aruba
编辑本段一,ARUBA公司历史及简介
ARUBA公司是一家总部设在美国硅谷的新兴高科技公司,公司仅用了4年的时间已经成长为全球领先的企业无线网络产品制造商,并且是目前全球与MERU一样专著于企业无线网络产品的研发与设计的上市供应商。公司已于2007年3月成功在美国NASDQ上市,股票代码:ARUN。ARUBA公司是全球业界首先提出了分布式无线网络架构,并提出“以用户为中心”无线网络建设概念。 ARUBA已经在美国、欧洲、中东和亚太地区建有分支机构,员工更是遍布全球各地。ARUBA非常重视中国市场,在北京、上海、广州、成都分别开设了办事机构,并在北京设立了7*24小时的技术支援中心,全力拓展中国市场。
编辑本段二,ARUBA在无线领域的领先技术
ARUBA的移动优势产品有四大部件:1,ARUBAOS软件:为ARUBA无线网络提供智能ArubaOS软件功能强大、设计精密,可协调“移动边缘”结构内的全部设备操作,实现多项高级功能,包括:不间断移动功能、身份对应安全策略、与现存网络无中断整合、移动VoIP功能、适应性无线电波管理功能、企业级恢复功能、开放式应用程序接口功能、端对端QoS服务以及集中式管理功能。完全模块化的ArubaOS软件,可在任何Aruba移动控制器或接入点上运行,以保证他们向处在移动边缘的用户不间断地提供服务。ArubaOS软件的基本功能套装是各种移动控制器的标准配置,这些功能包括:精密的认证和加密、不间断高速漫游、射频管理和分析工具、集中配置、位置追踪等。ArubaOS软件令管理人员实现对网络接入点的单点控制,以便查找和关闭空闲的接入点、辨别并阻止恶意攻击以及假冒用户,实现负载平衡通讯、搜寻覆盖漏洞以及干扰、创造状态式身份对应安全策略并随个人用户在移动边缘内转移。由于全体Aruba移动控制器采用相同的硬件结构,ArubaOS软件在全部产品范围内都完全适用,可提供完全相同的功能,当然其价格和性能根据不同的下层体移动控制器型号而有所区别。完全模块化的ArubaOS软件尤其强调可靠性,包括:自动重启进程将软件故障的影响降至最低以及在主机和处理器内完全实现VRRP冗余将硬件故障的影响降至最低。ArubaOS软件包括三种可选的软件模块:无线入侵防范模块提供公司专利的分类技术,可以辨识和防范恶意攻击(例如:DoS攻击)、网络弱点(比如:空闲的接入点和临时独立网络)、伪冒用户和接入点,以及来自中间人的间接攻击。强化策略防火墙模块可以通过集成的ICSA-认证的状态式防火墙为用户和工作组提供强化的安全策略。安全策略可以在单个用户或工作组的基础上,进行集中定义并得到强化,而且可以随用户一起转移。根据用户位置、时间、设备类型以及认证方式等不同的参数,动态强化安全策略。VPN服务器模式支持集成不同的虚拟私人网络操作,无需离散式外部VPN集线器。硬件加速性能可提供局域网网速级别的VPN 接连。支持包括L2TP/Ipsec,Ipsec/XAUTH 和PPTP在内的VPN协议。同时支持用户终端和点对点VPN网络。用户完整性模块可以为用户提供有线网络和无线网络的整合,防止恶意软件(包括病毒和蠕虫)利用移动服务感染网络。它集成了Sygate TechnologiesTM 的软件系统,提供主机完整性监测、带文件和缓存清理功能的虚拟桌面以及防范“Zero-day”威胁的用户安全访问。远程接入点模块令网络管理人员能安全地将企业的无线功能延伸至任何可以连接互联网的地点。同时使移动工作者在家中、在远程办公室以及在其它工作地点都能获得企业级的无线局域网。外部服务接口模块允许所有的Aruba移动控制器同外部服务设备连接。ESI模块根据策略选择性地将网络通讯重定向到提供相关网络服务的设备,包括:防毒、网络入侵防范、内容过滤、内容转换以及用途审查。支持负载平衡和健康状态检查功能。高级AAA模块扩展了ArubaOS软件的认证和授权功能,包括根据域名和Realm元素的选择认证服务器、利用RFC3576动态认证和授权以及XML应用程序接口以便建立外部端口和认证系统。xSec 模块提供高度安全的xSec用户会话终端,提供256位AES-CBC加密与高敏感环境完整头部阻碍的联系层。 xSec 模块还可以根据相同的强加密标准对 Aruba 移动控制器之间的中继端口加密。2,移动控制器是用于运行ARUBAOS软件功能的高性能网络平台移动控制器功能包括:无线接入点管理、802.11射频管理、802.11x认证和加密功能,利用IPsec/3DES加密技术的点对点和用户VPN网络功能、状态式策略强化防火墙,L1至L7的入侵防范、用户终端完整性检查、以及接入点与移动控制器之间的无间断漫游。移动控制器具有相同的硬件结构,包括专用的平面CPU,可编程数据平面网络高性能处理单元,以及用于L2和L3集中加密的特殊可编程加密引擎。移动控制器对无线网络中的通讯进行监测,并输送至企业核心网络。由于要处理数百个接入点和数千个用户,移动控制器通常位于数据中心,以便获得稳定的环境并高速访问核心网络。ARUBA公司的移动控制器系列产品包括多种不同尺寸和价格的型号,以支持不同规模移动网络。3,无线接入点(AP)由ARUBAOS软件和移动控制器集中控制的有线和无线接入点,可作为分布式通讯数据收集器,通过IP网络与移动控制器建立有线或无线的通讯遂道。无线接入点可提供无线射频覆盖服务的同时,还可以作为射频监控设备,实时监控空气中各种无线电波可能存在的安全威胁。在确定威胁后,同时还具有入侵防范功能。无线接入点运行分布式ARUBAOS软件功能,包括智能射频管理、本地无线局域网数据流的分布式加密、搜索和防范无线入侵、搜寻空闲并关闭接入点等。 有线接入点仅仅作为数据收集器工作,并通过局域网或广域网同移动控制器连接。ARUBA提供各种不同型号的无线接入点,包括:室内/室外802.11a/b/g/n单频接入点、802.11a/b/g/n双频接入点、802.3有线接入点以及有线/无线混合接入点。