思科统一无线网络设计和部署（下） .ppt

《思科统一无线网络设计和部署（下） .ppt》由会员分享，可在线阅读，更多相关《思科统一无线网络设计和部署（下） .ppt（94页珍藏版）》请在三一办公上搜索。

1、无线安全状态监视,Security Index,无线入侵保护,监测 RF相关的攻击,Netstumbler,wellenreiter,void11,FakeAP,address spoofing,DoS,etc.,管理帧保护,制定攻击签名,实时的 24x7监控和告警,流氓AP/客户端检测、定位、围堵,基于规则的非法设备管理,Automatically Classify Rogues as:,Managed SSIDAny SSIDMinimum RSSI,Time duration,Malicious(Threat or Alert),Malicious or FriendlyKnown Fr

2、iendlyOpen,Unknown,Wireless LAN,Controller Template,Number ofrogue clientsAuto Detect Threat or Alert StateUsing RLDP or Rogue DetectorThreatRequires Attention NowAlertPut It in the Queue,Legend:,Quickly LocateRogues,WCS 报告,报告规则,制定化报告（小时、天、星期、月）、邮,件输出,无线接入点及客户端报告,AP位置及SSID AP Profile 状态,AP/客户端负载统计 A

3、P/客户端流量报告,客户端数量及状态统计,设备报告,控制器,无线接入点,定位,性能报告,802.11参数统计,AP、控制器、定位器的内存、CPU、负载,无线覆盖报告 覆盖空洞统计,安全报告,安全事件统计报告,每月假冒及非法设备检测统计,Mesh报告,链路状态、父结点变更,节点、PER和状态、低SNR链路统计,独立无线接入点的监视和迁移Free basic and alarm monitoringof standalone(autonomous),access pointsMonitor all Cisco IOS-basedCisco Aironet standalone modelsMoni

4、tor Integrated Services Routeraccess points 800,1800,2800,and 3800 seriesEasily migrate Cisco Aironetstandalone access points,aIOSaIOSaIOS,(individually or as groups of 10)WLAN ControllerMigrate Standalone Access PointsLWAPP,Monitor Standalone Access Points,无线网络计费,无线网络计费方式,无线控制器与RADIUS通讯,负责管理无线客户端的登

5、录/登出,由RADIUS发出PoD指令，通知无线控制器终结相应用户计费网关与RADIUS通讯负责统计每个用户的国内/国际流量，并产生计费帐单,RADIUS,无线接入控制器无线网络AP,计费网关,Si原有校园网络,CERNET/Internet,配置相关路由策略,无线网络部署蓝图,BranchOutdoor,Cisco Unifies Wireless Across All Places in the Network,CampusRemote Office,WiSM for theCatalyst 65004400 SeriesWLANController2100 SeriesWLAN Cont

6、rollerH-REAP,Integrated ServicesRouter w/WLCMCatalyst 3750Integrated WLANControllerWireless Mesh,WAN,灵活的架构实现有线和无线的融合思科统一无线网络的部署适应各种场景,AAA RADIUS服务器,ACS WCS Location,FIPS 140-2 Certification,Netflow Statistics Appliance,AAA proxy,Common Criteria Certification,无线接入点,HA,802.11a/b/g WiFi Certifiedcore 制

7、器,无线控,Common Criteria Certification,Standards based WPAv2 802.11i,EAP-TLS 802.1x Supplicant Layer 3 Mobility,AIR-AP1010-C-K9,AIR-LAP1131AG-C-K9Detection,接入层网络,AIR-WLC4404-100-K9,Data,WAN&InternetAccess,WLC,WLC,核心网络High AvailabilityRedundancy Hardware ForwardingWS-C6509-E-WISMWS-C6504-E-WISM,思科统一无线网络

8、的部署汇聚层网络Center,FIPS140-2FIPS 140-2 Certified 802.11i,N+1 Redundancy for High Availability,High AvailabilityHardware ForwardingClassificationSecure Client AuthenticationWS-C6509-E-WISMWS-C6504-E-WISM冗余的无线控制器,Network Management,Wireless,Rogue AP and Rogue,WCS无线网络管理Enterprise Wireless实时定位服务器EnterpriseA

9、sset TrackingConfigurationWireless Intrusion Detection Client TrackingCommon Criteria Certification,Classified as Information Assurance DeviceWPAv2 WiFi Certified无线客户端 Certification encryptionCommon Criteria Certification FIPS 140-2 Simultaneous ConnectionIDS/IPSDistribution AccessSeamlessWireless I

