酒店无线覆盖解决方案.doc

酒店无线覆盖解决方案 作者 日期 芜芜 湖湖 升升 辉辉 西西 方方 财财 富富 大大 酒酒 店店 无无 线线 覆覆 盖盖 解解 决决 方方 案案 南京星涛乐焰信息科技有限公司 目目 录录 目目 录录 1 第第1章章 需求分析需求分析 3 1 1 无线网络需求分析 3 1 1 1 基于个人用户的运营管理 3 1 1 2 支持数据 语音等多种业务 有其它智能业务扩展能力 3 1 1 3 满足特点的安全和可靠性 3 1 1 4 满足生产 运营网络要求的运维和管理 4 1 1 5 支持用户全网漫游 4 1 1 6 灵活部署 易于扩展 高性价比 4 第第2章章 网络构架设计网络构架设计 5 2 1 接入选择 5 第第3章章 思科无线网络产品资料思科无线网络产品资料 8 3 1 无线局域网控制器 8 3 1 1 Cisco 2500系列无线局域网控制器 8 3 2 无线接入点 11 第第4章章 无线网络安全无线网络安全 21 4 1 物理层防护 21 4 2 链路层安全 22 4 3 网络上层安全 23 4 4 二层 三层安全无缝漫游 24 第第5章章 无线网络管理无线网络管理 26 5 1 无线管理能力 26 5 2 无线射频管理 27 5 3 与第三方网络管理软件的互通 28 第第6章章 思科在无线局域网方面的优势思科在无线局域网方面的优势 29 6 1 产品技术优势 29 6 2 公司总体优势 30 6 3 CISCO无线成功案例摘选 32 第第7章章 802 11N的引入介绍及测试分析的引入介绍及测试分析 35 7 1 802 11N介绍 35 7 1 1 介绍 35 7 1 2 802 11n的诞生 35 7 1 3 802 11n技术的现状 36 7 1 4 802 11n如何工作 36 7 1 5 MIMO技术 36 7 1 6 通道绑定 37 7 1 7 数据包聚合技术 37 7 1 8 802 11n的优点 38 7 1 9 同已有平台的向后兼容性 39 7 1 10 通向802 11n的渐进方式 39 7 1 11 Cisco Aironet 1250系列接入点 40 7 1 12 Cisco Aironet 1250系列接入点提供如下特性 40 7 1 13 投资保护 41 7 2 思科与英特尔 802 11N 协同引领和测试 41 7 2 1 管理概况 41 7 2 2 面向真实世界的企业级 802 11n 42 7 2 3 思科与英特尔 在无线与移动性领域通力合作 42 7 2 4 现实世界部署 802 11n 测试 42 7 2 5 现实世界 802 11n 测试 43 7 2 6 空中 Over the Air 测试点 43 7 2 7 合作测试 44 7 2 8 LoS 和 NLoS 测试 44 7 2 9 高客户端密度测试 47 7 2 10 多个 802 11n 与 802 11abg 容量测试 48 7 2 11 企业漫游 50 7 2 12 小结 52 第第1 1章章 需求分析需求分析 1 1 无线网络需求分析无线网络需求分析 根据要求对芜湖升辉西方财富大酒店进行全方位无线覆盖 共计11层楼 八楼考虑覆盖客房 餐厅及会议室 计4个点位 其余楼层考虑全覆盖 计4个点位 10层 共计 44个AP点 1 1 1 基于个人用户的运营管理基于个人用户的运营管理 无线网络系统需要支持运营管理功能 能够根据单个用户实现用户管理 包括 认证 计 费 安全控制 QoS控制等 1 1 2 支持数据 语音等多种业务 有其它智能业务扩展能力支持数据 语音等多种业务 有其它智能业务扩展能力 无线网络在支持数据转发的同时 应该是真正为语音业务优化的无线设计 包括一体化的 IP电话解决方案 通过新技术延长客户端待机时间 实现室内外语音不中断的安全漫游 为大 楼提供内部话音的无缝覆盖 以提高大楼办公效率和教学质量 为保证无线话音的质量 要求无线网络具有良好的QoS控制机制 包括无线话音呼叫控制 等手段 无线网络还应该支持其他智能业务的扩展 如支持精准的无线物理定位 无线视频等 由于数据以及媒体应用普及 所以对WLAN的网络容量提出了要求较高 芜湖升辉西方财富 大酒店大楼网是一个能在一个物理无线网络上能为不同的业务提供多个逻辑隔离的无线网络 并保证安全 1 1 3 满足特点的安全和可靠性满足特点的安全和可靠性 无线网的目标是建设一个收费的 可运营网络 这样的定位对可靠性 安全 加密和非授 权用户的控制提出了更明确的要求 支持精确的无线入侵 射频干扰 非法AP定位和隔离 冗余的中央服务控制保证复杂接入环境的安全无线接入 独特的访客隔离机制 保证跨漫游用户与网用户的隔离 同时支持端到端的网络可靠性保证技术 1 1 4 满足生产 运营网络要求的运维和管理满足生产 运营网络要求的运维和管理 无线网络规模大 环境复杂 因此无线网络系统应该支持高效的运营网络级的管理功能 方便未来无线网络的运维管理室内 室外 Mesh系统一体化控制 所有AP均工作在同一Contro ller群组 cluster 管理下 可在全网范围内实现无缝漫游 设备定位 自动射频管理和安全 控制可分级的一体化网络管理系统 有线 无线网络管理相结合 集中与分布式管理相结合 为运营维护提供高效率和低成本 1 1 5 支持用户全网漫游支持用户全网漫游 无线网络应支持用户全网快速 安全 