酒店无线接入方案建议书Word格式.docx
《酒店无线接入方案建议书Word格式.docx》由会员分享,可在线阅读,更多相关《酒店无线接入方案建议书Word格式.docx(37页珍藏版)》请在冰点文库上搜索。
努力塑造“中小规模企业网络安全先锋”与“无线网络先锋”形象。
将最新的产品与技术带给中国的网络用户。
美国网件(NETGEAR)对中国市场抱有很大信心,并已经在中国制定了长期的发展策略。
2003年,美国网件将在香港设立国际操作总部,在国内设立研发中心,并于2004年设立美国网件中国公司。
本建议书根据NETGEAR对电信热点的理解,从热点地区网络部署及整体解决方案出发,结合爱立信对运营策略的成熟经验及相关产品,提出了较为详细的阐述了热点地区的部署,同时基于对热点网络整体结构的理解提出了相应的看法和建议。
2无线局域网发展状况
1997年IEEE推出了802.11无线局域网2Mbps标准后无线局域网并未得到普及,而1999年802.11b技术的出现使得的无线局域网的速率可以到达11Mbps,由于技术成熟以及移动终端的普及使无线局域网的市场不断扩大,随之而来的新的标准如802.11g、802.11a又将无线局域网的速率提到了一个新的高度,使之完全可以满足复杂的室内环境部署以及高带宽媒体应用的需求。
中国的无线局域网在2003年得到了充分的发展,主要体现在以下几方面:
无线局域网芯片的规模化生产,使得其产品的市场价格为大多数消费者所接受,进一步扩大的用户市场,从而形成了良性循环。
无线局域网络技术的进步,尤其是成熟的802.11g产品的推出使得新的无线局域网环境既满足了用户对高带宽媒体的应用又兼容现有的大量的802.11b用户。
国际互联网运营商大量的部署无线局域网热点以及对该业务的推广,使得无线局域网的概念在大用户群中已经取得了一定的普及,为进一步扩大热点的用户市场打下了有力的基础。
移动客户端如便携电脑、PAD等产品的不断的普及,使得通过无线局域网上网的业务需求不断扩大。
3酒店需求现状
已经拥有了综合布线系统的智能化宾馆,能够在客房或商务中心提供商务客人的上网要求,可商务客人常常喜欢在宾馆大堂、咖啡吧或茶座里用笔记本电脑工作,或是在这些地方进行一个小型的会谈,当客人需要处理邮件或上网下载公司的资料是,得到的回答往往是?
"
你必须换一个靠近某个数据点的位置"
、"
你可以到商务中心去"
或者"
您必须到房间里用电话线才可以上网"
等等。
服务为王"
,尤其是对于服务产业中的酒店业来说。
目前酒店行业竞争的重点已经从硬件的竞争转移到服务的竞争,各大酒店均绞尽脑汁来提高自己的服务意识和服务水平。
在传统的服务项目已非常成熟的今天,作为四、五星级酒店,如何为客户提供新的服务成为酒店经营者头疼的问题。
近两年来,随着来自世界各地商务客人的增加,全球信息技术的发展和无线网络的高速发展,以及Internet在国内的迅猛发展,为酒店客户提供新的信息服务成为一种趋势。
这一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。
可以说,网络不仅是酒店传播信息的工具,也是留住回头客保持入住率的有效手段,而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店中大显身手。
商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力,通过无线局域网就可实现灵活且可扩展的网络解决方案。
4热点网络结构
4.1AP部署
考虑到热点部署的AP应与目前持有大量的802.11b终端的用户的兼容,同时也顾及到未来无线局域网数据应用业务的扩展,NETGEAR推荐采用WG302这款运营级别的802.11g设备来实现热点部署。
WG302通过无线端口隔离技术提供热点用户更多的安全保障以及杜绝未经认证的用户非法占用无线网络资源,影响正常用户使用。
热点网络结构将从不同用户的环境来阐述AP的组建方式,以及在大面积服务区内的无线AP的小区规划。
基于应用区域相对开阔,所以从用户应用环境上划分,基本上可以分为两大类。
4.1.1小于等于3个AP的使用环境
