最新H3C酒店无线方案.doc

《最新H3C酒店无线方案.doc》由会员分享，可在线阅读，更多相关《最新H3C酒店无线方案.doc（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateH3C酒店无线方案H3C酒店无线方案有线无线一体化网络建设建议书 杭州华三通信技术有限公司2013年10月-目 录1宾馆酒店信息化建设概述12宾馆酒店行业信息化需求分析22.1数字化宾馆酒店信息系统组成22.2数字化宾馆酒店发展趋势22.3数字化宾馆酒店基本建设内容23项目需求分析及建设目标33.1项目需求分析33.1.1安全稳定、多业务融合的网络平台33.1.2有线

2、、无线一体化33.1.3宽带应用控制与管理43.1.4上网行为审计及内容过滤43.1.5高效智能的网络管理43.2项目建设目标53.3项目总体规划63.3.1总体规划64本项目网络系统解决方案74.1总体说明74.2网络拓扑结构84.3办公网络拓扑结构94.4酒店网络拓扑结构94.5核心层设计104.6接入层设计134.7有线网络拓扑设计144.8无线网络设计144.8.1宾馆酒店无线覆盖必要性144.8.2无线解决方案总体说明154.8.3无线网络拓扑设计164.8.4无线接入规划174.8.5方案优势说明184.8.6无线认证方案204.8.7无线安全方案234.9无线智能网管介绍254.

3、9.1有线无线一体化管理254.9.2多样化的拓扑管理264.9.3无线终端查看和漫游记录审计274.9.4RF覆盖管理274.9.5基于物理位置的无线终端准入控制284.9.6AP上连设备查询294.9.7无线入侵检测和防护304.9.8丰富的无线统计报表305H3C酒店宾馆应用案例316H3C公司售后保障体系326.1强大的三级技术支持体系326.2健全的工程项目管理体系346.3快速备份先行更换服务356.4H3CARE的IT服务支撑系统361 宾馆酒店信息化建设概述随着我国旅游业的发展，我国宾馆酒店产业逐年扩大、竞争加剧，竞争热点也逐渐转移到国际化、智能化方面。商旅人士在信息时代产生的

4、新需求，更加促使酒店将服务信息化、智能化作为重点打造的目标。同时酒店自身的信息化管理水平及提供的网络通信服务能力也成为星级酒店评定的重要因素。当前的信息化时代，客人对酒店宾馆的要求已经不仅仅是温馨舒适的居住环境、周到的人工服务了，他们更需要进行互动娱乐和综合信息服务，如上网冲浪、在线游戏、影视点播、旅游信息、在线购物、风土人情介绍等。而且客人经常在酒店宾馆举行商务活动，如举行会议、商务洽谈、商务联谊，需要酒店宾馆能够为商务活动提供便利的办公条件和通信条件。宾馆酒店行业的信息化发展速度可谓日新月异，若干年前我们入住国内最高档的酒店，能享受到的信息化服务可能只有窄带拨号上网、VOD点播等少数几种服

5、务。时至今日，你可以享受网上预订客房、客房的宽带上网、酒店无处不在的无线上网、访问酒店网站、IP电话、电话会议、IPTV、VOD点播、信息查询等丰富的服务。除了提供给入住客人的信息化服务之外，还有酒店内部众多的管理系统，例如：前台、常客管理、CRM、财务、人力、采购、OA、娱乐、餐饮等等，以及用于酒店安防的视频监控系统等。以上的业务包括了数据、语音、视频、IPTV、无线等多种类型，该用什么样的网络来承载如此多样的业务？这是困扰很多酒店行业业主和专家的一个难题。事实上，之前很多酒店对这个难题的解决之道是采用多套不同网络承载不同业务，但是多套网络造成了投资浪费，尤其严重的是网络管理上的困难。H3C

