ARUBA无线网络解决方案在酒店应用中的利用

ARUBA

networks

XX酒店

无线网络系统设计方案

Date02,2023

目录

第I章.概述...................................................

第2章.需求分析...............................................

2.1.建设目的..................................................

2.2.设备需求..................................................

2.3.无线网络设计原则..........................................

2.4.XX酒店酒店无线局域网的整体设计定位......................

2.5.XX酒店酒店无线局域网整体架构............................

2.5.1.无线移动语音视频应用..................................

2.5.2.一体化远程办公处理方案................................

2.5.3.安全保障的无线网络的重要性............................

第3章.无线网络系统详细设计...................................

3.1.无线组网方式设计..........................................

3.2.多业务辨别设计............................................

33无线安全性设计............................................

3.3.1.无线网络的安全保护和检测..............................

3.3.2.无线局域网的认证和加密................................

3.3.3.检测无线入侵和非法拦截和定位..........................

3.3.4.多层次无线网络安全体系................................

3.4.移动漫游设计..............................................

3.4.1.L2/L3层漫游.........................................

3.4.2.在不一样域之间的顾客认证和漫游.......................

3.5.无线互换机H勺配置实行提议..................................

3.5.1.AP的VLAN和无线顾客的VLAN.........................

3.5.2.VLAN和无线SSID的关系..............................

3.53无线局域网-不需更改局域网路由.....................

3.6.网络与顾客管理...........................................

3.7.无线网络H勺负载均衡和多媒体应用时实现.....................

3.8.客户端兼容性.............................................

第4章.ARUBA产品简介........................................

4.1.ARUBA移动控制器MMC-3000系列.........................

4.2.无线接入点ARUBAAP93................................

第5章.成功案例................................................

5.1.遍及全球H勺客户列表........................................

第6章.总结....................................................

XX酒店酒店店无线网络系统设计

第1章.概述

ARUBA企业十分快乐有机会参与XX酒店酒店店无线网络平台的建设工

作，对于XX酒店酒店对无线网络平台H勺规定，ARUBA企业非常重视，并乐意

从技术、商务等多方面尽我们最大努力与XX酒店酒店一道建设好XX酒店酒店

无线网络平台。在本次答复中，ARUBA企业力争将每一细节问题向贵单位论述

清晰，并向XX酒店酒店提供完整的无线网络提议，在保证系统稳定性,安全可

靠性,系统先进性的I同步，还能保证XX酒店酒店对无线网络的未来需求。

ARUBA企业非常珍视和XX酒店酒店H勺长期战咯合作关系，但愿倾力给

XX酒店酒店无线网络系统提供能体现当今最新技术的产品来协助XX酒店酒店

更好的为其领导和员工服务。

在充足理解了网络建设目H勺之后，我们将采用国际领先和成熟H勺无线网络技

术，与XX酒店酒店分享ARUBA企业在业界最丰富的设计和布署无线网络经验,

结合XX酒店酒店实际状况，进行网络构造H勺优化设计，并为XX酒店酒店提供

最佳的技术和工程支持。在满足既有需求H勺同步，我们还充足考虑到网络未来的

发展，最大程度地保证网络日勺先进性、合理性、可靠性、可用性以及可扩充性。

并尤其承诺提供最佳日勺全方位支持以保证该项目的最终商业成功。

ARUBA企业是一家总部设在美国硅谷口勺高科技企业，已于2023年3月成

功在美国NASDQ上市，股票代码:ARUN,R前市值到达16亿美金左右。ARUBA

企业是全球业界首先实现了无线互换并发明性地提出了“移动边缘”的概念，并

是全球第一种专注WLAN产品的研发与设计的跨国酒店。ARUBA已经在美国、

欧洲、中东和亚太地区建有分支机构，员工更是遍及全球各地。ARUBA非常重

视中国市场，已在北京、上海、广州、成都分别开设了办事机构，并在北京设置

了7*24小时的技术支援中心，全力拓展中国市场。ARUBA以开发出第一种模

块移动系统而著称，该系统可集中控制所有接入、安全和移动服务，可使酒店不

间断、可衡量、无断裂地从固定网络转到移动网络。同步企业也与阿尔卡特、

AT&T、IBM、惠普以及NCR企业建立了全球战略销售和服务合作关系。

ARUBA先进的新一代WLAN处理方案自2023年推出后，就成为下一代

WLAN网络演进的先驱者所推崇的处理方案，至今已经获得Google、Microsoft>

SAP、Yahoo、BEA、Yale等30()0多家口勺商业应用，这些客户遍及全球各地，其

中包括了目前世界上最大的酒店和大学WLAN网络(Microsoft和OHIO

University)o

ARUBA借助最新的发明的新网络体系构造，为客户带来“移动边缘”，可

以满足IT管理人员H勺最关怀的I三个问题——移动性、安全性和整合性。代表了

对无线网络的发展口勺未来趋势，而不仅仅是建立无线局域网。ARUBA的“移动

边缘”拓展了酒店的网络范围——跨越了局域网、广域网和互联网——使顾客无

论身在何处都可以安全访问酒店信息和未来的)语音服务，而酒店也可以在无线局

域网基础之上开发新口勺应用。采用ARUBA"移动边缘”处理方案后，可以无缝

覆盖现存H勺酒店网络，未来可将酒店中心、地区和分支机构H勺网络以及在家中、

酒店的远程酒店顾客联络起来。

ARUBA"移动边缘”的处理方案可以提供如下几种优势：

•为酒店顾客提供迅速、简便以及经济的提供移动数据接入服务，未来拓展

语音多媒体服务

•为移动型酒店提供安全口勺处理措施，使有线网络同无线网络同样的安全

•与现存有线基础设备可以完全整合对接，保证了网络的安全与稳定

•通过统一网管，减少资本和运行成本，大幅提高的网络的经济性

•为顾客和服务未来时增长提供坚实而灵活的基础

全球部署ARUBA无线解决方案的酒店客户

21c会⑧

NamottIlMNMWy＜，RltaWT*'・"Hilton

FOURF^POINTS

•ViMttAfON

AHOTELWASHINGTON□

Y施如MA.

