【正文】 第一代的無(wú)線局域網(wǎng)對(duì) AP 所在的 VLAN(AP為網(wǎng)絡(luò)設(shè)備 )和無(wú)線用戶所在的VLAN 是沒有明確的區(qū)分。 當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè) 地點(diǎn) 的接入點(diǎn)漫游到另一 地點(diǎn) 的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話，則用戶會(huì)被斷線。這是一般網(wǎng)絡(luò)管理人員不愿 意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無(wú)線接入端。 ARUBA Networks 26 of 44 ? 認(rèn)證系統(tǒng)支持： ARUBA 無(wú)線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如 Radius、LDAP、微軟的 AD（活動(dòng)目錄）和在 ARUBA 無(wú)線交換機(jī)內(nèi)部的 Internal DB 等等。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn) 的范圍也是實(shí)現(xiàn)安全性的一種手段。如果把隔壁公司所安裝和使用的 AP 視為非法 AP 的話，很容易就會(huì)把它們正常的無(wú)線連接打斷，間接變成 DOS 攻擊其它 酒店 的網(wǎng)絡(luò)。 由于 ARUBA 的 AP 是不儲(chǔ)存任何安全設(shè)置和無(wú)線局域網(wǎng)具體配置（ AP IP網(wǎng)絡(luò)設(shè)置除外），再者 ARUBA 的 AP 是不能單獨(dú)使用，所以就算 AP 被盜取，黑客也不會(huì)拿到無(wú)線網(wǎng)絡(luò)配置的資料。這種模式在 酒店 內(nèi)部署會(huì)對(duì)用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈 ARUBA Networks 23 of 44 活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。并且網(wǎng)絡(luò)防火墻是不能防止無(wú)線終端之間的通信，所以萬(wàn)一有無(wú)線終端被病毒感染或黑客在無(wú)線發(fā)起攻擊的話，它都很會(huì)容易散播到其它的無(wú)線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。一般的情況下是全網(wǎng)開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會(huì)局限在某些范圍內(nèi)。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶連接到那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o(wú)線電波的傳輸是共享。 這項(xiàng)高級(jí)功能允許職員通過遠(yuǎn)程 AP 安全連接到網(wǎng)絡(luò)，而無(wú)需考慮用戶位置，因?yàn)橛脩舭踩呗詫?始終跟隨他們。 在認(rèn)證成功之后，在 Ipsec 內(nèi)部對(duì)所有的通信進(jìn)行隧接或加密。 這種基于標(biāo)準(zhǔn)、終端到終端的加密支持可以將遠(yuǎn)程 AP 直接插入連接到互聯(lián)網(wǎng)的 DSL 路由器，這就不再需要在遠(yuǎn)程位置安裝移動(dòng)控制器。 ARUBA Networks 17 of 44 第 3章 . 無(wú)線網(wǎng)絡(luò)系統(tǒng)詳細(xì)設(shè)計(jì) 根據(jù) XX 酒店 酒店 無(wú)線網(wǎng)絡(luò)需求和 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則，結(jié)合 ARUBA 無(wú)線系統(tǒng)技術(shù)及產(chǎn)品的特點(diǎn)，方案的設(shè)計(jì)分為：無(wú)線組網(wǎng)方式設(shè)計(jì)、多業(yè)務(wù)區(qū)分設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、移動(dòng)漫游、網(wǎng)絡(luò)及用戶管理、兼容性等部分。