北航无线校园网工程

1、PAGE .：.；XX企业无线网络工程ARUBA处理方案建议书2006年10月26日目录 TOC o 1-3 h z u HYPERLINK l _Toc150518954 目录 PAGEREF _Toc150518954 h 2 HYPERLINK l _Toc150518955 1. XX企业无线网络建立需求 PAGEREF _Toc150518955 h 4 HYPERLINK l _Toc150518956 1.1 工程背景 PAGEREF _Toc150518956 h 4 HYPERLINK l _Toc150518957 1.2 XX企业无线网络的运用需求 PAGEREF _To

2、c150518957 h 4 HYPERLINK l _Toc150518958 数据接入效力 PAGEREF _Toc150518958 h 4 HYPERLINK l _Toc150518959 2.无线网络的设计原那么和参考技术目的 PAGEREF _Toc150518959 h 5 HYPERLINK l _Toc150518960 遵照规范 PAGEREF _Toc150518960 h 5 HYPERLINK l _Toc150518961 平安可靠 PAGEREF _Toc150518961 h 5 HYPERLINK l _Toc150518962 可扩展可晋级 PAGEREF

3、 _Toc150518962 h 5 HYPERLINK l _Toc150518963 无线性能技术参考目的 PAGEREF _Toc150518963 h 5 HYPERLINK l _Toc150518964 3. ARUBA“挪动边缘处理方案的技术特点 PAGEREF _Toc150518964 h 6 HYPERLINK l _Toc150518965 3.1 先进而成熟的无线局域网交换架构 PAGEREF _Toc150518965 h 6 HYPERLINK l _Toc150518966 3.2 具有平安保证的无线网络 PAGEREF _Toc150518966 h 7 HYP

4、ERLINK l _Toc150518967 集中的平安管理 PAGEREF _Toc150518967 h 7 HYPERLINK l _Toc150518968 多种用户认证方式 PAGEREF _Toc150518968 h 7 HYPERLINK l _Toc150518969 独特的无线访问控制 PAGEREF _Toc150518969 h 7 HYPERLINK l _Toc150518970 平安的AP技术 PAGEREF _Toc150518970 h 8 HYPERLINK l _Toc150518971 无线接入点平安侦测和维护 PAGEREF _Toc150518971

5、 h 8 HYPERLINK l _Toc150518972 无线网络入侵侦测 PAGEREF _Toc150518972 h 8 HYPERLINK l _Toc150518973 无线接入的病毒防护 PAGEREF _Toc150518973 h 9 HYPERLINK l _Toc150518974 3.3 支撑多业务的网络运用 PAGEREF _Toc150518974 h 9 HYPERLINK l _Toc150518975 带宽控制与效力质量保证QOS PAGEREF _Toc150518975 h 9 HYPERLINK l _Toc150518976 VoIP与WI-FI P

6、hone PAGEREF _Toc150518976 h 10 HYPERLINK l _Toc150518977 无缝的三层遨游 PAGEREF _Toc150518977 h 11 HYPERLINK l _Toc150518978 3.4 方便而强大的网管功能 PAGEREF _Toc150518978 h 11 HYPERLINK l _Toc150518979 集中式管理 PAGEREF _Toc150518979 h 11 HYPERLINK l _Toc150518980 无需安装客户端软件 PAGEREF _Toc150518980 h 12 HYPERLINK l _Toc1

7、50518981 RF智能控管 PAGEREF _Toc150518981 h 12 HYPERLINK l _Toc150518982 多个SSID构造 PAGEREF _Toc150518982 h 13 HYPERLINK l _Toc150518983 缺点自动恢复 PAGEREF _Toc150518983 h 13 HYPERLINK l _Toc150518984 网络负载平衡 PAGEREF _Toc150518984 h 13 HYPERLINK l _Toc150518985 4. XX企业无线网络系统的设计和实施方案 PAGEREF _Toc150518985 h 14

8、HYPERLINK l _Toc150518986 4.1整体系统架构设计 PAGEREF _Toc150518986 h 14 HYPERLINK l _Toc150518987 4.1.1设计原那么 PAGEREF _Toc150518987 h 14 HYPERLINK l _Toc150518988 4.1.2拓扑构造 PAGEREF _Toc150518988 h 15 HYPERLINK l _Toc150518989 4.1.3设备选型和配置 PAGEREF _Toc150518989 h 15 HYPERLINK l _Toc150518990 4.1.4中心交换机衔接 PAG

