【WLAN 安全】无线产品攻防手册(针对Aruba篇)(V11)

产品营销部产品营销部更新日期：更新日期：2008-09-15无线产品攻防手册无线产品攻防手册（针对（针对Aruba篇）篇）修订日期修订版本修订描述作者2008-6-29V0.9初稿 左苏新2008-8-20V1.0细化、完善宣传点剖析部分 左苏新2008-9-15V1.1增加新品MXR-2、MP-422竞争对比 左苏新修订记录修订记录1提纲提纲Aruba产品规格形态产品规格形态1Aruba产品深入剖析产品深入剖析2 Aruba与我司产品对比总结与我司产品对比总结32Aruba公司简介公司简介 Aruba是美国三大无线厂商（另两是美国三大无线厂商（另两个是个是CISCO和和Trapeze）之一，产品主）之一，产品主要为瘦要为瘦AP产品线（含无线控制器和网产品线（含无线控制器和网管产品），管产品），20005-07年在国内高教校园年在国内高教校园网细分市场品牌地位一度超过网细分市场品牌地位一度超过CISCO，07年底随着人员和渠道变动较大，年底随着人员和渠道变动较大，目前中国区高教校园网细分市场销售目前中国区高教校园网细分市场销售情况有明显的萎缩势头，拥有中国政情况有明显的萎缩势头，拥有中国政法、华中科大、浙大等重点案例。法、华中科大、浙大等重点案例。3主要推什么产品主要推什么产品主推瘦主推瘦AP产品；产品；无线控制器（在我司叫无线交换机）大型项目中主推无线控制器（在我司叫无线交换机）大型项目中主推6000系列，系列，AP主推主推AP60/61，不推网管产品。，不推网管产品。主推的价值点主推的价值点强调无线专业级高端厂商地位，全球唯一依靠强调无线专业级高端厂商地位，全球唯一依靠WLAN领域获得纳斯达克上市企业；领域获得纳斯达克上市企业；宣称全球第一家推出无线控制器产品的厂商，自称是宣称全球第一家推出无线控制器产品的厂商，自称是WLAN领域最专业厂商；领域最专业厂商；强调无线安全领域的专业性，主打基于角色的强调无线安全领域的专业性，主打基于角色的状态防火墙用于状态防火墙用于用户安全管理。用户安全管理。宣称宣称高移动性、高安全性高移动性、高安全性的无线解决方案，主打的无线解决方案，主打“以用户为中心的网络以用户为中心的网络”概念。概念。产品及解决方案特色产品及解决方案特色基于角色的用户安全权限管理目前是业内做的较好的；基于角色的用户安全权限管理目前是业内做的较好的；高端产品高端产品6000系列无线控制器的性能在业内很认可。系列无线控制器的性能在业内很认可。Aruba公司基本背景情况公司基本背景情况4软件模块软件模块无线无线APAP系列系列 AP 41单路双频单路双频AP无线控制器系列无线控制器系列Aruba 800管理管理16个个APAruba 2400管理管理48个个APAruba 6000最多管理最多管理512个个APArubaOS 软件模块软件模块 AP60/61单路双频单路双频APAP65双路双频双路双频APAruba无线产品家族一览无线产品家族一览 AP70双路双频双路双频AP AP80室外双路双频室外双路双频AP网管软件（网管软件（Airwave）Aruba 200管理管理6个个AP5Aruba 单路单路AP产品一览（室内型）产品一览（室内型）AP41支持工作在 802.11a，或者802.11 b/g 自带天线，天线不可拆卸，无法外接天线无本地AC电源接口最低端产品，目前已基本不销售AP61AP60支持工作在 802.11a 或802.11 b/g 内置天线，不可外接天线有AC电源接口支持工作在802.11a 或者802.11 b/g 随机不带天线，可外接天线有AC电源接口所谓所谓单路单路，是指，是指APAP只有一个射频硬件，只能支持只有一个射频硬件，只能支持802.11b/g802.11b/g或者只能支持或者只能支持802.11a802.11a。6Aruba 双路双路AP产品一览（室内型）产品一览（室内型）AP65802.11a和802.11b/g可同时工作 内置全向天线，不可外接天线有AC电源接口AP70802.11a和802.11b/g可同时工作 内置全向天线，有外接天线接口有AC电源接口有两个以太口，但是这两个口并不是提供冗余，而是有线用户使用的所谓所谓双路双路，是指，是指APAP有两套射频硬件，一路支持有两套射频硬件，一路支持802.11b/g802.11b/g，一路支持，一路支持802.11a802.11a，可以同，可以同时工作（类似我司的时工作（类似我司的MP-372MP-372产品）。产品）。7Aruba 双路双路AP产品一览（室外型）产品一览（室外型）AP80M瘦AP，802.11a和802.11b/g可同时工作 只能支持802.11a和802.11b/g的覆盖模式不带天线，提供2.4G和5.8G两个外接天线接口以太网供电（不是标准的802.3af POE）AP80MB胖AP，802.11a和802.11b/g可同时支持802.11a和802.11b/g都支持覆盖和网桥模式在点对对点网桥环境中，推荐用AP80MB做根网桥设备无内置天线，有外接天线接口以太网供电（不是标准的802.3af POE）ArubaAruba的室外双路的室外双路APAP产品基于同一硬件，根据灌装软件的不同，被分成三款产品：产品基于同一硬件，根据灌装软件的不同，被分成三款产品：AP80MAP80M、AP80MBAP80MB、AP80SBAP80SB，分别承担不同的网络功能。，分别承担不同的网络功能。