无缝漫游 保证用户在楼层或房间移动过程中可以 保证IP地址不变 网络连接不间断 应用会话不间断 从而保证用户网络应用在移动中的不间 断性 1 1 6 灵活部署 易于扩展 高性价比灵活部署 易于扩展 高性价比 为方便网络的部署和未来维护的方便性 无线网络应具有灵活部署 易于扩展的特性 支 持无线接入点的即插即用功能 当然 无线网络要具有良好的性价比 第第2 2章章 网络构架设计网络构架设计 核心交换机分别通过光纤与分布层带POE 以太网供电 功能的交换机互联 每个轻型无 线接入点 瘦AP 连接到分布层交换机 无线局域网控制器连到核心交换机上 或者直接在核 心交换机上插入控制模块 对每个轻量型AP进行管理和控制 总体架构拓扑 可采用单核心架构 2 1 接入选择接入选择 根据实际需求将室内型双频AP覆盖在各个点 交换机通过POE电源注入模块通过网线将数 据和电源提供给LWAPP LWAPP通过核心交换机动态获得IP地址 并让AP和所需要建立LWAPP隧 道的无线控制器IP地址告诉AP AP自动和无线服务控制器建立LWAPP隧道 并获得配置 此时 无线控制服务模块能管理并配置AP 思科室内双频AP同时支持室内MESH方式部署 室内AP的选择需要考虑两个方面 网络容量 无线的性能一直是阻碍其发展和普及的一大障碍 而高性能 高带宽更是无线园区网的基 础 无线技术经历了多年的发展 由最初的802 11b的11Mbps 到传统的802 11a g的54Mbps 最新的802 11n技术为无线的大规模应用提供了坚实的技术保障 802 11n无线技术 802 11n技术由于采用了以下多种无线技术 极大地提升了无线接入的带宽和覆盖范围 MI MO 多输入 多输出 OFDM 正交频分复用 40 MHz Channels 通道绑定 Packet Aggregation 数据包聚合 802 11n无线技术 其理论带宽达到150Mbps 600Mbps 实际接入的带宽可以达到100Mbps 300Mbps 是传统无线的5倍 802 11n采用了MIMO OFDM技术和算法 极大地提高了无线的覆盖范围 同环境下比802 11 a b g模式的覆盖范围提高了20 AP安装 由于芜湖升辉酒店大楼建筑结构美观复杂 所以为了不破坏建筑内部的装修环境我们提供 了一款产品用于环境部署 1041N AP外观简洁 白色圆形 且最厚处厚度仅有3 3厘米的厚度很适合在允许的区域内安装在天花 板顶部或墙壁上 整体上设计如下 四个点位代表性图 四个点位代表性图 第第3 3章章 思科无线网络产品资料思科无线网络产品资料 3 1 无线局域网控制器无线局域网控制器 3 1 1 Cisco 2500系列无线局域网控制器系列无线局域网控制器 Cisco 2500系列无线局域网控制器 产品简介 思科 无线局域网控制器适用于企业无线局域网部署 并提供了系统级无线局域网功能 如安全策略 入侵防御 RF管理 服务质量 QoS 和移动性 它们与Cisco 1000系列轻型接入点和思科无线控制系统 WCS 软件共用 可支持关键的无线应用 从语音和 数据服务到地点跟踪 WLAN控制器提供了必要的控制能力 可扩展性和可靠性 以便IT经理能 构建从分支机构到主园区的安全 企业级无线网络 思科无线局域网控制器可平稳地集成入现有企业网络中 它们使用轻型接入点协议 LWA PP 与Cisco 1000系列轻型接入点在任意第二层 以太网 或第三层 IP 基础设施上通信 图2 这种 新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全 可完全自动地支持重要的 无线局域网配置和管理功能 从而实现经济有效的无线局域网运营 图2 集中型无线局域网 思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统 创建和 实施策略 多个WLAN控制器可自动相互发现 并在它们之间无缝协调WLAN服务 以这种方式 思科无线局域网控制器可作为单一无缝系统运行 提供一个有数千AP的可扩展WLAN网络 从语 音和数据服务到地点跟踪 WLAN控制器提供了必要的控制能力 可扩展性和可靠性 以便IT经 理能构建安全的企业级无线网络 智能RF管理 所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件 思科WLAN系统使用即 将荣获专利的无线资源管理 RRM 算法 来实时发现空中无线资源使用的变化并作出调整 这 些调整以类似于路由协议为IP网络计算最佳拓扑的方式 为无线网络创建最优拓扑 图3 覆盖整个企业的RF智能 思科无线局域网控制器所管理的特定智能RF功能包括 动态信道分配 802 11信道可根据不断变化的RF情况进行调整 以优化网络覆盖范围和性能 干扰检测和避免 该系统可检测干扰并重新调整网络 以避免性能问题 负载均衡 此系统对多个接入点提供了自动的用户负载均衡 即使负载量很大 也能获得最优网络性能 覆盖盲区检测和修复 无线资源管理 RMM 软件可发现覆盖盲区 并尝试通过调整接入点的功率输出来修复它们 动态功率控制 该系统可动态调整各接入点的功率输出 来适应不断变化的网络情况 以确保达到预期的无线 性能和可靠性 严格的安全性 思科无线局域网控制器符合最严格的安全标准 包括 802 11i Wi Fi WPA2 