无线网络升级改造设计方案

XXXX无线网络升级改造设计方案 目 录 1. WLAN在校园的应用概述 . 3 2. 校园网 WLAN应用需求 . 3 3. 校 园网 WLAN设计思想 . 5 3.1校园网 WLAN设计原则 . 5 3.2思科校园网 WLAN设计思想 . 5 3.3思科 WLAN解决方案体系 结构 . 6 3.3.1 无线网络的挑战 . 6 3.3.2 思科集中化无线网络解决方案 . 7 3.3.3集中化协议 LWAPP简介 . 9 3.3.4集中化和统一 WLAN的好处 .10 便于升级 . 11 通过动态 RF 管理建立可靠的连接 . 11 通过用户负载均衡优化每个用户的性能 . 12 访客联网 . 14 第三层漫游 . 14 嵌入式无线 IDS. 15 定位服务 . 16 WLAN 语音 . 16 降低总拥有成本 . 16 0 有线和无线整合 . 17 1 总结 . 18 4. 思科校园网 WLAN建设方案 .19 4.1物理设计（部署） . 19 4.1.1无线覆盖方案 .20 覆盖区域 . 20 设计指标、原则及覆盖方式 . 20 室内覆盖 . 22 4.2逻辑设计 . 27 4.2.1 SSID 和 VLAN .27 4.2.2 地址和路由 .28 无线用户接入地址和路由规划 . 28 无线网络地址和路由规划 . 28 IPv6 规划考虑 . 29 4.2.3 认证和计费 .31 5. 解决方案的设计亮点 .31 5.1高性能的 IPV6 和 IPV4 无线接入 . 31 5.2基于个 人用户的运营管理 . 31 5.3支持数据、语音等多种业务，有其它智能业务扩展能力 . 31 2 5.4满足校园特点的安全和可靠性 . 32 5.5满足生产、运营网络要求的运维和管理 . 32 5.6支持用户全网漫游 . 32 5.7灵活部署、易于扩展、高性价比 . 33 6. 思科 校园无线网络解决方案产品介绍 .33 6.1 CISCO AIRONET 系列接入点 . 33 6.2 思科无线局域网控制器 . 45 6.3 CISCO CATALYST 6500 系列无线服务模块 . 59 6.4 思科无线控制系统 (WCS) . 68 7. XXXX 二期无线 AP 分布情况表 .78 8. XXXXAP 信号测试结果 .78 9. 结束语 .88 3 1. WLAN 在校园的应用 概述 校园网已经成为校园生活的重要组成部分，成为教师和学生获取资源和信息的主要途径之一，它把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起，在高校教育中的作用与地位日益显著。 经过这些年 有线网络建设、运行、维护，从实践结果来看，由于目前网络是“有线”的，所以在有些应用领域会出现困难。例如，很多高校只是在部分区域接通了网络，而不能顾及所有区域，布置了网线的教室、图书馆数量有限；有些高校经费比较紧张，很难投入较大的财力来铺设光缆；有些高校的建筑物具有一定的历史意义，不适合钻孔布线；有些高校由多个校区组成，校区之间联网成本较高，等等。 随着信息技术的飞速发展，教师和学生对高校校园网的依赖性相当之高，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在 图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？ 从应用需求方面考虑，无线网络很适合学校的一些不易于网络布线的场所应用。现在如何使校园的每个角落都处在网络中，形成真正意义上的校园网？想象一下，当学生们放完暑假返回校园，惊奇地发现自己的笔记本电脑在学校任何地方都可以上网时的那份欣喜若狂现在这已经是一些学校的现实。 2. 校园网 WLAN 应用需求 高性能的 IPv6 和 IPv4 无线接入 中国下一代互联网项目（ CNGI）正在顺利展开，基于纯 IPv6 的骨干网在CERNET 已经建设完成并可以提供接入服务。现在建设高校无线网络，除了要考虑 4 对现有 IPv4 网络终端的无线接入，满足当前高校师生对无线网络的需求外；又要支持高性能的 IPv6 的用户接入，以适应网络发展趋势，并保护网络投资 。 基于个人用户的运营管理 无线网络系统需要支持运营管理功能，能够根据单个用户实现用户管理，包括： 认证、 计费、安全控制、 QoS 控制等。 支持数据、语音等多种业务，有其它智能业务扩展能力 校园无线网络在支持数据 转发的同时，应该是真正为语音业务优化的无线设计，包括一体化的 IP 电话解决方案， 通过新技术延长客户端待机时间，实现室内外语音不中断的安全漫游 。为学校提供内部话音的无缝覆盖，以提高学校办公效率和教学质量。 为保证无线话音的质量，要求无线网络具有良好的 QoS 控制机制，包括无线话音呼叫控制等手段。 无线网络还应该支持 其他智能业务的扩展，如 支持精准的无线物理定位 、无线视频等 满足校园特点的安全和可靠性 XXXX 无线网的目标是建设一个收费的、可运营网络，这样的定位对 可靠性、安全、加密和非授权用户的控制提出了更明确的要 求 ： 支持 精确的无线入侵、射频干扰、非法 AP定位和隔离 冗余的中央服务控制 保证校园复杂接入环境的安全无线接入 独特的访客隔离机制，保证跨校园漫游用户与校园网用户的隔离 同时 支持端到端的网络可靠性保证技术。 