XXX酒店技术建议书(0620)

1、xxx酒店技术建议书xxxx酒店无线覆盖技术建议书杭州华三通信技术有限公司目 录一、概述4二、客户需求5三、网络建设方案63.1无线网络基础方案63.1.1方案逻辑组网图63.1.2认证点选择：83.2无线网络安全83.2.1用户安全：83.2.2系统安全：93.2.3 ead解决方案93.2.4 非法ap检测93.3无线网络qos：103.3.1漫游切换支持：103.3.2多媒体业务的qos支持：103.4无线网络管理：133.4.1安全认证管理规划：133.4.2集中网络管理：133.4.3故障管理：133.4.4性能管理：143.5 ip v6143.6智能负载均衡153.7供电问题：1

2、63.8.1 覆盖效果理论计163.9 ap信道自动调节功能163.10 ap发射功率自动调节功能17四、产品配置方案17无线局域网覆盖技术建议书一、概述无线局域网（wlan）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用wlan网络实现数据传输具有以下显著特点： 简易性：wlan网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得wlan设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面wlan网络减少了布线的费用，另一方

3、面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于wlan技术本身就是面向数据通信领域的ip传输技术，因此可直接通过百兆自适应网口和企业内部intranet相连，从体系结构上节省了协议转换器等相关设备； 扩展能力强：wlan网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着wlan技术的快速发展和不断成熟，目前在国内外已经具有较多的政府机构使用wlan技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。 酒店实际运营中大部分业务无法固定在同一个地点实施，如

4、服务员清理房间调度，服务员工作时会在各个楼层不同房间中移动，传统的方式通过各楼层值班人员人工呼叫或者对讲机呼叫，人工呼叫效率低下，而对讲机呼叫在楼层之间传输距离有限；每个房间一个有线接口，无法满足双人房，多人房的客户上网需求。构建酒店宾馆无线局域网，可以实现：、 提高客户满意度。商旅客户越来越多，无线网络可以很好满足同一房间随时随地多人上网的需求。、 提高工作效率，内部运营ip电话，wifi phone to wifi phone、wifi phone to ip phone，实现楼内业务调度语音化，整栋大楼里漫游切换实现；、 餐厅、茶座pda终端实现点餐电子化，减少手写笔误，同时提供工作效率

5、。、 大厅、茶座等公共场合提供给客户无线接入服务，访问internet；配合认证计费系统，还能为酒店创收。、 与铺设有线网络不同，在已经运营的酒店，架设无线网络，对酒店正常运营业务不产生影响。、 提高酒店整体形象与档次。无线网络接入已经越来越被住客欢迎，国际上流行的酒店网上预定系统（）已经将wi-fi接入做为一个住宿选项供游客参考选择.二、客户需求xxxx酒店无线局域网建设的总体目标是：利用无线网络技术进一步扩展网络的覆盖范围，提高网络的用户自适应性，在无线的覆盖范围内实现数据业务和语音业务的无线传输，并且可实现三层漫游，使无线局域网和有线网成为一个整体，提供安全的无线接入。由于本工程是在有线

6、网的基础上加以无线扩充（即采用ap将无线网络接入到有线网络），目前有线网已达到了相当的覆盖范围，可以为无线网络的建设提供支持。本工程具体的建设目标是： 采用基于业界标准的通信设备，遵循国际标准。 保证网络系统具有可操作性，易于维护、管理和扩充以及高可靠性， 要求设计单位，充分考虑酒店裙楼面积、墙体、门窗和其他固定物体的衰减造成的无线信号损耗，可安装多个ap组成微蜂窝网络来覆盖整个区域。 为了能够与整个酒店的客用网络和internet 通讯，可使用超5类双绞线把ap连接到酒店的客用网络交换机。 全面的无线网络支撑系统（包括无线网管、无线安全、无线qos等），以避免无线设备及软件之间的不兼容性或网

