?? Aruba??????????? 802 by AT74O7

VIEWS: 0 PAGES: 37

									xx 酒店 Aruba 无线网络系统
      技术建议书
xx 酒店无线网络接入系统技术建议书



目 录

1.0 设计思想 .................................................................................................................................... 3

    1.1 无线网络建设需求 ......................................................................................................................... 3

    1.2 无线网开拓新型服务...................................................................................................................... 3

    1.3 xx 酒店需求 .................................................................................................................................. 5

    1.4 xx 酒店无线网络设计综述 .............................................................................................................. 5

    1.5 xx 酒店网络前景 ........................................................................................................................... 6

2.0 酒店网络计费系统 ....................................................................................................................... 7

    2.1 功能需求分析................................................................................................................................ 7

    2.2 本网络计费系统特点...................................................................................................................... 9

    2.3 X X 计费系统介绍 ........................................................................................................................ 12

3.0 Aruba 无线交换局域网系统技术特点 .......................................................................................... 19

    3.1 Aruba 无线局域网系统架构 .......................................................................................................... 20

    3.2 Aruba 无线局域网的网络管理 ....................................................................................................... 21

    3.3 Aruba 无线局域网系统的安全管理 ................................................................................................ 24

4.0 xx 酒店 Aruba 无线局域网系统实现 ........................................................................................... 29

    4.1 无线覆盖设计实现 ....................................................................................................................... 29

    4.2 无线组网实现.............................................................................................................................. 29

    4.3 无线网业务实现 .......................................................................................................................... 31

    4.4 无线用户和设备的管理实现.......................................................................................................... 31

    4.5 无线射频管理实现 ....................................................................................................................... 31

    4.6 支撑多业务的网络应用 ................................................................................................................ 32

    4.7 无线网络的安全系统实现 ............................................................................................................. 35

5.0 产品简介 .................................................................................................................................. 37

    5.1 XX 计费软件................................................................................................................................ 37

    5.2 Aruba 6000 Mobility Controller ..................................................................................................... 37

    5.3 Aruba AP 61 ............................................................................................................................... 37




                                                                                                                           第 2 页 共 37 页
xx 酒店无线网络接入系统技术建议书



1.0     设计思想

1.1 无线网络建设需求

对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞
尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天,作为四、五星级酒店如何为
客户提供新的服务成为酒店经营者头疼的问题。近两年来,随着来自世界各地商务客人的增加,全球信息技术
的发展和无线网络的高速发展,以及 Internet 在国内的迅猛发展,为酒店经营者提供新的信息服务成为一种趋
势。这一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。


可以说,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、
便利性和灵活性的特点,更是得以在酒店中大显身手。商务客人一般会要求酒店提供与其办公室和个人家庭相
同的高速 Internet 访问能力,通过无线局域网就可实现灵活且可扩展的网络解决方案。


酒店对于无线网络的建设有着不同的运营模式,有的酒店保留着运营商投资的模式,并参与运营商的分成,如
同原有的语音话费以及上网业务一样。但是运营商投资的模式,也让酒店自己的分成利益减少了许多。在语音
服务和上网出口在国内垄断的局面下,酒店也难有机会替自己增加收入。无线网络的运用就不一样了,通过无
线局域网的搭建,酒店可以在提高自己酒店服务水准的同时为自己找到一个新的业务增长模式和利润创造点,
并且在其基础上逐渐扩充出其他的业务增长和服务新领域。


1.2 无线网开拓新型服务

1.2.1   无线网卡上网服务


无线网络的引入,使酒店开拓各种新的服务成为可能。譬如,在登记入住后,商务客人只需简单地利用自己笔
记本上的无线局域网卡或者从酒店租用一个无线局域网卡安装在其笔记本上,在几分钟之内就可以实现以比电
话连接速度快 100 倍的速率访问 Internet。无线局域网系统的安装使客人可以非常方便和灵活地在酒店内移动
办公,无论是在饭店客房、会议室、餐厅,花园还是游泳池边。这样的无线高速访问能力,必将使安装了无线
局域网络的酒店成为商务住店客人的首选以及商务会议和展览的宠儿。 作为一项增值的服务,酒店可以在客人
入住时,按天收取一定的上网费用,直接向有无限局域网卡的用户提供无线上网接入服务,或者按每小时或每
日不同价格标准同时向没有无线局域网卡的客人提供无线局域网卡和网线上网双重服务。


1.2.2   酒店大堂的 Internet 接入服务


商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作,或是在这些地方进行一个小型的会谈,当
客人需要处理电子邮件或是上网下载公司的资料时,得到的回答往往是:您必须换一个靠近某个数据点的位置;
您可以到商务中心去吗?或是必须回到房间里用电话线或者网线才可以上网等等。


如果在酒店大堂内安装一到两个无线访问点,该访问点可覆盖需要提供无线上网服务的区域。当客人需要上网
服务时,可以利用自己的无线局域网卡或者到前台或咖啡厅的服务员处租用时租或者是日租的无线网卡,这样
客人就可以作为一个本地网络的用户自由地使用高速上网服务了。




                                               第 3 页 共 37 页
xx 酒店无线网络接入系统技术建议书


1.2.3   客房 Internet 上网服务


在酒店客房内安装有有线网络接口,并通过 AP 覆盖整个大楼的每个房间。入住酒店的客人可以通过有线无线
多种方式上网灵活选择。如果客人在邻近网络插座的地方或没有无线网卡情况下可以通过有线端口上网,另外
客人可以使用自己的无线网卡或者酒店提供的无线网卡,插入自己的笔记本电脑后就可以方便地上网了。



1.2.4   无线局域网语音应用


目前大部分酒店的服务人员都是通过寻呼机进行联系,非常的不方便,但是每一个员工都配置一个手机,其使
用成本太高,酒店是无法承受的。如果架设了无线局域网,这样酒店的服务人员就可以使用 Wi-Fi 手机进行联
络,网络范围内的 Wi-Fi 手机通话完全不产生费用。这样可以极大提高酒店的业务管理的效率,降低酒店的运
行费用,同时无线手机也能实现酒店语音交换机所提供相应的使用在酒店中的功能和服务。


应用性 IP 电话可以看成一个智能网络终端,除了打电话之外它还可以实现与企业现有数据网络上各种应用系统
的集成,比如:通过电话发布企业内部信息、会议安排、即时查找员工目录信息等,此外还可以结合行业特点
实现特性化的行业应用,如在酒店业实现订餐、订票等客房服务等。




                                           第 4 页 共 37 页
xx 酒店无线网络接入系统技术建议书


1.3 xx 酒店需求

1. 无线网络支持语音和数据业务;
2. 无线语音业务具有语音交换机提供的酒店功能;
3. 酒店客户访问无线数据网络业务无缝漫游;
4. 酒店对无线 AP 设备集中安全管理和 RF 监控;
5. 无线网络支持多个 SSID;
6. 不需要在每个客户终端管理大量的 Wep key ;
7. 可以和酒店内的服务器结合进行上网客户的认证;
8. 支持以太网供电(PoE);
9. 计费的实现


1.4 xx 酒店无线网络设计综述

根据 xx 酒店的相关技术要求,在充分分析了市场需求和技术发展趋势之后,结合数据通信发展的实际情况现提
出以下无线网络接入系统建设规划书。下面我们就贵酒店无线网络系统提出如下建议:


1.4.1   网络计费系统


在计费方面,考虑到酒店有线及无线网络计费的复杂性,经过我们建议选择成熟的 X X 计费系统本系统,本系
统功能强大,运行稳定。它可以提供灵活的计费方式,并能有效的将无线与有线网络系统,紧密结合;支持多
种类型的 PMS 接口。
基于用户需求及上述的系统功能描述,在此提供一套运营级解决方案。


除了满足酒店客房客人上网的基本需求外,本系统具备以下特色.


 P&P 即插即用功能
 客人自己选择上网的带宽和计费的方式
 免费网站登录,设定一些网站便于客人免费登录,同时可以很好地宣传酒店
 主页重定向功能
 邮件中继服务器
 支持主要 VPN 厂家功能
 客房内打印功能(但需要 PMS 提供相应的接口)
 支持多种酒店管理系统,可和酒店 PMS 沟通,自动入帐
 酒店专属页面呈现功能
 多重计费功能 (按照时间,按照流量等)



实施效果
客人在前台完成 Check in 时,由前台提供给客人所住房间的宽带帐号和密码,在使用房间的 LAN 端口时,可
以实现即插即用的功能,打开浏览器便可弹出客房的 Portal 页面,并且无需输入任何的帐号和密码即可完成认
证,Portal 页面会提示用户收费的标准,并可以设置酒店服务的宣传推广。该 Portal 页面可以根据酒店的具体
需求进行定制。


客人在会议厅以外的其他公共区域使用无线接入时,需要用户输入由前台提供的帐号名和密码,在此所产生的
                                               第 5 页 共 37 页
xx 酒店无线网络接入系统技术建议书
                                  (例如:
费用与房间中 LAN 登录所产生的费用按照计费标准合并记入该房间帐单。   1020 的客人在使用客房 LAN
时的计费规则为 RMB120 使用 24 小时,1020 的客人在公共区域使用无线时使用客房帐号登录,则无线产生的
费用记入房间 LAN 的帐号,不另外产生费用)


平时或会议厅的会议不提供宽带服务时,计费系统可以控制用户不允许从会议厅 AP 进行登录,这样可以有效
防止会议主办方在不交纳宽带费用的情况下,利用房间的帐号在会议室使用宽带。


方案说明
该方案操作流程相对复杂,可以有效控制非授权的会议访问问题及客人在酒店中同时使用 LAN 和 WLAN 时需
要交付双份费用的问题。此方案由于控制比较细致,方案中的部分环节需要投入开发和测试。


建议
如果可以接受方案一中提到的客人在酒店中同时使用 LAN 和 WLAN 时需要交付双份费用这一前提,可以考虑
折中方案。


平时或会议厅会议不提供宽带服务时,由计费系统控制会议厅 AP 不能登录,需要宽带服务时由前台开启,并
结合方案一中使用发卡的方式登录,既可以有效控制会议又能够使操作流程简化。


1.4.2   无线网络架构


无线网络构建采用美国 Aruba 公司的先进的 Wireless Switch+AP 构架无线网络产品系统,该系统采用集中控
制的理念进行设计,分布在各楼层的 AP 只有通过控制中心才能访问到网络资源,集中控制器是一个智能控制
系统,通过购买增强功能许可协议即可扩展很多安全特性,诸如,防病毒防止和防火墙等功能。本系统优为突
出的特点是:管理方便,易于维护。