10、ntrusionWireless Intrusion Prevention802.3af PoEWLC QoS ClassificationWS-C3750G-24WS-S50,Client Wireless to and ClientCertifiedRedundant,Location Services,大型分支,4400 Controller LWAPP APs Location Services中型分支 LWAPP APs 4400 Controller,小型分支,LWAPP APs WLCM in ISRrouter(or)2000 Controller小型办公室 Hybrid RE

11、AP APs Autonomous APs,总部/数据中心,LWAPP APsWiSM ControllerWCSMobility servicesWAN,思科统一无线网络在园区的部署,移动性和漫游设计、部署建议,可扩展的移动组架构,移动组允许控制器协同工作提供跨越控制器的无缝漫游,APs 在加入控制器后会学习到移动组内其他控制器成员的,支持多达 72 台控制器组网,每个移动组支持3600个APs,控制器之间通过移动消息交互,移动消息封装在 EtherIP(RFC 3378)隧道内在控制器之间传输,隧道自动建立,客户端是如何漫游的？,什么是漫游？,指的是客户端将关联关系从一个AP切换到另一个A

12、P，而让无线连接能够保持的过程。,漫游必须满足的条件是什么？,信号连续覆盖。AP配置为使用互不重叠的不同信道，这确保客户端在接收附近AP的信号时不受来自其他AP的信号干扰。,何时进行漫游,客户端可以在其需要漫游前主动搜索其他相邻AP；客户端可以在需要漫游时才搜索相邻AP。,漫游过程完全是由无线客户端驱动程序（而不是AP）驱动的！,客户端是如何漫游的？,无线客户端根据各种条件确定漫游的时机。,802.11标准没有规定根据何种条件漫游这个问题，因此使用的漫游算法随客户端厂商而异。,漫游算法通常使用的是“秘密配方”，因此无法知道各个厂商精确的阈值和条件。,在漫游算法中，通常使用的一些条件包括信号强度

13、、信号质量、遗漏的信标数、由于冲突或干扰导致的错误等。选择这些条件通常是因为他们说明了连接的整体的质量。,由于不同的客户端使用不同的阈值，因此在蜂窝内的同一个位置，有些客户端可能尝试进行漫游，而有些不这样做。有些客户端选择在几乎收不到当前AP的信号时才进行漫游，而有些客户端在有更佳的AP时就进行漫游。,换句话说，我们不要过多的考虑控制漫游算法的因素，而只需熟悉漫游过程即可。,客户端漫游过程（802.11层面）,在位置A，客户端可以从AP1那里收到清晰的信号，因此它保持同该AP的关联。,当客户端向位置B移动时，它发现AP1的信号不再是最优的。在此过程的某个位置，客户端开始查找更佳的AP以便同其关

14、联。无线客户端采取两个步骤来完成这个过程：,第1步 客户端发送802.11探针请求管理帧；,第2步 侦听的AP使用802.11探针响应帧来应答客户，以通告自己的存在。,客户端收到探针应答后，对其进行评估，以确定同哪个AP关联是最合适的。,在位置C客户端决定进行漫游，并切换关联。首先，必须删除现有的关联，因为每个客户端不能同时与多个AP关联。客户端通过信道1（AP1使用的信道）向AP1发送802.11解除关联消息，然后客户端便可以通过信道6向AP2发送关联请求，接下来AP2使用关联响应做出应答。,漫游时我的应用会中断吗？,在漫游过程中，客户端必须先解除原来的关联才能协商新关联，因此在一段较短的时

15、间内客户端没有同任何AP相关联，这实际上就是客户端无法发送或接收数据的离线时间。,然而，这端时间通常非常短暂，第2层漫游的目标是确保离线时间尽可能短，以免对延迟敏感的应用受到负面影响。思科可以通过CCX特性保证多厂商的互操作性，使得2层漫游时间最小化,在漫游期间，客户端的IP地址保持不变。这提供了方便，因为客户端关联到另一个AP时，无需花时间来获得新的IP地址。思科统一无线网络架构保证了客户端无需更新IP地址,同一控制器内漫游,客户端在同一控制器下管理的AP之间漫游,客户端必须重新关联和认证 并建立新的session,控制器更新数据库内客户端对应的AP和相关的安全内容,客户端无需更新IP地址,

