一、项目概述
1.1项目简介
上海中信泰富朱家角锦江酒店位于著名的朱家角古镇北面的大淀湖畔。酒店设有200余间豪华房、套房和别墅,所有客房设计典雅、装修考究;酒店拥有完善卓越的会议设施,包括1间宴会厅(面积达1000平方米),以及9间采光通透的多功能厅。
1.2客户需求
◆在酒店所属区域全面部署无线网络系统,为顾客及员工提供良好的网络接入服务。
◆所部署的无线网络系统使用过程方便简洁,认证过程不宜复杂,让客客户能够即连即用;
◆所部署的无线网络系统进行无盲点覆盖,重点区域无线信号强度不低于-65dB,洗手间等非重点区域信号强度不低于-75db在餐厅、会议室等密集区域,能够满足高并发、无延迟的无线服务。
◆无线用户终端移动时,满足无缝漫游,可在不同AP间自由切换,用户无感知;
◆提供简单方便的运维工具,能够在后续无线网络的运维中较少工作量,提高效率。
1.3项目难点分析
Ap规格选型:所有场所需要进行无盲点覆盖,酒店装修豪华,墙体布局复杂,对信号的衰减严重。
认证体验:认证过程中,在展示酒店信息的同时,不能有其他过于繁琐的认证操作,导致用户使用的不便,且需要满足公安82号令对于公共场所无线用户的实名认证需求。
用户区分:覆盖的无线网络,除了提供给酒店顾客使用的同时,也要能够让员工使用,但员工的使用需要与用户网络严格区分开,避免影响客户使用。
高并发:酒店有9个多功能会议厅及1个超过1000平米的大会议厅,能够提供高密度、高并发的用户数与流量。
运维难:传统无线网络的运维难度大,对于专业技能要求高,导致用户使用体验差。
二、解决方案
2.1网络拓扑
2.2设计说明
设备的选型:客房内,釆用面板AP进行覆盖,美观易部署,同样适用于酒店旧网络改造项目,并减小与其它信号干扰的可能性。空旷区域采用大功率吸顶AP进行覆盖,保证覆盖无盲区。高密度区域采用11 ac wave2吸顶AP进行覆盖,保证相同面积区域能够接入更多无线终端,保证更低的传输延迟。
无线认证:无线认证采用微信一键认证,满足公安要求的前提下,简化认证步骤,并满足整个酒店区域无感知漫游。
用户区分:同一套硬件上,通过LAN划分出多个业务网段,配合多SSID发射多个无线信号,让客户与员工网络区分并隔离,并对不同用户群体做不通行为管控,保障客户的无线体验。
统一供电:无线网络设备均采用802.3af/at标准POE供电,让设备运行更稳定,无线接入点采用(FIT AP)瘦模式;
运维平台:全息AI弱电网络综合平台集无线AC控制器+网络运维平台,无线AP统一管理、无线上网认证、酒店广告推送、自动网络拓扑图、可视化管理、故障实时告警、远程运维等手段,能够大大减低运维成本、提高故障解决效率。
三、方案特色
3.1简单便捷的认证方式
连接WIFl,自动弹出 Portal认证页面,点击关注按钮,关注微信公众号即可上网,简化了传统短信密码的认证方式,满足公安82号令对于实名认证的要求的同时,能够引导用户关注酒店官方微信,达到后续营销的目的。
3.2可视化运维
AP位置可视化
设备安装位置的可视化,通过3D/2D的展现方式清晰的展示在面前,对比传统AP位置的寻找大大提高了效率。同样也通过AP颜色的标识能够快速分辨出运行异常或高负载的设备。亦能简单快速的从可视化界面获取到无线AP的运行状态、信道冲突情况、AP上弱终端设备、钓鱼WF等常见无线问题。
网络拓扑可视化
平台将识别出来的所有前后端设备及网络设备,自动绘制生成全局动态网络拓扑,将网络的组网架构、设备连接关系、AP接入的位置及状态、链路的上下行流量等信息清晰的呈现在拓扑图上,实现对全网设备组网可视化管理。
交换机的端口可视化
交换机的端口可视化,能够让运维人员快速了解每台交换机设备的设备信息,交换机每个端口所连接的终端信息与POE交换机端口供电信息。
3.3更智能的WIFI
信道及功率智能调节
酒店无线网络环境虽然架构清晰眀了,但可能存在外部环境复杂,周围可能会有新增的无线热点对酒店无线网络产生干扰,同时酒店运维人员无法时时刻刻的监控无线网络的整体运行情况,那么无线智能调节就相当于必要了。
万网博通全息AI弱电网络综合平台,通过平台信道自动扫描技术和智能算法,系统能对有信道冲突的AP进行告警提示,并根据周边的干扰源推荐最佳的信道配置建议,最大程度保障信道规划的合理性,保证网络的稳定运行。冋时还能根据周边A的实时功率情况,推荐最佳的功率配置建议,让每个AP在即尽可能的避开同频干扰的同时,又能最大程度覆盖无死角。
低速率终端检测
智能无缝漫游
在酒店环境中,客人从进门的前台大厅到走廊再到房间中是一个移动的过程,手机等终端是在不断移动的,万网博通全息AI弱电网络综合平台能自动侦测终端信号的实时情况,保障终端在移动的过程中能在多个AP之间进行无感知漫游切换,达到流畅的上网体验。
智能负载均衡
在酒店大厅、会议室、餐厅等密集性场景中,系统可自动根据各个AP的负载情况,通过智能算法去合理调度周边临近AP的负载用户数,以保证每个AP负载用户数相同,及稳定的上网体验。
3.4更安全的WIFI
空口加密
通过WEP、TKP和AES加密技术,为接入用户提供完整的数据安全保障机制,确保无线网络的数据传输安全,防止数据被窃听。
钓鱼WIFI检测
适时检测到附近的异常无线热点,如附近存在钓鱼AP,会立即生成严重告警提醒网络维护人员,提升网络的安全质量
黑白名单
全息AI弱电网络综合平台支持用户黑白名单设置,可一键阻止非授权用户连入无线网络,也可以一键允许授权用户无须认证直接连入无线网络。
虚拟无线分组
通过虚拟无线接入点( Virtual Ap)技术,整机可最大提供16个不同的WIFI名称,并且支持绑定不同的VLAN,网管人员可以对使用不同WF名称的信号分别实施加密和隔离,并可针对每个WF名称配置单独的认证方式、加密机制等。
面板AP安全设计
部分面板AP上的具有两个物理端口,如果接线错误形成了环路,将会导致整个无线网络瘫痪,全息AI综合管理平台可以环路自动检测,如果AP岀现了环路,平台将自动禁用一个物理端口,阻断环路保障无线网络的正常运行。
提供面板AP的同时,能够提供有线网络接口,往往因为客户的不恰当使用,容易出现DHCP冲突、IP地址冲突等问题。通过全息AI平台的智能运维,能够实时监测到此类故障,产生告警,并定位到具体故障位置,结合 DHCP Snooping与环路自动处理,完全能够避免因客户使用有线网络不当导致的问题。
防ARP攻击设计
酒店网络中典型的恶意攻击包括DDOS攻击、PING攻击、ARP欺骗攻击,DDOS攻击、PING攻击等洪泛攻击可以使主机资源被耗尽,从而达到攻击的目的致使服务器瘫痪、无法访问的情况。
通过在无线层面的攻击检测技术,可以防止各交换机端口、各AP客户端直接广播互通,有效预防AP接入资源、服务器等资源被耗尽。同时,不影响其他终端的正常接入。
现场图: