XX移动公司办公大楼无线网络解决方案.doc

某某移动公司办公大楼某某移动公司办公大楼 无无 线线 网网 络络 解解 决决 方方 案案 太原市同诚海盛科技有限公司太原市同诚海盛科技有限公司 思科高级认证代理商思科高级认证代理商 长治移动公司办公大楼无线解决方案 目 录 1.1.思科统一无线的应用概述思科统一无线的应用概述1 2.2.移动公司网络现状分析移动公司网络现状分析2 2.1 当前网络现状.2 2.2 应用需求分析.3 2.3 网络建设目标.4 3.3.采用思科统一无线网络的方案设计采用思科统一无线网络的方案设计5 3.1 设计原则.5 3.2 设计思想.6 3.3 设计依据.6 4 4 思科统一无线网络解决方案体系架构思科统一无线网络解决方案体系架构7 4.1 无线网络的挑战 7 4.2 思科集中化无线网络解决方案 8 4.3 集中化协议 lwapp 简介.11 4.4 集中化和统一 wlan 的好处.13 4.4.8 定位服务.20 4.4.9 wlan 语音.21 4.4.10 降低总拥有成本.22 4.4.11 有线和无线整合.23 4.4.12 总结24 5 5 移动公司统一无线网络建设方案移动公司统一无线网络建设方案24 5.1 物理设计（部署）.24 长治移动公司办公大楼无线解决方案 5.2 覆盖方式.24 5.3 设计指标、原则及覆盖方式 25 5.4 逻辑设计.27 5.4.1 ssid 和 vlan27 5.4.2 地址和路由.27 5.4.3 用户认证28 6 6 解决方案的设计亮点解决方案的设计亮点28 6.1ip 地址和 mac 地址绑定28 6.2 基于个人用户的运营管理.28 6.3 支持用户全网漫游.29 6.4 故障自动恢复.30 6.5 网络负载均衡.31 6.6 多 ssid 增加安全系数.31 6.7 带宽的控制.32 7 7 统一无线网络解决方案产品介绍统一无线网络解决方案产品介绍32 7.1 室内无线接入点 air-lap1131ag-c-k9 32 7.2 电源注入器 air-pwrinj3.33 7.3 无线集中控制器 air-wlc4402-12-k933 7.4 无线集中控制系统 air-wcs-wb-1.0-k9 .38 7.5 三层交换机 ws-c3550-24 43 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司1 1.1.思科统一无线的应用概述思科统一无线的应用概述 思科统一无线网络是目前业界唯一的统一有线和无线解决方案， 它经济有效地解决企业面临的 wlan 安全、部署、管理和控制问题。 这一强大的解决方案结合了有线和无线网络的最佳组件，以较低的 总拥有成本提供了可扩展、可管理的安全 wlan。它包括创新的 rf 功能，支持对核心业务应用的实时访问，并提供先进的企业级安全 连接。通过思科统一无线网络，机构的无线局域网提供了与有线局 域网相同的安全性、可扩展性、可靠性、易部署性和可管理性。 思科统一无线网络是一个集成化的端到端解决方案，涵括了 wlan 的所有层次，从客户端设备和接入点，到网络基础设施、网络 管理，乃至先进的无线服务集成与屡获大奖的全球 24 小时产品支持。 它提供了业界最佳的无线局域网安全性、创新性和投资保护。它是 唯一将创新的接入点技术和屡获大奖的集中管理系统、智能控制、 实时定位服务，以及范围广泛、可互操作的思科兼容型客户端设备 相集成的解决方案。 思科统一无线网络简化了网络部署、运行和管理，从而降低了 整体运营开支。凭借此解决方案，通过一个中央管理控制台能方便 地管理数个、数百乃至数千个位于中央或远程地点的接入点。思科 统一无线网络的灵活性允许网络管理员根据其特殊需要而设计网络， 如采用高度集成的网络设计或简单的重叠网络等。 应贵公司数据网络维护部委托，结合我公司大量无线项目选型 和实施经验，针对贵公司内部 oa 办公网络的现状以及本次网络改造 的建设目标，特以思科统一无线网络解决方案为技术依托，为贵公 司提供一个安全稳定，灵活部署，管理便捷和集中控制的高效率网 络。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司2 2.2.移动公司网络现状分析移动公司网络现状分析 2.12.1 当前网络现状当前网络现状 图一移动公司内部图一移动公司内部 oa 办公网络拓扑图办公网络拓扑图 图图 二二 移移 动动 公公 司司 办办 公公 大大 楼楼 网网 络络 拓拓 扑扑 结结 构构 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司3 2.22.2 应用需求分析应用需求分析 经过我公司无线和安全工程师对贵公司网络使用状况的深入调 研和认真分析，总结归纳为以下几个方面： 1)1) btabta 软件不能充分发挥其效能软件不能充分发挥其效能 应现有的网络状况未能更好的配合省移动公司统一分配并要求 使用的 bta 软件，导致网络中出现大量的 bta 软件请求包，网络中 出现了大量的非业务数据流，给网络的正常使用带来诸多不便，大 部分网络端口频频阻塞。 2)2) ipip 地址频繁冲突地址频繁冲突 接入层设备的 ip 地址没有进行合理规划和分配，经常出现人为 随意更改的现象，导致大部分用户在正常使用过程中，出现 ip 地址 冲突，这样的操作牵一动十，造成 ip 地址混乱的局面，给网络的管 理和使用带来一定的压力和麻烦。 3)3) 部门之间访问混乱部门之间访问混乱 在初期网络的规划和设计中，没有对用户类型和业务单元划分 相应的权限和级别，对于公司的重要数据和机密文件存在一定的安 全隐患。