16、控制器之间的漫游 1客户端必须重新关联和认证 并建立新的session,控制器通过移动消息交互同步更新客户端数据库内对应的AP和相关的安全内容客户端无需更新IP地址,客户端在不同控制器（控制器部署在同一2层网段）下管理的AP之间漫游。,客户端在不同控制器（控制器部署在不同网段）下管理的AP之间漫游。,控制器之间的漫游 2客户端必须重新关联和认证 并建立新的session控制器通过移动消息交互同步更新客户端数据库内对应的AP和相关的安全内容,客户端无需更新IP地址数据流量可以以对称或非对称方式转发,漫游必须保证什么样的需求？,漫游必须是快速的 延迟由下列因素造成:,客户端频点扫描和AP的选择算法

17、,客户端必须重新认证并生成新的密钥,漫游必须保证安全性,Open auth,static WEP session 延续在新的 AP上,WPA/WPAv2 Personal 通过标准的握手协议生成新的 session密钥用于数据加密,802.1x,802.11i,WPA/WPAv2 Enterprise 客户端必须重新认证并生成新的session密钥用于数据加密,快速并且安全的进行漫游,客户端频点扫描和AP的选择算法,通过 CCX 特性保证,刷新IP 地址？,基于控制器架构的统一无线网络很好的解决了该问题!,客户端重新认证和密钥的再生成,通过以下两种机制保证：,Cisco Centralized

18、 Key Management(CCKM)802.11i Proactive Key Caching(PKC),支撑漫游的网络设计最优方法,在设计中尽量最小化或避免发生在控制器间的漫游控制器间的网络延迟（RTT）小于10msec,控制器间的2层（控制器部署在同一子网）漫游比3层（控制器部署在不同子网）漫游更有效使用 PKC/CCKM 来加速安全的漫游客户端漫游的行为 通过CCX特性保证,无线射频设计,Total Energy on Each ChannelNon-802.11 NoiseNon-802.11 Noise Heard on Channel802.11 Interference(D

19、escribed as%busy)802.11 Packets Heard DuringSampling IntervalsUtilizationMore Emphasis Given to APs ThatRequire More Bandwidth,LWAPP APWLC,发射功率用户负载管理自动频段分配,欺诈侦测和压制覆盖漏洞管理移动性管理,Key RF Stats ProfiledAP Received Energy,射频资源管理内嵌于无线控制器,干扰发现和避免All Channels Scanned While Offering Service,Country Channels On

20、ly or All ChannelsAll 802.11 Packets Collected and CharacterizedRogue Beacons,Rogue Clients,802.11 Interference,and Matched Against IDS Signatures就像控制器里有一个 射频规划和调整的专业工程师,射频资源管理实时射频管理 射频域是一个永远变化的环境 用户的移动 干扰的发生 控制器从无线域的整体系统角度出发对所辖的AP实施覆盖优化以及网络可用性的调整,优化的射频环境提高应用的性能和网络可用行,全面的射频管理无需具备专业射频技能的人员无需射频校准 减少了维

21、护支持的成本,Benefits,RF channel“1”RF channel“6”RF channel“11”,Assignment,Power,DynamicChannelOptimization,射频资源管理最佳的网络性能 动态客户端负载均衡 解决了高密度用户部署时性能和容量的问题例如，会议室，礼堂，集会 客户端和网络架构决定最佳的负载均衡方式保证应用和网络的性能,保证网络带宽和延迟敏感应用的运行(例如无线 IP语音)减少了维护支持的成本；增加了用户满意度,Benefits,问题:RF 干扰,+,=,WiFi Devices,Other Devices,Bad Experiences,物

22、理层安全是无线网络的第一道防线,LAN/WANNetworkCisco AironetAccess PointsCisco Compatible Client Devices,Wireless/WiredNetworkCognio SpectrumExpert SensorsCognio Detected Incompatible&Interfering Devices,频谱分析集成监测,分类,以及RF干扰定位Cisco WCSCisco WLAN Controller,思科无线频谱分析工具的部署,场景,用途,无线频谱站点勘查(Pre wireless deployment)无线频谱故障排查(

23、Post wireless deployment)无线频谱连续监测(Post wireless deployment)频谱遵守审计(Post wireless deployment),在无线网络部署之前就获得潜在的射频干扰信息巡视园区并将捕获的数据发送给无线网管 WCS 来进行故障排查，查找远端的干扰源在无线网络间歇性或持续性发生射频干扰的的地区部署，持续检测射频环境，并将捕获的数据发送给无线网管 WCS使用来自思科频谱分析工具和思科WCS的干扰数据，以确定和审核频谱政策，并评估对未来无线基础设施投资的影响,1.独立2.移动3.静态4.审计,无线覆盖设计,IEEE 802.11 Radio S

