徐俊梅 孔星星

摘要：本方案主要是針對酒店早期設(shè)計的無線網(wǎng)絡(luò)進行升級和優(yōu)化，具體體現(xiàn)在覆蓋率提高，無線信號強度提升，對于使用頻率較高的位置及盲點位置，要在不同的區(qū)域使用不同的方式進行部署安裝，滿足不同場合所需求，達到最優(yōu)的體驗效果，同時要保障整個網(wǎng)絡(luò)和入網(wǎng)用戶的安全。主要體現(xiàn)在：1）保證無線覆蓋區(qū)域內(nèi)的信號強度，重點保證客房，餐廳，休息區(qū)等區(qū)域的無線信號強度;2）保證覆蓋區(qū)域內(nèi)無線使用效果，要考慮無線信號干擾、無線漫游等;3）重點考慮使用頻率較高的公共區(qū)域的覆蓋效果;4）為避免單點故障，可以使用集群技術(shù)AC-1為主用，AC-2為備用，以此進行冗余設(shè)計;5）啟用Web認(rèn)證;6）網(wǎng)絡(luò)安全，銳捷ARP欺騙防范技術(shù)。

關(guān)鍵詞：無線網(wǎng)絡(luò);覆蓋率;冗余;無線AC;無線AP;升級優(yōu)化;安全

中圖分類號：TP391? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2021）13-0055-04

旅游、商務(wù)活動、大型體育比賽等因素帶動了酒店業(yè)近年來的快速發(fā)展?，F(xiàn)在的酒店，提供寬帶上網(wǎng)已經(jīng)是基本服務(wù)?？蛻羝诖ㄟ^酒店帶寬網(wǎng)絡(luò)實現(xiàn)更多的應(yīng)用：遠程辦公、網(wǎng)絡(luò)視頻會議、文件快傳、享受視頻點播、使用酒店特色的信息資源等等。這些需求對酒店服務(wù)領(lǐng)域的要求很高，但同時也為酒店的收益提供了機會。服務(wù)水平的提高，是酒店行業(yè)加強自身建設(shè)的重中之重，而隨著來自各地商務(wù)客戶的增加，以及正常生活往來對網(wǎng)絡(luò)的依賴性，能否提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)成為客戶入住的必要考慮因素，因而酒店必須加強優(yōu)化自己的網(wǎng)絡(luò)服務(wù)。這樣，一方面提升了現(xiàn)代化酒店的服務(wù)與管理水平，同時，也為酒店經(jīng)營者帶來了相應(yīng)的利益，消費者也享受到優(yōu)質(zhì)的服務(wù)。

1 建設(shè)需求和設(shè)計原則

1.1背景

ZG酒店業(yè)務(wù)不斷發(fā)展壯大，員工數(shù)量快速增長。為了更好管理數(shù)據(jù)，提供服務(wù)，公司決定建設(shè)新的網(wǎng)絡(luò)服務(wù)平臺。再建立小型數(shù)據(jù)中心，搭建云計算環(huán)境，整合企業(yè)計算資源，優(yōu)化服務(wù)效率，增強業(yè)務(wù)彈性冗余部署目的[1]?？紤]到原有無線設(shè)備銳捷產(chǎn)品使用效果不錯，但現(xiàn)需提高無線覆蓋率，并且目前該酒店的銳捷的無線控制器的可管理的AP數(shù)量已經(jīng)超過閾值，需要對AC控制器進行升級[2]。

該酒店決定繼續(xù)購置銳捷系列的無線產(chǎn)品來進行無線網(wǎng)絡(luò)的升級，同時考慮移動辦公的需求，要在出口區(qū)進行來往數(shù)據(jù)身份審查，流量控制，確?？蛻艉妥约悍€(wěn)定安全用網(wǎng)[3]。

1.2建設(shè)目標(biāo)

