制造业无线局域网系统技术方案.doc

资源描述

ARUBA制造业无线局域网系统技术方案 1. xxx制造业无线局域网建设需求 4 1.1 项目背景 4 企业概况（略） 4 CDC/RDC库房无线覆盖规划 4 1.2 无线局域网的应用需求 4 网络部署需求 4 1.3 无线局域网部署的总体目标 6 强可管理性 6 高安全性 6 真正的移动性 6 支持多业务 6 2. xx企业无线局域网设计原则和参考技术指标 7 2.1 遵循标准 7 2.2 技术成熟 7 2.3 易管理易维护 7 2.4 安全可靠 8 2.5 参考的技术指标 8 3. xx企业无线局域网系统设计和实施方案 9 3.1 整体系统架构设计 9 3.2 无线覆盖建议 10 3.2.1 室内覆盖统计 10 3.2.2 室外覆盖统计 13 3.3 网络安全管理措施 13 3.4 用户认证方法 13 3.5 设计方案特点 14 4. 设备清单 14 5. Aruba“移动边缘”解决方案的技术特点 14 5.1 先进而成熟的无线局域网交换架构 15 先进的无线局域交换机 15 灵活的组网方式 16 优秀的扩展性 16 无需更改有线网结构 16 方便地无线网络规划设计 17 5.2 方便而强大的网管功能 17 集中式管理 17 无需安装客户端软件 18 RF智能控管 18 多个SSID结构 19 故障自动恢复 19 网络负载均衡 20 无线终端定位 20 无缝的三层漫游 20 5.3 具有安全保障的无线网络 21 集中的安全管理 21 多种用户认证方式 21 独特的无线访问控制 21 安全的AP技术 21 无线接入点安全侦测和保护 22 无线网络入侵侦测 22 无线接入的病毒防护 22 1. xxx制造业无线局域网建设需求 1.1 项目背景企业概况（略） CDC/RDC库房无线覆盖规划背景：xx企业公司的RDC和CDC库房进行无线网络建设。建设情况分为两个部分：在总部的一个地点的4个地方建立CDC库房，而在全国其它城市约70个地方建立RDC库房；基础网络状况：CDC库房由于地处总部，属于我公司企业网覆盖范围；各RDC库房由于地处外地，目前没有进行企业网接入，但我公司将以专线或基于互联网的VPN组网方式将其接入公司企业网。需求：需要对以上的各库房进行无线网络建设，各库房内外将有多个手持无线终端对公司成品进行条码扫描，并依赖于这些无线网络进行无线数据实时传递到绵阳总部核心数据服务器的成品条码应用系统。无线局域网方案将根据以上信息制定。 1.2 无线局域网的应用需求网络部署需求 xx企业的无线局域网部署需求如下： 1. 在CDC库房可采用“瘦AP”的方式进行各库房完全室内覆盖，并且对两侧库房之间的室外通道也进行室外完全覆盖； 2. 各RDC库房除室内完全覆盖外，库房的进出货大门附近也要进行覆盖（各RDC没有平面示意图，需要根据估计进行比较充分的设计）； 3. 管理方面：要实现整个无线系统的统一集中管理（RDC库房的无线设备可以另外考虑），对各个无线设备的入网具备认证手段，对无线终端（例如无线条码扫描手持终端）具有以MAC地址和账户（RADIUS等后台服务器支撑）统一认证的手段； 4. 技术方面：可以考虑802.11b的方式，同一地点无线终端可以在各个AP间无缝漫游； 5. 施工费用：请对CDC库房和RDC库房的实施费用分别进行核算； 6. 请根据以上信息制定方案、产品清单、报价（包括列表价/成交价），若存在一套以上的方案，请一并附之。 7. 无线AP通过有线网络接入层交换机进行企业网接入，无线AP支持基于以太网的馈线电源和本地电源，无线AP可通过Telnet和Web进行管理和升级。 8. 要求无线AP符合IEEE 802.11b/g和IEEE 802.1X的技术标准；支持包括LEAP、PEAP、EAP-TLS等扩展认证协议的所有802.1X认证类型；支持无线手持终端通过RADIUS（CiscoSecure Access Control Server）集中进行MAC地址的认证；要求无线AP配合无线手持终端使用WPA（Wi-Fi Protected Access）协议和暂时密钥完整协议（TKIP）； 9. 要求使用CISCO ACS（Cisco Secure Access Control Server）对无线终端进行802.1X帐户认证；要求同一时间一个帐户只允许一个终端入网；要求在RADIUS服务器上设置多个分组以控制不同的用户访问不同的网络资源；要求实现对RADIUS服务器上的用户帐户、用户组以及系统配置等数据信息的自动备份和恢复；要求实现两个CISCO ACS之间的用户帐户和用户组的互备。 10. 要求无线网管系统支持AP快速配置、监测AP和无线终端的状态、通过EMAIL自动发送报警或错误报告；要求无线网管系统对各个AP进行功率自动调整，以达到最优覆盖效果；要求无线网管系统能够定位AP位置，并自动生成覆盖效果图和网络拓扑图。 11. 要求在每个仓库内进行无盲点的完全无线覆盖；要求手持终端在同网段的AP间无缝漫游，漫游中丢包数量低于3个（不包含3个），漫游中手持终端的Telnet应用不可中断。 12. 产品符合自身技术参数规范。 1.3 无线局域网部署的总体目标强可管理性具有强可管理性是企业网络部署的关键指标。对网络进行管理、维护以及进行故障处理的方式方法决定了网络管理人员的工作量，缺乏可管理性的网络不仅仅增加了网管人员的工作量，而且间接影响着网络的安全和性能。