今天絕大部分的無(wú)線局域網(wǎng)都沒有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線 DOS 攻擊時(shí)，就會(huì)誤以為是無(wú)線 ARUBA Networks 16 of 44 電波的信號(hào)受干擾或 AP 出現(xiàn)不穩(wěn)定情況。 ? 無(wú)線訪問控制 （可選 license 模塊） 用戶狀態(tài)防火墻是 ARUBA 無(wú)線交換機(jī) 的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。 整個(gè)一體化網(wǎng)絡(luò)的 酒店 員工 可以利用 Inter 網(wǎng)對(duì) 酒店 內(nèi)部網(wǎng)進(jìn)行遠(yuǎn)程訪問， 并能使用 VOWIFI 的話音應(yīng)用。利用廉價(jià)方便的連接線路、盡可能多地將分布在遠(yuǎn)程機(jī)構(gòu)、居家旅行中的 酒店 員工以安全可靠的方式連接在 酒店 私有的業(yè)務(wù)通信系統(tǒng)上，因此變得非常有意義。綜合上述兩種方式的作用那個(gè)共同作用，使 Wi－ Fi手機(jī)得以最大限度的節(jié)電， ARUBA Networks 13 of 44 從而延長(zhǎng) Wi－ Fi手機(jī)的使用時(shí)間。 尤其語(yǔ)音的漫游 ,它會(huì)比一般的數(shù)據(jù)移動(dòng)傳輸更普及，但相對(duì)的要求也較嚴(yán)緊，所以要在無(wú)線局域網(wǎng)實(shí)現(xiàn)語(yǔ)音和數(shù)據(jù)融合，就不能隨意的 安裝一些AP，而必須是有規(guī)范的組建無(wú)線局域網(wǎng)。例如無(wú)線語(yǔ)音的應(yīng)用， SIP 和 RTP 協(xié) ARUBA Networks 11 of 44 議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如 、 ftp 則可設(shè)定在低的隊(duì)列。 第三代無(wú)線局域網(wǎng)技術(shù)采用無(wú)線交換網(wǎng)絡(luò)架構(gòu)（以 ARUBA 為代表），實(shí)現(xiàn)了基于無(wú)線網(wǎng)絡(luò)交換機(jī)，以 AP 為單元交換的無(wú)線網(wǎng)絡(luò)系統(tǒng)， ARUBA 是采用獨(dú)立的無(wú)線網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)的。 ? 無(wú)線網(wǎng)絡(luò)還能兼容全網(wǎng)的設(shè)備，包括 PC 機(jī) , Macintoshes, 袖珍 PCs, 掌上電腦 PDA 等 多種多樣的網(wǎng)絡(luò)設(shè)備，具備和各種設(shè)備協(xié)同工作的能力。 因此 盡可能 通過網(wǎng)管工具開展配置和網(wǎng)絡(luò)監(jiān)控工作，迅速發(fā)現(xiàn)和解決問題 。我們可以看到，在為移動(dòng)辦公提供數(shù)據(jù)通信的同時(shí)，更提供實(shí)時(shí)的有可靠保證的話音通信和多媒體協(xié)同服務(wù)，正是移動(dòng) 無(wú)線 辦公技術(shù)發(fā)展的新方向。 . XX 酒店 酒店 無(wú)線局域網(wǎng) 的 整體設(shè)計(jì) 定位 ARUBA 認(rèn)為 XX 酒店 酒店 無(wú)線 網(wǎng)絡(luò) 建設(shè)應(yīng)當(dāng) “ 面向未來(lái)，統(tǒng)一規(guī)劃，分步 ARUBA Networks 7 of 44 實(shí)施 ” ， XX 酒店 酒店 當(dāng)前正處于大規(guī)模的基本建設(shè)中，無(wú)線 網(wǎng)絡(luò) 作為一種重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，必然也是 未來(lái) 基本建設(shè)的重要組成之一。應(yīng)用的不斷發(fā)展要求網(wǎng)絡(luò)在性能、協(xié)議、網(wǎng)絡(luò)拓?fù)浼案鞣N業(yè)務(wù)等方面具備很好的可擴(kuò)展性。 無(wú)線 網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性和可用性，具有強(qiáng)大的容錯(cuò)功能，以保證各種應(yīng)用的正常運(yùn)行。在此，無(wú)線網(wǎng)絡(luò)為有線辦公環(huán)境網(wǎng)的良好擴(kuò)展 ，既節(jié)約了成本，而且加快了辦公環(huán)境網(wǎng)信息化建設(shè)的步伐。