【文章內容簡介】 功能（例如移動管理、身份驗證、 VLAN 劃分、RF管理、無線 IDS 和 數據包 轉發(fā)）都在無線局域網控制器進行管理。（如圖 1 所示） 圖 1 分離的介質訪問控制功能 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 13 ? 安全策略 ? QoS 策略 ? RF 管理 ? 移動管理 人力分配 分離 MAC ? 遠程 RF 接口 ? MAC 層加密 無線局域網控制器 LWAPP 輕型 接入點 控制器 MAC 功能 ? MAC 管理：（重新）關聯請求和行為框架 ? 數據：封裝和發(fā)送到接入點 ? 資源預留：控制協(xié)議在 管理幀中發(fā)送到接入點－信令在控制器完成 ? 身份驗證和密鑰交換 接入點 MAC 功能 ? ：信號發(fā)射，探測響應，身份驗證（如果啟用） ? 控制： 數據包 確認和傳輸（延遲） ? ：幀排序和 數據包優(yōu)先級設置（訪問 RF） ? ：接入點中的加密 輕型接入點和無線局域網控制器之間存在多對一的關系 ―― 單個無線局域 網控制器可以管理和操作大量的輕型接入點。另外，無線局域網控制器可以在一個大型無線網絡中協(xié)調和比較信息 ―― 甚至跨越 WAN。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個網絡的 整體 視圖 。 一旦將這項協(xié)議作為標準，并準備好用于 統(tǒng)一 的平臺， WLAN 集中化的真正優(yōu)勢將會變得顯而易見。 集中化和統(tǒng)一 WLAN 的好處 下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。 便于部署 當在企業(yè)中部署自主接入點時，每個接入點都將單獨進行配置。 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 14 這種配置可以在每個接入點的基礎上進行，也可以通過一個系統(tǒng)級應用 或者設備完成。在完成對自主接入點的配置之后，每個接入點都將可以支持 VLAN，以便劃分不同的用戶群組，為不同的用戶和用戶群組區(qū)分不同的 LAN 策略和服務（例如安全和服務質量 [QoS]）。這些VLAN 可以擴展到網絡的接入層。根據部署的規(guī)模和范圍， VLAN 可以在多臺交換機中進行中繼和擴展。 在向網絡引入基于輕型接入點和無線局域網控制器的集中化時，并不需要在接入層重新劃分子網和設置 VLAN 中繼。相反， VLAN 將以中繼方式連接到一個集中式無線局域網控制器，而控制器則將把用戶和 WLAN 劃分到 VLAN 中。這可以簡化 WLAN 的部署和管理。 在使用集中化解決方案時，一個輕型接入點只需要找出無線局域網控制器的 IP 地址 ―― 當部署于第二層模式時。（在部署于一個遠程子網中時，接入點需要 IP 地址、子網掩碼和缺省網關信息）。輕型接入點還可以從一個標準的動態(tài)主機 配置 協(xié)議（ DHCP）服務器接收無線局域網控制器的 IP地址。 在輕型接入點聯系無線局域網控制器之后，控制器將會為輕型接入點設定所有 RF 策略和無線局域網策略。因為所有來自接入點的數據包都會被置入一個 LWAPP 隧道，進而發(fā)送到無線局域網控制器，所以不需要將特殊 VLAN 擴展到各個接入點。 便于升級 較低的運營成本可以提高一個機構的投資效率。問題是：怎樣實現低成本的運營？ 集中化有助于簡化升級 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 15 利用思科統(tǒng)一無線網絡，所有輕型接入點 映像 都會被嵌入到控制器 映像 之中。當控制器 映像 被升級時，它也會升級所有與其關聯的接入點。不需要在一個集中管理基站上采用一個專門的腳本或者創(chuàng)建一個特殊的任務。 思科統(tǒng)一無線網絡的低成本接入點升級的另外一個好處是：輕型接入點和控制器之間的互操作能力已經通過了思科的質量保障團隊的全面測試和認證。 通過動態(tài) RF 管理建立可靠的連接 過去，使用自主接入點的無線網絡 通常利用一個靜態(tài) RF 計劃進行部署，而且每個接入點都以靜態(tài)方式設置它們的信道和功率。