纳德酒店无线网络技术方案

纳德酒店无线网络技术方案内容摘要：

浙江贝尔技术有限公司 许多重要新功能，诸如无线网管、 AP 间自适应、无线安全管理、 RF 监测、无缝漫游以及 QoS 保证等。 对于 未来整个 纳德 酒店 无线局域网覆盖的需求，本方案建议采用 ARUBA 的WLAN 产品，采用 集中式、可管理架构的无线局域网解决方案来实现 未来酒店的无线覆盖要求。 . 安全保障 的无线网络的重要性 浙江贝尔 从网络设计者的角度来看，对于 纳德 酒店大规模部署无线网络，必须对无线网络的安全性加以重视， 浙江贝尔 建议从以下几方面做 到全方位的安全保证：  集中的安全管理 ARUBA 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测 IDS以及 RF 电磁波管理等多项安全功能汇聚到 ARUBA无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。  多种用户认证方式 组合 在 ARUBA 无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司 获取 IP 地址、传送 DNS 协议数据包，通过认证以后才可以 接入无线网。 ARUBA 无线系统支持目前各种用户认证的方式（ 、 WEB 认证、 MAC、SSID 等）， 酒店 用户可以根据需要方便选择。  无线访问控制 （可选 license 模块） 用户状态防火墙是 ARUBA 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 ARUBA 无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户 状态防火墙，不同的无线用户有不同的防火墙策略，例如 酒店工作 人员可以使用更多的服务，而 客人 只可以浏览网页、收发 Email 等，这样可以极大方便酒店对 用户的安全管理。  安全的 AP 技术 ARUBA 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP，而是在 ARUBA 无线交换机上实现。 由于 ARUBA 的 AP是不储存任何网络配置（ IP 地址除外）和安全设置，因此 ARUBA 管理的AP 是不能单 独工作的，因此获得或 接入 ARUBA 的 AP，黑客也不会拿到无线网的网络和安全配置参数 和信息。  无线接入点安全侦测和保护 采用 ARUBA 无线系统的 RF 侦测功能和保护机制可以实时监测 酒店 无线网覆盖区域内的所有 AP 接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。 通过 ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。  无线网络入侵侦测 IDS（可选 license 模块） 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对酒店 无线网的安全构成很大的威胁。 今天绝大部分的无线局域网都没有侦测无线入 侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。 这些攻击在 HotSpot 会导致用户的无纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司 线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当 ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。  无线接入的病毒防护 ARUBA 无线系统针对无线终端的病毒防护分为两个层面，一、无线 终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是准入检查，当无线终端连接到 ARUBA 无线系统中， 试图访问网络，在用户认证之前，需要下载一个基于 JAVA 的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无线 终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 浙江贝尔 公司和第三方的防病毒墙厂家合作，在 ARUBA 无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据， ARUBA 交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。 基于上述两个层面， ARUBA 无线局域网系统对无线终端进行有效和方便的病毒防护。 . 支撑 未来话音多媒体 业务 应用 的 无线基础 网络 随着技术手段的不断进步， 酒店 无线网络一定会需要支持多媒体融合应用，包括组播， IP 视频监控，以及 WIFI 电话 ， 无线 酒店 网解决方案对未来的发展 一定要具备 很好的前瞻性。 浙江贝尔 认为应从以下几点考虑 酒店 无线网络 的多业务应用发展。 纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司  带宽控制与服务质量保证 QOS ARUBA 无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。 