Aruba产品性能参数及应用介绍.docx

Aruba产品性能参数及应用介绍在无线网络管理方面，必须具有无线的集中控管、智能调控、自动恢复、负载均衡等实用功能，所建无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。还应具有远端AP数据进行采集、远程监控、终端定位等功能，支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。安全性在无线网络安全性方面，无线局域网系统具有比有线局域网更高的的安全防护要求，无线网的安全性主要从以下几个方面考虑：（1）无线接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的VPN机制；（4）具有无线网的防病毒机制（5）具有无线电波监控能力（6）能提供无线入侵侦测和无线终端位置的追踪功能。可靠性具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；具有支持热备份的无线控制器N+1的冗余备份机制。可扩展性通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理以及升级，AP既可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。快速移动性Aruba的设备通过特有的无线技术，保证无线终端与AP之间的切换所需时间最少。在Aruba的无线架构体系中，无线AP只作为无线天线和无线802.11a/b/g 无线协议的封装，其他无线网络中的无线认证，无线加解密，无线管理以及无线终端漫游管理等都在无线控制上完成。因此，列车在无线切换过程中无线信号的满足快速漫游切换。所有无线安全的认证，加密等都不需要象传统瘦AP厂商那样需要重新认证与加密，IP地址也同样不需要更新，可以在漫游中保持。通过特有无线漫游技术的保障，可以让列车在无线AP间的切换保证在毫秒级别的漫游切换。1.1.1.1 整体系统架构设计 结合武汉轻轨的PIS中的网络和应用需求以及ARUBA解决方案的特点，ARUBA无线网络系统中的设计原则可以分为以下几大点：l 安全性-组建高安全级别的无线网络传输系统；l 高可用性-无线网络具备抗无线干扰能力并且具备无线自愈功能以及高冗余性无线链路以及设备冗余性；l 多媒体业务融合支持-支持视频等多媒体业务传输需求；l 快速移动性-支持列车在80公里/小时的速度下保持列车和地面的WiFi信号连接。武汉轻轨需求的三大特点正好符合ARUBA无线网络优势： 根据武汉轻轨无线网络的需求，建议采用无线AP配合无线控制器集中控制和管理，在武汉轻轨沿线架设无线AP，通过沿线架设的光纤汇集到控制中心，中心配置两台无线控制器作设备的冗余备份保障无线网络可靠性。1.1.1.1.1 无线拓扑结构图整体无线车地系统拓扑结构图武汉轻轨1号线PIS车地无线传输系统由三层网络结构组成，即控制中心子系统、网络子系统（轻轨802.11a的54M无线接入网和站点网络系统，）及车载子系统（列车100M Ethernet LAN以及无线车载终端）。列车通过54M无线接入轨道边AP，轨道边AP通过100M Ethernet星形网接入车站交换机，车站交换机通过1000M Ethernet接入主干网络。每个站台、轨道边沿线都铺设5.8GHz遵循802.11标准的无线接入点（AP），通过铺设在轨道边内的光纤星形网，接收从子系统控制中心发来的信号，列车终端依靠无线网络和光纤星形网通讯技术接收来自列车所到位置对应AP发送的即时信息，并实现节目信息的实时播放。同时，由于无线信息传输的双向性，PIS系统也可以将列车上的实时乘客信息、监控情况及时上传到车站控制室及子系统控制中心。无线传输系统主要涉及轨道边沿线的无线接入点AP和天线的布放，高速移动情况下的无缝切换，以及与上级交换机设备互联和与媒体分发中心进行数字多媒体数据传输等。1.1.1.1.2 无线控制器与核心交换机连接在ARUBA的无线解决方案当中，两台ARUBA 6000无线控制器的放置是在武汉轻轨公司的网络数据中心。