【正文】 式設(shè)計(jì) 根據(jù) XX 酒店 酒店 無(wú)線覆蓋的 分布和建筑平面， 公司總部 的 室內(nèi)無(wú)線局域網(wǎng)初步配置如下： 采用 1 臺(tái) Aruba3600 和 1 臺(tái) Aruba3400 無(wú)線控制 交換機(jī) 進(jìn)行無(wú)線網(wǎng)絡(luò)平臺(tái)控制核心端的組網(wǎng)，無(wú)線 控制器機(jī)通過(guò) 1000Mbps 直接連接網(wǎng)絡(luò)核心交換設(shè)備，由 ARUBA Networks 18 of 44 于采用雙鏈路結(jié)構(gòu)，任何一臺(tái)核心交換機(jī)發(fā)生故障，都不會(huì)影響 AP 和無(wú)線控制交換機(jī)之間的通信。 AP 和交換機(jī)之間的網(wǎng)絡(luò)結(jié)構(gòu)無(wú) 需考慮，如果是 L2 結(jié)構(gòu)， AP 通過(guò) DHCP 獲取地址后，通過(guò)廣播包找到無(wú)線控制器；如果是 L3， AP 通過(guò) DHCP 獲取地址以后，獲得主用和備用的無(wú)線控制器地址，然后與無(wú)線控制器直接通信（具體描述請(qǐng)見后面章節(jié)）。 Aruba 移動(dòng)控制器 可以通過(guò) Inter 網(wǎng)連接到 遠(yuǎn)程位置的指定 Aruba 接入點(diǎn) (AP) ，并在任意需要的地方天衣無(wú)縫地通過(guò)互聯(lián)網(wǎng)擴(kuò)展 酒店 WLAN。使用 IPsec 協(xié)議和 Aruba 移動(dòng)控制器進(jìn)行遠(yuǎn)程 Aruba AP 通信，該協(xié)議通過(guò)在互聯(lián)網(wǎng)上部署虛擬專用網(wǎng)絡(luò) (VPN) 連接而受到廣泛信任。 酒店 的語(yǔ)音無(wú)線電話通過(guò)遠(yuǎn)程 Aruba AP 連接，并好像它們就在中心 酒店 站點(diǎn)中那樣進(jìn)行運(yùn)作。 此外，它還提供了安全功能，例如加密和策略執(zhí)行防火墻，這保證了對(duì)所有語(yǔ)音通信提供高級(jí)別的安全以防止竊聽。 此外，網(wǎng)絡(luò)管理員可以查看詳細(xì)的客戶機(jī)狀態(tài)報(bào)告，這些報(bào)告顯示了客戶機(jī) MAC 地址、客戶機(jī)制造商、信道、無(wú)線電、狀態(tài)以及最后活動(dòng)日期和時(shí)間。 遠(yuǎn)程 ARUBA Networks 19 of 44 AP 支持終端到終端，即從客戶機(jī)到移動(dòng)控制器的 WPA2 和 安全，不管客戶機(jī)是有線還是無(wú)線。 這樣就不需要安裝和維護(hù)一臺(tái) VPN 客戶機(jī)或在遠(yuǎn)程機(jī)器上下載一個(gè)臨時(shí) SSL VPN 客戶機(jī)，大大減輕了管理成本。 這消除了錯(cuò)誤配置安全策略的風(fēng)險(xiǎn)，同時(shí)在遠(yuǎn)程位置也不再需要技術(shù)專家。 遠(yuǎn)程 Aruba AP 與用戶屬性（例如認(rèn)證方法、應(yīng)用程序、設(shè)備類型和移動(dòng)控制器中的可用策略執(zhí)行防火墻模塊）進(jìn)行通信。 例如，可以限制遠(yuǎn)程用戶使用特定的應(yīng)用程序或網(wǎng)絡(luò)資源。 Aruba 遠(yuǎn)程 AP 為分支機(jī)構(gòu)和家庭辦公室提供了安全的移動(dòng)連接，是一種理想的解決方案。極大節(jié)約了公司的運(yùn)營(yíng)成本，也方便了聯(lián)系領(lǐng)導(dǎo) 。因此， 建議 在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。由于用戶一般把 SSID 看成 VLAN，所以它們都會(huì)慣性地以 VLAN 概念來(lái)劃分SSID。一個(gè)最簡(jiǎn)單的例子就是 ARUBA Networks 20 of 44 AP 把不同的 SSID 名字廣播，所以當(dāng)無(wú)線終端在這個(gè) AP 覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè) SSID。