基于锐捷无线设备的酒店网络升级方案设计
徐俊梅,孔星星
(合肥科技职业学院电子信息系,安徽合肥230088)
摘要:本方案主要是针对酒店早期设计的无线网络进行升级和优化,具体体现在覆盖率提高,无线信号强度提升,对于使用频率较高的位置及盲点位置,要在不同的区域使用不同的方式进行部署安装,满足不同场合所需求,达到最优的体验效果,同时要保障整个网络和入网用户的安全。主要体现在:1)保证无线覆盖区域内的信号强度,重点保证客房,餐厅,休息区等区域的无线信号强度;2)保证覆盖区域内无线使用效果,要考虑无线信号干扰、无线漫游等;3)重点考虑使用频率较高的公共区域的覆盖效果;4)为避免单点故障,可以使用集技术AC-1为主用,AC-2为备用,以此进行冗余设计;5)启用
Web认证;6)网络安全,锐捷ARP欺骗防范技术。
关键词:无线网络;覆盖率;冗余;无线AC;无线AP;升级优化;安全
中图分类号:TP391文献标识码:A
文章编号:1009-3044(2021)13-0055-04
开放科学(资源服务)标识码(OSID):
旅游、商务活动、大型体育比赛等因素带动了酒店业近年来的快速发展。现在的酒店,提供宽带上网已经是基本服务。客户期待着通过酒店带宽网络实现更多的应用:远程办公、网络视频会议、文件快传、享受视频点播、使用酒店特的信息资源等等。这些需求对酒店服务领域的要求很高,但同时也为酒店的收益提供了机会。服务水平的提高,是酒店行业加强自身建设的重中之重,而随着来自各地商务客户的增加,以及正常生活往来对网络的依赖性,能否提供优质的网络服务成为客户入住的必要考虑因素,因而酒店必须加强优化自己的网络服务。这样,一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益,消费者也享受到优质的服务。
1建设需求和设计原则
1.1背景
ZG酒店业务不断发展壮大,员工数量快速增长。为了更好管理数据,提供服务,公司决定建设新的网络服务平台。再建立小型数据中心,搭建云计算环境,整合企业计算资源,优化服务效率,增强业务弹性冗余部署目的[1]。考虑到原有无线设备锐捷产品使用效果不错,但现需提高无线覆盖率,并且目前该酒店的锐捷的无线控制器的可管理的AP数量已经超过阈值,需要对AC控制器进行升级[2]。
该酒店决定继续购置锐捷系列的无线产品来进行无线网络的升级,同时考虑移动办公的需求,要在出口区进行来往数据身份审查,流量控制,确保客户和自己稳定安全用网[3]。
1.2建设目标
酒店网是建设一个可实现各种综合网络应用的高速计算机网络系统,向智慧酒店方向发展,将服务区、餐厅区、办公区等区域通过网络连接起来,与Internet相连,具备信息服务、决策系统、自动化办公等功能。
本次优化升级主要对服务区域、餐厅等区域进行无线覆盖,考虑办公娱乐需要、为住客提供无线上网服务,为保证酒店无线网络系统解决方案更加具有可行性。需要对酒店主要区域的无线覆盖情况进行勘测,由于本次是升级增补项目,即在原有网线基础上进行升级,所以需要将目前酒店无线网络建设具体概况,对现有设备的型号、数量、部署方式等掌握清楚以确定各需要覆盖的区域中所需AP数量和安装方式,用以保证设备兼容、做到与现有环境能统一集中管理,从而保证无线网络系统的顺利、可靠、安全的应用。
1.3建设要求
无线网络覆盖要求主要包括以下各个方面:
1)保证无线覆盖区域内的信号强度;
2)保证覆盖区域内无线使用效果,考虑无线信号干扰、无线漫游等;
3)Web认证--对于客户上网需要一定的限制以此保证网络的利用率。
2方案设计与实现
2.1网络规划设计
该酒店已有无线设备--AP330-I、AP220-E、WS3302、RG-S2900等锐捷无线设备,但部分设备老化、损坏,已无法满足使用需求,需要继续购买新产品。
网络无线部分设计:酒店的无线接入我们建议使用遵循802.11B/G标准的RG-AP520AP,共需要RG-AP520AP98台,
收稿日期:2021-01-20
基金项目:校级质量工程项目(编号:2019tszy002)
作者简介:徐俊梅(1983—),女,安徽阜阳人,讲师,硕士,研究方向为计算机网络;孔星星(20
00—),安徽人,学生,研究方向为计算机网络。
Computer Knowledge and Technology电脑知识与技术第17卷第13期(2021年5月)
需使用九台RG-S2900无线交换机对所有AP进行统一管理。RG-AP520均以RJ45链路连接至各分机房的第一台RG-S2900交换机,RG-AP520AP的供电可以使用本地供电或使用POE 模块集中在分机房进行供电。每台RG-AP520AP均附赠POE 初始模块,对于普通交换机也可以很方便地实现以太网远程供电。九台RG-S2900均以双千兆RJ45链路直接连接于中心机房的两台,客房继续沿用酒店原有设备AP330-I和AP220-E。RG-S5750,建议其中二台作为管理客户用的RG-AP520 AP,另外一台作为管理内部员工使用的RG-AP520AP。无线接入客户的IP地址建议均由中心机房DHCP服务器统一分配,酒店也可备用一些无线网卡出租给客户使用。
