餐饮酒店行业无线接入整体解决方案(word版).doc

酒店餐饮行业无线接入整体解决方案目 录一,酒店无线化趋势4二,酒店网络现状及需求分析42.1无线网络覆盖需求42.2无线网络开展应用需求5三,wlan网络设计原则6四,无线网络整体架构设计方案74.1 网络拓扑设计74.2 无线网元说明94.3网络可靠性104.4组网方式：fit ap114.5无线安全接入、认证方案114.5.1推荐内部工作人员无线办公无线接入802.1x+ad124.5.2推荐客人的安全无线网络接入portal认证154.6网络管理17五,xxx酒店wlan设计方案215.1 无线覆盖原则215.2 无线频率规划225.3客房wlan部署难点及设计方案235.3.1客房wlan部署难点235.3.2面板式ap（ae5000-en2w）客房wlan覆盖的利器245.3.3面板式ap的优势：245.4 ap部署设计255.4.1面板式ap部署方案255.4.2室内吸顶式ap部署方案265.4.3 室外型ap部署方案275.5方案优势28六, 产品选型29七 ,产品介绍317.1 ax7000系列智能无线控制器317.2 ae5000 en2w系列面板式无线接入点377.3 ae5000系列室内型无线接入点41一 酒店无线化趋势近年来，随着国内旅游业的蓬勃发展以及各种商务活动异地化、全球化的趋势，人们对酒店客房的需求爆炸性增长。这为国内酒店业的发展提供了良好的契机，但随之而来的行业竞争也日显激烈。在各酒店硬件条件日趋同质化的今天，如何通过提高服务意识和服务水平吸引更多的潜在客户并将其发展为酒店的忠实客户成为各酒店管理者不断深入思考的问题。 随着国际互联网在国内的广泛普及和全球信息化的不断发展，作为酒店主要服务对象之一的商务人士对网络的依赖日益增强。同时，从酒店的服务及管理角度出发，其自身也需要依赖网络来实现现代化的服务并提高管理水平。因此，网络建设逐渐受到酒店管理者的关注并被提到议事日程上来。但如何在建设网络的同时减少对酒店经营业务的影响并有效提高酒店在同行业中的竞争力是酒店管理者重点考虑的问题。 在酒店网络建设中如果采用传统有线网络进行建设，一方面需要对酒店进行大面积的布线施工，这将严重影响了酒店的日常经营活动；另一方面，有线网络的整体施工周期较长，将会使增加酒店的投资回报时间。而近年来逐渐兴起的无线局域网络（wlan）以其技术成熟、快速部署、易于扩展、可移动性和使用便利等特点，迅速在酒店网络建设中大显身手，成为酒店网络建设的主要技术之一。二,酒店网络现状及需求分析122.1无线网络覆盖需求1) 采用wlan方式对酒店进行无线覆盖，能够为客人提供移动的无线网络接入，提供优秀的数据转发能力，可通过移动终端方便接入internet。2) 无线设备应能够支持应能够实现灵活部署和便捷维护3) 无线网络建成后，无线设备可做到统一管理，能够远程完成设备配置、软件升级、自动信道选择和功率调整等，方便管理方在中心机房对全部设备进行管控。4) 可实施灵活的认证计费策略，能够实现基于用户角色的身份的识别和控制5) 无线支持分布式转发，对现有网络架构零影响6) 方案应具备灵活的扩充性，随着覆盖区不断增加，能够在此方案基础上进行扩展。 7) 无线网络应具备优秀的安全性。2.2无线网络开展应用需求随着智能手机和平板电脑等移动终端的普及，酒店客人对网络的需求从提供客房有线网络向酒店全方位无线覆盖转变，同时，从酒店的服务及管理角度出发，其自身也需要依赖无线网络来实现现代化的服务并提高管理水平。目前，酒店借助无线网络能提供如下服务：1 无线上网服务在客房、餐厅、会议室等地点为入住酒店的客人随时随地提供网络接入服务；2 无线check in/check outcheck in：只需要在手持终端上输入客人的信息，就可以将登记指令通过无线网络传递给酒店的管理系统。缓解入住高峰时酒店前台的接待压力，客人等待时间大大缩短，从而提升酒店服务水平；check out：客人的退房手续可在房间中办理，简化流程，提高效率3 无线语音利用一台手持终端，除了为客人进行入住/退房、点餐等服务，还可以利用无线网络进行语音通讯，既节省了费用，又方便了员工的工作。酒店管理者通过对酒店进行无线网络覆盖，向宾客提供良好的网络接入服务，以提高酒店的服务品质和对外形象。