基于锐捷无线设备的酒店网络升级方案设计
2021-07-19徐俊梅孔星星
徐俊梅 孔星星
摘要:本方案主要是针对酒店早期设计的无线网络进行升级和优化,具体体现在覆盖率提高,无线信号强度提升,对于使用频率较高的位置及盲点位置,要在不同的区域使用不同的方式进行部署安装,满足不同场合所需求,达到最优的体验效果,同时要保障整个网络和入网用户的安全。主要体现在:1)保证无线覆盖区域内的信号强度,重点保证客房,餐厅,休息区等区域的无线信号强度;2)保证覆盖区域内无线使用效果,要考虑无线信号干扰、无线漫游等;3)重点考虑使用频率较高的公共区域的覆盖效果;4)为避免单点故障,可以使用集群技术AC-1为主用,AC-2为备用,以此进行冗余设计;5)启用Web认证;6)网络安全,锐捷ARP欺骗防范技术。
关键词:无线网络;覆盖率;冗余;无线AC;无线AP;升级优化;安全
中图分类号:TP391 文献标识码:A
文章编号:1009-3044(2021)13-0055-04
旅游、商务活动、大型体育比赛等因素带动了酒店业近年来的快速发展。现在的酒店,提供宽带上网已经是基本服务。客户期待着通过酒店带宽网络实现更多的应用:远程办公、网络视频会议、文件快传、享受视频点播、使用酒店特色的信息资源等等。这些需求对酒店服务领域的要求很高,但同时也为酒店的收益提供了机会。服务水平的提高,是酒店行业加强自身建设的重中之重,而随着来自各地商务客户的增加,以及正常生活往来对网络的依赖性,能否提供优质的网络服务成为客户入住的必要考虑因素,因而酒店必须加强优化自己的网络服务。这样,一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益,消费者也享受到优质的服务。
1 建设需求和设计原则
1.1背景
ZG酒店业务不断发展壮大,员工数量快速增长。为了更好管理数据,提供服务,公司决定建設新的网络服务平台。再建立小型数据中心,搭建云计算环境,整合企业计算资源,优化服务效率,增强业务弹性冗余部署目的[1]。考虑到原有无线设备锐捷产品使用效果不错,但现需提高无线覆盖率,并且目前该酒店的锐捷的无线控制器的可管理的AP数量已经超过阈值,需要对AC控制器进行升级[2]。
该酒店决定继续购置锐捷系列的无线产品来进行无线网络的升级,同时考虑移动办公的需求,要在出口区进行来往数据身份审查,流量控制,确保客户和自己稳定安全用网[3]。
1.2建设目标
酒店网是建设一个可实现各种综合网络应用的高速计算机网络系统,向智慧酒店方向发展,将服务区、餐厅区、办公区等区域通过网络连接起来,与Internet相连,具备信息服务、决策系统、自动化办公等功能。
本次优化升级主要对服务区域、餐厅等区域进行无线覆盖,考虑办公娱乐需要、为住客提供无线上网服务,为保证酒店无线网络系统解决方案更加具有可行性。需要对酒店主要区域的无线覆盖情况进行勘测,由于本次是升级增补项目,即在原有网线基础上进行升级,所以需要将目前酒店无线网络建设具体概况,对现有设备的型号、数量、部署方式等掌握清楚以确定各需要覆盖的区域中所需AP数量和安装方式,用以保证设备兼容、做到与现有环境能统一集中管理,从而保证无线网络系统的顺利、可靠、安全的应用。
1.3建设要求
无线网络覆盖要求主要包括以下各个方面:
1)保证无线覆盖区域内的信号强度;
2)保证覆盖区域内无线使用效果,考虑无线信号干扰、无线漫游等;
3)Web认证--对于客户上网需要一定的限制以此保证网络的利用率。
2 方案设计与实现
2.1 网络规划设计
该酒店已有无线设备--AP330-I、AP220-E、WS3302、RG-S2900等锐捷无线设备,但部分设备老化、损坏,已无法满足使用需求,需要继续购买新产品。
网络无线部分设计:酒店的无线接入我们建议使用遵循802.11B/G标准的RG-AP520 AP,共需要RG-AP520 AP98台,需使用九台RG-S2900无线交换机对所有AP进行统一管理。RG-AP520均以RJ45链路连接至各分机房的第一台RG-S2900交换机,RG-AP520 AP的供电可以使用本地供电或使用POE模块集中在分机房进行供电。每台RG-AP520 AP均附赠POE初始模块,对于普通交换机也可以很方便地实现以太网远程供电。九台RG-S2900均以双千兆RJ45链路直接连接于中心机房的两台,客房继续沿用酒店原有设备AP330-I和AP220-E。
RG-S5750,建议其中二台作为管理客户用的RG-AP520 AP,另外一台作为管理内部员工使用的RG-AP520 AP。无线接入客户的IP地址建议均由中心机房DHCP服务器统一分配,酒店也可备用一些无线网卡出租给客户使用。
2.2网络拓扑图
此项工程采用冗余集群的结构,AC-1为主用,AC-2为备用。AP与AC-1建立隧道,当AP与AC-1失去连接时能够和AC-2建立隧道并提供服务。
该网络我们采用了冗余备份设计。网络拓扑如下:
2.3方案实现
Vlan 配置:
Ruijie#configure terminal
Ruijie(config)#vlan 20
Ruijie(config)#interface vlan 20
Ruijie(config-int-vlan)#ip add 192.168.20.2 255.255.255.0
Ruijie(config-int-vlan)#exit
Wlan-config配置,创建SSID
Ruijie(config)#wlan-config 1 Ruijie
Ruijie(config-wlan)#enable-broad-ssid -
ap-group配置,关联wlan-config和用户vlan
Ruijie(config)#ap-group default
Ruijie(config-ap-group)#interface-mapping 1 20
Ruijie(config-ap-group)#exit
Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1
