酒店無線網(wǎng)絡(luò)覆蓋解決方案

PAGE22XXXXX酒店無線覆蓋解決方案武漢楚利科技有限公司目錄一.XXXX酒店新一代無線局域網(wǎng)系統(tǒng)的建設(shè)需求 31.1項目背景 31.2XXXX酒店無線覆蓋規(guī)劃 3二.新一代無線局域網(wǎng)設(shè)計原則和技術(shù)需求 32.1遵循標準 32.2技術(shù)成熟 42.3安全可靠 42.4可擴展可升級 42.5易管理易維護 5三.Aruba無線交換局域網(wǎng)系統(tǒng)的技術(shù)特點 53.1Aruba無線局域網(wǎng)的系統(tǒng)架構(gòu) 63.1.1先進的無線局域交換機 63.1.2靈活的組網(wǎng)方式 63.1.3優(yōu)秀的擴展性 73.1.4無需更改有線網(wǎng)結(jié)構(gòu) 73.1.5IPv6與IPv4的無縫支持 73.2Aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理 83.2.1集中式管理 83.2.2無需安裝客戶端軟件 83.2.3RF智能控管 93.2.4多個SSID結(jié)構(gòu) 103.2.5故障自動恢復(fù) 113.2.6網(wǎng)絡(luò)負載均衡 113.2.7AP的兩種工作模式 123.2.8無線終端定位 123.3Aruba無線局域網(wǎng)系統(tǒng)的安全管理 133.3.1集中的安全管理 133.3.2多種用戶認證方式 133.3.3獨特的無線訪問控制 133.3.4安全的AP技術(shù) 143.3.5無線接入點安全偵測和保護 143.3.6無線網(wǎng)絡(luò)入侵偵測 143.3.7無線接入的病毒防護 153.4強大方便的網(wǎng)管平臺 153.4.1SNMPTrap 153.4.2Event/Report 163.4.3NetworkReportSystem 16四.XXXX酒店無線局域網(wǎng)系統(tǒng)設(shè)計和實施方案 164.1整體系統(tǒng)架構(gòu)設(shè)計 164.2無線AP布放統(tǒng)計 174.3Wi-Fi手機 174.4無線網(wǎng)絡(luò)安全管理措施 184.5用戶認證方法 184.6ARUBA兼容性 194.7無線計費設(shè)計 194.8方案特點 19五.設(shè)備配置清單 20一.XXXX酒店新一代無線局域網(wǎng)系統(tǒng)的建設(shè)需求1.1項目背景此次無線局域系統(tǒng)的目的是針對XXXX酒店室內(nèi)和室外部分做新一代的無線局域網(wǎng)覆蓋。1.2XXXX酒店無線覆蓋規(guī)劃背景：對XXXX酒店進行無線網(wǎng)絡(luò)建設(shè)。本次無線設(shè)計覆蓋范圍為XXXX酒店A1-A15客房樓，B1-B13客房樓，C1,C2客房樓，E1,E2,E3客房樓，F(xiàn)1,F2,F3客房樓，G1，G2客房樓，公共A區(qū)，公共B區(qū)，會議室，康體中心及室外部分。需求：整個無線局域網(wǎng)平臺在酒店的大堂、客房和走廊以及樓梯間均需要做無線信號的覆蓋，該無線方案解決了酒店語音、數(shù)據(jù)、無線點菜等應(yīng)用。系統(tǒng)能夠進行統(tǒng)一的中央控管，能夠支持多種安全策略和認證方式，還能夠方便地進行擴容。同時要求實現(xiàn)ArubaRF控管、定位以及RogueAP的監(jiān)測和防護。并能夠可以與有線網(wǎng)無縫融合。無線局域網(wǎng)平臺能夠覆蓋在XXXX的每一寸土地，保證入住的客戶在整個酒店范圍內(nèi)都可以做到無縫漫游，無須任何過多的配置，并且可以以WPA2的加密方式保證客戶的私人信息絕對不會外泄。無線網(wǎng)絡(luò)可以根據(jù)用戶名與密碼分配網(wǎng)絡(luò)帶寬，保證客戶的無線網(wǎng)絡(luò)接入速度，為客戶帶來最好的無線網(wǎng)絡(luò)體驗。無線局域網(wǎng)方案將根據(jù)以上信息制定。二.新一代無線局域網(wǎng)設(shè)計原則和技術(shù)需求2.1遵循標準無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標準或業(yè)界標準，不使用某個廠商的專用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護。根據(jù)XXXX酒店的需求和無線網(wǎng)建設(shè)與設(shè)計原則，ArubaNetworks公司的第三代無線交換局域網(wǎng)系統(tǒng)（以下簡稱Aruba無線系統(tǒng)），可以很好的完成無線局域網(wǎng)的需求。