Aruba无线覆盖方案.docx
《Aruba无线覆盖方案.docx》由会员分享,可在线阅读,更多相关《Aruba无线覆盖方案.docx(37页珍藏版)》请在冰豆网上搜索。
Aruba无线覆盖方案
XXXXX
办公楼无线覆盖解决方案
2008年3月
一、XXXXX办公楼无线覆盖建设需求
1.项目背景
此次无线覆盖项目的是针对XXXXX所属的办公楼做无线局域网的覆盖,满足PDA方面的应用需求。
具体需求如下:
1.1PAD接入和漫游
通过采用无线局域网覆盖方式满足PDA的WIFI接入和漫游。
PDA采用的是多普达的P800W,该款PDA支持802.11b/g无线网络,在无线信号覆盖范围内可方便的接入网络,实现移动办公和上网的需求。
二、Aruba无线交换局域网
2.1Aruba公司介绍
Aruba公司是2002年成立的总部设在美国硅谷的一家高科技公司,Aruba一直致力于无线领域的技术创新与进步,在业界首先实现了无线交换并创造性地提出了“移动边缘”的概念。
在美国、欧洲、中东和亚太地区建有分支机构,员工更是布满全球。
Aruba以开发出第一个模块移动系统的著称,该系统可集中控制所有接入、安全和移动服务,可使企业不间断、可衡量、无断裂地从固定网络转到移动网络。
公司同阿尔卡特、AT&T、IBM、惠普以及NCR公司建立了全球战略销售和服务合作关系。
Aruba公司全球最先进的无线产品得到了各个市场的领先企业的广泛认可。
Aruba借助最新的发明的新网络体系结构,为客户带来“移动边缘”,可以满足IT管理人员的最关心的三个问题——移动性、安全性和整合性。
代表了对无线网络的战略步骤,而不仅仅是建立无线局域网。
Aruba的“移动边缘”拓展了企业的网络范围——跨越了局域网、广域网和互联网——使用户无论身在何处都可以安全访问信息和语音服务的,而企业可以开发新的应用。
装配“移动边缘”后,可以无缝覆盖现存的网络,将校园、地区和分公司的网络以及在家中、酒店、公众景点的远程终端用户联系。
最重要的是,“移动边缘”在提高经济收益的同时可以满足用户对移动性能的爆炸式增长要求,对传统固网或有线网络的具有十倍优势。
企业网络的长期自然演化的趋势是达到完全无线。
企业网络经济由于消除了光缆成本和移动、增加和改变的网络的操作费用,将经剧烈的转型。
“移动边缘”作为创造性的新式网络结构,为当今的网络提供移动性、安全性和整合性,展现了将来企业网络的端口最终将比现在少得多的前景。
“移动边缘”可以立时提供以下几种优势:
•为用户和企业管理迅速、简便以及经济的提供移动数据和语音服务
•为移动型企业提供安全的解决方法,使有线网络同无线网络同样的安全<0}<
•与现存基础设备可以完全整合对接,保证了网络的安全与稳定
•通过降低资本和运营成本,大幅提高的网络的经济性
•为用户和服务未来的增长提供坚实而灵活的基础。
Aruba公司一直在高速发展,全球超过1000家顶级企业,包括世界最大的无线网络系统,都采用了我们的产品。
只有Aruba公司可以提供:
•可以保护网络和移动用户身份对应的安全策略;
•与现存网络无中断整合;
•为VoIP和数据服务保证整合性能;
•适应性无线电波管理以进行无线局域网自我配置;
•即时企业网络接入据点的远程延伸;
•企业级的升级性能、可靠性和性能;
•开发和集成移动应用的开放性平台。
2.2Aruba无线局域网的技术特点
第一代无线局域网技术采用单纯的AP实现无线接入,基本上没有其它功能。
第二代无线局域网技术,采用AC+智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:
WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。
由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radiusclient的安全密码(secret)等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。
另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量(IPsessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。
第三代无线局域网技术采用无线交换网络架构(以Aruba和Cisco为代表),实现了基于无线网络交换机,以AP为单元交换的无线网络系统,Aruba是采用独立的无线网络交换机实现的。
作为第三代的Aruba无线系统采用了WirelessSwitch+AP构架,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos保证。
Aruba无线系统不但具有一、二代无线产品所有的功能,并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。
在无线网融合到有线网络方面,Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定,使得无线网络的规划和实施非常方便。
在无线网络管理方面,Aruba无线系统实现真正的集中控管,包括独有的RF智能调控,自动恢复、负载均衡功能,使无线网可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端AP状态监测,方便实现对AP的管理;具有多SSID支持,实现了对无线数据、语音和视频的应用带宽管理。
在无线音视频应用方面,Aruba独有的基于每个用户的带宽控制和QOS保证,可以确保语音和视频业务的实时性,先进的无缝三层移动漫游,使得VoIP以及Wi-fi手机可以自由的在任意AP间切换,具有目前业界最低的时延。
2.3Aruba无线局域网系统架构
2.3.1先进的无线局域交换机