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù) 據(jù)包的封裝格式，所以在用戶的無(wú)線接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個(gè) SSID 內(nèi)同時(shí)存在的。最常見的做法是使用多個(gè) SSID，例如：一個(gè)定義為 通過(guò) WEB 門戶的方式為訪客使用 ，另一個(gè) SSID 則為 TKIP(WPA)專為內(nèi)部員工使用。 要注意的是 SSID 可以覆蓋 全網(wǎng)，也可以只局限于 酒店 網(wǎng)內(nèi)的某些范圍。 所以針對(duì)無(wú)線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID 進(jìn)行管理和控制。 ARUBA 無(wú)線控制器內(nèi)置強(qiáng)大的 PORTAL 登錄界面可以通過(guò)網(wǎng)絡(luò)管理靈活簡(jiǎn)潔的進(jìn)行客戶化，進(jìn)行廣告招商，登錄頁(yè)面推送，歡迎頁(yè)面推送等多種模式以配合 XX 酒店 酒店 的 商務(wù)活動(dòng)策劃。 一種為前臺(tái)人員設(shè)計(jì)的獨(dú)特的簡(jiǎn)化用戶生成系統(tǒng)，帶有到期時(shí)間和預(yù)設(shè)接入控制的臨時(shí)客人 ID。 ARUBA Networks 22 of 44 . 無(wú)線安全性設(shè)計(jì) . 無(wú)線網(wǎng)絡(luò)的安全保護(hù)和檢測(cè) 由于無(wú)線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來(lái)防范無(wú)線連接 (防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 )。有一些 酒店 為了安全就采用一刀切的方法，把所有無(wú)線接入?yún)R聚到一個(gè) DMZ 內(nèi)，再通過(guò)網(wǎng)絡(luò)防火墻的過(guò)濾才讓無(wú)線數(shù)據(jù)進(jìn)入 酒店內(nèi)網(wǎng)。如果不是經(jīng)過(guò) DMZ 的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn) AP 的無(wú)線用戶 /終端和有線用戶 (在同一接入點(diǎn) )完全分隔開而設(shè)置到DMZ 上的同一個(gè) VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)無(wú)線接入安全保護(hù)的最大問(wèn)題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來(lái)做內(nèi)部的安全保護(hù)，而是用來(lái)確保外來(lái)數(shù)據(jù)進(jìn)入 酒店 內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在 酒店 因特網(wǎng)的連接口 。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來(lái)制定，不管用戶是誰(shuí)。要做到實(shí)施和維護(hù)簡(jiǎn)單方便，亦可根據(jù)用戶身份來(lái)制定安全訪問(wèn)策略， ARUBA 的無(wú)線解決方案就可以徹底解決這些問(wèn)題。網(wǎng)絡(luò)安全范圍是非常廣，從無(wú) 線電波，無(wú)線鏈路層，以致網(wǎng)絡(luò)層和應(yīng)用層等，它們都是息息相關(guān)和相互影響。 ARUBA 和其它廠家在認(rèn)證和加密上的最大區(qū)別在于二者都不是通過(guò) AP 來(lái)實(shí)現(xiàn)的，而是在 ARUBA 交換機(jī)上實(shí)現(xiàn)。 試想當(dāng)用戶透過(guò) WPA登陸無(wú)線網(wǎng)時(shí)，認(rèn)證是必須經(jīng)過(guò)后臺(tái)的 radius 服務(wù)器，亦即前端必須有 radius clients．如果 AP 是 Radius client 的話，則在一個(gè) 酒店 無(wú)線局域網(wǎng)，便須設(shè)置和管理很多 radius clients，這不但加添了不必要的麻煩，且亦增加了網(wǎng)絡(luò)安全的漏洞，因 radius 的 secret 密碼都是儲(chǔ)存在 AP 內(nèi)，所以萬(wàn)一AP 被盜竊，它的 Radius secret 便泄露，這樣整個(gè)網(wǎng)絡(luò)的安全都會(huì)受到威脅。 . 檢測(cè)無(wú)線入侵和非法攔截和定位 通過(guò) ARUBA 交換機(jī)的 WEB 界面 或中心化網(wǎng)管界面 ， 酒店 網(wǎng)管中心便可查看到是否有非法 AP 在傳輸網(wǎng)內(nèi)。這些非法的無(wú)線連接會(huì)被周邊最接近的 ARUBA AP 透過(guò)所發(fā)出的 DeAuth 包所切斷。若要尋查非法 AP 的位置所在，只需 ARUBA Networks 24 of 44 在 WEB 界面按“定位”這按鈕，非法 AP 的位置就會(huì)顯示在 酒店 辦公 室的圖紙上（用戶必須預(yù)先把無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入 ARUBA 交換機(jī)內(nèi)的 RF Planning 系統(tǒng)），網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到這 AP。要做到一個(gè)真正自動(dòng)的保護(hù)機(jī)制就必須能正確識(shí)別所有在 酒店 范圍內(nèi)檢測(cè)出來(lái)的 AP 身份。 ARUBA 還有一個(gè)獨(dú)特的無(wú)線射頻特性是可跟蹤在無(wú)線網(wǎng)絡(luò)內(nèi)所有 WiFi終端的位置，如 PDA, WiFi手機(jī)，和筆記本等。當(dāng)在這個(gè)系統(tǒng)環(huán)境中尋找?guī)в袩o(wú)線終端的 酒店員工 等所在位置時(shí)，例如非法 AP 或 WiFi 手機(jī)，在交換機(jī)內(nèi)無(wú)線終端的記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按“定位”這按鈕，則網(wǎng)管界面會(huì)彈出在 RF Planning 上終端在圖紙中的物理位置。這是傳統(tǒng)無(wú)線網(wǎng)絡(luò)所不能做的。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無(wú)法看到，防止非法用戶的連接企圖。 ? 加密 ： ARUBA 無(wú)線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)WEP、動(dòng)態(tài) WEP、 TKIP、 WPA、 多種加密方式，三層的加密支持IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實(shí)際需求進(jìn)行選擇。采用 captive portal 的認(rèn)證方式 ， 認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 ARUBA 交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫(kù)。 ? 用戶的 Role（角色） ：每一類用戶可以建立一個(gè)相關(guān)的 Role，每個(gè) Role有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。 ? 帶寬控制：可以對(duì)每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。 ? 網(wǎng)絡(luò)病毒的防護(hù)： 無(wú)線終端病毒防護(hù)的可以從無(wú)線終端的準(zhǔn)入檢查以及對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn) 行有效的檢測(cè)兩個(gè)層面來(lái)進(jìn)行的。在數(shù)據(jù)的檢測(cè)上，ARUBA 無(wú)線交換機(jī)上可以設(shè)定策略，對(duì)于某些無(wú)線用戶沾染病毒的終端，ARUBA 無(wú)線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。 . L2/L3 層漫游 在傳統(tǒng)的無(wú)線局域網(wǎng)內(nèi)，無(wú)線終端要跨越不同 AP 之間漫游是有一定的困難，因?yàn)椴煌?AP 之間，它的無(wú)線用戶 IP 子網(wǎng)可能都不是在同一個(gè) VLAN 內(nèi)。