XX企业业无线网络络工程ARUBBA解决决方案建建议书20066年100月266日目录目录21. XXX企业业无线网网络建设设需求441.1 项目背背景41.2 XX企企业无线线网络的的应用需需求4数据接入入服务442.无线线网络的的设计原原则和参参考技术术指标55遵循标准准5安全可靠靠5可扩展可可升级55无线性能能技术参参考指标标53. AARUBBA“移动边边缘”解决方方案的技技术特点点63.1 先进而而成熟的的无线局局域网交交换架构构63.2 具有安安全保障障的无线线网络77集中的安安全管理理7多种用户户认证方方式7独特的无无线访问问控制77安全的AAP技术术8无线接入入点安全全侦测和和保护88无线网络络入侵侦侦测8无线接入入的病毒毒防护993.3 支撑多多业务的的网络应应用9带宽控制制与服务务质量保保证QOOS9VoIPP与WI--FI Phoone110无缝的三三层漫游游113.4 方便而而强大的的网管功功能111集中式管管理111无需安装装客户端端软件112RF智能能控管112多个SSSID结结构133故障自动动恢复113网络负载载均衡1134. XXX企业业无线网网络系统统的设计计和实施施方案1144.1..整体系系统架构构设计1144.1..1.设设计原则则144.1..2.拓拓扑结构构154.1..3.设设备选型型和配置置154.1..4.核核心交换换机连接接164.1..5.接接入层AAP部署署164.1..7.用用户接入入策略1164.2..认证与与加密方方案1774.2..1.设设备认证证方式建建议1774.2..2.数数据传输输加密1184.3..网络管管理措施施184.3..1.性性能管理理184.3..2.故故障管理理185.设备备清单1191. XXX企业业无线网网络建设设需求1.1 项目背背景XX企业业新建的的行政办办公大楼楼作为整整个码头头未来的的一个主主要智能能建筑,计计划于220077 年33 月正正式投入入办公使使用。
该该大楼包包括1 栋255 层高高的主楼楼和1 栋5 层高的的副楼(主主楼和副副楼 之之间通过过专用过过道连接接在一起起),将将来建成成为一个个可以容容纳20000人人办公的的国际一一流写字字综合楼楼该建建筑的剖剖面图如如下:本项目作作为智能能化大厦厦的配套套网络集集成工作作, XXX企业业要求卖卖方以现现代技术术标准集集成大楼楼内部的的网络系系统,并并在主楼楼第155 层数数据中心心中建立立新的骨骨干网络络1.2 XX企企业无线线网络的的应用需需求数据接入入服务为企业园园区内办办公楼、、宿舍、、操场,以以及一系系列等热热点场所所提供典典型的无无线局域域网接入入,为有有线网络络提供了了良好的的连接补充充,完成成了整个个企业网络络接入的的全面覆覆盖,使使用户能能够在企企业内的的任何区区域接入入局域网网,达到到完善企企业信息息化的目目的在在此,无无线网络络作为有线线网的良良好扩展展,既节节约了成成本,而而且加快快了企业业网信息息化建设设的步伐伐2.无线线网络的的设计原原则和参参考技术术指标根据XXX企业的的无线网网络建设设需求,可以确立的以下基本设计原则:遵循标准准针对项目目的技术术需求,为为了保证证无线网络络设备之之间的互互通性,同时对于已有无线网络的建设进行投资保护,ARUBA公司方案中的技术路线严格遵循项目要求,做到支持802.11b/g标准,WiFi标准兼容。
安全可靠靠针对不同同的用户户、设备备采用不不同的认认证方式式,如8802..1x、、MACC地址认认证等;;并且结结合隐藏藏SSIID、MMAC地地址过滤滤、Raadiuus认证证、WEEP加密密等多种种安全机机制保障障无线网网络的安安全使用用可扩展可可升级网络扩展展与升级级需要好好的系统统架构支支撑,采采用扩展展方便,升升级简易易的解决决方案是是构建一一个大规规模的无无线网络络的必要要前提,同同时利用用集中方方式易于于实现网网络控制制和漫游游无线性能能技术参考考指标· 2.4GG频段无无线的等等效全向向辐射功功率(EEIRPP)最大大值小于于27ddbm· 