大楼无线网络解决方案.doc

一、新大楼无线解决方案原则新大楼无线是Cisco结构化无线网络解决方案，专门为XXX新大楼无线局域网络设计。根据具体需求和勘测情况，在此次网络建设的规划、设计和实施中遵循以下原则： 先进性和实用性并重系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 兼容性网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联，思科的无线局域网全部支持从交换机直接通过PoE供电，不必为AP另行配置电源插座。思科的无线局域网系统满足国际和国内的无线标准，市场占有率超过60%，思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备，如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。 无线辐射根据中国国家无线电管理委员会的规定，在办公室内部署无线网络信号辐射不得超过100mw，以避免2.4GHz和5GHz对人体的影响。同样的原因，在通常情况下，终端使用5mw左右的发射功率，以避免大功率长期辐射对人体的影响。无线接入点即AP执行IEEE802.11b标准工作在11Mbps到1Mbps之间，随着终端和AP之间的信号的强弱，AP和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，功率智能调节。 实时的射频自动监测无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰： 微波炉 其他大楼的无线系统 2.4GHz的无绳电话等因此思科的AP实时进行射频的监测，AP后台的控制器能够实时对AP进行控制，控制功率的大小，比如当1个AP实效以后，其他的AP通过自动计算对功率进行增加；出现信号的时候，控制器能够对信号干扰来源进行定位，确定何处的信号干扰，信号干扰的程度如何，并地图方式显示在网管上。传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存在。无线信号会扩散到物理围墙之外，从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题，必须采用正确的RF设计、发射功率控制和先进的定位技术。 自动负载均衡有线网络在本质上具有确定性第二层（以太网）和第三层（IP）交换机和路由器都是便于理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点，有数以百计的用户在移动使用网络。而在早上3点，办公室的大门紧锁，没有人在办公，而且附近的办公室和咖啡厅也不会产生RF干扰。更多的情况下，在同一时间，大家从各自的办公室汇聚到会议厅，特别是当人数比较多，超出了1个AP的承受范围，那么带宽会慢的无法工作；为了保障带宽，如果在AP设置了限制，那么后来的人员无法得到无线连接服务，因为在后台控制器的模式，可以对AP自动的负载均衡，将终端分别发送到不同的AP，自动计算和对终端的流量进行均衡，比如，当这个AP的利用率到了80%，那么控制器自动将用户引导到另外的空闲的相邻AP上面，而在我们的设计中，所有的AP部署已经考虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。 自动频道管理和跨IP域漫游无线局域网802.11b标准使用3个不重复的频道，1、6、11，为了实现自动漫游，需要对频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当AP布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。无线局域网的AP如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的DHCP得来的IP租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。 安全性无线网络支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的AP，恶意AP是未经授权的人员通过自己设置一个AP，吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议，能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。 终端定位配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现3-5米的定位，同时和门禁系统结合，对外来的临时人员进行RFID的定位，人员佩戴RFID标示的腰扣终端，可以将人员位置显示在网络管理界面的大楼地理图上。方便对无线终端的监控和管理。在网络管理系统上有针对ERP系统和安全管理系统的API，可以结合ERP和安全管理系统将定位信息集成到工作流程的管理中。 