其次，由于公司的所有客户端都在一个 ip 段内，广播风暴 未能有效控制，受此影响，网络速度日渐缓慢。 4)4) 木马、病毒在公司网络内泛滥木马、病毒在公司网络内泛滥 公司各个部门局域网在逻辑上没有有效隔离，致使木马、病毒 的大范围扩散，许多用户经常发生死机、中毒或重要数据丢失现象， 所有的用户从物理上和逻辑上均在同一个区域内，有一台设备感染， 其它设备无一例外。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司4 2.32.3 网络建设目标网络建设目标 通过本次网络的改造和完善最终满足贵公司 oa 办公系统和其他 相关业务系统的安全可靠、稳定高效和便捷管理。 1)1)安全可靠安全可靠 建成后的无线网络可以完全融和到现有的 oa 办公系统和与省公 司 vpn 认证系统中，并能实现公司领导和所有员工的漫游认证和加 密；由于它和终端用户不存在物理上的线路连接，也使得传输通道 不会现遭到人为的破坏，同时也通过射频攻击防范，防止黑客的攻 击保证在传输通道上数据的安全； 2)2)自由灵活的访问自由灵活的访问 建成后的无线网络用户只要有无线网卡就可以在办公室、会议 室或营业大厅的任何一个地方访问公司内网、省公司网,突破因有线 网络的束缚，使访问变得更为智能灵活； 3)3)业务扩展业务扩展 随着无线网络的应用和发展，语音和视频也正在大步的向无线 网络靠拢，今天部署的无线网络平台已经能够融合公司现有的 ip 视 频电话，在今后的业务扩展中，也将有越来越多的新业务融合其中。 4)4)运营维护运营维护 建成的无线网络根据用户个性化的需求而实现灵活的部署；同 时也减少今后在网络的维护投资；也使得排错更快捷，在最大程度 上减少故障网络故障为用户带来的损失。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司5 3.3.采用采用思科统一无线网络的方案设计思科统一无线网络的方案设计 3.13.1 设计原则设计原则 实用性实用性：遵循面向应用，注重实效，急用先上，逐步完善的原 则；充分保护已有投资，不设计成华而不实的无线网络，也不设计 成利用率低下的网络，我们以实用性的原则要求为依据，建设具有 最低的 tco（拥有的总成本最低），有最高的性价比的校园无线局 域网络。 先进性先进性：采用先进成熟的网络概念、技术、方法与设备，反映 当今先进水平，又给未来的发展留有余地；充分采用目前国际、国 内流行和成熟的技术，保证网络能适应技术的快速发展。 可靠性：可靠性：系统必须可靠运行，主要的、关键的设备应有冗余， 一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任 何损失。 开放性：开放性：选择的产品应具有好的互操作性和可移植性，并符合 相关的国际标准和工业标准；无论发生任何变化，均能够最大可能 性的开放标准。 可扩充性：可扩充性：系统是一个逐步发展的应用环境，在系统结构、产 品系统、系统容量与处理能力等方面必须具有升级换代的可能，这 种扩充不仅能充分保护原有资源，而且具有较高的性能价格比； 可维护性：可维护性：系统具有良好的网络管理、网络监控、故障分析和 处理能力，使系统具有极高的可维护性； 安全性：安全性：必须具有高度的保密机制，灵活方便的权限设定和控 制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密 信息的泄露。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司6 3.23.2 设计思想设计思想 思科公司建议企业 wlan 采用集中管理架构下的“瘦 ap”无线 网络架构，以保证无线网络可管理性、安全性、qos、无缝漫游等功 能需求，尤其是方便未来的运维管理。 为满足企业网络的安全性，建议企业无线网络采用独立的有线 网络系统实现无线接入点的互联，同时本次无线网络在满足用户接 入安全认证、加密的同时，支持无线射频的安全防护功能。 3.33.3 设计依据设计依据 1)1)标准标准 ieee802.3uieee802.3u ethernetethernet (100base-t)(100base-t) 802.11a/b/g802.11a/b/g 工作于 2.4/5ghz2.4/5ghz ismism 开放频带 802.1d802.1d 解决不同国家的频率不统一的相通应用的问题 802.11f802.11f 规定了 iappiapp，解决不同 apap 之间的漫游 802.11h802.11h 控制发送功率，动态选择无线信道 802.11i802.11i 改善 wepwep 加密功能，升级到 aesaes 加密 802.1x802.1x 定义动态密钥加密部分，结合 radiusradius 服务器， 2)2)安装与设计规范安装与设计规范 工业企业通信设计规范 中国工程建设标谁化协会标准“建筑与建筑群综合布 线系统工程设计规范”修订本 cecs72cecs72：9797 中国工程建设标准化协会标准“建筑与建筑群综合布 线系统 工程施工及验收规范”cecs 89：97 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司7 4 4 思科统一无线网络解决方案体系架构思科统一无线网络解决方案体系架构 4.14.1 无线网络的挑战无线网络的挑战 过去，无线局域网都缺乏透视能力因为每个接入点都是一 个单独的节点，按照一个静态 rf 计划（通常为预测的 rf）中的信 道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近 的某个工作在相同信道的接入点的信号，但是自主接入点无法得知 相邻的接入点与其是否属于同一个网络或者是相邻网络。