《XX移动公司办公大楼无线网络解决方案.doc》由会员分享,可在线阅读,更多相关《XX移动公司办公大楼无线网络解决方案.doc(47页珍藏版)》请在三一办公上搜索。
1、某某移动公司办公大楼无线网络解决方案太原市同诚海盛科技有限公司思科高级认证代理商 目 录1.思科统一无线的应用概述12.移动公司网络现状分析22.1当前网络现状22.2应用需求分析32.3网络建设目标43.采用思科统一无线网络的方案设计53.1设计原则53.2设计思想63.3设计依据64 思科统一无线网络解决方案体系架构74.1 无线网络的挑战74.2 思科集中化无线网络解决方案84.3集中化协议LWAPP简介114.4集中化和统一WLAN的好处134.4.8定位服务204.4.9 WLAN语音214.4.10 降低总拥有成本224.4.11 有线和无线整合234.4.12总结245 移动公司
2、统一无线网络建设方案245.1物理设计(部署)245.2覆盖方式245.3 设计指标、原则及覆盖方式255.4逻辑设计275.4.1 SSID 和VLAN275.4.2 地址和路由275.4.3用户认证286 解决方案的设计亮点286.1IP地址和MAC地址绑定286.2基于个人用户的运营管理286.3支持用户全网漫游296.4故障自动恢复306.5网络负载均衡316.6多SSID增加安全系数316.7带宽的控制327 统一无线网络解决方案产品介绍327.1室内无线接入点AIR-LAP1131AG-C-K9327.2电源注入器AIR-PWRINJ3337.3 无线集中控制器AIR-WLC440
3、2-12-K9337.4 无线集中控制系统AIR-WCS-WB-1.0-K9387.5三层交换机WS-C3550-24431.思科统一无线的应用概述思科统一无线网络是目前业界唯一的统一有线和无线解决方案,它经济有效地解决企业面临的WLAN安全、部署、管理和控制问题。这一强大的解决方案结合了有线和无线网络的最佳组件,以较低的总拥有成本提供了可扩展、可管理的安全WLAN。它包括创新的RF功能,支持对核心业务应用的实时访问,并提供先进的企业级安全连接。通过思科统一无线网络,机构的无线局域网提供了与有线局域网相同的安全性、可扩展性、可靠性、易部署性和可管理性。思科统一无线网络是一个集成化的端到端解决方
4、案,涵括了WLAN的所有层次,从客户端设备和接入点,到网络基础设施、网络管理,乃至先进的无线服务集成与屡获大奖的全球24小时产品支持。它提供了业界最佳的无线局域网安全性、创新性和投资保护。它是唯一将创新的接入点技术和屡获大奖的集中管理系统、智能控制、实时定位服务,以及范围广泛、可互操作的思科兼容型客户端设备相集成的解决方案。 思科统一无线网络简化了网络部署、运行和管理,从而降低了整体运营开支。凭借此解决方案,通过一个中央管理控制台能方便地管理数个、数百乃至数千个位于中央或远程地点的接入点。思科统一无线网络的灵活性允许网络管理员根据其特殊需要而设计网络,如采用高度集成的网络设计或简单的重叠网络等
5、。应贵公司数据网络维护部委托,结合我公司大量无线项目选型和实施经验,针对贵公司内部OA办公网络的现状以及本次网络改造的建设目标,特以思科统一无线网络解决方案为技术依托,为贵公司提供一个安全稳定,灵活部署,管理便捷和集中控制的高效率网络。2.移动公司网络现状分析2.1当前网络现状图一移动公司内部OA办公网络拓扑图图二移动公司办公大楼网络拓扑结构2.2应用需求分析经过我公司无线和安全工程师对贵公司网络使用状况的深入调研和认真分析,总结归纳为以下几个方面:1) BTA软件不能充分发挥其效能应现有的网络状况未能更好的配合省移动公司统一分配并要求使用的BTA软件,导致网络中出现大量的BTA软件请求包,网
6、络中出现了大量的非业务数据流,给网络的正常使用带来诸多不便,大部分网络端口频频阻塞。2) IP地址频繁冲突接入层设备的IP地址没有进行合理规划和分配,经常出现人为随意更改的现象,导致大部分用户在正常使用过程中,出现IP地址冲突,这样的操作牵一动十,造成IP地址混乱的局面,给网络的管理和使用带来一定的压力和麻烦。3) 部门之间访问混乱在初期网络的规划和设计中,没有对用户类型和业务单元划分相应的权限和级别,对于公司的重要数据和机密文件存在一定的安全隐患。其次,由于公司的所有客户端都在一个IP段内,广播风暴未能有效控制,受此影响,网络速度日渐缓慢。4) 木马、病毒在公司网络内泛滥公司各个部门局域网在
7、逻辑上没有有效隔离,致使木马、病毒的大范围扩散,许多用户经常发生死机、中毒或重要数据丢失现象,所有的用户从物理上和逻辑上均在同一个区域内,有一台设备感染,其它设备无一例外。2.3网络建设目标 通过本次网络的改造和完善最终满足贵公司OA办公系统和其他相关业务系统的安全可靠、稳定高效和便捷管理。1)安全可靠建成后的无线网络可以完全融和到现有的OA办公系统和与省公司VPN认证系统中,并能实现公司领导和所有员工的漫游认证和加密;由于它和终端用户不存在物理上的线路连接,也使得传输通道不会现遭到人为的破坏,同时也通过射频攻击防范,防止黑客的攻击保证在传输通道上数据的安全;2)自由灵活的访问建成后的无线网络
