Aruba

Aruba

Aruba成立於2002年,總部位於加州的桑尼維爾市,業務遍及美洲、歐洲、中東、非洲及亞太地區。Aruba是納斯達克上市公司並且是Russell 2000®指數公司。

基本信息

公司簡介

Aruba成立於2002年,總部位於加州的桑尼維爾市,業務遍及美洲、歐洲、中東、非洲及亞太地區。Aruba是納斯達克上市公司並且是Russell 2000®指數公司。

Aruba Aruba

Aruba(安移通網路科技(中國)有限公司) 作為全球分散式企業網路的領導者,屢獲殊榮的校園、分支機構/遠程工作人員產品組合與移動解決方案使用戶無論使用何種設備,身處何地或何種網路,都能簡化運營並安全訪問所有公司套用和服務,顯著提高了效率並降低了資本和運營成本。

公司名稱:英文名稱:Aruba Networks 總部地點:加州的桑尼維爾市 成立時間:2002年

公司歷史

ARUBA公司是一家總部設在美國矽谷的新興高科技公司,公司僅用了4年的時間已經成長為全球領先的企業無線網路產品製造商,並且是目前全球專著於企業無線網路產品的研發與設計的上市供應商。公司已於2007年3月成功在美國NASDQ上市,股票代碼:ARUN。

ARUBA公司是全球業界首先提出了分散式無線網路架構,並提出“以用戶為中心”無線網路建設概念。 ARUBA已經在美國、歐洲、中東和亞太地區建有分支機構,員工更是遍布全球各地。

ARUBA非常重視中國市場,在北京、上海、廣州、成都、南京分別開設了辦事機構,並在北京設立了7*24小時的技術支援中心,全力拓展中國市場。

Aruba Networks基於對用戶需求的了解、準確把握市場發展趨勢,提供高業 務效率的創新技術,成為面向企業行動網路,提供下一代網路接入解決方案的領先廠商。

Aruba公司主營業務

Aruba公司移動企業網路(MOVE)架構幫助企業整合無線網路基礎設施為適用於出差在外的商務人士、遠程辦公人員、企業總部員工以及訪客的無縫的統一的接入網路。

Aruba將訪問許可權與用戶的身份相聯繫,這意味著企業內基於不同身份的員工可以獲得一致的、安全的網路資源——而不管他們在哪裡,使用什麼類型的設備或通過什麼方式接入網路。

這降低了獨立的有線和無線接入網路的管理策略成本以及複雜度。實際上,通過Aruba移動企業網路,將減少有線連線埠需求,從而減少設備機櫃中有線設備的數量——有效地縮減用戶接入基礎設施的規模。

Aruba在中國

作為全球分散式無線寬頻網路的技術和市場領導者,Aruba Networks於2006年進入中國,在無線城市、電信運營商、金融、保險、酒店、校園、醫院、油田、礦山等市場上取得了驕人成績,客戶數量和年收入每年都保持著兩位數的增長。

作為WAPI產業聯盟和國家寬頻無線IP標準工作組的成員和積極分子,Aruba不僅致力於中國自有品牌技術的不斷創新,同時也不斷加大在中國的投入。Aruba在中國的獨資公司——安移通網路科技(中國)有限公司正式成立,擁有北京、上海、廣州、成都四個辦事處及Aruba全球三大研發中心之一的北京研發和服務中心。

安移通科技(中國)有限公司總裁徐涌: “我們以用戶為中心,與合作夥伴共同打造雙贏的市場模式,全力為下一代無線寬頻接入技術早日服務於中國用戶而努力。我們堅信,隨著中國信息化進程的加速提升,以技術及創新為核心的安移通公司/Aruba Networks將更好地為中國用戶提供服務和支持。”

領先技術

Aruba的特點

專為用戶移動性、移動終端和應用程式進行最佳化。基於角色而不是所處位置、使用的設備或連線方式,使用戶安全訪問企業網路資源。

高安全性。基於身份的安全性向用戶分配接入策略,並跨越有線和無線網路執行這些策略——無論何時何地接入網路。例如:Aruba公司推出的室內定位與行銷技術可以廣泛套用於零售商、體育場以及任何其他廠商的Wi-Fi網路中,有了Aruba Sensor,Aruba的Beacon技術只能在廠商自己的Wi-Fi網路上運行。

通過現有網路輕鬆部署。自適應802.11n無線區域網路對自身進行最佳化,以便確保用戶始終能夠得到關鍵業務信息。

易於管理和維護。提供端到端可視性和可控性,簡化多供應商、多站點網路上用戶的管理。

ARUBA的移動優勢產品有四大部件:

1,ARUBAOS軟體:為ARUBA無線網路提供智慧型

ArubaOS軟體功能強大、設計精密,可協調“移動邊緣”結構內的全部設備操作,實現多項高級功能,包括:不間斷移動功能、身份對應安全策略、與現存網路無中斷整合、移動VoIP功能、適應性無線電波管理功能、企業級恢復功能、開放式應用程式接口功能、端對端QoS服務以及集中式管理功能。

完全模組化的ArubaOS軟體,可在任何Aruba移動控制器或接入點上運行,以保證他們向處在移動邊緣的用戶不間斷地提供服務。ArubaOS軟體的基本功能套裝是各種移動控制器的標準配置,這些功能包括:精密的認證和加密、不間斷高速漫遊、射頻管理和分析工具、集中配置、位置追蹤等。

ArubaOS軟體令管理人員實現對網路接入點的單點控制,以便查找和關閉空閒的接入點、辨別並阻止惡意攻擊以及假冒用戶,實現負載平衡通訊、搜尋覆蓋漏洞以及干擾、創造狀態式身份對應安全策略並隨個人用戶在移動邊緣內轉移。

由於全體Aruba移動控制器採用相同的硬體結構,ArubaOS軟體在全部產品範圍內都完全適用,可提供完全相同的功能,當然其價格和性能根據不同的下層體移動控制器型號而有所區別。完全模組化的ArubaOS軟體尤其強調可靠性,包括:自動重啟進程將軟體故障的影響降至最低以及在主機和處理器內完全實現VRRP冗餘將硬體故障的影響降至最低。

ArubaOS軟體包括三種可選的軟體模組:

無線入侵防範模組

提供公司專利的分類技術,可以辨識和防範惡意攻擊(例如:DoS攻擊)、網路弱點(比如:空閒的接入點和臨時獨立網路)、偽冒用戶和接入點,以及來自中間人的間接攻擊。

強化策略防火牆模組

可以通過集成的ICSA-認證的狀態式防火牆為用戶和工作組提供強化的安全策略。安全策略可以在單個用戶或工作組的基礎上,進行集中定義並得到強化,而且可以隨用戶一起轉移。根據用戶位置、時間、設備類型以及認證方式等不同的參數,動態強化安全策略。

