酒店宾馆WiFi认证:老酒店改造无线认证的几种典型架构
老酒店改造WiFi认证系统,比新建酒店的难度大得多。新建酒店可以在设计阶段就把网络布线、设备选型、认证架构规划好,老酒店只能在现有网络基础上做改造,受到的制约多。有些老酒店的交换机还是十多年前的型号,不支持802.1X认证;有些酒店的墙体内没有预埋网线,AP部署只能走明线;有些酒店的机房空间太小,放不下新增的认证服务器。改造项目要在这些约束条件下找到可行的认证架构方案。
旁路部署:改动最小的方案
旁路部署是老酒店改造中最常用的方案。核心思路是在现有网络旁边旁挂一台认证网关,不改变原有网络拓扑。住客的流量经过现有交换机和AP到达认证网关,网关判断终端是否已认证,未认证的终端重定向到Portal页面,认证通过后放行。这个方案的好处是不需要替换现有交换机和AP,改造成本低,施工周期短。坏处是认证网关可能成为单点故障,且所有流量都要经过网关,网关性能直接影响网络速度。
旁路部署适合网络设备老旧但还能用的老酒店。我们在一个二十年楼龄的宾馆改造项目中用了这个方案,原有交换机不支持802.1X,但支持端口镜像和策略路由,通过策略把未认证终端的流量引流到认证网关,认证通过后再放行。整个改造只加了一台认证网关设备,原有网络设备全部保留,施工两天就完成了。缺点是认证网关处理能力有限,高峰期并发量大时会有延迟。
串接部署:控制力更强的方案
串接部署是把认证网关直接串接在网络链路中,所有终端流量必须经过网关。这种方案的认证控制力更强,可以做更精细的流量管理和策略控制。但串接部署的风险也更大:网关一旦故障,整个网络中断。老酒店的住客对网络中断的容忍度很低,尤其是商务客人,断网十分钟就会投诉。所以串接部署通常需要做双机热备,两台网关一主一备,主设备故障时自动切换。
串接部署适合网络质量较差、需要精细控制的老酒店。有些老酒店的原有网络混乱,VLAN划分不合理,广播域过大,串接认证网关的同时可以重新规划网络分段。但串接部署的施工量比旁路大,需要修改网络拓扑,可能涉及割接,对酒店的正常营业有影响。建议在低峰期施工,并做好回退预案。
云端认证:免机房的方案
有些老酒店的机房条件实在太差,没有空间放服务器,没有空调,供电也不稳定。这种情况下,云端认证是一个可行的选择。认证服务器部署在云端,酒店本地只放一台轻量级认证网关,负责与云端通信。住客的认证请求通过网关转发到云端,云端判断后返回放行指令。这个方案的好处是酒店不需要改造机房,云端服务器由专业团队维护,稳定性和安全性有保障。
云端认证的顾虑主要是网络延迟和带宽。认证请求需要往返云端,如果酒店到云端的网络延迟高,住客会感觉认证慢。另外,如果酒店出口带宽不够,高峰期认证请求排队也会影响体验。选择云端认证时,要测试酒店到云端的实际网络质量,确保延迟在可接受范围内。有些云端认证服务商在国内多地有节点,可以选择离酒店最近的节点部署。
改造方案选型的关键因素
老酒店改造认证系统,选型时需要考虑几个关键因素:预算、施工周期、运维能力、住客规模。预算有限的选旁路部署,施工周期紧的选旁路或云端,运维能力弱的选云端认证(由服务商托管),住客规模大的选串接部署(性能更好)。没有哪个方案绝对好,只有哪个方案更适合具体酒店的实际情况。改造前建议做一次网络摸底测试,搞清楚现有设备的型号、性能、布线状况,再决定采用哪种架构。
老酒店改造还有一个容易被忽视的问题:住客的上网习惯已经养成,改认证方式会引发抵触。有些老酒店原来不需要认证,住客连上WiFi就能上网,改造后突然要认证,住客觉得麻烦。尤其是一些老年住客,对手机操作不熟悉,短信验证码都搞不清楚。改造项目要考虑住客的接受度,可以设置过渡期,过渡期内认证和非认证并存,让住客逐步适应。同时在客房放置操作指引卡片,用图文步骤说明认证流程,减少前台的咨询压力。


