И снова о гостиничной инфраструктуре.


В предыдущей статье мы рассказали о достаточно простой реализации WiFi для мини-отеля.


Сейчас мы рассматриваем не мини-отель, а несколько большую бизнес-единицу, например, небольшую гостиницу. Вне зависимости от географического расположения, стабильный доступ в Интернет нужен всегда.


Предлагаемое решение может работать не только в отеле, но и в любом публичном месте, где нужен стабильный интернет, например, в библиотеке, доме культуры и так далее.


Постановка задачи


Итак, у нас есть отель.


Нам нужно сделать универсальную WiFi сеть, способную обслуживать публичный и закрытый сегмент сети, удовлетворяющую современным требованиям к аутентификации и авторизации.


Так как бизнес в гостиничной сфере не зарабатывает непосредственно на ИТ, ориентируемся на сравнительно небольшой бюджет (точные цифры зависят от конкретной реализации, размера объекта и так далее).


В то же время мы оптимистично предполагаем, что наш бизнес всё же будет расти и потребуется ввод новых единиц оборудования (коммутаторов, точек доступа).


Также предполагается наличие приходящего системного администратора или обслуживание аутсорсинговой компанией. Обычный офисный сисадмин должен справиться как с первоначальной настройкой сети, так и с её дальнейшим обслуживанием.


То есть наше оборудование должно быть недорогим, простым в управлении и весьма надежным, так как постоянно бегать издалека к проблемному устройству не получится.


Примечание. В таких условиях неплохо себя зарекомендовала практика использования внешней среды управления Nebula. Об этом мы писали в прошлой статье. Сейчас мы рассмотрим локальное управление.

Как писал Козьма Прутков: «Невозможно объять необъятное». Поэтому мы не будем углубляться в организацию сети в ресторанном комплексе, фитнесс-центре и других дополнительных сервисах, сопровождающих гостиничный бизнес. У этих предприятий могут быть разные владельцы, юридические лица и другие различия. Каждое из таких предприятий имеет свою специфику, поэтому подобрать универсальное решение вряд ли получится. Лучше сосредоточимся на построении сугубо отельной инфраструктуры, а другим объектам при необходимости посвятим отдельные публикации.


Описание инфраструктуры


Предполагается достаточно простое, но работоспособное решение. На начальном уровне запланируем использование одного шлюза, одного коммутатора, и нескольких точек доступа: от 7 до 40. При дальнейшем росте компании возможно сегментирование сети с заменой оборудования на ещё более производительное.


Общая функциональная схема представлена на рисунке 1.



Рисунок 1. Схема сети небольшого отеля.


Выбор и описание оборудования


Основные критерии


Исходя из вышеописанных критериев: доступность, надежность, управляемость подбираем шлюз — межсетевой экран, а также коммутаторы и точки доступа.


Так как объект более крупный, можем позволить себе разместить оборудование не где придется, а в кроссовом шкафу 19 дюймов, с принудительным вентиляционным охлаждением при необходимости. Поэтому наличие стоечного крепления приветствуется.


Мы предполагаем локальное управление при наличии приходящего админа. Однако в случае желания руководства отелем перевести управление в Nebula мы не будем препятствовать этому решению.


Приветствуется полная универсальность, когда вся инфраструктура поддерживает либо локальное управления, либо через Nebula, имеет возможность контроля по SNMP и так далее.


Выбор интернет-шлюза


Критерии выбора шлюза — межсетевого экрана


Шлюз нужен производительный, чтобы обходиться без сбоев и перегрузок. То есть это уже не самая бюджетная модель линейки, хотя и не самая топовая.


Отдельно стоит поговорить о безопасности. Поддержка внешних функций, таких как Sandbox («песочница»), SecuReporter и другие — всё это придется весьма кстати для публичных мест, где появляются самые разные люди.


