集團(tuán)總部辦公樓無線網(wǎng)絡(luò)設(shè)計方案

1、 集團(tuán)總部辦公樓無線網(wǎng)絡(luò)設(shè)計方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc8980546 一、項目需求 PAGEREF _Toc8980546 h 3 HYPERLINK l _Toc8980547 1. 項目概況 PAGEREF _Toc8980547 h 3 HYPERLINK l _Toc8980548 2. 需求概述 PAGEREF _Toc8980548 h 3 HYPERLINK l _Toc8980549 二、系統(tǒng)描述 PAGEREF _Toc8980549 h 4 HYPERLINK l _Toc8980550 1. 設(shè)計原則 PAGEREF _To

2、c8980550 h 4 HYPERLINK l _Toc8980551 2. 設(shè)計要求 PAGEREF _Toc8980551 h 5 HYPERLINK l _Toc8980552 三、系統(tǒng)設(shè)計 PAGEREF _Toc8980552 h 7 HYPERLINK l _Toc8980553 1. 總體框架設(shè)計 PAGEREF _Toc8980553 h 7 HYPERLINK l _Toc8980554 2. 無線網(wǎng)絡(luò)SSID設(shè)計 PAGEREF _Toc8980554 h 9 HYPERLINK l _Toc8980555 3. 無線網(wǎng)絡(luò)冗余設(shè)計 PAGEREF _Toc8980555

3、h 10 HYPERLINK l _Toc8980556 4. 無線點位設(shè)計 PAGEREF _Toc8980556 h 12 HYPERLINK l _Toc8980557 四、訪客上網(wǎng)服務(wù) PAGEREF _Toc8980557 h 39 HYPERLINK l _Toc8980558 1. 客戶需求分析 PAGEREF _Toc8980558 h 39 HYPERLINK l _Toc8980559 2. 技術(shù)方案 PAGEREF _Toc8980559 h 47 HYPERLINK l _Toc8980560 五、Aruba針對本項目的關(guān)鍵技術(shù) PAGEREF _Toc8980560

4、h 60 HYPERLINK l _Toc8980561 1. 靈活的組網(wǎng)架構(gòu) PAGEREF _Toc8980561 h 60 HYPERLINK l _Toc8980562 2. 智能射頻管理：ARM3.0 PAGEREF _Toc8980562 h 60 HYPERLINK l _Toc8980563 3. 全方位網(wǎng)絡(luò)安全防護(hù)完全符合PCI DSS標(biāo)準(zhǔn) PAGEREF _Toc8980563 h 64 HYPERLINK l _Toc8980564 4. 豐富的第三方系統(tǒng)集成API PAGEREF _Toc8980564 h 67 HYPERLINK l _Toc8980565 5. 建

5、設(shè)綠色WLAN PAGEREF _Toc8980565 h 68 HYPERLINK l _Toc8980566 六、產(chǎn)品清單 PAGEREF _Toc8980566 h 69 HYPERLINK l _Toc8980567 七、解決方案優(yōu)勢 PAGEREF _Toc8980567 h 72 HYPERLINK l _Toc8980568 1. 最先進(jìn)的無線局域網(wǎng)架構(gòu) PAGEREF _Toc8980568 h 72 HYPERLINK l _Toc8980569 2. 最靈活的用戶管理基于用戶角色控制 PAGEREF _Toc8980569 h 75 HYPERLINK l _Toc8980

6、570 3.最簡單的“零配置”遠(yuǎn)程分支及用戶接入(VBN) PAGEREF _Toc8980570 h 80 HYPERLINK l _Toc8980571 4. 最穩(wěn)定的無線局域網(wǎng) PAGEREF _Toc8980571 h 85 HYPERLINK l _Toc8980572 5.最安全的無線局域網(wǎng)管理 PAGEREF _Toc8980572 h 88 HYPERLINK l _Toc8980573 6.最佳的高質(zhì)量話音傳輸 PAGEREF _Toc8980573 h 91 HYPERLINK l _Toc8980574 7.最優(yōu)秀的終端接入管理解決方案 PAGEREF _Toc89805

7、74 h 94 一、項目需求1. 項目概況集團(tuán)總部位于深圳。集團(tuán)主要從事文具及辦公用品、辦公設(shè)備的研發(fā)、生產(chǎn)和銷售，是一家辦公文具專業(yè)制造商和供應(yīng)商，主營產(chǎn)品包括文件管理用品、OA辦公設(shè)備、桌面文具和辦公耗材等1,000余種，是中國最大的辦公文具（文件夾）制造商，在業(yè)內(nèi)具有較高的品牌知名度。集團(tuán)建立了高效、快捷的分銷網(wǎng)絡(luò)，在全國擁有19家銷售分公司、30多家辦事處，在汕頭、廣州和寧波設(shè)有三大配送中心，全國40多個分銷配送倉，營銷網(wǎng)絡(luò)遍布全國，配送高效順暢。2. 需求概述當(dāng)今互聯(lián)網(wǎng)技術(shù)在飛速發(fā)展，集團(tuán)希望借助先進(jìn)的Wi-Fi技術(shù)，實現(xiàn)客戶端的無線上網(wǎng)、無線教學(xué)、無線應(yīng)用等業(yè)務(wù)功能。本項目涉及范圍

8、包括整個集團(tuán)總部辦公大樓的無線覆蓋。該無線網(wǎng)絡(luò)平臺必須使用先進(jìn)的技術(shù)，為智慧化業(yè)務(wù)提供高性能、高穩(wěn)定性的網(wǎng)絡(luò)基礎(chǔ)。另外，該平臺必須具備可擴(kuò)充性和高兼容性，能夠與集團(tuán)的各種業(yè)務(wù)系統(tǒng)對接，從而為集團(tuán)量身定制合適的應(yīng)用。二、系統(tǒng)描述1. 設(shè)計原則遵循標(biāo)準(zhǔn)集團(tuán)Wi-Fi覆蓋建設(shè)項目必須采用IETF/IEEE和Wi-Fi聯(lián)盟的標(biāo)準(zhǔn)技術(shù)，保證網(wǎng)絡(luò)設(shè)備間的兼容性。對于沒有業(yè)界標(biāo)準(zhǔn)的Portal和定位通過應(yīng)用層適配解決各廠商之間兼容性問題。技術(shù)選擇采用國際上成熟、先進(jìn)的技術(shù)和設(shè)備，建設(shè)一個穩(wěn)定、成熟和適度超前的無線網(wǎng)絡(luò)。安全可靠在集團(tuán)的無線網(wǎng)絡(luò)建設(shè)中，對于訪客，在無線網(wǎng)絡(luò)側(cè)暫不考慮網(wǎng)絡(luò)加密要求，采用Porta

9、l方式/Open方式實現(xiàn)用戶認(rèn)證。但對于集團(tuán)員工等企業(yè)用戶，對無線網(wǎng)絡(luò)側(cè)的安全提出一定的要求：支持多種用戶認(rèn)證方式，必須支持802.1x，EAP-PEAP和證書方式。至少支持WPA/WPA2加密方式。提供無線側(cè)泛洪攻擊告警，提供非集團(tuán)AP發(fā)布SSID告警?？蓴U(kuò)展提供RougeAP和蜜罐AP保護(hù)。要求擴(kuò)展提供RougeAP和蜜罐AP保護(hù)能力時不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)。在網(wǎng)絡(luò)可靠性方面要求以下幾點：控制器等核心設(shè)備必須采用熱備方式部署。AP故障情況下，周邊AP射頻覆蓋保護(hù)。所有投標(biāo)硬件設(shè)備提供終身原廠質(zhì)保?？蓴U(kuò)展、可升級對于無線網(wǎng)絡(luò)可擴(kuò)展可升級方面，要求設(shè)備具備靈活擴(kuò)展能力。主要包括以下幾個方面：無線接

