某運(yùn)營(yíng)商無(wú)線局域網(wǎng)解決方案建議書(shū).doc

xxx運(yùn)營(yíng)商無(wú)線局域網(wǎng)解決方案建議書(shū)2006年11月目 錄一、xxx運(yùn)營(yíng)商無(wú)線局域網(wǎng)系統(tǒng)建設(shè)需求31項(xiàng)目背景311無(wú)線網(wǎng)絡(luò)業(yè)務(wù)需求3xxx 運(yùn)營(yíng)商wlan業(yè)務(wù)4wlan業(yè)務(wù)要求4wlan系統(tǒng)業(yè)務(wù)類型5二、xxx運(yùn)營(yíng)商無(wú)線局域網(wǎng)設(shè)計(jì)原則和技術(shù)需求621遵循標(biāo)準(zhǔn)622技術(shù)成熟623安全可靠724可擴(kuò)展可升級(jí)725易管理易維護(hù)826技術(shù)需求8三、aruba無(wú)線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn)931 aruba無(wú)線局域網(wǎng)系統(tǒng)架構(gòu)11311先進(jìn)的無(wú)線局域交換機(jī)11312靈活的組網(wǎng)方式11313優(yōu)秀的擴(kuò)展性11314 無(wú)需更改有線網(wǎng)結(jié)構(gòu)12315方便地?zé)o線網(wǎng)規(guī)劃設(shè)計(jì)1332 aruba無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理14321 集中式管理14322無(wú)需安裝客戶端軟件14323 rf智能控管15324 多個(gè)ssid結(jié)構(gòu)16325故障自動(dòng)恢復(fù)17326網(wǎng)絡(luò)負(fù)載均衡17327 無(wú)線終端定位1833 aruba無(wú)線局域網(wǎng)系統(tǒng)的安全管理18331 集中的安全管理18332多種用戶認(rèn)證方式18333 獨(dú)特的無(wú)線訪問(wèn)控制19334 安全的ap技術(shù)19335無(wú)線接入點(diǎn)安全偵測(cè)和保護(hù)20336無(wú)線網(wǎng)絡(luò)入侵偵測(cè)20337無(wú)線接入的病毒防護(hù)2134無(wú)線移動(dòng)音視頻應(yīng)用22341 帶寬控制與服務(wù)質(zhì)量保證qos22342 voip與wi-fi 手機(jī)22343 無(wú)縫的三層漫游23四、xxx 運(yùn)營(yíng)商無(wú)線局域網(wǎng)方案建議254.1無(wú)線組網(wǎng)方式設(shè)計(jì)25411中型無(wú)線局域網(wǎng)(100到250個(gè)ap)集中式組網(wǎng)25412大型無(wú)線局域網(wǎng)(250個(gè)ap以上)分布式組網(wǎng)26413大型無(wú)線局域網(wǎng)(250個(gè)ap以上)集中式組網(wǎng)26414 xxx 運(yùn)營(yíng)商無(wú)線局域網(wǎng)的組網(wǎng)設(shè)計(jì)2742多業(yè)務(wù)區(qū)分設(shè)計(jì)2743網(wǎng)絡(luò)與用戶管理2844無(wú)線安全性設(shè)計(jì)2945移動(dòng)漫游設(shè)計(jì)30五、xxx 運(yùn)營(yíng)商無(wú)線局域網(wǎng)系統(tǒng)建議3251無(wú)線覆蓋建議3252無(wú)線組網(wǎng)實(shí)現(xiàn)3253網(wǎng)絡(luò)用戶與應(yīng)用管理實(shí)現(xiàn)3354多媒體與網(wǎng)絡(luò)教學(xué)以及音視頻應(yīng)用的實(shí)現(xiàn)3455無(wú)線網(wǎng)的安全系統(tǒng)實(shí)現(xiàn)345、6無(wú)線交換機(jī)的配置實(shí)施建議35561 ap的vlan和無(wú)線用戶的vlan35562vlan和無(wú)線ssid的關(guān)系35563 aruba無(wú)線局域網(wǎng) 不需更改局域網(wǎng)路由36六、 設(shè)備配置清單37附件一、aruba無(wú)線產(chǎn)品簡(jiǎn)介38一、無(wú)線交換機(jī)38二、aruba access 系列39 37一、 xxx運(yùn)營(yíng)商無(wú)線局域網(wǎng)系統(tǒng)建設(shè)需求1項(xiàng)目背景（xxx運(yùn)營(yíng)商介紹、概況）此次無(wú)線局域網(wǎng)系統(tǒng)項(xiàng)目的是針對(duì)xxx運(yùn)營(yíng)商所屬的建筑群做無(wú)線局域網(wǎng)的覆蓋，滿足數(shù)據(jù)、語(yǔ)音和視頻多方面的網(wǎng)絡(luò)應(yīng)用需求。具體需求如下：11無(wú)線網(wǎng)絡(luò)業(yè)務(wù)需求無(wú)線局域網(wǎng)（以下簡(jiǎn)稱wlan）作為一種能夠在一定區(qū)域范圍內(nèi)支持移動(dòng)特性的無(wú)線寬帶接入手段，為xxx 運(yùn)營(yíng)商開(kāi)展移動(dòng)數(shù)據(jù)業(yè)務(wù)提供了一種重要手段。wlan業(yè)務(wù)的開(kāi)展要求無(wú)線設(shè)備應(yīng)該支持以下原則：l 在xxx 運(yùn)營(yíng)商wlan網(wǎng)絡(luò)建設(shè)中，遵循國(guó)家環(huán)保局和無(wú)委電磁輻射的要求。l wlan接入點(diǎn)的部署以熱點(diǎn)地區(qū)和業(yè)務(wù)匯聚區(qū)為主，如機(jī)場(chǎng)，飯店，寫(xiě)字樓群，會(huì)展中心，以及其他商務(wù)人員經(jīng)常聚集的公共場(chǎng)所。l 支持在xxx 運(yùn)營(yíng)商wlan覆蓋范圍內(nèi)的用戶漫游。l 用戶認(rèn)證采用多種接入方式為主，同時(shí)支持用戶名/密碼認(rèn)證方式。xxx 運(yùn)營(yíng)商wlan用戶認(rèn)證和現(xiàn)有g(shù)sm網(wǎng)絡(luò)資源和現(xiàn)有radius認(rèn)證系統(tǒng)高度融合。l 支持基于時(shí)長(zhǎng)和流量的多種計(jì)費(fèi)形式，并為現(xiàn)有移動(dòng)用戶提供統(tǒng)一帳單。l 為用戶提供安全的wlan接入方式，保護(hù)合法用戶的認(rèn)證和數(shù)據(jù)信息，防止非法用戶的入侵。xxx 運(yùn)營(yíng)商wlan業(yè)務(wù)基于802.11的wlan接入技術(shù)要求無(wú)線設(shè)備能夠提供多種帶寬的選擇，并且支持全wlan覆蓋地區(qū)的移動(dòng)性，可滿足用戶使用筆記本電腦、pda等現(xiàn)有移動(dòng)設(shè)備的高速上網(wǎng)需求，同時(shí)為wlan移動(dòng)用戶使用寬帶多媒體業(yè)務(wù)提供了可能。 wlan業(yè)務(wù)要求(1) 一鍵上網(wǎng)wlan用戶能夠通過(guò)接入無(wú)線網(wǎng)絡(luò)設(shè)備及其相關(guān)客戶端軟件方便地使用xxx 運(yùn)營(yíng)商提供的各種網(wǎng)絡(luò)接入。(2) 業(yè)務(wù)控制wlan接入技術(shù)要求無(wú)線網(wǎng)絡(luò)設(shè)備能夠?yàn)橛脩舫休d所提供的更多類型的數(shù)據(jù)業(yè)務(wù)，并且可以捆綁xxx 運(yùn)營(yíng)商現(xiàn)有的各種數(shù)據(jù)業(yè)務(wù)（如mms等）。通過(guò)集中設(shè)置或者導(dǎo)入現(xiàn)有的各種業(yè)務(wù)控制機(jī)制，來(lái)引導(dǎo)用戶對(duì)xxx 運(yùn)營(yíng)商數(shù)據(jù)業(yè)務(wù)的使用。(3) 多種計(jì)費(fèi)方式wlan業(yè)務(wù)要求無(wú)線網(wǎng)絡(luò)設(shè)備能夠與其他相關(guān)設(shè)備配合支持基于時(shí)長(zhǎng)和流量的多種計(jì)費(fèi)形式。