集团无线网络改造项目方案建议书

1、 集团无线网络改造项目方案建议书目录 TOC o 1-3 h z u HYPERLINK l _Toc47281766 第1章、 项目概述 PAGEREF _Toc47281766 h 3 HYPERLINK l _Toc47281767 1.1、 项目背景与挑战 PAGEREF _Toc47281767 h 3 HYPERLINK l _Toc47281768 1.2、 建设目标 PAGEREF _Toc47281768 h 5 HYPERLINK l _Toc47281769 1.3、 建设任务 PAGEREF _Toc47281769 h 5 HYPERLINK l _Toc472817

2、70 第2章、 集团园区需求分析 PAGEREF _Toc47281770 h 6 HYPERLINK l _Toc47281771 2.1、 网络覆盖规模 PAGEREF _Toc47281771 h 6 HYPERLINK l _Toc47281772 2.2、 技术先进、高性能 PAGEREF _Toc47281772 h 6 HYPERLINK l _Toc47281773 2.3、 高质量覆盖 PAGEREF _Toc47281773 h 7 HYPERLINK l _Toc47281774 2.4、 有线、无线认证融合 PAGEREF _Toc47281774 h 7 HYPERL

3、INK l _Toc47281775 2.5、 智能无线集中部署、管理 PAGEREF _Toc47281775 h 7 HYPERLINK l _Toc47281776 2.6、 无线网络高安全、高可用 PAGEREF _Toc47281776 h 8 HYPERLINK l _Toc47281777 2.7、 多业务支持 PAGEREF _Toc47281777 h 8 HYPERLINK l _Toc47281778 2.8、 灵活部署、易于扩展、高性价比 PAGEREF _Toc47281778 h 8 HYPERLINK l _Toc47281779 第3章、 建设原则 PAGERE

4、F _Toc47281779 h 9 HYPERLINK l _Toc47281780 3.1、 实用性 PAGEREF _Toc47281780 h 9 HYPERLINK l _Toc47281781 3.2、 先进性 PAGEREF _Toc47281781 h 9 HYPERLINK l _Toc47281782 3.3、 可靠性 PAGEREF _Toc47281782 h 9 HYPERLINK l _Toc47281783 3.4、 开放性 PAGEREF _Toc47281783 h 9 HYPERLINK l _Toc47281784 3.5、 可扩充性 PAGEREF _T

5、oc47281784 h 9 HYPERLINK l _Toc47281785 3.6、 可维护性 PAGEREF _Toc47281785 h 10 HYPERLINK l _Toc47281786 3.7、 安全性 PAGEREF _Toc47281786 h 10 HYPERLINK l _Toc47281787 3.8、 兼容性 PAGEREF _Toc47281787 h 10 HYPERLINK l _Toc47281788 第4章、 总体网络规划 PAGEREF _Toc47281788 h 10 HYPERLINK l _Toc47281789 4.1、 总体系统设计概述 PA

6、GEREF _Toc47281789 h 10 HYPERLINK l _Toc47281790 4.2、 方案总体特点 PAGEREF _Toc47281790 h 13 HYPERLINK l _Toc47281791 4.3、 系统设计 PAGEREF _Toc47281791 h 14 HYPERLINK l _Toc47281792 4.3.1、 WLAN系统规划考虑因素 PAGEREF _Toc47281792 h 14 HYPERLINK l _Toc47281793 4.3.2、 WLAN业务系统部署要求 PAGEREF _Toc47281793 h 16 HYPERLINK

7、l _Toc47281794 4.3.3、 完善的多媒体QoS机制 PAGEREF _Toc47281794 h 17 HYPERLINK l _Toc47281795 4.3.4、 无线网络系统的话音应用设计（VoWLAN） PAGEREF _Toc47281795 h 18 HYPERLINK l _Toc47281796 4.3.5、 良好的互通性 PAGEREF _Toc47281796 h 19 HYPERLINK l _Toc47281797 4.3.6、 基于无线系统的节电功能 PAGEREF _Toc47281797 h 21 HYPERLINK l _Toc47281798

8、4.3.7、 无线安全性 PAGEREF _Toc47281798 h 21 HYPERLINK l _Toc47281799 4.3.8、 WLAN的安全快速漫游 PAGEREF _Toc47281799 h 22 HYPERLINK l _Toc47281800 4.3.9、 WLAN系统的选型建议 PAGEREF _Toc47281800 h 22 HYPERLINK l _Toc47281801 4.3.10、 无线控制器的部署设计 PAGEREF _Toc47281801 h 25 HYPERLINK l _Toc47281802 4.3.11、 网络安全规划 PAGEREF _To

