实用资料大型五星级宾馆酒店无线网络解决方案

大型五星级宾馆酒店无线网络解决方案目录一TRAPEZENETWORKS公司简介3二无线网络建设需求4三酒店无线的需求及新应用531无线网开拓新型服务532酒店需求7四无线网络整体设计方案741设计原则742硬件系统架构设计843用户接入设计1344网络管理措施1745无线信号监控1946无线网络的可扩展性2147网络计费系统2148SMARTPASS2349方案特点24五设备选型及实施规划2841AP安装覆盖示意图2842交换机的选购2943设备清单29六TRAPEZE方案的技术特点以及在酒店中的适用性阐述3161先进而成熟的无线局域网交换架构3162具有安全保障的网络平台3363支撑多业务的网络应用3764智能无线交换4065统一的室内室外WLAN4266无限的WLAN运行周期管理44附件主要产品介绍46TRAPEZENETWORKMOBILITYEXCHANGESYSTEM46TRAPEZENETWORKRINGMASTERSOFTWARESYSTEM52TRAPEZENETWORKMOBILITYPOINTMP37257TRAPEZENETWORKMOBILITYPOINTMP42259一、TRAPEZENETWORKS公司简介TRAPEZENETWORKS公司成立于2002年,总部设在美国加利福尼亚硅谷,是一家提供构建WIFI无线局域网所需硬件设备的高科技公司,主要从事无线网关产品的生产,它主要用于中央化无线电管理,对PC和笔记本等运行于企业网络的产品进行联网管理TRAPEZENETWORKS公司一直致力于无线领域的技术创新与进步,在业界首先推出了无线交换机并创造性地提出了“智能无线网”的概念TRAPEZENETWORKS公司在美国欧洲中东和亚太地区均建有分支机构和技术服务中心,员工更是布满全球TRAPEZENETWORKS公司是首家也是唯一具有智能交换功能的WLAN设备的供应商为了能够更大的发展,TRAPEZENETWORKS公司进行了四次融资,共筹集到1亿2百50万美元,预计2008上半年在美国纳斯达克上市多家大型风险投资公司争先成为了TRAPEZENETWORKS公司的投资者,诸如红点投资REDPOINTVENTURES橡树投资OAKINVESTMENT摩托罗拉MOTOROLA北电网路NORTELNETWORKSJUNIPERNETWORKSACCELPARTNERSDUFFACKERMAN您可以到商务中心去吗或是必须回到房间里用电话线或者网线才可以上网等等如果在酒店大堂内安装一到两个无线访问点,该访问点可覆盖需要提供无线上网服务的区域当客人需要上网服务时,可以利用自己的无线局域网卡或者到前台或咖啡厅的服务员处租用时租或者是日租的无线网卡,这样客人就可以作为一个本地网络的用户自由地使用高速上网服务了313客房INTERNET上网服务在酒店客房内安装有有线网络接口,并通过AP覆盖整个大楼的每个房间入住酒店的客人可以通过有线无线多种方式上网灵活选择如果客人在邻近网络插座的地方或没有无线网卡情况下可以通过有线端口上网,另外客人可以使用自己的无线网卡或者酒店提供的无线网卡,插入自己的笔记本电脑后就可以方便地上网了314无线局域网语音应用目前大部分酒店的服务人员都是通过对讲机进行联系,非常的不方便,但是每一个员工都配置一个手机,其使用成本太高,酒店是无法承受的如果架设了无线局域网,这样酒店的服务人员就可以使用WIFI手机进行联络,网络范围内的WIFI手机通话完全不产生费用这样可以极大提高酒店的业务管理的效率,降低酒店的运行费用,同时无线手机也能实现酒店语音交换机所提供相应的使用在酒店中的功能和服务应用性IP电话可以看成一个智能网络终端,除了打电话之外它还可以实现与企业现有数据网络上各种应用系统的集成,比如通过电话发布企业内部信息会议安排即时查找员工目录信息等,此外还可以结合行业特点实现特性化的行业应用,如在酒店业实现订餐订票等客房服务等32酒店需求1酒店内部员工的WIFI通讯2酒店服务员可以在餐厅使用PDA为客人进行点菜,在大堂为客人办理入住登记等业务3酒店的商务客人在公共区域大堂餐厅和会议室使用笔记本上网4酒店客户访问无线数据网络业务无缝漫游5酒店对无线AP设备集中安全管理6无线网络支持多个SSID7可以和酒店内的服务器结合进行上网客户的认证四、无线网络整体设计方案41设计原则无线网络构建采用美国TRAPEZE公司的先进的WIRELESSSWITCHAP构架无线网络产品系统,该系统采用集中控制的理念进行设计,分布在各楼层的AP只有通过控制中心才能访问到网络资源,集中控制器是一个智能控制系统,通过购买增强功能许可协议即可扩展很多安全特性,诸如,防病毒防止和防火墙等功能本系统优为突出的特点是管理方便,易于维护结合酒店中心的网络和应用需求以及TRAPEZE解决方案的特点,无线网络通信系统的设计原则可以分为以下几大点采用无线交换架构组建无线网络子系统利用现有的有线网络资源,架设“层叠”网络,保持已有的有线网络配置和设置不更改用户子网和设备子网隔离,无线用户无法访问设备子网AP的IP网络设置从DHCP