1.5 xx 酒店网络前景

xx 酒店无线网络建成后,入住酒店的商务客人可以利用配有无线终端产品的笔记本电脑或高端的“迅驰”笔记本
自由地接入互联网,提高其办公效率。同时,宾馆还可实现无线网络与现有有线网络之间无缝连接,客人无论
是在客房、会议室、餐厅还是花园都可以随时接入互联网。对于住店的客人,该无线网络能满足其所需的全部
网络传输要求,包括传输文字、声音、图像等,甚至可以多路声音、图像并发传输。用户可以在任何时间、任
何地点接入网络,满足他们对高性能、高灵活性以及可移动性的需要。无线网络全覆盖,同时建立酒店自己的
Portal page,宣传酒店,提高酒店的知名度;网络扩展容易;减少布线的成本而投资它用;无线网络的认证计
费系统与酒店 PMS 系统连接,客户可到前台操作员处获得上网的详细信息和帐单;高速的无线访问能力,加
速开展酒店“商务会议”和“展览”业务的推广;建立一个酒店的内部网站(免费登录),便于客人浏览,网站上可
以开展机票、车票预定等业务,同时可以展示酒店的美食,查询酒店的相关信息,添加酒店餐厅,娱乐和设施
等的网上预定服务,增加无线打印,传真业务,客人可以到前台处领取打印材料,按量收费。


同时酒店可基于这个无线通讯平台,建立自己的内部无线语音通讯系统,从而大大降低酒店的运营成本。并将
此平台升级成一项增值服务,面向商务客户提供一些 IP 语音通讯业务及酒店咨询、手机的无缝切换等等。




                                                   第 6 页 共 37 页
xx 酒店无线网络接入系统技术建议书



2.0     酒店网络计费系统

2.1 功能需求分析

2.1.1   用户方便接入


1. 真正的“即插即用”
                     “即插即用”是满足移动用户上网的一个最基本的需求,用户
无论是客房还是公共区域,不管是有线还是无线,
无论是采用静态地址或动态地址、无论是否设置了代理,都无需修改任何的网络设置,只要插上网线,打开浏
览器就可以登录上网。


2. Portal 页面的推送
用户登录时,根据用户所在不同区域推送不同的 Portal 页面,并在 Portal 页面中为用户提供特色的服务。


3. 基于 Web 的强制首页重定向登录方式
当用户登陆成功后,系统可以强制重定向到酒店指定的网站,而无需输入指定的域名,从而达到告知或宣传的
目的。


4. 客房无需帐号密码认证
客房的有线终端,客人无需输入帐号和密码即可完成用户的身份认证。


2.1.2   VPN 的支持


由于酒店用户上网 90%均采用 NAT 模式,加上目前越来越多的商务人士采用 VPN 的通讯方式进行远程工作、
会议,因此系统在 NAT 环境下能很好的支持各种 VPN 的连接,保证客人使用 VPN 不受影响。


2.1.3   国外邮件的收发


在酒店运营的过程中,很大一部分客人是来自其他国家的人士,当客人通过酒店内 NAT 转换模式上网时系统先
进的 SMTP 技术能保证用户国外邮件的收发不受影响。




                                                第 7 页 共 37 页
xx 酒店无线网络接入系统技术建议书


2.1.4   高质量语音视频娱乐体验


在酒店客房中,通过高性能的接入服务器带给客人高质量语音视频娱乐体验,接入服务器在数据转发上要求达
到线速转发。


2.1.5   无流量自动注销机制


酒店客人在登陆成功后,在客人的电脑上即显示客人的上网时长和上网资费,如果酒店采用计时长+每天封顶
的计费策略,当客人忘记注销宽带上网时,系统会判断客人电脑的发送和接收的数据包情况,当客人电脑在设
定的时间内没有数据包产生时,系统会自动使客人的帐号离线。


当客人在没有注销的情况下关掉电脑、拨掉网线或客人电脑出现异常情况死机时,系统将会在 25 秒内将客人的
上网帐号离线。


系统保证不会因此而造成客人无畏的经济损失。


2.1.6   访问记录的采集


目前,公安部要求各酒店在上网记录每个客人上网时的详细访问记录,系统可以时实采集每个客人的详细访问
记录和登陆记录。方便运营商、酒店网管、公安部的查询




2.1.7   强大的网络管理


能从客房帐号、帐号带宽、访问权限、客人上网行为、源目的端口、源目的 IP 等多方位全面管理整个运营网络。




                                          第 8 页 共 37 页
xx 酒店无线网络接入系统技术建议书



2.2 本网络计费系统特点

2.2.1   真正的即插即用


本方案是专门为酒店客房上网解决最核心的功能:即插即用。酒店用户多数使用手提电脑上网,每台电脑的配
置是不同的,为了提高用户的易用性,就提出了“即插即用”功能――客人无须修改网络设置,都可以立即可
以上网。为客人提供上网的便利性,提高对酒店的满意度。


真正的即插即用包括三个层次:


 网络层
采用了 ARP 代理 (Proxy ARP)技术, 是指在网关将二层网络内的电脑发出的 ARP 包全部截获并响应,对于原
来设置的 IP 地址、Net Mask(掩码)            、Gateway(网关)、DHCP(动态获得地址)等这
                       、DNS(域名解析服务器)
些网络参数全部忽略。每台电脑都只能和网关进行通讯,同时还带来了一个额外的好处,网络内网的电脑互相
隔离,防止蠕虫病毒的在客人的电脑之间传播。对网络交换机没有特别的要求。




                                                   第 9 页 共 37 页
xx 酒店无线网络接入系统技术建议书


 操作系统、终端、语言
不管用户的用户电脑的操作系统,包括 Windows,Mac,Unix,Linux,只要是打开浏览器就可以上网,也支持
各种各样的浏览器。在这个 X 的 PNP 专版上,采用专线的方式,不需要登录和认证,使用更加简化。用户可持
PC、笔记本、PDA 任意上网,上网语言不限。


 网络应用
VPN 是一个保密传送协议,越来越多的国外客人和国内的大型企业,在访问公司的内部网络的时候,都要启用
VPN 服务。由于 VPN 服务器有很多不同的协议标准,有些可以穿过 NAT,有些不能,只能采用公网 IP 地址影
射到客人的电脑上。城市热点的即插即用网关两种方式都能够支持,由于采用基于 NAT-T 的 VPN 穿透功能,支
持绝大多数 VPN 服务器应用,保证酒店客人 VPN 业务的正常有效应用;客人也可以采用映射公网地址实现其余
VPN 服务的应用,这就需要多个公网 IP 的支持。




2.2.2   支持酒店宽带全业务


                     INTERNET




                        Hotel Area
                           Network
    商务公寓                                WLAN用户




        客房       商务中心           会议中心    办公区域

一般酒店特别是高端酒店除了客房区域外,还包括各种不同的网络区域,如办公网、会议中心、商务中心、商
务公寓、无线热点等等,X X 系统则能够支持多种业务交叉的灵活资费策略,支持多种计费方式,能够方便地
适应酒店各种用户的业务开展。如租用 PC、租用无线网卡、激活客房上网端口、网吧、非住客上网、商务会议
期间一房多人分别计费,常包房,写字楼等等。



2.2.3   访问记录采集




                                               第 10 页 共 37 页
xx 酒店无线网络接入系统技术建议书


2.2.4   有效的酒店网络管理和安全策略




                         第 11 页 共 37 页
xx 酒店无线网络接入系统技术建议书


2.3 X X 计费系统介绍

2.3.1   X X 计费系统的组成


X X 计费系统包含 计费管理网关硬件和计费软件两部份。 是一台网关型设备,分内网、外网、网管计费三个
以太网端口,10M、100M、1000M 可选。


XX 酒店端软件包,运行环境分别是 PC+WINDOWS 95/98/NT/2000 平台和 PC SERVER+WINDOWS NT/2000
平台。X X 计费系统分 100 客房、250 客房、500 客房、1000 客房 4 挡产品。




                                                           第 12 页 共 37 页
xx 酒店无线网络接入系统技术建议书


2.3.2   结构模型


基于要求,酒店宽带业务平台应从以下三个逻辑层面进行建设:




网络接入层:实现用户接入控制和基本的信息交换。


网络接入层需要解决用户访问网络资源的可靠性、安全性、合法性,并提供方便的接入方式、个性化的服务选
择以及对服务质量提供有效的控制和保障。在这一层面上,实现以下的功能:
 客户 smart 上网功能:客户端(包括用户自带的便携机)不需修改配置即可上网,实现即插即用, X 完成;
                                                 由
 门户网站或可定制的用户登陆页面:向用户提供特定的服务选择页面,或提供定制页面的功能。该门户网
   页为酒店提供了进行服务宣传、介绍服务内容及计费策略的有效手段,由 X    完成;
 用户端的安全保证:应能够通过划分 VLAN 或其他手段实现用户端的隔离,保证用户上网的安全性;楼层交
   换机完成。
 带宽管理和服务质量保证:当用户选择了相应的服务类型、等级及收费标准等参数后,用户接入的带宽要
   求和 QoS 就已经确定,在用户上网使用宽带业务的过程中,网络设备及管理系统应提供有效的带宽管理和
   服务质量控制,为用户使用服务提供可靠的保证,由 X 完成;
 用户认证和授权:网络接入层与计费管理层配合,能够对用户使用服务的合法性进行有效的检查和控制,
   除了实现用户身份认证和授权以外,还能够根据用户账户余额(针对预付费业务和卡业务)对用户选择的服务
   类型、带宽以及上网时长等进行限制,由 X 与楼层交换机共同完成;
 支持以太网接入无线接入等多种接入方式;
 支持 WEB 认证方式,本方案使用三种混合模式的登录认证模式:
       默认模式:802.1QVLAN 端口认证模式;
       网卡 MAC 地址绑定模式,针对酒店租给房客使用的电脑,网卡(包括无线网卡)
                                             ;
       基于 WEB 的登录账号密码登录模式;
        (将会在下文详细讨论这几种登录模式)
                                               第 13 页 共 37 页
xx 酒店无线网络接入系统技术建议书


