XX集团公司无线网络系统设计.doc

《XX集团公司无线网络系统设计.doc》由会员分享，可在线阅读，更多相关《XX集团公司无线网络系统设计.doc（64页珍藏版）》请在沃文网上搜索。

1、XX集团公司无线网络系统设计方案 目 录第1章.概述3第2章.需求分析62.1.建设目标62.2.设备需求6第3章.无线网络系统设计概述73.1.无线网络设计原则73.2.XX集团公司无线局域网的整体设计定位83.3.XX集团公司无线局域网整体架构103.3.1.一体化远程办公解决方案113.3.2.安全保障的无线网络的重要性143.3.3.支撑未来多业务应用的无线基础网络16第4章.无线网络系统详细设计204.1.无线组网方式设计204.2.多业务区分设计234.3.无线安全性设计254.3.1.无线网络的安全保护和检测254.3.2.无线局域网的认证和加密264.3.3.检测无线入侵和非法

2、拦截和定位274.3.4.多层次无线网络安全体系284.4.移动漫游设计304.4.1.L2/L3层漫游304.4.2.在不同域之间的用户认证和漫游314.5.无线交换机的配置实施建议314.5.1.AP的VLAN和无线用户的VLAN324.5.2.VLAN和无线SSID的关系324.5.3.无线局域网 不需更改局域网路由334.6.网络与用户管理334.7.无线网络的负载均衡和多媒体应用的实现344.8.客户端兼容性354.9.设备配置清单36第5章.ARUBA产品介绍375.1.无线交换机 ARUBA 2400375.2.无线AP ARUBA 61415.3.无线AP ARUBA 6541

3、第6章.成功案例426.1.Aruba精心打造清华大学FIT楼无线局域网426.2.Aruba助力网通构筑北大学生宿舍区Wi-Fi 语音运营456.3.北邮软件学院架设ARUBA无线网络平台476.4.Aruba助力赛尔建设IPV6无线校园506.5.微软选用ARUBA构建全球无线网络516.6.ARUBA其他成功案例列表53第7章.工程实施方案557.1.WLAN工程现场勘测规范557.2.勘测指导557.2.1.AP及天线部署557.2.2.无线信号的干扰577.2.3.WLAN无线信道规划587.2.4.AP设计参考597.2.5.勘测方法61第8章.总结64XX集团公司无线网络系统设计

4、第1章. 概述ARUBA公司十分高兴有机会参加XX集团公司无线网络平台的建设工作，对于XX集团公司对无线网络平台的要求，ARUBA公司非常重视，并愿意从技术、商务等多方面尽我们最大努力与XX集团公司一道,建设好XX集团公司无线网络平台。在此次回复中，ARUBA公司力求将每一细节问题向贵单位阐述清楚，并向XX集团公司提供完整的无线网络建议，在保证系统稳定性,安全可靠性,系统先进性的同时,还能保证XX集团公司对无线网络的未来需求。ARUBA公司非常珍视和XX集团公司的长期战略合作关系，希望倾力给XX集团公司无线网络系统提供能体现当今最新技术的产品来帮助XX集团公司更好的为其领导和员工服务。在充分理

5、解了网络建设目标之后，我们将采用国际领先和成熟的无线网络技术，与XX集团公司分享ARUBA公司在业界最丰富的设计和部署无线网络经验，结合XX集团公司实际情况，进行网络结构的优化设计，并为XX集团公司提供最佳的技术和工程支持。在满足现有需求的同时，我们还充分考虑到网络将来的发展，最大限度地保证网络的先进性、合理性、可靠性、可用性以及可扩充性。并特别承诺提供最好的全方位支持以确保该项目的最终商业成功。ARUBA公司是一家总部设在美国硅谷的高科技公司， 已于2007年3月成功在美国NASDQ上市，股票代码：ARUN，目前市值达到16亿美金左右。ARUBA公司是全球业界首先实现了无线交换并创造性地提出

