1、一、新大樓無線解決方案原則新大樓無線是Cisco結構化無線網絡解決方案，專門為XXX新大樓無線局域網絡設計。根據具體需求和勘測情況，在此次網絡建設的規劃、設計和實施中遵循以下原則： 先進性和實用性并重系統建設要有一定的前瞻性。在無線網絡建成后的3-5年之內，不會由于業務量的增加導致對網絡結構及主要設備的重大調整。同時要考慮實際的應用水平，避免技術環境過于超前造成投資浪費。 兼容性網絡采用開放式體系結構，易于擴充，使相對獨立的分系統易于進行組合和調整。選用的通信協議符合國際標準或工業標準，網絡的硬件環境、通信環境、軟件環境相互獨立，自成平臺，使相互間依賴減至最小，同時保證網絡的互聯，思科的無線局

2、域網全部支持從交換機直接通過PoE供電，不必為AP另行配置電源插座。思科的無線局域網系統滿足國際和國內的無線標準，市場占有率超過60%，思科WLAN最大程度的兼容符合Wi-Fi標準的各種無線終端設備，如Intel訊馳系統、國內和臺灣、香港生產的通過Wi-Fi認證的無線局域網絡終端設備，事實上，幾乎今天在市面上知名的品牌均可以兼容。 無線輻射根據中國國家無線電管理委員會的規定，在辦公室內部署無線網絡信號輻射不得超過100mw，以避免和5GHz對人體的影響。同樣的原因，在通常情況下，終端使用5mw左右的發射功率，以避免大功率長期輻射對人體的影響。無線接入點即AP執行標準工作在11Mbps到1Mbp

3、s之間，隨著終端和AP之間的信號的強弱，AP和終端會自動協商根據信號的衰減程度，自動降低傳輸速率和增大傳輸功率。思科無線系統在辦公室內部署的型號統一都根據國家規定最大為100mw，功率智能調節。 實時的射頻自動監測無線信號容易受到其他信號的干擾，無線局域網使用的2.4GHz和5GHz頻段是開放頻段，無需注冊即可獲得使用，因此下列設備可能造成干擾： 微波爐 其他大樓的無線系統 的無繩電話等因此思科的AP實時進行射頻的監測，AP后臺的控制器能夠實時對AP進行控制，控制功率的大小，比如當1個AP實效以后，其他的AP通過自動計算對功率進行增加；出現信號的時候，控制器能夠對信號干擾來源進行定位，確定何處

4、的信號干擾，信號干擾的程度如何，并地圖方式顯示在網管上。傳統有線網絡在物理安全方面存在一定的優勢。有線接口位于建筑物內部，這意味著企業可以利用加密卡和通行證來將未經授權的用戶拒之門外。但是在無線網絡中，這種物理保護并不存在。無線信號會擴散到物理圍墻之外，從而可能將企業的WLAN拓展到某個停車場或者相鄰建筑物。為了最大限度地解決這個問題，必須采用正確的RF設計、發射功率控制和先進的定位技術。 自動負載均衡有線網絡在本質上具有確定性第二層（以太網）和第三層（IP）交換機和路由器都是便于理解、可以預測的。但是，用戶在無線網絡中的體驗則依賴于無線信號的傳播和建筑物的其他特性。這些特性可能會迅速發生變化

5、，從而影響連接速度和錯誤率。一個位于城區的辦公場所的RF環境在早上10點和3點時是完全不同的。在早上10點，有數以百計的用戶在移動使用網絡。而在早上3點，辦公室的大門緊鎖，沒有人在辦公，而且附近的辦公室和咖啡廳也不會產生RF干擾。更多的情況下，在同一時間，大家從各自的辦公室匯聚到會議廳，特別是當人數比較多，超出了1個AP的承受范圍，那么帶寬會慢的無法工作；為了保障帶寬，如果在AP設置了限制，那么后來的人員無法得到無線連接服務，因為在后臺控制器的模式，可以對AP自動的負載均衡，將終端分別發送到不同的AP，自動計算和對終端的流量進行均衡，比如，當這個AP的利用率到了80%，那么控制器自動將用戶引導

6、到另外的空閑的相鄰AP上面，而在我們的設計中，所有的AP部署已經考慮了人員的位置和可能的集中的情況，完全可以智能的處理動態的負載變化。 自動頻道管理和跨IP域漫游無線局域網標準使用3個不重復的頻道，1、6、11，為了實現自動漫游，需要對頻道的管理。思科無線系統由于采用了后臺集中控制的方式，能夠當AP布防后，通過實時射頻監測，然后自動對頻道進行分配，并地圖方式顯示在網管上。無線局域網的AP如果處于不同的子網，在漫游的過程中，需要處理三層的漫游，在后臺保持用戶的DHCP得來的IP租用，認證的會話密鑰等，控制器可以自動完成三層無線漫游。 安全性無線網絡支持最多的安全特性，采用集中認證，對每個數據包進

7、行加密。通過對射頻的實時監測，發現并定位惡意的AP，惡意AP是未經授權的人員通過自己設置一個AP，吸引無線終端連接到惡意AP從而非法獲得數據的黑客方法。對惡意AP的掃描配合采用安全無線認證協議，能夠解決AP和無線之間的相互信任問題。目前無線局域網領域標準主要有思科和微軟等公司，能夠支持最多的安全保障和擴展的端口安全管理。 終端定位配合射頻實時監測功能，射頻指紋掃描能夠對終端所在的位置進行定位，當一個移動終端變換位置時，能夠實現3-5米的定位，同時和門禁系統結合，對外來的臨時人員進行RFID的定位，人員佩戴RFID標示的腰扣終端，可以將人員位置顯示在網絡管理界面的大樓地理圖上。方便對無線終端的監

8、控和管理。在網絡管理系統上有針對ERP系統和安全管理系統的API，可以結合ERP和安全管理系統將定位信息集成到工作流程的管理中。 地理化圖形管理界面網絡管理界面全部圖形化，能夠輸入新大樓的平面圖，并且能夠進行微調，能夠輸入障礙物等信息，在網管上面可以操作全部的無線功能。在AP上無需任何配置。二、新大樓無線解決方案的架構二1整體架構為了全面地滿足企業的RF管理需求，思科設計了一個集中、簡便的WLAN架構。它的核心組件是 “分離MAC”架構，即將對802.11數據和管理協議的處理，以及接入點功能分別部署于一個輕型接入點和一個集中WLAN控制器（如圖1所示）。更加特別的是，對時間敏感的活動例如信標處

9、理、與客戶端的握手、介質訪問控制（MAC）層加密和RF監控都是由接入點處理的。所有其他活動都由WLAN控制器處理，它需要具備整個系統的可見度。這包括802.11管理協議、幀轉換和橋接功能，以及對于用戶移動、安全、QoS和可能更加重要的是實時RF管理的系統級策略。圖1 典型的分離MAC架構 思科無線局域網控制器具備的實時RF管理對于思科輕型無線解決方案具有重要的意義。它是思科產品的一項獨有特色。思科無線局域網控制器可以利用動態算法，創建一個完全自行配置、優化和治愈的環境，讓思科WLAN適用于提供安全、可靠的業務應用。這是通過執行下列RRM功能實現的： 無線資源監控 動態信道分配 干擾檢測和避免

10、動態發射功率控制 覆蓋盲區檢測和糾正 客戶端和網絡負載均衡無線資源監控RF網絡的管理需要充分了解影響無線空間的因素。思科輕型接入點采用了獨特的設計，不僅能夠提供服務，還可以同時監控所有信道。這源自于思科在它的分離MAC架構中對802.11 MAC層所開展的、廣泛的開發工作。除了提供服務以外，思科輕型接入點還可以同時掃描所在國家允許的所有有效的802.11a/b/g信道，以及在其他地區有效的信道。這可以提供最高限度的保護系統將發現可能從其他國家進口的惡意接入點，或者某個知道怎樣更改所在國家規定操作方式的黑客。這些黑客能夠讓惡意設備位于帶外，從而躲過大部分WLAN入侵檢測系統（IDS）的掃描。思科

11、輕型接入點可以在不超過60ms的時間里進行“信道外”掃描，以監聽這些信道。在此期間搜集到的分組將被發送到思科無線局域網控制器。后者將對這些分組進行分析，以發現惡意接入點（無論服務集標識符SSID是否被廣播）、惡意客戶端、臨時客戶端和干擾接入點。在缺省情況下，每個接入點只用0.2%的時間進行信道外掃描。這項任務會在所有接入點之間進行統計分配，以確保相鄰接入點不會同時進行掃描，對WLAN的性能造成不利的影響。這使得管理員可以通過每個接入點搜集到的信息，了解他們的WLAN的運行狀況，將網絡可見度提高到重疊式網絡所無法提供的水平，解決為每三到五個接入點部署無線監視器這一做法可能出現的“隱藏節點”問題。

12、注意：在必要情況下，思科輕型接入點可以被專門部署為無線監視器，但是成本因素和對更高網絡可見度的要求通常會促使最終用戶采用上述方式。動態信道分配802.11 MAC功能需要采用一種基于二進制指數退避的沖突避免機制，即帶有沖突檢測的載波偵聽多路存取（CSMA/CA）。802.11 MAC層由一個四路交換協議定義：Request to Send (RTS) Clear to Send (CTS)Data ACK當某個基站需要發送信息時，它會將其提供給介質。如果介質是閑置的，接入點將會允許該基站發送它的數據。否則，基站將被告知等到其他正在使用介質的基站完成任務之后再發送數據。這可以防止兩個客戶端同時在

13、同一個信道上發送數據，導致數據幀受損。在使用CSMA/CA時，同一個信道上的兩個接入點（位于同一個區域）與兩個不同信道上的兩個接入點相比，將獲得其一半的容量。這可能會導致問題。例如，某個在咖啡廳中查看電子郵件的用戶可能會對相鄰企業中的接入點的性能造成不利的影響。即使位于不同的網絡之中，在信道1上向咖啡廳網絡發送流量的用戶也可能會導致使用同一個信道的企業數據遭到破壞。思科無線局域網控制器可以通過動態分配接入點信道，避免沖突，從而解決這個問題和其他同頻干擾問題。因為思科輕型解決方案通過它的RRM工具而具有覆蓋整個企業的可見度，所以信道可以被“重復利用”，以避免浪費寶貴的RF資源。換句話說，信道1將

14、會分配給一個遠離該咖啡廳的接入點。相比之下，其他WLAN系統在這種情況下通常要求完全禁止使用信道1。因此，思科的解決方案更為有效。思科無線局域網控制器的動態信道分配功能還有助于最大限度地減小思科輕型WLAN解決方案中的相鄰接入點之間的同頻干擾。例如，在使用802.11a時，信道35和40不能同時使用54Mbps，具體取決于接入點和客戶端的擺放位置。通過分配信道，思科無線局域網控制器可以隔離相同信道，從而避免這個問題（如圖2所示）。圖2 動態信道分配 33%效率 100%效率思科無線局域網控制器可以通過分析多種實時RF特性，有效地處理信道分配。這些特性包括：接入點接收能量這取決于網絡的靜態拓撲；