JWMARRIOTT.

HOTIU.121：：、》II

毒

IJiLPOLYNCSIANdiowird^ohnson

GRANDHOTEL南沙大酒店

PIAZANINGBOom

绿城集团

CREENTOWN

MGMGMIRAGETHCLUXCMANORSHANGRI-LA

THEPLACE

NOVClAMe”▲

第2章.需求分析

2.1.建设目的

XX酒店酒店规定以现代技术原则集成大楼内部的无线网络系统。为办公环境无线

局域网接入，为有线办公环境网络提供了良好的补充，完毕了整个办公环境网络接入的

全面覆盖，使顾客可以在办公环境内的任何区域接入办公环境网络，到达完善移动办公

环境的目的。在此，无线网络为有线办公环境网的良好扩展，既节省了成本，并且加紧

了办公环境网信息化建设日勺步伐。

通过本项目的建设，将为XX酒店酒店提供更好I均移动平台，为更多的无线应用打

下坚实叫基础。

2.2.设备需求

本次XX酒店酒店规定使用Aruba无线产品全覆盖的方案。整个改造过程无需改动

既有网络构造，考虑到各楼层间口勺差异性，按照前期规划的AP布署量，我方在产品选

型上推荐使用无线接入点AP93配合Aruba3000系列移动控制器为XX酒店酒店架设以

Un平台陈J无线网络系统，并且以整体系统的强健性、安全性、扩展性来考量。无线覆

盖的区域从B1层至23层进行所有覆盖，重要以客房区为主，重要目的为了提供酒店旅

客无线上网H勺需求，本次改造将会布署151个AP93,2台ARUBA3000系列移动控制

器。

无线网络设计概述

2.3.无线网络设计原则

1、高性能。无线网络系统可以适应此后高带宽H勺规定，满足日益增长的业

务量需求，这些需求不仅包括此后巨大的业务数据量，同步也包括音频、视频等

於J需求。

2、高可用性，无线网络系统具有较高的可靠性和可用性，具有强大的容错

功能，以保证多种应用时正常运行。系统具有在线故障恢复能力，关键设备、模

块、线路能做到实时备份、均衡负载和自动故障切换。

3、可管理性。可以对网络进行在线监控，随n寸理解无线网络H勺“健康状态”,

迅速定位并排除故障，根据需要优化网络，更合理地对网络进行配置及资源分派,

提高网络H勺运用率和性能,

4、安全性。无线网络系统提供多种有效H勺安全控制机制，以防止机密泄露

和影响正常工作。无线网络系统应提供一套完整的安全防备措施，可以有效地防

止系统外部人员H勺非法侵入。

5、可扩展性,应用口勺不停发展规定网络在性能、协议、网络拓扑及多种业

务等方面具有很好H勺可扩展性。在无线网络设计及选择设备时应完全满足目前H勺

应用需求，同步充足考虑此后较长时间内应用发展的J需要，网络系统应能以便地

升级。

6、开放性。无线网络系统应采用国际原则。无线网络体系构造与系统应用

互相独立，支持多种通讯协议，多种数据库和客户机/服务器应用，与既有的LAN

网络系统无缝地集成。

7、经济性和实用性。完全从目前的应用需求出发，设计既可以满足目前的

应用需求又能面向未来H勺应用需求升级的网络系统方案，同步又要保证提供服务

时的经济性。在满足系统功能规定的前提下，尽量减少建设成本，考虑此后升级

时设备时可持续使用，保护顾客投资。

2.4.XX酒店酒店无线局域网的整体设计定位

ARUBA认为XX酒店酒店无线网络建设应当“面向未来，统一规划，分步

实行”，XX酒店酒店目前正处在大规模H勺基木建设中，无线网络作为一种重要

的网络基础设施，必然也是未来基本建设H勺重要构成之一。无线网络建设应站在

一定高度，本着满足未来5—23年无线迅速增长和安全日勺需求出发，应当具有如

下功能：

第一，无所不在的无线接入网络

•提供真正的移动性，无线酒店网络吸引人的一种特点是移动性——顾客

可以在室内室外，办公室、会议室之间自由移动并和网络保持持续连接。容许顾

客在酒店覆盖区内无缝漫游，无需频繁地登陆和退出。高速无线口勺方式覆盖整个

酒店办公区域，让酒店员工体会到无线局域网给带来的好处和便利。

•大规模布署无线网络还可以作为有线网络H勺链路备份，在有线网络发生

故障或者拥塞的状况下承担部分网络流量。

第二，随时随地的远程安全无线接入

伴随酒店变得愈加虚拟化、更富有协作性并且愈加分散，依赖于分布在

不一样地点的合作伙伴、供应商和移动员工共同构成的扩展型网络需求大量增

多，这时，单单满足他们对数据通信的规定是远远不够的一一既有的大多数移

动办公处理方案都仅仅处理了数据通信的问题，并没有在真正意义上处理酒店话

音通信和多媒体协同办公的问题。话务费用的大量攀升让酒店管理者头疼不已，

怎样在不增长大量费用口勺前提下，有效及时的联络到出差人员也成了棘手口勺问

题。在保持业务迅速增长R勺同步，怎样更好的加强和提高分支机构员工H勺协作性

和效率，成为了许多酒店共同口勺需求。我们可以看到，在为移动办公提供数据通

信时同步，更提供实时时有可靠保证的话音通信和多媒体协同服务，正是移动无

线办公技术发展H勺新方向，

•远程AP能很简朴地通过互联网从远程位置连接到位于酒店总部的移

动控制器。应能适合小型远程办公室、家庭办公室、远程办公和移动办公者，通

过在顾客可以找到互联网连接H勺以太网端口的I任何地方，启用天衣无缝H勺酒店无

线数据和语音，它可以将移动边缘扩展到所有远程位置。

第三，安全可靠无线网络

•无线网络更需要注意安全性，认为整个无线网络暴露在空气之中，都易

受大量安全风险和安全问题的困扰。因此，建设无线网络一定要重视无线侧安全

的建设与保护，其中包括：1.来自无线网络顾客H勺攻打；2.未认证的顾客获

得存取权；3.来自外部口勺窃听，4.来自无线专用工具时袭击。建成的T无线网络

很好地融合进原有网络安全处理方案体系中，并根据无线网络H勺安全技术特性.

