酒店無(wú)線局域網(wǎng)技術(shù)方案書(shū)

年4月19日酒店無(wú)線局域網(wǎng)技術(shù)方案書(shū)文檔僅供參考XX酒店Aruba無(wú)線局域網(wǎng)解決方案

目錄一、設(shè)計(jì)思想 41.1無(wú)線網(wǎng)絡(luò)建設(shè)需求 41.2無(wú)線網(wǎng)開(kāi)拓新型服務(wù) 41.2.1無(wú)線網(wǎng)卡上網(wǎng)服務(wù) 41.2.2酒店大堂的Internet接入服務(wù) 41.2.3客房Internet上網(wǎng)服務(wù) 51.2.4無(wú)線局域網(wǎng)語(yǔ)音應(yīng)用 51.3無(wú)線局域網(wǎng)設(shè)計(jì)原則 51.4XX酒店需求 71.5XX酒店網(wǎng)絡(luò)前景 7二、Aruba無(wú)線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn) 72.1Aruba無(wú)線局域網(wǎng)系統(tǒng)架構(gòu) 92.1.1先進(jìn)的無(wú)線局域交換機(jī) 92.1.2靈活的組網(wǎng)方式 92.1.3優(yōu)秀的擴(kuò)展性 92.1.4無(wú)需更改有線網(wǎng)結(jié)構(gòu) 102.1.5方便地?zé)o線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 102.2Aruba無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理 112.2.1集中式管理 112.2.2無(wú)需安裝客戶端軟件 112.2.3RF智能控管 122.2.4多個(gè)SSID結(jié)構(gòu) 132.2.5故障自動(dòng)恢復(fù) 132.2.6網(wǎng)絡(luò)負(fù)載均衡 132.2.7無(wú)線終端定位 142.2.8無(wú)縫的三層漫游 142.3Aruba無(wú)線局域網(wǎng)系統(tǒng)的安全管理 142.3.1集中的安全管理 142.3.2無(wú)線用戶網(wǎng)絡(luò)接入的安全管理 152.3.3無(wú)線網(wǎng)絡(luò)的安全防護(hù)和監(jiān)控 162.3.4無(wú)線局域網(wǎng)的認(rèn)證與加密 182.3.5多種用戶認(rèn)證方式 192.3.6獨(dú)特的無(wú)線訪問(wèn)控制 192.3.7安全的AP技術(shù) 202.3.8無(wú)線接入點(diǎn)安全偵測(cè)和保護(hù) 202.3.9無(wú)線網(wǎng)絡(luò)入侵偵測(cè) 202.3.10無(wú)線接入的病毒防護(hù) 212.3.11無(wú)線射頻終端的定位 22三、XX酒店Aruba無(wú)線局域網(wǎng)系統(tǒng)實(shí)現(xiàn) 223.1無(wú)線覆蓋設(shè)計(jì)實(shí)現(xiàn) 223.2無(wú)線組網(wǎng)實(shí)現(xiàn) 223.3無(wú)線網(wǎng)業(yè)務(wù)實(shí)現(xiàn) 263.4無(wú)線用戶和設(shè)備的管理實(shí)現(xiàn) 263.5無(wú)線射頻管理實(shí)現(xiàn) 273.6支撐多業(yè)務(wù)的網(wǎng)絡(luò)應(yīng)用 283.6.1無(wú)線網(wǎng)絡(luò)的QoS實(shí)施與保障策略 283.6.2網(wǎng)絡(luò)系統(tǒng)的自愈功能 293.6.3無(wú)線接入的負(fù)載均衡 303.6.4VoWLAN無(wú)線語(yǔ)音通信系統(tǒng) 313.6.5無(wú)縫的跨越不同的IP子網(wǎng)漫游 323.7無(wú)線網(wǎng)絡(luò)的安全系統(tǒng)實(shí)現(xiàn) 33四、Aruba酒店成功案例 35一、設(shè)計(jì)思想1.1無(wú)線網(wǎng)絡(luò)建設(shè)需求對(duì)于服務(wù)產(chǎn)業(yè)中的酒店業(yè)來(lái)說(shuō)。當(dāng)前酒店行業(yè)競(jìng)爭(zhēng)的重點(diǎn)已經(jīng)從硬件的競(jìng)爭(zhēng)轉(zhuǎn)移到服務(wù)的競(jìng)爭(zhēng),各大酒店均絞盡腦汁來(lái)提高自己的服務(wù)意識(shí)和服務(wù)水平。在傳統(tǒng)的服務(wù)項(xiàng)目已非常成熟的今天,作為四、五星級(jí)酒店如何為客戶提供新的服務(wù)成為酒店經(jīng)營(yíng)者頭疼的問(wèn)題。近兩年來(lái),隨著來(lái)自世界各地商務(wù)客人的增加,全球信息技術(shù)的發(fā)展和無(wú)線網(wǎng)絡(luò)的高速發(fā)展,以及Internet在國(guó)內(nèi)的迅猛發(fā)展,為酒店經(jīng)營(yíng)者提供新的信息服務(wù)成為一種趨勢(shì)。這一方面提升了現(xiàn)代化酒店的服務(wù)與管理水平,同時(shí),也為酒店經(jīng)營(yíng)者帶來(lái)了相應(yīng)的利益。能夠說(shuō),網(wǎng)絡(luò)不但是酒店傳播信息的工具,也是留住回頭客保持入住率的有效手段,而無(wú)線網(wǎng)絡(luò)由于其移動(dòng)性、便利性和靈活性的特點(diǎn),更是得以在酒店中大顯身手。商務(wù)客人一般會(huì)要求酒店提供與其辦公室和個(gè)人家庭相同的高速I(mǎi)nternet訪問(wèn)能力,經(jīng)過(guò)無(wú)線局域網(wǎng)就可實(shí)現(xiàn)靈活且可擴(kuò)展的網(wǎng)絡(luò)解決方案。

1.2無(wú)線網(wǎng)開(kāi)拓新型服務(wù)1.2.1無(wú)線網(wǎng)卡上網(wǎng)服務(wù)無(wú)線網(wǎng)絡(luò)的引入,使酒店開(kāi)拓各種新的服務(wù)成為可能。譬如,在登記入住后,商務(wù)客人只需簡(jiǎn)單地在其筆記本上安裝一個(gè)無(wú)線局域網(wǎng)卡,在幾分鐘之內(nèi)就能夠比電話連接速度快100倍的速率訪問(wèn)Internet。無(wú)線局域網(wǎng)系統(tǒng)的安裝使客人能夠非常方便和靈活地在酒店內(nèi)移動(dòng)辦公,無(wú)論是在飯店客房、會(huì)議室、餐廳,花園還是游泳池邊。這樣的無(wú)線高速訪問(wèn)能力,必將使安裝了無(wú)線局域網(wǎng)絡(luò)的酒店成為商務(wù)會(huì)議和展覽的寵兒。

1.2.2酒店大堂的Internet接入服務(wù)商務(wù)客人常常喜歡在酒店大堂、咖啡廳或茶座里用筆記本電腦工作,或是在這些地方進(jìn)行一個(gè)小型的會(huì)談,當(dāng)客人需要處理電子郵件或是上網(wǎng)下載公司的資料時(shí),得到的回答往往是:您必須換一個(gè)靠近某個(gè)數(shù)據(jù)點(diǎn)的位置;您能夠到商務(wù)中心去嗎;或是必須到房間里用電話線才能夠上網(wǎng)等等。如果在酒店大堂內(nèi)安裝一到兩個(gè)無(wú)線訪問(wèn)點(diǎn),該訪問(wèn)點(diǎn)可覆蓋需要提供無(wú)線上網(wǎng)服務(wù)的區(qū)域。當(dāng)客人需要上網(wǎng)服務(wù)時(shí),能夠到前臺(tái)或是咖啡廳的服務(wù)員處租用一塊無(wú)線網(wǎng)卡,租金能夠按小時(shí)或是按天計(jì)算,這樣客人就能夠作為一個(gè)本地網(wǎng)絡(luò)的用戶自由地使用高速上網(wǎng)服務(wù)了。酒店能夠在客人入住時(shí),直接提供無(wú)線網(wǎng)卡,或者作為酒店提供的一項(xiàng)服務(wù)內(nèi)容供客人選擇1.2.3客房Internet上網(wǎng)服務(wù)現(xiàn)在一般酒店都已配備有連接Internet的高速專(zhuān)線,供酒店內(nèi)部使用,一些較老的酒店,因?yàn)闆](méi)有進(jìn)行綜合布線,或者不是每個(gè)房間都進(jìn)行了布線,特別是客人的房間或會(huì)議室這些客人經(jīng)常停留的地方,客人還只能利用電話線上網(wǎng),無(wú)論是上網(wǎng)速度還是上網(wǎng)話費(fèi)都讓人難以承受,而重新布線帶來(lái)的損失入住時(shí)間、工期和噪聲等問(wèn)題又使得酒店對(duì)是否進(jìn)行布線顧慮重重。在需要接入服務(wù)的樓層安裝一臺(tái)或兩臺(tái)無(wú)線訪問(wèn)點(diǎn)設(shè)備,需要上網(wǎng)服務(wù)的客人能夠使用酒店提供的無(wú)線網(wǎng)卡,插入自己的筆記本電腦后就能夠方便地上網(wǎng)了。

1.2.4無(wú)線局域網(wǎng)語(yǔ)音應(yīng)用當(dāng)前大部分酒店的服務(wù)人員都是經(jīng)過(guò)尋呼機(jī)進(jìn)行聯(lián)系,非常的不方便,可是每一個(gè)員工都配置一個(gè)手機(jī),其使用成本太高,酒店是無(wú)法承受的。如果架設(shè)了無(wú)線局域網(wǎng),這樣酒店的服務(wù)人員就能夠使用Wi-Fi手機(jī)進(jìn)行聯(lián)絡(luò),使用是完全免費(fèi)的。這樣能夠極大的方便酒店的業(yè)務(wù)管理,降低酒店的運(yùn)行費(fèi)用,同時(shí)無(wú)線手機(jī)能實(shí)現(xiàn)酒店語(yǔ)音交換機(jī)提供的酒店功能和服務(wù)。1.3無(wú)線局域網(wǎng)設(shè)計(jì)原則根據(jù)我們對(duì)五星級(jí)酒店通訊系統(tǒng)的了解以及服務(wù)于酒店的經(jīng)驗(yàn),我們考慮到無(wú)線通訊系統(tǒng)在XX酒店日常業(yè)務(wù)中的特殊地位,在無(wú)線局域網(wǎng)組網(wǎng)技術(shù)、設(shè)備產(chǎn)品選型、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全等方面考慮以下設(shè)計(jì)原則:先進(jìn)性原則第一代無(wú)線局域網(wǎng)主要是采用FatAP,每一臺(tái)AP都要單獨(dú)進(jìn)行配置,費(fèi)時(shí)、費(fèi)力、費(fèi)成本;第二代無(wú)線局域網(wǎng)融入了無(wú)線網(wǎng)絡(luò)關(guān)功能但還是不能集中進(jìn)行管理和配置,其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸,在這樣的環(huán)境下,基于無(wú)線交換機(jī)技術(shù)的第三代WLAN產(chǎn)品應(yīng)運(yùn)而生。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)和ThinAP的架構(gòu),使得無(wú)線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。