小贝场景化解决方案酒店无线2018H1V1

文档密级：内部公开 XX酒店无线技术方案建议书目录1项目概述31.1行业背景：酒店WLAN现状分析31.2项目概述：酒店WLAN需求分析32需求分析：酒店WLAN需求分析32.1场景化无线覆盖需求32.2酒店无线质量保障需求42.3无线安全建设42.4无线网络管理及运维42.5酒店无线营销42.6无线网络设计要求53无线网络设计原则54酒店无线网络建设方案54.1酒店无线网络架构设计54.2酒店无线设备选型64.3酒店无线方案场景化设计74.4设备选型说明181 项目概述1.1 行业背景：酒店WLAN现状分析无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点。而随着移动互联网的发展，移动终端的爆炸增长，无线终端和无线应用的快速普及，极大的推动了无线网络的发展。在这个移动互联的时代，无线已经成为终端接入的主导力量。BYOD、移动办公已成大势所趋，酒店WLAN的应用需求正在进一步加大。现在大多数人日常出行都会自带智能手机以及平板，同时也希望能够随时随地的接入便捷快速安全的无线网络，方便随时处理工作和生活上的事情，所以Wi-Fi上网的井喷式需求不可避免的成为所有酒店必须考量的基础服务。 酒店行业的无线WIF覆盖已然成为同行业竞争的软实力，Wi-Fi信号好，速度快，数据安全，用户体验好，对酒店的评价高，同时给酒店做好口碑宣传；相反地，酒店要是没有Wi-Fi提供或者Wi-Fi质量差，上网断断续续的，用户在网络的评价会影响到酒店的声誉，甚至会造成入住率的下降。在这互联网发展的时代的需求下，无线网络已经成为了酒店的刚性需求，因此网络的安全、快速、增值等问题成为酒店选择的主要条件考核条件。那么，酒店要如何做才能对酒店的整体区域进行无线网络覆盖，使无线效果要达到预期的高效与安全，而且，如何才能结合无线应用的推广能够全面提升酒店网络带宽价值，这个也是如今酒店行业的一个迫切的需求。WLAN凭借自己的高带宽、低成本、可漫游的技术优势，能有效分担用户密集地点的3G/4G带宽压力，带给客户更佳的体验；同时自建的WLAN网络，又可以对用户的偏好进行收集和智能分析，以便定向营销和业务推广。1.2 项目概述：酒店WLAN需求分析（目前，XX酒店处于）2 需求分析：酒店WLAN需求分析现如今IT飞速发展，信息化建设日新月异，消费者对于酒店WiFi需求日益旺盛，简单的无线信号覆盖已经逐渐不能满足客户对于无线品质的要求。2.1 场景化无线覆盖需求根据酒店类型不同，酒店房型不同，以及酒店内场景不同，需要通过不同专业的设备进行无线覆盖，从而为酒店提供全场景化无线覆盖，保证客户体验及酒店收益。酒店客房：无线建设属于重点保障区需要部署高速可靠无线网络，满足用户100%并发需求，优先保障客房无线覆盖。酒店大堂：重点需要保障酒店大堂无线信号覆盖，需要实现覆盖面积广，漫游性好等特点。酒店会议室：无线建设属于重点保障区，保障并发接入人数及WiFi连接稳定。酒店餐饮：餐厅无线点餐，顾客餐厅无线上网，要求无线稳定、接入稳定、漫游性好酒店休闲区：度假酒店等涉及各场景，实现跨地域、室内室外无线覆盖场景需求办公区：酒店办公区域无线覆盖，实现员工日常无线办公需求，保证酒店内部无线安全停车场：解决停车场运营商信号覆盖弱，实现无线上网需求，实现停车场反向寻车等功能2.2 酒店无线质量保障需求WLAN无线技术发展迅速，酒店所建网络需有良好扩展性，需满足未来3年无线市场发展需求，在WLAN重点覆盖区域尽可能采用最新无线协议，整网无线采用主流无线覆盖协议，提升无线覆盖效率，节省酒店投资成本。满足酒店无线漫游特性，覆盖酒店内无线的无缝漫游；实现精细化控制，保证酒店内部员工与客人访问权限不同，限制客户与员工互相访问。