9、EREF _Toc150518990 h 16 HYPERLINK l _Toc150518991 4.1.5接入层AP部署 PAGEREF _Toc150518991 h 16 HYPERLINK l _Toc150518992 4.1.7用户接入战略 PAGEREF _Toc150518992 h 16 HYPERLINK l _Toc150518993 4.2认证与加密方案 PAGEREF _Toc150518993 h 17 HYPERLINK l _Toc150518994 4.2.1设备认证方式建议 PAGEREF _Toc150518994 h 17 HYPERLINK l _T

10、oc150518995 4.2.2数据传输加密 PAGEREF _Toc150518995 h 18 HYPERLINK l _Toc150518996 4.3网络管理措施 PAGEREF _Toc150518996 h 18 HYPERLINK l _Toc150518997 4.3.1性能管理 PAGEREF _Toc150518997 h 18 HYPERLINK l _Toc150518998 4.3.2缺点管理 PAGEREF _Toc150518998 h 18 HYPERLINK l _Toc150518999 5设备清单 PAGEREF _Toc150518999 h 191.

11、 XX企业无线网络建立需求1.1 工程背景XX企业新建的行政办公大楼作为整个码头未来的一个主要智能建筑，方案于2007 年3 月正式投入办公运用。该大楼包括1 栋25 层高的主楼和1 栋5 层高的副楼主楼和副楼 之间经过公用过道衔接在一同，未来建成为一个可以包容2000人办公的国际一流写字综合楼。该建筑的剖面图如下：本工程作为智能化大厦的配套网络集成任务， XX企业要求卖方以现代技术规范集成大楼内部的网络系统，并在主楼第15 层数据中心中建立新的骨干网络。1.2 XX企业无线网络的运用需求数据接入效力为企业园区内办公楼、宿舍、操场，以及一系列等热点场所提供典型的无线局域网接入，为有线网络提供了

12、良好的衔接补充，完成了整个企业网络接入的全面覆盖，运用户可以在企业内的任何区域接入局域网，到达完善企业信息化的目的。在此，无线网络作为有线网的良好扩展，既节约了本钱，而且加快了企业网信息化建立的步伐。2.无线网络的设计原那么和参考技术目的根据XX企业的无线网络建立需求，可以确立的以下根本设计原那么：遵照规范针对工程的技术需求，为了保证无线网络设备之间的互通性，同时对于已有无线网络的建立进展投资维护，ARUBA公司方案中的技术道路严厉遵照工程要求，做到支持802.11b/g规范，WiFi规范兼容。平安可靠针对不同的用户、设备采用不同的认证方式，如802.1x、MAC地址认证等；并且结合隐藏SSI

13、D、MAC地址过滤、Radius认证、WEP加密等多种平安机制保证无线网络的平安运用。可扩展可晋级网络扩展与晋级需求好的系统架构支撑，采用扩展方便，晋级简易的处理方案是构建一个大规模的无线网络的必要前提，同时利用集中方式易于实现网络控制和遨游。无线性能技术参考目的2.4G频段无线的等效全向辐射功率EIRP最大值小于27dbm。一切无线覆盖处信号强度不小于80dbm，在-76dbm以上覆盖区用Chariot测试无线网络的时延(Response Time)5Mbps。在-76dbm以上的信号强度时，用户和接入点测试到的错误率，在1024字节数据长度时，应不超越8%。包丧失和包重发Packet Lo

14、ss and Packet Retry这两个参数的值都应该小于5。无线覆盖区信噪比SNR值不小于20dbm。在11mbps下传输速率下：Ping包Length=32,Time=100Average response time 10ms；传送非紧缩档案 Download: 200kbps: upload: 150kbps。3. ARUBA“挪动边缘处理方案的技术特点3.1 先进而成熟的无线局域网交换架构无线局域网技术经过十几年的开展，曾阅历了三代技术及产品的开展。第一代无线局域网技术采用单纯的AP实现无线接入外，根本上没有其它功能。第二代无线局域网技术，采用AC智能AP构架，AC两者本质均为二层

15、设备，AP实现接入、AC实现会聚和认证功能，有的厂商的AC实现了二层网络交换，具有根本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等根本的平安管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和平安的配置，包括加密的钥匙，Radius client的平安密钥等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修正，其无线网络系统就失去了平安性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技

16、术采用无线交换网络架构以ARUBA为代表，实现了基于无线网络交换机，以AP为单元交换的无线网络系统，ARUBA是采用独立的无线网络交换机实现的。作为第三代的ARUBA无线系统采用了Wireless SwitchAP构架，将密集型的无线网络和平安处置功能转移到集中的 WLAN 交换机中实现，同时参与了许多重要新功能，诸如无线网管、AP间自顺应、无线平安管理、RF监测、无缝遨游以及QoS保证等。3.2 具有平安保证的无线网络集中的平安管理ARUBA无线系统的平安管理是将防火墙、VPN、平安认证、防病毒、无线入侵监测以及RF 电磁波管理等多项平安功能会聚到ARUBA无线交换机上来完成的，处理了传统的

