对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天,作为四、五星级酒店如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来,随着来自世界各地商务客人的增加,全球信息技术的发展和无线网络的高速发展,以及Internet在国内的迅猛发展,为酒店经营者提供新的信息服务成为一种趋势。这一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。
可以说,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店中大显身手。商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力,通过无线局域网就可实现灵活且可扩展的网络解决方案。
酒店对于无线网络的建设有着不同的运营模式,有的酒店保留着运营商投资的模式,并参与运营商的分成,如同原有的语音话费以及上网业务一样。但是运营商投资的模式,也让酒店自己的分成利益减少了许多。在语音服务和上网出口在国内垄断的局面下,酒店也难有机会替自己增加收入。无线网络的运用就不一样了,通过无线局域网的搭建,酒店可以在提高自己酒店服务水准的同时为自己找到一个新的业务增长模式和利润创造点,并且在其基础上逐渐扩充出其他的业务增长和服务新领域。
1.1无线网开拓新型服务
1.1.1.无线网卡上网服务
1.1.2酒店大堂的Internet接入服务
如果在酒店大堂内安装一到两个无线访问点,该访问点可覆盖需要提供无线上网服务的区域。当客人需要上网服务时,可以利用自己的无线局域网卡或者到前台或咖啡厅的服务员处租用时租或者是日租的无线网卡,这样客人就可以作为一个本地网络的用户自由地使用高速上网服务了。
1.1.3客房Internet上网服务
在酒店客房内安装有有线网络接口,并通过AP覆盖整个大楼的每个房间。入住酒店的客人可以通过有线无线多种方式上网灵活选择。如果客人在邻近网络插座的地方或没有无线网卡情况下可以通过有线端口上网,另外客人可以使用自己的无线网卡或者酒店提供的无线网卡,插入自己的笔记本电脑后就可以方便地上网了。
1.1.4无线局域网语音应用
目前大部分酒店的服务人员都是通过对讲机进行联系,非常的不方便,但是每一个员工都配置一个手机,其使用成本太高,酒店是无法承受的。如果架设了无线局域网,这样酒店的服务人员就可以使用Wi-Fi手机进行联络,网络范围内的Wi-Fi手机通话完全不产生费用。这样可以极大提高酒店的业务管理的效率,降低酒店的运行费用,同时无线手机也能实现酒店语音交换机所提供相应的使用在酒店中的功能和服务。
1.2海南天域度假酒店需求
1.酒店服务员可以在餐厅使用PDA为客人进行点菜,在大堂为客人办理入住登记等业务;
2.酒店的商务客人在公共区域(大堂、餐厅、泳池)和会议室使用笔记本上网;
3.酒店客户访问无线数据网络业务无缝漫游;
4.酒店对无线AP设备集中安全管理和RF监控;
5.无线网络支持多个SSID;
6.不需要在每个客户终端管理大量的WEPkey;
7.可以和酒店内的服务器结合进行上网客户的认证;
8.支持以太网供电(PoE);
9.计费的实现.
二、海南天域度假酒店无线网络设计综述
2.1网络计费系统
酒店行业目前通常采用的是WEB网关式认证计费系统。通过此系统,用户登陆访问酒店外网络时,会由网关进行认证,同时进行网络计费。
在部署无线网络之后,根据酒店要求,可以继续采用酒店原有的认证系统,同时对酒店内的有线网和无线网进行认证计费。具体到无线网络的认证计费要求是:
1.当无线用户想要利用酒店内的无线网络时,首先连接到附近的酒店无线网的接入点(AP)上。
2.无线接入点(AP)发现有用户要求进行无线连接时,会要求用户进行账号认证。
3.用户端的操作系统在收到AP的信号后,会要求用户输入系统的账号和密码。
4.用户输入完后,会将加密后的用户名密码发送给无线AP。
5.无线AP在收到加密后的用户账号、密码后,会将其发送给认证系统进行确认。
6.认证系统在确认AP发来的账号、密码后,会发送指令给AP。命令AP接受或拒绝用户的无线连接请求。
7.如果认证系统命令AP接受用户连接,则AP打开无线信道,允许用户接入,同时认证系统开始对用户进行网络计费。
本次筹建酒店无线网络系统,可以在认证方面与原有的有线网络认证体系完全融合,对认证用户完全透明,不增加用户的认证次数和复杂性,同时还可以保证无线用户入网即认证的目的,便于控制无线用户的安全访问和与有线网络的认证账号统一性。