2.3 无线安全建设不同于有线网络基于物理端口进行安全防御，无线信号因其自身特点，覆盖区域内的任何人员都能看到无线信号，对酒店而言，IT资源就是资产，难免会存在一定盗用账号、非法接入的安全威胁。移动应用层出不穷，如果顾客通过移动终端连接上WiFi，再通过WiFi进行非法操作，比如：网络散播非法言论、浏览非法网站等，这将给无线网络带来极大的法律风险。必须保证在用户使用网络时，信息不会在WLAN的空中传播中被他人窃取。2.4 无线网络管理及运维绝大多数酒店都没有专业的网络运维人员，而酒店信息化网络建设又是非常重要一环，如何保证在酒店无线建设中，要保证酒店网络实时可管理，易管理。实现酒店无线网络统一管理，有效管理。客户可以通过web界面及移动APP实时监看网络状况，了解无线网络“健康状况”，并快速定位问题，排除问题。远程维护，缺乏运维人员的酒店客户，通过互联网技术，实现远程定位问题，远程维护等功能。2.5 酒店无线营销目前酒店无线WIFI建设基本停留在网络连通的阶段，无线建设往往只在于提供能够使用的无线网络，而怎样利用酒店WLAN平台来进行广告营销还是一个亟待解决的问题。这样无线投入便无法转化为创造商业价值的生产力，使无线投资成为低收益的投入。建设无线网络可实现酒店广告推广、营销，提高酒店自身营销能力，降低营销成本。2.6 无线网络设计要求在无线网络设计中，对于不同酒店类型采用不同组网方式，大型星级酒店、经济型酒店、连锁酒店、公寓式酒店、度假式酒店、青年公寓等各类型，采用不同组网设计，满足客户需求同时，最大程度保证用户投资，设计简单、高校、易部署、易实施的无线网络覆盖。3 无线网络设计原则结合WLAN的实际应用和发展要求，公众无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。安全性原则：PWLAN运营网络，即是一个开放网络，同时作为运营网络对用户的安全以及网络的安全要求较高。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：由于WLAN应用于运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。4 酒店无线网络建设方案4.1 酒店无线网络架构设计根据目前XX酒店的用户规模和网络状况，拟采用AC+AP的组网方式，瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率；用户认证系统可根据用户实际需求，通过H3C绿洲平台实现多种认证方式，灵活认证；AP的供电采用以太网供电（Power Over Ethernet，PoE），通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。根据酒店场景及用户的独特性，推荐使用新华三小贝-云+网+端融合解决方案：小贝-云+网+端融合解决方案：是应互联网+的时代要求，建立以无线网络设备为核心的大无线生态圈。使得用户可以在线监控网络、在线运维设备、在线运营O2O业务、与第三方平台无缝对接，帮助客户打通线上线下客流脉络。绿洲平台本着可管理性、可靠性、高安全性、经济性、实用性的建设原则为客户提供服务。可管理性可以对网络进行在线监控，随时了解无线网络的“健康状态”，快速定位并排除故障；可以对运营业务在线部署，随时监控员工、访客流量状况，有针对性的调整运营业务。可靠性绿洲平台仅作为在线监控、部署工具，除认证以外不做网络业务处理。对于认证业务，当绿洲平台连接中断，设备立即启用portal逃生机制，确保已认证用户可继续使用网络，未认证用户免认证接入网络。 另外我们采用异地跨数据中心备份部署绿洲平台，而且平台内部采用微服务架构分布式部署，多方位确保业务不中断，即便中断也可自动快速恢复业务。