大型五星级宾馆酒店无线网络解决方案

大型五星级宾馆酒店无线网络解决方案内容摘要：

于静态的 策略 ,因此无法实现基于用户的策略控制。 本方案提供的 Trapeze系列无线系统， MP372/422最多支持 64个 SSID，并且可以根据用户属性，动态的分配用户认证方式、加密方法、 QoS及所属 VLAN，实现了基于用户的动态业务策略。 基于用户的动态业务策略能够实现全网范围的漫游，而不用考虑所在地点的 AP是否支持这些策略，从而让无线网业务系统功能更多、更为灵活。 . 用户接入策略 从酒店的用户分类与分布情况分析，用户主要分成以下几类： （ 1）酒店领导与工作人员； （ 2）旅客； 使用网络是被分为不同的业务类型，因此， 在设计上采用无线局域网多 SSID技术，设置多业务区分方式。 在一个无线局域网内可以设置多个 SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。 由于用户一般把 SSID看成 VLAN，所以它们都会惯性地以 VLAN概念来划分 SSID。 其实在一个 AP范围内，不管用户连接到那一个 SSID它们实际上都是在同一个 ，因为无线电波的传输是共享。 一个最简单的例子就是 AP把不同的 SSID名字广播，所以当无线终端在这个 AP覆盖范围内启动时，它就能同时看到多个 SSID。 SSID的最主要用途是可让无 线终端以不同的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的 SSID呢 ? 义了不同加密情况时数据包的封装格式，所以在使用不同的加密程式时，如WEP,TKIP(WPA),(WPA2)，它们是不可能在同一个 SSID内同时存在的。 用户可根据实际的情况和。 最常见的做法是使用二个 SSID，一个定义为 OPEN/Static WEP供客户用，另一个 SSID则为 TKIP(WPA)专为内部员工使用。 未来的发展趋势是新增设 一个 SSID让员工以过度的方式逐渐从转移到这个 SSID上。 不能一步转到 于很多的无线终端现在尚未支持 ，而是不可能把所有的终端一次更换成最新的软件程序。 SSID可以覆盖全网，也可以只局限于假酒店网内的某些范围。 一般的情况下是全网开通，例如客人 (Guest)使用的 SSID；但有些 SSID则可能只供某些部门使用，所以无线覆盖范围通常只会局限在某些范围内。 所以针对酒店无线局域网多种用户的不同业务类型应该采取不同的 SSID进行管理和控制。 酒店领导员工、酒店旅客用户 ，可以采用专门的 SSID，可以采用级别较高的认证和加密手段。 . 接入用户的带宽保证 传统上，由于受到客户端无线网卡底层驱动算法机制的限制，用户总是会连上信号最强的 AP，而并没有考虑到该 AP 是否能够提供最佳的服务。 Trapeze MX200 无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求，动态的将用户强制连接到其他可用 AP 上，将用户流量分配到其他可用AP，从而保证了整个无线网络的高效能和高可用度。 例如在一个用户较多的会议室，正常情况下大约有 15 人左右，采用一个 AP即可满足需求，但当用户数突然增加后 ，导致该 AP 无法连接数过多，而此时，位于会议室外的 AP 由于相对与会议室来说，信号虽然比较弱，但仍然是可以满足一定的网络用量，此时无线交换机则强制后来的一部分用户连接信号较弱的AP，从而实现了负载均衡，保障了网络的畅通。 . 用户漫游及 QoS 保障 由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式，来实现大面积覆盖，当终端在移动一点到另外一点的移动过程中，不可避免的需要从一个AP 切换到另外一个 AP，在切换过程中，移动终端需要进行“取消关联”及“重关联”的操作，该过程一般需要 300－ 500ms 的时间，此外，在有 后台认证系统存在的情况下，用户还需要进行重认证、 session key 重分发及重新分配 IP 地址的过程，这种方式无法满足一些对时延非常敏感的业务诸如 VOD 点播、 VoWLAN等的支持，因为传统无线网络的漫游只停留在 协议层上，并没有对用户会话进行完整性保持。 而在本方案中，我们采用 Trapeze Mobility System 方案，该方案也 以 无线交换机为核心，对所有 AP 上接入的用户 采用统一会话管理 ，所有已认证终端均在中心无线交换机中保存相应会话， AP 仅仅只负载传输用户数据，因此无论终端移动到哪 个 AP 下，用户信息和授权都在无线交换机所管辖的移动域内快速的交互，可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。 