H3C酒店无线方案

有线无线一体化网络建设建议书 杭州华三通信技术有限公司 2013 年 10 月 目 录 1宾馆酒店信息化建设概述.1 2宾馆酒店行业信息化需求分析.2 2.1数字化宾馆酒店信息系统组成.2 2.2数字化宾馆酒店发展趋势.2 2.3数字化宾馆酒店基本建设内容.2 3项目需求分析及建设目标.3 3.1项目需求分析 .3 3.1.1安全稳定、多业务融合的网络平台.3 3.1.2有线、无线一体化.3 3.1.3宽带应用控制与管理.4 3.1.4上网行为审计及内容过滤.4 3.1.5高效智能的网络管理.4 3.2项目建设目标 .5 3.3项目总体规划 .6 3.3.1总体规划 .6 4本项目网络系统解决方案.7 4.1总体说明 .7 4.2网络拓扑结构 .8 4.3办公网络拓扑结构.9 4.4酒店网络拓扑结构.9 4.5核心层设计 .10 4.6接入层设计 .13 4.7有线网络拓扑设计.14 4.8无线网络设计 .14 4.8.1宾馆酒店无线覆盖必要性.14 4.8.2无线解决方案总体说明.15 4.8.3无线网络拓扑设计.16 4.8.4无线接入规划.17 4.8.5方案优势说明.18 4.8.6无线认证方案.20 4.8.7无线安全方案.23 4.9无线智能网管介绍.25 4.9.1有线无线一体化管理.25 4.9.2多样化的拓扑管理.26 4.9.3无线终端查看和漫游记录审计.27 4.9.4RF 覆盖管理 .27 4.9.5基于物理位置的无线终端准入控制.28 4.9.6AP 上连设备查询.29 4.9.7无线入侵检测和防护.30 第 2 页, 共 2 页 4.9.8丰富的无线统计报表.30 5H3C 酒店宾馆应用案例.31 6H3C 公司售后保障体系.32 6.1强大的三级技术支持体系.32 6.2健全的工程项目管理体系.34 6.3快速备份先行更换服务.35 6.4H3CARE 的 IT 服务支撑系统.36 第 1 页, 共 34 页 1宾馆酒店信息化建设概述宾馆酒店信息化建设概述 随着我国旅游业的发展，我国宾馆酒店产业逐年扩大、竞争加剧，竞争热点也逐渐转 移到国际化、智能化方面。商旅人士在信息时代产生的新需求，更加促使酒店将服务信息 化、智能化作为重点打造的目标。同时酒店自身的信息化管理水平及提供的网络通信服务 能力也成为星级酒店评定的重要因素。 当前的信息化时代，客人对酒店宾馆的要求已经不仅仅是温馨舒适的居住环境、周到 的人工服务了，他们更需要进行互动娱乐和综合信息服务，如上网冲浪、在线游戏、影视 点播、旅游信息、在线购物、风土人情介绍等。而且客人经常在酒店宾馆举行商务活动， 如举行会议、商务洽谈、商务联谊，需要酒店宾馆能够为商务活动提供便利的办公条件和 通信条件。 宾馆酒店行业的信息化发展速度可谓日新月异，若干年前我们入住国内最高档的酒店， 能享受到的信息化服务可能只有窄带拨号上网、VOD 点播等少数几种服务。时至今日，你 可以享受网上预订客房、客房的宽带上网、酒店无处不在的无线上网、访问酒店网站、IP 电话、电话会议、IPTV、VOD 点播、信息查询等丰富的服务。除了提供给入住客人的信息 化服务之外，还有酒店内部众多的管理系统，例如：前台、常客管理、CRM、财务、人力、 采购、OA、娱乐、餐饮等等，以及用于酒店安防的视频监控系统等。以上的业务包括了数 据、语音、视频、IPTV、无线等多种类型，该用什么样的网络来承载如此多样的业务？这 是困扰很多酒店行业业主和专家的一个难题。 事实上，之前很多酒店对这个难题的解决之道是采用多套不同网络承载不同业务，但 是多套网络造成了投资浪费，尤其严重的是网络管理上的困难。 H3C 酒店综合业务解决方案通过将 IP 语音/视频、无线通信、存储技术与基础网络技 术相互融合，有效的提升酒店信息化管理水平，降低运营成本，同时为客户提供形式多样 内容丰富的服务，以助于提升酒店的入住率和利润率。最终实现酒店开源节流，提高盈利， 酒店客户满意的双赢目标。 俗话说“好马配好鞍” ，在如今风起潮涌的信息时代，星级的宾馆酒店只有配备星级的 信息化服务，进一步提升信息服务水平和竞争力，才能提升宾馆酒泉形象，赢得更多忠诚 的客户。 