获取或者进行安装前静态配置,AP的无线网络设置由交换机集中推送42硬件系统架构设计421拓扑结构如下图所示,在整个无线网络系统当中,TRAPEZE的无线交换机MX200R放置在数据中心,与核心交换机之间采用VLANTRUNK进行连接而楼层中的AP通过隧道汇接回到无线交换机,途经楼层汇聚有线交换机和其它相关的有线网络设备在这样的网络实现当中,AP上用户的流量都将通过AP与无线交换机建立起的隧道,流向无线交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃422设备选型和配置由于此次无线网络通信系统需要部署酒店,还需要考虑到备份中心使用的备份策略,同时还需要为将来各大楼的无线部署做扩容准备,所以在设备选型的时候需要着重考虑设备性能,冗余方案,扩展能力等因素423核心交换机连接采用TRAPEZEMX200R交换机,放置在酒店的网络机房,每台TRAPEZEMX200R无线交换机可以支持192个AP接入和管理,完全满足酒店无线覆盖的需求,并留有一定的扩展余量无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游AP的供电采用单独的POE供电设备或与原有的普通楼层交换机配合,不用添加新的POE交换机,用于AP的数据接入和供电,又不增加过多的成本实现后的酒店无线局域网系统,在酒店内的任何一处,即便是在没有安装有线网络信息点的地方,也可以很方便地进行可视化的音视频酒店中心和召开各种需要使用网络音视频的会议在无线网络音视频会议酒店中心系统的支持下,在酒店领导和行政办公人员以及与会的来宾等,就可以利用其所携带的笔记本电脑或是配置有无线网络适配器的PC机,在酒店内的任何一个地方上网与世界的任何一地进行信息交流酒店中心或媒体演示这样可以十分方便快捷地创造一个多方位的可视化的远程多媒体酒店中心环境424接入层AP部署分布式的AP部署目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换另外,在企业进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,企业网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题1不能实现全面的统一的全网级的管理策略2不便于无线网络业务的划分3不能实现无线网用户的漫游4对无线接入点无法做到集中管理统一配置和固件升级为了解决传统有线与无线混合组网存在的上述问题,采用一种被称作“THINAP”代替传统AP的方法来解决这一问题本方案中采用的是TRAPEZEMP372/422型AP,并配合TRAPEZEMX200型无线交换机进行组网MP372/422型AP本身不带任何软件及配置,当AP在加电后,AP通过广播DHCP或DNS方式来获得位于网络骨干上的无线交换机MX200的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机MX200取得通信,随后由无线交换机MX200将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置在AP启动完毕后,AP与无线交换机MX200之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入无线交换机MX200,由于数据全部被封入TUNNEL,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构也无需考虑协议兼容性,从而实现了拓扑无关的组网采用“THINAP”组网的优势在于1AP与无线交换机之间建立跨越路由的TUNNEL,从而将无线业务与有线网络策略区分开2“THINAP”运行所需的固件及配置在启动时由无线交换机动态下发,轻而易举的实现了传统“FATAP”方案无法动态升级AP固件和配置的问题由于采用THINAP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网电源的供给对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点AP是十分必要的解决方案但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素为了解决这上述问题,我们在本次无线网络项目建设中采用TRAPEZEMP372/422型AP对于MP372/422型AP支持IEEE8023AF标准的POE供电,因此可以通过位于各个楼层内的POE交换机为每一个MP372/422型AP供电无线接入点安装说明美国TRAPEZENETWORK公司提供的无线接入点设备MP372/422配套完整的安装附件,适合多种条件安装需要美国TRAPEZENETWORK公司提供的无线接入点设备MP372/422配套完整的安装附件,适合多种条件安装需要下面通过图示的简要说明设备固定方法无线接入点MP372/422T型固定件固定支架无线接入点