15、這項功能可以讓信道獲得最高的網絡容量。噪聲這個因素會限制客戶端和接入點的信號質量。噪聲的增大會導致有效網格的減小。通過優化信道和避免噪聲源，思科無線局域網控制器可以在優化網絡覆蓋范圍的同時，保持系統容量不變。如果某個信道因為噪聲過高而無法使用，該信道將會被避開。如果存在其他無線網絡，思科無線局域網控制器將會改變信道的使用方式，以避免與其他網絡的干擾。例如，如果一個網絡使用的是信道6，另一個相鄰WLAN將被分配信道1或者11。這可以通過限制頻率重疊，提高網絡容量。如果因為某個信道的使用量過高而導致沒有可用容量，思科無線局域網控制器將會選擇避開這個信道。利用率在啟用這項功能時，容量計算將會考慮到某

16、些接入點傳輸的流量多于其他接入點（例如一個休息室相對于一個工程區域）。因此，那些需要最多帶寬的接入點將在信道分配方面獲得更高的重視。客戶端負載通過在調整信道結構時考慮客戶端負載，可以最大限度地減少客戶端對于WLAN的影響。思科無線局域網控制器會周期性地監控信道分配情況，搜尋“最佳的”分配方式。只有在可以顯著提高網絡性能，或者改進某個性能低下的接入點的性能時，才會進行調整。思科無線局域網控制器可以將RF特性信息與智能算法相結合，執行針對整個系統的決策。利用軟決策機制，可以滿足互相沖突的需求，為最大限度地減少網絡干擾確保最佳的選擇。最終結果是在一個三維空間中實現最佳的信道配置，而位于樓層上方和下方

17、的接入點在總體WLAN配置中扮演著重要的角色。干擾檢查和避免“干擾”的定義是任何不屬于某個思科WLAN系統的802.11流量，包括惡意接入點、藍牙設備或者相鄰WLAN。思科輕型接入點一直在掃描所有信道，尋找主要的干擾源（如圖3所示）。如果802.11干擾幅度超過了預定的閾值（缺省值為10%），一個消息就會被發送到思科無線控制系統（WCS）。思科無線局域網控制器將設法重新分配信道，以便在存在干擾的情況下提高系統性能。這可能會導致相鄰思科輕型接入點位于同一個信道上，但是這顯然要比讓接入點繼續留在一個因為某個干擾接入點而無法使用的信道上好得多（考慮到利用率因素）。圖3 動態信道分配機制對干擾的反應惡

18、意設備管理員可以從思科WCS實時地查看RF環境的情況（如圖4所示）。這有助于了解無線空間的運行狀況，尤其是試圖診斷WLAN故障時。圖4 思科WCS無線統計信息視圖動態發射功率控制正確的接入點發射功率設置對于保證WLAN的平穩運行具有重要的意義。這對于實現網絡冗余也非常重要，有助于確保在接入點失去連接時進行實時的故障切換。思科無線局域網控制器可根據實時的WLAN情況動態地控制接入點的發射功率。在正常情況下，功率可以保持在較低的水平，以獲得額外的容量和減少干擾。思科輕型解決方案將試圖根據最佳實踐經驗，對接入點進行平衡，以確保它們在相鄰接入點之間保持-65dbm的發射功率。如果檢測到某個發生故障的接

19、入點，周圍接入點的功率將會自動提高，以填補覆蓋范圍受損所導致的漏洞。只允許對發射功率進行靜態設置的WLAN解決方案在支持動態網絡需求方面的能力極為有限。思科RRM算法采用了獨特的設計，可以創建最佳的用戶體驗。例如，如果接入點的發射功率被調低為四級（一級最高，五級最低），而且用戶的接收信號強度指示（RSSI）值降低到某個可以接受的閾值之下，接入點功率將會被提高，以便為客戶端提供更好的體驗。如果用戶的RSSI值位于閾值之下，功率將決不會被調低。用戶可以在思科WCS中，方便地查看各個功率等級和接入點相鄰設備信息，如圖5所示。圖5 利用思科WCS監控功率等級覆蓋盲區檢測和糾正如果某個接入點上的客戶端的

20、RSSI等級較低，思科輕型接入點將會向思科WCS發出一個“覆蓋盲區”警報。這表示存在一個覆蓋信號持續較差的區域，其中沒有可通信的漫游地點。管理員可以查找接入點的歷史記錄，了解這些警報是不是一種長期現象。長期現象意味著存在一個長期的覆蓋盲區，而不是一個偶發性的問題。如果是的話，思科無線局域網控制器將會調節接入點的發射功率等級，糾正所檢測到的盲區。否則，IT人員將可以借助準確的位置信息解決問題。客戶端和網絡負載均衡只有在客戶端能夠通過負載均衡，有效地利用容量的情況下，WLAN容量才具有實際意義。不幸的是，客戶端并沒有足夠的智能來自行制定均衡決策，即使這可以帶來更好的性能。例如，一個會議室中的所有用

21、戶可能都會與某個距離最近的接入點建立關聯，而忽略某個距離較遠、但是利用率較低的接入點。思科無線局域網控制器為所有接入點的客戶端負載提供了一個集中視圖。這可用于確定在哪里將新的客戶端加入網絡。另外，通過一定的設置，思科輕型無線解決方案可以主動地“驅使”現有客戶端關聯到新的接入點，以提高WLAN的性能。這樣，容量可以更加平均地分配到整個無線網絡之中。真正的實時解決方案思科解決方案思科WCS輕型接入點和無線局域網控制器可以提供實時的RF管理。其他WLAN供應商采用了不同的方法來解決RF頻譜問題，但是它們缺乏思科的實時檢測RF改動和對WLAN配置進行相應調整的能力。例如，有些WLAN解決方案通過讓接入

22、點監聽最不活躍的信道來進行信道分配。這種方式導致了接入點只能制定適合某一時間段的信道選擇決策，而且接入點經常處于除了1、6或者11以外的信道上。因為這可能產生干擾，因而不適用于大多數企業環境。另外一種策略是開發一個網絡管理應用，讓IT人員可以將接入點組合到一起，發送到同一個信道。在這個信道中，它們能夠以不同的功率等級發送信標。結果經過分析，可以為WLAN信道分配創建一個原始拓撲。它將由管理員保存，并發送到接入點。這種方式的問題在于一個多層建筑物總是存在垂直和水平重疊區域。這些應用通常沒有考慮這些因素，因而只能創建一個局部拓撲。另外，這些掃描對WLAN的運行具有破壞作用，所以應當在非工作時間進行

23、不幸的是，辦公樓在非工作時間通常都沒有工作人員，大門緊鎖，而且相鄰的WLAN也不在工作，所以這時的RF狀況也與平時大不相同。RF環境是動態的；IT人員不能只依賴于某個時刻的WLAN配置，尤其是非高峰期的WLAN配置。企業也很難依靠現場調查工具和預定的RF掃描來處理WLAN配置。即使是支持“一鍵式”WLAN分析和配置推送的工具也不具有足夠的動態性能，無法滿足實際無線流量的需要。它們還需要IT專家的親自參與，使得他們無法適應大型企業無線網絡的要求。實時RF管理應當模擬開放最短路徑優先（OSPF）。OSPF可以利用路由參數，不斷地監控網絡的狀態和對路由表進行必要的改動，以利用最佳的拓撲。利用內置的智

24、能，可以僅在網絡性能或者容量受到影響時才改動信道。將配置發送到一組接入點，但無法對系統性能和用戶行為作出連續反饋的無線管理系統，類似于過去的靜態路由。當將路由輸入曾經準確的路由表時，因為網絡一直在不斷變化，所以路由表在將來某個時刻并不一定準確甚至它們的正確期僅為一天（或者一個小時）。上述闡述整個新大樓無線系統解決方案所能夠實現的效果和具體的方法，能夠在接入便利、安全、功能、運維、管理上滿足集團新大樓的無線局域網絡要求，整體上平衡這五個方面，后面介紹整體解決方案的各個部分：控制器、接入點、網絡管理和定位服務4個部分。這四個部分配合終端和AAA服務器和Windows域AD服務器3個部分就構成了完整

25、的能夠實現上述目標的一個實施方案。簡單來講： 無線局域網解決方案部件功能： 控制器：控制所有的無線的運轉過程 AP接入點：負責射頻信號收發和射頻掃描（定位和惡意AP掃描，收集信號，分析在控制器）。插上網線是對其唯一的手工操作。 網絡管理WCS：圖形界面管理，輸入地理圖和障礙信息，可以圖示定位、射頻信息，記錄和審計，圖示惡意AP，操作控制控制器的無線操作。一般和控制器一起部署，集團在新大樓的網管中心部署，可以在WCS上監控和操作整個無線局域網絡系統，所有操作以WEB方式。 定位服務器：提供定位分析。 終端：兼容絕大多數廠商的終端設備，沒有限制。 AAA服務器：提供集中認證，利用集團原有的ACS服

26、務器就可以。 Windows AD服務器：可以連接AAA服務器，當控制器到AAA進行認證時，AAA查詢AD得到認證結果并返回，達到利用AD集中認證的結果。可以實現在終端上僅僅登陸域就可以實現無線同時認證集成的目的。在介紹完各個部分后，設計方案部分詳細描述各個樓層的具體設計和布點，以及所需要用到的設備以及數量。二、2輕型接入點協議新大樓無線解決方案采用LWCPP協議，即翻譯為輕型接入點協議，WLAN領域的趨勢是向集中智能和集中控制發展。使用一個WLAN控制器系統來為大量輕型接入點創建和執行策略。通過集中這些設備的智能特性，整個無線企業中對WLAN運營至關重要的安全性、移動性、服務質量 (QoS)

27、和其他功能都可得到有效管理。此外，通過分離接入點和控制器的功能，IT人員能簡化管理、提高性能并使大型無線網絡更為安全。圖6.輕型WLAN系統集中提供用于企業級RF管理和策略控制的智能隨著更多供應商移植到層次化設計，并用輕型接入點構建更大型的網絡，市場上需要一種管理輕型接入點如何與WLAN系統通信的標準化協議。這也正是互聯網工程任務小組（IETF）最新規范草案，即輕型接入點協議（LWAPP）的作用所在。憑借LWAPP，能部署功能最多、具更高靈活性的大型多供應商無線網絡。為什么要部署輕型接入點？傳統的WLAN解決方案將所有的流量處理、RF控制、安全和移動功能分散到各接入點提供。但這種架構只允許單個