6、了“移动边缘”的概念，并是全球第一个专注WLAN产品的研发与设计的跨国企业。ARUBA已经在美国、欧洲、中东和亚太地区建有分支机构，员工更是遍布全球各地。ARUBA非常重视中国市场，已在北京、上海、广州、成都分别开设了办事机构，并在北京设立了7*24小时的技术支援中心，全力拓展中国市场。0ARUBA以开发出第一个模块移动系统的著称，该系统可集中控制所有接入、安全和移动服务，可使企业不间断、可衡量、无断裂地从固定网络转到移动网络。0同时公司也与阿尔卡特、AT&T、IBM、惠普以及NCR公司建立了全球战略销售和服务合作关系。0ARUBA先进的新一代WLAN解决方案自2003年推出后，就成为下一代W

7、LAN网络演进的先驱者所推崇的解决方案，至今已经获得Google、Microsoft、SAP、Yahoo、BEA、Yale等3000多家的商业应用，这些客户遍布全球各地，其中包括了目前世界上最大的企业和大学WLAN网络（Microsoft和OHIO University）。ARUBA借助最新的发明的新网络体系结构，为客户带来“移动边缘”，可以满足IT管理人员的最关心的三个问题移动性、安全性和整合性。0代表了对无线网络的发展的未来趋势，而不仅仅是建立无线局域网。0ARUBA的“移动边缘”拓展了企业的网络范围跨越了局域网、广域网和互联网使用户无论身在何处都可以安全访问企业信息和未来的语音服务，而企

8、业也可以在无线局域网基础之上开发新的应用。0采用ARUBA“移动边缘”解决方案后，可以无缝覆盖现存的企业网络，未来可将企业中心、地区和分支机构的网络以及在家中、酒店的远程企业用户联系起来。ARUBA“移动边缘”的解决方案可以提供以下几种优势： 为企业用户提供迅速、简便以及经济的提供移动数据接入服务，未来拓展语音多媒体服务 为移动型企业提供安全的解决方法，使有线网络同无线网络同样的安全 与现存有线基础设备可以完全整合对接，保证了网络的安全与稳定 通过统一网管，降低资本和运营成本，大幅提高的网络的经济性 为用户和服务未来的增长提供坚实而灵活的基础第2章. 需求分析2.1. 建设目标XXXXXXXX

9、XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX通过本项目的建设，将为XX集团公司提供更好的移动平台，为更多的无线应用打下坚实的基础。2.2. 设备需求第3章. 无线网络系统设计概述3.1. 无线网络设计原则1、高性能。无线网络系统能够适应今后高带宽的要求，满足日益增长的业务量需求，这些需求不但包括今后巨大的业务数据量，同时也包括音频、视频等的需求。2、高可用性。无线网络系统具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。系统具备在线故障恢复能力，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。3、可管理性。可以对网络进行在线监控，随时了解无

10、线网络的“健康状态”，快速定位并排除故障，根据需要优化网络，更合理地对网络进行配置及资源分配，提高网络的利用率和性能。4、安全性。无线网络系统提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施，能够有效地防止系统外部人员的非法侵入。5、可扩展性。应用的不断发展要求网络在性能、协议、网络拓扑及各种业务等方面具备很好的可扩展性。在无线网络设计及选择设备时应完全满足目前的应用需求，同时充分考虑今后较长时间内应用发展的需要，网络系统应能方便地升级。6、开放性。无线网络系统应采用国际标准。无线网络体系结构与系统应用相互独立，支持各种通讯协议，各种数据库和客

11、户机/服务器应用，与现有的LAN网络系统无缝地集成。7、经济性和实用性。完全从目前的应用需求出发，设计既能够满足目前的应用需求又能面向未来的应用需求升级的网络系统方案，同时又要保证提供服务时的经济性。在满足系统功能要求的前提下，尽量降低建设成本，考虑今后升级时设备的可持续使用，保护用户投资。3.2. XX集团公司无线局域网的整体设计定位ARUBA认为XX集团公司无线网络建设应当“面向未来，统一规划，分步实施”，XX集团公司当前正处于大规模的基本建设中，无线网络作为一种重要的网络基础设施，必然也是未来基本建设的重要组成之一。无线网络建设应站在一定高度，本着满足未来510年无线迅速增长和安全的需求

