宾馆无线方案

1、酒店无线网络技术建议书国际大酒店无线网络方案方案设计单位：数码科技有限公司联系人： 联系电话：日期：2012年7月3日单位公章：目 录第一部分：无线网络概述3一、 无线网络建设的意义和必要性31有线局域网已成为移动办公的束缚32无线局域网的特点33无线网络应用的环境及需求4二、无线局域网设计原则和技术需求41遵循标准42技术潮流53安全可靠54可扩展可升级55易管理易维护66技术需求6三、 无线网络安全保障71无线网络的安全问题72无线网络的安全解决方法7四WLAN网络管理12第二部分：无线网络概述13一工程建设目的13二无线网络部署范围13三. 建议解决方案131. 酒店无线网络拓扑图14第

2、三部分：设备清单15第四部分：产品介绍161、IP-COM G1210P162、IP-COM W80AP16 第一部分：无线网络概述一、 无线网络建设的意义和必要性1有线局域网已成为移动办公的束缚随着Internet的高速发展，局域网也越来越普及，不仅公司、企业、学校及事业单位建立了局域网，许多办公室、家庭里面的小型局域网也纷纷的出现。这种局域网一般都是需要综合布线的有线网络，它的出现解决了人们网络联通的问题，大大提高了办公效率，并且数据传输速率也日趋加快，但同时也存在着许多问题。有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下，因此综合布线将是非常令人头痛的事情。设计线路的走向、开挖

3、布线槽、敷设线路、调试等等，既耗费人力财力又浪费大量时间。不但如此，布线之后的线路维护、线路监测等事情更是费时费力。而且，这种传统的有线网络不能摆脱线路的束缚，不能根据实际情况随意的改变网络的结构，更不能实现现代化移动办公的需要，也就不能进一步提高网络办公的工作效率。2无线局域网的特点无线局域网的出现使有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统的布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。无线局域网具有传统有线网络无法比

4、拟的特点：ü 灵活性，不受线缆的限制，可以随意增加和配置工作站；ü 低成本，无线局域网不再需要大量的工程布线，同时节省了线路维护的费用；ü 移动性，不受时间、空间的限制，用户可在网络中漫游；ü 易安装，对于有线网络来说，无线局域网的组建、配置和维护更为容易。而且，通信范围不受环境条件的限制，网络传输覆盖范围大大的拓展，室外可以传输几十公里、室内可以传输数十、几百米。在网络数据传输方面也有与有线网络等效的安全加密措施。3无线网络应用的环境及需求随着Internet应用的迅猛发展，以及便携电脑、Wi-Fi手机、PDA（Personal Data Assist

5、ant）等移动智能终端的使用日益增长，无线网络的发展和应用成为必然趋势。随时随处自由接入Internet、能享受更多的业务、安全且有保障的网络成为下一代网络新的需求。在接入速率和适应环境上与3G技术互为补充的WLAN（Wireless Local Area Network）无线局域网迅猛发展，成为新一代高速无线接入网络。无线局域网被看作传统有线网络的延伸，在某些环境还可以替代传统的有线网络。与有线网络相比，无线局域网有可移动性，设备安装快速、简单、灵活，适合应用在频繁移动和变化的动态环境中，投资回报高等优越性。二、无线局域网设计原则和技术需求1遵循标准无线局域网采用的技术支持应为国际标准或业界

6、标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。根据需求和无线网建设与设计原则，建议采用美国Ruckus Networks公司的无线交换局域网系统（以下简称Ruckus无线系统），完成无线局域网覆盖项目。2技术潮流第一代无线局域网主要是采用胖AP架构，每台AP都是一个独立的个体，AP与AP之间不会进行任何沟通，需要逐台逐台进行配置和管理，费时、费力、维护成本高，安全低，融合性差；第二代无线局域网融入了认证网关设备，仍然不能集中对AP进行管理和配置，只是对认证管理方面有所提高而已。现今大型无线网络要求其与传统有线网络平滑融合，要求管理性和安全性都必须有一个质的

7、提高，而第一代和第二代无线技术必定不能满足，因此，在这样的环境下，基于无线交换机集中式管理的第三代无线架构延生了。第三代无线局域网架构采用无线交换机加瘦AP的结构，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高，使建设大型无线网成为可能。但是网络的发展日新月异，随着人们对无线局域网技术要求的不断提高，以及对无线局域网认识的深入，瘦AP的概念已经过时。 可胖可瘦成了AP发展的趋势，尤其是随着802.11n的普及，简单的瘦AP给后台的无线交换机带来极大的负担。为了解决这个问题，用户付出的代价也是巨大而不划算的。第四代可胖可瘦AP成为无线局域网发展的必然。3安全可靠在网络安全性方面，无

8、线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）数据链路的全程加密； （3）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；4可扩展可升级通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理，AP在提供无线接入的同时，也可进行无线入侵监控、无线电波传输分析。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不变。5易管理易维护在