（注意：该产品采用了和我司（注意：该产品采用了和我司MP-620MP-620一样的产品外壳，外形看上去是一样的）一样的产品外壳，外形看上去是一样的）AP80SB胖AP，802.11a和802.11b/g可同时支持802.11a和802.11b/g都支持覆盖和网桥模式在点对对点网桥环境中，推荐用AP80SB做远端网桥设备内置17dBi的5GHz定向天线，同时有外接天线接口以太网供电（不是标准的802.3af POE）8典型的应用场景典型的应用场景FLOOR 1FLOOR 210/100 MbpsBACKBONE数据中心部署模式数据中心部署模式(无线控制器与无线控制器与AP间接连接间接连接)FLOOR 1FLOOR 210/100 MbpsBACKBONE数据中心数据中心配线间部署模式配线间部署模式（无线控制器与（无线控制器与AP直接连接）直接连接）ARUBA 6000ARUBA 6000ARUBA 800ARUBA 800数据中心数据中心ARUBA 2400ARUBA 2400ArubaAruba网络架构方式与我司产品一样。网络架构方式与我司产品一样。9提纲提纲Aruba产品规格形态产品规格形态1Aruba产品深入剖析产品深入剖析2Aruba与我司产品对比总结与我司产品对比总结310Aruba产品宣传点剖析产品宣传点剖析宣传点宣传点1 1：瘦：瘦AP+AP+无线控制器的集中架构无线控制器的集中架构（1）Aruba的经常宣传其组网架构是很科学、有利于管理控制的集中式架构，其宣传概念的背后的实质是，用户数据到AP后，AP不做加解密处理，所有的加解密工作都在无线控制器，也就是说用户的加密数据一直要到无线控制器才做解密处理。随着网络规模扩大，AP数量增加，中心无线控制器会增加加解密处理的负荷。（2）Aruba的集中架构也表现为集中的流量处理，即所有的用户数据都要到控制器绕一圈，这样，流量不合理，降低了性能。尤其语音应用时，对延迟很敏感，AP下面的客户端本地通话时还非去无线控制器绕一圈，这样的流量也不具合理性。因此，因此，ArubaAruba的这种集中式架构宣传背后，实质上隐藏着其架构本身的这种集中式架构宣传背后，实质上隐藏着其架构本身的不合理性，反而是我司可以大做文章的攻击点。的不合理性，反而是我司可以大做文章的攻击点。11Aruba产品宣传点剖析产品宣传点剖析ArubaAruba经常引导客户，宣传其控制器是三层设备，支持路由协议、支持经常引导客户，宣传其控制器是三层设备，支持路由协议、支持NATNAT，比其他竞争对手明显高端，对客户的组网更加方便。比其他竞争对手明显高端，对客户的组网更加方便。（1）无线控制器的使命是控制与管理全网的AP，并不是用于三层数据转发当做路由器使用，这样只会大大增加无线控制器的资源使用和负荷，反而不利用高效率的完成对无线网络的管理和控制。Aruba其实也明白这一点，虽然总是把三层路由功能挂在嘴边，但却从来不建议用户使用三层功能，因为他们也知道把无线控制器当个路由器用的话会大大增加负担，况且，Aruba无线控制器的路由功能比起三层交换机和路由器来说不是一个级别的产品。（2）在大型无线网络中，L2架构是最合适的体系，并且已经能够满足所有WLAN的需求，没必要采用L3体系架构，这样只能带来一些不必要的复杂性。宣传点宣传点2 2：无线控制器是三层设备：无线控制器是三层设备12Aruba产品宣传点剖析产品宣传点剖析宣传点宣传点3 3：强大的防火墙功能：强大的防火墙功能ArubaAruba对客户宣传的另一个价值点就是其无线控制器具备强大的防火墙功能。对客户宣传的另一个价值点就是其无线控制器具备强大的防火墙功能。（1）无线控制器上需要的所谓防火墙，其实就是针对客户身份的ACL权限区分策略等功能，这种功能其实在我司、CISCO等厂商产品上都有，并不是什么亮点功能。而且，针对无线控制器的防火墙功能，并不是要把无线控制器变成一个防火墙设备，这并不是无线控制器的使命，也不是它的专业技术和优势，专业防火墙厂商领域都有很完美的产品，当你已经拥有了好的防火墙产品时，没有任何必要还要使用一个无线控制器当成防火墙来用。（2）Aruba所宣称的防火墙功能并不像我司、CISCO随机就有的，是要额外购买防火墙软件模块License才能增加的，本身硬件系统并不带这个功能的，这个问题Aruba一般是不会向用户提起的，只会宣传有该功能，用户如果采购时不注意的话，Aruba为了赢得价格优势，能不配就不配了，这是他们的惯用伎俩。13（1 1）我司）我司MXR-2 MXR-2 与与Aruba200Aruba200无线控制器的指标对比无线控制器的指标对比产品图片产品图片产品定位产品定位网络实验室、小型企业小型企业、零售商店端口端口2 个10/100 Mbps端口，其中1个端口支持PoE；1个本地串行配置口1个10/100 Mbps端口，1个10/100/1000 Mbps端口。均不支持PoE；1个本地RJ-45串行配置口支持支持AP数数最大4个最大6个与我司对应产品的优劣势对比与我司对应产品的优劣势对比14该产品我司主推实验室市场，而在实验室市场无线交换机支持该产品我司主推实验室市场，而在实验室市场无线交换机支持APAP数多反而是劣势，一个实验组有数多反而是劣势，一个实验组有一两个一两个APAP足够，所以我司支持的足够，所以我司支持的APAP数不多不少正好满足了实验室需求，并且数不多不少正好满足了实验室需求，并且ArubaAruba没有代理商为他没有代理商为他写实验教材，所以其没真正推过实验室。此细分市场，用户关注点主要集中在性价比方面，这恰写实验教材，所以其没真正推过实验室。此细分市场，用户关注点主要集中在性价比方面，这恰好是我司好是我司MXR-2MXR-2的优势，的优势，ArubaAruba这款产品比我们贵得多。