delivering a wireless network with a single point for system-wide control.该系统通过全景控制的单点无线网络系统，可完全覆盖现存的有线IP网络。Still, performance and installation remained a problem.但性能和安装依然还是问题。The fourth generation gutted the cost of deployment and dramatically increased wireless performance through the dense deployment of APs in users space, creating a “wireless grid.”Aruba公司产品降低了无线网络成本，在客户的空间密集布置APs，可大幅提高无线性能，创造无线网格。Grids eliminated in-ceiling installation of APs that required a parallel cable and power infrastructure.采用无线网格装配模式不需要再天花板内安装APs以及必要的电源、光缆结构框架。Consequently, corporations could radically reduce the cost of wireless LAN operations,Enter Arubas Mobile Edge.企业无线网络的运营费用。二、 北京师范大学无线局域网系统建设需求北京师范大学大学校园总面积 1048 亩，建筑面积 52 万余平方米， 图书藏量 300 余万册 。在校全日制学生 18000 余人，其中全日制本科生 8400 人，研究生 8100 人。外国长期留学生近 1700 人，占全日制在校生总数的比例已近 10% ，短期留学生人数达到 1200 人次。网络与继续教育各类学生 29500 人。教职工近 3000 人。现设 21 个学院， 4 个系， 13 个研究院（所、中心）。 2002 年 5 月，北京市第九次党代会决定实施首都新世纪重点建设工程，北京师范大学被列入北京市重点支持建设世界一流大学的院校，写入党代会决议。同年 8 月，教育部、北京市签署了重点共建北京师范大学的协议，决策投入巨资支持北京师范大学建设世界知名高水平大学。 2002 年 9 月 8 日 ，北京师范大学在人民大会堂隆重举行建校 100 周年庆祝大会，党和国家领导人江泽民、朱镕基、李瑞环、胡锦涛、尉健行、李岚清等出席大会。江泽民同志作了关于教育创新的重要讲话，对北京师范大学百年办学成就给予了充分肯定，为北京师范大学的发展指明了方向。 北京师范大学的前身是 1902 年创立的京师大学堂师范馆，开创了中国现代高等师范教育的先河。 1908 年改称京师优级师范学堂，独立设校。 1912 年改名北京高等师范学校， 1923 年更名为北京师范大学，成为中国历史上的第一所师范大学， 1931 年和 1952 年北京女子师范大学、辅仁大学先后与北京师范大学合并。一百年来，北京师范大学始终同中华民族争取独立、自由、民主、富强的进步事业同呼吸，共命运，师范学堂及其后的师大师生在 “ 五 四 ” 、 “ 一二 九 ” 等爱国运动中，发挥了重要的作用。以李大钊、鲁迅、梁启超、钱玄同、吴承仕、黎锦熙、陈垣、范文澜、侯外庐、白寿彝、钟敬文、启功等为代表的一大批名师先后在这里弘文励教。百余年来，北京师范大学培养了 20 余万优秀师资和各类专门人才，为中华民族的教育文化事业做出了卓越的贡献。经过百余年的发展，北京师范大学形成了以对祖国未来和民族命运的高度责任感为核心的 “ 爱国进步、诚信质朴、求真创新、为人师表 ” 的优良传统和 “ 学为人师，行为世范 ” 的校训，在人才培养、科学研究、社会服务等方面做出了重要贡献，在中国现代教育史上书写了光辉篇章。 北京师范大学现有本科专业 55 个， 2002 年成为教育部首批 6 所拥有本科专业自主设置权限的重点高校之一，有 145 个硕士学位授权点， 86 个博士学位授权点， 16 个博士后流动站， 15 个硕士、博士学位一级学科授权点。硕士、博士点数在全国高校居于前列。有 16 个国家重点学科、 6 个北京市重点学科。 北京师范大学现有 2 个 “ 国家文科基础学科人才培养和科学研究基地 ” 、 5 个 “ 国家理科基础科学研究和教学人才培养基地 ” 。 2002 年经教育部、国家计划委员会批准在我校建设 “ 国家生命科学技术人才培养基地 ” ， 2003 年批准我校为 “ 国家对外汉语教学基地 ” 。有 1 个国家重点实验室， 2 个与有关单位共建的国家重点实验室， 8 个教育部重点实验室， 3 个教育部工程中心（研究院、网上合作中心）， 5 个北京市重点实验室， 2 个北京市工程技术研究中心， 7 个教育部人文社会科学重点研究基地， 1 个北京市文科研究基地。 先后获准建设北京市大学科技园、国家大学科技园。 2003 年，北京师范大学 “ 大学科技园区建设工程 ” ，顺利通过教育部、科技部联合组织的评估验收。 2003 年学校 “ 十五 ”“ 211 工程 ” 建设正式启动， 8 个重点学科项目、 4 个公共服务体系项目和 1 个队伍建设项目的建设工作正在顺利建设中。 2004 年，启动国家 “ 985 工程 ” 二期建设项目，重点建设 6 个科技创新平台和 4 个哲学社会科学创新基地以及 “ 哲学社会科学数字信息资源与管理中心 ” 、 “ 高性能大容量计算中心 ” 两个基地 / 平台条件支撑项目。 北京师范大学的自然科学研究已经成为国家科技创新的一支重要力量。在概率论与模糊数学研究、理论物理与系统科学研究、资源环境与可持续发展研究、生命科学尤其是生态学和蛋白质组学研究等方面，都做出了重要贡献。