满足生产、运营网络要求的运维和管理 校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理 室内、室外、 Mesh 系统一体化控制：所有 AP均工作在同一 Controller 群组(cluster)管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和 安全控制 可分级的一体化网络管理系统：有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。 支持用户全网漫游 校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证 IP 地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。 灵活部署、易于扩展、高性价比 5 为方便校园网络的部署和未来维护的方便性，校园无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，校园无线网络要具有良好的性价比。 3. 校园网 WLAN 设 计 思想 3.1 校园网 WLAN设计原则 实用性： 遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的 TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。 先进性： 采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。 可靠性： 系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分 出现故障，应能很快恢复工作，并且不能造成任何损失。 开放性： 选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。 可扩充性： 系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比； 可维护性： 系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性； 安全性： 必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统 具有多种手段来防备各种形式的非法侵入和机密信息的泄露。 3.2 思科校园网 WLAN设计思想 按照现有无线网络发展趋势， 建议校园网 WLAN 采用集中管理架构下的“瘦AP”无线网络架构，以保证无线网络可管理性、安全性、 QoS、无缝漫游等功能需求，尤其是方便未来的运维管理 。 根据 实际情况，采用室内、室 外多种无线接入方式相结合的方式，以满足 学校楼宇多、广场多的特点。如在必要的时候采用室外 Mesh WLAN 技术通过无线回传技术解决有线网络传输距离的合布线难度的问题。 同时由于采用室内、外多种无线接入手段在满足无线覆盖的前 提下，可以节省无线接入点的数量，从而提高无线网络的性价比。 校园无线网络在满足现有网络应用的同时，保证对未来网络技术和应用的支持，如 IPv6、无线话音、无线视频、组播等技术的支持，以满足高校教学和科研的要求。 6 为满足高校网络的安全性，建议校园无线网络采用独立的有线网络系统实现无线接入点的互联，同时本次无线网络在满足用户接入安全认证、加密的同时，支持无线射频的安全防护功能。 3.3 思科 WLAN解决方案体系结构 3.3.1 无线网络的 挑战 透视就是 一切 地图就是一个典型的例子。在高空摄影技术面世之前， 地图并不精确；人们按照估计的比例，将地理标志绘制到地图上。高空摄影技术为地图绘制人员带来了 之前未有的东西 透视 。 透视 改变了我们旅行的方式，我们观察距离的方式，甚至我们的文明发展的方式。 过去，无线局域网都缺乏透视能力 因为每个接入点都是一个单独的节点，按照一个静态 RF 计划（通常为预测 的 RF）中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号，但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者 是 相邻网络。而且，因为自主接入点是 “ 节点式 ” 的，所以很 难扩展到大型、连续、协调的无线局域网和添加高级应用。 表 1 列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下，采用自主接入点的 WLAN 的部署会对 WLAN 带来 很多限制。 表 1 对于自主接入点部署方式的无线需求和解决方案 需要 说明 自主方式的解决 方案 第二层快速安全漫游 客户端在子网内部的无缝漫游 跨越不同的接入点和虚拟 LAN（ VLAN） 为支持漫游添加一个无线域服务（ WDS）设备（接入点或者交换机模块） 第三层快速安全漫游 客户端在子网之间的无缝漫游 跨越不同的接入点和 VLAN 自主 接入点 本身 不支持。