小虫IT服务-酒店无线网络覆盖解决方案.doc

《小虫IT服务-酒店无线网络覆盖解决方案.doc》由会员分享，可在线阅读，更多相关《小虫IT服务-酒店无线网络覆盖解决方案.doc（39页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date小虫IT服务-酒店无线网络覆盖解决方案NEWLX 北京小虫IT网络服务 您身边电脑网络专家XXXXX酒店无线覆盖解决方案XXXXX有限公司目 录一.XXXX酒店新一代无线局域网系统的建设需求31.1项目背景31.2 XXXX酒店无线覆盖规划3二.新一代无线局域网设计原则和技术需求32.1遵循标准32.2技术成熟42.3安全可靠42.4可扩展可升级42.5易管理易维护5

2、三.Aruba无线交换局域网系统的技术特点53.1 Aruba无线局域网的系统架构63.1.1先进的无线局域交换机63.1.2灵活的组网方式63.1.3优秀的扩展性73.1.4 无需更改有线网结构73.1.5 IPv6与IPv4的无缝支持73.2 Aruba无线局域网的网络管理83.2.1 集中式管理83.2.2无需安装客户端软件83.2.3 RF智能控管93.2.4 多个SSID结构103.2.5故障自动恢复113.2.6网络负载均衡113.2.7 AP的两种工作模式123.2.8 无线终端定位123.3 Aruba无线局域网系统的安全管理133.3.1 集中的安全管理133.3.2多种用户

3、认证方式133.3.3 独特的无线访问控制133.3.4 安全的AP技术143.3.5无线接入点安全侦测和保护143.3.6无线网络入侵侦测143.3.7无线接入的病毒防护153.4强大方便的网管平台153.4.1 SNMP Trap153.4.2 Event / Report163.4.3 Network Report System16四.XXXX酒店无线局域网系统设计和实施方案164.1 整体系统架构设计164.2 无线AP布放统计174.3 Wi-Fi手机174.4 无线网络安全管理措施184.5 用户认证方法184.6 ARUBA兼容性194.7无线计费设计194.8方案特点19五.设

4、备配置清单20 北京小虫IT网络服务 您身边电脑网络专家您是否碰到这样的问题:电脑越用越慢，仿佛又回到了95时代. 电脑突然蓝屏，黑屏，死机，严重影响学习和生活. 病毒木马肆虐，一不小心，又中招了！账号，密码被盗. 网络瘫痪，整个公司局域网故障不断，病毒一台感染一台.卖电脑的商家要么不负责软件问题，要么是天价. 单位电脑太少，雇网管貌似很浪费. 玩电脑就像发射火箭，噪音让人恨不得把电脑砸掉. 想给电脑升下级，却不知道如何下手，问朋友好像也不是很精通. 抱着电脑颠簸去找商家、电脑城维修，费时又费力. 北京丰台小虫IT网络服务 15011375317 一 硬件服务 二 软件维护 三 网络维护与组建

5、 四 系统服务 五 工程师免费服务 六 工程师外派 七 布线工程 八 网络优化 九 公司IT设备优化 我们将以 专心服务 细心服务 耐心服务 热心服务-一.XXXX酒店新一代无线局域网系统的建设需求1.1项目背景此次无线局域系统的目的是针对XXXX酒店室内和室外部分做新一代的无线局域网覆盖。1.2 XXXX酒店无线覆盖规划背景：对XXXX酒店进行无线网络建设。本次无线设计覆盖范围为XXXX酒店A1-A15客房楼，B1-B13客房楼，C1,C2客房楼，E1,E2,E3客房楼，F1,F2,F3客房楼，G1，G2客房楼，公共A区，公共B区，会议室，康体中心及室外部分。需求：整个无线局域网平台在酒店的

6、大堂、客房和走廊以及楼梯间均需要做无线信号的覆盖，该无线方案解决了酒店语音、数据、无线点菜等应用。系统能够进行统一的中央控管，能够支持多种安全策略和认证方式，还能够方便地进行扩容。同时要求实现Aruba RF控管、定位以及Rogue AP的监测和防护。并能够可以与有线网无缝融合。无线局域网平台能够覆盖在XXXX的每一寸土地，保证入住的客户在整个酒店范围内都可以做到无缝漫游，无须任何过多的配置，并且可以以WPA2的加密方式保证客户的私人信息绝对不会外泄。无线网络可以根据用户名与密码分配网络带宽，保证客户的无线网络接入速度，为客户带来最好的无线网络体验。无线局域网方案将根据以上信息制定。二.新一代

