前言: 起航学习网给大家介绍的是“香格里拉XX大酒店无线工程的设计与实现”方面的知识点,关注起航学习网就等于关注
起航学习网给大家介绍的是“香格里拉XX大酒店无线工程的设计与实现”方面的知识点,关注起航学习网就等于关注成考,每日最新成考指南信息就在起航学习网!
报考湘大本科层次的学子即将毕业了,但是这并不意味着我们就没有作业了,众所周知,凡是毕业的学子,无论成考大专还是本科都需要准备毕业论文,如此才可以给自己的学业画上一个圆满的句号。今天我校给考生分享的是“香格里拉XX大酒店无线工程的设计与实现”一文。希望可以帮助大家了解论文写作的格式。
湘大毕业论文(设计)任务书
论文(设计)题目:香格里拉XX大酒店无线工程的设计与实现
一、主要内容及基本要求
1.香格里拉XX酒店无线环境勘测
2.香格里拉XX酒店实际复杂环境中无线的设计与实现
3.无线网络中信号覆盖、统一管理以及漫游过程的研究
4.香格里拉XX酒店无线项目方案设计和实施
二、重要研究的问题
1.企业无线网络需求
2.无线网络设计原则
3.验证无线网络部署
三、进度安排
|
序号 |
各阶段完成的内容 |
完成时间 |
|
1 |
选题 |
2012.10.20 |
|
2 |
开题 |
2012.11.15 |
|
3 |
初稿 |
2012.12.12 |
|
4 |
修改 |
2013.01.10 |
|
5 |
定稿 |
2013.02.20 |
|
6 |
|
|
四、应收集的资料及主要参考文献
1.《无线通信原理与应用》(第二版)、电子工业出版社,2012年版;
2.《思科网络技术学院教程:无线局域网基础》人民邮电出版社,2005年版;
3.《无线网络规划与优化导论》北京邮电大学出版社有限公司,北京邮电大学出版社,2011年版;
4.《IEEE802.11无线局域网》电子工业出版社,2004年版;
5.《无线局域网》人民邮电出版社,2003年版;
6.《构建Cisco无线局域网》科学出版社,2003年版;
7.《无线局域网安全分析与防护》哈尔滨工程大学出版社,2009年版;
8.《无线局域网:WLAN原理技术与应用》西安电子科技大学出版社,2004年版;
9.《无线局域网络技术与安全》机械工业出版社,2005年版;
10.《无线局域网安全接入》高等教育出版社,2009年版。
对香格里拉XX大酒店无线工程的设计与实现的文献综述
一、研究的目的及现实意义
本文通过讨论无线局域网的技术及研究如何使用无线局域网来组建无线网络,在宽带网络技术及其应用告诉发展的今天,具有很高的现实意义。
二、研究的主要观点和研究方法
文章中详细介绍WLAN技术的起源和发展,WLAN技术要点、WLAN的实现标准、WLAN的应用、如何设计一个WLAN网络,并通过举证实例来阐述如何设计和建设WLAN网络。并深刻论述了无线传输协议IEEE802.11标准。通过这些介绍,能够较为系统和全面的学习WLAN技术的理论知识。
无线局域网技术的新发展表现为更高的速度、更好的互操作性以及安全性。无线局域网具有的高灵活性和可靠性,可以立竿见影地提高生产效率,在各行业的广泛应用取得了引人瞩目的成果,展示了极为广阔的市场前景,它将创造崭新的生活和工作风尚。
三、参考文献
[1]拉帕波特,无线通信原理与应用[M].电子工业出版社,2012.7
[2]美国思科网络技术学院,思科网络技术学院教程:无线局域网基础[M].人民邮电出版社,2005.8
[3]黄标,无线网络规划与优化导论[M].北京邮电大学出版社,2011.12
[4]金纯,IEEE802.11无线局域网[M].电子工业出版社,2014.1
[5]牛伟,无线局域网[M].人民邮电出版社,2003.9
[6]韦莱,构建Cisco无线局域网[M].科学出版社,2003.1
[7]李贤玉,无线局域网安全分析与防护[M].哈尔滨工程大学出版社,2009.1
[8]刘乃安,无线局域网:WLAN原理技术与应用[M].西安电子科技大学出版社,2004.4
[9]王顺满,无线局域网络技术与安全[M].机械工业出版社,2005.9
[10]马建峰,无线局域网安全接入[M].高等教育出版社,2009.4
香格里拉XX大酒店无线工程的设计与实现
摘要:从七十年代,人们就开始了无线网的研究。在整个八十年代,伴随着以太局域网的迅猛发展,以具有不用架线、灵活性强等优点的无线网以己之长补“有线”所短,也赢得了特定市场的认可。1997年6月,IEEE终于通过了802.11标准。各厂商的产品只要遵循这一标准就能实现产品间的兼容。
市场调查公司Dell'Oro最新公布的市场数据显示,在去年第四季度,企业无线局域网市场比上年增长了34.2%,2006年市场规模高达12.5亿美元,其中思科凭借65.9%的市场份额在企业无线局域网市场折桂。无线通信领域的咨询公司Farpoint的专家认为,无线通信是几乎所有信息技术和知识系统的理想平台。依靠无线局域网提供的卓越性能、可扩展性和可靠性,企业员工能够依照自己的时间安排、所处地理位置及个人喜好高效地开展业务。可以说,无线技术成就了高效的移动工作。
本论文首先介绍了无线技术的发展历程、应用状况和未来趋势,简要分析了无线的基本原理和常用协议。从系统设计、硬件构架、软件构架三方面对无线做了比较深入的剖析,在对传统有线弊端分析及无线技术在香格里拉XX酒店企业网中应用可行性分析的基础上,提出了一套使用的企业级无线系统设计方案,实现香格里拉XX酒店系统企业网与有线网“双网合一”。论文详细研究了工程实施过程中各种复杂环境下需求的实现,重点分析并解决了设计中心主备无线控制器的可靠备份;基于路由互指双拓扑方式建设企业无线网络,实现无线透传和有线交互;通过共同协作的方式实现有线和无线无缝切换,不同身份验证以及安全加固的系统架构;实现无线权限分配和安全接入等关键技术问题。
本方案设计并实施了无线网与有线网的融合,并突出说明了无线技术的优势以及其为企业为个人带来的巨大经济效益。该方案已经付诸实施,验证了本方案的正确性和可行性。
关键词:WLAN;802.11协议;有线局域网;无线通信;
XXShangri-LaHotelwirelessengineeringDesignandImplementation
Abstract:Sincethe70s,peoplebegantheresearchofthewirelessnetwork.Throughoutthe80s,AlongtherapiddevelopmentofEthernetLAN,WirelesswithoutwiringandDeploymentflexibilitytomakeupforthelackofEthernetLAN.Anditwontherecognitionofthespecificmarket.OnJune1997,TheIEEE802.11standardisdeveloped.Eachvendor'sproductsaslongasfollowthisstandardwillbeabletoachievethecompatibilitybetweentheproducts.
ThelatestmarketdataofDell'Oro'smarketresearchfirmdisplayinthefourthquarteroflastyear,EnterprisewirelessLANmarketgrewby34.2%overthepreviousyear.Thesizeofthemarketin2006amountedto$1.25billion.Ciscoshareof65.9%intheenterprisewirelessLANmarketanditMarketshareisthefirst.TheWirelessExpertsbelievethewirelesscommunicationisthemostidealplatformofinformationtechnology.RelyonthewirelessLANprovidessuperiorperformance,scalabilityandreliability,Enterpriseemployeesaccordingtotheirownschedule,locationandpersonalpreferencesefficientlyconductbusiness.Inotherwords,weusethewirelesstechnologyachievementsefficientmobileworking.