而且，因 为自主接入点是“节点式”的，所以很难扩展到大型、连续、协调 的无线局域网和添加高级应用。思科统一无线网络支持实时关键业 务应用，为部署 wlan 的机构创建了一个安全、移动、交互的工作场 所。所有 ap 均工作在同一 controller 群组(cluster)管理下，可在 全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制 可分级的一体化网络管理系统：有线、无线网络管理相结合， 集中与分布式管理相结合，为运营维护提供高效率和低成本。 表 1 列出了对于自主接入点部署方式的无线需求和解决方案。 在某些情况下，采用自主接入点的 wlan 的部署会对 wlan 带来很多 限制。 表 1 对于自主接入点部署方式的无线需求和解决方案 需要说明自主方式的解决方案 第二层快速安全漫 游 客户端在子网内部的无缝漫 游跨越不同的接入点和 虚拟 lan（vlan） 为支持漫游添加一个无线域 服务（wds）设备（接入点 或者交换机模块） 第三层快速安全漫 游 客户端在子网之间的无缝漫 游跨越不同的接入点和 自主接入点本身不支持。需 要为支持漫游采用一个集中 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司8 需要说明自主方式的解决方案 vlan式解决方案 升级成本部署额外管理功能和为接入 点安装新镜像所需的时间 部署一个集中的管理基站或 者使用管理脚本 入侵检测系统 （ids） 能够检测伪装接入点、攻击 和未经授权的访问 使用一个基于 wds 的 ids，或者添加一个覆盖式 wlan 解决方案 定位服务直观显示接收信号强度指示 （rssi）信息变化和 wi-fi 设备的位置 使用一个现场调查解决方案 或者一个覆盖式 wlan 动态 rf迅速地、动态地适应 rf 环 境 使用系统级应用设备，或者 一个简单网络管理协议 （snmp） ；rf 信息可供手 动检查或者措施使用 负载均衡自动在相邻接入点之间均衡 客户端负荷 每个接入点通报服务情况， 但是负载不是自动地在接入 点之间分布 访客联网能够为客户、供应商和合作 伙伴提供对 wlan 的受控 访问权限，同时保持网络的 安全性 为每个接入点部署专门的中 继 vlan，并在整个企业中 加以宣传 wlan 语音利用现有的无线基础设施提 供经济有效的、实时的语音 服务 部署基于接入点的呼叫准入 控制（cac） ；控制建立在 每个接入点的基础上，不能 协调多个接入点 管理经济有效的、简化的 wlan 管理和部署 为配置 wlan 管理和单独 配置每个接入点部署脚本或 者 snmp 解决方案 4.24.2 思科集中化无线网络解决方案思科集中化无线网络解决方案 使用自主接入点的第一代无线局域网是一种方便的网 络。从 wlan 首次面世以来，技术需求发生了很多变化。 现在，基本的网络连接已经不足以满足需要。企业需 要在他们的办公楼中提供无所不在的无线网络连接。 他们的 wlan 必须支持多种移动服务，例如语音、访客 接入、定位和增强的无线入侵防御系统（wips） ，同时 还应当提供简化的部署、管理和可扩展性。企业需要 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司9 突破了表 1 中所列多种限制的 wlan。 为了部署这些功能和消除这些限制，需要一个统一的 wlan一个集中式的，基于连接到无线局域网控制 器的轻型接入点的网络。因此，机构需要思科统一无 线网络。 可扩展性：可扩展性：wlanwlan 必须具备的特性必须具备的特性 人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚 出现的。事实上，蜂窝网络供应商已经在扩展无线网络方面克服了 很多挑战。最初，蜂窝无线网络是由多个提供基本连接的蜂窝信号 发射塔结合而成的。当时有很多管理塔间电话呼叫的协议，但是这 些协议并不可靠很多呼叫都会被丢弃。 蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解 决方案，以及一个部署高级服务的平台。因此，他们采用了一种名 为基站控制器的新型网络组件。 对于蜂窝网络而言，基站控制器可以协调一组无线电发射塔。 当蜂窝网络用户在不同发射塔的覆盖范围之间移动时，基站控制器 会对漫游切换进行协调。这可以提高蜂窝网络的稳定性，减少被丢 弃的呼叫。 蜂窝基站控制器的概念也可应用到 802.11 wlan 中。运营商不 是 管理多个独立的接入点，而是可以通过一个名为无线局域网控制器 的 集中式设备管理轻型接入点。 wlanwlan 集中化集中化 参照蜂窝网络的发展道路，思科系统公司率先提出了 wlan 集 中化的概念，并且为高级无线局域网服务提供了业界第一个统一平 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司10 台。统一后的架构，我们称之为思科统一无线网络的关键，是将数 据从轻型接入点经由网络发送到无线局域网控制器。 思科提供了很多支持无线局域网集中化的无线局域网控制器， 其中包括可以完全集成到网络之中的企业级独立无线局域网控制器 （例如 cisco 4400 系列无线局域网控制器和 cisco 2000 系列无线 局域网控制器），以及可以与有线网络结合的无线局域网控制器， 例如 cisco catalyst 6500 系列无线服务模块（wism）和用于集成 多业务路由器的思科无线局域网控制器模块（wlcm）。 