9、c47281802 h 26 HYPERLINK l _Toc47281803 4.3.12、 不同的认证方式 PAGEREF _Toc47281803 h 28 HYPERLINK l _Toc47281804 4.3.13、 用户的认证和加密 PAGEREF _Toc47281804 h 28 HYPERLINK l _Toc47281805 4.3.14、 无线接入点的接入认证 PAGEREF _Toc47281805 h 31 HYPERLINK l _Toc47281806 4.3.15、 无线控制帧的安全管理（MFP） PAGEREF _Toc47281806 h 32 HYPER

10、LINK l _Toc47281807 4.4、 无线网络特点详述 PAGEREF _Toc47281807 h 33 HYPERLINK l _Toc47281808 4.4.1、 实时的射频自动监测（CleanAir) PAGEREF _Toc47281808 h 33 HYPERLINK l _Toc47281809 4.4.2、 ClientLink技术更好地保证802.11a/g终端的高速稳定链接 PAGEREF _Toc47281809 h 37 HYPERLINK l _Toc47281810 4.4.3、 VideoStream技术更好保证高质量组播视频应用 PAGEREF _

11、Toc47281810 h 40 HYPERLINK l _Toc47281811 4.4.4、 BandSelect技术将双频用户自动引导到干扰更小的5G频段 PAGEREF _Toc47281811 h 41 HYPERLINK l _Toc47281812 4.4.5、 可信任无线网络架构 PAGEREF _Toc47281812 h 43 HYPERLINK l _Toc47281813 4.4.6、 无线网络基于访客管理 PAGEREF _Toc47281813 h 46 HYPERLINK l _Toc47281814 4.4.7、 无线网络身份认证系统功能特性 PAGEREF _

12、Toc47281814 h 47 HYPERLINK l _Toc47281815 4.4.8、 无线网络应用可视化 PAGEREF _Toc47281815 h 48 HYPERLINK l _Toc47281816 4.4.9、 帮助您简化网管理 PAGEREF _Toc47281816 h 48 HYPERLINK l _Toc47281817 第5章、 网络设备清单 PAGEREF _Toc47281817 h 49 HYPERLINK l _Toc47281818 5.1、 沈阳、大连园区无线地勘分布 PAGEREF _Toc47281818 h 49 HYPERLINK l _To

13、c47281819 5.2、 沈阳园区无线设备方案 PAGEREF _Toc47281819 h 55 HYPERLINK l _Toc47281820 5.3、 大连园区无线设备方案 PAGEREF _Toc47281820 h 56项目概述项目背景与挑战 集团计划2015年对集团无线网络系统进行统一的规划和升级改造，包括沈阳、大连两个园区会议室、会议中心、行政楼等公共区域的无线改造；新园区数字医疗及大连会馆的无线网络系统建设。拟采购无线网络设备（无线控制器、无线AP及安装配件、POE交换机、无线认证及管理系统等组件，包括设备安装、调试、培训等），实现无线统一接入、认证、审计、管理，规范集团

14、无线使用，提供安全、便捷的无线认证和接入方式，构建先进、高效、稳定可靠的无线网络系统。 随着网络技术的不断发展，网络的访问和接入方式呈现多样化的趋势，包括无线、有线以及远程接入VPN等方式，得到了越来越多的应用。在网络中，访问网络的终端设备种类越来越多，从传统的PC机，到IP话机，IP摄像头，打印机、传真机，尤其是随着移动终端设备，如各种智能手机，功能和性能不断提升，已经从原来的从可有可无，演变成为移动办公的重要工具，而且很多都是使用员工自带设备BYOD做办公使用。此外，随着企业开始重视自身的敏感数据和信息的安全性，严格控制对敏感信息和重要数据的访问权限，对网络的使用者，包括公司员工、合作伙伴

15、或者临时访客，都需要依据其身份进行访问权限的分配。从上图可以看出，如今的网络比以往任何时候都更加多样化，体现在以下几个方面：网络接入方式的多样化接入设备类型的多样化访问人员身份的多样化随着网络访问方式的多样化和终端设备的多样化，出现安全漏洞和新的运营挑战的可能性也在增加，主要包括以下几个方面：用户的授权访问如何对网络访问进行权限控制如何管理由于BYOD等智能终端接入网络带来的风险如何为在办公室、家里或外面等不同地点进行不同的访问授权如何保证网络接入设备本身符合安全要求访客的访问如何限定访客的访问权限如何管理访客的网络接入访客的网络接入方式是有线还是无线如何对访客的访问进行监控无人终端的访问如何

16、发现和识别无人值守终端设备如何判断终端设备的类型如何对终端设备的访问进行控制如何发现终端设备被仿冒因此，维护网络安全和提高运营效率需要新的解决方案，这些方案应该能够有效地执行包括无线、有线以及远程接入等网络访问的策略和授权、审核网络使用情况、监控企业的合规性并全面了解整个网络中的活动状况。建设目标采取先进主流的技术协议标准802.11ac来进行整个园区的无线覆盖，要兼容802.11abg/n。无线网络的基础设施要有统一的管理平台，实现一套帐号，有线、无线一体化认证。建设任务本次无线改造和建设项目分阶段采购和实施。第一阶段进行大连会馆的无线系统建设的招标采购和实施，大连会馆项目与大连会议室无线改