10、入技術(shù)可升級，在替換AP的前提下，設(shè)備可以從第一代802.11ac接入標(biāo)準(zhǔn)擴(kuò)展至未來的第二代802.11ac接入標(biāo)準(zhǔn)，要求至少保證無線網(wǎng)絡(luò)升級至第二代802.11ac時網(wǎng)絡(luò)規(guī)劃無瓶頸或可平滑升級。無線網(wǎng)絡(luò)業(yè)務(wù)可升級，在不替換AP的前提下，要求方案可以提供： a) 可以通過軟件升級支持IEEE/Wi-Fi聯(lián)盟新的技術(shù)標(biāo)準(zhǔn)（需硬件支持除外） b) 無線網(wǎng)絡(luò)側(cè)安全保護(hù)：防無線側(cè)DOS攻擊，RougeAP，蜜罐AP提供基于位置的業(yè)務(wù)應(yīng)用要求整體方案已具備以后可以提供周邊終端的位置狀態(tài)信息（包括打開Wi-Fi但未接入集團(tuán)無線網(wǎng)絡(luò)的終端）的能力，以滿足實時位置服務(wù)以及客流分析要求。2. 設(shè)計要求無線覆蓋采

11、用2.4GHz和5GHz雙頻覆蓋的方式，20MHz頻寬802.11agn方式對集團(tuán)進(jìn)行全覆蓋，要求2.4GHz覆蓋邊緣場強(qiáng)不小于-65dBm，信號重疊率不低于10%，不高于20%，在無其他無線干擾情況下，要求覆蓋區(qū)域SNR不小于25dB。對于客房低密度區(qū)域，建議AP采用2x2:2 802.11ac標(biāo)準(zhǔn)，提供5GHz最高867Mbps接入帶寬；對于客戶端高密度區(qū)域，由于對無線網(wǎng)絡(luò)容量與性能有了更高的要求，這些區(qū)域的AP建議采用3x3:3 802.11ac標(biāo)準(zhǔn)，提供5GHz最高1.3Gbps的接入帶寬。無線空口接入控制要求無線網(wǎng)絡(luò)可以屏蔽802.11b或自定義無線空口允許的接入速率。要求無線網(wǎng)絡(luò)可

12、以提供基于用戶數(shù)，頻點和頻段的負(fù)載均衡，并詳細(xì)說明實現(xiàn)方式。整個系統(tǒng)必須支持以后位置信息服務(wù)。包括每個終端（包括未接入無線的終端）的區(qū)域、建筑物、樓層與坐標(biāo)信息，以滿足實時位置服務(wù)和客流分析要求。針對實時位置服務(wù)應(yīng)用，要求可以針對每個MAC地址單獨調(diào)用位置信息，并發(fā)監(jiān)控用戶數(shù)不小于10,000終端。針對客流分析應(yīng)用，定位引擎向后臺數(shù)據(jù)中心更新頻率可調(diào)整，要求每25秒記錄一次位置信息的情況下，并發(fā)監(jiān)控用戶數(shù)不小于25000終端，終端位置數(shù)據(jù)可以在定義的空閑時間統(tǒng)一上傳。有線接入網(wǎng)絡(luò)有線接入層網(wǎng)絡(luò)采用802.3af/802.3at供電方式的POE交換機(jī)，接入交換機(jī)PoE滿功率供電端口冗余20%。三

13、、系統(tǒng)設(shè)計1. 總體框架設(shè)計無線網(wǎng)絡(luò)整體拓?fù)浼軜?gòu)如下：無線局域網(wǎng)配置如下：無線核心：移動控制器Aruba 3600，最多可管理128個園區(qū)AP，4 Gbps吞吐能力，支持最多8,192個并發(fā)用戶；廣州倉移動控制器Aruba 7010，最多可管理32個園區(qū)AP，提供12個POE端口和4個非POE端口作為AP和辦公有線網(wǎng)絡(luò)接入。無線AP：辦公區(qū)域采用867Mbps+300Mbps的 802.11ac無線產(chǎn)品AP-205，廣州倉庫區(qū)域采用802.11n無線產(chǎn)品AP-103。無線安全：內(nèi)置ICSA認(rèn)證的用戶狀態(tài)防火墻；提供無線入侵檢測和入侵排除功能；提供非法AP、非法用戶抑制功能；支持2.4G/5G頻

14、譜分析功能，結(jié)合AirWave網(wǎng)管，實現(xiàn)對非法設(shè)備和攻擊源定位的功能。頻譜管理：AP工作信道和發(fā)射功率智能優(yōu)化；5GHz信道優(yōu)先導(dǎo)航；智能信道負(fù)載均衡；自動優(yōu)化終端性能；基于應(yīng)用的射頻資源優(yōu)化調(diào)度。終端接入管理：采用Aruba ClearPass接入認(rèn)證系統(tǒng)，提供標(biāo)準(zhǔn)Radius服務(wù)和web-login頁面，提供MAC地址緩存功能?？梢愿鶕?jù)用戶的認(rèn)證情況，識別用戶的身份；智能識別連線的終端類型；智能識別各種應(yīng)用；最后根據(jù)企業(yè)策略，實現(xiàn)用戶級的差異化策略推送。綜合管理：管理平臺采用Aruba AirWave系統(tǒng)，對Aruba無線網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，提供故障告警、故障自動處理、審計報表等功能；支持對

15、第三方無線和有線設(shè)備的監(jiān)控與管理，包括Cisco、Juniper、Motorola、Meru等。有線局域網(wǎng)配置如下：接入層交換機(jī)：建議采用PoE交換機(jī)，為無線接入點提供802.3at和802.3af標(biāo)準(zhǔn)的以太網(wǎng)供電（802.3at和802.3af視乎AP選型而定），免除無線接入點現(xiàn)場取交流電的麻煩。所有的ARUBA無線接入點均根據(jù)現(xiàn)場實際環(huán)境，通過POE交換機(jī)或交流電源供電，并通過接入交換機(jī)連接至核心交換網(wǎng)絡(luò)。AP和交換機(jī)之間的網(wǎng)絡(luò)結(jié)構(gòu)無需考慮，如果是二層網(wǎng)絡(luò)結(jié)構(gòu)，AP獲得IP地址后，通過廣播包發(fā)現(xiàn)并連接無線控制器；如果是三層網(wǎng)絡(luò)結(jié)構(gòu)，AP獲得IP地址后，通過DNS或者DHCP的43屬性，發(fā)現(xiàn)

16、并連接無線控制器。AP與無線控制器建立隧道后，就從邏輯上構(gòu)成了一個架構(gòu)在有線網(wǎng)絡(luò)平臺之上的純星型網(wǎng)絡(luò)，所有無線用戶都通過AP提供的WLAN接入服務(wù)連接集團(tuán)網(wǎng)絡(luò)，并經(jīng)由AP與無線控制器之間的GRE隧道訪問網(wǎng)絡(luò)。2. 無線網(wǎng)絡(luò)SSID設(shè)計集團(tuán)對于無線SSID的設(shè)置方面有如下要求：辦公內(nèi)網(wǎng)、員工BYOD、訪客WI-FI。初步考慮采用基于角色的接入控制技術(shù)，根據(jù)應(yīng)用及安全的需要，設(shè)計3個SSID，根據(jù)不同的應(yīng)用提供不同的安全方案：辦公內(nèi)網(wǎng)：安全級別較高，需要提供802.1X認(rèn)證，結(jié)合機(jī)器認(rèn)證和域帳號認(rèn)證，根據(jù)不同的用戶屬性提供差異化上網(wǎng)策略。員工BYOD：開放認(rèn)證接口。公眾WI-FI：安全級別較低，無