李小文院士创建了 “ 李 Strahler 几何光学模型 ” ，奠定了国际二向性反射研究中几何光学学派的基础； 郑光美 教授主持的 “ 中国特产濒危雉类生态生物学及驯养繁殖研究 ” 荣获国家自然科学奖二等奖； 李洪兴教授领导的实验室在世界上第一个成功地实现了四级倒立摆实物控制，在自适应模糊控制理论和实验研究两方面，均取得了突破性的成果，获得 2003 年教育部自然科学一等奖。此次北京师范大学无线局域网系统项目的是针对学校所属的10多座大楼和教室做无线局域网的覆盖，满足北京师范大学学校数据、语音和视频多方面的网络应用需求。具体需求如下：21扩展网络信息点数量需求北京师范大学在建设时所安装部署的有线网络信息点数量与实际使用的需要缺口较大，难以满足学院的正常教学、办公、各种会议以及留学生和来客使用网络的实际需求。由于北京师范大学是新建成投入使用的，采用有线网络扩充而进行的网络布线工程会对北京师范大学墙壁和顶棚做大量的施工，影响北京师范大学内部的外观。希望通过采用无线局域网覆盖方式满足目前和将来的需要，并减少有线网络布线带来的工程难度、施工量和工程费用。本项目的建设目的是采用无线局域网替代正准备扩展的有线局域网，而不是简单地作为有线网的延伸。无线网络的覆盖重点为主楼，科研楼和英东楼以及学术会议中心，其他诸如：化学楼，环境学院，物理系，曾宪梓楼，数学楼，敬文讲堂以及相关教室也是无线覆盖范围内。22网络教学需求北京师范大学有多个多媒体教学教室和计算机网络教室，由于在建设时这些房间的使用功能考虑，目前有线网络环境教室已经不能满足广大师生网络接入，如采用有线网络扩充方式还需要在这些教室布大量网线，其工程难度很大。因此，建议采用无线局域网覆盖方式可以很方便、灵活地配合教室的布局和计算机接入网络的位置。23远程教学和视频会议需求北京师范大学的主楼和英东楼以及学术会议中心、会议厅（室）召开各种类型的会议和学术活动不断增多，在召开会议准备过程中，与会者常常提出需要提供临时性的无线网络环境，以便使用视频会议系统或通过互联网进行具有音视频内容的远程多媒体传输、演示和交互。24建设数字化信息北京师范大学需求北京师范大学经常接待来校访问的国外学者和专家以及参加各种会议和学术活动的来宾，来宾们随身携带的笔记本电脑需要随时随地接入Internet处理日常事务，因此，北京师范大学无线网络要满足来宾移动接入Internet以及WiFi-VoIP语音通信需求。25无线覆盖范围需求根据师范大学无线网络需求要求北京师范大学无线局域网的覆盖区域的如下：师范大学科研大楼，位于师范大学中心位置，楼层分布比较复杂，在A区三层楼为大学网络中心所在地，后面的B，C区为对称结构的11层楼，每层楼内有50米左右，主要以小房间结构为主（12个小房间）。师范大学主楼，位于师范大学东南方，楼层为8层，分为A，B两部分，楼内房间结构比较复杂。物理系为老式建筑，楼内多为承重墙，每个教室只有门而没有窗。曾宪梓楼为5层楼和地下一层，楼层长度50米左右。数学楼在物理楼北面，也是老式建筑，楼内多为承重墙。敬文讲堂为独立建筑，内部为大型讲坛结构阶梯教室。教七楼为五层结构，比较新的建筑，楼内教室门上有玻璃透视，教室墙上有玻璃窗。教四楼和教二楼为四层结构，老式建筑，楼内多为承重墙。环境学院为六层楼结构。生命科学院为六层楼结构。地理学院为六层楼结构。化学楼为错层结构，西面为三层，其一、二层的每层为多间大教室，3-9层由于楼道内有70-80米。田家炳艺术教育书院，楼内结构很是复杂，在二楼还有书院领导办公室和有关会议室，常有领导重要会议。三、 无线局域网建设和设计原则31北京师范大学无线局域网建设原则根据北京师范大学无线局域网系统建设要求，无线局域网系统建设原则如下：1、采用WLAN交换技术及WLAN交换体系结构。2、充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。3、采用集中控管的组网方式，集中控制管理所有的AP。4、AP的供电可以不单独拉线，采用POE供电的方式。5、采用先进的WLAN网管系统管理北京师范大学局域网。6、充分考虑WLAN的安全性，采用先进的WLAN安全技术保障。7、无线局域网系统要支持故障热备冗余能力。8、无线局域网系统要能方便和灵活地调整与扩充。32北京师范大学无线局域网设计原则依据北京师范大学网络建设原则，在无线局域网组网技术、设备产品选型、网络管理和网络安全等方面考虑以下设计原则：321先进性设计原则第一代无线局域网主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和Thin AP的架构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。322可管性原则在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控、终端定位等功能，支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。323安全性原则在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的VPN机制；（4）具有无线网的防病毒机制（5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。323可靠性原则具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；具有支持热备份的无线交换机N+1的冗余备份机制。324扩展性原则通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。325标准化原则无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。