【正文】 用的解決方法是采用 VLAN 技術(shù)進(jìn)行子網(wǎng)劃分，通過(guò)三層交換技術(shù)對(duì)各子網(wǎng)進(jìn)行路由交換；另外，在 酒店 進(jìn)行有線網(wǎng)絡(luò)建設(shè)時(shí)也考慮到將來(lái)可能會(huì)有擴(kuò)展，在有線信息點(diǎn)、光纖和交換機(jī)端口等資源上都留有余量，因此在進(jìn)行無(wú)線網(wǎng)絡(luò)建設(shè)時(shí)， 酒店 網(wǎng)絡(luò)中心希望建成的無(wú)線網(wǎng)絡(luò)系統(tǒng)能夠盡可能利用原先的網(wǎng)絡(luò)資源，以降低工程造價(jià)和施工周期，因 此一般采用 AP 就近接入空余的接入層交換機(jī)端口上，采用無(wú)線網(wǎng)絡(luò)與有線網(wǎng)混合組網(wǎng)方式。由于有線網(wǎng)的固定性，一般采用根據(jù)樓層或樓宇方式進(jìn)行子網(wǎng)劃分，而無(wú)線網(wǎng)絡(luò)必須承載于有線網(wǎng)絡(luò)之上，因此，造成所接 AP 也分別劃到各個(gè)子網(wǎng)之中，造成了原本應(yīng)該統(tǒng)一管理的無(wú)線網(wǎng)絡(luò)被有線網(wǎng)絡(luò)分割成了獨(dú)立的無(wú)線 “網(wǎng)絡(luò)孤島 ”，這種 “網(wǎng)絡(luò)孤島 ”在實(shí)際應(yīng)用中會(huì)存在以下問(wèn)題： 1. 不能實(shí)現(xiàn)全面的、統(tǒng)一的全網(wǎng)級(jí)的管理策略 2. 不便于無(wú)線網(wǎng)絡(luò)業(yè)務(wù)的劃分 3. 不能實(shí)現(xiàn)無(wú)線網(wǎng)用戶的漫游 4. 對(duì)無(wú)線接入點(diǎn)無(wú)法做到集中管理、統(tǒng)一配置和固件升級(jí) 為了解決傳統(tǒng)有線與無(wú)線混合組網(wǎng)存 在的上述問(wèn)題，采用一種被稱作 “THIN AP”代替?zhèn)鹘y(tǒng) AP 的方法來(lái)解決這一問(wèn)題。本方案中采用的是 Trapeze MP422 型 AP，并配合 Trapeze MX200 型無(wú)線交換機(jī)進(jìn)行組網(wǎng)。 MP422 型 AP 本身不帶任何軟件及配置，當(dāng) AP在加電后， AP通過(guò)廣播、 DHCP或 DNS 方式來(lái)獲得位于網(wǎng)絡(luò)骨干上的無(wú)線交換機(jī) MX200 的 IP地址信息， AP 在得到無(wú)線交換機(jī)地址之后，便采用 CAPWAP 協(xié)議與無(wú)線交換機(jī) MX200 取得通信，隨后由無(wú)線交換機(jī) MX200 將 AP 運(yùn)行所需的固件以及 AP 的相關(guān)配置發(fā)送給 AP， AP 收 到這 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 7 頁(yè)，共 52 頁(yè) 些信息后，隨即進(jìn)行系統(tǒng)啟動(dòng)并根據(jù)無(wú)線交換機(jī)提供的配置進(jìn)行自身參數(shù)的配置。在AP 啟動(dòng)完畢后， AP與無(wú)線交換機(jī) MX200 之間采用 TUNNEL 方式進(jìn)行互連，用戶的數(shù)據(jù)包在進(jìn)入 AP 后，被 AP 重新封包進(jìn)入該 TUNNEL 傳入無(wú)線交換機(jī) MX200，由于數(shù)據(jù)全部被封入 TUNNEL，用戶的數(shù)據(jù)并不因 AP 與無(wú)線交換機(jī)之間跨了路由而改變路由路徑，從用戶角度來(lái)看，用戶的數(shù)據(jù)直接跨越了層層路由，直接進(jìn)入了無(wú)線交換機(jī)，無(wú)需改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、也無(wú)需考慮協(xié)議兼容性，從而實(shí)現(xiàn)了拓?fù)錈o(wú)關(guān)的組網(wǎng)。 