酒店无线网络覆盖解决方案

XX酒店无线网络建设项目实施方案xxxx年xx月xx日 目录第一部分 项目概述11.1项目背景1第二部分 需求分析12.1高质量、高性能的无线网络覆盖12.2 上网认证，统一管理12.3 portal定制，展示酒店形象12.4行为审计，上网追溯1第三部分 技术方案23.1 智能分布式无线组网23.2 交换机智能集群23.3 无缝漫游23.4 安全策略2第四部分 方案详述24.1 统一管理，维护简单24.2 认证方式34.2.1用户名密码认证34.2.2动态密码认证34.2.3微信认证34.3支持负载均衡、自动功率和信道调整34.5 Portal定制及信息推送44.5.1 Portal定制44.5.2信息推送4第五部分 方案优势55.1 业务流量分流的本地转发架构55.2 基于用户、流量、频段的智能负载均衡55.3 健全的安全防护机制65.3.1 全面的准入认证65.3.2 由始至终的无线数据加密65.3.3 用户权限灵活控制75.3.4 非法AP及用户防御反制7第六部分 建设原则86.1 实用性86.2 可靠性86.3 安全性86.4 可扩容86.5 可维护8第七部分 网络规划97.1 网络拓扑图97.2 网路架构介绍97.2.1 无线接入层97.2.2 网络控制层9 页 10第一部分 项目概述1.1 项目背景在WiFi已成为服务行业标配的今天，酒店作为服务行业的一员，提供安全、快速、便捷的WiFi服务已成为酒店竞争的软实力。同时，WiFi已成为部分旅客考虑酒店的重要条件，WiFi体验的好坏不仅影响旅客体验，还影响酒店的声誉，WiFi体验差可能造成酒店口碑下降，影响旅客评价，长期可能造成入住率下降。 建设一个优质的无线网路，不仅可以给入住旅客一个良好的网络体验，对酒店口碑树立方面也有着积极的作用。第二部分 需求分析2.1高质量、高性能的无线网络覆盖（1）对目标区域实现100%信号覆盖，接收信号强度大于等于-70dbm根据不同环境制定不同的覆盖方案，保证信号稳定，无弱覆盖。（2）实现内外网隔离，健全安全防护体系；同时，采用分级授权机制，实现上网行为管控；2.2 上网认证，统一管理支持多种认证方式，支持全网对每一个用户的上网控制；同时，对AP及交换机实行统一管理，节约维护成本。2.3 portal定制，展示酒店形象支持portal个性化定制，酒店可自行设置portal页面形象，展现对外形象。2.4行为审计，上网追溯记录用户上网日志，追踪用户上网行为，符合公安部规定要求；第三部分 技术方案3.1 智能分布式无线组网智能分布式无线组网架构由无线控制器AC+无线接入点AP构成，是目前主流的架构方向。组网层次清晰，AP通过AC进行统一配置和管理，在接入点多，用户量大，同时用户分布较广的组网情况下，宜采用集中式组网方式。3.2 交换机智能集群无线控制器AC和交换机之间通过IPS加密专线进行互联，统一对交换机进行管理，方便无线网络的平滑升级及扩容。3.3 无缝漫游利用智能无线网络架构，用户信息并不保存在本地的无线接入点中，而是集中在无线交换机上，因此用户连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的，即便用户跨AP移动，还是会延续原有的IP地址、认证与加密方式，不存在重新获取的必要，也不会中断连接。3.4 安全策略 智能无线交换网络架构，将所有的安全策略全部集中到智能无线交换机上统一发布和控制，包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等，只需在智能无线交换机上配置安全策略，就可以轻松地完成整网的安全策略的配置，避免无线接入点被盗产生的安全信息外泄危机。第四部分 方案详述4.1 统一管理，维护简单通过AC+无线接入点（AP）模式进行组网，AC可实现对 AP 的集中管理和配置，搭建“藕丝”智慧企业管理平台实现多种认证方式以及各项功能需求，通过部署行为管理网关对网络进行网络审计与上网行为管理。4.2 认证方式4.2.1用户名密码认证此项认证方式主要针对企业员工，采用用户账号和密码相结合的认证方式，结合后台可以设置不同的角色上网权限；4.2.2动态密码认证通过后台可充值短信，认证时用户输入手机号码，平台发送wifi验证码至手机上，用户收到验证实现认证上网；4.2.3微信认证酒店提供微信公众号（需服务号）并认提供认证对接相关参数。