需要为支持漫游采用一个集中式解决方案 升级成本 部署额外管理功能和为接入点安装新镜像所需的时间 部署一个集中的管理基站或者使用管理脚本 入侵检测系统（ IDS） 能够检测伪装接入点、攻击和未经授权的访问 使用一个基于 WDS 的IDS，或者添加一个覆盖式WLAN 解决方案 定位服务 直观显示接收信号强度 使用一个现场调查解决 7 需要 说明 自主方式的解决 方案 指示（ RSSI）信息变化和Wi-Fi 设备的位置 方案或者一个覆盖式 WLAN 动态 RF 迅速地、动态地适应 RF环境 使用系统级应用设备，或者一个简单网络管理协议（ SNMP） ； RF信息可供手动检查或者措施使用 负载均衡 自动在相邻接入点之间均衡客户端负荷 每个接入点通报服务情况，但是负载不是自动地在接入点之间分布 访客联网 能够为客户、供应商和合作伙伴提供对 WLAN 的受控访问权限，同时保持网络的安全性 为每个接入点部署专门的中继 VLAN，并在整个企业中加以宣传 WLAN语音 利用现有的无线基础设施提供经济有效的、实时的语音服务 部署基于接入点的呼叫准入控制（ CAC）；控制建立在每个接入点的基础上，不能协调多个接入点 管理 经济有效的、简化的WLAN 管理和部署 为配置 WLAN 管理和单独配置每个接入点部署脚本或者 SNMP 解决方案 3.3.2 思科集中化无线网络 解决方案 使用自主接入点的第一代无线局域网是一种方便的网络。从 WLAN 首次面世以来，技术需求发生了很多变化。现在，基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的 WLAN 必须支持多种移动服务，例如语音、访客接入、定位和增强的无线入侵防御系统（ WIPS），同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表 1中所列多种限制的WLAN。 为了部署这些功能和消除这些限制， 需要一个统一的 WLAN 一个集中式的，基于连接到无线局域网控制器的轻型接入点的网络。因此， 机构 需要思科统一无线网络。 可扩展性： WLAN 必须具备的特性 人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现的。事实上，蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初，蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间电话呼叫的协议，但是这些协议并不可靠 很多呼叫都会被丢弃。 8 蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案，以及一个部署高级服务的平 台。因此，他们采用了一种名为基站控制器的新型网络组件。 对于蜂窝网络而言，基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖范围之间移动时，基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性，减少被丢弃的呼叫。 蜂窝基站控制器的概念也可应用到 802.11 WLAN 中。运营商不 是 管理多个独立的接入点，而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。 WLAN集中化 参照蜂窝网络的发展道路，思科系统公司 率先提出了 WLAN 集中化的概念，并且为高级无线局域网服务提供 了业界第一个统一平台。统一 后的 架构 ，我们称之为思科统一无线网络 的关键， 是 将数据从轻型接入点经由网络发送到无线局域网控制器。 思科提供了很多支持无线局域网集中化的无线局域网控制器，其中包括可以完全集成到网络之中的企业级独立无线局域网控制器（例如 Cisco 4400 系列无线局域网控制器 和 Cisco 2000 系列无线局域网控制器 ），以及可以与有线网络结合的无线局域网控制器，例如 Cisco Catalyst 6500 系列无线服务模块（ WiSM）和用于集成多业务路由器的思科无线局域网控制器模块（ WLCM）。 开发 一种新的无线局域网集中化协议 为了在轻型接入点和无线局域网控制器之间传输数据和实现通信，需要一种新的协议。该协议需要满足下列要求： 便于部署 该协议必须能够跨越子网边界，而 不是仅仅将多个 VLAN 连接到集中控制器。 部署安全 将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。 对接入点的实时控制 在部署、认证接入点和将其连接到控制器之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。 协议扩展能力 该协议需要支持多种平台 从大型以太网交换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网络组件。 传输扩展能力 尽管网络通常运行在以太网的基础上，但是该协议必须能够支持低速的 WAN 连接，甚至无线网络（对于 无线 网状 网络 等应用）。 这就是即 满足这些对于开发新型通信协议的要求， 又 符合实际需要 的 支持第二层和第三层 数据包 信息的轻型接入点协议（ LWAPP）。 9 3.3.3 集中化协议 LWAPP 简介 LWAPP 是什么？ LWAPP 是一项由思科系统公司拟定的互联网工程任务小组（ IETF）标准草案，实现了轻型接入点和 WLAN 系统（例 如控制器、交换机和路由器）之间的通信协议的标准化。