校园无线网络升级改造设计方案(cisco)

校园无线网络升级改造设计方案(cisco)内容摘要：

局域网控制器（例如 Cisco 4400 系列无线局域网控制器 和 Cisco 2020 系列无线局域网控制器 ），以及可以与有线网络结合的无线局域网控制器，例如 Cisco Catalyst 6500 系列无线服务模块（ WiSM）和用于集成多业务路由器的思科无线局域网控制器模块（ WLCM）。 开发 一种新的无线局域网集中化协议 为了在轻型接入点和无线局域网控制器之间传输数据和实现通信，需要一种新的协议。 该协议需要满足下列要求：  便于部署 ―― 该协议必须能够跨越子网边界，而 不是仅仅将多个 VLAN 连接到集中控制器。  部署安全 ―― 将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。 该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。  对接入点的实时控制 ―― 在部署、认证接入点和将其连接到控制器之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。  协议扩展能力 ―― 该协议需要支持多种平台 －－从大型以太网交换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网络组件。  传输扩展能力 ―― 尽管网络通常运行在以太网的基础上，但是该协议必须能够支持低速的 WAN 连接，甚至无线网络（对于 无线 网状 网络 等应用）。 这就是即 满足这些对于开发新型通信协议的要求， 又 符合实际需要 的 ―― 支持第二层和第三层 数据包 信息的轻型接入点协议（ LWAPP）。 9 集中化协议 LWAPP 简介 LWAPP 是什么。 LWAPP 是一项由思科系统公司拟定的互联网工程任务小组（ IETF）标准草案，实现了轻型接入点和 WLAN 系统（例 如控制器、交换机和路由器）之间的通信协议的标准化。 它的目标包括：  减轻接入点中的处理量，让它们将计算资源集中用于无线接入，而不是过滤和策略实施  为整个 WLAN 系统进行集中的流量处理、验证、加密和策略实施  利用一个第二层基础设施或者 IP 路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制 LWAPP 标准可以通过定义下列规范实现这些目标：  接入点设备发现、信息交换和配置  接入点认证和软件控制  数据包 封装、分段和格式化  接入点和无线控制器之间的通信控制和管理 LWAPP 的工作原理 LWAPP 将轻型接入 点的介质访问控制（ MAC）功能交由无线局域网控制器和轻型接入点共同承担。 对时间敏感的功能（例如次原子握手和 发送给 接入点的 信标 ）都在接入点进行管理。 其他对网络具有重要意义的功能（例如移动管理、身份验证、 VLAN 划分、 RF管理、无线 IDS 和 数据包 转发）都在无线局域网控制器进行管理。 （如图 1 所示） 图 1 分离的介质访问控制功能  安全策略  QoS 策略 无线局域网控制器 控制器 MAC 功能  MAC 管理 ： 10  RF 管理  移动管理 人力分配 分离 MAC  远程 RF接口  MAC 层加密 LWAPP 轻型接入点 （重新）关联请求和行为框架  数据：封装和发送到接入点  资源预留：控制协议在 管理帧中发送到接入点－信令在控制器完成  身份验证和密钥交换 接入点 MAC 功能  ：信号发射，探测响应，身份验证（如果启用）  控制： 数据包 确认和传输（延迟）  ：帧排序和数据包 优先级设置（访问 RF）  ：接入点中的加密 轻型接入点和无线局域网控制器之间存在多对一的关系 ―― 单个无线局域网控制器可以管理和操作大量的轻型接入点。 另外，无线 局域网控制器可以在一个大型无线网络中协调和比较信息 ―― 甚至跨越 WAN。 就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的 整体 视图。 一旦将这项协议作为标准，并准备好用于 统一 的平台， WLAN 集中化的真正优势将会变得显而易见。 集中化和统一 WLAN 的好处 下面列出了 WLAN 集中化和统一 WLAN 所具有的很多好处。 便于部署 当在企业中部署自主接入点时，每个接入点都将单独进行配置。 这种配置可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。 在完成对自主接入点的 配置之后，每个接入点都将可以支持 VLAN，以便划分不同的用户群 11 组，为不同的用户和用户群组区分不同的 LAN 策略和服务（例如安全和服务质量[QoS]）。 这些 VLAN 可以扩展到网络的接入层。 根据部署的规模和范围， VLAN 可以在多台交换机中进行中继和扩展。 在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层重新划分子网和设置 VLAN 中继。 相反， VLAN 将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和 WLAN 划分到 VLAN 中。 这可以简化WLAN 的部署和管理。 在使用集中化解 决方案时，一个轻型接入点只需要找出无线局域网控制器的IP 地址 ―― 当部署于第二层模式时。 （在部署于一个远程子网中时，接入点需要IP 地址、子网掩码和缺省网关信息）。 轻型接入点还可以从一个标准的动态主机配置 协议（ DHCP）服务器接收无线局域网控制器的 IP 地址。 在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所有RF 策略和无线局域网策略。 因为所有来自接入点的数据包都会被置入一个 LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊 VLAN 扩展到各个接入点。 便于升级 较低 的运营成本可以提高一个机构的投资效率。 问题是：怎样实现低成本的运营。 集中化有助于简化升级 利用思科统一无线网络，所有轻型接入点 映像 都会被嵌入到控制器 映像 之中。 当控制器 映像 被升级时，它也会升级所有与其关联的接入点。 不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。 思科统一无线网络的低成本接入点升级的另外一个好处是：轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。 通过动态 RF 管理建立可靠的连接 过去，使用自主接入点的无线网络通常利用一 个静态 RF 计划进行部署，而且每个接入点都以静态方式设置它们的信道和功率。 这个计划是根据 RF 预测制定的，即利用计算机对 RF环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。 RF 预测的目标是以最小的信道重叠，获得接入点的最优覆盖范围。 但是，因为 RF 预测是在一个不考虑部署后 RF环境实际发生情况的计算机上进行的，所以它们只是对实际 RF环境的估计。 