基于銳捷無線設備的酒店網絡升級方案設計

徐俊梅 孔星星

摘要：本方案主要是針對酒店早期設計的無線網絡進行升級和優化，具體體現在覆蓋率提高，無線信號強度提升，對于使用頻率較高的位置及盲點位置，要在不同的區域使用不同的方式進行部署安裝，滿足不同場合所需求，達到最優的體驗效果，同時要保障整個網絡和入網用戶的安全。主要體現在：1）保證無線覆蓋區域內的信號強度，重點保證客房，餐廳，休息區等區域的無線信號強度;2）保證覆蓋區域內無線使用效果，要考慮無線信號干擾、無線漫游等;3）重點考慮使用頻率較高的公共區域的覆蓋效果;4）為避免單點故障，可以使用集群技術AC-1為主用，AC-2為備用，以此進行冗余設計;5）啟用Web認證;6）網絡安全，銳捷ARP欺騙防范技術。

關鍵詞：無線網絡;覆蓋率;冗余;無線AC;無線AP;升級優化;安全

中圖分類號：TP391? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）13-0055-04

旅游、商務活動、大型體育比賽等因素帶動了酒店業近年來的快速發展。現在的酒店，提供寬帶上網已經是基本服務。客戶期待著通過酒店帶寬網絡實現更多的應用：遠程辦公、網絡視頻會議、文件快傳、享受視頻點播、使用酒店特色的信息資源等等。這些需求對酒店服務領域的要求很高，但同時也為酒店的收益提供了機會。服務水平的提高，是酒店行業加強自身建設的重中之重，而隨著來自各地商務客戶的增加，以及正常生活往來對網絡的依賴性，能否提供優質的網絡服務成為客戶入住的必要考慮因素，因而酒店必須加強優化自己的網絡服務。這樣，一方面提升了現代化酒店的服務與管理水平，同時，也為酒店經營者帶來了相應的利益，消費者也享受到優質的服務。

1 建設需求和設計原則

1.1背景

ZG酒店業務不斷發展壯大，員工數量快速增長。為了更好管理數據，提供服務，公司決定建設新的網絡服務平臺。再建立小型數據中心，搭建云計算環境，整合企業計算資源，優化服務效率，增強業務彈性冗余部署目的[1]。考慮到原有無線設備銳捷產品使用效果不錯，但現需提高無線覆蓋率，并且目前該酒店的銳捷的無線控制器的可管理的AP數量已經超過閾值，需要對AC控制器進行升級[2]。

該酒店決定繼續購置銳捷系列的無線產品來進行無線網絡的升級，同時考慮移動辦公的需求，要在出口區進行來往數據身份審查，流量控制，確保客戶和自己穩定安全用網[3]。

1.2建設目標

酒店網是建設一個可實現各種綜合網絡應用的高速計算機網絡系統，向智慧酒店方向發展，將服務區、餐廳區、辦公區等區域通過網絡連接起來，與Internet相連，具備信息服務、決策系統、自動化辦公等功能。

本次優化升級主要對服務區域、餐廳等區域進行無線覆蓋，考慮辦公娛樂需要、為住客提供無線上網服務，為保證酒店無線網絡系統解決方案更加具有可行性。需要對酒店主要區域的無線覆蓋情況進行勘測，由于本次是升級增補項目，即在原有網線基礎上進行升級，所以需要將目前酒店無線網絡建設具體概況，對現有設備的型號、數量、部署方式等掌握清楚以確定各需要覆蓋的區域中所需AP數量和安裝方式，用以保證設備兼容、做到與現有環境能統一集中管理，從而保證無線網絡系統的順利、可靠、安全的應用。

1.3建設要求

無線網絡覆蓋要求主要包括以下各個方面：

1）保證無線覆蓋區域內的信號強度;

2）保證覆蓋區域內無線使用效果，考慮無線信號干擾、無線漫游等;

