arub学校无线局域网解决方案建议书

arub学校无线局域网解决方案建议书内容摘要：

和部署也是扩展性的重要考虑因素。 要妥善处理数目众多的 AP 在园 区 网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过 Aruba 系统的网管系统实现。 3． 1． 4 无需更改有线网结构 XXXX 大学 实现无线局域 网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不愿意做的事情，采用 Aruba 系统无需更改现有的有线网结构。 由于无线用户的传输是通过 Aruba AP 内已建立的 GRE 隧道和 Aruba 交换机互连的，所以实际上无线用户的 VLAN 是无须在接入层和汇聚层存在。 无线用户的 VLAN 是可透过 Aruba 交换机和骨干交换机互连互通。 这样非常方便在 园区 里实施无线局域网，同时也非常方便进行扩展。 ARUBA 的无线交换机可以安装在 学校 的中心机房，而 AP 则可以放置于 园 区 的任何地方，无需用二层设备连到无线交换机，或者划 分 VLAN；其他厂家则需要二层交换机连接或者划分 VLAN，否则只能将认证点下放到 AP 上，导致整体性能的降低和漫游特性的缺失。 不用划分 VLAN，对于无线网 络 的管理带来极大的便利性。 对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。 3． 1． 5 方便地无线网规划设计 在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少 AP 可以 9 满足覆盖。 应在哪些位置安装 AP，安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场 做大量的 测试工作，通过经验去估算位置和数量，其工作量非常之大， 无法预先规划每个 AP 的电磁波和功率参数以及 AP 之间的覆盖相交范围。 Aruba 首创开发了 RF Planning 工具，让规划设计者在 无线局域网组网之初采用 RF Planning 在计算机上做规划设计，估算在要求的覆盖面积上 AP 应安装的物理位置所在。 使用这套工具时，在数字化的 园区 建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽， AP 和 AP 之间覆盖面等。 RF Planning 自动计算，然后显示出 AP 在 图上的安装坐标位置和无线电波的覆盖范围。 安装人员就可以根据图纸上所显示的位置安装 AP，在无线网安装完成后，网管人员通过 RF 规划自动校准 功能， Aruba 交换机 可以 自动调节 无线 网上所有 Aruba AP 的频道与功率参数以达到一个最优性能的运行状态。 在无线局域网系统投入运行后，网管人员可通过 RF Planning 随时监测网内的每个 AP的无线电波 实际 的 运行 状态，及时掌握每个 AP 的工作状态和故障诊断，及时做出调整策略。 Aruba RF Planning 为无线网的规划设计、调试以及维护提供科学化和规范化的管理。 3． 2 Aruba 无线局域网的网络管理 3． 2． 1 集中式管理 网络数据中心 管理一个具有规模的无线局域网（通常在几十个 AP 以上）是一件非常头痛的事情。 从 RF 覆盖面，带宽，用户的认证，以及接入的安全都要考虑。 由于传统的无线局域网是单纯基于 AP，因此对于无线网络的管理，其大量工作是要在每个 AP 上进行设置和更改。 其工作量在有一定数量 AP 的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统， AP 之间必须互协调工作，单独改变一个 AP 参数和配置会引起 AP 之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。 Aruba 系统具有非常强的无线局域网集中管理功能， 通过无线交换机 Master Switch 和Local Switch 管理模式管理整个网络，网管人员 只需在无线交换机就可开通、管理、维护所有 AP 设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 10 3． 2． 2 无需安装客户端软件 Aruba 系统无需为每一个移动用户终端安装无线接入软件， Aruba 的认证可以基于WEB 页面认证， 认证只需用户打开浏览器就可以登陆。 ARUBA 采用 GRE 隧道技术，可以透明地穿透在无线交换机和 AP 之间的任何三层网络交换设备实现 WEB 认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的 L2TP 或 IPSEC 或 客户端软件才能实现 WEB 页面认证。 3． 2． 3 RF 智能控管 Aruba 系统的 RF 智能控管可以自动调节网上所有 Aruba AP 的电波特性。 初次安装无线局域网时，用户可通过 RF Planning 的 Auto Calibration 功能来自动调节整个无线网上所有 AP 的无线电波频率和功率。 启动了 Auto Calibration 以后 AP 和 AP 之间会自动互传有关无线电波的信息和调整电波的参数， 直到 AP 之间达到了一个最优化的无线电波运行环境。 Aruba 系统的 RF 智能控管可以自动对网上所有 Aruba AP 的无线电波管理。 当无线局域网经过 自动校准的 调整后而正式 投入网络 运作时，网络管理员可在 Aruba 交换机内启动 ARM 这功能， 无线网上所有的 Aruba AP 都会在设定的时间内自行扫描其它的无线频道。 无线电波扫描 是指 Aruba AP 从一个电波频道跳到另一频道时，如 Ch 1 到 Ch 2 到 Ch 3....，由于扫描的速度非常快，所以对于在线的无线用户（指连接到 AP 上在同一频率上的无线终端）的传输过 程是不受到影响地。 当 AP 停留在一个频道时，它会把在这频道上收到的无线电波信息转送回 Aruba 无线交换机。 Aruba 无线交换机 可以对整个无线网上的电波情况侦测 和记录。 当某一覆盖范围内的无线 电波改变，如出现干扰 AP 所发出的电波或其它应用所发出的电波等， Aruba 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内 AP 的无线电波。 3． 2． 4 多个 SSID 结构 Aruba 系统的多 SSID 结构和和实现技术使得在 Aruba 无线局域网系统的各种 多媒体应用服务（数据、语音和视频）在 Qos 上表现非 常出色。 