某运营商无线局域网解决方案建议书

XXX 运营商 无线局域网 解决方案 建议 书 2006 年 11 月 I 目 录 一、 XXX 运营商无线局域网系统建设需求 . 3 1项目背景 . 3 1 1 无线网络业务需求 . 3 XXX 运营商 WLAN 业务 . 4 WLAN 业务要求 . 4 WLAN 系统 业务类型 . 5 二、 XXX 运营商无线局域网设计原则和技术需求 . 6 2 1 遵循标准 . 6 2 2 技术成熟 . 6 2 3 安全可靠 . 7 2 4 可扩展可升级 . 7 2 5 易管理易维护 . 8 2 6 技术需求 . 8 三、 Aruba 无线交换局域网系统技术特点 . 9 3 1 Aruba 无线局域网系统架构 .11 3 1 1 先进的无线局域交换机 .11 3 1 2 灵活的组网方式 .11 3 1 3 优秀的扩展性 .11 3 1 4 无需更改有线网结构 . 12 3 1 5 方便地无线网规划设计 . 13 3 2 Aruba 无线局域网的网络管理 . 14 3 2 1 集中式管理 . 14 3 2 2 无需安装客户端软件 . 14 3 2 3 RF 智能控管 . 15 3 2 4 多个 SSID 结构 . 16 3 2 5 故障自动恢复 . 17 3 2 6 网络负载均衡 . 17 3 2 7 无线终端定位 . 18 3 3 Aruba 无线局域网系统的安全管理 . 18 3 3 1 集中的安全管理 . 18 3 3 2 多种用户认证方式 . 19 3 3 3 独特的无线访问控制 . 19 3 3 4 安全的 AP 技术 . 19 3 3 5 无线接入点安全侦测和保护 . 20 3 3 6 无线网络入侵侦测 . 20 3 3 7 无线接入的病毒防护 . 21 3 4 无线移动音视频应用 . 22 3 4 1 带宽控制与服务质量保证 QOS . 22 3 4 2 VoIP 与 WI-FI 手机 . 22 3 4 3 无缝的三层漫游 . 24 四、 XXX 运营商无线局域网方案建议 . 25 4.1 无线组网方式设计 . 25 II 4 1 1 中型无线局域网 (100 到 250 个 AP)集中式组网 . 25 4 1 2 大型无线局域网 (250 个 AP 以上 )分布式组网 . 26 4 1 3 大型无线局域网 (250 个 AP 以上 )集中式组网 . 27 4 1 4 XXX 运营商无线局域网的组网设计 . 27 4 2 多业务区分设计 . 28 4 3 网络与用户管理 . 30 4 4 无线安全性设计 . 30 4 5 移动漫游设计 . 33 五、 XXX 运营商无线局域网系统建议 . 错误 !未定义书签。 5 1 无线覆盖建议 . 错误 !未定义书签。 5 2 无线组网实现 . 错误 !未定义书签。 5 3 网络用户与应用管理实现 . 错误 !未定义书签。 5 4 多媒体与网络教学以及音视频应用的实现 . 错误 !未定义书签。 5 5 无线网的安全系统实现 . 错误 !未定义书签。 5、 6 无线交换机的配置实施建议 . 错误 !未定义书签。 5 6 1 AP 的 VLAN 和无线用户的 VLAN. 错误 !未定义书签。 5 6 2VLAN 和无线 SSID 的关系 . 错误 !未定义书签。 5 6 3 Aruba 无线局域网 不需更改局域网路由 . 错误 !未定义书签。 六、 设备配置清单 . 35 附件一、 Aruba 无线产品简介 . 36 一、无线交换机 . 36 二、 Aruba Access 系列 . 37 3 一、 XXX 运营商 无线局域网系统建设需求 1项目背景 （ XXX 运营商 介绍、概况） 此次无线局域网系统项目的是针对 XXX 运营商 所属的 建筑群 做无线局域网的覆盖，满足数据、语音和视频多方面的网络应用需求。具体需求如下： 1 1 无线 网络 业务 需求 无线局域网（以下简称 WLAN）作为一种能够在一定区域范围内支持移动特性的无线宽带接入手段，为 XXX 运营商 开展移动数据业务提供了一种重要手段。 WLAN 业务的开展 要求无线设备 应该支持 以下 原则 ： 在 XXX 运营商 WLAN 网络建设中，遵循国家环保局和无委电磁辐射的要求。 WLAN 接入点的部署以热点地区 和业务汇聚区 为主，如机场，饭店，写字楼群 ，会展中心，以及其他商务人员经常聚集的公共场所。 支持在 XXX 运营商 WLAN 覆盖范围内的用户漫游。 用户认证采用多种接入 方式为主，同时支持用户名 /密码认证方式。 XXX 运营商 WLAN 用户认证和现有 GSM 网络资源和现有 RADIUS 认证系统高度融合。 支持基于时长和流量的多种计费形式，并为现有移动用户提供统一帐单。 4 为用户提供安全的 WLAN 接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。 XXX 运营商 WLAN 业务 基于 802.11的 WLAN接入技术 要求无线设备 能够提供 多种 带宽的选择，并且支持全 WLAN 覆盖地区的 移动性，可满足用户使用笔记本电脑、 PDA 等现有移动设备的高速上网需求，同时为 WLAN移动用户使用宽带多媒体业务提供了可能。 WLAN 业务要求 (1) 一键上网 WLAN 用户能够通过 接入无线网络设备及其相关 客户端软件方便地使用 XXX 运营商 提供的各种网络接入。 (2) 业务控制 WLAN 接入技术 要求无线网络设备 能够为用户 承载所提供的 更多类型的数据业务，并且可以捆绑 XXX 运营商 现有的各种数据业务（如 MMS 等）。通过集中设置或者导入现有的各种业务控制机制，来引导用户对 XXX 运营商 数据业务的使用。 (3) 多种计费方 式 WLAN 业务 要求无线网络设备 能够 与其他相关设备配合 支持基于时长和流量的多种计费形式。