17、造项目共用无线控制器，投标方需要考虑会馆项目相关无线license。第二阶段进行沈阳和大连两个园区会议室、会议中心、行政楼等公共区域的无线网络改造。第三阶段进行新园区数字医疗的无线系统建设。集团园区需求分析网络覆盖规模以下是通过大连和沈阳现场无线地勘收集的数据：沈阳园区办公区会议室无线覆盖AP1702IAP1702IA1楼F1-F2会议室4A2楼F1-F4会议室31A6楼会议室覆盖35行政楼F1-F3会议室（F3全覆盖)45会议楼+报告厅会议室和公共区域277咖啡吧咖啡吧10Sub Total：1527大连河口园区会议室无线覆盖D1楼F1-F4会议室25D2楼F1-F4会议室31F3楼F1-F

18、6会议室61F1楼+报告厅B1-F4会议室97F5楼F1-F4会议室21Sub Total：1477Total：29914技术先进、高性能 支持IPv6支持IPv6、IPv4无线接入，支持802.11ac、802.11n的高性能传输。高质量覆盖会馆区域无线全覆盖办公区域覆盖会议室无线覆盖质量要求所有无线覆盖网络质量必须满足无线用户的正常使用，包括日常办公及视频和语音等，要求802.11ac Radio转发流量不得小于200Mbps，802.11n Radio转发流量也不得小于100Mbps, 信号强度不低于-65db；所有无线覆盖网络必须满足高稳定性的要求，提供稳定、可靠的无线网络环境，要求对

19、信号干扰源及非法AP进行识别和确定，支持信号频段自动调节和无线AP用户智能调配。有线、无线认证融合 作为有线网络的有效补充，必须完全融合进有线的认证体系，支持全网对每一个用户的上网控制、认证的持续运营。做到无线、有线融合统一认证。智能无线集中部署、管理通过无线网管平台与无线交换机的配合，实现无线网络的规划、部署、监控、报表、优化等各个功能。为本次无线网络的建设提供了一整套科学的规划方案、精确的部署指导、实时的无线网络状态（包括无线频谱、无线设备、无线用户等）监控、可视化的各种报表。无线网络高安全、高可用通过无线网管平台与无线交换机的配合，实现户身份认证、入网行为控制、安全加密、病毒库、无线入侵

20、检测、无线电射频的集中管理和部署，实现非法用户、非法AP的定位与隔离，打造高安全的无线网络。支持跨AP、跨AC的二层漫游、三层漫游，实现基于用户、基于AP、基于AC的负载均衡，打造高可用无线网络。多业务支持基于大连会馆和园区网络的未来可持续发展，无线网络规划应为未来发展园区无线宽带应用（如，无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等）打下基础，并提供低成本的无缝升级和先后兼容。灵活部署、易于扩展、高性价比为方便园区网络的部署和未来维护的方便性，整个园区无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，园区无线网络要具有良好的性价比。建设原则实用性遵

21、循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。先进性采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化

22、，均能够最大可能性的开放标准。可扩充性系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；可维护性系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。兼容性必须完全融合进有线的认证体系，支持全网对每一个用户的上网控制、认证的持续运营。做到无线、有线融合统一认证。总体网络规划总体系统设计概述对于大连会馆和整个园区无线覆盖的需求，本方案建议采用的

23、无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署。无线网络产品系列是为那些希望为本身业务、IP电话和融合多媒体应用系统广泛部署无线覆盖的一款完整802.11解决方案。这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。无线网络产品系列包括规划和实施所需的工具和功能，使首次部署无线局域网(WLAN) 能快捷简便的完成，也适合于企业逐步演进事先精确设计的无线移动基础设施。无线网络产品系列采用一种由一台或几台中央无线控制器控制和管理“瘦”接入点的集中式无线局域网部署模式。这套系列的三个主要构

24、件包括一个多频点接入点（AP）、无线控制器（WLC）组合和一套无线安全访问系统（ISE）。在整个无线移动解决方案中，每个构件均起着重要作用。统一无线总体目标架构：根据网络结构特点，建议选用集中无线网络解决方案，整体划一，系统管理，准确定位，高效运营，全面满足无线网络的业务需求，通过园区部署WLAN控制器5508，可以集中管理分支机构无线AP。5508支持AP的数量根据各地AP的需求而选择不同数量的许可，单台最大支持500台AP。其中大连会馆与园区配置1台（配置50-250个AP许可）。针对AP的选择，一般每个AP建议连接终端设备30-50个。AP的部署：大连会馆 、园区会议室、走廊、大厅和餐厅

