酒店无线接入方案.doc

站长专用 NETGEAR 无线局域网无线局域网 酒店无线接入方案建议书 2004 年年 3 月月 NETGEAR 公司北京办事处公司北京办事处 目录 1前言前言 4 2无线局域网发展状况无线局域网发展状况 5 3酒店需求现状酒店需求现状 6 4热点网络结构热点网络结构 6 4 1AP 部署 6 4 1 1小于等于3个AP的使用环境 6 4 1 1 1方式一 AP 空中中继连接 7 4 1 1 2方式二 AP 空中中继连接 7 4 1 1 3方式三 标准 AP 网络连接 8 4 1 2大于3个AP的使用环境 8 4 1 2 1方式一 每个 AP 一个以太端口接入 8 4 1 2 2方式二 AP 进行空中桥接 9 4 2整体结构 10 4 2 1访问控制设备 AC 10 4 2 2边缘 接入路由器 Router 11 4 2 3二层汇聚交换机 11 4 2 4二层楼层交换机 11 4 2 5PoE设备 11 4 2 6无线节点 AP 11 5酒店酒店运营考虑运营考虑 11 5 1AC 部署 11 5 2用户群兼容 11 5 3用户群扩展 12 5 4酒店无线网络安全 12 5 4 1空中接口的安全性 13 5 4 1 1WEP 加密 13 5 4 1 2802 11i 13 5 4 1 3WPA 14 5 4 1 4WAPI 15 5 4 2无线接入点的安全性 15 5 4 3接入交换机的安全性 16 5 4 4总结 16 5 5用户认证计费 16 5 5 1认证方式 16 5 5 1 1基于 Web 方式的认证方式 16 5 5 1 2基于 802 1x 的认证方式 17 5 5 1 3基于 PPPoE 的认证方式 17 5 6QOS 17 6地址规划地址规划 18 7网管网管 18 8设备介绍设备介绍 19 8 1AC 控制器 19 8 2WG302 运营级无线接入点 27 8 2 1产品特点 27 8 2 2产品介绍 27 8 2 3技术参数 28 8 3FS526T 交换机 31 8 3 1产品特点 31 8 3 2产品介绍 31 8 3 3技术参数 32 9附附加加 33 1 前言前言 全球中小规模网络与无线网络的先驱和领导者美国网件 NETGEAR 于 1996 年 1 月创立 长期致力于为中小规模企业用户与 SOHO 用户提供简便易用并具有强大功能的网络综合 解决方案 网件总部设在美国加州硅谷圣克拉拉市 业务遍及世界多个国家和地区 是 美国硅谷连续六年增长速度最快的 50 家企业之一 同时 美国网件与多家业内知名厂 商保持着长期的良好合作 美国网件 NETGEAR 一直致力于网络的技术创新 追求品质与应用并重的理念 为全球 企业用户提供使用简便的高质量网络解决方案 特别是在中小规模企业与无线网络领域 拥有着无人能及的技术研发力量 也正因为如此 网件在这两个市场领域中保持着绝对 的领先优势 更引人注目的是 网件以强劲的发展势头成为目前所有网络厂商中增长最 为迅速的公司 全球业绩增长连续多年名列第一 2002 年 在业界普遍低迷的情况下 网件实现了 30 的业绩增长 达到 2 6 亿美元的 销售业绩 这是对其作为先驱 多年来开拓中小企业网络市场和家庭网络市场的丰厚回 报 至此 美国网件已稳居 SOHO Home 市场销售额的前三名 在整个无线局域网市场销 售额居第四位 美国网件公司已于 2003 年 7 月 31 日在美国 NASDAQ 成功上市 交换代码 为 NTGR 美国网件 NETGEAR 将在中国销售业界领先的全线产品 包括 千兆局域网系列 智能 堆叠局域网系列 无线网络产品系列 防火墙系列 宽带接入路由产品系列 VPN 安全 产品系列以及专为中小规模网络用户设计的多功能产品系列 同时这些产品配以网件精 心设计的高性价比解决方案 无论是产品还是解决方案都将最先进的网络技术融入其中 在同类产品中居于全球领先地位 美国网件 NETGEAR 在中国市场以 品质网络轻松建 之理念 致力于推动企业网络构 建与应用 为中国网络用户提供使用简便的高质量网络解决方案 努力塑造 中小规模 企业网络安全先锋 与 无线网络先锋 形象 将最新的产品与技术带给中国的网络用 户 美国网件 NETGEAR 对中国市场抱有很大信心 并已经在中国制定了长期的发展策略 2003 年 美国网件将在香港设立国际操作总部 在国内设立研发中心 并于 2004 年设 立美国网件中国公司 本建议书根据 NETGEAR 对电信热点的理解 从热点地区网络部署及整体解决方案出 发 结合爱立信对运营策略的成熟经验及相关产品 提出了较为详细的阐述了热点地区 的部署 同时基于对热点网络整体结构的理解提出了相应的看法和建议 2 无线局域网发展状况无线局域网发展状况 1997 年 IEEE 推出了 802 11 无线局域网 2Mbps 标准后无线局域网并未得到普及 而 1999 年 802 11b 技术的出现使得的无线局域网的速率可以到达 11Mbps 由于技术成熟 以及移动终端的普及使无线局域网的市场不断扩大 随之而来的新的标准如 802 11g 802 11a 又将无线局域网的速率提到了一个新的高度 使之完全可以满足复杂 的室内环境部署以及高带宽媒体应用的需求 中国的无线局域网在 2003 年得到了充分的发展 主要体现在以下几方面 