计费和管理层:根据服务使用记录和资费策略实施计费,并对服务的提供实施管理。
 完成开户、计费、出账、收费、销户、统计等功能;
 提供多种计费方式,支持包天、包小时或按流量、按时长等计费方式,由用户根据个人喜好进行选择;
 提供灵活的资费策略和优惠政策,酒店可以针对不同的业务要求进行资费调整;
 提供用户管理、业务统计和系统管理功能,为业务的发展提供直接的依据,为业务的运营和维护提供有力
   的支撑;
 提供 API 实现与其他应用系统的接口;
 对于酒店用户,应提供按房间号进行收费,并能够与酒店其他服务合并打印统一账单;


计费和管理层本身可以看作是一个相对独立的系统,实现计费管理、账务管理、业务管理和统计分析等功能。
由X      和 X X 共同完成,由于酒店系统本身的特点是需要实时计费,即所谓即用即结的方式,传统的计费方式
是基于用户的使用纪录的累计方式。


应用服务层:提供各种应用服务界面。
包括前台操作界面、业务管理和监控界面等应用系统界面。用户界面方便、友好、易于使用。同时应考虑到宽
带业务计费系统的前台操作界面应尽量与酒店管理系统统一,便于操作。
本方案所包括以下几个应用服务:
 操作员,用于开户,消户,停机,删除,结账等处理,既可以单独运行,如果与酒店接口完成,就无需运
   行。
 管理员,对的网络参数和计费策略优惠策略进行设置。
 统计员,对酒店的业务流程,营业纪录,用户使用习惯分析,上下行流量进行统计分析和报表处理。
 监控程序及数据库刷新程序;监控设备的运行状况以及同步 与后台的数据库。
 酒店计费接口


本方案中酒店系统与宽带业务系统的计费接口方式将会分成两个部分进行。
1. 账单接口,通过已经开发完成的接口将 XX 产生的帐单传送到 FIDELLO 系统。
2. 开户、消户采用系统操作员进行,其房间号设置与 PMS 系统的房号设置相同。


2.3.3    业务流程


根据酒店的网络设备的特点,提供如下认证方式和确认方式:
 基于 WEB 的登录账号密码登录模式;
                                       )用户上网,打开 WEB 页
 网卡 MAC 地址绑定模式:针对酒店租给房客使用的电脑,网卡(包括无限网卡;
   面, 则弹出一个需要填写账号和密码的登录窗口,用户必须输入账号和密码,确认通过即可上网。
 802.1QVLAN 端口认证模式(网络设备需支持 802.1Q),可免账号、密码登录;


开户
事先为每个房间都开设一个账号,在客人入住时输入相应的指令激活该账号。默认用户需要账号,操作员将用
户账号信息打印在密封的已印好上网指南的信封上交给客人。有权限的操作员可以随时封锁和再激活该账户,
并不一定要等到客人结账。




                                                 第 14 页 共 37 页
xx 酒店无线网络接入系统技术建议书


验证/授权
用户将 PC 机连接到房间的端口,开机后,打开 IE 或其他 WEB 浏览器,系统马上弹出一个登录界面,提示用户
输入用户账号和密码;系统马上将用户链接到酒店的 web 页面上(可选,也可以直接接入互联网)
                                             ,提示用户
选择不同的服务内容、消费方式或查询自己的账单(如果有账单信息)。


数据采集和监控
某账号一旦被验证通过,计费系统即实时地采集该用户账号对应的有效的时间、流量等服务使用信息,以便根
据相应的资费策略实施计费,这个功能无需后台参与,由 进行处理,精度大为提高。基于时长的方式采用这种
规则, 将会记住每个端口最后的一个数据包的时间,如果在设定的时间内没有数据流过,结束连接。产生一条
通话纪录,通信时间将减去没有数据的时间作为时间使用时间,如果用户是采用拔线的方式结束,则不会等到
延迟时间结束。


结账
根据事先定好的收费策略以及费率、折扣等参数对指定账户计算费用,形成账单数据。将该账单数据与用户其
他费用一起合并出账,并打印账单信息。用户交费后,完成自动销户过程。


通过酒店的账单系统结账,则不通过本系统交费,但要进行结账操作。


审核校验
对服务使用记录、用户账单数据等进行审核校验,并将校验结果形成相应的记录。


业务统计
对用户使用业务的情况进行多方位的统计,从访问的资源、时长、流量、业务种类等角度对用户行为和业务使
用情况进行分析。对开户情况、资源使用情况、营业收入等进行汇总统计。


操作日志
将开户、修改业务参数、结账、查询统计等操作以日志文件的形式记录下来,便于进行业务审核、差错分析和
工作管理。记录系统操作的结果及异常情况,形成系统日志。


结算
按照规定的结算周期(如按月)实现酒店的结算。收集各类已计费的服务使用记录及其它结算数据,按照酒店拟
定的方式进行费用结算,在规定时间生成结算报表,完成结算,并生成相应的日志文件。


支持商务中心的经营模式
酒店商务中心可以开设网吧,为用户提供上网业务,而网吧的业务流程与客房用户略有不同,主要表现在:
 可以按用户账号进行计费,或者按终端号计费;
 收费标准与客房用户可以不同;
 结账主要采用立即出账、立即缴费,并可打印账单;
同时,也可支持与酒店管理系统合并出账的方式,实现统一出账和缴费。




                                             第 15 页 共 37 页
xx 酒店无线网络接入系统技术建议书


2.3.4       酒店认证计费系统业务功能


数据采集及处理
本方案中的数据采集是由 X 来完成的,是网关设备,所有的流量都是流过,所以无需从其他网络设备获取数据,
采用复合型的采集方式 WEB+端口管理,起始时间以 WEB 登录为准,会记住每个连接的最后一个包的到达时间,
当用户超过设定时间没有数据流过,或者监测到端口已经断开,则判断用户离线,将用户最后一个包到达的时
间作为离线时间。计费记录通过数据刷新程序送到后台数据库,进行记录检查,排重处理和入库,并产生日志
记录,这种采集方式是设备主动请求,当后台出现故障或暂停,则将资料暂时保存到内直到后台恢复正常。


计费模型
X 支持按时间和流量的计费方式,支持现有的多种计费模式,但考虑到酒店一般是按时间进行收费,可以简化
成每天计量+费用封顶制,每天结算,大部分酒店都采用这种方式,比较简单,而且计费接口最为简单,可以
与程控交换机进行计费接口。


同时也支持实时费用扣减,限额处理,按星期,时段,节假日和推广期优惠。


账务处理
 数据采集
       用户的登录记录实时传送到 X 或酒店的 PMS 系统,防止原始数据丢失。而脱机文件采集可作为备份方
        式。


 出账处理
       实时出账处理应满足以下功能:
            实时执行出账处理的每一步骤;
            实时合并汇总所有费用条目,进行计算、核查,形成用户综合账单数据和相应的统计数据;
            将用户综合账单数据按照规定的格式传送给酒店管理系统,由酒店管理系统进行统一出账处理、账
             单打印和收费;
            根据酒店管理系统返回的结果对出账过程进行确认;
            形成出账过程的日志记录;
            支持方便的出错回滚处理功能;
 销账处理
       销账处理指通过不同的扣账渠道和手段,对用户使用服务的费用进行及时扣账,并对销账过程中的数据
        进行管理。
       在本系统中,针对酒店业务的销账过程应满足以下功能:
            根据酒店管理系统反馈的用户缴费数据对本计费系统的用户账户进行销账处理;
            按照用户账号(或房间号)进行销账,且要求全部销账;
            提供灵活的回退机制;
            形成销账过程的日志记录;
            对于退房结账的酒店客房用户,在销账处理完成后,自动完成该用户账号的销户;
 账务数据的结算
       使用记录实时传送,收费记录每天夜间传送。
       保证数据传输的可靠性、准确性和安全性;




                                               第 16 页 共 37 页
xx 酒店无线网络接入系统技术建议书


业务管理
 用户管理
    用户管理主要指对用户使用业务进行受理、激活、修改、停用等管理控制,并对用户使用业务以及用户
     缴费情况进行跟踪。
    业务受理和开户
        酒店业务的受理主要通过酒店前台进行操作,针对用户的房间号生成相应的账户,并根据用户的要
         求设置业务参数;
        酒店业务应作到“实时受理、实时开通”,即根据用户要求进行开户和业务设置后,用户应能够马
         上使用;
        根据用户选择的业务类型和计费方式,更新用户数据;同时对网络设备实施配置,实现服务的控制;
    查询、修改用户信息
        根据用户的要求,对某些用户资料进行修改。主要包括以下内容
          用户可以修改自己的密码;
          用户可以通过前台业务员修改某些服务要求(如:带宽、计费方式、资费套餐等);
        用户级查询处理(用户可查询个人账户相关的信息)
        查询账户信息;
        查询服务使用量统计(时间、流量);
 资料管理
    用户资料
        用户资料包括与用户账户有关的用户个人信息、订购服务信息、服务使用信息、服务设置(如限额
         等)、缴费信息等。
    资费资料
        资费资料管理包括对计费、账务处理中的费率、优惠折扣等业务参数进行设置、修改和维护。在资
         费管理操作中,需要严格规定操作员的访问权限。
    结算资料
        对结算的账单数据、账务记录以及结算配置数据如:结算费率、结算周期等进行统一管理、设置、
         修改、审核。
    网络资源
        统一管理与业务相关的网络资源配置数据,包括 IP 地址分配、端口与房间号的对应、VLAN ID 与
         房间号的对应等,便于实现设备配置与用户管理的对应,实现服务的可管理性。




                                                第 17 页 共 37 页
xx 酒店无线网络接入系统技术建议书


2.3.5   结算中心功能


按照规定的结算周期(如按月)实现结算。收集各类己计费的服务使用记录及其它结算数据,在规定时间生成结
算报表,完成结算,并生成相应的日志文件。


数据采集
采集各类已计费的服务使用记录和其他结算数据。


数据审核、校验
对采集到的数据进形审核和校验,包括:文件的完整性检查、服务使用记录的记录数检查、服务使用记录的正
确性、有效性检查等。记录审核过程中的错误信息,并对错误数据进行纠正和修复处理。




