某某酒店园区无线网络WLAN技术建议书——通信老姜的分享(覆盖接入用户酒店设备)

目 录

1 酒店园区WLAN网络概述... 1

1.1 酒店园区WLAN网络的简介... 1

1.2 酒店无线网络的总体需求... 1

2 酒店园区WLAN基础网络方案... 3

2.1 XX酒店无线网络背景 请根据实际项目需求修改。
... 3

2.2 XX酒店无线网络项目需求... 3

2.2.1 主要覆盖场景... 3

2.2.2 主要应用需求... 4

2.3 酒店园区WLAN网络架构... 5

2.3.1 WLAN无线网在有线网络上叠加... 5

2.3.2 有线网改造+WLAN无线网建设... 6

2.4 WLAN覆盖规划... 6

2.4.1 射频规划... 6

2.4.2 SSID和漫游规划... 9

2.4.3 客房场景覆盖... 10

2.4.4 大堂场景覆盖... 11

2.4.5 会议中心场景覆盖... 12

2.4.6 办公场景覆盖... 13

2.4.7 娱乐中心场景覆盖... 13

2.4.8 餐厅场景覆盖... 14

2.4.9 室外覆盖... 15

2.5 QoS规划... 16

2.5.1 业务QoS. 16

2.5.2 带宽管理... 18

2.6 可靠性规划... 19

2.6.1 AC 1+1备份... 19

2.6.2 AP可靠性... 20

2.6.3 自动调优... 20

2.6.4 负载均衡... 21

2.7 安全性规划... 22

2.7.1 空口安全... 22

2.7.2 用户安全... 25

2.8 认证规划... 26

2.8.1 各场景下的接入认证方式... 26

2.8.2 WLAN无线网在有线网络上叠加... 27

2.8.3 有线网改造+WLAN无线网建设... 27

2.9 运维方案规划... 28

2.9.1 便捷设备配置和向导式业务部署管理... 28

2.9.2 可视化的WLAN网络统一视图... 29

2.9.3 全方位的故障监控‎ 30

3 产品介绍... 31

3.1 AP设备... 31

3.1.1 AP2010DN面板式接入点... 31

3.1.2 AP6010系列接入点... 32

3.1.3 AP6510DN-AGN & AP6610DN-AGN接入点... 33

3.1.4 AP7110系列接入点... 34

3.2 接入交换机... 35

3.2.1 S5700-LI 系列精简型千兆以太交换机... 35

3.2.2 S5700-SI 系列标准型千兆以太交换机... 35

3.2.3 S5700-EI 系列增强型千兆以太交换机... 36

3.2.4 S5700-HI 系列高级型千兆以太交换机... 36

3.3 AC设备... 37

3.3.1 AC6605接入控制器... 37

3.3.2 AC6005接入控制器... 37

3.3.3 AC6003接入控制器... 38

3.4 eSight 38

1 酒店园区WLAN网络概述1.1 酒店园区WLAN网络的简介

自古以来中国人重视衣食住行，而酒店作为提供食、住的重要载体，人们对它们的关注度越来越高。
随着技术的进步，酒店行业需求和资源的变化、发展，无线网络的建设正逐渐成为不少酒店的重要组成部分，成为事实上的酒店信息化建设热点。
酒店无线网络的便利及良好体验，也逐渐成为各类酒店的标准配置。

酒店对无线网络的主要诉求是为顾客提供便利的上网服务，而较少用于广告推送等。
因此简单的认证方式、无缝漫游、高速带宽、无死角覆盖等良好的网络体验是酒店为每位顾客提供服务的基础。

随着信息化的发展、网络中所承载内容的变化、新的接入方式的成熟。
现代WLAN酒店无线网络的需求概括为如下几点。

图1-1 现代WLAN酒店无线需求

无线覆盖

新兴移动终端如智能手机、pad的兴起，随时随地自由的接入网络已成酒店网络的基本诉求，WLAN无线覆盖自然也就成为酒店网络最基本的需求。
断网、无信号、信号强度不够等所带来的负面体验会降低顾客对酒店整体服务的印象，从而导致顾客流失。

安全需求

无线网络频发的蹭网、私接甚至黑客的隐患时常发生，无线网络需要注意网络安全，防止非法设备的接入等问题。

稳定可靠

酒店无线网络承载着顾客上网、员工办公等重要业务，需要保证高度的可靠性，保证业务的持续稳定。

运行维护

任何一个网络，网络的运营和维护必不可少。
如何查询用户的接入日志；如何对分散在各种覆盖目标的AP进行监控和管理；能否对单个AP的带宽进行监控和设置；能否对用户的带宽进行监控和设置等都是WLAN酒店无线网络运维需要考虑的问题。

XX酒店是由13层的乳白色建筑组成，建筑面积42,000平方米，气势恢宏，造型流畅。
舒适优雅、彰显国际品位的客房，均配备先进的客房设施和科技，出色殷勤的服务，以及一应俱全的各类设施，使您从踏入酒店的那一刻起即能感受真正的宾至如归。
智能化楼宇自控装置，宽带网络、同声传译及电脑数控的灯、光、影、视设备，为在此举办和参加会议、展览的客人提供全方位服务。

WLAN无线网建设要充分覆盖客房、大堂、娱乐中心、会议中心、停车场、室外花园等场所；实现笔记本、智能手机、平板电脑等多种WIFI无线终端泛在接入。
WLAN无线网主要的覆盖场景和应用需求如下。