12 例如，在使用 RF 预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。 集中化可以提供动态 RF 无线局域网控制 器可以自动获知同一个网络中不同轻型接入点之间的信号强度。 控制器能利用这些信息，为网络创建一个动态优化 RF 拓扑。 无线局域网控制器可以用一种独特的方式提供动态 RF。 在一个支持思科 LWAPP 的接入点启动时，它会立即搜寻网络中的无线局域网控制器。 在其找到一个无线局域网控制器之后，支持 LWAPP 的接入点会发出加密的“neighbor” （邻居）消息。 这些邻居消息包括 MAC 地址和任何相邻接入点的信号强度。 在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。 控制器随后会调节每个接入 点的信道和信号强度，以获得最佳的覆盖范围和网络容量。 如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。 缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给网络中的每个接入点。 思科统一无线网络架构中内置的算法有助于确保网络不会 “ 抖动 ” ，即发生没有必要的变化。 这样做的结果是，建立起一个能够实时地适应不断变化的 RF 环境的动态无线网络。 通过用户负载均衡优化每个用户的 性能 协议很难预测和保障用户的性能和吞吐。 因为 为每个网络组件提供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。 当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。 同样，每个客户端设备对 RF 介质的访问权限与它们所关联的接入点一样。 因此，所有客户端的 RF 吞吐都有可能降低 ―― 所有客户端都可以关联到同一个接入点。 这通常被成为 “ 会议室效应 ”。 负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。 这可以提高每个客户 端的吞吐，动态地均衡网络的客户端负载。 集中化有助于均衡用户负载 思科无线局域网控制器和模块拥有一个网络 整体 视图。 通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。 另外，当某个客户端探测接入点（这是 标准的一部分，即客户端寻找任何广播它所寻找的 WLAN 名称的接入点） 13 时，控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。 控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。 例如，某个相邻接入点能够以较低的信号强度提供相同的服务。 控制器将根据接入点的信 号强度（ RSSI），决定哪个接入点应当响应客户端的探测信号。 （如图2 所示） 14 图 2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号 访客联网 访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。 访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN 的受控访问权限。 它让顾问和访客可以迅速开展合作，加快业务速度。 今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能。 如果使用自主接入点部署方式，管理员可以通过将 “ 访 客 ”VLAN 拓展到网络中，提供访客网络。 这些 VLAN 具有不同于普通网络流量的安全策略。 这些VLAN 可能会成为错误配置的来源和潜在的安全漏洞。 集中化有助于简化访客联网 在思科统一无线网络中，每个无线局域网控制器都具有一个美观的 Web 门户，让机构可以根据自己的业务需要定制 WLAN。 例如，网络管理人员可以将控制器放入 DMZ，充当访客接口。 当在网络中部署一个访客无线局域网时，所有来自于访客WLAN 的流量都会以隧道方式发送到访客控制器。 与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方 案不需要对底层 VLAN 架构进行任何改动。 第三层漫游 借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将 VLAN 拓展到网络中的所有接入点，就可以保持一个扁平式的无线子 15 网。 那些采用自主接入点的网络则有所不同 ―― 它们通过拓展 VLAN 来实现漫游，因而会产生大范围的、不便于扩展的广播域。 通过像思科统一无线网络这样在不使用 VLAN 的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。 集中化有助于支持第三层漫游 利用思科 统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的 IP 地址。 所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的 LWAPP 数据包中。 客户端设备可以从一个连接到控制器的子网获得它们的 IP地址 ―― 而不是它们所在的楼宇的子网。 底层子网基础设施对于客户端而言是透明的。 控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动 IP 等协议。 嵌入式无线 IDS 安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。 一个重要 的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。 通过在网络中采用一个无线 ID 系统，可以为网络添加一条额外的防线。 无线局域网 IDS 可以降低黑客或者恶意用户访问关键网络资源的风险。 集中化有助于支持无线 IDS 思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和 IDS 传感器。 这可以通过 LWAPP 独有的分离 MAC 架构实现，即有些功能由接入点承担，另外一些由控制器承担。 LWAPP 分离 MAC 让轻型接入点可以在不中断数据服务的情况下扫描信道。 接入点和控制器拥有一个强大的攻击签名库，它可用于检测无线 威胁 ―― 包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。 轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。 另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有 证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个 honeypot*）的未经授权的接入点。 思科统一无线网络还可以利用其强大的隔离恶意功。