28、接入點瀏覽流量。這意味著： 當未配備管理設備時，必須分別管理各接入點，從而提高運營成本和增加對人員的要求 無法查看系統中的網絡級攻擊和干擾 在第一層、第二層和第三層中只有一個安全策略實施點 無法發現和抵御針對整個WLAN的拒絕服務(DoS)攻擊 系統不能關聯或預測企業中的活動 實現優化、實時的負載均衡的能力有限 客戶端無法進行快速功能切換，而這正是支持語音和視頻等實時應用所必需的 如果一個接入點被偷竊或破壞，就會帶來內部安全風險圖7. 對等WLAN架構限制了性能、可管理性和安全性的提高大量設備供應商已紛紛采取措施，來消除對等WLAN架構的局限性（圖7）。其中許多供應商宣布采用新架構，集中部署W

29、LAN智能，以實現更高性能和效率。標準化需求隨著越來越多的產品使用帶集中WLAN智能的輕型接入點，市場需要一個管理這些設備相互間如何通信的業界標準。LWAPP是IETF工作小組為解決此問題而制訂的標準化草案。LWAPP最初由Airespace (2005年3月被思科系統公司收購) 和NTT DoCoMo制訂，是接入點和WLAN系統（控制器，交換機，路由器等）之間的標準化通信協議。其制訂目標如IETF規范所述，旨在： 降低接入點中的處理負擔，使這些設備中有限的計算資源可主要用于提供無線接入功能，而非用于過濾及策略實施 實現能對整個WLAN系統集中進行流量處理、驗證、加密和策略實施（QoS，安全等

30、）的機制 通過第二層基礎設施或IP路由網絡，提供一個通用封裝和傳輸機制，用于實現多供應商接入點互操作性LWAPP規范通過定義以下類型的活動，解決了這些問題： 接入點設備發現、信息交換和配置 接入點認證和軟件控制 分組封裝、分段和格式化 在接入點和無線系統設備間進行通信控制和管理LWAPP的廣泛采用使企業客戶可從多種能互操作的接入點及無線系統設備中進行選擇，因此他們不再需要根據哪些設備能配合工作而作出購買決策，而是可根據各接入點和無線系統設備的具體功能制訂決策。LWAPP在市場中得到廣泛接受，減少了被迫鎖定于一個供應商，即只有將接入點與同一供應商的WLAN系統設備共用，才能獲得最優運行效果的現象

31、。LWAPP還提供了一個開放標準解決方案，可在多供應商集中WLAN架構上提供安全的第二層和第三層網絡服務。此外，憑借LWAPP，第三方供應商也可擁有一個用于部署應用的通用架構。運行LWAPP當LWAPP于2002年首次進入WLAN行業時，它通過“分離MAC”概念使管理WLAN部署的方式發生了革命性的改變，“分離MAC”可將802.11協議的實時功能和其大多數的管理功能分離（圖8）。 具體來說，實時幀交換和MAC管理的某些實時部分在接入點中完成，而驗證、安全管理和移動功能由WLAN控制器處理。采用了LWAPP的思科集中WLAN解決方案，是第一個使用分離MAC的集中WLAN系統。圖8. “分離MA

32、C”LWAPP協議與思科智能RF管理功能的結合可使客戶在很多方面獲益：管理 動態的系統級RF管理，包括一系列可實現平穩無線運營的特性，如動態信道分配、傳輸功率控制和負載均衡。 單一圖形化企業級策略界面，包括VLAN、安全和QoS。安全 企業級安全策略包括從無線層到MAC層、再到網絡層的無線網絡的所有層次。這樣即可更方便地提供統一實施的安全和QoS功能，或用戶策略，來滿足手持掃描儀、PDA或筆記本電腦等不同設備類型的特定功能。 發現和抵御DoS攻擊，以及檢測和拒絕惡意接入點。這些功能運行于整個思科輕型無線局域網解決方案之上。移動 類似于手機的快速切換。 對WLAN語音等實時移動應用提供出色支持。

33、LWAPP是關鍵業務型無線網絡的重要構建塊。它也是構建大規模混合WLAN的基礎。通過為RF互聯網提供一種標準化方式，LWAPP可保護公司的WLAN投資，簡化RF管理，并優化用于各種規模的WLAN部署的無線網絡。二、3無線局域網控制器思科無線局域網控制器適用于企業無線局域網部署，并提供了系統級無線局域網功能，如安全策略、入侵防御、RF管理、服務質量(QoS)和移動性。它們與Cisco 1000系列輕型接入點和思科無線控制系統(WCS)軟件共用，可支持關鍵的無線應用。從語音和數據服務到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性，以便IT經理能構建從分支機構到主園區的安全、企業級

34、無線網絡。思科無線局域網控制器可平穩地集成入現有企業網絡中。它們使用輕型接入點協議（LWAPP），與Cisco 1000系列輕型接入點在任意第二層（以太網）或第三層（IP）基礎設施上通信（圖2）。這種新型IETF標準有助于確保接入點和無線局域網控制器間的通信安全，可完全自動地支持重要的無線局域網配置和管理功能，從而實現經濟有效的無線局域網運營。Cisco 4400系列無線局域網控制器圖9. 集中型無線局域網思科無線局域網控制器使企業能為支持關鍵業務應用的端到端無線局域網系統，創建和實施策略。多個WLAN控制器可自動相互發現，并在它們之間無縫協調WLAN服務。以這種方式，思科無線局域網控制器可作

35、為單一無縫系統運行，提供一個有數千AP的可擴展WLAN網絡。從語音和數據服務到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性，以便IT經理能構建安全的企業級無線網絡。如何部署無線局域網控制器思科系統公司提供了幾種無線局域網控制器，適用于不同的企業部署情況。這其中包括Cisco 2000系列、4100系列和4400系列。Cisco 2000系列為中小型企業環境提供了思科屢獲大獎的無線局域網服務。它可支持多達6個輕型接入點，是用于小型樓宇的經濟有效的解決方案。憑借集成動態主機控制協議(DHCP)服務和自動接入點配置，Cisco 2000系列也適用于現場IT支持有限的環境，如分散型企

36、業中的分支機構。Cisco 4100系列無線局域網控制器適用于中型機構。它有三種配置4112、4124和4136，它們分別最多可支持12、24和36個接入點。Cisco 4100系列提供了單一千兆以太網上行鏈路，和一條熱待機鏈路，可提供高速局域網連接和網絡可靠性。Cisco 4400系列無線局域網控制器適用于大中型機構，有兩個型號帶2個千兆以太網端口，其配置可支持12、25和50個接入點的4402，以及帶4個千兆以太網端口，支持100個接入點的4404。4402具有1個擴展插槽，4404具有2個擴展插槽，可用于在將來添加增強功能，如VPN終結等。此外，每個4400 WLAN控制器均支持一個可選

37、冗余電源，以確保最高可靠性。無線局域網控制器的智能RF管理所有思科WLAN控制器都配備了用于自適應實時RF管理的內嵌軟件。思科WLAN系統使用即將榮獲專利的無線資源管理(RRM)算法，來實時發現空中無線資源使用的變化并作出調整。這些調整以類似于路由協議為IP網絡計算最佳拓撲的方式，為無線網絡創建最優拓撲。圖10. 覆蓋整個企業的RF智能思科無線局域網控制器所管理的特定智能RF功能包括： 動態信道分配信道可根據不斷變化的RF情況進行調整，以優化網絡覆蓋范圍和性能。 干擾檢測和避免該系統可檢測干擾并重新調整網絡，以避免性能問題。 負載均衡此系統對多個接入點提供了自動的用戶負載均衡，即使負載量很大，

38、也能獲得最優網絡性能。 覆蓋盲區檢測和修復無線資源管理(RMM)軟件可發現覆蓋盲區，并嘗試通過調整接入點的功率輸出來修復它們。 動態功率控制該系統可動態調整各接入點的功率輸出，來適應不斷變化的網絡情況，以確保達到預期的無線性能和可靠性。無線局域網控制器實現嚴格的安全性思科無線局域網控制器符合最嚴格的安全標準，包括： 802.11i Wi-Fi WPA2，WPA和有線等效加密(WEP) ，帶多種可擴展驗證協議(EAP)類型受保護EAP (PEAP)，帶傳輸層安全的EAP(EAP-TLS)，帶隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN終結4100系列的可選模塊，提供IP安全(

39、IPSec)和第二層隧道協議(L2TP) VPN終結因此，它堪稱業界最全面的無線局域網安全解決方案。在思科無線局域網架構中，接入點可作為無線監控器，向無線局域網控制器通報有關無線域的實時信息。經由思科WCS，可進行準確分析并采取校正措施，從而迅速識別所有安全威脅，并將其提交給網絡管理員。思科提供了唯一能同時進行無線保護和提供無線局域網服務的無線局域網系統。這有助于確保實現完整的無線局域網保護，無需花費重復的設備成本或購買額外的監控設備。思科無線局域網系統最初可作為獨立無線入侵防御系統部署，再在稍后重新配置，添加無線局域網數據服務。這使網絡管理員能環繞其RF域創建一個“防御屏障”， 抑制未授權無

40、線活動，直至他們作好部署無線局域網服務的準備為止。思科通過提供以下多個保護層來實現無線局域網安全：RF安全檢測和避免干擾和消除不必要的RF傳播無線局域網入侵防御和定位思科無線局域網系統不僅可發現惡意設備或潛在的無線威脅，而且能對這些設備定位。這使系統管理員能快速評估威脅級別，立即按需采取措施來抵御威脅。基于身份的聯網IT人員必須在保護無線局域網的同時支持大量不同的用戶訪問權限、設備格式和應用要求。思科無線局域網系統使企業可為無線用戶或用戶組提供不同的安全策略。這其中包括： 第二層安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP 第三

41、層（和更高層次）的安全功能IPSec, web驗證 VLAN分配 訪問控制列表（ACL）IP限制，協議類型，端口和差分服務代碼點(DSCP)數值 QoS多個服務級別，帶寬減少，流量整形和RF利用 驗證、授權和記帳(AAA)/RADIUS用戶連接策略和權限管理網絡準入控制(NAC)實施客戶端配置和行為策略，以確保只有擁有適當安全工具的終端用戶設備才能訪問網絡。安全移動在移動環境中保持最高安全水平。這包括隨用戶移動而移動的VPN，無需重新建立安全隧道。此外，思科已開發了主動密鑰緩存(PKC)，這是8標準的擴展、標準的前身，可通過AES加密和RADIUS驗證實現安全漫游。訪客隧道為訪客接入公司網絡提

42、供更高安全性。它可確保訪客如不首先通過公司防火墻，就無法接入公司網絡。圖11. 多層無線局域網保護無線局域網控制器支持實時應用思科無線局域網系統提供最佳性能來支持語音等實時應用。思科無線局域網控制器可迅速在接入點和多個控制器間切換，在不干擾客戶端服務的情況下平穩移動。智能的隊列和爭用管理機制可高效管理無線頻譜空間。此外，思科無線局域網控制器在使用安全時，支持PKC，可提供實時性能和移動性。思科也支持兼容Wi-Fi多媒體(WMM)、基本符合新興標準的QoS功能。一旦最終標準得到批準，通過一次軟件升級，即可完全符合最終標準。無線局域網控制器支持移動性思科無線局域網控制器使用戶可在接入點、交換機，甚

