Aruba精心打造清华大学FIT楼无线局域网

Posted 2023-03-17

参考技术A

学校概况

　　清华大学信息技术研究院Future Internet Technology（FIT）大楼是清华大学校园内的一个重要研究机构，是一座现代化，智能化的高科技大厦，为国家的信息领域的各项前沿研究项目提供环境和条件。同时也是国内最早应用IPv6技术的智能大厦之一。

客户需求

• 良好的安全性
• AP间无缝漫游
• 通过captive portal页面对用户进行认证
• 支持多个SSID
• 同时支持数据和语音业务
• 集中的设备管理和认证
• 可以和清华大学的radius服务器结合进行用户的认证
• 对接入用户进行访问控制，采用白名单的方式开放有限的免费Internet访问资源
• 可以实现无线终端的定位以及Rogue AP的监测和防护
• 支持以太网供电

解决方案

• Aruba 2400 Wi-Fi交换机系统
• 30 多个Aruba AP 60/61（802.11a/ b/g AP）
• Aruba AirOS VPN, RF管理和无线IDS 应用

优点

• 覆盖FIT楼的 Wi-Fi 系统
• 集中的RF管理
• 数据语音同传
• 灵活的认证方式
• 基于状态防火墙的访问控制
• 无线的安全防护

　　清华大学FIT楼借助Aruba无线系统实现语音数据的应用和无线的安全保护

　　清华大学“无线校园”实验网选用Aruba无线系统对清华大学信息技术研究院(FIT)大楼这个重要建筑进行无线覆盖，由北京国都兴业科技发展有限公司设计并实施。清华大学主要看重了Aruba最新的无线“移动边缘”网络架构解决方案的可扩充性，安全保障和中央控管，以及可以满足清华大学语音和数据业务同传及无缝漫游的需求。

　　FIT大楼共计六层，是一个“凹”字型的楼体结构。需要在楼内和楼外做无线信号的覆盖，实现语音和数据业务，以及无缝漫游。系统能够进行统一的中央控管，能够支持多种安全策略和认证方式，还要能够方便地进行扩容。同时要求实现Aruba RF控管，定位以及Rogue AP的监测和防护。并能够和清华大学已有的Radius系统互联，实现无线用户的认证。

　　使用Aruba无线系统在FIT大楼内部实现覆盖，同时在室外的适当位置架设了3个AP和外置天线，实现了FIT大楼的室外覆盖，并可实现无缝的语音和数据漫游。

　　除了在FIT楼做无线覆盖以外，在二层着重安装了一些无线监控AP，专门用于无线射频的控管，以及Rogue AP的监测和防护。

　　Aruba系统的核心部分，是一台Aruba 2400，整个无线网络的配置和安全参数都由它来进行统一管理。FIT楼安装了30多个802.11a/b/g标准的Aruba AP60/61（瘦AP），对于清华大学来说，瘦AP的模式更安全和易于扩展。Aruba的瘦AP抛掉了所有配置信息，全部的加解密工作都在本地的Aruba WLAN交换机内进行，第二个好处是，清华大学可以方便地对所有AP进行安装和集中管理。

　　Aruba交换机是专门设计来和802.11a/b/g AP进行自动联接的，而且，不需要任何其他物理或逻辑配置，只要通过一个GRE隧道即可。所以Aruba系统可以配置为第二层系统，和任何有线网络重叠，这些只需要在现有的架构上进行简单安装。

　　清华大学FIT楼使用两个SSID分别提供语音和数据业务。

　　数据业务用户通过数据专用SSID接入无线网，首先通过清华大学的DHCP服务器获得地址，然后访问网页时Aruba交换机会推送一个根据清华大学定制的Captive Portal页面，让用户输入用户名和密码，Aruba交换机将用户输入的用户名和密码交给清华大学的Radius服务器进行认证，清华大学的Radius服务器会将Oracle数据库中保存的帐户提取做对比，如果一致，将返回给Aruba交换机认证通过的信息，用户将能够获得权限访问无线网络。

　　成功验证后，作为高级用户也可以选择下载Aruba VPN 拨号器。拨号器会自动地对用户机进行全部的VPN设置，同时提供给用户强大的3层IPsec解码功能。这样的认证和加密完美的结合，并且不需要客户端附加的配置。

　　Wi-Fi手机用户使用的是MAC地址的认证方法。在Aruba交换机中将允许的Wi-Fi手机的MAC地址输入，并给予一定权限，同时将Wi-Fi手机使用的SIP协议设置成高优先级，以保证语音的实时性。Wi-Fi手机用户使用语音专用SSID接入无线网络，获得地址，Aruba交换机对于合法的Wi-Fi手机的MAC地址已经识别，会给予相应权限。Wi-Fi手机根据手机内部的配置，会到清华大学的SIP服务器注册。注册成功后可以拨打其他Wi-Fi手机和国内任何电话，包括手机和座机。

　　除了语音和数据业务的应用，同时还使用了视频业务。Skyview的基于IP网络的视频监视系统也在Aruba无线网络台上顺畅运行。在Aruba无线覆盖的范围内架设了使用无线网卡的摄像头，这些摄像头将拍摄的信息数字化后，使用无线网卡通过Aruba无线网络平台传送到连接骨干的Skyview视频服务器上。用户可以使用浏览器浏览到所有摄像头的图像，同时还可调控摄像头的焦距和方向。

　　Aruba 的操作系统软件AirOS使网管人员能够动态地对个人或群体用户创建独有的安全规则，并按照用户身份和他们所处的无线领域来发放许可，让他们使用系统，协议或目标文件。整个无线系统在一个端口进行集中管理，并具有自动调频（RF）校准（包括频道分配设置和AP权限调整）以及用户移动跟踪等好处。这个特性尤其适用于在移动中使用无线 VoIP电话的场合。