VPN伺服器

模式支持集成不同的虛擬私人網路操作,無需離散式外部VPN集線器。硬體加速性能可提供區域網路網速級別的VPN 接連。支持包括L2TP/Ipsec,Ipsec/XAUTH 和PPTP在內的VPN協定。同時支持用戶終端和點對點VPN網路。

用戶完整性模組

可以為用戶提供有線網路和無線網路的整合,防止惡意軟體(包括病毒和蠕蟲)利用移動服務感染網路。它集成了Sygate TechnologiesTM 的軟體系統,提供主機完整性監測、帶檔案和快取清理功能的虛擬桌面以及防範“Zero-day”威脅的用戶安全訪問。

遠程接入點模組

令網路管理人員能安全地將企業的無線功能延伸至任何可以連線網際網路的地點。同時使移動工作者在家中、在遠程辦公室以及在其它工作地點都能獲得企業級的無線區域網路。

外部服務接口模組

允許所有的Aruba移動控制器同外部服務設備連線。ESI模組根據策略選擇性地將網路通訊重定向到提供相關網路服務的設備,包括:防毒、網路入侵防範、內容過濾、內容轉換以及用途審查。支持負載平衡和健康狀態檢查功能。

高級AAA模組

擴展了ArubaOS軟體的認證和授權功能,包括根據域名和Realm元素的選擇認證伺服器、利用RFC3576動態認證和授權以及XML應用程式接口以便建立外部連線埠和認證系統。

xSec 模組

提供高度安全的xSec用戶會話終端,提供256位AES-CBC加密與高敏感環境完整頭部阻礙的聯繫層。 xSec 模組還可以根據相同的強加密標準對 Aruba 移動控制器之間的中繼連線埠加密。

2,移動控制器是用於運行ARUBAOS軟體功能的高性能網路平台

移動控制器功能包括:無線接入點管理、802.11射頻管理、802.11x認證和加密功能,利用IPsec/3DES加密技術的點對點和用戶VPN網路功能、狀態式策略強化防火牆,L1至L7的入侵防範、用戶終端完整性檢查、以及接入點與移動控制器之間的無間斷漫遊。

移動控制器具有相同的硬體結構,包括專用的平面CPU,可程式數據平面網路高性能處理單元,以及用於L2和L3集中加密的特殊可程式加密引擎。移動控制器對無線網路中的通訊進行監測,並輸送至企業核心網路。由於要處理數百個接入點和數千個用戶,移動控制器通常位於數據中心,以便獲得穩定的環境並高速訪問核心網路。

ARUBA公司的移動控制器系列產品包括多種不同尺寸和價格的型號,以支持不同規模行動網路。

3,無線接入點(AP)

由ARUBAOS軟體和移動控制器集中控制的有線和無線接入點,可作為分散式通訊數據收集器,通過IP網路與移動控制器建立有線或無線的通訊隧道。無線接入點可提供無線射頻覆蓋服務的同時,還可以作為射頻監控設備,實時監控空氣中各種無線電波可能存在的安全威脅。 在確定威脅後,同時還具有入侵防範功能。無線接入點運行分散式ARUBAOS軟體功能,包括智慧型射頻管理、本地無線區域網路數據流的分散式加密、搜尋和防範無線入侵、搜尋空閒並關閉接入點等。 有線接入點僅僅作為數據收集器工作,並通過區域網路或廣域網同移動控制器連線。

ARUBA提供各種不同型號的無線接入點,包括:室內/室外802.11a/b/g/n 單頻接入點、802.11a/b/g/n雙頻接入點、802.3有線接入點以及有線/無線混合接入點。無線區域網路接入點配備了內置天線,亦可選根據需要選擇各款外掛天線。無線接入點全部可以和ARUBA的移動控制器配合工作,以提供高安全性能的無線網路架構。

無線接入點可以同現存的IP網路連線,自動搜尋ARUBA的移動控制器,並自動配置參數開始工作。移動控制器負責OS軟體的分發、配置參數分發,並協調所有無線接入點以實現協同工作。接入點通過802.3af乙太網遠程供電標準獲得電力,無需額外部署電源線。若無法通過乙太網供電,接入點還同時配備了可連線交流電源適配器的直流電源接口。

所有的接入點可以在監測無線電波同時提供無線網路服務。 連續的掃描射頻環境、確定和追蹤所有無線用戶已提供入侵警告和干擾提示。此雙重功能不需要單獨的RF感測器即可排除故障並最佳化無線環境。

4,無線網管系統(AWMS)

ARUBA在07年12月收購了全球最大的專業WLAN第三方集中網管的Airwave公司。該平台可管理現有的絕大多數無線區域網路廠家的設備(包括瘦AP和胖AP,MESH,WIMAX設備)。該產品可無縫集成到現有WLAN網路中,通過SSH、SNMP和HTTPS協定管理所有無線區域網路設備。Airwave網管系統具有業界最為領先的擴展能力,可以通過一個控制台管理最大超過25,000個網元。目前Airwave網管除了支持ARUBA的產品外,還支持下列無線區域網路廠家設備:

CISCO,MOTO,SYMBOL,PROCURVE,TRAPEZE,MERU,NERTEL,3COM,JUNIPER,ENTERASYS,AVAYA,PROXIM,FOUNDRY,AKATEL-LUCENT,TROPOS,COLUBRIS,LANCOM

目前正在使用Airwave專業WLAN綜合網管的教育行業客戶如下:

MIT,STANFORD,YALE,LMU,INDIANA,VANDERBILT,SPOKANE,INDIANAPOLIS,COBB,RIVERSIDE

AirWave無線管理套件的核心組件包括:

AirWave Management Platform (AMP) 無線網路管理軟體

VisualRF 定位和射頻顯示軟體模組

RAPIDS 欺詐接入點檢測軟體模組

AirWave 主控制台和備份伺服器

AirWave Management Platform(AMP)是AirWave無線管理套件的核心。通過直觀的圖形化用戶接口提供業界最為領先的管理功能,使得網路管理者可以輕鬆而有效地支持、控制和管理最大規模的無線網路。

客戶分布

ARUBA先進的新一代WLAN解決方案自2003年推出後,就成為下一代WLAN網路演進的先驅者所推崇的解決方案,至今已經獲得Google、Microsoft、SAP、Yahoo、BEA、紐約時報、amrican express、英國希思羅國際機場、美國政府、美國空軍、AT&T、等4500多家全球知名客戶的商業套用,這些客戶遍布全球各地,其中包括了目前世界上最大的企業和大學WLAN網路(Microsoft和OHIO University)。截至2008年1月,ARUBA在全球大學客戶已經超過500家,其中國外知名的大學用戶包括耶魯大學、劍橋大學、MIT、達特茅斯學院、加利福尼亞州立大學、布朗大學、俄亥俄州大學、東京大學、康奈爾大學、卡內基?梅隆大學,華盛頓大學,西點軍校,田納西州立大學,波士頓大學等等。全球高等教育無線市場更是超過35%(數據獲得:IDC and Dell ‘Oro 兩家第三方市場調查機構)。