高安全性绿洲平台使用云平台部署方案，并通过部署：网络防攻击、ACL访问控制、微服务虚拟网络隔离、VM防火墙、应用防火墙、数据库访问控制等确保平台应用和数据安全。华三尊重客户个人隐私，严格执行对外发布的隐私条款。经济性和实用性云端部署免费为租户提供网络管理服务和认证业务。第三方业务部署由绿洲平台直接合作对接，客户根据各自需求定制即可，部分应用会收取一定的费用。4.2 酒店无线设备选型根据酒店现有状况进行无线方案设计，小贝可提供整网络完整解决方案，（新建有线+无线网络、新建无线网络、改造无线网络）无线接入点：根据酒店无线覆盖场景不同，接入人数及并发要求不同，选用不同款型AP酒店客房：采用面板AP（颜色白色/金色可选）WAP711H/WAP711H-G/WAP712H酒店大堂：放裝、吸顶APWAP722S-W2/WAP722/WAP712C酒店会议室：高密APWAP723-W2室外场景：室外APWAP722X-W2POE交换机建议选用小贝SPM智能管理器，提供更全面的安全接入策略和更强的网络管理维护易用性, 让整网拓扑可在Web以及云端呈现。是小贝组网方案的理想选择可提供8端口POE供电及22端口POE供电多种选择部署SPM后，可实现无线网络拓扑全网可见；设备版本自动更新、远程开关SPM端口POE功能。当用户规模较小时，SPM可作为整网核心交换使用。AC设备为更好保护用户投资，简化网络方案，新华三小贝控制器采用内置授权模式，即无线控制器无需配授权，根据网络规模选用对应无线控制器即可。为满足酒店用户独特性，推出对于使用最多的面板AP，授权数量翻倍特性。如WAC380-90，单台可实现管理普通放裝AP管理90台，或者面板AP WAP 711H管理180台。出口网关设备在出口网络选择中，可选择MSG多业务网关，该网关自带部分AP管理授权，可以实现网关+AC功能，节省用户投资，满足中小酒店无线网络建设需求。4.3 酒店无线方案场景化设计根据酒店自身特点，以及无线网络建设原则，可分为无线组网架构设计、场景化无线部署、无线应用业务、无线管理及运维、无线安全建设等方面设计。4.3.1 无线组网架构设计根据酒店规模不同，采用不同组网架构设计4.3.1.1 MSG+POE智能管理器+AP+绿洲平台组网4.3.1.2 MSG+POE智能管理器+ 小贝无线控制器WAC+AP+绿洲平台组网4.3.1.3 ACG+核心交换机+汇聚交换机+POE交换机+小贝无线控制器（WAC）+AP+绿洲平台组网4.3.2 场景化无线部署方案酒店无线建设主要需要覆盖如下主要场景：酒店客房、酒店大堂、酒店会议室、酒店休闲区、酒店停车场、酒店室外等，需要满足笔记本、移动手机、平板电脑等多种终端设备的无线接入，并采用高效稳定的无线认证。4.3.2.1 酒店客房无线覆盖要求：要求满足酒店用户多终端同时无线上网功能，无线覆盖时通过AP部署在酒店走廊，可满足日常无线基本覆盖，节省酒店无线投资，而此种方式带来最大的隐患就是信号穿墙后衰减极大，造成酒店室内无线信号覆盖差、楼道内AP干扰大、用户体验差；酒店客房也可采用面板AP进行覆盖，施工简单、产品美观、性能优异、网络稳定。客人终端主要以移动终端及PC终端（笔记本）为主，大多数终端均已支持802.11ac协议，因此在产品选型可选用支持802.11n系列产品，满足当下无线覆盖；也可选用802.11ac协议满足后期扩展。4.3.2.2 酒店大堂酒店大堂无线覆盖，主要是为了满足大堂等候或休息的客人提供上网功能以及前台业务办公的需求，要求提供稳定、安全无线接入，就按照日常情况而定，通常酒店大堂人员流动较大，同时并发上网人数不多。由于办公人员及客户均需要无线接入，因此划分不同SSID以供客户及办公人员使用。为满足后续无线网络覆盖，可采用支持802.11ac Wave2协议无线AP。