Aruba无线局域网系统技术方案.docx
《Aruba无线局域网系统技术方案.docx》由会员分享,可在线阅读,更多相关《Aruba无线局域网系统技术方案.docx(16页珍藏版)》请在冰豆网上搜索。
Aruba无线局域网系统技术方案
XXXX
无线局域网接入控制
解决方案建议书
2007年5月
目录
一、XXXX无线局域网系统建设需求2
1.需求背景2
1.1扩展网络信息点数量需求2
1.2建设数字化信息需求2
1.3无线方案特别要求3
二、XXXX无线局域网设计原则和技术需求3
2.1遵循标准3
2.2技术成熟3
2.3安全可靠3
2.4可扩展可升级4
2.5易管理易维护4
2.6***方案目标描述***4
三、设备配置清单与价格5
四、资料:
Aruba无线交换局域网系统技术特点6
3.1Aruba无线局域网系统架构7
3.1.1先进的无线局域交换机7
3.1.2灵活的组网方式7
3.1.3优秀的扩展性8
3.1.4无需更改有线网结构8
3.1.5方便地无线网规划设计8
3.2Aruba无线局域网的网络管理9
3.2.1集中式管理9
3.2.2无需安装客户端软件10
3.2.3RF智能控管10
3.2.4多个SSID结构10
3.2.5故障自动恢复11
3.2.6网络负载均衡11
3.2.7无线终端定位11
3.3Aruba无线局域网系统的安全管理12
3.3.1集中的安全管理12
3.3.2多种用户认证方式12
3.3.3独特的无线访问控制12
3.3.4安全的AP技术13
3.3.5无线接入点安全侦测和保护13
3.3.6无线网络入侵侦测13
3.3.7无线接入的病毒防护13
3.4无线移动音视频应用14
3.4.1带宽控制与服务质量保证QOS14
3.4.2VoIP与WI-FI手机14
3.4.3无缝的三层漫游15
一、XXXX无线局域网系统建设需求
1.需求背景
此次无线局域网系统项目的是针对XXXX所属的楼宇做无线局域网的覆盖,满足接入Internet需求,并进一步满足数据、语音和视频多方面的网络应用需求。
1.1扩展网络信息点数量需求
XXXX在建设时所安装部署的有线网络信息点主要用于正常业务使用,不能满足办公之外访问Internet、各种会议以及来客使用网络的实际需求。
由于XXXX继续采用有线网络扩充而进行的网络布线工程会对XXXX墙壁和顶棚做大量的施工,影响建筑楼群内部的外观。
希望通过采用无线局域网覆盖方式满足目前和将来的需要,并减少有线网络布线带来的工程难度、施工量和工程费用。
本项目的建设目的是采用无线局域网替代扩展的有线局域网,而不是简单地作为有线网的延伸。
1.2建设数字化信息需求
XXXX经常接待来访问的领导、专家、客户以及参加各种会议和学术活动的来宾,来宾们随身携带的笔记本电脑需要随时随地接入Internet处理日常事务,因此,无线网络要满足来宾移动接入Internet以及WiFi-VoIP语音通信需求。
1.3无线方案特别要求
需要能够从技术层面对员工接入Internet使用的设备做出严格控制,特别防止通过业务系统设备接入Internet。
这种严格的控制不能建立在大量增加网络维护人员工作量的基础上。
二、XXXX无线局域网设计原则和技术需求
2.1遵循标准
无线局域网采用的技术支持应为国际标准或业界标准。
根据XXXX的需求和无线网建设与设计原则,建议采用美国ArubaNetworks公司的第三代无线交换局域网系统(以下简称Aruba无线系统),完成无线局域网覆盖项目。
2.2技术成熟
第一代无线局域网主要是采用胖AP架构,每台AP都是一个独立的个体,AP与AP之间不会进行任何沟通,需要逐台逐台进行配置和管理,费时、费力、维护成本高,安全低,融合性差;第二代无线局域网融入了认证网关设备,仍然不能集中对AP进行管理和配置,只是对认证管理方面有所提高而已。
现今大型无线网络要求其与传统有线网络平滑融合,要求管理性和安全性都必须有一个质的提高,而第一代和第二代无线技术必定不能满足,因此,在这样的环境下,基于无线交换机集中式管理的第三代无线架构延生了。
第三代无线局域网架构采用无线交换机加瘦AP的结构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高,使建设大型无线网成为可能。
2.3安全可靠
在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:
(1)接入许可:
通过MAC绑定可以由管理员决定哪些设备可以接入
(2)接入认证:
具有支持多种用户认证方式;
(3)采用具有用户状态访问控制的防火墙技术;
(4)具有数据在无线信道上传输的VPN机制;
(5)具有无线网的防病毒机制
(6)具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。
具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线交换机N+1的冗余备份机制。
2.4可扩展可升级
通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理,AP既可以提供无线接入,也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。
同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便。
2.5易管理易维护
在网络管理方面,必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能,使所建的无线网络可以适应多种环境的变化,可动态地保证良好的应用效果。
同时,还应具有远端AP数据进行采集、远程监控、终端定位等功能,支持多SSID,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。
2.6***方案目标描述***
根据XXXX无线局域网系统建设要求,无线局域网系统建设基本描述如下:
1.采用WLAN交换技术及WLAN交换体系结构,建立2个SSID。