无线网络中的网络配置复杂，设备部署分散，从无线频谱规划，无线AP的布点，到用户的接入、认证和计费，以及数据的加密，承载各种应用的带宽分配等，往往需要在各种设备之间进行参数设定。具有易操作性、可交互性的图形化网络界面，简化管理网络的步骤，减轻无线频谱规划工程的压力和网络日常维护的成本，在出现问题的时候能够提供较方便的故障排除手段，是强可管理性的表现。高安全性网络安全性能可靠也是企业级网络的一个重要指标。用户可以根据网络的情况选择不同安全级别的无线网络进行接入，在数据链路层、网络层、应用层等多层加密的通道中进行数据传输。通过拒绝非授权用户进入网络占用资源的同时，保障合法用户的信息私密性。同时对于不正常的网络行为能够有相应的监控和管理措施，能够通过网络日志系统结合事后审计系统来进行网络的安全控管。真正的移动性支持无缝覆盖环境内的快速移动切换是新一代无线局域网络的特性。在满足连续无缝覆盖的无线网络环境中，支持不间断的业务服务是实施移动办公的基本需求，完美解决用户的无线重新关联，重新认证，加密密钥分发等问题，确保移动情况下的安全与网络性能，才能够真正支持用户的切换，从而实现全网的移动性。支持多业务单一数据上网为主要应用的网络部署模式已经无法适应飞速发展的移动办公需求，支持QoS的无线局域网能够为企业网络环境提供更多的增值业务而成为了无线网络部署中不可或缺的目标。 2. xx企业无线局域网设计原则和参考技术指标 2.1 遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。本投标书提出采用美国Aruba Wireless Networks公司的“移动边缘”解决方案，完成xx企业无线局域网系统项目。该解决方案采用了目前业界先进的第三代无线局域网架构的产品，知名厂家阿尔卡特Alcatel就是OEM Aruba公司的产品，同时世界上著名的IT公司微软在全球范围内部署的无线局域网采用的也是Aruba的产品，足见该解决方案的先进性和成熟性。 2.2 技术成熟无线局域网系统应该具有以下特点来体现采用技术路线的成熟可靠： 1. 支持相应的各种国际标准或普遍使用的工业标准； 2. 支持实时和非实时数据传输，支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证； 3. 实现无线语音设备和无线终端的实时移动通信和跨IP域的无缝漫游； 4. 实现对射频的集中管理和控制； 5. 可根据用户的身份认证进行防火墙策略的控制； 6. 符合国家关于无线网络安全标准和管理条例； 7. 具有高可靠性、可用性； 2.3 易管理易维护无线网管系统需要集成相应无线网络管理功能，能够支持和已有的CA网管系统的集成，实现在单一平台下的统一管理。提供的无线网管系统能够完成对无线网络的监视和控制，保障无线网络安全，查找并隔离网络故障，记录无线网络中的各种事件等。可以管理本项目中提供的所有节点，检测它们的网络性能和系统运行性能。提供的无线网管系统不仅能进行无线网络设备及IP层的流量监视，而且随着无线网络规模的不断扩大及运行于网络上的应用不断增多，还可以通过对应用流量的分析监视应用软件的运行情况。另外，无线网管系统还要能够满足以下要求：开放性支持：管理应用对外开放，可以使用任何资源及进程，即使是其它网络应用的进程，也能进行横向调用。具备企业管理能力：无线网管系统能够管理无线网络中的所有网络设备，具备支持下列能力： 1. 可扩展性：有能力满足用户的应用以及未来的无线网络扩展需求，为无线网络将来的升级留有余地； 2. 集成界面支持：无线网络管理工作站能以图形方式显示网络设备之间的逻辑拓扑结构，网络的连接状态，每个网络设备的面板图形及指示灯状态等，并用图形方式配置网络参数和管理网络设备； 3. 无线网络设备的自动查找支持：应具有自动查找无线网络设备的能力，无线网管系统可自动发现并配置无线设备。 2.4 安全可靠 1. 用户认证：支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN 认证、802.1X、MAC地址等认证方式，支持外置的Portal服务器和外置的AAA服务系统，支持标准的LDAP目录服务器（ldapv3），内置数据库。 2. 数据加密：支持静态和动态WEP，TKIP（WPA），WPA2，AES、SSL、TLS、RSA等加密机制。 2.5 参考的技术指标无线局域网的建设的技术指标如下： 1、采用无线局域网交换技术及无线局域网交换体系结构。 2、充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。 3、采用集中控管的组网方式，集中控制管理所有的AP。 4、AP的供电不单独拉线，采用POE供电的方式。 5、采用先进的网管系统管理无线局域网。 6、建立安全的无线局域网络。 7、提供高质量的QoS保证，以达到对多媒体及语音的支持。 8、充分考虑无线局域网的安全性，采用先进的安全技术保障。 9、无线局域网系统要能方便和灵活地调整与扩充。 3. xx企业无线局域网系统设计和实施方案 3.1 整体系统架构设计整个公司的库房分为CDC和RDC两大类，其中CDC库房在公司总部的统一地点，而RDC库房分散在全国各地，为了保证无线局域网系统的可用性，分布在不同地点的AP考虑独立成网，但是需要进行集中式的管理和配置。