开发一种新的无线局域网集中化协议开发一种新的无线局域网集中化协议 为了在轻型接入点和无线局域网控制器之间传输数据和实现通 信，需要一种新的协议。该协议需要满足下列要求： 便于部署该协议必须能够跨越子网边界，而不是仅仅将多个 vlan 连接到集中控制器。 部署安全将一个接入点加入网络并不意味着它应当具有完全 的网络访问权限。该协议需要提供一种对所有连接网络的接入点 进行身份验证的方法。 对接入点的实时控制在部署、认证接入点和将其连接到控制 器之后，该协议需要提供对接入点的实时控制，以便管理和部署 移动服务。 协议扩展能力该协议需要支持多种平台从大型以太网交 换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网 络组件。 传输扩展能力尽管网络通常运行在以太网的基础上，但是该 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司11 协议必须能够支持低速的 wan 连接，甚至无线网络（对于无线网 状网络等应用）。 为了满足这些对于开发新型通信协议的要求，思科考虑了很多方 案。通用路由封装（gre）协议是其中之一，但是 gre 不支持对 纯二层数据包的内部检测，而这是安全 wlan 所必须具备的功能。 snmp 也被列为考虑对象，因为该协议可以提供对接入点的命令 和控制功能，但是它很庞大，不太符合实际需要。 在考虑了其他协议之后，思科决定开发一种新的协议支持第二 层和第三层数据包信息的轻型接入点协议（lwapp）。 4.34.3 集中化协议集中化协议 lwapplwapp 简介简介 lwapplwapp 是什么？是什么？ lwapp 是一项由思科系统公司拟定的互联网工程任务小组 （ietf）标准草案，实现了轻型接入点和 wlan 系统（例如控制器、 交换机和路由器）之间的通信协议的标准化。它的目标包括： 减轻接入点中的处理量，让它们将计算资源集中用于无线接入， 而不是过滤和策略实施 为整个 wlan 系统进行集中的流量处理、验证、加密和策略实施 利用一个第二层基础设施或者 ip 路由网络，为多供应商接入点 互操作性提供一个通用封装和传输机制 lwapp 标准可以通过定义下列规范实现这些目标： 接入点设备发现、信息交换和配置 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司12 接入点认证和软件控制 数据包封装、分段和格式化 接入点和无线控制器之间的通信控制和管理 lwapplwapp 的工作原理的工作原理 lwapp 将轻型接入点的介质访问控制（mac）功能交由无线 局域网控制器和轻型接入点共同承担。对时间敏感的功能（例如 次原子握手和发送给接入点的信标）都在接入点进行管理。其他 对网络具有重要意义的功能（例如移动管理、身份验证、vlan 划分、rf 管理、无线 ids 和数据包转发）都在无线局域网控制 器进行管理。（如图 1 所示） 图图 1 1 分离的介质访问控制功能 安全策略 qos 策略 无线局域网控制器控制器 mac 功能 802.11 mac 管理：（重 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司13 rf 管理 移动管理 人力分配 分离 mac 远程 rf 接口 mac 层加密 lwapp 轻型接入点 新）关联请求和行为框 架 802.11 数据：封装和发 送到接入点 802.11e 资源预留：控制 协议在 802.11 管理帧中 发送到接入点信令在 控制器完成 802.11i 身份验证和密钥 交换 接入点 mac 功能 802.11：信号发射，探 测响应，身份验证（如 果启用） 802.11 控制：数据包确 认和传输（延迟） 802.11e：帧排序和数据 包优先级设置（访问 rf） 802.11i：接入点中的加 密 轻型接入点和无线局域网控制器之间存在多对一的关系单 个无线局域网控制器可以管理和操作大量的轻型接入点。另外，无 线局域网控制器可以在一个大型无线网络中协调和比较信息甚 至跨越 wan。就像卫星拥有广阔空间的完整视图一样，控制器也拥 有整个网络的整体视图。 一旦将这项协议作为标准，并准备好用于统一的平台，wlan 集中化 的真正优势将会变得显而易见。 4.44.4 集中化和统一集中化和统一 wlanwlan 的好处的好处 下面列出了 wlan 集中化和统一 wlan 所具有的很多好处。 4.4.14.4.1 便于部署便于部署 当在企业中部署自主接入点时，每个接入点都将单独进行配置。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司14 这种配置可以在每个接入点的基础上进行，也可以通过一个系统级 应用或者设备完成。在完成对自主接入点的配置之后，每个接入点 都将可以支持 vlan，以便划分不同的用户群组，为不同的用户和用 户群组区分不同的 lan 策略和服务（例如安全和服务质量qos）。 这些 vlan 可以扩展到网络的接入层。根据部署的规模和范围，vlan 可以在多台交换机中进行中继和扩展。 在向网络引入基于轻型接入点和无线局域网控制器的集中化时， 并不需要在接入层重新划分子网和设置 vlan 中继。相反，vlan 将 以中继方式连接到一个集中式无线局域网控制器，而控制器则将把 用户和 wlan 划分到 vlan 中。这可以简化 wlan 的部署和管理。 在使用集中化解决方案时，一个轻型接入点只需要找出无线局域网 控制器的 ip 地址当部署于第二层模式时。