2.2技術(shù)成熟第一代無線局域網(wǎng)主要是采用胖AP架構(gòu)，每臺AP都是一個獨立的個體，AP與AP之間不會進行任何溝通，需要逐個進行配置和管理，費時、費力、維護成本高，安全低，融合性差；第二代無線局域網(wǎng)融入了認證網(wǎng)關(guān)設(shè)備，但仍然不能集中對AP進行管理和配置，只是對認證管理方面有所提高而已?，F(xiàn)今大型無線網(wǎng)絡(luò)要求其與傳統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求管理性和安全性都必須有一個質(zhì)的提高，而第一代和第二代無線技術(shù)必定不能滿足，因此，在這樣的環(huán)境下，基于無線交換機集中式管理的第三代無線架構(gòu)延生了。第三代無線局域網(wǎng)架構(gòu)采用無線交換機＋瘦AP的結(jié)構(gòu)，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高，使建設(shè)大型無線網(wǎng)絡(luò)成為可能。2.3安全可靠在網(wǎng)絡(luò)安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護措施，無線網(wǎng)的安全性主要從以下幾個方面考慮：（1）接入認證：具有支持多種用戶認證方式；（2）采用具有用戶狀態(tài)訪問控制的防火墻技術(shù)；（3）具有數(shù)據(jù)在無線信道上傳輸?shù)腣PN機制；（4）具有無線網(wǎng)的防病毒機制；（5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能；（6）具有提供智能化的無線電波自動調(diào)控與切換能力，以確保單個AP接入點在發(fā)生故障時自動切換到鄰近AP，不會影響無線的接入服務(wù)；（7）具有支持熱備份的無線交換機N+1的冗余備份機制。2.4可擴展可升級通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的AP功能的配置和管理，AP既可以提供無線接入，也可設(shè)置為無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的無線監(jiān)控工作模式。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功能和管理的模式保持不便。2.5易管理易維護在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動恢復(fù)、負載均衡等實用功能，使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動態(tài)地保證良好的應(yīng)用效果。同時，還應(yīng)具有遠端AP數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能，支持多SSID，可以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進行分開管理。三.Aruba無線交換局域網(wǎng)系統(tǒng)的技術(shù)特點第一代無線局域網(wǎng)技術(shù)采用單純的AP實現(xiàn)無線接入，基本上沒有其它功能。第二代無線局域網(wǎng)技術(shù)（以正誠、昂科、Bluesocket等為代表），采用AC＋智能AP構(gòu)架，兩者實質(zhì)均為二層設(shè)備，AP實現(xiàn)接入、AC實現(xiàn)匯聚和認證功能，有的廠商的AC實現(xiàn)了二層網(wǎng)絡(luò)交換，具有基本的網(wǎng)絡(luò)的控制和用戶的管理，如：WEB認證、流量的控制、訪問的控制等；支持VLAN、VPN、WPA等基本的安全管理，但它們無法實現(xiàn)對無線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量(IPsessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)（以Aruba和Cisco為代表），實現(xiàn)了基于無線網(wǎng)絡(luò)交換機，以AP為單元交換的無線網(wǎng)絡(luò)系統(tǒng)；Aruba是采用獨立的無線網(wǎng)絡(luò)交換機實現(xiàn)的。作為第三代的Aruba無線系統(tǒng)采用了WirelessSwitch＋AP構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及QoS保證。Aruba無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全和對音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。