在公司总部的CDC库房的所有AP均连接回到位于绵阳的总部，总共近48个AP通过GRE隧道接入数据中心的无线交换机；同时分布在各地的AP汇聚到当地的无线交换机，并且通过站点到站点的VPN汇聚到绵阳总部。在此架构下，如果当Internet链路断开的时候，也不会有失去无线覆盖的情况，通过绵阳总部无线交换机的管理，相关无线网络的配置会分发到全国各地的网络当中去。考虑AP的覆盖能力，冗余设计，接入容量，以及无线交换机的功能设置，整体系统架构符合以下几点： 1. 覆盖库房的AP数目不足2的按照部署2个AP来考虑； 2. 各个RDC库房无线交换机以ARUBA200为主，通过VPN接回到总部； 3. 总部部署ARUBA2400进行本地无线网络接入和全局无线网络配置管理。具体拓扑连接图示如下： Internet 安全的有线接入安全的无线接入四川绵阳企业总部 RDC库房 Aruba 200 移动控制器二/三层以太网交换机 Employees Partners Contractors Guests PCs Laptops PDAs VoIP Scanners RFID 3.2 无线覆盖建议 3.2.1 室内覆盖统计由于缺乏实地勘测和具体的数据，按照常规标准室内AP覆盖30~50米范围来计算，使用库房面积除以1600计算，不足1的均按照2来计算（冗余设计），具体覆盖情况需要按照实地勘测后决定，估算的数量要浮动10%左右。绵阳总部的CDC库房需求数目约为48个。各地RDC库房的AP数目如下表：库房编码面积M2 width Length AP 数目 1 700 40 18 0.4375 2 2 2500 40 63 1.5625 2 3 9820 120 82 6.1375 7 4 6500 120 54 4.0625 5 5 10750 120 90 6.71875 7 6 9870 120 82 6.16875 7 7 850 40 21 0.53125 2 8 3300 40 83 2.0625 2 9 2200 40 55 1.375 2 10 1150 40 29 0.71875 2 11 730 40 18 0.45625 2 12 11800 120 98 7.375 8 13 1600 40 40 1 2 14 13900 120 116 8.6875 9 15 4600 40 115 2.875 3 16 6529 120 54 4.080625 4 17 1900 40 48 1.1875 2 18 2150 40 54 1.34375 2 19 14650 120 122 9.15625 10 20 9350 120 78 5.84375 6 21 2300 40 58 1.4375 2 22 3150 40 79 1.96875 2 23 2100 40 53 1.3125 2 24 6000 120 50 3.75 4 25 6650 120 55 4.15625 4 26 1800 40 45 1.125 2 27 1460 40 37 0.9125 2 28 4200 40 105 2.625 3 29 2550 40 64 1.59375 2 30 3100 40 78 1.9375 2 31 1000 40 25 0.625 2 32 5000 120 42 3.125 3 33 900 40 23 0.5625 2 34 3700 40 93 2.3125 2 35 2400 40 60 1.5 2 36 3800 40 95 2.375 2 37 4500 40 113 2.8125 3 38 4860 40 122 3.0375 3 39 7100 120 59 4.4375 5 40 4139 40 103 2.586875 3 41 10300 120 86 6.4375 7 42 6500 120 54 4.0625 4 43 6700 120 56 4.1875 4 44 24416 120 203 15.26 16 45 1820 40 46 1.1375 2 46 6910 120 58 4.31875 5 47 3150 40 79 1.96875 2 48 14800 120 123 9.25 10 49 8750 120 73 5.46875 6 50 11262 120 94 7.03875 7 51 6900 120 58 4.3125 4 52 3500 40 88 2.1875 2 53 7728 120 64 4.83 5 54 1950 40 49 1.21875 2 55 4359 40 109 2.724375 3 56 4820 40 121 3.0125 3 57 9500 120 79 5.9375 6 58 9200 120 77 5.75 6 59 7300 120 61 4.5625 5 60 2150 40 54 1.34375 2 61 1100 40 28 0.6875 2 62 6800 120 57 4.25 5 63 3000 40 75 1.875 2 64 3850 40 96 2.40625 3 65 1950 40 49 1.21875 2 66 950 40 24 0.59375 2 67 2100 40 53 1.3125 2 68 2400 40 60 1.5 2 69 10400 120 87 6.5 7 70 15000 120 125 9.375 10 71 10100 120 84 6.3125 7 72 1924 40 48 1.2025 2 73 1500 40 38 0.9375 2 74 3000 40 75 1.875 2 其中无线交换机需求为：总部一台ARUBA2400，各地库房ARUBA200共计61台，ARUBA800共计13台。