东莞假日酒店Trapeze无线网络解决方案.doc

东莞假日酒店东莞假日酒店 TrapezeTrapeze 无线网络解决方案无线网络解决方案 TrapezeTrapeze 中国区总代理：广州市信尚安信息技术有限公司中国区总代理：广州市信尚安信息技术有限公司 20192019 年年 5 5 月月 目目 录录 一、东莞假日酒店无线网络建设需求3 1.11.1无线网开拓新型服务无线网开拓新型服务.3 1.1.11.1.1无线网卡上网服务无线网卡上网服务3 1.1.21.1.2酒店大堂的酒店大堂的 InternetInternet 接入服务接入服务3 1.1.31.1.3客房客房 InternetInternet 上网服务上网服务4 1.1.41.1.4无线局域网语音应用无线局域网语音应用4 1.21.2东莞假日酒店无线需求东莞假日酒店无线需求.4 二、东莞假日酒店无线网络设计综述4 2.12.1无线网络架构无线网络架构.5 2.22.2东莞假日酒店网络前景东莞假日酒店网络前景.5 三、TRAPEZE 方案的技术特点以及在酒店中的适用性阐述.5 3.13.1先进而成熟的无线局域网交换架构先进而成熟的无线局域网交换架构.5 3.1.13.1.1集中式的无线网络管理模式集中式的无线网络管理模式5 3.1.23.1.2无线射频的智能管理无线射频的智能管理6 3.23.2具有安全保障的网络平台具有安全保障的网络平台.7 3.2.13.2.1无线用户网络接入的安全管理无线用户网络接入的安全管理7 3.2.23.2.2无线网络的安全防护和监控无线网络的安全防护和监控8 3.2.33.2.3无线局域网的认证与加密无线局域网的认证与加密8 3.2.43.2.4防御不可信和不良客户端设备的侵扰防御不可信和不良客户端设备的侵扰8 3.2.53.2.5无线射频终端的定位无线射频终端的定位9 3.33.3支撑多业务的网络应用支撑多业务的网络应用.10 3.3.13.3.1无线网络的无线网络的 QoSQoS 实施与保障策略实施与保障策略10 3.3.23.3.2网络系统的自愈功能网络系统的自愈功能10 3.3.33.3.3无线接入的负载均衡无线接入的负载均衡10 3.43.4智能无线交换智能无线交换.11 3.53.5无限的无限的 WLANWLAN 运行周期管理运行周期管理13 四、东莞假日酒店无线网络通信系统的设计与实施方案14 4.14.1整体系统架构设计整体系统架构设计.14 4.1.14.1.1设计原则设计原则14 4.1.24.1.2拓扑结构拓扑结构15 4.1.34.1.3设备选型和配置设备选型和配置15 4.1.44.1.4核心交换机连接核心交换机连接15 4.1.54.1.5接入层接入层 APAP 部署部署16 4.1.64.1.6用户接入策略用户接入策略16 4.24.2认证与加密方案认证与加密方案.17 4.2.14.2.1设备认证方式建议设备认证方式建议17 4.2.24.2.2数据传输加密数据传输加密17 4.34.3网络管理措施网络管理措施.17 4.3.14.3.1性能管理性能管理17 4.3.24.3.2故障管理故障管理18 4.44.4无线信号监控无线信号监控.18 4.4.14.4.1无线信号自动优化与调整无线信号自动优化与调整18 4.4.24.4.2非法信号的侦测、告警非法信号的侦测、告警18 4.4.34.4.3非法信号的主动反制非法信号的主动反制19 4.54.5无线网络的可扩展性无线网络的可扩展性.19 4.64.6S SMARTMARTP PASSASS20 4.74.7目标区域无线覆盖规划目标区域无线覆盖规划.21 4.7.14.7.1无线覆盖区域无线覆盖区域21 4.7.24.7.2覆盖区域无线规划设计覆盖区域无线规划设计21 4.7.34.7.3无线设备汇总无线设备汇总22 五、无线设备清单23 六、附件：主要产品介绍24 7.17.1T TRAPEZERAPEZE 智能无线交换机智能无线交换机 -MX-200R-MX-200R 24 7.27.2T TRAPEZERAPEZE智能无线网管软件智能无线网管软件 -R-RINGINGM MASTERASTER31 7.37.3T TRAPEZERAPEZE 智能无线接入点智能无线接入点 -MP-71-MP-7135 七、TRAPEZE 公司简介.38 一、一、 东莞假日酒店无线网络建设需求东莞假日酒店无线网络建设需求 对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞 争，各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今 天，作为四、五星级酒店如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来，随着 来自世界各地商务客人的增加，全球信息技术的发展和无线网络的高速发展，以及 Internet 在国 内的迅猛发展，为酒店经营者提供新的信息服务成为一种趋势。这一方面提升了现代化酒店的服 务与管理水平，同时，也为酒店经营者带来了相应的利益。 可以说，网络不仅是酒店传播信息的工具，也是留住回头客保持入住率的有效手段，而无线 网络由于其移动性、便利性和灵活性的特点，更是得以在酒店中大显身手。商务客人一般会要求 酒店提供与其办公室和个人家庭相同的高速 Internet 访问能力，通过无线局域网就可实现灵活且 可扩展的网络解决方案。 