可管性原則在網(wǎng)絡(luò)管理方面,必須具有集中控管、智能調(diào)控、自動(dòng)恢復(fù)、負(fù)載均衡等實(shí)用功能,使所建的無(wú)線網(wǎng)絡(luò)能夠適應(yīng)多種環(huán)境的變化,可動(dòng)態(tài)地保證良好的應(yīng)用效果。同時(shí),還應(yīng)具有遠(yuǎn)端AP數(shù)據(jù)進(jìn)行采集、遠(yuǎn)程監(jiān)控、終端定位等功能,支持多SSID,能夠方便的把語(yǔ)音、視頻以及其它類(lèi)型的數(shù)據(jù)的應(yīng)用進(jìn)行分開(kāi)管理。安全性原則在網(wǎng)絡(luò)安全性方面,無(wú)線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護(hù)措施,無(wú)線網(wǎng)絡(luò)的安全性主要從以下幾個(gè)方面考慮:(1)接入認(rèn)證:具有支持多種用戶認(rèn)證方式;(2)采用具有用戶狀態(tài)訪問(wèn)控制的防火墻技術(shù);(3)具有數(shù)據(jù)在無(wú)線信道上傳輸?shù)腣PN機(jī)制;(4)具有無(wú)線網(wǎng)絡(luò)的防病毒機(jī)制(5)具有無(wú)線電波監(jiān)控能力,能提供無(wú)線入侵偵測(cè)和無(wú)線終端位置的追蹤功能?？煽啃栽瓌t具有提供智能化的無(wú)線電波自動(dòng)調(diào)控與切換能力,以確保單個(gè)AP接入點(diǎn)在發(fā)生故障時(shí)自動(dòng)切換到鄰近AP,不會(huì)影響無(wú)線的接入服務(wù);具有支持熱備份的無(wú)線交換機(jī)N+1的冗余備份機(jī)制。擴(kuò)展性原則經(jīng)過(guò)一個(gè)集中的無(wú)線局域網(wǎng)網(wǎng)管平臺(tái)實(shí)現(xiàn)對(duì)所有的AP功能的配置和管理,AP既能夠提供無(wú)線接入,也可設(shè)置為無(wú)線入侵監(jiān)控、無(wú)線終端追蹤定位、無(wú)線電波傳輸分析的工作模式。同時(shí)整個(gè)系統(tǒng)能夠根據(jù)用戶的需要進(jìn)行規(guī)模上的擴(kuò)展,擴(kuò)展后所有功能和管理的模式保持不便。標(biāo)準(zhǔn)化原則無(wú)線局域網(wǎng)采用的技術(shù)支持應(yīng)為國(guó)際標(biāo)準(zhǔn)或業(yè)界標(biāo)準(zhǔn),不使用某個(gè)廠商的專(zhuān)用技術(shù)和協(xié)議,以保證網(wǎng)絡(luò)設(shè)備的互通性,有利于網(wǎng)絡(luò)的投資保護(hù)。1.4XX酒店需求1、無(wú)線網(wǎng)絡(luò)支持語(yǔ)音和數(shù)據(jù)業(yè)務(wù);2、無(wú)線語(yǔ)音業(yè)務(wù)具有語(yǔ)音交換機(jī)提供的酒店功能;3、酒店客戶訪問(wèn)無(wú)線數(shù)據(jù)網(wǎng)絡(luò)業(yè)務(wù)無(wú)縫漫游;4、酒店對(duì)無(wú)線AP設(shè)備集中安全管理和RF監(jiān)控;5、無(wú)線網(wǎng)絡(luò)支持多個(gè)SSID;6、不需要在每個(gè)客戶終端管理大量的Wepkey;7、能夠和酒店內(nèi)的服務(wù)器結(jié)合進(jìn)行上網(wǎng)客戶的認(rèn)證;8、支持以太網(wǎng)供電(POE);1.5XX酒店網(wǎng)絡(luò)前景XX酒店無(wú)線網(wǎng)絡(luò)建成后,入住酒店的商務(wù)客人能夠利用配有無(wú)線終端產(chǎn)品的筆記本電腦或高端的”迅馳”筆記本自由地接入互聯(lián)網(wǎng),提高其辦公效率。同時(shí),賓館還可實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)之間無(wú)縫連接,客人無(wú)論是在客房、會(huì)議室、餐廳還是花園都能夠隨時(shí)接入互聯(lián)網(wǎng)。對(duì)于住店的客人,該無(wú)線網(wǎng)絡(luò)能滿足其所需的全部網(wǎng)絡(luò)傳輸要求,包括傳輸文字、聲音、圖像等,甚至能夠多路聲音、圖像并發(fā)傳輸。用戶能夠在任何時(shí)間、任何地點(diǎn)接入網(wǎng)絡(luò),滿足她們對(duì)高性能、高靈活性以及可移動(dòng)性的需要。無(wú)線網(wǎng)絡(luò)全覆蓋,建立Portalpage,宣傳酒店,提高酒店的知名度;網(wǎng)絡(luò)擴(kuò)展容易;減少布線的成本投資它用;無(wú)線網(wǎng)絡(luò)的認(rèn)證計(jì)費(fèi)系統(tǒng)與酒店P(guān)MS系統(tǒng)聯(lián)接,客戶可到前臺(tái)操作員處獲得上網(wǎng)的詳細(xì)信息和帳單;高速的無(wú)線訪問(wèn)能力,加速開(kāi)展”商務(wù)會(huì)議”和”展覽”;建立一個(gè)酒店的內(nèi)部網(wǎng)站(免費(fèi)登錄),便于客人瀏覽,網(wǎng)站上能夠開(kāi)展機(jī)票、車(chē)票預(yù)定等業(yè)務(wù),同時(shí)能夠展示酒店的美食,查詢酒店的相關(guān)信息等,增加無(wú)線打印業(yè)務(wù),客人能夠到前臺(tái)處領(lǐng)取打印材料,按量收費(fèi)。同時(shí)酒店可基于這個(gè)無(wú)線通訊平臺(tái)近,建立自己的內(nèi)部無(wú)線語(yǔ)音通訊系統(tǒng),從而大大降低酒店的運(yùn)營(yíng)成本。并將此平臺(tái)升級(jí)成一項(xiàng)增值服務(wù),面向商務(wù)客戶提供一些IP語(yǔ)音通訊業(yè)務(wù)及酒店咨詢、手機(jī)的無(wú)縫切換等等。二、Aruba無(wú)線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn)無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展,已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無(wú)線局域網(wǎng)技術(shù)采用單純的AP實(shí)現(xiàn)無(wú)線接入外,基本上沒(méi)有其它功能。第二代無(wú)線局域網(wǎng)技術(shù)(以正誠(chéng)、昂科、Bluesocket等為代表),采用AC＋智能AP構(gòu)架,AC兩者實(shí)質(zhì)均為二層設(shè)備,AP實(shí)現(xiàn)接入、AC實(shí)現(xiàn)匯聚和認(rèn)證功能,有的廠商的AC實(shí)現(xiàn)了二層網(wǎng)絡(luò)交換,具有基本的網(wǎng)絡(luò)的控制和用戶的管理,如:WEB認(rèn)證、流量的控制、訪問(wèn)的控制等;支持VLAN、VPN、WPA等基本的安全管理,它們無(wú)法實(shí)現(xiàn)對(duì)無(wú)線電磁波層面的調(diào)控和優(yōu)化。由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置,包括加密的鑰匙,Radiusclient的安全密碼(secret)等,而AP又是分散在建筑物中的各個(gè)位置,一旦AP的配置被盜取讀出并修改,其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無(wú)線網(wǎng)絡(luò)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的,因此當(dāng)用戶接入數(shù)量(IPsessions)增多時(shí),無(wú)線網(wǎng)絡(luò)的性能會(huì)急劇下降,時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。第三代無(wú)線局域網(wǎng)技術(shù)采用無(wú)線交換網(wǎng)絡(luò)架構(gòu)(以Cisco、Aruba為代表),實(shí)現(xiàn)了基于無(wú)線網(wǎng)絡(luò)交換機(jī),以AP為單元交換的無(wú)線網(wǎng)絡(luò)系統(tǒng),Aruba是采用獨(dú)立的無(wú)線網(wǎng)絡(luò)交換機(jī)實(shí)現(xiàn)的。作為第三代的Aruba無(wú)線系統(tǒng)采用了WirelessSwitch＋AP構(gòu)架,將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn),同時(shí)加入了許多重要新功能,諸如無(wú)線網(wǎng)絡(luò)管、AP間自適應(yīng)、無(wú)線安管、RF監(jiān)測(cè)、無(wú)縫漫游以及Qos。Aruba無(wú)線系統(tǒng)不但具有一、二代無(wú)線產(chǎn)品所有的功能,而且在無(wú)線網(wǎng)絡(luò)的規(guī)劃、管理、安全和對(duì)音視頻業(yè)務(wù)的支持方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢(shì)。在無(wú)線網(wǎng)絡(luò)融合到有線網(wǎng)絡(luò)方面,Aruba無(wú)線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)能夠不更改原有線網(wǎng)的路由設(shè)定,使得無(wú)線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。在無(wú)線網(wǎng)絡(luò)管理方面,Aruba無(wú)線系統(tǒng)實(shí)現(xiàn)真正的集中控管,包括獨(dú)有的RF智能調(diào)控,自動(dòng)恢復(fù)、負(fù)載均衡功能,使無(wú)線網(wǎng)絡(luò)能夠適應(yīng)無(wú)線環(huán)境中的電磁波變化,動(dòng)態(tài)自動(dòng)調(diào)節(jié)到最佳應(yīng)用效果;還能夠?qū)崿F(xiàn)遠(yuǎn)端AP狀態(tài)監(jiān)測(cè),方便實(shí)現(xiàn)對(duì)AP的管理;具有多SSID支持,實(shí)現(xiàn)了對(duì)無(wú)線數(shù)據(jù)、語(yǔ)音和視頻的應(yīng)用帶寬管理。在無(wú)線安全性方面,Aruba無(wú)線系統(tǒng)具備多種用戶認(rèn)證、、基于用戶的狀態(tài)防火墻、VPN加密機(jī)制、無(wú)線入侵偵測(cè)、無(wú)線接入病毒防護(hù)功能以及集中的安全管理。在無(wú)線音視頻應(yīng)用方面,Aruba獨(dú)有的基于每個(gè)用戶的帶寬控制和QOS保證,能夠確保語(yǔ)音和視頻業(yè)務(wù)的實(shí)時(shí)性,先進(jìn)的無(wú)縫三層移動(dòng)漫游,使得VoIP以及Wi-fiFhone能夠自由的在任意AP間切換,具有當(dāng)前業(yè)界最低的時(shí)延。