深圳市斯迈尔电子有限公司

一、 深圳XXX酒店无线局域网系统缔造需求

1．项目布景

  关于效力工业中的酒店业来说。现在酒店行业比赛的关键现已从硬件的比赛转移到效力的比赛，各大酒店均费尽心机来前进自己的效力知道和效力水平。在传统的效力项目已非常老到的今天，

作为四、五星级酒店如何为客户供应新的效力成为酒店经营者头疼的疑问。近两年来，跟着来自世界各地商务客人的增加，全球信息技术的展开和无线网络的高速展开，以及Internet在国内的迅猛展开，

为酒店经营者供应新的信息效力成为一种趋势。这一方面提升了现代化酒店的效力与处理水平，一同，也为酒店经营者带来了相应的利益。

  可以说，网络不仅是酒店传达信息的东西，也是留住回头客坚持入住率的有用办法，而无线网络由于其移动性、便当性和活络性的特色，更是得以在酒店中大显身手。商务客人通常会央求酒店供应与其单位和自己家庭相同的高速Internet访问才干，

通过无线局域网就可结束活络且可拓宽的网络处理方案。

   酒店关于无线网络的缔造有着不相同的运营方式，有的酒店保留着运营商出资的方式，并参与运营商的分红，如同原有的语音话费以及上网业务相同。但是运营商出资的方式，也让酒店自己的分红利益减少了很多。在语音效力和上网出口在国内独占的

形势下，酒店也难有机遇替自己增加收入。无线网络的运用就不相同了，通过无线局域网的树立，酒店可以在前进自己酒店效力水准的一同为自己找到一个新的业务增加方式和获利创造点，而且在其基础上逐渐扩大出其他的业务增加和效力新领域。

二、 深圳XXX酒店无线局域网方案原则和技术需求

2．1遵循标准

无线局域网选用的技术支持应为国际标准或业界标准，不运用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的出资维护。

根据深圳XXX酒店的需求和无线网缔造与方案原则，建议选用美国ARUBA 公司的无线沟通局域网系统（以下简称ARUBA 无线系统），结束无线局域网掩盖项目。

2．2技术潮流

**代无线局域网主要是选用胖AP架构，每台AP都是一个独立的单个，AP与AP之间不会进行任何沟通，需求逐台逐台进行配备和处理，费时、费劲、维护本钱高，安全低，融合性差；第二代无线局域网融入了认证网关设备，依然不能会合对AP进行处理和配备，仅仅对认证处理方面有所前进罢了。现在大型无线网络央求其与传统有线网络滑润融合，央求处理性和安全性都有必要有一个质的前进，而**代和第二代无线技术一定不能满足，因此，在这么的环境下，根据无线沟通机会合式处理的第三代

无线架构延生了。第三代无线局域网架构选用无线沟通机加瘦AP的构造，使得无线局域网的网络功用、网络处理和安全处理才干得以大幅前进，使缔造大型无线网成为或许。但是网络的展开日新月异，跟着我们对无

线局域网技术央求的不断前进，以及对无线局域网知道的深化，瘦AP的概念现已过期。 可胖可瘦成了AP展开的趋势，尤其是跟着802.11n的广泛，简略的瘦AP给后台的无线沟通机带来极大的背负。为了处理这个疑问，用户付出的价值也是无量而不划算

的。第四代可胖可瘦AP成为无线局域网展开的一定。

2．3安全可靠

在网络安全性方面，无线局域网系统要具有与有线局域网相同央求的安全防护办法，无线网的安全性主要从以下几个方面考虑：

（1）接入认证：具有支持多种用户认证办法；

（2）数据链路的全程加密；

（3）具有无线电波监控才干，能供应无线侵犯侦测和无线终端方位的寻找功用。

具有供应智能化的无线电波自动调控与切换才干，以保证单个AP接入点在发作缺点时自动切换到附近AP，不会影响无线的接入效力；具有支持热备份的无线沟通机的冗余备份机制。