7、无线局域网设计原则和技术需求2.1遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。根据XXXX酒店的需求和无线网建设与设计原则， Aruba Networks公司的第三代无线交换局域网系统（以下简称Aruba无线系统），可以很好的完成无线局域网的需求。2.2技术成熟第一代无线局域网主要是采用胖AP架构，每台AP都是一个独立的个体，AP与AP之间不会进行任何沟通，需要逐个进行配置和管理，费时、费力、维护成本高，安全低，融合性差；第二代无线局域网融入了认证网关设备，但仍然不能集中对AP进行管理和配置，只是对认证管

8、理方面有所提高而已。现今大型无线网络要求其与传统有线网络平滑融合，要求管理性和安全性都必须有一个质的提高，而第一代和第二代无线技术必定不能满足，因此，在这样的环境下，基于无线交换机集中式管理的第三代无线架构延生了。第三代无线局域网架构采用无线交换机瘦AP的结构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高，使建设大型无线网络成为可能。2.3安全可靠在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的VP

9、N机制；（4）具有无线网的防病毒机制；（5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能；（6）具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；（7）具有支持热备份的无线交换机N+1的冗余备份机制。2.4可扩展可升级通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的无线监控工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。2.5易管理易维护在网络管理方面，必须具

10、有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控、终端定位等功能，支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。三.Aruba无线交换局域网系统的技术特点第一代无线局域网技术采用单纯的AP实现无线接入，基本上没有其它功能。第二代无线局域网技术（以正诚、昂科、Blue socket等为代表），采用AC 智能AP构架，两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB

11、认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，但它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以Aruba和Cisco为代表），实现了基于无线

12、网络交换机，以AP为单元交换的无线网络系统；Aruba是采用独立的无线网络交换机实现的。作为第三代的Aruba无线系统采用了Wireless SwitchAP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及QoS保证。Aruba无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。1、在无线网络融合到现有有线网络方面，Aruba无线系统所独有的三层路由穿透技术可以不更改原有有线网络的路由设定，使得无线

13、网络的规划和实施非常方便。2、在无线网络管理方面，Aruba无线系统实现真正的集中控管，包括独有的RF智能调控，AP自动恢复、负载均衡功能，使无线网络可以自适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端AP状态监测，方便实现对AP的管理；并具有多SSID标识支持，实现了对无线数据、语音和视频应用的分级带宽管理。3、在无线安全性方面，Aruba无线系统同样具备多种用户认证方式、并提供基于用户的状态防火墙、VPN加密、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。4、在无线音视频应用方面，Aruba独有的基于每个用户的带宽控制和QOS保证，可以确保语音和视频业务的实

14、时性，先进的无缝三层移动漫游，使得VoIP以及Wi-Fi 手机可以自由的在任意AP间切换，其具有目前业界最低的时延与最好的通话效果。3.1 Aruba无线局域网的系统架构3.1.1先进的无线局域交换机领导第三代的无线网络技术的Aruba无线系统采用了Wireless Switch瘦 AP构架，将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线局域网中全新的功能。诸如：无线安全性、AP管理控制、RF站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的QoS保证，使得VoWLAN应用的Wi-Fi技术应用飞速发展。3.1.2灵活的组网方

15、式Aruba的产品可以完全满足从小型的无线网规模（几个AP），到大型无线网规模（几百个AP，甚至上万个AP）的需求，并可以采用集中或分布式的组网方式进行灵活的组网。并提供冗余热备份机制，保证整个系统的高可用性。3.1.3优秀的扩展性 在组建无线网时必须要考虑系统的扩展性。Aruba的产品具有非常方便扩展的特性， Aruba的一台6000型交换机可灵活地对从48个AP到128个AP扩充到支持512个 AP，因此扩展AP，实现无线网络覆盖的扩大是非常的容易；从网络管理扩展性方面, Aruba所具有的Master/Local方式， 其一台Master 交换机可以同时控制管理28台的Local交换机，