因此,在酒店的无线网络构架中设计中,Trapeze网络提供的无线接入点产品将与目前酒店的宽带计费认证管理网关的供应商进行联合开发以满足客户的需求。具体实现方式是采用无线接入点已经良好支持的EAP-PEAP作为认证加密协议,保证用户认证传输过程中的安全和身份的核查。认证用户采用与有线网络一致的用户名和密码,无线接入点作为EAP-PEAP的认证体,宽带计费管理网关作为后台Radius。具体工作原理如下:
2.2无线网络架构
无线网络构建采用美国Trapeze公司的先进的WirelessSwitch+AP构架无线网络产品系统,该系统采用集中控制的理念进行设计,分布在各楼层的AP只有通过控制中心才能访问到网络资源,集中控制器是一个智能控制系统,通过购买增强功能许可协议即可扩展很多安全特性,诸如,防病毒防止和防火墙等功能。本系统优为突出的特点是:管理方便,易于维护。
2.3海南天域度假酒店网络前景
同时酒店可基于这个无线通讯平台,建立自己的内部无线语音通讯系统,从而大大降低酒店的运营成本。并将此平台升级成一项增值服务,面向商务客户提供一些IP语音通讯业务及酒店咨询、手机的无缝切换等等。
三、TRAPEZE方案的技术特点以及在酒店中的适用性阐述
3.1.先进而成熟的无线局域网交换架构
3.1.1.集中式的无线网络管理模式
由此可见,TRAPEZE公司推出强大的具有集中式管理的瘦AP+无线交换机架构,该无线架构具有简单而强大的无线局域网集中式管理功能,AP本身并不存放任何的配置文件,AP的配置是从无线交换机上获取的,通过无线交换机管理模式就可以统一管理整个无线网络的AP。网管人员只需简单地配置无线交换机,即可实现开通、管理和维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。
3.1.2.无线射频的智能管理
传统无线局域网射频管理是依靠工程师手动配置的,这种固定式,静态的管理手段并不灵活,有很大缺陷,尤其不能适应大规模的无线网部署及动态复杂多变的无线环境。因此,我们需要更智能化的动态射频管理。
TRAPEZE的无线架构是基于无线交换机的集中式统一管理系统,而无线交换机正好是全局AP的中心和沟通桥梁。AP与AP之间的射频信息通过无线交换机汇总后,通过RF智能控管,便可以很方便地自动调节线上所有TRAPEZEAP的电波特性,而无需逐一设置,这是传统AP方式无法做到的。
3.2.具有安全保障的网络平台
在传统的无线局域网解决方案中,为保障网络的安全,许多客户把所有无线流量拒之于防火墙(从DMZ区接入)之外,用户不得不绕道进入单位网络。从安全性方面看,这是个好方法,但却使网络设计达不到最优状态而且导致性能劣化,因为WAN级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入点。这种技术由于“统一尺码”的访问控制方法而不够灵活,因为它赋予所有无线用户相同的网络权限。如果不采用上述的解决方案,而是将无线系统直接连接到楼层交换机,这样用户连接至AP以后,所有的访问都将无从控制,对客户的网络安全更是极大的威胁。在酒店园区网的环境中,由于来往的人员多,流动性很大,如果只是靠内网和外网的隔离,不能很好的提供服务给不同身份的用户。
而TRAPEZE无线系统的安全管理是将访问控制、安全认证、防病毒、无线入侵监测以及RF电磁波管理等多项安全功能汇聚到TRAPEZE无线交换机上来完成的,解决了传统的无线网对安全的分散管理(AP、AC)和能力,给用户带来的安全感,摆脱了对有线网安全的依赖性。
3.2.1.无线用户网络接入的安全管理
3.2.2.无线网络的安全防护和监控
Trapeze已和无线入侵防护系统(IPS)的先驱和领导者AirDefense建立了合作伙伴关系,以最低的拥有成本共同提供业内唯一的完全集成的IPS。
TRAPEZE无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当TRAPEZE无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应。
3.2.3.无线局域网的认证与加密
通过使用强大的身份验证和加密功能,Trapeze智能无线网可防止滥用和窃听,并可将多个非公开用户组之间的通信隔离开。TrapezeMobilityPoint接入点中实施的分布式加密算法可确保安全策略可以升级。
3.2.4.防御不可信和不良客户端设备的侵扰
Trapeze智能无线网通过检查是否装有最新的安全修补程序和ServicePack、防火墙、防病毒软件以及防间谍软件,来防止配置不当或已感染的设备访问网络。端点保障功能包括:
3.2.5.无线射频终端的定位
实时跟踪并定位贵重资产是酒店行业必不可少的要求,因为在这些行业,延误意味着高昂的成本,甚至会威胁生命。通过与基于Wi-Fi的定位系统方面的行业领导者们合作,Trapeze的智能无线网可以最低的拥有成本提供可扩展性最大、基于WLAN的集成式实时定位解决方案。