由于同一区域交叠的AP的范围小于等于3,并且Netgear的AP支持1、7、13共三个互不重叠频率通道,所以无需考虑频道重叠。
以下介绍当AP数量为3时,AP的构建方式:
4.1.1.1方式一:
AP空中中继连接
见下图
方式一可以覆盖一个较大较均匀的区域,且只需要一个以太网的接入口。
但由于作为提供以太网入口的AP与其他AP之间是通过空中接口相互通讯,一般而言在这种模式下AP1、AP2、AP3必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于802.11g来说就是标准的54Mbps理论值,但由于NETGEAR支持108M的SupperG技术使得用户仍然可以共享108Mbps的接入速率。
4.1.1.2方式二:
方式二可以覆盖一个较狭长的区域,且只需要一个以太网的接入口。
由于以太网入口的AP仅与一个AP之间通过空中接口相互通讯,一般而言在这种模式下AP1、AP2、AP3必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于802.11g来说就是标准的54Mbps理论值,但由于NETGEAR支持108M的SupperG技术使得用户仍然可以共享108Mbps的接入速率。
上述两种连接方式,虽然同样的使用AP进行中继,在覆盖方式上有所分别。
在WLAN网络开发初期,由于用户不多,可以作为有效的节省网络端口以及扩大覆盖范围的方法。
4.1.1.3方式三:
标准AP网络连接
方式三可以覆盖一个较均匀的区域,由于所有的AP都连接一个以太网的接入口所以该区域的接入用户可以根据漫游所在区域的AP直接进入有线以太网网络,以提供更高的接入速度。
4.1.2大于3个AP的使用环境
由于AP使用数量大于3个,所以需要考虑AP间的频道规划。
应尽量避免两个处于同频道的AP在同一区域有交叠。
4.1.2.1方式一:
每个AP一个以太端口接入
如下图
当AP覆盖区域可以为每个AP提供一个以太网接入口时,所以该区域的接入用户可以根据漫游所在区域的AP直接进入有线以太网网络,以提供高速率的接入。
那么,在规划中我们只需避免区域内AP的频道重叠。
4.1.2.2方式二:
AP进行空中桥接
当AP覆盖区域可以为每两个AP提供一个以太网接入口时,在规划中我们需要考虑以下两点:
避免区域内AP频道重叠
必须避免一个AP同时作为三个AP的有线以太网接入口。
4.2整体结构
考虑了热点地区AP的部署之后,需要进一步对热点的整个网络结构作进一步阐述。
在热点网络结构中NETGEAR推荐采用FS526T交换机来汇聚无线接入点,FS526T通过端口隔离技术提供酒店用户更多的安全保障以及杜绝未经认证的用户非法占用有线网络资源,影响正常用户使用。
下图是一个典型的酒店网络结构:
从上图可以看出酒店无线网络由以下部分组成:
4.2.1访问控制设备(AC)
访问控制设备可以置于酒店机房处,一般而言AC的功能取决于对用户的认证手段,采用爱立信的EBRAS服务器(宽带接入服务器)可以有效的对接入用户实施访问控制,并为运营提供全方位的支持。
AC是酒店覆盖的核心设备,涉及到用户认证、用户计费、用户控制以及与运营策略相结合的技术实现手段。
4.2.2边缘`接入路由器(Router)
边缘路由器可以置于酒店AC控制器的出口处,实现专线接入的需求。
也可以无需边缘路由器直接由ISP提供AC控制器的以太接入。
4.2.3二层汇聚交换机
二层汇聚交换机用于对酒店楼层交换机的汇聚,并负责城域网接入。
对较小的平面酒店,楼层交换机即可兼顾城域网接入。
4.2.4二层楼层交换机
二层楼层交换机主要用于汇聚该区域的无线接入点。
4.2.5PoE设备
PoE设备可以是单端口也可以是多端口,如果热点机房环境允许的话,建议采用多端口PoE设备,这样便于未来的系统扩展,且保证设备整体外观整洁。
另外,也有一些楼层交换机自带PoE功能,但由于AP的所需的功耗是不同的,而交换机的负载能力有限,所以当采用自带PoE的交换机时,当外挂AP数目较多时会导致电流不稳从而影响设备性能。
建议采用独立的网线馈电设备来对无线接入点进行供电。
4.2.6无线节点(AP)
负责无线客户端的接入。
5酒店运营考虑
5.1AC部署