在小型企业的三四个这款产品比我们贵得多。在小型企业的三四个APAP的竞争中，只要在的竞争中，只要在招投标参数中使用招投标参数中使用“能为每个用户分配不同的角色能为每个用户分配不同的角色”“”“无线入侵防护无线入侵防护”使其将防火墙、无线入侵使其将防火墙、无线入侵防护模块一起配齐了，将其价格抬的非常高，自然就丧失了竞争力。防护模块一起配齐了，将其价格抬的非常高，自然就丧失了竞争力。（1 1）我司）我司MXR-2 MXR-2 与与Aruba200Aruba200无线控制器的指标对比（续）无线控制器的指标对比（续）ArubaAruba产品对比我司的优势点产品对比我司的优势点（1）Aruba200支持的最大支持的最大AP数比我司数比我司MXR-2多，硬件指标有优势；多，硬件指标有优势；（2）Aruba200有一个千兆上联端口，我司上联端口是百兆。有一个千兆上联端口，我司上联端口是百兆。ArubaAruba产品对比我司的劣势点产品对比我司的劣势点Aruba200的以太网端口均不支持的以太网端口均不支持PoE功能，并且在功能同等条件情况下，功能，并且在功能同等条件情况下，Aruba200要额外购买要额外购买很多软件模块很多软件模块License才行，其价格远远高于我司才行，其价格远远高于我司MXR-2，在价格方面对比我司没有竞争力；，在价格方面对比我司没有竞争力；结论结论与我司对应产品的优劣势对比与我司对应产品的优劣势对比15（1 1）我司）我司MX-8 MX-8 与与Aruba800Aruba800无线控制器的指标对比无线控制器的指标对比产品图片产品图片产品定位产品定位中小型企业级无线网络中小型企业级无线网络端口端口8 个10/100 Mbps端口，其中6个端口支持PoE；1个本地串口8 个10/100 Mbps端口，其中6个端口支持PoE；1个千兆上联端口；1个本地RJ-45串口支持支持AP数数最大12个最大16个与我司对应产品的优劣势对比与我司对应产品的优劣势对比16在小规模无线局域网控制器产品的竞争中，硬件形态并不是最重要的，用户关注点将在小规模无线局域网控制器产品的竞争中，硬件形态并不是最重要的，用户关注点将主要集中在性价比方面，这恰好是我司主要集中在性价比方面，这恰好是我司MX-8MX-8的优势，我们只要在招投标参数中使用的优势，我们只要在招投标参数中使用“能为每个用户分配不同的角色能为每个用户分配不同的角色”“”“无线入侵防护无线入侵防护”使其将防火墙、无线入侵防护模块使其将防火墙、无线入侵防护模块一起配齐了，将其价格抬的非常高，自然就丧失了竞争力，其硬件指标的优势在这个一起配齐了，将其价格抬的非常高，自然就丧失了竞争力，其硬件指标的优势在这个面前也就显得苍白无力了。面前也就显得苍白无力了。（1 1）我司）我司MX-8 MX-8 与与Aruba800Aruba800无线控制器的指标对比（续）无线控制器的指标对比（续）ArubaAruba产品对比我司的优势点产品对比我司的优势点（1）Aruba800支持的最大支持的最大AP数比我司数比我司MX-8多，硬件指标有优势；多，硬件指标有优势；（2）Aruba800共有共有8个个PoE端口，比我司的端口，比我司的6个个PoE端口数量多；端口数量多；（3）Aruba800有一个千兆上联端口，我司上联端口是百兆有一个千兆上联端口，我司上联端口是百兆ArubaAruba产品对比我司的劣势点产品对比我司的劣势点在功能同等条件情况下，在功能同等条件情况下，Aruba800要额外购买很多软件模块要额外购买很多软件模块License才行，其价格远远高于我才行，其价格远远高于我司司MX-8，在价格方面对比我司没有竞争力；，在价格方面对比我司没有竞争力；结论结论与我司对应产品的优劣势对比与我司对应产品的优劣势对比17（2 2）我司）我司MX-200R MX-200R 与与 Aruba6000Aruba6000无线控制器指标对比无线控制器指标对比与我司对应产品优劣势对比与我司对应产品优劣势对比产品图片产品图片产品定位产品定位大型企业级无线网络大型企业级无线网络端口端口2个千兆SFP端口；1个管理端口；1个本地串口4插槽设计，可插引擎卡或接口线卡；引擎卡Supervisor Card I：可支持48或128个AP；引擎卡Supervisor Card II：可支持256个AP；线卡种类可分为：24百兆端口线卡；24百兆PoE端口线卡；2千兆GBIC端口线卡电源电源双冗余电源双冗余电源支持支持AP数数最大192，初始支持32个，通过License以32个为单位升级32/64/96/128/160/192个AP最大支持512个AP，通过配置相应板卡分别支持：48/128/256/512个AP18与我司对应产品的优劣势对比与我司对应产品的优劣势对比（2 2）我司）我司MX-200R MX-200R 与与 Aruba6000Aruba6000无线控制器指标对比（续）无线控制器指标对比（续）ArubaAruba产品对比我司的优势点产品对比我司的优势点（1）Aruba6000支持的最大支持的最大AP数比我司数比我司MX-200R多，硬件指标有优势；多，硬件指标有优势；（2）Aruba6000可最大提供的可最大提供的4个千兆端口或个千兆端口或48个百兆端口，比我司个百兆端口，比我司MX-200R多多ArubaAruba产品对比我司的劣势点产品对比我司的劣势点（1）不支持对）不支持对802.11n AP设备的管理；设备的管理；（2）只支持）只支持VRRP冗余，不支持冗余，不支持N:1集群冗余；集群冗余；（3）采用集中式转发，存在流量瓶颈，不支持智能转发；）采用集中式转发，存在流量瓶颈，不支持智能转发；（4）如果把软件功能模块）如果把软件功能模块License配齐了的话，价格远远高于同等规模的配齐了的话，价格远远高于同等规模的MX-200R19与我司对应产品的优劣势对比与我司对应产品的优劣势对比（2 2）我司）我司MX-200R MX-200R 与与 Aruba6000Aruba6000无线控制器指标对比（续）无线控制器指标对比（续）Aruba6000Aruba6000在早期的大型项目中，由于其庞大的在早期的大型项目中，由于其庞大的APAP控制数，没有竞争对手，曾经风光无控制数，没有竞争对手，曾经风光无限。