集团总部办公楼无线网络设计方案

1、 集团总部办公楼无线网络设计方案目录 TOC o 1-3 h z u HYPERLINK l _Toc8980546 一、项目需求 PAGEREF _Toc8980546 h 3 HYPERLINK l _Toc8980547 1. 项目概况 PAGEREF _Toc8980547 h 3 HYPERLINK l _Toc8980548 2. 需求概述 PAGEREF _Toc8980548 h 3 HYPERLINK l _Toc8980549 二、系统描述 PAGEREF _Toc8980549 h 4 HYPERLINK l _Toc8980550 1. 设计原则 PAGEREF _To

2、c8980550 h 4 HYPERLINK l _Toc8980551 2. 设计要求 PAGEREF _Toc8980551 h 5 HYPERLINK l _Toc8980552 三、系统设计 PAGEREF _Toc8980552 h 7 HYPERLINK l _Toc8980553 1. 总体框架设计 PAGEREF _Toc8980553 h 7 HYPERLINK l _Toc8980554 2. 无线网络SSID设计 PAGEREF _Toc8980554 h 9 HYPERLINK l _Toc8980555 3. 无线网络冗余设计 PAGEREF _Toc8980555

3、h 10 HYPERLINK l _Toc8980556 4. 无线点位设计 PAGEREF _Toc8980556 h 12 HYPERLINK l _Toc8980557 四、访客上网服务 PAGEREF _Toc8980557 h 39 HYPERLINK l _Toc8980558 1. 客户需求分析 PAGEREF _Toc8980558 h 39 HYPERLINK l _Toc8980559 2. 技术方案 PAGEREF _Toc8980559 h 47 HYPERLINK l _Toc8980560 五、Aruba针对本项目的关键技术 PAGEREF _Toc8980560

4、h 60 HYPERLINK l _Toc8980561 1. 灵活的组网架构 PAGEREF _Toc8980561 h 60 HYPERLINK l _Toc8980562 2. 智能射频管理：ARM3.0 PAGEREF _Toc8980562 h 60 HYPERLINK l _Toc8980563 3. 全方位网络安全防护完全符合PCI DSS标准 PAGEREF _Toc8980563 h 64 HYPERLINK l _Toc8980564 4. 丰富的第三方系统集成API PAGEREF _Toc8980564 h 67 HYPERLINK l _Toc8980565 5. 建

5、设绿色WLAN PAGEREF _Toc8980565 h 68 HYPERLINK l _Toc8980566 六、产品清单 PAGEREF _Toc8980566 h 69 HYPERLINK l _Toc8980567 七、解决方案优势 PAGEREF _Toc8980567 h 72 HYPERLINK l _Toc8980568 1. 最先进的无线局域网架构 PAGEREF _Toc8980568 h 72 HYPERLINK l _Toc8980569 2. 最灵活的用户管理基于用户角色控制 PAGEREF _Toc8980569 h 75 HYPERLINK l _Toc8980

6、570 3.最简单的“零配置”远程分支及用户接入(VBN) PAGEREF _Toc8980570 h 80 HYPERLINK l _Toc8980571 4. 最稳定的无线局域网 PAGEREF _Toc8980571 h 85 HYPERLINK l _Toc8980572 5.最安全的无线局域网管理 PAGEREF _Toc8980572 h 88 HYPERLINK l _Toc8980573 6.最佳的高质量话音传输 PAGEREF _Toc8980573 h 91 HYPERLINK l _Toc8980574 7.最优秀的终端接入管理解决方案 PAGEREF _Toc89805

7、74 h 94 一、项目需求1. 项目概况集团总部位于深圳。集团主要从事文具及办公用品、办公设备的研发、生产和销售，是一家办公文具专业制造商和供应商，主营产品包括文件管理用品、OA办公设备、桌面文具和办公耗材等1,000余种，是中国最大的办公文具（文件夹）制造商，在业内具有较高的品牌知名度。集团建立了高效、快捷的分销网络，在全国拥有19家销售分公司、30多家办事处，在汕头、广州和宁波设有三大配送中心，全国40多个分销配送仓，营销网络遍布全国，配送高效顺畅。2. 需求概述当今互联网技术在飞速发展，集团希望借助先进的Wi-Fi技术，实现客户端的无线上网、无线教学、无线应用等业务功能。本项目涉及范围

8、包括整个集团总部办公大楼的无线覆盖。该无线网络平台必须使用先进的技术，为智慧化业务提供高性能、高稳定性的网络基础。另外，该平台必须具备可扩充性和高兼容性，能够与集团的各种业务系统对接，从而为集团量身定制合适的应用。二、系统描述1. 设计原则遵循标准集团Wi-Fi覆盖建设项目必须采用IETF/IEEE和Wi-Fi联盟的标准技术，保证网络设备间的兼容性。对于没有业界标准的Portal和定位通过应用层适配解决各厂商之间兼容性问题。技术选择采用国际上成熟、先进的技术和设备，建设一个稳定、成熟和适度超前的无线网络。安全可靠在集团的无线网络建设中，对于访客，在无线网络侧暂不考虑网络加密要求，采用Porta