16、因此增加交换机也非常容易管理。除了AP数量之外，怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过Aruba的网管系统集中实现。3.1.4 无需更改有线网结构Aruba无线系统是无需更改现有有线网络的拓扑结构的。由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过Aruba交换机和骨干交换机互连互通。这样非常方便在园区里实施无线局域网，同时也非常方便进行

17、扩展。Aruba的无线交换机可以安装在中心机房，而AP则可以放置于园区的任何地方，无需用专用的二层设备连到无线交换机，或者划分VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。我们这样的设计，对于无线网络的管理带来极大的便利性。同样我们对原有的有线网路由器不需要改变任何路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。3.1.5 IPv6与IPv4的无缝支持随着信息技术的深入，运行IPv6协议的实验网络已经建立，IPv6最终取代IPv4是大势所趋，几乎无限的地址容量是IPv6发展最直接的理由。在使用Aruba

18、设备架设的无线网络上，即可以像传统有线网络中那样使用IPv6隧道服务器来支持v6/v4双栈设备的接入，也可以利用Aruba解决方案的“层叠网络”特点，直接二层进行IPv6报文透传，使得无线IPv6设备可以接入到网络上。同时，Aruba将在2008年将会直接支持IPv6，包括使用IPv6地址管理网络设备，以及管理IPv6流量等。3.2 Aruba无线局域网的网络管理3.2.1 集中式管理网络数据中心管理一个具有规模的无线局域网（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理，其大量工作

19、是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的，而且无线局域网是一个整体系统，AP之间必须互相协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。Aruba公司推出强大的具有集中式管理的瘦AP无线交换机架构，该无线架构具有简单而强大的无线局域网集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是从无线交换机上获取的，通过无线交换机Master Switch和Local Switch管理模式就可以统一管理整个无线网络及的所有的Aruba AP。网管人员只需在无线交换机就可开通、管理、维护所有AP设备以

20、及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 无论多么庞大的无线网络，Aruba的先进架构都可以让管理者在瞬间内完成所有AP的修改和自动协调动作。例如，共部署了300个分布在各科室与各楼层的无线AP，出于安全性的需要，每三个月修改一次WEP加密密钥，如果用传统方法，只能逐一对每个AP进行修改，估计需时几天，而用Aruba的集中式统一管理架构，只需几秒钟就完成了，效率是从前的几百倍。再者，对于超大型无线网络（几千个AP数量级以上的网络），如果没有集中式的统一配置管理，是无法想象的。3.2.2无需安装客户端软件Aruba无线系统无需为每一个移动用户终端安装无线接入软件，

21、 Aruba的认证可以基于WEB页面认证，认证只需用户打开浏览器就可以登陆。Aruba无线系统采用GRE隧道技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1客户端软件才能实现WEB页面认证。3.2.3 RF智能控管传统无线局域网射频管理是依靠工程师手动配置的，这种固定式，静态的管理手段并不灵活，有很大缺陷，尤其不能适应大规模的无线网部署及动态复杂多变的无线环境。因此，我们需要更智能化的动态射频管理。Aruba的无线架构是基于无线交换机的集中式统一管理系统，而无线交换

22、机正好是全局AP的中心和沟通桥梁。AP与AP之间的射频信息通过无线交换机汇总后，通过RF智能控管，便可以很方便地自动调节线上所有Aruba AP的电波特性，而无需逐一设置，这是传统AP方式无法做到的。1、Aruba无线系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。初次安装无线局域网时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，然后计算得出最佳的通讯频率和发射功率，直到AP之间达到了一个最优化的无

23、线电波运行环境。而且，这种射频优化过程是动态的，持续的，对于用户复杂而多变的室内环境，经常会受到各类无线电波的干扰，拥有动态的射频管理是很必要的。2、Aruba无线系统的RF智能控管可以自动对网上所有Aruba AP的无线电波进行管理。当无线局域网经过自动校准的调整后而正式投入网络运作时，网络管理员可在Aruba 交换机内启动ARM这功能，无线网上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指Aruba AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终