无线局域网接入点配备了内置天线,亦可选根据需要选择各款外挂天线。无线接入点全部可以和ARUBA的移动控制器配合工作,以提供高安全性能的无线网络架构。无线接入点可以同现存的IP网络连接,自动搜寻ARUBA的移动控制器,并自动配置参数开始工作。移动控制器负责OS软件的分发、配置参数分发,并协调所有无线接入点以实现协同工作。接入点通过802.3af以太网远程供电标准获得电力,无需额外部署电源线。若无法通过以太网供电,接入点还同时配备了可连接交流电源适配器的直流电源接口。所有的接入点可以在监测无线电波同时提供无线网络服务。 连续的扫描射频环境、确定和追踪所有无线用户已提供入侵警告和干扰提示。此双重功能不需要单独的RF传感器即可排除故障并优化无线环境。4,无线网管系统(AWMS)ARUBA在07年12月收购了全球最大的专业WLAN第三方集中网管的Airwave公司。该平台可管理现有的绝大多数无线局域网厂家的设备(包括瘦AP和胖AP,MESH,WIMAX设备)。该产品可无缝集成到现有WLAN网络中,通过SSH、SNMP和HTTPS协议管理所有无线局域网设备。Airwave网管系统具有业界最为领先的扩展能力,可以通过一个控制台管理最大超过25,000个网元。目前Airwave网管除了支持ARUBA的产品外,还支持下列无线局域网厂家设备:CISCO,MOTO,SYMBOL,PROCURVE,TRAPEZE,MERU,NERTEL,3COM,JUNIPER,ENTERASYS,AVAYA,PROXIM,FOUNDRY,AKATEL-LUCENT,TROPOS,COLUBRIS,LANCOM目前正在使用Airwave专业WLAN综合网管的教育行业客户如下:MIT,STANFORD,YALE,LMU,INDIANA,VANDERBILT,SPOKANE,INDIANAPOLIS,COBB,RIVERSIDEAirWave无线管理套件的核心组件包括:AirWave Management Platform (AMP) 无线网络管理软件VisualRF 定位和射频显示软件模块RAPIDS 欺诈接入点检测软件模块AirWave 主控制台和备份服务器AirWave Management Platform(AMP)是AirWave无线管理套件的核心。通过直观的图形化用户接口提供业界最为领先的管理功能,使得网络管理者可以轻松而有效地支持、控制和管理最大规模的无线网络。
编辑本段三,ARUBA遍及全球的客户
ARUBA先进的新一代WLAN解决方案自2003年推出后,就成为下一代WLAN网络演进的先驱者所推崇的解决方案,至今已经获得Google、Microsoft、SAP、Yahoo、BEA、纽约时报、amrican express、英国希思罗国际机场、美国政府、美国空军、AT&T、等4500多家全球知名客户的商业应用,这些客户遍布全球各地,其中包括了目前世界上最大的企业和大学WLAN网络(Microsoft和OHIOUniversity)。截至2008年1月,ARUBA在全球大学客户已经超过500家,其中国外知名的大学用户包括耶鲁大学、剑桥大学、MIT、达特茅斯学院、加利福尼亚州立大学、布朗大学、俄亥俄州大学、东京大学、康奈尔大学、卡内基?梅隆大学,华盛顿大学,西点军校,田纳西州立大学,波士顿大学等等。全球高等教育无线市场更是超过35%(数据获得:IDC and Dell ‘Oro 两家第三方市场调查机构)。ARUBA无线网在全球和国内各个行业的典型客户1,全球第一大无线网--美国空军,采购30000个ARUBA的无线接收器和300个无线控制器,为其全球108个基地部署极其安全的无线覆盖,成为有史以来全球最大的一笔无线订单。2,全球第一大无线校园网--俄亥俄州立大学,整个网络使用超过12,000多个ARUBA 的AP和40个无线控制器,整个网络架构L3基础上,服务于50,000学生和27,000教师员工。3,全球第二大无线校园网--美国加利福尼亚州立大学(10,000颗AP)4,全球第一大企业无线网--微软全球研发中心,整个网络使用超过9,000 多个ARUBA 的AP和多个无线控制器分布于277幢大楼中,在全球60多个国家部署,全球统一管理,统一认证。5,全球第一大802.11N技术全校园覆盖网:美国卡内基?梅隆大学(3200颗11n AP)6,全球第一大连锁机构无线网--美国Safeway连锁超市,全美1800零售商店,每个零售商店部署4个AP+1个A800控制器;20个大型商场,每个商场部署400个AP+2台A6000控制器。7,全球最大的VOWIFI无线网--日本 NTT Data,部署了ARUBA的AP1,000多个、21 个移动性控制器、1500 个 Wi-Fi 语音手机终端和3,400 个有线和无线软性电话8,国内第一大的无线局域网:广州地铁--约1500个ARUBA的AP70,部署在1-4号线遂道内,作视频直播。9,国内第一大的11N无线局域网:中国华电集团公司--约400多个的ARUBA的AP125。10,国内第一个全校园无线覆盖项目:上海海事大学(500颗AP)11,国内第一个实际部署VOWIFI应用的试验校园网:北京大学(100颗AP)12,国内最大的机场无线网:上海浦东国际机场(600多个AP)13, 亚洲最大的会展中心:琶洲国际会展中心,4台Aruba 6000和600多个AP70
编辑本段四 简单易用的智能全自动无线网络
