【正文】 PC 機(jī) , Macintoshes, 袖珍 PCs, 掌上電腦 PDA 等 多種多樣的網(wǎng)絡(luò)設(shè)備，具備和各種設(shè)備協(xié)同工作的能力。 第一代無(wú)線(xiàn)局域網(wǎng)技術(shù)采用單純的 AP 實(shí)現(xiàn)無(wú)線(xiàn)接入外，基本上沒(méi)有其它功能。 第三代無(wú)線(xiàn)局域網(wǎng)技術(shù)采用無(wú)線(xiàn)交換網(wǎng)絡(luò)架構(gòu)（以 ARUBA 為代表），實(shí)現(xiàn)了基于無(wú)線(xiàn)網(wǎng)絡(luò)交換機(jī)，以 AP 為單元交換的無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)， ARUBA 是采用獨(dú)立的無(wú)線(xiàn)網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)的。 由于 XX 酒店 酒店 原有的天饋無(wú)線(xiàn)覆蓋系統(tǒng)信號(hào)強(qiáng)度不勝理想，傳輸帶寬只有 1M 左右會(huì)對(duì)語(yǔ)音和數(shù)據(jù)流帶來(lái)很大的局限性，更本不能解決語(yǔ)音漫 游的問(wèn)題所以 Aruba 認(rèn)為應(yīng)從以下幾點(diǎn)考慮無(wú)線(xiàn)網(wǎng)絡(luò) 的多業(yè)務(wù)應(yīng)用發(fā)展 。例如無(wú)線(xiàn)語(yǔ)音的應(yīng)用， SIP 和 RTP 協(xié) ARUBA Networks 11 of 44 議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊(duì)列。簡(jiǎn)單地說(shuō)，用戶(hù)可在有寬帶接入的地方繼續(xù)使用辦公室的電話(huà)號(hào)碼，不 管是國(guó)內(nèi)或國(guó)外。 尤其語(yǔ)音的漫游 ,它會(huì)比一般的數(shù)據(jù)移動(dòng)傳輸更普及，但相對(duì)的要求也較嚴(yán)緊，所以要在無(wú)線(xiàn)局域網(wǎng)實(shí)現(xiàn)語(yǔ)音和數(shù)據(jù)融合，就不能隨意的 安裝一些AP，而必須是有規(guī)范的組建無(wú)線(xiàn)局域網(wǎng)。 同時(shí) Aruba 識(shí)別語(yǔ)音應(yīng) 用，預(yù)定義支持幾種主要的語(yǔ)音協(xié)議，包括： SpectraLink SVP、 Vocera 、 Cisco SCCP、 Session Initiation Protocol 等，還能和現(xiàn)有市場(chǎng)上的 WIFI 終端、 IP PBX 設(shè)備做到很好的兼容性 。綜合上述兩種方式的作用那個(gè)共同作用，使 Wi－ Fi手機(jī)得以最大限度的節(jié)電， ARUBA Networks 13 of 44 從而延長(zhǎng) Wi－ Fi手機(jī)的使用時(shí)間?？缇W(wǎng)段時(shí)需要二次認(rèn)證，導(dǎo)致丟包或者很大延遲。利用廉價(jià)方便的連接線(xiàn)路、盡可能多地將分布在遠(yuǎn)程機(jī)構(gòu)、居家旅行中的 酒店 員工以安全可靠的方式連接在 酒店 私有的業(yè)務(wù)通信系統(tǒng)上，因此變得非常有意義。 ARUBA Networks 14 of 44 Aruba 新一代的遠(yuǎn)程和移動(dòng)有線(xiàn) 加無(wú)線(xiàn) 辦公通信系統(tǒng)，由于 采用 VPN 技術(shù)、話(huà)音 /數(shù)據(jù) QOS 保證 技術(shù)，以及安全保障技術(shù)的支持，使得在遠(yuǎn)程和分散環(huán)境下的 酒店 通信系統(tǒng)發(fā)生了本質(zhì)的變化。 整個(gè)一體化網(wǎng)絡(luò)的 酒店 員工 可以利用 Inter 網(wǎng)對(duì) 酒店 內(nèi)部網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn)， 并能使用 VOWIFI 的話(huà)音應(yīng)用。這些，無(wú)疑已成為 酒店 信息主管在考慮 酒店 信息化系統(tǒng)如何為提高生產(chǎn)效率進(jìn)一步發(fā)揮作用的一個(gè)重要關(guān)注點(diǎn)。 ? 無(wú)線(xiàn)訪問(wèn)控制 （可選 license 模塊） 用戶(hù)狀態(tài)防火墻是 ARUBA 無(wú)線(xiàn)交換機(jī) 的獨(dú)特功能，它本身就是針對(duì)無(wú)線(xiàn)接入的特性而設(shè)計(jì)。由于 ARUBA 的 AP 是不儲(chǔ)存任何網(wǎng)絡(luò)配置（ IP 地址除外）和安全設(shè)置，因此 ARUBA 管理的 AP 是不能單 獨(dú)工作的，因此獲得或 接入 ARUBA 的 AP，黑客也不會(huì)拿到無(wú)線(xiàn)網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù) 和信息 。