网络连接需要注意以下两点：l ARUBA的无线控制器与相连核心交换机/路由器之间端口协商的匹配性和稳定性：如果存在着速率匹配失误的情况，整个无线网络的稳定性会受到影响，具体表现为AP会不断进行重新启动。l ARUBA无线控制器与核心网络设备之间相连的角色组情况需要和武汉轻轨公司网络的规划一起进行，ARUBA无线控制器和网络的核心设备之间可以通过二层Trunk方式或者三层路由方式，用于将用户划分到不同策略的角色组当中去。1.1.1.1.3 接入层AP部署ARUBA无线方案能够方便实现跨三层网络部署，远端接入层的AP（路边）部署只需获得相应IP网络地址和网络中已经部署的ARUBA交换机IP地址即可。极大简化了传统无线网络部署复杂程度，减轻AP设置与用户设备以及AP所连接有线网络配置。无线AP通过武汉轻轨公司已有的路边光纤网络汇聚回到网络中心，通过已有的有线网络系统，连接到两台ARUBA 6000无线控制其上，网络管理人员通过ARUBA 6000集中管理和监控远端AP的运行状态。 1.1.1.1.4 AP的防雷设计在实际架设的无线AP（路边室外）必须要有符合防雷标准的安装设计：l 为预防通过交流电力引线、无线天线系统以及其它各种进出站的缆线所引入的雷害，达到确保无线站构筑物、站区工作人员的安全，以及站内通信设备的安全和正常工作，必须加强防雷措施。 l 轻轨无线站的防雷与接地设计可参照无线站的综合通信防雷与接地设计，应按通信局(站)接地设计暂行技术规定YD2689执行。 l 由于无线站引入雷害的途径多且遭受雷害机率较高，无线站防雷与接地应进行全方位的综合治理。采取泄放、消峰、均压等电位的联合接地设计原理，全面系统地做好无线站的防雷与接地设计。 l 为无线站供电的电力电缆及其它进出缆线如有金属外护层或穿金属管道,最好埋设于地下。 沿线路边无线AP（无线站）防雷措施，具体方法如下图：1. 无线站工作接地，应从接地汇集线就近引线，接地线的截面积应满足最大负荷要求，一般要求为3595平方毫米，材料为多股铜线。 2. 无线站通信设备及供电设备的正常不带电的金属部门、通信设备所设防雷保安器的接地端，均应作保护接地，严禁作就近接零保护，接地线的截面积应不小于35平方毫米，材料多股铜线。 3. 出入无线站的电缆金属护套在入站处应作保护接地，电缆内芯线在进站处应加装保安器，电缆内的空线对亦应作保护接地。4. 走线每隔5米作一次接地。走线架、吊挂铁件、机架（或机壳）、金属通风管道以及其它金属管线，均应良好接地并相互妥善连通。 5. 无线馈线及塔顶航空障碍信号灯馈线的金属外护层，应就近接地。6. 无线天线应在避雷针保护范围内。避雷针与引下线应可靠焊接连通，引下线材料为40毫米×4毫米镀锌扁钢。引下线在地网上连接点与接地引入线在地网上连接之间的距离宜不小于10米。 7. 无线站交流电应采用三根相线，电力电缆金属外护层，应就近接地。 8. 无线站电的连接电缆架设如果处于年雷暴日超过20天，大地电阻率超过100欧·米的地段时，应在电缆上方埋设屏蔽线。 9. 无线站的交直流配电设备及电源自动倒换控制，应选用具有防雷措施产品，应有防雷措施和浪涌吸收装置。 1.1.1.1.5 车载无线单元设计 有关车内无线终端设备的相关接口标准，应该符合无线802.11标准，支持无线漫游快速切换。 车载无线单元除了能够在AP间快速切换，还必须满足以下要求：l 备份：在每一列的列车车头和车尾各安装一套车载无线单元，为车上的计算机设备提供接入网络控制中心的通道，一套工作，一套备份，备份的无线单元实时检测工作无线单元的工作状态，一旦工作的无线单元发生故障，备份的无线单元将自动接管其工作。l 广播支持：车上的计算机设备支持远程唤醒功能，依靠中心发出的指令来实现开关机，所以车载无线单元支持将中心发出的广播指令传送到车载的网络。l 管理接口：除了提供CLI命令行接口对无线单元进行配置和管理外，必须提供Web和SNMP接口对车载无线进行配置和操作。l 智能性：每条轻轨线路都有上下行线路，车载无线单元必须支持列车到终点后的参数切换，比如上下行线路采用不同信道的无线信号时，车载无线单元必须能够做到自动切换。l 带宽需求：PIS对无线带宽的要求很高，车载无线单元必须在80km/h运行速度下，支持不低于15MBps的网络净吞吐率。