领导第三代的无线网络技术的Aruba公司无线系统采用了控制交换机+瘦AP构架,将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的WLAN交换机中实现,同时增加了许多无线局域网全新的功能。
诸如:
无线安全性、AP管理控制、RF站址监测、无缝移动漫游,特别是对语音、视频业务的支持有专门的Qos保证,使得VoWlan应用的Wi-Fi技术应用飞速发展。
2.3.2灵活的组网方式
第三代的Aruba产品可以根据从小型的无线网规模(几十个AP),到大型无线网规模(几百个AP,甚至上千个AP),都可以采用集中或者分布式的组网方式进行灵活的组网。
并可以提供冗余热备份机制,保证系统的高可用性。
2.3.3优秀的扩展性
无线网络具有非常方便扩展的特性。
在组建无线网时必须要考虑系统的扩展性。
在网络系统扩展性方面,Aruba的一台2400型交换机可灵活地对48个AP进行管理;从网络管理扩展性方面,Aruba的Master/Local方式,MasterAruba交换机可以同时控制管理28台的LocalAruba交换机,因此增加交换机也非常容易管理。
除了AP数量之外,怎样控管大量的AP和部署也是扩展性的重要考虑因素。
要妥善处理数目众多的AP在园区网内正常远作,包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。
2.3.4无需更改有线网结构
由于无线用户的传输是通过ArubaAP内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。
无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。
这样非常方便在园区里实施无线局域网,同时也非常方便进行扩展。
ARUBA的无线交换机可以安装在办公楼的中心机房,而AP则可以放置于园区的任何地方,无需用二层设备连到无线交换机,或者划分VLAN;其他厂家则需要二层交换机连接或者划分VLAN,否则只能将认证点下放到AP上,导致整体性能的降低和漫游特性的缺失。
不用划分VLAN,对于无线网络的管理带来极大的便利性。
对原有的有线网路由器不需要改变路由结构,减轻了由于无线网的建设而对原有网络的结构改变的工作量。
2.3.5方便地无线网规划设计
在规划一个无线局域网络时,规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖?
应在哪些位置安装AP,安装后电波的覆盖范围,信号在不同位置的强弱等,要完成此项工作,通常做法是规划设计者要在现场做大量的测试工作,通过经验去估算位置和数量,其工作量非常之大,无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。
Aruba首创开发了RFPlanning工具,让规划设计者在无线局域网组网之初采用RFPlanning在计算机上做规划设计,估算在要求的覆盖面积上AP应安装的物理位置所在。
使用这套工具时,在数字化的园区建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小,输入有关无线覆盖和传输模型的相关参数,如无线终端的平均带宽,AP和AP之间覆盖面等。
RFPlanning自动计算,然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。
安装人员就可以根据图纸上所显示的位置安装AP,在无线网安装完成后,网管人员通过RF规划自动校准功能,Aruba交换机可以自动调节无线网上所有ArubaAP的频道与功率参数以达到一个最优性能的运行状态。
在无线局域网系统投入运行后,网管人员可通过RFPlanning随时监测网内的每个AP的无线电波实际的运行状态,及时掌握每个AP的工作状态和故障诊断,及时做出调整策略。
ArubaRFPlanning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。
2.4Aruba无线局域网的网络管理
2.4.1集中式管理
网络数据中心管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。
从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。
由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。
其工作量在有一定数量AP的无线网里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。
Aruba系统具有非常强的无线局域网集中管理功能,通过无线交换机MasterSwitch和LocalSwitch管理模式管理整个网络,网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、接入认证、移动漫游。
2.4.2无需安装客户端软件
Aruba系统无需为每一个移动用户终端安装无线接入软件,Aruba的认证可以基于WEB页面认证,认证只需用户打开浏览器就可以登陆。
ARUBA采用GRE隧道技术,可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证,而其他的厂家在这种网络环境下,必须要为客户端装上基于标准的L2TP或IPSEC或802.1客户端软件才能实现WEB页面认证。
2.4.3RF智能控管
Aruba系统的RF智能控管可以自动调节网上所有ArubaAP的电波特性。
初次安装无线局域网时,用户可通过RFPlanning的AutoCalibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。
启动了AutoCalibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。