（在部署于一个远程 子网中时，接入点需要 ip 地址、子网掩码和缺省网关信息）。轻型 接入点还可以从一个标准的动态主机配置协议（dhcp）服务器接收 无线局域网控制器的 ip 地址。 在轻型接入点联系无线局域网控制器之后，控制器将会为轻型 接入点设定所有 rf 策略和无线局域网策略。因为所有来自接入点的 数据包都会被置入一个 lwapp 隧道，进而发送到无线局域网控制器， 所以不需要将特殊 vlan 扩展到各个接入点。 4.4.24.4.2 便于升级便于升级 较低的运营成本可以提高一个机构的投资效率。问题是：怎样实现 低成本的运营？ 集中化有助于简化升级集中化有助于简化升级 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司15 利用思科统一无线网络，所有轻型接入点映像都会被嵌入到控 制器映像之中。当控制器映像被升级时，它也会升级所有与其关联 的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者 创建一个特殊的任务。 思科统一无线网络的低成本接入点升级的另外一个好处是：轻 型接入点和控制器之间的互操作能力已经通过了思科的质量保障团 队的全面测试和认证。 4.4.34.4.3 通过动态通过动态 rfrf 管理建立可靠的连接管理建立可靠的连接 过去，使用自主接入点的无线网络通常利用一个静态 rf 计划进 行部署，而且每个接入点都以静态方式设置它们的信道和功率。这 个计划是根据 rf 预测制定的，即利用计算机对 rf 环境的模拟，结 合接入点的天线发射功率，估计接入点的覆盖范围。rf 预测的目标 是以最小的信道重叠，获得接入点的最优覆盖范围。但是，因为 rf 预测是在一个不考虑部署后 rf 环境实际发生情况的计算机上进行的， 所以它们只是对实际 rf 环境的估计。例如，在使用 rf 预测时，很 难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波 炉或者其他干扰源的共用信道干扰。 集中化可以提供动态集中化可以提供动态 rfrf 无线局域网控制器可以自动获知同一个网络中不同轻型接入点 之间的信号强度。控制器能利用这些信息，为网络创建一个动态优 化 rf 拓扑。无线局域网控制器可以用一种独特的方式提供动态 rf。 在一个支持思科 lwapp 的接入点启动时，它会立即搜寻网络中的无 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司16 线局域网控制器。在其找到一个无线局域网控制器之后，支持 lwapp 的接入点会发出加密的“neighbor”（邻居）消息。这些邻 居消息包括 mac 地址和任何相邻接入点的信号强度。在一个无线局 域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网 络中的相对空间状态。控制器随后会调节每个接入点的信道和信号 强度，以获得最佳的覆盖范围和网络容量。 如果网络中有一个无线局域网控制器集群（例如在单个网络中 部署多个控制器），那么会有一个控制器被选为缺省控制器，所有 控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器 会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给 网络中的每个接入点。 思科统一无线网络架构中内置的算法有助于确保网络不会“抖 动”，即发生没有必要的变化。这样做的结果是，建立起一个能够 实时地适应不断变化 4.4.44.4.4 通过用户负载均衡优化每个用户的性能通过用户负载均衡优化每个用户的性能 802.11 协议很难预测和保障用户的性能和吞吐。因为 802.11 为每个网络组件提供了相等的空间访问能力，所以每个客户端都可 以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖 区域时，它们可能会漫游到信号最强的接入点。同样，每个客户端 设备对 rf 介质的访问权限与它们所关联的接入点一样。因此，所有 客户端的 rf 吞吐都有可能降低所有客户端都可以关联到同一个 接入点。这通常被成为“会议室效应”。 负载均衡可以通过不断地优化用户关联关系，为每个客户端提 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司17 供最佳的，从而优化所有客户端的吞吐。这可以提高每个客户端的 吞吐，动态地均衡网络的客户端负载。 集中化有助于均衡用户负载集中化有助于均衡用户负载 思科无线局域网控制器和模块拥有一个网络整体视图。通过加 密的无线消息，这些控制器可以获知接入点之间的信号强度。另外， 当某个客户端探测接入点（这是 802.11 标准的一部分，即客户端寻 找任何广播它所寻找的 wlan 名称的接入点）时，控制器会收到来自 每个收到客户端探测信号的接入点所发出的信号。控制器随后将根 据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的 探测信号。例如，某个相邻接入点能够以较低的信号强度提供相同 的服务。控制器将根据接入点的信号强度（rssi），决定哪个接入 点应当响应客户端的探测信号。（如图 2 所示） 图图 2 2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号 4.4.54.4.5 访客联网访客联网 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司18 访客联网已经从一种奢侈的功能发展成为了一项业务必需的功 能。