17、需員工帳號也可以登錄，但需要訪客注冊流程，登記手機(jī)號碼。同時需要實現(xiàn)、定位、客流統(tǒng)計等功能，并開放數(shù)據(jù)供第三方客流分析系統(tǒng)、實時定位與廣告推送、以及其他應(yīng)用。根據(jù)上述需求，結(jié)合Aruba無線網(wǎng)絡(luò)基于Role的管理模型，我們對于集團(tuán)無線網(wǎng)絡(luò)設(shè)置的SSID有如下策略建議：辦公內(nèi)網(wǎng)員工BYOD公眾WI-FISSIDPA-WLANPA-BYODPA-Guest廣播/隱藏廣播廣播廣播認(rèn)證802.1XWeb-PortalWeb-Portal時間全天全天全天地點全區(qū)域全區(qū)域公共區(qū)域訪問對象根據(jù)不同員工不同部門與級別派生不同Role，從而使用不同的策略只允許訪問互聯(lián)網(wǎng)以及校園網(wǎng)絡(luò)，不允許訪問集團(tuán)其他內(nèi)網(wǎng)區(qū)域只

18、允許訪問互聯(lián)網(wǎng)，禁止訪問內(nèi)網(wǎng)。帶寬無限制2Mbps1Mbps3. 無線網(wǎng)絡(luò)冗余設(shè)計本期考慮配置2臺3600控制器， 2臺控制器作為冗余核心設(shè)備安裝在核心機(jī)房，當(dāng)主控制器發(fā)生故障的時候，可切換到備用控制器，提供無縫連接，真正為用戶提供一個永不間斷的無線網(wǎng)絡(luò)。Aruba無線控制系統(tǒng)提供了多種冗余模式確保整個網(wǎng)絡(luò)的高可用性?；?層的VRRP快速冗余倒換：VRRP將多個無線控制器組織成一個備份組，功能上相當(dāng)于一臺虛擬無線控制器。局域網(wǎng)內(nèi)的AP僅僅知道這個虛擬無線控制器的IP地址（VIP地址），并不知道備份組內(nèi)具體某臺無線控制器設(shè)備的IP地址，它們將自己的缺省路由下一跳地址設(shè)置為該虛擬無線控制器的IP

19、地址。于是，網(wǎng)絡(luò)內(nèi)的AP就通過這個虛擬路由器與其它網(wǎng)絡(luò)進(jìn)行通信。VRRP機(jī)制將該虛擬無線控制器地址動態(tài)關(guān)聯(lián)到某承擔(dān)傳輸業(yè)務(wù)的物理無線控制器的IP地址上，從而當(dāng)該物理無線控制器出現(xiàn)故障時能再次選擇新無線控制其來接替業(yè)務(wù)傳輸工作，整個過程對用戶來說是完全透明的，這就很好實現(xiàn)了無線網(wǎng)絡(luò)無線控制器和AP之間不間斷通信。VRRP作冗余備份的優(yōu)點是倒換速度快，從主無線控制器切換到備用無線控制器只需1012秒左右。但VRRP倒換也有局限性，就是控制器必須是2層網(wǎng)絡(luò)連接，控制器之間不能是三層網(wǎng)絡(luò)。業(yè)務(wù)倒換前狀態(tài)業(yè)務(wù)倒換后狀態(tài)基于3層的主備控制器冗余倒換：這種基于主備控制器倒換機(jī)制，是絕大多數(shù)WLAN廠家使用的

20、冗余備份方法。Aruba的無線控制器也可以為AP組設(shè)置主用控制器或備份控制器，當(dāng)AP啟動后，將首先連接主用的無線控制器，AP和控制器之間通過PAPI協(xié)議發(fā)送keepalive消息，一旦長時間檢測到主用控制器無法工作，AP將自動連接到備份的控制器。這種方式的優(yōu)點是對控制器的連接沒有特殊要求，網(wǎng)絡(luò)可以是2層也可以是3層。缺點就是倒換時間過長，要達(dá)到6080秒。對部分業(yè)務(wù)可能會引起終端，引起用戶的重連接和認(rèn)證?；谏鲜鰞煞N方式比較，Aruba推薦集團(tuán)采用VRRP這種模式來進(jìn)行冗余備份。4. 無線點位設(shè)計（1）點位設(shè)計根據(jù)項目需求，我們對集團(tuán)的地理環(huán)境進(jìn)行現(xiàn)場勘察。本項目必須保證所有點位分布均勻，以保

21、證信號的穩(wěn)定以及終端的精準(zhǔn)定位?，F(xiàn)對無線點位作出如下設(shè)計：一層：二層：三層：四層：五層：六層：暫時缺圖紙，先按照10個AP設(shè)計。七層：八層：九層：廣州物流中心1#2#倉 廣州物流中心3#倉 (2) 點位數(shù)量統(tǒng)計以下是AP點位數(shù)量以及對應(yīng)AP選型的統(tǒng)計：樓層AP型號AP數(shù)量辦公樓1FAP-20592FAP-205113FAP-205114FAP-205105FAP-205116FAP-205107FAP-20598FAP-205139FAP-2055廣州倉庫1#倉AP-103142#倉AP-10353#倉AP-1035合計：113因此，根據(jù)上述點位設(shè)計，無線AP的點位總數(shù)為：113個。(3) 室

22、內(nèi)AP部署需求無線覆蓋設(shè)計將遵循按照信號范圍最大化原則，在區(qū)域全面覆蓋的前提下，重點選擇部分區(qū)域進(jìn)行更加細(xì)膩的覆蓋。并且，保證無線網(wǎng)絡(luò)穩(wěn)定性并與絕大多數(shù)主流無線網(wǎng)卡兼容，同時兼顧考慮網(wǎng)絡(luò)擴(kuò)容，為今后網(wǎng)絡(luò)擴(kuò)容做好預(yù)留。目標(biāo)覆蓋區(qū)域信號強(qiáng)度-65dbm。因無線信號的覆蓋需通過現(xiàn)場測試后進(jìn)行調(diào)整，AP 的具體布點方案可在實施過程中進(jìn)行深化設(shè)計。室內(nèi)傳播環(huán)境與室外相比，覆蓋距離更小，環(huán)境變化更大，不受雨、雪、云等天氣的影響，但受建筑物的大小、形狀、結(jié)構(gòu)、房間布局及室內(nèi)陳設(shè)的影響，最重要的是建筑材料的影響。室內(nèi)障礙物不僅有磚墻，而且包括木材、玻璃、金屬和其他材料。這些因素導(dǎo)致室內(nèi)傳播環(huán)境遠(yuǎn)較室外復(fù)雜。多

