北航无线校园网工程.docx

1、北航无线校园网工程XX企业无线网络工程ARUBA解决方案建议书2006年10月26日目录目录 21. XX企业无线网络建设需求 41.1 项目背景 41.2 XX企业无线网络的应用需求 4数据接入服务 42.无线网络的设计原则和参考技术指标 5遵循标准 5安全可靠 5可扩展可升级 5无线性能技术参考指标 53. ARUBA“移动边缘”解决方案的技术特点 63.1 先进而成熟的无线局域网交换架构 63.2 具有安全保障的无线网络 7集中的安全管理 7多种用户认证方式 7独特的无线访问控制 7安全的AP技术 8无线接入点安全侦测和保护 8无线网络入侵侦测 8无线接入的病毒防护 93.3 支撑多业务

2、的网络应用 9带宽控制与服务质量保证QOS 9VoIP与WI-FI Phone 10无缝的三层漫游 113.4 方便而强大的网管功能 11集中式管理 11无需安装客户端软件 12RF智能控管 12多个SSID结构 13故障自动恢复 13网络负载均衡 134. XX企业无线网络系统的设计和实施方案 144.1整体系统架构设计 144.1.1设计原则 144.1.2拓扑结构 154.1.3设备选型和配置 154.1.4核心交换机连接 164.1.5接入层AP部署 164.1.7用户接入策略 164.2认证与加密方案 174.2.1设备认证方式建议 174.2.2数据传输加密 184.3网络管理措施

3、 184.3.1性能管理 184.3.2故障管理 185设备清单 191. XX企业无线网络建设需求1.1 项目背景XX企业新建的行政办公大楼作为整个码头未来的一个主要智能建筑，计划于2007 年3 月正式投入办公使用。该大楼包括1 栋25 层高的主楼和1 栋5 层高的副楼（主楼和副楼 之间通过专用过道连接在一起），将来建成为一个可以容纳2000人办公的国际一流写字综合楼。该建筑的剖面图如下：本项目作为智能化大厦的配套网络集成工作， XX企业要求卖方以现代技术标准集成大楼内部的网络系统，并在主楼第15 层数据中心中建立新的骨干网络。1.2 XX企业无线网络的应用需求数据接入服务为企业园区内办公

4、楼、宿舍、操场，以及一系列等热点场所提供典型的无线局域网接入，为有线网络提供了良好的连接补充，完成了整个企业网络接入的全面覆盖，使用户能够在企业内的任何区域接入局域网，达到完善企业信息化的目的。在此，无线网络作为有线网的良好扩展，既节约了成本，而且加快了企业网信息化建设的步伐。2.无线网络的设计原则和参考技术指标根据XX企业的无线网络建设需求，可以确立的以下基本设计原则：遵循标准针对项目的技术需求，为了保证无线网络设备之间的互通性，同时对于已有无线网络的建设进行投资保护，ARUBA公司方案中的技术路线严格遵循项目要求，做到支持802.11b/g标准，WiFi标准兼容。安全可靠针对不同的用户、设

5、备采用不同的认证方式，如802.1x、MAC地址认证等；并且结合隐藏SSID、MAC地址过滤、Radius认证、WEP加密等多种安全机制保障无线网络的安全使用。可扩展可升级网络扩展与升级需要好的系统架构支撑，采用扩展方便，升级简易的解决方案是构建一个大规模的无线网络的必要前提，同时利用集中方式易于实现网络控制和漫游。无线性能技术参考指标 2.4G频段无线的等效全向辐射功率（EIRP）最大值小于27dbm。 所有无线覆盖处信号强度不小于80dbm，在-76dbm以上覆盖区用Chariot测试无线网络的时延(Response Time)5Mbps。 在-76dbm以上的信号强度时，用户和接入点测试

6、到的错误率，在1024字节数据长度时，应不超过8%。包丢失和包重发（Packet Loss and Packet Retry）这两个参数的值都应该小于5。 无线覆盖区信噪比SNR值不小于20dbm。 在11mbps下传输速率下：Ping包（Length=32,Time=100）Average response time 10ms；传送非压缩档案 Download: 200kbps: upload: 150kbps。3. ARUBA“移动边缘”解决方案的技术特点3.1 先进而成熟的无线局域网交换架构无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实

7、现无线接入外，基本上没有其它功能。第二代无线局域网技术，采用AC智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密钥等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构