ARUBA無線網在全球和國內各個行業的典型客戶

1,全球第一大無線網--美國空軍,採購30000個ARUBA的無線接收器和300個無線控制器,為其全球108個基地部署極其安全的無線覆蓋,成為有史以來全球最大的一筆無線訂單。

2,全球第一大無線校園網--俄亥俄州立大學,整個網路使用超過12,000多個ARUBA 的AP和40個無線控制器,整個網路架構L3基礎上,服務於50,000學生和27,000教師員工。

3,全球第二大無線校園網--美國加利福尼亞州立大學(10,000顆AP)

4,全球第一大企業無線網--微軟全球研發中心,整個網路使用超過9,000 多個ARUBA 的AP和多個無線控制器分布於277幢大樓中,在全球60多個國家部署,全球統一管理,統一認證。

5,全球第一大802.11N技術全校園覆蓋網:美國卡內基?梅隆大學(3200顆11n AP)

6,全球第一大連鎖機構無線網--美國Safeway連鎖超市,全美1800零售商店,每個零售商店部署4個AP+1個A800控制器;20個大型商場,每個商場部署400個AP+2台A6000控制器。

8,國內第一大的無線區域網路:廣州捷運--約1500個ARUBA的AP70,部署在1-4號線遂道內,作視頻直播。

9,國內第一大的11N無線區域網路:中國華電集團公司--約400多個的ARUBA的AP125。

10,國內第一個全校園無線覆蓋項目:上海海事大學(500顆AP)

11,國內第一個實際部署VOWIFI套用的試驗校園網:北京大學(100顆AP)

12,國內最大的機場無線網:上海浦東國際機場(600多個AP)

13, 亞洲最大的會展中心:琶洲國際會展中心,4台Aruba 6000和600多個AP70

智慧型網路

1,易於部署——零干擾無線網路部署

對於網路管理員來說,在整個企業範圍內部署無線網路時首先需要考慮的就是網路的部署是否簡單,如何能夠方便地對AP部署的數量和點位進行合理規劃?能否實現“即插即用”以避免對現有的有線網路進行大規模的配置調整?

1.1 方便的無線網路規劃設計

在規劃一個無線區域網路時,規劃設計者一項重要的工作是要考慮安裝多少AP可以滿足覆蓋?應在哪些位置安裝AP,安裝後電波的覆蓋範圍,信號在不同位置的強弱等,要完成此項工作,通常做法是規劃設計者要在現場做大量的測試工作,通過經驗去估算位置和數量,其工作量非常之大,且還無法預先規劃每個AP的電磁波和功率參數以及AP之間的覆蓋相交範圍。

ARUBA開發的RF Planning工具,可以讓規劃設計者在考慮無線區域網路組網之初採用RF Planning在計算機上做規劃設計,估算在要求的覆蓋面積上AP應安裝的物理位置所在。使用這套工具時,在數位化的建築圖紙上設定無線所覆蓋範圍如那幾個樓層和面積大小,輸入有關無線覆蓋和傳輸模型的相關參數,如無線終端的平均頻寬,AP和AP之間覆蓋面等。RF Planning自動計算,然後顯示出AP在圖上的安裝坐標位置和無線電波的覆蓋範圍。安裝人員就可以根據圖紙上所顯示的位置安裝AP,在無線網路安裝完成後,網管人員通過RF Planning的Auto-Calibration功能,設定ARUBA交換機自動調節網上所有ARUBA AP的頻道與功率參數以達到一個最優性能的運行狀態。在無線區域網路系統投入運行後,網管人員可通過RF Planning隨時監測網內的每個AP的無線電波的狀態,及時掌握每個AP的工作狀態和故障診斷,及時做出調整策略。ARUBA RF Planning為無線網路的規劃設計、調試以及維護提供科學化和規範化的管理。

1.2 不需要更改有線網路結構

而在無線網路的具體部署階段,網路管理員主要需要考慮以下兩方面的問題:

①需要為AP定義特殊的VLAN來實現AP與移動控制器的連線嗎?

②無線用戶的VLAN如何定義才能實現移動性、簡單性和網路性能之間的平衡?

對於連線AP問題,如果每個AP必須通過二層網路與移動控制器連線,則意味著在有線網路中必須為AP定義一個特殊的VLAN,因此必然導致對現有網路(包括核心交換機、匯聚交換機和接入交換機)進行大規模的配置修改,從對網路的正常運行造成不利影響。

而在ARUBA的無線網路解決方案中,ARUBA的無線控制器可以安裝在中心機房,而AP則可以放置於任何地方,由於每一個AP都可以跨越二層或者三層網路,自動建立到移動控制器的GRE的隧道,並通過該GRE隧道連線到ARUBA移動控制器上,進行軟體同步、下載配置檔案並提供無線用戶到骨幹網路的數據通道,所以ARUBA無線網路解決方案可以在完全不改變原有的網路結構的前提下,搭建一個獨立的、疊加在有線網路之上的行動網路平台,並通過該平台實現無線用戶的接入和為各種網路套用移植優良的移動性。

對於用戶VLAN的問題,由於傳統的胖AP解決方案作為一種有線網路的延伸,通過AP來終結無線數據流量並實現無線用戶到骨幹網路的接入,因此必須在每個連線AP的邊緣接入交換機上分別配置用戶VLAN,當AP數量大幅度增長時,這種部署方式無疑會大大增加網路配置、管理的負擔,並導致網路複雜程度的提升。

而在ARUBA的無線網路解決方案中,所有用戶流量都通過AP與移動控制器之間的GRE隧道直接傳送到移動控制器上,再通過移動控制器與核心交換機之間的高速網路接口轉發到骨幹網路中,因此無線用戶的VLAN僅僅出現在移動控制器和核心交換機之間,只需要在移動控制器和核心交換機的互聯接口上配置相應的VLAN即可,不需要在有線網路的接入層和匯聚層存在,從而大大簡化了網路配置和管理工作的複雜程度。

通過集中化的用戶VLAN管理,ARUBA無線網路解決方案消除了無線用戶VLAN與邊緣交換機連線埠之間的綁定關係,當無線用戶在不同AP之間漫遊時,與其相應的用戶VLAN實際上是穿越了有線網路的接入層,在ARUBA移動控制器上分配的,因此與無線用戶連線的具體哪個AP無關,從而可以輕鬆實現無線用戶在全網範圍之內的無縫漫遊。