Thispaperintroducesthecourseofdevelopmentofthewirelesstechnology,applicationstatusandfuturetrendsandabriefanalysisofthewirelessprotocol.BaseontraditionalEthernetLANdrawbacksanalysisandwirelesstechnologyappliedintheShangri-LatheXXhotelenterprisesnetworkapplicationfeasibilityanalysis,proposeasetofenterprise-classwirelesssystemdesign,realizedthattheShangri-LaXXhotelintegratingtheEthernetLANandWirelessLAN.Thepaperdetailedstudyofthedemandfortherealizationofthecomplexenvironmentintheprocessofprojectimplementation,FocusandresolvethebackupofthewirelesscontrollerandtoachievewirelessLANtransparenttransmissionandinteractivewithEthernetLAN.ThroughateamworkmannertoachieveEthernetLANandwirelessLANswitching,Authenticationandsecurityreinforcement,solvetheKeytechnicalproblemsofassignpermissionsandsecurityaccess.
Thepaperdesignandimplementationofawirelessnetworkandwirednetworkintegration.Highlightstoadvantagesofwirelesstechnologyanditsenormouseconomicbenefitsforindividualsfortheenterprise.Theprogramhasbeenimplementedtoverifythecorrectnessandfeasibilityoftheprogram.
Keywords:WLAN;802.11Protocol;Ethernet;WirelessCommunication
目录
摘要4
Abstract5
第1章绪论9
1.1课题背景及意义9
1.2企业局域网现状10
1.3本人主要工作及成果11
1.4本文组织结构11
第2章无线局域网技术体系12
2.1WLAN技术简介12
2.2WLAN标准12
2.3信道冲突13
2.4WLAN专属名词:SSID14
2.5WLAN网络特点总结14
第3章香格里拉XX酒店无线网络需求分析15
3.1XX酒店无线网络设计原则15
3.1.1先进性和实用性并重15
3.1.2兼容性15
3.1.3无线射频15
3.1.4实时的射频自动检测16
3.1.5便于部署16
3.1.5便于升级16
3.1.5自动负载均衡17
3.1.6自动频道管理和跨IP域漫游18
3.1.7安全性18
3.1.8地理化图形管理界面18
第4章香格里拉XX酒店无线网络设计与实施19
4.1香格里拉XX酒店无线网络架详细设计19
4.1.1设备清单20
4.1.2无线网络核心设计21
4.1.3无线接入点设计21
4.1.4网络安全的设计和实施说明22
4.1.5Cisco设备平均无故障时间25
4.2无线信号覆盖设计26
4.2.1设计指标、原则26
4.2.2室内设计26
4.2.3室外设计34
4.2.4AP位置规划及描述35
第5章复杂环境下的无线网络应用设计47
5.1无线网络逻辑设计47
5.1.1无线网络冗余设计47
5.1.2系统的可扩展性说明48
5.1.3用户密集区域设计48
5.1.4SSID和VLAN规划48
5.1.5与酒店有线网络配合及无线安全设计49
5.1.6无线用户接入地址路由规划50
5.1.7无线网络地址和路由规划50
5.1.8无线漫游设计51
5.1.9无线网络接入安全设计51
5.2无线网络管理系统(WCS)53
5.2.1无线局域网规划和设计53
5.2.2网络监控和排障54
5.2.3室内位置跟踪54
5.2.4无线保护55
5.2.5无线局域网系统管理57
结束语58
参考文献60
香格里拉XX大酒店无线工程的设计与实现
第1章绪论
1.1课题背景及意义
无线网络是利用无线电波来实现计算机设备与位置无关的网络数据传送的系统,是一种灵巧的数据传输系统,从有线网络系统自然延伸出来,用无线射频(RF)技术通过电波收发数据,从而减少电缆连接。
无线网络具有以下特点:
移动性强。无线网络设置允许用户在任何时间、任何地点访问网络数据,不需要指定明确的访问地点,因此用户可以在网络中漫游。
安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只需要安装一个或多个接入点设备,就可以建立覆盖整个区域的局域网络。
具有较高的安全性和较强的灵活性。由于采用了一系列的无线扩展频谱技术,使得其高度安全可靠,无线网络组网灵活、增加和减少主机相当容易。
故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价,无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。
成本低。使用无线网络可以避免铺设线缆的高成本费用、租用线路的月租费用以及当设备需要移动而增加的相关费用,所以无线局域网可以极大地降低组网成本。
1.2企业局域网现状
目前大多数的企业内部已部署了成熟的有线局域网网络,但有线网络面临由于需要布线造成诸多问题、例如移动性差、扩展性不高、安全管理复杂等。企业部署无线局域网能得到高效率、高质量、低商业成本的数据。在这一方面无线网络所提供的移动和无线接入是有线网络无法相比的。通过网络规划,无线局域网可以实现无缝覆盖,可实现用户实现3W(无论何时、无论何地、以任何方式)的接入。
1.3本人主要工作及成果
香格里拉XX酒店无线工程的设计与实现是一整套的系统解决方案。为实现XX酒店系统无线网络和有线网络“双网合一”,工程设计详细参考XX酒店网络现状,根据有线网的现网状况与无线网络的需求情况分析“双网合一”的可行性。
工程实施过程中采用各种技术实现复杂环境下的系统需求。设计中心主备无线控制器可靠备份;路由互指方式建设企业内部无线局域网;实现无线透传和业务部署。实现访客用户和员工用户不同访问权限的无缝对接,共享无线局域网资源,假设统一无线管理系统分析和监控无线网络使用状况,internet接入;实现路由优化设计等。
1.4本文组织结构
本文共分为五章
第一章:绪论部分,大致介绍本课题的背景和意义,企业级无线局域网的发展现状,本人的主要工作和成果,以及本论文的组织结构。
第二章:阐述无线局域网的基本原理及无线网络中的关键技术:传输技术、射频技术、802.11协议栈
第三章:通过对香格里拉XX酒店有线网络现状,以及酒店系统对无线网络建设的需求,得出XX酒店建立无线网络的正确性和可行性,并根据XX酒店实际情况划分多种SSID,还介绍了XX酒店无线网络建设原则。
第四章:从XX酒店的运营状况和业务类型详细阐述了XX酒店无线系统的整体设计与实施,各个业务系统根据具体情况选择不同的无线接入模式。
第五章:在普通无线网络系统建设方式运用各种关键技术提高无线性能。通过主备冗余的方式实现高可用性。通过AP集中注册到Controller的方式实现统一集中管理,通过加密和身份验证实现数据传输过程中的安全保护。
结束语:简要说明系统功能实现情况。根据测试,所有需求均已实现,验证了本方案的正确性和可行性。
第2章无线局域网技术体系
2.1WLAN技术简介
WLAN即无线局域网。无线局域网是固定局域网的一种延伸,对用户是完全透明的,使用起来与有线局域网一样。WLAN的基本结构是由接入点(AP)和无线控制器(AC)构成。AP是WLAN业务网络接入设备,相当于小型无线基站,负责与终端进行无线通讯;AC负责对AP的管理与控制。
2.2WLAN标准