但是现在其竞争力却慢慢在降低。限。但是现在其竞争力却慢慢在降低。结论结论（1）随着无线的普及，客户对无线网络越来越依赖，对其稳定性越来越看重，如果一个）随着无线的普及，客户对无线网络越来越依赖，对其稳定性越来越看重，如果一个AP数量在几百数量在几百台规模的网络，已经不太接受这种传统的单一核心的组网架构，而是更加倾向于分布式核心，即台规模的网络，已经不太接受这种传统的单一核心的组网架构，而是更加倾向于分布式核心，即N:1集群核心组网的模式，分担核心压力和单点故障风险；集群核心组网的模式，分担核心压力和单点故障风险；（2）Aruba6000本身价格就非常高，且只支持本身价格就非常高，且只支持VRRP冗余方式，如果要消除单核心的单点故障风险，还冗余方式，如果要消除单核心的单点故障风险，还必须再买一台完全必须再买一台完全License满配置但平时不用，仅仅用于备份，这是一般客户根本无法承受的；满配置但平时不用，仅仅用于备份，这是一般客户根本无法承受的；（3）Aruba6000的所有软件模块都要卖的所有软件模块都要卖License产品，往往价格比主机还要贵，这也使得如果该产品要产品，往往价格比主机还要贵，这也使得如果该产品要和我司和我司MX-200R比功能的话，价格将远远高于我司；比功能的话，价格将远远高于我司；（4）由于）由于Aruba的无线控制器产品从的无线控制器产品从2400产品（支持产品（支持48个个AP）直接跳到了）直接跳到了6000产品，中间没有过渡产产品，中间没有过渡产品，因此在一个较大规模的无线项目中，只要我们在控标参数中要求品，因此在一个较大规模的无线项目中，只要我们在控标参数中要求“单台无线控制器控制单台无线控制器控制AP数数量大于量大于128个个”或或“双冗余电源双冗余电源”，就会逼出其，就会逼出其6000产品，被迫成为标王；产品，被迫成为标王；（5）不支持）不支持802.11n、不支持智能转发、不支持万兆口，已经使得、不支持智能转发、不支持万兆口，已经使得Aruba6000产品越来越不适合用户对产品越来越不适合用户对未来无线网络的各项需求，这也是未来无线网络的各项需求，这也是Aruba6000目前被客户认同程度降低的原因。目前被客户认同程度降低的原因。20与我司对应产品的优劣势对比与我司对应产品的优劣势对比（3 3）我司）我司MP-71MP-71与与 Aruba AP41/60/61Aruba AP41/60/61的指标对比的指标对比产品图片产品图片产品型号产品型号MP-71AP41AP60/61传输协议传输协议单路单频AP；支持802.11b/g单路双频AP；支持802.11a或者802.11b/g单路双频AP；支持802.11a或者802.11b/g天线天线不内置天线；外置两个SMA天线接口；随机提供2根2dBi柱状天线机身带有不可拆卸的一根2dBi柱状天线；无外接天线接口AP60：带2个外接天线SMA接口;随机不提供天线（需单独购买）AP61：内置2.8dBi的2.4/5GHz天线；无外接天线接口电源电源可通过PoE受电工作；有本地电源接口，但随机不提供本地电源适配器可通过PoE受电工作；没有本地电源接口可通过PoE受电工作；有本地电源接口，但随机不提供本地电源适配器AP60AP6121ArubaAruba产品对比我司的优势点产品对比我司的优势点（1）AP41/60/61均支持均支持802.11a协议，我司协议，我司MP-71只支持只支持802.11b/g；（2）AP41的价格比我司的价格比我司MP-71略低。略低。ArubaAruba产品对比我司的劣势点产品对比我司的劣势点（1）AP60/61的价格比我司的价格比我司MP-71贵；贵；（2）AP41没有外接天线接口，无法扩展天线使用没有外接天线接口，无法扩展天线使用（3 3）我司）我司MP-71MP-71与与 Aruba AP41/60/61Aruba AP41/60/61的指标对比（续）的指标对比（续）与我司对应产品的优劣势对比与我司对应产品的优劣势对比22从产品优劣势竞争看来，我司的优势并不明显，但在实际的项目中并非如此。从产品优劣势竞争看来，我司的优势并不明显，但在实际的项目中并非如此。