补充具有多层次H勺安全保护措施，以满足顾客身份鉴别、访问控制、可稽核性和

保密性等规定。

第四，无线网络的实时管理

•统一以便轻易管理管理。IT网络管理部门需要管理上诸多员工以及行政

人员。因此尽量通过网管工具开展配置和网络监控工作，迅速发现和处理问题。

无线网络管理软件应能统一管理所有无线AP和互换机，，且能合理分派多种网

络资源。对无线网络袭击进行管理和压制。

•从设备管理角度来说，需要对多种无线设备的放置地点、配置参数等信

息进行详细记录与管理

•从安全管理角度来说，需要具有发现和迅速处理假冒AP与无线DOS

袭击的措施和能力。

•从性能管理的角度来说，网管能充足理解和分析■尢线网络［I勺某些详细性

能指标，如Channel信号强度/质量、网络实时性能一吞吐量、各APH勺流量等。

第五，提供便捷的无线网络应用环境

•无需配置客户设备。当顾客试图连接到网络时，无线网络自动分析顾客

的网络配置，并提供连接，使顾客直接连到网络而无需安装特殊H勺软件并更改自

己的网络设置。自动化口勺服务减少了IT顾客和管理员的时间。

•无线网络还能兼容全网的I设备，包括PC机，Macintoshes,袖珍PCs,

掌上电脑PDA等多种多样日勺网络设备，具有和多种设备协同工作H勺能力。

•多种服务的I支持：无线网络口勺发展与最初有线网络的发展同样，需要有

某些关键性H勺应用在网络上运行，应用才是无线网络发展的最大动力。基于酒店

网络的未来可持续发展，无线产品均具有可适应未来发展酒店无线宽带应用（如

无线语音应用、无线视频会议应用、无线多媒体通信应用等）的需要，并提供低

成本的无缝升级和前后兼容。

2.5.XX酒店酒店无线局域网整体架构

无线局域网技术通过十几年的发展，已经历了三代技术及产品H勺发展。

第一代无线局域网技术采用单纯的AP实现无线接入外，基本上没有其他功

能。

第二代无线局域网技术，采用AC+智能AP构架，AC两者实质均为二层设

备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络互

换,具有基本H勺网络H勺控制和顾客的管理，如：WEB认证、流量H勺控制、访问

的控制等；支持VLAN、VPN、WPA等基本的安仝管理，它们无法实现对无线

电磁波层面日勺调控和优化。

由于这一代技术H勺AP储存了大量的网络和安全的配置，包括加密H勺钥匙，

Radiusclient日勺安全密钥等，而AP又是分散在建筑物中的各个位置，一旦AP

的配置被盗取读出并修改，其无线网络系统就失去了安全性。此外由于AC或无

线网关的硬件多数是基于Pentium架构的，因此当顾客接入数量增多时，无线网

的性能会急剧下降，时常会发生掉线或死机状况。

第三代无线局域网技术采用无线互换网络架构（以ARUBA为代表），实现

了基于无线网络互换机，以AP为单元互换的无线网络系统，ARUBA是采用独

立的无线网络互换机实现H勺。

作为第三代H勺ARUBA无线系统采用了WirelessSwitch+AP构架，将密集

型的无线网络和安全处理功能转移到集中的WLAN互换机中实现，同步加入了

许多重要新功能，诸如无线网管、AP间自适应、无线安全管理、RF监测、无缝

漫游以及QoS保证等。

对于未来整个XX酒店酒店无线局域网覆盖的需求，本方案提议采用

ARUBA的WLAN产品（室内AP+远程AP）,采用集中式、可管理架构的无线

局域网处理方案来实现未来酒店的无线覆盖规定。

2.5.1.无线移动语音视频应用

•带宽控制与服务质量保证QOS

伴随技术手段H勺不停进步，酒店无线网络一定会需要支持多媒体融合应用，

包括组播，VOD,IP视频监控，以及WIFIPhone等等，无线酒店网处理方案对

未来的发展一定要具有很好口勺前瞻性。由于XX酒店酒店原有口勺天馈无线覆盖系

统信号强度不胜理想，传播带宽只有1M左右会对语音和数据流带来很大H勺同限

性，更本不能处理语音漫游H勺问题因此Aruba认为应从如下几点考虑无线网络的

多业务应用发展。

・强制策略/策略跟随

•带宽控制与服务质量保证QOS

ARUBA无线系统附带宽管DelayandjitterwithQoS

理能力使得在移动音视频应用方

面体现出很强的优势。ARUBA

无线系统可在每个顾客的权限限

制内顾客无线连接的最高带宽。

对于不一样的IP服务，ARUBA

系统亦可透过ARUBA无线互换

AntsChaatrvOscolColuIrtXnnottested:semcats

机设置定义不一样口勺QoS队列。

例如无线语音的应用，SIP和RTP协议可设定在高於J队列，而一般应用如

ftp则可设定在低H勺队列。例如语音视频这样对于时延敏感H勺业务，目前，通过

中国网通、中国赛尔企业对几家WLAN设备厂商口勺设备测试成果表明，ARUBA

的无线网系统以其完善QoS特性在测试中体现最佳。

•VoIP与WI-FIPhone

伴随VoIP的越来越普及（如Skype,…等），基于SIP时Wi-Fi未来将迅速

变为酒店内H勺员工之间、领导之间话音联络的主流。Wi-Fi除了办公室和会议

室之间等不一样AP之间漫游外，顾客亦可在其他有Internet连接的地方如酒店,

住宅等使用，这是一般办公室无线（老式的互换机）不能做到口勺。简朴地说,

顾客可在有宽带接入的地方继续Voicequalitythroughtwoaccesspoints

使用办公室的号码，不管是国

内或国外。诸多厂家已开始推

出双模制式的（GSM/CDMA+

Wi-Fi）,顾客很快就可以漫游于

移动网和无线局域网之间，

ARUBA的无线互换技术已

।—7calls,nodata—*I—7calls,withdata—1

经证明诸多业界VoIP系统在■ArubaChantryCisco■Colubris

ARUBA系统上成功的运行，且在近来口勺NetworkWorldVoWLAN测试成果被评

比为市场上最卓越口勺产品。在详细实现Wi-Fi语音时要注意考虑语音甘J时延，AP

呼喊的容量，和漫游切换时间。尤其语音H勺漫游，它会比一般H勺数据移动传播更

普及，但相对日勺规定也较严紧，因此要在无线局域网实现语音和数据融合，就不

能随意的安装某些AP,而必须是有规范H勺组建无线局域网。

ARUBA无线系统可容许顾客设置专有的语音SSID,把单纯是数据传播的

顾客和Wi-Fi顾客分开，但也可以在单一SSID内同步传送数据和话音，关键

时重点就是怎样保证语■&传播时质量。ARUBA无线互换机内时顾客防火墙可

把SIP/RTP等VoIP协议数据包放在较高的优先队列，因此就可保证在数据和语

音同步传送时，语音的质量不受影响。另在语音安全接入方面，ARUBA可防止

没有无线语音权限FI勺顾客使用无线语音，以保证网络资源能有效运用。

尽凶&NORTELCiscoSVSTEIS

PBXs

SIEMENS

andmore..