IEEE制定了802.11协议栈,为WLAN的标准之一,IEEE规定如何调制射频来传递信息。WI-FI是一个无线网络通信技术的品牌,有Wi-Fi联盟所持有,使用符合IEEE802.11标准的产品上,目的是改善基于802.11标准的无线产品之间的互通性。
802.11在原始的802.11标准的基础上有了很多扩展标准:
802.11工作在2.4G(2.4000~2.4835GHz)频段,提供了每秒1M或2M传输速率
802.11b工作在2.4G频段,提供了每秒11M的传输速率。在1999年,IEEE接受了802.11b作为以太网标准,平均速率每秒4M,平均范围50多米
802.11a工作在5G频段,提供了每秒54M的传输速率,平均吞吐量是20-36M/秒,平均范围10-100米
802.11g在2.4G频段上提供了大于20M的带宽,平均每秒20-30M,平均范围50米
802.11n计划将WLAN的传输速率从802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可达320Mbps
2.3信道冲突
对于802.11b整个2.4G频段被划分为14个信道,每个信道的带宽为22MHz,在802.11中,每个站点或者AP使用某个信道作为传输媒介,也被称为工作信道。
14信道:每个信道占用22MHz,可划分为4个具有3个互不重叠信道的信道集合{1,6,11},{2,7,12},{3,8,13},{4,9,14},但每次只能使用一个信道集合。为了避免信道间干扰,同一区域内的AP的工作信道不能重叠,中心频率间隔最少为25MHz,因此最多只能有3个工作在不同信道的AP。
进行频率规划时需要综合考虑容量问题。单AP同时可承载20个用户,用户越密集,需要AP越密集,AP间相互干扰越严重。
2.4WLAN专属名词:SSID
SSID,可以称作无线网络的名称。每个AP必须配置一个SSID,每个客户端必须匹配AP的SSID才能连接得上。
2.5WLAN网络特点总结
1)稳定性。采用无线信号传输,受环境影响较大,信号稳定性较差。
2)频点的限制。根据对WLAN频段的分析,802.11b和802.11g可以同时有三个互不干扰的频点,802.11a可以同时有五个互不干扰的频点,在用户容量较大的情况下,频点明显不足。尤其是在多运营商同时建设时,很难协调频点的分配。
3)安全性。目前WLAN主流标准为802.11系列,无线通信的安全性较弱。
4)依赖终端性能。无线网卡种类繁多,其性能会对上网体验造成明显影响。
第3章香格里拉XX酒店无线网络需求分析
3.1XX酒店无线网络设计原则
香格里拉XX酒店大楼无线局域网将采用思科无线集中架构网络解决方案,专门为香格里拉XX酒店大楼无线局域网络设计。
根据具体需求和勘测情况,在此次网络建设的规划、设计和实施中遵循以下原则:
3.1.1先进性和实用性并重
系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
3.1.2兼容性
网络采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时保证网络的互联,思科的无线局域网全部支持从交换机直接通过以太网供电,不必为AP另行配置电源插座。
思科的无线局域网系统满足国际和国内的无线标准,市场占有率超过60%,思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备,如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备,事实上,几乎今天在市面上知名的品牌均可以兼容。
3.1.3无线射频
根据中国国家无线电管理委员会的规定,在办公室内部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。同样的原因,在通常情况下,终端使用5mw左右的发射功率,以避免大功率长期辐射对人体的影响。无线接入点即AP执行IEEE802.11b标准工作在11Mbps到1Mbps之间,随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw,功率智能调节。
3.1.4实时的射频自动检测
无线信号容易受到其他信号的干扰,无线局域网使用的2.4GHz和5GHz频段是开放频段,无需注册即可获得使用,因此下列设备可能造成干扰:微波炉
其他大楼的无线系统2.4GHz的无绳电话等因此思科的AP实时进行射频的监测,AP后台的控制器能够实时对AP进行控制,控制功率的大小,比如当1个AP实效以后,其他的AP通过自动计算对功率进行增加;出现信号的时候,控制器能够对信号干扰来源进行定位,确定何处的信号干扰,信号干扰的程度如何,并地图方式显示在网管上。
传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部,这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中,这种物理保护并不存在。无线信号会扩散到物理围墙之外,从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题,必须采用正确的RF设计、发射功率控制和先进的定位技术。
3.1.5便于部署
在向网络引入基于轻型接入点和无线局域网控制器的集中化时,并不需要在接入层重新划分子网和设置VLAN中继。相反,VLAN将以中继方式连接到一个集中式无线局域网控制器,而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。
在使用集中化解决方案时,一个轻型接入点只需要找出无线局域网控制器的IP地址――当部署于第二层模式时。(在部署于一个远程子网中时,接入点需要IP地址、子网掩码和缺省网关信息)。轻型接入点还可以从一个标准的动态主机配置协议(DHCP)服务器接收无线局域网控制器的IP地址。
在轻型接入点联系无线局域网控制器之后,控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道,进而发送到无线局域网控制器,所以不需要将特殊VLAN扩展到各个接入点。
3.1.5便于升级
利用思科统一无线网络,所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时,它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。
思科统一无线网络的低成本接入点升级的另外一个好处是:轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。
3.1.5自动负载均衡
有线网络在本质上具有确定性――第二层(以太网)和第三层(IP)交换机和路由器都是便于理解、可以预测的。但是,用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化,从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点,有数以百计的用户在移动使用网络。而在早上3点,办公室的大门紧锁,没有人在办公,而且附近的办公室和咖啡厅也不会产生RF干扰。
更多的情况下,在同一时间,大家从各自的办公室汇聚到会议厅,特别是当人数比较多,超出了1个AP的承受范围,那么带宽会慢的无法工作;为了保障带宽,如果在AP设置了限制,那么后来的人员无法得到无线连接服务,因为在后台控制器的模式,可以对AP自动的负载均衡,将终端分别发送到不同的AP,自动计算和对终端的流量进行均衡(见下图),比如,当这个AP的利用率到了80%,那么控制器自动将用户引导到另外的空闲的相邻AP上面,而在我们的设计中,所有的AP部署已经考虑了人员的位置和可能的集中的情况,完全可以智能的处理动态的负载变化。
3.1.6自动频道管理和跨IP域漫游
无线局域网802.11b标准使用3个不重复的频道,1、6、11,为了实现自动漫游,需要对频道的管理。思科无线系统由于采用了后台集中控制的方式,能够当AP布防后,通过实时射频监测,然后自动对频道进行分配,并地图方式显示在网管上。
无线局域网的AP如果处于不同的子网,在漫游的过程中,需要处理三层的漫游,在后台保持用户的DHCP得来的IP租用,认证的会话密钥等,控制器可以自动完成三层无线漫游,而这一过程对于客户端是透明不受影响的。
3.1.7安全性
