AP-105
首都机场医院体检中心无线网络建设项目
——技术方案
2011年3月
一、需求分析 (4)
1.1总体需求 (4)
1.2 具体需求 (4)
二、网络方案设计 (5)
2.1无线网络设计原则 (5)
2.2 无线局域网产品选择 (7)
2.2.1 品牌选择 (7)
2.2.2 无线控制器型号 (8)
2.2.3 AP型号以及部署方式 (8)
2.3无线网络拓扑图 (9)
2.4设备管理IP地址分配 (10)
2.5客户端IP地址分配 (10)
2.5.1 IP地址分配原则 (10)
2.5.2 IP地址规划 (11)
2.6无线网络认证系统设计 (12)
三、首都机场医院体检中心接入点设计 (12)
3.1室内覆盖方案 (12)
四、方案优点 (13)
五、Aruba无线交换局域网系统技术特点 (13)
5.1 Aruba无线局域网系统架构 (15)
5.1.1先进的无线局域交换机 (15)
5.1.2灵活的组网方式 (15)
5.1.3优秀的扩展性 (15)
5.1.4 无需更改有线网结构 (16)
5.2 Aruba无线局域网的网络管理 (16)
5.2.1 集中式管理 (16)
5.2.2无需安装客户端软件 (17)
5.2.3 RF智能控管 (17)
5.2.4 多个SSID结构 (18)
5.2.5故障自动恢复 (18)
5.2.6网络负载均衡 (18)
5.3 Aruba无线局域网系统的安全管理 (19)
5.3.1 集中的安全管理 (19)
5.3.2多种用户认证方式 (19)
5.3.3 独特的无线访问控制 (19)
5.3.4 安全的AP技术 (20)
5.3.5无线接入点安全侦测和保护 (20)
5.3.6无线网络入侵侦测 (20)
5.3.7无线接入的病毒防护 (20)
5.4无线移动音视频应用 (21)
5.4.1 带宽控制与服务质量保证QOS (21)
5.4.2 无缝的三层漫游 (22)
六、相关产品介绍 (22)
6.1 ARUBA-3200无线控制器 (22)
6.1.1产品规格 (23)
6.2 ARUBA-AP105室内无线接入点 (29)
6.2.1产品规格 (29)
一、需求分析
1.1总体需求
利用灵活便捷的无线接入方式补充有线网络的接入,满足医疗体检中心应用需求。
1.2 具体需求
一、覆盖范围:体检中心全部区域。
二、技术要求
(1)要求无线网络能够对接入用户进行认证,方便用户登陆、并认证用户身份。(2)无线网络应有足够的带宽接入医院网络。
(3)无线网络应当具有带宽管理功能,便于限制用户的接入带宽。
(4)无线网络系统应当考虑到医院内个人或单位自行安装的AP对无线网络的影响并做出相应的对策。
(5)无线网络设备应当能够兼容主流的无线网络协议。
根据首都机场医院无线局域网系统建设要求,无线局域网系统具体建设原则如下:
1、技术成熟
第一代无线局域网主要是采用Fat AP,每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN 产品发展的瓶颈,在这样的环境下,有必要基于无线控制器技术的第三代WLAN 产品应运而生。第三代无线局域网采用无线控制器和Thin AP的架构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。
2、安全可靠
在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:
(1)接入认证:支持多种用户认证方式。能够与当前有线网络中已经部署的东软认证系统配合使用。
(2)采用具有用户状态访问控制的防火墙技术;
(3)具有检测及抑制非法AP的能力;
(4)具有无线网无线入侵检测及防护机制
(5)具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。
具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务。
3、可扩展可升级
通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理,AP既可以提供无线接入,也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便。
4、易管理易维护
在网络管理方面,必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能,使所建的无线网络可以适应多种环境的变化,可动态地保证良好的应用效果。同时,还应具有远端AP数据进行采集、远程监控、终端定位等功能,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。
5、具有带宽管理能力
能够针对每个用户或每组用户设置带宽。如果某一用户的计算机出现故障(如:中毒、BT或硬件故障)使其流量出现异常,通过设置带宽管理参数,使其不会影响其他无线网络用户以及对整个医院网络的冲击。
二、网络方案设计
2.1无线网络设计原则
WLAN的设计要贯彻如下原则:
稳定性
方案采用的网络设备要选用国际知名的厂商成熟产品,其经过大量的实践证
明,运行稳定可靠,保证网络畅通。
●安全性
无线网与院区网、内网及内外网之间的通信均设有不同级别的安全防护措施,保证网络系统不受干扰,正常运行。
要实现与IP地址无关的、基于用户与角色的权限控制系统,能够对外来访客、无线网的新用户进行有效的授权和控制。
