酒店无线接入方案.doc
《酒店无线接入方案.doc》由会员分享,可在线阅读,更多相关《酒店无线接入方案.doc(34页珍藏版)》请在冰点文库上搜索。
站长专用!
!
NETGEAR无线局域网
酒店无线接入方案建议书
2004年3月
NETGEAR公司北京办事处
目录
1 前言 4
2 无线局域网发展状况 5
3 酒店需求现状 6
4 热点网络结构 6
4.1 AP部署 6
4.1.1 小于等于3个AP的使用环境 6
4.1.1.1 方式一:
AP空中中继连接 7
4.1.1.2 方式二:
AP空中中继连接 7
4.1.1.3 方式三:
标准AP网络连接 8
4.1.2 大于3个AP的使用环境 8
4.1.2.1 方式一:
每个AP一个以太端口接入 8
4.1.2.2 方式二:
AP进行空中桥接 9
4.2 整体结构 10
4.2.1 访问控制设备(AC) 10
4.2.2 边缘`接入路由器(Router) 11
4.2.3 二层汇聚交换机 11
4.2.4 二层楼层交换机 11
4.2.5 PoE设备 11
4.2.6 无线节点(AP) 11
5 酒店运营考虑 11
5.1 AC部署 11
5.2 用户群兼容 11
5.3 用户群扩展 12
5.4 酒店无线网络安全 12
5.4.1 空中接口的安全性 13
5.4.1.1 WEP加密 13
5.4.1.2 802.11i 13
5.4.1.3 WPA 14
5.4.1.4 WAPI 15
5.4.2 无线接入点的安全性 15
5.4.3 接入交换机的安全性 16
5.4.4 总结 16
5.5 用户认证计费 16
5.5.1 认证方式 16
5.5.1.1 基于Web方式的认证方式 16
5.5.1.2 基于802.1x的认证方式 17
5.5.1.3 基于PPPoE的认证方式 17
5.6 QoS 17
6 地址规划 18
7 网管 18
8 设备介绍 19
8.1 AC控制器 19
8.2 WG302运营级无线接入点 27
8.2.1 产品特点 27
8.2.2 产品介绍:
27
8.2.3 技术参数:
28
8.3 FS526T交换机 31
8.3.1 产品特点:
31
8.3.2 产品介绍:
31
8.3.3 技术参数 32
9 附加 33
1前言
全球中小规模网络与无线网络的先驱和领导者美国网件(NETGEAR)于1996年1月创立,长期致力于为中小规模企业用户与SOHO用户提供简便易用并具有强大功能的网络综合解决方案。
网件总部设在美国加州硅谷圣克拉拉市,业务遍及世界多个国家和地区,是美国硅谷连续六年增长速度最快的50家企业之一。
同时,美国网件与多家业内知名厂商保持着长期的良好合作。
美国网件(NETGEAR)一直致力于网络的技术创新,追求品质与应用并重的理念,为全球企业用户提供使用简便的高质量网络解决方案。
特别是在中小规模企业与无线网络领域,拥有着无人能及的技术研发力量,也正因为如此,网件在这两个市场领域中保持着绝对的领先优势。
更引人注目的是,网件以强劲的发展势头成为目前所有网络厂商中增长最为迅速的公司,全球业绩增长连续多年名列第一。
2002年,在业界普遍低迷的情况下,网件实现了30%的业绩增长,达到2.6亿美元的销售业绩。
这是对其作为先驱,多年来开拓中小企业网络市场和家庭网络市场的丰厚回报。
至此,美国网件已稳居SOHO/Home市场销售额的前三名,在整个无线局域网市场销售额居第四位。
美国网件公司已于2003年7月31日在美国NASDAQ成功上市,交换代码为NTGR。
美国网件(NETGEAR)将在中国销售业界领先的全线产品,包括:
千兆局域网系列、智能堆叠局域网系列、无线网络产品系列、防火墙系列、宽带接入路由产品系列、VPN安全产品系列以及专为中小规模网络用户设计的多功能产品系列,同时这些产品配以网件精心设计的高性价比解决方案。
无论是产品还是解决方案都将最先进的网络技术融入其中,在同类产品中居于全球领先地位。
美国网件(NETGEAR)在中国市场以“品质网络轻松建”之理念,致力于推动企业网络构建与应用,为中国网络用户提供使用简便的高质量网络解决方案。
努力塑造“中小规模企业网络安全先锋”与“无线网络先锋”形象。
将最新的产品与技术带给中国的网络用户。
美国网件(NETGEAR)对中国市场抱有很大信心,并已经在中国制定了长期的发展策略。
2003年,美国网件将在香港设立国际操作总部,在国内设立研发中心,并于2004年设立美国网件中国公司。
