《酒店WIFI无线覆盖方案.docx》由会员分享,可在线阅读,更多相关《酒店WIFI无线覆盖方案.docx(40页珍藏版)》请在三一办公上搜索。
1、 中茵皇冠假日酒店无线网络解决方案苏州中茵皇冠假日酒店无线网络整体解决方案目录一.项目背景2二.无线网络整体设计方案32.1.无线网络总体描述32.2.无线网络组网方案42.2.1.AP电源的供给42.2.2.分布式的AP部署42.2.3.提供灵活的多业务支持(Multi-SSID)62.3.AP的集中管理与自动配置62.4.基于用户身份的管理72.4.1.用户认证及加密72.4.2.基于策略的用户访问控制92.4.3.用户漫游及QoS保障92.4.4.用户动态负载均衡92.5.无线信号监控102.5.1.无线信号自动优化与调整102.5.2.非法信号的侦测、告警102.5.3.非法信号的主动
2、反制112.6.无线网络的可扩展性122.7.目标区域无线覆盖示意图122.7.1.无线覆盖示意图122.7.2.无线网络设备汇总表192.7.3.无线接入点安装说明19三.实施方案213.1.拓扑结构213.2.设备选型和配置223.3.无线交换机连接223.4.接入层AP部署233.5.用户接入策略23四.方案优势24五.附件:主要产品介绍255.1.Trapeze Network Mobility Exchange System255.2.Trapeze Network Ring Master Software System315.3.Trapeze Network Mobility P
3、oint -MP-42235一. 项目背景苏州中茵皇冠假日酒店前身为新苏国际大酒店,作为苏州首家五星级酒店,自1997年开业以来,曾接待过众多中外首脑、明星艺人、国际友人,为苏州经济文化的快速发展、提升苏州国际化水平做出了很大的贡献。苏州中茵皇冠假日酒店与全球最大、分布最广的资深酒店管理机构英国洲际酒店集团合作经营管理,将酒店品质进一步提升。近年来,酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天,作为高星级酒店,如何在同业竞争中永远领先一步,为客户提供更全面周到地服务,已经成为亟待解决的首要问题。在网络技术
4、高速发展的今天,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店中大显身手。Trapeze Networks做为全球领先的无线网络公司,曾为迪拜七星帆船酒店、丹麦Hotel Propellen、瑞士Lausanne Palace Hotel & Spa等国际著名酒店集团构建高速无线网络。Trapeze Networks公司很高兴能为苏州中茵皇冠假日酒店设计Smart Mobile智能无线网络。二. 无线网络整体设计方案Trapeze无线网络系统主要由以下三部分组成: 无线交换机(Mobility Exchange S
5、ystem) 无线网络交换机管理系统(Ring Master Software System) 无线接入点(Mobility Point)2.1. 无线网络总体描述无线网络组网拓扑示意图接入网络部分:无线覆盖区域物理分布在酒店客房楼层内,具体部署方式请参阅2.7章节目标区域无线覆盖示意图。无线网控制、管理部分:在网络核心层,我们采用了目前基于最先进的第三代无线网络技术的无线交换机对整个无线网路进行统一的管理。采用一台Trapeze MX-200型无线交换机对全网AP进行集中管理和控制,各覆盖区域内AP通过有线网络连接至MX-200无线交换机,实现了无线集中控制。无线网络管理部分:Ring Ma
6、ster是Trapeze Network公司推出的无线网络交换机管理系统,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容了Trapeze Network的路由器、以太网交换机设备组网,提供对 AP、交换机和控制器的全面控制以优化网络并增强安全性。2.2. 无线网络组网方案2.2.1. AP电源的供给对许多网络系统的设计来讲,当建筑中某些区域的用途不确定或布线施工难度较大时,部署无线接入点(AP)是十分必要的解决方案。但是,十分具有讽刺意义的是,在大多数情况下,无线接入点仍然需要电源,这就削弱了无线局域网的优势。而且,在安装时,我们不得不考虑电源插口是否存在,以及连