23、路徑效應(yīng)也是影響覆蓋范圍的重要因素之一。所謂多路徑效應(yīng)，就是信號被反射并回送的現(xiàn)象。在大多數(shù)情況下，多路徑效應(yīng)使接收到的信號被削弱或是被完全抵消。于是有一些本來應(yīng)該充分傳播信號的區(qū)域幾乎或根本沒有射頻信號覆蓋。防止多路徑效應(yīng)的辦法是拆除或重新安置機(jī)柜和網(wǎng)絡(luò)設(shè)備機(jī)架之類的干擾對象，同時增加接入點密度或功率輸出。在考慮覆蓋密度時，還需要計算覆蓋區(qū)域的客戶密度和客戶所需吞吐量，同一時間某個區(qū)域下如果客戶數(shù)量過于密集，相對該區(qū)域部署的AP數(shù)量也要相應(yīng)增多，避免網(wǎng)絡(luò)擁塞，降低AP負(fù)載，增加客戶帶寬。根據(jù)中國國家無線電管理委員會的規(guī)定，在室內(nèi)部署無線網(wǎng)絡(luò)信號輻射不得超過100mw，以避免2.4GHz和5G

24、Hz對人體的影響。Aruba無線系統(tǒng)在辦公室內(nèi)部署的型號統(tǒng)一都根據(jù)國家規(guī)定最大為100mw，避免大功率長期輻射對人體的影響。(4) 無線射頻管理設(shè)計A. 自適應(yīng)射頻管理無線局域網(wǎng)是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，是一種采用無線傳輸媒介的計算機(jī)局域網(wǎng)絡(luò)，由于利用空中電磁波進(jìn)行信息傳輸，因此，與傳統(tǒng)的有線網(wǎng)絡(luò)相比，具有更大的靈活性，而且安裝簡單、經(jīng)濟(jì)實用。但是，采用無線信道進(jìn)行信息傳輸也面臨許多問題，比如：傳輸質(zhì)量受多方面因素影響，穩(wěn)定性較差，且故障定位難度很大；另外，無線信道的介質(zhì)共享特性導(dǎo)致系統(tǒng)容量偏小，且容易產(chǎn)生頻率相互干擾。尤其是在用戶負(fù)載較重的情況下，如果不能很好地解決這些問題，可

25、能會導(dǎo)致整個網(wǎng)絡(luò)的性能急劇惡化，嚴(yán)重時甚至?xí)斐删W(wǎng)絡(luò)的癱瘓?；贏RUBA專利的自適應(yīng)射頻管理技術(shù)是ARUBA在無線射頻控制領(lǐng)域做出的杰出貢獻(xiàn)，可以幫助用戶解決當(dāng)今WLAN領(lǐng)域中的三個基本難題：802.11標(biāo)準(zhǔn)下定義的終端決策模式以及無線終端缺乏系統(tǒng)視野的特點，導(dǎo)致網(wǎng)絡(luò)無法對無線終端的頻段、信道和漫游進(jìn)行網(wǎng)絡(luò)優(yōu)化作為一項基于共享介質(zhì)的傳輸技術(shù)，無線終端設(shè)備不具有對干擾、共享帶寬、信道和系統(tǒng)容量的優(yōu)化智能為了保持對不同時代Wi-Fi標(biāo)準(zhǔn)的兼容性，高速終端只能以犧牲其性能的方式實現(xiàn)與慢速終端之間的并存以上困難導(dǎo)致802.11終端無法發(fā)揮其最大潛能，無線AP則往往因為用戶過載或者外來干擾而導(dǎo)致網(wǎng)絡(luò)整

26、體性能的降低。在早期的WLAN部署中，為了能夠在無線覆蓋和避免干擾之間取得平衡，網(wǎng)絡(luò)管理員往往需要進(jìn)行費時、費力的現(xiàn)場勘查，然后再依據(jù)現(xiàn)場勘查的結(jié)果對AP工作信道和發(fā)信功率進(jìn)行配置。但是由于現(xiàn)場勘查與用戶對網(wǎng)絡(luò)的使用無法在時間上取得一致，現(xiàn)場勘查的結(jié)果并不能真實地反映出用戶使用網(wǎng)絡(luò)時的實際射頻環(huán)境，因此無法實現(xiàn)真正的網(wǎng)絡(luò)優(yōu)化。ARUBA的自適應(yīng)射頻管理可以提供具有實時性的智能射頻管理功能，利用ARUBA多功能接入點（AP）對周邊射頻環(huán)境進(jìn)行持續(xù)監(jiān)測。所有的ARUBA AP都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道，由于ARUBA的移動控制器和AP可以具有應(yīng)用感知能力，因此會根據(jù)應(yīng)用在線狀態(tài)（如A

27、P上是否存在正在進(jìn)行的SIP呼叫）以及AP上的實時負(fù)載來動態(tài)調(diào)整掃描的間隔，所以對于在線的無線用戶（指連接到AP上在同一頻率上的無線終端）的傳輸過程沒有任何影響。當(dāng)AP停留在某一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回ARUBA 無線控制器，ARUBA無線控制器則根據(jù)收集到的無線電波信息進(jìn)行智能計算，并對AP的發(fā)信功率和工作信道等無線電波參數(shù)進(jìn)行動態(tài)調(diào)整，以使AP之間達(dá)到了一個最優(yōu)化的無線電波運行狀態(tài)。通過ARUBA專利的自適應(yīng)射頻管理技術(shù)，可以為用戶的無線網(wǎng)絡(luò)提供以下功能：網(wǎng)絡(luò)系統(tǒng)的自愈功能傳統(tǒng)無線網(wǎng)絡(luò)里的每個AP都是一個獨立的個體，相互之間不存在任何溝通與協(xié)商，如果有某一AP突然

28、損壞或失效時，這個AP原來覆蓋區(qū)域就會失去無線連接，無線網(wǎng)絡(luò)變得不可用。遇到這種情況的一般做法就是馬上把失效的AP更換。但由于大多數(shù)的AP都是布置在樓道里(并不是在機(jī)房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，很多時候維護(hù)人員較難即時做出更換動作(很多的AP都是安裝在天花板上)。而且，從故障發(fā)現(xiàn)，處理，找到新AP，替換，整個過程需時漫長，尤其是這對于一些緊急的應(yīng)用是不能接受的。因此我們必須尋找另一種方法去縮短故障處理周期。為了提高無線網(wǎng)絡(luò)的可用性和增強(qiáng)整個架構(gòu)的冗余性，ARUBA系統(tǒng)設(shè)計了故障自動恢復(fù)的功能，即實時偵測出線上AP是否存在失效，當(dāng)發(fā)現(xiàn)有AP出現(xiàn)故障時，ARUBA無線控制器

29、能自動調(diào)節(jié)鄰近的AP射頻參數(shù)，一般是加大發(fā)射功率（覆蓋范圍）共同接替失效AP原先覆蓋的范圍。無線接入的頻段指引長時間以來，無線網(wǎng)絡(luò)性能提升的主要存在兩個障礙，一是2.4GHz頻段中互不干擾的信道只有3個，從信道資源角度看，非常有限；另一個是802.11標(biāo)準(zhǔn)將無線連接的決策功能（如連接那個AP、什么時候連接、用什么頻率連接等問題）都留給無線終端側(cè)完成，而相當(dāng)部分終端在其設(shè)計中往往優(yōu)先采用2.4GHz信道對網(wǎng)絡(luò)進(jìn)行連接，從而導(dǎo)致2.4GHz信道中用戶密度過高、信道效率偏低的特點。為了解決上述難題，ARUBA專利的自適應(yīng)射頻管理技術(shù)為用戶了終端頻段指引的功能，能夠自動引導(dǎo)市場上的雙頻段終端（即同時支