1个SSID供内部员工使用,每个接入的PC及网卡MAC地址都需要在管理员处登记,便于管理员确认该设备符合公司规范。
第2个SSID供来访客户、来宾使用,与公司网络隔离,接入方式不必限制设备。
为防止内部员工私自使用第2个SSID,该SSID需要通过用户名/密码进行授权,用户名/密码在管理员控制下,可以根据实际情况掌握修改。
2.充分利用现有网络结构与资源,不单独组网,AP就近接入有线网络(最近的楼层交换机),并且不改变原有网络结构以及交换机配置。
3.采用先进的WLAN集中控管的组网方式,集中控制管理所有的AP。
4.AP的供电可以不单独拉线,采用POE供电的方式,需要确认楼层交换机是否支持此功能。
5.充分考虑WLAN的安全性,采用先进的WLAN安全技术保障。
6.无线局域网系统支持故障热备冗余能力,当其中一个出现问题,周边临近的AP可以马上接管服务,提供持续服务能力。
7.无线局域网系统可以方便和灵活地调整与扩充,随着业务扩展,不同楼层增加AP,甚至远程办公地点增加AP,都可以通过此系统统一部署管控,避免投资重复。
8.原有的AP设备,只要支持透明AP模式,都可以通过此无线系统统一部署,保护已有投资。
9.AP数量,最终需要根据具体情况(如墙壁厚度、门的材质、房间大小等)确定。
根据经验预测不必每个房间都部署。
三、设备配置清单与价格
ARUBA无线接入统一控制系统
产品名称
产品型号
产品描述
列表单价
成交单价
数量
汇总价格
最大可管理48个AP的控制器
2400-48-TX-AOS-STD
A2400-48MobilityController-SPOE,GBICGigE-48APLimit
287,840
100,744
1
100,744
无线接入点
AP-61
Aruba61WirelessAccessPoint
9,440
3,304
48
158,592
259,336
四、资料:
Aruba无线交换局域网系统技术特点
第一代无线局域网技术采用单纯的AP实现无线接入,基本上没有其它功能。
第二代无线局域网技术,采用AC+智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:
WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。
由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radiusclient的安全密码(secret)等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。
另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量(IPsessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。
第三代无线局域网技术采用无线交换网络架构(Aruba),实现了基于无线网络交换机,以AP为单元交换的无线网络系统,Aruba是采用独立的无线网络交换机实现的。
作为第三代的Aruba无线系统采用了WirelessSwitch+AP构架,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos保证。
Aruba无线系统不但具有一、二代无线产品所有的功能,并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。
在无线网融合到有线网络方面,Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定,使得无线网络的规划和实施非常方便。
在无线网络管理方面,Aruba无线系统实现真正的集中控管,包括独有的RF智能调控,自动恢复、负载均衡功能,使无线网可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端AP状态监测,方便实现对AP的管理;具有多SSID支持,实现了对无线数据、语音和视频的应用带宽管理。
在无线安全性方面,Aruba无线系统具备多种用户认证、、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。
在无线音视频应用方面,Aruba独有的基于每个用户的带宽控制和QOS保证,可以确保语音和视频业务的实时性,先进的无缝三层移动漫游,使得VoIP以及Wi-fi手机可以自由的在任意AP间切换,具有目前业界最低的时延。
3.1Aruba无线局域网系统架构
3.1.1先进的无线局域交换机
领导第三代的无线网络技术的Aruba公司无线系统采用了WirelessSwitch+thinAP构架,将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的WLAN交换机中实现,同时增加了许多无线局域网全新的功能。
诸如:
无线安全性、AP管理控制、RF站址监测、无缝移动漫游,特别是对语音、视频业务的支持有专门的Qos保证,使得VoWlan应用的Wi-Fi技术应用飞速发展。
3.1.2灵活的组网方式
第三代的Aruba产品可以根据从小型的无线网规模(几十个AP),到大型无线网规模(几百个AP,甚至上千个AP),都可以采用集中或者分布式的组网方式进行灵活的组网。
并可以提供冗余热备份机制,保证系统的高可用性。
3.1.3优秀的扩展性
无线网络具有非常方便扩展的特性。
在组建无线网时必须要考虑系统的扩展性。
在网络系统扩展性方面,Aruba的一台5000/6000型交换机可灵活地对从48个AP到128个AP扩充到支持512个AP,因此扩展AP非常容易;从网络管理扩展性方面,Aruba的Master/Local方式,MasterAruba交换机可以同时控制管理28台的LocalAruba交换机,因此增加交换机也非常容易管理。
除了AP数量之外,怎样控管大量的AP和部署也是扩展性的重要考虑因素。