地理化图形管理界面网络管理界面全部图形化，能够输入新大楼的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。在AP上无需任何配置。二、新大楼无线解决方案的架构二1整体架构为了全面地满足企业的RF管理需求，思科设计了一个集中、简便的WLAN架构。它的核心组件是 “分离MAC”架构，即将对802.11数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中WLAN控制器（如图1所示）。更加特别的是，对时间敏感的活动例如信标处理、与客户端的握手、介质访问控制（MAC）层加密和RF监控都是由接入点处理的。所有其他活动都由WLAN控制器处理，它需要具备整个系统的可见度。这包括802.11管理协议、帧转换和桥接功能，以及对于用户移动、安全、QoS和可能更加重要的是实时RF管理的系统级策略。图1 典型的分离MAC架构 思科无线局域网控制器具备的实时RF管理对于思科轻型无线解决方案具有重要的意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、优化和治愈的环境，让思科WLAN适用于提供安全、可靠的业务应用。这是通过执行下列RRM功能实现的： 无线资源监控 动态信道分配 干扰检测和避免 动态发射功率控制 覆盖盲区检测和纠正 客户端和网络负载均衡无线资源监控RF网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅能够提供服务，还可以同时监控所有信道。这源自于思科在它的分离MAC架构中对802.11 MAC层所开展的、广泛的开发工作。除了提供服务以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g信道，以及在其他地区有效的信道。这可以提供最高限度的保护系统将发现可能从其他国家进口的恶意接入点，或者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客能够让恶意设备位于带外，从而躲过大部分WLAN入侵检测系统（IDS）的扫描。思科轻型接入点可以在不超过60ms的时间里进行“信道外”扫描，以监听这些信道。在此期间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接入点（无论服务集标识符SSID是否被广播）、恶意客户端、临时客户端和干扰接入点。在缺省情况下，每个接入点只用0.2%的时间进行信道外扫描。这项任务会在所有接入点之间进行统计分配，以确保相邻接入点不会同时进行扫描，对WLAN的性能造成不利的影响。这使得管理员可以通过每个接入点搜集到的信息，了解他们的WLAN的运行状况，将网络可见度提高到重叠式网络所无法提供的水平，解决为每三到五个接入点部署无线监视器这一做法可能出现的“隐藏节点”问题。注意：在必要情况下，思科轻型接入点可以被专门部署为无线监视器，但是成本因素和对更高网络可见度的要求通常会促使最终用户采用上述方式。动态信道分配802.11 MAC功能需要采用一种基于二进制指数退避的冲突避免机制，即带有冲突检测的载波侦听多路存取（CSMA/CA）。802.11 MAC层由一个四路交换协议定义：Request to Send (RTS) Clear to Send (CTS)Data ACK当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该基站发送它的数据。否则，基站将被告知等到其他正在使用介质的基站完成任务之后再发送数据。这可以防止两个客户端同时在同一个信道上发送数据，导致数据帧受损。在使用CSMA/CA时，同一个信道上的两个接入点（位于同一个区域）与两个不同信道上的两个接入点相比，将获得其一半的容量。这可能会导致问题。例如，某个在咖啡厅中查看电子邮件的用户可能会对相邻企业中的接入点的性能造成不利的影响。即使位于不同的网络之中，在信道1上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。思科无线局域网控制器可以通过动态分配接入点信道，避免冲突，从而解决这个问题和其他同频干扰问题。因为思科轻型解决方案通过它的RRM工具而具有覆盖整个企业的可见度，所以信道可以被“重复利用”，以避免浪费宝贵的RF资源。换句话说，信道1将会分配给一个远离该咖啡厅的接入点。相比之下，其他WLAN系统在这种情况下通常要求完全禁止使用信道1。因此，思科的解决方案更为有效。思科无线局域网控制器的动态信道分配功能还有助于最大限度地减小思科轻型WLAN解决方案中的相邻接入点之间的同频干扰。例如，在使用802.11a时，信道35和40不能同时使用54Mbps，具体取决于接入点和客户端的摆放位置。通过分配信道，思科无线局域网控制器可以隔离相同信道，从而避免这个问题（如图2所示）。图2 动态信道分配 33%效率 100%效率思科无线局域网控制器可以通过分析多种实时RF特性，有效地处理信道分配。