酒店網(wǎng)是建設(shè)一個可實現(xiàn)各種綜合網(wǎng)絡(luò)應(yīng)用的高速計算機網(wǎng)絡(luò)系統(tǒng)，向智慧酒店方向發(fā)展，將服務(wù)區(qū)、餐廳區(qū)、辦公區(qū)等區(qū)域通過網(wǎng)絡(luò)連接起來，與Internet相連，具備信息服務(wù)、決策系統(tǒng)、自動化辦公等功能。

本次優(yōu)化升級主要對服務(wù)區(qū)域、餐廳等區(qū)域進行無線覆蓋，考慮辦公娛樂需要、為住客提供無線上網(wǎng)服務(wù)，為保證酒店無線網(wǎng)絡(luò)系統(tǒng)解決方案更加具有可行性。需要對酒店主要區(qū)域的無線覆蓋情況進行勘測，由于本次是升級增補項目，即在原有網(wǎng)線基礎(chǔ)上進行升級，所以需要將目前酒店無線網(wǎng)絡(luò)建設(shè)具體概況，對現(xiàn)有設(shè)備的型號、數(shù)量、部署方式等掌握清楚以確定各需要覆蓋的區(qū)域中所需AP數(shù)量和安裝方式，用以保證設(shè)備兼容、做到與現(xiàn)有環(huán)境能統(tǒng)一集中管理，從而保證無線網(wǎng)絡(luò)系統(tǒng)的順利、可靠、安全的應(yīng)用。

1.3建設(shè)要求

無線網(wǎng)絡(luò)覆蓋要求主要包括以下各個方面：

1）保證無線覆蓋區(qū)域內(nèi)的信號強度;

2）保證覆蓋區(qū)域內(nèi)無線使用效果，考慮無線信號干擾、無線漫游等;

3）Web認(rèn)證--對于客戶上網(wǎng)需要一定的限制以此保證網(wǎng)絡(luò)的利用率。

2 方案設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)規(guī)劃設(shè)計

該酒店已有無線設(shè)備--AP330-I、AP220-E、WS3302、RG-S2900等銳捷無線設(shè)備，但部分設(shè)備老化、損壞，已無法滿足使用需求，需要繼續(xù)購買新產(chǎn)品。

網(wǎng)絡(luò)無線部分設(shè)計：酒店的無線接入我們建議使用遵循802.11B/G標(biāo)準(zhǔn)的RG-AP520 AP，共需要RG-AP520 AP98臺，需使用九臺RG-S2900無線交換機對所有AP進行統(tǒng)一管理。RG-AP520均以RJ45鏈路連接至各分機房的第一臺RG-S2900交換機，RG-AP520 AP的供電可以使用本地供電或使用POE模塊集中在分機房進行供電。每臺RG-AP520 AP均附贈POE初始模塊，對于普通交換機也可以很方便地實現(xiàn)以太網(wǎng)遠程供電。九臺RG-S2900均以雙千兆RJ45鏈路直接連接于中心機房的兩臺，客房繼續(xù)沿用酒店原有設(shè)備AP330-I和AP220-E。

RG-S5750，建議其中二臺作為管理客戶用的RG-AP520 AP，另外一臺作為管理內(nèi)部員工使用的RG-AP520 AP。無線接入客戶的IP地址建議均由中心機房DHCP服務(wù)器統(tǒng)一分配，酒店也可備用一些無線網(wǎng)卡出租給客戶使用。

2.2網(wǎng)絡(luò)拓?fù)鋱D

此項工程采用冗余集群的結(jié)構(gòu)，AC-1為主用，AC-2為備用。AP與AC-1建立隧道，當(dāng)AP與AC-1失去連接時能夠和AC-2建立隧道并提供服務(wù)。

該網(wǎng)絡(luò)我們采用了冗余備份設(shè)計。網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

2.3方案實現(xiàn)