9、l方式/Open方式实现用户认证。但对于集团员工等企业用户，对无线网络侧的安全提出一定的要求：支持多种用户认证方式，必须支持802.1x，EAP-PEAP和证书方式。至少支持WPA/WPA2加密方式。提供无线侧泛洪攻击告警，提供非集团AP发布SSID告警。可扩展提供RougeAP和蜜罐AP保护。要求扩展提供RougeAP和蜜罐AP保护能力时不改变现有网络架构。在网络可靠性方面要求以下几点：控制器等核心设备必须采用热备方式部署。AP故障情况下，周边AP射频覆盖保护。所有投标硬件设备提供终身原厂质保。可扩展、可升级对于无线网络可扩展可升级方面，要求设备具备灵活扩展能力。主要包括以下几个方面：无线接

10、入技术可升级，在替换AP的前提下，设备可以从第一代802.11ac接入标准扩展至未来的第二代802.11ac接入标准，要求至少保证无线网络升级至第二代802.11ac时网络规划无瓶颈或可平滑升级。无线网络业务可升级，在不替换AP的前提下，要求方案可以提供： a) 可以通过软件升级支持IEEE/Wi-Fi联盟新的技术标准（需硬件支持除外） b) 无线网络侧安全保护：防无线侧DOS攻击，RougeAP，蜜罐AP提供基于位置的业务应用要求整体方案已具备以后可以提供周边终端的位置状态信息（包括打开Wi-Fi但未接入集团无线网络的终端）的能力，以满足实时位置服务以及客流分析要求。2. 设计要求无线覆盖采

11、用2.4GHz和5GHz双频覆盖的方式，20MHz频宽802.11agn方式对集团进行全覆盖，要求2.4GHz覆盖边缘场强不小于-65dBm，信号重叠率不低于10%，不高于20%，在无其他无线干扰情况下，要求覆盖区域SNR不小于25dB。对于客房低密度区域，建议AP采用2x2:2 802.11ac标准，提供5GHz最高867Mbps接入带宽；对于客户端高密度区域，由于对无线网络容量与性能有了更高的要求，这些区域的AP建议采用3x3:3 802.11ac标准，提供5GHz最高1.3Gbps的接入带宽。无线空口接入控制要求无线网络可以屏蔽802.11b或自定义无线空口允许的接入速率。要求无线网络可

12、以提供基于用户数，频点和频段的负载均衡，并详细说明实现方式。整个系统必须支持以后位置信息服务。包括每个终端（包括未接入无线的终端）的区域、建筑物、楼层与坐标信息，以满足实时位置服务和客流分析要求。针对实时位置服务应用，要求可以针对每个MAC地址单独调用位置信息，并发监控用户数不小于10,000终端。针对客流分析应用，定位引擎向后台数据中心更新频率可调整，要求每25秒记录一次位置信息的情况下，并发监控用户数不小于25000终端，终端位置数据可以在定义的空闲时间统一上传。有线接入网络有线接入层网络采用802.3af/802.3at供电方式的POE交换机，接入交换机PoE满功率供电端口冗余20%。三

13、、系统设计1. 总体框架设计无线网络整体拓扑架构如下：无线局域网配置如下：无线核心：移动控制器Aruba 3600，最多可管理128个园区AP，4 Gbps吞吐能力，支持最多8,192个并发用户；广州仓移动控制器Aruba 7010，最多可管理32个园区AP，提供12个POE端口和4个非POE端口作为AP和办公有线网络接入。无线AP：办公区域采用867Mbps+300Mbps的 802.11ac无线产品AP-205，广州仓库区域采用802.11n无线产品AP-103。无线安全：内置ICSA认证的用户状态防火墙；提供无线入侵检测和入侵排除功能；提供非法AP、非法用户抑制功能；支持2.4G/5G频

14、谱分析功能，结合AirWave网管，实现对非法设备和攻击源定位的功能。频谱管理：AP工作信道和发射功率智能优化；5GHz信道优先导航；智能信道负载均衡；自动优化终端性能；基于应用的射频资源优化调度。终端接入管理：采用Aruba ClearPass接入认证系统，提供标准Radius服务和web-login页面，提供MAC地址缓存功能。可以根据用户的认证情况，识别用户的身份；智能识别连线的终端类型；智能识别各种应用；最后根据企业策略，实现用户级的差异化策略推送。综合管理：管理平台采用Aruba AirWave系统，对Aruba无线网络进行统一管理，提供故障告警、故障自动处理、审计报表等功能；支持对

15、第三方无线和有线设备的监控与管理，包括Cisco、Juniper、Motorola、Meru等。有线局域网配置如下：接入层交换机：建议采用PoE交换机，为无线接入点提供802.3at和802.3af标准的以太网供电（802.3at和802.3af视乎AP选型而定），免除无线接入点现场取交流电的麻烦。所有的ARUBA无线接入点均根据现场实际环境，通过POE交换机或交流电源供电，并通过接入交换机连接至核心交换网络。AP和交换机之间的网络结构无需考虑，如果是二层网络结构，AP获得IP地址后，通过广播包发现并连接无线控制器；如果是三层网络结构，AP获得IP地址后，通过DNS或者DHCP的43属性，发现

16、并连接无线控制器。AP与无线控制器建立隧道后，就从逻辑上构成了一个架构在有线网络平台之上的纯星型网络，所有无线用户都通过AP提供的WLAN接入服务连接集团网络，并经由AP与无线控制器之间的GRE隧道访问网络。2. 无线网络SSID设计集团对于无线SSID的设置方面有如下要求：办公内网、员工BYOD、访客WI-FI。初步考虑采用基于角色的接入控制技术，根据应用及安全的需要，设计3个SSID，根据不同的应用提供不同的安全方案：办公内网：安全级别较高，需要提供802.1X认证，结合机器认证和域帐号认证，根据不同的用户属性提供差异化上网策略。员工BYOD：开放认证接口。公众WI-FI：安全级别较低，无

17、需员工帐号也可以登录，但需要访客注册流程，登记手机号码。同时需要实现、定位、客流统计等功能，并开放数据供第三方客流分析系统、实时定位与广告推送、以及其他应用。根据上述需求，结合Aruba无线网络基于Role的管理模型，我们对于集团无线网络设置的SSID有如下策略建议：办公内网员工BYOD公众WI-FISSIDPA-WLANPA-BYODPA-Guest广播/隐藏广播广播广播认证802.1XWeb-PortalWeb-Portal时间全天全天全天地点全区域全区域公共区域访问对象根据不同员工不同部门与级别派生不同Role，从而使用不同的策略只允许访问互联网以及校园网络，不允许访问集团其他内网区域只

18、允许访问互联网，禁止访问内网。带宽无限制2Mbps1Mbps3. 无线网络冗余设计本期考虑配置2台3600控制器， 2台控制器作为冗余核心设备安装在核心机房，当主控制器发生故障的时候，可切换到备用控制器，提供无缝连接，真正为用户提供一个永不间断的无线网络。Aruba无线控制系统提供了多种冗余模式确保整个网络的高可用性。基于2层的VRRP快速冗余倒换：VRRP将多个无线控制器组织成一个备份组，功能上相当于一台虚拟无线控制器。局域网内的AP仅仅知道这个虚拟无线控制器的IP地址（VIP地址），并不知道备份组内具体某台无线控制器设备的IP地址，它们将自己的缺省路由下一跳地址设置为该虚拟无线控制器的IP

19、地址。于是，网络内的AP就通过这个虚拟路由器与其它网络进行通信。VRRP机制将该虚拟无线控制器地址动态关联到某承担传输业务的物理无线控制器的IP地址上，从而当该物理无线控制器出现故障时能再次选择新无线控制其来接替业务传输工作，整个过程对用户来说是完全透明的，这就很好实现了无线网络无线控制器和AP之间不间断通信。VRRP作冗余备份的优点是倒换速度快，从主无线控制器切换到备用无线控制器只需1012秒左右。但VRRP倒换也有局限性，就是控制器必须是2层网络连接，控制器之间不能是三层网络。业务倒换前状态业务倒换后状态基于3层的主备控制器冗余倒换：这种基于主备控制器倒换机制，是绝大多数WLAN厂家使用的

20、冗余备份方法。Aruba的无线控制器也可以为AP组设置主用控制器或备份控制器，当AP启动后，将首先连接主用的无线控制器，AP和控制器之间通过PAPI协议发送keepalive消息，一旦长时间检测到主用控制器无法工作，AP将自动连接到备份的控制器。这种方式的优点是对控制器的连接没有特殊要求，网络可以是2层也可以是3层。缺点就是倒换时间过长，要达到6080秒。对部分业务可能会引起终端，引起用户的重连接和认证。基于上述两种方式比较，Aruba推荐集团采用VRRP这种模式来进行冗余备份。4. 无线点位设计（1）点位设计根据项目需求，我们对集团的地理环境进行现场勘察。本项目必须保证所有点位分布均匀，以保

21、证信号的稳定以及终端的精准定位。现对无线点位作出如下设计：一层：二层：三层：四层：五层：六层：暂时缺图纸，先按照10个AP设计。七层：八层：九层：广州物流中心1#2#仓 广州物流中心3#仓 (2) 点位数量统计以下是AP点位数量以及对应AP选型的统计：楼层AP型号AP数量办公楼1FAP-20592FAP-205113FAP-205114FAP-205105FAP-205116FAP-205107FAP-20598FAP-205139FAP-2055广州仓库1#仓AP-103142#仓AP-10353#仓AP-1035合计：113因此，根据上述点位设计，无线AP的点位总数为：113个。(3) 室

22、内AP部署需求无线覆盖设计将遵循按照信号范围最大化原则，在区域全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。目标覆盖区域信号强度-65dbm。因无线信号的覆盖需通过现场测试后进行调整，AP 的具体布点方案可在实施过程中进行深化设计。室内传播环境与室外相比，覆盖距离更小，环境变化更大，不受雨、雪、云等天气的影响，但受建筑物的大小、形状、结构、房间布局及室内陈设的影响，最重要的是建筑材料的影响。室内障碍物不仅有砖墙，而且包括木材、玻璃、金属和其他材料。这些因素导致室内传播环境远较室外复杂。多

23、路径效应也是影响覆盖范围的重要因素之一。所谓多路径效应，就是信号被反射并回送的现象。在大多数情况下，多路径效应使接收到的信号被削弱或是被完全抵消。于是有一些本来应该充分传播信号的区域几乎或根本没有射频信号覆盖。防止多路径效应的办法是拆除或重新安置机柜和网络设备机架之类的干扰对象，同时增加接入点密度或功率输出。在考虑覆盖密度时，还需要计算覆盖区域的客户密度和客户所需吞吐量，同一时间某个区域下如果客户数量过于密集，相对该区域部署的AP数量也要相应增多，避免网络拥塞，降低AP负载，增加客户带宽。根据中国国家无线电管理委员会的规定，在室内部署无线网络信号辐射不得超过100mw，以避免2.4GHz和5G

