最新XX酒店ARUBA无线系统解决方案.doc

上传人:1595****071 文档编号:47976635 上传时间:2022-10-04 格式:DOC 页数:138 大小:1.86MB
返回 下载 相关 举报
最新XX酒店ARUBA无线系统解决方案.doc_第1页
第1页 / 共138页
最新XX酒店ARUBA无线系统解决方案.doc_第2页
第2页 / 共138页
点击查看更多>>
资源描述

《最新XX酒店ARUBA无线系统解决方案.doc》由会员分享,可在线阅读,更多相关《最新XX酒店ARUBA无线系统解决方案.doc(138页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateXX酒店ARUBA无线系统解决方案黄金置地大厦XX酒店无线网络系统设计方案Date02, 2010目 录第1章.概述2第2章.需求分析52.1.建设目标52.2.设备需求52.3.无线网络设计原则62.4.XX酒店酒店无线局域网的整体设计定位72.5.XX酒店酒店无线局域网整体架构92.5.1.无线移动语音视频应用102.5.2.一体化远程办公解决方案132.5.3.

2、安全保障的无线网络的重要性14第3章.无线网络系统详细设计173.1.无线组网方式设计173.2.多业务区分设计193.3.无线安全性设计223.3.1.无线网络的安全保护和检测223.3.2.无线局域网的认证和加密233.3.3.检测无线入侵和非法拦截和定位233.3.4.多层次无线网络安全体系253.4.移动漫游设计263.4.1.L2/L3层漫游263.4.2.在不同域之间的用户认证和漫游273.5.无线交换机的配置实施建议283.5.1.AP的VLAN和无线用户的VLAN283.5.2.VLAN和无线SSID的关系283.5.3.无线局域网 不需更改局域网路由293.6.网络与用户管理

3、293.7.无线网络的负载均衡和多媒体应用的实现303.8.客户端兼容性31第4章.ARUBA产品介绍334.1.ARUBA移动控制器 MMC-3000系列334.2.无线接入点ARUBA AP 9339第5章.成功案例425.1.遍及全球的客户列表42第6章.总结43XX酒店酒店店无线网络系统设计第1章. 概述ARUBA公司十分高兴有机会参加XX酒店酒店店无线网络平台的建设工作,对于XX酒店酒店对无线网络平台的要求,ARUBA公司非常重视,并愿意从技术、商务等多方面尽我们最大努力与XX酒店酒店一道建设好XX酒店酒店无线网络平台。在此次回复中,ARUBA公司力求将每一细节问题向贵单位阐述清楚,

4、并向XX酒店酒店提供完整的无线网络建议,在保证系统稳定性,安全可靠性,系统先进性的同时,还能保证XX酒店酒店对无线网络的未来需求。ARUBA公司非常珍视和XX酒店酒店的长期战略合作关系,希望倾力给XX酒店酒店无线网络系统提供能体现当今最新技术的产品来帮助XX酒店酒店更好的为其领导和员工服务。在充分理解了网络建设目标之后,我们将采用国际领先和成熟的无线网络技术,与XX酒店酒店分享ARUBA公司在业界最丰富的设计和部署无线网络经验,结合XX酒店酒店实际情况,进行网络结构的优化设计,并为XX酒店酒店提供最佳的技术和工程支持。在满足现有需求的同时,我们还充分考虑到网络将来的发展,最大限度地保证网络的先

5、进性、合理性、可靠性、可用性以及可扩充性。并特别承诺提供最好的全方位支持以确保该项目的最终商业成功。ARUBA公司是一家总部设在美国硅谷的高科技公司, 已于2007年3月成功在美国NASDQ上市,股票代码:ARUN,目前市值达到16亿美金左右。ARUBA公司是全球业界首先实现了无线交换并创造性地提出了“移动边缘”的概念,并是全球第一个专注WLAN产品的研发与设计的跨国酒店。ARUBA已经在美国、欧洲、中东和亚太地区建有分支机构,员工更是遍布全球各地。ARUBA非常重视中国市场,已在北京、上海、广州、成都分别开设了办事机构,并在北京设立了7*24小时的技术支援中心,全力拓展中国市场。0ARUBA

