杭州开元名都大酒店Trapeze无线网络解决方案.doc

杭州开元名都大酒店无线网络解决方案 第 1 页，共 12 页 杭州开元名都大酒店杭州开元名都大酒店 T Trapezerapeze 无线网络无线网络整体整体解决方案解决方案 2019 年年 1 月月 杭州开元名都大酒店无线网络解决方案 第 2 页，共 12 页 目 录 一一 无线网络建设需求无线网络建设需求.3 1.1 无线网络开拓新型服务.3 1.1.1 无线网卡上网服务.3 1.1.2 酒店大堂的 Internet 接入服务3 1.1.3 无线局域网语音应用.4 1.2 杭州开元名都大酒店需求.4 二二 杭州开元名都大酒店杭州开元名都大酒店无线网络通信系统的设计与实施方案无线网络通信系统的设计与实施方案.5 2.1 整体系统架构设计.5 2.1.1 设计原则5 2.1.2 拓扑结构.5 2.1.3 设备选型和配置.6 2.1.4 核心交换机连接.6 2.1.5 接入层 AP 部署7 2.1.6 用户接入策略.7 2.2 认证与加密方案.8 2.2.1 设备认证方式建议.8 2.2.2 数据传输加密.8 2.3 网络管理措施.9 2.3.1 性能管理.9 2.3.2 故障管理.9 2.4 无线信号监控.9 2.4.1 无线信号自动优化与调整.9 2.4.2 非法信号的侦测、告警.10 2.4.3 非法信号的主动反制.10 2.5 无线网络的可扩展性.11 三三 设备清单设备清单.11 四四 方案优势方案优势.12 杭州开元名都大酒店无线网络解决方案 第 3 页，共 12 页 一一 无线网络建设需求无线网络建设需求 对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移 到服务的竞争，各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服 务项目已非常成熟的今天，作为高档五星级酒店如何为客户提供新的服务成为酒店经 营者头疼的问题。近两年来，随着来自世界各地商务客人的增加，全球信息技术的发 展和无线网络的高速发展，以及 Internet 在国内的迅猛发展，为酒店经营者提供新的 信息服务成为一种趋势。这一方面提升了现代化酒店的服务与管理水平，同时，也为 酒店经营者带来了相应的利益。 Trapeze Networks 做为全球领先的无线网络公司，曾为迪拜七星帆船酒店、丹 麦 Hotel Propellen、瑞士 Lausanne Palace Hotel & Spa、威斯町等国际著名酒店集团 构建高速无线网络。Trapeze Networks 公司很高兴能为杭州开元名都大酒店设计 NonStop 技术的 Smart Mobile 智能无线网络。 1.1 无线网络开拓新型服务无线网络开拓新型服务 1.1.1 无线网卡上网服务无线网卡上网服务 无线网络的引入，使酒店开拓各种新的服务成为可能。譬如，在登记入住后，商 务客人只需简单地利用自己笔记本上的无线局域网卡或者从酒店租用一个无线局域网 卡安装在其笔记本上，在几分钟之内就可以实现以比电话连接速度快 100 倍的速率访 问 Internet。无线局域网系统的安装使客人可以非常方便和灵活地在酒店内移动办公， 无论是在会议室、餐厅，花园还是游泳池边。这样的无线高速访问能力，必将使安装 了无线局域网络的酒店成为商务住店客人的首选以及商务会议和展览的宠儿。 作为一项增值的服务，酒店可以在客人入住时，以天单位收取一定的上网费用， 直接向有无线局域网卡的用户提供无线上网接入服务，或者按每小时或每日不同价格 标准同时向没有无线局域网卡的客人提供无线局域网卡和网线上网双重服务。 1.1.2 酒店大堂的酒店大堂的 Internet 接入服务接入服务 商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些 地方进行一个小型的会谈，当客人需要处理电子邮件或是上网下载公司的资料时，得 杭州开元名都大酒店无线网络解决方案 第 4 页，共 12 页 到的回答往往是：您必须换一个靠近某个数据点的位置；您可以到商务中心去吗？或 是必须回到房间里用电话线或者网线才可以上网等等。 如果在酒店大堂内安装相应的无线访问点后，该访问点可覆盖需要提供无线上网 服务的区域。当客人需要上网服务时，可以利用自己的无线局域网卡或者到前台或咖 啡厅的服务员处租用时租或者是日租的无线网卡，这样客人就可以作为一个本地网络 的用户自由地使用高速上网服务了。 1.1.3 无线局域网语音应用无线局域网语音应用 目前大部分酒店的服务人员都是通过对讲机进行联系，非常的不方便，但是每一 个员工都配置一个手机，其使用成本太高，酒店是无法承受的。