6、酒店综合业务解决方案通过将IP语音/视频、无线通信、存储技术与基础网络技术相互融合，有效的提升酒店信息化管理水平，降低运营成本，同时为客户提供形式多样内容丰富的服务，以助于提升酒店的入住率和利润率。最终实现酒店开源节流，提高盈利，酒店客户满意的双赢目标。俗话说“好马配好鞍”，在如今风起潮涌的信息时代，星级的宾馆酒店只有配备星级的信息化服务，进一步提升信息服务水平和竞争力，才能提升宾馆酒泉形象，赢得更多忠诚的客户。2 宾馆酒店行业信息化需求分析2.1 数字化宾馆酒店信息系统组成2.2 数字化宾馆酒店发展趋势2.3 数字化宾馆酒店基本建设内容3 项目需求分析及建设目标3.1 项目需求分析作为华凌大

7、饭店信息化应用的基础与支撑平台，一个高效可靠、运行稳定、安全灵活、标准开放和管理便捷的网络传输交换系统是成功构建信息化业务系统的首要考虑和关键环节，这个基础平台建设的优劣直接影响应用业务的开展。结合宾馆酒店行业业务特点和网络应用特性，华凌大饭店网络需要重点考虑以下几个方面的建设：3.1.1 安全稳定、多业务融合的网络平台华凌大饭店信息网络划分办公楼网络和酒店网络两个子系统，相互之间进行安全隔离，以保障内网业务数据安全。信息网络要求防ARP、防蠕虫、防DoS等网络攻击，避免客户上网频繁掉线，每个客房要进行有效的信息隔离，并提供接入安全认证功能。构建统一的IP网络平台，将客房服务网络、宾馆办公网络

8、、宾馆无线网络、视频监控网络融合统一，并且随着未来业务发展，可以进一步扩展支持IPTV、IP电话等业务，成为“多网合一”全能网。3.1.2 有线、无线一体化对于大多数宾馆来讲，无线覆盖一般只在会议室、商务中心等区域，而客房区域很多都没有进行无线覆盖，而一个标准间只有一个有线信息插座、连接网线较短不能躺在床上上网，并且一个人使用时另外一个人无法上网，所以宾馆进行无线客房区域无线覆盖是很有必要的。通过部署客房、会议室、餐厅、大厅等区域的无线接入，作为对有线网络的有效补充，实现宾馆全区域的无线网络接入服务。对于已经装修完毕而网络布线没有完善的宾馆酒店来说，无线网络覆盖在保持宾馆酒店装修原样的前提下，

9、实现了网络灵活、多样的接入。无线网络服务必然会提高客户对酒店宾馆服务的高度认可，提高客人的满意度和归属感，从而提升了酒店宾馆的品牌。3.1.3 宽带应用控制与管理宾馆酒店经常存在部分住店客人使用P2P技术（典型软件包括迅雷、电骡、BT等）高速下载和在线看视频的情况，抢占了有限的internet访问带宽，导致大部分宾馆的客人上网速度慢甚至无法上网；并且这些大量的垃圾流量影响下造成对核心网络及安全网关设备巨大的业务处理压力，必须要进行网络带宽的应用控制和管理，网络流量有效监控、过滤垃圾流量，进行网络带宽管理、优化网络应用，把网络下载和在线视频应用控制在一个合理的范围之内，保证正常业务的开展。宾馆工

10、作人员上班时间沉迷于与工作无关的QQ聊天、访问工作无关网站、访问非法网站等，影响了内部工作效率，并且将病毒引入内部网络。通过应用控制，设置宾馆客户使用BT/迅雷/电驴/QQ/PPstream等软件时允许的速度，并可以限制员工对QQ等聊天工具的使用。3.1.4 上网行为审计及内容过滤依据互联网安全保护技术措施规定公安部第82号令，公安部要求所有提供上网服务的宾馆酒店都必须提供必要的互联网安全保护措施，对宾馆酒店用户的网络使用进行控制和管理，通过URL和内容过滤限制其访问色情、反动网站，对上网应用进行关键字过滤、限制，并进行上网行为审计，创造一个了绿色健康、文明积极的上网环境。3.1.5 高效智能

