无线解决方案Word下载.docx
《无线解决方案Word下载.docx》由会员分享,可在线阅读,更多相关《无线解决方案Word下载.docx(28页珍藏版)》请在冰豆网上搜索。
1)BTA软件不能充分发挥其效能
应现有的网络状况未能更好的配合省移动公司统一分配并要求使用的BTA软件,导致网络中出现大量的BTA软件请求包,网络中出现了大量的非业务数据流,给网络的正常使用带来诸多不便,大部分网络端口频频阻塞。
2)IP地址频繁冲突
接入层设备的IP地址没有进行合理规划和分配,经常出现人为随意更改的现象,导致大部分用户在正常使用过程中,出现IP地址冲突,这样的操作牵一动十,造成IP地址混乱的局面,给网络的管理和使用带来一定的压力和麻烦。
3)部门之间访问混乱
在初期网络的规划和设计中,没有对用户类型和业务单元划分相应的权限和级别,对于公司的重要数据和机密文件存在一定的安全隐患。
其次,由于公司的所有客户端都在一个IP段内,广播风暴未能有效控制,受此影响,网络速度日渐缓慢。
4)木马、病毒在公司网络内泛滥
公司各个部门局域网在逻辑上没有有效隔离,致使木马、病毒的大范围扩散,许多用户经常发生死机、中毒或重要数据丢失现象,所有的用户从物理上和逻辑上均在同一个区域内,有一台设备感染,其它设备无一例外。
2.3网络建设目标
通过本次网络的改造和完善最终满足贵公司OA办公系统和其他相关业务系统的安全可靠、稳定高效和便捷管理。
1)安全可靠
建成后的无线网络可以完全融和到现有的OA办公系统和与省公司VPN认证系统中,并能实现公司领导和所有员工的漫游认证和加密;
由于它和终端用户不存在物理上的线路连接,也使得传输通道不会现遭到人为的破坏,同时也通过射频攻击防范,防止黑客的攻击保证在传输通道上数据的安全;
2)自由灵活的访问
建成后的无线网络用户只要有无线网卡就可以在办公室、会议室或营业大厅的任何一个地方访问公司内网、省公司网,突破因有线网络的束缚,使访问变得更为智能灵活;
3)业务扩展
随着无线网络的应用和发展,语音和视频也正在大步的向无线网络靠拢,今天部署的无线网络平台已经能够融合公司现有的IP视频电话,在今后的业务扩展中,也将有越来越多的新业务融合其中。
4)运营维护
建成的无线网络根据用户个性化的需求而实现灵活的部署;
同时也减少今后在网络的维护投资;
也使得排错更快捷,在最大程度上减少故障网络故障为用户带来的损失。
3.1设计原则
实用性:
遵循面向应用,注重实效,急用先上,逐步完善的原则;
充分保护已有投资,不设计成华而不实的无线网络,也不设计成利用率低下的网络,我们以实用性的原则要求为依据,建设具有最低的TCO(拥有的总成本最低),有最高的性价比的校园无线局域网络。
先进性:
采用先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有余地;
充分采用目前国际、国内流行和成熟的技术,保证网络能适应技术的快速发展。
可靠性:
系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
开放性:
选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准;
无论发生任何变化,均能够最大可能性的开放标准。
可扩充性:
系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比;
可维护性:
系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性;
安全性:
必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。
3.2设计思想
思科公司建议企业WLAN采用集中管理架构下的“瘦AP”无线网络架构,以保证无线网络可管理性、安全性、QoS、无缝漫游等功能需求,尤其是方便未来的运维管理。
为满足企业网络的安全性,建议企业无线网络采用独立的有线网络系统实现无线接入点的互联,同时本次无线网络在满足用户接入安全认证、加密的同时,支持无线射频的安全防护功能。
3.3设计依据
1)标准
◆IEEE802.3uEthernet(100BASE-T)
◆802.11a/b/g工作于2.4/5GHzISM开放频带
◆802.1d解决不同国家的频率不统一的相通应用的问题
◆802.11f规定了IAPP,解决不同AP之间的漫游
◆802.11h控制发送功率,动态选择无线信道
◆802.11i改善WEP加密功能,升级到AES加密