9、网络管理方面，必须具有集中控管、智能调控、自动恢复、系统冗余等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。6技术需求无线网络的管理和控制统一AP管理配置及设定，统一设定固件升级，无线网络流量管理，报表及日志管理。AP 的需求1. AP支持VLAN划分，以及多VLAN支持。2. POE供电3.多SSID4.加密5. Radius 认证以及主流多种认证方式6. QOS7. 用户无缝漫游8. 动态负载均衡9. 支持带宽分配10.客户及办公用户不同策略身份验证11.可整合到现有计费系

10、统无线网络要覆盖区域 除停车场以外酒店所有区域均需无线信号覆盖无线网络的安全控制1.可争对不同VLAN定制访时间2.入侵检测3.主动报警机制，当发现有入侵跡象会主动发出警报以可通过多种方式通知相关管理人员。4.保证客户资料安全性，不同认证用户之间资源不可互访酒店环境所有隔段均采用土墙砖式隔段三、 无线网络安全保障无线网络的架设与规划已为近来非常热门的话题，无线网络相关产品越来越成熟，而价格方面也非常地有吸引力，所以现在无线网络的应用，在大多数的企业都可以看的到。 但是，无线网络的方便性却带给企业在网络安全上的另一个问题-"使用方便VS安全性"。1无线网络的安全问题"

11、;无线"网络，顾名思义就是利用"空气(空间)"取代"网络线"来传递数据，无线网络使用者只要在无线电波的涵盖范围内，就可以如同已往使用网络线来连上网络一样方便; 换句话说，"任何人"在"电波范围内(可能是不同层楼或停车场)"也一样可以使用"企业内部网络"了! 而且"任何人"也可以很方便的"看到""其它人"在传输的数据。 从另一个角度来看，会不会有人私自把AP接上现有的网络上，自己"创造"一个私人的无线网络环境

12、呢? 以上突显无线网络需解决的三个问题: 1.确定无线网络的使用者是被允许的(认证使用者)。 2.数据传输时需要"保密(加密)"。 3.防止未受管制的无线网络基地台连上网络。2无线网络的安全解决方法SSID服务识别码SSID(服务识别码)是一个可供设定的字符串，用来区分不同的无线网络区域，设定正确SSID的使用者才可以跟无线网络基地台(Wireless Access Point)通讯。IP-COM网络所提供的AP/网桥产品均支持SSID广播的开启和关闭功能，若关闭SSID广播，无线客户端若不知道SSID(服务识别码)内容则无法联入无线网络，从而增加了网络的安全性。有线等价加

13、密 (WEP)由于无线局域网的特性，保护对网络的物理访问比较困难。与需要物理连接的有线网络不同，无线 AP 范围内的任何人都可以为所欲为地发送和接收帧以及侦听发送的其他帧，这使得无线局域网帧很容易被窃听和远程探查。有线对等保密 (WEP) 由 IEEE 802.11 标准定义，旨在提供与有线网络等效的数据机密性。WEP 通过加密无线节点之间发送的数据来提供数据机密性服务。在 802.11 帧的 MAC 标头中设置 WEP 标志即表示对 802.11 帧进行了 WEP 加密。WEP 通过在无线帧的加密部分包括完整性校验值 (ICV) 来提供随机错误的数据完整性。大多数厂家的WEP密钥加密长度支持

14、64或128位，而IP-COM网络所提供的WLAN产品不仅支持64或128位加密，更可以支持高达256位的WEP加密。IEEE 802.1XIEEE 802.1X 标准定义了基于端口的网络访问控制，用于为以太网提供经过身份验证的网络访问。这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。如果身份验证过程失败，则拒绝它们访问该端口。尽管此标准是为有线以太网设计的，不过它已经得到了修改，可以在 802.11 无线局域网上使用。IEEE 802.1X 定义了以下术语：端口访问实体、身份验证者、申请者、身份验证服务器下图显示了无线局域网的这些组件。IEE

15、E 802.1X 身份验证的组件端口访问实体局域网端口又称端口访问实体 (PAE)，是支持与端口关联的 IEEE 802.1X 协议的逻辑实体。PAE 可以是身份验证者角色、申请者角色或者同时是这两种角色。身份验证者身份验证者是一个局域网端口，该端口在允许访问可通过此端口访问的服务前强制执行身份验证。对于无线连接，身份验证者是无线 AP 上的逻辑局域网端口，基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络的访问。 申请者申请者也是一个局域网端口，此端口请求访问可通过身份验证者访问的服务。对于无线连接，申请者是无线局域网适配器上的逻辑局域网端口，该端口通过将自身与身份验证者关联

16、并向身份验证者验证它自身来请求对其他无线客户端和有线网络的访问。无论对于无线连接还是有线以太网连接，申请者和身份验证者都通过逻辑或物理的点到点局域网段进行连接。身份验证服务器为验证申请者的凭据，身份验证者使用了身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭据，然后对身份验证者做出响应，指示是否授权申请者访问身份验证者的服务。受控端口和非受控端口身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口，这些端口通过单个物理局域网端口访问有线局域网：非受控端口 非受控端口允许身份验证者（无线 AP）与有线网络上的其他联网设备之间进行不受控制的交换，无论无线客户端的授权状态如何。无线客户

