酒店需求現(xiàn)狀

　　已經擁有了綜合布線系統(tǒng)的智能化賓館，能夠在客房或商務中心提供商務客人的上網要求，可商務客人常常喜歡在賓館大堂、咖啡吧或茶座里用筆記本電腦工作，或是在這些地方進行一個小型的會談，當客人需要處理郵件或上網下載公司的資料是，得到的回答往往是?"你必須換一個靠近某個數(shù)據點的位置"、"你可以到商務中心去"或者"您必須到房間里用電話線才可以上網"等等。

　　"服務為王"，尤其是對于服務產業(yè)中的酒店業(yè)來說。目前酒店行業(yè)競爭的重點已經從硬件的競爭轉移到服務的競爭，各大酒店均絞盡腦汁來提高自己的服務意識和服務水平。在傳統(tǒng)的服務項目已非常成熟的今天，作為四、五星級酒店，如何為客戶提供新的服務成為酒店經營者頭疼的問題。近兩年來，隨著來自世界各地商務客人的增加，全球信息技術的發(fā)展和無線網絡的高速發(fā)展，以及Internet在國內的迅猛發(fā)展，為酒店客戶提供新的信息服務成為一種趨勢。這一方面提升了現(xiàn)代化酒店的服務與管理水平，同時，也為酒店經營者帶來了相應的利益。

　　可以說，網絡不僅是酒店傳播信息的工具，也是留住回頭客保持入住率的有效手段，而無線網絡由于其移動性、便利性和靈活性的特點，更是得以在酒店中大顯身手。商務客人一般會要求酒店提供與其辦公室和個人家庭相同的高速Internet訪問能力，通過無線局域網就可實現(xiàn)靈活且可擴展的網絡解決方案。

　　熱點網絡結構(解析)

　　AP部署

　　考慮到熱點部署的AP應與目前持有大量的802.11b終端的用戶的兼容，同時也顧及到未來無線局域網數(shù)據應用業(yè)務的擴展，NETGEAR推薦采用WG302這款運營級別的802.11g設備來實現(xiàn)熱點部署。WG302通過無線端口隔離技術提供熱點用戶更多的安全保障以及杜絕未經認證的用戶非法占用無線網絡資源，影響正常用戶使用。熱點網絡結構將從不同用戶的環(huán)境來闡述AP的組建方式，以及在大面積服務區(qū)內的無線AP的小區(qū)規(guī)劃?；趹脜^(qū)域相對開闊，所以從用戶應用環(huán)境上劃分，基本上可以分為兩大類。

　　小于等于3個AP的使用環(huán)境

　　由于同一區(qū)域交疊的AP的范圍小于等于3，并且AP支持1、7、13共三個互不重疊頻率通道，所以無需考慮頻道重疊。以下介紹當AP數(shù)量為3時，AP的構建方式：

　　方式一：AP空中中繼連接

　　方式一可以覆蓋一個較大較均勻的區(qū)域，且只需要一個以太網的接入口。但由于作為提供以太網入口的AP與其他AP之間是通過空中接口相互通訊，一般而言在這種模式下AP1、AP2、AP3必須處于同一頻段所以對于用戶而言只能共享一個頻段所帶來的速率對于802.11g來說就是標準的54Mbps理論值。

　　方式二：AP空中中繼連接

　　方式二可以覆蓋一個較狹長的區(qū)域，且只需要一個以太網的接入口。由于以太網入口的AP僅與一個AP之間通過空中接口相互通訊，一般而言在這種模式下AP1、AP2、AP3必須處于同一頻段所以對于用戶而言只能共享一個頻段所帶來的速率對于802.11g來說就是標準的54Mbps理論值，但由于NETGEAR 支持108M的Supper G 技術使得用戶仍然可以共享108M bps的接入速率。

　　上述兩種連接方式，雖然同樣的使用AP進行中繼，在覆蓋方式上有所分別。在WLAN網絡開發(fā)初期，由于用戶不多，可以作為有效的節(jié)省網絡端口以及擴大覆蓋范圍的方法。

　　方式三：標準AP網絡連接

　　方式三可以覆蓋一個較均勻的區(qū)域，由于所有的AP都連接一個以太網的接入口所以該區(qū)域的接入用戶可以根據漫游所在區(qū)域的AP直接進入有線以太網網絡，以提供更高的接入速度。