7、接是否可靠,电源是否会从墙板上脱落等不确定因素。为了解决这上述问题,我们在本次无线网络项目建设中采用Trapeze MP-422型AP。对于MP-422型AP支持IEEE802.3af标准的PoE供电,因此可以通过位于各个楼层内的POE交换机为每一个MP-422型AP供电。2.2.2. 分布式的AP部署目前,随着网络应用和数据量的急剧增长,为了减少广播包对网络性能的影响,普遍采用的解决方法是采用VLAN技术进行子网划分,通过三层交换技术对各子网进行路由交换;另外,在酒店进行有线网络建设时也考虑到将来可能会有扩展,在有线信息点、光纤和交换机端口等资源上都留有余量,因此在进行无线网络建设时,酒店网
8、络中心希望建成的无线网络系统能够尽可能利用原先的网络资源,以降低工程造价和施工周期,因此一般采用AP就近接入空余的接入层交换机端口上,采用无线网络与有线网混合组网方式。由于有线网的固定性,一般采用根据楼层或楼宇方式进行子网划分,而无线网络必须承载于有线网络之上,因此,造成所接AP也分别划到各个子网之中,造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”,这种“网络孤岛”在实际应用中会存在以下问题:1. 不能实现全面的、统一的全网级的管理策略2. 不便于无线网络业务的划分3. 不能实现无线网用户的漫游4. 对无线接入点无法做到集中管理、统一配置和固件升级为了解决传统有线与无
9、线混合组网存在的上述问题,采用一种被称作“THIN AP”代替传统AP的方法来解决这一问题。本方案中采用的是Trapeze MP-422型AP,并配合Trapeze MX-200型无线交换机进行组网。MP-422型AP本身不带任何软件及配置,当AP在加电后,AP通过广播、DHCP或DNS方式来获得位于网络骨干上的无线交换机MX-200的IP地址信息,AP在得到无线交换机地址之后,便采用CAPWAP协议与无线交换机MX-200取得通信,随后由无线交换机MX-200将AP运行所需的固件以及AP的相关配置发送给AP,AP收到这些信息后,随即进行系统启动并根据无线交换机提供的配置进行自身参数的配置。在
10、AP启动完毕后,AP与无线交换机MX-200之间采用TUNNEL方式进行互连,用户的数据包在进入AP后,被AP重新封包进入该TUNNEL传入无线交换机MX-200,由于数据全部被封入TUNNEL,用户的数据并不因AP与无线交换机之间跨了路由而改变路由路径,从用户角度来看,用户的数据直接跨越了层层路由,直接进入了无线交换机,无需改变现有网络拓扑结构、也无需考虑协议兼容性,从而实现了拓扑无关的组网。采用“THIN AP”组网的优势在于:1. AP与无线交换机之间建立跨越路由的TUNNEL,从而将无线业务与有线网络策略区分开2. “THIN AP”运行所需的固件及配置在启动时由无线交换机动态下发,轻
11、而易举的实现了传统“FAT AP”方案无法动态升级AP固件和配置的问题由于采用THIN AP的组网方式,即使是在分布式网络中,彼此被子网路由隔开了的AP也可作为一个整体结构运行,以便于按需扩展或修改无线局域网。2.2.3. 提供灵活的多业务支持(Multi-SSID)早先,由于技术及成本的制约,AP只能提供单一SSID,因此要想在使得无线网所能提供的服务均混合在一个服务集之上,无法实现业务的区分,无法支持QoS,不同权限用户的隔离;随后出来的第二代产品诸如Cisco Aironet系列AP,支持广播最多16个SSID,并可以对每一个SSID分配不同的认证、加密、QoS和VLAN策略,用户一旦连
12、接上一SSID后,可以被赋予该SSID所提供的属性,但是由于用户的属性受到所连SSID的制约,第二代的这种基于SSID的业务策略属于静态的策略,因此无法实现基于用户的策略控制。本方案提供的Trapeze系列无线系统,MP-422最多支持64个SSID,并且可以根据用户属性,动态的分配用户认证方式、加密方法、QoS及所属VLAN,实现了基于用户的动态业务策略。基于用户的动态业务策略能够实现全网范围的漫游,而不用考虑所在地点的AP是否支持这些策略,从而让无线网业务系统功能更多、更为灵活。2.3. AP的集中管理与自动配置在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、
13、监控以及AP自身固件的升级。由于传统AP是一种称作为“FAT AP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于酒店网络的复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。而采用Trapeze Mobility System架构下的无线网络,AP是一种被称作“THIN AP”的结