Ruijie(config)#interface vlan 30
Ruijie(config-int-vlan)#ip address 192.168.30.2 255.255.255.0
Ruijie(config-int-vlan)#exit
Ruijie(config)#interface loopback 0
Ruijie(config-int-loopback)#ip address 1.1.1.1 255.255.255.0
Ruijie(config-int-loopback)#exit
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-int-GigabitEthernet 0/1)#switchport mode trunk
Ruijie(config-int-GigabitEthernet 0/1)#end
Ruijie#write
核心层配置:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 10
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 20
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 30
Ruijie(config-vlan)#exit
配置接口和接口地址:
Ruijie(config)# interface GigabitEthernet 0/1
Ruijie(config-int-GigabitEthernet 0/1)#switchport mode trunk
Ruijie(config-int-GigabitEthernet 0/1)#exit
Ruijie(config)#interface GigabitEthernet 0/2
Ruijie(config-int-GigabitEthernet 0/2)#switchport mode trunk
Ruijie(config-int-GigabitEthernet 0/2)#exit
Ruijie(config)#interface vlan 10
Ruijie(config-int-vlan)#ip address 192.168.10.1 255.255.255.0
Vlan20 vlan 30地址配置同上。
配置AP的DCHP:
Ruijie(config)#service dhcp
Ruijie(config)#ip dhcp pool ap_ruijie
Ruijie(config-dhcp)#option 138 ip 1.1.1.1
Ruijie(config-dhcp)#network 192.168.10.0 255.255.255.0
Ruijie(config-dhcp)#default-route 192.168.10.1
Ruijie(config-dhcp)#exit
AC-1和AC-2啟用集群配置:
AC-1配置:
AC-1(config)#interface loopback 0
AC-1(config-if-Loopback 1)#ip address 1.1.1.1 255.255.255.0
AC-1(config-if-Loopback 1)#exit
AC-1(config)#ac-controller
AC-1(config-ac)#ac-name AC-1
AC-2配置同上。
主AC配置:
AC-1(config)#ap-config 0001.0000.0001
AC-1(config-ap)#primary-base AC-1 1.1.1.1
AC-1(config-ap)#secondary-base AC-2 2.2.2.2
AC-1(config-ap)#ap-group ruijie AC-1(config-ap)#ap-name ap220-e
AC-1(config-ap)#end
AC-1#write
主AC-2配置同上。
2.4酒店无线网络设计
该酒店共有十八层,1-2层为大厅,厅内有展厅、办公区、放映厅、餐厅等服务区域,3-4楼为健身房和泳池等运动场所,其余楼层为客房,弱电间位于楼层最右侧。
2.4.1大厅无线设计
大厅布置7个AP-110加5个AP330-I,实现无线的全覆盖,且相邻AP的信道不相同,极大地减小了信号冲突,保证了无线信号强度。
2.4.2酒店客房无线设计
考虑到酒店房间众多且较为密集对于客房无线部署设计了两种方案:
方案一:每个房间安装一个AP
优点:无线信号质量好,相邻房间信道不一样,信号冲突较弱,信号强度大。
缺点:成本高。
方案二:一个AP覆盖四个房间
优点:成本低,节省投资。
缺点:穿墙信号损失巨大,覆盖有死角。
2.4.3 无线验证
无线用户需要先经过web认证才能访问无线网络。
Web认证适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等),但是又想对网络中的客户做准入控制。
优点:无线终端不需要安装客户端,使用web浏览器即可。
用户输入用户名和密码认证成功后,被重定向到酒店定义的Portal页面,这时用户就可以正常上网了。
具体配置语句:
AC配置:
配置验证
AC#configterminal
AC(config)#web-auth portal key ruijie
AC(config)#http redirect 192.168.51.38
AC(config)#http redirect homepage
2.放通网关ARP,开放免认证网络资源和免认证用户:
AC(config)#http redirect direct-arp 192.168.51.1
AC(config)#http redirect direct-site 172.18.10.3
AC(config)#web-auth direct-host 192.168.51.129
