Aruba成立于2002年,總部位于加利福尼亞州的桑尼維爾市,業(yè)務(wù)遍及美洲、歐洲、中東、非洲及亞太地區(qū)。Aruba是納斯達(dá)克股票交易所上市公司并且是Russell2000?子公司。
公司規(guī)模
Aruba成立于2002年,總部位于加州的桑尼維爾市,業(yè)務(wù)遍及美洲、歐洲、中東、非洲及亞太地區(qū)。Aruba是納斯達(dá)克上市公司并且是Russell2000?指數(shù)公司。
Aruba(安移通網(wǎng)絡(luò)科技(中國(guó))有限公司)作為全球分布式企業(yè)網(wǎng)絡(luò)的領(lǐng)導(dǎo)者,屢獲殊榮的校園、分支機(jī)構(gòu)/遠(yuǎn)程工作人員產(chǎn)品組合與移動(dòng)解決方案使用戶無(wú)論使用何種設(shè)備,身處何地或何種網(wǎng)絡(luò),都能簡(jiǎn)化運(yùn)營(yíng)并安全訪問(wèn)所有公司應(yīng)用和服務(wù),顯著提高了效率并降低了資本和運(yùn)營(yíng)成本。
公司名稱:英文名稱:ArubaNetworks總部地點(diǎn):加利福尼亞州的桑尼維爾市 成立時(shí)間:2002年
發(fā)展歷程
ARUBA公司是一家總部設(shè)在美國(guó)硅谷的新興高科技公司,公司僅用了4年的時(shí)間已經(jīng)成長(zhǎng)為全球領(lǐng)先的企業(yè)無(wú)線網(wǎng)絡(luò)產(chǎn)品制造商,并且是目前全球?qū)V谄髽I(yè)無(wú)線網(wǎng)絡(luò)產(chǎn)品的研發(fā)與設(shè)計(jì)的上市供應(yīng)商。公司已于2007年3月成功在美國(guó)NASDQ上市,股票代碼:ARUN。
ARUBA公司是全球業(yè)界首先提出了分布式無(wú)線網(wǎng)絡(luò)架構(gòu),并提出“以用戶為中心”無(wú)線網(wǎng)絡(luò)建設(shè)概念。ARUBA已經(jīng)在美國(guó)、歐洲、中東和亞太地區(qū)建有分支機(jī)構(gòu),員工更是遍布全球各地。
ARUBA非常重視中國(guó)市場(chǎng),在北京、上海市、廣州市、成都市、南京分別開設(shè)了辦事機(jī)構(gòu),并在北京設(shè)立了7*24小時(shí)的技術(shù)支援中心,全力拓展中國(guó)市場(chǎng)。
ArubaNetworks基于對(duì)用戶需求的了解、準(zhǔn)確把握市場(chǎng)發(fā)展趨勢(shì),提供高業(yè)務(wù)效率的創(chuàng)新技術(shù),成為面向企業(yè)移動(dòng)網(wǎng)絡(luò),提供下一代網(wǎng)絡(luò)接入解決方案的領(lǐng)先廠商。
Aruba公司主營(yíng)業(yè)務(wù)
Aruba公司移動(dòng)企業(yè)網(wǎng)絡(luò)(MOVE)架構(gòu)幫助企業(yè)整合無(wú)線網(wǎng)絡(luò)基礎(chǔ)設(shè)施為適用于出差在外的商務(wù)人士、遠(yuǎn)程辦公人員、企業(yè)總部員工以及訪客的無(wú)縫的統(tǒng)一的接入網(wǎng)絡(luò)。
Aruba將訪問(wèn)權(quán)限與用戶的身份相聯(lián)系,這意味著企業(yè)內(nèi)基于不同身份的員工可以獲得一致的、安全的網(wǎng)絡(luò)資源——而不管他們?cè)谀睦铮褂檬裁搭愋偷脑O(shè)備或通過(guò)什么方式接入網(wǎng)絡(luò)。
這降低了獨(dú)立的有線和無(wú)線接入網(wǎng)絡(luò)的管理策略成本以及復(fù)雜度。實(shí)際上,通過(guò)Aruba移動(dòng)企業(yè)網(wǎng)絡(luò),將減少有線端口需求,從而減少設(shè)備機(jī)柜中有線設(shè)備的數(shù)量——有效地縮減用戶接入基礎(chǔ)設(shè)施的規(guī)模。
Aruba在中國(guó)
作為全球分布式無(wú)線寬帶網(wǎng)絡(luò)的技術(shù)和市場(chǎng)領(lǐng)導(dǎo)者,ArubaNetworks于2006年進(jìn)入中國(guó),在無(wú)線城市、電信運(yùn)營(yíng)商、金融、保險(xiǎn)、酒店、校園、醫(yī)院、油田、礦山等市場(chǎng)上取得了驕人成績(jī),客戶數(shù)量和年收入每年都保持著兩位數(shù)的增長(zhǎng)。
作為WAPI產(chǎn)業(yè)聯(lián)盟和國(guó)家寬帶無(wú)線IP標(biāo)準(zhǔn)工作組的成員和積極分子,Aruba不僅致力于中國(guó)PB技術(shù)的不斷創(chuàng)新,同時(shí)也不斷加大在中國(guó)的投入。Aruba在中國(guó)的獨(dú)資公司——安移通網(wǎng)絡(luò)科技(中國(guó))有限公司正式成立,擁有北京、上海市、廣州市、成都市四個(gè)辦事處及Aruba全球三大研發(fā)中心之一的北京研發(fā)和服務(wù)中心。
安移通科技(中國(guó))有限公司總裁徐涌:“我們以用戶為中心,與合作伙伴共同打造雙贏的市場(chǎng)模式,全力為下一代無(wú)線寬帶接入技術(shù)早日服務(wù)于中國(guó)用戶而努力。我們堅(jiān)信,隨著中國(guó)信息化進(jìn)程的加速提升,以技術(shù)及創(chuàng)新為核心的安移通公司/ArubaNetworks將更好地為中國(guó)用戶提供服務(wù)和支持。”
領(lǐng)先技術(shù)
Aruba的特點(diǎn)
專為用戶移動(dòng)性、移動(dòng)終端和應(yīng)用程序進(jìn)行優(yōu)化。基于角色而不是所處位置、使用的設(shè)備或連接方式,使用戶安全訪問(wèn)企業(yè)網(wǎng)絡(luò)資源。
高安全性。基于身份的安全性向用戶分配接入策略,并跨越有線和無(wú)線網(wǎng)絡(luò)執(zhí)行這些策略——無(wú)論何時(shí)何地接入網(wǎng)絡(luò)。例如:Aruba公司推出的室內(nèi)定位與營(yíng)銷技術(shù)可以廣泛應(yīng)用于零售商、體育場(chǎng)以及任何其他廠商的Wi-Fi網(wǎng)絡(luò)中,有了ArubaSensor,Aruba的Beacon技術(shù)只能在廠商自己的Wi-Fi網(wǎng)絡(luò)上運(yùn)行。
通過(guò)現(xiàn)有網(wǎng)絡(luò)輕松部署。自適應(yīng)802.11n無(wú)線局域網(wǎng)對(duì)自身進(jìn)行優(yōu)化,以便確保用戶始終能夠得到關(guān)鍵業(yè)務(wù)信息。
易于管理和維護(hù)。提供端到端可視性和可控性,簡(jiǎn)化多供應(yīng)商、多站點(diǎn)網(wǎng)絡(luò)上用戶的管理。
ARUBA的移動(dòng)優(yōu)勢(shì)產(chǎn)品有四大部件:
1,ARUBAOS軟件:為ARUBA無(wú)線網(wǎng)絡(luò)提供智能
ArubaOS軟件功能強(qiáng)大、設(shè)計(jì)精密,可協(xié)調(diào)“移動(dòng)邊緣”結(jié)構(gòu)內(nèi)的全部設(shè)備操作,實(shí)現(xiàn)多項(xiàng)高級(jí)功能,包括:不間斷移動(dòng)功能、身份對(duì)應(yīng)安全策略、與現(xiàn)存網(wǎng)絡(luò)無(wú)中斷整合、移動(dòng)VoIP功能、適應(yīng)性無(wú)線電管理功能、企業(yè)級(jí)恢復(fù)功能、開放式應(yīng)用程序接口功能、端對(duì)端QoS服務(wù)以及集中式管理功能。
完全模塊化的ArubaOS軟件,可在任何Aruba移動(dòng)控制器或APN上運(yùn)行,以保證他們向處在移動(dòng)邊緣的用戶不間斷地提供服務(wù)。ArubaOS軟件的基本功能套裝是各種移動(dòng)控制器的標(biāo)準(zhǔn)配置,這些功能包括:精密的認(rèn)證和加密、不間斷高速漫游、射頻管理和分析工具、集中配置、位置追蹤等。
ArubaOS軟件令管理人員實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)接入點(diǎn)的單點(diǎn)控制,以便查找和關(guān)閉空閑的接入點(diǎn)、辨別并阻止惡意攻擊以及假冒用戶,實(shí)現(xiàn)負(fù)載平衡通訊、搜尋覆蓋漏洞以及干擾、創(chuàng)造狀態(tài)式身份對(duì)應(yīng)安全策略并隨個(gè)人用戶在移動(dòng)邊緣內(nèi)轉(zhuǎn)移。
由于全體Aruba移動(dòng)控制器采用相同的硬件結(jié)構(gòu),ArubaOS軟件在全部產(chǎn)品范圍內(nèi)都完全適用,可提供完全相同的功能,當(dāng)然其價(jià)格和性能根據(jù)不同的下層體移動(dòng)控制器型號(hào)而有所區(qū)別。完全模塊化的ArubaOS軟件尤其強(qiáng)調(diào)可靠性,包括:自動(dòng)重啟進(jìn)程將軟件故障的影響降至最低以及在主機(jī)和處理器內(nèi)完全實(shí)現(xiàn)VRRP冗余將硬件故障的影響降至最低。
ArubaOS軟件包括三種可選的軟件模塊:
無(wú)線入侵防范模塊
提供公司專利的分類技術(shù),可以辨識(shí)和防范惡意攻擊(例如:dos攻擊)、網(wǎng)絡(luò)弱點(diǎn)(比如:空閑的APN和臨時(shí)獨(dú)立網(wǎng)絡(luò))、偽冒用戶和接入點(diǎn),以及來(lái)自中間人的間接攻擊。
強(qiáng)化策略防火墻模塊
可以通過(guò)集成的ICSA-認(rèn)證的狀態(tài)式防火墻為用戶和工作組提供強(qiáng)化的安全策略。安全策略可以在單個(gè)用戶或工作組的基礎(chǔ)上,進(jìn)行集中定義并得到強(qiáng)化,而且可以隨用戶一起轉(zhuǎn)移。根據(jù)用戶位置、時(shí)間、設(shè)備類型以及認(rèn)證方式等不同的參數(shù),動(dòng)態(tài)強(qiáng)化安全策略。
VPN服務(wù)器
模式支持集成不同的虛擬私人網(wǎng)絡(luò)操作,無(wú)需離散式外部VPN集線器。硬件加速性能可提供局域網(wǎng)網(wǎng)速級(jí)別的VPN接連。支持包括L2TP/Ipsec,Ipsec/XAUTH和PPTP在內(nèi)的VPN協(xié)議。同時(shí)支持用戶終端和點(diǎn)對(duì)點(diǎn)VPN網(wǎng)絡(luò)。
用戶完整性模塊