Vlan 配置：

Ruijie#configure terminal

Ruijie（config）#vlan 20

Ruijie（config）#interface vlan 20

Ruijie（config-int-vlan）#ip add 192.168.20.2 255.255.255.0

Ruijie（config-int-vlan）#exit

Wlan-config配置，創(chuàng)建SSID

Ruijie（config）#wlan-config 1? Ruijie

Ruijie（config-wlan）#enable-broad-ssid? ? ? ? -

ap-group配置，關(guān)聯(lián)wlan-config和用戶vlan

Ruijie（config）#ap-group default

Ruijie（config-ap-group）#interface-mapping 1 20

Ruijie（config-ap-group）#exit

Ruijie（config）#ip route 0.0.0.0 0.0.0.0 192.168.30.1

Ruijie（config）#interface vlan 30

Ruijie（config-int-vlan）#ip address 192.168.30.2 255.255.255.0

Ruijie（config-int-vlan）#exit

Ruijie（config）#interface loopback 0

Ruijie（config-int-loopback）#ip address 1.1.1.1 255.255.255.0

Ruijie（config-int-loopback）#exit

Ruijie（config）#interface GigabitEthernet 0/1

Ruijie（config-int-GigabitEthernet 0/1）#switchport mode trunk

Ruijie（config-int-GigabitEthernet 0/1）#end

Ruijie#write

核心層配置：

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#vlan 10

Ruijie（config-vlan）#exit

Ruijie（config）#vlan 20

Ruijie（config-vlan）#exit

Ruijie（config）#vlan 30

Ruijie（config-vlan）#exit

配置接口和接口地址：

Ruijie（config）# interface GigabitEthernet 0/1

Ruijie（config-int-GigabitEthernet 0/1）#switchport mode trunk

Ruijie（config-int-GigabitEthernet 0/1）#exit

Ruijie（config）#interface GigabitEthernet 0/2

Ruijie（config-int-GigabitEthernet 0/2）#switchport mode trunk

Ruijie（config-int-GigabitEthernet 0/2）#exit

Ruijie（config）#interface vlan 10

Ruijie（config-int-vlan）#ip address? 192.168.10.1 255.255.255.0

Vlan20? vlan 30地址配置同上。

配置AP的DCHP：

Ruijie（config）#service dhcp

Ruijie（config）#ip dhcp pool ap_ruijie

Ruijie（config-dhcp）#option 138 ip 1.1.1.1

Ruijie（config-dhcp）#network 192.168.10.0 255.255.255.0

Ruijie（config-dhcp）#default-route 192.168.10.1

Ruijie（config-dhcp）#exit

AC-1和AC-2啟用集群配置：

AC-1配置：

AC-1（config）#interface loopback 0

AC-1（config-if-Loopback 1）#ip address 1.1.1.1? 255.255.255.0

AC-1（config-if-Loopback 1）#exit

AC-1（config）#ac-controller

AC-1（config-ac）#ac-name AC-1

AC-2配置同上。

主AC配置：

AC-1（config）#ap-config 0001.0000.0001

AC-1（config-ap）#primary-base AC-1 1.1.1.1

AC-1（config-ap）#secondary-base AC-2 2.2.2.2

AC-1（config-ap）#ap-group ruijie AC-1（config-ap）#ap-name? ap220-e

AC-1（config-ap）#end

AC-1#write

主AC-2配置同上。

2.4酒店無線網(wǎng)絡(luò)設(shè)計

該酒店共有十八層，1-2層為大廳，廳內(nèi)有展廳、辦公區(qū)、放映廳、餐廳等服務(wù)區(qū)域，3-4樓為健身房和泳池等運動場所，其余樓層為客房，弱電間位于樓層最右側(cè)。