3、wlan开启web认证功能:
AC(config)#wlansec 1
AC(config-wlansec)#webauth
AC(config-wlansec)#exit:
4、配置snmp服务器(eportal):
AC(config)#snmp-server host 192.168.51.38 traps version 2c ruijie
AC(config)#snmp-server enable traps web-auth
AC(config)#snmp-server community ruijie rw
AC(config)#end
AC#write
2.5 网络安全
2.5.1网络病毒的防范
病毒产生的原因:某酒店网很重要的一个特征就是用户数比较多,用户来源广泛,可能有很多的PC机缺乏有效的病毒防范手段,所以,当用户在频繁的访问网络时,通过U盘、光盘拷贝文件的时候,系统都可能会感染上病毒。
病毒对酒店网的影响:酒店网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;办公软件不可用、VOD不能点播;INTERNET上不了用户面临着看着丰富的酒店网络资源却不能使用的尴尬境地。
2.5.2防火墙配置
登录到设备后要进行基础配置,防火墙模块需要在命令行基础上进行基礎功能的配置,然后在功能配置时推荐使用web配置,配置的方法建议如下:
插入防火墙卡后,等待面板status指示灯变成绿色常亮;
方法一,通过防火墙卡面板的console接口进入命令行界面,默认波特率9600bps;
方法二,先进入S12K/S86的命令行,再使用session slot命令跳转登录防火墙卡;
在S12K/S86上执行show version,检查防火墙卡安装的槽位,使用Session device xx slot xx 登录到防火墙卡。
2.5.3 DDoS攻击防范
DDos攻击是网络中最常见的攻击,攻击者通过伪造源ip或遥控肉鸡方式,发送大量的tcp/udp/icmp连接,导致被攻击者的协议栈资源耗尽。防范DDoS攻击的典型方法就是限制对目标服务器发起的连接数量。
配置的原则:需要对指定的服务器或地址段进行防攻击保护或者是发现某些攻击采取策略进行保护。
配置过程如下:
通过ACL,定义防护目标:
对防护目标配置限制阈值(分syn flood、udp flood、icmp flood 3种攻击配置).
配置日志记录:
以服务器网段为101.1.1.0/24网段为例,对该服务器内每个IP收到syn报文的速率限制为1000个,UDP报文限制为10000个,icmp报文限制为100个,并打开对应的log,配置模板如下:
Firewall(config)#ip access-list standard server-a
Firewall(config-std-nacl)#permit 101.1.1.0 0.0.0.255
Firewall(config-std-nacl)#exit
Firewall(config)#firewall defend syn-flood server-a 1000
Firewall(config)#firewall log syn-flood
Firewall(config)#firewall defend udp-flood server-a 10000
Firewall(config)#firewall log udp-flood
Firewall(config)#firewall defend icmp-flood server-a 100
Firewall(config)#firewall log icmp-flood
2.5.4無线防ARP欺骗功能
在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。
配置语句如下:
(1)AC开启dhcp snooping并且配置信任端口:
AC(config)#ip dhcp snooping
AC(config)#interface gigabitEthernet 0/1
AC(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust
AC(config-if-GigabitEthernet 0/1)#exit
(2)配置ARP防护功能(开启arp防护需要让已经在线的终端下线再关联无线):
1)未开启Web认证功能时:
AC(config)#wlansec 1
AC(config-wlansec)#ip verify source port-security
AC(config-wlansec)#arp-check AC(config-wlansec)#end
AC#write
2)开启Web认证功能时:
AC(config)#web-auth dhcp-check
AC(config)#http redirect direct-arp 192.168.51.1
AC(config)#wlansec 1
AC(config-wlansec)#arp-check
AC(config-wlansec)#end
AC#write
3 小结
其次在本方案中采用的是无线相关知识来进行酒店网络升级和优化,为避免单点故障,使用了集群冗余的方法,增强了无线的无线网络稳定性和防灾能力,对无线数据进行负载均衡,AC-1为主用,AC-2为备用。AP与AC-1建立隧道,当AP与AC-1失去连接时能够和AC-2建立隧道并提供服务,这样的冗余设计,增强了无线网络的可靠性,避免因某个AC 故障而导致其下接的AP 都不能提供服务。
参考文献:
[1] 宋玉红.酒店局域网组网及宽带接入方案设计[J].吉林省经济管理干部学院学报,2009,23(5):64-66.
[2] 胡道元.智能建筑计算机网络工程[M].北京:清华大学出版社,2002.
[3] 于璐.WIFI无线登录安全性研究[J].软件,2013,34(12):235-238.
【通联编辑:唐一东】