14、构,由于AP本身没有任何需要配置的参数,同时AP与中心无线交换机之间采用CAPWAP协议进行通信,AP的固件、配置信息均由中心的无线交换机MX-200提供,并且AP与Trapeze无线交换之间采用“心跳”机制定时保持通讯,为了解决传统“FAT AP”能够集中管理、配置、升级AP;AP与Trapeze无线交换机之间采用“心跳”机制,定时保持通讯,中心网管系统能够非常及时的了解AP的工作状态,并将工作状态直接反映给Trapeze RingMaster网管系统,RingMaster工作状态,并记入日志,以被日后查验。2.4. 基于用户身份的管理2.4.1. 用户认证及加密众所周知,无线网络采用电磁波
15、作为传出媒介进行数据传输,而电磁波由于可以穿透建筑物而泄漏到外部空间,因此对于无线网络的安全策略就不能采用有线网的思路,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。目前国际上比较流行的方法是对用户进行身份的认证以及认证成功后要对用户数据加密来反制非法入侵。Trapeze Mobility System支持国际最为先进的认证及加密技术:l 多种认证方式:支持基于数字证书的强安全认证方式RSN(WPA2,IEEE802.11i)、WPA;同时也兼容一些使用较为广泛的WebPortal认证及MAC认证,以便于临时来访用户的接入l 数据加密:1. 多种加密方式:借
16、助于 Trapeze MP-422AP执行高级加密标准 (AES)、临时密钥交换协议 (TKIP) 以及有线对等加密 (WEP) 加密有助于保护所有的通信连接。2. 每用户的加密分配:对每用户或每组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。2.4.2. 基于策略的用户访问控制Trapeze Mobility System不仅支持丰富的安全认证及加密方法以外,还提供基于用户身份的服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正
17、在使用哪些服务以及他们曾经使用过哪些服务。2.4.3. 用户漫游及QoS保障由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,该过程一般需要300500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话
18、进行完整性保持。而在本方案中,我们采用Trapeze Mobility System方案,该方案也无线交换机为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线交换机中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线交换机所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。另外,Trapeze Mobility System还率先支持WMM(Wireless Media-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。2.4.4. 用户动态负载
19、均衡传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。Trapeze MX-200无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较
20、弱的AP,从而实现了负载均衡,保障了网络的畅通。2.5. 无线信号监控2.5.1. 无线信号自动优化与调整传统“FAT AP”组建的无线网络,在建设初期,需要对无线频谱及channel和发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。采用Trapeze Mobility System解决方案,支持RF Auto-Tune技术。MP-422 AP可以监听、扫描所在空域中的信号强度和使用量,并将数据传送至位于核心的Trapeze MX-200
21、无线交换机上,MX-200根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,MX-200可以动态改变该区域内相关AP的发射功率;当AP报告该区域内有相同信道信号时,则可以动态调整相关AP,以避开信道的重叠。Trapeze Mobility System的RF Auto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。2.5.2. 非法信号的侦测、告警感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的