4.3.2.3 酒店会议室大中型酒店通常都会有单独会议室，而会议室是众多酒店经济收入来源之一，因而要重点保障酒店会议室中的无线覆盖工作，以供给客户良好的用户体验，提升酒店形象及用户满意度。需要部署专用高密AP，单设备接入终端数80+，支持802.11ac Wave2技术，满足用户在会议室中无线上网、会议、浏览视频等需求。4.3.2.4 酒店休闲区及停车场在酒店休闲区无线覆盖中，如咖啡馆、茶室、健身房，以及停车场等场景，客户主要需求为无线接入，网页浏览、视频播放等，在此部分区域可采用普通放裝型AP，满足基本无线覆盖及使用，最好满足802.11ac Wave2协议，满足未来无线发展需求。4.3.2.5 酒店餐厅酒店餐厅根据酒店规模不同规模大小不同，客户主要需求为无线基本上网、根据餐桌数量及用户密度选用相应产品即可，人员密度较高则选用高密AP，人员密度不高则采用普通吸顶AP。4.3.2.6 室外区域酒店室外主要为基本酒店无线覆盖，对于人数接入数量不大，但是环境要求高，室外环境恶劣，风吹雨淋，要求设备具备防水防尘功能，采用IP67以上规格设备进行无线覆盖，如遇特殊场景，满足防爆要求。酒店室外AP通常部署于酒店外墙，可采用室外定向天线进行部署。4.3.3 无线网络管理及监控网络日常监控，可随时关注网络运行状况，以便及时发现问题通知维护工程师解决。4.3.3.1 设备监控a) 监控AC、AP设备运行状态以及设备基本信息b) 出口速率和流量监控c) 设备告警监控d) 网络信息监控：监控wan口，监控未授权AP以及私接代理。e) 无线安全监控f) 无线终端监控：采用无线探针技术主动探测终端，包括关联、非关联终端。4.3.3.2 设备巡检包括设备运行健康情况、无线网络环境健康情况的巡检，并留存历史巡检记录，供运维查看。a)综合健康体检及评分：评估设备运行健康度的参考，从上行剩余带宽、AP在线率、终端速率、安全评价、无线环境、系统健康度六大因素进行评估，并计算出综合监控度评分。 b)无线网络环境体检：包括Radio负载情况、接收信号强度、终端协商速率情况、空口占用率、终端流量。 深度体检（如下图）：是针对无线网络资源信道、功率以及对无线网络干扰的因素进行检测，并给出调整建议。4.3.3.3 设备巡检中小企业用户不同于小商户，本身对于网络业务有一定深层次的配置需求，而这类专业配置仍需要依靠专业网络工程师进行配置。绿洲平台仅开放最常用并且简单易用的功能，避免不精通网络的人员误操作导致重大网络故障。目前云平台可部署的网络业务如下：a)无线服务业务，包括SSID名称、属性、密码等b)启动关闭应用服务配置c)认证相关配置，包括认证方式、认证策略、页面推送策略、微信公众号、微信门店等微信认证所需配置。详细配置方式请参考华三绿洲平台配置手册4.3.3.4 网络运维网络运维主要是提供给网络专业运维人员使用的，便于远程对网络设备以及网络环境出现的一些问题进行排查并解决，必要时还可以接通华三研发部门在线排查问题。a)远程升级：云平台建立设备版本库，新版本会及时上传到云平台，设备可自行升级最新或者选定版本。b)配置还原：设备上的配置保存到云平台，并生成还原点记录，如果需要还原以前的配置，从还原记录中选取还原点一键还原。c)命令助手：作为最灵活的配置平台，可用命令行对设备进行远程配置，以及远程读取设备运行信息。该功能需要使用者精通华三产品命令行手册，需要慎重使用。d)远程网络优化：e)其他工具：设备远程重启、终端测距f)维护操作日志4.3.4 小贝无线应用业务通过小贝无线整体解决方案，结合绿洲云平台特性，可为用户提供多种应用业务，包括：云端多种Portal，广告推送、用户管理、DPI应用、数据统计分析、其他系统服务等4.3.4.1 云端多种Portal通过小贝与绿洲云平台结合，不仅提供设备运维管理，也为终端用户提供上网认证鉴权以及广告页面推送服务，并且为租户提供广告管理、用户管理以及运营数据统计功能，为租户的运营业务打通线上、线下的连接。