酒店无线局域网系统技术方案.doc

《酒店无线局域网系统技术方案.doc》由会员分享，可在线阅读，更多相关《酒店无线局域网系统技术方案.doc（43页珍藏版）》请在咨信网上搜索。

XX酒店Aruba无线局域网 解决方案 目 录 一、设计思想 4 1.1无线网络建设需求 4 1.2无线网开拓新型服务 4 1.2.1无线网卡上网服务 4 1.2.2酒店大堂的Internet接入服务 4 1.2.3客房Internet上网服务 5 1.2.4无线局域网语音应用 5 1.3无线局域网设计原则 5 1.4 XX酒店需求 7 1.5 XX酒店网络前景 7 二、Aruba无线互换局域网系统技术特点 7 2.1 Aruba无线局域网系统架构 9 2.1.1先进的无线局域互换机 9 2.1.2灵活的组网方式 9 2.1.3优秀的扩展性 9 2.1.4无需更改有线网结构 10 2.1.5方便地无线网络规划设计 10 2.2 Aruba无线局域网的网络管理 11 2.2.1集中式管理 11 2.2.2无需安装客户端软件 11 2.2.3 RF智能控管 12 2.2.4 多个SSID结构 13 2.2.5故障自动恢复 13 2.2.6网络负载均衡 13 2.2.7无线终端定位 14 2.2.8 无缝的三层漫游 14 2.3 Aruba无线局域网系统的安全管理 14 2.3.1集中的安全管理 14 2.3.2无线用户网络接入的安全管理 15 2.3.3无线网络的安全防护和监控 16 2.3.4无线局域网的认证与加密 18 2.3.5多种用户认证方式 19 2.3.6 独特的无线访问控制 19 2.3.7安全的AP技术 20 2.3.8无线接入点安全侦测和保护 20 2.3.9无线网络入侵侦测 20 2.3.10无线接入的病毒防护 21 2.3.11无线射频终端的定位 22 三、XX酒店Aruba无线局域网系统实现 22 3.1无线覆盖设计实现 22 3.2无线组网实现 22 3.3无线网业务实现 26 3.4无线用户和设备的管理实现 26 3.5无线射频管理实现 27 3.6支撑多业务的网络应用 28 3.6.1无线网络的QoS实行与保障策略 28 3.6.2网络系统的自愈功能 29 3.6.3无线接入的负载均衡 30 3.6.4 VoWLAN无线语音通信系统 31 3.6.5无缝的跨越不同的IP子网漫游 32 3.7无线网络的安全系统实现 33 四、Aruba酒店成功案例 35 一、设计思想 1.1无线网络建设需求 对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争，各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天，作为四、五星级酒店如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来，随着来自世界各地商务客人的增长，全球信息技术的发展和无线网络的高速发展，以及Internet在国内的迅猛发展，为酒店经营者提供新的信息服务成为一种趋势。这一方面提高了现代化酒店的服务与管理水平，同时，也为酒店经营者带来了相应的利益。 可以说，网络不仅是酒店传播信息的工具，也是留住回头客保持入住率的有效手段，而无线网络由于其移动性、便利性和灵活性的特点，更是得以在酒店中大显身手。商务客人一般会规定酒店提供与其办公室和个人家庭相同的高速Internet访问能力，通过无线局域网就可实现灵活且可扩展的网络解决方案。  1.2无线网开拓新型服务 1.2.1无线网卡上网服务 无线网络的引入，使酒店开拓各种新的服务成为也许。譬如，在登记入住后，商务客人只需简朴地在其笔记本上安装一个无线局域网卡，在几分钟之内就可以比电话连接速度快100倍的速率访问Internet。无线局域网系统的安装使客人可以非常方便和灵活地在酒店内移动办公，无论是在饭店客房、会议室、餐厅，花园还是游泳池边。这样的无线高速访问能力，必将使安装了无线局域网络的酒店成为商务会议和展览的宠儿。  1.2.2酒店大堂的Internet接入服务 商务客人经常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进行一个小型的会谈，当客人需要解决电子邮件或是上网下载公司的资料时，得到的回答往往是：您必须换一个靠近某个数据点的位置；您可以到商务中心去吗；或是必须到房间里用电话线才可以上网等等。 假如在酒店大堂内安装一到两个无线访问点，该访问点可覆盖需要提供无线上网服务的区域。当客人需要上网服务时，可以到前台或是咖啡厅的服务员处租用一块无线网卡，租金可以按小时或是按天计算，这样客人就可以作为一个本地网络的用户自由地使用高速上网服务了。酒店可以在客人入住时，直接提供无线网卡，或者作为酒店提供的一项服务内容供客人选择 1.2.3客房Internet上网服务 现在一般酒店都已配备有连接Internet的高速专线，供酒店内部使用，一些较老的酒店，由于没有进行综合布线，或者不是每个房间都进行了布线，特别是客人的房间或会议室这些客人经常停留的地方，客人还只能运用电话线上网，无论是上网速度还是上网话费都让人难以承受，而重新布线带来的损失入住时间、工期和噪声等问题又使得酒店对是否进行布线顾虑重重。 在需要接入服务的楼层安装一台或两台无线访问点设备，需要上网服务的客人可以使用酒店提供的无线网卡，插入自己的笔记本电脑后就可以方便地上网了。  1.2.4无线局域网语音应用 目前大部分酒店的服务人员都是通过寻呼机进行联系，非常的不方便，但是每一个员工都配置一个手机，其使用成本太高，酒店是无法承受的。假如架设了无线局域网，这样酒店的服务人员就可以使用Wi-Fi手机进行联络，使用是完全免费的。这样可以极大的方便酒店的业务管理，减少酒店的运营费用，同时无线手机能实现酒店语音互换机提供的酒店功能和服务。 