24、端）的传输过程是不受到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。Aruba 无线交换机可以对整个无线网络上的电波情况进行侦测和记录。当某一覆盖范围内的无线电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，Aruba 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。3.2.4 多个SSID结构Aruba无线系统的多SSID结构和和实现技术使得在Aruba无线局域网系统的各种多媒体应用服务（数据、语音和视频）在QoS上表现非常出色。在一个无线局域网内可以设置多个SSID，例如一个SSID可给领导

25、以及工作人员所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。Aruba无线系统在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在一个视频SSID内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这SSID；在一个预设定语音SSID内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这SSID；这样就可在多SSID的情况下确保语音和视频的QoS支持。您是否碰

26、到这样的问题:电脑越用越慢，仿佛又回到了95时代. 电脑突然蓝屏，黑屏，死机，严重影响学习和生活. 病毒木马肆虐，一不小心，又中招了！账号，密码被盗. 网络瘫痪，整个公司局域网故障不断，病毒一台感染一台.卖电脑的商家要么不负责软件问题，要么是天价. 单位电脑太少，雇网管貌似很浪费. 玩电脑就像发射火箭，噪音让人恨不得把电脑砸掉. 想给电脑升下级，却不知道如何下手，问朋友好像也不是很精通. 抱着电脑颠簸去找商家、电脑城维修，费时又费力. 北京丰台小虫IT网络服务 15011375317 一 硬件服务 二 软件维护 三 网络维护与组建 四 系统服务 五 工程师免费服务 六 工程师外派 七 布线工程

27、 八 网络优化 九 公司IT设备优化 我们将以 专心服务 细心服务 耐心服务 热心服务3.2.5故障自动恢复传统的无线网络在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，维护人员不一定很容易即时做出更换(很多的AP都是安装在天花板上)。而Aruba无线系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，Aruba交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。北京丰台小虫IT网络服务 150113

28、753173.2.6网络负载均衡Aruba无线系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享的，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须要限制一个AP上无线终端的数量或AP带宽传输总和或每个无线终端的带宽上限。Aruba无线系统可在应用层面通过47层交换模块来实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议的负载均衡功能来保证整体网络的可靠性。在语音与视频的应用中，负载均衡功能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保应用的质量得到保证。3

29、.2.7 AP的两种工作模式Aruba的AP设备创新的提供两种工作模式1：AP 无线接入工作模式；具有无线电波接入能力，能提供无线信号的接受与发送，射频管理等功能。2：AM 无线监控工作模式；具有无线电波监控能力，能提供无线入侵监控、无线终端追踪定位、无线电波传输分析等功能。这两种模式的AP都通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理。3.2.8 无线终端定位Aruba 的网管系统同样可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和 Wi-Fi手机等。Aruba采用的无线定位模式称为三角定位，无线定位的准确性可达到2.5米以内，无线定位的条件是所寻找的无线终端附

30、近须有最少三个Aruba的AM 在范围内。这种功能是传统无线局域网所不能达到的；有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。管理人员对非法AP的定位，可以为网络中心的管理人员清楚的提供非法AP的位置，通过这种有效手段，可以方便快捷的清除非法AP的网络接入，保证无线网络接入的安全可靠性。3.3 Aruba无线局域网系统的安全管理3.3.1 集中的安全管理Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来

31、的不安全感，摆脱了对有线网安全的依赖性。3.3.2多种用户认证方式在Aruba无线系统中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过系统认证以后才可以接入无线网。Aruba无线系统目前支持各种用户认证的方式（802.1、WEB认证、MAC、SSID、VPN等），园区网内的用户可以根据需要方便选择。3.3.3 独特的无线访问控制用户状态防火墙是Aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策

32、略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如领导和工作人员可以使用更多的服务，而访客只可以浏览网页、收发Email等，这样可以极大方便园区网用户的安全管理。3.3.4 安全的AP技术Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在Aruba无线交换机上实现。由于Aruba的AP是不储存任何网络配置（IP地址除外）和安全设置，因此Aruba 管理的AP是不能单独工作的，因此获得和私自接入

