【正文】 現(xiàn)了大量的非業(yè)務(wù)數(shù)據(jù)流，給網(wǎng)絡(luò)的正常使用帶來(lái)諸多不便，大部分網(wǎng)絡(luò)端口頻頻阻塞。 3) 部門(mén)之間訪問(wèn)混亂 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 4 在初期網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)中，沒(méi)有對(duì)用戶類型和業(yè)務(wù)單元?jiǎng)澐窒鄳?yīng)的權(quán)限和級(jí)別， 對(duì)于公司的重要數(shù)據(jù)和機(jī)密文件存在一定的安全隱患 。 4) 木馬、病毒在公司網(wǎng)絡(luò) 內(nèi) 泛濫 公司各個(gè)部門(mén)局域網(wǎng)在邏輯上沒(méi)有 有效隔離 ，致使木馬、病毒的大范圍擴(kuò)散 ，許多用戶經(jīng)常發(fā)生死機(jī)、中毒或重要數(shù) 據(jù)丟失現(xiàn)象，所有的用戶從物理上和邏輯上均在同一個(gè)區(qū)域內(nèi)，有一臺(tái)設(shè)備感染，其它設(shè)備無(wú)一例外。 1)安全可靠 建成后的無(wú)線網(wǎng)絡(luò)可以完全融和到現(xiàn)有的 OA 辦公系統(tǒng)和與省公司 VPN 認(rèn)證系統(tǒng)中，并能實(shí)現(xiàn)公司領(lǐng)導(dǎo)和所有員工的漫游認(rèn)證和加密；由于它和終端用戶不存在物理上的線路連接，也使得傳輸通道不會(huì)現(xiàn)遭到人為的破壞，同時(shí)也通過(guò)射頻攻擊防范，防止黑客的攻擊保證在傳輸通道上數(shù)據(jù)的安全； 2)自由靈活的訪 問(wèn) 建成后的無(wú)線網(wǎng)絡(luò)用戶只要有無(wú)線網(wǎng)卡就可以在 辦公室、會(huì)議室或營(yíng)業(yè)大廳 的任何一個(gè)地方訪問(wèn) 公司內(nèi)網(wǎng)、省公司網(wǎng) ,突破因有線網(wǎng)絡(luò)的束縛 ， 使訪問(wèn)變得更 為 智能靈活； 3)業(yè)務(wù)擴(kuò)展 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 5 隨著無(wú)線網(wǎng)絡(luò)的應(yīng)用和發(fā)展，語(yǔ)音和視頻也正在大步的向無(wú)線網(wǎng)絡(luò)靠攏，今天部署的無(wú)線網(wǎng)絡(luò)平臺(tái) 已經(jīng)能夠融合公司現(xiàn)有的 IP視頻電話，在 今后 的 業(yè)務(wù)擴(kuò)展 中，也將有越來(lái)越多的新業(yè)務(wù)融合其中。 思科統(tǒng)一無(wú)線網(wǎng)絡(luò)的方案設(shè)計(jì) 設(shè)計(jì)原則 實(shí)用性 ：遵循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則；充分保護(hù)已有投資，不設(shè)計(jì)成華而不實(shí)的無(wú)線網(wǎng)絡(luò)，也不設(shè)計(jì)成利用率低下的網(wǎng)絡(luò)，我們以實(shí)用性的原則要求為依據(jù)，建設(shè)具有最低的TCO（擁有的總成本最低），有最高的性價(jià)比的校園無(wú)線局域網(wǎng)絡(luò)。 可靠性： 系統(tǒng)必須可靠運(yùn)行，主要的、關(guān)鍵的設(shè)備應(yīng)有冗余，一旦系統(tǒng)某些部分出現(xiàn)故障，應(yīng)能很快恢復(fù)工作，并且不能造成任何損失。 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 6 可擴(kuò)充性： 系統(tǒng)是一個(gè)逐步發(fā)展的應(yīng)用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級(jí)換代的可能，這種擴(kuò)充不僅能充分保護(hù)原有資源，而且具有較高的性能價(jià)格比； 可維護(hù)性： 系統(tǒng)具有良好的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可 維護(hù)性； 安全性： 必須具有高度的保密機(jī)制，靈活方便的權(quán)限設(shè)定和控制機(jī)制，以使系統(tǒng)具有多種手段來(lái)防備各種形式的非法侵入和機(jī)密信息的泄露。 