最后的设备清单请见4。 3.2.2 室外覆盖统计室外和库房门口的无线覆盖情况由于没有进行实地的勘测，在估计情况下，可以建议每一个库房（包括CDC以及RDC）使用AP60加上天线的方式进行覆盖，在范围比较大或者室外环境比较恶劣的情况下也可以采用AP80M进行覆盖。 3.3 网络安全管理措施 Aruba无线网的安全管理系统实现如下功能：接入认证控制：验证用户，授权他们接入特定的资源，同时拒绝为未经授权的用户提供接入。确保链路的保密与数据的完整：防止未经授权的用户读取或更动在网络上传输的数据。监测和阻断无线攻击：防止攻击占用某个接入点的所有可用带宽，导致其他用户的正当接入。检测无线终端的防病毒状态：防止染有病毒的无线终端接入。 3.4 用户认证方法 Aruba支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN 认证、802.1X、mac等认证，支持外置的Portal服务器和外置的AAA服务器系统，支持标准的LDAP目录服务器（ldapv3），同时Aruba无线交换机内含一个Inter DB，可以直接使用该数据库创建用户帐户，更加方便用户的使用。根据用户的需求，建议用户的认证方式设计如下：从上网用户类型与应用类型情况分析，用户主要有：（1）办公人员；（2）移动终端。在方案实现上使用两个SSID：一个供办公人员使用，可以不用加密，只做基于WEB或802.1X的接入认证，另一个SSID供接入移动终端使用，该SSID被配置为隐含，不广播出来，采用WPA加密＋802.1x认证方式，确保此类用户的安全性。 3.5 设计方案特点 1. 各库房独立成网，通过绵阳总部进行统一配置和管理。 2. 统一的认证方式和加密方式，全面支持WPA和WPA2。 3. 无线频谱自我管理，AP之间支持负载均衡。 4. 设备清单无线局域网部署所需的设备清单（估算情况下）设备名称产品描述数量 Aruba 2400 1 Aruba 800 13 Aruba 200 61 Aruba AP61 支持802.11a or b/g 322 Aruba AP60 支持802.11a or b/g 78 相关天线 78对电源线 5V2A 400 5. Aruba“移动边缘”解决方案的技术特点无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外，基本上没有其它功能。第二代无线局域网技术，采用AC＋智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网络关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网络的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以Cisco、Aruba为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，Aruba是采用独立的无线网络交换机实现的。作为第三代的Aruba无线系统采用了Wireless Switch＋AP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网络管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。 Aruba无线系统不但具有一、二代无线产品所有的功能，并且在无线网络的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。在无线网络融合到有线网络方面，Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施非常方便。在无线网络管理方面，Aruba无线系统实现真正的集中控管，包括独有的RF智能调控，自动恢复、负载均衡功能，使无线网络可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端AP状态监测，方便实现对AP的管理；具有多SSID支持，实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面，Aruba无线系统具备多种用户认证、、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。在无线音视频应用方面，Aruba独有的基于每个用户的带宽控制和QOS保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得VoIP以及Wi-Fi Phone可以自由的在任意AP间切换，具有目前业界最低的时延。 5.1 先进而成熟的无线局域网交换架构先进的无线局域交换机作为第三代的Aruba系统采用了Wireless Switch＋thin AP构架，将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线局域网全新的功能：诸如：无线安全性、AP管理控制、RF站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的Qos保证，使得VoIP的应用，如Wi-Fi技术应用得到了飞速发展。