11、的网络管理随着宾馆酒店信息化业务变得越来越丰富，网络系统也会越来越庞大，导致网络管理、维护工作会越来越复杂，所以网络管理是一个关键环节，网络管理的质量也会直接影响网络的使用效率。需要部署网络管理系统，随时查看全网的网络连接关系，实时监控各种网络设备可能出现的问题，检测网络性能瓶颈出在何处，并进行自动处理或远程修复，实现高效的网络管理，促进网络的高效运转。基于以上几个方面的考虑，需要对原有网络系统进行改造升级，构建高性能、稳定安全和易管理的信息网络系统，解决现有网络交换数据转发处理瓶颈问题和网络安全及管理等问题，构建模块化、多业务融合应用的一体化安全智能网络系统。3.2 项目建设目标在认真分析华

12、凌大饭店信息网络的现状和将来发展状况的基础上，构建稳定可靠、结构合理、功能完善的信息网络系统，实现有线、无线网络的一体化建设，构筑一个安全、可靠、先进、稳定、易管理的多业务宽带网络系统，并可实现以下建设目标：建成高性能、高可靠的数据信息网络，建设华凌大饭店数据交换与信息化应用支撑平台，并考虑支持IPv6应用的过渡和平滑升级。满足华凌大饭店业务网络与互联网的安全联网，并且网络系统要求防ARP、防蠕虫、防DoS等网络攻击，并提供接入安全认证功能。实现有线、无线网络的一体化组网和一体化管理，支持有线、无线用户认证计费及安全管理的统一。系统采用开放式、标准化的系统结构，网络结构具有良好的扩张性、可靠性

13、和先进性，以利于功能扩充和技术升级。网络平台应能很好地支持各种应用系统，形成多元网络融合，使建设后的网络系统能够支持数据、语音、视频等多种媒体信息的融合应用和一体化解决。建立较为完善的网络应用安全保障体系和网络应用控制管理，能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏；可以提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。设备选用知名品牌的高可靠的网络产品搭建网络硬件平台，确保整个信息网络系统的电信级可靠（设备+业务系统）应用。整个系统具有良好的可管理性，最大限度降低网络管理工作的复杂性，便于扩展和易于管理维护。解决需求

14、分析中现有网络存在的多个方面问题。3.3 项目总体规划3.3.1 总体规划构建一个高性能、稳定、安全、易扩展和易管理的网络多业务支撑平台，保障华凌大饭店信息化业务的高可用性与服务质量，满足华凌大饭店未来至少5以上的业务不断发展需求。设计以服务和业务发展为导向的网络架构，建立共享、IToIP的服务基础架构，从简单的网络连接到智能服务体系支持，实现网络层面的高可用性，整个网络系统实现系统的传输整合和应用整合。 我们在规划和设计华凌大饭店信息网络时应该包括以下几个方面：3.3.1.1 高效、安全、可控的传输网络系统在目前的网络应用中，视频点播、带大附件的电子邮件、大文件传输越来越频繁，用户需要大容量

15、带宽的语音、视频、多媒体等的应用，网络系统要求防ARP、防蠕虫、防DoS等网络攻击，并提供接入安全认证功能。 3.3.1.2 满足移动接入的有线、无线一体化解决方案随着信息技术的发展，笔记本、PDA和智能手机访问网络的应用已经无处不在，作为对有线网络的有效补充，利用无线局域网技术的移动性、灵活性进一步提高宾馆网络服务能力，改善服务质量。无线网络系统应具有良好的安全性，在无线用户接入网络前必须接受认证授权，确保只有通过认证的用户才能够使用访问无线网络资源，拒绝非法用户接入，有效的控制用户对网络的访问，灵活的实施网络的安全控制策略。无线信息传输必须要首先经过加密过程，保证数据的完整性、可靠性、真实