这些特性包括：接入点接收能量这取决于网络的静态拓扑；这项功能可以让信道获得最高的网络容量。噪声这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。通过优化信道和避免噪声源，思科无线局域网控制器可以在优化网络覆盖范围的同时，保持系统容量不变。如果某个信道因为噪声过高而无法使用，该信道将会被避开。802.11干扰如果存在其他无线网络，思科无线局域网控制器将会改变信道的使用方式，以避免与其他网络的干扰。例如，如果一个网络使用的是信道6，另一个相邻WLAN将被分配信道1或者11。这可以通过限制频率重叠，提高网络容量。如果因为某个信道的使用量过高而导致没有可用容量，思科无线局域网控制器将会选择避开这个信道。利用率在启用这项功能时，容量计算将会考虑到某些接入点传输的流量多于其他接入点（例如一个休息室相对于一个工程区域）。因此，那些需要最多带宽的接入点将在信道分配方面获得更高的重视。客户端负载通过在调整信道结构时考虑客户端负载，可以最大限度地减少客户端对于WLAN的影响。思科无线局域网控制器会周期性地监控信道分配情况，搜寻“最佳的”分配方式。只有在可以显著提高网络性能，或者改进某个性能低下的接入点的性能时，才会进行调整。思科无线局域网控制器可以将RF特性信息与智能算法相结合，执行针对整个系统的决策。利用软决策机制，可以满足互相冲突的需求，为最大限度地减少网络干扰确保最佳的选择。最终结果是在一个三维空间中实现最佳的信道配置，而位于楼层上方和下方的接入点在总体WLAN配置中扮演着重要的角色。干扰检查和避免“干扰”的定义是任何不属于某个思科WLAN系统的802.11流量，包括恶意接入点、蓝牙设备或者相邻WLAN。思科轻型接入点一直在扫描所有信道，寻找主要的干扰源（如图3所示）。如果802.11干扰幅度超过了预定的阈值（缺省值为10%），一个消息就会被发送到思科无线控制系统（WCS）。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留在一个因为某个干扰接入点而无法使用的信道上好得多（考虑到利用率因素）。图3 动态信道分配机制对干扰的反应恶意设备管理员可以从思科WCS实时地查看RF环境的情况（如图4所示）。这有助于了解无线空间的运行状况，尤其是试图诊断WLAN故障时。图4 思科WCS无线统计信息视图动态发射功率控制正确的接入点发射功率设置对于保证WLAN的平稳运行具有重要的意义。这对于实现网络冗余也非常重要，有助于确保在接入点失去连接时进行实时的故障切换。思科无线局域网控制器可根据实时的WLAN情况动态地控制接入点的发射功率。在正常情况下，功率可以保持在较低的水平，以获得额外的容量和减少干扰。思科轻型解决方案将试图根据最佳实践经验，对接入点进行平衡，以确保它们在相邻接入点之间保持-65dbm的发射功率。如果检测到某个发生故障的接入点，周围接入点的功率将会自动提高，以填补覆盖范围受损所导致的漏洞。只允许对发射功率进行静态设置的WLAN解决方案在支持动态网络需求方面的能力极为有限。思科RRM算法采用了独特的设计，可以创建最佳的用户体验。例如，如果接入点的发射功率被调低为四级（一级最高，五级最低），而且用户的接收信号强度指示（RSSI）值降低到某个可以接受的阈值之下，接入点功率将会被提高，以便为客户端提供更好的体验。如果用户的RSSI值位于阈值之下，功率将决不会被调低。用户可以在思科WCS中，方便地查看各个功率等级和接入点相邻设备信息，如图5所示。图5 利用思科WCS监控功率等级覆盖盲区检测和纠正如果某个接入点上的客户端的RSSI等级较低，思科轻型接入点将会向思科WCS发出一个“覆盖盲区”警报。这表示存在一个覆盖信号持续较差的区域，其中没有可通信的漫游地点。管理员可以查找接入点的历史记录，了解这些警报是不是一种长期现象。长期现象意味着存在一个长期的覆盖盲区，而不是一个偶发性的问题。如果是的话，思科无线局域网控制器将会调节接入点的发射功率等级，纠正所检测到的盲区。否则，IT人员将可以借助准确的位置信息解决问题。客户端和网络负载均衡只有在客户端能够通过负载均衡，有效地利用容量的情况下，WLAN容量才具有实际意义。不幸的是，客户端并没有足够的智能来自行制定均衡决策，即使这可以带来更好的性能。例如，一个会议室中的所有用户可能都会与某个距离最近的接入点建立关联，而忽略某个距离较远、但是利用率较低的接入点。思科无线局域网控制器为所有接入点的客户端负载提供了一个集中视图。这可用于确定在哪里将新的客户端加入网络。另外，通过一定的设置，思科轻型无线解决方案可以主动地“驱使”现有客户端关联到新的接入点，以提高WLAN的性能。这样，容量可以更加平均地分配到整个无线网络之中。真正的实时解决方案思科解决方案思科WCS轻型接入点和无线局域网控制器可以提供实时的RF管理。其他WLAN供应商采用了不同的方法来解决RF频谱问题，但是它们缺乏思科的实时检测RF改动和对WLAN配置进行相应调整的能力。例如，有些WLAN解决方案通过让接入点监听最不活跃的信道来进行信道分配。这种方式导致了接入点只能制定适合某一时间段的信道选择决策，而且接入点经常处于除了1、6或者11以外的信道上。