43、或路由子網間漫游。無論用戶漫游到何處，安全和QoS上下文信息都一直跟隨著用戶，以確保移動不會影響性能、可靠性或保密性。思科無線局域網控制器無需對現有基礎設施或客戶端設備作任何修改，即可實現移動性。因此，思科無線局域網系統易于部署，其擁有和運營均經濟高效。無線局域網控制器為企業提供可靠性思科為關鍵任務型無線網絡提供了最高水平的可靠性。在接入點發生故障時，無線局域網控制器可自動調整鄰近接入點的功率，以覆蓋故障接入點原來提供服務的區域。在單個控制器發生故障時，接入點可自動找到一個備用無線局域網控制器，來繼續提供無線服務。思科無線局域網控制器能以N+1冗余拓撲部署，使企業在擴展其無線網絡的同時，確信他

44、們不會發生硬件和軟件問題。只有思科無線局域網解決方案能使用戶不必降低可靠性，即能控制無線部署的成本。Cisco 4400系列支持冗余電源，確保即使發生了電源故障，也可保持系統運行。無線局域網控制器特性和優點表的特性和優點特性優點企業可擴展性可擴展架構為各種規模的地點提供了關鍵業務型無線服務。集成無線資源管理(RRM)創建了一個智能RF控制平面，可實現自配置、自治愈和自優化。零配置部署無需修改現有路由和交換基礎設施，也無需配置接入點，即可部署系統。多層安全靈活的安全策略可根據不斷變化的公司安全需求而調整。入侵檢測、定位和抑制集成無線入侵保護可保持無線網絡和敏感公司信息的完整性。移動管理無需特殊客

45、戶端軟件的子網間漫游，使設備管理極為方便；不對核心路由基礎設施作任何修改，使漫游簡單易行。企業可靠性可從輕型接入點和無線局域網控制器故障中自動恢復，實現了無線網絡的最高可靠性。直觀的管理界面更好地了解和控制無線空間，可降低運營成本。二、4輕型接入點Cisco Aironet 1000系列輕型接入點提供了業界領先的RF功能和范圍最廣泛的部署選項，可以最大限度地提高無線局域網的性能、安全性、可靠性和易用性。這使得思科無線局域網解決方案可以適用于任何企業環境。圖12 Cisco Aironet 1000系列輕型接入點Cisco Aironet 1000系列輕型接入點為與思科無線控制器和無線控制系統管

46、理工具配合使用進行了專門的設計。它們可以提供對802.11a、802.11b和802.11g的雙頻支持，并且能夠通過同步無線監控實現動態、實時的RF管理。另外，Cisco Aironet 1100系列輕型接入點還可以處理一些對時間敏感的功能，例如第二層加密。該功能讓思科無線局域網可以安全地支持語音、視頻和數據應用（如圖13所示）。圖13 覆蓋整個企業的RF智能Cisco Aironet 1000系列輕型接入點將同時數據轉發和無線監控功能結合到了一起，使得用戶不需要再使用額外的監控節點，從而降低了無線網絡的運營成本。這將實時監控拓展到了無線基礎設施的每個角落，簡化了網絡設計和部署，并且最大限度地

47、提高了RF安全性（如圖14所示）。圖14 集成化無線監控和數據服務靈活的部署選項Cisco Aironet 1000系列輕型接入點配備了內部2.4GHz和5GHz射頻收發裝置和扇形天線，其中的1020和1030型號可以通過RP-TNC接頭來連接可選的外部天線。這些多模802.11a/b/g接入點可以提供最大限度的部署靈活性和投資保護。另外，所有型號都通過了UL 2043認證，支持幾乎所有的樓宇部署場合，例如安裝在高壓空間中。這些設備支持IEEE 802.3af以太網供電（PoE）和自動MDI/MDIX，可以提供基于標準的“無線”服務質量（QoS），從而實現更高的部署靈活性。利用輕型接入點協議（

48、LWAPP），思科輕型接入點可以自動地發現最適用的思科無線局域網控制器，并在不需手動操作的情況下直接下載相關的策略和配置信息。Cisco Aironet 1000系列包括三款接入點，它們都配有2.4和5GHz射頻收發裝置，支持802.11a、802.11b和802.11g。它們全都能夠與思科無線局域網控制器和無線控制系統管理工具進行互操作。每款產品都針對不同的應用場合進行了專門的優化：AP1010配有兩個集成化扇形天線。它適用于辦公室和類似環境，可以提供方便的部署和可預測的覆蓋模式。AP1020配有集成化扇形天線和一個用于連接外部天線的RP-TNC接頭。通過選擇不同款式的思科天線，客戶可以獲得

49、各種各樣的覆蓋形式和范圍。AP1020針對更具挑戰性的RF環境而設計，可以提供很高的安裝靈活性。AP1030配有集成化扇形天線和一個用于連接外部天線的RP-TNC接頭，以及一組針對特定應用設計的擴展軟件功能。遠程邊緣接入點（REAP）功能讓AP1030可以從無線局域網控制器進行遠程部署，從而適用于分支機構和小型零售地點。AP1030可以提供與AP1010和1020相同的LAN安全性、性能和RF管理功能，并且可以支持大部分標準的WAN技術，包括T1、幀中繼、ATM、DSL、ISDN和交換56k。這些功能讓IT經理可以集中控制SSID、安全參數和軟件負載，提供統一的、覆蓋整個企業的無線局域網服務。

50、無線回程功能適用于需要將接入點部署于一個無法或者難以接入以太網的位置的應用。利用AP1030，客戶可以將任何一個內部射頻設置為無線上行鏈路，并通過一個有線上行鏈路直接與傳統（根）接入點建立關聯。無線回程功能適用于工廠、倉庫、飛機、可控制飛行器和相對規模較小的室外部署等應用。支持點對點和點對多點橋接功能。通過這種應用，每個Cisco 1030接入點的以太網接口被插入到一個有線網絡之中，同時2.4或者5GHz RF接口通過無線方式將該網絡關聯和加入到同一個管理域。利用最遠可達1英里（1.6公里）的可選外部天線，AP1030為連接永久性的和臨時性的園區設施提供了一種替代有線網絡和T-1線路的廉宜方案

51、。應用Cisco Aironet 1000系列輕型接入點為需要覆蓋靈活性的企業環境和部署進行了專門的設計，提供了多種天線、覆蓋范圍和安裝選項。例如，一個大學校園可以利用Cisco 1010輕型接入點，在教室中建立無線局域網。對于禮堂和公共場所，Cisco 1020輕型接入點可以采用增益較高的外置天線，以擴大覆蓋范圍或者提供特殊的覆蓋模式。在需要多個接入點的大型企業無線局域網部署中，IT人員可以輕松地對Cisco Aironet 1000系列輕型接入點進行軟件升級。軟件改動會從思科無線局域網控制器自動地發送到所有接入點，從而提供平穩、經濟的升級，確保在不對接入點進行手動干預的情況下支持新的無線標

52、準。這項功能還可以確保整個網絡的互操作性軟件會自動地在整個思科無線局域網系統中保持統一。特性和優點表2列出了Cisco Aironet 1000系列輕型接入點的特性和優點。表2 Cisco Aironet 1000系列輕型接入點的特性和優點特性優點基于標準的LWAPP有助于確保輕型接入點和無線局域網控制器之間的通信可以滿足未來需要的WLAN投資自動配置和管理降低部署無線網絡所需的成本和時間大幅度簡化日常運營同時提供無線監控和數據服務最大限度地降低設備需求簡化網絡設計通過對整個網絡進行全面的實時監控加強安全性內部和外部天線選項提供靈活的部署和重新部署選項安全支持現有的和預定的安全策略入侵防御有助

53、于確保某個相鄰企業或者惡意用戶不能闖入無線網絡發現和控制惡意接入點QoS提供對無線空間的有效資源管理總結Cisco Aironet 1000系列輕型接入點適用于企業部署。通過兼具802.11a和802.11b/g功能的射頻收發裝置和內部集成天線，這個系列可以為用戶提供足夠的靈活性，幫助他們滿足最嚴格的應用的性能要求。同時，它們的安全和管理功能為實現可互操作的IEE 802.11i安全和方便的部署提供了全面的支持。Cisco 1010為簡化部署提供了集成化天線。Cisco 1020配有RP-TNC天線接頭，可以利用多種可選的外部天線支持擴大的范圍。Cisco 1030為將多個遠程地點或者遠程辦公

54、室連接到集中的WLAN控制器提供了一個理想的解決方案。對于企業環境而言，Cisco Aironet 1000系列輕型接入點為建立安全、可擴展、企業級的無線局域網提供了一個業界領先的接入點解決方案。二、5網絡管理WCS思科無線控制系統(WCS)思科無線控制系統(WCS)是業界進行無線局域網規劃、配置和管理的領先平臺。它提供了一個強大的基礎，使IT管理員能從中央地點設計、控制和監控企業無線網絡，簡化運營并降低總擁有成本。圖15. 思科無線控制系統(WCS)憑借思科WCS，網絡管理員可擁有單一解決方案，來進行RF預測、策略配置、網絡優化、排障、用戶跟蹤、安全監控和無線局域網系統管理。強大的圖形化界面

55、使無線局域網的部署和運營簡單且經濟有效。詳細的趨勢和分析報告使思科WCS可為持續網絡運營提供重要作用。思科WCS運行在服務器平臺上，有一個內嵌數據庫。它提供了可管理數百個思科無線局域網控制器的可擴展性，而這些控制器可管理數千思科輕型接入點。無線局域網控制器可位于思科WCS所在的LAN中、分布于多個獨立路由子網或位于廣域連接之上。籍此，思科WCS甚至可為最大的企業環境提供理想的無線局域網管理平臺。思科WCS在整個無線網絡中支持以下功能：無線局域網規劃和設計思科WCS提供了集成化RF預測工具，它們可用于創建詳細的無線局域網設計，包括輕型接入點的放置、配置和預計性能/覆蓋范圍。IT人員可將實際的地面

56、布局輸入思科WCS，并確定樓宇中各組件的RF特性，以提高設計準確性。熱點圖可幫助IT人員查看無線局域網的預計行為，以便更方便地進行規劃和更快地實施部署（圖16）。圖16. 規劃工具網絡監控和排障思科WCS提供的工具可幫助IT管理員查看其無線網絡的布局，并持續監控WLAN性能。這其中包括詳細的熱點圖，顯示了所輸入的地面之上的RF覆蓋范圍。WCS還提供了一個門戶，用戶可通過它獲得思科WLAN控制器所提供的實時RF管理功能，包括信道分配和AP輸出功率設置。此外，WCS可快速查看覆蓋盲區、報警和關鍵的使用統計數據，實現了方便的WLAN監控和排障（圖17）。圖17. 查看RF覆蓋范圍位置跟蹤思科提供了各