无线局域网芯片的规模化生产 使得其产品的市场价格为大多数消费者所接受 进一步 扩大的用户市场 从而形成了良性循环 无线局域网络技术的进步 尤其是成熟的 802 11g 产品的推出使得新的无线局域网环境 既满足了用户对高带宽媒体的应用又兼容现有的大量的 802 11b 用户 国际互联网运营商大量的部署无线局域网热点以及对该业务的推广 使得无线局域网的 概念在大用户群中已经取得了一定的普及 为进一步扩大热点的用户市场打下了有力的 基础 移动客户端如便携电脑 PAD 等产品的不断的普及 使得通过无线局域网上网的业务 需求不断扩大 3 酒店需求现状酒店需求现状 已经拥有了综合布线系统的智能化宾馆 能够在客房或商务中心提供商务客人的上网要求 可 商务客人常常喜欢在宾馆大堂 咖啡吧或茶座里用笔记本电脑工作 或是在这些地方进行一个 小型的会谈 当客人需要处理邮件或上网下载公司的资料是 得到的回答往往是 你必须换一 个靠近某个数据点的位置 你可以到商务中心去 或者 您必须到房间里用电话线才可以上网 等等 服务为王 尤其是对于服务产业中的酒店业来说 目前酒店行业竞争的重点已经从硬件的竞 争转移到服务的竞争 各大酒店均绞尽脑汁来提高自己的服务意识和服务水平 在传统的服务 项目已非常成熟的今天 作为四 五星级酒店 如何为客户提供新的服务成为酒店经营者头疼 的问题 近两年来 随着来自世界各地商务客人的增加 全球信息技术的发展和无线网络的高 速发展 以及 Internet 在国内的迅猛发展 为酒店客户提供新的信息服务成为一种趋势 这一 方面提升了现代化酒店的服务与管理水平 同时 也为酒店经营者带来了相应的利益 可以说 网络不仅是酒店传播信息的工具 也是留住回头客保持入住率的有效手段 而无线网 络由于其移动性 便利性和灵活性的特点 更是得以在酒店中大显身手 商务客人一般会要求 酒店提供与其办公室和个人家庭相同的高速 Internet 访问能力 通过无线局域网就可实现灵活 且可扩展的网络解决方案 4 热点网络结构热点网络结构 4 1AP 部署部署 考虑到热点部署的 AP 应与目前持有大量的 802 11b 终端的用户的兼容 同时也顾及到 未来无线局域网数据应用业务的扩展 NETGEAR 推荐采用 WG302 这款运营级别的 802 11g 设备来实现热点部署 WG302 通过无线端口隔离技术提供热点用户更多的安全 保障以及杜绝未经认证的用户非法占用无线网络资源 影响正常用户使用 热点网络结构将从不同用户的环境来阐述 AP 的组建方式 以及在大面积服务区内的无 线 AP 的小区规划 基于应用区域相对开阔 所以从用户应用环境上划分 基本上可以分为两大类 4 1 1小于等于小于等于 3 个个 AP 的使用环境的使用环境 由于同一区域交叠的 AP 的范围小于等于 3 并且 Netgear 的 AP 支持 1 7 13 共三个 互不重叠频率通道 所以无需考虑频道重叠 以下介绍当 AP 数量为 3 时 AP 的构建方式 4 1 1 1方式一 方式一 AP 空中中继连接空中中继连接 见下图 方式一可以覆盖一个较大较均匀的区域 且只需要一个以太网的接入口 但由于作为提 供以太网入口的 AP 与其他 AP 之间是通过空中接口相互通讯 一般而言在这种模式下 AP1 AP2 AP3 必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率 对于 802 11g 来说就是标准的 54Mbps 理论值 但由于 NETGEAR 支持 108M 的 Supper G 技术使得用户仍然可以共享 108M bps 的接入速率 4 1 1 2方式二 方式二 AP 空中中继连接空中中继连接 见下图 方式二可以覆盖一个较狭长的区域 且只需要一个以太网的接入口 由于以太网入口的 AP 仅与一个 AP 之间通过空中接口相互通讯 一般而言在这种模式下 AP1 AP2 AP3 必须处于同一频段所以对于用户而言只能共享一个频段所带来的速率对于 802 11g 来说 就是标准的 54Mbps 理论值 但由于 NETGEAR 支持 108M 的 Supper G 技术使得用户 仍然可以共享 108M bps 的接入速率 上述两种连接方式 虽然同样的使用 AP 进行中继 在覆盖方式上有所分别 在 WLAN 网络开发初期 由于用户不多 可以作为有效的节省网络端口以及扩大覆盖范 围的方法 4 1 1 3方式三 标准方式三 标准 AP 网络连接网络连接 见下图 方式三可以覆盖一个较均匀的区域 由于所有的 AP 都连接一个以太网的接入口所以该 区域的接入用户可以根据漫游所在区域的 AP 直接进入有线以太网网络 以提供更高的 接入速度 4 1 2大于大于 3 个个 AP 的使用环境的使用环境 由于 AP 使用数量大于 3 个 所以需要考虑 AP 间的频道规划 应尽量避免两个处于同 频道的 AP 在同一区域有交叠 4 1 2 1方式一 每个方式一 每个 AP 一个以太端口接入一个以太端口接入 如下图 当 AP 覆盖区域可以为每个 AP 提供一个以太网接入口时 所以该区域的接入用户可以 根据漫游所在区域的 AP 直接进入有线以太网网络 以提供高速率的接入 那么 在规 划中我们只需避免区域内 AP 的频道重叠 4 1 2 2方式二 方式二 AP 进行空中桥接进行空中桥接 如下图 当 