ArubaOS 8 控制器操作系统说明书

admin管理员组

文章数量:1537903

2024年7月9日发(作者：)

产品资料

ArubaOS 8 控制器操作系统

这个更为智能化的操作系统专为当今移动化的办公场所打造。

概述

移动设备、物联网（IoT）和关键业务应用程序使移动工作人员

能够提高生产力和效率，但这同时提高了他们对网络的需求。

ArubaOS是所有Aruba移动控制器、虚拟移动控制器、

Mobility Master和控制器管理的无线接入点的操作系统。凭借

Mobility Master是Aruba架构的一个新组件，使客户能够利用

要求集中协调的高级功能，以及因移动和IoT设备需求增加而扩

展的网络。它还可以替代主控制器的先前功能，并且可以部署为

VM或x86硬件设备。Mobility Master自动优化RF，并在不太

可能发生的控制器宕机故障中实现无中断故障转移。

Aruba当前的移动控制器客户可以从ArubaOS版本6升级到版

广泛的集成技术和功能，ArubaOS 8提供统一的有线和无线接入、

本8，并立即受益于一些新特性和功能。对于更高级的功能（例

，客户需要在部署中添加Mobility Master。有关

无缝漫游、企业级安全、以及始终在线的网络，交付所需的性能、

如第三方集成）

用户体验和可靠性，以支持高密度环境。

ArubaOS 8上详细功能的说明，请参阅此处提供的列表说明。

ArubaOS 8系统中的以下技术仅在MOBILITY MASTER中得到支持

功能特性

AirMatch

优点

Aruba利用AirMatch进一步增强了自适应射频管理（ARM）技术——新的自动化信道优化、发射功率调

整和信道宽度系统，利用动态机器学习智能自动地优化整个WLAN网络。

控制器集群

MultiZone

北向API接口

通过在一个集群中支持多达12个控制器，控制器集群能够在发生故障或人群密度极高的情况下，跨越大

型园区提供无缝体验。

Mobility Master中的新MultiZone功能可让IT企业机构在同一物理位置使用相同的接入点时，拥有多个

独立的安全网络。

Mobility Master拥有一套完整的北向API，能够帮助深入了解网络。 北向API接口以易于集成的格式提供

RF健康度量、应用程序利用率、设备类型和用户数据的信息。第三方应用程序可以从控制器中接收信息，

并分析所有这些指标，以提高可视性和监控能力。

Mobility Master引入了动态更新Mobility Master中各个独立服务模块（AppRF、AirGroup、ARM、

AirMatch、KIBAPI、UCM、WebCC和IP分类）的能力，而无需重新启动整个系统。

在线模块升级

产品资料

ArubaOS 8

以下技术是ARUBA操作系统的核心

功能特性

ClientMatch

优点

Aruba获得专利的ClientMatch技术消除了粘性客户端，并通过确保客户端连接最佳接入点，提高了

Wi-Fi性能。它还将MU-MIMO客户端分组，用于同时传输到多个设备，从而提高整体WLAN容量。

AppRF技术是可选的ArubaOS策略执行防火墙（P E F）模块的一部分，为WLAN带来了应用感知功能。

它使IT能够为每个用户确定应用程序的优先级，并扩展自带设备（BYOD）事务和设备密度。

AirGroup可以轻松地跨子网共享Apple TV、打印机、Google Chromecast和其他DNS广告设备。简单

的配置选项确保所有设备可以看到彼此，而高级选项则减少了基于物理位置、当日时间、角色和自配置共

享岛的共享范围。

自适应射频管理（ARM）技术动态调整RF环境，以最大程度地提高Wi-Fi稳定性和可预测性，确保所有

客户端和应用程序包括Microsoft Skype for Business voice、视频、桌面共享和聊天信息流的最佳性能。

为了保护网络资源免受无线威胁并优化网络性能，ArubaOS 8集成了行业领先的非法AP遏制和分类解决

方案——ArubaOS RFProtect模块。

RFProtect模块将无线安全集成到网络基础设施中，而无需单独的RF传感器和安全设备系统，从而实现政

府级无线入侵防护。

注意：这是一个可选的许可功能。

AppRF

AirGroup 技术

自适应射频管理（ARM）技术

RFProtect模块

高级加密

ArubaOS高级加密（ACR）模块为Aruba移动控制器提供军用级Suite B加密技术，为用户带来可移动性，

并能够安全访问处理敏感、机密和分类信息的网络。

VIA是一种自由混合的IPsec / SSL VPN，可自动扫描并选择到公司网络的最佳安全连接。与传统VPN软