2．4可拓宽可晋级

通过一个会合的无线局域网网管途径结束对全部的AP功用的配备和处理，AP在供应无线接入的一同，也可进行无线侵犯监控、无线电波传输剖析。一同全部别系可以根据用户的需求进行方案上的拓宽，拓宽后全部功用和处理的方式坚持不变。

2．5易处理易维护

在网络处理方面，有必要具有会合控管、智能调控、自动恢复、系统冗余等有用功用，使所建的无线网络可以习气多种环境的改动，可动态地保证出色的运用作用。一同，还应支持多SSID，可以便当的把语音、视频以及其他类型的数据的运用进行分开管

理。
2．6技术需求

根据深圳XXX酒店无线局域网系统缔造央求，无线局域网系统缔造原则如下：

1、充沛利用现有网络构造与本钱，不单独组网，AP就近接入有线网络（近期的沟通机），而且不改动原有网络构造以及沟通机配备。

2、选用会合控管的组网办法，会合控制处理全部的AP。

3、AP的供电可以不单独拉线，选用POE供电的办法。

4、选用抢先的WLAN网管系统处理局域网。

5、充沛考虑WLAN的安全性，选用抢先的WLAN安全技术保证。

6、无线局域网系统要支持缺点热备冗余才干。

7、无线局域网系统要能便当和活络地调整与扩大。

三、重庆XXX酒店无线局域网方案建议

根据无线网络需求和无线网络方案原则，联络ARUBA无线系统技术及商品的特色，方案的规差异为：无线组网办法方案、多业务差异方案、网络及用户处理、网络安全防护方案、移动周游、兼容性和计费方案七个有些。

3.1无线组网办法方案

ARUBA无线系统的组网办法有两种，会合式组网和分布式组网。可以根据不相同的网络方案和处理办法，考虑选用以下不相同层次的ZoneDirector和FlexMaster会合网管系统进行组网。

3．1．1小型无线局域网(5到50个AP)会合式组网

 假设全部无线系统的AP数量较少（少于50个），而且大有些都会合在一定区域内通过以太网沟通机相连，那么可以选用单台ZoneDirector1000来组网。该ZoneDirector1000处理全部的AP。如下图。

即使有些AP不是会合在特定区域内通过以太网沟通机相连而是通过其他宽带联接，那么也可以选用单台ZoneDirector1000来组网，通过该ZoneDirector1000远程处理其他的AP。

3．1．2中型无线局域网(50到250个AP)会合式组网

假设全部无线系统的AP数量比照多，且大有些也都会合在一定区域内通过以太网沟通机相连，即使有些AP不是会合在特定区域内通过以太网沟通机相连而是通过其他宽带

联接。那么也可以选用单台ZoneDirector3000来组网。该ZoneDirector3000处理全部本地或远程的AP。如下图。

配备为ZoneDirector3000+AP。


3．1．3大型无线局域网(250个AP以上)会合式组网

假设全部无线系统的AP数量比照多，而且大有些也都会合在一定区域内通过以太网沟通机相连（即使有些AP不是会合在特定区域内通过以太网沟通机相连而是通过其他宽带联接）。而用户仍是抉择选用会合式组网。那么可以选用多台ZoneDirector3000

来组网。这些ZoneDirector3000处理全部本地或远程的AP。一些央求较高的用户会选用双机或多机或N+1的办法加强网络冗余备份。在网络基地则设置FlexMaster网管系统处理全部ZoneDirector3000来设定全部无线局域网设置。

选用ZoneDirector3000，通常是把250个AP会聚到ZoneDirector3000 上，而视乎AP实习数目和网络拓扑，多台ZoneDirector3000可分别设置在不相同的区局配线间/机房。在网络基地内则一定用FlexMaster以处理其它ZoneDirector3000。

配备为FlexMaster＋ZoneDirector3000或ZoneDirector1000+AP。


3．1．4大型无线局域网(100个AP以上)分布式组网

假设全部无线系统的AP数量比照多，而且大有些都分布比照松散，接入办法也多种多样(如运营商的热门网络)。那么可以选用FlexMaster会合处理系统来处理远端的AP进行组网，对全部的AP进行配备和处理，设定全部无线局域网设置。