7、络管理的混乱而导致的问题； 保证网络访问的安全性，支持用户多种接入方式认证机制,包括：基于网页认证（web）、802.1x、mac等认证，支持外置的portal服务器和外置的aaa服务器系统，支持标准的ldap目录服务器（ldapv3）； 采用非独立型的无线网络结构选型； 安全、认证和管理要求为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（mac）过滤、服务区标识符(ssid)匹配、有线等效保密（wep）、二层隔离等；同时采用h3c的端点准入防御（ead）解决方案，对客户进行事前安全检测认证，事中实时监控，事后查询审计的功

8、能。确保接入网络用户的安全可靠性，并对接入用户进行动态权限下发，不同级别用户获取不同的网络访问权限，确保网络使用的规范性。对于“危险”客户端的即时隔离策略，提高整体网络安全系数。本局域网的用户认证支持802.1x安全认证方式，无线网系统的认证系统所支持的用户数不少于1000个。ap、访问控制系统及认证系统必须能对接通过，以完成相应的功能，便于用户使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的； 无线网网络结构要求：无线接入所需布设的ap通过接入设备接入到网中，在接入层提供相应的接口给ap使用； 工程布线和安装要求：i. 室内部分：定位于较为开阔位

9、置，将网线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。ii. 供电部分：ap的供电可采用poe方式由接入的网络设备进行供电。 产品能力要求要求：i. 具有无委会核准证；ii. 支持负载均衡；iii. 漫游切换；iv. 支撑qos能力v. 支持guest vlan的要求，以满足合作伙伴用户通过电力网络访问归属于公司的网络，以获取相关资料，以很好的支撑电力工作； 覆盖与用户数量要求：无线网络信号覆盖酒店裙楼，确保酒店大堂吧、餐

10、厅、宴会厅、行政酒廊（行政楼层）、ktv、桑拿休闲区、总统套房等营业设施具有无线网络信号，为客人提供internet服务。三、网络建设方案采用wlan技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足要求。3.1无线网络基础方案3.1.1方案逻辑组网图fit ap解决方案主要由fit ap和无线控制器两大部分组成，h3c完善的wlan产品线支持板卡式无线控制器，可用于s7500/s7500e/s9500系列交换机；也可提供单独的无线控制器wx3024,配合fit ap。本次工程采用无线网就近接入的原则，每台ap就近接入有线网络，此时要求相应于无线ap的有线地方都要提供一个

11、有线交换机的接入端口（rj45）供使用，从工程维护的角度出发，建议采用poe的方式进行给ap进行供电，具体的逻辑组网图如下图所示：图1 无线项目方案逻辑组网示意图1本方案可采用802.1x认证，wa2110-ag与wx3024通过隧道协议通信，无线用户的认证点都是放置于wx3024设备上，后台的认证服务器作为用户鉴权点。wx3024具有以下特点： 多核多线程处理芯片，业务、性能兼顾多内核，有线、无线系统完全独立各有专攻，并行工作两不误，具备有线转发性能高，无线控制业务丰富的特点。 一体化硬件，业界首款全千兆有线无线一体化交换机1） 集无线控制、有线交换和poe+供电于一体，统一的电源、温度、关

12、键器件管理，故障点降低，节省投资；2） 24个千兆有线交换口、2个万兆上行口，解决网络核心的传输瓶颈；3） 业界首款支持poe+（单端口25w）供电产品，节省了布置电力系统的成本，避免了用户拓展网络的二次投资。可以直连电脑，甚至ip phone等终端，可以为11n设备、rfid reader、 视频ip电话、ip摄像机、wimax基站等大功率终端供电。 一体化管理，方便管理，易于维护内置web网管、本地radius server、portal server和dhcp server，有线无线业务统一监控，简化管理复杂度，节省部署和管理网络的人力投入。 一体化安全，有线无线网络安全策略统一，减少安