1.3 VLAN Pool的廣播域控制

對於大型網路設計和部署,為了減小廣播域,降低每個子網內部的廣播報文數量,網路管理員通常採用網路掩碼對子網的大小進行限制。例如,每個VLAN採用一個C類地址,網路掩碼是(255.255.255.0),因此每個VLAN內最多支持253個用戶。但是傳統的無線區域網路廠商都只能做到SSID對應1個VLAN,這樣的帶來的問題就是,如果有大規模校園無線接入的時候,必須把這個映射VLAN的子網設的很大,比如一個B類地址(就是說將最多65000多個終端放在同一VLAN中),由於廣播域過大,大量的廣播報文(如DHCP、ARP等)將直接造成嚴重的網路擁塞。正是基於這個問題考慮,ARUBA提出了VLAN POOL的概念,也就是說一個SSID可以映射多個VLAN,用戶在連線入網路中時,ARUBA移動控制器依據終端的MAC地址為其隨機分配某個VLAN,然後再通過WEB進行認證,這樣既解決了一個VLAN接入用戶數較少的問題,又保留了網路部署(特別是用戶VLAN分配)的簡單性和易用性。

2,易於管理——智慧型自適應射頻管理

無線區域網路是計算機網路與無線通信技術相結合的產物,是一種採用無線傳輸媒介的計算機區域網路,由於利用空中電磁波進行信息傳輸,因此,與傳統的有線網路相比,具有更大的靈活性,而且安裝簡單、經濟實用。但是,採用無線信道進行信息傳輸也面臨許多問題,比如:傳輸質量受多方面因素影響,穩定性較差,且故障定位難度很大;另外,無線信道的介質共享特性導致系統容量偏小,且容易產生頻率相互干擾。尤其是在用戶負載較重的情況下,如果不能很好地解決這些問題,可能會導致整個網路的性能急劇惡化,嚴重時甚至會造成網路的癱瘓。

基於ARUBA專利的自適應射頻管理(ARM 2.0)技術是ARUBA在無線射頻控制領域做出的傑出貢獻,可以幫助用戶解決當今WLAN領域中的三個基本難題:

①802.11標準下定義的終端決策模式以及無線終端缺乏系統視野的特點,導致網路無法對無線終端的頻段、信道和漫遊進行網路最佳化

②作為一項基於共享介質的傳輸技術,無線終端設備不具有對干擾、共享頻寬、信道和系統容量的最佳化智慧型

③為了保持對不同時代WiFi標準的兼容性,高速終端只能以犧牲其性能的方式實現與慢速終端之間的並存

以上困難導致802.11終端無法發揮其最大潛能,無線AP則往往因為用戶過載或者外來干擾而導致網路整體性能的降低。

在早期的WLAN部署中,為了能夠在無線覆蓋和避免干擾之間取得平衡,網路管理員往往需要進行費時、費力的現場勘查,然後再依據現場勘查的結果對AP工作信道和發信功率進行配置。但是由於現場勘查與用戶對網路的使用無法在時間上取得一致,現場勘查的結果並不能真實地反映出用戶使用網路時的實際射頻環境,因此無法實現真正的網路最佳化。

ARUBA的自適應射頻管理(ARM2.0)可以提供具有實時性的智慧型射頻管理功能,利用ARUBA多功能接入點(AP)對周邊射頻環境進行持續監測。所有的ARUBA AP都會在設定的時間內自行掃描其它的無線頻道,由於ARUBA的移動控制器和AP可以具有套用感知能力,因此會根據套用線上狀態(如AP上是否存在正在進行的SIP呼叫)以及AP上的實時負載來動態調整掃描的間隔,所以對於線上的無線用戶(指連線到AP上在同一頻率上的無線終端)的傳輸過程沒有任何影響。當AP停留在某一個頻道時,它會把在這頻道上收到的無線電波信息轉送回ARUBA 無線控制器,ARUBA無線控制器則根據收集到的無線電波信息進行智慧型計算,並對AP的發信功率和工作信道等無線電波參數進行動態調整,以使AP之間達到了一個最最佳化的無線電波運行狀態。

通過ARUBA專利的自適應射頻管理(ARM2.0)技術,可以為用戶的無線網路提供以下功能:

2.1 網路系統的自愈功能

傳統無線網路里的每個AP都是一個獨立的個體,相互之間不存在任何溝通與協商,如果有某一AP突然損壞或失效時,這個AP原來覆蓋區域就會失去無線連線,無線網路變得不可用。遇到這種情況的一般做法就是馬上把失效的AP更換。但由於大多數的AP都是布置在樓道里(並不是在機房),所以不一定能馬上作更換,現場的環境也有局限性,很多時候維護人員較難即時做出更換動作(很多的AP都是安裝在天花板上)。而且,從故障發現,處理,找到新AP,替換,整個過程需時漫長,尤其是這對於一些緊急的套用是不能接受的。因此我們必須尋找另一種方法去縮短故障處理周期。

為了提高無線網路的可用性和增強整個架構的冗餘性,ARUBA系統設計了故障自動恢復的功能,即實時偵測出線上AP是否存在失效,當發現有AP出現故障時,ARUBA無線控制器能自動調節鄰近的AP射頻參數,一般是加大發射功率(覆蓋範圍)共同接替失效AP原先覆蓋的範圍。

2.2 無線接入的負載均衡

由於無線信道介質在物理層的共享特性,在一個AP的覆蓋範圍內,無線連線的頻寬是共享的,即無線終端數目越多,每個終端所能分享的頻寬就越小。特別是對於用戶密集場合(如會議室、圖書館等),使用無線網路的終端較多時,大量用戶對同一個信道資源的競爭會導致大量的衝突,從而使無線信道的效率下降,並最終導致無線網路的吞吐量性能進一步惡化。因此對於密集用戶環境的無線網路部署,必須採用負載均衡技術對信道資源的使用在用戶之間進行合理的分配,才能使網路整體性能得到最佳化。

ARUBA的無線系統是一個集中式的管理系統,通過無線控制器對所有的AP和用戶進行統一協調和管理。根據無線交換機里實時更新的AP的列表和負載狀況,無線交換機會按照負載均衡算法,指示一些連線用戶數量較多的AP把其覆蓋範圍內的無線用戶或終端分散連線到鄰近的AP上,使AP負荷能夠均勻地分布在相互靠近的一組AP上,從而使網路資源亦得到充份的利用,使無線用戶得到更加快速的吞吐量性能。

2.3 無線接入的頻段指引

長時間以來,無線網路性能提升的主要存在兩個障礙,一是2.4GHz頻段中互不干擾的信道只有3個,從信道資源角度看,非常有限;另一個是802.11標準將無線連線的決策功能(如連線那個AP、什麼時候連線、用什麼頻率連線等問題)都留給無線終端側完成,而相當部分終端在其設計中往往優先採用2.4GHz信道對網路進行連線,從而導致2.4GHz信道中用戶密度過高、信道效率偏低的特點。

為了解決上述難題,ARUBA專利的自適應射頻管理(ARM2.0)技術為用戶了終端頻段指引的功能,能夠自動引導市場上的雙頻段終端(即同時支持2.4GHz和5GHz的終端)優先採用5GHz頻段連線ARUBA的雙頻段AP,以均衡使用網路資源,改善網路性能。

ARUBA的終端頻段指引功能具有以下特點:

如果無線終端能夠支持2.4GHz和5GHz雙頻段工作,則通過5GHz信道進行無線網路的關聯

無線控制器維護所有無線終端支持能力的資料庫,並以此為依據進行無線終端的頻段指引決策

頻段指引功能對無線終端完全透明,不需要預裝任何客戶端或私有軟體

對於用戶來說,通過ARUBA的無線接入頻段指引功能,可以使無線網路性能得到顯著的最佳化,包括如下:

可以充分利用5GHz頻段豐富的頻率資源,而不僅僅是2.4GHz頻段上的3個無干擾信道

可用信道的增加大大緩解了無線網路中的同頻干擾問題

避免802.11b標準的慢速終端對802.11a\n等快速終端的性能影響

充分利用5GHz頻段豐富的頻譜資源,在802.11n網路中採用40MHz信道實現300Mbps高速無線連線

2.4 無線終端的流量整形

作為無線網路體系的標準協定,802.11標準集今天仍然處於快速發展之中。作為對用戶投資進行合理保護的舉措,無線網路必須能夠支持混合模式,使得各種無線終端(無論其網卡類型和支持的工作模式)都能夠公平地接入網路。

ARUBA的無線終端流量整形技術可以提供三種選擇:

預設模式:

在預設模式中,ARUBA無線控制器和AP關閉其無線流量整形功能,終端性能完全依賴其網卡對無線信道的競爭。

值得注意的是,在這一模式下,如下圖所示,由於每個終端的網卡、作業系統的差異,不同終端得到的網路性能可能是完全不同的。

公平模式:

在公平模式中,無論終端的性能和容量差異大小,每個終端在空中接口都將獲得相同的機會,從而得到公平的網路吞吐量性能。

這一模式特別適用於培訓教室、考試中心等套用環境,使得所有終端,無論是802.11a/b/g還是802.11n,均獲得近乎相等的網路資源。

優先模式:

在優先模式中,ARUBA無線控制器會根據其維護的終端性能列表,為各種速率的終端以加權方式動態分配信道資源,從而可以確保高性能的802.11n終端相對於802.11a/b/g終端能夠獲得更多的訪問信道資源的機會;同樣,802.11g終端相對於802.11b終端也能夠獲得更多的訪問信道資源的機會。

3 易於擴展——適合各種環境和規模

3.1 基於Mesh的室內、室外統一覆蓋

隨著無線網路在企業環境下的不斷發展和無線套用的持續拓展,無線網路覆蓋的範圍也逐漸從室內走向室外,從部分覆蓋轉向全面覆蓋。作為“最後一公里”寬頻無線接入非常重要的技術之一的無線Mesh網路,由於其具有AP無線組網、智慧型路由、與WiFi完全兼容等特點,可以幫助用戶在室外部署環境中,有效規避最為困難的布線問題,從而倍受市場的關注。

ARUBA安全Mesh網路解決方案可以幫助用戶在不需要增加布線的前提下,將無線網路從室內環境迅速擴展到室外環境。通過ARUBA的Mesh網路,用戶可以無縫地實現覆蓋區域的擴展,也可以將不同建築物中的乙太網絡通過無線方式進行橋接。

ARUBA安全Mesh網路具有以下特點:

集中控制:

與ARUBA其它無線組網模式相同,ARUBA的安全Mesh網路也同樣採用瘦AP組網架構,所有的ARUBA無線接入點均能夠支持Mesh功能,所有的Mesh AP和非Mesh AP都由ARUBA無線控制器進行統一管理。

智慧型路由:

ARUBA的無線Mesh AP之間通過2.4GHz或者5GHz鏈路進行互聯,Mesh鏈路的路由可以手工靜態配置,也可以基於無線節點負載、無線鏈路的跳數或者節點之間無線鏈路的信號質量自動產生,並支持Mesh鏈路的冗餘和自愈功能

流量加密:

ARUBA無線Mesh網路的中繼鏈路可以基於加密的方式來建立,所有在Mesh AP之間傳送的管理信息或者用戶信息都能溝通過高強度的加密予以保護,從而避免各種信息流量在中繼鏈路上傳送的過程中被竊取或者篡改。

3.2 基於Master-Local集群模式的擴展

作為業界領先的無線網路系統供應商,ARUBA不僅可以提供業界最強大的無線控制器MMC 6000(單台控制器可以支持最多2048個AP),以及MMC3000、MC2400、MC800和MC200等多種型號的無線控制器以滿足企業用戶的各種組網需求,而且還能支持基於Master-Local的無線控制器集群模式,實現集中式控制器與分散式轉發相結合的無線網路擴展。

在ARUBA提供的基於Master-Local架構的網路擴展模式中,Master控制器用於對全網所有Local控制器和AP的配置和安全參數進行管理;Local控制器則位於用戶網路的不同區域或分支機構,作為Master控制器的策略執行點,用於終結和轉發各區域內無線用戶的業務數據,並通過內置的用戶防火牆對其實施相應的安全策略,以實現分散式轉發。

如上圖所示,Master控制器位於企業總部,Local控制器位於不同地理位置的分支機構,Master控制器與所有的Local控制器之間的連線可以即可以通過企業廣域網(WAN),也可以通過網際網路(Internet)實現。通過上述網路,Master控制器和Local控制器之間會自動建立Site to Site的IPSec VPN連線,以實現配置的同步。當位於分支機構的AP加電後,首先會自動連線位於企業總部的Master控制器,並通過Master控制器獲得AP Group以及Local控制器地址等配置信息,然後位於分支機構的AP將自動連線到當地的Local控制器,獲取AP配置文檔,並建立從AP到控制器的GRE隧道,以轉發用戶業務數據。

對於關鍵業務網路,基於Master-Local無線控制器集群的體系架構還可以通過Master控制器和Local控制器的冗餘配置實現全網的高可用性設計。

通過VRRP技術,所有的Local控制器和AP均可以藉助於一個Virtual IP來訪問Master控制器,當主用Master控制器故障時,備用Master控制器會自動接管所有的功能,並且這一切換過程不需要在Local控制器和AP上進行任何特殊配置。

Local控制器的冗餘切換則可以採用VRRP或者主備控制器兩種方式來實現。其中VRRP要求兩台或多台冗餘的Local控制器採用二層方式進行連線,並通過將這些控制器劃分到一個虛擬組,實現冗餘Local控制器的自動倒換;主備控制器方式可以支持冗餘Local控制器之間跨三層網路進行連線,並通過在AP配置文檔中指明備用Local控制器的地址,當主用Local控制器故障時,AP會根據配置文檔自動尋找並連線備用Local控制器,完成業務的自動恢復。