智能无线网体系结构确保了应用程序的可扩展性智能无线网提供业内可扩展性最大的位置跟踪服务,让组织机构可以在整个企业范围内部署,而不用担心会削减其他应用程序的性能或要牺牲未来的VoiceoverWi-Fi部署规模。与其他基于Wi-Fi的定位解决方案不同,Trapeze可提供可靠的实时定位数据,却不会给WLAN控制器造成额外的负担,一切都可通过智能无线网的智能交换体系结构来完成,这个交换体系结构允许网络管理员通过分布式交换来优化位置的应用程序的性能。
Trapeze已和多家位置服务技术领导者(包括NewburyNetworks、PanGo、AeroScout和ekahau)建立了合作伙伴关系,可确保完整的位置跟踪配套环境。除了支持快速部署资产管理、工作流、资源规划和网络管理应用程序,Trapeze解决方案还包括有用的即用型位置跟踪工具,以及用于集成的API。我们的合作伙伴还提供其他现成的、以企业为中心的位置跟踪应用程序。
Trapeze解决方案支持任何Wi-Fi客户端,以及任何波段上的调频或信标“标志”。不需要任何特殊的客户终端软件或代理。
通过使用现有的WLAN基础结构来支持位置服务,客户可以比部署独立的定位系统低得多的成本实现相同的功能。事实证明,Trapeze智能无线网的拥有成本低于所有其他WLAN的拥有成本,客户可以轻松地利用其WLAN基础结构来实现目前成本最高效的定位解决方案。
3.3.支撑多业务的网络应用
3.3.1.无线网络的QoS实施与保障策略
TRAPEZE的AP所使用的硬件支持无线多媒体扩展(WME)的队列,同时可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级
当所有的数据、语音和图像的应用共同运行在酒店的无线网络环境中时,TRAPEZE的无线解决方案可以根据酒店网络应用的实际需要保证不同重要性的应用具有不同的优先级,从而保证在网络流量发生拥挤时关键性应用的网络服务质量。例如:电子CheckIn系统,酒店内部VOIP语音系统,无线视频监控系统,当这些应用统一运行在TRAPEZE无线网络平台上时,在TRAPEZE的解决方案中可以支持对不同的应用的优先级设定从而保证在TRAPEZE无线平台上保证关键应用的网络带宽。
3.3.2.网络系统的自愈功能
传统无线网络里的每个AP都是一个独立的个体,相互之间不存在任何沟通与协商,如果有某一AP突然损坏或失效时,这个AP原来覆盖区域就会失去无线连接,无线网络变得不可用。遇到这种情况的一般做法就是马上把失效的AP更换。但由于大多数的AP都是布置在楼道里(并不是在机房),所以不一定能马上作更换,现场的环境也有局限性,很多时候维护人员较难即时做出更换动作(很多的AP都是安装在天花板上)。而且,从故障发现,处理,找到新AP,替换,整个过程需时漫长,尤其是这对于一些紧急的应用是不能接受的。因此我们必须寻找另一种方法去缩短故障处理周期。
为了提高无线网络的可用性和增强整个架构的冗余性,TRAPEZE系统设计了故障自动恢复的功能,即实时侦测出线上AP是否存在失效,当发现有AP出现故障时,TRAPEZE无线交换机能自动调节邻近的AP射频参数,一般是加大发射功率(覆盖范围)共同接替失效AP原先覆盖的范围。
3.3.3.无线接入的负载均衡
3.3.3.VoWLAN无线语音通信系统
在与多家固网和移动网结合(FMC)创导者的合作中,Trapeze证明了双模式手机和领先的蜂窝式移动网络运营商之间的交互性。
FMC的优点包括:
TRAPEZE无线系统可容许用户设置专有的语音SSID,把单纯是数据传输的用户和Wi-Fi手机用户分开,但也可以在单一SSID内同时传送数据和话音,关键的重点就是怎样保证语音传输的质量。TRAPEZE无线交换机内能够将VoIP协议数据包放在较高的优先队列,所以就可确保在数据和语音同时传送时,语音的质量不受影响。。
在传统的语音通信方面,出现了一些具有时代特点的新需求:由于酒店园区规模扩大,以及工作人员的工作的特点,需要在园区内、楼层间、酒店间实现通信的移动性;需要充分利用各种新技术、新工具,实现迅速、快捷、多渠道的信息沟通;随着IP语音通信技术的发展和成熟,酒店也希望利用它实现多点分支之间的通信,从而简化呼叫流程、降低费用,并实现酒店的统一管理。
未来酒店为了扩大营销必定会扩大服务覆盖范围,不断增设分支机构,并兼并一些规模较小的酒店。如何解决酒店总部与各分支机构之间的频繁通信、提高工作效率、降低通信费用,使被兼并的单位快速融合到酒店的整体当中,同时提供与本酒店完全一致的通信手段和通信水平,达到资源共享,就成为酒店要考虑的切实问题。届时,IP语音通信将会进一步体现出自己的优势。
为了满足这些通信需求,新的酒店通信系统就应该在提供稳定高效的语音通信的基础上,同时提供灵活的WiFiVOIP语音系统为酒店提供强大的通信能力。