酒店对于无线网络的建设有着不同的运营模式，有的酒店保留着运营商投资的模式，并参与 运营商的分成，如同原有的语音话费以及上网业务一样。但是运营商投资的模式，也让酒店自己 的分成利益减少了许多。在语音服务和上网出口在国内垄断的局面下，酒店也难有机会替自己增 加收入。无线网络的运用就不一样了，通过无线局域网的搭建，酒店可以在提高自己酒店服务水 准的同时为自己找到一个新的业务增长模式和利润创造点，并且在其基础上逐渐扩充出其他的业 务增长和服务新领域。 1.1无线网开拓新型服务无线网开拓新型服务 1.1.11.1.1 无线网卡上网服务无线网卡上网服务 无线网络的引入，使酒店开拓各种新的服务成为可能。譬如，在登记入住后，商务客人只需 简单地利用自己笔记本上的无线局域网卡或者从酒店租用一个无线局域网卡安装在其笔记本上， 在几分钟之内就可以实现以比电话连接速度快 100 倍的速率访问 Internet。无线局域网系统的安 装使客人可以非常方便和灵活地在酒店内移动办公，无论是在饭店客房、会议室、餐厅，花园还 是游泳池边。这样的无线高速访问能力，必将使安装了无线局域网络的酒店成为商务住店客人的 首选以及商务会议和展览的宠儿。 作为一项增值的服务，酒店可以在客人入住时，按天收取一定 的上网费用，直接向有无限局域网卡的用户提供无线上网接入服务，或者按每小时或每日不同价 格标准同时向没有无线局域网卡的客人提供无线局域网卡和网线上网双重服务。 1.1.21.1.2 酒店大堂的酒店大堂的 Internet 接入服务接入服务 商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作，或是在这些地方进行一 个小型的会谈，当客人需要处理电子邮件或是上网下载公司的资料时，得到的回答往往是：您必 须换一个靠近某个数据点的位置；您可以到商务中心去吗？或是必须回到房间里用电话线或者网 线才可以上网等等。 如果在酒店大堂内安装一到两个无线访问点，该访问点可覆盖需要提供无线上网服务的区域。 当客人需要上网服务时，可以利用自己的无线局域网卡或者到前台或咖啡厅的服务员处租用时租 或者是日租的无线网卡，这样客人就可以作为一个本地网络的用户自由地使用高速上网服务了。 1.1.31.1.3 客房客房 Internet 上网服务上网服务 在酒店客房内安装有有线网络接口，并通过 AP 覆盖整个大楼的每个房间。入住酒店的客人可 以通过有线无线多种方式上网灵活选择。如果客人在邻近网络插座的地方或没有无线网卡情况下 可以通过有线端口上网，另外客人可以使用自己的无线网卡或者酒店提供的无线网卡，插入自己 的笔记本电脑后就可以方便地上网了。 1.1.41.1.4 无线局域网语音应用无线局域网语音应用 目前大部分酒店的服务人员都是通过对讲机进行联系，非常的不方便，但是每一个员工都配 置一个手机，其使用成本太高，酒店是无法承受的。如果架设了无线局域网，这样酒店的服务人 员就可以使用 Wi-Fi 手机进行联络，网络范围内的 Wi-Fi 手机通话完全不产生费用。这样可以极 大提高酒店的业务管理的效率，降低酒店的运行费用，同时无线手机也能实现酒店语音交换机所 提供相应的使用在酒店中的功能和服务。 应用性 IP 电话可以看成一个智能网络终端，除了打电话之外它还可以实现与企业现有数据网 络上各种应用系统的集成，比如：通过电话发布企业内部信息、会议安排、即时查找员工目录信 息等，此外还可以结合行业特点实现特性化的行业应用，如在酒店业实现订餐、订票等客房服务 等。 1.2东莞假日酒店无线需求东莞假日酒店无线需求 1.酒店客人在会议室、宴会厅、商务中心、健身中心和行政酒廊使用笔记本上网； 2.酒店客人在大堂、餐厅和酒吧使用笔记本上网； 3.酒店客人访问无线数据网络业务无缝漫游； 4.酒店对无线 AP 设备集中安全管理和 RF 监控； 5.支持以太网供电（PoE） ； 二、二、 东莞假日酒店无线网络设计综述东莞假日酒店无线网络设计综述 根据东莞假日酒店的相关技术要求，在充分分析了市场需求和技术发展趋势之后，结合数据 通信发展的实际情况现提出以下无线网络接入系统建设规划书。下面我们就贵酒店无线网络系统 提出如下建议： 2.12.1无线网络架构无线网络架构 无线网络构建采用美国 Trapeze 公司的先进的 Wireless SwitchAP 构架无线网络产品系统， 该系统采用集中控制的理念进行设计，分布在各区域的 AP 只有通过无线控制器才能访问到网络资 源，集中控制器是一个智能控制系统，通过购买增强功能许可协议即可扩展很多安全特性，诸如， 防病毒防止和防火墙等功能。本系统优为突出的特点是：管理方便，易于维护。 2.22.2东莞假日酒店网络前景东莞假日酒店网络前景 东莞假日酒店无线网络建成后，入住酒店的商务客人可以利用配有无线终端产品的笔记本电 脑或高端的“迅驰”笔记本可以在会议室自由地接入互联网，提高其办公效率，可实现无线网络 与现有有线网络之间无缝连接。该无线网络能满足其所需的全部网络传输要求，包括传输文字、 声音、图像等，甚至可以多路声音、图像并发传输。用户可以在任何时间、任何地点接入网络， 满足他们对高性能、高灵活性以及可移动性的需要。