25、等公共服务区域。我们建议采用内置天线AP1700/2700系列；仓库、车间建议部署外置天线产品AP2700/3700。总部与分支无线集中管理图：的ISE提供全面的网络访问控制，是唯一能够将有线访问、无线访问以及远程VPN访问基于一身，提供统一服务平台的解决方案（见下图）。ISE借助于各种类型的设备探测与识别，灵活的终端访问控制，提供了全面的BYOD解决方案，是唯一能够利用网络设备传感器和实时地终端设备扫描的厂商，帮助企业用户为种类繁多的BYOD提供访问控制策略。ISE解决方案能够为企业带来以下的益处：安全性：提高接入网络访问的用户和终端设备的可视性、历史报告以及强大的故障排除工具，从而降低运营

26、成本。一致性：企业能够以一致的方式推出高度定制化和全面的网络访问策略。合规性：通过确保执行和审核必要的控制措施使企业符合监管的要求，只有合规用户才能获得完全访问网络，不合规用户被隔离到有限的网络区域。高效性：通过将频繁操作的任务自动化处理，简化服务交付流程，提高IT部门的生产率。方案总体特点全面的产品线集中管理的动态射频控制快速安全漫游实时可见的定位服务统一的有线和无线的解决方案：QoS、安全认证、带宽控制统一的室内室外无线解决方案：统一AP、Bridge、Mesh部署、控制、网管能力室内室外智能的无线MESH能力高效率的WLAN安全、部署及管理 ，降低总体成本可升级、可靠的、具有弹性的WLA

27、N架构系统设计 通过分析和实践，集团WLAN的成功实现必须考虑多方面因素，这样才能确保在WLAN网络上实现语音、数据、多媒体传输。WLAN系统规划及业务系统要求如下：WLAN系统规划考虑因素 在进行WLAN系统设计之前，必须明白多媒体WLAN系统对于无线信号覆盖、SNR、流量、时延的要求，首先对于WLAN网络的信号覆盖，需要注意已下方面： 信道规划 首先我们需要考虑容量要求，对于2.4G系统，我们知道可用的不重叠的信道只有3个，分别是1、6、11，见下图 如果只有2.4G频点进行部署，那么建议信道规划形式如下图所示，蜂窝间的重叠不得小于20% 对于5G频段范围，有多达20多个可用频点，其规划方

28、法可以类似于2.4G进行蜂窝系统规划方法，这里不做介绍。 在中国只有5个不重叠信道可用，分别是Channel 149、153、157、161、165，但对于大多无线设备厂商来说，在5.8G的信道上只支持前4个信道。所以要求，信道间必须进行合理分配，最大化避免同信道冲突。WLAN业务系统部署要求 信号强度要求室内环境 对于一个有保障的多媒体无线系统，对无线蜂窝之间信号强度和信噪比也有特殊的要求，室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-67dBm至-70dBm，信道之间的信号强度差异应至少大于19dBm，信号重叠区域在20。室外环境室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-75d

29、Bm至-78dBm，同信道之间的信号强度差异应至少大于19dBm。信号重叠区域在20，保障无线多媒体传输的正常运用。信躁比要求室内环境室内环境相对比较干净，室内环境噪音一般不会高于-95dBm，多媒体业务的信躁比要求应不低于20dBm。室外环境室外环境相对比较复杂，室外环境噪音一般在-90dBm左右，多媒体业务的信躁比要求应不低于15dBm。传输时延 根据3GPP对于多媒体质量的要求，多媒体双向传输的往返时延应低于300ms，即单向传输时延不高于150ms。多媒体质量评估 根据3GPP对于多媒体质量的要求，对于有质量的多媒体网络，MOS值应不低于4.0。 容量支持 在进行了良好规划，并按照规划

30、要求部署了无线网络系统以后，一个双频AP（同时支持802.11g和802.11a）对于多媒体数量的承载不低于20路实时多媒体数据。定位支持 为了保证无线网络进行准确定位，室内AP间隔保持在1720M，每个AP的覆盖半径为810M。完善的多媒体QoS机制 在无线网络系统中，如果通过同一个AP提供多媒体、数据等服务，我们必须有Qos保证机制，要求支持WMM国际标准，支持WMM及WMM Power Save功能，以保证有质量的多媒体传输。无线网络系统的话音应用设计（VoWLAN）VoWLAN是WLAN的增值应用之一。VoIP，IP电话通过数据网络传输语音信号。WLAN，无线局域网使你能够无线上网。V

31、oWLAN可以说是这两者的有机结合，它可以利用现有的WLAN网络实现无线的VoIP通话能力，企业员工通过VoWLAN可在办公场所以外的地方随时访问语音、E-mail和其他已连的网络资源，这样提高了网络资源的利用率并降低了每次电话呼叫的成本，从而节省企业的总体IT费用。可以为用户提供全方位的VoWLAN产品和解决方案！ 另一种VoWLAN方式是基于软件的电话,就是通常所说的Softphone。用户可通过PDA、移动电话和笔记本电脑在提供WLAN接入的区域使用这种软件电话。这种方式可以使得在安装无线网络的任何地方进行语音交流。良好的互通性 不仅把主要精力放在无线网络产品的研发和推出上，还十分关心无

