网络WiFi-ArubaOS无线入侵防护(WIP)

Aruba无线局域网的网络管理1 集中式管理网络数据中心管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。

从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。

由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。

其工作量在有一定数量AP的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。

Aruba系统具有非常强的无线局域网集中管理功能，通过无线交换机Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、接入认证、移动漫游。

2无需安装客户端软件Aruba系统无需为每一个移动用户终端安装无线接入软件，Aruba的认证可以基于WEB 页面认证，认证只需用户打开浏览器就可以登陆。

ARUBA采用GRE隧道技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或IPSEC 或802.1客户端软件才能实现WEB页面认证。

3 RF智能控管Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。

初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。

启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。

Aruba系统的RF智能控管可以自动对网上所有Aruba AP的无线电波管理。

当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在Aruba 交换机内启动ARM这功能，无线网上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。

Aruba无线网络管理解决方案v1简介本文档介绍了Aruba无线网络管理解决方案，为用户提供了一种先进的方法来管理和优化无线网络。

解决方案概述Aruba无线网络管理解决方案是一种综合性的解决方案，旨在帮助企业和组织有效地管理其无线网络。

该解决方案包括以下核心功能：1. 网络监控和管理：Aruba提供了一套强大的工具，用于监控和管理整个无线网络。

通过集中式的网络管理控制台，管理员可以轻松监控网络性能、配置设备和维护网络安全。

网络监控和管理：Aruba提供了一套强大的工具，用于监控和管理整个无线网络。

通过集中式的网络管理控制台，管理员可以轻松监控网络性能、配置设备和维护网络安全。

2. 网络安全：Aruba无线网络管理解决方案提供了一系列安全功能，保护企业网络免受恶意攻击和未经授权的访问。

这些功能包括身份验证、访问控制和数据加密等。

网络安全：Aruba无线网络管理解决方案提供了一系列安全功能，保护企业网络免受恶意攻击和未经授权的访问。

这些功能包括身份验证、访问控制和数据加密等。

3. 网络优化：该解决方案还提供了优化无线网络性能的功能。

通过自动化的无线电频率管理和流量调度，Aruba可以最大程度地提高无线网络的吞吐量和可靠性，提供优质的用户体验。

网络优化：该解决方案还提供了优化无线网络性能的功能。

通过自动化的无线电频率管理和流量调度，Aruba可以最大程度地提高无线网络的吞吐量和可靠性，提供优质的用户体验。

4. 统一管理：Aruba无线网络管理解决方案可以集成多个网络管理功能，使管理员能够通过一个界面管理多个网络。

这样可以降低管理成本，提高效率。

统一管理：Aruba无线网络管理解决方案可以集成多个网络管理功能，使管理员能够通过一个界面管理多个网络。

这样可以降低管理成本，提高效率。

解决方案优势Aruba无线网络管理解决方案具有以下优势：1. 可靠性：Aruba的解决方案采用先进的技术和稳定的架构，能够提供高度可靠的无线网络服务。

Aruba无线网络整体解决方案Written by Suntengfei2012-03目录1.项目总体概述 (4)2.AA公司无线系统需求分析 (4)2.1 AA公司无线网络覆盖要求 (4)2.2 AA公司无线网络架构要求 (5)3.无线网络设计 (6)3.1 无线网络接入覆盖设计 (6)3.1.1.覆盖设计 (6)3.1.2.网络改造覆盖面设计 (7)3.1.3.细粒度的无线安全设计 (8)3.2 无线网络系统组网设计 (11)3.2.1.无线控制器设计 (12)3.2.2.无线接入点设计 (12)3.3 无线网络稳定性设计 (13)3.3.1.无线接入点的冗余设计 (13)3.3.2.无线终端接入过程 (16)3.3.3.负载均衡设计 (17)3.3.4.