今天絕大部分的無(wú)線(xiàn)局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線(xiàn)入侵的功能，所以當(dāng)受到像無(wú)線(xiàn) DOS 攻擊時(shí)，就會(huì)誤以為是無(wú)線(xiàn) ARUBA Networks 16 of 44 電波的信號(hào)受干擾或 AP 出現(xiàn)不穩(wěn)定情況。 無(wú)線(xiàn)終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線(xiàn)終端連接到 ARUBA 無(wú)線(xiàn)系統(tǒng)中， 試圖訪問(wèn)網(wǎng)絡(luò)，在用戶(hù)認(rèn)證之前，需要下載一個(gè) 基于 JAVA 的程序，可以對(duì)無(wú)線(xiàn)終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線(xiàn)用戶(hù)重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿(mǎn)足系統(tǒng)制定的安全策略以后，該無(wú)線(xiàn)終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶(hù)的認(rèn)證。 ARUBA Networks 17 of 44 第 3章 . 無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)詳細(xì)設(shè)計(jì) 根據(jù) XX 酒店 酒店 無(wú)線(xiàn)網(wǎng)絡(luò)需求和 無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)原則，結(jié)合 ARUBA 無(wú)線(xiàn)系統(tǒng)技術(shù)及產(chǎn)品的特點(diǎn)，方案的設(shè)計(jì)分為：無(wú)線(xiàn)組網(wǎng)方式設(shè)計(jì)、多業(yè)務(wù)區(qū)分設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、移動(dòng)漫游、網(wǎng)絡(luò)及用戶(hù)管理、兼容性等部分。無(wú)線(xiàn)網(wǎng)絡(luò)管理員 可 通過(guò)中心配置的集中網(wǎng)管，對(duì)全網(wǎng)的 AP 和交換機(jī)進(jìn)行有效的集中式管理 。 這種基于標(biāo)準(zhǔn)、終端到終端的加密支持可以將遠(yuǎn)程 AP 直接插入連接到互聯(lián)網(wǎng)的 DSL 路由器，這就不再需要在遠(yuǎn)程位置安裝移動(dòng)控制器。 使用 Aruba 遠(yuǎn)程 AP， 網(wǎng)絡(luò)中心 管理員可以訪問(wèn)所有遠(yuǎn)程 Aruba AP 參數(shù)，例如操作信道、無(wú)線(xiàn)電類(lèi)型、 SSID 、 BSSID 和所有相關(guān)客戶(hù)機(jī)，并可以集中更改配置。 在認(rèn)證成功之后，在 Ipsec 內(nèi)部對(duì)所有的通信進(jìn)行隧接或加密。 在遠(yuǎn)程 AP 上沒(méi)有存儲(chǔ)任何安全證書(shū)，因此即使 AP 丟失或被竊，也不存在破壞安全的風(fēng)險(xiǎn)。 這項(xiàng)高級(jí)功能允許職員通過(guò)遠(yuǎn)程 AP 安全連接到網(wǎng)絡(luò)，而無(wú)需考慮用戶(hù)位置，因?yàn)橛脩?hù)安全策略將 始終跟隨他們。 . 多業(yè)務(wù)區(qū)分設(shè)計(jì) 從 XX 酒店 酒店 的用戶(hù)分類(lèi)與分布情況分析， 使用無(wú)線(xiàn)網(wǎng)絡(luò)的 用戶(hù)主要分成以下幾類(lèi)： （ 1） 酒店員工 與領(lǐng)導(dǎo)； （ 2）訪客 ； 使用無(wú)線(xiàn)網(wǎng)絡(luò)可以分為不同的無(wú)線(xiàn)接入業(yè)務(wù)類(lèi)型。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶(hù)連接到那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o(wú)線(xiàn)電波的傳輸是共享。 XX酒店 酒店 可根據(jù)實(shí)際的情況和 加密。一般的情況下是全網(wǎng)開(kāi)通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門(mén)使用，所以它的覆蓋范圍通常只會(huì)局限在某些范圍內(nèi)。 