33、进Aruba AP，黑客也不会拿到无线网的网络结构和安全配置参数。3.3.5无线接入点安全侦测和保护采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的流氓AP。通过Aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。3.3.6无线网络入侵侦测今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能

34、，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当Aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。3.3.7无线接入的病毒防护Aruba无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查，当无线终端连

35、接到Aruba无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。Aruba公司和第三方的防病毒墙厂家合作，在Aruba无线交换机上可以设定策略，某些用户，以及某些可能沾

36、染病毒的数据，Aruba交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。基于上述两个层面，Aruba无线局域网系统可对无线终端进行有效和方便的病毒防护。3.4强大方便的网管平台3.4.1 SNMP TrapAruba 无线交换机与AP 支持标准的SNMP v1、v2、v3 3个版本。Aruba系统支持对交换机系统的Trap，也支持对AP的Trap。交换机SNMP Trap的信息非常丰富，包括：交换机ip地址改变，角色改变，认证服务的各种情况，设备电源，风扇运行情况等等。AP支持Trap信息也非常多，例如：不安全站点检测，SSID错误配置等。网管服务器通过

37、实时接受Aruba网络系统的SNMP Trap信息，网管人员透过这些信息可以实时的对网络进行检测，管理。3.4.2 Event / ReportAruba系统有很详细的触发事件报表系统，管理者通过查看报告，可以帮助管理者了解网络发生了什么事情，例如：有Dos攻击，有黑客攻击等，管理者可以通过这些信息做出判断，是否网络出了什么问题，从而采取必要的手段去处理。3.4.3 Network Report SystemAruba可以提供一套网络报告系统，系统简称NRS，它是一套中文化网络设备日志数据分析统计报表管理软件，它提供设备状态监控、流量及攻击事件等警示服务，可同时支持多台装置日志接收分析，并提供

38、中文化的图形化分析报告，以利于网管人员确实掌握公司的网络使用情形及网络安全状况。NRS在不需安装任何程序之下，即可以透过浏览器直接了解目前网络状况，除了可以提供每一个IP使用情形，在透过数据分析后，并进而可提供企业内部各阶层的应用。NRS的图形化报表，可以协助公司快速地将复杂难懂的网络设备信息，转换成清楚易懂的图形化报表，让管理者与相关的主管单位充分地了解网络设备状况。从而做出合理判断，是否对网络做调整等。四.XXXX酒店无线局域网系统设计和实施方案4.1 整体系统架构设计本次无线网络覆盖主要为XXXX酒店A1-A15客房楼，B1-B13客房楼，C1,C2客房楼，E1,E2,E3客房楼，F1,

39、F2,F3客房楼，G1，G2客房楼，公共A区，公共B区，会议室，康体中心及室外部分。考虑AP的覆盖能力，冗余设计，接入容量，以及无线交换机的功能设置，整体系统架构做如下考虑：1. 采用Aruba3600作为本次的无线控制器，Aruba3600无线交换机包含4个10/100/1000BASE-T或1000BASE-X(SFP)，最大支持管理128AP。2. 采用AP61作为本次无线覆盖的室内无线接入点，采用AP60加高增益天线作为室外的无线解决点，部分无法布线的位置可以用MESH的方式解决，以保证整体的覆盖。整体拓扑图如下：4.2 无线AP布放统计室内部分AP初步做如下考虑：地点信息点数（每幢）

40、AP数量（每幢）AP数量A1-A15客房楼4115B1-B13客房楼4113C1,C2客房楼848E1,E2,E3客房楼32515F1,F2,F3客房楼24412G1，G2客房楼2448公共A，B区48会议室11康体中心11合计81室外部分AP采用AP60加上高增益天线，根据经验，至少能够满足300米的无线覆盖，根据酒店的布线图，此处暂定为10个AP60。4.3 Wi-Fi手机Wi-Fi全称Wireless Fidelity，采用802.11a/b/g标准，它的最大优点就是传输速度较高，可以达到54Mbps，另外它的有效距离也很长，同时也与已有的各种802.11 DSSS设备兼容。 Wi-Fi