可以為用戶提供有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的整合,防止惡意軟件(包括病毒和Worm.Win32.AutoRun.qpv)利用移動(dòng)服務(wù)感染網(wǎng)絡(luò)。它集成了SygateTechnologiesTM的軟件系統(tǒng),提供主機(jī)完整性監(jiān)測(cè)、帶文件和CPU緩存清理功能的虛擬桌面以及防范“Zero-day”威脅的用戶安全訪問(wèn)。
遠(yuǎn)程APN模塊
令網(wǎng)絡(luò)管理人員能安全地將企業(yè)的無(wú)線功能延伸至任何可以連接互聯(lián)網(wǎng)的地點(diǎn)。同時(shí)使移動(dòng)工作者在家中、在遠(yuǎn)程辦公室以及在其它工作地點(diǎn)都能獲得企業(yè)級(jí)的無(wú)線局域網(wǎng)。
外部服務(wù)接口模塊
允許所有的Aruba移動(dòng)控制器同外部服務(wù)設(shè)備連接。ESI模塊根據(jù)策略選擇性地將網(wǎng)絡(luò)通訊重定向到提供相關(guān)網(wǎng)絡(luò)服務(wù)的設(shè)備,包括:防毒、網(wǎng)絡(luò)入侵防范、內(nèi)容過(guò)濾、內(nèi)容轉(zhuǎn)換以及用途審查。支持負(fù)載平衡和健康狀態(tài)檢查功能。
高級(jí)AAA模塊
擴(kuò)展了ArubaOS軟件的認(rèn)證和授權(quán)功能,包括根據(jù)域名和Realm元素的選擇認(rèn)證服務(wù)器、利用RFC3576動(dòng)態(tài)認(rèn)證和授權(quán)以及XML應(yīng)用程序接口以便建立外部端口和認(rèn)證系統(tǒng)。
xSec模塊
提供高度安全的xSec用戶會(huì)話終端,提供256位AES-CBC加密與高敏感環(huán)境完整頭部阻礙的聯(lián)系層。xSec模塊還可以根據(jù)相同的強(qiáng)加密標(biāo)準(zhǔn)對(duì)Aruba移動(dòng)控制器之間的中繼端口加密。
2,移動(dòng)控制器是用于運(yùn)行ARUBAOS軟件功能的高性能網(wǎng)絡(luò)平臺(tái)
移動(dòng)控制器功能包括:AP管理、802.11射頻管理、802.11x認(rèn)證和加密功能,利用IPsec/3DES加密技術(shù)的點(diǎn)對(duì)點(diǎn)和用戶VPN網(wǎng)絡(luò)功能、狀態(tài)式策略強(qiáng)化防火墻,L1至L7的入侵防范、用戶終端完整性檢查、以及接入點(diǎn)與移動(dòng)控制器之間的無(wú)間斷漫游。
移動(dòng)控制器具有相同的硬件結(jié)構(gòu),包括專用的平面CPU,可編程數(shù)據(jù)平面網(wǎng)絡(luò)高性能處理單元,以及用于L2和L3集中加密的特殊可編程加密引擎。移動(dòng)控制器對(duì)無(wú)線網(wǎng)絡(luò)中的通訊進(jìn)行監(jiān)測(cè),并輸送至企業(yè)核心網(wǎng)絡(luò)。由于要處理數(shù)百個(gè)APN和數(shù)千個(gè)用戶,移動(dòng)控制器通常位于數(shù)據(jù)中心,以便獲得穩(wěn)定的環(huán)境并高速訪問(wèn)核心網(wǎng)絡(luò)。
ARUBA公司的移動(dòng)控制器系列產(chǎn)品包括多種不同尺寸和價(jià)格的型號(hào),以支持不同規(guī)模移動(dòng)網(wǎng)絡(luò)。
3,AP(AP)
由ARUBAOS軟件和移動(dòng)控制器集中控制的有線和無(wú)線接入點(diǎn),可作為分布式通訊數(shù)據(jù)收集器,通過(guò)IP網(wǎng)絡(luò)與移動(dòng)控制器建立有線或無(wú)線的通訊隧道。無(wú)線接入點(diǎn)可提供無(wú)線射頻覆蓋服務(wù)的同時(shí),還可以作為射頻監(jiān)控設(shè)備,實(shí)時(shí)監(jiān)控空氣中各種無(wú)線電可能存在的安全威脅。在確定威脅后,同時(shí)還具有入侵防范功能。無(wú)線APN運(yùn)行分布式ARUBAOS軟件功能,包括智能射頻管理、本地無(wú)線局域網(wǎng)數(shù)據(jù)流的分布式加密、搜索和防范無(wú)線入侵、搜尋空閑并關(guān)閉接入點(diǎn)等。有線接入點(diǎn)僅僅作為數(shù)據(jù)收集器工作,并通過(guò)局域網(wǎng)或廣域網(wǎng)同移動(dòng)控制器連接。
ARUBA提供各種不同型號(hào)的AP,包括:室內(nèi)/室外802.11a/b/g/n單頻接入點(diǎn)、802.11a/b/g/n雙頻接入點(diǎn)、802.3有線接入點(diǎn)以及有線/無(wú)線混合接入點(diǎn)。無(wú)線局域網(wǎng)接入點(diǎn)配備了內(nèi)置天線,亦可選根據(jù)需要選擇各款外掛天線。無(wú)線接入點(diǎn)全部可以和ARUBA的移動(dòng)控制器配合工作,以提供高安全性能的無(wú)線網(wǎng)絡(luò)架構(gòu)。
無(wú)線接入點(diǎn)可以同現(xiàn)存的IP網(wǎng)絡(luò)連接,自動(dòng)搜尋ARUBA的移動(dòng)控制器,并自動(dòng)配置參數(shù)開始工作。移動(dòng)控制器負(fù)責(zé)OS軟件的分發(fā)、配置參數(shù)分發(fā),并協(xié)調(diào)所有AP以實(shí)現(xiàn)協(xié)同工作。APN通過(guò)802.3af以太網(wǎng)遠(yuǎn)程供電標(biāo)準(zhǔn)獲得電力,無(wú)需額外部署power cord。若無(wú)法通過(guò)POE,接入點(diǎn)還同時(shí)配備了可連接交流電源適配器的直流電源接口。
所有的接入點(diǎn)可以在監(jiān)測(cè)無(wú)線電同時(shí)提供無(wú)線網(wǎng)絡(luò)服務(wù)。連續(xù)的掃描射頻環(huán)境、確定和追蹤所有無(wú)線用戶已提供入侵警告和干擾提示。此雙重功能不需要單獨(dú)的RF傳感器即可排除故障并優(yōu)化無(wú)線環(huán)境。
4,無(wú)線網(wǎng)管系統(tǒng)(AWMS)
ARUBA在07年12月收購(gòu)了全球最大的專業(yè)WLAN第三方集中網(wǎng)管的Airwave公司。該平臺(tái)可管理現(xiàn)有的絕大多數(shù)無(wú)線局域網(wǎng)廠家的設(shè)備(包括瘦AP和胖AP,MESH,WIMAX設(shè)備)。該產(chǎn)品可無(wú)縫集成到現(xiàn)有WLAN網(wǎng)絡(luò)中,通過(guò)SSH、SNMP和https協(xié)議管理所有無(wú)線局域網(wǎng)設(shè)備。Airwave網(wǎng)管系統(tǒng)具有業(yè)界最為領(lǐng)先的擴(kuò)展能力,可以通過(guò)一個(gè)控制臺(tái)管理最大超過(guò)25,000個(gè)網(wǎng)元。目前Airwave網(wǎng)管除了支持ARUBA的產(chǎn)品外,還支持下列無(wú)線局域網(wǎng)廠家設(shè)備:
思科,MOTO,symbol,PROCURVE,TRAPEZE,MERU,NERTEL,3COM,JUNIPER,ENTERASYS,AVAYA,PROXIM,FOUNDRY,AKATEL-LUCENT,TROPOS,COLUBRIS,LANCOM
目前正在使用Airwave專業(yè)WLAN綜合網(wǎng)管的教育行業(yè)客戶如下:
MIT,STANFORD,YALE,LMU,INDIANA,VANDERBILT,SPOKANE,INDIANAPOLIS,COBB,RIVERSIDE
AirWave無(wú)線管理套件的核心組件包括:
AirWaveManagementPlatform(AMP)無(wú)線網(wǎng)絡(luò)管理軟件
VisualRF定位和射頻顯示軟件模塊
RAPIDS欺詐APN檢測(cè)軟件模塊
AirWave主控制臺(tái)和備份服務(wù)器
AirWaveManagementPlatform(AMP)是AirWave無(wú)線管理套件的核心。通過(guò)直觀的圖形化用戶接口提供業(yè)界最為領(lǐng)先的管理功能,使得網(wǎng)絡(luò)管理者可以輕松而有效地支持、控制和管理最大規(guī)模的無(wú)線網(wǎng)絡(luò)。
客戶分布
ARUBA先進(jìn)的新一代WLAN解決方案自2003年推出后,就成為下一代WLAN網(wǎng)絡(luò)演進(jìn)的先驅(qū)者所推崇的解決方案,至今已經(jīng)獲得谷歌、微軟、思愛(ài)普、雅虎、BEA、紐約時(shí)報(bào)、amricanexpress、英國(guó)希思羅國(guó)際機(jī)場(chǎng)、美國(guó)政府、美國(guó)空軍、AT&T、等4500多家全球知名客戶的商業(yè)應(yīng)用,這些客戶遍布全球各地,其中包括了目前世界上最大的企業(yè)和大學(xué)WLAN網(wǎng)絡(luò)(Microsoft和OHIOUniversity)。截至2008年1月,ARUBA在全球大學(xué)客戶已經(jīng)超過(guò)500家,其中國(guó)外知名的大學(xué)用戶包括耶魯大學(xué)、劍橋大學(xué)、麻省理工學(xué)院、達(dá)特茅斯學(xué)院、加利福尼亞州立大學(xué)、布朗大學(xué)、俄亥俄州大學(xué)、東京大學(xué)、康奈爾大學(xué)、卡內(nèi)基?梅隆大學(xué),美國(guó)華盛頓大學(xué),美國(guó)軍事學(xué)院,田納西州立大學(xué),波士頓大學(xué)等等。全球高等教育無(wú)線市場(chǎng)更是超過(guò)35%(數(shù)據(jù)獲得:IDCandDell‘Oro兩家第三方市場(chǎng)調(diào)查機(jī)構(gòu))。
ARUBA無(wú)線網(wǎng)在全球和國(guó)內(nèi)各個(gè)行業(yè)的典型客戶
1,全球第一大無(wú)線網(wǎng)--美國(guó)空軍,采購(gòu)30000個(gè)ARUBA的無(wú)線接收器和300個(gè)無(wú)線控制器,為其全球108個(gè)基地部署極其安全的無(wú)線覆蓋,成為有史以來(lái)全球最大的一筆無(wú)線訂單。
2,全球第一大無(wú)線校園網(wǎng)--俄亥俄州立大學(xué),整個(gè)網(wǎng)絡(luò)使用超過(guò)12,000多個(gè)ARUBA的AP和40個(gè)無(wú)線控制器,整個(gè)網(wǎng)絡(luò)架構(gòu)L3基礎(chǔ)上,服務(wù)于50,000學(xué)生和27,000教師員工。