將來(lái)應(yīng)支持基于qos和內(nèi)容的計(jì)費(fèi)。(4) 用戶漫游，認(rèn)證和計(jì)費(fèi)無(wú)線網(wǎng)絡(luò)設(shè)備能夠支持wlan業(yè)務(wù)用戶在xxx 運(yùn)營(yíng)商wlan覆蓋范圍內(nèi)的漫游識(shí)別，認(rèn)證和計(jì)費(fèi)。隨著業(yè)務(wù)和技術(shù)的發(fā)展，將來(lái)能夠支持用戶在不同運(yùn)營(yíng)商wlan覆蓋之間的漫游。(5) 安全的數(shù)據(jù)業(yè)務(wù)接入要求無(wú)線網(wǎng)絡(luò)設(shè)備能夠與其他相關(guān)設(shè)備配合為用戶提供安全的wlan接入方式，保護(hù)合法用戶的認(rèn)證和數(shù)據(jù)信息，防止非法用戶的入侵。(6) 熱點(diǎn)地區(qū)局部無(wú)縫切換要求能夠支持wlan業(yè)務(wù)用戶在熱點(diǎn)地區(qū)不同ap間的無(wú)縫切換而不中斷用戶數(shù)據(jù)連接。 wlan系統(tǒng)業(yè)務(wù)類型通過(guò)wlan接入方式，無(wú)線網(wǎng)絡(luò)設(shè)備能夠支持為wlan用戶提供豐富的數(shù)據(jù)業(yè)務(wù)類型，主要包括：(1) 支持互聯(lián)網(wǎng)無(wú)線寬帶接入wlan為用戶訪問(wèn)internet提供了一種寬帶接入方式。通過(guò)wlan接入設(shè)備，用戶能夠高速使用www，ftp，e-mail等各種internet業(yè)務(wù)。(2) 支持虛擬專用網(wǎng)業(yè)務(wù)(vpn)移動(dòng)辦公者可以通過(guò)wlan接入方式，高速訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源，如企業(yè)內(nèi)部網(wǎng)頁(yè)，內(nèi)部郵件系統(tǒng)，內(nèi)部文件系統(tǒng)等。(3) 支持多媒體數(shù)據(jù)業(yè)務(wù)wlan接入方式為用戶使用多媒體應(yīng)用（如視頻點(diǎn)播、數(shù)字視頻廣播、視頻會(huì)議、遠(yuǎn)程醫(yī)療、遠(yuǎn)程購(gòu)物、遠(yuǎn)程監(jiān)控、遠(yuǎn)程教學(xué)等）提供了可能。(4) 支持基于wlan的增值業(yè)務(wù)基于wlan接入方式的的數(shù)據(jù)業(yè)務(wù)可以和現(xiàn)有的數(shù)據(jù)業(yè)務(wù)結(jié)合，如voip語(yǔ)音應(yīng)用，短消息服務(wù)，移動(dòng)電子郵件，移動(dòng)個(gè)人理財(cái)，娛樂(lè)天地，位置服務(wù)，游戲等。xxx 運(yùn)營(yíng)商可以利用業(yè)務(wù)控制手段如門(mén)戶網(wǎng)站來(lái)引導(dǎo)用戶對(duì)增值業(yè)務(wù)的使用。二、 xxx運(yùn)營(yíng)商無(wú)線局域網(wǎng)設(shè)計(jì)原則和技術(shù)需求21遵循標(biāo)準(zhǔn)無(wú)線局域網(wǎng)采用的技術(shù)支持應(yīng)為國(guó)際標(biāo)準(zhǔn)或業(yè)界標(biāo)準(zhǔn)，不使用某個(gè)廠商的專用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護(hù)。根據(jù)的需求和無(wú)線網(wǎng)建設(shè)與設(shè)計(jì)原則，建議采用美國(guó)aruba networks公司的第三代無(wú)線交換局域網(wǎng)系統(tǒng)（以下簡(jiǎn)稱aruba無(wú)線系統(tǒng)），完成無(wú)線局域網(wǎng)覆蓋項(xiàng)目。22技術(shù)成熟第一代無(wú)線局域網(wǎng)主要是采用fat ap，每一臺(tái)ap都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無(wú)線局域網(wǎng)融入了無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代wlan產(chǎn)品發(fā)展的瓶頸，在這樣的環(huán)境下，基于無(wú)線交換機(jī)技術(shù)的第三代wlan產(chǎn)品應(yīng)運(yùn)而生。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)和thin ap的架構(gòu)，使得無(wú)線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。23安全可靠在網(wǎng)絡(luò)安全性方面，無(wú)線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護(hù)措施，無(wú)線網(wǎng)的安全性主要從以下幾個(gè)方面考慮：（1）接入認(rèn)證：具有支持多種用戶認(rèn)證方式；（2）采用具有用戶狀態(tài)訪問(wèn)控制的防火墻技術(shù)；（3）具有數(shù)據(jù)在無(wú)線信道上傳輸?shù)膙pn機(jī)制；（4）具有無(wú)線網(wǎng)的防病毒機(jī)制（5）具有無(wú)線電波監(jiān)控能力，能提供無(wú)線入侵偵測(cè)和無(wú)線終端位置的追蹤功能。具有提供智能化的無(wú)線電波自動(dòng)調(diào)控與切換能力，以確保單個(gè)ap接入點(diǎn)在發(fā)生故障時(shí)自動(dòng)切換到鄰近ap，不會(huì)影響無(wú)線的接入服務(wù)；具有支持熱備份的無(wú)線交換機(jī)n+1的冗余備份機(jī)制。24可擴(kuò)展可升級(jí)通過(guò)一個(gè)集中的無(wú)線局域網(wǎng)網(wǎng)管平臺(tái)實(shí)現(xiàn)對(duì)所有的ap功能的配置和管理，ap既可以提供無(wú)線接入，也可設(shè)置為無(wú)線入侵監(jiān)控、無(wú)線終端追蹤定位、無(wú)線電波傳輸分析的工作模式。同時(shí)整個(gè)系統(tǒng)可以根據(jù)用戶的需要進(jìn)行規(guī)模上的擴(kuò)展，擴(kuò)展后所有功能和管理的模式保持不便。25易管理易維護(hù)在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動(dòng)恢復(fù)、負(fù)載均衡等實(shí)用功能，使所建的無(wú)線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動(dòng)態(tài)地保證良好的應(yīng)用效果。同時(shí)，還應(yīng)具有遠(yuǎn)端ap數(shù)據(jù)進(jìn)行采集、遠(yuǎn)程監(jiān)控、終端定位等功能，支持多ssid，可以方便的把語(yǔ)音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進(jìn)行分開(kāi)管理。26技術(shù)需求根據(jù)xxx 運(yùn)營(yíng)商無(wú)線局域網(wǎng)系統(tǒng)建設(shè)要求，無(wú)線局域網(wǎng)系統(tǒng)建設(shè)原則如下：1、采用wlan交換技術(shù)及wlan交換體系結(jié)構(gòu)。2、充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨(dú)組網(wǎng)，ap就近接入有線網(wǎng)絡(luò)（最近的交換機(jī)），并且不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)以及交換機(jī)配置。3、采用集中控管的組網(wǎng)方式，集中控制管理所有的ap。4、ap的供電可以不單獨(dú)拉線，采用poe供電的方式。5、采用先進(jìn)的wlan網(wǎng)管系統(tǒng)管理xxx 運(yùn)營(yíng)商局域網(wǎng)。6、充分考慮wlan的安全性，采用先進(jìn)的wlan安全技術(shù)保障。7、無(wú)線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。