57、種選項，來有效地跟蹤無線設備，包括支持Wi-Fi的筆記本電腦、PDA、手機和配備了802.11收發器的移動設備。WCS的基本版本可確定一臺無線設備與哪個接入點相關聯，使IT管理員大致了解無線設備的位置。需更精確的定位服務的環境可部署WCS的一個可選版本，稱為定位型WCS，它采用了即將榮獲專利的“RF指紋”技術。該技術將實時客戶端RSSI信息與已知RF樓宇特性相比較，使思科成為唯一能準確定位無線設備，結果可以準確到幾米之內的WLAN基礎設施（圖18）。此外，定位型WCS能與思科無線定位設備一起部署，同時實時地跟蹤數千個無線客戶端。憑借這些先進的位置跟蹤功能，思科解決方案成為了一個理想的平臺，可支

58、持具有無線移動性的關鍵業務應用，如資產跟蹤、庫存管理和增強911 (e911) 電話服務。通過將位置跟蹤集成入無線局域網基礎設施，思科降低了無線局域網部署的復雜性和總擁有成本。圖18. WCS可準確指出無線客戶端的位置無線保護思科WCS在一個思科無線基礎設施中提供了管理和實施安全策略的全套工具。這其中包括：RF攻擊簽名和無線入侵防御思科WCS使IT人員可創建能定制的攻擊簽名文件，可用于迅速檢測與RF相關的常見攻擊，如拒絕服務(DoS)、Netstumbler和FakeAP。用戶可對思科WCS編程，使其在發現攻擊時自動生成報警。詳細的趨勢報告（圖19）可幫助IT人員在威脅造成重大損失前發現反復出

59、現的安全問題。圖19. 無線安全問題總結惡意設備檢測、定位和控制思科WCS平臺使用即將榮獲專利的技術，來持續監控無線空間，尋找非法接入點和臨時網絡。如果出現未授權設備，可使用思科WCS確定其位置并評估威脅級別。如認為是惡意設備，IT管理員可利用WCS來正確防御它們。詳細的趨勢報告有助于識別反復發生的潛在問題。策略創建和實施思科WCS包含一個服務策略引擎（圖20），使網絡管理員能方便地創建虛擬LAN（VLAN）、RF、服務質量（QoS）和安全策略。憑借思科WCS，IT人員可創建多個獨特的服務集識別符（SSID），各自帶獨立的安全參數。例如，一個“訪客”SSID可通過Web驗證來保護；“語音”SS

60、ID可能需利用手機內置的有線等效保密(WEP)功能；而普通的數據流量則可用或IP安全(IPSec)來保護。思科WCS可在完整的思科無線網絡、獨立的思科無線局域網控制器，甚或獨立的輕型接入點上實施安全策略。圖20. 策略引擎用戶拒絕列表IT人員可使用思科WCS來主動拒絕某些特定用戶與無線網絡建立連接。此外，如果發現異常活動，受到影響的設備會被標記，如果認為它們是惡意設備，會拒絕它們接入網絡。這些設備就無法獲得無線局域網服務，直至拒絕列表中規定的時間到期，或IT人員決定允許其訪問無線局域網為止。無線局域網系統管理思科WCS使無線局域網的配置、監控和管理就像有線系統管理一樣簡單高效。其中包括以下核心

61、功能：排障思科WCS整合了重要的網絡信息，如噪音級別、信噪比、干擾、信號強度和網絡拓撲等，使網絡管理員能隔離和解決所有無線網絡層次中的問題。軟件升級憑借思科WCS，只需點擊一次鼠標，即可從單一位置執行對于思科無線局域網設備的升級。網絡映射思科WCS可自動發現無線網絡中的各個設備。因此無需進行手動數據庫配置和維護，且可提供準確信息，以用于容量規劃和排障。定制報告思科WCS可生成大量報告，以記錄網絡活動和系統信息。其中包括客戶端統計數據、無線頻譜利用數據、計數器、RF管理配置歷史和報警（圖21）。圖21. 所發現的惡意AP和客戶端活動報告靈活、安全的訪問思科WCS使用SNMP版本3來提供最高水平的

62、網絡管理功能和安全性。該協議可用于在思科WCS服務器和各無線局域網控制器間通信。此軟件也支持SNMP版本1和版本2，這使其他網絡管理平臺也能對其進行查詢。網絡管理員可通過任意運行HTTP或安全HTTP (HTTPS)的標準瀏覽器來訪問思科WCS，確保能隨時、隨地使用思科的管理功能。特性和優點表3列出了思科WCS的特性和優點。表3. 思科無線控制系統的特性和優點特性優點直觀的GUIIT人員只需極少的培訓，即可方便地對其無線網絡進行配置、監控和排障。層次化視圖IT人員能快速訪問不同的地區、園區、樓宇、樓層和區域，更好地查看和控制情況。無線局域網規劃工具準確的RF預測工具提高了無線局域網規劃和設計的

63、有效性。高度準確的集成化位置跟蹤（由定位型WCS提供）跟蹤用戶和設備，保護資產并增強無線局域網的安全程度。策略管理模板可在整個企業中方便地創建和實施統一的QoS、安全和RF管理策略。全面的無線局域網入侵保護定制簽名文件可防御未授權入侵和RF攻擊；自動報警能使用戶迅速響應，從而降低風險。簡單、便利的軟件升級無需手動干預，即可使無線局域網控制器和輕型接入點保持最新版本。強大的API此界面提供了與外部軟件系統的集成，包括工作流程軟件、故障管理系統和其他使用無線服務的應用。總結思科WCS適用于企業無線局域網部署，簡化了無線網絡的部署和運營，有助于確保性能平穩、增強安全性并實現最高網絡可靠性。思科WCS

64、可集中管理園區環境和分支機構中的所有思科無線局域網控制器和Cisco 1000系列輕型接入點，消除了復雜性，使網絡管理員可查看和控制其無線局域網。二、6 定位服務器思科無線定位設備思科無線定位設備是業界第一款能夠直接從WLAN基礎設施內部跟蹤數千個設備的定位解決方案。它為重要資產跟蹤、IT管理和基于位置的安全技術提供了一個經濟有效、高分辨率的定位解決方案。這種創新的設備可以通過一個功能強大的、開放的應用編程接口（API），與多種技術和應用合作伙伴緊密集成，從而為多種新型的、重要的業務應用提供支持。這些功能使得思科無線定位設備成為了目前所有企業級WLAN必不可少的重要組成部分。圖22. 定位服務

65、器產品概述思科無線定位設備是一個創新的、便于部署的解決方案。它可以利用先進的RF指紋技術，直接從WLAN基礎設施內部跟蹤數千個802.11無線設備，從而提高資產的可見度和加強對無線空間的控制。另外，該設備能夠記錄豐富的歷史位置信息，這些信息可用于位置趨勢分析、迅速解決故障和RF容量管理。通過為功能強大的、基于位置的應用（例如增強911E911）服務的部署提供支持，以及借助與思科無線定位API的集成實現資產管理和工作流自動化，該設備將為各種客戶提供一個至關重要的解決方案，服務于大型企業乃至各個垂直行業，例如醫療、金融、零售、制造和聯邦政府。思科無線定位設備的獨特設計使其可以直接集成到WLAN基礎

66、設施之中，從而通過具備“位置感知能力”而降低客戶的總擁有成本和增強現有WLAN基礎設施的價值和安全性。思科無線定位設備可以利用思科無線局域網控制器和思科輕型接入點，跟蹤無線設備的物理位置，結果可以準確到幾米之內。而且，思科無線控制系統（WCS）的集中WLAN管理功能和簡單明了的GUI可用于管理和設置思科無線定位設備，從而讓安裝過程變得非常迅速和直觀。產品架構“讀取器”。這些接入點可以從所有Wi-Fi設備采集接收信號強度指示（RSSI）信息，其中包括支持Wi-Fi的筆記本電腦、手機、Wi-Fi標簽、惡意（未經授權的）設備和惡意接入點。搜集到的RSSI信息隨后會通過輕型接入點協議（LWAPP）發送

67、到思科無線局域網控制器，或者特定的無線集成化交換機。然后，思科無線局域網控制將匯總RSSI信息，通過簡單網絡管理協議（SNMP）發送到思科無線定位設備。思科無線定位設備會根據它從思科無線局域網控制器搜集到的RSSI信息，進行位置計算。搜集RSSI信息的思科無線局域網控制器必須與思科無線定位設備建立關聯（如圖23所示）。圖23 集成化定位服務架構概況一旦網絡拓撲和接入點被添加到該設備中，它就會生成RF預測和熱點地圖，在當地的建筑平面圖上顯示數千個設備的位置。思科WCS可以直觀顯示它的位置信息（如圖24所示），從而及時地為那些希望加強RF容量管理、采用基于位置的安全措施和加強WLAN設備的可見度的

68、客戶提供位置應用。這些位置信息還可以通過設備上的一個簡單對象訪問協議/可擴展標記語言（SOAP/XML）API供給第三方應用使用，從而為多種基于位置的應用創建一個可擴展的平臺。圖24 思科無線定位設備：同時對數千個用戶、設備和接入點進行實時跟蹤。思科WCS可以通過一個直觀的、內容豐富的GUI管理思科無線定位設備。該GUI可以提供集中的管理和配置。為了進一步提高可擴展性，思科WCS還可以管理一個或者多個思科無線定位設備。思科WCS視圖過濾器和靈活的搜索標準使得用戶可以方便地根據自己的需要查看特定的位置數據。圖25顯示了一個針對惡意接入點和設備的視圖。用戶可以針對多種選擇創建這種有針對性的視圖，包

69、括設備種類、邏輯名稱、檢測時間和物理位置（例如某個樓層）。例如，在一所醫院中，用戶可以創建一個針對“第三層的所有輸液泵”的視圖。圖25 思科無線定位設備：專門針對惡意接入點和設備的視圖無線安全和快速排障思科無線定位設備讓IT經理可以迅速、準確地發現安全威脅，例如惡意接入點和設備。惡意接入點可能會創建潛在的安全漏洞和不安全的WLAN連接，導致整個網絡受到嚴重的威脅。惡意設備由員工或者入侵者安裝。通過更加準確地定位這些設備，IT經理可以迅速地隔離安全威脅和未經授權的網絡訪問嘗試。對這些惡意設備的準確檢測有助于確保合法客戶端只與可靠的接入點建立關聯，從而提供更高的WLAN安全性。另外，IT經理還可以