因为这可能产生干扰，因而不适用于大多数企业环境。另外一种策略是开发一个网络管理应用，让IT人员可以将接入点组合到一起，发送到同一个信道。在这个信道中，它们能够以不同的功率等级发送信标。结果经过分析，可以为WLAN信道分配创建一个原始拓扑。它将由管理员保存，并发送到接入点。这种方式的问题在于一个多层建筑物总是存在垂直和水平重叠区域。这些应用通常没有考虑这些因素，因而只能创建一个局部拓扑。另外，这些扫描对WLAN的运行具有破坏作用，所以应当在非工作时间进行不幸的是，办公楼在非工作时间通常都没有工作人员，大门紧锁，而且相邻的WLAN也不在工作，所以这时的RF状况也与平时大不相同。RF环境是动态的；IT人员不能只依赖于某个时刻的WLAN配置，尤其是非高峰期的WLAN配置。企业也很难依靠现场调查工具和预定的RF扫描来处理WLAN配置。即使是支持“一键式”WLAN分析和配置推送的工具也不具有足够的动态性能，无法满足实际无线流量的需要。它们还需要IT专家的亲自参与，使得他们无法适应大型企业无线网络的要求。实时RF管理应当模拟开放最短路径优先（OSPF）。OSPF可以利用路由参数，不断地监控网络的状态和对路由表进行必要的改动，以利用最佳的拓扑。利用内置的智能，可以仅在网络性能或者容量受到影响时才改动信道。将配置发送到一组接入点，但无法对系统性能和用户行为作出连续反馈的无线管理系统，类似于过去的静态路由。当将路由输入曾经准确的路由表时，因为网络一直在不断变化，所以路由表在将来某个时刻并不一定准确甚至它们的正确期仅为一天（或者一个小时）。上述阐述整个新大楼无线系统解决方案所能够实现的效果和具体的方法，能够在接入便利、安全、功能、运维、管理上满足集团新大楼的无线局域网络要求，整体上平衡这五个方面，后面介绍整体解决方案的各个部分：控制器、接入点、网络管理和定位服务4个部分。这四个部分配合终端和AAA服务器和Windows域AD服务器3个部分就构成了完整的能够实现上述目标的一个实施方案。简单来讲： 无线局域网解决方案部件功能： 控制器：控制所有的无线的运转过程 AP接入点：负责射频信号收发和射频扫描（定位和恶意AP扫描，收集信号，分析在控制器）。插上网线是对其唯一的手工操作。 网络管理WCS：图形界面管理，输入地理图和障碍信息，可以图示定位、射频信息，记录和审计，图示恶意AP，操作控制控制器的无线操作。一般和控制器一起部署，集团在新大楼的网管中心部署，可以在WCS上监控和操作整个无线局域网络系统，所有操作以WEB方式。 定位服务器：提供定位分析。 终端：兼容绝大多数厂商的终端设备，没有限制。 AAA服务器：提供集中认证，利用集团原有的ACS服务器就可以。 Windows AD服务器：可以连接AAA服务器，当控制器到AAA进行认证时，AAA查询AD得到认证结果并返回，达到利用AD集中认证的结果。可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的。在介绍完各个部分后，设计方案部分详细描述各个楼层的具体设计和布点，以及所需要用到的设备以及数量。二、2轻型接入点协议新大楼无线解决方案采用LWCPP协议，即翻译为轻型接入点协议，WLAN领域的趋势是向集中智能和集中控制发展。使用一个WLAN控制器系统来为大量轻型接入点创建和执行策略。通过集中这些设备的智能特性，整个无线企业中对WLAN运营至关重要的安全性、移动性、服务质量 (QoS)和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能，IT人员能简化管理、提高性能并使大型无线网络更为安全。图6.轻型WLAN系统集中提供用于企业级RF管理和策略控制的智能随着更多供应商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管理轻型接入点如何与WLAN系统通信的标准化协议。这也正是互联网工程任务小组（IETF）最新规范草案，即轻型接入点协议（LWAPP）的作用所在。凭借LWAPP，能部署功能最多、具更高灵活性的大型多供应商无线网络。为什么要部署轻型接入点？传统的WLAN解决方案将所有的流量处理、RF控制、安全和移动功能分散到各接入点提供。但这种架构只允许单个接入点浏览802.11流量。这意味着： 当未配备管理设备时，必须分别管理各接入点，从而提高运营成本和增加对人员的要求 无法查看系统中的网络级攻击和干扰 在第一层、第二层和第三层中只有一个安全策略实施点 无法发现和抵御针对整个WLAN的拒绝服务(DoS)攻击 系统不能关联或预测企业中的活动 实现优化、实时的负载均衡的能力有限 客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的 如果一个接入点被偷窃或破坏，就会带来内部安全风险图7. 对等WLAN架构限制了性能、可管理性和安全性的提高大量设备供应商已纷纷采取措施，来消除对等WLAN架构的局限性（图7）。其中许多供应商宣布采用新架构，集中部署WLAN智能，以实现更高性能和效率。