WLAN無線覆蓋可行性方案

1、WLAN無線覆蓋可行性方案一、概述計算機(jī)網(wǎng)絡(luò)的普及給人們的工作、生活帶來了深遠(yuǎn)的影響，同時，人們的需求也在應(yīng)用過程中不斷提高，擺脫線纜的束縛，創(chuàng)造一個自由移動的空間，因此無線局域網(wǎng)(WLAN)應(yīng)運(yùn)而生。WLAN通過電磁波在空氣中發(fā)送和接收數(shù)據(jù)，而無須線纜介質(zhì)，與有線網(wǎng)絡(luò)相比，WLAN具有安裝便捷、使用靈活、易于擴(kuò)展和經(jīng)濟(jì)節(jié)約等優(yōu)點(diǎn)。無線局域網(wǎng)(WLAN)采用成熟的以太網(wǎng)技術(shù)，將無線通信從移動通信簡化出來,繞過高速數(shù)據(jù)通信在高速移動和跨區(qū)穿越等3G技術(shù)屏障，優(yōu)先解決用戶無線寬帶接入的需求。WLAN同時也得到了網(wǎng)絡(luò)設(shè)備，手持設(shè)備等供貨商的支持，從目前到未來一年預(yù)計會有大量的支持WLAN的產(chǎn)品和應(yīng)用

2、，這也就是說它將帶來無限商機(jī)。作為新一代寬帶接入經(jīng)營者，立足于基于IP寬帶網(wǎng)絡(luò)應(yīng)用，果斷和積極將WLAN作為其發(fā)展方向，一方面揚(yáng)長避短，發(fā)揮在IP寬帶雄厚的技術(shù)實(shí)力，又避開了兼容移動通信網(wǎng)路的顧慮，發(fā)揮先手的優(yōu)勢，從而可以利用這個良好的發(fā)展機(jī)遇，成為新一代的移動通信經(jīng)營商。無線熱點(diǎn)經(jīng)營評估WLAN的優(yōu)勢是投資少，可以實(shí)現(xiàn)精確部署，在“熱點(diǎn)”上可以很快實(shí)現(xiàn)這種網(wǎng)絡(luò)。這是優(yōu)點(diǎn)，但也是一種潛在的風(fēng)險。所謂的風(fēng)險就是一旦探索到了一個成功的商業(yè)模式，競爭對手就可以用他們的優(yōu)勢，以更低的成本造價去模仿，去把這些“熱點(diǎn)”爭奪回去?！盁狳c(diǎn)”的資源是有限和不可復(fù)制的，所以，要保住發(fā)展的優(yōu)勢，是這些“熱點(diǎn)”的經(jīng)營

3、者如何在利益上，從一開始就得到保障或者承諾，其重要的關(guān)鍵就在于如何快速的建立起完善而便利的熱點(diǎn)方便讓使用者來使用所以我們必須以搶占市場先機(jī)及取得策略聯(lián)盟的協(xié)助，搭建一個無障礙的使用環(huán)境，這意味著若能取得其它相關(guān)熱點(diǎn)的加盟（如:機(jī)場、貨運(yùn)站、麥當(dāng)勞、商務(wù)餐廳、飯店、咖啡廳等）將更能滿足消費(fèi)者的無障礙的使用環(huán)境。目前，帶無線網(wǎng)卡的設(shè)備已大量普及并且售價已經(jīng)能讓消費(fèi)大眾所能接受，所以場地經(jīng)營商能夠以發(fā)售預(yù)付卡及兼營銷售無線網(wǎng)卡的形式，來經(jīng)營寬帶上網(wǎng)業(yè)務(wù)用戶可利用無線接入的賬號來進(jìn)行上網(wǎng)，所以出售儲值卡也必須能夠與加盟經(jīng)營者緊密合作，讓他們得到收入的分成，類似目前酒店/商務(wù)餐廳的合作模式，讓加盟營運(yùn)熱

4、點(diǎn)參與經(jīng)營，提高了場地經(jīng)營商對經(jīng)營業(yè)務(wù)的興趣，協(xié)助開展WLAN業(yè)務(wù)，建立長期穩(wěn)定的合作關(guān)系。從商業(yè)客戶群轉(zhuǎn)向大眾客戶群湖南城市熱點(diǎn)無線通信技術(shù)有限公司提出的移動辦公”的口號，無疑是將用戶定位在商業(yè)客戶群，商業(yè)客戶對隨時隨地的寬帶接入有最大的需求，具備強(qiáng)大的消費(fèi)能力，是開展業(yè)務(wù)的優(yōu)質(zhì)客戶。作為WLAN開始之初，是非常必要的，正如手提電話剛開始2-3萬元一臺，只有大哥大”級別的用戶，隨著網(wǎng)絡(luò)的普及，手提電話的降價，變成百姓的生活用品，才造就了今天移動通信的繁榮。相信在不久的將來，支持WLAN的手提電話也會出現(xiàn)和普及，所以在WLAN建設(shè)規(guī)劃，也應(yīng)該考慮到如何讓W(xué)LAN的應(yīng)用平民化。1.1WLAN無線

5、網(wǎng)絡(luò)的組建無線局域網(wǎng)可以簡單也可以復(fù)雜，最簡單的網(wǎng)絡(luò)可以只要兩個裝有無線適配卡（wirelessadaptercard）的PC,放在有效距離內(nèi)，這就是所謂的對等（ADHOC）網(wǎng)絡(luò)，這類簡單網(wǎng)絡(luò)無需經(jīng)過特殊組合或?qū)Ｈ斯芾恚魏蝺蓚€移動式PC之間不需要中央服務(wù)器（centralserver）就可以相互對通。無線網(wǎng)絡(luò)訪問點(diǎn)（AccessPoint,簡稱AP）可增大AD-Hoc網(wǎng)絡(luò)移動室PC之間的有效距離到原來的兩倍。因?yàn)樵L問點(diǎn)是連接在有線網(wǎng)絡(luò)上，每一個移動式PC都可經(jīng)服務(wù)器與其它移動式PC實(shí)現(xiàn)網(wǎng)絡(luò)的互連互通，每個訪問點(diǎn)可容納許多PC，視其數(shù)據(jù)的傳輸實(shí)際要求而定，一個訪問點(diǎn)容量可達(dá)15到63個PC。無

6、線網(wǎng)絡(luò)交換機(jī)和PC之間有一定的有效距離，在室內(nèi)約為150米，戶外約為300米。在大的場所例如倉庫中或在學(xué)校中，可能需要多個訪問點(diǎn)，網(wǎng)橋的位置需要事先考察決定，使有效范圍覆蓋全場并互相重迭，使每個用戶都不會和網(wǎng)絡(luò)失去聯(lián)絡(luò)。用戶可以在一群訪問點(diǎn)覆蓋的范圍內(nèi)漫游（roam）。訪問點(diǎn)把用戶在不知不覺中從一個訪問點(diǎn)的覆蓋范圍轉(zhuǎn)移到另一個訪問點(diǎn)的覆蓋范圍，確保通訊不會中斷。為了解決覆蓋問題，在設(shè)計網(wǎng)絡(luò)時可用接力器（ExtensionPoint,簡稱EP）來增大網(wǎng)絡(luò)的轉(zhuǎn)接范圍，接力器看起來和功能上都像是訪問點(diǎn)，但接力器并不接在有線網(wǎng)絡(luò)上。接力器望文生義，其作用就是把信號從一個AP傳遞到另一個AP或EP來延伸

7、無線網(wǎng)絡(luò)的覆蓋范圍oEP可串在一起，將訊號從一個AP傳遞到遙遠(yuǎn)的地方。最后談一下定向天線：若要將在第一棟樓內(nèi)無線網(wǎng)絡(luò)的范圍擴(kuò)展到一公里甚至數(shù)公里以外的第二棟樓，其中的一個方法是在每棟樓上安裝一個定向天線，天線的方向互相對準(zhǔn)，第一棟樓的天線經(jīng)過網(wǎng)橋連到有限網(wǎng)絡(luò)上，第二棟樓的天線是接在第二棟樓的網(wǎng)橋上，如此無線網(wǎng)絡(luò)就可接通相距較遠(yuǎn)的兩個或多個建筑物。1.2HowTO規(guī)劃WLAN據(jù)Gartner報告，現(xiàn)在美國已經(jīng)有420萬的WLAN用戶，到2007年這一數(shù)目將達(dá)到3100萬，但部署一個能保證性能的WLAN并非易事。規(guī)劃WLAN的關(guān)鍵事規(guī)劃接入點(diǎn)，需要有足夠的蜂窩重迭覆蓋以供漫游，并需要足夠的寬帶以功