l 安全：必须支持WEP和WPA对数据进行加密。l 灵活性：在轻轨无线应用中，有可能同一线路中的列车会进行车厢重组，车载无线单元分布在车头和车尾，必须能够在列车车厢重组后能够自动识别对方并正常工作。TrainFi 205无线车载无线单元连接示意图如下图所示：TrainFi 205车载无线单元安装在列车的车头内，TrainFi 205和车内网络系统通过RJ45网络线连接。v 描述在列车头、尾各安装1套TrainFi 205轨道交通专门设计的无线客户端，以54Mbps速率与路边沿线的无线AP建立无线连接。v 特点Ø 为工业环境设计的轨道交通专用无线客户端，适合车载环境，提高车载系统的可靠性；Ø 冗余54Mpbs无线链路，当主用无线链路出现故障，启用备份链路。方案中选择的车载无线单元的优势：l 高速切换能力：能够支持CCTV实时流媒体业务的高速漫游能力，能够提供最小的视频延迟，在20毫秒之内就可以切换AP。l 完善的现场测试工具现场测试工具可以提供对轨道交通整个链路的信号分析优化系统的性能。现场测试功能可以帮助网络管理人员图形化定位信号强度以及跟踪整条轨道交通链路的信号分布选择最佳的漫游方案。详细的漫游纪录功能，无线车载单元提供详细的漫游纪录帮助管理人员在无线网络实施过程中纪录详细的漫游过程，最终确定最佳的漫游方案。1.1.1.2 组网方案设计1.1.1.2.1 设备连接方案无线网络系统设备连接图如上图所示，在整个无线网络系统当中，两台ARUBA的无线控制器A6000放置在数据中心，与核心交换机之间采用VLAN trunk进行连接；而轻轨中的AP通过GRE隧道汇接回到无线控制器，途经轻轨站内的有线交换机和其它相关的有线网络设备。 在这样的网络实现当中，AP上用户的流量都将通过AP与无线控制器建立起的GRE隧道，流向无线控制器，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。整个物理连接如下：AP通过光纤环网与站台的接入层交换机相连，由于AP和接入层交换机都是铜缆接口，需要通过工业级光电转换器互连转换。而控制器则采用2个端口的千兆光纤接口做端口绑定，既达到冗余功能，又达到无线带宽绑定功能。基于整个武汉轻轨一号线乘客信息系统的系统设计架构：中心交换机à车站级交换机à各分布点无线AP连接用光电转换器，我们在车站级交换机à各分布点无线AP连接采用星型方式，由车站级交换机采用电气连接方式汇聚该站所覆盖的各工业光电转换器，各工业光电转换器可通过长度不等的多模光纤与连接各无线AP的工业光电转换器相连通。实现信息系统数据的下发功能即：中心的数据服务器开始à经中心交换机à车站级交换机à各分布点无线AP连接用光电转换器à 无线APà专用车载快速无线漫游客户端à车载网络à车载LCD控制器à 各LCD显示屏系统。实现信息系统数据的上传功能即：车载摄像头à 视频编码器à车载LCD控制器à车载网络à专用车载快速无线漫游客户端à无线APà各分布点无线AP连接用光电转换器à车站级交换机à中心交换机à中心的数据服务器。如下图所示：数据下行及上行流程如附图所示：1.1.1.2.2 系统冗余方案 在武汉轻轨无线网络中整个系统的冗余在多方面体现，其中主要有：中心无线控制器设备的冗余VRRP，远端设备的硬件冗余，无线链路的冗余，无线信号冗余等等。 中心无线控制器设备的冗余VRRP：如设备连接图所示，在整个无线网络系统当中，ARUBA的无线控制器A6000两台设备放置在数据中心，两台A6000设备一主一从，通过标准的VRRP协议作设备冗余备份。沿线路边架设的无线AP通过光纤连接汇集到核心交换机，A6000设备与核心交换机之间采用VLAN trunk进行连接，无线AP会首先连接注册到A6000主设备，当A6000主设备故障无线AP会自动连接A6000从设备。 远端无线链路和无线信号冗余： 在轻轨中的AP通过GRE隧道汇接回到无线控制器，途经轻轨站内的有线交换机和其它相关的有线网络设备，无线的链路覆盖需要预留冗余，特别是为了配合列车载无线覆盖的区域内快速漫游，如设备连接图所示，每个无线AP的无线覆盖和相邻的无线AP最好有1/5到1/4的无线覆盖重叠，为配合无线快速无缝切换。