2.4.1大廳無線設(shè)計

大廳布置7個AP-110加5個AP330-I，實現(xiàn)無線的全覆蓋，且相鄰AP的信道不相同，極大地減小了信號沖突，保證了無線信號強度。

2.4.2酒店客房無線設(shè)計

考慮到酒店房間眾多且較為密集對于客房無線部署設(shè)計了兩種方案：

方案一：每個房間安裝一個AP

優(yōu)點：無線信號質(zhì)量好，相鄰房間信道不一樣，信號沖突較弱，信號強度大。

缺點：成本高。

方案二：一個AP覆蓋四個房間

優(yōu)點：成本低，節(jié)省投資。

缺點：穿墻信號損失巨大，覆蓋有死角。

2.4.3 無線驗證

無線用戶需要先經(jīng)過web認(rèn)證才能訪問無線網(wǎng)絡(luò)。

Web認(rèn)證適合無線終端不想或不能安裝認(rèn)證客戶端（特別是手機、平板電腦等），但是又想對網(wǎng)絡(luò)中的客戶做準(zhǔn)入控制。

優(yōu)點：無線終端不需要安裝客戶端，使用web瀏覽器即可。

用戶輸入用戶名和密碼認(rèn)證成功后，被重定向到酒店定義的Portal頁面，這時用戶就可以正常上網(wǎng)了。

具體配置語句：

AC配置：

配置驗證

AC#configterminal

AC（config）#web-auth portal key ruijie

AC（config）#http redirect 192.168.51.38

AC（config）#http redirect homepage

2.放通網(wǎng)關(guān)ARP，開放免認(rèn)證網(wǎng)絡(luò)資源和免認(rèn)證用戶：

AC（config）#http redirect direct-arp 192.168.51.1

AC（config）#http redirect direct-site 172.18.10.3

AC（config）#web-auth direct-host 192.168.51.129

3、wlan開啟web認(rèn)證功能：

AC（config）#wlansec 1

AC（config-wlansec）#webauth

AC（config-wlansec）#exit：

4、配置snmp服務(wù)器（eportal）：

AC（config）#snmp-server host 192.168.51.38 traps version 2c ruijie

AC（config）#snmp-server enable traps web-auth

AC（config）#snmp-server community ruijie rw

AC（config）#end

AC#write

2.5 網(wǎng)絡(luò)安全

2.5.1網(wǎng)絡(luò)病毒的防范

病毒產(chǎn)生的原因：某酒店網(wǎng)很重要的一個特征就是用戶數(shù)比較多，用戶來源廣泛，可能有很多的PC機缺乏有效的病毒防范手段，所以，當(dāng)用戶在頻繁的訪問網(wǎng)絡(luò)時，通過U盤、光盤拷貝文件的時候，系統(tǒng)都可能會感染上病毒。

病毒對酒店網(wǎng)的影響：酒店網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺不能使用;辦公軟件不可用、VOD不能點播;INTERNET上不了用戶面臨著看著豐富的酒店網(wǎng)絡(luò)資源卻不能使用的尷尬境地。

2.5.2防火墻配置

登錄到設(shè)備后要進行基礎(chǔ)配置，防火墻模塊需要在命令行基礎(chǔ)上進行基礎(chǔ)功能的配置，然后在功能配置時推薦使用web配置，配置的方法建議如下：

插入防火墻卡后，等待面板status指示燈變成綠色常亮;

方法一，通過防火墻卡面板的console接口進入命令行界面，默認(rèn)波特率9600bps;

方法二，先進入S12K/S86的命令行，再使用session slot命令跳轉(zhuǎn)登錄防火墻卡;

在S12K/S86上執(zhí)行show version，檢查防火墻卡安裝的槽位，使用Session device xx slot xx 登錄到防火墻卡。

2.5.3 DDoS攻擊防范

DDos攻擊是網(wǎng)絡(luò)中最常見的攻擊，攻擊者通過偽造源ip或遙控肉雞方式，發(fā)送大量的tcp/udp/icmp連接，導(dǎo)致被攻擊者的協(xié)議棧資源耗盡。防范DDoS攻擊的典型方法就是限制對目標(biāo)服務(wù)器發(fā)起的連接數(shù)量。

配置的原則：需要對指定的服務(wù)器或地址段進行防攻擊保護或者是發(fā)現(xiàn)某些攻擊采取策略進行保護。

配置過程如下：

通過ACL，定義防護目標(biāo)：

對防護目標(biāo)配置限制閾值（分syn flood、udp flood、icmp flood 3種攻擊配置）.