标准化需求随着越来越多的产品使用带集中WLAN智能的轻型接入点，市场需要一个管理这些设备相互间如何通信的业界标准。LWAPP是IETF工作小组为解决此问题而制订的标准化草案。LWAPP最初由Airespace (2005年3月被思科系统公司收购) 和NTT DoCoMo制订，是接入点和WLAN系统（控制器，交换机，路由器等）之间的标准化通信协议。其制订目标如IETF规范所述，旨在： 降低接入点中的处理负担，使这些设备中有限的计算资源可主要用于提供无线接入功能，而非用于过滤及策略实施 实现能对整个WLAN系统集中进行流量处理、验证、加密和策略实施（QoS，安全等）的机制 通过第二层基础设施或IP路由网络，提供一个通用封装和传输机制，用于实现多供应商接入点互操作性LWAPP规范通过定义以下类型的活动，解决了这些问题： 接入点设备发现、信息交换和配置 接入点认证和软件控制 分组封装、分段和格式化 在接入点和无线系统设备间进行通信控制和管理LWAPP的广泛采用使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，因此他们不再需要根据哪些设备能配合工作而作出购买决策，而是可根据各接入点和无线系统设备的具体功能制订决策。LWAPP在市场中得到广泛接受，减少了被迫锁定于一个供应商，即只有将接入点与同一供应商的WLAN系统设备共用，才能获得最优运行效果的现象。LWAPP还提供了一个开放标准解决方案，可在多供应商集中WLAN架构上提供安全的第二层和第三层网络服务。此外，凭借LWAPP，第三方供应商也可拥有一个用于部署应用的通用架构。运行LWAPP当LWAPP于2002年首次进入WLAN行业时，它通过“分离MAC”概念使管理WLAN部署的方式发生了革命性的改变，“分离MAC”可将802.11协议的实时功能和其大多数的管理功能分离（图8）。 具体来说，实时帧交换和MAC管理的某些实时部分在接入点中完成，而验证、安全管理和移动功能由WLAN控制器处理。采用了LWAPP的思科集中WLAN解决方案，是第一个使用分离MAC的集中WLAN系统。图8. “分离MAC”LWAPP协议与思科智能RF管理功能的结合可使客户在很多方面获益：管理 动态的系统级RF管理，包括一系列可实现平稳无线运营的特性，如动态信道分配、传输功率控制和负载均衡。 单一图形化企业级策略界面，包括VLAN、安全和QoS。安全 企业级安全策略包括从无线层到MAC层、再到网络层的无线网络的所有层次。这样即可更方便地提供统一实施的安全和QoS功能，或用户策略，来满足手持扫描仪、PDA或笔记本电脑等不同设备类型的特定功能。 发现和抵御DoS攻击，以及检测和拒绝恶意接入点。这些功能运行于整个思科轻型无线局域网解决方案之上。移动 类似于手机的快速切换。 对WLAN语音等实时移动应用提供出色支持。LWAPP是关键业务型无线网络的重要构建块。它也是构建大规模混合WLAN的基础。通过为RF互联网提供一种标准化方式，LWAPP可保护公司的WLAN投资，简化RF管理，并优化用于各种规模的WLAN部署的无线网络。二、3无线局域网控制器思科无线局域网控制器适用于企业无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1000系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议（LWAPP），与Cisco 1000系列轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信（图2）。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营。Cisco 4400系列无线局域网控制器图9. 集中型无线局域网思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统，创建和实施策略。多个WLAN控制器可自动相互发现，并在它们之间无缝协调WLAN服务。以这种方式，思科无线局域网控制器可作为单一无缝系统运行，提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建安全的企业级无线网络。如何部署无线局域网控制器思科系统公司提供了几种无线局域网控制器，适用于不同的企业部署情况。这其中包括Cisco 2000系列、4100系列和4400系列。Cisco 2000系列为中小型企业环境提供了思科屡获大奖的无线局域网服务。它可支持多达6个轻型接入点，是用于小型楼宇的经济有效的解决方案。凭借集成动态主机控制协议(DHCP)服务和自动接入点配置，Cisco 2000系列也适用于现场IT支持有限的环境，如分散型企业中的分支机构。Cisco 4100系列无线局域网控制器适用于中型机构。它有三种配置4112、4124和4136，它们分别最多可支持12、24和36个接入点。Cisco 4100系列提供了单一千兆以太网上行链路，和一条热待机链路，可提供高速局域网连接和网络可靠性。