在一个无线局域网内可以设置多个 SSID，例如一个 SSID 可给 学校 内部教师、工作人员以及学生所用，而另一个可给外来 11 的访问客户专用。 所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个SSID。 SSID 的另一用途是可让无线终端以不同的安全认证和加密方式入网。 在一个语音 SSID 内可把 SIP 和 等无线语音数据以优先级队列处理。 在一个视频 SSID 内可把视频数据流传输以优先级队列处理。 同时在一个预设定的视频 SSID 内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这 SSID。 在 一个预设定语音 SSID 内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这 SSID。 可在多 SSID 的情况下确保语音和 视频的 Qos 支持。 3． 2． 5 故障自动恢复 传统的无线网在有 AP 损坏或失效时，这个 AP 的覆盖范围就会失去了无线连接。 遇到这种情况的一般做法就是把现场失效的 AP 换掉。 但由于大多数的 AP 都是设置在外面 (不是在机房 )，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换 (很多的 AP 都是安装在天花板上 )。 Aruba 系统具有自动恢复的功能，实时侦测出网上 AP 是否有 失效，当发觉有 AP 出现故障时， Aruba 交换机能会自动调节邻近的 AP 的功率（覆盖范围）来接替失效 AP 的工作。 3． 2． 6 网络负载均衡 Aruba 系统可在一个 AP 的覆盖范围内把无线用户或终端分散连接到附近的 AP 上。 在一个 AP 的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。 要确保每个无线终端的传输就必须能限制一个 AP 上无线终端的数量或AP 带宽传输总和或和每个无线终端带宽上限。 Aruba 无线系统可应用层面通过 4－ 7 层交换模块可以实现服务器的负载均衡， VPN 设备，防火墙设备等等 一系列基于 TCP/IP 协议设备的负载均衡来保证整体网络的可靠性。 在视频应用中，负载均衡功能可以有效的缓解单个 AP 的负担，有效的利用临近的 AP做接入，从而确保视频应用的质量得到保证。 3． 2． 7 无线终端定位 Aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、 PDA 和 12 WiFi 手机等。 Aruba 采用的无线定位模式称为三角定位， 无线定位的 准确性可达到 米以内， 无线定位的 条件是所寻找的无线终端附近须有最少三个 Aruba 的 AP 在范围内。 这是传统无线局域网所不能做的，有些单位如医院就是采 用了无线定位技术来取代传呼机在医院内寻找医生、病人等。 大学对非法 AP 的定位，可以成为学校 网络中心的管理人员提供清楚非法 AP 有效手段，可以方便快捷的清除非法 AP 的网络接入。 可以保证 园区 网络接入的安全可靠性。 3． 3 Aruba 无线局域网系统的安全管理 3． 3． 1 集中的安全管理 Aruba 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测以及 RF 电磁波管理等多项安全功能汇聚到 Aruba 无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了 对有线网安全的依赖性。 3． 3． 2 多种用户认证方式 在 Aruba 无线系统中，一个无线用户进入无线网以后， 会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP 地址、传送 DNS 协议数据包，通过认证以后才可以接入无线网。 Aruba 无线系统支持目前各种用户认证的方式（ 、 WEB 认证、 MAC、 SSID、 VPN等）， 园区 网 内的 用户可以根据需要方便选择。 3． 3． 3 独特的无线访问控制 用户状态防火墙是 Aruba 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。 传统的 网络防火墙是没有用户这概念，它的保护只是基于 IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 Aruba 无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员 13 可以使用更多的服务，而学生只可以浏览网页、收发 Email 等，这样可以极大方便 园区 网用户的安全管理。 3． 3． 4 安全的 AP 技术 Aruba 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在 Aruba 无线交换机上实现。 由于 Aruba 的 AP 是不储存任何网络配置（ IP 地址除外 ） 和安全设置，因此 Aruba 管理的 AP 是不能单独工作的，因此获得和接入进 Aruba AP，黑客也不会拿到无线网的网络和安全配置参数。 3． 3． 5 无线接入点安全侦测和保护 采用 Aruba 无线系统的 RF 侦测功能和保护机制可以实时监测 园区 无线网覆盖区域内的所有 AP 接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的AP。 通过 Aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。 3． 3． 6 无线网络入侵侦测 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的安全构成很大的威胁。 今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。 这些攻击在 HotSpot 会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络 问题，间接影响无线网系统的品质。 Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当 Aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。 3． 3． 7 无线接入的病毒防护 Aruba 无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出 数据进行有效的检查和监控。