3）Web認證--對于客戶上網需要一定的限制以此保證網絡的利用率。

2 方案設計與實現

2.1 網絡規劃設計

該酒店已有無線設備--AP330-I、AP220-E、WS3302、RG-S2900等銳捷無線設備，但部分設備老化、損壞，已無法滿足使用需求，需要繼續購買新產品。

網絡無線部分設計：酒店的無線接入我們建議使用遵循802.11B/G標準的RG-AP520 AP，共需要RG-AP520 AP98臺，需使用九臺RG-S2900無線交換機對所有AP進行統一管理。RG-AP520均以RJ45鏈路連接至各分機房的第一臺RG-S2900交換機，RG-AP520 AP的供電可以使用本地供電或使用POE模塊集中在分機房進行供電。每臺RG-AP520 AP均附贈POE初始模塊，對于普通交換機也可以很方便地實現以太網遠程供電。九臺RG-S2900均以雙千兆RJ45鏈路直接連接于中心機房的兩臺，客房繼續沿用酒店原有設備AP330-I和AP220-E。

RG-S5750，建議其中二臺作為管理客戶用的RG-AP520 AP，另外一臺作為管理內部員工使用的RG-AP520 AP。無線接入客戶的IP地址建議均由中心機房DHCP服務器統一分配，酒店也可備用一些無線網卡出租給客戶使用。

