aruba无线网络技术方案

aruba无线网络技术方案内容摘要：

制、管理、维护，所有分支机构的无线策略等即可。  可管理性 ： 可以通过 SSHv2 Tel、 Tel、 WEB 多种方式进行设备及用户管理，也可使用原有支持 SNMP 的网管软件进行管理，当控制器部署数量增加时，同样只需管理 Master 设备即可管理全网的控制器和 AP。 ARUBA 无线网络系统设计方案 5 第三章 设备选型和总体设计 总体设计 C ARUBA无线系统大体上可划分为 2部分， ARUBA AC(无线控制器 )和 ARUBA AP。 ARUBA AC（无线控制器）是整个无线网络系统的核心和大脑，它协调管理着整个无线系统，所有功能 实现的配置只需在 ARUBA AC 上进行， AP 不需做任何配置。 而 ARUBA AP 在无线系统中提供用户接入带宽、无线信号收发、数据编码等作用， ARUBA AP 的一切行为都受 ARUBA AC（无线控制器）的管控。 在本次技术方案设计当中，我们将重点考虑和针对如下几个部分进行设计：  无线网络系统核心配置和与有线网络核心交换机的对接  无线网络接入层的无线 AP部署方式以及与有线网络接入层交换机的对接  无线终端用户的 IP 地址规划  无线网络安全设计方案 （包括认证，加密，无线入侵检测） ARUBA 无线网络系统设计方案 6 产品设备选型 （ ARUBA 技术方 案的优势） 在此次 XXXX 的投标方案中，我们选择了 ARUBA 公司的 ARUBA6000 系列无线控制器和 ，以下是 ARUBA技术解决方案的几点优势： 先进的独立架构 ARUBA 采用基于无线控制器和瘦 AP 的“独立”架构，可以使无线局域网能够成为一个与有线网完全独立的集中管理和运行体系。 无线控制器集中管理所有的无线 AP 和无线终端，提供完善的射频管理、故障自动恢复和负载均衡功能。 实施无线网络无需改变现有有线网络配置，并且易于升级扩充，能够使得用户的 投资得到保护。 “独立”架构还可以构建无线局域网的安全冗余方案，确保整个系统可以在故障发生的时候可以迅速进行备份系统的切换。 性能强大，稳定可靠的系统 在瘦无线 AP 架构下，无线控制器的性能对整个无线局域网的重要性不言而喻。 单台 ARUBA 3600 控制器可以达到 8Gbps 的系统吞吐量。 加上 的 无线访问点 AP70/AP60，单个 AP 最高可向用户提供达 54Mbit/s 的无线接入速率。 多层次的无线局域网安全机制 ARUBA 无线交换系统提供业界独有的多层次的无线安全来保护无线资源、数据、网络 和用户。 配以完善的射频监控技术，获得专利的分类引擎让管理员可以通过自动检测非授权用户、抑制非法 AP 和保证用户不会连接到非法 AP 等方法来保护无线资源。 同时， ARUBA 无线交换系统还可以通过内置的用户状态防火墙以及无线入侵防护功能来保护用户数据安全。 ARUBA 无线局域网解决方案提供以下安全功能： ARUBA 无线网络系统设计方案 7  业界唯一的集无线加密、用户认证以及基于用户身份的防火墙策略3 项技术于一体  集成的防火墙让管理员可以创建并执行跟随用户的状态防火墙。  射频安全包括集成的 IDS 功能，以抵御已知的无线攻击  自动非法 AP 检测和隔离  独特的自动基于策略的对 AP 和主机的分类  L2 安全：支持 、 WPA、 AES、 TKIP、动态 WEP  L3 安全：支持 IPSec、 PPTP VPN  基于身份的状态防火墙能够实现基于用户的安全和控制  基于用户角色的 VLAN 和基于用户的策略控制能够实现用户和数据的区分  集成的 Web 认证，实现安全的访客认证接入  ARUBA 无线控制器集中处理每个用户的认证信息和相关策略，以消除漫游期间的再认证时延。 这可使用户在一个特定地区漫游时，在楼层之间以及楼房之间保持多媒体业务品质连接。  