Aruba系统的RF智能控管可以自动对网上所有ArubaAP的无线电波管理。
当无线局域网经过自动校准的调整后而正式投入网络运作时,网络管理员可在Aruba交换机内启动ARM这功能,无线网上所有的ArubaAP都会在设定的时间内自行扫描其它的无线频道。
无线电波扫描是指ArubaAP从一个电波频道跳到另一频道时,如Ch1到Ch2到Ch3....,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响地。
当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回Aruba无线交换机。
Aruba无线交换机可以对整个无线网上的电波情况侦测和记录。
当某一覆盖范围内的无线电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波。
2.4.4多个SSID结构
Aruba系统的多SSID结构和和实现技术使得在Aruba无线局域网系统的各种多媒体应用服务(数据、语音和视频)在QoS上表现非常出色。
在一个无线局域网内可以设置多个SSID,例如一个SSID可给公司领导以及普通员工所用,而另一个可给外来的访问客户专用。
所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。
SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。
在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。
在一个视频SSID内可把视频数据流传输以优先级队列处理。
同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过,以确保其它数据不能进入这SSID。
在一个预设定语音SSID内只允许网络管理设定语音传输协议通过,以确保其它数据不能进入这SSID。
可在多SSID的情况下确保语音和视频的Qos支持。
2.4.5故障自动恢复
传统的无线网在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。
遇到这种情况的一般做法就是把现场失效的AP换掉。
但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。
Aruba系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当发觉有AP出现故障时,Aruba交换机能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。
2.4.6网络负载均衡
Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。
在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。
要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。
Aruba无线系统可应用层面通过4-7层交换模块可以实现服务器的负载均衡,VPN设备,防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。
在视频应用中,负载均衡功能可以有效的缓解单个AP的负担,有效的利用临近的AP做接入,从而确保视频应用的质量得到保证。
2.4.7无线终端定位
Aruba网管系统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA和Wi-Fi手机等。
Aruba采用的无线定位模式称为三角定位,无线定位的准确性可达到2.5米以内,无线定位的条件是所寻找的无线终端附近须有最少三个Aruba的AP在范围内。
这是传统无线局域网所不能做的,有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。
大学对非法AP的定位,可以成为学校网络中心的管理人员提供清楚非法AP有效手段,可以方便快捷的清除非法AP的网络接入。
可以保证园区网络接入的安全可靠性。
2.5Aruba无线局域网系统的安全管理
2.5.1集中的安全管理
Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的,解决了传统的无线网对安全的分散管理(AP、AC)和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。
2.5.2多种用户认证方式
在Aruba无线系统中,一个无线用户进入无线网以后,会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。
Aruba无线系统支持目前各种用户认证的方式(802.1、WEB认证、MAC、SSID、VPN等),园区网内的用户可以根据需要方便选择。
2.5.3安全的AP技术
Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在Aruba无线交换机上实现。
由于Aruba的AP是不储存任何网络配置(IP地址除外)和安全设置,因此Aruba管理的AP是不能单独工作的,因此获得和接入进ArubaAP,黑客也不会拿到无线网的网络和安全配置参数。
2.5.4无线接入点安全侦测和保护
采用Aruba无线系统的RF侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。
通过Aruba的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。
三、XXXXX无线覆盖系统建议
3.1无线覆盖建议