利用TRAPEZE的无线移动网络解决方案可以通过统一的WiFi网络同时支持语音和数据业务,支持多样化的通信手段,同时可以简化网络管理,实现集中控制,使人员的移动、增加和变动都更加简单轻松、成本低廉。由于采用开放、标准的协议和结构,该解决方案还可以实现各种应用的集成,更易于开创新服务。对于酒店来说,可以实现生产力的显著提升、节约成本。
3.4.智能无线交换
由于兼具集中的WLAN管理和优化的通信流量,智能无线网可以提供当前性能最高的WLAN—已采用802.11n标准,没有高昂的升级费用。
Trapeze首先提出的智能交换是第一个也是仅有的一个WLAN体系结构,它能够根据基础应用程序的要求以集中或分布方式转发数据。例如,VoiceoverWLAN就要求极短的延迟。智能无线网的智能交换技术(目前正在申请专利)以分布方式转发语音通信,即直接从接入点转发到接入点,而不必每次都经过中央控制器,从而将延迟缩至最短并允许大规模的VoWLAN部署。
尽管分布式转发具有效率优势,但某些应用程序仍需要集中式转发。例如,访客的通信就需要保留在防火墙之外。智能无线网允许客户通过指定的控制器集中转发所有访客的通信,以保证它们与内部网络严格区分开来。智能无线网是唯一一个提供此灵活性的企业WLAN解决方案。
IEEE802.11n标准将开创超高速无线技术的新时代。这项新标准预计将在2008年定案,届时,很快市场推出各种802.11n无线电通信设备。新标准指定数据传输速率高达700Mbps,而现在的最高速率为54Mbps。802.11n将使网络负载量增加12倍,当代WLAN控制器无法处理这一负载量。
因此,某些WLAN供应商建议客户购买昂贵的新控制器以支持802.11n。而Trapeze的采用智能交换技术的智能无线网体系结构则截然相反,它可以扩展到支持将增加12倍的网络负载量,而不需要客户升级其整个交换网络结构。
通过智能交换,智能无线网将大量的处理任务(包括数据转发、加密和策略实施)从控制器交给了接入点。由于极大地减少了控制器的负担,智能无线网可以毫无困难地处理802.11n将带来的12倍的吞吐量。智能无线网在扩展的同时会增加非凡的效率,因为每个接入点都会增加网络的处理容量。这和使用集中式体系结构的WLAN(例如,Cisco和Aruba的产品)相比,效率要高得多,成本却低得多。因为在集中式体系结构的WLAN中,每个接入点都会大大增加控制器的负担,这意味着,随着接入点数量的增加,需要更多和/或更大的控制器。
3.5.统一的室内、室外WLAN
通过优化了带宽的智能交换技术,智能无线网可为室外和工作区域提供扩展性最高的企业WLAN解决方案,从而提供Wi-FiMultimedia(WMM)和WPA2安全之类的服务
向室外或工作区域(例如仓库和工厂车间)部署企业WLAN带来了巨大的挑战。由于这些区域无法架设以太网缆线,所以主网连接和桥接服务以及客户端设备的服务都必须共享十分有限的空中传输带宽。这就要求带宽的使用必须非常高效。然而,眼下采用集中式体系结构的WLAN都效率非常低下,因为它们需要在控制器上集中实施管理策略。
智能无线网通过优化有限的空中带宽使用,克服了当代WLAN的局限性。与采用集中式体系结构和集中式策略实施的WLAN不同,智能无线网WLAN以分布方式在有线和无线的交界处实施策略,而不是在中央控制器上实施策略。通过优化带宽,智能无线网室外WLAN能够以比其他供应商的WLAN少得多的基础结构提供高度可扩展的主网连接、桥接和客户端服务。因此,资金和运营成本更低,获得的价值更多。
智能无线网为室外部署提供了一整套企业功能,这些功能与室内WLAN中的企业功能相同,包括最高的安全标准(802.1X、WPA2、AESCCMP加密等)和高质量的语音支持(WMM、PMK缓存的快速漫游等)。
随着企业将其WLAN扩展到室外和工作空间,他们不愿意将这些增设点作为需要另一套网管来管理。智能无线网室外WLAN与智能无线网室内WLAN完全集成在了一起,可以作为一个系统从一个控制台进行管理。智能无线网让网络管理员在一个视图中就能看到整个网络(包括室内和室外)的综合情况,并允许网络管理员对网络的规划、配置、部署和不断优化集中处理。
3.6.无限的WLAN运行周期管理
Trapeze智能无线网中内置了获奖管理套件RingMaster,使IT经理们能够在部署前后执行规划、配置、监控和优化WLAN的工作。使用RingMaster的客户端—服务器体系结构,客户能够轻松部署多站点网络。单台服务器可以扩展到支持500台交换机,数千部无线电设备和数万个客户端。
智能虚拟场地量度调查和容量规划工具,简化了网络规划工作。
楼层
RingMaster利用网络计划来进行只需单击两次即可轻松完成的服务和安全策略配置。功能强大的任务向导会引导您完成整个配置过程:
