【正文】 估算 AP數 量見下頁 AP分布表。 xx 酒店無線網絡接入系統技術建議書 第 29 頁 共 43 頁 xx 酒店 Aruba 無線局域網系統 實現 無線覆蓋設計實現 AP放置于相應的位置，用于覆蓋走廊以及房間內。 它的準確度可達到 ，與無線終端使用者無關，諸如無線接入的電腦、 PDA 和 WiFi手機等，只要附近范圍內存在最少三個 ARUBA 的 AP即可，這也是傳統無線局域網所不能做的。 無線射頻終端的定位 無線終端定位是 ARUBA 系統的一大特色功能。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無線交換機上可以設定策略，某些用戶，以及某些可能沾染病毒的數據， Aruba 交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數據丟棄。 無線終端病毒防護的第一步是準入檢查，當無線終端連接到 Aruba 無線系統中，當試圖訪問網絡，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設定策略禁止其訪問網絡，也可設置成將無線用戶重定向到一臺升級服務器，打系統補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。 Aruba 無線系統的特點是交換機由專有的網絡處理器和加密處理器組成，且內置一個無線入侵模式庫，實時檢測異常的無線數據包，當 Aruba 無線系統偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應。今天絕大部分的無線局域網都沒有偵測無線入侵的功能，所以當受到像無線 DOS 攻擊時，就會誤以 為是無線電波的信號受干擾或 AP 出現不穩(wěn)定情況。通過 Aruba 的網絡安全管理系統，網絡安全管理人員可以及時發(fā)現是否有非法的 AP 接入，發(fā)現后可以開啟自動保護機制，阻止無線終端通過非法 AP聯接到無線網絡中。由于 Aruba 的 AP 是不儲存任何網絡配置（ IP 地址除外）和安全設置，因此 Aruba 管理的 AP 是不能單獨工作的，因此獲得和接入進 Aruba AP，黑客也不會拿到無線網絡的網絡和安全配置參數。 Aruba 無線系統的防火墻功能則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火 墻策略，例如單位的工作人員可以使用更多的服務，而來訪人員只可以瀏覽網頁、收發(fā) Email 等，這樣可以極大方便無線網絡用戶的安全管理。 獨特的無線訪問控制 用戶狀態(tài)防火墻是 Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設計。 多種用戶認證方式 在 Aruba 無線系統中，一個無線用戶進入無線網絡以后，只會拿到一個最基本的入網權限，這個權限不容許用戶訪問任何網段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協議數據包，通過認證以后才可以接入無線網絡。由于 ARUBA 的 AP是不儲存任何網絡配置（ IP 地址除外）和安全設 置，因此 ARUBA 管理的 AP是不能單獨工作的，因此獲得和接入進 ARUBA AP，黑客也不會拿到無線網的網絡和安全配置參數。 WiFi 手機的用戶可以事先設置好登陸的方式。 ARUBA 無線系統支 持目前各種用戶認證的方式（ 、 WEB 認證、 MAC、 SSID、 VPN 等）， 賓館用戶可以根據需要方便選擇?？紤]到客戶所使用的設備安全認證的多樣性，我們認為將來的的接入方式可以多種選擇， 賓館 的工作人員可能通過手持 PDA設備查詢 客房 信息，旅客可以通過 賓館 提供的 PC 機查詢 信息， 賓館的工作人員和賓館 的合作單位可以通過筆記本電腦上網， 賓館 同時可以考慮提供 WiFi 手機提供語音的服務。 無線局域網的認證與加密 傳統的無線局域網解決方案中用戶認證主要依賴于 ，這種認證方法需要用戶安裝 客戶端程序，后端還需要 Radius 服務器支持。這些攻擊在 HotSpot 會導致用戶的無線連接斷線，但網管中心仍然不知，用戶則誤以為是網絡問題，間接影響無線網系統的品質。 今天已經有很多的無線入侵和攻擊的工具可從網站下載，這些工具的普及對 賓館 和運營商的無線網的安全構成很大的威脅。通過 ARUBA 的網絡安全管理系統，網絡安全管理人員可以及時發(fā)現是否有非法的 AP接入，發(fā)現后可以開啟自動保護機制，阻止無線終端通過非法 AP聯接到無線網中。