1.3无线局域网设计原则 根据我们对五星级酒店通讯系统的了解以及服务于酒店的经验，我们考虑到无线通讯系统在XX酒店平常业务中的特殊地位,在无线局域网组网技术、设备产品选型、网络管理和网络安全等方面考虑以下设计原则： 先进性原则 第一代无线局域网重要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网络关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，在这样的环境下，基于无线互换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线互换机和Thin AP的架构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。 可管性原则 在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控、终端定位等功能，支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。 安全性原则 在网络安全性方面，无线局域网系统要具有与有线局域网同样规定的安全防护措施，无线网络的安全性重要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采用品有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的VPN机制；（4）具有无线网络的防病毒机制（5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。 可靠性原则 具有提供智能化的无线电波自动调控与切换能力，以保证单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；具有支持热备份的无线互换机N+1的冗余备份机制。 扩展性原则 通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也可设立为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。 标准化原则 无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有助于网络的投资保护。 1.4 XX酒店需求 1、无线网络支持语音和数据业务； 2、无线语音业务具有语音互换机提供的酒店功能； 3、酒店客户访问无线数据网络业务无缝漫游； 4、酒店对无线AP设备集中安全管理和RF监控； 5、无线网络支持多个 SSID； 6、不需要在每个客户终端管理大量的Wep key ； 7、可以和酒店内的服务器结合进行上网客户的认证； 8、支持以太网供电（POE）； 1.5 XX酒店网络前景 XX酒店无线网络建成后，入住酒店的商务客人可以运用配有无线终端产品的笔记本电脑或高端的“迅驰”笔记本自由地接入互联网，提高其办公效率。同时，宾馆还可实现无线网络与现有有线网络之间无缝连接，客人无论是在客房、会议室、餐厅还是花园都可以随时接入互联网。对于住店的客人，该无线网络能满足其所需的所有网络传输规定，涉及传输文字、声音、图像等，甚至可以多路声音、图像并发传输。用户可以在任何时间、任何地点接入网络，满足他们对高性能、高灵活性以及可移动性的需要。无线网络全覆盖，建立Portal page，宣传酒店，提高酒店的知名度；网络扩展容易；减少布线的成本投资它用；无线网络的认证计费系统与酒店PMS系统联接，客户可到前台操作员处获得上网的具体信息和帐单；高速的无线访问能力，加速开展“商务会议”和“展览”；建立一个酒店的内部网站（免费登录），便于客人浏览，网站上可以开展机票、车票预定等业务，同时可以展示酒店的美食，查询酒店的相关信息等，增长无线打印业务，客人可以到前台处领取打印材料，按量收费。 同时酒店可基于这个无线通讯平台近，建立自己的内部无线语音通讯系统，从而大大减少酒店的运营成本。并将此平台升级成一项增值服务，面向商务客户提供一些IP语音通讯业务及酒店征询、手机的无缝切换等等。 二、Aruba无线互换局域网系统技术特点 无线局域网技术通过十几年的发展，已经历了三代技术及产品的发展。 第一代无线局域网技术采用单纯的AP实现无线接入外，基本上没有其它功能。 第二代无线局域网技术（以正诚、昂科、Bluesocket等为代表），采用AC＋智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络互换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置，涉及加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。此外由于AC或无线网络关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网络的性能会急剧下降，时常会发生掉线或死机情况。 第三代无线局域网技术采用无线互换网络架构（以Cisco、Aruba为代表），实现了基于无线网络互换机，以AP为单元互换的无线网络系统，Aruba是采用独立的无线网络互换机实现的。 作为第三代的Aruba无线系统采用了Wireless Switch＋AP构架，将密集型的无线网络和安全解决功能转移到集中的 WLAN 互换机中实现，同时加入了许多重要新功能，诸如无线网络管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。 Aruba无线系统不仅具有一、二代无线产品所有的功能，并且在无线网络的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。 在无线网络融合到有线网络方面，Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实行非常方便。 