如果架设了无线局域 网，这样酒店的服务人员就可以使用 Wi-Fi 手机进行联络，网络范围内的 Wi-Fi 手机通 话完全不产生费用。这样可以极大提高酒店的业务管理的效率，降低酒店的运行费用， 同时无线手机也能实现酒店语音交换机所提供相应的使用在酒店中的功能和服务。 应用性 IP 电话可以看成一个智能网络终端，除了打电话之外它还可以实现与企业 现有数据网络上各种应用系统的集成，比如：通过电话发布企业内部信息、会议安排、 即时查找员工目录信息等，此外还可以结合行业特点实现特性化的行业应用，如在酒 店业实现订餐、订票等客房服务等。 1.2 杭州开元名都大酒店需求杭州开元名都大酒店需求 1.酒店服务员可以在餐厅使用 IPAD 为客人进行点菜等服务； 2.酒店的商务客人在餐厅使用笔记本无线接入互联网； 3.酒店客户访问无线数据网络业务时实现无缝漫游； 4.酒店对无线 AP 设备集中安全管理和 RF 监控； 5.无线网络支持多个 SSID； 6.支持以太网供电（PoE）； 杭州开元名都大酒店无线网络解决方案 第 5 页，共 12 页 二二 杭州开元名都大酒店无线网络通信系统的设计与实施方案杭州开元名都大酒店无线网络通信系统的设计与实施方案 2.1 整体系统架构设计整体系统架构设计 2.1.1 设计原则设计原则 结合酒店中心的网络和应用需求以及TRAPEZE解决方案的特点，无线网络通信系 统的设计原则可以分为以下几大点： 采用无线交换架构组建无线网络子系统； 利用现有的有线网络资源，架设“层叠”网络，保持已有的有线网络配置 和设置不更改； 用户子网和设备子网隔离，无线用户无法访问设备子网； AP 的 IP 网络设置从 DHCP 获取或者进行安装前静态配置，AP 的无线网 络设置由交换机集中推送； 2.1.2 拓扑结构拓扑结构 如下图所示，在整个无线网络系统当中，部署TRAPEZE的1台无线交换机MX-200 放置在数据中心，与核心交换机之间采用VLAN trunk进行连接；而楼层中的AP通过隧 道汇接回到无线交换机，途经楼层汇聚有线交换机和其它相关的有线网络设备。共部 署20个MP-71。 杭州开元名都大酒店无线网络解决方案 第 6 页，共 12 页 在这样的网络实现当中，AP 上用户的流量都将通过 AP 与无线交换机建立起的隧 道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会 被转发/丢弃。 2.1.3 设备选型和配置设备选型和配置 由于此次无线网络通信系统需要部署杭州开元名都大酒店，还需要考虑到备份中 心使用的备份策略，同时还需要为将来各大楼的无线部署做扩容准备，所以在设备选 型的时候需要着重考虑设备性能，冗余方案，扩展能力等因素。 2.1.4 核心交换机连接核心交换机连接 采用TRAPEZE MX-200交换机，放置在杭州开元名都大酒店的网络机房，每台 TRAPEZE MX-200无线交换机最大可以支持192个AP接入和管理，完全满足杭州开元名 都大酒店无线覆盖的需求，并留有一定的扩展余量。无线交换机和AP的连接可以穿透 三层，因此，方案的实现完全不影响原有网络的结构，并且可以实现全网的漫游。 实现后的杭州开元名都大酒店无线局域网系统，在杭州开元名都大酒店内的任何 一处，即便是在没有安装有线网络信息点的地方，也可以很方便地进行可视化的音视 频酒店中心和召开各种需要使用网络音视频的会议。在无线网络音视频会议酒店中心 系统的支持下，在杭州开元名都大酒店领导和行政办公人员以及与会的来宾等，就可 以利用其所携带的笔记本电脑或是配置有无线网络适配器的PC 机，在杭州开元名都大 酒店内的任何一个地方上网与世界的任何一地进行信息交流、酒店中心或媒体演示。 这样可以十分方便、快捷地创造一个多方位的可视化的远程多媒体酒店中心环境。 在TRAPEZE的解决方案当中，无线交换机的放置位置需要注意以下两点： TRAPEZE 的无线交换机与相连核心交换机/路由器之间端口协商的匹配 性：如果存在着匹配失误的情况，则整个网络的稳定性会受到影响，具 体表现为 AP 会进行自我的重新启动。 TRAPEZE 的无线交换机与核心设备之间相连的 VLAN 情况需要和网络的 规划一起进行，一般来说，TRAPEZE 无线交换机和网络核心设备之间会 建立 VLAN trunk 的标志，用于将用户划分到不同策略的 VLAN 当中去。 杭州开元名都大酒店无线网络解决方案 第 7 页，共 12 页 2.1.5 接入层接入层 AP 部署部署 TRAPEZE方案能够方便的实现跨三层部署，接入层的AP部署只是需要拿到属于自 己的IP网络设置和网络中已经部署的TRAPEZE交换机IP地址即可。