将来应支持基于 QoS 和内容的计费。 (4) 用户漫游，认证和计费 无线网络 设备 能够支持 WLAN业务用户在 XXX 运营商 WLAN 5 覆盖范围内的漫游识别，认证和计费。随着业务和技术的发展，将来能够支持用户在不同运营商 WLAN 覆盖之间的漫游。 (5) 安全的数据业务接入 要求 无线网络设 备 能够 与其他相关设备配合 为用户提供安全的WLAN 接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。 (6) 热点地区局部无缝切换 要求 能够支持 WLAN 业务用户在 热点地区不同 AP 间的无缝切换而不中断用户数据连接。 WLAN 系统 业务类型 通过 WLAN 接入方式， 无线网络 设备 能够 支持 为 WLAN 用户提供丰富的数据业务类型，主要包括： (1) 支持 互联网无线宽带接入 WLAN 为用户访问 Internet 提供了一种宽带接入方式。通过WLAN 接入设备，用户能够高速使用 WWW， FTP， E-mail 等各种Internet 业务。 (2) 支持 虚拟专用网业务 (VPN) 移动办公者可以通过 WLAN 接入方式，高速访问企业内部网络资源，如企业内部网页，内部邮件系统，内部文件系统等。 (3) 支持 多媒体数据业务 WLAN 接入方式为用户使用多媒体应用（如视频点播、数字视 6 频广播、视频会议、远程医疗、远程购物、远程监控、远程教学等）提供了可能。 (4) 支持 基于 WLAN 的增值业务 基于 WLAN 接入方式的的数据业务可以和现有的数据业务结合，如 VOIP 语音应用， 短消息服务， 移动电子邮件，移动个人理财，娱乐天地，位置服务，游戏等。 XXX 运营商 可以利用业务控制手段如门户网站来引导用户对 增值业务的使用。 二、 XXX 运营商 无线局域网 设计原则和技术 需求 2 1 遵循标准 无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议， 以保证网络设备的互通性，有利于网络的投资保护。 根据的需求和无线网建设与设计原则，建议采用美国 Aruba Networks 公司的第三代无线交换局域网系统（以下简称 Aruba 无线系统），完成无线局域网覆盖项目。 2 2 技术成熟 第一代无线局域网主要是采用 Fat AP，每一台 AP 都要单独进行配置，费时、费力、费成本；第二代无线局域网融入 了 无线网关功能但还是不能集中进行管理和配置 ，其 管理性 和 安全 性 以及 对有 7 线 网络 的依赖成为了第一代和第二代 WLAN 产品发展的瓶颈，在这样的环境下，基于 无线交换机 技术的第三代 WLAN 产品应运而生。第三代无线局域网采用无线交换机 和 Thin AP 的架构，使得无线局域网的 网络性能、网络管理和安全管理能力 得以大幅提高。 2 3 安全可靠 在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑： （ 1）接入认证：具有 支持多种用户认证方式； （ 2）采用具有用户状态访问控制的防火墙技术； （ 3）具有数据在无线信道上传输的 VPN 机制； （ 4）具有无线网的防病毒机制 （ 5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。 具有提供智能化的无线电波自动调控与切换能力，以确保单个AP 接入点在发生故障时自动切换到邻近 AP，不会影响无线的接入服务；具有支持热备份的无线交换机 N+1 的冗余备份机制。 2 4 可扩展可升级 通过一个集中的无线局域网网管平台实现对所有的 AP 功能的配置和管理， AP 既可以提供无线接入，也可设置为无 线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统 8 可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。 2 5 易管理易维护 在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端 AP 数据进行采集、远程监控、终端定位等功能，支持多 SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。 2 6 技术 需求 根据 XXX 运营商 无线局域网系统建设要求，无线局域 网系统建设原则如下： 1、采用 WLAN 交换技术及 WLAN 交换体系结构。 2、充分利用现有网络结构与资源，不单独组网， AP 就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。 3、采用集中控管的组网方式，集中控制管理所有的 AP。 4、 AP 的供电可以不单独拉线，采用 POE 供电的方式。 5、采用先进的 WLAN 网管系统管理 XXX 运营商 局域网。 6、充分考虑 WLAN 的安全性，采用先进的 WLAN 安全技术保障。 9 7、无线局域网系统要支持故障热备冗余能力。 8、无线局域网系统要能方便和灵活地调整与扩 充。 三、 Aruba 无线交换局域网系统技术特点 第一代无线局域网技术采用单纯的 AP 实现无线接入，基本上没有其它功能。 第二代无线局域网技术（以正诚、昂科、 Bluesocket 等为代表），采用 AC智能 AP 构架， AC 两者实质均为二层设备， AP 实现接入、AC 实现汇聚和认证功能，有的厂商的 AC 实现了二层网络交换，具有基本的网络的控制和用户的管理，如： WEB 认证、流量的控制、访问的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。 