酒店WIFI无线覆盖方案.docx
《酒店WIFI无线覆盖方案.docx》由会员分享,可在线阅读,更多相关《酒店WIFI无线覆盖方案.docx(43页珍藏版)》请在冰点文库上搜索。
酒店WIFI无线覆盖方案
一.项目背景
中茵皇冠假日酒店前身为新国际大酒店,作为首家五星级酒店,自1997年开业以来,曾接待过众多中外首脑、明星艺人、国际友人,为经济文化的快速发展、提升国际化水平做出了很大的贡献。
中茵皇冠假日酒店与全球最大、分布最广的资深酒店管理机构——英国洲际酒店集团合作经营管理,将酒店品质进一步提升。
近年来,酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。
在传统的服务项目已非常成熟的今天,作为高星级酒店,如何在同业竞争中永远领先一步,为客户提供更全面周到地服务,已经成为亟待解决的首要问题。
在网络技术高速发展的今天,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店显身手。
TrapezeNetworks做为全球领先的无线网络公司,曾为迪拜七星帆船酒店、丹麦HotelPropellen、瑞士LausannePalaceHotel&Spa等国际著名酒店集团构建高速无线网络。
TrapezeNetworks公司很高兴能为中茵皇冠假日酒店设计SmartMobile智能无线网络。
二.无线网络整体设计方案
Trapeze无线网络系统主要由以下三部分组成:
✓无线交换机(MobilityExchangeSystem™)
✓无线网络交换机管理系统(RingMaster™SoftwareSystem)
✓无线接入点(MobilityPoint™)
二.1.无线网络总体描述
无线网络组网拓扑示意图
接入网络部分:
无线覆盖区域物理分布在酒店客房楼层,具体部署方式请参阅2.7章节《目标区域无线覆盖示意图》。
无线网控制、管理部分:
在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的无线交换机对整个无线网路进行统一的管理。
采用一台TrapezeMX-200型无线交换机对全网AP进行集中管理和控制,各覆盖区域AP通过有线网络连接至MX-200无线交换机,实现了无线集中控制。
无线网络管理部分:
RingMaster™是TrapezeNetwork公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了TrapezeNetwork的路由器、以太网交换机设备组网,提供对AP、交换机和控制器的全面控制以优化网络并增强安全性。
二.2.无线网络组网方案
二.2.1.AP电源的供给
对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。
但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。
而且,在安装时,我们不得不考虑电源插口是否存在,以及连接是否可靠,电源是否会从墙板上脱落等不确定因素。
为了解决这上述问题,我们在本次无线网络项目建设中采用TrapezeMP-422型AP。
对于MP-422型AP支持IEEE802.3af标准的PoE供电,因此可以通过位于各个楼层的POE交换机为每一个MP-422型AP供电。
二.2.2.分布式的AP部署
目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在酒店进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,酒店网络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。
由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:
1.不能实现全面的、统一的全网级的管理策略
2.不便于无线网络业务的划分
3.不能实现无线网用户的漫游
4.对无线接入点无法做到集中管理、统一配置和固件升级
为了解决传统有线与无线混合组网存在的上述问题,采用一种被称作“THINAP”代替传统AP的方法来解决这一问题。
本方案中采用的是TrapezeMP-422型AP,并配合TrapezeMX-200型无线交换机进行组网。
MP-422型AP本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的无线交换机MX-200的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机MX-200取得通信,随后由无线交换机MX-200将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置。
在AP启动完毕后,AP与无线交换机MX-200之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入无线交换机MX-200,由于数据全部被封入TUNNEL,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。
采用“THINAP”组网的优势在于:
1.AP与无线交换机之间建立跨越路由的TUNNEL,从而将无线业务与有线网络策略区分开
2.“THINAP”运行所需的固件及配置在启动时由无线交换机动态下发,轻而易举的实现了传统“FATAP”方案无法动态升级AP固件和配置的问题
由于采用THINAP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。
二.2.3.提供灵活的多业务支持(Multi-SSID)
早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如CiscoAironet系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。
本方案提供的Trapeze系列无线系统,MP-422最多支持64个SSID,并且可以根据用户属性,动态的分配用户认证方式、加密方法、QoS及所属VLAN,实现了基于用户的动态业务策略。
基于用户的动态业务策略能够实现全网围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多、更为灵活。
二.3.AP的集中管理与自动配置
在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。
由于传统AP是一种称作为“FATAP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于酒店网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。