這個計劃是根據 RF預測制定的，即利用計算機對 RF環(huán)境的模擬，結合接入點的天線發(fā)射功率，估計接入點的覆蓋范圍。 RF 預測的目標是以最小的信道重疊，獲得接入點的最優(yōu)覆蓋范圍。但是，因為 RF 預測是在一個不考慮部署后 RF 環(huán)境實際發(fā)生情況的計算機上進行的，所以它們只是對實際 RF環(huán)境的估計。例如，在使用 RF 預測時，很難準確地估計來自相鄰網絡、辦公室改建、房門開啟或關閉、微波爐或者其他干擾源的共用信道干擾。 集中化可以提供動態(tài) RF 無線局域網 控制器可以自動獲知同一個網絡中不同輕型接入點之間的信號強度。控制器能利用這些信息，為網絡創(chuàng)建一個動態(tài)優(yōu)化RF 拓撲。無線局域網控制器可以用一種獨特的方式提供動態(tài) RF。 在一個支持思科 LWAPP 的接入點啟動時，它會立即搜尋網絡中的無線局域網控制器。在其找到一個無線局域網控制器之后，支持 LWAPP 的 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 16 接入點會發(fā)出加密的 “ neighbor” （鄰居）消息。這些鄰居消息包括MAC地址和任何相鄰接入點的信號強度。在一個無線局域網控制器網絡中，控制器可以利用這些鄰居信息確定接入點在網絡中的相對空間狀態(tài)?？刂破麟S后會調節(jié)每個接 入點的信道和信號強度，以獲得最佳的覆蓋范圍和網絡容量。 如果網絡中有一個無線局域網控制器集群（例如在單個網絡中部署多個控制器），那么會有一個控制器被選為缺省控制器，所有控制器都會向它們的輕型接入點發(fā)送缺省控制器信息。缺省控制器會關聯網絡中所有接入點的信息，再將最佳信道和功率設置發(fā)送給網絡中的每個接入點。 思科統(tǒng)一無線網絡架構中內置的算法有助于確保網絡不會 “ 抖動 ” ，即發(fā)生沒有必要的變化。這樣做的結果是，建立起一個能夠實時地適應不斷變化 通過用戶負載均衡優(yōu)化每個用戶的性能 協(xié)議很難預測和保 障用戶的性能和吞吐。因為 為每個網絡組件提供了相等的空間訪問能力，所以每個客戶端都可以決定它接下來將漫游到哪個接入點。當客戶端設備進入一個覆蓋區(qū)域時，它們可能會漫游到信號最強的接入點。同樣，每個客戶端設備對RF 介質的訪問權限與它們所關聯的接入點一樣。因此，所有客戶端的 RF 吞吐都有可能降低 ―― 所有客戶端都可以關聯到同一個接入點。這通常被成為 “ 會議室效應 ” 。 負載均衡可以通過不斷地優(yōu)化用戶關聯關系，為每個客戶端提供最佳的，從而優(yōu)化所有客戶端的吞吐。這可以提高每個客戶端的吞吐， 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 17 動態(tài)地均衡網絡的客戶端負載 。 集中化有助于均衡用戶負載 思科無線局域網控制器和模塊擁有一個網絡 整體 視圖。通過加密的無線消息，這些控制器可以獲知接入點之間的信號強度。另外，當某個客戶端探測接入點（這是 標準的一部分，即客戶端尋找任何廣播它所尋找的 WLAN 名稱的接入點）時，控制器會收到來自每個收到客戶端探測信號的接入點所發(fā)出的信號?？刂破麟S后將根據客戶端的信號強度和信噪比，決定哪個接入點應當響應客戶端的探測信號。例如，某個相鄰接入點能夠以較低的信號強度提供相同的服務?？刂破鲗⒏鶕尤朦c的信號強度（ RSSI），決定哪個接入點應當 響應客戶端的探測信號。（如圖 2 所示） 圖 2 無線局域網控制器決定哪個接入點應當響應客戶端的探測信號 訪客聯網 訪客聯網已經從一種奢侈的功能發(fā)展成為了一項業(yè)務必需的功 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 18 能。訪客聯網讓機構可以在保證無線網絡安全的同時，為客戶、供應商和合作伙伴提供對他們的 WLAN 的受控訪問權限。它讓顧問和訪客可以迅速開展合作，加快業(yè)務速度。 今天，問題不再是一個機構是否應當提供訪客聯網功能，而是它打算怎樣提供該功能？如果使用自主接入點部署方式，管理員可以通過將 “ 訪客 ” VLAN 拓展到網絡中，提供訪客網絡。這些 VLAN具有不同于普通網絡流量的安全策略。