根据北京师范大学的需求和无线网建设与设计原则，建议采用美国Aruba Networks公司的第三代无线交换局域网系统（以下简称Aruba无线系统），完成北京师范大学无线局域网覆盖项目。四、 北京师范大学无线局域网方案建议根据师范大学无线网络需求和无线网络设计原则，结合Aruba无线系统技术及产品的特点，方案的设计分为：无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。4.1无线组网方式设计Aruba无线系统的组网方式有两种，集中式组网和分布式组网。可以根据不同的网络规模和管理方式，考虑选用以下不同档次的无线交换机进行组网。411中型无线局域网(100到250个AP)集中式组网根据校园网络结构和需求，用户可选择单台Aruba 5000或6000交换机来组网。Aruba5000或6000设置在数据中心集中控管全无线网络的Aruba AP。如下图所示：412大型无线局域网(250个AP以上)分布式组网大型无线局域网架构，用户可选择以分布式组网，即采用多台配置成Local工作模式 Aruba2400交换机分别设置于不同的配线间。一些要求较高的用户会采用双机（二台Aruba2400）在配线间以VRRP串联模式来加强网络冗余备份。在网络中心则设置二台Master Aruba2400 (VRRP) 作为主控管交换机。网络管理员就可透过配置成Master工作模式的 Aruba2400来设定所有无线局域网设置。选用Aruba5000无线交换机，一般是把250个AP汇聚到Aruba5100 上，而视乎AP实际数目和校园网络拓扑，多台Aruba5000/5100可分别设置在校园的不同的配线间/机房。在网络中心内则一定会Aruba5100用以管理其它Aruba5000/Aruba5100交换机。413大型无线局域网(250个AP以上)集中式组网所有的无线交换机都放置在网络中心，但是在网络中心内则一定会有1台 Aruba5100设置成Master工作模式，用以管理其它Aruba5000/5100交换机。大型网络支持4000个用户以上的网络环境。414北京师范大学无线局域网的组网设计北京师范大学无线局域网系统属于中型规模的无线局域网，考虑方案的性价比，建议选用集中式组网的方式：在网络中心采用一台Aruba6000无线交换机，采用无线集中管理，全网络AP接受统一管理，AP以及下面的用户按接入策略分配接入到无线交换机上。这种组网方式简易灵活并方便扩容。Aruba6000无线交换机现在配备SC-48-C1和SC-128-C1服务卡，分别可以支持48个AP 和128个AP。当北京师范大学无线局域网规模需要扩大而增加AP数量时，可以扩展无线交换机的板卡相应许可证，Aruba6000无线交换机SC-48-C1卡可以平滑的从48个AP 支持到128个AP。Aruba 6000可以支持到256个AP。42多业务区分设计从北京师范大学的用户分类与分布情况分析，用户主要分成以下几类：（1）学校教师与领导；（2）来访学者或留学生；（3）参加交流会议领导和来访人员；（4）北京师范大学一般工作人员；（5）长期租用北京师范大学办公的三产公司人员。使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一个SSID内同时存在的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID，例如：一个定义为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。要注意的是SSID可以覆盖全网，也可以只局限于校园网内的某些范围。一般的情况下是全网开通，例如：客人(Guest)使用的SSID；但有些SSID则可能供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。所以针对北京师范大学无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。学校教职员工、北京师范大学工作人员和长期租用北京师范大学办公的人员属于北京师范大学内的固定用户，可以采用专门的SSID，可以采用级别较高的认证和加密手段，对于来宾和留学生、参加会议人员和来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。43网络与用户管理Aruba无线系统中可以设定用户的角色（role），每个role可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是Aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。Aruba的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使用SIP的服务，而另一用户则可用FTP。一般在防火墙策略设计中，可以将来宾和普通学生的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。大学的教职员工以及校领导具有较高的权限，可以访问更多的学校资源，或者对某些特殊的来宾开放某些VIP账号，分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合的大学网络中心的网络管理需求。44无线安全性设计在Aruba无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：（1）多SSID：可以根据需要，如用户的种类、应用的种类，在Aruba无线系统中设置多个SSID，不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的连接企图。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。