2.1Aruba無(wú)線局域網(wǎng)系統(tǒng)架構(gòu)2.1.1先進(jìn)的無(wú)線局域交換機(jī)作為第三代的Aruba系統(tǒng)采用了WirelessSwitch＋thinAP構(gòu)架,將第二代分散在AP+AC上的網(wǎng)絡(luò)管理和安全管理功能轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn),同時(shí)增加了許多無(wú)線局域網(wǎng)全新的功能:諸如:無(wú)線安全性、AP管理控制、RF站址監(jiān)測(cè)、無(wú)縫移動(dòng)漫游,特別是對(duì)語(yǔ)音、視頻業(yè)務(wù)的支持有專(zhuān)門(mén)的Qos保證,使得VoIP的應(yīng)用,如Wi-Fi技術(shù)應(yīng)用得到了飛速發(fā)展。2.1.2靈活的組網(wǎng)方式第三代的Aruba產(chǎn)品能夠根據(jù)從小型的無(wú)線網(wǎng)絡(luò)規(guī)模(幾十個(gè)AP),到大型無(wú)線網(wǎng)絡(luò)規(guī)模(幾百個(gè)AP,甚至上千個(gè)AP),都能夠采用集中或者分布式的組網(wǎng)方式進(jìn)行靈活的組網(wǎng)。并能夠提供冗余熱備份機(jī)制,保證系統(tǒng)的高可用性。2.1.3優(yōu)秀的擴(kuò)展性無(wú)線網(wǎng)絡(luò)具有非常容易擴(kuò)展的特性,因此,今天在組建無(wú)線網(wǎng)絡(luò)時(shí)必須要考慮系統(tǒng)的擴(kuò)展性。在網(wǎng)絡(luò)系統(tǒng)擴(kuò)展性方面,Aruba的一臺(tái)5000/6000型交換機(jī)可靈活地對(duì)從128個(gè)AP擴(kuò)充到支持512個(gè)AP,因此擴(kuò)展AP非常容易;從網(wǎng)絡(luò)管理擴(kuò)展性方面,Aruba的Master/Local方式,MasterAruba交換機(jī)能夠同時(shí)控制管理28臺(tái)的LocalAruba交換機(jī),因此增加交換機(jī)也非常容易管理。除了AP數(shù)量之外,怎樣控管大量的AP和部署也是擴(kuò)展性的重要考慮因素。要妥善處理數(shù)目眾多的AP在無(wú)線網(wǎng)絡(luò)內(nèi)正常遠(yuǎn)作,包括無(wú)線電波協(xié)調(diào)、無(wú)線用戶的帶寬和安全訪問(wèn)控管以及其它各種各樣的無(wú)線增值服務(wù)都能夠經(jīng)過(guò)Aruba系統(tǒng)的網(wǎng)管系統(tǒng)實(shí)現(xiàn)。2.1.4無(wú)需更改有線網(wǎng)結(jié)構(gòu)實(shí)現(xiàn)無(wú)線局域網(wǎng)接入,需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改,這當(dāng)然是網(wǎng)管人員不愿意做的事情,采用Aruba系統(tǒng)無(wú)需更改用戶現(xiàn)有的有線網(wǎng)結(jié)構(gòu)。由于無(wú)線用戶的傳輸是經(jīng)過(guò)ArubaAP內(nèi)已建立的GRE隧道和Aruba交換機(jī)互連的,因此實(shí)際上無(wú)線用戶的VLAN是無(wú)須在接入層和匯聚層存在。無(wú)線用戶的VLAN是可透過(guò)Aruba交換機(jī)和骨干交換機(jī)互連互通。這樣非常方便在有線網(wǎng)里實(shí)施無(wú)線局域網(wǎng),同時(shí)也非常方便進(jìn)行擴(kuò)展。Aruba的無(wú)線交換機(jī)能夠安裝在中心機(jī)房,而AP則能夠放置于任何地方,無(wú)需用二層設(shè)備連到無(wú)線交換機(jī),或者劃分VLAN;其它廠家則需要二層交換機(jī)連接或者劃分VLAN,否則只能將認(rèn)證點(diǎn)下放到AP上,導(dǎo)致整體性能的降低和漫游特性的缺失。不用劃分VLAN,對(duì)于無(wú)線網(wǎng)絡(luò)的管理帶來(lái)極大的便利性。對(duì)原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu),減輕了由于無(wú)線網(wǎng)絡(luò)的建設(shè)而對(duì)原有網(wǎng)絡(luò)的結(jié)構(gòu)改變的工作量。2.1.5方便地?zé)o線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)在規(guī)劃一個(gè)無(wú)線局域網(wǎng)絡(luò)時(shí),規(guī)劃設(shè)計(jì)者一項(xiàng)重要的工作是要考慮安裝多少AP能夠滿足覆蓋?應(yīng)在哪些位置安裝AP,安裝后電波的覆蓋范圍,信號(hào)在不同位置的強(qiáng)弱等,要完成此項(xiàng)工作,一般做法是規(guī)劃設(shè)計(jì)者要在現(xiàn)場(chǎng)做大量的測(cè)試工作,經(jīng)過(guò)經(jīng)驗(yàn)去估算位置和數(shù)量,其工作量非常之大,且還無(wú)法預(yù)先規(guī)劃每個(gè)AP的電磁波和功率參數(shù)以及AP之間的覆蓋相交范圍。Aruba首創(chuàng)開(kāi)發(fā)了RFPlanning工具,能夠讓規(guī)劃設(shè)計(jì)者在考慮無(wú)線局域網(wǎng)組網(wǎng)之初采用RFPlanning在計(jì)算機(jī)上做規(guī)劃設(shè)計(jì),估算在要求的覆蓋面積上AP應(yīng)安裝的物理位置所在。使用這套工具時(shí),在數(shù)字化的建筑圖紙上設(shè)定無(wú)線所覆蓋范圍如那幾個(gè)樓層和面積大小,輸入有關(guān)無(wú)線覆蓋和傳輸模型的相關(guān)參數(shù),如無(wú)線終端的平均帶寬,AP和AP之間覆蓋面等。RFPlanning自動(dòng)計(jì)算,然后顯示出AP在圖上的安裝坐標(biāo)位置和無(wú)線電波的覆蓋范圍。安裝人員就能夠根據(jù)圖紙上所顯示的位置安裝AP,在無(wú)線網(wǎng)絡(luò)安裝完成后,網(wǎng)管人員經(jīng)過(guò)RFPlanning的Auto-Calibration功能,設(shè)定Aruba交換機(jī)自動(dòng)調(diào)節(jié)網(wǎng)上所有ArubaAP的頻道與功率參數(shù)以達(dá)到一個(gè)最優(yōu)性能的運(yùn)行狀態(tài)。在無(wú)線局域網(wǎng)系統(tǒng)投入運(yùn)行后,網(wǎng)管人員可經(jīng)過(guò)RFPlanning隨時(shí)監(jiān)測(cè)網(wǎng)內(nèi)的每個(gè)AP的無(wú)線電波的狀態(tài),及時(shí)掌握每個(gè)AP的工作狀態(tài)和故障診斷,及時(shí)做出調(diào)整策略。ArubaRFPlanning為無(wú)線網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、調(diào)試以及維護(hù)提供科學(xué)化和規(guī)范化的管理。2.2Aruba無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理2.2.1集中式管理管理一個(gè)具有規(guī)模的無(wú)線局域網(wǎng)(一般在幾十個(gè)AP以上)是一件非常頭痛的事情。從RF覆蓋面,帶寬,用戶的認(rèn)證,以及接入的安全都要考慮。由于傳統(tǒng)的無(wú)線局域網(wǎng)是單純基于AP,因此對(duì)于無(wú)線網(wǎng)絡(luò)的管理,其大量工作是要在每個(gè)AP上進(jìn)行設(shè)置和更改。其工作量在有一定數(shù)量AP的無(wú)線網(wǎng)絡(luò)里是非常大和煩瑣的,而且無(wú)線局域網(wǎng)是一個(gè)整體系統(tǒng),AP之間必須互協(xié)調(diào)工作,單獨(dú)改變一個(gè)AP參數(shù)和配置會(huì)引起AP之間的無(wú)線電波干擾,用戶漫游重認(rèn)證和授權(quán)也可能會(huì)產(chǎn)生問(wèn)題。Aruba系統(tǒng)具有非常強(qiáng)的無(wú)線局域網(wǎng)集中管理功能,經(jīng)過(guò)無(wú)線交換機(jī)MasterSwitch和LocalSwitch管理模式管理整個(gè)網(wǎng)絡(luò),網(wǎng)管人員只需在無(wú)線交換機(jī)就可開(kāi)通、管理、維護(hù)所有AP設(shè)備以及移動(dòng)終端,包括無(wú)線電波頻譜、無(wú)線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶。2.2.2無(wú)需安裝客戶端軟件Aruba系統(tǒng)無(wú)需為每一個(gè)移動(dòng)用戶終端安裝無(wú)線接入軟件,Aruba的認(rèn)證能夠基于WEB頁(yè)面認(rèn)證,該認(rèn)證只需用戶打開(kāi)瀏覽器就能夠登陸。ARUBA采用GRE隧道技術(shù),能夠透明地穿透在無(wú)線交換機(jī)和AP之間的任何三層網(wǎng)絡(luò)交換設(shè)備實(shí)現(xiàn)WEB認(rèn)證,而其它的廠家在這種網(wǎng)絡(luò)環(huán)境下,必須要為客戶端裝上基于標(biāo)準(zhǔn)的L2TP或IPSEC或802.1X客戶端軟件才能實(shí)現(xiàn)WEB頁(yè)面認(rèn)證。2.2.3RF智能控管由于無(wú)線電波是一種無(wú)形的東西,它的強(qiáng)度和所在的信道一般都需要根據(jù)經(jīng)驗(yàn)手工調(diào)整,要做到無(wú)線信號(hào)均勻分布,信道的利用率高,無(wú)信道干擾并不是件非常容易的事情,可是Aruba系統(tǒng)的RF智能控管能夠自動(dòng)調(diào)節(jié)網(wǎng)上所有ArubaAP的電波特性。能夠保證無(wú)線信號(hào)均勻分布,信道的利用率高,無(wú)信道干擾,無(wú)線網(wǎng)絡(luò)做到最為優(yōu)化的運(yùn)行。當(dāng)初次安裝無(wú)線局域網(wǎng)時(shí),用戶可經(jīng)過(guò)RFPlanning的AutoCalibration功能來(lái)自動(dòng)調(diào)節(jié)整個(gè)無(wú)線網(wǎng)絡(luò)上所有AP的無(wú)線電波頻率和功率。啟動(dòng)了AutoCalibration以后AP和AP之間會(huì)自動(dòng)互傳有關(guān)無(wú)線電波的信息和調(diào)整電波的參數(shù),直到AP之間達(dá)到了一個(gè)最優(yōu)化的無(wú)線電波運(yùn)行環(huán)境。當(dāng)無(wú)線局域網(wǎng)經(jīng)過(guò)AutoCalibration調(diào)整后而正式運(yùn)作時(shí),網(wǎng)絡(luò)管理員可在Aruba交換機(jī)內(nèi)啟動(dòng)ARM功能,則無(wú)線網(wǎng)絡(luò)上所有的ArubaAP都會(huì)在設(shè)定的時(shí)間內(nèi)自行掃描其它的無(wú)線頻道。所謂電波掃描,是指ArubaAP從一個(gè)電波頻道跳到另一頻道時(shí),如Ch1到Ch2到Ch3,由于掃描的速度非常快,因此對(duì)于在線的無(wú)線用戶(指連接到AP上在同一頻率上的無(wú)線終端)的傳輸過(guò)程是不受到影響的。