（1）Aruba的的AP41由于不能外接天线，实际项目中很难使用，加上品质问题频发，基本已经不再由于不能外接天线，实际项目中很难使用，加上品质问题频发，基本已经不再销售，其室内低端瘦销售，其室内低端瘦APAP主力产品已经转向主力产品已经转向AP60/61；（2 2）AP60/61AP60/61的指标，其实正好处于我司的的指标，其实正好处于我司的MP-71MP-71和和MP-372MP-372之间，价格也在之间，价格也在MP-71MP-71和和MP-372MP-372之间；之间；因此，在项目中对付因此，在项目中对付AP60/61AP60/61最佳的策略，就是用我司的最佳的策略，就是用我司的MP-71MP-71来应对，而不是被对手逼出我来应对，而不是被对手逼出我司价格高的司价格高的MP-372MP-372；实现这一策略的关键，就是说服客户，不要考虑实现这一策略的关键，就是说服客户，不要考虑802.11a802.11a，用，用802.11b/g802.11b/g组网就足够了；组网就足够了；这种说法支撑的理由也是充分的，这种说法支撑的理由也是充分的，AP60/61AP60/61虽然支持虽然支持802.11a802.11a，但它是单路设备，即，但它是单路设备，即802.11a802.11a和和802.11b/g802.11b/g不能同时使用，在同一个物理环境，客户实际上是不可能一会儿把不能同时使用，在同一个物理环境，客户实际上是不可能一会儿把APAP配置为配置为802.11b/g802.11b/g一会儿配置为一会儿配置为802.11a802.11a的，如果客户真的看重的，如果客户真的看重802.11a802.11a，那就应该购买双路，那就应该购买双路APAP设备，也设备，也就是我司就是我司MP-372MP-372层面的产品，而这对于我司将会更加有利，因为层面的产品，而这对于我司将会更加有利，因为ArubaAruba的双路的双路APAP设备的价格比我设备的价格比我司司MP-372MP-372贵。贵。（4 4）还有一种打法策略，如果是我司控标，只要我们能引导客户不写）还有一种打法策略，如果是我司控标，只要我们能引导客户不写802.11a802.11a，同时引导，同时引导APAP必须支必须支持外接天线接口（这是很正当的理由），我司可以用持外接天线接口（这是很正当的理由），我司可以用MP-71MP-71，而，而ArubaAruba就必须用就必须用AP60AP60，价格与我，价格与我司相比就完全没有竞争力了。司相比就完全没有竞争力了。结论结论（3 3）我司）我司MP-71MP-71与与 Aruba AP41/60/61Aruba AP41/60/61的指标对比（续）的指标对比（续）与我司对应产品的优劣势对比与我司对应产品的优劣势对比23与我司对应产品的优劣势对比与我司对应产品的优劣势对比产品图片产品图片产品型号产品型号MP-422（MP-372）AP65AP70传输协议传输协议双路双频AP；支持802.11b/g和802.11a同时工作双路双频AP；支持802.11b/g和802.11a同时工作双路双频AP；支持802.11b/g和802.11a同时工作天线天线内置2.4/5GHz天线；外置两个SMA天线接口内置3dBi的2.4/5GHz天线；无外接天线接口内置2.4/5GHz天线；外置4个外接天线SMA接口(2个2.4GHz、2个5GHz)端口端口双冗余上联百兆端口1个百兆上联端口2个百兆端口，其中1个用于上联，1个用于有线端口安全电源电源通过PoE受电工作没有本地电源接口可通过PoE受电工作；有本地电源接口，但随机不提供本地电源适配器可通过PoE受电工作；有本地电源接口，但随机不提供本地电源适配器安装方式安装方式圆盘吸顶式设计，可直接吸顶安装普通支架安装普通支架安装（4 4）我司）我司MP-422/372MP-422/372与与 Aruba AP65/70Aruba AP65/70的指标对比的指标对比24（4 4）我司）我司MP-422/372MP-422/372与与 Aruba AP65/70Aruba AP65/70的指标对比（续）的指标对比（续）ArubaAruba产品对比我司的优势点产品对比我司的优势点（1）AP65的价格比我司的价格比我司MP-422/372略低；略低；（2）AP65和和AP70都能在支持都能在支持PoE的基础上提供本地供电，我司的基础上提供本地供电，我司MP-422/372只能支持只能支持PoEArubaAruba产品对比我司的劣势点产品对比我司的劣势点（1）AP65无法外接天线，并不适合行业级客户的复杂环境覆盖需求；无法外接天线，并不适合行业级客户的复杂环境覆盖需求；（2）AP70各项指标与我司各项指标与我司MP-422/372基本对等，但价格要远高于我司产品基本对等，但价格要远高于我司产品（3）AP65/70都不支持双冗余上联端口都不支持双冗余上联端口我司我司MP-422/372MP-422/372在与在与AP65AP65、AP70AP70的竞争中，可以通过以下策略取得优势或规避风险：的竞争中，可以通过以下策略取得优势或规避风险：（1 1）控标参数要求）控标参数要求“支持双冗余上联端口支持双冗余上联端口”，ArubaAruba将没有产品可以应对；将没有产品可以应对；（2 2）控标参数要求）控标参数要求“支持外接天线接口支持外接天线接口”，可逼出，可逼出AP70AP70来应标，使其价格高出我司；来应标，使其价格高出我司；（3 3）强调）强调PoEPoE的主流性和重要性，引导客户本地电源接口是的主流性和重要性，引导客户本地电源接口是SOHOSOHO产品才有的功能，实际环境根本不用，避免产品才有的功能，实际环境根本不用，避免ArubaAruba用用“支持本地电源接口支持本地电源接口”这样的参数来屏蔽我们。这样的参数来屏蔽我们。（4 4）MP-422MP-422支持支持智能转发智能转发（APAP本地进行数据转发）本地进行数据转发），将屏蔽，将屏蔽AP65/70AP65/70。MP-422MP-422支持支持MeshMesh功能功能，可通过此参数抬高，可通过此参数抬高ArubaAruba使用使用MeshMesh软件模块（软件模块（ArubaAruba的的MeshMesh功能需要额外购买），增加其商务成本。功能需要额外购买），增加其商务成本。