所有无线线覆盖处处信号强强度不小小于-880dbbm,在在-766dbmm以上覆覆盖区用用Chaarioot测试试无线网网络的时时延(RRespponsse TTimee)<55ms,,吞吐量量(Thhrouughpput))>5MMbpss· 在-766dbmm以上的的信号强强度时,用用户和接接入点测测试到的的错误率率,在110244字节数数据长度度时,应应不超过过8%包包丢失和和包重发发(Paackeet LLosss annd PPackket Rettry)这这两个参参数的值值都应该该小于55%。
· 无线覆盖盖区信噪噪比SNNR值不不小于220dbbm· 在11mmbpss下传输输速率下下:Piing包包(Leengtth=332,TTimee=1000)Aveeragge rrespponsse ttimee〈 100ms;;传送非非压缩档档案 DDownnloaad: 〉2000kbpps: uplloadd: 〉〉1500kbpps3. AARUBBA“移动边边缘”解决方方案的技技术特点点3.1 先进而而成熟的的无线局局域网交交换架构构无线局域域网技术术经过十十几年的的发展,已已经历了了三代技技术及产产品的发发展第一代无无线局域域网技术术采用单单纯的AAP实现现无线接接入外,基基本上没没有其它它功能第二代无无线局域域网技术术,采用用AC++智能AAP构架架,ACC两者实实质均为为二层设设备,AAP实现现接入、、AC实实现汇聚聚和认证证功能,有有的厂商商的ACC实现了了二层网网络交换换,具有有基本的的网络的的控制和和用户的的管理,如如:WEEB认证证、流量量的控制制、访问问的控制制等;支支持VLLAN、、VPNN、WPPA等基基本的安安全管理理,它们们无法实实现对无无线电磁磁波层面面的调控控和优化化。
由于这一一代技术术的APP储存了了大量的的网络和和安全的的配置,包包括加密密的钥匙匙,Raadiuus cliientt的安全全密钥等等,而AAP又是是分散在在建筑物物中的各各个位置置,一旦旦AP的的配置被被盗取读读出并修修改,其其无线网网络系统统就失去去了安全全性另另外由于于AC或或无线网网关的硬硬件多数数是基于于Penntiuum架构构的,所所以当用用户接入入数量增增多时,无无线网的的性能会会急剧下下降,时时常会发发生掉线线或死机机情况第三代无无线局域域网技术术采用无无线交换换网络架架构(以以ARUUBA为为代表),实实现了基基于无线线网络交交换机,以以AP为为单元交交换的无无线网络络系统,ARUBA是采用独立的无线网络交换机实现的作为第三三代的AARUBBA无线线系统采采用了WWireelesss SSwittch++AP构构架,将将密集型型的无线线网络和和安全处处理功能能转移到到集中的的 WLLAN 交换机机中实现现,同时时加入了了许多重重要新功功能,诸诸如无线线网管、、AP间间自适应应、无线线安全管管理、RRF监测测、无缝缝漫游以以及QooS保证证等3.2 具有安安全保障障的无线线网络集中的安安全管理理ARUBBA无线线系统的的安全管管理是将将防火墙墙、VPPN、安安全认证证、防病病毒、无无线入侵侵监测以以及RFF 电磁磁波管理理等多项项安全功功能汇聚聚到ARRUBAA无线交交换机上上来完成成的,解解决了传传统的无无线网对对安全的的分散管管理(AAP、AAC)和和能力,给给用户带带来的不不安全感感,摆脱脱了对有有线网安安全的依依赖性。