Hand

sets

同步Aruba识别语音应用，侦定义支持几种重要的语音协议，包括：

SpcctraLinkSVP^Vocera、CiscoSCCP、SessionInitiationProtocol等，还能和既

有市场上Ff、JWI-FI终端、IPPBX设备做到很好的兼容性。

ARUBA系统还能协助Wi-Fi做到一定的节电功能，使Wi-Fi使用

时限加长，重要是通过两种措施的共同作用来到达口勺。首先是在通话时，ARUBA

能让Wi-Fi在保证通话质量的状况下只作最小的必要的数据传播，并能让

Wi-Fi工作在•种速率较高H勺环境下，提高数据传播速度从而减少数据传播

所占用的时间，这时ARUBA乂会在顾客不会感知语音有延时口勺先决条件下加大

每个数据包H勺传播间隔，在这些时间间隔里让Wi-Fi处在一种节电模式，从

而在通话时做到节电。另一方面在待机时，ARUBA能通过某些特定日勺技术来减

少Wi-Fi于控制器之间时数据时互换，同步也保证控制器实时得知Wi-Fi

的精确状态，无论Wi-Fi是处在WLAN接入还是AP间漫游。综合上述两种

方式的作用那个共同作用，使Wi-Fi得以最大程度的节电，从而延长Wi­

Fi的使用时间。

•无缝的三层漫游

无线可以让顾客在

ARUBALocalroamingwithQoS

AP、WLAN互换机、多子网以

及多VLAN之间尢缝地漫游，井

且不会丢失连接，也不需要重启。

它不需要对既有网络进行任何变

化就可以实现这一切。

其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很

大延迟。而ARUBA的handoff性能极佳，保证了语音日勺流畅。这种技术可以

保证无线语音业务可以无筵的在AP间漫游，而不会发生掉线，是语音•业务的质

量保证。

2.5.2.一体化远程办公处理方案

从市场和经营口勺眼光看，酒店需要扩大业务覆盖范围、提高生产工作效率，

加紧对市场变化的反应能力，以增长酒店在市场竞争中的活力。运用廉价以便的

连接线路、尽量多地将分布在远程机构、居家旅行中的酒店员工以安全可靠的方

式连接在酒店私有的业务通信系统上，因此变得非常故意义。酒店H勺每个员工都

可以在任何地点，任何时候，以便安全地连接到酒店总部的I通信系统匕就像工

作在总部的办公室同样，运用其熟悉H勺数据和话音通信系统，及时地完毕业务处

理和有效的内部沟通。酒店可以将更多口勺有效工作的员工连接起来，因此酒店获

得了更大的效益和产出。这些，无疑已成为酒店信息主管在考虑酒店信息化系统

怎样为提高生产效率深入发挥作用的•种重要关注点。

Aruba新一代的远程和移动有线加无线办公通信系统，由于采用VPN技术、

话音/数据QOS保证技术，以及安全保障技术H勺支持，使得在远程和分散环境下

的酒店通信系统发生了本质的变化。Aruba企业清晰地认识到，在今天竞争剧烈

的市场上，酒店顾客成功的关键是在提高生产率的同步减少生产运行成本。我们

针对酒店面临的远程通信困难，提出远程和移动办公新天地口勺方略，将先进的

WLAN技术和产品，有机地融入各个机构和酒店的远程通信处理方案中，实实

在在地协助酒店突破远程业务通信的瓶颈。

•无线移动办公

ARUBA一体化无线局域网办公处理方案，不仅能在酒店总部做到无缝覆

盖，同步兼顾了各类酒店的分支节点和移动办公人员。整个一体化网络口勺泗店员

工可以运用Internet网对酒店内部网进行远程访问，并能使用VOWIFI日勺话音应

用。使酒店办公范围扩展得更大，员工能与酒店保持联络并获取酒店H勺最新状况。

酒店的每个员工只要携带有配置好的远程AP,都可以在任何地点，任何时候，

以便安全地连接到酒店总部H勺数据或话音通信系统上，就像工作在总部H勺办公室

同样，运用其熟悉的话音通信和办公系统，及时地完毕业务处理和有效的内部沟

通。酒店可以将更多的J有效工作的员工连接起来，因此酒店获得了更大日勺效益和

产出。这些，无疑已成为酒店信息主管在考虑酒店信息化系统怎样为提高生产效

率深入发挥作用的一种重要关注点。

2.5.3.安全保障的无线网络的重要性

ARUBA从网络设计者口勺角度来看，对于XX酒店酒店大规模布署无线网络,

必须对无线网络R勺安全性加以重视，ARUBA提议从如下几方面做到全方位的安

全保证：

•集中的安全管理

ARUBA无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线

入侵监测IDS以及RF电磁波管理等多项安全功能汇聚到ARUBA无线互换机上