灵活的组网方式第三代的Aruba产品可以根据从小型的无线网络规模（几十个AP），到大型无线网络规模（几百个AP，甚至上千个AP），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。优秀的扩展性无线网络具有非常容易扩展的特性，因此，今天在组建无线网络时必须要考虑系统的扩展性。在网络系统扩展性方面，Aruba的一台5000/6000型交换机可灵活地对从128个AP扩充到支持512个 AP，因此扩展AP非常容易；从网络管理扩展性方面, Aruba的Master/Local方式， Master Aruba 交换机可以同时控制管理28台的Local Aruba交换机，因此增加交换机也非常容易管理。除了AP数量之外，怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在无线网络内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。无需更改有线网结构实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不愿意做的事情，采用Aruba系统无需更改用户现有的有线网结构。由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便在有线网里实施无线局域网，同时也非常方便进行扩展。 ARUBA的无线交换机可以安装在中心机房，而AP则可以放置于任何地方，无需用二层设备连到无线交换机，或者划分VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。不用划分VLAN，对于无线网络的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构，减轻了由于无线网络的建设而对原有网络的结构改变的工作量。方便地无线网络规划设计在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖？应在哪些位置安装AP，安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，且还无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。 Aruba首创开发了RF Planning工具，可以让规划设计者在考虑无线局域网组网之初采用RF Planning在计算机上做规划设计，估算在要求的覆盖面积上AP应安装的物理位置所在。使用这套工具时，在数字化的建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，AP和AP之间覆盖面等。RF Planning自动计算，然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP，在无线网络安装完成后，网管人员通过RF Planning的Auto-Calibration功能，设定Aruba交换机自动调节网上所有Aruba AP的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后，网管人员可通过RF Planning随时监测网内的每个AP的无线电波的状态，及时掌握每个AP的工作状态和故障诊断，及时做出调整策略。Aruba RF Planning为无线网络的规划设计、调试以及维护提供科学化和规范化的管理。 5.2 方便而强大的网管功能集中式管理管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网络里是非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。 Aruba系统具有非常强的无线局域网集中管理功能，通过无线交换机Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。无需安装客户端软件 Aruba系统无需为每一个移动用户终端安装无线接入软件， Aruba的认证可以基于WEB页面认证，该认证只需用户打开浏览器就可以登陆。 ARUBA采用GRE隧道技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1X客户端软件才能实现WEB页面认证。 RF智能控管由于无线电波是一种无形的东西，它的强度和所在的信道一般都需要根据经验手工调整，要做到无线信号均匀分布，信道的利用率高，无信道干扰并不是件非常容易的事情，但是Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。可以保证无线信号均匀分布，信道的利用率高，无信道干扰，无线网络做到最为优化的运行。当初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网络上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。