24、ummary,2.4022.483Worldwide Available,5.155.35,5.475.825Limited WorldwideAvailability,Frequency Range(GHz)Status,19996,9,12,18,24,36,48,54Up to 19 inCertainRegulatoryDomains,20031,2,5.5,11 and6,9,12,18,24,36,48,543,19991,2,5.5,113,RatifiedData Rates(Mbps)Numberof Non-OverlappingChannels,802.11a,802.1

25、1g,802.11b,无线连接速率,覆盖和站点勘查距离 AP越近，客户端获得的无线连接速率越高,速率越高，蜂窝约小。思科支持皮蜂窝技术（Pico Cell）来支持高密度高带宽接入AP蜂窝的大小取决于AP的发射功率覆盖采用全部发射功率来规划的设计会极大减小射频管理的灵活性天线的增益会影响蜂窝的大小天线增益是用信号强度来换取方向性在同样的发射功率和获得同样连接速率的情况下2.4GHz 和 5GHz频段的覆盖范围有一些差别,2.4 or 5 GHz蜂窝所以站点勘查必不可少,部署举例,频点布局是WLAN设计的有效组成部分目标是同频最小化重叠2.4GHz 频谱只有3个互相不重叠的频点，管理分配相对困难,

26、5GHz互相不重叠的频点数量较多，管理分配相对容易无需担心，思科无线控制器提供自动智能的射频资源管理，可以正确有效的的管理分配频点资源,1&6 5&65&1 8&17&6 1&6 1&65&11,3&11 3&11 3&11,3&11 3&11,802.11a802.11b/g1&6 8&68&1 8&1 1&1,802.11b/g6 6 611 111 1 16 611 11 111 16 6 611 11,837,8131,802.11a13 381 535 815,Ch 11Ch 6,Ch 6Ch 1,Ch 11Ch 6,Ch 1,15-20%覆盖重叠,典型的 802.11b/g 覆盖设

27、计（二维模型）,Channel 11,Channel 11Channel 6,1st Floor,Channel 6Channel 1,典型的 802.11b/g 覆盖设计（多楼层三维模型）2nd FloorChannel 1,Ch 36Ch 52,Ch 56Ch 161,Ch 48Ch 60,15-20%覆盖重叠,典型的 802.11a 覆盖设计（二维模型）,Ch 149Ch 44,1st,Floor,2nd Floor,Channel 36,Channel 44,Channel 52,Ch 60,Channel 44Channel 48,Channel 36Channel 56,Chann

28、el 60Channel 40,Ch 52Ch 64,典型的 802.11a 覆盖设计（多楼层三维模型）Cisco Aironet3rd Floor,如何进行射频规划设计,无线网络希望提供何种服务？是 802.11a,802.11g,802.11b还是802.11n？,提前通过WCS射频规划工具模拟,通过内嵌无线控制器的的动态射频管理模块持续监视无线环境，并作出调整（例如增大缩小发射功率，频点分配等）,通过WCS的网络可视化界面查看现有无线覆盖情况,无线安全设计部署,统一无线网络安全端到端，一体化 唯有思科提供细致层次的认证和图形化管理Location services enable prec

29、ise mapping of clients andthreats,allowing fine-grained authentication and quickremoval.,综合有线 IDS/IPSUnified wired and wireless IDS ensures maliciouswireless clients are disconnected from the network.无线端点准入Cisco NAC prevents wireless endpoints from introducingviruses,spyware,malware,etc.无线 IDS/IPSCo

30、mprehensive wireless threat identification and over-the-,air prevention.接入端点保护Cisco Secure Agent detects and prevents offsite wirelessthreats such as ad hoc networks.,802.11aRogue AP,802.11aRogue Client,L2 IDS,L3-7 IDSCisco NAC ApplianceRF Containment,无线安全是一个层次化的防御体系,用户组A,用户组D,用户组B用户组C,用户群分类,无,线接入安全

