《大理一号院酒店网络改造方案》由会员分享,可在线阅读,更多相关《大理一号院酒店网络改造方案(48页珍藏版)》请在金锄头文库上搜索。
1、大理一号院酒店网络改造建设方案 H3C通信技术有限公司2014年2月1.网络现状12.网络分析23.酒店网络解决方案24.有线无线一体化设计44.1.酒店无线部署设计54.2.无线安全54.3.无线覆盖解决方案65.产品介绍95.1.H3C SecPath F100-S-G防火墙(出口安全网关)95.1.1.产品特点105.1.2.产品技术规格125.2.H3C S5800交换机(核心交换机+无线控制器)175.2.1.产品特点185.2.2.产品技术规格215.3.H3C S3110交换机(带POE功能的接入交换机)285.3.1.产品特点285.3.2.产品技术规格315.4.H3C WA
2、2610H-GN面板式无线接入设备(客房用面板式AP)365.4.1.产品特点365.4.2.产品技术规格40编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页1. 网络现状大理古城一号院无线网络一直不稳定,特别是客房区的无线WIFI频频出问题,现将常见故障归结如下:vn1800G 74栋2层,每栋每层50平米,每栋间隔2米,AP:ARG1210穿墙王方案一拓扑图:(文档后附上大图)1、此方案是施工的方案,整个客房区上网通过飞鱼星路由器。客房AP关闭DHCP服务,飞鱼星开启HDCP分配给AP和终端设备IP地址,整个无线WIFI覆盖酒店区域,使用同一个用户名和密码,
3、实现无线信号漫游。此方案使用后出现移动设备无法获取最优网络,使用中客房无线经常出现“有信号无法上网”等故障。我个人认为有以下原因:单个AP或者飞鱼星无故死机,只能重新启动设备。2、方案二拓扑图雷同方案一。此方案是现用的方案。此方案中终端设备的IP地址由AP分配。每个AP的WAN口地址使用飞鱼星的地址(手动指定静态IP)。每个无线点成单独的无线网络,无线连接使用不同的用户名和密码,去掉无线漫游功能。此方案使用后出现最多的问题是移动设备无法获取的AP给的IP地址(设备显示有信号,但无法连接),重启AP后能正常获取IP地址,上网正常。2. 网络分析针对大理一号院酒店客房网现状可得出如下几点结果:1、
4、 网络建设不规范,导致出现网络经常不稳定情况的发生;2、 从路由器至交换机再到无线AP均是SOHO(简易,家用)型设备,且这些品牌的设备在市面上主要用于家用,不适合大理一号院酒店这么高档次的酒店使用;3、 无线AP带机量不足,AP布点规划不合理,致使客房区无线网络体验差;以上是现网存在的主要几点原因,针对网络现状,我们将给出合理的网络规划方案。3. 酒店网络解决方案本次大理一号院酒店网络改造主要是针对客房无线网络进行改造。客房网主要作为酒店客人、部分管理人员上网用,同时提供无线网络服务。网络改造后的拓扑图如下: 如图所示:酒店客房网采用核心+接入层的网络结构。原来的什么飞鱼星路由器,傻瓜交换机
5、,所谓的穿墙王无线AP均不要在使用,既是要使用,也最好作为补充使用。本次网络改造如下:核心交换机:客房网核心交换机,是整个客房网网络的核心节点,是酒店用户访问Internet资源的核心设备。所以高可靠性以及高性能的设备是酒店考虑的关键。所以建议核心层采用H3C S5800-32C-PWE高性能三层可扩展交换机。H3C S5800-32C-PWR交换机是全三层万兆可扩展交换机,同时它还支持扩展无线控制功能,所有电口支持POE供电,可通过双绞线直接给与其相连的无线AP进行供电(该产品详细介绍及技术规格请查阅产品介绍章节)。接入交换机:接入层采用H3C S3110-10TP-PWR交换机替换原有的傻
6、瓜交换机,该交换机支持8个百兆以太网电口(支持POE供电)2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口。H3C S3110系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代百兆以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机。S3110系列交换机具备百兆到桌面,千兆上行的特点,上行通过千兆光纤接入到核心交换机,下行直接连接用户终端或者无线AP,同时提供无线AP的POE供电功能,免去二次布线的成本和烦恼。无线AP:针对以上分析结果,建议淘汰原来酒店
7、采用的所谓穿墙王无线AP。本次网络改造建议采用H3C WA2610H面板式无线AP对整个酒店区域内的所有客房进行精密覆盖。H3C WA2610H-GN无线接入点是H3C自主研发的新一代面板式无线接入设备(以下简称AP),可以安装在任意86mm面板的暗盒之上,不破坏原有装修,安装方便,可管理能力强。WA2610H-GN适合于学校宿舍、医院病房、酒店房间等各种密集房间场所,解决了在这些场景中,传统AP布放方式信号质量不佳的问题,并极大的减少了安装成本以及实施时所带来的运营成本。网络出口安全网关:本次网络改造建议淘汰原来使用的飞鱼星路由器,此路由器数据转发性能较差,无法满足酒店客房网的统一出口,因此