在无线网络管理方面，Aruba无线系统实现真正的集中控管，涉及独有的RF智能调控，自动恢复、负载均衡功能，使无线网络可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端AP状态监测，方便实现对AP的管理；具有多SSID支持，实现了对无线数据、语音和视频的应用带宽管理。 在无线安全性方面，Aruba无线系统具有多种用户认证、、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。 在无线音视频应用方面，Aruba独有的基于每个用户的带宽控制和QOS保证，可以保证语音和视频业务的实时性，先进的无缝三层移动漫游，使得VoIP以及Wi-fi Fhone可以自由的在任意AP间切换，具有目前业界最低的时延。 2.1 Aruba无线局域网系统架构 2.1.1先进的无线局域互换机 作为第三代的Aruba系统采用了Wireless Switch＋thin AP构架，将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 互换机中实现，同时增长了许多无线局域网全新的功能：诸如：无线安全性、AP管理控制、RF站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的Qos保证，使得VoIP的应用，如Wi-Fi技术应用得到了飞速发展。 2.1.2灵活的组网方式 第三代的Aruba产品可以根据从小型的无线网络规模（几十个AP），到大型无线网络规模（几百个AP，甚至上千个AP），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。 2.1.3优秀的扩展性 无线网络具有非常容易扩展的特性，因此，今天在组建无线网络时必须要考虑系统的扩展性。在网络系统扩展性方面，Aruba的一台5000/6000型互换机可灵活地对从128个AP扩充到支持512个 AP，因此扩展AP非常容易；从网络管理扩展性方面, Aruba的Master/Local方式， Master Aruba 互换机可以同时控制管理28台的Local Aruba互换机，因此增长互换机也非常容易管理。 除了AP数量之外，如何控管大量的AP和部署也是扩展性的重要考虑因素。要妥善解决数目众多的AP在无线网络内正常远作，涉及无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。 2.1.4无需更改有线网结构 实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员不乐意做的事情，采用Aruba系统无需更改用户现有的有线网结构。 由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba互换机互连的，所以事实上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba互换机和骨干互换机互连互通。这样非常方便在有线网里实行无线局域网，同时也非常方便进行扩展。 Aruba的无线互换机可以安装在中心机房，而AP则可以放置于任何地方，无需用二层设备连到无线互换机，或者划分VLAN；其他厂家则需要二层互换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的减少和漫游特性的缺失。 不用划分VLAN，对于无线网络的管理带来极大的便利性。 对原有的有线网路由器不需要改变路由结构，减轻了由于无线网络的建设而对原有网络的结构改变的工作量。 2.1.5方便地无线网络规划设计 在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖？应在哪些位置安装AP，安装后电波的覆盖范围，信号在不同位置的强弱等，要完毕此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，且还无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。 Aruba首创开发了RF Planning工具，可以让规划设计者在考虑无线局域网组网之初采用RF Planning在计算机上做规划设计，估算在规定的覆盖面积上AP应安装的物理位置所在。使用这套工具时，在数字化的建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，AP和AP之间覆盖面等。RF Planning自动计算，然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP，在无线网络安装完毕后，网管人员通过RF Planning的Auto-Calibration功能，设定Aruba互换机自动调节网上所有Aruba AP的频道与功率参数以达成一个最优性能的运营状态。在无线局域网系统投入运营后，网管人员可通过RF Planning随时监测网内的每个AP的无线电波的状态，及时掌握每个AP的工作状态和故障诊断，及时做出调整策略。Aruba RF Planning为无线网络的规划设计、调试以及维护提供科学化和规范化的管理。 2.2 Aruba无线局域网的网络管理 2.2.1集中式管理 管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设立和更改。其工作量在有一定数量AP的无线网络里是非常大和烦琐的，并且无线局域网是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也也许会产生问题。 Aruba系统具有非常强的无线局域网集中管理功能，通过无线互换机Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线互换机就可开通、管理、维护所有AP设备以及移动终端，涉及无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 2.2.2无需安装客户端软件 Aruba系统无需为每一个移动用户终端安装无线接入软件， Aruba的认证可以基于WEB页面认证，该认证只需用户打开浏览器就可以登陆。 