当无线局域网经过Auto Calibration调整后而正式运作时，网络管理员可在Aruba 交换机内启动ARM功能，则无线网络上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指Aruba AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3....，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响的。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。这样Aruba 无线交换机就对整个无线网络上的电波情况有了一定了解和记录。当某一覆盖范围内的电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，Aruba 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整范围内AP的无线电波。多个SSID结构 Aruba系统的多SSID结构和实现技术使得在Aruba无线局域网系统的各种应用服务（数据、语音和视频）在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID，例如一个SSID可给用户的工作人员所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在一个视频SSID内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这SSID。这样可在多SSID的情况下确保音视频的Qos。故障自动恢复传统的无线网络在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。 Aruba系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，Aruba交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。网络负载均衡 Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无线系统可应用层面通过4－7层交换模块可以实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。在视频应用中，负载均衡功能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保视频应用的质量得到保证。无线终端定位 Aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和 Wi-Fi手机等。Aruba采用的无线定位模式称为三角定位，它的准确性可达到2.5米以内，先决条件是所寻找的无线终端附近须有最少三个Aruba的AP 在范围内。这是传统无线局域网所不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。无缝的三层漫游 Aruba 无线能够让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游，而且不会丢失连接，也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而Aruba的handoff性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。 5.3 具有安全保障的无线网络集中的安全管理 Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的，解决了传统的无线网络对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。多种用户认证方式在Aruba无线系统中，一个无线用户进入无线网络以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网络。 Aruba无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），无线网络用户可以根据需要方便选择。独特的无线访问控制用户状态防火墙是Aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如单位的工作人员可以使用更多的服务，而来访人员只可以浏览网页、收发Email等，这样可以极大方便无线网络用户的安全管理。安全的AP技术 Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在Aruba无线交换机上实现。由于Aruba的AP是不储存任何网络配置（IP地址除外）和安全设置，因此Aruba 管理的AP是不能单独工作的，因此获得和接入进Aruba AP，黑客也不会拿到无线网络的网络和安全配置参数。无线接入点安全侦测和保护采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测无线网络覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过Aruba 的网络安全

展开阅读全文