過(guò)去為了解決跨越三層的漫游，有些用戶采用了Mobile IP 的技術(shù)，但 Mobile IP 的缺點(diǎn)是它必須在無(wú)線終端安裝軟件。 通過(guò) ARUBA 無(wú)線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP子網(wǎng)的無(wú)線漫游問(wèn)題。用戶的原交換機(jī)會(huì)告知用戶漫游到的 ARUBA 交換機(jī)繼續(xù)保持用戶的原有的 IP 地址。代理DHCP 的優(yōu) 點(diǎn)是無(wú)要在用戶終端安裝任何軟件就可讓終端無(wú)縫的在不同 IP 子網(wǎng)之間漫游。 在使用 ARUBA 的解決方案，也可以使無(wú)線 用戶 在不同的分公司進(jìn)行 無(wú)縫漫游。要做到真正的無(wú)縫漫游，則需要有支持 Radius 代理這樣的功能。 ARUBA 本身就可提供不同域之間的認(rèn)證功能，域名可以與 SSID綁定，亦可以讓用戶在登陸網(wǎng)頁(yè)時(shí)輸入或選擇域名。 ARUBA Networks 28 of 44 . 無(wú)線交換機(jī)的配置實(shí)施建議 一般廠家的無(wú)線網(wǎng)絡(luò)產(chǎn)品在 酒店 網(wǎng)規(guī)劃時(shí)都需要二層交換機(jī)連接或者劃分VLAN，否則只能將認(rèn)證點(diǎn)下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。第一代無(wú)線組網(wǎng)無(wú)論對(duì)無(wú)線用戶、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很容易造成混亂。但在具體實(shí)施時(shí)，很多為了方便都會(huì)把 AP 和無(wú)線用戶設(shè)置在同一個(gè) VLAN 內(nèi)。 . VLAN 和無(wú)線 SSID 的關(guān)系 一般用戶都誤解無(wú)線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無(wú)線局域網(wǎng)都是通過(guò)“ FAT AP”組網(wǎng)的原因。當(dāng)然把一 SSID 設(shè)定在一個(gè)VLAN 內(nèi)對(duì)傳統(tǒng)的無(wú)線局域網(wǎng)只能夠支持第二層的無(wú)線用戶漫游是唯一可實(shí)現(xiàn)的方式。 ARUBA Networks 29 of 44 ARUBA 交換機(jī)組網(wǎng)，當(dāng)無(wú)線用戶加入到無(wú)線網(wǎng)上的一個(gè) SSID 時(shí)，很容易與 VLAN 綁定，無(wú)線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN 實(shí)際上是穿越接入層到 ARUBA 交換機(jī)上，用戶的 VLAN 是無(wú)需在每個(gè)接入層上開通。當(dāng)有這樣的情況出現(xiàn)時(shí)，無(wú)線用戶從一個(gè) AP 接入點(diǎn)漫游到另一個(gè) AP 接入點(diǎn)時(shí)， DHCP 協(xié)議應(yīng)會(huì)重分發(fā)給無(wú)線終端新的 IP 地址，但如果無(wú)線終端的 IP 地址更新的話，它先前建立的所有應(yīng)用連接就會(huì)被切斷。 . 無(wú)線局域網(wǎng) – 不需更改局域網(wǎng)路由 大規(guī)模在園內(nèi)實(shí)現(xiàn)無(wú)線局域網(wǎng)接入，不需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改， ARUBA AP 所在的 VLAN 和無(wú)線用戶的 VLAN 是獨(dú)立分開的，用戶只須在 ARUBA AP 的接入點(diǎn)分配給它 IP 地址即可，這個(gè) IP 地址可以是通過(guò) DHCP 服務(wù)器來(lái)分發(fā)，可以是以靜態(tài) IP 地址方式配置在 ARUBA AP 上。當(dāng)大規(guī)模開展無(wú)線局域網(wǎng)時(shí)，就無(wú)須把在不同接入層上新增的無(wú)線終端 VLAN/IP子網(wǎng)逐一在局域網(wǎng)上打通。 . 網(wǎng)絡(luò)與用戶管理 ARUBA 無(wú)線系統(tǒng)中可以設(shè)定用戶的角色（ role）