2.2网络拓扑图
此项工程采用冗余集的结构,AC-1为主用,AC-2为备用。AP与AC-1建立隧道,当AP与AC-1失去连接时能够和AC-2建立隧道并提供服务。
该网络我们采用了冗余备份设计。网络拓扑如下:
图1酒店网络拓扑图
2.3方案实现
Vlan配置:
Ruijie#configure terminal
Ruijie(config)#vlan20
Ruijie(config)#interface vlan20
Ruijie(config-int-vlan)#ip add192.168.20.2255.255.255.0 Ruijie(config-int-vlan)#exit
Wlan-config配置,创建SSID
Ruijie(config)#wlan-config1Ruijie
Ruijie(config-wlan)#enable-broad-ssid-
ap-group配置,关联wlan-config和用户vlan
Ruijie(config)#ap-group default
Ruijie(config-ap-group)#interface-mapping120 Ruijie(config-ap-group)#exit
Ruijie(config)#ip route0.0.0.00.0.0.0192.168.30.1 Ruijie(config)#interface vlan30
Ruijie(config-int-vlan)#ip address192.168.30.2 255.255.255.0
Ruijie(config-int-vlan)#exit
Ruijie(config)#interface loopback0
Ruijie(config-int-loopback)#ip address 1.1.1.1 255.255.255.0
Ruijie(config-int-loopback)#exit
Ruijie(config)#interface GigabitEthernet0/1
Ruijie(config-int-GigabitEthernet0/1)#switchport mode trunk
Ruijie(config-int-GigabitEthernet0/1)#end
Ruijie#write
核心层配置:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan10
Ruijie(config-vlan)#exit
Ruijie(config)#vlan20
Ruijie(config-vlan)#exit
Ruijie(config)#vlan30
Ruijie(config-vlan)#exit
配置接口和接口地址:
Ruijie(config)#interface GigabitEthernet0/1
Ruijie(config-int-GigabitEthernet0/1)#switchport mode trunk
Ruijie(config-int-GigabitEthernet0/1)#exit
Ruijie(config)#interface GigabitEthernet0/2
Ruijie(config-int-GigabitEthernet0/2)#switchport mode trunk Ruijie(config-int-GigabitEthernet0/2)#exit
Ruijie(config)#interface vlan10
Ruijie(config-int-vlan)#ip address192.168.10.1 255.255.255.0
Vlan20vlan30地址配置同上。
配置AP的DCHP:
Ruijie(config)#service dhcp
Ruijie(config)#ip dhcp pool ap_ruijie
Ruijie(config-dhcp)#option138ip1.1.1.1
Ruijie(config-dhcp)#network192.168.10.0255.255.255.0 Ruijie(config-dhcp)#default-route192.168.10.1 Ruijie(config-dhcp)#exit
AC-1和AC-2启用集配置:
AC-1配置:
AC-1(config)#interface loopback0
AC-1(config-if-Loopback1)#ip address 1.1.1.1255.255.255.0
AC-1(config-if-Loopback1)#exit
AC-1(config)#ac-controller
AC-1(config-ac)#ac-name AC-1
AC-2配置同上。
主AC配置:
AC-1(config)#ap-config0001.0000.0001
AC-1(config-ap)#primary-base AC-11.1.1.1