这样的架构大大简 化了传统无线网络部署当中的复杂程度，减轻了AP设置与用户设备以及AP所连接的有 线网络配置相杂揉的状况。 2.1.6 用户接入策略用户接入策略 从杭州开元名都大酒店的用户分类与分布情况分析，用户主要分成以下几类： （1）酒店工作系统人员（如点餐、前台、服务人员系统）； （2）酒店客人； 使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术， 设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内 部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN，所以它 们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一 个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个 最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启 动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认 证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不 同加密情况时数据包的封装格式，所以在使用不同的加密程式时，如WEP,TKIP(WPA), 802.11i(WPA2)，它们是不可能在同一个SSID内同时存在的。 用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见 的做法是使用二个SSID，一个定义为OPEN/Static WEP供客户用，另一个SSID则为 TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让员工以 过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终 端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。 SSID可以覆盖全网，也可以只局限于杭州开元名都大酒店网内的某些范围。一般 的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部 门使用，所以无线覆盖范围通常只会局限在某些范围内。 所以针对杭州开元名都大酒店无线局域网多种用户的不同业务类型应该采取不同 杭州开元名都大酒店无线网络解决方案 第 8 页，共 12 页 的SSID进行管理和控制。杭州开元名都大酒店领导员工、杭州开元名都大酒店旅客用 户，可以采用专门的SSID，可以采用级别较高的认证和加密手段。 2.2 认证与加密方案认证与加密方案 2.2.1 设备认证方式建议设备认证方式建议 酒店中心将会存在两种类型的用户，一是网络移动设备，而是酒店中的接入用户。 对于运算和存储能力都相对比较弱的移动终端设备，目前业界普遍的做法是使用 静态WEP与基于MAC地址的认证方式来进行设备接入认证。TRAPEZE无线网络解决方 案支持内置和外置的MAC地址数据库用于网络的设备认证，同时内置的静态WEP算法 由于采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。 无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备，对于可 以借助网络进行其它业务操作的数据用户，也应该同样提供数据传输的能力，并且保 证两者互不干扰。TRAPEZE所架设的无线网络系统支持多SSID，能够利用一套物理网 络设备建立起几套虚拟的无线网络环境，并且每一套无线网络环境都具有其专门的认 证方法。在一般数据用户进行网络访问的时候，TRAPEZE可以提供包括开放系统在内 的五、六种认证方案，包括：WEB页面认证，802.1X认证，基于SSID的认证等。用户 在接入网络之前，透过无线网络子系统把相关身份信息发送到后台的认证数据库当中， 只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。 2.2.2 数据传输加密数据传输加密 TRAPEZE架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性 要求的场所。