藉助於這一架構,ARUBA將全網集中管理與分散式數據轉發完美地結合在一起,既實現了大規模網路的無縫擴展,又避免了大規模網路的性能瓶頸和可靠性問題。

安全保障

從網路設計者的角度來看,在無線網路的大規模部署中,必須對無線網路的安全性加以重視,因為部署無線網路以後,由於無線電波是散布在空氣中,黑客或非法用戶很容易通過無線網路實現入侵,而無須連入某個固定的有線連線埠。因此,當網路中部署了越來越多的AP後,從一定程度上會造成更多潛在的威脅網路安全的場所,只是一味的強調大規模無線接入和大面積的無線覆蓋,只會造成越來越多的安全隱患。

有些IT管理者認為,已有的傳統的有線安全設備如防火牆,IPS能夠同樣為無線網路起到良好的安全作用。其實,這種認識是錯誤的。舉兩個最簡單的例子:比如一個非法用戶連入企業的無線網路,由於portal認證作為一種主流的“輕”客戶端認證方式,在許多校園網路以及企業外網有著廣泛的套用,這樣非法用戶就能首先獲得IP位址,並能發出大量的非法數據包或對portal伺服器進行攻擊,而這些數據由於還未送達有線側防火牆設備,所以會對整個無線網路造成極大的安全隱患。

另外一個例子,一個正常用戶連入網路後,由於PC中毒,可能會發出大量的無效數據包,當數據包送達有線防火牆後,由於現有的有線防火牆或IPS無法跟無線控制器進行聯動,也就不能將該用戶直接和無線網路下線,有線防火牆只能將流量阻隔不讓其進入有線核心網路,而大量的無線數據包已經占滿無線網路鏈路,造成了不必要的網路擁塞。

從以上兩個簡單的例子可以看出,有線安全設備由於並非為無線網路設計,並不能很好的完成無線網路安全管理,而在無線控制器中作簡單的ACL功能也無法根除無線網路安全性的問題,只能作到一些簡單的策略控制。因此ARUBA認為,建設無線網路必須從無線攻擊和入侵防護、認證和加密、基於用戶的訪問控制等多個層面做到全方位的安全保證。

通過ARUBA的多層次無線網路安全架構,就可以在用戶數據抵達無線控制器時,第一時間對網路數據進行檢查,而不是放任其未經檢查而自由進入網路。同時,ARUBA多層次無線網路安全架構還可以在不同層次之間進行聯動,通過無線IDS對無線攻擊進行監測,通過無線狀態防火牆對用戶越權行為進行跟蹤,並能將無線IDS、無線狀態防火牆和整個無線網路進行實時聯動,將攻擊者和非法用戶阻隔在無線網路以外,禁止其連線無線網路,從而對整個無線網路的安全進行有效地保護。

1 對無線攻擊和非法入侵的防範

隨著無線區域網路的廣泛套用,無線信號到處都是。酒店、大學安裝了成百上千的AP;大型企業也開始大規模套用無線網路。所有這些跡象表明,企業的無線網路只是全球無線套用的一部分,會不斷地收到外來的無線信號。在這樣的環境中,發射無線信號的設備,既有可能是獲得企業授權的AP,也有可能是企圖盜竊機密信息或者造成網路中斷的攻擊者。因此無線區域網路設備必須能夠提供完善的無線攻擊和入侵檢測及保護機制,以防止惡意終端發起的各種“拒絕服務”攻擊和未經授權的非法AP入侵網路所造成的安全隱患。

1.1 惡意客戶端無線攻擊防範

無線區域網路的日益普及,同時也促進了無線入侵和攻擊工具快速發展,這些工具可以非常容易地從位於網際網路的各個黑客網站上下載得到,從而對無線網的安全構成很大的威脅。然而,由於絕大部分的無線區域網路都沒有偵測無線入侵的功能,所以當遭受到像無線DOS攻擊時,網路管理員往往會誤以為是無線信號受干擾或AP出現不穩定情況,導致正常用戶的無線連線莫名其妙地中斷,間接影響到無線網路所承載的各種業務套用的質量。

在ARUBA無線網路解決方案中,每一個無線AP都具有多功能性,在為無線用戶提供無線網路接入服務的同時,還可以作為無線攻擊和入侵防範系統的探測器,對網路中可能出現的攻擊和入侵行為進行實時的監測。與此同時,在整個無線網路的中心,ARUBA無線控制器則採用專有的網路處理器對無線AP收集到的網路攻擊信息進行分析,通過無線控制器內置的無線攻擊模式庫,實時檢測異常的無線數據幀,當無線控制器偵測出網路中存在無線攻擊時,它會記錄和顯示無線攻擊的類型,並對無線攻擊做出自動保護回響。

另外,ARUBA還提供了無線攻擊模式庫的API接口,可以支持網路管理員對無線攻擊的類型和特徵進行客戶化定製,以確保無線攻擊模式庫的有效性。

1.2 針對非法AP入侵的防範

在今天的企業網路中,不經意的員工為使用方便而私自接入網路中的AP比比皆是。而惡意入侵者通過設定假冒的AP誘騙使用無線網路的企業員工從而截獲信息。通過ARUBA 交換機的WEB界面或中心化網管界面,網管中心便可實時查看到是否有非法AP在網內,或是企業無線網路覆蓋範圍內是否有其它AP仿冒企業AP。網管人員亦可開啟自動保護機制,阻止無線終端通過非法AP連線到網內或者被誘騙到假冒AP上。這些非法的無線連線會被周邊最接近的ARUBA AP所發出的802.11 De-Auth包所切斷。802.11 De-Auth包會不停地發出直到線上的無線終端的無線連線被打斷為止。

要做到一個真正自動的保護機制就必須能正確識別所有在企業範圍內檢測出來的AP身份。如果把隔壁公司所安裝和使用的AP視為非法AP的話,很容易就會把它們正常的無線連線打斷,間接變成對其它企業網路的DOS攻擊。ARUBA的自動保護系統是市場上最卓越和最全面的無線網路安全保護工具,通過同時收集和分析來自有線連線埠和無線信道兩方面的數據信息,ARUBA無線入侵保護系統能夠準確地區分出連線到企業區域網路的非法AP和位於圍牆外面的干擾AP之間的差異,從而可以避免對非法AP的錯判和漏判。

除了對非法AP進行分類和壓制,ARUBA無線控制器還能夠對非法AP的位置進行定位。網路管理員只需在WEB界面按“定位”按鈕,非法AP的位置就會顯示在圖紙上(用戶必須預先把無線網路的結構圖輸入ARUBA交換機內的RF Planning 系統),網路管理人員就可根據圖表顯示的位置找到該AP並將其從網路中清除。

2 集中化的用戶認證和流量加密

如前所述,802.11網路所使用的無線信道所具有的共享介質特性決定了其網路數據在空中進行傳播時,不可能阻止未經授權的第三者對其進行監聽,同時用戶的接入也並無法受到企業圍牆和大門的保護(因為電磁波的輻射可能會超出圍牆範圍)。因此802.11無線網路技術自誕生伊始便採用了用戶數據加密和認證技術來保證無線網路的安全。

