无线网络升级改造设计方案.doc

《无线网络升级改造设计方案.doc》由会员分享，可在线阅读，更多相关《无线网络升级改造设计方案.doc（88页珍藏版）》请在三一办公上搜索。

1、XXXX无线网络升级改造设计方案目 录1.WLAN在校园的应用概述42.校园网WLAN应用需求43.校园网WLAN设计思想63.1校园网WLAN设计原则63.2思科校园网WLAN设计思想63.3思科WLAN解决方案体系结构73.3.1 无线网络的挑战73.3.2 思科集中化无线网络解决方案83.3.3集中化协议LWAPP简介103.3.4集中化和统一WLAN的好处113.3.4.2 便于升级123.3.4.3 通过动态RF管理建立可靠的连接123.3.4.4通过用户负载均衡优化每个用户的性能133.3.4.5 访客联网153.3.4.6第三层漫游153.3.4.6 嵌入式无线IDS163.3.

2、4.7 定位服务173.3.4.8 WLAN语音173.3.4.9 降低总拥有成本173.3.4.10 有线和无线整合183.3.4.11 总结194.思科校园网WLAN建设方案204.1物理设计（部署）204.1.1无线覆盖方案214.1.1.1 覆盖区域214.1.1.2 设计指标、原则及覆盖方式214.1.1.3 室内覆盖234.2逻辑设计284.2.1 SSID 和VLAN284.2.2 地址和路由294.2.2.1无线用户接入地址和路由规划294.2.2.2无线网络地址和路由规划294.2.2.3 IPv6规划考虑304.2.3 认证和计费325.解决方案的设计亮点325.1高性能的

3、IPv6和IPv4无线接入325.2基于个人用户的运营管理325.3支持数据、语音等多种业务，有其它智能业务扩展能力325.4满足校园特点的安全和可靠性335.5满足生产、运营网络要求的运维和管理335.6支持用户全网漫游335.7灵活部署、易于扩展、高性价比346.思科校园无线网络解决方案产品介绍346.1 Cisco Aironet 系列接入点346.2 思科无线局域网控制器466.3 Cisco Catalyst 6500 系列无线服务模块606.4 思科无线控制系统(WCS)697.XXXX二期无线AP分布情况表798.XXXXAP信号测试结果799.结束语891. WLAN在校园的应

4、用概述校园网已经成为校园生活的重要组成部分，成为教师和学生获取资源和信息的主要途径之一，它把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起，在高校教育中的作用与地位日益显著。经过这些年有线网络建设、运行、维护，从实践结果来看，由于目前网络是“有线”的，所以在有些应用领域会出现困难。例如，很多高校只是在部分区域接通了网络，而不能顾及所有区域，布置了网线的教室、图书馆数量有限；有些高校经费比较紧张，很难投入较大的财力来铺设光缆；有些高校的建筑物具有一定的历史意义，不适合钻孔布线；有些高校由多个校区组成，校区之间联网成本较高，等等。随着信息技术的飞速发展，教师和学生对高校校园网的

5、依赖性相当之高，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？从应用需求方面考虑，无线网络很适合学校的一些不易于网络布线的场所应用。现在如何使校园的每个角落都处在网络中，形成真正意义上的校园网？想象一下，当学生们放完暑假返回校园，惊奇地发现自己的笔记本电脑在学校任何地方都可以上网时的那份欣喜若狂现在这已经是一些学校的现实。2. 校园网WLAN应用需求高性能的IPv6和IPv4无线接入中国下一代互联网项目（CNGI）

6、正在顺利展开，基于纯IPv6的骨干网在CERNET已经建设完成并可以提供接入服务。现在建设高校无线网络，除了要考虑对现有IPv4网络终端的无线接入，满足当前高校师生对无线网络的需求外；又要支持高性能的IPv6的用户接入，以适应网络发展趋势，并保护网络投资。基于个人用户的运营管理无线网络系统需要支持运营管理功能，能够根据单个用户实现用户管理，包括：认证、计费、安全控制、QoS控制等。支持数据、语音等多种业务，有其它智能业务扩展能力校园无线网络在支持数据转发的同时，应该是真正为语音业务优化的无线设计，包括一体化的IP电话解决方案，通过新技术延长客户端待机时间，实现室内外语音不中断的安全漫游。为学校