RingMaster让网络管理员能够轻松地看到网络中的任何一层和任何设备或客户端。
RingMaster包括全面报告工具,让IT人员能够设定网络性能的底线并跟踪使用趋势,这对于规划改进和扩展是最基本的要素。
四、海南天域度假酒店无线网络通信系统的设计与实施方案
4.1.整体系统架构设计
4.1.1.设计原则
结合酒店中心的网络和应用需求以及TRAPEZE解决方案的特点,无线网络通信系统的设计原则可以分为以下几大点:
·采用无线交换架构组建无线网络子系统;
·利用现有的有线网络资源,架设“层叠”网络,保持已有的有线网络配置和设置不更改;
·用户子网和设备子网隔离,无线用户无法访问设备子网;
·AP的IP网络设置从DHCP获取或者进行安装前静态配置,AP的无线网络设置由交换机集中推送;
4.1.2.拓扑结构
在这样的网络实现当中,AP上用户的流量都将通过AP与无线交换机建立起的隧道,流向无线交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。
4.1.3.设备选型和配置
由于此次无线网络通信系统需要部署海南天域度假酒店,还需要考虑到备份中心使用的备份策略,同时还需要为将来各大楼的无线部署做扩容准备,所以在设备选型的时候需要着重考虑设备性能,冗余方案,扩展能力等因素。
4.1.4.核心交换机连接
采用TRAPEZEMX-200R交换机,放置在海南天域度假酒店的网络机房,每台TRAPEZEMX-200R无线交换机可以支持192个AP接入和管理,完全满足海南天域度假酒店无线覆盖的需求,并留有一定的扩展余量。无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游。
AP的供电采用单独的PoE供电设备(或与原有的普通楼层交换机配合,不用添加新的POE交换机),用于AP的数据接入和供电,又不增加过多的成本。
实现后的海南天域度假酒店无线局域网系统,在海南天域度假酒店内的任何一处,即便是在没有安装有线网络信息点的地方,也可以很方便地进行可视化的音视频酒店中心和召开各种需要使用网络音视频的会议。在无线网络音视频会议酒店中心系统的支持下,在海南天域度假酒店领导和行政办公人员以及与会的来宾等,就可以利用其所携带的笔记本电脑或是配置有无线网络适配器的PC机,在海南天域度假酒店内的任何一个地方上网与世界的任何一地进行信息交流、酒店中心或媒体演示。这样可以十分方便、快捷地创造一个多方位的可视化的远程多媒体酒店中心环境。
在TRAPEZE的解决方案当中,无线交换机的放置位置需要注意以下两点:
·TRAPEZE的无线交换机与相连核心交换机/路由器之间端口协商的匹配性:如果存在着匹配失误的情况,则整个网络的稳定性会受到影响,具体表现为AP会进行自我的重新启动。
·TRAPEZE的无线交换机与核心设备之间相连的VLAN情况需要和网络的规划一起进行,一般来说,TRAPEZE无线交换机和网络核心设备之间会建立VLANtrunk的标志,用于将用户划分到不同策略的VLAN当中去。
4.1.5.接入层AP部署
TRAPEZE方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的TRAPEZE交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。
通常,视AP需要管理的程度,以及有线网络的整体架构来规划AP的部署。
4.1.6.用户接入策略
从海南天域度假酒店的用户分类与分布情况分析,用户主要分成以下几类:
(1)海南天域度假酒店领导与工作人员;
(2)旅客;
使用网络是被分为不同的业务类型,因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式。在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
为什么要把不同的安全加密协议设置在不同的SSID呢802.11的标准内定义了不同加密情况时数据包的封装格式,所以在使用不同的加密程式时,如WEP,TKIP(WPA),802.11i(WPA2),它们是不可能在同一个SSID内同时存在的。
用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID,一个定义为OPEN/StaticWEP供客户用,另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11iSSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i,而是不可能把所有的终端一次更换成最新的软件程序。
SSID可以覆盖全网,也可以只局限于海南天域度假酒店网内的某些范围。一般的情况下是全网开通,例如客人(Guest)使用的SSID;但有些SSID则可能只供某些部门使用,所以无线覆盖范围通常只会局限在某些范围内。
