1、一、新大楼无线解决方案原则新大楼无线是Cisco结构化无线网络解决方案，专门为XXX新大楼无线局域网络设计。根据具体需求和勘测情况，在此次网络建设的规划、设计和实施中遵循以下原则： 先进性和实用性并重系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 兼容性网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联，思科的无线局2、域网全部支持从交换机直接通过PoE供电，不必为AP另行配置电源插座。思科的无线局域网系统满足国际和国内的无线标准，市场占有率超过60%，思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备，如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。 无线辐射根据中国国家无线电管理委员会的规定，在办公室内部署无线网络信号辐射不得超过100mw，以避免和5GHz对人体的影响。同样的原因，在通常情况下，终端使用5mw左右的发射功率，以避免大功率长期辐射对人体的影响。无线接入点即AP执行标准工作在11Mbps到1Mbp3、s之间，随着终端和AP之间的信号的强弱，AP和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，功率智能调节。 实时的射频自动监测无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰： 微波炉 其他大楼的无线系统 的无绳电话等因此思科的AP实时进行射频的监测，AP后台的控制器能够实时对AP进行控制，控制功率的大小，比如当1个AP实效以后，其他的AP通过自动计算对功率进行增加；出现信号的时候，控制器能够对信号干扰来源进行定位，确定何处4、的信号干扰，信号干扰的程度如何，并地图方式显示在网管上。传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存在。无线信号会扩散到物理围墙之外，从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题，必须采用正确的RF设计、发射功率控制和先进的定位技术。 自动负载均衡有线网络在本质上具有确定性第二层（以太网）和第三层（IP）交换机和路由器都是便于理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化5、，从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点，有数以百计的用户在移动使用网络。而在早上3点，办公室的大门紧锁，没有人在办公，而且附近的办公室和咖啡厅也不会产生RF干扰。更多的情况下，在同一时间，大家从各自的办公室汇聚到会议厅，特别是当人数比较多，超出了1个AP的承受范围，那么带宽会慢的无法工作；为了保障带宽，如果在AP设置了限制，那么后来的人员无法得到无线连接服务，因为在后台控制器的模式，可以对AP自动的负载均衡，将终端分别发送到不同的AP，自动计算和对终端的流量进行均衡，比如，当这个AP的利用率到了80%，那么控制器自动将用户引导6、到另外的空闲的相邻AP上面，而在我们的设计中，所有的AP部署已经考虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。 自动频道管理和跨IP域漫游无线局域网标准使用3个不重复的频道，1、6、11，为了实现自动漫游，需要对频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当AP布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。无线局域网的AP如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的DHCP得来的IP租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。 安全性无线网络支持最多的安全特性，采用集中认证，对每个数据包进7、行加密。通过对射频的实时监测，发现并定位恶意的AP，恶意AP是未经授权的人员通过自己设置一个AP，吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议，能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。 终端定位配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现3-5米的定位，同时和门禁系统结合，对外来的临时人员进行RFID的定位，人员佩戴RFID标示的腰扣终端，可以将人员位置显示在网络管理界面的大楼地理图上。方便对无线终端的监8、控和管理。在网络管理系统上有针对ERP系统和安全管理系统的API，可以结合ERP和安全管理系统将定位信息集成到工作流程的管理中。 地理化图形管理界面网络管理界面全部图形化，能够输入新大楼的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。在AP上无需任何配置。二、新大楼无线解决方案的架构二1整体架构为了全面地满足企业的RF管理需求，思科设计了一个集中、简便的WLAN架构。它的核心组件是 “分离MAC”架构，即将对802.11数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中WLAN控制器（如图1所示）。更加特别的是，对时间敏感的活动例如信标处9、理、与客户端的握手、介质访问控制（MAC）层加密和RF监控都是由接入点处理的。所有其他活动都由WLAN控制器处理，它需要具备整个系统的可见度。这包括802.11管理协议、帧转换和桥接功能，以及对于用户移动、安全、QoS和可能更加重要的是实时RF管理的系统级策略。图1 典型的分离MAC架构 思科无线局域网控制器具备的实时RF管理对于思科轻型无线解决方案具有重要的意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、优化和治愈的环境，让思科WLAN适用于提供安全、可靠的业务应用。这是通过执行下列RRM功能实现的： 无线资源监控 动态信道分配 干扰检测和避免 10、动态发射功率控制 覆盖盲区检测和纠正 客户端和网络负载均衡无线资源监控RF网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅能够提供服务，还可以同时监控所有信道。这源自于思科在它的分离MAC架构中对802.11 MAC层所开展的、广泛的开发工作。除了提供服务以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g信道，以及在其他地区有效的信道。这可以提供最高限度的保护系统将发现可能从其他国家进口的恶意接入点，或者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客能够让恶意设备位于带外，从而躲过大部分WLAN入侵检测系统（IDS）的扫描。思科11、轻型接入点可以在不超过60ms的时间里进行“信道外”扫描，以监听这些信道。在此期间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接入点（无论服务集标识符SSID是否被广播）、恶意客户端、临时客户端和干扰接入点。在缺省情况下，每个接入点只用0.2%的时间进行信道外扫描。这项任务会在所有接入点之间进行统计分配，以确保相邻接入点不会同时进行扫描，对WLAN的性能造成不利的影响。这使得管理员可以通过每个接入点搜集到的信息，了解他们的WLAN的运行状况，将网络可见度提高到重叠式网络所无法提供的水平，解决为每三到五个接入点部署无线监视器这一做法可能出现的“隐藏节点”问题。12、注意：在必要情况下，思科轻型接入点可以被专门部署为无线监视器，但是成本因素和对更高网络可见度的要求通常会促使最终用户采用上述方式。动态信道分配802.11 MAC功能需要采用一种基于二进制指数退避的冲突避免机制，即带有冲突检测的载波侦听多路存取（CSMA/CA）。802.11 MAC层由一个四路交换协议定义：Request to Send (RTS) Clear to Send (CTS)Data ACK当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该基站发送它的数据。否则，基站将被告知等到其他正在使用介质的基站完成任务之后再发送数据。这可以防止两个客户端同时在13、同一个信道上发送数据，导致数据帧受损。在使用CSMA/CA时，同一个信道上的两个接入点（位于同一个区域）与两个不同信道上的两个接入点相比，将获得其一半的容量。这可能会导致问题。例如，某个在咖啡厅中查看电子邮件的用户可能会对相邻企业中的接入点的性能造成不利的影响。即使位于不同的网络之中，在信道1上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。思科无线局域网控制器可以通过动态分配接入点信道，避免冲突，从而解决这个问题和其他同频干扰问题。因为思科轻型解决方案通过它的RRM工具而具有覆盖整个企业的可见度，所以信道可以被“重复利用”，以避免浪费宝贵的RF资源。换句话说，信道1将14、会分配给一个远离该咖啡厅的接入点。相比之下，其他WLAN系统在这种情况下通常要求完全禁止使用信道1。因此，思科的解决方案更为有效。思科无线局域网控制器的动态信道分配功能还有助于最大限度地减小思科轻型WLAN解决方案中的相邻接入点之间的同频干扰。例如，在使用802.11a时，信道35和40不能同时使用54Mbps，具体取决于接入点和客户端的摆放位置。