中国条码应用领域的佼佼者

ARUBA酒店无线网解决方案

一、 重庆XXX酒店无线局域网系统建设需求

1．项目背景

  对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争，各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天，

作为四、五星级酒店如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来，随着来自世界各地商务客人的增加，全球信息技术的发展和无线网络的高速发展，以及Internet在国内的迅猛发展，

为酒店经营者提供新的信息服务成为一种趋势。这一方面提升了现代化酒店的服务与管理水平，同时，也为酒店经营者带来了相应的利益。

  可以说，网络不仅是酒店传播信息的工具，也是留住回头客保持入住率的有效手段，而无线网络由于其移动性、便利性和灵活性的特点，更是得以在酒店中大显身手。商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力，

通过无线局域网就可实现灵活且可扩展的网络解决方案。

   酒店对于无线网络的建设有着不同的运营模式，有的酒店保留着运营商投资的模式，并参与运营商的分成，如同原有的语音话费以及上网业务一样。但是运营商投资的模式，也让酒店自己的分成利益减少了许多。在语音服务和上网出口在国内垄断的

局面下，酒店也难有机会替自己增加收入。无线网络的运用就不一样了，通过无线局域网的搭建，酒店可以在提高自己酒店服务水准的同时为自己找到一个新的业务增长模式和利润创造点，并且在其基础上逐渐扩充出其他的业务增长和服务新领域。

二、 重庆XXX酒店无线局域网设计原则和技术需求

2．1遵循标准

无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。

根据重庆XXX酒店的需求和无线网建设与设计原则，建议采用美国ARUBA 公司的无线交换局域网系统（以下简称ARUBA 无线系统），完成无线局域网覆盖项目。

2．2技术潮流

第一代无线局域网主要是采用胖AP架构，每台AP都是一个独立的个体，AP与AP之间不会进行任何沟通，需要逐台逐台进行配置和管理，费时、费力、维护成本高，安全低，融合性差；第二代无线局域网融入了认证网关设备，仍然不能集中对AP进行管理和配置，只是对认证管理方面有所提高而已。现今大型无线网络要求其与传统有线网络平滑融合，要求管理性和安全性都必须有一个质的提高，而第一代和第二代无线技术必定不能满足，因此，在这样的环境下，基于无线交换机集中式管理的第三代

无线架构延生了。第三代无线局域网架构采用无线交换机加瘦AP的结构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高，使建设大型无线网成为可能。但是网络的发展日新月异，随着人们对无

线局域网技术要求的不断提高，以及对无线局域网认识的深入，瘦AP的概念已经过时。 可胖可瘦成了AP发展的趋势，尤其是随着802.11n的普及，简单的瘦AP给后台的无线交换机带来极大的负担。为了解决这个问题，用户付出的代价也是巨大而不划算

的。第四代可胖可瘦AP成为无线局域网发展的必然。

2．3安全可靠

在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：

（1）接入认证：具有支持多种用户认证方式；

（2）数据链路的全程加密；

（3）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。

具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；具有支持热备份的无线交换机的冗余备份机制。

2．4可扩展可升级

通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理，AP在提供无线接入的同时，也可进行无线入侵监控、无线电波传输分析。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不变。

2．5易管理易维护

在网络管理方面，必须具有集中控管、智能调控、自动恢复、系统冗余等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管

理。
2．6技术需求

根据重庆XXX酒店无线局域网系统建设要求，无线局域网系统建设原则如下：

1、充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。

2、采用集中控管的组网方式，集中控制管理所有的AP。

3、AP的供电可以不单独拉线，采用POE供电的方式。

4、采用先进的WLAN网管系统管理局域网。

5、充分考虑WLAN的安全性，采用先进的WLAN安全技术保障。

6、无线局域网系统要支持故障热备冗余能力。

7、无线局域网系统要能方便和灵活地调整与扩充。

三、重庆XXX酒店无线局域网方案建议

根据无线网络需求和无线网络设计原则，结合ARUBA无线系统技术及产品的特点，方案的设计分为：无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。

3.1无线组网方式设计

ARUBA无线系统的组网方式有两种，集中式组网和分布式组网。可以根据不同的网络规模和管理方式，考虑选用以下不同档次的ZoneDirector和FlexMaster集中网管系统进行组网。

3．1．1小型无线局域网(5到50个AP)集中式组网

 如果整个无线系统的AP数量较少（少于50个），而且大部分都集中在一定区域内通过以太网交换机相连，那么可以采用单台ZoneDirector1000来组网。该ZoneDirector1000管理所有的AP。如下图。

即使部分AP不是集中在特定区域内通过以太网交换机相连而是通过其他宽带连接，那么也可以采用单台ZoneDirector1000来组网，通过该ZoneDirector1000远程管理其他的AP。

3．1．2中型无线局域网(50到250个AP)集中式组网

如果整个无线系统的AP数量比较多，且大部分也都集中在一定区域内通过以太网交换机相连，即使部分AP不是集中在特定区域内通过以太网交换机相连而是通过其他宽带

连接。那么也可以采用单台ZoneDirector3000来组网。该ZoneDirector3000管理所有本地或远程的AP。如下图。

配置为ZoneDirector3000+AP。


3．1．3大型无线局域网(250个AP以上)集中式组网

如果整个无线系统的AP数量比较多，而且大部分也都集中在一定区域内通过以太网交换机相连（即使部分AP不是集中在特定区域内通过以太网交换机相连而是通过其他宽带连接）。而用户还是决定采用集中式组网。那么可以采用多台ZoneDirector3000