在酒店中心的通信系统，正是这样的一个典型例子。控制中心和终端之 间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感 信息，端到端的通信受到先进加密算法的保护。TRAPEZE架构中可以直接对二层的无 线网络数据采用AES算法进行加密。 杭州开元名都大酒店无线网络解决方案 第 9 页，共 12 页 2.3 网络管理措施网络管理措施 2.3.1 性能管理性能管理 QoS保证/负载均衡：如果一旦发生多个终端竞争一个AP的时候，基于用户的负载 均衡功能将被启用，从而根据现场的负载情况进行均衡操作。 2.3.2 故障管理故障管理 AP的双备份：TRAPEZE的设备支持冗余部署，如果是集中控制的无线交换机失效， 注册到该控制器上的AP会重新注册到网络中另外一台TRAPEZE无线交换机上，保证网 络的连续可用性。如果是AP到主交换机的连接出现问题，AP也可以向从交换机发起连 接申请，建立集中式的无线网络，以此来确保网络的运行。 自愈功能：TRAPEZE的系统中AP具有自愈的功能，当一个AP失效的时候，附近的 AP可以感知到，通过加大发生功率来覆盖失效AP原来所覆盖的区域，达到自动治愈网 络覆盖空洞的目的，也提高了网络的可用性。 2.4 无线信号监控无线信号监控 2.4.1 无线信号自动优化与调整无线信号自动优化与调整 传统“FAT AP”组建的无线网络，在建设初期，需要对无线频谱及 channel 和发射 功率进行规划，以降低同频干扰，但是无线信号受到用户数、天气、湿度等环境影响 因素较大，一旦外界因素发生变化后，如果 AP 仍使用原始参数进行运行，必然导致 信号强度降低、覆盖区域缩小等情况，导致网络运行不稳定。 采用 Trapeze Mobility System 解决方案，支持 RF Auto-Tune 技术。MP-71 AP 可以监听、扫描所在空域中的信号强度和使用量，并将数据传送至位于核心的 Trapeze MX-200 无线交换机上，MX-200 根据各 AP 报告的测量数据进行一个全局的 调配，例如，当某一区域多数 AP 报告信号不足时，MX-200 可以动态改变该区域内相 关 AP 的发射功率；当 AP 报告该区域内有相同信道信号时，则可以动态调整相关 AP，以避开信道的重叠。 Trapeze Mobility System 的 RF Auto-Tune 技术以可动态地调整流量负载、功率、 射频覆盖区域和信道分配，以使覆盖范围和容量最大化。 杭州开元名都大酒店无线网络解决方案 第 10 页，共 12 页 2.4.2 非法信号的侦测、告警非法信号的侦测、告警 感知无线电可提供监测 WLAN 所工作的射频环境的功能，能对非法接入点与无线 入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态， 对提供高水平的网络性能与安全非常必要。 Trapeze MP-71 型 AP 通过上述两种方式，采取按需的按需的或预设定的预设定的射频扫描来监听 周边环境的信号源的 MAC 地址, Channel,类型及 SSID 等，自动识别并警告未授权的 AP 或 Ad-Hoc 网络，以避免潜在的干扰或与无线入侵者。另外，对于某些重点区域， 还可以部署专用 AP 不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。 2.4.3 非法信号的主动反制非法信号的主动反制 当系统发现非法信号后，可以根据管理策略，手动或自动将非法 AP 加入系统的 Attack list 中，当发现有无线客户端尝试链接该非法 AP 时，系统可以主动向该无线客 户端发出 IEEE802.11 disassociation 信号，强制将该终端与非法 AP 断开，从而让终端 始终连接上合法的无线网络上，保证了用户的数据安全。 杭州开元名都大酒店无线网络解决方案 第 11 页，共 12 页 2.5 无线网络的可扩展性无线网络的可扩展性 采用基于 Trapeze Mobility System 系统架构下的无线网络解决方案，不仅提供了 完善的基于用户的控制策略、安全认证和数据安全加密机制，还保持着良好的网络可 扩展性。Trapeze Mobility System 采用了 THIN AP无线交换机架构，AP 与无线交换 机之间通过 TUNNEL 进行通讯，无需改变现有网络拓扑结构，也无需考虑协议兼容性， 实现了拓扑无关的组网，使得整个无线网络有着更强的伸缩性，为今后网络的升级和 扩容提供良好的可扩展性。 三三 设备清单设备清单 根据用户