它的目标包括： 减轻接入点中的处理量，让它们将计算资源集中用于无线接入，而不是过滤和策略实施 为整个 WLAN 系统进行集中的流量处理、验证、加密和策略实施 利用一个第二层基础设施或者 IP 路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制 LWAPP 标准可以通过定义下列规范实现这些目标： 接入点设备发现、信息交换和配置 接入点认证和软件控制 数据包 封装、分段和格式化 接入点和无线控制器之间的通信控制和管理 LWAPP 的工作原理 LWAPP 将轻型接入 点的介质访问控制（ MAC）功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能（例如次原子握手和 发送给 接入点的 信标 ）都在接入点进行管理。其他对网络具有重要意义的功能（例如移动管理、身份验证、 VLAN 划分、 RF 管理、无线 IDS 和 数据包 转发）都在无线局域网控制器进行管理。（如图 1所示） 图 1 分离的介质访问控制功能 安全策略 QoS 策略 无线局域网控制器 控制器 MAC 功能 802.11 MAC 管理 ： 10 RF管理 移动管理 人力分配 分离 MAC 远程 RF 接口 MAC 层加密 LWAPP 轻型接入点 （重新）关联请求和行为框架 802.11 数据：封装和发送到接入点 802.11e 资源预留：控制协议在 802.11管理帧中发送到接入点信令在控制器完成 802.11i 身份验证和密钥交换 接入点 MAC 功能 802.11：信号发射，探测响应，身份验证（如果启用） 802.11 控制： 数据包 确认和传输（延迟） 802.11e：帧排序和数据包 优先级设置（访问 RF） 802.11i：接入点中的加密 轻型接入点和无线局域网控制器之间存在多对一的关系 单个无线局域网控制器可以管理和操作大量的轻型接入点。另外，无线 局域网控制器可以在一个大型无线网络中协调和比较信息 甚至跨越 WAN。就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的 整体 视图。 一旦将这项协议作为标准，并准备好用于 统一 的平台， WLAN 集中化的真正优势将会变得显而易见。 3.3.4 集中化和统一 WLAN 的好处 下面列出了 WLAN 集中化和统一 WLAN 所具有的很多好处。 便于部署 当在企业中部署自主接入点时，每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。在完成对自主接入点的 配置之后，每个接入点都将可以支持 VLAN，以便划分不同的用户群 11 组，为不同的用户和用户群组区分不同的 LAN 策略和服务（例如安全和服务质量QoS）。这些 VLAN 可以扩展到网络的接入层。根据部署的规模和范围， VLAN 可以在多台交换机中进行中继和扩展。 在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层重新划分子网和设置 VLAN 中继。相反， VLAN 将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和 WLAN 划分到 VLAN 中。这可以简化WLAN 的部署和管理。 在使用集中化解 决方案时，一个轻型接入点只需要找出无线局域网控制器的IP 地址 当部署于第二层模式时。（在部署于一个远程子网中时，接入点需要IP 地址、子网掩码和缺省网关信息）。轻型接入点还可以从一个标准的动态主机配置 协议（ DHCP）服务器接收无线局域网控制器的 IP地址。 在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所有RF 策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个 LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊 VLAN 扩展到各个接入点。 便于升级 较低 的运营成本可以提高一个机构的投资效率。问题是：怎样实现低成本的运营？ 集中化有助于简化升级 利用思科统一无线网络，所有轻型接入点 映像 都会被嵌入到控制器 映像 之中。当控制器 映像 被升级时，它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。 思科统一无线网络的低成本接入点升级的另外一个好处是：轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。 通过动态 RF 管理建立可靠的连接 过去，使用自主接入点的无线网络通常利用一 个静态 RF 计划进行部署，而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据 RF 预测制定的，即利用计算机对 RF 环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。 RF 预测的目标是以最小的信道重叠，获得接入点的最优覆盖范围。但是，因为 RF 预测是在一个不考虑部署后 RF 环境实际发生情况的计算机上进行的，所以它们只是对实际 RF 环境的估计。 12 例如，在使用 RF 预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。 集中化可以提供动态 RF 无线局域网控制 器可以自动获知同一个网络中不同轻型接入点之间的信号强度。控制器能利用这些信息，为网络创建一个动态优化 RF 拓扑。