系统要对用户进行权限管理,对恶意危害园区网安全的,列入“黑名单”,禁止其访问园区网。
●实用性
按需配置网络设备类型和数量,既保证高性能数据传输又可降低投资成本。
●开放性
所有设备符合国际标准,通用性强,实现与全球网络的互联互通。
●易于管理和维护
无线控制器可以进行远程管理和控制,方便管理和维护。
●可扩展性
本期无线网络项目的实施覆盖的范围有限,要考虑后期AP数量的增加,因此,无线控制器要能够支持AP数量扩展的能力
根据首都机场医院无线局域网系统建设要求,无线局域网系统具体建设原则如下:
1、采用WLAN交换技术及WLAN 交换体系结构。
2、充分利用现有网络结构与资源,不单独组网,AP就近接入有线网络(最近的交换机),并且不改变原有网络结构以及交换机配置。
3、采用集中控管的组网方式,集中控制管理所有的AP。
4、AP的供电可以不单独拉线,采用POE供电的方式。
5、采用先进的WLAN网管系统管理无线局域网。
6、充分考虑WLAN的安全性,采用先进的WLAN安全技术保障。
7、无线局域网系统要支持故障热备冗余能力。
8、无线局域网系统要能方便和灵活地调整与扩充。
2.2 无线局域网产品选择
2.2.1 品牌选择
根据首都机场医院的具体需求,我们建议使用ARUBA公司的无线局域网解决方案。ARUBA是无线网络解决方案的专业厂商,作为第三代无线局域网技术的代表, Aruba产品采用了不同传统“FAT AP”的Wireless Switch+thin AP构架,密集型的处理功能转移到集中的 WLAN 交换机中而实现。同时带来许多重要新功能:无线安全性、AP管理控制、RF站址监测、无缝漫游,针对语音、视频业务有良好表现,它不但具有一、二代无线产品从所有的功能,并且在无线网的安全、规划、管理和对音视频业务的支持方面都有着不可一代和二代产品不可比拟的优势。而且,Aruba可以逻辑组网,利用原有医院网络,不用物理布线,部署灵活方便,可扩展性好。
在安全性方面,ARUBA支持多种用户认证的方式;并且有专有的基于每个用户的个人状态防火墙实现访问控制;AP不存在被偷窃影响安全的问题;在无线的侦测和保护上具有特有的功能。
在规划方面,第三代无线网独有的技术可以不更改原有有线网的路由设定,方便规划实施;还有特有的RF Planning工具,可以大大简化规划的难度。
在管理方面,ARUBA实现真正的集中控管,包括独有的RF智能调控,自动恢复、负载均衡功能,使无线网可以适应环境的变化,动态的保证良好的应用效果;还可以实现远端AP数据采集,方便网管,以及专有的无线终端定位功能;具有多SSID支持,可以方便的把语音、视频和数据的应用分开管理。
在无线音视频应用方面,Aruba独有的基于每个用户的带宽控制和QOS保证,可以确保语音和视频业务的实时性;特有的无缝三层漫游,可以使WIFI电话自由的在任AP间切换,具有目前业界最低的时延。
Aruba的解决方案自2005年4月起大规模地部署在清华大学无线实证网中,经过了长期的测试、验证和考验,我们认为Aruba是目前比较先进、稳定可靠的系统,是最适合在首都机场医院部署的方案。
2.2.2 无线控制器型号
采用ARUBA3200交换机,放置在首都机场医院的网络机房,每台ARUBA3200无线交换机可以支持32个AP接入和管理,完全满足首都机场医院无线覆盖的需求,并留有一定的扩展余量。无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游。
AP的供电采用单独的Poe供电设备(或与原有的普通楼层交换机配合,不用添加新的POE交换机),用于AP的数据接入和供电,又不增加过多的成本。
2.2.3 AP型号以及部署方式
根据首都机场医院的需求,建议采用aruba公司AP-105(支持802.11a\b\g\n)的ap。
经过现场勘察我们确定对于首都机场医院的无线网络覆盖采用如下方式:
AP部署在楼道天花板内或楼道墙壁上,采取壁挂的方式,AP接入楼层接入交换机,采用网线供电。
涉及本次项目的ARUBA AP有
AP105
AP105
AP-105是一个用于室内环境的高速、高性价比、可靠的802.11n接入点。它既可安装在墙顶,也可壁挂安装。AP-105每个无线频段的数据传输率达到300Mbps,能提供像有线一样的性能。
2.3无线网络拓扑图
首都机场医院实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是网管人员不愿意做的事情,采用Aruba系统无需更改现有的有线网结构。
由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便在院区里实施无线局域网,同时也非常方便进行扩展。
对原有的有线网路由器不需要改变路由结构,减轻了由于无线网的建设而对原有网络的结构改变的工作量。
无线网络拓扑图如下:
在院区的网络中心放置一台Aruba3200无线交换机,全网络AP统一接收管理,AP以及通过AP接入进来的用户,通过采用各种策略,将用户划分到各个不同的角色中。这种组网方式具有简易灵活并方便扩容的特点。
当首都机场医院无线局域网规模需要扩大而增加AP数量时,直接扩展无线AP数量以及相应许可证即可, Aruba 3200最多可以支持到32个AP。
在本次无线项目中,Aruba3200 无线网络交换机连接到网络的核心层的一台