當(dāng)AP停留在一個(gè)頻道時(shí),它會(huì)把在這頻道上收到的無(wú)線電波信息轉(zhuǎn)送回Aruba無(wú)線交換機(jī)。這樣Aruba無(wú)線交換機(jī)就對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)上的電波情況有了一定了解和記錄。當(dāng)某一覆蓋范圍內(nèi)的電波改變,如出現(xiàn)干擾AP所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等,Aruba無(wú)線交換機(jī)就會(huì)把所獲取的無(wú)線電波資料做分析,以確定是否需要調(diào)整范圍內(nèi)AP的無(wú)線電波。2.2.4多個(gè)SSID結(jié)構(gòu)Aruba系統(tǒng)的多SSID結(jié)構(gòu)和和實(shí)現(xiàn)技術(shù)使得在Aruba無(wú)線局域網(wǎng)系統(tǒng)的各種應(yīng)用服務(wù)(數(shù)據(jù)、語(yǔ)音和視頻)在Qos上表現(xiàn)非常出眾。在一個(gè)無(wú)線局域網(wǎng)內(nèi)能夠設(shè)置多個(gè)SSID,例如一個(gè)SSID可給用戶的工作人員所用,而另一個(gè)可給外來(lái)的訪問(wèn)客戶專(zhuān)用。因此當(dāng)無(wú)線終端在這個(gè)AP覆蓋范圍內(nèi)啟動(dòng)時(shí),它就能同時(shí)看到多個(gè)SSID。SSID的另一用途是可讓無(wú)線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。在一個(gè)語(yǔ)音SSID內(nèi)可把SIP和H.323等無(wú)線語(yǔ)音數(shù)據(jù)以優(yōu)先級(jí)隊(duì)列處理。在一個(gè)視頻SSID內(nèi)可把視頻數(shù)據(jù)流傳輸以優(yōu)先級(jí)隊(duì)列處理。同時(shí)在一個(gè)預(yù)設(shè)定的視頻SSID內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定視頻數(shù)據(jù)流傳輸協(xié)議經(jīng)過(guò),以確保其它數(shù)據(jù)不能進(jìn)入這SSID。在一個(gè)預(yù)設(shè)定語(yǔ)音SSID內(nèi)只允許網(wǎng)絡(luò)管理設(shè)定語(yǔ)音傳輸協(xié)議經(jīng)過(guò),以確保其它數(shù)據(jù)不能進(jìn)入這SSID。這樣可在多SSID的情況下確保音視頻的Qos。2.2.5故障自動(dòng)恢復(fù)傳統(tǒng)的無(wú)線網(wǎng)絡(luò)在有AP損壞或失效時(shí),這個(gè)AP的覆蓋范圍就會(huì)失去了無(wú)線連接。遇到這種情況的一般做法就是把現(xiàn)場(chǎng)失效的AP換掉。但由于大多數(shù)的AP都是設(shè)置在外面(不是在機(jī)房),因此不一定能馬上作更換,現(xiàn)場(chǎng)的環(huán)境也有局限性,不一定很容易維護(hù)人員即時(shí)做出更換(很多的AP都是安裝在天花板上)。Aruba系統(tǒng)具有自動(dòng)恢復(fù)的功能,實(shí)時(shí)偵測(cè)出網(wǎng)上AP是否有失效,當(dāng)發(fā)覺(jué)有AP出現(xiàn)故障時(shí),Aruba交換機(jī)能會(huì)自動(dòng)調(diào)節(jié)鄰近的AP的功率(覆蓋范圍)來(lái)接替失效AP的工作。2.2.6網(wǎng)絡(luò)負(fù)載均衡Aruba系統(tǒng)可在一個(gè)AP的覆蓋范圍內(nèi)把無(wú)線用戶或終端分散連接到附近的AP上。在一個(gè)AP的覆蓋范圍內(nèi),無(wú)線連接的帶寬是共享,即無(wú)線終端數(shù)目越多,每個(gè)終端所能分享的帶寬就越小。要確保每個(gè)無(wú)線終端的傳輸就必須能限制一個(gè)AP上無(wú)線終端的數(shù)量或AP帶寬傳輸總和或和每個(gè)無(wú)線終端帶寬上限。Aruba無(wú)線系統(tǒng)可應(yīng)用層面經(jīng)過(guò)4－7層交換模塊能夠?qū)崿F(xiàn)服務(wù)器的負(fù)載均衡,VPN設(shè)備,防火墻設(shè)備等等一系列基于TCP/IP協(xié)議設(shè)備的負(fù)載均衡來(lái)保證整體網(wǎng)絡(luò)的可靠性。在視頻應(yīng)用中,負(fù)載均衡功能能夠有效的緩解單個(gè)AP的負(fù)擔(dān),有效的利用臨近的AP做接入,從而確保視頻應(yīng)用的質(zhì)量得到保證。2.2.7無(wú)線終端定位Aruba網(wǎng)管系統(tǒng)能夠跟蹤和定位無(wú)線終端的位置,諸如無(wú)線接入的電腦、PDA和Wi-Fi手機(jī)等。Aruba采用的無(wú)線定位模式稱為三角定位,它的準(zhǔn)確性可達(dá)到2.5米以內(nèi),先決條件是所尋找的無(wú)線終端附近須有最少三個(gè)Aruba的AP在范圍內(nèi)。這是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的,有些單位如醫(yī)院就是采用了無(wú)線定位技術(shù)來(lái)取代傳呼機(jī)在醫(yī)院內(nèi)尋找醫(yī)生、病人等。2.2.8無(wú)縫的三層漫游Aruba無(wú)線能夠讓用戶在AP、WLAN交換機(jī)、多子網(wǎng)以及多VLAN之間無(wú)縫地漫游,而且不會(huì)丟失連接,也不需要重啟。它不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何改變就能夠?qū)崿F(xiàn)這一切。其它廠家一般只能實(shí)現(xiàn)二層漫游。跨網(wǎng)段時(shí)需要二次認(rèn)證,導(dǎo)致丟包或者很大延遲。而Aruba的handoff性能極佳,保證了語(yǔ)音的流暢。這種技術(shù)能夠確保無(wú)線語(yǔ)音業(yè)務(wù)能夠無(wú)縫的在AP間漫游,而不會(huì)發(fā)生掉線,是語(yǔ)音業(yè)務(wù)的質(zhì)量保證。2.3Aruba無(wú)線局域網(wǎng)系統(tǒng)的安全管理2.3.1集中的安全管理在傳統(tǒng)的無(wú)線局域網(wǎng)解決方案中,為保障網(wǎng)絡(luò)的安全,許多客戶把所有無(wú)線流量拒之于防火墻(從DMZ區(qū)接入)之外,用戶不得不繞道進(jìn)入單位網(wǎng)絡(luò)(如下圖)。從安全性方面看,這是個(gè)好方法,但卻使網(wǎng)絡(luò)設(shè)計(jì)達(dá)不到最優(yōu)狀態(tài)而且導(dǎo)致性能劣化,因?yàn)閃AN級(jí)別的防火墻突然之間要被迫應(yīng)付許許多多以無(wú)線局域網(wǎng)速度訪問(wèn)的接入點(diǎn)。這種技術(shù)由于”統(tǒng)一尺碼”的訪問(wèn)控制方法而不夠靈活,因?yàn)樗x予所有無(wú)線用戶相同的網(wǎng)絡(luò)權(quán)限。如果不采用上述的解決方案,而是將無(wú)線系統(tǒng)直接連接到樓層交換機(jī),這樣用戶連接至AP以后,所有的訪問(wèn)都將無(wú)從控制,對(duì)客戶的網(wǎng)絡(luò)安全更是極大的威脅。在賓館的網(wǎng)絡(luò)環(huán)境中,由于來(lái)往的人員多,流動(dòng)性很大,如果只是靠?jī)?nèi)網(wǎng)和外網(wǎng)的隔離,不能很好的提供服務(wù)給不同身份的用戶。假設(shè)賓館工作人員需要查詢酒店管理信息及旅客信息而使用隨身攜帶的PDA,如果只是簡(jiǎn)單的在內(nèi)網(wǎng)中部署WLAN(無(wú)線局域網(wǎng)),旅客很容易經(jīng)過(guò)自己的PDA和筆記本電腦登陸到酒店的內(nèi)部網(wǎng)絡(luò),造成內(nèi)網(wǎng)絡(luò)的安全漏洞。如果部署酒店全范圍內(nèi)的WLAN,傳統(tǒng)的無(wú)線局域網(wǎng)面臨無(wú)縫漫游和用戶管理的難題。Aruba無(wú)線系統(tǒng)的安全管理是將防火墻、VPN、安全認(rèn)證、防病毒、無(wú)線入侵監(jiān)測(cè)以及RF電磁波管理等多項(xiàng)安全功能匯聚到Aruba無(wú)線交換機(jī)上來(lái)完成的,解決了傳統(tǒng)的無(wú)線網(wǎng)絡(luò)對(duì)安全的分散管理(AP、AC)和能力,給用戶帶來(lái)的不安全感,擺脫了對(duì)有線網(wǎng)安全的依賴性。2.3.2無(wú)線用戶網(wǎng)絡(luò)接入的安全管理用戶狀態(tài)防火墻是ARUBA無(wú)線交換機(jī)的獨(dú)特功能,它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶這概念,它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略,因此對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端,這種防火墻的功效是不大。ARUBA無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起,當(dāng)無(wú)線用戶成功經(jīng)過(guò)認(rèn)證后,她會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻,不同的無(wú)線用戶有不同的防火墻策略,例如賓館的管理人員和工作人員能夠使用更多的服務(wù),而旅客只能夠?yàn)g覽網(wǎng)頁(yè)或者收發(fā)Email等,這樣能夠極大方便賓館的用戶的安全管理。例如賓館的領(lǐng)導(dǎo)能夠經(jīng)過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)賓館所有的管理、財(cái)務(wù)、人員、航班信息,賓館工作人員能夠經(jīng)過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)航班、旅客、行李信息,旅客能夠經(jīng)過(guò)網(wǎng)絡(luò)訪問(wèn)航班信息、天氣信息,接機(jī)和送機(jī)的客人能夠經(jīng)過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)賓館的公眾網(wǎng)站,了解航班到達(dá)和起飛的具體情況。基于身份的訪問(wèn)原則很好的保護(hù)賓館的網(wǎng)絡(luò)安全,同時(shí)也提供了不同等級(jí)的訪問(wèn)權(quán)限。(如下圖)2.3.3無(wú)線網(wǎng)絡(luò)的安全防護(hù)和監(jiān)控由于無(wú)線終端接入是沒(méi)有明確物理位置限制的,因此管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來(lái)防范無(wú)線連接(防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上)。