WPA和有线等效加密 WEP 802 1X 带多种可扩展验证协议 EAP 类型 受保护EAP PEAP 带传输层安全的EAP EAP TLS 带隧道化TLS的EAP EAP TTLS 和思科LEAP VPN终结 4100系列的可选模块 提供IP安全 IPSec 和第二层隧道协议 L2TP VPN终结 因此 它堪称业界最全面的无线局域网安全解决方案 在思科无线局域网架构中 接入点可作为无线监控器 向无线局域网控制器通报有关无 线域的实时信息 经由思科WCS 可进行准确分析并采取校正措施 从而迅速识别所有安全威 胁 并将其提交给网络管理员 思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统 这有助 于确保实现完整的无线局域网保护 无需花费重复的设备成本或购买额外的监控设备 思科无 线局域网系统最初可作为独立无线入侵防御系统部署 再在稍后重新配置 添加无线局域网数 据服务 这使网络管理员能环绕其RF域创建一个 防御屏障 抑制未授权无线活动 直至他们作好部署无线局域网服务的准备为止 思科通过提供以下多个保护层来实现无线局域网安全 RF安全 检测和避免802 11干扰和消除不必要的RF传播 无线局域网入侵防御和定位 思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁 而且能对这些设备定位 这使系 统管理员能快速评估威胁级别 立即按需采取措施来抵御威胁 基于身份的联网 IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限 设备格式和应用要求 思 科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略 这其中包括 第二层安全功能 802 1x PEAP LEAP TTLS WPA 802 11i WPA2 和L2TP 第三层 和更高层次 的安全功能 IPSec web验证 VLAN分配 访问控制列表 ACL IP限制 协议类型 端口和差分服务代码点 DSCP 数值 QoS 多个服务级别 带宽减少 流量整形和RF利用 验证 授权和记帐 AAA RADIUS 用户连接策略和权限管理 网络准入控制 NAC 实施客户端配置和行为策略 以确保只有拥有适当安全工具的终端用户设备才能访问网络 安全移动 在移动环境中保持最高安全水平 这包括随用户移动而移动的VPN 无需重新建立安全隧道 此外 思科已开发了主动密钥缓存 PKC 这是802 11i标准的扩展 802 11r标准的前身 可 通过AES加密和RADIUS验证实现安全漫游 访客隧道 为访客接入公司网络提供更高安全性 它可确保访客如不首先通过公司防火墙 就 无法接入公司网络 3 2 无线接入点无线接入点 Cisco Aironet 1041系列是一款符合802 11n Draft 2 0标准的高性能的室内接入点 该产品配备集成天线 支持802 3af电源 并且易于部署 利 用该接入点 用户能够对高带宽的数据 语音和视频应用进行移动式访问 总数据速率可达30 0 Mbps 产品规格 表1列出了Cisco Aironet 1041系列接入点的产品规格 表1 Cisco Aironet 1041系列接入点的产品规格 分类分类 规格规格 产品编号产品编号预安装无线模块的接入点平台 预安装无线模块的接入点平台 AIR LAP1041N 802 11a g n draft 2 0 2 4 5 GHz Unified AP集成天线 AIR LAP1041N x K9 802 11g n draft 2 0 2 4 GHz Unified AP集成天线 AIR LAP1041N xK9 10 802 11g n draft 2 0 2 4 GHz Unified AP集成天线 单个组件单个组件 AIR AP1041N 1041N系列天花板 墙壁安装支架 备件 规定区域规定区域 x 规定区域规定区域 A FCC C 中国 E ETSI I 以色列 K 韩国 N 非FCC P 日本2 S 新加坡 T 中国台湾 客户负责查看在他们各自的国家是否允许使用该产品 如需查看许可情况和某个 国家的所属规定区域 请访问 并非所有的规定区域都已获批准 在获得批准后 产品编号将出现在全球价格列 表上 软件软件 Cisco Unified Wireless Network软件5 1版或更高版本 Draft 802 11n 2 0 版版 和相关和相关 功能功能 2x32MIMO 两个空间流 最大比合并 MRC 20和40 MHz信道 PHY数据速率最高可达300 Mbps 数据包汇聚 A MPDU Tx Rx A MSDU Tx Rx 802 11 DFS Bin 5 支持Cyclic Shift Diversity CSD 802 11a 6 9 12 18 24 36 48和和54Mbps 支持的数据支持的数据 速率速率 802 11g 1 2 5 5 6 9 11 12 18 24 36 48和和54Mbps 802 11n数据速率数据速率 2 4GHz和和5GHz GI2 800ns GI 400ns MCS指标指标1 20 MHz Mbps 40 MHz Mbps 20 MHz Mbps 40 MHz Mbps 0 6 5 13 5 7 2 