公司Aruba无线方案

ArubaNetworks公司办公室无线局域网系统技术方案2014年3月

280321.1无线局域网的应用需求 319576网络部署需求 383821.2无线局域网部署的总体目标 38846强可管理性 327301高安全性 33456真正的移动性 318556支持多业务 3117892.公司办公室无线局域网设计原则和参考技术指标 3302692.1遵循标准 3157972.2技术成熟 3100212.3易管理易维护 329342.4安全可靠 371852.5参考的技术指标 349393.公司办公室无线局域网系统设计方案 3198213.1整体系统架构设计 3119703.2无线覆盖建议 3199733.2.1室内覆盖统计 338773.3网络安全管理措施 3299463.4用户认证方法 3302193.5网络层Vlan规划 342533.6无线射频规划 318643.7产品选型特点 3125583.8中心化管理（可选） 31.1无线局域网的应用需求网络部署需求公司无线局域网部署需求如下：采用“瘦AP”的方式进行室内覆盖。管理方面：要实现整个无线系统的统一集中管理，对各类型无线设备的入网具备认证手段，对无线终端具有以MAC地址和基于802.1x、portal、VPN的身份认证统一认证的手段；可以结合企业LDAP服务器进行用户认证；支持访客接入认证和内部员工Windows域认证；技术方面：设备连接采用802.11a/b/g/n协议；无线AP通过有线网络接入层交换机进行企业网接入，无线AP支持基于以太网的馈线电源，无线AP可通过Telnet和Web进行管理和升级。要求无线AP符合IEEE802.11a/b/g/n的技术标准；支持包括LEAP、PEAP、EAP-TLS等扩展认证协议的所有802.1X认证类型；要求无线系统支持AP快速配置、监测AP和无线终端的状态；要求无线系统对各个AP进行功率自动调整，以达到最优覆盖效果；覆盖范围办公楼1-5层（含室外货区），需要考虑信号覆盖及一定的用户负载均衡。1.2无线局域网部署的总体目标强可管理性具有强可管理性是企业网络部署的关键指标。对网络进行管理、维护以及进行故障处理的方式方法决定了网络管理人员的工作量，缺乏可管理性的网络不仅仅增加了网管人员的工作量，而且间接影响着网络的安全和性能。无线网络中的网络配置复杂，设备部署分散，从无线频谱规划，无线AP的布点，到用户的接入、认证和计费，以及数据的加密，承载各种应用的带宽分配等，往往需要在各种设备之间进行参数设定。具有易操作性、可交互性的图形化网络界面，简化管理网络的步骤，减轻无线频谱规划工程的压力和网络日常维护的成本，在出现问题的时候能够提供较方便的故障排除手段，是强可管理性的表现。高安全性网络安全性能可靠也是企业级网络的一个重要指标。用户可以根据网络的情况选择不同安全级别的无线网络进行接入，在数据链路层、网络层、应用层等多层加密的通道中进行数据传输。通过拒绝非授权用户进入网络占用资源的同时，保障合法用户的信息私密性。同时对于不正常的网络行为能够有相应的监控和管理措施，能够通过网络日志系统结合事后审计系统来进行网络的安全控管。真正的移动性支持无缝覆盖环境内的快速移动切换是新一代无线局域网络的特性。在满足连续无缝覆盖的无线网络环境中，支持不间断的业务服务是实施移动办公的基本需求，完美解决用户的无线重新关联，重新认证，加密密钥分发等问题，确保移动情况下的安全与网络性能，才能够真正支持用户的切换，从而实现全网的移动性。支持多业务单一数据上网为主要应用的网络部署模式已经无法适应飞速发展的移动办公需求，支持QoS的无线局域网能够为企业网络环境提供更多的增值业务而成为了无线网络部署中不可或缺的目标。2.公司办公室无线局域网设计原则和参考技术指标2.1遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。本方案采用最新一代无线局域网瘦AP架构Aruba专业企业无线解决方案，完成公司无线局域网系统项目。2.2技术成熟无线局域网系统应该具有以下特点来体现采用技术路线的成熟可靠：支持相应的各种国际标准或普遍使用的工业标准；支持实时和非实时数据传输，支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证；实现无线语音设备和无线终端的实时移动通信和跨IP域的无缝漫游；实现对射频的集中管理和控制；可根据用户的身份认证进行防火墙策略的控制；符合国家关于无线网络安全标准和管理条例；具有高可靠性、可用性；2.3易管理易维护无线网管系统需要集成相应无线网络管理功能，能够支持和已有的CA网管系统的集成，实现在单一平台下的统一管理。提供的无线网管系统能够完成对无线网络的监视和控制，保障无线网络安全，查找并隔离网络故障，记录无线网络中的各种事件等。可以管理本项目中提供的所有节点，检测它们的网络性能和系统运行性能。提供的无线网管系统不仅能进行无线网络设备及IP层的流量监视，而且随着无线网络规模的不断扩大及运行于网络上的应用不断增多，还可以通过对应用流量的分析监视应用软件的运行情况。另外，无线网管系统还要能够满足以下要求：开放性支持：管理应用对外开放，可以使用任何资源及进程，即使是其它网络应用的进程，也能进行横向调用。具备企业管理能力：无线网管系统能够管理无线网络中的所有网络设备，具备支持下列能力：可扩展性：有能力满足用户的应用以及未来的无线网络扩展需求，为无线网络将来的升级留有余地；集成界面支持：无线网络管理工作站能以图形方式显示网络设备之间的逻辑拓扑结构，网络的连接状态，每个网络设备的面板图形及指示灯状态等，并用图形方式配置网络参数和管理网络设备；无线网络设备的自动查找支持：应具有自动查找无线网络设备的能力，无线网管系统可自动发现并配置无线设备。