第 2 页, 共 34 页 2宾馆酒店行业信息化需求分析宾馆酒店行业信息化需求分析 2.1数字化宾馆酒店信息系统组成 2.2数字化宾馆酒店发展趋势 2.3数字化宾馆酒店基本建设内容 第 3 页, 共 34 页 3项目需求分析及建设目标项目需求分析及建设目标 3.1项目需求分析 作为华凌大饭店信息化应用的基础与支撑平台，一个高效可靠、运行稳定、安全灵活、 标准开放和管理便捷的网络传输交换系统是成功构建信息化业务系统的首要考虑和关键环 节，这个基础平台建设的优劣直接影响应用业务的开展。 结合宾馆酒店行业业务特点和网络应用特性，华凌大饭店网络需要重点考虑以下几个 方面的建设： 3.1.1 安全稳定、多业务融合的网络平台 华凌大饭店信息网络划分办公楼网络和酒店网络两个子系统，相互之间进行安全隔离， 以保障内网业务数据安全。 信息网络要求防 ARP、防蠕虫、防 DoS 等网络攻击，避免客户上网频繁掉线，每个客 房要进行有效的信息隔离，并提供接入安全认证功能。 构建统一的 IP 网络平台，将客房服务网络、宾馆办公网络、宾馆无线网络、视频监控 网络融合统一，并且随着未来业务发展，可以进一步扩展支持 IPTV、IP 电话等业务，成为 “多网合一”全能网。 3.1.2 有线、无线一体化 对于大多数宾馆来讲，无线覆盖一般只在会议室、商务中心等区域，而客房区域很多 都没有进行无线覆盖，而一个标准间只有一个有线信息插座、连接网线较短不能躺在床上 上网，并且一个人使用时另外一个人无法上网，所以宾馆进行无线客房区域无线覆盖是很 有必要的。 通过部署客房、会议室、餐厅、大厅等区域的无线接入，作为对有线网络的有效补充， 实现宾馆全区域的无线网络接入服务。对于已经装修完毕而网络布线没有完善的宾馆酒店 来说，无线网络覆盖在保持宾馆酒店装修原样的前提下，实现了网络灵活、多样的接入。 无线网络服务必然会提高客户对酒店宾馆服务的高度认可，提高客人的满意度和归属 感，从而提升了酒店宾馆的品牌。 第 4 页, 共 34 页 3.1.3 宽带应用控制与管理 宾馆酒店经常存在部分住店客人使用 P2P 技术（典型软件包括迅雷、电骡、BT 等）高 速下载和在线看视频的情况，抢占了有限的 internet 访问带宽，导致大部分宾馆的客人上 网速度慢甚至无法上网；并且这些大量的垃圾流量影响下造成对核心网络及安全网关设备 巨大的业务处理压力，必须要进行网络带宽的应用控制和管理，网络流量有效监控、过滤 垃圾流量，进行网络带宽管理、优化网络应用，把网络下载和在线视频应用控制在一个合 理的范围之内，保证正常业务的开展。 宾馆工作人员上班时间沉迷于与工作无关的 QQ 聊天、访问工作无关网站、访问非法网 站等，影响了内部工作效率，并且将病毒引入内部网络。通过应用控制，设置宾馆客户使 用 BT/迅雷/电驴/QQ/PPstream 等软件时允许的速度，并可以限制员工对 QQ 等聊天工具的 使用。 3.1.4 上网行为审计及内容过滤 依据互联网安全保护技术措施规定公安部第 82 号令，公安部要求所有提供上网服 务的宾馆酒店都必须提供必要的互联网安全保护措施，对宾馆酒店用户的网络使用进行控 制和管理，通过 URL 和内容过滤限制其访问色情、反动网站，对上网应用进行关键字过滤、 限制，并进行上网行为审计，创造一个了绿色健康、文明积极的上网环境。 3.1.5 高效智能的网络管理 随着宾馆酒店信息化业务变得越来越丰富，网络系统也会越来越庞大，导致网络管理、 维护工作会越来越复杂，所以网络管理是一个关键环节，网络管理的质量也会直接影响网 络的使用效率。需要部署网络管理系统，随时查看全网的网络连接关系，实时监控各种网 络设备可能出现的问题，检测网络性能瓶颈出在何处，并进行自动处理或远程修复，实现 高效的网络管理，促进网络的高效运转。 基于以上几个方面的考虑，需要对原有网络系统进行改造升级，构建高性能、稳定安 全和易管理的信息网络系统，解决现有网络交换数据转发处理瓶颈问题和网络安全及管理 等问题，构建模块化、多业务融合应用的一体化安全智能网络系统。 