6、以开发出第一个模块移动系统而著称,该系统可集中控制所有接入、安全和移动服务,可使酒店不间断、可衡量、无断裂地从固定网络转到移动网络。0同时公司也与阿尔卡特、AT&T、IBM、惠普以及NCR公司建立了全球战略销售和服务合作关系。0ARUBA先进的新一代WLAN解决方案自2003年推出后,就成为下一代WLAN网络演进的先驱者所推崇的解决方案,至今已经获得Google、Microsoft、SAP、Yahoo、BEA、Yale等3000多家的商业应用,这些客户遍布全球各地,其中包括了目前世界上最大的酒店和大学WLAN网络(Microsoft和OHIO University)。ARUBA借助最新的发明的

7、新网络体系结构,为客户带来“移动边缘”,可以满足IT管理人员的最关心的三个问题移动性、安全性和整合性。0代表了对无线网络的发展的未来趋势,而不仅仅是建立无线局域网。0ARUBA的“移动边缘”拓展了酒店的网络范围跨越了局域网、广域网和互联网使用户无论身在何处都可以安全访问酒店信息和未来的语音服务,而酒店也可以在无线局域网基础之上开发新的应用。0采用ARUBA“移动边缘”解决方案后,可以无缝覆盖现存的酒店网络,未来可将酒店中心、地区和分支机构的网络以及在家中、酒店的远程酒店用户联系起来。ARUBA“移动边缘”的解决方案可以提供以下几种优势: 为酒店用户提供迅速、简便以及经济的提供移动数据接入服务,

8、未来拓展语音多媒体服务 为移动型酒店提供安全的解决方法,使有线网络同无线网络同样的安全 与现存有线基础设备可以完全整合对接,保证了网络的安全与稳定 通过统一网管,降低资本和运营成本,大幅提高的网络的经济性 为用户和服务未来的增长提供坚实而灵活的基础第2章. 需求分析2.1. 建设目标XX酒店酒店要求以现代技术标准集成大楼内部的无线网络系统。为办公环境无线局域网接入,为有线办公环境网络提供了良好的补充,完成了整个办公环境网络接入的全面覆盖,使用户能够在办公环境内的任何区域接入办公环境网络,达到完善移动办公环境的目的。在此,无线网络为有线办公环境网的良好扩展,既节约了成本,而且加快了办公环境网信息

9、化建设的步伐。通过本项目的建设,将为XX酒店酒店提供更好的移动平台,为更多的无线应用打下坚实的基础。2.2. 设备需求本次XX酒店酒店要求使用Aruba无线产品全覆盖的方案。整个改造过程无需改动现有网络结构,考虑到各楼层间的差异性,按照前期规划的AP部署量,我方在产品选型上推荐使用无线接入点AP 93配合Aruba3000系列移动控制器为XX酒店酒店架设以11n平台的无线网络系统,并且以整体系统的健壮性、安全性、扩展性来考量。无线覆盖的区域从B1层至23层进行全部覆盖,主要以客房区为主,主要目的为了提供酒店旅客无线上网的需求,本次改造将会部署151个AP 93,2台ARUBA 3000系列移动

10、控制器。无线网络设计概述2.3. 无线网络设计原则1、高性能。无线网络系统能够适应今后高带宽的要求,满足日益增长的业务量需求,这些需求不但包括今后巨大的业务数据量,同时也包括音频、视频等的需求。2、高可用性。无线网络系统具有较高的可靠性和可用性,具有强大的容错功能,以保证各种应用的正常运行。系统具备在线故障恢复能力,关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。3、可管理性。可以对网络进行在线监控,随时了解无线网络的“健康状态”,快速定位并排除故障,根据需要优化网络,更合理地对网络进行配置及资源分配,提高网络的利用率和性能。4、安全性。无线网络系统提供多种有效的安全控制机制,以防