本建议书根据NETGEAR对电信热点的理解,从热点地区网络部署及整体解决方案出发,结合爱立信对运营策略的成熟经验及相关产品,提出了较为详细的阐述了热点地区的部署,同时基于对热点网络整体结构的理解提出了相应的看法和建议。
2无线局域网发展状况
1997年IEEE推出了802.11无线局域网2Mbps标准后无线局域网并未得到普及,而1999年802.11b技术的出现使得的无线局域网的速率可以到达11Mbps,由于技术成熟以及移动终端的普及使无线局域网的市场不断扩大,随之而来的新的标准如802.11g、802.11a又将无线局域网的速率提到了一个新的高度,使之完全可以满足复杂的室内环境部署以及高带宽媒体应用的需求。
中国的无线局域网在2003年得到了充分的发展,主要体现在以下几方面:
无线局域网芯片的规模化生产,使得其产品的市场价格为大多数消费者所接受,进一步扩大的用户市场,从而形成了良性循环。
无线局域网络技术的进步,尤其是成熟的802.11g产品的推出使得新的无线局域网环境既满足了用户对高带宽媒体的应用又兼容现有的大量的802.11b用户。
国际互联网运营商大量的部署无线局域网热点以及对该业务的推广,使得无线局域网的概念在大用户群中已经取得了一定的普及,为进一步扩大热点的用户市场打下了有力的基础。
移动客户端如便携电脑、PAD等产品的不断的普及,使得通过无线局域网上网的业务需求不断扩大。
3酒店需求现状
已经拥有了综合布线系统的智能化宾馆,能够在客房或商务中心提供商务客人的上网要求,可商务客人常常喜欢在宾馆大堂、咖啡吧或茶座里用笔记本电脑工作,或是在这些地方进行一个小型的会谈,当客人需要处理邮件或上网下载公司的资料是,得到的回答往往是?
"你必须换一个靠近某个数据点的位置"、"你可以到商务中心去"或者"您必须到房间里用电话线才可以上网"等等。
"服务为王",尤其是对于服务产业中的酒店业来说。
目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。
在传统的服务项目已非常成熟的今天,作为四、五星级酒店,如何为客户提供新的服务成为酒店经营者头疼的问题。
近两年来,随着来自世界各地商务客人的增加,全球信息技术的发展和无线网络的高速发展,以及Internet在国内的迅猛发展,为酒店客户提供新的信息服务成为一种趋势。
这一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。
可以说,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店中大显身手。
商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力,通过无线局域网就可实现灵活且可扩展的网络解决方案。
4热点网络结构
4.1AP部署
考虑到热点部署的AP应与目前持有大量的802.11b终端的用户的兼容,同时也顾及到未来无线局域网数据应用业务的扩展,NETGEAR推荐采用WG302这款运营级别的802.11g设备来实现热点部署。
WG302通过无线端口隔离技术提供热点用户更多的安全保障以及杜绝未经认证的用户非法占用无线网络资源,影响正常用户使用。
热点网络结构将从不同用户的环境来阐述AP的组建方式,以及在大面积服务区内的无线AP的小区规划。
基于应用区域相对开阔,所以从用户应用环境上划分,基本上可以分为两大类。
4.1.1小于等于3个AP的使用环境
由于同一区域交叠的AP的范围小于等于3,并且Netgear的AP支持1、7、13共三个互不重叠频率通道,所以无需考虑频道重叠。
以下介绍当AP数量为3时,AP的构建方式:
4.1.1.1方式一:
AP空中中继连接
见下图
方式一可以覆盖一个较大较均匀的区域,且只需要一个以太网的接入口。
但由于作为提供以太网入口的AP与其他AP之间是通过空中接口相互通讯,一般而言在这种模式下AP1、AP2、AP3必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于802.11g来说就是标准的54Mbps理论值,但由于NETGEAR支持108M的SupperG技术使得用户仍然可以共享108Mbps的接入速率。
4.1.1.2方式二:
AP空中中继连接
见下图
方式二可以覆盖一个较狭长的区域,且只需要一个以太网的接入口。
由于以太网入口的AP仅与一个AP之间通过空中接口相互通讯,一般而言在这种模式下AP1、AP2、AP3必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于802.11g来说就是标准的54Mbps理论值,但由于NETGEAR支持108M的SupperG技术使得用户仍然可以共享108Mbps的接入速率。