AC部署模式在酒店比较简单,而且与边缘用户的连接可以通过二层方式来实现。
5.2用户群兼容
基于近两年来无线局域网逐渐为市场接受,越来越多的用户都购买了无线局域网卡,但由于当时无线局域网技术为802.11b所主导,所以存在这大量的802.11b的用户群体,新的热点AP必须能与这些用户相兼容。
令人欣慰的是,802.11g标准的推出其主要的设计原则就是考虑到与802.11b用户的兼容,同时提供更好的微波特性以及较高的数据带宽。
802.11g的最大优点是有逆向兼容性(backwardcompatibility),亦即可与802.11b兼容,虽然802.11b设备在相同的2.4GHz频宽中操作,他们所使用的模块设计其实是不同的。
802.11b使用CCK的调变技术,而802.11g则使用OFDM技术。
简单的说,那就像两个人可以互相听到对方的声音,却没有办法沟通,因为他们说的语言不同。
802.11g的保护机制(Protection)提供了所需的机制来控制到底是说CCK或是OFDM。
它使用了RTS/CTS机制,这种机制正是802.11b的部分规格。
当Protection处于使用中状态时,每个802.11gOFDM数据包都是处于CCKRTS(请求送出,RequestToSend)的情况。
如果说的语言是CCK时,范围内所有802.11b站台(或是使用保护的802.11g站台)都可以了解一个站台正在要求许可来送出资料。
而接收的范围内802.11b或是802.11g站台就可以用CCKCTS(清除发送,ClearToSend)作回应,传送才能开始。
因为RTS和CTSframes包含了其它有关将被传送的资料,所以802.11g可以分辨到底是要切换回OFDM或是继续说CCK以完成要求的通讯。
通过这种机制802.11g可以灵活的兼容802.11b的用户,但这种机制的负面效应显而易见他需要牺牲一部分802.11g的速率。
建议在热点运营初期,打开所有的无线接入点的802.11b的兼容功能,虽然需要牺牲部分速率,但却不至于使大量的802.11b用户拒之门外,从而赢得了更多的用户。
等到802.11g客户端逐渐普及后再考虑关掉802.11b的兼容性,来提高用户的接入速率。
5.3用户群扩展
就目前无线局域网技术而言802.11g标准所提供的单频54Mbp的吞吐率,同时又可兼容大量802.11b用户,这个速率已经是最高的接入速率了。
NETGEAR支持的SupperG技术通过双频捆绑等优化技术又将接入速率提升到了108M,使得基于NETGEAR无线接入点部署的热点可以基本满足目前以及将来较长一段时间的数据接入业务。
另外,如果随着热点用户数量的扩大,也可以通过对NETGEAR功率调整并配合频点规划来实现无线系统容量的扩张。
5.4酒店无线网络安全
根据上图网络安全从以下三方面进行考虑:
1.空中接口的安全性
2.无线接入点的安全性
3.接入交换机的安全性
5.4.1空中接口的安全性
由于无线网络是一个开放式的网络,所以任何在该无线可达区域内的用户都可以轻而易举的截获用户未加密的数据,我们可以通过以下及方面来实现区域内用户的安全性。
5.4.1.1WEP加密
多数AP都可以提供基于WEP标准的无线通讯加密,并可以支持40位密钥和128位密钥的数据加密。
WEP加密最基本的保障了用户无线数据的安全性,但是每个移动用户都需要在客户端手工输入密钥,这给移动用户增加了操作的繁琐性,同时由于WEP采用共享密钥交换在其交换过程中会产生一些弱密钥,这使得加密的数据较容易被破解。
5.4.1.2802.11i
为了使WLAN技术从WEP造成的不安全的被动局面中解脱出来,IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(RobustSecurityNetwork)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。
IEEE802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(TemporalKeyIntegrityProtocol)、CCMP(Counter-Mode/CBC-MACProtocol)和WRAP(WirelessRobustAuthenticatedProtocol)三种加密机制。
