无线网络升级改造设计方案 86页

'无线网络升级改造设计方案WLAN在校园的应用概述校园网已经成为校园生活的重要组成部分，成为教师和学生获取资源和信息的主要途径之一，它把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起，在高校教育中的作用与地位日益显著。经过这些年有线网络建设、运行、维护，从实践结果来看，由于目前网络是“有线”的，所以在有些应用领域会出现困难。例如，很多高校只是在部分区域接通了网络，而不能顾及所有区域，布置了网线的教室、图书馆数量有限；有些高校经费比较紧张，很难投入较大的财力来铺设光缆；有些高校的建筑物具有一定的历史意义，不适合钻孔布线；有些高校由多个校区组成，校区之间联网成本较高，等等。随着信息技术的飞速发展，教师和学生对高校校园网的依赖性相当之高，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？从应用需求方面考虑，无线网络很适合学校的一些不易于网络布线的场所应用。现在如何使校园的每个角落都处在网络中，形成真正意义上的校园网？想象一下，当学生们放完暑假返回校园，惊奇地发现自己的笔记本电脑在学校任何地方都可以上网时的那份欣喜若狂……现在这已经是一些学校的现实。1.校园网WLAN应用需求高性能的IPv6和IPv4无线接入86 中国下一代互联网项目（CNGI）正在顺利展开，基于纯IPv6的骨干网在CERNET已经建设完成并可以提供接入服务。现在建设高校无线网络，除了要考虑对现有IPv4网络终端的无线接入，满足当前高校师生对无线网络的需求外；又要支持高性能的IPv6的用户接入，以适应网络发展趋势，并保护网络投资。基于个人用户的运营管理无线网络系统需要支持运营管理功能，能够根据单个用户实现用户管理，包括：认证、计费、安全控制、QoS控制等。支持数据、语音等多种业务，有其它智能业务扩展能力校园无线网络在支持数据转发的同时，应该是真正为语音业务优化的无线设计，包括一体化的IP电话解决方案，通过新技术延长客户端待机时间，实现室内外语音不中断的安全漫游。为学校提供内部话音的无缝覆盖，以提高学校办公效率和教学质量。为保证无线话音的质量，要求无线网络具有良好的QoS控制机制，包括无线话音呼叫控制等手段。无线网络还应该支持其他智能业务的扩展，如支持精准的无线物理定位、无线视频等满足校园特点的安全和可靠性XXXX无线网的目标是建设一个收费的、可运营网络，这样的定位对可靠性、安全、加密和非授权用户的控制提出了更明确的要求：·支持精确的无线入侵、射频干扰、非法AP定位和隔离·冗余的中央服务控制保证校园复杂接入环境的安全无线接入·独特的访客隔离机制，保证跨校园漫游用户与校园网用户的隔离·同时支持端到端的网络可靠性保证技术。满足生产、运营网络要求的运维和管理校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理室内、室外、Mesh系统一体化控制：所有AP均工作在同一Controller群组(cluster)管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制可分级的一体化网络管理系统：有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。支持用户全网漫游校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证IP地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。86 灵活部署、易于扩展、高性价比为方便校园网络的部署和未来维护的方便性，校园无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，校园无线网络要具有良好的性价比。1.校园网WLAN设计思想3.1校园网WLAN设计原则实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性：必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。3.2思科校园网WLAN设计思想按照现有无线网络发展趋势，建议校园网WLAN采用集中管理架构下的“瘦AP”无线网络架构，以保证无线网络可管理性、安全性、QoS、无缝漫游等功能需求，尤其是方便未来的运维管理。根据实际情况，采用室内、室外多种无线接入方式相结合的方式，以满足学校楼宇多、广场多的特点。如在必要的时候采用室外MeshWLAN技术通过无线回传技术解决有线网络传输距离的合布线难度的问题。同时由于采用室内、外多种无线接入手段在满足无线覆盖的前提下，可以节省无线接入点的数量，从而提高无线网络的性价比。校园无线网络在满足现有网络应用的同时，保证对未来网络技术和应用的支持，如IPv6、无线话音、无线视频、组播等技术的支持，以满足高校教学和科研的要求。86 为满足高校网络的安全性，建议校园无线网络采用独立的有线网络系统实现无线接入点的互联，同时本次无线网络在满足用户接入安全认证、加密的同时，支持无线射频的安全防护功能。3.3思科WLAN解决方案体系结构3.3.1无线网络的挑战透视就是一切――地图就是一个典型的例子。在高空摄影技术面世之前，地图并不精确；人们按照估计的比例，将地理标志绘制到地图上。高空摄影技术为地图绘制人员带来了之前未有的东西――透视。透视改变了我们旅行的方式，我们观察距离的方式，甚至我们的文明发展的方式。过去，无线局域网都缺乏透视能力――因为每个接入点都是一个单独的节点，按照一个静态RF计划（通常为预测的RF）中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号，但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。而且，因为自主接入点是“节点式”的，所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。表1列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下，采用自主接入点的WLAN的部署会对WLAN带来很多限制。表1对于自主接入点部署方式的无线需求和解决方案需要说明自主方式的解决方案第二层快速安全漫游客户端在子网内部的无缝漫游――跨越不同的接入点和虚拟LAN（VLAN）为支持漫游添加一个无线域服务（WDS）设备（接入点或者交换机模块）第三层快速安全漫游客户端在子网之间的无缝漫游――跨越不同的接入点和VLAN自主接入点本身不支持。需要为支持漫游采用一个集中式解决方案升级成本部署额外管理功能和为接入点安装新镜像所需的时间部署一个集中的管理基站或者使用管理脚本入侵检测系统（IDS）能够检测伪装接入点、攻击和未经授权的访问使用一个基于WDS的IDS，或者添加一个覆盖式WLAN解决方案定位服务86 直观显示接收信号强度指示（RSSI）信息变化和Wi-Fi设备的位置使用一个现场调查解决方案或者一个覆盖式WLAN动态RF迅速地、动态地适应RF环境使用系统级应用设备，或者一个简单网络管理协议（SNMP）；RF信息可供手动检查或者措施使用负载均衡自动在相邻接入点之间均衡客户端负荷每个接入点通报服务情况，但是负载不是自动地在接入点之间分布访客联网能够为客户、供应商和合作伙伴提供对WLAN的受控访问权限，同时保持网络的安全性为每个接入点部署专门的中继VLAN，并在整个企业中加以宣传WLAN语音利用现有的无线基础设施提供经济有效的、实时的语音服务部署基于接入点的呼叫准入控制（CAC）；控制建立在每个接入点的基础上，不能协调多个接入点管理经济有效的、简化的WLAN管理和部署为配置WLAN管理和单独配置每个接入点部署脚本或者SNMP解决方案3.3.2思科集中化无线网络解决方案使用自主接入点的第一代无线局域网是一种方便的网络。从WLAN首次面世以来，技术需求发生了很多变化。现在，基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的WLAN必须支持多种移动服务，例如语音、访客接入、定位和增强的无线入侵防御系统（WIPS），同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表1中所列多种限制的WLAN。为了部署这些功能和消除这些限制，需要一个统一的WLAN――一个集中式的，基于连接到无线局域网控制器的轻型接入点的网络。因此，机构需要思科统一无线网络。可扩展性：WLAN必须具备的特性人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现的。事实上，蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初，蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间电话呼叫的协议，但是这些协议并不可靠――很多呼叫都会被丢弃。86 蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案，以及一个部署高级服务的平台。因此，他们采用了一种名为基站控制器的新型网络组件。对于蜂窝网络而言，基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖范围之间移动时，基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性，减少被丢弃的呼叫。蜂窝基站控制器的概念也可应用到802.11WLAN中。运营商不是管理多个独立的接入点，而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。WLAN集中化参照蜂窝网络的发展道路，思科系统公司â率先提出了WLAN集中化的概念，并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构，我们称之为思科统一无线网络的关键，是将数据从轻型接入点经由网络发送到无线局域网控制器。思科提供了很多支持无线局域网集中化的无线局域网控制器，其中包括可以完全集成到网络之中的企业级独立无线局域网控制器（例如Cisco4400系列无线局域网控制器和Cisco2000系列无线局域网控制器），以及可以与有线网络结合的无线局域网控制器，例如CiscoCatalyst6500系列无线服务模块（WiSM）和用于集成多业务路由器的思科无线局域网控制器模块（WLCM）。开发一种新的无线局域网集中化协议为了在轻型接入点和无线局域网控制器之间传输数据和实现通信，需要一种新的协议。该协议需要满足下列要求：l便于部署――该协议必须能够跨越子网边界，而不是仅仅将多个VLAN连接到集中控制器。l部署安全――将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。l对接入点的实时控制――在部署、认证接入点和将其连接到控制器之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。l协议扩展能力――该协议需要支持多种平台－－从大型以太网交换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网络组件。l传输扩展能力――尽管网络通常运行在以太网的基础上，但是该协议必须能够支持低速的WAN连接，甚至无线网络（对于无线网状网络等应用）。这就是即满足这些对于开发新型通信协议的要求，又符合实际需要的――支持第二层和第三层数据包信息的轻型接入点协议（LWAPP）。86 3.3.3集中化协议LWAPP简介LWAPP是什么？LWAPP是一项由思科系统公司拟定的互联网工程任务小组（IETF）标准草案，实现了轻型接入点和WLAN系统（例如控制器、交换机和路由器）之间的通信协议的标准化。它的目标包括：l减轻接入点中的处理量，让它们将计算资源集中用于无线接入，而不是过滤和策略实施l为整个WLAN系统进行集中的流量处理、验证、加密和策略实施l利用一个第二层基础设施或者IP路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制LWAPP标准可以通过定义下列规范实现这些目标：l接入点设备发现、信息交换和配置l接入点认证和软件控制l数据包封装、分段和格式化l接入点和无线控制器之间的通信控制和管理LWAPP的工作原理LWAPP将轻型接入点的介质访问控制（MAC）功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能（例如次原子握手和发送给接入点的信标）都在接入点进行管理。其他对网络具有重要意义的功能（例如移动管理、身份验证、VLAN划分、RF管理、无线IDS和数据包转发）都在无线局域网控制器进行管理。