从边缘到云，万物互联时代Aruba的技术经

作者 | 宋慧

出品 | CSDN 云计算

网络，是重要的 IT 基础设施之一。在 2021 年底，国际分析机构 Gartner 发布了本年度企业有线和无线局域网基础设施魔力象限，HPE 旗下公司 Aruba 连续第十六年被列入领导者象限。更早一些的 2021 年 Gartner 广域网边缘基础设施魔力象限报告中，HPE（注：HPE 边缘基础设施能力以 Aruba 和 Aruba 收购的 Silver Peak 产品技术为主）也连续四年被列入领导者象限。

从业界的趋势也可以看到，网络领域的巨头公司在纷纷加码边缘相关的产品与能力。近日，CSDN 就相关的趋势与问题，采访了 Aruba 中国区总经理谢建国与 Aruba 北中国区大客户技术总监刘宁，听听网络巨头 Aruba 对网络与边缘趋势的最新见解与经验。

IoT 时代万物互联，Aruba 从智能边缘到混合云

随着 IoT 物联网的快速发展，智能化边缘设备数量暴增，这些庞杂的边缘端设备，分散在生产和生活的各类场景中，功能和需求各有不同，甚至需由几类设备协同工作。在 IoT 的发展中，需要对多种边缘设备集中管控，通过云端连接，并实现自动编排，让边缘设备成为智能化的边缘。

在局域网和广域网领域有深厚积累的 Aruba，将这样的需求与趋势总结为边缘到云（EDGE-to-CLOUD）的过程，并拆分为（设备的）连接、保护、分析（预测）、行动（上云）四步，并提供了边缘服务平台 Edge Service Platform（简称 ESP）。

 Aruba 从边缘到云完整架构方案

在 ESP 平台中，Aruba 提供了从接入边缘设备的底层基础设施到零信任的安全保护，再到基于 AI 自动化分析与运维的 AIOps 统一管理平台。

其中在连接层，Aruba 具备了 WLAN & IoT 统一接入、基于云原生的 CX 系列分布式服务交换机、广域网的 SD-Branch 与 SD-WAN 两种解决方案。安全层面，Aruba 拥有零信任安全产品 ClearPass，集成了终端自动识别、网络准入、策略管控等产品功能。智能运维层面，Aruba 有云管理平台 Aruba Central，集成了 AI 技术的 AIOps 智能运维，以及 UXI 智能探针等产品功能。

在以上的各层方案中，Aruba 拥有众多软件与技术，如大规模配置审计和校验软件配合 NetEdit、网络分析引擎 NAE、动态分割 Dynamic segmentation、终端识别 ClearPass（以及其中的人工智能自动化终端识别 Device insight）、智能型软件定义编排解决方案 Fabric Composer 等。

另外对于网络与安全领域最重要的一个技术趋势 SASE，Aruba 也在积极布局。2021 年 Aruba ESP 就推出了一系列跨产品的、从边缘到云安全功能的集成及多项改进，包括 ClearPass Policy Manager 安全网络访问控制平台与 Aruba EdgeConnect SD-WAN 边缘平台集成，以及 Aruba 威胁防御与 EdgeConnect 平台集成。

集合以上所有的产品与技术能力，现在，Aruba 拥有了完整的、从边缘到云端的解决方案，为用户实现边缘到云的转型。

另外在实际应用中，Aruba 也看到并总结了网络技术发展与场景应用的趋势。Aruba 中国区总经理谢建国向 CSDN 介绍，除了 IoT 数量的暴增之外，无线网络将从 2022 年开始升级至 Wi-Fi 6E。另外企业对安全的考量愈加重要，将有大量企业将转向 SASE 架构。以及 NaaS 网络消费模式将获得快速发展、疫情后混合办公与 AI 技术驱动发展等等。

完整技术方案之上，Aruba 的“小场景”选择

具备完整的技术与产品方案之后，Aruba 将应用场景做了极致化的细分，并称之为“小场景”。

这点其实非常好理解，场景细分后，将可以使 Aruba 的产品与技术服务更加满足与贴合在 IoT 万物互联趋势下，用户多样化需求。

依照无线、有线、广域网三类网络场景，Aruba 在完整技术架构方案之上，拆分了更细致的场景方案以满足不同场景下用户需求（如下图）。底层则均有零信任安全如 BYOD、NAC、Device Insight，以及 AIOps 智能运维平台去支撑所有细分“小场景”下的细分“小方案”。

Aruba“小场景”下的“小方案”

除了已有的场景，随着网络技术发展如 5G、WiFi 6E，以及新冠疫情等黑天鹅事件，Aruba 也在看到更多新兴的网络应用场景。例如混合办公的兴起，以及 AI 驱动以满足用户群体的个人差异化需求。另外，Aruba 也看到 NaaS（Network as a Service 网络即服务）网络消费将快速发展，例如医疗与医院场景中，候诊中为患者提供网络服务，医生在手术室实现在线传输手术病例资料等，将越来越普及。

现在，除了各高校的教育行业用户，Aruba 还为酒店、新兴制造、医疗和互联网行业的用户在提供网络与边缘到云的服务。同时，谢建国也向 CSDN 表示，中国的高端制造业具有最独特的高密度大流量网络应用特征，也是 Aruba 在中国的独特重点行业之一。

Aruba 中国客户

未来，将有百亿、甚至千亿数量级别的 IoT 设备将接入网络，而网络应用技术也将不停向前发展，网络领域 Top 级厂商 Aruba 的每一步，都值得我们开发者关注与学习。Aruba 也在投入更多研发精力，去应对未来的网络压力与安全挑战。