按照武汉轻轨要求需留有需求带宽25以上的冗余量。 无线信号的冗余，考虑到此次工程中无线设备为地面和高架线路架设，古田车辆段还存在因整体上盖物业，引起建筑的柱网会非常密集的情况，造成无线信号很容易产生多径干扰等情况，考虑到各种覆盖情况以及线路周边可能出现的未知不确定无线干扰，无线AP信号传输部分在此区域内要多考虑冗余，无线AP架设的位置，以及设备的传输冗余储备都要做相应的考虑。建议最好有10dB左右的冗余无线信号抗干扰储备。1.1.1.3 无线覆盖建议1.1.1.3.1 链路带宽分析ARUBA的无线AP所使用的硬件支持无线多媒体扩展（WME）的队列，可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级。ARUBA在支持802.11e服务质量的基础上，增加了基于用户状态流的区分和优先级映射，使得同一个设备的不同应用可以得到不同的处理优先级。区分数据流的各种参数可以包括源/目的地址、协议、服务（如HTTP、TFTP、SIP等）。 ARUBA无线控制器在启用内置的防火墙时，可以识别数据流的状态和类型，因此可以根据用户或应用来分配不同的带宽。带宽分配是在无线控制器内由一个专业的漏桶算法来控制的，当用户的流量超过预定义的带宽时，数据包将被丢弃。 ARUBA的AP和无线控制器可以利用802.1p和IP DSCP来给网络里的数据包来标记QoS的优先级：· 下行往无线用户的方向，无线控制器根据应用和流的标识来标记802.1p标签，无线控制器内部的状态防火墙可以识别需要高优先级的数据流，然后根据用户定义的802.1p标签来标记相应的数据包，这样在无线控制器和AP之间的网络就可以据此来保证下行数据的优先级；当AP收到下行数据时，它可以根据数据包的GRE包头的信息来确定该数据包的优先级。· 上行无线用户往AP的方向，AP不作解密的工作，所以没有办法知道数据流的优先级，但是一旦高优先级的数据流到达无线控制器，该数据流就立即被识别并且AP被告知哪个用户具有较高的优先级，此后该用户的数据流就会被标上用户定义的802.1p标签。 由于无线服务质量标准802.11e还没有最后定稿，ARUBA支持Wi-Fi联盟的WMM规范（802.11e子集）。一旦IEEE 802.11e被定稿和正式公布，ARUBA将完全支持该标准。ARUBA的AP具有8个硬件队列，目前使用了两个：高优先级和低优先级，以后可以配合802.11e标准的发布启用8个队列，以实现更为丰富的服务质量保证方案。1.1.1.3.2 多普勒效应多普勒效应示意图多普勒效应常见的例子是火车，当火车接近观察者时，其火车汽鸣声会比平常更刺耳。可以在火车经过时听出刺耳声的变化。同样的情况还有：警车的警报声和赛车的发动机声。把声波视为有规律间隔发射的脉冲，可以想象移动设备每走一步，便发射一个脉冲，那么在移动设备之前的每一个脉冲都比移动设备站立不动是更接近，移动移动设备移动性。而在移动设备后面的声源则比原来不动时远一定距离。在移动设备之前的脉冲频率比平常变高，而在移动设备的移动之后的脉冲频率比平常变低了。多普勒效应不仅仅限于声波，电磁波（RF信号）也存在多普勒效应。由于电磁波在真空中传播，真空中不存在介质，只需要考察光源与观测者之间的相对运动。必须根据相对论才能确定其多普勒效应的频率变化关系。波源静止，观察者相对于媒质运动：图表 1. 波源静止，观察者相对于媒质运动如上图，当观察者O向着波源运动时（v00）时，在单位时间内，原来处在观察者处的波面向右移动u的距离，同时观察者自己向左移动了v0距离。这就相当于波通过观察者的总距离为（u+v0），因此，在单位时间内，观察者接收到的“完整波”数目等于（u+v0）距离内的完整波数目。即观察者收到的频率为下面公式中为波的频率。由于波源在媒质中静止，波的频率等于波源频率，因此有这表明，当观察者以速度v0向着静止波源运动时，接收到的频率为波源频率的(1+v0/ u)倍。当观察者背离波源运动（v00）时，上式仍然适用，只要将v0以负值带入即可，那时观察者接收到的频率要小于波源频率。