其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。
CCMP机制基于AES(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。
由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。
WRAP机制基于AES加密算法和OCB(OffsetCodebook),是一种可选的加密机制。
目前802.11i仍在制订过程中。
5.4.1.3WPA
虽然802.11i正在制订中,但市场对于提高WLAN安全的需求是十分紧迫的,IEEE802.11i的进展并不能满足这一需要。
在这种情况下,Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准。
这一标准采用了IEEE802.11i的草案,保证了与未来出现的协议的前向兼容。
WPA与IEEE802.11i的关系如下图所示:
WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。
802.1x是一种基于端口的访问控制标准,用户必须通过了认证并获得授权之后,才能通过端口使用网络资源。
TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:
✓扩展的48位初始化向量(IV)和IV顺序规则(IVSequencingRules);
✓每包密钥构建机制(per-packetkeyconstruction);
✓Michael(MessageIntegrityCode,MIC)消息完整性代码;
✓密钥重新获取和分发机制。
✓WPA目前已为多数相关厂家的支持,并在国际上得到推广。
5.4.1.4WAPI
除了国际上的IEEE802.11i和WPA安全标准之外,我国也在今年5月份提出了无线局域网国家标准GB15629.11,这是目前我国在这一领域惟一获得批准的协议。
标准中包含了全新的WAPI(WLANAuthenticationandPrivacyInfrastructure)安全机制,这种安全机制由WAI(WLANAuthenticationInfrastructure)和WPI(WLANPrivacyInfrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。
WAPI能为用户的WLAN系统提供全面的安全保护。
WAPI安全机制包括两个组成部分。
WAI采用公开密钥密码体制,利用证书来对WLAN系统中的STA和AP进行认证。
WAI定义了一种名为ASU(AuthenticationServiceUnit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。
证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。
就目前WAPI的情况而言,标准的制订、推行、技术的合作、包括对现有市场原有设备的兼容性以及软件升级所带来的性能问题都存在不定因素,但由于WAPI将与IEEE合作进行安全标准的制定,相信今后产品的兼容性不会存在问题,一旦标准制定网件公司将与第一时间予以支持。
综上所述,就目前而言可以解决空中无线接口安全的技术可以说只有WPA。
对于WPA由于其基于802.1x为认证机制,所以为了确保对用户端操作系统的兼容以及完善的客户信息传送,建议基于该标准自行设计客户端软件来实现无线用户端的接入。
5.4.2无线接入点的安全性
建议采用可以设置用户隔离的AP来实现AP下联用户的隔离,通过在AP上打开用户隔离的开关,使得用户只能通过AP访问上联网络而无法与其他用户通讯。
这样就实现了移动用户与用户之间的隔离,从而保证了无线区域内用户数据的安全性。
该方式无需用户在客户端作任何设置工作。
即使空中接口每有得到安全保障,中间人可以通过Snifer(网络报文探测器)来捕获其他用户的空中报文,但由于用户间是相互隔离的所以使得用户间的横向攻击无法实施。