8、無(wú)線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)充。三、 aruba無(wú)線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn)第一代無(wú)線局域網(wǎng)技術(shù)采用單純的ap實(shí)現(xiàn)無(wú)線接入，基本上沒(méi)有其它功能。第二代無(wú)線局域網(wǎng)技術(shù)（以正誠(chéng)、昂科、bluesocket等為代表），采用ac智能ap構(gòu)架，ac兩者實(shí)質(zhì)均為二層設(shè)備，ap實(shí)現(xiàn)接入、ac實(shí)現(xiàn)匯聚和認(rèn)證功能，有的廠商的ac實(shí)現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如：web認(rèn)證、流量的控制、訪問(wèn)的控制等；支持vlan、vpn、wpa等基本的安全管理，它們無(wú)法實(shí)現(xiàn)對(duì)無(wú)線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的ap儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，radius client的安全密碼 (secret) 等，而ap又是分散在建筑物中的各個(gè)位置，一旦ap的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于ac或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (ip sessions)增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。第三代無(wú)線局域網(wǎng)技術(shù)采用無(wú)線交換網(wǎng)絡(luò)架構(gòu)（以aruba和cisco為代表），實(shí)現(xiàn)了基于無(wú)線網(wǎng)絡(luò)交換機(jī)，以ap為單元交換的無(wú)線網(wǎng)絡(luò)系統(tǒng)，aruba是采用獨(dú)立的無(wú)線網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)的。作為第三代的aruba無(wú)線系統(tǒng)采用了wireless switchap構(gòu)架，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 wlan 交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、ap間自適應(yīng)、無(wú)線安管、rf監(jiān)測(cè)、無(wú)縫漫游以及qos保證。aruba無(wú)線系統(tǒng)不但具有一、二代無(wú)線產(chǎn)品所有的功能，并且在無(wú)線網(wǎng)的規(guī)劃、管理、安全和對(duì)音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢(shì)。在無(wú)線網(wǎng)融合到有線網(wǎng)絡(luò)方面，aruba無(wú)線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更改原有線網(wǎng)的路由設(shè)定，使得無(wú)線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。在無(wú)線網(wǎng)絡(luò)管理方面，aruba無(wú)線系統(tǒng)實(shí)現(xiàn)真正的集中控管，包括獨(dú)有的rf智能調(diào)控，自動(dòng)恢復(fù)、負(fù)載均衡功能，使無(wú)線網(wǎng)可以適應(yīng)無(wú)線環(huán)境中的電磁波變化，動(dòng)態(tài)自動(dòng)調(diào)節(jié)到最佳應(yīng)用效果；還可以實(shí)現(xiàn)遠(yuǎn)端ap狀態(tài)監(jiān)測(cè)，方便實(shí)現(xiàn)對(duì)ap的管理；具有多ssid支持，實(shí)現(xiàn)了對(duì)無(wú)線數(shù)據(jù)、語(yǔ)音和視頻的應(yīng)用帶寬管理。在無(wú)線安全性方面，aruba無(wú)線系統(tǒng)具備多種用戶認(rèn)證、基于用戶的狀態(tài)防火墻、vpn加密機(jī)制、無(wú)線入侵偵測(cè)、無(wú)線接入病毒防護(hù)功能以及集中的安全管理。在無(wú)線音視頻應(yīng)用方面，aruba獨(dú)有的基于每個(gè)用戶的帶寬控制和qos保證，可以確保語(yǔ)音和視頻業(yè)務(wù)的實(shí)時(shí)性，先進(jìn)的無(wú)縫三層移動(dòng)漫游，使得voip以及wi-fi 手機(jī)可以自由的在任意ap間切換，具有目前業(yè)界最低的時(shí)延。31 aruba無(wú)線局域網(wǎng)系統(tǒng)架構(gòu)311先進(jìn)的無(wú)線局域交換機(jī)領(lǐng)導(dǎo)第三代的無(wú)線網(wǎng)絡(luò)技術(shù)的aruba公司無(wú)線系統(tǒng)采用了wireless switchthin ap構(gòu)架，將第二代分散在ap+ac上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的 wlan 交換機(jī)中實(shí)現(xiàn)，同時(shí)增加了許多無(wú)線局域網(wǎng)全新的功能。諸如：無(wú)線安全性、ap管理控制、rf站址監(jiān)測(cè)、無(wú)縫移動(dòng)漫游，特別是對(duì)語(yǔ)音、視頻業(yè)務(wù)的支持有專門(mén)的qos保證，使得vowlan應(yīng)用的wi-fi技術(shù)應(yīng)用飛速發(fā)展。312靈活的組網(wǎng)方式第三代的aruba產(chǎn)品可以根據(jù)從小型的無(wú)線網(wǎng)規(guī)模（幾十個(gè)ap），到大型無(wú)線網(wǎng)規(guī)模（幾百個(gè)ap，甚至上千個(gè)ap），都可以采用集中或者分布式的組網(wǎng)方式進(jìn)行靈活的組網(wǎng)。并可以提供冗余熱備份機(jī)制，保證系統(tǒng)的高可用性。313優(yōu)秀的擴(kuò)展性 無(wú)線網(wǎng)絡(luò)具有非常方便擴(kuò)展的特性。在組建無(wú)線網(wǎng)時(shí)必須要考慮系統(tǒng)的擴(kuò)展性。在網(wǎng)絡(luò)系統(tǒng)擴(kuò)展性方面，aruba的一臺(tái)6000型交換機(jī)可靈活地對(duì)從48個(gè)ap到128個(gè)ap擴(kuò)充到支持512個(gè) ap，因此擴(kuò)展ap非常容易；從網(wǎng)絡(luò)管理擴(kuò)展性方面, aruba的master/local方式， master aruba 交換機(jī)可以同時(shí)控制管理28臺(tái)的local aruba交換機(jī)，因此增加交換機(jī)也非常容易管理。除了ap數(shù)量之外，怎樣控管大量的ap和部署也是擴(kuò)展性的重要考慮因素。要妥善處理數(shù)目眾多的ap在xxx 運(yùn)營(yíng)商網(wǎng)內(nèi)正常遠(yuǎn)作，包括無(wú)線電波協(xié)調(diào)、無(wú)線用戶的帶寬和安全訪問(wèn)控管以及其它各種各樣的無(wú)線增值服務(wù)都可以通過(guò)aruba系統(tǒng)的網(wǎng)管系統(tǒng)實(shí)現(xiàn)。314 無(wú)需更改有線網(wǎng)結(jié)構(gòu)xxx 運(yùn)營(yíng)商實(shí)現(xiàn)無(wú)線局域網(wǎng)接入，需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改，這當(dāng)然是網(wǎng)管人員不愿意做的事情，采用aruba系統(tǒng)無(wú)需更改現(xiàn)有的有線網(wǎng)結(jié)構(gòu)。