8、的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以ARUBA为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，ARUBA是采用独立的无线网络交换机实现的。作为第三代的ARUBA无线系统采用了Wireless SwitchAP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝漫游以及QoS保证等。3.2 具有安全保障的无线网络集中的安全管理ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防

9、病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到ARUBA无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。多种用户认证方式在ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），企业网用户可以根据需要方便选择。独特的无线访问控制用户状态防火墙是ARUBA无线交换机

10、的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发Email等，这样可以极大方便企业网用户的安全管理。安全的AP技术ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在ARUBA无线交换机上实现。由于ARUB

11、A的AP是不储存任何网络配置（IP地址除外）和安全设置，因此ARUBA 管理的AP是不能单独工作的，因此获得和接入进ARUBA AP，黑客也不会拿到无线网的网络和安全配置参数。无线接入点安全侦测和保护采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测大厦无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及

12、对企业、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。无线接入的病毒防护ARUBA无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准

13、入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端连接到ARUBA无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。AR

14、UBA公司和第三方的防病毒墙厂家合作，在ARUBA无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据，ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。基于上述两个层面，ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。3.3 支撑多业务的网络应用带宽控制与服务质量保证QOSARUBA无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务，ARUBA系统亦可透过ARUBA无线交换机设置定义不同的QoS队列。例如无线语音的应用，SIP

15、和RTP协议可设定在高的队列，而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务，目前，经过中国网通、中国赛尔公司对几家WLAN设备厂商的设备测试结果表明，ARUBA的无线网系统以其完善QoS特性在测试中表现最佳。VoIP与WI-FI Phone随着VoIP的越来越普及(如Skype,等)，基于SIP的Wi-Fi电话将迅速变为企业内，企业之间话音联络的主流。Wi-Fi电话除了可在企业内部不同区域间等不同AP漫游外，用户亦可在其它有Internet连接的地方如酒店，住宅等使用，这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说，用户可在有宽带接入的地方

16、继续使用办公室的电话号码，不管是国内或国外。对于一些经常出差的用户VoWiFi会带来极大的方便，亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi)，用户很快就可以漫游于手机移动网和无线局域网之间。ARUBA的无线交换技术已经证明很多业界VoIP系统在ARUBA系统上成功的运行，且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延， AP呼叫的容量，和漫游切换时间。 尤其语音的漫游,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就

17、不能随意的安装一些AP，而必须是有规范的组建无线局域网。ARUBA无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的用户和Wi-Fi手机用户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 ARUBA无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。另在语音安全接入方面，ARUBA可防止没有无线语音权限的用户使用无线语音，以确保网络资源能有效运用。无缝的三层漫游ARUBA 无线能够让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游，而且不

18、会丢失连接，也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而ARUBA的handoff性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。3.4 方便而强大的网管功能集中式管理管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是

19、非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。ARUBA系统具有非常强的无线局域网集中管理功能，通过无线交换机Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 无需安装客户端软件ARUBA系统无需为每一个移动用户终端安装无线接入软件，登录认证可以基于WEB页面认证，该认证只需用户打开浏览器就可以登陆。ARUBA采用GRE隧道

20、技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1X客户端软件才能实现WEB页面认证。RF智能控管ARUBA系统的RF智能控管可以自动调节网上所有ARUBA AP的电波特性。 当初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。

21、ARUBA系统的RF智能控管可以自动对网上所有ARUBA AP的无线电波管理。当无线局域网经过Auto Calibration调整后而正式运作时，网络管理员可在ARUBA 交换机内启动ARM这功能，则无线网上所有的ARUBA AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指ARUBA AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回ARUBA 无线交换机。这样ARUBA 无线交

22、换机就对整个无线网上的电波情况有了一定解和记录。当某一覆盖范围内的电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，ARUBA 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。多个SSID结构ARUBA系统的多SSID结构和和实现技术使得在ARUBA无线局域网系统的各种应用服务（数据、语音和视频）在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID，例如一个SSID可给学院内部教师、工作人员以及学生所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终

23、端以不同的安全认证和加密方式入网。在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在一个视频SSID内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这SSID。这样可在多SSID的情况下确保音视频的QoS。故障自动恢复传统的无线网在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不

24、一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。ARUBA系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，ARUBA交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。网络负载均衡ARUBA系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。ARUBA无线系统可应用层面通过47层