70、利用思科無線定位設備，為基于位置的安全措施建立框架從而進一步加強WLAN的安全。通過深入查看設備的詳細位置和統計信息，IT人員可以方便地審查安全警報或者移除警報，隔離、限制無線入侵者，迅速排障和簡化設備管理（如圖26和圖27所示）。例如，可以在客戶端上找到有效的安全數據，包括關于用戶最近、過去在什么時間到過哪里的物理位置信息，客戶端流量分析，以及IP地址、用戶名、MAC地址、服務集標識符（SSID）和接入點關聯細節等。這項功能還提供了一個豐富的信息審查索引。IT人員可以利用便于輸出的日志文件，將其存檔和使用30天或者更長的時間。圖26 思科無線定位設備客戶端細節頁面視圖頂部圖27 思科無線定位

71、設備客戶端細節頁面視圖底部用于RF容量管理和可見度的位置趨勢分析思科無線定位設備可以生成多種有助于加強RF容量管理的信息。這些信息可能建立在下列因素的基礎上：位置趨勢即用戶在什么時間到過哪里，例如客戶端/標簽在某一層中的分布；統計位置信息即用戶曾經到過哪里和相關流量分析；覆蓋區域熱點所在的位置。根據人員和流量的分布情況，可以了解RF資源的集中程度，以及WLAN處理客戶端的方式（如圖28所示）。圖28 思科無線定位設備位置趨勢分析特定地點搜索通過多個針對特定的用戶興趣而定制的靈活參數，可以方便地進行有針對性的搜索。這些搜索標準包括但不僅限于：資產種類，例如標簽、客戶端、惡意設備和定制的邏輯資產名

72、稱；物理位置參數，例如樓層、園區、樓宇、關聯接入點；檢測時間；協議，SSID，IP和MAC地址，以及用戶名。例如，圖7顯示的是一個旨在列出某個特定資產群組內的所有標簽的搜索操作。用戶也可以同樣方便地搜索某個樓層中的所有惡意設備。圖29 思科無線定位設備標簽搜索參數與基于位置的應用的集成為了促進基于位置的應用在企業中的部署，思科無線定位設備配備了一個功能豐富的、開放的、基于SOAP/XML的API。應用可以通過從定位設備導入所有可能影響無線空間的組件（例如整個網絡的拓撲，包括樓宇、樓層、接入點、覆蓋范圍和設備列表），迅速地利用位置信息。其他一些有效的數據也可以被導入，例如最近和過去的位置和統計設

73、備信息。基于位置的警報和通知可以通過區域邊界定義、許可區域和距離而在應用中觸發。所有這些功能使得思科無線定位設備API可與使用位置信息的外部軟件應用（例如E911、資產管理、企業資源計劃ERP工具和工作流程自動化系統）建立緊密、透明的集成。這使思科無線定位設備成為了任意端到端企業解決方案的理想選擇。特性和優點思科無線定位設備可以為使用關鍵業務型無線局域網的企業提供很多實際的好處，其中包括：提高準確性思科無線定位設備可以利用思科即將榮獲專利的RF指紋技術確定無線設備的位置。思科擁有唯一可以將樓宇的已知RF特性（例如多路徑或者衰減）與實時用戶信息關聯，以跟蹤移動設備（結果可以準確到幾米之內）的WL

74、AN基礎設施。可擴展性利用思科無線定位設備，用戶可以同時跟蹤數千個無線客戶端和Wi-Fi標簽，以確保位置服務可應用于整個企業環境。降低總擁有成本思科解決方案可以通過將現有的思科WLAN網絡基礎設施與定位設備相結合，降低運營開支。這種方式比獨有的或者單一用途的位置跟蹤解決方案更為經濟，因為它采用了標準的802.11組件，不需要為位置跟蹤采用專用接入點。透明集成思科是唯一可以將位置跟蹤集成到現有WLAN基礎設施中的供應商。提供數據流量的思科接入點也可用于定位無線設備。這有助于最大限度地減少投資開支，確保更高的可見度，讓WLAN可以利用位置信息加強安全和容量管理。靈活性思科提供了唯一可以跟蹤802.

75、11客戶端（例如筆記本電腦、PDA和其他配備了有源射頻標識RFID標簽標簽由思科合作伙伴提供的非Wi-Fi移動設備）的WLAN系統。這可以幫助IT人員跟蹤任意移動裝置。簡化業務應用的部署利用思科無線定位設備，可以方便地部署資產跟蹤、庫存管理、基于位置的安全措施、自動化工作流程管理和其他新型業務應用。表4 思科無線定位設備的特性和優點綜述特性優點可擴展的位置跟蹤和資產管理利用先進的RF指紋技術和直觀的網絡拓撲圖，同時跟蹤數千個用戶和設備（結果準確到幾米之內）。通過定位設備，有效地訪問更新的和歷史的位置信息。集成化的、經濟有效的位置跟蹤提供Wi-Fi流量的思科輕型接入點也可以定位無線設備。這可以最

76、大限度地降低TCO，確保更高的可見度，讓WLAN可以根據位置信息加強安全性和容量管理。增強的WLAN安全性迅速、準確地定位惡意設備和惡意接入點，讓IT經理可以迅速地制止安全威脅和未經授權的網絡訪問嘗試。這讓IT經理可以建立一個穩固的框架，以通過基于位置的安全功能增強WLAN安全。直觀的集中管理只需經過少量培訓，IT人員就可以利用直觀的思科WCS GUI，集中、方便地添加、配置、管理和升級一個或者多個定位設備。通過WLAN模板和現成的RF測量模型，集中、可擴展的部署變得非常方便。思科WCS還支持訪問控制設置；內容和輪詢頻率的定義；存檔參數的配置。它還可以記錄和查看思科無線定位設備的服務器事件和嚴

77、重程度。層次化拓撲圖從思科WCS將網絡設計、拓撲圖和接入點分布導入到思科無線定位設備，迅速、方便地以瀏覽器的方式查看不同地點、園區、樓宇、樓層和區域的設備。對網絡變動的透明永續性思科WCS會定期輪詢定位設備的狀態和改動，以便在思科WCS和思科無線定位設備之間保持同步的控制數據，例如網絡拓撲圖。思科WCS和思科無線定位設備之間存在一種雙向智能同步機制，有助于確保雙方都具有最新的信息。特定視圖列表利用了過濾器和靈活的搜索參數、可定制的特定視圖讓用戶可以方便地查看數千個設備。通過支持為資產種類使用邏輯性強、便于理解的定義，有助于改進直觀查看功能。增強的RF容量管理用戶可以方便地深入查看詳細的客戶端位

78、置信息和統計信息，以及生成趨勢，從而加快排障速度，加強對RF容量和設備的管理。靈活、方便的部署利用“現成的”RF模型和預測技術，可以實現迅速的部署。這些技術能夠將樓宇的已知RF特性與實時的用戶信息結合到一起，以便進行準確的跟蹤。加強的部署靈活性是通過基于模板的RF模型提供的。這些模板可以通過編輯，適應特定的RF環境，以及支持可重復使用的、定制的RF測量模型。審查索引和數據庫維護可以存檔和使用長達30天的位置和統計無線設備信息。為了存檔30天以上的信息，可以方便地將其導出到日志文件。為了保持最優的位置數據庫性能，內置了可設置的自動刪除和碎片整理間隔。強大的API通過與功能豐富的、開放的API緊密

79、集成，可以部署多種能夠利用基于位置的信息的應用，例如E911、資產管理、ERP工具和工作流程自動化系統。應用思科無線定位設備可部署于多個行業的不同環境和場合之中。主要的應用場景包括：移動設備的可見度和跟蹤通過防止重要的移動資產的丟失或者失竊，可以降低運營和投資開支。例如，醫療環境中的輪椅和輸液泵，以及企業的高射投影儀、筆記本電腦和手機等。在一個無線環境中，位于任何位置的個人和資產都可以被迅速找到。工作流程自動化和人員跟蹤庫存使用、電子工作流程和分發流程都經過了優化。在一個零售環境中，店面布局和隊列管理都可以通過跟蹤客戶的購物“模式”進行優化。在一個娛樂公園中，家長可以隨時知道孩子所在的位置。在

80、相關設施中，用戶還可以跟蹤安全人員的位置。在醫護人員嚴重短缺的醫療機構中，醫院可以在正常工作期間或者在急需“距離最近的”醫護人員的緊急搶救期間，跟蹤醫護人員的位置。其他具有特殊需要的醫護人員可能需要跟蹤嬰兒或者老年人的位置。例如，有些患有阿爾茨海默氏病的老年人經常會在醫院內迷路。遠程測量帶有串行接口的Wi-Fi標簽可以被附加到某個設備上，將設備的重要信息直接發送到業務應用。例如，汽車租賃企業常常需要與返還車輛的里程數和剩油有關的測量信息，而客戶需要可以幫助他們更快地找到車輛的位置信息。醫藥廠商、制造工廠和零售商需要關于產品的批數、過期時間、產品編號、序列號和不合格條件的信息。另外，在醫療行業，

81、知道某個輸液泵的位置固然重要，但是知道它是否正在使用（啟動還是關閉）更為重要。WLAN安全和網絡控制IT人員可以迅速地定位安全威脅，例如惡意接入點和惡意客戶端設備。IT經理還可以利用該設備為基于位置的安全措施建立框架，從而將樓宇的物理安全用于控制WAN接入進一步加強WLAN的安全性。RF容量管理和可見度通過將位置跟蹤集成到WLAN中，IT人員可以執行除跟蹤用戶以外的很多任務。利用這種設備，他們可以生成基于位置的趨勢報告，查看詳細的使用行為，以適應流量模式的變化，實現更高質量的RF容量管理。基于WLAN的語音（VoWLAN）很多州的法律都要求E911電話服務必須能夠讓緊急派遣人員可以確定某個遇到

82、困難的求助者的位置。E911服務可以通過針對無線語音設備的準確位置跟蹤而具備這種能力。位置跟蹤已經成為今天的WLAN的一個重要組成部分。通過發現和跟蹤無線用戶的位置，企業可以提高WLAN規劃和部署的準確性，優化長期的網絡性能，加強無線安全，以及提高重要的業務應用的效用和價值。位置跟蹤還提高了無線空間的可見度和控制，幫助IT人員以與部署傳統有線網絡一樣的便于管理、高效的方式部署無線網絡。總結客戶需要一個經濟有效、便于部署的解決方案來在不同的業務環境中跟蹤和管理Wi-Fi設備和標簽。他們還需要通過部署先進的服務，改進他們的業務應用，以及滿足法律對于加強安全性、提高資產可見度和支持E911呼叫的要求