8、應(yīng)用。如果無線接入點(diǎn)不足，最后可能導(dǎo)致吞吐量出現(xiàn)問題，同時也會使覆蓋區(qū)域零星散落，對用戶的漫游和工作地點(diǎn)造成一定的限制?？紤]移動性需要在做接入點(diǎn)規(guī)劃時需要考慮用戶的移動性需要。一種用戶在整個覆蓋區(qū)域內(nèi)移動時需要一直與WLAN相連接，就像醫(yī)生外出時需要查看病人記錄。另一種用戶需要不時接入WLAN，比如人員在不同大樓會議間歇時需要不時查看電子郵件。第一種需求需要跨越WLAN的無縫漫游，此WLAN需要大接入點(diǎn)密度。而第二種需求屬于間斷性的無線連接，接入點(diǎn)密度可以相對小一些。計算吞吐量在布置WLAN之前需要考慮WLAN最常使用的是哪種通信，是電子郵件和Web通信，或是對速度要求很高的ERP（企業(yè)資源規(guī)

9、劃），還是CAD（計算機(jī)輔助設(shè)計）應(yīng)用程序。是需要速度為54Mbps的802.11g，還是只需要速度為11Mbps的802.11b就足夠。不管使用哪一種通信，當(dāng)用戶與接入點(diǎn)的距離過遠(yuǎn)時，網(wǎng)絡(luò)速度都會顯著下降，所以安裝足夠的接入點(diǎn)不僅僅是為了支持所有的用戶，也是達(dá)到用戶需要的連接速度所要求的。WLAN宣稱的速度并不一定準(zhǔn)確對應(yīng)于它的實(shí)際速度。與交換式以太網(wǎng)不同，WLAN是一種共享介質(zhì)，它更像是老式以太網(wǎng)的集線器模型，將可用的吞吐量分割為若干份而不是每個接入設(shè)備提供專線速度。這一限制（通過電波傳輸數(shù)據(jù)時還會有50的損耗）對無線網(wǎng)絡(luò)的吞吐量規(guī)劃而言是一個很大的問題，計算接入點(diǎn)數(shù)目時最好多預(yù)留一些空間

10、。僅僅根據(jù)用戶數(shù)目及其最小寬帶需求來計算接入點(diǎn)數(shù)目是及其冒險的，盡管它可以在一段時間內(nèi)滿足對容量的需求。還要記住的是，即使802.11b現(xiàn)在已經(jīng)吸引所有人的注意，但802.11a將很快成為高性能WLAN標(biāo)準(zhǔn)的選擇，所以基礎(chǔ)設(shè)施應(yīng)從現(xiàn)在開始支持它，或者至少在不久的將來可以升級至802.11a。防止干擾干擾對于某些機(jī)構(gòu)可能會是個問題。盡管追蹤入侵微電波，無繩電話和藍(lán)牙設(shè)備并非難事，但更常遇到的是來自網(wǎng)絡(luò)內(nèi)部其它接入點(diǎn)甚至是網(wǎng)絡(luò)外部的干擾。例如：802.11b和802.11g在2.4GHz頻帶內(nèi)提供三個相同的非重迭通道，這使得規(guī)劃密集部署或在相鄰WLAN的干擾下工作變得十分困難。理想的情況使，2.4

11、GHz環(huán)境中的通道1、6和11永遠(yuǎn)不會與同一通道相鄰，這樣它們就不會相互干擾，但這是不現(xiàn)實(shí)的。實(shí)際上需要一定量的良性蜂窩覆蓋重迭以允許用戶漫游（20到30最佳），但如果站點(diǎn)處的建筑物超過一層，即便是使用高增益天線，建筑物的層與層之間也會有一些滲漏o802.11a的12個非重迭通道可以在很大程度上緩解通道分配帶來的問題o802.11a使用的5.8GHz頻帶幾乎不會造成任何非WLAN干擾，而且用戶也不太可能遇到相鄰802.11a接入點(diǎn)，原因是這一標(biāo)準(zhǔn)還未像802.11g那樣普及。1.2.4覆蓋區(qū)域知道WLAN的射頻信號是怎樣傳播的嗎？信號頻率越低，無線網(wǎng)絡(luò)傳輸速度越慢，有效范圍就越遠(yuǎn)。由于大量射頻

12、信號以較低頻率傳播，同時信噪比的靈敏度因?yàn)楦咚僬{(diào)制方式而增加，所以速度為11Mbps的信號的傳播距離遠(yuǎn)遠(yuǎn)超過速度為54Mbps的5.8GHz802.11a信號。WLAN的覆蓋范圍除了受不同射頻帶和吞吐量變化而造成的波傳播特征影響之外，還會因?yàn)樽杂煽臻g路徑損耗和衰減而受到限制。自由空間路徑損耗更大程度上是開放或戶外環(huán)境方面的問題，實(shí)際上是無線電信號因?yàn)椴ㄇ皵U(kuò)展引起的擴(kuò)散導(dǎo)致接收天線接收不到這些信號。衰減則在WLAN的室內(nèi)安裝中比較常見，它是振幅下降，或者射頻信號在穿過墻壁、門或其它障礙物時減弱造成的。這就是WLAN在密集建筑物周圍性能不好的原因。當(dāng)面對這種物理上的干擾時，即使彈性比5.8GHz信

13、號好得多的2.4GHz信號，仍然會遇到某些射頻問題。多路徑效應(yīng)也是影響覆蓋范圍的重要因素之一。所謂多路徑效應(yīng)，就是信號被反射并回送的現(xiàn)象。在大多數(shù)情況下，多路徑效應(yīng)使接收到的信號被削弱或是完全抵消。于是有一些本來應(yīng)該充分傳播信號的區(qū)域幾乎或根本沒有射頻信號覆蓋。防止多路徑效應(yīng)的辦法是拆除或重新安置機(jī)柜和網(wǎng)絡(luò)設(shè)備機(jī)架之類的干擾對象，同時增加接入點(diǎn)密度或功率輸出。1.2.5安全防范點(diǎn)未經(jīng)授權(quán)用戶的接入由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到達(dá)的地方，在信號覆蓋范圍內(nèi)，非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。根據(jù)以上客觀的

14、分析我們做出以下必須在規(guī)劃無線WLAN網(wǎng)時應(yīng)解決的問題：有效的覆蓋區(qū)域考慮移動性需要達(dá)到用戶需要的連接速度要求防止干擾安全性議題網(wǎng)絡(luò)優(yōu)化用戶計費(fèi)二解決方案1)考慮移動性需要/有效的覆蓋區(qū)域解決方案：建造WLAN無縫接入蜂窩網(wǎng)規(guī)劃WLAN的關(guān)鍵事規(guī)劃接入點(diǎn)，需要有足夠的蜂窩重迭覆蓋以供漫游，并需要足夠的寬帶以功應(yīng)用。如果無線接入點(diǎn)不足，最后可能導(dǎo)致吞吐量出現(xiàn)問題，同時也會使覆蓋區(qū)域零星散落，對用戶的漫游和工作地點(diǎn)造成一定的限制.有線、無線間的無縫連接，讓手機(jī)輕松上網(wǎng)、視頻信號在PC與電視間順暢傳輸，這種可能性已經(jīng)成為現(xiàn)實(shí)的應(yīng)用。在未來10年內(nèi)，IBMPervasiveComputing部門的戰(zhàn)略