通过分配信道，思科无线局域网控制器可以隔离相同信道，从而避免这个问题（如图2所示）。图2 动态信道分配 33%效率 100%效率思科无线局域网控制器可以通过分析多种实时RF特性，有效地处理信道分配。这些特性包括：接入点接收能量这取决于网络的静态拓扑；15、这项功能可以让信道获得最高的网络容量。噪声这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。通过优化信道和避免噪声源，思科无线局域网控制器可以在优化网络覆盖范围的同时，保持系统容量不变。如果某个信道因为噪声过高而无法使用，该信道将会被避开。如果存在其他无线网络，思科无线局域网控制器将会改变信道的使用方式，以避免与其他网络的干扰。例如，如果一个网络使用的是信道6，另一个相邻WLAN将被分配信道1或者11。这可以通过限制频率重叠，提高网络容量。如果因为某个信道的使用量过高而导致没有可用容量，思科无线局域网控制器将会选择避开这个信道。利用率在启用这项功能时，容量计算将会考虑到某16、些接入点传输的流量多于其他接入点（例如一个休息室相对于一个工程区域）。因此，那些需要最多带宽的接入点将在信道分配方面获得更高的重视。客户端负载通过在调整信道结构时考虑客户端负载，可以最大限度地减少客户端对于WLAN的影响。思科无线局域网控制器会周期性地监控信道分配情况，搜寻“最佳的”分配方式。只有在可以显著提高网络性能，或者改进某个性能低下的接入点的性能时，才会进行调整。思科无线局域网控制器可以将RF特性信息与智能算法相结合，执行针对整个系统的决策。利用软决策机制，可以满足互相冲突的需求，为最大限度地减少网络干扰确保最佳的选择。最终结果是在一个三维空间中实现最佳的信道配置，而位于楼层上方和下方17、的接入点在总体WLAN配置中扮演着重要的角色。干扰检查和避免“干扰”的定义是任何不属于某个思科WLAN系统的802.11流量，包括恶意接入点、蓝牙设备或者相邻WLAN。思科轻型接入点一直在扫描所有信道，寻找主要的干扰源（如图3所示）。如果802.11干扰幅度超过了预定的阈值（缺省值为10%），一个消息就会被发送到思科无线控制系统（WCS）。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留在一个因为某个干扰接入点而无法使用的信道上好得多（考虑到利用率因素）。图3 动态信道分配机制对干扰的反应恶18、意设备管理员可以从思科WCS实时地查看RF环境的情况（如图4所示）。这有助于了解无线空间的运行状况，尤其是试图诊断WLAN故障时。图4 思科WCS无线统计信息视图动态发射功率控制正确的接入点发射功率设置对于保证WLAN的平稳运行具有重要的意义。这对于实现网络冗余也非常重要，有助于确保在接入点失去连接时进行实时的故障切换。思科无线局域网控制器可根据实时的WLAN情况动态地控制接入点的发射功率。在正常情况下，功率可以保持在较低的水平，以获得额外的容量和减少干扰。思科轻型解决方案将试图根据最佳实践经验，对接入点进行平衡，以确保它们在相邻接入点之间保持-65dbm的发射功率。如果检测到某个发生故障的接19、入点，周围接入点的功率将会自动提高，以填补覆盖范围受损所导致的漏洞。只允许对发射功率进行静态设置的WLAN解决方案在支持动态网络需求方面的能力极为有限。思科RRM算法采用了独特的设计，可以创建最佳的用户体验。例如，如果接入点的发射功率被调低为四级（一级最高，五级最低），而且用户的接收信号强度指示（RSSI）值降低到某个可以接受的阈值之下，接入点功率将会被提高，以便为客户端提供更好的体验。如果用户的RSSI值位于阈值之下，功率将决不会被调低。用户可以在思科WCS中，方便地查看各个功率等级和接入点相邻设备信息，如图5所示。图5 利用思科WCS监控功率等级覆盖盲区检测和纠正如果某个接入点上的客户端的20、RSSI等级较低，思科轻型接入点将会向思科WCS发出一个“覆盖盲区”警报。这表示存在一个覆盖信号持续较差的区域，其中没有可通信的漫游地点。管理员可以查找接入点的历史记录，了解这些警报是不是一种长期现象。长期现象意味着存在一个长期的覆盖盲区，而不是一个偶发性的问题。如果是的话，思科无线局域网控制器将会调节接入点的发射功率等级，纠正所检测到的盲区。否则，IT人员将可以借助准确的位置信息解决问题。客户端和网络负载均衡只有在客户端能够通过负载均衡，有效地利用容量的情况下，WLAN容量才具有实际意义。不幸的是，客户端并没有足够的智能来自行制定均衡决策，即使这可以带来更好的性能。例如，一个会议室中的所有用21、户可能都会与某个距离最近的接入点建立关联，而忽略某个距离较远、但是利用率较低的接入点。思科无线局域网控制器为所有接入点的客户端负载提供了一个集中视图。这可用于确定在哪里将新的客户端加入网络。另外，通过一定的设置，思科轻型无线解决方案可以主动地“驱使”现有客户端关联到新的接入点，以提高WLAN的性能。这样，容量可以更加平均地分配到整个无线网络之中。真正的实时解决方案思科解决方案思科WCS轻型接入点和无线局域网控制器可以提供实时的RF管理。其他WLAN供应商采用了不同的方法来解决RF频谱问题，但是它们缺乏思科的实时检测RF改动和对WLAN配置进行相应调整的能力。例如，有些WLAN解决方案通过让接入22、点监听最不活跃的信道来进行信道分配。这种方式导致了接入点只能制定适合某一时间段的信道选择决策，而且接入点经常处于除了1、6或者11以外的信道上。因为这可能产生干扰，因而不适用于大多数企业环境。另外一种策略是开发一个网络管理应用，让IT人员可以将接入点组合到一起，发送到同一个信道。在这个信道中，它们能够以不同的功率等级发送信标。结果经过分析，可以为WLAN信道分配创建一个原始拓扑。它将由管理员保存，并发送到接入点。这种方式的问题在于一个多层建筑物总是存在垂直和水平重叠区域。这些应用通常没有考虑这些因素，因而只能创建一个局部拓扑。另外，这些扫描对WLAN的运行具有破坏作用，所以应当在非工作时间进行23、不幸的是，办公楼在非工作时间通常都没有工作人员，大门紧锁，而且相邻的WLAN也不在工作，所以这时的RF状况也与平时大不相同。RF环境是动态的；IT人员不能只依赖于某个时刻的WLAN配置，尤其是非高峰期的WLAN配置。企业也很难依靠现场调查工具和预定的RF扫描来处理WLAN配置。即使是支持“一键式”WLAN分析和配置推送的工具也不具有足够的动态性能，无法满足实际无线流量的需要。它们还需要IT专家的亲自参与，使得他们无法适应大型企业无线网络的要求。实时RF管理应当模拟开放最短路径优先（OSPF）。OSPF可以利用路由参数，不断地监控网络的状态和对路由表进行必要的改动，以利用最佳的拓扑。利用内置的智24、能，可以仅在网络性能或者容量受到影响时才改动信道。将配置发送到一组接入点，但无法对系统性能和用户行为作出连续反馈的无线管理系统，类似于过去的静态路由。当将路由输入曾经准确的路由表时，因为网络一直在不断变化，所以路由表在将来某个时刻并不一定准确甚至它们的正确期仅为一天（或者一个小时）。上述阐述整个新大楼无线系统解决方案所能够实现的效果和具体的方法，能够在接入便利、安全、功能、运维、管理上满足集团新大楼的无线局域网络要求，整体上平衡这五个方面，后面介绍整体解决方案的各个部分：控制器、接入点、网络管理和定位服务4个部分。这四个部分配合终端和AAA服务器和Windows域AD服务器3个部分就构成了完整25、的能够实现上述目标的一个实施方案。简单来讲： 无线局域网解决方案部件功能： 控制器：控制所有的无线的运转过程 AP接入点：负责射频信号收发和射频扫描（定位和恶意AP扫描，收集信号，分析在控制器）。插上网线是对其唯一的手工操作。 网络管理WCS：图形界面管理，输入地理图和障碍信息，可以图示定位、射频信息，记录和审计，图示恶意AP，操作控制控制器的无线操作。一般和控制器一起部署，集团在新大楼的网管中心部署，可以在WCS上监控和操作整个无线局域网络系统，所有操作以WEB方式。 定位服务器：提供定位分析。 终端：兼容绝大多数厂商的终端设备，没有限制。 AAA服务器：提供集中认证，利用集团原有的ACS服26、务器就可以。 Windows AD服务器：可以连接AAA服务器，当控制器到AAA进行认证时，AAA查询AD得到认证结果并返回，达到利用AD集中认证的结果。可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的。在介绍完各个部分后，设计方案部分详细描述各个楼层的具体设计和布点，以及所需要用到的设备以及数量。二、2轻型接入点协议新大楼无线解决方案采用LWCPP协议，即翻译为轻型接入点协议，WLAN领域的趋势是向集中智能和集中控制发展。使用一个WLAN控制器系统来为大量轻型接入点创建和执行策略。通过集中这些设备的智能特性，整个无线企业中对WLAN运营至关重要的安全性、移动性、服务质量 (QoS)27、和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能，IT人员能简化管理、提高性能并使大型无线网络更为安全。图6.轻型WLAN系统集中提供用于企业级RF管理和策略控制的智能随着更多供应商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管理轻型接入点如何与WLAN系统通信的标准化协议。这也正是互联网工程任务小组（IETF）最新规范草案，即轻型接入点协议（LWAPP）的作用所在。凭借LWAPP，能部署功能最多、具更高灵活性的大型多供应商无线网络。为什么要部署轻型接入点？传统的WLAN解决方案将所有的流量处理、RF控制、安全和移动功能分散到各接入点提供。但这种架构只允许单个28、接入点浏览流量。这意味着： 当未配备管理设备时，必须分别管理各接入点，从而提高运营成本和增加对人员的要求 无法查看系统中的网络级攻击和干扰 在第一层、第二层和第三层中只有一个安全策略实施点 无法发现和抵御针对整个WLAN的拒绝服务(DoS)攻击 系统不能关联或预测企业中的活动 实现优化、实时的负载均衡的能力有限 客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的 如果一个接入点被偷窃或破坏，就会带来内部安全风险图7. 