【正文】 證之前，需要下載一個(gè) 基于 JAVA 的程序，可以對(duì)無線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。 當(dāng)無線終端通過了準(zhǔn)入檢查，但是如何對(duì)無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。 ARUBA 公司和第三方的防病毒墻廠家合作，在 ARUBA 無線交換機(jī)上可以設(shè)定策略，某些 用戶，以及某些可能沾染病毒的數(shù)據(jù)， ARUBA 交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會(huì)將數(shù)據(jù)丟棄。 基于上述兩個(gè)層面， ARUBA 無線局域網(wǎng)系統(tǒng)對(duì)無線終端進(jìn)行有效和方便的病毒防護(hù)。 ARUBA Networks 17 of 44 第 3章 . 無線網(wǎng)絡(luò)系統(tǒng)詳細(xì)設(shè)計(jì) 根據(jù) XX 酒店 酒店 無線網(wǎng)絡(luò)需求和 無線網(wǎng)絡(luò)設(shè)計(jì)原則，結(jié)合 ARUBA 無線系統(tǒng)技術(shù)及產(chǎn)品的特點(diǎn)，方案的設(shè)計(jì)分為：無線組網(wǎng)方式設(shè)計(jì)、多業(yè)務(wù)區(qū)分設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、移動(dòng)漫游、網(wǎng)絡(luò)及用戶管理、兼容性等部分。 . 無線組網(wǎng)方式設(shè)計(jì) 根據(jù) XX 酒店 酒店 無線覆蓋的 分布和建筑平面， 公司總部 的 室內(nèi)無線局域網(wǎng)初步配置如下： 采用 1 臺(tái) Aruba3600 和 1 臺(tái) Aruba3400 無線控制 交換機(jī) 進(jìn)行無線網(wǎng)絡(luò)平臺(tái)控制核心端的組網(wǎng)，無線 控制器機(jī)通過 1000Mbps 直接連接網(wǎng)絡(luò)核心交換設(shè)備，由 ARUBA Networks 18 of 44 于采用雙鏈路結(jié)構(gòu)，任何一臺(tái)核心交換機(jī)發(fā)生故障，都不會(huì)影響 AP 和無線控制交換機(jī)之間的通信。在接入側(cè)，采用 ARUBA 的 AP93 作為無線接入點(diǎn)，通過 POE供電模塊為 AP 進(jìn)行供電所有無線用戶通過 AP 進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)至核心層的無線控制交換機(jī)再由控制器進(jìn)行數(shù)據(jù)處理經(jīng)由核心交換機(jī)到出口路由器訪問廣域網(wǎng)資源 。 AP 和交換機(jī)之間的網(wǎng)絡(luò)結(jié)構(gòu)無 需考慮，如果是 L2 結(jié)構(gòu)， AP 通過 DHCP 獲取地址后，通過廣播包找到無線控制器；如果是 L3， AP 通過 DHCP 獲取地址以后，獲得主用和備用的無線控制器地址，然后與無線控制器直接通信（具體描述請(qǐng)見后面章節(jié)）。無線網(wǎng)絡(luò)管理員 可 通過中心配置的集中網(wǎng)管，對(duì)全網(wǎng)的 AP 和交換機(jī)進(jìn)行有效的集中式管理 。 Aruba 移動(dòng)控制器 可以通過 Inter 網(wǎng)連接到 遠(yuǎn)程位置的指定 Aruba 接入點(diǎn) (AP) ，并在任意需要的地方天衣無縫地通過互聯(lián)網(wǎng)擴(kuò)展 酒店 WLAN。 用戶在家庭辦公室、遠(yuǎn)程辦公室或任何其它位置的辦公 體驗(yàn)和在 酒店 總部完全相同。使用 IPsec 協(xié)議和 Aruba 移動(dòng)控制器進(jìn)行遠(yuǎn)程 Aruba AP 通信，該協(xié)議通過在互聯(lián)網(wǎng)上部署虛擬專用網(wǎng)絡(luò) (VPN) 連接而受到廣泛信任。 