15、總監(jiān)LatinaConnelly表示，無線網(wǎng)絡(luò)將集成到多種網(wǎng)絡(luò)、設(shè)備和服務(wù)中去，到時，如果你要設(shè)置一個Wi-Fi網(wǎng)，就不再需要購買額外的Wi-Fi兼容硬件了。未來的網(wǎng)絡(luò)將是普通適用和無線的，電視與掌上計算機(jī)的區(qū)別可能只是屏幕大小不同了。根據(jù)以上分析我公司采用城市熱點(diǎn)的室外型無線AP/網(wǎng)橋HOT-9260-MESH一體機(jī)來解決這樣的問題及需求，其主要利用該機(jī)型具備了WDS,及IAPPAP漫游技術(shù)其可提供的解決移動計算機(jī)的漫游及不固定地點(diǎn)上網(wǎng)將開辟一個全新的領(lǐng)域，這得益于Wi-Fi與新型WDS蜂窩網(wǎng)以及新近的MESH網(wǎng)狀網(wǎng)技術(shù)的融合，頂尖的運(yùn)營商都已經(jīng)或計劃推出了相關(guān)服務(wù)。這樣，無論在哪里，都可以

16、方便地處理數(shù)據(jù)業(yè)務(wù)了。業(yè)界領(lǐng)先的MESH網(wǎng)狀網(wǎng)組網(wǎng)方式：除了能夠支持傳統(tǒng)的點(diǎn)對點(diǎn)，以及點(diǎn)對多點(diǎn)的組網(wǎng)方式外，在地形復(fù)雜的環(huán)境中可以組成網(wǎng)狀網(wǎng)。網(wǎng)狀網(wǎng)結(jié)構(gòu)中的每個點(diǎn)上都是相互聯(lián)通的，即使一路連接出現(xiàn)中斷，仍可通過其它路徑跳轉(zhuǎn)，且設(shè)備本身設(shè)計為收發(fā)一體還兼?zhèn)溆兄欣^功能。若無線網(wǎng)絡(luò)將允許設(shè)備在Wi-Fi網(wǎng)間自如切換，這為用戶節(jié)省了大量成本。且速度更快。下一步使使得蜂窩電話呼叫能跑在Wi-Fi網(wǎng)上，即無線IP電話。北電網(wǎng)絡(luò)將這種技術(shù)稱為“voiceoverWi-Fi”，該技術(shù)可以使通話成本降低57%。將Wi-Fi與運(yùn)營商的無線技術(shù)相結(jié)合，將催生出一個很大的市場，不少運(yùn)營商意識到了這一點(diǎn)，即將有更多的服

17、務(wù)推出。手機(jī)制造商Motorola、設(shè)備制造商Avaya和寬帶硬件制造商Proxim組成的聯(lián)盟，正在測試一種多模手機(jī)，它可以在蜂窩網(wǎng)、Wi-Fi或傳統(tǒng)數(shù)據(jù)上進(jìn)行通話。此外，集成Wi-Fi功能的電話，在一些特殊領(lǐng)域的應(yīng)用也有了新進(jìn)展。比如，在醫(yī)院的急救中心，帶有Wi-Fi功能的手機(jī)、PDA等與醫(yī)院的信息系統(tǒng)進(jìn)行緊密的集成，這樣護(hù)士的活動空間更大了，但不至于當(dāng)輸液管里的生理鹽水不多時找不到她。未來，醫(yī)院將應(yīng)用更多的移動終端，以最大化地提高工作效率。Wi-Fi將成為越來越多設(shè)備的標(biāo)準(zhǔn)功能，比如電冰箱、游戲機(jī)、打印機(jī)等。由于移動網(wǎng)絡(luò)可以找到用戶的位置，這樣，在一個偌大的辦公室或其它環(huán)境，移動人員就可以

18、在最近的打印機(jī)打印數(shù)據(jù)了。5.8GHz網(wǎng)橋CAT.iCatelam-e|2.4GHzAP覆蓋接入5.8GHz網(wǎng)橋CAT.SCable5.8GHz網(wǎng)橋L7MOm|2.4GHzAP覆蓋接入2.4GHzAP覆蓋接入CAT.SCb0802.11g54Mbps802.11a108Mb802.11b11Mbps802.11b11Mbps2.4GHzAP覆蓋接入802.11a108Mbps.：*i亠髀aouaraarl搗切-802.11g54MbpsWLAN無縫接入蜂窩網(wǎng)示意圖2）達(dá)到用戶需要的連接速度要求城市熱點(diǎn)所生產(chǎn)的室外WLAN設(shè)備支持802.11b/802.11g/802.11a三種傳輸覆蓋方式,提

19、供5.8G頻段的802.11a橋接功能最高可提供108M的傳輸速率及30公里的傳輸距離（網(wǎng)橋功能可支持點(diǎn)對點(diǎn),及點(diǎn)對多點(diǎn)方式進(jìn)行橋接;并支持WDS網(wǎng)橋/AP混合模式以供組建成WLAN蜂窩組網(wǎng)）也同時支持落地覆蓋接入的2.4G頻段的802.11b/802.11g/5.8G頻段的802.11a最高連結(jié)速率達(dá)54M。3)防止干擾城市熱點(diǎn)所生產(chǎn)的WLAN設(shè)備支持802.11b/802.11g/802.11a三種傳輸覆蓋方式，2.4G頻段的802.11b/g其可提供3個不重迭頻段,5.8G頻段的802.11a其可提供12個不重迭頻段,以供解決日益嚴(yán)重的干擾問題。4)安全性保證無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案作為

20、一家研究無線網(wǎng)絡(luò)產(chǎn)品及應(yīng)用技術(shù)的專業(yè)性公司，針對現(xiàn)有的無線網(wǎng)絡(luò)安全性能進(jìn)行了全面周到的分析和研究，在提供給您全面、先進(jìn)的無線產(chǎn)品和配套方案的同時，還為您制定了一系列的無線安全技術(shù)解決方案，從傳統(tǒng)的WEP加密到新一代的IEEE802.11i，從MAC地址限制到IEEE802.1X安全認(rèn)證技術(shù)，CITY-HOT全面先進(jìn)的安全技術(shù)能夠針對不同的應(yīng)用環(huán)境提出相應(yīng)的方案，無論是大型企業(yè)或者是運(yùn)營商，都能最大程度上滿足用戶不同級別的安全需求。在結(jié)合了各種安全措施和認(rèn)證手段后的無線網(wǎng)絡(luò)，具有強(qiáng)大的安全性能，能夠有效地防止攻擊，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全，各種先進(jìn)的加密措施保障有效數(shù)據(jù)不被非法盜取。CITY-HO

21、T先進(jìn)的無線網(wǎng)絡(luò)安全技術(shù)使用戶不必再為無線的安全問題而擔(dān)憂，CITY-HOT的全套安全方案使您可以毫無顧慮地在無線網(wǎng)絡(luò)世界暢游。無線網(wǎng)絡(luò)安全環(huán)節(jié)分析無線網(wǎng)絡(luò)安全防范措施CITY-HOT針對無線網(wǎng)絡(luò)的各個環(huán)節(jié)制定出了一系列安全方案，有效防止非法終端接入、虛假的AP、中途數(shù)據(jù)截取等安全問題，同時靈活地結(jié)合了WEP、VPN、IEEE802.1X等多種網(wǎng)絡(luò)安全技術(shù)手段，進(jìn)一步加強(qiáng)了無線網(wǎng)絡(luò)的安全性能。完備的技術(shù)解決方案，為您構(gòu)建安全的無線網(wǎng)絡(luò)提供最大的便利。安全防范點(diǎn)1：對應(yīng)措施：未經(jīng)授權(quán)用戶的接入使用各種先進(jìn)的身份認(rèn)證措施，防止未經(jīng)授權(quán)用戶的接入由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到

22、達(dá)的地方，在信號覆蓋范圍內(nèi)，非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。利用MAC阻止未經(jīng)授權(quán)的接入每塊無線網(wǎng)卡都擁有唯一的一個MAC地址，為AP設(shè)置基于MAC地址的AccessControl（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。使用802.1X端口認(rèn)證技術(shù)進(jìn)行身份認(rèn)證使用802.1X端口認(rèn)證技術(shù)配合后臺的RADIUS認(rèn)證服務(wù)器，對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。安全防范點(diǎn)2：網(wǎng)上鄰居的攻擊對應(yīng)措施：CITY-HOTHotSoptAP特有的用戶隔離技術(shù)，避免網(wǎng)上鄰居的攻擊在