誠然,在802.11無線網路技術的發展初期所採用的一些技術在後來的技術發展過程中被發現存在漏洞或者被破解。如眾所周知的WEP靜態密鑰RC4弱加密算法,以及前段時間德國Darmstadt理工大學的博士生Erik Tews與其同事Martin Beck所公布的對TKIP(對WEP進行了一定的改進,仍然採用RC4加密算法,但是引入了動態密鑰機制)的破解方法。

這些訊息在一定程度上更加加劇了用戶對802.11無線網路安全性的顧慮。但是我們從技術發展的角度來看,正是這些技術人員(通常我們稱這種技術人員為黑客)對一些技術瑕疵的不斷研究和探索,促進了該項技術本身的不斷進步。在802.11無線網路領域也是如此,其實早在2004年6月24日,IEEE就公布了802.11i無線網路安全標準,引入了採用802.1x EAP認證及AES-CCMP(Counter-Mode/CBC-MAC Protocol)加密算法。相應的Wi-Fi聯盟無線網路標準為WPA2。如果無線網路用戶真正關心安全並且按照該標準來實施自己的無線網路,其實完全不必為其安全擔憂。我們只能說,真正的安全隱患來自於不恰當的設計和實施(很多用戶至今仍然在使用WEP甚至根本未經加密的開放式無線網路)。

ARUBA無線控制器可以為無線客戶提供功能豐富的身份驗證和數據加密功能,並可以通過對無線控制器的安全配置實現整個無線網路安全的集中部署。

ARUBA無線控制器提供的身份驗證方式如下:

不進行用戶身份驗證

基於MAC地址的身份驗證

基於802.1X/EAP的身份驗證

支持EAP卸載功能

支持機器名和用戶名的Windows域認證綁定

基於Web Portal的身份驗證

基於VPN的身份驗證

以上驗證方式的組合

與其它無線網路廠商的解決方案不同,在ARUBA無線網路的認證和加密功能是通過專用硬體在無線控制器上集中部署的,而不是分散在每一個AP上的,因此所有的終端認證和信息加密都是在無線交換機上完成的。

這種特別的部署方式可以為無線區域網路的信息安全帶來以下優勢:

由於所有的安全措施都在無線控制器上執行,避免了分散在各處的AP成為潛在的無線安全漏洞

對信息的加密從終端與AP之間延伸到了終端與無線控制器之間,進一步確保了AP到無線控制器之間的信息安全

在無線交換機上採用專用硬體對信息加密,解決了大容量環境下AP處理能力不足的問題

在終端漫遊過程中不再需要額外的密鑰交換和同步,大大提升了終端在AP之間的無縫漫遊切換能力

3 基於用戶的無線套用防火牆

在傳統的網路安全體系架構中,用戶接入網路之後,其在內部網路中的行為是基本不受控制的。因為我們的傳統網路安全體系架構是建立在這樣一個基本前提之上的:即內部網路是安全的。因此我們通常所採取的安全措施基本上都是為了防範外部入侵而設定的一些固定位置的安全檢查點(如防火牆),而缺乏對內部用戶安全許可權的約束與管理。當然另一方面這也是由於在每個樓層交換機連線埠上實施這些管理策略太過困難,儘管現在很多用戶已經考慮在有線網路中實施802.1x認證,並根據802.1X認證的結果為用戶動態分配VLAN,然後在網路核心為每個vlan設定訪問策略來實現安全管理策略。但是由於需要在用戶終端上預先安裝和配置802.1X客戶端,並且需要在每台邊緣交換機上都要啟用802.1X並配置大量的用戶VLAN,因此這種通過動態VLAN劃分來實施安全策略的方式仍然是一件相當複雜的事情。

與有線網路的情形相似,無線網路在實施用戶安全策略時也面臨著同樣的難題。更有甚者是,與有線網路不同,由於無線網路的用戶通常具有更大的流動性,對於某些類型的用戶採用802.1X的方式進行用戶認證顯然並不可行(如外來訪客),因此大多數企業無線網路都會提供Web Portal的方式對用戶進行認證。這種認證方式的一個重要特點就是認證發生在用戶接入無線網路之後,也就是說在身份認證發生時,這個無線用戶已經被分配到某個特定的VLAN,並獲得了相應的IP位址,這時就再也無法通過改變該用戶VLAN的方式來實施用戶安全策略了。

ARUBA無線網路安全體系架構提供了一種基於用戶身份角色來實施用戶安全策略管理的方法,能夠理想地解決上述難題。ARUBA在無線控制器上集成了經過ICSA(國際計算機安全聯盟)認證的用戶狀態防火牆,這個用戶狀態防火牆是以用戶,而不僅僅是 IP 地址為驗證方法的,從而可以基於每個無線網路用戶的身份角色定製與其他用戶完全不同的安全策略、頻寬策略及QoS策略,實現完全以用戶為中心的、不依賴於網路參數(如VLAN、IP位址等)的用戶安全策略管理。

與其它無線網路設備只能檢測無線層的網路攻擊不同,ARUBA無線控制器內置的用戶狀態防火牆還能夠在第一時間檢測到惡意用戶對網路發起的ICMP、TCP Sync、IP Session、IP Spoofing、RST Relay、ARP Spoofing等多種基於TCP/IP層面的網路攻擊,並能夠自動將攻擊者放入網路黑名單,從無線網路中隔離開來。

此外,ARUBA無線狀態防火牆還具有套用感知能力,能夠支持FTP、SIP、RTP/RTCP和Cisco SCCP協定等套用層網關。

4 無線接入的病毒檢查與防護

ARUBA無線系統針對無線終端的病毒防護分為兩個層面,一、無線終端的準入檢查;二、對無線終端發出數據進行有效的檢查和監控。

無線終端病毒防護的第一步是準入檢查,ARUBA的無線網路系統既可以提供自己的準入控制功能,又可以與第三方的準入控制系統兼容,並實現聯動。當無線終端連線到ARUBA無線系統中,試圖訪問網路,在用戶認證之後,首先通過從準入控制系統下載的或預裝的準入控制客戶端對無線終端的完整性進行檢查,如作業系統打補丁的情況、安裝防病毒軟體的情況、以及防病毒定義碼升級的情況等。如果無線終端不能通過該完整性檢查,可以設定策略禁止其訪問網路,也可設定成將無線用戶重定向到一台修復伺服器,通過安裝系統補丁、防病毒軟體和升級病毒定義碼等操作對終端完整性進行修復,直到滿足系統制定的安全策略以後,該無線終端才可以通過認證而進入網路。

當無線終端通過了準入檢查,但是如何對無線終端發出數據進行有效的檢查和監控是更加進一步的病毒防護手段。ARUBA公司和可以和主流的網路準入控制廠商合作,在ARUBA無線控制器上可以設定策略,將某些用戶,以及某些可能沾染病毒的數據,通過ARUBA無線控制器重定向到第三方的防病毒牆上進行防病毒檢查,檢查完成後,才允許通過,否則會將數據丟棄。並且,ARUBA無線控制器還可以提供API接口,允許第三方的防毒牆通過該接口與ARUBA無線控制器進行聯動,修改染毒終端的網路訪問許可權,甚至將該終端加入網路黑名單,從無線網路中斷開。