采用 “THIN AP”組網(wǎng)的優(yōu)勢(shì)在 于： 1. AP 與無(wú)線交換機(jī)之間建立跨越路由的 TUNNEL，從而將無(wú)線業(yè)務(wù)與有線網(wǎng)絡(luò)策略區(qū)分開(kāi) 2. “THIN AP”運(yùn)行所需的固件及配置在啟動(dòng)時(shí)由無(wú)線交換機(jī)動(dòng)態(tài)下發(fā)，輕而易舉的實(shí)現(xiàn)了傳統(tǒng) “FAT AP”方案無(wú)法動(dòng)態(tài)升級(jí) AP 固件和配置的問(wèn)題 由于采用 THIN AP 的組網(wǎng)方式，即使是在分布式網(wǎng)絡(luò)中，彼此被子網(wǎng)路由隔開(kāi)了的 AP 也可作為一個(gè)整體結(jié)構(gòu)運(yùn)行，以便于按需擴(kuò)展或修改無(wú)線局域網(wǎng)。 . 提供靈活的多業(yè)務(wù)支持（ MultiSSID） 早先，由于技術(shù)及成本的制約， AP 只能提供單一 SSID，因此要想在使得無(wú)線網(wǎng)所能提供的服務(wù)均混 合在一個(gè)服務(wù)集之上，無(wú)法實(shí)現(xiàn)業(yè)務(wù)的區(qū)分，無(wú)法支持 QoS，不同權(quán)限用戶的隔離；隨后出來(lái)的第二代產(chǎn)品諸如 Cisco Airo 系列 AP，支持廣播最多16 個(gè) SSID，并可以對(duì)每一個(gè) SSID 分配不同的認(rèn)證、加密、 QoS 和 VLAN 策略，用戶一旦連接上一 SSID 后，可以被賦予該 SSID 所提供的屬性，但是由于用戶的屬性受到所連 SSID 的制約，第二代的這種基于 SSID 的業(yè)務(wù)策略屬于靜態(tài)的策略 ,因此無(wú)法實(shí)現(xiàn)基于用戶的策略控制。 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 8 頁(yè)，共 52 頁(yè) 本方案提供的 Trapeze 系列無(wú)線系統(tǒng)， MP422 最多支持 64個(gè) SSID，并且可以根據(jù)用戶屬 性，動(dòng)態(tài)的分配用戶認(rèn)證方式、加密方法、 QoS 及所屬 VLAN，實(shí)現(xiàn)了基于用戶的動(dòng)態(tài)業(yè)務(wù)策略?；谟脩舻膭?dòng)態(tài)業(yè)務(wù)策略能夠?qū)崿F(xiàn)全網(wǎng)范圍的漫游，而不用考慮所在地點(diǎn)的 AP 是否支持這些策略，從而讓無(wú)線網(wǎng)業(yè)務(wù)系統(tǒng)功能更多、更為靈活。 . AP 的集中管理與自動(dòng)配置 在傳統(tǒng)無(wú)線網(wǎng)絡(luò)建設(shè)中，有一個(gè)始終令網(wǎng)管人員感到頭痛的問(wèn)題，那就是對(duì) AP 的管理、監(jiān)控以及 AP 自身固件的升級(jí)。由于傳統(tǒng) AP 是一種稱作為 “FAT AP”，即自身需要有相應(yīng)控制軟件以及獨(dú)立的配置才能運(yùn)行，而由于 AP 是一種接入層設(shè)備，數(shù)量較多，且由于 酒店 網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的 多樣性，導(dǎo)致需要根據(jù)各 “熱點(diǎn) ”區(qū)域進(jìn)行相應(yīng)配置，并且還需要網(wǎng)管員對(duì)這些特殊配置進(jìn)行記錄，以方便日后維護(hù)；此外，在日常運(yùn)行中，還需要了解這些數(shù)量眾多 AP 的工作狀態(tài)及性能等數(shù)據(jù)，而一般 AP 管理工具功能太過(guò)簡(jiǎn)單，如果采用有線網(wǎng)絡(luò)網(wǎng)管軟件，由于沒(méi)有很好的對(duì)無(wú)線網(wǎng)絡(luò)做相應(yīng)的開(kāi)發(fā)與支持，從而不能很好的管理無(wú)線網(wǎng)絡(luò)。 