8、用户只要有无线网卡就可以在办公室、会议室或营业大厅的任何一个地方访问公司内网、省公司网,突破因有线网络的束缚,使访问变得更为智能灵活;3)业务扩展随着无线网络的应用和发展,语音和视频也正在大步的向无线网络靠拢,今天部署的无线网络平台已经能够融合公司现有的IP视频电话,在今后的业务扩展中,也将有越来越多的新业务融合其中。4)运营维护建成的无线网络根据用户个性化的需求而实现灵活的部署;同时也减少今后在网络的维护投资;也使得排错更快捷,在最大程度上减少故障网络故障为用户带来的损失。3.采用思科统一无线网络的方案设计3.1设计原则实用性:遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投
9、资,不设计成华而不实的无线网络,也不设计成利用率低下的网络,我们以实用性的原则要求为依据,建设具有最低的TCO(拥有的总成本最低),有最高的性价比的校园无线局域网络。先进性:采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;充分采用目前国际、国内流行和成熟的技术,保证网络能适应技术的快速发展。可靠性:系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。开放性:选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准;无论发生任何变化,均能够最大可能性的开放标准。可扩充性:系统是一个逐步发
10、展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比;可维护性:系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性;安全性:必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。3.2设计思想思科公司建议企业WLAN采用集中管理架构下的“瘦AP”无线网络架构,以保证无线网络可管理性、安全性、QoS、无缝漫游等功能需求,尤其是方便未来的运维管理。为满足企业网络的安全性,建议企业无线网络采用独立的有线网络系统实现无线接入点
11、的互联,同时本次无线网络在满足用户接入安全认证、加密的同时,支持无线射频的安全防护功能。3.3设计依据1) 标准u IEEE802.3u Ethernet (100BASE-T)u 802.11a/b/g 工作于2.4/5GHz ISM开放频带u 802.1d 解决不同国家的频率不统一的相通应用的问题u 802.11f规定了IAPP,解决不同AP之间的漫游u 802.11h控制发送功率,动态选择无线信道u 802.11i 改善WEP加密功能,升级到AES加密u 802.1x 定义动态密钥加密部分,结合Radius服务器, 2) 安装与设计规范u 工业企业通信设计规范u 中国工程建设标谁化协会标
12、准“建筑与建筑群综合布线系统工程设计规范”修订本 CECS72:97u 中国工程建设标准化协会标准“建筑与建筑群综合布线系统 工程施工及验收规范”CECS 89:974 思科统一无线网络解决方案体系架构4.1 无线网络的挑战过去,无线局域网都缺乏透视能力因为每个接入点都是一个单独的节点,按照一个静态RF计划(通常为预测的RF)中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号,但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。而且,因为自主接入点是“节点式”的,所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。思科统
13、一无线网络支持实时关键业务应用,为部署WLAN的机构创建了一个安全、移动、交互的工作场所。所有AP均工作在同一Controller群组(cluster)管理下,可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制可分级的一体化网络管理系统:有线、无线网络管理相结合,集中与分布式管理相结合,为运营维护提供高效率和低成本。表1列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下,采用自主接入点的WLAN的部署会对WLAN带来很多限制。表1 对于自主接入点部署方式的无线需求和解决方案需要说明自主方式的解决方案第二层快速安全漫游客户端在子网内部的无缝漫游跨越不同的接入点和虚拟LAN(
14、VLAN)为支持漫游添加一个无线域服务(WDS)设备(接入点或者交换机模块)第三层快速安全漫游客户端在子网之间的无缝漫游跨越不同的接入点和VLAN自主接入点本身不支持。需要为支持漫游采用一个集中式解决方案升级成本部署额外管理功能和为接入点安装新镜像所需的时间部署一个集中的管理基站或者使用管理脚本入侵检测系统(IDS)能够检测伪装接入点、攻击和未经授权的访问使用一个基于WDS的IDS,或者添加一个覆盖式WLAN解决方案定位服务直观显示接收信号强度指示(RSSI)信息变化和Wi-Fi设备的位置使用一个现场调查解决方案或者一个覆盖式WLAN动态RF迅速地、动态地适应RF环境使用系统级应用设备,或者一