31、策,略,VLAN A,BSSID,接入点控制器接入点,SSID,空中数据安全接入安全Web,MAC,802.1xNAC,有线侧安全控制,RF干扰,802.11 MAC层,PH层,管理帧安全,物理接入区域,L2L7,VLAN CVLAN D,VLAN E,IPS/SCE,思科提供端到端的无线安全接入,无线网络物理安全（集成智能频谱分析仪）,无线终端用户的用户认证（802.1x，各种EAP，用户名/密码，数字证书）,无线终端用户的数据加密（WEP，TKIP，AES）无线接入点的接入认证,无线控制帧的安全管理（MFP）Mesh回传链路数据的安全加密,基于2-7层内容的入侵检测系统（无线IPS/IDS

32、系统内置于控制器，和有线IDS/IPS互动）,支持精确的无线入侵、射频干扰、非法AP定位和隔离，保证无线网络免受无线类的安全攻击,终端的安全接入保证（NAC）,终端快速、安全漫游机制的实现（CCKM）,独特的访客隔离机制，保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离，在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全,802.11 Fundamentals,Secure 802.11 is a three stage process,Association Establish Link 802.1X/EAP Authentication Encrypt

33、ion TKIP or AES,Association Process,Management Frames are not encrypted,Addressed by Management Frame Protection(MFP)Discussed later,802.11 Security,Enterprise WLAN Security relies upon 802.1xauthentication.,802.1x is port based security.,The association process establishes a virtual port Encryption

34、 protects that virtual port,EAP/802.1X,Overview,802.1X authentication has three key componentsSupplicant-WLAN ClientAuthenticator-WLC,Authentication Server AAA Server,Wi-Fi Protected Access(WPA)and WPA 2,Components of WPA:,Authenticated Key Management using 802.1X:,EAP-TLS and RADIUS are the nominat

35、ed EAP test mechanism,Unicast and Broadcast Encryption Key Management TKIP:Per-packet Keying,IV expansion:48 bit IVs,Message Integrity Check(MIC),Migration Mode coexistence of WPA and WEP devices,Why WPA?,Migration from WEP using the same hardware,fixed known WEP,issues,WPA 2 uses:,AES CCMP Encrypti

36、on rather than TKIP,EAP Authentication,WPA 4 way handshake,WPA and WPA2 perform a 4 way handshake to establish encryption kyesUnlike earlier 802.1X WEP implementations.WPA doesnt use the derivedkey(PMK)directly,A 4 way handshake is used to generate a temporal key,and multicastgroup key,EAP Protocols

37、:Feature Support,NoYesYesYesNoNoLowLow/Medium,Yes1YesYesYesNoNoLowLow,NoNoYesNoYesNoMediumHigh,NoNoYesNoYesYesHighHigh,Off-Line Dictionary Attacks?Local AuthenticationWPA SupportApplication Specific Device(ASD)SupportServer Certificates?Client Certificates?Deployment ComplexityRADIUS Server Scalabil

38、ity Impact,EAP-FAST,LEAP,PEAP,EAP-TLS,1 Strong,password policy mitigates dictionary attacks;please refer to:,http:/,Wi-Fi Protected Access,What are WPA and WPA2?Authentication and encryptionstandards for Wi-Fi clients andAPs 802.1x authentication WPA uses TKIP encryption WPA2 uses AES block cipheren

39、cryptionWhich should I use?Gold,for supporting NIC/OSs Silver,if you have legacy clients Lead,if you absolutely have noother choice(i.e.,ASDs),GoldWPA2/802.11i EAP-Fast AESSilverWPA EAP-Fast TKIPLeadDynamic WEP EAP-Fast/LEAP VLANs+ACLs,关键的控制器保护,控制器默认不允许Multicast/broadcast 流量通过，除非管理员设置,控制器具备 ARP Prox

40、y 功能,ARPs 和 Gratuitous ARPs 不会发送到WLAN 控制器屏蔽 duplicate IP Spoofing,对于客户端控制器扮演 DHCP relay 角色,DHCP requests are checked against associated client MAC,ass,=D,管理帧保护(802.11w-MFP)问题:没有任何手段确保无线管理帧的认证、加密或者签名保护思科解决方案:在管理帧内插入签名（MIC）AP beacons,Probe Requests/ResponsesAssociations/Re-associationsDisassociationsA

41、uthentications/De-authentications,Action Management Frames,Managed AP1MAC addr A.B.C.D,Attacker spoofing AP1MAC addr A.B.C.D,Dis,oc,iat,io,n,如果管理帧没有有效签名，AP将告警，AP和客户端丢弃该管理帧，用户接入请求将被忽略,Signature?,NO,isc,ard,管理帧保护处理过程,既对AP保护又对客户端保护,AP和客户端在每个管理帧加入MIC 签名异常检测持续进行，并汇报给控制器/WCS,MFP Protected,MFP Protected,FU