对等WLAN架构限制了性能、可管理性和安全性的提高大量设备供应商已纷纷采取措施，来消除对等WLAN架构的局限性（图7）。其中许多供应商宣布采用新架构，集中部署W29、LAN智能，以实现更高性能和效率。标准化需求随着越来越多的产品使用带集中WLAN智能的轻型接入点，市场需要一个管理这些设备相互间如何通信的业界标准。LWAPP是IETF工作小组为解决此问题而制订的标准化草案。LWAPP最初由Airespace (2005年3月被思科系统公司收购) 和NTT DoCoMo制订，是接入点和WLAN系统（控制器，交换机，路由器等）之间的标准化通信协议。其制订目标如IETF规范所述，旨在： 降低接入点中的处理负担，使这些设备中有限的计算资源可主要用于提供无线接入功能，而非用于过滤及策略实施 实现能对整个WLAN系统集中进行流量处理、验证、加密和策略实施（QoS，安全等30、）的机制 通过第二层基础设施或IP路由网络，提供一个通用封装和传输机制，用于实现多供应商接入点互操作性LWAPP规范通过定义以下类型的活动，解决了这些问题： 接入点设备发现、信息交换和配置 接入点认证和软件控制 分组封装、分段和格式化 在接入点和无线系统设备间进行通信控制和管理LWAPP的广泛采用使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，因此他们不再需要根据哪些设备能配合工作而作出购买决策，而是可根据各接入点和无线系统设备的具体功能制订决策。LWAPP在市场中得到广泛接受，减少了被迫锁定于一个供应商，即只有将接入点与同一供应商的WLAN系统设备共用，才能获得最优运行效果的现象31、。LWAPP还提供了一个开放标准解决方案，可在多供应商集中WLAN架构上提供安全的第二层和第三层网络服务。此外，凭借LWAPP，第三方供应商也可拥有一个用于部署应用的通用架构。运行LWAPP当LWAPP于2002年首次进入WLAN行业时，它通过“分离MAC”概念使管理WLAN部署的方式发生了革命性的改变，“分离MAC”可将802.11协议的实时功能和其大多数的管理功能分离（图8）。 具体来说，实时帧交换和MAC管理的某些实时部分在接入点中完成，而验证、安全管理和移动功能由WLAN控制器处理。采用了LWAPP的思科集中WLAN解决方案，是第一个使用分离MAC的集中WLAN系统。图8. “分离MA32、C”LWAPP协议与思科智能RF管理功能的结合可使客户在很多方面获益：管理 动态的系统级RF管理，包括一系列可实现平稳无线运营的特性，如动态信道分配、传输功率控制和负载均衡。 单一图形化企业级策略界面，包括VLAN、安全和QoS。安全 企业级安全策略包括从无线层到MAC层、再到网络层的无线网络的所有层次。这样即可更方便地提供统一实施的安全和QoS功能，或用户策略，来满足手持扫描仪、PDA或笔记本电脑等不同设备类型的特定功能。 发现和抵御DoS攻击，以及检测和拒绝恶意接入点。这些功能运行于整个思科轻型无线局域网解决方案之上。移动 类似于手机的快速切换。 对WLAN语音等实时移动应用提供出色支持。33、LWAPP是关键业务型无线网络的重要构建块。它也是构建大规模混合WLAN的基础。通过为RF互联网提供一种标准化方式，LWAPP可保护公司的WLAN投资，简化RF管理，并优化用于各种规模的WLAN部署的无线网络。二、3无线局域网控制器思科无线局域网控制器适用于企业无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1000系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建从分支机构到主园区的安全、企业级34、无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议（LWAPP），与Cisco 1000系列轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信（图2）。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营。Cisco 4400系列无线局域网控制器图9. 集中型无线局域网思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统，创建和实施策略。多个WLAN控制器可自动相互发现，并在它们之间无缝协调WLAN服务。以这种方式，思科无线局域网控制器可作35、为单一无缝系统运行，提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建安全的企业级无线网络。如何部署无线局域网控制器思科系统公司提供了几种无线局域网控制器，适用于不同的企业部署情况。这其中包括Cisco 2000系列、4100系列和4400系列。Cisco 2000系列为中小型企业环境提供了思科屡获大奖的无线局域网服务。它可支持多达6个轻型接入点，是用于小型楼宇的经济有效的解决方案。凭借集成动态主机控制协议(DHCP)服务和自动接入点配置，Cisco 2000系列也适用于现场IT支持有限的环境，如分散型企36、业中的分支机构。Cisco 4100系列无线局域网控制器适用于中型机构。它有三种配置4112、4124和4136，它们分别最多可支持12、24和36个接入点。Cisco 4100系列提供了单一千兆以太网上行链路，和一条热待机链路，可提供高速局域网连接和网络可靠性。Cisco 4400系列无线局域网控制器适用于大中型机构，有两个型号带2个千兆以太网端口，其配置可支持12、25和50个接入点的4402，以及带4个千兆以太网端口，支持100个接入点的4404。4402具有1个扩展插槽，4404具有2个扩展插槽，可用于在将来添加增强功能，如VPN终结等。此外，每个4400 WLAN控制器均支持一个可选37、冗余电源，以确保最高可靠性。无线局域网控制器的智能RF管理所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式，为无线网络创建最优拓扑。图10. 覆盖整个企业的RF智能思科无线局域网控制器所管理的特定智能RF功能包括： 动态信道分配信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。 干扰检测和避免该系统可检测干扰并重新调整网络，以避免性能问题。 负载均衡此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，38、也能获得最优网络性能。 覆盖盲区检测和修复无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。 动态功率控制该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可靠性。无线局域网控制器实现严格的安全性思科无线局域网控制器符合最严格的安全标准，包括： 802.11i Wi-Fi WPA2，WPA和有线等效加密(WEP) ，带多种可扩展验证协议(EAP)类型受保护EAP (PEAP)，带传输层安全的EAP(EAP-TLS)，带隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN终结4100系列的可选模块，提供IP安全(39、IPSec)和第二层隧道协议(L2TP) VPN终结因此，它堪称业界最全面的无线局域网安全解决方案。在思科无线局域网架构中，接入点可作为无线监控器，向无线局域网控制器通报有关无线域的实时信息。经由思科WCS，可进行准确分析并采取校正措施，从而迅速识别所有安全威胁，并将其提交给网络管理员。思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护，无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署，再在稍后重新配置，添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”， 抑制未授权无40、线活动，直至他们作好部署无线局域网服务的准备为止。思科通过提供以下多个保护层来实现无线局域网安全：RF安全检测和避免干扰和消除不必要的RF传播无线局域网入侵防御和定位思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁，而且能对这些设备定位。这使系统管理员能快速评估威胁级别，立即按需采取措施来抵御威胁。基于身份的联网IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。这其中包括： 第二层安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP 第三41、层（和更高层次）的安全功能IPSec, web验证 VLAN分配 访问控制列表（ACL）IP限制，协议类型，端口和差分服务代码点(DSCP)数值 QoS多个服务级别，带宽减少，流量整形和RF利用 验证、授权和记帐(AAA)/RADIUS用户连接策略和权限管理网络准入控制(NAC)实施客户端配置和行为策略，以确保只有拥有适当安全工具的终端用户设备才能访问网络。安全移动在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN，无需重新建立安全隧道。此外，思科已开发了主动密钥缓存(PKC)，这是8标准的扩展、标准的前身，可通过AES加密和RADIUS验证实现安全漫游。访客隧道为访客接入公司网络提42、供更高安全性。