当v0=u时，则0=0，相当于观察者随着原来的波阵面一起运动，也就接受不到振动了。在100公里/小时的移动速度下，多普勒效应造成的频移(Doppler Shift)大约为工作频率的百万分之一，对于2.4GHz (802.11g)频段来说，频移大约为2.4MHz左右，将直接导致信号衰减和误码率的上升。误码发生后，Layer2（数据链路层）的数据单元需要被重新发送，这样就会造成性能和吞吐量的下降，当误码和重传多过时，无线链路就不再可用。Aruba无线系统选用了Atheros高品质的射频芯片，可以更有效的避免和处理误码；同时，通过调整射频工作环境，为无线链路提供更多的衰减冗余(fade margin)整个系统频率的裕量可以达到±1kHz），保证链路的信号强度，可以降低多普勒效应的影响。1.1.1.3.3 菲涅尔区干扰 在实际电磁波的空间传播比较复杂。电磁波被阻挡就会产生折射作用，大气层的温度、湿度、压强以及天气的变化都会使电磁波产生不同的折射，都会引起电磁波的不规则性，因此要有足够的无线链路冗余考虑。考虑到武汉轨道中无线菲涅尔区的干扰，武汉轨道交通中菲涅尔区间干扰会比较多。由于无线传输链路中间的空间很可能有物体遮挡。微波通信的直线传播原理决定了微波传输路由上的不可阻挡性，就像空中飞行航路一样，需要一定的“净空区”，国家标准GB-4821规定：无线天线的正前方有一定的空旷地带（即净空区）。在此范围内不应有森林、较高的树木、 建筑物，金属构筑物等。以2.4G无线为例参数图：根据惠更斯菲涅尔原理，波源在一定的介质内按一定的规律传播，由于波的干涉作用的结果，就形成一个接一个新的波前面，就像一个个环带，这种现象称为菲涅尔带。在微波发信和收信之间所形成的通道称为菲涅尔区。微波接力通信的电磁波能量及所携带的信息就是菲涅尔区内辐射场的总和。为了提高传输方向性，使用的抛物面天线，它的传输菲涅尔区呈椭圆状形，而主要能量集中在第一菲涅尔区内，第一菲涅尔区半径用F1表示，其最小菲涅尔半径用F0表示。FO=0.577F1。F0也可理解为“禁区。阻挡物不可闯入微波通信通道的“禁区”。 菲涅尔区是一个椭球体，收发天线位于椭球的两个焦点上，图中R为第一菲涅尔半径，计算公式如下: R=0.5(D)0.5(4) 为波长，为两天线的距离=3*108/f mH1=保证第一菲涅尔区60%的空旷需要架高天线的高度；H2=地球曲率因素要求的天线架高高度；D=以英里为单位的距离；F=以GHz为单位的频率。2. 无线链路辅助余隙 当无线信号的收发之间的直射线恰好与地形的障碍物体最高点相切，信号就不能作为自由空间传播的模式计算，无线信号接收点不可能得到相应的信号强度，有关资料表明需要6dB以上的衰耗。此外，考虑到低空大气对流层是受气象变化的不均匀的媒质，不同的气象条件会造成电波的折射作用，引起反射波电场的变化，改变原直射波的路径，影响信号的稳定度。附加轨道交通路边的建筑构件，如广告、灯箱等都是应该考虑的因数，因此，轨道交通无线通道一定要留有“辅助余隙”。 在武汉轨道建设中由于武汉双线单轨道边模式，可以采用双方向的定向天线，对抗无线信号衰减，无线链路保留6dB以上的链路冗余，建议采用单向定向天线（双线列车错车的情况下实时传输效果可能会受到影响，此时下行视频应当自动切换至录播模式）。1.1.1.3.4 抗干扰分析无线网络系统所遇到的干扰以及解决措施如下：(1) 抗多路径干扰，由于发射信号被障碍物反射导致。解决措施如下： 采用OFDM（正交频分复用）调制方式，适合于多径环境下工作；OFDM是Orthogonal Frequency Division Multiplexing的英文缩写，其具体意思为直角频率多路传输分割复用技术。这种技术将无线通信传输信号分割成了多个副载波进行传输，每个副载波由于仅仅携带了很小一部分的数据负载，OFDM技术就能利用更长的符号周期，使通信传输信号更不容易受到多径传输的干扰或者其他外界的特殊干扰。OFDM技术除了通过分割载波的方法来增强通信的抗干扰外，还通过提高载波频谱利用率的方法来提高通信的稳定性。通过对多载波的调制改进，让各子载波相互正交，扩频调制后的频谱可以相互重叠，从而基本解决了子载波间的相互干扰； 采用定向天线，使得覆盖范围内无线信号有方向行，多路径最小化； 采用差异双天线，试验证明采用差异双天线时，如果一个天线处于信号无效点，则另一个天线不会处于信号无效点，如图所示。 