另外，Trapeze Mobility System 还 率先支持 WMM(Wireless MediaMedia)无线多媒体协议，能够将语音、视频数据包以更高的优先级进行传送，提供了对无线 QoS的保障。 . 网络管理措施 . AP 的集中管理与自动配置 在传统无线网络建设中，有一个始终令网管人员感到头痛的问题，那就是对AP的管理、监控以及 AP自身固件的升级。 由于传统 AP是一种称作为“ FAT AP”，即自身需要有相应控制软件以及独立的配置才能运行，而由于 AP是一种接入层设备，数量较多，且由于企业网络的复杂性以及业务的多样性，导致需要根据各“热点”区域进行相应配置，并且还需要网管员对这些特殊配置进行记录，以方便日后维护；此外，在日常运行中，还需要了解这些数量众多 AP的工作状态及性能等数据，而一般 AP管理工具功能太过简单，如果采用有线网络网管软件，由于没有很好的对无线网络做相应的开发与支持，从而不能很好的管理无线网络。 而采用 Trapeze Mobility System架构下的无线网络， AP是一种被称作“ THIN AP”的结构，由于 AP本身没有任何需要配置的参数，同时 AP与中心无线交换机之间采用 CAPWAP协议进行通信， AP的固件、配置信息均由中心的无线交换机 MX200提供，并且 AP与 Trapeze无线交换之间采用“心跳”机制定时保持通讯，为了解决传统“ FAT AP”能够集中管理、配置、升级 AP； AP与 Trapeze无线交换机之间采用“心跳”机制，定时保持通讯，中心网管系统能够非常及时的了解 AP的工作状态，并将工作状态直接反映给 Trapeze RingMaster网管系统， RingMaster工作状态，并 记入日志，以被日后查验。 . 基于策略的用户访问控制 Trapeze Mobility System 不仅支持丰富的安全认证及加密方法以外，还提供基于用户身份的服务，以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。 还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。 . 性能 管理 QoS保证 /负载均衡：如果一旦发生多个 终端竞争一个 AP的时候，基于流量和基于用户 /终端数目两种负载均衡功能都将被启用，从而根据现场的负载情况进行均衡操作。 . 故障管理 AP的双备份： TRAPEZE的设备支持冗余部署，如果是集中控制的无线交换机失效，注册到该控制器上的 AP会重新注册到网络中另外一台 TRAPEZE无线交换机上，保证网络的连续可用性。 如果是 AP到主交换机的连接出现问题， AP也可以向从交换机发起连接申请，建立集中式的无线网络，以此来确保网络的运行。 自愈功能： TRAPEZE的系统中 AP具有自愈的功能，当一个 AP失效的时候，附近的 AP可以感 知到，通过加大发生功率来覆盖失效 AP原来所覆盖的区域，达到自动治愈网络覆盖空洞的目的，也提高了网络的可用性。 . 无线信号监控 . 无 线信号自动优化与调整 传统“ FAT AP”组建的无线网络，在建设初期，需要对无线频谱及 channel和发射功率进行规划，以降低同频干扰，但是无线信号受到用户数、天气、湿度等环境影响因素较大，一旦外界因素发生变化后，如果 AP 仍使用原始参数进行运行，必然导致信号强度降低、覆盖区域缩小等情况，导致网络运行不稳定。 采用 Trapeze Mobility System 解决方案，支持 RF AutoTune 技术。 MP372/422 AP 可以监听、扫描所在空域中的信号强度和使用量，并将数据传送至位于核心的 Trapeze MX200R 无线交换机上， MX200R 根据各 AP 报告的测量数据进行一个全局的调配，例如，当某一区域多数 AP 报告信号不足时， MX200R可以动态改变该区域内相关 AP 的发射功率；当 AP 报告该区域内有相同信道信号时，则可以动态调整相关 AP，以避开信道的重叠。 Trapeze Mobility System 的 RF AutoTune技术以可动态地调整流量负载、功率、射频覆盖区域和信 道分配，以使覆盖范围和容量最大化。 . 