POE交换机在无线AP网络覆盖中的使用

2017-06-30 申瓯智联 70

       已经拥有了综合布线系统的智能化宾馆,能够在客房或商务中心提供商务客人的上网要求,可商务客人常常喜欢在宾馆大堂、咖啡吧或茶座里用笔记本电脑工作,或是在这些地方进行一个小型的会谈,当客人需要处理邮件或上网下载公司的资料是,得到的回答往往是?"你必须换一个靠近某个数据点的位置"、"你可以到商务中心去"或者"您必须到房间里用电话线才可以上网"等等。

       "服务为王",尤其是对于服务产业中的酒店业来说。目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。在传统的服务项目已非常成熟的今天,作为四、五星级酒店,如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来,随着来自世界各地商务客人的增加,全球信息技术的发展和无线网络的高速发展,以及Internet在国内的迅猛发展,为酒店客户提供新的信息服务成为一种趋势。这一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。

       可以说,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店中大显身手。商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力,通过无线局域网就可实现灵活且可扩展的网络解决方案。


热点网络结构(解析)

       AP部署

       考虑到热点部署的AP应与目前持有大量的802.11b终端的用户的兼容,同时也顾及到未来无线局域网数据应用业务的扩展,NETGEAR推荐采用WG302这款运营级别的802.11g设备来实现热点部署。WG302通过无线端口隔离技术提供热点用户更多的安全保障以及杜绝未经认证的用户非法占用无线网络资源,影响正常用户使用。热点网络结构将从不同用户的环境来阐述AP的组建方式,以及在大面积服务区内的无线AP的小区规划。基于应用区域相对开阔,所以从用户应用环境上划分,基本上可以分为两大类。

 

  小于等于3个AP的使用环境

       由于同一区域交叠的AP的范围小于等于3,并且AP支持1、7、13共三个互不重叠频率通道,所以无需考虑频道重叠。以下介绍当AP数量为3时,AP的构建方式:

 

  方式一:AP空中中继连接

        1-1F41Q32Q1616.jpg


  方式一可以覆盖一个较大较均匀的区域,且只需要一个以太网的接入口。但由于作为提供以太网入口的AP与其他AP之间是通过空中接口相互通讯,一般而言在这种模式下AP1、AP2、AP3必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于802.11g来说就是标准的54Mbps理论值。


  方式二:AP空中中继连接

    1-1F41Q32UA45.jpg


  方式二可以覆盖一个较狭长的区域,且只需要一个以太网的接入口。由于以太网入口的AP仅与一个AP之间通过空中接口相互通讯,一般而言在这种模式下AP1、AP2、AP3必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于802.11g来说就是标准的54Mbps理论值,但由于NETGEAR 支持108M的Supper G 技术使得用户仍然可以共享108M bps的接入速率。

  上述两种连接方式,虽然同样的使用AP进行中继,在覆盖方式上有所分别。在WLAN网络开发初期,由于用户不多,可以作为有效的节省网络端口以及扩大覆盖范围的方法。

 

  方式三:标准AP网络连接

      1-1F41Q32921W5.jpg


  方式三可以覆盖一个较均匀的区域,由于所有的AP都连接一个以太网的接入口所以该区域的接入用户可以根据漫游所在区域的AP直接进入有线以太网网络,以提供更高的接入速度。


       大于3个AP的使用环境

       由于AP使用数量大于3个,所以需要考虑AP间的频道规划。应尽量避免两个处于同频道的AP在同一区域有交叠。

 

  方式一:每个AP一个以太端口接入

    1-1F41Q32944P9.jpg


  当AP覆盖区域可以为每个AP提供一个以太网接入口时,所以该区域的接入用户可以根据漫游所在区域的AP直接进入有线以太网网络,以提供高速率的接入。那么,在规划中我们只需避免区域内AP的频道重叠。

 

  方式二:AP进行空中桥接

       1-1F41Q3300D34.jpg


  当AP覆盖区域可以为每两个AP提供一个以太网接入口时,在规划中我们需要考虑以下两点:避免区域内AP频道重叠;必须避免一个AP同时作为三个AP的有线以太网接入口。

 

  整体结构(应用)

       考虑了热点地区AP的部署之后,需要进一步对热点的整个网络结构作进一步阐述。在热点网络结构中推荐采用具备端口隔离技术交换机,通过端口隔离技术提供酒店用户更多的安全保障以及杜绝未经认证的用户非法占用有线网络资源,影响正常用户使用。

       在不改变原有无线AP布局的条件下,为优化整体系统方案,规范酒店网络布线,提高供电安全,采用PoE网络供电模式,在机房UPS统一取电。以太网信号从核心机房的核心交换机布线到楼层交换机后,再接上PoE集中供电器,出来后的PoE网线携带网络数据和无线AP电源,将PoE网线进行楼层内的AP分布,在AP分布点,通过PoE102分离器将原有PoE线中的电源和网络数据分解出来,提供给无线AP独立的5V或12V或24V电源和标准的网络数据,进入酒店楼道或客房进行覆盖。

       实例说明:两层高商务酒店,拥有80间客房,每层各40间,每层设置一个弱电井,核心交换机可布局酒店机房中。采取PoE集中供电,其结构布局如下图所示:

 1-1F41Q3305JF.jpg


  从上图可以看出酒店无线网络由以下部分组成:

       访问控制设备(AC)

