【正文】 的環(huán)境以及（或者）不佳的位置下，AP和客戶端可能會傾向于選擇更少的空間數(shù)據(jù)流。如果在發(fā)送端和接收端之間的空間穿越路徑太過近似（或者“相互關聯(lián)”），空間復用就會失敗，發(fā)送端就必須削減空間數(shù)據(jù)流的數(shù)量，從而降低傳輸速率。認識空間復用的潛力智能天線技術才是最適合空間復用的。如今， AP都使用了多根全方位天線，以發(fā)射不同的數(shù)據(jù)流。除了最大化路徑的非相關性之外，智能天線陣列技術還可以排除干擾。其結果就是可以在更大的覆蓋范圍內(nèi)使用更多的空間數(shù)據(jù)流。 以及頻道復合沒有頻道復合的話。將3個非重復頻道中的2個組合成一個更寬的40MHz頻道，將限制你只能使用一個單獨的非重復40MHz頻道。，AP和客戶端方面是否都有足夠的智能以確認運作的正確模式，就顯得非常重要了。這會導致潛在吞吐量損失一半以上。有效吞吐量的提高除了物理速率提升，來提升有效吞吐量。而通過一次應答多個幀。在物理數(shù)據(jù)傳輸率方面的問題就更加戲劇化了。毋庸置疑，幀集成和塊應答同樣也對數(shù)據(jù)包丟失和干擾極其的敏感。向下兼容性——。嗯，很合理，但這遠不是最理想的。這一點。對于有300Mbps物理速率的一個客戶端來說，這意味著最高30Mbps的吞吐量（忽略系統(tǒng)開銷）。問題是，絕大多數(shù)WiFi AP都使用集成在無線芯片組中的非彈性硬件隊列，只能提供4路標準隊列，分別是語音，視頻，數(shù)據(jù)，以及其他應用。與此同時，一個復雜的服務質量控制引擎為每一個客戶端都保持4條軟件隊列。卻是復雜性、成本的增加以及混亂性。，絕大多數(shù)都未提供能滿足需求的射頻區(qū)域控制——其結果就是不合理的系統(tǒng)性能。此外，通過任何時候都對WiFi信號進行最佳路徑的路由，這些Smart WiFi系統(tǒng)能夠避免和減輕所受到的干擾。采用無線交換機管理控制的AP解決了上述問題，但由于所有AP的業(yè)務流量都要匯聚到無線交換機，使得無線交換機成為單點故障和性能瓶頸，每個AP無線傳輸速率高達300Mbps， AP的數(shù)據(jù)都匯聚到中心的無線交換機進行處理，那么集中式無線交換機的單點故障和瓶頸效應彰顯的尤為明顯，而且將遍布各處的無線用戶的數(shù)據(jù)都匯聚到中心的無線交換機進行處理，無論是用戶的使用性能還是可擴展性都是需要慎重考慮的。Ruckus無線公司基于TR069標準的網(wǎng)管系統(tǒng)FlexMaster是目前最適合XXX的網(wǎng)管系統(tǒng)，它使得XXX能夠方便的管理分布于不同區(qū)域、數(shù)量龐大的AP，可以在很大程度上減少的配置/管理工作，提高設備的易用性和可管理性，便于設備的快速部署和業(yè)務的迅速開展。這樣每個場所可以通過部署在本地的ZoneDirector 1000/3000進行一些本地化的配置，如只服務于該場所的特定的SSID，ZoneDirector 1000/3000可以對部署在本場所的AP做靈活的射頻管理，如無線信道的選擇，發(fā)射功率的調整、負載均衡等，也有利于VoWLAN等語音業(yè)務的無縫漫游。(1) AP“零”配置、即插即用在任何地點的AP加電后，能夠自動找到FlexMaster網(wǎng)管服務器，主動請求管理，從FlexMaster網(wǎng)管服務器下載配置，自動進行初始化配置。（2）集中配置管理配置管理由FlexMaster網(wǎng)管服務器控制發(fā)起，通過在FlexMaster網(wǎng)管服務器上按組或設備類型設置配置模板。無論是哪種方式，版本的決策都由FlexMaster網(wǎng)管服務器來控制。FlexMaster網(wǎng)管服務器能夠查看設備log信息和存儲log文件。（6）提供審計log保存管理員操作日志，內(nèi)容包括時間、審計類型、重要程度、用戶帳號和日志具體信息。這樣無論2942 AP安裝本樓的在什么地方，都集中到安裝在本樓設備管理間的無線控制器ZoneDirector 1000/3000進行管理。如果樓層有些地方難以實施綜合布線，則可以考慮采用Ruckus無線公司的智能MESH技術，2942 AP只需部署到所需的位置，通過220V AC/DC電源適配器對其進行供電，2942 AP會自動發(fā)現(xiàn)周圍鄰居，并自動發(fā)現(xiàn)一條最佳的路徑連接到有線網(wǎng)。