【正文】 . 無線局域網(wǎng) – 不需更改局域網(wǎng)路由 大規(guī)模在園內(nèi)實現(xiàn)無線局域網(wǎng)接入，不需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改， ARUBA AP 所在的 VLAN 和無線用戶的 VLAN 是獨立分開的，用戶只須在 ARUBA AP 的接入點分配給它 IP 地址即可，這個 IP 地址可以是通過 DHCP 服務器來分發(fā)，可以是以靜態(tài) IP 地址方式配置在 ARUBA AP 上。 . VLAN 和無線 SSID 的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線局域網(wǎng)都是通過“ FAT AP”組網(wǎng)的原因。 ARUBA Networks 28 of 44 . 無線交換機的配置實施建議 一般廠家的無線網(wǎng)絡產(chǎn)品在 酒店 網(wǎng)規(guī)劃時都需要二層交換機連接或者劃分VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。代理DHCP 的優(yōu) 點是無要在用戶終端安裝任何軟件就可讓終端無縫的在不同 IP 子網(wǎng)之間漫游。 . L2/L3 層漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不同 AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個 VLAN 內(nèi)。 ? 用戶的 Role（角色） ：每一類用戶可以建立一個相關(guān)的 Role，每個 Role有一個用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個用戶身上。這是傳統(tǒng)無線網(wǎng)絡所不能做的。若要尋查非法 AP 的位置所在，只需 ARUBA Networks 24 of 44 在 WEB 界面按“定位”這按鈕，非法 AP 的位置就會顯示在 酒店 辦公 室的圖紙上（用戶必須預先把無線網(wǎng)絡的結(jié)構(gòu)圖輸入 ARUBA 交換機內(nèi)的 RF Planning 系統(tǒng)），網(wǎng)絡管理人員就可根據(jù)圖表顯示的位置找到這 AP。 ARUBA 和其它廠家在認證和加密上的最大區(qū)別在于二者都不是通過 AP 來實現(xiàn)的，而是在 ARUBA 交換機上實現(xiàn)。 采用傳統(tǒng)的網(wǎng)絡防火墻來實現(xiàn)無線接入安全保護的最大問題是缺乏靈活性，因它本質(zhì)上不是設計來做內(nèi)部的安全保護，而是用來確保外來數(shù)據(jù)進入 酒店 內(nèi)網(wǎng)是安全可靠的，所以一般都會設置在 酒店 因特網(wǎng)的連接口 。 一種為前臺人員設計的獨特的簡化用戶生成系統(tǒng)，帶有到期時間和預設接入控制的臨時客人 ID。最常見的做法是使用多個 SSID，例如：一個定義為 通過 WEB 門戶的方式為訪客使用 ，另一個 SSID 則為 TKIP(WPA)專為內(nèi)部員工使用。因此， 建議 在設計上采用無線局域網(wǎng)多 SSID 技術(shù)，設置多業(yè)務區(qū)分方式。 遠程 Aruba AP 與用戶屬性（例如認證方法、應用程序、設備類型和移動控制器中的可用策略執(zhí)行防火墻模塊）進行通信。 此外，網(wǎng)絡管理員可以查看詳細的客戶機狀態(tài)報告，這些報告顯示了客戶機 MAC 地址、客戶機制造商、信道、無線電、狀態(tài)以及最后活動日期和時間。 Aruba 移動控制器 可以通過 Inter 網(wǎng)連接到 遠程位置的指定 Aruba 接入點 (AP) ，并在任意需要的地方天衣無縫地通過互聯(lián)網(wǎng)擴展 酒店 WLAN。 當無線終端通過了準入檢查，但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。 ? 無線接入點安全偵測和保護 采用 ARUBA 無線系統(tǒng)的 RF 偵測功能和保護機制可以實時監(jiān)測 酒店 無線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP 接入情況 ,如相鄰房間的 AP、設置錯誤的 AP 以及未經(jīng)認可而連接到網(wǎng)絡中的 AP。 . 安全保障 的無線網(wǎng)絡的重要性 ARUBA 從 網(wǎng)絡 設計者的角度來看， 對于 XX 酒店 酒店 大規(guī)模部署無線網(wǎng)絡，必須對無線網(wǎng)絡的安全性加以重視， ARUBA 建議從以下幾方面 做到全方位的安全保證： ? 集中的安全管理 ARUBA 無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入侵監(jiān)測 IDS以及 RF 電磁波管理等多項安全功能匯聚到 ARUBA無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安 全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。 