AP 覆盖区域可以为每两个 AP 提供一个以太网接入口时 在规划中我们需要考虑以 下两点 避免区域内 AP 频道重叠 必须避免一个 AP 同时作为三个 AP 的有线以太网接入口 4 2整体结构整体结构 考虑了热点地区 AP 的部署之后 需要进一步对热点的整个网络结构作进一步阐述 在 热点网络结构中 NETGEAR 推荐采用 FS526T 交换机来汇聚无线接入点 FS526T 通过 端口隔离技术提供酒店用户更多的安全保障以及杜绝未经认证的用户非法占用有线网络 资源 影响正常用户使用 下图是一个典型的酒店网络结构 从上图可以看出酒店无线网络由以下部分组成 4 2 1访问控制设备 访问控制设备 AC 访问控制设备可以置于酒店机房处 一般而言 AC 的功能取决于对用户的认证手段 采 用爱立信的 EBRAS 服务器 宽带接入服务器 可以有效的对接入用户实施访问控制 并 为运营提供全方位的支持 AC 是酒店覆盖的核心设备 涉及到用户认证 用户计费 用户控制以及与运营策略相 结合的技术实现手段 4 2 2边缘边缘 接入路由器 接入路由器 Router 边缘路由器可以置于酒店 AC 控制器的出口处 实现专线接入的需求 也可以无需边缘 路由器直接由 ISP 提供 AC 控制器的以太接入 4 2 3二层汇聚交换机二层汇聚交换机 二层汇聚交换机用于对酒店楼层交换机的汇聚 并负责城域网接入 对较小的平面酒店 楼层交换机即可兼顾城域网接入 4 2 4二层楼层交换机二层楼层交换机 二层楼层交换机主要用于汇聚该区域的无线接入点 4 2 5PoE 设备设备 PoE 设备可以是单端口也可以是多端口 如果热点机房环境允许的话 建议采用多端口 PoE 设备 这样便于未来的系统扩展 且保证设备整体外观整洁 另外 也有一些楼层交换机自带 PoE 功能 但由于 AP 的所需的功耗是不同的 而交换机的负载能力有限 所以当采用自带 PoE 的交换机时 当外挂 AP 数目较多时会导致电流不稳从而影响设备性能 建议采用独立的 网线馈电设备来对无线接入点进行供电 4 2 6无线节点无线节点 AP 负责无线客户端的接入 5 酒店酒店运营考虑运营考虑 5 1AC 部署部署 AC 部署模式在酒店比较简单 而且与边缘用户的连接可以通过二层方式来实现 5 2用户群兼容用户群兼容 基于近两年来无线局域网逐渐为市场接受 越来越多的用户都购买了无线局域网卡 但 由于当时无线局域网技术为 802 11b 所主导 所以存在这大量的 802 11b 的用户群体 新的热点 AP 必须能与这些用户相兼容 令人欣慰的是 802 11g 标准的推出其主要的设计原则就是考虑到与 802 11b 用户的兼 容 同时提供更好的微波特性以及较高的数据带宽 802 11g 的最大优点是有逆向兼容性 backward compatibility 亦即可与 802 11b 兼容 虽 然 802 11b 设备在相同的 2 4GHz 频宽中操作 他们所使用的模块设计其实是不同的 802 11b 使用 CCK 的调变技术 而 802 11g 则使用 OFDM 技术 简单的说 那就像两 个人可以互相听到对方的声音 却没有办法沟通 因为他们说的语言不同 802 11g 的保护机制 Protection 提供了所需的机制来控制到底是说 CCK 或是 OFDM 它使用了 RTS CTS 机制 这种机制正是 802 11b 的部分规格 当 Protection 处 于使用中状态时 每个 802 11g OFDM 数据包都是处于 CCK RTS 请求送出 Request To Send 的情况 如果说的语言是 CCK 时 范围内所有 802 11b 站台 或是使用保护的 802 11g 站台 都可以了解一个站台正在要求许可来送出资料 而接收的范围内 802 11b 或是 802 11g 站台就可以用 CCK CTS 清除发送 Clear To Send 作回应 传送才能开 始 因为 RTS 和 CTS frames 包含了其它有关将被传送的资料 所以 802 11g 可以分辨 到底是要切换回 OFDM 或是继续说 CCK 以完成要求的通讯 如果说的语言是 CCK 时 范围内所有 802 11b 站台 或是使用保护的 802 11g 站台 都可 以了解一个站台正在要求许可来送出资料 而接收的范围内 802 11b 或是 802 11g 站台 就可以用 CCK CTS 清除发送 Clear To Send 作回应 传送才能开始 因为 RTS 和 CTS frames 包含了其它有关将被传送的资料 所以 802 11g 可以分辨到底是要切换回 OFDM 或是继续说 CCK 以完成要求的通讯 通过这种机制 802 11g 可以灵活的兼容 802 11b 的用户 但这种机制的负面效应显而易 见他需要牺牲一部分 802 11g 的速率 建议在热点运营初期 打开所有的无线接入点的 802 11b 的兼容功能 虽然需要牺牲部 分速率 但却不至于使大量的 802 11b 用户拒之门外 从而赢得了更多的用户 等到 802 11g 客户端逐渐普及后再考虑关掉 802 11b 的兼容性 来提高用户的接入速率 5 3用户群扩展用户群扩展 就目前无线局域网技术而言 802 11g 标准所提供的单频 54Mbp 的吞吐率 同时又可兼 容大量 802 11b 用户 