25、交换模块可以实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。在视频应用中，负载均衡功能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保视频应用的质量得到保证。4. XX企业无线网络系统的设计和实施方案4.1整体系统架构设计4.1.1设计原则结合XX企业的网络和应用需求以及ARUBA解决方案的特点，无线网络通信系统的设计原则可以分为以下几大点： 采用无线交换架构组建无线网络子系统； 利用现有的有线网络资源，架设“层叠”网络，保持已有的有线网络配置和设置不更改； 用户子网和设备子网隔离，无线用户无法访问设备子网； 无

26、线网络按应用对象应分为内部员工用户及Guest用户。内部员工用户经授权提供普通员工的无线网络使用权限（权限与普通OA用户相同）。Guest用户经过申请，仅具有一定时间限制的使用Internet的权限，超过申请时间，无线网络自动断开。XX企业对于无线用户， 应具有记录其带宽流量，上网站点，并可以实时地进行控制的功能。4.1.2拓扑结构如下图所示，在整个无线网络系统当中，ARUBA的无线交换机A6000放置在数据中心，与核心交换机之间采用VLAN trunk进行连接；而楼层中的AP通过GRE隧道汇接回到无线交换机，途经楼层汇聚有线交换机和其它相关的有线网络设备。在这样的网络实现当中，AP上用户的流

27、量都将通过AP与无线交换机建立起的GRE隧道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。4.1.3设备选型和配置由于此次无线覆盖范围包括盐田国际三期行政楼各主要会议室，空中花园，实现空中或地面覆盖。对楼层各个办公区间能否接收到无线信号，不做特别要求。无线覆盖范围包括主楼1/2/4/8/12/13/15/16/17/18/19/20/21/22/23/24/25层会议室和三个空中花园公共部分，副楼2/3/4/5层会议室，培训室，实现地面到桌面高度覆盖。第1层、第22层两个关键部位的大型会议室部位要实现无信信号的重叠覆盖。防止一台AP故障，另一台AP仍能正

28、常提供无线网络接入的服务。综合了以上几点之后，设备的型号以及配置见第5节的设备清单。4.1.4核心交换机连接采用ARUBA2400交换机，放置在数据中心的网络机房，每台ARUBA2400无线交换机可以支持48个AP接入和管理，完全满足XX企业大楼无线覆盖的需求。同时，无线交换机和AP的连接可以穿透三层，因此，方案的实现完全不影响原有网络的结构，并且可以实现全网的漫游。AP的供电采用单独的Poe供电设备（或与原有的普通楼层交换机配合，不用添加新的POE交换机），用于AP的数据接入和供电，又不增加过多的成本。在ARUBA的解决方案当中，无线交换机的放置位置需要注意以下两点： ARUBA的无线交换机

29、与相连核心交换机/路由器之间端口协商的匹配性：如果存在着匹配失误的情况，则整个网络的稳定性会受到影响。 ARUBA的无线交换机与核心设备之间相连的VLAN情况需要和网络的规划一起进行，一般来说，ARUBA无线交换机和网络核心设备之间会建立VLAN trunk的标志，用于将用户划分到不同的VLAN当中去。4.1.5接入层AP部署ARUBA方案能够方便的实现跨三层部署，接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的ARUBA交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。通常，视AP需要

30、管理的程度以及有线网络的整体架构来规划AP的部署。XX企业大楼的无线接入点已经预留在各对应楼层天花上。4.1.7用户接入策略从xx企业的用户分类与分布情况分析，用户主要分成以下几类：（1）内部员工；（2）Guest用户；使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID，一个定义为OP

31、EN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。另外，可以增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i。SSID可以覆盖全网，也可以只局限于XX企业大楼内的某些范围。一般的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以无线覆盖范围通常只会局限在某些范围内。所以针对XX企业无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。大楼内部的员工可以采用专门的SSID，可以采用级别较高的认证和加密手段，对参加会议人员和来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。4.2认证与加密方案4.2.1设备认证方式建议对于运算和存储能力都相对比较弱的移动终端设备，目前业界普遍的做法是使用静态WEP与基于MAC地址的认证方式来进行设备接入认证。ARUBA无线网络解决方案支持内置和外置的MAC地址数据库用于网络的设备认证，同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备，对于可以借助网络进行