◆802.1x定义动态密钥加密部分,结合Radius服务器,
2)安装与设计规范
◆工业企业通信设计规范
◆中国工程建设标谁化协会标准“建筑与建筑群综合布线系统工程设计规范”修订本CECS72:
97
◆中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程施工及验收规范”CECS89:
4思科统一无线网络解决方案体系架构
4.1无线网络的挑战
过去,无线局域网都缺乏透视能力――因为每个接入点都是一个单独的节点,按照一个静态RF计划(通常为预测的RF)中的信道和功率设置进行独立配置。
尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号,但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。
而且,因为自主接入点是“节点式”的,所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。
思科统一无线网络支持实时关键业务应用,为部署WLAN的机构创建了一个安全、移动、交互的工作场所。
所有AP均工作在同一Controller群组(cluster)管理下,可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制
可分级的一体化网络管理系统:
有线、无线网络管理相结合,集中与分布式管理相结合,为运营维护提供高效率和低成本。
表1列出了对于自主接入点部署方式的无线需求和解决方案。
在某些情况下,采用自主接入点的WLAN的部署会对WLAN带来很多限制。
表1对于自主接入点部署方式的无线需求和解决方案
需要
说明
自主方式的解决方案
第二层快速安全漫游
客户端在子网内部的无缝漫游――跨越不同的接入点和虚拟LAN(VLAN)
为支持漫游添加一个无线域服务(WDS)设备(接入点或者交换机模块)
第三层快速安全漫游
客户端在子网之间的无缝漫游――跨越不同的接入点和VLAN
自主接入点本身不支持。
需要为支持漫游采用一个集中式解决方案
升级成本
部署额外管理功能和为接入点安装新镜像所需的时间
部署一个集中的管理基站或者使用管理脚本
入侵检测系统(IDS)
能够检测伪装接入点、攻击和XX的访问
使用一个基于WDS的IDS,或者添加一个覆盖式WLAN解决方案
定位服务
直观显示接收信号强度指示(RSSI)信息变化和Wi-Fi设备的位置
使用一个现场调查解决方案或者一个覆盖式WLAN
动态RF
迅速地、动态地适应RF环境
使用系统级应用设备,或者一个简单网络管理协议(SNMP);
RF信息可供手动检查或者措施使用
负载均衡
自动在相邻接入点之间均衡客户端负荷
每个接入点通报服务情况,但是负载不是自动地在接入点之间分布
访客联网
能够为客户、供应商和合作伙伴提供对WLAN的受控访问权限,同时保持网络的安全性
为每个接入点部署专门的中继VLAN,并在整个企业中加以宣传
WLAN语音
利用现有的无线基础设施提供经济有效的、实时的语音服务
部署基于接入点的呼叫准入控制(CAC);
控制建立在每个接入点的基础上,不能协调多个接入点
管理
经济有效的、简化的WLAN管理和部署
为配置WLAN管理和单独配置每个接入点部署脚本或者SNMP解决方案
4.2思科集中化无线网络解决方案
◆使用自主接入点的第一代无线局域网是一种方便的网络。
从WLAN首次面世以来,技术需求发生了很多变化。
现在,基本的网络连接已经不足以满足需要。
企业需要在他们的办公楼中提供无所不在的无线网络连接。
他们的WLAN必须支持多种移动服务,例如语音、访客接入、定位和增强的无线入侵防御系统(WIPS),同时还应当提供简化的部署、管理和可扩展性。
企业需要突破了表1中所列多种限制的WLAN。
◆为了部署这些功能和消除这些限制,需要一个统一的WLAN――一个集中式的,基于连接到无线局域网控制器的轻型接入点的网络。
因此,机构需要思科统一无线网络。
可扩展性:
WLAN必须具备的特性
人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现的。
事实上,蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。
最初,蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。
当时有很多管理塔间电话呼叫的协议,但是这些协议并不可靠――很多呼叫都会被丢弃。
蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案,以及一个部署高级服务的平台。
因此,他们采用了一种名为基站控制器的新型网络组件。
对于蜂窝网络而言,基站控制器可以协调一组无线电发射塔。
当蜂窝网络用户在不同发射塔的覆盖范围之间移动时,基站控制器会对漫游切换进行协调。
这可以提高蜂窝网络的稳定性,减少被丢弃的呼叫。
蜂窝基站控制器的概念也可应用到802.11WLAN中。
运营商不是
管理多个独立的接入点,而是可以通过一个名为无线局域网控制器的
集中式设备管理轻型接入点。
WLAN集中化
参照蜂窝网络的发展道路,思科系统公司率先提出了WLAN集中化的概念,并且为高级无线局域网服务提供了业界第一个统一平台。
统一后的架构,我们称之为思科统一无线网络的关键,是将数据从轻型接入点经由网络发送到无线局域网控制器。
思科提供了很多支持无线局域网集中化的无线局域网控制器,其中包括可以完全集成到网络之中的企业级独立无线局域网控制器(例如Cisco4400系列无线局域网控制器和Cisco2000系列无线局域网控制器),以及可以与有线网络结合的无线局域网控制器,例如CiscoCatalyst6500系列无线服务模块(WiSM)和用于集成多业务路由器的思科无线局域网控制器模块(WLCM)。
开发一种新的无线局域网集中化协议
为了在轻型接入点和无线局域网控制器之间传输数据和实现通信,需要一种新的协议。
该协议需要满足下列要求:
●便于部署――该协议必须能够跨越子网边界,而不是仅仅将多个VLAN连接到集中控制器。
●部署安全――将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。
该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。
●对接入点的实时控制――在部署、认证接入点和将其连接到控制器之后,该协议需要提供对接入点的实时控制,以便管理和部署移动服务。
●协议扩展能力――该协议需要支持多种平台--从大型以太网交换机中基于机箱的模块,到可堆叠交换机、路由器和其他任何网络组件。
●传输扩展能力――尽管网络通常运行在以太网的基础上,但是该协议必须能够支持低速的WAN连接,甚至无线网络(对于无线网状网络等应用)。
●为了满足这些对于开发新型通信协议的要求,思科考虑了很多方案。
通用路由封装(GRE)协议是其中之一,但是GRE不支持对纯二层数据包的内部检测,而这是安全WLAN所必须具备的功能。
SNMP也被列为考虑对象,因为该协议可以提供对接入点的命令和控制功能,但是它很庞大,不太符合实际需要。
在考虑了其他协议之后,思科决定开发一种新的协议――支持第二层和第三层数据包信息的轻型接入点协议(LWAPP)。
4.3集中化协议LWAPP简介
LWAPP是什么?
LWAPP是一项由思科系统公司拟定的互联网工程任务小组(IETF)标准草案,实现了轻型接入点和WLAN系统(例如控制器、交换机和路由器)之间的通信协议的标准化。
它的目标包括:
●减轻接入点中的处理量,让它们将计算资源集中用于无线接入,而不是过滤和策略实施
●为整个WLAN系统进行集中的流量处理、验证、加密和策略实施
●利用一个第二层基础设施或者IP路由网络,为多供应商接入点互操作性提供一个通用封装和传输机制
●LWAPP标准可以通过定义下列规范实现这些目标:
●接入点设备发现、信息交换和配置
●接入点认证和软件控制
●数据包封装、分段和格式化
●接入点和无线控制器之间的通信控制和管理
LWAPP的工作原理
●LWAPP将轻型接入点的介质访问控制(MAC)功能交由无线局域网控制器和轻型接入点共同承担。
对时间敏感的功能(例如次原子握手和发送给接入点的信标)都在接入点进行管理。
其他对网络具有重要意义的功能(例如移动管理、身份验证、VLAN划分、RF管理、无线IDS和数据包转发)都在无线局域网控制器进行管理。
(如图1所示)
图1分离的介质访问控制功能
●安全策略
●QoS策略
●RF管理
●移动管理
人力分配
分离MAC
●远程RF接口
●MAC层加密
无线局域网控制器
LWAPP
轻型接入点
控制器MAC功能
●802.11MAC管理:
(重新)关联请求和行为框架
●802.11数据:
封装和发送到接入点
●802.11e资源预留:
控制协议在802.11管理帧中发送到接入点-信令在控制器完成
●802.11i身份验证和密钥交换
接入点MAC功能
●802.11:
信号发射,探测响应,身份验证(如果启用)
●802.11控制:
数据包确认和传输(延迟)