这个速率已经是最高的接入速率了 NETGEAR 支持的 Supper G 技术通过双频捆绑等优化技术又将接入速率提升到了 108M 使得基于 NETGEAR 无线 接入点部署的热点可以基本满足目前以及将来较长一段时间的数据接入业务 另外 如果随着热点用户数量的扩大 也可以通过对 NETGEAR 功率调整并配合频点 规划来实现无线系统容量的扩张 5 4酒店无线网络安全酒店无线网络安全 根据上图网络安全从以下三方面进行考虑 1 空中接口的安全性 2 无线接入点的安全性 3 接入交换机的安全性 5 4 1空中接口的安全性空中接口的安全性 由于无线网络是一个开放式的网络 所以任何在该无线可达区域内的用户都可以轻而易 举的截获用户未加密的数据 我们可以通过以下及方面来实现区域内用户的安全性 5 4 1 1WEP 加密加密 多数 AP 都可以提供基于 WEP 标准的无线通讯加密 并可以支持 40 位密钥和 128 位密 钥的数据加密 WEP 加密最基本的保障了用户无线数据的安全性 但是每个移动用户 都需要在客户端手工输入密钥 这给移动用户增加了操作的繁琐性 同时由于 WEP 采 用共享密钥交换在其交换过程中会产生一些弱密钥 这使得加密的数据较容易被破解 5 4 1 2802 11i 为了使 WLAN 技术从 WEP 造成的不安全的被动局面中解脱出来 IEEE 802 11 的 i 工 作组致力于制订被称为 IEEE 802 11i 的新一代安全标准 这种安全标准为了增强 WLAN 的数据加密和认证性能 定义了 RSN Robust Security Network 的概念 并且 针对 WEP 加密机制的各种缺陷做了多方面的改进 IEEE 802 11i 规定使用 802 1x 认证和密钥管理方式 在数据加密方面 定义了 TKIP Temporal Key Integrity Protocol CCMP Counter Mode CBC MAC Protocol 和 WRAP Wireless Robust Authenticated Protocol 三种加密机制 其中 TKIP 采用 WEP 机制里的 RC4 作为核心加密算法 可以通过在现有的设备上升级固件和驱动程序 的方法达到提高 WLAN 安全的目的 CCMP 机制基于 AES Advanced Encryption Standard 加密算法和 CCM Counter Mode CBC MAC 认证方式 使得 WLAN 的安 全程度大大提高 是实现 RSN 的强制性要求 由于 AES 对硬件要求比较高 因此 CCMP 无法通过在现有设备的基础上进行升级实现 WRAP 机制基于 AES 加密算法和 OCB Offset Codebook 是一种可选的加密机制 目前 802 11i 仍在制订过程中 5 4 1 3WPA 虽然 802 11i 正在制订中 但市场对于提高 WLAN 安全的需求是十分紧迫的 IEEE 802 11i 的进展并不能满足这一需要 在这种情况下 Wi Fi 联盟制定了 WPA Wi Fi Protected Access 标准 这一标准采用了 IEEE802 11i 的草案 保证了与未来出现的协 议的前向兼容 WPA 与 IEEE 802 11i 的关系如下图所示 WPA 采用了 802 1x 和 TKIP 来实现 WLAN 的访问控制 密钥管理与数据加密 802 1x 是一种基于端口的访问控制标准 用户必须通过了认证并获得授权之后 才能通过端口 使用网络资源 TKIP 虽然与 WEP 同样都是基于 RC4 加密算法 但却引入了 4 个新算 法 扩展的 48 位初始化向量 IV 和 IV 顺序规则 IV Sequencing Rules 每包密钥构建机制 per packet key construction Michael Message Integrity Code MIC 消息完整性代码 密钥重新获取和分发机制 WPA 目前已为多数相关厂家的支持 并在国际上得到推广 5 4 1 4WAPI 除了国际上的 IEEE 802 11i 和 WPA 安全标准之外 我国也在今年 5 月份提出了无线局 域网国家标准 GB15629 11 这是目前我国在这一领域惟一获得批准的协议 标准中包 含了全新的 WAPI WLAN Authentication and Privacy Infrastructure 安全机制 这种安 全机制由 WAI WLAN Authentication Infrastructure 和 WPI WLAN Privacy Infrastructure 两部分组成 WAI和 WPI 分别实现对用户身份的鉴别和对传输的数据加 密 WAPI 能为用户的 WLAN 系统提供全面的安全保护 WAPI 安全机制包括两个组 成部分 WAI 采用公开密钥密码体制 利用证书来对 WLAN 系统中的 STA 和 AP 进行认证 WAI 定义了一种名为 ASU Authentication Service Unit 的实体 用于管理参与信息交 换各方所需要的证书 包括证书的产生 颁发 吊销和更新 证书里面包含有证书颁 发者 ASU 的公钥和签名以及证书持有者的公钥和签名 这里的签名采用的是 WAPI 特有的椭圆曲线数字签名算法 是网络设备的数字身份凭证 就目前 WAPI 