16、性，防止恶意用户破坏数据。有线网络增加信息点相对困难，布线施工时又会对现有装修环境造成破坏，部署无线网络后，增加用户无线接入时只需要用无线网卡连接无线AP即可，非常快速方便。3.3.1.3 一体化、可扩展的多业务融合应用实现可扩展的VoIP语音通信、远程视频会议、视频监控等多业务融合的方案解决，即一个平台（IP交换网络）支撑多个应用（数据、视频、语音、监控安防等）。网络系统可以实现有线和无线网络的一体化融合，实现网络系统、语音系统、视频会议系统和监控系统有效融合应用，采用统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，构建基于开放架构的一体化解决方案。整网规划为“接入控制、业务

17、隔离、统一应用”，通过可持续发展的网络架构，构建一体化的业务安全和智能，实现面向业务的统一管理。4 本项目网络系统解决方案4.1 总体说明解决方案总体设计以高性能、稳定、安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。构建宽带IP网络，采用单星型拓扑和分层结构，网络整体设计分为两个层次：核心层和接入层，实现网络结构的扁平化，简化网络结构、减少网络的管理与维护工作。在目前的网络应用中，视频会议、带大附件的电子邮件、大文件传输等应用对网络带宽的应用要求越来越高，万兆骨干、千兆接入已成为趋势，在本次项目建设中我们建议构建千兆到桌面的网络

18、系统，网络设计为一体化安全和支持IPv4/IPv6解决方案，尽力保护用户投资。4.2 网络拓扑结构如上图所示，华凌大饭店网络信息系统划分为两个应用子网，办公楼网络承载国际大厦的办公业务应用，如财务管理、业务信息系统、OA办公系统等业务系统；酒店网主要提供入住客户Internet信息浏览、邮件收发、视频点播等公共服务。考虑到内网业务数据安全，办公楼网络和酒店网络通过千兆多端口防火墙进行安全隔离和安全域划分。整个网络系统具备安全渗透防御能力。网络出口具备攻击、非法业务的隔离、控制，具备在线主动抵御的能力；网络交换设备自身集成一定的安全防御能力，缩小攻击、病毒在网络的影响范围；用户接入层设备支持80

19、2.1x认证和集中式MAC地址认证，并可以有效防御ARP欺骗、DOS攻击及蠕虫攻击，隔离网络攻击。在目前的网络应用中，视频点播、大文件传输、P2P/BT下载、网络游戏、QQ语聊等多种应用都成为吞噬带宽的杀手，而宽带滥用将会占用网络资源，影响正常业务的稳定运行。通过多业务网关的应用层流量控制功能，实现网络的应用全面的流量管理，精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。4.3 办公网络拓扑结构4.4 酒店网络拓扑结构4.5 核心层设计核心层：提供高速的三层交换骨干。网络核心区作为华凌大饭店的数据交换

20、核心，是华凌大饭店应用系统可靠和高效率运行的基础，因此建议在核心区配置吞吐量高、分布式线速路由交换机并为保证核心节点的高可用性，核心节点配置1+1冗余电源及双业务引擎，下行千兆光纤连接接入交换机，形成全千兆无阻塞线速转发骨干网。核心设备采用多级交换架构，即使用独立的交换网板卡，可以为设备提供扩展的交换容量，多块交换网板同时分担业务流量；控制引擎和交换网板硬件相互独立，并且配置冗余电源和冗余风扇，最大程度的保障设备可靠性。设备选型：核心交换机选择高可靠，高性能的多引擎高端交换机H3C S7500E系列，以保证校酒店网络的正常运行。该产品基于H3C自主知识产权的Comware V5操作系统，以IR

21、F2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。1）丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3C S7500E面向数据中心技术的演进，推出了IRF2

22、为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 全面支持VPLS，VLL，

23、支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性能IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3C

24、S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EA

25、D网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。2）全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在

26、转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的

27、ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。3) 电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路

28、径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S7500E虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。4.6 接入层设计接入层：提供全千兆La

