【文章內(nèi)容簡介】 于靜態(tài)的 策略 ,因此無法實現(xiàn)基于用戶的策略控制。 本方案提供的 Trapeze系列無線系統(tǒng)， MP372/422最多支持 64個 SSID，并且可以根據(jù)用戶屬性，動態(tài)的分配用戶認(rèn)證方式、加密方法、 QoS及所屬 VLAN，實現(xiàn)了基于用戶的動態(tài)業(yè)務(wù)策略。基于用戶的動態(tài)業(yè)務(wù)策略能夠?qū)崿F(xiàn)全網(wǎng)范圍的漫游，而不用考慮所在地點的 AP是否支持這些策略，從而讓無線網(wǎng)業(yè)務(wù)系統(tǒng)功能更多、更為靈活。 . 用戶接入策略 從酒店的用戶分類與分布情況分析，用戶主要分成以下幾類： （ 1）酒店領(lǐng)導(dǎo)與工作人員； （ 2）旅客； 使用網(wǎng)絡(luò)是被分為不同的業(yè)務(wù)類型，因此， 在設(shè)計上采用無線局域網(wǎng)多 SSID技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設(shè)置多個 SSID，例如一個SSID可給內(nèi)部員工所用，而另一個可給外來的客戶專用。由于用戶一般把 SSID看成 VLAN，所以它們都會慣性地以 VLAN概念來劃分 SSID。其實在一個 AP范圍內(nèi)，不管用戶連接到那一個 SSID它們實際上都是在同一個 ，因為無線電波的傳輸是共享。一個最簡單的例子就是 AP把不同的 SSID名字廣播，所以當(dāng)無線終端在這個 AP覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。 SSID的最主要用途是可讓無 線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID呢 ? 義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在使用不同的加密程式時，如WEP,TKIP(WPA),(WPA2)，它們是不可能在同一個 SSID內(nèi)同時存在的。 用戶可根據(jù)實際的情況和 。最常見的做法是使用二個 SSID，一個定義為 OPEN/Static WEP供客戶用，另一個 SSID則為 TKIP(WPA)專為內(nèi)部員工使用。未來的發(fā)展趨勢是新增設(shè) 一個 SSID讓員工以過度的方式逐漸從轉(zhuǎn)移到這個 SSID上。不能一步轉(zhuǎn)到 于很多的無線終端現(xiàn)在尚未支持 ，而是不可能把所有的終端一次更換成最新的軟件程序。 SSID可以覆蓋全網(wǎng)，也可以只局限于假酒店網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通，例如客人 (Guest)使用的 SSID；但有些 SSID則可能只供某些部門使用，所以無線覆蓋范圍通常只會局限在某些范圍內(nèi)。 所以針對酒店無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID進(jìn)行管理和控制。酒店領(lǐng)導(dǎo)員工、酒店旅客用戶 ，可以采用專門的 SSID，可以采用級別較高的認(rèn)證和加密手段。 . 接入用戶的帶寬保證 傳統(tǒng)上，由于受到客戶端無線網(wǎng)卡底層驅(qū)動算法機(jī)制的限制，用戶總是會連上信號最強(qiáng)的 AP，而并沒有考慮到該 AP 是否能夠提供最佳的服務(wù)。 Trapeze MX200 無線交換機(jī)可以根據(jù)周圍無線信號覆蓋情況以及用戶的流量需求，動態(tài)的將用戶強(qiáng)制連接到其他可用 AP 上，將用戶流量分配到其他可用AP，從而保證了整個無線網(wǎng)絡(luò)的高效能和高可用度。 例如在一個用戶較多的會議室，正常情況下大約有 15 人左右，采用一個 AP即可滿足需求，但當(dāng)用戶數(shù)突然增加后 ，導(dǎo)致該 AP 無法連接數(shù)過多，而此時，位于會議室外的 AP 由于相對與會議室來說，信號雖然比較弱，但仍然是可以滿足一定的網(wǎng)絡(luò)用量，此時無線交換機(jī)則強(qiáng)制后來的一部分用戶連接信號較弱的AP，從而實現(xiàn)了負(fù)載均衡，保障了網(wǎng)絡(luò)的暢通。 . 