交换机上(信息中心节点);而放置于院区任何地方的Aruba AP 通过接入院区原有有线网络和Aruba3200无线交换机进行互连。通过AP连接上来的客户端的所有数据流量则通过GRE隧道(AP和ARUBA3200之间)传送到Aruba3200上,解封装后数据流再传送到院区网中。以此来实现无线网络与院区原有有线网络的互连互通。具体GRE数据流如下图所示:
2.4设备管理IP地址分配
对于网络设备的管理地址,建议使用院区网分配的IP地址。
2.5客户端IP地址分配
2.5.1 IP地址分配原则
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对网络的可用性、可靠性与有效性产生显著影响。在对IP地址
进行规划建设的同时,应充分考虑本地网对IP地址的需求,以满足未来业务发展对IP地址的需求。
IP地址规划遵循以下几点:
?IP地址的规划与划分应该考虑到IP网络的飞速发展,能够满足网络
未来发展的需要;既要满足本期工程对IP地址的需求,同时要充
分考虑未来业务发展,预留相应的地址段;
?IP地址规划应该是院区网整体规划的一部分,即IP地址规划要和网
络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的
规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
?通过预测网络的规模,应该为一个网络区域分配的网络地址留有一
定的容量,便于系统扩展;
?大型局域网规划,应该首先把整个网络划分为几个大区域,方法是
根据地域、设备分布及区域内用户数量来划分,每个大区域又可以
分为几个子区域,每个子区域从它的上一级区域里获取IP地址段
(子网段)。这种方式充分考虑了网络层次和路由协议的规划,通
过聚合网络减少网络中路由的数目和地址维护的数量,充分体现了
分层管理的思想。
?尽量保证本地网内IP地址的较大范围的连续性,通过汇总缩小路由
表,提高转发效率;
?IP地址的分配必须采用VLSM技术,保证IP地址的利用效率;
?采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路
由的收敛速度,也可以减小网络中广播的路由信息的大小;
?充分合理利用已申请的地址空间,提高地址的利用效率。
?简单一致性:地址分配力求简单,分配规则力求一致,便于日后对
IP地址的管理。
2.5.2 IP地址规划
考虑同时接入无线网络的人数,建议考虑为用户IP地址分配1个C的地址段。客户端IP地址分配方式建议采用DHCP方式。
2.6无线网络认证系统设计
目前业界普遍的做法是使用静态wpa加密与基于MAC地址的认证方式来进行设备接入认证。
当用户想要接入无线网络,首先要由网管在用户电脑输入wpa加密密钥,其次在aruba内置数据库中存入用户MAC地址,这样这台电脑就可以使用无线网络。
对于非法用户,由于非法用户不知道wpa密钥,可避免非法用户关联到无线网络中,即使wpa密钥泄漏,由于非法用户MAC地址不在aruba内置数据库中,aruba也会拒绝非法用户使用无线网络。
(建议wpa密钥由网管管理,避免泄漏。)
三、首都机场医院体检中心接入点设计
3.1室内覆盖方案
体检中心用6个AP覆盖,AP放置在楼道顶部,AP放置位置如下图。
四、方案优点
Aruba无线解决方案具有如下优点:
●覆盖范围比较全面,大部分采用室内覆盖。用于室外覆盖的AP都相应
配置了大增益天线。这样更有利于学校在无线网络上开展业务。
●设备技术先进,Aruba是无线领域最新技术的代表。本方案采用最先进
的无线控制器+瘦AP构架。无线控制器采用交换机构架拥有强大处理能
力。
●由于采用网络处理器技术(NP)和交换机架构使Aruba产品产品性能级
高。
●集中管理,不需要安装额外的网管软件就能够能够实现对无线网络的集
中管理。
●部署方便,无须更改现有有线网络结构,尽可能的减少安装部署成本。
●扩展能力强。本方案中已经部署的无线控制器能够最多支持32个AP,
而本方案中设计的实际部署以及作为临时组网和备份的AP数量总数为
6个AP,因此当需要增加AP数量时只需要在购置一些AP及相应的
license即可。
●支持基于个人状态的防火墙,实现方便、灵活的访问控制。
●强大安全功能,AP能够设置成为专门AM(无线监视器)模式,在特定
时期能够提升无线网络安全级别。
●快速漫游,能够支持2层和3层无缝快速漫游,由于在本次项目中每个
院区仅部署一台控制器,因此不存在长距离跨交换机的漫游情况发生,
因此能够保证用户切换时间控制在20ms以内。并且漫游采用标准移动
IP技术,因此能够保证用户漫游过程中IP地址保持不变。
五、Aruba无线交换局域网系统技术特点
第一代无线局域网技术采用单纯的AP实现无线接入,基本上没有其它功能。第二代无线局域网技术(以正诚、昂科、Bluesocket等为代表),采用AC+智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,
有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。
由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。
第三代无线局域网技术采用无线交换网络架构(以Aruba和Cisco为代表),实现了基于无线网络控制器,以AP为单元交换的无线网络系统,Aruba是采用独立的无线网络控制器实现的。