1,易于部署——零干扰无线网络部署对于网络管理员来说,在整个企业范围内部署无线网络时首先需要考虑的就是网络的部署是否简单,如何能够方便地对AP部署的数量和点位进行合理规划?能否实现“即插即用”以避免对现有的有线网络进行大规模的配置调整?1.1 方便的无线网络规划设计在规划一个无线局域网络时,规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖?应在哪些位置安装AP,安装后电波的覆盖范围,信号在不同位置的强弱等,要完成此项工作,通常做法是规划设计者要在现场做大量的测试工作,通过经验去估算位置和数量,其工作量非常之大,且还无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。ARUBA开发的RFPlanning工具,可以让规划设计者在考虑无线局域网组网之初采用RFPlanning在计算机上做规划设计,估算在要求的覆盖面积上AP应安装的物理位置所在。使用这套工具时,在数字化的建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小,输入有关无线覆盖和传输模型的相关参数,如无线终端的平均带宽,AP和AP之间覆盖面等。RFPlanning自动计算,然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP,在无线网络安装完成后,网管人员通过RF Planning的Auto-Calibration功能,设定ARUBA交换机自动调节网上所有ARUBAAP的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后,网管人员可通过RFPlanning随时监测网内的每个AP的无线电波的状态,及时掌握每个AP的工作状态和故障诊断,及时做出调整策略。ARUBA RFPlanning为无线网络的规划设计、调试以及维护提供科学化和规范化的管理。1.2 不需要更改有线网络结构而在无线网络的具体部署阶段,网络管理员主要需要考虑以下两方面的问题:①需要为AP定义特殊的VLAN来实现AP与移动控制器的连接吗?②无线用户的VLAN如何定义才能实现移动性、简单性和网络性能之间的平衡?对于连接AP问题,如果每个AP必须通过二层网络与移动控制器连接,则意味着在有线网络中必须为AP定义一个特殊的VLAN,因此必然导致对现有网络(包括核心交换机、汇聚交换机和接入交换机)进行大规模的配置修改,从对网络的正常运行造成不利影响。而在ARUBA的无线网络解决方案中,ARUBA的无线控制器可以安装在中心机房,而AP则可以放置于任何地方,由于每一个AP都可以跨越二层或者三层网络,自动建立到移动控制器的GRE的隧道,并通过该GRE隧道连接到ARUBA移动控制器上,进行软件同步、下载配置文件并提供无线用户到骨干网络的数据通道,所以ARUBA无线网络解决方案可以在完全不改变原有的网络结构的前提下,搭建一个独立的、叠加在有线网络之上的移动网络平台,并通过该平台实现无线用户的接入和为各种网络应用移植优良的移动性。对于用户VLAN的问题,由于传统的胖AP解决方案作为一种有线网络的延伸,通过AP来终结无线数据流量并实现无线用户到骨干网络的接入,因此必须在每个连接AP的边缘接入交换机上分别配置用户VLAN,当AP数量大幅度增长时,这种部署方式无疑会大大增加网络配置、管理的负担,并导致网络复杂程度的提升。而在ARUBA的无线网络解决方案中,所有用户流量都通过AP与移动控制器之间的GRE隧道直接传送到移动控制器上,再通过移动控制器与核心交换机之间的高速网络接口转发到骨干网络中,因此无线用户的VLAN仅仅出现在移动控制器和核心交换机之间,只需要在移动控制器和核心交换机的互联接口上配置相应的VLAN即可,不需要在有线网络的接入层和汇聚层存在,从而大大简化了网络配置和管理工作的复杂程度。通过集中化的用户VLAN管理,ARUBA无线网络解决方案消除了无线用户VLAN与边缘交换机端口之间的绑定关系,当无线用户在不同AP之间漫游时,与其相应的用户VLAN实际上是穿越了有线网络的接入层,在ARUBA移动控制器上分配的,因此与无线用户连接的具体哪个AP无关,从而可以轻松实现无线用户在全网范围之内的无缝漫游。1.3 VLAN Pool的广播域控制对于大型网络设计和部署,为了减小广播域,降低每个子网内部的广播报文数量,网络管理员通常采用网络掩码对子网的大小进行限制。例如,每个VLAN采用一个C类地址,网络掩码是(255.255.255.0),因此每个VLAN内最多支持253个用户。但是传统的无线局域网厂商都只能做到SSID对应1个VLAN,这样的带来的问题就是,如果有大规模校园无线接入的时候,必须把这个映射VLAN的子网设的很大,比如一个B类地址(就是说将最多65000多个终端放在同一VLAN中),由于广播域过大,大量的广播报文(如DHCP、ARP等)将直接造成严重的网络拥塞。正是基于这个问题考虑,ARUBA提出了VLANPOOL的概念,也就是说一个SSID可以映射多个VLAN,用户在连接入网络中时,ARUBA移动控制器依据终端的MAC地址为其随机分配某个VLAN,然后再通过WEB进行认证,这样既解决了一个VLAN接入用户数较少的问题,又保留了网络部署(特别是用户VLAN分配)的简单性和易用性。2,易于管理——智能自适应射频管理无线局域网是计算机网络与无线通信技术相结合的产物,是一种采用无线传输媒介的计算机局域网络,由于利用空中电磁波进行信息传输,因此,与传统的有线网络相比,具有更大的灵活性,而且安装简单、经济实用。但是,采用无线信道进行信息传输也面临许多问题,比如:传输质量受多方面因素影响,稳定性较差,且故障定位难度很大;另外,无线信道的介质共享特性导致系统容量偏小,且容易产生频率相互干扰。尤其是在用户负载较重的情况下,如果不能很好地解决这些问题,可能会导致整个网络的性能急剧恶化,严重时甚至会造成网络的瘫痪。基于ARUBA专利的自适应射频管理(ARM 2.0)技术是ARUBA在无线射频控制领域做出的杰出贡献,可以帮助用户解决当今WLAN领域中的三个基本难题:①802.11标准下定义的终端决策模式以及无线终端缺乏系统视野的特点,导致网络无法对无线终端的频段、信道和漫游进行网络优化②作为一项基于共享介质的传输技术,无线终端设备不具有对干扰、共享带宽、信道和系统容量的优化智能③为了保持对不同时代WiFi标准的兼容性,高速终端只能以牺牲其性能的方式实现与慢速终端之间的并存以上困难导致802.11终端无法发挥其最大潜能,无线AP则往往因为用户过载或者外来干扰而导致网络整体性能的降低。