而且網(wǎng)絡(luò)防火墻是不能防止無(wú)線終端之間的通信,因此萬(wàn)一有無(wú)線終端被病毒感染或黑客在無(wú)線發(fā)起攻擊的話,它都很會(huì)容易散播到其它的無(wú)線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些單位為了安全就采用一刀切的方法,把所有無(wú)線接入?yún)R聚到一個(gè)DMZ內(nèi),再經(jīng)過(guò)一網(wǎng)絡(luò)防火墻的過(guò)濾才讓無(wú)線數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)。這種方式在具體實(shí)施時(shí)有一定的困難,只能局限在傳輸網(wǎng)內(nèi)的某些范圍,因無(wú)線用戶/終端必須集中在一VLAN上處理,否則的話很難把它們匯聚到一個(gè)DMZ內(nèi)。如果不是經(jīng)過(guò)DMZ的話,則可能威脅到內(nèi)網(wǎng)的安全,但要把在不同接入點(diǎn)AP的無(wú)線用戶/終端和有線用戶(在同一接入點(diǎn))完全分隔開(kāi)而設(shè)置到DMZ上的同一個(gè)VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。且未來(lái)如要增加多一些AP接入點(diǎn)的話,亦同樣需要在局域網(wǎng)的接入層,匯聚層做很多改動(dòng)。采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)無(wú)線接入安全保護(hù)的最大問(wèn)題是缺乏靈活性,因它本質(zhì)上不是設(shè)計(jì)來(lái)做內(nèi)部的安全保護(hù),而是用來(lái)確保外來(lái)數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的,因此一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無(wú)線接入的最大區(qū)別在于后者是可對(duì)用戶做認(rèn)證,但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份,因此防火墻的檢查或策略只可按端口和IP原地址來(lái)制定,不論用戶是誰(shuí)。這種模式在企業(yè)內(nèi)部署會(huì)對(duì)用戶的內(nèi)網(wǎng)訪問(wèn)有很多限制,缺乏靈活性,因此是很難被用戶廣泛接受,只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡(jiǎn)單方便,亦可根據(jù)用戶身份來(lái)制定安全訪問(wèn)策略,ARUBA的無(wú)線解決方案就能夠徹底解決這些問(wèn)題。采用ARUBA無(wú)線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制能夠?qū)崟r(shí)監(jiān)測(cè)大廈無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。經(jīng)過(guò)ARUBA的網(wǎng)絡(luò)安全管理系統(tǒng),網(wǎng)絡(luò)安全管理人員能夠及時(shí)發(fā)現(xiàn)是否有非法的AP接入,發(fā)現(xiàn)后能夠開(kāi)啟自動(dòng)保護(hù)機(jī)制,阻止無(wú)線終端經(jīng)過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)中。在賓館網(wǎng)絡(luò)中,如果某位賓館工作人員或合作單位的人員私下安裝了無(wú)線的AP,提供了直接連接賓館內(nèi)網(wǎng)的接入,ARUBA無(wú)線安全管理的功能能夠及時(shí)的發(fā)現(xiàn)這個(gè)非法的AP,而且能夠通知管理人員斷掉非法AP的網(wǎng)絡(luò)連接,顯示非法AP接入的大致方位。今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載,這些工具的普及對(duì)賓館和運(yùn)營(yíng)商的無(wú)線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能,因此當(dāng)受到像無(wú)線DOS攻擊時(shí),就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶的無(wú)線連接斷線,但網(wǎng)管中心依然不知,用戶則誤以為是網(wǎng)絡(luò)問(wèn)題,間接影響無(wú)線網(wǎng)系統(tǒng)的品質(zhì)。ARUBA無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專(zhuān)有的網(wǎng)絡(luò)處理器和加密處理器組成,且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù),實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包,當(dāng)ARUBA無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí),它會(huì)記錄和顯示入侵的格式,并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。2.3.4無(wú)線局域網(wǎng)的認(rèn)證與加密傳統(tǒng)的無(wú)線局域網(wǎng)解決方案中用戶認(rèn)證主要依賴于802.1x,這種認(rèn)證方法需要用戶安裝802.1x客戶端程序,后端還需要Radius服務(wù)器支持。一方面用戶的技術(shù)水平參差不齊,客戶端的操作系統(tǒng)多種多樣,以及系統(tǒng)可能出現(xiàn)的軟件沖突等,對(duì)802.1x客戶端的安裝造成極大障礙,另一方面,后端的數(shù)據(jù)庫(kù)只能使用Radius,不能使用其它類(lèi)型的認(rèn)證數(shù)據(jù)庫(kù),在適應(yīng)性上也比較差,這些對(duì)于大規(guī)模推廣和使用都是極大的阻礙?？紤]到客戶所使用的設(shè)備安全認(rèn)證的多樣性,我們認(rèn)為將來(lái)的的接入方式能夠多種選擇,賓館的工作人員可能經(jīng)過(guò)手持PDA設(shè)備查詢客房信息,旅客能夠經(jīng)過(guò)賓館提供的PC機(jī)查詢信息,賓館的工作人員和賓館的合作單位能夠經(jīng)過(guò)筆記本電腦上網(wǎng),賓館同時(shí)能夠考慮提供WiFi手機(jī)提供語(yǔ)音的服務(wù)。在ARUBA無(wú)線系統(tǒng)中,一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)以后,只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限,這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段,只讓用戶經(jīng)過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包,經(jīng)過(guò)認(rèn)證以后才能夠接入無(wú)線網(wǎng)。ARUBA無(wú)線系統(tǒng)支持當(dāng)前各種用戶認(rèn)證的方式(802.1X、WEB認(rèn)證、MAC、SSID、VPN等),賓館用戶能夠根據(jù)需要方便選擇。我們能夠考慮賓館的工作人員和賓館的管理人員能夠經(jīng)過(guò)身份認(rèn)證的方式登陸到賓館內(nèi)網(wǎng),旅客能夠經(jīng)過(guò)WEB界面訪問(wèn)賓館的公眾服務(wù)器,遠(yuǎn)程的賓館員工能夠經(jīng)過(guò)VPN的方式訪問(wèn)賓館內(nèi)網(wǎng)。WiFi手機(jī)的用戶能夠事先設(shè)置好登陸的方式。ARUBA無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是經(jīng)過(guò)AP,而是在ARUBA無(wú)線交換機(jī)上實(shí)現(xiàn)。由于ARUBA的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置(IP地址除外)和安全設(shè)置,因此ARUBA管理的AP是不能單獨(dú)工作的,因此獲得和接入進(jìn)ARUBAAP,黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。但一個(gè)破壞者經(jīng)過(guò)其它的手段(偷盜和竊取)攻破了邊緣的接入網(wǎng)絡(luò),她也無(wú)法破譯ARUBA無(wú)線網(wǎng)絡(luò)建立起的加密通道,無(wú)法竊取網(wǎng)絡(luò)的真實(shí)信息。2.3.5多種用戶認(rèn)證方式在Aruba無(wú)線系統(tǒng)中,一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)絡(luò)以后,只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限,這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段,只讓用戶經(jīng)過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包,經(jīng)過(guò)認(rèn)證以后才能夠接入無(wú)線網(wǎng)絡(luò)。Aruba無(wú)線系統(tǒng)支持當(dāng)前各種用戶認(rèn)證的方式(802.1X、WEB認(rèn)證、MAC、SSID、VPN等),無(wú)線網(wǎng)絡(luò)用戶能夠根據(jù)需要方便選擇。2.3.6獨(dú)特的無(wú)線訪問(wèn)控制用戶狀態(tài)防火墻是Aruba無(wú)線交換機(jī)的獨(dú)特功能,它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶這概念,它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略,因此對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端,這種防火墻的功效是不大。Aruba無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起,當(dāng)無(wú)線用戶成功經(jīng)過(guò)認(rèn)證后,她會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻,不同的無(wú)線用戶有不同的防火墻策略,例如單位的工作人員能夠使用更多的服務(wù),而來(lái)訪人員只能夠?yàn)g覽網(wǎng)頁(yè)、收發(fā)Email等,這樣能夠極大方便無(wú)線網(wǎng)絡(luò)用戶的安全管理。