微信认证可实现访客微信认证上网并关注微信公众号。4.3支持负载均衡、自动功率和信道调整 启用负载均衡策略后，可实现 AP 间用户数量均衡化接入，一方面终端自动转接至最佳的 AP，另一方面 AP 可控制自身接入量，将信号不佳的终端转接至其他 AP；AP 可自动调整信道和信号发射功率，避免信号干扰，当某一 AP 出现故障停止工作的时候，周围 AP 将自动提升发射功率并变换信道，确保信号覆盖范围以及终端连接稳定；4.5 Portal定制及信息推送管理员可随意定制自己的PORTAL页面，Portal界面可自定义，当用户连接WIFI时，会自动弹出Portal，用户终端在网络认证的同时，会接收到最新新闻界面或酒店网站的预设页面，点击确认后即可在免费使用无线网络。4.5.1 Portal定制4.5.2信息推送用户通过微信认证上网后将自动跳转到微信公众号关注界面，用户点击关注即可成为您的微信公众号粉丝，您可以通过微信公众号下发最新信息；同时，也可以在后台设置二次到来欢迎词，可有效增强用户感知。第五部分 方案优势5.1 业务流量分流的本地转发架构本地转发架构即AP上行到无线控制器的数据无需经过控制器，而直接在接入交换机上进行转发。通过无线控制器的配合，可灵活预配置AP产品的数据转发模式，例如根据SSID名称或者用户VLAN以决定是否需要经过无线控制器转发，或直接进入有线网络进行数据交换。本地转发技术可以将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，可以大大缓解无线控制器的流量压力，更好的适应802.11n、甚至是802.11ac网络高流量传输的要求。5.2 基于用户、流量、频段的智能负载均衡某个共同区域内，可能发生这样的问题：大部分终端全部接入某个AP，而相邻的AP则很少用户选择，这就造成了AP之间的负载不均衡，部分AP过载，部分AP空载的情况。所以WLAN网络需要一种方法来实现在网络中（多个AP间）均衡地分担无线用户的负载，这是保证无线接入的性能和Qos的关键。这种技术一般被称为WLAN网络负载均衡技术。本方案提供该功能首先能够区分相邻AP之间共同覆盖区域，实时准确地发现负载均衡组，其次利用准确的负载均衡的算法，最后有效的控制“过载”无线用户的离开。从而实现共同区域内AP之间接入负载均衡，不让某个AP出现过载情况。5.3 健全的安全防护机制5.3.1 全面的准入认证支持软证书、硬证书、802.1X、WEB等多种用户接入认证方式。全面的准入认证方式，用户按需使用，为整个WLAN的安全构建了第一道护城门。全面的认证方式5.3.2 由始至终的无线数据加密从终端到AP再到AC的整个链路中，采用最高级别的加密方式。移动终端和AC间的无线链路上，所有数据采用AES加密，每个无线数据包都会采用逐包加密后进行传输，目前暂无破解手段；而从AP到AC的有线链路上，所有数据均在CAPWAP的加密隧道中进行传输，数据能够得到全面的保护。5.3.3 用户权限灵活控制实现精细化的无线用户管理，能够不同用户类型、不同的登陆区域、针织不同的终端类型等进行灵活的访问权限控制，保证不同用户只能访问自身权限下的目标网络，达到全局安全，灵活易控的无线网络建设目标。5.3.4 非法AP及用户防御反制对于非法AP盗接合法用户，可通过AP射频防御反制功能，对非法AP进行解关联攻击，让非法AP上关联的终端下线，并关联至合法的AP上；对于非法AP直接连接交换机，可直接关闭交换机端口将非法AP进行阻断；当感知到非法用户在进行无线攻击时，可从AP侧将非法用户踢下线，并保持一段时间不然其再次进行关联。第六部分 建设原则6.1 实用性 遵循面向应用，注重实效，急用先上，逐步完善的原则，建设最低成本，最高性价比的网络。6.2 可靠性系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。6.3 安全性必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。6.4 可扩容系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能。6.5 可维护系统具有良好的网络管理、网络监控、故障分析和处理能力。第七部分 网络规划7.1 网络拓扑图7.2 网路架构介绍7.2.1 无线接入层 无线接入层由智能无线AP组成，负责无线用户的接入