7、提供内部话音的无缝覆盖，以提高学校办公效率和教学质量。为保证无线话音的质量，要求无线网络具有良好的QoS控制机制，包括无线话音呼叫控制等手段。无线网络还应该支持其他智能业务的扩展，如支持精准的无线物理定位、无线视频等满足校园特点的安全和可靠性XXXX无线网的目标是建设一个收费的、可运营网络，这样的定位对可靠性、安全、加密和非授权用户的控制提出了更明确的要求： 支持精确的无线入侵、射频干扰、非法AP定位和隔离 冗余的中央服务控制保证校园复杂接入环境的安全无线接入 独特的访客隔离机制，保证跨校园漫游用户与校园网用户的隔离 同时支持端到端的网络可靠性保证技术。满足生产、运营网络要求的运维和管理校园无

8、线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理室内、室外、Mesh系统一体化控制：所有AP均工作在同一Controller群组(cluster)管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制可分级的一体化网络管理系统：有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。支持用户全网漫游校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证IP地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。灵活部署、易于扩展、高性价比为方便校园网络

9、的部署和未来维护的方便性，校园无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，校园无线网络要具有良好的性价比。3. 校园网WLAN设计思想3.1校园网WLAN设计原则实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性

10、：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性：必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法

11、侵入和机密信息的泄露。3.2思科校园网WLAN设计思想按照现有无线网络发展趋势，建议校园网WLAN采用集中管理架构下的“瘦AP”无线网络架构，以保证无线网络可管理性、安全性、QoS、无缝漫游等功能需求，尤其是方便未来的运维管理。根据实际情况，采用室内、室外多种无线接入方式相结合的方式，以满足学校楼宇多、广场多的特点。如在必要的时候采用室外Mesh WLAN技术通过无线回传技术解决有线网络传输距离的合布线难度的问题。同时由于采用室内、外多种无线接入手段在满足无线覆盖的前提下，可以节省无线接入点的数量，从而提高无线网络的性价比。校园无线网络在满足现有网络应用的同时，保证对未来网络技术和应用的支持，

12、如IPv6、无线话音、无线视频、组播等技术的支持，以满足高校教学和科研的要求。为满足高校网络的安全性，建议校园无线网络采用独立的有线网络系统实现无线接入点的互联，同时本次无线网络在满足用户接入安全认证、加密的同时，支持无线射频的安全防护功能。3.3思科WLAN解决方案体系结构3.3.1 无线网络的挑战透视就是一切地图就是一个典型的例子。在高空摄影技术面世之前，地图并不精确；人们按照估计的比例，将地理标志绘制到地图上。高空摄影技术为地图绘制人员带来了之前未有的东西透视。透视改变了我们旅行的方式，我们观察距离的方式，甚至我们的文明发展的方式。过去，无线局域网都缺乏透视能力因为每个接入点都是一个单独

13、的节点，按照一个静态RF计划（通常为预测的RF）中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号，但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。而且，因为自主接入点是“节点式”的，所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。表1列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下，采用自主接入点的WLAN的部署会对WLAN带来很多限制。表1 对于自主接入点部署方式的无线需求和解决方案需要说明自主方式的解决方案第二层快速安全漫游客户端在子网内部的无缝漫游跨越不同的接入点和虚拟LAN（VLAN）为支

14、持漫游添加一个无线域服务（WDS）设备（接入点或者交换机模块）第三层快速安全漫游客户端在子网之间的无缝漫游跨越不同的接入点和VLAN自主接入点本身不支持。需要为支持漫游采用一个集中式解决方案升级成本部署额外管理功能和为接入点安装新镜像所需的时间部署一个集中的管理基站或者使用管理脚本入侵检测系统（IDS）能够检测伪装接入点、攻击和未经授权的访问使用一个基于WDS的IDS，或者添加一个覆盖式WLAN解决方案定位服务直观显示接收信号强度指示（RSSI）信息变化和Wi-Fi设备的位置使用一个现场调查解决方案或者一个覆盖式WLAN动态RF迅速地、动态地适应RF环境使用系统级应用设备，或者一个简单网络管理