在早期的WLAN部署中,为了能够在无线覆盖和避免干扰之间取得平衡,网络管理员往往需要进行费时、费力的现场勘查,然后再依据现场勘查的结果对AP工作信道和发信功率进行配置。但是由于现场勘查与用户对网络的使用无法在时间上取得一致,现场勘查的结果并不能真实地反映出用户使用网络时的实际射频环境,因此无法实现真正的网络优化。ARUBA的自适应射频管理(ARM2.0)可以提供具有实时性的智能射频管理功能,利用ARUBA多功能接入点(AP)对周边射频环境进行持续监测。所有的ARUBAAP都会在设定的时间内自行扫描其它的无线频道,由于ARUBA的移动控制器和AP可以具有应用感知能力,因此会根据应用在线状态(如AP上是否存在正在进行的SIP呼叫)以及AP上的实时负载来动态调整扫描的间隔,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程没有任何影响。当AP停留在某一个频道时,它会把在这频道上收到的无线电波信息转送回ARUBA无线控制器,ARUBA无线控制器则根据收集到的无线电波信息进行智能计算,并对AP的发信功率和工作信道等无线电波参数进行动态调整,以使AP之间达到了一个最优化的无线电波运行状态。通过ARUBA专利的自适应射频管理(ARM2.0)技术,可以为用户的无线网络提供以下功能:2.1 网络系统的自愈功能传统无线网络里的每个AP都是一个独立的个体,相互之间不存在任何沟通与协商,如果有某一AP突然损坏或失效时,这个AP原来覆盖区域就会失去无线连接,无线网络变得不可用。遇到这种情况的一般做法就是马上把失效的AP更换。但由于大多数的AP都是布置在楼道里(并不是在机房),所以不一定能马上作更换,现场的环境也有局限性,很多时候维护人员较难即时做出更换动作(很多的AP都是安装在天花板上)。而且,从故障发现,处理,找到新AP,替换,整个过程需时漫长,尤其是这对于一些紧急的应用是不能接受的。因此我们必须寻找另一种方法去缩短故障处理周期。为了提高无线网络的可用性和增强整个架构的冗余性,ARUBA系统设计了故障自动恢复的功能,即实时侦测出线上AP是否存在失效,当发现有AP出现故障时,ARUBA无线控制器能自动调节邻近的AP射频参数,一般是加大发射功率(覆盖范围)共同接替失效AP原先覆盖的范围。2.2 无线接入的负载均衡由于无线信道介质在物理层的共享特性,在一个AP的覆盖范围内,无线连接的带宽是共享的,即无线终端数目越多,每个终端所能分享的带宽就越小。特别是对于用户密集场合(如会议室、图书馆等),使用无线网络的终端较多时,大量用户对同一个信道资源的竞争会导致大量的冲突,从而使无线信道的效率下降,并最终导致无线网络的吞吐量性能进一步恶化。因此对于密集用户环境的无线网络部署,必须采用负载均衡技术对信道资源的使用在用户之间进行合理的分配,才能使网络整体性能得到优化。ARUBA的无线系统是一个集中式的管理系统,通过无线控制器对所有的AP和用户进行统一协调和管理。根据无线交换机里实时更新的AP的列表和负载状况,无线交换机会按照负载均衡算法,指示一些连接用户数量较多的AP把其覆盖范围内的无线用户或终端分散连接到邻近的AP上,使AP负荷能够均匀地分布在相互靠近的一组AP上,从而使网络资源亦得到充份的利用,使无线用户得到更加快速的吞吐量性能。2.3 无线接入的频段指引长时间以来,无线网络性能提升的主要存在两个障碍,一是2.4GHz频段中互不干扰的信道只有3个,从信道资源角度看,非常有限;另一个是802.11标准将无线连接的决策功能(如连接那个AP、什么时候连接、用什么频率连接等问题)都留给无线终端侧完成,而相当部分终端在其设计中往往优先采用2.4GHz信道对网络进行连接,从而导致2.4GHz信道中用户密度过高、信道效率偏低的特点。为了解决上述难题,ARUBA专利的自适应射频管理(ARM2.0)技术为用户了终端频段指引的功能,能够自动引导市场上的双频段终端(即同时支持2.4GHz和5GHz的终端)优先采用5GHz频段连接ARUBA的双频段AP,以均衡使用网络资源,改善网络性能。ARUBA的终端频段指引功能具有以下特点:如果无线终端能够支持2.4GHz和5GHz双频段工作,则通过5GHz信道进行无线网络的关联无线控制器维护所有无线终端支持能力的数据库,并以此为依据进行无线终端的频段指引决策频段指引功能对无线终端完全透明,不需要预装任何客户端或私有软件对于用户来说,通过ARUBA的无线接入频段指引功能,可以使无线网络性能得到显著的优化,包括如下:可以充分利用5GHz频段丰富的频率资源,而不仅仅是2.4GHz频段上的3个无干扰信道可用信道的增加大大缓解了无线网络中的同频干扰问题避免802.11b标准的慢速终端对802.11a\n等快速终端的性能影响充分利用5GHz频段丰富的频谱资源,在802.11n网络中采用40MHz信道实现300Mbps高速无线连接2.4 无线终端的流量整形作为无线网络体系的标准协议,802.11标准集今天仍然处于快速发展之中。作为对用户投资进行合理保护的举措,无线网络必须能够支持混合模式,使得各种无线终端(无论其网卡类型和支持的工作模式)都能够公平地接入网络。ARUBA的无线终端流量整形技术可以提供三种选择:缺省模式:在缺省模式中,ARUBA无线控制器和AP关闭其无线流量整形功能,终端性能完全依赖其网卡对无线信道的竞争。值得注意的是,在这一模式下,如下图所示,由于每个终端的网卡、操作系统的差异,不同终端得到的网络性能可能是完全不同的。公平模式:在公平模式中,无论终端的性能和容量差异大小,每个终端在空中接口都将获得相同的机会,从而得到公平的网络吞吐量性能。