Aruba零售行业远程移动无线网络解决方案

Aruba零售行业远程移动无线网络解

决方案

目录

目录............................................................................1

1.概述....................................................................1

1.1现状分析................................................................2

1.2建设目标................................................................3

2.Aruba零售业远程移动无线组网设计.......................................4

2.1Aruba远程移动接入技术介绍.............................................5

3.Aruba零售业远程移动无线应用特点.......................................8

3.1仓储和库存管理应用.....................................................8

3.2无线POS业务应用........................................................8

3.3无线视频监控应用........................................................9

3.4VoWiFi电话语音服务应用...............................................10

4.Aruba零售业远程移动无线功能设计......................................11

4.1.零售门店设备接入认证设计..........................................11

4.2.零售门店无线设备管理设计..........................................11

4.3.零售行业移动终端管理系统(MDM)..........................................................................12

4.4.零售门店基于应用的权限设计........................................14

4.5.零售门店安全设计.............................................15

4.4.1.端到端的数据加密..............................................15

4.4.2.无线接入的病毒防护............................................16

4.4.3.符合国际信用卡行业PCI标准....................................17

4.6.零售门店无线设备部署设计..........................................18

4.7.集中化统一管理.....................................................19

5.Aruba零售业远程移动解决方案优势............................................21

5.1终端设备统一管理......................................................21

5.2方便简单的维护方式....................................................21

5.3便捷的部署方式.........................................................21

5.4无需专有线路...........................................................21

5.5高性价比和投资保护....................................................21

5.6集中管理的安全性......................................................22

1.概述

计算机网络技术发展至今，已经达到了一个相当完满的境地，为商业零售业的解决方案

也不断地推陈出新并日趋完善。商业POS系统，库存盘点系统，MIS系统为商家提供了丰富

的经营管理，预测分析的数据。但是尽管如此，对于大型零售企业而言，随着客流量的不断

增加，商品的流通越来越快，POS系统或MIS系统中经常用到的口结，月结等功能无法满足

数据的实时性要求，使得企业管理者无法在第一时间获得各类商品的销售、存货的入库和上

架等关键数据

由于传统有线网络固有的缺陷，无法满足移动环境下的零售企业对应用实时性的要求，

无线计算机通讯网络的解决方案开始为越来越多的商家所关注。无线网络通讯技术在解决了

操作人员的流动性问题的同时，实现了数据的实时传输0

但是，无线网络通信技术在提供移动性的同时也带来了安全性隐患。由于无线网络是一

个相对开放的网络系统，在AP的信号覆盖范围内，任何一个移动终端都可以捕获到无线信

号，并通过对无线信号进行解调制运算还原出所承载的商业数据，因此任意一个终端，不论

是合法的还是非法的，也不论其位于企业围墙内部还是围墙外部，都有可能接受到AP覆盖

范围内的无线信号，并截获相关信息，导致企业商业机密、甚至顾客信用卡数据等私密信息

外泄，为企业带来难以估测的商业风险。