（2）加密：Aruba无线系统支持多种加密的方式，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式，三层的加密支持IPSec VPN加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。（3）用户认证提供二种方式： WPA-PSKcaptive portal+VPN。加密方式采用WPA-PSK，不建议采用静态WEP，因为有安全隐患。采用captive portal+VPN的认证方式，同时VPN还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是Aruba交换机内置的帐户数据库。 WPA+802.11x加密方式尽量采用WPA，如果客户端不支持也可采用动态WEP，认证方式采用802.11x，认证服务器选择RADIUS。（4）用户的Role（角色）：每一类用户可以建立一个相关的Role，每个Role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。（5）用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问Internet,不能访问图书馆的服务器，只能访问WEB网页和收发邮件，不能运行P2P的软件等。（6）带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。（7）认证系统支持： Aruba无线系统支持多种认证系统，诸如Radius、LDAP、微软的AD（活动目录）和在Aruba无线交换机内部的Internal DB等等。（8）网络病毒的防护：无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态，诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，并设置安全策略是否准予进入网络。在数据的检测上，Aruba无线交换机上可以设定策略，对于某些无线用户沾染病毒的终端，Aruba无线系统将其导向到第三方防病毒系统进行防病毒的检查，检查完成后，才允许接入。45移动漫游设计无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，Aruba无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过Aruba 无线系统的代理 DHCP 功能，就可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的IP子网时，它重新发出的DHCP请求，会从AP端的Aruba 无线交换机转发到原有子网的无线交换机(用户从那一个AP获取它的IP地址)。用户的原交换机会告知用户漫游到的Aruba 交换机继续保持用户的原有的IP地址。无线用户已漫游到另一个IP子网，但它仍可以原有的IP地址继续在新的AP上入网。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。 在不同域之间的用户认证和漫游在大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据库，即所谓的本地认证服务器。在实现应用时，要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在的话，则用户会被断线。要做到真正的无缝漫游，则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。Aruba 本身就可提供不同域之间的认证功能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名。Aruba会把在不同域之间的认证请求转发到对应这域的radius服务器处理。五、 Aruba无线交换局域网系统技术特点 第一代无线局域网技术采用单纯的AP实现无线接入，基本上没有其它功能。第二代无线局域网技术（以正诚、昂科、Bluesocket等为代表），采用AC智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以Aruba和Cisco为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，Aruba是采用独立的无线网络交换机实现的。作为第三代的Aruba无线系统采用了Wireless SwitchAP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos保证。Aruba无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。在无线网融合到有线网络方面，Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施非常方便。在无线网络管理方面，Aruba无线系统实现真正的集中控管，包括独有的RF智能调控，自动恢复、负载均衡功能，使无线网可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端AP状态监测，方便实现对AP的管理；具有多SSID支持，实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面，Aruba无线系统具备多种用户认证、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。在无线音视频应用方面，Aruba独有的基于每个用户的带宽控制和QOS保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得VoIP以及Wi-fi 手机可以自由的在任意AP间切换，具有目前业界最低的时延。