来组网。这些ZoneDirector3000管理所有本地或远程的AP。一些要求较高的用户会采用双机或多机或N+1的方式加强网络冗余备份。在网络中心则设置FlexMaster网管系统管理所有ZoneDirector3000来设定所有无线局域网设置。

选用ZoneDirector3000，一般是把250个AP汇聚到ZoneDirector3000 上，而视乎AP实际数目和网络拓扑，多台ZoneDirector3000可分别设置在不同的区局配线间/机房。在网络中心内则一定用FlexMaster以管理其它ZoneDirector3000。

配置为FlexMaster＋ZoneDirector3000或ZoneDirector1000+AP。


3．1．4大型无线局域网(100个AP以上)分布式组网

如果整个无线系统的AP数量比较多，而且大部分都分布比较分散，接入方式也多种多样(如运营商的热点网络)。那么可以采用FlexMaster集中管理系统来管理远端的AP进行组网，对所有的AP进行配置和管理，设定所有无线局域网设置。

3．1．6 重庆XXX酒店无线局域网的组网设计

（用户实际组网设计如下图）



我们设计采用PoE供电方式，由PoE远程供电模块，为ARUBA的无线AP进行供电，以超五类网线互联，最后通过楼层接入交换机连接入核心交换机，整个无线网可以实施灵活的无线VLAN划分，各级认证加密。

3．2多业务区分设计

使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成

VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个

AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。

为什么要把不同的安全加密协议设置在不同的SSID呢?  802.11的标准内定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一个SSID内同时存在

的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID，例如：一个定义为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让

员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。

要注意的是SSID可以覆盖全网，也可以只局限于园区网内的某些范围。一般的情况下是全网开通，例如：客人(Guest)使用的SSID；但有些SSID则可能供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。

3．3网络与用户管理

ARUBA无线系统中可以设定用户的角色（role），每个role可以基于用户权限和可访问资源的设定等规则。用户权限是ABURA ZoneDirector的功能，是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权

限，所以访问不同的VLAN的资源需要分别登录不同的SSID，这样是十分不便的。ARUBA的基于用户角色的权限管理是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户角色权限，访问其他SSID对应的网络资源。这样，一个

具有全部权限的用户通过一个SSID登录后，可以访问所有SSID对应的语音、数据和视频业务的权限，从而简化了用户的权限设置和用户管理的复杂性。

一般在用户权限设计中，可以将来宾和普通用户的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制。

其他用户可能有较高的权限，可以访问更多的学校资源，或者对某些特殊的来宾开放某些VIP账号，分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。

3．4无线安全性设计

在ARUBA无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：

（1）多SSID：可以根据需要，如用户的种类、应用的种类，在无线系统中设置多个SSID，不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非

法用户的连接企图。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。

（2）加密：ARUBA无线系统支持多种加密的方式，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密方式，三层的加密支持IPSec VPN加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。

（3）用户认证提供三种方式：

① WPA-PSK＋captive portal+VPN。

加密方式采用WPA-PSK，不建议采用静态WEP，因为有安全隐患。采用captive portal+VPN的认证方式，同时VPN还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory,

TACACS，甚至是ARUBA交换机内置的帐户数据库。

② WPA+802.11x加密方式尽量采用WPA，如果客户端不支持也可采用动态WEP，认证方式采用802.11x，认证服务器选择RADIUS。

③ Dynamic PSK?

Dynamic PSK?是ARUBA专利的用户认证和加密技术。传统的无线加密密钥对所有的用

户是相同的，相当脆弱；而且长度较短，容易被解码。Dynamic PSK?技术为每一个用户提供一个64字节的密钥，实现完整而且非常安全的认证加密手段。

（4）用户的Role（角色）：每一类用户可以建立一个相关的Role，每个Role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。

（6）带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽

（7）认证系统支持：ARUBA无线系统支持多种认证系统，诸如Radius、微软的AD（活动目录）和在ARUBA无线交换机内部的Internal DB等等。

3．5移动漫游设计

无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，ARUBA无线局域网可以实现快速无缝漫游功能。

L2/L3层漫游

在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP请

求，这样的话终端的IP地址就会更新，所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支

持和维护用户的无线接入端。

通过ARUBA无线系统，可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时，它重新发出的DHCP请求，会从AP端的ARUBA ZoneDirector转发到原有子网的ZoneDirector(用户从那一个AP获取它

的IP地址)，这样ZoneDirector就了解到用户漫游到了哪个相邻的ZOneDirector。用户的原来所在的ZoneDirector会将发送到该用户的数据发送到漫游到的ARUBA  ZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网，但它的流量

不会中断，直到用户完全漫游过来（其对端了解了其IP地址的变化）。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。
 
在不同域之间的用户认证和漫游

在大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据库，即所谓的本地认证服务器。在实现应用时，要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫

游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在的话，则用户会被断线。要做到真正的无缝漫游，则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困

难。ARUBA  本身就可提供不同域之间的认证功能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名。ARUBA 会把在不同域之间的认证请求转发到对应这域的radius服务器处理。

详细方案，请咨询400-7168-717,也可以通过扫描微信二维码获取更多信息