主要覆盖场景中，笔记本、台式计算机、智能手机、平板电脑等多种类型WIFI无线终端，802.11a、802.11b、802.11g、802.11n等多种标准的终端均可便捷接入，满足顾客接入覆盖需求。

l 酒店客房

ü 重点覆盖区，满足100%用户并发，接入速率不低于2Mbps；

ü 双频覆盖，2.4GHz和5GHz边缘场强均大于-60dBm。

l 大堂

ü 一般覆盖区，满足30%用户并发，同时接入上网，并发接入速率不低于1Mbps；

ü 双频覆盖，2.4GHz和5GHz边缘场强均大于-75dBm。

l 会议中心

ü 重点覆盖区，满足100%同时上网；并发接入速率不低于1Mbps；

ü 双频覆盖，2.4GHz和5GHz边缘场强均大于-70dBm。

l 办公区

ü 重点覆盖区，满足100%用户并发，办公人员同时上网，并发接入速率不低于2Mbps；

ü 双频覆盖，2.4GHz和5GHz边缘场强均大于-70dBm

l 娱乐中心

ü 一般覆盖区，满足40%并发上网，同时接入速不低于1Mbps；

ü 双频覆盖，2.4GHz和5GHz边缘场强均大于-70dBm

l 餐厅区域

ü 一般覆盖区域，满足同时就餐顾客15%并发上网，同时接入速率不低于1Mbp；

ü 双频覆盖，2.4GHz和5GHz边缘场强均大于-70dBm

l 停车场、广场室外场景

ü 一般覆盖区域，双频覆盖，2.4GHz和5GHz边缘场强均大于-75dBm。

ü 同时接入速率不低于512kbp

l 服务质量QoS

ü 无线漫游：覆盖区域内无线漫游，用户终端从一个AP覆盖范围移动到另一个AP覆盖范围，无需重新登录和认证；

ü 精细化控制：顾客、员工不同的角色拥护不同的权限，且顾客和员工之间要隔离，限制顾客和员工互访；

ü 多用户调度： AP能感知接入用户数量，灵活调整物理信道竞争参数，降低碰撞几率，避免过多的用户接入同一AP，保障服务质量和体验。

l 安全防护

ü 无线安全加密：无线信号是开放的，任何人都可以接受到，存在数据被窃听，篡改等安全隐患，WLAN无线网络需要支持WEP、WPA/WPA2、WAPI等加密认证方式，充分保证学校师生重要信息的私密性，数据传输的安全性。

ü 无线入侵防护：为了更好的保证网络的安全性和可靠性，WLAN无线网需要支持泛洪攻击、Spoof攻击、暴力PSK破解、Weak IV等WIDS/WIPS安全防护。

l 稳定可靠

ü AP设备：室外AP设备的防尘、防水的防护等级达到IP67要求，同时AP自身内置5kV防雷器，减少工程施工和网络运维的困难。

ü AC设备：AC支持1+1热备份，解决AC单点故障问题。

ü 网络链路：本地转发模式下，若遇到CAPWAP隧道中断、AC故障、控制链路错误等问题时，AP可进入半自治状态，继续对终端业务数据进行转发，业务不中断，保障用户体验。

l 与有线网络兼容

ü 新建WLAN网络必须考虑与有线网络之间的兼容（包含新老酒店），实现与现有系统使用同一个账号、密码进行认证，并获取相同的访问权限，与有线网络使用同一个账号、密码进行计费，使用不同的计费策略。

l 运行维护

ü 网络监控： 通过网管软件查看当前设备物理拓扑，直接显示设备间连接关系，监控设备及链路状态。
通过WLAN业务拓扑监控无线设备告警、状态、网络设备逻辑结构，包括AC、AP、终端用户、非法AP的逻辑连接关系及其详细信息，并在拓扑提供一定故障诊断处理能力。

ü 故障恢复：通过网管远程批量重启AP，恢复AP配置。
通过网管快速完成AP替换，替换后业务不变。

不同酒店现有有线网络架构的差异，使得各酒店的WLAN网络建设存在一定的差异。
根据WLAN无线网建设对现有网络的叠加的影响程度，整体可以分为两个场景：

1、 不改变有线网，WLAN无线网在现有网络上叠加；

2、 新建酒店，有线网和WLAN无线网建设同步进行。

WLAN无线网络建设，直接在现有网络上叠加，尽量减少对现有网络的影响和改动。
这个情况下，建议采用下图所示的WLAN方案。
AC放置在核心机房，旁挂于核心交换机上，采用集中转发模式，数据报文直接通过隧道到AC进行处理，对现有网络几乎无影响；AP放置在目标覆盖位置，通过接入交换机POE供电。
鉴于酒店的装修及成本影响，主要使用面板式AP将施工程度减小到最低。

l AP设备

ü 客房选用面板、室内型AP设备就近接入接入交换机，对于会议中心、娱乐中心等高密场景推荐使用室内放装或室外型设备以提高覆盖效果。

l 接入交换机：

ü 接入层新增千兆POE接入交换机，满足AP供电以及WLAN 11n/11ac对接入带宽的需求。

l AC设备：

ü AC设备旁挂在核心层交换机。

新建酒店WLAN无线网建设和有线网改造同时进行，施工布线相对灵活，客户可以根据预算情况选择无线设备。
认证方面有线采用802.1x认证，无线采用Portal/IPOE认证，打造运维便捷的一体化酒店网络。
新建校区或者有线改造和无线WLAN网络建设同步进行时，推荐整体解决方案如下所示。