15 1 13 27 14 4 30 2 19 5 40 5 21 7 45 3 26 54 28 9 60 4 39 81 43 3 90 5 52 108 57 8 120 6 58 5 121 5 65 135 7 65 135 72 2 157 5 8 13 27 14 4 30 9 26 54 28 9 60 10 39 81 43 3 90 11 52 108 57 8 120 12 78 162 86 7 180 13 104 216 115 6 240 14 117 243 130 270 15 130 270 144 4 300 频带和频带和20 MHz工作信工作信 道道 A 美洲美洲 FCC 2 412到2 462 GHz 11条信道 N 非非FCC 2 412到2 462 GHz 11条信道 5 180到5 320 GHz 8条信道 5 180到5 320 GHz 8条信道 5 500到5 700 GHz 8条信道 不包括5 600到5 640 GHz 5 745到5 825 GHz 5条信道 C 中国中国 2 412到2 472 GHz 13条信道 5 745到5 825 GHz 5条信道 E ETSI 2 412到2 472 GHz 13条信道 5 180到5 320 GHz 8条信道 5 500到5 700 GHz 11条信道 I 以色列以色列 2 412到2 472 GHz 13条信道 5 180到5 320 GHz 8条信道 K 韩国韩国 2 412到2 472 GHz 13条信道 5 180到5 320 GHz 8条信道 5 500到5 620 GHz 7条信道 5 745到5 805 GHz 4条信道 5 745到5 825 GHz 5条信道 P 日本日本2 2 412到2 472 GHz 13条信道 5 180到5 320 GHz 8条信道 S 新加坡新加坡 2 412到2 472 GHz 13条信道 5 180到5 320 GHz 8条信道 5 745到5 825 GHz 5条信道 T 中国台湾中国台湾 2 412到2 462 GHz 11条信道 5 280到5 320 GHz 3条信道 5 500到5 700 GHz 11条信道 5 745到5 825 GHz 5条信道 注注 各个规定区域有所不同 请参阅产品文档 查看每个规定区域的具体规定 非重叠信道非重叠信道 的最大数量的最大数量 2 4 GHz 802 11b g o20 MHz 3 802 11n o20 MHz 3 o40 MHz 1 5 GHz 802 11a o20 MHz 21 802 11n o20 MHz 21 o40 MHz 9 注注 各个规定区域有所不同 请参阅产品文档 查看每个规定区域的具体规定 接收敏感度接收敏感度 802 11a 86 dBm 6 Mb s 85 dBm 9 Mb s 82 dBm 12 Mb s 81 dBm 18 Mb s 802 11b 90 dBm 1 Mb s 89 dBm 2 Mb s 802 11g 87 dBm 6 Mb s 86 dBm 9 Mb s 80 dBm 24 Mb s 79 dBm 36 Mb s 74 dBm 48 Mb s 73 dBm 54 Mb s 87 dBm 5 5 Mb s 85 dBm 11 Mb s 83 dBm 12 Mb s 82 dBm 18 Mb s 81 dBm 24 Mb s 80 dBm 36 Mb s 75 dBm 48 Mb s 74 dBm 54 Mb s 5 GHz 802 11n HT20 85 dBm MC0 84 dBm MC1 83 dBm MC2 82 dBm MC3 79 dBm MC4 74 dBm MC5 73 dBm MC6 72 dBm MC7 85 dBm MC8 84 dBm MC9 83 dBm MC10 82 dBm MC11 79 dBm MC12 74 dBm MC13 73 dBm MC14 72 dBm MC15 5 GHz 802 11n HT40 85 dBm MC0 84 dBm MC1 83 dBm MC2 79 dBm MC3 76 dBm MC4 71 dBm MC5 70 dBm MC6 69 dBm MC7 85 dBm MC8 84 dBm MC9 83 dBm MC10 79 dBm MC11 76 dBm MC12 71 dBm MC13 70 dBm MC14 69 dBm MC15 2 4 GHz 802 11n HT20 86 dBm MC0 85 dBm MC1 84 dBm MC2 83 dBm MC3 80 dBm MC4 75 dBm MC5 74 dBm MC6 73 dBm MC7 86 dBm MC8 85 dBm MC9 84 dBm MC10 83 dBm MC11 80 dBm MC12 75 dBm MC13 74 dBm MC14 73 dBm MC15 2 4 GHz 802 11n HT40 86 dBm MC0 85 dBm MC1 84 dBm MC2 80 dBm MC3 77 dBm MC4 72 dBm MC5 71 dBm MC6 70 dBm MC7 86 dBm MC8 85 dBm MC9 84 dBm MC10 80 dBm MC11 77 dBm