思科无线网络解决方案

思科无线网络解决方案内容摘要：

是一项由思科系统公司拟定的互联网工程任务小组（ IETF）标准草案，实现了轻型接入点和 WLAN 系统（例如控制器、交换机和路由器）之间的通信协议的标准化。 它的目标包括：  减轻接入点中的处理量，让它们将计算资源集中用于无线接入，而不是过滤和策略实施  为整个 WLAN 系统进行集中的流量处理、验证、加密和策略实施  利用一个第二层基础设施或者 IP 路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制 LWAPP 标准可以通过定义下列 规范实现这些目标：  接入点设备发现、信息交换和配臵  接入点认证和软件控制  数据包 封装、分段和格式化  接入点和无线控制器之间的通信控制和管理 LWAPP 的工作原理 LWAPP 将轻型接入点的介质访问控制（ MAC）功能交由无线局域网控制器和轻型接入点共同承担。 对时间敏感的功能（例如次原子握手和 发送给 接入点的 信标 ）都在接入点进行管理。 其他对网络具有重要意义的功能（例如移动管理、身份验证、 VLAN 划分、 RF 管理、无线 IDS 和 数据包 转发）都在无线局域网控制器进行管理。 （如图 1 所示） 图 1 分离的介质访问控制功 能  安全策略  QoS 策略  RF 管理  移动管理 人力分配 分离 MAC  远程 RF 接口  MAC 层加密 无线局域网控制器 LWAPP 轻型接入点 控制器 MAC 功能  MAC 管理：（重新）关联请求和行为框架  数据：封装和发送到接入点  资源预留：控制协议在 管理帧中发送到接入点－信令在控制器完成  身份验证和密钥交换 接入点 MAC 功能  ：信号发射，探测响应，身份验证（如果启用）  控制： 数据包确认和传输（延迟）  ： 帧排序和 数据包 优先级设臵（访问 RF）  ：接入点中的加密 轻型接入点和无线局域网控制器之间存在多对一的关系 ―― 单个无线局域网控制器可以管理和操作大量的轻型接入点。 另外，无线局域网控制器可以在一个大型无线网络中协调和比较信息 ―― 甚至跨越 WAN。 就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的 整体 视图。 一旦将这项协议作为标准，并准备好用于 统一 的平台， WLAN 集中化的真正优势将会变得显而易见。 集中化和统一 WLAN 的好处 下面列出了 WLAN 集中化和统一 WLAN 所具有的很 多好处。 便于部署 当在企业中部署自主接入点时，每个接入点都将单独进行配臵。 这种配臵可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。 在完成对自主接入点的配臵之后，每个接入点都将可以支持 VLAN，以便划分不同的用户群组，为不同的用户和用户群组区分不同的 LAN 策略和服务（例如安全和服务质量[QoS]）。 这些 VLAN 可以扩展到网络的接入层。 根据部署的规模和范围， VLAN可以在多台交换机中进行中继和扩展。 在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层 重新划分子网和设臵 VLAN 中继。 相反， VLAN 将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和 WLAN 划分到 VLAN 中。 这可以简化 WLAN 的部署和管理。 在使用集中化解决方案时，一个轻型接入点只需要找出无线局域网控制器的IP 地址 ―― 当部署于第二层模式时。 （在部署于一个远程子网中时，接入点需要IP 地址、子网掩码和缺省网关信息）。 轻型接入点还可以从一个标准的动态主机配臵 协议（ DHCP）服务器接收无线局域网控制器的 IP地址。 在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所 有RF 策略和无线局域网策略。 因为所有来自接入点的数据包都会被臵入一个 LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊 VLAN 扩展到各个接入点。 便于升级 较低的运营成本可以提高一个机构的投资效率。 问题是：怎样实现低成本的运营。 集中化有助于简化升级 利用思科统一无线网络，所有轻型接入点 映像 都会被嵌入到控制器 映像 之中。 当控制器 映像 被升级时，它也会升级所有与其关联的接入点。 不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。 思科统一无线网络的低成本接入点升级的 另外一个好处是：轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。 通过动态 RF 管理建立可靠的连接 过去，使用自主接入点的无线网络通常利用一个静态 RF 计划进行部署，而且每个接入点都以静态方式设臵它们的信道和功率。 这个计划是根据 RF 预测制定的，即利用计算机对 RF 环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。 RF 预测的目标是以最小的信道重叠，获得接入点的最优覆盖范围。 但是，因为 RF 预测是在一个不考虑部署后 RF 环境实际发生情况的计算机上进行的，所以它们 只是对实际 RF 环境的估计。 例如，在使用 RF 预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。 集中化可以提供动态 RF 无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。 控制器能利用这些信息，为网络创建一个动态优化 RF 拓扑。 无线局域网控制器可以用一种独特的方式提供动态 RF。 在一个支持思科 LWAPP 的接入点启动时，它会立即搜寻网络中的无线局域网控制器。 在其找到一个无线局域网控制器之后，支持 LWAPP 的接入点会发出加密的 “neighb or” （邻居）消息。 这些邻居消息包括 MAC 地址和任何相邻接入点的信号强度。 在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。 控制器随后会调节每个接入点的信道和信号强度，以获得最佳的覆盖范围和网络容量。 如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。 缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设臵发送给网络中的每个接入点。 思科统一无线网络 架构中内臵的算法有助于确保网络不会 “ 抖动 ” ，即发生没有必要的变化。 这样做的结果是，建立起一个能够实时地适应不断变化的 RF 环境的动态无线网络。 通过用户负载均衡优化每个用户的性能 协议很难预测和保障用户的性能和吞吐。 因为 供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。 