Aruba酒店无线局域网系统技术方案.docx
XX酒店Aruba无线局域网解决方案目 录一、设计思想41.1无线网络建设需求41.2无线网开拓新型服务41.2.1无线网卡上网服务41.2.2酒店大堂的Internet接入服务41.2.3客房Internet上网服务51.2.4无线局域网语音应用51.3无线局域网设计原则51.4 XX酒店需求71.5 XX酒店网络前景7二、Aruba无线交换局域网系统技术特点72.1 Aruba无线局域网系统架构92.1.1先进的无线局域交换机92.1.2灵活的组网方式92.1.3优秀的扩展性92.1.4无需更改有线网结构102.1.5方便地无线网络规划设计102.2 Aruba无线局域网的网络管理112.2.1集中式管理112.2.2无需安装客户端软件112.2.3 RF智能控管122.2.4 多个SSID结构132.2.5故障自动恢复132.2.6网络负载均衡132.2.7无线终端定位142.2.8 无缝的三层漫游142.3 Aruba无线局域网系统的安全管理142.3.1集中的安全管理142.3.2无线用户网络接入的安全管理152.3.3无线网络的安全防护和监控162.3.4无线局域网的认证与加密182.3.5多种用户认证方式192.3.6 独特的无线访问控制192.3.7安全的AP技术202.3.8无线接入点安全侦测和保护202.3.9无线网络入侵侦测202.3.10无线接入的病毒防护212.3.11无线射频终端的定位22三、XX酒店Aruba无线局域网系统实现223.1无线覆盖设计实现223.2无线组网实现223.3无线网业务实现263.4无线用户和设备的管理实现263.5无线射频管理实现273.6支撑多业务的网络应用283.6.1无线网络的QoS实施与保障策略283.6.2网络系统的自愈功能293.6.3无线接入的负载均衡303.6.4 VoWLAN无线语音通信系统313.6.5无缝的跨越不同的IP子网漫游323.7无线网络的安全系统实现33四、Aruba酒店成功案例35一、设计思想1.1无线网络建设需求对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天,作为四、五星级酒店如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来,随着来自世界各地商务客人的增加,全球信息技术的发展和无线网络的高速发展,以及Internet在国内的迅猛发展,为酒店经营者提供新的信息服务成为一种趋势。这一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。可以说,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店中大显身手。商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力,通过无线局域网就可实现灵活且可扩展的网络解决方案。 1.2无线网开拓新型服务1.2.1无线网卡上网服务无线网络的引入,使酒店开拓各种新的服务成为可能。譬如,在登记入住后,商务客人只需简单地在其笔记本上安装一个无线局域网卡,在几分钟之内就可以比电话连接速度快100倍的速率访问Internet。无线局域网系统的安装使客人可以非常方便和灵活地在酒店内移动办公,无论是在饭店客房、会议室、餐厅,花园还是游泳池边。这样的无线高速访问能力,必将使安装了无线局域网络的酒店成为商务会议和展览的宠儿。 1.2.2酒店大堂的Internet接入服务商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作,或是在这些地方进行一个小型的会谈,当客人需要处理电子邮件或是上网下载公司的资料时,得到的回答往往是:您必须换一个靠近某个数据点的位置;您可以到商务中心去吗;或是必须到房间里用电话线才可以上网等等。如果在酒店大堂内安装一到两个无线访问点,该访问点可覆盖需要提供无线上网服务的区域。当客人需要上网服务时,可以到前台或是咖啡厅的服务员处租用一块无线网卡,租金可以按小时或是按天计算,这样客人就可以作为一个本地网络的用户自由地使用高速上网服务了。酒店可以在客人入住时,直接提供无线网卡,或者作为酒店提供的一项服务内容供客人选择1.2.3客房Internet上网服务 现在一般酒店都已配备有连接Internet的高速专线,供酒店内部使用,一些较老的酒店,因为没有进行综合布线,或者不是每个房间都进行了布线,特别是客人的房间或会议室这些客人经常停留的地方,客人还只能利用电话线上网,无论是上网速度还是上网话费都让人难以承受,而重新布线带来的损失入住时间、工期和噪声等问题又使得酒店对是否进行布线顾虑重重。在需要接入服务的楼层安装一台或两台无线访问点设备,需要上网服务的客人可以使用酒店提供的无线网卡,插入自己的笔记本电脑后就可以方便地上网了。 1.2.4无线局域网语音应用 目前大部分酒店的服务人员都是通过寻呼机进行联系,非常的不方便,但是每一个员工都配置一个手机,其使用成本太高,酒店是无法承受的。如果架设了无线局域网,这样酒店的服务人员就可以使用Wi-Fi手机进行联络,使用是完全免费的。这样可以极大的方便酒店的业务管理,降低酒店的运行费用,同时无线手机能实现酒店语音交换机提供的酒店功能和服务。