此外，由于零代企'也往往采用连锁、加落等方式讲行扩张，因此无线局域网需要具有优

异的无缝扩展特性，以及适合各种单店规模的组网特性，并提供中心化的网络管理和安全策

略部署，以简化网络部署和维护工作，降低系统运营成本。

1.1现状分析

1.昂贵的部署投入

XX在全国有800多家的连锁门店，门店和总部直接经常有业务往来，盲目的设

备采购将会导致投资浪费,除此之外如果为每家门店申请专线，那么又是一笔数目

不小的资金投入。

2.连锁门店设备缺乏有效的网络安全接入控制

■大多数远程分支门店的网络安全控制主要依靠网络中心的防火墙实现，而对各

分支下属设备的网络接入缺乏有效的手段进行安全控制

•目前的网络安全策略完全基于网络层信息，缺乏基于用户身份的安全策略控制

■各分支网点IP网络需独立规划，不利于总部统一管理，无法实现移动办公

3.连锁门店或分支办事处缺乏远程办公解决方案

由于业务发展需要，XX以每年xx家的速度发展连锁店。这些连锁店需要有支

持多应用并能提供安全便捷接入的无线网络为客户提供服务。同时能够采用集中统

一的手段管理这些设备。

2.Aruba零售业远程移动无线组网设计

殳力式笆有

数？《/圣前沃方案

生中式笆无线

安全辉误方煲

妄■隹.；存君曳N

Airwave

O

网络中心配置1台ARUBA6000无线控制器作为核心控制器，统一管理全网的移动办

公用户接入安全策略控制，包括总部、零售门店、远程移动办公用户。并实现冗余备份高可

用性设计。ARUBA6000控制器通过千兆以太网接口直接连接网络核心交换机。ARUBA

6000无线控制器最多支持8192颗远程接入无线接入点，最高可以提供80Gbps的数据处

理能力，完全可以满足。

在中小连锁门店，可以采用ARUBA独有的RemoteAP解决方案（RAP）,实现安全

的远程移动接入。ARUBARAP可以随时随地的通过上联链路和总部核心无线控制器建立

IP-Sec隧道，保证用户数据安全的传输。值得一提的是ARUBARAP支持3G链路的上联，

即使在没有线路资源的连锁门店，RAP可以保证无线网络随时跟随着用户。

在XX大型的连锁门店，可以采用ARUBA远程移动性无线控制器，门店无线控制器可

以和总部核心无线控制器建立Loca-Master关系，这时总部Master控制器会将所有无线策

略统一下发到门店无线控制器上，门店Local无线控制器和卜联AP受总部无线控制器统一

管理。

采用上述网络架构，不论总部、零售门店、还是远程移动办公用户均由总部的AFUBA

6000控制器统一管理用户安全接入策略，所有的无线网络设备由ARUBAAirwave专业

网络管理软件对所有设备进行统一管理，可以根据用户需要生成各种报表进行数据分析，也

可以实时监控无线设备和无线客户端。

这种组网方式简易灵活并方便扩容。未来当无线局域网规模需要扩容而增加AP数量时,

ARUBA6000控制器可以提供充分的可扩展性。各连锁门店的ArubaRAP负责担任本地

策略检查点的角色，根据总部统一制定的安全接入策略控制分支机构本地用户的安全接入和

流量转发。

2.1Aruba远程移动接入技术介绍

ArubaRAP（远程无线接入点）系列是Aruba独有的技术，是AmbaVBN（虚拟化企业分

支网络）解决方案中的一个组成部分。与其他的厂商的区别在于，ArubaVBN解决方案致力

于为企、也用户在远程接入的环境下，为客户提供•个高性价比、高安全、易部署的无线整体

解决方案。

•ArubaRAP远程移动门店接入方式介绍

WirelessVoIP3智能

惕定的数据和疫

制说量

认证用户

Aruba

远扁AI公司总部

分支机构

有线无线

Phone

加密认证5电x无攻控制跄

炎供中心化甘理用户控制

ArubaRAP可以在世界上任何一个有网络接入的地方，安装在每个零售门店的RAP可以

通过互联网和位于公司总部的Aruba无线控制器建立IPsec隧道,ArubaRAP支持LAN、DSL、

3GEVD0/GSM等几种方式进行互联网的上联。IPsec隧道建立成功后，Aruba无线控制器进

行判断，可以将不同的安全策略和无线配置下发到不同ArubaRAP上，用户通过ArubaRAP

可以使用无线或者有线的方式接入网络，并享有各自的权限配置…每个用户根据由总部

Aruba无线控制器分发的权限进行各种的数据应用。

•ArubaRAP远程移动门店接入的应用介绍

为整个企业提供强大的多功能虚拟网络

首先ArubaRAP可以为用户提供无线和有线两种接入方式的选择，通过ArubaRAP用户

可以将射频扫描终端、wifi电话、无线pos机、有线IP电话、台式机等各种设备接入网络。

无论用户选择哪种接入方式Aruba无线解决方案都可以为用户提供端到端的数据加密，同

时ArubaRAP会根据不同类型的用户分发不同的权限和优先级，保证高优先级应用的服务质

量。

ArubaRAP可以工作在tunnel>bridge、split-tunnel等几种工作模式。正常情况下

ArubaRAP会工作在tunnel模式下和Aruba无线控制器建立IPsectunneU当用户有访问

互联网和公司内网需求的时候，ArubaRAP可以选择为split-tunnel工作模式，将用户去

往互联网的流量本地转发，不再回传到核心无线控制器。如果遇到RAP和无线控制器之间链

路故障的情况卜，ArubaRAP会自动转变成bridge工作模式，保证用户本地数据业务的转

发。

•ArubaRAP的部署和配置介绍

Rcn*o«eAccessPeintSetup

EAtbtMjp•ddftMbIznwaCMAAJM"•«，Co«roae*2th«t

SmouAccessPooc：

_

1.将RAP连接到任意网络上

2.输入总部控制器的域名或地址

3.RAP自动建立到总部控制器的安全连接

4.总部控制器自动更新并配置分支机构RAP

5.安全的虚拟化分支网络在分支机构自动建立

EndUserInstallable,NoTruck-Rolls!

