网络的发展力图让用户实现：无论身在何处都可以安全访问企业信息和数据服务。

清华大学信息技术研究院（FIT）是清华大学校园内的一个重要研究机构，不仅为国家信息领域的各项前沿研究项目提供环境和条件，同时也是国内最早应用IPv6技术的智能大厦之一。

三大部件解决三大问题

“移动边缘”解决方案，可以很好地解决研究院最关心的无线网络的三个问题——移动性、安全性和整合性。“移动边缘”拓展了企业的网络范围，跨越了局域网、广域网和互联网，使用户无论身在何处都可以安全访问企业信息和语音服务。

Aruba产品管理总监Ken Jensen表示，用户部署“移动边缘”需要三大部件：移动控制器、AP接入点、OS系统软件。移动控制器用于控制接入点的集中管理，对点对点和客户VPN利用IPSec/3DES加密，强化策略防火墙、L1-L7级别入侵防范、末端完整性检查、客户在接入点以及移动控制器中间无间断漫游等。

AP接入点与移动控制器配合使用，同时提供网络访问和射频监测服务。OS系统软件包括精密的认证和加密、射频管理、分析工具、集中配置和位置追踪等。

部署强调统一管理

“移动边缘”是根据客户多个部署节点构筑成一个独立完整的有线和无线网络，节点之间不需要依赖集成交换机或路由器平台，而是通过无线通讯方式彼此安全沟通。

例如：FIT大楼共六层，是一个“凹”字型的楼体结构。需要在楼内和楼外做无线信号的覆盖，实现语音和数据业务，以及无缝漫游。这需要系统能够进行统一的中央控管，能够支持多种安全策略和认证方式，还要能够方便地进行扩容。同时要求实现控管、定位以及监测和防护。并能够和清华大学已有的系统互联，实现无线用户的认证。

除了在FIT楼做无线覆盖以外，在二层着重安装了一些无线监控AP，专门用于无线射频的控管，以及对AP的监测和防护，最终实现统一管理。

“移动边缘”系统的核心部分，是由一台移动控制器，将整个无线网络的配置和安全参数进行统一管理。对于用户来说，瘦AP的模式更安全且易于扩展。因为瘦AP抛掉了所有配置信息，全部的加解密工作都在本地的交换机内进行，第二个好处是，用户可以方便地对所有AP进行安装和集中管理。

安全访问机制

数据业务用户通过数据专用SSID接入无线网，用户可以获得较高的安全机制。例如：数据业务用户通过清华大学的DHCP服务器获得地址，然后访问时交换机会推送一个根据清华大学定制的验证页面，随后交换机将验证信息传递给Radius服务器进行认证，服务器将Oracle数据库中保存的账户提取作对比，如果一致，将返回给交换机认证通过的信息，用户将能够获得权限访问无线网络。

成功验证后，用户也可以通过专用VPN 拨号器来配置。拨号器会自动地进行全部的VPN设置，同时提供给用户强大的3层IPSec解码功能。这样的认证和加密结合会具较好的安全性，并且不需要客户端附加的配置（如图）。

可以看出，这种网络架构的安全性策略是和用户绑定在一起的，而不是和物理位置相关，把策略和用户绑定在一起，通过这种方法提高企业的安全性。Ken Jensen表示，这种架构可以很方便地与现有的网络系统做一个整合，可以在现有网络的基础之上再叠加一个新的网络，这种叠加不会影响到现有网络的运行。

以端口为中心的网络边界安全性妨碍了移动应用

（责任编辑：崔平）