1.3无线局域网设计原则根据我们对五星级酒店通讯系统的了解以及服务于酒店的经验,我们考虑到无线通讯系统在XX酒店日常业务中的特殊地位,在无线局域网组网技术、设备产品选型、网络管理和网络安全等方面考虑以下设计原则:先进性原则第一代无线局域网主要是采用Fat AP,每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网络关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和Thin AP的架构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。可管性原则在网络管理方面,必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能,使所建的无线网络可以适应多种环境的变化,可动态地保证良好的应用效果。同时,还应具有远端AP数据进行采集、远程监控、终端定位等功能,支持多SSID,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。安全性原则在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网络的安全性主要从以下几个方面考虑:(1)接入认证:具有支持多种用户认证方式;(2)采用具有用户状态访问控制的防火墙技术;(3)具有数据在无线信道上传输的VPN机制;(4)具有无线网络的防病毒机制(5)具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。可靠性原则具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线交换机N+1的冗余备份机制。扩展性原则通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理,AP既可以提供无线接入,也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便。标准化原则无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协议,以保证网络设备的互通性,有利于网络的投资保护。1.4 XX酒店需求1、无线网络支持语音和数据业务;2、无线语音业务具有语音交换机提供的酒店功能;3、酒店客户访问无线数据网络业务无缝漫游;4、酒店对无线AP设备集中安全管理和RF监控;5、无线网络支持多个 SSID;6、不需要在每个客户终端管理大量的Wep key ;7、可以和酒店内的服务器结合进行上网客户的认证;8、支持以太网供电(POE);1.5 XX酒店网络前景XX酒店无线网络建成后,入住酒店的商务客人可以利用配有无线终端产品的笔记本电脑或高端的“迅驰”笔记本自由地接入互联网,提高其办公效率。同时,宾馆还可实现无线网络与现有有线网络之间无缝连接,客人无论是在客房、会议室、餐厅还是花园都可以随时接入互联网。对于住店的客人,该无线网络能满足其所需的全部网络传输要求,包括传输文字、声音、图像等,甚至可以多路声音、图像并发传输。用户可以在任何时间、任何地点接入网络,满足他们对高性能、高灵活性以及可移动性的需要。无线网络全覆盖,建立Portal page,宣传酒店,提高酒店的知名度;网络扩展容易;减少布线的成本投资它用;无线网络的认证计费系统与酒店PMS系统联接,客户可到前台操作员处获得上网的详细信息和帐单;高速的无线访问能力,加速开展“商务会议”和“展览”;建立一个酒店的内部网站(免费登录),便于客人浏览,网站上可以开展机票、车票预定等业务,同时可以展示酒店的美食,查询酒店的相关信息等,增加无线打印业务,客人可以到前台处领取打印材料,按量收费。同时酒店可基于这个无线通讯平台近,建立自己的内部无线语音通讯系统,从而大大降低酒店的运营成本。并将此平台升级成一项增值服务,面向商务客户提供一些IP语音通讯业务及酒店咨询、手机的无缝切换等等。二、Aruba无线交换局域网系统技术特点 无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外,基本上没有其它功能。第二代无线局域网技术(以正诚、昂科、Bluesocket等为代表),采用AC智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网络关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网络的性能会急剧下降,时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构(以Cisco、Aruba为代表),实现了基于无线网络交换机,以AP为单元交换的无线网络系统,Aruba是采用独立的无线网络交换机实现的。作为第三代的Aruba无线系统采用了Wireless SwitchAP构架,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网络管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。Aruba无线系统不但具有一、二代无线产品所有的功能,并且在无线网络的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。在无线网络融合到有线网络方面,Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定,使得无线网络的规划和实施非常方便。