1、在無線網(wǎng)絡(luò)融合到現(xiàn)有有線網(wǎng)絡(luò)方面，Aruba無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有有線網(wǎng)絡(luò)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。2、在無線網(wǎng)絡(luò)管理方面，Aruba無線系統(tǒng)實現(xiàn)真正的集中控管，包括獨有的RF智能調(diào)控，AP自動恢復(fù)、負載均衡功能，使無線網(wǎng)絡(luò)可以自適應(yīng)無線環(huán)境中的電磁波變化，動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果；還可以實現(xiàn)遠端AP狀態(tài)監(jiān)測，方便實現(xiàn)對AP的管理；并具有多SSID標識支持，實現(xiàn)了對無線數(shù)據(jù)、語音和視頻應(yīng)用的分級帶寬管理。3、在無線安全性方面，Aruba無線系統(tǒng)同樣具備多種用戶認證方式、并提供基于用戶的狀態(tài)防火墻、VPN加密、無線入侵偵測、無線接入病毒防護功能以及集中的安全管理。4、在無線音視頻應(yīng)用方面，Aruba獨有的基于每個用戶的帶寬控制和QOS保證，可以確保語音和視頻業(yè)務(wù)的實時性，先進的無縫三層移動漫游，使得VoIP以及Wi-Fi手機可以自由的在任意AP間切換，其具有目前業(yè)界最低的時延與最好的通話效果。3.1Aruba無線局域網(wǎng)的系統(tǒng)架構(gòu)3.1.1先進的無線局域交換機領(lǐng)導(dǎo)第三代的無線網(wǎng)絡(luò)技術(shù)的Aruba無線系統(tǒng)采用了WirelessSwitch＋瘦AP構(gòu)架，將第二代分散在AP+AC上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的WLAN交換機中實現(xiàn)，同時增加了許多無線局域網(wǎng)中全新的功能。諸如：無線安全性、AP管理控制、RF站址監(jiān)測、無縫移動漫游，特別是對語音、視頻業(yè)務(wù)的支持有專門的QoS保證，使得VoWLAN應(yīng)用的Wi-Fi技術(shù)應(yīng)用飛速發(fā)展。3.1.2靈活的組網(wǎng)方式Aruba的產(chǎn)品可以完全滿足從小型的無線網(wǎng)規(guī)模（幾個AP），到大型無線網(wǎng)規(guī)模（幾百個AP，甚至上萬個AP）的需求，并可以采用集中或分布式的組網(wǎng)方式進行靈活的組網(wǎng)。并提供冗余熱備份機制，保證整個系統(tǒng)的高可用性。3.1.3優(yōu)秀的擴展性在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。Aruba的產(chǎn)品具有非常方便擴展的特性，Aruba的一臺6000型交換機可靈活地對從48個AP到128個AP擴充到支持512個AP，因此擴展AP，實現(xiàn)無線網(wǎng)絡(luò)覆蓋的擴大是非常的容易；從網(wǎng)絡(luò)管理擴展性方面,Aruba所具有的Master/Local方式，其一臺Master交換機可以同時控制管理28臺的Local交換機，因此增加交換機也非常容易管理。除了AP數(shù)量之外，怎樣控管大量的AP和部署也是擴展性的重要考慮因素。要妥善處理數(shù)目眾多的AP在網(wǎng)內(nèi)正常遠作，包括無線電波協(xié)調(diào)、無線用戶的帶寬和安全訪問控管以及其它各種各樣的無線增值服務(wù)都可以通過Aruba的網(wǎng)管系統(tǒng)集中實現(xiàn)。3.1.4無需更改有線網(wǎng)結(jié)構(gòu)Aruba無線系統(tǒng)是無需更改現(xiàn)有有線網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的。由于無線用戶的傳輸是通過ArubaAP內(nèi)已建立的GRE隧道和Aruba交換機互連的，所以實際上無線用戶的VLAN是無須在接入層和匯聚層存在。無線用戶的VLAN是可透過Aruba交換機和骨干交換機互連互通。這樣非常方便在園區(qū)里實施無線局域網(wǎng)，同時也非常方便進行擴展。Aruba的無線交換機可以安裝在中心機房，而AP則可以放置于園區(qū)的任何地方，無需用專用的二層設(shè)備連到無線交換機，或者劃分VLAN；其他廠家則需要二層交換機連接或者劃分VLAN，否則只能將認證點下放到AP上，導(dǎo)致整體性能的降低和漫游特性的缺失。我們這樣的設(shè)計，對于無線網(wǎng)絡(luò)的管理帶來極大的便利性。