22、网络性能与安全非常必要。采用Trapeze MP-422企业级AP组合,能够支持两种模式来对非法电磁信号进行监测:一种方式为MP-422AP在做Data AP的同时,每隔一段时间主动进行ActiveScan;另一种方式为MP-422本身支持双频信号(IEEE802.11a/b/g),若平时只使用IEEE802.11b/g一个频段,则可以将802.11a频段用于监听,(称之为SentryScan)与前一种方式不同的是,此种方式为连续监控。Trapeze MP-422型AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址, Channel,类型及SSID等,自动识别
23、并警告未授权的AP或Ad-Hoc网络,以避免潜在的干扰或与无线入侵者。另外,对于某些重点区域,还可以部署专用 AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。2.5.3. 非法信号的主动反制当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的Attack list中,当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出IEEE802.11 disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上,保证了用户的数据安全。2.6. 无线网络的可扩展性采用基于Trapeze Mobility System系统
24、架构下的无线网络解决方案,不仅提供了完善的基于用户的控制策略、安全认证和数据安全加密机制,还保持着良好的网络可扩展性。Trapeze Mobility System采用了THIN AP无线交换机架构,AP与无线交换机之间通过TUNNEL进行通讯,无需改变现有网络拓扑结构,也无需考虑协议兼容性,实现了拓扑无关的组网,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。2.7. 目标区域无线覆盖示意图无线覆盖区域物理分布在酒店的两栋建筑物,一区和三区。三区客房楼层(1-8层),会议室,游泳池以及一区的中餐厅,贵宾室,宴会厅等区域,其中一区三层以及三区地下二层不需要进行无线覆
25、盖。 2.7.1. 无线覆盖示意图按照覆盖区域的客房分布情况,分为以下几个部分。1、一区地下一层:需要覆盖宴会厅的全部范围,将AP部署在宴会厅的天花板内,具体位置如下图所示:一区地下一层AP部署示意图2、一区地下一层夹层:在夹层内共9个会议室以及一些公共区域需要进行无线覆盖,AP部署在走廊上,具体部署位置如下图所示: 一区地下一层夹层AP部署示意图3、一区一层:一区一层主要对餐厅,大堂等公共区域进行覆盖,AP部署在天花板内,具体部署位置如下图所示:一区一层AP部署示意图4、一区二层:一区二层主要需要对一些贵宾包厢进行无线覆盖,AP部署在走廊上,具体部署位置如下图所示:一区二层AP部署示意图5、
26、三区地下一层:三区地下一层需要对一间大型会议室,一个游泳池,以及健身房进行无线覆盖,AP部署在天花板上,具体部署位置如下图所示:三区地下一层AP部署示意图6、三区地下一层夹层:三区地下一层夹层主要为休息区,以及足疗区,需要对贵宾休息室进行无线覆盖,AP放置在走廊上,具体部署位置如下图所示:三区地下一层夹层AP部署示意图7、三区一层:三区一层主要需要对大堂吧,餐厅,以及运动吧进行无线覆盖,AP放置在天花板上,具体部署位置如下图所示: 三区一层AP部署示意图 8、三区二层到六层:三区的二层至六层为全部为客房,每个楼层的结构都一致,AP放置在走廊的天花板内,具体部署位置如下图所示:三区二层到六层AP
27、部署示意图9、三区七层:三区的七层也为全部为客房,与二层到六层的结构基本一致,AP放置在走廊的天花板内,具体部署位置如下图所示:三区七层AP部署示意图10、三区八层:三区的八层为全部为客房,房型为复式套房, AP放置在走廊的天花板内,具体部署位置如下图所示:三区八层AP部署示意图在现场勘察过程中,我们将AP摆放在规划的位置,在附近的房间内进行信号强度测试,测试结果如下:距离AP较近的房间内距离AP较远的房间内复式房间的楼上2.7.2. 无线网络设备汇总表设备名称安装位置数量数量小计MP-422(无线接入点)一区地下一层2171一区地下一层夹层5一区一层3一区二层3三区地下一层4三区地下一层夹层