l AP设备：

ü 客房仍然主推面板式AP，室内其他区域主推放装式AP，高密区域主推高端放装式或室外型AP。

ü 室外场景推荐使用室外型AP。

l 接入交换机：

ü 接入层新增千兆POE接入交换机，满足AP供电以及WLAN 11n/11ac对接入带宽的需求。

ü 小型网络可直接用AC作为接入交换机。

l AC设备：

ü AC设备旁挂在核心层交换机。
小型网络可直接用AC作为接入交换机。

与IP地址规划一样，WLAN信道是WLAN网络设计中重要一环，酒店无线网络必须对WLAN信道进行统一规划。
WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。

频点划分

为保证信道之间不相互干扰，大型酒店无线网络必须对WLAN信道进行统一规划并实施。
WLAN系统主要应用两个频段：2.4GHz和5.0GHz。
2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14，非重叠信道共有三个，一般选取1、6、11这三个非重叠信道。
5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。
不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161，可以根据实际部署情况，选择相应的非重叠信道。

信道覆盖

WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。
根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。
AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。
单频覆盖和双频覆盖示意图如下图所示。

图2-1 信道覆盖

链路预算

WLAN链路预算一般经过边缘场强确认，空间损耗计算，覆盖距离计算等步骤。
边缘场强确认是指：在WLAN工程部署中，要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于－75dBm。
这样可以保障用户与AP的协商速率以及收发数据质量。

空间损耗计算通常采用如下公式： 。
其中：Pr[dB]为最小接收电平，即为AP在不同传输速率下的接收灵敏度；Pt[dB]为最大发射功率；Gt[dB]为发射天线增益；Gr[dB]为接收天线增益；Pl[dB]为路径损耗（包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗）。
实际部署中终端天线增益不可知，为方便计算常忽略接收天线增益，而采用如下公式：到达用户端的信号电平＝AP发射功率＋AP天线增益－路径损耗。
路径损耗主要指WLAN信号的空间损耗，空间损耗＝92.4+20lgf+20lgd （f：GHz，d：km）。
由公式推算可知：

表2-1 路径损耗表

为便于理解链路估算的过程，这里给出一个室外场景覆盖和室内场景覆盖的预算案例：根据WLAN覆盖边缘场强的要求，到达终端用户的信号电平不低于－75dBm，500mW AP的输出电平27dBm，天线增益11dBi，距离AP 500m处信号的衰减量94dBm，由于27+11-94＝-56dBm，大于-75dBm，因此在通常情况下，AP的覆盖范围为500m。
由于数据通信是双向的，终端的信号发射功率相对AP较弱，综合考虑，一般建议室外AP的覆盖范围为200m～300m。

根据WLAN覆盖边缘场强的要求，到达终端用户的信号电平不低于－75dBm，100mW AP的输出电平20dBm，天线增益4dBi，距离AP 60m处信号的衰减量90dBm，由于20+4-90＝-66dBm，大于-75dBm，因此在正常情况下，室内AP的覆盖范围为60m。
考虑到室内环境复杂，无线信号需要穿越墙体等障碍物，一般建议覆盖半径为20m左右。

规划工具

无论是室内还是室外，精细地覆盖规划都是一件非常有挑战的工作。
很多项目的无线网络规划设计完全参照经验进行设计，与现网环境不能有机结合，不但缺乏科学的依据，准确率也不高，且规划效率低下。
粗放的覆盖规划不能充分发挥WLAN的性能，并且也给后期维护优化带来更多的工作量，增加后期成本。

华为提供专业的规划服务工具，可以提供从规划、建设和优化全流程的工具支撑，大大提升高校这种场景覆盖规划的效率和准确性。

图2-2 专业规划服务工具

图2-3 WLAN规划工具优点

SSID规划

AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。
通过配置多个SSID，AC针对不同的SSID下发不同的策略，SSID根据策略进行终端与业务管理。
酒店无线网络可按照区域划分不同的SSID，办公区域SSID1，其他区域为顾客区域SSID2。

SSID和VLAN的映射

通常，以太网中管理VLAN和业务VLAN是分离的。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此，在SSID的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种。

漫游规划

漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证，如下图所示。
WLAN网络漫游中需要了解以下两点：1、漫游过程中SSID必须一致，且使用相同的安全设置。
2、漫游中选择连接哪个AP是无线客户端的动作，这个切换的时机和快慢受无线客户端的芯片或设置的影响，所以在漫游切换过程中会出现不同的终端切换性能有差异。

图2-4 漫游规划

覆盖需求

客房内的无线覆盖主要是满足客人（笔记本+手机+PAD）的上网需求。
更高星级的酒店还配有pad可控制屋内电器等设施，具体业务和覆盖需求如下：

ü 满足客人单用户的下行容量2M，上行容量1M

ü 普通客房为20平米左右，高级套房除外

ü 整体环境要求普遍覆盖，但是客人同时业务的并发率低，用户密度低。

总结此类场景的特点：

ü 室内环境，室内卫生间有隔断，楼房材质不固定

ü 并发率低，主要用于客人上网，带宽需求小于2M

设备选型

ü 客人终端主要为笔记本，也会有少量PAD，手机等手持设备，wifi模式主要为11g/n。
终端多支持5.8G，考虑到以后的扩展，因此选择双频设备；

综合以上两点，该场景下选用两种方案

1、面板式，双频、11N设备，推荐选择AP2010DN

2、放装型、双频、双空间流、11N设备，推荐选择AP6010DN。

天线选型

室内产品内置天线，可以与客房的环境融合（一般多在客房内的吊顶处隐藏安装），减少对现有结构的施工。
面板式AP可以直接替换原有的有线网口面板，充分利旧，投资更低。

部署方案

华为的AP6010DN设备可同时满足40～60个终端/每人2M的速率，覆盖范围通常大于友商30%左右。
考虑客房场景下用户并发率较低，只要保证范围内全覆盖即可，为了保障用户的体验，可以每个客房放置一个AP。
选用面板式AP布放时一般为没房间一个AP，大型套房可酌情增加或使用放装式AP覆盖。

覆盖需求

XXX酒店大堂无线覆盖，主要是为了满足大堂等候或休息的客人提供上网功能以及前台业务办公的需求，覆盖需求如下：

ü 提供稳定、流畅的网络速率，保证客人通过个人终端（手机+PAD）能正常登录网站，且上网体验良好。

ü 大堂流动性较强，同时有上网需求的人数小于30人，上网并发率50%。

ü 部分酒店的大厅设有专属网络冲浪区，多以台式PC接入有线网络。

总结此类场景的特点：

ü 开放式室内环境，主要上网需求为网业浏览和网页操作，带宽需求小于2M。

设备选型

ü 终端类型：主要为手机、PAD，也会有少量笔记本电脑，wifi网卡模式主要为11g/n模式，双空间流。

ü 业务带宽需求小于2M。

ü 大堂流动性场景，也存在突发大用户量的可能，建议采用11n/11ac放装设备。

ü 前台业务区多以有线网络为主，如果有无线业务需求，可以用不同的SSID与客人网络区分开。

综合上述：大堂场景可以选用放装型、双频、双空间流、11n设备，例如AP6010DN。
该设备物理层带宽为600M，且可同时满足40~60个用户，每用户1-2M的稳定带宽。

天线选型

室内产品最好能内置天线，以便AP可以与大堂的环境融合，减少对现有结构的施工。

部署方案

大厅内流动性较强，且属于开放区域，可采用吸顶或壁挂式的安装，AP6010DN设备，可同时满足40-60个用户，1～2M的带宽需求。

覆盖需求

会议中心是大型酒店盈利的重要来源之一，多为承办大型会议、发布会、主题论坛等，除了场地外，网络也是酒店提供的服务之一，多以手机接入为主，也有少量PAD、笔记本电脑接入需求。
覆盖需求如下：

ü 无线网络能够满足100%人群的同时上网需求。
上网业务主要有：浏览网页，观看视频，社交互动等。

ü 要求目标覆盖区域内95％以上的位置，接收信号电平≥-70dBm，会场内均能搜索到无线网络

总结此类场景的特点：

ü 覆盖规模大，大型会场、会议室众多

ü 高密接入，用户并发率90%以上

设备选型

ü 具体人数视会场面积而定，每人带宽1-2M

ü 客人接入使用的多为手机或PAD，主要是11N模式

ü 覆盖区域内95%以上的位置要求信号强度≥-70dBm。
高峰期均为展会过程中。

综合考虑，大型会场建议选择室外型，双频，双空间流，11N设备，全向或定向天线。
例如AP6510DN-AGN ，AP6610DN-AGN。
独立会议室建议选择室内放装型，双频，双/三空间流，11N设备，设备自带天线。

天线选型

室内产品最好能内置天线，减少对现有结构的施工，如果有条件也可使用吊顶内的隐藏安装。
大型会场为确保接入效果，可使用室外AP的全向/定向天线。

部署方案

大型会场具体覆盖规划及AP波束方可根据现场工勘及网规网优软件设置。
独立会议室可采用吸顶或壁挂式的安装，AP6010DN设备，可同时满足40-60个用户，1～2M的带宽需求，对带宽需求较高时可选用AP7110DN设备。

覆盖需求

主要为酒店内部人员办公提供网络接入，覆盖需求如下：

ü 使用的SSID与客人网络不相同，保证酒店业务与客人业务隔离。

ü 办公区多为办公岛的开放环境，少数独立经理室及内部会议室。

ü 满足100%用户并发，办公人员同时上网，并发接入速率不低于2Mbps。

设备选型

ü 内部员工终端主要为笔记本，也会有少量PAD，手机等手持设备，wifi模式主要为11g/n。
终端多支持5.8G，考虑到以后的扩展，因此选择双频设备；

综合以上两点，该场景下选用两种方案

1、针对独立经理室，可使用面板式，双频、11N设备，推荐选择AP2010DN

2、针对办公岛及内部会议室，选用放装型、双频、双空间流、11N设备，推荐选择AP6010DN。

3、如果预算有限，可以使用放装式统一覆盖。

天线选型

室内产品内置天线，减少对现有结构的施工。
面板式AP可以直接替换原有的有线网口面板，充分利旧，投资更低。

部署方案

虽然要求100%的用户并发，但内部员工相对较少，很少有高密接入出现，华为的AP6010DN设备可同时满足40～60个终端/每人2M的速率，覆盖范围通常大于友商30%左右。
独立经理室可以选择面板AP直接替换原有的有线面板。