可以锁在固定支架上解锁后可以取下无线接入点利用T型固定件固定在天花板轻钢龙骨上T型固定件与支架通常用的固定方法利用T型固定件将支架固定后,可以通过上方的开口处将网线插入无线接入点直接安装在墙体上可以采用底座的方式固定43用户接入设计431用户认证在本方案中酒店中心将会存在两种类型的用户,一是网络移动设备,而是酒店中的接入用户对于运算和存储能力都相对比较弱的移动终端设备,目前业界普遍的做法是使用静态WEP与基于MAC地址的认证方式来进行设备接入认证TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网络的设备认证,同时内置的静态WEP算法由于采用了防止“弱”初始化向量措施,使得对于此类网络的破解大为困难无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备,对于可以借助网络进行其它业务操作的数据用户,也应该同样提供数据传输的能力,并且保证两者互不干扰TRAPEZE所架设的无线网络系统支持多SSID,能够利用一套物理网络设备建立起几套虚拟的无线网络环境,并且每一套无线网络环境都具有其专门的认证方法在一般数据用户进行网络访问的时候,TRAPEZE可以提供包括开放系统在内的五六种认证方案,包括WEB页面认证,8021X认证,基于SSID的认证等用户在接入网络之前,透过无线网络子系统把相关身份信息发送到后台的认证数据库当中,只有通过身份验证的用户才能够得到进入网络进行访问的许可授权432数据传输加密TRAPEZE架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所在酒店中心的通信系统,正是这样的一个典型例子控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息,端到端的通信受到先进加密算法的保护TRAPEZE架构中可以直接对二层的无线网络数据采用AES算法进行加密433提供灵活的多业务支持MULTISSID早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QOS,不同权限用户的隔离随后出来的第二代产品诸如CISCOAIRONET系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证加密QOS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制本方案提供的TRAPEZE系列无线系统,MP372/422最多支持64个SSID,并且可以根据用户属性,动态的分配用户认证方式加密方法QOS及所属VLAN,实现了基于用户的动态业务策略基于用户的动态业务策略能够实现全网范围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多更为灵活434用户接入策略从酒店的用户分类与分布情况分析,用户主要分成以下几类1酒店领导与工作人员2旅客使用网络是被分为不同的业务类型,因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个80211广播域内,因为无线电波的传输是共享一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSIDSSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网为什么要把不同的安全加密协议设置在不同的SSID呢80211的标准内定义了不同加密情况时数据包的封装格式,所以在使用不同的加密程式时,如WEP,TKIPWPA,80211IWPA2,它们是不可能在同一个SSID内同时存在的用户可根据实际的情况和80211发展来制定以怎样方式来实现无线加密最常见的做法是使用二个SSID,一个定义为OPEN/STATICWEP供客户用,另一个SSID则为TKIPWPA专为内部员工使用未来的发展趋势是新增设一个80211ISSID让员工以过度的方式逐渐从转移到这个SSID上不能一步转到80211I的主因在于很多的无线终端现在尚未支持80211I,而是不可能把所有的终端一次更换成最新的软件程序SSID可以覆盖全网,也可以只局限于假酒店网内的某些范围一般的情况下是全网开通,例如客人GUEST使用的SSID但有些SSID则可能只供某些部门使用,所以无线覆盖范围通常只会局限在某些范围内所以针对酒店无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制酒店领导员工酒店旅客用户,可以采用专门的SSID,可以采用级别较高的认证和加密手段435接入用户的带宽保证传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务TRAPEZEMX200无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通436用户漫游及QOS保障由