3,全球第二大無(wú)線校園網(wǎng)--加利福尼亞州立大學(xué)(10,000顆AP)
4,全球第一大企業(yè)無(wú)線網(wǎng)--微軟全球研發(fā)中心,整個(gè)網(wǎng)絡(luò)使用超過(guò)9,000多個(gè)ARUBA的AP和多個(gè)無(wú)線控制器分布于277幢大樓中,在全球60多個(gè)國(guó)家部署,全球統(tǒng)一管理,統(tǒng)一認(rèn)證。
5,全球第一大802.11N技術(shù)全校園覆蓋網(wǎng):美國(guó)卡內(nèi)基?梅隆大學(xué)(3200顆11nAP)
6,全球第一大連鎖機(jī)構(gòu)無(wú)線網(wǎng)--美國(guó)西夫韋連鎖超市,全美1800零售商店,每個(gè)零售商店部署4個(gè)AP+1個(gè)A800控制器;20個(gè)大型商場(chǎng),每個(gè)商場(chǎng)部署400個(gè)AP+2臺(tái)A6000控制器。
8,國(guó)內(nèi)第一大的無(wú)線局域網(wǎng):廣州地鐵約1500個(gè)ARUBA的AP70,部署在1-4號(hào)線遂道內(nèi),作直播系統(tǒng)。
9,國(guó)內(nèi)第一大的11N無(wú)線局域網(wǎng):中國(guó)華電集團(tuán)公司--約400多個(gè)的ARUBA的AP125。
10,國(guó)內(nèi)第一個(gè)全校園無(wú)線覆蓋項(xiàng)目:上海海事大學(xué)(500顆AP)
11,國(guó)內(nèi)第一個(gè)實(shí)際部署VOWIFI應(yīng)用的試驗(yàn)校園網(wǎng):北京大學(xué)(100顆AP)
12,國(guó)內(nèi)最大的機(jī)場(chǎng)無(wú)線網(wǎng):上海浦東國(guó)際機(jī)場(chǎng)(600多個(gè)AP)
13,亞洲最大的會(huì)展中心:琶洲國(guó)際會(huì)展中心,4臺(tái)Aruba6000和600多個(gè)AP70
智能網(wǎng)絡(luò)
1,易于部署——零干擾無(wú)線網(wǎng)絡(luò)部署
對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō),在整個(gè)企業(yè)范圍內(nèi)部署無(wú)線網(wǎng)絡(luò)時(shí)首先需要考慮的就是網(wǎng)絡(luò)的部署是否簡(jiǎn)單,如何能夠方便地對(duì)AP部署的數(shù)量和點(diǎn)位進(jìn)行合理規(guī)劃?能否實(shí)現(xiàn)“PnP”以避免對(duì)現(xiàn)有的有線網(wǎng)絡(luò)進(jìn)行大規(guī)模的配置調(diào)整?
1.1方便的無(wú)線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)
在規(guī)劃一個(gè)無(wú)線局域網(wǎng)絡(luò)時(shí),規(guī)劃設(shè)計(jì)者一項(xiàng)重要的工作是要考慮安裝多少AP可以滿足覆蓋?應(yīng)在哪些位置安裝AP,安裝后電波的覆蓋范圍,信號(hào)在不同位置的強(qiáng)弱等,要完成此項(xiàng)工作,通常做法是規(guī)劃設(shè)計(jì)者要在現(xiàn)場(chǎng)做大量的測(cè)試工作,通過(guò)經(jīng)驗(yàn)去估算位置和數(shù)量,其工作量非常之大,且還無(wú)法預(yù)先規(guī)劃每個(gè)AP的電磁波和功率參數(shù)以及AP之間的覆蓋相交范圍。
ARUBA開發(fā)的RFPlanning工具,可以讓規(guī)劃設(shè)計(jì)者在考慮無(wú)線局域網(wǎng)組網(wǎng)之初采用RFPlanning在計(jì)算機(jī)上做規(guī)劃設(shè)計(jì),估算在要求的覆蓋面積上AP應(yīng)安裝的物理位置所在。使用這套工具時(shí),在數(shù)字化的建筑圖紙上設(shè)定無(wú)線所覆蓋范圍如那幾個(gè)樓層和面積大小,輸入有關(guān)無(wú)線覆蓋和傳輸模型的相關(guān)參數(shù),如無(wú)線終端的平均帶寬,AP和AP之間覆蓋面等。RFPlanning自動(dòng)計(jì)算,然后顯示出AP在圖上的安裝坐標(biāo)位置和無(wú)線電的覆蓋范圍。安裝人員就可以根據(jù)圖紙上所顯示的位置安裝AP,在無(wú)線網(wǎng)絡(luò)安裝完成后,網(wǎng)管人員通過(guò)RFPlanning的Auto-Calibration功能,設(shè)定ARUBA交換機(jī)自動(dòng)調(diào)節(jié)網(wǎng)上所有ARUBAAP的頻道與功率參數(shù)以達(dá)到一個(gè)最優(yōu)性能的運(yùn)行狀態(tài)。在無(wú)線局域網(wǎng)系統(tǒng)投入運(yùn)行后,網(wǎng)管人員可通過(guò)RFPlanning隨時(shí)監(jiān)測(cè)網(wǎng)內(nèi)的每個(gè)AP的無(wú)線電波的狀態(tài),及時(shí)掌握每個(gè)AP的工作狀態(tài)和故障診斷,及時(shí)做出調(diào)整策略。ARUBARFPlanning為無(wú)線網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、調(diào)試以及維護(hù)提供科學(xué)化和規(guī)范化的管理。
1.2不需要更改有線網(wǎng)絡(luò)結(jié)構(gòu)
而在無(wú)線網(wǎng)絡(luò)的具體部署階段,網(wǎng)絡(luò)管理員主要需要考慮以下兩方面的問(wèn)題:
①需要為AP定義特殊的VLAN來(lái)實(shí)現(xiàn)AP與移動(dòng)控制器的連接嗎?
②無(wú)線用戶的VLAN如何定義才能實(shí)現(xiàn)移動(dòng)性、簡(jiǎn)單性和網(wǎng)絡(luò)性能之間的平衡?
對(duì)于連接AP問(wèn)題,如果每個(gè)AP必須通過(guò)二層網(wǎng)絡(luò)與移動(dòng)控制器連接,則意味著在有線網(wǎng)絡(luò)中必須為AP定義一個(gè)特殊的VLAN,因此必然導(dǎo)致對(duì)現(xiàn)有網(wǎng)絡(luò)(包括核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī))進(jìn)行大規(guī)模的配置修改,從對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成不利影響。
而在ARUBA的無(wú)線網(wǎng)絡(luò)解決方案中,ARUBA的無(wú)線控制器可以安裝在中心機(jī)房,而AP則可以放置于任何地方,由于每一個(gè)AP都可以跨越二層或者三層網(wǎng)絡(luò),自動(dòng)建立到移動(dòng)控制器的GRE的隧道,并通過(guò)該GRE隧道連接到ARUBA移動(dòng)控制器上,進(jìn)行軟件同步、下載配置文件并提供無(wú)線用戶到骨干網(wǎng)絡(luò)的數(shù)據(jù)通道,所以ARUBA無(wú)線網(wǎng)絡(luò)解決方案可以在完全不改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)的前提下,搭建一個(gè)獨(dú)立的、疊加在有線網(wǎng)絡(luò)之上的移動(dòng)網(wǎng)絡(luò)平臺(tái),并通過(guò)該平臺(tái)實(shí)現(xiàn)無(wú)線用戶的接入和為各種網(wǎng)絡(luò)應(yīng)用移植優(yōu)良的移動(dòng)性。
對(duì)于用戶VLAN的問(wèn)題,由于傳統(tǒng)的胖AP解決方案作為一種有線網(wǎng)絡(luò)的延伸,通過(guò)AP來(lái)終結(jié)無(wú)線數(shù)據(jù)流量并實(shí)現(xiàn)無(wú)線用戶到骨干網(wǎng)絡(luò)的接入,因此必須在每個(gè)連接AP的邊緣接入交換機(jī)上分別配置用戶VLAN,當(dāng)AP數(shù)量大幅度增長(zhǎng)時(shí),這種部署方式無(wú)疑會(huì)大大增加網(wǎng)絡(luò)配置、管理的負(fù)擔(dān),并導(dǎo)致網(wǎng)絡(luò)復(fù)雜程度的提升。
而在ARUBA的無(wú)線網(wǎng)絡(luò)解決方案中,所有用戶流量都通過(guò)AP與移動(dòng)控制器之間的GRE隧道直接傳送到移動(dòng)控制器上,再通過(guò)移動(dòng)控制器與核心交換機(jī)之間的高速網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到骨干網(wǎng)絡(luò)中,因此無(wú)線用戶的VLAN僅僅出現(xiàn)在移動(dòng)控制器和核心交換機(jī)之間,只需要在移動(dòng)控制器和核心交換機(jī)的互聯(lián)接口上配置相應(yīng)的VLAN即可,不需要在有線網(wǎng)絡(luò)的接入層和匯聚層存在,從而大大簡(jiǎn)化了網(wǎng)絡(luò)配置和管理工作的復(fù)雜程度。
通過(guò)集中化集團(tuán)的用戶VLAN管理,ARUBA無(wú)線網(wǎng)絡(luò)解決方案消除了無(wú)線用戶VLAN與邊緣交換機(jī)端口之間的綁定關(guān)系,當(dāng)無(wú)線用戶在不同AP之間漫游時(shí),與其相應(yīng)的用戶VLAN實(shí)際上是穿越了有線網(wǎng)絡(luò)的接入層,在ARUBA移動(dòng)控制器上分配的,因此與無(wú)線用戶連接的具體哪個(gè)AP無(wú)關(guān),從而可以輕松實(shí)現(xiàn)無(wú)線用戶在全網(wǎng)范圍之內(nèi)的無(wú)縫漫游。
1.3VLANPool的廣播域控制