24、Hz对人体的影响。Aruba无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，避免大功率长期辐射对人体的影响。(4) 无线射频管理设计A. 自适应射频管理无线局域网是计算机网络与无线通信技术相结合的产物，是一种采用无线传输媒介的计算机局域网络，由于利用空中电磁波进行信息传输，因此，与传统的有线网络相比，具有更大的灵活性，而且安装简单、经济实用。但是，采用无线信道进行信息传输也面临许多问题，比如：传输质量受多方面因素影响，稳定性较差，且故障定位难度很大；另外，无线信道的介质共享特性导致系统容量偏小，且容易产生频率相互干扰。尤其是在用户负载较重的情况下，如果不能很好地解决这些问题，可

25、能会导致整个网络的性能急剧恶化，严重时甚至会造成网络的瘫痪。基于ARUBA专利的自适应射频管理技术是ARUBA在无线射频控制领域做出的杰出贡献，可以帮助用户解决当今WLAN领域中的三个基本难题：802.11标准下定义的终端决策模式以及无线终端缺乏系统视野的特点，导致网络无法对无线终端的频段、信道和漫游进行网络优化作为一项基于共享介质的传输技术，无线终端设备不具有对干扰、共享带宽、信道和系统容量的优化智能为了保持对不同时代Wi-Fi标准的兼容性，高速终端只能以牺牲其性能的方式实现与慢速终端之间的并存以上困难导致802.11终端无法发挥其最大潜能，无线AP则往往因为用户过载或者外来干扰而导致网络整

26、体性能的降低。在早期的WLAN部署中，为了能够在无线覆盖和避免干扰之间取得平衡，网络管理员往往需要进行费时、费力的现场勘查，然后再依据现场勘查的结果对AP工作信道和发信功率进行配置。但是由于现场勘查与用户对网络的使用无法在时间上取得一致，现场勘查的结果并不能真实地反映出用户使用网络时的实际射频环境，因此无法实现真正的网络优化。ARUBA的自适应射频管理可以提供具有实时性的智能射频管理功能，利用ARUBA多功能接入点（AP）对周边射频环境进行持续监测。所有的ARUBA AP都会在设定的时间内自行扫描其它的无线频道，由于ARUBA的移动控制器和AP可以具有应用感知能力，因此会根据应用在线状态（如A

27、P上是否存在正在进行的SIP呼叫）以及AP上的实时负载来动态调整扫描的间隔，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程没有任何影响。当AP停留在某一个频道时，它会把在这频道上收到的无线电波信息转送回ARUBA 无线控制器，ARUBA无线控制器则根据收集到的无线电波信息进行智能计算，并对AP的发信功率和工作信道等无线电波参数进行动态调整，以使AP之间达到了一个最优化的无线电波运行状态。通过ARUBA专利的自适应射频管理技术，可以为用户的无线网络提供以下功能：网络系统的自愈功能传统无线网络里的每个AP都是一个独立的个体，相互之间不存在任何沟通与协商，如果有某一AP突然

28、损坏或失效时，这个AP原来覆盖区域就会失去无线连接，无线网络变得不可用。遇到这种情况的一般做法就是马上把失效的AP更换。但由于大多数的AP都是布置在楼道里(并不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，很多时候维护人员较难即时做出更换动作(很多的AP都是安装在天花板上)。而且，从故障发现，处理，找到新AP，替换，整个过程需时漫长，尤其是这对于一些紧急的应用是不能接受的。因此我们必须寻找另一种方法去缩短故障处理周期。为了提高无线网络的可用性和增强整个架构的冗余性，ARUBA系统设计了故障自动恢复的功能，即实时侦测出线上AP是否存在失效，当发现有AP出现故障时，ARUBA无线控制器

29、能自动调节邻近的AP射频参数，一般是加大发射功率（覆盖范围）共同接替失效AP原先覆盖的范围。无线接入的频段指引长时间以来，无线网络性能提升的主要存在两个障碍，一是2.4GHz频段中互不干扰的信道只有3个，从信道资源角度看，非常有限；另一个是802.11标准将无线连接的决策功能（如连接那个AP、什么时候连接、用什么频率连接等问题）都留给无线终端侧完成，而相当部分终端在其设计中往往优先采用2.4GHz信道对网络进行连接，从而导致2.4GHz信道中用户密度过高、信道效率偏低的特点。为了解决上述难题，ARUBA专利的自适应射频管理技术为用户了终端频段指引的功能，能够自动引导市场上的双频段终端（即同时支

30、持2.4GHz和5GHz的终端）优先采用5GHz频段连接ARUBA的双频段AP，以均衡使用网络资源，改善网络性能。ARUBA的终端频段指引功能具有以下特点：如果无线终端能够支持2.4GHz和5GHz双频段工作，通过5GHz信道进行无线网络的关联无线控制器维护所有无线终端支持能力的数据库，并以此为依据进行无线终端的频段指引决策频段指引支持优先模式、强制模式和负载均衡模式等三种工作模式频段指引功能对无线终端完全透明，不需要预装任何客户端或私有软件对于用户来说，通过ARUBA的无线接入频段指引功能，可以使无线网络性能得到显著的优化，包括如下：可以充分利用5GHz频段丰富的频率资源，而不仅仅是2.4G