访客联网让机构可以在保证无线网络安全的同时，为客户、供 应商和合作伙伴提供对他们的 wlan 的受控访问权限。它让顾问和访 客可以迅速开展合作，加快业务速度。 今天，问题不再是一个机构是否应当提供访客联网功能，而是它 打算怎样提供该功能？如果使用自主接入点部署方式，管理员可以 通过将“访客”vlan 拓展到网络中，提供访客网络。这些 vlan 具 有不同于普通网络流量的安全策略。这些 vlan 可能会成为错误配置 的来源和潜在的安全漏洞。 集中化有助于简化访客联网集中化有助于简化访客联网 在思科统一无线网络中，每个无线局域网控制器都具有一个美 观的 web 门户，让机构可以根据自己的业务需要定制 wlan。例如， 网络管理人员可以将控制器放入 dmz，充当访客接口。当在网络中 部署一个访客无线局域网时，所有来自于访客 wlan 的流量都会以隧 道方式发送到访客控制器。与采用自主接入点的无线局域网不同， 使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层 vlan 架构进行任何改动。 4.4.64.4.6 第三层漫游第三层漫游 借助采用轻型接入点的思科统一无线网络，当第三层漫游被引 入网络时，管理员不需要将 vlan 拓展到网络中的所有接入点，就可 以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所 不同它们通过拓展 vlan 来实现漫游，因而会产生大范围的、不 便于扩展的广播域。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司19 通过像思科统一无线网络这样在不使用 vlan 的情况下实现第三层漫 游，可以简化网络，让网络可以方便地支持各种实时应用，例如基 于无线网络的语音和视频。 集中化有助于支持第三层漫游集中化有助于支持第三层漫游 利用思科统一无线网络，轻型接入点可以被部署到网络的标准 子网基础设施中，并获得一个隶属于它们所在子网的 ip 地址。所有 来自于无线客户端的流量都将被放置到一个通过底层网络发送到无 线局域网控制器的 lwapp 数据包中。客户端设备可以从一个连接到 控制器的子网获得它们的 ip 地址而不是它们所在的楼宇的子网。 底层子网基础设施对于客户端而言是透明的。控制器可以管理互相 之间的所有漫游和隧道通信，以确保不需要移动 ip 等协议。 4.4.74.4.7 嵌入式无线嵌入式无线 idsids 安全是网络管理人员的关注焦点，而无线安全则是安全人员最 关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者 无线网络中制造漏洞。通过在网络中采用一个无线 id 系统，可以为 网络添加一条额外的防线。无线局域网 ids 可以降低黑客或者恶意 用户访问关键网络资源的风险。 集中化有助于支持无线集中化有助于支持无线 idsids 思科轻型接入点和无线局域网控制器可以同时充当数据服务设 备和 ids 传感器。这可以通过 lwapp 独有的分离 mac 架构实现，即 有些功能由接入点承担，另外一些由控制器承担。lwapp 分离 mac 让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和 控制器拥有一个强大的攻击签名库，它可用于检测无线威胁包 括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司20 轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测 那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。另 外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有 x.509 证书，它们可以检测到伪装成网络中某个可靠接入点（充当 一个 honeypot*）的未经授权的接入点。 思科统一无线网络还可以利用其强大的隔离恶意功能，消除因 为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶 意接入点建立关联。 一种由网络管理员部署的，用于检测、制止未经授权的网络访 问的授权接入点。 4.4.84.4.8 定位服务定位服务 定位服务是下一代无线网络必须达到的一项要求。定位服务支 持同时跟踪 wlan 基础设施内部的数千个 wi-fi 设备。这些服务被用 于一些关键的应用，例如高价值资产跟踪、it 管理、安全和业务策 略的执行。其他应用包括： 基于无线局域网的 e911 和语音 客户端故障诊断和客户端位置与客户端连接问题的关联 资产跟踪和管理，以跟踪任何支持 802.11 的设备（包括配有 802.11 rfid 标签的资产） 基于位置的安全 无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司21 度，还可以从网络中的支持 lwapp 的接入点那里获得关于客户端信 号强度的信息。 思科无线局域网控制器会将收到的客户端信号强度信息转发到 思科无线控制系统（wcs）和思科无线定位设备，它们将根据楼宇材 料类型、多路径和反射等因素，进行高强度的 rf 指纹计算，确定 802.11 或者有源 rfid 设备的位置。这些信息将实时提供。lwapp 是 支持定位服务的控制和传输协议。 