多种用户户认证方方式在ARUUBA无线线系统中中,一个个无线用用户进入入无线网网以后,只只会拿到到一个最最基本的的入网权权限,这这个权限限不容许许用户访访问任何何网段,只只让用户户通过DDHCPP获取IIP地址址、传送送DNSS协议数数据包,通通过认证证以后才才可以接接入无线线网ARUBBA无线线系统支支持目前前各种用用户认证证的方式式(8002.11X、WWEB认认证、MMAC、、SSIID、VVPN等等),企企业网用用户可以以根据需需要方便便选择独特的无无线访问问控制用户状态态防火墙墙是ARRUBAA无线交交换机的的独特功功能,它它本身就就是针对对无线接接入的特特性而设设计传传统的网网络防火火墙是没没有用户户这概念念,它的的保护只只是基于于IP地地址或物物理端口口来制定定防火墙墙策略,所所以对于于没有固固定接入入点的无无线终端端,这种种防火墙墙的功效效是不大大ARRUBAA无线系系统的防防火墙功功能则是是与用户户认证捆捆绑在一一起,当当无线用用户成功功通过认认证后,他他会获得得一个预预设的用用户状态态防火墙墙,不同同的无线线用户有有不同的的防火墙墙策略,例例如老师师和工作作人员可可以使用用更多的的服务,而而学生只只可以浏浏览网页页、收发发Emaail等等,这样样可以极极大方便便企业网用用户的安安全管理理。
安全的AAP技术术ARUBBA无线线系统和和其它厂厂家在无无线接入入的认证证和加密密上最大大的区别别是前者者不是通通过APP,而是是在ARRUBAA无线交交换机上上实现由于AARUBBA的AAP是不不储存任任何网络络配置(IIP地址址除外)和和安全设设置,因因此ARRUBAA 管理理的APP是不能能单独工工作的,因因此获得得和接入入进ARRUBAA APP,黑客客也不会会拿到无无线网的的网络和和安全配配置参数数无线接入入点安全全侦测和和保护采用ARRUBAA 无线线系统的的RF侦侦测功能能和保护护机制可可以实时时监测大大厦无线线网覆盖盖区域内内的所有有AP接接入情况况,如相相邻房间间的APP、设置置错误的的AP以以及未经经认可而而连接到到网络中中的APP通过过ARUUBA 的网络络安全管管理系统统,网络络安全管管理人员员可以及及时发现现是否有有非法的的AP接接入,发发现后可可以开启启自动保保护机制制,阻止止无线终终端通过过非法AAP联接接到无线线网中无线网络络入侵侦侦测今天已经经有很多多的无线线入侵和和攻击的的工具可可从网站站下载,这这些工具具的普及及对企业业、和运运营商的的无线网网的安全全构成很很大的威威胁。
今今天绝大大部分的的无线局局域网都都没有侦侦测无线线入侵的的功能,所所以当受受到像无无线DOOS攻击击时,就就会误以以为是无无线电波波的信号号受干扰扰或APP出现不不稳定情情况这这些攻击击在HootSppot会会导致用用户的无无线连接接断线,但但网管中中心仍然然不知,用用户则误误以为是是网络问问题,间间接影响响无线网网系统的的品质ARUBBA 无无线系统统的特点点是交换换机由专专有的网网络处理理器和加加密处理理器组成成,且内内置一个个无线入入侵模式式库,实实时检测测异常的的无线数数据包,当当ARUUBA 无线系系统侦测测出有入入侵时,它它会记录录和显示示入侵的的格式,并并对入侵侵做出自自动保护护响应无线接入入的病毒毒防护ARUBBA无线线系统针针对无线线终端的的病毒防防护分为为两个层层面,一一、无线线终端的的准入检检查;二二、对无无线终端端发出数数据进行行有效的的检查和和监控无线终端端病毒防防护的第第一步是是准入检检查,当当无线终终端连接接到ARRUBAA无线系系统中,当当试图访访问网络络,在用用户认证证之前,需需要下载载一个基基于JAAVA的的程序,可可以对无无线终端端的操作作系统打打补丁的的情况、、安装防防病毒软软件的情情况、以以及防病病毒定义义码升级级的情况况,做一一个检查查,如果果不能通通过检查查,可以以设定策策略禁止止其访问问网络,也也可设置置成将无无线用户户重定向向到一台台升级服服务器,打打系统补补丁、安安装防病病毒软件件和升级级病毒定定义码,满满足系统统制定的的安全策策略以后后,该无无线终端端才可以以进入认认证环节节进行用用户的认认证。