当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。 同样，每个客户端设备对 RF 介质的访问权限与它们所关联的接入点一样。 因此，所有客户端的 RF 吞吐都有 可能降低 ―― 所有客户端都可以关联到同一个接入点。 这通常被成为 “ 会议室效应 ”。 负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。 这可以提高每个客户端的吞吐，动态地均衡网络的客户端负载。 集中化有助于均衡用户负载 思科无线局域网控制器和模块拥有一个网络 整体 视图。 通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。 另外，当某个客户端探测接入点（这是 标准的一部分，即客户端寻找任何广播它所寻找的 WLAN 名称的接入点）时，控制器会收到来自每个收到客户端探 测信号的接入点所发出的信号。 控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。 例如，某个相邻接入点能够以较低的信号强度提供相同的服务。 控制器将根据接入点的信号强度（ RSSI），决定哪个接入点应当响应客户端的探测信号。 （如图 2 所示） 图 2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号 访客联网 访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。 访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN 的 受控访问权限。 它让顾问和访客可以迅速开展合作，加快业务速度。 今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能。 如果使用自主接入点部署方式，管理员可以通过将 “ 访客 ”VLAN 拓展到网络中，提供访客网络。 这些 VLAN 具有不同于普通网络流量的安全策略。 这些VLAN 可能会成为错误配臵的来源和潜在的安全漏洞。 集中化有助于简化访客联网 在思科统一无线网络中，每个无线局域网控制器都具有一个美观的 Web 门户，让机构可以根据自己的业务需要定制 WLAN。 例如，网络管理人员可以将控制器放入 DMZ， 充当访客接口。 当在网络中部署一个访客无线局域网时，所有来自于访客 WLAN 的流量都会以隧道方式发送到访客控制器。 与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层 VLAN 架构进行任何改动。 第三层漫游 借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将 VLAN 拓展到网络中的所有接入点，就可以保持一个扁平式的无线子网。 那些采用自主接入点的网络则有所不同 ―― 它们通过拓展 VLAN 来实现漫游，因而会产生大范围的、不便于扩展的广播域。 通过像思科统一无线网络这样在不使用 VLAN 的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。 集中化有助于支持第三层漫游 利用思科统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的 IP 地址。 所有来自于无线客户端的流量都将被放臵到一个通过底层网络发送到无线局域网控制器的 LWAPP 数据包中。 客户端设备可以从一个连接到控制器的子网获得它们的 IP 地址 ―― 而不是它们所在的楼宇的子网。 底层子网基础设施对于客户端而言是透 明的。 控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动 IP 等协议。 嵌入式无线 IDS 安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。 一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。 通过在网络中采用一个无线 ID系统，可以为网络添加一条额外的防线。 无线局域网 IDS 可以降低黑客或者恶意用户访问关键网络资源的风险。 集中化有助于支持无线 IDS 思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和 IDS 传感器。 这可以通过 LWAPP 独有的 分离 MAC 架构实现，即有些功能由接入点承担，另外一些由控制器承担。 LWAPP 分离 MAC 让轻型接入点可以在不中断数据服务的情况下扫描信道。 接入点和控制器拥有一个强大的攻击签名库，它可用于检测无线威胁 ―― 包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。 轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。 另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有 证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个 honeypot*）的未经授权的接入点。 思科统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。 这种功能有助于确保客户端不会与恶意接入点建立关联。 一种由网络管理员部署的，用于检测、制止未经授权的网络访问的授权接入点。 定位服务 定位服务是下一代无线网络必须达到的一项要求。 定位服务支持同时跟踪WLAN 基础设施内部的数千个 WiFi 设备。 这些服务被用于一些关键的应用，例如高价值资产跟踪、 IT 管理、安全和业务策略的执行。 其他应用包括：  基于无线局域网的 e911 和语音  客 户端故障诊断和客户端位臵与客户端连接问题的关联  资产跟踪和管理，以跟踪任何支持 的设备（包括配有 RFID 标签的资产）  基于位臵的安全 无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度，还可以从网络中的支持 LWAPP 的接入点那里获得关于客户端信号强度的信息。 思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统（ WCS）和思科无线定位设备，它们将根据楼宇材料类型、多路径和反射等因素，进行高强度的 RF 指纹计算，确定 或者有源 RFID 设备的位臵。 这些 信息将实时提供。 LWAPP 是支持定位服务的控制和传输协议。 WLAN 语音 WLAN 语音（ VoWLAN）不仅可以提供 IP语音（ VoIP）的诸多好处（例如 收费旁路 ），还可以提供移动性。 选择 VoWLAN 功能的管理人员都希望通过用他们的 数据网络承担语音功能，降低或者消除办公楼内移动电话使用成本。 集中化有助于支持高性能 VoWLAN 对于自主解决方案而言，。