如采用Ruckus無線公司2942 11g AP，經(jīng)過3跳MESH連接后，帶寬約為7Mbps。ZoneDirector 1000/3000安裝在XX大樓的管理設備間，一臺ZoneDirector 1000/3000最多可以管理50/500個部署大樓內(nèi)的 AP。 實現(xiàn)的功能如下：1． 與現(xiàn)有網(wǎng)絡結構兼容，無需對現(xiàn)有網(wǎng)絡進行任何調整和改變。5． 和大樓現(xiàn)有的AAA認證計費服務器相配合，、EAPTTLS等無線用戶認證加密機制，合法用戶必須輸入正確的用戶名和密碼，通過AAA系統(tǒng)認證后，才能接入訪問互聯(lián)網(wǎng)。具有提供智能化的無線電波自動調控與切換能力，以確保單個AP接入點在發(fā)生故障時無線用戶自動切換到鄰近AP，不會影響到用戶的無線接入服務。13． 支持基于每個SSID的用戶上行、下行數(shù)據(jù)輸率限制，防止使用PtP下載應用的用戶大量占用寶貴的網(wǎng)絡帶寬。16． 支持零配置安裝，全自動配置更新、軟件升級。與現(xiàn)有的無線網(wǎng)相比較，工作環(huán)境更綠色環(huán)保，電磁輻射的目的性更強，更有效率。由于Ruckus無線公司的2942 AP采用專利的BeamFlex智能天線技術，AP只往有無線用戶的方向定向發(fā)送無線信號，而不象其它廠商的AP采用360度全向發(fā)送無線信號，因此大大減少了鄰近AP之間的相互干擾，ZoneDirector 1000/3000無需像其它廠商的無線交換機頻繁地調整AP的發(fā)射功率，這一點在動態(tài)環(huán)境下尤為重要。最高級別的系統(tǒng)冗余則是帶冗余的災難恢復，多個地理冗余的數(shù)據(jù)中心共享同步的數(shù)據(jù)庫，數(shù)據(jù)中心可以是工作工作狀態(tài)，也可以是工作備份狀態(tài)，這樣可以從容應對災難性事件。RADIUS，ZoneDirector 1000/，ZoneDirector 1000/3000和無線客戶端保存PMK，ZoneDirector 1000/3000把保存的PMK通知鄰近的AP，當無線客戶端漫游到鄰近AP，搜索到同樣的SSID，無線客戶端會使用存儲的PMK和新的AP做4次握手，完成快速漫游切換。AP的部署簡單，只需要配置好IP地址和TR069的集中網(wǎng)管服務器的URL，設備就會自動完成AP的復雜配置。如果用戶新建網(wǎng)管系統(tǒng)，則建議采用新的TR069網(wǎng)管系統(tǒng)，如Ruckus公司的基于TR069協(xié)議的FlexMaster網(wǎng)管系統(tǒng)，安裝在一臺通用的Linux服務器上，就可以管理多達20000臺Ruckus公司的AP。6．3 Ruckus無線局域網(wǎng)系統(tǒng)的安全管理6．3．1網(wǎng)絡安全的體系架構 網(wǎng)絡安全的任何一項工作，都必須在網(wǎng)絡安全組織、網(wǎng)絡安全策略、網(wǎng)絡安全技術、網(wǎng)絡安全運行體系的綜合作用下才能取得成效。安全技術體系主要包括鑒別和認證、訪問控制、內(nèi)容安全、冗余和恢復、審計和響應。 從技術角度而言 1．邏輯隔離技術。 3．身份認證技術。這種看法越來越過時，實際上組織內(nèi)部網(wǎng)同樣需要一套強大的AAA系統(tǒng)。組織的員工外出、移動辦公、單位和合作伙伴之間、分支機構之間通過公用的互聯(lián)網(wǎng)通信是必需的，因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。管理網(wǎng)絡的多臺安全設備需要集中網(wǎng)管?！耙稽c突破，全網(wǎng)突破”，單個系統(tǒng)考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網(wǎng)絡安全架構，整體考慮，全面防護。 3．集中管理，重點防護。只有制定完整的規(guī)章制度、行為準則并和安全技術手段合理結合，網(wǎng)絡系統(tǒng)的安全才會有最大的保障。