的情况而言 标准的制订 推行 技术的合作 包括对现有市场原有设 备的兼容性以及软件升级所带来的性能问题都存在不定因素 但由于 WAPI 将与 IEEE 合作进行安全标准的制定 相信今后产品的兼容性不会存在问题 一旦标准制定网件公 司将与第一时间予以支持 综上所述 就目前而言可以解决空中无线接口安全的技术可以说只有 WPA 对于 WPA 由于其基于 802 1x 为认证机制 所以为了确保对用户端操作系统的兼容以及完善的客 户信息传送 建议基于该标准自行设计客户端软件来实现无线用户端的接入 5 4 2无线接入点的安全性无线接入点的安全性 建议采用可以设置用户隔离的 AP 来实现 AP 下联用户的隔离 通过在 AP 上打开用户 隔离的开关 使得用户只能通过 AP 访问上联网络而无法与其他用户通讯 这样就实现 了移动用户与用户之间的隔离 从而保证了无线区域内用户数据的安全性 该方式无需 用户在客户端作任何设置工作 即使空中接口每有得到安全保障 中间人可以通过 Snifer 网络报文探测器 来捕获其他 用户的空中报文 但由于用户间是相互隔离的所以使得用户间的横向攻击无法实施 5 4 3接入交换机的安全性接入交换机的安全性 设置交换机端口的隔离来实现下联的 AP 与 AP 之间用户的安全性 采用 Per AP Per VLAN 的方式来实现下联的 AP 与 AP 之间用户的安全性 5 4 4总结总结 热点网络安全需要依赖用户现有环境的安全性以及提供给用户的数据应用 具体可以从 以下几方面来实现 通过无线访问点 AP 的空中接口安全功能配置 放置攻击者在空中利用 snifer 捕获 其他用户的通讯报文 通过设置自下而上的二层隔离 即实现无线接入点至二层交换机的用户隔离 来防 止用户间的相互攻击 通过对访问控制器 AC 的配置可以在二层的基础上有效的杜绝用户间地址欺骗 通过给需要 VPN 应用的用户分配公网地址 使用户可以自己建立起到公司网络端 到端的 VPN 隧道 以确保数据在整个路由网络的安全性 当然随着 NAT T IPSec over UDP 技术的普及 酒店用户也可以通过私网地址来实现 VPN 隧道 通过设置酒店网络设备的 SNMP 安全性 防止无线接入用户对这些设备的攻击 通过设置无线局域网运营网中三层设备的 ACL 防火墙或策略路由 防止无线接入 用户对网络核心设备的攻击 5 5用户认证计费用户认证计费 5 5 1认证方式认证方式 无线局域网络的认证方式可以有以下几种 5 5 1 1基于基于 Web 方式的认证方式方式的认证方式 通过 Portal Server 实现认证页面的强制推送 来实现用户认证 认证信息可以通过 SSL 进行加密 但用户数据信息并不加密 5 5 1 2基于基于 802 1x 的认证方式的认证方式 通过 win2000 xp 内置的 802 1x 驱动或 802 1x 客户端来实现 WPA 或 EAP TLS 用户认 证 认证信息和数据信息都可以是加密的 5 5 1 3基于基于 PPPoE 的认证方式的认证方式 PPPoE 的认证模式已经是宽带网络中相当成熟的模式了 如今大多数操作系统都集成 了 PPPoE 客户端软件 PPPoE 的认证信息可以通过 CHAP 进行加密 而用户数据也可 以实现加密 5 6QoS 普通的 802 11 无线 LAN 标准是没有 QoS 保障的 为弥补这一不足 IEEE 提出了 802 11 的增强型标准 802 11e 802 11e 增加了对 QoS 的定义 旨在保证语音和视频 等高带宽应用的通讯质量 我们知道 普通的 802 11 无线 LAN 有两种通讯方式 一种叫分布式协同式 DCF 另一种叫点协同式 分布式协同 DCF 基于具有冲突检测的载波侦听多路存取方法 CSMA CA 无线设备发送数据前 先探测一下线路的忙闲状态 如果空闲 则立即 发送数据 并同时检测有无数据碰撞发生 这一方法能协调多个用户对共享链路的访问 避免出现因争抢线路而谁也无法通信的情况 它对所有用户都一视同仁 在共享通讯介 质时没有任何优先级的规定 点协同方式 PCF 是指无线接入点设备周期性地发出信号测试帧 通过该测试帧与各 无线设备就网络识别 网络管理参数等进行交互 测试帧之间的时间段被分成竞争时间 段和无竞争时间段 无线设备可以在无竞争时间段发送数据 由于这种通讯方式无法预 先估计传输时间 因此 与分布式协同相比 目前用得还比较少 无论是分布式协同还是点协同 它们都没有对数据源和数据类型进行区分 因此 IEEE 对分布式协同和点协同在 QoS 的支持功能方面进行增补 通过设置优先级 既保 证大带宽应用的通讯质量 又能够向下兼容普通 802 11 设备 对分布式协同 DCF 的修订标准称为增强型分布式协同 EDCF 增强型分布式协 同 EDCF 把流量按设备的不同分成 8 类 也就是 8 个优先级 当线路空闲时 无线 设备在发送数据前必须等待一个约定的时间 这个时间称为 给定帧间时隙 AIFS 其 长短由其流量的优先级决定 优先级越高 这个时间就越短 不难看出 优先级高的流 量的传输延迟比优先级低的流量小得多 为了避免冲突 在 8 个优先级之外还有一个额 外的控制参数 称为竞争窗口 实际上也是一个时间段 其长短由一个不断递减的随机 数决定 哪个设备的竞争窗口第一个减到零 哪个设备就可以发送数据 