杭州开元名都大酒店Trapeze无线网络解决方案

1、杭州开元名都大酒店无线网络解决方案杭州开元名都大酒店Trapeze无线网络整体解决方案2013年4月目录一无线网络建设需求 31.1无线网络开拓新型服务 31.1.1无线网卡上网服务31.1.2酒店大堂的Internet接入服务31.1.3 无线局域网语音应用 41.2杭州开元名都大酒店需求 4二杭州开元名都大酒店无线网络通信系统的设计与实施方案 52.1整体系统架构设计 52.1.1设计原则52.1.2拓扑结构52.1.3设备选型和配置 62.1.4核心交换机连接62.1.5接入层AP部署72.1.6用户接入策略72.2认证与加密方案 82.2.1设备认证方式建议 82.2.2数据传输加密

2、82.3网络管理措施92.3.1性能管理92.3.2故障管理92.4无线信号监控 92.4.1无线信号自动优化与调整 92.4.2非法信号的侦测、告警 102.4.3非法信号的主动反制 102.5无线网络的可扩展性 11三设备清单11四方案优势12第12页，共12页一无线网络建设需求对于服务产业中的洒店业来说。目前洒店行业竞争的重点已经从硬件的竞争转移 到服务的竞争，各大洒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服 务项目已非常成熟的今天，作为高档五星级洒店如何为客户提供新的服务成为洒店经 营者头疼的问题。近两年来，随着来自世界各地商务客人的增加，全球信息技术的发 展和无线网络的高

3、速发展，以及Internet在国内的迅猛发展，为洒店经营者提供新的 信息服务成为一种趋势。这一方面提升了现代化洒店的服务与管理水平，同时，也为 洒店经营者带来了相应的利益。Trapeze Networks做为全球领先的无线网络公司，曾为迪拜七星帆船洒店、丹麦 Hotel Propellen、瑞士 Lausanne Palace Hotel & Spa、威斯町等国际著名洒店集团构 建高速无线网络。Trapeze Networks公司很高兴能为杭州开元名都大洒店设计NonStop技术的Smart Mobile智能无线网络。1.1无线网络开拓新型服务1.1.1无线网卡上网服务无线网络的引入，

4、使洒店开拓各种新的服务成为可能。譬如，在登记入住后，商 务客人只需简单地利用自己笔记本上的无线局域网卡或者从洒店租用一个无线局域网 卡安装在其笔记本上，在几分钟之内就可以实现以比电话连接速度快100倍的速率访问Internet。无线局域网系统的安装使客人可以非常方便和灵活地在洒店内移动办 公，无论是在会议室、餐厅，花园还是游泳池边。这样的无线高速访问能力，必将使 安装了无线局域网络的洒店成为商务住店客人的首选以及商务会议和展览的宠儿。作为一项增值的服务，洒店可以在客人入住时，以天单位收取一定的上网费用， 直接向有无线局域网卡的用户提供无线上网接入服务，或者按每小时或每日不同价格 标准同时向没有

5、无线局域网卡的客人提供无线局域网卡和网线上网双重服务。1.1.2酒店大堂的Internet 接入服务商务客人常常喜欢在洒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些 地方进行一个小型的会谈，当客人需要处理电子邮件或是上网下载公司的资料时，得 到的回答往往是：您必须换一个靠近某个数据点的位置；您可以到商务中心去吗？或 是必须回到房间里用电话线或者网线才可以上网等等。如果在洒店大堂内安装相应的无线访问点后，该访问点可覆盖需要提供无线上网 服务的区域。当客人需要上网服务时，可以利用自己的无线局域网卡或者到前台或咖 啡厅的服务员处租用时租或者是日租的无线网卡，这样客人就可以作为一个本地网络 的用

6、户自由地使用高速上网服务了。1.1.3无线局域网语音应用目前大部分洒店的服务人员都是通过对讲机进行联系，非常的不方便，但是每一 个员工都配置一个手机，其使用成本太高，洒店是无法承受的。如果架设了无线局域 网，这样洒店的服务人员就可以使用 Wi-Fi手机进行联络，网络范围内的 Wi-Fi手机通 话完全不产生费用。这样可以极大提高洒店的业务管理的效率，降低洒店的运行费 用,同时无线手机也能实现洒店语音交换机所提供相应的使用在洒店中的功能和服 务。应用性IP电话可以看成一个智能网络终端，除了打电话之外它还可以实现与企业 现有数据网络上各种应用系统的集成，比如：通过电话发布企业内部信息、会议安 排、即

7、时查找员工目录信息等，此外还可以结合行业特点实现特性化的行业应用，如 在洒店业实现订餐、订票等客房服务等。1.2杭州开元名都大酒店需求1. 洒店服务员可以在餐厅使用IPAD为客人进行点菜等服务；2. 洒店的商务客人在餐厅使用笔记本无线接入互联网；3. 洒店客户访问无线数据网络业务时实现无缝漫游；4. 洒店对无线AP设备集中安全管理和RF监控；5. 无线网络支持多个SSID;6. 支持以太网供电（PoE）;二杭州开元名都大酒店无线网络通信系统的设计与实施方案2.1整体系统架构设计2.1.1设计原则结合洒店中心的网络和应用需求以及 TRAPEZE®决方案的特点，无线网络通信系 统的设计原