T、 IBM、惠普以及 NCR 公司建立了全球戰(zhàn)略銷售和服務(wù)合作關(guān)系。在滿足現(xiàn)有 需求的同時(shí)，我們還充分考慮到網(wǎng)絡(luò)將來(lái)的發(fā)展，最大限度地保證網(wǎng)絡(luò)的先進(jìn)性、合理性、可靠性、可用性以及可擴(kuò)充性。 在充分理解了網(wǎng)絡(luò)建設(shè)目標(biāo)之后，我們將采用國(guó)際領(lǐng)先和成熟的 無(wú)線 網(wǎng)絡(luò)技術(shù)，與 XX 酒店 酒店 分享 ARUBA公司 在業(yè)界最豐富的設(shè)計(jì)和部署 無(wú)線網(wǎng)絡(luò) 經(jīng)驗(yàn)，結(jié)合 XX 酒店 酒店 實(shí)際情況，進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化設(shè)計(jì)，并為 XX 酒店 酒店 提供最佳的技術(shù)和工程支持。 同時(shí)公司也與 阿爾卡特、ATamp。為辦公環(huán)境無(wú)線局域網(wǎng)接入，為有線辦公環(huán)境網(wǎng)絡(luò)提供了良好的補(bǔ)充，完成了整個(gè)辦公環(huán)境網(wǎng)絡(luò)接入的全面覆蓋，使用戶能夠在辦公環(huán)境內(nèi)的任何區(qū)域接入辦公環(huán)境網(wǎng)絡(luò)，達(dá)到完善移動(dòng)辦公環(huán)境的目的。 高可用性 。 可擴(kuò)展性 。在滿足系統(tǒng)功能要求的前提下，盡量降低建設(shè)成本，考慮今后升級(jí)時(shí)設(shè)備的可持續(xù)使用，保護(hù)用戶投資。 在保持業(yè)務(wù)快速增長(zhǎng)的同時(shí) ,如何更好的加強(qiáng)和提高分支機(jī)構(gòu)員工的協(xié)作性和效率 ,成為 了 許多 酒店 共同的需求。 IT 網(wǎng)絡(luò)管理部門需要管理上 很多 員工以及行政人員。自動(dòng)化的服務(wù)減少了 IT 用戶和管理員的時(shí)間。另外由于 AC 或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于 Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量增多時(shí)，無(wú)線 網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。對(duì)于不同的 IP 服務(wù)， ARUBA 系統(tǒng)亦可透過 ARUBA 無(wú)線交換機(jī)設(shè)置定義不同的 QoS 隊(duì)列。在具體實(shí)現(xiàn)WiFi 語(yǔ)音時(shí)要注意考慮語(yǔ)音的時(shí)延， AP 呼叫的容量，和漫游切換時(shí)間。其次在待機(jī)時(shí)， ARUBA 能通過一些特定的技術(shù)來(lái)減少 Wi－ Fi手機(jī)于控制器之間的數(shù)據(jù)的交換，同時(shí)也保證控制器實(shí)時(shí)得知Wi－ Fi手機(jī)的準(zhǔn)確狀態(tài)，無(wú)論 Wi－ Fi手機(jī)是處于 WLAN 接入還是 AP 間漫游。 . 一體化遠(yuǎn)程辦公解決方案 從市場(chǎng)和經(jīng)營(yíng)的眼光看， 酒店 需要擴(kuò)大業(yè)務(wù)覆蓋范圍、提高生產(chǎn)工作效率，加快對(duì)市場(chǎng)變化的反應(yīng)能力，以 增加 酒店 在市場(chǎng)競(jìng)爭(zhēng)中的活力。 ? 無(wú)線移動(dòng)辦公 ARUBA 一體化無(wú)線局域網(wǎng) 辦公解決方案， 不但能在 酒店 總部做到無(wú)縫覆蓋， 同時(shí)兼顧了各類 酒店 的分支節(jié)點(diǎn)和移動(dòng)辦公人員 。 ARUBA 無(wú)線系統(tǒng)支持目前各種用戶認(rèn)證的方式（ 、 WEB 認(rèn)證、 MAC、SSID 等）， 酒店 用戶可以根據(jù)需要方便選擇。 ? 無(wú)線網(wǎng)絡(luò)入侵偵測(cè) IDS（可選 license 模塊） 今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)酒店 、和運(yùn)營(yíng)商的無(wú)線網(wǎng)的安全構(gòu)成很大的威脅。 