17、端发送的帧从不使用非受控端口发送。受控端口 只有在无线客户端得到 802.1X 的授权时，受控端口才允许在无线客户端和有线网络之间发送数据。在进行身份验证之前，交换机打开，并且无线客户端和有线网络之间不会转发任何帧。在使用 IEEE 802.1X 成功验证无线客户端后，交换机关闭，并且可以在无线客户端和有线网络上的节点之间发送帧在执行身份验证的以太网交换机上，身份验证一旦完成，有线以太网客户端就可以将以太网帧发送到有线网络。交换机使用以太网客户端连接到的物理端口来识别特定有线以太网客户端的通信。通常，以太网交换机上的一个物理端口仅连接一个以太网客户端。由于多个无线客户端竞相访问同一信道并使用同

18、一信道发送数据，因此需要扩展基本 IEEE 802.1X 协议，以使无线 AP 能够识别特定无线客户端的安全通信。这由无线客户端和无线 AP 通过相互确定每客户端单播会话密钥来完成。只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。如果成功的身份验证未能关联有效的单播会话密钥，无线 AP 将丢弃从无线客户端发送的通信。 为了对 IEEE 802.1X 提供一个标准的身份验证机制，我们选择了可扩展身份验证协议 (EAP)。EAP 是一个基于点对点协议 (PPP) 的身份验证机制，它已经得到了修改，可在点对点局域网段上使用。EAP 消息通常作为 PPP 帧的有效负载发送。为了修改 EAP

19、 消息使其能够通过以太网或无线局域网段发送，IEEE 802.1X 标准定义了 EAP over LAN (EAPOL)，这是封装 EAP 消息的一种标准方法。目前IP-COM网络所提供的全线WLAN产品均支持802.1X身份验证标准。WPA (Wi-Fi Protected Access)WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。WPA的认证分为两种。第一种采用802.1x+EAP的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器（一般是RADIUS服务器）来实现。在大型企业网络中，通常采用这种方式。但是对于一些中小型的企业网络或者家庭用

20、户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此WPA也提供一种简化的模式，它不需要专门的认证服务器。这种模式叫做WPA预共享密钥(WPA-PSK)，仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN的访问权。WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKI

21、P把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法，但其动态密钥的特性很难被攻破。消息完整性校验(MIC)，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外，WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值，这和802.11对每个数据分段(MPDU)进行ICV

22、校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的CRC算法，但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。IP-COM网络所提供的主流WLAN产品均支持WPA，而其他产品也可以通过软件升级支持WPA。MAC地址过滤AP还可以通过设置MAC地址过

23、滤功能允许或拒绝某些特定的无线网卡联入无线网络，从而增加网络的安全性。IP-COM网络所提供的全线WLAN产品均支持MAC地址过滤功能。无线客户端隔离功能IP-COM网络所提供的企业运营级AP支持无线客户端隔离功能，非常适合在热点地区部放，使无线用户在轻松上网的同时，最大限度的保持安全性。四WLAN网络管理对于大中型网络来说，不但要考虑对当前用户的管理，减少运营维护的成本，而且要充分为以后的增值业务、应用内容的开展打下基础，所以，在系统的选用上很重要的两点需求就是扩充性和可管理性。可管理性主要实现对整个网络的监控和对用户的管理，尽量减少问题的发生，在发现问题时能及时解决，实现对整个网络的可管理

24、，把运维成本减到最低。扩充性就是要充分考虑以后业务发展的需要，为未来的网络应用奠定基础。增值业务以后将会是运营商的增长点，如果初始的系统不能支持以后的发展，或者不能在需要时实现平滑的升级和过渡，将会造成重复投资，在竞争中使自己处于不利的位置。要做到这一点，在现在的系统中就要尽量采用公认的标准设备或协议软件，这样才能跟上不断发展变化的技术和需求。第二部分：无线网络概述一工程建设目的无线网络项目是建设酒店网络的重要组成部分之一，网络不仅是酒店传播信息的工具，也是留住回头客保持入住率的有效手段，而无线网络由于其移动性、便利性和灵活性的特点，更是得以在酒店中大显身手。商务客人一般会要求酒店提供与其办公室和个人家庭相同的高速Internet访问能力，通过无线局域网就可实现灵活且可扩展的网络解决方案。酒店通过无线网络的搭建，可以在提高自己酒店服务水准的同时为自己找到一个新的业务增长模式和利润创造点，并且在其基础上逐渐扩充出其他的业务增长和服务新领域。二无线网络部署范围无线网络系统的基本构成主要包括接入点无线AP和POE交换机。结合酒店网络情况，以及全网集中的认证、计费服务器，流量控制，为最终用户提供移动数据网的接入服务和相关业务服务。初步确定的无线应用范围如下：室内：利用室内型AP