其它设备只好 等待下一个线路空闲时段 但决定竞争窗口大小的随机数接着从上次的剩余值减起 对点协同的改良称为混和协同 HCF 混和查询控制器在竞争时段探测线路情况 确定 发送数据的起始时刻 并争取最大的数据传输时间 目前 802 11e 标准仍然处于草案阶段 但 NETGEAR 的无线接入点已经做好了对这一标 准的支持 通过软件升级就可实现 802 11e 随着 802 11e 的推出 用户对流媒体的 服务质量将会得到很大的提升 6 地址规划地址规划 由于移动用户不需要固定的 IP 地址 因此对移动用户可采用动态的 IP 地址分配 移动 用户端获得的地址可以是公网地址也可以是私有地址 传统的接入控制点往往是分布式放置在每个热点地区的 同时在控制点处通过 NAT PAT 来实现接入用户对公网的访问 这样的格局使得网络结构中 IP 规划变得更加 简单同时也使得日益紧缺的公网地址问题得到了解决 但这也会使得 NAT PAT 成为业 务拓展的瓶颈 其原因在于现今的 NAT PAT 技术使得许多要求 IP 地址唯一性的应用 无法在 NAT PAT 两侧实现通讯 如网上聊天 VoIP NetMeeting VPN 等 为了减少 对业务拓展的影响 建议如下 将 NAT PAT 的功能上移至各省网或城域网出口的防火墙上 统一规划防火墙下联网络的 IP 地址包括私网地址和公网地址 为每个 AC 负责的 汇聚点 提供一块固定的公网地址段 该地址段可以由该汇聚点的 DHCP 服务器提 供 同时也要做好不同汇聚点 DHCP 服务器中私网地址的规划 在出口防火墙下联的三层设备上实现策略路由 分流公网地址直接路由至骨干网 私网地址则通过防火墙作 NAT PAT 后再路由至骨干网 该工作也可通过防火墙上 实现策略 NAT 来实现 在接入控制点实现基于用户需求进行 IP 地址的分发 即通过用户策略实现用户地 址分配 7 网管网管 为了更好的便于管理 需要采用统一的网管平台进行管理 NETGEAR 的无线接入点 WG302 提供了基于 SNMP V1 和 V2 的网管接口 同时无线 APWG302 AC 核心交换 机也支持 Telnet WEB 管理支持 802 11 标准的 MIB 库 使得通用的网管平台就可对设 备进行管理 8 设备介绍设备介绍 8 1AC 控制器控制器 产品功能和特点 丰富的接入认证技术 PPPoE 适应于 DSL HFC Ethernet 等用户驻地网接入 支持拨号到 Internet L2TP VPDN 和 Virtual router 等多种方式 支持 MPPE 数据加密以提高 VPN 用户或 WLAN 用户的数据安全 Subscriber VLAN 或端口隔离技术解决 PPPoE 私服问题 Subscriber VLAN 或 PPPoE relay 或 Virtual MAC 解决用户定位问题 用户名或位置与公用 IP 地址绑定方便 Soho Office router 的拨号接入 DHCP WEB 支持内置的 DHCP Server Internet 域 或 Virtual router 内的 Smart DHCP relay 功能 支持内置或外置的 Web portal 二次地址分配 多共享 地址池和选择服务与地址池绑定技术解决 DHCP 方式下地址利用率低和公用地址 少的尖锐矛盾 Subscriber VLAN 或端口隔离技术解决 DHCP 私服问题 Subscriber VLAN 或 DHCP Option 82 或 Virtual MAC 解决用户定位问题 Smart DHCP relay 解决共享网段内多服务网的问题 IP MAC Port VLAN 的动态 绑定解决 IP spoofing 问题 智能活动探测技术解决用户在线侦测问题 未认证用 户自动速率限制弱化恶意攻击 外置 DHCP Server Portal Server 的备份和负载均 衡解决服务器扩展性和可靠性的问题 DHCP 802 1x 能够提供认证前更安全的控制 支持基于 MAC 或基于端口的控制 结合 Smart DHCP relay 技术较简单地解决服务选择 地址利用率 IP MAC port VLAN 绑定等问题 DHCP authentication proxy 使用于边缘交换机支持 802 1x 情况下或 WLAN 接入 在边缘采用基于 port 或 VLAN 可以提供 认证前更安全的控制 在 WLAN 中采用以结合 AP 的认证加密功能和 BRAS 的地址分配 流 量控制功能 WAPI 支持兼容 多样化的计费方案 支持基于时长 流量和服务级别的计费 支持预付费 支持 2 级计费 支持计费信息复制到用户定位或其他应用服务器 通过 Virtual MAC 或 VLAN ID 或 Subscriber ID 映射到主叫号支持主叫计费 支持计费服务器的备份 支持本地计费 强大和易用的用户控制机制 速率限制 8kbps 步长 基于特定用户 用户组或 IP 地址池的过滤器 基于特定用户 用户组或 IP 地址池的 QoS 策略路由 基于 MAC 地址 Port VLAN 用户名或域名确定策略 本地或 Radius 控制 动态服务选择和客户化首页 内置或外置 WEB server 动态服务选择 WEB 服务强制重定向 基于接入地 用户名 域名 