当无线终终端通过过了准入入检查,但但是如何何对无线线终端发发出数据据进行有有效的检检查和监监控是更更加进一一步的病病毒防护护手段ARUUBA公公司和第第三方的的防病毒毒墙厂家家合作,在在ARUUBA无无线交换换机上可可以设定定策略,某某些用户户,以及及某些可可能沾染染病毒的的数据,ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃基于上述述两个层层面,AARUBBA无线线局域网网系统对对无线终终端进行行有效和和方便的的病毒防防护3.3 支撑多多业务的的网络应应用带宽控制制与服务务质量保保证QOOSARUBBA无线线系统的的带宽管管理能力力使得在在移动音音视频应应用方面面表现出出很强的的优势ARUUBA无无线系统统可在每每个用户户的权限限限制内内用户无无线连接接的最高高带宽对于不不同的IIP服务务,ARRUBAA系统亦亦可透过过ARUUBA无无线交换换机设置置定义不不同的oS队队列例例如无线线语音的的应用,SSIP和和RTPP协议可可设定在在高的队队列,而而一般应应用如hhttpp、fttp则可可设定在在低的队队列例例如语音音视频这这样对于于时延敏敏感的业业务,目目前,经经过中国国网通、、中国赛赛尔公司司对几家家WLAAN设备备厂商的的设备测测试结果果表明,ARUBA的无线网系统以其完善QoS特性在测试中表现最佳。
VoIPP与WII-FII Phhonee随着VooIP的的越来越越普及((如Skkypee,…等),基基于SIIP的WWi-FFi话将迅速速变为企企业内,企企业之间间话音联联络的主主流WWi-FFi话除了可可在企业业内部不不同区域域间等不不同APP漫游外外,用户户亦可在在其它有有Intternnet连连接的地地方如酒酒店,住住宅等使使用,这这是一般般办公室室无线电(传传统的电交换换机)不不能做到到的简简单地说说,用户户可在有有宽带接接入的地地方继续续使用办办公室的的号号码,不不管是国国内或国国外对对于一些些经常出出差的用用户VooWiFFi会带带来极大大的方便便,亦可可节省长长途话费很很多机厂家已已开始推推出双模模制式的的((GSMM/CDDMA + WWi-FFi),用用户很快快就可以以漫游于于移移动网和和无线局局域网之之间ARUBBA的无无线交换换技术已已经证明明很多业业界VooIP系系统在AARUBBA系统统上成功功的运行行,且在在最近的的Nettworrk WWorlld VVoWLLAN测测试结果果被评选选为市场场上最卓卓越的产产品在在具体实实现Wii-Fii语音时时要注意意考虑语语音的时时延, AP呼呼叫的容容量,和和漫游切切换时间间。
尤尤其语音音的漫游游,它会会比一般般的数据据移动传传输更普普及,但但相对的的要求也也较严紧紧,所以以要在无无线局域域网实现现语音和和数据融融合,就就不能随随意的安安装一些些AP,而而必须是是有规范范的组建建无线局局域网ARUBBA无线线系统可可容许用用户设置置专有的的语音SSSIDD,把单单纯是数数据传输输的用户户和Wii-Fii用用户分开开,但也也可以在在单一SSSIDD内同时时传送数数据和话话音,关关键的重重点就是是怎样保保证语音音传输的的质量 ARRUBAA无线交交换机内内的用户户防火墙墙可把SSIP//RTPP等VooIP协协议数据据包放在在较高的的优先队队列,所所以就可可确保在在数据和和语音同同时传送送时,语语音的质质量不受受影响另在语语音安全全接入方方面,AARUBBA可防防止没有有无线语语音权限限的用户户使用无无线语音音,以确确保网络络资源能能有效运运用无缝的三三层漫游游ARUBBA 无无线能够够让用户户在 AAP、WWLANN 交换换机、多多子网以以及多VVLANN 之间间无缝地地漫游,而而且不会会丢失连连接,也也不需要要重启它不需需要对现现有网络络进行任任何改变变就可以以实现这这一切。