所以针对海南天域度假酒店无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。海南天域度假酒店领导员工、海南天域度假酒店旅客用户,可以采用专门的SSID,可以采用级别较高的认证和加密手段。
4.2.认证与加密方案
4.2.1.设备认证方式建议
酒店中心将会存在两种类型的用户,一是网络移动设备,而是酒店中的接入用户。
对于运算和存储能力都相对比较弱的移动终端设备,目前业界普遍的做法是使用静态WEP与基于MAC地址的认证方式来进行设备接入认证。TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网络的设备认证,同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施,使得对于此类网络的破解大为困难。
4.2.2.数据传输加密
4.3.网络管理措施
4.3.1.性能管理
QoS保证/负载均衡:如果一旦发生多个终端竞争一个AP的时候,基于流量和基于用户/终端数目两种负载均衡功能都将被启用,从而根据现场的负载情况进行均衡操作。
4.3.2.故障管理
AP的双备份:TRAPEZE的设备支持冗余部署,如果是集中控制的无线交换机失效,注册到该控制器上的AP会重新注册到网络中另外一台TRAPEZE无线交换机上,保证网络的连续可用性。如果是AP到主交换机的连接出现问题,AP也可以向从交换机发起连接申请,建立集中式的无线网络,以此来确保网络的运行。
自愈功能:TRAPEZE的系统中AP具有自愈的功能,当一个AP失效的时候,附近的AP可以感知到,通过加大发生功率来覆盖失效AP原来所覆盖的区域,达到自动治愈网络覆盖空洞的目的,也提高了网络的可用性。
4.4无线信号监控
4.4.1无线信号自动优化与调整
传统“FATAP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。
TrapezeMobilitySystem的RFAuto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。
4.4.2非法信号的侦测、告警
感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的网络性能与安全非常必要。
4.4.3非法信号的主动反制
当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的Attacklist中,当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出IEEE802.11disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全。
4.5无线网络的可扩展性
采用基于TrapezeMobilitySystem系统架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制,还保持着良好的网络可扩展性。TrapezeMobilitySystem采用了THINAP+无线交换机架构,AP与无线交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
4.6SmartPass
Smartpass功能模块使非IT人员可以完成配置临时用户帐户访客进入企业网络的申请,网络管理员通过一些简单培训使其它网络管理员或非IT人员也可以作为员工管理员。
访客首先连接到GuestSSID后,使用SmartPass建立的客户名、密码很快并很轻易通过MX-200R交换机认证后实现internet连接服务等。
4.7目标区域无线覆盖示意图
海南天域度假酒店需要实施无线覆盖区域包括海滩、烧烤场、泳池、会议室、咖啡吧、西餐厅等。以解决内部员工、客人的无线上网问题。
4.7.1无线覆盖示意图
在确定各个区域需要使用的AP数量时,不仅要根据覆盖范围建筑尺寸,还要根据覆盖区域的功能(功能决定该区域期望接入用户数量和用户期望的带宽)。由于本次项目要覆盖范围为酒店,用户会对于上网的速度要求比较高,因此总体上来说,AP覆盖密度要相对高一些。下面就根据每层实际情况分别描述:
一、海滩、烧烤场、泳池等区域覆盖示意图:
海滩、烧烤场、泳池等共部署13个MP-422.
设备名称
数量
APMP-422
13
POE供电模块
2.4GHz室外90°天线
10
2.4GHz室外120°天线
3
五类线
二、西餐厅覆盖示意图:
西餐厅共部署3个MP-422.
三、咖啡吧覆盖示意图:
咖啡吧共部署1个MP-422.