支持无线网络 的多个队列  数据流状态分类，保证 VoIP 和流媒体数据优先  支持用户带宽上下行限制 成熟的无线局域网产品和方案 Aruba 的无线解决方案在中国的多个企事业单位成功部署，包括：中国华电集团，天津电力，黑龙江电力，北京大学，清华大学，浙江大学，万豪酒店集团，香格里拉酒店集团，中国人民解放军总医院， 盛京医院， 中国银行，中国平安保险集团，中央电视台新办公大楼，上海浦东国际机场，首都机场，北京地铁 5 号线，广州地铁 14 号线，四川移动，北京网通等。 Aruba 在全球最大的单个无线网络项目中已经成功部署 12020颗 AP（美 国俄亥俄州立大学）。 在本次项目中采用的 Aruba 产品型号和软件版本已经经过了长期的市场考验，产品相当成熟与稳定。 Remote AP 与无线可扩展性 ARUBA 无线产品提供 Remote AP 技术，对于经常出差的领导、员工，能够在办公室外的任何地方通过 ARUBA 的 Remote AP 登录到球场的内网系统，并且享受与在馆内同样的权限。 ARUBA 无线网络系统设计方案 8 对于大连红旗谷高尔夫俱乐部未来的无线网络扩展，都可以通过 ARUBA 无线网络组建成一套独立的无线网络，只需要增加控制器， AP，将控制器设定为Master， Local 就可以，现有无线网络 的所有策略不需要做任何的改动，所有AP 都可以直接继承。 支持多种新兴的多媒体无线应用 ARUBA的无线解决方案能够支持包括无线 IP电话、无线网络视频监控、 RFID等在内的多种新兴多媒体无线应用。 ARUBA 无线网络系统设计方案 9 第四章 XXXX 无线系统 详细 设计 根据客户需求，我们分析 XXXX 指定区域对网络的需求主要体现在以下几个方面：  满足 XXXX 指定区域无线综合管理和无线网络接入  满足 XXXX 对内 部 数据共享 、 WEB 信息发布 、 Email、综合管理等需求，并考虑到 球场 未来的 wifi 语音、多媒体等新兴应用的扩展  为无线用户提供安全的认证服 务  为不同 应用（数据、视频、定位） 提供不同的访问权限和带宽策略  为用户提供智能化的信道，射频管理功能  为无线网络上联提供冗余、备份，保障数据的安全  为后期维护管理提供可视化、 图形化管理平台 ，并实现整个无线网络统一管理维护 组网方式设计 ARUBA 无线系统的组网方式有两种， （有线 AP 组网）（ Mesh AP 组网）。 鉴于本次工程 在 XXXX 区域无法布线，所以使用有线 Mesh AP 组网方式进行设计。 如下图： ARUBA 无线网络系统设计方案 10 C ARUBA 无线控制器放置在 酒店内部 核心机房， 直接通过光纤与核心交换机相连。 从核心交换机到 ARUBA AP 70 需要使用有线连接，作为 Mesh 网络中的Portal 点，然后通过无线信号链路跟 ARUBA AP 70 关联，从而形成一套完整地ARUBA Mesh 无线网络。 从接入层到 AP 70 采用百兆链路连通，通过在控制器上简单配置便可完成 ARUBA 无线拓扑的搭建。 ARUBA 瘦 AP 集中式组网无需改变原有网络，具有很高的组网透明性。 AP 部署规划设计 XXXX 的无线网络覆盖区域包括 各洞周围区域和酒店区域。 由于整个无线覆盖区域均无法布线，所以 采用 Mesh 组网方式进行设计。 ARUBA 无线网络系统设计方案 11 Mesh AP 覆盖方式只需一个连接有线的 AP（该点被叫做 Portal 点） ,其余AP 通过 ()与 Portal 点相连（被叫做 Point 点）实现无线信号覆盖。 其优点在于摆脱了有线的信息点的束缚，增加了无线组网的灵活性，这种方式适用于不易放线的区域。 在本方案中 ， Portal 点 可以选用支持 ，带宽最大为 54Mbps。 将 AP 70 放置在酒店周围， 通过百兆 RJ45 口和有线网络连接 ，使用 定向天线进行室内覆盖。 AP 70 可 通过 频段关联 Point 点 ，形成 Mesh 网络。 Point 点可以选择 外加低温防水防护罩的 ARUBA AP 70。 即便如此还是要对部署现场进行实地勘测后才能得到一个相对精确的 AP 安装位置，以满足所有指定 区域内不存在无线信号死角。 