8、才会出现经常网络故障的原因。 为了是酒店客房网既能正常访问Internet,同时又可在一定程度上保障整个客房网网络的安全,网络出口位置我们建议采用1套H3C F100-S-G防火墙作为客房网出口网关。它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, )、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与M
9、AC绑定等安全增强措施。同时支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如GRE VPN 、IPSec VPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持IPv4/IPv6双协议栈;支持丰富的QoS特性。而且该防火墙
10、的数据转发性能较高,数据包吞吐量可达1G以上,足以满足大理一号院酒店客房网的正常使用需求。4. 有线无线一体化设计无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN
11、技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和Intranet相连,从体系结构上节省了协议转换器等相关设备;扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;4.1. 酒店无线部署设计目前无线局域网普遍采用802.11n协议,本次酒店客房网设计的无线局域网将主要支持先进的802.11b/g/n(150M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务。无线覆盖侧重实际应用,主要部署在酒店内部的房间,为移动接入提供切实可用的无线网络环境;为了避免二次部署电源线造成的装修破坏,采用POE供电的方式对所有
12、无线AP进行POE供电,也就是说用普通的网线来同时对AP进行供电以及数据传输。这样既减轻了施工布线的难度,也降低的酒店装修破坏的风险。只需要各个AP根据自身的部署物理位置,接入到最近的POE供电交换机,就可以直接通过POE交换机供电。4.2. 无线安全酒店可往往无线局域网络主要服务于使用便携电脑的客人,由于无线具有一定开放性,因此必须着重考虑无线接入安全。无线网络安全部分主要包括以下方面的内容:MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,
13、如果没有SSID标识则不能进入网络;WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;H3C无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下
14、不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;与H3C公司的EAD方案配合,可以实现无线接入统一认证,并实现流量异常、报文异常监管,从而进一步保护网络的安全。4.3. 无线覆盖解决方案本次设计的有线无线一体化接入方案为无线控制器“瘦”AP方案,无线控制器作为无线数据控制转发中心,旁挂部署在酒店客房网核心交换机侧,无线接入点则部署在各个区域,实现酒店无线区域的移动接入。Fit AP和 无线控制器之间既可以在同一个网段,也可以不在同一个网段,它们之间通过CAPWAP协议自动建立隧道(该隧道基于UDP,可以穿越三层网络),结合有线交换机的接入功
15、能,这样就非常容易部署企业级有线无线一体化接入方案。无线控制器瘦AP方案的特点如下:1)智能射频管理:每个AP上电时,无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率,在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时,无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号当覆盖区域内的某个AP发生故障而造成覆盖黑洞时,无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域,当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。2)智能负载均衡:无线控制器可以设定AP间对接入用户进行负载分担,负载分担的策略可以是基于AP接入的用户数量,AP流量负载情况;当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP;只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现。3) 无线入侵检测:非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备,无线控制