ArubaRAP系列全部支持“零配置”，当用户第一次通过RAP接入网络时，RAP会提示

用户输入位于公司总部无线控制器的IP地址或者域名，输入完毕后RAP会自动和无线控制

进行注册，注册完毕后用户就可以正常使用网络。

ArubaRAP特别适合用户没有IT人员的零售企业门店使用，不仅部署方便快捷，即使

遇到故障所有的维护可以在远端的无线控制器上完成，大大减少了企业的运营维护成本。

3.Aruba零售业远程移动无线应用特点

在企业的零售门店部署无线网络时，我们考虑的是如果帮助用户将投资降到最低以及提

供一套成熟的安全，易部署和便于维护的无线网络解决方案。

Aruba虚拟化企业分支网络(VBN)无线解决方案中的RAP(远端无线接入点)系列

无线接入点专门为企业零住:门店所设II,在终端较多的大型连锁门店可以采用RAP-5进行

部署，而小型连锁门店和配送中心可以根据无线接入用户数选择RAP-2,所有的RAP无线

接入点系列都可以通过IPSecVPN与企业总部的核心无线控制器进行连接，在保证安全性

的前提下实现统一的管理和配置。

3.1仓储和库存管理应用

目前大多数零售门店都是前端为商品销售区，后端为小型仓储室的一种布局方式。零售

门店的雇员经常要在这两个区域之间进行商品销售和库存的盘点，无论是使用先下载数据库

再盘点方式，还是直接进行盘点方式，都需要将手持扫描终端用通讯座或通讯电缆将后台服

务器上的信息数据下载到手持扫描终端中，然后再进行盘点。由于受有线线路的牵制，员工

很难真正做到实时移动性的操作，同时工作效率也得不到进一步的提高.