32、线网络产品和客户端的兼容性和互操作性方面。推出的CCX（Cisco Compatible Extensions）计划给客户端带来一套功能扩展来克服基于802.11协议的诸多不足之处。在引入CCX八年多的时间内，所有的无线芯片制造商都纷纷和签订协议，并宣布在他们的客户端上遵守CCX，从中不难看到的业界影响力。 差不多已经说服了每一家网卡生产商，把兼容扩展（CCX）标准加入到硬件里面。目前市场上的300多种无线终端有90都通过了不同版本的CCX认证。您可以在下列链接查询到各个厂家的终端通过CCX认证 HYPERLINK /web/partners/pr46/pr147/partners_pgm_c

33、oncept_home.html /web/partners/pr46/pr147/partners_pgm_concept_home.html 是一个不断创新的公司，CCX历经十多年，现已推出超过5个版本，每个版本侧重不同又向下兼容。通过 Cisco Compatible Extensions (CCX)计划，许多第三方手持设备供应商的产品都能支持这些的创新。WiFi认证的很多测试也取材于CCX计划。 用户将能从CCX认证中获得无线网络最大的最大的兼容性和互操作性又不牺牲安全性、漫游性和信号稳定性。基于无线系统的节电功能 移动终端的电池的能力是一个非常重要的问题，电池待机及通话时间的长短直接

34、影响到无线多媒体网络的可用性，如果终端维持时间过短，那么这个多媒体网络基本也不可用。本次无线网络中需考虑到终端节电功能。无线安全性 多媒体业务通过无线网络进行传输的时候，我们不得不可虑其多媒体业务的安全性，安全性包括了用户的身份认证和多媒体流的加密。本次设计中除考虑无线数据传输的安全性外还必须提供有效机制保障无线多媒体安全性。WLAN的安全快速漫游 在无线多媒体系统里，多媒体的漫游机制会大大影响多媒体的通话效果，尤其在切换的时候，如果漫游时间过长，那么程度稍轻的会产生通话质量影响，严重情况下，会导致多媒体通话中断。所以， WLAN的快速漫游机制是多媒体网络的至关重要的问题。 本次设计中需考虑到

35、采用相应机制（如CCKM）保证漫游情况下的无线多媒体传输。 WLAN系统的选型建议 多媒体WLAN系统对于无线WLAN设备的选用及相关设备的选用都有比较严格的要求，只有精心设计的无线WLAN网络才能完整的提供高质量的多媒体业务。AP的选择 首先对于AP和客户端的选择，前面我们已经提到，我们推荐采用双频的AP去部署无线网络以提供数据和多媒体集成的业务。天线的选择和分析 首先我们观察一下无线终端天线的位置和极化分布图 通过对于无线终端天线的分析，我们看出头部会对无线信号有一个衰减，具体大概会衰减5dB。 同时，如果采用定向或Patch天线进行信号覆盖，由于头部的遮挡，覆盖效果会受到很大的影响，所以

36、建议采用全向天线采取吊顶安装的方式提高信号覆盖， 同时，对于AP的天线的使用，我们强烈推荐采用分级技术，分级技术可以帮助增加多媒体的稳定性及降低传输时延，通过参考下列图形，大家可以更清楚的了解分级天线带来的好处，采用分级天线以后网络传输时延明显下降多媒体要求更高的无线信号强度和信噪比，如下图 所以，对于需要使用多媒体的WLAN系统来说，我们需要对无线信号有更高的要求，这也意味着无线多媒体终端需要更高的信噪比SNR，所以高增益的天线并不适合进行无线多媒体系统的部署，因为增益太高的天线会增加覆盖面积，会造成无线AP和终端设备双向功率不匹配，无线多媒体容量不够等问题。所以总结下来，我们对于无线部署的

37、建议如下：选用无线双频AP，以部署数据及多媒体集成的业务网络采用低增益天线，以满足多媒体容量的要求AP每个无线模块配置2根以上天线以开启分级模式增强信号的稳定性和减少传输的时延采用顶部安装或帖壁安装的方式避免复杂环境对信号的衰减采用专业的无线多媒体终端以优化无线多媒体在WLAN网络中的使用感受无线控制器的部署设计 无线控制器硬件通过双重供电、多链路中继、Active-Active架构选项和n+1冗余设计，消除系统内的单点故障，提供系统弹性。目前考虑投资回报率，建议部署一台WLC5508无线控制器。 的无线控制器可以实现N:1，N:N的备份，且互为备份的控制器可以跨越三层网络，部署更灵活，同时备