28、3三区一层6三区二层至六层105三区七层17三区八层23MX-200(无线控制器)核心机房11SFP-SX(多模光纤模块)核心机房11PD-6512-xx(12口POE交换机)一区地下一层116三区一层1三区二层至八层14PD-6506-xx(6口POE交换机)一区一层12三区地下一层1RingMaster(网管软件含200AP license)核心机房112.7.3. 无线接入点安装说明美国Trapeze Network公司提供的无线接入点设备MP-422配套完整的安装附件,适合多种条件安装需要。美国Trapeze Network公司提供的无线接入点设备MP422配套完整的安装附件,适合多种
29、条件安装需要。下面通过图示的简要说明设备固定方法。 无线接入点MP-422 T型固定件 固定支架 无线接入点可以锁在固定支架上解锁后可以取下无线接入点 利用T型固定件固定在天花板轻钢龙骨上 T型固定件与支架通常用的固定方法 利用T型固定件将支架固定后,可以通过上方的开口处将网线插入无线接入点直接安装在墙体上可以采用底座的方式固定 网线通过预留接口插入无线接入点三. 实施方案3.1. 拓扑结构如下图所示,在整个无线网络系统当中,部署TRAPEZE的一台无线交换机MX-200放置在数据中心, MX-200通过GE端口与核心交换机进行连接;而楼层中的AP通过TUNNEL方式与交换机相连。共部署AP1
30、71个,具体见无线部署示意图。在这样的网络实现当中,AP上用户的流量都将通过AP与无线交换机建立起的隧道,流向无线交换机,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。3.2. 设备选型和配置本次项目采用MP-422。为AP配置了相应的供电模块。设备的型号以及配置见设备清单和报价表。3.3. 无线交换机连接采用一台Trapeze MX-200交换机,放置在数据中心的网络机房, MX-200无线交换机配置支持到192个AP的license,完全满足用户无线覆盖的需求。同时,无线交换机和AP的连接可以穿透三层,因此,方案的实现完全不影响原有网络的结构,并且可以实现全网的漫游。
31、3.4. 接入层AP部署Trapeze方案能够方便的实现跨三层部署,接入层的AP部署只是需要拿到属于自己的IP网络设置和网络中已经部署的MX-200交换机IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度,减轻了AP设置与用户设备以及AP所连接的有线网络配置相杂揉的状况。3.5. 用户接入策略从用户分类与分布情况分析,用户主要分成以下几类:(1)内部员工;(2)Guest用户;使用网络是被分为不同的业务类型,因此,在设计上采用无线局域网多SSID技术,设置多业务区分方式。在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。SSID
32、的最主要用途是可让无线终端以不同的安全认证和加密方式入网。用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID,一个定义为OPEN/Static WEP供客户用,另一个SSID则为TKIP(WPA)专为内部员工使用。另外,可以增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i。SSID可以覆盖全网,也可以只局限于厂区内的某些范围。一般的情况下是全网开通,例如客人(Guest)使用的SSID;但有些SSID则可能只供某些部门使用,所以无线覆盖范围
33、通常只会局限在某些范围内。所以针对无线局域网多种用户的不同业务类型应该采取不同的SSID进行管理和控制。会所内部的员工可以采用专门的SSID,可以采用级别较高的认证和加密手段,对参加会议人员和来访人员可以使用另一个SSID,采用级别相对较低的认证和加密手段,这样就实现了区分的服务。第39页,共40页四. 方案优势1 基于用户的访问控制策略使得用户的权限被映射在整个无线移动域中,而不受用户漫游到其他区域而失效。2 方案支持多种迄今为止最为先进的用户身份认证及安全加密策略,能够有效的防止黑客入侵对网络及用户造成的危害。3 具备完善的无线信号监控与入侵检测功能,能够自动对整个网络进行优化以及防止非法