第 5 页, 共 34 页 3.2项目建设目标 在认真分析华凌大饭店信息网络的现状和将来发展状况的基础上，构建稳定可靠、结 构合理、功能完善的信息网络系统，实现有线、无线网络的一体化建设，构筑一个安全、 可靠、先进、稳定、易管理的多业务宽带网络系统，并可实现以下建设目标： 建成高性能、高可靠的数据信息网络，建设华凌大饭店数据交换与信息化应用支撑平 台，并考虑支持 IPv6 应用的过渡和平滑升级。 满足华凌大饭店业务网络与互联网的安全联网，并且网络系统要求防 ARP、防蠕虫、 防 DoS 等网络攻击，并提供接入安全认证功能。 实现有线、无线网络的一体化组网和一体化管理，支持有线、无线用户认证计费及安 全管理的统一。 系统采用开放式、标准化的系统结构，网络结构具有良好的扩张性、可靠性和先进性， 以利于功能扩充和技术升级。 网络平台应能很好地支持各种应用系统，形成多元网络融合，使建设后的网络系统能 够支持数据、语音、视频等多种媒体信息的融合应用和一体化解决。 建立较为完善的网络应用安全保障体系和网络应用控制管理，能有效防止网络的非法 访问，保护关键数据不被非法窃取、篡改或泄漏；可以提供病毒防护、URL 过滤、漏洞攻 击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能。 设备选用知名品牌的高可靠的网络产品搭建网络硬件平台，确保整个信息网络系统的 电信级可靠（设备+业务系统）应用。 整个系统具有良好的可管理性，最大限度降低网络管理工作的复杂性，便于扩展和易 于管理维护。 解决需求分析中现有网络存在的多个方面问题。 3.3项目总体规划 3.3.1 总体规划 构建一个高性能、稳定、安全、易扩展和易管理的网络多业务支撑平台，保障华凌大 饭店信息化业务的高可用性与服务质量，满足华凌大饭店未来至少 5 以上的业务不断发展 需求。 第 6 页, 共 34 页 设计以服务和业务发展为导向的网络架构，建立共享、IToIP 的服务基础架构，从简 单的网络连接到智能服务体系支持，实现网络层面的高可用性，整个网络系统实现系统的 传输整合和应用整合。 我们在规划和设计华凌大饭店信息网络时应该包括以下几个方面： 3.3.1.1 高效、安全、可控的传输网络系统 在目前的网络应用中，视频点播、带大附件的电子邮件、大文件传输越来越频繁，用 户需要大容量带宽的语音、视频、多媒体等的应用，网络系统要求防 ARP、防蠕虫、防 DoS 等网络攻击，并提供接入安全认证功能。 3.3.1.2 满足移动接入的有线、无线一体化解决方案 随着信息技术的发展，笔记本、PDA 和智能手机访问网络的应用已经无处不在，作为 对有线网络的有效补充，利用无线局域网技术的移动性、灵活性进一步提高宾馆网络服务 能力，改善服务质量。 无线网络系统应具有良好的安全性，在无线用户接入网络前必须接受认证授权，确保 只有通过认证的用户才能够使用访问无线网络资源，拒绝非法用户接入，有效的控制用户 对网络的访问，灵活的实施网络的安全控制策略。无线信息传输必须要首先经过加密过程， 保证数据的完整性、可靠性、真实性，防止恶意用户破坏数据。 有线网络增加信息点相对困难，布线施工时又会对现有装修环境造成破坏，部署无线 网络后，增加用户无线接入时只需要用无线网卡连接无线 AP 即可，非常快速方便。 3.3.1.3 一体化、可扩展的多业务融合应用 实现可扩展的 VoIP 语音通信、远程视频会议、视频监控等多业务融合的方案解决，即 一个平台（IP 交换网络）支撑多个应用（数据、视频、语音、监控安防等） 。 网络系统可以实现有线和无线网络的一体化融合，实现网络系统、语音系统、视频会 议系统和监控系统有效融合应用，采用统一的硬件平台、统一的网络管理、统一的用户管 理、统一的应用安全，构建基于开放架构的一体化解决方案。 整网规划为“接入控制、业务隔离、统一应用” ，通过可持续发展的网络架构，构建 一体化的业务安全和智能，实现面向业务的统一管理。 