来完毕的，处理了老式的无线网对安全的分散管理（AP、AC）和能力，给顾客

带来的不安全感，挣脱了对有线网安全的依赖性。

•多种顾客认证方式组合

在ARUBA无线系统中，一种无线顾客进入无线网后来，只会拿到一种最基

本的入网权限，这个权限不容许顾客访问任何网段，只让顾客通过DHCP获取

IP地址、传送DNS协议数据包，通过认证后来才可以接入无线网。

ARUBA无线系统支持目前多种顾客认证H勺方式（802.1X、WEB认证、MAC、

SSID等），酒店顾客可以根据需要以便选择。

•无线访问控制（可选license模块）

顾客状态防火墙是ARUBA无线互换机的独特功能，它自身就是针对无线接

入的J特性而设计。老式日勺网络防火墙是没有顾客这概念，它日勺保护只是基于IP

地址或物理端口来制定防火墙方略，因此对于没有固定接入点的无线终端，这种

防火墙的功能是不大。ARUBA无线系统的防火墙功能则是与顾客认证捆绑在一

起,当无线顾客成功通过认证后,他会获得一种预设的I顾客状态防火墙，不一样

的无线顾客有不一样的防火墙方略，例如领导和工作人员可以使用更多的服务，

而访客只可以浏览网页、收发Email等,这样可以极大以便酒店顾客日勺安全管理。

•安全的AP技术

ARUBA无线系统和其他厂家在无线接入H勺认证和加密上最大H勺区别是前

者不是通过AP,而是在ARUBA无线互换机匕实现。由于ARUBA『、JAP是不

储存任何网络配置（IP地址除外）和安全设置，因此ARUBA管理的AP是不

能单独工作的，因此获得或接入ARUBA的AP,黑客也不会拿到无线网口勺网络

和安全配置参数和信息。

•无线接入点安全侦测和保护

采用ARUBA无线系统的RF侦测功能和保护机制可以实时监测酒店无线网

覆盖区域内的所有AP接入状况，如相邻房间H勺AP、设置错误H勺AP以及未经承

认而连接到网络中的AP。通过ARUBA的网络安全管理系统，网络安全管理人

员可以及时发现与否有非法日勺AP接入，发现后可以启动自动保护机制，制止无

线终端通过非法AP联接到无线网中。

•无线网络入侵侦测IDS（可选license模块）

今天已经有诸多H勺无线入侵和袭击的工具可从网址下载，这些工具的普及对

酒店、和运行商H勺无线网的安全构成很大的威胁。今天绝大部分的无线局域网都

没有侦测无线入侵的功能，因此当受到像无线DOS袭击时，就会误认为是无线

电波的信号受干扰或AP出现不稳定状况。这些袭击在HotSpot会导致顾客的无

线连接断线，但网管中心仍然不知，顾客则误认为是网络问题，间接影响无线网

系统#、J品质。

ARUBA无线系统H勺特点是互换机由专有的网络处理器和加密处理器构成，

且内置一种无线入侵模式库，实时检测异常时无线数据包，当ARUBA无线系

统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。

•无线接入的病毒防护（可选license模块）

ARUBA无线系统针对无线终端於J病毒防护分为两个层面，一、无线终端的

准入检查；二、对无线终端发出数据进行有效的检查和监控。

无线终端病毒防护的第一步是准入检查，当无线终端连接到ARUBA无线系

统中，试图访问网络，在顾客认证之前，需要下载一种基于JAVA的程序，可以

对无线终端的操作系统打补丁H勺状况、安装防病毒软件的I状况、以及防病毒定义

码升级的状况，做一种检查，假如不能通过检查，可以设定方略严禁其访问网络,

也可设置成将无线顾客重定向到一台升级服务器，打系统补丁、安装防病毒软件

和升级病毒定义码，满足系统制定的安全方略后来，该尢线终端才可以进入认证

环节进行顾客的认证。

当无线终端通过了准入检查，不过怎样对无线终端发出数据进行有效H勺检杳

和监控是愈加深入口勺病毒防护手段。ARUBA企业和第三方的防病毒墙厂家合

作，在ARUBA无线互换机上可以设定方略，某些顾客，以及某些也许沾染病毒

的数据，ARUBA互换机会将其重定向到防病毒墙上进行防病毒检查，检查完毕

后，才容许通过，否则会珞数据丢弃。

基于上述两个层面，ARUBA无线局域网系统对无线终端进行有效和以便口勺病毒

防护。

第3章.无线网络系统详细设计

根据XX酒店酒店无线网络需求和无线网络设计原则，结合ARUBA无线系

统技术及产品H勺特点，方案H勺设计分为：无线组网方式设计、多业务辨别设计、

网络安全防护设计、移动漫游、网络及顾客管理、兼容性等部分。

3.1.无线组网方式设计

根据XX酒店酒店无线覆盖的分布和建筑平面，企业总部H勺室内无线局域网

初步配置如下：

运在角

注;