15、协议（SNMP）；RF信息可供手动检查或者措施使用负载均衡自动在相邻接入点之间均衡客户端负荷每个接入点通报服务情况，但是负载不是自动地在接入点之间分布访客联网能够为客户、供应商和合作伙伴提供对WLAN的受控访问权限，同时保持网络的安全性为每个接入点部署专门的中继VLAN，并在整个企业中加以宣传WLAN语音利用现有的无线基础设施提供经济有效的、实时的语音服务部署基于接入点的呼叫准入控制（CAC）；控制建立在每个接入点的基础上，不能协调多个接入点管理经济有效的、简化的WLAN管理和部署为配置WLAN管理和单独配置每个接入点部署脚本或者SNMP解决方案3.3.2 思科集中化无线网络解决方案使用自主接

16、入点的第一代无线局域网是一种方便的网络。从WLAN首次面世以来，技术需求发生了很多变化。现在，基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的WLAN必须支持多种移动服务，例如语音、访客接入、定位和增强的无线入侵防御系统（WIPS），同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表1中所列多种限制的WLAN。为了部署这些功能和消除这些限制，需要一个统一的WLAN一个集中式的，基于连接到无线局域网控制器的轻型接入点的网络。因此，机构需要思科统一无线网络。可扩展性：WLAN必须具备的特性人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现

17、的。事实上，蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初，蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间电话呼叫的协议，但是这些协议并不可靠很多呼叫都会被丢弃。蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案，以及一个部署高级服务的平台。因此，他们采用了一种名为基站控制器的新型网络组件。对于蜂窝网络而言，基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖范围之间移动时，基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性，减少被丢弃的呼叫。蜂窝基站控制器的概念也可应用到802.11 WLAN中。运营商不是管理多个独

18、立的接入点，而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。WLAN集中化参照蜂窝网络的发展道路，思科系统公司率先提出了WLAN集中化的概念，并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构，我们称之为思科统一无线网络的关键，是将数据从轻型接入点经由网络发送到无线局域网控制器。思科提供了很多支持无线局域网集中化的无线局域网控制器，其中包括可以完全集成到网络之中的企业级独立无线局域网控制器（例如Cisco 4400系列无线局域网控制器和Cisco 2000系列无线局域网控制器），以及可以与有线网络结合的无线局域网控制器，例如Cisco Catalyst 6500系列

19、无线服务模块（WiSM）和用于集成多业务路由器的思科无线局域网控制器模块（WLCM）。开发一种新的无线局域网集中化协议为了在轻型接入点和无线局域网控制器之间传输数据和实现通信，需要一种新的协议。该协议需要满足下列要求：l 便于部署该协议必须能够跨越子网边界，而不是仅仅将多个VLAN连接到集中控制器。l 部署安全将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。l 对接入点的实时控制在部署、认证接入点和将其连接到控制器之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。l 协议扩展能力该协议需要支持多种平台从大型以

20、太网交换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网络组件。l 传输扩展能力尽管网络通常运行在以太网的基础上，但是该协议必须能够支持低速的WAN连接，甚至无线网络（对于无线网状网络等应用）。这就是即满足这些对于开发新型通信协议的要求，又符合实际需要的支持第二层和第三层数据包信息的轻型接入点协议（LWAPP）。3.3.3集中化协议LWAPP简介LWAPP是什么？LWAPP是一项由思科系统公司拟定的互联网工程任务小组（IETF）标准草案，实现了轻型接入点和WLAN系统（例如控制器、交换机和路由器）之间的通信协议的标准化。它的目标包括：l 减轻接入点中的处理量，让它们将计算资源集中用于无线

21、接入，而不是过滤和策略实施l 为整个WLAN系统进行集中的流量处理、验证、加密和策略实施l 利用一个第二层基础设施或者IP路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制LWAPP标准可以通过定义下列规范实现这些目标：l 接入点设备发现、信息交换和配置l 接入点认证和软件控制l 数据包封装、分段和格式化l 接入点和无线控制器之间的通信控制和管理LWAPP的工作原理LWAPP将轻型接入点的介质访问控制（MAC）功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能（例如次原子握手和发送给接入点的信标）都在接入点进行管理。其他对网络具有重要意义的功能（例如移动管理、身份验证、V

