賓館無線方案

1、酒店無線網(wǎng)絡(luò)技術(shù)建議書國(guó)際大酒店無線網(wǎng)絡(luò)方案方案設(shè)計(jì)單位：數(shù)碼科技有限公司聯(lián)系人： 聯(lián)系電話：日期：2012年7月3日單位公章：目 錄第一部分：無線網(wǎng)絡(luò)概述3一、 無線網(wǎng)絡(luò)建設(shè)的意義和必要性31有線局域網(wǎng)已成為移動(dòng)辦公的束縛32無線局域網(wǎng)的特點(diǎn)33無線網(wǎng)絡(luò)應(yīng)用的環(huán)境及需求4二、無線局域網(wǎng)設(shè)計(jì)原則和技術(shù)需求41遵循標(biāo)準(zhǔn)42技術(shù)潮流53安全可靠54可擴(kuò)展可升級(jí)55易管理易維護(hù)66技術(shù)需求6三、 無線網(wǎng)絡(luò)安全保障71無線網(wǎng)絡(luò)的安全問題72無線網(wǎng)絡(luò)的安全解決方法7四WLAN網(wǎng)絡(luò)管理12第二部分：無線網(wǎng)絡(luò)概述13一工程建設(shè)目的13二無線網(wǎng)絡(luò)部署范圍13三. 建議解決方案131. 酒店無線網(wǎng)絡(luò)拓?fù)鋱D14第

2、三部分：設(shè)備清單15第四部分：產(chǎn)品介紹161、IP-COM G1210P162、IP-COM W80AP16 第一部分：無線網(wǎng)絡(luò)概述一、 無線網(wǎng)絡(luò)建設(shè)的意義和必要性1有線局域網(wǎng)已成為移動(dòng)辦公的束縛隨著Internet的高速發(fā)展，局域網(wǎng)也越來越普及，不僅公司、企業(yè)、學(xué)校及事業(yè)單位建立了局域網(wǎng)，許多辦公室、家庭里面的小型局域網(wǎng)也紛紛的出現(xiàn)。這種局域網(wǎng)一般都是需要綜合布線的有線網(wǎng)絡(luò)，它的出現(xiàn)解決了人們網(wǎng)絡(luò)聯(lián)通的問題，大大提高了辦公效率，并且數(shù)據(jù)傳輸速率也日趨加快，但同時(shí)也存在著許多問題。有線局域網(wǎng)大多將基礎(chǔ)布線和設(shè)備隱蔽在墻壁之內(nèi)或者埋在地下，因此綜合布線將是非常令人頭痛的事情。設(shè)計(jì)線路的走向、開挖

3、布線槽、敷設(shè)線路、調(diào)試等等，既耗費(fèi)人力財(cái)力又浪費(fèi)大量時(shí)間。不但如此，布線之后的線路維護(hù)、線路監(jiān)測(cè)等事情更是費(fèi)時(shí)費(fèi)力。而且，這種傳統(tǒng)的有線網(wǎng)絡(luò)不能擺脫線路的束縛，不能根據(jù)實(shí)際情況隨意的改變網(wǎng)絡(luò)的結(jié)構(gòu)，更不能實(shí)現(xiàn)現(xiàn)代化移動(dòng)辦公的需要，也就不能進(jìn)一步提高網(wǎng)絡(luò)辦公的工作效率。2無線局域網(wǎng)的特點(diǎn)無線局域網(wǎng)的出現(xiàn)使有線網(wǎng)絡(luò)所遇到的問題迎刃而解，它可以使用戶任意對(duì)有線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和延伸。只是在有線網(wǎng)絡(luò)的基礎(chǔ)上通過無線接入器、無線網(wǎng)橋、無線網(wǎng)卡等無線設(shè)備使無線通信得以實(shí)現(xiàn)。在不進(jìn)行傳統(tǒng)的布線的同時(shí)，提供有線局域網(wǎng)的所有功能，并能夠隨著用戶的需要隨意的更改擴(kuò)展網(wǎng)絡(luò)，實(shí)現(xiàn)移動(dòng)應(yīng)用。無線局域網(wǎng)具有傳統(tǒng)有線網(wǎng)絡(luò)無法比