由于这一代技术的 AP 储存了大量的网络和安 全的配置，包括加密的钥匙， Radius client 的安全密码 (secret) 等，而 AP 又是分散在建筑物中的各个位置，一旦 AP 的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于 AC 或无线网关的硬件多数是基于 Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。 第三代无线局域网技术采用无线交换网络架构（以 Aruba 和Cisco 为代表），实现了基于无线网络交换机，以 AP 为单元交换的无线网络系统， Aruba 是采用独立的无线 网络交换机实现的。 10 作为第三代的 Aruba 无线系统采用了 Wireless Switch AP 构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、 AP 间自适应、无线安管、 RF 监测、无缝漫游以及 Qos 保证。 Aruba 无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。 在无线网融合到有线网络方面， Aruba 无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设 定，使得无线网络的规划和实施非常方便。 在无线网络管理方面， Aruba 无线系统实现真正的集中控管，包括独有的 RF 智能调控，自动恢复、负载均衡功能，使无线网可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端 AP 状态监测，方便实现对 AP 的管理；具有多 SSID 支持，实现了对无线数据、语音和视频的应用带宽管理。 在无线安全性方面， Aruba 无线系统具备多种用户认证、基于用户的状态防火墙、 VPN 加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。 在无线音视频应用方面， Aruba 独有的基于每个用户的带宽控制和 QOS 保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得 VoIP 以及 Wi-fi 手机可以自由的在任意 AP 间切换，具有目前业界最低的时延。 11 3 1 Aruba 无线局域网系统架构 3 1 1 先进的无线局域交换机 领导第三代的无线网络技术的 Aruba 公司无线系统采用了Wireless Switch thin AP 构架，将第二代分散在 AP+AC 上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线局域网全新的功能。 诸如：无线安全性、 AP 管理 控制、 RF 站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的 Qos 保证，使得 VoWlan应用的 Wi-Fi 技术应用飞速发展。 3 1 2 灵活的组网方式 第三代的 Aruba 产品可以根据从小型的无线网规模（几十个AP），到大型无线网规模（几百个 AP，甚至上千个 AP），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。 3 1 3 优秀的扩展性 无线网络具有非常方便扩展的特性。在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面， Aruba 的一台 6000 型交换机可灵活地对从 48 个 AP 到 128 个 AP 扩充到支持 512 个 AP，因此扩展 AP 非常容易；从网络管理扩展性方面 , Aruba 的Master/Local 方式， Master Aruba 交换机可以同时控制管理 28 台的 12 Local Aruba 交换机，因此增加交换机也非常容易管理。 除了 AP 数量之外，怎样控管大量的 AP 和部署也是扩展性的重要考虑因素。要妥善处理数目众多的 AP 在 XXX 运营商 网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过 Aruba 系统的网管系统 实现。 3 1 4 无需更改有线网结构 XXX 运营商 实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不愿意做的事情，采用 Aruba 系统无需更改现有的有线网结构。 由于无线用户的传输是通过 Aruba AP 内已建立的 GRE 隧道和Aruba 交换机互连的，所以实际上无线用户的 VLAN 是无须在接入层和汇聚层存在。无线用户的 VLAN 是可透过 Aruba 交换机和骨干交换机互连互通。这样非常方便在 XXX 运营商 里实施无线局域网，同时也非常方便进行扩展。 ARUBA 的无线交换机可以安装在 运营商 的中 心机房，而 AP 则可以放置于 XXX 运营商 的任何地方，无需用二层设备连到无线交换机，或者划分 VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到 AP 上，导致整体性能的降低和漫游特性的缺失。不用划分 VLAN，对于无线网 络 的管理带来极大的便利性。 对原有的有线网路由器不需要改变路由结构，减轻了由于无线 13 网的建设而对原有网络的结构改变的工作量。 3 1 5 方便地无线网规划设计 在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少 AP 可以满足覆盖？应在哪些位置安装 AP，安装后电波 的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，无法预先规划每个 AP 的电磁波和功率参数以及 AP 之间的覆盖相交范围。 