22、LAN划分、RF管理、无线IDS和数据包转发）都在无线局域网控制器进行管理。（如图1所示）图1 分离的介质访问控制功能l 安全策略l QoS策略l RF管理l 移动管理人力分配分离MACl 远程RF接口l MAC层加密无线局域网控制器LWAPP轻型接入点控制器MAC功能l 802.11 MAC管理：（重新）关联请求和行为框架l 802.11 数据：封装和发送到接入点l 802.11e资源预留：控制协议在802.11管理帧中发送到接入点信令在控制器完成l 802.11i身份验证和密钥交换接入点MAC功能l 802.11：信号发射，探测响应，身份验证（如果启用）l 802.11控制：数据包确认和传

23、输（延迟）l 802.11e：帧排序和数据包优先级设置（访问RF）l 802.11i：接入点中的加密轻型接入点和无线局域网控制器之间存在多对一的关系单个无线局域网控制器可以管理和操作大量的轻型接入点。另外，无线局域网控制器可以在一个大型无线网络中协调和比较信息甚至跨越WAN。就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的整体视图。一旦将这项协议作为标准，并准备好用于统一的平台，WLAN集中化的真正优势将会变得显而易见。3.3.4集中化和统一WLAN的好处下面列出了WLAN集中化和统一WLAN所具有的很多好处。3.3.4.1便于部署当在企业中部署自主接入点时，每个接入点都将单独进行配

24、置。这种配置可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后，每个接入点都将可以支持VLAN，以便划分不同的用户群组，为不同的用户和用户群组区分不同的LAN策略和服务（例如安全和服务质量QoS）。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围，VLAN可以在多台交换机中进行中继和扩展。在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层重新划分子网和设置VLAN中继。相反，VLAN将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。在使用集中化解

25、决方案时，一个轻型接入点只需要找出无线局域网控制器的IP地址当部署于第二层模式时。（在部署于一个远程子网中时，接入点需要IP地址、子网掩码和缺省网关信息）。轻型接入点还可以从一个标准的动态主机配置协议（DHCP）服务器接收无线局域网控制器的IP地址。在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊VLAN扩展到各个接入点。3.3.4.2 便于升级较低的运营成本可以提高一个机构的投资效率。问题是：怎样实现低成本的运营？集中化有助于简化升级利用思科统一无

26、线网络，所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时，它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。思科统一无线网络的低成本接入点升级的另外一个好处是：轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。3.3.4.3 通过动态RF管理建立可靠的连接过去，使用自主接入点的无线网络通常利用一个静态RF计划进行部署，而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的，即利用计算机对RF环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。RF预测的目标是以最小的信

27、道重叠，获得接入点的最优覆盖范围。但是，因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的，所以它们只是对实际RF环境的估计。例如，在使用RF预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。集中化可以提供动态RF无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。控制器能利用这些信息，为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。在一个支持思科LWAPP的接入点启动时，它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后，支持LWAPP的接入点会发出加密

28、的“neighbor”（邻居）消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度，以获得最佳的覆盖范围和网络容量。如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给网络中的每个接入点。思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”，即发生没有必要的变化。这样做的结果是

29、，建立起一个能够实时地适应不断变化的RF环境的动态无线网络。3.3.4.4通过用户负载均衡优化每个用户的性能802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。同样，每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。因此，所有客户端的RF吞吐都有可能降低所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。这可以提高每

30、个客户端的吞吐，动态地均衡网络的客户端负载。集中化有助于均衡用户负载思科无线局域网控制器和模块拥有一个网络整体视图。通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。另外，当某个客户端探测接入点（这是802.11标准的一部分，即客户端寻找任何广播它所寻找的WLAN名称的接入点）时，控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。例如，某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度（RSSI），决定哪个接入点应当响应客户端的探测信号。（如图2所示）图2 无线局域

31、网控制器决定哪个接入点应当响应客户端的探测信号3.3.4.5 访客联网访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。它让顾问和访客可以迅速开展合作，加快业务速度。今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能？如果使用自主接入点部署方式，管理员可以通过将“访客”VLAN拓展到网络中，提供访客网络。这些VLAN具有不同于普通网络流量的安全策略。这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。集中化有助于简化访客联网在思科统一无线网络中，每个无线局域

32、网控制器都具有一个美观的Web门户，让机构可以根据自己的业务需要定制WLAN。例如，网络管理人员可以将控制器放入DMZ，充当访客接口。当在网络中部署一个访客无线局域网时，所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。3.3.4.6第三层漫游借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将VLAN拓展到网络中的所有接入点，就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同它们通过拓展VLAN来实现漫游，因而会产生大范围的

33、、不便于扩展的广播域。通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。集中化有助于支持第三层漫游利用思科统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的LWAPP数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动IP等协议。3.