17、无线网对平安的分散管理AP、AC和才干，给用户带来的不平安感，摆脱了对有线网平安的依赖性。多种用户认证方式在ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最根本的入网权限，这个权限不允许用户访问任何网段，只让用户经过DHCP获取IP地址、传送DNS协议数据包，经过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式802.1X、WEB认证、MAC、SSID、VPN等，企业网用户可以根据需求方便选择。独特的无线访问控制用户形状防火墙是ARUBA无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的维护只是基于IP地址或物

18、理端口来制定防火墙战略，所以对于没有固定接入点的无线终端，这种防火墙的效果是不大。ARUBA无线系统的防火墙功能那么是与用户认证捆绑在一同，当无线用户胜利经过认证后，他会获得一个预设的用户形状防火墙，不同的无线用户有不同的防火墙战略，例如教师和任务人员可以运用更多的效力，而学生只可以阅读网页、收发Email等，这样可以极大方便企业网用户的平安管理。平安的AP技术ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是经过AP，而是在ARUBA无线交换机上实现。由于ARUBA的AP是不储存任何网络配置IP地址除外和平安设置，因此ARUBA 管理的AP是不能单独任务的，因此获得和接

19、入进ARUBA AP，黑客也不会拿到无线网的网络和平安配置参数。无线接入点平安侦测和维护采用ARUBA 无线系统的RF侦测功能和维护机制可以实时监测大厦无线网覆盖区域内的一切AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而衔接到网络中的AP。经过ARUBA 的网络平安管理系统，网络平安管理人员可以及时发现能否有非法的AP接入，发现后可以开启自动维护机制，阻止无线终端经过非法AP联接到无线网中。无线网络入侵侦测今天曾经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对企业、和运营商的无线网的平安构成很大的要挟。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当遭到像无线

20、DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线衔接断线，但网管中心依然不知，用户那么误以为是网络问题，间接影响无线网系统的质量。ARUBA 无线系统的特点是交换机由专有的网络处置器和加密处置器组成，且内置一个无线入侵方式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动维护呼应。无线接入的病毒防护ARUBA无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进展有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端衔接到ARU

21、BA无线系统中，当试图访问网络，在用户认证之前，需求下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码晋级的情况，做一个检查，假设不能经过检查，可以设定战略制止其访问网络，也可设置成将无线用户重定向到一台晋级效力器，打系统补丁、安装防病毒软件和晋级病毒定义码，满足系统制定的平安战略以后，该无线终端才可以进入认证环节进展用户的认证。当无线终端经过了准入检查，但是如何对无线终端发出数据进展有效的检查和监控是更加进一步的病毒防护手段。ARUBA公司和第三方的防病毒墙厂家协作，在ARUBA无线交换机上可以设定战略，某些用户，以及某些能够沾染病毒的数

22、据，ARUBA交换时机将其重定向到防病毒墙上进展防病毒检查，检查完成后，才允许经过，否那么会将数据丢弃。基于上述两个层面，ARUBA无线局域网系统对无线终端进展有效和方便的病毒防护。3.3 支撑多业务的网络运用带宽控制与效力质量保证QOSARUBA无线系统的带宽管理才干使得在挪动音视频运用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线衔接的最高带宽。对于不同的IP效力，ARUBA系统亦可透过ARUBA无线交换机设置定义不同的QoS队列。例如无线语音的运用，SIP和RTP协议可设定在高的队列，而普通运用如http、ftp那么可设定在低的队列。例如语音视频这样对于时延敏感

23、的业务，目前，经过中国网通、中国赛尔公司对几家WLAN设备厂商的设备测试结果阐明，ARUBA的无线网系统以其完善QoS特性在测试中表现最正确。VoIP与WI-FI Phone随着VoIP的越来越普及(如Skype,等)，基于SIP的Wi-Fi将迅速变为企业内，企业之间话音联络的主流。Wi-Fi除了可在企业内部不同区域间等不同AP遨游外，用户亦可在其它有Internet衔接的地方如酒店，住宅等运用，这是普通办公室无线(传统的交换机)不能做到的。简单地说，用户可在有宽带接入的地方继续运用办公室的号码，不论是国内或国外。对于一些经常出差的用户VoWiFi会带来极大的方便，亦可节省长途费。很多手机厂家