3．1．6 重庆XXX酒店无线局域网的组网方案

我们方案选用PoE供电办法，由PoE远程供电模块，为ARUBA的无线AP进行供电，以超五类网线互联，终究通过楼层接入沟通机联接入基地沟通机，全部无线网可以实施活络的无线VLAN差异，各级认证加密。

3．2多业务差异方案

运用无线网络可以分为不相同的无线接入业务类型。因此，在方案上选用无线局域网多SSID技术，设置多业务差异办法。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户通常把SSID当作

VLAN，所以它们都会惯性地以VLAN概念来差异SSID。其实在一个AP计划内，不论用户联接到那一个SSID它们实习上都是在同一个802.11广播域内，由于无线电波的传输是同享。一个**简略的比方便是AP把不相同的SSID名字广播，所以当无线终端在这个

AP掩盖计划内启动时，它就能一同看到多个SSID。SSID的**主要用处是可让无线终端以不相同的安全认证和加密办法入网。

为何要把不相同的安全加密协议设置在不相同的SSID呢?  802.11的标准内界说了不相同加密情况时数据包的封装格局，所以在用户的无线接入运用不相同的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不相同加密办法不能在同一个SSID内一同存在

的。用户可根据实习的情况和802.11展开来拟定以如何办法来结束无线加密。**常见的做法是运用多个SSID，例如：一个界说为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工运用。将来的展开趋势是新增设一个802.11i SSID让

员工以过度的办法逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在没有支持802.11i，而是不或许把全部的终端一次更换成**的软件程序。

要注意的是SSID可以掩盖全网，也可以只束缚于园区网内的某些计划。通常的情况下是全网注册，例如：客人(Guest)运用的SSID；但有些SSID则或许供某些有些运用，所以它的掩盖计划通常只会束缚在某些计划内。

3．3网络与用户处理

ARUBA无线系统中可以设定用户的人物（role），每个role可以根据用户权限和可访问本钱的设定等规矩。用户权限是ABURA ZoneDirector的功用，是关于无线接入的特性而方案。通常的用户接入不相同的SSID时只具有该SSID或VLAN所对应本钱的访问权

限，所以访问不相同的VLAN的本钱需求分别登录不相同的SSID，这么是非常不方便的。ARUBA的根据用户人物的权限处理是与用户认证捆绑在一同，当无线用户成功通过认证后，他会获得一个预设的用户人物权限，访问其他SSID对应的网络本钱。这么，一个

具有全部权限的用户通过一个SSID登录后，可以访问全部SSID对应的语音、数据和视频业务的权限，然后简化了用户的权限设置和用户处理的复杂性。

通常在用户权限方案中，可以将来宾和普通用户的权限设置的较低，只能访问有限的本钱，且优先级较低，而且有带宽的束缚。

其他用户或许有较高的权限，可以访问更多的学校本钱，或许对某些特殊的来宾敞开某些VIP账号，分配给其较高权限的role。在带宽方面可以做比照宽松的束缚。全部这些在配备、运用和处理上都非常契合通常公司的网络处理需求。

3．4无线安全性方案

在ARUBA无线系统中，可以在多个层面对系统构筑安全防护，其安全性方案如下：

（1）多SSID：可以根据需求，如用户的种类、运用的种类，在无线系统中设置多个SSID，不相同的SSID选用不相同的安全策略，这么可以对不相同的用户及运用进行差异效力。其他SSID还可以选择躲藏的办法，该SSID不广播，用户无法看到，避免非

法用户的联接试图。SSID还可以选择在某些AP上出现，某些AP上不出现，束缚SSID出现的计划也是结束安全性的一种办法。

（2）加密：ARUBA无线系统支持多种加密的办法，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密办法，三层的加密支持IPSec **加密，这么使得加密的办法更加的活络，可以根据实习需求进行选择。

（3）用户认证供应三种办法：

① WPA-PSK＋captive portal+**。

加密办法选用WPA-PSK，不建议选用静态WEP，由于有安全隐患。选用captive portal+**的认证办法，一同**还具有三层的加密功用，具有更高的安全性。认证效力器的选择比照活络，可以运用RADIUS, LDAP, Windows NT, ActiveDirectory,

TACACS，甚至是ARUBA沟通机内置的帐户数据库。

② WPA+802.11x加密办法尽量选用WPA，假设客户端不支持也可选用动态WEP，认证办法选用802.11x，认证效力器选择RADIUS。

③ Dynamic PSK?