11、止机密泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施,能够有效地防止系统外部人员的非法侵入。5、可扩展性。应用的不断发展要求网络在性能、协议、网络拓扑及各种业务等方面具备很好的可扩展性。在无线网络设计及选择设备时应完全满足目前的应用需求,同时充分考虑今后较长时间内应用发展的需要,网络系统应能方便地升级。6、开放性。无线网络系统应采用国际标准。无线网络体系结构与系统应用相互独立,支持各种通讯协议,各种数据库和客户机/服务器应用,与现有的LAN网络系统无缝地集成。7、经济性和实用性。完全从目前的应用需求出发,设计既能够满足目前的应用需求又能面向未来的应用需求升级的网络系统方案,同时又

12、要保证提供服务时的经济性。在满足系统功能要求的前提下,尽量降低建设成本,考虑今后升级时设备的可持续使用,保护用户投资。2.4. XX酒店酒店无线局域网的整体设计定位ARUBA认为XX酒店酒店无线网络建设应当“面向未来,统一规划,分步实施”,XX酒店酒店当前正处于大规模的基本建设中,无线网络作为一种重要的网络基础设施,必然也是未来基本建设的重要组成之一。无线网络建设应站在一定高度,本着满足未来510年无线迅速增长和安全的需求出发,应当具备以下功能: 第一,无所不在的无线接入网络l 提供真正的移动性,无线酒店网络吸引人的一个特点是移动性用户可以在室内室外,办公室、会议室之间自由移动并和网络保持持续

13、连接。允许用户在酒店覆盖区内无缝漫游,无需频繁地登陆和退出。高速无线的方式覆盖整个酒店办公区域,让酒店员工体会到无线局域网给带来的好处和便利。l 大规模部署无线网络还可以作为有线网络的链路备份,在有线网络发生故障或者拥塞的情况下负担部分网络流量。第二,随时随地的远程安全无线接入l 随着酒店变得更加虚拟化、更富有协作性并且更加分散,依赖于分布在不同地点的合作伙伴、供应商和移动员工共同组成的扩展型网络需求大量增多,这时,单单满足他们对数据通信的要求是远远不够的现有的大多 数移动办公解决方案都仅仅解决了数据通信的问题,并没有在真正意义上解决酒店话音通信和多媒体协同办公的问题。话务费用的大量攀升让酒店

14、管理者头疼不已,如何在不增加大量费用的前提下,有效及时的联系到出差人员也成了棘手的问题。在保持业务快速增长的同时,如何更好的加强和提高分支机构员工的协作性和效率,成为了许多酒店共同的需求。我们可以看到,在为移动办公提供数据通信的同时,更提供实时的有可靠保证的话音通信和多媒体协同服务,正是移动无线办公技术发展的新方向。l 远程AP 能很简单地通过互联网从远程位置连接到位于酒店总部的移动控制器。应能适合小型远程办公室、家庭办公室、远程办公和移动办公者,通过在用户可以找到互联网连接的以太网端口的任何地方,启用天衣无缝的酒店无线数据和语音,它可以将移动边缘扩展到所有远程位置。第三,安全可靠无线网络l

15、无线网络更需要注意安全性,以为整个无线网络暴露在空气之中,都易受大量安全风险和安全问题的困扰。因此,建设无线网络一定要注重无线侧安全的建设与保护,其中包括: 1. 来自无线网络用户的进攻; 2. 未认证的用户获得存取权; 3. 来自外部的窃听,4.来自无线专用工具的攻击。建成的无线网络很好地融合进原有网络安全解决方案体系中,并根据无线网络的安全技术特征,补充具有多层次的安全保护措施,以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。第四,无线网络的实时管理l 统一方便容易管理管理。IT网络管理部门需要管理上很多员工以及行政人员。因此尽可能通过网管工具开展配置和网络监控工作,迅速发现和解决问

16、题。无线网络管理软件应能统一管理所有无线AP和交换机,且能合理分配各种网络资源。对无线网络攻击进行管理和压制。l 从设备管理角度来说,需要对各种无线设备的放置地点、配置参数等信息进行详细记录与管理l 从安全管理角度来说,需要具备发现和快速处理假冒AP与无线DOS攻击的方法和能力。l 从性能管理的角度来说,网管能充分了解和分析无线网络的一些具体性能指标,如Channel 信号强度/质量、网络实时性能吞吐量、各AP的流量等。 第五,提供便捷的无线网络应用环境l 无需配置客户设备。当用户试图连接到网络时,无线网络自动分析用户的网络配置,并提供连接,使用户直接连到网络而无需安装特殊的软件并更改自己的网

17、络设置。自动化的服务减少了 IT 用户和管理员的时间。 l 无线网络还能兼容全网的设备,包括 PC 机 , Macintoshes, 袖珍 PCs, 掌上电脑PDA等多种多样的网络设备,具备和各种设备协同工作的能力。 l 多种服务的支持:无线网络的发展与最初有线网络的发展一样,需要有一些关键性的应用在网络上运行,应用才是无线网络发展的最大动力。基于酒店网络的未来可持续发展,无线产品均具备可适应未来发展酒店无线宽带应用(如无线语音应用、无线视频会议应用、无线多媒体通信应用等)的需要,并提供低成本的无缝升级和前后兼容。2.5. XX酒店酒店无线局域网整体架构无线局域网技术经过十几年的发展,已经历了

18、三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外,基本上没有其它功能。第二代无线局域网技术,采用AC智能AP构架,AC两者实质均为二层设备,AP实现接入、AC实现汇聚和认证功能,有的厂商的AC实现了二层网络交换,具有基本的网络的控制和用户的管理,如:WEB认证、流量的控制、访问的控制等;支持VLAN、VPN、WPA等基本的安全管理,它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密钥等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性

19、。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构(以ARUBA为代表),实现了基于无线网络交换机,以AP为单元交换的无线网络系统,ARUBA是采用独立的无线网络交换机实现的。作为第三代的ARUBA无线系统采用了Wireless SwitchAP构架,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝漫游以及QoS保证等。对于未来整个XX酒店酒店无线局域网覆盖的需求,

20、本方案建议采用ARUBA的WLAN 产品(室内AP远程AP),采用集中式、可管理架构的无线局域网解决方案来实现未来酒店的无线覆盖要求。2.5.1. 无线移动语音视频应用 l 带宽控制与服务质量保证QOS 随着技术手段的不断进步,酒店无线网络一定会需要支持多媒体融合应用,包括组播,VOD,IP视频监控,以及WIFI Phone等等,无线酒店网解决方案对未来的发展一定要具备很好的前瞻性。由于XX酒店酒店原有的天馈无线覆盖系统信号强度不胜理想,传输带宽只有1M左右会对语音和数据流带来很大的局限性,更本不能解决语音漫游的问题所以Aruba认为应从以下几点考虑无线网络的多业务应用发展。 l 带宽控制与服

21、务质量保证QOSARUBA无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。ARUBA无线系统可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务,ARUBA系统亦可透过ARUBA无线交换机设置定义不同的QoS队列。例如无线语音的应用,SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务,目前,经过中国网通、中国赛尔公司对几家WLAN设备厂商的设备测试结果表明,ARUBA的无线网系统以其完善QoS特性在测试中表现最佳。l VoIP与WI-FI Phone随着VoIP的越来越普及(如Skype,等),基

22、于SIP的Wi-Fi电话未来将迅速变为酒店内的员工之间、领导之间话音联络的主流。Wi-Fi电话除了办公室和会议室之间等不同AP之间漫游外,用户亦可在其它有Internet连接的地方如酒店,住宅等使用,这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说,用户可在有宽带接入的地方继续使用办公室的电话号码,不管是国内或国外。很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi),用户很快就可以漫游于手机移动网和无线局域网之间。ARUBA的无线交换技术已经证明很多业界VoIP系统在ARUBA系统上成功的运行,且在最近的Network World VoWLAN测试结果被评选