覆盖需求

娱乐中心是酒店（多为大型酒店、度假村等）为住店顾客提供娱乐休闲设施场所，如健身房、台球室、KTV、球类场馆等，部分酒店可将此作为盈利点对外开放，中心内客人多以手机接入为主。
覆盖需求如下：

ü 客人在娱乐中心以娱乐运动为主，因此只需满足40%并发上网，同时接入速不低于1Mbps。
上网业务主要有：浏览网页，观看视频，社交互动等。

ü 要求目标覆盖区域内90％以上的位置，接收信号电平≥-70dBm，会场内均能搜索到无线网络

总结此类场景的特点：

ü 多为室内场馆，功能场地较多，人群流动性大

ü 接入需求不强烈，用户并发率40%以上

设备选型

ü 具体人数视会场面积而定，每人带宽1-2M

ü 客人接入使用的多为手机，主要是11N模式

ü 覆盖区域内90%以上的位置要求信号强度≥-70dBm。

综合考虑，建议选择室内放装型，双频，双/三空间流，11N设备，设备自带天线。

天线选型

室内产品最好能内置天线，减少对现有结构的施工，如果有条件也可使用吊顶内的隐藏安装。

部署方案

可采用吸顶或壁挂式的安装，AP6010DN设备，可同时满足40-60个用户，1～2M的带宽需求。

覆盖需求

餐厅是酒店提供餐饮场所。
覆盖需求如下：

ü 满足同时就餐顾客15%并发上网，同时接入速率不低于1Mbp。
上网业务主要有：浏览网页，观看视频，社交互动等。

ü 要求目标覆盖区域内90％以上的位置，接收信号电平≥-70dBm，会场内均能搜索到无线网络

总结此类场景的特点：

ü 人数高峰期多为早中晚就餐时间，接入需求一般，用户并发率15%。

ü 多为室内场景，室外可由室外AP覆盖。

设备选型

ü 客人接入使用的多为手机，主要是11N模式

ü 覆盖区域内90%以上的位置要求信号强度≥-70dBm。

综合考虑，建议选择室内放装型，双频，双/三空间流，11N设备，设备自带天线。

天线选型

室内产品最好能内置天线，减少对现有结构的施工，如果有条件也可使用吊顶内的隐藏安装。

部署方案

可采用吸顶或壁挂式的安装，AP6010DN设备，可同时满足40-60个用户，1～2M的带宽需求。

覆盖需求

湖边，草地，广场这类场所是酒店室外覆盖的典型场景。
相对于室内环境，室外环境要更加恶劣，部署的AP要面临严寒酷暑，风吹雨淋以及雷电灾害的挑战。
XXX酒店无线网络建设的室外重点覆盖区域为酒店花园、酒店广场等。
细化覆盖需求如下：

ü 覆盖范围内，用户通过无线网络可以随时、随地、随意无线上网

ü 重点覆盖范围(酒店花园、酒店广场)内90%的区域信号强度>-75dBm

ü 除重点覆盖区域外，无线信号覆盖酒店70%的区域

总结此类场景特点：

ü 覆盖区域为室外开发空间

ü 覆盖区域相对空旷，无密集建筑物遮挡

ü 用户的流动性强，上网带宽需求小

设备选型

此类酒店网络场景，设备要有防尘，防雨，防雷的能力，应选用防护等级为IP67，内置防雷器，双空间流，11N设备。
推荐使用AP6510DN-AGN。

天线选型

室外型AP一般选配室外型定向或全向天线。
酒店网络场景中， 单AP的覆盖距离一般为200m-400m。
重点覆盖区域的周边有高层建筑物，2.4G推荐使用室外定向11dBi双极化天线，5G频段推荐使用11.5dBi定向天线。

表2-2 天线选型表

覆盖方案

考虑到AP的实际安装位置，需要借助周边的建筑如，例如建筑物顶楼，具体覆盖规划及AP波束方可根据现场工勘及网规网优软件设置。

WLAN QoS保证不同质量的无线接入服务之间的互通，满足实际应用的需求。
在酒店网络中，常采用无线空口做WMM调度，有线侧进行优先级映射，酒店网络做DiffServ调度的方式，最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。
高校中的QoS部署一方面需要从业务的角度实现端到端的QoS保障，另一方面出于管理的需要能够对用户或者单AP的带宽进行管理，比如要求大学校园外的访客用户的带宽不超过300kbps，某个AP上SSID-Guest的总流量限速20Mbps等。

2.5.1 业务QoS

报文在WLAN网络中传输时需要经过有线网络和无线网络两个部分，QoS的设计要保障端到端的性能。
AC 可以做到QoS调度，满足业务服务质量要求。

根据标准把业务划分为12种类型，并规划了报文优先级参数：

用户业务分类说明

表2-3 用户业务分类说明表

其中网络控制业务的相关QoS参数一般由交换机、路由器等设备指定，本文不做过多描述；其他属于用户业务，需要用户自己规划QoS参数。

以视频流为例，端到端的方案流程如下图所示：

图2-5 端到端方案流程图

ü 视频服务器通过IP网络将广播报文发送给AC，并打上优先级：Erthnet 802.1p优先级为5。

ü AC通过CAPWAP隧道将报文发送给AP。
AC需要将Earthnet优先级映射到隧道的优先级。

ü 在保证效率的同时，为了提升稳定性，AP上先将组播报文转为单播报文，然后将报文从有线的优先级映射到无线的优先级。

ü 不同的业务进入不同的空口队列，并且获取到不同的空口EDCA参数，从而对不同优先级的业务实现差异性调度，保障QOS性能。

基于用户的带宽管理

基于用户的带宽管理包含基于某个特定用户的带宽管理以及基于用户组（角色）的带宽管理。
基于用户的带宽管理需要Radius服务器参与，在认证后Radius下发用户带宽或者用户组给AC，AC通知AP进行相应的带宽控制,如下图2-6和图2-7所示。