第 7 页, 共 34 页 4本项目网络系统解决方案本项目网络系统解决方案 4.1总体说明 解决方案总体设计以高性能、稳定、安全性、良好的可扩展性、可管理性和统一的网 管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。 构建宽带 IP 网络，采用单星型拓扑和分层结构，网络整体设计分为两个层次：核心 层和接入层，实现网络结构的扁平化，简化网络结构、减少网络的管理与维护工作。 在目前的网络应用中，视频会议、带大附件的电子邮件、大文件传输等应用对网络带 宽的应用要求越来越高，万兆骨干、千兆接入已成为趋势，在本次项目建设中我们建议构 建千兆到桌面的网络系统，网络设计为一体化安全和支持 IPv4/IPv6 解决方案，尽力保护 用户投资。 4.2网络拓扑结构 如上图所示，华凌大饭店网络信息系统划分为两个应用子网，办公楼网络承载国际大 厦的办公业务应用，如财务管理、业务信息系统、OA 办公系统等业务系统；酒店网主要提 供入住客户 Internet 信息浏览、邮件收发、视频点播等公共服务。考虑到内网业务数据安 第 8 页, 共 34 页 全，办公楼网络和酒店网络通过千兆多端口防火墙进行安全隔离和安全域划分。 整个网络系统具备安全渗透防御能力。网络出口具备攻击、非法业务的隔离、控制， 具备在线主动抵御的能力；网络交换设备自身集成一定的安全防御能力，缩小攻击、病毒 在网络的影响范围；用户接入层设备支持 802.1x 认证和集中式 MAC 地址认证，并可以有效 防御 ARP 欺骗、DOS 攻击及蠕虫攻击，隔离网络攻击。 在目前的网络应用中，视频点播、大文件传输、P2P/BT 下载、网络游戏、QQ 语聊等 多种应用都成为吞噬带宽的杀手，而宽带滥用将会占用网络资源，影响正常业务的稳定 运行。通过多业务网关的应用层流量控制功能，实现网络的应用全面的流量管理，精确检 测 BitTorrent、Thunder（迅雷） 、QQ 等 P2P/IM 应用，提供告警、限速、干扰或阻断等多 种方式，保障网络核心业务正常应用。 4.3办公网络拓扑结构 第 9 页, 共 34 页 4.4酒店网络拓扑结构 4.5核心层设计 核心层：提供高速的三层交换骨干。 网络核心区作为华凌大饭店的数据交换核心，是华凌大饭店应用系统可靠和高效率运 行的基础，因此建议在核心区配置吞吐量高、分布式线速路由交换机并为保证核心节点的 高可用性，核心节点配置 1+1 冗余电源及双业务引擎，下行千兆光纤连接接入交换机，形 成全千兆无阻塞线速转发骨干网。 核心设备采用多级交换架构，即使用独立的交换网板卡，可以为设备提供扩展的交换 容量，多块交换网板同时分担业务流量；控制引擎和交换网板硬件相互独立，并且配置冗 余电源和冗余风扇，最大程度的保障设备可靠性。 设备选型：设备选型： 核心交换机选择高可靠，高性能的多引擎高端交换机核心交换机选择高可靠，高性能的多引擎高端交换机H3CH3C S7500ES7500E 系列，以保证校系列，以保证校 酒店网络的正常运行。酒店网络的正常运行。 该产品基于 H3C 自主知识产权的 Comware V5 操作系统，以 IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一 步融合 MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、 第 10 页, 共 34 页 不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证 了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO） 。H3C S7500E 符合“限制 电子设备有害物质标准（RoHS） ” ，是绿色环保的路由交换机。 1）丰富的业务，适应融合业务网络发展趋势 基于 IRF2（第二代智能弹性架构）技术的虚拟化架构 H3C S7500E 面向数据中心技术的演进，推出了 IRF2 为代表的软件虚拟化技术，提供 多台主机的协同工作、统一管理和不间断维护功能；IRF2 不仅成为数据中心交换设备高性 能、虚拟化的关键技术，而且对于传统企业网应用，IRF2 所提供的高可靠性和无缝升级、 扩展能力，也成为 H3C 用户增值服务的重要组成部分。 