大楼无线网络解决方案

一、新大楼无线解决方案原那么新大楼无线是Cisco结构化无线网络解决方案，专门为XXX新大楼无线局域网络设计。根据具体需求和勘测情况，在此次网络建设的规划、设计和实施中遵循以下原那么：先进性和实用性并重系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，防止技术环境过于超前造成投资浪费。兼容性网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联，思科的无线局域网全部支持从交换机直接通过PoE供电，不必为AP另行配置电源插座。思科的无线局域网系统满足国际和国内的无线标准，市场占有率超过60%，思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备，如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。无线辐射根据中国国家无线电管理委员会的规定，在办公室内部署无线网络信号辐射不得超过100mw，以防止和5GHz对人体的影响。同样的原因，在通常情况下，终端使用5mw左右的发射功率，以防止大功率长期辐射对人体的影响。无线接入点即AP执行标准工作在11Mbps到1Mbps之间，随着终端和AP之间的信号的强弱，AP和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，功率智能调节。实时的射频自动监测无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此以下设备可能造成干扰：微波炉其他大楼的无线系统的无绳等因此思科的AP实时进行射频的监测，AP后台的控制器能够实时对AP进行控制，控制功率的大小，比方当1个AP实效以后，其他的AP通过自动计算对功率进行增加；出现信号的时候，控制器能够对信号干扰来源进行定位，确定何处的信号干扰，信号干扰的程度如何，并地图方式显示在网管上。传统有线网络在物理平安方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存在。无线信号会扩散到物理围墙之外，从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题，必须采用正确的RF设计、发射功率控制和先进的定位技术。自动负载均衡有线网络在本质上具有确定性――第二层〔以太网〕和第三层〔IP〕交换机和路由器都是便于理解、可以预测的。但是，用户在无线网络中的体验那么依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点，有数以百计的用户在移动使用网络。而在早上3点，办公室的大门紧锁，没有人在办公，而且附近的办公室和咖啡厅也不会产生RF干扰。更多的情况下，在同一时间，大家从各自的办公室会聚到会议厅，特别是当人数比拟多，超出了1个AP的承受范围，那么带宽会慢的无法工作；为了保障带宽，如果在AP设置了限制，那么后来的人员无法得到无线连接效劳，因为在后台控制器的模式，可以对AP自动的负载均衡，将终端分别发送到不同的AP，自动计算和对终端的流量进行均衡，比方，当这个AP的利用率到了80%，那么控制器自动将用户引导到另外的空闲的相邻AP上面，而在我们的设计中，所有的AP部署已经考虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。自动频道管理和跨IP域漫游无线局域网标准使用3个不重复的频道，1、6、11，为了实现自动漫游，需要对频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当AP布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。无线局域网的AP如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的DHCP得来的IP租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。平安性无线网络支持最多的平安特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的AP，恶意AP是未经授权的人员通过自己设置一个AP，吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用平安无线认证协议，能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的平安保障和扩展的端口平安管理。终端定位配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现3-5米的定位，同时和门禁系统结合，对外来的临时人员进行RFID的定位，人员佩戴RFID标示的腰扣终端，可以将人员位置显示在网络管理界面的大楼地理图上。方便对无线终端的监控和管理。在网络管理系统上有针对ERP系统和平安管理系统的API，可以结合ERP和平安管理系统将定位信息集成到工作流程的管理中。地理化图形管理界面网络管理界面全部图形化，能够输入新大楼的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。在AP上无需任何配置。二、新大楼无线解决方案的架构二．1整体架构为了全面地满足企业的RF管理需求，思科设计了一个集中、简便的WLAN架构。它的核心组件是“别离MAC〞架构，即将对802.11数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中WLAN控制器〔如图1所示〕。更加特别的是，对时间敏感的活动――例如信标处理、与客户端的握手、介质访问控制〔MAC〕层加密和RF监控――都是由接入点处理的。所有其他活动都由WLAN控制器处理，它需要具备整个系统的可见度。这包括802.11管理协议、帧转换和桥接功能，以及对于用户移动、平安、QoS和――可能更加重要的是――实时RF管理的系统级策略。图1典型的别离MAC架构思科无线局域网控制器具备的实时RF管理对于思科轻型无线解决方案具有重要的意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创立一个完全自行配置、优化和治愈的环境，让思科WLAN适用于提供平安、可靠的业务应用。这是通过执行以下RRM功能实现的：无线资源监控动态信道分配干扰检测和防止动态发射功率控制覆盖盲区检测和纠正客户端和网络负载均衡无线资源监控RF网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅能够提供效劳，还可以同时监控所有信道。这源自于思科在它的别离MAC架构中对802.11MAC层所开展的、广泛的开发工作。除了提供效劳以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g信道，以及在其他地区有效的信道。这可以提供最高限度的保护――系统将发现可能从其他国家进口的恶意接入点，或者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客能够让恶意设备位于带外，从而躲过大局部WLAN入侵检测系统〔IDS〕的扫描。思科轻型接入点可以在不超过60ms的时间里进行“信道外〞扫描，以监听这些信道。在此期间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接入点〔无论效劳集标识符[SSID]是否被播送〕、恶意客户端、临时客户端和干扰接入点。在缺省情况下，每个接入点只用0.2%的时间进行信道外扫描。这项任务会在所有接入点之间进行统计分配，以确保相邻接入点不会同时进行扫描，对WLAN的性能造成不利的影响。