结论结论与我司对应产品的优劣势对比与我司对应产品的优劣势对比25（5 5）我司）我司MP-620MP-620与与 Aruba AP80Aruba AP80的指标对比的指标对比与我司对应产品的优劣势对比与我司对应产品的优劣势对比产品图片产品图片产品型号产品型号MP-620AP80M、AP80MB、AP80SB传输协议传输协议室外双路双频AP；支持802.11b/g和802.11a同时工作室外双路双频AP；支持802.11b/g和802.11a同时工作天线天线外置2个N型天线接口，可分别外接2.4GHz或5GHz室外天线外置2个N型天线接口，可分别外接2.4GHz或5GHz室外天线端口端口1个10/100快速以太网端口（8针DIN连接头）1个10/100快速以太网端口（8针DIN连接头）电源电源通过PoE受电工作，随机提供50米防水线缆通过PoE受电工作安装方式安装方式室外报杆安装室外报杆安装组网模式组网模式支持AP、Mesh、Bridge三种模式分为三个型号，只有AP80MB/SB支持Bridge室外环境室外环境支持国际最高的IP68防尘防水标准支持国际最高的IP68防尘防水标准BSSID最大可支持64个最大可支持32个智能转发智能转发支持不支持26（5 5）我司）我司MP-620MP-620与与 Aruba AP80Aruba AP80的指标对比（续）的指标对比（续）与我司对应产品的优劣势对比与我司对应产品的优劣势对比ArubaAruba产品对比我司的优势点产品对比我司的优势点无无ArubaAruba产品对比我司的劣势点产品对比我司的劣势点（1）AP80最大最大BSSID数量是数量是32，少于我司，少于我司MP-620的的64个；个；（2）AP80不支持智能转发不支持智能转发（3）AP80M只能支持只能支持AP覆盖模式，不支持网桥覆盖模式，不支持网桥由于我司由于我司MP-620MP-620和和Aruba80Aruba80的射频硬件和外壳等物理器件都是采用了同一个模具厂商的产品，所以的射频硬件和外壳等物理器件都是采用了同一个模具厂商的产品，所以这两个产品从外观看是完全一样的，物理参数也是一致的，不同之处在于软件部分的差异，这也这两个产品从外观看是完全一样的，物理参数也是一致的，不同之处在于软件部分的差异，这也使得两款产品在最终的指标上会有差别，我们正是要利用这个差别来体现竞争策略。使得两款产品在最终的指标上会有差别，我们正是要利用这个差别来体现竞争策略。结论结论（1 1）智能转发是我司特有的技术优势，可以在前期客户引导或者后期控标参数方面努力使用；）智能转发是我司特有的技术优势，可以在前期客户引导或者后期控标参数方面努力使用；（2 2）我司）我司MP-620MP-620支持的最大支持的最大BSSIDBSSID数量为数量为6464个，可以考虑用这个作为控标点。个，可以考虑用这个作为控标点。（3 3）Aruba80MAruba80M才是瘦才是瘦APAP，但是不支持，但是不支持MeshMesh和网桥功能，这是一个很重要的控标手段，可以用来屏蔽它。和网桥功能，这是一个很重要的控标手段，可以用来屏蔽它。27与我司对应产品的优劣势对比与我司对应产品的优劣势对比（6 6）双方网管产品的对比）双方网管产品的对比产品图片产品图片产品型号产品型号RingMasterAirwave系统系统基于Windows系统，C/S架构基于Windows系统，C/S架构初始网元初始网元支持支持支持5个网元（无线交换机和AP）支持50网元（AP）网元增加方网元增加方式式购买License方式；有4种选择，可以分别以10个、50个、100个、500个为单位依次增加（网元为AP，此时无线交换机数量不再限制）购买License方式；只有1种选择，可以100个为单位依次增加（网元为AP和无线控制器）28与我司对应产品的优劣势对比与我司对应产品的优劣势对比（6 6）双方网管产品的对比（续）双方网管产品的对比（续）结论结论用用“神龙不见首不见尾神龙不见首不见尾”来形容来形容ArubaAruba的这款网管产品再合适不过了。的这款网管产品再合适不过了。从从ArubaAruba进入中国市场到现在，实际上没有人真的见过其网管的真面目，因为他们从来就没有在中进入中国市场到现在，实际上没有人真的见过其网管的真面目，因为他们从来就没有在中国市场销售过。国市场销售过。原因在于原因在于ArubaAruba认为国内客户对网管软件的认可度与其价格差距太大，他们这款网管产品价格比我认为国内客户对网管软件的认可度与其价格差距太大，他们这款网管产品价格比我司、司、CISCOCISCO、H3CH3C等厂商的都要贵，如果他主推，无疑是在项目中给自己设套自己钻。等厂商的都要贵，如果他主推，无疑是在项目中给自己设套自己钻。尽管，从技术资料上看，这款网管是很优秀的，其功能的丰富性一点也不亚于尽管，从技术资料上看，这款网管是很优秀的，其功能的丰富性一点也不亚于CISCOCISCO的的WCSWCS和我司和我司的的RingMasterRingMaster。这就是为什么，这就是为什么，ArubaAruba在做客户引导的时候，往往都是忽悠客户说，他们的无线控制器内置的在做客户引导的时候，往往都是忽悠客户说，他们的无线控制器内置的WEBWEB管理其实就是网管软件，他们是网管软件内置在无线控制器并融为一体的，当然，这显然是谎言，管理其实就是网管软件，他们是网管软件内置在无线控制器并融为一体的，当然，这显然是谎言，谎言是经不起推敲和验证的。因此，我们的竞争策略很明显：谎言是经不起推敲和验证的。