无线局域网控制器可以用一种独特的方式提供动态 RF。 在一个支持思科 LWAPP 的接入点启动时，它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后，支持 LWAPP 的接入点会发出加密的“neighbor” （邻居）消息。这些邻居消息包括 MAC 地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入 点的信道和信号强度，以获得最佳的覆盖范围和网络容量。 如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给网络中的每个接入点。 思科统一无线网络架构中内置的算法有助于确保网络不会 “ 抖动 ” ，即发生没有必要的变化。这样做的结果是，建立起一个能够实时地适应不断变化的 RF环境的动态无线网络。 通过用户负载均衡优化每个用户的 性能 802.11 协议很难预测和保障用户的性能和吞吐。因为 802.11 为每个网络组件提供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。同样，每个客户端设备对 RF 介质的访问权限与它们所关联的接入点一样。因此，所有客户端的 RF 吞吐都有可能降低 所有客户端都可以关联到同一个接入点。这通常被成为 “ 会议室效应 ” 。 负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。这可以提高每个客户 端的吞吐，动态地均衡网络的客户端负载。 集中化有助于均衡用户负载 思科无线局域网控制器和模块拥有一个网络 整体 视图。通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。另外，当某个客户端探测接入点（这是 802.11 标准的一部分，即客户端寻找任何广播它所寻找的 WLAN 名称的接入点） 13 时，控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。例如，某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信 号强度（ RSSI），决定哪个接入点应当响应客户端的探测信号。（如图2 所示） 14 图 2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号 访客联网 访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN 的受控访问权限。它让顾问和访客可以迅速开展合作，加快业务速度。 今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能？如果使用自主接入点部署方式，管理员可以通过将 “ 访 客 ”VLAN 拓展到网络中，提供访客网络。这些 VLAN 具有不同于普通网络流量的安全策略。这些VLAN 可能会成为错误配置的来源和潜在的安全漏洞。 集中化有助于简化访客联网 在思科统一无线网络中，每个无线局域网控制器都具有一个美观的 Web 门户，让机构可以根据自己的业务需要定制 WLAN。例如，网络管理人员可以将控制器放入 DMZ，充当访客接口。当在网络中部署一个访客无线局域网时，所有来自于访客WLAN 的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方 案不需要对底层 VLAN 架构进行任何改动。 第三层漫游 借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将 VLAN 拓展到网络中的所有接入点，就可以保持一个扁平式的无线子 15 网。那些采用自主接入点的网络则有所不同 它们通过拓展 VLAN 来实现漫游，因而会产生大范围的、不便于扩展的广播域。 通过像思科统一无线网络这样在不使用 VLAN 的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。 集中化有助于支持第三层漫游 利用思科 统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的 IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的 LWAPP 数据包中。客户端设备可以从一个连接到控制器的子网获得它们的 IP 地址 而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动 IP 等协议。 嵌入式无线 IDS 安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。一个重要 的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线 ID 系统，可以为网络添加一条额外的防线。无线局域网 IDS 可以降低黑客或者恶意用户访问关键网络资源的风险。 集中化有助于支持无线 IDS 思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和 IDS 传感器。这可以通过 LWAPP 独有的分离 MAC 架构实现，即有些功能由接入点承担，另外一些由控制器承担。 