15、个简单网络管理协议(SNMP);RF信息可供手动检查或者措施使用负载均衡自动在相邻接入点之间均衡客户端负荷每个接入点通报服务情况,但是负载不是自动地在接入点之间分布访客联网能够为客户、供应商和合作伙伴提供对WLAN的受控访问权限,同时保持网络的安全性为每个接入点部署专门的中继VLAN,并在整个企业中加以宣传WLAN语音利用现有的无线基础设施提供经济有效的、实时的语音服务部署基于接入点的呼叫准入控制(CAC);控制建立在每个接入点的基础上,不能协调多个接入点管理经济有效的、简化的WLAN管理和部署为配置WLAN管理和单独配置每个接入点部署脚本或者SNMP解决方案4.2 思科集中化无线网络解决方案
16、u 使用自主接入点的第一代无线局域网是一种方便的网络。从WLAN首次面世以来,技术需求发生了很多变化。现在,基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的WLAN必须支持多种移动服务,例如语音、访客接入、定位和增强的无线入侵防御系统(WIPS),同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表1中所列多种限制的WLAN。u 为了部署这些功能和消除这些限制,需要一个统一的WLAN一个集中式的,基于连接到无线局域网控制器的轻型接入点的网络。因此,机构需要思科统一无线网络。可扩展性:WLAN必须具备的特性人们对基于无线网络的可扩展性、高级服务的
17、需求并不是刚刚出现的。事实上,蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初,蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间电话呼叫的协议,但是这些协议并不可靠很多呼叫都会被丢弃。蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案,以及一个部署高级服务的平台。因此,他们采用了一种名为基站控制器的新型网络组件。对于蜂窝网络而言,基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖范围之间移动时,基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性,减少被丢弃的呼叫。蜂窝基站控制器的概念也可应用到802.11 WLAN中。运
18、营商不是管理多个独立的接入点,而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。WLAN集中化参照蜂窝网络的发展道路,思科系统公司率先提出了WLAN集中化的概念,并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构,我们称之为思科统一无线网络的关键,是将数据从轻型接入点经由网络发送到无线局域网控制器。思科提供了很多支持无线局域网集中化的无线局域网控制器,其中包括可以完全集成到网络之中的企业级独立无线局域网控制器(例如Cisco 4400系列无线局域网控制器和Cisco 2000系列无线局域网控制器),以及可以与有线网络结合的无线局域网控制器,例如Cisco Cataly
19、st 6500系列无线服务模块(WiSM)和用于集成多业务路由器的思科无线局域网控制器模块(WLCM)。开发一种新的无线局域网集中化协议为了在轻型接入点和无线局域网控制器之间传输数据和实现通信,需要一种新的协议。该协议需要满足下列要求:l 便于部署该协议必须能够跨越子网边界,而不是仅仅将多个VLAN连接到集中控制器。l 部署安全将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。l 对接入点的实时控制在部署、认证接入点和将其连接到控制器之后,该协议需要提供对接入点的实时控制,以便管理和部署移动服务。l 协议扩展能力该协议需要支
20、持多种平台从大型以太网交换机中基于机箱的模块,到可堆叠交换机、路由器和其他任何网络组件。l 传输扩展能力尽管网络通常运行在以太网的基础上,但是该协议必须能够支持低速的WAN连接,甚至无线网络(对于无线网状网络等应用)。l 为了满足这些对于开发新型通信协议的要求,思科考虑了很多方案。通用路由封装(GRE)协议是其中之一,但是GRE不支持对纯二层数据包的内部检测,而这是安全WLAN所必须具备的功能。SNMP也被列为考虑对象,因为该协议可以提供对接入点的命令和控制功能,但是它很庞大,不太符合实际需要。在考虑了其他协议之后,思科决定开发一种新的协议支持第二层和第三层数据包信息的轻型接入点协议(LWAP
21、P)。4.3集中化协议LWAPP简介LWAPP是什么?LWAPP是一项由思科系统公司拟定的互联网工程任务小组(IETF)标准草案,实现了轻型接入点和WLAN系统(例如控制器、交换机和路由器)之间的通信协议的标准化。它的目标包括:l 减轻接入点中的处理量,让它们将计算资源集中用于无线接入,而不是过滤和策略实施l 为整个WLAN系统进行集中的流量处理、验证、加密和策略实施l 利用一个第二层基础设施或者IP路由网络,为多供应商接入点互操作性提供一个通用封装和传输机制l LWAPP标准可以通过定义下列规范实现这些目标:l 接入点设备发现、信息交换和配置l 接入点认证和软件控制l 数据包封装、分段和格式