Aruba 首创开发了 RF Planning 工具，让规划设计者在无线局域网组网之初采用 RF Planning 在计算机上做规划设计，估算在要求的覆盖面积上 AP 应安装的物理位置所在。使用这套工具时，在数字化的 XXX 运营商 建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参 数，如无线终端的平均带宽， AP 和 AP 之间覆盖面等。 RF Planning 自动计算，然后显示出 AP 在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装 AP，在无线网安装完成后，网管人员通过 RF 规划自动校准功能， Aruba 交换机可以自动调节无线网上所有 Aruba AP 的频道与功率参数以达到一个最优性能的运行状态。 在无线局域网系统投入运行后，网管人员可通过 RF Planning 随时监测网内的每个 AP 的无线电波实际的运行状态，及时掌握每个 14 AP 的工作状态和故障诊断，及时做出调整策略 。 Aruba RF Planning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。 3 2 Aruba 无线局域网的网络管理 3 2 1 集中式管理 网络数据中心管理一个具有规模的无线局域网（通常在几十个AP 以上）是一件非常头痛的事情。从 RF 覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个 AP 上进行设置和更改。其工作量在有一定数量 AP 的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统， AP 之间必须互协调工作，单独改变一个 AP 参数和配置会引起 AP 之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。 Aruba 系统具有非常强的无线局域网集中管理功能，通过无线交换机 Master Switch 和 Local Switch 管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有 AP 设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 3 2 2 无需安装客户端软件 Aruba 系统无需为每一个移动用户终端安装无线接入软件， Aruba 的认证可以基于 WEB 页面认证，认证只需用户打开浏览器就 15 可以登陆。 ARUBA 采用 GRE 隧道技术，可以透明地穿透在无线交换机和AP 之间的任何三层网络交换设备实现 WEB 认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的 L2TP 或 IPSEC 或 802.1 客户端软件才能实现 WEB 页面认证。 3 2 3 RF 智能控管 Aruba 系统的 RF 智能控管可以自动调节网上所有 Aruba AP 的电波特性。 初次安装无线局域网时，用户可通过 RF Planning 的 Auto Calibration功能来自动调节整个无线网上所有 AP 的无线电波频率和功率。启动了 Auto Calibration 以后 AP 和 AP 之间会自动互传有关无线电波的信息和调整电波的参数，直到 AP 之间达到了一个最优化的无线电波运行环境。 Aruba 系统的 RF 智能控管可以自动对网上所有 Aruba AP 的无线电波管理。 当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在 Aruba 交换机内启动 ARM 这功能，无线网上所有的 Aruba AP 都会在设定的时间内自行扫描其它的无 线频道。无线电波扫描是指 Aruba AP 从一个电波频道跳到另一频道时，如 Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到 AP 上在同一频率上的无线终端）的传输过程是不受 16 到影响地。当 AP 停留在一个频道时，它会把在这频道上收到的无线电波信息转送回 Aruba 无线交换机。 Aruba 无线交换机可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变，如出现干扰 AP 所发出的电波或其它应用所发出的电波等， Aruba 无线交换机就会把所获取的无线电波资 料做分析，以确定是否需要调整这范围内 AP 的无线电波。 3 2 4 多个 SSID 结构 Aruba 系统的多 SSID 结构和和实现技术使得在 Aruba 无线局域网系统的各种多媒体应用服务（数据、语音和视频）在 Qos 上表现非常出色。在一个无线局域网内可以设置多个 SSID，例如一个 SSID可给 内部人员专 用，而另一个 SSID 可给外来的访问客户 使 用。所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个SSID。 SSID 的另一用途是可让无线终端以不同的安全认证和加密方式入网。 在一个语音 SSID 内可把 SIP 和 H.323 等无线语音数据以优先级队列处理。在一个视频 SSID 内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频 SSID 内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这 SSID。