Cisco 4400系列无线局域网控制器适用于大中型机构，有两个型号带2个千兆以太网端口，其配置可支持12、25和50个接入点的4402，以及带4个千兆以太网端口，支持100个接入点的4404。4402具有1个扩展插槽，4404具有2个扩展插槽，可用于在将来添加增强功能，如VPN终结等。此外，每个4400 WLAN控制器均支持一个可选冗余电源，以确保最高可靠性。无线局域网控制器的智能RF管理所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式，为无线网络创建最优拓扑。图10. 覆盖整个企业的RF智能思科无线局域网控制器所管理的特定智能RF功能包括： 动态信道分配802.11信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。 干扰检测和避免该系统可检测干扰并重新调整网络，以避免性能问题。 负载均衡此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，也能获得最优网络性能。 覆盖盲区检测和修复无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。 动态功率控制该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可靠性。无线局域网控制器实现严格的安全性思科无线局域网控制器符合最严格的安全标准，包括： 802.11i Wi-Fi WPA2，WPA和有线等效加密(WEP) 802.1X，带多种可扩展验证协议(EAP)类型受保护EAP (PEAP)，带传输层安全的EAP(EAP-TLS)，带隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN终结4100系列的可选模块，提供IP安全(IPSec)和第二层隧道协议(L2TP) VPN终结因此，它堪称业界最全面的无线局域网安全解决方案。在思科无线局域网架构中，接入点可作为无线监控器，向无线局域网控制器通报有关无线域的实时信息。经由思科WCS，可进行准确分析并采取校正措施，从而迅速识别所有安全威胁，并将其提交给网络管理员。思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护，无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署，再在稍后重新配置，添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”， 抑制未授权无线活动，直至他们作好部署无线局域网服务的准备为止。思科通过提供以下多个保护层来实现无线局域网安全：RF安全检测和避免802.11干扰和消除不必要的RF传播无线局域网入侵防御和定位思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁，而且能对这些设备定位。这使系统管理员能快速评估威胁级别，立即按需采取措施来抵御威胁。基于身份的联网IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。这其中包括： 第二层安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP 第三层（和更高层次）的安全功能IPSec, web验证 VLAN分配 访问控制列表（ACL）IP限制，协议类型，端口和差分服务代码点(DSCP)数值 QoS多个服务级别，带宽减少，流量整形和RF利用 验证、授权和记帐(AAA)/RADIUS用户连接策略和权限管理网络准入控制(NAC)实施客户端配置和行为策略，以确保只有拥有适当安全工具的终端用户设备才能访问网络。安全移动在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN，无需重新建立安全隧道。此外，思科已开发了主动密钥缓存(PKC)，这是802.11i标准的扩展、802.11r标准的前身，可通过AES加密和RADIUS验证实现安全漫游。访客隧道为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙，就无法接入公司网络。图11. 多层无线局域网保护无线局域网控制器支持实时应用思科无线局域网系统提供最佳性能来支持语音等实时应用。思科无线局域网控制器可迅速在接入点和多个控制器间切换，在不干扰客户端服务的情况下平稳移动。智能的队列和争用管理机制可高效管理无线频谱空间。此外，思科无线局域网控制器在使用802.11i安全时，支持PKC，可提供实时性能和移动性。思科也支持兼容Wi-Fi多媒体(WMM)、基本符合新兴IEEE 802.11e标准的QoS功能。一旦最终标准得到批准，通过一次软件升级，即可完全符合最终标准。无线局域网控制器支持移动性思科无线局域网控制器使用户可在接入点、交换机，甚或路由子网间漫游。无论用户漫游到何处，安全和QoS上下文信息都一直跟随着用户，以确保移动不会影响性能、可靠性或保密性。