上述两种连接方式,虽然同样的使用AP进行中继,在覆盖方式上有所分别。
在WLAN网络开发初期,由于用户不多,可以作为有效的节省网络端口以及扩大覆盖范围的方法。
4.1.1.3方式三:
标准AP网络连接
见下图
方式三可以覆盖一个较均匀的区域,由于所有的AP都连接一个以太网的接入口所以该区域的接入用户可以根据漫游所在区域的AP直接进入有线以太网网络,以提供更高的接入速度。
4.1.2大于3个AP的使用环境
由于AP使用数量大于3个,所以需要考虑AP间的频道规划。
应尽量避免两个处于同频道的AP在同一区域有交叠。
4.1.2.1方式一:
每个AP一个以太端口接入
如下图
当AP覆盖区域可以为每个AP提供一个以太网接入口时,所以该区域的接入用户可以根据漫游所在区域的AP直接进入有线以太网网络,以提供高速率的接入。
那么,在规划中我们只需避免区域内AP的频道重叠。
4.1.2.2方式二:
AP进行空中桥接
如下图
当AP覆盖区域可以为每两个AP提供一个以太网接入口时,在规划中我们需要考虑以下两点:
避免区域内AP频道重叠
必须避免一个AP同时作为三个AP的有线以太网接入口。
4.2整体结构
考虑了热点地区AP的部署之后,需要进一步对热点的整个网络结构作进一步阐述。
在热点网络结构中NETGEAR推荐采用FS526T交换机来汇聚无线接入点,FS526T通过端口隔离技术提供酒店用户更多的安全保障以及杜绝未经认证的用户非法占用有线网络资源,影响正常用户使用。
下图是一个典型的酒店网络结构:
从上图可以看出酒店无线网络由以下部分组成:
4.2.1访问控制设备(AC)
访问控制设备可以置于酒店机房处,一般而言AC的功能取决于对用户的认证手段,采用爱立信的EBRAS服务器(宽带接入服务器)可以有效的对接入用户实施访问控制,并为运营提供全方位的支持。
AC是酒店覆盖的核心设备,涉及到用户认证、用户计费、用户控制以及与运营策略相结合的技术实现手段。
4.2.2边缘`接入路由器(Router)
边缘路由器可以置于酒店AC控制器的出口处,实现专线接入的需求。
也可以无需边缘路由器直接由ISP提供AC控制器的以太接入。
4.2.3二层汇聚交换机
二层汇聚交换机用于对酒店楼层交换机的汇聚,并负责城域网接入。
对较小的平面酒店,楼层交换机即可兼顾城域网接入。
4.2.4二层楼层交换机
二层楼层交换机主要用于汇聚该区域的无线接入点。
4.2.5PoE设备
PoE设备可以是单端口也可以是多端口,如果热点机房环境允许的话,建议采用多端口PoE设备,这样便于未来的系统扩展,且保证设备整体外观整洁。
另外,也有一些楼层交换机自带PoE功能,但由于AP的所需的功耗是不同的,而交换机的负载能力有限,所以当采用自带PoE的交换机时,当外挂AP数目较多时会导致电流不稳从而影响设备性能。
建议采用独立的网线馈电设备来对无线接入点进行供电。
4.2.6无线节点(AP)
负责无线客户端的接入。
5酒店运营考虑
5.1AC部署
AC部署模式在酒店比较简单,而且与边缘用户的连接可以通过二层方式来实现。
5.2用户群兼容
基于近两年来无线局域网逐渐为市场接受,越来越多的用户都购买了无线局域网卡,但由于当时无线局域网技术为802.11b所主导,所以存在这大量的802.11b的用户群体,新的热点AP必须能与这些用户相兼容。
令人欣慰的是,802.11g标准的推出其主要的设计原则就是考虑到与802.11b用户的兼容,同时提供更好的微波特性以及较高的数据带宽。
802.11g的最大优点是有逆向兼容性(backwardcompatibility),亦即可与802.11b兼容,虽然802.11b设备在相同的2.4GHz频宽中操作,他们所使用的模块设计其实是不同的。
802.11b使用CCK的调变技术,而802.11g则使用OFDM技术。
简单的说,那就像两个人可以互相听到对方的声音,却没有办法沟通,因为他们说的语言不同。
802.11g的保护机制(Protection)提供了所需的机制来控制到底是说CCK或是OFDM。
它使用了RTS/CTS机制,这种机制正是802.11b的部分规格。
当Protection处于使用中状态时,每个802.11gOFDM数据包都是处于CCKRTS(请求送出,RequestToSend)的情况。