對(duì)于大型網(wǎng)絡(luò)設(shè)計(jì)和部署,為了減小廣播域,降低每個(gè)子網(wǎng)內(nèi)部的廣播報(bào)文數(shù)量,網(wǎng)絡(luò)管理員通常采用子網(wǎng)掩碼對(duì)子網(wǎng)的大小進(jìn)行限制。例如,每個(gè)VLAN采用一個(gè)C類地址,網(wǎng)絡(luò)掩碼是(255.255.255.0),因此每個(gè)VLAN內(nèi)最多支持253個(gè)用戶。但是傳統(tǒng)的無(wú)線局域網(wǎng)廠商都只能做到SSID對(duì)應(yīng)1個(gè)VLAN,這樣的帶來(lái)的問(wèn)題就是,如果有大規(guī)模校園無(wú)線接入的時(shí)候,必須把這個(gè)映射VLAN的子網(wǎng)設(shè)的很大,比如一個(gè)B類地址(就是說(shuō)將最多65000多個(gè)終端放在同一VLAN中),由于廣播域過(guò)大,大量的廣播報(bào)文(如DHCP、ARP等)將直接造成嚴(yán)重的網(wǎng)絡(luò)擁塞。正是基于這個(gè)問(wèn)題考慮,ARUBA提出了VLANPOOL的概念,也就是說(shuō)一個(gè)SSID可以映射多個(gè)VLAN,用戶在連接入網(wǎng)絡(luò)中時(shí),ARUBA移動(dòng)控制器依據(jù)終端的MAC地址為其隨機(jī)分配某個(gè)VLAN,然后再通過(guò)WEB進(jìn)行認(rèn)證,這樣既解決了一個(gè)VLAN接入用戶數(shù)較少的問(wèn)題,又保留了網(wǎng)絡(luò)部署(特別是用戶VLAN分配)的簡(jiǎn)單性和易用性。
2,易于管理——智能自適應(yīng)射頻管理
無(wú)線局域網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物,是一種采用無(wú)線傳輸媒介的計(jì)算機(jī)局域網(wǎng)絡(luò),由于利用空中電磁波進(jìn)行信息傳輸,因此,與傳統(tǒng)的有線網(wǎng)絡(luò)相比,具有更大的靈活性,而且安裝簡(jiǎn)單、經(jīng)濟(jì)實(shí)用。但是,采用無(wú)線信道進(jìn)行信息傳輸也面臨許多問(wèn)題,比如:傳輸質(zhì)量受多方面因素影響,穩(wěn)定性較差,且故障定位難度很大;另外,無(wú)線信道的介質(zhì)共享特性導(dǎo)致系統(tǒng)容量偏小,且容易產(chǎn)生頻率相互干擾。尤其是在用戶負(fù)載較重的情況下,如果不能很好地解決這些問(wèn)題,可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的性能急劇惡化,嚴(yán)重時(shí)甚至?xí)斐删W(wǎng)絡(luò)的癱瘓。
基于ARUBA專利的自適應(yīng)射頻管理(ARM2.0)技術(shù)是ARUBA在無(wú)線射頻控制領(lǐng)域做出的杰出貢獻(xiàn),可以幫助用戶解決當(dāng)今WLAN領(lǐng)域中的三個(gè)基本難題:
①802.11標(biāo)準(zhǔn)下定義的終端決策模式以及無(wú)線終端缺乏系統(tǒng)視野的特點(diǎn),導(dǎo)致網(wǎng)絡(luò)無(wú)法對(duì)無(wú)線終端的頻段、信道和漫游進(jìn)行網(wǎng)絡(luò)優(yōu)化
②作為一項(xiàng)基于共享介質(zhì)的傳輸技術(shù),無(wú)線終端設(shè)備不具有對(duì)干擾、共享帶寬、信道和系統(tǒng)容量的優(yōu)化智能
③為了保持對(duì)不同時(shí)代WiFi標(biāo)準(zhǔn)的兼容性,高速終端只能以犧牲其性能的方式實(shí)現(xiàn)與慢速終端之間的并存
以上困難導(dǎo)致802.11終端無(wú)法發(fā)揮其最大潛能,無(wú)線AP則往往因?yàn)橛脩暨^(guò)載或者外來(lái)干擾而導(dǎo)致網(wǎng)絡(luò)整體性能的降低。
在早期的WLAN部署中,為了能夠在無(wú)線覆蓋和避免干擾之間取得平衡,網(wǎng)絡(luò)管理員往往需要進(jìn)行費(fèi)時(shí)、費(fèi)力的現(xiàn)場(chǎng)勘查,然后再依據(jù)現(xiàn)場(chǎng)勘查的結(jié)果對(duì)AP工作信道和發(fā)信功率進(jìn)行配置。但是由于現(xiàn)場(chǎng)勘查與用戶對(duì)網(wǎng)絡(luò)的使用無(wú)法在時(shí)間上取得一致,現(xiàn)場(chǎng)勘查的結(jié)果并不能真實(shí)地反映出用戶使用網(wǎng)絡(luò)時(shí)的實(shí)際射頻環(huán)境,因此無(wú)法實(shí)現(xiàn)真正的網(wǎng)絡(luò)優(yōu)化。
ARUBA的自適應(yīng)射頻管理(ARM2.0)可以提供具有實(shí)時(shí)性的智能射頻管理功能,利用ARUBA多功能APN(AP)對(duì)周邊射頻環(huán)境進(jìn)行持續(xù)監(jiān)測(cè)。所有的ARUBAAP都會(huì)在設(shè)定的時(shí)間內(nèi)自行掃描其它的無(wú)線頻道,由于ARUBA的移動(dòng)控制器和AP可以具有應(yīng)用感知能力,因此會(huì)根據(jù)應(yīng)用在線狀態(tài)(如AP上是否存在正在進(jìn)行的SIP呼叫)以及AP上的實(shí)時(shí)負(fù)載來(lái)動(dòng)態(tài)調(diào)整掃描的間隔,所以對(duì)于在線的無(wú)線用戶(指連接到AP上在同一頻率上的無(wú)線終端)的傳輸過(guò)程沒(méi)有任何影響。當(dāng)AP停留在某一個(gè)頻道時(shí),它會(huì)把在這頻道上收到的無(wú)線電信息轉(zhuǎn)送回ARUBA無(wú)線控制器,ARUBA無(wú)線控制器則根據(jù)收集到的無(wú)線電波信息進(jìn)行智能計(jì)算,并對(duì)AP的發(fā)信功率和工作信道等無(wú)線電波參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整,以使AP之間達(dá)到了一個(gè)最優(yōu)化的無(wú)線電波運(yùn)行狀態(tài)。
通過(guò)ARUBA專利的自適應(yīng)射頻管理(ARM2.0)技術(shù),可以為用戶的無(wú)線網(wǎng)絡(luò)提供以下功能:
2.1網(wǎng)絡(luò)系統(tǒng)的自愈功能
傳統(tǒng)無(wú)線網(wǎng)絡(luò)里的每個(gè)AP都是一個(gè)獨(dú)立的個(gè)體,相互之間不存在任何溝通與協(xié)商,如果有某一AP突然損壞或失效時(shí),這個(gè)AP原來(lái)覆蓋區(qū)域就會(huì)失去無(wú)線連接,無(wú)線網(wǎng)絡(luò)變得不可用。遇到這種情況的一般做法就是馬上把失效的AP更換。但由于大多數(shù)的AP都是布置在樓道里(并不是在機(jī)房),所以不一定能馬上作更換,現(xiàn)場(chǎng)的環(huán)境也有局限性,很多時(shí)候維護(hù)人員較難即時(shí)做出更換動(dòng)作(很多的AP都是安裝在天花板上)。而且,從故障發(fā)現(xiàn),處理,找到新AP,替換,整個(gè)過(guò)程需時(shí)漫長(zhǎng),尤其是這對(duì)于一些緊急的應(yīng)用是不能接受的。因此我們必須尋找另一種方法去縮短故障處理周期。
為了提高無(wú)線網(wǎng)絡(luò)的可用性和增強(qiáng)整個(gè)架構(gòu)的冗余性,ARUBA系統(tǒng)設(shè)計(jì)了故障自動(dòng)恢復(fù)的功能,即實(shí)時(shí)偵測(cè)出線上AP是否存在失效,當(dāng)發(fā)現(xiàn)有AP出現(xiàn)故障時(shí),ARUBA無(wú)線控制器能自動(dòng)調(diào)節(jié)鄰近的AP射頻參數(shù),一般是加大發(fā)射功率(覆蓋范圍)共同接替失效AP原先覆蓋的范圍。
2.2無(wú)線接入的負(fù)載均衡
由于無(wú)線信道介質(zhì)在物理層的共享特性,在一個(gè)AP的覆蓋范圍內(nèi),無(wú)線連接的帶寬是共享的,即無(wú)線終端數(shù)目越多,每個(gè)終端所能分享的帶寬就越小。特別是對(duì)于用戶密集場(chǎng)合(如會(huì)議室、圖書館等),使用無(wú)線網(wǎng)絡(luò)的終端較多時(shí),大量用戶對(duì)同一個(gè)信道資源的競(jìng)爭(zhēng)會(huì)導(dǎo)致大量的沖突,從而使無(wú)線信道的效率下降,并最終導(dǎo)致無(wú)線網(wǎng)絡(luò)的吞吐量性能進(jìn)一步惡化。因此對(duì)于密集用戶環(huán)境的無(wú)線網(wǎng)絡(luò)部署,必須采用負(fù)載均衡技術(shù)對(duì)信道資源的使用在用戶之間進(jìn)行合理的分配,才能使網(wǎng)絡(luò)整體性能得到優(yōu)化。
ARUBA的無(wú)線系統(tǒng)是一個(gè)集中式的管理系統(tǒng),通過(guò)無(wú)線控制器對(duì)所有的AP和用戶進(jìn)行統(tǒng)一協(xié)調(diào)和管理。根據(jù)無(wú)線交換機(jī)里實(shí)時(shí)更新的AP的列表和負(fù)載狀況,無(wú)線交換機(jī)會(huì)按照負(fù)載均衡算法,指示一些連接用戶數(shù)量較多的AP把其覆蓋范圍內(nèi)的無(wú)線用戶或終端分散連接到鄰近的AP上,使AP負(fù)荷能夠均勻地分布在相互靠近的一組AP上,從而使網(wǎng)絡(luò)資源亦得到充份的利用,使無(wú)線用戶得到更加快速的吞吐量性能。
2.3無(wú)線接入的頻段指引
長(zhǎng)時(shí)間以來(lái),無(wú)線網(wǎng)絡(luò)性能提升的主要存在兩個(gè)障礙,一是2.4GHz頻段中互不干擾的信道只有3個(gè),從信道資源角度看,非常有限;另一個(gè)是802.11標(biāo)準(zhǔn)將無(wú)線連接的決策功能(如連接那個(gè)AP、什么時(shí)候連接、用什么頻率連接等問(wèn)題)都留給無(wú)線終端側(cè)完成,而相當(dāng)部分終端在其設(shè)計(jì)中往往優(yōu)先采用2.4GHz信道對(duì)網(wǎng)絡(luò)進(jìn)行連接,從而導(dǎo)致2.4GHz信道中用戶密度過(guò)高、信道效率偏低的特點(diǎn)。
為了解決上述難題,ARUBA專利的自適應(yīng)射頻管理(ARM2.0)技術(shù)為用戶了終端頻段指引的功能,能夠自動(dòng)引導(dǎo)市場(chǎng)上的雙頻段終端(即同時(shí)支持2.4GHz和5GHz的終端)優(yōu)先采用5GHz頻段連接ARUBA的雙頻段AP,以均衡使用網(wǎng)絡(luò)資源,改善網(wǎng)絡(luò)性能。
ARUBA的終端頻段指引功能具有以下特點(diǎn):
如果無(wú)線終端能夠支持2.4GHz和5GHz雙頻段工作,則通過(guò)5GHz信道進(jìn)行無(wú)線網(wǎng)絡(luò)的關(guān)聯(lián)
無(wú)線控制器維護(hù)所有無(wú)線終端支持能力的數(shù)據(jù)庫(kù),并以此為依據(jù)進(jìn)行無(wú)線終端的頻段指引決策
頻段指引功能對(duì)無(wú)線終端完全透明,不需要預(yù)裝任何客戶端或私有軟件