在一个预设定语音 SSID 内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这 SSID。 17 可在多 SSID 的情况下确保语音和视频的 Qos 支持。 3 2 5 故障自动恢复 传统的无线网在有 AP 损坏或失效时，这个 AP 的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的 AP换掉。但由于大多数的 AP 都是 设置在外面 (不是在机房 )，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换 (很多的 AP 都是安装在天花板上 )。 Aruba 系统具有自动恢复的功能，实时侦测出网上 AP 是否有失效，当发觉有 AP 出现故障时， Aruba 交换机能会自动调节邻近的AP 的功率（覆盖范围）来接替失效 AP 的工作。 3 2 6 网络负载均衡 Aruba系统可在一个 AP 的覆盖范围内把无线用户或终端分散连接到附近的 AP 上。在一个 AP 的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保 每个无线终端的传输就必须能限制一个 AP 上无线终端的数量或AP 带宽传输总和或和每个无线终端带宽上限。 Aruba 无线系统可应用层面通过 4 7 层交换模块可以实现服务器的负载均衡， VPN 设备，防火墙设备等等一系列基于 TCP/IP 协议设备的负载均衡来保证整体网络的可靠性。 在视频应用中，负载均衡功能可以有效的缓解单个 AP 的负担， 18 有效的利用临近的 AP 做接入，从而确保视频应用的质量得到保证。 3 2 7 无线终端定位 Aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、 PDA 和 Wi-Fi 手机等。 Aruba 采用的无线定位模式称为三角定位，无线定位的准确性可达到 2.5 米以内，无线定位的条件是所寻找的无线终端附近须有最少三个 Aruba 的 AP 在范围内。这是传统无线局域网所不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。 XXX 运营商 对非法AP 的定位，可以成为 XXX 运营商 网络中心的管理人员提供清楚非法 AP 有效手段，可以方便快捷的清除非法 AP 的网络接入。可以保证 XXX 运营商 网络接入的安全可靠性。 3 3 Aruba 无线局域网系统的安全管理 3 3 1 集中的安全管理 Aruba 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测以及 RF 电磁波管理等多项安全功能汇聚到 Aruba无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。 19 3 3 2 多种用户认证方式 在 Aruba 无线系统中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP 地址、传送 DNS 协议数据包，通过认证以后才可以接入无线网。 Aruba 无线系统支持目前各种用 户认证的方式（ 802.1、 WEB 认证、 MAC、 SSID、 VPN 等）， XXX 运营商 网内的用户可以根据需要方便选择。 3 3 3 独特的无线访问控制 用户状态防火墙是 Aruba 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于 IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 Aruba 无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同 的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发 Email 等，这样可以极大方便 XXX 运营商 网用户的安全管理。 3 3 4 安全的 AP 技术 Aruba 无线系统和其它厂家在无线接入的认证和加密上最大的 20 区别是前者不是通过 AP，而是在 Aruba 无线交换机上实现。由于Aruba 的 AP 是不储存任何网络配置（ IP 地址除外 ） 和安全设置，因此 Aruba 管理的 AP 是不能单独工作的，因此获得和接入进 Aruba AP，黑客也不会拿到无线网的网络和安全配置参数。 3 3 5 无线接入点安全侦测和保护 采用 Aruba 无线系统的 RF 侦测功能和保护机制可以实时监测XXX 运营商 无线网覆盖区域内的所有 AP 接入情况 ,如相邻房间的AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。通过 Aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。 3 3 6 无线网络入侵侦测 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能， 所以当受到像无线DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。这些攻击在 HotSpot 会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 Aruba 无线系统的特点是交换机由专有的网络处理器和加密处 21 理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当 Aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。 