31、Hz频段上的3个无干扰信道可用信道的增加大大缓解了无线网络中的同频干扰问题避免802.11b标准的慢速终端对802.11an等快速终端的性能影响充分利用5GHz频段丰富的频谱资源，在802.11n网络中采用40MHz信道实现300Mbps高速无线连接无线接入的负载均衡由于无线信道介质在物理层的共享特性，在一个AP的覆盖范围内，无线连接的带宽是共享的，即无线终端数目越多，每个终端所能分享的带宽就越小。特别是对于用户密集场合（如会议室、图书馆等），使用无线网络的终端较多时，大量用户对同一个信道资源的竞争会导致大量的冲突，从而使无线信道的效率下降，并最终导致无线网络的吞吐量性能进一步恶化。因此对于密

32、集用户环境的无线网络部署，必须采用负载均衡技术对信道资源的使用在用户之间进行合理的分配，才能使网络整体性能得到优化。ARUBA的无线系统是一个集中式的管理系统，通过无线控制器对所有的AP和用户进行统一协调和管理。通过对相邻覆盖区域内每个无线信道的负载状况进行实时更新，无线控制器会按照负载均衡算法，指引无线终端连接到用户数量相对较少的无线信道上，从而使每个信道中的无线用户数量相对平均，使信道资源亦得到充份的利用，使无线用户得到更加快速的吞吐量性能。无线终端的流量整形作为无线网络体系的标准协议，802.11标准集今天仍然处于快速发展之中。作为对用户投资进行合理保护的举措，无线网络必须能够支持混合模

33、式，使得各种无线终端（无论其网卡类型和支持的工作模式）都能够公平地接入网络。ARUBA的无线终端流量整形技术可以提供三种选择：缺省模式：在缺省模式中，ARUBA无线控制器和AP关闭其无线流量整形功能，终端性能完全依赖其网卡对无线信道的竞争。值得注意的是，在这一模式下，如下图所示，由于每个终端的网卡、操作系统的差异，不同终端得到的网络性能可能是完全不同的。公平模式：在公平模式中，无论终端的性能和容量差异大小，每个终端在空中接口都将获得相同的机会，从而得到公平的网络吞吐量性能。这一模式特别适用于培训教室、考试中心等应用环境，使得所有终端，无论是802.11a/b/g还是802.11n，均获得近乎相

34、等的网络资源。优先模式：在优先模式中，ARUBA无线控制器会根据其维护的终端性能列表，为各种速率的终端以加权方式动态分配信道资源，从而可以确保高性能的802.11n终端相对于802.11a/b/g终端能够获得更多的访问信道资源的机会；同样，802.11g终端相对于802.11b终端也能够获得更多的访问信道资源的机会。B. 无线射频分析由于无线传输采用开放性介质，传输质量容易受到外来干扰（如同频Wi-Fi设备、蓝牙通讯、无绳电话以及微波炉等）的影响，ARUBA无线接入点支持基于空中接口的频谱分析功能，使网络管理员能够随时获得无线局域网工作频段的各项频谱分析数据和图表，包括各信道的实时信号强度、各

35、信道的实时使用率、干扰信号的类型（Wi-Fi、蓝牙、无绳电话、微波炉等）、干扰信号的实时信号强度、干扰信号的信道使用率等，非常有助于网络管理员对无线网络的日常维护、管理和故障分析，因此成为无线网络管理中必不可少的射频监视和管理手段。与其它厂商不同，ARUBA所有的11n和11ac AP上都支持频谱分析功能，不需要采用专用的软、硬件设备（只需要在控制器上激活WIP功能）。另外，ARUBA采用了把频谱分析数据和图表的查阅功能无缝地集成在ARUBA控制器的WebUI中的实现方式，因此网络管理员不需要在电脑上安装任何频谱分析软件，只需要通过普通浏览器访问无线控制器的WebUI就能对网络中任何一处的频谱

36、进行分析了。ARUBA无线频谱分析可以提供多达14种分析图表，其中部分示例如下。第1屏图表（包括实时信号强度、干扰利用率、设备-信道分布等）第2屏图表（包括实时信道质量、信道质量变化趋势、活动设备列表、信道信息汇总等）需要说明的是，ARUBA控制器频谱分析功能提供的图表内容可以由管理员根据其使用习惯在下拉菜单中选择和定制。(5) 无线安全设计对于无线网络而言，由于其利用空中载波信道作为传输载体，其物理层与数据链路层工作原理与有线网络有所不同，其所遵循的安全策略也与有线网络截然不同。在景区级无线网络的规划中，由于信号的覆盖将会带来众多的未知访问者试图进行的访问连接，无线网络如何从中识别出合法的用