                                          第 18 页 共 37 页
xx 酒店无线网络接入系统技术建议书

3.0   Aruba 无线交换局域网系统技术特点

无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。


第一代无线局域网技术采用单纯的 AP 实现无线接入外,基本上没有其它功能。


                                 ,采用 AC+智能 AP 构架,AC 两者实质均为二
第二代无线局域网技术(以正诚、昂科、Bluesocket 等为代表)
层设备,AP 实现接入、AC 实现汇聚和认证功能,有的厂商的 AC 实现了二层网络交换,具有基本的网络的控制
和用户的管理,如:WEB 认证、流量的控制、访问的控制等;支持 VLAN、VPN、WPA 等基本的安全管理,它
们无法实现对无线电磁波层面的调控和优化。由于这一代技术的 AP 储存了大量的网络和安全的配置,包括加
密的钥匙,Radius   client 的安全密码 (secret) 等,而 AP 又是分散在建筑物中的各个位置,一旦 AP 的配置被
盗取读出并修改,其无线网络系统就失去了安全性。另外由于 AC 或无线网络关的硬件多数是基于 Pentium 架
构的,所以当用户接入数量 (IP sessions)增多时,无线网络的性能会急剧下降,时常会发生掉线或死机情况。
                                      ,实现了基于无线网络交换机,以 AP
第三代无线局域网技术采用无线交换网络架构(以 Cisco、Aruba 为代表)
为单元交换的无线网络系统,Aruba 是采用独立的无线网络交换机实现的。


作为第三代的 Aruba 无线系统采用了 Wireless Switch+AP 构架,将密集型的无线网络和安全处理功能转移到集
中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网络管理、AP 间自适应、无线安全管理、
RF 监测、无缝漫游以及 Qos。


Aruba 无线系统不但具有一、二代无线产品所有的功能,并且在无线网络的规划、管理、安全和对音视频业务
的支持方面都有着与一代和二代产品不可比拟的优势。


在将无线网络融合到有线网络方面,Aruba 无线系统所独有的三层路由穿透技术可以在不更改原有线网的路由
设定基础上,使得无线网络的规划和实施非常方便。
在无线网络管理方面,Aruba 无线系统实现真正的集中控管,包括独有的 RF 智能调控,自动恢复、负载均衡功
能,使无线网络可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端 AP 状态
监测,方便实现对 AP 的管理;具有多 SSID 支持,实现了对无线数据、语音和视频的应用带宽管理。


在无线安全性方面,Aruba 无线系统具备多种用户认证、基于用户的状态防火墙、VPN 加密机制、无线入侵侦
测、无线接入病毒防护功能以及集中的安全管理。


在无线音视频应用方面,Aruba 独有的基于每个用户的带宽控制和 QoS 保证,可以确保语音和视频业务的实时
性,先进的无缝三层移动漫游,使得 VoIP 以及 Wi-Fi Fhone 可以自由的在任意 AP 间切换,并具有目前业界最
低的时延。




                                                        第 19 页 共 37 页
xx 酒店无线网络接入系统技术建议书


3.1 Aruba 无线局域网系统架构

3.1.1   先进的无线局域交换机


作为第三代的 Aruba 系统采用了 Wireless Switch+thin AP 构架,将第二代分散在 AP+AC 上的网络管理和安全
管理功能转移到集中的 WLAN 交换机中实现,同时增加了许多无线局域网全新的功能:诸如:无线安全性、
AP 管理控制、RF 站址监测、无缝移动漫游,特别是对语音、视频业务的支持有专门的 Qos 保证,使得 VoIP 的
应用,如 Wi-Fi 技术应用得到了飞速发展。


3.1.2   灵活的组网方式


第三代的 Aruba 产品可以根据从小型的无线网络规模(几十个 AP),到大型无线网络规模(几百个 AP,甚至上
千个 AP)
     ,都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制,保证系统的
高可用性。


3.1.3   优秀的扩展性


无线网络具有非常容易扩展的特性,因此,今天在组建无线网络时必须要考虑系统的扩展性。在网络系统扩展
性方面,Aruba 的一台 5000/6000 型交换机可灵活地对从 128 个 AP 扩充到支持 512 个 AP,因此扩展 AP 非常
容易;从网络管理扩展性方面, Aruba 的 Master/Local 方式, Master Aruba 交换机可以同时控制管理 28 台的
Local Aruba 交换机,因此增加交换机也非常容易管理。


除了 AP 数量之外,怎样控管大量的 AP 和部署也是扩展性的重要考虑因素。要妥善处理数目众多的 AP 在无线
网络内正常远作,包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可
以通过 Aruba 系统的网管系统实现。


3.1.4   无需更改有线网结构


实现无线局域网接入,需要在现有的局域网上做很多路由的修改,这当然是网管人员不愿意做的事情,采用
Aruba 系统无需更改用户现有的有线网结构。


由于无线用户的传输是通过 Aruba AP 内已建立的 GRE 隧道和 Aruba 交换机互连的,所以实际上无线用户的
VLAN 是无须在接入层和汇聚层存在。无线用户的 VLAN 是可透过 Aruba 交换机和骨干交换机互连互通。这样非
常方便在有线网里实施无线局域网,同时也非常方便进行扩展。


Aruba 的无线交换机可以安装在中心机房,而 AP 则可以放置于任何地方,无需用二层设备连到无线交换机,或
者划分 VLAN;其他厂家则需要二层交换机连接或者划分 VLAN,否则只能将认证点下放到 AP 上,导致整体性
能的降低和漫游特性的缺失。


不用划分 VLAN,对于无线网络的管理带来极大的便利性。


对原有的有线网路由器不需要改变路由结构,减轻了由于无线网络的建设而对原有网络的结构改变的工作量。




                                                         第 20 页 共 37 页
xx 酒店无线网络接入系统技术建议书


3.1.5   方便地无线网络规划设计


在规划一个无线局域网络时,规划设计者一项重要的工作是要考虑安装多少 AP 可以满足覆盖?应在哪些位置
安装 AP,安装后电波的覆盖范围,信号在不同位置的强弱等,要完成此项工作,通常做法是规划设计者要在现
场做大量的测试工作,通过经验去估算位置和数量,其工作量非常之大,且还无法预先规划每个 AP 的电磁波
和功率参数以及 AP 之间的覆盖相交范围。


Aruba 首创开发了 RF Planning 工具,可以让规划设计者在考虑无线局域网组网之初采用 RF Planning 在计算机
上做规划设计,估算在要求的覆盖面积上 AP 应安装的物理位置所在。使用这套工具时,在数字化的建筑图纸
上设定无线所覆盖范围如那几个楼层和面积大小,输入有关无线覆盖和传输模型的相关参数,如无线终端的平
均带宽,AP 和 AP 之间覆盖面等。RF Planning 自动计算,然后显示出 AP 在图上的安装坐标位置和无线电波的
    安装人员就可以根据图纸上所显示的位置安装 AP,
覆盖范围。                                 网管人员通过 RF Planning
                            在无线网络安装完成后,
的 Auto-Calibration 功能,设定 Aruba 交换机自动调节网上所有 Aruba AP 的频道与功率参数以达到一个最优性
能的运行状态。在无线局域网系统投入运行后,网管人员可通过 RF Planning 随时监测网内的每个 AP 的无线电
波的状态,及时掌握每个 AP 的工作状态和故障诊断,及时做出调整策略。Aruba RF Planning 为无线网络的规
划设计、调试以及维护提供科学化和规范化的管理。


3.2 Aruba 无线局域网的网络管理

3.2.1   集中式管理


管理一个具有规模的无线局域网(通常在几十个 AP 以上)是一件非常头痛的事情。从 RF 覆盖面,带宽,用户
的认证,以及接入的安全都要考虑。由于传统的无线局域网是单纯基于 AP,因此对于无线网络的管理,其大量
工作是要在每个 AP 上进行设置和更改。其工作量在有一定数量 AP 的无线网络里是非常大和烦琐的,而且无线
局域网是一个整体系统,AP 之间必须互协调工作,单独改变一个 AP 参数和配置会引起 AP 之间的无线电波干
扰,用户漫游重认证和授权也可能会产生问题。


Aruba 系统具有非常强的无线局域网集中管理功能,通过无线交换机 Master Switch 和 Local Switch 管理模式管
理整个网络,网管人员只需在无线交换机就可开通、管理、维护所有 AP 设备以及移动终端,包括无线电波频
谱、无线安全、接入认证、移动漫游以及接入用户。


3.2.2   无需安装客户端软件


Aruba 系统无需为每一个移动用户终端安装无线接入软件, Aruba 的认证可以基于 WEB 页面认证,该认证只
需用户打开浏览器就可以登陆。


ARUBA 采用 GRE 隧道技术,可以透明地穿透在无线交换机和 AP 之间的任何三层网络交换设备实现 WEB 认证,
而其他的厂家在这种网络环境下,必须要为客户端装上基于标准的 L2TP 或 IPSEC 或 802.1X 客户端软件才能
实现 WEB 页面认证。




                                                       第 21 页 共 37 页
xx 酒店无线网络接入系统技术建议书


3.2.3   RF 智能控管


由于无线电波是一种无形的东西,它的强度和所在的信道一般都需要根据经验手工调整,要做到无线信号均匀
分布,信道的利用率高,无信道干扰并不是件非常容易的事情,但是 Aruba 系统的 RF 智能控管可以自动调节
网上所有 Aruba AP 的电波特性。可以保证无线信号均匀分布,信道的利用率高,无信道干扰,无线网络做到最
为优化的运行。


当初次安装无线局域网时,用户可通过 RF Planning 的 Auto Calibration 功能来自动调节整个无线网络上所有 AP
的无线电波频率和功率。启动了 Auto Calibration 以后 AP 和 AP 之间会自动互传有关无线电波的信息和调整电
波的参数,直到 AP 之间达到了一个最优化的无线电波运行环境。


当无线局域网经过 Auto Calibration 调整后而正式运作时,网络管理员可在 Aruba 交换机内启动 ARM 功能,则
无线网络上所有的 Aruba AP 都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描,是指 Aruba AP 从
一个电波频道跳到另一频道时,如 Ch 1 到 Ch 2 到 Ch 3....,由于扫描的速度非常快,所以对于在线的无线用
户(指连接到 AP 上在同一频率上的无线终端)的传输过程是不受到影响的。当 AP 停留在一个频道时,它会把
在这频道上收到的无线电波信息转送回 Aruba 无线交换机。这样 Aruba 无线交换机就对整个无线网络上的电
波情况有了一定了解和记录。当某一覆盖范围内的电波改变,如出现干扰 AP 所发出的电波或其它应用所发出
的电波等,Aruba 无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整范围内 AP 的无线电
波。