LWAPP 分离 MAC 让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库，它可用于检测无线 威胁 包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。 另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有 X.509 证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个 honeypot*）的未经授权的接入点。 思科统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。 一种由网络管理员部署 的，用于检测、制止未经授权的网络访问的授权接入点。 16 定位服务 定位服务是下一代无线网络必须达到的一项要求。定位服务支持同时跟踪WLAN 基础设施内部的数千个 Wi-Fi 设备。这些服务被用于一些关键的应用，例如高价值资产跟踪、 IT 管理、安全和业务策略的执行。其他应用包括： 基于无线局域网的 e911 和语音 客户端故障诊断和客户端位置与客户端连接问题的关联 资产跟踪和管理，以跟踪任何支持 802.11 的设备（包括配有 802.11 RFID 标签的资产） 基于位置的安全 无线局域网不仅可以获知轻型接入点 之间的路径损耗和信号强度，还可以从网络中的支持 LWAPP 的接入点那里获得关于客户端信号强度的信息。 思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统（ WCS）和思科无线定位设备，它们将根据楼宇材料类型、多路径和反射等因素，进行高强度的 RF 指纹计算，确定 802.11 或者有源 RFID 设备的位置。这些信息将实时提供。 LWAPP 是支持定位服务的控制和传输协议。 WLAN 语音 WLAN 语音（ VoWLAN）不仅可以提供 IP 语音（ VoIP）的诸多好处（例如 收费旁路 ），还可以提供移 动性。选择 VoWLAN 功能的管理人员都希望通过用他们的802.11 数据网络承担语音功能，降低或者消除办公楼内移动电话使用成本。 集中化有助于支持高性能 VoWLAN 对于自主解决方案而言，基于 802.11 的语音采用了与普通数据流量相同的底层协议，并通过在接入点和一个语音终端之间运行 802.11e，提供了一些额外的功能。不幸的是，工作在相同信道的自主接入点无法协调它们的呼叫准入控制（ CAC）功能。而且，所有能够接收到工作在相同信道的其他设备信号的设备都会受到共用信道干扰，而自 主 接入点并不能方便地解决这个问题。 利用思科统一无线网络，无线局域网控制器可以为网络提供可预测的 CAC。在这种统一网络中，控制器拥有网络中所有客户端的整体视图，以及同一信道中所有接入点之间的总呼叫容量。这种功能有助于确保当一个 VoWLAN 呼叫获准进入思科统一无线网络时，所有接入点可以提供足够的语音容量。这样，可以为网络提供更加可预测、更加可靠的语音性能。 降低总拥有成本 较低的总拥有成本（ TCO）让机构可以在不增加额外人手的情况下部署解决方案，从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于 17 自主接入点 部署方式，时间主要被用于安装和初始化接入点，重新设置接入点，以及升级接入点。 在一个包含 100 个接入点的自主接入点网络中，如果一年为每个自主接入点花费 30 分钟，就相当于一年花费 3000 个人 分钟，或者 50 个人 小时。在五年的折旧期中，就有超过一个月的时间被用于自主接入点的管理上 不包括诊断客户端和其他网络组件问题所用的时间。 图 3 为配置每个接入点付出的人力成本预测 集中化有助于降低 TCO 利用思科统一无线网络，用户不需要逐一配置 100 个网络组件，而是只需要配置无线局域网控制器。控制器进而再配 置网络中的所有接入点。另外，管理员不需要升级网络中每个接入点的软件，而是只需要升级无线局域网控制器的软件，这样所有轻型接入点都会同时得到升级。 因为无线局域网控制器能够搜索整个无线网络，所以它可以协调信息和使用高级功能（例如定位），为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的 TCO，同时减少诊断和管理网络所需的成本。 0 有线和无线整合 有线和无线网络的集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用，必须提供覆盖整个系统的无线局 域网功能（例如安全策略、入侵防御、 RF 管理、 QoS 和移动性）。使用轻型接入点和无线局域网控制器的 WLAN 可以方便地支持有线、无线局域网的整合，因为控制器功能可以被集成到思科交换和路由平台之中。 整合可以保护投资和精简成本 18 思科统一无线网络提供了一个统一、创新的端到端网络。它可以提供有力的投资保护，为有线和无线网络确保一个安全、移动、经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控制器的统一网络基础设施，可以与集成到一系列思科交换、路由平台中的独立或者模块化局域网控制器配合使用。 客户可以通过添 加一个模块化无线局域网控制器（例如 Cisco Catalyst 6500系列 WiSM 或者用于集成多业务路由器的思科 WLCM），大幅度降低 TCO、减少支持成本，以及缩短计划内和计划外断网时间。 