ARUBA 无线系统可在每个用户的权限限制内用户无线连接的最高带宽。 对于不同的 IP 服务， ARUBA 系统亦可透过 ARUBA 无线交换机设置定义不同的 QoS 队列。 例如无线语音的应用， SIP 和RTP 协议可设定在高的队列，而一般应用如 、 ftp 则可设定在低的队列。 例如语音视频这样对于时延敏感的业务，目前，经过中国网通、中国赛尔公司对几家 WLAN 设备厂商的设备测试结果表明， ARUBA 的无线网系统以其完善 QoS 特性在测试中表现最佳。  VoIP 与 WIFI Phone 纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司 随着 VoIP 的越来越普及 (如 Skype,„等 )，基于 SIP 的 WiFi电话 未来 将迅速变为 酒店内部员工 之间、话音联络的主流。 WiFi电话除了 在门诊和病区 之间等不同 AP 之间漫游。 目前 很多手机厂家已开始推出双模制式的手机(GSM/CDMA + WiFi)，用户很快就可以漫游于手机移动网和无线局域网之间。 ARUBA的无线交换技术已经证明很多业界 VoIP 系统在 ARUBA 系统上成功的运行，且在最近的 Network World VoWLAN 测试结果被评选为市场上最卓越的产品。 在具体实现 WiFi语音时要注意考虑语音的时延， AP 呼叫的容量，和漫游切换时间。 尤其语音的漫游 ,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些 AP，而必须是有规范的组建无线局域网。 ARUBA 无线系统可容许用户设置专有的语音 SSID，把单纯是数据传输的用户和 WiFi手机用户 分开，但也可以在单一 SSID 内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 ARUBA 无线交换机内的用户防火墙可把 SIP/RTP 等 VoIP 协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。 另在语音安全接入方面，ARUBA 可防止没有无线语音权限的用户使用无线语音，以确保网络资源能有效运用。  无缝的三层漫游 ARUBA 无线能够让用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游，而且不会丢失连接，也不需要重启。 它不需要对现有网络进 行任何改变纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司 就可以实现这一切。 其他厂家一般只能实现二层漫游。 跨网段时需要二次认证，导致丢包或者很大延迟。 而 ARUBA 的 handoff 性能极佳，保证了语音的流畅。 这种技术可以确保无线语音业务可以无缝的在 AP 间漫游，而不会发生掉线，是语音业务的质量保证。 第 4章 . 无线网络系统拓扑图 和计费 . 无线组网方式设计 根据 纳德 酒店无线覆盖的 分布和建筑平面， 整体 AP 和无线交换机部署架构如下 ： 在酒店中心网络部署 1 台或 2 台 ARUBA 无线控制 交换机 （每台最多可支持 512 个 AP）。 无线控制交换机通过千兆接口直接连接网络核心交换设备，由于采用双链 路结构，任何一台核心交换机发生故障，都不会影响 AP 和无线控制交换机之间的通信。 在接入侧，每层根据需求采用 ARUBA 的 AP 61 作为无线接入点，通过 POE 的接入交换机或者 AC 电源连接至核心交换网络。 AP 和交换机之纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司 间的网络结构无需考虑，如果是 L2 结构， AP 通过 DHCP 拿到地址后，通过广播包找到无线控制器；如果是 L3， AP 通过 DHCP 拿到地址以后，通过 DNS 或者 HDCP 的 43 属性，获得主用和备用的无线控制器地址，然后跟无线控制器直接通信（具体描述请见后面章节）。 无线网络管理员 可 通过 WEB 页面配置所有无线设备，并能 查看全网状态并对全网的 AP 和交换机进行有效的管理。 下图，为具体 AP 点位图，实际部署时，可根据现场情况和信号大小，调节部分 AP 位置。 . 计费 计费系统的组成 酒店 计费系统包含计费管理网关硬件和计费软件两部份。 是一台网关型设备，分内网、外网、网管计费三个以太网端口， 10M、 100M、1000M 可选。 酒店端软件包，运行环境分别是 PC+WINDOWS 95/98/NT/2020 平台和 PC SERVER+WINDOWS NT/2020平台。 酒店 计费系统分 100客房、250 客房、 500 客房、 1000 客房 4 挡产 品。 结构模型 纳德酒店无线网络系统设计方案 浙江贝尔技术有限公司 基于要求，酒店宽带业务平台应从以下三个逻辑层面进行建设： 网络接入层：实现用户接入控制和基本的信息交换 网络接入层需要解决用户访问网络资源的可靠性、安全性、合法性，并提供方便的接入方式、个性化的服务选择以及对服务质量提供有效的控制和保障。 在这一层面上，实现以下的功能：  客户 smart 上网功能：客户端 (包括用户自带的便携机 )不需修改配置即可上网，实。