图 多路径示意图 在多路径无线反射环境中，信号无效点(null point)在该范围内到处存在。将天线移动一下将移出信号无效点且接收正确的信号，因此第2个天线总能接收到信号。(2) 抗信号衰减，无线射频信号强度与距离平方成反比。由于无线射频信号本身的特性，解决方案是加大AP的铺设密度，使得AP之间重叠范围增大。(3) 邻频道干扰，频率串扰导致。解决措施是将相邻的AP设置到独立的3个工作频段中，可大大减少相邻AP之间的干扰。(4) 同频道干扰，其他同频AP或者其他系统干扰造成。如果是其他同频AP干扰造成，则将其设置到独立的3个工作频段之一；如果是其他系统干扰造成，则可能的话，降低其发射功率。(5) 多普勒频移效应，由于无线车载设备高速运动所致。ARUBA无线设备采用OFDM（正交频分复用）调制方式，本身就适合于多普勒频移环境下无线传输数据。(6)无线网络的抗干扰能力的实现是通过多级接收滤波器来实现的。AP本身具有比较理想的抗干扰能力。在双向放大器的接收部分，又采用了两个RF滤波器。接收部分只放大2.4GHz到2.483GHz之内信号，对于其他频段的信号，均衰减，从而实现比较理想的抗干扰能力。1.1.1.4 轻轨天线安装建议 在武汉的轨道中的AP的安装应根据武汉的气候、环境特点以及轻轨的特殊环境特点对设备采取必要的防护措施。例如防盗、抗电磁干扰、防风、防雨、防雪、防雹、防雷、防尘、防潮、防霉、防辐射、防静电等。同时与AP共同进行无线接入的光纤转换器和功率放大器也需要必要的防护措施。因此轨道中的AP推荐采用机柜式安装。如下图： 室外IP65机柜防护等级IP65以上，满足标书中室外AP的安装要求，安装方式采用地面固定安装。 在实际的武汉轨道交通区间空间不是很开阔，规定不容许架设无线天线杆，因此，定制的室外IP65机柜边上定制一根30-50厘米的口径50mm的短杆。室外IP65机柜厚度不得超过20厘米。由于实际的设备的宽度都小于10cm，可以满足实际设备安装需求。 地面高架线路上安装专门订制的室外IP65标准机柜，内部安装无线设备，铁皮箱配专用防盗锁作防盗处理，室外IP65机柜通过膨胀螺丝连接轨道沿线路面。1.1.1.5 无线网络安全分析1.1.1.5.1 无线层面安全分析 ARUBA 无线系统的RF侦测功能和保护机制，可以实时监测无线网覆盖区域内的所有AP接入无线连接情况，如相邻区域的AP、设置错误的AP以及未经认可存在无线网络覆盖范围内的AP。 ARUBA 网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现非法的AP后可以自动开启保护机制，可以阻止无线终端通过联接非法AP而造成的数据泄密。 ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，会记录和显示入侵的格式，并对入侵做出自动保护响应。ARUBA 提供了侦测和防护两种功能。 它可以对用户和设备进行侦测和分类，这样管理员可以对无心和恶意的无线访问作相应的反应。ARUBA 无线分类系统对连接到网络的 AP 和站点进行自动识别和分类。ARUBA 无线系统通过比较空中的无线通信和线路中的通信来运作。当找到匹配数据时，可以肯定设备属于本地网络，不是邻近网络。可以避免管理员收到错误警报，只有对真正的欺诈设备才进行这样的分类。 ARUBA 的无线AP分类法可精确地确定附近其他 AP 的威胁和干扰程度。 一旦AP分类为欺诈，ARUBA系统将自动禁用欺诈AP。 同时通知管理员这些欺诈设备的存在，并在平面图上标志出欺诈AP的精确物理位置。 由于无线网络的特性，成为拒绝服务攻击的目标。 无线攻击包括用联合请求阻塞网络的软件，让一台笔记本计算机模拟上千AP 的攻击，以及未认证洪水攻击。 ARUBA 移动控制器配备有无线安全模块，可以维护许多不同无线攻击的签名，并可以阻塞它们，保证无线服务稳定性。 高级拒绝服务 (DoS) 防护将保护企业的安全免受许多种无线攻击的威胁，包括联合请求和未认证洪水、蜜罐以及 AP 和站点伪冒。 