要做到實施和維護簡單方便，亦可根據用戶身份來制定安全訪問策略， ARUBA 的無線解決方案就可以徹底解決這些問題。由于不能確認用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。 xx 酒店無線網絡接入系統技術建議書 第 26 頁 共 43 頁 采用傳統的網絡防火墻來實現無線接入安全保護的最大問題是缺乏靈活性，因它本質上不是設計來做內部的安全保護，而 是用來確保外來數據進入企業(yè)內網是安全可靠的，所以一般都會設置在企業(yè)因特網的連接口。如果不是經過 DMZ的話，則可能威脅到內網的安全，但要把在不同接入點 AP 的無線用戶 /終端和有線用戶 (在同一接入點 )完全分隔開而設置到 DMZ 上的同一個 VLAN 則需在現有的局域網做很多改動。有一些單位為了安全就采用一刀切的方法，把所有無線接入匯聚到一個 DMZ內，再通過一網絡防火墻的過濾才讓無線數據進入企業(yè)內網。（如下圖） 無線網絡的安全防護和監(jiān)控 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網絡防火墻設備來防范無線連接 (防火墻一般很少會設置在每一個接入層的數據鏈路上 )。例如 賓館 的領導可以通過無線網絡訪問 賓館 所有的管理、財務、人員、航班信息， 賓館 工作人員可以通過無線網絡訪問航班、旅客、行李信息，旅客可以通過網絡訪問航班信息、天氣信息，接機和送機的客xx 酒店無線網絡接入系統技術建議書 第 25 頁 共 43 頁 人可以通過無線網絡訪問 賓館 的公眾網站，了解航班到達和起飛的具體情況。傳統的網絡防火墻是沒有用戶這概念，它的保護只是基于 IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 Aruba 無線系統的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入 侵監(jiān)測以及 RF 電磁波管理等多項安全功能匯聚到 Aruba 無線交換機上來完成的，解決了傳統的無線網絡對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網安全的依賴性。假設賓館工作人員需要查詢酒店管理信息及旅客信息而使用隨身攜帶的 PDA，如果只是簡單的在內網中部署 WLAN（無線局域網），旅客很容易通過自己的 PDA 和筆記本電腦登陸到酒店的內部網絡，造成內網絡的安全漏洞。如果不采用上述的解決方案，而是將無線系統直接連接到樓層交換機，這樣用戶連接至 AP 以后，所有的訪問都將無從控制，對客戶的網絡安全更是極大的威脅。從安全性方面看，這是個好方法，但卻使網絡設計達不到最優(yōu)狀態(tài)而且導致性能劣化，因為 WAN 級別的防火墻突然之間要被迫應付許許多多以無線局域網速度訪問的接入點。這種技術可以確保無線語音業(yè)務可以無縫的在 AP 間漫游，而不會發(fā)生掉線，是語音業(yè)務的質量保證?？缇W段時需要二次認證，導致丟包或者很大延遲。它不需要對現有網絡進行任何改變就可以實現這一切。另在語音安全接入方面， Aruba 可防止沒有無線語音權限的用戶使用無線語音，以確保網絡資源能有 效運用。 Aruba 無線系統可容許用戶設置專有的語音 SSID，把單純是數據傳輸的用戶和 WiFi 手機用戶分開，但也可以在單一 SSID 內同時傳送數據和話音，關鍵的重點就是怎樣保證語音傳輸的質量。在具體實現 WiFi 語音時要注意考慮語音的時延， AP 呼叫的容量，和漫游切換時間。很多手機廠家已開始推出雙模制式的手機 (GSM/CDMA + WiFi)，用戶很快就可以漫游于手機移動網和無線局域網之間。簡單地說，用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號碼，不管是國內或國外。 VoIP與 WIFI Phone 隨著 VoIP 的越來越普及 (如 Skype,…等 )，基于 SIP 的 WiFi 電話將成為飯店內的管理人員之間、房客之間話音聯絡主流。 Aruba 采用的無線定位模式稱為三角定位，它的準確性可達到 米以內，先決條件是所尋找的無線終端附近須有最少三個Aruba 的 AP 在范圍內。 在視頻應用中，負載均衡功能可以有效的緩解單個 AP的負擔，有效的利用臨近的 AP 做接入，從而確保視頻應用的質量得到保證。要確保每個無線終端的傳輸就必須能限制一個 AP上無線終端的數量或 AP帶寬傳輸總和或和每個無線終端帶寬上限。 