同樣我們對原有的有線網(wǎng)路由器不需要改變?nèi)魏温酚山Y(jié)構(gòu)，減輕了由于無線網(wǎng)的建設(shè)而對原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。3.1.5IPv6與IPv4的無縫支持 隨著信息技術(shù)的深入，運行IPv6協(xié)議的實驗網(wǎng)絡(luò)已經(jīng)建立，IPv6最終取代IPv4是大勢所趨，幾乎無限的地址容量是IPv6發(fā)展最直接的理由。在使用Aruba設(shè)備架設(shè)的無線網(wǎng)絡(luò)上，即可以像傳統(tǒng)有線網(wǎng)絡(luò)中那樣使用IPv6隧道服務(wù)器來支持v6/v4雙棧設(shè)備的接入，也可以利用Aruba解決方案的“層疊網(wǎng)絡(luò)”特點，直接二層進行IPv6報文透傳，使得無線IPv6設(shè)備可以接入到網(wǎng)絡(luò)上。同時，Aruba將在2008年將會直接支持IPv6，包括使用IPv6地址管理網(wǎng)絡(luò)設(shè)備，以及管理IPv6流量等。3.2Aruba無線局域網(wǎng)的網(wǎng)絡(luò)管理3.2.1集中式管理網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個AP以上）是一件非常頭痛的事情。從RF覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于AP，因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個AP上進行設(shè)置和更改。其工作量在有一定數(shù)量AP的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)，AP之間必須互相協(xié)調(diào)工作，單獨改變一個AP參數(shù)和配置會引起AP之間的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。Aruba公司推出強大的具有集中式管理的瘦AP＋無線交換機架構(gòu)，該無線架構(gòu)具有簡單而強大的無線局域網(wǎng)集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是從無線交換機上獲取的，通過無線交換機MasterSwitch和LocalSwitch管理模式就可以統(tǒng)一管理整個無線網(wǎng)絡(luò)及的所有的ArubaAP。網(wǎng)管人員只需在無線交換機就可開通、管理、維護所有AP設(shè)備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。無論多么龐大的無線網(wǎng)絡(luò)，Aruba的先進架構(gòu)都可以讓管理者在瞬間內(nèi)完成所有AP的修改和自動協(xié)調(diào)動作。例如，共部署了300個分布在各科室與各樓層的無線AP，出于安全性的需要，每三個月修改一次WEP加密密鑰，如果用傳統(tǒng)方法，只能逐一對每個AP進行修改，估計需時幾天，而用Aruba的集中式統(tǒng)一管理架構(gòu)，只需幾秒鐘就完成了，效率是從前的幾百倍。再者，對于超大型無線網(wǎng)絡(luò)（幾千個AP數(shù)量級以上的網(wǎng)絡(luò)），如果沒有集中式的統(tǒng)一配置管理，是無法想象的。3.2.2無需安裝客戶端軟件Aruba無線系統(tǒng)無需為每一個移動用戶終端安裝無線接入軟件，Aruba的認證可以基于WEB頁面認證，認證只需用戶打開瀏覽器就可以登陸。Aruba無線系統(tǒng)采用GRE隧道技術(shù)，可以透明地穿透在無線交換機和AP之間的任何三層網(wǎng)絡(luò)交換設(shè)備實現(xiàn)WEB認證，而其他的廠家在這種網(wǎng)絡(luò)環(huán)境下，必須要為客戶端裝上基于標準的L2TP或IPSEC或802.1客戶端軟件才能實現(xiàn)WEB頁面認證。3.2.3RF智能控管傳統(tǒng)無線局域網(wǎng)射頻管理是依靠工程師手動配置的，這種固定式，靜態(tài)的管理手段并不靈活，有很大缺陷，尤其不能適應(yīng)大規(guī)模的無線網(wǎng)部署及動態(tài)復(fù)雜多變的無線環(huán)境。因此，我們需要更智能化的動態(tài)射頻管理。Aruba的無線架構(gòu)是基于無線交換機的集中式統(tǒng)一管理系統(tǒng)，而無線交換機正好是全局AP的中心和溝通橋梁。AP與AP之間的射頻信息通過無線交換機匯總后，通過RF智能控管，便可以很方便地自動調(diào)節(jié)線上所有ArubaAP的電波特性，而無需逐一設(shè)置，這是傳統(tǒng)AP方式無法做到的。