83、。三、新大樓無線設計方案三、1物理連接示意圖根據XXXX網絡覆蓋需求和現場環境的勘查，確定實施方案，確定每層的設備使用數量：序列號樓層AP數量1234567891011121314151617181920三、2設備需求清單設備名稱型號單位數量無線接入點Airspace臺197無線天線個476網絡供電模塊臺197無線網卡塊0饋線根468功分器個121WCS網管WCS臺1控制器4400臺2定位服務器2700臺1三、3樓層設備分布點位拓撲圖四、新大樓無線網絡項目施工本次設計實施目標為大樓內無線網絡信號覆蓋，由于現階段裝修沒有開始，無線網絡施工還需要現場無線信號實際測試，最終確定每一臺AP的安裝位置。

84、在項目實施前還需要現場勘查確定AP到交換機的走線情況。 設備安裝： AP安裝方式：安裝在天花板處或側墻壁上，安裝位置根據現場實際測的信號強度和房屋內部裝修布置確定，實際安裝可以根據裝修情況進行優化。 天線安裝：采用吸頂天線安裝方式。 采用6類UTP線纜從現場AP直接連接至配線間RJ45配線架上，經跳線連接到樓層交換機。或就近空閑模塊接口。 AP工作電源由設備供電模塊提供48V DC電源。線纜、管道和橋架由綜合布線和綜合管道橋架統一考慮。本項目實施需著重考慮如下幾點：（1） 因為大樓內部裝修未確定，在安裝設備和吸頂天線時不能影響大樓裝修的美觀。這個施工難度比較大，需要綜合考慮。（2） 接入點布局

85、問題：根據客戶要求使用802.11b協議的11 Mbps設備，設備安裝需要充分考慮環境和不可抗拒的因素。（3） 信號覆蓋問題：因為在同一個環境中安裝多個設備，各個設備之間的信號相互竄繞的問題比較嚴重，需根據現場環境來調整設備內部配置（4） 天線問題：天線的安裝要和大樓的裝修融為一體，不能影響大樓裝修的美觀，在顏色、尺寸方面充分考慮。（5） 安全問題：客戶端的無線鏈接可通過用戶認證和設備端口認證等一些安全措施解決。（6） 與大樓局域網鏈接問題：設備的網線鏈接選擇就近的弱電室，還有空閑的網絡接口也可考慮。五、新大樓無線網絡安全性設計 目前，無線LAN已經形成了主流趨勢，各類公司都想把有線LAN和無

86、線LAN進行集成。網絡管理人員希望無線LAN能夠提供和有線LAN一樣的安全性、可管理性以及可伸縮性。 其中最主要考慮是安全性，包括訪問控制和加密。訪問控制保證敏感數據只能由授權用戶訪問。加密則保證發射的數據只能被所期望的用戶接收和理解。 有線LAN的接入是在LAN的以太端口接入時進行管理。因些，有線LAN的訪問控制常常以物理端口接入方式進行監視。同樣，由于有線LAN的數據傳輸直接送到一定的目的地，除非有人使用特定的設備在傳播路徑上進行截聽，信息一般不會泄露。簡而言之，除非LAN物理上遭到破壞，否則不會發生信息的泄密問題。 在無線LAN中，傳送的數據是利用無線電波在空中輻射傳播，它可以被發射機覆

87、蓋范圍內任何無線LAN客戶機所接收到。無線電波可以穿透天花板、地板和墻壁，發射的數據可能到達預期之外的、安裝在不同樓層、甚至是發射機所在的大樓之外的接收設備。配置無線LAN時，以太網端口相當于可以設置在任何地點，包括停車場，無法像有線LAN的端口那樣進行控制。由于沒有辦法把無線LAN發射的數據定向到一個特定的接收設備，所以數據保密成為最重要的問題。 IEEE 802.11b標準含有確保訪問控制和加密的兩個部分，這兩個部分必須在無線LAN中的每個設備上配置。擁有成百上千臺無線LAN用戶的公司需要可靠的安全解決方案，可以從一個控制中心進行有效的管理。缺乏集中的安全控制是無線LAN只在一些相對較小的

88、公司和特定應用中得到使用的根本原因。 第一代無線LAN的安全性 IEEE 802.11b標準定義了兩種機理來提供無線LAN的訪問控制和保密：服務配置標識符（SSID）和有線等效保密（WEP）。還有一種加密的機制是通過透明運行在無線LAN上的虛擬專網（VPN）來進行的。因為VPN的使用獨立于任何本地無線LAN安全方案，所以本文不涉及它的討論。 SSID 無線LAN中經常用到的一個特性是稱為SSID的命名編號，它提供低級別上的訪問控制。SSID通常是無線LAN子系統中設備的網絡名稱；它用于在本地分割子系統。SSID做為編號來允許/拒絕訪問是危險的，因為SSID的安全性并不好。把無線客戶機連接到有線

89、網絡的設備稱為訪問點，它通常在自己的信標中廣播SSID。 WEP IEEE802.11b標準規定了一種稱為有線等效保密（或稱為WEP）的可選加密方案，提供了確保無線LAN數據流的機制。WEP利用一個對稱的方案，在數據的加密和解密過程中使用相同的密鑰和算法。WEP的目標包括： 訪問控制：防止沒有正確WEP密鑰的非授權用戶獲得網絡的訪問權。 保密：通過只允許有正確WEP密鑰的用戶來對無線LAN的數據流進行加密和解密，從而達到保密的目的 盡管WEP是可選的，但WECA要求Wi-Fi認證的產品要支持WEP的40位密鑰，因此WECA成員都支持WEP。有的廠家利用軟件實現加密和解密過程的大量計算，也有的廠

90、家，如Cisco，利用硬件加速器來保證數據流加密和解密過程中的性能損失最小。 IEEE 802.11標準提供了兩個方案來對無線LAN中的WEP密鑰進行定義。第一種方案中，無線子系統中所有的工作站（包括客戶機和訪問點）共享一套四個缺省的密鑰。當一個客戶機得到缺省的密鑰后，它可以安全地和系統中其它所有的工作站進行通信。這種缺省密鑰的問題在于它們越是廣泛地進行分配，也就越有可能暴露。在第二種方案中，每個客戶機建立和其它工作站密鑰映射關系。這種方案工作起來更為安全，因為擁有密鑰的工作站更少。但是當工作站的數量不斷增加時，分配這樣一個獨一無二的密鑰會變得很困難。 身份驗證 一個客戶機在進行身份驗證之前不

91、能接入到無線LAN中。IEEE 802.11b標準定義了兩種身份驗證的方法：開放和共享密鑰。身份驗證必須在每臺客戶機上進行設置，并且這些設置應該能夠與想和客戶機通信的所有訪問點相匹配。 開放式身份驗證為缺省的方法，整個驗證過程以明碼電文的方式完成，客戶機即使沒有提供正確的WEP密鑰也能和訪問點進行通信。在共享密鑰的方法中，訪問點發送給客戶機一個詢問文本信息包，客戶機必須使用正確的WEP密鑰對它進行編碼，并且把它返回訪問點。如果客戶機提供的密鑰錯誤或者根本沒有提供密鑰，說明身份驗證失敗，它將不會被允許和訪問點進行通信。 一些無線LAN廠商支持基于客戶機物理地址，或者說基于介質訪問控制（MAC）地

92、址的身份驗證方法。只有當客戶機的MAC地址與訪問點所使用的驗證表中的地址相匹配時，訪問點才允許客戶機與它進行通信。 安全隱患 硬件被竊 靜態地指定WEP密鑰給一臺客戶機是很常見的方法，密鑰或者存儲在客戶機的磁盤存儲器中，或者存儲在客戶機的無線LAN適配器的內存中。當這些步驟完成后，客戶機處理器就擁有了客戶機的MAC地址和WEP密鑰，并且可以利用這些單元獲得對無線LAN的訪問權了。如果多個用戶共用一臺客戶機，這些用戶將有效地共享MAC地址和WEP密鑰。 當客戶機丟失或被盜時，該客戶機的正常用戶將不再擁有對MAC地址和WEP密鑰的訪問權，而非正常用戶則有了這些權限。此時管理員要想檢測網絡的安全性是

93、否被破壞是不可能的；原有的機主應該及時通知網絡管理員。當網絡管理員接到通知后，必須改變安全方案，使MAC地址和WEP密鑰在訪問無線LAN和對傳送的數據進行解密時變得無效。同時，網絡管理員還必須對與丟失或被盜的客戶機密鑰相同的其它客戶機的靜態密鑰全部進行重新編碼。客戶機的數目越多，對WEP密鑰進行重新編程的工作量也就越大。 所需要的安全方案： 無線LAN身份驗證基于設備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 使用由用戶身份驗證動態產生的WEP密鑰，并不是和客戶機物理相關的靜態密鑰 虛假訪問點 802.11b共享密鑰驗證使用單向，非相互的身份驗證方法。訪

94、問點可以驗證用戶的身份，但是用戶并不能驗證訪問點的身份。如果一個虛假訪問點放置到無線LAN中，它可以通過劫持合法用戶客戶機來成為發動拒絕服務攻擊的平臺。 因此在客戶機和驗證服務器之間需要一個相互驗證方法，雙方都應在一個合理的時間證明它們的合法性。因為客戶機和驗證服務器通過訪問點進行通信，訪問點必須支持雙向的身份驗證方法。雙向的身份驗證使檢測和隔離虛假訪問點成為可能。 其它隱患 標準的WEP支持每個信息包加密功能，但是并不支持對每個信息包的驗證。黑客可從對已知數據包的響應來重構信息流，從而能夠發送欺騙信息包。彌補這個安全弱點的途徑之一是定期更換WEP密鑰。 通過監視802.11b控制和數據通道，

95、黑客可以得到如下信息： 客戶機和訪問點MAC地址 內部主機的MAC地址 進行通信/斷開通信的時間 黑客可能使用這些信息來進行長期的流量測量和分析，從而獲悉用戶和設備的詳細信息。為預防此類黑客活動，站點應使用每次會話WEP密鑰。 解決安全性時所遇到的隱患 總的來說，為了確保本部分所提到的安全性，無線LAN安全方案應做到： 無線LAN身份驗證基于與設備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 支持客戶機和驗證（RADIUS）服務器之間的雙向身份驗證 使用由用戶身份驗證動態產生的WEP密鑰，并非和客戶機物理相關的靜態密鑰 支持基于會話的WEP密鑰 第一代無線

96、LAN安全性能依賴于訪問控制和保密的靜態WEP密鑰，它并不能解決以上這些需求。 完整的安全解決方案 我們所需要的無線LAN安全解決方案，應該利用基于標準的和開放的結構，充分利用802.11b安全部件，提供最高級別的可用安全性，實現從一個中央控制點進行有效的安全管理。一個對安全做出承諾的安全解決方案應該遵循IEEE提案中的關鍵內容，這個提案由Cisco、Microsoft和其它公司聯合提出。它的中心問題集中在以下幾個方面： 可擴展身份驗證協議（EAP），是使無線客戶機適配器與RADIUS服務器進行通信的遠程訪問撥號用戶服務（RADIUS）的擴展 IEEE 802.11X，用于控制端口通信的推薦標