●802.11e:
帧排序和数据包优先级设置(访问RF)
●802.11i:
接入点中的加密
轻型接入点和无线局域网控制器之间存在多对一的关系――单个无线局域网控制器可以管理和操作大量的轻型接入点。
另外,无线局域网控制器可以在一个大型无线网络中协调和比较信息――甚至跨越WAN。
就像卫星拥有广阔空间的完整视图一样,控制器也拥有整个网络的整体视图。
一旦将这项协议作为标准,并准备好用于统一的平台,WLAN集中化的真正优势将会变得显而易见。
4.4集中化和统一WLAN的好处
下面列出了WLAN集中化和统一WLAN所具有的很多好处。
4.4.1便于部署
当在企业中部署自主接入点时,每个接入点都将单独进行配置。
这种配置可以在每个接入点的基础上进行,也可以通过一个系统级应用或者设备完成。
在完成对自主接入点的配置之后,每个接入点都将可以支持VLAN,以便划分不同的用户群组,为不同的用户和用户群组区分不同的LAN策略和服务(例如安全和服务质量[QoS])。
这些VLAN可以扩展到网络的接入层。
根据部署的规模和范围,VLAN可以在多台交换机中进行中继和扩展。
在向网络引入基于轻型接入点和无线局域网控制器的集中化时,并不需要在接入层重新划分子网和设置VLAN中继。
相反,VLAN将以中继方式连接到一个集中式无线局域网控制器,而控制器则将把用户和WLAN划分到VLAN中。
这可以简化WLAN的部署和管理。
在使用集中化解决方案时,一个轻型接入点只需要找出无线局域网控制器的IP地址――当部署于第二层模式时。
(在部署于一个远程子网中时,接入点需要IP地址、子网掩码和缺省网关信息)。
轻型接入点还可以从一个标准的动态主机配置协议(DHCP)服务器接收无线局域网控制器的IP地址。
在轻型接入点联系无线局域网控制器之后,控制器将会为轻型接入点设定所有RF策略和无线局域网策略。
因为所有来自接入点的数据包都会被置入一个LWAPP隧道,进而发送到无线局域网控制器,所以不需要将特殊VLAN扩展到各个接入点。
4.4.2便于升级
较低的运营成本可以提高一个机构的投资效率。
问题是:
怎样实现低成本的运营?
集中化有助于简化升级
利用思科统一无线网络,所有轻型接入点映像都会被嵌入到控制器映像之中。
当控制器映像被升级时,它也会升级所有与其关联的接入点。
不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。
思科统一无线网络的低成本接入点升级的另外一个好处是:
轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。
4.4.3通过动态RF管理建立可靠的连接
过去,使用自主接入点的无线网络通常利用一个静态RF计划进行部署,而且每个接入点都以静态方式设置它们的信道和功率。
这个计划是根据RF预测制定的,即利用计算机对RF环境的模拟,结合接入点的天线发射功率,估计接入点的覆盖范围。
RF预测的目标是以最小的信道重叠,获得接入点的最优覆盖范围。
但是,因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的,所以它们只是对实际RF环境的估计。
例如,在使用RF预测时,很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。
集中化可以提供动态RF
无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。
控制器能利用这些信息,为网络创建一个动态优化RF拓扑。
无线局域网控制器可以用一种独特的方式提供动态RF。
在一个支持思科LWAPP的接入点启动时,它会立即搜寻网络中的无线局域网控制器。
在其找到一个无线局域网控制器之后,支持LWAPP的接入点会发出加密的“neighbor”(邻居)消息。
这些邻居消息包括MAC地址和任何相邻接入点的信号强度。
在一个无线局域网控制器网络中,控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。
控制器随后会调节每个接入点的信道和信号强度,以获得最佳的覆盖范围和网络容量。
如果网络中有一个无线局域网控制器集群(例如在单个网络中部署多个控制器),那么会有一个控制器被选为缺省控制器,所有控制器都会向它们的轻型接入点发送缺省控制器信息。
缺省控制器会关联网络中所有接入点的信息,再将最佳信道和功率设置发送给网络中的每个接入点。
思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”,即发生没有必要的变化。