根据无线网络需求及园区内实地的了解,并结合以往的工程经验,对无线网络覆盖做出以下规划:
图一1楼
图二2楼
图三3楼
图四4楼
图五5楼
图六6楼
在规划中,每一层需要7个AP才能实现全层的覆盖,这个是一个规划值,由于无线信号的穿透受多种因素影响,如墙体的用料,厚度;木门还是铁门;转弯和拐角等,因此可能需要增加AP在一些无线信号穿透不到的位置,如楼梯,办公楼的四个角位等。
此外在办公楼的一些重要位置安装性能高的AP,如三楼的董事长室,副总经理室等,可以确保贵公司领导在无线应用的稳定性。
3.2天线安装建议
为了增强无线信号,降低投入成本,本设计拟采用加装大功率的天线来实现,将AP的信号覆盖范围增大。
具体天线安装的位置要通过现场测试信号的范围才能确定,预计安装在走廊上,一些房间由于有实体墙和铁门阻挡,信号难以覆盖,则可以安装在室内。
本方案将全部采用室内天线,室内天线分两种,一种是可放置在桌面的全向天线,一种则是吸顶定向天线,在这里建议使用吸顶天线,因为相比较而言,定向天线的信号比全向的要好。
安装上可将吸顶天线装在走廊或室内的天花上,这样无线信号可以作一个比较大范围的辐射,效果比桌面天线要好,而在吸顶天线不方便安装区域则可以采用桌面天线。
方案的安装图如下:
图七天线安装图
3.3无线组网实现
Aruba2400无线交换机可以最多可支持48个AP的接入和管理,完全满足办公区无线覆盖的需求,并留有充足的扩展余量。
Aruba2400交换机集中汇集AP的接入和控管。
无线交换机和AP的连接可以穿透三层网络设备,因此,无线网络不影响原有网络的结构,可以实现全网的无线漫游。
Aruba公司的60/61/65/70系列AP,具有各种安全和管理功能,Aruba交换机可以完全使用管理ArubaAP的管理方式一样来管理AP,实现所有Aruba提供的安全和管理功能。
无线局域网系统组网示意图如图八所示:
图八网络拓扑图
移动交换机2400放置在机房与核心交换机相连,AP根据安装位置和距离,部分AP可直接与2400相连,由2400直接通过PoE供电,无需再使用外接电源,另外一部分AP可与楼层交换机相连,由外接电源供电。
3.4用户使用流程
用户可以在无线信号覆盖的范围内使用PDA的WIFI功能接入到网络,只需打开PDA的WIFI功能即可方便的接入,体验移动办公的方便与快捷。
具体流程如图九所示:
图九用户使用流程图
3.5用户接入控制
3.5.1SSID的加密和认证
2400移动控制器支持多个SSID接入,可以按用户需求划分不同的SSID,比如专供领导使用的SSID,给员工使用的SSID以及供访客使用的SSID,不同的SSID可以设置不同的认证和加密方式,需注意的是每个SSID仅支持一种认证和加密方式。
对于外来的AP以及非用户的SSID,可在移动控制器上将该AP设置成非法AP,这样可以阻挡用户去连接其SSID,达到用户仅能连接本公司的无线网络的目的。
如图十所示:
图十Rogue(非法)AP设定图
移动控制器2400目前可以支持以下认证方式:
802.1X/WEP,WPA,WPA-PSK,WPA2,WPA2-PSK,xSec,此外支持多种高级认证:
网页注册,网页强制认证,VPN,MAC。
认证服务器可以支持多种方式,如:
外部Radius,LDAP,内部数据库等。
由于多普达P800W仅支持802.11b/g协议,因此需选用802.11b/g,为确保安全性,可选择WEP加密认证方式,在接入到无线网络时需输入认证密码才能通过。
3.5.2用户接入时间控制
当采用内部数据库认证时,可以对接入用户进行时间控制。
界面图十一所示
图十一用户接入时间控制
在Expiration(过期时限)里有三个选项,第一个是Entrydoesnotexpire(接入永不过期),第二个是SetExpirytime(mins)(按分钟来设置过期的时间),第三个是SetExpiryData(mm/dd/yyyy)(过期的日期),ExpiryTime(hh:
mm)(过期的时间),可根据需求选择时间控制的方法。
四、产品介绍
4.1移动交换机2400产品介绍
{0>Aruba2400MobilityController<}100{>Aruba2400移动控制器<0}
{0>TheAruba2400mobilitycontrollerisequippedwith2410/100MbpsEthernetportsand2GibabitEthernet(GBIC)uplinks.<}0{>Aruba2400移动控制器配有24个10/100Mbps以太网端口和2个千兆以太网(GBIC)级联端口。
<0}{0>TheAruba2400supportsupto48APsandupto512simultaneoususers.<}0{>Aruba2400支持最多48个接入点(AP)和多达512个并发用户。
<0}{0>Designedforregionalheadquartersordenseofficedeployments,the2400deliversupto400Mbpsofencryptedthroughputviaanintegratedhardwareacceleratedencryptionengine.<}0{>2400专为区域总部或密集办事处部署而设计,通过集成的硬件加速加密引擎可传输高达400Mbps的加密吞吐量。
<0}
{0>Performance&Capacity<}0{>性能和容量
机架式
1U
配置
固定
10/100端口
24
以太网供电
是
以太网串联
是
GBIC级联端口
2
有线L2/L3交换机操作
是
硬件加速加密
是
RS-232串联控制台(RJ-45)
是
带外以太网管理端口
否
每台交换机最大用户数目
512
每台交换机最大接入点数目
48
加密流量(3DES)吞吐量
400Mbps
交换机吞吐量
2Gbps
{0>GBICuplinkports2<}0{>
{0>FaultTolerance<}0{>容
升级会员 