其他厂家家一般只只能实现现二层漫漫游跨跨网段时时需要二二次认证证,导致致丢包或或者很大大延迟而ARRUBAA的haandooff性性能极佳佳,保证证了语音音的流畅畅这种种技术可可以确保保无线语语音业务务可以无无缝的在在AP间间漫游,而而不会发发生掉线线,是语语音业务务的质量量保证3.4 方便而而强大的的网管功功能集中式管管理管理一个个具有规规模的无无线局域域网(通通常在几几十个AAP以上上)是一一件非常常头痛的的事情从RFF覆盖面面,带宽宽,用户户的认证证,以及及接入的的安全都都要考虑虑由于于传统的的无线局局域网是是单纯基基于APP,因此此对于无无线网络络的管理理,其大大量工作作是要在在每个AAP上进进行设置置和更改改其工工作量在在有一定定数量AAP的无无线网里里是非常常大和烦烦琐的,而而且无线线局域网网是一个个整体系系统,AAP之间间必须互互协调工工作,单单独改变变一个AAP参数数和配置置会引起起AP之之间的无无线电波波干扰,用用户漫游游重认证证和授权权也可能能会产生生问题ARUBBA系统统具有非非常强的的无线局局域网集集中管理理功能,通通过无线线交换机机Massterr Swwitcch和LLocaal SSwittch管管理模式式管理整整个网络络,网管管人员只只需在无无线交换换机就可可开通、、管理、、维护所所有APP设备以以及移动动终端,包包括无线线电波频频谱、无无线安全全、接入入认证、、移动漫漫游以及及接入用用户。
无需安装装客户端端软件ARUBBA系统统无需为为每一个个移动用用户终端端安装无无线接入入软件,登录认证可以基于WEB页面认证,该认证只需用户打开浏览器就可以登陆ARUBBA采用用GREE隧道技技术,可可以透明明地穿透透在无线线交换机机和APP之间的的任何三三层网络络交换设设备实现现WEBB认证,而而其他的的厂家在在这种网网络环境境下,必必须要为为客户端端装上基基于标准准的L22TP 或 IIPSEEC 或或 8002.11X客户户端软件件才能实实现WEEB页面面认证RF智能能控管ARUBBA系统统的RFF智能控控管可以以自动调调节网上上所有AARUBBA AAP的电电波特性性 当初次安安装无线线局域网网时,用用户可通通过RFF Pllannningg的Auuto Callibrratiion功功能来自自动调节节整个无无线网上上所有AAP的无无线电波波频率和和功率启动了了Autto CCaliibraatioon以后后AP和和AP之之间会自自动互传传有关无无线电波波的信息息和调整整电波的的参数,直直到APP之间达达到了一一个最优优化的无无线电波波运行环环境ARUBBA系统统的RFF智能控控管可以以自动对对网上所所有ARRUBAA APP的无线线电波管管理。
当无线局局域网经经过Auuto Callibrratiion调调整后而而正式运运作时,网网络管理理员可在在ARUUBA 交换机机内启动动ARMM这功能能,则无无线网上上所有的的ARUUBA AP都都会在设设定的时时间内自自行扫描描其它的的无线频频道所所谓电波波扫描,是是指ARRUBAA APP 从一一个电波波频道跳跳到另一一频道时时,如CCh 11 到 Ch 2 到到 Chh 3......,由于于扫描的的速度非非常快,所所以对于于的的无线用用户(指指连接到到AP上上在同一一频率上上的无线线终端)的的传输过过程是不不受到影影响地当APP停留在在一个频频道时,它它会把在在这频道道上收到到的无线线电波信信息转送送回ARRUBAA 无线线交换机机这样样ARUUBA 无线交交换机就就对整个个无线网网上的电电波情况况有了一一定解和和记录当某一一覆盖范范围内的的电波改改变,如如出现干干扰APP所发出出的电波波或其它它应用所所发出的的电波等等,ARRUBAA 无线线交换机机就会把把所获取取的无线线电波资资料做分分析,以以确定是是否需要要调整这这范围内内AP的的无线电电波多个SSSID结结构ARUBBA系统统的多SSSIDD结构和和和实现现技术使使得在AARUBBA无线线局域网网系统的的各种应应用服务务(数据据、语音音和视频频)在os上上表现非非常出色色。