23、为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延, AP呼叫的容量,和漫游切换时间。 尤其语音的漫游,它会比一般的数据移动传输更普及,但相对的要求也较严紧,所以要在无线局域网实现语音和数据融合,就不能随意的安装一些AP,而必须是有规范的组建无线局域网。ARUBA无线系统可容许用户设置专有的语音SSID,把单纯是数据传输的用户和Wi-Fi手机用户分开,但也可以在单一SSID内同时传送数据和话音,关键的重点就是怎样保证语音传输的质量。 ARUBA无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列,所以就可确保在数据和语音同时传送时,语音的质量不受影

24、响。另在语音安全接入方面,ARUBA可防止没有无线语音权限的用户使用无线语音,以确保网络资源能有效运用。同时Aruba识别语音应用,预定义支持几种主要的语音协议,包括:SpectraLink SVP、Vocera 、Cisco SCCP、Session Initiation Protocol等,还能和现有市场上的WI-FI终端、IP PBX 设备做到很好的兼容性。ARUBA系统还能帮助WiFi手机做到一定的节电功能,使WiFi手机使用时限加长,主要是通过两种方法的共同作用来达到的。首先是在通话时,ARUBA能让WiFi手机在保证通话质量的情况下只作最小的必要的数据传输,并能让WiFi手机工作在

25、一个速率较高的环境下,提高数据传输速度从而减少数据传输所占用的时间,这时ARUBA又会在用户不会感知语音有延时的先决条件下加大每个数据包的传输间隔,在这些时间间隔里让WiFi手机处于一种节电模式,从而在通话时做到节电。其次在待机时,ARUBA能通过一些特定的技术来减少WiFi手机于控制器之间的数据的交换,同时也保证控制器实时得知WiFi手机的准确状态,无论WiFi手机是处于WLAN接入还是AP间漫游。综合上述两种方式的作用那个共同作用,使WiFi手机得以最大限度的节电,从而延长WiFi手机的使用时间。l 无缝的三层漫游ARUBA 无线能够让用户在 AP、WLAN 交换机、多子网以及多VLAN

26、之间无缝地漫游,而且不会丢失连接,也不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证,导致丢包或者很大延迟。而ARUBA的handoff性能极佳,保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游,而不会发生掉线,是语音业务的质量保证。2.5.2. 一体化远程办公解决方案从市场和经营的眼光看,酒店需要扩大业务覆盖范围、提高生产工作效率,加快对市场变化的反应能力,以增加酒店在市场竞争中的活力。利用廉价方便的连接线路、尽可能多地将分布在远程机构、居家旅行中的酒店员工以安全可靠的方式连接在酒店私有的业务通信系统上,因此变

27、得非常有意义。酒店的每个员工都可以在任何地点,任何时候,方便安全地连接到酒店总部的通信系统上,就像工作在总部的办公室一样,利用其熟悉的数据和话音通信系统,及时地完成业务处理和有效的内部沟通。酒店能够将更多的有效工作的员工连接起来,所以酒店获得了更大的效益和产出。这些,无疑已成为酒店信息主管在考虑酒店信息化系统如何为提高生产效率进一步发挥作用的一个重要关注点。Aruba新一代的远程和移动有线加无线办公通信系统,由于采用VPN技术、话音/数据QOS保证技术,以及安全保障技术的支持,使得在远程和分散环境下的酒店通信系统发生了本质的变化。Aruba公司清楚地认识到,在今天竞争激烈的市场上,酒店用户成功

28、的关键是在提高生产率的同时降低生产运行成本。我们针对酒店面临的远程通信困难,提出远程和移动办公新天地的策略,将先进的WLAN技术和产品,有机地融入各个机构和酒店的远程通信解决方案中,实实在在地帮助酒店突破远程业务通信的瓶颈。l 无线移动办公ARUBA一体化无线局域网办公解决方案,不但能在酒店总部做到无缝覆盖,同时兼顾了各类酒店的分支节点和移动办公人员。整个一体化网络的酒店员工可以利用Internet网对酒店内部网进行远程访问,并能使用VOWIFI的话音应用。使酒店办公范围扩展得更大,员工能与酒店保持联系并获取酒店的最新情况。酒店的每个员工只要携带有配置好的远程AP,都可以在任何地点,任何时候,