（如图1所示）图1分离的介质访问控制功能l安全策略lQoS策略无线局域网控制器控制器MAC功能l802.1186 lRF管理l移动管理人力分配分离MACl远程RF接口lMAC层加密LWAPP轻型接入点MAC管理：（重新）关联请求和行为框架l802.11数据：封装和发送到接入点l802.11e资源预留：控制协议在802.11管理帧中发送到接入点－信令在控制器完成l802.11i身份验证和密钥交换接入点MAC功能l802.11：信号发射，探测响应，身份验证（如果启用）l802.11控制：数据包确认和传输（延迟）l802.11e：帧排序和数据包优先级设置（访问RF）l802.11i：接入点中的加密轻型接入点和无线局域网控制器之间存在多对一的关系――单个无线局域网控制器可以管理和操作大量的轻型接入点。另外，无线局域网控制器可以在一个大型无线网络中协调和比较信息――甚至跨越WAN。就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的整体视图。一旦将这项协议作为标准，并准备好用于统一的平台，WLAN集中化的真正优势将会变得显而易见。3.3.4集中化和统一WLAN的好处下面列出了WLAN集中化和统一WLAN所具有的很多好处。3.3.4.1便于部署86 当在企业中部署自主接入点时，每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后，每个接入点都将可以支持VLAN，以便划分不同的用户群组，为不同的用户和用户群组区分不同的LAN策略和服务（例如安全和服务质量[QoS]）。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围，VLAN可以在多台交换机中进行中继和扩展。在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层重新划分子网和设置VLAN中继。相反，VLAN将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。在使用集中化解决方案时，一个轻型接入点只需要找出无线局域网控制器的IP地址――当部署于第二层模式时。（在部署于一个远程子网中时，接入点需要IP地址、子网掩码和缺省网关信息）。轻型接入点还可以从一个标准的动态主机配置协议（DHCP）服务器接收无线局域网控制器的IP地址。在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊VLAN扩展到各个接入点。3.3.4.2便于升级较低的运营成本可以提高一个机构的投资效率。问题是：怎样实现低成本的运营？集中化有助于简化升级利用思科统一无线网络，所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时，它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。思科统一无线网络的低成本接入点升级的另外一个好处是：轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。3.3.4.3通过动态RF管理建立可靠的连接过去，使用自主接入点的无线网络通常利用一个静态RF计划进行部署，而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的，即利用计算机对RF环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。RF预测的目标是以最小的信道重叠，获得接入点的最优覆盖范围。但是，因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的，所以它们只是对实际RF环境的估计。86 例如，在使用RF预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。集中化可以提供动态RF无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。控制器能利用这些信息，为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。在一个支持思科LWAPP的接入点启动时，它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后，支持LWAPP的接入点会发出加密的“neighbor”（邻居）消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度，以获得最佳的覆盖范围和网络容量。如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给网络中的每个接入点。思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”，即发生没有必要的变化。这样做的结果是，建立起一个能够实时地适应不断变化的RF环境的动态无线网络。3.3.4.4通过用户负载均衡优化每个用户的性能802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。同样，每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。因此，所有客户端的RF吞吐都有可能降低――所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。这可以提高每个客户端的吞吐，动态地均衡网络的客户端负载。集中化有助于均衡用户负载思科无线局域网控制器和模块拥有一个网络整体86 视图。通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。另外，当某个客户端探测接入点（这是802.11标准的一部分，即客户端寻找任何广播它所寻找的WLAN名称的接入点）时，控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。例如，某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度（RSSI），决定哪个接入点应当响应客户端的探测信号。（如图2所示）86 图2无线局域网控制器决定哪个接入点应当响应客户端的探测信号3.3.4.5访客联网访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。它让顾问和访客可以迅速开展合作，加快业务速度。今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能？如果使用自主接入点部署方式，管理员可以通过将“访客”VLAN拓展到网络中，提供访客网络。这些VLAN具有不同于普通网络流量的安全策略。这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。集中化有助于简化访客联网在思科统一无线网络中，每个无线局域网控制器都具有一个美观的Web门户，让机构可以根据自己的业务需要定制WLAN。例如，网络管理人员可以将控制器放入DMZ，充当访客接口。当在网络中部署一个访客无线局域网时，所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。3.3.4.6第三层漫游86 借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将VLAN拓展到网络中的所有接入点，就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同――它们通过拓展VLAN来实现漫游，因而会产生大范围的、不便于扩展的广播域。通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。集中化有助于支持第三层漫游利用思科统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的LWAPP数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址――而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动IP等协议。3.3.4.6嵌入式无线IDS安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线ID系统，可以为网络添加一条额外的防线。无线局域网IDS可以降低黑客或者恶意用户访问关键网络资源的风险。集中化有助于支持无线IDS思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现，即有些功能由接入点承担，另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库，它可用于检测无线威胁――包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个honeypot*）的未经授权的接入点。思科统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。一种由网络管理员部署的，用于检测、制止未经授权的网络访问的授权接入点。86 3.3.4.7定位服务定位服务是下一代无线网络必须达到的一项要求。定位服务支持同时跟踪WLAN基础设施内部的数千个Wi-Fi设备。这些服务被用于一些关键的应用，例如高价值资产跟踪、IT管理、安全和业务策略的执行。其他应用包括：l基于无线局域网的e911和语音l客户端故障诊断和客户端位置与客户端连接问题的关联l资产跟踪和管理，以跟踪任何支持802.11的设备（包括配有802.11RFID标签的资产）l基于位置的安全无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度，还可以从网络中的支持LWAPP的接入点那里获得关于客户端信号强度的信息。思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统（WCS）和思科无线定位设备，它们将根据楼宇材料类型、多路径和反射等因素，进行高强度的RF指纹计算，确定802.11或者有源RFID设备的位置。这些信息将实时提供。LWAPP是支持定位服务的控制和传输协议。3.3.4.8WLAN语音WLAN语音（VoWLAN）不仅可以提供IP语音（VoIP）的诸多好处（例如收费旁路），还可以提供移动性。选择VoWLAN功能的管理人员都希望通过用他们的802.11数据网络承担语音功能，降低或者消除办公楼内移动电话使用成本。集中化有助于支持高性能VoWLAN对于自主解决方案而言，基于802.11的语音采用了与普通数据流量相同的底层协议，并通过在接入点和一个语音终端之间运行802.11e，提供了一些额外的功能。不幸的是，工作在相同信道的自主接入点无法协调它们的呼叫准入控制（CAC）功能。而且，所有能够接收到工作在相同信道的其他设备信号的设备都会受到共用信道干扰，而自主接入点并不能方便地解决这个问题。利用思科统一无线网络，无线局域网控制器可以为网络提供可预测的CAC。在这种统一网络中，控制器拥有网络中所有客户端的整体视图，以及同一信道中所有接入点之间的总呼叫容量。这种功能有助于确保当一个VoWLAN呼叫获准进入思科统一无线网络时，所有接入点可以提供足够的语音容量。这样，可以为网络提供更加可预测、更加可靠的语音性能。3.3.4.9降低总拥有成本86 较低的总拥有成本（TCO）让机构可以在不增加额外人手的情况下部署解决方案，从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于自主接入点部署方式，时间主要被用于安装和初始化接入点，重新设置接入点，以及升级接入点。在一个包含100个接入点的自主接入点网络中，如果一年为每个自主接入点花费30分钟，就相当于一年花费3000个人·分钟，或者50个人·小时。在五年的折旧期中，就有超过一个月的时间被用于自主接入点的管理上――不包括诊断客户端和其他网络组件问题所用的时间。图3为配置每个接入点付出的人力成本预测集中化有助于降低TCO利用思科统一无线网络，用户不需要逐一配置100个网络组件，而是只需要配置无线局域网控制器。控制器进而再配置网络中的所有接入点。另外，管理员不需要升级网络中每个接入点的软件，而是只需要升级无线局域网控制器的软件，这样所有轻型接入点都会同时得到升级。因为无线局域网控制器能够搜索整个无线网络，所以它可以协调信息和使用高级功能（例如定位），为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的TCO，同时减少诊断和管理网络所需的成本。3.3.4.10有线和无线整合有线和无线网络的集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用，必须提供覆盖整个系统的无线局域网功能（例如安全策略、入侵防御、RF管理、QoS和移动性）。