做酒店WiFi项目的人应该都有这个体会:同样一套认证系统,在A酒店跑得顺,搬到B酒店就各种问题。不是设备不行,也不是系统有bug,而是部署架构和配置方式没有根据现场情况做适配。
酒店场景有几个天然的复杂度。第一是建筑结构差异大——有的是一体式大楼,有的是分散式别墅群,有的是老建筑改造,无线信号的覆盖方式和AP部署密度完全不同。第二是客房的网络需求在时间上高度集中,晚上七八点到十一点是认证的高峰期,如果WiFi认证系统的部署架构在设计时没有考虑这个峰值负载,高峰期就会出现认证超时、Portal页打不开的情况。第三是很多酒店同时有客房网、办公网、会议网三套网络,认证策略要不要统一、怎么隔离,往往没有在项目初期就想清楚。
集中部署还是分布式部署,这是第一个要拍板的决策。
集中部署的意思是把认证系统的核心服务放在一个节点上,所有AP的认证请求都打到这个节点。好处是管理简单、配置统一、数据集中,适合单栋大楼型的酒店或者管理方希望统一管控的场景。但这种架构有一个隐含前提:网络连通性要稳定。如果某个区域的AP到中心节点的链路质量差,认证延迟就会上升,用户体验直线下降。我们在实际项目中遇到过这样的情况:酒店地下停车场也有WiFi覆盖,客人到了停车场手机会自动连WiFi弹出认证页,但因为停车场AP到机房的链路走了好几级交换机,延迟偏高,Portal页加载要七八秒,客人早就关掉了。
分布式部署则是每个区域或者每栋楼自建一个认证节点,好处是本地认证延迟低、网络链路依赖小,各区域之间故障隔离。缺点也很明显:管理成本高,配置同步容易出问题,版本升级需要逐台操作。这种架构适合度假村、园林式酒店、多栋分散建筑的大型酒店。实际交付时我们发现,分布式部署最大的挑战不是技术,而是运维能力——如果酒店自己的IT团队不具备管理分布式系统的能力,上线以后出问题的概率比集中式高很多。
很多时候,混合架构反而是最优解。核心的认证数据库和计费引擎集中部署,保证数据一致性;认证网关在每个区域本地部署,保证认证速度。认证网关把请求处理后,异步同步到中心数据库。这种架构兼顾了性能和可管理性,但需要在设计阶段就对数据同步的频率、冲突处理策略、离线缓存机制做清晰的约定。
网络规划是第二个容易被低估的坑。
酒店WiFi认证通常需要把未认证用户隔离在一个受限网络里,只能访问认证服务器和Portal服务器,其他流量全部拦截。这个隔离靠的是VLAN划分和ACL策略。问题出在:很多酒店的交换机和AP是分批采购的,品牌型号不统一,VLAN的配置习惯和命名规则不同。如果WiFi认证系统的部署工程师不认真检查每台设备的VLAN能力,上线后就可能出现"这个区域的客人能弹出认证页,那个区域的完全弹不出来"的情况。
一个实用的做法是在部署启动前做一次全量网络拓扑的梳理:把所有接入交换机、汇聚交换机、核心交换机的VLAN配置和端口模式全部拉一遍,确认每一台设备都支持802.1Q VLAN tagging,确认trunk链路的native VLAN没有冲突。这个工作量不小,但做完之后部署阶段的麻烦会少一半。
还有一个细节:很多酒店会在公共区域(大堂、餐厅、会议室)和客房使用不同的SSID,但认证策略又希望统一管理。这时需要认证系统支持多SSID绑定同一个认证策略组的能力,而不是每个SSID单独配一套——后者不光配置工作量大,策略不一致时还容易出现客人投诉"为什么大堂网速比房间快这么多"。实际上两者的带宽分配策略可能不同,但认证层需要让用户感觉到一致性。
认证网关的选型和放置位置也需要认真考虑。
认证网关放在核心交换机侧还是放在接入层,直接影响认证效率和故障影响范围。放在核心侧,单点性能压力大但管理方便;放在接入侧,性能分散但需要部署更多设备。在中等规模的酒店(150-300间客房),通常的做法是把认证网关放在汇聚层,做一个二层转发加认证拦截的折衷。对于超过500间客房的酒店,建议考虑在接入层部署轻量级认证代理,把完整的认证逻辑放在核心层,避免单点瓶颈。
另一个实际问题是:认证网关的硬件选型不能只看吞吐量的标称值。厂商标称的吞吐量通常是在理想测试环境下的数值,实际部署中因为有ACL策略匹配、NAT转换、日志记录等额外开销,实际能支撑的并发认证数通常只有标称值的60%-70%。如果酒店在节假日或者大型会议期间有客流高峰,认证并发可能达到平时的3-5倍,网关的规格要按这个峰值来预留,不能按平均负载来采购。
上线后的配置校验,不能省。
很多项目在部署完成后就急着验收,配置校验做得非常粗糙——拿两三台手机在不同位置连一下,能弹出认证页就算通过。但正式运营后问题会从各种角落冒出来:某个区域的Portal页重定向被浏览器缓存干扰导致重复认证、某款老手机的浏览器不支持HTTPS Portal而导致白屏、某层楼的AP在漫游切换时认证状态丢失……这些问题的共同点是:如果只在少数设备上测,根本发现不了。
我们建议的配置校验至少覆盖这几个方面:用5-8种不同品牌、不同系统版本的手机和笔记本,依次在酒店的每个覆盖区域完成完整的认证流程(连接WiFi、弹出Portal、输入认证信息、认证成功、正常上网),记录每个区域的认证耗时;模拟漫游场景,在走廊里走动让设备在不同AP之间切换,确认认证状态不丢失;用网络测试工具验证未认证状态下的访问隔离是否正确,确保只能访问认证服务器而不能访问外网;检查认证日志的记录完整性,确保每条认证记录都包含必要的时间戳、设备MAC、认证方式、结果状态。
酒店WiFi认证系统的部署不是一个纯技术活,它需要结合酒店的建筑特点、客流规律、IT运维能力来做方案选择。没有一套部署架构能通吃所有场景,关键是在项目启动时把现场情况摸清楚,在方案设计时把各种可能性想透,在配置校验时把测试场景做完整。这三个环节做到了,后期的运维压力会小很多。