1
四、2个大会议室覆盖示意图:
每个大会议室至少需供100人能够同时上无线网,则一个大会议室至少需要4个MP-422,两个大会议室共需8个MP-422。
8
五、18个小会议室覆盖示意图:
每个小会议室需覆盖一个AP,采用MP-422进行覆盖。
18
4.7.2无线网络设备汇总表
设备种类
AP
43
无线控制器
MX-200R
POE设备
天线
4.7.3无线接入点安装说明
美国TrapezeNetwork公司提供的无线接入点设备MP-422配套完整的安装附件,适合多种条件安装需要。下面通过图示的简要说明设备固定方法。
无线接入点MP-422T型固定件固定支架
无线接入点可以锁在固定支架上
解锁后可以取下无线接入点
利用T型固定件固定在天花板轻钢龙骨上T型固定件与支架通常用的固定方法
利用T型固定件将支架固定后,可以通过上方的开口处将网线插入无线接入点
直接安装在墙体上可以采用底座的方式固定
网线通过预留接口插入无线接入点
五、实施方案
5.1拓扑结构
如下图所示,在整个无线网络系统当中,部署TRAPEZE的1台无线交换机MX-200R放置在数据中心,与核心交换机之间采用VLANtrunk进行连接;而楼层中的AP通过TUNNEL方式与交换机相连。共部署43个MP-422,具体见无线部署示意图。
5.2设备选型和配置
此次无线覆盖范围主要考虑是在酒店环境中的无线用户接入。在户外区域部署MP-422,在室内区域部署MP-422,并为AP配置了相应的供电模块。
5.3无线交换机连接
采用1台TrapezeMX-200R交换机,放置在数据中心的网络机房,每台MX-200R无线交换机配置可支持到192个AP的license,完全满足当前用户无线覆盖的需求,并且满足今后的扩展。同时,无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游。
5.4接入层AP部署
Trapeze方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的MX-200R交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。
六、设备清单
根据用户实际环境,为了更迅捷和方便的使用无线网络,以及更好的使用和管理用户的无线网络,建议采用如下配置方案。
产品名称
型号
描述
无线网络交换机
MX-200R-CN
MX-2XX-U32
无线控制器MX-200R的升级license,包含32个无线接入点数目,最大可升级到192个瘦AP数目
SFP-UTP
千兆以太网BASE-UTPSFP光纤电接口模块
2
无线网络接入点
MP-422
Trapeze室内无线瘦AP接入点,支持802.11a、b、g三种模式同时工作,双PoE以太端口冗余,内置双频天线,可外接原厂双频天线,支持MESH功能
无线网络管理软件
RMTS
无线控制器MX-200R相应管理软件安装光盘和用户手册,初始包含5个无线接入点管理license
RMTS-50
无线控制器MX-200R管理软件的license,包含50个无线接入点的管理License
SP
客户安全接入解决方案-基础版,包含安装包和操作手册,支持50个客户账号,单独提供和管理用户接入访问
SP-ENT
PoE供电器
PD-3001-CN
符合802.3afPoE规范,单口供电模块
ANT-1090R
90°室内/室外802.11b/g扇形定向天线,适用于MP-422,17dB增益,包含1米的M/M-RPSMA网线和安装附件
ANT-1120R
120°室内/室外802.11b/g扇形定向天线,适用于MP-422,15.5dB增益,包含1米的M/M-RPSMA网线和安装附件
服务
SNS-SP-101
Trapeze硬件部分保修期外维护服务
SNS-SP-201
Trapeze软件部分保修期外维护服务
Service
深化设计、施工、安装服务
七、方案优势
1.最高扩容性及投资保障
TrapezeNetworks的智能无线交换功能,支持分散及中央处理,用户数据并不一定到(WLAN)无线交换机作中央处理。避外网络瓶颈限制。更可在AP上进行数据本地交换,WLAN无线交换机减轻数据包处理重担,专注流量及安全政策管理。结果是:更少无线交换机可管理更多AP。网络数据流量减少、时延更短,因为数据不需送回到无线交换机去作中央处理。
有些厂家试图用多个无线交换机,分布在网络上,解决网络数据流量问题。但费用过高,更带来安装位置、耗电、热量及多占LAN端口等问题。复杂了配置及管理。
TrapezeNetworks的智能无线交换机更是不需硬件升级,便可支持802.11nAP,保障您的所有投资。
Trapeze无线网络系统作为与拓扑无关的组网方案,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容,以及机房整体迁移到办公楼内提供良好的可扩展性。
2.超级的负载均衡及容量管理
TrapezeNetworks的独特功能,可在更少无线交换机,同样数目的AP情况下,比其他产品,容纳多达30-40%在线用户。
无线终端面临二大上网问题:
A、“前门”效应–在多个同等值AP环境下,多数向单一AP连接。
B、缺省设定用2.4G(802.11b/g)标准,导致2.4G频段极为拥挤,但5G频段甚少用上。
TrapezeNetworks会用动态射频管理及用户负载均衡,分散用户到不同AP。更有专利功能,监察频段,强制有5G制式的终端设备去利用802.11a标准上网。
TrapezeNetworks的智能无线交换机群可以集群部署(Cluster),较少负载的无线交换机可动态接管较高负载交换机的AP。
TrapezeNetworks支持以用户、SSID及应用的QoS、带宽管理,确保用户上网之表现。
3.更快、更安全的漫游
在医疗、生产及零售等高要求网络中,无线网络(WLAN)愈来显得重要。如果用户在大楼间移动,而应用经常中断,这是不可接受的。无中断漫游是成功无线网络建设的基本要求。不幸地,无线并不代表移动…正如移动手机….真正价值在于漫游,在车内、在商场、无论何地,不能中断。你当然觉得手机在无信号掉线时难受!WiFi漫游是复杂的,它不单是从一个AP到一个AP连线。它需要一个楼层到另一个楼层,一幢大楼到另一幢大楼,从AP到交换机之间无干扰漫游,保持一致的安全、QoS、带宽及权限。
问题是其他厂家产品,如何做到?