基于用户组带宽管理

图2-6 基于用户组的带宽管理

基于用户的带宽管理

图2-7 基于用户的带宽管理

基于AP的带宽管理

出于管理的目的，有时需要对某个具体的AP进行带宽管理，如限制某个办公室里的AP带宽为30Mbps，可以通过配置Traffic profile 里的VAP Limit Rate实现带宽管理，如下图所示。

基于AP的带宽管理

图2-8 基于AP的带宽管理

WLAN网络的稳定性被高校普遍关注。
一方面是设备的稳定性，AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是高校WLAN网络可靠性关注的重点。
另一方面，AP的调优特性可以在个别AP故障或者性能恶化时自动调优，以提升WLAN网络的稳定性；在会议中心等高密覆盖场所，AP间的负载均衡和5G优先特性对WLAN网络的稳定性也做出重要贡献。

WLAN酒店无线网络通常规模较大，为了避免AC单点故障的问题，建设采取AC 1+1热备份，增加网络的可靠性。
如下图所示。

图2-9 AC 1+1热备

常年工作在室外的AP面临严寒酷暑，风吹雨淋以及雷电灾害的恶劣环境。
华为室外型AP6510/AP6610提供业界领先的防尘，防水，防风能力，以及防雷能力。

图2-10 室外防护能力

领先的防风设计，能够在大于120mph风力下工作（mph=miles per hour，120mph约为16级台风），AP全金属外壳设计，符合IP67防护标准，可以完全组织灰尘和细沙的进入，且长时间不惧怕雨淋。
AP在-40度~60的环境中正常工作。
防雷设计是华为室外型AP 6510和6610的另外一大亮点。
其内置的防雷设计可以减少另外购置防雷设备。

图2-11 华为室外AP防雷设计

IP 表示Ingress Protection（进入防护）. IP等防护级系统提供了一个以电器设备和包装的防尘、防水和防碰撞程度来对产品进行分类的方法，这套系统得到了多数欧洲国家的认可，国际电工协会IEC（International Electro Technical Commission）起草，并在IED529（BS EN 60529：1992）外包装防护等级（IP code）中宣布。

防护等级多以IP后跟随两个数字来表述，数字用来明确防护的等级。

第一个数字表明设备抗微尘的范围，或者是人们在密封环境中免受危害的程度。
I代表防止固体异物进入的等级，最高级别是6；

第二个数字表明设备防水的程度。
P代表防止进水的等级，最高级别是8。

当AP射频环境出现恶化，某个AP故障或新增扩容AP时，需要启动射频自动调优，以增强系统的可靠性和稳定性。
建议选择同时支持局部调优和全局调优的AP设备。
局部调优可方便的应用于扩容新AP、单点AP故障或者微波炉等局部环境变化而引起的信道环境变化场景，如下图所示。
全局调优更多的应用于新建WLAN网络或者大面积信道环境恶化场景。

局部调优

图2-12 局部调优

当AP3掉电或故障时，其邻近AP1和AP4自动感知，并调整发射功率，从而达到补盲的效果。
AP3重新上线后，其邻居AP1和AP4的自动的调整发射功率，避免AP与邻居因覆盖区域重叠造成AP间相互干扰。

无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。
由于WLAN是基于CSMA/CA机制，实现多用户接入，当单台AP接入用户数过多时，用户吞吐率性能会出现急剧下降且稳定性无法保证。
负载均衡特性可以按照用户数量和用户流量，将用户分配到同一组但负载不同的AP上，从而实现不同AP之间的负载分担，避免出现某个AP负载过高而使其性能不稳的情况。

WLAN负载均衡

图2-13 WLAN负载均衡

如上图所示。
用户模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STA，AP2已接入2个STA。
AP1与AP2接入STA个数的差值为2，当阈值设置为1时，新接入的STA7被均衡到接入用户数量较少的AP2上。

流量模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STA，AP2已接入2个STA。
但AP2上的STA5/STA6承载高带宽业务，总带宽流量30M超过AP1的总带宽8M，当设定阈值为12M，新接入的STA7被均衡到流量负荷较小的AP1上。

在酒店中部署WLAN网络也需要关注WLAN网络的安全，保障WLAN网络的安全运行。
需要考虑如何解决Rogue AP等设备带来的安全隐患？如何防止非法的用户访问行为？怎么禁止非法用户接入网络？怎么防止空口窃听？如何保证AP接入AC的安全？这些安全隐患整体可以分为空口安全和用户安全两类。