4、擬的特點(diǎn)：ü 靈活性，不受線纜的限制，可以隨意增加和配置工作站；ü 低成本，無線局域網(wǎng)不再需要大量的工程布線，同時(shí)節(jié)省了線路維護(hù)的費(fèi)用；ü 移動(dòng)性，不受時(shí)間、空間的限制，用戶可在網(wǎng)絡(luò)中漫游；ü 易安裝，對(duì)于有線網(wǎng)絡(luò)來說，無線局域網(wǎng)的組建、配置和維護(hù)更為容易。而且，通信范圍不受環(huán)境條件的限制，網(wǎng)絡(luò)傳輸覆蓋范圍大大的拓展，室外可以傳輸幾十公里、室內(nèi)可以傳輸數(shù)十、幾百米。在網(wǎng)絡(luò)數(shù)據(jù)傳輸方面也有與有線網(wǎng)絡(luò)等效的安全加密措施。3無線網(wǎng)絡(luò)應(yīng)用的環(huán)境及需求隨著Internet應(yīng)用的迅猛發(fā)展，以及便攜電腦、Wi-Fi手機(jī)、PDA（Personal Data Assist

5、ant）等移動(dòng)智能終端的使用日益增長(zhǎng)，無線網(wǎng)絡(luò)的發(fā)展和應(yīng)用成為必然趨勢(shì)。隨時(shí)隨處自由接入Internet、能享受更多的業(yè)務(wù)、安全且有保障的網(wǎng)絡(luò)成為下一代網(wǎng)絡(luò)新的需求。在接入速率和適應(yīng)環(huán)境上與3G技術(shù)互為補(bǔ)充的WLAN（Wireless Local Area Network）無線局域網(wǎng)迅猛發(fā)展，成為新一代高速無線接入網(wǎng)絡(luò)。無線局域網(wǎng)被看作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境還可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。與有線網(wǎng)絡(luò)相比，無線局域網(wǎng)有可移動(dòng)性，設(shè)備安裝快速、簡(jiǎn)單、靈活，適合應(yīng)用在頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，投資回報(bào)高等優(yōu)越性。二、無線局域網(wǎng)設(shè)計(jì)原則和技術(shù)需求1遵循標(biāo)準(zhǔn)無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國(guó)際標(biāo)準(zhǔn)或業(yè)界

6、標(biāo)準(zhǔn)，不使用某個(gè)廠商的專用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護(hù)。根據(jù)需求和無線網(wǎng)建設(shè)與設(shè)計(jì)原則，建議采用美國(guó)Ruckus Networks公司的無線交換局域網(wǎng)系統(tǒng)（以下簡(jiǎn)稱Ruckus無線系統(tǒng)），完成無線局域網(wǎng)覆蓋項(xiàng)目。2技術(shù)潮流第一代無線局域網(wǎng)主要是采用胖AP架構(gòu)，每臺(tái)AP都是一個(gè)獨(dú)立的個(gè)體，AP與AP之間不會(huì)進(jìn)行任何溝通，需要逐臺(tái)逐臺(tái)進(jìn)行配置和管理，費(fèi)時(shí)、費(fèi)力、維護(hù)成本高，安全低，融合性差；第二代無線局域網(wǎng)融入了認(rèn)證網(wǎng)關(guān)設(shè)備，仍然不能集中對(duì)AP進(jìn)行管理和配置，只是對(duì)認(rèn)證管理方面有所提高而已?，F(xiàn)今大型無線網(wǎng)絡(luò)要求其與傳統(tǒng)有線網(wǎng)絡(luò)平滑融合，要求管理性和安全性都必須有一個(gè)質(zhì)的

7、提高，而第一代和第二代無線技術(shù)必定不能滿足，因此，在這樣的環(huán)境下，基于無線交換機(jī)集中式管理的第三代無線架構(gòu)延生了。第三代無線局域網(wǎng)架構(gòu)采用無線交換機(jī)加瘦AP的結(jié)構(gòu)，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高，使建設(shè)大型無線網(wǎng)成為可能。但是網(wǎng)絡(luò)的發(fā)展日新月異，隨著人們對(duì)無線局域網(wǎng)技術(shù)要求的不斷提高，以及對(duì)無線局域網(wǎng)認(rèn)識(shí)的深入，瘦AP的概念已經(jīng)過時(shí)。 可胖可瘦成了AP發(fā)展的趨勢(shì)，尤其是隨著802.11n的普及，簡(jiǎn)單的瘦AP給后臺(tái)的無線交換機(jī)帶來極大的負(fù)擔(dān)。為了解決這個(gè)問題，用戶付出的代價(jià)也是巨大而不劃算的。第四代可胖可瘦AP成為無線局域網(wǎng)發(fā)展的必然。3安全可靠在網(wǎng)絡(luò)安全性方面，無