為滿足 企業(yè) 網(wǎng)絡(luò)的安全性，建議 企業(yè) 無(wú)線網(wǎng)絡(luò)采用獨(dú)立的有線網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)無(wú)線接入點(diǎn)的互聯(lián)，同時(shí)本次無(wú)線網(wǎng)絡(luò)在滿足用戶接入安全認(rèn)證、加密的同時(shí)，支持無(wú)線射頻的安全防護(hù)功能。盡管這些自主的接入點(diǎn)可以收到附近的某個(gè)工作在相同信道的接入點(diǎn)的信號(hào)，但是自主接入點(diǎn)無(wú)法得知相鄰的接入點(diǎn)與其是否屬于同一個(gè)網(wǎng)絡(luò)或者 是 相鄰網(wǎng)絡(luò)。 思科統(tǒng)一無(wú)線網(wǎng)絡(luò)支持實(shí)時(shí)關(guān)鍵業(yè)務(wù)應(yīng)用，為部署WLAN 的機(jī)構(gòu)創(chuàng)建了一個(gè)安全、移動(dòng)、交互的工作場(chǎng)所。 表 1 列出了對(duì)于自主接入點(diǎn)部署方式的無(wú)線需求和解決方案。 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 8 表 1 對(duì)于自主接 入點(diǎn)部署方式的無(wú)線需求和解決方案 需要 說(shuō)明 自主方式的解決 方案 第二層快速安全漫游 客戶端在子網(wǎng)內(nèi)部的無(wú)縫漫游 ―― 跨越不同的接入點(diǎn)和虛擬 LAN（ VLAN） 為支持漫游添加一個(gè)無(wú)線域服務(wù)（ WDS）設(shè)備（接入點(diǎn)或者交換機(jī)模塊） 第三層快速安全漫游 客戶端在子網(wǎng)之間的無(wú)縫漫游 ―― 跨越不同的接入點(diǎn)和VLAN 自主接入點(diǎn) 本身 不支持。從 WLAN 首次面世以來(lái)，技術(shù)需求發(fā)生了很多變化。企業(yè)需要 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 9 在他們的辦公樓中提供無(wú)所不在的無(wú)線網(wǎng)絡(luò)連接。企業(yè)需要突破了表1 中所列多種限制的 WLAN。因此， 機(jī)構(gòu) 需要思科統(tǒng)一無(wú)線網(wǎng)絡(luò)。事實(shí)上，蜂窩網(wǎng)絡(luò)供應(yīng)商已經(jīng)在擴(kuò)展無(wú)線網(wǎng)絡(luò)方面克服了很多挑戰(zhàn)。當(dāng)時(shí)有很多管理塔間電話呼叫的協(xié)議，但是這些協(xié)議并不可靠 ―― 很多呼叫都會(huì)被丟棄。因此，他們采用了一種名為基站控制器的新型網(wǎng)絡(luò)組件。當(dāng)蜂窩網(wǎng)絡(luò)用戶在不同發(fā)射塔的覆蓋范圍之間移動(dòng)時(shí)，基站控制器會(huì)對(duì)漫游切換進(jìn)行協(xié)調(diào)。 蜂窩基站控制器的概念也可應(yīng)用到 WLAN 中。 WLAN 集中化 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 10 參照蜂窩網(wǎng)絡(luò)的發(fā)展道路，思科系統(tǒng)公司 ?率先提出了 WLAN 集中化的概念，并且為高級(jí)無(wú)線局域網(wǎng)服務(wù)提供了業(yè)界第一個(gè)統(tǒng)一平臺(tái)。 