楼层光纤---------

备用线路--------

采用1台Aruba3600和1台Aruba3400无线控制互浜机进行无线网络平台控

制关键端H勺组网，无线控制器机通过1000Mbps直接连接网络关键互换设备，由

于采用双链路构造，任何一台关键互换机发生故障，都不会影响AP和无线控制

互换机之间H勺通信。在接入侧，采用ARUBAH勺AP93作为无线接入点，通过POE

供电模块为AP进行供电所有无线顾客通过AP进行数据转发至关键层H勺无线控

制互换机再由控制器进行数据处理经由关键互换机到出口路由器访问广域网资

源。AP和互换机之间H勺网络构造无需考虑，假如是L2构造，AP通过DHCP获

取地址后，通过广播包找到无线控制器；假如是L3,AP通过DHCP获取地址后

来，获得主用和备用时无线控制器地址，然后与无线控制器直接通信（详细描述

请见背面章节)。无线网络管理员可通过中心配置的集中网管，对全网H勺AP和

互换机进行有效的集中式管理。

Aruba移动控制器可以通过Inlernel网连接到远程位置的指定Aruba接入

点(AP),并在任意需要内地方天衣无缝地通过互联网扩展酒店WLANo顾客

在家庭办公室、远程办公室或任何其他位置的办公体验和在酒店总部完全相似。

使用IPsec协议和Aruba移动控制器进行远程ArubaAP通信，该协议通过在

互联网上布署虚拟专用网络(VPN)连接而受到广泛信任。这种基于原则、终端

到终端的加密支持可以将远程AP直接插入连接到互联网时DSL路由器，这就

不再需要在远程位置安装移动控制器。酒店的语音无线通过远程AruhaAP

连接，并仿佛它们就在中心酒店站点中那样进行运作。Aruba启用QoS和语音

协议识别R勺体系，甚至可以在远程连接上提供一种长话级品质口勺语音体验。此外,

它还提供了安全功能，例如加密和方略执行防火墙，这架证了对所有语音通信提

供高级别的安全以防止窃听。

使用Aruba远程AP,网络中心管理员可以访问所有远程ArubaAP参数,

例如操作信道、无线电类型、SSID、BSSID和所有有关客户机，并可以集中

更改配置。此外，网络管理员可以查看详细的客户机状态汇报，这些汇报显示

了客户机MAC地址、客户机制造商、信道、无线电、状态以及最终活动日期

和时间。

远程连接H勺ArubaAP使用既有客户机上R勺802.1K申请者运行，通过对所

有客户机和移动控制器之间H勺认证信息进行Ipscc加密来提供安全认证。远程

AP支持终端到终端，即从客户机到移动控制器的WPA2和802.1li安全，不

管客户机是有线还是无线，

在认证成功之后，在1Psec内部对所有时通信进行隧接或加密。这样就不

需要安装和维护一台VPN客户机或在远程机器上下载一种临时SSLVPN客

户机，大大减轻了管理成本。

远程ArubaAP从Aruba移动控制器下载它H勺配置和安全方略。这消除了

错误配置安全方略的风险，同步在远程位置也不再需要技术专家。在远程AP

上没有存储任何安全证书，因此虽然AP丢失或被窃，也不存在破坏安全时风

险。

远程ArubaAP与顾客属性（例如认证措施、应用程序、设备类型和移动控

制器中的J可用方略执行防火墙模块）进行通信。该通信提供了高度的团状和动

态安全方略，大大改良了酒店WLAN的安全状态。例如，可以限制远程顾客

使用特定的应用程序或网络资源。这项高级功能容许职工通过远程AP安全连

接到网络，而无需考虑顾客位置，由于顾客安全方略将一直跟随他们。

Aruba远程AP为分支机构和家庭办公室提供了安全口勺移动连接，是一种

理想的处理方案。并且提供良好的多、业务支持能力。极大节省了企业的运行成

本，也以便了联络领导。

3.2.多业务辨别设计

从XX酒店酒店H勺顾客分类与分布状况分析，使用无线网络H勺顾客重要提成

如下几类:

(1)酒店员工与领导；

(2)访客；