它可确保访客如不首先通过公司防火墙，就无法接入公司网络。图11. 多层无线局域网保护无线局域网控制器支持实时应用思科无线局域网系统提供最佳性能来支持语音等实时应用。思科无线局域网控制器可迅速在接入点和多个控制器间切换，在不干扰客户端服务的情况下平稳移动。智能的队列和争用管理机制可高效管理无线频谱空间。此外，思科无线局域网控制器在使用安全时，支持PKC，可提供实时性能和移动性。思科也支持兼容Wi-Fi多媒体(WMM)、基本符合新兴标准的QoS功能。一旦最终标准得到批准，通过一次软件升级，即可完全符合最终标准。无线局域网控制器支持移动性思科无线局域网控制器使用户可在接入点、交换机，甚43、或路由子网间漫游。无论用户漫游到何处，安全和QoS上下文信息都一直跟随着用户，以确保移动不会影响性能、可靠性或保密性。思科无线局域网控制器无需对现有基础设施或客户端设备作任何修改，即可实现移动性。因此，思科无线局域网系统易于部署，其拥有和运营均经济高效。无线局域网控制器为企业提供可靠性思科为关键任务型无线网络提供了最高水平的可靠性。在接入点发生故障时，无线局域网控制器可自动调整邻近接入点的功率，以覆盖故障接入点原来提供服务的区域。在单个控制器发生故障时，接入点可自动找到一个备用无线局域网控制器，来继续提供无线服务。思科无线局域网控制器能以N+1冗余拓扑部署，使企业在扩展其无线网络的同时，确信他44、们不会发生硬件和软件问题。只有思科无线局域网解决方案能使用户不必降低可靠性，即能控制无线部署的成本。Cisco 4400系列支持冗余电源，确保即使发生了电源故障，也可保持系统运行。无线局域网控制器特性和优点表的特性和优点特性优点企业可扩展性可扩展架构为各种规模的地点提供了关键业务型无线服务。集成无线资源管理(RRM)创建了一个智能RF控制平面，可实现自配置、自治愈和自优化。零配置部署无需修改现有路由和交换基础设施，也无需配置接入点，即可部署系统。多层安全灵活的安全策略可根据不断变化的公司安全需求而调整。入侵检测、定位和抑制集成无线入侵保护可保持无线网络和敏感公司信息的完整性。移动管理无需特殊客45、户端软件的子网间漫游，使设备管理极为方便；不对核心路由基础设施作任何修改，使漫游简单易行。企业可靠性可从轻型接入点和无线局域网控制器故障中自动恢复，实现了无线网络的最高可靠性。直观的管理界面更好地了解和控制无线空间，可降低运营成本。二、4轻型接入点Cisco Aironet 1000系列轻型接入点提供了业界领先的RF功能和范围最广泛的部署选项，可以最大限度地提高无线局域网的性能、安全性、可靠性和易用性。这使得思科无线局域网解决方案可以适用于任何企业环境。图12 Cisco Aironet 1000系列轻型接入点Cisco Aironet 1000系列轻型接入点为与思科无线控制器和无线控制系统管46、理工具配合使用进行了专门的设计。它们可以提供对802.11a、802.11b和802.11g的双频支持，并且能够通过同步无线监控实现动态、实时的RF管理。另外，Cisco Aironet 1100系列轻型接入点还可以处理一些对时间敏感的功能，例如第二层加密。该功能让思科无线局域网可以安全地支持语音、视频和数据应用（如图13所示）。图13 覆盖整个企业的RF智能Cisco Aironet 1000系列轻型接入点将同时数据转发和无线监控功能结合到了一起，使得用户不需要再使用额外的监控节点，从而降低了无线网络的运营成本。这将实时监控拓展到了无线基础设施的每个角落，简化了网络设计和部署，并且最大限度地47、提高了RF安全性（如图14所示）。图14 集成化无线监控和数据服务灵活的部署选项Cisco Aironet 1000系列轻型接入点配备了内部2.4GHz和5GHz射频收发装置和扇形天线，其中的1020和1030型号可以通过RP-TNC接头来连接可选的外部天线。这些多模802.11a/b/g接入点可以提供最大限度的部署灵活性和投资保护。另外，所有型号都通过了UL 2043认证，支持几乎所有的楼宇部署场合，例如安装在高压空间中。这些设备支持IEEE 802.3af以太网供电（PoE）和自动MDI/MDIX，可以提供基于标准的“无线”服务质量（QoS），从而实现更高的部署灵活性。利用轻型接入点协议（48、LWAPP），思科轻型接入点可以自动地发现最适用的思科无线局域网控制器，并在不需手动操作的情况下直接下载相关的策略和配置信息。Cisco Aironet 1000系列包括三款接入点，它们都配有2.4和5GHz射频收发装置，支持802.11a、802.11b和802.11g。它们全都能够与思科无线局域网控制器和无线控制系统管理工具进行互操作。每款产品都针对不同的应用场合进行了专门的优化：AP1010配有两个集成化扇形天线。它适用于办公室和类似环境，可以提供方便的部署和可预测的覆盖模式。AP1020配有集成化扇形天线和一个用于连接外部天线的RP-TNC接头。通过选择不同款式的思科天线，客户可以获得49、各种各样的覆盖形式和范围。AP1020针对更具挑战性的RF环境而设计，可以提供很高的安装灵活性。AP1030配有集成化扇形天线和一个用于连接外部天线的RP-TNC接头，以及一组针对特定应用设计的扩展软件功能。远程边缘接入点（REAP）功能让AP1030可以从无线局域网控制器进行远程部署，从而适用于分支机构和小型零售地点。AP1030可以提供与AP1010和1020相同的LAN安全性、性能和RF管理功能，并且可以支持大部分标准的WAN技术，包括T1、帧中继、ATM、DSL、ISDN和交换56k。这些功能让IT经理可以集中控制SSID、安全参数和软件负载，提供统一的、覆盖整个企业的无线局域网服务。50、无线回程功能适用于需要将接入点部署于一个无法或者难以接入以太网的位置的应用。利用AP1030，客户可以将任何一个内部射频设置为无线上行链路，并通过一个有线上行链路直接与传统（根）接入点建立关联。无线回程功能适用于工厂、仓库、飞机、可控制飞行器和相对规模较小的室外部署等应用。支持点对点和点对多点桥接功能。通过这种应用，每个Cisco 1030接入点的以太网接口被插入到一个有线网络之中，同时2.4或者5GHz RF接口通过无线方式将该网络关联和加入到同一个管理域。利用最远可达1英里（1.6公里）的可选外部天线，AP1030为连接永久性的和临时性的园区设施提供了一种替代有线网络和T-1线路的廉宜方案51、。应用Cisco Aironet 1000系列轻型接入点为需要覆盖灵活性的企业环境和部署进行了专门的设计，提供了多种天线、覆盖范围和安装选项。例如，一个大学校园可以利用Cisco 1010轻型接入点，在教室中建立无线局域网。对于礼堂和公共场所，Cisco 1020轻型接入点可以采用增益较高的外置天线，以扩大覆盖范围或者提供特殊的覆盖模式。在需要多个接入点的大型企业无线局域网部署中，IT人员可以轻松地对Cisco Aironet 1000系列轻型接入点进行软件升级。软件改动会从思科无线局域网控制器自动地发送到所有接入点，从而提供平稳、经济的升级，确保在不对接入点进行手动干预的情况下支持新的无线标52、准。这项功能还可以确保整个网络的互操作性软件会自动地在整个思科无线局域网系统中保持统一。特性和优点表2列出了Cisco Aironet 1000系列轻型接入点的特性和优点。表2 Cisco Aironet 1000系列轻型接入点的特性和优点特性优点基于标准的LWAPP有助于确保轻型接入点和无线局域网控制器之间的通信可以满足未来需要的WLAN投资自动配置和管理降低部署无线网络所需的成本和时间大幅度简化日常运营同时提供无线监控和数据服务最大限度地降低设备需求简化网络设计通过对整个网络进行全面的实时监控加强安全性内部和外部天线选项提供灵活的部署和重新部署选项安全支持现有的和预定的安全策略入侵防御有助53、于确保某个相邻企业或者恶意用户不能闯入无线网络发现和控制恶意接入点QoS提供对无线空间的有效资源管理总结Cisco Aironet 1000系列轻型接入点适用于企业部署。通过兼具802.11a和802.11b/g功能的射频收发装置和内部集成天线，这个系列可以为用户提供足够的灵活性，帮助他们满足最严格的应用的性能要求。同时，它们的安全和管理功能为实现可互操作的IEE 802.11i安全和方便的部署提供了全面的支持。Cisco 1010为简化部署提供了集成化天线。Cisco 1020配有RP-TNC天线接头，可以利用多种可选的外部天线支持扩大的范围。Cisco 1030为将多个远程地点或者远程办公54、室连接到集中的WLAN控制器提供了一个理想的解决方案。对于企业环境而言，Cisco Aironet 1000系列轻型接入点为建立安全、可扩展、企业级的无线局域网提供了一个业界领先的接入点解决方案。二、5网络管理WCS思科无线控制系统(WCS)思科无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础，使IT管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有成本。图15. 思科无线控制系统(WCS)凭借思科WCS，网络管理员可拥有单一解决方案，来进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面55、使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。思科WCS运行在服务器平台上，有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性，而这些控制器可管理数千思科轻型接入点。无线局域网控制器可位于思科WCS所在的LAN中、分布于多个独立路由子网或位于广域连接之上。籍此，思科WCS甚至可为最大的企业环境提供理想的无线局域网管理平台。思科WCS在整个无线网络中支持以下功能：无线局域网规划和设计思科WCS提供了集成化RF预测工具，它们可用于创建详细的无线局域网设计，包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地面56、布局输入思科WCS，并确定楼宇中各组件的RF特性，以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为，以便更方便地进行规划和更快地实施部署（图16）。图16. 规划工具网络监控和排障思科WCS提供的工具可帮助IT管理员查看其无线网络的布局，并持续监控WLAN性能。这其中包括详细的热点图，显示了所输入的地面之上的RF覆盖范围。WCS还提供了一个门户，用户可通过它获得思科WLAN控制器所提供的实时RF管理功能，包括信道分配和AP输出功率设置。此外，WCS可快速查看覆盖盲区、报警和关键的使用统计数据，实现了方便的WLAN监控和排障（图17）。图17. 查看RF覆盖范围位置跟踪思科提供了各57、种选项，来有效地跟踪无线设备，包括支持Wi-Fi的笔记本电脑、PDA、手机和配备了802.11收发器的移动设备。WCS的基本版本可确定一台无线设备与哪个接入点相关联，使IT管理员大致了解无线设备的位置。需更精确的定位服务的环境可部署WCS的一个可选版本，称为定位型WCS，它采用了即将荣获专利的“RF指纹”技术。该技术将实时客户端RSSI信息与已知RF楼宇特性相比较，使思科成为唯一能准确定位无线设备，结果可以准确到几米之内的WLAN基础设施（图18）。此外，定位型WCS能与思科无线定位设备一起部署，同时实时地跟踪数千个无线客户端。凭借这些先进的位置跟踪功能，思科解决方案成为了一个理想的平台，可支58、持具有无线移动性的关键业务应用，如资产跟踪、库存管理和增强911 (e911) 电话服务。通过将位置跟踪集成入无线局域网基础设施，思科降低了无线局域网部署的复杂性和总拥有成本。图18. WCS可准确指出无线客户端的位置无线保护思科WCS在一个思科无线基础设施中提供了管理和实施安全策略的全套工具。这其中包括：RF攻击签名和无线入侵防御思科WCS使IT人员可创建能定制的攻击签名文件，可用于迅速检测与RF相关的常见攻击，如拒绝服务(DoS)、Netstumbler和FakeAP。用户可对思科WCS编程，使其在发现攻击时自动生成报警。详细的趋势报告（图19）可帮助IT人员在威胁造成重大损失前发现反复出59、现的安全问题。图19. 无线安全问题总结恶意设备检测、定位和控制思科WCS平台使用即将荣获专利的技术，来持续监控无线空间，寻找非法接入点和临时网络。如果出现未授权设备，可使用思科WCS确定其位置并评估威胁级别。如认为是恶意设备，IT管理员可利用WCS来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。策略创建和实施思科WCS包含一个服务策略引擎（图20），使网络管理员能方便地创建虚拟LAN（VLAN）、RF、服务质量（QoS）和安全策略。凭借思科WCS，IT人员可创建多个独特的服务集识别符（SSID），各自带独立的安全参数。例如，一个“访客”SSID可通过Web验证来保护；“语音”SS60、ID可能需利用手机内置的有线等效保密(WEP)功能；而普通的数据流量则可用或IP安全(IPSec)来保护。思科WCS可在完整的思科无线网络、独立的思科无线局域网控制器，甚或独立的轻型接入点上实施安全策略。图20. 策略引擎用户拒绝列表IT人员可使用思科WCS来主动拒绝某些特定用户与无线网络建立连接。此外，如果发现异常活动，受到影响的设备会被标记，如果认为它们是恶意设备，会拒绝它们接入网络。这些设备就无法获得无线局域网服务，直至拒绝列表中规定的时间到期，或IT人员决定允许其访问无线局域网为止。无线局域网系统管理思科WCS使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心61、功能：排障思科WCS整合了重要的网络信息，如噪音级别、信噪比、干扰、信号强度和网络拓扑等，使网络管理员能隔离和解决所有无线网络层次中的问题。软件升级凭借思科WCS，只需点击一次鼠标，即可从单一位置执行对于思科无线局域网设备的升级。网络映射思科WCS可自动发现无线网络中的各个设备。因此无需进行手动数据库配置和维护，且可提供准确信息，以用于容量规划和排障。定制报告思科WCS可生成大量报告，以记录网络活动和系统信息。其中包括客户端统计数据、无线频谱利用数据、计数器、RF管理配置历史和报警（图21）。图21. 所发现的恶意AP和客户端活动报告灵活、安全的访问思科WCS使用SNMP版本3来提供最高水平的62、网络管理功能和安全性。该协议可用于在思科WCS服务器和各无线局域网控制器间通信。此软件也支持SNMP版本1和版本2，这使其他网络管理平台也能对其进行查询。网络管理员可通过任意运行HTTP或安全HTTP (HTTPS)的标准浏览器来访问思科WCS，确保能随时、随地使用思科的管理功能。特性和优点表3列出了思科WCS的特性和优点。表3. 思科无线控制系统的特性和优点特性优点直观的GUIIT人员只需极少的培训，即可方便地对其无线网络进行配置、监控和排障。层次化视图IT人员能快速访问不同的地区、园区、楼宇、楼层和区域，更好地查看和控制情况。无线局域网规划工具准确的RF预测工具提高了无线局域网规划和设计的63、有效性。高度准确的集成化位置跟踪（由定位型WCS提供）跟踪用户和设备，保护资产并增强无线局域网的安全程度。策略管理模板可在整个企业中方便地创建和实施统一的QoS、安全和RF管理策略。全面的无线局域网入侵保护定制签名文件可防御未授权入侵和RF攻击；自动报警能使用户迅速响应，从而降低风险。简单、便利的软件升级无需手动干预，即可使无线局域网控制器和轻型接入点保持最新版本。强大的API此界面提供了与外部软件系统的集成，包括工作流程软件、故障管理系统和其他使用无线服务的应用。总结思科WCS适用于企业无线局域网部署，简化了无线网络的部署和运营，有助于确保性能平稳、增强安全性并实现最高网络可靠性。思科WCS64、可集中管理园区环境和分支机构中的所有思科无线局域网控制器和Cisco 1000系列轻型接入点，消除了复杂性，使网络管理员可查看和控制其无线局域网。二、6 定位服务器思科无线定位设备思科无线定位设备是业界第一款能够直接从WLAN基础设施内部跟踪数千个设备的定位解决方案。它为重要资产跟踪、IT管理和基于位置的安全技术提供了一个经济有效、高分辨率的定位解决方案。这种创新的设备可以通过一个功能强大的、开放的应用编程接口（API），与多种技术和应用合作伙伴紧密集成，从而为多种新型的、重要的业务应用提供支持。这些功能使得思科无线定位设备成为了目前所有企业级WLAN必不可少的重要组成部分。图22. 定位服务65、器产品概述思科无线定位设备是一个创新的、便于部署的解决方案。它可以利用先进的RF指纹技术，直接从WLAN基础设施内部跟踪数千个802.11无线设备，从而提高资产的可见度和加强对无线空间的控制。另外，该设备能够记录丰富的历史位置信息，这些信息可用于位置趋势分析、迅速解决故障和RF容量管理。通过为功能强大的、基于位置的应用（例如增强911E911）服务的部署提供支持，以及借助与思科无线定位API的集成实现资产管理和工作流自动化，该设备将为各种客户提供一个至关重要的解决方案，服务于大型企业乃至各个垂直行业，例如医疗、金融、零售、制造和联邦政府。思科无线定位设备的独特设计使其可以直接集成到WLAN基础66、设施之中，从而通过具备“位置感知能力”而降低客户的总拥有成本和增强现有WLAN基础设施的价值和安全性。思科无线定位设备可以利用思科无线局域网控制器和思科轻型接入点，跟踪无线设备的物理位置，结果可以准确到几米之内。而且，思科无线控制系统（WCS）的集中WLAN管理功能和简单明了的GUI可用于管理和设置思科无线定位设备，从而让安装过程变得非常迅速和直观。产品架构“读取器”。这些接入点可以从所有Wi-Fi设备采集接收信号强度指示（RSSI）信息，其中包括支持Wi-Fi的笔记本电脑、手机、Wi-Fi标签、恶意（未经授权的）设备和恶意接入点。搜集到的RSSI信息随后会通过轻型接入点协议（LWAPP）发送67、到思科无线局域网控制器，或者特定的无线集成化交换机。然后，思科无线局域网控制将汇总RSSI信息，通过简单网络管理协议（SNMP）发送到思科无线定位设备。思科无线定位设备会根据它从思科无线局域网控制器搜集到的RSSI信息，进行位置计算。搜集RSSI信息的思科无线局域网控制器必须与思科无线定位设备建立关联（如图23所示）。图23 集成化定位服务架构概况一旦网络拓扑和接入点被添加到该设备中，它就会生成RF预测和热点地图，在当地的建筑平面图上显示数千个设备的位置。思科WCS可以直观显示它的位置信息（如图24所示），从而及时地为那些希望加强RF容量管理、采用基于位置的安全措施和加强WLAN设备的可见度的68、客户提供位置应用。这些位置信息还可以通过设备上的一个简单对象访问协议/可扩展标记语言（SOAP/XML）API供给第三方应用使用，从而为多种基于位置的应用创建一个可扩展的平台。图24 思科无线定位设备：同时对数千个用户、设备和接入点进行实时跟踪。思科WCS可以通过一个直观的、内容丰富的GUI管理思科无线定位设备。该GUI可以提供集中的管理和配置。为了进一步提高可扩展性，思科WCS还可以管理一个或者多个思科无线定位设备。思科WCS视图过滤器和灵活的搜索标准使得用户可以方便地根据自己的需要查看特定的位置数据。图25显示了一个针对恶意接入点和设备的视图。用户可以针对多种选择创建这种有针对性的视图，包69、括设备种类、逻辑名称、检测时间和物理位置（例如某个楼层）。例如，在一所医院中，用户可以创建一个针对“第三层的所有输液泵”的视图。图25 思科无线定位设备：专门针对恶意接入点和设备的视图无线安全和快速排障思科无线定位设备让IT经理可以迅速、准确地发现安全威胁，例如恶意接入点和设备。恶意接入点可能会创建潜在的安全漏洞和不安全的WLAN连接，导致整个网络受到严重的威胁。恶意设备由员工或者入侵者安装。