这使得管理员可以通过每个接入点搜集到的信息，了解他们的WLAN的运行状况，将网络可见度提高到重叠式网络所无法提供的水平，解决为每三到五个接入点部署无线监视器这一做法可能出现的“隐藏节点〞问题。注意：在必要情况下，思科轻型接入点可以被专门部署为无线监视器，但是本钱因素和对更高网络可见度的要求通常会促使最终用户采用上述方式。动态信道分配802.11MAC功能需要采用一种基于二进制指数退避的冲突防止机制，即带有冲突检测的载波侦听多路存取〔CSMA/CA〕。802.11MAC层由一个四路交换协议定义：RequesttoSend(RTS)<–>CleartoSend(CTS)Data<–>ACK当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该基站发送它的数据。否那么，基站将被告知等到其他正在使用介质的基站完成任务之后再发送数据。这可以防止两个客户端同时在同一个信道上发送数据，导致数据帧受损。在使用CSMA/CA时，同一个信道上的两个接入点〔位于同一个区域〕与两个不同信道上的两个接入点相比，将获得其一半的容量。这可能会导致问题。例如，某个在咖啡厅中查看电子邮件的用户可能会对相邻企业中的接入点的性能造成不利的影响。即使位于不同的网络之中，在信道1上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。思科无线局域网控制器可以通过动态分配接入点信道，防止冲突，从而解决这个问题和其他同频干扰问题。因为思科轻型解决方案通过它的RRM工具而具有覆盖整个企业的可见度，所以信道可以被“重复利用〞，以防止浪费珍贵的RF资源。换句话说，信道1将会分配给一个远离该咖啡厅的接入点。相比之下，其他WLAN系统在这种情况下通常要求完全禁止使用信道1。因此，思科的解决方案更为有效。思科无线局域网控制器的动态信道分配功能还有助于最大限度地减小思科轻型WLAN解决方案中的相邻接入点之间的同频干扰。例如，在使用802.11a时，信道35和40不能同时使用54Mbps，具体取决于接入点和客户端的摆放位置。通过分配信道，思科无线局域网控制器可以隔离相同信道，从而防止这个问题〔如图2所示〕。图2动态信道分配33%效率100%效率思科无线局域网控制器可以通过分析多种实时RF特性，有效地处理信道分配。这些特性包括：接入点接收能量――这取决于网络的静态拓扑；这项功能可以让信道获得最高的网络容量。噪声――这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。通过优化信道和防止噪声源，思科无线局域网控制器可以在优化网络覆盖范围的同时，保持系统容量不变。如果某个信道因为噪声过高而无法使用，该信道将会被避开。――如果存在其他无线网络，思科无线局域网控制器将会改变信道的使用方式，以防止与其他网络的干扰。例如，如果一个网络使用的是信道6，另一个相邻WLAN将被分配信道1或者11。这可以通过限制频率重叠，提高网络容量。如果因为某个信道的使用量过高而导致没有可用容量，思科无线局域网控制器将会选择避开这个信道。利用率――在启用这项功能时，容量计算将会考虑到某些接入点传输的流量多于其他接入点〔例如一个休息室相对于一个工程区域〕。因此，那些需要最多带宽的接入点将在信道分配方面获得更高的重视。客户端负载――通过在调整信道结构时考虑客户端负载，可以最大限度地减少客户端对于WLAN的影响。思科无线局域网控制器会周期性地监控信道分配情况，搜寻“最正确的〞分配方式。只有在可以显著提高网络性能，或者改良某个性能低下的接入点的性能时，才会进行调整。思科无线局域网控制器可以将RF特性信息与智能算法相结合，执行针对整个系统的决策。利用软决策机制，可以满足互相冲突的需求，为最大限度地减少网络干扰确保最正确的选择。最终结果是在一个三维空间中实现最正确的信道配置，而位于楼层上方和下方的接入点在总体WLAN配置中扮演着重要的角色。干扰检查和防止“干扰〞的定义是任何不属于某个思科WLAN系统的802.11流量，包括恶意接入点、蓝牙设备或者相邻WLAN。思科轻型接入点一直在扫描所有信道，寻找主要的干扰源〔如图3所示〕。如果802.11干扰幅度超过了预定的阈值〔缺省值为10%〕，一个消息就会被发送到思科无线控制系统〔WCS〕。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留在一个因为某个干扰接入点而无法使用的信道上好得多〔考虑到利用率因素〕。图3动态信道分配机制对干扰的反响恶意设备管理员可以从思科WCS实时地查看RF环境的情况〔如图4所示〕。这有助于了解无线空间的运行状况，尤其是试图诊断WLAN故障时。图4思科WCS无线统计信息视图动态发射功率控制正确的接入点发射功率设置对于保证WLAN的平稳运行具有重要的意义。这对于实现网络冗余也非常重要，有助于确保在接入点失去连接时进行实时的故障切换。思科无线局域网控制器可根据实时的WLAN情况动态地控制接入点的发射功率。在正常情况下，功率可以保持在较低的水平，以获得额外的容量和减少干扰。思科轻型解决方案将试图根据最正确实践经验，对接入点进行平衡，以确保它们在相邻接入点之间保持-65dbm的发射功率。如果检测到某个发生故障的接入点，周围接入点的功率将会自动提高，以填补覆盖范围受损所导致的漏洞。只允许对发射功率进行静态设置的WLAN解决方案在支持动态网络需求方面的能力极为有限。思科RRM算法采用了独特的设计，可以创立最正确的用户体验。例如，如果接入点的发射功率被调低为四级〔一级最高，五级最低〕，而且用户的接收信号强度指示〔RSSI〕值降低到某个可以接受的阈值之下，接入点功率将会被提高，以便为客户端提供更好的体验。如果用户的RSSI值位于阈值之下，功率将决不会被调低。用户可以在思科WCS中，方便地查看各个功率等级和接入点相邻设备信息，如图5所示。图5利用思科WCS监控功率等级覆盖盲区检测和纠正如果某个接入点上的客户端的RSSI等级较低，思科轻型接入点将会向思科WCS发出一个“覆盖盲区〞警报。这表示存在一个覆盖信号持续较差的区域，其中没有可通信的漫游地点。管理员可以查找接入点的历史记录，了解这些警报是不是一种长期现象。长期现象意味着存在一个长期的覆盖盲区，而不是一个偶发性的问题。如果是的话，思科无线局域网控制器将会调节接入点的发射功率等级，纠正所检测到的盲区。否那么，IT人员将可以借助准确的位置信息解决问题。客户端和网络负载均衡只有在客户端能够通过负载均衡，有效地利用容量的情况下，WLAN容量才具有实际意义。不幸的是，客户端并没有足够的智能来自行制定均衡决策，即使这可以带来更好的性能。例如，一个会议室中的所有用户可能都会与某个距离最近的接入点建立关联，而忽略某个距离较远、但是利用率较低的接入点。思科无线局域网控制器为所有接入点的客户端负载提供了一个集中视图。这可用于确定在哪里将新的客户端参加网络。另外，通过一定的设置，思科轻型无线解决方案可以主动地“驱使〞现有客户端关联到新的接入点，以提高WLAN的性能。这样，容量可以更加平均地分配到整个无线网络之中。真正的实时解决方案思科解决方案――思科WCS轻型接入点和无线局域网控制器――可以提供实时的RF管理。其他WLAN供给商采用了不同的方法来解决RF频谱问题，但是它们缺乏思科的实时检测RF改动和对WLAN配置进行相应调整的能力。例如，有些WLAN解决方案通过让接入点监听最不活泼的信道来进行信道分配。这种方式导致了接入点只能制定适合某一时间段的信道选择决策，而且接入点经常处于除了1、6或者11以外的信道上。因为这可能产生干扰，因而不适用于大多数企业环境。另外一种策略是开发一个网络管理应用，让IT人员可以将接入点组合到一起，发送到同一个信道。在这个信道中，它们能够以不同的功率等级发送信标。结果经过分析，可以为WLAN信道分配创立一个原始拓扑。它将由管理员保存，并发送到接入点。这种方式的问题在于一个多层建筑物总是存在垂直和水平重叠区域。这些应用通常没有考虑这些因素，因而只能创立一个局部拓扑。另外，这些扫描对WLAN的运行具有破坏作用，所以应当在非工作时间进行――不幸的是，办公楼在非工作时间通常都没有工作人员，大门紧锁，而且相邻的WLAN也不在工作，所以这时的RF状况也与平时大不相同。