《Aruba办公楼无线覆盖解决方案.doc》由会员分享,可在线阅读,更多相关《Aruba办公楼无线覆盖解决方案.doc(29页珍藏版)》请在三一文库上搜索。
1、XXXXX办公楼无线覆盖解决方案2008年3月目 录一、XXXXX办公楼无线覆盖建设需求21项目背景211 PAD接入和漫游2二、Aruba无线交换局域网221 Aruba公司介绍222 Aruba无线局域网的技术特点323 Aruba无线局域网系统架构4231先进的无线局域交换机4232灵活的组网方式5233优秀的扩展性5234 无需更改有线网结构5235方便地无线网规划设计624 Aruba无线局域网的网络管理6241 集中式管理6242无需安装客户端软件7243 RF智能控管7244 多个SSID结构8245故障自动恢复8246网络负载均衡8247 无线终端定位925 Aruba无线局域
2、网系统的安全管理9251 集中的安全管理9252多种用户认证方式9253 安全的AP技术9254无线接入点安全侦测和保护10三、XXXXX无线覆盖系统建议1031无线覆盖建议1032天线安装建议1433无线组网实现1534用户使用流程1635用户接入控制17351 SSID的加密和认证17352用户接入时间控制18四、产品介绍1941 移动交换机2400产品介绍1942 移动交换机2400功能说明列表2243 AP产品介绍2544用户使用流程26五、配置清单28 28一、 XXXXX办公楼无线覆盖建设需求1项目背景此次无线覆盖项目的是针对XXXXX所属的办公楼做无线局域网的覆盖,满足PDA方面
3、的应用需求。具体需求如下:11 PAD接入和漫游通过采用无线局域网覆盖方式满足PDA的WIFI接入和漫游。PDA采用的是多普达的P800W,该款PDA支持802.11b/g无线网络,在无线信号覆盖范围内可方便的接入网络,实现移动办公和上网的需求。二、 Aruba无线交换局域网21 Aruba公司介绍Aruba公司是2002年成立的总部设在美国硅谷的一家高科技公司, Aruba一直致力于无线领域的技术创新与进步,在业界首先实现了无线交换并创造性地提出了“移动边缘”的概念。在美国、欧洲、中东和亚太地区建有分支机构,员工更是布满全球。Aruba以开发出第一个模块移动系统的著称,该系统可集中控制所有接
4、入、安全和移动服务,可使企业不间断、可衡量、无断裂地从固定网络转到移动网络。公司同阿尔卡特、AT&T、IBM、惠普以及NCR公司建立了全球战略销售和服务合作关系。Aruba公司全球最先进的无线产品得到了各个市场的领先企业的广泛认可。 Aruba借助最新的发明的新网络体系结构,为客户带来“移动边缘”,可以满足IT管理人员的最关心的三个问题移动性、安全性和整合性。代表了对无线网络的战略步骤,而不仅仅是建立无线局域网。Aruba的“移动边缘”拓展了企业的网络范围跨越了局域网、广域网和互联网使用户无论身在何处都可以安全访问信息和语音服务的,而企业可以开发新的应用。装配“移动边缘”后,可以无缝覆盖现存的
5、网络,将校园、地区和分公司的网络以及在家中、酒店、公众景点的远程终端用户联系。最重要的是,“移动边缘”在提高经济收益的同时可以满足用户对移动性能的爆炸式增长要求,对传统固网或有线网络的具有十倍优势。企业网络的长期自然演化的趋势是达到完全无线。企业网络经济由于消除了光缆成本和移动、增加和改变的网络的操作费用,将经剧烈的转型。“移动边缘”作为创造性的新式网络结构,为当今的网络提供移动性、安全性和整合性,展现了将来企业网络的端口最终将比现在少得多的前景。“移动边缘”可以立时提供以下几种优势: 为用户和企业管理迅速、简便以及经济的提供移动数据和语音服务 为移动型企业提供安全的解决方法,使有线网络同无线
6、网络同样的安全0Aruba 2400 Mobility ControllerAruba 2400 移动控制器The Aruba 2400 mobility controller is equipped with 24 10/100 Mbps Ethernet ports and 2 Gibabit Ethernet (GBIC) uplinks.Aruba 2400 移动控制器配有 24 个 10/100 Mbps 以太网端口和 2 个千兆以太网 (GBIC) 级联端口。The Aruba 2400 supports up to 48 APs and up to 512 simultaneou
7、s users.Aruba 2400 支持最多 48 个接入点 (AP) 和多达 512 个并发用户。Designed for regional headquarters or dense office deployments, the 2400 delivers up to 400 Mbps of encrypted throughput via an integrated hardwareaccelerated encryption engine.2400 专为区域总部或密集办事处部署而设计,通过集成的硬件加速加密引擎可传输高达 400 Mbps 的加密吞吐量。Performance &
8、Capacity性能和容量机架式1U配置固定10/100 端口24以太网供电是以太网串联是GBIC 级联端口2有线 L2/L3 交换机操作是硬件加速加密是RS-232 串联控制台 (RJ-45)是带外以太网管理端口否每台交换机最大用户数目512每台交换机最大接入点数目48加密流量 (3DES) 吞吐量400 Mbps交换机吞吐量2Gbps0GBIC uplink ports 20Fault Tolerance容错性VRRP 用于交换机故障切换是自动接入点再导引是冗余电源否冗余风扇否冗余监控模块否多个级联端口以实现冗余是(可使用任一交换机端口)802.11 Transport, Authenti
9、cation & Encryption802.11 传送、认证和加密802.11 通信标准a,b/g802.1x是加密类型WEP、动态 WEP、TKIP WPA、WPA-2, 802.11i, DES, 3DES,WPA-2、802.11i、DES、3DES、AES-CCMP, AES-CBC, EAP, PEAP, TLS,AES-CCMP、AES-CBC、EAP、PEAP、TLS、TTLS, LEAP, EAP-FAST, xSec-L2 AESTTLS、LEAP、EAP-FAST、xSec-L2 AESMAC 地址认证是可升级到新的加密机制是Wi-Fi Certified 标志是802.