對(duì)于用戶來(lái)說(shuō),通過(guò)ARUBA的無(wú)線接入頻段指引功能,可以使無(wú)線網(wǎng)絡(luò)性能得到顯著的優(yōu)化,包括如下:
可以充分利用5GHz頻段豐富的頻率資源,而不僅僅是2.4GHz頻段上的3個(gè)無(wú)干擾信道
可用信道的增加大大緩解了無(wú)線網(wǎng)絡(luò)中的同頻干擾問(wèn)題
避免802.11b標(biāo)準(zhǔn)的慢速終端對(duì)802.11a\n等快速終端的性能影響
充分利用5GHz頻段豐富的頻譜資源,在802.11n網(wǎng)絡(luò)中采用40MHz信道實(shí)現(xiàn)300Mbps高速無(wú)線連接
2.4無(wú)線終端的流量整形
作為無(wú)線網(wǎng)絡(luò)體系的標(biāo)準(zhǔn)協(xié)議,802.11標(biāo)準(zhǔn)集今天仍然處于快速發(fā)展之中。作為對(duì)用戶投資進(jìn)行合理保護(hù)的舉措,無(wú)線網(wǎng)絡(luò)必須能夠支持混合模式,使得各種無(wú)線終端(無(wú)論其網(wǎng)卡類型和支持的工作模式)都能夠公平地接入網(wǎng)絡(luò)。
ARUBA的無(wú)線終端流量整形技術(shù)可以提供三種選擇:
缺省模式:
在缺省模式中,ARUBA無(wú)線控制器和AP關(guān)閉其無(wú)線流量整形功能,終端性能完全依賴其網(wǎng)卡對(duì)無(wú)線信道的競(jìng)爭(zhēng)。
值得注意的是,在這一模式下,如下圖所示,由于每個(gè)終端的網(wǎng)卡、操作系統(tǒng)的差異,不同終端得到的網(wǎng)絡(luò)性能可能是完全不同的。
公平模式:
在公平模式中,無(wú)論終端的性能和容量差異大小,每個(gè)終端在空中接口都將獲得相同的機(jī)會(huì),從而得到公平的網(wǎng)絡(luò)吞吐量性能。
這一模式特別適用于培訓(xùn)教室、考試中心等應(yīng)用環(huán)境,使得所有終端,無(wú)論是802.11a/b/g還是802.11n,均獲得近乎相等的網(wǎng)絡(luò)資源。
優(yōu)先模式:
在優(yōu)先模式中,ARUBA無(wú)線控制器會(huì)根據(jù)其維護(hù)的終端性能列表,為各種速率的終端以加權(quán)方式動(dòng)態(tài)分配信道資源,從而可以確保高性能的802.11n終端相對(duì)于802.11a/b/g終端能夠獲得更多的訪問(wèn)信道資源的機(jī)會(huì);同樣,802.11g終端相對(duì)于802.11b終端也能夠獲得更多的訪問(wèn)信道資源的機(jī)會(huì)。
3易于擴(kuò)展——適合各種環(huán)境和規(guī)模
3.1基于Mesh的室內(nèi)、室外統(tǒng)一覆蓋
隨著無(wú)線網(wǎng)絡(luò)在企業(yè)環(huán)境下的不斷發(fā)展和無(wú)線應(yīng)用的持續(xù)拓展,無(wú)線網(wǎng)絡(luò)覆蓋的范圍也逐漸從室內(nèi)走向室外,從部分覆蓋轉(zhuǎn)向全面覆蓋。作為“最后一公里”寬帶無(wú)線接入非常重要的技術(shù)之一的無(wú)線Mesh網(wǎng)絡(luò),由于其具有AP無(wú)線組網(wǎng)、智能路由、與WiFi完全兼容等特點(diǎn),可以幫助用戶在室外部署環(huán)境中,有效規(guī)避最為困難的布線問(wèn)題,從而倍受市場(chǎng)的關(guān)注。
ARUBA安全Mesh網(wǎng)絡(luò)解決方案可以幫助用戶在不需要增加布線的前提下,將無(wú)線網(wǎng)絡(luò)從室內(nèi)環(huán)境迅速擴(kuò)展到室外環(huán)境。通過(guò)ARUBA的Mesh網(wǎng)絡(luò),用戶可以無(wú)縫地實(shí)現(xiàn)覆蓋區(qū)域的擴(kuò)展,也可以將不同建筑物中的以太網(wǎng)絡(luò)通過(guò)無(wú)線方式進(jìn)行橋接。
ARUBA安全Mesh網(wǎng)絡(luò)具有以下特點(diǎn):
集中控制:
與ARUBA其它無(wú)線組網(wǎng)模式相同,ARUBA的安全Mesh網(wǎng)絡(luò)也同樣采用瘦AP組網(wǎng)架構(gòu),所有的ARUBAAP均能夠支持Mesh功能,所有的MeshAP和非MeshAP都由ARUBA無(wú)線控制器進(jìn)行統(tǒng)一管理。
智能路由:
ARUBA的無(wú)線MeshAP之間通過(guò)2.4GHz或者5GHz鏈路進(jìn)行互聯(lián),Mesh鏈路的路由可以手工靜態(tài)配置,也可以基于無(wú)線節(jié)點(diǎn)負(fù)載、無(wú)線鏈路的跳數(shù)或者節(jié)點(diǎn)之間無(wú)線鏈路的信號(hào)質(zhì)量自動(dòng)產(chǎn)生,并支持Mesh鏈路的冗余和自愈功能
流量加密:
ARUBA無(wú)線Mesh網(wǎng)絡(luò)的中繼鏈路可以基于加密的方式來(lái)建立,所有在MeshAP之間傳送的管理信息或者用戶信息都能溝通過(guò)高強(qiáng)度的加密予以保護(hù),從而避免各種信息流量在中繼鏈路上傳送的過(guò)程中被竊取或者篡改。
3.2基于Master-Local集群模式的擴(kuò)展
作為業(yè)界領(lǐng)先的無(wú)線網(wǎng)絡(luò)系統(tǒng)供應(yīng)商,ARUBA不僅可以提供業(yè)界最強(qiáng)大的無(wú)線控制器MMC6000(單臺(tái)控制器可以支持最多2048個(gè)AP),以及MMC3000、MC2400、MC800和MC200等多種型號(hào)的無(wú)線控制器以滿足企業(yè)用戶的各種組網(wǎng)需求,而且還能支持基于Master-Local的無(wú)線控制器集群模式,實(shí)現(xiàn)集中式控制器與分布式轉(zhuǎn)發(fā)相結(jié)合的無(wú)線網(wǎng)絡(luò)擴(kuò)展。
在ARUBA提供的基于Master-Local架構(gòu)的網(wǎng)絡(luò)擴(kuò)展模式中,Master控制器用于對(duì)全網(wǎng)所有Local控制器和AP的配置和安全參數(shù)進(jìn)行管理;Local控制器則位于用戶網(wǎng)絡(luò)的不同區(qū)域或分支機(jī)構(gòu),作為Master控制器的策略執(zhí)行點(diǎn),用于終結(jié)和轉(zhuǎn)發(fā)各區(qū)域內(nèi)無(wú)線用戶的業(yè)務(wù)數(shù)據(jù),并通過(guò)內(nèi)置的用戶防火墻對(duì)其實(shí)施相應(yīng)的安全策略,以實(shí)現(xiàn)分布式轉(zhuǎn)發(fā)。
如上圖所示,Master控制器位于企業(yè)總部,Local控制器位于不同地理位置的分支機(jī)構(gòu),Master控制器與所有的Local控制器之間的連接可以即可以通過(guò)企業(yè)廣域網(wǎng)(WAN),也可以通過(guò)互聯(lián)網(wǎng)(Internet)實(shí)現(xiàn)。通過(guò)上述網(wǎng)絡(luò),Master控制器和Local控制器之間會(huì)自動(dòng)建立SitetoSite的IPSecVPN連接,以實(shí)現(xiàn)配置的同步。當(dāng)位于分支機(jī)構(gòu)的AP加電后,首先會(huì)自動(dòng)連接位于企業(yè)總部的Master控制器,并通過(guò)Master控制器獲得APGroup以及Local控制器地址等配置信息,然后位于分支機(jī)構(gòu)的AP將自動(dòng)連接到當(dāng)?shù)氐腖ocal控制器,獲取AP配置文檔,并建立從AP到控制器的GRE隧道,以轉(zhuǎn)發(fā)用戶業(yè)務(wù)數(shù)據(jù)。
對(duì)于關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò),基于Master-Local無(wú)線控制器集群的體系架構(gòu)還可以通過(guò)Master控制器和Local控制器的冗余配置實(shí)現(xiàn)全網(wǎng)的高可用性設(shè)計(jì)。
通過(guò)VRRP技術(shù),所有的Local控制器和AP均可以借助于一個(gè)VirtualIP來(lái)訪問(wèn)Master控制器,當(dāng)主用Master控制器故障時(shí),備用Master控制器會(huì)自動(dòng)接管所有的功能,并且這一切換過(guò)程不需要在Local控制器和AP上進(jìn)行任何特殊配置。
Local控制器的冗余切換則可以采用VRRP或者主備控制器兩種方式來(lái)實(shí)現(xiàn)。其中VRRP要求兩臺(tái)或多臺(tái)冗余的Local控制器采用二層方式進(jìn)行連接,并通過(guò)將這些控制器劃分到一個(gè)虛擬組,實(shí)現(xiàn)冗余Local控制器的自動(dòng)倒換;主備控制器方式可以支持冗余Local控制器之間跨三層網(wǎng)絡(luò)進(jìn)行連接,并通過(guò)在AP配置文檔中指明備用Local控制器的地址,當(dāng)主用Local控制器故障時(shí),AP會(huì)根據(jù)配置文檔自動(dòng)尋找并連接備用Local控制器,完成業(yè)務(wù)的自動(dòng)恢復(fù)。
借助于這一架構(gòu),ARUBA將全網(wǎng)集中管理與分布式數(shù)據(jù)轉(zhuǎn)發(fā)完美地結(jié)合在一起,既實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)的無(wú)縫擴(kuò)展,又避免了大規(guī)模網(wǎng)絡(luò)的性能瓶頸和可靠性問(wèn)題。
安全保障
從網(wǎng)絡(luò)設(shè)計(jì)者的角度來(lái)看,在無(wú)線網(wǎng)絡(luò)的大規(guī)模部署中,必須對(duì)無(wú)線網(wǎng)絡(luò)的安全性加以重視,因?yàn)椴渴馃o(wú)線網(wǎng)絡(luò)以后,由于無(wú)線電是散布在空氣中,黑客或非法用戶很容易通過(guò)無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)入侵,而無(wú)須連入某個(gè)固定的有線端口。因此,當(dāng)網(wǎng)絡(luò)中部署了越來(lái)越多的AP后,從一定程度上會(huì)造成更多潛在的威脅網(wǎng)絡(luò)安全的場(chǎng)所,只是一味的強(qiáng)調(diào)大規(guī)模無(wú)線接入和大面積的無(wú)線覆蓋,只會(huì)造成越來(lái)越多的安全隱患。