基于上述兩個(gè)層面， ARUBA 無(wú)線局域網(wǎng)系統(tǒng)對(duì)無(wú)線終端進(jìn)行有效和方便的病毒防護(hù)。使用 IPsec 協(xié)議和 Aruba 移動(dòng)控制器進(jìn)行遠(yuǎn)程 Aruba AP 通信，該協(xié)議通過在互聯(lián)網(wǎng)上部署虛擬專用網(wǎng)絡(luò) (VPN) 連接而受到廣泛信任。 遠(yuǎn)程 ARUBA Networks 19 of 44 AP 支持終端到終端，即從客戶機(jī)到移動(dòng)控制器的 WPA2 和 安全，不管客戶機(jī)是有線還是無(wú)線。 例如，可以限制遠(yuǎn)程用戶使用特定的應(yīng)用程序或網(wǎng)絡(luò)資源。由于用戶一般把 SSID 看成 VLAN，所以它們都會(huì)慣性地以 VLAN 概念來(lái)劃分SSID。 要注意的是 SSID 可以覆蓋 全網(wǎng)，也可以只局限于 酒店 網(wǎng)內(nèi)的某些范圍。 ARUBA Networks 22 of 44 . 無(wú)線安全性設(shè)計(jì) . 無(wú)線網(wǎng)絡(luò)的安全保護(hù)和檢測(cè) 由于無(wú)線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來(lái)防范無(wú)線連接 (防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 )。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來(lái)制定，不管用戶是誰(shuí)。 試想當(dāng)用戶透過 WPA登陸無(wú)線網(wǎng)時(shí)，認(rèn)證是必須經(jīng)過后臺(tái)的 radius 服務(wù)器，亦即前端必須有 radius clients．如果 AP 是 Radius client 的話，則在一個(gè) 酒店 無(wú)線局域網(wǎng)，便須設(shè)置和管理很多 radius clients，這不但加添了不必要的麻煩，且亦增加了網(wǎng)絡(luò)安全的漏洞，因 radius 的 secret 密碼都是儲(chǔ)存在 AP 內(nèi)，所以萬(wàn)一AP 被盜竊，它的 Radius secret 便泄露，這樣整個(gè)網(wǎng)絡(luò)的安全都會(huì)受到威脅。要做到一個(gè)真正自動(dòng)的保護(hù)機(jī)制就必須能正確識(shí)別所有在 酒店 范圍內(nèi)檢測(cè)出來(lái)的 AP 身份。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無(wú)法看到，防止非法用戶的連接企圖。 ? 帶寬控制：可以對(duì)每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP 的技術(shù)，但 Mobile IP 的缺點(diǎn)是它必須在無(wú)線終端安裝軟件。 在使用 ARUBA 的解決方案，也可以使無(wú)線 用戶 在不同的分公司進(jìn)行 無(wú)縫漫游。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。當(dāng)然把一 SSID 設(shè)定在一個(gè)VLAN 內(nèi)對(duì)傳統(tǒng)的無(wú)線局域網(wǎng)只能夠支持第二層的無(wú)線用戶漫游是唯一可實(shí)現(xiàn)的方式。當(dāng)大規(guī)模開展無(wú)線局域網(wǎng)時(shí)，就無(wú)須把在不同接入層上新增的無(wú)線終端 VLAN/IP子網(wǎng)逐一在局域網(wǎng)上打通。當(dāng)有這樣的情況出現(xiàn)時(shí)，無(wú)線用戶從一個(gè) AP 接入點(diǎn)漫游到另一個(gè) AP 接入點(diǎn)時(shí)， DHCP 協(xié)議應(yīng)會(huì)重分發(fā)給無(wú)線終端新的 IP 地址，但如果無(wú)線終端的 IP 地址更新的話，它先前建立的所有應(yīng)用連接就會(huì)被切斷。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無(wú)線用戶設(shè)置在同一個(gè) VLAN 內(nèi)。 ARUBA 本身就可提供不同域之間的認(rèn)證功能，域名可以與 SSID綁定，亦可以讓用戶在登陸網(wǎng)頁(yè)時(shí)輸入或選擇域名。用戶的原交換機(jī)會(huì)告知用戶漫游到的 ARUBA 交換機(jī)繼續(xù)保持用戶的原有的 IP 地址。