因此，我们的竞争策略很明显：（1 1）告诉用户，如果内置在无线控制器里面的）告诉用户，如果内置在无线控制器里面的WEBWEB管理也算是网管系统的话，那么我们、管理也算是网管系统的话，那么我们、CISCOCISCO、H3CH3C都有，都有，也不是也不是ArubaAruba的骄傲，另外，如果遇到多台无线控制器的项目，这种管理方式是无法同时看到所有无线的骄傲，另外，如果遇到多台无线控制器的项目，这种管理方式是无法同时看到所有无线控制器下面的控制器下面的APAP和用户的状态的，必须一个一个打开来看，那还叫什么集中网管；和用户的状态的，必须一个一个打开来看，那还叫什么集中网管；（2 2）强调独立的网管平台是瘦）强调独立的网管平台是瘦APAP这种解决方案的核心价值点，我们、这种解决方案的核心价值点，我们、CISCOCISCO、H3CH3C都有独立的网管平台系统，都有独立的网管平台系统，相比之下只能说明相比之下只能说明ArubaAruba对中国市场的不重视，有好东西不卖；对中国市场的不重视，有好东西不卖；（3 3）推动客户进行网管系统的测试，这样既可以显示我们网管的实力，又直接戳穿了）推动客户进行网管系统的测试，这样既可以显示我们网管的实力，又直接戳穿了ArubaAruba的的WEBWEB网管的谎言。网管的谎言。29与我司对应产品的优劣势对比与我司对应产品的优劣势对比（7 7）关于）关于ArubaAruba瞒天过海伎俩的揭露瞒天过海伎俩的揭露ArubaAruba无线控制器能打低价的秘密无线控制器能打低价的秘密熟悉熟悉ArubaAruba产品的人都知道，其无线控制器是很贵的，甚至比产品的人都知道，其无线控制器是很贵的，甚至比CISCOCISCO还贵；还贵；但是为什么，在很多项目中但是为什么，在很多项目中ArubaAruba投标的价格，并不比我司高多少呢？投标的价格，并不比我司高多少呢？原因在于，原因在于，ArubaAruba的无线控制器产品的很多软件功能，是要分开成的无线控制器产品的很多软件功能，是要分开成LicenseLicense模块卖的！模块卖的！下面，我们通过一个下面，我们通过一个Aruba6000Aruba6000系列无线控制器价格体系的截图来看：系列无线控制器价格体系的截图来看：30与我司对应产品的优劣势对比与我司对应产品的优劣势对比（7 7）关于）关于ArubaAruba瞒天过海伎俩的揭露（续）瞒天过海伎俩的揭露（续）ArubaAruba无线控制器能打低价的秘密无线控制器能打低价的秘密这个图就能说明一切了；这个图就能说明一切了；这就是这就是ArubaAruba无线控制器无线控制器OSOS系统的销售模式，与我司、系统的销售模式，与我司、CISCOCISCO、H3CH3C等等“实在实在”的厂商的厂商（只要买了无线交换机就奉送所有功能）不同，他们认为应该根据不同的客户需要，（只要买了无线交换机就奉送所有功能）不同，他们认为应该根据不同的客户需要，把功能模块按需卖给客户，省得客户买了很多不用的功能浪费；把功能模块按需卖给客户，省得客户买了很多不用的功能浪费；这主意不错！挺为客户着想的。但是仔细想一下，不对呀，那还没加那些软件模块时，这主意不错！挺为客户着想的。但是仔细想一下，不对呀，那还没加那些软件模块时，以以Aruba6000Aruba6000产品为例，就只买裸机、冗余电源、引擎板、接口板，这价格就已经很高产品为例，就只买裸机、冗余电源、引擎板、接口板，这价格就已经很高了，要是还不提供完整的软件功能，那客户买来干什么？了，要是还不提供完整的软件功能，那客户买来干什么？好，让我们来仔细看一下，到底买与不买软件模块，能差哪些功好，让我们来仔细看一下，到底买与不买软件模块，能差哪些功能，是不是都是有必要买的？能，是不是都是有必要买的？31与我司对应产品的优劣势对比与我司对应产品的优劣势对比（7 7）关于）关于ArubaAruba瞒天过海伎俩的揭露（续）瞒天过海伎俩的揭露（续）ArubaAruba无线控制器能打低价的秘密无线控制器能打低价的秘密以下这些，是买了以下这些，是买了ArubaAruba无线控制器就能得到的功能：无线控制器就能得到的功能：无线数据转发无线数据转发无线流量的交换转发、VLAN、AP的统一配置这些都是无线控制器最基本的功能，没有就不能称为无线交换机射频管理射频管理无线环境的扫描、信道功率自动调整、覆盖盲区自动发现与修复基本认证基本认证Web认证,、MAC地址认证；有本地用户数据库；但不能对认证用户做ACL访问控制策略，如需就要另外买软件模块了加密加密包括WEP、WPA/WPA2等无线入侵检测无线入侵检测能发现未授权的非法AP、干扰AP；但不能攻击、反制非法AP，要这个功能就要另外买软件模块漫游漫游在AP之间、VLAN之间 以及无线控制器之间进行漫游，如果需要语音应用的话也要买软件模块。这些功能，毫无疑问，我司无线交换机都有。这些功能，毫无疑问，我司无线交换机都有。32与我司对应产品的优劣势对比与我司对应产品的优劣势对比（7 7）关于）关于ArubaAruba瞒天过海伎俩的揭露（续）瞒天过海伎俩的揭露（续）ArubaAruba无线控制器能打低价的秘密无线控制器能打低价的秘密以下这些，是需要花钱买的软件功能模块才能得到的功能：以下这些，是需要花钱买的软件功能模块才能得到的功能：Aruba无线控制器可以额外购买的软件模块无线控制器可以额外购买的软件模块防火墙软件模块防火墙软件模块可针对用户认证身份做访问控制策略VPN服务器模块服务器模块基于无线的VPN功能，这个还是有点用的无线攻击防护模块无线攻击防护模块有了这个，才能叫真正的WIDS，能自动防御非法和干扰AP了外部服务接口模块外部服务接口模块为一些外部工具或软件提供第三方接口，这是产品兼容性和开放性的必需XSEC模块模块针对无线控制器之间、用户到无线控制器的数据加密功能话音服务模块话音服务模块针对VoWLAN（无线语音）的相应的Qos、协议支持等AAA模块模块针对AAA服务的相应功能Aruba的的AP产品可以额外购买的软件模块产品可以额外购买的软件模块远程远程AP模块模块支持跨广域网的远端AP与本地无线控制器的通信无线网状网无线网状网（Mesh）增加对无线网状网（Mesh）的支持这些功能，我司无线交换机也都有，而且不用多花钱。