現(xiàn)在可以從互聯(lián)網(wǎng)上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對無線網(wǎng)信號進行抓包，進行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時間。（5）MAC地址訪問控制列表對于小型的無線網(wǎng)，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網(wǎng)中，而那些不在訪問列表中的工作站，是無權進入無線網(wǎng)絡中的。以上安全機制主要針對分布式胖的部署方式。采用Portal認證的接入設備必須具備這個能力。因為安全問題，通常支持安全性較強的CHAP式認證。 標準通過允許計算機和網(wǎng)絡彼此驗證身份、生成通過無線連接加密數(shù)據(jù)的每用戶/每會話密鑰以及提供動態(tài)更改密鑰的能力來提高安全性。VPN只涉及發(fā)起端，終結端，因此對無線訪問點AP來講是透明的，并不需要在無線訪問點支持VPN。這是目前可以實現(xiàn)的較高數(shù)據(jù)安全等級的技術。應用級防火墻（應用代理）在最高的應用層提供高級別的安全防護和控制。，WLAN入侵檢測系統(tǒng)采用了分布式的結構，將進行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關鍵地點，并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋€集中的信息處理平臺。WLAN入侵檢測系統(tǒng)通過結合協(xié)議分析、特征比對以及異常狀況檢測三種技術，對WLAN網(wǎng)絡流量進行深入分析，并且能夠實時阻斷非法連接。6．3．6無線接入點安全偵測和保護采用Ruckus 無線系統(tǒng)的RF偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰的AP、設置錯誤的AP以及未經(jīng)認可而連接到網(wǎng)絡中的AP。對已知攻擊的檢測:通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識別攻擊； 對未知攻擊和可疑活動的檢測:通過建立統(tǒng)計模型和智能分析模塊，來發(fā)現(xiàn)新的攻擊和可疑活動。入侵偵測只是報警并不能防范，所以還要與網(wǎng)絡安全服務商簽訂服務合同，通過人為的方式改變網(wǎng)絡的參數(shù)配置實現(xiàn)網(wǎng)絡的防入侵，防攻擊。客戶端中毒會造成性能下降，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機所控制。對網(wǎng)絡形成壓力，造成網(wǎng)絡系統(tǒng)的不穩(wěn)定。但所有這些網(wǎng)絡手段只能是輔助性的，是防護性的。IPSec能為IPv4/IPv6網(wǎng)絡提供能共同操作/使用的、高品質的、基于加密的安全機制。（1）安全關聯(lián)和安全策略：安全關聯(lián)（Security Association，SA）是構成IPSec的基礎，是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉碼方式、密鑰及密鑰的有效存在時間等。傳輸模式下，IPSec 主要對上層協(xié)議即IP包的載荷進行封裝保護，通常情況下，傳輸模式只用于兩臺主機之間的安全通信。 驗證報頭的認證算法有兩種： 一種是基于對稱加密算法（如DES），另一種是基于單向哈希算法（如MD5或SHA1）。隧道模式對整個IP數(shù)據(jù)報提供認證保護。傳輸模式只對上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認證保護，把AH插在IP報頭的后面，主要適合于主機實現(xiàn)。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務，但是AH不提供任何保密性服務。隧道模式的特點是數(shù)據(jù)包最終目的地不是安全終點。IPSec的基本目的是把密碼學的安全機制引入 IP協(xié)議，通過使用現(xiàn)代密碼學方法支持保密和認證服務，使用戶能有選擇地使用，并得到所期望的安全服務。