用户类型或选择服务动态客户化首页 完善的安全手段 PPPoE Server DHCP server 私服避免 Ping UDP flooding 抑制 IP Spoofing 避免 MAC Port VLAN IP 地址动态或静态绑定 访问日志 PPPoE L2TP 链路加密 SSH 基于状态的防火墙 NAT PAT 丰富的运营维护信息 性能 业务量 客户信息等统计信息 DHCP Radius WEB Server 健康检查等告警信息 系统附载 DHCP 地址池 可疑访问等告警信息 由于基于交换机的 BRAS 放置的位置和同时承担交换机的功能 以下功能对于能够在今天或将 来能够适应单纯 Internet 接入以外的服务开展 如虚拟接入网出租 虚拟专线 IP TV NGN 等 技技 术术 描述描述重要性和原因重要性和原因 功 能 完 整 的 交 换 功 能 设定特定端口 VLAN 的数据 流量为透明桥 接 线速 STP 保护 速 率限制和 CoS 支持 接入地的网管网 接入网出租 虚拟 L2 专线 VMAN 服务等 旁 路 控 制 某些端口 VLAN 内的设 备经过 EBAS 认证后转入快 速交换模式 如线速的大流 量 Multicast 支持等 VoD Internet TV 等大流 量 实时性强的业务支持 虚 拟 路 由 基于端口 VLAN MAC 登录名 用户 线路标识等确 定用户 VPN 归属 NGN Internet TV 等可能 是独立的路由网络 基 于 位 基于端口 VLAN MAC 用户线路标识 NGN 中的 SIP phone IAD Multicast Service Internet TV service 域中的机顶盒可能不支持 置 的 认 证 计 费 PPPoE DH CP relay 等 认证接入设备 PPPoE WEB 认证 便于用户使用和业务开展 如窄带 网中的主叫号认证计费 SoHo Office 接入 系统信息系统信息 机箱19 英寸 2U 机箱 机箱的总尺寸为 440W 560D 88H 电源冗余电源 输出 300W 300W AC 90 264V 50 60Hz 可选 DC36 72V 供电 闪存 32MB 可扩充到 1GB 内存 512MB 可扩充到 1GB 处理器Intel P4 和 ARM7 交换背板5 2G 风扇3 工作温度存放 20 60 工作 5 50 湿度 10 90 无凝结 电磁特性FCC CLASS B CE MARK C tick 认证 接口接口 网络接口22 10 100BaseTx 扩展槽2 个 扩展模块1 口 100Base FX 1 口 100Base LX 1 口 GE SX 1 口 GE LX 1 口 GE TX 管理管理 SNMP V1 V2 agent V3 部分支持 MIB Support MIB 2 IP PPP SNMP 私有 EBAS CLI Console telnet ssh Statistics Poll by SNMP or put by tftp Element Management 二层交换二层交换 方式存储转发 线速转发支持 转发表MAC14K 整机 可以根据端口限制 MAC 地址 数目 VLAN基于端口和 802 1Q Tag 端口隔离 VLAN 透传 4096 个 VLAN 本机终结的 PPPoE VLAN 可以升级到 22 4096 CoS2 个端口队列 流控背压和 IEEE 802 3x 端口镜像支持 IGMP snooping支持 用户接入和认证用户接入和认证 认证方式PPPoE 802 1x Web Radius proxy 认证协议PAP CHAP MS CHAP1 MS CHAP2 PPPoE EAP Md5 SIM TLS TTLS 802 1x Portal PAP CHAP PAMPU web 数据加密MPPE PPPoe only IP 地址管理地址管理 固定 IP 地址 静态 IP 地址 动态 IP 地址 Radius 地址池选择 Radius 分配地址 DHCP relay DHCP server VR 的 DHCP relay支持 同一接口下绑定多个 DHCP 地址池 支持 DHCP WEB 下的多服务 2 次 DHCP节省地址空间 只有认证的用户才能得到合法地址 用户隔离用户隔离 用户 VLAN 端口隔离 用户定位用户定位 用户 VLAN 4K Upgrade to 88K 虚拟 MAC PPPoE relay DHCP relay Option 82 计费计费 度量值时长 流量 级别 预付费 用户标识用户名 域名 主叫号 位置 认证计费分离 备份 2 级计费 本地认证 本地计费 实时计费 业务选择和客户化门户业务选择和客户化门户 内置 Web Server 外置 Web Server 强制重定向 客户化首页根据接口 接入地 VLAN 用户位置 用户名 域名 VPN 号 IP 地址 选择服务进行个性化 负载均衡 冗余 开放接口 用户管理和品质服务用户管理和品质服务 差分服务WFQ Marking Remarking Policing RED 速率限制基于端口 流 用户 策略选择用户名 MAC 地址 Port VLAN 域名 IP 地址池 应用协议和服务端口 策略确定本地 Radius Server 带宽控制双向 步长 