2.3.7安全的AP技術(shù)Aruba無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是經(jīng)過(guò)AP,而是在Aruba無(wú)線交換機(jī)上實(shí)現(xiàn)。由于Aruba的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置(IP地址除外)和安全設(shè)置,因此Aruba管理的AP是不能單獨(dú)工作的,因此獲得和接入進(jìn)ArubaAP,黑客也不會(huì)拿到無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)和安全配置參數(shù)。2.3.8無(wú)線接入點(diǎn)安全偵測(cè)和保護(hù)采用Aruba無(wú)線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制能夠?qū)崟r(shí)監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。經(jīng)過(guò)Aruba的網(wǎng)絡(luò)安全管理系統(tǒng),網(wǎng)絡(luò)安全管理人員能夠及時(shí)發(fā)現(xiàn)是否有非法的AP接入,發(fā)現(xiàn)后能夠開(kāi)啟自動(dòng)保護(hù)機(jī)制,阻止無(wú)線終端經(jīng)過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)絡(luò)中。2.3.9無(wú)線網(wǎng)絡(luò)入侵偵測(cè)今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載,這些工具的普及對(duì)用戶的無(wú)線網(wǎng)絡(luò)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能,因此當(dāng)受到像無(wú)線DOS攻擊時(shí),就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶的無(wú)線連接斷線,但網(wǎng)管中心依然不知,用戶則誤以為是網(wǎng)絡(luò)問(wèn)題,間接影響無(wú)線網(wǎng)絡(luò)系統(tǒng)的品質(zhì)。Aruba無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專(zhuān)有的網(wǎng)絡(luò)處理器和加密處理器組成,且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù),實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包,當(dāng)Aruba無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí),它會(huì)記錄和顯示入侵的格式,并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。2.3.10無(wú)線接入的病毒防護(hù)Aruba無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面,一、無(wú)線終端的準(zhǔn)入檢查;二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查,當(dāng)無(wú)線終端連接到Aruba無(wú)線系統(tǒng)中,當(dāng)試圖訪問(wèn)網(wǎng)絡(luò),在用戶認(rèn)證之前,需要下載一個(gè)基于JAVA的程序,能夠?qū)o(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況,做一個(gè)檢查,如果不能經(jīng)過(guò)檢查,能夠設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò),也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)升級(jí)服務(wù)器,打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼,滿足系統(tǒng)制定的安全策略以后,該無(wú)線終端才能夠進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。當(dāng)無(wú)線終端經(jīng)過(guò)了準(zhǔn)入檢查,可是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。Aruba公司和第三方的防病毒墻廠家合作,在Aruba無(wú)線交換機(jī)上能夠設(shè)定策略,某些用戶,以及某些可能沾染病毒的數(shù)據(jù),Aruba交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查,檢查完成后,才允許經(jīng)過(guò),否則會(huì)將數(shù)據(jù)丟棄。基于上述兩個(gè)層面,Aruba無(wú)線局域網(wǎng)系統(tǒng)對(duì)無(wú)線終端進(jìn)行有效和方便的病毒防護(hù)。2.3.11無(wú)線射頻終端的定位無(wú)線終端定位是ARUBA系統(tǒng)的一大特色功能。此功能亦被稱為”三角定位”,是指當(dāng)一個(gè)無(wú)線終端同時(shí)被三個(gè)以上的AP信號(hào)覆蓋著,即可跟蹤和定出無(wú)線終端的位置。它的準(zhǔn)確度可達(dá)到2.5米以內(nèi),與無(wú)線終端使用者無(wú)關(guān),諸如無(wú)線接入的電腦、PDA和WiFi手機(jī)等,只要附近范圍內(nèi)存在最少三個(gè)ARUBA的AP即可,這也是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的。在賓館內(nèi)常常采用了三角無(wú)線定位技術(shù)來(lái)資產(chǎn)管理追蹤,找尋地勤人員,以及定位找出非法入侵的AP和無(wú)線終端。三、XX酒店Aruba無(wú)線局域網(wǎng)系統(tǒng)實(shí)現(xiàn)3.1無(wú)線覆蓋設(shè)計(jì)實(shí)現(xiàn)AP放置于相應(yīng)的位置,用于覆蓋走廊以及房間內(nèi)。3.2無(wú)線組網(wǎng)實(shí)現(xiàn)根據(jù)XX酒店的實(shí)際測(cè)量配置Aruba無(wú)線交換機(jī)與無(wú)線接入點(diǎn)Aruba41AP數(shù)量。估算AP書(shū)量見(jiàn)下頁(yè)AP分布表。AP上聯(lián)方式:以樓層為單位,在每個(gè)需要布放AP的位置拉放網(wǎng)線,AP連接在樓層的配線間中,使用POE供電設(shè)備給AP供電。ARUBA無(wú)線交換機(jī)放置XX酒店的網(wǎng)絡(luò)中心機(jī)房?jī)?nèi),并與核心交換機(jī)直接連接。Aruba交換機(jī)可進(jìn)行堆疊式的管理,有很高的擴(kuò)展性,可將其中的一臺(tái)Aruba6000設(shè)置成Master,用于無(wú)線局域網(wǎng)系統(tǒng)的集中控管和AP的接入,其它Aruba交換機(jī)配置成Local,用于AP的接入,并能夠接受Master的管理。由此可見(jiàn)Aruba無(wú)線系統(tǒng)擴(kuò)展十分方便,而且不改變集中管理的模式,因此使用Aruba組建無(wú)線網(wǎng)絡(luò),是對(duì)用戶的投資保護(hù),隨著無(wú)線網(wǎng)絡(luò)規(guī)模的擴(kuò)展,原有的設(shè)備都能夠繼續(xù)使用。AP的選擇:Aruba61是單射頻多波段(802.11a/b/g)瘦接入點(diǎn)。Aruba61有一個(gè)內(nèi)部天線,能夠經(jīng)過(guò)墻上插孔在用戶空間中部署。它經(jīng)過(guò)符合標(biāo)準(zhǔn)的PoE(以太網(wǎng)供電)來(lái)供電。Aruba61是為天花板下面的經(jīng)濟(jì)型應(yīng)用設(shè)計(jì)的,是在服務(wù)802.11a、b和g客戶端組合的用戶空間中密集部署的理想選擇。Aruba61還非常適合家庭、零售店和分支機(jī)構(gòu)中的移動(dòng)邊緣部署。AP的供電采用單獨(dú)的Poe供電設(shè)備(或與原有的普通樓層交換機(jī)配合,不用添加新的POE交換機(jī)),用于AP的數(shù)據(jù)接入和供電,又不增加過(guò)多的成本。在XX酒店無(wú)線信號(hào)覆蓋設(shè)計(jì)中,我們根據(jù)酒店圖紙測(cè)量出需要ArubaAP41數(shù)量為:AP總數(shù)量為597個(gè)(其中XX酒店AP分布數(shù)量為318個(gè),XX酒店AP分布數(shù)量為279個(gè))。覆蓋數(shù)量為估測(cè)值。XX酒店AP數(shù)量分布:序號(hào)樓層AP型號(hào)AP數(shù)量備注11層ArubaAP6110個(gè)22層ArubaAP619個(gè)33-6層ArubaAP6156個(gè)47層ArubaAP6114個(gè)58-13層ArubaAP6184個(gè)614層ArubaAP6112個(gè)715層ArubaAP6110個(gè)816-20層ArubaAP6140個(gè)9B1層ArubaAP618個(gè)10B2層ArubaAP6123個(gè)11B3層ArubaAP615個(gè)12B4層ArubaAP614個(gè)13設(shè)備夾層ArubaAP619個(gè)14電梯緩沖層ArubaAP615個(gè)15電梯內(nèi)部ArubaAP619個(gè)16樓梯ArubaAP6114個(gè)17室外6個(gè)XX酒店AP數(shù)量分布:序號(hào)樓層AP型號(hào)AP數(shù)量備注11層ArubaAP619個(gè)23-12層ArubaAP61160個(gè)313層ArubaAP6114個(gè)414層ArubaAP618個(gè)5B1層ArubaAP6110個(gè)6B2層ArubaAP619個(gè)7B3層ArubaAP612個(gè)8B4層ArubaAP612個(gè)9設(shè)備夾層ArubaAP6110個(gè)10地面夾層ArubaAP6119個(gè)11電梯內(nèi)部ArubaAP616個(gè)12樓梯ArubaAP6114個(gè)13屋頂機(jī)房6個(gè)注:為實(shí)現(xiàn)電梯覆蓋問(wèn)題,需電梯內(nèi)加設(shè)無(wú)線網(wǎng)橋,以上共加設(shè)15套網(wǎng)橋。