空口安全主要来自非法rogue 设备，空口监听和恶意攻击三个方面，如下图所示。

空口安全威胁

图2-14 空口安全威胁

Rogue设备

酒店中可能出现的Rogue设备包括Rogue AP，Rogue Client，Ad-hoc设备，这些设备对运维的WLAN网络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。
华为WLAN WIDS方案支持对网络中的Rogue 设备（包括AP，Client，Ad-hoc）的进行检测、识别以及反制功能。
下面分别从非法设备的监听，识别，判断以及反制四个方面详细阐述，华为WLAN对非法设备安全的防护。

l 侦听周边设备

ü AP有三种工作模式：接入模式混，监听模式和合模式。

ü 接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。

ü 推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。

l 设备类型识别

ü AP通过监听Beacon，Associaton Request，Association Response协议报文和数据报文报文来识别Rogue设备是哪种设备（AP/Ad hoc/Client）。

ü 监控AP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC，在AC上根据一定的规则进行Rogue设备判断。

l Rogue设备判断

ü 当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括AP、Client、Ad hoc终端、无线网桥等。

l Rogue设备反制

ü 检测到Rogue设备后，可以使用防范、反制功能。
反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。

ü 对Rogue AP的反制：监测AP通过使用Rogue AP设备的地址发送假的广播解除认证帧来对Rogue AP设备进行反制，抑制无线用户和非法AP建立链接。

ü 对Rogue Client、Ad hoc设备的反制：监测AP通过使用Rogue Client、Ad hoc设备的BSSID、MAC地址发送假的单播解除认证帧，对指定非法Client的进行反制。

ü Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。

图2-15 Rogue设备管理

恶意攻击

针对恶意攻击，华为WLAN拥有多种方式。
下面针对最常用的flood攻击，Weak IV攻击，Spoof攻击方式，介绍华为的防御规划和措施。

l Flood攻击检测：

ü 当“恶意用户”发送大量的“连接请求报文”至AP时，这些报文会被AP转发到AC设备上进行处理，这样会对内部网络造成冲击。

ü 启动Flood attack检测，AC会检测到来自于该恶意用户的Flood攻击，AP会将来自于该用户的报文将全部被丢弃，从而实现了对于网络的安全防御。

l Weak IV攻击检测：

ü 对于Client的数据报文，如果该报文使用了WEP加密算法，需要启动IV检测；

ü AC根据IV的安全性策略判断是否存在Weak IV攻击。

l Spoof攻击检测：

ü 这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。

ü 恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。

ü AC接受到这种报文时将立刻被定义为欺骗攻击，并阻止该用户。

空口窃听

常用的空口加密方式有WEP，WPA/WPA2，WAPI等。
在最新的实现中，不管是WPA1还是WPA2都可以使用802.1X，使用802.1X时称为WPA企业版，不使用802.1X时称为WPA个人版，或者叫WPA-PSK版。

在实际网络部署中，空口加密通常和用户认证一起考虑，在酒店中推荐使用Portal+PSK方式部署，加密方式推荐采用CCMP，在网络侧进行配置。

用户安全可以分为合法用户非法地访问其范围以外的资源和非法用户的接入网络两部分，如下图所示。

图2-16 用户安全

非法访问

出于信息安全的需求，往往需要保证客人不能访问酒店内的资源。
这些可以通过用户组的方式来实现。

l 用户访问授权

ü 用户访问授权可以在本地网络设备授权，也可以通过AAA服务器进行远端授权。
一般来说本地授权多用于中小型酒店。
大型连锁酒店多用远端授权的方式，即通过AAA服务器完成。

ü WLAN用户认证成功后，Radius服务器下发用户分组，将用户进行分类，每个用户分组可以关联对应的ACL规则，通过用户分组和ACL规则的关联，实现对每类用户进行ACL授权信息控制，即同类用户获得相同的授权信息。
Radius服务可以利用现网的AAA也可以新建。

l 用户隔离

ü 酒店的访客系统推荐使用集中转发的方式，可以增强对住客用户的控制。

ü 当住客用户和酒店员工都采用集中转发时，住客用户使用的SSID-Guest与酒店员工SSID-employee之间是天然隔离的。

ü 当住客用户使用集中转发，酒店员工都采用本地转发时，住客用户使用的SSID-Guest与酒店员工SSID-employee之间也是天然隔离的。

非法用户

华为WLAN解决方案可以支持多种接入认证技术，对接入用户身份进行认证，防止非法用户接入。
其中比较典型的有MAC认证、Portal认证、802.1x认证和PPPoE认证 。
从对比表中可以看到，这几种无线认证在技术实现上各有特色，覆盖了不同用户的接入认证需求。
酒店中推荐使用Portal认证方式。

图2-17 认证方式比较

2.8 认证规划2.8.1 各场景下的接入认证方式

常用的WLAN的链路层身份验证主要有802.1X、Portal、MAC等几种认证方式。

各种接入认证的方式与应用场景如下所示。

接入认证的方式及应用场景

表2-4 接入认证的方式及应用场景

接入认证方式

功能描述

应用场景

802.1X认证

使用EAP（Extensible Authentication Protocol）认证协议，实现客户端、设备端和认证服务器之间认证信息的交换

需客户端支持，安全性高，主要应用于酒店内部员工有线网络终端（如PC等）使用。

Portal认证

也称为WEB认证，用户可以通过Web认证页面，输入用户帐号信息，实现对终端用户身份的认证

无需客户端，安全性稍低，广泛应用于商超网络中

MAC认证

使用终端设备的MAC地址实现认证，未在认证服务器存在的终端设备无法通过认证

哑终端，如打印机、扫描仪等

在WLAN无线定位解决方案中，认证控制点根据接入用户的差异部署在不同位置，具体为：

l 有线用户认证控制点在接入交换机

有线用户需要通过802.1X认证，接入交换机可以部署802.1X+MAC混合认证。
这种认证方案需要接入层交换机支持802.1X认证协议，适用于新建网络或现网改造中需要增加身份认证又不希望改变当前网络中已有安全部署的场景。

l 无线用户认证控制点在AC

无线用户通过Portal认证，可以再AC上部署Portal+MAC混合认证。
用户首次认证采用Portal认证，AAA认证服务器记录提交的终端信息，而后续认证采用MAC认证。