RF环境是动态的；IT人员不能只依赖于某个时刻的WLAN配置，尤其是非顶峰期的WLAN配置。企业也很难依靠现场调查工具和预定的RF扫描来处理WLAN配置。即使是支持“一键式〞WLAN分析和配置推送的工具也不具有足够的动态性能，无法满足实际无线流量的需要。它们还需要IT专家的亲自参与，使得他们无法适应大型企业无线网络的要求。实时RF管理应当模拟开放最短路径优先〔OSPF〕。OSPF可以利用路由参数，不断地监控网络的状态和对路由表进行必要的改动，以利用最正确的拓扑。利用内置的智能，可以仅在网络性能或者容量受到影响时才改动信道。将配置发送到一组接入点，但无法对系统性能和用户行为作出连续反响的无线管理系统，类似于过去的静态路由。当将路由输入曾经准确的路由表时，因为网络一直在不断变化，所以路由表在将来某个时刻并不一定准确――甚至它们的正确期仅为一天〔或者一个小时〕。上述阐述整个新大楼无线系统解决方案所能够实现的效果和具体的方法，能够在接入便利、平安、功能、运维、管理上满足集团新大楼的无线局域网络要求，整体上平衡这五个方面，后面介绍整体解决方案的各个局部：控制器、接入点、网络管理和定位效劳4个局部。这四个局部配合终端和AAA效劳器和Windows域AD效劳器3个局部就构成了完整的能够实现上述目标的一个实施方案。简单来讲：无线局域网解决方案部件功能：控制器： 控制所有的无线的运转过程AP接入点： 负责射频信号收发和射频扫描〔定位和恶意AP扫描，收集信号，分析在控制器〕。插上网线是对其唯一的手工操作。网络管理WCS： 图形界面管理，输入地理图和障碍信息，可以图示定位、射频信息，记录和审计，图示恶意AP，操作控制控制器的无线操作。一般和控制器一起部署，集团在新大楼的网管中心部署，可以在WCS上监控和操作整个无线局域网络系统，所有操作以WEB方式。定位效劳器： 提供定位分析。终端： 兼容绝大多数厂商的终端设备，没有限制。AAA效劳器： 提供集中认证，利用集团原有的ACS效劳器就可以。WindowsAD效劳器：可以连接AAA效劳器，当控制器到AAA进行认证时，AAA查询AD得到认证结果并返回，到达利用AD集中认证的结果。可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的。在介绍完各个局部后，设计方案局部详细描述各个楼层的具体设计和布点，以及所需要用到的设备以及数量。二、2轻型接入点协议新大楼无线解决方案采用LWCPP协议，即翻译为轻型接入点协议，WLAN领域的趋势是向集中智能和集中控制开展。使用一个WLAN控制器系统来为大量轻型接入点创立和执行策略。通过集中这些设备的智能特性，整个无线企业中对WLAN运营至关重要的平安性、移动性、效劳质量(QoS)和其他功能都可得到有效管理。此外，通过别离接入点和控制器的功能，IT人员能简化管理、提高性能并使大型无线网络更为平安。图6.轻型WLAN系统集中提供用于企业级RF管理和策略控制的智能随着更多供给商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管理轻型接入点如何与WLAN系统通信的标准化协议。这也正是互联网工程任务小组〔IETF〕最新标准草案，即轻型接入点协议〔LWAPP〕的作用所在。凭借LWAPP，能部署功能最多、具更高灵活性的大型多供给商无线网络。为什么要部署轻型接入点？传统的WLAN解决方案将所有的流量处理、RF控制、平安和移动功能分散到各接入点提供。但这种架构只允许单个接入点浏览流量。这意味着：当未配备管理设备时，必须分别管理各接入点，从而提高运营本钱和增加对人员的要求无法查看系统中的网络级攻击和干扰在第一层、第二层和第三层中只有一个平安策略实施点无法发现和抵御针对整个WLAN的拒绝效劳(DoS)攻击系统不能关联或预测企业中的活动实现优化、实时的负载均衡的能力有限客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的如果一个接入点被偷窃或破坏，就会带来内部平安风险图7.对等WLAN架构限制了性能、可管理性和平安性的提高大量设备供给商已纷纷采取措施，来消除对等WLAN架构的局限性〔图7〕。其中许多供给商宣布采用新架构，集中部署WLAN智能，以实现更高性能和效率。标准化需求随着越来越多的产品使用带集中WLAN智能的轻型接入点，市场需要一个管理这些设备相互间如何通信的业界标准。LWAPP是IETF工作小组为解决此问题而制订的标准化草案。LWAPP最初由Airespace(2005年3月被思科系统公司收购)和NTTDoCoMo制订，是接入点和WLAN系统〔控制器，交换机，路由器等〕之间的标准化通信协议。其制订目标如IETF标准所述，旨在：降低接入点中的处理负担，使这些设备中有限的计算资源可主要用于提供无线接入功能，而非用于过滤及策略实施实现能对整个WLAN系统集中进行流量处理、验证、加密和策略实施〔QoS，平安等〕的机制通过第二层根底设施或IP路由网络，提供一个通用封装和传输机制，用于实现多供给商接入点互操作性LWAPP标准通过定义以下类型的活动，解决了这些问题：接入点设备发现、信息交换和配置接入点认证和软件控制分组封装、分段和格式化在接入点和无线系统设备间进行通信控制和管理LWAPP的广泛采用使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，因此他们不再需要根据哪些设备能配合工作而作出购置决策，而是可根据各接入点和无线系统设备的具体功能制订决策。LWAPP在市场中得到广泛接受，减少了被迫锁定于一个供给商，即只有将接入点与同一供给商的WLAN系统设备共用，才能获得最优运行效果的现象。LWAPP还提供了一个开放标准解决方案，可在多供给商集中WLAN架构上提供平安的第二层和第三层网络效劳。此外，凭借LWAPP，第三方供给商也可拥有一个用于部署应用的通用架构。运行LWAPP当LWAPP于2002年首次进入WLAN行业时，它通过“别离MAC〞概念使管理WLAN部署的方式发生了革命性的改变，“别离MAC〞可将802.11协议的实时功能和其大多数的管理功能别离〔图8〕。具体来说，实时帧交换和MAC管理的某些实时局部在接入点中完成，而验证、平安管理和移动功能由WLAN控制器处理。采用了LWAPP的思科集中WLAN解决方案，是第一个使用别离MAC的集中WLAN系统。图8.“别离MAC〞LWAPP协议与思科智能RF管理功能的结合可使客户在很多方面获益：管理动态的系统级RF管理，包括一系列可实现平稳无线运营的特性，如动态信道分配、传输功率控制和负载均衡。单一图形化企业级策略界面，包括VLAN、平安和QoS。平安企业级平安策略包括从无线层到MAC层、再到网络层的无线网络的所有层次。这样即可更方便地提供统一实施的平安和QoS功能，或用户策略，来满足手持扫描仪、PDA或笔记本电脑等不同设备类型的特定功能。发现和抵御DoS攻击，以及检测和拒绝恶意接入点。这些功能运行于整个思科轻型无线局域网解决方案之上。移动类似于的快速切换。对WLAN语音等实时移动应用提供出色支持。LWAPP是关键业务型无线网络的重要构建块。它也是构建大规模混合WLAN的根底。通过为RF互联网提供一种标准化方式，LWAPP可保护公司的WLAN投资，简化RF管理，并优化用于各种规模的WLAN部署的无线网络。二、3无线局域网控制器思科无线局域网控制器适用于企业无线局域网部署，并提供了系统级无线局域网功能，如平安策略、入侵防御、RF管理、效劳质量(QoS)和移动性。它们与Cisco1000系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据效劳到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建从分支机构到主园区的平安、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议〔LWAPP〕，与Cisco1000系列轻型接入点在任意第二层〔以太网〕或第三层〔IP〕根底设施上通信〔图2〕。