24、已开场推出双模制式的手机(GSM/CDMA + Wi-Fi)，用户很快就可以遨游于手机挪动网和无线局域网之间。ARUBA的无线交换技术曾经证明很多业界VoIP系统在ARUBA系统上胜利的运转，且在最近的Network World VoWLAN测试结果被评选为市场上最杰出的产品。在详细实现Wi-Fi语音时要留意思索语音的时延， AP呼叫的容量，和遨游切换时间。 尤其语音的遨游,它会比普通的数据挪动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据交融，就不能随意的安装一些AP，而必需是有规范的组建无线局域网。ARUBA无线系统可允许用户设置专有的语音SSID，把单纯是数据传输的用

25、户和Wi-Fi手机用户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 ARUBA无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在语音平安接入方面，ARUBA可防止没有无线语音权限的用户运用无线语音，以确保网络资源能有效运用。无缝的三层遨游ARUBA 无线可以让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地遨游，而且不会丧失衔接，也不需求重启。它不需求对现有网络进展任何改动就可以实现这一切。其他厂家普通只能实现二层遨游。跨网段时需求二次认证，导

26、致丢包或者很大延迟。而ARUBA的handoff性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间遨游，而不会发生掉线，是语音业务的质量保证。3.4 方便而强大的网管功能集中式管理管理一个具有规模的无线局域网通常在几十个AP以上是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的平安都要思索。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量任务是要在每个AP上进展设置和更改。其任务量在有一定数量AP的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必需互协调任务，单独改动一个AP参数和配置会引起AP之间的无线电波干扰，用户遨

27、游重认证和授权也能够会产生问题。ARUBA系统具有非常强的无线局域网集中管理功能，经过无线交换机Master Switch和Local Switch管理方式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护一切AP设备以及挪动终端，包括无线电波频谱、无线平安、接入认证、挪动遨游以及接入用户。 无需安装客户端软件ARUBA系统无需为每一个挪动用户终端安装无线接入软件，登录认证可以基于WEB页面认证，该认证只需用户翻开阅读器就可以登陆。ARUBA采用GRE隧道技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必需求为客户端装上基于

28、规范的L2TP 或 IPSEC 或 802.1X客户端软件才干实现WEB页面认证。RF智能控管ARUBA系统的RF智能控管可以自动调理网上一切ARUBA AP的电波特性。 当初次安装无线局域网时，用户可经过RF Planning的Auto Calibration功能动调理整个无线网上一切AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间到达了一个最优化的无线电波运转环境。ARUBA系统的RF智能控管可以自动对网上一切ARUBA AP的无线电波管理。当无线局域网经过Auto Calibration调整后而正

29、式运作时，网络管理员可在ARUBA 交换机内启动ARM这功能，那么无线网上一切的ARUBA AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指ARUBA AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3，由于扫描的速度非常快，所以对于在线的无线用户指衔接到AP上在同一频率上的无线终端的传输过程是不遭到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回ARUBA 无线交换机。这样ARUBA 无线交换机就对整个无线网上的电波情况有了一定解和记录。当某一覆盖范围内的电波改动，如出现干扰AP所发出的电波或其它运用所发出的电波等，ARUBA

30、无线交换机就会把所获取的无线电波资料做分析，以确定能否需求调整这范围内AP的无线电波。多个SSID构造ARUBA系统的多SSID构造和和实现技术使得在ARUBA无线局域网系统的各种运用效力数据、语音和视频在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID，例如一个SSID可给学院内部教师、任务人员以及学生所用，而另一个可给外来的访问客户公用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的平安认证和加密方式入网。在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处置。在一个视频SSID内可把视频数据流传

31、输以优先级队列处置。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议经过，以确保其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议经过，以确保其它数据不能进入这SSID。这样可在多SSID的情况下确保音视频的QoS。缺点自动恢复传统的无线网在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线衔接。遇到这种情况的普通做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不一定能马上作改换，现场的环境也有局限性，不一定很容易维护人员即时做出改换(很多的AP都是安装在天花板上)。ARUBA系统具有自动恢复的功能，实时

32、侦测出网上AP能否有失效，当觉察有AP出现缺点时，ARUBA交换机能会自动调理临近的AP的功率覆盖范围来接替失效AP的任务。网络负载平衡ARUBA系统可在一个AP的覆盖范围内把无线用户或终端分散衔接到附近的AP上。在一个AP的覆盖范围内，无线衔接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必需能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。ARUBA无线系统可运用层面经过47层交换模块可以实现效力器的负载平衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载平衡来保证整体网络的可靠性。在视频运用中，负载平衡功