51 Aruba无线局域网系统架构511先进的无线局域交换机领导第三代的无线网络技术的Aruba公司无线系统采用了Wireless Switchthin AP构架，将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线局域网全新的功能。诸如：无线安全性、AP管理控制、RF站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的Qos保证，使得VoWlan应用的Wi-Fi技术应用飞速发展。512灵活的组网方式第三代的Aruba产品可以根据从小型的无线网规模（几十个AP），到大型无线网规模（几百个AP，甚至上千个AP），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。513优秀的扩展性 无线网络具有非常方便扩展的特性。在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面，Aruba的一台5000/6000型交换机可灵活地对从48个AP到128个AP扩充到支持512个 AP，因此扩展AP非常容易；从网络管理扩展性方面, Aruba的Master/Local方式， Master Aruba 交换机可以同时控制管理28台的Local Aruba交换机，因此增加交换机也非常容易管理。除了AP数量之外，怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在校园网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。514 无需更改有线网结构北京师范大学实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是北京师范大学的网管人员不愿意做的事情，采用Aruba系统无需更改北京师范大学现有的有线网结构。由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便在大学校园里实施无线局域网，同时也非常方便进行扩展。ARUBA的无线交换机可以安装在北京师范大学的中心机房，而AP则可以放置于北京师范大学的任何地方，无需用二层设备连到无线交换机，或者划分VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。不用划分VLAN，对于北京师范大学无线网的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。515方便地无线网规划设计在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖？应在哪些位置安装AP，安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。Aruba首创开发了RF Planning工具，让规划设计者在无线局域网组网之初采用RF Planning在计算机上做规划设计，估算在要求的覆盖面积上AP应安装的物理位置所在。使用这套工具时，在数字化的北京师范大学建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，AP和AP之间覆盖面等。RF Planning自动计算，然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP，在无线网安装完成后，网管人员通过RF 规划自动校准功能， Aruba交换机可以自动调节无线网上所有Aruba AP的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后，网管人员可通过RF Planning随时监测网内的每个AP的无线电波实际的运行状态，及时掌握每个AP的工作状态和故障诊断，及时做出调整策略。Aruba RF Planning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。52 Aruba无线局域网的网络管理521 集中式管理网络数据中心管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。Aruba系统具有非常强的无线局域网集中管理功能，通过无线交换机Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 522无需安装客户端软件Aruba系统无需为每一个移动用户终端安装无线接入软件， Aruba的认证可以基于WEB页面认证，认证只需用户打开浏览器就可以登陆。ARUBA采用GRE隧道技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1客户端软件才能实现WEB页面认证。523 RF智能控管Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。 初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。Aruba系统的RF智能控管可以自动对网上所有Aruba AP的无线电波管理。当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在Aruba 交换机内启动ARM这功能，无线网上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指Aruba AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。Aruba