在一一个无线线局域网网内可以以设置多多个SSSID,例例如一个个SSIID可给给学院内内部教师师、工作作人员以以及学生生所用,而而另一个个可给外外来的访访问客户户专用所以当当无线终终端在这这个APP覆盖范范围内启启动时,它它就能同同时看到到多个SSSIDDSSSID的的另一用用途是可可让无线线终端以以不同的的安全认认证和加加密方式式入网在一个语语音SSSID内内可把SSIP和和H.3323等等无线语语音数据据以优先先级队列列处理在一个个视频SSSIDD内可把把视频数数据流传传输以优优先级队队列处理理同时时在一个个预设定定的视频频SSIID内只只允许网网络管理理设定视视频数据据流传输输协议通通过,以以确保其其它数据据不能进进入这SSSIDD在一一个预设设定语音音SSIID内只只允许网网络管理理设定语语音传输输协议通通过,以以确保其其它数据据不能进进入这SSSIDD这样可在在多SSSID的的情况下下确保音音视频的的QoSS故障自动动恢复传统的无无线网在在有APP损坏或或失效时时,这个个AP的的覆盖范范围就会会失去了了无线连连接遇遇到这种种情况的的一般做做法就是是把现场场失效的的AP换换掉但但由于大大多数的的AP都都是设置置在外面面(不是是在机房房),所所以不一一定能马马上作更更换,现现场的环环境也有有局限性性,不一一定很容容易维护护人员即即时做出出更换((很多的的AP都都是安装装在天花花板上))。
ARUBBA系统统具有自自动恢复复的功能能,实时时侦测出出网上AAP是否否有失效效,当发发觉有AAP出现现故障时时,ARRUBAA交换机机能会自自动调节节邻近的的AP的的功率(覆覆盖范围围)来接接替失效效AP的的工作网络负载载均衡ARUBBA系统统可在一一个APP的覆盖盖范围内内把无线线用户或或终端分分散连接接到附近近的APP上在在一个AAP的覆覆盖范围围内,无无线连接接的带宽宽是共享享,即无无线终端端数目越越多,每每个终端端所能分分享的带带宽就越越小要要确保每每个无线线终端的的传输就就必须能能限制一一个APP上无线线终端的的数量或或AP带带宽传输输总和或或和每个个无线终终端带宽宽上限ARUUBA无无线系统统可应用用层面通通过4--7层交交换模块块可以实实现服务务器的负负载均衡衡,VPPN设备备,防火火墙设备备等等一一系列基基于TCCP/IIP协议议设备的的负载均均衡来保保证整体体网络的的可靠性性在视频应应用中,负负载均衡衡功能可可以有效效的缓解解单个AAP的负负担,有有效的利利用临近近的APP做接入入,从而而确保视视频应用用的质量量得到保保证4. XXX企业业无线网网络系统统的设计和和实施方方案4.1..整体系系统架构构设计4.1..1.设设计原则则结合XXX企业的的网络和和应用需需求以及及ARUUBA解解决方案案的特点点,无线线网络通通信系统统的设计计原则可可以分为为以下几几大点::· 采用无线线交换架架构组建建无线网网络子系系统;· 利用现有有的有线线网络资资源,架架设“层叠”网络,保保持已有有的有线线网络配配置和设设置不更更改;· 用户子网网和设备备子网隔隔离,无无线用户户无法访访问设备备子网;;· 无线网络络按应用用对象应应分为内内部员工工用户及及Gueest用用户。
内内部员工工用户经经授权提提供普通通员工的的无线网网络使用用权限(权权限与普普通OAA用户相相同)Gueest用用户经过过申请,仅仅具有一一定时间间限制的的使用IInteerneet的权权限,超超过申请请时间,无无线网络络自动断断开XXX企业业对于无无线用户户, 应应具有记记录其带带宽流量量,上网网站点,并并可以实实时地进进行控制制的功能能4.1..2.拓拓扑结构构如下图所所示,在在整个无无线网络络系统当当中,AARUBBA的无无线交换换机A660000放置在在数据中中心,与与核心交交换机之之间采用用VLAAN ttrunnk进行行连接;;而楼层层中的AAP通过过GREE隧道汇汇接回到到无线交交换机,途途经楼层层汇聚有有线交换换机和其其它相关关的有线线网络设设备在这样的的网络实实现当中中,APP上用户户的流量量都将通通过APP与无线线交换机机建立起起的GRRE隧道道,流向向无线交交换机,在在经过相相应的策策略匹配配之后,用用户会被被要求认认证,或或者流量量会被转转发/丢丢弃4.1..3.设设备选型型和配置置由于此次次无线覆覆盖范围围包括盐盐田国际际三期行行政楼各各主要会会议室,空空中花园园,实现现空中或或地面覆覆盖。