这一模式特别适用于培训教室、考试中心等应用环境,使得所有终端,无论是802.11a/b/g还是802.11n,均获得近乎相等的网络资源。优先模式:在优先模式中,ARUBA无线控制器会根据其维护的终端性能列表,为各种速率的终端以加权方式动态分配信道资源,从而可以确保高性能的802.11n终端相对于802.11a/b/g终端能够获得更多的访问信道资源的机会;同样,802.11g终端相对于802.11b终端也能够获得更多的访问信道资源的机会。3 易于扩展——适合各种环境和规模3.1 基于Mesh的室内、室外统一覆盖随着无线网络在企业环境下的不断发展和无线应用的持续拓展,无线网络覆盖的范围也逐渐从室内走向室外,从部分覆盖转向全面覆盖。作为“最后一公里”宽带无线接入非常重要的技术之一的无线Mesh网络,由于其具有AP无线组网、智能路由、与WiFi完全兼容等特点,可以帮助用户在室外部署环境中,有效规避最为困难的布线问题,从而倍受市场的关注。ARUBA安全Mesh网络解决方案可以帮助用户在不需要增加布线的前提下,将无线网络从室内环境迅速扩展到室外环境。通过ARUBA的Mesh网络,用户可以无缝地实现覆盖区域的扩展,也可以将不同建筑物中的以太网络通过无线方式进行桥接。ARUBA安全Mesh网络具有以下特点:集中控制:与ARUBA其它无线组网模式相同,ARUBA的安全Mesh网络也同样采用瘦AP组网架构,所有的ARUBA无线接入点均能够支持Mesh功能,所有的Mesh AP和非Mesh AP都由ARUBA无线控制器进行统一管理。智能路由:ARUBA的无线Mesh AP之间通过2.4GHz或者5GHz链路进行互联,Mesh链路的路由可以手工静态配置,也可以基于无线节点负载、无线链路的跳数或者节点之间无线链路的信号质量自动产生,并支持Mesh链路的冗余和自愈功能流量加密:ARUBA无线Mesh网络的中继链路可以基于加密的方式来建立,所有在Mesh AP之间传送的管理信息或者用户信息都能沟通过高强度的加密予以保护,从而避免各种信息流量在中继链路上传送的过程中被窃取或者篡改。3.2 基于Master-Local集群模式的扩展作为业界领先的无线网络系统供应商,ARUBA不仅可以提供业界最强大的无线控制器MMC6000(单台控制器可以支持最多2048个AP),以及MMC3000、MC2400、MC800和MC200等多种型号的无线控制器以满足企业用户的各种组网需求,而且还能支持基于Master-Local的无线控制器集群模式,实现集中式控制器与分布式转发相结合的无线网络扩展。在ARUBA提供的基于Master-Local架构的网络扩展模式中,Master控制器用于对全网所有Local控制器和AP的配置和安全参数进行管理;Local控制器则位于用户网络的不同区域或分支机构,作为Master控制器的策略执行点,用于终结和转发各区域内无线用户的业务数据,并通过内置的用户防火墙对其实施相应的安全策略,以实现分布式转发。如上图所示,Master控制器位于企业总部,Local控制器位于不同地理位置的分支机构,Master控制器与所有的Local控制器之间的连接可以即可以通过企业广域网(WAN),也可以通过互联网(Internet)实现。通过上述网络,Master控制器和Local控制器之间会自动建立Site to Site的IPSecVPN连接,以实现配置的同步。当位于分支机构的AP加电后,首先会自动连接位于企业总部的Master控制器,并通过Master控制器获得APGroup以及Local控制器地址等配置信息,然后位于分支机构的AP将自动连接到当地的Local控制器,获取AP配置文档,并建立从AP到控制器的GRE隧道,以转发用户业务数据。对于关键业务网络,基于Master-Local无线控制器集群的体系架构还可以通过Master控制器和Local控制器的冗余配置实现全网的高可用性设计。通过VRRP技术,所有的Local控制器和AP均可以借助于一个Virtual IP来访问Master控制器,当主用Master控制器故障时,备用Master控制器会自动接管所有的功能,并且这一切换过程不需要在Local控制器和AP上进行任何特殊配置。Local控制器的冗余切换则可以采用VRRP或者主备控制器两种方式来实现。其中VRRP要求两台或多台冗余的Local控制器采用二层方式进行连接,并通过将这些控制器划分到一个虚拟组,实现冗余Local控制器的自动倒换;主备控制器方式可以支持冗余Local控制器之间跨三层网络进行连接,并通过在AP配置文档中指明备用Local控制器的地址,当主用Local控制器故障时,AP会根据配置文档自动寻找并连接备用Local控制器,完成业务的自动恢复。借助于这一架构,ARUBA将全网集中管理与分布式数据转发完美地结合在一起,既实现了大规模网络的无缝扩展,又避免了大规模网络的性能瓶颈和可靠性问题。
编辑本段五 强大的多层次无线网络安全保障
从网络设计者的角度来看,在无线网络的大规模部署中,必须对无线网络的安全性加以重视,因为部署无线网络以后,由于无线电波是散布在空气中,黑客或非法用户很容易通过无线网络实现入侵,而无须连入某个固定的有线端口。因此,当网络中部署了越来越多的AP后,从一定程度上会造成更多潜在的威胁网络安全的场所,只是一味的强调大规模无线接入和大面积的无线覆盖,只会造成越来越多的安全隐患。有些IT管理者认为,已有的传统的有线安全设备如防火墙,IPS能够同样为无线网络起到良好的安全作用。其实,这种认识是错误的。举两个最简单的例子:比如一个非法用户连入企业的无线网络,由于portal认证作为一种主流的“轻”客户端认证方式,在许多校园网络以及企业外网有着广泛的应用,这样非法用户就能首先获得IP地址,并能发出大量的非法数据包或对portal服务器进行攻击,而这些数据由于还未送达有线侧防火墙设备,所以会对整个无线网络造成极大的安全隐患。