无线网络支持最多的安全特性,采用集中认证,对每个数据包进行加密。通过对射频的实时监测,发现并定位恶意的AP,恶意AP是未经授权的人员通过自己设置一个AP,吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议,能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司,能够支持最多的安全保障和扩展的端口安全管理。
3.1.8地理化图形管理界面
网络管理界面全部图形化,能够输入大楼的平面图,并且能够进行微调,能够输入障碍物等信息,在网管上面可以操作全部的无线功能。在AP上无需任何配置。
第4章香格里拉XX酒店无线网络设计与实施
4.1香格里拉XX酒店无线网络架详细设计
根据香格里拉XX酒店大楼的信息点部署,物理分布和实际网络结构特点,建议选用思科特有的集中无线网络解决方案,整体划一,系统管理,准确定位,高效运营,全面满足香格里拉XX酒店无线网络的业务需求,同时为今后的应用拓展(如无线WLAN电话,无线Video等)做好充分的技术平台准备。
网络拓扑图如下:
4.1.1设备清单
ItemOrderNumberProductDescriptionQTY
WilrelessController
1无线控制器AIR-WLC4404-100-K92
2光纤模块GLC-SX-MM=8
3无线网管软件WCS-STANDARD-K91
4网管软件WCS-APBASE-1001
5光盘介质WCS-CD-K91
6
WilrelessThinAp
7室内APAIR-LAP1242AG-C-K993
8室外APAIR-LAP1310G-A-K9R2
9室内天线6dbi大角度定向天线253
10室外天线10dbi室外全向天线1
11室外天线12dbi室外定向天线3
12室外天线防雷器天线防雷器4
13信号防雷器RJ45-TELE/4S3
14转接头TNC-N93
15天线分路器四分器72
161/2英寸低损耗馈线0.2db/m1200
171/2英寸低损耗馈线0.1db/m800
18N型低损耗馈线接头铜质镀镍530
Others
19Cat6跳线(只含AP部分)原装康普5M六类跳线100
20其它
4.1.2无线网络核心设计
如上图所示,基于现有的酒店大楼客房局域网络,首先部署两台思科的WLAN控制器WLC4404,这里所配置的一台WLC4404能够支持对100台瘦AP全面系统深入的管理。每台WLC4404控制器均通过4根光纤连接核心交换机,提供自动流量负载均衡和自动冗余。此次项目中,整栋大楼预计需要AP设备95台,两台WLC4404通过网络方式组成一个高性能,高冗余,高扩展的控制器群组,即能按需实现负载均衡,又能确保关键设备的备份冗余,而且能够根据客户业务提升,高效快捷的拓展整个控制平台的容量。WLC4404控制器不仅支持802.11a/b/g,还支持802.11n,所以将来AP升级到802.11n,不需要更换或升级中心控制设备。同时无线控制器内嵌了各种WIDS的签名保护无线网络,而且可以支持签名的更新和升级。
为了更好的实效对于两台WLAN控制器WLC4404的高效管理,建议配备一套WLAN控制系统WCS系统软件,根据具体要求安装在指定网络服务器平台中。WCS的任务是通过对多达几百台各种级别WLAN控制器的系统管理,提供给客户一个面向相当规模无线局域网规划、配置和管理的领先平台,进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。
4.1.3无线接入点设计
此次无线网络信号覆盖范围包括:室内和室外两大部分。室内主要区域为客房、会议室、宴会厅、商务房、餐厅等酒店大楼内部公共区域,室外主要需要覆盖4F的平台花园整个区域。
根据客户需求及现场环境,针对酒店大楼室内无线覆盖,无线瘦接入点建议选择CiscoAIR-LAP1242AG。针对客房区域,考虑到每个房间的具体环境(房间的墙壁对无线信号有较强的隔离效果),建议采用配置外置天线连接LAP1242AG,同时增加功分器及馈线来扩展天线信号覆盖区域(具体实现方式参见无线信号覆盖设计-室内设计)。所有室内AP均支持POE供电,在具体网络环境中,只需要将AP通过网线连接至POE交换机即可为AP供电。而且AP1242是802.11a/b/g三频同时转发,保证各种频段信号的收发;AP可以同时工作在监控和转发模式下,在启用IPS探测的同时也能正常转发信号,并且不影响AP的性能。
针对酒店大楼室外的无线覆盖,室外无线瘦接入点建议选择AIR-LAP1310G-A-K9R。该AP运用全新材料设计,放水、防尘,适用在大型的室外集会场所或者露天广场等地点。同时自带两个RP-TNC类型接口,用于连接外置天线,支持双频段(2.4GHz和5GHz)。考虑到设备放置在室外避免雷击,针对每台室外AP分别配置一套信号防雷模块,保证设备的安全(具体实现方式见无线信号覆盖范围-室外设计)。
4.1.4网络安全的设计和实施说明
WLAN的主要安全问题就是没有启用合适的安全特性,缺乏保护的WLAN的信号可能会散播到酒店网络之外,被未经授权的人员――甚至恶意的黑客――发现和利用。由于WLAN的移动性,需要采用一种多层次的安全保障方法。
建议为防止网络遭受无线威胁而采取以下几个步骤:
1)制定一项WLAN安全策略
在部署一套WLAN之前,需要根据用户的具体需求来制定一套适合客户的WLAN安全策略。考虑到香格里拉酒店无线网络的特殊性,建议针对客人无线上网使用GuestVLAN认证策略;针对酒店餐厅点餐网络,建议使用客户端MAC地址过滤及用户名认证策略来保证酒店无线点餐网络。
2)启用WLC内置安全保护功能
WLC内置了一些关键的安全特性:例如,控制器默认不允许Multicast/broadcast流量通过,除非管理员设置
控制器具备ARPProxy功能:ARPs和GratuitousARPs不会发送到WLAN
3)控制器屏蔽duplicateIPSpoofing
对于客户端,无线控制器扮演DHCPrelay角色:WLAN设置的Advance选项里,把DHCPaddrassignmentrequired打上勾是要求客户端必须从指定的DHCP获得地址。这些安全功能都从根本上防止了类似IP地址欺骗、ARP攻击等类似攻击。
Cisco的无线控制器并且具有ACL的功能,可以提供L4-L7的过滤,提供类似防火墙的功能。
保护WLAN系统
思科无线局域网控制器符合最严格的安全标准,包括:
1)802.11iWi-FiWPA2,WPA和有线等效加密(WEP)
WEP(无线加密协议):是无线网络上信息加密的一种标准方法。它一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密。
WPA是WEP的替代方案,它是由IEEE802.11i安全规范派生而来,并与其兼容。WPA包括802.1x认证和TKIP加密(更强和更安全形式的WEP加密)。WPA2是第二代WPA安全方案,也包含802.1x认证。根据802.11i修订,WPA2使用高级加密标准(AES)保护数据保密。
802.1X,是一种通过认证保护网络的端口访问协议。此类型的验证方法在无线环境中因该媒体的性质而特别有用。如果无线用户通过802.1x网络访问验证,接入点上会打开一个用于通信的虚拟端口。如果验证不成功,则不会提供虚拟端口,并将阻断通信。802.1X带多种可扩展验证协议(EAP)类型—受保护EAP(PEAP),带传输层安全的EAP(EAP-TLS),带隧道化TLS的EAP(EAP-TTLS)和思科LEAP。
同时Cisco的无线控制器支持GuestVlan特性,针对所有的客人分配的GuestVlan的SSID,使用简单的Web认证允许客人只能访问Internet,而不能访问酒店的内网,这样就可以规避复杂的无线客户端的配置。
由于此次酒店无线网络包括两个部分:客人上网业务和酒店餐厅点餐业务。针对此次酒店客人上网业务无线网络的安全保护,根据客户具体的需求,建议部署GuestVlan认证接入策略,来保证无线接入用户的安全。
针对酒店餐厅点餐业务建议采取MAC地址过滤及802.1x、WPA加密认证策略限制来保证餐厅点餐系统的安全,同时针对酒店餐厅点餐业务单独分配一个SSID,并且设置对客户端不广播该SSID,防止非法用户搜索该无线网络。
2)嵌入式无线IDS
无线控制器内置了在线的IDS,用于检测非法的客户端和AP。当检测到非法的AP和客户端时,可以对非法AP或客户端最多可以通过4个AP进行压制,使其无法工作。并且无线控制器实现的是有线/无线一体化的安全策略,可以通过有线的IPS和防火墙实现对无线接入数据的4-7层的IPS保护,并且可以联动。