作为第三代的Aruba无线系统采用了Wireless Switch+AP构架,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos保证。
Aruba无线系统不但具有一、二代无线产品所有的功能,并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。
在无线网融合到有线网络方面,Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定,使得无线网络的规划和实施非常方便。
在无线网络管理方面,Aruba无线系统实现真正的集中控管,包括独有的RF 智能调控,自动恢复、负载均衡功能,使无线网可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端AP状态监测,方便实现对AP的管理;具有多SSID支持,实现了对无线数据、语音和视频的应用带宽管理。
在无线安全性方面,Aruba无线系统具备多种用户认证、、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。
在无线音视频应用方面,Aruba独有的基于每个用户的带宽控制和QOS保证,可以确保语音和视频业务的实时性,先进的无缝三层移动漫游,使得VoIP以及
Wi-fi 手机可以自由的在任意AP间切换,具有目前业界最低的时延。
5.1 Aruba无线局域网系统架构
5.1.1先进的无线局域交换机
领导第三代的无线网络技术的Aruba公司无线系统采用了Wireless Switch +thin AP构架,将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现,同时增加了许多无线局域网全新的功能。
诸如:无线安全性、AP管理控制、RF站址监测、无缝移动漫游,特别是对语音、视频业务的支持有专门的Qos保证,使得VoWlan应用的Wi-Fi技术应用飞速发展。
5.1.2灵活的组网方式
第三代的Aruba产品可以根据从小型的无线网规模(几十个AP),到大型无线网规模(几百个AP,甚至上千个AP),都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制,保证系统的高可用性。
5.1.3优秀的扩展性
无线网络具有非常方便扩展的特性。在组建无线网时必须要考虑系统的扩展性
。在网络系统扩展性方面,Aruba的一台3200型交换机可灵活地对从1个AP到32个AP扩充,因此扩展AP非常容易;从网络管理扩展性方面, Aruba的Master/Local方式, Master Aruba 交换机可以同时控制管理28台的Local Aruba交换机,因此增加交换机也非常容易管理。
除了AP数量之外,怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在院区网内正常远作,包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。
5.1.4 无需更改有线网结构
实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是网管人员不愿意做的事情,采用Aruba系统无需更改现有的有线网结构。
由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便实施无线局域网,同时也非常方便进行扩展。
ARUBA的无线控制器可以安装在中心机房,而AP则可以放置于的任何地方,无需用二层设备连到无线控制器,或者划分VLAN;其他厂家则需要二层交换机连接或者划分VLAN,否则只能将认证点下放到AP上,导致整体性能的降低和漫游特性的缺失。
对原有的有线网路由器不需要改变路由结构,减轻了由于无线网的建设而对原有网络的结构改变的工作量。
5.2 Aruba无线局域网的网络管理
5.2.1 集中式管理
网络数据中心管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。
Aruba系统具有非常强的无线局域网集中管理功能,通过无线控制器Master Switch和Local Switch管理模式管理整个网络,网管人员只需在无线控制器就可开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。
5.2.2无需安装客户端软件
Aruba系统无需为每一个移动用户终端安装无线接入软件, Aruba的认证可以基于WEB页面认证,认证只需用户打开浏览器就可以登陆。
ARUBA采用GRE隧道技术,可以透明地穿透在无线控制器和AP之间的任何三层网络交换设备实现WEB认证,而其他的厂家在这种网络环境下,必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1客户端软件才能实现WEB页面认证。
5.2.3 RF智能控管
Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。
初次安装无线局域网时,用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。
Aruba系统的RF智能控管可以自动对网上所有Aruba AP的无线电波管理。