如果采用ArubaRAP解决方案就能够很好的解决这个问题，ArubaRAP-2WG远程接入点

最大可以支持15个终端接入，自带的可拆卸增益天线匕以良好的覆盖中小型规模的零售门

店。位于公司总部的无线核心控制器可以对所有的ArubaRAP进行管理和安全认证。

部署了Aruba-RAP的零售门店，可以有效的对门店和仓储室中的货物进出以及销智情况

进行实时管理，以加强库存管理的实时性和精确性，真正做到」IT,最大限度降低缺货风险

和库存成本。

3.2无线POS业务应用

无线pos'lk务是零售行业未来发展的一种支付趋势，传统POS系统采用线缆连接各个POS

收款台，受限于传统的布线方式；通讯费用高，交易步骤冗繁，且系统建设周期长，不利于

为顾客建立快速优质的刷卡环境。

Wi-Fi无线数据传输具有设备成本低、数据传输安全可靠、使用灵活方便等特点，非常

适合POS机上的应用。Wi-Fi操作系统可以远程通过INTEL升级非常灵活方便，可提供广域的

无线IP连接，适用于零售行业开展无线数据应用，为分散的远程接入点提供高性能的无线接

入。与固定的POS系统相比，WiFi移动POS系统可节省近40%的POS硬件成本和30%的管理成

本。与此同时，商店可开发基于gFi的物资管理系统，提高销售追踪能力和，更高效地利用

销售资源。该系统也支持管理层对数据进行实时分析，可加强商业的动态管理。实时获取库

存信息并接收动态销售指令，为员工提供了准确的库存和销售数据，提高了工作效率。

在有信用卡交易的无线POS业务中，Aruba完全符合国际信用卡行业PCI标准。ArubaRAP

解决方案支持支持AES-128/256,SHA-128/192/256,3DES和64/128位WEP,WPA1/2WiFi

加密，支持基于用户角色的身份认证，采用端到端高强度加密的无线链路传输支付卡信息,

既保障了信息的安全性，又提高了收银系统的灵活性，使得移动POS机、移动售货亭、自助

终端等出加易干部署，并H.便干商店灵活调整货柜的摆放方式，以配合各种商场促销活动。

3.3无线视频监控应用

24小时的零售门店便利了人们的生活，但是对于其本身的安全防范也是企业关注的重

点，08年10月份上海推行了《重点单位重要部位安全技术防范系统要求第9部分：零售商

业》地方标准，24小时便利店统一强制安装视频安防监控系统。对于零售企业来说安全性

得到的保障，但是也提高了企业自身的成本投入。

-SinultaneousVideoVoice&Data

-LANorWANConnectivity

-SecureMeshExtensionOutdoors

-AccessoryWiredPortonAPsfor

wiredcameras

传统视频安防监控系统除了摄像头和线缆的投入外,还需要专门配置一台电脑进行监控

查看。如果采用了IP数字摄像头，无论是投资还是安装部署都会降低许多成木.

ArubaRAP-2WG支持终端无线和有线两种接入方式，在新开张的零售门店或者需要进行

临时监控的场所，只需要为IP摄像头提供电源，IP摄像头就可以通过ArubaRAP正常开始

工作，IP摄像头可以选择无线或者有线的方式进行接入，在后台只需要在浏览器中输入摄像

头的IP地址就可以实时查看摄像头监控到的内容。

Aruba无线控制器可以对每个用户进行QoS优化和带宽限制，通过策略的分配可以使视

频应用在可控的范围内正常传输，从而保障其它业务应用的正常传输。

3.4VoWiFi电话语音服务应用

在未来的零售门店vcwifi也会将是一个重点的应用，和传统的电话相比，vowifi有较强

的灵活性和高性价比性，只要在门店无线覆盖的区域范围内，员工都可以使用Wifi语音电话

和总部进行工作上的电话沟通。使用wowifi可以更好的提高员工生产效率、降低电话资费

开销。

ARUBA的无线控制器已经证明很多业界VoIP系统在ARUBA系统上成功的运行，且在最

近的NetworkWorldVoWLAN测试结果被评选为市场上最卓越的产品。Aruba无线系统除了

可以自动识别语音数据为其打上更高的优先级之外，还可以增加wifi电话的待机续航时间。

4.Aruba零售业远程移动无线功能设计

4.1.零售门店设备接入认证设计

为r保证接入设备的合法性和安全性，零售门店的无线网需要一个合理的设备认证方案。

Aruba无线系统支持二层的MAC\802.1x\WPA\AES\TKIP动态WEP和三层的webportalIPSec,

PPTPVPN多种认证和加密手段。

结合零售门店的实际情况，一般我们建议使用以下手段进行设备接入认证：

1.隐藏业务SSID

除了防止非法用户连接之外，更重要的是保障仿冒恶意的欺骗攻击。

2.手持终端使用MAC地址认证+WPA2-PSK相结合的加密认证方式

Arubd无线控制器内置用户数据库，当有手持终端接入无线网络的时候，Arubd无

线系统首先会提示用户输入WPA2-PSK加密密钥，密钥输入正确后系统会和用户数

据库中已登记的设备MAC地址进行匹配，当匹配成功后手持终端方可.连入无线网

络。加密和认证相结合的方式，既保证连入设备的合法性，又可以保证设备数据传

输的安区性。

4.2.零售门店无线设备管理设计

Aruba无线系统采用的是“瘦AP”的架构，无线设备和无线用户可以在后端的无线控制

器上进行统•集中化的配置管理。当大规模部署远程无线网络时，只需要在核心无线控制器

上进行操作就可以应用到每一个远程无线接入点上。通过无线控制器管理人员可以实时监控

目前无线系统上已经登录的所有手持终端设备和正在运行的RAP,当发现某个手持终端工作

异常时，管理人员也可以远程进行排查工作或者将其添加到黑名单中。

结合ArubaAirwave网管软件可以进行更细致的管理工作，Airwave可以实时监控无线设

备和无线终端的流量，并且可以保存长达2年的数据流量统计图。Airwave强大的报表功能

可以跟据用户的需求生成自定义报表，可以对所有无线设备品牌，型号生产设备库存报表，

也可以跟据流量生成流量排行榜报表，跟据这类报表可以帮助用户分析设备使用率，为用户

的设备管理工作提供强大的辅助功能。

4.3.零售行业移动终端管理系统(MDM)