件不同，VIA提供零接触终端用户体验，并能在客户端设备上自动配置WLAN设置。 VIA完全感知Wi-Fi。

IT企业机构可以查看非RF指标（RADIUS、DHCP和DNS服务器），不仅能够为他们提供端到端的无线用

户体验的可视性，还能够在用户受到影响之前预见连接问题。

Clarity不仅能够查看通过网络的实际流量，还能够让WLAN管理员模拟流量，在用户体验服务中断和性

能问题之前识别这些问题。这个主动的工作流程可以在数千个地点按需或按计划启动。

注意：这是一个可选的许可功能。

虚拟内部网访问（VIA）客户端

Clarity

简化操作

与在包含全局和本地配置的平面配置模型上操作的ArubaOS6相

反，ArubaOS 8新的UI界面使用集中式多层体系结构，清晰地

分离了管理、控制和转发功能。Mobility Master和受管设备的

所有配置都在一个集中的地点进行——这能够带来更好的可见性

和监控能力，并能够简化配置流程，并最大程度避免重复作业。

ArubaOS 8中的新UI界面具有现代化的外观，采用快速化的工

作流程，使用起来更为简单。ArubaOS 8中的以下功能简化了网

络操作：

带池的集中许可：IT团队可通过来自Mobility Master或主控制

器的集中式许可，在一个集中式位置管理所有许可证。在新的

AOS 8当中，我们扩展了此功能，包含了带池的集中式许可。对

于在企业内部为不同团体提供单独资助的一些客户，他们可以选

择为每个团体分配许可，以便他们进行自我管理和使用。

产品资料

ArubaOS 8

零接触配置服务（ZTP） ：ZTP自动部署AP和受管设备。即插即

用可实现快速简便的部署和简单化操作，降低成本并减少配置错

误。 ZTP在7xxx移动控制器中引入，现在在ArubaOS 8中，我

们正在将这个功能包含在72xx移动控制器当中。移动控制器从

主控制器或Mobility Master接收其本地配置、全局配置和许可

证限制的信息，并实现自动配置。

启用统一访问

Aruba允许任何用户，无论地理位置在哪里，采用有线还是无线，

都能够始终如一的安全访问企业网络。统一的安全和访问策略可

应用于总部、分支机构、家庭办公室或者在出差的用户。用户和

设备通过简单轻便的接入设备或软件连接公司网络，这些接入设

备或软件能安全且自动地连接到移动控制器。

图l：ArubaOS 8新UI

统一接入框架

用户连接方法•安全的企业级Wi-Fi

•有线以太网

•VPN远程访问

•私有或公共IP云

-以太网

-无线广域网（EVDO、HSDPA）

•Wi-Fi网状网（点对点和点对多点）

•集中式 - 所有用户流量流向移动控制器。

•策略路由 - 根据流量类型和策略，将用户流量选择性地转发到移动控制器或本地桥接

•集中式 - 流量在设备和移动控制器之间进行加密。

•分布式 - 流量在设备和接入点之间加密。

•开放式 - 无加密

•Layer 2和Layer 3层集成 - 移动控制器可以基于每个VLAN切换或路由流量。

•快速生成树 - 快速实现Layer 2收敛。

•OSPF - 与现有路由拓扑结构简单集成。

接入点连接方法

流量转发

Wi-Fi加密

与现有网络集成

产品资料

ArubaOS 8

移动控制器由ArubaOS 8驱动，管理Aruba接入设备和接入软件。

当使用Mobility Master时，可通过控制器集群在大型园区进行

它们还管理软件映像、配置和用户连接状态，并执行策略。整个

基础设施，无论是无线还是有线，都通过一个单一的虚拟管理平

台Aruba AirWave控制。Aruba AirWave可让IT管理跨越几代

多供应商网络的应用程序和设备的用户体验。AirWave提供影响

无线和移动服务级协议（SLA）所有因素的可视性信息，可让您

主动计划容量，实现客户端性能的可视化，并在您寻求服务台帮

助之前解决应用程序问题。

无缝移动架构

企业用户在从一个位置移到另外一个位置的时候，日益需要网络

接入服务。对于Wi-Fi网络而言，ArubaOS可在用户在整个网络

中移动时提供无缝连接。由于漫游切换时间仅为2-3毫秒，对延

迟敏感的语音和视频等应用程序都能够流畅运行。

ArubaOS集成了代理移动IP和代理DHCP功能，无需使用特殊

的客户端软件，用户就能在各个子网、端口、接入点和控制器之

间漫游。甚至当用户在整个网络中作业移动，并且远远偏离最初

连接的接入点的时候，也能够确保无缝的性能。

VLAN池是另一个强大的简化了网络设计的接入优势。它们并没

有将VLAN拉到网络边缘，而是集中在在移动控制器中，并通过