22、化l 接入点和无线控制器之间的通信控制和管理LWAPP的工作原理l LWAPP将轻型接入点的介质访问控制(MAC)功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能(例如次原子握手和发送给接入点的信标)都在接入点进行管理。其他对网络具有重要意义的功能(例如移动管理、身份验证、VLAN划分、RF管理、无线IDS和数据包转发)都在无线局域网控制器进行管理。(如图1所示)图1 分离的介质访问控制功能l 安全策略l QoS策略l RF管理l 移动管理人力分配分离MACl 远程RF接口l MAC层加密无线局域网控制器LWAPP轻型接入点控制器MAC功能l 802.11 MAC管理:(重新)关
23、联请求和行为框架l 802.11 数据:封装和发送到接入点l 802.11e资源预留:控制协议在802.11管理帧中发送到接入点信令在控制器完成l 802.11i身份验证和密钥交换接入点MAC功能l 802.11:信号发射,探测响应,身份验证(如果启用)l 802.11控制:数据包确认和传输(延迟)l 802.11e:帧排序和数据包优先级设置(访问RF)l 802.11i:接入点中的加密轻型接入点和无线局域网控制器之间存在多对一的关系单个无线局域网控制器可以管理和操作大量的轻型接入点。另外,无线局域网控制器可以在一个大型无线网络中协调和比较信息甚至跨越WAN。就像卫星拥有广阔空间的完整视图一样
24、,控制器也拥有整个网络的整体视图。一旦将这项协议作为标准,并准备好用于统一的平台,WLAN集中化的真正优势将会变得显而易见。4.4集中化和统一WLAN的好处下面列出了WLAN集中化和统一WLAN所具有的很多好处。4.4.1便于部署当在企业中部署自主接入点时,每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行,也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后,每个接入点都将可以支持VLAN,以便划分不同的用户群组,为不同的用户和用户群组区分不同的LAN策略和服务(例如安全和服务质量QoS)。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围,VLAN可以在多
25、台交换机中进行中继和扩展。在向网络引入基于轻型接入点和无线局域网控制器的集中化时,并不需要在接入层重新划分子网和设置VLAN中继。相反,VLAN将以中继方式连接到一个集中式无线局域网控制器,而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。在使用集中化解决方案时,一个轻型接入点只需要找出无线局域网控制器的IP地址当部署于第二层模式时。(在部署于一个远程子网中时,接入点需要IP地址、子网掩码和缺省网关信息)。轻型接入点还可以从一个标准的动态主机配置协议(DHCP)服务器接收无线局域网控制器的IP地址。在轻型接入点联系无线局域网控制器之后,控制器将会为轻型接入点设定所有
26、RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道,进而发送到无线局域网控制器,所以不需要将特殊VLAN扩展到各个接入点。4.4.2 便于升级较低的运营成本可以提高一个机构的投资效率。问题是:怎样实现低成本的运营?集中化有助于简化升级利用思科统一无线网络,所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时,它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。思科统一无线网络的低成本接入点升级的另外一个好处是:轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。4.4.3通过
27、动态RF管理建立可靠的连接过去,使用自主接入点的无线网络通常利用一个静态RF计划进行部署,而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的,即利用计算机对RF环境的模拟,结合接入点的天线发射功率,估计接入点的覆盖范围。RF预测的目标是以最小的信道重叠,获得接入点的最优覆盖范围。但是,因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的,所以它们只是对实际RF环境的估计。例如,在使用RF预测时,很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。集中化可以提供动态RF无线局域网控制器可以自动获知同一个网络中不同轻