這種基于標(biāo)準(zhǔn)、終端到終端的加密支持可以將遠(yuǎn)程 AP 直接插入連接到互聯(lián)網(wǎng)的 DSL 路由器，這就不再需要在遠(yuǎn)程位置安裝移動(dòng)控制器。 酒店 的語音無線電話通過遠(yuǎn)程 Aruba AP 連接，并好像它們就在中心 酒店 站點(diǎn)中那樣進(jìn)行運(yùn)作。 Aruba 啟用 QoS 和語音協(xié)議識(shí)別的體系 ，甚至可以在遠(yuǎn)程連接上提供一種長話級(jí)品質(zhì)的語音體驗(yàn)。 此外，它還提供了安全功能，例如加密和策略執(zhí)行防火墻，這保證了對(duì)所有語音通信提供高級(jí)別的安全以防止竊聽。 使用 Aruba 遠(yuǎn)程 AP， 網(wǎng)絡(luò)中心 管理員可以訪問所有遠(yuǎn)程 Aruba AP 參數(shù)，例如操作信道、無線電類型、 SSID 、 BSSID 和所有相關(guān)客戶機(jī)，并可以集中更改配置。 此外，網(wǎng)絡(luò)管理員可以查看詳細(xì)的客戶機(jī)狀態(tài)報(bào)告，這些報(bào)告顯示了客戶機(jī) MAC 地址、客戶機(jī)制造商、信道、無線電、狀態(tài)以及最后活動(dòng)日期和時(shí)間。 遠(yuǎn)程連接的 Aruba AP 使用現(xiàn)有客戶機(jī)上的 申請(qǐng)者運(yùn)行，通過對(duì)所有客戶機(jī)和移動(dòng)控制器之間的認(rèn)證信息進(jìn)行 Ipsec 加密來提供安全認(rèn)證。 遠(yuǎn)程 ARUBA Networks 19 of 44 AP 支持終端到終端，即從客戶機(jī)到移動(dòng)控制器的 WPA2 和 安全，不管客戶機(jī)是有線還是無線。 在認(rèn)證成功之后，在 Ipsec 內(nèi)部對(duì)所有的通信進(jìn)行隧接或加密。 這樣就不需要安裝和維護(hù)一臺(tái) VPN 客戶機(jī)或在遠(yuǎn)程機(jī)器上下載一個(gè)臨時(shí) SSL VPN 客戶機(jī)，大大減輕了管理成本。 遠(yuǎn)程 Aruba AP 從 Aruba 移動(dòng)控制器下載它的配置和安全 策略。 這消除了錯(cuò)誤配置安全策略的風(fēng)險(xiǎn)，同時(shí)在遠(yuǎn)程位置也不再需要技術(shù)專家。 在遠(yuǎn)程 AP 上沒有存儲(chǔ)任何安全證書，因此即使 AP 丟失或被竊，也不存在破壞安全的風(fēng)險(xiǎn)。 遠(yuǎn)程 Aruba AP 與用戶屬性（例如認(rèn)證方法、應(yīng)用程序、設(shè)備類型和移動(dòng)控制器中的可用策略執(zhí)行防火墻模塊）進(jìn)行通信。 該通信提供了高度的團(tuán)狀和動(dòng)態(tài)安全策略，大大改良了 酒店 WLAN 的安全狀態(tài)。 例如，可以限制遠(yuǎn)程用戶使用特定的應(yīng)用程序或網(wǎng)絡(luò)資源。 這項(xiàng)高級(jí)功能允許職員通過遠(yuǎn)程 AP 安全連接到網(wǎng)絡(luò)，而無需考慮用戶位置，因?yàn)橛脩舭踩呗詫?始終跟隨他們。 Aruba 遠(yuǎn)程 AP 為分支機(jī)構(gòu)和家庭辦公室提供了安全的移動(dòng)連接，是一種理想的解決方案。 并且提供良好的多業(yè)務(wù)支持能力。極大節(jié)約了公司的運(yùn)營成本，也方便了聯(lián)系領(lǐng)導(dǎo) 。 . 多業(yè)務(wù)區(qū)分設(shè)計(jì) 從 XX 酒店 酒店 的用戶分類與分布情況分析， 使用無線網(wǎng)絡(luò)的 用戶主要分成以下幾類： （ 1） 酒店員工 與領(lǐng)導(dǎo)； （ 2）訪客 ； 使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。因此， 建議 在設(shè)計(jì)上采用無線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。在一個(gè)無線局域網(wǎng)內(nèi)可以設(shè)置多個(gè) SSID，例如一個(gè) SSID 可給內(nèi)部員工所用，而另一 個(gè)可給外來的客戶專用。由于用戶一般把 SSID 看成 VLAN，所以它們都會(huì)慣性地以 VLAN 概念來劃分SSID。