使用无线网络可以分为不一样的无线接入业务类型。因此，提议在设计上采

用无线局域网多SSID技术，设置多业务辨别方式。在一种无线局域网内可以设

置多种SSID,例如一种SSID可给内部员工所用，而另一种可给外来口勺客户专用。

由于顾客一般把SSID当作VLAN,因此它们都会惯性地以VLAN概念来划分

SSIDo其实在一种AP范围内，不管顾客连接到那一种SSID它们实际上都是在

同一种802.11广播域内，由于无线电波时传播是共享。一种最简朴的例子就是

AP把不一样的SSID名字广播，因此当无线终端在这个AP覆盖范围内启动时，

它就能同步看到多种SSIDoSSID的最重要用途是可让尢线终端以小一样口勺安全

认证和加密方式入网。

为何要把不一样H勺安全加密协议设置在不一样的SS1D呢？802.11的原则

内定义了不一样加密状况时数据包的封装格式，因此在顾客的无线接入使用不一

样的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不一样加密方式不

能在同一种SSID内同步存在口勺。

XX酒店酒店可根据实际的状况和802.11发展来制定以怎样方式来实现无线

加密。最常见的做法是使用多种SSID,例如：一种定义为通过WEB门户的方

式为访客使用，另一种SSID则为TKIP(WPA)专为内部员工使用。未来口勺发展趋

势是新增设一种802.1li加密的SSID让员工以过度的方式逐渐从转移到这个

SSID上。

要注意H勺是SSID可以覆盖全网，也可以只局限于酒店网内的某些范围。

般的状况下是全网开通，例如：客人(Guest)使用H勺SSID；但有些SSID则也许供

某些部门使用，因此它时覆盖范围一般只会局限在某些范围内。

因此针对无线局域网多种顾客的不一样业务类型应当采用不一样H勺SSID进

行管理和控制。酒店领导、酒店工作人员属于酒店内的固定顾客，可以采用专门

的SSID,可以采用级别较高的认证和加密手段，对于来宾、参与会议人员和来

访人员可以使用另一种SSID,采用级别相对较低口勺认证和加密手段，这样就实

现了辨别时服务。

ARUBA无线控制器内置强大的PORTAL登录界面可以通过网络管理灵活

简洁欧I进行客户化，进行广告招商，登录贝面推送，欢迎贝囿推送等多种模式以

配合XX酒店酒店H勺商务活动筹划。

当访客来到无线覆盖区域H勺时候，启动笔记本电脑的无线网络，可以搜寻并且连

接XX酒店酒店H勺无线网络系统，当打开IE等网络浏览器的时候，会自动弹出

Aruba口勺网页认证界面，可以有如下几种方式来控制访客的I上网流程:

访客需要填写帐号名和密码，通过认证之后可以接入XX酒店酒店H勺无线网

络，访问更多的Internet资源，不过无法访问内网资源;

ARUBA—

通过ARUBA提供对客户化WebPortal认证功能，可很好口勺为外来访问者提

供接入网络H勺也许。一种为前台人员设计H勺独特的简化顾客生成系统，带有到期

时间和预设接入控制H勺临时客人ID。这样，以便灵活的完毕了,对访客的访问XX

酒店酒店网络资源日勺规定,

Usernameguest1382

Pa»y/ordynyx2043

ExprabondatelineUnknown

TermsandCondittom

WelcometotheArubaNesaksWebsiteMxhndudesthesuppats«teandpartners«tes(theByustnotheSite,

youpeetofatowandbeboundbytheMo^vngtermsandcordbonscorxemngyou,u»oftheS»teCTerrraofUse^and

ourPrivacyPoky.WemayrevisetheTermsofUseandPrivacyPokyatanyernewithoutiot>cetoyou.