5.4.3接入交换机的安全性
设置交换机端口的隔离来实现下联的AP与AP之间用户的安全性。
采用PerAPPerVLAN的方式来实现下联的AP与AP之间用户的安全性。
5.4.4总结
热点网络安全需要依赖用户现有环境的安全性以及提供给用户的数据应用。
具体可以从以下几方面来实现:
✓通过无线访问点(AP)的空中接口安全功能配置,放置攻击者在空中利用snifer捕获其他用户的通讯报文。
✓通过设置自下而上的二层隔离,即实现无线接入点至二层交换机的用户隔离,来防止用户间的相互攻击。
✓通过对访问控制器(AC)的配置可以在二层的基础上有效的杜绝用户间地址欺骗。
✓通过给需要VPN应用的用户分配公网地址,使用户可以自己建立起到公司网络端到端的VPN隧道,以确保数据在整个路由网络的安全性。
当然随着NAT-T(IPSecoverUDP)技术的普及,酒店用户也可以通过私网地址来实现VPN隧道。
✓通过设置酒店网络设备的SNMP安全性,防止无线接入用户对这些设备的攻击。
✓通过设置无线局域网运营网中三层设备的ACL、防火墙或策略路由,防止无线接入用户对网络核心设备的攻击。
5.5用户认证计费
5.5.1认证方式
无线局域网络的认证方式可以有以下几种:
5.5.1.1基于Web方式的认证方式
通过PortalServer实现认证页面的强制推送,来实现用户认证。
认证信息可以通过SSL进行加密,但用户数据信息并不加密。
5.5.1.2基于802.1x的认证方式
通过win2000/xp内置的802.1x驱动或802.1x客户端来实现WPA或EAP-TLS用户认证,认证信息和数据信息都可以是加密的。
5.5.1.3基于PPPoE的认证方式
PPPoE的认证模式已经是宽带网络中相当成熟的模式了,如今大多数操作系统都集成了PPPoE客户端软件,PPPoE的认证信息可以通过CHAP进行加密,而用户数据也可以实现加密。
5.6QoS
普通的802.11无线LAN标准是没有QoS保障的。
为弥补这一不足,IEEE提出了802.11的增强型标准——802.11e。
802.11e增加了对QoS的定义,旨在保证语音和视频等高带宽应用的通讯质量。
我们知道,普通的802.11无线LAN有两种通讯方式,一种叫分布式协同式(DCF),另一种叫点协同式。
分布式协同(DCF)基于具有冲突检测的载波侦听多路存取方法(CSMA/CA),无线设备发送数据前,先探测一下线路的忙闲状态,如果空闲,则立即发送数据,并同时检测有无数据碰撞发生。
这一方法能协调多个用户对共享链路的访问,避免出现因争抢线路而谁也无法通信的情况。
它对所有用户都一视同仁,在共享通讯介质时没有任何优先级的规定。
点协同方式(PCF)是指无线接入点设备周期性地发出信号测试帧,通过该测试帧与各无线设备就网络识别、网络管理参数等进行交互。
测试帧之间的时间段被分成竞争时间段和无竞争时间段,无线设备可以在无竞争时间段发送数据。
由于这种通讯方式无法预先估计传输时间,因此,与分布式协同相比,目前用得还比较少。
无论是分布式协同还是点协同,它们都没有对数据源和数据类型进行区分。
因此,IEEE对分布式协同和点协同在QoS的支持功能方面进行增补,通过设置优先级,既保证大带宽应用的通讯质量,又能够向下兼容普通802.11设备。
对分布式协同(DCF)的修订标准称为增强型分布式协同(EDCF)。
增强型分布式协同(EDCF)把流量按设备的不同分成8类,也就是8个优先级。
当线路空闲时,无线设备在发送数据前必须等待一个约定的时间,这个时间称为“给定帧间时隙”(AIFS),其长短由其流量的优先级决定:
优先级越高,这个时间就越短。
不难看出,优先级高的流量的传输延迟比优先级低的流量小得多。
为了避免冲突,在8个优先级之外还有一个额外的控制参数,称为竞争窗口,实际上也是一个时间段,其长短由一个不断递减的随机数决定。
哪个设备的竞争窗口第一个减到零,哪个设备就可以发送数据,其它设备只好等待下一个线路空闲时段,但决定竞争窗口大小的随机数接着从上次的剩余值减起。
对点协同的改良称为混和协同(HCF),混和查询控制器在竞争时段探测线路情况