要妥善处理数目众多的AP在园区网内正常远作,包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。
3.1.4无需更改有线网结构
XXXX实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是网管人员不愿意做的事情,采用Aruba系统无需更改现有的有线网结构。
由于无线用户的传输是通过ArubaAP内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。
无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。
这样非常方便在园区里实施无线局域网,同时也非常方便进行扩展。
ARUBA的无线交换机可以安装在学校的中心机房,而AP则可以放置于园区的任何地方,无需用二层设备连到无线交换机,或者划分VLAN;其他厂家则需要二层交换机连接或者划分VLAN,否则只能将认证点下放到AP上,导致整体性能的降低和漫游特性的缺失。
不用划分VLAN,对于无线网络的管理带来极大的便利性。
对原有的有线网路由器不需要改变路由结构,减轻了由于无线网的建设而对原有网络的结构改变的工作量。
3.1.5方便地无线网规划设计
在规划一个无线局域网络时,规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖?
应在哪些位置安装AP,安装后电波的覆盖范围,信号在不同位置的强弱等,要完成此项工作,通常做法是规划设计者要在现场做大量的测试工作,通过经验去估算位置和数量,其工作量非常之大,无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。
Aruba首创开发了RFPlanning工具,让规划设计者在无线局域网组网之初采用RFPlanning在计算机上做规划设计,估算在要求的覆盖面积上AP应安装的物理位置所在。
使用这套工具时,在数字化的园区建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小,输入有关无线覆盖和传输模型的相关参数,如无线终端的平均带宽,AP和AP之间覆盖面等。
RFPlanning自动计算,然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。
安装人员就可以根据图纸上所显示的位置安装AP,在无线网安装完成后,网管人员通过RF规划自动校准功能,Aruba交换机可以自动调节无线网上所有ArubaAP的频道与功率参数以达到一个最优性能的运行状态。
在无线局域网系统投入运行后,网管人员可通过RFPlanning随时监测网内的每个AP的无线电波实际的运行状态,及时掌握每个AP的工作状态和故障诊断,及时做出调整策略。
ArubaRFPlanning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。
3.2Aruba无线局域网的网络管理
3.2.1集中式管理
网络数据中心管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。
从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。
由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。
其工作量在有一定数量AP的无线网里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。
Aruba系统具有非常强的无线局域网集中管理功能,通过无线交换机MasterSwitch和LocalSwitch管理模式管理整个网络,网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。
3.2.2无需安装客户端软件
Aruba系统无需为每一个移动用户终端安装无线接入软件,Aruba的认证可以基于WEB页面认证,认证只需用户打开浏览器就可以登陆。
ARUBA采用GRE隧道技术,可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证,而其他的厂家在这种网络环境下,必须要为客户端装上基于标准的L2TP或IPSEC或802.1客户端软件才能实现WEB页面认证。
3.2.3RF智能控管
Aruba系统的RF智能控管可以自动调节网上所有ArubaAP的电波特性。
初次安装无线局域网时,用户可通过RFPlanning的AutoCalibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。
启动了AutoCalibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。
Aruba系统的RF智能控管可以自动对网上所有ArubaAP的无线电波管理。
当无线局域网经过自动校准的调整后而正式投入网络运作时,网络管理员可在Aruba交换机内启动ARM这功能,无线网上所有的ArubaAP都会在设定的时间内自行扫描其它的无线频道。
无线电波扫描是指ArubaAP从一个电波频道跳到另一频道时,如Ch1到Ch2到Ch3....,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响地。
当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回Aruba无线交换机。
Aruba无线交换机可以对整个无线网上的电波情况侦测和记录。
当某一覆盖范围内的无线电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波。
3.2.4多个SSID结构
Aruba系统的多SSID结构和和实现技术使得在Aruba无线局域网系统的各种多媒体应用服务(数据、语音和视频)在Qos上表现非常出色。
在一个无线局域网内可以设置多个SSID,例如一个SSID可给学校内部教师、工作人员以及学生所用,而另一个可给外来的访问客户专用。