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信平安，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营。Cisco4400系列无线局域网控制器图9.集中型无线局域网思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统，创立和实施策略。多个WLAN控制器可自动相互发现，并在它们之间无缝协调WLAN效劳。以这种方式，思科无线局域网控制器可作为单一无缝系统运行，提供一个有数千AP的可扩展WLAN网络。从语音和数据效劳到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建平安的企业级无线网络。如何部署无线局域网控制器思科系统公司提供了几种无线局域网控制器，适用于不同的企业部署情况。这其中包括Cisco2000系列、4100系列和4400系列。Cisco2000系列为中小型企业环境提供了思科屡获大奖的无线局域网效劳。它可支持多达6个轻型接入点，是用于小型楼宇的经济有效的解决方案。凭借集成动态主机控制协议(DHCP)效劳和自动接入点配置，Cisco2000系列也适用于现场IT支持有限的环境，如分散型企业中的分支机构。Cisco4100系列无线局域网控制器适用于中型机构。它有三种配置—4112、4124和4136，它们分别最多可支持12、24和36个接入点。Cisco4100系列提供了单一千兆以太网上行链路，和一条热待机链路，可提供高速局域网连接和网络可靠性。Cisco4400系列无线局域网控制器适用于大中型机构，有两个型号—带2个千兆以太网端口，其配置可支持12、25和50个接入点的4402，以及带4个千兆以太网端口，支持100个接入点的4404。4402具有1个扩展插槽，4404具有2个扩展插槽，可用于在将来添加增强功能，如VPN终结等。此外，每个4400WLAN控制器均支持一个可选冗余电源，以确保最高可靠性。无线局域网控制器的智能RF管理所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最正确拓扑的方式，为无线网络创立最优拓扑。图10.覆盖整个企业的RF智能思科无线局域网控制器所管理的特定智能RF功能包括：动态信道分配信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。干扰检测和防止—该系统可检测干扰并重新调整网络，以防止性能问题。负载均衡—此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，也能获得最优网络性能。覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。动态功率控制—该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保到达预期的无线性能和可靠性。无线局域网控制器实现严格的平安性思科无线局域网控制器符合最严格的平安标准，包括：802.11iWi-FiWPA2，WPA和有线等效加密(WEP)，带多种可扩展验证协议(EAP)类型—受保护EAP(PEAP)，带传输层平安的EAP(EAP-TLS)，带隧道化TLS的EAP(EAP-TTLS)和思科LEAPVPN终结—4100系列的可选模块，提供IP平安(IPSec)和第二层隧道协议(L2TP)VPN终结因此，它堪称业界最全面的无线局域网平安解决方案。在思科无线局域网架构中，接入点可作为无线监控器，向无线局域网控制器通报有关无线域的实时信息。经由思科WCS，可进行准确分析并采取校正措施，从而迅速识别所有平安威胁，并将其提交给网络管理员。思科提供了唯一能同时进行无线保护和提供无线局域网效劳的无线局域网系统。这有助于确保实现完整的无线局域网保护，无需花费重复的设备本钱或购置额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署，再在稍后重新配置，添加无线局域网数据效劳。这使网络管理员能环绕其RF域创立一个“防御屏障〞，抑制未授权无线活动，直至他们作好部署无线局域网效劳的准备为止。思科通过提供以下多个保护层来实现无线局域网平安：RF平安—检测和防止干扰和消除不必要的RF传播无线局域网入侵防御和定位—思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁，而且能对这些设备定位。这使系统管理员能快速评估威胁级别，立即按需采取措施来抵御威胁。基于身份的联网—IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的平安策略。这其中包括：第二层平安功能—802.1x(PEAP,LEAP,TTLS),WPA,802.11i(WPA2)和L2TP第三层〔和更高层次〕的平安功能—IPSec,web验证VLAN分配访问控制列表〔ACL〕—IP限制，协议类型，端口和差分效劳代码点(DSCP)数值QoS—多个效劳级别，带宽减少，流量整形和RF利用验证、授权和记帐(AAA)/RADIUS—用户连接策略和权限管理网络准入控制(NAC)—实施客户端配置和行为策略，以确保只有拥有适当平安工具的终端用户设备才能访问网络。平安移动—在移动环境中保持最高平安水平。这包括随用户移动而移动的VPN，无需重新建立平安隧道。此外，思科已开发了主动密钥缓存(PKC)，这是8标准的扩展、标准的前身，可通过AES加密和RADIUS验证实现平安漫游。访客隧道—为访客接入公司网络提供更高平安性。它可确保访客如不首先通过公司防火墙，就无法接入公司网络。图11.多层无线局域网保护无线局域网控制器支持实时应用思科无线局域网系统提供最正确性能来支持语音等实时应用。思科无线局域网控制器可迅速在接入点和多个控制器间切换，在不干扰客户端效劳的情况下平稳移动。智能的队列和争用管理机制可高效管理无线频谱空间。此外，思科无线局域网控制器在使用平安时，支持PKC，可提供实时性能和移动性。思科也支持兼容Wi-Fi多媒体(WMM)、根本符合新兴标准的QoS功能。一旦最终标准得到批准，通过一次软件升级，即可完全符合最终标准。无线局域网控制器支持移动性思科无线局域网控制器使用户可在接入点、交换机，甚或路由子网间漫游。无论用户漫游到何处，平安和QoS上下文信息都一直跟随着用户，以确保移动不会影响性能、可靠性或保密性。思科无线局域网控制器无需对现有根底设施或客户端设备作任何修改，即可实现移动性。因此，思科无线局域网系统易于部署，其拥有和运营均经济高效。无线局域网控制器为企业提供可靠性思科为关键任务型无线网络提供了最高水平的可靠性。在接入点发生故障时，无线局域网控制器可自动调整邻近接入点的功率，以覆盖故障接入点原来提供效劳的区域。在单个控制器发生故障时，接入点可自动找到一个备用无线局域网控制器，来继续提供无线效劳。思科无线局域网控制器能以N+1冗余拓扑部署，使企业在扩展其无线网络的同时，确信他们不会发生硬件和软件问题。只有思科无线局域网解决方案能使用户不必降低可靠性，即能控制无线部署的本钱。Cisco4400系列支持冗余电源，确保即使发生了电源故障，也可保持系统运行。无线局域网控制器特性和优点表的特性和优点特性优点企业可扩展性可扩展架构为各种规模的地点提供了关键业务型无线效劳。集成无线资源管理(RRM)创立了一个智能RF控制平面，可实现自配置、自治愈和自优化。零配置部署无需修改现有路由和交换根底设施，也无需配置接入点，即可部署系统。多层平安灵活的平安策略可根据不断变化的公司平安需求而调整。入侵检测、定位和抑制集成无线入侵保护可保持无线网络和敏感公司信息的完整性。移动管理无需特殊客户端软件的子网间漫游，使设备管理极为方便；不对核心路由根底设施作任何修改，使漫游简单易行。企业可靠性可从轻型接入点和无线局域网控制器故障中自动恢复，实现了无线网络的最高可靠性。直观的管理界面更好地了解和控制无线空间，可降低运营本钱。二、4轻型接入点CiscoAironet1000系列轻型接入点提供了业界领先的RF功能和范围最广泛的部署选项，可以最大限度地提高无线局域网的性能、平安性、可靠性和易用性。这使得思科无线局域网解决方案可以适用于任何企业环境。图12CiscoAironet1000系列轻型接入点CiscoAironet1000系列轻型接入点为与思科无线控制器和无线控制系统管理工具配合使用进行了专门的设计。它们可以提供对802.11a、802.11b和802.11g的双频支持，并且能够通过同步无线监控实现动态、实时的RF管理。另外，CiscoAironet1100系列轻型接入点还可以处理一些对时间敏感的功能，例如第二层加密。该功能让思科无线局域网可以平安地支持语音、视频和数据应用〔如图13所示〕。图13覆盖整个企业的RF智能CiscoAironet1000系列轻型接入点将同时数据转发和无线监控功能结合到了一起，使得用户不需要再使用额外的监控节点，从而降低了无线网络的运营本钱。这将实时监控拓展到了无线根底设施的每个角落，简化了网络设计和部署，并且最大限度地提高了RF平安性〔如图14所示〕。图14集成化无线监控和数据效劳灵活的部署选项CiscoAironet1000系列轻型接入点配备了内部2.4GHz和5GHz射频收发装置和扇形天线，其中的1020和1030型号可以通过RP-TNC接头来连接可选的外部天线。这些多模802.11a/b/g接入点可以提供最大限度的部署灵活性和投资保护。另外，所有型号都通过了UL2043认证，支持几乎所有的楼宇部署场合，例如安装在高压空间中。这些设备支持IEEE802.3af以太网供电〔PoE〕和自动MDI/MDIX，可以提供基于标准的“无线〞效劳质量〔QoS〕，从而实现更高的部署灵活性。利用轻型接入点协议〔LWAPP〕，思科轻型接入点可以自动地发现最适用的思科无线局域网控制器，并在不需手动操作的情况下直接下载相关的策略和配置信息。CiscoAironet1000系列包括三款接入点，它们都配有2.4和5GHz射频收发装置，支持802.11a、802.11b和802.11g。它们全都能够与思科无线局域网控制器和无线控制系统管理工具进行互操作。每款产品都针对不同的应用场合进行了专门的优化：AP1010配有两个集成化扇形天线。它适用于办公室和类似环境，可以提供方便的部署和可预测的覆盖模式。AP1020配有集成化扇形天线和一个用于连接外部天线的RP-TNC接头。通过选择不同款式的思科天线，客户可以获得各种各样的覆盖形式和范围。AP1020针对更具挑战性的RF环境而设计，可以提供很高的安装灵活性。AP1030配有集成化扇形天线和一个用于连接外部天线的RP-TNC接头，以及一组针对特定应用设计的扩展软件功能。远程边缘接入点〔REAP〕功能让AP1030可以从无线局域网控制器进行远程部署，从而适用于分支机构和小型零售地点。AP1030可以提供与AP1010和1020相同的LAN平安性、性能和RF管理功能，并且可以支持大局部标准的WAN技术，包括T1、帧中继、ATM、DSL、ISDN和交换56k。这些功能让IT经理可以集中控制SSID、平安参数和软件负载，提供统一的、覆盖整个企业的无线局域网效劳。无线回程功能适用于需要将接入点部署于一个无法或者难以接入以太网的位置的应用。利用AP1030，客户可以将任何一个内部射频设置为无线上行链路，并通过一个有线上行链路直接与传统〔根〕接入点建立关联。无线回程功能适用于工厂、仓库、飞机、可控制飞行器和相对规模较小的室外部署等应用。支持点对点和点对多点桥接功能。通过这种应用，每个Cisco1030接入点的以太网接口被插入到一个有线网络之中，同时2.4或者5GHzRF接口通过无线方式将该网络关联和参加到同一个管理域。利用最远可达1英里〔1.6公里〕的可选外部天线，AP1030为连接永久性的和临时性的园区设施提供了一种替代有线网络和T-1线路的廉宜方案。应用CiscoAironet1000系列轻型接入点为需要覆盖灵活性的企业环境和部署进行了专门的设计，提供了多种天线、覆盖范围和安装选项。例如，一个大学校园可以利用Cisco1010轻型接入点，在教室中建立无线局域网。对于礼堂和公共场所，Cisco1020轻型接入点可以采用增益较高的外置天线，以扩大覆盖范围或者提供特殊的覆盖模式。在需要多个接入点的大型企业无线局域网部署中，IT人员可以轻松地对CiscoAironet1000系列轻型接入点进行软件升级。软件改动会从思科无线局域网控制器自动地发送到所有接入点，从而提供平稳、经济的升级，确保在不对接入点进行手动干预的情况下支持新的无线标准。这项功能还可以确保整个网络的互操作性――软件会自动地在整个思科无线局域网系统中保持统一。特性和优点表2列出了CiscoAironet1000系列轻型接入点的特性和优点。表2CiscoAironet1000系列轻型接入点的特性和优点特性优点基于标准的LWAPP有助于确保轻型接入点和无线局域网控制器之间的通信可以满足未来需要的WLAN投资自动配置和管理降低部署无线网络所需的本钱和时间大幅度简化日常运营同时提供无线监控和数据效劳最大限度地降低设备需求简化网络设计通过对整个网络进行全面的实时监控加强平安性内部和外部天线选项提供灵活的部署和重新部署选项平安支持现有的和预定的平安策略入侵防御有助于确保某个相邻企业或者恶意用户不能闯入无线网络发现和控制恶意接入点QoS提供对无线空间的有效资源管理总结CiscoAironet1000系列轻型接入点适用于企业部署。通过兼具802.11a和802.11b/g功能的射频收发装置和内部集成天线，这个系列可以为用户提供足够的灵活性，帮助他们满足最严格的应用的性能要求。同时，它们的平安和管理功能为实现可互操作的IEE802.11i平安和方便的部署提供了全面的支持。Cisco1010为简化部署提供了集成化天线。Cisco1020配有RP-TNC天线接头，可以利用多种可选的外部天线支持扩大的范围。Cisco1030为将多个远程地点或者远程办公室连接到集中的WLAN控制器提供了一个理想的解决方案。对于企业环境而言，CiscoAironet1000系列轻型接入点为建立平安、可扩展、企业级的无线局域网提供了一个业界领先的接入点解决方案。二、5网络管理WCS思科无线控制系统(WCS)思科无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的根底，使IT管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有本钱。图15.思科无线控制系统(WCS)凭借思科WCS，网络管理员可拥有单一解决方案，来进行RF预测、策略配置、网络优化、排障、用户跟踪、平安监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。思科WCS运行在效劳器平台上，有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性，而这些控制器可管理数千思科轻型接入点。无线局域网控制器可位于思科WCS所在的LAN中、分布于多个独立路由子网或位于广域连接之上。籍此，思科WCS甚至可为最大的企业环境提供理想的无线局域网管理平台。思科WCS在整个无线网络中支持以下功能：无线局域网规划和设计思科WCS提供了集成化RF预测工具，它们可用于创立详细的无线局域网设计，包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地面布局输入思科WCS，并确定楼宇中各组件的RF特性，以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为，以便更方便地进行规划和更快地实施部署〔图16〕。图16.规划工具网络监控和排障思科WCS提供的工具可帮助IT管理员查看其无线网络的布局，并持续监控WLAN性能。这其中包括详细的热点图，显示了所输入的地面之上的RF覆盖范围。WCS还提供了一个门户，用户可通过它获得思科WLAN控制器所提供的实时RF管理功能，包括信道分配和AP输出功率设置。