该无线网络需要为宾馆提供安全的网络接入，以保护宾客及酒店运营网络的安全。同时，作为一套先进的网络，该网络还需要提供友好的管理方式，力求做到易部署、易维护、易扩展，最终实现网络的可管理、可运营，以最大限度减少酒店管理者对网络的总体拥有成本（tco），并保护酒店管理者的投资回报。根据对某酒店的需求分析，并经过严格评估。我司采用傲天动联高性能wlan解决方案来建设某酒店无线网络。三,wlan网络设计原则为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统，以保护网络拥有者的投资，在本网络设计上严格按照以下无线网络设计原则进行设计： 先进性所选产品及其组网技术必须达到国际先进水平，并具备适当的技术前瞻性； 高性能所选产品硬件设计上严格依据业界同等技术最高性能标准进行设计； 所选产品软件开发必须采用优化的平台进行开发； 所选产品必须经过严格的功能和性能测试，并达到标准； 高可用性提供多种故障恢复和冗余备份机制；提供各种网络负载分担机制；设备需具有一定程度的智能特性，以提高网络的可用性； 可管理性设备必须提供界面友好、易于操作的管理方式；为网络管理者提供多种易于使用的故障定位手段；对用户的接入提供灵活、安全的管理手段； 安全性必须对无线用户提供全面的安全接入保护能力；对无线网络中存在的不安全因素具有发现和告警（或抵御）机制； 可扩展性设备必须具备技术前瞻性和向后兼容性；组网灵活，易于扩展； 开放性设备功能研发尽可能遵循国际标准的协议；可根据客户应用需求开放必要的应用接口；经济性和实用性 所选产品具有较高的性价比；四,无线网络整体架构设计方案4.1 网络拓扑设计 组网说明：xxx酒店鉴于现在办公内网和酒店客户使用的互联网属于物理隔离开的，属于两套独立的网络，随着移动互联网的发展，客人的无线上网需求日益强烈，为了更好的满足商务客人的无线上网需求，酒店决定建设一套无线网络，该无线网络能同时使商务客人无线接入使用互联网业务。同时也能使酒店办公人员，使用无线网络进无线办公使用。节约用户的无线投资。ac设备旁挂部署在酒店核心机房的核心交换机上。ap设备通过poe交换机接入到网络当中，poe交换机通过光纤和汇聚交换机相连，接入到网络当中。为了使一套无线设备酒店员工和客户都能同时使用，需要把酒店客房网络和酒店的办公内网连接起来。通过在两个网络的核心设备上建立一个业务vlan 用于两个网络的互联互通，并在核心层设备上做严格的acl访问控制，提高安全性。在整个无线网络当中，无线ap广播两个ssid 分别为，kefang 和 office 。kefang的ssid用于客户连接使用互联网业务。该ssid建议采用portal 认证方式，并启用byod服务，顾客可以使用固定账号密码接入到互联网也可以通过手机号自注册方式接入到互联网，方便商务客户的使用。office的ssid主要是提供给酒店员工进行无线办公。需要考虑到无线网络的安全性，该ssid建议采用使用802.1x认证，用户需要有固定账号密码，并且把该ssid进行隐藏。是其他酒店客户不能发现该ssid。同时还可以在该ssid启用白名单服务，绑定用户的mac地址，即使员工的用户名和密码泄露，mac地址不对，也不能接入到网络当中。同时可以开二层隔离。用户间不能相互访问，总上各种安全及技术结合在一起，可以确保整个无线网络的高安全性。4.2 无线网元说明如上图所示xxx酒店的无线网络由下至上，分别由ap设备、poe接入交换机、汇聚交换机、核心交换机、(无线控制器)、aaa服务器，portal（网管系统）等几部分组成。 ac设备： 在无线局域网中，访问控制器（ac）是一种不可缺少的设备。除了在无线网络中担任管理者的角色外，ac还要充当业务接入网关完成有线网络中的一系列功能（例如鉴权，认证等等）。在大规模部署时，能快速部署，集中对ap设备进行管理。ac主要面向宽带无线接入业务运营商及有无线接入网络的企业，可以全面支撑宽带无线业务的运营与管理。ac对ap进行统一的配置管理，自动扫频，自动调整ap频段，防止同频干扰，对ap进行统一的配置以及升级。ap可以做到零配置。ac实际上就是把胖ap的部分功能，上移到ac上，由ac进行统一的管理和配置。