xx 酒店無線網絡接入系統技術建議書 第 23 頁 共 43 頁 網絡負載均衡 Aruba 系統可在一個 AP 的覆蓋范圍內把無線用戶或終端分散連接到附近的 AP 上。但由于大多數的 AP 都是設置在外面 (不是在機房 )，所以不一定能馬上作更換，現場的環(huán)境也有局限性，不一定很容易維護人員即時做出更換 (很多的 AP都是安裝在天花板上 )。 故障自動恢復 傳統的無線網絡在有 AP損壞或失效時，這個 AP的覆蓋范圍就會失去了無線連接。在一個預設定語音 SSID 內只允許網絡管理設定語音傳輸協議通過，以確保其它數據不能進入這 SSID。在一個視頻 SSID內可把視頻數據流傳輸以優(yōu)先級隊列處理。SSID的另一用途是可讓無線終端以不同的安全認證和加密方式入網。在一個無線局域網內可以設置多個 SSID，例如一個 SSID 可給用戶的工作人員所用，而另一個可給外來的訪問客戶專用。當某一覆蓋范圍內的電波改變，如出現干擾 AP 所發(fā)出的電波或其它應用所發(fā)出的電波等， Aruba 無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調整范圍內 AP 的無線電波。當 AP停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉送回 Aruba 無線交換機。 當無線局域網經過 Auto Calibration 調整后而正式運作時，網絡管理員可在 Aruba 交換機內啟動 ARM 功能，則無線網絡上所有的 Aruba AP 都會在設定的時間內自行掃描其它的無線頻道。 當初次安裝無線局域網時，用戶可通過 RF Planning 的 Auto Calibration 功能來自動調節(jié)整個無線網絡上所有 AP的無線 電波頻率和功率。 xx 酒店無線網絡接入系統技術建議書 第 22 頁 共 43 頁 RF智能控管 由于無線電波是一種無形的東西，它的強度和所在的信道一般都需要根據經驗手工調整，要做到無線信號均勻分布，信道的利用率高，無信道干擾并不是件非常容易的事情，但是 Aruba 系統的 RF 智能控管可以自動調節(jié)網上所有 Aruba AP 的電波特性。 無需安裝客戶端軟件 Aruba 系統無需為每一個移動用戶終端安裝無線接入軟件， Aruba 的認證可以基于 WEB 頁面認證，該認證只需用戶打開瀏覽器就可以登陸。其工作量在有一定數量 AP的無線網絡里是非常大和煩瑣的，而且無線局域網是一個整體系統， AP 之間必須互協調工作，單獨改變一個 AP 參數和配置會引起 AP 之間的無線電波干擾，用戶漫游重認證和授權也可能會產生問題。從 RF 覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。 Aruba RF Planning 為無線網絡的規(guī)劃設計、調試以及維護提供科學化和規(guī)范化的管理。安裝人員就可以根據圖紙上所顯示的位置安裝 AP，在無線網絡安裝完成后，網管人員通 過 RF Planning的 AutoCalibration 功能，設定 Aruba 交換機自動調節(jié)網上所有 Aruba AP 的頻道與功率參數以達到一個最優(yōu)性能的運行狀態(tài)。使用這套工具時，在數字化的建筑圖紙上設定無線所覆蓋范圍如那幾個樓層和面積大小，輸入有關無線覆蓋和傳輸模型的相關參數，如無線終端的平均帶寬， AP和 AP 之間覆蓋面等。 xx 酒店無線網絡接入系統技術建議書 第 21 頁 共 43 頁 方便地無線網絡規(guī)劃設計 在規(guī)劃一個無線局域網絡時，規(guī)劃設計者一項重要的工作是要考慮安裝多少 AP 可以滿足覆蓋？應在哪些位置安裝 AP，安裝后電波的覆蓋范圍，信號在不同位置的強弱等，要完成此項工作，通常做法是規(guī)劃設計者要在現場做大量的測試工作，通過經驗去估算位置和數量，其工作量非常之大，且還無法預先規(guī)劃每個 AP 的電磁波和功率參數以及 AP之間的覆蓋相交范圍。 不用劃 分 VLAN，對于無線網絡的管理帶來極大的便利性。這樣非常方便在有線網里實施無線局域網，同時也非常方便進行擴展。 由 于無線用戶的傳輸是通過 Aruba AP 內已建立的 GRE 隧道和 Aruba 交換機互連的，所以實際上無線用戶的VLAN是無須在接入層和匯聚層存在。要妥善處理數目眾多的 AP 在無線網絡內正常遠作，包括無線電波協調、無線用戶的帶寬和安全訪問控管以及其它各種各樣的無線增值服務都可以通過 Aruba 系統的網管系統實現。在網絡系統擴展性方面， Aruba 的一臺 5000/6000 型交換機可靈活地對從 128 個 AP