无线网络全覆盖，同时建立酒店自己的 Portal page，宣传酒店，提高酒店的知名度；网络扩展容易；减少布线的成本而投资它用；高速 的无线访问能力，加速开展酒店“商务会议”和“展览”业务的推广；建立一个酒店的内部网站 （免费登录） ，便于客人浏览，网站上可以开展机票、车票预定等业务，同时可以展示酒店的美食， 查询酒店的相关信息，添加酒店餐厅，娱乐和设施等的网上预定服务，增加无线打印，传真业务， 客人可以到前台处领取打印材料，按量收费。 三、三、 TRAPEZETRAPEZE 方案的技术特点以及在酒店中的适用性阐述方案的技术特点以及在酒店中的适用性阐述 3.13.1先进而成熟的无线局域网交换架构先进而成熟的无线局域网交换架构 3.1.13.1.1 集中式的无线网络管理模式集中式的无线网络管理模式 一家普通的酒店，要实施无逢的无线网络覆盖，至少需要几十个甚至几百个 AP 无线设备，管 理和维护如此大规模的无线局域网是一件很头痛和花时间的事情。从射频信号的覆盖面，用户认 证，以及接入安全等，都需要低成本的解决方案。传统无线局域网的管理和维护是基于每一个单 独的 AP 进行，其大量的管理工作就是要逐一地对每个 AP 进行同样的设置和更改动作，即使是一 个很小的改动，也要将全部 AP 修改一次。如果 AP 数量不断增多时，维护量变得非常庞大和烦琐。 再者，无线局域网本应是一个整体的系统，AP 之间需要互相协调工作，单独改变一个 AP 参数会引 起 AP 之间的无线电波干扰、用户漫游重认证和授权等问题。 由此可见，TRAPEZE 公司推出强大的具有集中式管理的瘦 AP无线交换机架构，该无线架构 具有简单而强大的无线局域网集中式管理功能，AP 本身并不存放任何的配置文件，AP 的配置是从 无线交换机上获取的，通过无线交换机管理模式就可以统一管理整个无线网络的 AP。网管人员只 需简单地配置无线交换机，即可实现开通、管理和维护所有 AP 设备以及移动终端，包括无线电波 频谱、无线安全、接入认证、移动漫游以及接入用户。 无论多么庞大的酒店网络，TRAPEZE 的先进架构都可以让管理者在瞬间内完成所有 AP 的修改 和自动协调动作。例如，在酒店里共部署了 300 个分布在各楼层的无线 AP，出于安全性的需要， 每三个月修改一次 WEP 加密密钥，如果用传统方法，只能逐一对每个 AP 进行修改，估计需时几天， 而用 TRAPEZE 的集中式统一管理架构，只需几秒钟就完成了，效率是从前的几百倍。再者，对于 超大型无线网络（几千个 AP 数量级以上的网络） ，如果没有集中式的统一配置管理，是无法想象 的。自从有了集中式统一管理的无线架构后，现今越来越多的酒店开始逐步实施“移动边缘”战 略，因为不需再担心因规模问题导致额外的管理时间和成本。 3.1.23.1.2 无线射频的智能管理无线射频的智能管理 传统无线局域网射频管理是依靠工程师手动配置的，这种固定式，静态的管理手段并不灵活， 有很大缺陷，尤其不能适应大规模的无线网部署及动态复杂多变的无线环境。因此，我们需要更 智能化的动态射频管理。 TRAPEZE 的无线架构是基于无线交换机的集中式统一管理系统，而无线交换机正好是全局 AP 的中心和沟通桥梁。AP 与 AP 之间的射频信息通过无线交换机汇总后，通过 RF 智能控管，便可以 很方便地自动调节线上所有 TRAPEZE AP 的电波特性，而无需逐一设置，这是传统 AP 方式无法做 到的。 启动了 Auto-Tuning 后，AP 和 AP 之间便会自动互传相关射频的信息，然后计算得出最佳的通 讯频率和发射功率，直到 AP 之间达到了一个最优化的无线电波运行环境。而且，这种射频优化过 程是动态的，持续的，对于酒店行业这个复杂而多变的室内环境，经常会受到各类无线电波干扰， 拥有动态的射频管理是很必要的。 智能化的射频管理原理及主要过程如下：当在 TRAPEZE 无线交换机内启动 RF AUTO-TUNING 这 功能，于是无线网上所有的 TRAPEZE AP 都会在设定的时间内自行扫描其它的无线频道。所谓电波 扫描，是指 TRAPEZE AP 从一个电波频道跳到另一频道时，如 Ch 1 到 Ch 2 到 Ch 3，由于 扫描的速度非常快，所以对于连线的无线用户（指连接到 AP 上在同一频率上的无线终端）传输过 程是不会受到影响。当 AP 停留在一个频道时，它会把在这频道上收到的无线电波信息转送回 TRAPEZE 无线交换机。这样 TRAPEZE 无线交换机就对整个无线网上的整体无线电波情况有一定了解 和记录，并通过优化算法，计算得出每个 AP 最佳的无线频率和发射功率。当某一覆盖范围内的电 波改变或出现干扰时，TRAPEZE 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要 调整这范围内 AP 的无线电波。 3.23.2具有安全保障的网络平台具有安全保障的网络平台 在传统的无线局域网解决方案中，为保障网络的安全，许多客户把所有无线流量拒之于防火 墙（从 DMZ 区接入）之外，用户不得不绕道进入单位网络。从安全性方面看，这是个好方法，但 却使网络设计达不到最优状态而且导致性能劣化，因为 WAN 级别的防火墙突然之间要被迫应付许 许多多以无线局域网速度访问的接入点。这种技术由于“统一尺码”的访问控制方法而不够灵活， 因为它赋予所有无线用户相同的网络权限。如果不采用上述的解决方案，而是将无线系统直接连 接到楼层交换机，这样用户连接至 AP 以后，所有的访问都将无从控制，对客户的网络安全更是极 大的威胁。