而采用 Trapeze Mobility System 架構(gòu)下的無(wú)線網(wǎng)絡(luò)， AP是一種被稱作 “THIN AP”的結(jié)構(gòu)，由于 AP 本身沒(méi)有任何需要配置的參數(shù)，同時(shí) AP 與中心無(wú)線交換機(jī)之間采用CAPWAP 協(xié)議進(jìn)行通信， AP 的固件、配置信息均由中心的無(wú)線交換機(jī) MX200 提供，并且 AP與 Trapeze無(wú)線交換之間采用 “心跳 ”機(jī)制定時(shí)保持通訊，為了解決傳統(tǒng) “FAT AP”能夠集中管理、配置、升級(jí) AP； AP 與 Trapeze 無(wú)線交換機(jī)之間采用 “心跳 ”機(jī)制 ，定時(shí)保持通訊，中心網(wǎng)管系統(tǒng)能夠非常及時(shí)的了解 AP 的工作狀態(tài)，并將工作狀態(tài)直接反映給 Trapeze RingMaster 網(wǎng)管系統(tǒng)， RingMaster 工作狀態(tài)，并記入日志，以被日后查驗(yàn)。 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 9 頁(yè)，共 52 頁(yè) . 基于用戶身份的管理 . 用戶認(rèn)證及加 密 眾所周知，無(wú)線網(wǎng)絡(luò)采用電磁波作為傳出媒介進(jìn)行數(shù)據(jù)傳輸，而電磁波由于可以穿透建筑物而泄漏到外部空間，因此對(duì)于無(wú)線網(wǎng)絡(luò)的安全策略就不能采用有線網(wǎng)的思路，因而必須采取一些切實(shí)有效的方法來(lái)保護(hù)無(wú)線網(wǎng)絡(luò)免遭黑客入侵及避免用戶數(shù)據(jù)被非法竊取。目前國(guó)際上比較流行的方法是對(duì)用戶進(jìn)行身份的認(rèn)證以及認(rèn)證成功后要對(duì)用戶數(shù)據(jù)加密來(lái)反制非法入侵。 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 10 頁(yè)，共 52 頁(yè) Trapeze Mobility System 支持國(guó)際最為先進(jìn)的認(rèn)證及加密技術(shù)： ? 多種認(rèn)證方式：支持基于數(shù)字證書(shū)的 強(qiáng)安全認(rèn)證方式RSN(WPA2,)、 WPA； 同時(shí)也兼容一些使用較為廣泛的 WebPortal認(rèn)證及 MAC 認(rèn)證，以便于臨時(shí)來(lái)訪用戶的接入 ? 數(shù)據(jù)加密： 1. 多種加密方式：借助于 Trapeze MP422AP執(zhí)行高級(jí)加密標(biāo)準(zhǔn) (AES)、臨時(shí)密鑰交換協(xié)議 (TKIP) 以及有線對(duì)等加密 (WEP) 加密有助于保護(hù)所有的通信連接。 2. 每用戶的加密分配：對(duì)每用戶或每組執(zhí)行不同的安全策略，以便進(jìn)行靈活、深入的安全控制和管理。 . 基于策略的用戶訪問(wèn)控制 Trapeze Mobility System 不僅支持豐富的安全認(rèn)證及加密方法以外，還提供基于用戶身份的服務(wù)，以使 用戶在漫游時(shí)具有諸如虛擬專用組成員資格、訪問(wèn)控制列表 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 11 頁(yè)，共 52 頁(yè) (ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容。還可告知管理人員哪些用戶已連接、他們位于何處、他們?cè)?jīng)位于何處、他們正在使用哪些服務(wù)以及他們?cè)?jīng)使用過(guò)哪些服務(wù)。 . 