北航无线校园网工程

【最新卓越管理方案您可自由编辑】（建筑工程管理）北航无线20XX年XX月多年的企业咨询顾问经验，经过实战验证可以落地执行的卓越管理方案，值得您下载拥有

XX企业

无线网络工程

ARUBA解决方案建议书2006年10月26日目录目录2mX企业无线网络建设需求4项目背景4XX企业无线网络的应用需求4数据接入服务4无线网络的设计原则和参考技术指标5遵循标准5安全可靠5可扩展可升级5无线性能技术参考指标5ARUBA"移动边缘”解决方案的技术特点6先进而成熟的无线局域网交换架构6具有安全保障的无线网络7集中的安全管画多种用户认证方式7独特的无线访问控制7安全的AP技术8~~无线接入点安全侦测和保护8无线网络入侵侦测"8无线接入的病毒防护9支撑多业务的网络应用9带宽控制和服务质量保证QOS9VoIP和WI-FIPhone10无缝的三层漫游1T-方便而强大的网管功能11集中式管理11无需安装客户端软件12RF智能控管12多个SSID结构13故障自动恢复13网络负载均衡13XX企业无线网络系统的设计和实施方案14.整体系统架构设计14.设计原则14.拓扑结构-15.设备选型和配置15.核心交换机连接16415^接入层AP部署16.用户接入策略16.认证和加密方案17.设备认证方式建议17.数据传输加密18.网络管理措施18.性能管理18.故障管理185．设备清单191.XX企业无线网络建设需求项目背景XX企业新建的行政办公大楼作为整个码头未来的壹个主要智能建筑，计划于2007年3月正式投入办公使用。该大楼包括1栋25层高的主楼和1栋5层高的副楼（主楼和副楼之间通过专用过道连接在壹起），将来建成为壹个能够容纳2000人办公的国际壹流写字综合楼。该建筑的剖面图如下：本项目作为智能化大厦的配套网络集成工作，XX企业要求卖方以现代技术标准集成大楼内部的网络系统，且在主楼第15层数据中心中建立新的骨干网络。XX企业无线网络的应用需求据接入服务为企业园区内办公楼、宿舍、操场，以及壹系列等热点场所提供典型的无线局域网接入，为有线网络提供了良好的连接补充，完成了整个企业网络接入的全面覆盖，使用户能够在企业内的任何区域接入局域网，达到完善企业信息化的目的。在此，无线网络作为有线网的良好扩展，既节约了成本，而且加快了企业网信息化建设的步伐。2.无线网络的设计原则和参考技术指标根据XX企业的无线网络建设需求，能够确立的以下基本设计原则：遵循标准针对项目的技术需求，为了保证无线网络设备之间的互通性，同时对于已有无线网络的建设进行投资保护，ARUBAX公司方案中的技术路线严格遵循项目要求，做到支持802.11b/g标准，WiFi标准兼容。安全可靠针对不同的用户、设备采用不同的认证方式，如802.1x、MAC地址认证等；且且结合隐藏SSID、MAC地址过滤、Radius认证、WEP加密等多种安全机制保障无线网络的安全使用。可扩展可升级网络扩展和升级需要好的系统架构支撑，采用扩展方便，升级简易的解决方案是构建壹个大规模的无线网络的必要前提，同时利用集中方式易于实现网络控制和漫游。无线性能技术参考指标2.4G频段无线的等效全向辐射功率(EIRP)最大值小于27dbm。所有无线覆盖处信号强度不小于-80dbm，在-76dbm之上覆盖区用Chariot测试无线网络的时延(ResponseTime)<5ms,吞吐量(Throughput)>5Mbps。在-76dbm之上的信号强度时，用户和接入点测试到的错误率，在1024字节数据长度时，应不超过8%。包丢失和包重发(PacketLossandPacketRetry)这俩个参数的值都应该小于5%。无线覆盖区信噪比SNR值不小于20dbm。在llmbps下传输速率下：Ping包(Length=32,Time=100)Averageresponsetime〈10ms"专送非压缩档案Download:)200kbps:upload:〉150kbps。.ARUBA"移动边缘”解决方案的技术特点3.1先进而成熟的无线局域网交换架构无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第壹代无线局域网技术采用单纯的AP实现无线接入外，基本上没有其它功能。第二代无线局域网技术，采用AC+智能AP构架，AC俩者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这壹代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radiusclient的安全密钥等，而AP又是分散在建筑物中的各个位置，壹旦AP的配置被盗取读出且修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以ARUBA为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，ARUBA是采用独立的无线网络交换机实现的。作为第三代的ARUBA无线系统采用了WirelessSwitch+AP构架，将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝漫游以及QoS保证等。3.2具有安全保障的无线网络集中的安全管理ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF电磁波管理等多项安全功能汇聚到ARUBA无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。多种用户认证方式在ARUBA无线系统中，壹个无线用户进入无线网以后，只会拿到壹个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才能够接入无线网。ARUBA无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），企业网用户能够根据需要方便选择。