30、持2.4GHz和5GHz的終端）優(yōu)先采用5GHz頻段連接ARUBA的雙頻段AP，以均衡使用網(wǎng)絡(luò)資源，改善網(wǎng)絡(luò)性能。ARUBA的終端頻段指引功能具有以下特點：如果無線終端能夠支持2.4GHz和5GHz雙頻段工作，通過5GHz信道進(jìn)行無線網(wǎng)絡(luò)的關(guān)聯(lián)無線控制器維護(hù)所有無線終端支持能力的數(shù)據(jù)庫，并以此為依據(jù)進(jìn)行無線終端的頻段指引決策頻段指引支持優(yōu)先模式、強(qiáng)制模式和負(fù)載均衡模式等三種工作模式頻段指引功能對無線終端完全透明，不需要預(yù)裝任何客戶端或私有軟件對于用戶來說，通過ARUBA的無線接入頻段指引功能，可以使無線網(wǎng)絡(luò)性能得到顯著的優(yōu)化，包括如下：可以充分利用5GHz頻段豐富的頻率資源，而不僅僅是2.4G

31、Hz頻段上的3個無干擾信道可用信道的增加大大緩解了無線網(wǎng)絡(luò)中的同頻干擾問題避免802.11b標(biāo)準(zhǔn)的慢速終端對802.11an等快速終端的性能影響充分利用5GHz頻段豐富的頻譜資源，在802.11n網(wǎng)絡(luò)中采用40MHz信道實現(xiàn)300Mbps高速無線連接無線接入的負(fù)載均衡由于無線信道介質(zhì)在物理層的共享特性，在一個AP的覆蓋范圍內(nèi)，無線連接的帶寬是共享的，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。特別是對于用戶密集場合（如會議室、圖書館等），使用無線網(wǎng)絡(luò)的終端較多時，大量用戶對同一個信道資源的競爭會導(dǎo)致大量的沖突，從而使無線信道的效率下降，并最終導(dǎo)致無線網(wǎng)絡(luò)的吞吐量性能進(jìn)一步惡化。因此對于密

32、集用戶環(huán)境的無線網(wǎng)絡(luò)部署，必須采用負(fù)載均衡技術(shù)對信道資源的使用在用戶之間進(jìn)行合理的分配，才能使網(wǎng)絡(luò)整體性能得到優(yōu)化。ARUBA的無線系統(tǒng)是一個集中式的管理系統(tǒng)，通過無線控制器對所有的AP和用戶進(jìn)行統(tǒng)一協(xié)調(diào)和管理。通過對相鄰覆蓋區(qū)域內(nèi)每個無線信道的負(fù)載狀況進(jìn)行實時更新，無線控制器會按照負(fù)載均衡算法，指引無線終端連接到用戶數(shù)量相對較少的無線信道上，從而使每個信道中的無線用戶數(shù)量相對平均，使信道資源亦得到充份的利用，使無線用戶得到更加快速的吞吐量性能。無線終端的流量整形作為無線網(wǎng)絡(luò)體系的標(biāo)準(zhǔn)協(xié)議，802.11標(biāo)準(zhǔn)集今天仍然處于快速發(fā)展之中。作為對用戶投資進(jìn)行合理保護(hù)的舉措，無線網(wǎng)絡(luò)必須能夠支持混合模

33、式，使得各種無線終端（無論其網(wǎng)卡類型和支持的工作模式）都能夠公平地接入網(wǎng)絡(luò)。ARUBA的無線終端流量整形技術(shù)可以提供三種選擇：缺省模式：在缺省模式中，ARUBA無線控制器和AP關(guān)閉其無線流量整形功能，終端性能完全依賴其網(wǎng)卡對無線信道的競爭。值得注意的是，在這一模式下，如下圖所示，由于每個終端的網(wǎng)卡、操作系統(tǒng)的差異，不同終端得到的網(wǎng)絡(luò)性能可能是完全不同的。公平模式：在公平模式中，無論終端的性能和容量差異大小，每個終端在空中接口都將獲得相同的機(jī)會，從而得到公平的網(wǎng)絡(luò)吞吐量性能。這一模式特別適用于培訓(xùn)教室、考試中心等應(yīng)用環(huán)境，使得所有終端，無論是802.11a/b/g還是802.11n，均獲得近乎相

34、等的網(wǎng)絡(luò)資源。優(yōu)先模式：在優(yōu)先模式中，ARUBA無線控制器會根據(jù)其維護(hù)的終端性能列表，為各種速率的終端以加權(quán)方式動態(tài)分配信道資源，從而可以確保高性能的802.11n終端相對于802.11a/b/g終端能夠獲得更多的訪問信道資源的機(jī)會；同樣，802.11g終端相對于802.11b終端也能夠獲得更多的訪問信道資源的機(jī)會。B. 無線射頻分析由于無線傳輸采用開放性介質(zhì)，傳輸質(zhì)量容易受到外來干擾（如同頻Wi-Fi設(shè)備、藍(lán)牙通訊、無繩電話以及微波爐等）的影響，ARUBA無線接入點支持基于空中接口的頻譜分析功能，使網(wǎng)絡(luò)管理員能夠隨時獲得無線局域網(wǎng)工作頻段的各項頻譜分析數(shù)據(jù)和圖表，包括各信道的實時信號強(qiáng)度、各

35、信道的實時使用率、干擾信號的類型（Wi-Fi、藍(lán)牙、無繩電話、微波爐等）、干擾信號的實時信號強(qiáng)度、干擾信號的信道使用率等，非常有助于網(wǎng)絡(luò)管理員對無線網(wǎng)絡(luò)的日常維護(hù)、管理和故障分析，因此成為無線網(wǎng)絡(luò)管理中必不可少的射頻監(jiān)視和管理手段。與其它廠商不同，ARUBA所有的11n和11ac AP上都支持頻譜分析功能，不需要采用專用的軟、硬件設(shè)備（只需要在控制器上激活WIP功能）。另外，ARUBA采用了把頻譜分析數(shù)據(jù)和圖表的查閱功能無縫地集成在ARUBA控制器的WebUI中的實現(xiàn)方式，因此網(wǎng)絡(luò)管理員不需要在電腦上安裝任何頻譜分析軟件，只需要通過普通瀏覽器訪問無線控制器的WebUI就能對網(wǎng)絡(luò)中任何一處的頻譜

36、進(jìn)行分析了。ARUBA無線頻譜分析可以提供多達(dá)14種分析圖表，其中部分示例如下。第1屏圖表（包括實時信號強(qiáng)度、干擾利用率、設(shè)備-信道分布等）第2屏圖表（包括實時信道質(zhì)量、信道質(zhì)量變化趨勢、活動設(shè)備列表、信道信息匯總等）需要說明的是，ARUBA控制器頻譜分析功能提供的圖表內(nèi)容可以由管理員根據(jù)其使用習(xí)慣在下拉菜單中選擇和定制。(5) 無線安全設(shè)計對于無線網(wǎng)絡(luò)而言，由于其利用空中載波信道作為傳輸載體，其物理層與數(shù)據(jù)鏈路層工作原理與有線網(wǎng)絡(luò)有所不同，其所遵循的安全策略也與有線網(wǎng)絡(luò)截然不同。在景區(qū)級無線網(wǎng)絡(luò)的規(guī)劃中，由于信號的覆蓋將會帶來眾多的未知訪問者試圖進(jìn)行的訪問連接，無線網(wǎng)絡(luò)如何從中識別出合法的用