抗干扰功能 (17)3.4 无线网络安全设计 (19)3.4.1.合法用户保护机制 (19)3.4.2.无线用户接入认证方式 (19)3.4.3.于现有系统用户系统的整合 (21)3.4.4.伴随用户的身份验证设计 (23)3.4.5.管理员帐户设定/访客管理系统 (25)3.4.6.访客流量与内网的隔离 (25)3.4.7.非法AP检测 (26)3.4.8.入侵检测 (27)3.4.9.无线接入的病毒防护 (28)3.5 无线网络可管理设计 (29)3.5.1.简便的配置向导功能 (29)3.5.2.无线热区图规划功能 (30)3.5.3.无线射频终端的定位 (31)3.5.4.无线系统的远程维护功能 (32)3.5.5.统一集中化管理 (33)3.5.6.未来网络扩展设计 (33)3.5.7.网络性能优化设计 (34)3.6 未来的无线网络扩展 (35)3.6.1.远程办公室无线覆盖规划 (35)3.7 AA公司集团无线网络远景规划 (41)4.方案优势 (42)4.1 稳定性优势 (42)4.1.1.通过大规模商业应用证明的成熟性和稳定性 (42)4.1.2.基于多种冗余配置方案的网络可靠性 (43)4.1.3.先进的无线交换架构 (43)4.1.4.完全符合801.11n标准 (43)4.2 安全性优势 (44)4.2.1.任何用户，安全策略伴随 (44)4.2.2.多层次的安全保护 (44)4.2.3.无线接入点安全侦测和保护 (45)4.2.4.无线网络入侵侦测 (45)4.2.5.无线接入的病毒防护 (46)4.3 可维护性优势 (46)4.3.1.智能终端识别 (46)4.3.2.集中式管理 (47)4.3.3.高级射频管理 (48)4.3.4.室内、室外、MESH一体化解决方案 (49)4.3.5.多厂商无线网络统一管理 (49)4.4 质量服务优势 (50)4.4.1.优秀的QOS，保证高质量的语音和视频业务 (50)4.4.2.业界最好的漫游特性、切换时延 (50)5.成功案例................................................................................................. 错误！未定义书签。

Aruba零售行业远程移动无线网络解决方案目录目录 (1)1.概述 (1)1.1现状分析 (2)1.2建设目标 (3)2.Aruba零售业远程移动无线组网设计 (4)2.1Aruba远程移动接入技术介绍 (5)3.Aruba零售业远程移动无线应用特点 (8)3.1仓储和库存管理应用 (8)3.2无线POS业务应用 (8)3.3无线视频监控应用 (9)3.4VoWiFi 电话语音服务应用 (10)4.Aruba零售业远程移动无线功能设计 (11)4.1.零售门店设备接入认证设计 (11)4.2.零售门店无线设备管理设计 (11)4.3.零售行业移动终端管理系统(MDM) (12)4.4.零售门店基于应用的权限设计 (14)4.5.零售门店安全设计 (15)4.4.1.端到端的数据加密 (15)4.4.2.无线接入的病毒防护 (16)4.4.3.符合国际信用卡行业PCI标准 (17)4.6.零售门店无线设备部署设计 (18)4.7.集中化统一管理 (19)5.Aruba 零售业远程移动解决方案优势 (21)5.1终端设备统一管理 (21)5.2方便简单的维护方式 (21)5.3便捷的部署方式 (21)5.4无需专有线路 (21)5.5高性价比和投资保护 (21)5.6集中管理的安全性 (22)1.概述计算机网络技术发展至今，已经达到了一个相当完满的境地，为商业零售业的解决方案也不断地推陈出新并日趋完善。

商业POS系统，库存盘点系统，MIS系统为商家提供了丰富的经营管理，预测分析的数据。

但是尽管如此，对于大型零售企业而言，随着客流量的不断增加，商品的流通越来越快，POS系统或MIS系统中经常用到的日结，月结等功能无法满足数据的实时性要求，使得企业管理者无法在第一时间获得各类商品的销售、存货的入库和上架等关键数据。

由于传统有线网络固有的缺陷，无法满足移动环境下的零售企业对应用实时性的要求，无线计算机通讯网络的解决方案开始为越来越多的商家所关注。

Aruba 无线网络系统功能特点总结物理方面1、控制器对AP统一升级控制器对AP自动分发最新软件版本，多台控制器的无线网络系统也是统一管理的，可以由一台控制器管理其它所有的控制器，大大减少了管理的难度和工作量 2、冗余可以对控制器设置运行模式，即Master和Local两种模式。

Local继承Master的配置（除无线配置之外，也不包含二三层配置）。

Master 可以做Master冗余，Master主要任务是做Local设备的管理。

Local 设备可以做N+1 冗余，无论多少台Local设备只需使用一台Local-BACKUP即可备份所有Local（但备份的设备只是备份，不代表不需处理故障设备，设备故障多了最终导致网络不可用）。