有些IT管理者認(rèn)為,已有的傳統(tǒng)的有線安全設(shè)備如防火墻,IPS能夠同樣為無(wú)線網(wǎng)絡(luò)起到良好的安全作用。其實(shí),這種認(rèn)識(shí)是錯(cuò)誤的。舉兩個(gè)最簡(jiǎn)單的例子:比如一個(gè)非法用戶連入企業(yè)的無(wú)線網(wǎng)絡(luò),由于portal認(rèn)證作為一種主流的“輕”客戶端認(rèn)證方式,在許多校園網(wǎng)絡(luò)以及企業(yè)廣域網(wǎng)有著廣泛的應(yīng)用,這樣非法用戶就能首先獲得IP地址,并能發(fā)出大量的非法數(shù)據(jù)包或?qū)ortal服務(wù)器進(jìn)行攻擊,而這些數(shù)據(jù)由于還未送達(dá)有線側(cè)防火墻設(shè)備,所以會(huì)對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)造成極大的安全隱患。
另外一個(gè)例子,一個(gè)正常用戶連入網(wǎng)絡(luò)后,由于PC中毒,可能會(huì)發(fā)出大量的無(wú)效數(shù)據(jù)包,當(dāng)數(shù)據(jù)包送達(dá)有線防火墻后,由于現(xiàn)有的有線防火墻或IPS無(wú)法跟無(wú)線控制器進(jìn)行聯(lián)動(dòng),也就不能將該用戶直接和無(wú)線網(wǎng)絡(luò)斷開連接,有線防火墻只能將流量阻隔不讓其進(jìn)入有線核心網(wǎng)絡(luò),而大量的無(wú)線數(shù)據(jù)包已經(jīng)占滿無(wú)線網(wǎng)絡(luò)鏈路,造成了不必要的網(wǎng)絡(luò)擁塞。
從以上兩個(gè)簡(jiǎn)單的例子可以看出,有線安全設(shè)備由于并非為無(wú)線網(wǎng)絡(luò)設(shè)計(jì),并不能很好的完成無(wú)線網(wǎng)絡(luò)安全管理,而在無(wú)線控制器中作簡(jiǎn)單的ACL功能也無(wú)法根除無(wú)線網(wǎng)絡(luò)安全性的問(wèn)題,只能作到一些簡(jiǎn)單的策略控制。因此ARUBA認(rèn)為,建設(shè)無(wú)線網(wǎng)絡(luò)必須從無(wú)線攻擊和入侵防護(hù)、認(rèn)證和加密、基于用戶的訪問(wèn)控制等多個(gè)層面做到全方位的安全保證。
通過(guò)ARUBA的多層次無(wú)線網(wǎng)絡(luò)安全架構(gòu),就可以在用戶數(shù)據(jù)抵達(dá)無(wú)線控制器時(shí),第一時(shí)間對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查,而不是放任其未經(jīng)檢查而自由進(jìn)入網(wǎng)絡(luò)。同時(shí),ARUBA多層次無(wú)線網(wǎng)絡(luò)安全架構(gòu)還可以在不同層次之間進(jìn)行聯(lián)動(dòng),通過(guò)無(wú)線IDS對(duì)無(wú)線攻擊進(jìn)行監(jiān)測(cè),通過(guò)無(wú)線狀態(tài)防火墻對(duì)用戶越權(quán)行為進(jìn)行跟蹤,并能將無(wú)線IDS、無(wú)線狀態(tài)防火墻和整個(gè)無(wú)線網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)聯(lián)動(dòng),將攻擊者和非法用戶阻隔在無(wú)線網(wǎng)絡(luò)以外,禁止其連接無(wú)線網(wǎng)絡(luò),從而對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)的安全進(jìn)行有效地保護(hù)。
1對(duì)無(wú)線攻擊和非法入侵的防范
隨著無(wú)線局域網(wǎng)的廣泛應(yīng)用,無(wú)線信號(hào)到處都是。酒店、大學(xué)安裝了成百上千的AP;大型企業(yè)也開始大規(guī)模應(yīng)用無(wú)線網(wǎng)絡(luò)。所有這些跡象表明,企業(yè)的無(wú)線網(wǎng)絡(luò)只是全球無(wú)線應(yīng)用的一部分,會(huì)不斷地收到外來(lái)的無(wú)線信號(hào)。在這樣的環(huán)境中,發(fā)射無(wú)線信號(hào)的設(shè)備,既有可能是獲得企業(yè)授權(quán)的AP,也有可能是企圖盜竊機(jī)密信息或者造成網(wǎng)絡(luò)中斷的攻擊者。因此無(wú)線局域網(wǎng)設(shè)備必須能夠提供完善的無(wú)線攻擊和入侵檢測(cè)及保護(hù)機(jī)制,以防止惡意終端發(fā)起的各種“拒絕服務(wù)”攻擊和未經(jīng)授權(quán)的非法AP入侵網(wǎng)絡(luò)所造成的安全隱患。
1.1惡意客戶端無(wú)線攻擊防范
無(wú)線局域網(wǎng)的日益普及,同時(shí)也促進(jìn)了無(wú)線入侵和攻擊工具快速發(fā)展,這些工具可以非常容易地從位于互聯(lián)網(wǎng)的各個(gè)黑客網(wǎng)站上下載得到,從而對(duì)無(wú)線網(wǎng)的安全構(gòu)成很大的威脅。然而,由于絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能,所以當(dāng)遭受到像無(wú)線DOS攻擊時(shí),網(wǎng)絡(luò)管理員往往會(huì)誤以為是無(wú)線信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況,導(dǎo)致正常用戶的無(wú)線連接莫名其妙地中斷,間接影響到無(wú)線網(wǎng)絡(luò)所承載的各種業(yè)務(wù)應(yīng)用的質(zhì)量。
在ARUBA無(wú)線網(wǎng)絡(luò)解決方案中,每一個(gè)無(wú)線AP都具有多功能性,在為無(wú)線用戶提供無(wú)線網(wǎng)絡(luò)接入服務(wù)的同時(shí),還可以作為無(wú)線攻擊和入侵防范系統(tǒng)的探測(cè)器,對(duì)網(wǎng)絡(luò)中可能出現(xiàn)的攻擊和入侵行為進(jìn)行實(shí)時(shí)的監(jiān)測(cè)。與此同時(shí),在整個(gè)無(wú)線網(wǎng)絡(luò)的中心,ARUBA無(wú)線控制器則采用專有的網(wǎng)絡(luò)處理器對(duì)無(wú)線AP收集到的網(wǎng)絡(luò)攻擊信息進(jìn)行分析,通過(guò)無(wú)線控制器內(nèi)置的無(wú)線攻擊模式庫(kù),實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)幀,當(dāng)無(wú)線控制器偵測(cè)出網(wǎng)絡(luò)中存在無(wú)線攻擊時(shí),它會(huì)記錄和顯示無(wú)線攻擊的類型,并對(duì)無(wú)線攻擊做出自動(dòng)保護(hù)響應(yīng)。
另外,ARUBA還提供了無(wú)線攻擊模式庫(kù)的API接口,可以支持網(wǎng)絡(luò)管理員對(duì)無(wú)線攻擊的類型和特征進(jìn)行客戶化定制,以確保無(wú)線攻擊模式庫(kù)的有效性。
1.2針對(duì)非法AP入侵的防范
在今天的企業(yè)網(wǎng)絡(luò)中,不經(jīng)意的員工為使用方便而私自接入網(wǎng)絡(luò)中的AP比比皆是。而惡意入侵者通過(guò)設(shè)置假冒的AP誘騙使用無(wú)線網(wǎng)絡(luò)的企業(yè)員工從而截獲信息。通過(guò)ARUBA交換機(jī)的WEB界面或中心化網(wǎng)管界面,網(wǎng)管中心便可實(shí)時(shí)查看到是否有非法AP在網(wǎng)內(nèi),或是企業(yè)無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)是否有其它AP仿冒企業(yè)AP。網(wǎng)管人員亦可開啟自動(dòng)保護(hù)機(jī)制,阻止無(wú)線終端通過(guò)非法AP連接到網(wǎng)內(nèi)或者被誘騙到假冒AP上。這些非法的無(wú)線連接會(huì)被周邊最接近的ARUBAAP所發(fā)出的802.11?De-Auth包所切斷。802.11De-Auth包會(huì)不停地發(fā)出直到在線的無(wú)線終端的無(wú)線連接被打斷為止。
要做到一個(gè)真正自動(dòng)的保護(hù)機(jī)制就必須能正確識(shí)別所有在企業(yè)范圍內(nèi)檢測(cè)出來(lái)的AP身份。如果把隔壁公司所安裝和使用的AP視為非法AP的話,很容易就會(huì)把它們正常的無(wú)線連接打斷,間接變成對(duì)其它企業(yè)網(wǎng)絡(luò)的DOS攻擊。ARUBA的自動(dòng)保護(hù)系統(tǒng)是市場(chǎng)上最卓越和最全面的無(wú)線網(wǎng)絡(luò)安全保護(hù)工具,通過(guò)同時(shí)收集和分析來(lái)自有線端口和無(wú)線信道兩方面的數(shù)據(jù)信息,ARUBA無(wú)線入侵保護(hù)系統(tǒng)能夠準(zhǔn)確地區(qū)分出連接到企業(yè)內(nèi)網(wǎng)的非法AP和位于圍墻外面的干擾AP之間的差異,從而可以避免對(duì)非法AP的錯(cuò)判和漏判。
除了對(duì)非法AP進(jìn)行分類和壓制,ARUBA無(wú)線控制器還能夠?qū)Ψ欠ˋP的位置進(jìn)行定位。網(wǎng)絡(luò)管理員只需在WEB界面按“定位”按鈕,非法AP的位置就會(huì)顯示在圖紙上(用戶必須預(yù)先把無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入ARUBA交換機(jī)內(nèi)的RFPlanning系統(tǒng)),網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到該AP并將其從網(wǎng)絡(luò)中清除。
2集中化的用戶認(rèn)證和流量加密
如前所述,802.11網(wǎng)絡(luò)所使用的無(wú)線信道所具有的共享介質(zhì)特性決定了其網(wǎng)絡(luò)數(shù)據(jù)在空中進(jìn)行傳播時(shí),不可能阻止未經(jīng)授權(quán)的第三者對(duì)其進(jìn)行監(jiān)聽,同時(shí)用戶的接入也并無(wú)法受到企業(yè)圍墻和大門的保護(hù)(因?yàn)?a href="/hebeideji/7257826266324451389.html">電磁波的輻射可能會(huì)超出圍墻范圍)。因此802.11無(wú)線網(wǎng)絡(luò)技術(shù)自誕生伊始便采用了用戶數(shù)據(jù)加密和認(rèn)證技術(shù)來(lái)保證無(wú)線網(wǎng)絡(luò)的安全。