由于無(wú)線用戶的傳輸是通過(guò)aruba ap 內(nèi)已建立的gre隧道和aruba交換機(jī)互連的，所以實(shí)際上無(wú)線用戶的vlan是無(wú)須在接入層和匯聚層存在。無(wú)線用戶的vlan是可透過(guò)aruba交換機(jī)和骨干交換機(jī)互連互通。這樣非常方便在xxx 運(yùn)營(yíng)商里實(shí)施無(wú)線局域網(wǎng)，同時(shí)也非常方便進(jìn)行擴(kuò)展。aruba的無(wú)線交換機(jī)可以安裝在運(yùn)營(yíng)商的中心機(jī)房，而ap則可以放置于xxx 運(yùn)營(yíng)商的任何地方，無(wú)需用二層設(shè)備連到無(wú)線交換機(jī)，或者劃分vlan；其他廠家則需要二層交換機(jī)連接或者劃分vlan，否則只能將認(rèn)證點(diǎn)下放到ap上，導(dǎo)致整體性能的降低和漫游特性的缺失。不用劃分vlan，對(duì)于無(wú)線網(wǎng)絡(luò)的管理帶來(lái)極大的便利性。對(duì)原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無(wú)線網(wǎng)的建設(shè)而對(duì)原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。315方便地?zé)o線網(wǎng)規(guī)劃設(shè)計(jì)在規(guī)劃一個(gè)無(wú)線局域網(wǎng)絡(luò)時(shí)，規(guī)劃設(shè)計(jì)者一項(xiàng)重要的工作是要考慮安裝多少ap可以滿足覆蓋？應(yīng)在哪些位置安裝ap，安裝后電波的覆蓋范圍，信號(hào)在不同位置的強(qiáng)弱等，要完成此項(xiàng)工作，通常做法是規(guī)劃設(shè)計(jì)者要在現(xiàn)場(chǎng)做大量的測(cè)試工作，通過(guò)經(jīng)驗(yàn)去估算位置和數(shù)量，其工作量非常之大，無(wú)法預(yù)先規(guī)劃每個(gè)ap的電磁波和功率參數(shù)以及ap之間的覆蓋相交范圍。aruba首創(chuàng)開(kāi)發(fā)了rf planning工具，讓規(guī)劃設(shè)計(jì)者在無(wú)線局域網(wǎng)組網(wǎng)之初采用rf planning在計(jì)算機(jī)上做規(guī)劃設(shè)計(jì)，估算在要求的覆蓋面積上ap應(yīng)安裝的物理位置所在。使用這套工具時(shí)，在數(shù)字化的xxx 運(yùn)營(yíng)商建筑圖紙上設(shè)定無(wú)線所覆蓋范圍如那幾個(gè)樓層和面積大小，輸入有關(guān)無(wú)線覆蓋和傳輸模型的相關(guān)參數(shù)，如無(wú)線終端的平均帶寬，ap和ap之間覆蓋面等。rf planning自動(dòng)計(jì)算，然后顯示出ap在圖上的安裝坐標(biāo)位置和無(wú)線電波的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝ap，在無(wú)線網(wǎng)安裝完成后，網(wǎng)管人員通過(guò)rf 規(guī)劃自動(dòng)校準(zhǔn)功能， aruba交換機(jī)可以自動(dòng)調(diào)節(jié)無(wú)線網(wǎng)上所有aruba ap的頻道與功率參數(shù)以達(dá)到一個(gè)最優(yōu)性能的運(yùn)行狀態(tài)。在無(wú)線局域網(wǎng)系統(tǒng)投入運(yùn)行后，網(wǎng)管人員可通過(guò)rf planning隨時(shí)監(jiān)測(cè)網(wǎng)內(nèi)的每個(gè)ap的無(wú)線電波實(shí)際的運(yùn)行狀態(tài)，及時(shí)掌握每個(gè)ap的工作狀態(tài)和故障診斷，及時(shí)做出調(diào)整策略。aruba rf planning為無(wú)線網(wǎng)的規(guī)劃設(shè)計(jì)、調(diào)試以及維護(hù)提供科學(xué)化和規(guī)范化的管理。32 aruba無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理321 集中式管理網(wǎng)絡(luò)數(shù)據(jù)中心管理一個(gè)具有規(guī)模的無(wú)線局域網(wǎng)（通常在幾十個(gè)ap以上）是一件非常頭痛的事情。從rf覆蓋面，帶寬，用戶的認(rèn)證，以及接入的安全都要考慮。由于傳統(tǒng)的無(wú)線局域網(wǎng)是單純基于ap，因此對(duì)于無(wú)線網(wǎng)絡(luò)的管理，其大量工作是要在每個(gè)ap上進(jìn)行設(shè)置和更改。其工作量在有一定數(shù)量ap的無(wú)線網(wǎng)里是非常大和煩瑣的，而且無(wú)線局域網(wǎng)是一個(gè)整體系統(tǒng)，ap之間必須互協(xié)調(diào)工作，單獨(dú)改變一個(gè)ap參數(shù)和配置會(huì)引起ap之間的無(wú)線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會(huì)產(chǎn)生問(wèn)題。aruba系統(tǒng)具有非常強(qiáng)的無(wú)線局域網(wǎng)集中管理功能，通過(guò)無(wú)線交換機(jī)master switch和local switch管理模式管理整個(gè)網(wǎng)絡(luò)，網(wǎng)管人員只需在無(wú)線交換機(jī)就可開(kāi)通、管理、維護(hù)所有ap設(shè)備以及移動(dòng)終端，包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。 322無(wú)需安裝客戶端軟件aruba系統(tǒng)無(wú)需為每一個(gè)移動(dòng)用戶終端安裝無(wú)線接入軟件， aruba的認(rèn)證可以基于web頁(yè)面認(rèn)證，認(rèn)證只需用戶打開(kāi)瀏覽器就可以登陸。aruba采用gre隧道技術(shù)，可以透明地穿透在無(wú)線交換機(jī)和ap之間的任何三層網(wǎng)絡(luò)交換設(shè)備實(shí)現(xiàn)web認(rèn)證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標(biāo)準(zhǔn)的l2tp 或 ipsec 或 802.1客戶端軟件才能實(shí)現(xiàn)web頁(yè)面認(rèn)證。323 rf智能控管aruba系統(tǒng)的rf智能控管可以自動(dòng)調(diào)節(jié)網(wǎng)上所有aruba ap的電波特性。 初次安裝無(wú)線局域網(wǎng)時(shí)，用戶可通過(guò)rf planning的auto calibration功能來(lái)自動(dòng)調(diào)節(jié)整個(gè)無(wú)線網(wǎng)上所有ap的無(wú)線電波頻率和功率。啟動(dòng)了auto calibration以后ap和ap之間會(huì)自動(dòng)互傳有關(guān)無(wú)線電波的信息和調(diào)整電波的參數(shù)，直到ap之間達(dá)到了一個(gè)最優(yōu)化的無(wú)線電波運(yùn)行環(huán)境。aruba系統(tǒng)的rf智能控管可以自動(dòng)對(duì)網(wǎng)上所有aruba ap的無(wú)線電波管理。當(dāng)無(wú)線局域網(wǎng)經(jīng)過(guò)自動(dòng)校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運(yùn)作時(shí)，網(wǎng)絡(luò)管理員可在aruba 交換機(jī)內(nèi)啟動(dòng)arm這功能，無(wú)線網(wǎng)上所有的aruba ap都會(huì)在設(shè)定的時(shí)間內(nèi)自行掃描其它的無(wú)線頻道。無(wú)線電波掃描是指aruba ap 從一個(gè)電波頻道跳到另一頻道時(shí)，如ch 1 到 ch 2 到 ch 3.，由于掃描的速度非?？?