       访问控制设备可以置于酒店机房处,一般而言AC的功能取决于对用户的认证手段,AC是酒店覆盖的核心设备,涉及到用户认证、用户计费、用户控制以及与运营策略相结合的技术实现手段。


  边缘接入路由器(Router)

       边缘路由器可以置于酒店AC控制器的出口处,实现专线接入的需求。也可以无需边缘路由器直接由ISP提供AC控制器的以太接入。


  酒店核心交换机

       酒店核心交换机采用二层汇聚交换机,用于对酒店楼层交换机的汇聚,并负责城域网接入。对较小的平面酒店,楼层交换机即可兼顾城域网接入。


  二层楼层交换机

       二层楼层交换机主要用于汇聚该区域的无线接入点。


  PoE交换机

       为实现PoE布局,使工程美观安全,大大的节省了TCO总体成本。采用不改变原有网络结构的情况下,采用PoE交换机将电源嵌入至网络中。


  无线节点(AP)

       负责无线客户端的接入。


  酒店运营考虑

       AC部署

       AC 部署模式在酒店比较简单,而且与边缘用户的连接可以通过二层方式来实现。


  用户群兼容

       基于近两年来无线局域网逐渐为市场接受,越来越多的用户都购买了无线局域网卡,但由于当时无线局域网技术为802.11b所主导,所以存在这大量的802.11b的用户群体,新的热点AP必须能与这些用户相兼容。令人欣慰的是,802.11g标准的推出其主要的设计原则就是考虑到与802.11b用户的兼容,同时提供更好的微波特性以及较高的数据带宽。

       通过这种机制802.11g可以灵活的兼容802.11b的用户,但这种机制的负面效应显而易见他需要牺牲一部分802.11g的速率。

       建议在热点运营初期,打开所有的无线接入点的802.11b的兼容功能,虽然需要牺牲部分速率,但却不至于使大量的802.11b用户拒之门外,从而赢得了更多的用户。等到802.11g客户端逐渐普及后再考虑关掉802.11b的兼容性,来提高用户的接入速率。


  用户群扩展

       就目前无线局域网技术而言802.11g标准所提供的单频54Mbp的吞吐率,同时又可兼容大量802.11b用户,这个速率已经是最高的接入速率了。可选用支持Supper G技术通过双频捆绑等优化技术接入,速率提升到了108M或者更高带宽,使得无线接入点部署的热点可以基本满足目前以及将来较长一段时间的数据接入业务。

       另外,如果随着热点用户数量的扩大,也可以通过对无线AP功率调整并配合频点规划来实现无线系统容量的扩张。


       酒店无线网络安全

       根据上图网络安全从以下三方面进行考虑:空中接口的安全性;无线接入点的安全性;接入交换机的安全性。


  空中接口的安全性

       由于无线网络是一个开放式的网络,所以任何在该无线可达区域内的用户都可以轻而易举的截获用户未加密的数据,我们可以通过以下及方面来实现区域内用户的安全性。


  WEP加密

       多数AP都可以提供基于WEP标准的无线通讯加密,并可以支持40位密钥和128位密钥的数据加密。WEP加密最基本的保障了用户无线数据的安全性,但是每个移动用户都需要在客户端手工输入密钥,这给移动用户增加了操作的繁琐性,同时由于WEP采用共享密钥交换在其交换过程中会产生一些弱密钥,这使得加密的数据较容易被破解。


  无线接入点的安全性

       建议采用可以设置用户隔离的AP来实现AP下联用户的隔离,通过在AP上打开用户隔离的开关,使得用户只能通过AP访问上联网络而无法与其他用户通讯。这样就实现了移动用户与用户之间的隔离,从而保证了无线区域内用户数据的安全性。该方式无需用户在客户端作任何设置工作。

       即使空中接口每有得到安全保障,中间人可以通过Snifer(网络报文探测器)来捕获其他用户的空中报文,但由于用户间是相互隔离的所以使得用户间的横向攻击无法实施。


  接入交换机的安全性

       设置交换机端口的隔离来实现下联的AP与AP之间用户的安全性。采用Per AP Per VLAN的方式来实现下联的AP与AP之间用户的安全性。


       总结:

       热点网络安全需要依赖用户现有环境的安全性以及提供给用户的数据应用。具体可以从以下几方面来实现:

  通过无线访问点(AP)的空中接口安全功能配置,放置攻击者在空中利用snifer捕获其他用户的通讯报文。

  通过设置自下而上的二层隔离,即实现无线接入点至二层交换机的用户隔离,来防止用户间的相互攻击。

  通过对访问控制器(AC)的配置可以在二层的基础上有效的杜绝用户间地址欺骗。

  通过给需要VPN应用的用户分配公网地址,使用户可以自己建立起到公司网络端到端的VPN隧道,以确保数据在整个路由网络的安全性。当然随着NAT-T(IPSec over UDP)技术的普及,酒店用户也可以通过私网地址来实现VPN隧道。

  通过设置酒店网络设备的SNMP安全性,防止无线接入用户对这些设备的攻击。

  通过设置无线局域网运营网中三层设备的ACL、防火墙或策略路由,防止无线接入用户对网络核心设备的攻击。


企业简介

     创立于1990年10月, 是一家集研发、生产、销售、服务于一体的全国性无区域企业、国家重点高新技术企业、浙江省信息产业重点企业,并担任中国通信协会副会长单位....

查看更多

解决方案

联系我们

  • 浙江省温州市牛山北路高新区炬光园中路118号
  • 13857757786
  • www.shenouwlan.com