同时ac可以具有bas的功能，对用户完成鉴权，认证和授权，分配带宽等功能。ac进行路由选路转发业务流量。ac设备选型比较简单主要根据可以管理瘦ap的数量进行选型。 ap设备：ap主要负责无线终端用户的接入，数据转发，无线数据的加减密，以及802.11和802.3协议的相互转换等功能。ap的选型，可以根据模式进行选择如802.11a/b/g 和802.11n 。按放装的类型可以分室内放装型和室外放装型。应该根据实际的部署方式选型。 网管系统：wifi网管是傲天动联推出的无线网络管理系统，主要提供增强的管理、无缝的安全性，并且易于规划各种规模的无线网络，提供对 ap、交换机和控制器的全面控制以优化网络并增强安全性。 aaa系统，portal 服务器可以部署在城域网的核心交换上，通过ip互联，为整个wifi用户提供认证计费服务，支撑整个wlan运营系统。ac设备强制未认证用户推送portal认证页面，用户输入用户名密码后，发送到ac设备，再有ac设备发给aaa进行认证，认证完成返回认证的结果，并返回计时页面。4.3网络可靠性1. 控制器支持1+1备份 当一组控制器中的某一台控制器故障时，在其下连接的所有 ap 将无缝地切换到备用控制器中，被切换的控制器下连接的所有客户端将无中断的继续工作和访问网络。傲天动联的实时备份主要优势在于，处于vrrp 状态下连接的无线 ap，均同时支持两路管理隧道的上连，一路连接主用控制器，另一路接备份控制器，这样当主/备控制器切换时，客户端的连接不受任何影响。2. dhcp server备份傲天动联控制器处于n+1备份时，可以实现dhcp server热备，用户通过主用控制器dhcp地址分配后，主备控制器之间同步dhcp地址池信息。当主用控制器 故障时，会切换到备用控制器的dhcp server, 因备份控制器已经预同步了dhcp的地址池信息，可以避免用户重新申请ip地址和用户业务中断。3. 采用全模块化、多进程设计的网络操作系统多进程全分布式操作系统，其特点是运行在多核cpu之上，系统根据功能模块分为多个进程，每个进程运行在各自的独立的受保护的内存空间上，各进程彼此运行不对其他进程产生影响，一个进程的错误仅仅导致此进程相关的业务不能运行。软件升级可以单独升级进程并重启进程，不会对整机所有业务产生影响，全面支持issu（in-service software upgrade），让网络设备更可靠。4.4组网方式：fit apfit ap组网方式，所有ap统一通过无线控制器设备管理和配置。无线控制器可以旁挂于核心交换机设备或串接于ap与核心交换设备中间，在这种组网方式下，无线控制器负责ap的管理。在fit ap的组网架构下，由无线控制器作为网管的代理负责对整个热点地区无线接入点ap的管理，portal server和aaa server负责无线用户的认证和接入控制。为了简化网管对大量ap的管理配置工作，ap本身不支持snmp网管，网管对ap的管理控制是通过配置无线控制器间接完成，同时无线控制器会将ap的统计和告警信息上报给网管，便于网管及时监测。ap在启动后会自动通过dhcp方式获取ip地址，并自动搜寻可关联的无线控制器，和无线控制器建立capwap隧道之后会自动从无线控制器下载配置文件和更新软件版本。fit ap组网最大的优点在于ap本身零配置，ap上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节ap的工作信道以及发射功率。另外，通过无线控制器的rf扫描探测热点地区rouge ap，可以及时排除其他ap存在的干扰，保障热点地区ap的稳定运行，减少用户投诉，提升品牌价值。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制ap的效果，极大的减少了无线网络后期维护和管理的工作量。4.5无线安全接入、认证方案傲天动联fit ap+ac支持多种认证方式包括：802.1x认证 （eap-tls、eap-ttls、eap-peap、eap-sim、eap-md5）、web portal认证、mac地址认证等。对于无线空口安全可统一由wlan设备进行控制。对于不同身份的用户和设备类型，采用不同的安全加密方式保证用户安全接入。