4.4.94.4.9 wlanwlan 语音语音 wlan 语音（vowlan）不仅可以提供 ip 语音（voip）的诸多好 处（例如收费旁路），还可以提供移动性。选择 vowlan 功能的管理 人员都希望通过用他们的 802.11 数据网络承担语音功能，降低或者 消除办公楼内移动电话使用成本。 集中化有助于支持高性能集中化有助于支持高性能 vowlanvowlan 对于自主解决方案而言，基于 802.11 的语音采用了与普通数据 流量相同的底层协议，并通过在接入点和一个语音终端之间运行 802.11e，提供了一些额外的功能。不幸的是，工作在相同信道的自 主接入点无法协调它们的呼叫准入控制（cac）功能。而且，所有能 够接收到工作在相同信道的其他设备信号的设备都会受到共用信道 干扰，而自主接入点并不能方便地解决这个问题。 利用思科统一无线网络，无线局域网控制器可以为网络提供可 预测的 cac。在这种统一网络中，控制器拥有网络中所有客户端的 整体视图，以及同一信道中所有接入点之间的总呼叫容量。这种功 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司22 能有助于确保当一个 vowlan 呼叫获准进入思科统一无线网络时，所 有接入点可以提供足够的语音容量。这样，可以为网络提供更加可 预测、更加可靠的语音性能。 4.4.104.4.10 降低总拥有成本降低总拥有成本 较低的总拥有成本（tco）让机构可以在不增加额外人手的情况 下部署解决方案，从而降低网络部署和维护所造成的负担。这有助 于改善机构的经营状况。对于自主接入点部署方式，时间主要被用 于安装和初始化接入点，重新设置接入点，以及升级接入点。 在一个包含 100 个接入点的自主接入点网络中，如果一年为每个自 主接入点花费 30 分钟，就相当于一年花费 3000 个人分钟，或者 50 个人小时。在五年的折旧期中，就有超过一个月的时间被用于 自主接入点的管理上不包括诊断客户端和其他网络组件问题所 用的时间。 图图 3 3 为配置每个接入点付出的人力成本预测 集中化有助于降低集中化有助于降低 tcotco 利用思科统一无线网络，用户不需要逐一配置 100 个网络组件， 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司23 而是只需要配置无线局域网控制器。控制器进而再配置网络中的所 有接入点。另外，管理员不需要升级网络中每个接入点的软件，而 是只需要升级无线局域网控制器的软件，这样所有轻型接入点都会 同时得到升级。因为无线局域网控制器能够搜索整个无线网络，所 以它可以协调信息和使用高级功能（例如定位），为诊断客户端连 接问题提供支持。这些功能可以降低大型无线网络的 tco，同时减 少诊断和管理网络所需的成本。 4.4.114.4.11 有线和无线整合有线和无线整合 有线和无线网络的集成对于实现统一的网络控制、可扩展性、 安全性和可靠性具有重要的意义。为了支持企业级的无线应用，必 须提供覆盖整个系统的无线局域网功能（例如安全策略、入侵防御、 rf 管理、qos 和移动性）。使用轻型接入点和无线局域网控制器的 wlan 可以方便地支持有线、无线局域网的整合，因为控制器功能可 以被集成到思科交换和路由平台之中。 整合可以保护投资和精简成本整合可以保护投资和精简成本 思科统一无线网络提供了一个统一、创新的端到端网络。它可 以提供有力的投资保护，为有线和无线网络确保一个安全、移动、 经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控 制器的统一网络基础设施，可以与集成到一系列思科交换、路由平 台中的独立或者模块化局域网控制器配合使用。 客户可以通过添加一个模块化无线局域网控制器（例如 cisco catalyst 6500 系列 wism 或者用于集成多业务路由器的思科 wlcm）， 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司24 大幅度降低 tco、减少支持成本，以及缩短计划内和计划外断网时 间。 思科统一无线网络还支持网络准入控制（nac）和思科兼容扩展客户 端设备。用于 wlan 的 nac 可以通过在 wlan 客户端试图进入网络时 执行设备安全策略，提供威胁防御功能。思科兼容扩展计划有助于 推动那些可以与思科 wlan 基础设施进行互操作，并利用思科创新提 高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。 4.4.124.4.12总结总结 思科统一无线网络可以降低部署、管理无线网络的复杂性；支 持多种高级服务，例如语音、定位和访客联网；并且有助于确保有 线、无线网络的运营成本的可管理性。网络集中和整合并不是新概 念它最初是由蜂窝网络运营商所提出的，进而被引入到了 802.11 网络之中。通过集中和整合，无线网络将能够扩展到大型企 业级部署，为用户提供可靠的连接和移动性。 5 5 长治移动公司统一无线网络建设方案长治移动公司统一无线网络建设方案 5.15.1 物理设计（部署）物理设计（部署） 在配线间内设置接入交换机，终端用户通过无线网卡与部署在 各楼层的 apap 建立连接， apap 通过双绞线沿已有的竖井连到配线间的 接入交换机。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司25 5.25.2 覆盖方式覆盖方式 室内覆盖规划原则： ap 的放置要遵循两个原则 ap 覆盖区域无间隙； ap 重叠区域最小。