3、AP 的负载均衡基于用户数量的负载均衡（可以设置启用和关闭负载功能的最高最低门限值），基于利用率的负载均衡（可以设置启用和关闭利用率的最高最低门限值） 4、VLAN家用胖AP启用不了VLAN，企业级胖AP是一个SSID设置一个VLAN。

ARUBA瘦AP可以支持多VLAN，即VLAN POOL（VLAN 池），每个SSID最大可以支持32个VLAN。

也可基于用户角色划分VLAN，但是这个VLAN POOL，是要基于哈希运算，终端属于某个VLAN是由哈希运算结果决定的，并不是基于VLAN顺序或者VLAN号码分配的。

5、二三层漫游2层漫游，举例，你的手机号码在中国境内漫游，手机号码所属号段为同号段（130-159号段），你所在的地区一直为此号段，未被改造过。

技术层面，2层漫游后在同一VLAN，IP地址在同一网段（所属VLAN，网段相同）3层漫游，北京的手机号漫游到美国或者香港，你的手机号码已经不属于当地号段范围内，但你的手机照样可以用原有的手机号码进行呼入呼出，（所属VLAN，网段不同），终端使用原有VLAN，ip网段的IP进行通讯软件方面1、PEF（基于用户角色的策略防火墙）用户角色的划分，类似于WINDOWs组的概念，做各种安全，控制策略基于用户角色的安全策略（无线终端之间的二三四层隔离，无线控制器各接口的安全隔离，用户指定服务器的安全隔离，无线终端禁止私自设置DHCP服务，用户指定的其他安全策略）带宽限制：如重要用户固定2M，其他所有用户共享10M2、WIP（无线攻击保护软件模块）（基于无线的入侵防御系统IPS，告诉入侵了，而且主动防御（很多其他厂家要单独加设备）；入侵检测系统-IDS，只是检测到有非法入侵，并发送警告信息，但无法对入侵行动进行防御）WIP的特色：①非法AP的检测，怎么检测呢，首先无线网络系统检测到其它AP 的存在，然后无线网络系统通过有线检测到此AP存在，那么就认为此AP是非法入侵AP；无线系统此时会模拟非法入侵AP向连接该AP的无线终端发送断开请求数据包，导致无线终端大量丢包，最终造成无线终端与其连接断开而无法上网。

ArubaOS无线入侵防护(WIP)Aruba 的无线入侵防护(WIP) 模块可以保护网络的移动边缘免受有害网络安全的无线威胁。

将无线入侵防护集成到移动边缘基础结构中，就不再需要射频端子和安全设备的独立系统。

WIP 模块为Aruba 移动系统提供了特殊功能，使管理员可以清楚地观察网络，阻挡恶意无线攻击、伪冒和未认证的入侵。

防止欺诈AP欺诈AP 分类和自动阻拦拒绝服务(DoS) 攻击侦测管理框架洪水未认证的入侵认证洪水探测请求洪水伪冒AP 洪水零探测响应EAP 握手洪水探测和网络发现网络障碍侦测和广播探测客户机入侵防护蜜罐AP 防护有效站点防护网络入侵侦测无线网桥ASLEAP 攻击监视脆弱加密执行侦测伪冒侦测和防护MAC 地址欺骗AP 伪冒中间人攻击不规则序列号侦测侦测本身仅仅是保证企业环境免受不希望的无线访问的第一步。

如果没有足够的方法来快速关闭入侵，侦测几乎是毫无用处的。

没有对AP 和站点的精确分类（例如有效、欺诈或邻居），就无法对可能的入侵提供自动响应。

Aruba AP 定期扫描射频频谱的所有信道，捕获所有的802.11 通信，并在本地检查所有捕获的数据。

只发送违反策略的数据到中央移动控制器，这样可以保证将其对无线网络性能的影响降到最小。

当扫描环境时，Aruba 系统了解所有AP和站点的信息，并根据在线路上和在空气中发现的通信流为这些设备分类。

这些通信是在移动控制器上收集并进行相互关联的。

Aruba 的WIP 模块提供了侦测和防护两种功能。

它可以对用户和设备进行侦测和分类，这样管理员可以对无心和恶意的WLAN 访问作出反应。

市场上没有其它任何产品提供这样的功能。

它能够精确地侦测并停止欺诈AP独一无二的站点和用户分类Aruba 无串谋分类系统对连接到网络的AP 和站点进行自动识别和分类。

系统通过比较空气中的通信量和线路中的通信量来运作。

当找到匹配时，则可以肯定设备属于本地网络，而不是邻近网络。