37、户，避免非法用户利用无线网络的安全隐患入侵整个网络，往往成为了无线网络规划者需要解决的难点。本此方案建议书中，我们将从多个层面来阐述ARUBA设备如何保护整个无线网络安全。ARUBA也是多年来的全球黑客大会的无线赞助商。截至到去年大会，没有一个黑客能突破ARUBA的无线安全网络。A. 无线状态化防火墙无线网络系统由于其传输媒介所特有的开放特性，必须对每一个接入用户进行身份验证以识别其身份合法性，然后再根据其身份对用户的网络接入策略进行控制。在ARUBA无线网络系统中，由于采用了集中化的用户认证、加密和访问控制器机制，所有的用户身份认证都将通过ARUBA无线控制器来实现。ARUBA在无线控制器上

38、集成了经过ICSA（国际计算机安全联盟）认证的用户状态防火墙，这个用户状态防火墙是以用户，而不仅仅是 IP 地址为验证方法的，从而可以基于每个无线网络用户的身份角色定制与其他用户完全不同的安全策略、带宽策略及QoS策略，实现完全以用户为中心的、不依赖于网络参数（如VLAN、IP地址等）的用户安全策略管理。因此，即使用户的IP地址等信息始终保持不变，ARUBA无线控制器也可以随着无线用户身份认证的进程，不断更新用户角色，并通过角色的变化赋予用户不同的访问策略。无线用户在ARUBA无线控制器中的角色分配和更新可以通过以下几种方式来实现：基于用户终端特性的角色分配用户角色依据终端特性（如终端类型、M

39、AC地址、加密方式、连接的ESSID等）来分配，这种方式需要在控制器内部预先定义特定终端的相关特性，灵活性不足，通常只应用于某些特定环境。基于认证用户属性的角色分配用户角色依据Radius或LDAP认证过程中从认证服务器获得的用户相关属性来分配，这种方式是目前应用最为广泛的认证和授权方式。基于外部服务接口的角色分配用户角色通过无线控制器的外部服务接口（ESI），由获得授权的服务器或者防病毒系统主动添加和修改。在这种模式下， ARUBA无线控制器提供一个开放的XML-API接口，授权的外部系统可以通过标准的XML语言对无线控制器内部的无线用户列表进行添加、修改、删除和黑名单等更新操作，具有非常好

40、的灵活性和开放性，但是需要在外部系统上进行一定的二次开发。借助于ARUBA无线控制器强大的用户认证和策略控制技术，集团无线网络可以与各种认证系统无缝整合，实现基于用户身份的接入策略控制。在实施基于用户角色的防火墙策略的同时，ARUBA无线控制器内置的无线用户防火墙还可以提供DoS攻击防范的功能，能够有效防范ARP欺骗、IP地址欺骗、ICMP攻击、TCP SYN攻击等各种网络层攻击行为。B. 无线网络的安全保护和检测由于无线终端接入是没有明确物理位置限制的，所以管理方极难用固定的网络防火墙设备来防范无线连接(防火墙一般很少会设置在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的

41、通信，所以万一有无线终端被病毒感染或黑客在无线发起攻击的话，它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。有一些企业为了安全就采用一刀切的方法，把所有无线接入汇聚到一个DMZ内，再通过网络防火墙的过滤才让无线数据进入景区内网。这种方式在具体实施时有一定的困难，只能局限在传输网内的某些范围，因无线用户/终端必需集中在同一VLAN上处理，否则的话很难把它们汇聚到一个DMZ内。如果不是经过DMZ的话，则可能威胁到内网的安全，但要把在不同接入点AP的无线用户/终端和有线用户(在同一接入点)完全分隔开而设置到DMZ上的同一个VLAN则需在现有的局域网做很多改动。且未来如要增加多一些AP接入

42、点的话，亦同样需要在局域网的接入层，汇聚层做很多改动。采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性，因它本质上不是设计来做内部的安全保护，而是用来确保外来数据进入景区内网是安全可靠的，所以一般都会设置在景区因特网的连接口。从因特网进入景区内网和景区内部的无线接入的最大区别在于后者是可对用户做认证，但前者是不可能实现。由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和IP 原地址来制定，不管用户是谁。这种模式在景区内部署会对用户的内网访问有很多限制，缺乏灵活性，所以是很难被用户广泛接受，只可在小范围或小规模的情况下实现。要做到实施和维护简单方便，亦可根据用户身份来制定

43、安全访问策略，ARUBA的无线解决方案就可以彻底解决这些问题。C. 无线局域网的认证和加密安全可以说是景区是否采用无线网的最主要考虑因素。网络安全范围是非常广，从无线电波，无线链路层，以致网络层和应用层等，它们都是息息相关和相互影响。如果单纯只考虑无线接入层的安全而把网络层分开处理的话，就会把整个网络的安全结构打断，不但在现有网络上需重新设置以配合，令网络维护变得更复杂和缺乏灵活性，且一不小心更会造成安全漏洞。ARUBA和其它厂家在认证和加密上的最大区别在于ARUBA的解决方案都不是通过AP来实现的，而是在ARUBA交换机上实现。这种结构称为集中加密方式，不但比在AP上做加密更安全，且大大简化

44、了用户认证设置和管理。而且在采用802.1x加密时候，能够更快更好的做到用户漫游切换。试想当用户透过加密方式进入无线网络后，一旦发生用户在AP之间的漫游，传统解决方案必须在AP之间通过控制器交换密钥，这样就造成了用户漫游时间过长的问题。而由于ARUBA的解决方案所有的密钥均存储于ARUBA无线控制器中，因此在用户在AP之间漫游，根本无需交换密钥，从而加速了加密用户的漫游速度。D. 检测无线入侵和非法拦截定位通过ARUBA 交换机的中心化网管界面，景区网管中心便可查看到在网内是否有非法AP。网管人员亦可开启自动保护机制，阻止无线终端通过非法AP连接到传输网内。这些非法的无线接入电会被周边最接近的