在无线网络管理方面,Aruba无线系统实现真正的集中控管,包括独有的RF智能调控,自动恢复、负载均衡功能,使无线网络可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端AP状态监测,方便实现对AP的管理;具有多SSID支持,实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面,Aruba无线系统具备多种用户认证、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。在无线音视频应用方面,Aruba独有的基于每个用户的带宽控制和QOS保证,可以确保语音和视频业务的实时性,先进的无缝三层移动漫游,使得VoIP以及Wi-fi Fhone可以自由的在任意AP间切换,具有目前业界最低的时延。2.1 Aruba无线局域网系统架构2.1.1先进的无线局域交换机作为第三代的Aruba系统采用了Wireless Switchthin AP构架,将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现,同时增加了许多无线局域网全新的功能:诸如:无线安全性、AP管理控制、RF站址监测、无缝移动漫游,特别是对语音、视频业务的支持有专门的Qos保证,使得VoIP的应用,如Wi-Fi技术应用得到了飞速发展。2.1.2灵活的组网方式第三代的Aruba产品可以根据从小型的无线网络规模(几十个AP),到大型无线网络规模(几百个AP,甚至上千个AP),都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制,保证系统的高可用性。2.1.3优秀的扩展性 无线网络具有非常容易扩展的特性,因此,今天在组建无线网络时必须要考虑系统的扩展性。在网络系统扩展性方面,Aruba的一台5000/6000型交换机可灵活地对从128个AP扩充到支持512个 AP,因此扩展AP非常容易;从网络管理扩展性方面, Aruba的Master/Local方式, Master Aruba 交换机可以同时控制管理28台的Local Aruba交换机,因此增加交换机也非常容易管理。除了AP数量之外,怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在无线网络内正常远作,包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba系统的网管系统实现。2.1.4无需更改有线网结构实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是网管人员不愿意做的事情,采用Aruba系统无需更改用户现有的有线网结构。由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的,所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便在有线网里实施无线局域网,同时也非常方便进行扩展。Aruba的无线交换机可以安装在中心机房,而AP则可以放置于任何地方,无需用二层设备连到无线交换机,或者划分VLAN;其他厂家则需要二层交换机连接或者划分VLAN,否则只能将认证点下放到AP上,导致整体性能的降低和漫游特性的缺失。不用划分VLAN,对于无线网络的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构,减轻了由于无线网络的建设而对原有网络的结构改变的工作量。2.1.5方便地无线网络规划设计在规划一个无线局域网络时,规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖?应在哪些位置安装AP,安装后电波的覆盖范围,信号在不同位置的强弱等,要完成此项工作,通常做法是规划设计者要在现场做大量的测试工作,通过经验去估算位置和数量,其工作量非常之大,且还无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。Aruba首创开发了RF Planning工具,可以让规划设计者在考虑无线局域网组网之初采用RF Planning在计算机上做规划设计,估算在要求的覆盖面积上AP应安装的物理位置所在。使用这套工具时,在数字化的建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小,输入有关无线覆盖和传输模型的相关参数,如无线终端的平均带宽,AP和AP之间覆盖面等。RF Planning自动计算,然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP,在无线网络安装完成后,网管人员通过RF Planning的Auto-Calibration功能,设定Aruba交换机自动调节网上所有Aruba AP的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后,网管人员可通过RF Planning随时监测网内的每个AP的无线电波的状态,及时掌握每个AP的工作状态和故障诊断,及时做出调整策略。Aruba RF Planning为无线网络的规划设计、调试以及维护提供科学化和规范化的管理。2.2 Aruba无线局域网的网络管理2.2.1集中式管理管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网络里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。