入检查;二、对无线终端发出数据进行有效的检查和监控。
无线终端病毒防护的第一步是准入检查,当无线终端连接到Aruba无线系统中,当试图访问网络,在用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。
当无线终端通过了准入检查,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。Aruba公司和第三方的防病毒墙厂家合作,在Aruba无线控制器上可以设定策略,某些用户,以及某些可能沾染病毒的数据,Aruba交换机会将其重定向到防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。
基于上述两个层面,Aruba无线局域网系统对无线终端进行有效和方便的病毒防护。
5.4无线移动音视频应用
5.4.1 带宽控制与服务质量保证QOS
Aruba无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。Aruba无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务,Aruba系统亦可透过Aruba无线控制器设置定义不同的QoS队列。例如无线语音的应用,SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务,目前,经过中国网通、赛尔公司对几家WLAN设备厂商的设备测试结果表明,Aruba的无线网系统以其完善QoS特性在测试中表现最佳。
提供语音服务,将极大以高无线网络的实际运营效果,为广大在校师生提供无线网络服务,随着无线语音技术的发展,无线语音无线数据服务将极大方便师生的校园生活。
Page 21 of 33
5.4.2 无缝的三层漫游
Aruba 无线可以支持无线接入用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游,而且不会丢失连接,也不需要重启DHCP。无线网络不需要对现有网络进行任何改变就可以实现这一切。
其他厂家一般只能实现二层漫游。跨网段时需要二次认证,导致丢包或者很大延迟。而Aruba的handoff性能极佳,保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游,而不会发生掉线,是语音业务的质量保证。
六、相关产品介绍
6.1 ARUBA-3200无线控制器
ARUBA 3200 多业务移动性控制器可管理32个接入点。MMC-3000 系列提供了真正以用户为中心的网络体验,提供 Follow-me 连接、基于身份的安全性和应用连续性服务。MMC-3000 系列可以作为覆盖轻松进行部署,而不会对现有的有线网络造成任何干扰。先进的 WLAN 语音功能 — 例如 Call Admission Control (CAC)、语音感知射频管理和严格的无线 QoS — 可使 MMC-3000 系列提供移动 VoIP 功能。MMC-3000 系列通过 ARUBAOS 或 ARUBA 移动性管理系统进行管理。
此外,MMC-3000 系列还可以部署为以用户为中心的安全网关,对有线和无线用户进行身份验证,执行基于角色的访问控制策略,阻止不安全的端点访问公司网络。内置强制网络门户服务器和高级网络服务可以方便安全地支持访客用户。MMC-3000 系列能够利用集成的站点到站点 VPN 和 NAT 功能、拆分隧道以
Page 22 of 33
及动态防火墙创建一个安全的网络环境,而不需要额外的 VPN/防火墙设备。站点到站点 VPN 支持可以与所有领先的 VPN 集中器集成,从而无缝集成到现有的公司 VPN 中。
6.1.1产品规格
控制器性能和容量 园区连接的接入点 远程接入点 用户
最多 32个 最多 128 个 最多 512 个 最多 64,000 个 128 个
4
MAC 地址
VLAN IP 接口
千兆以太网端口(RJ-45 或 SFP) 活动防火墙会话
最多 128,000 个 最多 1024 个
并发 IPsec 隧道 防火墙吞吐率
3 Gbps
加密吞吐率(3DES、AESCBC256) 1.6Gbps 加密吞吐率 (AES-CCM)
无线局域网安全性和控制功能
? 802.11i 安全性(WFA 认证的 WPA2 和 WPA) ? 802.1X 用户和计算机身份验证 ? EAP-PEAP、EAP-TLS、EAP-TTLS 支持 ? 集中式 AES-CCM、TKIP 和 WEP 加密 ? 用于快速漫游应用的 802.11i PMK 缓存 ? 确保 AAA 服务器可扩展性和耐久性的 EAP 卸载 ? 独立接入点的状态 802.1X 身份验证
? MAC 地址、SSID 以及多 WLAN 情况下基于位置的身份验证多 SSID 支持 ? 基于 SSID 的 RADIUS 服务器选择
? 通过 IPsec 或 GRE 提供安全的接入点控制和管理
0.8 Gbps
Page 23 of 33
? 兼容 CAPWAP 且可以升级
? 适合远程接入点部署的分布式 WLAN 模式 ? 同时支持集中式和分布式 WLAN
基于身份的安全性功能 ? 有线和无线用户身份验证
? 强制网络门户、802.1X 和 MAC 地址验证
? 用户名、IP 地址、MAC 地址和加密密钥绑定,支持创建强大的网络身份 ? 防止假冒的每数据包身份验证 ? 端点状态评估、隔离和纠正
? 支持 Microsoft NAP、Cisco NAC、Symantec SSE ? 支持 RADIUS 和基于 LDAP 的 AAA 服务器 ? 提供 AAA 服务器故障切换保护的内部用户数据库 ? 消除过度权限的基于角色的授权 ? 强健的策略执行和状态数据包检查 ? 支持使用核查的每用户会话计费
? 通过 ARUBA GuestConnect? 提供基于 Web 的访客注册 ? 可配置、可接受的访客访问使用策略
? 提供外部强制网络门户集成的基于 XML 的 API
? 用于有线局域网身份验证和加密的 xSec 选项(802.1X 身份验证、256 位 AES-CBC 加密)
融合功能
? 在单一融合设备 SSID 上提供语音和数据
? 使用 Voice Flow Classification? 提供基于流的 QoS ? SIP、Spectralink SVP、Cisco SCCP 和 Vocera ALGs ? 支持空中 QoS 的严格优先级排队 ? 802.11e 支持 – WMM、U-APSD 和 T-SPEC ? 通过 802.11e 防止网络滥用的 QoS 管理
Page 24 of 33