29、方便安全地连接到酒店总部的数据或话音通信系统上,就像工作在总部的办公室一样,利用其熟悉的话音通信和办公系统,及时地完成业务处理和有效的内部沟通。酒店能够将更多的有效工作的员工连接起来,所以酒店获得了更大的效益和产出。这些,无疑已成为酒店信息主管在考虑酒店信息化系统如何为提高生产效率进一步发挥作用的一个重要关注点。2.5.3. 安全保障的无线网络的重要性ARUBA从网络设计者的角度来看,对于XX酒店酒店大规模部署无线网络,必须对无线网络的安全性加以重视,ARUBA建议从以下几方面做到全方位的安全保证:l 集中的安全管理ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测

30、IDS以及RF 电磁波管理等多项安全功能汇聚到ARUBA无线交换机上来完成的,解决了传统的无线网对安全的分散管理(AP、AC)和能力,给用户带来的不安全感,摆脱了对有线网安全的依赖性。l 多种用户认证方式组合在ARUBA无线系统中,一个无线用户进入无线网以后,只会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线网。ARUBA无线系统支持目前各种用户认证的方式(802.1X、WEB认证、MAC、SSID等),酒店用户可以根据需要方便选择。l 无线访问控制(可选license模块)用户状态防火墙是ARUBA

31、无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念,它的保护只是基于IP地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线终端,这种防火墙的功效是不大。ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如领导和工作人员可以使用更多的服务,而访客只可以浏览网页、收发Email等,这样可以极大方便酒店用户的安全管理。l 安全的AP技术ARUBA无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP,而是在ARUBA无线交换机上实现。

32、由于ARUBA的AP是不储存任何网络配置(IP地址除外)和安全设置,因此ARUBA 管理的AP是不能单独工作的,因此获得或接入ARUBA的AP,黑客也不会拿到无线网的网络和安全配置参数和信息。l 无线接入点安全侦测和保护采用ARUBA 无线系统的RF侦测功能和保护机制可以实时监测酒店无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过ARUBA 的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现后可以开启自动保护机制,阻止无线终端通过非法AP联接到无线网中。l 无线网络入侵侦测IDS(可选license模块)今天已经

33、有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对酒店、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当ARUBA 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。l 无线接入的病毒防护(可选li

34、cense模块)ARUBA无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准入检查;二、对无线终端发出数据进行有效的检查和监控。无线终端病毒防护的第一步是准入检查,当无线终端连接到ARUBA无线系统中,试图访问网络,在用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。当无线终端通过了准入

35、检查,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。ARUBA公司和第三方的防病毒墙厂家合作,在ARUBA无线交换机上可以设定策略,某些用户,以及某些可能沾染病毒的数据,ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。基于上述两个层面,ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。 0第3章. 无线网络系统详细设计根据XX酒店酒店无线网络需求和无线网络设计原则,结合ARUBA无线系统技术及产品的特点,方案的设计分为:无线组网方式设计、多业务区分设计、网络安全防护设计、移动漫游、网络及用户管理、兼容性等部

36、分。3.1. 无线组网方式设计根据XX酒店酒店无线覆盖的分布和建筑平面,公司总部的室内无线局域网初步配置如下:采用1台Aruba3600和1台Aruba3400无线控制交换机进行无线网络平台控制核心端的组网,无线控制器机通过1000Mbps直接连接网络核心交换设备,由于采用双链路结构,任何一台核心交换机发生故障,都不会影响AP和无线控制交换机之间的通信。在接入侧,采用ARUBA的AP93作为无线接入点,通过POE供电模块为AP进行供电所有无线用户通过AP进行数据转发至核心层的无线控制交换机再由控制器进行数据处理经由核心交换机到出口路由器访问广域网资源。AP和交换机之间的网络结构无需考虑,如果是