对对楼层各各个办公公区间能能否接收收到无线线信号,不不做特别别要求无线覆盖盖范围包包括主楼楼1/22/4//8/112/113/115/116/117/118/119/220/221/222/223/224/225层会会议室和和三个空空中花园园公共部部分,副副楼2//3/44/5层层会议室室,培训训室,实实现地面面到桌面面高度覆覆盖第第1层、、第222层两个个关键部部位的大大型会议议室部位位要实现现无信信信号的重重叠覆盖盖防止止一台AAP故障障,另一一台APP仍能正正常提供供无线网网络接入入的服务务综合了以以上几点点之后,设设备的型型号以及及配置见见第5节节的设备备清单4.1..4.核核心交换换机连接接采用ARRUBAA24000交换机机,放置置在数据据中心的的网络机机房,每每台ARRUBAA24000无线交交换机可可以支持持48个AAP接入入和管理理,完全全满足XXX企业业大楼无线线覆盖的的需求同时,无无线交换换机和AAP的连连接可以以穿透三三层,因因此,方方案的实实现完全全不影响响原有网网络的结结构,并并且可以以实现全全网的漫漫游AP的供供电采用用单独的的Poee供电设设备(或或与原有有的普通通楼层交交换机配配合,不不用添加加新的PPOE交交换机),用用于APP的数据据接入和和供电,又又不增加加过多的的成本。
在ARUUBA的的解决方方案当中中,无线线交换机机的放置置位置需需要注意意以下两两点:· ARUBBA的无无线交换换机与相相连核心心交换机机/路由由器之间间端口协协商的匹匹配性::如果存存在着匹匹配失误误的情况况,则整整个网络络的稳定定性会受受到影响响· ARUBBA的无无线交换换机与核核心设备备之间相相连的VVLANN情况需需要和网网络的规规划一起起进行,一一般来说说,ARRUBAA无线交交换机和和网络核核心设备备之间会会建立VVLANN trrunkk的标志志,用于于将用户户划分到到不同的的VLAAN当中中去4.1..5.接接入层AAP部署署ARUBBA方案案能够方方便的实实现跨三三层部署署,接入入层的AAP部署署只是需需要拿到到属于自自己的IIP网络络设置和和网络中中已经部部署的AARUBBA交换换机IPP地址即即可这这样的架架构大大大简化了了传统无无线网络络部署当当中的复复杂程度度,减轻轻了APP设置与与用户设设备以及及AP所所连接的的有线网网络配置置相杂揉揉的状况况通常,视视AP需需要管理理的程度度以及有有线网络络的整体体架构来来规划AAP的部部署XXX企业业大楼的的无线接接入点已已经预留留在各对对应楼层层天花上上。
4.1..7.用用户接入入策略从xx企企业的用用户分类类与分布布情况分分析,用用户主要要分成以以下几类类:(1)内内部员工工;(2)GGuesst用户户;使用网络络是被分分为不同同的业务务类型,因因此,在在设计上上采用无无线局域域网多SSSIDD技术,设设置多业业务区分分方式在一个个无线局局域网内内可以设设置多个个SSIID,例例如一个个SSIID可给给内部员员工所用用,而另另一个可可给外来来的客户户专用SSIID的最最主要用用途是可可让无线线终端以以不同的的安全认认证和加加密方式式入网用户可可根据实实际的情情况和8802..11发发展来制制定以怎怎样方式式来实现现无线加加密最最常见的的做法是是使用二二个SSSID,一一个定义义为OPPEN//Staaticc WEEP供客客户用,另另一个SSSIDD则为TTKIPP(WPPA)专专为内部部员工使使用另另外,可可以增设设一个8802..11ii SSSID让让员工以以过度的的方式逐逐渐从转转移到这这个SSSID上上不能能一步转转到8002.111i的的主因在在于很多多的无线线终端现现在尚未未支持8802..11iiSSIDD可以覆覆盖全网网,也可可以只局局限于XXX企业业大楼内内的某些些范围。