2.4安全可靠用户认证：支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN认证、802.1X、MAC地址等认证方式，支持外置的Portal服务器和外置的AAA服务系统，支持标准的LDAP目录服务器（ldapv3），内置数据库。数据加密：支持静态和动态WEP，TKIP（WPA），WPA2，AES、SSL、TLS、RSA等加密机制。2.5参考的技术指标无线局域网的建设的技术指标如下：1、采用无线局域网交换技术及无线局域网交换体系结构。2、充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。3、采用集中控管的组网方式，集中控制管理所有的AP。4、AP的供电使用POE网线供电的方式。5、采用先进的网管系统管理无线局域网。6、建立安全的无线局域网络。7、提供高质量的QoS保证，以达到未来对多媒体及语音的支持。8、充分考虑无线局域网的安全性，采用先进的安全技术保障。9、无线局域网系统要能方便和灵活地调整与扩充。3.公司办公室无线局域网系统设计方案3.1整体系统架构设计公司1-5层办公室进行无线网络全覆盖。我们通过在核心机房架设Aruba3200无线控制器，室内无线AP-103通过接入层交换机连回核心交换机并与无线控制器建立GRE隧道；室外AP-275通过货场POE交换机光纤连回核心交换机并与无线控制器建立GRE隧道。3.2无线覆盖建议3.2.1室内（外）覆盖统计1-5层办公室由于有约100人的内部办公人员，按照1：2的无线终端预估数进行无线信号覆盖，预估需要24颗无线AP。楼层AP数量备注14AP10323AP10335AP10345AP10353AP103室外货区2室外AP275合计22详细设计点位可参见CAD图纸。3.3网络安全管理措施公司无线网的安全管理系统实现如下功能：接入认证控制：结合现有AD服务器，验证合法用户，授权他们接入特定的企业内网资源，同时拒绝为未经授权的用户提供接入；访客用户使用无线控制器内部数据库进行WebProtal认证或者802.1X认证。确保链路的保密与数据的完整：防止未经授权的用户读取或更动在网络上传输的数据。监测和阻断无线攻击：防止攻击占用某个接入点的所有可用带宽，导致其他用户的正当接入。3.4用户认证方法无线网络支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN认证、802.1X、mac等认证，支持外置的Portal服务器和外置的AAA服务器系统，支持标准的LDAP目录服务器（ldapv3），同时Aruba无线交换机内含一个InterDB，可以直接使用该数据库创建用户帐户，更加方便用户的使用。根据用户的需求，建议用户的认证方式设计如下：内部员工结合后台AD认证服务器使用802.1X认证，访客使用WEB认证并弹出登录页面。在目前方案实现上使用两个SSID分别供内部人员和访客使用。3.5网络层Vlan规划无线网络在与公司企业网络进行整合，并提供无线接入服务时，需要涉及以下3种VLAN：AP-VLAN：用于连接AP的VLAN，AP由以太网供电交换机透传到企业网三层核心交换机路由回到无线控制器，在无线控制器上不配置相应的APVlan及接口地址，AP地址由企业DHCP服务器下发，并设置相应的option43属性指向无线控制器接口地址Mgmt-VLAN：无线控制器管理VLAN，连接核心交换机，用于终结来自无线AP的管理和数据隧道。User-VLAN：企业无线用户所属VLAN，采用隧道模式回到无线控制器，接入公司企业内网或访问Internet，根据用户类型可分设不同的Vlan进行隔离。3.6无线射频规划根据公司的无线应用需求，在企业无线网中配置以下无线信号：Company-Guest: 采用WebProtal认证，通过2.4GHz和5GHz频段在覆盖范围广播，为公司访客提供基于网页认证的无线接入Company:采用802.1X认证，AES加密，通过2.4GHz和5GHz频段在覆盖范围广播，为公司职工用户提供基于帐号认证的无线接入3.7产品选型特点室内我们选用了ARUBAAP103主要从以下几个方面考虑来确保网络接入的性能和稳定性。采用高性能无线接入点IEEE802.11N标准通过信道捆绑(ChannelBinding)和多入多出（MIMO）技术在理论上可以实现600Mbps的接入速率。ArubaAP103采用2.4GHz和5GHz射频，每个射频都具有2X2:2MIMO和两个集成的全向下倾天线，提供了每射频高达300Mbps的无线数据速率。采用优化天线设计，实现下方全向覆盖由于无线信道具有共享介质特性，当终端密度达到一定程度时，为了满足大量终端的接入，都必须采用微蜂窝方式缩小每个AP的覆盖范围，降低AP之间的同频干扰，通过频率重用的方式实现网络容量的增长。传统的全向天线在水平方向具有最高的天线增益，比较容易产生相互干扰，而在天线正下方则信号较差（即所谓的“灯下黑”），考虑到办公室环境AP部署特点，这种传统的全向天线并不适合这些区域的覆盖。原因在于这种天线位于水平方向的最大增益将会导致较为严重的AP之间的同频干扰，而缩小AP发信功率则又会使天线下方的用户接收信号进一步恶化，因此通过“微蜂窝”方式来增加系统容量的效果不佳。与传统的标准全向天线不同，ARUBA无线AP103采用全向下倾的内置天线设计，使天线的最大增益方向面向天线下方的无线用户，同时在天线水平方向保持较小的增益，从而既保证了无线用户的信号质量，又有效降低了AP之间的同频干扰。因此采用ARUBA无线