加入無(wú)線網(wǎng)絡(luò)后的拓?fù)浣Y(jié)構(gòu)如下圖所示:無(wú)線網(wǎng)絡(luò)系統(tǒng)設(shè)備列表:產(chǎn)品號(hào)產(chǎn)品描述數(shù)量移動(dòng)控制器6000-BASE-2PSU-200Aruba6000BaseSystem(StandardPower)1SC-256-C2ArubaSupervisorCardII(256APSupport)2LC-2GAruba2xGELineCard1LIC-SC2-PEFPolicyEnforcementFirewallModuleforArubaSupervisorCardII(256AP)2LIC-SC2-WIPWirelessIntrusionProtectionModuleforArubaSupervisorCardII(256AP)26000-BASE-2PSU-200Aruba6000BaseSystem(StandardPower)1SC-128-C1ArubaSupervisorCardI(128APSupport)1LC-2GAruba2xGELineCard1LIC-SC1-PEFPolicyEnforcementFirewallModuleforArubaSupervisorCardI(128AP)1LIC-SC1-WIPWirelessIntrusionProtectionModuleforArubaSupervisorCardI(128AP)1APAP-61Aruba61WirelessAccessPoint597AP-60-MNTAruba60/61WirelessAccessPointWall/CeilingMountingKit5973.3無(wú)線網(wǎng)業(yè)務(wù)實(shí)現(xiàn)從XX酒店的無(wú)線網(wǎng)用戶類(lèi)型與應(yīng)用類(lèi)型情況分析,用戶主要有:(1)酒店的房客;(2)參加會(huì)議人員;(3)酒店工作人員;(4)長(zhǎng)期租用酒店辦公的人員。應(yīng)用主要有:(1)實(shí)現(xiàn)無(wú)線上網(wǎng)服務(wù)。(2)和北電CS1000M交換機(jī)互連,實(shí)現(xiàn)酒店工作人員的無(wú)線語(yǔ)音應(yīng)用。采用Aruba無(wú)線系統(tǒng)的多SSID結(jié)構(gòu)的管理技術(shù)將不同類(lèi)型的用戶和應(yīng)用劃分到不同的SSID中,賦予不同的訪問(wèn)規(guī)則與權(quán)限以及配置不同的管理策略。建立一個(gè)SSID,為酒店的房客、參加會(huì)議人員和酒店提供的客人服務(wù)系統(tǒng)使用,能夠不用加密,只做基于WEB的接入認(rèn)證。需要的化能夠?yàn)樘厥饪蛻羰褂没赩PN的加密,以保證安全。Aruba能夠和后端計(jì)費(fèi)系統(tǒng)建立連接,來(lái)對(duì)客戶進(jìn)行計(jì)費(fèi)。酒店工作人員的Wi-Fi語(yǔ)音應(yīng)用使用專(zhuān)門(mén)的SSID。能夠使用基于MAC地址的認(rèn)證方式,并將訪問(wèn)策略中的語(yǔ)音業(yè)務(wù)應(yīng)用優(yōu)先級(jí)提到最高,以確保這些服務(wù)的質(zhì)量。同時(shí)不允許其它應(yīng)用的使用,以防止其它用戶使用該SSID連接無(wú)線網(wǎng)絡(luò)。綜上所述,XX酒店的無(wú)線局域網(wǎng)系統(tǒng)共開(kāi)設(shè)2個(gè)SSID。1個(gè)SSID用于數(shù)據(jù)應(yīng)用,分別對(duì)應(yīng)2類(lèi)用戶。并同時(shí)采用不同的認(rèn)證、加密和安全控管的手段,以方便的實(shí)現(xiàn)網(wǎng)絡(luò)安全和管理。3.4無(wú)線用戶和設(shè)備的管理實(shí)現(xiàn)在Aruba無(wú)線交換機(jī)上能夠直接集中的管理所有的AP,查看其運(yùn)行狀態(tài),以及所有連接用戶的連接狀態(tài)、用戶權(quán)限、連接時(shí)間等,這種集中控管的能力和管理方式,將極大降低XX酒店的管理難度和管理成本,作為酒店的運(yùn)營(yíng)來(lái)說(shuō)也是非常有實(shí)際意義的。3.5無(wú)線射頻管理實(shí)現(xiàn)由于無(wú)線電波是一種無(wú)形的東西,它的強(qiáng)度和所在的信道一般都需要根據(jù)經(jīng)驗(yàn)手工調(diào)整,要做到無(wú)線信號(hào)均勻分布,信道的利用率高,無(wú)信道干擾并不是件非常容易的事情,可是Aruba系統(tǒng)的RF智能控管能夠自動(dòng)調(diào)節(jié)網(wǎng)上所有ArubaAP的電波特性。能夠保證無(wú)線信號(hào)均勻分布,信道的利用率高,無(wú)信道干擾,無(wú)線網(wǎng)絡(luò)做到最為優(yōu)化的運(yùn)行。當(dāng)初次安裝無(wú)線局域網(wǎng)時(shí),用戶可經(jīng)過(guò)RFPlanning的AutoCalibration功能來(lái)自動(dòng)調(diào)節(jié)整個(gè)無(wú)線網(wǎng)絡(luò)上所有AP的無(wú)線電波頻率和功率。啟動(dòng)了AutoCalibration以后AP和AP之間會(huì)自動(dòng)互傳有關(guān)無(wú)線電波的信息和調(diào)整電波的參數(shù),直到AP之間達(dá)到了一個(gè)最優(yōu)化的無(wú)線電波運(yùn)行環(huán)境。當(dāng)無(wú)線局域網(wǎng)經(jīng)過(guò)AutoCalibration調(diào)整后而正式運(yùn)作時(shí),網(wǎng)絡(luò)管理員可在Aruba交換機(jī)內(nèi)啟動(dòng)ARM功能,則無(wú)線網(wǎng)絡(luò)上所有的ArubaAP都會(huì)在設(shè)定的時(shí)間內(nèi)自行掃描其它的無(wú)線頻道。所謂電波掃描,是指ArubaAP從一個(gè)電波頻道跳到另一頻道時(shí),如Ch1到Ch2到Ch3,由于掃描的速度非?？?因此對(duì)于在線的無(wú)線用戶(指連接到AP上在同一頻率上的無(wú)線終端)的傳輸過(guò)程是不受到影響的。當(dāng)AP停留在一個(gè)頻道時(shí),它會(huì)把在這頻道上收到的無(wú)線電波信息轉(zhuǎn)送回Aruba無(wú)線交換機(jī)。這樣Aruba無(wú)線交換機(jī)就對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)上的電波情況有了一定了解和記錄。當(dāng)某一覆蓋范圍內(nèi)的電波改變,如出現(xiàn)干擾AP所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等,Aruba無(wú)線交換機(jī)就會(huì)把所獲取的無(wú)線電波資料做分析,以確定是否需要調(diào)整范圍內(nèi)AP的無(wú)線電波。3.6支撐多業(yè)務(wù)的網(wǎng)絡(luò)應(yīng)用3.6.1無(wú)線網(wǎng)絡(luò)的QoS實(shí)施與保障策略ARUBA的AP所使用的硬件支持無(wú)線多媒體擴(kuò)展(WME)的隊(duì)列,同時(shí)能夠?qū)⑦@些射頻的隊(duì)列映射到IP的QoS機(jī)制如DSCP和802.1來(lái)保證無(wú)線的應(yīng)用能夠在有線的網(wǎng)絡(luò)上獲得相應(yīng)的優(yōu)先級(jí)。另外,阿爾卡特在支持802.11e服務(wù)質(zhì)量的基礎(chǔ)上,增加了基于用戶狀態(tài)流的區(qū)分和優(yōu)先級(jí)映射,使得同一個(gè)設(shè)備的不同應(yīng)用能夠得到不同的處理優(yōu)先級(jí)。區(qū)分?jǐn)?shù)據(jù)流的各種參數(shù)能夠包括源/目的地址、協(xié)議、服務(wù)(如HTTP、TFTP、SIP等)。ARUBA的無(wú)線交換機(jī)在啟用內(nèi)置的防火墻時(shí),能夠識(shí)別數(shù)據(jù)流的狀態(tài)和類(lèi)型,因此能夠根據(jù)用戶或應(yīng)用來(lái)分配不同的帶寬。帶寬分配是在無(wú)線交換機(jī)內(nèi)由一個(gè)專(zhuān)業(yè)的漏桶算法來(lái)控制的,當(dāng)用戶的流量超過(guò)預(yù)定義的帶寬時(shí),數(shù)據(jù)包將被丟棄。ARUBA的AP和無(wú)線交換機(jī)能夠利用802.1p和IPDSCP來(lái)給網(wǎng)絡(luò)里的數(shù)據(jù)包來(lái)標(biāo)記QoS的優(yōu)先級(jí):下行——往無(wú)線用戶的方向,無(wú)線交換機(jī)根據(jù)應(yīng)用和流的標(biāo)識(shí)來(lái)標(biāo)記802.1p標(biāo)簽,無(wú)線交換機(jī)內(nèi)部的狀態(tài)防火墻能夠識(shí)別需要高優(yōu)先級(jí)的數(shù)據(jù)流,然后根據(jù)用戶定義的802.1p標(biāo)簽來(lái)標(biāo)記相應(yīng)的數(shù)據(jù)包,這樣在無(wú)線交換機(jī)和AP之間的網(wǎng)絡(luò)就能夠據(jù)此來(lái)保證下行數(shù)據(jù)的優(yōu)先級(jí);當(dāng)AP收到下行數(shù)據(jù)時(shí),它能夠根據(jù)數(shù)據(jù)包的GRE包頭的信息來(lái)確定該數(shù)據(jù)包的優(yōu)先級(jí)。上行——無(wú)線用戶往AP的方向,AP不作解密的工作,因此沒(méi)有辦法知道數(shù)據(jù)流的優(yōu)先級(jí),可是一旦高優(yōu)先級(jí)的數(shù)據(jù)流到達(dá)無(wú)線交換機(jī),該數(shù)據(jù)流就立即被識(shí)別而且AP被告知哪個(gè)用戶具有較高的優(yōu)先級(jí),此后該用戶的數(shù)據(jù)流就會(huì)被標(biāo)上用戶定義的802.1p標(biāo)簽。當(dāng)前,由于無(wú)線上的服務(wù)質(zhì)量標(biāo)準(zhǔn)802.11e還沒(méi)有最后定稿,因此ARUBA支持Wi-Fi聯(lián)盟的WMM規(guī)范(802.11e的子集)。一旦IEEE802.11e被定稿和正式公布,ARUBA將完全支持該標(biāo)準(zhǔn)。ARUBA的AP具有8個(gè)硬件隊(duì)列,當(dāng)前只使用了兩個(gè):高優(yōu)先級(jí)和低優(yōu)先級(jí),以后能夠配合802.11e標(biāo)準(zhǔn)的發(fā)布啟用8個(gè)隊(duì)列,以實(shí)現(xiàn)更為豐富的服務(wù)質(zhì)量保證方案。賓館作為人員流動(dòng)最頻繁的場(chǎng)所,提供WiFi服務(wù)不但能夠?yàn)槌丝吞峁└悠毡榻邮艿姆?wù),同樣能夠?yàn)橘e館的無(wú)線信息化建設(shè)提供廣闊的應(yīng)用空間,提高賓館的綜合競(jìng)爭(zhēng)力提升賓館的形象。經(jīng)過(guò)讓賓館員工能夠隨時(shí)隨地訪問(wèn)必要的信息,WLAN能夠幫助賓館提高了員工的生產(chǎn)率。覆蓋整個(gè)賓館的統(tǒng)一WLAN平臺(tái)還能夠?yàn)闃I(yè)務(wù)伙伴――包括航空公司、代理機(jī)構(gòu)、零售商和――提供了支持無(wú)線技術(shù)的服務(wù),讓她們能夠提高運(yùn)營(yíng)效率。