這些 VLAN 可能會成為錯誤配置的來源和潛在的安全漏洞。 集中化有助于簡化訪客聯網 在思科統(tǒng)一無線網絡中，每個無線局域網控制器都具有一個美觀的 Web 門戶，讓機構可以根據自己的業(yè)務需要定制 WLAN。例如，網絡管理人員可以將控制器放入 DMZ，充當訪客接口。當在網絡中部署一個訪客無線局域網時，所有來自于訪客 WLAN 的流量都會以隧道方式發(fā)送到訪客控制器。與采用自主接入點的無線局域網不同，使用輕型接入點和無線局域網控制器的思科解決方案不需要對底層 VLAN 架構進行任何改動。 第三層漫游 借助采用輕型接入點的思科統(tǒng)一無線網絡，當第三層漫游被引入網絡時，管理員不需要將 VLAN 拓展到網絡中的所有接入點，就可以保持一個扁平式的無線子網。那些采用自主接入點的網絡則有所不同 ―― 它們通過拓展 VLAN 來實現漫游，因而會產生大范圍的、不便于擴展的廣播域。 通過像思科統(tǒng)一無線網絡這樣在不使用 VLAN 的情況下實現第三層漫 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 19 游，可以簡化網絡，讓網絡可以方便地支持各種實時應用，例如基于無線網絡的語音和視頻。 集中化有助于支持第三層漫游 利用思科統(tǒng)一無線網絡，輕型接入點可以被部署到網絡的標準子網基礎設施中 ，并獲得一個隸屬于它們所在子網的 IP 地址。所有來自于無線客戶端的流量都將被放置到一個通過底層網絡發(fā)送到無線局域網控制器的 LWAPP 數據包中。客戶端設備可以從一個連接到控制器的子網獲得它們的 IP 地址 ―― 而不是它們所在的樓宇的子網。底層子網基礎設施對于客戶端而言是透明的?？刂破骺梢怨芾砘ハ嘀g的所有漫游和隧道通信，以確保不需要移動 IP等協(xié)議。 嵌入式無線 IDS 安全是網絡管理人員的關注焦點，而無線安全則是安全人員最關注的問題。一個重要的顧慮是惡意接入點可能會在一個有線或者無線網絡中制造漏洞。通過在網 絡中采用一個無線 ID 系統(tǒng)，可以為網絡添加一條額外的防線。無線局域網 IDS 可以降低黑客或者惡意用戶訪問關鍵網絡資源的風險。 集中化有助于支持無線 IDS 思科輕型接入點和無線局域網控制器可以同時充當數據服務設備和 IDS 傳感器。這可以通過 LWAPP 獨有的分離 MAC架構實現，即有些功能由接入點承擔，另外一些由控制器承擔。 LWAPP 分離 MAC 讓輕型接入點可以在不中斷數據服務的情況下掃描信道。接入點和控制器擁有一個強大的攻擊簽名庫，它可用于檢測無線威脅 ―― 包括惡意接入點，特殊網絡，或者試圖尋找無線網絡漏洞的惡意人員 。輕型接入點可以在它們在工作時使用的信道上檢測攻擊，以及檢測那些工作信 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 20 道與它們不同的威脅，例如惡意接入點和特殊網絡。另外，因為思科統(tǒng)一無線網絡輕型接入點和無線局域網控制器都配有 證書，它們可以檢測到偽裝成網絡中某個可靠接入點（充當一個 honeypot*）的未經授權的接入點。 思科統(tǒng)一無線網絡還可以利用其強大的隔離惡意功能，消除因為惡意接入點所導致的威脅。這種功能有助于確?？蛻舳瞬粫c惡意接入點建立關聯。 一種由網絡管理員部署的，用于檢測、制止未經授權的網絡訪問的授權接入點。 定位服務 定位服務是下一代無線網絡必須達到的一項要求。定位服務支持同時跟蹤 WLAN 基礎設施內部的數千個 WiFi 設備。這些服務被用于一些關鍵的應用，例如高價值資產跟蹤、 IT 管理、安全和業(yè)務策略的執(zhí)行。其他應用包括： ? 基于無線局域網的 e911 和語音 ? 客戶端故障診斷和客戶端位置與客戶端連接問題的關聯 ? 資產跟蹤和管理，以跟蹤任何支持 的設備（包括配有 RFID 標簽的資產） ? 基于位置的安全 無線局域網不僅可以獲知輕型接入點之間的路徑損耗和信號強度，還可以從網絡中的支持 LWAPP 的接入點那里獲得關于客戶端 信號 長治移動公司辦公大樓無線解決方案 太原市同誠海盛科技有限公司 21 強度的信息。 思科無線局域網控制器會將收到的客戶端信號強度信息轉發(fā)到思科無線控制系統(tǒng)（ WCS）和思科無線定位設備，它們將根據樓宇材料類型、多路徑和反射等因素，進行高強度的 R