45、ARUBA AP透过所发出的802.11 De-Auth包所切断。802.11 De-Auth包会不停地发出直到在线的无线终端的无线连接被打断为止。若要寻查非法AP的位置所在，只需在界面按“定位”这按钮，非法AP的位置就会显示在景区办公室的图纸上（用户必须预先把无线网络的结构图输入ARUBA交换机内的RF Planning 系统），网络管理人员就可根据图表显示的位置找到这AP。ARUBA的自动保护系统是市场上最卓越和最全面的无线网络安全保护工具。要做到一个真正自动的保护机制就必须能正确识别所有在景区范围内检测出来的AP身份。如果把隔壁公司所安装和使用的AP视为非法AP的话，很容易就会把它们正常

46、的无线连接打断，间接变成DOS攻击其它景区的网络。ARUBA 独特的无线射频特性是可跟踪在无线网络内所有Wi-Fi终端的位置，如PDA, Wi-Fi手机，和笔记本等。当安装ARUBA无线系统的时候，网管人员可把部署的图纸输入到ARUBA无线控制器内的RF Planning 系统，然后把AP安装的物理位置输入到图纸上的座标或具体的位置上。当在这个系统环境中寻找带有无线终端的景区顾客和员工等的所在位置时，例如非法用户或Wi-Fi 手机，在交换机内无线终端的记录表内找到了终端的网络地址后，可按“定位”钮，则网管界面会弹出在RF Planning上终端在图纸中的物理位置。这种无线定位模式称为三角定位，

47、它的准确性可达到5米以内，先决条件是所寻找的无线终端附近须有最小三个ARUBA的AP 在范围内。这是传统无线网络所不能做的。E. 多层次无线网络安全体系在ARUBA无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：ARUBA无线系统中可以设定用户的角色（role），每个role可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是ARUBA无线控制器的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。ARUBA的基于用户状态的防火墙则

48、是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使用WEB的服务，而另一用户则可用FTP。一般在防火墙策略设计中，可以将访客的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。企业的领导具有较高的权限，可以访问更多的景区资源，或者对某些特殊的来宾开放某些VIP账号，分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合的集团网络中心的网络管理需求。网络的初级认证通过统一身份认证系统完成，然后根据在无线控制器中设置的策略，对每个用

49、户进行分别的策略管理。基于802.11无线网络标准决定无线网络是一个共享介质、半双工的网络，因此为了提高用户的服务水平，无线网络的用户带宽保证尤为重要。启动带宽保证机制，如为每一个游客设定带宽保证为1M，这样如果某一用户的流量出现异常时（计算机中毒或使用BT等工具）不会影响到其他用户和整个网络性能。用户的Role（角色）：每一类用户可以建立一个相关的Role，每个Role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问Interne

50、t,不能访问图书馆的服务器，只能访问WEB网页和收发邮件，不能运行P2P的软件等。带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。非法用户隔离：ARUBA系统检测到非法用户或非法认证请求超过门限后，自动将该用户放入黑名单组中，该用户将无法跟无线网络作关联。网管可以设定用户进入黑名单的时间长短以及门限阀值。ARP欺骗和IP spoofing攻击防护：ARUBA内置了机制可以防护各种ARPG和IP Spoofing攻击，有效的阻隔由于个别用户导致整个无线网络瘫痪。认证系统支持： ARUBA无线系统

51、支持多种认证系统，诸如Radius、LDAP、微软的AD（活动目录）和在ARUBA无线控制器内部的Internal DB等等。网络病毒的防护：无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态，诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，并设置安全策略是否准予进入网络。在数据的检测上，ARUBA无线控制器上可以设定策略，对于某些无线用户沾染病毒的终端，ARUBA无线系统将其导向到第三方防病毒系统进行防病毒的检查，检查完成后，才允许接入。对安全要求更高的用户也可以采用VPN的模式，在加

52、密的基础之上再加一层VPN网络。ARUBA的控制器也支持IPSEC,PPTP,L2TP各种VPN模式，并能和各种主流的VPN客户端互通。四、访客上网服务1. 客户需求分析(1) 接入认证方式：微信、手机号码、微博；微信认证第三方认证登录的一种模式。开通后需要填写微信原始ID、微信服务号，上传二维码图片和微信图片，填写微信内容、微信标题和图文超链接。流程：连接WIFI打开浏览器弹出如下界面点击打开微信搜索公众号或扫二维码：关注成功：点击我要上网：Online文字描述：微信认证流程： 开发者模式：下面用风铃网这个第三方平台进行举例： 风铃网关联微信公众平台发布菜单效果（可不关联） 微信公众平台对接

