《无线网络工程ARUBA解决方案建议书.》由会员分享,可在线阅读,更多相关《无线网络工程ARUBA解决方案建议书.(19页珍藏版)》请在金锄头文库上搜索。
1、 XX企业无线网络工程ARUBA解决方案建议书 2006年10月26日 目录目录 (21.XX企业无线网络建设需求 (41.1项目背景 (41.2XX企业无线网络的应用需求 (4数据接入服务 (42.无线网络的设计原则和参考技术指标 (5遵循标准 (5安全可靠 (5可扩展可升级 (5无线性能技术参考指标 (53.ARUBA“移动边缘”解决方案的技术特点 (63.1先进而成熟的无线局域网交换架构 (63.2具有安全保障的无线网络 (7集中的安全管理 (7多种用户认证方式 (7独特的无线访问控制 (7安全的AP技术 (8无线接入点安全侦测和保护 (8无线网络入侵侦测 (8无线接入的病毒防护 (93
2、.3支撑多业务的网络应用 (9带宽控制与服务质量保证QOS (9VoIP与WI-FI Phone (10无缝的三层漫游 (113.4方便而强大的网管功能 (11集中式管理 (11无需安装客户端软件 (12RF智能控管 (12多个SSID结构 (13故障自动恢复 (13网络负载均衡 (134.XX企业无线网络系统的设计和实施方案 (144.1.整体系统架构设计 (144.1.1.设计原则 (144.1.2.拓扑结构 (154.1.3.设备选型和配置 (154.1.4.核心交换机连接 (164.1.5.接入层AP部署 (16 4.1.7.用户接入策略 (164.2.认证与加密方案 (174.2.1
3、.设备认证方式建议 (174.2.2.数据传输加密 (184.3.网络管理措施 (184.3.1.性能管理 (184.3.2.故障管理 (185.设备清单 (19 1.XX企业无线网络建设需求1.1项目背景XX企业新建的行政办公大楼作为整个码头未来的一个主要智能建筑,计划于2007年3月正式投入办公使用。该大楼包括1栋25层高的主楼和1栋5层高的副楼(主楼和副楼之间通过专用过道连接在一起,将来建成为一个可以容纳2000人办公的国际一流写字综合楼。该建筑的剖面图如下: 本项目作为智能化大厦的配套网络集成工作,XX企业要求卖方以现代技术标准集成大楼内部的网络系统,并在主楼第15层数据中心中建立新的
4、骨干网络。1.2XX企业无线网络的应用需求数据接入服务为企业园区内办公楼、宿舍、操场,以及一系列等热点场所提供典型的无线局域网接入,为有线网络提供了良好的连接补充,完成了整个企业网络接入的全面覆 盖,使用户能够在企业内的任何区域接入局域网,达到完善企业信息化的目的。在此,无线网络作为有线网的良好扩展,既节约了成本,而且加快了企业网信息化建设的步伐。2.无线网络的设计原则和参考技术指标根据XX企业的无线网络建设需求,可以确立的以下基本设计原则:遵循标准针对项目的技术需求,为了保证无线网络设备之间的互通性,同时对于已有无线网络的建设进行投资保护,ARUBA公司方案中的技术路线严格遵循项目要求,做到
5、支持802.11b/g标准,WiFi标准兼容。安全可靠针对不同的用户、设备采用不同的认证方式,如802.1x、MAC地址认证等;并且结合隐藏SSID、MAC地址过滤、Radius认证、WEP加密等多种安全机制保障无线网络的安全使用。可扩展可升级网络扩展与升级需要好的系统架构支撑,采用扩展方便,升级简易的解决方案是构建一个大规模的无线网络的必要前提,同时利用集中方式易于实现网络控制和漫游。无线性能技术参考指标 2.4G频段无线的等效全向辐射功率(EIRP最大值小于27dbm。所有无线覆盖处信号强度不小于-80dbm,在-76dbm以上覆盖区用Chariot测试无线网络的时延(Response T
6、ime5Mbps。 在-76dbm以上的信号强度时,用户和接入点测试到的错误率,在1024字节数据长度时,应不超过8%。包丢失和包重发(Packet Loss andPacket Retry这两个参数的值都应该小于5%。无线覆盖区信噪比SNR值不小于20dbm。在11mbps下传输速率下:Ping包(Length=32,Time=100Average response time10ms;传送非压缩档案Download:200kbps:upload:150kbps。3.ARUBA“移动边缘”解决方案的技术特点3.1先进而成熟的无线局域网交换架构无线局域网技术经过十几年的发展,已经历了三代技术及产
7、品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外,基本上没有其它功能。第二代无线局域网技术,采用AC+智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙, Radius client的安全密钥等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由