3 3 7 无线接入的病毒防护 Aruba 无线系统针对无线终端的病毒防护分为两个层面，一、无线 终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是准入检查，当无线终端连接到Aruba 无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于 JAVA 的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无 线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 Aruba 公司和第三方的防病毒墙厂家合作，在 Aruba 无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据， Aruba 交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。 22 基于上述两个层面， Aruba 无线局域网系统对无线终端进行有效和方便的病毒防护。 3 4 无线移动音视频应用 3 4 1 带宽控制与服务质量保证 QOS Aruba 无线系统的带宽管理能力使得在移动音视频应 用方面表现出很强的优势。 Aruba 无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的 IP 服务， Aruba 系统亦可透过 Aruba无线交换机设置定义不同的 QoS 队列。例如无线语音的应用， SIP和 RTP 协议可设定在高的队列，而一般应用如 http、 ftp 则可设定在低的队列。例如语音视频这样对于时延敏感的业务，目前，经过中国网通、赛尔公司对几家 WLAN 设备厂商的设备测试结果表明，Aruba 的无线网系统以其完善 QoS 特性在测试中表现最佳。 提供语音服务，将极大以高无线网络的实际运营效果，为广大在校师生提 供无线网络 服务，随着无线语音技术的发展，无线语音无线数据服务将极大方便用户 的 XXX 运营商 生活。 3 4 2 VoIP 与 WI-FI 手机 随着 VoIP 的越来越普及 (如 Skype, 等 )，基于 SIP 的 Wi-Fi 电话将迅速变为 XXX 运营商 内的 用户 之间话音联络的主流。 Wi-Fi 电话除了可在 热点地区、办公楼以及区域 之间等不同 AP 之间漫游外，用户亦可在其它有 Internet 连接的地方如酒店，住宅等使用，这是一 23 般办公室无线电话 (传统的电话交换机 )不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码， 不管是国内或国外。对于一些经常出差的用户 VoWiFi 会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。 Aruba 无线交换技术已经证明支持业界 VoIP 系统在 Aruba 系统上成功的运行，且在最近的 Network World VoWLAN 测试结果被评选为市场上最卓越的产品。在具体实现 Wi-Fi 语音时要注意考虑语音的时延， AP 呼叫的容量和漫游切换时间。 尤其无线语音的漫游 ,它会比一般的数据移动传输更普及 ，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些 AP，而必须是有规范的组建无线局域网。 Aruba 无线系统可容许用户设置专有的语音 SSID，把单纯是数据传输的用户和 Wi-Fi 手机用户分开，但也可以在单一 SSID 内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 Aruba无线交换机内的用户防火墙可把 SIP/RTP 等 VoIP 协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。 另在无线语音安全接入方面， Aruba 可防止没有无线语音权 限的用户使用无线语音，以确保无线网络资源能有效运用。 24 3 4 3 无缝的三层漫游 Aruba 无线可以支持无线接入用户在 AP、 WLAN 交换机、多子网以及多 VLAN 之间无缝地漫游，而且不会丢失连接，也不需要重启 DHCP。无线网络不需要对现有网络进行任何改变就可以实现这一切。 其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而 Aruba 的 handoff 性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在 AP 间漫游，而不会发生掉线，是语音业务的质量保证。 25 四、 XXX 运营商 无线局域网 方案 建议 根据 XXX 运营商的 无线网络需求 和 无线网络 设计原则，结合Aruba 无线系统技术及产品的特点， 方案的设计分为 ：无线 组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。 4.1 无线 组网方式设计 Aruba 无线系统的组网方式有两种，集中式组网和分布式组网。可以根据不同的网络规模和管理方式，考虑选用以下不同档次的无线交换机进行组网。 4 1 1 中型无线局域网 (100 到 250 个 AP)集中式组网 根据 XXX 运营商 网络结构和需求，用户可选择单台 Aruba6000交换机来组网。 Aruba6000 设置在数据中心 集中控管 全无线网络 的Aruba AP。