42、TURE-CCXv5,Rogue Access PointsHackerEmployees Unknowingly CreateOpening to Enterprise NetworkDenial of Service AttacksDenial ofServiceMalicious Hackers Disrupt CriticalBusiness Services,Ad-hoc Wireless NetworksHackerClient-to-Client Connections BypassInfrastructure Security CheckpointsClient Mis-Ass

43、ociationRogueWLANEmployees Connect to anExternal WLAN,Creating Portal toEnterprise Wired Network,基于射频(Radio Frequency)的安全威胁,非法AP检测、发现、定位、压制（完整的解决方案）,Controlled by administratorMultiple rogues containedsimultaneously,4.View HistoricalReport,2.Assess Rogue AP(Identity,Location,.),1.Detect Rogue AP(gen

44、erate alarm),3.Contain Rogue APXX,非法 AP 的侦测,从多个层面检测网络中的非法AP:,空中接口侦测 detection of rogue devices byobserving/sniffing beacons and 802.11 probe responses 射频侦测 use of the detected RF characteristicsand known properties of the managed RF network to locatethe rogue device,有线网络侦测 a mechanism for tracking/c

45、orrelating the,rogue device to the wired network,非法AP类型,连接在用户网络中的非法AP,没有连接在用户网络中的非法AP AD-HOC组网,连接在非法AP上的客户端,定位非法AP位置,压制非法AP,发动非法操作的客户端可以被屏蔽,控制器根据客户端行为屏蔽可疑的客户端,全局屏蔽策略，可定义屏蔽检测和执行以SSID为基础,无线入侵防护系统集成在无线控制器内,数字签名库 易于升级,无需特殊的无线传输监测（AP在转发数据的同时可以检测）保证WLAN的不间断运行,和思科其他安全解决方案集成,与思科访客服务集成,提供有线和无线网络的访客服务与思科防火墙/I

46、DS集成,与思科端点准如应用集成,与思科IDS/IPS集成与思科CS-MARS集成,Wired IDS4200 Series IDS Sensor,有线/无线 IDS/IPS 集成Cisco Controller2.Deep,PacketInspection,3.Shun,1.MaliciousTraffic fromAuthenticatedUser,Authorized userslaptop infectedwith worm orvirus,IDS/IPS sensor monitors traffic with deeppacket inspection(Layer 7)to ide

47、ntify andtriggers shun event;WLAN controllershuns/blocks the MAC address ofcompromised wireless clientIntegration of wired and wireless security,Solution,EnterpriseNetwork1.Client to AP/Controller2.Controller to IDS3.Shun IDS to controllerProblem,CS-MARSACSv4.0,与CS-MARS的集成CS-MARS provides a centrali

48、zed monitoring and reporting pointfor 802.1x-related events from ACS,NADs,and third partysecurity serverspnAgent forwards logs from ACS to CS-MARSPinpoints where identity events are occurring in the network,provides detailed logging information regarding events,and reports802.1x Failed Authenticatio

49、nsTop,Users,AuditServer,NADSpnAgent,PostureValidationServerSyslog,内部网/网络,与端点准入应用的集成目标,2.用户被重导向到登录页面Clean Access验证用户名和密码，并执行设备和网络扫描。以评估设备上的安全漏洞,3a.设备不符合安全策略或登录信息不正确拒绝用户接入，向其分配一个隔离角色，使其访问在线修复资源,隔离,3b.设备已“清洁”机器进入“认证设备列表”，获得接入网络的许可,Clean AccessServer,Manager,1.最终用户尝试访问某一网页或使用一个可选客户端在有线或无线最终用户提供登录信息之前，禁止

50、其接入网络,验证服务器Clean Access,无线网络提供的服务基础服务,服务质量（QoS）保证,QoS考虑,无线端QoS,无线端QoS,WMM,下行控制，上行控制,AP至控制器QoS,WMM映射,有线端也需要考虑相应的QoS定义,无线端QoS,WMM,三层 QoS 报文增强标记,LWAPP Tunnels,Si,WLAN Controller,AP,Ethernet Switch,802.11e DSCP Payload,LWAPP EncapsulatedDSCP Payload,DSCP,802.1p DSCP Payload,802.11e DSCP Payload,LWAPP En