38、份控制器和主控制器可以同时接入AP，同时工作，大大保护了用户的投资！ 随着以后网络的不断扩展，可以再增加一台专门的备份控制器实现111冗余。网络安全规划由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准（如802.11w）的制定。Cisco在无线局域网安全技术和标准制定方面，扮演了极为重要的角色，是8

39、02.1x/EAP无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。与其他网络一样，WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制也被称为身份验证可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点而不是恶意的或者未经授权的接入点建立联系。WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时，所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。但是，无线局域网的安全并不仅仅局限于接入认证

40、和数据加密。无线接入设备AP的物理安全性，AP连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何避免攻击，如何快速发现非法/假冒AP，对一个网络系统来讲也是十分重要的。无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术，具体如下：无线终端用户的用户认证（用户名/密码，数字证书）无线终端用户的数据加密（WEP，TKIP，AES）无线接入点的接入认证无线控制帧的安全管理（MFP）基于2-7层内容的入侵检测系统（无线IPS、IDS系统）支持精确的非法AP定位和隔离射频干扰的检测和辨别终端的安全接入保证（NAC）Mesh回传链路数据的安全加密终端快速、安全漫游机制的

41、实现（CCKM）独特的访客隔离机制，保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离，在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全网络的安全管理不同的认证方式用户的认证和加密WLAN可能会遭受多种类型的攻击。无线网络系统在使用802.1X-EAP、TKIP或AES时，可以防止网络遭受多种网络攻击的影响。如下表所示：攻击类型安全改进身份验证：开放加密：静态WEP身份验证：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：动态WEP身份验证：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中间人不安全不安全安

42、全身份伪装不安全安全安全薄弱 IV攻击（AirSnort）不安全不安全安全分组伪装（重复攻击）不安全不安全安全暴力攻击不安全安全安全字典攻击不安全安全安全新的安全技术有助于制止网络攻击在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的管理。已经在产品方案上实施了TKIP/AES加密技术，可以有效改善无线链路的通讯安全。TKIP主要包括两个关键的对WEP的增强部分：1，在所有WEP加密的数据包上采用报文完整性检测 (MIC) 功能，以更有效的保证数据帧的完整性；2，针对所有的WEP加密的包实行 基于每个数据包密匙的方式。MIC主要是用来改善802.11低效率的 Integ

43、rity check function (ICV)，主要解决两个主要的不足：MIC对每个无线数据帧增加序列号，而AP将丢弃顺序错误的帧；另外在无线帧上增加MIC段，MIC段则提供了更高量级的帧的完整性检查。有很多报告显示WEP密匙方式的弱点，报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP密匙旋转的办法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11i的标准中WEP增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在Cisco的WLAN设备中得以实施。AES是一种旨在替代TKIP和WEP中使用的RC4加密的加密机制。AES不存在任何已知攻

44、击，而且加密强度远远高于TKIP和WEP。AES是一种极为安全的密码算法，目前的分析表明，需要2的120次方次计算才能破解一个AES密钥还没有人真正做到这一点。AES是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP不同，AES会独立地加密文本数据中的各个区块。AES标准规定了三种可选的密码长度（128、192和256比特），每个AES区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮WAP2/802.11i AES加密包括四个阶段。对于WPA2/802

45、.11i，每轮会重复10次。为了保护数据的保密性和真实性，AES采用了一种名为Counter-Mode/CBC-Mac (CCM)的新型结构模式。CCM会在Counter模式（CTR）下使用AES，以保护数据保密性，而AES采用CBC-MAC来提供数据完整性。这种对两种模式（CTR和CBC-MAC）使用同一个密钥的新型结构模式已经被NIST（特殊声明800-38C）和标准化组织（IETF RFC-3610）所采用。CCM采用了一种48比特的IV。与TKIP一样，AES使用IV的方式与WEP加密模式有所不同。在CCM中，IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且，因为IV空间被扩

46、展到48比特，发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。由于WEP与TKIP均采用统一加密算法RC4算法实现，可不幸的是，RC4算法已经被破解，虽然TKIP依然采用了动态密钥交换技术，但是由于算法的破解，TKIP还是可以破解，只是相对WEP破解难度稍大。目前足够强壮和安全的算法只有AES，所以对于网络要求极高的用户，强烈建议采用AES的方式进行加密。由于AES算法的严密性和强壮性，他对设备的消耗极大，所以我们也必须考虑到AES对于设备和系统的消耗，在设备选用时，需要完全考虑AES加密后的转发性能。无线接入点的接入认证在集中化无线网络架构下，无线控制器完全控制和管理

47、无线接入点，那么无线接入点是否为一个合法接入网络的设备值得我们探讨。如上面的图例所示，无线控制器和无线接入点系统中，都内嵌了X.509证书，通过证书，无线控制器和无线接入点之间可以互相认证对方的合法性，保证网络中的设备的合法性。除此之外，还能提供关于AP接入点更高级的特征-AP的802.1x认证。如上图所示，无论是最终用户或者是的轻量级AP都可以通过802.1x的方式进行认证接入，的轻量级AP设备可做为802.1x的被认证点，通过在后台AAA服务器内用户名和密码的比对，有线交换机决定允不允许开放连接AP的交换机端口。这样，可以更进一步的提高网络中AP的接入安全。无线控制帧的安全管理（MFP）在