使用轻型接入点和无线局域网控制器的WLAN可以方便地支持有线、无线局域网的整合，因为控制器功能可以被集成到思科交换和路由平台之中。整合可以保护投资和精简成本86 思科统一无线网络提供了一个统一、创新的端到端网络。它可以提供有力的投资保护，为有线和无线网络确保一个安全、移动、经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控制器的统一网络基础设施，可以与集成到一系列思科交换、路由平台中的独立或者模块化局域网控制器配合使用。客户可以通过添加一个模块化无线局域网控制器（例如CiscoCatalyst6500系列WiSM或者用于集成多业务路由器的思科WLCM），大幅度降低TCO、减少支持成本，以及缩短计划内和计划外断网时间。思科统一无线网络还支持网络准入控制（NAC）和思科兼容扩展客户端设备。用于WLAN的NAC可以通过在WLAN客户端试图进入网络时执行设备安全策略，提供威胁防御功能。思科兼容扩展计划有助于推动那些可以与思科WLAN基础设施进行互操作，并利用思科创新提高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。3.3.4.11总结思科统一无线网络可以降低部署、管理无线网络的复杂性；支持多种高级服务，例如语音、定位和访客联网；并且有助于确保有线、无线网络的运营成本的可管理性。网络集中和整合并不是新概念――它最初是由蜂窝网络运营商所提出的，进而被引入到了802.11网络之中。通过集中和整合，无线网络将能够扩展到大型企业级部署，为用户提供可靠的连接和移动性。86 1.思科校园网WLAN建设方案4.1物理设计（部署）各区域AP数量统计（全校整体规划）：AP区域AP数量AP区域AP数量第二教学楼55学生公寓527第三教学楼47学生公寓660第四教学楼113学生公寓760第五教学楼129学生公寓8154食堂10学生公寓9167图书信息大厦38金鼎公寓180教学实习楼13住宅25第一实验楼15体育场（室外）4第二实验楼19国教小体育场（室外）2学生公寓1（培训中心）18毓秀园（室外）2学生公寓2（数字领地）18古松园（室外）2学生公寓327小广场（室外）1学生公寓424其他（室外）3共计：1213其中本次方案仅针对以下部分楼宇（二期无线建设）：AP区域AP数量图书信息大厦38具实际调查，XXXX正在建设的一期无线工程采用的是CISCO的无线控制4404加瘦AP的方案，故本次的二期无线建设方案也采用的CISCO的产品，便于统一管理。本次工程采用AP就近接入的原则，即每楼宇设备间新添交换机直接连至该楼汇聚设备上实现网络连通，同时提供POE供电的功能；作为整个无线局域网络的中央管理控制器，本次采用的是无线控制器AIR-CT5508-100-K9,该控制器可扩展至管理250AP，便于今后的无线建设及扩展；无线管理软件WCS只需提供接口连接至网络即可实现其管理功能。具体的逻辑组网图如下图所示：86 无线网络组网如下图所示：无线控制器核心交换机室内无线接入点选择AIR-LAP1131AG-C-K9，均使用全向天线实现覆盖；无线控制器选择AIR-CT5508-100-K9。使用POE交换机WS-C2960-24PC-L为AP提供电源，个别设备间点位较少情况下可使用PowerInjector供电模块利用原有网络资源实现供电功能。无线网络管理采用思科无线控制系统（WCS），为无线网络运行提供RF预测、策略配置、网络优化、排障、用户跟踪、安全监控等支持。4.1.1无线覆盖方案4.1.1.1覆盖区域此次无线网络实现XXXX全校部分范围无线网络接入环境，其中本次仅实施图书信息大厦。4.1.1.2设计指标、原则及覆盖方式设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。86 设计指标：各信号输出点信号强度10－15dbm；将按照2.4G工作频段2.412～2.462GHz（FCC）分为channel1、channel6、channel11三个完全不干扰频段设计；目标覆盖区域信号强度>-80dbm。1、一般来讲室内容许最大覆盖距离为35~100米室外容许最大距离100~400米2、障碍物阻挡要观测无线覆盖周围的障碍物确定AP的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下：A.水泥墙(15~25cm):衰减10~12dBB.木板墙(5~10cm):衰减5~6dBC.玻璃窗(3~5cm):衰减5~7dB各种建筑材料对无线讯号的影响如下：·当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下<5米有效距离。·当AP与终端中间隔一座木板墙时,AP的传送距离约剩下<15米有效距离。·当AP与终端中间隔一座玻璃墙时,AP的传送距离约剩下<15米有效距离。所以在安装选点时，一定要注意以避开墙、柱子等覆盖方式：在覆盖区域内，选择教学楼，办公楼及学生宿舍为主，其他区域为辅的覆盖方式，实现全校整体无线覆盖。具体分为室内覆盖和室外覆盖两种方式，其中室外覆盖部分包含部分区域采用Mesh方式进行覆盖。根据国家无线电管理委员会1997年《2.4GHz频段的管理办法》中规定的场强标准，选配不同技术规格的全向天线、扇区天线，既要考虑到每个信号输出点的电频强度，又要顾及信号对人体可能存在的危害，达到“绿色环保”的效果。经过现场的覆盖区域现场勘测后，对无线覆盖区域进行详细描述86 4.1.1.3室内覆盖室内覆盖规划原则：üAP的放置要遵循两个原则AP覆盖区域无间隙；üAP重叠区域最小。相邻AP工作在不同频道，以1，6，11三个频道实现全方位的覆盖。ü根据经验值，当相邻AP设定相同频点时,要求间隔25米以上；当相邻AP设定相邻频点时,要求AP间隔16米以上；当AP设定相隔频点时,要求间隔12米以上。室内典型环境覆盖（一）主要特点是：环境开阔、用户数量相对集中、对带宽需求较高，主要用户群是校内教师、学生，例如：多功能厅、会议室、报告厅，图书馆等。主要用户群：校领导、教师以及来访用户，用户使用环境相对封闭。室内典型环境覆盖（二）环境特点是：房间多、用户数量不多但分布较分散的楼宇，楼长、墙体结构厚、房间多，用户无线应用也比较频繁。主要用户群是校内教师、学生。如：教学楼、实验楼等。这个典型环境包括：教学楼、实验楼等。该环境下，覆盖AP安装楼道内，通过内置天线覆盖楼道两侧房间，微波通过房间的门窗传输到室内，实现了比较细腻的覆盖环境，AP通过有线接入到楼层交换机。86 图书信息大厦覆盖设计图书信息大厦可分为图书馆和信息楼2部分，其中图书馆部分共7层，信息楼部分共4层（3-4层为整体大机房）。1层AP分布图见下，本层布置AP数量7个标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，信息楼部分直接布置于屋内墙上壁挂放置，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人2层AP分布图见下，本层布置AP数量8个86 标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，信息楼部分直接布置于屋内墙上壁挂放置，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人3层分布图见下，本层布置AP数量7个标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，信息楼部分直接布置于屋内墙上壁挂放置，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人4层分布图见下，本层布置AP数量4个86 标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，信息楼部分为3层机房上空，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人5层分布图见下，本层布置AP数量4个标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，由该层起信息楼部分无，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人6层分布图见下，本层布置AP数量4个86 标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，由该层起信息楼部分无，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人7层分布图见下，本层布置AP数量4个标示AP位置，如图所示，该层图书馆基本是一个AP覆盖2间阅览室，布置于屋顶，由该层起信息楼部分无，正常情况下每AP带用户10-20人，高峰情况下可能增加至30-40人统计AP数量如下：图书馆部分：各层均为4AP，共28AP信息楼部分：一层3AP，二层4AP，三层3AP，共10AP设备间位置计划以楼层为单位划分：图书馆部分，1-3层一个设备间，AP统一由原有桥架引至2层设备间中的POE交换机上，AP数量为12个，故该设备间配备1台24口POE交换机；4-7层一个设备间，AP统一由原有桥架引至5层设备间中的POE交换机上，AP数量为16个，故该设备间配备1台24口POE交换机。信息楼部分，4层共用一个设备间，AP统一由原有桥架引至2层设备间中的POE交换机上，AP数量为10个，故该设备间配备1台24口POE交换机.各设备间POE交换机通过光纤连接至校园网络内。总体统计，AP数量38个，POE交换机3台86 以上所有布线标准均采用6类布线系统标准，走线过程中双绞线敷设保护线槽并固定牢靠，布线完毕整体进行测试，测试达标后再开始布置AP；线缆两端按定义规则贴对应标签进行识别。布置AP前，按统一标准为AP自身粘贴打印标签，标识自身命名、MAC地址、上联交换机IP及交换机端口。4.2逻辑设计4.2.1SSID和VLAN根据高校实际情况和应用需求，建议学校园区使用SSID如下1.数据服务SSID－Data-SSID：基于三层的Web认证；2.根据所部署校园的需求，可能还有为访客服务的SSID－Guest-SSID，为访客/中国移动漫游客户接入提供特定VLAN的访问上述SSID原则上均是全部可以广播出去，提供对外服务的。也可以根据实际部署需求进行灵活定制。比如学校的某些特定场所，不允许访客进入的/或者不允许访客在此无线上网的，此处的AP可以不用开启Guest-SSID。为了有效的隔离广播域，提高校园无线网络的性能，建议采用思科AP-Group技术，将所有AP划分不同的组（Group），每一组AP为一个VLAN。300个AP的校园无线覆盖典型环境下，支持同一SSID的所有AP，按照AP所处楼层、校区位置划分为不同的AP-Group，客户端接入不同AP-Group时被分割到不同的VLAN，获得不同网段的IP地址。建议根据用户实际情况（应用类型、上网人数等），每个数据类AP-Group不超过30个AP86 4.2.2地址和路由4.2.2.1无线用户接入地址和路由规划根据高校接入用户的数量，并预留一定扩展能力的前提下，建议：·4个C类地址段(C1—C4)，共1000个地址，用于数据/访客用户接入地址分配·C1，共250个IPv4地址，作为Data-SSID客户端地址；对应VLAN100，每个VLAN一个C类IPv4地址段；·C2，共250个IPv4地址，作为Guest-SSID客户端地址（如果部署访客SSID）；对应VLAN149，一个C类IPv4地址段；·C3-C4，共750个IPv4地址，作为保留地址池·每个与SSID对应的VLAN，需要分配一个IPv4地址给无线控制器，作为IP-DHCP-Relay等功能的源地址·也可以根据具体情况减少每个AP-Group的AP数量，增多AP-Group数量（即增加VLAN数），也同时把保留的地址段分给新VLAN，避免VLAN内用户激增使VLAN内用户过多而地址不够无线用户在地址分配方式上建议采用DHCP动态地址分配，配置外置DHCP服务器实现。无线控制器对无线客户端的DHCPRequest进行DHCPProxy的操作（源地址为WiSM的VLAN接口地址）。4.2.2.2无线网络地址和路由规划对于无线接入点AP，基本原则：虽然瘦AP支持通过DHCP动态获取IP地址，但是从运营管理的角度，本方案建议采用静态IP地址。