12、出发，应当具备以下功能： 第一，无所不在的无线接入网络l 提供真正的移动性，无线企业网络吸引人的一个特点是移动性用户可以在室内室外，办公室、会议室之间自由移动并和网络保持持续连接。允许用户在企业覆盖区内无缝漫游，无需频繁地登陆和退出。高速无线的方式覆盖整个企业办公区域，让企业员工体会到无线局域网给带来的好处和便利。l 大规模部署无线网络还可以作为有线网络的链路备份，在有线网络发生故障或者拥塞的情况下负担部分网络流量。第二，随时随地的远程安全无线接入l 随着企业变得更加虚拟化、更富有协作性并且更加分散，依赖于分布在不同地点的合作伙伴、供应商和移动员工共同组成的扩展型网络需求大量增多，这时，单单满

13、足他们对数据通信的要求是远远不够的现有的大多数移动办公解决方案都仅仅解决了数据通信的问题，并没有在真正意义上解决企业话音通信和多媒体协同办公的问题。话务费用的大量攀升让企业管理者头疼不已，如何在不增加大量费用的前提下，有效及时的联系到出差人员也成了棘手的问题。在保持业务快速增长的同时,如何更好的加强和提高分支机构员工的协作性和效率,成为了许多企业共同的需求。我们可以看到，在为移动办公提供数据通信的同时，更提供实时的有可靠保证的话音通信和多媒体协同服务，正是移动无线办公技术发展的新方向。l 远程AP 能很简单地通过互联网从远程位置连接到位于企业总部的移动控制器。应能适合小型远程办公室、家庭办公室

14、、远程办公和移动办公者，通过在用户可以找到互联网连接的以太网端口的任何地方，启用天衣无缝的企业无线数据和语音，它可以将移动边缘扩展到所有远程位置。第三，安全可靠无线网络l 无线网络更需要注意安全性，以为整个无线网络暴露在空气之中，都易受大量安全风险和安全问题的困扰。因此，建设无线网络一定要注重无线侧安全的建设与保护，其中包括： 1. 来自无线网络用户的进攻； 2. 未认证的用户获得存取权； 3. 来自外部的窃听，4.来自无线专用工具的攻击。建成的无线网络很好地融合进原有网络安全解决方案体系中，并根据无线网络的安全技术特征，补充具有多层次的安全保护措施，以满足用户身份鉴别、访问控制、可稽核性和保

15、密性等要求。第四，无线网络的实时管理l 统一方便容易管理管理。IT网络管理部门需要管理上很多员工以及行政人员。因此尽可能通过网管工具开展配置和网络监控工作，迅速发现和解决问题。无线网络管理软件应能统一管理所有无线AP和交换机，且能合理分配各种网络资源。对无线网络攻击进行管理和压制。l 从设备管理角度来说，需要对各种无线设备的放置地点、配置参数等信息进行详细记录与管理l 从安全管理角度来说，需要具备发现和快速处理假冒AP与无线DOS攻击的方法和能力。l 从性能管理的角度来说，网管能充分了解和分析无线网络的一些具体性能指标，如Channel 信号强度/质量、网络实时性能吞吐量、各AP的流量等。 第

16、四，提供便捷的无线网络应用环境l 无需配置客户设备。当用户试图连接到网络时，无线网络自动分析用户的网络配置，并提供连接，使用户直接连到网络而无需安装特殊的软件并更改自己的网络设置。自动化的服务减少了 IT 用户和管理员的时间。 l 无线网络还能兼容全网的设备，包括 PC 机 , Macintoshes, 袖珍 PCs, 掌上电脑PDA等多种多样的网络设备，具备和各种设备协同工作的能力。 l 多种服务的支持：无线网络的发展与最初有线网络的发展一样，需要有一些关键性的应用在网络上运行，应用才是无线网络发展的最大动力。基于校园网络的未来可持续发展，无线产品均具备可适应未来发展企业无线宽带应用（如无线

17、语音应用、无线视频会议应用、无线多媒体通信应用等）的需要，并提供低成本的无缝升级和前后兼容。3.3. XX集团公司无线局域网整体架构无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外，基本上没有其它功能。第二代无线局域网技术，采用AC智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量