所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。
SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。
在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。
在一个视频SSID内可把视频数据流传输以优先级队列处理。
同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过,以确保其它数据不能进入这SSID。
在一个预设定语音SSID内只允许网络管理设定语音传输协议通过,以确保其它数据不能进入这SSID。
可在多SSID的情况下确保语音和视频的Qos支持。
3.2.5故障自动恢复
传统的无线网在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。
遇到这种情况的一般做法就是把现场失效的AP换掉。
但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。
Aruba系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当发觉有AP出现故障时,Aruba交换机能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。
3.2.6网络负载均衡
Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。
在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。
要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。
Aruba无线系统可应用层面通过4-7层交换模块可以实现服务器的负载均衡,VPN设备,防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。
在视频应用中,负载均衡功能可以有效的缓解单个AP的负担,有效的利用临近的AP做接入,从而确保视频应用的质量得到保证。
3.2.7无线终端定位
Aruba网管系统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA和Wi-Fi手机等。
Aruba采用的无线定位模式称为三角定位,无线定位的准确性可达到2.5米以内,无线定位的条件是所寻找的无线终端附近须有最少三个Aruba的AP在范围内。
这是传统无线局域网所不能做的,有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。
对非法AP的定位,可以成为学校网络中心的管理人员提供清楚非法AP有效手段,可以方便快捷的清除非法AP的网络接入。
可以保证园区网络接入的安全可靠性。
3.3Aruba无线局域网系统的安全管理
3.3.1集中的安全管理
Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的,解决了传统的无线网对安全的分散管理(AP、AC)和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。
3.3.2多种用户认证方式
在Aruba无线系统中,一个无线用户进入无线网以后,会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。
Aruba无线系统支持目前各种用户认证的方式(802.1、WEB认证、MAC、SSID、VPN等),园区网内的用户可以根据需要方便选择。
3.3.3独特的无线访问控制
用户状态防火墙是Aruba无线交换机的独特功能,它本身就是针对无线接入的特性而设计。
传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。
Aruba无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如内部员工可以使用更多的服务,而来宾只可以浏览网页、收发Email等,这样可以极大方便园区网用户的安全管理。
3.3.4安全的AP技术
Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在Aruba无线交换机上实现。
由于Aruba的AP是不储存任何网络配置(IP地址除外)和安全设置,因此Aruba管理的AP是不能单独工作的,因此获得和接入进ArubaAP,黑客也不会拿到无线网的网络和安全配置参数。
3.3.5无线接入点安全侦测和保护
采用Aruba无线系统的RF侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。
通过Aruba的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。
3.3.6无线网络入侵侦测
今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对企业、和运营商的无线网的安全构成很大的威胁。
今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。
这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。
Aruba无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当Aruba无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。
3.3.7无线接入的病毒防护
Aruba无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的
升级会员 