И вишенкой на торте будет наличие встроенного контроллера для точек доступа. Тем самым облегчаем жизнь системному администратору, которому не придется настраивать всё оборудование по одиночке.


При этом получаем такие полезные возможности, как WiFi роуминг, поддержка VLAN для клиентов и Rogue AP (контроль за «чужими точками», используемых для перехвата паролей).


Подытожив вышесказанное, остановим свой выбор на Zyxel ATP 200. Это недорогой, но производительный межсетевой экран, обладающий большим количество функций и способный выдержать и, при необходимости, проанализировать большое число клиентских запросов.


Интернет-шлюз — межсетевой экран Zyxel ZyWALL ATP 200


Это межсетевые экран, предназначенный для средних по размеру сетей с интеллектуальными функциями для защиты сети, в том числе при борьбе с неизвестными угрозами. Добавлены не только все сервисы безопасности Zyxel, такие как контентная фильтрация, патруль приложений, антиспам, репутационный фильтр, но также песочница и сервис аналитики SecuReporter,


Таблица 1. Устройство ZyWALL ATP 200
Порты 4 x LAN/DMZ, 2 x WAN, 1 x SFP (LAN/WAN)
Порты USB 3.0 2
Консольный порт DB9
Монтаж в стойке Да
Без вентилятора Да
Пропускная способность межсетевого экрана SPI (Мбит/сек) 2 000
Пропускная способность VPN (Мбит/сек) 500
Пропускная способность IDP (Мбит/сек) 1 200
Пропускная способность AV (Мбит/сек) 630
Пропускная способность UTM (AV и IDP) (Мбит/сек) 600
Максимальное число одновременных сессий TCP 600 000
Максимальное число туннелей IPsec VPN 100
Рекомендуемое число туннелей IPSec шлюз-шлюз 50
Максимальное число SSL VPN 60
Количество интерфейсов VLAN 16
Пропуск. способность межсетевого экрана SPI (Мбит/сек) 900

Таблица 2. Сервисы безопасности ZyWALL ATP 200
Sandboxing Да
Web Filtering Да
Application Patrol Да
Anti-Malware Да
IPS Да
Reputation Filter Да
Geo Enforcer Да
SecuReporter Premium Да
Collaborative Detection & Response Да
SSL (HTTPS) инспекция Да
2-факторная аутентификация Да
Функции VPN IKEv2, IPSec, SSL, L2TP/IPSec
Microsoft Azure Да
Amazon VPC Да

Таблица 3. Параметры контроллера точек доступа ZyWALL ATP 200
Число управляемых точек доступа по умолчанию 8
Рекомендуемое максимальное число точек в одной группе 20
Сервис Secure WiFi Да
Максимальное число туннельных точек доступа 10
Максимальное число управляемых точек доступа 40

Более расширенную информацию о межсетевом экране ZyWALL ATP 200 можно получить на сайте Zyxel


Выбор коммутатора


Критерии выбора коммутатора


Коммутатор у нас должен быть надежный, управляемый и с PoE (Power-over-Ethernet).


Далеко не всегда у нас есть возможность обеспечить для точки доступа ещё и электрическую розетку, чтобы включить блок питания точки. А с PoE нам достаточно развести витую пару и можно запускать сеть WiFi, а также видеонаблюдение (при необходимости).


Коммутатор должен поддерживать VLAN, управления портами, в общем все стандартные функции уровня L2.


Различные варианты управления: локально, через внешнюю среду Nebula, а также контроль по SNMP приветствуются.


Коммутатор Zyxel GS2220-10HP


Этот коммутатор поддерживает несколько вариантов управления: локально, через централизованную систему Nebula, полное управления по SNMP.


Имеет довольно приличный набор функций 2 уровня, который может формировать трафик для разнообразных развертываний VoIP, видеоконференций и IPTV.


Стоит отметить функции управления трафиком, например, L2 multicast, IGMP snooping, Multicast VLAN Registration (MVR).