18、的网络和安全的配置，包括加密的钥匙，Radius client的安全密钥等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以ARUBA为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，ARUBA是采用独立的无线网络交换机实现的。作为第三代的ARUBA无线系统采用了Wireless SwitchAP构架，将密集型的无线网络和安全处理功能转移到集中的 W

19、LAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝漫游以及QoS保证等。对于未来整个XX集团公司无线局域网覆盖的需求，本方案建议采用ARUBA的WLAN 产品（室内AP远程AP），采用集中式、可管理架构的无线局域网解决方案来实现未来企业的无线覆盖要求。3.3.1. 一体化远程办公解决方案从市场和经营的眼光看，企业需要扩大业务覆盖范围、提高生产工作效率，加快对市场变化的反应能力，以增加企业在市场竞争中的活力。利用廉价方便的连接线路、尽可能多地将分布在远程机构、居家旅行中的企业员工以安全可靠的方式连接在企业私有的业务通信系统上，因此变得非常有意

20、义。企业的每个员工都可以在任何地点，任何时候，方便安全地连接到企业总部的通信系统上，就像工作在总部的办公室一样，利用其熟悉的数据和话音通信系统，及时地完成业务处理和有效的内部沟通。企业能够将更多的有效工作的员工连接起来，所以企业获得了更大的效益和产出。这些，无疑已成为企业信息主管在考虑企业信息化系统如何为提高生产效率进一步发挥作用的一个重要关注点。Aruba新一代的远程和移动有线加无线办公通信系统，由于采用VPN技术、话音/数据QOS保证技术，以及安全保障技术的支持，使得在远程和分散环境下的企业通信系统发生了本质的变化。Aruba公司清楚地认识到，在今天竞争激烈的市场上，企业用户成功的关键是在

21、提高生产率的同时降低生产运行成本。我们针对企业面临的远程通信困难，提出远程和移动办公新天地的策略，将先进的WLAN技术和产品，有机地融入各个机构和企业的远程通信解决方案中，实实在在地帮助企业突破远程业务通信的瓶颈。l 无线移动办公ARUBA一体化无线局域网办公解决方案，不但能在企业总部做到无缝覆盖，同时兼顾了各类企业的分支节点和移动办公人员。整个一体化网络的企业员工可以利用Internet网对企业内部网进行远程访问，并能使用VOWIFI的话音应用。使企业办公范围扩展得更大，员工能与企业保持联系并获取企业的最新情况。企业的每个员工只要携带有配置好的远程AP，都可以在任何地点，任何时候，方便安全地

22、连接到企业总部的数据或话音通信系统上，就像工作在总部的办公室一样，利用其熟悉的话音通信和办公系统，及时地完成业务处理和有效的内部沟通。企业能够将更多的有效工作的员工连接起来，所以企业获得了更大的效益和产出。这些，无疑已成为企业信息主管在考虑企业信息化系统如何为提高生产效率进一步发挥作用的一个重要关注点。在今天竞争激烈的市场上，企业成功的关键是在提高生产率的同时降低生产运营成本。ARUBA针对企业面临的远程通信困难和高额费用，将先进的技术和产品，有机地融入各个机构和企业的一体化远程无线局域网解决方案中，实实在在地帮助企业突破远程多业务通信的瓶颈。新一代的远程移动无线办公系统，由于有了WLAN技术

23、、VPN技术、数据/话音集成技术，以及安全保障技术的支持，使得在远程和分散环境下的企业通信系统发生了本质的变化。企业通信网的覆盖区域从企业的局域网延伸到Internet的任何角落。当员工在企业总部、远程分支机构、居家办公和出差在外的各种环境中时，为他们提供跟办公室一致的数据/话音通信环境。从此无论您身在何处，您的网络办公环境时刻与您相连，方便、灵活、快捷、安全、高效的使用协同办公功能。部署在远程分支节点和移动家庭用户的AP设备配置非常简单，几乎是是即插即用。对远程设备的配置和调整，则是由企业总部的网络管理工程师通过提前配置完成。比传统企业网络互联的设备配置会更简单、易行，因此大大降低远程机构在