29、yer2的网络接入，通过VLAN划分实现接入的隔离。设备选型：接入交换机提供千兆到桌面的接入方式，大大提高办公效率，选择全千兆交换机H3C S5120-EI系列交换机H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。在目前的网络应用中，组播或视频点播、带大附件的电子邮件、大文件传输、OA以及Web 和Java工具等多种应用都成为

30、吞噬带宽的杀手，千兆接入到桌面已经成为最迫切的需要之一。考虑到交换网络建设的种种关键技术需求点，所有的接入交换机都具有高扩展性、高可靠性、高安全性和易管理，支持集中式MAC地址认证和802.1x认证，并支持多个GE的上行，满足用户多业务和高带宽的应用需求。接入交换机支持端口安全特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。接入交换机提供802.1X和集中MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。接入交换机支持

31、防ARP功能，通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。接入交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。4.7 d无线网络设计4.7.1 宾馆酒店无线覆盖必要性酒店宾馆已经部署了有线IP网络，是否就足够了呢？答案显然是否定的。例如在酒店宾馆标准间一般两位客人，如何让他们同时上网？如何让他们在任何位置都能上网？另外客人在大堂、咖啡厅、酒吧、餐厅可能都随时有上网的需求，而这些区域是难以布线的。面对这些需求，WLAN网络建设就是必然的选择了，它的作用是显而易见的：酒店宾馆套房有线无线双重覆盖，提

32、升客户体验，提高客户满意度公共区域（大堂/酒吧/咖啡厅/花园）无线覆盖，便利客户随时随地上网新闻发布会现场，方便新闻稿件及时发送有线网络增加信息点相对困难，布线施工时又会对现有装修环境造成破坏，部署无线网络后，增加用户无线接入时只需要用无线网卡连接无线AP即可，非常快速方便安装简单快捷，不需要复杂施工布线等，节省大量时间，不影响营业无线网络服务必然会提高客户对酒店宾馆服务的高度认可，提高客人的满意度和归属感，从而提升了酒店宾馆的品牌。4.7.2 无线解决方案总体说明无线网络采用FIT AP方案（无线控制器+AP结构），由无线控制器对全网AP实施集中式管理，简化无线组网和管理，提高漫游稳定性，提

33、高网络安全性。整个无线网络内可实现无缝漫游，并采用一致的安全和QoS策略。无线控制器支持向AP提供相应的参数设置，实现动态功率调整、动态信道调整、漫游切换与监控、用户定位、AP集中配置、干扰检测和避免、QoS保证、盲区覆盖等功能。提供全面的安全防范技术手段，包括各种认证手段和加密机制，可以自动排查和封锁非法AP进入。无线网络系统具有良好的安全性，在无线用户接入网络前必须接受认证授权，确保只有通过认证的用户才能够使用访问无线网络资源，拒绝非法用户接入，有效的控制用户对网络的访问，灵活的实施网络的安全控制策略。无线信息传输必须要首先经过加密过程，保证数据的完整性、可靠性、真实性，防止恶意用户破坏数

34、据。无线网络构建要求实现以下几个方面的应用需求：无线接入点（AP）支持IEEE802.11a、IEEE802.11b/g无线传输协议无线接入点支持IEEE802.3af /at POE交换机远程供电无线AP支持无线用户的隔离功能，以防止在公共区域无线用户间的信息泄露无线AP支持Multi SSID功能，AP自身具备为不同SSID无线用户接入有线网络或互联网络提供不同身份认证策略的功能无线AP之间可根据相互通告来获取对方连接的用户数量及流量，从而实现AP的负载均衡，并支持用户在不同AP间平滑漫游无线AP支持射频(RF)信号加密特性，支持802.11i安全标准无线系统支持WPA以及WPA2认证，支