ARUBA采用GRE隧道技术，可以透明地穿透在无线互换机和AP之间的任何三层网络互换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1X客户端软件才干实现WEB页面认证。 2.2.3 RF智能控管 由于无线电波是一种无形的东西，它的强度和所在的信道一般都需要根据经验手工调整，要做到无线信号均匀分布，信道的运用率高，无信道干扰并不是件非常容易的事情，但是Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。可以保证无线信号均匀分布，信道的运用率高，无信道干扰，无线网络做到最为优化的运营。 当初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网络上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达成了一个最优化的无线电波运营环境。 当无线局域网通过Auto Calibration调整后而正式运作时，网络管理员可在Aruba 互换机内启动ARM功能，则无线网络上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指Aruba AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3....，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响的。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回Aruba 无线互换机。这样Aruba 无线互换机就对整个无线网络上的电波情况有了一定了解和记录。当某一覆盖范围内的电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，Aruba 无线互换机就会把所获取的无线电波资料做分析，以拟定是否需要调整范围内AP的无线电波。 2.2.4 多个SSID结构 Aruba系统的多SSID结构和和实现技术使得在Aruba无线局域网系统的各种应用服务（数据、语音和视频）在Qos上表现非常杰出。在一个无线局域网内可以设立多个SSID，例如一个SSID可给用户的工作人员所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。 在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列解决。在一个视频SSID内可把视频数据流传输以优先级队列解决。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过，以保证其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议通过，以保证其它数据不能进入这SSID。 这样可在多SSID的情况下保证音视频的Qos。 2.2.5故障自动恢复 传统的无线网络在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。碰到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设立在外面(不是在机房)，所以不一定能立即作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。 Aruba系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发现有AP出现故障时，Aruba互换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。 2.2.6网络负载均衡 Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要保证每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无线系统可应用层面通过4－7层互换模块可以实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。 在视频应用中，负载均衡功能可以有效的缓解单个AP的承担，有效的运用临近的AP做接入，从而保证视频应用的质量得到保证。 2.2.7无线终端定位 Aruba 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和 Wi-Fi手机等。Aruba采用的无线定位模式称为三角定位，它的准确性可达成2.5米以内，先决条件是所寻找的无线终端附近须有最少三个Aruba的AP 在范围内。这是传统无线局域网所不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。 2.2.8 无缝的三层漫游 Aruba 无线可以让用户在 AP、WLAN 互换机、多子网以及多VLAN 之间无缝地漫游，并且不会丢失连接，也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。 其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而Aruba的handoff性能极佳，保证了语音的流畅。这种技术可以保证无线语音业务可以无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。 