隧道连接到接入点。这具有几个主要优点，包括减少网络配置复

杂性和缩减生成树直径。VLAN的用户成员的负载是均衡的，当

大群用户围绕网络移动时，能够维持最佳网络性能。

Aruba的统一接入方式还可跨越私有WAN或使用公共网络将企

业扩展到远程地点。用户无论身处何地，都能获得相同的接入体

验。对于远离企业网络基础设施的用户，移动控制器作为标准

VPN集中器运行，与其他企业用户一样，通过同样的接入和安全

框架连接远程用户。

无缝漫游。当用户在大型园区移动的时候，他们的关键任务应用

程序（如Skype商用电话）并不会遭遇任何延迟。集群中的所有

控制器共同管理用户。用户可以在10,000个接入点之间漫游，

而无需获取新的IP地址，进行重新验证或丢失防火墙状态信息。

整个网络中的无线安全

为了确保企业网络的安全，ArubaOS为用户和设备执行身份验证、

访问控制和加密。在Aruba架构中，身份验证是标准的功能，有

线和无线网络都可使用。对于有线网络而言，是标准的认

证方式。对于无线网络而言，802.1X是WPA2和 802.11i协议

的一个组件，而WPA2和802.11i协议被广泛认为是确保Wi-Fi

安全的最佳协议。

ArubaOS支持AAA FastConnect，AAA FastConnect可让

802.1X身份验证交换的加密部分在移动控制器上终止，允许它

在不同的身份识别存储库（包括RADIUS和LDAP）之间联合。

AAA FastConnect支持PEAP-MSCHAPv2、PEAP-GTC和

EAP-TLS，不要求外部认证服务器兼容802.1X。

对于没有WPA、VPN或其他安全软件的客户端，Aruba支持基

于Web的强制网络门户，该网络门户提供安全的基于浏览器的

身份验证。强制网络门户网站认证使用SSL进行加密，并且可以

支持具有登录名和密码的注册用户或仅提供电子邮箱地址的访客

用户。

为了防止未授权的无线设备，Aruba的非法接入点分类算法可让

系统准确地区分连接到网络且具有威胁性的接入点和邻近具有干

扰性的接入点。这些接入点一旦被确认为非法的，就会通过无线

和有线网络自动禁用。基本的ArubaOS系统能够提供非法AP

分类和遏制功能，并不需要额外的移动控制器许可。

产品资料

ArubaOS 8

由于网络已经成为一个必不可少却危险的场所，我们希望能够快

速确定用户正在访问的网站类型，并评估这些网站对网络及其用

ArubaOS 8针对 URL过滤、IP信誉和地理位置提供了可选的订

阅Web内容策略，通过适当的策略可进行阻止和限速。目前，

AOS 8仅支持URL过滤和URL信誉。

在综合无线入侵防护（WIP）方面，移动控制器的RFProtect模

块可抵御ad hoc网络、中间人攻击、拒绝服务（DoS）攻击和

户造成的相对威胁。为了以最准确和最新的方式做到这一点，

许多其他威胁，同时实现无线入侵特征检测功能。

ArubaOS 8企业安全框架

认证类型• IEEE 802.1X (EAP, LEAP, PEAP, EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM,

EAP-POTP, EAP-GTC, EAP-TLV, EAP-AKA, EAP-Experimental, EAP-MD5)

• RFC 2548 微软供应商特有的 RADIUS 属性

• RFC 2716 PPP EAP-TLS

• RFC 2865 RADIUS认证

• RFC 3579 RADIUS EAP支持

• RFC 3580 IEEE 802.1X RADIUS指南

• RFC 3748可拓展认证协议

• MAC地址认证

• 基于Web的强制网络门户认证

• 内部数据库

• LDAP/SSL secure LDAP

• RADIUS

• TACACS+

• 已通过互操作性测试的认证服务器：

- Microsoft Active Directory (AD)

- 微软lAS和NPS RADIUS服务器

- 思科ACS、ISE服务器

- Juniper Steel Belted RADIUS、统一访问服务器

- RSA ACE/服务器

- Infoblox

- Interlink RADIUS服务器

- FreeRADIUS

• CCM P/AES

• WEP 64和128位

• TKIP

• SSL and TLS:

- RC4 128位

- RSA 1024位

- RSA 2048位

• L2TP/IPsec (RFC 31 93)

• XAUTH/IPsec

• PPTP (RFC 2637)