思科无线局域网控制器无需对现有基础设施或客户端设备作任何修改，即可实现移动性。因此，思科无线局域网系统易于部署，其拥有和运营均经济高效。无线局域网控制器为企业提供可靠性思科为关键任务型无线网络提供了最高水平的可靠性。在接入点发生故障时，无线局域网控制器可自动调整邻近接入点的功率，以覆盖故障接入点原来提供服务的区域。在单个控制器发生故障时，接入点可自动找到一个备用无线局域网控制器，来继续提供无线服务。思科无线局域网控制器能以N+1冗余拓扑部署，使企业在扩展其无线网络的同时，确信他们不会发生硬件和软件问题。只有思科无线局域网解决方案能使用户不必降低可靠性，即能控制无线部署的成本。Cisco 4400系列支持冗余电源，确保即使发生了电源故障，也可保持系统运行。无线局域网控制器特性和优点表1.思科无线局域网控制器的特性和优点特性优点企业可扩展性可扩展架构为各种规模的地点提供了关键业务型无线服务。集成无线资源管理(RRM)创建了一个智能RF控制平面，可实现自配置、自治愈和自优化。零配置部署无需修改现有路由和交换基础设施，也无需配置接入点，即可部署系统。多层安全灵活的安全策略可根据不断变化的公司安全需求而调整。入侵检测、定位和抑制集成无线入侵保护可保持无线网络和敏感公司信息的完整性。移动管理无需特殊客户端软件的子网间漫游，使设备管理极为方便；不对核心路由基础设施作任何修改，使漫游简单易行。企业可靠性可从轻型接入点和无线局域网控制器故障中自动恢复，实现了无线网络的最高可靠性。直观的管理界面更好地了解和控制无线空间，可降低运营成本。二、4轻型接入点Cisco Aironet 1000系列轻型接入点提供了业界领先的RF功能和范围最广泛的部署选项，可以最大限度地提高无线局域网的性能、安全性、可靠性和易用性。这使得思科无线局域网解决方案可以适用于任何企业环境。图12 Cisco Aironet 1000系列轻型接入点Cisco Aironet 1000系列轻型接入点为与思科无线控制器和无线控制系统管理工具配合使用进行了专门的设计。它们可以提供对802.11a、802.11b和802.11g的双频支持，并且能够通过同步无线监控实现动态、实时的RF管理。另外，Cisco Aironet 1100系列轻型接入点还可以处理一些对时间敏感的功能，例如第二层加密。该功能让思科无线局域网可以安全地支持语音、视频和数据应用（如图13所示）。图13 覆盖整个企业的RF智能Cisco Aironet 1000系列轻型接入点将同时数据转发和无线监控功能结合到了一起，使得用户不需要再使用额外的监控节点，从而降低了无线网络的运营成本。这将实时监控拓展到了无线基础设施的每个角落，简化了网络设计和部署，并且最大限度地提高了RF安全性（如图14所示）。图14 集成化无线监控和数据服务灵活的部署选项Cisco Aironet 1000系列轻型接入点配备了内部2.4GHz和5GHz射频收发装置和扇形天线，其中的1020和1030型号可以通过RP-TNC接头来连接可选的外部天线。这些多模802.11a/b/g接入点可以提供最大限度的部署灵活性和投资保护。另外，所有型号都通过了UL 2043认证，支持几乎所有的楼宇部署场合，例如安装在高压空间中。这些设备支持IEEE 802.3af以太网供电（PoE）和自动MDI/MDIX，可以提供基于标准的“无线”服务质量（QoS），从而实现更高的部署灵活性。利用轻型接入点协议（LWAPP），思科轻型接入点可以自动地发现最适用的思科无线局域网控制器，并在不需手动操作的情况下直接下载相关的策略和配置信息。Cisco Aironet 1000系列包括三款接入点，它们都配有2.4和5GHz射频收发装置，支持802.11a、802.11b和802.11g。它们全都能够与思科无线局域网控制器和无线控制系统管理工具进行互操作。每款产品都针对不同的应用场合进行了专门的优化：AP1010配有两个集成化扇形天线。它适用于办公室和类似环境，可以提供方便的部署和可预测的覆盖模式。AP1020配有集成化扇形天线和一个用于连接外部天线的RP-TNC接头。通过选择不同款式的思科天线，客户可以获得各种各样的覆盖形式和范围。AP1020针对更具挑战性的RF环境而设计，可以提供很高的安装灵活性。AP1030配有集成化扇形天线和一个用于连接外部天线的RP-TNC接头，以及一组针对特定应用设计的扩展软件功能。远程边缘接入点（REAP）功能让AP1030可以从无线局域网控制器进行远程部署，从而适用于分支机构和小型零售地点。AP1030可以提供与AP1010和1020相同的LAN安全性、性能和RF管理功能，并且可以支持大部分标准的WAN技术，包括T1、帧中继、ATM、DSL、ISDN和交换56k。这些功能让IT经理可以集中控制SSID、安全参数和软件负载，提供统一的、覆盖整个企业的无线局域网服务。无线回程功能适用于需要将接入点部署于一个无法或者难以接入以太网的位置的应用。利用AP1030，客户可以将任何一个内部射频设置为无线上行链路，并通过一个有线上行链路直接与传统（根）接入点建立关联。无线回程功能适用于工厂、仓库、飞机、可控制飞行器和相对规模较小的室外部署等应用。