绿洲认证采用Portal推送方案，用户在接入网络上网时，AC/Fat AP将用户强制重定向至绿洲平台portal首页（或认证页），用户选择认证方式完成认证、鉴权后，跳转到读秒跳转页/主页/自定义URL页面，用户开始互联网。1）认证方式：包括一键认证、短信认证、微信公众号认证、微信连Wi-Fi认证，并提供再次接入无感知认证功能。认证发布对象为AC/Fat AP+SSID。 短信认证基于短信验证码方式的认证广泛应用与互联网或其他接入认证场景，用户直接输入手机，获取随机验证码，即可快速完成登录，接入用户网络。避免用户记忆复杂的账号密码，简化用户认证接入。（首页）（手机、验证码输入页） （读秒跳转页） （主页） 微信公众号认证终端通过关注微信公众号，在微信公众平台上直接点击上网连接，免去输入手机号以及等待时间（关注公众号后进入公众平台） （点击“点击认证”） （读秒跳转页） （主页） 微信连Wi-Fi认证（扫一扫）微信扫描二维码，直接认证，更为简单便捷，是当前最常用的认证方式。拉起微信扫描绿洲平台生成的微信连wi-fi二维码 微信连Wi-Fi认证（portal方式）2）认证策略上网时长控制：控制每次认证通过后允许上网时长，到达时间后，踢用户下线。认证成功跳转页自定义：默认情况下，认证成功后跳转到首页，配置后可以跳转到自定义页面。闲置切断网络策略：可设置方可在设定时间内，流量少于设定字节的情况下，踢用户下线。再次上网免认证策略：采用mac-trigger方案，开启后，当访客再次接入网络，无需打开浏览器触发重定向，AC探测访客流量达到限额后向云平台发起mac-trigger认证，云平台根据用户MAC查询历史记录，并结合免认证有效期限，通知设备放行。用户全程无感知。认证发布：选择AC设备、SSID、Portal页面模板，进行发布，如果是微信认证还需要选择微信公众号，微信连Wi-Fi需要选择微信公众号以及微信门店。4.3.4.2 Portal广告页面绿洲平台最多可提供4个广告页，前两个页面是认证未通过时推送的，因此如果需要嵌入链接，需要设备上配置URL白名单，因此最好是在后两个页面潜入外部链接。另外除第二个页面外，其他页面是可选推送，用户可自定义推送页面，但页面推送顺序不能变更。（首页） （认证页） （读秒跳转页） （主页）目前提供两套模板，自定义模板和简约模板。 自定义模板可以自行部署多个图片以及文字，支持顺序部署多个。 简约模板：提供常见的几套模板，供用户自行编辑图片、文字、logo、电话、链接等内容。 页面策略：页面可以设置投放时间段，不同时间可以推送不同页面。4.3.4.3 用户管理用户管理主要针对终端认证用户的信息管理。 认证访客管理：平台留存所有认证客流的认证上网记录，并生成访客列表、历史访问明细、当前在线访客表单，并提供导出功能。 固定账户管理：与固定账户认证配合使用，一般是针对企业的员工或者VIP客户，需要先录入。 黑名单管理：禁止黑名单中对应账户的用户认证上网。可以从访客列表选择设置为黑名单，也可创建固定账户黑名单列表4.3.4.4 DPI应用DPI（Deep Packet Inspection，深度报文检测）深度安全是一种基于应用层信息对流经设备的网络流量进行检测和控制的安全机制。该功能通过云平台控制开启，在设备侧做流量分析以及特征匹配后发送给云平台，云平台再进行进一步的统计分析处理。该功能较耗费AC设备CPU、内存资源，需酌情开启。4.3.4.5 DPI应用对绿洲平台产生的数据进行统计分析，并以图、表形式展示，主要包括以下几类数据： 设备运行数据：包括设备信息、基本运行信息、告警信息、网络环境数据、安全攻击数据、维护统计信