多家電信運(yùn)營(yíng)商還將在該平臺(tái)上提供無(wú)線互聯(lián)網(wǎng)接入,讓用戶能夠選擇多種服務(wù)。當(dāng)所有的數(shù)據(jù)、語(yǔ)音和圖像的應(yīng)用共同運(yùn)行在賓館的統(tǒng)一無(wú)線網(wǎng)絡(luò)環(huán)境中時(shí),當(dāng)不同的用戶包括普通乘客、VIP乘客、賓館工作人員、合作伙伴等共同運(yùn)行在賓館的統(tǒng)一無(wú)線網(wǎng)絡(luò)環(huán)境中時(shí),ARUBA的無(wú)線解決方案能夠根據(jù)賓館網(wǎng)絡(luò)應(yīng)用的實(shí)際需要保證不同重要性的應(yīng)用具有不同的優(yōu)先級(jí),從而保證在網(wǎng)絡(luò)流量發(fā)生擁擠時(shí)關(guān)鍵性應(yīng)用的網(wǎng)絡(luò)服務(wù)質(zhì)量。例如:移動(dòng)值機(jī)柜臺(tái)應(yīng)用,RFID行李管理系統(tǒng)、賓館內(nèi)部VOIP語(yǔ)音系統(tǒng),賓館無(wú)線視頻監(jiān)控系統(tǒng),當(dāng)這些應(yīng)用統(tǒng)一運(yùn)行在ARUBA無(wú)線網(wǎng)絡(luò)平臺(tái)上時(shí),在ARUBA的解決方案中能夠支持對(duì)不同的應(yīng)用的優(yōu)先級(jí)設(shè)定從而保證在ARUBA無(wú)線平臺(tái)上保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬。3.6.2網(wǎng)絡(luò)系統(tǒng)的自愈功能傳統(tǒng)無(wú)線網(wǎng)絡(luò)里的每個(gè)AP都是一個(gè)獨(dú)立的個(gè)體,相互之間不存在任何溝通與協(xié)商,如果有某一AP突然損壞或失效時(shí),這個(gè)AP原來(lái)覆蓋區(qū)域就會(huì)失去無(wú)線連接,無(wú)線網(wǎng)絡(luò)變得不可用。遇到這種情況的一般做法就是馬上把失效的AP更換。但由于大多數(shù)的AP都是布置在樓道里(并不是在機(jī)房),因此不一定能馬上作更換,現(xiàn)場(chǎng)的環(huán)境也有局限性,很多時(shí)候維護(hù)人員較難即時(shí)做出更換動(dòng)作(很多的AP都是安裝在天花板上)。而且,從故障發(fā)現(xiàn),處理,找到新AP,替換,整個(gè)過(guò)程需時(shí)漫長(zhǎng),特別是這對(duì)于一些緊急的應(yīng)用是不能接受的。因此我們必須尋找另一種方法去縮短故障處理周期。于是,ARUBA系統(tǒng)設(shè)計(jì)了故障自動(dòng)恢復(fù)的功能,實(shí)時(shí)偵測(cè)出線上AP是否存在失效,當(dāng)發(fā)現(xiàn)有AP出現(xiàn)故障時(shí),ARUBA無(wú)線交換機(jī)即能在很短的時(shí)間內(nèi)自動(dòng)調(diào)節(jié)鄰近的AP射頻參數(shù),一般是加大發(fā)射功率(覆蓋范圍),共同接替原失效AP覆蓋的區(qū)域。這個(gè)功能對(duì)于每一刻鐘都在繁忙運(yùn)作的賓館來(lái)說(shuō),是很有意義的,眾所周知賓館內(nèi)部建筑都非常高大和寬廣,每更換一個(gè)AP都是一次具大工程,必然導(dǎo)致網(wǎng)絡(luò)長(zhǎng)時(shí)間中斷,對(duì)于賓館不間斷運(yùn)作是不能接受的。特別地面通訊,航班調(diào)配,人命關(guān)天。有了ARUBA這個(gè)具備高冗余特性的系統(tǒng)后,只要很短時(shí)間內(nèi)即可恢復(fù)故障,滿足賓館的運(yùn)作需要。3.6.3無(wú)線接入的負(fù)載均衡賓館的特點(diǎn)是乘客人流大,分布不均,特別是會(huì)議室及咖啡廳等一些公共場(chǎng)所,可能某個(gè)時(shí)刻某個(gè)位置特別多賓客利用無(wú)線上網(wǎng),這時(shí)她們可能同時(shí)連接上負(fù)責(zé)此區(qū)域無(wú)線覆蓋的一個(gè)AP,爭(zhēng)用共享帶寬,人均帶寬變小。而這時(shí)鄰近此位置的乘客可能非常少,負(fù)責(zé)該區(qū)域的AP負(fù)載較輕,顯得有點(diǎn)浪費(fèi)。整體來(lái)看,就是網(wǎng)絡(luò)資源沒(méi)有被得到充分和合理的利用。因此,ARUBA提出了無(wú)線網(wǎng)絡(luò)負(fù)載均衡的特性,讓系統(tǒng)根據(jù)負(fù)載情況自動(dòng)分配無(wú)線網(wǎng)絡(luò)資源。在一個(gè)AP的覆蓋范圍內(nèi),無(wú)線連接的帶寬是共享,即無(wú)線終端數(shù)目越多,每個(gè)終端所能分享的帶寬就越小。要確保每個(gè)無(wú)線終端的傳輸就必須能限制一個(gè)AP上無(wú)線終端的數(shù)量或AP帶寬傳輸總和或和每個(gè)無(wú)線終端帶寬上限。在ARUBA的無(wú)線架構(gòu)里,經(jīng)過(guò)集中式管理,邏輯上相當(dāng)于一個(gè)大的AP,即無(wú)線交換機(jī),在無(wú)線交換機(jī)里有全部分布AP的列表和負(fù)載狀況,于是,無(wú)線交換機(jī)會(huì)根據(jù)負(fù)載情況,例如指示一些連接用戶數(shù)量較多的AP把其覆蓋范圍內(nèi)的無(wú)線用戶或終端分散連接到鄰近的AP上,從而分擔(dān)AP的負(fù)擔(dān),亦減少爭(zhēng)用帶寬的機(jī)率。從而使網(wǎng)絡(luò)資源得到充份的利用。ARUBA無(wú)線系統(tǒng)還能夠透過(guò)應(yīng)用層面即4－7層交換模塊來(lái)實(shí)現(xiàn)服務(wù)器的負(fù)載均衡,VPN設(shè)備,防火墻設(shè)備等等一系列基于TCP/IP協(xié)議設(shè)備的負(fù)載均衡來(lái)保證整體網(wǎng)絡(luò)的可靠性。負(fù)載均衡功能特性在語(yǔ)音和視頻應(yīng)用里也是很有意義的。3.6.4VoWLAN無(wú)線語(yǔ)音通信系統(tǒng)隨著VoIP的越來(lái)越普及(如Skype,…等),基于SIP的Wi-Fi電話將迅速變?yōu)槠髽I(yè)內(nèi)部員工之間話音聯(lián)絡(luò)的主流。Wi-Fi電話可在包括校園、酒店,醫(yī)院、賓館等地方使用,這是一般辦公室無(wú)線電話(傳統(tǒng)的電話交換機(jī))不能做到的。簡(jiǎn)單地說(shuō),用戶可在有寬帶接入的地方繼續(xù)使用辦公室的電話號(hào)碼,不論是國(guó)內(nèi)或國(guó)外。對(duì)于一些經(jīng)常出差的用戶VoWiFi會(huì)帶來(lái)極大的方便,亦可節(jié)省長(zhǎng)途電話費(fèi)。很多手機(jī)廠家已開(kāi)始推出雙模制式的手機(jī)(GSM/CDMA+Wi-Fi),用戶很快就能夠漫游于手機(jī)移動(dòng)網(wǎng)和無(wú)線局域網(wǎng)之間。ARUBA的無(wú)線交換技術(shù)已經(jīng)證明很多業(yè)界VoIP系統(tǒng)在ARUBA系統(tǒng)上成功的運(yùn)行,且在最近的NetworkWorldVoWLAN測(cè)試結(jié)果被評(píng)選為市場(chǎng)上最卓越的產(chǎn)品。在具體實(shí)現(xiàn)Wi-Fi語(yǔ)音時(shí)要注意考慮語(yǔ)音的時(shí)延,AP呼叫的容量,和漫游切換時(shí)間。特別語(yǔ)音的漫游,它會(huì)比一般的數(shù)據(jù)移動(dòng)傳輸更普及,但相正確要求也較嚴(yán)緊,因此要在無(wú)線局域網(wǎng)實(shí)現(xiàn)語(yǔ)音和數(shù)據(jù)融合,就不能隨意的安裝一些AP,而必須是有規(guī)范的組建無(wú)線局域網(wǎng)。ARUBA無(wú)線系統(tǒng)可容許用戶設(shè)置專(zhuān)有的語(yǔ)音SSID,把單純是數(shù)據(jù)傳輸?shù)挠脩艉蚖i-Fi手機(jī)用戶分開(kāi),但也能夠在單一SSID內(nèi)同時(shí)傳送數(shù)據(jù)和話音,關(guān)鍵的重點(diǎn)就是怎樣保證語(yǔ)音傳輸?shù)馁|(zhì)量。ARUBA無(wú)線交換機(jī)內(nèi)的用戶防火墻可把SIP/RTP等VoIP協(xié)議數(shù)據(jù)包放在較高的優(yōu)先隊(duì)列,因此就可確保在數(shù)據(jù)和語(yǔ)音同時(shí)傳送時(shí),語(yǔ)音的質(zhì)量不受影響。另在語(yǔ)音安全接入方面,ARUBA可防止沒(méi)有無(wú)線語(yǔ)音權(quán)限的用戶使用無(wú)線語(yǔ)音,以確保網(wǎng)絡(luò)資源能有效運(yùn)用。ARUBA的WLAN解決方案具有良好的語(yǔ)音支持性能,利用ARUBA的WLAN解決方案能夠使賓館原有集團(tuán)電話與無(wú)線IP網(wǎng)絡(luò)完美結(jié)合,使用WiFi手機(jī)便可實(shí)現(xiàn)手機(jī)之間、手機(jī)與座機(jī)分機(jī)之間的互通,并可撥打落地電話,使賓館的辦公效率大大提高。ARUBA無(wú)線局域網(wǎng)支持全網(wǎng)AP間的漫游,具有良好的語(yǔ)音表現(xiàn)。賓館內(nèi)部工作人員使用WiFi手機(jī)能夠代替對(duì)講機(jī),將大大提高賓館內(nèi)部通訊效率,WiFi手機(jī)具有非常小的發(fā)射功率,使無(wú)線信號(hào)對(duì)各種儀器的干擾降到最低。利用ARUBA的無(wú)線移動(dòng)網(wǎng)絡(luò)解決方案能夠經(jīng)過(guò)統(tǒng)一的WiFi網(wǎng)絡(luò)同時(shí)支持語(yǔ)音和數(shù)據(jù)業(yè)務(wù),支持多樣化的通信手段,同時(shí)能夠簡(jiǎn)化網(wǎng)絡(luò)管理,實(shí)現(xiàn)集中控制,使人員的移動(dòng)、增加和變動(dòng)都更加簡(jiǎn)單輕松、成本低廉。由于采用開(kāi)放、標(biāo)準(zhǔn)的協(xié)議和結(jié)構(gòu),該解決方案還能夠?qū)崿F(xiàn)各種應(yīng)用的集成,更易于開(kāi)創(chuàng)新服務(wù)。對(duì)于賓館來(lái)說(shuō),能夠?qū)崿F(xiàn)生產(chǎn)力的顯著提升、節(jié)約成本。賓館可經(jīng)過(guò)自己建立的無(wú)線網(wǎng)絡(luò)系統(tǒng),開(kāi)發(fā)一些基于無(wú)線網(wǎng)絡(luò)的增值應(yīng)用,建立網(wǎng)絡(luò)的IP語(yǔ)音通訊服務(wù)平臺(tái)。賓客或工作人員可經(jīng)過(guò)手持無(wú)線語(yǔ)音設(shè)備。3.6.5無(wú)縫的跨越不同的IP子網(wǎng)漫游在傳統(tǒng)無(wú)線網(wǎng)絡(luò)內(nèi),無(wú)線終端要跨越不同AP之間漫游是有一定的困難的,因?yàn)椴煌珹P它的無(wú)線用戶IP子網(wǎng)