思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现,即有些功能由接入点承担,另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库,它可用于检测无线威胁――包括恶意接入点,特殊网络,或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击,以及检测那些工作信道与它们不同的威胁,例如恶意接入点和特殊网络。
因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书,它们可以检测到伪装成网络中某个可靠接入点(充当一个honeypot*)的未经授权的接入点。
思科统一无线网络还可以利用其强大的隔离恶意功能,消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。
有线网络安全
考虑到酒店无线网络针对所有客人提供无线上网,需要在核心有线网络设备部署较为严格的安全策略,保证无线网络仅提供无线上网和点餐业务,将无线网络和有线网络进行逻辑的安全隔离。
技术保证及施工工艺说明
本方案均符合国家无线信号辐射强度的规定,我公司将成立针对本项目的项目小组,我司施工人员均持证上岗。上海新联公司派遣经验丰富的工程技术人员到现场指导并参与天馈系统施工。
所有跳线标签的规格、颜色和型号
跳线使用康普原装5M跳线,颜色为灰色。
跳线标签采用“贴普乐”PRO标签带。白色,型号为SV24K。
无线天线的具体品牌、规格和型号;
方案中采用上海新联伟讯自主研发的天线系统。
NEWLANNLAD—01C6dbi室内大角度定向天线
NEWLANNLAOD—10B10dbi室外全向天线
下图为NLAD—01C天线照片
酒店自购设备和其它网络设备接口及其连接方式说明
无线网络设备有线网络设备接口类型单台无线
设备接口数连接方式
无线控制器4404核心交换机LC4多模光纤
WCS无线网管服务器核心交换机RJ451六类双绞线
1242无线访问点接入层交换机RJ451六类双绞线
1310无线访问点接入层交换机RJ451六类双绞线
g)所有馈线及其相关配件的具体品牌、规格和型号;
馈线和接头为ANDREW公司产品,品质优良,厂商提供完善的产品质保。
ANDREWLDF4低损耗馈线
ANDREWL4PNM-RC、L4PNF-RC接头
NL-GFQ-2二功分器
NL-GFQ-3三功分器
NL-GFQ-4四功分器
4.1.5Cisco设备平均无故障时间
ProductNameMTBF(hours)
AIR-WLC4404-100-K9236,314
AIR-LAP1242AG-C-K9256,422
AIR-LAP1310G-A-K9R256,422
4.2无线信号覆盖设计
4.2.1设计指标、原则
设计原则:
无线覆盖设计将遵循按照信号范围最大化原则,在此次项目需求全面覆盖的前提下,重点选择部分区域进行更加细腻的覆盖。并且,保证无线网络稳定性并与绝大多数主流无线网卡兼容,同时兼顾考虑网络扩容,为今后网络扩容做好预留。
设计指标:
各信号输出点信号强度10-15dbm;将按照2.4G工作频段2.412~2.462GHz(FCC)分为channel1、channel6、channel11三个完全不干扰频段设计;目标覆盖区域信号强度>-60dbm。
2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下:
水泥墙(15~25cm):衰减10~12dB
木板墙(5~10cm):衰减5~6dB
玻璃窗(3~5cm):衰减5~7dB
各种建筑材料对无线讯号的影响如下:
当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下<5米有效距离。
当AP与终端中间隔一座木板墙时,AP的传送距离约剩下<15米有效距离。
当AP与终端中间隔一座玻璃墙时,AP的传送距离约剩下<15米有效距离。
所以在安装选点时,一定要注意以避开墙、柱子等
根据国家无线电管理委员会1997年《2.4GHz频段的管理办法》中规定的场强标准,选配不同技术规格的全向天线、扇区天线,既要考虑到每个信号输出点的电频强度,又要顾及信号对人体可能存在的危害,达到“绿色环保”的效果。
4.2.2室内设计
室内覆盖规划原则:
AP的放置要遵循两个原则AP覆盖区域无间隙;
AP重叠区域最小。相邻AP工作在不同频道,以1,6,11三个频道实现全方位的覆盖。
保证各个客房及办公公共区域的无线信号覆盖强度>-60dbm
考虑到酒店大楼内部的硬件设施对无线信号的干扰较强,同时也为了节约开支,此次酒店大楼无线信号覆盖设计思路如下:
酒店大楼内所有需要无线信号覆盖的区域均选用CiscoLAP1242,本身自带2个802.11b/g的RP-TNC连接头和2个802.11a的RP-TNC头,用于连接不同频段的外置天线。如下图所示,每个AP分别连接一个天线四分路器提供四个外置天线连接头,通过延长馈线来连接外置的天线,使这个AP的信号覆盖范围更广,保证信号强度的同时也节省了成本。
采用上海新联纬讯的四功分器,以下为我公司经过现场测试后,得出的无线信号覆盖效果:
测试结果整理
连接10米馈线测试结果
电脑位置使用天线信号强度范围(SNR)Speed
1号位为桌面6dbi(45-55)db54Mbps
2号位为沙发6dbi(43-54)db54Mbps
3号位为床头6dbi(40-47)db54Mbps
4号位靠门位置6dbi(43-55)db54Mbps
5号位为房间中间6dbi(48-55)db54Mbps
6号位为厕所6dbi(35-39)db54Mbps
测试点位置
1楼大厅信号测试位置:天线角度,与水平成30度角朝向4号测试点。
1楼大厅信号测试结果:
1234
2楼中餐厅采用1个AP通过馈线方式连接3个室内天线进行测试:天线角度:垂直朝下。
1234
5678
9101112
3楼宴会厅测试位置:天线角度,垂直朝下。
12345
测试点6为测试当宴会厅内一个AP失效后,另一个AP能否覆盖失效AP范围。6号点测试信号在30dbm左右,在一个AP失效后完全能起到冗余备份的作用。
3楼商务中心测试位置:天线角度与水平成20度角朝向4号测试点。
3楼商务中心测试结果:
123456
综上所述,由于受现场环境影响,测试信号干扰较大,测试结果并不完全符合最后施工结果。但是通过测试我们可以看到在目前信号干扰较大的情况下,大部分测试点已经达到或超过了-60dbm的要求,对于信号不理想的区域我们采用增加天线或AP等方式达到酒店要求。
4.2.3室外设计
由于室外要求无线信号覆盖的区域面积比较大,而且考虑到室外上网的客人数量并不会很多,为了节约成本,针对酒店大楼的室外无线覆盖,建议仍然采用室内无线设计思路:使用一个AP连接一个四功分器的方法来扩大信号覆盖范围节约开支。
虽然酒店大楼已经安装了比较有效的防雷设备,但是为了进一步保护设备以免雷击,针对连接每台室外AP的网络跳线需增加一个信号防雷器(广州雷迅RJ45-TELE/4S)来保证大楼内部设备的安全(安装示意图如下图所示)。
由于室外无线覆盖方式也是通过功分器连接外置天线,需要对每根外置天线增加一个天馈防雷器(ST50T)来保证天线不受雷击(安装连接示意图如下图所示)。
4.2.4AP位置规划及描述
根据上述室内室外的无线信号覆盖设计,此次酒店大楼将布设92个瘦AP,同时考虑到多功能室、商务中心、咖啡廊、会议室、宴会厅等区域上网客人可能较多,这些区域将采用工业级的AIR-LAP1242AG。其中室内安装53个CiscoLAP1020和37个LAP1242AG,室外安装2个CiscoLAP1310G。
楼层接入AP数PoE交换机端口数接入机柜编号
F5225F1
F402238F1
F396638F1
F386638F1
F377738F1
F366635F1
F355535F1
F346635F1
F336632F1
F4443M1
F317173M1/3M2
F216162F1/3F4/3M3
F112121M1/2F2
合计9595
无线局域网常见应用类型及所占比例:
根据不同区域上网人群的应用特点,我们大致将其分为3类:
1、以Web浏览、Email处理、及时聊天为主;
2、以语音、视频通话、下载、游戏等为主;