33、能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保视频运用的质量得到保证。4. XX企业无线网络系统的设计和实施方案4.1整体系统架构设计4.1.1设计原那么结合XX企业的网络和运用需求以及ARUBA处理方案的特点，无线网络通讯系统的设计原那么可以分为以下几大点：采用无线交换架构组建无线网络子系统；利用现有的有线网络资源，架设“层叠网络，坚持已有的有线网络配置和设置不更改；用户子网和设备子网隔离，无线用户无法访问设备子网；无线网络按运用对象应分为内部员工用户及Guest用户。内部员工用户经授权提供普通员工的无线网络运用权限权限与普通OA用户一样。Guest用户经过恳求，仅具有

34、一定时间限制的运用Internet的权限，超越恳求时间，无线网络自动断开。XX企业对于无线用户， 应具有记录其带宽流量，上网站点，并可以实时地进展控制的功能。4.1.2拓扑构造如以下图所示，在整个无线网络系统当中，ARUBA的无线交换机A6000放置在数据中心，与中心交换机之间采用VLAN trunk进展衔接；而楼层中的AP经过GRE隧道汇接回到无线交换机，途经楼层会聚有线交换机和其它相关的有线网络设备。在这样的网络实现当中，AP上用户的流量都将经过AP与无线交换机建立起的GRE隧道，流向无线交换机，在经过相应的战略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。4.1.3设备选型和配置由

35、于此次无线覆盖范围包括盐田国际三期行政楼各主要会议室，空中花园，实现空中或地面覆盖。对楼层各个办公区间能否接纳到无线信号，不做特别要求。无线覆盖范围包括主楼1/2/4/8/12/13/15/16/17/18/19/20/21/22/23/24/25层会议室和三个空中花园公共部分，副楼2/3/4/5层会议室，培训室，实现地面到桌面高度覆盖。第1层、第22层两个关键部位的大型会议室部位要实现无信信号的重叠覆盖。防止一台AP缺点，另一台AP仍能正常提供无线网络接入的效力。综合了以上几点之后，设备的型号以及配置见第5节的设备清单。4.1.4中心交换机衔接采用ARUBA2400交换机，放置在数据中心的网

36、络机房，每台ARUBA2400无线交换机可以支持48个AP接入和管理，完全满足XX企业大楼无线覆盖的需求。同时，无线交换机和AP的衔接可以穿透三层，因此，方案的实现完全不影响原有网络的构造，并且可以实现全网的遨游。AP的供电采用单独的Poe供电设备或与原有的普通楼层交换机配合，不用添加新的POE交换机，用于AP的数据接入和供电，又不添加过多的本钱。在ARUBA的处理方案当中，无线交换机的放置位置需求留意以下两点：ARUBA的无线交换机与相连中心交换机/路由器之间端口协商的匹配性：假设存在着匹配失误的情况，那么整个网络的稳定性会遭到影响。ARUBA的无线交换机与中心设备之间相连的VLAN情况需求

37、和网络的规划一同进展，普通来说，ARUBA无线交换机和网络中心设备之间会建立VLAN trunk的标志，用于将用户划分到不同的VLAN当中去。4.1.5接入层AP部署ARUBA方案可以方便的实现跨三层部署，接入层的AP部署只是需求拿到属于本人的IP网络设置和网络中曾经部署的ARUBA交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了AP设置与用户设备以及AP所衔接的有线网络配置相杂揉的情况。通常，视AP需求管理的程度以及有线网络的整体架构来规划AP的部署。XX企业大楼的无线接入点曾经预留在各对应楼层天花上。4.1.7用户接入战略从xx企业的用户分类与分布情况分析，用

38、户主要分成以下几类：1内部员工；2Guest用户；运用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户公用。SSID的最主要用途是可让无线终端以不同的平安认证和加密方式入网。用户可根据实践的情况和802.11开展来制定以怎样方式来实现无线加密。最常见的做法是运用二个SSID，一个定义为OPEN/Static WEP供客户用，另一个SSID那么为TKIP(WPA)专为内部员工运用。另外，可以增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端如今尚未支持802.11i。SSID可以覆盖全网，也可以只局限于XX企业大楼内的某些范围。普通的情况下是全网开通，例如客人(Guest)运用的SSID；但有些SSID那么能够只供某些部门运用，所以无线覆盖范围通常只会局限在某些范围内。所以针对XX企业无线局域网多种用户的不同业务类型应该采取不同的SSID进展管理和控制。