3.2.4   多个 SSID 结构


Aruba 系统的多 SSID 结构和和实现技术使得在 Aruba 无线局域网系统的各种应用服务(数据、语音和视频)在
Qos 上表现非常出色。在一个无线局域网内可以设置多个 SSID,例如一个 SSID 可给用户的工作人员所用,而
另一个可给外来的访问客户专用。所以当无线终端在这个 AP 覆盖范围内启动时,它就能同时看到多个 SSID。
SSID 的另一用途是可让无线终端以不同的安全认证和加密方式入网。


在一个语音 SSID 内可把 SIP 和 H.323 等无线语音数据以优先级队列处理。在一个视频 SSID 内可把视频数据流
传输以优先级队列处理。同时在一个预设定的视频 SSID 内只允许网络管理设定视频数据流传输协议通过,以
确保其它数据不能进入这 SSID。在一个预设定语音 SSID 内只允许网络管理设定语音传输协议通过,以确保其
它数据不能进入这 SSID。


这样可在多 SSID 的情况下确保音视频的 Qos。


3.2.5   故障自动恢复


传统的无线网络在有 AP 损坏或失效时,这个 AP 的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就
是把现场失效的 AP 换掉。但由于大多数的 AP 都是设置在外面(不是在机房),所以不一定能马上作更换,现场
的环境也有局限性,不一定很容易维护人员即时做出更换(很多的 AP 都是安装在天花板上)。


Aruba 系统具有自动恢复的功能,实时侦测出网上 AP 是否有失效,当发觉有 AP 出现故障时,Aruba 交换机能
会自动调节邻近的 AP 的功率(覆盖范围)来接替失效 AP 的工作。




                                                       第 22 页 共 37 页
xx 酒店无线网络接入系统技术建议书


3.2.6   网络负载均衡


Aruba 系统可在一个 AP 的覆盖范围内把无线用户或终端分散连接到附近的 AP 上。在一个 AP 的覆盖范围内,
无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。要确保每个无线终端的传输
就必须能限制一个 AP 上无线终端的数量或 AP 带宽传输总和或和每个无线终端带宽上限。Aruba 无线系统可应
用层面通过 4-7 层交换模块可以实现服务器的负载均衡,VPN 设备,防火墙设备等等一系列基于 TCP/IP 协议
设备的负载均衡来保证整体网络的可靠性。


在视频应用中,负载均衡功能可以有效的缓解单个 AP 的负担,有效的利用临近的 AP 做接入,从而确保视频应
用的质量得到保证。


3.2.7   无线终端定位


Aruba 网管系统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA 和 Wi-Fi 手机等。Aruba 采用的
无线定位模式称为三角定位,它的准确性可达到 2.5 米以内,先决条件是所寻找的无线终端附近须有最少三个
Aruba 的 AP 在范围内。这是传统无线局域网所不能做的,有些单位如医院就是采用了无线定位技术来取代传
呼机在医院内寻找医生、病人等。


3.2.8   VoIP 与 WI-FI Phone


随着 VoIP 的越来越普及(如 Skype,…等),基于 SIP 的 Wi-Fi 电话将成为饭店内的管理人员之间、房客之间话音
联络主流。Wi-Fi 电话除了可在 xx 饭店、酒店楼以及办公室之间等不同 AP 之间漫游外,用户亦可在其它有
Internet 连接的地方如酒店,住宅等使用,这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说,
用户可在有宽带接入的地方继续使用办公室的电话号码,不管是国内或国外。对于一些经常出差的用户 VoWiFi
会带来极大的方便,亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi),用
户很快就可以漫游于手机移动网和无线局域网之间。


Aruba 无线交换技术已经证明很多业界 VoIP 系统在 Aruba 系统上成功的运行,且在最近的 Network World
VoWLAN 测试结果被评选为市场上最卓越的产品。在具体实现 Wi-Fi 语音时要注意考虑语音的时延, AP 呼叫的
容量,和漫游切换时间。 尤其语音的漫游,它会比一般的数据移动传输更普及,但相对的要求也较严紧,所以
要在无线局域网实现语音和数据融合,就不能随意的安装一些 AP,而必须是有规范的组建无线局域网。


Aruba 无线系统可容许用户设置专有的语音 SSID,把单纯是数据传输的用户和 Wi-Fi 手机用户分开,但也可以
在单一 SSID 内同时传送数据和话音,关键的重点就是怎样保证语音传输的质量。 Aruba 无线交换机内的用户
防火墙可把 SIP/RTP 等 VoIP 协议数据包放在较高的优先队列,所以就可确保在数据和语音同时传送时,语音的
质量不受影响。另在语音安全接入方面,Aruba 可防止没有无线语音权限的用户使用无线语音,以确保网络资
源能有效运用。




                                                    第 23 页 共 37 页
xx 酒店无线网络接入系统技术建议书


3.2.9   无缝的三层漫游


Aruba 无线能够让用户在 AP、WLAN 交换机、多子网以及多 VLAN 之间无缝地漫游,而且不会丢失连接,也
不需要重启。它不需要对现有网络进行任何改变就可以实现这一切。


其他厂家一般只能实现二层漫游。跨网段时需要二次认证,导致丢包或者很大延迟。而 Aruba 的 handoff 性能
极佳,保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在 AP 间漫游,而不会发生掉线,是语
音业务的质量保证。


3.3 Aruba 无线局域网系统的安全管理

3.3.1   集中的安全管理


在传统的无线局域网解决方案中,为保障网络的安全,许多客户把所有无线流量拒之于防火墙(从 DMZ 区接入)
                    。从安全性方面看,这是个好方法,但却使网络设计达不到最优
之外,用户不得不绕道进入单位网络(如下图)
状态而且导致性能劣化,因为 WAN 级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入
点。这种技术由于“统一尺码”的访问控制方法而不够灵活,因为它赋予所有无线用户相同的网络权限。如果
不采用上述的解决方案,而是将无线系统直接连接到楼层交换机,这样用户连接至 AP 以后,所有的访问都将
无从控制,对客户的网络安全更是极大的威胁。在宾馆的网络环境中,由于来往的人员多,流动性很大,如果
只是靠内网和外网的隔离,不能很好的提供服务给不同身份的用户。假设宾馆工作人员需要查询酒店管理信息
及旅客信息而使用随身携带的 PDA,如果只是简单的在内网中部署 WLAN(无线局域网),旅客很容易通过自己
的 PDA 和笔记本电脑登陆到酒店的内部网络,造成内网络的安全漏洞。如果部署酒店全范围内的 WLAN,传统
的无线局域网面临无缝漫游和用户管理的难题。




Aruba 无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及 RF 电磁波管理等多项安
全功能汇聚到 Aruba 无线交换机上来完成的,解决了传统的无线网络对安全的分散管理(AP、AC)和能力,给
用户带来的不安全感,摆脱了对有线网安全的依赖性。


3.3.2   无线用户网络接入的安全管理


用户状态防火墙是 ARUBA 无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙
是没有用户这概念,它的保护只是基于 IP 地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线
终端,这种防火墙的功效是不大。ARUBA 无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功
通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如宾馆的管理人
员和工作人员可以使用更多的服务,而旅客只可以浏览网页或者收发 Email 等,这样可以极大方便宾馆的用户
的安全管理。例如宾馆的领导可以通过无线网络访问宾馆所有的管理、财务、人员、航班信息,宾馆工作人员
可以通过无线网络访问航班、旅客、行李信息,旅客可以通过网络访问航班信息、天气信息,接机和送机的客
                                              第 24 页 共 37 页
xx 酒店无线网络接入系统技术建议书
人可以通过无线网络访问宾馆的公众网站,了解航班到达和起飞的具体情况。基于身份的访问原则很好的保护
                       (如下图)
宾馆的网络安全,同时也提供了不同等级的访问权限。




3.3.3   无线网络的安全防护和监控




由于无线终端接入是没有明确物理位置限制的,所以管理方极难用固定的网络防火墙设备来防范无线连接(防火
墙一般很少会设置在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的通信,所以万一
有无线终端被病毒感染或黑客在无线发起攻击的话,它都很会容易散播到其它的无线终端及整个传输网络内的
其它网点。有一些单位为了安全就采用一刀切的方法,把所有无线接入汇聚到一个 DMZ 内,再通过一网络防火
墙的过滤才让无线数据进入企业内网。这种方式在具体实施时有一定的困难,只能局限在传输网内的某些范围,
因无线用户/终端必需集中在一 VLAN 上处理,否则的话很难把它们汇聚到一个 DMZ 内。如果不是经过 DMZ 的
话,则可能威胁到内网的安全,但要把在不同接入点 AP 的无线用户/终端和有线用户(在同一接入点)完全分隔
开而设置到 DMZ 上的同一个 VLAN 则需在现有的局域网做很多改动。且未来如要增加多一些 AP 接入点的话,
亦同样需要在局域网的接入层,汇聚层做很多改动。
                                              第 25 页 共 37 页
xx 酒店无线网络接入系统技术建议书


采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性,因它本质上不是设计来做内部的安
全保护,而是用来确保外来数据进入企业内网是安全可靠的,所以一般都会设置在企业因特网的连接口。从因
特网进入企业内网和企业内部的无线接入的最大区别在于后者是可对用户做认证,但前者是不可能实现。由于
不能确认用户的身份,所以防火墙的检查或策略只可按端口和 IP 原地址来制定,不管用户是谁。这种模式在
企业内部署会对用户的内网访问有很多限制,缺乏灵活性,所以是很难被用户广泛接受,只可在小范围或小规
模的情况下实现。要做到实施和维护简单方便,亦可根据用户身份来制定安全访问策略,ARUBA 的无线解决方
案就可以彻底解决这些问题。


采用 ARUBA 无线系统的 RF 侦测功能和保护机制可以实时监测大厦无线网覆盖区域内的所有 AP 接入情况,如相
邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。通过 ARUBA 的网络安全管理系统,网络安
全管理人员可以及时发现是否有非法的 AP 接入,发现后可以开启自动保护机制,阻止无线终端通过非法 AP 联
接到无线网中。在宾馆网络中,如果某位宾馆工作人员或合作单位的人员私下安装了无线的 AP,提供了直接连
接宾馆内网的接入,ARUBA 无线安全管理的功能可以及时的发现这个非法的 AP,并且可以通知管理人员断掉
非法 AP 的网络连接,显示非法 AP 接入的大致方位。