48、目前的无线网络技术的实现过程中，无线管理帧是没有经过认证、加密和签名的，所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息，从而造成用户掉线，AP无法正常接入用户的现象。在的无线网络中，通过在网络管理帧内部插入MIC，可以及时的保护网络管理帧信息，防止黑客的恶意攻击。如下图所示，并且支持管理帧加密混合模式，即如果客户端不能支持MFP特征，无线AP也允许这类客户端接入，但对于管理帧消息仅保护拥有支持MFP特征的客户端。这样，对于高级用户或者对于安全性要求极高的客户群我们可以保证其这方面的安全特性，也同时可以兼容对于安全性要求不是特别高的

49、用户。无线网络特点详述实时的射频自动监测（CleanAir)Wi-Fi 所面临的不单纯只是性能方面的挑战，也有安全方面的挑战。业界已经致力于了解欺诈无线接入点如何在企业网络中打开安全漏洞，且已经达到了很好的水平。目前，已经设计了无线入侵检测系统和入侵防御系统 (wIDS/wIPS) 来解决这一问题。但是，当前 IDS 和 IPS 解决方案还有一些重大盲点，如果不增加频谱智能就无法解决。当前 IDS/IPS 系统无法检测以专有扩展模式（如 Super G，来自 Atheros）运行的无线接入点。这些随时可用的设备是检测不到的。此外，黑客还可能采用标准 Wi-Fi 设备（例如，运行 Linux）并

50、对其进行修改，以使其在非标准信道上运行或以其他非标准调制方案运行。只有在您分析射频物理层以后，才能检测到这些扩展或修改的设备。无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰：微波炉其他大楼的无线系统工作在2.4GHz的无绳电话等蓝牙通信系统工作在2.4Ghz的无线摄像头除欺诈设备的威胁外，怀有恶意的人的威胁也始终存在，他们尝试利用射频拒绝服务 (DoS) 攻击，使您的 Wi-Fi 网络失效。虽然 IDS/IPS 系统能够监控许多“协议层”DoS 攻击，但它们检测不到可能通过干扰设备或 Wi-Fi 设备（这些设

51、备在诊断干扰模式下设置）实施的射频层 DoS 攻击。 Cisco CleanAir 技术使用硅片级智能来创建可感知频谱、自行恢复和自行优化的无线网络，从而缓解无线干扰的影响，并为 802.11n 网络提供性能保护。 CleanAir 技术的优势是它能够全天候运行，不间断地监控有无干扰和空气介质质量问题。这能让 IT 采用更为主动方法来管理频谱。IT 不用再等待最终用户报告干扰（以故障通知单的形式），然后调用工具来分析问题，而是在干扰发生时即刻找到它并立即采取措施。另外，全天候的历史记录可以进行回溯分析。使用历史数据，可以很方便地分析随时间的变化趋势。 在采用集成式频谱管理的无线局域网中，很可能

52、会在多个无线接入点中检测到同一个干扰设备。如果这些设备都分别进行报告，则会对管理员生成过多警报。有了 CleanAir 技术，就会根据设备属性为每个由无线接入点检测到的设备分配一个伪 MAC (PMAC) 地址。然后，跨无线接入点比较 PMAC。当两个设备的 PMAC 匹配（而且无线接入点彼此足够接近）时，来自这两个无线接入点的报告会“群集”到一起。现在，可以将群集作为单个设备报告给管理员。 群集在定位设备时也扮演重要角色。匹配的 PMAC 群集为系统提供同一设备的多个功率测量值，因此可以对设备的位置进行三角测量。设备群集的重要特征是网络能够正确地对设备进行群集处理，既不会过度集群化（将不应合

53、并的设备合并到一起），也不会集群化不足（在仅有一个设备时报告多个设备）。 CleanAir 技术的第二个优势是它可以远程操作。对于许多 Wi-Fi 部署，一个位置的 IT 人员管理园区中多个建筑物内的设备或多个地理位置的设备，而且可能很难以物理方式使用一种工具来远程管理这些站点。如果部署涉及到许多分支办公室，或者干扰在本质上是瞬变的，这种情况尤为明显。通过将频谱管理集成到基础架构中，IT 能够在网络中的任何位置远程查看干扰条件。 Cisco CleanAir 技术还能够以物理方式定位干扰设备。大多数情况下，多个无线接入点将会观察到同一个引发干扰的设备。已经开发了高级技术，对从多个无线接入点报告