34、信号的干扰及入侵,保护网络的安全。4 AP部署不受网络拓扑及VLAN子网划分的影响,无需改动酒店现有网络拓扑结构。5 AP支持多达大64个SSID,可以集成更多的业务策略,并保持一定的扩展性。6 系统能够自动对所有AP进行自动固件升级、统一配置及统一优化,并可以对AP进行监控、报警及故障定位,简化了管理和断网维护时间,保障网络的健康稳定运行。7 拓扑无关的组网方案,使得整个无线网络有着更强的伸缩性,为今后网络的升级和扩容提供良好的可扩展性。五. 附件:主要产品介绍5.1. Trapeze Network Mobility Exchange SystemTrapeze Network公司的无线网
35、络交换机(Mobility Exchange System)是无线网络领域发展的必然选择,随着用户的无线网络规模越来越大,给AP管理、无线用户的控制、无线业务的连续运营都带来的一定的问题,Trapeze Network公司鉴于此推出性价比最优的无线网络交换机系统。无线环境的集中式可视化、管理和控制的功能将高安全性、多局域网的无线网络部署工作简化;通过Ring Master无线系统软件管理无线网络交换机和交换机来控制 MP 配置并优化射频 (RF) 覆盖和性能,同时实现集群管理,从而节省单独配置每个设备的耗时。增强的无缝安全性和移动性控制:由于无线客户端是移动的,因此,Trapeze Netwo
36、rk 使用创新的基于身份的组网来提供网络服务。这种方法基于用户身份而非端口或设备。群组与移动域(Mobility Domain)中的多个交换机共享用户数据库,以便跨越整个网络(包括远端局)实现移动性和安全性。当用户漫游网络时,通过这种无线网络范围内的信息交换,以实现在网络范围内执行一致的访问和安全策略。用户位置、安全性以及访问详细信息迅速地在交换机或控制器之间传输,而不再依靠连接,这可在保持无缝安全性和会话完整性的情况下快速漫游,而无需再次认证,在保持会话完整性的情况下快速漫游还可与 Wi-Fi 语音电话进行交互。无线交换解决方案根据Trapeze Network 的加强无线安全性功能建立,以
37、增强对网络的保护。Trapeze Network 的现有无线安全性基础包括与 WPA 和 802.1X 认证结合的 AES、TKIP 以及 WEP 加密,而现在的方案通过集中式安全管理显著增强了无线安全性。在移动域(Mobility Domain)内进行基于用户的信息交换增加了一个全新的控制级别,用于控制用户和组对网络资源的访问权。此外,当用户漫游时,在无线交换机之间共享用户特定的安全策略将能够在整个无线网络范围内一致地控制用户属性和组属性。可以在任何现有的 2 层或 3 层 LAN 拓扑上部署Trapeze Network 的通用解决方案,而无需重新配置主干或硬件。无线网络交换机可以位于网络
38、中的任何位置(通过 2 层/3 层设备隔开),并可作为集成的基础设施执行操作,从而易于按照业务需求的指示进行调整或更改。MX-200是美国Trapeze Network公司 Mobility Exchange System系统中的一员。MX-200提供两个GigE (SFP) 千兆光模接口,可以集成双PSU电源可实现电源热备份。其初始配置包含 32 台 MP(Mobility Point)许可证,并且可以在每次递增 32管理许可证的基础上进行扩展,从而具有“按需购买,渐进扩展”的灵活性,最多支持 192 个 许可证。多个MX-200可以在移动域(Mobility Domain)内搭配并配合使用
39、,以管理和控制数以千计的 MP,从而获得无可比拟的可扩展性。目前,Trapeze Network 无线网络交换机已经支持未来的无线网络业务应用,例如无线 IP 电话 (VoIP),并且可下载的升级软件将使现有网络与正在开发的标准版本保持同步。Trapeze Mobility Exchange System-MX-200移动域(Mobility Domain):当用户漫游时这些组共享用户信息和授权,从而跨越整个无线网络支持移动性并增强安全性。拓扑无关性:即使是在分布式网络中,无线网络交换机以及 MP也可作为也作为一个整体结构(通过 2 /3 层设备隔开)运行,以便于按需扩展或修改无线局域网。 快
40、速漫游:用户信息和授权在无线网络移动域(Mobility Domain)内快速交互,满足用户在保持会话完整性及可靠移动性的前提下实现无缝漫游,从而足以支持语音流量。 每个用户多个队列:MP上基于分类的流量队列,确保语音和其他实时应用程序通过 无线网络 收到其所需的服务等级和服务质量。灵活的网络扩展:无线网络交换机MX-200初始配置支持32个MP,单台MX200可通过购买许可证的方式扩展到最多支持192个MP。支持POE:无线网络交换机支持POE功能,从而使MP的安装部署非常灵活、方便。加密:l多种加密方式:借助于 MP 执行高级加密标准 (AES)、临时密钥交换协议 (TKIP) 以及有线对