在酒店园区网的环境中，由于来往的人员多，流动性很大，如果只是靠内网和外网的 隔离，不能很好的提供服务给不同身份的用户。 而 TRAPEZE 无线系统的安全管理是将访问控制、安全认证、防病毒、无线入侵监测以及 RF 电 磁波管理等多项安全功能汇聚到 TRAPEZE 无线交换机上来完成的，解决了传统的无线网对安全的 分散管理（AP、AC）和能力，给用户带来的安全感，摆脱了对有线网安全的依赖性。 3.2.13.2.1 无线用户网络接入的安全管理无线用户网络接入的安全管理 由于无线客户端是移动的，因此，Trapeze Network 使用创新的基于身份的组网来提供网络 服务。这种方法基于用户身份而非端口或设备。群组与移动域(Mobility Domain)中的多个交换 机共享用户数据库，以便跨越整个网络（包括远端局）实现移动性和安全性。当用户漫游网络时， 通过这种无线网络范围内的信息交换，以实现在网络范围内执行一致的访问和安全策略。用户位 置、安全性以及访问详细信息迅速地在交换机或控制器之间传输，而不再依靠连接，这可在保持 无缝安全性和会话完整性的情况下快速漫游，而无需再次认证，在保持会话完整性的情况下快速 漫游还可与 Wi-Fi 语音电话进行交互。 无线交换解决方案根据 Trapeze Network 的加强无线安全性功能建立，以增强对网络的保护。 Trapeze Network 的现有无线安全性基础包括与 WPA 和 802.1X 认证结合的 AES、TKIP 以及 WEP 加密，而现在的方案通过集中式安全管理显著增强了无线安全性。在移动域(Mobility Domain)内进行基于用户的信息交换增加了一个全新的控制级别，用于控制用户和组对网络资源 的访问权。此外，当用户漫游时，在无线交换机之间共享用户特定的安全策略将能够在整个无线 网络范围内一致地控制用户属性和组属性。 3.2.23.2.2 无线网络的安全防护和监控无线网络的安全防护和监控 Trapeze 已和无线入侵防护系统 (IPS) 的先驱和领导者 AirDefense 建立了合作伙伴关系， 以最低的拥有成本共同提供业内唯一的完全集成的 IPS。 集成的配置和管理 与独立部署的 IPS 相比，极大地优化了添加、移动和变更之类的 任务，配置工作减少了 50%。网络管理员可以在一个控制台上监控 WLAN 运转情况和警报。 NIAP 公共标准认证 AirDefense 是唯一一家通过了 NIAP 公共标准认证（美国国防 部要求）的无线 IPS 供应商。 360o 全方位防御 260+ 威胁 Trapeze/AirDefense 解决方案可抵御非法设备、拒绝服 务攻击、欺骗合法热点的“Evil Twins” 、配置不当的计算机和许多其他威胁。 247 不间断监控 时间片监控会给威胁留下网络漏洞，Trapeze/AirDefense 解决方 案会连续不断监控无线频道，以防任何潜在威胁。 全面的取证分析 超长期取证数据库让人们能够更深入地了解试图的攻击、有助于进 行调查和安全规划以及防御未来的攻击。 通用硬件 Trapeze Mobility Point 接入点和 AirDefense 传感器利用完全相同的硬 件（即一个用于安装、存储、维护和操作的组件） ，因此减轻了 IT 负担，降低了成本。 动态威胁响应 为进行快速反击，可以快速将接入点转换成传感器，之后又将其转换 回接入点服务，这就将所需的专用传感器数减少了 50% TRAPEZE 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线 入侵模式库，实时检测异常的无线数据包，当 TRAPEZE 无线系统侦测出有入侵时，它会记录和显 示入侵的格式，并对入侵做出自动保护响应。 3.2.33.2.3 无线局域网的认证与加密无线局域网的认证与加密 通过使用强大的身份验证和加密功能，Trapeze 智能无线网可防止滥用和窃听，并可将多个 非公开用户组之间的通信隔离开。TrapezeMobility Point 接入点中实施的分布式加密算法可确 保安全策略可以升级。 基于 802.1X 的身份验证 最安全的企业级身份验证方案 AES CCMP 加密 业内最强有力的加密算法 Wi-Fi 联盟 WPA2 最高级别的无线安全认证 全面的访客访问控制措施，可保障公司网络和资源的安全 3.2.43.2.4 防御不可信和不良客户端设备的侵扰防御不可信和不良客户端设备的侵扰 Trapeze 智能无线网通过检查是否装有最新的安全修补程序和 Service Pack、防火墙、防病 毒软件以及防间谍软件，来防止配置不当或已感染的设备访问网络。端点保障功能包括： 可信网络连接支持 作为可信赖计算联盟 (TCG) 的积极参与者，Trapeze 支持 TCG 的 可信网络连接 (TNC)，这个行业标准方法旨在保证访问控制和端点的完整性。 Symantec On-Demand Endpoint Protection Trapeze 已在 Trapeze Mobility Exchange 交换机中内置了 Symantec 公司On-Demand Protection 代理。该安全代理在允许 端点访问网络之前先查看其是否符合公司的安全策略。 Microsoft Network Access Protection (NAP) 支持 Trapeze是 NAP 解决方案的合作 伙伴。Trapeze Mobility System 与 MicrosoftNAP 基础结构一起合作，共同确保端点的完 整性。 支持端点补救服务 包括隔离和转向到补救服务器。 3.2.53.2.5 无线射频终端的定位无线射频终端的定位 实时跟踪并定位贵重资产是酒店行业必不可少的要求，因为在这些行业，延误意味着高昂的 成本，甚至会威胁生命。通过与基于 Wi-Fi 的定位系统方面的行业领导者们合作，Trapeze 的智 能无线网可以最低的拥有成本提供可扩展性最大、基于 WLAN 的集成式实时定位解决方案。 智能无线网体系结构确保了应用程序的可扩展性智能无线网提供业内可扩展性最大的位置跟 踪服务，让组织机构可以在整个企业范围内部署，而不用担心会削减其他应用程序的性能或要牺 牲未来的 Voice over Wi-Fi 部署规模。与其他基于 Wi-Fi 的定位解决方案不同，Trapeze可提 供可靠的实时定位数据，却不会给 WLAN 控制器造成额外的负担，一切都可通过智能无线网的智 能交换体系结构来完成，这个交换体系结构允许网络管理员通过分布式交换来优化位置的应用程 序的性能。 Trapeze 已和多家位置服务技术领导者（包括 Newbury Networks、PanGo、AeroScout 和 ekahau）建立了合作伙伴关系，可确保完整的位置跟踪配套环境。除了支持快速部署资产管理、 工作流、资源规划和网络管理应用程序，Trapeze 解决方案还包括有用的即用型位置跟踪工具， 以及用于集成的 API。我们的合作伙伴还提供其他现成的、以企业为中心的位置跟踪应用程序。 Trapeze 解决方案支持任何 Wi-Fi 客户端，以及任何波段上的调频或信标“标志” 。不需要 任何特殊的客户终端软件或代理。 快速响应时间和定位报告的精确度是部署实时定位服务中的关键因素。许多任务关键的定位 应用程序都要求快速准确地将位置精确到几米内。智能无线网基于位置的服务能够准确地检测并 监控整个企业内的数千台设备的位置，同时还能提供业内最高的整体性能。 通过使用现有的 WLAN 基础结构来支持位置服务，客户可以比部署独立的定位系统低得多的 成本实现相同的功能。事实证明，Trapeze 智能无线网的拥有成本低于所有其他 WLAN 的拥有成 本，客户可以轻松地利用其 WLAN 基础结构来实现目前成本最高效的定位解决方案。 3.33.3支撑多业务的网络应用支撑多业务的网络应用 3.3.13.3.1 无线网络的无线网络的 QoSQoS 实施与保障策略实施与保障策略 TRAPEZE的AP所使用的硬件支持无线多媒体扩展（WME）的队列，同时可以将这些射频的队列 映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级 当前我国酒店行业的通信系统正面临着升级换代的重大转折点。新环境下酒店对于通信的需 求，已经不能仅仅满足于以往的传统电话、上网功能；除了在酒店内部搭建高效、通畅、低廉的 通信网络外，还应该包括向客人提供便捷、先进的通信业务和多媒体信息服务等新内容，以便改 善酒店条件、客人感受，并为酒店创造新的业务模式，提高工作效率。融合语音数据、实现多媒 体协同、室内外无线覆盖、多种终端及应用集成这些当前最时髦的“融合通信”的相关理念， 已经开始叩响部分酒店的大门，为酒店行业的信息化吹进一缕清新的风。 当所有的数据、语音和图像的应用共同运行在酒店的无线网络环境中时，TRAPEZE的无线解决 方案可以根据酒店网络应用的实际需要保证不同重要性的应用具有不同的优先级，从而保证在网 络流量发生拥挤时关键性应用的网络服务质量。例如：电子Check In系统，酒店内部VOIP语音系 统，无线视频监控系统，当这些应用统一运行在TRAPEZE无线网络平台上时，在TRAPEZE的解决方 案中可以支持对不同的应用的优先级设定从而保证在TRAPEZE无线平台上保证关键应用的网络带宽。 3.3.23.3.2 网络系统的自愈功能网络系统的自愈功能 传统无线网络里的每个AP都是一个独立的个体，相互之间不存在任何沟通与协商，如果有某 一AP突然损坏或失效时，这个AP原来覆盖区域就会失去无线连接，无线网络变得不可用。遇到这 种情况的一般做法就是马上把失效的AP更换。但由于大多数的AP都是布置在楼道里(并不是在机房)， 所以不一定能马上作更换，现场的环境也有局限性，很多时候维护人员较难即时做出更换动作(很 多的AP都是安装在天花板上)。而且，从故障发现，处理，找到新AP，替换，整个过程需时漫长， 尤其是这对于一些紧急的应用是不能接受的。因此我们必须寻找另一种方法去缩短故障处理周期。 为了提高无线网络的可用性和增强整个架构的冗余性，TRAPEZE系统设计了故障自动恢复的功 能，即实时侦测出线上AP是否存在失效，当发现有AP出现故障时，TRAPEZE无线交换机能自动调节 邻近的AP射频参数，一般是加大发射功率（覆盖范围）共同接替失效AP原先覆盖的范围。 3.3.33.3.3 无线接入的负载均衡无线接入的负载均衡 在酒店里，当用无线网的人较多时，争用共享的无线带宽，尤其是局部使用较密集时，必需 有合理的负载均衡去分配带宽才能获得较高的应用效率。在一个AP的覆盖范围内，无线连接的带 宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输 就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。