1、Aruba無線系統(tǒng)的RF智能控管可以自動調(diào)節(jié)網(wǎng)上所有ArubaAP的電波特性。初次安裝無線局域網(wǎng)時，用戶可通過RFPlanning的AutoCalibration功能來自動調(diào)節(jié)整個無線網(wǎng)上所有AP的無線電波頻率和功率。啟動了AutoCalibration以后AP和AP之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，然后計算得出最佳的通訊頻率和發(fā)射功率，直到AP之間達到了一個最優(yōu)化的無線電波運行環(huán)境。而且，這種射頻優(yōu)化過程是動態(tài)的，持續(xù)的，對于用戶復(fù)雜而多變的室內(nèi)環(huán)境，經(jīng)常會受到各類無線電波的干擾，擁有動態(tài)的射頻管理是很必要的。2、Aruba無線系統(tǒng)的RF智能控管可以自動對網(wǎng)上所有ArubaAP的無線電波進行管理。當(dāng)無線局域網(wǎng)經(jīng)過自動校準的調(diào)整后而正式投入網(wǎng)絡(luò)運作時，網(wǎng)絡(luò)管理員可在Aruba交換機內(nèi)啟動ARM這功能，無線網(wǎng)上所有的ArubaAP都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指ArubaAP從一個電波頻道跳到另一頻道時，如Ch1到Ch2到Ch3，由于掃描的速度非?？?，所以對于在線的無線用戶（指連接到AP上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當(dāng)AP停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回Aruba無線交換機。Aruba無線交換機可以對整個無線網(wǎng)絡(luò)上的電波情況進行偵測和記錄。當(dāng)某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾AP所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等，Aruba無線交換機就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi)AP的無線電波。3.2.4多個SSID結(jié)構(gòu)Aruba無線系統(tǒng)的多SSID結(jié)構(gòu)和和實現(xiàn)技術(shù)使得在Aruba無線局域網(wǎng)系統(tǒng)的各種多媒體應(yīng)用服務(wù)（數(shù)據(jù)、語音和視頻）在QoS上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個SSID，例如一個SSID可給領(lǐng)導(dǎo)以及工作人員所用，而另一個可給外來的訪問客戶專用。所以當(dāng)無線終端在這個AP覆蓋范圍內(nèi)啟動時，它就能同時看到多個SSID。SSID的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。Aruba無線系統(tǒng)在一個語音SSID內(nèi)可把SIP和H.323等無線語音數(shù)據(jù)以優(yōu)先級隊列處理。在一個視頻SSID內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級隊列處理。同時在一個預(yù)設(shè)定的視頻SSID內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這SSID；在一個預(yù)設(shè)定語音SSID內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語音傳輸協(xié)議通過，以確保其它數(shù)據(jù)不能進入這SSID；這樣就可在多SSID的情況下確保語音和視頻的QoS支持。3.2.5故障自動恢復(fù)傳統(tǒng)的無線網(wǎng)絡(luò)在有AP損壞或失效時，這個AP的覆蓋范圍就會失去了無線連接。遇到這種情況的一般做法就是把現(xiàn)場失效的AP換掉。但由于大多數(shù)的AP都是設(shè)置在外面(不是在機房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，維護人員不一定很容易即時做出更換(很多的AP都是安裝在天花板上)。而Aruba無線系統(tǒng)具有自動恢復(fù)的功能，實時偵測出網(wǎng)上AP是否有失效，當(dāng)發(fā)覺有AP出現(xiàn)故障時，Aruba交換機能會自動調(diào)節(jié)鄰近的AP的功率（覆蓋范圍）來接替失效AP的工作。