54、的设备进行比较，并确定哪些报告实际上是由同一个设备导致的。对设备进行比照后，可以使用三角测量法查明设备的准确位置，此方法和基础架构系统当前定位 Wi-Fi 客户端与标签所使用的方法类似。CleanAir 技术集成到无线局域网中的最大优势可能是：无线接入点 RRM 系统可以使用 SI 数据来实施全天候自动干扰缓解。这确实是下一代 RRM，与以前的版本相比，可以提供更大的可靠性，而以前的版本感知不到干扰。有了 CleanAir 技术，就可以将网络调整为自动规避许多类型的干扰。Cisco CleanAir 技术提供大量有关干扰的详细信息。但为了便于“大致”了解干扰问题在哪里影响网络，它会将详细信息累

55、积成易于理解的高级别指标，称为空气介质质量 (AQ)。AQ 在信道、地面和系统级别进行报告，而且支持 AQ 警报，因此，当 AQ 低于预期阈值时，您会自动收到通知。对于大连会馆和园区的全无线覆盖，建议采用具备 Cisco CleanAir功能的1700i/2700 AP，发现和防止频谱干扰。ClientLink技术更好地保证802.11a/g终端的高速稳定链接虽然802.11ac/n的AP已经开始大范围部署，尤其是本项目的无线AP全部都是采用802.11ac和兼容802.11n的AP，但是大多数员工会继续使用802.11a/g的终端设备。为了对现网存在的众多的的802.11a/g设备提供投资保

56、护，开发了ClientLink 技术，帮助用户将802.11ac/n 的性能优势扩展到802.11a/g 设备的同时，增加了他们的使用寿命。大多数的802.11ac/n 解决方案为802.11a/g 客户端在上行方向(客户端到无线接入点)提供了某种程度上的性能提高，但是无法在下行方向（从无线接入点到客户端）提高性能。认识到这一点非常重要，因为大多数的客户端流量，比如说网页浏览和文件下载，都是在下行方向。ClientLink 技术提高了802.11a/g 客户端下行链路的性能，从而提供了更好的网络覆盖以及更可靠的漫游体验。另一个挑战是在同时部署了802.11ac/n 和802.11a/g 设备的

57、环境下，确保802.11a/g 设备不会限制802.11ac/n 设备的性能。通过为802.11a/g 设备提高下行链路的吞吐量，ClientLink 为整个网络包括802.11ac/n 客户端，有效的提高了系统容量。ClientLink 通过在无线接入点上预先植入的高级信号处理进程进行工作。在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后，ClientLink 使用这些信息，并通过最佳方式将数据包发送回客户端，这种技术称之为多输入多输出（MIMO）波束成形。此外，MIMO 波束成形技术并不需要昂贵的外部天线就可实现。1）自动射频管理无线网络的运营成本会比购买成本

58、要高。为了帮助简化无线管理以及降低运营成本，M-Drive 技术包括了更高级和复杂的自动射频管理功能，它能减少很多故障的产生以及IT 人员花在解决此类故障上的时间。统一无线网络自动配置接入点的信道分配和输出功率。M-Drive 技术为每个接入点建立了信道计划和输出功率，以此来优化办公空间的无线覆盖。这将大大加快无线网络的部署。由于物理条件的设施变化（例如，一个文件柜被移动了），M-Drive 技术自动改变接入点的配置来适应这种改变。802.11ac/n 标准中包括了接入点工作在80/40MHz 信道提供更高性能的能力（这是对原有20MHz 信道的补充），这使得信道的分配变得复杂了。M-driv

59、e 技术通过理解20MHz 和80/40MHz 信道，简化了802.11ac/n的部署。M-Drive 技术通过观测客户端的性能来检测覆盖漏洞。当一个覆盖漏洞被检测出来，系统会自动调整相近接入点的输出功率来消除覆盖漏洞。无须IT 人员的干预，这既节省了时间也节省了资源。2）连接一致性 无线性能随着时间或者空间的改变（因为用户移动）而不稳定，无线用户的体验可能会因此而受挫。如果用户无法完全信任和依赖无线网络，他们将拒绝经常使用无线网络。802.11ac/n 和802.11a/g 一样，客户端的性能会随着和接入点之间的距离变化而变化。802.11 标准允许在不同的距离下，有不同的数据传输数率来处理

60、这个问题。本质上说，客户端离接入点越远，数据传输速率越低，从而保证了即使在很低的信号强度下无线连接的可靠性。然而，802.11 标准并没有指出如何来选择这些数据传输速率。友商的解决方案是用随机方式来选择数据传输速率，这肯定不是最佳的解决方式。设备的传输速率可能会比所需的低，更糟糕的情况是，设备会尝试提高传输速率，然而实际上没有任何的数据会被传送。M-Drive 技术里的速率选择算法保证了在任何时候都有最佳的传输速率。这意味着不管客户端漫游到何处，都会有可靠的连接。另一个会对802.11ac/n 和802.11a/g 的性能造成影响的因素是接入点功率等级的一致性。如果功率下降，其结果可能是有覆盖