AirWave^7:ComponentsofMDM

Singleinterfaceforallclientdevices

•StandardAirWaveHWPlatform

Failovertostandardfailoverserver

MDMMDM

ServerAgent

述Devicy-Devicew1^MDMAgent

Aaeiless•HQhfrequencystatistics

Interface•Battery

•CPU

Devices-DevicewXhremoteAPI•Memory

Monitored•Highfrequencystatistics•Datfyman^ests

Devices•Battery•Confeguoton-pushp»ck>9e

•CPU•Warm&eddreboot

Devices-Anydeviceonnetwcdc

•Memocy•Remotecontrol

•locaton-currentandpast•RFinformation

•Associationhisto«y•Dailymanifests

•Confi9ur»u(>n-vxirviOuaiseconds

•Pttysicalspec^icatiors•Testprint

•GramMardanifcation

■FAconf^uratioci

大量投入门店使用的手持终端是否在正常使用，使月的状况又如何，这在传统的无线网

络中是无法做到很好的统计的，经常导致用户的重复投资。ArubaAirwave网管软件可以帮

助用户有效的解决这个问题。

AirwaveMDM功能带来单一，易于使用的管理控制台关键设备的信息。您的员工可以

查明问题更快，从客尸端到基础设施使整个系统工作的更有效率，。您还可以跟踪移动资产

价值更容易，帮助您提高利用率和消除重复购买或支付那些不再使用的设备

■MDM-RemoteControl-...I0卜回

，.|Start佻,“恒

©Wednesday

July08,2009

帽）Wi-Fi：Warehouse

i，Tapheretosetownerinformation

叁Nounreadmessages

QNotasks

fpNoupcomingappointments

pPDeviceunlocked

%^TapheretosignintoPocketMSN!

移动资产跟踪功能

•在网络上提供所有无线设备的单一视图

•为所有您的设备基于容量、硬件组件、制造商或者型号来分组，分类，和过滤

•帮助您记录可贵的流动财产（从扫描器到移动手持没备），以便您能增加使用率和节约

多余的购买

•在容量规划提供帮助，让您能有规划来采购你实际的需求

•可以让你创建自定义的故障排除支持报告，资产管理和其他工作

无缝集成Airwave管理平台

•自动发现连接在无线网络上的设备

•IT管理人员能搜寻用户根据用户名然后从相同接口访问设备细节详细信息来诊断网

络问题。

可管理Windows平台的设备

•支持WindowsMobile®,WindowsCE®,andWindowsXP®

•作为一个运行在用户端设备非常轻便的服务

•提供充分的诊断能力

•显示全面详细的设备

•支持开启远程控制来解决问题

,支持开启远程冷热重新启动

•支持推送更新包(.MSI,.CAB,or.EXE).

4.4.零售门店基于应用的权限设计

传统的身份验证大多是基于整个AP或者基于用户的IP地址、SSID.VLAN等几种方式，

Aruba特有的基于用户角色的身份验证可以根据不同类型的用户分配不同权限的策略。

无线网络有别于有线网络，一个无线接入点需要为有不同应用的用户提供无线接入服务。

在大多零售门店的无线应用除了手持终端扫描需要无线网络，可能还有互联网访问、无线

pos、vowifi、无线监控等各种应用,Aruba无线系统会为需要认证的用户,根据他的用户名

分配不同的角色，这个角色里就包含了他所拥有的权限。所以无论这些用户身在何处，是不

是关联同一个SSID、是不是在同一个Vian里、是不是获得过同样的IP地址，Aruba无线系

统都可以为每一个用户分配不同的角色。

比如，我们可以为射须扫描终端分配一个“scan〃角色，这个角色只可以访问条形色数据

库，别的应用是无法访问的。当无线视频摄像头接入无线网络后，可以为他分配一个"video”