另外一个例子,一个正常用户连入网络后,由于PC中毒,可能会发出大量的无效数据包,当数据包送达有线防火墙后,由于现有的有线防火墙或IPS无法跟无线控制器进行联动,也就不能将该用户直接和无线网络断开连接,有线防火墙只能将流量阻隔不让其进入有线核心网络,而大量的无线数据包已经占满无线网络链路,造成了不必要的网络拥塞。从以上两个简单的例子可以看出,有线安全设备由于并非为无线网络设计,并不能很好的完成无线网络安全管理,而在无线控制器中作简单的ACL功能也无法根除无线网络安全性的问题,只能作到一些简单的策略控制。因此ARUBA认为,建设无线网络必须从无线攻击和入侵防护、认证和加密、基于用户的访问控制等多个层面做到全方位的安全保证。通过ARUBA的多层次无线网络安全架构,就可以在用户数据抵达无线控制器时,第一时间对网络数据进行检查,而不是放任其未经检查而自由进入网络。同时,ARUBA多层次无线网络安全架构还可以在不同层次之间进行联动,通过无线IDS对无线攻击进行监测,通过无线状态防火墙对用户越权行为进行跟踪,并能将无线IDS、无线状态防火墙和整个无线网络进行实时联动,将攻击者和非法用户阻隔在无线网络以外,禁止其连接无线网络,从而对整个无线网络的安全进行有效地保护。1 对无线攻击和非法入侵的防范随着无线局域网的广泛应用,无线信号到处都是。酒店、大学安装了成百上千的AP;大型企业也开始大规模应用无线网络。所有这些迹象表明,企业的无线网络只是全球无线应用的一部分,会不断地收到外来的无线信号。在这样的环境中,发射无线信号的设备,既有可能是获得企业授权的AP,也有可能是企图盗窃机密信息或者造成网络中断的攻击者。因此无线局域网设备必须能够提供完善的无线攻击和入侵检测及保护机制,以防止恶意终端发起的各种“拒绝服务”攻击和未经授权的非法AP入侵网络所造成的安全隐患。1.1 恶意客户端无线攻击防范无线局域网的日益普及,同时也促进了无线入侵和攻击工具快速发展,这些工具可以非常容易地从位于互联网的各个黑客网站上下载得到,从而对无线网的安全构成很大的威胁。然而,由于绝大部分的无线局域网都没有侦测无线入侵的功能,所以当遭受到像无线DOS攻击时,网络管理员往往会误以为是无线信号受干扰或AP出现不稳定情况,导致正常用户的无线连接莫名其妙地中断,间接影响到无线网络所承载的各种业务应用的质量。在ARUBA无线网络解决方案中,每一个无线AP都具有多功能性,在为无线用户提供无线网络接入服务的同时,还可以作为无线攻击和入侵防范系统的探测器,对网络中可能出现的攻击和入侵行为进行实时的监测。与此同时,在整个无线网络的中心,ARUBA无线控制器则采用专有的网络处理器对无线AP收集到的网络攻击信息进行分析,通过无线控制器内置的无线攻击模式库,实时检测异常的无线数据帧,当无线控制器侦测出网络中存在无线攻击时,它会记录和显示无线攻击的类型,并对无线攻击做出自动保护响应。另外,ARUBA还提供了无线攻击模式库的API接口,可以支持网络管理员对无线攻击的类型和特征进行客户化定制,以确保无线攻击模式库的有效性。1.2 针对非法AP入侵的防范在今天的企业网络中,不经意的员工为使用方便而私自接入网络中的AP比比皆是。而恶意入侵者通过设置假冒的AP诱骗使用无线网络的企业员工从而截获信息。通过ARUBA交换机的WEB界面或中心化网管界面,网管中心便可实时查看到是否有非法AP在网内,或是企业无线网络覆盖范围内是否有其它AP仿冒企业AP。网管人员亦可开启自动保护机制,阻止无线终端通过非法AP连接到网内或者被诱骗到假冒AP上。这些非法的无线连接会被周边最接近的ARUBAAP所发出的802.11 De-Auth包所切断。802.11 De-Auth包会不停地发出直到在线的无线终端的无线连接被打断为止。要做到一个真正自动的保护机制就必须能正确识别所有在企业范围内检测出来的AP身份。如果把隔壁公司所安装和使用的AP视为非法AP的话,很容易就会把它们正常的无线连接打断,间接变成对其它企业网络的DOS攻击。ARUBA的自动保护系统是市场上最卓越和最全面的无线网络安全保护工具,通过同时收集和分析来自有线端口和无线信道两方面的数据信息,ARUBA无线入侵保护系统能够准确地区分出连接到企业内网的非法AP和位于围墙外面的干扰AP之间的差异,从而可以避免对非法AP的错判和漏判。除了对非法AP进行分类和压制,ARUBA无线控制器还能够对非法AP的位置进行定位。网络管理员只需在WEB界面按“定位”按钮,非法AP的位置就会显示在图纸上(用户必须预先把无线网络的结构图输入ARUBA交换机内的RF Planning系统),网络管理人员就可根据图表显示的位置找到该AP并将其从网络中清除。2 集中化的用户认证和流量加密如前所述,802.11网络所使用的无线信道所具有的共享介质特性决定了其网络数据在空中进行传播时,不可能阻止未经授权的第三者对其进行监听,同时用户的接入也并无法受到企业围墙和大门的保护(因为电磁波的辐射可能会超出围墙范围)。因此802.11无线网络技术自诞生伊始便采用了用户数据加密和认证技术来保证无线网络的安全。诚然,在802.11无线网络技术的发展初期所采用的一些技术在后来的技术发展过程中被发现存在漏洞或者被破解。如众所周知的WEP静态密钥RC4弱加密算法,以及前段时间德国Darmstadt理工大学的博士生Erik Tews与其同事Martin Beck所公布的对TKIP(对WEP进行了一定的改进,仍然采用RC4加密算法,但是引入了动态密钥机制)的破解方法。这些消息在一定程度上更加加剧了用户对802.11无线网络安全性的顾虑。但是我们从技术发展的角度来看,正是这些技术人员(通常我们称这种技术人员为黑客)对一些技术瑕疵的不断研究和探索,促进了该项技术本身的不断进步。在802.11无线网络领域也是如此,其实早在2004年6月24日,IEEE就公布了802.11i无线网络安全标准,引入了采用802.1x EAP认证及AES-CCMP(Counter-Mode/CBC-MAC Protocol)加密算法。