独特的无线访问控制用户状态防火墙是ARUBA无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是和用户认证捆绑在壹起，当无线用户成功通过认证后，他会获得壹个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员能够使用更多的服务，而学生只能够浏览网页、收发Email等，这样能够极大方便企业网用户的安全管理。安全的AP技术ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在ARUBA无线交换机上实现。由于ARUBA的AP是不储存任何网络配置（IP地址除外）和安全设置，因此ARUBA管理的AP是不能单独工作的，因此获得和接入进ARUBAAP，黑客也不会拿到无线网的网络和安全配置参数。无线接入点安全侦测和保护采用ARUBA无线系统的RF侦测功能和保护机制能够实时监测大厦无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA的网络安全管理系统，网络安全管理人员能够及时发现是否有非法的AP接入，发现后能够开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对企业、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。ARUBA无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置壹个无线入侵模式库，实时检测异常的无线数据包，当ARUBA无线系统侦测出有入侵时，它会记录和显示入侵的格式，且对入侵做出自动保护响应。无线接入的病毒防护ARUBA无线系统针对无线终端的病毒防护分为俩个层面，壹、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第壹步是准入检查，当无线终端连接到ARUBA无线系统中，当试图访问网络，在用户认证之前，需要下载壹个基于JAVA的程序，能够对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做壹个检查，如果不能通过检查，能够设定策略禁止其访问网络，也可设置成将无线用户重定向到壹台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才能够进入认证环节进行用户的认证。当无线终端通过了准入检查，可是如何对无线终端发出数据进行有效的检查和监控是更加进壹步的病毒防护手段。ARUBAX公司和第三方的防病毒墙厂家合作，在ARUBA无线交换机上能够设定策略，某些用户，以及某些可能沾染病毒的数据，ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。基于上述俩个层面，ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。3.3支撑多业务的网络应用带宽控制和服务质量保证QOSARUBA无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务，ARUBA系统亦可透过ARUBA无线交换机设置定义不同的QoS队列。例如无线语音的应用，SIPffiRTP协议可设定在高的队列，而壹般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务，目前，经过中国网通、中国赛尔X公司对几家WLAN设备厂商的设备测试结果表明，ARUBA的无线网系统以其完善QoS特性在测试中表现最佳。VoIP和WI-FIPhone随着VoIP的越来越普及（如Skype,…等），基于SIP的Wi-Fi电话将迅速变为企业内，企业之间话音联络的主流。Wi-Fi电话除了可在企业内部不同区域间等不同AP漫游外，用户亦可在其它有Internet连接的地方如酒店，住宅等使用，这是壹般办公室无线电话（传统的电话交换机）不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。对于壹些经常出差的用户VoWiFi会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机（GSM/CDMA+Wi-Fi），用户很快就能够漫游于手机移动网和无线局域网之间。ARUBA的无线交换技术已经证明很多业界VoIP系统在ARUBA系统上成功的运行，且在最近的NetworkWorldVoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延，AP呼叫的容量，和漫游切换时间。尤其语音的漫游,它会比壹般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装壹些AP,而必须是有规范的组建无线局域网。ARUBA无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的用户和Wi-Fi手机用户分开，但也能够在单壹SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。ARUBA无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在语音安全接入方面，ARUBA可防止没有无线语音权限的用户使用无线语音，以确保网络资源能有效运用。无缝的三层漫游ARUBA无线能够让用户在AP、WLAN交换机、多子网以及多VLAN之间无缝地漫游，而且不会丢失连接，也不需要重启。它不需要对现有网络进行任何改变就能够实现这壹切。其他厂家壹般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而ARUBA的handoff性能极佳，保证了语音的流畅。