34、3.4.6 嵌入式无线IDS安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线ID系统，可以为网络添加一条额外的防线。无线局域网 IDS可以降低黑客或者恶意用户访问关键网络资源的风险。集中化有助于支持无线IDS 思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现，即有些功能由接入点承担，另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库，它可用于

35、检测无线威胁包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个honeypot*）的未经授权的接入点。思科统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。一种由网络管理员部署的，用于检测、制止未经授权的网络访问的授权接入点。3.3.4.7 定位服务定位服务是下一代无线网

36、络必须达到的一项要求。定位服务支持同时跟踪WLAN基础设施内部的数千个Wi-Fi设备。这些服务被用于一些关键的应用，例如高价值资产跟踪、IT管理、安全和业务策略的执行。其他应用包括：l 基于无线局域网的e911和语音l 客户端故障诊断和客户端位置与客户端连接问题的关联l 资产跟踪和管理，以跟踪任何支持802.11的设备（包括配有802.11 RFID标签的资产）l 基于位置的安全无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度，还可以从网络中的支持LWAPP的接入点那里获得关于客户端信号强度的信息。思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统（WCS）和思科无

37、线定位设备，它们将根据楼宇材料类型、多路径和反射等因素，进行高强度的RF指纹计算，确定802.11或者有源RFID设备的位置。这些信息将实时提供。LWAPP是支持定位服务的控制和传输协议。3.3.4.8 WLAN语音WLAN语音（VoWLAN）不仅可以提供IP语音（VoIP）的诸多好处（例如收费旁路），还可以提供移动性。选择VoWLAN功能的管理人员都希望通过用他们的802.11数据网络承担语音功能，降低或者消除办公楼内移动电话使用成本。集中化有助于支持高性能VoWLAN对于自主解决方案而言，基于802.11的语音采用了与普通数据流量相同的底层协议，并通过在接入点和一个语音终端之间运行802.

38、11e，提供了一些额外的功能。不幸的是，工作在相同信道的自主接入点无法协调它们的呼叫准入控制（CAC）功能。而且，所有能够接收到工作在相同信道的其他设备信号的设备都会受到共用信道干扰，而自主接入点并不能方便地解决这个问题。利用思科统一无线网络，无线局域网控制器可以为网络提供可预测的CAC。在这种统一网络中，控制器拥有网络中所有客户端的整体视图，以及同一信道中所有接入点之间的总呼叫容量。这种功能有助于确保当一个VoWLAN呼叫获准进入思科统一无线网络时，所有接入点可以提供足够的语音容量。这样，可以为网络提供更加可预测、更加可靠的语音性能。3.3.4.9 降低总拥有成本较低的总拥有成本（TCO）让

39、机构可以在不增加额外人手的情况下部署解决方案，从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于自主接入点部署方式，时间主要被用于安装和初始化接入点，重新设置接入点，以及升级接入点。在一个包含100个接入点的自主接入点网络中，如果一年为每个自主接入点花费30分钟，就相当于一年花费3000个人分钟，或者50个人小时。在五年的折旧期中，就有超过一个月的时间被用于自主接入点的管理上不包括诊断客户端和其他网络组件问题所用的时间。图3 为配置每个接入点付出的人力成本预测集中化有助于降低TCO利用思科统一无线网络，用户不需要逐一配置100个网络组件，而是只需要配置无线局域网控制器。控制器

40、进而再配置网络中的所有接入点。另外，管理员不需要升级网络中每个接入点的软件，而是只需要升级无线局域网控制器的软件，这样所有轻型接入点都会同时得到升级。因为无线局域网控制器能够搜索整个无线网络，所以它可以协调信息和使用高级功能（例如定位），为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的TCO，同时减少诊断和管理网络所需的成本。3.3.4.10 有线和无线整合有线和无线网络的集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用，必须提供覆盖整个系统的无线局域网功能（例如安全策略、入侵防御、RF管理、QoS和移动性）。使用轻型接入点和无线局域网控