今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对宾馆和运营商的无线网的安全构成
很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线 DOS 攻击时,就会误
以为是无线电波的信号受干扰或 AP 出现不稳定情况。这些攻击在 HotSpot 会导致用户的无线连接断线,但网
管中心仍然不知,用户则误以为是网络问题,间接影响无线网系统的品质。


ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检
测异常的无线数据包,当 ARUBA 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动
保护响应。


3.3.4   无线局域网的认证与加密




传统的无线局域网解决方案中用户认证主要依赖于 802.1x,这种认证方法需要用户安装 802.1x 客户端程序,
后端还需要 Radius 服务器支持。一方面用户的技术水平参差不齐,客户端的操作系统多种多样,以及系统可能
出现的软件冲突等,对 802.1x 客户端的安装造成极大障碍,另一方面,后端的数据库只能使用 Radius,不能
                                              第 26 页 共 37 页
xx 酒店无线网络接入系统技术建议书
使用其他类型的认证数据库,在适应性上也比较差,这些对于大规模推广和使用都是极大的阻碍。考虑到客户
所使用的设备安全认证的多样性,我们认为将来的的接入方式可以多种选择,宾馆的工作人员可能通过手持 PDA
设备查询客房信息,旅客可以通过宾馆提供的 PC 机查询信息,宾馆的工作人员和宾馆的合作单位可以通过笔
记本电脑上网,宾馆同时可以考虑提供 WiFi 手机提供语音的服务。在 ARUBA 无线系统中,一个无线用户进入
无线网以后,只会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过 DHCP 获取
IP 地址、传送 DNS 协议数据包,通过认证以后才可以接入无线网。ARUBA 无线系统支持目前各种用户认证的
                               ,宾馆用户可以根据需要方便选择。我们可以考虑宾馆的工
方式(802.1X、WEB 认证、MAC、SSID、VPN 等)
作人员和宾馆的管理人员可以通过身份认证的方式登陆到宾馆内网,旅客可以通过 WEB 界面访问宾馆的公众服
务器,远程的宾馆员工可以通过 VPN 的方式访问宾馆内网。WiFi 手机的用户可以事先设置好登陆的方式。


ARUBA 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP,而是在 ARUBA 无线交
换机上实现。由于 ARUBA 的 AP 是不储存任何网络配置(IP 地址除外)和安全设置,因此 ARUBA 管理的 AP
是不能单独工作的,因此获得和接入进 ARUBA AP,黑客也不会拿到无线网的网络和安全配置参数。但一个破
坏者通过其他的手段(偷盗和窃取)攻破了边缘的接入网络,他也无法破译 ARUBA 无线网络建立起的加密通
道,无法窃取网络的真实信息。


3.3.5   多种用户认证方式


在 Aruba 无线系统中,一个无线用户进入无线网络以后,只会拿到一个最基本的入网权限,这个权限不容许用
户访问任何网段,只让用户通过 DHCP 获取 IP 地址、传送 DNS 协议数据包,通过认证以后才可以接入无线网
络。


Aruba 无线系统支持目前各种用户认证的方式(802.1X、WEB 认证、MAC、SSID、VPN 等),无线网络用户可
以根据需要方便选择。


3.3.6   独特的无线访问控制


用户状态防火墙是 Aruba 无线交换机的独特功能,它本身就是针对无线接入的特性而设计。传统的网络防火墙
是没有用户这概念,它的保护只是基于 IP 地址或物理端口来制定防火墙策略,所以对于没有固定接入点的无线
终端,这种防火墙的功效是不大。Aruba 无线系统的防火墙功能则是与用户认证捆绑在一起,当无线用户成功
通过认证后,他会获得一个预设的用户状态防火墙,不同的无线用户有不同的防火墙策略,例如单位的工作人
员可以使用更多的服务,而来访人员只可以浏览网页、收发 Email 等,这样可以极大方便无线网络用户的安全
管理。


3.3.7   安全的 AP 技术
Aruba 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP,而是在 Aruba 无线交换
机上实现。由于 Aruba 的 AP 是不储存任何网络配置(IP 地址除外)和安全设置,因此 Aruba 管理的 AP 是不
能单独工作的,因此获得和接入进 Aruba AP,黑客也不会拿到无线网络的网络和安全配置参数。


3.3.8   无线接入点安全侦测和保护


采用 Aruba 无线系统的 RF 侦测功能和保护机制可以实时监测无线网络覆盖区域内的所有 AP 接入情况,如相邻
房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。通过 Aruba 的网络安全管理系统,网络安全
管理人员可以及时发现是否有非法的 AP 接入,发现后可以开启自动保护机制,阻止无线终端通过非法 AP 联接
到无线网络中。


                                                  第 27 页 共 37 页
xx 酒店无线网络接入系统技术建议书


3.3.9    无线网络入侵侦测


今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对用户的无线网络的安全构成很大的
威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线 DOS 攻击时,就会误以为是
无线电波的信号受干扰或 AP 出现不稳定情况。这些攻击在 HotSpot 会导致用户的无线连接断线,但网管中心
仍然不知,用户则误以为是网络问题,间接影响无线网络系统的品质。


Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检
测异常的无线数据包,当 Aruba 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保
护响应。


3.3.10   无线接入的病毒防护


Aruba 无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准入检查;二、对无线终端发出数据
进行有效的检查和监控。


无线终端病毒防护的第一步是准入检查,当无线终端连接到 Aruba 无线系统中,当试图访问网络,在用户认证
之前,需要下载一个基于 JAVA 的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、
以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成
将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全
策略以后,该无线终端才可以进入认证环节进行用户的认证。


当无线终端通过了准入检查,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手
段。Aruba 公司和第三方的防病毒墙厂家合作,在 Aruba 无线交换机上可以设定策略,某些用户,以及某些可
能沾染病毒的数据,Aruba 交换机会将其重定向到防病毒墙上进行防病毒检查,检查完成后,才允许通过,否
则会将数据丢弃。


基于上述两个层面,Aruba 无线局域网系统对无线终端进行有效和方便的病毒防护。


3.3.11   无线射频终端的定位


无线终端定位是 ARUBA 系统的一大特色功能。此功
能亦被称为“三角定位”,是指当一个无线终端同时
被三个以上的 AP 信号覆盖着,即可跟踪和定出无线
终端的位置。它的准确度可达到 2.5 米以内,与无线
终端使用者无关,诸如无线接入的电脑、PDA 和 WiFi
手机等,只要附近范围内存在最少三个 ARUBA 的 AP
即可,这也是传统无线局域网所不能做的。在宾馆内
常常采用了三角无线定位技术来资产管理追踪,找寻
地勤人员,以及定位找出非法入侵的 AP 和无线终端。




                                             第 28 页 共 37 页
xx 酒店无线网络接入系统技术建议书



4.0   xx 酒店 Aruba 无线局域网系统实现

4.1 无线覆盖设计实现

AP 放置于相应的位置,用于覆盖走廊以及房间内。


4.2 无线组网实现

根据 xx 酒店的实际测量配置 Aruba 无线交换机与无线接入点 Aruba 61 AP 数量。估算 AP 数量见下页 AP 分布
表。


AP 上联方式:以楼层为单位,在每个需要布放 AP 的位置拉放网线,AP 连接在楼层的配线间中,使用 POE 供
电设备给 AP 供电。ARUBA 无线交换机放置 xx 酒店的网络中心机房内,并与核心交换机直接连接。


Aruba 交换机可进行堆叠式的管理,有很高的扩展性,可将其中的一台 Aruba6000 设置成 Master,用于无线局
域网系统的集中控管和 AP 的接入,其他 Aruba 交换机配置成 Local,用于 AP 的接入,并可以接受 Master 的管
理。由此可见 Aruba 无线系统扩展十分方便,而且不改变集中管理的模式,所以使用 Aruba 组建无线网络,是
对用户的投资保护,随着无线网络规模的扩展,原有的设备都可以继续使用。


AP 的选择:Aruba61 是单射频多波段 (802.11 a/b/g) 瘦接入点。 Aruba 61 有一个内部天线,可以通过墙上
插孔在用户空间中部署。 它通过符合标准的 PoE(以太网供电)来供电。 Aruba 61 是为天花板下面的经济型
应用设计的,是在服务 802.11 a、b 和 g 客户端组合的用户空间中密集部署的理想选择。 Aruba 61 还非常
适合家庭、零售店和分支机构中的移动边缘部署。


                                                  ,用于 AP
AP 的供电采用单独的 Poe 供电设备(或与原有的普通楼层交换机配合,不用添加新的 POE 交换机)
的数据接入和供电,又不增加过多的成本。


在 xx 酒店无线信号覆盖设计中,我们根据酒店图纸测量出需要 Aruba AP61 数量为:AP 总数量为 xxx 个。覆盖数
量为估测值。




                                                      第 29 页 共 37 页
xx 酒店无线网络接入系统技术建议书


xx 酒店 AP 数量分布:
序号   楼层               AP 型号        AP 数量       备注
 1   1层              Aruba AP 61
 2   2层              Aruba AP 61
 3   3-6 层           Aruba AP 61
 4   7层              Aruba AP 61
 5   8-13 层          Aruba AP 61
 6   14 层            Aruba AP 61
 7   15 层            Aruba AP 61
 8   16-20 层         Aruba AP 61
 9   B1 层            Aruba AP 61
10   B2 层            Aruba AP 61
11   B3 层            Aruba AP 61
12   B4 层            Aruba AP 61
13   设备夹层            Aruba AP 61
14   电梯缓冲层           Aruba AP 61
15   电梯内部            Aruba AP 61
16   楼梯              Aruba AP 61
17   室外


加入无线网络后的拓扑结构如下图所示:




                                           第 30 页 共 37 页
xx 酒店无线网络接入系统技术建议书


4.3 无线网业务实现

从 xx 酒店的无线网用户类型与应用类型情况分析,用户主要有:       (2)参加会议人员;
                              (1)酒店的房客;        (3)酒
店工作人员;(4)长期租用酒店办公的人员。应用主要有:
                          (1)实现无线上网服务。(2)和北电 CS1000M 交
换机互连,实现酒店工作人员的无线语音应用。


采用 Aruba 无线系统的多 SSID 结构的管理技术将不同类型的用户和应用划分到不同的 SSID 中,赋予不同的访
问规则与权限以及配置不同的管理策略。


建立一个 SSID,为酒店的房客、参加会议人员和酒店提供的客人服务系统使用,可以不用加密,只做基于 WEB
的接入认证。需要的化可以为特殊客户使用基于 VPN 的加密,以保证安全。Aruba 可以和后端计费系统建立连
接,来对客户进行计费。