Таблица 4. Устройство коммутатора Zyxel GS2220-10 HP
Тип коммутатора L2 поддержкой PoE
Класс коммутатора Layer 2
Общее число портов 10
RJ-45 100/1000 Мбит/с 8
Комбинированные порты 1GBE/10GBE (RJ-45/SFP) 2
SFP 1G -
Порты PoE+ 802.3at 8
Бюджет PoE (Вт) 180
Производительность коммутации (Гбит/с) 20
Скорость пересылки пакетов (Мп/с) 15
Буфер пакетов (байт) 1,5 M
Таблица MAC-адресов 16 K
Flash/RAM (Мбайт) 32/256

Более расширенную информацию о коммутаторе Zyxel GS2220-10HP можно получить на сайте вендора


Примечание. При необходимости подключить большое число устройств рекомендуется использовать коммутаторы этой же серии, но с большим количеством портов: GS2220-28HP или GS2220-50HP на 28 и 50 портов соответственно. Также можно подключить несколько коммутаторов к разным портам шлюза.

Точки доступа


Критерии подбора точек доступа


Как уже было сказано выше, мы не будем пытаться решить все проблемы разом в рамках одной статьи. Открытая ресторанная площадка, бассейн, пляж и парковая зона требуют отдельной тщательной проработки в плане обеспечения покрытия WiFi. В данном примере сосредоточимся на внутренней сети отеля, в которую входят сами номера, холл, возможно бар, бильярдная и другие внутренние помещения.


Поэтому точки доступа подбираем для закрытых помещений, они должны быть надежные, поддерживать разные диапазоны, стандарты, протоколы, управление через контроллер (также желательно поддержка через внешнюю среду управления Nebula) и питание PoE.


Очень важно, чтобы это были профессиональные точки WiFi 6 – это и быстрый сетевой доступ, и надежная работа, и современные средства аутентификации/авторизации.


Для обслуживания гостей, размещения в коридорах или номерах выбираем универсальный вариант точки, подходящий для большинства случаев.


Что же касается точки доступа для холла и других публичных мест — здесь понадобится вариант помощнее.


Специальная отельная точка Zyxel WAC500H с портами подключения периферии


Эта точка беспроводного доступа, помимо необходимого набора функций Wi-Fi, имеет гигабитный коммутатор на два порта: один обычный, второй с PoE


При размещении в номере, такой вариант подходит для подключения VoIP телефона и, например, телевизора c сетевым входом.


При размещении в коридоре, порт с PoE можно использовать для подключения видеокамеры. Также можно рассмотреть вариант каскадного подключения второй точки в порт PoE.


Поддерживается несколько режимов управления: локальный веб-интерфейс, аппаратный контроллер Nebula.


Примечание. В комплекте WAC500H также идёт годовая подписка на профессиональную версию Nebula Pro.

Таблица 5. Особенности точки доступа Zyxel WAC500H
Стандарт IEEE802.11 ac/n/g/b/a
MIMO MU-MIMO
Скорость беспроводной сети 2.4 ГГц — 300 Мбит/сек; 5 ГГц— 866 Мбит/сек
Ширина частотного диапазона 20, 40 и 80 МГц
Максимальная мощность передатчика (может отличаться в зависимости от страны) 2.4 ГГц — 23дБм; 5 ГГц 26 дБм
Тип антенны Встроенная антенна 2x2 MU-MIMO
Усиление антенны 2.4 ГГц — 3 дБи; 5 ГГц — 4 дБи
Минимальная чувствительность приемника -99 дБм
Приоритезация WLAN 5 ГГц Да
WDS / Mesh Да
Бесшовный роуминг 802.11r/k/v, кэширование PMK и пре-аутентификация
DCS (автовыбор канала) Да
Балансировка нагрузки Да
Шифрование WEP, WPA, WPA2-PSK, WPA3
Аутентификация WPA, WPA2-Enterprise, EAP, IEEE 802.1X, RADIUS authentication
Управление доступом изоляция L2, MAC-фильтрация
IPv6 Да
VLAN Да
WMM Да
U-APSD Да
DiffServ marking Да
Режимы управления Автономный; через контроллер; централизованное управление Nebula
SNMP Да
Порты Ethernet Uplink 1x 10/100/1000M, LAN1 10/100/1000M PoE, LAN2 10/100/1000M

Более расширенную информацию о точке доступа Zyxel WAC500H можно получить на сайте вендора.