一般的的情况下下是全网网开通,例例如客人人(Guuestt)使用用的SSSID;;但有些些SSIID则可可能只供供某些部部门使用用,所以以无线覆覆盖范围围通常只只会局限限在某些些范围内内所以针对对XX企企业无线线局域网网多种用用户的不不同业务务类型应应该采取取不同的的SSIID进行行管理和和控制大楼内内部的员员工可以以采用专专门的SSSIDD,可以以采用级级别较高高的认证证和加密密手段,对对参加会会议人员员和来访访人员可可以使用用另一个个SSIID,采采用级别别相对较较低的认认证和加加密手段段,这样样就实现现了区分分的服务务4.2..认证与与加密方方案4.2..1.设设备认证证方式建建议对于运算算和存储储能力都都相对比比较弱的的移动终终端设备备,目前前业界普普遍的做做法是使使用静态态WEPP与基于于MACC地址的的认证方方式来进进行设备备接入认认证AARUBBA无线线网络解解决方案案支持内内置和外外置的MMAC地地址数据据库用于于网络的的设备认认证,同同时内置置的静态态WEPP算法由由于采用用了防止止“弱”初始化化向量措措施,使使得对于于此类网网络的破破解大为为困难无线网络络通信系系统不仅仅仅需要要服务于于需要进进行数据据传输的的移动终终端设备备,对于于可以借借助网络络进行其其它业务务操作的的数据用用户,也也应该同同样提供供数据传传输的能能力,并并且保证证两者互互不干扰扰。
ARRUBAA所架设设的无线线网络系系统支持持多SSSID,能能够利用用一套物物理网络络设备建建立起几几套虚拟拟的无线线网络环环境,并并且每一一套无线线网络环环境都具具有其专专门的认认证方法法在一一般数据据用户进进行网络络访问的的时候,AARUBBA可以以提供包包括开放放系统在在内的五五、六种种认证方方案,包包括:WWEB页页面认证证,8002.11X认证证,基于于SSIID的认认证等用户在在接入网网络之前前,透过过无线网网络子系系统把相相关身份份信息发发送到后后台的认认证数据据库当中中,只有有通过身身份验证证的用户户才能够够得到进进入网络络进行访访问的许许可授权权4.2..2.数数据传输输加密ARUBBA架构构中的集集中式加加密解密密模式尤尤其适用用于对于于数据传传输具有有严格私私密性要要求的场场所控控制中心心和终端端之间的的来往控控制信息息以及数数据都不不希望受受到非授授权用户户的任意意监听进进而窃取取其中的的敏感信信息,端端到端的的通信受受到先进进加密算算法的保保护AARUBBA架构构中可以以直接对对二层的的无线网网络数据据采用AAES算算法进行行加密,也也可以通通过VPPN的方方式,在在应用层层对所传传输的数数据进行行加密,灵灵活的满满足不同同应用场场景的需需求。
4.3..网络管管理措施施4.3..1.性性能管理理QoS保保证/负负载均衡衡:如果果一旦发发生多个个终端竞竞争一个个AP的的时候,基基于流量量和基于于用户//终端数数目两种种负载均均衡功能能都将被被启用,从从而根据据现场的的负载情情况进行行均衡操操作4.3..2.故故障管理理VRRPP和APP的双备备份:AARUBBA的设设备支持持VRRRP热备备份,同同时在AAP之上上也支持持双备份份功能如果是是集中控控制的无无线交换换机失效效,则VVRRPP中的备备份交换换机会自自动激活活成为网网络中的的ARUUBA无无线交换换机,保保证网络络的连续续可用性性如果果是APP到主交交换机的的连接出出现问题题,APP也可以以向从交交换机发发起连接接申请,建建立集中中式的无无线网络络,以此此来确保保网络的的运行自愈功能能:ARRUBAA的系统统中APP具有自自愈的功功能,当当一个AAP失效效的时候候,附近近的APP可以感感知到,通通过加大大发生功功率来覆覆盖失效效AP原原来所覆覆盖的区区域,达达到自动动治愈网网络覆盖盖空洞的的目的,也也提高了了网络的的可用性性5.设备备清单XX企业业大楼设备名称称设备型号号数量ARUBBA 224000 系列列交换机机支持端口口供电,配配备488个快速速以太网网接口和和两个千千兆接口口插槽MC个1无线接入入策略控控制软件件基于策略略的无线线接入控控制,可可支持448个无无线接入入点SW套1无线接入入点APPARUBBA 660 系系列无线线接入点点AP个46无线接入入点的安安装附件件安装架等等附件OT套46无线接入入点的天天线AP套46。