相反地,TrapezeNetworks采用独家“分散安全认证”技术。没有“家”交换机限制。用户上网认证后,会话安全密钥会传到同一无线域(MobilityDomain)的交换机上,所以漫游后不需网上寻找交换机拿会话安全密钥。结果是:更快、更可靠的漫游–更是户内/户外整网一体。
TrapezeNetworks无线网络系统基于用户的访问控制策略使得用户的权限被映射在整个无线移动域中,而不受用户漫游到其他区域而失效。
4.高质量话音网络结构
话音是无线网络的重要应用。当VoiceOverIP在企业中大行其道时,超过40%大型企业,计划在2010年前,应用在无线网络上。但在所有应用中,话音是对时延及时延抖动最为敏感。但TrapezeNetworks的智能无线,支持本地交换。手机话音流量可以从最短路径,直接相连,而不需要往返经过交换机。这与SIP规范结构相符。TrapezeNetworks网络对话音时延最短。根据第三方测试结果:TrapezeNetworks网络比其他厂家产品在大流量情况下时延短6倍,时延抖动少15倍。
除话音质量外,TrapezeNetworks交换机可作集群(Cluster)冗余备份,支持无中断撤换。不对话音影响,无掉线、无杂音。
在安全方面,无论数据或话音,都支持最安全的WPA/WPA2标准。
5.户外/户内网络一体化
户外AP与户内AP要求不同。户外AP通常都会使用Mesh/Bridge功能,取代光纤或铜线户外长距离连线功能。但带宽不够充裕,所以路由一定小心处理,减少数据不必在长途线上往返。
TrapezeNetworks的智能无线,支持本地交换,有最佳表现。
多数其他厂家户外/户内产品分开,做成户外/户内分网。分开交换机,分开网管,用户数据一定要往返中央处理。
TrapezeNetworks网络户外/户内设备统一,在结构上、应用功能、射频计划及管理上,都是一体化。
6.最高可靠性、永不停机结构
当无线成为新一代机构网络接入层,可靠性是最高要求。
TrapezeNetworks无线网络解决方案中AP部署不受网络拓扑及VLAN子网划分的影响,无需改动企业现有网络拓扑结构。
TrapezeNetworks无线网络解决方案中AP支持多达大个64个SSID,可以集成更多的业务策略,并保持一定的扩展性。
多数其他厂家(像Trapeze一样),建设元器件备份功能:AP双连线、双电源、链路集成等等….但没有一家如Trapeze在系统层面结合先进有线网络提供灵活备份。
TrapezeNetworks发明交换机集群(ClusterConfiguration),多个交换机互为备份。每机记录其他交换机配置。如此一来,所有交换机一起工作。如任何一机有故障,其他交换机可立刻分担它的工作。除了备份以外,交换机可以停机作维修或升级。对网络毫无中断影响。
当交换机恢复工作后,自动分配原来负载。
TrapezeNetworks又有最先进户外Mesh技术,提供快速链路恢复、自动负载均衡、自我优化及路由重组等功能。又有洪水(flood)控制,流量过滤提高链路带宽效率。
7.超级安全防护功能
TrapezeNetworks无线网络解决方案支持多种迄今为止最为先进的用户身份认证及安全加密策略,能够有效的防止黑客入侵对网络及用户造成的危害。
TrapezeNetworks无线网络系统具备完善的无线信号监控与入侵检测功能,能够自动对整个网络进行优化以及防止非法信号的干扰及入侵,保护网络的安全。
TrapezeNetworks提供最佳入侵防御方案。
如多数其他厂家,TrapezeNetworks无线交换机具有40多种基本入侵检测及防御功能免费提供给用户。但只有TrapezeNetworks将业界最先进的WIDS/WIPS-AirDefense功能集成于同一网管平台上。AirDefense更利用TrapezeAP作为网络探针,系统可以堤供多达250多种入侵检测及防护特征库,而节省50%之探针花费。
当检测到入侵,TrapezeAP可按需要转化为探针。对入侵进行定位,制压及采集入侵数据。俩个系统集成,从单一终端管理、简化配置,IT及保安人员,得到一致入侵信息。
8.业界中最佳射频计划及WLAN管理
多数其他厂家将无线网管作附加功能。TrapezeNetworks将网管作为网络主要功能。RingMaster网管已是第七版本,包含户内/户外射频计划,整网配置、告警、实时监测管理。储存多达三十天网络日志,生成各种报表,从单一终端管理整网。