Aruba系统具有非常强的无线局域网集中管理功能,通过无线交换机Master Switch和Local Switch管理模式管理整个网络,网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 2.2.2无需安装客户端软件Aruba系统无需为每一个移动用户终端安装无线接入软件, Aruba的认证可以基于WEB页面认证,该认证只需用户打开浏览器就可以登陆。ARUBA采用GRE隧道技术,可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证,而其他的厂家在这种网络环境下,必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1X客户端软件才能实现WEB页面认证。2.2.3 RF智能控管由于无线电波是一种无形的东西,它的强度和所在的信道一般都需要根据经验手工调整,要做到无线信号均匀分布,信道的利用率高,无信道干扰并不是件非常容易的事情,但是Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。可以保证无线信号均匀分布,信道的利用率高,无信道干扰,无线网络做到最为优化的运行。当初次安装无线局域网时,用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网络上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。当无线局域网经过Auto Calibration调整后而正式运作时,网络管理员可在Aruba 交换机内启动ARM功能,则无线网络上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描,是指Aruba AP 从一个电波频道跳到另一频道时,如Ch 1 到 Ch 2 到 Ch 3.,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响的。当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。这样Aruba 无线交换机就对整个无线网络上的电波情况有了一定了解和记录。当某一覆盖范围内的电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba 无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整范围内AP的无线电波。2.2.4 多个SSID结构Aruba系统的多SSID结构和和实现技术使得在Aruba无线局域网系统的各种应用服务(数据、语音和视频)在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID,例如一个SSID可给用户的工作人员所用,而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在一个视频SSID内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过,以确保其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议通过,以确保其它数据不能进入这SSID。这样可在多SSID的情况下确保音视频的Qos。2.2.5故障自动恢复传统的无线网络在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。Aruba系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当发觉有AP出现故障时,Aruba交换机能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。2.2.6网络负载均衡Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无线系统可应用层面通过47层交换模块可以实现服务器的负载均衡,VPN设备,防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。在视频应用中,负载均衡功能可以有效的缓解单个AP的负担,有效的利用临近的AP做接入,从而确保视频应用的质量得到保证。2.2.7无线终端定位Aruba 网管系统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA和 Wi-Fi手机等。Aruba采用的无线定位模式称为三角定位,它的准确性可达到2.5米以内,先决条件是所寻找的无线终端附近须有最少三个Aruba的AP 在范围内。这是传统无线局域网所不能做的,有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。2.2.8 无缝的三层漫游Aruba 无线能够让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游,而且不会丢失连接,也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证,导致丢包或者很大延迟。而Aruba的handoff性能极佳,保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游,而不会发生掉线,是语音业务的质量保证。