全面的 MPLS、VPLS 业务能力 H3C S7500E 所有产品均支持 Multi-VRF 特性，可以作为 MCE 设备使用；支持三层的 MPLS VPN 和二层的 MPLS VPN（Martini、Kompella） ；支持 MPLS OAM 特性，方便用户的管 理和维护；与 H3C MPLS VPN Manager 配合，实现图形化的 MPLS 部署与维护。 全面支持 VPLS，VLL，支持 1K VPLS 实例，4K VLL，还支持分层 VPLS 以及 QINQ+VPLS 接入方式，提供端到端 2 层 VPN 接入方案，支持 MPLS/VPLS 全线速转发，满足 VPLS 规模部 署要求。 高性能 IPv4/IPv6 业务能力 H3C S7500E 支持 IPv4/IPv6 双协议栈,支持多种隧道技术，支持 IPv4/IPv6 的组播技 术，为用户提供完善的 IPv4/IPv6 解决方案；H3C S7500E 采用分布式体系架构，实现 IPv4/IPv6 业务的线速无阻塞转发；H3C S7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段认证，是成熟商用的 IPv6 产品。 有线无线一体化，有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完 善的 RF 管理及安全机制、快速漫游、超强的 QoS 和对 IPv6 的支持等；无线控制模块通过 与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 H3C S7500E 是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入 10240 个 FTTH 用户；H3C S7500E 是高可靠的 EPON 系统，采用分布式体系结构、模块化设 计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。 EAD 端点准入防护技术 第 11 页, 共 34 页 H3C S7500E 支持大容量的 Portal 认证功能，可以在数千用户的局域网中做为 EAD 网 关设备，为全网用户提供 EAD 安全认证功能；可以在大中型的校园网中担任汇聚/核心设备 的同时，为学生宿舍区的认证计费提供 Portal 认证功能。 2）全方位的安全保障，抵御多种网络安全威胁 三平面安全保障机制 H3C S7500E 提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的 安全：在控制平面，内置协议报文攻击识别模块，防止 TCN、ARP 等协议报文攻击， OSPF/BGP/IS-IS 路由协议采用 MD5 验证，防止非法路由更新报文导致的网络瘫痪；在管理 平面，SNMPv3 网管协议，SSH V2，基于 802.1x、AAA/Radius 的用户身份认证以及分级的 用户权限管理保证了设备管理的安全性；在转发平面，支持 IP、VLAN 、MAC 和端口等多种 组合精细绑定；支持 uRPF 单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包 转发机制，有效抵御病毒的攻击。H3C S7500E 还支持内置的高性能防火墙、异常流量清洗 等模块，将专业的安全融入到交换机之中。 有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分，S7500E 可以动态的接收 来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E 既支持有线终端用户的 EAD，也支持无线终端用户的 EAD，能够做到终端安全防范 无漏洞。 