13、全隐患有线无线共用一套端点准入解方案，有线无线统一帐号管理，实现有线无线用户统一认证、授权。3.1.2认证点选择：针对无线用户，wx3024无线交换机作为802.1x终结点，认服务器作为最后的鉴权点，当用户在ap内进行切换时，此时的主要工作由无线交换机进行统一调度，当用户在相同或者不同的wx3024系列交换机下不同的端口下的不同ap的覆盖范围时，此时用户不会再次触发认证，此时的认证方式可以采用本地认证，也可以采用cams认证，如果采用本地认证时，用户要在所有的wx3024系列交换机上进行配置，随着用户量不断的增加配置的工作量较大，同时也不便于作网络将来的扩展，同时也没有办法实现有线无线统一帐号

14、的管理，如果采用：后台服务器认证，优点：配置工作量小，二种方式都不影响无线用户的业务使用质量与无线用户在不同ap之间的漫游切换速度，从管理的角度，建议：用户采用cams集中管理机制。此外，认证服务器系统可以实现有线无线共用帐号，并且享受不同的服务，通过系统的设置实现同一个帐号通过有线接入与无线接入享受不同的网络权限；3.2无线网络安全网络安全问题是在建网时必须要考虑的问题，安全方式主要侧重几个方面：用户安全、系统安全，而在网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：mac地址）及用户的帐号、密码，而对于企业用户来讲，帐号信息都是一个实名原则，与员工的利益进行关联的，

15、这样本无线网络中着重考虑使用无线网络的空口信息的安全机制。3.2.1用户安全：数据安全部分主要包括以下方面的内容：i. mac地址过滤：目前支持基于mac地址的过滤，限制具有某种类型的mac地址特征的终端才能进入网络中；ii. ssid管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带ssid，如果没有ssid标识则不能进入网络；iii. wep加密：wep加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；iv. 支持aes加密，aes安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的

16、，同时密钥的管理也定期更新，具体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；v. 华三的无线方案中的密钥设置可能根据ssid信息与用户信息进行组合，即不同的ssid下不同的用户的密钥生成可以不一样，这样可以做不到不同的用户不同的管理方式，同时具备不同的权限；3.2.2系统安全：i. 无线终端的异常流量检测及报警：无线网管提供全面的系统级统计数据：可提供包括错误和流量的以太网统计数据，其中包括包的大小、无线统计数据以及用户会话统计数据，它们保存为用户在多个ap上的漫游记录，并且都具

17、有易查看的表格和图表，以便快速识别数据走向。基于所有ap上来的无线终端的数据都要通过ap与无线交换机之间的二层隧道进行通信，因此所有无线终端的流量均可通过无线网管进行统计，并且通过实时的统计报表呈现出所有用户访问网络流量，并通过设定流量阈值，一旦某无线终端流量超过阈值即实现异常流量的报警功能。ii. 用户访问控制：提供基于身份的组网：提供基于用户身份的所有服务，以使用户在漫游时具有诸如虚拟专用组（virtual private group）成员资格，并实现不同权限的划分；在实际应用中可通过给不同部门分配不同的用户名访问无线网络，并给予不同部门不同的访问权限。并可通过将用户名和mac地址进行绑定

18、，防止外来非法人员通过无线网络来访问网络。3.2.3 ead解决方案端点准入防御（ead，endpoint admission defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。h3c wx3024系列无线控制器支持无线用户的ead接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提

19、醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。3.2.4 非法ap检测非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备,对无线网络造成潜在威胁.通过启用非法ap检测,可有效阻止非法ap工作,提高无线网络整体安全性.无线控制器可以指定ap工作在两种工作模式：模式一、ap负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、ap在为用户转发数据的同时定期切换到其他信道监听信息.ap设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器.无线控制器根据ap上报的设备信息识别非法设备，排除合法设备无线

20、控制器可以控制ap 将非法设备列入黑名单或者对其发起攻击.图2 非法ap检测示意图3.3无线网络qos：3.3.1漫游切换支持：无线终端在无线网络中移动时，必然要进行不同ap之间、所属不同有线交换机之间的漫游切换。首先无线终端会通过无线局域网服务器的cams软件进行第一次的安全接入认证，无线交换机会介入该认证过程，并获得pmk（pairwise master key）。无线终端根据pmk生成多个通讯用密钥，开始进行加密会话。当无线终端发现需要进行切换时，会进行如下操作：1) 与无线交换机进行连接的预建立；2) 无线交换机与需要建立连接的ap交换通讯用pmk密钥，并将pmk密钥传给无线终端；3)