AC-1(config-ap)#secondary-base AC-22.2.2.2
Computer Knowledge and Technology 电脑知识与技术
第17卷第13期(2021年5月)
AC-1(config-ap)#ap-group ruijie AC-1(config-ap)#ap-
name ap220-e
AC-1(config-ap)#end AC-1#write
主AC-2配置同上。2.4
酒店无线网络设计
图2ZG 酒店布局简图
该酒店共有十八层,1-2层为大厅,厅内有展厅、办公区、放映厅、餐厅等服务区域,3-4楼为健身房和泳池等运动场所,其余楼层为客房,弱电间位于楼层最右侧。2.4.1
大厅无线设计
图3
大厅无线布局
图4大厅无线信号强度
大厅布置7个AP-110加5个AP330-I ,实现无线的全覆盖,且相邻AP 的信道不相同,极大地减小了信号冲突,保证了无线信号强度。
2.4.2酒店客房无线设计
考虑到酒店房间众多且较为密集对于客房无线部署设计了两种方案:
方案一:每个房间安装一个AP 优点:无线信号质量好,相邻房间信道不一样,信号冲突较弱,信号强
度大。
缺点:
成本高。
图5客房无线布局
1
图6客房无线1信号强度
方案二:一个AP 覆盖四个房间优点:成本低,节省投资。缺点:穿墙信号损失巨大,
覆盖有死角。
图7客房无线布局
2
图8客房无线2信号强度
2.4.3无线验证
无线用户需要先经过web 认证才能访问无线网络。Web 认证适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等),但是又想对网络中的客户做准入控制。
优点:无线终端不需要安装客户端,使用web 浏览器即可。
图9无线验证设计图
用户输入用户名和密码认证成功后,被重定向到酒店定义的Portal页面,这时用户就可以正常上网了。
具体配置语句:
AC配置:
配置验证
AC#configterminal
AC(config)#web-auth portal key ruijie
AC(config)#http redirect192.168.51.38
AC(config)#http redirect homepage
2.放通网关ARP,开放免认证网络资源和免认证用户:AC(config)#http redirect direct-arp192.168.51.1
AC(config)#http redirect direct-site172.18.10.3
AC(config)#web-auth direct-host192.168.51.129
3、wlan开启web认证功能:
AC(config)#wlansec1
AC(config-wlansec)#webauth
AC(config-wlansec)#exit:
4、配置snmp服务器(eportal):
AC(config)#snmp-server host192.168.51.38traps version2c ruijie
AC(config)#snmp-server enable traps web-auth
AC(config)#snmp-server community ruijie rw
AC(config)#end
AC#write
2.5网络安全
2.5.1网络病毒的防范
病毒产生的原因:某酒店网很重要的一个特征就是用户数比较多,用户来源广泛,可能有很多的PC机缺乏有效的病毒防范手段,所以,当用户在频繁的访问网络时,通过U盘、光盘拷贝文件的时候,系统都可能会感染上病毒。
病毒对酒店网的影响:酒店网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;办公软件不可用、VOD不能点播;IN⁃TERNET上不了用户面临着看着丰富的酒店网络资源却不能使用的尴尬境地。
2.5.2防火墙配置
登录到设备后要进行基础配置,防火墙模块需要在命令行基础上进行基础功能的配置,然后在功能配置时推荐使用web 配置,配置的方法建议如下:
插入防火墙卡后,等待面板status指示灯变成绿常亮;
方法一,通过防火墙卡面板的console接口进入命令行界面,默认波特率9600bps;
方法二,先进入S12K/S86的命令行,再使用session slot命令跳转登录防火墙卡;
在S12K/S86上执行show version,检查防火墙卡安装的槽位,使用Session device xx slot xx登录到防火墙卡。
2.5.3DDoS攻击防范
DDos攻击是网络中最常见的攻击,攻击者通过伪造源ip 或遥控肉鸡方式,发送大量的tcp/udp/icmp连接,导致被攻击者的协议栈资源耗尽。防范DDoS攻击的典型方法就是限制对目标服务器发起的连接数量。
配置的原则:需要对指定的服务器或地址段进行防攻击保护或者是发现某些攻击采取策略进行保护。
配置过程如下:
通过ACL,定义防护目标:
对防护目标配置限制阈值(分syn flood、udp flood、icmp flood3种攻击配置).
