作者:
一. 珠海联合国际学院无线局域网系统建设需求
校园无线网络必须覆盖A、B、C、D、E、F楼
例如:
n 演讲厅
n 图书馆
n 中庭, 平台
n 中央广場
n 課室走廊
n 教学人员办公室走廊
n 实驗室走廊
n 学生活动室
n 会議室
n 4F 全层, 包括校長室, 副校長室, 辦公室, 会議室, 陽台
二. 无线局域网系统解决方案
2.1. 无线网络总体描述
上图为无线网络组网拓扑示意图,
Trapeze无线网络系统主要由以下三部分组成:
ü 无线交换机(Mobility Exchange System™)
ü 无线网络交换机管理系统(Ring Master™ Software System)
ü 无线接入点(Mobility Point™)
接入网络部分:无线覆盖区域物理分布在多栋不同建筑,共有5层办公区域,建筑间通过光纤连接,由于局域网内数十个项目组间数据需要保密,需要无线局域网提供基于ssid的不同Vlan进行逻辑隔离,无线网络作为企业局域网的又一种接入方式,属于边缘层网络,可以将AP就近接入楼层内接入层交换机上,采用支持PoE供电L2交换机对AP进行数据及电源供给,或直接连接到带有MP372无线交换机POE接口,进行数据及电源供给。
无线网控制、管理部分:在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的无线交换机对整个无线网路进行统一的管理。采用两台Trapeze MX-200R-CN型无线交换机对全网AP进行集中管理和控制,各覆盖区域内AP通过有线连接至中心交换机上,中心交换机直接连接至MX-200R-CN无线交换机,实现了无线集中控制。
无线网络管理部分:Ring Master™是Trapeze Network公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了Trapeze Network的路由器、以太网交换机设备组网,提供对 AP、交换机和控制器的全面控制以优化网络并增强安全性。
2.2. 无线网络组网方案
2.2.1. AP电源的供给
对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素。
为了解决这上述问题,我们在本次无线网络项目建设中采用Trapeze MP-372型AP,MP-372型AP支持IEEE802.3af标准的PoE供电,同时采用支持IEEE802.3af标准的PoE交换机作为AP接入交换机,通过网线对AP进行供电。
采用PoE对设备进行供电,可以使数据交换与电源管理在同一个设备当中完成,同一根双绞线电缆同时完成数据传输与电源输送,避免了复杂的电源布线,方便网络管理员集中管理控制终端设备的电源。交换机内置的冗余电源可以使无线局域网络的可靠性大大提高。
2.2.2. 分布式的AP部署
目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在企业进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,企业网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:
1. 不能实现全面的、统一的全网级的管理策略
2. 不便于无线网络业务的划分
3. 不能实现无线网用户的漫游
4. 对无线接入点无法做到集中管理、统一配置和固件升级为了解决传统有线与无线混合组网存在的上述问题,采用一种被称作“THIN AP”代替传统AP的方法来解决这一问题。本方案中采用的是Trapeze MP-372型AP,并配合Trapeze MX-200R-CN型无线交换机进行组网。下图为以Trapeze Mobility System组成的移动域示意图:
MP-372型AP本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的无线交换机MX-200R-CN的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机MX-200R-CN取得通信,随后由无线交换机MX-200R-CN将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置。在AP启动完毕后,AP与无线交换机MX-200R-CN之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入无线交换机MX-200R-CN,由于数据全部被封入TUNNEL,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。
采用“THIN AP”组网的优势在于:
1. AP与无线交换机之间建立跨越路由的TUNNEL,从而将无线业务与有线网络策略区分开
2. “THIN AP”运行所需的固件及配置在启动时由无线交换机动态下发,轻而易举的实现了传统“FAT AP”方案无法动态升级AP固件和配置的问题
由于采用THIN AP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。
2.2.3. 提供灵活的多业务支持(Multi-SSID)
早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如Cisco Aironet系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。
本方案提供的Trapeze系列无线系统,MP-372最多支持64个SSID,并且可以根据用户属性,动态的分配用户认证方式、加密方法、QoS及所属VLAN,实现了基于用户的动态业务策略。基于用户的动态业务策略能够实现全网范围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多、更为灵活。
2.3. AP的集中管理与自动配置
在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。由于传统AP是一种称作为“FAT AP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于企业网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。
而采用Trapeze Mobility System架构下的无线网络,AP是一种被称作“THIN AP”的结构,由于AP本身没有任何需要配置的参数,同时AP与中心无线交换机之间采用CAPWAP协议进行通信,AP的固件、配置信息均由中心的无线交换机MX-200R-CN提供,并且AP与Trapeze无线交换之间采用“心跳”机制定时保持通讯,为了解决传统“FAT AP”能够集中管理、配置、升级AP;AP与Trapeze无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给Trapeze RingMaster网管系统,RingMaster直观显示出AP的拓扑结构,以及部署位置及工作状态,并记入日志,以被日后查验。
2.4. 基于用户身份的管理
2.4.1. 用户认证及加密
众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。
Trapeze Mobility System支持国际最为先进的认证及加密技术:
l 多种认证方式:支持基于数字证书的强安全认证方式RSN(WPA2,IEEE802.11i)、WPA;同时也兼容一些使用较为广泛的WebPortal认证及MAC认证,以便于临时来访用户的接入
l 数据加密:
1. 多种加密方式:借助于 Trapeze MP-372 AP执行高级加密标准 (AES)、临时密钥交换协议 (TKIP) 以及有线对等加密 (WEP) 加密有助于保护所有的通信连接。
2. 每用户的加密分配:对每用户或每组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。
2.4.2. 基于策略的用户访问控制
Trapeze Mobility System不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
2.4.3. 用户漫游及QoS保障
由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300-500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
而在本方案中,我们采用Trapeze Mobility System方案,该方案也无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。另外,Trapeze Mobility System还率先支持WMM(Wireless Media-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。
2.4.4. 用户动态负载均衡
传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。
Trapeze MX-200R-CN无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。
例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
2.5. 无线信号监控
2.5.1. 无线信号自动优化与调整
传统“FAT AP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。
采用Trapeze Mobility System解决方案,支持RF Auto-Tune技术。MP-372AP可以监听、扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的Trapeze MX-200R-CN无线交换机上,MX-200R-CN根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,MX-200R-CN可以动态改变该区域内相关AP的发射功率;当AP报告该区域内有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠。
Trapeze Mobility System的RF Auto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。
2.5.2. 非法信号的侦测、告警
感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的网络性能与安全非常必要。
采用Trapeze MP-372企业级AP组合,能够支持两种模式来对非法电磁信号进行监测:一种方式为MP-372AP在做Data AP的同时,每隔一段时间主动进行ActiveScan;另一种方式为MP-372本身支持双频信号(IEEE802.11a/b/g),弱平时只使用IEEE802.11b/g一个频段,则可以将802.11a频段用于监听,(称之为SentryScan)与前一种方式不同的是,此种方式为连续监控。
Trapeze MP-372型AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址, Channel,类型及SSID等,自动识别并警告未授权的AP或Ad-Hoc网络,以避免潜在的干扰或与无线入侵者。另外,对于某些重点区域,还可以部署专用 AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。
2.5.3. 非法信号的主动反制
当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的Attack list中,当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出IEEE802.11 disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全。
2.6.无线网络可扩展性
采用基于Trapeze Mobility System系统架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制,还保持着良好的网络可扩展性。Trapeze Mobility System采用了THIN AP+无线交换机架构,AP与无线交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
2.7. GuestPass
Guestpass功能模块使非IT人员可以完成配置临时用户帐户访客进入公司网络的申请,网络管理员通过一些简单培训使其它网络管理员或非IT人员也可以作为员工管理员。
访客首先连接到Guest SSID后,使用GuestPass建立的客户名、密码很快并很轻易通过MX交换机认证后实现internet连接服务等。
Guestpass可以根据具体需要定制访客用户名、密码、用户组及访客访问时间等。
2.8. 目标区域无线覆盖示意图
联合国际学院公司需要覆盖区域为:
A,B, C, D, E & F
For Building A
1st Floor – 图书館入口、服务台、新书处理区、医疗室、电子阅览室、查詢区
2nd Floor – 討論室、党案室、辦公室
For Building B
1st Floor – 3 x 演讲厅, 1 x 医療室, 入口大堂, 电房
2nd Floor – 3 x 演讲厅
3rd Floor – 3 x 演讲厅, 弱电房
4th Floor – 34 x 教学人员办公室, 文件打印影印室,
For Building C
2nd Floor – 7 x 課室, 1 x 机房
3rd Floor – 7 x課室, 1x 臨時物业处辦公室
4th Floor – 3 x 电腦房, 4 x 課室
5th Floor – 43 x 教学人员办公室
In between Block B & C, there are 2 x 中庭, and 1 x 二层平台
For Building D
2nd Floor – 地下汽車庫
3rd Floor – 6 x 課室, 弱电房, 强电房
4th Floor – 8 x課室, 弱电房, 强电房
5th Floor – 6 x 实驗室, 1 x 預备室, 1 x 科研人員辦公室, 弱电房, 强电房
For Building E
1ST Floor – 6 x 特別用途室, 1 x 儲存间
2nd Floor – 6 x課室, 6 x 学生活动室
3rd Floor – 9 x 課室, 1 x 展覽厅, 弱电房, 强电房
4th Floor – 3 x教学人员办公室(大), 6 x教学人员办公室(小)
5th Floor – 3 x 課室
For Building F
1st Floor – 新闻广播室, 电視制作室
2nd Floor – 3 x电腦室 (小); 1 x电腦室 (大); 弱电房, 强电房
3rd Floor – 3 x課室; 18 x 辦公室; 101 x辦公台, 1 x 洽談室, 1 x 会議室, 1 x 文件打印影印室, 1 x 行政接待处, 1 x 教务接待处, 1 x 茶水间, 弱电房, 强电房
4th Floor – 2 x 大会議室, 1 x 多功能房, 1 x 会議室, 7 x辦公室, 1 x 副校長室, 1 x 校長室, 强电房
In between Block C, D, E, & F, there is a 中央广場
2.8.1. 无线覆盖示意图
联合国际学院园区一层MP分布图,共8个MP372和4个outdoor
联合国际学院园区二层MP分布图,共17个MP372和6个outdoor
联合国际学院园区三层MP分布图,共17个MP372
联合国际学院园区四层MP分布图,共16个MP372
联合国际学院园区五层MP分布图,共8个MP372
2.8.2. 无线工程产品及报价
2.8.3. 无线接入点安装说明
美国Trapeze Network公司提供的无线接入点设备MP372配套完整的安装附件,适合多种条件安装需要。下面通过图示的简要说明设备固定方法。
三. 方案优势
1. 基于用户的访问控制策略使得用户的权限被映射在整个无线移动域中,而不受用户漫游到其他区域而失效。
2. RingMaster网管系统,直观显示出AP的拓扑结构,以及部署位置及工作状态,并记入日志,以被日后查验。
3. GuestPass使非IT人员可以完成配置临时用户帐户访客进入公司网络的申请,网络管理员通过一些简单培训使其它网络管理员或非IT人员也可以作为员工管理员。
4. 方案支持多种迄今为止最为先进的用户身份认证及安全加密策略,能够有效的防止黑客入侵对网络及用户造成的危害。
5. 具备完善的无线信号监控与入侵检测功能,能够自动对整个网络进行优化以及防止非法信号的干扰及入侵,保护网络的安全。
6. AP部署不受网络拓扑及VLAN子网划分的影响,无需改动企业现有网络拓扑结构。
7. AP支持多大64个SSID,可以集成更多的业务策略,并保持一定的扩展性。
8. 系统能够自动对所有AP进行自动固件升级、统一配置及统一优化,并可以对AP进行监控、报警及故障定位,简化了管理和断网维护时间,保障网络的健康稳定运行。
9. 拓扑无关的组网方案,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
附件:主要产品介绍
3.1. Trapeze Network Mobility Exchange System
Trapeze Network公司的无线网络交换机(Mobility Exchange System™)是无线网络领域发展的必然选择,随着用户的无线网络规模越来越大,给AP管理、无线用户的控制、无线业务的连续运营都带来的一定的问题,Trapeze Network公司鉴于此推出性价比最优的无线网络交换机系统。
无线环境的集中式可视化、管理和控制的功能将高安全性、多局域网的无线网络部署工作简化;通过Ring Master™无线系统软件管理无线网络交换机和交换机来控制 MP 配置并优化射频 (RF) 覆盖和性能,同时实现集群管理,从而节省单独配置每个设备的耗时。
增强的无缝安全性和移动性控制:由于无线客户端是移动的,因此,Trapeze Network 使用创新的基于身份的组网来提供网络服务。这种方法基于用户身份而非端口或设备。群组与移动域(Mobility Domain™)中的多个交换机共享用户数据库,以便跨越整个网络(包括远端局)实现移动性和安全性。当用户漫游网络时,通过这种无线网络范围内的信息交换,以实现在网络范围内执行一致的访问和安全策略。用户位置、安全性以及访问详细信息迅速地在交换机或控制器之间传输,而不再依靠连接,这可在保持无缝安全性和会话完整性的情况下快速漫游,而无需再次认证,在保持会话完整性的情况下快速漫游还可与 Wi-Fi 语音电话进行交互。
无线交换解决方案根据Trapeze Network 的加强无线安全性功能建立,以增强对网络的保护。Trapeze Network 的现有无线安全性基础包括与 WPA 和 802.1X 认证结合的 AES、TKIP 以及 WEP 加密,而现在的方案通过集中式安全管理显著增强了无线安全性。在移动域(Mobility Domain™)内进行基于用户的信息交换增加了一个全新的控制级别,用于控制用户和组对网络资源的访问权。此外,当用户漫游时,在无线交换机之间共享用户特定的安全策略将能够在整个无线网络范围内一致地控制用户属性和组属性。
可以在任何现有的 2 层或 3 层 LAN 拓扑上部署Trapeze Network 的通用解决方案,而无需重新配置主干或硬件。无线网络交换机可以位于网络中的任何位置(通过 2 层/3 层设备隔开),并可作为集成的基础设施执行操作,从而易于按照业务需求的指示进行调整或更改。
Trapeze Mobility Exchange System---MX200R
MX200R是美国Trapeze Network公司 Mobility Exchange System系统中的一员。MX200R提供两个GigE (SFP) 千兆光模接口和一个10/100Base-T mgmt管理接口,集成双PSU电源可实现电源热备份。其初始配置包含 32 台 MP(Mobility Point™)许可证,并且可以在每次递增 32管理许可证的基础上进行扩展,从而具有“按需购买,渐进扩展”的灵活性,最多支持 128 个 许可证。多个MX200R可以在移动域(Mobility Domain™)内搭配并配合使用,以管理和控制数以千计的 MP,从而获得无可比拟的可扩展性。目前,Trapeze Network 无线网络交换机已经支持未来的无线网络业务应用,例如无线 IP 电话 (VoIP),并且可下载的升级软件将使现有网络与正在开发的标准版本保持同步。
Ø移动域(Mobility Domain™):当用户漫游时这些组共享用户信息和授权,从而跨越整个无线网络支持移动性并增强安全性。
Ø拓扑无关性:即使是在分布式网络中,无线网络交换机以及 MP也可作为也作为一个整体结构(通过 2 /3 层设备隔开)运行,以便于按需扩展或修改无线局域网。
Ø快速漫游:用户信息和授权在无线网络移动域(Mobility Domain)内快速交互,满足用户在保持会话完整性及可靠移动性的前提下实现无缝漫游,从而足以支持语音流量。
Ø每个用户多个队列:MP上基于分类的流量队列,确保语音和其他实时应用程序通过 无线网络 收到其所需的服务等级和服务质量。
Ø灵活的网络扩展:无线网络交换机MX200R初始配置支持32个MP,单台MX200R可通过购买许可证的方式扩展到最多支持192个MP。
Ø支持POE:无线网络交换机支持POE功能,从而使MP的安装部署非常灵活、方便。
Ø加密:
l多种加密方式:借助于 MP 执行高级加密标准 (AES)、临时密钥交换协议 (TKIP) 以及有线对等加密 (WEP) 加密有助于保护所有的通信连接。
l基于用户的安全策略:对单个用户或组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。
Ø本地或 RADIUS 服务器 802.1X认证:确保只有授权的用户才可访问网络,集中了所有网络用户的认证控制和管理。
ØVirtual Private Group™ 支持:在整个无线网络上分配可控制单个用户或组的网络访问权策略以进行安全无缝漫游,并保持用户数据流的独立性和安全性。
ØMobility Profile™ :指定用户或组可以使用的 MP 或 VLAN 认证端口,从而允许根据由 AAA 服务器返回的属性动态地应用访问权限。
Ø本地集成AAA减轻RADIUS服务器负担:MX200R支持本地密钥生成和认证,减少无线网络中AAA数据流量,从而减轻中央RADIUS服务器的负担,提高其容量和效率。
Ø用户、MAC 以及 VLAN组:允许将 AAA 策略分配给用户、子网或设备组,以便进行方便、有效、高性价比的无线网络 管理。
Ø联合认证:使用 802.1X 设备认证和 802.1X 用户认证,确保只有受信用户和客户端设备才可访问网络。
Ø定制网络访问时间:可以设定用户在预定时间单位(小时、日、周)访问网络资源。
Ø位置策略增强:可以设定基于用户位置的访问策略。
ØAP入侵检测:预设定的或按需的射频扫描可识别未授权的 AP 和 Ad-Hoc 网络,并向管理员发出警报。专用 AP 可以不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。
Ø双频射频扫描:当无线网络停止和运行时,单个 AP 射频可以扫描 802.11a 和 802.11b/g 频段以及随路信道。
Ø实时射频监视和控制:射频扫描可测量信号强度和使用量;软件工具可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。
Ø基于身份的组网:提供基于用户身份的所有服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
Ø无线网络交换机管理:无线网络交换机管理系统 (Ring Master™) 可以集中、有效、低成本地计划、部署、监视和管理无线网络网络。
Ø企业级别的弹性功能:与位置无关的自恢复拓扑、每 VLAN 生成树协议 (PVST+) 以及冗余 MP 配置增加了网络弹性,可用于要求严格的网络。
ØRADIUS 服务器负载分担:跨多个 AAA 服务器的分布式用户认证处理增加了网络弹性;可以设置服务器来跟踪指定的用户会话和计费信息,以便解决拖欠收费问题。
Ø电源热备份:MX200R自带双电源,可实现电源的热备份。
Ø两个光接口:MX200R提供两个光(SFP模块)方便到千兆以太骨干网和服务器的连接。
硬 件
Ø 可用端口:
- 两个Gigabit Ethernet Small Form-Factor Pluggable (SFP) 端口,可选配 1000BASE-SX /1000BASE-LX /1000BASE-T SFP模块;串行控制台端口;
Ø MP(Mobility Point™)支持:
无线网络交换机 MX200R:每个控制器出厂时可最多支持 32台 MP,具体取决于无线安装的容量和覆盖范围要求。通过购买单独的 32-MP 升级许可证可增加支持的 MP 数;购买3个 32-MP 许可证可使 MX200R 支持的 MP 总数达 128 台;
Ø 电源:
工作电压: 100-240 VAC, 50-60 Hz,50 watts power supply (x 2 in MX-200R)
工作电流: 1.0 Arms at 120 Vrms, 0.5 Arms at 230 Vrms
集成双电源,可同时使用已达到备份效果
Ø LED:
端口状态和流量(以太网和 GBIC)、管理、电源;
Ø 尺寸和重量:
物理尺寸(W x D x H): 44.2 cm x 30.7 cm x 4.3 cm
Ø 环境范围:
运行温度:-10 至 50 °C;
非运行温度:-20 至 70 °C;
湿度:10 至 95%(不结露)。
Ø 国际认证:
安全: UL 60950 2000 +ZB & ZC 认证;EN60950 1999; CSA 22.2 60950 第3版, 1995; UL 60950 第3版;NOM-119 SCFI; AS/NZS 60950 2000;
EMC/EMI: EN55024 1998, EN 61000 (4-2 到 4-6, 以及4-11), EN 61000-3-2 1195+A14, ICES-003 Class A,FCC Part 15 Class A, EN55022 1998 Class A,VCCI Class A, CISPR 22 Class A, 韩国EMI Class A。
软 件
Ø 管理:
通过访问本地控制台,或者通过 SSL 或 HTTPS 远端访问来进行Web管理;通过本地控制台,或者远程通过 SSH v2 或 Telnet 访问命令行接口;SNMP MIB II;Ring Master™;
Ø 安全和 AAA:
RFC 2246 — 传输层安全 (TLS)
RFC 2284 — EAP
RFC 2315 — PKCS #7:加密消息语法版本 1.5
RFC 2548 — Microsoft RADIUS VSA
RFC 2716 — PPP EAP-TLS 认证协议
RFC 2759 — Microsoft PPP CHAP 扩展版本 2
RFC 2865 — RADIUS 认证
RFC 2866 — RADIUS 计费
RFC 2869 — RADIUS 扩展
RFC 2986 — PKCS #10:认证请求语法规格版本 1.7
RFC 3580 — IEEE 802.1X RADIUS 指导书
Ø IEEE 安全标准:
IEEE 标准 802.1X-2001(基于端口的网络接入控制)
IEEE 标准 802.11i(用于 802.11 的增强安全性)
IEEE 标准 802.11h
IEEE 标准 802.11d
Ø 加密:
AES (CCMP):128 位 (FIPS-197)
WEP 和 TKIP:RC4 40 位和 104 位
SSL 和 TLS:RC4 128 位以及 RSA 1024 位和 2048 位
Ø 通用组网:
RFC 1122 主机要求