　　大于3個AP的使用環(huán)境

　　由于AP使用數(shù)量大于3個，所以需要考慮AP間的頻道規(guī)劃。應盡量避免兩個處于同頻道的AP在同一區(qū)域有交疊。

　　方式一：每個AP一個以太端口接入

　　當AP覆蓋區(qū)域可以為每個AP提供一個以太網接入口時，所以該區(qū)域的接入用戶可以根據漫游所在區(qū)域的AP直接進入有線以太網網絡，以提供高速率的接入。那么，在規(guī)劃中我們只需避免區(qū)域內AP的頻道重疊。

　　方式二：AP進行空中橋接

　　當AP覆蓋區(qū)域可以為每兩個AP提供一個以太網接入口時，在規(guī)劃中我們需要考慮以下兩點：避免區(qū)域內AP頻道重疊;必須避免一個AP同時作為三個AP的有線以太網接入口。

　　整體結構(應用)

　　考慮了熱點地區(qū)AP的部署之后，需要進一步對熱點的整個網絡結構作進一步闡述。在熱點網絡結構中推薦采用具備端口隔離技術交換機，通過端口隔離技術提供酒店用戶更多的安全保障以及杜絕未經認證的用戶非法占用有線網絡資源，影響正常用戶使用。

　　在不改變原有無線AP布局的條件下，為優(yōu)化整體系統(tǒng)方案，規(guī)范酒店網絡布線，提高供電安全，采用PoE網絡供電模式，在機房UPS統(tǒng)一取電。以太網信號從核心機房的核心交換機布線到樓層交換機后，再接上PoE集中供電器，出來后的PoE網線攜帶網絡數(shù)據和無線AP電源，將PoE網線進行樓層內的AP分布，在AP分布點，通過PoE102分離器將原有PoE線中的電源和網絡數(shù)據分解出來，提供給無線AP獨立的5V或12V或24V電源和標準的網絡數(shù)據，進入酒店樓道或客房進行覆蓋。

　　實例說明：兩層高商務酒店，擁有80間客房，每層各40間，每層設置一個弱電井，核心交換機可布局酒店機房中。采取PoE集中供電，其結構布局如下圖所示：

　　從上圖可以看出酒店無線網絡由以下部分組成：

　　訪問控制設備(AC)

　　訪問控制設備可以置于酒店機房處，一般而言AC的功能取決于對用戶的認證手段，AC是酒店覆蓋的核心設備，涉及到用戶認證、用戶計費、用戶控制以及與運營策略相結合的技術實現(xiàn)手段。

　　邊緣接入路由器(Router)

　　邊緣路由器可以置于酒店AC控制器的出口處，實現(xiàn)專線接入的需求。也可以無需邊緣路由器直接由ISP提供AC控制器的以太接入。

　　酒店核心交換機

　　酒店核心交換機采用二層匯聚交換機，用于對酒店樓層交換機的匯聚，并負責城域網接入。對較小的平面酒店，樓層交換機即可兼顧城域網接入。

　　二層樓層交換機

　　二層樓層交換機主要用于匯聚該區(qū)域的無線接入點。

　　PoE交換機

　　為實現(xiàn)PoE布局，使工程美觀安全，大大的節(jié)省了TCO總體成本。采用不改變原有網絡結構的情況下，采用PoE交換機將電源嵌入至網絡中。

　　無線節(jié)點(AP)

　　負責無線客戶端的接入。

　　酒店運營考慮

　　AC部署

　　AC 部署模式在酒店比較簡單，而且與邊緣用戶的連接可以通過二層方式來實現(xiàn)。

　　用戶群兼容

　　基于近兩年來無線局域網逐漸為市場接受，越來越多的用戶都購買了無線局域網卡，但由于當時無線局域網技術為802.11b所主導，所以存在這大量的802.11b的用戶群體，新的熱點AP必須能與這些用戶相兼容。令人欣慰的是，802.11g標準的推出其主要的設計原則就是考慮到與802.11b用戶的兼容，同時提供更好的微波特性以及較高的數(shù)據帶寬。