24、维护系统的技术支持能力要求。从广泛的意义上看，ARUBA的远程AP移动办公方案，是利用Internet构建企业话音/数据一体化Intranet信息化系统的一种应用方案。其倡导集中和分散相结合的一体化业务通信模式，因为简单、安全、经济、实用，适应市场快速发展需要，已被全球许多用户所采用。采用了分散的多媒体远程办公、居家办公的政府机构和企业，向众多员工提供轻松的远程办公环境，企业内部员工沟通顺畅，处理业务及时，实实在在地保障了企业的工作效率和生产率，为经济的持续稳定发展提供了有力的通信保障。l 有线移动办公前面阐述了通过Remote AP的方案解决远程分支机构或居家人员的无线接入解决方案。Arub

25、a同时可在无线控制器还提供了VPN功能，提供远程用户在无法完成无线连接时，通过有线安全灵活的连接到公司内部网络中来。而只需增加仅仅是VPN license，并且没有任何人数上的限制。通过VPN连接机构或企业的远程移动通信方式，是非常灵活和经济的。出差旅行的您可以非常方便地在酒店或会议中心的Internet接入点，利用安装在PC上的Aruba VPN客户软件安全地连接到企业Intranet。从此工作在偏远分支机构的员工，将不会因为地域的分割而远离企业高速运转的业务信息系统。ARUBA远程/移动办公解决方案与传统通过远程拨号系统(RAS)的另一个本质区别是它有效地集成了办公环境中非常重要的话音通信

26、业务。事实上在今天企业的办公环境中，话音和计算机数据通信，已经是所有员工有效工作的基本环境。固定电话、移动电话等多样化的话音通信的手段虽然在一定程度上满足了员工通话的基本要求，但是一种与办公室内部电话系统统一的廉价电话系统，依然吸引大量用户。因为，您只需要记住企业内部的电话号码，您就能在任何时间和地点，连通企业内部的每个员工。分布在企业远程机构，居家办公，或者在出差旅行途中的企业员工都可以利用基于SIP的IP软电话或WIFI电话，像拨打企业内部电话一样方便地与企业中的所有员工通话。对习惯使用普通电话的远程办公人员，使用连接在数据网络上的SIP软电话或WIFI电话和传统电话几乎没有差别。从广泛的

27、意义上看，Aruba提出的创新远程/移动办公新解决方案，是利用Internet构建企业有线/无线、话音/数据一体化Intranet信息化系统的一种应用方案。其倡导集中和分散相结合的一体化业务通信模式，因为简单、安全、经济、实用，适应市场快速发展需要，已被全球许多用户所采用。采用了分散的远程办公、居家办公的政府机构和企业，能向众多员工提供轻松的远程办公环境，企业内部员工沟通顺畅，处理业务及时，实实在在地保障了企业的工作效率和生产率，为经济的持续稳定发展提供了有力的通信保障。3.3.2. 安全保障的无线网络的重要性ARUBA从网络设计者的角度来看，对于XX集团公司大规模部署无线网络，必须对无线网络

28、的安全性加以重视，ARUBA建议从以下几方面做到全方位的安全保证：l 集中的安全管理ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测IDS以及RF 电磁波管理等多项安全功能汇聚到ARUBA无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。l 多种用户认证方式组合在ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种

29、用户认证的方式（802.1X、WEB认证、MAC、SSID等），企业用户可以根据需要方便选择。l 无线访问控制（可选license模块）用户状态防火墙是ARUBA无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如领导和工作人员可以使用更多的服务，而访客只可以浏览网页、收发Email等，这样可以

30、极大方便企业用户的安全管理。l 安全的AP技术ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在ARUBA无线交换机上实现。由于ARUBA的AP是不储存任何网络配置（IP地址除外）和安全设置，因此ARUBA 管理的AP是不能单独工作的，因此获得或接入ARUBA的AP，黑客也不会拿到无线网的网络和安全配置参数和信息。l 无线接入点安全侦测和保护采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测企业无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统，网络安全管理人员

31、可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。l 无线网络入侵侦测IDS（可选license模块）今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对企业、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无

32、线入侵模式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。l 无线接入的病毒防护（可选license模块）ARUBA无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端连接到ARUBA无线系统中，试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用

33、户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。ARUBA公司和第三方的防病毒墙厂家合作，在ARUBA无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据，ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。基于上述两个层面，ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。3.3.3. 支撑未来多业务应用的无线基础网络随着技术手段的不断