23、某些場合（特別是在公共場合），用戶信息的私密性顯得尤為重要，HotSoptAP提供的用戶隔離技術(shù)，采用數(shù)據(jù)報文傳送地址分析的方法，這種方法可以控制在無線網(wǎng)絡(luò)覆蓋區(qū)域中，網(wǎng)上鄰居之間不安全的訪問，進(jìn)而避免網(wǎng)上鄰居的攻擊。CITY-HOTHotSoptAP提供的用戶隔離技術(shù)，避免網(wǎng)上鄰居的攻擊安全防范點(diǎn)3：非法用戶截取無線鏈路中的數(shù)據(jù)對應(yīng)措施：使用先進(jìn)的加密技術(shù)，使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯1）基本的WEP加密WEP是IEEE802.11b無線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo(hù)。在簡便的安裝和啟動之后，應(yīng)立即設(shè)置WEP密

24、鑰。2）使用更為先進(jìn)的加密技術(shù)一一TKIP使用更新的加密技術(shù)，如TKIP，CITY-HOT的AP只需要通過簡單的軟件升級就可以完成對TKIP的支持，進(jìn)一步加強(qiáng)無線鏈路中數(shù)據(jù)的加密性能。安全防范點(diǎn)4：非法AP的接入對應(yīng)措施：利用對AP的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查，防止非法AP的接入在無線AP接入有線集線器的時候，會遇到非法AP的攻擊，非法安裝的AP會危害無線網(wǎng)絡(luò)的寶貴資源，因此必須對AP的合法性進(jìn)行驗(yàn)證。CITY-HOTHotSpotAP支持的IEEE802.1x技術(shù)提供了一個客戶機(jī)和網(wǎng)絡(luò)相互驗(yàn)證的方法，在此驗(yàn)證過程中不但AP需要確認(rèn)無線用戶的合法性，無線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪

25、問點(diǎn)，然后才能進(jìn)行通信。通過雙向認(rèn)證，可以有效的防止非法AP的接入。對于那些不支持IEEE802.1X的AP,則需要通過定期的站點(diǎn)審查來防止非法AP的接入。在入侵者使用網(wǎng)絡(luò)之前通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過物理站點(diǎn)的監(jiān)測應(yīng)當(dāng)盡可能地頻繁進(jìn)行，頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率，選擇小型的手持式檢測設(shè)備，管理員可以通過手持掃描設(shè)備隨時到網(wǎng)絡(luò)的任何位置進(jìn)行檢測。安全防范點(diǎn)5：企業(yè)內(nèi)部未經(jīng)授權(quán)的跨部門使用對應(yīng)措施：利用ESSID，MAC限制防止未經(jīng)授權(quán)的跨部門使用利用ESSID進(jìn)行部門分組，有效地避免任意漫游帶來的安全問題，MAC地址限制更能控制連接到各部門AP的終端，避免未經(jīng)授權(quán)的用

26、戶使用網(wǎng)絡(luò)資源無線網(wǎng)絡(luò)安全提示無線網(wǎng)絡(luò)的安全技術(shù)正在日益完善，多手段多層次的安全防范措施使得無線網(wǎng)絡(luò)越加堅(jiān)固。當(dāng)然，光有先進(jìn)的技術(shù)是不完全的，如何利用現(xiàn)有資源結(jié)合當(dāng)前環(huán)境來設(shè)計出一個安全實(shí)用的無線網(wǎng)絡(luò)是構(gòu)建無線網(wǎng)絡(luò)的一個重要環(huán)節(jié)。CITY-HOT根據(jù)多年的行業(yè)經(jīng)驗(yàn)結(jié)合豐富的技術(shù)知識，為構(gòu)建安全的無線網(wǎng)絡(luò)提出了專業(yè)的設(shè)計目標(biāo)以及注意事項(xiàng)，是您架設(shè)無線網(wǎng)絡(luò)極有價值的參考資料。要設(shè)計安全的無線網(wǎng)絡(luò)，在架設(shè)無線網(wǎng)絡(luò)環(huán)境時，需要考慮到以下的一些因素：注意AP擺放的物理位置由于無線信號是在空氣中傳播的，因此它的界限并不象有線網(wǎng)絡(luò)那么明確，信號隨時會存在于特定范圍以外。從物理安全角度考慮，AP的擺放位置需要

27、通過專用儀器進(jìn)行測量，要盡量減少無線信號泄漏到網(wǎng)絡(luò)范圍以外的區(qū)域。AP的控制和管理當(dāng)一個無線網(wǎng)絡(luò)擁有多個AP時，如何對這些AP進(jìn)行管理和監(jiān)控就顯得十分重要，因?yàn)槿绻麤]有一個合理有效的AP管理系統(tǒng)，將會造成網(wǎng)絡(luò)安全缺口，給攻擊者有機(jī)可乘。CITY-HOT的HotSpotAP支持SNMP網(wǎng)管協(xié)議，只需要加載CITY-HOT提供的私有MIB，就可以方便地通過第三方網(wǎng)管系統(tǒng)對AP設(shè)備進(jìn)行管理、設(shè)置。同時CITY-HOT為了提供更好的AP監(jiān)控管理，提供了AP集群管理系統(tǒng)：AirPanelPro系統(tǒng)，該系統(tǒng)可以對AP進(jìn)行掃描、管理，以及組群管理、監(jiān)控設(shè)置、日志管理、系統(tǒng)設(shè)置等功能，幫助網(wǎng)管人員集中方便地管

28、理AP,協(xié)調(diào)整個無線網(wǎng)絡(luò)的安全運(yùn)行。AirPanelPro系統(tǒng)可以對AP進(jìn)行掃描、管理，以及組群管理、監(jiān)控設(shè)置、日志管理、系統(tǒng)設(shè)置等功能用戶身份驗(yàn)證和計費(fèi)管理在設(shè)計無線網(wǎng)絡(luò)時，必須考慮到無線網(wǎng)絡(luò)接入有線網(wǎng)絡(luò)資源的認(rèn)證和授權(quán)。大公司的遠(yuǎn)程用戶常常通過RADIUS（遠(yuǎn)程用戶拔號認(rèn)證服務(wù)）實(shí)現(xiàn)網(wǎng)絡(luò)認(rèn)證登錄。企業(yè)的IT網(wǎng)絡(luò)管理員可以將無線局域網(wǎng)集成到已經(jīng)存在的RADIUS架構(gòu)內(nèi)來簡化對用戶的管理，這樣不僅能實(shí)現(xiàn)無線網(wǎng)絡(luò)的認(rèn)證，而且還能保證無線用戶與遠(yuǎn)程用戶使用同樣的認(rèn)證方法和帳號。簡化網(wǎng)絡(luò)安全管理：集成無線和有線網(wǎng)絡(luò)安全策略無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無線

29、網(wǎng)絡(luò)安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進(jìn)入網(wǎng)絡(luò)時，都采用集成化的單一用戶ID和密碼。不能讓非專業(yè)人員構(gòu)建無線網(wǎng)絡(luò)盡管現(xiàn)在無線局域網(wǎng)的構(gòu)建已經(jīng)相當(dāng)方便，非專業(yè)人員可以在自己的辦公室安裝無線路由器和AP，但是，他們在安裝過程中很少考慮到網(wǎng)絡(luò)的安全性，這就意味著會出現(xiàn)網(wǎng)絡(luò)安全漏洞。因而，在沒有專業(yè)系統(tǒng)管理員同意和參與的情況下，要限制無線網(wǎng)絡(luò)的構(gòu)建，這樣才能保證無線網(wǎng)絡(luò)的安全。不同應(yīng)用環(huán)境的無線安全方案無線網(wǎng)絡(luò)在不同的應(yīng)用環(huán)境對安全的需求是不同的，CITY-HOT根據(jù)長期積累的經(jīng)驗(yàn)，針對各行各業(yè)對無線網(wǎng)絡(luò)的需求，制定了一系列的安全方案，最大程度上方便用戶組建