3.2.6網(wǎng)絡(luò)負載均衡Aruba無線系統(tǒng)可在一個AP的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的AP上。在一個AP的覆蓋范圍內(nèi)，無線連接的帶寬是共享的，即無線終端數(shù)目越多，每個終端所能分享的帶寬就越小。要確保每個無線終端的傳輸就必須要限制一個AP上無線終端的數(shù)量或AP帶寬傳輸總和或每個無線終端的帶寬上限。Aruba無線系統(tǒng)可在應(yīng)用層面通過4－7層交換模塊來實現(xiàn)服務(wù)器的負載均衡，VPN設(shè)備，防火墻設(shè)備等等一系列基于TCP/IP協(xié)議的負載均衡功能來保證整體網(wǎng)絡(luò)的可靠性。在語音與視頻的應(yīng)用中，負載均衡功能可以有效的緩解單個AP的負擔(dān)，有效的利用臨近的AP做接入，從而確保應(yīng)用的質(zhì)量得到保證。3.2.7AP的兩種工作模式Aruba的AP設(shè)備創(chuàng)新的提供兩種工作模式1：AP－無線接入工作模式；具有無線電波接入能力，能提供無線信號的接受與發(fā)送，射頻管理等功能。2：AM－無線監(jiān)控工作模式；具有無線電波監(jiān)控能力，能提供無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析等功能。這兩種模式的AP都通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的AP功能的配置和管理。3.2.8無線終端定位Aruba的網(wǎng)管系統(tǒng)同樣可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、PDA和Wi-Fi手機等。Aruba采用的無線定位模式稱為三角定位，無線定位的準確性可達到2.5米以內(nèi)，無線定位的條件是所尋找的無線終端附近須有最少三個Aruba的AM在范圍內(nèi)。這種功能是傳統(tǒng)無線局域網(wǎng)所不能達到的；有些單位如醫(yī)院就是采用了無線定位技術(shù)來取代傳呼機在醫(yī)院內(nèi)尋找醫(yī)生、病人等。管理人員對非法AP的定位，可以為網(wǎng)絡(luò)中心的管理人員清楚的提供非法AP的位置，通過這種有效手段，可以方便快捷的清除非法AP的網(wǎng)絡(luò)接入，保證無線網(wǎng)絡(luò)接入的安全可靠性。3.3Aruba無線局域網(wǎng)系統(tǒng)的安全管理3.3.1集中的安全管理Aruba無線系統(tǒng)的安全管理是將防火墻、VPN、安全認證、防病毒、無線入侵監(jiān)測以及RF電磁波管理等多項安全功能匯聚到Aruba無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（AP、AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。3.3.2多種用戶認證方式在Aruba無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過系統(tǒng)認證以后才可以接入無線網(wǎng)。Aruba無線系統(tǒng)目前支持各種用戶認證的方式（802.1、WEB認證、MAC、SSID、VPN等），園區(qū)網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。3.3.3獨特的無線訪問控制用戶狀態(tài)防火墻是Aruba無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護只是基于IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。Aruba無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當(dāng)無線用戶成功通過認證后，他會獲得一個預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如領(lǐng)導(dǎo)和工作人員可以使用更多的服務(wù)，而訪客只可以瀏覽網(wǎng)頁、收發(fā)Email等，這樣可以極大方便園區(qū)網(wǎng)用戶的安全管理。3.3.4安全的AP技術(shù)Aruba無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過AP，而是在Aruba無線交換機上實現(xiàn)。