如果AP连接在现有校园网的接入交换机，则IP地址由现有校园网有线端提供，虽然从原理上来讲AP和无线控制器的AP-Manager只要IP可达即可创建并维护数据/控制隧道，但是从性能/可管理性等角度出发，建议在满足下列条件的前提下可以将AP接入现有网络交换机：·AP和无线控制器的AP-Manager之间端到端环回延迟(roundtripdelay)<100毫秒－局域网交换环境均能实现·AP不与一般有线网络设备混合在一个VLAN中，避免有线设备的异常流量阻断AP和无线控制器之间的通讯·连接在同一L3交换机端口下的所有AP，建议放置在一个受保护的VLAN中，部署时统一分配给这些AP静态IP地址·需要修改现有交换机的VLAN参数设置，现有L3交换机的路由设置86 如果AP连接在新构建的有线网络中（与原有校园有线网络隔离），则IP地址可以由有线网络分配，也可以从8个C类IPv4地址段中分配，建议从保留地址池中分配à比如将C3(共250个IPv4地址)用来作为管理网段的IP地址池·38个AP;·每个控制器需要至少2个IPv4地址，用于和AP通讯的AP-Manager地址及管理地址Management-Interface;无线网络设备需要两类地址：·管理地址AP-Manager,Managementà从管理网段分配；·无线SSID映射VLAN的Dynamic-Interface地址，有多少个AP-Group就有多少Dynamic-Interfaceà从客户端VLAN中分配4.2.2.3IPv6规划考虑用户终端IPv6地址设计按IPv6常规单播地址规划方式分配，前64比特作为Prefix，对应不同学校和VLAN；后64比特对应终端，对应不同主机、终端或接口。主机地址采用AutoConfiguration方式，采用EUI-64地址方式映射传统MAC地址86 终端IPv6单播地址获得过程：Controller/AP需要打开IPv6Pass-through功能和以太网组播穿过支持功能整个LWAPP隧道对包括ICMPv6在内的IPv6的传输是透明的终端和Sup720路由引擎之间采用Autoconfig或在相应VLAN内使用DHCPv6都可以无线网络设备IPv6地址设计当前无线部分无需设置IPv6地址·当前无线部分对IPv6的支持是穿透方式的·将来很快我们会支持在NativeIPv6的网络上实现LWAPP等机制·而在当前无线部分无需设置IPv6地址Sup720的VLAN路由虚端口和对外CERNET2的相关端口需要分配IPv6地址·IPv6的无线客户端可以被看做是被透明连接到6500Sup720的不同VLAN上的IPv6终端·靠6500丰富的双栈支持实现IPv6的高性能传输·因此Sup720的VLAN路由虚端口和对外CERNET2的相关端口需要分配IPv6地址和做相关IPv6路由设置IPv4和IPv6组播地址规划还需根据组播应用需求进行进一步考虑86 4.2.3认证和计费可实现基于802.1X、Web-Portal、MAC地址三种认证方式，支持Radius、LDAP协议，能实现以校内现有认证系统作为无线接入用户的AAA服务器。WEB-Portal方式的认证Portal界面，可实现由校方个性化定制，支持中、英文页面。认证后可自动将用户端页面，重定向到校方指定网站。本项目将以WEB方式与计费系统城市热点相集成。1.解决方案的设计亮点5.1高性能的IPv6和IPv4无线接入IPv6作为下一代互联网的支撑技术对于处于科研前沿的高校而言至关重要，思科是业界最早支持IPv6的无线接入，并且无线控制单元与核心交换机一体化设计，利用核心交换机超大容量的背板和转发能力，保证交换无瓶颈，为用户提供高性能的无线网络解决方案。思科无线控制器是业界最高性能的无线控制器之一，在设计初始即为所有的AP预留了足够的带宽，保证无线控制器不成为整个无线网的性能瓶颈。以6509上的WISM模块为例，WISM到背板的带宽高达8Gbps，可以同时支持300个AP。假设每个AP下20个用户同时使用网络（中度负荷），则每个用户可以得到8G/300/20=1.33M的背板带宽保证。虽然价格贵一些，但还是业界性价比非常好的一款无线控制器。一个6509可以插最多5个WISM模块，也就是说在同时支持1500个AP的情况下，我们可以保证每个用户可以拿到1.33M的背板带宽保证，保证了用户的合理性能要求并提供了巨大的网络扩展空间5.2基于个人用户的运营管理思科“瘦AP”集中化解决方案具有运营级的网络管理能力，可以提供灵活一体化的认证、计费、管理等解决方案适于基于个人用户的运营管理，便于高校用户根据不同人员群体制定不同的安全策略（如认证方式、加密算法、访问权限等）、服务质量级别（如转发优先级等）、以及日志管理和计费。5.3支持数据、语音等多种业务，有其它智能业务扩展能力思科高校无线网络解决方案在支持数据转发的同时，真正为语音业务优化的无线设计，包括：一体化的IP电话解决方案，辅助客户端省电，语音不中断安全漫游。为学校提供内部话音的无缝覆盖，方便教师和学员的工作和学习，可以极大提高学校办公效率和教学质量。86 为保证无线话音的质量，思科无线网络具有良好的QoS控制机制，可以根据不同的策略实现不同的优先级，保证话音等时间敏感应用的传输质量；同时思科无线解决方案支持无线话音呼叫控制手段，保证呼叫连接建立的有效带宽。思科无线网络解决方案还支持其他智能业务的扩展，如支持精准的无线物理定位、无线视频等。5.4满足校园特点的安全和可靠性思科校园无线网络的解决方案支持高校多级别、多种类、多级的认证方式和加密技术，具体如下：·支持精确的无线入侵、射频干扰、非法AP定位和隔离，保证高校无线网络免受无线类的安全攻击·冗余的中央服务控制保证校园复杂接入环境的安全无线接入，通过提供N+1的冗余控制器架构，为高校提供可靠的无线接入网络·独特的访客隔离机制，保证跨校园漫游用户与校园网用户的隔离。将访客和校园网络完全逻辑隔离，在允许访客跨校园漫游访问互联网的同时保证高校网络的相对安全·同时支持端到端的网络可靠性保证技术：o无线射频功率的自动控制，实现无线接入覆盖的故障自动恢复和用户接入负载均衡o无线控制器的冗余，保证无线接入点AP的接入冗余o思科强大的有线网络的可靠性技术保证5.5满足生产、运营网络要求的运维和管理校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理思科无线网络采用一体化集中式架构，室内、室外、Mesh系统一体化控制：所有AP均工作在同一Controller群组（cluster）管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制并且思科支持可分级的一体化网络管理系统：有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。5.6支持用户全网漫游校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证IP地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。86 思科无线网络解决方案支持用户跨AP、跨无线控制器无缝快速漫游，支持用户跨2层网络和3层网络无缝快速漫游。5.7灵活部署、易于扩展、高性价比思科集中化无线网络解决方案支持无线接入点的即插即用功能，方便校园网络的部署和未来维护，具有良好的性价比。1.思科校园无线网络解决方案产品介绍6.1CiscoAironet系列接入点随着WLAN部署范围的不断扩大，安全性、可扩展性、可靠性、部署方便性和可管理性正在变得越来越重要。思科提供了一组全面的接入点产品，它们可以为业务就绪型无线局域网提供企业级的功能。概述接入点是思科Ò统一无线网络的重要组成部分。思科的单频和双频接入点针对办公室和类似环境，具有挑战性的无线射频（RF）环境，以及室外环境进行了特殊的设计。这些设备包含两个版本――86 与思科无线局域网控制器和无线控制系统（WCS）配合使用的轻型操作版本和与CiscoWorks无线局域网解决方案引擎（WLSE）配合的自主操作版本。与WLSE搭配的自主接入点可以提供一组核心功能，并可以在现场升级到轻型操作版本和更加高级的功能集。要为特定的应用选择最佳的产品，客户必须了解不同的CiscoAironetÒ接入点的特性和优点。本解决方案概述将详细介绍CiscoAironet无线接入点系列中的所有设备的功能。管理机制随着无线局域网所起的作用越来越关键，以及它的范围和功能的不断扩展，管理无线部署的方式也必须随之改进。因为每个客户和每个部署任务都有所不同，思科为满足客户的各种独特需求提供了不同的功能集和管理机制。思科提供了一个核心功能集，其中包括自主接入点和CiscoWorksWLSE管理设备。核心功能集提供了每个企业部署所需要的基本功能。核心功能包括：通过支持802.11i/Wi-Fi受保护连接（WPA2）建立安全连接；快速、安全的第二层漫游；与多种第三方应用和产品的接口。大部分思科接入点都包含了用于自主操作的版本。这些设备可以在现场升级到轻型操作模式，从而让客户轻松地从核心功能升级到高级功能。思科高级无线局域网功能集是由轻型接入点、无线局域网控制器和无线控制系统（WCS）管理应用提供的。高级功能集提供了业界最全面的功能，包括访客接入、无线入侵检测、可扩展第三层移动和可用定位服务。大部分CiscoAironet接入点都包含用于轻型操作的版本。部署环境无线局域网正在越来越多的环境中得到广泛的应用，包括办公室、学校、工厂和仓库等――甚至在室外环境中。与此同时，无线行业正在从低容量的单频设备过渡到高容量的双频解决方案。CiscoAironet系列接入点可以满足这些不同的应用需求，提供：·单频和双频接入点·为室内和室外部署而设计的设备86 ·为覆盖整个企业的部署提供统一的硬件功能集和可预测的RF性能随着WLAN部署扩展到更多的应用和安装环境，客户需要不同种类的接入点来满足相关的容量、覆盖范围和环境要求。思科不仅提供了最高支持54Mbps容量的单频802.11g接入点，还提供了最高支持108Mbps综合网络容量的802.11g和802.11a双频接入点。思科产品系列包括针对办公室和类似机构（例如医院和零售环境）、具有挑战性的RF环境（例如工厂和仓库）和室外环境设计的接入点。这些设备可以安装在桌面、墙上、天花板下方、天花板上方和挂杆顶部。尽管不同应用的需求各不相同，但是思科深知所有企业客户都需要严密的网络安全、可扩展的管理能力和一系列不断改进的网络服务。因此，所有CiscoAironet接入点――无论采用什么样的外型和容量，以及工作在轻型模式还是自主模式下――都支持思科统一无线网络，这是一个用于集成有线和无线网络的框架，可以在有线和无线网络上提供符合企业需要的安全性、可管理性和服务。解决方案满足功能需求随着无线局域网的用途从基本的传输发展到大量的事务处理应用，无线局域网用户和管理员对功能的期望也在不断提高。但是，这种发展趋势对于不同的细分市场和不同的客户来说都具有不同的特点。因此，思科必须针对不同的客户需求，提供不同的功能集。因为客户需求会在一个无线局域网部署的生命周期内发生变化，思科还需要为客户提供一种手段，让其可以在最大限度地降低对网络运营的影响的情况下，平稳地升级已有产品的功能集。86 思科的高级无线局域网功能集可以提供大部分企业部署所需要的功能。但是有些部署可能并不需要这些高级功能。为了满足这些不断变化的需求，客户可以选择用于轻型操作的、预配置了高级功能集的接入点，或者在现场将自主接入点升级到轻型操作模式。在思科的帮助下，客户可以在合适的时候选择最合适的功能集。表１显示了不同的CiscoAironet接入点的操作功能。表1CiscoAironet接入点的操作功能思科产品系列自主操作轻型操作1130AG系列支持支持1240AG系列支持支持1300系列支持支持1500系列不支持支持满足容量需求在短短几年中，WLAN就已经从容量不到1Mbps的专用系统发展成为综合数据速率可达108Mbps的标准化系统。如此高的数据传输速率是在2.4GHz频段（借助802.11g技术）和5GHz频段（借助802.11a技术）提供的。802.11g可以向后兼容802.11b设备，但是会受到2.4GHz频段中只允许三个非重叠信道的限制。802.11a不能向后兼容，但是可以支持23个信道（具体数量取决于当地法规的要求）。为了同时提供向后兼容性和高容量，WLAN客户端制造商正在逐步转向支持802.11a/g的双频客户端设备。2006年，802.11a/g设备将成为嵌入式市场和配件市场的主流客户端适配器，可用于笔记本电脑、台式机甚至PDA。随着时间的发展，几乎所有的WLAN客户端设备都将具备双频支持能力，其中包括针对特定应用的设备，例如语音电话、条码扫描仪和射频识别（RFID）扫描设备。如果客户目前面临着容量问题，或者预计将在基础设施设备的使用期间遇到容量问题，就需要部署一个能够充分利用客户端的扩展功能的基础设施。随着无线设备的迅速增多，几乎所有的WLAN安装项目都面临着更高的容量需求。对于其中的大部分应用，支持802.11a和802.11g的接入点都可以提供更高的长期价值，特别是在它们的价格与单频设备相差无几的情况下。对于少量不会在近期遇到容量问题的应用，客户可以选择单频接入点。表2列出了支持802.11a、802.11b和802.11g的思科接入点。86 表2支持802.11a/b/g的CiscoAironet接入点思科产品系列802.11b802.11g802.11a1130AG系列支持支持支持1240AG系列支持支持支持1300系列支持支持不支持1500系列支持支持支持办公室接入点CiscoAironet1130AG系列IEEE802.11a/b/g接入点该系列汇集了很高的容量、安全性和出色的企业级功能，能够以较低的拥有成本提供无线局域网接入。该设备包含轻型操作版本和自主版本，后者可以现场升级到轻型操作版本。