41、等加密 (WEP) 加密有助于保护所有的通信连接。l基于用户的安全策略:对单个用户或组执行不同的安全策略,以便进行灵活、深入的安全控制和管理。本地或 RADIUS 服务器 802.1X认证:确保只有授权的用户才可访问网络,集中了所有网络用户的认证控制和管理。Virtual Private Group 支持:在整个无线网络上分配可控制单个用户或组的网络访问权策略以进行安全无缝漫游,并保持用户数据流的独立性和安全性。Mobility Profile :指定用户或组可以使用的 MP 或 VLAN 认证端口,从而允许根据由 AAA 服务器返回的属性动态地应用访问权限。本地集成AAA减轻RADIUS服务
42、器负担:MX-216R-CN支持本地密钥生成和认证,减少无线网络中AAA数据流量,从而减轻中央RADIUS服务器的负担,提高其容量和效率。用户、MAC 以及 VLAN组:允许将 AAA 策略分配给用户、子网或设备组,以便进行方便、有效、高性价比的 无线网络 管理。 联合认证:使用 802.1X 设备认证和 802.1X 用户认证,确保只有受信用户和客户端设备才可访问网络。 定制网络访问时间:可以设定用户在预定时间单位(小时、日、周)访问网络资源。位置策略增强:可以设定基于用户位置的访问策略。AP入侵检测:预设定的或按需的射频扫描可识别未授权的 AP 和 Ad-Hoc 网络,并向管理员发出警报。
43、专用 AP 可以不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。双频射频扫描:当无线网络停止和运行时,单个 AP 射频可以扫描 802.11a 和 802.11b/g 频段以及随路信道。实时射频监视和控制:射频扫描可测量信号强度和使用量;软件工具可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。基于身份的组网:提供基于用户身份的所有服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们
44、曾经使用过哪些服务。 无线网络交换机管理:无线网络交换机管理系统 (Ring Master) 可以集中、有效、低成本地计划、部署、监视和管理无线网络网络。企业级别的弹性功能:与位置无关的自恢复拓扑、每 VLAN 生成树协议 (PVST+) 以及冗余 MP 配置增加了网络弹性,可用于要求严格的网络。RADIUS 服务器负载分担:跨多个 AAA 服务器的分布式用户认证处理增加了网络弹性;可以设置服务器来跟踪指定的用户会话和计费信息,以便解决拖欠收费问题。电源热备份:MX-200可以配置为双冗余电源,可实现电源的热备份。两个光接口:MX-200提供两个光(SFP模块)方便到千兆以太骨干网和服务器的连
45、接。硬 件 可用端口:- 两个Gigabit Ethernet Small Form-Factor Pluggable (SFP) 端口,可选配 1000BASE-SX /1000BASE-LX /1000BASE-T SFP模块;串行控制台端口; MP(Mobility Point)支持:无线网络交换机 MX-200:每个控制器出厂时可最多支持 192台 MP,具体取决于无线安装的容量和覆盖范围要求。 电源:工作电压: 100-240 VAC, 50-60 Hz,50 watts power supply (x 2 in MX-200U)工作电流: 1.0 Arms at 120 Vrms,
46、 0.5 Arms at 230 Vrms LED:端口状态和流量(以太网和 GBIC)、管理、电源; 尺寸和重量:物理尺寸(W x D x H): 44.2 cm x 30.7 cm x 4.3 cm 环境范围:运行温度:-10 至 50 C;非运行温度:-20 至 70 C;湿度:10 至 95%(不结露)。 国际认证:安全: UL 60950 2000 +ZB & ZC 认证;EN60950 1999; CSA 22.2 60950 第3版, 1995; UL 60950 第3版;NOM-119 SCFI; AS/NZS 60950 2000;EMC/EMI: EN55024 1998, EN 61000 (4-2 到 4-6, 以及4-11), EN 61000-3-2 1195+A14, ICES-003 Class A,FCC Part 15 Class A, EN55022 1998 Class A,VCCI Class A, CISPR 22 Class A, 韩国EMI