这种技术能够确保无线语音业务能够无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。3.4方便而强大的网管功能集中式管理管理壹个具有规模的无线局域网（通常在几十个AP之上）是壹件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有壹定数量AP的无线网里是非常大和烦琐的，而且无线局域网是壹个整体系统，AP之间必须互协调工作，单独改变壹个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。ARUBA系统具有非常强的无线局域网集中管理功能，通过无线交换机MasterSwitch和LocalSwitch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。无需安装客户端软件ARUBA系统无需为每壹个移动用户终端安装无线接入软件，登录认证能够基于WEB页面认证，该认证只需用户打开浏览器就能够登陆。ARUBA采用GRE隧道技术，能够透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP或IPSEC或802.1X客户端软件才能实现WEB页面认证。ARUBA系统的RF智能控管能够自动调节网上所有ARUBAAP的电波特性。当初次安装无线局域网时，用户可通过RFPlanning的AutoCalibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了AutoCalibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了壹个最优化的无线电波运行环境。ARUBA系统的RF智能控管能够自动对网上所有ARUBAAP的无线电波管理。当无线局域网经过AutoCalibration调整后而正式运作时，网络管理员可在ARUBA交换机内启动ARM这功能，则无线网上所有的ARUBAAP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指ARUBAAP从壹个电波频道跳到另壹频道时，如Ch1到Ch2到Ch3.…，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同壹频率上的无线终端）的传输过程是不受到影响地。当AP停留在壹个频道时，它会把在这频道上收到的无线电波信息转送回ARUBA无线交换机。这样ARUBA无线交换机就对整个无线网上的电波情况有了壹定解和记录。当某壹覆盖范围内的电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，ARUBA无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。多个SSID结构ARUBA系统的多SSID结构和和实现技术使得在ARUBA无线局域网系统的各种应用服务（数据、语音和视频）在Qos上表现非常出色。在壹个无线局域网内能够设置多个SSID，例如壹个SSID可给学院内部教师、工作人员以及学生所用，而另壹个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时见到多个SSID。SSID的另壹用途是可让无线终端以不同的安全认证和加密方式入网。在壹个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在壹个视频SSID内可把视频数据流传输以优先级队列处理。同时在壹个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这SSID。在壹个预设定语音SSID内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这SSID。这样可在多SSID的情况下确保音视频的QoS。故障自动恢复传统的无线网在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的壹般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面（不是在机房），所以不壹定能马上作更换，现场的环境也有局限性，不壹定很容易维护人员即时做出更换（很多的AP都是安装在天花板上）。ARUBA系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，ARUBA交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。网络负载均衡ARUBA系统可在壹个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在壹个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制壹个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。ARUBA无线系统可应用层面通过4-7层交换模块能够实现服务器的负载均衡，VPN设备，防火墙设备等等壹系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。在视频应用中，负载均衡功能能够有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保视频应用的质量得到保证。.XX企业无线网络系统的设计和实施方案4.1．整体系统架构设计设计原则结合XX企业的网络和应用需求以及ARUBA解决方案的特点，无线网络通信系统的设计原则能够分为以下几大点：采用无线交换架构组建无线网络子系统；利用现有的有线网络资源，架设“层叠”网络，保持已有的有线网络配置和设置不更改；用户子网和设备子网隔离，无线用户无法访问设备子网；无线网络按应用对象应分为内部员工用户及Guest用户。内部员工用

户经授权提供普通员工的无线网络使用权限（权限和普通OA用户相

同）。Guest用户经过申请，仅具有壹定时间限制的使用Internet的

权限，超过申请时间，无线网络自动断开。XX企业对于无线用户，应

具有记录其带宽流量，上网站点，且能够实时地进行控制的功能。拓扑结构如下图所示，在整个无线网络系统当中，ARUBA的无线交换机A6000放置在数据中心，和核心交换机之间采用VLANtrunk进行连接；而楼层中的AP通过GRE隧道汇接回到无线交换机，途经楼层汇聚有线交换机和其它相关的有线网络设备。在这样的网络实现当中，AP上用户的流量都将通过AP和无线交换机建立起的GRE隧道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。设备选型和配置由于此次无线覆盖范围包括盐田国际三期行政楼各主要会议室，空中花园，实现空中或地面覆盖。对楼层各个办公区间能否接收到无线信号，不做特别要求。无线覆盖范围包括主楼1/2/4/8/12/13/15/16/17/18/19/20/21/22/23/24/25层会议室和三个空中花园公共部分，副楼2/3/4/5层会议室，培训室，实现地面到桌面高度覆盖。第1层、第22层俩个关键部位的大型会议室部位要实现无信信号的重叠覆盖。防止壹台AP故障，另壹台AP仍能正常提供无线网络接入的服务。综合了之上几点之后，设备的型号以及配置见第5节的设备清单。核心交换机连接采用ARUBA2400交换机，放置在数据中心的网络机房，每台ARUBA2400无线交换机能够支持48个AP接入和管理，完全满足XX企业大楼无线覆盖的需求。同时，无线交换机和AP的连接能够穿透三层，因此，方案的实现完全不影响原有网络的结构，且且能够实现全网的漫游。AP的供电采用单独的Poe供电设备（或和原有的普通楼层交换机配合，不用添加新的POE交换机），用于AP的数据接入和供电，又不增加过多的成本。在ARUBA的解决方案当中，无线交换机的放置位置需要注意以下俩点：ARUBA的无线交换机和相连核心交换机/路由器之间端口协商的匹配性：如果存在着匹配失误的情况，则整个网络的稳定性会受到影响。ARUBA的无线交换机和核心设备之间相连的VLAN情况需要和网络的规划壹起进行，壹般来说，ARUBA无线交换机和网络核心设备之间会建立VLANtrunk的标志，用于将用户划分到不同的VLAN当中去。4.1.5.接入层AP部署ARUBA方案能够方便的实现跨三层部署，接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的ARUBA交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了AP设置和用户设备以及AP所连接的有线网络配置相杂揉的状况。通常，视AP需要管理的程度以及有线网络的整体架构来规划AP的部署。XX企业大楼的无线接入点已经预留在各对应楼层天花上。4.1.7．用户接入策略从xx企业的用户分类和分布情况分析，用户主要分成以下几类：（1）内部员工；（2）Guest用户；使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在壹个无线局域网内能够设置多个SSID，例如壹个SSID可给内部员工所用，而另壹个可给外来的客户专用。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID，壹个定义为OPEN/StaticWEP供客户用，另壹个SSID则为TKIP（WPA）专为内部员工使用。另外，能够增设壹个802.11iSSID让员工以过度的方式逐渐从转移到这个SSID上。不能壹步转到802.11i的主因在于很多的无线终端当下尚未支持802.11i。SSID能够覆盖全网，也能够只局限于XX企业大楼内的某些范围。壹般的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以无线覆盖范围通常只会局限在某些范围内。所以针对XX企业无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。大楼内部的员工能够采用专门的SSID，能够采用级别较高的认证和加密手段，对参加会议人员和来访人员能够使用另壹个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。4.2．认证和加密方案4.2.1．设备认证方式建议对于运算和存储能力都相对比较弱的移动终端设备，目前业界普遍的做法是使用静态WEP和基于MAC地址的认证方式来进行设备接入认证。ARUBA无线网络解决方案支持内置和外置的MAC地址数据库用于网络的设备认证，同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难