表2-5 不同终端对应的接入方式

若酒店在建设WLAN之前已系统建设完整的有线网络，包括基础网络、AAA系统等。
新建WLAN网络必须考虑与原有有线网络之间的兼容，特别是AAA系统。
WLAN网络的AAA系统可以利用现有网络的AAA系统，也可以新建AAA系统。
推荐充分利用现有的AAA系统，保护原有投资。

ü 用户访问网页，重定向到内网认证Portal页面，要求用户输入用户名和密码。

ü AAA服务器通过Radius协议，和准入认证设备AC进行协商，打开内网准入权限。

ü 后续用户可直接访问Internet等外网资源，无需再次登陆认证。

新建酒店或者WLAN无线网络建设与有线网改造同时进行时，对有关认证计费的主要需求如下：

l 认证计费系统需要兼容酒店网络现网业务

ü 满足网络802.1x，Portal，mac等多种接入认证的功能需求。

l 方案需要能满足未来5-10年网络扩容需求

ü 互联网带宽与网络流量再度多次翻倍扩容。

l 哑终端认证

ü 打印机等哑终端的接入做MAC地址认证和IP绑定。

酒店新建WLAN，大量新增加的网元（AP，交换机和AC）给建设、运维带来巨大工作量，需要有一个专业的网管系统能够帮助高校用户从部署到性能监控，到维护排障全流程的提升运维效率。
eSight是华为面向企业网推出的新一代网络管理系统，实现对网络、业务、用户的统一管理以及智能联动。
eSight支持对IT、IP以及第三方设备的统一管理，提供灵活的开放平台，为无线WLAN网络量身打造自己的智能管理系统。
针对WLAN无线网络，华为eSight提供多种管理功能，主要有三点。

ü 便捷设备配置和向导式业务部署管理

ü 可视化的WLAN网络统一视图

ü 全方位的故障监控‎

eSight通过在线确认（未授权AP上线）、离线部署、自动上线（符合白名单的AP自动上线）三种形式方便、快捷完成AP、AC等设备配置管理。

l AC基本信息

ü 无线控制器对无线局域网中的所有AP进行控制和管理。

ü AC管理实现源接口、AP认证方式、转发类型、国家码等业务配置。

l AP信息

ü AP基本信息配置；射频管理；绑定ESS模板；通过预定义表单批量导入AP；批量绑定模板；

ü 支持对AP重启、恢复出厂配置、替换AP操作。

l 业务配置

ü 提供向导式的业务配置，完成AP的快速业务发放。

图2-18 eSight设备配置和管理

2.9.2 可视化的WLAN网络统一视图

通过eSight系统，用户可以全面直观的查看网络拓扑结构、了解指定网络拓扑状况、配置系统信息、管理网络设备等。

l WLAN业务拓扑

ü 提供可视化网络监控，以拓扑图方式显示AC、AP、终端的业务逻辑关系。

ü 支持展示无线设备故障状态，同时提供告警查看的操作快捷入口。

l WLAN 位置拓扑

ü 通过位置拓扑查看当前热点位置及射频信号覆盖范围，并标识冲突域。

ü AP预部署，查看模拟的射频覆盖范围，AP部署上线后切换真实AP，显示AP的真实覆盖范围

图2-19 WLAN位置拓扑

eSight提供全网物理资源、统计类、性能等相关信息，以便监控和管理网络。

l 网络监控

ü 用户可以通过网管物理拓扑，监控AC设备及链路状态；可以通过WLAN业务拓扑直观查看STA、FIT AP、AC接入关系；可以通过位置拓扑查看当前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置。

ü 用户可以通过性能管理、告警管理及WLAN物理资源管理来监控网络运行状况，并通过报表系统周期性地给出WLAN相关报表，进而帮助用户实现轻松运维。

l 网络故障恢复

ü 当网络中的AP出现异常或在WLAN网络的调试过程中，用户可以通过网管远程批量恢复AP的出厂设置；在WLAN网络中AP升级完成后或在WLAN网络的调试过程中，用户可以通过网管远程批量重启AP；当网络中的AP出现硬件故障需要替换时，用户可以通过网管快速完成AP替换，AC复制故障AP上原有的配置至替换新替换的AP，快速保证AP替换后业务不变。

ü 用户可通过AP上行Ping设备IP（包括网关或服务器IP），判断AP上行业务线路的通断情况，或通过AP下行Ping用户IP地址，进而确认用户报障原因是用户关联问题还是上行业务不通。
AP Ping只能在AP正常状态下工作，可通过AC下行Ping，来诊断AC至AP链路的通断情况。