2.3 Aruba无线局域网系统的安全管理2.3.1集中的安全管理在传统的无线局域网解决方案中,为保障网络的安全,许多客户把所有无线流量拒之于防火墙(从DMZ区接入)之外,用户不得不绕道进入单位网络(如下图)。从安全性方面看,这是个好方法,但却使网络设计达不到最优状态而且导致性能劣化,因为 WAN 级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入点。这种技术由于“统一尺码”的访问控制方法而不够灵活,因为它赋予所有无线用户相同的网络权限。如果不采用上述的解决方案,而是将无线系统直接连接到楼层交换机,这样用户连接至AP以后,所有的访问都将无从控制,对客户的网络安全更是极大的威胁。在宾馆的网络环境中,由于来往的人员多,流动性很大,如果只是靠内网和外网的隔离,不能很好的提供服务给不同身份的用户。假设宾馆工作人员需要查询酒店管理信息及旅客信息而使用随身携带的PDA,如果只是简单的在内网中部署WLAN(无线局域网),旅客很容易通过自己的PDA和笔记本电脑登陆到酒店的内部网络,造成内网络的安全漏洞。如果部署酒店全范围内的WLAN,传统的无线局域网面临无缝漫游和用户管理的难题。Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的,解决了传统的无线网络对安全的分散管理(AP、AC)和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。2.3.2无线用户网络接入的安全管理用户状态防火墙是ARUBA无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如宾馆的管理人员和工作人员可以使用更多的服务,而旅客只可以浏览网页或者收发Email等,这样可以极大方便宾馆的用户的安全管理。例如宾馆的领导可以通过无线网络访问宾馆所有的管理、财务、人员、航班信息,宾馆工作人员可以通过无线网络访问航班、旅客、行李信息,旅客可以通过网络访问航班信息、天气信息,接机和送机的客人可以通过无线网络访问宾馆的公众网站,了解航班到达和起飞的具体情况。基于身份的访问原则很好的保护宾馆的网络安全,同时也提供了不同等级的访问权限。(如下图)2.3.3无线网络的安全防护和监控由于无线终端接入是没有明确物理位置限制的,所以管理方极难用固定的网络防火墙设备来防范无线连接(防火墙一般很少会设置在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的通信,所以万一有无线终端被病毒感染或黑客在无线发起攻击的话,它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。有一些单位为了安全就采用一刀切的方法,把所有无线接入汇聚到一个DMZ内,再通过一网络防火墙的过滤才让无线数据进入企业内网。这种方式在具体实施时有一定的困难,只能局限在传输网内的某些范围,因无线用户/终端必需集中在一VLAN上处理,否则的话很难把它们汇聚到一个DMZ内。如果不是经过DMZ的话,则可能威胁到内网的安全,但要把在不同接入点AP的无线用户/终端和有线用户(在同一接入点)完全分隔开而设置到DMZ上的同一个VLAN则需在现有的局域网做很多改动。且未来如要增加多一些AP接入点的话,亦同样需要在局域网的接入层,汇聚层做很多改动。采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性,因它本质上不是设计来做内部的安全保护,而是用来确保外来数据进入企业内网是安全可靠的,所以一般都会设置在企业因特网的连接口。从因特网进入企业内网和企业内部的无线接入的最大区别在于后者是可对用户做认证,但前者是不可能实现。由于不能确认用户的身份,所以防火墙的检查或策略只可按端口和IP 原地址来制定,不管用户是谁。这种模式在企业内部署会对用户的内网访问有很多限制,缺乏灵活性,所以是很难被用户广泛接受,只可在小范围或小规模的情况下实现。要做到实施和维护简单方便,亦可根据用户身份来制定安全访问策略,ARUBA的无线解决方案就可以彻底解决这些问题。采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测大厦无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。在宾馆网络中,如果某位宾馆工作人员或合作单位的人员私下安装了无线的AP,提供了直接连接宾馆内网的接入,ARUBA无线安全管理的功能可以及时的发现这个非法的AP,并且可以通知管理人员断掉非法AP的网络连接,显示非法AP接入的大致方位。今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对宾馆和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当ARUBA 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。2.3.4无线局域网的认证与加密传统的无线局域网解决方案中用户认证主要依赖于802.1x,这种认证方法需要用户安装802.1x客户端程序,后端还需要Radius服务器支持。一方面用户的技术水平参差不齐,客户端的操作系统多种多样,以及系统可能出现的软件冲突等,对802.1x客户端的安装造成极大障碍,另一方面,后端的数据库只能使用Radius,不能使用其他类型的认证数据库,在适应性上也比较差,这些对于大规模推广和使用都是极大的阻碍。