例如10个 客人同在一会议内开会讨论时，在传统的无线架构下，这10个客人同都连接会到同一个AP上，于 是大家都一起共享这54M的带宽，而可能邻近的AP只有较少的用户连接。为了更合理地分配带宽， TRAPEZE提供了网络负载均衡功能。TRAPEZE的无线系统是一个集中式的管理系统，逻辑上相当于 一个大的AP在统一管理，统一协调，在无线交换机里有全部分布AP的列表和负载状况，于是，无 线交换机会跟据一定的算法，指示一些连接用户数量较多的AP把其覆盖范围内的无线用户或终端 分散连接到邻近的AP上，从而分担AP的负担，达到最佳的使用效果，网络资源亦得到充份的利用。 负载均衡功能在语音和视频应用中显得尤其重要。 3.43.4智能无线交换智能无线交换 由于兼具集中的 WLAN 管理和优化的通信流量，智能无线网可以提供当前性能最高的 WLAN 已采用802.11n 标准，没有高昂的升级费用。 Trapeze首先提出的智能交换是第一个也是仅有的一个 WLAN 体系结构，它能够根据基础应用 程序的要求以集中或分布方式转发数据。例如，Voice over WLAN 就要求极短的延迟。智能无线 网的智能交换技术（专利技术）以分布方式转发语音通信，即直接从接入点转发到接入点，而不 必每次都经过中央控制器，从而将延迟缩至最短并允许大规模的 VoWLAN 部署。 尽管分布式转发具有效率优势，但某些应用程序仍需要集中式转发。例如，访客的通信就需 要保留在防火墙之外。智能无线网允许客户通过指定的控制器集中转发所有访客的通信，以保证 它们与内部网络严格区分开来。智能无线网是唯一一个提供此灵活性的企业WLAN 解决方案。 IEEE 802.11n 标准将开创超高速无线技术的新时代，市场推出各种802.11n 无线电通信设备。 新标准指定数据传输速率高达 700 Mbps，而现在的最高速率为 54 Mbps。802.11n 将使网络负载 量增加 12 倍，当代 WLAN 控制器无法处理这一负载量。 因此，某些 WLAN 供应商建议客户购买昂贵的新控制器以支持 802.11n。而 Trapeze 的采用 智能交换技术的智能无线网体系结构则截然相反，它可以扩展到支持将增加 12 倍的网络负载量， 而不需要客户升级其整个交换网络结构。 通过智能交换，智能无线网将大量的处理任务（包括数据转发、加密和策略实施）从控制器 交给了接入点。由于极大地减少了控制器的负担，智能无线网可以毫无困难地处理 802.11n 将带 来的 12 倍的吞吐量。智能无线网在扩展的同时会增加非凡的效率，因为每个接入点都会增加网 络的处理容量。这和使用集中式体系结构的WLAN（例如，Cisco 和 Aruba 的产品）相比，效率要 高得多，成本却低得多。因为在集中式体系结构的 WLAN 中，每个接入点都会大大增加控制器的 负担，这意味着，随着接入点数量的增加，需要更多和/或更大的控制器。 3.53.5无限的无限的 WLANWLAN 运行周期管理运行周期管理 Trapeze 智能无线网中内置了获奖管理套件 RingMaster，使 IT 经理们能够在部署前后执行 规划、配置、监控和优化 WLAN 的工作。使用 RingMaster 的客户端 服务器体系结构，客户 能够轻松部署多站点网络。单台服务器可以扩展到支持 500 台交换机，数千部无线电设备和数万 个客户端。 智能虚拟场地量度调查和容量规划工具，简化了网络规划工作。 集成的 3D 规划程序 让 IT 经理们能够规划整个建筑或仅一个 楼层 自动计算信号损失 利用建筑障碍物资料库 自动生成的无线服务区地图和工作单 提供每台交换机的配置数据、每个接入点的最优 功率级别、接入点数量及其位置 自动优化 提供性能数据以便不断改进 WLAN RingMaster 利用网络计划来进行只需单击两次即可轻松完成的服务和安全策略配置。功能强 大的任务向导会引导您完成整个配置过程： 网络级语音服务向导 单击两次即可设置 网络级安全配置文件服务向导 单击两次即可设置 多交换机部署向导 单击一次即将配置数据推送安装到所有交换机 网络级变更管理 确保网络变更的稳定性 RingMaster 让网络管理员能够轻松地看到网络中的任何一层和任何设备或客户端。 面板视图 提供空前的网络活动可见性 网络级错误相关和定位 显著加快并简化了网络故障排查工作 深入查看错误或事件的详细信息 30 天趋势监控 RingMaster 包括全面报告工具，让 IT 人员能够设定网络性能的底线并跟踪使用趋势，这对 于规划改进和扩展是最基本的要素。 1 小时到 30 天的全面报告 最终用户定制报告 趋势报告 网络活动的历史数据 四、四、 东莞假日酒店无线网络通信系统的设计与实施方案东莞假日酒店无线网络通信系统的设计与实施方案 4.14.1整体系统架构设计整体系统架构设计 4.1.14.1.1 设计原则设计原则 结合酒店中心的网络和应用需求以及TRAPEZE解决方案的特点，无线网络通信系统的设计原则 可以分为以下几大点： 采用无线交换架构组建无线网络子系统； 利用现有的有线网络资源，架设“层叠”网络，保持已有的有线网络配置 和设置不更改； 用户子网和设备子网隔离，无线用户无法访问设备子网； AP 的 IP 网络设置从 DHCP 获取或者进行安装前静态配置，AP 的无线网络 设置由交换机集中推送； 4.1.24.1.2 拓扑结构拓扑结构 如下图所示，在整个无线网络系统当中，部署TRAPEZE的1台无线交换机MX-200R放置在数据中 心，与核心交换机之间采用VLAN trunk进行连接；而楼层中的AP通过隧道汇接回到无线交换机， 途经楼层汇聚有线交换机和其它相关的有线网络设备。