21、 无线终端发布更新消息，更新无线交换机转发表；4) 原有的数据流转换到新的ap上来；5) 切断原有的数据连接。整个l2、l3漫游过程在50ms内全部完成，并兼容ieee 802.11i、ieee802.11f和ieee802.11e标准，可良好支持语音、视频等多媒体业务的需求。考虑到具有语音与视频的潜在需求，可以通过设置专门的ssid作为语音/视频业务使用，通过划分vlan方式实现语音终端仅仅与语音网关进行通信，保证语音业务与数据业务隔离开来。3.3.2多媒体业务的qos支持：在供电大楼无线系统中，wlan部分非常重要的就是qos。而对于涉及到语音、视频业务的无线系统系统，通信质量尤为重要，是

22、事关系统质量的关键指标。qos的总体思想就是保证实时语音、视频等业务在最高的优先级。华三的wlan系统在所有的层次保证了用户数据的最高质量的优先级调度。图3 wlan系统的qos 如图所示，在无线控制器和ap之间是通过隧道通信，不同的无线控制器之间也是通过隧道通信，业务的qos保证是在三个层次内完成的，有ap的qos保证，无线控制器的qos保证和l3的qos保证。应用层数据与wlan优先级的映射：基于diffserv的qos映射： ap进行wmm与cos/tos之间映射 ap与无线控制器之间基于隧道的到tos、dscp的qos映射： 无线控制器之间基于隧道的tos、dscp到cos的qos映射

23、： l3交换机/无线控制器之间进行cos与tos、dscp之间的映射：业务类型wmmlayer 2 cos（802.11p/q)layer 3 ipprecedence（tos）layer 3dscpbackground0000330x6024best effort110x208220x4016video440x8032550xa040voice660xc048770xe056基于diffserv的队列调度 ap在输出接口支持多个队列，按优先级调度 语音流和会议电视放入严格优先级队列pq中，流媒体和关键数据业务放入cbwfq。华三的wlan ap设备可以支持二层优先级（802.1p/q)，三层

24、优先级数据（tos）到wlan mac层优先级的映射，并且可以数据的类型，将不同类型的报文使用不同的优先级传输。具体的qos配置参数如下：在ap的qos范畴内，不仅仅继承了ieee802.11 mac里面所规定的csma/ca(载波侦听多路访问/冲突避免)的dcf（分布式协调功能）机制，华三 wa2110更加实现wmm所规定的edcf（增强型分布式协调功能）。也就是将业务分为不同的4个队列backgournd，best effort，video和voice，就可以把不同的业务类型放入不同的队列中，根据国电大楼无线网络的特殊应用，我们设定ap的qos配置如下表业务类型ap级别的qos配置实时视音

25、频流67实时视频流（上行监控）45实时信息流12数据流0、3在l2优先级配置的范畴里面，根据业务应用的特点将不同的业务放入了不同的优先级队列，如下表所示业务类型l2优先级队列实时视音频流67实时视频流（上行监控）45实时信息流12数据流0、3在l3范畴也为国电大楼度身定制了一套qos机制，如下表所示业务类型l3优先级配置实时视音频流48、56实时视频流（上行监控）32、40实时信息流0、24数据流8、163.4无线网络管理：3.4.1安全认证管理规划：由于安全性是未来网络不可或缺的一环，而使用者认证可说是各种安全政策的最基本功能，唯有确认使用者身分，才能谈到进一步的授权问题。华三无线管理系统可