53、我们的服务器 当用户关注商家微信公众平台点击菜单上“我要上网”或发送字符串获取密码认证那么此时就会发送验证到我们的服务器进行验证 认证通过实现上网 优点：页面框架美观，可以对于每个用户生成的账号进行策略。 缺点：风铃网（以及其他第三方平台）需要付费。 编辑者模式 编辑微信自定义菜单 微信公众平台对接我们的服务器 当用户关注商家微信公众平台 点击菜单上“我要上网”字符串或按钮那么此时就会发送用户名密码到我们的服务器进行验证 认证通过 优点：编辑简单，框架简单。缺点：所有用户用同一账号认证，统一策略无法细化。短信认证当用户手机连接上公司的SSID 弹出portal页面 输入手机号码 点击获取密码

54、由商企WIFI管理平台发给送短信密码用户 用户在网页中输入接收到的短信密码 点击认证 认证成功微博认证1、在新浪公众平台上注册开发者帐号（/）2、以开发者帐号申请网站接入，此流程看新浪帮助，需要注意的是，必须有一个网站和域名，网站上有新浪认证的LOGO等，申请网站后就有一个APPKEY和密码 在模板中输入申请下来的微博APPKey,微博AppSecret，回调URI,请注意：比如申请的网站是，需要添加一个二级域名：，此域名是指向PORTAL服务器的公网地址，因此回调的URI： HYPERLINK /wbwifi.do /wbwifi.do（2） 数据库管理、新老客户辨识、流动轨迹；数据管理丰川

55、WIFI管理系统中可根据以下功能对数据进行分析管理：数据日统计、公司PV统计、商家PV统计、操作系统统计、浏览器统计、终端设备统计、运营商分布统计。和系统运维模块中的数据维护策略以及用户数据中的用户添加、删除、查询等功能进行管理。 新老客户辨识举例：如老客户定义为已经在服务器开过户的用户，则可以认为用户获取过密码。可以开启无感知认证，第一次认证的用户需要认证，往后认为是老客户则不用认证。2. 技术方案(1) AC工作流程（图）认证流程说明：AP采用本地转发的模式，AC直接在总部放置。Ap在内网里面直接三层注册到总部的AC，可以通过NAT 端口方式，将AC的端口映射到公网供AP寻找。AC下发相应

56、的配置如SSID、信道分配、二层桥接模式等基础配置用户无线连接AP，由上网行为审计分配IP。上网行为审计重定向HTTP流到总部AAA/Portal服务器。用Portal页面输入账号密码登录、微信一键登录、短信获取密码登录、或者酒店APP登录。(2) Portal认证流程（图）：认证流程说明客户无线终端设备搜索无线网，连接酒店无线接入点。审计自动给客户终端分配IP地址和网关。用户虽然获得地址，但是由于没有认证成功是不能直接使用网络服务的。Portal页面自动弹出，审计携带相关信息向WEB Portal系统请求认证页面，认证页面内容可为酒店公告等信息，以及客户输入账号、密码；客户输入账号、密码信息

57、后，审计判定用户名和密码、允许客户登录。客户在没有认证成功前，仅允许与上网行为审计交互，也就是认证数据报文和计费数据报文交互。认证失败后，系统会自动提醒客户认证失败，返回认证页面，要求客户认证。客户认证成功后，正常使用业务，数据流直接经过行为审计上Internet。当客户下线时，点击下线按钮，发送下线请求报文， 上网行为审计确认客户下线。(3) 微信、会员系统对接登录流程流程对接说明：用户通过WIFI连接。用户打开微信，用二维码或者公众账号，关注微信公众号用户发送wifi或者其他信息，来申请上网权限。微信第三方平台收到用户的信息请求，根据用户的类型需要返回不同的认证链接。比如酒店的用户分为访客

58、组、普通客户和VIP客户。这三类客户的免费上网时长都是不同的。具体有以下区别：访客：每天只能上网2个小时普通客户：每天只能上网7个小时VIP客户：每天无时长限制注：微信第三方平台首先和酒店的系统对接，获取该微信用户组的属性，账号、密码，然后返回给微信客户端。根据以上用户类别的需求，认证计费系统划分3个用户组，分别为访客组、住院用户组和VIP用户组。也就是说，调用认证接口时，至少需要三种参数，用户账号、用户密码和用户的所属用户组。因此，微信返回认证信息需要特殊处理。返回链接信息或者图文信息，链接地址由以下参数组成：任意一个请求到公网的地址，比如。后台认证需要用到的参数，比如用户账号userId,

59、用户密码passwd和用户所属组gourpId，参数之间以下划线分开。 例如：?portalCode=userId_passwd_groupId4、用户点击返回的认证链接进行公网请求的时候，bras会进行重定向到设置好的指定地址，并传一个url参数。比如，用户请求?portalCode123456_2，bras之前设置好的重定向地址为/loginPortal.asp。那么最终上网行为送到后台的请求为/loginPortal.asp?wlanacip=&wlanacname=cx&mac=B0:25:AA:02:DE:80&wlanuserip=2&url=?porta

60、lCode123456_2。后台程序获取url参数即是认证所需参数。然后第三方开发获取到以上参数，调用webservice相关接口进行认证。注：第三方开发指的自建的WEB服务器 售前资料 STYLEREF Document Title * MERGEFORMAT Error! No text of specified style in document.(4) 第二次认证免登陆上网（MAC地址无感认证）第二次免认证上网就是在第一次上网的过程中将用户手机的MAC地址传递到后台去，当第二次上网的时候，首先判断用户传递到后台的MAC地址，反向查找该用户的账号，实现第二次免认