可以通过软件升级支持未来的加密标准

支持身份验证方法的灵活性

提供安全的访客接入方案

在移动控制器和IPsec设备之间建立IPsec隧道。支持X.509 PKI、IKEv2、IKE PSK、

IKE aggressive mode的认证。

认证服务器

加密协议

可编程加密引擎

基于Web的强制网络门户（SSL）

综合访客接入管理

站点到站点式VPN

产品资料

ArubaOS 8

图2：WebCC仪表板

产品资料

ArubaOS 8

应用感知可见性和基于角色的安全

ArubaOS PEF许可证增强了以用户为中心的安全性，应用程序

的可见性和控制能力。它将下一代移动防火墙的功能带到大多数

来分类和优化流量，并通过一个简单的仪表板提供完整的可视性

流量数据。

PEF通过基于每个用户在无线边缘实施的集成的防火墙控制，添

加基于身份的完整的安全功能，简化和增强了访问的安全性。这

允许ArubaOS围绕每个用户或设备创建网络安全周边，严格控

制用户或设备可能访问企业网络资源的方式。

AppRF是PEF许可证的一部分，为WLAN带来应用感知功能和

控制能力。通过提供在Wi-Fi网络上运行的流量类型的可视性，

AppRF可让管理员了解哪些类型的用户流量正在消耗重要的无线

资源。AppRF还提供前所未有的流量控制能力，这种灵活和强大

的控制能力可让管理员在2500多个应用程序中选择让哪些用户

的流量，以何种优先级通过无线传播。

在当前的ArubaOS 8系统当中，我们通过为客户添加定义定制

化应用和应用程序类别的功能——AppRF定制化来扩展AppRF

功能。这将使客户能够针对定制化类别和与该类别相关的所有应

用程序应用策略，并优先处理定制化应用程序的流量，在无需等

待Aruba在未来发布的软件版本中进行定制的情况下，就能够获

得更好的用户体验。

提升用户体验以推动统一通信和协作（UCC）

如今的员工偏好移动UCC所带来的自由和协作。Aruba UCC-解

决方案通过为以下应用程序自动分类和监控网络质量来提供更好

朗讯新办公环境（KIOE）、Microsoft Lync / Skype for

Business、Cisco Jabber、Cisco Skinny呼叫控制协议（SCCP）、

Spectralink语音优先（SVP）、SIP、H.323、Vocera和蜂窝

Wi-Fi呼叫。

Aruba商用 Skype解决方案将SDN与Microsoft Skype for

Business和AppRF技术集成，提升服务质量（QoS）和可见性，

从而实现可预测的统一的通信体验。 ArubaOS 8功能进一步加强

了UCC解决方案，并引入了以下UCC特性：

• Cisco Jabber使用未加密版本的Cisco Jabber客户端，提供语

音、视频呼叫和桌面共享会话的服务质量和可视性信息。

• 多应用层网关（ALG）支持对同一客户端设备上同时运行的多

个应用程序进行识别和确定优先级。最多支持在客户端设备上

同时运行10个应用程序。

随着Wi-Fi呼叫变得越来越普遍，您需要准备和重新评估您的内

部Wi-Fi网络设计、切换、服务质量和RF覆盖目标。ArubaOS

8改善了室内Wi-Fi的覆盖面，并应用了服务质量，阻断或节流

呼叫，并提供了客户端健康的可视性信息，为客户提供电信级语

音体验。除了提高服务重量之外，Aruba还为每个用户、每个设

备和每个carrier提供Wi-Fi呼叫的可视性信息。

用户流量首先接触的网络无线边缘。它使用深度包检测（DPI）的用户体验，这些应用程序包括：Apple FaceTime、阿尔卡特

应用感知的可见性和基于角色的安全性

特性

全局或基于角色的策略

2500多个应用程序

19个应用类别

实施服务质量（QoS）标记

阻止不需要的应用程序

应用程序或应用程序类别的速率限制

优点

使用单个命令简便地控制所有用户流量，

灵活控制哪些用户可以运行什么应用程序。

高颗粒度的可见性和控制。

简化对不同类型流量的控制。

将一个应用程序优先于另一个应用程序

节省带宽，并停止不需要的活动。

允许非必要流量，同时防止其影响任务

关键应用程序的运行。

产品资料

ArubaOS 8

图3：AOS 8上的UCC仪表板

企业级自适应无线局域网

当今的商业世界要求移动设备和应用程序能够在任何时间在任何

地方都能够访问。要提供这种可靠的访问服务需要WLAN根据动

态移动环境，主动管理射频频谱（RF）。

自适应射频管理（ARM）技术是一种经过验证的专利技术，通过

基于基础设施的自动控制来管理整个RF频谱。ARM动态调整

RF环境，以最大限度地提高Wi-Fi稳定性和可预测性，确保所有

客户端和应用程序的最佳性能，包括对个人Microsoft Skype for

Business语音、视频、桌面共享和聊天流程的可见性和控制。

有了ARM，无需IT干预，用户就能够获得始终如一的良好用户

体验。

ArubaOS 8通过AirMatch——新的射频优化系统，进一步提升

了自适应射频管理（ARM）技术。

Mobility Master中的AirMatch在设计的时候将现代RF环境考

虑在内。 AirMatch适用于高噪声，清洁或自由空间小的高密度环

境。它收集过去24小时的RF统计信息，并主动优化第二天的网络。

通过自动化信道，信道宽度和发射功率优化，AirMatch可确保

每个信道的均衡使用，帮助减轻干扰，并最大程度提升系统容量。

AirMatch优势

均衡的信道分配

动态信道宽度调整

自动发射功率调整

能够让射频在可用信道中均匀分布，减轻干扰和最大化系统容量。

在20MHz、40MHz和80MHz之间动态调整，以匹配您环境的密度。

检查整个WLAN的覆盖面，并自动调整AP的发射功率，以确保最佳的覆盖和用户体验。

产品资料

ArubaOS 8

提升可靠性和用户体验

移动设备、物联网和关键应用程序的海量流量正在涌向网络。用

户希望他们的移动体验不会因控制器故障或在大型园区内移动而

中断。ArubaOS 8提供了一组强大的高可用性功能，旨在最大程

度地减少发生控制器故障时的宕机时间。

在Mobility Master当中，控制器集群允许在部署WLAN园区的

过程中集群12个控制器，并提供无中断的故障转移。在罕见的

控制器故障事件中，用户不会意识到任何问题。语音通话、视频

和数据传输都会继续进行，而不会受到明显的影响。用户会话信

息在集群中的控制器之间共享，确保任何用户都不会经历单点故

障。

适用于分公司和远程办公人员的远程网络

Aruba远程和分公司网络解决方案为将公司网络扩展到分公司、

小型驻外机构、门店、SOHO和远程办公人员提供了一种简单、

安全和经济的方式。ArubaOS在移动控制器上集成了分公司专

有的功能，包括园区或数据中心中的移动控制器上的VPN终止，

以及部署为分公司网关的移动控制器上的WAN服务。

园区中的移动控制器处理所有复杂的配置、管理、软件更新、身

份验证、入侵检测和远程站点终结的任务；而分公司中的移动控

制器则处理网关任务，如基于策略的路由，压缩和本地网络功能。

在较小的分支机构或作为远程使用案例的情况下，企业网络可以

通过经济实惠的远程接入点（RAP）进行扩展，或通过Aruba虚

拟内联网接入（VIA）VPN服务投入使用。

高可用部署模式

双活(1:1) 每个移动控制器通常提供50％的额定容量。两个移动控制器AP互为备用。

如果其中一个控制器出现故障，其AP将切换到另外一个控制器，确保所有AP的高可用性。

一个移动控制器终止所有AP，而另一个控制器充当备用。

如果主控制器关闭，AP将迁移到备用控制器上。

多个主用的移动控制器采用单个备用控制器作为备份

主用/备用(1+1)