通过更加准确地定位这些设备，IT经理可以迅速地隔离安全威胁和未经授权的网络访问尝试。对这些恶意设备的准确检测有助于确保合法客户端只与可靠的接入点建立关联，从而提供更高的WLAN安全性。另外，IT经理还可以70、利用思科无线定位设备，为基于位置的安全措施建立框架从而进一步加强WLAN的安全。通过深入查看设备的详细位置和统计信息，IT人员可以方便地审查安全警报或者移除警报，隔离、限制无线入侵者，迅速排障和简化设备管理（如图26和图27所示）。例如，可以在客户端上找到有效的安全数据，包括关于用户最近、过去在什么时间到过哪里的物理位置信息，客户端流量分析，以及IP地址、用户名、MAC地址、服务集标识符（SSID）和接入点关联细节等。这项功能还提供了一个丰富的信息审查索引。IT人员可以利用便于输出的日志文件，将其存档和使用30天或者更长的时间。图26 思科无线定位设备客户端细节页面视图顶部图27 思科无线定位71、设备客户端细节页面视图底部用于RF容量管理和可见度的位置趋势分析思科无线定位设备可以生成多种有助于加强RF容量管理的信息。这些信息可能建立在下列因素的基础上：位置趋势即用户在什么时间到过哪里，例如客户端/标签在某一层中的分布；统计位置信息即用户曾经到过哪里和相关流量分析；覆盖区域热点所在的位置。根据人员和流量的分布情况，可以了解RF资源的集中程度，以及WLAN处理客户端的方式（如图28所示）。图28 思科无线定位设备位置趋势分析特定地点搜索通过多个针对特定的用户兴趣而定制的灵活参数，可以方便地进行有针对性的搜索。这些搜索标准包括但不仅限于：资产种类，例如标签、客户端、恶意设备和定制的逻辑资产名72、称；物理位置参数，例如楼层、园区、楼宇、关联接入点；检测时间；协议，SSID，IP和MAC地址，以及用户名。例如，图7显示的是一个旨在列出某个特定资产群组内的所有标签的搜索操作。用户也可以同样方便地搜索某个楼层中的所有恶意设备。图29 思科无线定位设备标签搜索参数与基于位置的应用的集成为了促进基于位置的应用在企业中的部署，思科无线定位设备配备了一个功能丰富的、开放的、基于SOAP/XML的API。应用可以通过从定位设备导入所有可能影响无线空间的组件（例如整个网络的拓扑，包括楼宇、楼层、接入点、覆盖范围和设备列表），迅速地利用位置信息。其他一些有效的数据也可以被导入，例如最近和过去的位置和统计设73、备信息。基于位置的警报和通知可以通过区域边界定义、许可区域和距离而在应用中触发。所有这些功能使得思科无线定位设备API可与使用位置信息的外部软件应用（例如E911、资产管理、企业资源计划ERP工具和工作流程自动化系统）建立紧密、透明的集成。这使思科无线定位设备成为了任意端到端企业解决方案的理想选择。特性和优点思科无线定位设备可以为使用关键业务型无线局域网的企业提供很多实际的好处，其中包括：提高准确性思科无线定位设备可以利用思科即将荣获专利的RF指纹技术确定无线设备的位置。思科拥有唯一可以将楼宇的已知RF特性（例如多路径或者衰减）与实时用户信息关联，以跟踪移动设备（结果可以准确到几米之内）的WL74、AN基础设施。可扩展性利用思科无线定位设备，用户可以同时跟踪数千个无线客户端和Wi-Fi标签，以确保位置服务可应用于整个企业环境。降低总拥有成本思科解决方案可以通过将现有的思科WLAN网络基础设施与定位设备相结合，降低运营开支。这种方式比独有的或者单一用途的位置跟踪解决方案更为经济，因为它采用了标准的802.11组件，不需要为位置跟踪采用专用接入点。透明集成思科是唯一可以将位置跟踪集成到现有WLAN基础设施中的供应商。提供数据流量的思科接入点也可用于定位无线设备。这有助于最大限度地减少投资开支，确保更高的可见度，让WLAN可以利用位置信息加强安全和容量管理。灵活性思科提供了唯一可以跟踪802.75、11客户端（例如笔记本电脑、PDA和其他配备了有源射频标识RFID标签标签由思科合作伙伴提供的非Wi-Fi移动设备）的WLAN系统。这可以帮助IT人员跟踪任意移动装置。简化业务应用的部署利用思科无线定位设备，可以方便地部署资产跟踪、库存管理、基于位置的安全措施、自动化工作流程管理和其他新型业务应用。表4 思科无线定位设备的特性和优点综述特性优点可扩展的位置跟踪和资产管理利用先进的RF指纹技术和直观的网络拓扑图，同时跟踪数千个用户和设备（结果准确到几米之内）。通过定位设备，有效地访问更新的和历史的位置信息。集成化的、经济有效的位置跟踪提供Wi-Fi流量的思科轻型接入点也可以定位无线设备。这可以最76、大限度地降低TCO，确保更高的可见度，让WLAN可以根据位置信息加强安全性和容量管理。增强的WLAN安全性迅速、准确地定位恶意设备和恶意接入点，让IT经理可以迅速地制止安全威胁和未经授权的网络访问尝试。这让IT经理可以建立一个稳固的框架，以通过基于位置的安全功能增强WLAN安全。直观的集中管理只需经过少量培训，IT人员就可以利用直观的思科WCS GUI，集中、方便地添加、配置、管理和升级一个或者多个定位设备。通过WLAN模板和现成的RF测量模型，集中、可扩展的部署变得非常方便。思科WCS还支持访问控制设置；内容和轮询频率的定义；存档参数的配置。它还可以记录和查看思科无线定位设备的服务器事件和严77、重程度。层次化拓扑图从思科WCS将网络设计、拓扑图和接入点分布导入到思科无线定位设备，迅速、方便地以浏览器的方式查看不同地点、园区、楼宇、楼层和区域的设备。对网络变动的透明永续性思科WCS会定期轮询定位设备的状态和改动，以便在思科WCS和思科无线定位设备之间保持同步的控制数据，例如网络拓扑图。思科WCS和思科无线定位设备之间存在一种双向智能同步机制，有助于确保双方都具有最新的信息。特定视图列表利用了过滤器和灵活的搜索参数、可定制的特定视图让用户可以方便地查看数千个设备。通过支持为资产种类使用逻辑性强、便于理解的定义，有助于改进直观查看功能。增强的RF容量管理用户可以方便地深入查看详细的客户端位78、置信息和统计信息，以及生成趋势，从而加快排障速度，加强对RF容量和设备的管理。灵活、方便的部署利用“现成的”RF模型和预测技术，可以实现迅速的部署。这些技术能够将楼宇的已知RF特性与实时的用户信息结合到一起，以便进行准确的跟踪。加强的部署灵活性是通过基于模板的RF模型提供的。这些模板可以通过编辑，适应特定的RF环境，以及支持可重复使用的、定制的RF测量模型。审查索引和数据库维护可以存档和使用长达30天的位置和统计无线设备信息。为了存档30天以上的信息，可以方便地将其导出到日志文件。为了保持最优的位置数据库性能，内置了可设置的自动删除和碎片整理间隔。强大的API通过与功能丰富的、开放的API紧密79、集成，可以部署多种能够利用基于位置的信息的应用，例如E911、资产管理、ERP工具和工作流程自动化系统。应用思科无线定位设备可部署于多个行业的不同环境和场合之中。主要的应用场景包括：移动设备的可见度和跟踪通过防止重要的移动资产的丢失或者失窃，可以降低运营和投资开支。例如，医疗环境中的轮椅和输液泵，以及企业的高射投影仪、笔记本电脑和手机等。在一个无线环境中，位于任何位置的个人和资产都可以被迅速找到。工作流程自动化和人员跟踪库存使用、电子工作流程和分发流程都经过了优化。在一个零售环境中，店面布局和队列管理都可以通过跟踪客户的购物“模式”进行优化。在一个娱乐公园中，家长可以随时知道孩子所在的位置。在80、相关设施中，用户还可以跟踪安全人员的位置。在医护人员严重短缺的医疗机构中，医院可以在正常工作期间或者在急需“距离最近的”医护人员的紧急抢救期间，跟踪医护人员的位置。其他具有特殊需要的医护人员可能需要跟踪婴儿或者老年人的位置。例如，有些患有阿尔茨海默氏病的老年人经常会在医院内迷路。远程测量带有串行接口的Wi-Fi标签可以被附加到某个设备上，将设备的重要信息直接发送到业务应用。例如，汽车租赁企业常常需要与返还车辆的里程数和剩油有关的测量信息，而客户需要可以帮助他们更快地找到车辆的位置信息。医药厂商、制造工厂和零售商需要关于产品的批数、过期时间、产品编号、序列号和不合格条件的信息。另外，在医疗行业，81、知道某个输液泵的位置固然重要，但是知道它是否正在使用（启动还是关闭）更为重要。WLAN安全和网络控制IT人员可以迅速地定位安全威胁，例如恶意接入点和恶意客户端设备。IT经理还可以利用该设备为基于位置的安全措施建立框架，从而将楼宇的物理安全用于控制WAN接入进一步加强WLAN的安全性。RF容量管理和可见度通过将位置跟踪集成到WLAN中，IT人员可以执行除跟踪用户以外的很多任务。利用这种设备，他们可以生成基于位置的趋势报告，查看详细的使用行为，以适应流量模式的变化，实现更高质量的RF容量管理。基于WLAN的语音（VoWLAN）很多州的法律都要求E911电话服务必须能够让紧急派遣人员可以确定某个遇到82、困难的求助者的位置。E911服务可以通过针对无线语音设备的准确位置跟踪而具备这种能力。位置跟踪已经成为今天的WLAN的一个重要组成部分。通过发现和跟踪无线用户的位置，企业可以提高WLAN规划和部署的准确性，优化长期的网络性能，加强无线安全，以及提高重要的业务应用的效用和价值。位置跟踪还提高了无线空间的可见度和控制，帮助IT人员以与部署传统有线网络一样的便于管理、高效的方式部署无线网络。总结客户需要一个经济有效、便于部署的解决方案来在不同的业务环境中跟踪和管理Wi-Fi设备和标签。他们还需要通过部署先进的服务，改进他们的业务应用，以及满足法律对于加强安全性、提高资产可见度和支持E911呼叫的要求83、。三、新大楼无线设计方案三、1物理连接示意图根据XXXX网络覆盖需求和现场环境的勘查，确定实施方案，确定每层的设备使用数量：序列号楼层AP数量1234567891011121314151617181920三、2设备需求清单设备名称型号单位数量无线接入点Airspace台197无线天线个476网络供电模块台197无线网卡块0馈线根468功分器个121WCS网管WCS台1控制器4400台2定位服务器2700台1三、3楼层设备分布点位拓扑图四、新大楼无线网络项目施工本次设计实施目标为大楼内无线网络信号覆盖，由于现阶段装修没有开始，无线网络施工还需要现场无线信号实际测试，最终确定每一台AP的安装位置。