支持点对点和点对多点桥接功能。通过这种应用，每个Cisco 1030接入点的以太网接口被插入到一个有线网络之中，同时2.4或者5GHz RF接口通过无线方式将该网络关联和加入到同一个管理域。利用最远可达1英里（1.6公里）的可选外部天线，AP1030为连接永久性的和临时性的园区设施提供了一种替代有线网络和T-1线路的廉宜方案。应用Cisco Aironet 1000系列轻型接入点为需要覆盖灵活性的企业环境和部署进行了专门的设计，提供了多种天线、覆盖范围和安装选项。例如，一个大学校园可以利用Cisco 1010轻型接入点，在教室中建立无线局域网。对于礼堂和公共场所，Cisco 1020轻型接入点可以采用增益较高的外置天线，以扩大覆盖范围或者提供特殊的覆盖模式。在需要多个接入点的大型企业无线局域网部署中，IT人员可以轻松地对Cisco Aironet 1000系列轻型接入点进行软件升级。软件改动会从思科无线局域网控制器自动地发送到所有接入点，从而提供平稳、经济的升级，确保在不对接入点进行手动干预的情况下支持新的无线标准。这项功能还可以确保整个网络的互操作性软件会自动地在整个思科无线局域网系统中保持统一。特性和优点表2列出了Cisco Aironet 1000系列轻型接入点的特性和优点。表2 Cisco Aironet 1000系列轻型接入点的特性和优点特性优点基于标准的LWAPP有助于确保轻型接入点和无线局域网控制器之间的通信可以满足未来需要的WLAN投资自动配置和管理降低部署无线网络所需的成本和时间大幅度简化日常运营同时提供无线监控和数据服务最大限度地降低设备需求简化网络设计通过对整个网络进行全面的实时监控加强安全性内部和外部天线选项提供灵活的部署和重新部署选项安全支持现有的和预定的安全策略入侵防御有助于确保某个相邻企业或者恶意用户不能闯入无线网络发现和控制恶意接入点QoS提供对无线空间的有效资源管理总结Cisco Aironet 1000系列轻型接入点适用于企业部署。通过兼具802.11a和802.11b/g功能的射频收发装置和内部集成天线，这个系列可以为用户提供足够的灵活性，帮助他们满足最严格的应用的性能要求。同时，它们的安全和管理功能为实现可互操作的IEE 802.11i安全和方便的部署提供了全面的支持。Cisco 1010为简化部署提供了集成化天线。Cisco 1020配有RP-TNC天线接头，可以利用多种可选的外部天线支持扩大的范围。Cisco 1030为将多个远程地点或者远程办公室连接到集中的WLAN控制器提供了一个理想的解决方案。对于企业环境而言，Cisco Aironet 1000系列轻型接入点为建立安全、可扩展、企业级的无线局域网提供了一个业界领先的接入点解决方案。二、5网络管理WCS思科无线控制系统(WCS)思科无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础，使IT管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有成本。图15. 思科无线控制系统(WCS)凭借思科WCS，网络管理员可拥有单一解决方案，来进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。思科WCS运行在服务器平台上，有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性，而这些控制器可管理数千思科轻型接入点。无线局域网控制器可位于思科WCS所在的LAN中、分布于多个独立路由子网或位于广域连接之上。籍此，思科WCS甚至可为最大的企业环境提供理想的无线局域网管理平台。思科WCS在整个无线网络中支持以下功能：无线局域网规划和设计思科WCS提供了集成化RF预测工具，它们可用于创建详细的无线局域网设计，包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地面布局输入思科WCS，并确定楼宇中各组件的RF特性，以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为，以便更方便地进行规划和更快地实施部署（图16）。图16. 规划工具网络监控和排障思科WCS提供的工具可帮助IT管理员查看其无线网络的布局，并持续监控WLAN性能。这其中包括详细的热点图，显示了所输入的地面之上的RF覆盖范围。WCS还提供了一个门户，用户可通过它获得思科WLAN控制器所提供的实时RF管理功能，包括信道分配和AP输出功率设置。此外，WCS可快速查看覆盖盲区、报警和关键的使用统计数据，实现了方便的WLAN监控和排障（图17）。图17. 查看RF覆盖范围位置跟踪思科提供了各种选项，来有效地跟踪无线设备，包括支持Wi-Fi的笔记本电脑、PDA、手机和配备了802.11收发器的移动设备。WCS的基本版本可确定一台无线设备与哪个接入点相关联，使IT管理员大致了解无线设备的位置。需更精确的定位服务的环境可部署WCS的一个可选版本，称为定位型WCS，它采