N+1

特性

AP与主用和备用移动控制器同时建立通信信道。

优点

首次失败时，立即切换到冗余移动控制器

在切换期间，AP不会关闭和打开射频。

该解决方案适用于Layer 3网络

客户端状态同步

N+1 超额订阅

SSID始终可用

无需特殊的拓扑结构。

凭据被缓存，消除了重新认证的需求，避免了RADIUS服务器的超负载

简化配置，并减少所需的移动控制器数量。

产品资料

ArubaOS 8

用于远程办公人员的远程接入点

零接触配置服务

有线和无线

灵活的认证

集中式管理

3G / 4G LTE WAN连接

FlexForward流量转发

管理员不需要任何预配置就可以部署 RAP。只需要将它交付给终端用户。

用户通过有线以太网、Wi-Fi或同时采用两种方式连接到RAP。

可进行每个端口和每个用户的802.1 X、强制网络门户、MAC地址认证。

在AP上不执行本地配置

——所有配置和管理都由移动控制器完成。

RAP支持使用USB无线广域网适配器（EV-DO、HSDPA），

用于主用或备份的互联网连接。

•集中式 - 所有用户流量流向移动控制器。

•本地桥接 -所有用户流量由接入设备桥接到本地LAN网段。

•策略路由 - 根据流量类型/策略，选择将用户流量转发到移动控制器或

进行本地桥接（需要PEF授权）。

RAP使用X.509证书向移动控制器进行身份验证，

然后建立安全的IPsec隧道。

为音频等丢包敏感应用协议定义预留带宽

万一遇到故障需要协助时，本地用户可以浏览预定义的URL，

访问RAP诊断的全部内容。

RAP还可以充当网状网入口，提供到下游AP的无线连接。

所有Aruba AP

每个SSID 64 kbps

企业级安全

上行链路带宽预留

本地诊断

远程网状网入口

支持的AP

所需的最低连接速度

加密协议（RAP到移动控制器）

REMOTE NETWORKING FOR BRANCH OFFICES AND TELEWORKERS

分公司/远程工作人员企业数据中心

AES-CBC-256（IPsec ESP内）

互联网服务

分公司

分支机构

互联网出口点

打印机

服务器

台式电脑

接入交换机远程接入点（RAP）

防火墙

移动控制器

笔记本电脑智能手机

语音

图例

办公室/本地网络

企业网络

语音网络

Aruba RAP为分公司和家庭办公室提供安全的移动连接服务。

产品资料

ArubaOS 8

为出差的专业人士提供简便、安全的连接服务

对于远离办公室但需要访问企业资源的用户来说，他们通常依赖

于VPN客户端软件，该客户端软件可以连接到位于企业DMZ中

的VPN集中器。

通过Aruba，远程VPN用户可以像其他任何用户一样处理。他

们使用的接入策略和服务定义与总部或分公司的RAP部署相同。

移动控制器作为VPN集中器，消除了对并行接入基础设施的需求。

ArubaOS与几款流行的VPN客户端，以及内置到主要客户端操

作系统中的VPN客户端兼容。它还提供可选的VIA客户端，这

些客户端可安装在Android、iOS、Mac OS X和Windows设备上。

通过将接入网络合并到一起，策略和接入配置实现了统一，提升

了用户经验，减少了服务台电话，降低了IT成本。

针对远程接入的安全连接

已测试客户端支持•Windows系统上的Aruba VIA客户端

•Cisco和Nortel VPN客户端

•OpenVPN、Apple / Windows本地客户端

•L2TP/IPsec (RFC 3193)

•XAUTH/IPsec

•PPTP (RFC 2637)