35、持WPA/WPA2安全规范，支持标准的802.1x认证流程无线系统支持基于MAC地址的认证，以及用户账号与MAC地址的绑定认证无线系统支持Portal业务，Portal Server支持可定制的Portal页面可以实现对现有网络系统的融合解决，包括不同在AP之间、不同交换机之间、不同控制器之间的漫游解决，以及与现有有线和无线网络管理系统的融合4.7.3 无线接入规划无线接入AP上联POE交换机，通过POE交换机进行网线远程供电，减少电源布线麻烦、并方便管理AP开关。无线控制器支持分布式转发模式，无线AP支持本地转发，跨网段转发时使得数据报文不经过无线控制器，而是在本地进行转发，大大提高了转发效

36、率。在无线网络应用中可以根据不同业务采用独立的SSID（虚拟AP），并映射到有线网上不同的VLAN，实现业务逻辑隔离。各业务采用独立的AAA、QoS、访问控制策略，采用802.1x认证安全访问定义控制，数据流量WPA/WPA2加密，允许访问授权的网络资源。页面推送：根据不同地理位置，不同用户，定制Portal业务。H3C无线控制器内置Portal server，能够实现基于用户位置和用户属性的页面推送，例如在用户登录时展示酒店宾馆相关业务、优惠广告信息等。4.7.3.1 客房接入规划在充分考虑并发接入用户数及无线覆盖尽量没有死角的前提下，在每层楼分别部署无线接入AP，在走廊天花板上吸顶部署，实

37、现到每个房间的无线网络覆盖。方式一：方式一无线部署简单经济，适合于一般情况下的无线覆盖，不会对宾馆现有装修环境造成影响，但可能存在个别的覆盖盲点。方式二：方式二无线部署方式较为复杂，需要将覆盖天线分别引入到每个房间，适合于房间墙体较厚的复杂环境，会对宾馆现有装修环境造成一定影响，但无线覆盖无盲点。在本次项目中，考虑到宾馆为常规环境（房间墙体不厚、信号穿透效果好）、经济适用，以及不对现有装修环境造成影响等因素，我们建议采用方式一进行部署，和宾馆现有有线网络进行互补，实现较好的有线、无线双重网络接入。4.7.3.2 大厅及会议室接入规划在会议室采用吸顶或桌面部署方式，实现区域的无线网络覆盖。如果会

38、议室空间范围较大，可以部署2台无线AP进行信号覆盖，如下所示：考虑到会议室空间范围较小，所以只需要在会议室中央位置吸顶或桌面安置一台无线AP即可。4.7.4 方案优势说明4.7.4.1 系统可靠性设计无线控制器支持100毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。4.7.4.2 一体化POE供电、无线AP通过

39、网线进行POE远程供电，不仅解决了电力布线的麻烦，而且可以通过POE交换机实现对无线AP的远程管理、自由控制AP的开关。4.7.4.3 只能负载分担智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。无线系统支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的

40、关联请求，用户会转而接入其他负载较轻的无线接入设备，实现智能的负载均衡。4.7.5 无线认证、计费方案4.7.5.1 认证方式选择在认证方式选择方面，由于H3C公司提供的是无线AP+无线控制器进行组网的方案，无线AP与无线控制器通过二层隧道协议通信，无线用户的认证点都是放置于无线控制器设备上。这样组网的优势是：当用户在不同AP之间进行L2、L3漫游切换的时候，可由无线控制器对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认证的情况下跨区域开展业务。业界主要采用802.1X认证终端软件与AP、无线交换机、CAMS配合使用进行802.1x认证，或者采用Portal认证，后面具有Portal

41、/Web与802.1X认证二种方式的比较。无线控制器能够同时支持802.1X/WEB PORTAL认证，当用户数较少的时候，可以在无线控制器本地建立用户数据库，将用户鉴权点放在无线控制器本地进行；当用户数达到一定规模的时候，也可将用户数据库放在CAMS综合访问控制系统上，CAMS与无线控制器配合作为用户鉴权点。由于建成的无线网络主要用于工作，并不提供作为公众运营网络接入，所以本次的WLAN建设中，建议采用无线控制器完成用户的认证终结和用户鉴权。此方式具有的优点：用户认证完成实体主要体现于无线控制器系统，呈现一个集中模式，便于维护与统一控制和管理的无线网络系统，保证了无线系统的安全性。4.7.5