IPSec協(xié)議是網(wǎng)絡層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。同時Ruckus AP還可以進行限速，對于每一個客戶端的速率進行嚴格限定，縱然客戶端中毒，病毒在網(wǎng)絡上泛濫也不會造成網(wǎng)絡的癱瘓，減緩病毒在網(wǎng)絡上傳播的速度。通過計算機網(wǎng)絡傳播，不改變文件和資料信息，利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌麢C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。我們認為在無線產(chǎn)品中加入入侵偵測功能，并不能對用戶的網(wǎng)絡安全做到全方位的保護，同時還增加了用戶不必要的成本。入侵偵測是專業(yè)性非常強的技術，需要對網(wǎng)絡攻擊有深入的認識。6．3．7無線網(wǎng)絡入侵偵測網(wǎng)絡監(jiān)控與入侵檢測系統(tǒng)將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)實時捕獲下來，檢查是否有黑客入侵和可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵，系統(tǒng)將做出實時響應和報警。認證方式有以下幾種：1. 開放2. WEP3. WPA/WPA24. Zone Director支持的認證方式用戶可以通過Ruckus ZoneDirector對無線用戶進行認證。它能夠自動發(fā)現(xiàn)網(wǎng)絡中存在的Ad Hoc網(wǎng)絡，并且通過通知管理員來及時阻止可能造成的進一步損害。如果專門為無線配置防火墻，會造成不必要的設備成本的增加；分散的安全機制造成安全策略的不一致等。它在內(nèi)部和外部兩個網(wǎng)絡之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡的服務和訪問進行控制和審計。由于它工作在網(wǎng)絡層，因此可以用于兩臺主機之間，網(wǎng)絡安全網(wǎng)關之間，或主機與網(wǎng)關之間。因此它是一種增強性無線網(wǎng)絡安全解決方案。 是一個 IEEE 標準，用于對有線以太網(wǎng)和無線 網(wǎng)絡進行經(jīng)過身份驗證的網(wǎng)絡訪問。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。6．3．3增強型無線網(wǎng)安全機制若無線網(wǎng)傳輸?shù)臄?shù)據(jù)較為重要，或者連接到一個保密級別較高但又不能進物理隔離的有線網(wǎng)絡的情況下，可以考慮采用增強的無線網(wǎng)安全防范措施。當然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關網(wǎng)卡的MAC信息，防止遺失。除非為WPA設置了比如：ADMIN123，111222333444這樣的“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設置了復雜的密碼組合還是比較安全的。隱藏SSID廣播功能可能對某些嗅探工具有用。 4．七分管理，三分技術。網(wǎng)絡安全工作應服從組織信息化建設總體戰(zhàn)略，滾動式實現(xiàn)系統(tǒng)安全體系的統(tǒng)一。 從管理角度講應遵循以下原則 1．整體考慮，統(tǒng)一規(guī)劃。 6．網(wǎng)管。入侵檢測和主動防衛(wèi)（IDS、IPS）作為一種實時交互的監(jiān)測和主動防衛(wèi)手段，正越來越多的被政府和企業(yè)應用，但如何解決監(jiān)測效率和錯報、漏報率的矛盾，需要繼續(xù)進行研究。內(nèi)部網(wǎng)的管理和訪問控制相對外部的隔離來講要復雜得多。 2．防病毒技術。安全運作體系提供安全管理和安全操作人員具體的實施指導，是整個安全體系的操作基礎。 完善的網(wǎng)絡安全體系應包括安全策略體系、安全組織體系、安全技術體系、安全運作體系. 安全策略體系應包括網(wǎng)絡安全的目標、方針、策略、規(guī)范、標準及流程等，并通過在組織內(nèi)對安全策略的發(fā)布和落