•用户名/密码

•X.509 PKI

•RSA SecurID

•智能卡

•多因素

VPN协议

认证

产品资料

ArubaOS 8

Mesh网状组网功能

在没有布设或者不具有足够的光纤或电

缆的情况下，基于ArubaOS无线接入点可

以灵活地支持无线上行链路。无线Mesh

网状组网经常用于点到点无线回传、安

全视频监控等应用场景，以及需要现场

临时架设接入网络，提供标准的、与基

于有线回传完全相同的无线和有线接入

服务的场景。每个Aruba接入点通过智能

链路管理算法，可以自动调整和优化

Mesh网络的无线中继链路和数据转发路

径。所有的Aruba室内或者室外接入点都

具有多种工作模式，网络管理员可以轻

松地利用这些Aruba接入点快速搭建无线

Mesh网络，或者利用更新一代的802.11ad

技术以满足更高性能和更远距离的联网

需求。

网状网点

冗余

网状网

入口

移动控制器

网状网点

网状网点

ROOT

网状网

入口

网状网点

网状网点

图例

WLAN RF覆盖

网状网RF覆盖

网状网路径

网状网链接

ARUBA安全企业MESH解决方案

Aruba安全企业网解决方案

广泛的应用支持

统一网络接入

协作控制

自修复

网状网集群

集中式加密

集中式管理

广泛的图形化支持工具

基于标准的设计

Wi-Fi接入、并发无线入侵防护、无线回传、

LAN桥接、点对多点连接。

整合网状网网络与园区WLAN和分公司网络。

用户可在园区和分公司Wi-Fi和网状网网络间无缝漫游。

智能RF链接管理决定最优性能路径，

并使网络能够自动组网。

富有弹性的自修复网状网能够自动克服路径拥堵或AP故障

通过将大型网状网分割成多个高可用性集群来支持扩展性。

从客户端到核心进行端对端数据加密，

即使网状网接入点被盗，也能保护网络。

所有网状网节点均由移动控制器集中配置和控制，

不需要本地管理。

整个网络可视化，包括覆盖热图、自动链接预算计算、

平面布置图、网络拓扑结构图

确保安全企业网状网遵循IEEE 802.11s设计原则

产品资料

ArubaOS 8

管理、配置和故障排除

所有接入点和移动控制器，甚至是分布在分支机构或区域办事处

移动控制器的配置、管理和故障排除都采用基于浏览器的GUI命

令行界面，对任何网络管理员来说，都会觉得熟悉。

ArubaOS 还与AirWave

®

集成，AirWave

®

简化了WLAN生命周

期各阶段的管理— 从规划、布署到监控、分析和故障排除。

借助冗余数据中心的支持，可将控制器部署为1:1和1:n VRRP

AirWave提供长期趋势和分析、服务台集成工具，以及各种可定

冗余架构。当以网络Layer 3拓扑结构部署时，OSPF路由协议

制的报告。

能实现自动路由学习和路由分配，以便于快速收敛。

的接入点，都可以通过单个控制台进行集中配置和管理。为了简

化常见任务的配置，直观的基于任务的向导会指导网络管理员完

成该过程的每个步骤。

无线网络管理和配置

基于Web的配置

命令行

Syslog

SNMP v2c

SNMP v3

移动控制器的集中配置

VRRP

冗余数据中心支持

OSPF

快速生成树协议

允许任何具有标准Web浏览器的管理员管理系统。

控制台和SSH

支持多个服务器，多个级别和多个设施

是

使用加密安全性增强标准SNMP。

指定的主移动控制器可以配置和

管理多个下游本地控制器。

支持多个移动控制器之间的高可用性。

是 -接入设备可被配置成备份控制器的IP 地址。

是- stub模式，支持学习缺省路由或

将本地路由加入上游路由器。

是 - 提供快速的Layer 2收敛。

ArubaOS支持IPV6

随着各企业机构从IPv4过渡到IPv6, 网络设备必须在IPv4网络

随着可用IPv4地址的耗尽，企业机构正计划或已经开始在其网

络中部署IPv6。

ArubaOS加速了移动控制器和AP在当今IPv6和双堆栈环境中

虽然IPv4和IPv6都定义了数据如何在网络中传输，但IPv6比

IPv4 添加了更大的地址空间，可以支持数十亿独立IP地址。

的部署。几乎所有功能（IPsec除外）都可以在本地IPv6模式下

部署。管理、监控和防火墙的每个方面都能够完全感知IPv6。

中支持 IPv6的双堆栈交互操作性，或完全部署纯粹的IPv6环境。

IPV6支持

IPV6 IPsec

IPv6管理

IPv6 DHCP服务器

IPv6强制网络门户

在移动控制器上支持IPv6 VLAN接口地址

支持IPv6上的AP-移动控制器通信

USGv6认证防火墙

是

GRE, SSH, Telnet, SCP, Web UI, FTP,TFTP, Syslog, SNMP