这样做的结果是,建立起一个能够实时地适应不断变化
4.4.4通过用户负载均衡优化每个用户的性能
802.11协议很难预测和保障用户的性能和吞吐。
因为802.11为每个网络组件提供了相等的空间访问能力,所以每个客户端都可以决定它接下来将漫游到哪个接入点。
当客户端设备进入一个覆盖区域时,它们可能会漫游到信号最强的接入点。
同样,每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。
因此,所有客户端的RF吞吐都有可能降低――所有客户端都可以关联到同一个接入点。
这通常被成为“会议室效应”。
负载均衡可以通过不断地优化用户关联关系,为每个客户端提供最佳的,从而优化所有客户端的吞吐。
这可以提高每个客户端的吞吐,动态地均衡网络的客户端负载。
集中化有助于均衡用户负载
思科无线局域网控制器和模块拥有一个网络整体视图。
通过加密的无线消息,这些控制器可以获知接入点之间的信号强度。
另外,当某个客户端探测接入点(这是802.11标准的一部分,即客户端寻找任何广播它所寻找的WLAN名称的接入点)时,控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。
控制器随后将根据客户端的信号强度和信噪比,决定哪个接入点应当响应客户端的探测信号。
例如,某个相邻接入点能够以较低的信号强度提供相同的服务。
控制器将根据接入点的信号强度(RSSI),决定哪个接入点应当响应客户端的探测信号。
(如图2所示)
图2无线局域网控制器决定哪个接入点应当响应客户端的探测信号
4.4.5访客联网
访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。
访客联网让机构可以在保证无线网络安全的同时,为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。
它让顾问和访客可以迅速开展合作,加快业务速度。
今天,问题不再是一个机构是否应当提供访客联网功能,而是它打算怎样提供该功能?
如果使用自主接入点部署方式,管理员可以通过将“访客”VLAN拓展到网络中,提供访客网络。
这些VLAN具有不同于普通网络流量的安全策略。
这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。
集中化有助于简化访客联网
在思科统一无线网络中,每个无线局域网控制器都具有一个美观的Web门户,让机构可以根据自己的业务需要定制WLAN。
例如,网络管理人员可以将控制器放入DMZ,充当访客接口。
当在网络中部署一个访客无线局域网时,所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。
与采用自主接入点的无线局域网不同,使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。
4.4.6第三层漫游
借助采用轻型接入点的思科统一无线网络,当第三层漫游被引入网络时,管理员不需要将VLAN拓展到网络中的所有接入点,就可以保持一个扁平式的无线子网。
那些采用自主接入点的网络则有所不同――它们通过拓展VLAN来实现漫游,因而会产生大范围的、不便于扩展的广播域。
通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游,可以简化网络,让网络可以方便地支持各种实时应用,例如基于无线网络的语音和视频。
集中化有助于支持第三层漫游
利用思科统一无线网络,轻型接入点可以被部署到网络的标准子网基础设施中,并获得一个隶属于它们所在子网的IP地址。
所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的LWAPP数据包中。
客户端设备可以从一个连接到控制器的子网获得它们的IP地址――而不是它们所在的楼宇的子网。
底层子网基础设施对于客户端而言是透明的。
控制器可以管理互相之间的所有漫游和隧道通信,以确保不需要移动IP等协议。
4.4.7嵌入式无线IDS
安全是网络管理人员的关注焦点,而无线安全则是安全人员最关注的问题。
一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。
通过在网络中采用一个无线ID系统,可以为网络添加一条额外的防线。
无线局域网IDS可以降低黑客或者恶意用户访问关键网络资源的风险。
集中化
升级会员 