而采用TrapezeMobilitySystem架构下的无线网络,AP是一种被称作“THINAP”的结构,由于AP本身没有任何需要配置的参数,同时AP与中心无线交换机之间采用CAPWAP协议进行通信,AP的固件、配置信息均由中心的无线交换机MX-200提供,并且AP与Trapeze无线交换之间采用“心跳”机制定时保持通讯,为了解决传统“FATAP”能够集中管理、配置、升级AP;AP与Trapeze无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给TrapezeRingMaster网管系统,RingMaster工作状态,并记入日志,以被日后查验。
二.4.基于用户身份的管理
二.4.1.用户认证及加密
众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。
目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。
TrapezeMobilitySystem支持国际最为先进的认证及加密技术:
●多种认证方式:
支持基于数字证书的强安全认证方式RSN(WPA2,IEEE802.11i)、WPA;同时也兼容一些使用较为广泛的WebPortal认证及MAC认证,以便于临时来访用户的接入
●数据加密:
1.多种加密方式:
借助于TrapezeMP-422AP执行高级加密标准(AES)、临时密钥交换协议(TKIP)以及有线对等加密(WEP)加密有助于保护所有的通信连接。
2.每用户的加密分配:
对每用户或每组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。
二.4.2.基于策略的用户访问控制
TrapezeMobilitySystem不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等容。
还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
二.4.3.用户漫游及QoS保障
由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300-500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、sessionkey重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
而在本方案中,我们采用TrapezeMobilitySystem方案,该方案也无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。
另外,TrapezeMobilitySystem还率先支持WMM(WirelessMedia-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。
二.4.4.用户动态负载均衡
传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。
TrapezeMX-200无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。
例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
二.5.无线信号监控
二.5.1.无线信号自动优化与调整
传统“FATAP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。
采用TrapezeMobilitySystem解决方案,支持RFAuto-Tune技术。
MP-422AP可以监听、扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的TrapezeMX-200无线交换机上,MX-200根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,MX-200可以动态改变该区域相关AP的发射功率;当AP报告该区域有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠。
TrapezeMobilitySystem 的RFAuto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖围和容量最大化。
二.5.2.非法信号的侦测、告警
感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的网络性能与安全非常必要。
采用TrapezeMP-422企业级AP组合,能够支持两种模式来对非法电磁信号进行监测:
一种方式为MP-422AP在做DataAP的同时,每隔一段时间主动进行ActiveScan;另一种方式为MP-422本身支持双频信号(IEEE802.11a/b/g),若平时只使用IEEE802.11b/g一个频段,则可以将802.11a频段用于监听,(称之为SentryScan)与前一种方式不同的是,此种方式为连续监控。
TrapezeMP-422型AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址,Channel,类型及SSID等,自动识别并警告未授权的AP或Ad-Hoc网络,以避免潜在的干扰或与无线入侵者。
另外,对于某些重点区域,还可以部署专用AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。
二.5.3.非法信号的主动反制
当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的Attacklist中,当发现有无线客户端尝试该非法AP时,系统可以主动向该无线客户端发出IEEE802.11disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全。
二.6.无线网络的可扩展性
采用基于TrapezeMobilitySystem系统架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制,还保持着良好的网络可扩展性。
TrapezeMobilitySystem采用了THINAP+无线交换机架构,AP与无线交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
二.7.目标区域无线覆盖示意图
无线覆盖区域物理分布在酒店的两栋建筑物,一区和三区。
三区客房楼层(1-8层),会议室,游泳池以及一区的中餐厅,贵宾室,宴会厅等区域,其中一区三层以及三区地下二层不需要进行无线覆盖。
二.7.1.无线覆盖示意图
按照覆盖区域的客房分布情况,分为以下几个部分。
1、一区地下一层:
需要覆盖宴会厅的全部围,将AP部署在宴会厅的天花板,具体位置如下图所示:
一区地下一层AP部署示意图
2、一区地下一层夹层:
在夹层共9个会议室以及一些公共区域需要进行无线覆盖,AP部署在走廊上,具体部署位置如下图所示:
一区地下一层夹层AP部署示意图
3、一区一层:
一区一层主要对餐厅,大堂等公共区域进行覆盖,AP部署在天花板,具体部署位置如下图所示:
一区一层AP部署示意图
4、一区二层:
一区二层主要需要对一些贵宾包厢进行无线覆盖,AP部署在走廊上,具体部署位置如下图所示:
一区二层AP部署示意图
5、三区地下一层:
三区地下一层需要对一间大型会议室,一个游泳池,以及健身房进行无线覆盖,AP部署在天花板上,具体部署位置如下图所示:
三区地下一层AP部署示意图
6、三区地下一层夹层:
三区地下一层夹层主要为休息区,以及足疗区,需要对贵宾休息室进行无线覆盖,AP放置在走廊上,具体部署位置如下图所示:
三区地下一层夹层AP部署示意图
7、三区一层:
三区一层主要需要对大堂吧,餐厅,以及运动吧进行无线覆盖,AP放置在天花板上,具体部署位置如下图所示:
三区一层AP部署示意图
8、三区二层到六层:
三区的二层至六层为全部为客房,每个楼层的结构都一致,AP放置在走廊的天花板,具体部署位置如下图所示:
三区二层到六层AP部署示意图
9、三区七层:
三区的七层也为全部为客房,与二层到六层的结构基本一致,AP放置在走廊的天花板,具体部署位置如下图所示:
三区七层AP部署示意图
10、三区八层:
三区的八层为全部为客房,房型为复式套房,AP放置在走廊的天花板,具体部署位置如下图所示:
三区八层AP部署示意图
在现场勘察过程中,我们将AP摆放在规划的位置,在附近的房间进行信号强度测试,测试结果如下:
距离AP较近的房间
距离AP较远的房间
复式房间的楼上
二.7.2.无线网络设备汇总表
设备名称
安装位置
数量
数量小计
MP-422(无线接入点)
一区地下一层
2
171
一区地下一层夹层
5
一区一层
3
一区二层
3
三区地下一层
4
三区地下一层夹层
3
三区一层
6
三区二层至六层
105
三区七层
17
三区八层
23
MX-200(无线控制器)
核心机房
1
1
SFP-SX(多模光纤模块)
核心机房
1
1
PD-6512-xx(12口POE交换机)
一区地下一层
1
16
三区一层
1
三区二层至八层
14
PD-6506-xx(6口POE交换机)
一区一层
1
2
三区地下一层
1
RingMaster(网管软件含200APlicense)
核心机房
1
1
二.7.3.无线接入点安装说明
美国TrapezeNetwork公司提供的无线接入点设备MP-422配套完整的安装附件,适合多种条件安装需要。
美国TrapezeNetwork公司提供的无线接入点设备MP422配套完整的安装附件,适合多种条件安装需要。
下面通过图示的简要说明设备固定方法。
无线接入点MP-422T型固定件固定支架
无线接入点可以锁在固定支架上
解锁后可以取下无线接入点
利用T型固定件固定在天花板轻钢龙骨上T型固定件与支架通常用的固定方法
利用T型固定件将支架固定后,可以通过上方的开口处将网线插入无线接入点
直接安装在墙体上可以采用底座的方式固定
网线通过预留接口插入无线接入点
三.实施方案
三.1.拓扑结构
如下图所示,在整个无线网络系统当中,部署TRAPEZE的一台无线交换机MX-200放置在数据中心,MX-200通过GE端口与核心交换机进行连接;而楼层中的AP通过TUNNEL方式与交换机相连。
共部署AP171个,具体见无线部署示意图。
在这样的网络实现当中,AP上用户的流量都将通过AP与无线交换机建立起的隧道,流向无线交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。
三.2.设备选型和配置
本次项目采用MP-422。
为AP配置了相应的供电模块。
设备的型号以及配置见设备清单和报价表。
三.3.无线交换机连接
采用一台TrapezeMX-200交换机,放置在数据中心的网络机房,MX-200无线交换机配置支持到192个AP的license,完全满足用户无线覆盖的需求。
同时,无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游。
三.4.接入层AP部署
Trapeze方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的MX-200交换机IP地址即可。
这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。
三.5.用户接入策略
从用户分类与分布情况分析,用户主要分成以下几类:
(1)部员工;
(2)Guest用户;
使用网络是被分为不同的业务类型,因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式。
在一个无线局域网可以设置多个SSID,例如一个SSID可给部员工所用,而另一个可给外来的客户专用。
SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。
最常见的做法是使用二个SSID,一个定义为OPEN/StaticWEP供客户用,另一个SSID则为TKIP(WPA)专为部员工使用。
另外,可以增设一个802.11iSSID让员工以过度的方式逐渐从转移到这个SSID上。
不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i。
SSID可以覆盖全网,也可以只局限于厂区的某些围。
一般的情况下是全网开通,例如客人(Guest)使用的SSID;但有些SSID则可能只供某些部门使用,所以无线覆盖围通常只会局限在某些围。
所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。
会所部的员工可以采用专门的SSID,可以采用级别较高的认证和加密手段,对参加会议人员和来访人员可以使用另一个SSID,采用级别相对较低的认证和加密手段,这样就实现了区分的服务。
四.方案优势
1.基于用户的访问控制策略使得用户的权限被映射在整个无线移动域中,而不受用户漫游到其他区域而失效。
2.方案支持多种迄今为止最为先进的用户身份认证及安全加密策略,能够有效的防止黑客入侵对网络及用户造成的危害。
3.具备完善的无线信号监控与入侵检测功能,能够自动对整个网络进行优化以及防止非法信号的干扰及入侵,保护网络的安全。
4.AP部署不受网络拓扑及VLAN子网划分的影响,无需改动酒店现有网络拓扑结构。
5.AP支持多达大64个SSID,可以集成更多的业务策略,并保持一定的扩展性。
6.系统能够自动对所有AP进行自动固件升级、统一配置及统一优化,并可以对AP进行监控、报警及故障定位,简化了管理和断网维护时间,保障网络的健康稳定运行。
7.拓扑无关的组网方案,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。
五.附件:
主要产品介绍
五.1.TrapezeNetworkMobilityExchang
升级会员 