酒店工作人员的 Wi-Fi 语音应用使用专门的 SSID。可以使用基于 MAC 地址的认证方式,并将访问策略中的语音
业务应用优先级提到最高,以确保这些服务的质量。同时不允许其他应用的使用,以防止其他用户使用该 SSID
连接无线网络。


综上所述,xx 酒店的无线局域网系统共开设 2 个 SSID。1 个 SSID 用于数据应用,分别对应 2 类用户。并同时
采用不同的认证、加密和安全控管的手段,以方便的实现网络安全和管理。


4.4 无线用户和设备的管理实现

在 Aruba 无线交换机上可以直接集中的管理所有的 AP,查看其运行状态,以及所有连接用户的连接状态、用户
权限、连接时间等,这种集中控管的能力和管理方式,将极大降低 xx 酒店的管理难度和管理成本,作为酒店的
运营来说也是非常有实际意义的。


4.5 无线射频管理实现

由于无线电波是一种无形的东西,它的强度和所在的信道一般都需要根据经验手工调整,要做到无线信号均匀
分布,信道的利用率高,无信道干扰并不是件非常容易的事情,但是 Aruba 系统的 RF 智能控管可以自动调节
网上所有 Aruba AP 的电波特性。可以保证无线信号均匀分布,信道的利用率高,无信道干扰,无线网络做到最
为优化的运行。


当初次安装无线局域网时,用户可通过 RF Planning 的 Auto Calibration 功能来自动调节整个无线网络上所有 AP
的无线电波频率和功率。启动了 Auto Calibration 以后 AP 和 AP 之间会自动互传有关无线电波的信息和调整电
波的参数,直到 AP 之间达到了一个最优化的无线电波运行环境。


当无线局域网经过 Auto Calibration 调整后而正式运作时,网络管理员可在 Aruba 交换机内启动 ARM 功能,则
无线网络上所有的 Aruba AP 都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描,是指 Aruba AP 从
一个电波频道跳到另一频道时,如 Ch 1 到 Ch 2 到 Ch 3....,由于扫描的速度非常快,所以对于在线的无线用
户(指连接到 AP 上在同一频率上的无线终端)的传输过程是不受到影响的。当 AP 停留在一个频道时,它会把
在这频道上收到的无线电波信息转送回 Aruba 无线交换机。这样 Aruba 无线交换机就对整个无线网络上的电
波情况有了一定了解和记录。当某一覆盖范围内的电波改变,如出现干扰 AP 所发出的电波或其它应用所发出
的电波等,Aruba 无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整范围内 AP 的无线电
波。
                                                       第 31 页 共 37 页
xx 酒店无线网络接入系统技术建议书


4.6 支撑多业务的网络应用

4.6.1   无线网络的 QoS 实施与保障策略


ARUBA 的 AP 所使用的硬件支持无线多媒体扩展(WME)的队列,同时可以将这些射频的队列映射到 IP 的 QoS
机制如 DSCP 和 802.1 来保证无线的应用可以在有线的网络上获得相应的优先级。
                                          此外,阿尔卡特在支持 802.11e
服务质量的基础上,增加了基于用户状态流的区分和优先级映射,使得同一个设备的不同应用可以得到不同的
处理优先级。区分数据流的各种参数可以包括源/目的地址、协议、服务(如 HTTP、TFTP、SIP 等)。


ARUBA 的无线交换机在启用内置的防火墙时,可以识别数据流的状态和类型,因此可以根据用户或应用来分配
不同的带宽。带宽分配是在无线交换机内由一个专业的漏桶算法来控制的,当用户的流量超过预定义的带宽时,
数据包将被丢弃。


ARUBA 的 AP 和无线交换机可以利用 802.1p 和 IP DSCP 来给网络里的数据包来标记 QoS 的优先级:
 下行——往无线用户的方向,无线交换机根据应用和流的标识来标记 802.1p 标签,无线交换机内部的状态防
   火墙可以识别需要高优先级的数据流,然后根据用户定义的 802.1p 标签来标记相应的数据包,这样在无线
   交换机和 AP 之间的网络就可以据此来保证下行数据的优先级;当 AP 收到下行数据时,它可以根据数据包
   的 GRE 包头的信息来确定该数据包的优先级。
 上行——无线用户往 AP 的方向,AP 不作解密的工作,所以没有办法知道数据流的优先级,但是一旦高优先
   级的数据流到达无线交换机,该数据流就立即被识别并且 AP 被告知哪个用户具有较高的优先级,此后该用
   户的数据流就会被标上用户定义的 802.1p 标签。


目前,由于无线上的服务质量标准 802.11e 还没有最后定稿,所以 ARUBA 支持 Wi-Fi 联盟的 WMM 规范(802.11e
   。一旦 IEEE 802.11e 被定稿和正式公布,ARUBA 将完全支持该标准。ARUBA 的 AP 具有 8 个硬件队列,
的子集)
目前只使用了两个:高优先级和低优先级,以后可以配合 802.11e 标准的发布启用 8 个队列,以实现更为丰富
的服务质量保证方案。


宾馆作为人员流动最频繁的场所,提供 WiFi 服务不仅可以为乘客提供更加普遍接受的服务,同样可以为宾馆的
无线信息化建设提供广阔的应用空间,提高宾馆的综合竞争力提升宾馆的形象。通过让宾馆员工可以随时随地
访问必要的信息,WLAN 可以帮助宾馆提高了员工的生产率。覆盖整个宾馆的统一 WLAN 平台还可以为业务伙
伴――包括航空公司、代理机构、零售商和――提供了支持无线技术的服务,让他们可以提高运营效率。多家
电信运营商还将在该平台上提供无线互联网接入,让用户可以选择多种服务。


当所有的数据、语音和图像的应用共同运行在宾馆的统一无线网络环境中时,当不同的用户包括普通乘客、VIP
乘客、宾馆工作人员、合作伙伴等共同运行在宾馆的统一无线网络环境中时,ARUBA 的无线解决方案可以根据
宾馆网络应用的实际需要保证不同重要性的应用具有不同的优先级,从而保证在网络流量发生拥挤时关键性应
用的网络服务质量。例如:移动值机柜台应用,RFID 行李管理系统、宾馆内部 VOIP 语音系统,宾馆无线视频
监控系统,当这些应用统一运行在 ARUBA 无线网络平台上时,在 ARUBA 的解决方案中可以支持对不同的应用
的优先级设定从而保证在 ARUBA 无线平台上保证关键应用的网络带宽。




                                                       第 32 页 共 37 页
xx 酒店无线网络接入系统技术建议书


4.6.2   网络系统的自愈功能


传统无线网络里的每个 AP 都是一个独立的个体,相互之间不存在任何
沟通与协商,如果有某一 AP 突然损坏或失效时,这个 AP 原来覆盖区域
就会失去无线连接,无线网络变得不可用。遇到这种情况的一般做法就
是马上把失效的 AP 更换。但由于大多数的 AP 都是布置在楼道里(并不
是在机房),所以不一定能马上作更换,现场的环境也有局限性,很多时
候维护人员较难即时做出更换动作(很多的 AP 都是安装在天花板上)。而
且,从故障发现,处理,找到新 AP,替换,整个过程需时漫长,尤其是
这对于一些紧急的应用是不能接受的。因此我们必须寻找另一种方法去
缩短故障处理周期。


                     于是,ARUBA 系统设计了故障自动恢复的功能,实时侦测出线上 AP
                     是否存在失效,当发现有 AP 出现故障时,ARUBA 无线交换机即能
                     在很短的时间内自动调节邻近的 AP 射频参数,一般是加大发射功率
                     (覆盖范围),共同接替原失效 AP 覆盖的区域。这个功能对于每一
                     刻钟都在繁忙运作的宾馆来说,是很有意义的,众所周知宾馆内部
                     建筑都非常高大和宽广,每更换一个 AP 都是一次具大工程,必然导
                     致网络长时间中断,对于宾馆不间断运作是不能接受的。有了 ARUBA
                     这个具备高冗余特性的系统后,只要很短时间内即可恢复故障,满
                     足宾馆的运作需要。



4.6.3   无线接入的负载均衡


宾馆的特点是乘客人流大,分布不均,尤其是会议室及咖啡
厅等一些公共场所,可能某个时刻某个位置特别多宾客利用
无线上网,这时他们可能同时连接上负责此区域无线覆盖的
一个 AP,争用共享带宽,人均带宽变小。而这时邻近此位置
的乘客可能非常少,负责该区域的 AP 负载较轻,显得有点浪
费。整体来看,就是网络资源没有被得到充分和合理的利用。
因此,ARUBA 提出了无线网络负载均衡的特性,让系统根据
负载情况自动分配无线网络资源。在一个 AP 的覆盖范围内,
无线连接的带宽是共享,即无线终端数目越多,每个终端所
能分享的带宽就越小。要确保每个无线终端的传输就必须能
限制一个 AP 上无线终端的数量或 AP 带宽传输总和或和每个无线终端带宽上限。在 ARUBA 的无线架构里,通
过集中式管理,逻辑上相当于一个大的 AP,即无线交换机,在无线交换机里有全部分布 AP 的列表和负载状况,
于是,无线交换机会根据负载情况,例如指示一些连接用户数量较多的 AP 把其覆盖范围内的无线用户或终端
分散连接到邻近的 AP 上,从而分担 AP 的负担,亦减少争用带宽的机率。
                                    从而使网络资源得到充份的利用。ARUBA
无线系统还可以透过应用层面即 4-7 层交换模块来实现服务器的负载均衡,VPN 设备,防火墙设备等等一系
列基于 TCP/IP 协议设备的负载均衡来保证整体网络的可靠性。负载均衡功能特性在语音和视频应用里也是很有
意义的。




                                             第 33 页 共 37 页
xx 酒店无线网络接入系统技术建议书


4.6.4   VoWLAN 无线语音通信系统


                          基于 SIP 的 Wi-Fi 电话将迅速变为企业内部员工之间话音联络的主流。
随着 VoIP 的越来越普及(如 Skype,…等),
Wi-Fi 电话可在包括校园、酒店,医院、宾馆等地方使用,这是一般办公室无线电话(传统的电话交换机)不能做
到的。简单地说,用户可在有宽带接入的地方继续使用办公室的电话号码,不管是国内或国外。对于一些经常
出差的用户 VoWiFi 会带来极大的方便,亦可节省长途电话费。很多手机厂家已开始推出双模制式的手机
(GSM/CDMA + Wi-Fi),用户很快就可以漫游于手机移动网和无线局域网之间。