思科提供了很多支持無(wú)線局域網(wǎng)集中化的無(wú)線局域網(wǎng)控制器，其中包括可以完全集成到網(wǎng)絡(luò)之中的企業(yè) 級(jí)獨(dú)立無(wú)線局域網(wǎng)控制器（例如 Cisco 4400 系列無(wú)線局域網(wǎng)控制器和 Cisco 2020 系列無(wú)線局域網(wǎng)控制器），以及可以與有線網(wǎng)絡(luò)結(jié)合的無(wú)線局域網(wǎng)控制器，例如 Cisco Catalyst 6500 系列無(wú)線服務(wù)模塊（ WiSM）和用于集成多業(yè)務(wù)路由器的思科無(wú)線局域網(wǎng)控制器模塊（ WLCM）。該協(xié)議需要滿足下列要求： ? 便于部署 ―― 該協(xié)議必須能夠跨越子網(wǎng)邊界，而 不是僅僅將多個(gè)VLAN 連接到集中控制器 。該協(xié)議需要提供一種對(duì)所有連接網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行身份驗(yàn)證的方法。 ? 協(xié)議擴(kuò)展能力 ―― 該協(xié)議需要支持多種平臺(tái)－－從大型以太網(wǎng)交換機(jī)中基于機(jī)箱的模塊，到可堆疊交換機(jī)、路由器和其他任何網(wǎng)絡(luò)組件。 ? 為 了滿足這些對(duì)于開(kāi)發(fā)新型通信協(xié)議的要求，思科考慮了很多方案。SNMP 也被列為考慮對(duì)象，因?yàn)樵搮f(xié)議可以提供對(duì)接入點(diǎn)的命令和控制功能，但是它很龐大，不太符合實(shí)際需要。 集中化協(xié)議 LWAPP 簡(jiǎn)介 LWAPP 是什么？ LWAPP是一項(xiàng)由思科系統(tǒng)公司擬定的互聯(lián)網(wǎng)工程任務(wù)小組（ IETF）標(biāo)準(zhǔn) 草案，實(shí)現(xiàn)了輕型接入點(diǎn)和 WLAN 系統(tǒng)（例如控制器、交換機(jī)和路由器）之間的通信協(xié)議的標(biāo)準(zhǔn)化。對(duì)時(shí)間敏感的功能（例如次原子握手和 發(fā)送給 接入點(diǎn)的 信標(biāo) ）都在接入點(diǎn)進(jìn)行管理。（如圖 1 所示） 圖 1 分離的介質(zhì)訪問(wèn)控制功能 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 13 ? 安全策略 ? QoS 策略 ? RF 管理 ? 移動(dòng)管理 人力分配 分離 MAC ? 遠(yuǎn)程 RF 接口 ? MAC 層加密 無(wú)線局域網(wǎng)控制器 LWAPP 輕型 接入點(diǎn) 控制器 MAC 功能 ? MAC 管理：（重新）關(guān)聯(lián)請(qǐng)求和行為框架 ? 數(shù)據(jù)：封裝和發(fā)送到接入點(diǎn) ? 資源預(yù)留：控制協(xié)議在 管理幀中發(fā)送到接入點(diǎn)－信令在控制器完成 ? 身份驗(yàn)證和密鑰交換 接入點(diǎn) MAC 功能 ? ：信號(hào)發(fā)射，探測(cè)響應(yīng)，身份驗(yàn)證（如果啟用） ? 控制： 數(shù)據(jù)包 確認(rèn)和傳輸（延遲） ? ：幀排序和 數(shù)據(jù)包優(yōu)先級(jí)設(shè)置（訪問(wèn) RF） ? ：接入點(diǎn)中的加密 輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器之間存在多對(duì)一的關(guān)系 ―― 單個(gè)無(wú)線局域 網(wǎng)控制器可以管理和操作大量的輕型接入點(diǎn)。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個(gè)網(wǎng)絡(luò)的 整體 視圖 。 集中化和統(tǒng)一 WLAN 的好處 下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 14 這種配置可以在每個(gè)接入點(diǎn)的基礎(chǔ)上進(jìn)行，也可以通過(guò)一個(gè)系統(tǒng)級(jí)應(yīng)用 或者設(shè)備完成。這些VLAN 可以擴(kuò)展到網(wǎng)絡(luò)的接入層。 