此外，WCS可快速查看覆盖盲区、报警和关键的使用统计数据，实现了方便的WLAN监控和排障〔图17〕。图17.查看RF覆盖范围位置跟踪思科提供了各种选项，来有效地跟踪无线设备，包括支持Wi-Fi的笔记本电脑、PDA、和配备了802.11收发器的移动设备。WCS的根本版本可确定一台无线设备与哪个接入点相关联，使IT管理员大致了解无线设备的位置。需更精确的定位效劳的环境可部署WCS的一个可选版本，称为定位型WCS，它采用了即将荣获专利的“RF指纹〞技术。该技术将实时客户端RSSI信息与RF楼宇特性相比拟，使思科成为唯一能准确定位无线设备，结果可以准确到几米之内的WLAN根底设施〔图18〕。此外，定位型WCS能与思科无线定位设备一起部署，同时实时地跟踪数千个无线客户端。凭借这些先进的位置跟踪功能，思科解决方案成为了一个理想的平台，可支持具有无线移动性的关键业务应用，如资产跟踪、库存管理和增强911(e911)效劳。通过将位置跟踪集成入无线局域网根底设施，思科降低了无线局域网部署的复杂性和总拥有本钱。图18.WCS可准确指出无线客户端的位置无线保护思科WCS在一个思科无线根底设施中提供了管理和实施平安策略的全套工具。这其中包括：RF攻击签名和无线入侵防御—思科WCS使IT人员可创立能定制的攻击签名文件，可用于迅速检测与RF相关的常见攻击，如拒绝效劳(DoS)、Netstumbler和FakeAP。用户可对思科WCS编程，使其在发现攻击时自动生成报警。详细的趋势报告〔图19〕可帮助IT人员在威胁造成重大损失前发现反复出现的平安问题。图19.无线平安问题总结恶意设备检测、定位和控制—思科WCS平台使用即将荣获专利的技术，来持续监控无线空间，寻找非法接入点和临时网络。如果出现未授权设备，可使用思科WCS确定其位置并评估威胁级别。如认为是恶意设备，IT管理员可利用WCS来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。策略创立和实施—思科WCS包含一个效劳策略引擎〔图20〕，使网络管理员能方便地创立虚拟LAN〔VLAN〕、RF、效劳质量〔QoS〕和平安策略。凭借思科WCS，IT人员可创立多个独特的效劳集识别符〔SSID〕，各自带独立的平安参数。例如，一个“访客〞SSID可通过Web验证来保护；“语音〞SSID可能需利用内置的有线等效保密(WEP)功能；而普通的数据流量那么可用或IP平安(IPSec)来保护。思科WCS可在完整的思科无线网络、独立的思科无线局域网控制器，甚或独立的轻型接入点上实施平安策略。图20.策略引擎用户拒绝列表—IT人员可使用思科WCS来主动拒绝某些特定用户与无线网络建立连接。此外，如果发现异常活动，受到影响的设备会被标记，如果认为它们是恶意设备，会拒绝它们接入网络。这些设备就无法获得无线局域网效劳，直至拒绝列表中规定的时间到期，或IT人员决定允许其访问无线局域网为止。无线局域网系统管理思科WCS使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心功能：排障—思科WCS整合了重要的网络信息，如噪音级别、信噪比、干扰、信号强度和网络拓扑等，使网络管理员能隔离和解决所有无线网络层次中的问题。软件升级—凭借思科WCS，只需点击一次鼠标，即可从单一位置执行对于思科无线局域网设备的升级。网络映射—思科WCS可自动发现无线网络中的各个设备。因此无需进行手动数据库配置和维护，且可提供准确信息，以用于容量规划和排障。定制报告—思科WCS可生成大量报告，以记录网络活动和系统信息。其中包括客户端统计数据、无线频谱利用数据、计数器、RF管理配置历史和报警〔图21〕。图21.所发现的恶意AP和客户端活动报告灵活、平安的访问思科WCS使用SNMP版本3来提供最高水平的网络管理功能和平安性。该协议可用于在思科WCS效劳器和各无线局域网控制器间通信。此软件也支持SNMP版本1和版本2，这使其他网络管理平台也能对其进行查询。网络管理员可通过任意运行HTTP或平安HTTP(HTTPS)的标准浏览器来访问思科WCS，确保能随时、随地使用思科的管理功能。特性和优点表3列出了思科WCS的特性和优点。表3.思科无线控制系统的特性和优点特性优点直观的GUIIT人员只需极少的培训，即可方便地对其无线网络进行配置、监控和排障。层次化视图IT人员能快速访问不同的地区、园区、楼宇、楼层和区域，更好地查看和控制情况。无线局域网规划工具准确的RF预测工具提高了无线局域网规划和设计的有效性。高度准确的集成化位置跟踪〔由定位型WCS提供〕跟踪用户和设备，保护资产并增强无线局域网的平安程度。策略管理模板可在整个企业中方便地创立和实施统一的QoS、平安和RF管理策略。全面的无线局域网入侵保护定制签名文件可防御未授权入侵和RF攻击；自动报警能使用户迅速响应，从而降低风险。简单、便利的软件升级无需手动干预，即可使无线局域网控制器和轻型接入点保持最新版本。强大的API此界面提供了与外部软件系统的集成，包括工作流程软件、故障管理系统和其他使用无线效劳的应用。总结思科WCS适用于企业无线局域网部署，简化了无线网络的部署和运营，有助于确保性能平稳、增强平安性并实现最高网络可靠性。思科WCS可集中管理园区环境和分支机构中的所有思科无线局域网控制器和Cisco1000系列轻型接入点，消除了复杂性，使网络管理员可查看和控制其无线局域网。二、6定位效劳器思科无线定位设备思科无线定位设备是业界第一款能够直接从WLAN根底设施内部跟踪数千个设备的定位解决方案。它为重要资产跟踪、IT管理和基于位置的平安技术提供了一个经济有效、高分辨率的定位解决方案。这种创新的设备可以通过一个功能强大的、开放的应用编程接口〔API〕，与多种技术和应用合作伙伴紧密集成，从而为多种新型的、重要的业务应用提供支持。这些功能使得思科无线定位设备成为了目前所有企业级WLAN必不可少的重要组成局部。图22.定位效劳器产品概述思科无线定位设备是一个创新的、便于部署的解决方案。它可以利用先进的RF指纹技术，直接从WLAN根底设施内部跟踪数千个802.11无线设备，从而提高资产的可见度和加强对无线空间的控制。另外，该设备能够记录丰富的历史位置信息，这些信息可用于位置趋势分析、迅速解决故障和RF容量管理。通过为功能强大的、基于位置的应用〔例如增强911[E911]〕效劳的部署提供支持，以及借助与思科无线定位API的集成实现资产管理和工作流自动化，该设备将为各种客户提供一个至关重要的解决方案，效劳于大型企业乃至各个垂直行业，例如医疗、金融、零售、制造和联邦政府。思科无线定位设备的独特设计使其可以直接集成到WLAN根底设施之中，从而通过具备“位置感知能力〞而降低客户的总拥有本钱和增强现有WLAN根底设施的价值和平安性。思科无线定位设备可以利用思科无线局域网控制器和思科轻型接入点，跟踪无线设备的物理位置，结果可以准确到几米之内。而且，思科无线控制系统〔WCS〕的集中WLAN管理功能和简单明了的GUI可用于管理和设置思科无线定位设备，从而让安装过程变得非常迅速和直观。产品架构“读取器〞。这些接入点可以从所有Wi-Fi设备采集接收信号强度指示〔RSSI〕信息，其中包括支持Wi-Fi的笔记本电脑、、Wi-Fi标签、恶意〔未经授权的〕设备和恶意接入点。搜集到的RSSI信息随后会通过轻型接入点协议〔LWAPP〕发送到思科无线局域网控制器，或者特定的无线集成化交换机。然后，思科无线局域网控制将汇总RSSI信息，通过简单网络管理协议〔SNMP〕发送到思科无线定位设备。思科无线定位设备会根据它从思科无线局域网控制器搜集到的RSSI信息，进行位置计算。搜集RSSI信息的思科无线局域网控制器必须与思科无线定位设备建立关联〔如图23所示〕。图23集成化定位效劳架构概况一旦网络拓扑和接入点被添加到该设备中，它就会生成RF预测和热点地图，在当地的建筑平面图上显示数千个设备的位置。思科WCS可以直观显示它的位置信息〔如图24所示〕，从而及时地为那些希望加强RF容量管理、采用基于位置的平安措施和加强WLAN设备的可见度的客户提供位置应用。