如下图所示： 26 P a g e 7中型无线局域网交换拓扑图 ( 集中式 )中型无线局域网交换拓扑图 ( 集中式 )大楼大楼V RRPMa s te r 无线交换机G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入层交换机接入层交换机接入层交换机汇聚层交换机汇聚层交换机网络中心骨干交换机A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0 4 1 2 大型无线局域网 (250 个 AP 以上 )分布式组网 大型无线局域网架构，用户可选择以分布式组网，即采用多台配置成 Local工作模式 Aruba2400交换机分别设置于不同的配线间。一些要求较高的用户会采用双机（二台 Aruba2400）在配线间以VRRP 串联模式来加强网络冗余备份。在网络中心则设置二台 Master Aruba2400 (VRRP) 作为主控管交换机。网络管理员就可透过配置成Master 工作模式的 Aruba2400 来设定所有无线局域网设置。 选用 Aruba6000 无线交换机，一般是把 250 个 AP 汇聚到Aruba6000 上，而视乎 AP 实际数目和 XXX 运营商 网络拓扑，多台Aruba6000 可分别设置在 XXX 运营商 的不同的配线间 /机房。在网络中心内则一定会 Aruba6000 用以管理其它 Aruba6000 交换机。 27 4 1 3 大型无线局域网 (250 个 AP 以上 )集中式组网 所有的无线交换机都放置在网络中心，但是在网络 技 术 中心内则一定会有 1 台 Aruba6000 设置成 Master 工作模式，用以管理其它Aruba6000 交换机。P a g e 9大型无线局域网交换拓扑图 ( 集中式 )大型无线局域网交换拓扑图 ( 集中式 )Ma s te r 无线交换机G R E 隧道A r u b a A PA r u b a A PA r u b a A PA r u b a A P接入层交换机接入层交换机汇聚层交换机网络中心骨干交换机汇聚层交换机汇聚层交换机接入层交换机A 5 0 0 0 / 5 1 0 0A 5 0 0 0 / 5 1 0 0G R E 隧道 大型网络支持 4000 个用户以上的网络环境。 4 1 4 XXX 运营商 无线局域网的组网设计 XXX 无线局域网系统属于中型规模的无线局域网，考虑方案的性价比，建议选用 集中 式组网的方式： 在网络中心 采用 一 台 Aruba6000 无线交换机，采用 无线 集中 管理， 全网络 AP 接受统一 管理， AP 以及下面的用户 按接入策略分配接入到无线 交换机上。这种组网方式 简易灵活并 方便扩容。Aruba6000 无线交换机现在配备 SC-48-C1 和 SC-128-C1 服务卡，分别可以支持 48 个 AP 和 128 个 AP。 28 当无线局域网规模需要扩大而增加 AP 数量时，可以扩展 无线交换机 的板卡 相应许可证 ， Aruba6000 无线交换机 SC-48-C1 卡 可以平滑的从 48 个 AP 支持到 128 个 AP。 Aruba 6000 可以 支持 到 256个 AP。 4 2 多业务区分设计 从用户分类与分布情况分析，用户主要分成以下几类： （ 1） 办公用户 ； （ 2） 企业用户 ； （ 3） 移动 人员； （ 4） XXX 运营商 一般 工作人 员； （ 5） 集团用户 。 使用 无线 网络 可以 分为不同的 无线接入业务类型。 因此，在设计上采用无线局域网多 SSID 技术，设置多业务区分方式。在一个无线局域网内可以设置多个 SSID，例如一个 SSID 可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把 SSID 看成 VLAN，所以它们都会惯性地以 VLAN 概念来划分 SSID。其实在一个 AP 范围内，不管用户连接到那一个 SSID 它们实际上都是在同一个 802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是 AP把不同的 SSID 名字广播，所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个 SSID。 SSID 的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 29 为什么要把不同的安全加密协议设置在不同的 SSID 呢 ? 802.11 的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式 ， 例 如 ：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不 能在同一个SSID 内同时存在的。 用户可根据实际的情况和 802.11 发展来制定以怎样方式来实现无线加密。最常见的做法是使用 多 个 SSID， 例如： 一个定义为OPEN/Static WEP 供客户用，另一个 SSID 则为 TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个 802.11i SSID 让员工以过度的方式逐渐从转移到这个 SSID 上。不能一步转到 802.11i 的主因在于很多的无线终端现在尚未支持 802.11i，而是不可能把所有的终端一次更换成最新的软件程序。 要注意的是 SSID 可以覆盖全网，也可以只局限于 XXX 运营商网内的某些范围。一般的情况下是全网开通，例如 ： 客人 (Guest)使用的 SSID；但有些 SSID 则可能 供某些部门使用，所以它的覆盖范围通常只会局限在 某些范围内。 所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID 进行管理和控制。 