，所以對(duì)于在線的無(wú)線用戶（指連接到ap上在同一頻率上的無(wú)線終端）的傳輸過(guò)程是不受到影響地。當(dāng)ap停留在一個(gè)頻道時(shí)，它會(huì)把在這頻道上收到的無(wú)線電波信息轉(zhuǎn)送回aruba 無(wú)線交換機(jī)。aruba 無(wú)線交換機(jī)可以對(duì)整個(gè)無(wú)線網(wǎng)上的電波情況偵測(cè)和記錄。當(dāng)某一覆蓋范圍內(nèi)的無(wú)線電波改變，如出現(xiàn)干擾ap所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等，aruba 無(wú)線交換機(jī)就會(huì)把所獲取的無(wú)線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)ap的無(wú)線電波。324 多個(gè)ssid結(jié)構(gòu)aruba系統(tǒng)的多ssid結(jié)構(gòu)和和實(shí)現(xiàn)技術(shù)使得在aruba無(wú)線局域網(wǎng)系統(tǒng)的各種多媒體應(yīng)用服務(wù)（數(shù)據(jù)、語(yǔ)音和視頻）在qos上表現(xiàn)非常出色。在一個(gè)無(wú)線局域網(wǎng)內(nèi)可以設(shè)置多個(gè)ssid，例如一個(gè)ssid可給內(nèi)部人員專用，而另一個(gè)ssid可給外來(lái)的訪問(wèn)客戶使用。所以當(dāng)無(wú)線終端在這個(gè)ap覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè)ssid。ssid的另一用途是可讓無(wú)線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。在一個(gè)語(yǔ)音ssid內(nèi)可把sip和h.323等無(wú)線語(yǔ)音數(shù)據(jù)以優(yōu)先級(jí)隊(duì)列處理。在一個(gè)視頻ssid內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級(jí)隊(duì)列處理。同時(shí)在一個(gè)預(yù)設(shè)定的視頻ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過(guò)，以確保其它數(shù)據(jù)不能進(jìn)入這ssid。在一個(gè)預(yù)設(shè)定語(yǔ)音ssid內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語(yǔ)音傳輸協(xié)議通過(guò)，以確保其它數(shù)據(jù)不能進(jìn)入這ssid?？稍诙鄐sid的情況下確保語(yǔ)音和視頻的qos支持。325故障自動(dòng)恢復(fù)傳統(tǒng)的無(wú)線網(wǎng)在有ap損壞或失效時(shí)，這個(gè)ap的覆蓋范圍就會(huì)失去了無(wú)線連接。遇到這種情況的一般做法就是把現(xiàn)場(chǎng)失效的ap換掉。但由于大多數(shù)的ap都是設(shè)置在外面(不是在機(jī)房)，所以不一定能馬上作更換，現(xiàn)場(chǎng)的環(huán)境也有局限性，不一定很容易維護(hù)人員即時(shí)做出更換(很多的ap都是安裝在天花板上)。aruba系統(tǒng)具有自動(dòng)恢復(fù)的功能，實(shí)時(shí)偵測(cè)出網(wǎng)上ap是否有失效，當(dāng)發(fā)覺(jué)有ap出現(xiàn)故障時(shí)，aruba交換機(jī)能會(huì)自動(dòng)調(diào)節(jié)鄰近的ap的功率（覆蓋范圍）來(lái)接替失效ap的工作。326網(wǎng)絡(luò)負(fù)載均衡aruba系統(tǒng)可在一個(gè)ap的覆蓋范圍內(nèi)把無(wú)線用戶或終端分散連接到附近的ap上。在一個(gè)ap的覆蓋范圍內(nèi)，無(wú)線連接的帶寬是共享，即無(wú)線終端數(shù)目越多，每個(gè)終端所能分享的帶寬就越小。要確保每個(gè)無(wú)線終端的傳輸就必須能限制一個(gè)ap上無(wú)線終端的數(shù)量或ap帶寬傳輸總和或和每個(gè)無(wú)線終端帶寬上限。aruba無(wú)線系統(tǒng)可應(yīng)用層面通過(guò)47層交換模塊可以實(shí)現(xiàn)服務(wù)器的負(fù)載均衡，vpn設(shè)備，防火墻設(shè)備等等一系列基于tcp/ip協(xié)議設(shè)備的負(fù)載均衡來(lái)保證整體網(wǎng)絡(luò)的可靠性。在視頻應(yīng)用中，負(fù)載均衡功能可以有效的緩解單個(gè)ap的負(fù)擔(dān)，有效的利用臨近的ap做接入，從而確保視頻應(yīng)用的質(zhì)量得到保證。327 無(wú)線終端定位aruba 網(wǎng)管系統(tǒng)可以跟蹤和定位無(wú)線終端的位置，諸如無(wú)線接入的電腦、pda和 wi-fi手機(jī)等。aruba采用的無(wú)線定位模式稱為三角定位，無(wú)線定位的準(zhǔn)確性可達(dá)到2.5米以內(nèi)，無(wú)線定位的條件是所尋找的無(wú)線終端附近須有最少三個(gè)aruba的ap 在范圍內(nèi)。這是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的，有些單位如醫(yī)院就是采用了無(wú)線定位技術(shù)來(lái)取代傳呼機(jī)在醫(yī)院內(nèi)尋找醫(yī)生、病人等。xxx 運(yùn)營(yíng)商對(duì)非法ap的定位，可以成為xxx 運(yùn)營(yíng)商網(wǎng)絡(luò)中心的管理人員提供清楚非法ap有效手段，可以方便快捷的清除非法ap的網(wǎng)絡(luò)接入?？梢员ＷCxxx 運(yùn)營(yíng)商網(wǎng)絡(luò)接入的安全可靠性。33 aruba無(wú)線局域網(wǎng)系統(tǒng)的安全管理331 集中的安全管理aruba無(wú)線系統(tǒng)的安全管理是將防火墻、vpn、安全認(rèn)證、防病毒、無(wú)線入侵監(jiān)測(cè)以及rf 電磁波管理等多項(xiàng)安全功能匯聚到aruba無(wú)線交換機(jī)上來(lái)完成的，解決了傳統(tǒng)的無(wú)線網(wǎng)對(duì)安全的分散管理（ap、ac）和能力，給用戶帶來(lái)的不安全感，擺脫了對(duì)有線網(wǎng)安全的依賴性。332多種用戶認(rèn)證方式在aruba無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)以后，會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段，只讓用戶通過(guò)dhcp獲取ip地址、傳送dns協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)。aruba無(wú)線系統(tǒng)支持目前各種用戶認(rèn)證的方式（802.1、web認(rèn)證、mac、ssid、vpn等），xxx 運(yùn)營(yíng)商網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。333 獨(dú)特的無(wú)線訪問(wèn)控制用戶狀態(tài)防火墻是aruba無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶這概念，它的保護(hù)只是基于ip地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效是不大。aruba無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略，例如老師和工作人員可以使用更多的服務(wù)，而學(xué)生只可以瀏覽網(wǎng)頁(yè)、收發(fā)email等，這樣可以極大方便xxx 運(yùn)營(yíng)商網(wǎng)用戶的安全管理。334 安全的ap技術(shù)aruba無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)ap，而是在aruba無(wú)線交換機(jī)上實(shí)現(xiàn)。