增强的 ACL 特性 H3C S7500E 系列产品支持强大的 ACL 能力：支持标准和扩展 ACL；支持基于 VLAN 的 ACL，方便用户配置，节省 ACL 资源；支持出方向和入方向的 ACL，满足金融等行业访问权 限严格控制的需求。 3) 电信级的高可靠性，保障用户业务长期稳定运行 电信级高可靠性设计 H3C S7500E 采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等 采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能； H3C S7500E 系列可以在恶劣的环境下长时间稳定运行，达到 99.999的电信级可靠性。 多业务高可靠性运行 H3C S7500E 支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可 第 12 页, 共 34 页 帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持 RRPP 快速环网保护协 议；支持 Smart-Link 协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术， H3C S7500E 可以在承载多业务的情况下不间断运行，实现业务的永续。 基于 IRF2 架构的 HA IRF2 技术可以把多台 S7500E 虚拟成一个“联合设备” ，使用和配置都如同一台机器， 而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性， 提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩 容网络容量。支持基于硬件的丰富的 OAM 故障检测机制，实现毫秒级链路故障检测。 4.6接入层设计 接入层：提供全千兆 Layer2 的网络接入，通过 VLAN 划分实现接入的隔离。 设备选型：设备选型： 接入交换机提供千兆到桌面的接入方式，大大提高办公效率，选择全千兆交换机接入交换机提供千兆到桌面的接入方式，大大提高办公效率，选择全千兆交换机 H3CH3C S5120-EIS5120-EI 系列交换机系列交换机 H3C S5120-EI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品，具备 丰富的业务特性，提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的 IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI 系列千兆以太网交换 机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。 在目前的网络应用中，组播或视频点播、带大附件的电子邮件、大文件传输、OA 以及 Web 和 Java 工具等多种应用都成为吞噬带宽的杀手，千兆接入到桌面已经成为最迫切的 需要之一。 考虑到交换网络建设的种种关键技术需求点，所有的接入交换机都具有高扩展性、高 可靠性、高安全性和易管理，支持集中式 MAC 地址认证和 802.1x 认证，并支持多个 GE 的 上行，满足用户多业务和高带宽的应用需求。 接入交换机支持端口安全特性族可以有效防范基于 MAC 地址的攻击。可以实现基于 MAC 地址允许/限制流量，或者设定每个端口允许的 MAC 地址的最大数量，使得某个特定端 口上的 MAC 地址可以由管理员静态配置，或者由交换机动态学习。 接入交换机提供 802.1X 和集中 MAC 认证方式对接入的用户进行认证，允许合法用户 通过，对于非法用户则拒绝其上网。接入交换机支持防 ARP 功能，通过这些功能的应用可 以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。 第 13 页, 共 34 页 接入交换机支持 VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障 点。 