97、準 在使用安全解決方案時，在用戶進行網絡登錄之前，與訪問點通信的無線客戶機并不能獲得網絡訪問權。用戶在網絡登錄對話框或與之功能相似的對話框中鍵入用戶名和口令之后，客戶機和RADIUS服務器（或其它驗證服務器）通過用戶所提供的用戶名和口令進行雙向的身份驗證，對被驗證的客戶機進行檢驗。RADIUS服務器和客戶機利用客戶機所提供的特定WEP密鑰進行登錄對話連接。所有敏感的信息如口令等都受到保護，不會被被動監聽和其它攻擊方法所截獲。如果沒有保護措施，沒有什么能在空氣中暢行無阻、絕對安全地傳播。 這個過程的順序如下： 無線客戶機與訪問點進行通信 在登錄到網絡之前，訪問點拒絕所有客戶機的對網絡資源的訪問。

98、 客戶機上的用戶在網絡登錄對話框或類似功能的對話框中提供用戶名和口令。 利用802.11X和EAP，無線LAN上的客戶機和RADIUS服務器通過訪問點進行雙向身份驗證。有幾種驗證身份的方法備選。在Cisco的身份驗證方法中，RADIUS服務器發送一個驗證詢問信息到客戶機。客戶機利用用戶提供的單向口令散列信息來生成對詢問的響應，并把這個響應送到RADIUS服務器。RADIUS服務器根據它的用戶數據庫中的信息，自己產生一個響應，并與客戶機所送來響應進行比較。一旦RADIUS服務器驗證了客戶機的身份，上述過程逆向重復。 當這個雙向的驗證過程全部完成后，RADIUS服務器和客戶機確定一個有別于客戶機的

99、WEP密鑰，并為客戶機提供合適級別的網絡訪問權限，為個人臺式機提供與有線交換部分相似的安全性。然后，客戶機加載密鑰，準備把它應用到登錄會話過程中。 RADIUS服務器通過有線LAN發送一個稱為會話密鑰的WEP密鑰到訪問點。 訪問點利用會話密鑰對廣播密鑰進行加密，把經過加密的密鑰送到客戶機，客戶機利用會話密鑰進行解密。 客戶機和訪問點激活WEP，并把會話和廣播密鑰應用到后續會話的所有通信過程中。 EAP和802.11X在遵循WEP的基礎上，提供了一個集中管理、基于標準、開放的方法來解決802.11標準在安全方面的局限。同時，EAP框架是對有線網絡的擴展，使企業為每個訪問方法提供一個單獨的安全結構

100、。 看起來許多廠商都會在他們的無線LAN產品中支持802.11X和EAP。由于認識到802.11X對客戶的具大利益，Cisco公司支持這個標準，提供完全符合802.11X標準的、完整的、端到端的安全解決方案。這個解決方案在站點用戶使用Cisco Aironet無線客戶機適配器和訪問點以及Cisco安全訪問服務器時可以得到。 在使用了Cisco的無線LAN安全解決方案之后，任何公司都將： 使由于硬件丟失或被盜、虛假訪問點、黑客攻擊造成的安全隱患最小 使用在用戶登錄時動態創建的、特定用戶的、基于會話的WEP密鑰，而不是存儲在客戶機設備和訪問點的靜態WEP密鑰 從一個集中控制點管理所有無線用戶的安全

101、性 六、新大樓無線網絡認證和域控制器集成六、1 思科無線局域網控制器所支持的認證方式思科無線局域網控制器所支持的認證方式包括： 開放式本地網絡認證 靜態WEP 802.1x認證 WPA 認證六、1、1開放式本地網絡認證在本地網絡認證方式中，需要在思科無線局域網控制器中加入本地網絡用戶(local net user)的用戶名，密碼，不需要配置認證服務器（radius server）。客戶端除需要配置正確的SSID,不需要其他任何配置。使用時開啟客戶端軟件，開啟IE,無線關聯后會彈出相應的airspace Web界面，輸入用戶名，密碼。思科無線局域網控制器比對自己內部的用戶數據，正確即可正常連接網

102、絡。客戶端需求：Cisco ACU，Windows XP SP2 自帶客戶端即可 六、1、2 Static WEP 靜態WEP在靜態WEP方式中，需要在思科無線局域網控制器中加入靜態WEP的選項,及相應的WEP的密鑰(40獲104bits).不需要配置認證服務器（radius server）。客戶端需要配置正確的SSID,選用WEP開啟，配置相應的WEP的密鑰即可。客戶端需求：cisco ACU，Windows XP SP2 自帶客戶端即可六、1、3 8021x認證使用 IEEE 802.1X 在 WLAN 中應用增強型訪問控制機制。這種方法必須與安全可擴展驗證協議 (EAP) 結合使用。選擇

103、怎樣的 EAP 方法將定義 WLAN 驗證用戶和計算機身份所用的證書類型。思科無線局域網控制器支持使用結合 MS-CHAP v2 協議的 PEAP 進行密碼驗證、使用 EAP-TLS 進行證書驗證。PEAP 是安全通道中另一保護 EAP 方法（如 MS-CHAP v2）的途徑。使用 PEAP 對于防范目標是基于密碼的 EAP 方法的攻擊而言非常重要。在8021x認證方式中，思科無線局域網控制器支持EAP-PEAP-MSCHAPv2， 需要在思科無線局域網控制器中加入8021x認證的選項,及相應的驗證、授權和記帳(AAA)/RADIUS 服務器的地址，訪問密鑰和動態 WEP(40獲104bits

104、).。需要配置認證服務器（radius server）支持 802.1x協議。需要配置相應的CA.客戶端需要配置正確的SSID,選用8021x 開啟，及相應的EAP-PEAP-MSCHAPv2配置。需要配置同認證服務器（radius server相應的CA.客戶端需求：Windows XP SP2 自帶客戶端或專用的802.1X客戶端軟件（必須配備支持 802.1X 和動態 WEP 或 WPA 加密的 WLAN 網絡適配器）IEEE 802.1x 身份驗證提供對 802.11 無線網絡和對有線以太網網絡的經驗證的訪問權限。IEEE 802.1x 通過提供用戶和計算機標識、集中的身份驗證以及動態

105、密鑰管理，可將無線網絡安全風險（例如，對網絡資源的非授權訪問以及偷聽）減小到最低程度。IEEE 802.1x 支持 Internet 身份驗證服務 (IAS)，這種服務執行遠程身份驗證撥號用戶服務 (RADIUS) 協議。在此執行下，作為 RADIUS 客戶端配置的無線訪問點將連接請求和記帳郵件發送到中央 RADIUS 服務器。中央 RADIUS 服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據所選身份驗證方法，該客戶端獲得身份驗證，并且為那個會話生成唯一密鑰（從產生 WEP 密鑰的地方）。IEEE 802.1x 為可擴展的身份驗證協議 (EAP) 安全類型提供的支持使您能夠使用諸如智

106、能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗證方法。認證和域控制器的結合是通過認證服務器（radius server）選用外部數據庫（包括域服務器）來實現的。通過域成員身份對訪問進行控制可使與 WLAN 有關的額外管理開銷降到最低。本種方式可以登錄域就可以登錄整個域網絡。六、1、4 WPA 認證盡管使用 802.1X 動態重新加密的 WEP 對于多個實際用途比較安全，但仍存在一些有待解決的問題，包括：WEP 使用單獨的靜態密鑰用于諸如廣播數據包這樣的全局傳輸。與根據用戶的密鑰不同，全局密鑰并不定期更新。盡管機密數據不可能使用廣播進行傳輸，但由于對全局傳輸使用靜

107、態密鑰，因此使攻擊者可以發現網絡相關信息，例如 IP 地址以及計算機和用戶名。WEP 保護網絡框架在完整性保護方面性能較差。通過使用加密技術，攻擊者可以修改 WLAN 框架中的信息并更新框架的整體性校驗值，同時不會被接收者發現。隨著 WLAN 傳輸速度的提高以及計算能力和加密技術的改進，WEP 密鑰將必須以更高的頻率進行更新。這可能會給 RADIUS 服務器帶來無法接受的負載。為解決這些問題，IEEE 正著手制定一個稱作i 的新 WLAN 安全標準；該標準也稱作強健的安全網絡 (RSN)。Wi-Fi 聯盟（一個頂級 Wi-Fi 供應商聯盟）采用 802.11i 的一個早期版本，并將其發布到一個

108、稱作 WPA（Wi-Fi 保護訪問）的行業標準中。WPA 包含 802.11i 功能的一個大型子集。通過發布 WPA，Wi-Fi 聯盟可以強制所有帶有 Wi-Fi 徽標的設備遵守 WPA，并可以使 Wi-Fi 網絡硬件提供商在 802.11i 發布之前提供標準化的高安全性選項。WPA 集合了一套安全功能，它們目前被廣泛認為是確保 WLAN 安全的最安全技術。WPA 包含兩個模式；一個使用 802.1X 和 RADIUS 身份驗證（簡稱為 WPA），另一個是用于 SOHO 環境的更簡單的方案，它使用預共享密鑰（稱作 WPA PSK）。WPA 將強大的加密與 802.1X 的強大身份驗證和授權機制

109、結合在一起。WPA 數據保護通過以下方式消除了 WEP 的已知漏洞： 針對每個數據包使用唯一的加密密鑰 使用更長的初始化向量，通過添加額外的 128 位密鑰資料來有效地使密鑰空間增大一倍 添加了一個不易于篡改或哄騙的已簽名的消息整體性校驗值， 合并加密的幀計數器，以阻止重播攻擊但是，由于 WPA 使用的加密算法與 WEP 使用的算法類似，因而可以在使用簡單的固件升級的現有硬件上實施它。在WPA 認證方式中，需要在思科無線局域網控制器中加入WPA認證的選項,及相應的驗證、授權和記帳(AAA)/RADIUS 服務器的地址，訪問密鑰。需要配置認證服務器（radius server）支持 WPA協議。

110、需要配置相應的CA.客戶端需要配置正確的SSID,選用WPA開啟，及相應的TKIP配置。需要配置同認證服務器（radius server）及相應的CA.客戶端需求：Windows XP SP2 自帶客戶端同802.1x一樣，WPA認證方式，認證和域控制器的結合是通過認證服務器（radius server）選用外部數據庫（包括域服務器）來實現的。通過域成員身份對訪問進行控制可使與 WLAN 有關的額外管理開銷降到最低。本種方式可以實現登錄域就可以登錄整個域網絡。六、1、5 新大樓無線認證方式新大樓無線設計采用更加安全的WPA模式，集成了上述的認證和PSK(Pre-shared Key)、以及TKIP，提供動態的密鑰加密和成熟的認證，提升單純WEP加密造成的案子安全性不足，同時和、和TKIP國際標準和標準草案兼容。 新大樓無線采用和域集成的方式進行接入認證。如圖：總結