8kbps 过滤器基于用户的动态和基于地址池的静态过滤器 路由路由 路由协议静态路由 RIP OSPF 策略路由 VPN VPDN Virtual router GRE IPIP L2TP 网络安全网络安全 状态防火墙 NAT PAT MAC flooding 抑制 Ping flooding 抑制 UDP flooding 抑制 用户隔离 地址冲突避免通过 DHCP 自动完成 IP MAC VLAN 绑定 IP spoofing入端口地址过滤 DHCP 私服避免 PPPoE 私服避免 IP Port VLAN MAC 绑定 订货信息 EBAS2100 宽带 IP 接入服务器 220V 单电源 EBAS2100 宽带 IP 接入服务器 220V 双电源 EBAS2100 宽带 IP 接入服务器 48V 单电源 EBAS2100 宽带 IP 接入服务器 48V 双电源 以上产品包括产品资料一套 扩展模块选购产品 EBAS2100 多模千兆光接口模块 500m EBAS2100 单模千兆光接口模块 10Km EBAS2100 单模长距千兆光接口模块 40Km EBAS2100 多模百兆光接口模块 2Km EBAS2100 单模百兆光接口模块 20Km 8 2WG302 运营级无线接入点运营级无线接入点 8 2 1产品特点产品特点 IEEE802 11g 高速联网 支持 Super G 技术 传输速度高达 108Mbps 40 64 128 和 152 位 WEP 数据加密 支持无线安全保护访问 WPA 支持无线分布系统 WDS 特性 可支持点对点 点对多点桥接以及无桥中继功能 支持 IEEE 803 af 以太网远程供电功能 PoE 两条可拆卸的 5dBi 高增益天线 SNMP MIB I MIB II和 802 11 MIB 支持 加强的信号接收功能 8 2 2产品介绍产品介绍 产品型号产品型号 WG302 类类 型 型 108Mbps 无线局域网接入点 802 11g 2 4GHz 简简 介 介 基于 IEEE 802 11g 标准的 WG302 提供先进的安全性 超级的性能 完整而先进的功 能 超强的信号覆盖和丰富的管理特性 完全满足企业级和电信级应用对无线局域网设 备的各项要求 该产品在兼容现有 54M 802 11g 网络和 11M 802 11b 网络的同时 更是 采用了 NETGEAR 公司创新的 Super G 技术 为用户在保证原有投资的同时提供了快 速升级到更高速 108M 无线局域网的捷径 WG302 超级的性能来源于其采用了基于 Intel Xscale 422 的处理器 并且在标准 802 11g 54M 速率的基础上采用了超于其他 802 11b 产品 10 倍实际传输速率和 4 倍信号 覆盖范围的 SuperG 技术 能够在更大范围内提供 108M 吞吐量的数据传输速率 WG302 基本的安全功能包括有 40 64 位 128 位以及 152 位 WEP 数据加密 SSID 号广 播禁止 MAC 地址访问过滤验证可为 256 个用户提供访问服务 另外支持 VPN 的穿 透 高级的安全功能包括有基于 IEEE 802 1x 端口访问控制基础上的 EAP TLS TTLS 和 PEAP 通过软件升级还可支持完备的 WPA Wi Fi 安全保护访问 安全的 SSH Telnet 安全的 SSH 远程访问管理及无级客户端的二层隔离等等 WG302 先进的企业级功能包括支持无线分布系统 WDS 这包括支持支持点对点 点对多点的无线桥接以及无线中继功能 可直接为用户提供高达 108M 的无线桥接解决 方案 另外创新的 WG302 还可支持无线桥接模式和无线访问点 AP 模式同时工件 一 机两用 为用户在大范围面积内实施无线局域网提供了最好的解决方案 WG302 先进的功能还包括其支持以太网线远程供电 PoE 标准 IEEE 802 3af 配合 支持 IEEE 802 3af 功能的以太网交换机 WG302 将可由以太网交换机直接供电而不再 需要对其进行本地供电 为了更进一步协助用户在复杂区域内的无线信号覆盖 WG302 配备了两条可拆卸的 5dBi 高增益天线 并可和 NETGEAR 公司现有的全系列 天线配合使用 WG302 丰富的管理功能包括支持图形化的基于 WEB 浏览器的配置界面 也可支持 通过 SNMP 和 Telnet 方式下的命令行管理方式 还可支持安全的远程访问管理 特别是针对电信 热点 场合的应用 WG302 的输出功率可根据用户的要求进行随着 的调整 也支持公众场合应用的无线客户端二层隔离 加上其完备的其他各项先进安全 特性 WG302 是下一代 热点 应用的理想选择 8 2 3技术参数 技术参数 产品名 2 4GHz Super G 108Mbps ProSafe 企业级无线局 域网接入点 订货号 WG302 设备管理 内置 HTTP Server 基于 WEB 的管理方式 本地 Console 控制口 CLI 命令行方式 管理 本地或远程的 Telnet CLI 命令行方式 管理 SNMP MIB I II 802 11 MIB 技术规范 无线局域网标 准 IEEE 802 11g IEEE802 11b 传输 速率 802 11b 标准 1 2 5 5 和 11 Mbps 动态转换 8