8、则可以分为以下几大点：采用无线交换架构组建无线网络子系统；利用现有的有线网络资源，架设 层叠”网络，保持已有的有线网络配置 和设置不更改；用户子网和设备子网隔离，无线用户无法访问设备子网； AP的IP网络设置从DHCP获取或者进行安装前静态配置，AP的无线网 络设置由交换机集中推送；2.1.2拓扑结构如下图所示，在整个无线网络系统当中，部署 TRAPEZE勺1台无线交换机MX-200 放置在数据中心，与核心交换机之间采用 VLAN trunk进行连接；而楼层中的AP!过隧 道汇接回到无线交换机，途经楼层汇聚有线交换机和其它相关的有线网络设备。共部 署 20 个 MP-71。在这样的网络实现当中

9、，AP上用户的流量都将通过 AP与无线交换机建立起的隧 道，流向无线交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会 被转发/丢弃。2.1.3设备选型和配置由丁此次无线网络通信系统需要部署杭州开元名都大洒店，还需要考虑到备份中 心使用的备份策略，同时还需要为将来各大楼的无线部署做扩容准备，所以在设备选 型的时候需要着重考虑设备性能，冗余方案，扩展能力等因素。2.1.4核心交换机连接采用TRAPEZE MX-20咬换机，放置在杭州开元名都大洒店的网络机房，每台 TRAPEZE MX-20CK线交换机最大可以支持192个AP®入和管理，完全满足杭州开元名 都大洒店无线覆盖的

10、需求，并留有一定的扩展余量。无线交换机和AP的连接可以穿透三层，因此，方案的实现完全不影响原有网络的结构，并且可以实现全网的漫游。实现后的杭州开元名都大洒店无线局域网系统，在杭州开元名都大洒店内的任何 一处，即便是在没有安装有线网络信息点的地方，也可以很方便地进行可视化的音视 频洒店中心和召开各种需要使用网络音视频的会议。在无线网络音视频会议洒店中心 系统的支持下，在杭州开元名都大洒店领导和行政办公人员以及与会的来宾等，就可 以利用其所携带的笔记本电脑或是配置有无线网络适配器的PC机，在杭州开元名都大洒店内的任何一个地方上网与世界的任何一地进行信息交流、洒店中心或媒体演示。这样可以十分方便、快

11、捷地创造一个多方位的可视化的远程多媒体洒店中心环境。在TRAPEZE勺解决方案当中，无线交换机的放置位置需要注意以下两点： TRAPEZE的无线交换机与相连核心交换机/路由器之间端口协商的匹配 性：如果存在着匹配失误的情况，则整个网络的稳定性会受到影响，具 体表现为AP会进行自我的重新启动。 TRAPEZE的无线交换机与核心设备之间相连的 VLAN情况需要和网络的 规划一起进行，一般来说，TRAPEZE无线交换机和网络核心设备之间会 建立VLAN trunk的标志，用丁将用户划分到不同策略的 VLAN当中去。2.1.5接入层AP部署TRAPEZE案能够方便的实现跨三层部署，接入层的 AP部署只

12、是需要拿到届于自 己的IP网络设置和网络中已经部署的TRAPEZ咬换机IP地址即可。这样的架构大大简 化了传统无线网络部署当中的复杂程度，减轻了 APK置与用户设备以及AP所连接的有 线网络配置相杂揉的状况。2.1.6用户接入策略从杭州开元名都大洒店的用户分类与分布情况分析，用户主要分成以下几类：(1) 洒店工作系统人员(如点餐、前台、服务人员系统)；(2) 洒店客人；使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把 SSID看成V

13、LAN,所 以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到 那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。 一个最简单的例子就是APffi不同的SSID名字广播，所以当无线终端在这个 AP覆盖范围 内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安 全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的 SSID呢？ 802.11的标准内定义了不 同加密情况时数据包的封装格式，所以在使用不同的加密程式时，如 WEP,TKIP(WPA),802.11i(WPA2)，它们是不可能在同一

14、个 SSID内同时存在的。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见 的做法是使用二个SSID, 一个定义为OPEN/Static WEP供客户用，另一个SSID则为 TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个 802.11i SSID让员工以 过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终 端现在尚未支持802.11i,而是不可能把所有的终端一次更换成最新的软件程序。SSID可以覆盖全网，也可以只局限于杭州开元名都大洒店网内的某些范围。一般 的情况下是全网开通，例如客人(Guest)使用的SSID;

15、但有些SSID则可能只供某些部 门使用，所以无线覆盖范围通常只会局限在某些范围内。所以针对杭州开元名都大洒店无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。杭州开元名都大洒店领导员工、杭州开元名都大洒店旅客用 户，可以采用专门的SSID,可以采用级别较高的认证和加密手段。2.2认证与加密方案2.2.1设备认证方式建议洒店中心将会存在两种类型的用户，一是网络移动设备，而是洒店中的接入用 户。对于运算和存储能力都相对比较弱的移动终端设备，目前业界普遍的做法是使用 静态WEP与基于MACM址的认证方式来进行设备接入认证。TRAPEZES线网络解决方 案支持内置和外置的MAC地址