通过对轻型和自主操作的支持，客户可以享受到一个通用的硬件平台的简便性和高效率――即使在采用轻型和自主操作的混合部署时也是如此。这款非插入式自主接入点进行了独特的设计，可为办公室和类似的RF环境提供无线局域网覆盖范围，它利用集成天线和双IEEE802.11a/g频段提供强大、可预测的无线覆盖范围，以及高达108Mbps的综合容量。该产品配备了所有必要的安装硬件，可以提供一个既安全，又符合临时性办公环境需要的安装方式。安装支架可以固定接入点和以太网及控制台线缆，防止失窃和改动。CiscoAironet1130AG系列非常便于安装和管理，可以降低部署和后期维护成本。如需了解更多信息，请访问http://www.cisco.com/en/US/products/ps6087/products_data_sheet0900aecd801b9058.html。用于具有挑战性的RF环境的室内接入点CiscoAironet1240AG系列IEEE802.11a/b/g接入点86 该系列可以在具有挑战性的RF环境（例如仓库、工厂和零售商店）提供必要的多功能性、高容量、安全性和企业级功能。该设备包含轻型操作版本和自主版本，后者可以现场升级到轻型操作版本。通过对轻型和自主操作的支持，客户可以享受到一个通用的硬件平台的简便性和高效率――即使在采用轻型和自主操作的混合部署时也是如此。CiscoAironet1240AG系列为在需要特殊的外部天线的恶劣环境中进行了专门的设计，可以为2.4和5GHz频带提供分集式天线连接器，以提供扩大的覆盖范围、多样化的网络接入和更加灵活的安装选项。CiscoAironet1240AG系列接入点将这种多功能性和针对多路径环境的、业界领先的发射功率、接收灵敏度和延时范围相结合，可以在最恶劣的条件下提供可靠的性能和吞吐率。作为第二代双频接入点，CiscoAironet1240AG系列支持IEEE802.3af以太网供电（PoE）。该产品配有所有必要的安装硬件，可以提供安全、可靠的安装方式。安装支架可以固定接入点和以太网及控制台线缆，防止失窃和改动。如需了解更多信息，请访问：http://www.cisco.com/en/US/products/ps6521/products_data_sheet0900aecd8031c844.html。CiscoAironet1200系列接入点该系列可以提供工业级无线局域网客户在单频802.11g解决方案中需要的多功能性、高容量、安全性和企业级功能。这个模块化设备能通过添加一个基于CardBus的802.11a升级模块，灵活地现场升级到双频802.11a/g网络。此升级模块可以方便地安装到原先用于802.11g的CiscoAironet1200系列接入点中。CiscoAironet1230AG系列接入点CiscoAironet1230AG系列接入点是1200系列的一个经过预先配置的双频版本，可以支持802.11a和802.11g。但是，这个第一代双频设备不能提供像1240AG系列一样高的性能和对802.3afPoE的支持。如需了解更多信息，请访问：·CiscoAironet1200系列产品简介：http://www.cisco.com/en/US/products/hw/wireless/ps430/products_data_sheet09186a00800937a6.html·CiscoAironet1230AG产品简介：86 http://www.cisco.com/en/US/products/ps6108/products_data_sheet0900aecd801b9068.htmlCiscoAironet1000系列IEEE802.11a/b/g轻型接入点1020和1030这些产品可以通过完全自动化的配置和管理，提供802.11a/b/g无线局域网接入。它为2.4GHz操作提供了分集式天线连接器，为5GHz频段提供了一个非分集式连接器。CiscoAironet1020只能作为轻型接入点使用，不支持自主操作。该设备无法提供与CiscoAironet1230AG系列和1240AG系列相同的、扩大的工作温度范围，而且需要额外的安装硬件。它不能像1230AG系列和1240AG系列一样防止盗窃和改动。因为CiscoAironet1020只支持轻型操作，所以采用轻型和自主操作混合的部署将无法使用一个统一的、标准的硬件平台。CiscoAironet1030轻型接入点是1020的一个版本，具有允许从某个无线局域网控制器远程部署设备的软件功能。这种独特的功能使得1030适用于不便于（或者成本过高）在本地放置一台无线局域网控制器的小型分支机构环境。如需了解更多关于CiscoAironet1020和1030轻型接入点的信息，请访问：http://www.cisco.com/en/US/products/ps6306/products_data_sheet0900aecd8025708a.html室外接入点/网桥CiscoAironet1300系列IEEE802.11g无线室外接入点/网桥提供自主接入点、无线网桥和工作组网络网桥功能，以及增强的WLAN安全性。这个坚固耐用的平台能够在多个固定的或者移动的网络和客户端之间建立高速、经济的无线连接，因而适于为室外场所提供公共接入，在园区中提供网络连接，或者为移动网络和用户提供室外基础设施。专门为恶劣的室外环境而设计的CiscoAironet1300系列适用于需要室外网络覆盖的WLAN。CicsoAironet1300系列只包含自主操作版本。如需了解更多信息，请访问：86 http://www.cisco.com/en/US/products/ps5861/products_data_sheet09186a00802252e1.html。CiscoAironet1500系列轻型室外网格接入点CiscoAironet1500系列支持经济有效、便于扩展的安全室外无线局域网。CiscoAironet1500同时双频支持IEEE802.11a和802.11b/g标准，采用了即将荣获专利的自适应无线路径协议，可在远程接入点间构成一个灵活的无线网格网络，并向兼容Wi-Fi的客户端提供安全的无线接入。如需了解更多关于CiscoAironet1500系列轻型室外网格接入点的信息，请访问：http://www.cisco.com/en/US/products/ps6548/index.html接入点的特性和优点表3列出了适用于不同环境的CiscoAironet接入点。表3适用于不同环境的CiscoAironet接入点思科产品系列办公室和类似环境具有挑战性的室内RF环境室外1130AG系列理想不推荐不推荐1240AG系列推荐***理想推荐****1300系列不推荐不推荐理想**1500系列不推荐不推荐理想**只适用于轻型部署**只适用于自主部署***特别适于部署在吊顶上方****在装于一个防风雨的NEMA标准机箱中时，可以在室外部署表4对CiscoAironet接入点系列进行了全面总结。86 表4CiscoAironet接入点产品特性/优点用于办公室和类似环境的接入点CiscoAironet1130AG系列接入点双频轻型或者自主接入点，具有集成天线，便于部署在办公室和类似的RF环境中·两个高性能的IEEE802.11a和802.11g无线收发设备，可以提供高达108Mbps的容量·2.4和5GHz集成化分集式全向天线可以在不使用外置天线的情况下方便地部署·包含轻型操作版本和自主操作版本，后者可以现场升级到轻型操作版本·简洁的塑料外壳·32MB内存和16MB存储·工作温度范围：32到104°F(0到40°C)·馈线电源支持（思科预标准和802.3af）·用于管理的控制台端口·支持思科自防御网络、NAC、WPA和802.11i/WPA2·集成化的、安全的安装系统·符合UL2043标准，可以安装在高压场所用于具有挑战性的室内RF环境的接入点CiscoAironet1240AG系列接入点第二代双频轻型或者自主接入点，具有两个分集式天线连接器，适用于具有挑战性的RF环境·两个高性能的IEEE802.11a和802.11g无线收发设备，可以提供高达108Mbps的容量·2.4和5GHz双分集式RP-TNC天线连接器，支持外置天线·包含轻型操作版本和自主操作版本，后者可以现场升级到轻型操作版本·坚固耐用的金属外壳·32MB内存和16MB存储·工作温度范围：-4到131°F(-20到55°C)·馈线电源支持（思科预标准和802.3af）·用于管理的控制台端口·支持思科自防御网络、NAC、WPA和802.11i/WPA286 ·集成化的、安全的安装系统·符合UL2043标准，可以安装在高压场所CiscoAironet1300系列室外接入点/网桥单频自主接入点和无线网桥，具有一个符合NEMA-4的外壳，适于安装在室外场所·一个802.11g无线收发设备，可以提供54Mbps的容量·2.4GHz双分集式RP-TNC天线连接器，支持外置天线·可以配置为自主接入点、无线网桥或者工作组网桥·支持点对点和点对多点配置·符合NEMA-4标准的防风雨外壳·集成化的或者可选的外置天线，有助于提高部署灵活性·16MB内存和8MB存储·工作温度范围：-22到131°F(-30到55°C)·馈线电源支持（思科预标准）·用于管理的控制台端口·支持思科自防御网络、NAC、WPA和802.11i/WPA2·集成化的、安全的安装系统·符合UL2043标准，可以安装在高压场所·集成化的或者可选的外置天线，有助于提高部署灵活性CiscoAironet1500系列轻型室外网格接入点轻型室外网格接入点，可经济有效、便于扩展地部署安全室外无线局域网。·两个802.11a/g无线收发设备，最高支持54Mbps·802.11b/g用于接入，802.11a用于回程·支持点对点或点对多点配置和网格架构配置·即将荣获专利的自适应无线路径协议，可提供智能无线路由功能·符合NEMA-4标准的防风雨外壳·工作温度范围：-22到131°F(-30到55°C)·支持思科自防御网络、NAC、WPA和802.11i/WPA286 架构双频接入点可以提供最大限度的容量、可扩展性和投资保护CiscoAironet1000系列轻型接入点和CiscoAironet1130AG、1230AG、1240AG系列接入点都为保护当前的和未来的网络基础设施投资进行了独特的设计。802.11a无线收发设备支持最高54Mbps的数据传输速率和12个非重叠5GHz信道，因而能够提供出色的性能和最大限度的容量、可扩展性。802.11g无线收发设备则可以在2.4GHz频段支持最高54Mbps的数据传输速率。在使用802.11g无线收发设备时，接入点可设置为只支持802.11g客户端和高带宽应用；或者，为了加强投资保护，将其设置为支持802.11g和传统的802.11b客户端。思科统一无线网络CiscoAironet接入点是思科统一无线网络的重要组成部分。思科统一无线网络可以经济有效地解决企业面临的无线局域网安全、部署、管理和控制问题。这个框架集成并扩展了有线和无线网络，能够以最低的总拥有成本提供可扩展、便于管理、安全的无线局域网。它可以为无线局域网提供与有线局域网相同的安全性、可扩展性、可靠性、部署方便性和可管理性。它包含了创新的RF技术功能，可以实现对核心业务应用的实时访问和提供企业级的安全连接。利用思科统一无线网络，无线和有线网络的最佳组成部分可以整合到一起，以一种安全、可靠的方式为企业提供移动能力。思科统一无线网络的灵活性让网络管理人员可以设计符合他们特殊需求的网络――无论是部署高度集成化的网络设计还是简单的重叠网络。如需了解更多关于思科统一无线网络的信息，请访问：http://www.cisco.com/go/unifiedwireless。如需查阅思科统一无线网络手册，请访问：86 http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_brochure09186a0080184925.html。图1显示了一个典型的轻型接入点部署结构。图2显示了一个典型的自主接入点部署结构。图1轻型接入点部署结构86 图2自主接入点的部署结构6.2思科无线局域网控制器Cisco2000系列无线局域网控制器86 Cisco4400系列无线局域网控制器产品简介思科无线局域网控制器适用于企业和电信运营商无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与思科轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到位置跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT管理员能构建从分支机构到户外园区的安全、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业和电信运营商网络中。它们使用轻型接入点协议（LWAPP），与思科轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信（图2）。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营。