Aruba 公司清楚地認識到，在今天競爭激烈的市場上， 酒店 用戶成功的關(guān)鍵是在提高生產(chǎn)率的同時降低生產(chǎn)運行成本。而 ARUBA 的 handoff 性能極佳，保證了語音的流暢。 ARUBA 系統(tǒng)還能幫助 Wi－ Fi手機做到一定的節(jié)電功能，使 Wi－ Fi手機使用時限加長，主要是通過兩種方法的共同作用來達到的。很多手機廠家已開始推出雙模制式的手機 (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機移動網(wǎng)和無線局域網(wǎng)之間。 ? 帶寬控制與服務質(zhì)量保證 QOS ARUBA 無線系統(tǒng)的帶寬管理能力使得在移動音視頻應用方面表現(xiàn)出很強的優(yōu)勢。 第二代無線局域網(wǎng)技術(shù)，采用 AC＋智能 AP 構(gòu)架， AC 兩者實質(zhì)均為二層設備， AP 實現(xiàn)接入、 AC 實現(xiàn) 匯聚和認證功能，有的廠商的 AC 實現(xiàn)了二層網(wǎng)絡交換，具有基本的網(wǎng)絡的控制和用戶的管理，如： WEB 認證、流量的控制、訪問的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理，它們無法實現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。 第 五 ， 提供 便捷的無線 網(wǎng)絡 應用環(huán)境 ? 無需配置客戶設備。 建成的無線網(wǎng)絡很好地融合進 原有網(wǎng)絡安全解決方案體系中，并根據(jù)無線網(wǎng)絡的安全技術(shù)特征，補充 具有多層次的安全保護措施，以滿足用戶身份鑒別、訪問控制、可稽核性和保密性等要求。 第 二， 隨時隨地的 遠程安全無線接入 ? 隨著 酒店 變得更加虛擬化、更富有協(xié)作性并且更加分散，依賴于分布在不同地點的合作伙伴、供應商和 移動 員工 共同 組成的擴展型網(wǎng)絡 需求大量增多，這時，單單滿足他們對數(shù)據(jù)通信的要求是遠遠不夠的 —— 現(xiàn)有的大多 數(shù)移動辦公解決方案都僅僅解決了數(shù)據(jù)通信的問題，并沒有在真正意義上解決 酒店 話音通信和多媒體協(xié)同辦公的問題。 經(jīng)濟性和實用性 。 無線 網(wǎng)絡系統(tǒng)提供多種有效的安全控制機制，以防止機密泄露和影響正常工作。 ARUBA Networks 6 of 44 無線網(wǎng)絡設計概述 . 無線 網(wǎng)絡設計原則 高性能 。 采用 ARUBA“移動邊緣” 解決方案 后，可以無縫覆蓋現(xiàn)存的 酒店 網(wǎng)絡， 未來可 將 酒店中心、地區(qū)和分支機構(gòu)的網(wǎng)絡以及在家中、酒店 的遠程 酒店 用戶聯(lián)系 起來 。 ARUBA 非常重視中國市場，已在北京、上海、廣州、成都分別開設了辦事機構(gòu)，并在北京設立了 7*24 小時的技術(shù)支援中心，全力拓展中國市場。在此次回復中， ARUBA 公司 力求將每一細節(jié)問題向貴單位闡述清楚，并向 XX 酒店 酒店 提供 完整 的 無線 網(wǎng)絡建議，在保證系統(tǒng)穩(wěn)定性 ,安全 可靠性 ,系統(tǒng)先進性的同時 ,還能保證 XX 酒店 酒店 對 無線網(wǎng)絡 的 未來 需求。 ARUBA 公司是一家總部設在美國硅谷的高科技公司， 已于 2020 年 3 月成功在美國 NASDQ 上市，股票代碼： ARUN，目前市值達到 16 億美金左右。 ARUBA 借助最新的發(fā)明的新網(wǎng)絡體系結(jié)構(gòu)，為客戶帶來“移動邊緣”，可以滿足 IT 管理人員的最關(guān)心的三個問題 ——移動性、安全性和整合性。 . 設備需求 本次 XX 酒店 酒店 要求使用 Aruba 無線產(chǎn)品全覆蓋的方案。 可 管理性 。 開放性 。 允許用戶在 酒店 覆蓋區(qū)內(nèi)無縫漫游，無需頻繁地登陸和退出。 應能 適合小型遠程辦公室、家庭辦公室、遠程辦公和移動辦公者，通過在用戶可以找到互聯(lián)網(wǎng)連接的以太網(wǎng)端口的任何地方，啟用天衣無縫的 酒店 無線數(shù)據(jù)和語 音，它可以將移動邊緣擴展到所有遠程位置。 對無線網(wǎng)絡攻擊進行管理和壓制。 基于 酒店網(wǎng)絡的未來可持續(xù)發(fā)展，無線產(chǎn)品均具備可適應未來發(fā)展 酒店 無線寬帶應用（如無線語音應用、無線視頻會議應用、無線多媒體通信應用等）的需要，并提供低成本的無縫升級和前后兼容。 對于 未來整個 XX 酒店 酒店 無線局域網(wǎng)覆蓋的需 求，本方案建議采用ARUBA 的 WLAN 產(chǎn)品 （室內(nèi) AP＋ 遠程 AP） ，采用 集中式、可管理架構(gòu)的無線局域網(wǎng)解決方案來實現(xiàn) 未來 酒店 的 無線覆蓋要求 。 ? VoIP 與 WIFI Phone 隨著 VoIP 的越來越普及 (如 Skype,?