MC12 72 dBm MC13 71 dBm MC14 70 dBm MC15 最大传送功最大传送功 率率 2 4GHz 802 11b o20dBm 1根天线 802 11g 5GHz 802 11a o20dBm 2根天线 802 11n非HT重复 o20dBm 2根天线 802 11n HT20 o20dBm 2根天线 802 11n HT40 o20dBm 2根天线 802 11a复制 模式 o17dBm 1根天线 802 11n HT20 o20dBm 2根天线 802 11n HT40 o20dBm 2根天线 注注 最大功率设置根据信道和各个国家规定的不同而有所不同 具体信息请参见产品文档 可用的传输可用的传输 功率设置功率设置 2 4GHz 20dBm 100mW 17dBm 50mW 14dBm 25mW 11dBm 12 5mW 8dBm 6 25mW 5dBm 3 13mW 2dBm 1 56mW 1dBm 0 78mW 5GHz 20dBm 100mW 17dBm 50mW 14dBm 25mW 11dBm 12 5mW 8dBm 6 25mW 5dBm 3 13mW 2dBm 1 56mW 1dBm 0 78mW 注注 最大功率设置根据信道和各个国家规定的不同而有所不同 具体信息请参见产品文档 集成天线集成天线 2 4GHz频段1根 增益 4 0dBi 水平波瓣角度 360 5GHz频段1根 增益 3dBi 水平波瓣角度 360 接口接口 10 100 1000BASE T自检测 RJ 45 管理控制台端口 RJ45 指示灯指示灯 状态LED可显示引导加载程序状态 关联状态 工作状态 引导加载程序 告警 引导加载程序错误 Cisco IOS错误 尺寸尺寸 W L H AP 无安装支架 7 5 7 5 2 35in 19 05 19 05 5 97cm AP 带安装支架 8 12 9 52 2 75in 20 62 24 18 6 99cm 重量重量 1 75 lbs 0 79 kg 环境环境非运行非运行 存储存储 温度温度 22到185 F 30到85 C 运行温度运行温度 32到104 F 0到40 C 运行湿度运行湿度 10到90 非冷凝 系统内存系统内存 64MB DRAM 32MB闪存 输入电源要输入电源要 求求 AP1140 36到57 VDC 电源和电源注入器 100到240VAC 50到60 Hz 供电选项供电选项 802 3af交换机 Cisco AP1041N电源注入器 AIR PWRINJ4 Cisco AP1041N本地电源 AIR PWR A 功率功率 AP1041N 12 95 W 保修保修90天 法规遵从性法规遵从性 标准标准 安全 安全 oUL 60950 1 oCAN CSA C22 2 No 60950 1 oUL 2043 oIEC 60950 1 oEN 60950 1 无线许可无线许可 oFCC Part 15 247 15 407 oRSS 210 加拿大 oEN 300 328 EN 301 893 欧洲 oARIB STD 33 日本 oARIB STD 66 日本 oARIB STD T71 日本 oAS NZS 4268 2003 澳大利亚和新西兰 oEMI and susceptibility Class B oFCC Part 15 107和15 109 oICES 003 加拿大 oVCCI 日本 oEN 301 489 1和 17 欧洲 oEN 60601 1 2 EMC医疗指令要求93 42 EEC 安全安全 o802 11i WPA2 WPA o802 1X oAES TKIP 其他其他 oFCC Bulletin OET 65C oRSS 102 无线网络标无线网络标 准与准与Wi Fi认证认证 IEEE标准标准 IEEE 802 11a IEEE 802 11b IEEE 802 11g IEEE 802 11n draft 2 0 IEEE 802 11h IEEE 802 11d 安全安全 WPA Enterprise Personal WPA2 Enterprise Personal EAP类型类型 EAP 传输层安全 TLS EAP Tunneled TLS TTLS Microsoft Challenge Handshake Authentication Protocol Version 2 MSCHAPv2 Protected EAP PEAP v0 EAP MSCHAPv2 PEAPv1 EAP 通用令牌卡 GTC EAP SIM 多媒体多媒体 WMM 1 MCS指标 调制和编码方法 MCS 指标规定了空间流的数量 调制 编码速率和数据速率值 2 GI 信号间的保护间隔 GI 能帮助接收端克服多路径延迟的影响 电源选项电源选项 Cisco Aironet 1041N系列接入点可由思科以太网交换机 电源注入器或本地电源供电 电源注入器电源注入器 Cisco Aironet 1041N系列接入点的电源注入器 AIR PWRINJ4 包含一个集成电源 可将100 到 240V AC电源转换为56V DC电源 然后将该电源注入第5类以太网电缆 为接入点供电 图1 图图1 Cisco Aironet电源注入器 为Cisco Aironet接入点提供馈送电源 如表2所示 