图.集中型无线局域网86 思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统，创建和实施策略。多个WLAN控制器可自动相互发现，并在它们之间无缝协调WLAN服务。以这种方式，思科无线局域网控制器可作为单一无缝系统运行，提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到位置跟踪，思科无线局域网控制器提供了必要的控制能力、可扩展性和可靠性，以便IT管理员能构建安全的大型无线网络。灵活的部署选项思科系统公司提供了几种无线局域网控制器，适用于不同的企业部署情况。这其中包括Cisco2000系列和4400系列。Cisco2000系列为中小型企业环境提供了思科屡获大奖的无线局域网服务。它可支持多达6个轻型接入点，是用于小型楼宇的经济有效的解决方案。凭借集成动态主机控制协议(DHCP)服务和自动接入点配置，Cisco2000系列也适用于现场IT支持有限的环境，如分散型企业中的分支机构。Cisco4400系列无线局域网控制器适用于大中型机构，有两个型号—带2个千兆以太网端口，其配置可支持12、25和50个接入点的4402，以及带4个千兆以太网端口，支持100个接入点的4404。4402具有1个扩展插槽，4404具有2个扩展插槽，可用于现在添加VPN终结等功能，并在将来添加增强功能。此外，每个4400WLAN控制器均支持一个可选冗余电源，以确保最高可用性。无线局域网控制器也适用于CiscoCatalyst6500和集成多业务路由器。智能RF管理所有思科WLAN控制器都配备了用于自适应实时RF（无线电射频）管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式，为无线网络创建最优拓扑。图.覆盖整个企业的RF智能86 思科无线局域网控制器所管理的特定智能RF功能包括：·动态信道分配—802.11信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。·干扰检测和避免—该系统可检测干扰并重新调整网络，以避免性能问题。·负载均衡—此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，也能获得最优网络性能。·覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。·动态功率控制—该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可用性。严格的安全性思科无线局域网控制器符合最严格的安全标准，包括：·802.11iWi-FiWPA2，WPA和有线等效加密(WEP)·802.1X，带多种可扩展验证协议(EAP)类型—受保护EAP(PEAP)86 ，带传输层安全的EAP(EAP-TLS)，带隧道化TLS的EAP(EAP-TTLS)，EAP-FAST,EAP-SIM和思科LEAP·VPN终结—4400系列的可选模块，提供IP安全(IPSec)VPN终结因此，它堪称业界最全面的无线局域网安全解决方案。在思科无线局域网架构中，接入点可作为无线监控器，向无线局域网控制器通报有关无线域的实时信息。经由思科WCS，可迅速识别所有安全威胁，并将其提交给网络管理员，从而进行准确分析并采取校正措施。思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护，无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署，再在稍后重新配置，添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”，抑制未授权无线活动，直至他们作好部署无线局域网服务的准备为止。思科通过提供以下多个保护层来实现无线局域网安全：·RF安全—检测和避免802.11干扰和消除不必要的RF传播·无线局域网入侵防御和定位—思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁，而且能对这些设备定位。这使系统管理员能快速评估威胁级别，立即按需采取措施来抵御威胁。·基于身份的联网—IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。这其中包括：-第二层安全功能—802.1x(PEAP,TLS，TTLS，FAST，SIM，LEAP),WPA,802.11i(WPA2)-第三层（和更高层次）的安全功能—IPSec,web验证-VLAN分配-访问控制列表（ACL）—IP限制，协议类型，端口和差分服务代码点86 (DSCP)数值-QoS—多个服务级别，带宽减少，流量整形和RF利用-验证、授权和记帐(AAA)/RADIUS—用户连接策略和权限管理·网络准入控制(NAC)—实施客户端配置和行为策略，以确保只有拥有适当安全工具的终端用户设备才能访问网络。·安全移动—在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN，无需重新建立安全隧道。此外，思科已开发了主动密钥缓存(PKC)，这是802.11i标准的扩展、802.11r标准的前身，可通过AES加密和RADIUS验证实现安全漫游。·访客隧道—为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙，就无法接入公司网络。·安全回程——加密无线回程链路（无线网状网络）上的数据流量，以提供更高安全性。86 图.多层无线局域网保护实时应用支持思科无线局域网系统提供最佳性能来支持语音等实时应用。思科无线局域网控制器可支持客户端在接入点和多个控制器间迅速切换，在不干扰客户端服务的情况下平稳移动。智能的队列和争用管理机制可高效管理无线频谱空间。此外，思科无线局域网控制器在使用802.11i安全时，支持PKC，可提供实时性能和移动性。思科也支持兼容Wi-Fi多媒体(WMM)的QoS功能。移动性思科无线局域网控制器使用户可跨越接入点、交换机，甚或路由子网，在室内和室外环境之中或之间漫游。无论用户漫游到何处，安全和QoS上下文信息都一直跟随着用户，以确保移动不会影响性能、可靠性或保密性。思科无线局域网控制器无需对现有基础设施或客户端设备作任何修改，即可实现移动性（如移动IP）。因此，思科无线局域网系统易于部署，其拥有和运营均经济高效。可靠性思科为关键任务型无线网络提供了最高水平的可靠性。在接入点发生故障时，无线局域网控制器可自动调整邻近接入点的功率，以覆盖故障接入点原来提供服务的区域。在单个控制器发生故障时，接入点可自动找到一个备用无线局域网控制器，来继续提供无线服务。思科无线局域网控制器能以N+1冗余拓扑部署，使企业在扩展其无线网络的同时，确信他们不会发生硬件和软件问题。只有思科86 无线局域网解决方案能使用户不必降低可靠性，即能控制无线部署的成本。Cisco4400系列支持冗余电源，确保即使发生了电源故障，也可保持系统运行。特性和优点表1列出了思科无线局域网控制器的特性和优点。特性优点可扩展性可扩展架构为各种规模的地点提供了关键业务型无线服务。集成无线资源管理(RRM)创建了一个智能RF控制平面，可实现自配置、自行恢复和自优化。零配置部署无需修改现有路由和交换基础设施，也无需配置接入点，即可部署系统。多层安全灵活的安全策略可根据不断变化的公司安全需求而调整。入侵检测、定位和抑制集成无线入侵保护可保持无线网络和敏感公司信息的完整性。移动管理无需特殊客户端软件的子网间漫游，使设备管理极为方便；不对核心路由基础设施作任何修改，使漫游简单易行。可靠性可从轻型接入点和无线局域网控制器故障中自动恢复，实现了无线网络的最高可靠性。直观的管理界面更好地了解和控制无线空间，可降低运营成本。总结思科无线局域网控制器适用于企业和电信运营商的无线局域网86 部署。它简化了无线网络的部署和运营，有助于确保平稳的性能、增强安全性和最高网络可靠性。思科无线局域网控制器可管理园区环境和分支机构地点中所有的思科轻型接入点，消除了复杂性，并使网络管理员能更好地了解和控制其无线局域网。产品规格表2列出了Cisco2000系列和4400系列无线局域网控制器的产品规格。项目规格无线IEEE802.11a,802.11b,802.11g,802.11d,802.11h有线/交换2000系列：·IEEE802.310BASE-T,IEEE802.3u100BASE-TX规格和IEEE802.1QVLAN标记4400系列:·IEEE802.310BASE-T,IEEE802.3u100BASE-TX规格,IEEE802.1QVLAN标记和IEEE802.1D生成树协议数据RFC·RFC768UDP·RFC791IP·RFC792ICMP·RFC793TCP·RFC826ARP·RFC1122对互联网主机的要求·RFC1519CIDR·RFC1542BOOTP·RFC2131DHCP安全标准2000系列：·Wi-Fi受保护接入(WPA)·IEEE802.11i(WPA2,RSN)·RFC1321MD5消息摘要算法86 ·RFC2104HMAC:用于消息验证的密钥散列·RFC2246TLS协议1.0·RFC3280X.509PKI证书和CRL简况4400系列:·WPA·IEEE802.11i(WPA2,RSN)·RFC1321MD5消息摘要算法·RFC1851ESP三重DES转换·RFC2104HMAC:用于消息验证的密钥散列·RFC2246TLS协议1.0·RFC2401用于互联网协议的安全架构·RFC2403ESP和AH中的HMAC-MD5-96·RFC2404ESP和AH中的HMAC-SHA-1-96·RFC2405ESPDES-CBC密码算法，带ExplicitIV·RFC2406IPSec·RFC2407ISAKMP解释·RFC2408ISAKMP·RFC2409IKE·RFC2451ESPCBC模式密码算法·RFC3280互联网X.509PKI证书和CRL简况·RFC3602AES-CBC密码算法和其与IPSec的共同使用·RFC3686使用带IPSecESP的AES反向模式86 加密2000系列：·WEP和TKIP-MIC:RC440,104和128位(静态和共享密钥)·SSL和TLS:RC4128位以及RSA1024和2048位·AES:CCM,CCMP4400系列：·WEP和TKIP-MIC:RC440,104和128位(静态和共享密钥)·SSL和TLS:RC4128位以及RSA1024和2048位·AES:CCM,CCMP·IPSec:DES-CBC,3DES,AES-CBCAAA·IEEE802.1X·RFC2548Microsoft厂商特定RADIUS属性·RFC2716PPPEAP-TLS·RFC2865RADIUS验证·RFC2866RADIUS记帐·RFC2867RADIUS隧道记帐·RFC2869RADIUS扩展·RFC3576动态授权扩展到RADIUS·RFC3579对EAP的RADIUS支持·RFC3580IEEE802.1XRADIUS指南·RFC3748可扩展验证协议·基于Web的验证管理·SNMPv1,v2c,v3·RFC854Telnet86 ·RFC1155针对基于TCP/IP的互联网的管理信息·RFC1156MIB·RFC1157SNMP·RFC1213SNMPMIBII·RFC1350TFTP·RFC1643以太网MIB·RFC2030SNTP·RFC2616HTTP·RFC2665以太网型接口类型MIB·RFC2674通过流量类别、组播过滤和虚拟LAN扩展来定义网桥的可管理对象·RFC2819RMONMIB·RFC2863接口组MIB·RFC3164系统日志·RFC3414用于SNMPv3的USM·RFC3418用于SNMP的MIB·RFC3636定义用于IEEE802.3MAU的可管理对象·思科专用MIB管理接口·基于Web:HTTP/HTTPS·命令行接口:Telnet,SSH,串行端口接口和指示灯2000系列：·控制台端口:RS-232(DB-9凸式,DTE接口)·网络:4个10/100Mbps以太网接口(RJ-45)-LED指示灯：连接，活动其他指示灯:电源86 4400系列：·上行链路:2(4402)或4(4404)个1000Base-X收发器插槽-LED指示灯：连接，活动·服务端口:10/100Mbps以太网接口(RJ45)-LED指示灯：连接，活动·应用端口:10/100/1000Mbps以太网接口(RJ45)-LED指示灯：连接，活动·扩展插槽:1(4402)或2(4404)个·控制台端口:RS232(DB-9凸式,DTE接口)·其他指示灯：状态，报警，电源1，电源2物理和环境参数2000系列：·尺寸(WxDxH):9.5x6.0x1.6in.