共部署78个MP-71（本方案中的AP选型为 Trapeze的MP-71） 。 在这样的网络实现当中，AP 上用户的流量都将通过 AP 与无线交换机建立起的隧道，流向无线 交换机，在经过相应的策略匹配之后，用户会被要求认证，或者流量会被转发/丢弃。 4.1.34.1.3 设备选型和配置设备选型和配置 由于此次无线网络通信系统需要部署东莞假日酒店，还需要考虑到备份中心使用的备份策略， 同时还需要为将来各大楼的无线部署做扩容准备，所以在设备选型的时候需要着重考虑设备性能， 冗余方案，扩展能力等因素。综合了以上几点之后，设备的型号以及配置见第8节的设备清单。 4.1.44.1.4 核心交换机连接核心交换机连接 采用1台TRAPEZE MX-200R交换机，放置在东莞假日酒店的网络机房，每台TRAPEZE MX-200R无 线交换机标准配置可以支持32个AP，通过添加license可以最大支持192个AP接入和管理，完全满 足东莞假日酒店无线覆盖的需求。无线交换机和AP的连接可以穿透三层，因此，方案的实现完全 不影响原有网络的结构，并且可以实现全网的漫游。 AP的供电采用单独的PoE供电设备（或与原有的普通楼层交换机配合，不用添加新的POE交换 机） ，用于AP的数据接入和供电，又不增加过多的成本。 在TRAPEZE的解决方案当中，无线交换机的放置位置需要注意以下两点： TRAPEZE 的无线交换机与相连核心交换机/路由器之间端口协商的匹配性：如果存在 着匹配失误的情况，则整个网络的稳定性会受到影响，具体表现为 AP 会进行自我 的重新启动。 TRAPEZE 的无线交换机与核心设备之间相连的 VLAN 情况需要和网络的规划一起进行， 一般来说，TRAPEZE 无线交换机和网络核心设备之间会建立 VLAN trunk 的标志， 用于将用户划分到不同策略的 VLAN 当中去。 4.1.54.1.5 接入层接入层 APAP 部署部署 TRAPEZE方案能够方便的实现跨三层部署，接入层的AP部署只是需要拿到属于自己的IP网络设 置和网络中已经部署的TRAPEZE交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中 的复杂程度，减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。 通常，视AP需要管理的程度，以及有线网络的整体架构来规划AP的部署。 （根据实际情况填加） 4.1.64.1.6 用户接入策略用户接入策略 从东莞假日酒店的用户分类与分布情况分析，用户主要分成以下几类： （1）酒店工作人员； （2）酒店客人； 使用网络是被分为不同的业务类型，因此，在设计上采用无线局域网多SSID技术，设置多业 务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一 个可给外来的客户专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分 SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域 内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线 终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端 以不同的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况 时数据包的封装格式，所以在使用不同的加密程式时，如WEP,TKIP(WPA),802.11i(WPA2)，它们是 不可能在同一个SSID内同时存在的。 用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使 用二个SSID，一个定义为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使 用。未来的发展趋势是新增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。 不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终 端一次更换成最新的软件程序。 SSID可以覆盖全网，也可以只局限于东莞假日酒店网内的某些范围。一般的情况下是全网开 通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以无线覆盖范围通常 只会局限在某些范围内。 所以针对东莞假日酒店无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和 控制。东莞假日酒店领导员工、东莞假日酒店旅客用户，可以采用专门的SSID，可以采用级别较 高的认证和加密手段。 4.24.2认证与加密方案认证与加密方案 4.2.14.2.1 设备认证方式建议设备认证方式建议 酒店中心将会存在两种类型的用户，一是网络移动设备，而是酒店中的接入用户。 对于运算和存储能力都相对比较弱的移动终端设备，目前业界普遍的做法是使用静态WEP与基 于MAC地址的认证方式来进行设备接入认证。