　　通過這種機制802.11g可以靈活的兼容802.11b的用戶，但這種機制的負面效應顯而易見他需要犧牲一部分802.11g的速率。

　　建議在熱點運營初期，打開所有的無線接入點的802.11b的兼容功能，雖然需要犧牲部分速率，但卻不至于使大量的802.11b用戶拒之門外，從而贏得了更多的用戶。等到802.11g客戶端逐漸普及后再考慮關掉802.11b的兼容性，來提高用戶的接入速率。

　　用戶群擴展

　　就目前無線局域網技術而言802.11g標準所提供的單頻54Mbp的吞吐率，同時又可兼容大量802.11b用戶，這個速率已經是最高的接入速率了?？蛇x用支持Supper G技術通過雙頻捆綁等優(yōu)化技術又將接入

　　速率提升到了108M或者更高帶寬，使得無線接入點部署的熱點可以基本滿足目前以及將來較長一段時間的數(shù)據接入業(yè)務。

　　另外，如果隨著熱點用戶數(shù)量的擴大，也可以通過對無線AP功率調整并配合頻點規(guī)劃來實現(xiàn)無線系統(tǒng)容量的擴張。

　　酒店無線網絡安全

　　根據上圖網絡安全從以下三方面進行考慮：空中接口的安全性;無線接入點的安全性;接入交換機的安全性。

　　空中接口的安全性

　　由于無線網絡是一個開放式的網絡，所以任何在該無線可達區(qū)域內的用戶都可以輕而易舉的截獲用戶未加密的數(shù)據，我們可以通過以下及方面來實現(xiàn)區(qū)域內用戶的安全性。

　　WEP加密

　　多數(shù)AP都可以提供基于WEP標準的無線通訊加密，并可以支持40位密鑰和128位密鑰的數(shù)據加密。WEP加密最基本的保障了用戶無線數(shù)據的安全性，但是每個移動用戶都需要在客戶端手工輸入密鑰，這給移動用戶增加了操作的繁瑣性，同時由于WEP采用共享密鑰交換在其交換過程中會產生一些弱密鑰，這使得加密的數(shù)據較容易被破解。

　　無線接入點的安全性

　　建議采用可以設置用戶隔離的AP來實現(xiàn)AP下聯(lián)用戶的隔離，通過在AP上打開用戶隔離的開關，使得用戶只能通過AP訪問上聯(lián)網絡而無法與其他用戶通訊。這樣就實現(xiàn)了移動用戶與用戶之間的隔離，從而保證了無線區(qū)域內用戶數(shù)據的安全性。該方式無需用戶在客戶端作任何設置工作。

　　即使空中接口每有得到安全保障，中間人可以通過Snifer(網絡報文探測器)來捕獲其他用戶的空中報文，但由于用戶間是相互隔離的所以使得用戶間的橫向攻擊無法實施。

　　接入交換機的安全性

　　設置交換機端口的隔離來實現(xiàn)下聯(lián)的AP與AP之間用戶的安全性。采用Per AP Per VLAN的方式來實現(xiàn)下聯(lián)的AP與AP之間用戶的安全性。

　　總結

　　熱點網絡安全需要依賴用戶現(xiàn)有環(huán)境的安全性以及提供給用戶的數(shù)據應用。具體可以從以下幾方面來實現(xiàn)：

　　通過無線訪問點(AP)的空中接口安全功能配置，放置攻擊者在空中利用snifer捕獲其他用戶的通訊報文。

　　通過設置自下而上的二層隔離，即實現(xiàn)無線接入點至二層交換機的用戶隔離，來防止用戶間的相互攻擊。

　　通過對訪問控制器(AC)的配置可以在二層的基礎上有效的杜絕用戶間地址欺騙。

　　通過給需要VPN應用的用戶分配公網地址，使用戶可以自己建立起到公司網絡端到端的VPN隧道，以確保數(shù)據在整個路由網絡的安全性。當然隨著NAT-T(IPSec over UDP)技術的普及，酒店用戶也可以通過私網地址來實現(xiàn)VPN隧道。

　　通過設置酒店網絡設備的SNMP安全性，防止無線接入用戶對這些設備的攻擊。

　　通過設置無線局域網運營網中三層設備的ACL、防火墻或策略路由，防止無線接入用戶對網絡核心設備的攻擊。