10、11 communications standards a, b/g0RF Management and ControlRF 管理和控制适合无线电资源管理 (ARM)是语音察觉扫描是,多 ESSIDper AP up to 48最多 48 个接入点3 维 RF 站点视图是自动接入点校准分布式和集中式0在失败的接入点旁进行自恢复是负载平衡 用户数目是负载平衡 基于利用情况是覆盖盲区和干扰检测是无线 RMON/分组捕捉是第三方分析工具插件Ethereal,Airopeek基于定时器的接入点接入控制是Mobility移动性快速漫游23 米秒(交换机间)1015 msec inter-switch10
11、15 米秒(交换机内)内部子网漫游是移动 IP 支持是代理移动 IP是代理 DHCP是VPN & FirewallVPN 和防火墙并发 IPsec 通道512状态防火墙策略(每用户和每端口)64,000VPN 终端Ipsec、PPTP、XAUTH、xSec(Client-Server and(客户端服务器和Point-to-Point)点到点)VPN 拨号器是定制强制网络门户是外部强制网络门户是网络地址转换是ACLs标准和扩展User Management用户管理每个用户或每个角色分配防火墙策略、Bandwidth Contracts,带宽合同、Session Prioritization,会
12、话优先级、VLAN AssignmentVLAN 分配角色来源根据认证、ESSID, Encryption, OUIESSID、加密、OUI基于位置的接入控制是0Quality of Service服务质量带宽合同是每个用户和每个角色应用识别流量分类0and prioritization和优先级是802.1p支持 是DiffServ 控制协议支持(DSCP 标记)是0VoIP SupportVoIP 支持语音察觉 RF 监控/扫描是基于会话状态语音会话优先级SCP、SIP、Skinny、VoceraVoice-aware RF monitoring/scanning Yessession-ba
13、sed 0Authentication Services认证服务本地 RADIUS是第三方 AAA 服务器互用性Microsoft Active Directory、Microsoft IAS Radius Server,Microsoft IAS Radius Server、Cisco ACS Radius Server,Cisco ACS Radius Server、Funk Steel BeltedFunk Steel BeltedRadius Server, RSA ACEserver,Radius Server、RSA ACEserver、Infoblox, Interlink Ra
14、dius ServerInfoblox、Interlink Radius ServerLDAP/SSL 安全 LDAP是Local RADIUS Yes Wireless LAN Intrusion无线 LAN 入侵语音察觉扫描是多频段扫描(单模,整个频段)是与第三方 WLAN 协同工作是检测并消除未经授权的接入点是拒绝服务攻击检测和防护认证和Deauthentication floods,解除认证洪泛 (Deauthentication flood)、Probe request flood,探测器请求洪泛 (Probe request flood)、Fake AP flood伪接入点洪泛 (
15、Fake AP flood)人为攻击序列号、检测和防护EAP 速率、Station Disconnect analysis工作站断开分析工作站和接入点分类是工作站黑名单手动、认证Failure, Man-in-the-Middle attack失败、人为攻击基于 MAC 地址的用户数据库对未经授权或无效接入点分类是MS-SQL 或 MySQL接入点错误配置保护是假冒工作站和接入点是不正确/效率低的 WEP keys 和初始化矢量是自组网检测和防止是未授权的 NIC 类型 (OUI)是特征符分析是可升级至识别新的特征符和攻击是多租户策略是无线网桥检测是0Network & System Mana
16、gement网络和系统管理网站用户界面是命令行控制台、telnet、SSH系统日志 (Syslog)是SNMP v2c是Aruba 私有 MIB是MIB-II是本地 Wi-Fi 多路复用器的集中配置12本地 Wi-Fi 交换机的集中配置48Wi-Fi 交换机和所有接入点的集中图像更新c是Third-party Security Services Integration第三方安全服务集成防病毒服务集成和0user quarantine用户隔离是Fortinet修复集成和0user quarantine用户隔离是Sygate服务器负载平衡用于外部服务器/0server groups服务器组是Sta
17、ndards Supported标准支持0IEEE 802.1xIEEE 802.1xIEEE 802.3 10BASE-TIEEE 802.3 10BASE-TIEEE 802.3u 100BASE-TIEEE 802.3u 100BASE-TIEEE 802.1QIEEE 802.1QIEEE 802.3afIEEE 802.3afIEEE 802.11a/b/gIEEE 802.11a/b/gIEEE 802.11dIEEE 802.11dIEEE 802.11i (draft version)IEEE 802.11i(草案)042 移动交换机2400功能说明列表一、操作界面(OS版本2
18、.5.5)图十二 操作界面图二、功能说明1、Monitoring(监视)这个工具可显示在整个ARUBA移动边缘系统的组件和客户端的情况,以及本地移动控制器,WLAN的连接情况和显示自定义的日志。分栏描述Network(网络)可以看到整个无线网络的情况,包括所有的无线交换机,AP,空中监测,接入的客户端等Switch(本机)可以看到本机的无线网络的情况,包括连接到本机的无线AP,空中监测,客户端,黑名的客户端等WLAN(无线网络)可以看到当前启用的SSID的情况,没有启用的SSID不会显示在这里。Debug调试2、Configuration(配置)这个工具是配置ARUBA移动边缘系统的。分栏功能描述Base(基本配置)WLAN(无线网络)配置SSID,可根据需要配置自己的SSID,这里可以选择加密和认证方式RF manag