41、技术应用的是局域网接入AP上因特网，也可以拨打VoIP电话。第一,无线电波的覆盖范围广，基于蓝牙技术的电波覆盖范围非常小，半径大约只有50英尺左右约合15米，而Wi-Fi的半径则可达100米，办公室自不用说，就是在整栋大楼中也可使用。 第二，Wi-Fi手机是利用电信运营商自有传输网络，在接入层提供移动通信业务，它融合了本地无线Wi-Fi接入网和IP电话功能，是手机应用的新的增值业务。这种手机使得IP技术的核心优势更加明显，也使得企业用户具有更大的灵活度。Wi-Fi手机将在诸如医院、仓库、大学、大商店、会议中心、娱乐场所等地点得到应用，这些场所的工作人员即便是在不同的办公室里也可以保持一个不变的

42、电话号码。但其最有意义的还是远程通信。例如，XXXX的一名员工到外地出差仍然可以利用这种手机与在XXXX总部的老板通话，与他还在公司办公室一样，而且话费也按国内电话计算。该电话是基于网络而不是通过电话网络运行的。在无线局域网300英尺有效范围之外，电话可自动转换成手机网络。第三,在ARUBA移动控制器的控制下，Wi-Fi的可靠性和移动性得到了大幅度的提高,只要在ARUBA 的AP覆盖范围内,通话都能得到可靠的保证,在以往的极端环境中,即使在运行的地铁中也可以保证通话持续不受影响,故非常适合物业管理的使用。4.4 无线网络安全管理措施Aruba无线网的安全管理系统实现如下功能：接入认证控制： 验

43、证用户， 授权他们接入特定的资源， 同时拒绝为未经授权的用户提供接入。 确保链路的保密与数据的完整： 防止未经授权的用户读取或更动在网络上传输的数据。 监测和阻断无线攻击： 防止攻击占用某个接入点的所有可用带宽， 导致其他用户的正当接入。检测无线终端的防病毒状态：防止染有病毒的无线终端接入。4.5 用户认证方法Aruba支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN 认证、802.1X、mac等认证，支持外置的Portal服务器和外置的AAA服务器系统，支持标准的LDAP目录服务器（ldapv3），同时Aruba无线交换机内含一个Inter DB，可以直接使用该数据库创建用

44、户帐户，更加方便用户的使用。根据用户的需求，建议用户的认证方式设计如下：从上网用户类型与应用类型情况分析，用户主要有：（1）酒店客户；（2）工作人员。在方案实现上使用两个SSID：一个供酒店客户使用，可以不用加密，只做基于WEB或802.1X的接入认证，另一个SSID供工作人员使用，该SSID被配置为隐含，不广播出来，采用WPA加密802.1x认证方式，确保此类用户的安全性。4.6 ARUBA兼容性Aruba通过了Wi-Fi Certified，并支持802.11b、802.11g和802.11a三种Wlan标准，可以满足对市面上标准Wlan网卡与设备的兼容。0Encryption types

45、:WEP, dynamic WEP, TKIPWEP、动态 WEP、TKIP、WPA、WPA-2、802.11i、DES WPA, WPA-2, 802.11i, DES,、3DES、AES-CCMP、AES-CBC、EAP、PEAP、TLS、TTLS、LEAP 、EAP-FAST、xSec-L2 AES； Upgradeable to new encryption mechanisms Yes可软件升级到新的加密机制。4.7无线计费设计Aruba支持0Local RADIUS Yes本地Radius ，并支持与0Third-party AAA Server Interoperability

46、Microsoft Active Directory,第三方 AAA 服务器互用性，包括 Microsoft Active Directory、Microsoft IAS Radius Server、Cisco ACS Radius Server、Funk Steel Belted Radius Server、RSA ACEserver、Infoblox、Interlink Radius Server、Active Directory 、LDAP等，以满足用户在认证计费方面的要求。4.8方案特点1.针对入住客户，无线局域网平台能够覆盖在XXXX的每一寸土地，保证客户在整个酒店室内室外都可以做到无缝漫游，而无须任何过多的配置。并且可以做网络带宽限制，保证客户的无线网络接入速度，为客户带来最好的无线网络体验。2.针对酒店，整个无线局域网平台在酒店的大堂、客房和走廊以及楼梯间均做无线信号的覆盖，该无线方案解决