相应的Wi-Fi联盟无线网络标准为WPA2。如果无线网络用户真正关心安全并且按照该标准来实施自己的无线网络,其实完全不必为其安全担忧。我们只能说,真正的安全隐患来自于不恰当的设计和实施(很多用户至今仍然在使用WEP甚至根本未经加密的开放式无线网络)。ARUBA无线控制器可以为无线客户提供功能丰富的身份验证和数据加密功能,并可以通过对无线控制器的安全配置实现整个无线网络安全的集中部署。ARUBA无线控制器提供的身份验证方式如下:? 不进行用户身份验证? 基于MAC地址的身份验证? 基于802.1X/EAP的身份验证? 支持EAP卸载功能? 支持机器名和用户名的Windows域认证绑定? 基于Web Portal的身份验证? 基于VPN的身份验证? 以上验证方式的组合与其它无线网络厂商的解决方案不同,在ARUBA无线网络的认证和加密功能是通过专用硬件在无线控制器上集中部署的,而不是分散在每一个AP上的,因此所有的终端认证和信息加密都是在无线交换机上完成的。这种特别的部署方式可以为无线局域网的信息安全带来以下优势:? 由于所有的安全措施都在无线控制器上执行,避免了分散在各处的AP成为潜在的无线安全漏洞? 对信息的加密从终端与AP之间延伸到了终端与无线控制器之间,进一步确保了AP到无线控制器之间的信息安全? 在无线交换机上采用专用硬件对信息加密,解决了大容量环境下AP处理能力不足的问题? 在终端漫游过程中不再需要额外的密钥交换和同步,大大提升了终端在AP之间的无缝漫游切换能力3 基于用户的无线应用防火墙在传统的网络安全体系架构中,用户接入网络之后,其在内部网络中的行为是基本不受控制的。因为我们的传统网络安全体系架构是建立在这样一个基本前提之上的:即内部网络是安全的。因此我们通常所采取的安全措施基本上都是为了防范外部入侵而设置的一些固定位置的安全检查点(如防火墙),而缺乏对内部用户安全权限的约束与管理。当然另一方面这也是由于在每个楼层交换机端口上实施这些管理策略太过困难,尽管现在很多用户已经考虑在有线网络中实施802.1x认证,并根据802.1X认证的结果为用户动态分配VLAN,然后在网络核心为每个vlan设定访问策略来实现安全管理策略。但是由于需要在用户终端上预先安装和配置802.1X客户端,并且需要在每台边缘交换机上都要启用802.1X并配置大量的用户VLAN,因此这种通过动态VLAN划分来实施安全策略的方式仍然是一件相当复杂的事情。与有线网络的情形相似,无线网络在实施用户安全策略时也面临着同样的难题。更有甚者是,与有线网络不同,由于无线网络的用户通常具有更大的流动性,对于某些类型的用户采用802.1X的方式进行用户认证显然并不可行(如外来访客),因此大多数企业无线网络都会提供WebPortal的方式对用户进行认证。这种认证方式的一个重要特点就是认证发生在用户接入无线网络之后,也就是说在身份认证发生时,这个无线用户已经被分配到某个特定的VLAN,并获得了相应的IP地址,这时就再也无法通过改变该用户VLAN的方式来实施用户安全策略了。ARUBA无线网络安全体系架构提供了一种基于用户身份角色来实施用户安全策略管理的方法,能够理想地解决上述难题。ARUBA在无线控制器上集成了经过ICSA(国际计算机安全联盟)认证的用户状态防火墙,这个用户状态防火墙是以用户,而不仅仅是 IP地址为验证方法的,从而可以基于每个无线网络用户的身份角色定制与其他用户完全不同的安全策略、带宽策略及QoS策略,实现完全以用户为中心的、不依赖于网络参数(如VLAN、IP地址等)的用户安全策略管理。与其它无线网络设备只能检测无线层的网络攻击不同,ARUBA无线控制器内置的用户状态防火墙还能够在第一时间检测到恶意用户对网络发起的ICMP、TCP Sync、IP Session、IP Spoofing、RST Relay、ARPSpoofing等多种基于TCP/IP层面的网络攻击,并能够自动将攻击者放入网络黑名单,从无线网络中隔离开来。此外,ARUBA无线状态防火墙还具有应用感知能力,能够支持FTP、SIP、RTP/RTCP和Cisco SCCP协议等应用层网关。4 无线接入的病毒检查与防护ARUBA无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准入检查;二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查,ARUBA的无线网络系统既可以提供自己的准入控制功能,又可以与第三方的准入控制系统兼容,并实现联动。当无线终端连接到ARUBA无线系统中,试图访问网络,在用户认证之后,首先通过从准入控制系统下载的或预装的准入控制客户端对无线终端的完整性进行检查,如操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况等。如果无线终端不能通过该完整性检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台修复服务器,通过安装系统补丁、防病毒软件和升级病毒定义码等操作对终端完整性进行修复,直到满足系统制定的安全策略以后,该无线终端才可以通过认证而进入网络。当无线终端通过了准入检查,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。ARUBA公司和可以和主流的网络准入控制厂商合作,在ARUBA无线控制器上可以设定策略,将某些用户,以及某些可能沾染病毒的数据,通过ARUBA无线控制器重定向到第三方的防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。并且,ARUBA无线控制器还可以提供API接口,允许第三方的防毒墙通过该接口与ARUBA无线控制器进行联动,修改染毒终端的网络访问权限,甚至将该终端加入网络黑名单,从无线网络中断开。
编辑本段六 支撑高质量的无线网络电话应用