由于Aruba的AP是不儲存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此Aruba管理的AP是不能單獨工作的，因此獲得和私自接入進ArubaAP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和安全配置參數(shù)。3.3.5無線接入點安全偵測和保護采用Aruba無線系統(tǒng)的RF偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯誤的AP以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的流氓AP。通過Aruba的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。3.3.6無線網(wǎng)絡(luò)入侵偵測今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對運營商的無線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當(dāng)受到像無線DOS攻擊時，就會誤以為是無線電波的信號受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。Aruba無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當(dāng)Aruba無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應(yīng)。3.3.7無線接入的病毒防護Aruba無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控。無線終端病毒防護的第一步是準入檢查，當(dāng)無線終端連接到Aruba無線系統(tǒng)中，當(dāng)試圖訪問網(wǎng)絡(luò)，在用戶認證之前，需要下載一個基于JAVA的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。當(dāng)無線終端通過了準入檢查，但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。Aruba公司和第三方的防病毒墻廠家合作，在Aruba無線交換機上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)，Aruba交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄?；谏鲜鰞蓚€層面，Aruba無線局域網(wǎng)系統(tǒng)可對無線終端進行有效和方便的病毒防護。3.4強大方便的網(wǎng)管平臺3.4.1SNMPTrapAruba無線交換機與AP支持標準的SNMPv1、v2、v33個版本。Aruba系統(tǒng)支持對交換機系統(tǒng)的Trap，也支持對AP的Trap。交換機SNMPTrap的信息非常豐富，包括：交換機ip地址改變，角色改變，認證服務(wù)的各種情況，設(shè)備電源，風(fēng)扇運行情況等等。AP支持Trap信息也非常多，例如：不安全站點檢測，SSID錯誤配置等。網(wǎng)管服務(wù)器通過實時接受Aruba網(wǎng)絡(luò)系統(tǒng)的SNMPTrap信息，網(wǎng)管人員透過這些信息可以實時的對網(wǎng)絡(luò)進行檢測，管理。3.4.2Event/ReportAruba系統(tǒng)有很詳細的觸發(fā)事件報表系統(tǒng)，管理者通過查看報告，可以幫助管理者了解網(wǎng)絡(luò)發(fā)生了什么事情，例如：有Dos攻擊，有黑客攻擊等，管理者可以通過這些信息做出判斷，是否網(wǎng)絡(luò)出了什么問題，從而采取必要的手段去處理。3.4.3NetworkReportSystemAruba可以提供一套網(wǎng)絡(luò)報告系統(tǒng)，系統(tǒng)簡稱NRS，它是一套中文化網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)分析統(tǒng)計報表管理軟件，它提供設(shè)備狀態(tài)監(jiān)控、流量及攻擊事件等警示服務(wù)，可同時支持多臺裝置日志接收分析，并提供中文化的圖形化分析報告，以利于網(wǎng)管人員確實掌握公司的網(wǎng)絡(luò)使用情形及網(wǎng)絡(luò)安全狀況。NRS在不需安裝任何程序之下，即可以透過瀏覽器直接了解目前網(wǎng)絡(luò)狀況，除了可以提供每一個IP使用情形，在透過數(shù)據(jù)分析后，并進而可提供企業(yè)內(nèi)部各階層的應(yīng)用。NRS的圖形化報表，可以協(xié)助公司快速地將復(fù)雜難懂的網(wǎng)絡(luò)設(shè)備信息，轉(zhuǎn)換成清楚易懂的圖形化報表，讓管理者與相關(guān)的主管單位充分地了解網(wǎng)絡(luò)設(shè)備狀況。