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300500MS的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证SESSIONKEY重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播VOWLAN等的支持,因为传统无线网络的漫游只停留在IEEE80211协议层上,并没有对用户会话进行完整性保持而在本方案中,我们采用TRAPEZEMOBILITYSYSTEM方案,该方案也以无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游另外,TRAPEZEMOBILITYSYSTEM还率先支持WMMWIRELESSMEDIAMEDIA无线多媒体协议,能够将语音视频数据包以更高的优先级进行传送,提供了对无线QOS的保障44网络管理措施441AP的集中管理与自动配置在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理监控以及AP自身固件的升级由于传统AP是一种称作为“FATAP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于企业网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络而采用TRAPEZEMOBILITYSYSTEM架构下的无线网络,AP是一种被称作“THINAP”的结构,由于AP本身没有任何需要配置的参数,同时AP与中心无线交换机之间采用CAPWAP协议进行通信,AP的固件配置信息均由中心的无线交换机MX200提供,并且AP与TRAPEZE无线交换之间采用“心跳”机制定时保持通讯,为了解决传统“FATAP”能够集中管理配置升级APAP与TRAPEZE无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给TRAPEZERINGMASTER网管系统,RINGMASTER工作状态,并记入日志,以被日后查验442基于策略的用户访问控制TRAPEZEMOBILITYSYSTEM不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格访问控制列表ACL认证漫游策略和历史位置跟踪带宽使用以及其他授权等内容还可告知管理人员哪些用户已连接他们位于何处他们曾经位于何处他们正在使用哪些服务以及他们曾经使用过哪些服务443性能管理QOS保证/负载均衡如果一旦发生多个终端竞争一个AP的时候,基于流量和基于用户/终端数目两种负载均衡功能都将被启用,从而根据现场的负载情况进行均衡操作444故障管理AP的双备份TRAPEZE的设备支持冗余部署,如果是集中控制的无线交换机失效,注册到该控制器上的AP会重新注册到网络中另外一台TRAPEZE无线交换机上,保证网络的连续可用性如果是AP到主交换机的连接出现问题,AP也可以向从交换机发起连接申请,建立集中式的无线网络,以此来确保网络的运行自愈功能TRAPEZE的系统中AP具有自愈的功能,当一个AP失效的时候,附近的AP可以感知到,通过加大发生功率来覆盖失效AP原来所覆盖的区域,达到自动治愈网络覆盖空洞的目的,也提高了网络的可用性45无线信号监控451无线信号自动优化与调整传统“FATAP”组建的无线网络,在建设初期,需要对无线频谱及CHANNEL和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数天气湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低覆盖区域缩小等情况,导致网络运行不稳定采用TRAPEZEMOBILITYSYSTEM解决方案,支持RFAUTOTUNE技术MP372/422AP可以监听扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的TRAPEZEMX200R无线交换机上,MX200R根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,MX200R可以动态改变该区域内相关AP的发射功率当AP报告该区域内有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠TRAPEZEMOBILITYSYSTEM的RFAUTOTUNE技术以可动态地调整流量负载功率射频覆盖区域和信道分配,以使覆盖范围和容量最大化452非法信号的侦测告警感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位动态了解无线局域网WLAN所工作的射频RF环境的状态,对提供高水平的网络性能与安全非常必要采用TRAPEZEMP372/422企业级AP组合,能够支持两种模式来对非法电磁信号进行监测一种方式为MP372/