37、戶，避免非法用戶利用無線網(wǎng)絡(luò)的安全隱患入侵整個網(wǎng)絡(luò)，往往成為了無線網(wǎng)絡(luò)規(guī)劃者需要解決的難點。本此方案建議書中，我們將從多個層面來闡述ARUBA設(shè)備如何保護(hù)整個無線網(wǎng)絡(luò)安全。ARUBA也是多年來的全球黑客大會的無線贊助商。截至到去年大會，沒有一個黑客能突破ARUBA的無線安全網(wǎng)絡(luò)。A. 無線狀態(tài)化防火墻無線網(wǎng)絡(luò)系統(tǒng)由于其傳輸媒介所特有的開放特性，必須對每一個接入用戶進(jìn)行身份驗證以識別其身份合法性，然后再根據(jù)其身份對用戶的網(wǎng)絡(luò)接入策略進(jìn)行控制。在ARUBA無線網(wǎng)絡(luò)系統(tǒng)中，由于采用了集中化的用戶認(rèn)證、加密和訪問控制器機(jī)制，所有的用戶身份認(rèn)證都將通過ARUBA無線控制器來實現(xiàn)。ARUBA在無線控制器上

38、集成了經(jīng)過ICSA（國際計算機(jī)安全聯(lián)盟）認(rèn)證的用戶狀態(tài)防火墻，這個用戶狀態(tài)防火墻是以用戶，而不僅僅是 IP 地址為驗證方法的，從而可以基于每個無線網(wǎng)絡(luò)用戶的身份角色定制與其他用戶完全不同的安全策略、帶寬策略及QoS策略，實現(xiàn)完全以用戶為中心的、不依賴于網(wǎng)絡(luò)參數(shù)（如VLAN、IP地址等）的用戶安全策略管理。因此，即使用戶的IP地址等信息始終保持不變，ARUBA無線控制器也可以隨著無線用戶身份認(rèn)證的進(jìn)程，不斷更新用戶角色，并通過角色的變化賦予用戶不同的訪問策略。無線用戶在ARUBA無線控制器中的角色分配和更新可以通過以下幾種方式來實現(xiàn)：基于用戶終端特性的角色分配用戶角色依據(jù)終端特性（如終端類型、M

39、AC地址、加密方式、連接的ESSID等）來分配，這種方式需要在控制器內(nèi)部預(yù)先定義特定終端的相關(guān)特性，靈活性不足，通常只應(yīng)用于某些特定環(huán)境?；谡J(rèn)證用戶屬性的角色分配用戶角色依據(jù)Radius或LDAP認(rèn)證過程中從認(rèn)證服務(wù)器獲得的用戶相關(guān)屬性來分配，這種方式是目前應(yīng)用最為廣泛的認(rèn)證和授權(quán)方式?；谕獠糠?wù)接口的角色分配用戶角色通過無線控制器的外部服務(wù)接口（ESI），由獲得授權(quán)的服務(wù)器或者防病毒系統(tǒng)主動添加和修改。在這種模式下， ARUBA無線控制器提供一個開放的XML-API接口，授權(quán)的外部系統(tǒng)可以通過標(biāo)準(zhǔn)的XML語言對無線控制器內(nèi)部的無線用戶列表進(jìn)行添加、修改、刪除和黑名單等更新操作，具有非常好

40、的靈活性和開放性，但是需要在外部系統(tǒng)上進(jìn)行一定的二次開發(fā)。借助于ARUBA無線控制器強(qiáng)大的用戶認(rèn)證和策略控制技術(shù)，集團(tuán)無線網(wǎng)絡(luò)可以與各種認(rèn)證系統(tǒng)無縫整合，實現(xiàn)基于用戶身份的接入策略控制。在實施基于用戶角色的防火墻策略的同時，ARUBA無線控制器內(nèi)置的無線用戶防火墻還可以提供DoS攻擊防范的功能，能夠有效防范ARP欺騙、IP地址欺騙、ICMP攻擊、TCP SYN攻擊等各種網(wǎng)絡(luò)層攻擊行為。B. 無線網(wǎng)絡(luò)的安全保護(hù)和檢測由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接(防火墻一般很少會設(shè)置在每一個接入層的數(shù)據(jù)鏈路上)。并且網(wǎng)絡(luò)防火墻是不能防止無線終端之間的

41、通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點。有一些企業(yè)為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個DMZ內(nèi)，再通過網(wǎng)絡(luò)防火墻的過濾才讓無線數(shù)據(jù)進(jìn)入景區(qū)內(nèi)網(wǎng)。這種方式在具體實施時有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶/終端必需集中在同一VLAN上處理，否則的話很難把它們匯聚到一個DMZ內(nèi)。如果不是經(jīng)過DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點AP的無線用戶/終端和有線用戶(在同一接入點)完全分隔開而設(shè)置到DMZ上的同一個VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動。且未來如要增加多一些AP接入

42、點的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動。采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實現(xiàn)無線接入安全保護(hù)的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計來做內(nèi)部的安全保護(hù)，而是用來確保外來數(shù)據(jù)進(jìn)入景區(qū)內(nèi)網(wǎng)是安全可靠的，所以一般都會設(shè)置在景區(qū)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入景區(qū)內(nèi)網(wǎng)和景區(qū)內(nèi)部的無線接入的最大區(qū)別在于后者是可對用戶做認(rèn)證，但前者是不可能實現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和IP 原地址來制定，不管用戶是誰。這種模式在景區(qū)內(nèi)部署會對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實現(xiàn)。要做到實施和維護(hù)簡單方便，亦可根據(jù)用戶身份來制定

43、安全訪問策略，ARUBA的無線解決方案就可以徹底解決這些問題。C. 無線局域網(wǎng)的認(rèn)證和加密安全可以說是景區(qū)是否采用無線網(wǎng)的最主要考慮因素。網(wǎng)絡(luò)安全范圍是非常廣，從無線電波，無線鏈路層，以致網(wǎng)絡(luò)層和應(yīng)用層等，它們都是息息相關(guān)和相互影響。如果單純只考慮無線接入層的安全而把網(wǎng)絡(luò)層分開處理的話，就會把整個網(wǎng)絡(luò)的安全結(jié)構(gòu)打斷，不但在現(xiàn)有網(wǎng)絡(luò)上需重新設(shè)置以配合，令網(wǎng)絡(luò)維護(hù)變得更復(fù)雜和缺乏靈活性，且一不小心更會造成安全漏洞。ARUBA和其它廠家在認(rèn)證和加密上的最大區(qū)別在于ARUBA的解決方案都不是通過AP來實現(xiàn)的，而是在ARUBA交換機(jī)上實現(xiàn)。這種結(jié)構(gòu)稱為集中加密方式，不但比在AP上做加密更安全，且大大簡化

44、了用戶認(rèn)證設(shè)置和管理。而且在采用802.1x加密時候，能夠更快更好的做到用戶漫游切換。試想當(dāng)用戶透過加密方式進(jìn)入無線網(wǎng)絡(luò)后，一旦發(fā)生用戶在AP之間的漫游，傳統(tǒng)解決方案必須在AP之間通過控制器交換密鑰，這樣就造成了用戶漫游時間過長的問題。而由于ARUBA的解決方案所有的密鑰均存儲于ARUBA無線控制器中，因此在用戶在AP之間漫游，根本無需交換密鑰，從而加速了加密用戶的漫游速度。D. 檢測無線入侵和非法攔截定位通過ARUBA 交換機(jī)的中心化網(wǎng)管界面，景區(qū)網(wǎng)管中心便可查看到在網(wǎng)內(nèi)是否有非法AP。網(wǎng)管人員亦可開啟自動保護(hù)機(jī)制，阻止無線終端通過非法AP連接到傳輸網(wǎng)內(nèi)。這些非法的無線接入電會被周邊最接近的