41、制器的WLAN可以方便地支持有线、无线局域网的整合，因为控制器功能可以被集成到思科交换和路由平台之中。整合可以保护投资和精简成本思科统一无线网络提供了一个统一、创新的端到端网络。它可以提供有力的投资保护，为有线和无线网络确保一个安全、移动、经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控制器的统一网络基础设施，可以与集成到一系列思科交换、路由平台中的独立或者模块化局域网控制器配合使用。客户可以通过添加一个模块化无线局域网控制器（例如Cisco Catalyst 6500系列WiSM或者用于集成多业务路由器的思科WLCM），大幅度降低TCO、减少支持成本，以及缩短计划内和计划外断网时间

42、。思科统一无线网络还支持网络准入控制（NAC）和思科兼容扩展客户端设备。用于WLAN的NAC可以通过在WLAN客户端试图进入网络时执行设备安全策略，提供威胁防御功能。思科兼容扩展计划有助于推动那些可以与思科WLAN基础设施进行互操作，并利用思科创新提高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。3.3.4.11 总结思科统一无线网络可以降低部署、管理无线网络的复杂性；支持多种高级服务，例如语音、定位和访客联网；并且有助于确保有线、无线网络的运营成本的可管理性。网络集中和整合并不是新概念它最初是由蜂窝网络运营商所提出的，进而被引入到了802.11网络之中。通过集中和整合，无线网络将

43、能够扩展到大型企业级部署，为用户提供可靠的连接和移动性。4. 思科校园网WLAN建设方案4.1物理设计（部署）各区域AP数量统计（全校整体规划）：AP区域AP数量AP区域AP数量第二教学楼55学生公寓527第三教学楼47学生公寓660第四教学楼113学生公寓760第五教学楼129学生公寓8154食堂10学生公寓9167图书信息大厦38金鼎公寓180教学实习楼13住宅25第一实验楼15体育场（室外）4第二实验楼19国教小体育场（室外）2学生公寓1（培训中心）18毓秀园（室外）2学生公寓2（数字领地）18古松园（室外）2学生公寓327小广场（室外）1学生公寓424其他（室外）3共计：1213 其中

44、本次方案仅针对以下部分楼宇（二期无线建设）：AP区域AP数量图书信息大厦38具实际调查，XXXX正在建设的一期无线工程采用的是CISCO的无线控制4404加瘦AP的方案，故本次的二期无线建设方案也采用的CISCO的产品，便于统一管理。本次工程采用AP就近接入的原则，即每楼宇设备间新添交换机直接连至该楼汇聚设备上实现网络连通，同时提供POE供电的功能；作为整个无线局域网络的中央管理控制器，本次采用的是无线控制器AIR-CT5508-100-K9,该控制器可扩展至管理250AP，便于今后的无线建设及扩展；无线管理软件WCS只需提供接口连接至网络即可实现其管理功能。具体的逻辑组网图如下图所示： 无线

45、网络组网如下图所示：无线控制器核心交换机室内无线接入点选择AIR-LAP1131AG-C-K9，均使用全向天线实现覆盖；无线控制器选择AIR-CT5508-100-K9。使用POE交换机WS-C2960-24PC-L为AP提供电源，个别设备间点位较少情况下可使用Power Injector供电模块利用原有网络资源实现供电功能。无线网络管理采用思科无线控制系统（WCS），为无线网络运行提供RF预测、策略配置、网络优化、排障、用户跟踪、安全监控等支持。4.1.1无线覆盖方案4.1.1.1 覆盖区域此次无线网络实现XXXX全校部分范围无线网络接入环境，其中本次仅实施图书信息大厦。4.1.1.2 设计

46、指标、原则及覆盖方式设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。设计指标：各信号输出点信号强度1015dbm；将按照2.4G工作频段2.4122.462GHz（FCC）分为channel1、channel6、channel11三个完全不干扰频段设计；目标覆盖区域信号强度-80dbm。1、一般来讲室内容许最大覆盖距离为35100米室外容许最大距离100400米2、障碍物阻挡要观测无线覆盖周围的障碍物确定AP的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下：A. 水泥墙(1525cm): 衰减1012dBB. 木板墙(510cm): 衰减56dBC. 玻璃窗(35cm): 衰减57dB各种建筑材料对无线讯号的影响如下： 当A