根据 对 XXXX 平面图的了解 ， 统计出 初步 AP 数量： AP 覆盖数量统计表 L1L18 覆盖区域 AP 数 酒店天台 10 每球洞（共 18 洞） 28 AP 总数 38 酒店会所 酒店会所 30 AP 总数 30 2 区域 AP 总数 68 按照此数量部署 AP,可以 实现 指定 区域均有无线信号覆盖。 部分道路视频监控点距离球洞比较远， 而摄像头所配备的无线网卡又达不到足够的回传功率，为保证正常需要，可适当增加所需部属 AP 的数量。 建议这部分的视频监控所需设备数量或容量跟酒店会所及球场周界的视频监控结合起来考虑 AP 的 估测部署点位 在 CAD 图中已标注，具体点位请参考 CAD 图。 ARUBA 无线网络系统设计方案 12 无线控制器规划设计 根据 AP 部署的规划设计，无线控制器可选用 ARUBA 3600， 最大支持 128 个 AP。 考虑到使用无线网络的各种用户可能具有不同权限。 为了便于区分管理，保证关键业务可以正常有效的运行，同时 选配 ARUBA 的用户策略防火墙（ PEF）软件模块。 该模块可根据用户需求，对不同等级的用户开放不同的访问权限，并进行不同的带宽限制和应用限制。 同时 实现对无线 安全、视频监控、 语音功能的支持与扩展，控制器与核心交换机间的连接可通过 ARUBA 控制器上的千兆上行链路端口实现与有线网络中的核心交换机相连。 控制器与核心交换机的连接方式采用和汇聚层有线网络交换机与核心交换机相同的方式进行连接即可。 无线局域网的高可用性设计 整个无线局域网系统必须有着充沛的持续工作能力以应对网络某个部件的损坏。 此次建议的 ARUBA 无 线局域网在 ARUBA3600无线控制器上设计了 4 千兆个光电互用 接口，将两个光纤接口捆绑成为一个 Channel 链路 ,与有线网络核心交换机相连，组成一套可以实现负载均衡和故障自动切换 智能化 上联链路，不但提高了上联两路带宽，更确保了整个网络的高可用性。 同时 ARUBA Mesh 网络本身具备自愈能力，当 Mesh 网络上的其中一条无线链路因某一个 AP 故障而切断时， ARUBA 控制器会为链路上的其他 AP 选择另外一条备选链路进行数据传输，保证整个 ARUBA Mesh 无线网络的高稳定性与高可用性。 ARUBA 无线网络系统设计方案 13 ARUBA无线系 统管理 ARUBA 无线设备提供统一管理 功能 ，无须对每台 AP 单独做管理，只需 管理ARUBA无线控制器即对 整个无线网络 进行维护。 ARUBA无线设备采用瘦 AP 架构，可以有效地与有线网络分开单独组网， VLAN、 IP 地址的划分完全独立于有线网络。 并且 ARUBA 无线设备具有基于用户角色的策略制定，可基于用户的不同分配不同的权限，并且所有数据访问全程加密也是 ARUBA 独有的特性。 ARUBA 无线控制器提供三种管理方式： WEB 方式 ：网络管理员可以通过 SSH 的方式访问 WEB 管理界面，在 WEB 管理界面中，可以查看到有关无线网 络 RF 的状态、 AP 的工作与配置情况、相关安全策略的配置与实现情况等等。 CLI（命令行）方式 ：网络管理员可以通过串行的 Console 口连接到控制器，并使用电脑中的超级终端应用程序来打开 CLI 窗口，在 CLI 中配置的好处是，可以非常清晰的掌握配置无线网络的整体结构和相关命令行参数，为无线网络的管理理清思路。 Tel 方式 ：系统默认使用 SSHv2 加密的 Tel（ Port： 22）方式管理无线网络，如果需要用 23 端口传统的 Tel 进行管理的话，可以通过在 CLI 中全局配置下输入 tel cli 命令开启 ARUBA 无线系统支持标准的 SNMP 协议，可以和各种支持标准 SNMP 协议的网管系统配合使用。 比如 HP OpenView ,Cisco Works 2020 等。 无线安全性设计 在 ARUBA 无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下： （ 1） 多 SSID： 可以根据需要，如用户的种类、应用的种类，在 ARUBA 无线系统中设置多个 SSID，不同的。