8、線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護(hù)措施，無線網(wǎng)的安全性主要從以下幾個(gè)方面考慮：（1）接入認(rèn)證：具有支持多種用戶認(rèn)證方式；（2）數(shù)據(jù)鏈路的全程加密； （3）具有無線電波監(jiān)控能力，能提供無線入侵偵測(cè)和無線終端位置的追蹤功能。具有提供智能化的無線電波自動(dòng)調(diào)控與切換能力，以確保單個(gè)AP接入點(diǎn)在發(fā)生故障時(shí)自動(dòng)切換到鄰近AP，不會(huì)影響無線的接入服務(wù)；4可擴(kuò)展可升級(jí)通過一個(gè)集中的無線局域網(wǎng)網(wǎng)管平臺(tái)實(shí)現(xiàn)對(duì)所有的AP功能的配置和管理，AP在提供無線接入的同時(shí)，也可進(jìn)行無線入侵監(jiān)控、無線電波傳輸分析。同時(shí)整個(gè)系統(tǒng)可以根據(jù)用戶的需要進(jìn)行規(guī)模上的擴(kuò)展，擴(kuò)展后所有功能和管理的模式保持不變。5易管理易維護(hù)在

9、網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動(dòng)恢復(fù)、系統(tǒng)冗余等實(shí)用功能，使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動(dòng)態(tài)地保證良好的應(yīng)用效果。同時(shí)，還應(yīng)支持多SSID，可以方便的把語(yǔ)音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進(jìn)行分開管理。6技術(shù)需求無線網(wǎng)絡(luò)的管理和控制統(tǒng)一AP管理配置及設(shè)定，統(tǒng)一設(shè)定固件升級(jí)，無線網(wǎng)絡(luò)流量管理，報(bào)表及日志管理。AP 的需求1. AP支持VLAN劃分，以及多VLAN支持。2. POE供電3.多SSID4.加密5. Radius 認(rèn)證以及主流多種認(rèn)證方式6. QOS7. 用戶無縫漫游8. 動(dòng)態(tài)負(fù)載均衡9. 支持帶寬分配10.客戶及辦公用戶不同策略身份驗(yàn)證11.可整合到現(xiàn)有計(jì)費(fèi)系

10、統(tǒng)無線網(wǎng)絡(luò)要覆蓋區(qū)域 除停車場(chǎng)以外酒店所有區(qū)域均需無線信號(hào)覆蓋無線網(wǎng)絡(luò)的安全控制1.可爭(zhēng)對(duì)不同VLAN定制訪時(shí)間2.入侵檢測(cè)3.主動(dòng)報(bào)警機(jī)制，當(dāng)發(fā)現(xiàn)有入侵跡象會(huì)主動(dòng)發(fā)出警報(bào)以可通過多種方式通知相關(guān)管理人員。4.保證客戶資料安全性，不同認(rèn)證用戶之間資源不可互訪酒店環(huán)境所有隔段均采用土墻磚式隔段三、 無線網(wǎng)絡(luò)安全保障無線網(wǎng)絡(luò)的架設(shè)與規(guī)劃已為近來非常熱門的話題，無線網(wǎng)絡(luò)相關(guān)產(chǎn)品越來越成熟，而價(jià)格方面也非常地有吸引力，所以現(xiàn)在無線網(wǎng)絡(luò)的應(yīng)用，在大多數(shù)的企業(yè)都可以看的到。 但是，無線網(wǎng)絡(luò)的方便性卻帶給企業(yè)在網(wǎng)絡(luò)安全上的另一個(gè)問題-"使用方便VS安全性"。1無線網(wǎng)絡(luò)的安全問題"