RFC 1393 Traceroute
RFC 1519 CIDR
RFC 1591 DNS(客户端)
RFC 1769 SNTP
RFC 768 UDP
RFC 783 TFTP
RFC 791 IP
RFC 792 ICMP
RFC 793 TCP
RFC 826 ARP
IEEE 802.1D 生成树
IEEE 802.1Q VLAN 标记
IEEE 802.3ad(静态配置)
Ø 管理和控制:
RFC 854 Telnet(服务器和客户端)SSHv2 — Secure Shell V2
RFC 1157 SNMP v1/v2
RFC 1213 MIB-II
RFC 1866 HTML
RFC 1907 SNMPv2
RFC 2068 HTTP
RFC 3164 Syslog
CAPWAP
Ø IP 组播:
RFC 1112 IGMP v1
RFC 2236 IGMP v2
Ø 服务质量:
RFC 2472 DiffServ 优先级
RFC 2597 DiffServ 保证转发
RFC 2598 DiffServ 加速转发
3.2. Trapeze Network Ring Master Software System
Ring Master™是Trapeze Network公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了Trapeze Network的路由器、以太网交换机设备组网,提供对 AP、交换机和控制器的全面控制以优化网络并增强安全性。
产品特点
允许集中查看、管理和控制无线环境
全面的无线网络管理软件包含了成功规划、配置、部署及管理企业级无线局域网所需的所有特性。Trapeze Network无线网络交换机管理系统与Trapeze Network无线网络交换机和交换机协同工作以集中管理和控制那些需要复杂部署的网络的Trapeze Network管理型接入点 (Mobility Point™)。
提供定制的、自动无线网络规划和预配置
使用Trapeze Network无线网络交换机管理系统可以自动且及其简便地进行无线局域网部署前的规划和配置。该强大应用程序的规划部分使用户能够导入各种文件格式的建筑平面图,并且使用内置的Virtual Site SurveyTM 自动配置站点的容量和覆盖范围,自动考虑各种常见的射频障碍物(门、墙壁、天花板、第三方接入点及加固的混凝土墙壁等建筑障碍物)。此外,还可以创建自定义的射频衰减,并将其添加到常见建筑对象扩展库中。
无线局域网的推荐配置是根据地点的专门规划结果自动确定的。系统自动将 MP 位置放入站点平面图中,以确定和优化 MP 功率电平并且自动分配射频信道。然后,可以打印出一份工作单,准确说明安装Trapeze Network移动系统设备的位置。
简化对无线局域网移动系统的配置、验证和部署
无线网络交换机管理系统不仅可以规划安装过程,还可以彻底验证和部署。用户可以快速复制和验证配置模板,只需单击即可建立网络,同时通过HTTPS 将配置发送到多台无线网络交换机、控制器和 MP 以建立无线局域网移动系统。
此外,该系统还可用于跟踪配置变化、发起全系统范围的升级、管理软件,并从中央管理位置将以前的所有版本存档。这样可以大大降低与人工部署无线局域网相关的频繁错误和低效率,从而节约了时间和金钱。
提供对射频环境的全面控制
允许对整个无线局域网进行简易而精确的操作。射频扫描可以按计划进行、连续进行或按需进行,使用户能够了解无线空间内发生的所有操作。该射频监视探测并定位非法接入点、Ad-Hoc网络或其他射频干扰。此外,该软件还可以自动调整 MP 功率以消除覆盖区域之间缝隙并优化射频性能。无线网络交换机管理系统提供对监视和记录实时数据的控制,允许精确地对无线局域网进行动态调整和平衡。
提供增强的安全性和无缝漫游
Trapeze Network无线网络交换机管理系统构建在Trapeze Network强大的 AES、TKIP 和 WEP 加密无线安全特性上,并结合了 WPA 和 802.1X 验证,因此可以在每个用户或每组用户的基础上全面管理、保护和跟踪无线网络上的所有业务。通过这项基于身份的组网功能,经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性,实现了无缝的用户移动性和自由性,从而可以进行安全连接和漫游。
对采集的用户和网络统计数据提供了增强能力,它可以通过监视连接的对象、对象所处的位置、原来的位置以及曾经使用过的业务来评估一个移动域(Mobility Domain™),始终确保无线局域网的安全。
免去耗时的工程勘探:根据用户特定的建筑布局,软件会给出达到最优网络性能的MP数量和布置。
个性化满足建筑需求:采用流行的3D图形导入客户的建筑蓝图。
自动覆盖和容量规划:使用优化应用程序和硬件性能的集成算法,避免在部署前的覆盖和容量规划中进行推测。
确定设备布局效果:对备用方案进行虚拟测试而不必人工移动设备。
提供精确的布局图:将设计方案转换成精确的站点平面图和工作单,大大减少了安装出错的可能。
易于配置、验证和部署:自动创建 MP 配置文件,将设计方案转换成MP的配置数据,其中包括各个射频功率电平和无线信道分配。
集中配置管理:支持对正确的历史配置文件进行归档备份。提供只需单击即可部署的集中升级功能,能够按需验证并同步配置。允许对设备配置进行回滚操作。
支持灵活的、可扩展的体系结构:根据需要可轻松地利用分布式配置机制增加其他 MP、控制器或交换机。
全面控制射频环境:连续、按计划或按需进行射频扫描根据需要运行扫描以探测和定位非法接入 AP、用户和Ad-Hoc网络。利用集成的映射工具验证当前射频范围和拓扑结构,按需调整各个 MP 增益。