由于aruba的ap是不儲(chǔ)存任何網(wǎng)絡(luò)配置（ip地址除外）和安全設(shè)置，因此aruba 管理的ap是不能單獨(dú)工作的，因此獲得和接入進(jìn)aruba ap，黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。335無(wú)線接入點(diǎn)安全偵測(cè)和保護(hù)采用aruba 無(wú)線系統(tǒng)的rf偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)xxx 運(yùn)營(yíng)商無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有ap接入情況,如相鄰房間的ap、設(shè)置錯(cuò)誤的ap以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的ap。通過(guò)aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的ap接入，發(fā)現(xiàn)后可以開(kāi)啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法ap聯(lián)接到無(wú)線網(wǎng)中。336無(wú)線網(wǎng)絡(luò)入侵偵測(cè)今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)運(yùn)營(yíng)商的無(wú)線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線dos攻擊時(shí)，就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或ap出現(xiàn)不穩(wěn)定情況。這些攻擊在hotspot會(huì)導(dǎo)致用戶的無(wú)線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線網(wǎng)系統(tǒng)的品質(zhì)。aruba 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng)aruba 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。337無(wú)線接入的病毒防護(hù)aruba無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面，一、無(wú)線終端的準(zhǔn)入檢查；二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線終端連接到aruba無(wú)線系統(tǒng)中，當(dāng)試圖訪問(wèn)網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于java的程序，可以對(duì)無(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查，但是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。aruba公司和第三方的防病毒墻廠家合作，在aruba無(wú)線交換機(jī)上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)，aruba交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過(guò)，否則會(huì)將數(shù)據(jù)丟棄?；谏鲜鰞蓚€(gè)層面，aruba無(wú)線局域網(wǎng)系統(tǒng)對(duì)無(wú)線終端進(jìn)行有效和方便的病毒防護(hù)。34無(wú)線移動(dòng)音視頻應(yīng)用341 帶寬控制與服務(wù)質(zhì)量保證qosaruba無(wú)線系統(tǒng)的帶寬管理能力使得在移動(dòng)音視頻應(yīng)用方面表現(xiàn)出很強(qiáng)的優(yōu)勢(shì)。aruba無(wú)線系統(tǒng)可在每個(gè)用戶的權(quán)限限制內(nèi)用戶無(wú)線連接的最高帶寬。對(duì)于不同的ip服務(wù)，aruba系統(tǒng)亦可透過(guò)aruba無(wú)線交換機(jī)設(shè)置定義不同的qos隊(duì)列。例如無(wú)線語(yǔ)音的應(yīng)用，sip和rtp協(xié)議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如http、ftp則可設(shè)定在低的隊(duì)列。例如語(yǔ)音視頻這樣對(duì)于時(shí)延敏感的業(yè)務(wù)，目前，經(jīng)過(guò)中國(guó)網(wǎng)通、賽爾公司對(duì)幾家wlan設(shè)備廠商的設(shè)備測(cè)試結(jié)果表明，aruba的無(wú)線網(wǎng)系統(tǒng)以其完善qos特性在測(cè)試中表現(xiàn)最佳。提供語(yǔ)音服務(wù)，將極大以高無(wú)線網(wǎng)絡(luò)的實(shí)際運(yùn)營(yíng)效果，為廣大在校師生提供無(wú)線網(wǎng)絡(luò)服務(wù)，隨著無(wú)線語(yǔ)音技術(shù)的發(fā)展，無(wú)線語(yǔ)音無(wú)線數(shù)據(jù)服務(wù)將極大方便用戶的xxx 運(yùn)營(yíng)商生活。342 voip與wi-fi 手機(jī)隨著voip的越來(lái)越普及(如skype,等)，基于sip的wi-fi電話將迅速變?yōu)閤xx 運(yùn)營(yíng)商內(nèi)的用戶之間話音聯(lián)絡(luò)的主流。wi-fi電話除了可在熱點(diǎn)地區(qū)、辦公樓以及區(qū)域之間等不同ap之間漫游外，用戶亦可在其它有internet連接的地方如酒店，住宅等使用，這是一般辦公室無(wú)線電話(傳統(tǒng)的電話交換機(jī))不能做到的。簡(jiǎn)單地說(shuō)，用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號(hào)碼，不管是國(guó)內(nèi)或國(guó)外。對(duì)于一些經(jīng)常出差的用戶vowifi會(huì)帶來(lái)極大的方便，亦可節(jié)省長(zhǎng)途電話費(fèi)。很多手機(jī)廠家已開(kāi)始推出雙模制式的手機(jī)(gsm/cdma + wi-fi)，用戶很快就可以漫游于手機(jī)移動(dòng)網(wǎng)和無(wú)線局域網(wǎng)之間。aruba無(wú)線交換技術(shù)已經(jīng)證明支持業(yè)界voip系統(tǒng)在aruba系統(tǒng)上成功的運(yùn)行，且在最近的network world vowlan測(cè)試結(jié)果被評(píng)選為市場(chǎng)上最卓越的產(chǎn)品。在具體實(shí)現(xiàn)wi-fi語(yǔ)音時(shí)要注意考慮語(yǔ)音的時(shí)延， ap呼叫的容量和漫游切換時(shí)間。 尤其無(wú)線語(yǔ)音的漫游,它會(huì)比一般的數(shù)據(jù)移動(dòng)傳輸更普及，但相對(duì)的要求也較嚴(yán)緊，所以要在無(wú)線局域網(wǎng)實(shí)現(xiàn)語(yǔ)音和數(shù)據(jù)融合，就不能隨意的安裝一些ap，而必須是有規(guī)范的組建無(wú)線局域網(wǎng)。aruba無(wú)線系統(tǒng)可容許用戶設(shè)置專有的語(yǔ)音ssid，把單純是數(shù)據(jù)傳輸?shù)挠脩艉蛍i-fi手機(jī)用戶分開(kāi)，但也可以在單一ssid內(nèi)同時(shí)傳送數(shù)據(jù)和話音，關(guān)鍵的重點(diǎn)就是怎樣保證語(yǔ)音傳輸?shù)馁|(zhì)量。 aruba無(wú)線交換機(jī)內(nèi)的用戶防火墻可把sip/rtp等voip協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊(duì)列，所以就可確保在數(shù)據(jù)和語(yǔ)音同時(shí)傳送時(shí)，語(yǔ)音的質(zhì)量不受影響。