11、;無線"網(wǎng)絡(luò)，顧名思義就是利用"空氣(空間)"取代"網(wǎng)絡(luò)線"來傳遞數(shù)據(jù)，無線網(wǎng)絡(luò)使用者只要在無線電波的涵蓋范圍內(nèi)，就可以如同已往使用網(wǎng)絡(luò)線來連上網(wǎng)絡(luò)一樣方便; 換句話說，"任何人"在"電波范圍內(nèi)(可能是不同層樓或停車場(chǎng))"也一樣可以使用"企業(yè)內(nèi)部網(wǎng)絡(luò)"了! 而且"任何人"也可以很方便的"看到""其它人"在傳輸?shù)臄?shù)據(jù)。 從另一個(gè)角度來看，會(huì)不會(huì)有人私自把AP接上現(xiàn)有的網(wǎng)絡(luò)上，自己"創(chuàng)造"一個(gè)私人的無線網(wǎng)絡(luò)環(huán)境

12、呢? 以上突顯無線網(wǎng)絡(luò)需解決的三個(gè)問題: 1.確定無線網(wǎng)絡(luò)的使用者是被允許的(認(rèn)證使用者)。 2.數(shù)據(jù)傳輸時(shí)需要"保密(加密)"。 3.防止未受管制的無線網(wǎng)絡(luò)基地臺(tái)連上網(wǎng)絡(luò)。2無線網(wǎng)絡(luò)的安全解決方法SSID服務(wù)識(shí)別碼SSID(服務(wù)識(shí)別碼)是一個(gè)可供設(shè)定的字符串，用來區(qū)分不同的無線網(wǎng)絡(luò)區(qū)域，設(shè)定正確SSID的使用者才可以跟無線網(wǎng)絡(luò)基地臺(tái)(Wireless Access Point)通訊。IP-COM網(wǎng)絡(luò)所提供的AP/網(wǎng)橋產(chǎn)品均支持SSID廣播的開啟和關(guān)閉功能，若關(guān)閉SSID廣播，無線客戶端若不知道SSID(服務(wù)識(shí)別碼)內(nèi)容則無法聯(lián)入無線網(wǎng)絡(luò)，從而增加了網(wǎng)絡(luò)的安全性。有線等價(jià)加

13、密 (WEP)由于無線局域網(wǎng)的特性，保護(hù)對(duì)網(wǎng)絡(luò)的物理訪問比較困難。與需要物理連接的有線網(wǎng)絡(luò)不同，無線 AP 范圍內(nèi)的任何人都可以為所欲為地發(fā)送和接收幀以及偵聽發(fā)送的其他幀，這使得無線局域網(wǎng)幀很容易被竊聽和遠(yuǎn)程探查。有線對(duì)等保密 (WEP) 由 IEEE 802.11 標(biāo)準(zhǔn)定義，旨在提供與有線網(wǎng)絡(luò)等效的數(shù)據(jù)機(jī)密性。WEP 通過加密無線節(jié)點(diǎn)之間發(fā)送的數(shù)據(jù)來提供數(shù)據(jù)機(jī)密性服務(wù)。在 802.11 幀的 MAC 標(biāo)頭中設(shè)置 WEP 標(biāo)志即表示對(duì) 802.11 幀進(jìn)行了 WEP 加密。WEP 通過在無線幀的加密部分包括完整性校驗(yàn)值 (ICV) 來提供隨機(jī)錯(cuò)誤的數(shù)據(jù)完整性。大多數(shù)廠家的WEP密鑰加密長(zhǎng)度支持

14、64或128位，而IP-COM網(wǎng)絡(luò)所提供的WLAN產(chǎn)品不僅支持64或128位加密，更可以支持高達(dá)256位的WEP加密。IEEE 802.1XIEEE 802.1X 標(biāo)準(zhǔn)定義了基于端口的網(wǎng)絡(luò)訪問控制，用于為以太網(wǎng)提供經(jīng)過身份驗(yàn)證的網(wǎng)絡(luò)訪問。這種基于端口的網(wǎng)絡(luò)訪問控制使用交換式局域網(wǎng)基礎(chǔ)結(jié)構(gòu)的物理特性對(duì)連接到局域網(wǎng)端口的設(shè)備進(jìn)行身份驗(yàn)證。如果身份驗(yàn)證過程失敗，則拒絕它們?cè)L問該端口。盡管此標(biāo)準(zhǔn)是為有線以太網(wǎng)設(shè)計(jì)的，不過它已經(jīng)得到了修改，可以在 802.11 無線局域網(wǎng)上使用。IEEE 802.1X 定義了以下術(shù)語(yǔ)：端口訪問實(shí)體、身份驗(yàn)證者、申請(qǐng)者、身份驗(yàn)證服務(wù)器下圖顯示了無線局域網(wǎng)的這些組件。IEE