相邻 ap 工作在不同频道，以 1， 6，11 三个频道实现全方位的覆盖。 根据经验值，当相邻 ap 设定相同频点时, 要求间隔 25 米以 上；当相邻 ap 设定相邻频点时, 要求 ap 间隔 16 米以上；当 ap 设 定相隔频点时, 要求间隔 12 米以上。 根据我公司对贵公司楼层范围和 pc 客户端的数量的实际测量， 建议贵公司在一层部署一个 ap，在二层楼部署一个 ap，在三、四和 五层没层各部署三个 ap 即可实现全网覆盖，：每个 ap 的覆盖范围 是 25m（半径），底下接入的 pc 客户端为 27 个，一层楼属于空旷 地带，采用 1 个 ap 即可覆盖整个大厅，二层楼因为都是用玻璃隔板， 对传输的损耗小且二楼需要覆盖的范围比三四五层小，所以采用 2 个 ap 即可满足要求。三四五建筑的结构基本一样，但三四五层楼都 是水泥隔墙，对传输损耗比二楼大，覆盖范围比二楼大，所以采用 三个 ap 才能实现无盲区覆盖。具体 ap 数量如下图所示 楼层ap 数量 1 1 个 2 2 个 3 3 个 4 3 个 5 3 个 合计:12个 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司26 5.35.3 设计指标、原则及设计指标、原则及覆盖方式覆盖方式 设计原则：设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在全校 全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且， 保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考 虑网络扩容，为今后网络扩容做好预留。 设计指标：设计指标：各信号输出点信号强度 1015dbm；将按照 2.4g 工作 频段 2.4122.462ghz（fcc）分为 channel1、channel6、channel11 三个完全不干扰频段设计；目标 覆盖区域信号强度-80dbm。 1、一般来讲室内容许最大覆盖距离为 35100 米 室外容许最大距离 100400 米 2、障碍物阻挡 要观测无线覆盖周围的障碍物确定 ap 的数量和放置位置。 2.4g 电磁波对于各种建筑材质的穿透损耗的经验值如下： a. 水泥墙(1525cm): 衰减 1012db b. 木板墙(510cm): 衰减 56db c. 玻璃窗(35cm): 衰减 57db 3、各种建筑材料对无线讯号的影响如下： 当 ap 与终端隔一座水泥墙时,ap 的可传送覆盖距离约剩下 5 米有效距离。 当 ap 与终端中间隔一座木板墙时, ap 的传送距离约剩下 15 米有效距离。 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司27 当 ap 与终端中间隔一座玻璃墙时, ap 的传送距离约剩下 15 米 有效距离。 所以在安装选点时，一定要注意以避开墙、柱子等。 5.45.4 逻辑设计逻辑设计 5.4.15.4.1 ssidssid 和和 vlanvlan 在无线控制器上划分vlan的时候，采用1个vlan一个ssid号，来 进行对各个部门vlan的划分，不同的ssid，可以配置不同的安全策 略文件这样既便于管理，也便于以后的扩充。 5.4.25.4.2 地址和路由地址和路由 在 ap 上，地址获得可以采用两种方式，一中采用静态给它指定， 即给 ap 指定一个静态地址，即 vlan 的网关地址，然后在为每个 ap 建立一个地址池，来为每个 pc 客户端分发 ip 地址；另一种采用公 司的 dhcp 服务器动态的给它下发，首先 ap 静态给它指定 vlan 的网 关地址，在每个 vlan 中的 pc 客户端通过 ap 向 dhcp 申请 ip 地址。 所有这些通过在无线集中控制器上可以实现，此外还可实现 ip 地址 和 mac 地址的绑定，避免 pc 客户端私自改动 ip 地址，造成 pc 客户 端之间网络地址冲突，便于管理。还可以在其上实现无线漫游，这 样方便底下 pc 客户端随时随地都可以处在自己的 vlan 中，且不用 更改自己的配置。 如果需要两个 vlan 之间通信，可以通过在无线控制器上给两个 长治移动公司办公大楼无线解决方案 太原市同诚海盛科技有限公司28 vlan 设置静态路由或是动态路由，即可实现两个 vlan 之间的互相 通信。 5.4.35.4.3 用户认证用户认证 通过acs软件实现aaa认证即认证、授权、审计，aaa 服务支持 的安全协议有：tacacs+、radius、kerberos，我们可以使用radius 和tacacs+协议让思科ap和cisco secure acs 协同工作，通过与无 线控制器的配合，使贵公司的网络变的更加安全，更加易于管理。 6 6 解决方案的设计亮点解决方案的设计亮点 6.16.1ipip 地址和地址和 macmac 地址绑定地址绑定 在无线集中控制器上实现 ip 地址和 mac 地址的绑定，避免 pc 客户端私自改动 ip 地址，造成 pc 客户端之间网络地址冲突，导致 网络混乱的局面，增加网络管理的难度。 6.26.2 基于个人用户的运营管理基于个人用户的运营管理 管理一个具有规模的无线局域网（通常在十个ap以上）是一件 非常头痛的事情。从rf覆盖面，带宽，用户的认证，以及接入的安 全都要考虑。由于传统的无线局域网是单纯基于ap，因此对于无线 网络的管理，其大量工作是要在每个ap上进行设置和更改。其工作 量在有一定数量ap的无线网里是非常大和烦琐的，而且无线局域网 是一个整体系统