30、安全的無線網(wǎng)絡(luò)，節(jié)省不必要的開支，更好地發(fā)揮無線網(wǎng)絡(luò)“有線速度無線自由”的特性。使用技術(shù)64、128位WEP力口密安全級典型場合別初級安小型企業(yè)、家庭用戶等全中級安倉庫物流、醫(yī)院、學(xué)校、餐IEEE802.1X認(rèn)證機(jī)制全飲娛樂專業(yè)級安全各類公共場合以及網(wǎng)絡(luò)運(yùn)營商、大、中型企業(yè)、金融機(jī)構(gòu)用戶隔離技術(shù)+IEEE802.1X認(rèn)證+VPN+Radius的用戶認(rèn)證以及計費(fèi)1.3WLAN網(wǎng)絡(luò)的優(yōu)化設(shè)計與有線網(wǎng)絡(luò)相比，WLAN具有安裝便捷、移動性好、使用靈活、易于擴(kuò)展等優(yōu)點(diǎn)，可以為不易布線的地方和遠(yuǎn)距離的數(shù)據(jù)處理節(jié)點(diǎn)提供強(qiáng)大的網(wǎng)絡(luò)支持。由于WLAN具有上述不可替代的優(yōu)點(diǎn)，因而會迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在

31、網(wǎng)絡(luò)間漫游的場合。但與此同時也給WLAN的優(yōu)化設(shè)計與管理帶來了很多新的問題。WLAN包括無線網(wǎng)卡和接入點(diǎn)（AP）.無線網(wǎng)卡安裝在移動終端上，用來訪問AP。無線網(wǎng)卡帶有發(fā)送器、接收器、天線和提供無線終端接口的硬件。AP是一個橋接的無線基站，放置于固定位置并可連接到有線局域網(wǎng)。AP帶有發(fā)送器、接收器、天線和橋接器，帶有與IEEE802.3有線局域網(wǎng)的接口，可以讓無線終端同有線局域網(wǎng)通信。網(wǎng)絡(luò)結(jié)構(gòu)是進(jìn)行優(yōu)化設(shè)計的基礎(chǔ)。大型WLAN應(yīng)用的網(wǎng)絡(luò)結(jié)構(gòu)以基礎(chǔ)設(shè)施網(wǎng)絡(luò)為主?；A(chǔ)設(shè)施網(wǎng)絡(luò)提供對其它網(wǎng)絡(luò)的訪問，帶有轉(zhuǎn)發(fā)功能和介質(zhì)訪問控制等功能。在基于這種結(jié)構(gòu)的網(wǎng)絡(luò)中，通信只發(fā)生在無線節(jié)點(diǎn)和AP之間，而不是兩個無線

32、節(jié)點(diǎn)之間直接通信。AP起到了橋接其它無線或有線網(wǎng)絡(luò)的作用。這種網(wǎng)絡(luò)結(jié)構(gòu)典型的使用場景為校園、辦公室、超市和倉庫。WLAN不同于傳統(tǒng)的有線網(wǎng)絡(luò)，噪聲和干擾、建筑物結(jié)構(gòu)、無線設(shè)備的擺放及其參數(shù)的設(shè)置都對WLAN的信號質(zhì)量和傳輸速度等性能有很大的影響。因此，WLAN的設(shè)計也與有線網(wǎng)絡(luò)不同。WLAN優(yōu)化設(shè)計的目的是：使無線接入設(shè)備覆蓋所有期望覆蓋的區(qū)域，并且具有足夠承擔(dān)預(yù)期負(fù)載的能力。由于環(huán)境的復(fù)雜性，WLAN的設(shè)計必須通過實(shí)際的測量才能達(dá)到理想效果。其中，AP的定位和頻率分配是WLAN優(yōu)化設(shè)計的兩個重要方面。AP的位置首先應(yīng)根據(jù)實(shí)際的場景和需求初步進(jìn)行選擇，然后在通過實(shí)地測量進(jìn)行調(diào)整。定位需要遵循以

33、下原則：AP的覆蓋區(qū)域之間無間隙，AP之間重迭區(qū)域最小。第一條原則保證所有的區(qū)域都能覆蓋到，而第二條原則是要盡可能減少所需的AP數(shù)量。AP覆蓋區(qū)域的確定需要根據(jù)接收到的信號強(qiáng)度來決定，做法是先設(shè)定一個信號強(qiáng)度閥值，例如為滿足某小區(qū)域的無線終端點(diǎn)播流媒體課件的需求，通過測量得知信噪比SNR=10dB是能夠保證點(diǎn)播流媒體課件質(zhì)量穩(wěn)定的最低信號強(qiáng)度，所以可將10dB作為閥值，凡是信號強(qiáng)度不低于這個閥值的區(qū)域就確定為AP的覆蓋區(qū)域；然后進(jìn)行實(shí)地測量，并記錄，產(chǎn)生AP的覆蓋區(qū)域圖；最后根據(jù)定位原則進(jìn)行調(diào)整，直到滿意為止。由于各個區(qū)域的用戶密度不同，一般情況下用戶密度大的區(qū)域情況更復(fù)雜，所以應(yīng)先在用戶密度

34、高的區(qū)域進(jìn)行AP的布置然后再布置用戶密度低的區(qū)域。在空曠的戶外可用對稱圓形和球形來劃定AP覆蓋區(qū)域；而在規(guī)則的狹長或矩形建筑物內(nèi)可用線形或矩形將AP對稱分布。但是由于室內(nèi)建筑結(jié)構(gòu)的復(fù)雜性，例如金屬防盜門、鋁合金門窗等，應(yīng)當(dāng)在初步選擇AP位置后進(jìn)行仔細(xì)的測量，以確保布置的AP能夠覆蓋所有區(qū)域。在AP的位置已經(jīng)固定，覆蓋范圍也已經(jīng)確定之后，要考慮的是頻率分局的問題IEEE802.11b的工作頻率為2.4GHz，每個通道帶寬為22MHz，兩個相鄰頻道的中心距僅為5MHz。在多個頻道同時工作的情況下，為保證頻道之間的相互干擾最小，可以使用三個互相不重迭的頻道。頻率分配實(shí)質(zhì)上也就類似于一個用三種顏色給地

35、圖涂色的問題。另外，WLAN的優(yōu)化設(shè)計不僅是要從覆蓋范圍的角度來考慮，還要考慮其負(fù)載能力，以保證服務(wù)質(zhì)量。以布置天線為例，假設(shè)實(shí)際的需求是要保證30個學(xué)生同時點(diǎn)播多媒體課件，一個AP不能滿足要求，需要在同一教室里面布置兩個AP。由于用戶需求是動態(tài)變化的，AP的實(shí)際負(fù)載可能會加重或減輕，這些變換可以通過對WLAN監(jiān)視得知。網(wǎng)絡(luò)管理員應(yīng)根據(jù)實(shí)際變化對AP的數(shù)量和分布作出調(diào)整?？傊己玫腤LAN設(shè)計不僅可以保證較好的服務(wù)質(zhì)量，也可以減少AP的使用數(shù)量從而節(jié)約成本，其前提是事先經(jīng)過充分的實(shí)地測量和評估。5）用戶認(rèn)證管理核心技術(shù)（PPPoE、WEB、DHCP）解決方案認(rèn)證可稱AAA，包含三個方面：Au

36、thentication鑒別、Authorization授權(quán)、Accounting計費(fèi)。Radius協(xié)議是用來解決AAA的，現(xiàn)在用得最廣，成為事實(shí)上的標(biāo)準(zhǔn)。用戶主機(jī)與網(wǎng)絡(luò)設(shè)備的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面會專門介紹這三種方式。網(wǎng)絡(luò)設(shè)備與AAAServer的通信協(xié)議：采用標(biāo)準(zhǔn)的Radius協(xié)議，為實(shí)現(xiàn)增強(qiáng)功能，可采用擴(kuò)展的Radius協(xié)議，即俗稱Radius+；網(wǎng)絡(luò)設(shè)備與AAAServer通過Radius協(xié)議的認(rèn)證的簡要過程如下：1）網(wǎng)絡(luò)設(shè)備向AAAServer發(fā)出AccessRequest包，其中包含用戶的賬號、密碼、端口號、埠類型等；2）AAAServ