集团用户、企业 固定用户，可以采用专门的SSID，可以采用级别较高的认证和加密手段，对于 移动用户 和 临时用户 可以使用另一个 SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。 30 4 3 网络与用户管理 Aruba 无线系统中可以设定用户的角色（ role），每个 role 可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是 Aruba 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火 墙是没有基于用户的，它的保护只是基于IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。 Aruba 的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使用 SIP 的服务，而另一用户则可用 FTP。 一般在防火墙策略设计中，可以将 移动用户 和 临时用户 的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。 集团用户和企业用户 具有较高的权限 ， 可以 访问更多的 网络 资源，或者对某些特殊的来宾开放某些 VIP 账号，分配给其较高权限的 role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常 符合 的 XXX 运营商 网络中心的网络管理需求 。 4 4 无线安全性设计 在 Aruba 无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下： 31 （ 1）多 SSID：可以根据需要，如用户的种类、应用的种类，在 Aruba 无线系统中设置多个 SSID，不同的 SSID 采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外 SSID 还可以选择隐藏的方式， 该 SSID 不广播，用户无法看到，防止非法用户的连接企图。 SSID 还可以选择在某些 AP 上出现，某些 AP 上不出现，限制 SSID 出现的范围也是实现安全性的一种手段。 （ 2）加密： Aruba 无线系统支持多种加密的方式，二层的加密支持静态 WEP、动态 WEP、 TKIP、 WPA、 802.11i 多种加密方式，三层的加密支持 IPSec VPN 加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。 （ 3）用户认证提供二种方式 ： WPA-PSK captive portal+VPN。 加密方式采用 WPA-PSK，不 建议采用静态 WEP，因为有安全隐患。采用 captive portal+VPN 的认证方式，同时 VPN 还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Aruba 交换机内置的帐户数据库。 WPA+802.11x 加密方式尽量采用 WPA，如果客户端不支持也可采用动态 WEP，认证方式采用 802.11x，认证服务器选择RADIUS。 32 （ 4）用户的 Role（角色）：每一类用户可以建立一个相 关的 Role，每个 Role 有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。 （ 5）用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问 Internet,不能访问图书馆的服务器，只能访问 WEB 网页和收发邮件，不能运行 P2P 的软件等。 （ 6）带宽 控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。 （ 7）认证 系统 支持 ： Aruba 无线系统支持多种认证系统，诸如Radius、 LDAP、微软的 AD（活动目录）和在 Aruba 无线交换机内部的 Internal DB 等等 。 （ 8） 网络 病毒的防护：无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态，诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，并设置安全策略是否准予进入网络。在数据的检测上， Aruba 无线交换机上可以设定策略，对于某些无线用户沾染病毒的终端， Aruba无线系统将其导向到第三方防病毒系统进行防病毒的检查，检查完成后，才允许接入。 33 4 5 移动漫游设计 无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝 漫游， Aruba 无线局域网可以实现快速无缝 漫游功能。 L2/L3 层漫游 在传统的无线局域网内，无线终端要跨越不同 AP 之间漫游是有一定的困难，因为不同 AP 之间，它的无线用户 IP 子网可能都不是在同一个 VLAN 内。所以当无线终端从一个 AP 漫游到另一 AP时，由于它们之间的缺省 IP 子网 不同，无线终端会重新发出 DHCP请求，这样的话终端的 IP 地址就会更新， 所有在原先 AP 建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP 的技术，但 Mobile IP 的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。 通过 Aruba 无线系统的代理 DHCP 功能，就可解决了跨越不同三层 IP 子网的无线漫游问题。 当无线终端从一个 AP 的 IP 子网漫游到另一个 AP 的 IP 子网时，它重新发出的 DHCP 请求 ， 会从AP 端的 Arub