34、进步，企业无线网络一定会需要支持多媒体融合应用，包括组播，VOD，IP视频监控，以及WIFI Phone等等，无线企业网解决方案对未来的发展一定要具备很好的前瞻性。ARUBA认为应从以下几点考虑无线网络的多业务应用发展。l 带宽控制与服务质量保证QOSARUBA无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务，ARUBA系统亦可透过ARUBA无线交换机设置定义不同的QoS队列。例如无线语音的应用，SIP和RTP协议可设定在高的队列，而一般应用如http、ftp则可设定在低的队列。例如语音视频这样

35、对于时延敏感的业务，目前，经过中国网通、中国赛尔公司对几家WLAN设备厂商的设备测试结果表明，ARUBA的无线网系统以其完善QoS特性在测试中表现最佳。l VoIP与WI-FI Phone随着VoIP的越来越普及(如Skype,等)，基于SIP的Wi-Fi电话未来将迅速变为企业内的员工之间、领导之间话音联络的主流。Wi-Fi电话除了办公室和会议室之间等不同AP之间漫游外，用户亦可在其它有Internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。很多手机厂家已开始推出双模制式的

36、手机(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。ARUBA的无线交换技术已经证明很多业界VoIP系统在ARUBA系统上成功的运行，且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延， AP呼叫的容量，和漫游切换时间。 尤其语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些AP，而必须是有规范的组建无线局域网。ARUBA无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的用户和Wi-Fi手机用

37、户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 ARUBA无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在语音安全接入方面，ARUBA可防止没有无线语音权限的用户使用无线语音，以确保网络资源能有效运用。l 无缝的三层漫游ARUBA 无线能够让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游，而且不会丢失连接，也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延

38、迟。而ARUBA的handoff性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。第4章. 无线网络系统详细设计根据XX集团公司无线网络需求和无线网络设计原则，结合ARUBA无线系统技术及产品的特点，方案的设计分为：无线组网方式设计、多业务区分设计、网络安全防护设计、移动漫游、网络及用户管理、兼容性等部分。4.1. 无线组网方式设计根据XX集团公司无线覆盖的分布和建筑平面，公司总部的室内无线局域网初步配置如下：采用1台配置ARUBA 2400无线控制交换机（每台最多可支持48个AP）。2400交换机通过千兆接口直接连接网络核心

39、交换设备，由于采用双链路结构，任何一台核心交换机发生故障，都不会影响AP和无线控制交换机之间的通信。在接入侧，采用ARUBA的18个AP作为无线接入点，通过POE的接入交换机或者AC电源连接至核心交换网络。AP和交换机之间的网络结构无需考虑，如果是L2结构，AP通过DHCP拿到地址后，通过广播包找到无线控制器；如果是L3，AP通过DHCP拿到地址以后，通过DNS或者HDCP的43属性，获得主用和备用的无线控制器地址，然后跟无线控制器直接通信（具体描述请见后面章节）。无线网络管理员可通过中心配置的集中网管，对全网的AP和交换机进行有效的管理。在各分公司分布部署2个AP并在部分领导家中部署远端AP

40、（共22个远端AP）：Aruba 移动控制器可以通过Internet网连接到远程位置的指定 Aruba 接入点 (AP) ，并在任意需要的地方天衣无缝地通过互联网扩展企业 WLAN。0用户在家庭办公室、远程办公室或任何其它位置的办公体验和在企业总部完全相同。0使用 IPsec 协议和 Aruba 移动控制器进行远程 Aruba AP 通信，该协议通过在互联网上部署虚拟专用网络 (VPN) 连接而受到广泛信任。0这种基于标准、终端到终端的加密支持可以将远程 AP 直接插入连接到互联网的 DSL 路由器，这就不再需要在远程位置安装移动控制器。0企业的语音无线电话通过远程 Aruba AP 连接，并