用戶漫游及 QoS 保障 由于無(wú)線局域網(wǎng)采用類似于移動(dòng)通信網(wǎng)中的 “蜂窩 ”覆蓋方式，來(lái)實(shí)現(xiàn)大面積覆蓋，當(dāng)終端在移動(dòng)一點(diǎn)到另外一點(diǎn)的移動(dòng)過(guò)程中，不可避免的需要從一個(gè) AP 切換到另外一個(gè) AP，在切換過(guò)程中，移動(dòng)終端需要進(jìn)行 “取消關(guān)聯(lián) ”及 “重關(guān)聯(lián) ”的操作，該過(guò)程一般需要 300－ 500ms 的時(shí)間，此外，在有后臺(tái)認(rèn)證系統(tǒng)存在的情況下，用戶還需要進(jìn)行重認(rèn)證、 session key 重分發(fā)及重新分配 IP地址的過(guò)程，這種方式無(wú)法滿足一些對(duì)時(shí)延非常敏感的業(yè)務(wù)諸如 VOD 點(diǎn)播、 VoWLAN 等的支持，因?yàn)閭鹘y(tǒng)無(wú)線網(wǎng)絡(luò)的漫游只停留在 協(xié)議層上，并沒(méi)有對(duì)用戶會(huì)話進(jìn)行完整性保持。 而在本方案中，我們采用 Trapeze Mobility System 方案，該方案也無(wú)線交換機(jī)為核心，對(duì)所有 AP 上接入的用戶 采用統(tǒng)一會(huì)話管理 ，所有已認(rèn)證終端均在中心無(wú)線交換機(jī)中保存相應(yīng)會(huì)話， AP 僅僅只負(fù)載傳輸用戶數(shù)據(jù)，因 此無(wú)論終端移動(dòng)到哪個(gè) AP 下，用戶信息和授權(quán)都在無(wú)線交換機(jī)所管轄的移動(dòng)域內(nèi)快速的交互，可以有效保持會(huì)話完整性及可靠移動(dòng)性的前提下實(shí)現(xiàn)無(wú)縫漫游。另外， Trapeze Mobility System 還 率先支持WMM(Wireless MediaMedia)無(wú)線多媒體協(xié)議，能夠?qū)⒄Z(yǔ)音、視頻數(shù)據(jù)包以更高的優(yōu)先級(jí)進(jìn)行傳送，提供了對(duì)無(wú)線 QoS 的保障。 . 用戶動(dòng)態(tài)負(fù)載均衡 傳統(tǒng)上，由于受到客戶端無(wú)線網(wǎng)卡底層驅(qū)動(dòng)算法機(jī)制的限制，用戶總是會(huì)連上信號(hào) xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 12 頁(yè)，共 52 頁(yè) 最強(qiáng)的 AP，而并沒(méi)有考慮到該 AP 是否能夠提供最佳的服務(wù)。 Trapeze MX200 無(wú)線交換機(jī)可以根據(jù)周圍無(wú)線信號(hào)覆蓋情況以及用戶的流量需求，動(dòng)態(tài)的將用戶強(qiáng)制連接到其他可用 AP 上，將用戶流量分配到其他可用 AP，從而保證了整個(gè)無(wú)線網(wǎng)絡(luò)的高效能和高可用度。 例如在一個(gè)用戶較多的會(huì)議室，正常情況下大約有 15 人左右，采用一個(gè) AP 即可滿足需求，但當(dāng)用戶數(shù)突然增加后，導(dǎo)致該 AP 無(wú)法連接數(shù)過(guò)多，而此時(shí)，位于會(huì)議室外的 AP 由于相對(duì)與會(huì)議室來(lái)說(shuō)，信號(hào)雖然比較弱，但仍然是可以滿足一定的網(wǎng)絡(luò)用量，此時(shí)無(wú)線交換機(jī)則強(qiáng)制后來(lái)的一部分用戶連接信號(hào)較弱的 AP，從而實(shí)現(xiàn)了負(fù)載均衡，保障了網(wǎng)絡(luò)的暢通。 . 無(wú)線信號(hào)監(jiān)控 . 無(wú)線信號(hào)自動(dòng)優(yōu)化與調(diào)整 傳統(tǒng) “FAT AP”組建的無(wú)線網(wǎng)絡(luò)，在建設(shè)初期，需要對(duì)無(wú)線頻譜及 channel 和發(fā)射功率進(jìn)行規(guī)劃，以降低同頻干擾，但是無(wú)線信號(hào)受到用戶數(shù)、天氣、濕度等環(huán)境影響因素較大，一旦外界因素發(fā)生變化后，如果 AP仍使用原始參數(shù)進(jìn)行運(yùn)行，必然導(dǎo)致信號(hào)強(qiáng)度降低、覆蓋區(qū)域縮小等情況，導(dǎo)致網(wǎng)絡(luò)運(yùn)行不穩(wěn)定。 