根据位置签名和客户机分类，ARUBA AP 将删除非法请求并生成警告以通知管理员此类威胁。 无线网络中“中间人”攻击是一种很常见的攻击。在中间人攻击期间，黑客伪装成一个合法 AP。通过假扮成一个中继点，中间人欺骗用户和其他 AP 通过未认证的设备发送数据。一个攻击者可以修改或覆盖数据或执行密码破解。 ARUBA AP 监视空气以侦测其它伪装成有效 AP 的无线站点。 当侦测到这些伪装点时，将会采取合适的防护机制。 ARUBA 移动控制器也会在网络上追踪每台无线客户机独一无二的“签名”。 如果引入的新站点宣称自己是一台特殊的客户机，但又没有正确的签名，则侦测出它是伪冒站点。 ARUBA无线安全模块提供了许多策略，当违反策略时，可以将这些策略配置为自动采取行动。 无线策略的示例包括脆弱 WEP 执行侦测、AP 误配置保护、自组织网络侦测和保护、未认证 NIC 类型侦测以及无线网桥侦测等等。 ARUBA 可以避免无线通信进入有线网络。 使用配备有 WIP 的 ARUBA 移动系统，可以保护企业网络免受无线安全漏洞的威胁。 而且当企业准备部署无限局域网时，可以方便地重新配置 ARUBA 系统以提供可升级和安全的无线局域网基础结构。 ARUBA 可以提供无线的侦测和保护，为无线网络拒提供安全保障。1.1.1.5.2 网络层安全分析 ARUBA策略执行防火墙模块为网络移动边缘提供了基于身份识别的安全性。 当用户是移动用户时，由于用户可能在任何地点，通过有线或无线方式进入网络，因此基于身份识别的安全性是必要的。 ARUBA 通过 ICSA 认证的状态防火墙根据用户身份识别、设备类型、位置和一天中的具体时间给用户分类，并为不同类型的用户提供了不同的访问接入。 由于在移动网络中没有安全的物理层，因此对待移动用户时，应该比对待传统的固定用户更谨慎。 防火墙是企业对于网络移动边缘的分层安全策略的强制部分。 ARUBA 独一无二的基于身份识别的状态防火墙技术使企业能够为企业网络上的一个用户或一组用户定义访问控制。 ARUBA 移动控制器提供了单点加密解密、认证和防火墙执行。能够识别身份并且已进行终端加密，因此对于欺诈攻击免疫，这些欺诈攻击往往使得基于网络，只进行 IP 地址过滤而不是用户识别的传统防火墙束手无策。 ARUBA 允许主动执行策略，甚至在移动环境中，当用户通过网络的移动边缘漫游时，策略将始终跟随用户。 ARUBA 的状态防火墙功能不仅仅提供了耐用的安全性。 规则操作也可以使用 802.1p 或 DSCP 标记来标注包，把通信量的优先顺序区分为多个队列，或者甚至可以将特定协议重定向到不同的目标。 对于许多流行的协议，例如 SIP，流分类是有状态的，它允许将合适的 QoS 应用到控制协议和调用的会话中。对于视频业务流也可以QoS管理。 ARUBA 的状态策略执行防火墙根据用户的角色来启用对网络资源的访问。 角色通过一系列的不同机制，例如外部认证数据库、ESSID 或物理位置来分配或取得。 一旦将角色分配给用户，就可以应用不同的策略。把基于身份识别的防火墙合并到网络的移动边缘，可以减少这些危险发生的可能以及带来的损害。 通过限制移动用户可以访问的网络资源，ARUBA 的策略执行防火墙有助于在无线中消除了蠕虫和病毒传播。 ARUBA针对无线用户设备具备黑白名单机制，可以将无线的黑客等无线攻击放入黑名单，保护无线网络安全，ARUBA的无线安全方式，当检测到无线网络上的攻击，立刻将该用户放入黑名单组中，黑名单组可以在网管设定相应的时效。可以做到基于无线的IDS和 IPS。ARUBA的优势在于控制器内嵌了防火墙模块，可以对数据包进行深度的包检测，可以针对网络的L2到L7的数据包作状态防火墙检测。极大提高了无线网络安全性。 ARUBA的无线 AP可以定期扫描射频频谱的所有信道，捕获所有的 802.11 通信，并在本地检查所有捕获的数据。只发送违反策略的数据到中央移动控制器，可以保证将其对无线网络性能的影响降到最小。 当扫描环境时，ARUBA 系统了解所有AP和站点的信息，并根据在线路上和在空气中发现的通信流为这些设备分类。无线通信是在移动控制器上收集并进行相互关联的。