配置日志記錄：

以服務(wù)器網(wǎng)段為101.1.1.0/24網(wǎng)段為例，對該服務(wù)器內(nèi)每個IP收到syn報文的速率限制為1000個，UDP報文限制為10000個，icmp報文限制為100個，并打開對應(yīng)的log，配置模板如下：

Firewall（config）#ip access-list standard server-a

Firewall（config-std-nacl）#permit 101.1.1.0 0.0.0.255

Firewall（config-std-nacl）#exit

Firewall（config）#firewall defend syn-flood server-a? 1000

Firewall（config）#firewall log syn-flood

Firewall（config）#firewall defend udp-flood server-a? 10000

Firewall（config）#firewall log udp-flood

Firewall（config）#firewall defend icmp-flood server-a 100

Firewall（config）#firewall log icmp-flood

2.5.4無線防ARP欺騙功能

在無線網(wǎng)絡(luò)中，由于接入無線網(wǎng)絡(luò)用戶的多樣性及不確定性，使得在無線端極有可能出現(xiàn)私設(shè)IP地址或者客戶端中ARP病毒發(fā)起ARP攻擊的情況，在無線設(shè)備上部署防ARP攻擊功能，可以有效解決這些問題。

配置語句如下：

（1）AC開啟dhcp snooping并且配置信任端口：

AC（config）#ip dhcp snooping

AC（config）#interface gigabitEthernet 0/1

AC（config-if-GigabitEthernet 0/1）#ip dhcp snooping trust

AC（config-if-GigabitEthernet 0/1）#exit

（2）配置ARP防護功能（開啟arp防護需要讓已經(jīng)在線的終端下線再關(guān)聯(lián)無線）：

1）未開啟Web認(rèn)證功能時：

AC（config）#wlansec 1

AC（config-wlansec）#ip verify source port-security

AC（config-wlansec）#arp-check? ?AC（config-wlansec）#end

AC#write

2）開啟Web認(rèn)證功能時：

AC（config）#web-auth dhcp-check

AC（config）#http redirect direct-arp 192.168.51.1

AC（config）#wlansec 1

AC（config-wlansec）#arp-check

AC（config-wlansec）#end

AC#write

3 小結(jié)

其次在本方案中采用的是無線相關(guān)知識來進行酒店網(wǎng)絡(luò)升級和優(yōu)化，為避免單點故障，使用了集群冗余的方法，增強了無線的無線網(wǎng)絡(luò)穩(wěn)定性和防災(zāi)能力，對無線數(shù)據(jù)進行負(fù)載均衡，AC-1為主用，AC-2為備用。AP與AC-1建立隧道，當(dāng)AP與AC-1失去連接時能夠和AC-2建立隧道并提供服務(wù)，這樣的冗余設(shè)計，增強了無線網(wǎng)絡(luò)的可靠性，避免因某個AC 故障而導(dǎo)致其下接的AP 都不能提供服務(wù)。

參考文獻：

[1] 宋玉紅.酒店局域網(wǎng)組網(wǎng)及寬帶接入方案設(shè)計[J].吉林省經(jīng)濟管理干部學(xué)院學(xué)報，2009，23（5）：64-66.

[2] 胡道元.智能建筑計算機網(wǎng)絡(luò)工程[M].北京：清華大學(xué)出版社，2002.

[3] 于璐.WIFI無線登錄安全性研究[J].軟件，2013，34（12）：235-238.

【通聯(lián)編輯：唐一東】