2.2網絡拓撲圖

此項工程采用冗余集群的結構，AC-1為主用，AC-2為備用。AP與AC-1建立隧道，當AP與AC-1失去連接時能夠和AC-2建立隧道并提供服務。

該網絡我們采用了冗余備份設計。網絡拓撲如下：

2.3方案實現

Vlan 配置：

Ruijie#configure terminal

Ruijie（config）#vlan 20

Ruijie（config）#interface vlan 20

Ruijie（config-int-vlan）#ip add 192.168.20.2 255.255.255.0

Ruijie（config-int-vlan）#exit

Wlan-config配置，創建SSID

Ruijie（config）#wlan-config 1? Ruijie

Ruijie（config-wlan）#enable-broad-ssid? ? ? ? -

ap-group配置，關聯wlan-config和用戶vlan

Ruijie（config）#ap-group default

Ruijie（config-ap-group）#interface-mapping 1 20

Ruijie（config-ap-group）#exit

Ruijie（config）#ip route 0.0.0.0 0.0.0.0 192.168.30.1

Ruijie（config）#interface vlan 30

Ruijie（config-int-vlan）#ip address 192.168.30.2 255.255.255.0

Ruijie（config-int-vlan）#exit

Ruijie（config）#interface loopback 0

Ruijie（config-int-loopback）#ip address 1.1.1.1 255.255.255.0

Ruijie（config-int-loopback）#exit

Ruijie（config）#interface GigabitEthernet 0/1

Ruijie（config-int-GigabitEthernet 0/1）#switchport mode trunk

Ruijie（config-int-GigabitEthernet 0/1）#end

Ruijie#write

核心層配置：

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#vlan 10

Ruijie（config-vlan）#exit

Ruijie（config）#vlan 20

Ruijie（config-vlan）#exit

Ruijie（config）#vlan 30

Ruijie（config-vlan）#exit

配置接口和接口地址：

Ruijie（config）# interface GigabitEthernet 0/1

Ruijie（config-int-GigabitEthernet 0/1）#switchport mode trunk

Ruijie（config-int-GigabitEthernet 0/1）#exit

Ruijie（config）#interface GigabitEthernet 0/2

Ruijie（config-int-GigabitEthernet 0/2）#switchport mode trunk

Ruijie（config-int-GigabitEthernet 0/2）#exit

Ruijie（config）#interface vlan 10

Ruijie（config-int-vlan）#ip address? 192.168.10.1 255.255.255.0

Vlan20? vlan 30地址配置同上。

配置AP的DCHP：

Ruijie（config）#service dhcp

Ruijie（config）#ip dhcp pool ap_ruijie

Ruijie（config-dhcp）#option 138 ip 1.1.1.1

Ruijie（config-dhcp）#network 192.168.10.0 255.255.255.0

Ruijie（config-dhcp）#default-route 192.168.10.1

Ruijie（config-dhcp）#exit

AC-1和AC-2啟用集群配置：

AC-1配置：

AC-1（config）#interface loopback 0

AC-1（config-if-Loopback 1）#ip address 1.1.1.1? 255.255.255.0

AC-1（config-if-Loopback 1）#exit

AC-1（config）#ac-controller

AC-1（config-ac）#ac-name AC-1

AC-2配置同上。

主AC配置：

AC-1（config）#ap-config 0001.0000.0001

AC-1（config-ap）#primary-base AC-1 1.1.1.1

AC-1（config-ap）#secondary-base AC-2 2.2.2.2

AC-1（config-ap）#ap-group ruijie AC-1（config-ap）#ap-name? ap220-e

AC-1（config-ap）#end

AC-1#write

主AC-2配置同上。

2.4酒店無線網絡設計

該酒店共有十八層，1-2層為大廳，廳內有展廳、辦公區、放映廳、餐廳等服務區域，3-4樓為健身房和泳池等運動場所，其余樓層為客房，弱電間位于樓層最右側。

2.4.1大廳無線設計

大廳布置7個AP-110加5個AP330-I，實現無線的全覆蓋，且相鄰AP的信道不相同，極大地減小了信號沖突，保證了無線信號強度。

2.4.2酒店客房無線設計

考慮到酒店房間眾多且較為密集對于客房無線部署設計了兩種方案：

方案一：每個房間安裝一個AP

優點：無線信號質量好，相鄰房間信道不一樣，信號沖突較弱，信號強度大。

缺點：成本高。

方案二：一個AP覆蓋四個房間

優點：成本低，節省投資。

缺點：穿墻信號損失巨大，覆蓋有死角。

2.4.3 無線驗證

無線用戶需要先經過web認證才能訪問無線網絡。

Web認證適合無線終端不想或不能安裝認證客戶端（特別是手機、平板電腦等），但是又想對網絡中的客戶做準入控制。

優點：無線終端不需要安裝客戶端，使用web瀏覽器即可。

用戶輸入用戶名和密碼認證成功后，被重定向到酒店定義的Portal頁面，這時用戶就可以正常上網了。

具體配置語句：

AC配置：

配置驗證

AC#configterminal

AC（config）#web-auth portal key ruijie

AC（config）#http redirect 192.168.51.38

AC（config）#http redirect homepage

2.放通網關ARP，開放免認證網絡資源和免認證用戶：

AC（config）#http redirect direct-arp 192.168.51.1

AC（config）#http redirect direct-site 172.18.10.3

AC（config）#web-auth direct-host 192.168.51.129

3、wlan開啟web認證功能：

AC（config）#wlansec 1

AC（config-wlansec）#webauth

AC（config-wlansec）#exit：

4、配置snmp服務器（eportal）：

AC（config）#snmp-server host 192.168.51.38 traps version 2c ruijie

AC（config）#snmp-server enable traps web-auth

AC（config）#snmp-server community ruijie rw

AC（config）#end

AC#write

2.5 網絡安全

2.5.1網絡病毒的防范

病毒產生的原因：某酒店網很重要的一個特征就是用戶數比較多，用戶來源廣泛，可能有很多的PC機缺乏有效的病毒防范手段，所以，當用戶在頻繁的訪問網絡時，通過U盤、光盤拷貝文件的時候，系統都可能會感染上病毒。

病毒對酒店網的影響：酒店網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗，用戶正常的網絡訪問得不到響應，辦公平臺不能使用;辦公軟件不可用、VOD不能點播;INTERNET上不了用戶面臨著看著豐富的酒店網絡資源卻不能使用的尷尬境地。

2.5.2防火墻配置

登錄到設備后要進行基礎配置，防火墻模塊需要在命令行基礎上進行基礎功能的配置，然后在功能配置時推薦使用web配置，配置的方法建議如下：

插入防火墻卡后，等待面板status指示燈變成綠色常亮;