角色，为了不占用过多的网络资源，这个角色的带宽是受到限制的。

4.5.零售门店安全设计

4.4.1.端到端的数据加密

WLANWiredLAN

Advantages

•Authentication&

firewalltogether

•Firewallpolicies

basedonidentity

notMACorIP

•End-to-end

encryption

•Spoofingattacks

defeated

Internal

LAN

数据加密

Aruba一直注重用户数据传输的安区性，即使是借助于互联网传输的ArubaRAP解决

方案，同样可以做到用户数据端到端的数据加密。在无线侧用户的数据可以通过

WEP/WPA-PSK/WPA2-PSK等几种加密方式对数据进行加密，当数据传输到RAP处，RAP

不会进行解密操作，而是将用户数据通过安全的隧道传递到总部的无线控制器进行处理，所

有的解密操作全部由无线控制器进行统一处理。

Aruba无线交换系统美供业界独有的多层次的无线安全来保护无线资源、数据、网络和

用户。配以完善的射频监控技术，获得专利的分类引擎让管理员可以通过自动检测非授权用

户、抑制非法AP和保证用户不会连接到非法AP等方法来保护无线资源。链路层的安全

包括支持WEP、动态WEP、TKIP(WPA1.0)和AES协议以保护用户数据安全。基于

802.1x认证与标准的认证机制如RADIUS、LDAP和ActiveDirectory一起，并结合链路

层的加密来保护用户的隐私。并可在作802.1X加密认证的同时，对用户终端设备首先进行

认证，这样设备+用户认证的方式，极大提高了网络的安全和可靠度。同时，Aruba的无线

控制器也可以终结IPSEC,PPTP,L2Tp等多种VPN隧道。

集成的防火墙让管理员可以创建并执行跟随用户的状态防火增。

1.射频安全包括集成的802.11IDS功能，以抵御已知的无线攻击

2.自动非法AP桧测和隔离

3.独特的自动基于策略的对AP和主机的分类

4.L2安全：支持802.1x\WPA\AES\TK动态WEP

5.L3安全：支持IPSec、PPTPVPN

6.基于身份的状态防火墙能够实现基于用户的安全和控制

7.基于用户角色的Vian和基丁•用户的策略控制能够实现用户和数据的区分

8.集成的Web认证，实现安全的访客认证接入

Aruba无线系统和其它厂家在无线接

入的认证和加密上最大的区别是前者不是通

过AP,而是在Aruba无线控制器上实现。由

于Aruba的AP是不储存任何网络配置（IP

地址除外）和安全设置，为此获得和接入进

Aruba无线接入点，黑客也不会拿到无线网

的网络和安全配置参数。一个破坏者通过其

他的手段（偷盗和窃取）攻破了边缘的接入

网络，他也无法破译Aruba无线网络建立起

的加密通道，无法窃取网络的真实信息。

4.4.2.无线接入的病毒防护

Aruba无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；

二、对无线终端发出数据进行有效的检查和监控。

无线终端病毒防护的笫一步是准入检查，Aruba的无线网络系统既可以提供自己的准

入控制功能，又可以与第三方的准入控制系统兼容，并实现联动。当无线终端连接到Aruba

无线系统中，试图访问网络，在用户认证之后，首先通过从准入控制系统下载的或预装的准

入控制客户端对无线终端的完整性进行检查，如操作系统打补「的情况、安装防病毒软件的

情况、以及防病毒定义码升级的情况等。如果无线终端不能通过该完整性检查，可以设定策

略禁止其访问网络，也可设置成将无线用户重定向到一台修复服务器，通过安装系统补丁、

防病毒软件和升级病毒定义码等操作对终端完整性进行修复，直到满足系统制定的安全策略

以后，该无线终端才可以通过认证而进入网络。

当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是

更加进一步的病毒防护手段。Aruba公司和可以和主流的网络准入控制厂商合作，在Aruba

无线控制器上可以设定策略，将某些用户，以及某些可能沾染病毒的数据，通过Aruba无

线控制器重定向到第三方的防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会

将数据丢弃。并且，Aruba无线控制器还可以提供API接II,允许第三方的防毒墙通过该接

口与Aruba无线控制器进行联动，修改染毒终端的网络访问权限，甚至将该终端加入网络

黑名单，从无线网络中断开。

4.4.3.符合国际信用卡行业PCI标准

考虑H后，零售门店可能会使用无线POS业务，在有信用卡数据传输的无线网络中，

符合PCI标准的无线系统能够带给无线用户强健的网络安全保障。，•个足够安全的无线网