用户定位和管理:定位用户,查询漫游记录和控制每个用户的带宽。
Ø 全面的系统统计数据:提供包括错误和流量的以太网统计数据,其中包括包的大小、无线统计数据以及用户会话统计数据,它们保存为用户在多个 MP 上的漫游记录,并且都具有易查看的表格和图表,以便快速识别数据走向。
控制器、交换机和 MP 的故障和事件查看器:强大灵活的过滤可以深入到具体事件和事件相关性评估。
配置变更的自动告警:向导界面提示了引起冲突的变更的解决方案。
随地进行安全的管理:可以随地对无线网络网络进行安全的管理。可以利用基于SSL或HTTPS方式的WEB浏览器,或基于SSHv2或TELNET的命令行进行安全管理。
Ø 集中策略管理:创建允许或拒绝对网络中不同部分进行访问的用户或组策略,以便安全无缝地漫游。有助于确保只有授权的用户才可访问网络。
Ring Master™客户端硬件推荐配置:
Ring Master™客户器端在Windows 和Linux 系统环境下运行:
Processor:
- Minimum: Intel Pentium 4, 2 GHz or equivalent
- Recommended: Intel Pentium 4, 3 GHz or equivalent
RAM:
- Minimum: 512 MB
- Recommended: 1GB
Hard Drive Space:
- Minimum: 100 MB
- Recommended: 200 MB
Monitor Resolution:
- Minimum: 1024 x 768 pixels, 24-bit color
- Recommended: 1600 x 1200 pixels, 32-bit color
Ring Master™客户端在Sun Solaris Systems 系统环境下运行:
Processor:
- Minimum: Sun UltraSPARC 10 or equivalent
- Recommended: Sun Blade 150 or equivalent
RAM:
- Minimum: 1 GB
- Recommended: 2GB
Hard Drive Space:
- Minimum: 100 MB
- Recommended: 200 MB
Monitor Resolution:
- Minimum: 1024 x 768 pixels, 24-bit color
- Recommended: 1600 x 1200 pixels, 32-bit color
Ring Master™ 服务器端硬件推荐配置:
Ring Master™服务器端在Windows 和Linux 系统环境下运行:
Processor:
- Minimum: Intel Pentium 4, 2.4 GHz or equivalent
- Recommended: Intel Pentium 4, 3.6 GHz or equivalent
RAM:
- Minimum: 1 GB
- Recommended: 2GB
Hard Drive Space:
- Minimum: 1 GB
- Recommended: 2 GB
Monitor Resolution:
- Minimum: 1024 x 768 pixels, 24-bit color
- Recommended: 1600 x 1200 pixels, 32-bit color
Ring Master™在Sun Solaris Systems 系统环境下运行:
Processor:
- Minimum: Sun UltraSPARC 10 or equivalent
- Recommended: Sun UltraSPARC III or equivalent
RAM:
- Minimum: 1 GB
- Recommended: 2 GB
Hard Drive Space:
- Minimum: 100 MB
- Recommended: 200 MB
Monitor Resolution:
- Minimum: 1024 x 768 pixels, 24-bit color
- Recommended: 1600 x 1200 pixels, 24-bit color
3.3. Trapeze Network Mobility Point™ ---MP-372
信息产业部无委会型号核准代码:CMII ID: 2005AJ1457
Trapeze Network无线局域网管理型接入点(Mobility Point™) MP-372加强了无线安全性,向无线网络 用户提供安全的无线局域网连接。MP-372为保证数据安全对传输进行加密并且响应来自无线网络交换机MX400R 的命令,同时完全受控于无线网络交换机。MP-372实现对敏感数据的非本地存储,消除了AP遭受黑客攻击或盗窃时导致安全信息泄漏的弱点。
MP-372利用基于标准的无线网络交换机MX400R 集中进行简单的即插即用安装。配置信息保存在无线网络交换机中,即使更换接入设备,配置信息可以自动下发,无需重新配置。
MP-372通过优化射频增益、分配无线信道,以达到负载平衡,甚至按需或按时扫描射频环境,无线网络交换机的自动网络控制功能改善了AP 的覆盖面和服务。
MP-372提供了本地流量加密,跨网络的分布式加密处理而不是依靠单一中央设备。持续的、按需的或按时的射频扫描不仅可以用于定位用户而且能够识别和隔离潜在有害的非法接入点(AP)或其他侵入者,以保证网络的安全性。无线网络交换机和控制器与后端授权/认证/计费 (AAA) 服务器集成,控制用户和组跨越无线局域网的访问策略,当用户漫游网络时提供安全的业务连续性、完整性。