思科统一无线网络还支持网络准入控制（ NAC）和思科兼容扩展客户端设备。用于 WLAN 的 NAC 可以通过在 WLAN 客户端试图进入网络时执行设备安全策略，提供威胁防御功能。思科兼容扩展计划有助于推动那些可以与思科 WLAN 基础设施进行互操作，并利用思科创新提高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。 1 总结 思科统一无线网络可以降低部署、管理无线网络的复杂性；支持多种高级服务，例如语音、定位和访客联网；并且有助于确保有线、无线网络的运营成本的可管理性。网络集中和整合并不是新概念 它最初是由蜂窝网络运营商所提出的，进而被引入到了 802.11 网络之中。通过集中和整合，无线网络将能够扩展到大型企业级部署，为用户提供可靠的连接和移动性。 19 4. 思科校园网 WLAN建设方案 4.1 物理设计（部署） 各区域 AP数量统计 （全校整体 规划 ） ： AP区域 AP 数量 AP 区域 AP 数量 第二教学楼 55 学生公寓 5 27 第三教学楼 47 学生公寓 6 60 第四教学楼 113 学生公寓 7 60 第五教学楼 129 学生公寓 8 154 食堂 10 学生公寓 9 167 图书信息大厦 38 金鼎公寓 180 教学实习楼 13 住宅 25 第一实验楼 15 体育场（室外） 4 第二实验楼 19 国教小体育场（室外） 2 学生公寓 1（培训中心） 18 毓秀园（室外） 2 学生公寓 2（数字领地） 18 古松园（室外） 2 学生公寓 3 27 小广场（室外） 1 学生公寓 4 24 其他（室外） 3 共计： 1213 其中本次方案仅针对以下部分楼宇 （二期无线建设） ： AP 区域 AP 数量 图书信息大厦 38 具 实际 调查， XXXX 正在建设的一期无线工程采用的是 CISCO 的无线 控制 4404加瘦 AP 的方案，故本次的二期无线建设方案也采用的 CISCO 的 产品，便于统一管理。 本次工程采用 AP 就近接入的原则， 即每楼宇设备间新添交换机直接连至该楼汇聚设备上实现网络连通 ，同时 提供 POE 供电的功能；作为整个无线局域网络的中央管理控制器， 本次采用的是 无线 控制器 AIR-CT5508-100-K9,该控制器可扩展至管理 250AP，便于今后的 无线建设及 扩展 ；无线管理软件 WCS 只需提供接口连接至网络即可实现其管理功能。 具体的逻辑组网图如下图所示： 20 无线网络组网如下图所示： 室内无线接入点选择 AIR-LAP1131AG-C-K9， 均使用全向天线实现覆盖； 无线控制器选择 AIR-CT5508-100-K9。 使用 POE 交换机 WS-C2960-24PC-L为 AP 提供电源，个别 设备间点位较少 情况下 可 使用 Power Injector供电 模块利用原有网络资源实现供电功能 。无线网络管理采用思科无线控制系统（ WCS），为无线网络运行提供 RF 预测、策略配置、网络优化、排障、用户跟踪、安全监控 等支持。 4.1.1 无线覆盖方案 覆盖区域 此次无线网络实现 XXXX 全校 部分 范围无线网络接入环境，其中 本次仅实施图书信息大厦。 设计指标、原则及覆盖方式 设计原则： 无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼 容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。 无线控制器 核心交换机 21 设计指标： 各信号输出点信号强度 10 15dbm；将按照 2.4G 工作频段2.412 2.462GHz（ FCC） 分为 channel1、 channel6、 channel11 三个完全不干扰频段设计；目标覆盖区域信号强度 -80dbm。 1、一般来讲室内容许最大覆盖距离为 35100 米 室外容许最大距离 100400 米 2、障碍物阻挡 要观测无线覆盖周围的障碍物确定 AP 的数量和放置位置。 2.4G 电磁波对于各种建筑材质的穿透损耗的经验值如下： A. 水泥墙 (1525cm): 衰减 1012dB B. 木板墙 (510cm): 衰减 56dB C. 玻璃窗 (35cm): 衰减 57dB 各种建筑材料对无线讯号的影响如下： 当 AP与终端隔一座水泥墙时 ,AP 的可传送覆盖距离约剩下 5 米有效距离。 当 AP与终端中间隔一座木板墙时 , AP 的传送距离约剩下 15 米有效距离。 当 AP与终端中间隔一座玻璃墙时 , AP 的传送距离约剩下 15 米 有效距离。 所以在安装选点时，一定要注意以避开墙、柱子等 覆盖方式： 在覆盖区域内，选择教学楼 ， 办公楼 及学生宿舍 为主，其他区域为 辅的覆盖方式，实现全校整体无线覆盖。具体分为室内覆盖和室外覆盖两种方式，其中室外覆盖部分包含部分区域采用 Mesh 方式进行覆盖。 根据国家无线电管理委员会 1997 年 2.4GHz 频段的管理办法中规定的场强标准，选配不同技术规格的全向天线、扇区天线，既要考虑到每个信号输出点的电频强度，又要顾及信号对人体可能存在的危害，达到“绿色环保”的效果。 经过现场 的覆盖区域现场勘测后，对无线覆盖区域进行详细描述 22 室内覆盖 室内覆盖规划原则： AP 的放置要遵循两个原则 AP 覆盖区域无间隙； AP 重叠区域最小。 