4.5.1推荐内部工作人员无线办公无线接入802.1x+ad为了更加有效地控制和管理网络资源，提高网络接入的安全性，酒店网络的管理者希望借助802.1x认证实现对员工网络接入用户的身份识别和权限控制。如何解决目前windows域登录与802.1x认证之间存在的尖锐矛盾，统一酒店网中802.1x接入认证与windows域认证，全面简化用户操作，实现网络接入与windows域的单点一次性统一认证登录，是目前许多企业网用户迫切需要解决的问题。傲天动联无线网络解决方案充分的考虑到无线网络与现有应用系统的结合，对于酒店内部员工身份认证方式采用802.1x与windows域用户身份认证结合。ieee 802.1x是ieee(国际电子电器工程师协会)制定的基于端口的网络接入控制(port-based access control)标准。包括三个实体组成部分:申请者(supplicant)、验证者(authenticator)、认证服务器(authentication)。申请者(supplicant)一般是指接入到局域网中的一台端系统，比如笔记本电脑。验证者(authenticator)一般是局域网的边缘设备，无线接入点ap，企业级无线网络通畅指无线控制器ac设备。认证服务器(authentication server)为验证者提供用户认证服务，保存用户的认证信息，对于的网络环境，认证服务器为windows 2008 ad和nap服务。802.1x+ad域身份认证过程如下图所示：802.11i认证流程1、笔记本电脑扫描到酒店ssid发起连接请求。2、无线网络控制器ac要求用户输入凭证（域用户名和密码）3、用户输入域用户名与密码之后，ac透明地传给后台认证服务器，也就是windows nap服务器；4、nap服务器发出一个challenge(不妨理解为一个随机数)，验证者透明地传给客户端；5、用户会根据用户输入的口令和challenge计算响应的一次性口令otp，比如可能是一个md5值，由验证者传递给认证服务器；6、nap认证服务器收到申请者的响应之后，计算与自己的计算结果是否匹配，然后把寄过发给验证者和申请者。7.如果验证失败，则无线控制器的逻辑端口依然保持关闭，用户无法连接无线网络；如果成功，则无线控制器打开逻辑端口，申请者可以正常通信，直到发送退出(logoff)消息后逻辑端口再次关闭。对于用户来说只需要在步骤3输入一次用户名与密码，之后的步骤为无线控制器与windows nap server之间的通信，对于用户来说是透明的。另外可采用其他的一些结束手段，如组策略自动下发无线网络配置，在用户登录windows的同时，完成无线网络的身份认证，如下图所示最终实施效果： (1)增强了网络接入的安全性，有效杜绝非法用户接入，实现对非法用户的物理隔离。 (2)透明的统一认证流程，与通常的域认证过程完全一致，无需额外培训。(3)实现了网络接入与windows域的单点登录，方便用户的使用与操作，减少用户同时记忆两套用户名与密码的烦琐。(4)实现用户密码的统一、集中维护（由域控制器维护），提高了用户密码保护的安全性。考虑到无线网络的安全性，该ssid建议采用使用802.1x认证，用户需要有固定账号密码，并且把该ssid进行隐藏。是其他酒店客户不能发现该ssid。同时还可以在该ssid启用白名单服务，绑定用户的mac地址，即使员工的用户名和密码泄露，mac地址不对，也不能接入到网络当中。同时可以开二层隔离。用户间不能相互访问，总上各种安全及技术结合在一起，可以确保整个无线网络的高安全性。4.5.2推荐客人的安全无线网络接入portal认证随着酒店的现代化、服务化优良化，现代酒店必须无时不刻的为客人提供优质的服务，包括无线网络，每天都有新的客人入住，流动性较强，客户的多样化导致无线网络必须是可靠的， 从it业务角度来看，酒店在提供客人网络访问方面，需要解决以下几个问题：1）客人通常携带笔记本等移动终端进入酒店，为了方便其使用网络，酒店需要为其提供方便的无线网络接入。3）客人携带的终端各式各样，不受酒店it的统一管理，在客人终端接入酒店网络时，可能对酒店网络的可用性和安全性造成威胁。4）记录客人的网络访问明细，满足相关法律法规对酒店网络使用的合规性需求。5）维护客人帐号信息，实现访客帐号的全生命周期管理定期回收和清除。