電話套用

隨著越來越多的企業從單純的無線數據套用轉向VoWLAN以及基於無線的視頻流套用,企業對WLAN服務質量(QoS)保證表現出越來越多的需求。

ARUBA提供的話音業務模組(VSM)非常方便地部署和管理可靠的移動話音服務。通過獨特的技術創新,ARUBA 話音業務模組(VSM)可以支持對語音流量的分類技術,可以提供多種先進無線區域網語音 (VoWLAN) 功能的關鍵。

通過話音業務模組,ARUBA為用戶帶來業內最優質、最安全的,具有極佳擴展能力的 VoWLAN 方案。

ARUBA移動多媒體控制器內置的WebUI還可以幫助網路管理員以圖形化的方式對VoWLAN套用進行管理。

1 頻寬控制與服務質量保證QOS

ARUBA無線系統的頻寬管理能力使得在移動音視頻套用方面表現出很強的優勢。ARUBA無線系統可在每個用戶的許可權限制內用戶無線連線的最高頻寬。對於不同的IP服務,ARUBA系統亦可透過ARUBA無線控制器設定定義不同的QoS佇列。例如無線語音的套用,SIP和RTP協定可設定在高的佇列,而一般套用如http、ftp則可設定在低的佇列。例如語音視頻這樣對於時延敏感的業務,目前,經過中國網通、中國賽爾公司對幾家WLAN設備廠商的設備測試結果表明,ARUBA的無線網系統以其完善QoS特性在測試中表現最佳。

ARUBA無線系統可容許用戶設定專有的語音SSID,把單純是數據傳輸的用戶和Wi-Fi手機用戶分開,但也可以在單一SSID內同時傳送數據和話音,同時保證語音傳輸的質量。ARUBA無線控制器內的用戶防火牆可以識別SIP/RTP等VoIP協定,並自動把話音數據包放在較高的優先佇列,因此能夠確保在數據和語音同時傳送時,語音的質量不受影響。另在語音安全接入方面,ARUBA可防止沒有無線語音許可權的用戶使用無線語音,以確保網路資源能有效運用。

2 呼叫準入控制(CAC)及負載平衡

ARUBA 無線解決方案架構的核心是備有整合式狀態防火牆 (stateful firewall) 的中央移動控制器,能夠為VFC 技術提供語音流量辨認、分類及排序功能。ARUBA無線控制器的話音業務模組(VSM)支持所有業界通用的語音信號協定,包括Session Initiated Protocol (SIP)、SpectraLink Voice Priority (SVP)、Vocera及思科的Skinny Client Control Protocol (SCCP)。通訊流量一經辨認和分類,便可由ARUBA 的移動系統進行適當處理。

通過對話音流量的智慧型識別,ARUBA無線控制器的話音業務模組(VSM)不斷監測 WLAN 內每段通話,並實時監控正進行的通話總數,同時ARUBA 無線控制器的 CAC 功能可以限制個別存取點上同時進行的通話數量,一方面避免存取點負荷太大令通話質量下降,同時為數據和其它流量類別保留它們所需的最低限度頻寬。

當個別存取點所處理的通話數量到達上限時,蜂窩 (cell) 內其它並非在處理通話的語音設備便會啟動平衡負載功能,避免正在進行的通話受到干擾,同時處理新的通話數據傳輸。其它 WLAN 技術要求客戶端設備能夠明白存取點所發放的負荷信息,或者採用一些只能配合個別品牌客戶端的專有技術,因此靈活性和可靠性遠不及 ARUBA的架構。

ARUBA 的話音業務模組(VSM)和整合式狀態防火牆(PEF)還可以通過 QoS 系統的功能控制所有流量的優先次序。網路內的流量和優先次序可能並不相稱,例如語音流量可能會被編上較低的優先次序,但多用途或數據客戶端卻可能會被編排在較高的優先次序;但VSM可以比較用戶、設備和實際傳送的流量,並通過QoS 系統功能來修正上述各種流量的優先次序。

對於符合全新 IEEE 802.11e 和 Wi-Fi 聯合無線多媒體 (WMM) 標準的手機, ARUBA 的話音業務模組(VSM) 同樣支持這些設備的語音數據輸出,包括 TSpec 信號,讓 ARUBA能夠於同一架構上支持未符合WMM規格的設備,以及其它具備 TSpec功能的 VoWLAN 客戶。

3 語音認知無線射頻管理

傳統無線射頻管理方案會掃描無線射頻頻譜以應付干擾,但這樣的做法會因為無法分辨語音和數據流量而降低通話質量。ARUBA 的移動控制器能夠探測到正在處理通話的存取點,並阻止它們掃描無線頻譜上的其它頻道,直至該存取點上的所有通話結束為止。

語音認知無線射頻管理技術可大幅改善通話質量,同時可將無線頻譜管理功能自動化,VSM便是實現這些獨特功能的關鍵。

4 為VoWLAN提供安全保障

許多語音設備並不支持企業級安全系統,例如 WPA2 等高階認證和加密技術。IT管理人員的對策是避免採用VoWLAN,或者安裝專屬的語音 SSID 和 VLAN。然而,入侵者可以假扮成語音客戶設備,然後繞過 VLAN 存取數據資源,危害企業安全。

為了避免上述漏洞,ARUBA 的無線狀態防火牆模組會檢查流量的傳輸協定和目的地,然後比較該設備和用戶類別的政策。該項技術可以設定為只容許語音流量通過,並阻擋所有非語音流量,有效防止黑客假冒語音客戶收發數據。

5 無縫的三層漫遊

ARUBA 無線網路架構能夠讓用戶在 AP、WLAN 交換機、多子網以及多VLAN 之間無縫地漫遊,而且不會丟失連線,也不需要重啟。它不需要對現有網路進行任何改變就可以實現這一切。

ARUBA的無縫切換性能極佳,保證了語音的流暢。這種技術可以確保無線語音業務可以無縫的在AP間漫遊,而不會發生掉線,是語音業務的質量保證。公司地址

Aruba北京辦事處

北京市朝陽區朝外大街18號豐聯廣場A座2101

郵編100020

Aruba上海辦事處

上海市黃埔區延安東路222號外灘中心18樓 郵編200002

Aruba廣州辦事處

廣州市天河區林和西路161號中泰國際廣場A座23樓 郵編510620

Aruba成都辦事處

成都市二環路西一段天樂路1號逸都花園天樂苑1-1-302 郵編: 610041

Aruba南京辦事處

南京市洪武路359號福鑫國際大廈西塔樓2202室 郵編210005

相關詞條

相關搜尋

熱門詞條

聯絡我們