誠(chéng)然,在802.11無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展初期所采用的一些技術(shù)在后來(lái)的技術(shù)發(fā)展過(guò)程中被發(fā)現(xiàn)存在漏洞或者被破解。如眾所周知的WEP靜態(tài)密鑰RC4弱加密算法,以及前段時(shí)間德國(guó)Darmstadt理工大學(xué)的博士生ErikTews與其同事MartinBeck所公布的對(duì)TKIP(對(duì)WEP進(jìn)行了一定的改進(jìn),仍然采用RC4加密算法,但是引入了動(dòng)態(tài)密鑰機(jī)制)的破解方法。
這些消息在一定程度上更加加劇了用戶對(duì)802.11無(wú)線網(wǎng)絡(luò)安全性的顧慮。但是我們從技術(shù)發(fā)展的角度來(lái)看,正是這些技術(shù)人員(通常我們稱這種技術(shù)人員為黑客)對(duì)一些技術(shù)瑕的不斷研究和探索,促進(jìn)了該項(xiàng)技術(shù)本身的不斷進(jìn)步。在802.11無(wú)線網(wǎng)絡(luò)領(lǐng)域也是如此,其實(shí)早在2004年6月24日,IEEE就公布了802.11i無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn),引入了采用802.1x?EAP認(rèn)證及AES-CCMP(Counter-Mode/CBC-麥金塔Protocol)加密算法。相應(yīng)的Wi-Fi聯(lián)盟無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)為WPA2。如果無(wú)線網(wǎng)絡(luò)用戶真正關(guān)心安全并且按照該標(biāo)準(zhǔn)來(lái)實(shí)施自己的無(wú)線網(wǎng)絡(luò),其實(shí)完全不必為其安全擔(dān)憂。我們只能說(shuō),真正的安全隱患來(lái)自于不恰當(dāng)?shù)脑O(shè)計(jì)和實(shí)施(很多用戶至今仍然在使用WEP甚至根本未經(jīng)加密的開放式無(wú)線網(wǎng)絡(luò))。
ARUBA無(wú)線控制器可以為無(wú)線客戶提供功能豐富的身份驗(yàn)證和數(shù)據(jù)加密功能,并可以通過(guò)對(duì)無(wú)線控制器的安全配置實(shí)現(xiàn)整個(gè)無(wú)線網(wǎng)絡(luò)安全的集中部署。
ARUBA無(wú)線控制器提供的身份驗(yàn)證方式如下:
不進(jìn)行用戶身份驗(yàn)證
基于MAC地址的身份驗(yàn)證
基于802.1X/EAP的身份驗(yàn)證
支持EAP卸載功能
支持機(jī)器名和用戶名的Windows域認(rèn)證綁定
基于WebPortal的身份驗(yàn)證
基于VPN的身份驗(yàn)證
以上驗(yàn)證方式的組合
與其它無(wú)線網(wǎng)絡(luò)廠商的解決方案不同,在ARUBA無(wú)線網(wǎng)絡(luò)的認(rèn)證和加密功能是通過(guò)專用硬件在無(wú)線控制器上集中部署的,而不是分散在每一個(gè)AP上的,因此所有的終端認(rèn)證和信息加密都是在無(wú)線交換機(jī)上完成的。
這種特別的部署方式可以為無(wú)線局域網(wǎng)的信息安全帶來(lái)以下優(yōu)勢(shì):
由于所有的安全措施都在無(wú)線控制器上執(zhí)行,避免了分散在各處的AP成為潛在的無(wú)線安全漏洞
對(duì)信息的加密從終端與AP之間延伸到了終端與無(wú)線控制器之間,進(jìn)一步確保了AP到無(wú)線控制器之間的信息安全
在無(wú)線交換機(jī)上采用專用硬件對(duì)信息加密,解決了大容量環(huán)境下AP處理能力不足的問(wèn)題
在終端漫游過(guò)程中不再需要額外的密鑰交換和同步,大大提升了終端在AP之間的無(wú)縫漫游切換能力
3基于用戶的無(wú)線應(yīng)用防火墻
在傳統(tǒng)的網(wǎng)絡(luò)安全體系架構(gòu)中,用戶接入網(wǎng)絡(luò)之后,其在內(nèi)部網(wǎng)絡(luò)中的行為是基本不受控制的。因?yàn)槲覀兊膫鹘y(tǒng)網(wǎng)絡(luò)安全體系架構(gòu)是建立在這樣一個(gè)基本前提之上的:即內(nèi)部網(wǎng)絡(luò)是安全的。因此我們通常所采取的安全措施基本上都是為了防范外部入侵而設(shè)置的一些固定位置的安全檢查點(diǎn)(如防火墻),而缺乏對(duì)內(nèi)部用戶安全權(quán)限的約束與管理。當(dāng)然另一方面這也是由于在每個(gè)樓層交換機(jī)端口上實(shí)施這些管理策略太過(guò)困難,盡管現(xiàn)在很多用戶已經(jīng)考慮在有線網(wǎng)絡(luò)中實(shí)施802.1x認(rèn)證,并根據(jù)802.1X認(rèn)證的結(jié)果為用戶動(dòng)態(tài)分配VLAN,然后在網(wǎng)絡(luò)核心為每個(gè)vlan設(shè)定訪問(wèn)策略來(lái)實(shí)現(xiàn)安全管理策略。但是由于需要在用戶終端上預(yù)先安裝和配置802.1X客戶端,并且需要在每臺(tái)邊緣交換機(jī)上都要啟用802.1X并配置大量的用戶VLAN,因此這種通過(guò)動(dòng)態(tài)VLAN劃分來(lái)實(shí)施安全策略的方式仍然是一件相當(dāng)復(fù)雜的事情。
與有線網(wǎng)絡(luò)的情形相似,無(wú)線網(wǎng)絡(luò)在實(shí)施用戶安全策略時(shí)也面臨著同樣的難題。更有甚者是,與有線網(wǎng)絡(luò)不同,由于無(wú)線網(wǎng)絡(luò)的用戶通常具有更大的流動(dòng)性,對(duì)于某些類型的用戶采用802.1X的方式進(jìn)行用戶認(rèn)證顯然并不可行(如外來(lái)訪客),因此大多數(shù)企業(yè)無(wú)線網(wǎng)絡(luò)都會(huì)提供WebPortal的方式對(duì)用戶進(jìn)行認(rèn)證。這種認(rèn)證方式的一個(gè)重要特點(diǎn)就是認(rèn)證發(fā)生在用戶接入無(wú)線網(wǎng)絡(luò)之后,也就是說(shuō)在身份認(rèn)證發(fā)生時(shí),這個(gè)無(wú)線用戶已經(jīng)被分配到某個(gè)特定的VLAN,并獲得了相應(yīng)的IP地址,這時(shí)就再也無(wú)法通過(guò)改變?cè)撚脩鬡LAN的方式來(lái)實(shí)施用戶安全策略了。
ARUBA無(wú)線網(wǎng)絡(luò)安全體系架構(gòu)提供了一種基于用戶身份角色來(lái)實(shí)施用戶安全策略管理的方法,能夠理想地解決上述難題。ARUBA在無(wú)線控制器上集成了經(jīng)過(guò)ICSA(國(guó)際計(jì)算機(jī)安全聯(lián)盟)認(rèn)證的用戶狀態(tài)防火墻,這個(gè)用戶狀態(tài)防火墻是以用戶,而不僅僅是IP地址為驗(yàn)證方法的,從而可以基于每個(gè)無(wú)線網(wǎng)絡(luò)用戶的身份角色定制與其他用戶完全不同的安全策略、帶寬策略及QoS策略,實(shí)現(xiàn)完全以用戶為中心的、不依賴于網(wǎng)絡(luò)參數(shù)(如VLAN、IP地址等)的用戶安全策略管理。
與其它無(wú)線網(wǎng)絡(luò)設(shè)備只能檢測(cè)無(wú)線層的網(wǎng)絡(luò)攻擊不同,ARUBA無(wú)線控制器內(nèi)置的用戶狀態(tài)防火墻還能夠在第一時(shí)間檢測(cè)到惡意用戶對(duì)網(wǎng)絡(luò)發(fā)起的ICMP、TCPSync、IPSession、IPSpoofing、RSTRelay、ARPSpoofing等多種基于TCP/IP層面的網(wǎng)絡(luò)攻擊,并能夠自動(dòng)將攻擊者放入網(wǎng)絡(luò)黑名單,從無(wú)線網(wǎng)絡(luò)中隔離開來(lái)。
此外,ARUBA無(wú)線狀態(tài)防火墻還具有應(yīng)用感知能力,能夠支持FTP、SIP、RTP/RTCP和CiscoSCCP協(xié)議等應(yīng)用層網(wǎng)關(guān)。
4無(wú)線接入的病毒檢查與防護(hù)
ARUBA無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面,一、無(wú)線終端的準(zhǔn)入檢查;二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。
無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查,ARUBA的無(wú)線網(wǎng)絡(luò)系統(tǒng)既可以提供自己的準(zhǔn)入控制功能,又可以與第三方的準(zhǔn)入控制系統(tǒng)兼容,并實(shí)現(xiàn)聯(lián)動(dòng)。當(dāng)無(wú)線終端連接到ARUBA無(wú)線系統(tǒng)中,試圖訪問(wèn)網(wǎng)絡(luò),在用戶認(rèn)證之后,首先通過(guò)從準(zhǔn)入控制系統(tǒng)下載的或預(yù)裝的準(zhǔn)入控制客戶端對(duì)無(wú)線終端的完整性進(jìn)行檢查,如操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況等。如果無(wú)線終端不能通過(guò)該完整性檢查,可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò),也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)修復(fù)服務(wù)器,通過(guò)安裝系統(tǒng)補(bǔ)丁、防病毒軟件和升級(jí)病毒定義碼等操作對(duì)終端完整性進(jìn)行修復(fù),直到滿足系統(tǒng)制定的安全策略以后,該無(wú)線終端才可以通過(guò)認(rèn)證而進(jìn)入網(wǎng)絡(luò)。