3、餐厅工作人员使用的点菜系统;
实际的覆盖范围和接入数将取决于环境因素和应用类型。
一楼大堂餐厅:布置3个1242AP,可提供90个以Web浏览、Email处理、及时聊天为主的用户接入,或30个以语音、视频通话、下载、游戏等为主的用户接入。
一楼接待大堂:布置2个1242AP,可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
一楼服务器酒店大堂和商店:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
一楼升降机大堂及走廊:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
一楼咖啡廊:布置4个1242AP,可提供120个以Web浏览、Email处理、及时聊天为主的用户接入,或40个以语音、视频通话、下载、游戏等为主的用户接入。
咖啡廊为为上下层,上层地板为金属结构对信号屏蔽大,因此在下层增加加AP及天线。
二楼多功能室及走廊:布置3个1242AP,可提供90个以Web浏览、Email处理、及时聊天为主的用户接入,或30个以语音、视频通话、下载、游戏等为主的用户接入。
二楼茶座:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
二楼升降机大堂及走廊:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
二楼中餐厅:布置2个1242AP,可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入或60个餐厅工作人员使用的点菜系统接入;
二楼大宴会厅及走廊:布置8个1242AP,可提供240个以Web浏览、Email处理、及时聊天为主的用户接入,或80个以语音、视频通话、下载、游戏等为主的用户接入。
三楼塔楼商务中兴及多功能室:布置3个1242AP,可提供90个以Web浏览、Email处理、及时聊天为主的用户接入,或30个以语音、视频通话、下载、游戏等为主的用户接入。通过天馈系统实现AP间的冗余备份。
三楼接待室及走廊:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
三楼塔楼贵宾室及多功能室:布置2个1242AP(增加1个1242),可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
三楼多功能室:布置4个1242AP,可提供120个以Web浏览、Email处理、及时聊天为主的用户接入,或40个以语音、视频通话、下载、游戏等为主的用户接入。
三楼多功能室:布置2个1242AP(增加1个1242),可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
三楼演讲厅:布置2个1242AP(考虑的关键区域的冗余,增加1个AP),可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
三楼宴会厅及走廊:布置2个1242AP,可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
三楼秘书室、新娘房及走廊:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
四楼健身中心:布置2个1242AP,可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
四楼游戏机室、升降机大堂及室内游泳池:布置1个1242AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
四楼室外花园:布置1个1310AP,可提供30个以Web浏览、Email处理、及时聊天为主的用户接入,或10个以语音、视频通话、下载、游戏等为主的用户接入。
五楼桑拿中心:布置2个1242AP,可提供60个以Web浏览、Email处理、及时聊天为主的用户接入,或20个以语音、视频通话、下载、游戏等为主的用户接入。
三十三楼至三十九楼客房:布置6个1242AP,每个房间至少提供6个以Web浏览、Email处理、及时聊天为主的用户接入,或2个以语音、视频通话、下载、游戏等为主的用户接入。
第5章复杂环境下的无线网络应用设计
5.1无线网络逻辑设计
5.1.1无线网络冗余设计
WLC4404无线控制器使酒店能为支持关键业务应用的端到端无线局域网系统,创建和实施策略。多个WLAN控制器可自动相互发现,并在它们之间无缝协调WLAN服务。以这种方式,多台WLC4404无线局域网控制器可作为单一无缝系统运行,提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到位置跟踪,思科无线局域网控制器提供了必要的控制能力、可扩展性和可靠性,以便IT管理员能构建安全的大型无线网络。
同时思科WLC4404控制器配备了用于自适应实时RF(无线电射频)管理的内嵌软件。WLAN系统使用即将荣获专利的无线资源管理(RRM)算法,来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式,为无线网络创建最优拓扑。
思科无线局域网控制器所管理的特定智能RF功能包括:
动态信道分配—802.11信道可根据不断变化的RF情况进行调整,以优化网络覆盖范围和性能。
干扰检测和避免—该系统可检测干扰并重新调整网络,以避免性能问题。
负载均衡—此系统对多个接入点提供了自动的用户负载均衡,即使负载量很大,也能获得最优网络性能。
覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区,并尝试通过调整接入点的功率输出来修复它们。
动态功率控制—该系统可动态调整各接入点的功率输出,来适应不断变化的网络情况,以确保达到预期的无线性能和可用性。
针对此次香格里拉XX酒店大楼的无线网络,配置两台WLC4404无线控制器来提供中心冗余和负载均衡。
当单个控制器发生故障时,无线接入点可自动找到备用无线局域网控制器,来继续提供无线服务。WLC4404无线局域网控制器能以N+1冗余拓扑部署,使酒店在扩展其无线网络的同时,确信他们不会发生硬件和软件问题。
当接入点发生故障时,WLC4404无线局域网控制器可自动调整邻近接入点的功率,以覆盖故障接入点原来提供服务的区域。
并且CiscoWLC4404无线控制器支持冗余电源,确保即使发生了电源故障,也可保持系统运行。
5.1.2系统的可扩展性说明
在二期客房(7F-32F)无线网络扩容时,按每层6AP预计需要168个AP,只需增加两台4404-100无线控制器。通过增加两台无线控制器4404可以将支持的廋AP总数提高到300台,同时实现N+1的冗余备份方式,并且还留有30个AP的余量。
5.1.3用户密集区域设计
考虑到宴会厅、多功能厅、会议室和演讲厅的用户密集程度和网络应用类型的多样化,除了在保证信号覆盖范围和强度外,我们也通过增加AP数量等方式增加该区域的用户接入数和数据吞吐量。在重要酒店功能区我们的方案要求不能出现单点设备故障隐患,及用户密集区至少有2路信号同时覆盖。
5.1.4SSID和VLAN规划
根据酒店大楼实际情况和应用需求,建议使用二种SSID(可以根据具体用户以后业务需求增加SSID):
客人上网服务SSID-guest-SSID:采用GuestVlan特性限制访问,允许广播;
餐厅点餐服务SSID-Dining-SSID:MAC地址认证+WPA+802.1x,不允许广播;
为了有效的隔离广播域,提高整个大楼无线网络的性能,建议采用思科AP-Group技术,将所有AP划分不同的组(Group),每一组AP为一个VLAN。所有客房公共区域,支持同一SSID的所有AP,按照AP所处楼层、区域位置划分为不同的AP-Group,客户端接入不同AP-Group时被分割到不同的VLAN,获得不同网段的IP地址。
建议根据客人实际情况(地理位置、上网人数等),每个AP-Group不超过30个AP
根据酒店大楼的实际情况,建议:
Guest-SSID对应17个AP-Group,每个AP-Group对应一个VLAN,每个楼层一个AP-Group,同时室外花园一个AP-Group;楼层中的大会议厅占用一个AP-Group;