TRAPEZE无线网络解决方案支持内置和外置的MAC地址 数据库用于网络的设备认证，同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施，使 得对于此类网络的破解大为困难。 无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备，对于可以借助网络 进行其它业务操作的数据用户，也应该同样提供数据传输的能力，并且保证两者互不干扰。 TRAPEZE所架设的无线网络系统支持多SSID，能够利用一套物理网络设备建立起几套虚拟的无线网 络环境，并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访问的时 候，TRAPEZE可以提供包括开放系统在内的五、六种认证方案，包括：WEB页面认证，802.1X认证， 基于SSID的认证等。用户在接入网络之前，透过无线网络子系统把相关身份信息发送到后台的认 证数据库当中，只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。 4.2.24.2.2 数据传输加密数据传输加密 TRAPEZE架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。 在酒店中心的通信系统，正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数 据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息，端到端的通信受到先进加密算 法的保护。TRAPEZE架构中可以直接对二层的无线网络数据采用AES算法进行加密。 4.34.3网络管理措施网络管理措施 4.3.14.3.1 性能管理性能管理 QoS保证/负载均衡：如果一旦发生多个终端竞争一个AP的时候，基于流量和基于用户/终端数 目两种负载均衡功能都将被启用，从而根据现场的负载情况进行均衡操作。 4.3.24.3.2 故障管理故障管理 AP的双备份：TRAPEZE的设备支持冗余部署，如果是集中控制的无线交换机失效，注册到该控 制器上的AP会重新注册到网络中另外一台TRAPEZE无线交换机上，保证网络的连续可用性。如果是 AP到主交换机的连接出现问题，AP也可以向从交换机发起连接申请，建立集中式的无线网络，以 此来确保网络的运行。 自愈功能：TRAPEZE的系统中AP具有自愈的功能，当一个AP失效的时候，附近的AP可以感知到， 通过加大发生功率来覆盖失效AP原来所覆盖的区域，达到自动治愈网络覆盖空洞的目的，也提高 了网络的可用性。 4.44.4无线信号监控无线信号监控 4.4.14.4.1无线信号自动优化与调整无线信号自动优化与调整 传统“FAT AP”组建的无线网络，在建设初期，需要对无线频谱及 channel 和发射功率进行 规划，以降低同频干扰，但是无线信号受到用户数、天气、湿度等环境影响因素较大，一旦外界 因素发生变化后，如果 AP 仍使用原始参数进行运行，必然导致信号强度降低、覆盖区域缩小等情 况，导致网络运行不稳定。 采用 Trapeze Mobility System 解决方案，支持 RFRF Auto-TuneAuto-Tune 技术。MP-71 AP 可以监听、扫 描所在空域中的信号强度和使用量，并将数据传送至位于核心的 Trapeze MX-200R 无线交换机上， MX-200R 根据各 AP 报告的测量数据进行一个全局的调配，例如，当某一区域多数 AP 报告信号不足 时，MX-200R 可以动态改变该区域内相关 AP 的发射功率；当 AP 报告该区域内有相同信道信号时， 则可以动态调整相关 AP，以避开信道的重叠。 Trapeze Mobility System 的 RF Auto-Tune 技术以可动态地调整流量负载、功率、射频覆盖 区域和信道分配，以使覆盖范围和容量最大化。 4.4.24.4.2非法信号的侦测、告警非法信号的侦测、告警 感知无线电可提供监测 WLAN 所工作的射频环境的功能，能对非法接入点与无线入侵者进行探 测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态，对提供高水平的网络性能与 安全非常必要。 采用 Trapeze MP-71 企业级 AP 组合，能够支持两种模式来对非法电磁信号进行监测：一种方 式为 MP-71 AP 在做 Data AP 的同时，每隔一段时间主动进行 ActiveScanActiveScan；另一种方式可以将 MP- 71 设为监听模式， （称之为 SentryScanSentryScan）与前一种方式不同的是，此种方式为连续监控连续监控。 Trapeze MP-71 型 AP 通过上述两种方式，采取按需的按需的或预设定的预设定的射频扫描来监听周边环境的 信号源的 MAC 地址, Channel,类型及 SSID 等，自动识别并警告未授权的 AP 或 Ad-Hoc 网络，以避 免潜在的干扰或与无线入侵者。另外，对于某些重点区域，还可以部署专用 AP 不断地扫描空域， 以便对要求更高安全性的环境提供全天候保护。 4.4.34.4.3非法信号的主动反制非法信号的主动反制 当系统发现非法信号后，可以根据管理