另在無(wú)線語(yǔ)音安全接入方面，aruba可防止沒(méi)有無(wú)線語(yǔ)音權(quán)限的用戶使用無(wú)線語(yǔ)音，以確保無(wú)線網(wǎng)絡(luò)資源能有效運(yùn)用。343 無(wú)縫的三層漫游aruba 無(wú)線可以支持無(wú)線接入用戶在 ap、wlan 交換機(jī)、多子網(wǎng)以及多vlan 之間無(wú)縫地漫游，而且不會(huì)丟失連接，也不需要重啟dhcp。無(wú)線網(wǎng)絡(luò)不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何改變就可以實(shí)現(xiàn)這一切。其他廠家一般只能實(shí)現(xiàn)二層漫游?？缇W(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包或者很大延遲。而aruba的handoff性能極佳，保證了語(yǔ)音的流暢。這種技術(shù)可以確保無(wú)線語(yǔ)音業(yè)務(wù)可以無(wú)縫的在ap間漫游，而不會(huì)發(fā)生掉線，是語(yǔ)音業(yè)務(wù)的質(zhì)量保證。四、 xxx 運(yùn)營(yíng)商無(wú)線局域網(wǎng)方案建議根據(jù)xxx運(yùn)營(yíng)商的無(wú)線網(wǎng)絡(luò)需求和無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則，結(jié)合aruba無(wú)線系統(tǒng)技術(shù)及產(chǎn)品的特點(diǎn)，方案的設(shè)計(jì)分為：無(wú)線組網(wǎng)方式設(shè)計(jì)、多業(yè)務(wù)區(qū)分設(shè)計(jì)、網(wǎng)絡(luò)及用戶管理、網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、移動(dòng)漫游、兼容性和計(jì)費(fèi)設(shè)計(jì)七個(gè)部分。4.1無(wú)線組網(wǎng)方式設(shè)計(jì)aruba無(wú)線系統(tǒng)的組網(wǎng)方式有兩種，集中式組網(wǎng)和分布式組網(wǎng)。可以根據(jù)不同的網(wǎng)絡(luò)規(guī)模和管理方式，考慮選用以下不同檔次的無(wú)線交換機(jī)進(jìn)行組網(wǎng)。411中型無(wú)線局域網(wǎng)(100到250個(gè)ap)集中式組網(wǎng)根據(jù)xxx 運(yùn)營(yíng)商網(wǎng)絡(luò)結(jié)構(gòu)和需求，用戶可選擇單臺(tái)aruba6000交換機(jī)來(lái)組網(wǎng)。aruba6000設(shè)置在數(shù)據(jù)中心集中控管全無(wú)線網(wǎng)絡(luò)的aruba ap。如下圖所示：412大型無(wú)線局域網(wǎng)(250個(gè)ap以上)分布式組網(wǎng)大型無(wú)線局域網(wǎng)架構(gòu)，用戶可選擇以分布式組網(wǎng)，即采用多臺(tái)配置成local工作模式 aruba2400交換機(jī)分別設(shè)置于不同的配線間。一些要求較高的用戶會(huì)采用雙機(jī)（二臺(tái)aruba2400）在配線間以vrrp串聯(lián)模式來(lái)加強(qiáng)網(wǎng)絡(luò)冗余備份。在網(wǎng)絡(luò)中心則設(shè)置二臺(tái)master aruba2400 (vrrp) 作為主控管交換機(jī)。網(wǎng)絡(luò)管理員就可透過(guò)配置成master工作模式的 aruba2400來(lái)設(shè)定所有無(wú)線局域網(wǎng)設(shè)置。選用aruba6000無(wú)線交換機(jī)，一般是把250個(gè)ap匯聚到aruba6000 上，而視乎ap實(shí)際數(shù)目和xxx 運(yùn)營(yíng)商網(wǎng)絡(luò)拓?fù)洌嗯_(tái)aruba6000可分別設(shè)置在xxx 運(yùn)營(yíng)商的不同的配線間/機(jī)房。在網(wǎng)絡(luò)中心內(nèi)則一定會(huì)aruba6000用以管理其它aruba6000交換機(jī)。413大型無(wú)線局域網(wǎng)(250個(gè)ap以上)集中式組網(wǎng)所有的無(wú)線交換機(jī)都放置在網(wǎng)絡(luò)中心，但是在網(wǎng)絡(luò)技術(shù)中心內(nèi)則一定會(huì)有1臺(tái) aruba6000設(shè)置成master工作模式，用以管理其它aruba6000交換機(jī)。大型網(wǎng)絡(luò)支持4000個(gè)用戶以上的網(wǎng)絡(luò)環(huán)境。414 xxx 運(yùn)營(yíng)商無(wú)線局域網(wǎng)的組網(wǎng)設(shè)計(jì)xxx無(wú)線局域網(wǎng)系統(tǒng)屬于中型規(guī)模的無(wú)線局域網(wǎng)，考慮方案的性價(jià)比，建議選用集中式組網(wǎng)的方式：在網(wǎng)絡(luò)中心采用一臺(tái)aruba6000無(wú)線交換機(jī)，采用無(wú)線集中管理，全網(wǎng)絡(luò)ap接受統(tǒng)一管理，ap以及下面的用戶按接入策略分配接入到無(wú)線交換機(jī)上。這種組網(wǎng)方式簡(jiǎn)易靈活并方便擴(kuò)容。aruba6000無(wú)線交換機(jī)現(xiàn)在配備sc-48-c1和sc-128-c1服務(wù)卡，分別可以支持48個(gè)ap 和128個(gè)ap。當(dāng)無(wú)線局域網(wǎng)規(guī)模需要擴(kuò)大而增加ap數(shù)量時(shí)，可以擴(kuò)展無(wú)線交換機(jī)的板卡相應(yīng)許可證，aruba6000無(wú)線交換機(jī)sc-48-c1卡可以平滑的從48個(gè)ap 支持到128個(gè)ap。aruba 6000可以支持到256個(gè)ap。42多業(yè)務(wù)區(qū)分設(shè)計(jì)從用戶分類與分布情況分析，用戶主要分成以下幾類：（1）辦公用戶；（2）企業(yè)用戶；（3）移動(dòng)人員；（4）xxx 運(yùn)營(yíng)商一般工作人員；（5）集團(tuán)用戶。使用無(wú)線網(wǎng)絡(luò)可以分為不同的無(wú)線接入業(yè)務(wù)類型。因此，在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多ssid技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。在一個(gè)無(wú)線局域網(wǎng)內(nèi)可以設(shè)置多個(gè)ssid，例如一個(gè)ssid可給內(nèi)部員工所用，而另一個(gè)可給外來(lái)的客戶專用。由于用戶一般把ssid看成vlan，所以它們都會(huì)慣性地以vlan概念來(lái)劃分ssid。其實(shí)在一個(gè)ap范圍內(nèi)，不管用戶連接到那一個(gè)ssid它們實(shí)際上都是在同一個(gè)802.11廣播域內(nèi)，因?yàn)闊o(wú)線電波的傳輸是共享。一個(gè)最簡(jiǎn)單的例子就是ap把不同的ssid名字廣播，所以當(dāng)無(wú)線終端在這個(gè)ap覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè)ssid。ssid的最主要用途是可讓無(wú)線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。為什么要把不同的安全加密協(xié)議設(shè)置在不同的ssid呢? 802.11的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù)據(jù)包的封裝格式，所以在用戶的無(wú)線接入使用不同的加密程式，例如：wep,tkip(wpa),802.11i(wpa2)等等，不同加密方式不能在同一個(gè)ssid內(nèi)同時(shí)存在的。