15、E 802.1X 身份驗(yàn)證的組件端口訪問實(shí)體局域網(wǎng)端口又稱端口訪問實(shí)體 (PAE)，是支持與端口關(guān)聯(lián)的 IEEE 802.1X 協(xié)議的邏輯實(shí)體。PAE 可以是身份驗(yàn)證者角色、申請(qǐng)者角色或者同時(shí)是這兩種角色。身份驗(yàn)證者身份驗(yàn)證者是一個(gè)局域網(wǎng)端口，該端口在允許訪問可通過此端口訪問的服務(wù)前強(qiáng)制執(zhí)行身份驗(yàn)證。對(duì)于無線連接，身份驗(yàn)證者是無線 AP 上的邏輯局域網(wǎng)端口，基礎(chǔ)結(jié)構(gòu)模式中的無線客戶端通過此端口獲得對(duì)其他無線客戶端和有線網(wǎng)絡(luò)的訪問。 申請(qǐng)者申請(qǐng)者也是一個(gè)局域網(wǎng)端口，此端口請(qǐng)求訪問可通過身份驗(yàn)證者訪問的服務(wù)。對(duì)于無線連接，申請(qǐng)者是無線局域網(wǎng)適配器上的邏輯局域網(wǎng)端口，該端口通過將自身與身份驗(yàn)證者關(guān)聯(lián)

16、并向身份驗(yàn)證者驗(yàn)證它自身來請(qǐng)求對(duì)其他無線客戶端和有線網(wǎng)絡(luò)的訪問。無論對(duì)于無線連接還是有線以太網(wǎng)連接，申請(qǐng)者和身份驗(yàn)證者都通過邏輯或物理的點(diǎn)到點(diǎn)局域網(wǎng)段進(jìn)行連接。身份驗(yàn)證服務(wù)器為驗(yàn)證申請(qǐng)者的憑據(jù)，身份驗(yàn)證者使用了身份驗(yàn)證服務(wù)器。身份驗(yàn)證服務(wù)器代表身份驗(yàn)證者檢查申請(qǐng)者的憑據(jù)，然后對(duì)身份驗(yàn)證者做出響應(yīng)，指示是否授權(quán)申請(qǐng)者訪問身份驗(yàn)證者的服務(wù)。受控端口和非受控端口身份驗(yàn)證者基于端口的訪問控制定義了以下不同類型的邏輯端口，這些端口通過單個(gè)物理局域網(wǎng)端口訪問有線局域網(wǎng)：非受控端口 非受控端口允許身份驗(yàn)證者（無線 AP）與有線網(wǎng)絡(luò)上的其他聯(lián)網(wǎng)設(shè)備之間進(jìn)行不受控制的交換，無論無線客戶端的授權(quán)狀態(tài)如何。無線客戶

17、端發(fā)送的幀從不使用非受控端口發(fā)送。受控端口 只有在無線客戶端得到 802.1X 的授權(quán)時(shí)，受控端口才允許在無線客戶端和有線網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)。在進(jìn)行身份驗(yàn)證之前，交換機(jī)打開，并且無線客戶端和有線網(wǎng)絡(luò)之間不會(huì)轉(zhuǎn)發(fā)任何幀。在使用 IEEE 802.1X 成功驗(yàn)證無線客戶端后，交換機(jī)關(guān)閉，并且可以在無線客戶端和有線網(wǎng)絡(luò)上的節(jié)點(diǎn)之間發(fā)送幀在執(zhí)行身份驗(yàn)證的以太網(wǎng)交換機(jī)上，身份驗(yàn)證一旦完成，有線以太網(wǎng)客戶端就可以將以太網(wǎng)幀發(fā)送到有線網(wǎng)絡(luò)。交換機(jī)使用以太網(wǎng)客戶端連接到的物理端口來識(shí)別特定有線以太網(wǎng)客戶端的通信。通常，以太網(wǎng)交換機(jī)上的一個(gè)物理端口僅連接一個(gè)以太網(wǎng)客戶端。由于多個(gè)無線客戶端競(jìng)相訪問同一信道并使用同