2.3 Aruba无线局域网系统的安全管理 2.3.1集中的安全管理 在传统的无线局域网解决方案中，为保障网络的安全，许多客户把所有无线流量拒之于防火墙（从DMZ区接入）之外，用户不得不绕道进入单位网络（如下图）。从安全性方面看，这是个好方法，但却使网络设计达不到最优状态并且导致性能劣化，由于 WAN 级别的防火墙忽然之间要被迫应付许许多多以无线局域网速度访问的接入点。这种技术由于“统一尺码”的访问控制方法而不够灵活，由于它赋予所有无线用户相同的网络权限。假如不采用上述的解决方案，而是将无线系统直接连接到楼层互换机，这样用户连接至AP以后，所有的访问都将无从控制，对客户的网络安全更是极大的威胁。在宾馆的网络环境中，由于来往的人员多，流动性很大，假如只是靠内网和外网的隔离，不能很好的提供服务给不同身份的用户。假设宾馆工作人员需要查询酒店管理信息及旅客信息而使用随身携带的PDA，假如只是简朴的在内网中部署WLAN（无线局域网），旅客很容易通过自己的PDA和笔记本电脑登陆到酒店的内部网络，导致内网络的安全漏洞。假如部署酒店全范围内的WLAN，传统的无线局域网面临无缝漫游和用户管理的难题。 Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线互换机上来完毕的，解决了传统的无线网络对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。 2.3.2无线用户网络接入的安全管理 用户状态防火墙是ARUBA无线互换机的独特功能，它自身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如宾馆的管理人员和工作人员可以使用更多的服务，而旅客只可以浏览网页或者收发Email等，这样可以极大方便宾馆的用户的安全管理。例如宾馆的领导可以通过无线网络访问宾馆所有的管理、财务、人员、航班信息，宾馆工作人员可以通过无线网络访问航班、旅客、行李信息，旅客可以通过网络访问航班信息、天气信息，接机和送机的客人可以通过无线网络访问宾馆的公众网站，了解航班到达和起飞的具体情况。基于身份的访问原则很好的保护宾馆的网络安全，同时也提供了不同等级的访问权限。（如下图） 2.3.3无线网络的安全防护和监控 由于无线终端接入是没有明确物理位置限制的，所以管理方很难用固定的网络防火墙设备来防范无线连接(防火墙一般很少会设立在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的通信，所以万一有无线终端被病毒感染或黑客在无线发起袭击的话，它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。有一些单位为了安全就采用一刀切的方法，把所有无线接入汇聚到一个DMZ内，再通过一网络防火墙的过滤才让无线数据进入公司内网。这种方式在具体实行时有一定的困难，只能局限在传输网内的某些范围，因无线用户/终端必需集中在一VLAN上解决，否则的话很难把它们汇聚到一个DMZ内。假如不是通过DMZ的话，则也许威胁到内网的安全，但要把在不同接入点AP的无线用户/终端和有线用户(在同一接入点)完全分隔开而设立到DMZ上的同一个VLAN则需在现有的局域网做很多改动。且未来如要增长多一些AP接入点的话，亦同样需要在局域网的接入层，汇聚层做很多改动。 采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺少灵活性，因它本质上不是设计来做内部的安全保护，而是用来保证外来数据进入公司内网是安全可靠的，所以一般都会设立在公司因特网的连接口。从因特网进入公司内网和公司内部的无线接入的最大区别在于后者是可对用户做认证，但前者是不也许实现。由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和IP 原地址来制定，不管用户是谁。这种模式在公司内部署会对用户的内网访问有很多限制，缺少灵活性，所以是很难被用户广泛接受，只可在小范围或小规模的情况下实现。要做到实行和维护简朴方便，亦可根据用户身份来制定安全访问策略，ARUBA的无线解决方案就可以彻底解决这些问题。 采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测大厦无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设立错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以启动自动保护机制，阻止无线终端通过非法AP联接到无线网中。在宾馆网络中，假如某位宾馆工作人员或合作单位的人员私下安装了无线的AP，提供了直接连接宾馆内网的接入，ARUBA无线安全管理的功能可以及时的发现这个非法的AP，并且可以告知管理人员断掉非法AP的网络连接，显示非法AP接入的大体方位。 今天已有很多的无线入侵和袭击的工具可从网站下载，这些工具的普及对宾馆和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS袭击时，就会误认为是无线电波的信号受干扰或AP出现不稳定情况。这些袭击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误认为是网络问题，间接影响无线网系统的品质。 ARUBA 无线系统的特点是互换机由专有的网络解决器和加密解决器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。 2.3.4无线局域网的认证与加密 传统的无线局域网解决方案中用户认证重要依赖于802.1x，这种认证方法需要用户安装802.1x客户端程序，后端还需要Radius服务器支持。一方面用户的技术水平参差不齐，客户端的操作系统多种多样，以及系统也许出现的软件冲突等，对802.1x客户端的安装导致极大障碍，另一方面，后端的数据库只能使用Radius，不能使用其他类型的认证数据库，在适应性上也比较差，这些对于大规模推广和使用都是极大的阻碍。