16、数据库用于网络的设备认证，同时内置的静态 WEPT法 由于采用了防止 弱”初始化向量措施，使得对于此类网络的破解大为困难。无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备，对于可 以借助网络进行其它业务操作的数据用户，也应该同样提供数据传输的能力，并且保 证两者互不十扰。TRAPEZ厮架设的无线网络系统支持多SSID,能够利用一套物理网 络设备建立起几套虚拟的无线网络环境，并且每一套无线网络环境都具有其专门的认 证方法。在一般数据用户进行网络访问的时候，TRAPEZES以提供包括开放系统在内的五、六种认证方案，包括： WEB页面认证，802.1X认证，基于SSID的认证等。用户

17、在接入网络之前，透过无线网络子系统把相关身份信息发送到后台的认证数据库当 中，只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。2.2.2数据传输加密TRAPEZES构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性 要求的场所。在洒店中心的通信系统，正是这样的一个典型例子。控制中心和终端之 间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感 信息，端到端的通信受到先进加密算法的保护。TRAPEZES构中可以直接对二层的无线网络数据采用AESJT法进行加密。2.3网络管理措施2.3.1性能管理QoS保证/负载均衡：如果一旦发生多个终端竞争一个 AP的

18、时候，基于用户的负载 均衡功能将被启用，从而根据现场的负载情况进行均衡操作。2.3.2故障管理AP的双备份：TRAPEZE勺设备支持冗余部署，如果是集中控制的无线交换机失 效，注册到该控制器上的AP重新注册到网络中另外一台TRAPEZES线交换机上，保 证网络的连续可用性。如果是AP到主交换机的连接出现问题，A地可以向从交换机发 起连接申请，建立集中式的无线网络，以此来确保网络的运行。自愈功能：TRAPEZE勺系统中AP具有自愈的功能，当一个AP失效的时候，附近的 AP可以感知到，通过加大发生功率来覆盖失效 AP原来所覆盖的区域，达到自动治愈网 络覆盖空洞的目的，也提高了网络的可用性。2.4无

19、线信号监控2.4.1无线信号白动优化与调整传统“FAT AFS建的无线网络，在建设初期，需要对无线频谱及channel和发射功率进行规划，以降低同频十扰，但是无线信号受到用户数、天气、湿度等环境影响 因素较大，一旦外界因素发生变化后，如果 AP仍使用原始参数进行运行，必然导致 信号强度降低、覆盖区域缩小等情况，导致网络运行不稳定。采用 Trapeze Mobility System 解决方案，支持 RF Auto-Tune 技术。MP-71 AP 可以监听、扫描所在空域中的信号强度和使用量，并将数据传送至位于核心的Trapeze MX-200无线交换机上,MX-200根据各AP报告的测量数据进

20、行一个全局的调 配，例如，当某一区域多数 AP报告信号不足时，MX-200可以动态改变该区域内相关 AP的发射功率；当AP报告该区域内有相同信道信号时，则可以动态调整相关AP,以避开信道的重叠。Trapeze Mobility System 的RF Auto-Tune技术以可动态地调整流量负载、功率、 射频覆盖区域和信道分配，以使覆盖范围和容量最大化。2.4.2非法信号的侦测、告警感知无线电可提供监测WLAN所工作的射频环境的功能，能对非法接入点与无线 入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态， 对提供高水平的网络性能与安全非常必要。Trapeze M

21、P-71型AP通过上述两种方式，采取 按需的或预设定的射频扫描来监听 周边环境的信号源的MAC地址，Channel，类型及SSID等，自动识别并警告未授权的 AP或Ad-Hoc网络，以避免潜在的干扰或与无线入侵者。另外，对丁某些重点区域， 还可以部署专用AP不断地扫描空域，以便对要求更高安全性的环境提供全天候保 护。2.4.3非法信号的主动反制当系统发现非法信号后，可以根据管理策略，手动或自动将非法AP加入系统的Attack list中，当发现有无线客户端尝试链接该非法AP时，系统可以主动向该无线客户端发出IEEE802.11 disassociation信号，强制将该终端与非法 AP断开，从而让终端 始终连接上合法的无线网络上，保证了用户的数据安全。A反制A2.5无线网络的可扩展性采用基丁 Trapeze Mobility System系统架构下的无线网络解决方案，不仅提供了完善的基丁用户的控制策略、安全认证和数据安全加密机制，还保持着良好的网络可扩展性。Trapeze Mobility System 采用了 THIN AP+无线交换机架构，AP与无线交换 机之间通过TUNNEL进行通讯，无需改变现有网络拓扑结构，也无需考虑协议兼容 性，实现了拓扑无关的组网，使得整个无线网络有着更强的伸缩性，为今后网络的升 级和扩容提供良好的可扩展性。三设备清单根据用户实际环境，为了更