當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查,但是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。ARUBA公司和可以和主流的網(wǎng)絡(luò)準(zhǔn)入控制廠商合作,在ARUBA無(wú)線控制器上可以設(shè)定策略,將某些用戶,以及某些可能沾染病毒的數(shù)據(jù),通過(guò)ARUBA無(wú)線控制器重定向到第三方的防病毒墻上進(jìn)行防病毒檢查,檢查完成后,才允許通過(guò),否則會(huì)將數(shù)據(jù)丟棄。并且,ARUBA無(wú)線控制器還可以提供API接口,允許第三方的防毒墻通過(guò)該接口與ARUBA無(wú)線控制器進(jìn)行聯(lián)動(dòng),修改染毒終端的網(wǎng)絡(luò)訪問(wèn)權(quán)限,甚至將該終端加入網(wǎng)絡(luò)黑名單,從無(wú)線網(wǎng)絡(luò)中斷開。
電話應(yīng)用
隨著越來(lái)越多的企業(yè)從單純的無(wú)線數(shù)據(jù)應(yīng)用轉(zhuǎn)向VoWLAN以及基于無(wú)線的視頻流應(yīng)用,企業(yè)對(duì)WLAN服務(wù)質(zhì)量(QoS)保證表現(xiàn)出越來(lái)越多的需求。
ARUBA提供的話音業(yè)務(wù)模塊(VSM)非常方便地部署和管理可靠的移動(dòng)話音服務(wù)。通過(guò)獨(dú)特的技術(shù)創(chuàng)新,ARUBA話音業(yè)務(wù)模塊(VSM)可以支持對(duì)語(yǔ)音流量的分類技術(shù),可以提供多種先進(jìn)無(wú)線區(qū)域網(wǎng)語(yǔ)音(VoWLAN)功能的關(guān)鍵。
通過(guò)話音業(yè)務(wù)模塊,ARUBA為用戶帶來(lái)業(yè)內(nèi)最優(yōu)質(zhì)、最安全的,具有極佳擴(kuò)展能力的VoWLAN方案。
ARUBA移動(dòng)多媒體控制器內(nèi)置的WebUI還可以幫助網(wǎng)絡(luò)管理員以圖形化的方式對(duì)VoWLAN應(yīng)用進(jìn)行管理。
1帶寬控制與服務(wù)質(zhì)量保證QOS
ARUBA無(wú)線系統(tǒng)的帶寬管理能力使得在移動(dòng)音視頻應(yīng)用方面表現(xiàn)出很強(qiáng)的優(yōu)勢(shì)。ARUBA無(wú)線系統(tǒng)可在每個(gè)用戶的權(quán)限限制內(nèi)用戶無(wú)線連接的最高帶寬。對(duì)于不同的IP服務(wù),ARUBA系統(tǒng)亦可透過(guò)ARUBA無(wú)線控制器設(shè)置定義不同的QoS隊(duì)列。例如無(wú)線語(yǔ)音的應(yīng)用,SIP和RTP協(xié)議可設(shè)定在高的隊(duì)列,而一般應(yīng)用如http、ftp則可設(shè)定在低的隊(duì)列。例如語(yǔ)音視頻這樣對(duì)于時(shí)延敏感的業(yè)務(wù),目前,經(jīng)過(guò)中國(guó)網(wǎng)通、中國(guó)賽爾公司對(duì)幾家WLAN設(shè)備廠商的設(shè)備測(cè)試結(jié)果表明,ARUBA的無(wú)線網(wǎng)系統(tǒng)以其完善QoS特性在測(cè)試中表現(xiàn)最佳。
ARUBA無(wú)線系統(tǒng)可容許用戶設(shè)置專有的語(yǔ)音SSID,把單純是數(shù)據(jù)傳輸?shù)挠脩艉?a href="/hebeideji/8200422813703943840.html">wifi手機(jī)用戶分開,但也可以在單一SSID內(nèi)同時(shí)傳送數(shù)據(jù)和話音,同時(shí)保證語(yǔ)音傳輸?shù)馁|(zhì)量。ARUBA無(wú)線控制器內(nèi)的用戶防火墻可以識(shí)別SIP/RTP等VoIP協(xié)議,并自動(dòng)把話音數(shù)據(jù)包放在較高的優(yōu)先隊(duì)列,因此能夠確保在數(shù)據(jù)和語(yǔ)音同時(shí)傳送時(shí),語(yǔ)音的質(zhì)量不受影響。另在語(yǔ)音安全接入方面,ARUBA可防止沒(méi)有無(wú)線語(yǔ)音權(quán)限的用戶使用無(wú)線語(yǔ)音,以確保網(wǎng)絡(luò)資源能有效運(yùn)用。
2呼叫準(zhǔn)入控制(CAC)及負(fù)載平衡
ARUBA無(wú)線解決方案架構(gòu)的核心是備有整合式狀態(tài)防火墻(statefulfirewall)的中央移動(dòng)控制器,能夠?yàn)閂FC技術(shù)提供語(yǔ)音流量辨認(rèn)、分類及排序功能。ARUBA無(wú)線控制器的話音業(yè)務(wù)模塊(VSM)支持所有業(yè)界通用的語(yǔ)音信號(hào)協(xié)議,包括SessionInitiatedProtocol(SIP)、SpectraLinkVoicePriority(SVP)、Vocera及思科的SkinnyClientControlProtocol(SCCP)。通訊流量一經(jīng)辨認(rèn)和分類,便可由ARUBA的移動(dòng)系統(tǒng)進(jìn)行適當(dāng)處理。
通過(guò)對(duì)話音流量的智能識(shí)別,ARUBA無(wú)線控制器的話音業(yè)務(wù)模塊(VSM)不斷監(jiān)測(cè)WLAN內(nèi)每段通話,并實(shí)時(shí)監(jiān)控正進(jìn)行的通話總數(shù),同時(shí)ARUBA無(wú)線控制器的CAC功能可以限制個(gè)別存取點(diǎn)上同時(shí)進(jìn)行的通話數(shù)量,一方面避免存取點(diǎn)負(fù)荷太大令通話質(zhì)量下降,同時(shí)為數(shù)據(jù)和其它流量類別保留它們所需的最低限度帶寬。
當(dāng)個(gè)別存取點(diǎn)所處理的通話數(shù)量到達(dá)上限時(shí),蜂窩(cell)內(nèi)其它并非在處理通話的語(yǔ)音設(shè)備便會(huì)啟動(dòng)平衡負(fù)載功能,避免正在進(jìn)行的通話受到干擾,同時(shí)處理新的通話數(shù)據(jù)傳輸。其它WLAN技術(shù)要求客戶端設(shè)備能夠明白存取點(diǎn)所發(fā)放的負(fù)荷信息,或者采用一些只能配合個(gè)別品牌客戶端的專有技術(shù),因此靈活性和可靠性遠(yuǎn)不及ARUBA的架構(gòu)。
ARUBA的話音業(yè)務(wù)模塊(VSM)和整合式狀態(tài)防火墻(PEF)還可以通過(guò)QoS系統(tǒng)的功能控制所有流量的優(yōu)先次序。網(wǎng)絡(luò)內(nèi)的流量和優(yōu)先次序可能并不相稱,例如語(yǔ)音流量可能會(huì)被編上較低的優(yōu)先次序,但多用途或數(shù)據(jù)客戶端卻可能會(huì)被編排在較高的優(yōu)先次序;但VSM可以比較用戶、設(shè)備和實(shí)際傳送的流量,并通過(guò)QoS系統(tǒng)功能來(lái)修正上述各種流量的優(yōu)先次序。
對(duì)于符合全新IEEE802.11e和Wi-Fi聯(lián)合無(wú)線多媒體(WMM)標(biāo)準(zhǔn)的手機(jī),ARUBA的話音業(yè)務(wù)模塊(VSM)同樣支持這些設(shè)備的語(yǔ)音數(shù)據(jù)輸出,包括TSpec信號(hào),讓ARUBA能夠于同一架構(gòu)上支持未符合WMM規(guī)格的設(shè)備,以及其它具備TSpec功能的VoWLAN客戶。
3語(yǔ)音認(rèn)知無(wú)線射頻管理
傳統(tǒng)無(wú)線射頻管理方案會(huì)掃描無(wú)線射頻頻譜以應(yīng)付干擾,但這樣的做法會(huì)因?yàn)闊o(wú)法分辨語(yǔ)音和數(shù)據(jù)流量而降低通話質(zhì)量。ARUBA的移動(dòng)控制器能夠探測(cè)到正在處理通話的存取點(diǎn),并阻止它們掃描無(wú)線頻譜上的其它頻道,直至該存取點(diǎn)上的所有通話結(jié)束為止。
語(yǔ)音認(rèn)知無(wú)線射頻管理技術(shù)可大幅改善通話質(zhì)量,同時(shí)可將無(wú)線頻譜管理功能自動(dòng)化,VSM便是實(shí)現(xiàn)這些獨(dú)特功能的關(guān)鍵。
4為VoWLAN提供安全保障
許多語(yǔ)音設(shè)備并不支持企業(yè)級(jí)安全系統(tǒng),例如WPA2等高階認(rèn)證和加密技術(shù)。IT管理人員的對(duì)策是避免采用VoWLAN,或者安裝專屬的語(yǔ)音SSID和VLAN。然而,入侵者可以假扮成語(yǔ)音客戶設(shè)備,然后繞過(guò)VLAN存取數(shù)據(jù)資源,危害企業(yè)安全。
為了避免上述漏洞,ARUBA的無(wú)線狀態(tài)防火墻模塊會(huì)檢查流量的傳輸協(xié)議和目的地,然后比較該設(shè)備和用戶類別的政策。該項(xiàng)技術(shù)可以設(shè)定為只容許語(yǔ)音流量通過(guò),并阻擋所有非語(yǔ)音流量,有效防止黑客假冒語(yǔ)音客戶收發(fā)數(shù)據(jù)。
5無(wú)縫的三層漫游
ARUBA無(wú)線網(wǎng)絡(luò)架構(gòu)能夠讓用戶在AP、WLAN交換機(jī)、多子網(wǎng)以及多VLAN之間無(wú)縫地漫游,而且不會(huì)丟失連接,也不需要重啟。它不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何改變就可以實(shí)現(xiàn)這一切。
ARUBA的無(wú)縫切換性能極佳,保證了語(yǔ)音的流暢。這種技術(shù)可以確保無(wú)線語(yǔ)音業(yè)務(wù)可以無(wú)縫的在AP間漫游,而不會(huì)發(fā)生掉線,是語(yǔ)音業(yè)務(wù)的質(zhì)量保證。公司地址
Aruba北京辦事處
朝陽(yáng)區(qū)朝外街道18號(hào)豐聯(lián)廣場(chǎng)A座2101
郵編100020
Aruba上海辦事處
上海市黃埔區(qū)延安東路222號(hào)外灘中心18樓郵編200002
Aruba廣州辦事處
天河區(qū)林和西路161號(hào)中泰國(guó)際廣場(chǎng)A座23樓郵編510620
Aruba成都辦事處
成都市二環(huán)路西一段天樂(lè)路1號(hào)逸都花園天樂(lè)苑1-1-302郵編:610041
Aruba南京辦事處
南京市洪武路街道359號(hào)福鑫國(guó)際大廈西塔樓2202室郵編210005
參考資料 >
惠普27億美元收購(gòu)無(wú)線網(wǎng)絡(luò)公司Aruba.新浪科技.2024-01-18