ARUBA 的无线交换技术已经证明很多业界 VoIP 系统在 ARUBA 系统上成功的运行,且在最近的 Network World
VoWLAN 测试结果被评选为市场上最卓越的产品。在具体实现 Wi-Fi 语音时要注意考虑语音的时延, AP 呼叫的
容量,和漫游切换时间。 尤其语音的漫游,它会比一般的数据移动传输更普及,但相对的要求也较严紧,所以
要在无线局域网实现语音和数据融合,就不能随意的安装一些 AP,而必须是有规范的组建无线局域网。


ARUBA 无线系统可容许用户设置专有的语音 SSID,把单纯是数据传输的用户和 Wi-Fi 手机用户分开,但也可以
在单一 SSID 内同时传送数据和话音,关键的重点就是怎样保证语音传输的质量。 ARUBA 无线交换机内的用户
防火墙可把 SIP/RTP 等 VoIP 协议数据包放在较高的优先队列,所以就可确保在数据和语音同时传送时,语音的
质量不受影响。另在语音安全接入方面,ARUBA 可防止没有无线语音权限的用户使用无线语音,以确保网络资
源能有效运用。


ARUBA 的 WLAN 解决方案具有良好的语音支持性能,利用 ARUBA 的 WLAN 解决方案可以使宾馆原有集团电话
与无线 IP 网络完美结合,使用 WiFi 手机便可实现手机之间、手机与座机分机之间的互通,并可拨打落地电
话,使宾馆的办公效率大大提高。


ARUBA 无线局域网支持全网 AP 间的漫游,具有良好的语音表现。宾馆内部工作人员使用 WiFi 手机可以代替
对讲机,将大大提高宾馆内部通讯效率, WiFi 手机具有非常小的发射功率,使无线信号对各种仪器的干扰降
到最低。利用 ARUBA 的无线移动网络解决方案可以通过统一的 WiFi 网络同时支持语音和数据业务,支持多样
化的通信手段,同时可以简化网络管理,实现集中控制,使人员的移动、增加和变动都更加简单轻松、成本低
廉。由于采用开放、标准的协议和结构,该解决方案还可以实现各种应用的集成,更易于开创新服务。对于宾
馆来说,可以实现生产力的显著提升、节约成本。


宾馆可通过自己建立的无线网络系统,开发一些基于无线网络的增值应用,建立网络的 IP 语音通讯服务平台。
宾客或工作人员可通过手持无线语音设备。


4.6.5   无缝的跨越不同的 IP 子网漫游


在传统无线网络内,无线终端要跨越不同 AP 之间漫游是有一定的困难的,因为不同 AP 它的无线用户 IP 子网
可能都不是在同一个 VLAN 内。所以当无线终端从一个 AP 漫游到另一 AP 时,由于它们之间的缺省 IP 字网不同,
无线终端会重新发出 DHCP 请求,这样的话终端的 IP 地址就会更新,而所有在原先 AP 建立的连接都会被切断。
过去为了解决跨越三层的漫游,有些用户采用了 Mobile IP 的技术,但 Mobile IP 的缺点是它必须在无线终端安
装软件。这是一般企业 IT 管理不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。


通过 ARUBA 无线交换 Proxy   Mobile IP 功能,就可解决了跨越不同三层 IP 子网的无线漫游问题。 当无线终
                               连接从这 AP 端接的 ARUBA 无线交换机转发到它的 Home 无
端从一 AP 的 IP 字网漫游到另一 AP 的 IP 子网时,
线交换机。用户的 Home 交换机会告知用户漫游到的 ARUBA 交换机继续保持用户的原有的 IP 地址。所以仍然
无线用户已漫游到另一 IP 子网,但它仍可以使用原本的 IP 地址继续在新的 AP 上入网。Proxy Mobile 的优点是
                                                      第 34 页 共 37 页
xx 酒店无线网络接入系统技术建议书
它无需要求在用户终端安装任何软件就可让终端无缝的在不同 IP 子网之间漫游。


宾馆无线网络覆盖非常广泛,通常会包括每个客房、大堂、会议室、餐厅甚至包括远程移动用户,在如此广泛
的范围内,网络二层覆盖技术根本无法满足用户的实际需求,因此无线的应用常常会面临网络的三层漫游问题,
例如,某一个值班经理在从办公室到登记柜台的过程中,进行 WiFi 语音通话,这就是 WiFi 终端漫游的典型例
子,在这个漫游过程中,WiFi 终端跨不同的 IP 子网进行漫游时,如果无线方案不支持跨 IP 子网漫游的功能,
就会出现二次认证,从而造成正在进行的通话无法继续进行的问题。


ARUBA 的宾馆无线解决方案中充分考虑到了无线应用的跨 IP 子网漫游的技术问题,ARUBA 的解决方案可以实
现多子网以及多 VLAN 之间无缝地漫游,保证宾馆的 WiFi 应用的持续性,不会丢失连接。


ARUBA 的宾馆无线解决方案在提供跨 IP 子网漫游的同时还可以提供良好的移动性,用户可以在宾馆范围内跨
越不同的 AP 时 ,以及跨越不同的 WLAN 交换机,不同的子网以及 VLAN 之间无缝地漫游,同时也不需要在
每个移动基站上安装移动性软件。 ARUBA 完善的 Qos 和业界最低的漫游切换时延保障语音和视频的应用。


4.7 无线网络的安全系统实现

在 Aruba 无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
1. 加密:Aruba 无线系统支持多种加密的方式,二层的加密支持静态 WEP、动态 WEP、TKIP、WPA、802.11i
  多种加密方式,三层的加密支持 IPSec VPN 加密,这样使得加密的方式更加灵活,可以根据实际需求进行
  选择。


2. 认证:Aruba 支持多种用户的认证方式,802.1x、基于 WEB 页面(captive portal,内置和外置都支持)
                                                                、
  VPN、基于 MAC、基于 SSID。建议 xx 酒店选择基于 WEB 页面的认证方式,同时选择内置在 Aruba 交换机
  内的帐户数据库。对于无线语音用户,用于语音终端的特点,可以选择基于 MAC 的认证方法。


              :每一类用户可以建立一个相关的 Role,每个 Role 有一个用户状态防火墙的设定和带
3. 用户的 Role(角色)
  宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。比如 xx 酒店可以建立 2 个 role,
  一个加载到酒店客人和参加会议的人员的帐户上,一个加载到语音应用的帐户上。进行访问控制和 QOS 的
  设定。


4. 用户状态防火墙:用户通过认证以后,会有一个基于这个用户的状态防火墙,可以根据每个用户设置他的
  访问控制策略。


5. 带宽的控制:可以对每个用户设定允许其使用的带宽,一方面可以限制其对网络资源的占有,另一方面,
  当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。


6. 无线接入点安全侦测和保护:采用 Aruba 无线系统的 RF 侦测功能和保护机制,可以实时监测无线网络覆
  盖区域内的所有 AP 接入情况,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。通过
  Aruba 的网络安全管理系统,网络安全管理人员可以及时发现是否有非法的 AP 接入,发现后可以开启自动
  保护机制,阻止无线终端通过非法 AP 联接到无线网络中。因此,能够有效地控制非法用户的接入。


7. 无线网络入侵侦测:今天已经有很多的无线入侵和攻击的工具可从网站下载,这些工具的普及对无线网络
  的安全构成很大的威胁。目前绝大部分的无线局域网都没有侦测无线入侵的功能,所以当受到像无线 DOS
  攻击时,就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。这些攻击在 HotSpot 会导致用户的无
  线连接断线,但网管中心仍然不知,用户则误以为是网络问题,间接影响无线网络系统的品质。
                                                     第 35 页 共 37 页
xx 酒店无线网络接入系统技术建议书


 Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实
 时检测异常的无线数据包,当 Aruba 无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做
 出自动保护响应。


8. 病毒的防护:无线终端病毒防护可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个
 层面来进行。准入检查可以检查终端操作系统的安全状态,诸如系统打补丁的情况、安装防病毒软件的情
 况、以及防病毒定义码升级的情况,并设置安全策略是否准予进入网络。在数据的检测上,Aruba 无线交换
 机上可以设定策略,对于某些无线用户沾染病毒的终端,Aruba 无线系统将其导向到第三方防病毒系统进行
 防病毒的检查,检查完成后,才允许接入。




                                         第 36 页 共 37 页
xx 酒店无线网络接入系统技术建议书

5.0     产品简介

5.1 XX 计费软件




5.2 Aruba 6000 Mobility Controller

Aruba 6000 Mobility Controller 作为 Aruba 公司旗舰
产品,它的模 块化设计使得 Aruba 6000 Mobility
Controller 成为市场上最具扩展能的无线交换机。 四
槽位模块化主机支持最高 8Gbps 的纯文本传输质量
(加密数据为 7.2Gbps),最多可支持 72 个 10/100M
Fast Ethernet 端口,同时连接 8000 个用户,允许 4
到 512 个受控接入点。热交换插槽支持多重链接选项
功能,包括一块 24 以太网端口+2 端口千兆以太网卡,以及双端口千兆以太网卡。适用于大型无线网络系统。


5.3 Aruba AP 61

                                  Aruba 60 型和 61 型是单无线电波接入设备即单射频多波段 (802.11
                                  a/b/g) 瘦 AP。 Aruba 61 型内置 90 度天线,此天线在不同频段的增
                                  益如下:
                                  2.4–2.5 GHz / 2.8dBi,5.150–5.350 GHz / 3.9dBi,5.6 GHz / 4 dBi。
                                  可以通过墙上插孔在用户空间中部署。Aruba 60 型则无内置天线可通
                                  过 SMA (RP–SMA)接口外接两个天线。两个型号俊可以通过符合标准
                                  的 PoE(以太网供电)来供电。


                                  Aruba 61 是为天花板下面的经济型应用设计的,是在服务 802.11 a、
                                  b 和 g 客户端组合的用户空间中密集部署的理想选择。 Aruba 61 还
                                  非常适合家庭、零售店和分支机构中的移动边缘部署。




                                                                             第 37 页 共 37 页

								
To top