41、好像它们就在中心企业站点中那样进行运作。0Aruba 启用 QoS 和语音协议识别的体系，甚至可以在远程连接上提供一种长话级品质的语音体验。0此外，它还提供了安全功能，例如加密和策略执行防火墙，这保证了对所有语音通信提供高级别的安全以防止窃听。使用 Aruba 远程 AP，网络中心管理员可以访问所有远程 Aruba AP 参数，例如操作信道、无线电类型、 SSID 、 BSSID 和所有相关客户机，并可以集中更改配置。 此外，网络管理员可以查看详细的客户机状态报告，这些报告显示了客户机 MAC 地址、客户机制造商、信道、无线电、状态以及最后活动日期和时间。 远程连接的 Aruba AP 使用现

42、有客户机上的 802.1x 申请者运行，通过对所有客户机和移动控制器之间的认证信息进行 Ipsec 加密来提供安全认证。 远程 AP 支持终端到终端，即从客户机到移动控制器的 WPA2 和 802.11i 安全，不管客户机是有线还是无线。 在认证成功之后，在 Ipsec 内部对所有的通信进行隧接或加密。 这样就不需要安装和维护一台 VPN 客户机或在远程机器上下载一个临时 SSL VPN 客户机，大大减轻了管理成本。 远程 Aruba AP 从 Aruba 移动控制器下载它的配置和安全策略。 这消除了错误配置安全策略的风险，同时在远程位置也不再需要技术专家。 在远程 AP 上没有存储任何安全证

43、书，因此即使 AP 丢失或被窃，也不存在破坏安全的风险。 远程 Aruba AP 与用户属性（例如认证方法、应用程序、设备类型和移动控制器中的可用策略执行防火墙模块）进行通信。 该通信提供了高度的团状和动态安全策略，大大改良了企业 WLAN 的安全状态。 例如，可以限制远程用户使用特定的应用程序或网络资源。 这项高级功能允许职员通过远程 AP 安全连接到网络，而无需考虑用户位置，因为用户安全策略将始终跟随他们。 Aruba 远程 AP 为分支机构和家庭办公室提供了安全的移动连接，是一种理想的解决方案。 并且提供良好的多业务支持能力。极大节约了公司的运营成本，也方便了联系领导。 4.2. 多业务

44、区分设计从XX集团公司的用户分类与分布情况分析，使用无线网络的用户主要分成以下几类：（1）企业员工与领导；（2）访客；使用无线网络可以分为不同的无线接入业务类型。因此，建议在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端

45、在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一个SSID内同时存在的。XX集团公司可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID，例如：一个定义为通过WEB门户的方式为访客使用，另一个SSID则为TKIP(WPA)专为内部员工使用。未

46、来的发展趋势是新增设一个802.11i加密的 SSID让员工以过度的方式逐渐从转移到这个SSID上。要注意的是SSID可以覆盖全网，也可以只局限于企业网内的某些范围。一般的情况下是全网开通，例如：客人(Guest)使用的SSID；但有些SSID则可能供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。企业领导、企业工作人员属于企业内的固定用户，可以采用专门的SSID，可以采用级别较高的认证和加密手段，对于来宾、参加会议人员和来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务

47、。ARUBA无线控制器内置强大的PORTAL登录界面可以通过网络管理灵活简洁的进行客户化，进行广告招商，登录页面推送，欢迎页面推送等多种模式以配合XX集团公司的商务活动策划。当访客来到无线覆盖区域的时候，开启笔记本电脑的无线网络，可以搜寻并且连接XX集团公司的无线网络系统，当打开IE等网络浏览器的时候，会自动弹出Aruba的网页认证界面，可以有以下几种方式来控制访客的上网流程：访客需要填写帐号名和密码，通过认证之后能够接入XX集团公司的无线网络，访问更多的Internet资源，但是无法访问内网资源；通过ARUBA提供的客户化Web Portal认证功能,可很好的为外来访问者提供接入网络的可能。一种为前台人员设计的独特的简化用户生成系统，带有到期时间和预设接入控制的临时客人ID。这样，方便灵活的完成了,对访客的访问XX集团公司网络资源的要求。4.3. 无线安全性设计4.3.1. 无线网络的安全保护和检测由于无线终端接入是没有明确物理位置限制的，所以管理方极难用固定的网络防火墙设备来防范无线连接(防火墙一般很少会设置在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的通信，所以万一有