这些位置信息还可以通过设备上的一个简单对象访问协议/可扩展标记语言〔SOAP/XML〕API供给第三方应用使用，从而为多种基于位置的应用创立一个可扩展的平台。图24思科无线定位设备：同时对数千个用户、设备和接入点进行实时跟踪。思科WCS可以通过一个直观的、内容丰富的GUI管理思科无线定位设备。该GUI可以提供集中的管理和配置。为了进一步提高可扩展性，思科WCS还可以管理一个或者多个思科无线定位设备。思科WCS视图过滤器和灵活的搜索标准使得用户可以方便地根据自己的需要查看特定的位置数据。图25显示了一个针对恶意接入点和设备的视图。用户可以针对多种选择创立这种有针对性的视图，包括设备种类、逻辑名称、检测时间和物理位置〔例如某个楼层〕。例如，在一所医院中，用户可以创立一个针对“第三层的所有输液泵〞的视图。图25思科无线定位设备：专门针对恶意接入点和设备的视图无线平安和快速排障思科无线定位设备让IT经理可以迅速、准确地发现平安威胁，例如恶意接入点和设备。恶意接入点可能会创立潜在的平安漏洞和不平安的WLAN连接，导致整个网络受到严重的威胁。恶意设备由员工或者入侵者安装。通过更加准确地定位这些设备，IT经理可以迅速地隔离平安威胁和未经授权的网络访问尝试。对这些恶意设备的准确检测有助于确保合法客户端只与可靠的接入点建立关联，从而提供更高的WLAN平安性。另外，IT经理还可以利用思科无线定位设备，为基于位置的平安措施建立框架――从而进一步加强WLAN的平安。通过深入查看设备的详细位置和统计信息，IT人员可以方便地审查平安警报或者移除警报，隔离、限制无线入侵者，迅速排障和简化设备管理〔如图26和图27所示〕。例如，可以在客户端上找到有效的平安数据，包括关于用户最近、过去在什么时间到过哪里的物理位置信息，客户端流量分析，以及IP地址、用户名、MAC地址、效劳集标识符〔SSID〕和接入点关联细节等。这项功能还提供了一个丰富的信息审查索引。IT人员可以利用便于输出的日志文件，将其存档和使用30天或者更长的时间。图26思科无线定位设备客户端细节――页面视图顶部图27思科无线定位设备客户端细节――页面视图底部用于RF容量管理和可见度的位置趋势分析思科无线定位设备可以生成多种有助于加强RF容量管理的信息。这些信息可能建立在以下因素的根底上：位置趋势――即用户在什么时间到过哪里，例如客户端/标签在某一层中的分布；统计位置信息――即用户曾经到过哪里和相关流量分析；覆盖区域――热点所在的位置。根据人员和流量的分布情况，可以了解RF资源的集中程度，以及WLAN处理客户端的方式〔如图28所示〕。图28思科无线定位设备位置趋势分析特定地点搜索通过多个针对特定的用户兴趣而定制的灵活参数，可以方便地进行有针对性的搜索。这些搜索标准包括但不仅限于：资产种类，例如标签、客户端、恶意设备和定制的逻辑资产名称；物理位置参数，例如楼层、园区、楼宇、关联接入点；检测时间；协议，SSID，IP和MAC地址，以及用户名。例如，图7显示的是一个旨在列出某个特定资产群组内的所有标签的搜索操作。用户也可以同样方便地搜索某个楼层中的所有恶意设备。图29思科无线定位设备标签搜索参数与基于位置的应用的集成为了促进基于位置的应用在企业中的部署，思科无线定位设备配备了一个功能丰富的、开放的、基于SOAP/XML的API。应用可以通过从定位设备导入所有可能影响无线空间的组件〔例如整个网络的拓扑，包括楼宇、楼层、接入点、覆盖范围和设备列表〕，迅速地利用位置信息。其他一些有效的数据也可以被导入，例如最近和过去的位置和统计设备信息。基于位置的警报和通知可以通过区域边界定义、许可区域和距离而在应用中触发。所有这些功能使得思科无线定位设备API可与使用位置信息的外部软件应用〔例如E911、资产管理、企业资源方案[ERP]工具和工作流程自动化系统〕建立紧密、透明的集成。这使思科无线定位设备成为了任意端到端企业解决方案的理想选择。特性和优点思科无线定位设备可以为使用关键业务型无线局域网的企业提供很多实际的好处，其中包括：提高准确性――思科无线定位设备可以利用思科即将荣获专利的RF指纹技术确定无线设备的位置。思科拥有唯一可以将楼宇的RF特性〔例如多路径或者衰减〕与实时用户信息关联，以跟踪移动设备〔结果可以准确到几米之内〕的WLAN根底设施。可扩展性――利用思科无线定位设备，用户可以同时跟踪数千个无线客户端和Wi-Fi标签，以确保位置效劳可应用于整个企业环境。降低总拥有本钱――思科解决方案可以通过将现有的思科WLAN网络根底设施与定位设备相结合，降低运营开支。这种方式比独有的或者单一用途的位置跟踪解决方案更为经济，因为它采用了标准的802.11组件，不需要为位置跟踪采用专用接入点。透明集成――思科是唯一可以将位置跟踪集成到现有WLAN根底设施中的供给商。提供数据流量的思科接入点也可用于定位无线设备。这有助于最大限度地减少投资开支，确保更高的可见度，让WLAN可以利用位置信息加强平安和容量管理。灵活性――思科提供了唯一可以跟踪802.11客户端〔例如笔记本电脑、PDA和其他配备了有源射频标识[RFID]标签――标签由思科合作伙伴提供――的非Wi-Fi移动设备〕的WLAN系统。这可以帮助IT人员跟踪任意移动装置。简化业务应用的部署――利用思科无线定位设备，可以方便地部署资产跟踪、库存管理、基于位置的平安措施、自动化工作流程管理和其他新型业务应用。表4思科无线定位设备的特性和优点综述特性优点可扩展的位置跟踪和资产管理利用先进的RF指纹技术和直观的网络拓扑图，同时跟踪数千个用户和设备〔结果准确到几米之内〕。通过定位设备，有效地访问更新的和历史的位置信息。集成化的、经济有效的位置跟踪提供Wi-Fi流量的思科轻型接入点也可以定位无线设备。这可以最大限度地降低TCO，确保更高的可见度，让WLAN可以根据位置信息加强平安性和容量管理。增强的WLAN平安性迅速、准确地定位恶意设备和恶意接入点，让IT经理可以迅速地制止平安威胁和未经授权的网络访问尝试。这让IT经理可以建立一个稳固的框架，以通过基于位置的平安功能增强WLAN平安。直观的集中管理只需经过少量培训，IT人员就可以利用直观的思科WCSGUI，集中、方便地添加、配置、管理和升级一个或者多个定位设备。通过WLAN模板和现成的RF测量模型，集中、可扩展的部署变得非常方便。思科WCS还支持访问控制设置；内容和轮询频率的定义；存档参数的配置。它还可以记录和查看思科无线定位设备的效劳器事件和严重程度。层次化拓扑图从思科WCS将网络设计、拓扑图和接入点分布导入到思科无线定位设备，迅速、方便地以浏览器的方式查看不同地点、园区、楼宇、楼层和区域的设备。对网络变动的透明永续性思科WCS会定期轮询定位设备的状态和改动，以便在思科WCS和思科无线定位设备之间保持同步的控制数据，例如网络拓扑图。思科WCS和思科无线定位设备之间存在一种双向智能同步机制，有助于确保双方都具有最新的信息。特定视图列表利用了过滤器和灵活的搜索参数、可定制的特定视图让用户可以方便地查看数千个设备。通过支持为资产种类使用逻辑性强、便于理解的定义，有助于改良直观查看功能。增强的RF容量管理用户可以方便地深入查看详细的客户端位置信息和统计信息，以及生成趋势，从而加快排障速度，加强对RF容量和设备的管理。灵活、方便的部署利用“现成的〞RF模型和预测技术，可以实现迅速的部署。这些技术能够将楼宇的RF特性与实时的用户信息结合到一起，以便进行准确的跟踪。加强的部署灵活性是通过基于模板的RF模型提供的。这些模板可以通过编辑，适应特定的RF环境，以及支持可重复使用的、定制的RF测量模型。审查索引和数据库维护可以存档和使用长达30天的位置和统计无线设备信息。为了存档30天以上的信息，可以方便地将其导出到日志文件。为了保持最优的位置数据库性能，内置了可设置的自动删除和碎片整理间隔。强大的API通过与功能丰富的、开放的API紧密集成，可以部署多种能够利用基于位置的信息的应用，例如E911、资产管理、ERP工具和工作流程自动化系统。应用思科无线定位设备可部署于多个行业的不同环境和场合之中。主要的应用场景包括：移动设备的可见度和跟踪――通过防止重要的移动资产的丧失或者失窃，可以降低运营和投资开支。