其實(shí)在一個(gè) AP 范圍內(nèi)，不管用戶連接到那一個(gè) SSID 它們實(shí)際上都是在同一個(gè) 廣播域內(nèi)，因?yàn)闊o線電波的傳輸是共享。一個(gè)最簡單的例子就是 ARUBA Networks 20 of 44 AP 把不同的 SSID 名字廣播，所以當(dāng)無線終端在這個(gè) AP 覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè) SSID。 SSID 的最主要用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢 ? 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù) 據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP,TKIP(WPA),(WPA2)等等，不同加密方式不能在同一個(gè) SSID 內(nèi)同時(shí)存在的。 XX酒店 酒店 可根據(jù)實(shí)際的情況和 加密。最常見的做法是使用多個(gè) SSID，例如：一個(gè)定義為 通過 WEB 門戶的方式為訪客使用 ，另一個(gè) SSID 則為 TKIP(WPA)專為內(nèi)部員工使用。未來的發(fā)展趨勢(shì)是新增設(shè)一個(gè) SSID 讓員工以過度的方式逐漸從轉(zhuǎn)移到這個(gè)SSID 上。 要注意的是 SSID 可以覆蓋 全網(wǎng)，也可以只局限于 酒店 網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通，例如：客人 (Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所以它的覆蓋范圍通常只會(huì)局限在某些范圍內(nèi)。 所以針對(duì)無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID 進(jìn)行管理和控制。 酒店領(lǐng)導(dǎo) 、 酒店 工作人員屬于 酒店 內(nèi)的固定用戶，可以采用專門的SSID，可以采用級(jí)別較高的認(rèn)證和加密手段，對(duì)于來賓、參加會(huì)議人員和來訪人員可以使用另一個(gè) SSID，采用級(jí)別相對(duì)較低的認(rèn)證和加密手段，這樣就實(shí)現(xiàn)了區(qū)分的服務(wù)。 ARUBA 無線控制器內(nèi)置強(qiáng)大的 PORTAL 登錄界面可以通過網(wǎng)絡(luò)管理靈活簡潔的進(jìn)行客戶化，進(jìn)行廣告招商，登錄頁面推送，歡迎頁面推送等多種模式以配合 XX 酒店 酒店 的 商務(wù)活動(dòng)策劃。 ARUBA Networks 21 of 44 當(dāng) 訪客 來到 無線覆蓋區(qū)域 的時(shí)候，開啟筆記本電腦的無線網(wǎng)絡(luò)，可以搜尋并且連接 XX 酒店 酒店 的無線網(wǎng)絡(luò)系統(tǒng)，當(dāng)打開 IE 等網(wǎng)絡(luò)瀏覽器的時(shí)候，會(huì)自動(dòng)彈出Aruba 的網(wǎng)頁認(rèn)證界面，可以有以下幾種方式來控制 訪客 的上網(wǎng)流程： 訪客 需要填寫帳號(hào)名和密碼，通過認(rèn)證之后能夠接入 XX 酒店 酒店 的無線網(wǎng)絡(luò)，訪問更多的 Inter 資源，但是無法訪問內(nèi)網(wǎng)資源； 通過 ARUBA 提供的客戶化 Web Portal 認(rèn)證功能 ,可很好的為外來訪問者提供接入網(wǎng)絡(luò)的可能 。 一種為前臺(tái)人員設(shè)計(jì)的獨(dú)特的簡化用戶生成系統(tǒng)，帶有到期時(shí)間和預(yù)設(shè)接入控制的臨時(shí)客人 ID。這樣，方便靈活的完成了 ,對(duì)訪客的訪問 XX酒店 酒店 網(wǎng)絡(luò)資源的要求 。 ARUBA Networks 22 of 44 . 無線安全性設(shè)計(jì) . 