(241x152x41mm)·重量:2.45lb(1.11kg)·温度:-工作温度:32－104°F(0－40°C)-存储温度:–13－158°F(–25－70°C)·湿度:-工作湿度:10－95％，非冷凝-存储湿度:最高95％·电源适配器:-输入功率:100－240VAC;50/60Hz-输出功率:+5V@3A;+12V@1A;27W-热耗散：92BTU/小时86 4400系列：·尺寸(WxDxH):17.45x15.75x1.75in.(443x400x44.5mm)·重量:15.3lb(6.95kg)，带2个电源·温度:-工作温度:32－104°F(0－40°C)-存储温度:–13－158°F(–25－70°C)·湿度:-工作湿度:10－95%,非冷凝-存储湿度:最高95%·输入功率:100－240VAC;50/60Hz;0.43A@110VAC,0.23A@220VAC;50W。提供冗余电源选项。·热耗散：171BTU/小时法规符合性2000系列：·CE标记·安全:-UL60950-1:2003-EN60950:2000·EMI和易感性(ClassB):-美国:FCCPart15.107和15.109-加拿大:ICES-003-日本:VCCI-欧洲:EN55022,EN550244400系列：·CE标记86 ·安全:-UL60950-1:2003-EN60950:2000·EMI和易感性(ClassA):-美国:FCCPart15.107和15.109-加拿大:ICES-003-日本:VCCI-欧洲:EN55022,EN550246.3CiscoCatalyst6500系列无线服务模块产品概述Cisco®Catalyst®6500无线服务模块（WiSM）提供空前的安全性、移动性、冗余，并且可以很容易的用于企业关键无线局域网（WLAN）。它让企业级的WLAN可以使用最安全的无线系统进行信息传递。AsaCiscoCatalyst6500系列模块，传递集中的安全策略、无线入侵防御系统（IPS）功能、得奖的RF管理，服务质量（QoS）和WLAN的3层快速安全漫游。说到Cisco整合的无线网络的关键组件，CiscoWiSM86 提供了网络管理员升级时所需的控制、安全、冗余和可靠性，同时让他们象升级一样轻松的管理无线网络和管理传统的有线网络。CiscoWism是Cisco无线局域网控制器系列的成员之一。它和CiscoAironet®轻型接入点一起工作，Cisco无线控制系统（WCS）和Cisco无线定位设备共同支持任务关键的无线数据、语音和视频应用。它在轻型接入点和其他WLAN控制器之间提供实时通信以提供一个安全而又统一的解决方案。CiscoWiSM能被简单的整合到现有的CiscoCatalyst6500系列企业网络中。它使用最新的轻型接入点协议（LWAPP）标准在接入点和模块之间通过3层网络建立安全连接。此协议让对于节省成本的WLAN操作非常重要的WLAN配置和管理功能可以自动进行。有了这个用于大型无线网络的方法，客户可以通过简单的支持成本大大降低总拥有成本并减少可预见的和预料之外的网络故障时间。CiscoWiSM级用于为校园的主要部分、分支部分和远程部分传递安全的企业无线访问。它设计用于中大型的企业设备，具有每个漫游域能容纳3600各轻型接入点的群集。每个模块能升级到支持300个轻型接入点，支持10000台以上的无线客户端设备。为了达到更高的可升级性，CiscoWiSM还可以与其他Cisco无线局域网控制器共同部署CiscoWiSM级用于为校园的主要部分、分支部分和远程部分传递安全的企业无线访问。它设计用于中大型的企业设备，具有每个漫游域能容纳3600各轻型接入点的群集。每个模块能升级到支持300个轻型接入点，支持10000台以上的无线客户端设备。为了达到更高的可升级性，CiscoWiSM还可以与其他Cisco无线局域网控制器共同部署（图2）。86 图2整合了CiscoWiSM的无线局域网CiscoWiSM让企业可以创建和强制执行支持企业关键应用的策略。对于定位跟踪的语音和数据服务，CiscoWiSM提供控制性、可升级性和可靠性，IT管理员需要利用这些特性来建立安全的、企业级的802.11无线网络。CiscoCatalyst6500系列智能网络服务CiscoWiSM将CiscoCatalyst6500系列丰富的智能网络服务扩展到了无线边缘。作为被广泛部署的系列的整合部分，CiscoWiSM使用全部CiscoCatalyst6500系列硬件和基于软件的智能交换服务。它支持与整合了Catalyst6500系列的服务模块之间的互操作，如防火墙服务模块（FWSM）、入侵检测服务模块（IDSM）、网络分析模块（NAM）和IPSecVPN服务模块（VPNSM）。86 企业级的可靠性Cisco为任务关键的无线网络传递最高级别的可靠性。在接入点故障的事件中，CiscoWiSM自动调节邻近轻型接入点的功率，以便覆盖故障接入点提供服务的区域。在单个CiscoWiSM发生故障的事件中，接入点自动在同一台Catalyst6500交换机上或任何其他启用了CiscoLWAPP的平台上找到备份CiscoWiSM。可以将多个CiscoWiSM配置为一个系统一起工作，以便提供具有几万台客户端设备的可升级WLAN网络。多个冗余选项CiscoCatalyst6500Series丰富的高可用性设置和网络弹性功能可以通过CiscoWiSM扩展到无线用户。CiscoCatalyst6500系列SupervisorEngine720的3层状态化切换（SSO）和CiscoWiSM的自动故障转移功能结合在一起能够使网络的无线通信正常工作时间达到最大。通过应用CiscoWiSM，IT管理员可以尽量减少由于将多个CiscoWiSM集合而造成的潜在无线损耗的影响。当把CiscoWiSM部署在网络层以下时，这样就可以减小故障域的大小。CiscoWiSM支持N+1和1:1的冗余拓扑，让企业可以升级无线网络并保护它们不会出现硬件和软件的损坏。N+1冗余支持节省成本的WLAN部署的单一模块故障冗余。1:1冗余支持网络中每个激活的CiscoWiSM的完全冗余。只有Cisco的WLAN解决方案可以让用户控制无线网络部署的成本而无需降低可靠性。智能RF管理CiscoWiSM装备了适用于实时RF管理的嵌入式软件。CiscoWLAN解决方案使用Cisco正在申请专利的无线资源管理（RRM）算法，它可以实时检测和适应无线网络空间中出现的变化。这些调整在许多相同的路由协议计算IP86 网络的最佳拓扑的方法中创建了无线网络的最佳拓扑。CiscoRMM为WLAN的自我配置、自我恢复和自我优化创建了智能的RF控制平台（图3）。图3企业范围内的RF智能管理CiscoWCS基于浏览器的远程控制台第三方集成的应用：E911、资源跟踪、ERP、工作流程自动化管理平台控制平台数据平台Cisco无线控制系统（WCS）Cisco无线定位装置发送功率干扰检测/避免欺诈检测/防止泄漏系统无线资源管理软件用户负载管理自动频道管理覆盖漏洞管理移动管理RF域Catalyst6500系列Wism带WLAN的Cisco2800/3700/3800控制器模块网状网络接入点中小型办公室远程办公室室外环境CiscoCatalyst3750G集成的无线局域网控制器大型分公司CiscoWiSM特定的智能RF功能管理包括：l动态频道分配—对802.11频道进行调整以优化网络覆盖范围和基于RF条件变化的性能。l检测和抗干扰—系统将检测干扰并重新调整网络以避免性能问题。86 l负载平衡—系统为跨越多个接入点的用户提供自动的负载平衡以达到最佳网络性能，即使在负载较大的情况下。l覆盖漏洞检测和修复—RMM软件检测覆盖漏洞并尝试通过调整接入点的输出功率来修复漏洞。l动态功率控制—系统动态调整单个接入点的输出功率以适应网络的变化环境，帮助确保达到预期的无线网络性能和可用性。企业级的安全性CiscoWiSM遵循最严格的安全标准级别，包括：l802.11iWi-Fi受保护接入2（WPA2）、WPA和有线等效加密（WEP）l具有多个可扩展身份验证协议（EAP）类型的802.1X，包括受保护EAP（PEAP）、具有传输层安全保护的EAP（EAP-TLS），具有隧道TLS的EAP（EAP-TTLS）和CiscoLEAP这些安全标准加起来的结果就是行业中最全面的WLAN安全解决方案。在Cisco的WLAN解决方案中，接入点被用作无线监视器，与Cisco无线局域网控制器进行通信，交流关于无线域的实时信息。所有安全威胁都会通过CiscoWCS被快速识别并向网络管理员显示，WCS会对安全威胁进行恰当地分析并采取正确的行动。Cisco提供唯一的可以同时提供无线网络保护和无线局域网通信服务的无线局域网系统。这有助于确保完善的无线局域网保护，无需其他的设备支出或额外的监视设备。可以首先将此解决方案部署为一个独立的无线IPS，然后再对它进行重新配置以添加无线局域网数据服务。这让网络管理员在准备好部署无线局域网服务之前在他们的RF域周围建立起了一个“防护罩”86 ，防止未授权的无线网络活动。Cisco通过提供以下多层保护（图4）来解决无线局域网的安全性问题：lRF安全性—检测和防止802.11干扰并控制不受欢迎的RF传播。l无线局域网入侵保护和定位—此解决方案不仅检测对设备的欺诈攻击或潜在的无线威胁，还对这些设备进行定位。这样可以帮助IT管理员快速评估威胁等级并根据需要立即采取行动减轻威胁。l基于身份的网络连接—在对无线局域网进行安全保护时，IT人员必须支持多种不同用户的访问权限、设备格式和应用要求。Cisco无线局域网解决方案让企业可以为无线用户或用户组提供个人化的安全策略。它们包括：–2层安全性—802.1X（PEAP、LEAP、EAP-TTLS）、WPA、802.11i（WPA2）和2层隧道协议（L2TP）–3层安全性（和以上）—IP安全性（IPSec）、Web身份验证。–VLAN分配–访问控制列表（ACL）—IP限制、协议类型、端口和区别服务代码点（DSCP）值。–QoS—多种服务级别、带宽约定、通信形式和RF使用方式。–身份验证、授权和记帐（AAA）/RADIUS—用户会话策略和权限管理。l网络准入控制（NAC）—对于客户端配置和行为的强制策略，有助于确保只有具有正确安全用途的最终用户设备可以获取对网络的访问。l安全移动—使用Cisco主动密钥缓存（PKC）在移动环境内维持最高级别的安全性，对802.11i标准的扩展和802.11r标准的前身都能帮助用高级加密标准（AES）加密和RADIUS身份验证进行安全漫游。l访客隧道—为访客用户对企业网络的访问提供附加的安全性。它有助于确保访客用户只能通过企业防火墙访问企业网络。86 图4无线局域网保护的多个层次安全的企业级移动安全的RF管理基于安全性的IPS&定位网络访问控制基于身份验证的网络实时应用支持Cisco整合的无线网络提供最佳性能级别以支持实时应用，如语音。CiscoWiSM在接入点、多个模块和/或控制器之间启用快速移交，提供顺畅的移动，为客户端提供无中断服务。智能排序和内容管理计划在无线空间中提供有效的资源管理。CiscoWiSM还支持QoS功能，它与Wi-Fi多媒体（WMM）兼容，而且最接近的反映出最新的IEEE802.11e标准。在认可了最新的标准时可以通过软件升级达到与所完成标准的完全兼容。移动性CiscoWiSM让用户可以在接入点之间漫游并且穿过桥接和路由的子网进行漫游，无需更改潜在的基础结构。安全性和QoS上下文信息跟踪用户漫游的地方，帮助确保移动性不会受到性能、可靠性和隐私保护的影响。CiscoWiSM86 无需为了启用移动性（如移动IP）而对现有的基础结构和客户端设备进行任何更改。简化的部署和管理CiscoWiSM只要通过简单的部署和少量的支出就可以拥有和使用。它为任何从接入开始的网络部署、网络分配、基于客户企业要求的网络核心部署提供了最大的灵活性。它支持零接触部署，即不需要对接入点进行手动或预先配置。它还支持基于模板的配置管理。这些已存在的模板可以通过易于使用的，得奖的CiscoWLAN用户接口在系统范围内快速应用安全性配置、QoS策略、移动组、后端服务和其他重要配置。CiscoWiSM支持几种嵌入式故障诊断工具。在用CiscoWCS进行部署时，它支持增强的监视和故障诊断功能，包括直观热图显示、过滤事件关联性的警报和粒状报告工具。特性和优点表1列出了CiscoWiSM的特性和优点。特性优点CiscoCatalyst6500系列交换机集合CiscoCatalyst6500系列基础结构的嵌入式系统，为WLAN提供集中的安全策略、IPS、RF管理、QoS和3层快速安全漫游。企业级可升级性可升级架构为所有大小的部署提供企业关键无线网络服务。企业级的可靠性CiscoAironet轻型接入点、CiscoWiSM和CiscoCatalyst6500系列SupervisorEngine720的自动从故障中恢复功能使网络可用性达到最大。86 整合的RRM创建自我控制、自我恢复和自我优化的智能化RF平台。零配置部署无需手动配置接入点或对现有的网络基础结构进行修改就可以配置CiscoWiSM。多层安全保护灵活的安全策略适用于变化的企业安全需求。入侵检测、定位和防泄漏系统集成的无线网络入侵保护保护无线网络的整体性和机密的企业信息。移动管理用户可以在接入点之间并穿越桥接的和路由的子网进行漫游，无需更改现有的基础结构。直接的管理接口更好的可见度和降低无线空间操作成本的控制。总结CiscoWiSM对于企业级的无线局域网部署非常理想。