26、以进行本地数据库的802.1x认证，亦可支持外接的认证服务器，例如在网络认证上通用的radius服务器，由radius并依其认证结果分别授与使用者不同的权限，并有使用者群组功能，让管理者依策略需要订成不同的群组，以群组为单位设定其权限，然后把个别使用者归类到不同的群组中；如此一来不必每个使用者去设定不同权限，只要将组织所需要的权限做成数个群组，然后依使用者需求将其归类，且若使用者权限有所变动，只要将其归类到不同群组即可，简化管理工作。3.4.2集中网络管理：无线网络建成后，管理者可在中心端集中管理所有ap及无线控制器，订定统一的安全管理策略并落实之，在线监控所有无线网络活动和性能，并定期产生报

27、表。华三 wa2110在设计上即负担两种任务：提供正常无线网络使用者接入网络的服务及侦测其射频范围内是否有其它私接无线网络设备；一旦发现私接无线网络设备，即通知网管软件，由管理人员决定要认可此设备为新的合法设备或者做干扰动作。本项功能为本套全方位解决方案特色之一，不需要额外提供其它软硬件。3.4.3故障管理：imc无线网管平台故障管理主要包括对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，查询和配置设备的告警信息。 支持告警相关性分析，可从众多的告警中找出告警的根源，支持多设备间的相关性分析。 用户可以自己定制告警相关性规则，并根据这些规则对所收到的告警进行相应的

28、处理，包括屏蔽等。网络建设初期屏蔽某些告警可以减少告警风暴，让用户能专心关注告警的根源。 通过告警板对网络中的告警提供了实时监控功能。 告警实时显示窗口实时显示新上报的告警、事件，也支持告警过滤，使用户可以实时的了解设备的运行状况。 支持告警远程通知。告警远程通知提供对不在现场的用户进行通知的手段。支持告警送告警箱、告警转转e_mail等。 支持告警拓扑定位。用户选中一条告警，通过该功能可以将显示的焦点定位到产生该告警的拓扑对象。 提供告警查询，为用户深入分析告警的原因提供了便利的手段，详细告警查询给出了告警的根源和故障排除的处理方法。告警查询包括当前告警查询和历史告警查询，用户可以自己设置告

29、警查询条件进行查询，查询的结果可以保存成txt、html文件，并输出打印。 能按照用户所设置的统计条件对告警信息进行统计。 提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参考。用户选中一条告警记录，系统根据用户选中的告警记录，从告警知识库中查询出该条告警记录的维护经验，供用户进行告警处理进行参考。用户将自己的日常处理经验及时写入数据库、更新告警处理知识对以后的故障诊断与排除非常有益。 支持告警手工确认、告警手工恢复、告警级别重定义、告警功能分类定义、告警自动确认、告警自动同步。通过告警级别/类别重定义，用户可以改变告警在网管中显示的级

30、别，突出用户关心的告警。 支持告警数据自动转储和手工转储，告警数据自动转储包括告警数据定时自动转储和告警数据溢出自动转储。告警数据定时自动转储的起始时间与转储周期、告警数据溢出自动转储的溢出条件和转储百分比以及转储格式可由用户设置。3.4.4性能管理：imc无线网管平台提供对设备实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。性能管理可提供如下功能： 支持性能数据的实时采集和显示，用户可以实时察看设备性能。 在实时浏览性能数据的时候，用户可以选择暂停/恢复实时性能数据的刷新。用户可以设置实时

31、性能刷新频率。 支持性能告警的功能，提供性能门限设置，网络中的性能异常一目了然。 对于正在浏览的实时性能数据视图，用户可以将其保存为其它格式的文件（如文本格式、html格式、excel格式等），供再加工和使用。 支持同时监测多个设备，用户可以自行添加、删除所需监测的设备；3.5 ip v6h3c 无线控制器实现了ipv4/ipv6双协议栈。ap和无线控制器之间可以穿过ipv6网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。3.6智能负载均衡ap支持标准的iapp协议框架，通过负载均衡的部署，可实现在一个热点内用户平均分配到所部署的所有ap上，达到在一个服务区ap接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有： 对所有ap设置基于用户数的负载均衡功能，ap通过对接入用户数的统计，与设定ap接入用户数量阀值比较，达到阀值后，不允许新的用户接入。 对所有ap设置基于流量的负载均衡功能，ap通过对接入用户流量的统计，与设定ap