422AP在做DATAAP的同时,每隔一段时间主动进行ACTIVESCAN另一种方式可以将MP372/422设为监听模式,称之为SENTRYSCAN与前一种方式不同的是,此种方式为连续监控TRAPEZEMP372/422型AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址,CHANNEL,类型及SSID等,自动识别并警告未授权的AP或ADHOC网络,以避免潜在的干扰或与无线入侵者另外,对于某些重点区域,还可以部署专用AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护453非法信号的主动反制当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的ATTACKLIST中,当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出IEEE80211DISASSOCIATION信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全46无线网络的可扩展性采用基于TRAPEZEMOBILITYSYSTEM系统架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略安全认证和数据安全加密机制,还保持着良好的网络可扩展性TRAPEZEMOBILITYSYSTEM采用了THINAP无线交换机架构,AP与无线交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性47网络计费系统酒店行业目前通常采用的是WEB网关式认证计费系统通过此系统,用户登陆访问酒店外网络时,会由网关进行认证,同时进行网络计费在部署无线网络之后,根据酒店要求,可以继续采用酒店原有的认证系统,同时对酒店内的有线网和无线网进行认证计费具体到无线网络的认证计费要求是1当无线用户想要利用酒店内的无线网络时,首先连接到附近的酒店无线网的接入点AP上2无线接入点AP发现有用户要求进行无线连接时,会要求用户进行帐号认证3用户端的操作系统在收到AP的信号后,会要求用户输入系统的帐号和密码4用户输入完后,会将加密后的用户名密码发送给无线AP5无线AP在收到加密后的用户帐号密码后,会将其发送给认证系统进行确认6认证系统在确认AP发来的帐号密码后,会发送指令给AP命令AP接受或拒绝用户的无线连接请求7如果认证系统命令AP接受用户连接,则AP打开无线信道,允许用户接入,同时认证系统开始对用户进行网络计费本次筹建酒店无线网络系统,可以在认证方面与原有的有线网络认证体系完全融合,对认证用户完全透明,不增加用户的认证次数和复杂性,同时还可以保证无线用户入网即认证的目的,便于控制无线用户的安全访问和与有线网络的认证账号统一性因此,在酒店的无线网络构架中设计中,TRAPEZE网络提供的无线接入点产品将与目前酒店的宽带计费认证管理网关的供应商进行联合开发以满足客户的需求具体实现方式是采用无线接入点已经良好支持的EAPPEAP作为认证加密协议,保证用户认证传输过程中的安全和身份的核查认证用户采用与有线网络一致的用户名和密码,无线接入点作为EAPPEAP的认证体,宽带计费管理网关作为后台RADIUS具体工作原理如下建成后的酒店无线网络将获得与有线网络一致的认证方式,同时兼顾了无线网络的连接过程的安全,为此而进行的开发合作与调整是基于国际标准认证协议进行的,可保证开发投入的风险降低,开发时间大大缩短48SMARTPASSSMARTPASS功能模块使非IT人员可以完成配置临时用户帐户访客进入企业网络的申请,网络管理员通过一些简单培训使其它网络管理员或非IT人员也可以作为员工管理员访客首先连接到GUESTSSID后,使用SMARTPASS建立的客户名密码很快并很轻易通过MX200R交换机认证后实现INTERNET连接服务等SMARTPASS可以根据具体需要定制访客用户名密码用户组及访客访问时间等49方案特点491最高扩容性及投资保障TRAPEZENETWORKS的智能无线交换功能,支持分散及中央处理,用户数据并不一定到WLAN无线交换机作中央处理避外网络瓶颈限制更可在AP上进行数据本地交换,WLAN无线交换机减轻数据包处理重担,专注流量及安全政策管理结果是更少无线交换机可管理更多AP网络数据流量减少时延更短,因为数据不需送回到无线交换机去作中央处理有些厂家试图用多个无线交换机,分布在网络上,解决网络数据流量问题但费用过高,更带来安装位置耗电热量及多占LAN端口等问题复杂了配置及管理TRAPEZENETWORKS的智能无线交换机更是不需硬件升级,便可支持80211NAP,保障您的所有投资TRAPEZE无线网络系统作为与拓扑无关的组网方案,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容,以及机房整体迁移到办公楼内提供良好的可扩展性TRAPEZENETWORKS无线网络系统能够自动对所有AP进行自动