Cisco Aironet电源注入器可配置为产品订单的一部分 也可单独订购 如果配置为接入点产品订单 的一部分 注入器将随接入点产品包一起发售 如果作为备件订购 注入器将单独发售 表表2 Cisco Aironet 1140系列电源注入器的产品编号 产品编号产品编号 产品说明产品说明 AIR PWRINJ4 用于1041N系列的Cisco Aironet电源注入器 AIR PWRINJ4 用于1041N系列的Cisco Aironet电源注入器 备件 电源注入器产品规格电源注入器产品规格 表3列出了Aironet 1041N系列接入点的Cisco Aironet电源注入器的产品规格 表表3 Cisco Aironet 1041N的Cisco Aironet电源注入器规格 说明说明Cisco Aironet 1041N系列的系列的Cisco Aironet电源注入器电源注入器 产品编号产品编号 AIR PWRINJ4 局域网连接局域网连接 第5类电缆的最大长度 从交换机到设备为100m 类型 RJ 45 标签 10 100 1000 BASE TX To SWITCH 设备连接设备连接 第5类电缆的最大长度 从交换机到设备为100m 类型 RJ 45 标签 10 100 1000BASE TX To AP LED AC电源状态 接入点电源状态和错误 电力电力 集成电源 输入电压 100 240VAC 50 60Hz 输入电流 0 95A 输出电压 56VDC 输出电流 0 550A 尺寸尺寸 6 54 3 15 1 73 in 16 6 8 4 4 cm 重量重量 13 8oz 390 g 环境环境 非运行温度 40到 176 F 40到 85 C 运行温度 4到 131 F 20到 55 C 法规遵从性法规遵从性 标准标准 安全 oUL 60950 1 oCAN CSA C22 2 No 60950 1 oIEC 60950 1 oEN 60950 1 第第4 4章章 无线网络安全无线网络安全 4 1 物理层防护物理层防护 无线环境存在以下几类问题 无线信号广播问题 无线信号的广播使得非法或恶意用户更加容易接入网络 无线覆盖漏洞 无线信号有可能会由于某个AP出现问题而引起无线覆盖空白区无线干扰避免 无线信号干扰 在无线环境中在某些情况下会出现信号干扰问题 比如为了要求高容量临时增加了AP 的数量 资源侵占 非认证用户通过接入AP互传数据恶意侵占无线资源 造成合法用户无法得到合理的无 线资源保证 问题解决 无线信号广播问题 通过信号的指向型部署 如在室内部署AP采用Cisco 的轻量级配置外置天线实施扇面覆盖 可以减少由于其全向覆盖造成的信号泄漏以及干扰 信号的进入 禁用广播SSID将导致非法或恶意用户无法获取带有SSID的信标 这将保护那些隐藏在S SID后的用户群组 无线覆盖漏洞 无线控制器可以通过获取该AP周边其他AP反馈的无线环境状况发现问题 并通知周边A P扩大覆盖范围来弥补信号漏洞 无线信号干扰 无线控制器可以通过AP及时发现这些干扰的存在并对其周边AP进行参数调整 功率 频点 以避免干扰 资源侵占 通过无线控制器阻隔AP下用户的互通 可以有效控制Web认证用户不经认证利用AP对无 线资源的占用 4 2 链路层安全链路层安全 链路层存在以下几类问题 管理帧参数没有加密 管理帧参数不加密很容易造成中间人攻击的行为发生 一个入侵者通过篡改管理帧来 达到用户流量的分析及篡改 链路层数据安全 Mesh AP节点之间为空中链路 如果没有有效的加密保护措施将会导致中间人攻击行为或泄密问 题 室内瘦AP点与无线控制器之间需要通过二层或三层网络 所以无线控制器与AP的控制 消息之间如果没有数据加密将会导致中间人攻击行为 关键用户 高权限管理人员 的无线客户端有在于AP交互数据的过程中如果不进行空 中链路的保护无线数据将会被他人窃听 造成严重的泄密 无线侧的网络攻击 o 管理框架洪水 o 未认证的入侵 o 认证洪水 o 探测请求洪水 o 伪冒 AP 洪水 o 零探测响应 o EAP 握手洪水 o 等等 上述攻击都会造成AP无法正常工作以及无线资源的耗尽 流氓AP 流氓AP可以实施中间人攻击 流氓AP可以假冒SSID甚至BSSID 这种方式如果被用于在 空口进行用户的数据接收和转发那么传统的WLAN系统将无法识别此类流氓AP 用户接入安全 如果选择不合理的用户接入方式会导致严重的安全问题 问题解决 管理帧参数没有加密 管理帧保护 MFP 是通过在AP管理帧上增加了基于无线网络配置的校验字段 通过该 字段来标识管理帧的合法性 任何对管理帧的篡改都会被系统识别出来 链路层数据安全 Mesh AP节点之间空中链路的安全可以通过Mesh AP之间的加密来实施 Cisco Mesh节点的无线空口所有数据都是基于AES进行加密的 室内瘦AP点与无线控制器之间的控制部分也是经过AES来实现加密的 客户端与AP之间的空口可以通过WPA或WPA2来实施动态安全加密 流氓AP 无线控制器可以及时的发现网络中间存在的流氓AP 针对这些AP无线控制器通过网管 可以及时发现并产生告警 通过定位服务可以发现流氓AP的具体位置 并引导网管员实施 操作 对无意中连接到该AP上的用户实施阻断 无线侧的网络攻击 无线控制器作为控制所有所属AP的大脑 本身也是一个无线侧的IDS系统 针对攻击无 