ARUBA Networks 21 of 44 當(dāng) 訪客 來(lái)到 無(wú)線(xiàn)覆蓋區(qū)域 的時(shí)候，開(kāi)啟筆記本電腦的無(wú)線(xiàn)網(wǎng)絡(luò)，可以搜尋并且連接 XX 酒店 酒店 的無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)，當(dāng)打開(kāi) IE 等網(wǎng)絡(luò)瀏覽器的時(shí)候，會(huì)自動(dòng)彈出Aruba 的網(wǎng)頁(yè)認(rèn)證界面，可以有以下幾種方式來(lái)控制 訪客 的上網(wǎng)流程： 訪客 需要填寫(xiě)帳號(hào)名和密碼，通過(guò)認(rèn)證之后能夠接入 XX 酒店 酒店 的無(wú)線(xiàn)網(wǎng)絡(luò)，訪問(wèn)更多的 Inter 資源，但是無(wú)法訪問(wèn)內(nèi)網(wǎng)資源； 通過(guò) ARUBA 提供的客戶(hù)化 Web Portal 認(rèn)證功能 ,可很好的為外來(lái)訪問(wèn)者提供接入網(wǎng)絡(luò)的可能 。并且網(wǎng)絡(luò)防火墻是不能防止無(wú)線(xiàn)終端之間的通信，所以萬(wàn)一有無(wú)線(xiàn)終端被病毒感染或黑客在無(wú)線(xiàn)發(fā)起攻擊的話(huà)，它都很會(huì)容易散播到其它的無(wú)線(xiàn)終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。且未來(lái)如要增加多一些 AP 接入點(diǎn)的話(huà)，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動(dòng)。這種模式在 酒店 內(nèi)部署會(huì)對(duì)用戶(hù)的內(nèi)網(wǎng)訪問(wèn)有很多限制，缺乏靈 ARUBA Networks 23 of 44 活性，所以是很難被用戶(hù)廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。如果單純只考慮無(wú)線(xiàn)接入層的安全而把網(wǎng)絡(luò)層分開(kāi)處理的話(huà)，就會(huì)把整個(gè)網(wǎng)絡(luò)的安全結(jié)構(gòu)打斷，不但在現(xiàn)有網(wǎng)絡(luò)上需重新設(shè)置以配合，令網(wǎng)絡(luò)維護(hù)變得更復(fù)雜和缺乏靈活性，且一不小心更會(huì)造成安全漏洞。 由于 ARUBA 的 AP 是不儲(chǔ)存任何安全設(shè)置和無(wú)線(xiàn)局域網(wǎng)具體配置（ AP IP網(wǎng)絡(luò)設(shè)置除外），再者 ARUBA 的 AP 是不能單獨(dú)使用，所以就算 AP 被盜取，黑客也不會(huì)拿到無(wú)線(xiàn)網(wǎng)絡(luò)配置的資料。 DeAuth 包會(huì)不停地發(fā)出直到在線(xiàn)的無(wú)線(xiàn)終端的無(wú)線(xiàn)連接被打斷為止。如果把隔壁公司所安裝和使用的 AP 視為非法 AP 的話(huà)，很容易就會(huì)把它們正常的無(wú)線(xiàn)連接打斷，間接變成 DOS 攻擊其它 酒店 的網(wǎng)絡(luò)。 這種無(wú)線(xiàn)定位模式稱(chēng)為三角定位，它的準(zhǔn)確性可達(dá)到 米以?xún)?nèi)，先決條件是所尋找 的無(wú)線(xiàn)終端附近須有最小三個(gè) ARUBA 的 AP 在范圍內(nèi)。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn) 的范圍也是實(shí)現(xiàn)安全性的一種手段。 b) WPA+ 加密方式盡量采用 WPA，如果客戶(hù)端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用 ，認(rèn)證服務(wù)器選擇 RADIUS。 ARUBA Networks 26 of 44 ? 認(rèn)證系統(tǒng)支持： ARUBA 無(wú)線(xiàn)系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、LDAP、微軟的 AD（活動(dòng)目錄）和在 ARUBA 無(wú)線(xiàn)交換機(jī)內(nèi)部的 Internal DB 等等。 . 移動(dòng)漫游設(shè)計(jì) 無(wú)線(xiàn)用戶(hù)移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶(hù)跨越多個(gè)域時(shí)怎樣無(wú)縫漫游， ARUBA 無(wú)線(xiàn)局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫漫游功能。這是一般網(wǎng)絡(luò)管理人員不愿 意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶(hù)的無(wú)線(xiàn)接入端。