28、型接入点之间的信号强度。控制器能利用这些信息,为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。在一个支持思科LWAPP的接入点启动时,它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后,支持LWAPP的接入点会发出加密的“neighbor”(邻居)消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中,控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度,以获得最佳的覆盖范围和网络容量。如果网络中有一个无线局域网控制器集群(例如在单个网络中部署多个控制器),
29、那么会有一个控制器被选为缺省控制器,所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息,再将最佳信道和功率设置发送给网络中的每个接入点。思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”,即发生没有必要的变化。这样做的结果是,建立起一个能够实时地适应不断变化4.4.4通过用户负载均衡优化每个用户的性能802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力,所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时,它们可能会漫游到信号最强的接入点。同样,每个客户端设备对RF介
30、质的访问权限与它们所关联的接入点一样。因此,所有客户端的RF吞吐都有可能降低所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。负载均衡可以通过不断地优化用户关联关系,为每个客户端提供最佳的,从而优化所有客户端的吞吐。这可以提高每个客户端的吞吐,动态地均衡网络的客户端负载。集中化有助于均衡用户负载思科无线局域网控制器和模块拥有一个网络整体视图。通过加密的无线消息,这些控制器可以获知接入点之间的信号强度。另外,当某个客户端探测接入点(这是802.11标准的一部分,即客户端寻找任何广播它所寻找的WLAN名称的接入点)时,控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器
31、随后将根据客户端的信号强度和信噪比,决定哪个接入点应当响应客户端的探测信号。例如,某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度(RSSI),决定哪个接入点应当响应客户端的探测信号。(如图2所示)图2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号4.4.5访客联网访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时,为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。它让顾问和访客可以迅速开展合作,加快业务速度。今天,问题不再是一个机构是否应当提供访客联网功能,而是它打算怎样提供该功能?如果使用自
32、主接入点部署方式,管理员可以通过将“访客”VLAN拓展到网络中,提供访客网络。这些VLAN具有不同于普通网络流量的安全策略。这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。集中化有助于简化访客联网在思科统一无线网络中,每个无线局域网控制器都具有一个美观的Web门户,让机构可以根据自己的业务需要定制WLAN。例如,网络管理人员可以将控制器放入DMZ,充当访客接口。当在网络中部署一个访客无线局域网时,所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同,使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。4.4.6第三层
33、漫游借助采用轻型接入点的思科统一无线网络,当第三层漫游被引入网络时,管理员不需要将VLAN拓展到网络中的所有接入点,就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同它们通过拓展VLAN来实现漫游,因而会产生大范围的、不便于扩展的广播域。通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游,可以简化网络,让网络可以方便地支持各种实时应用,例如基于无线网络的语音和视频。集中化有助于支持第三层漫游利用思科统一无线网络,轻型接入点可以被部署到网络的标准子网基础设施中,并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局