用戶漫游及 QoS 保障 由于無線局域網(wǎng)采用類似于移動通信網(wǎng)中的“蜂窩”覆蓋方式，來實現(xiàn)大面積覆蓋，當(dāng)終端在移動一點到另外一點的移動過程中，不可避免的需要從一個AP 切換到另外一個 AP，在切換過程中，移動終端需要進(jìn)行“取消關(guān)聯(lián)”及“重關(guān)聯(lián)”的操作，該過程一般需要 300－ 500ms 的時間，此外，在有 后臺認(rèn)證系統(tǒng)存在的情況下，用戶還需要進(jìn)行重認(rèn)證、 session key 重分發(fā)及重新分配 IP 地址的過程，這種方式無法滿足一些對時延非常敏感的業(yè)務(wù)諸如 VOD 點播、 VoWLAN等的支持，因為傳統(tǒng)無線網(wǎng)絡(luò)的漫游只停留在 協(xié)議層上，并沒有對用戶會話進(jìn)行完整性保持。 而在本方案中，我們采用 Trapeze Mobility System 方案，該方案也 以 無線交換機(jī)為核心，對所有 AP 上接入的用戶 采用統(tǒng)一會話管理 ，所有已認(rèn)證終端均在中心無線交換機(jī)中保存相應(yīng)會話， AP 僅僅只負(fù)載傳輸用戶數(shù)據(jù)，因此無論終端移動到哪 個 AP 下，用戶信息和授權(quán)都在無線交換機(jī)所管轄的移動域內(nèi)快速的交互，可以有效保持會話完整性及可靠移動性的前提下實現(xiàn)無縫漫游。另外，Trapeze Mobility System 還 率先支持 WMM(Wireless MediaMedia)無線多媒體協(xié)議，能夠?qū)⒄Z音、視頻數(shù)據(jù)包以更高的優(yōu)先級進(jìn)行傳送，提供了對無線 QoS的保障。 . 網(wǎng)絡(luò)管理措施 . AP 的集中管理與自動配置 在傳統(tǒng)無線網(wǎng)絡(luò)建設(shè)中，有一個始終令網(wǎng)管人員感到頭痛的問題，那就是對AP的管理、監(jiān)控以及 AP自身固件的升級。由于傳統(tǒng) AP是一種稱作為“ FAT AP”，即自身需要有相應(yīng)控制軟件以及獨立的配置才能運行，而由于 AP是一種接入層設(shè)備，數(shù)量較多，且由于企業(yè)網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的多樣性，導(dǎo)致需要根據(jù)各“熱點”區(qū)域進(jìn)行相應(yīng)配置，并且還需要網(wǎng)管員對這些特殊配置進(jìn)行記錄，以方便日后維護(hù)；此外，在日常運行中，還需要了解這些數(shù)量眾多 AP的工作狀態(tài)及性能等數(shù)據(jù)，而一般 AP管理工具功能太過簡單，如果采用有線網(wǎng)絡(luò)網(wǎng)管軟件，由于沒有很好的對無線網(wǎng)絡(luò)做相應(yīng)的開發(fā)與支持，從而不能很好的管理無線網(wǎng)絡(luò)。 而采用 Trapeze Mobility System架構(gòu)下的無線網(wǎng)絡(luò)， AP是一種被稱作“ THIN AP”的結(jié)構(gòu)，由于 AP本身沒有任何需要配置的參數(shù)，同時 AP與中心無線交換機(jī)之間采用 CAPWAP協(xié)議進(jìn)行通信， AP的固件、配置信息均由中心的無線交換機(jī) MX200提供，并且 AP與 Trapeze無線交換之間采用“心跳”機(jī)制定時保持通訊，為了解決傳統(tǒng)“ FAT AP”能夠集中管理、配置、升級 AP； AP與 Trapeze無線交換機(jī)之間采用“心跳”機(jī)制，定時保持通訊，中心網(wǎng)管系統(tǒng)能夠非常及時的了解 AP的工作狀態(tài)，并將工作狀態(tài)直接反映給 Trapeze RingMaster網(wǎng)管系統(tǒng)， RingMaster工作狀態(tài)，并 記入日志，以被日后查驗。 . 基于策略的用戶訪問控制 Trapeze Mobility System 不僅支持豐富的安全認(rèn)證及加密方法以外，還提供基于用戶身份的服務(wù)，以使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表 (ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容。還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務(wù)以及他們曾經(jīng)使用過哪些服務(wù)。 . 性能 管理 QoS保證 /負(fù)載均衡：如果一旦發(fā)生多個 終端競爭一個 AP的時候，基于流量和基于用戶 /終端數(shù)目兩種負(fù)載均衡功能都將被啟用，從而根據(jù)現(xiàn)場的負(fù)載情況進(jìn)行均衡操作。 . 