37、er向網(wǎng)絡(luò)設(shè)備回送AccessResponse包，其中包含用戶的合法性和用戶的一些設(shè)置，如IP地址，屏蔽，DNSserver，上網(wǎng)帶寬，上網(wǎng)時段等；3）網(wǎng)絡(luò)設(shè)備不斷向AAAServer發(fā)送計費(fèi)消息包，這些消息包可以反映出上網(wǎng)開始時間，上網(wǎng)結(jié)束時間，輸入輸出流量，SessionID、賬號等；三種認(rèn)證方式在無線寬帶接入中，按用戶與網(wǎng)絡(luò)設(shè)備之間的通信方式，可將認(rèn)證分為以下三種：（1）PPPoE（包PPPoA、PPTP等）（2）DHCP/DHCP+（3）Web認(rèn)證1、PPPoE認(rèn)證通過PPPoE(Point-to-PointProtocoloverEthernet)協(xié)議，服務(wù)提供商可以在無線以太網(wǎng)上實(shí)

38、現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。(說明：PPPoE(Point-to-PointProtocoloverEthernet)協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。)PPPoE的建立需要兩個階段，分別是搜尋階段(Discoverystage)和點(diǎn)對點(diǎn)對話階段(PPPSessionstage)。當(dāng)一臺主機(jī)希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號(SESSION_ID)。在PPP協(xié)議定義了一個端對端的關(guān)系時，搜尋階段是一個客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中，主機(jī)(客戶端)搜尋并發(fā)現(xiàn)一個網(wǎng)

39、絡(luò)設(shè)備(服務(wù)器端)。在網(wǎng)絡(luò)拓?fù)渲校鳈C(jī)能與之通信的可能有不只一個網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機(jī)可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個。當(dāng)搜索階段順利完成，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。搜索階段將在點(diǎn)對點(diǎn)對話建立之前一直存在。一旦點(diǎn)對點(diǎn)對話建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對點(diǎn)對話階段虛擬接口提供資源。PPPoE一般用于卡號用戶，卡號用戶的賬號和密碼是通過PPPoE拔號軟件輸入的，費(fèi)用也從輸入的賬號上扣。PPPoE認(rèn)證主要利用PPP的一些屬性，與它類似的認(rèn)證方式還有PPPoA、PPTP、L2TP等。相比之下，PPPoE應(yīng)用最普遍。2、DHCP認(rèn)證DHCP的認(rèn)證過程如下：用戶主機(jī)上電，發(fā)

40、出DHCPRequst廣播包；該包到達(dá)網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備得到用戶的VianID，根據(jù)VianID查表得到用戶的認(rèn)證賬號。將認(rèn)證賬號送到RadiusServer認(rèn)證。Radiusserver返回認(rèn)證回應(yīng)。用戶上internet，有流量流經(jīng)網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備檢測到用戶的上網(wǎng)流量，向Radiusserver發(fā)計費(fèi)開始的消息包。關(guān)機(jī)時，用戶主機(jī)會發(fā)出DHCPReiease包；該包達(dá)到網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備將向Radiusserver發(fā)一個終止計費(fèi)的消息包，該包同時也包含了用戶的流量。計費(fèi)結(jié)束。DHCP認(rèn)證適合固定用戶。3、Web認(rèn)證認(rèn)證步驟如下：用戶機(jī)器上電啟動，系統(tǒng)程序根據(jù)配置，通過DHCP由ISN做D

41、HCP-Relay，向DHCPServer要IP地址（私網(wǎng)或公網(wǎng)）；ISN為該用戶構(gòu)造對應(yīng)表項(xiàng)信息（基于端口號、IP）,添加用戶ACL服務(wù)策略（讓用戶只能訪問portalserver和一些內(nèi)部服務(wù)器，個別外部服務(wù)器如DNS）；Portalserver向用戶提供認(rèn)證頁面。在該頁面中，用戶輸入賬號和口令，并單擊login按鈕。也可不輸入由賬號和口令，直接單擊Login按鈕；該按鈕啟動portalserver上的Java程序，該程序?qū)⒂脩粜畔ⅲ↖P地址，賬號和口令）送給網(wǎng)絡(luò)中心設(shè)備ISN；ISN8850利用IP地址將收到用戶的信息，對用戶的合法性進(jìn)行檢查。便于以后的合法性檢查。如果用輸入了賬號，則認(rèn)

42、為是卡號用戶，使用用戶輸入的賬號和口令到Radiusserver對用戶進(jìn)行認(rèn)證。如果用戶未輸入賬號，則認(rèn)為用戶是固定用戶，網(wǎng)絡(luò)設(shè)備利用VianID（或PVCID）查用戶表得到用戶的賬號和口令。將賬號送到Radiusserver進(jìn)行認(rèn)證；RadiusServer返回認(rèn)證結(jié)果給網(wǎng)絡(luò)設(shè)備；認(rèn)證通過后，修改該用戶的ACL,用戶可以訪問外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)。用戶離開網(wǎng)絡(luò)前，連接到portaiserver上，單擊斷開網(wǎng)絡(luò)按鈕。系統(tǒng)停止計費(fèi)，刪除用記的ACL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問外部網(wǎng)絡(luò)。在以上過程中，要注意檢測用戶非正常離開網(wǎng)絡(luò)的情況，如用戶主機(jī)死機(jī)，網(wǎng)絡(luò)斷掉，直接關(guān)機(jī)等。華為公司提供多種專利

43、檢測辦法，如根據(jù)流量進(jìn)行判斷，通過測試用戶主機(jī)是否正常運(yùn)作進(jìn)行判斷等。4、802.1X-認(rèn)證_、八、-一前言隨著寬帶以太網(wǎng)建設(shè)規(guī)模的迅速擴(kuò)大，網(wǎng)絡(luò)上原有的認(rèn)證系統(tǒng)已經(jīng)不能很好的適應(yīng)用戶數(shù)量急劇增加和寬帶業(yè)務(wù)多樣性的要求。我公司率先推出商用化的802.1x協(xié)議具有完備用戶的認(rèn)證、管理功能，很好地支撐寬帶網(wǎng)絡(luò)的計費(fèi)、安全運(yùn)營和管理要求，對無線寬帶IP城域網(wǎng)等電信級網(wǎng)絡(luò)的運(yùn)營和管理具有極大的優(yōu)勢。802.1x協(xié)議對認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來的問題，更適合在寬帶以太網(wǎng)中的使用。802.1x協(xié)議在無線寬帶以太網(wǎng)中的成功應(yīng)用，引發(fā)了業(yè)界討論，

44、引起了各廠商的關(guān)注，受到了廣大ISP的歡迎；國內(nèi)外各大寬帶設(shè)備廠商紛紛做好了準(zhǔn)備，以迎接新認(rèn)證時代的到來。二802.1x協(xié)議簡介IEEE802.1x稱為基于端口的訪問控制協(xié)議(Portbasednetworkaccesscontrolprotocol)。IEEE802.1x協(xié)議的體系結(jié)構(gòu)包括三個重要的部分：SupplicantSystem客戶端、AuthenticatorSystem認(rèn)證系統(tǒng)、AuthenticationServerSystem認(rèn)證服務(wù)器。客戶端系統(tǒng)：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起802.1X協(xié)議的認(rèn)證過程。為支持基于

45、埠的接入控制，客戶端系統(tǒng)需支持EAPOL(ExtensibleAuthenticationProtocolOverLAN)協(xié)議。認(rèn)證系統(tǒng)：通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對應(yīng)于不同用戶的端口(可以是物理端口，也可以是用戶設(shè)備的MAC地址、VLAN、IP等)有兩個邏輯端口：受控(controlledPort)埠和不受控埠(uncontrolledPort)。不受控埠始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議封包，可保證客戶端始終可以發(fā)出或接受認(rèn)證。受控埠只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。如果

46、用戶未通過認(rèn)證，則受控埠處于未認(rèn)證狀態(tài)，則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。認(rèn)證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比如用戶所屬的VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等等。當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。認(rèn)證服務(wù)器和RADIUS服務(wù)器之間通過EAP協(xié)議進(jìn)行通信。以下圖為例圖中認(rèn)證系統(tǒng)的受控端口處于未認(rèn)證狀態(tài)，因此無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。注意的是，在上圖所表現(xiàn)的在802.1X協(xié)議中的可控埠與非可控端口是邏輯上的理解，設(shè)備內(nèi)部并不存在這樣的物理開關(guān)。對于