Точка доступа Zyxel WAX510D


Для размещения в холле гостиницы, над барной стойкой и так далее выбираем более мощную модель, рассчитанную на большее число подключений.


WAX510D — это точка доступа поколения Wi-Fi 6, в основу которой заложен баланс между производительностью и бюджетом. Имеет на борту чипсет Qualcomm 802.11ax 2.0 (2-е поколение Wi-Fi 6), поддерживает uplink OFDMA и MU-MIMO. Также WAX510D имеет производительный 4-х процессор и два накопителя.


Собственно, то, что нам и нужно — быстрая работа, легкое обслуживание, поддержка различных технологий.


Таблица 6. Особенности точки доступа Zyxel WAX510D
Стандарты IEEE802.11ax/ac/n/g/b/a
MIMO MU-MIMO
Скорость беспроводной сети 2.4 ГГц — 575 Мбит/сек; 5 ГГц —1200 Мбит/сек
Ширина частотного диапазона 20, 40 и 80 МГц
Максимальная мощность передатчика 2.4 ГГц / 5 ГГц: 23 / 26 дБм
Тип антенны MU-MIMO 2x2 с двойной диаграммой направленности
Усиление антенны 2.4 ГГц: 5 дБи 5 ГГц: 6 дБи
Минимальная чувствительность приемника -101 дБм
Приоритезация 5 ГГц Да
WDS Да
Mesh Да
Mesh для нескольких SSID с VLAN Да
Smart mesh Да
Бесшовный роуминг 802.11r/k/v, кэширование PMK и пре-аутентификация
DCS (автовыбор канала) Да
Балансировка нагрузки Да
Безопасность беспроводной сети WPA-PSK (WPA/WPA2/WPA3), WPA-Enterprise (WPA/WPA2/WPA3)
Управление доступом Изоляция L2, MAC-фильтрация, Обнаружение чужих AP, EAP, IEEE 802.1X, аутентификация RADIUS
IPv6 Да
VLAN Да
WMM Да
U-APSD Да
DiffServ marking Да
Режимы работы Централизованное управление Nebula Управление с помощью контроллера Автономный режим
SNMP Да

Более расширенную информацию о точке доступа Zyxel WAC500H можно получить на сайте
вендора.


Установка и настройка


Установка сетевого оборудования происходит по стандартной схеме.


Как было сказано выше, общее сетевое оборудование: шлюз, коммутатор (один или несколько) размещаются в кроссовом шкафу.


Точки доступа размещаются там, где им предназначено быть и подключаются своими Uplink портами к PoE коммутатору. Если используется каскадное подключение, то некоторые из дополнительных точек доступа подключается к портам LAN1 (PoE) соседних точек Zyxel WAC500H.


Настройка оборудования выполняется локально, с использованием веб-интерфейса.


Настройка коммутатора Zyxel GS2220-10HP


Первым выполняем настройку коммутатора. Дело в том, что коммутаторы и Интернет-шлюзы по умолчанию имеют IP адрес 192.168.1.1 Так как у нас новые устройство, то настройки соответствуют Factory default. Чтобы избежать проблем при совпадении адреса первым настроим именно коммутатор и сменим его IP, допустим, на 192.168.1.254


Итак, подключаемся к одному из портов сетевым патчкордов ноутбук или ПК, заходим браузером по адресу 192.168.1.1. (Шлюз в это время выключен).