固件升级统一配置及统一优化,并可以对AP进行监控报警及故障定位,简化了管理和断网维护时间,保障网络的健康稳定运行492超级的负载均衡及容量管理TRAPEZENETWORKS的独特功能,可在更少无线交换机,同样数目的AP情况下,比其他产品,容纳多达3040在线用户无线终端面临二大上网问题A“前门”效应在多个同等值AP环境下,多数向单一AP连接B缺省设定用24G80211B/G标准,导致24G频段极为拥挤,但5G频段甚少用上TRAPEZENETWORKS会用动态射频管理及用户负载均衡,分散用户到不同AP更有专利功能,监察频段,强制有5G制式的终端设备去利用80211A标准上网TRAPEZENETWORKS的智能无线交换机群可以集群部署CLUSTER,较少负载的无线交换机可动态接管较高负载交换机的APTRAPEZENETWORKS支持以用户SSID及应用的QOS带宽管理,确保用户上网之表现493更快更安全的漫游在医疗生产及零售等高要求网络中,无线网络WLAN愈来显得重要如果用户在大楼间移动,而应用经常中断,这是不可接受的无中断漫游是成功无线网络建设的基本要求不幸地,无线并不代表移动正如移动手机真正价值在于漫游,在车内在商场无论何地,不能中断你当然觉得手机在无信号掉线时难受WIFI漫游是复杂的,它不单是从一个AP到一个AP连线它需要一个楼层到另一个楼层,一幢大楼到另一幢大楼,从AP到交换机之间无干扰漫游,保持一致的安全QOS带宽及权限问题是其他厂家产品,如何做到其他厂家产品依靠所谓“家”交换机HOMECONTROLLER设计,作为用户会话基地,保持会话安全密钥用户漫游到其他交换机,因没有相关资料,要网上寻找交换机拿会话安全密钥造成长延迟及掉包情况,对话音做成影响相反地,TRAPEZENETWORKS采用独家“分散安全认证”技术没有“家”交换机限制用户上网认证后,会话安全密钥会传到同一无线域MOBILITYDOMAIN的交换机上,所以漫游后不需网上寻找交换机拿会话安全密钥结果是更快更可靠的漫游更是户内/户外整网一体TRAPEZENETWORKS无线网络系统基于用户的访问控制策略使得用户的权限被映射在整个无线移动域中,而不受用户漫游到其他区域而失效494高质量话音网络结构话音是无线网络的重要应用当VOICEOVERIP在企业中大行其道时,超过40大型企业,计划在2010年前,应用在无线网络上但在所有应用中,话音是对时延及时延抖动最为敏感但TRAPEZENETWORKS的智能无线,支持本地交换手机话音流量可以从最短路径,直接相连,而不需要往返经过交换机这与SIP规范结构相符TRAPEZENETWORKS网络对话音时延最短根据第三方测试结果TRAPEZENETWORKS网络比其他厂家产品在大流量情况下时延短6倍,时延抖动少15倍除话音质量外,TRAPEZENETWORKS交换机可作集群CLUSTER冗余备份,支持无中断撤换不对话音影响,无掉线无杂音在安全方面,无论数据或话音,都支持最安全的WPA/WPA2标准495户外/户内网络一体化户外AP与户内AP要求不同户外AP通常都会使用MESH/BRIDGE功能,取代光纤或铜线户外长距离连线功能但带宽不够充裕,所以路由一定小心处理,减少数据不必在长途线上往返TRAPEZENETWORKS的智能无线,支持本地交换,有最佳表现多数其他厂家户外/户内产品分开,做成户外/户内分网分开交换机,分开网管,用户数据一定要往返中央处理TRAPEZENETWORKS网络户外/户内设备统一,在结构上应用功能射频计划及管理上,都是一体化496最高可靠性永不停机结构当无线成为新一代机构网络接入层,可靠性是最高要求TRAPEZENETWORKS无线网络解决方案中AP部署不受网络拓扑及VLAN子网划分的影响,无需改动企业现有网络拓扑结构TRAPEZENETWORKS无线网络解决方案中AP支持多达大个64个SSID,可以集成更多的业务策略,并保持一定的扩展性多数其他厂家像TRAPEZE一样,建设元器件备份功能AP双连线双电源链路集成等等但没有一家如TRAPEZE在系统层面结合先进有线网络提供灵活备份其他网络典型地提供一对一或多对一备份缺点是很难做到备份设备与运行设备配置同步再者,要经常定期检测备份设备,或实行撤换备份设备99处于空闲时间,直至备份需要撤换时,才知软件版本或配置不符TRAPEZENETWORKS发明交换机集群CLUSTERCONFIGURATION,多个交换机互为备份每机记录其他交换机配置如此一来,所有交换机一起工作如任何一机有故障,其他交换机可立刻分担它的工作除了备份以外,交换机可以停机作维修或升级对网络毫无中断影响当交换机恢复工作后,自动分配原来负载TRAPEZENETWORKS又有最先进户外MESH技术,提供快速链路恢复自动负载均衡自我优化及路由重组等功能又有洪水FLOOD控制,流量过滤提高链路带宽效率497超级安全防护功能TRAPEZENETWORKS无线网络解决方案支持多种迄今为止最为先进的用户身份认证及安全加密策略,能够有效的防止黑客入侵对网络及用户造成的危害TRAPEZENETWORKS无线网络系统具备完善的无线信号