用戶可根據(jù)實(shí)際的情況和802.11發(fā)展來(lái)制定以怎樣方式來(lái)實(shí)現(xiàn)無(wú)線加密。最常見(jiàn)的做法是使用多個(gè)ssid，例如：一個(gè)定義為open/static wep供客戶用，另一個(gè)ssid則為tkip(wpa)專為內(nèi)部員工使用。未來(lái)的發(fā)展趨勢(shì)是新增設(shè)一個(gè)802.11i ssid讓員工以過(guò)度的方式逐漸從轉(zhuǎn)移到這個(gè)ssid上。不能一步轉(zhuǎn)到802.11i的主因在于很多的無(wú)線終端現(xiàn)在尚未支持802.11i，而是不可能把所有的終端一次更換成最新的軟件程序。要注意的是ssid可以覆蓋全網(wǎng)，也可以只局限于xxx 運(yùn)營(yíng)商網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開(kāi)通，例如：客人(guest)使用的ssid；但有些ssid則可能供某些部門(mén)使用，所以它的覆蓋范圍通常只會(huì)局限在某些范圍內(nèi)。所以針對(duì)無(wú)線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的ssid進(jìn)行管理和控制。集團(tuán)用戶、企業(yè)固定用戶，可以采用專門(mén)的ssid，可以采用級(jí)別較高的認(rèn)證和加密手段，對(duì)于移動(dòng)用戶和臨時(shí)用戶可以使用另一個(gè)ssid，采用級(jí)別相對(duì)較低的認(rèn)證和加密手段，這樣就實(shí)現(xiàn)了區(qū)分的服務(wù)。43網(wǎng)絡(luò)與用戶管理aruba無(wú)線系統(tǒng)中可以設(shè)定用戶的角色（role），每個(gè)role可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。用戶狀態(tài)訪防火墻是aruba無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有基于用戶的，它的保護(hù)只是基于ip地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效很小。aruba的基于用戶狀態(tài)的防火墻則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的防火墻策略，不同的無(wú)線用戶有不同的防火墻策略，例如一個(gè)用戶可以使用sip的服務(wù)，而另一用戶則可用ftp。一般在防火墻策略設(shè)計(jì)中，可以將移動(dòng)用戶和臨時(shí)用戶的權(quán)限設(shè)置的較低，只能訪問(wèn)有限的資源，且優(yōu)先級(jí)較低，并且有帶寬的限制，甚至可以做時(shí)間段的限制。集團(tuán)用戶和企業(yè)用戶具有較高的權(quán)限，可以訪問(wèn)更多的網(wǎng)絡(luò)資源，或者對(duì)某些特殊的來(lái)賓開(kāi)放某些vip賬號(hào)，分配給其較高權(quán)限的role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合的xxx 運(yùn)營(yíng)商網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。44無(wú)線安全性設(shè)計(jì)在aruba無(wú)線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下：（1）多ssid：可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在aruba無(wú)線系統(tǒng)中設(shè)置多個(gè)ssid，不同的ssid采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外ssid還可以選擇隱藏的方式，該ssid不廣播，用戶無(wú)法看到，防止非法用戶的連接企圖。ssid還可以選擇在某些ap上出現(xiàn)，某些ap上不出現(xiàn)，限制ssid出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。（2）加密：aruba無(wú)線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)wep、動(dòng)態(tài)wep、tkip、wpa、802.11i多種加密方式，三層的加密支持ipsec vpn加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。（3）用戶認(rèn)證提供二種方式： wpa-pskcaptive portal+vpn。加密方式采用wpa-psk，不建議采用靜態(tài)wep，因?yàn)橛邪踩[患。采用captive portal+vpn的認(rèn)證方式，同時(shí)vpn還具有三層的加密功能，具有更高的安全性。認(rèn)證服務(wù)器的選擇比較靈活，可以使用radius, ldap, windows nt, activedirectory, tacacs，甚至是aruba交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫(kù)。 wpa+802.11x加密方式盡量采用wpa，如果客戶端不支持也可采用動(dòng)態(tài)wep，認(rèn)證方式采用802.11x，認(rèn)證服務(wù)器選擇radius。（4）用戶的role（角色）：每一類用戶可以建立一個(gè)相關(guān)的role，每個(gè)role有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。（5）用戶狀態(tài)防火墻：用戶通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶設(shè)置他的訪問(wèn)控制策略，比如可以訪問(wèn)internet,不能訪問(wèn)圖書(shū)館的服務(wù)器，只能訪問(wèn)web網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行p2p的軟件等。（6）帶寬控制：可以對(duì)每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。（7）認(rèn)證系統(tǒng)支持： aruba無(wú)線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如radius、ldap、微軟的ad（活動(dòng)目錄）和在aruba無(wú)線交換機(jī)內(nèi)部的internal db等等。（8）網(wǎng)絡(luò)病毒的防護(hù)：無(wú)線終端病毒防護(hù)的可以從無(wú)線終端的準(zhǔn)入檢查以及對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢測(cè)兩個(gè)層面來(lái)進(jìn)行的。準(zhǔn)入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測(cè)上，aruba無(wú)線交換機(jī)上可以設(shè)定策略，對(duì)于某些無(wú)線用戶沾染病毒的終端，aruba無(wú)線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。45移動(dòng)漫游設(shè)計(jì)無(wú)線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無(wú)縫漫游，aruba無(wú)線局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫漫游功能。l2/l3層漫游在傳統(tǒng)的無(wú)線局域網(wǎng)內(nèi)，無(wú)線終端要跨越不同ap之間漫游是有一定的困難，因?yàn)椴煌琣p之間，它的無(wú)線用戶ip子網(wǎng)可能都不是在同一個(gè)vlan內(nèi)。所以當(dāng)無(wú)線終