线控制器通过网管可以及时发现并报告攻击的产生 通过定位服务可以发现攻击者的具体 位置 并引导网管员实施操作 对该非法用户实施阻断 用户接入安全 用户接入安全的原则是权限越高的用户接入方式要越加严格 对于公众用户可以采用W eb认证的方式 但这些用户无法接触到敏感数据资源 Cisco的NAC框架 通过802 1x和客 户端信息的 系统信息 补丁信息 病毒信息 结合来确定该用户去隔离免疫区还是正常 上网 不同区域映射到不同的VLAN中而引导用户进入不同VLAN的策略是由Radius携带的VS A下发给无线控制器的 所以对于802 1x用户可以实现在同一个AP同一个SSID下动态VLAN 的分配 对于用户接入的网络我们可以采用在同一个AP下针对不同的SSID对应不同的VLAN 以及认证模式 所以灵活的对应关系可以确保彻底全面地执行网络接入安全策略 4 3 网络上层安全网络上层安全 在IP网络中有来自方方面面的安全问题 简单归纳如下 带宽肆意侵占 蠕虫病毒泛滥 针对应用服务系统的攻击 对网络中其他主机的攻击 对敏感资源的好奇 问题解决 通过无线控制器与ASA防火墙以及IPS的联动可在空口处阻断非法用户的连接 并对其 实施惩罚性关联禁止 该用户在一段指定的时间内将无法从网络的任何一个无线AP进 行网络接入 有效的在空口保障了网络的上层安全防护 CISCO的无线AP自身有防火墙特性和IDS特性 4 4 二层 三层安全无缝漫游二层 三层安全无缝漫游 无线园区网络中不但要考虑到游牧用户在室内AP区域间的漫游切换 对于室外MASH部署还需要 考虑具备较高速度的交通工具的漫游切换 另来考虑到对中那些实时性很高的用户应用如VoIP 移动视频等应用的可用性我们更加需要考虑到无线环境中的无缝切换 用户在两个以上的无线区域内实现通讯无缝的漫游及切换 以下几种情况将导致漫游与切换 移动用户超出了原有无线AP的区域 进入了一个新的无线AP所在区域 此时移动用户 将切换至可达的无线AP区域 移动用户的通讯速率发生改变 并且发现了附近的一个AP可以提供更好的通讯服务质 量 一个潜在的AP的信号强度在区域内大于现有的AP的信号强度 在WLAN网络中间小区漫游分为二层和三层漫游 二层切换 传统AP可以借助非标准的IAPP协议来实施二层加密数据的用户切换 但是采用IAPP方式要 求AP和AP之间必须进行基于四层的IAPP协议通讯 在实际运营部署环境中AP横向之间通讯是被 阻隔的所以无法实施IAPP协议 另外 如果小区内存在较多的切换用户这将会占用大量的AP CPU资源 因为这些IAPP的交互信息都必须由AP CPU来处理 在思科的统一无线网络系统中所有轻量级AP的隧道皆端节于无线控制器侧 因此所有的本控制 器内的用户切换信息均由控制器内部调度完成 三层切换 传统无线网络更本无法实现面向用户的三层快速漫游切换 原因是传统的无线网络中的三 层快速漫游需要依赖上层Mobile Agent 的服务并必须配合Mobile IP客户端软件 利用思科统一无线网络 轻型接入点可以被部署到网络的标准子网基础设施中 并获得一个隶属于它们所在子网的IP地址 所有来自于无线客户端的流量都将被放置到一个 通过底层网络发送到无线局域网控制器的LWAPP数据包中 客户端设备可以从一个连接到控制 器的子网获得它们的IP地址 而不是它们所在的楼宇的子网 底层子网基础设施对于客户端 而言是透明的 控制器可以管理互相之间的所有漫游和隧道通信 以确保不需要移动IP等协议 对于二三层切换同一控制器下的用户由于用户关联状态 加密信息 安全策略等均在单台 控制器上所以用户在AP间切换的信息完全由控制器直接通知目标AP就可以快速实现AP间切换 而在不同控制器下用户的关联状态 加密信息 安全策略等信息需要通过控制器间EoIP隧道进 行转发 以确保不同控制器下不同用户的快速切换 第第5 5章章 无线网络管理无线网络管理 芜湖升辉酒店网络规模很大 需要考虑到设计初期的无线预设计和规划 为了有效执行统 一管理我们建议大楼采用单一的一套网管系统来统一管理所有无线系统 并通过管理员分权的 方式为各区提供网管的Web监控页面 5 1 无线管理能力无线管理能力 思科提供的统一无线网络系统可以同时管理室内 室外无线接入点 室外Mesh设备 并且 最大可以扩展管理至3万个AP 思科无线网络管理具有以下能力 规划设计 具备室内室外传播模型的仿真及效果计算分析 并提供与规划的场强分布 覆盖漏洞 用 户接入速率分布以及网络覆盖评估的预规划效果报告 可结合Google Earth的平面和立体的卫星图片进行规划 WLAN 无线环境 提供的实时RF管理功能 包括信道分配和AP输出功率设置以及分层分区的实施效果监控图 可结合Google Earth的平面和立体的卫星图片进行部署 监控和故障排除 可快速查看覆盖盲区 报警和关键的使用统计数据 实现了方便的WLAN监控和排障 并 提供不同等级客户制定化的故障告警级别及告警过滤和标记功能 客户端故障排除 提供基于802 11k 无线资源测量 802 11v 客户端管理 的测量机制能够通过802 11 MAC层对无线客户端进行管理和测量 包括工作调制方式 信号强度 客户端信躁比 客 户端MAC层的收发包文 重发包文 往返时延等 而无需客户端任何配置 设备配置管理 具备功能粒度的配置应用模板以及配置组定义 室内定位跟踪 