8、于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构(以ARUBA为代表,实现了基于无线网络交换机,以AP为单元交换的无线网络系统,ARUBA是采用独立的无线网络交换机实现的。 作为第三代的ARUBA无线系统采用了Wireless Switch+AP构架,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝漫游以及QoS保证等。3.2具有安全保障的无线网络集中的安全管理ARUBA无线
9、系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF电磁波管理等多项安全功能汇聚到ARUBA无线交换机上来完成的,解决了传统的无线网对安全的分散管理(AP、AC和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。多种用户认证方式在ARUBA无线系统中,一个无线用户进入无线网以后,只会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式(802.1X、WEB认证、MAC、SSID、VPN等,企业网用户可以根据需要方便选择。独特的无线访问
10、控制用户状态防火墙是ARUBA无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有 不同的防火墙策略,例如老师和工作人员可以使用更多的服务,而学生只可以浏览网页、收发Email等,这样可以极大方便企业网用户的安全管理。安全的AP技术ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是
11、在ARUBA无线交换机上实现。由于ARUBA的AP是不储存任何网络配置(IP地址除外和安全设置,因此ARUBA管理的AP是不能单独工作的,因此获得和接入进ARUBA AP,黑客也不会拿到无线网的网络和安全配置参数。无线接入点安全侦测和保护采用ARUBA无线系统的RF侦测功能和保护机制可以实时监测大厦无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。无线网络入侵侦测今天已经有很多的无线入侵和攻击
12、的工具可从网站下载,这些工具的普及对企业、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。 ARUBA无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当ARUBA无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。无线接入的病毒防护ARUBA无线系统针对无线终端的病毒防
13、护分为两个层面,一、无线终端的准入检查;二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查,当无线终端连接到ARUBA无线系统中,当试图访问网络,在用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查,但是如何对无线终端发出数据进行有效的检查和监控
14、是更加进一步的病毒防护手段。ARUBA公司和第三方的防病毒墙厂家合作,在ARUBA无线交换机上可以设定策略,某些用户,以及某些可能沾染病毒的数据,ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。基于上述两个层面,ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。3.3支撑多业务的网络应用带宽控制与服务质量保证QOS ARUBA无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务,ARUBA系统亦可透过ARUBA无线交换机设置定义不同的QoS
15、 队列。例如无线语音的应用,SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务,目前,经过中国网通、中国赛尔公司对几家WLAN设备厂商的设备测试结果表明,ARUBA 的无线网系统以其完善QoS特性在测试中表现最佳。VoIP与WI-FI Phone随着VoIP的越来越普及(如Skype,等,基于SIP的Wi-Fi电话将迅速变为企业内,企业之间话音联络的主流。Wi-Fi电话除了可在企业内部不同区域间等不同AP漫游外,用户亦可在其它有Internet连接的地方如酒店,住宅等使用,这是一般办公室无线电话(传统的电话交换机不能做到的。简单地说,用户可在有宽带接入的地方继续使用办公室的电话号码,不管是国内或国外。对于一些经常出差的用户VoWiFi会带来极大的方便,亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(GSM/CDMA+Wi-Fi,用户很快就可以漫游于手机移动网和无线局域网之间。ARUBA的无线交换技术已经证明很多业界VoIP系统在ARUBA系统上成功的运行,且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时