從而做出合理判斷，是否對網(wǎng)絡(luò)做調(diào)整等。四.XXXX酒店無線局域網(wǎng)系統(tǒng)設(shè)計和實施方案4.1整體系統(tǒng)架構(gòu)設(shè)計本次無線網(wǎng)絡(luò)覆蓋主要為XXXX酒店A1-A15客房樓，B1-B13客房樓，C1,C2客房樓，E1,E2,E3客房樓，F(xiàn)1,F2,F3客房樓，G1，G2客房樓，公共A區(qū)，公共B區(qū)，會議室，康體中心及室外部分?？紤]AP的覆蓋能力，冗余設(shè)計，接入容量，以及無線交換機的功能設(shè)置，整體系統(tǒng)架構(gòu)做如下考慮：1.采用Aruba3600作為本次的無線控制器，Aruba3600無線交換機包含4個10/100/1000BASE-T或1000BASE-X(SFP)，最大支持管理128AP。2.采用AP61作為本次無線覆蓋的室內(nèi)無線接入點，采用AP60加高增益天線作為室外的無線解決點，部分無法布線的位置可以用MESH的方式解決，以保證整體的覆蓋。整體拓撲圖如下：4.2無線AP布放統(tǒng)計室內(nèi)部分AP初步做如下考慮：地點信息點數(shù)（每幢）AP數(shù)量（每幢）AP數(shù)量A1-A15客房樓4115B1-B13客房樓4113C1,C2客房樓848E1,E2,E3客房樓32515F1,F2,F3客房樓24412G1，G2客房樓2448公共A，B區(qū)48會議室11康體中心11合計81室外部分AP采用AP60加上高增益天線，根據(jù)經(jīng)驗，至少能夠滿足300米的無線覆蓋，根據(jù)酒店的布線圖，此處暫定為10個AP60。4.3Wi-Fi手機Wi-Fi全稱WirelessFidelity，采用802.11a/b/g標準，它的最大優(yōu)點就是傳輸速度較高，可以達到54Mbps，另外它的有效距離也很長，同時也與已有的各種802.11DSSS設(shè)備兼容。Wi-Fi技術(shù)應(yīng)用的是局域網(wǎng)接入AP上因特網(wǎng)，也可以撥打VoIP電話。第一,無線電波的覆蓋范圍廣，基于藍牙技術(shù)的電波覆蓋范圍非常小，半徑大約只有50英尺左右約合15米，而Wi-Fi的半徑則可達100米，辦公室自不用說，就是在整棟大樓中也可使用。第二，Wi-Fi手機是利用電信運營商自有傳輸網(wǎng)絡(luò)，在接入層提供移動通信業(yè)務(wù)，它融合了本地?zé)o線Wi-Fi接入網(wǎng)和IP電話功能，是手機應(yīng)用的新的增值業(yè)務(wù)。這種手機使得IP技術(shù)的核心優(yōu)勢更加明顯，也使得企業(yè)用戶具有更大的靈活度。Wi-Fi手機將在諸如醫(yī)院、倉庫、大學(xué)、大商店、會議中心、娛樂場所等地點得到應(yīng)用，這些場所的工作人員即便是在不同的辦公室里也可以保持一個不變的電話號碼。但其最有意義的還是遠程通信。例如，XXXX的一名員工到外地出差仍然可以利用這種手機與在XXXX總部的老板通話，與他還在公司辦公室一樣，而且話費也按國內(nèi)電話計算。該電話是基于網(wǎng)絡(luò)而不是通過電話網(wǎng)絡(luò)運行的。在無線局域網(wǎng)300英尺有效范圍之外，電話可自動轉(zhuǎn)換成手機網(wǎng)絡(luò)。第三,在ARUBA移動控制器的控制下，Wi-Fi的可靠性和移動性得到了大幅度的提高,只要在ARUBA的AP覆蓋范圍內(nèi),通話都能得到可靠的保證,在以往的極端環(huán)境中,即使在運行的地鐵中也可以保證通話持續(xù)不受影響,故非常適合物業(yè)管理的使用。4.4無線網(wǎng)絡(luò)安全管理措施Aruba無線網(wǎng)的安全管理系統(tǒng)實現(xiàn)如下功能：接入認證控制：驗證用戶，授權(quán)他們接入特定的資源，同時拒絕為未經(jīng)授權(quán)的用戶提供接入。確保鏈路的保密與數(shù)據(jù)的完整：防止未經(jīng)授權(quán)的用戶讀取或更動在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。監(jiān)測和阻斷無線攻擊：防止攻擊占用某個接入點的所有可用帶寬，導(dǎo)致其他用戶的正當(dāng)接入。檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。4.5用戶認證方法Aruba支持用戶多種接入方式認證機制，包括：基于網(wǎng)頁認證（web）、VPN認證、802.1X、mac等認證，支持外置的Portal服務(wù)器和外置的AAA服務(wù)器系統(tǒng)，支持標準的LDAP目錄服務(wù)器（ldapv3），同時Aruba無線交換機