34、域网控制器的LWAPP数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信,以确保不需要移动IP等协议。4.4.7 嵌入式无线IDS安全是网络管理人员的关注焦点,而无线安全则是安全人员最关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线ID系统,可以为网络添加一条额外的防线。无线局域网 IDS可以降低黑客或者恶意用户访问关键网络资源的风险。集中化有助于支持无线IDS 思科轻型接入点和无线局域网控制器可以同时充当数据服务设
35、备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现,即有些功能由接入点承担,另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库,它可用于检测无线威胁包括恶意接入点,特殊网络,或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击,以及检测那些工作信道与它们不同的威胁,例如恶意接入点和特殊网络。另外,因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书,它们可以检测到伪装成网络中某个可靠接入点(充当一个honeypot*)的未经授权的接入点。思科统一无线网络还
36、可以利用其强大的隔离恶意功能,消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。一种由网络管理员部署的,用于检测、制止未经授权的网络访问的授权接入点。4.4.8定位服务定位服务是下一代无线网络必须达到的一项要求。定位服务支持同时跟踪WLAN基础设施内部的数千个Wi-Fi设备。这些服务被用于一些关键的应用,例如高价值资产跟踪、IT管理、安全和业务策略的执行。其他应用包括:l 基于无线局域网的e911和语音l 客户端故障诊断和客户端位置与客户端连接问题的关联l 资产跟踪和管理,以跟踪任何支持802.11的设备(包括配有802.11 RFID标签的资产)l 基于位置的
37、安全无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度,还可以从网络中的支持LWAPP的接入点那里获得关于客户端信号强度的信息。思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统(WCS)和思科无线定位设备,它们将根据楼宇材料类型、多路径和反射等因素,进行高强度的RF指纹计算,确定802.11或者有源RFID设备的位置。这些信息将实时提供。LWAPP是支持定位服务的控制和传输协议。4.4.9 WLAN语音WLAN语音(VoWLAN)不仅可以提供IP语音(VoIP)的诸多好处(例如收费旁路),还可以提供移动性。选择VoWLAN功能的管理人员都希望通过用他们的802.11
38、数据网络承担语音功能,降低或者消除办公楼内移动电话使用成本。集中化有助于支持高性能VoWLAN对于自主解决方案而言,基于802.11的语音采用了与普通数据流量相同的底层协议,并通过在接入点和一个语音终端之间运行802.11e,提供了一些额外的功能。不幸的是,工作在相同信道的自主接入点无法协调它们的呼叫准入控制(CAC)功能。而且,所有能够接收到工作在相同信道的其他设备信号的设备都会受到共用信道干扰,而自主接入点并不能方便地解决这个问题。利用思科统一无线网络,无线局域网控制器可以为网络提供可预测的CAC。在这种统一网络中,控制器拥有网络中所有客户端的整体视图,以及同一信道中所有接入点之间的总呼叫
39、容量。这种功能有助于确保当一个VoWLAN呼叫获准进入思科统一无线网络时,所有接入点可以提供足够的语音容量。这样,可以为网络提供更加可预测、更加可靠的语音性能。4.4.10 降低总拥有成本较低的总拥有成本(TCO)让机构可以在不增加额外人手的情况下部署解决方案,从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于自主接入点部署方式,时间主要被用于安装和初始化接入点,重新设置接入点,以及升级接入点。在一个包含100个接入点的自主接入点网络中,如果一年为每个自主接入点花费30分钟,就相当于一年花费3000个人分钟,或者50个人小时。在五年的折旧期中,就有超过一个月的时间被用于自主接
40、入点的管理上不包括诊断客户端和其他网络组件问题所用的时间。图3 为配置每个接入点付出的人力成本预测集中化有助于降低TCO利用思科统一无线网络,用户不需要逐一配置100个网络组件,而是只需要配置无线局域网控制器。控制器进而再配置网络中的所有接入点。另外,管理员不需要升级网络中每个接入点的软件,而是只需要升级无线局域网控制器的软件,这样所有轻型接入点都会同时得到升级。因为无线局域网控制器能够搜索整个无线网络,所以它可以协调信息和使用高级功能(例如定位),为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的TCO,同时减少诊断和管理网络所需的成本。4.4.11 有线和无线整合有线和无线网络的