37、L2结构,AP通过DHCP获取地址后,通过广播包找到无线控制器;如果是L3,AP通过DHCP获取地址以后,获得主用和备用的无线控制器地址,然后与无线控制器直接通信(具体描述请见后面章节)。无线网络管理员可通过中心配置的集中网管,对全网的AP和交换机进行有效的集中式管理。Aruba 移动控制器可以通过Internet网连接到远程位置的指定 Aruba 接入点 (AP) ,并在任意需要的地方天衣无缝地通过互联网扩展酒店 WLAN。0用户在家庭办公室、远程办公室或任何其它位置的办公体验和在酒店总部完全相同。0使用 IPsec 协议和 Aruba 移动控制器进行远程 Aruba AP 通信,该协议通过

38、在互联网上部署虚拟专用网络 (VPN) 连接而受到广泛信任。0这种基于标准、终端到终端的加密支持可以将远程 AP 直接插入连接到互联网的 DSL 路由器,这就不再需要在远程位置安装移动控制器。0酒店的语音无线电话通过远程 Aruba AP 连接,并好像它们就在中心酒店站点中那样进行运作。0Aruba 启用 QoS 和语音协议识别的体系,甚至可以在远程连接上提供一种长话级品质的语音体验。0此外,它还提供了安全功能,例如加密和策略执行防火墙,这保证了对所有语音通信提供高级别的安全以防止窃听。使用 Aruba 远程 AP,网络中心管理员可以访问所有远程 Aruba AP 参数,例如操作信道、无线电类

39、型、 SSID 、 BSSID 和所有相关客户机,并可以集中更改配置。 此外,网络管理员可以查看详细的客户机状态报告,这些报告显示了客户机 MAC 地址、客户机制造商、信道、无线电、状态以及最后活动日期和时间。 远程连接的 Aruba AP 使用现有客户机上的 802.1x 申请者运行,通过对所有客户机和移动控制器之间的认证信息进行 Ipsec 加密来提供安全认证。 远程 AP 支持终端到终端,即从客户机到移动控制器的 WPA2 和 802.11i 安全,不管客户机是有线还是无线。 在认证成功之后,在 Ipsec 内部对所有的通信进行隧接或加密。 这样就不需要安装和维护一台 VPN 客户机或在

40、远程机器上下载一个临时 SSL VPN 客户机,大大减轻了管理成本。 远程 Aruba AP 从 Aruba 移动控制器下载它的配置和安全策略。 这消除了错误配置安全策略的风险,同时在远程位置也不再需要技术专家。 在远程 AP 上没有存储任何安全证书,因此即使 AP 丢失或被窃,也不存在破坏安全的风险。 远程 Aruba AP 与用户属性(例如认证方法、应用程序、设备类型和移动控制器中的可用策略执行防火墙模块)进行通信。 该通信提供了高度的团状和动态安全策略,大大改良了酒店 WLAN 的安全状态。 例如,可以限制远程用户使用特定的应用程序或网络资源。 这项高级功能允许职员通过远程 AP 安全连

41、接到网络,而无需考虑用户位置,因为用户安全策略将始终跟随他们。 Aruba 远程 AP 为分支机构和家庭办公室提供了安全的移动连接,是一种理想的解决方案。 并且提供良好的多业务支持能力。极大节约了公司的运营成本,也方便了联系领导。 3.2. 多业务区分设计从XX酒店酒店的用户分类与分布情况分析,使用无线网络的用户主要分成以下几类:(1)酒店员工与领导;(2)访客;使用无线网络可以分为不同的无线接入业务类型。因此,建议在设计上采用无线局域网多SSID技术,设置多业务区分方式。在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。由于用户一般把SSI

42、D看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密程式,例如:WEP,TKIP(WPA),802.11i(WPA2)等等,不同加密方式