是

是

是

是

是

产品资料

ArubaOS 8

情境感知控制

支持802.11e和Wi-Fi多媒体（WMM），通过WMM标签和内

部硬件队列的映射，确保延迟敏感型应用的无线服务质量。

这些语音相关功能包含在通话期间推迟ARM扫描，以及对处于

活动通话之中的客户端实施优先漫游的各个命令。对于布署大规

模的Wi-Fi企业语音通讯来说，这些功能至关重要。

此外，ArubaOS目前包含设备指纹识别技术，使网络管理员除

移动控制器将802.1p和IP DiffServ标签映射到硬件队列，以提

高有线侧的服务质量，并能在需要时根据指示将特定的802.1p

和IP DiffServ标签应用于不同的应用当中。

添加Aruba PEF模块后，在Aruba移动控制器中将识别以下IP

语音协议——Lync、会话发起协议（SIP）、Spectralink 语音优

先级（SVP）、Alcatel Klew 办公环境（KIOE）、Vocera和内部呼

叫控制协议（SCCP）。Aruba的应用指纹识别技术能够让移动控

制器识别加密信号协议。

一旦识别了这些数据流，Aruba WLAN就能在无线信道中优先传

输它们，并触发一些基于语音的功能。

了在基于应用和用户之外，还能基于设备类型分配网络策略。设

备指纹识别技术对于允许哪些设备接入网络以及如何使用这些设

备提供了更多的控制。

ArubaOS可以准确识别和分类各种移动设备，如Apple iPad、

iPhone或iPod以及运行Android或BlackBerry操作系统的设

备。这些信息可以与AirWave共享，以增强网络对所有用户的

可见性，无论用户的位置在哪，也无论用户使用何种移动设备。

情境感知控制网络

T-SPEC/TCLAS

WMM

WMM优先级映射

U-APSD（非调度自动节能传送）

用于高效组播发送的IGMP 侦听

应用程序和设备指纹识别

是

是

是

是

是

是

认证

•Wi-Fi Alliance认证（802.11a / b / g / n / d / h / ac、

WPATM个人、WPATM企业、WPA2TM个人、

WPA2TM个人、WMMTM、WMM省Power Save）

•FIPS 140-2验证（在FIPS模式下运行时）

•通用标准EAL-2

•RSA认证

•Polycom / Spectralink VIEW认证

•USGv6防火墙

支持的标准

通用交换和路由

•RFC 1812 IPv4路由规格

•RFC 1519 CIDR

•RFC 1256 IPv4 ICMP路由器发现（IRDP）

•RFC 1122主机要求

•RFC 768 UDP

•RFC 791 lP

•RFC 792 ICMP

•RFC 793 TCP

•RFC 826 ARP

•RFC 894 lP over Ethernet

•RFC 1027 代理ARP

•RFC 2236 IGM Pv2

•RFC 2328 0SPFv2

• RFC 2338 VRRP

• RFC 2460 Internet协议版本6（IPv6

）

•

RFC 2516以太网点对点协议（PPPoE）

• RFC 3220对IPv4的IP移动支持（部分支持）

• RFC 4541 IGMP和MLD侦听

• IEEE 802.1 D-2004 - MAC 桥接

• IEEE 802.1Q - 1998虚拟桥接局域网

• IEEE 802.1w - 快速生成树协议

服务质量和策略

• EEE 802.1D-2004（802.1p）包优先

• EEE 802.11e –服务质量增强

• RFC 2474差异化服务

无线

• IEEE 802.11a / b / g / n / ac 5GHz、2.4GHz

• IEEE 802.11 d附加监管域

• IEEE 服务质量

• IEEE 802.11 h欧洲5 GHz频谱和TX功率扩展

• IEEE MAC安全增强

• IEEE 802.11k无线资源管理

• IEEE 802.11 ac超高吞吐量增强

• IEEE 802.11n高吞吐量增强

• EEE 802.11v无线网络管理（部分支持）

管理和流量分析

• RFC 2030 SNTP，简单网络时间协议v4

• RFC 854 Telnet客户端和服务器

• RFC 783 TFTP协议（修订版本2）

• RFC 951 Bootstrap协议（BOOTP）

• RFC-1542 Bootstrap协议的说明和扩展

• RFC 2131动态主机配置协议

• RFC 1591 DNS（客户端操作）

• RFC 1155管理信息结构（SMlvl）