MP-372可同时支持11g和11a用户,管理员可以混合配置无线频段以满足不同的覆盖和带宽需求。
MP-372提供支持POE的双以太网口,两个端口在数据或电源中断的情况下能够互相自动热备份,增强了在复杂环境的冗余能力和网络正常运行时间。
双模高速无线性能:支持最高速率为54Mbps的802.11a和802.11b/g同时使用。
POE供电:双以太网口都支持通过 802.3af 兼容的PoE设备供电。
加密:提供了强大的数据安全保证,支持WEP、TKIP 和 AES加密。
支持虚拟专用组(Virtual Private Group):管理人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离。
射频扫描:能发现非法接入点、Ad-Hoc 用户或其它射频干扰源,并上报相应的告警。
防盗防入侵:敏感配置信息不在本地保存,即使设备被入侵被盗也不会丢失安全信息。
零配置安装:接入点无需准备预设置,更换的 AP 从无线网络交换机或控制器继承配置信息。
支持灵活的拓扑结构:AP允许多种部署,从而能够直接或间接连接到管理它的无线网络交换机或控制器。
远程管理:信道编号、功率等级、SSID 和安全设置都由无线网络交换机处理,增强了安全性。。
自动设置发射功率和分配射频信道:自动设置发射功率和分配射频信道,用以优化射频单元大小和满足各国对射频信道的要求。
POE和数据端口冗余:任一端口的以太网数据连接失败或者POE电源丢失,都可以自动切换到另一端口,保证正常的网络运行。
产品属性
|
企业级无线局域网接入点
|
系统要求
|
无线网络交换机 MX400R、MX400或MX400、MX216、MX-200R-CN、MX-2
无线网络交换机管理系统 Ring Master™
|
网络端口
|
10BASE-T/100BASE-TX端口:具有自适应功能,兼容802.3af PoE供电。
|
外部接口
|
RJ-45、802.11a、802.11b、802.11g。
|
数据速率
|
802.11g/a: 54、48、36、24、18、12、9、6 Mbps,自动调整;
802.11b: 11、9、5.5、2、1 Mbps,自动调整。
|
频段
|
802.11a:5 GHz;
802.11b/g:2.4 GHz。
|
调制技术
|
DSSS(直接序列扩频);
OFDM(正交频分复用)。
|
媒体访问协议
|
CSMA/CA
|
天线
|
两个内置2.4-2.48/5.15-5.85 GHz双频段高增益全向天线;可选配外置天线。
|
发射功率设置
|
802.11a:
6 Mbps:≥+20 dBm
9 Mbps:≥+20 dBm
12 Mbps:≥+20 dBm
18 Mbps:≥+20 dBm
24 Mbps:≥+19 dBm
36 Mbps:≥+19 dBm
48 Mbps:≥+16 dBm
54 Mbps:≥+16 dBm
802.11b/g:
1-11 Mbps: ≥+20 dBm
12 Mbps: ≥+20 dBm
18 Mbps: ≥+20 dBm
24 Mbps: ≥+20 dBm
36 Mbps: ≥+19 dBm
48 Mbps: ≥+17 dBm
54 Mbps: ≥+17 dBm
|
接收灵敏度
|
802.11a:
6 Mbps:≤-86dBm
9 Mbps:≤-85 dBm
12 Mbps:≤-84 dBm
18 Mbps:≤-82 dBm
24 Mbps:≤-78 dBm
36 Mbps:≤-75 dBm
48 Mbps:≤-69 dBm
54 Mbps:≤-67 dBm
802.11b
2 Mbps -93 dBm
5.5 Mbps -91 dBm
11 Mbps -89 dBm
802.11g
6 Mbps -91 dBm
9 Mbps -90 dBm
12 Mbps -89 dBm
18 Mbps -87 dBm
24 Mbps -84 dBm
36 Mbps -81 dBm
48 Mbps -77 dBm
54 Mbps -75 dBm
|
功耗
|
最大:11a或11g工作模式:10 W
11a+b/g工作模式:12.95W
|
安全性
|
40/104 位 WEP、WPA TKIP 和 WPA2 128 位 AES 加密;支持多达64个SSID;支持Kensington安全锁;
无线网络交换机支持IEEE 802.1X 网络登录或 802.1X RADIUS 认证、访问控制列表 (ACL)、VLAN 和 VPN。
|
管理
|
通过本地控制台或通过 SSL 或 HTTPS集中管理 Web 浏览器;
通过本地控制台或通过 SSH v2 或 Telnet 远程管理的命令行界面
|
指示灯
|
Radio1,Radio2,Health
|
遵循标准
|
IEEE 802.11a、IEEE 802.11b、IEEE 802.11g、IEEE 802.3、 IEEE 802.3af、IEEE 802.1X、IEEE 802.11i、WEP、WPA、AES、Wi-Fi认证。
|
国际认证
|
安全性:UL 60950 2000 +ZB &ZC 认证、 EN60950 1999、 CSA 22.2 60950 第3 版; NOM-119 SCFI;AS/NZS 60950 2000;
EMC/EMI:EN55022 Class A、FCC 15 Subpart B Class A、EN 60111 3-2、ICES-003 Class A、VCCI Class A、CNS 13438 Class A、EN55024。
|
尺寸和重量
|
直径:16.8厘米;厚度:4.7 厘米;
重量:381 克。
|
环境要求
|
运行温度:-10 至 40°C ;
非运行温度:-40 至 80°C ;
湿度:5 至 95% 不结露。
|