考虑到客户所使用的设备安全认证的多样性，我们认为将来的的接入方式可以多种选择，宾馆的工作人员也许通过手持PDA设备查询客房信息，旅客可以通过宾馆提供的PC机查询信息，宾馆的工作人员和宾馆的合作单位可以通过笔记本电脑上网，宾馆同时可以考虑提供WiFi手机提供语音的服务。在ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不允许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），宾馆用户可以根据需要方便选择。我们可以考虑宾馆的工作人员和宾馆的管理人员可以通过身份认证的方式登陆到宾馆内网，旅客可以通过WEB界面访问宾馆的公众服务器，远程的宾馆员工可以通过VPN的方式访问宾馆内网。WiFi手机的用户可以事先设立好登陆的方式。 ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在ARUBA无线互换机上实现。由于ARUBA的AP是不储存任何网络配置（IP地址除外）和安全设立，因此ARUBA 管理的AP是不能单独工作的，因此获得和接入进ARUBA AP，黑客也不会拿到无线网的网络和安全配置参数。但一个破坏者通过其他的手段（偷盗和窃取）攻破了边沿的接入网络，他也无法破译ARUBA 无线网络建立起的加密通道，无法窃取网络的真实信息。 2.3.5多种用户认证方式 在Aruba无线系统中，一个无线用户进入无线网络以后，只会拿到一个最基本的入网权限，这个权限不允许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网络。 Aruba无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），无线网络用户可以根据需要方便选择。 2.3.6 独特的无线访问控制 用户状态防火墙是Aruba无线互换机的独特功能，它自身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如单位的工作人员可以使用更多的服务，而来访人员只可以浏览网页、收发Email等，这样可以极大方便无线网络用户的安全管理。 2.3.7安全的AP技术 Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在Aruba无线互换机上实现。由于Aruba的AP是不储存任何网络配置（IP地址除外）和安全设立，因此Aruba 管理的AP是不能单独工作的，因此获得和接入进Aruba AP，黑客也不会拿到无线网络的网络和安全配置参数。 2.3.8无线接入点安全侦测和保护 采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测无线网络覆盖区域内的所有AP接入情况,如相邻房间的AP、设立错误的AP以及未经认可而连接到网络中的AP。通过Aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以启动自动保护机制，阻止无线终端通过非法AP联接到无线网络中。 2.3.9无线网络入侵侦测 今天已有很多的无线入侵和袭击的工具可从网站下载，这些工具的普及对用户的无线网络的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS袭击时，就会误认为是无线电波的信号受干扰或AP出现不稳定情况。这些袭击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误认为是网络问题，间接影响无线网络系统的品质。 Aruba 无线系统的特点是互换机由专有的网络解决器和加密解决器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当Aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。 2.3.10无线接入的病毒防护 Aruba无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是准入检查，当无线终端连接到Aruba无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，假如不能通过检查，可以设定策略严禁其访问网络，也可设立成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。Aruba公司和第三方的防病毒墙厂家合作，在Aruba无线互换机上可以设定策略，某些用户，以及某些也许沾染病毒的数据，Aruba互换机会将其重定向到防病毒墙上进行防病毒检查，检查完毕后，才允许通过，否则会将数据丢弃。 基于上述两个层面，Aruba无线局域网系统对无线终端进行有效和方便的病毒防护。 2.3.11无线射频终端的定位 无线终端定位是ARUBA系统的一大特色功能。此功能亦被称为“三角定位”，是指当一个无线终端同时被三个以上的AP信号覆盖着，即可跟踪和定出无线终端的位置。它的准确度可达成2.5米以内，与无线终端使用者无关，诸如无线接入的电脑、PDA和 WiFi手机等，只要附近范围内存在最少三个ARUBA的AP即可，这也是传统无线局域网所不能做的。在宾馆内经常采用了三角无线定位技术来资产管理追踪，找寻地勤人员，以及定位找出非法入侵的AP和无线终端。 三、XX酒店Aruba无线局域网系统实现 3.1无线覆盖设计实现 AP放置于相应的位置，用于覆盖走廊以及房间内。 3.2无线组网实现 根据XX酒店的实际测量配置Aruba无线互换机与无线接入点Aruba 41 AP数量。估算AP书量见下页AP分布表。 AP上联方式：以楼层为单位，在每个需要布放AP的位置拉放网线，AP连接在楼层的配线间中，使用POE供电设备给AP供电。A