84、在项目实施前还需要现场勘查确定AP到交换机的走线情况。 设备安装： AP安装方式：安装在天花板处或侧墙壁上，安装位置根据现场实际测的信号强度和房屋内部装修布置确定，实际安装可以根据装修情况进行优化。 天线安装：采用吸顶天线安装方式。 采用6类UTP线缆从现场AP直接连接至配线间RJ45配线架上，经跳线连接到楼层交换机。或就近空闲模块接口。 AP工作电源由设备供电模块提供48V DC电源。线缆、管道和桥架由综合布线和综合管道桥架统一考虑。本项目实施需着重考虑如下几点：（1） 因为大楼内部装修未确定，在安装设备和吸顶天线时不能影响大楼装修的美观。这个施工难度比较大，需要综合考虑。（2） 接入点布局85、问题：根据客户要求使用802.11b协议的11 Mbps设备，设备安装需要充分考虑环境和不可抗拒的因素。（3） 信号覆盖问题：因为在同一个环境中安装多个设备，各个设备之间的信号相互窜绕的问题比较严重，需根据现场环境来调整设备内部配置（4） 天线问题：天线的安装要和大楼的装修融为一体，不能影响大楼装修的美观，在颜色、尺寸方面充分考虑。（5） 安全问题：客户端的无线链接可通过用户认证和设备端口认证等一些安全措施解决。（6） 与大楼局域网链接问题：设备的网线链接选择就近的弱电室，还有空闲的网络接口也可考虑。五、新大楼无线网络安全性设计 目前，无线LAN已经形成了主流趋势，各类公司都想把有线LAN和无86、线LAN进行集成。网络管理人员希望无线LAN能够提供和有线LAN一样的安全性、可管理性以及可伸缩性。 其中最主要考虑是安全性，包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密则保证发射的数据只能被所期望的用户接收和理解。 有线LAN的接入是在LAN的以太端口接入时进行管理。因些，有线LAN的访问控制常常以物理端口接入方式进行监视。同样，由于有线LAN的数据传输直接送到一定的目的地，除非有人使用特定的设备在传播路径上进行截听，信息一般不会泄露。简而言之，除非LAN物理上遭到破坏，否则不会发生信息的泄密问题。 在无线LAN中，传送的数据是利用无线电波在空中辐射传播，它可以被发射机覆87、盖范围内任何无线LAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备。配置无线LAN时，以太网端口相当于可以设置在任何地点，包括停车场，无法像有线LAN的端口那样进行控制。由于没有办法把无线LAN发射的数据定向到一个特定的接收设备，所以数据保密成为最重要的问题。 IEEE 802.11b标准含有确保访问控制和加密的两个部分，这两个部分必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的安全解决方案，可以从一个控制中心进行有效的管理。缺乏集中的安全控制是无线LAN只在一些相对较小的88、公司和特定应用中得到使用的根本原因。 第一代无线LAN的安全性 IEEE 802.11b标准定义了两种机理来提供无线LAN的访问控制和保密：服务配置标识符（SSID）和有线等效保密（WEP）。还有一种加密的机制是通过透明运行在无线LAN上的虚拟专网（VPN）来进行的。因为VPN的使用独立于任何本地无线LAN安全方案，所以本文不涉及它的讨论。 SSID 无线LAN中经常用到的一个特性是称为SSID的命名编号，它提供低级别上的访问控制。SSID通常是无线LAN子系统中设备的网络名称；它用于在本地分割子系统。SSID做为编号来允许/拒绝访问是危险的，因为SSID的安全性并不好。把无线客户机连接到有线89、网络的设备称为访问点，它通常在自己的信标中广播SSID。 WEP IEEE802.11b标准规定了一种称为有线等效保密（或称为WEP）的可选加密方案，提供了确保无线LAN数据流的机制。WEP利用一个对称的方案，在数据的加密和解密过程中使用相同的密钥和算法。WEP的目标包括： 访问控制：防止没有正确WEP密钥的非授权用户获得网络的访问权。 保密：通过只允许有正确WEP密钥的用户来对无线LAN的数据流进行加密和解密，从而达到保密的目的 尽管WEP是可选的，但WECA要求Wi-Fi认证的产品要支持WEP的40位密钥，因此WECA成员都支持WEP。有的厂家利用软件实现加密和解密过程的大量计算，也有的厂90、家，如Cisco，利用硬件加速器来保证数据流加密和解密过程中的性能损失最小。 IEEE 802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中，无线子系统中所有的工作站（包括客户机和访问点）共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后，它可以安全地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配，也就越有可能暴露。在第二种方案中，每个客户机建立和其它工作站密钥映射关系。这种方案工作起来更为安全，因为拥有密钥的工作站更少。但是当工作站的数量不断增加时，分配这样一个独一无二的密钥会变得很困难。 身份验证 一个客户机在进行身份验证之前不91、能接入到无线LAN中。IEEE 802.11b标准定义了两种身份验证的方法：开放和共享密钥。身份验证必须在每台客户机上进行设置，并且这些设置应该能够与想和客户机通信的所有访问点相匹配。 开放式身份验证为缺省的方法，整个验证过程以明码电文的方式完成，客户机即使没有提供正确的WEP密钥也能和访问点进行通信。在共享密钥的方法中，访问点发送给客户机一个询问文本信息包，客户机必须使用正确的WEP密钥对它进行编码，并且把它返回访问点。如果客户机提供的密钥错误或者根本没有提供密钥，说明身份验证失败，它将不会被允许和访问点进行通信。 一些无线LAN厂商支持基于客户机物理地址，或者说基于介质访问控制（MAC）地92、址的身份验证方法。只有当客户机的MAC地址与访问点所使用的验证表中的地址相匹配时，访问点才允许客户机与它进行通信。 安全隐患 硬件被窃 静态地指定WEP密钥给一台客户机是很常见的方法，密钥或者存储在客户机的磁盘存储器中，或者存储在客户机的无线LAN适配器的内存中。当这些步骤完成后，客户机处理器就拥有了客户机的MAC地址和WEP密钥，并且可以利用这些单元获得对无线LAN的访问权了。如果多个用户共用一台客户机，这些用户将有效地共享MAC地址和WEP密钥。 当客户机丢失或被盗时，该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权，而非正常用户则有了这些权限。此时管理员要想检测网络的安全性是93、否被破坏是不可能的；原有的机主应该及时通知网络管理员。当网络管理员接到通知后，必须改变安全方案，使MAC地址和WEP密钥在访问无线LAN和对传送的数据进行解密时变得无效。同时，网络管理员还必须对与丢失或被盗的客户机密钥相同的其它客户机的静态密钥全部进行重新编码。客户机的数目越多，对WEP密钥进行重新编程的工作量也就越大。 所需要的安全方案： 无线LAN身份验证基于设备独立的项目，如用户名和口令等，不论在哪一部客户机上运行，这些项目都由用户拥有和使用 使用由用户身份验证动态产生的WEP密钥，并不是和客户机物理相关的静态密钥 虚假访问点 802.11b共享密钥验证使用单向，非相互的身份验证方法。访94、问点可以验证用户的身份，但是用户并不能验证访问点的身份。如果一个虚假访问点放置到无线LAN中，它可以通过劫持合法用户客户机来成为发动拒绝服务攻击的平台。 因此在客户机和验证服务器之间需要一个相互验证方法，双方都应在一个合理的时间证明它们的合法性。因为客户机和验证服务器通过访问点进行通信，访问点必须支持双向的身份验证方法。双向的身份验证使检测和隔离虚假访问点成为可能。 其它隐患 标准的WEP支持每个信息包加密功能，但是并不支持对每个信息包的验证。黑客可从对已知数据包的响应来重构信息流，从而能够发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。 通过监视802.11b控制和数据通道，95、黑客可以得到如下信息： 客户机和访问点MAC地址 内部主机的MAC地址 进行通信/断开通信的时间 黑客可能使用这些信息来进行长期的流量测量和分析，从而获悉用户和设备的详细信息。为预防此类黑客活动，站点应使用每次会话WEP密钥。 解决安全性时所遇到的隐患 总的来说，为了确保本部分所提到的安全性，无线LAN安全方案应做到： 无线LAN身份验证基于与设备独立的项目，如用户名和口令等，不论在哪一部客户机上运行，这些项目都由用户拥有和使用 支持客户机和验证（RADIUS）服务器之间的双向身份验证 使用由用户身份验证动态产生的WEP密钥，并非和客户机物理相关的静态密钥 支持基于会话的WEP密钥 第一代无线96、LAN安全性能依赖于访问控制和保密的静态WEP密钥，它并不能解决以上这些需求。 完整的安全解决方案 我们所需要的无线LAN安全解决方案，应该利用基于标准的和开放的结构，充分利用802.11b安全部件，提供最高级别的可用安全性，实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容，这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面： 可扩展身份验证协议（EAP），是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务（RADIUS）的扩展 IEEE 802.11X，用于控制端口通信的推荐标97、准 在使用安全解决方案时，在用户进行网络登录之前，与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后，客户机和RADIUS服务器（或其它验证服务器）通过用户所提供的用户名和口令进行双向的身份验证，对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护，不会被被动监听和其它攻击方法所截获。