故障管理 AP的雙備份： TRAPEZE的設(shè)備支持冗余部署，如果是集中控制的無線交換機(jī)失效，注冊到該控制器上的 AP會重新注冊到網(wǎng)絡(luò)中另外一臺 TRAPEZE無線交換機(jī)上，保證網(wǎng)絡(luò)的連續(xù)可用性。如果是 AP到主交換機(jī)的連接出現(xiàn)問題， AP也可以向從交換機(jī)發(fā)起連接申請，建立集中式的無線網(wǎng)絡(luò)，以此來確保網(wǎng)絡(luò)的運行。 自愈功能： TRAPEZE的系統(tǒng)中 AP具有自愈的功能，當(dāng)一個 AP失效的時候，附近的 AP可以感 知到，通過加大發(fā)生功率來覆蓋失效 AP原來所覆蓋的區(qū)域，達(dá)到自動治愈網(wǎng)絡(luò)覆蓋空洞的目的，也提高了網(wǎng)絡(luò)的可用性。 . 無線信號監(jiān)控 . 無 線信號自動優(yōu)化與調(diào)整 傳統(tǒng)“ FAT AP”組建的無線網(wǎng)絡(luò)，在建設(shè)初期，需要對無線頻譜及 channel和發(fā)射功率進(jìn)行規(guī)劃，以降低同頻干擾，但是無線信號受到用戶數(shù)、天氣、濕度等環(huán)境影響因素較大，一旦外界因素發(fā)生變化后，如果 AP 仍使用原始參數(shù)進(jìn)行運行，必然導(dǎo)致信號強(qiáng)度降低、覆蓋區(qū)域縮小等情況，導(dǎo)致網(wǎng)絡(luò)運行不穩(wěn)定。 采用 Trapeze Mobility System 解決方案，支持 RF AutoTune 技術(shù)。MP372/422 AP 可以監(jiān)聽、掃描所在空域中的信號強(qiáng)度和使用量，并將數(shù)據(jù)傳送至位于核心的 Trapeze MX200R 無線交換機(jī)上， MX200R 根據(jù)各 AP 報告的測量數(shù)據(jù)進(jìn)行一個全局的調(diào)配，例如，當(dāng)某一區(qū)域多數(shù) AP 報告信號不足時， MX200R可以動態(tài)改變該區(qū)域內(nèi)相關(guān) AP 的發(fā)射功率；當(dāng) AP 報告該區(qū)域內(nèi)有相同信道信號時，則可以動態(tài)調(diào)整相關(guān) AP，以避開信道的重疊。 Trapeze Mobility System 的 RF AutoTune技術(shù)以可動態(tài)地調(diào)整流量負(fù)載、功率、射頻覆蓋區(qū)域和信 道分配，以使覆蓋范圍和容量最大化。 . 非法信號的偵測、告警 感知無線電可提供監(jiān)測 WLAN 所工作的射頻環(huán)境的功能，能對非法接入點與無線入侵者進(jìn)行探測并定位 .動態(tài)了解無線局域網(wǎng) (WLAN)所工作的射頻 (RF)環(huán)境的狀態(tài)，對提供高水平的網(wǎng)絡(luò)性能與安全非常必要。 采用 Trapeze MP372/422 企業(yè)級 AP 組合，能夠支持兩種模式來對非法電磁信號進(jìn)行監(jiān)測：一種方式為 MP372/422 AP 在做 Data AP 的同時，每隔一段時間主動進(jìn)行 ActiveScan；另一種方式可以將 MP372/422 設(shè)為監(jiān)聽模式，（稱之 為SentryScan）與前一種方式不同的是，此種方式為 連續(xù)監(jiān)控 。 Trapeze MP372/422 型 AP 通過上述兩種方式，采取 按需的 或 預(yù)設(shè)定的 射頻掃描來監(jiān)聽周邊環(huán)境的信號源的 MAC 地址 , Channel,類型及 SSID 等，自動 識別并 警告未授權(quán)的 AP 或 AdHoc 網(wǎng)絡(luò)，以 避免潛在的干擾 或 與無線入侵者 。另外，對于某些重點區(qū)域，還可以部署專用 AP 不斷地掃描空域，以便對要求更高安全性的環(huán)境提供全天候保護(hù)。 . 非法信號的主動反制 當(dāng)系統(tǒng)發(fā)現(xiàn)非法信號后，可以根據(jù)管理策略，手動或自動將非法 AP 加入系統(tǒng)的 Attack list 中，當(dāng)發(fā)現(xiàn)有無線客戶端嘗試鏈接該非法 AP 時，系統(tǒng)可以主動向該無線客戶端發(fā)出 disassociation 信號，強(qiáng)制將該終端與非法AP 斷開，從而讓終端始終連接上合法的無線網(wǎng)絡(luò)上，保證了用戶的數(shù)據(jù)安全。 . 