45、ARUBA AP透過所發(fā)出的802.11 De-Auth包所切斷。802.11 De-Auth包會不停地發(fā)出直到在線的無線終端的無線連接被打斷為止。若要尋查非法AP的位置所在，只需在界面按“定位”這按鈕，非法AP的位置就會顯示在景區(qū)辦公室的圖紙上（用戶必須預(yù)先把無線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入ARUBA交換機(jī)內(nèi)的RF Planning 系統(tǒng)），網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到這AP。ARUBA的自動保護(hù)系統(tǒng)是市場上最卓越和最全面的無線網(wǎng)絡(luò)安全保護(hù)工具。要做到一個真正自動的保護(hù)機(jī)制就必須能正確識別所有在景區(qū)范圍內(nèi)檢測出來的AP身份。如果把隔壁公司所安裝和使用的AP視為非法AP的話，很容易就會把它們正常

46、的無線連接打斷，間接變成DOS攻擊其它景區(qū)的網(wǎng)絡(luò)。ARUBA 獨特的無線射頻特性是可跟蹤在無線網(wǎng)絡(luò)內(nèi)所有Wi-Fi終端的位置，如PDA, Wi-Fi手機(jī)，和筆記本等。當(dāng)安裝ARUBA無線系統(tǒng)的時候，網(wǎng)管人員可把部署的圖紙輸入到ARUBA無線控制器內(nèi)的RF Planning 系統(tǒng)，然后把AP安裝的物理位置輸入到圖紙上的座標(biāo)或具體的位置上。當(dāng)在這個系統(tǒng)環(huán)境中尋找?guī)в袩o線終端的景區(qū)顧客和員工等的所在位置時，例如非法用戶或Wi-Fi 手機(jī)，在交換機(jī)內(nèi)無線終端的記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按“定位”鈕，則網(wǎng)管界面會彈出在RF Planning上終端在圖紙中的物理位置。這種無線定位模式稱為三角定位，

47、它的準(zhǔn)確性可達(dá)到5米以內(nèi)，先決條件是所尋找的無線終端附近須有最小三個ARUBA的AP 在范圍內(nèi)。這是傳統(tǒng)無線網(wǎng)絡(luò)所不能做的。E. 多層次無線網(wǎng)絡(luò)安全體系在ARUBA無線系統(tǒng)中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計如下：ARUBA無線系統(tǒng)中可以設(shè)定用戶的角色（role），每個role可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。用戶狀態(tài)訪防火墻是ARUBA無線控制器的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的，它的保護(hù)只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。ARUBA的基于用戶狀態(tài)的防火墻則

48、是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會獲得一個預(yù)設(shè)的防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個用戶可以使用WEB的服務(wù)，而另一用戶則可用FTP。一般在防火墻策略設(shè)計中，可以將訪客的權(quán)限設(shè)置的較低，只能訪問有限的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以做時間段的限制。企業(yè)的領(lǐng)導(dǎo)具有較高的權(quán)限，可以訪問更多的景區(qū)資源，或者對某些特殊的來賓開放某些VIP賬號，分配給其較高權(quán)限的role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合的集團(tuán)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求。網(wǎng)絡(luò)的初級認(rèn)證通過統(tǒng)一身份認(rèn)證系統(tǒng)完成，然后根據(jù)在無線控制器中設(shè)置的策略，對每個用

49、戶進(jìn)行分別的策略管理?；?02.11無線網(wǎng)絡(luò)標(biāo)準(zhǔn)決定無線網(wǎng)絡(luò)是一個共享介質(zhì)、半雙工的網(wǎng)絡(luò)，因此為了提高用戶的服務(wù)水平，無線網(wǎng)絡(luò)的用戶帶寬保證尤為重要。啟動帶寬保證機(jī)制，如為每一個游客設(shè)定帶寬保證為1M，這樣如果某一用戶的流量出現(xiàn)異常時（計算機(jī)中毒或使用BT等工具）不會影響到其他用戶和整個網(wǎng)絡(luò)性能。用戶的Role（角色）：每一類用戶可以建立一個相關(guān)的Role，每個Role有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。用戶狀態(tài)防火墻：用戶通過認(rèn)證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設(shè)置他的訪問控制策略，比如可以訪問Interne

50、t,不能訪問圖書館的服務(wù)器，只能訪問WEB網(wǎng)頁和收發(fā)郵件，不能運行P2P的軟件等。帶寬控制：可以對每個用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。非法用戶隔離：ARUBA系統(tǒng)檢測到非法用戶或非法認(rèn)證請求超過門限后，自動將該用戶放入黑名單組中，該用戶將無法跟無線網(wǎng)絡(luò)作關(guān)聯(lián)。網(wǎng)管可以設(shè)定用戶進(jìn)入黑名單的時間長短以及門限閥值。ARP欺騙和IP spoofing攻擊防護(hù)：ARUBA內(nèi)置了機(jī)制可以防護(hù)各種ARPG和IP Spoofing攻擊，有效的阻隔由于個別用戶導(dǎo)致整個無線網(wǎng)絡(luò)癱瘓。認(rèn)證系統(tǒng)支持： ARUBA無線系統(tǒng)

51、支持多種認(rèn)證系統(tǒng)，諸如Radius、LDAP、微軟的AD（活動目錄）和在ARUBA無線控制器內(nèi)部的Internal DB等等。網(wǎng)絡(luò)病毒的防護(hù)：無線終端病毒防護(hù)的可以從無線終端的準(zhǔn)入檢查以及對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢測兩個層面來進(jìn)行的。準(zhǔn)入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設(shè)置安全策略是否準(zhǔn)予進(jìn)入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測上，ARUBA無線控制器上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端，ARUBA無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進(jìn)行防病毒的檢查，檢查完成后，才允許接入。對安全要求更高的用戶也可以采用VPN的模式，在加

52、密的基礎(chǔ)之上再加一層VPN網(wǎng)絡(luò)。ARUBA的控制器也支持IPSEC,PPTP,L2TP各種VPN模式，并能和各種主流的VPN客戶端互通。四、訪客上網(wǎng)服務(wù)1. 客戶需求分析(1) 接入認(rèn)證方式：微信、手機(jī)號碼、微博；微信認(rèn)證第三方認(rèn)證登錄的一種模式。開通后需要填寫微信原始ID、微信服務(wù)號，上傳二維碼圖片和微信圖片，填寫微信內(nèi)容、微信標(biāo)題和圖文超鏈接。流程：連接WIFI打開瀏覽器彈出如下界面點擊打開微信搜索公眾號或掃二維碼：關(guān)注成功：點擊我要上網(wǎng)：Online文字描述：微信認(rèn)證流程： 開發(fā)者模式：下面用風(fēng)鈴網(wǎng)這個第三方平臺進(jìn)行舉例： 風(fēng)鈴網(wǎng)關(guān)聯(lián)微信公眾平臺發(fā)布菜單效果（可不關(guān)聯(lián)） 微信公眾平臺對接

53、我們的服務(wù)器 當(dāng)用戶關(guān)注商家微信公眾平臺點擊菜單上“我要上網(wǎng)”或發(fā)送字符串獲取密碼認(rèn)證那么此時就會發(fā)送驗證到我們的服務(wù)器進(jìn)行驗證 認(rèn)證通過實現(xiàn)上網(wǎng) 優(yōu)點：頁面框架美觀，可以對于每個用戶生成的賬號進(jìn)行策略。 缺點：風(fēng)鈴網(wǎng)（以及其他第三方平臺）需要付費。 編輯者模式 編輯微信自定義菜單 微信公眾平臺對接我們的服務(wù)器 當(dāng)用戶關(guān)注商家微信公眾平臺 點擊菜單上“我要上網(wǎng)”字符串或按鈕那么此時就會發(fā)送用戶名密碼到我們的服務(wù)器進(jìn)行驗證 認(rèn)證通過 優(yōu)點：編輯簡單，框架簡單。缺點：所有用戶用同一賬號認(rèn)證，統(tǒng)一策略無法細(xì)化。短信認(rèn)證當(dāng)用戶手機(jī)連接上公司的SSID 彈出portal頁面 輸入手機(jī)號碼 點擊獲取密碼