Dining-SSID对应1个AP-Group,每个AP-Group对应一个VLAN
Guest-SSID对应VLAN101-117
Dining-SSID对应VLAN118
管理网段对应VLAN119
核心交换机完成VLAN间的路由
5.1.5与酒店有线网络配合及无线安全设计
基于现有的酒店大楼客房局域网络,首先部署两台思科的WLAN控制器WLC4404,这里所配置的一台WLC4404能够支持对100台瘦AP全面系统深入的管理。每台WLC4404控制器均通过4根光纤连接核心交换机,提供自动流量负载均衡和自动冗余。
通过无线控制器将两个不同SSID接入的无线终端分别接入两个互不相通的vlan中,达到隔离用户网络和点菜系统网络的目的。
无线终端通过无线AP接入有线网络,在防火墙的策略也与有线网络一致。
5.1.6无线用户接入地址路由规划
根据酒店大楼接入用户的数量,并预留一定扩展能力的前提下,建议:
32个C类地址段(C1--C32),共8000个地址,用于用户接入地址分配;
C1—C17,共4000个IPv4地址,作为Guest-SSID客户端地址;对应VLAN101-VLAN117,每个VLAN一个C类IPv4地址段;
C32,共250个IPv4地址,作为Dining-SSID客户端地址;对应VLAN118,一个C类IPv4地址段;
C18—C31,共3584个IPv4地址,作为保留地址池
每个与SSID对应的VLAN,需要分配一个IPv4地址给无线控制器,作为IP-DHCP-Relay等功能的源地址
也可以根据具体情况减少每个AP-Group的AP数量,增多AP-Group数量(即增加VLAN数),也同时把保留的地址段分给新VLAN,避免VLAN内用户激增使VLAN内用户过多而地址不够
无线用户在地址分配方式上建议采用DHCP动态地址分配,配置外置DHCP服务器实现。无线控制器对无线客户端的DHCPRequest进行DHCPProxy的操作(源地址为无线控制器的VLAN接口地址)。
5.1.7无线网络地址和路由规划
对于无线接入点AP,基本原则:虽然瘦AP支持通过DHCP动态获取IP地址,但是从运营管理的角度,本方案建议采用静态IP地址。
由于所有AP均连接在单独的POE交换机上,只需要将这些POE交换机划分在同一VLAN,并在核心交换机上分配相应地址段(管理网段);
无线网络设备需要两类地址:
管理地址AP-Manager,Management从管理网段分配;需要至少2个IPv4地址,用于和AP通讯的AP-Manager地址及管理地址Management-Interface;
无线SSID映射VLAN的Dynamic-Interface地址,有多少个AP-Group就有多少Dynamic-Interface从客户端VLAN中分配
5.1.8无线漫游设计
思科无线网络解决方案支持用户跨AP、跨无线控制器无缝快速漫游,支持用户跨2层网络和3层网络无缝快速漫游,保证用户在酒店大楼内移动过程中IP地址不变、网络连接不间断、应用会话不间断,从而保证用户网络应用在移动中的不间断性。
第二层快速安全漫游:客户端在子网内部的无缝漫游――跨越不同的接入点和VLAN
第三层快速安全漫游:客户端在子网之间的无缝漫游――跨越不同的接入点和VLAN
Cisco的无线网络无缝漫游主要是基于瘦AP与无线控制器之间建立了一条虚拟的LWAPP隧道,在无线控制器中保存了每个瘦AP的LWAPP隧道。这些对于客户端而言是透明的,当客户从一个AP漫游至另外一个AP信号覆盖范围时,客户端关联也将切换至新的隧道。漫游时,客户端的IP地址可以保持不变,不管客户端通过哪条LWAPP隧道连接到控制器。
5.1.9无线网络接入安全设计
WLAN的主要安全问题就是没有启用合适的安全特性,缺乏保护的WLAN的信号可能会散播到酒店网络之外,被未经授权的人员――甚至恶意的黑客――发现和利用。由于WLAN的移动性,需要采用一种多层次的安全保障方法。
建议为防止网络遭受无线威胁而采取以下几个步骤:
制定一项WLAN安全策略
在部署一套WLAN之前,需要根据用户的具体需求来制定一套适合客户的WLAN安全策略。考虑到香格里拉酒店无线网络的特殊性,建议针对客人无线上网使用GuestVLAN认证策略;针对酒店餐厅点餐网络,建议使用客户端MAC地址过滤及用户名认证策略来保证酒店无线点餐网络。
启用WLC内置安全保护功能
WLC内置了一些关键的安全特性:例如,控制器默认不允许Multicast/broadcast流量通过,除非管理员设置
控制器具备ARPProxy功能:ARPs和GratuitousARPs不会发送到WLAN
控制器屏蔽duplicateIPSpoofing
对于客户端,无线控制器扮演DHCPrelay角色:WLAN设置的Advance选项里,把DHCPaddrassignmentrequired打上勾是要求客户端必须从指定的DHCP获得地址。这些安全功能都从根本上防止了类似IP地址欺骗、ARP攻击等类似攻击。
Cisco的无线控制器并且具有ACL的功能,可以提供L4-L7的过滤,提供类似防火墙的功能。
保护WLAN系统
思科无线局域网控制器符合最严格的安全标准,包括:
802.11iWi-FiWPA2,WPA和有线等效加密(WEP)
WEP(无线加密协议):是无线网络上信息加密的一种标准方法。它一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密。
WPA是WEP的替代方案,它是由IEEE802.11i安全规范派生而来,并与其兼容。WPA包括802.1x认证和TKIP加密(更强和更安全形式的WEP加密)。WPA2是第二代WPA安全方案,也包含802.1x认证。根据802.11i修订,WPA2使用高级加密标准(AES)保护数据保密
802.1X,是一种通过认证保护网络的端口访问协议。此类型的验证方法在无线环境中因该媒体的性质而特别有用。如果无线用户通过802.1x网络访问验证,接入点上会打开一个用于通信的虚拟端口。如果验证不成功,则不会提供虚拟端口,并将阻断通信。802.1X带多种可扩展验证协议(EAP)类型—受保护EAP(PEAP),带传输层安全的EAP(EAP-TLS),带隧道化TLS的EAP(EAP-TTLS)和思科LEAP。
同时Cisco的无线控制器支持GuestVlan特性,针对所有的客人分配的GuestVlan的SSID,使用简单的Web认证允许客人只能访问Internet,而不能访问酒店的内网,这样就可以规避复杂的无线客户端的配置。
由于此次酒店无线网络包括两个部分:客人上网业务和酒店餐厅点餐业务。针对此次酒店客人上网业务无线网络的安全保护,根据客户具体的需求,建议部署GuestVlan认证接入策略,来保证无线接入用户的安全。
针对酒店餐厅点餐业务建议采取MAC地址过滤及802.1x、WPA加密认证策略限制来保证餐厅点餐系统的安全,同时针对酒店餐厅点餐业务单独分配一个SSID,并且设置对客户端不广播该SSID,防止非法用户搜索该无线网络。
嵌入式无线IDS
无线控制器内置了在线的IDS,用于检测非法的客户端和AP。当检测到非法的AP和客户端时,可以对非法AP或客户端最多可以通过4个AP进行压制,使其无法工作。并且无线控制器实现的是有线/无线一体化的安全策略,可以通过有线的IPS和防火墙实现对无线接入数据的4-7层的IPS保护,并且可以联动。
思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现,即有些功能由接入点承担,另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库,它可用于检测无线威胁――包括恶意接入点,特殊网络,或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击,以及检测那些工作信道与它们不同的威胁,例如恶意接入点和特殊网络。
因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书,它们可以检测到伪装成网络中某个可靠接入点(充当一个honeypot*)的未经授权的接入点。
思科统一无线网络还可以利用其强大的隔离恶意功能,消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。
有线网络安全
考虑到酒店无线网络针对所有客人提供无线上网,需要在核心有线网络设备部署较为严格的安全策略,保证无线网络仅提供无线上网和点餐业务,将无线网络和有线网络进行逻辑的安全隔离。