例如，医疗环境中的轮椅和输液泵，以及企业的高射投影仪、笔记本电脑和等。在一个无线环境中，位于任何位置的个人和资产都可以被迅速找到。工作流程自动化和人员跟踪――库存使用、电子工作流程和分发流程都经过了优化。在一个零售环境中，店面布局和队列管理都可以通过跟踪客户的购物“模式〞进行优化。在一个娱乐公园中，家长可以随时知道孩子所在的位置。在相关设施中，用户还可以跟踪平安人员的位置。在医护人员严重短缺的医疗机构中，医院可以在正常工作期间或者在急需“距离最近的〞医护人员的紧急抢救期间，跟踪医护人员的位置。其他具有特殊需要的医护人员可能需要跟踪婴儿或者老年人的位置。例如，有些患有阿尔茨海默氏病的老年人经常会在医院内迷路。远程测量――带有串行接口的Wi-Fi标签可以被附加到某个设备上，将设备的重要信息直接发送到业务应用。例如，汽车租赁企业常常需要与返还车辆的里程数和剩油有关的测量信息，而客户需要可以帮助他们更快地找到车辆的位置信息。医药厂商、制造工厂和零售商需要关于产品的批数、过期时间、产品编号、序列号和不合格条件的信息。另外，在医疗行业，知道某个输液泵的位置固然重要，但是知道它是否正在使用〔启动还是关闭〕更为重要。WLAN平安和网络控制――IT人员可以迅速地定位平安威胁，例如恶意接入点和恶意客户端设备。IT经理还可以利用该设备为基于位置的平安措施建立框架，从而将楼宇的物理平安用于控制WAN接入――进一步加强WLAN的平安性。RF容量管理和可见度――通过将位置跟踪集成到WLAN中，IT人员可以执行除跟踪用户以外的很多任务。利用这种设备，他们可以生成基于位置的趋势报告，查看详细的使用行为，以适应流量模式的变化，实现更高质量的RF容量管理。基于WLAN的语音〔VoWLAN〕――很多州的法律都要求E911效劳必须能够让紧急派遣人员可以确定某个遇到困难的求助者的位置。E911效劳可以通过针对无线语音设备的准确位置跟踪而具备这种能力。位置跟踪已经成为今天的WLAN的一个重要组成局部。通过发现和跟踪无线用户的位置，企业可以提高WLAN规划和部署的准确性，优化长期的网络性能，加强无线平安，以及提高重要的业务应用的效用和价值。位置跟踪还提高了无线空间的可见度和控制，帮助IT人员以与部署传统有线网络一样的便于管理、高效的方式部署无线网络。总结客户需要一个经济有效、便于部署的解决方案来在不同的业务环境中跟踪和管理Wi-Fi设备和标签。他们还需要通过部署先进的效劳，改良他们的业务应用，以及满足法律对于加强平安性、提高资产可见度和支持E911呼叫的要求。三、新大楼无线设计方案三、1物理连接示意图根据XXXX网络覆盖需求和现场环境的勘查，确定实施方案，确定每层的设备使用数量：序列号楼层AP数量1234567891011121314151617181920三、2设备需求清单设备名称型号单位数量无线接入点Airspace台197无线天线个476网络供电模块台197无线网卡块0馈线根468功分器个121WCS网管WCS台1控制器4400台2定位效劳器2700台1三、3楼层设备分布点位拓扑图四、新大楼无线网络工程施工本次设计实施目标为大楼内无线网络信号覆盖，由于现阶段装修没有开始，无线网络施工还需要现场无线信号实际测试，最终确定每一台AP的安装位置。在工程实施前还需要现场勘查确定AP到交换机的走线情况。设备安装：AP安装方式：安装在天花板处或侧墙壁上，安装位置根据现场实际测的信号强度和房屋内部装修布置确定，实际安装可以根据装修情况进行优化。天线安装：采用吸顶天线安装方式。采用6类UTP线缆从现场AP直接连接至配线间RJ45配线架上，经跳线连接到楼层交换机。或就近空闲模块接口。AP工作电源由设备供电模块提供48VDC电源。线缆、管道和桥架由综合布线和综合管道桥架统一考虑。本工程实施需着重考虑如下几点：因为大楼内部装修未确定，在安装设备和吸顶天线时不能影响大楼装修的美观。这个施工难度比拟大，需要综合考虑。接入点布局问题：根据客户要求使用802.11b协议的11Mbps设备，设备安装需要充分考虑环境和不可抗拒的因素。信号覆盖问题：因为在同一个环境中安装多个设备，各个设备之间的信号相互窜绕的问题比拟严重，需根据现场环境来调整设备内部配置天线问题：天线的安装要和大楼的装修融为一体，不能影响大楼装修的美观，在颜色、尺寸方面充分考虑。平安问题：客户端的无线链接可通过用户认证和设备端口认证等一些平安措施解决。与大楼局域网链接问题：设备的网线链接选择就近的弱电室，还有空闲的网络接口也可考虑。五、新大楼无线网络平安性设计目前，无线LAN已经形成了主流趋势，各类公司都想把有线LAN和无线LAN进行集成。网络管理人员希望无线LAN能够提供和有线LAN一样的平安性、可管理性以及可伸缩性。其中最主要考虑是平安性，包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密那么保证发射的数据只能被所期望的用户接收和理解。有线LAN的接入是在LAN的以太端口接入时进行管理。因些，有线LAN的访问控制常常以物理端口接入方式进行监视。同样，由于有线LAN的数据传输直接送到一定的目的地，除非有人使用特定的设备在传播路径上进行截听，信息一般不会泄露。简而言之，除非LAN物理上遭到破坏，否那么不会发生信息的泄密问题。在无线LAN中，传送的数据是利用无线电波在空中辐射传播，它可以被发射机覆盖范围内任何无线LAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备。配置无线LAN时，以太网端口相当于可以设置在任何地点，包括停车场，无法像有线LAN的端口那样进行控制。由于没有方法把无线LAN发射的数据定向到一个特定的接收设备，所以数据保密成为最重要的问题。IEEE802.11b标准含有确保访问控制和加密的两个局部，这两个局部必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的平安解决方案，可以从一个控制中心进行有效的管理。缺乏集中的平安控制是无线LAN只在一些相对较小的公司和特定应用中得到使用的根本原因。第一代无线LAN的平安性IEEE802.11b标准定义了两种机理来提供无线LAN的访问控制和保密：效劳配置标识符〔SSID〕和有线等效保密〔WEP〕。还有一种加密的机制是通过透明运行在无线LAN上的虚拟专网〔VPN〕来进行的。因为VPN的使用独立于任何本地无线LAN平安方案，所以本文不涉及它的讨论。SSID无线LAN中经常用到的一个特性是称为SSID的命名编号，它提供低级别上的访问控制。SSID通常是无线LAN子系统中设备的网络名称；它用于在本地分割子系统。SSID做为编号来允许/拒绝访问是危险的，因为SSID的平安性并不好。把无线客户机连接到有线网络的设备称为访问点，它通常在自己的信标中播送SSID。WEPIEEE802.11b标准规定了一种称为有线等效保密〔或称为WEP〕的可选加密方案，提供了确保无线LAN数据流的机制。WEP利用一个对称的方案，在数据的加密和解密过程中使用相同的密钥和算法。WEP的目标包括：访问控制：防止没有正确WEP密钥的非授权用户获得网络的访问权。保密：通过只允许有正确WEP密钥的用户来对无线LAN的数据流进行加密和解密，从而到达保密的目的尽管WEP是可选的，但WECA要求Wi-Fi认证的产品要支持WEP的40位密钥，因此WECA成员都支持WEP。有的厂家利用软件实现加密和解密过程的大量计算，也有的厂家，如Cisco，利用硬件加速器来保证数据流加密和解密过程中的性能损失最小。IEEE802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中，无线子系统中所有的工作站〔包括客户机和访问点〕共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后，它可以平安地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配，也就越有可能暴露。在第二种方案中，每个客户机建立和其它工作站"密钥映射"关系。