無線網(wǎng)絡(luò)的安全保護(hù)和檢測 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接 (防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 )。并且網(wǎng)絡(luò)防火墻是不能防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會(huì)容易散播到其它的無線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些 酒店 為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個(gè) DMZ 內(nèi)，再通過網(wǎng)絡(luò)防火墻的過濾才讓無線數(shù)據(jù)進(jìn)入 酒店內(nèi)網(wǎng)。這種方式在具體實(shí)施時(shí)有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶 /終端必需集中在 同一 VLAN 上處理，否則的話很難把它們匯聚到一個(gè) DMZ 內(nèi)。如果不是經(jīng)過 DMZ 的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn) AP 的無線用戶 /終端和有線用戶 (在同一接入點(diǎn) )完全分隔開而設(shè)置到DMZ 上的同一個(gè) VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。且未來如要增加多一些 AP 接入點(diǎn)的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動(dòng)。 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)無線接入安全保護(hù)的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來做內(nèi)部的安全保護(hù)，而是用來確保外來數(shù)據(jù)進(jìn)入 酒店 內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在 酒店 因特網(wǎng)的連接口 。從因特網(wǎng)進(jìn)入 酒店 內(nèi)網(wǎng)無線接入的最大區(qū)別在于后者是可對(duì)用戶做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在 酒店 內(nèi)部署會(huì)對(duì)用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈 ARUBA Networks 23 of 44 活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略， ARUBA 的無線解決方案就可以徹底解決這些問題。 . 無線局域網(wǎng)的認(rèn)證和加密 安全 可以說是酒店 是否采用無線網(wǎng)的最主要考慮因素。網(wǎng)絡(luò)安全范圍是非常廣，從無 線電波，無線鏈路層，以致網(wǎng)絡(luò)層和應(yīng)用層等，它們都是息息相關(guān)和相互影響。如果單純只考慮無線接入層的安全而把網(wǎng)絡(luò)層分開處理的話，就會(huì)把整個(gè)網(wǎng)絡(luò)的安全結(jié)構(gòu)打斷，不但在現(xiàn)有網(wǎng)絡(luò)上需重新設(shè)置以配合，令網(wǎng)絡(luò)維護(hù)變得更復(fù)雜和缺乏靈活性，且一不小心更會(huì)造成安全漏洞。 ARUBA 和其它廠家在認(rèn)證和加密上的最大區(qū)別在于二者都不是通過 AP 來實(shí)現(xiàn)的，而是在 ARUBA 交換機(jī)上實(shí)現(xiàn)。這種結(jié)構(gòu)稱為集中加密方式，不單比在AP 上做加密更安全，且大大簡化了用戶認(rèn)證設(shè)置和管理。 試想當(dāng)用戶透過 WPA登陸無線網(wǎng)時(shí)，認(rèn)證是必須經(jīng)過后臺(tái)的 radius 服務(wù)器，亦即前端必須有 radius clients．如果 AP 是 Ra