54、由商企WIFI管理平臺發(fā)給送短信密碼用戶 用戶在網(wǎng)頁中輸入接收到的短信密碼 點擊認(rèn)證 認(rèn)證成功微博認(rèn)證1、在新浪公眾平臺上注冊開發(fā)者帳號（/）2、以開發(fā)者帳號申請網(wǎng)站接入，此流程看新浪幫助，需要注意的是，必須有一個網(wǎng)站和域名，網(wǎng)站上有新浪認(rèn)證的LOGO等，申請網(wǎng)站后就有一個APPKEY和密碼 在模板中輸入申請下來的微博APPKey,微博AppSecret，回調(diào)URI,請注意：比如申請的網(wǎng)站是，需要添加一個二級域名：，此域名是指向PORTAL服務(wù)器的公網(wǎng)地址，因此回調(diào)的URI： HYPERLINK /wbwifi.do /wbwifi.do（2） 數(shù)據(jù)庫管理、新老客戶辨識、流動軌跡；數(shù)據(jù)管理豐川

55、WIFI管理系統(tǒng)中可根據(jù)以下功能對數(shù)據(jù)進(jìn)行分析管理：數(shù)據(jù)日統(tǒng)計、公司PV統(tǒng)計、商家PV統(tǒng)計、操作系統(tǒng)統(tǒng)計、瀏覽器統(tǒng)計、終端設(shè)備統(tǒng)計、運營商分布統(tǒng)計。和系統(tǒng)運維模塊中的數(shù)據(jù)維護(hù)策略以及用戶數(shù)據(jù)中的用戶添加、刪除、查詢等功能進(jìn)行管理。 新老客戶辨識舉例：如老客戶定義為已經(jīng)在服務(wù)器開過戶的用戶，則可以認(rèn)為用戶獲取過密碼?？梢蚤_啟無感知認(rèn)證，第一次認(rèn)證的用戶需要認(rèn)證，往后認(rèn)為是老客戶則不用認(rèn)證。2. 技術(shù)方案(1) AC工作流程（圖）認(rèn)證流程說明：AP采用本地轉(zhuǎn)發(fā)的模式，AC直接在總部放置。Ap在內(nèi)網(wǎng)里面直接三層注冊到總部的AC，可以通過NAT 端口方式，將AC的端口映射到公網(wǎng)供AP尋找。AC下發(fā)相應(yīng)

56、的配置如SSID、信道分配、二層橋接模式等基礎(chǔ)配置用戶無線連接AP，由上網(wǎng)行為審計分配IP。上網(wǎng)行為審計重定向HTTP流到總部AAA/Portal服務(wù)器。用Portal頁面輸入賬號密碼登錄、微信一鍵登錄、短信獲取密碼登錄、或者酒店APP登錄。(2) Portal認(rèn)證流程（圖）：認(rèn)證流程說明客戶無線終端設(shè)備搜索無線網(wǎng)，連接酒店無線接入點。審計自動給客戶終端分配IP地址和網(wǎng)關(guān)。用戶雖然獲得地址，但是由于沒有認(rèn)證成功是不能直接使用網(wǎng)絡(luò)服務(wù)的。Portal頁面自動彈出，審計攜帶相關(guān)信息向WEB Portal系統(tǒng)請求認(rèn)證頁面，認(rèn)證頁面內(nèi)容可為酒店公告等信息，以及客戶輸入賬號、密碼；客戶輸入賬號、密碼信息

57、后，審計判定用戶名和密碼、允許客戶登錄?？蛻粼跊]有認(rèn)證成功前，僅允許與上網(wǎng)行為審計交互，也就是認(rèn)證數(shù)據(jù)報文和計費數(shù)據(jù)報文交互。認(rèn)證失敗后，系統(tǒng)會自動提醒客戶認(rèn)證失敗，返回認(rèn)證頁面，要求客戶認(rèn)證?？蛻粽J(rèn)證成功后，正常使用業(yè)務(wù)，數(shù)據(jù)流直接經(jīng)過行為審計上Internet。當(dāng)客戶下線時，點擊下線按鈕，發(fā)送下線請求報文， 上網(wǎng)行為審計確認(rèn)客戶下線。(3) 微信、會員系統(tǒng)對接登錄流程流程對接說明：用戶通過WIFI連接。用戶打開微信，用二維碼或者公眾賬號，關(guān)注微信公眾號用戶發(fā)送wifi或者其他信息，來申請上網(wǎng)權(quán)限。微信第三方平臺收到用戶的信息請求，根據(jù)用戶的類型需要返回不同的認(rèn)證鏈接。比如酒店的用戶分為訪客

58、組、普通客戶和VIP客戶。這三類客戶的免費上網(wǎng)時長都是不同的。具體有以下區(qū)別：訪客：每天只能上網(wǎng)2個小時普通客戶：每天只能上網(wǎng)7個小時VIP客戶：每天無時長限制注：微信第三方平臺首先和酒店的系統(tǒng)對接，獲取該微信用戶組的屬性，賬號、密碼，然后返回給微信客戶端。根據(jù)以上用戶類別的需求，認(rèn)證計費系統(tǒng)劃分3個用戶組，分別為訪客組、住院用戶組和VIP用戶組。也就是說，調(diào)用認(rèn)證接口時，至少需要三種參數(shù)，用戶賬號、用戶密碼和用戶的所屬用戶組。因此，微信返回認(rèn)證信息需要特殊處理。返回鏈接信息或者圖文信息，鏈接地址由以下參數(shù)組成：任意一個請求到公網(wǎng)的地址，比如。后臺認(rèn)證需要用到的參數(shù)，比如用戶賬號userId,

59、用戶密碼passwd和用戶所屬組gourpId，參數(shù)之間以下劃線分開。 例如：?portalCode=userId_passwd_groupId4、用戶點擊返回的認(rèn)證鏈接進(jìn)行公網(wǎng)請求的時候，bras會進(jìn)行重定向到設(shè)置好的指定地址，并傳一個url參數(shù)。比如，用戶請求?portalCode123456_2，bras之前設(shè)置好的重定向地址為/loginPortal.asp。那么最終上網(wǎng)行為送到后臺的請求為/loginPortal.asp?wlanacip=&wlanacname=cx&mac=B0:25:AA:02:DE:80&wlanuserip=2&url=?porta

60、lCode123456_2。后臺程序獲取url參數(shù)即是認(rèn)證所需參數(shù)。然后第三方開發(fā)獲取到以上參數(shù)，調(diào)用webservice相關(guān)接口進(jìn)行認(rèn)證。注：第三方開發(fā)指的自建的WEB服務(wù)器 售前資料 STYLEREF Document Title * MERGEFORMAT Error! No text of specified style in document.(4) 第二次認(rèn)證免登陸上網(wǎng)（MAC地址無感認(rèn)證）第二次免認(rèn)證上網(wǎng)就是在第一次上網(wǎng)的過程中將用戶手機(jī)的MAC地址傳遞到后臺去，當(dāng)?shù)诙紊暇W(wǎng)的時候，首先判斷用戶傳遞到后臺的MAC地址，反向查找該用戶的賬號，實現(xiàn)第二次免認(rèn)