等 )，基于 SIP 的 WiFi電話 未來 將迅速變?yōu)?酒店 內(nèi)的 員工 之間、 領(lǐng)導 之間話音聯(lián)絡的主流。 ARUBA 無線交換機內(nèi)的用戶防火墻可把 SIP/RTP 等 VoIP 協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊列，所以就可確保在數(shù)據(jù)和語音同時傳送時，語音的質(zhì)量不受影響。它不需要對現(xiàn)有網(wǎng)絡進行任何改變就可以實現(xiàn)這一切。 酒店 能夠?qū)⒏嗟挠行Чぷ鞯膯T工連接起來，所以 酒店獲得了更大的效益和產(chǎn)出。酒店 的每個員工 只要攜帶有配置好的遠程 AP， 都可以在任何地點，任何時候，方便安全地連接到 酒店 總部的 數(shù)據(jù)或話音 通信系統(tǒng)上，就像工作在總部的辦公室一樣，利用其熟悉的話音通信和辦公系統(tǒng)，及時地完成業(yè)務處理和有效的內(nèi)部溝通。 ARUBA 無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如 領(lǐng)導 和工作人員可以使用更多的服務，而 訪客 只可以瀏覽網(wǎng)頁、收發(fā) Email等，這樣可以極大方便 酒店 用戶的安全管理。 ARUBA 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當 ARUBA 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。在接入側(cè)，采用 ARUBA 的 AP93 作為無線接入點，通過 POE供電模塊為 AP 進行供電所有無線用戶通過 AP 進行數(shù)據(jù)轉(zhuǎn)發(fā)至核心層的無線控制交換機再由控制器進行數(shù)據(jù)處理經(jīng)由核心交換機到出口路由器訪問廣域網(wǎng)資源 。 Aruba 啟用 QoS 和語音協(xié)議識別的體系 ，甚至可以在遠程連接上提供一種長話級品質(zhì)的語音體驗。 遠程 Aruba AP 從 Aruba 移動控制器下載它的配置和安全 策略。 并且提供良好的多業(yè)務支持能力。 SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。 酒店領(lǐng)導 、 酒店 工作人員屬于 酒店 內(nèi)的固定用戶，可以采用專門的SSID，可以采用級別較高的認證和加密手段，對于來賓、參加會議人員和來訪人員可以使用另一個 SSID，采用級別相對較低的認證和加密手段，這樣就實現(xiàn)了區(qū)分的服務。這種方式在具體實施時有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶 /終端必需集中在 同一 VLAN 上處理，否則的話很難把它們匯聚到一個 DMZ 內(nèi)。 . 無線局域網(wǎng)的認證和加密 安全 可以說是酒店 是否采用無線網(wǎng)的最主要考慮因素。網(wǎng)管人員亦可開啟自動保護機制，阻止無線終端通過非法 AP 連接到傳輸網(wǎng)內(nèi)。當安裝 ARUBA 無線系統(tǒng)的時候，網(wǎng)管人員可把部署的圖紙輸入到 ARUBA 無線交換機內(nèi)的 RF Planning 系統(tǒng)，然后把 AP 安裝的物理位置輸入到圖紙上的座標或具體的位置上。 ? 用戶認證提供二種方式 ： a) WPAPSK＋ captive portal 加密方式采用 WPAPSK，不建議采用靜態(tài) WEP，因為有安全隱患。準入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設置安全策略是否準予進入網(wǎng)絡。 當無線終端從一個 AP 的 IP 子網(wǎng)漫游到另一個 AP 的 IP子網(wǎng)時，它重新發(fā)出的 DHCP 請求，會從 AP 端的 ARUBA 無線交換機轉(zhuǎn)發(fā)到原有子網(wǎng)的無線交換機 (用戶從那一個 AP 獲取它的 IP 地址 )。但由于不是所有的認證服務器都支持這種 功能所以在具體實施時也有一定的困難。對網(wǎng)絡管理而然，網(wǎng)絡設備的 VLAN/IP子網(wǎng)應當和用戶是分開，這樣才可確保正常網(wǎng)絡運行和維護。 但亦有可能 SSID 在不同的 AP 接入點時，它設置的缺省 VLAN 是不一樣的。無線用戶的 VLAN 是可透過 ARUBA 交換機和骨干交換機互連互通。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡上做出很多改動， AP 數(shù)量多時，無線用戶 VLAN/IP 子網(wǎng)也增多 ，無線用戶 IP 子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開通 ) 否則無線用戶就不能訪問局域網(wǎng)上其它網(wǎng)點，包括在不同接入層的無線用戶。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： . AP 的 VLAN 和無線用戶的 VLAN