18、一信道發(fā)送數(shù)據(jù)，因此需要擴(kuò)展基本 IEEE 802.1X 協(xié)議，以使無線 AP 能夠識(shí)別特定無線客戶端的安全通信。這由無線客戶端和無線 AP 通過相互確定每客戶端單播會(huì)話密鑰來完成。只有經(jīng)過身份驗(yàn)證的無線客戶端知道它們的每客戶端單播會(huì)話密鑰。如果成功的身份驗(yàn)證未能關(guān)聯(lián)有效的單播會(huì)話密鑰，無線 AP 將丟棄從無線客戶端發(fā)送的通信。 為了對(duì) IEEE 802.1X 提供一個(gè)標(biāo)準(zhǔn)的身份驗(yàn)證機(jī)制，我們選擇了可擴(kuò)展身份驗(yàn)證協(xié)議 (EAP)。EAP 是一個(gè)基于點(diǎn)對(duì)點(diǎn)協(xié)議 (PPP) 的身份驗(yàn)證機(jī)制，它已經(jīng)得到了修改，可在點(diǎn)對(duì)點(diǎn)局域網(wǎng)段上使用。EAP 消息通常作為 PPP 幀的有效負(fù)載發(fā)送。為了修改 EAP

19、 消息使其能夠通過以太網(wǎng)或無線局域網(wǎng)段發(fā)送，IEEE 802.1X 標(biāo)準(zhǔn)定義了 EAP over LAN (EAPOL)，這是封裝 EAP 消息的一種標(biāo)準(zhǔn)方法。目前IP-COM網(wǎng)絡(luò)所提供的全線WLAN產(chǎn)品均支持802.1X身份驗(yàn)證標(biāo)準(zhǔn)。WPA (Wi-Fi Protected Access)WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分，是一個(gè)完整的安全性方案。WPA的認(rèn)證分為兩種。第一種采用802.1x+EAP的方式，用戶提供認(rèn)證所需的憑證，如用戶名密碼，通過特定的用戶認(rèn)證服務(wù)器（一般是RADIUS服務(wù)器）來實(shí)現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中，通常采用這種方式。但是對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用

20、戶，架設(shè)一臺(tái)專用的認(rèn)證服務(wù)器未免代價(jià)過于昂貴，維護(hù)也很復(fù)雜，因此WPA也提供一種簡(jiǎn)化的模式，它不需要專門的認(rèn)證服務(wù)器。這種模式叫做WPA預(yù)共享密鑰(WPA-PSK)，僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP、無線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)。只要密鑰吻合，客戶就可以獲得WLAN的訪問權(quán)。WPA采用TKIP為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來取代單個(gè)靜態(tài)密鑰、把密鑰首部長(zhǎng)度從24位增加到48位等方法增強(qiáng)安全性。而且，TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后，使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后，TKI

21、P把這個(gè)密鑰通過安全通道分發(fā)到AP和客戶端，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰，來加密每一個(gè)無線通訊數(shù)據(jù)報(bào)文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬(wàn)億個(gè)可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法，但其動(dòng)態(tài)密鑰的特性很難被攻破。消息完整性校驗(yàn)(MIC)，是為了防止攻擊者從中間截獲數(shù)據(jù)報(bào)文、篡改后重發(fā)而設(shè)置的。除了和802.11一樣繼續(xù)保留對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗(yàn)外，WPA為802.11的每個(gè)數(shù)據(jù)分組(MSDU)都增加了一個(gè)8個(gè)字節(jié)的消息完整性校驗(yàn)值，這和802.11對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行ICV

22、校驗(yàn)的目的不同。ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)樵肼暤任锢硪蛩貙?dǎo)致報(bào)文出錯(cuò)，因此采用相對(duì)簡(jiǎn)單高效的CRC算法，但是黑客可以通過修改ICV值來使之和被篡改過的報(bào)文相吻合，可以說沒有任何安全的功能。而WPA中的MIC則是為了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。當(dāng)MIC發(fā)生錯(cuò)誤的時(shí)候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時(shí)，WPA還會(huì)采取一系列的對(duì)策，比如立刻更換組密鑰、暫?；顒?dòng)60秒等，來阻止黑客的攻擊。IP-COM網(wǎng)絡(luò)所提供的主流WLAN產(chǎn)品均支持WPA，而其他產(chǎn)品也可以通過軟件升級(jí)支持WPA。MAC地址過濾AP還可以通過設(shè)置MAC地址過