• RFC 1157 SNMPv1

• RFC 1212简明MIB规范

• RFC 1213基于TCP/IP的Internet网络管理的

管理信息库 - MIB-II

• RFC 1215使用SNMP定义Trap的惯例

• RFC 1286 Bridge MIB

• RFC 3414用于简单网络管理v.3的基于用户的

安全模型（USM）

• RFC 1573接口的演进

• RFC 2011 SNM Pv2使用SMlv2的Internet协议的

管理信息库

产品资料

ArubaOS 8

• RFC 2012 SNM Pv2管理信息

• RFC 2013 SNM Pv2管理信息

• RFC 2578管理信息的结构版本2（SMlv2）

• RFC 2579 SMlv2的文本约定

• RFC 2863接口组MIB

• RFC 3418 SNMP的管理信息库（MIB）

• RFC 959文件传输协议（FTP）

• RFC 2660安全超文本传输协议（HTTPS）

• RFC 1901 1908 SNMP v2c SMlv2和修订的MIB-II

• FC 2570、2575 SNMPv3基于用户的安全、加密和认证

• RFC 2576 SNMP版本1、版本2和版本3之间的共存

• RFC 2233接口MIB

• RFC 2251轻量级目录访问协议（v3）

• RFC 1492访问控制协议，TACACS +

• RFC 2865远程用户拨号认证（RADIUS）

• RFC 2866 RADIUS会计

• RFC 2869 RADIUS扩展

• RFC 3576远程RADIUS的动态授权扩展

• RFC 3579 RADUIS可扩展认证协议支持（EAP）

• RFC 3580 IEEE 802.1X远程用户拨号认证（RADIUS）

• RFC 2548 Microsoft RADUIS属性

• RFC 1350 TFTP协议（修订版2）

• RFC 3164 BSD系统日志协议（syslog）

• RFC 2819远程网络监视（RMON）MIB

安全和加密

• IEEE 802.1X基于端口的网络接入控制

• RFC 1661点对点协议（PPP）

• RFC 2104用于消息认证的Keyed-Hashing（HMAC）

• RFC 2246 TLS协议（SSL）

• RFC 2401 Internet协议的安全架构

• RFC 2403在ESP和AH中使用HMAC-MD5-96

• RFC 2404在ESP和AH中使用HMAC-SHA-1 -96

• RFC 2405带显式IV的ESP DES-CBC加密算法

• RFC 2406 lP封装安全有效载荷（ESP）

• RFC 2407 ISAKMP解释lP安全域

• RFC 2408 Internet安全联盟和密钥管理协议（ISAKM P）

• RFC 2409互联网密钥交换（IKE）v1

• RFC 2451 ESP CBC模式密码算法

• RFC 2661第二层隧道协议“L2TP”

产品资料

ArubaOS 8

• RFC 2716 PPP EAP TLS认证协议

• RFC 3079生成密钥用于Microsoft点对点加密（M PPE）

• RFC 3162 Radius over IPv6

• RFC 3193使用IPsec保护L2TP

• RFC 3602 AES-CBC密码算法及其与IPsec的使用

• RFC 3706死点检测（DPD）

• RFC 3736 IPv6的DHCP服务

• RFC 3748、5257可扩展认证协议（EAP）

• RFC 3947 IKE中NAT穿越协商

• RFC 3948 IPsec数据包的UDP封装

• RFC 4017无线局域网的EAP方法要求

• RFC 4106 GCM用于IPSEC

• RFC 4137 EAP Peer和认证器的状态机

• RFC 4306互联网密钥交换（IKE）v2

• RFC 4793 EAP-POTP

• RFC 5246 TLS1.2

• RFC 5247 EAP密钥管理框架

• RFC 5281 EAP-TTLS v0

• RFC 5430 TLS的Suite-B概况

• RFC 6106用于DNS配置的IPv6路由器广告选项

• IETF草案RadSec - RADIUS的TLS加密

3333 SCOTT BLVD

|

SANTA CLARA, CA 95054

1.844.473.2782

| 电话:

1.408.227.4500

| 传真:

1.408.227.4550

|

**********************

DS_ArubaOS8_083016

本文标签： 网络移动控制器用户设备