5.2无线网络管理系统(WCS)
思科®无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础,使IT管理员能从中央地点设计、控制和监控企业无线网络,简化运营并降低总拥有成本。思科WCS是思科统一无线网络的一个组件。针对此次香格里拉XX酒店大楼无线局域网建设,将使用WCS来对所有无线设备(WLC-4404、ThinAP)进行集中管理和监控。
凭借思科WCS,网络管理员可拥有单一解决方案,来进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。
思科WCS在整个无线网络中提供以下功能:
5.2.1无线局域网规划和设计
思科WCS提供了集成化RF预测工具,它们可用于创建详细的无线局域网设计,包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地面布局输入思科WCS,并确定楼宇中各组件的RF特性,以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为,以便更方便地进行规划和更快地实施部署(下图)。
5.2.2网络监控和排障
思科WCS提供的工具可帮助IT管理员查看其无线网络的布局,并持续监控WLAN性能。这其中包括详细的热点图,显示了所输入的地面之上的RF覆盖范围。思科WCS还提供了一个门户,用户可通过它获得思科WLAN控制器所提供的实时RF管理功能,包括信道分配和接入点发射功率设置。此外,思科WCS可快速查看覆盖盲区、报警和关键的使用统计数据,实现了方便的WLAN监控和排障(下图)。
查看RF覆盖范围
5.2.3室内位置跟踪
思科提供了各种选项,来有效地跟踪无线设备,包括支持Wi-Fi的笔记本电脑、PDA、手机和配备了802.11收发器的移动设备。基本型思科WCS可确定一台无线设备与哪个接入点相关联,使IT管理员大致了解无线设备的位置。需更精确的定位服务的环境可部署思科WCS的一个可选版本,称为定位型思科WCS,它采用了即将荣获专利的“RF指纹”技术。该技术将实时客户端RSSI信息与已知RF楼宇特性相比较,使思科成为唯一能准确定位无线设备,结果可以准确到几米之内的WLAN基础设施(图5)。此外,定位型思科WCS能与思科无线定位设备一起部署,同时实时地跟踪数千个无线客户端。
凭借这些先进的位置跟踪功能,思科统一无线网络成为了一个理想的平台,可支持具有无线移动性的关键业务应用,如资产跟踪、库存管理和增强911(e911)电话服务。通过将室内位置跟踪集成入无线局域网基础设施,思科降低了无线局域网部署的复杂性和总拥有成本。
准确指出无线客户端的位置
5.2.4无线保护
思科WCS在一个思科无线基础设施中提供了管理和实施安全策略的全套工具。这其中包括:
RF攻击签名和无线入侵防御—思科WCS使IT人员可创建能定制的攻击签名文件,可用于迅速检测与RF相关的常见攻击,如拒绝服务(DoS)、Netstumbler和FakeAP。用户可对思科WCS编程,使其在发现攻击时自动生成报警。详细的趋势报告可帮助IT人员在威胁造成重大损失前发现反复出现的安全问题。
恶意设备检测、定位和控制—思科WCS平台使用即将荣获专利的技术,来持续监控无线空间,寻找非法接入点和临时网络。如果出现未授权设备,可使用思科WCS确定其位置并评估威胁级别。如认为是恶意设备,IT管理员可利用思科WCS来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。
策略创建和实施—思科WCS包含一个服务策略引擎,使网络管理员能方便地创建虚拟LAN(VLAN)、RF、服务质量(QoS)和安全策略。凭借思科WCS,IT人员可创建多个独特的服务集识别符(SSID),各自带独立的安全参数。例如,一个“访客”SSID可通过Web验证来进行保护;“语音”SSID可能需利用手机内置的有线等效保密(WEP)功能;而普通的数据流量则可用802.11i或IP安全(IPSec)来保护。思科WCS可在完整的思科无线网络、独立的思科无线局域网控制器,甚或独立的轻型接入点上实施安全策略。
策略引擎
用户拒绝列表—IT人员可使用思科WCS来主动拒绝某些特定用户与无线网络建立连接。此外,如果发现异常活动,受到影响的设备会被标记,如果认为它们是恶意设备,会拒绝它们接入网络。这些设备就无法获得无线局域网服务,直至拒绝列表中规定的时间到期,或IT人员决定允许其访问无线局域网为止。
5.2.5无线局域网系统管理
思科WCS使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心功能:
排障—思科WCS整合了重要的网络信息,如噪音级别、信噪比、干扰、信号强度和网络拓扑等,使网络管理员能隔离和解决所有无线网络层次中的问题。
软件升级—凭借思科WCS,只需点击一次鼠标,即可从单一中央位置执行对于思科无线局域网设备的升级。
网络映射—思科WCS可自动发现无线网络中的各个设备。因此无需进行手动数据库配置和维护,且可提供准确信息,以用于容量规划和排障。
定制报告—思科WCS可生成大量报告,以记录网络活动和系统信息。其中包括客户端统计数据、无线频谱利用数据、802.11计数器、RF管理配置历史和报警。
以上设计方案中的所有功能均可在现有设备清单实现。
另WCS只提供了软件,未包含所需安装软件的服务器,我们推荐HP服务器。
结束语
本论文对香格里拉XX酒店WLAN系统的系统设计、硬件架构、软件架构三方面做了比较深入的剖析。通过对有线网络弊端的分析以及WLAN技术在XX酒店系统企业中应用的可行性分析,提出了一套具体的企业级WLAN系统设计方案,实现XX酒店系统企业有线网络与传统电话网“双网合一”。
在XX酒店WLAN系统建设中,本人负责XX酒店整栋大楼的工程实施。项目实施过程中,针对各种复杂环境下复杂需求进行具体设计,较好地实现了各种需求。通过理论分析采取物理设备、链路和协议备份的方式架设主备无线控制器;根据原有的具体情况,设计采用有线网络和无线网络之间透传的模式;采用路由优化技术实现系统访问内部网络和Internet的无缝接入。并部署了WCS无线管理系统,对无线网络进行监控和统一管理,并对无线用户做流量统计和查看访问状态。
本方案成功设计并实施了有线网与无线网的融合,突出说明了WLAN技术的优势以及其对企业为个人带来的效益。
由于本人技术和时间上的问题,该WLAN系统还有需要完善加强的地方。系统中对无线路由优化问题的解决方法能在一定程度上起到作用,但是其实现方式还待改进。同时,在距离部署AP距离较远的位置且没有另外AP重叠信号覆盖的区域,如何改进信号的强度和传输速度也是需要深入研究的。以上问题都值得进一步研究和解决。
参考文献:
[1]拉帕波特,无线通信原理与应用[M].电子工业出版社,2012.7
[2]美国思科网络技术学院,思科网络技术学院教程:无线局域网基础[M].人民邮电出版社,2005.8
[3]黄标,无线网络规划与优化导论[M].北京邮电大学出版社,2011.12
[4]金纯,IEEE802.11无线局域网[M].电子工业出版社,2014.1
[5]牛伟,无线局域网[M].人民邮电出版社,2003.9
[6]韦莱,构建Cisco无线局域网[M].科学出版社,2003.1
[7]李贤玉,无线局域网安全分析与防护[M].哈尔滨工程大学出版社,2009.1
[8]刘乃安,无线局域网:WLAN原理技术与应用[M].西安电子科技大学出版社,2004.4
[9]王顺满,无线局域网络技术与安全[M].机械工业出版社,2005.9
[10]马建峰,无线局域网安全接入[M].高等教育出版社,2009.4
阅读“香格里拉XX大酒店无线工程的设计与实现”一文知成考,想要了解其他成考指南信息,请关注起航学习网(www.epx365.cn),我们会为大家分享更多精彩成考招生招生信息!
文章出自:http://qh.itpxw.cn/xxxd/201635079.html
文章标题:香格里拉XX大酒店无线工程的设计与实现
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
这种在特定环境下的定势思维,是一种理思的高效率的创造思维...
有的人碰到沟和石块,他只得把沟填满,把石块搬掉,才肯过去...
由于大龄在职考生的年龄比较大,记忆以及学习能力不能与年轻...
2016年成人高考已经结束,深圳成考网相关老师对成人高考专升本...