随着越来越多的企业从单纯的无线数据应用转向VoWLAN以及基于无线的视频流应用,企业对WLAN服务质量(QoS)保证表现出越来越多的需求。ARUBA提供的话音业务模块(VSM)非常方便地部署和管理可靠的移动话音服务。通过独特的技术创新,ARUBA 话音业务模块(VSM)可以支持对语音流量的分类技术,可以提供多种先进无线区域网语音 (VoWLAN) 功能的关键。通过话音业务模块,ARUBA为用户带来业内最优质、最安全的,具有极佳扩展能力的 VoWLAN 方案。ARUBA移动多媒体控制器内置的WebUI还可以帮助网络管理员以图形化的方式对VoWLAN应用进行管理。1 带宽控制与服务质量保证QOSARUBA无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务,ARUBA系统亦可透过ARUBA无线控制器设置定义不同的QoS队列。例如无线语音的应用,SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务,目前,经过中国网通、中国赛尔公司对几家WLAN设备厂商的设备测试结果表明,ARUBA的无线网系统以其完善QoS特性在测试中表现最佳。ARUBA无线系统可容许用户设置专有的语音SSID,把单纯是数据传输的用户和Wi-Fi手机用户分开,但也可以在单一SSID内同时传送数据和话音,同时保证语音传输的质量。ARUBA无线控制器内的用户防火墙可以识别SIP/RTP等VoIP协议,并自动把话音数据包放在较高的优先队列,因此能够确保在数据和语音同时传送时,语音的质量不受影响。另在语音安全接入方面,ARUBA可防止没有无线语音权限的用户使用无线语音,以确保网络资源能有效运用。2 呼叫准入控制(CAC)及负载平衡ARUBA 无线解决方案架构的核心是备有整合式状态防火墙 (statefulfirewall) 的中央移动控制器,能够为VFC技术提供语音流量辨认、分类及排序功能。ARUBA无线控制器的话音业务模块(VSM)支持所有业界通用的语音信号协议,包括SessionInitiated Protocol (SIP)、SpectraLink Voice Priority(SVP)、Vocera及思科的Skinny Client Control Protocol(SCCP)。通讯流量一经辨认和分类,便可由ARUBA 的移动系统进行适当处理。通过对话音流量的智能识别,ARUBA无线控制器的话音业务模块(VSM)不断监测 WLAN内每段通话,并实时监控正进行的通话总数,同时ARUBA 无线控制器的 CAC功能可以限制个别存取点上同时进行的通话数量,一方面避免存取点负荷太大令通话质量下降,同时为数据和其它流量类别保留它们所需的最低限度频宽。当个别存取点所处理的通话数量到达上限时,蜂窝 (cell)内其它并非在处理通话的语音设备便会启动平衡负载功能,避免正在进行的通话受到干扰,同时处理新的通话数据传输。其它 WLAN技术要求客户端设备能够明白存取点所发放的负荷信息,或者采用一些只能配合个别品牌客户端的专有技术,因此灵活性和可靠性远不及 ARUBA的架构。ARUBA 的话音业务模块(VSM)和整合式状态防火墙(PEF)还可以通过 QoS系统的功能控制所有流量的优先次序。网络内的流量和优先次序可能并不相称,例如语音流量可能会被编上较低的优先次序,但多用途或数据客户端却可能会被编排在较高的优先次序;但VSM可以比较用户、设备和实际传送的流量,并通过QoS 系统功能来修正上述各种流量的优先次序。对于符合全新 IEEE 802.11e和 Wi-Fi 联合无线多媒体 (WMM) 标准的手机, ARUBA 的话音业务模块(VSM) 同样支持这些设备的语音数据输出,包括TSpec 信号,让 ARUBA能够于同一架构上支持未符合WMM规格的设备,以及其它具备 TSpec功能的 VoWLAN 客户。3 语音认知无线射频管理传统无线射频管理方案会扫描无线射频频谱以应付干扰,但这样的做法会因为无法分辨语音和数据流量而降低通话质量。ARUBA 的移动控制器能够探测到正在处理通话的存取点,并阻止它们扫描无线频谱上的其它频道,直至该存取点上的所有通话结束为止。语音认知无线射频管理技术可大幅改善通话质量,同时可将无线频谱管理功能自动化,VSM便是实现这些独特功能的关键。4 为VoWLAN提供安全保障许多语音设备并不支持企业级安全系统,例如 WPA2 等高阶认证和加密技术。IT管理人员的对策是避免采用VoWLAN,或者安装专属的语音 SSID 和 VLAN。然而,入侵者可以假扮成语音客户设备,然后绕过 VLAN 存取数据资源,危害企业安全。为了避免上述漏洞,ARUBA 的无线状态防火墙模块会检查流量的传输协议和目的地,然后比较该设备和用户类别的政策。该项技术可以设定为只容许语音流量通过,并阻挡所有非语音流量,有效防止黑客假冒语音客户收发数据。5 无缝的三层漫游ARUBA 无线网络架构能够让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游,而且不会丢失连接,也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。ARUBA的无缝切换性能极佳,保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游,而不会发生掉线,是语音业务的质量保证。
编辑本段七、Aruba中国
Aruba北京办事处北京市朝阳区朝外大街18号丰联广场A座2101邮编100020Aruba上海办事处上海市黄埔区延安东路222号外滩中心18楼 邮编200002Aruba广州办事处广州市天河区林和西路161号中泰国际广场A座23楼 邮编510620Aruba成都办事处成都市二环路西一段天乐路1号逸都花园天乐苑1-1-302 邮编: 610041
九乡新闻网