47、每個用戶而言，802.1x協(xié)議均為其建立一條邏輯的認(rèn)證信道，該邏輯信道其它用戶無法使用，不存在端口打開后被其它用戶利用問題。802.1x認(rèn)證協(xié)議已經(jīng)得到了很多軟件廠商的重視，目前微軟公司也在其Windows操作系統(tǒng)中的最新版WindowsXP已經(jīng)整合802.1x客戶端軟件，用戶無需要另外安裝客戶端軟件。三802.1x技術(shù)特性1、實(shí)現(xiàn)簡單802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。2、認(rèn)證和業(yè)務(wù)分離802.1x的認(rèn)證體系結(jié)構(gòu)中采用了可控埠和不可控端口的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由Radius和交換機(jī)利用不可控的邏輯端口共同完成對用戶的

48、認(rèn)證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控埠進(jìn)行交換；所以通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。認(rèn)證系統(tǒng)簡化了PPPOE方式中對每個數(shù)據(jù)包進(jìn)行拆包和封裝等繁瑣的工作，所以802.1x封裝效率高，消除了網(wǎng)絡(luò)瓶頸；同時，由于802.1x認(rèn)證包采用了在不可控信道中的獨(dú)立處理的方式，因此認(rèn)證處理容量可以很大，遠(yuǎn)遠(yuǎn)高于傳統(tǒng)的BAS，無需要購買昂貴設(shè)備，降低了建網(wǎng)成本；用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢，所有業(yè)務(wù)都不受認(rèn)證方式限制。認(rèn)證方式的比較802.1X協(xié)議源于IEEE802.11無線以太網(wǎng)

49、（EAPOW），但是，它在以太網(wǎng)中的引入，解決了傳統(tǒng)的PPPOE和WEB/PORTAL認(rèn)證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，簡輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本。眾所周知，PPPOE是從基于ATM的窄帶網(wǎng)引入到寬帶以太網(wǎng)的，由此可以看出，PPPOE并不是為寬帶以太網(wǎng)量身定做的認(rèn)證技術(shù)，將其應(yīng)用于寬帶以太網(wǎng)，必然會有其局限性，雖然其方式較靈活，在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗(yàn)，但是，它的封裝方式，也造成了寬帶以太網(wǎng)的種種等問題。在PPPOE認(rèn)證中，認(rèn)證系統(tǒng)必須將每個包進(jìn)行拆解才能判斷和識別用戶是否合法，一旦用戶增多或者數(shù)據(jù)包增大，封裝速度必然跟不上，成為了網(wǎng)絡(luò)瓶頸；其次這樣大量的拆包解包過程必須由一個功

50、能強(qiáng)勁同時價格昂貴的設(shè)備來完成，這個設(shè)備就是我們傳統(tǒng)的BAS，每個用戶發(fā)出的每個數(shù)據(jù)包BAS必須進(jìn)行拆包識別和封裝轉(zhuǎn)發(fā)；為了解決瓶頸問題，廠商想出了提高BAS性能，或者采用大量分布式BAS等方式來解決問題，但是BAS的功能就決定了它是一個昂貴的設(shè)備，這樣一來建設(shè)成本就會越來越高。WEB/PORTAL認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證，不需要安裝其它客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于WEB認(rèn)證走的是7層協(xié)議，從邏輯上來說為了達(dá)到網(wǎng)絡(luò)2層的連接而跑到7層做認(rèn)證，這首先不符合網(wǎng)絡(luò)邏輯。其次由于認(rèn)證走的是7層協(xié)議，對設(shè)備必然提出更高要求，增加了建網(wǎng)成本。第三，WEB是在認(rèn)證前就為用戶

51、分配了IP地址，對目前網(wǎng)絡(luò)珍貴的IP地址來說造成了浪費(fèi)，而且分配IP地址的DHCP對用戶而言是完全裸露的，容易造成被惡意攻擊，一旦受攻擊癱瘓，整網(wǎng)就沒法認(rèn)證；為了解決易受攻擊問題，就必須加裝一個防火墻，這樣一來又大大增加了建網(wǎng)成本。WEB/PORTAL認(rèn)證用戶連接性差，不容易檢測用戶離線，基于時間的計費(fèi)較難實(shí)現(xiàn)；用戶在訪問網(wǎng)絡(luò)前，不管是TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證，易用性不夠好；而且認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。所以，在以太網(wǎng)中，WEB/PORTAL認(rèn)證目前只是限于在酒店,校園等網(wǎng)絡(luò)環(huán)境中使用，基于以上種種比較很顯然使用802.1X認(rèn)證計費(fèi)機(jī)制是我們所推薦的

52、方式。802.1x在城市熱點(diǎn)網(wǎng)絡(luò)產(chǎn)品中的應(yīng)用IEEE802.1X協(xié)議是目前業(yè)界最新的標(biāo)準(zhǔn)認(rèn)證協(xié)議，一經(jīng)推出就引起了廣大網(wǎng)絡(luò)設(shè)備制造商的重視，各大廠商紛紛組織研發(fā)力量進(jìn)行基于802.1X協(xié)議相關(guān)產(chǎn)品的開發(fā)?？梢哉f，在這一方面，我公司開發(fā)的比一般早，在業(yè)界內(nèi)率先推出了包括客戶端軟件、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器在內(nèi)的基于802.1X協(xié)議的成熟的網(wǎng)絡(luò)產(chǎn)品和商用解決方案，首家實(shí)現(xiàn)了802.1X協(xié)議的商業(yè)化。選擇寬帶計費(fèi)系統(tǒng)常見的問題寬帶計費(fèi)，勢在必行。計費(fèi)系統(tǒng)一向是運(yùn)營商關(guān)心的問題，計費(fèi)不準(zhǔn)確，用戶投訴就會不斷，這還是次要的；不支持優(yōu)惠時段計費(fèi)；增值服務(wù)設(shè)置需要專門的技術(shù)工程師支持；不能限制網(wǎng)絡(luò)流量，大量下載

53、導(dǎo)致訪問速度很慢；沒有交納費(fèi)用的通知單，要挨家挨戶送收費(fèi)單。這樣，使得運(yùn)營商的工作苦不堪言。包月制雖然成本降低，卻扼殺了許多報有公平消費(fèi)的用戶的接入熱情，增值內(nèi)容服務(wù)是吸引用戶接入最主要的原因，也是接入商能否盡快盈利的關(guān)鍵。多樣化的內(nèi)容服務(wù)、價格競爭需要依靠完善的計費(fèi)系統(tǒng)來配合。城市熱點(diǎn)寬帶計費(fèi)系統(tǒng)在投入市場以來，用戶反映非常良好。如何鑒別計費(fèi)系統(tǒng)的優(yōu)劣呢？以城市熱點(diǎn)寬帶計費(fèi)系統(tǒng)為例，我們來談一下在選擇計費(fèi)系統(tǒng)時，要考慮的十一個重要因素。一、具有高性能網(wǎng)絡(luò)處理能力具有強(qiáng)大的線性數(shù)據(jù)轉(zhuǎn)發(fā)吞吐能力、具有百兆和千兆的接口，在功能的靈活性、穩(wěn)定性和安全性上都得到有力的保障，而且是專門針對寬帶運(yùn)營計費(fèi)，

54、我們認(rèn)為寬帶計費(fèi)的性能必須達(dá)到線性，否則就會成為網(wǎng)絡(luò)的瓶頸，不但計費(fèi)保證不了，還會限制寬帶網(wǎng)的應(yīng)用和發(fā)展，寬帶的內(nèi)容應(yīng)用和收費(fèi)已經(jīng)提到日程上，由此產(chǎn)生對網(wǎng)絡(luò)設(shè)備的處理能力要求較高；城市熱點(diǎn)寬帶計費(fèi)系統(tǒng)是基于自有的網(wǎng)絡(luò)操作系統(tǒng)IOS,其產(chǎn)品處理能力達(dá)到線性。二、嚴(yán)密的賬號管理優(yōu)秀的計費(fèi)系統(tǒng)具有詳細(xì)的開設(shè)帳號手續(xù)。城市熱點(diǎn)計費(fèi)系統(tǒng)針對用戶修改賬號密碼和用戶數(shù)據(jù)；可以對用戶進(jìn)行多級分組管理；能夠綁定IP和MAC地，防止用戶賬號被盜；安全的層級網(wǎng)管人員授權(quán)；支持大容量的賬號開設(shè)和管理；可以分批設(shè)置用戶的服務(wù)和權(quán)限；可以查詢用戶的使用時間、次數(shù)和費(fèi)用等等。三、靈活的計費(fèi)方式隨著營運(yùn)商的服務(wù)競爭趨向激烈，