43、不能在同一个SSID内同时存在的。XX酒店酒店可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID,例如:一个定义为通过WEB门户的方式为访客使用,另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i加密的 SSID让员工以过度的方式逐渐从转移到这个SSID上。要注意的是SSID可以覆盖全网,也可以只局限于酒店网内的某些范围。一般的情况下是全网开通,例如:客人(Guest)使用的SSID;但有些SSID则可能供某些部门使用,所以它的覆盖范围通常只会局限在某些范围内。所以针对无线局域网多种用户的不同业务类型应该

44、采取不同的SSID进行管理和控制。酒店领导、酒店工作人员属于酒店内的固定用户,可以采用专门的SSID,可以采用级别较高的认证和加密手段,对于来宾、参加会议人员和来访人员可以使用另一个SSID,采用级别相对较低的认证和加密手段,这样就实现了区分的服务。ARUBA无线控制器内置强大的PORTAL登录界面可以通过网络管理灵活简洁的进行客户化,进行广告招商,登录页面推送,欢迎页面推送等多种模式以配合XX酒店酒店的商务活动策划。当访客来到无线覆盖区域的时候,开启笔记本电脑的无线网络,可以搜寻并且连接XX酒店酒店的无线网络系统,当打开IE等网络浏览器的时候,会自动弹出Aruba的网页认证界面,可以有以下几

45、种方式来控制访客的上网流程:访客需要填写帐号名和密码,通过认证之后能够接入XX酒店酒店的无线网络,访问更多的Internet资源,但是无法访问内网资源;通过ARUBA提供的客户化Web Portal认证功能,可很好的为外来访问者提供接入网络的可能。一种为前台人员设计的独特的简化用户生成系统,带有到期时间和预设接入控制的临时客人ID。这样,方便灵活的完成了,对访客的访问XX酒店酒店网络资源的要求。3.3. 无线安全性设计3.3.1. 无线网络的安全保护和检测由于无线终端接入是没有明确物理位置限制的,所以管理方极难用固定的网络防火墙设备来防范无线连接(防火墙一般很少会设置在每一个接入层的数据链路上

46、)。并且网络防火墙是不能防止无线终端之间的通信,所以万一有无线终端被病毒感染或黑客在无线发起攻击的话,它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。有一些酒店为了安全就采用一刀切的方法,把所有无线接入汇聚到一个DMZ内,再通过网络防火墙的过滤才让无线数据进入酒店内网。这种方式在具体实施时有一定的困难,只能局限在传输网内的某些范围,因无线用户/终端必需集中在同一VLAN上处理,否则的话很难把它们汇聚到一个DMZ内。如果不是经过DMZ的话,则可能威胁到内网的安全,但要把在不同接入点AP的无线用户/终端和有线用户(在同一接入点)完全分隔开而设置到DMZ上的同一个VLAN则需在现有的局域

47、网做很多改动。且未来如要增加多一些AP接入点的话,亦同样需要在局域网的接入层,汇聚层做很多改动。采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性,因它本质上不是设计来做内部的安全保护,而是用来确保外来数据进入酒店内网是安全可靠的,所以一般都会设置在酒店因特网的连接口。从因特网进入酒店内网无线接入的最大区别在于后者是可对用户做认证,但前者是不可能实现。由于不能确认用户的身份,所以防火墙的检查或策略只可按端口和IP 原地址来制定,不管用户是谁。这种模式在酒店内部署会对用户的内网访问有很多限制,缺乏灵活性,所以是很难被用户广泛接受,只可在小范围或小规模的情况下实现。要做到实施和维护简单方便,亦可根据用户身份来制定安全访问策略,ARUBA的无线解决方案就可以彻底解决这些问题。3.3.2. 无线局域网的认证和加密安全可以说是酒店是否采用无线网的最主要考虑因素。网络安全范围是非常广,从无线电波,无线链路层,以致网络层和应用层等,它们都是息息相关和相互影响。如果单纯只考虑无线接入层的安全而把网络层分开处理的话,就会把

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 高考资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