配置日志记录:
以服务器网段为101.1.1.0/24网段为例,对该服务器内每个IP收到syn报文的速率限制为1000个,UDP报文限制为10000个,icmp报文限制为100个,并打开对应的log,配置模板如下:
Firewall(config)#ip access-list standard server-a Firewall(config-std-nacl)#permit101.1.1.00.0.0.255 Firewall(config-std-nacl)#exit
Firewall(config)#firewall defend syn-flood server-a1000 Firewall(config)#firewall log syn-flood
Firewall(config)#firewall defend udp-flood server-a10000 Firewall(config)#firewall log udp-flood
Firewall(config)#firewall defend icmp-flood server-a100 Firewall(config)#firewall log icmp-flood
2.5.4无线防ARP欺骗功能
在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP 病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。
配置语句如下:
(1)AC开启dhcp snooping并且配置信任端口:
AC(config)#ip dhcp snooping
AC(config)#interface gigabitEthernet0/1
AC(config-if-GigabitEthernet0/1)#ip dhcp snooping trust AC(config-if-GigabitEthernet0/1)#exit
(2)配置ARP防护功能(开启arp防护需要让已经在线的终端下线再关联无线):
1)未开启Web认证功能时:
AC(config)#wlansec1
AC(config-wlansec)#ip verify source port-security
AC(config-wlansec)#arp-check AC(config-wlansec)#end AC#write(下转第62页)
个伪随机数发[2]。
2口令生成方法
提出的口令生成方法如图1所示,用户注册账户时通过账号和秘密生成口令,当用户登录系统时,通过同样的计算就又得到同样的口令,
口令不需要保密存储。
图1口令生成示意图
2.1生成随机字节串
用户进行系统注册时,选择一个账号account 和一个密钥secret ,计算得到N 字节(N 必须大于口令
长度L )的随机字节串randomByteStr ,如式(1)所示。
randomByteStr=Hash(secret ,account)(1)2.2动态确定口令字节串起始位置
首先获取randomByteStr 的第0字节,取最低4比特做口令字节串的起始位置s ,后续字节的位置分别为(s+1)modN,(s+2)modN …(s+L-1)modN 。例如:如图2所示,randomByteStr 的长度N=10字节,randomByteStr 的第0字节是a7,因而口令字节串的起始位置是7。若口令长度L=6字符,那么口令字节串是0xc1、0x40、0x91、0xa7、0x10、0xf3。
无线网络受限制或无连接图2randomByteStr 示意图
2.3口令生成算法
输入:randomByteStr ,口令长度L 输出:passWord
(1)初始字节位置s =randomByteStr[0]&0xff (2)for(i=0;i++;i<L)
(3)password[i]=base94+Encode(randomByteStr[s])(4)s=(s+1)mod N (5)输出口令password
3安全性分析
(1)攻击者即使知道账号信息account ,因为不知道秘密se⁃cret ,因此不能获得randomByteStr ,也就不能得到与账号对应的口令。另外攻击者即使知道randomByteStr ,由于Hash 函数的单向性[3],攻击者也不能获得用户的secret 。敌手获得口令的最好方法是蛮力攻击,只要secret 足够复杂,蛮力攻击就是不可行的。
(2)Hash 函数是一个伪随机数发生器,通过Hash 函数得到的randomByteStr 可以是随机的,动态确定口令字节串的起始位置也进一步增加了随机性,这样得到的口令是随机的。
(3)Base94+的编排方式保障了特殊字符出现32次,大写字母出现32次,小写字母出现32次,数字出现32次。当口令长度是L 字符,则生成至少含有三类字符的口令的概率是:
(4L -4-6(2L -2))/4L 。口令长度越长,生成至少含有三类字符口令的概率越大,例如口令长度L=8,则生成至少含有三类字符的口令的概率约为97.67%。
4结语
应用系统基本都采用口令进行身份认证,大多数应用系统
一般都要求口令中包含特殊字符、英文字母、数字并且长度要大于8。这样的口令不好记忆,用户忘记口令,需要进行密码回操作,这既麻烦又不能保护口令安全。提出的口令生成方法能快速生成包含
特殊符号、字母、数字的口令,用IC 卡或者App 、小程序实现该方法,口令可以即用即得,不用存储和记忆,可以很好地保护口令安全。
参考文献:
[1]H.Krawczyk ,M.Bellare ,R.Canetti.HMAC:Keyed-Hashing
for Message Authentication[EB/OL]./html/rfc2104
[2]D.M'Raihi ,M.Bellare ,and F.Hoornaert ,HOTP:An HMAC-Based One-Time Password Algorithm[EB/OL]./html/rfc4226.
[3]杨茂云,信息与网络安全[M].北京:电子工业出版社,2007.[4]国家密码管理局.国家密码管理局关于发布《祖冲之序列密码算法》等6项密码行业标准公告[EB/OL].v/sca/xwdt/2012-03/21/content_1002392.shtml.
【通联编辑:代影】
(上接第58页)
2)开启Web 认证功能时:
AC(config)#web-auth dhcp-check
AC(config)#http redirect direct-arp 192.168.51.1AC(config)#wlansec 1
AC(config-wlansec)#arp-check AC(config-wlansec)#end AC#write
3小结
其次在本方案中采用的是无线相关知识来进行酒店网络
升级和优化,为避免单点故障,使用了集冗余的方法,增强了无线的无线网络稳定性和防灾能力,对无线数据进行负载均
衡,AC-1为主用,AC-2为备用。AP 与AC-1建立隧道,当AP 与AC-1失去连接时能够和AC-2建立隧道并提供服务,这样的冗余设计,增强了无线网络的可靠性,避免因某个AC 故障而导致其下接的AP 都不能提供服务。
参考文献:
[1]宋玉红.酒店局域网组网及宽带接入方案设计[J].吉林省经济管理干部学院学报,2009,23(5):64-66.
[2]胡道元.智能建筑计算机网络工程[M].北京:清华大学出版社,2002.
[3]于璐.WIFI 无线登录安全性研究[J].软件,2013,34(12):235-238.
【通联编辑:唐一东】
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论