4.7d 无线网络设计 4.7.1 宾馆酒店无线覆盖必要性 酒店宾馆已经部署了有线 IP 网络，是否就足够了呢？答案显然是否定的。例如在酒 店宾馆标准间一般两位客人，如何让他们同时上网？如何让他们在任何位置都能上网？另 外客人在大堂、咖啡厅、酒吧、餐厅可能都随时有上网的需求，而这些区域是难以布线的。 面对这些需求，WLAN 网络建设就是必然的选择了，它的作用是显而易见的： 酒店宾馆套房有线无线双重覆盖，提升客户体验，提高客户满意度 公共区域（大堂/酒吧/咖啡厅/花园）无线覆盖，便利客户随时随地上网 新闻发布会现场，方便新闻稿件及时发送 有线网络增加信息点相对困难，布线施工时又会对现有装修环境造成破坏，部署无线 网络后，增加用户无线接入时只需要用无线网卡连接无线 AP 即可，非常快速方便 安装简单快捷，不需要复杂施工布线等，节省大量时间，不影响营业 无线网络服务必然会提高客户对酒店宾馆服务的高度认可，提高客人的满意度和归属 感，从而提升了酒店宾馆的品牌。 4.7.2 无线解决方案总体说明 无线网络采用 FIT AP 方案（无线控制器+AP 结构） ，由无线控制器对全网 AP 实施集中 式管理，简化无线组网和管理，提高漫游稳定性，提高网络安全性。整个无线网络内可实 现无缝漫游，并采用一致的安全和 QoS 策略。 第 14 页, 共 34 页 无线控制器支持向 AP 提供相应的参数设置，实现动态功率调整、动态信道调整、漫 游切换与监控、用户定位、AP 集中配置、干扰检测和避免、QoS 保证、盲区覆盖等功能。 提供全面的安全防范技术手段，包括各种认证手段和加密机制，可以自动排查和封锁非法 AP 进入。 无线网络系统具有良好的安全性，在无线用户接入网络前必须接受认证授权，确保只 有通过认证的用户才能够使用访问无线网络资源，拒绝非法用户接入，有效的控制用户对 网络的访问，灵活的实施网络的安全控制策略。无线信息传输必须要首先经过加密过程， 保证数据的完整性、可靠性、真实性，防止恶意用户破坏数据。 无线网络构建要求实现以下几个方面的应用需求： 无线接入点（AP）支持 IEEE802.11a、IEEE802.11b/g 无线传输协议 无线接入点支持 IEEE802.3af /at POE 交换机远程供电 无线 AP 支持无线用户的隔离功能，以防止在公共区域无线用户间的信息泄露 无线 AP 支持 Multi SSID 功能，AP 自身具备为不同 SSID 无线用户接入有线网络或互 联网络提供不同身份认证策略的功能 无线 AP 之间可根据相互通告来获取对方连接的用户数量及流量，从而实现 AP 的负载 均衡，并支持用户在不同 AP 间平滑漫游 无线 AP 支持射频(RF)信号加密特性，支持 802.11i 安全标准 无线系统支持 WPA 以及 WPA2 认证，支持 WPA/WPA2 安全规范，支持标准的 802.1x 认 证流程 无线系统支持基于 MAC 地址的认证，以及用户账号与 MAC 地址的绑定认证 无线系统支持 Portal 业务，Portal Server 支持可定制的 Portal 页面 第 15 页, 共 34 页 可以实现对现有网络系统的融合解决，包括不同在 AP 之间、不同交换机之间、不同 控制器之间的漫游解决，以及与现有有线和无线网络管理系统的融合 4.7.3 无线接入规划 无线接入 AP 上联 POE 交换机，通过 POE 交换机进行网线远程供电，减少电源布线麻 烦、并方便管理 AP 开关。 无线控制器支持分布式转发模式，无线 AP 支持本地转发，跨网段转发时使得数据报 文不经过无线控制器，而是在本地进行转发，大大提高了转发效率。 在无线网络应用中可以根据不同业务采用独立的 SSID（虚拟 AP） ，并映射到有线网上 不同的 VLAN，实现业务逻辑隔离。各业务采用独立的 AAA、QoS、访问控制策略，采用 802.1x 认证安全访问定义控制，数据流量 WPA/WPA2 加密，允许访问授权的网络资源。 页面推送：根据不同地理位置，不同用户，定制 Portal 业务。