方法一，通過防火墻卡面板的console接口進入命令行界面，默認波特率9600bps;

方法二，先進入S12K/S86的命令行，再使用session slot命令跳轉登錄防火墻卡;

在S12K/S86上執行show version，檢查防火墻卡安裝的槽位，使用Session device xx slot xx 登錄到防火墻卡。

2.5.3 DDoS攻擊防范

DDos攻擊是網絡中最常見的攻擊，攻擊者通過偽造源ip或遙控肉雞方式，發送大量的tcp/udp/icmp連接，導致被攻擊者的協議棧資源耗盡。防范DDoS攻擊的典型方法就是限制對目標服務器發起的連接數量。

配置的原則：需要對指定的服務器或地址段進行防攻擊保護或者是發現某些攻擊采取策略進行保護。

配置過程如下：

通過ACL，定義防護目標：

對防護目標配置限制閾值（分syn flood、udp flood、icmp flood 3種攻擊配置）.

配置日志記錄：

以服務器網段為101.1.1.0/24網段為例，對該服務器內每個IP收到syn報文的速率限制為1000個，UDP報文限制為10000個，icmp報文限制為100個，并打開對應的log，配置模板如下：

Firewall（config）#ip access-list standard server-a

Firewall（config-std-nacl）#permit 101.1.1.0 0.0.0.255

Firewall（config-std-nacl）#exit

Firewall（config）#firewall defend syn-flood server-a? 1000

Firewall（config）#firewall log syn-flood

Firewall（config）#firewall defend udp-flood server-a? 10000

Firewall（config）#firewall log udp-flood

Firewall（config）#firewall defend icmp-flood server-a 100

Firewall（config）#firewall log icmp-flood

2.5.4無線防ARP欺騙功能

在無線網絡中，由于接入無線網絡用戶的多樣性及不確定性，使得在無線端極有可能出現私設IP地址或者客戶端中ARP病毒發起ARP攻擊的情況，在無線設備上部署防ARP攻擊功能，可以有效解決這些問題。

配置語句如下：

（1）AC開啟dhcp snooping并且配置信任端口：

AC（config）#ip dhcp snooping

AC（config）#interface gigabitEthernet 0/1

AC（config-if-GigabitEthernet 0/1）#ip dhcp snooping trust

AC（config-if-GigabitEthernet 0/1）#exit

（2）配置ARP防護功能（開啟arp防護需要讓已經在線的終端下線再關聯無線）：

1）未開啟Web認證功能時：

AC（config）#wlansec 1

AC（config-wlansec）#ip verify source port-security

AC（config-wlansec）#arp-check? ?AC（config-wlansec）#end

AC#write

2）開啟Web認證功能時：

AC（config）#web-auth dhcp-check

AC（config）#http redirect direct-arp 192.168.51.1

AC（config）#wlansec 1

AC（config-wlansec）#arp-check

AC（config-wlansec）#end

AC#write

3 小結

其次在本方案中采用的是無線相關知識來進行酒店網絡升級和優化，為避免單點故障，使用了集群冗余的方法，增強了無線的無線網絡穩定性和防災能力，對無線數據進行負載均衡，AC-1為主用，AC-2為備用。AP與AC-1建立隧道，當AP與AC-1失去連接時能夠和AC-2建立隧道并提供服務，這樣的冗余設計，增強了無線網絡的可靠性，避免因某個AC 故障而導致其下接的AP 都不能提供服務。

參考文獻：

[1] 宋玉紅.酒店局域網組網及寬帶接入方案設計[J].吉林省經濟管理干部學院學報，2009，23（5）：64-66.

[2] 胡道元.智能建筑計算機網絡工程[M].北京：清華大學出版社，2002.

[3] 于璐.WIFI無線登錄安全性研究[J].軟件，2013，34（12）：235-238.

【通聯編輯：唐一東】