采用 Trapeze Mobility System 解決方案，支持 RF AutoTune 技術(shù)。 MP422 AP可以監(jiān)聽(tīng)、掃描所在空域中的信號(hào)強(qiáng)度和使用量，并將數(shù)據(jù)傳送至位于核心的 Trapeze MX200 無(wú)線交換機(jī)上， MX200 根據(jù)各 AP 報(bào)告的測(cè)量數(shù)據(jù)進(jìn)行一個(gè)全局的調(diào)配，例如，當(dāng)某一區(qū)域多數(shù) AP 報(bào)告信號(hào)不足時(shí)， MX200 可以動(dòng)態(tài)改變?cè)搮^(qū)域內(nèi)相關(guān) AP 的發(fā)射功率；當(dāng) AP 報(bào)告該區(qū)域內(nèi)有相同信道信號(hào)時(shí)，則可以動(dòng)態(tài)調(diào)整相關(guān) AP，以避開(kāi)信道的重疊。 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 13 頁(yè)，共 52 頁(yè) Trapeze Mobility System 的 RF AutoTune 技術(shù)以可動(dòng)態(tài)地調(diào)整流量負(fù)載、功率、射頻覆蓋區(qū)域和信道分配，以使覆蓋范圍和容量最大化。 . 非法信號(hào)的偵測(cè)、告警 感知無(wú)線電可提供監(jiān)測(cè) WLAN 所工作的射頻環(huán)境的功能，能對(duì)非法接入點(diǎn)與無(wú)線入侵者進(jìn) 行探測(cè)并定位 .動(dòng)態(tài)了解無(wú)線局域網(wǎng) (WLAN)所工作的射頻 (RF)環(huán)境的狀態(tài)，對(duì)提供高水平的網(wǎng)絡(luò)性能與安全非常必要。 采用 Trapeze MP422 企業(yè)級(jí) AP 組合，能夠支持兩種模式來(lái)對(duì)非法電磁信號(hào)進(jìn)行監(jiān)測(cè)：一種方式為 MP422AP 在做 Data AP 的同時(shí)，每隔一段時(shí)間主動(dòng)進(jìn)行ActiveScan；另一種方式為 MP422 本身支持雙頻信號(hào)（ ），若 平時(shí)只使用 ，則可以將 頻段用于監(jiān)聽(tīng)，（稱之為SentryScan）與前一種方式不同的是， 此種方式為 連續(xù)監(jiān)控 。 Trapeze MP422 型 AP 通過(guò)上述兩種方式，采取 按需的 或 預(yù)設(shè)定的 射頻掃描來(lái)監(jiān)聽(tīng)周邊環(huán)境的信號(hào)源的 MAC 地址 ， Channel,類型及 SSID 等，自動(dòng)識(shí)別并警告未授權(quán)的 AP 或 AdHoc 網(wǎng)絡(luò)，以避免潛在的干擾或與無(wú)線入侵者。另外，對(duì)于某些重點(diǎn)區(qū)域，還可以部署專用 AP 不斷地掃描空域，以便對(duì)要求更高安全性的環(huán)境提供全天候保護(hù)。 . 非法信號(hào)的主動(dòng)反制 當(dāng)系統(tǒng)發(fā)現(xiàn)非法信號(hào)后，可以根據(jù)管理策略，手動(dòng)或自動(dòng)將非法 AP 加入系統(tǒng)的Attack list 中，當(dāng)發(fā)現(xiàn)有無(wú)線客戶端嘗試鏈接該非法 AP 時(shí)， 系統(tǒng)可以主動(dòng)向該無(wú)線客戶端發(fā)出 disassociation 信號(hào)，強(qiáng)制將該終端與非法 AP 斷開(kāi)，從而讓終端始終連接上合法的無(wú)線網(wǎng)絡(luò)上，保證了用戶的數(shù)據(jù)安全。 xx酒店 無(wú)線網(wǎng)絡(luò)解決方案 第 14 頁(yè)，共 52 頁(yè) . 無(wú)線網(wǎng)