H3C 无线控制器内置 Portal server，能够实现基于用户位置和用户属性的页面推送，例如在用户登录时展示酒 店宾馆相关业务、优惠广告信息等。 4.7.3.1 客房接入规划 在充分考虑并发接入用户数及无线覆盖尽量没有死角的前提下，在每层楼分别部署无 线接入 AP，在走廊天花板上吸顶部署，实现到每个房间的无线网络覆盖。 方式一：方式一： 方式一无线部署简单经济，适合于一般情况下的无线覆盖，不会对宾馆现有装修环境 造成影响，但可能存在个别的覆盖盲点。 方式二：方式二： 第 16 页, 共 34 页 方式二无线部署方式较为复杂，需要将覆盖天线分别引入到每个房间，适合于房间墙 体较厚的复杂环境，会对宾馆现有装修环境造成一定影响，但无线覆盖无盲点。 在本次项目中，考虑到宾馆为常规环境（房间墙体不厚、信号穿透效果好） 、经济适 用，以及不对现有装修环境造成影响等因素，我们建议采用方式一进行部署，和宾馆现有 有线网络进行互补，实现较好的有线、无线双重网络接入。 4.7.3.2 大厅及会议室接入规划 在会议室采用吸顶或桌面部署方式，实现区域的无线网络覆盖。如果会议室空间范围 较大，可以部署 2 台无线 AP 进行信号覆盖，如下所示： 考虑到会议室空间范围较小，所以只需要在会议室中央位置吸顶或桌面安置一台无线 AP 即可。 4.7.4 方案优势说明 4.7.4.1 系统可靠性设计 无线控制器支持 100 毫秒业务备份，AP 会同时和两台无线控制器建立 CAPWAP 链路， 一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的 CAPWAP 链路处于 工作状态。 第 17 页, 共 34 页 当主控制器异常 down 机时，备份控制器和主控制器之间的心跳检测机制可以保证在 100 毫秒之内检测到主设备的异常，并通知 AP 将主控制器 CAPWAP 链路切换，保证控制信 号的不间断传送。 4.7.4.2 一体化 POE 供电、 无线 AP 通过网线进行 POE 远程供电，不仅解决了电力布线的麻烦，而且可以通过 POE 交换机实现对无线 AP 的远程管理、自由控制 AP 的开关。 4.7.4.3 只能负载分担 智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前 第 18 页, 共 34 页 位置下哪些 AP 可以彼此分担负载，通过控制无线客户端接入的 AP，来实现这些 AP 间的负 载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分 担。 无线系统支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设 备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是 否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会 转而接入其他负载较轻的无线接入设备，实现智能的负载均衡。 4.7.5 无线认证、计费方案 4.7.5.1 认证方式选择 在认证方式选择方面，由于 H3C 公司提供的是无线 AP+无线控制器进行组网的方案， 无线 AP 与无线控制器通过二层隧道协议通信，无线用户的认证点都是放置于无线控制器设 备上。 这样组网的优势是：当用户在不同 AP 之间进行 L2、L3 漫游切换的时候，可由无线控 制器对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认证的情况下跨区域 开展业务。 业界主要采用 802.1X 认证终端软件与 AP、无线交换机、CAMS 配合使用进行 802.1x 认证，或者采用 Portal 认证，后面具有 Portal/Web 与 802.1X 认证二种方式的比较。 无线控制器能够同时支持 802.1X/WEB PORTAL 认证，当用户数较少的时候，可以在无 线控制器本地建立用户数据库，将用户鉴权点放在无线控制器本地进行；当用户数达到一 定规模的时