55、計費(fèi)方式要提供多樣化的選擇，計費(fèi)系統(tǒng)的計費(fèi)方式包括基于增值服務(wù)計費(fèi)、時間計費(fèi)、流量計費(fèi)、點(diǎn)播次數(shù)計費(fèi)、包月計費(fèi)、封頂計費(fèi)、優(yōu)惠時段計費(fèi)、代交代扣計費(fèi)和銀行交納費(fèi)用界面等等；計費(fèi)數(shù)據(jù)保證準(zhǔn)確無誤。四、完善的帶寬控制有些不自覺的用戶，長期使用并發(fā)工具下載大量的文件和數(shù)據(jù)，占用其它用戶的帶寬資源，導(dǎo)致整個網(wǎng)絡(luò)訪問速度緩慢，有時候甚至比不上窄帶撥號上網(wǎng)的速度。支持帶寬控制是必須解決的問題，用戶登陸上網(wǎng)時，D2133計費(fèi)系統(tǒng)的網(wǎng)絡(luò)管理功能可設(shè)定該用戶的獨(dú)享帶寬，甚至根據(jù)同時在線的人數(shù)自動伸縮分配帶寬。另外，城市熱點(diǎn)計費(fèi)系統(tǒng)的帶寬控制可以平滑控制到1K,且不會影響整體網(wǎng)絡(luò)的訪問速度。五、操作簡單方便友好的

56、圖形接口，操作方便是計費(fèi)系統(tǒng)必備的功能。在使用計費(fèi)系統(tǒng)時，用戶申請上網(wǎng)，只需要輸入賬號和密碼即可。對于管理員，不論是用戶管理、費(fèi)用查看、網(wǎng)絡(luò)情況和輸出報表等等、都具有友好的管理接口，減少了技術(shù)工程師的支持工作，降低維護(hù)成本。城市熱點(diǎn)計費(fèi)系統(tǒng)還具備完善的決策系統(tǒng)，可根據(jù)數(shù)據(jù)的分析和發(fā)展趨勢給營運(yùn)商提供參考意見。六、在線監(jiān)控在線網(wǎng)絡(luò)監(jiān)控也很重要。用戶登陸時，計費(fèi)系統(tǒng)自動分配IP給該用戶，并進(jìn)行賬號合法性驗(yàn)證；實(shí)時監(jiān)控用戶的在線行為；在線用戶列表；調(diào)整用戶的訪問帶寬；網(wǎng)絡(luò)聯(lián)接情況；異常網(wǎng)絡(luò)信號報警；網(wǎng)絡(luò)管理員的相應(yīng)處理功能；流量和費(fèi)用統(tǒng)計等等。這些功能都跟網(wǎng)絡(luò)的基本技術(shù)緊密相關(guān)，小區(qū)的網(wǎng)管可以通過本

57、功能方便的進(jìn)行日常網(wǎng)絡(luò)管理和維護(hù)。七、詳盡報表當(dāng)運(yùn)營商需要查看用戶數(shù)據(jù)的時候，當(dāng)月末到了用戶交納費(fèi)用的時候，當(dāng)每個季度的盈收匯總的時候，都需要詳盡的報表來配合。城市熱點(diǎn)計費(fèi)系統(tǒng)應(yīng)用的場所不同，報表生成的情況也千變?nèi)f化，甚至可以按小時，按日期，月度，季度，年度打印各種復(fù)雜的統(tǒng)計報表，生成其它管理系統(tǒng)的接口數(shù)據(jù)文件。八、安全穩(wěn)定對于運(yùn)營商來說，用戶和費(fèi)用數(shù)據(jù)是異常寶貴的，需要有完善的數(shù)據(jù)備份機(jī)制，包括磁盤陣列、雙機(jī)備份和遠(yuǎn)程備份等。城市熱點(diǎn)計費(fèi)系統(tǒng)自有的網(wǎng)絡(luò)操作系統(tǒng)IOS,穩(wěn)定性及防攻擊性強(qiáng)。持續(xù)安全使用時間已達(dá)到2萬個小時，具有多種備份功能。九、可擴(kuò)展性隨著接入商的線路鋪設(shè)和工程進(jìn)度，計費(fèi)系統(tǒng)自

58、身要具備可擴(kuò)展性，例如支持百萬級的大型計費(fèi)應(yīng)用，支持分布式的層級計費(fèi)管理。使用多臺服務(wù)器來解決接入用戶數(shù)量過多的問題，或者解決小區(qū)網(wǎng)絡(luò)多樣化的問題，要實(shí)現(xiàn)負(fù)載均衡，保證計費(fèi)系統(tǒng)穩(wěn)定運(yùn)轉(zhuǎn)。對于跨地區(qū)的接入商，計費(fèi)系統(tǒng)需要集中用戶管理，統(tǒng)一設(shè)置，達(dá)到節(jié)省人力物的目的，降低數(shù)據(jù)的維護(hù)費(fèi)用。城市熱點(diǎn)計費(fèi)系統(tǒng)同樣具有此功能。十、優(yōu)性價比性能價格比，一直是采購計算機(jī)設(shè)備的重要參考數(shù)據(jù)。計費(fèi)系統(tǒng)也不例外，我們在購買之前，一定要實(shí)地查看計費(fèi)系統(tǒng)的成功應(yīng)用案例、應(yīng)用時間地點(diǎn)和使用情況，傾聽用戶的使用意見，出示行業(yè)專家的評測報告，系統(tǒng)通過哪些部門的指定和審批證明等等，根據(jù)系統(tǒng)的性能和價格進(jìn)行嚴(yán)格的評選，最后決定采

59、用哪一家公司的解決方案。十一、綜合評定公司的綜合能力也是要考慮的因素，包括公司規(guī)模、行業(yè)背景、專業(yè)經(jīng)驗(yàn)、技術(shù)實(shí)力、人才組成和成功案例等等。技術(shù)支持和服務(wù)態(tài)度如何？應(yīng)急響應(yīng)速度如何？對于某些特定的客戶需求能否滿足和加以定制，技術(shù)文檔是否完備等等。總之，一套好的計費(fèi)系統(tǒng)能夠幫助運(yùn)營商解決寬帶IP網(wǎng)絡(luò)運(yùn)營所面臨的諸多問題，運(yùn)營商在選擇計費(fèi)系統(tǒng)時，還是應(yīng)該本著慎重的態(tài)度，多對比，多考慮。CITY-HOT的WLAN經(jīng)營計費(fèi)平臺解決方案城市熱點(diǎn)參考了多個國家和地區(qū)的WLAN的實(shí)際經(jīng)營模式，開發(fā)出一套WLAN的經(jīng)營計費(fèi)平臺，成功運(yùn)用在多個重要熱點(diǎn)。目前正在開發(fā)專門針對WLAN的應(yīng)用產(chǎn)品。我公司網(wǎng)絡(luò)計費(fèi)產(chǎn)品一

60、貫風(fēng)格是不僅簡單提供一個網(wǎng)絡(luò)設(shè)備，而是站在經(jīng)營者的角度，給經(jīng)營者一個全面的，可實(shí)施的綜合解決方案。帶計費(fèi)平臺的AC：為了實(shí)現(xiàn)與場地經(jīng)營商合作經(jīng)營，必須為場地經(jīng)營者提供一套完整的計費(fèi)管理平臺，包括無線網(wǎng)卡租用管理、開戶、計費(fèi)、審核對帳、與ISP分成管理寬帶計費(fèi)系統(tǒng)，安裝在場地提供者，并與原有的計費(fèi)平臺提供接口，將賬單轉(zhuǎn)發(fā)到原來的平臺，實(shí)現(xiàn)統(tǒng)一的出帳。同時也可以支持普通的AC功能，通過RADIUS遠(yuǎn)程的認(rèn)證功能。適用于酒店、機(jī)場、展會、運(yùn)動會館、高級商務(wù)會所等場所，對通過有線或無線方式接入寬帶網(wǎng)的商務(wù)移動用戶的計費(fèi)。支持有線和無線接入：支持多種用戶接入網(wǎng)：ADSL/VDSL、Ethernet、WL