如果说的语言是CCK时,范围内所有802.11b站台(或是使用保护的802.11g站台)都可以了解一个站台正在要求许可来送出资料。
而接收的范围内802.11b或是802.11g站台就可以用CCKCTS(清除发送,ClearToSend)作回应,传送才能开始。
因为RTS和CTSframes包含了其它有关将被传送的资料,所以802.11g可以分辨到底是要切换回OFDM或是继续说CCK以完成要求的通讯。
如果说的语言是CCK时,范围内所有802.11b站台(或是使用保护的802.11g站台)都可以了解一个站台正在要求许可来送出资料。
而接收的范围内802.11b或是802.11g站台就可以用CCKCTS(清除发送,ClearToSend)作回应,传送才能开始。
因为RTS和CTSframes包含了其它有关将被传送的资料,所以802.11g可以分辨到底是要切换回OFDM或是继续说CCK以完成要求的通讯。
通过这种机制802.11g可以灵活的兼容802.11b的用户,但这种机制的负面效应显而易见他需要牺牲一部分802.11g的速率。
建议在热点运营初期,打开所有的无线接入点的802.11b的兼容功能,虽然需要牺牲部分速率,但却不至于使大量的802.11b用户拒之门外,从而赢得了更多的用户。
等到802.11g客户端逐渐普及后再考虑关掉802.11b的兼容性,来提高用户的接入速率。
5.3用户群扩展
就目前无线局域网技术而言802.11g标准所提供的单频54Mbp的吞吐率,同时又可兼容大量802.11b用户,这个速率已经是最高的接入速率了。
NETGEAR支持的SupperG技术通过双频捆绑等优化技术又将接入速率提升到了108M,使得基于NETGEAR无线接入点部署的热点可以基本满足目前以及将来较长一段时间的数据接入业务。
另外,如果随着热点用户数量的扩大,也可以通过对NETGEAR功率调整并配合频点规划来实现无线系统容量的扩张。
5.4酒店无线网络安全
根据上图网络安全从以下三方面进行考虑:
1.空中接口的安全性
2.无线接入点的安全性
3.接入交换机的安全性
5.4.1空中接口的安全性
由于无线网络是一个开放式的网络,所以任何在该无线可达区域内的用户都可以轻而易举的截获用户未加密的数据,我们可以通过以下及方面来实现区域内用户的安全性。
5.4.1.1WEP加密
多数AP都可以提供基于WEP标准的无线通讯加密,并可以支持40位密钥和128位密钥的数据加密。
WEP加密最基本的保障了用户无线数据的安全性,但是每个移动用户都需要在客户端手工输入密钥,这给移动用户增加了操作的繁琐性,同时由于WEP采用共享密钥交换在其交换过程中会产生一些弱密钥,这使得加密的数据较容易被破解。
5.4.1.2802.11i
为了使WLAN技术从WEP造成的不安全的被动局面中解脱出来,IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(RobustSecurityNetwork)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。
IEEE802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(TemporalKeyIntegrityProtocol)、CCMP(Counter-Mode/CBC-MACProtocol)和WRAP(WirelessRobustAuthenticatedProtocol)三种加密机制。
其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。
CCMP机制基于AES(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。
由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。
WRAP机制基于AES加密算法和OCB(OffsetCodebook),是一种可选的加密机制。
目前802.11i仍在制订过程中。
5.4.1.3WPA
虽然802.11i正在制订中,但市场对于提高WLAN安全的需求是十分紧迫的,IEEE802.11i的进展并不能满足这一需要。
在这种情况下,Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准。
这一标准采用了IEEE802.11i的草案,保证了与未来出现的协议的前向兼容。
WPA与IEEE802.11i的关系如下图所示:
WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。
802.1x是一种基于端口的访问控制标准,用户必须通过了认证并获得授权之后,才能通过端口使用网络资源。
TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:
ü扩展的48位初始化向量(IV)和IV顺序规则(IVSequencingRules);
ü每包密钥构建机制(per-packetkeyconstruction);
üMichael(MessageIntegrityCode,MIC)消息完整性代码;
ü密钥重新获取和分发机制。
üWPA目前已为多数相关厂家的支持,并在国际上得到推广。
5.4.1.4WAPI
除了国际上的IEEE802.11i和WPA安全标准之外,我国也在今年5月份提出了无线局域网国家标准GB15629.11,这是目前我国在这一领域惟一获得批准的协议。
标准中包含了全新的WAPI(WLANAuthenticationandPrivacyInfrastructure)安全机制,这种安全机制由WAI(WLANAuthenticationInfrastructure)和WPI(WLANPrivacyInfrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。
WAPI能为用户的WLAN系统提供全面的安全保护。
WAPI安全机制包括两个组成部分。
WAI采用公开密钥密码体制,利用证书来对WLAN系统中的STA和AP进行认证。
WAI定义了一种名为ASU(AuthenticationServiceUnit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。
证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。
就目前WAPI的情况而言,标准的制订、推行、技术的合作、包括对现有市场原有设备的兼容性以及软件升级所带来的性能问题都存在不定因素,但由于WAPI将与IEEE合作进行安全标准的制定,相信今后产品的兼容性不会存在问题,一旦标准制定网件公司将与第一时间予以支持。
综上所述,就目前而言可以解决空中无线接口安全的技术可以说只有WPA。
对于WPA由于其基于802.1x为认证机制,所以为了确保对用户端操作系统的兼容以及完善的客户信息传送,建议基于该标准自行设计客户端软件来实现无线用户端的接入。
5.4.2无线接入点的安全性
建议采用可以设置用户隔离的AP来实现AP下联用户的隔离,通过在AP上打开用户隔离的开关,使得用户只能通过AP访问上联网络而无法与其他用户通讯。
这样就实现了移动用户与用户之间的隔离,从而保证了无线区域内用户数据的安全性。
该方式无需用户在客户端作任何设置工作。
即使空中接口每有得到安全保障,中间人可以通过Snifer(网络报文探测器)来捕获其他用户的空中报文,但由于用户间是相互隔离的所以使得用户间的横向攻击无法实施。
5.4.3接入交换机的安全性
设置交换机端口的隔离来实现下联的AP与AP之间用户的安全性。
采用PerAPPerVLAN的方式来实现下联的AP与AP之间用户的安全性。
5.4.4总结
热点网络安全需要依赖用户现有环境的安全性以及提供给用户的数据应用。
具体可以从以下几方面来实现:
ü通过无线访问点(AP)的空中接口安全功能配置,放置攻击者在空中利用snifer捕获其他用户的通讯报文。
ü通过设置自下而上的二层隔离,即实现无线接入点至二层交换机的用户隔离,来防止用户间的相互攻击。
ü通过对访问控制器(AC)的配置可以在二层的基础上有效的杜绝用户间地址欺骗。
ü通过给需要VPN应用的用户分配公网地址,使用户可以自己建立起到公司网络端到端的VPN隧道,以确保数据在整个路由网络的安全性。
当然随着NAT-T(IPSecoverUDP)技术的普及,酒店用户也可以通过私网地址来实现VPN隧道。
ü通过设置酒店网络设备的SNMP安全性,防止无线接入用户对这些设备的攻击。
ü通过设置无线局域网运营网中三层设备的ACL、防火墙或策略路由,防止无线接入用户对网络核心设备的攻击。
5.5用户认证计费
5.5.1认证方式
无线局域网络的认证方式可以有以下几种:
5.5.1.1基于Web方式的认证方式
通过PortalServer实现认证页面的强制推送,来实现用户认证。
认证信息可以通过SSL进行加密,但用户数据信息并不加密。
5.5.
升级会员 