После экрана логина, куда мы вводим дефолтовый пароль 1234 (потом его нужно будет сменить) попадаем в окно выбора режима. (см. рисунок 2) между стандартным режимом и режимом поддержки AV.


Внимание! Здесь мы выбираем cтандартный режим — Standard Mode.


Примечание. Режим Networked AV позволяет с легкостью настраивать и контролировать коммутаторы, которые используются в режиме передачи аудио и видео по IP.


Рисунок 2. Выбор режима управления Zyxel GS2220-10HP


Далее попадаем в раздел сетевых настроек, где и меняем наш IP адрес.



Рисунок 3. Смена IP адреса управления для коммутатора Zyxel GS2220-10 HP


После смены IP потребуется выполнить повторный вход по новому адресу.


На рисунке 4 представлена стартовая страница Dashboard.



Рисунок 4. Страница Dashboard коммутатор Zyxel *GS2220-10*HP


Несмотря на то, что линейка GS2220 — это коммутаторы L2 уровня, настроек и возможностей имеется довольно много. К счастью для системных администраторов и сетевых инженеров, у Zyxel очень хорошая и подробная документация, а сообщество Zyxel регулярно снимает учебные видеоролики. В конце статьи представлены полезные ссылки на информационные ресурсы.


Настройка шлюза ZyWALL ATP 200


Теперь включаем шлюз и снова заходим по адресу 192.168.1.1 через браузер, но уже для настройки ZyWALL ATP 200. После дефолтного логина попадаем в окно выбора режима настройки. В данном случае выбираем автономный режим (см. рисунок 5).



Рисунок 5. Выбор режима настройки ZyWALL ATP 200


При первом логине запускается мастер первоначальной настройки (см. рисунок 6).



Рисунок 6. Мастер первоначальной настройки ZyWALL ATP 200


Для экономии времени мы не будем подробно описывать каждый шаг работы данного мастера.


Дойдя до настроек беспроводной сети (пункт 6) Мастер спросит: хотим ли мы включить встроенный контроллер точек доступа. Так как мы собираемся управлять точками доступа через контроллер, выбираем ответ «Да» (см. рисунок 7).



Рисунок 7. Включение контроллера точек доступа в Мастере первоначальной настройки


На следующем шаге нас попросят ввести первоначальные настройки беспроводной сети. Собственно, выполняем данное пожелание (см. рисунок 8).



Рисунок 8. Первоначальные настройки беспроводной сети


Завершающий этап вроде удаленного внешнего управления нам сейчас не интересен. Ели что-то не настроили во время работы Мастера первоначальной настройки, можно изменить во время эксплуатации. Фирменная черта Zyxel — подробная документация, в которой можно найти всё что нужно.


После прохождения Мастера попадаем в начальное окно — Dashboard (см. рисунок 9).



Рисунок 9. Окно Dashboard ZyWALL ATP 200


Чтобы упростить настройки, и не подключать к контроллеру все точки доступа, выбираем тип автоматической регистрации. Переходим в раздел Настройки (знак шестеренки справа) — Беспроводная сеть — Контроллер и устанавливаем нужный переключатель. Все новые точки при включении будут автоматически регистрироваться на контроллере (см. рисунок 10).



Рисунок 10. Режим автоматической регистрации точек доступа на контроллере.


Методы настройки в режиме контроллера сильно отличаются от Nebula. Локальное управление устройствами Zyxel основано на объектном принципе.


Сначала готовим нужные объекты, потом их применяем в качестве настроек.


Например, прежде чем создать гостевую сеть, нужно вначале создать объект профиль безопасности, потом объект SSID, и далее применить это всё к настройкам точки доступа.


Для более тонкого и глубокого понимания настроек можно посмотреть видео на YouTube:


Настройка беспроводного контроллера

Как сделать офисный и гостевой WiFi

Ниже идет несколько примеров (скриншотов), иллюстрирующих те или иные этапы настройки.