为此，酒店通常需要部署网络客人接入管理系统来完成客人的接入管理工作。一个完备的网络客人接入管理系统，应该满足以下需求：面向访客的易用性：访客应不需要重新配置他们的笔记本电脑或下载客户端程序，身份验证也应该基于访客的角色面向企业的易用性：解决方案应该“即插即用”，访客管理功能能够叠加在现有网络之上；非it人员也应能够设置并管理访客用户账户。面向企业的灵活性：解决方案应能满足酒店不同接入地点和接入设备的客人接入和管理需求。面向企业的可管理性：管理员应该能够对客人的接入时间、地点、终端mac地址、ip地址和用户名等信息进行全面的审核；从用户需求出发，通过对酒店网络访问行为的流程重构，傲天与合作伙伴一起为用户提供一个完备的访客管理系统，方可通过此套系统可以方便、快捷、安全的接入到酒店专为客人接入建立的无线网络之中，并受到严格的管控，只允许访问internet、只允许在限制的区域、限制带宽甚至访问内容，系统结果图如下：客人可以通过下面流程获得网络访问权限：用户使用流程设计目标是在确保用户身份真实性前提下，不修改原有用户登陆习惯，确保登录流程安全、便捷，目前设计流程如下： 1）到前台访客接待处（无线网络账户管理员）登记有效身份信息 。2）前台会将信息录入系统，并通过短信的方式自动将密码发送到用户的手机上。3）客人在接收到短信之后，连接kefang ssid，打开ie浏览器，将会自动跳转到登陆页面，填入手机号及密码，并提交登录即可上网。4）当客人退房时会自动强制用户下线，并清除用户账号。5）审计日志信息审计日志主要记录监测访客登陆信息、管理员日常操作及系统运行情况，协助管理员了解日常运维概况，针对存在的问题及时给出相应的解决方法，确保系统安全、稳定运行，审计信息含： 用户基础信息如手机号； 登陆成功、失败信息； 用户在线信息； 用户上下线时间； 登陆ip 总结：客人网络接入管理系统可为酒店树立良好的对外形象，通过网络接入管理系统帮助酒店为来客人提供安全的网络访问，有效避免用户终端给酒店网络带来的安全威胁，为酒店提供一个深度的安全保护层，维持酒店网络的正常运行，全面提升酒店管理的工作效率。4.6网络管理作为一个设计良好的网络，应该是易于管理和维护，能够把网络管理者从繁重的管理维护工作中解放出来，并提高网络管理者的工作效率。本次网络设计中所采用的傲天动联无线解决方案及其设备，具有丰富的管理特性，可以极大减轻网络管理者对网络管理和维护的工作量。1. 集中式管理傲天动联无线控制器和ap间采用业界标准的capwap协议进行通讯，并由此实现对ap的集中管理和自动配置。通过使用该功能，无线控制器可将其所管理ap的软件版本及配置文件自动下载到ap上。这样，当在网络中增加新的ap、更换坏的ap或给网络中所有的ap软件版本升级时，网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作。这将极大的减轻网络维护人员的管理工作量。通过capwap隧道实现ap零配置2. 实时射频管理傲天动联无线控制器还将具有丰富的实时射频管理特性。届时，可通过射频功率和无线信道自动调整功能有效解决无线网络中存在的射频盲区覆盖问题和无线信道干扰问题。依赖这些功能，所部署的无线网络将具备更高的抗灾和自愈能力。射频功率自动调整以覆盖射频盲区（正常情况）射频功率自动调整以覆盖射频盲区（发生故障）射频功率自动调整以覆盖射频盲区（调整后）3. 网络负载均衡在wlan网络中一个ap的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。采用傲天动联wlan解决方案的无线网络系统可在一个ap的覆盖范围内把无线用户或终端分散连接到附近的ap上。由此可以避免某个ap由于用户接入数过多，而产生性能瓶颈，并显著改善网络的性能，提高网络的可靠性。无线用户负载均衡4全中文网管软件傲天动联无线控制器内置图形化中文版的web界面网络管理软件，该网管软件界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外，该网管软件还可以提供众多强大的管理功能，其中包括ap的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能