Print|

3.3.无线安全性设计

3.3.1.无线网络的安全保护和检测

由于无线终端接入是没有明确物理位置限制的，因此管理方很难用固定的网

络防火墙设备来防备无线连接（防火墙一般很少会设置在每一种接入层U勺数据链

路上）。并且网络防火墙是不能防止无线终端之间的通信，因此万一有无线终端

被病毒感染或黑客在无线发起袭击H勺话，它都很会轻易散播到其他H勺无线终端及

整个传播网络内的其他网点。有某些酒店为了安全就采用一刀切的措施，把所有

无线接入汇聚到一种DMZ内，再通过网络防火墙的过滤才让无线数据进入酒店

内网。这种方式在详细实行时有一定的困难，只能局限在传播网内H勺某些范围，

因无线顾客/终端必需集中在同一VLAN上处理，否则的话很难把它们汇聚到一

种DMZ内。假如不是通过DMZH勺话，则也许威胁到内网H勺安全，但要把在不

一样接入点AP的无线顾客/终端和有线顾客（在同一接入点）完全分隔开而设置到

DMZ上口勺同一种VLAN则需在既有的局域网做诸多改动。且未来如要增长多某

些AP接入点的话，亦同样需要在局域网的接入层，汇聚层做诸多改动。

采用老式的I网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性，

因它本质上不是设计来做内部H勺安全保护，而是用来保证外来数据进入酒店内网

是安全可靠的，因此•般都会设置在酒店因特网H勺连接口。从因特网进入酒店内

网无线接入的最大区别在于后者是可对顾客做认证，但前者是不也许实现。由于

不能确认顾客的身份，因此防火墙H勺检查或方略只可按端口和IP原地址来制定,

不管顾客是谁。这种模式在酒店内布署会对顾客口勺内网访问有诸多限制，缺乏灵

活性，因此是很难被顾客广泛接受，只可在小范围或小规模的状况下实现。要做

到实行和维护简朴以便，亦可根据顾客身份来制定安全访问方略，ARUBA的无

线处理方案就可以彻底处理这些问题。

3.3.2.无线局域网的认证和加密

安全可以说是酒店与否采用无线网的J最重要考虑原因。网络安全范围是非常

广，从无线电波，无线链路层，以致网络层和应用层等，它们都是息息有关和互

相影响。假如单纯只考虑无线接入层口勺安全而把网络层分开处理的话，就会把整

个网络的I安全构造打断，穴仅在既有网络上需重新设置以配合，令网络维护变得

更复杂和缺乏灵活性，且一不小心更会导致安全漏洞。

ARUBA和其他厂家在认证和加密上日勺最大区别在于两者都不是通过AP来

实现的，而是在ARUBA互换机上实现。这种构造称为集中加密方式，不单比在

AP上做加密更安全，且大大简化了顾客认证设置和管理。

试想当顾客透过WPA登陆无线网时，认证是必须通过后台日勺radius服务器，

亦即前端必须有radiusclients.假如AP是Radiusclient的）话，则在一种酒店无线

局域网，便须设置和管理诸多radiusclients,这不仅加添了不必要口勺麻烦，且亦

增长了网络安全的漏洞，因radiusFfgsecret密码都是储存在AP内，因此万一

AP被盗窃，它H勺Radiussecret便泄露，这样整个网络的安全都会受到威胁。

由于ARUBA的AP是不储存任何安全设置和无线局域网详细配置（APIP

网络设置除外），再者ARUBAH勺AP是不能单独使用，因此就算AP被盗取，黑

客也不会拿到无线网络配置口勺资料。

3.3.3.检测无线入侵和非法拦截和定位

通过ARUBA互换机的WEB界面或中心化网管界面，酒店网管中心便可查

看到与否有非法AP在传播网内。网管人员亦可启动自动保护机制，制止无线终

端通过非法AP连接到传播网内。这些非法时无线连接会被周围最靠近於JARUBA

AP透过所发出H勺802.11De-Auth包所切断。802.11De-Auth包会不停地发出直

到在线的无线终端的无线连接被打断为止。若要寻查非法AP的位置所在，只需

在WEB界面按“定位”这按钮，非法AP於J位置就会显示在酒店办公室H勺图纸

上（顾客必须预先把无线网络口勺构造图输入ARUBA互换机内的RFPlanning系

统），网络管理人员就可根据图表显示的位置找到这AP。

ARUBAH勺自动保护系统是市场上最卓越和最全面的无线网络安全保护工

具。要做到一种真正自动的保护机制就必须能对的识别所有在酒店范围内检测出

来於JAP身份。假如把隔壁企业所安装和使用於JAP视为非法APH勺话，很轻易

就会把它们正常的无线连接打断，间接变成DOS袭击其他酒店H勺网络。

ARUBA尚有一种独特日勺无线射频特性是可跟踪在无线网络内所有Wi-Fi终

端欧I位置，如PDA,Wi-Fi,和笔记本等。当安装ARUBA无线系统的时候，

网管人员可把布署的图纸输入到ARUBA无线互换机内的RFPlanning系统，然

后把AP安装的物理位置输入到图纸上的座标或详细的位置上。当在这个系统环

境中寻找带有无线终端H勺酒店员工等所在位置时，例如非法AP或Wi-Fi,

在互换机内无线终端的登记表内找到了终端的网络地址后，可按“定位”这按钮，

则网管界面会弹出在RFPlanning上终端在图纸中的物理位置。

-监听RSSI

这种无线定位模式称为三角定位，它的精确性可到达2.5米以内，先决条件

是所寻找的无线终端附近须有最小三个ARUBA的AP在范围内。这是老式无线

网络所不能做的。

3.3.4.多层次无线网络安全体系

在ARUBA无线系统中，可以在多种层面对系统构筑安全防护，其