42、.2 认证方案介绍802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。H3C的FIT AP无线组网方案中，由后端的无线交换机对所有认证报文进行终结，并提取出用户名和密码信息交由后台的CAMS进行用户鉴权。用户使用802.1X认证的过程如图所示：802.1X及WEB PORTAL认证流程示意图接入AP的无线

43、终端采用802.1X模式，首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至CAMS服务器，由CAMS服务器来验证用户名、密码是否匹配，在认证通过以后由CAMS服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。H3C公司对802.1x认证方式进行了优化，使其可以支持基于MAC的用户控制，即一般情况下如果多个用户连接到一个HUB，其中一个用户认证通过后，其他用户也能够使用网络，但H3C公司对80

44、2.1X认证方案优化后，只有认证通过的用户（MAC）才能使用网络，其他用户还是不能使用网络。在H3C的FIT AP方案中，使用WEB认证时，强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件，使得管理和维护更简单，并同时能利用CAMS的功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、用户MAC绑定等，但无法做到用户通知消息下发和防止用户使用代理。4.7.5.3 无线计费介绍H3C认证及计费解决 （UAM+CAMS）可以稳定、高效的完成对网络接入用户的认证计费管理功能，满足各种网络可运营、可管理的需求。同时，它还提供丰富和开放的第三方接口功能，帮助管理员快速有

45、效的与第三方系统进行对接。依托iMC智能管理中心及UAM用户接入管理组件，iMC提供了功能强大的CAMS计费管理组件。它可以稳定、高效地完成对网络接入用户的帐务管理、计费管理等功能，满足各种网络可运营、可管理的需求。同时，它还提供丰富而开放的第三方接口，能帮助管理员快速有效地与第三方系统进行对接。在iMC平台可灵活扩展的基础上，CAMS计费管理组件还可以与EAD终端准入控制组件以及UBA用户行为审计组件进行很好的融合，为管理员提供从认证、计费到控制、审计全流程的具有强大竞争力的用户终端管理解决方案。基于UAM的CAMS与EAD、UBA融合提供全流程的用户终端管理解决方案4.7.6 无线安全方案

46、无线网络安全问题重要性是不言而喻的，H3C 无线设备除了支持WEP、WPA/WPA2、TKIP、CCMP等多种标准通用的加密方式外，还可以通过采取H3C无线入侵检测和无线EAD两种无线安全解决方案来保证网络的安全性。4.7.6.1 无线入侵检测对于不合法用户的控制，传统的安全手段是通过定义合法用户列表、加密方式保证合法用户数据的安全性，但这种手段太单一，而且显得很被动。H3C的WIDS目前主要包括下面三个特性：非法设备检测；入侵检测；无线用户接入控制（黑名单和白名单）；非法设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中部署非法设备检测功能，可以对整个WLAN网络中的异常设备进

47、行监视，并且可以根据需要对非法的设备进行防攻击处理（在实际的网络应用中，可以启动防攻击功能，即WIDS会尽量阻止非法的设备提供服务或者接入到无线网络）。非法设备检测可以检测并且分类WLAN网络中的多种设备，例如非法AP，非法无线终端，非法无线网桥等等。入侵检测主要为了及时发现WLAN网络中的有意或者无意的攻击，通过记录信息或者日志方式通知网络管理者。根据入侵检测的结果，网络管理者可以及时调整网络的配置，去除WLAN网络的不安全因素，保证WLAN网络不再受到攻击。目前H3C的入侵检测主要包括802.11报文Flood攻击检测、AP Spoof检测以及Weak IV检测，而且其中Flood攻击检测可以根据不同类型的报文进行攻击检测。接入控制根据特定的属性实现了对无线客户端接入WLAN网络的权限控制。目前WIDS接入控制主要根据M