41、集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用,必须提供覆盖整个系统的无线局域网功能(例如安全策略、入侵防御、RF管理、QoS和移动性)。使用轻型接入点和无线局域网控制器的WLAN可以方便地支持有线、无线局域网的整合,因为控制器功能可以被集成到思科交换和路由平台之中。整合可以保护投资和精简成本思科统一无线网络提供了一个统一、创新的端到端网络。它可以提供有力的投资保护,为有线和无线网络确保一个安全、移动、经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控制器的统一网络基础设施,可以与集成到一系列思科交换、路由平台中的独立或者模块化局域网控制器
42、配合使用。客户可以通过添加一个模块化无线局域网控制器(例如Cisco Catalyst 6500系列WiSM或者用于集成多业务路由器的思科WLCM),大幅度降低TCO、减少支持成本,以及缩短计划内和计划外断网时间。思科统一无线网络还支持网络准入控制(NAC)和思科兼容扩展客户端设备。用于WLAN的NAC可以通过在WLAN客户端试图进入网络时执行设备安全策略,提供威胁防御功能。思科兼容扩展计划有助于推动那些可以与思科WLAN基础设施进行互操作,并利用思科创新提高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。4.4.12总结思科统一无线网络可以降低部署、管理无线网络的复杂性;支持多种高
43、级服务,例如语音、定位和访客联网;并且有助于确保有线、无线网络的运营成本的可管理性。网络集中和整合并不是新概念它最初是由蜂窝网络运营商所提出的,进而被引入到了802.11网络之中。通过集中和整合,无线网络将能够扩展到大型企业级部署,为用户提供可靠的连接和移动性。5 长治移动公司统一无线网络建设方案5.1物理设计(部署)在配线间内设置接入交换机,终端用户通过无线网卡与部署在各楼层的AP建立连接, AP通过双绞线沿已有的竖井连到配线间的接入交换机。5.2覆盖方式室内覆盖规划原则: AP的放置要遵循两个原则AP覆盖区域无间隙; AP重叠区域最小。相邻AP工作在不同频道,以 1, 6,11三个频道实现
44、全方位的覆盖。 根据经验值,当相邻AP设定相同频点时, 要求间隔25米以上;当相邻AP设定相邻频点时, 要求AP间隔16米以上;当AP设定相隔频点时, 要求间隔12米以上。根据我公司对贵公司楼层范围和PC客户端的数量的实际测量,建议贵公司在一层部署一个AP,在二层楼部署一个AP,在三、四和五层没层各部署三个AP即可实现全网覆盖,:每个AP的覆盖范围是25m(半径),底下接入的PC客户端为27个,一层楼属于空旷地带,采用1个AP即可覆盖整个大厅,二层楼因为都是用玻璃隔板,对传输的损耗小且二楼需要覆盖的范围比三四五层小,所以采用2个AP即可满足要求。三四五建筑的结构基本一样,但三四五层楼都是水泥隔
45、墙,对传输损耗比二楼大,覆盖范围比二楼大,所以采用三个AP才能实现无盲区覆盖。具体AP数量如下图所示楼层AP数量11个22个33个43个53个合计:12个5.3 设计指标、原则及覆盖方式设计原则:无线覆盖设计将遵循按照信号范围最大化原则,在全校全面覆盖的前提下,重点选择部分区域进行更加细腻的覆盖。并且,保证无线网络稳定性并与绝大多数主流无线网卡兼容,同时兼顾考虑网络扩容,为今后网络扩容做好预留。设计指标:各信号输出点信号强度1015dbm;将按照2.4G工作频段2.4122.462GHz(FCC)分为channel1、channel6、channel11三个完全不干扰频段设计;目标覆盖区域信号
46、强度-80dbm。1、一般来讲室内容许最大覆盖距离为35100米室外容许最大距离100400米2、障碍物阻挡要观测无线覆盖周围的障碍物确定AP的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下:A. 水泥墙(1525cm): 衰减1012dBB. 木板墙(510cm): 衰减56dBC. 玻璃窗(35cm): 衰减57dB3、各种建筑材料对无线讯号的影响如下: 当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下 5米有效距离。 当AP与终端中间隔一座木板墙时, AP 的传送距离约剩下 15米有效距离。 当AP与终端中间隔一座玻璃墙时, AP 的传送距离约剩下 15米 有
47、效距离。 所以在安装选点时,一定要注意以避开墙、柱子等。5.4逻辑设计5.4.1 SSID 和VLAN在无线控制器上划分VLAN的时候,采用1个VLAN一个SSID号,来进行对各个部门VLAN的划分,不同的SSID,可以配置不同的安全策略文件这样既便于管理,也便于以后的扩充。5.4.2 地址和路由在AP上,地址获得可以采用两种方式,一中采用静态给它指定,即给AP指定一个静态地址,即VLAN的网关地址,然后在为每个AP建立一个地址池,来为每个PC客户端分发IP地址;另一种采用公司的DHCP服务器动态的给它下发,首先AP静态给它指定VLAN的网关地址,在每个VLAN中的PC客户端通过AP向DHCP申请IP地址。所有这些通过在无线集中控制器上可以实现,此外还可实现IP地址和MAC地址的绑定,避免PC客户端私自改动IP地址,造成PC客户端之间