Dynamic PSK?是ARUBA专利的用户认证和加密技术。传统的无线加密密钥对全部的用

户是相同的，适当脆弱；而且长度较短，简单被解码。Dynamic PSK?技术为每一个用户供应一个64字节的密钥，结束无缺而且非常安全的认证加密办法。

（4）用户的Role（人物）：每一类用户可以树立一个有关的Role，每个Role有一个用户情况防火墙的设定和带宽控制的设定，这么我们就可以将设定的安全策略加载到每个用户身上。

（6）带宽控制：可以对每个用户设定其可以运用的带宽，一方面可以束缚其对网络本钱的占有，另一方面，当该客户端中了病毒往后，其病毒发作时不会占用网络全部的带宽

（7）认证系统支持：ARUBA无线系统支持多种认证系统，比方Radius、微软的AD（活动目录）和在ARUBA无线沟通机内部的Internal DB等等。

3．5移动周游方案

无线用户移动周游，涉及到多个层次的周游，**为简略的是二层周游，其他厂家商品都表现不错，三层周游就困难多了，还有当用户跨过多个域时如何无缝周游，ARUBA无线局域网可以结束敏捷无缝周游功用。

L2/L3层周游

在传统的无线局域网内，无线终端要跨过不相同AP之间周游是有一定的困难，由于不相同AP之间，它的无线用户IP子网或许都不是在同一个VLAN内。所以当无线终端从一个AP周游到另一AP时，由于它们之间的缺省IP子网不相同，无线终端会从头宣告DHCP请

求，这么的话终端的IP地址就会更新，全部在原先AP树立的联接都会被堵截。曩昔为了处理跨过三层的周游，有些用户选用了Mobile IP的技术，但Mobile IP的缺陷是它有必要在无线终端装置软件。这是通常网络处理人员不愿意做的工作，由于它们就有必要支

持和维护用户的无线接入端。

通过ARUBA无线系统，可处理了跨过不相同三层IP子网的无线周游疑问。 当无线终端从一个AP的IP子网周游到另一个AP的不相同IP子网时，它从头宣告的DHCP央求，会从AP端的ARUBA ZoneDirector转发到原有子网的ZoneDirector(用户从那一个AP获取它

的IP地址)，这么ZoneDirector就了解到用户周游到了哪个相邻的ZOneDirector。用户的正本地址的ZoneDirector会将发送到该用户的数据发送到周游到的ARUBA  ZoneDirector然后发送到用户现有的IP地址。无线用户已周游到另一个IP子网，但它的流量

不会中止，直到用户完全周游过来（其对端了解了其IP地址的改动）。署理DHCP 的利益是无要在用户终端装置任何软件就可让终端无缝的在不相同IP子网之间周游。
 
在不相同域之间的用户认证和周游

在大型网络内，通常都有很多不相同的有些，有些内通常都有自己的用户数据库，即所谓的本地认证效力器。在结束运用时，央求有单一的认证数据库是未必可行的，但一同无线用户应是可在内无缝周游。 当用户不是在本地入网或是从一个有些的接入点漫

游到另一有些的接入点需求从头认证时，假设用户名和暗码在本地的数据库是不存在的话，则用户会被断线。要做到真实的无缝周游，则需求有支持Radius 署理这么的功用。但由于不是全部的认证效力器都支持这种功用所以在具体实施时也有一定的困

难。ARUBA  本身就可供应不相同域之间的认证功用，域名可以与SSID绑定，亦可以让用户在登入网页时输入或选择域名。ARUBA 会把在不相同域之间的认证央求转发到对应这域的radius效力器处理。

具体方案，请咨询深圳市斯迈尔电子有限公司**http://www.szsmile.com或服务热线：400-7168-717