23、濾功能允許或拒絕某些特定的無線網(wǎng)卡聯(lián)入無線網(wǎng)絡(luò)，從而增加網(wǎng)絡(luò)的安全性。IP-COM網(wǎng)絡(luò)所提供的全線WLAN產(chǎn)品均支持MAC地址過濾功能。無線客戶端隔離功能IP-COM網(wǎng)絡(luò)所提供的企業(yè)運(yùn)營(yíng)級(jí)AP支持無線客戶端隔離功能，非常適合在熱點(diǎn)地區(qū)部放，使無線用戶在輕松上網(wǎng)的同時(shí)，最大限度的保持安全性。四WLAN網(wǎng)絡(luò)管理對(duì)于大中型網(wǎng)絡(luò)來說，不但要考慮對(duì)當(dāng)前用戶的管理，減少運(yùn)營(yíng)維護(hù)的成本，而且要充分為以后的增值業(yè)務(wù)、應(yīng)用內(nèi)容的開展打下基礎(chǔ)，所以，在系統(tǒng)的選用上很重要的兩點(diǎn)需求就是擴(kuò)充性和可管理性。可管理性主要實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)控和對(duì)用戶的管理，盡量減少問題的發(fā)生，在發(fā)現(xiàn)問題時(shí)能及時(shí)解決，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的可管理

24、，把運(yùn)維成本減到最低。擴(kuò)充性就是要充分考慮以后業(yè)務(wù)發(fā)展的需要，為未來的網(wǎng)絡(luò)應(yīng)用奠定基礎(chǔ)。增值業(yè)務(wù)以后將會(huì)是運(yùn)營(yíng)商的增長(zhǎng)點(diǎn)，如果初始的系統(tǒng)不能支持以后的發(fā)展，或者不能在需要時(shí)實(shí)現(xiàn)平滑的升級(jí)和過渡，將會(huì)造成重復(fù)投資，在競(jìng)爭(zhēng)中使自己處于不利的位置。要做到這一點(diǎn)，在現(xiàn)在的系統(tǒng)中就要盡量采用公認(rèn)的標(biāo)準(zhǔn)設(shè)備或協(xié)議軟件，這樣才能跟上不斷發(fā)展變化的技術(shù)和需求。第二部分：無線網(wǎng)絡(luò)概述一工程建設(shè)目的無線網(wǎng)絡(luò)項(xiàng)目是建設(shè)酒店網(wǎng)絡(luò)的重要組成部分之一，網(wǎng)絡(luò)不僅是酒店傳播信息的工具，也是留住回頭客保持入住率的有效手段，而無線網(wǎng)絡(luò)由于其移動(dòng)性、便利性和靈活性的特點(diǎn)，更是得以在酒店中大顯身手。商務(wù)客人一般會(huì)要求酒店提供與其辦公室和個(gè)人家庭相同的高速Internet訪問能力，通過無線局域網(wǎng)就可實(shí)現(xiàn)靈活且可擴(kuò)展的網(wǎng)絡(luò)解決方案。酒店通過無線網(wǎng)絡(luò)的搭建，可以在提高自己酒店服務(wù)水準(zhǔn)的同時(shí)為自己找到一個(gè)新的業(yè)務(wù)增長(zhǎng)模式和利潤(rùn)創(chuàng)造點(diǎn)，并且在其基礎(chǔ)上逐漸擴(kuò)充出其他的業(yè)務(wù)增長(zhǎng)和服務(wù)新領(lǐng)域。二無線網(wǎng)絡(luò)部署范圍無線網(wǎng)絡(luò)系統(tǒng)的基本構(gòu)成主要包括接入點(diǎn)無線AP和POE交換機(jī)。結(jié)合酒店網(wǎng)絡(luò)情況，以及全網(wǎng)集中的認(rèn)證、計(jì)費(fèi)服務(wù)器，流量控制，為最終用戶提供移動(dòng)數(shù)據(jù)網(wǎng)的接入服務(wù)和相關(guān)業(yè)務(wù)服務(wù)。初步確定的無線應(yīng)用范圍如下：室內(nèi)：利用室內(nèi)型AP