络必须能够满足PCI标准类型3的各项要求：

7.2:Role-basedAccess

10:MonitorAccess

WirelessLANIsConsidered

APublicNetwork

1.1.2:InventoryWLAN1.1.2:InventoryWLAN

1.2.3:FirewallWLAN1.2.3:FirewallWLAN

2.1.1:Don*tUseDefaults2.1.1:Don*tUseDefaults

2.2:StandardConfig2.2:StandardConfig

4.1.1:BetterThanWEP4.1.1:BetterThanWEP

6.1:Getlatestpatches6.1:Getlatestpatches

9.1.3:PhysicalSecurity9.1.3:PhysicalSecurity

11.1：WirelessIDS/IPS11.1:WirelessIDS/IPS11.1:WirelessIDS/IPS

Category1Category2Category3

NoWLANNocardholderdataCardholderdata

overWLANoverWLAN

•11.1至少每季度使用一次无线分析仪或部署可识别所有在用无线设备的无线

IDS/IPS以测试无线访问点是否存在

•9.1.3限制对无线访问点、网关和手持式设备的物理访问。

•6.1确保所有系统组件和软件都安装了最新的供应商提供的安全补丁。在发布的一

个月以内安装关键的安全补丁

•4.1.1.确保传输持卡人数据或连接到持卡人数据环境的无线网络使用了行业最优方

法（例如IEEE802.11D对认证和传输实施了强效机密。

对于新的无线实施，自2009年3月31日起禁止实施WEP。

对于当前的无线实施，自2010年6月30日起禁止使用WEPo

•2.2制定所有系统组件的配置标准。确保这些标准解决了所有已知的安全漏洞，并

且符合行业接受的系统安全标准。

•2.1.1对于连接到持卡人数据环境或传输持卡人数据的无线环境，更改无线供应商

默认项，包括但不局限于默认无线加密密钥、密码和SNMP机构字串。确保无线设备安全

设置已启用，采用了严格的加密技术进行认证和传输。

•1.2.3在任何无线网络和持卡人数据环境之间安装外围防火墙，并且将这些防火墙

配置为禁止或控制（如果业务目的需要这样的流量）从无线环境流入持卡人数据环境的任何

流最。

•1.1.2当前网络图表，带有至持卡人数据的所有连接，包括所有无线网络

•10跟踪和监控访问网络资源和持卡人数据的所有操作。

•7.2为用户系统组件建立访问控制系统，根据用户需要知道的数据限制访问，并且

设置为“禁止所有”，除非特别允许。此访问控制器系统必须包含以下各项：

覆盖所有的系统组件

根据工作划分和职能给个人分配权限

默认的“禁止所有”设置

Aruba无线网络解决方案通过具有高性价比的方式实现PCI法规,Aruba能够为用户提

供综合性的解决方案，用户不需要为了实现PCI法规去购买众多的网络技术，Aruba简化

了无线网络安全任务，Aruba还提供了一系列解决方案旨在适应不同的现有或传统无线网络

的安全控制要求，防止了大规模升级的需要。

4.6.零售门店无线设备部署设计

采用了ArubaRAP解决方案的零伐远程门店，可以实现对无线用户和设备集中化的统

一管理、基于用户的安全策略设置、实时的热区图等所有的功能，IT经理可以像在公司总

部一样管理远程门店的无线控制器和无线接入点，所有的配置都是集中统一下发的，所有的

维护与操作都可以在公司总部完成。

1.将RAP连接到任意网络上

2.输入总部控制器的域名或地址

3.RAP自动建立到总部控制器的安全连接

4.总部控制器自动更新并配置分支机构RAP

5.安全的虚拟化分支网络在分支机构自动建立

EndUserInstallable,NoTruck-Rolls!

ArubaRAP支持“zerotouch”，远程分支连锁店的用户拿到RAP只要打开浏览器，在

弹出的对话框中输入公司总部无线控制器的IP地址或者域名，RAP就会自动与总部的无线

控制器注册。

同时ArubaRAP还支持backup工作模式，在正常情况下RAP提供普通的SSID为无

线客户端提供接入，当去往公司总部的链路出现故障RAP无法与无线控制器注册的时候,

RAP会吐出一个backup的SSID,这时候RAP的工作模式也由普通模式转变成bridge模

式，保证用户去往本地的流量可以正常转发。当上联链路恢复后，RAP又会重新与总部的

无线控制器进行注册，随之用户的网络也恢复，可以正常访问公司总部内网。

所以无论有无IT人员，只要采用了ArubaVBN解决方案的零售门店，无