非法信号的侦测、告警 感知无线电可提供监测 WLAN 所工作的射频环境的功能，能对非法接入点与无线入侵者进行探测并定位 .动态了解无线局域网 (WLAN)所工作的射频 (RF)环境的状态，对提供高水平的网络性能与安全非常必要。 采用 Trapeze MP372/422 企业级 AP 组合，能够支持两种模式来对非法电磁信号进行监测：一种方式为 MP372/422 AP 在做 Data AP 的同时，每隔一段时间主动进行 ActiveScan；另一种方式可以将 MP372/422 设为监听模式，（称之 为SentryScan）与前一种方式不同的是，此种方式为 连续监控。 Trapeze MP372/422 型 AP 通过上述两种方式，采取 按需的 或 预设定的 射频扫描来监听周边环境的信号源的 MAC 地址 , Channel,类型及 SSID 等，自动 识别并 警告未授权的 AP 或 AdHoc 网络，以 避免潜在的干扰 或 与无线入侵者。 另外，对于某些重点区域，还可以部署专用 AP 不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。 . 非法信号的主动反制 当系统发现非法信号后，可以根据管理策略，手动或自动将非法 AP 加入系统的 Attack list 中，当发现有无线客户端尝试链接该非法 AP 时，系统可以主动向该无线客户端发出 disassociation 信号，强制将该终端与非法AP 断开，从而让终端始终连接上合法的无线网络上，保证了用户的数据安全。 . 无线网络的可扩展性 采用基于 Trapeze Mobility System 系统架构下的无线网络解决方案，不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制，还保持着良好的网络可扩展性。 Trapeze Mobility System 采用了 THIN AP＋无线交换机 架构， AP 与无线交换机之间通过 TUNNEL 进行通讯，无需改变现有网络拓扑结构，也无需考虑协议兼容性，实现了拓扑无关的组网，使得整个无线网络有着更强的伸缩性，为今后网络的升级和扩容提供良好的可扩展性。 . 网络计费系统 酒店行业目前通常采用的是 WEB 网关式认证计费系统。 通过此系统，用户登陆访问酒店外网络时，会由网关进行认证，同时进行网络计费。 在部署无线网络之后，根据酒店要求，可以继续采用酒店原有的认证系统，同时对酒店内的有线网和无线网进行认证计费。 具体到无线网络的认证计费要求是： 1． 当无线用户想要利用酒店内的无 线网络时，首先连接到附近的酒店无线网的接入点（ AP）上。 2． 无线接入点（ AP）发现有用户要求进行无线连接时，会要求用户进行帐号认证。 3． 用户端的操作系统在收到 AP 的信号后，会要求用户输入系统的帐号和密码。 4． 用户输入完后，会将加密后的用户名密码发送给无线 AP。 5． 无线 AP 在收到加密后的用户帐号、密码后，会将其发送给认证系统进行确认。 6． 认证系统在确认 AP 发来的帐号、密码后，会发送指令给 AP。 命令 AP 接受或拒绝用户的无线连接请求。 7． 如果认证系统命令 AP 接受用户连接，则 AP 打开无线信道，允许用户接入，同时认证系统开始对用 户进行网络计费。 本次筹建酒店无线网络系统，可以在认证方面与原有的有线网络认证体系完全融合，对认证用户完全透明，不增加用户的认证次数和复杂性，同时还可以保证无线用户入网即认证的目的，便于控制无线用户的安全访问和与有线网络的认证账号统一性。 因此，在酒店的无线网络构架中设计中， Trapeze 网络提供的无线接入点产品将与目前酒店的 宽带计费 认证 管理网关 的供应商进行联合开发以满足客户的需求。 具体实现方式是采用无线接入点已经良好支持的 EAPPEAP 作为认证加密协议，保证用户认证传输过程中的安全和身份的核查。 认证用户 采用与有线网络一致的用户名和密码，无线接入点作为 EAPPEAP 的认证体， 宽带计费管理网关作为后台 Radius。 具体工作原理如下： 建成后的酒店无线网络将获得与有线网络一致的认证方式 ，同时兼顾了无线网络的连接过程的安全，为此而进行的开发合作与调整是基于国际标准认证协议进行的，可保证开发投入的风险降低，开发时间大大缩短。 . SmartPass Smartpass 功能模块使非 IT 人员可以完成配置临时用户帐户访客进入企业网络的申请，网络管理员通过一些简单培训使其它网络管理员或非 IT 人员也可以作为员工管理员。 访 客首先连接到 Guest SSID 后。