监控与入侵检测功能,能够自动对整个网络进行优化以及防止非法信号的干扰及入侵,保护网络的安全TRAPEZENETWORKS提供最佳入侵防御方案如多数其他厂家,TRAPEZENETWORKS无线交换机具有40多种基本入侵检测及防御功能免费提供给用户但只有TRAPEZENETWORKS将业界最先进的WIDS/WIPSAIRDEFENSE功能集成于同一网管平台上AIRDEFENSE更利用TRAPEZEAP作为网络探针,系统可以堤供多达250多种入侵检测及防护特征库,而节省50之探针花费当检测到入侵,TRAPEZEAP可按需要转化为探针对入侵进行定位,制压及采集入侵数据俩个系统集成,从单一终端管理简化配置,IT及保安人员,得到一致入侵信息498业界中最佳射频计划及WLAN管理多数其他厂家将无线网管作附加功能TRAPEZENETWORKS将网管作为网络主要功能RINGMASTER网管已是第七版本,包含户内/户外射频计划,整网配置告警实时监测管理储存多达三十天网络日志,生成各种报表,从单一终端管理整网RINGMASTER网管是唯一具有三维仿真功能之射频计划软件,可供精准射频设计,而无需花时花费到现场人手量度利用大楼建筑蓝图,RINGMASTER可以帮你设计最佳安装位置,射频功率及频道使网络户外/户内有最好表现,实现无缝漫游因为是三维仿真,完全可以避免到楼层间的频道干扰问题在计划内,可定制无线覆盖地区用户数目所需带宽在线话音用户数等RINGMASTER就可设计AP位置数目及配置并生成安装工程指示配置可直接输入到各交换机,省却安装错误及时间更可以按用户制定QOS/带宽等参数在网络运行期间,RINGMASTER有最严密监察,详尽告警,活动记录,多样报表,让你可以分析漫游及网络资源利用状态RINGMASTER可让你察觉网络连接问题,寻查根源,解决方案,预先计划扩容,同时显露“流氓”AP或其他网络攻击五、设备选型及实施规划41AP安装覆盖示意图一至三层覆盖一层到三层员工的WIFI需求比较大,考虑需要完全覆盖,建议在一楼附楼采用10个AP对其覆盖二楼会议是比较多,考虑到会议室中的上午用户量大突发性等特点,建议每个中小型会议室安装2个AP,对于大型的多功能厅,建议采用8个AP,无需在预宴厅在安装AP三层主要为宴会厅,采用完全覆盖主楼覆盖考虑到主楼客房服务等特点,建议每层用2个AP覆盖消防室,8个覆盖客房旋转餐厅考虑到无线点菜系统,部署4个AP总计AP372/422AP71注1层202层373层25545层390无4163046四层主楼采用AP372/422覆盖,AP71辅助覆盖信号较弱区域47层5电梯12小记9978总计48942交换机的选购采用三台TRAPEZEMX200交换机,放置在数据中心的网络机房,其中两台MX200无线交换机配置支持到160个AP的LICENSE最大可以支持192个AP接入和管理,另外一台配置支持到192个AP的LICENSE完全满足用户无线覆盖的需求同时,无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游43设备清单序号产品名称型号描述数量MX200RCNTRAPEZE无线控制器每台控制器初始包含32个无线接入点的LICENSE具备2GBPS以太网交换容量业界最高密度WLAN控制器具备2个1GBPSSFP端口,1个10/100BASET管理端口业界唯一用硬件交换有线及无线控制器最大支持192在线瘦AP数目双冗余电源支持CLUSTER堆叠技术31无线网络交换机MX2XXU32无线控制器MX200R的升级LICENSE,包含32个无线接入点数13目,最大可升级到192个瘦AP数目SFPUTP千兆以太网BASEUTPSFP光纤电接口模块6MP422TRAPEZE室内无线瘦AP接入点,支持80211ABG三种模式同时工作,双POE以太端口冗余,内置双频天线,可外接原厂双频天线,支持MESH功能992无线网络接入点MP71TRAPEZE室内无线瘦AP接入点,支持80211BG两种模式,双POE以太端口冗余390RMTS无线控制器MX200R相应管理软件安装光盘和用户手册,初始包含5个无线接入点管理LICENSE13无线网络管理软件RMTS100无线控制器MX200R管理软件的LICENSE,包含100个无线接入点的管理LICENSE54POE供电器PD3001CN符合8023AFPOE规范,单口供电模块4895电缆MODEM246GUESSPASS可选1六、TRAPEZE方案的技术特点以及在酒店中的适用性阐述61先进而成熟的无线局域网交换架构611集中式的无线网络管理模式一家普通的酒店,要实施无逢的无线网络覆盖,至少需要上百个甚至几百个AP无线设备,管理和维护如此大规模的无线局域网是一件很头痛和花时间的事情从射频信号的覆盖面,用户认证,以及接入安全等,都需要低成本的解决方案传统无线局域网的管理和维护是基于每一个单独的AP进行,其大量的管理工作就是要逐一地对每个AP进行同样的设置和更改动作,即使是一个很小的改动,也要将全部AP修改一次如果AP数量不断增多时,维护量变得非常庞大和烦琐再者,无线局