在向網(wǎng)絡(luò)引入基于輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器的集中化時(shí)，并不需要在接入層重新劃分子網(wǎng)和設(shè)置 VLAN 中繼。這可以簡(jiǎn)化 WLAN 的部署和管理。（在部署于一個(gè)遠(yuǎn)程子網(wǎng)中時(shí)，接入點(diǎn)需要 IP 地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)信息）。 在輕型接入點(diǎn)聯(lián)系無(wú)線局域網(wǎng)控制器之后，控制器將會(huì)為輕型接入點(diǎn)設(shè)定所有 RF 策略和無(wú)線局域網(wǎng)策略。 便于升級(jí) 較低的運(yùn)營(yíng)成本可以提高一個(gè)機(jī)構(gòu)的投資效率。當(dāng)控制器 映像 被升級(jí)時(shí)，它也會(huì)升級(jí)所有與其關(guān)聯(lián)的接入點(diǎn)。 思科統(tǒng)一無(wú)線網(wǎng)絡(luò)的低成本接入點(diǎn)升級(jí)的另外一個(gè)好處是：輕型接入點(diǎn)和控制器之間的互操作能力已經(jīng)通過(guò)了思科的質(zhì)量保障團(tuán)隊(duì)的全面測(cè)試和認(rèn)證。這個(gè)計(jì)劃是根據(jù) RF預(yù)測(cè)制定的，即利用計(jì)算機(jī)對(duì) RF環(huán)境的模擬，結(jié)合接入點(diǎn)的天線發(fā)射功率，估計(jì)接入點(diǎn)的覆蓋范圍。但是，因?yàn)?RF 預(yù)測(cè)是在一個(gè)不考慮部署后 RF 環(huán)境實(shí)際發(fā)生情況的計(jì)算機(jī)上進(jìn)行的，所以它們只是對(duì)實(shí)際 RF環(huán)境的估計(jì)。 集中化可以提供動(dòng)態(tài) RF 無(wú)線局域網(wǎng) 控制器可以自動(dòng)獲知同一個(gè)網(wǎng)絡(luò)中不同輕型接入點(diǎn)之間的信號(hào)強(qiáng)度。無(wú)線局域網(wǎng)控制器可以用一種獨(dú)特的方式提供動(dòng)態(tài) RF。在其找到一個(gè)無(wú)線局域網(wǎng)控制器之后，支持 LWAPP 的 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 16 接入點(diǎn)會(huì)發(fā)出加密的 “ neighbor” （鄰居）消息。在一個(gè)無(wú)線局域網(wǎng)控制器網(wǎng)絡(luò)中，控制器可以利用這些鄰居信息確定接入點(diǎn)在網(wǎng)絡(luò)中的相對(duì)空間狀態(tài)。 如果網(wǎng)絡(luò)中有一個(gè)無(wú)線局域網(wǎng)控制器集群（例如在單個(gè)網(wǎng)絡(luò)中部署多個(gè)控制器），那么會(huì)有一個(gè)控制器被選為缺省控制器，所有控制器都會(huì)向它們的輕型接入點(diǎn)發(fā)送缺省控制器信息。 思科統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)中內(nèi)置的算法有助于確保網(wǎng)絡(luò)不會(huì) “ 抖動(dòng) ” ，即發(fā)生沒(méi)有必要的變化。因?yàn)? 為每個(gè)網(wǎng)絡(luò)組件提供了相等的空間訪問(wèn)能力，所以每個(gè)客戶端都可以決定它接下來(lái)將漫游到哪個(gè)接入點(diǎn)。同樣，每個(gè)客戶端設(shè)備對(duì)RF 介質(zhì)的訪問(wèn)權(quán)限與它們所關(guān)聯(lián)的接入點(diǎn)一樣。這通常被成為 “ 會(huì)議室效應(yīng) ” 。這可以提高每個(gè)客戶端的吞吐， 長(zhǎng)治移動(dòng)公司辦公大樓無(wú)線解決方案 太原市同誠(chéng)海盛科技有限公司 17 動(dòng)態(tài)地均衡網(wǎng)絡(luò)的客戶端負(fù)載 。通過(guò)加密的無(wú)線消息，這些控制器可以獲知接入點(diǎn)之間的信號(hào)強(qiáng)度?？