考虑到客户所使用的设备安全认证的多样性,我们认为将来的的接入方式可以多种选择,宾馆的工作人员可能通过手持PDA设备查询客房信息,旅客可以通过宾馆提供的PC机查询信息,宾馆的工作人员和宾馆的合作单位可以通过笔记本电脑上网,宾馆同时可以考虑提供WiFi手机提供语音的服务。在ARUBA无线系统中,一个无线用户进入无线网以后,只会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式(802.1X、WEB认证、MAC、SSID、VPN等),宾馆用户可以根据需要方便选择。我们可以考虑宾馆的工作人员和宾馆的管理人员可以通过身份认证的方式登陆到宾馆内网,旅客可以通过WEB界面访问宾馆的公众服务器,远程的宾馆员工可以通过VPN的方式访问宾馆内网。WiFi手机的用户可以事先设置好登陆的方式。ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在ARUBA无线交换机上实现。由于ARUBA的AP是不储存任何网络配置(IP地址除外)和安全设置,因此ARUBA 管理的AP是不能单独工作的,因此获得和接入进ARUBA AP,黑客也不会拿到无线网的网络和安全配置参数。但一个破坏者通过其他的手段(偷盗和窃取)攻破了边缘的接入网络,他也无法破译ARUBA 无线网络建立起的加密通道,无法窃取网络的真实信息。2.3.5多种用户认证方式在Aruba无线系统中,一个无线用户进入无线网络以后,只会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网络。Aruba无线系统支持目前各种用户认证的方式(802.1X、WEB认证、MAC、SSID、VPN等),无线网络用户可以根据需要方便选择。2.3.6 独特的无线访问控制用户状态防火墙是Aruba无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如单位的工作人员可以使用更多的服务,而来访人员只可以浏览网页、收发Email等,这样可以极大方便无线网络用户的安全管理。2.3.7安全的AP技术Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在Aruba无线交换机上实现。由于Aruba的AP是不储存任何网络配置(IP地址除外)和安全设置,因此Aruba 管理的AP是不能单独工作的,因此获得和接入进Aruba AP,黑客也不会拿到无线网络的网络和安全配置参数。2.3.8无线接入点安全侦测和保护采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测无线网络覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过Aruba 的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网络中。2.3.9无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对用户的无线网络的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网络系统的品质。Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当Aruba 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。2.3.10无线接入的病毒防护Aruba无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准入检查;二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查,当无线终端连接到Aruba无线系统中,当试图访问网络,在用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。Aruba公司和第三方的防病毒墙厂家合作,在Aruba无线交换机上可以设定策略,某些用户,以及某些可能沾染病毒的数据,Aruba交换机会将其重定向到防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。基于上述两个层面,Aruba无线局域网系统对无线终端进行有效和方便的病毒防护。2.3.11无线射频终端的定位无线终端定位是ARUBA系统的一大特色功能。此功能亦被称为“三角定位”,是指当一个无线终端同时被三个以上的AP信号覆盖着,即可跟踪和定出无线终端的位置。它的准确度可达到2.5米以内,与无线终端使用者无关,诸如无线接入的电脑、PDA和 WiFi手机等,只要附近范围内存在最少三个ARUBA的AP即可,这也是传统无线局域网所不能做的。在宾馆内常常采用了三角无线定位技术来资产管理追踪,找寻地勤人员,以及定位找出非法入侵的AP和无线终端。三、XX酒店Aruba无线局域网系统实现3.1无线覆盖设计实现AP放置于相应的位置,用于覆盖走廊以及房间内。3.2无线组网实现根据XX酒店的实际测量配置Aruba无线交换机与无线接入点Aruba 41 AP数量。估算AP书量见下页AP分布表。AP上联方式:以楼层为单位,在每个需要布放AP的位置拉放网线,AP连接在楼层的配线间中,使用POE供电设备给AP供