На рисунке 11 показаны радиоинтерфейсы точек доступа, подключенных к контроллеру (на данный момент всего 2 точки.



Рисунок 11. Радиоинтерфейсы точек подключенных точек доступа.


Ниже показаны операции с объектами в разделе Настройки — Объекты.



Рисунок 12. Редактирование нового профиля безопасности guest.


На рисунке 12 показан новый профиль guest. Мы выбираем открытое подключение с шифрованием и с аутентификацией через сервер RADIUS.


Примечание. Линейка шлюзов ZyWALL ATP имеет внутренний RADIUS сервер, однако его возможностей для большого потока гостей может не хватить. Поэтому рекомендуется поднять свой сервер RADIUS.

Ниже на рисунке 13 показано создание нового объекта аутентификации radius.



Рисунок 13. Создание нового объекта «radius» для выбора метода аутентификации


После создания всех объектов применяем их в новом профиле SSID «Zyxel_guest».



Рисунок 14. Создание профиля SSID «guest» с выбором профиля безопасности


Подводя итоги


Гостиничный бизнес нуждается в простых методах организации доступа в Интернет. В то же время это не ИТ компания, поэтому тратить крупные суммы на закупку дорогостоящего оборудования и держать целый штат высокооплачиваемых специалистов мало кто в этой сфере может себе позволить.


На первое место выходит надежность оборудования, его ценовая и рыночная доступность, а также простота управления.


У Zyxel есть набор соответствующих решений для различных задач и предпочтений.


Полезные ссылки


  1. [Решения Zyxel гостиничного бизнеса](file:///C:/Users/alex/Downloads/ Решения Zyxel гостиничного бизнеса)
  2. Пособие "Решения Zyxel для гостиниц" от Zyxel
  3. Новостной канал в Telegram
  4. Телеграм-чат поддержки для специалистов
  5. Форум для специалистов
  6. Свежие новости в ВК
  7. Наш YouTube – обзоры, тесты, записи вебинаров
  8. Реализованные проекты
  9. Удобный подбор сетевого оборудования

Статьи о Nebula и WiFi


  1. Быстро поднимаем профессиональный беспроводной интернет в мини-отеле
  2. Управление точкой доступа Zyxel WAX655E в облачной среде Nebula и через AP controller
  3. Zyxel Nebula — начало работы и мобильное приложение Nebulahttps://www.youtube.com/playlist?list=PLbJGna0gc-MlnGxET4IXEIXZHqbp3Jy6m
  4. Как построить сетевую инфраструктуру по-новому? Об удалённом управлении и о многом другом
  5. Построение сетевой инфраструктуры на базе Nebula. Часть 1 — задачи и решения
  6. Построение сетевой инфраструктуры на базе Nebula. Часть 2 — пример сети
  7. Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты
  8. Особенности защиты беспроводных и проводных сетей. Часть 2 — Косвенные меры защиты
  9. Wi-Fi 6: нужен ли новый стандарт беспроводной связи обычному пользователю и если да, то зачем?
  10. WiFi 6 уже здесь: что предлагает рынок и зачем нам эта технология
  11. Улучшаем работу Wi-Fi. Общие принципы и полезные штуки
  12. Улучшаем работу Wi-Fi. Часть 2. Особенности оборудования
  13. Улучшаем работу Wi-Fi. Часть 3. Размещение точек доступа
  14. Синхронизация точек доступа Wi-Fi для совместной работы
  15. Сетевой администратор в эпоху облаков
  16. Zyxel Nebula — простота управления как основа экономии
  17. Не боимся «облаков»
  18. Zyxel Nebula и рост компании
  19. Сверхновое облако Zyxel Nebula — экономичный путь к безопасности?
  20. Почему смарт-антенна наилучшее решение для беспроводных сетей с большой плотностью клиентских устройств
  21. Описание возможностей Nebula Pro Pack

Комментарии (0)