刂破麟S后將根據(jù)客戶端的信號(hào)強(qiáng)度和信噪比，決定哪個(gè)接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶端的探測(cè)信號(hào)。控制器將根據(jù)接入點(diǎn)的信號(hào)強(qiáng)度（ RSSI），決定哪個(gè)接入點(diǎn)應(yīng)當(dāng) 響應(yīng)客戶端的探測(cè)信號(hào)。訪客聯(lián)網(wǎng)讓機(jī)構(gòu)可以在保證無(wú)線網(wǎng)絡(luò)安全的同時(shí)，為客戶、供應(yīng)商和合作伙伴提供對(duì)他們的 WLAN 的受控訪問(wèn)權(quán)限。 今天，問(wèn)題不再是一個(gè)機(jī)構(gòu)是否應(yīng)當(dāng)提供訪客聯(lián)網(wǎng)功能，而是它打算怎樣提供該功能？如果使用自主接入點(diǎn)部署方式，管理員可以通過(guò)將 “ 訪客 ” VLAN 拓展到網(wǎng)絡(luò)中，提供訪客網(wǎng)絡(luò)。這些 VLAN 可能會(huì)成為錯(cuò)誤配置的來(lái)源和潛在的安全漏洞。例如，網(wǎng)絡(luò)管理人員可以將控制器放入 DMZ，充當(dāng)訪客接口。與采用自主接入點(diǎn)的無(wú)線局域網(wǎng)不同，使用輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器的思科解決方案不需要對(duì)底層 VLAN 架構(gòu)進(jìn)行任何改動(dòng)。那些采用自主接入點(diǎn)的網(wǎng)絡(luò)則有所不同 ―― 它們通過(guò)拓展 VLAN 來(lái)實(shí)現(xiàn)漫游，因而會(huì)產(chǎn)生大范圍的、不便于擴(kuò)展的廣播域。 集中化有助于支持第三層漫游 利用思科統(tǒng)一無(wú)線網(wǎng)絡(luò)，輕型接入點(diǎn)可以被部署到網(wǎng)絡(luò)的標(biāo)準(zhǔn)子網(wǎng)基礎(chǔ)設(shè)施中 ，并獲得一個(gè)隸屬于它們所在子網(wǎng)的 IP 地址?？蛻舳嗽O(shè)備可以從一個(gè)連接到控制器的子網(wǎng)獲得它們的 IP 地址 ―― 而不是它們所在的樓宇的子網(wǎng)。控制器可以管理互相之間的所有漫游和隧道通信，以確保不需要移動(dòng) IP等協(xié)議。一個(gè)重要的顧慮是惡意接入點(diǎn)可能會(huì)在一個(gè)有線或者無(wú)線網(wǎng)絡(luò)中制造漏洞。無(wú)線局域網(wǎng) IDS 可以降低黑客或者惡意用戶訪問(wèn)關(guān)鍵網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)。這可以通過(guò) LWAPP 獨(dú)有的分離 MAC架構(gòu)實(shí)現(xiàn)，即有些功能由接入點(diǎn)承擔(dān)，另外一些由控制器承擔(dān)。接入點(diǎn)和控制器擁有一個(gè)強(qiáng)大的攻擊簽名庫(kù)，它可用于檢測(cè)無(wú)線威脅 ―― 包括惡意接入點(diǎn)，特殊網(wǎng)絡(luò)，或者試圖尋找無(wú)線網(wǎng)絡(luò)漏洞的惡意人員 。另外，因?yàn)樗伎平y(tǒng)一無(wú)線網(wǎng)絡(luò)輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器都配有 證書(shū)，它們可以檢測(cè)到偽裝成網(wǎng)絡(luò)中某個(gè)可靠接入點(diǎn)（充當(dāng)一個(gè) honeypot*）的未經(jīng)授權(quán)的接入點(diǎn)。這種功能有助于確?？蛻舳瞬粫?huì)與惡意接入點(diǎn)建立關(guān)聯(lián)。 定位服務(wù) 定位服務(wù)是下一代無(wú)線網(wǎng)絡(luò)必須達(dá)到的一項(xiàng)要求。這些服務(wù)被用于一些關(guān)鍵的應(yīng)用，例如高價(jià)值資產(chǎn)跟蹤、 IT 管理、安全和業(yè)務(wù)策略的