当无线局域网经过自动校准的调整后而正式投入网络运作时,网络管理员可在Aruba 交换机内启动ARM这功能,无线网上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指Aruba AP 从一个电波频道跳到另一频道时,如Ch 1 到 Ch 2 到 Ch 3....,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响地。当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回Aruba 无线控制器。
Aruba 无线控制器可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba 无线控制器就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波。
5.2.4 多个SSID结构
Aruba系统的多SSID结构和和实现技术使得在Aruba无线局域网系统的各种多媒体应用服务(数据、语音和视频)在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID,例如一个SSID可给学校内部教师、工作人员以及学生所用,而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。
在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在一个视频SSID内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过,以确保其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议通过,以确保其它数据不能进入这SSID。
可在多SSID的情况下确保语音和视频的Qos支持。
5.2.5故障自动恢复
传统的无线网在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。
Aruba系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当发觉有AP出现故障时,Aruba交换机能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。
5.2.6网络负载均衡
Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无
线系统可应用层面通过4-7层交换模块可以实现服务器的负载均衡,VPN设备,防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。
在视频应用中,负载均衡功能可以有效的缓解单个AP的负担,有效的利用临近的AP做接入,从而确保视频应用的质量得到保证。
5.3 Aruba无线局域网系统的安全管理
5.3.1 集中的安全管理
Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线控制器上来完成的,解决了传统的无线网对安全的分散管理(AP、AC)和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。
5.3.2多种用户认证方式
在Aruba无线系统中,一个无线用户进入无线网以后,会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。
Aruba无线系统支持目前各种用户认证的方式(802.1、WEB认证、MAC、SSID、VPN等)。
5.3.3 独特的无线访问控制
用户状态防火墙是Aruba无线控制器的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如工作人员可以使用更多的服务,而访客只可以浏
览网页、收发Email等,这样可以极大方便用户的安全管理。
5.3.4 安全的AP技术
Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在Aruba无线控制器上实现。由于Aruba的AP是不储存任何网络配置(IP地址除外)和安全设置,因此Aruba 管理的AP是不能单独工作的,因此获得和接入进Aruba AP,黑客也不会拿到无线网的网络和安全配置参数。
5.3.5无线接入点安全侦测和保护
采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过Aruba 的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。
5.3.6无线网络入侵侦测
今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对学校、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。
Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当Aruba 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。
5.3.7无线接入的病毒防护
Aruba无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准