1.1.1.6 无线车-地系统网管设计网络数据中心管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。Aruba系统具有非常强的无线局域网集中管理功能，通过无线控制器Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线控制器就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 在本次项目中配置了无线控制器Aruba 6000，可以很方便的集中控管所有安装的AP。在后续无线网络规模扩大的情况下，增加控制器或支持相应AP数量的线卡即可。1.1.1.6.1 RF管理Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。 初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。Aruba 无线控制器可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，Aruba 无线控制器就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。由于无线电波是一种无形的东西，它的强度和所在的信道一般都需要根据经验手工调整，要做到无线信号均匀分布，信道的利用率高，无信道干扰并不是件非常容易的事情，但是Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。可以保证无线信号均匀分布，信道的利用率高，无信道干扰，无线网络做到最为优化的运行。当无线局域网经过Auto Calibration调整后而正式运作时，网络管理员可在Aruba 交换机内启动ARM功能，则无线网络上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指Aruba AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响的。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。这样Aruba 无线交换机就对整个无线网络上的电波情况有了一定了解和记录。当某一覆盖范围内的电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，Aruba 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整范围内AP的无线电波。Ø AP故障的自动恢复传统的无线网络在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。Aruba系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，Aruba交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。Ø 实现无线网负载均衡Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无线系统可应用层面通过47层交换模块可以实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。在视频应用中，负载均衡功能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保视频应用的质量得到保证。Ø 无线终端定位功能Aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和 Wi-Fi手机，以及非法的AP等。Aruba采用的无线定位模式称为三角定位，它的准确性可达到2.5米以内，只要寻找的无线终端附近须有三个Aruba的AP 在范围内。对于非法AP的检测具有很大的意义。1.1.1.6.2 性能管理QoS保证/负载均衡：如果一旦发生多个终端竞争一个AP的时候，基于流量和基于用户/终端数