無線網(wǎng)絡(luò)的可擴(kuò)展性 采用基于 Trapeze Mobility System 系統(tǒng)架構(gòu)下的無線網(wǎng)絡(luò)解決方案，不僅提供了完善的基于用戶的控制策略、安全認(rèn)證和數(shù)據(jù)安全加密機(jī)制，還保持著良好的網(wǎng)絡(luò)可擴(kuò)展性。 Trapeze Mobility System 采用了 THIN AP＋無線交換機(jī) 架構(gòu)， AP 與無線交換機(jī)之間通過 TUNNEL 進(jìn)行通訊，無需改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，也無需考慮協(xié)議兼容性，實現(xiàn)了拓?fù)錈o關(guān)的組網(wǎng)，使得整個無線網(wǎng)絡(luò)有著更強(qiáng)的伸縮性，為今后網(wǎng)絡(luò)的升級和擴(kuò)容提供良好的可擴(kuò)展性。 . 網(wǎng)絡(luò)計費系統(tǒng) 酒店行業(yè)目前通常采用的是 WEB 網(wǎng)關(guān)式認(rèn)證計費系統(tǒng)。通過此系統(tǒng)，用戶登陸訪問酒店外網(wǎng)絡(luò)時，會由網(wǎng)關(guān)進(jìn)行認(rèn)證，同時進(jìn)行網(wǎng)絡(luò)計費。 在部署無線網(wǎng)絡(luò)之后，根據(jù)酒店要求，可以繼續(xù)采用酒店原有的認(rèn)證系統(tǒng)，同時對酒店內(nèi)的有線網(wǎng)和無線網(wǎng)進(jìn)行認(rèn)證計費。具體到無線網(wǎng)絡(luò)的認(rèn)證計費要求是： 1． 當(dāng)無線用戶想要利用酒店內(nèi)的無 線網(wǎng)絡(luò)時，首先連接到附近的酒店無線網(wǎng)的接入點（ AP）上。 2． 無線接入點（ AP）發(fā)現(xiàn)有用戶要求進(jìn)行無線連接時，會要求用戶進(jìn)行帳號認(rèn)證。 3． 用戶端的操作系統(tǒng)在收到 AP 的信號后，會要求用戶輸入系統(tǒng)的帳號和密碼。 4． 用戶輸入完后，會將加密后的用戶名密碼發(fā)送給無線 AP。 5． 無線 AP 在收到加密后的用戶帳號、密碼后，會將其發(fā)送給認(rèn)證系統(tǒng)進(jìn)行確認(rèn)。 6． 認(rèn)證系統(tǒng)在確認(rèn) AP 發(fā)來的帳號、密碼后，會發(fā)送指令給 AP。命令 AP 接受或拒絕用戶的無線連接請求。 7． 如果認(rèn)證系統(tǒng)命令 AP 接受用戶連接，則 AP 打開無線信道，允許用戶接入，同時認(rèn)證系統(tǒng)開始對用 戶進(jìn)行網(wǎng)絡(luò)計費。 本次籌建酒店無線網(wǎng)絡(luò)系統(tǒng)，可以在認(rèn)證方面與原有的有線網(wǎng)絡(luò)認(rèn)證體系完全融合，對認(rèn)證用戶完全透明，不增加用戶的認(rèn)證次數(shù)和復(fù)雜性，同時還可以保證無線用戶入網(wǎng)即認(rèn)證的目的，便于控制無線用戶的安全訪問和與有線網(wǎng)絡(luò)的認(rèn)證賬號統(tǒng)一性。 因此，在酒店的無線網(wǎng)絡(luò)構(gòu)架中設(shè)計中， Trapeze 網(wǎng)絡(luò)提供的無線接入點產(chǎn)品將與目前酒店的 寬帶計費 認(rèn)證 管理網(wǎng)關(guān) 的供應(yīng)商進(jìn)行聯(lián)合開發(fā)以滿足客戶的需求。具體實現(xiàn)方式是采用無線接入點已經(jīng)良好支持的 EAPPEAP 作為認(rèn)證加密協(xié)議，保證用戶認(rèn)證傳輸過程中的安全和身份的核查。認(rèn)證用戶 采用與有線網(wǎng)絡(luò)一致的用戶名和密碼，無線接入點作為 EAPPEAP 的認(rèn)證體， 寬帶計費管理網(wǎng)關(guān)作為后臺 Radius。具體工作原理如下： 建成后的酒店無線網(wǎng)絡(luò)將獲得與有線網(wǎng)絡(luò)一致的認(rèn)證方式 ，同時兼顧了無線網(wǎng)絡(luò)的連接過程的安全，為此而進(jìn)行的開發(fā)合作與調(diào)整是基于國際標(biāo)準(zhǔn)認(rèn)證協(xié)議進(jìn)行的，可保證開發(fā)投入的風(fēng)險降低，開發(fā)時間大大縮短。 . SmartPass Smartpass 功能模塊使非 IT 人員可以完成配置臨時用戶帳戶訪客進(jìn)入企業(yè)網(wǎng)絡(luò)的申請，網(wǎng)絡(luò)管理員通過一些簡單培訓(xùn)使其它網(wǎng)絡(luò)管理員或非 IT 人員也可以作為員工管理員。 訪 客首先連接到 Guest SSID 后