它降低无线网络的复杂性，帮助确保稳定的性能、增强的安全性并使网络可用性达到最大。CiscoWiSM可被部署在校园、分公司和远程位置，它具有每个模块最多连接300台CiscoAironet轻型接入点的可升级性。它与Cisco无线控制系统和Cisco无线定位设备一起支持任务关键的无线数据、语音和视频应用。它为企业WLAN提供集中的安全策略、IPS、RF管理、QoS和3层安全漫游。作为Cisco整合的无线网络的关键组件，CiscoWiSM为网络管理员提供用于有效管理和升级企业级WLAN需要的可见度和控制。6.4思科无线控制系统(WCS)图.思科无线控制系统(WCS)86 产品概述思科®无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础，使IT管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有成本。思科WCS是思科统一无线网络的一个组件。凭借思科WCS，网络管理员可拥有单一解决方案，来进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。思科WCS运行在服务器平台上，有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性，而这些控制器可管理数千CiscoAironetÒ轻型接入点。思科无线局域网控制器可位于思科WCS所在的LAN中、分布于多个独立路由子网或位于广域连接之上。所有型号的思科无线局域网控制器均可由思科WCS管理，包括4400和2000系列等企业级独立无线局域网控制器，以及CiscoCatalyst6500系列无线服务模块（WiSM）和用于集成多业务路由器的思科无线局域网控制器模块。这使思科WCS成为适用于最大规模的企业环境和室外部署的理想无线局域网管理平台（图2）。86 思科WCS在整个无线网络中支持以下功能：无线局域网规划和设计思科WCS提供了集成化RF预测工具，它们可用于创建详细的无线局域网设计，包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地面布局输入思科WCS，并确定楼宇中各组件的RF特性，以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为，以便更方便地进行规划和更快地实施部署。图.规划工具图.覆盖整个企业的RF智能86 网络监控和排障思科WCS提供的工具可帮助IT管理员查看其无线网络的布局，并持续监控WLAN性能。这其中包括详细的热点图，显示了所输入的地面之上的RF覆盖范围。思科WCS还提供了一个门户，用户可通过它获得思科WLAN控制器所提供的实时RF管理功能，包括信道分配和接入点发射功率设置。此外，思科WCS可快速查看覆盖盲区、报警和关键的使用统计数据，实现了方便的WLAN监控和排障（图4）。图.查看RF覆盖范围86 室内位置跟踪思科提供了各种选项，来有效地跟踪无线设备，包括支持Wi-Fi的笔记本电脑、PDA、手机和配备了802.11收发器的移动设备。基本型思科WCS可确定一台无线设备与哪个接入点相关联，使IT管理员大致了解无线设备的位置。需更精确的定位服务的环境可部署思科WCS的一个可选版本，称为定位型思科WCS，它采用了即将荣获专利的“RF指纹”技术。该技术将实时客户端RSSI信息与已知RF楼宇特性相比较，使思科成为唯一能准确定位无线设备，结果可以准确到几米之内的WLAN基础设施（图5）。此外，定位型思科WCS能与思科无线定位设备一起部署，同时实时地跟踪数千个无线客户端。凭借这些先进的位置跟踪功能，思科统一无线网络成为了一个理想的平台，可支持具有无线移动性的关键业务应用，如资产跟踪、库存管理和增强911(e911)电话服务。通过将室内位置跟踪集成入无线局域网基础设施，思科降低了无线局域网部署的复杂性和总拥有成本。图.准确指出无线客户端的位置无线保护思科WCS在一个思科无线基础设施中提供了管理和实施安全策略的全套工具。这其中包括：86 ·RF攻击签名和无线入侵防御—思科WCS使IT人员可创建能定制的攻击签名文件，可用于迅速检测与RF相关的常见攻击，如拒绝服务(DoS)、Netstumbler和FakeAP。用户可对思科WCS编程，使其在发现攻击时自动生成报警。详细的趋势报告（图6）可帮助IT人员在威胁造成重大损失前发现反复出现的安全问题。图.无线安全问题总结·恶意设备检测、定位和控制—思科WCS平台使用即将荣获专利的技术，来持续监控无线空间，寻找非法接入点和临时网络。如果出现未授权设备，可使用思科WCS确定其位置并评估威胁级别。如认为是恶意设备，IT管理员可利用思科WCS来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。·策略创建和实施—思科WCS包含一个服务策略引擎（图7），使网络管理员能方便地创建虚拟LAN（VLAN）、RF、服务质量（QoS）和安全策略。凭借思科WCS，IT人员可创建多个独特的服务集识别符（SSID），各自带独立的安全参数。例如，一个“访客”SSID可通过Web验证来进行保护；“语音”SSID可能需利用手机内置的有线等效保密(WEP)功能；而普通的数据流量则可用802.11i或IP安全(IPSec)来保护。思科WCS可在完整的思科无线网络、独立的思科无线局域网控制器，甚或独立的轻型接入点上实施安全策略。图.策略引擎86 ·用户拒绝列表—IT人员可使用思科WCS来主动拒绝某些特定用户与无线网络建立连接。此外，如果发现异常活动，受到影响的设备会被标记，如果认为它们是恶意设备，会拒绝它们接入网络。这些设备就无法获得无线局域网服务，直至拒绝列表中规定的时间到期，或IT人员决定允许其访问无线局域网为止。无线局域网系统管理思科WCS使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心功能：排障—思科WCS整合了重要的网络信息，如噪音级别、信噪比、干扰、信号强度和网络拓扑等，使网络管理员能隔离和解决所有无线网络层次中的问题。软件升级—凭借思科WCS，只需点击一次鼠标，即可从单一中央位置执行对于思科无线局域网设备的升级。网络映射—思科WCS可自动发现无线网络中的各个设备。因此无需进行手动数据库配置和维护，且可提供准确信息，以用于容量规划和排障。定制报告—思科WCS可生成大量报告，以记录网络活动和系统信息。其中包括客户端统计数据、无线频谱利用数据、802.11计数器、RF管理配置历史和报警（图8）。图.所发现的恶意接入点和客户端活动报告86 灵活、安全的访问思科WCS使用SNMP版本3来提供最高水平的网络管理功能和安全性。该协议可用于在思科WCS服务器和各无线局域网控制器间通信。此软件也支持SNMP版本1和版本2，这使其他网络管理平台也能对其进行查询。网络管理员可通过任意运行HTTP或安全HTTP(HTTPS)的标准浏览器来访问思科WCS，确保能随时、随地使用思科的管理功能。特性和优点表1列出了思科WCS的特性和优点。特性优点直观的GUIIT人员只需极少的培训，即可方便地对其无线网络进行配置、监控和排障。层次化视图IT人员能快速访问不同的地区、园区、楼宇、楼层和区域，更好地查看和控制情况。无线局域网规划工具准确的RF预测工具提高了无线局域网规划和设计的有效性。跟踪用户和设备，保护资产并增强无线局域网的安全程度。86 高度准确的集成化位置跟踪（由定位型WCS思科提供或通过添加思科无线定位设备而实现）策略管理模板可在整个企业或室外部署（包括室外网状网络部署）中方便地创建和实施统一的QoS、安全和RF管理策略。全面的无线局域网入侵保护定制签名文件可防御未授权入侵和RF攻击；自动报警能使用户迅速响应，从而降低风险。便于操作无需手动干预，即可使思科无线局域网控制器和思科轻型接入点保持最新版本。它提供灵活的备份，可在非高峰时段自动安排备份，或在不影响WLAN性能的情况下，在正常工作时间进行备份。压缩的备份文件缩短了文件传输时间，减少了所需磁盘空间。它可作为一项服务，在Linux和Windows系统上方便地安装。强大的API此界面提供了与外部软件系统的集成，包括工作流程软件、故障管理系统和其他使用无线服务的应用。总结思科WCS适用于企业无线局域网部署和室外网状网络，简化了无线网络的部署和运营，有助于确保性能平稳、增强安全性并实现最高网络可用性。思科WCS可集中管理园区环境和分支机构中包括思科WiSM和思科无线局域网控制器模块在内的所有思科无线局域网控制器，以及思科轻型接入点，消除了复杂性，使网络管理员可查看和控制其无线局域网。产品规格表2列出了思科WCS的产品规格。86 项目规格最低服务器要求·Windows2000SP4或更高版本，Windows2003SP1或更高版本，或RedhatEnterpriseLinuxESv3.0·最多500个AP：2.4GHzPentium，1GBRAM·超过500个AP：双处理器（每个至少2.4GHz），最低2GBRAM·20GB硬盘最低客户端要求InternetExplorer6.0/SP1或更高版本管理SNMPv1，v2c，v3所管理的设备Cisco2000、4100和4400系列无线局域网控制器；CiscoCatalyst6500系列无线服务模块（WiSM），用于集成多业务路由器的思科无线局域网控制器模块；CiscoAironet轻型接入点数据库集成化SolidFlowEngineSQL86 1.XXXX二期无线AP分布情况表F1代表楼层1，黄色表示格内数字代表POE交换机数量图书信息楼F17F28F37F44F54F64F74总38　3小计　室内AP38总计AP38POE交换机42.XXXXAP信号测试结果概要信息:勘测现场地址：XXXX现场实施勘测人员姓名：张杰，华昌需覆盖区域范围：第二、三、四、五教学楼，第一、二实验楼，图书馆，教学实习楼，毓秀园，古松园，小广场，国教小体育场，金鼎公寓，学生公寓1-9，住宅楼1-16测试方式：测试AP机型：AIR-AP1131AG-C-K9使用该胖AP在相应各测试点位置通电，发布SSID无线信息，通过笔记本上无线信号测试软件NetworkStumbler在预期覆盖范围内测试信号强度，移动不同位置记录信号强度数值并截图其中仅对由楼道覆盖屋内的地方进行测试86 测试结果：第二教学楼该楼选取测试点位于6楼东北侧2间大办公室外，红色标示为AP放置点，黄色标示为信号测试取值点在602屋内测试结果见下，取值点信号强度大约为-5586 在604屋内测试结果见下，取值点信号强度大约为-55第三教学楼该楼分为东西2个区域，其中西区为2间大阶梯教室，AP放置教室内即可，未测试东区选取测试点位于1楼西北2间大屋外走廊处，红色标示为AP放置点，黄色标示为信号测试取值点测试结果见下，该图为由室外AP处->屋内东边测试->西边测试点信号强度显示，取值点信号强度大约均为-5586 第四教学楼该楼分为东西2个区域，楼内均为大办公室或教室，在各屋内放置即可，未测试第五教学楼该楼选取测试点位于4楼东北侧404房间外，红色标示为AP放置点，黄色标示为信号测试取值点86 测试结果见下，该图为由室外AP处->402测试点->404测试点->406测试点信号强度显示，取值点信号强度402约为-62，404及406均约为-55第一实验楼该楼选取测试点位于2楼办公室外，红色标示为AP放置点，黄色标示为信号测试取值点86 测试结果见下，该图为由室外AP处->物理1测试点->办公室里间测试点信号强度显示，取值点信号强度物理1约为-60，办公室约为-55第二实验楼该楼选取测试点位于4楼西面418，420之间，红色标示为AP放置点，黄色标示为信号测试取值点测试结果见下，该图为由室外AP处->421测试点->420测试点->418测试点信号强度显示，取值点信号强度421约为-55，420约为-52，418约为-5886 图书馆(老图书馆)该楼选取测试点位于2楼办公室走廊处，阅览室屋内覆盖即可，红色标示为AP放置点，黄色标示为信号测试取值点86 测试结果见下，该图为由室外AP处->采编办公室测试点->办公室测试点->会议室测试点->杂货室测试点->馆长室测试点信号强度显示，取值点信号强度办公室会议室均约为-55，杂货室约为-60学生公寓7该楼选取测试点位于1楼右手113和115房间外，阅览室屋内覆盖即可，红色标示为AP放置点，黄色标示为信号测试取值点测试结果见下，该图为由室外AP处->115测试点信号强度显示，取值点信号强度约为-5586 学生公寓8该楼选取测试点位于1楼左手113和115房间外，阅览室屋内覆盖即可，红色标示为AP放置点，黄色标示为信号测试取值点测试结果见下，该图为由室外AP处->117测试点信号强度显示，取值点信号强度约为-5586 测试覆盖范围内信号强度基本都在-60以上，满足使用要求86 1.结束语展望未来，借助于新的无线网络基础设施系统，XXXX将能够充分利用无线技术，并更快和更有效率的将这些技术集成到日常网络运行维护中。部署思科一体化无线网络架构下的无线网络解决方案，建立企业级管理系统、生产和科研系统之间的紧密连接，实现办公系统、生产科研系统与运作流程的无缝集成，将使XXXX节约成本和提高效率！86'