如果没有保护措施，没有什么能在空气中畅行无阻、绝对安全地传播。 这个过程的顺序如下： 无线客户机与访问点进行通信 在登录到网络之前，访问点拒绝所有客户机的对网络资源的访问。98、 客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。 利用802.11X和EAP，无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中，RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应，并把这个响应送到RADIUS服务器。RADIUS服务器根据它的用户数据库中的信息，自己产生一个响应，并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份，上述过程逆向重复。 当这个双向的验证过程全部完成后，RADIUS服务器和客户机确定一个有别于客户机的99、WEP密钥，并为客户机提供合适级别的网络访问权限，为个人台式机提供与有线交换部分相似的安全性。然后，客户机加载密钥，准备把它应用到登录会话过程中。 RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。 访问点利用会话密钥对广播密钥进行加密，把经过加密的密钥送到客户机，客户机利用会话密钥进行解密。 客户机和访问点激活WEP，并把会话和广播密钥应用到后续会话的所有通信过程中。 EAP和802.11X在遵循WEP的基础上，提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时，EAP框架是对有线网络的扩展，使企业为每个访问方法提供一个单独的安全结构100、。 看起来许多厂商都会在他们的无线LAN产品中支持802.11X和EAP。由于认识到802.11X对客户的具大利益，Cisco公司支持这个标准，提供完全符合802.11X标准的、完整的、端到端的安全解决方案。这个解决方案在站点用户使用Cisco Aironet无线客户机适配器和访问点以及Cisco安全访问服务器时可以得到。 在使用了Cisco的无线LAN安全解决方案之后，任何公司都将： 使由于硬件丢失或被盗、虚假访问点、黑客攻击造成的安全隐患最小 使用在用户登录时动态创建的、特定用户的、基于会话的WEP密钥，而不是存储在客户机设备和访问点的静态WEP密钥 从一个集中控制点管理所有无线用户的安全101、性 六、新大楼无线网络认证和域控制器集成六、1 思科无线局域网控制器所支持的认证方式思科无线局域网控制器所支持的认证方式包括： 开放式本地网络认证 静态WEP 802.1x认证 WPA 认证六、1、1开放式本地网络认证在本地网络认证方式中，需要在思科无线局域网控制器中加入本地网络用户(local net user)的用户名，密码，不需要配置认证服务器（radius server）。客户端除需要配置正确的SSID,不需要其他任何配置。使用时开启客户端软件，开启IE,无线关联后会弹出相应的airspace Web界面，输入用户名，密码。思科无线局域网控制器比对自己内部的用户数据，正确即可正常连接网102、络。客户端需求：Cisco ACU，Windows XP SP2 自带客户端即可 六、1、2 Static WEP 静态WEP在静态WEP方式中，需要在思科无线局域网控制器中加入静态WEP的选项,及相应的WEP的密钥(40获104bits).不需要配置认证服务器（radius server）。客户端需要配置正确的SSID,选用WEP开启，配置相应的WEP的密钥即可。客户端需求：cisco ACU，Windows XP SP2 自带客户端即可六、1、3 8021x认证使用 IEEE 802.1X 在 WLAN 中应用增强型访问控制机制。这种方法必须与安全可扩展验证协议 (EAP) 结合使用。选择103、怎样的 EAP 方法将定义 WLAN 验证用户和计算机身份所用的证书类型。思科无线局域网控制器支持使用结合 MS-CHAP v2 协议的 PEAP 进行密码验证、使用 EAP-TLS 进行证书验证。PEAP 是安全通道中另一保护 EAP 方法（如 MS-CHAP v2）的途径。使用 PEAP 对于防范目标是基于密码的 EAP 方法的攻击而言非常重要。在8021x认证方式中，思科无线局域网控制器支持EAP-PEAP-MSCHAPv2， 需要在思科无线局域网控制器中加入8021x认证的选项,及相应的验证、授权和记帐(AAA)/RADIUS 服务器的地址，访问密钥和动态 WEP(40获104bits104、).。需要配置认证服务器（radius server）支持 802.1x协议。需要配置相应的CA.客户端需要配置正确的SSID,选用8021x 开启，及相应的EAP-PEAP-MSCHAPv2配置。需要配置同认证服务器（radius server相应的CA.客户端需求：Windows XP SP2 自带客户端或专用的802.1X客户端软件（必须配备支持 802.1X 和动态 WEP 或 WPA 加密的 WLAN 网络适配器）IEEE 802.1x 身份验证提供对 802.11 无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态105、密钥管理，可将无线网络安全风险（例如，对网络资源的非授权访问以及偷听）减小到最低程度。IEEE 802.1x 支持 Internet 身份验证服务 (IAS)，这种服务执行远程身份验证拨号用户服务 (RADIUS) 协议。在此执行下，作为 RADIUS 客户端配置的无线访问点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为那个会话生成唯一密钥（从产生 WEP 密钥的地方）。IEEE 802.1x 为可扩展的身份验证协议 (EAP) 安全类型提供的支持使您能够使用诸如智106、能卡、证书以及 Message Digest 5 (MD5) 算法这样的身份验证方法。认证和域控制器的结合是通过认证服务器（radius server）选用外部数据库（包括域服务器）来实现的。通过域成员身份对访问进行控制可使与 WLAN 有关的额外管理开销降到最低。本种方式可以登录域就可以登录整个域网络。六、1、4 WPA 认证尽管使用 802.1X 动态重新加密的 WEP 对于多个实际用途比较安全，但仍存在一些有待解决的问题，包括：WEP 使用单独的静态密钥用于诸如广播数据包这样的全局传输。与根据用户的密钥不同，全局密钥并不定期更新。尽管机密数据不可能使用广播进行传输，但由于对全局传输使用静107、态密钥，因此使攻击者可以发现网络相关信息，例如 IP 地址以及计算机和用户名。WEP 保护网络框架在完整性保护方面性能较差。通过使用加密技术，攻击者可以修改 WLAN 框架中的信息并更新框架的整体性校验值，同时不会被接收者发现。随着 WLAN 传输速度的提高以及计算能力和加密技术的改进，WEP 密钥将必须以更高的频率进行更新。这可能会给 RADIUS 服务器带来无法接受的负载。为解决这些问题，IEEE 正着手制定一个称作i 的新 WLAN 安全标准；该标准也称作强健的安全网络 (RSN)。Wi-Fi 联盟（一个顶级 Wi-Fi 供应商联盟）采用 802.11i 的一个早期版本，并将其发布到一个108、称作 WPA（Wi-Fi 保护访问）的行业标准中。WPA 包含 802.11i 功能的一个大型子集。通过发布 WPA，Wi-Fi 联盟可以强制所有带有 Wi-Fi 徽标的设备遵守 WPA，并可以使 Wi-Fi 网络硬件提供商在 802.11i 发布之前提供标准化的高安全性选项。WPA 集合了一套安全功能，它们目前被广泛认为是确保 WLAN 安全的最安全技术。WPA 包含两个模式；一个使用 802.1X 和 RADIUS 身份验证（简称为 WPA），另一个是用于 SOHO 环境的更简单的方案，它使用预共享密钥（称作 WPA PSK）。WPA 将强大的加密与 802.1X 的强大身份验证和授权机制109、结合在一起。WPA 数据保护通过以下方式消除了 WEP 的已知漏洞： 针对每个数据包使用唯一的加密密钥 使用更长的初始化向量，通过添加额外的 128 位密钥资料来有效地使密钥空间增大一倍 添加了一个不易于篡改或哄骗的已签名的消息整体性校验值， 合并加密的帧计数器，以阻止重播攻击但是，由于 WPA 使用的加密算法与 WEP 使用的算法类似，因而可以在使用简单的固件升级的现有硬件上实施它。在WPA 认证方式中，需要在思科无线局域网控制器中加入WPA认证的选项,及相应的验证、授权和记帐(AAA)/RADIUS 服务器的地址，访问密钥。需要配置认证服务器（radius server）支持 WPA协议。110、需要配置相应的CA.客户端需要配置正确的SSID,选用WPA开启，及相应的TKIP配置。需要配置同认证服务器（radius server）及相应的CA.客户端需求：Windows XP SP2 自带客户端同802.1x一样，WPA认证方式，认证和域控制器的结合是通过认证服务器（radius server）选用外部数据库（包括域服务器）来实现的。通过域成员身份对访问进行控制可使与 WLAN 有关的额外管理开销降到最低。本种方式可以实现登录域就可以登录整个域网络。六、1、5 新大楼无线认证方式新大楼无线设计采用更加安全的WPA模式，集成了上述的认证和PSK(Pre-shared Key)、以及TKIP，提供动态的密钥加密和成熟的认证，提升单纯WEP加密造成的案子安全性不足，同时和、和TKIP国际标准和标准草案兼容。 新大楼无线采用和域集成的方式进行接入认证。如图：总结