無(wú)線(xiàn)用戶(hù)已 ARUBA Networks 27 of 44 漫游到另一個(gè) IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 AP 上入網(wǎng)。 當(dāng)用戶(hù)不是在本地入網(wǎng)或是從一個(gè) 地點(diǎn) 的接入點(diǎn)漫游到另一 地點(diǎn) 的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶(hù)名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話(huà)，則用戶(hù)會(huì)被斷線(xiàn)。 ARUBA 會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的 radius 服務(wù)器處理。 下面詳細(xì)敘述一下無(wú)線(xiàn)交換機(jī)在規(guī)劃配置實(shí)施時(shí)需要考慮的問(wèn)題： . AP 的 VLAN 和無(wú)線(xiàn)用戶(hù)的 VLAN 第一代的無(wú)線(xiàn)局域網(wǎng)對(duì) AP 所在的 VLAN(AP為網(wǎng)絡(luò)設(shè)備 )和無(wú)線(xiàn)用戶(hù)所在的VLAN 是沒(méi)有明確的區(qū)分。這種組網(wǎng)方式在現(xiàn)今的非常普遍，所以一般用戶(hù)都誤解無(wú)線(xiàn)局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多改動(dòng)， AP 數(shù)量多時(shí)，無(wú)線(xiàn)用戶(hù) VLAN/IP 子網(wǎng)也增多 ，無(wú)線(xiàn)用戶(hù) IP 子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開(kāi)通 ) 否則無(wú)線(xiàn)用戶(hù)就不能訪問(wèn)局域網(wǎng)上其它網(wǎng)點(diǎn)，包括在不同接入層的無(wú)線(xiàn)用戶(hù)。這樣的無(wú)線(xiàn)局域網(wǎng)實(shí)際上就不能支持跨三層無(wú)線(xiàn)漫游。無(wú)線(xiàn)用戶(hù)的 VLAN 是可透過(guò) ARUBA 交換機(jī)和骨干交換機(jī)互連互通。 由于無(wú)線(xiàn)用戶(hù)的傳 輸是通過(guò) ARUBA AP 內(nèi)已建立的 GRE 隧道和 ARUBA交換機(jī)互連的，所以實(shí)際上無(wú)線(xiàn)用戶(hù)的 VLAN 是無(wú)須在接入層和匯聚層存在。 但亦有可能 SSID 在不同的 AP 接入點(diǎn)時(shí)，它設(shè)置的缺省 VLAN 是不一樣的。其實(shí)二者之間的關(guān)系并非是一對(duì)一，即一個(gè) SSID 必須對(duì)應(yīng)有一個(gè) VLAN。對(duì)網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的 VLAN/IP子網(wǎng)應(yīng)當(dāng)和用戶(hù)是分開(kāi)，這樣才可確保正常網(wǎng)絡(luò)運(yùn)行和維護(hù)。 由于 ARUBA 的 AP 是通過(guò) GRE 的隧道連接到 ARUBA 交換機(jī)上，所以ARUBA 產(chǎn)品在規(guī)劃上可以完全不改變 酒店網(wǎng)絡(luò) 原有 的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)實(shí)現(xiàn)無(wú)縫的二三層漫游。但由于不是所有的認(rèn)證服務(wù)器都支持這種 功能所以在具體實(shí)施時(shí)也有一定的困難。 . 在不同域之間的用戶(hù)認(rèn)證和漫游 如果 XX 酒店 酒店 網(wǎng)絡(luò) 內(nèi)， 在各個(gè)分公司之間 ， 建立不同的 用戶(hù)數(shù)據(jù)庫(kù)，即所謂的本地認(rèn)證服務(wù)器。 當(dāng)無(wú)線(xiàn)終端從一個(gè) AP 的 IP 子網(wǎng)漫游到另一個(gè) AP 的 IP子網(wǎng)時(shí)，它重新發(fā)出的 DHCP 請(qǐng)求，會(huì)從 AP 端的 ARUBA 無(wú)線(xiàn)交換機(jī)轉(zhuǎn)發(fā)到原有子網(wǎng)的無(wú)線(xiàn)交換機(jī) (用戶(hù)從那一個(gè) AP 獲取它的 IP 地址 )。所以當(dāng)無(wú)線(xiàn)終端從一個(gè) AP 漫游到另一 AP 時(shí)，由于它們之間的缺省 IP 子網(wǎng)不同，無(wú)線(xiàn)終端會(huì)重新發(fā)出 DHCP 請(qǐng)求，這樣的話(huà)終端的 IP 地址就會(huì)更新，所有在原先AP