内嵌RF传播模型并可以支持数千个不同种类WiFi终端的实时定位跟踪 而且对AP没有任何 要求 AP仍然工作在正常的转发模式 无线入侵保护系统 IPS 和无线入侵监测系统 可创建能定制的攻击签名文件 可用于迅速检测与RF相关的常见攻击 如拒绝服务 DoS Netstumbler和FakeAP 用户可对思科WCS编程 使其在发现攻击时自动生成报警以及详 细的趋势报告 对攻击终端进行快速定位和围堵策略 日志报告 客户端 AP 控制器可制定化 按需生成报告提供1 小时到7天的历史追踪 以及访问点性能状态 负载 功率 噪音 覆盖范围 在线时长 客户状态 语音状态 最繁忙的AP或客户端 WLAN 状态以及网络质量等图形和文本报告 管理员权限 支持上百种类的管理员权限定义和分配 以满足不同层面网络管理的分权需求 5 2 无线射频管理无线射频管理 除了对于设备 无线射频情况 终端等的管理之外 更重要的一点是 在网络发生干扰的 情况下 如何定位干扰源 定性其是由哪种干扰设备产生 蓝牙 微波 无绳电话 微波炉 并且我们还需要判定其干扰源所在位置 通过设置我们的网络避让干扰或者对干扰源进行 排除 在通常情况下 我们一般要借助于一些专业仪器 比如频谱仪来进行分析 但是频谱仪价 格昂贵 而且使用复杂 只有非常专业的人员才可以使用频谱仪进行无线网络故障排查 这对 于我们大楼的网络管理人员来说并不实际 针对这种情况 思科提供了一种性价比极高的解决方案 如下图所示 Cisco WCS Cisco Aironet Access Points Cisco Compatible Client Devices Cognio Detected Incompatible Interfering Devices Cisco WLAN Controller Cognio Spectrum Expert Sensors LAN WAN Network Wireless Wired Network 帮帮助助管管理理人人员员专专业业的的定定位位干干扰扰源源及及干干扰扰源源位位置置 与与C Ci is sc co o WWC CS S集集成成 Detect classify and locate RF interference 思科的Cognio是一款基于笔记本终端的频谱分析工具 他不但可以对无线干扰源进行定性 的分析 通知管理者网络存在何种无线干扰 并且可以和思科无线网络管理系统进行集成 管 理人员在网管上就可以轻易的发现网络干扰 对网络干扰进行分析 并且极易对网络干扰进行 排除 解决了一直以来的无线网络干扰带来的困扰 5 3 与第三方网络管理软件的互通与第三方网络管理软件的互通 思科WCS网络管理平台可以管理包括各类思科无线网络控制器 思科室内无线接入点1000 系列 1100系列 1200系列 1230系列 1240系列 1250系列 1300系列 1500系列产品 各 类无线终端 可以对思科传统的胖AP产品或者第三方的胖AP产品进行简单的设备管理 但不能 进行配置管理 思科可以提供北向接口以及无线控制器的MIB库与第三方网管进行集成 第第6 6章章 思科在无线局域网方面的优势思科在无线局域网方面的优势 6 1 产品技术优势产品技术优势 一体化网络解决方案 同一控制器控制管理室内AP 室外AP 室内Mesh以及室外Mesh 节点 无线控制器支持二三层AP统一管理 对有线网络构架没有任何改动及特殊需求 室外MASH支持基于无线链路质量 链路信号强度 链路信噪比等 节点跳数等综合 计算无线路由 可以通过同一无线控制器支持对包括室内型AP 室外型AP 甚至Mesh设备进行统一的 配置 管理能力 方便今后一体化无线网络的实现 为实现简单 快捷的配置管理能 力 要求实现AP的零配置管理功能 AP的配置管理 版本升级等工作均由无线控制器 实现 AP无需进行任何配置工作 单一无线控制器设备支持最大管理1500个AP设备 并且可以支持堆叠 网管系统可以管理超过3万个AP和数千台控制器 并提供实时真实的RF管理及控制 具备AP汇聚数据流及高强度加密 AES 的数据流进行线速转发 一般情况下 假设每 个AP的IP静载的流量不少于20Mbps 对于不同容量的无线控制器控制器的转发能力 分别为 管理300个AP的无线控制器转发能力为不少于8Gbps 管理100个AP的无线控制器转发能力为不少于4Gbps 支持噪音 干扰回避 网络频点自动规划 功率自动控制 AP功率自动调整 无线客 户端功率自动控制 无线客户端的负载均衡 支持在转发数据的同时空口上非法AP和客户端的发现 并可以通过网管进行报警 显 示和定位 支持无线IDS功能 并可以与有线IPS系统联动 发现3 7层攻击并从无线侧阻断该用户 与AP间的关联 支持访客技术 要求访客流量不能落地于内网 支持通过远程管理员生成访客用户名 密码和访问时间能力 支持客户端接入时基于用户名的动态VLAN的分配以及静态VLAN分配 使得WLAN网络系 统可以实现每用户VLAN的分配 支持基于AP的VLAN组分配 即系统中可以有某些AP对应的WLAN专属于不同的VLAN 使 得不同的覆盖区域虽然SSID相同 但用户接入的默认策略不同 支持同一无线控制器以及不同无线控制器下毫秒级的二三层漫游切换 支持无线控制器N 1 N N N N 1冗余 且冗余控制器可以在网络任何路由可达之处而 无需要求必须相同网段 支持基于无线资源百分比以及用户保