域网本应是一个整体的系统,AP之间需要互相协调工作,单独改变一个AP参数会引起AP之间的无线电波干扰用户漫游重认证和授权等问题由此可见,TRAPEZE公司推出强大的具有集中式管理的瘦AP无线交换机架构,该无线架构具有简单而强大的无线局域网集中式管理功能,AP本身并不存放任何的配置文件,AP的配置是从无线交换机上获取的,通过无线交换机管理模式就可以统一管理整个无线网络的AP网管人员只需简单地配置无线交换机,即可实现开通管理和维护所有AP设备以及移动终端,包括无线电波频谱无线安全接入认证移动漫游以及接入用户无论多么庞大的酒店网络,TRAPEZE的先进架构都可以让管理者在瞬间内完成所有AP的修改和自动协调动作例如,在酒店里共部署了300个分布在各楼层的无线AP,出于安全性的需要,每三个月修改一次WEP加密密钥,如果用传统方法,只能逐一对每个AP进行修改,估计需时几天,而用TRAPEZE的集中式统一管理架构,只需几秒钟就完成了,效率是从前的几百倍再者,对于超大型无线网络几千个AP数量级以上的网络,如果没有集中式的统一配置管理,是无法想象的自从有了集中式统一管理的无线架构后,现今越来越多的酒店开始逐步实施“移动边缘”战略,因为不需再担心因规模问题导致额外的管理时间和成本612无线射频的智能管理传统无线局域网射频管理是依靠工程师手动配置的,这种固定式,静态的管理手段并不灵活,有很大缺陷,尤其不能适应大规模的无线网部署及动态复杂多变的无线环境因此,我们需要更智能化的动态射频管理TRAPEZE的无线架构是基于无线交换机的集中式统一管理系统,而无线交换机正好是全局AP的中心和沟通桥梁AP与AP之间的射频信息通过无线交换机汇总后,通过RF智能控管,便可以很方便地自动调节线上所有TRAPEZEAP的电波特性,而无需逐一设置,这是传统AP方式无法做到的启动了AUTOTUNING后,AP和AP之间便会自动互传相关射频的信息,然后计算得出最佳的通讯频率和发射功率,直到AP之间达到了一个最优化的无线电波运行环境而且,这种射频优化过程是动态的,持续的,对于酒店行业这个复杂而多变的室内环境,经常会受到各类无线电波干扰,拥有动态的射频管理是很必要的智能化的射频管理原理及主要过程如下当在TRAPEZE无线交换机内启动RFAUTOTUNING这功能,于是无线网上所有的TRAPEZEAP都会在设定的时间内自行扫描其它的无线频道所谓电波扫描,是指TRAPEZEAP从一个电波频道跳到另一频道时,如CH1到CH2到CH3,由于扫描的速度非常快,所以对于连线的无线用户指连接到AP上在同一频率上的无线终端传输过程是不会受到影响当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回TRAPEZE无线交换机这样TRAPEZE无线交换机就对整个无线网上的整体无线电波情况有一定了解和记录,并通过优化算法,计算得出每个AP最佳的无线频率和发射功率当某一覆盖范围内的电波改变或出现干扰时,TRAPEZE无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波62具有安全保障的网络平台在传统的无线局域网解决方案中,为保障网络的安全,许多客户把所有无线流量拒之于防火墙从DMZ区接入之外,用户不得不绕道进入单位网络从安全性方面看,这是个好方法,但却使网络设计达不到最优状态而且导致性能劣化,因为WAN级别的防火墙突然之间要被迫应付许许多多以无线局域网速度访问的接入点这种技术由于“统一尺码”的访问控制方法而不够灵活,因为它赋予所有无线用户相同的网络权限如果不采用上述的解决方案,而是将无线系统直接连接到楼层交换机,这样用户连接至AP以后,所有的访问都将无从控制,对客户的网络安全更是极大的威胁在酒店园区网的环境中,由于来往的人员多,流动性很大,如果只是靠内网和外网的隔离,不能很好的提供服务给不同身份的用户而TRAPEZE无线系统的安全管理是将访问控制安全认证防病毒无线入侵监测以及RF电磁波管理等多项安全功能汇聚到TRAPEZE无线交换机上来完成的,解决了传统的无线网对安全的分散管理APAC和能力,给用户带来的安全感,摆脱了对有线网安全的依赖性621无线用户网络接入的安全管理由于无线客户端是移动的,因此,TRAPEZENETWORK使用创新的基于身份的组网来提供网络服务这种方法基于用户身份而非端口或设备群组与移动域MOBILITYDOMAIN中的多个交换机共享用户数据库,以便跨越整个网络包括远端局实现移动性和安全性当用户漫游网络时,通过这种无线网络范围内的信息交换,以实现在网络范围内执行一致的访问和安全策略用户位置安全性以及访问详细信息迅速地在交换机或控制器之间传输,而不再依靠连接,这可在保持无缝安全性和会话完整性的情况下快速漫游,而无需再次认证,在保持会话完整性的情况下快速漫游还可与WIFI语音电话进行交互无线交换解决方案根据TRAPEZENETWORK的加强无线安全性功能建立,以增强对网络的保护TRAPEZENETWORK的现有无线安全性基础包括与WPA和8021X认证结合的AESTKIP以及WEP加密,而现在