这些功能，我司无线交换机也都有，而且不用多花钱。33提纲提纲Aruba产品规格形态产品规格形态1Aruba产品深入剖析产品深入剖析2Aruba与我司产品对比总结与我司产品对比总结334我们如何进攻我们如何进攻1 1、“128128”策略策略ArubaAruba无线控制器比我们贵，特别是无线控制器比我们贵，特别是60006000产品，所以只要我们能引导客户把产品，所以只要我们能引导客户把APAP数量提高到数量提高到128128以上，以上，或者控标要求无线控制器最大控制或者控标要求无线控制器最大控制APAP熟练大于熟练大于128128个，就能逼出个，就能逼出Aruba6000Aruba6000产品，他们的整体价格产品，他们的整体价格与我司的与我司的MX-200RMX-200R竞争必然没有优势；竞争必然没有优势；2 2、加配置策略、加配置策略只要我们多引导客户对无线入侵检测、无线用户访问控制、只要我们多引导客户对无线入侵检测、无线用户访问控制、AAAAAA、VoWLANVoWLAN等方面感兴趣，一定要有等方面感兴趣，一定要有这些功能，写进控标参数中，这些功能，写进控标参数中，ArubaAruba的无线控制器必然不得不增加各种软件功能模块，价格就是天的无线控制器必然不得不增加各种软件功能模块，价格就是天价了；价了；3 3、卖网管策略、卖网管策略引导客户瘦引导客户瘦APAP方案没有网管的话，效果就会打掉一半的折扣，网管是必须要有的，逼方案没有网管的话，效果就会打掉一半的折扣，网管是必须要有的，逼ArubaAruba投网管投网管产品，而且还要求不能用产品，而且还要求不能用webweb管理来滥竽充数，这样也许管理来滥竽充数，这样也许ArubaAruba就无法参与项目了；就无法参与项目了；4 4、独特技术牌策略、独特技术牌策略我司独有的技术如智能转发、我司独有的技术如智能转发、APAP双冗余上联端口等，对客户都是有意义的功能，如果能引导客户双冗余上联端口等，对客户都是有意义的功能，如果能引导客户要的话，就等于将要的话，就等于将ArubaAruba屏蔽在外了。屏蔽在外了。35哪些方面需要注意和防御哪些方面需要注意和防御1 1、通过测试戳穿谎言、通过测试戳穿谎言一旦一旦ArubaAruba或者其代理商引导客户对或者其代理商引导客户对webweb管理、状态防火墙等感兴趣，可以通过对比测试，让用户管理、状态防火墙等感兴趣，可以通过对比测试，让用户看清楚看清楚ArubaAruba所谓的优势我们也有，我们有的优势，所谓的优势我们也有，我们有的优势，ArubaAruba则没有；则没有；2 2、揭露软件、揭露软件LicenseLicense内幕内幕为了防止为了防止ArubaAruba用价格战挑战我司，特别是在普教、医疗等对无线还不太了解，比较容易被引导的用价格战挑战我司，特别是在普教、医疗等对无线还不太了解，比较容易被引导的行业客户，一定要提前告知用户关于行业客户，一定要提前告知用户关于ArubaAruba软件模块分开卖的实质，不能到了项目投标阶段才引导软件模块分开卖的实质，不能到了项目投标阶段才引导客户，更加不能把这种问题带到投标环节还没传递清楚，那样我司只剩价格战了，风险将会增加。客户，更加不能把这种问题带到投标环节还没传递清楚，那样我司只剩价格战了，风险将会增加。3 3、注意合理选择、注意合理选择APAP为了抬高我司价格，为了抬高我司价格，ArubaAruba一定会引导客户要求一定会引导客户要求APAP支持支持802.11a802.11a，逼出我司的，逼出我司的MP-372MP-372从而获得价格从而获得价格优势。这一点一定要注意不能让他们把优势。这一点一定要注意不能让他们把802.11a802.11a写进去。写进去。同时，可以通过要求双路同时，可以通过要求双路APAP产品，逼出他们的最高端产品，逼出他们的最高端APAP产品，价格就会比我司的产品，价格就会比我司的MP-372MP-372贵，我司贵，我司的风险就会降低，的风险就会降低，36价格对比分析价格对比分析案例：项目使用案例：项目使用152个个AP，标书要求标书要求APAP同时支持同时支持802.11a/b/g802.11a/b/g，并且要自带，并且要自带外接天线接口；需要无线交换机支持无线用户的访问控制策略和无线入侵防外接天线接口；需要无线交换机支持无线用户的访问控制策略和无线入侵防护。护。此招标参数此招标参数ArubaAruba需要投出需要投出AP70,AP70,并且无线交换机需配置防火墙并且无线交换机需配置防火墙(PEF)(PEF)和无线入侵防护和无线入侵防护(WIP)(WIP)模块：模块：37价格对比分析（续）价格对比分析（续）我司要使用我司要使用MP-422MP-422，无线用户的访问控制策略和无线入侵防护功能是无线交换机内置，无线用户的访问控制策略和无线入侵防护功能是无线交换机内置的，配了无线网管系统：的，配了无线网管系统：以上目录价对比可以看出，以上目录价对比可以看出，ArubaAruba将防火墙和无线入侵防护功能将防火墙和无线入侵防护功能模块配齐，并且没有配置无线网管软件的情况下，价格还要高模块配齐，并且没有配置无线网管软件的情况下，价格还要高出我们很多。出我们很多。3839