相邻 AP 工作在不同频道，以 1， 6， 11 三个频道实现全方位的覆盖。 根据经验值，当相邻 AP 设定相同频点时 , 要求间隔 25 米以上；当相邻AP 设定相邻频点时 , 要求 AP 间隔 16 米以上；当 AP 设定相隔频点时 , 要求间隔 12 米以上。 室内典型环境覆盖（一） 主要特点是：环境开阔、用户数量相对集中、对带宽需求较高，主要用户群是校内教师、学生，例如：多功能厅、会议室、报告厅 ，图书馆 等。主要用户群：校领导、教师以及来访用户，用户使用环境相对封闭。 室内典型环境覆盖（二） 环境特点是：房间多、用户数量不多但分布较 分散的楼宇，楼长、墙体结构厚、房间多，用户无线应用也比较频繁。主要用户群是校内教师、学生。如：教学楼、 实验 楼等。 这个典型环境包括： 教学楼、实验楼等 。 该环境下，覆盖 AP 安装楼道内，通过内置天线覆盖楼道两侧房间，微波通过房间的门窗传输到室内，实现了比较细腻的覆盖环境， AP 通过 有线接入到楼层交换机。 23 图书信息大厦 覆盖设计 图书信息大厦可分为图书馆和信息楼 2 部分，其中图书馆部分共 7 层， 信息楼部分共 4 层（ 3-4层为整体大机房）。 1层 AP 分布图见下， 本层布置 AP 数量 7个 标示 AP位置， 如图所示，该 层 图书馆基本是一个 AP 覆盖 2 间阅览室 ，布置于屋顶 ，信息楼部分直接布置于屋内 墙上壁挂放置 ，正常情况下每 AP 带用户10-20 人，高峰情况下可能增加至 30-40 人 2层 AP 分布图见下， 本层布置 AP 数量 8个 APAPAPAPAPAP APAP APAP APAPAP APAP 24 标示 AP 位置， 如图所示，该层 图书馆基本是一个 AP 覆盖 2 间阅览室 ，布置于屋顶 ，信 息楼部分直接布置于屋内 墙上壁挂放置 ，正常情况下每 AP 带用户 10-20 人，高峰情况下可能增加至 30-40 人 3 层分布图见下， 本层布置 AP 数量 7个 标示 AP 位置， 如图所示，该层 图书馆基本是一个 AP 覆盖 2 间阅览室 ，布置于屋顶 ，信息楼部分直接布置于屋内 墙上壁挂放置 ，正常情况下每 AP 带用户 10-20 人，高峰情况下可能增加至 30-40 人 4 层分布图见下，本层布置 AP 数量 4个 APAP APAPAPAP APAP APAP AP 25 标示 AP 位置， 如图所示，该层 图书馆基本是一个 AP 覆盖 2 间阅览室 ，布置于屋顶 ，信息楼部分 为 3 层机房上空 ，正常情况下每 AP 带用户 10-20 人，高峰情况下可能增加至 30-40人 5 层分布图见下，本层布置 AP 数量 4个 标示 AP 位置， 如图所示，该层 图书馆基本是一个 AP 覆盖 2 间阅览室 ， 布置于屋顶 ， 由该层起信息楼部分无 ，正常情况下每 AP 带用户 10-20 人，高峰情况下可能增加至 30-40 人 6 层分布图见下，本层布置 AP 数量 4个 AP APAP APAP APAPAP 26 标示 AP 位置， 如图所示，该层 图书馆基本是一个 AP 覆盖 2 间阅览室 ，布置于屋顶 ， 由该层起信息楼部分无 ，正常情况下每 AP 带用户 10-20 人，高峰情况下可能增加至 30-40 人 7 层分布图见下，本层布置 AP 数量 4个 标示 AP 位置， 如图所示，该层 图书馆基本是一个 AP 覆盖 2 间阅览室 ，布置于屋顶 ， 由该层起信息楼部分无 ，正常情况下每 AP 带用户 10-20 人，高峰情况下可能增加至 30-40 人 统计 AP 数量如下： 图书馆部分：各层均为 4AP，共 28AP 信息楼部分：一层 3AP，二层 4AP，三层 3AP，共 10AP 设备间位置计划以楼 层为单位划分： 图书馆部分， 1-3层一个设备间， AP 统一由原有桥架引至 2层 设备间中的 POE交换机上， AP 数量为 12 个，故该设备间配备 1 台 24口 POE交换机； 4-7 层一个设备间， AP 统一由原有桥架引至 5 层 设备间中的 POE交换机上， AP 数量为 16个，故该设备间配备 1台 24 口 POE交换机。 信息楼部分， 4 层共用一个设备间， AP 统一由原有桥架引至 2 层 设备间中的POE交换机上， AP 数量为 10 个，故该设备间配备 1台 24 口 POE交换机 . 各设备间 POE交换机通过光纤连接至校园网络内。 总体统计， AP数量 38 个， POE交换机 3 台 AP APAPAP 27 以上所有布线 标准 均 采用 6 类布线系统标准 ，走线过程中 双绞线敷设保护线槽并 固定牢靠 ，布线完毕整体 进行测试 ，测试达标 后再开始布置 AP；线缆两端 按定义规则贴对应标签进行识别。 布置 AP 前，按统一标准为 AP自身粘贴打印标签，标识自身命名、 MAC 地址、上联交换机 IP及交换机端口 。 4.2 逻辑设计 4.2.1 SSID 和 VLAN 根据高校实际情况和应用需求，建议学校园区使用 SSID 如下 1. 数据服务 SSID Data-SSID：基于三层的 Web 认证； 2. 根据所部署校园的需求，可能还有为访客服务的 SSID Guest-SSID，为访客 /中国移动漫游客户接入提供特定 VLAN 的访问 上述 SSID 原则上均是全部可以广播出去， 提供对外服务的。也可以根据实际部署需求进行灵活定制。比如学校的某些特定场所，不允许访客进入的 /或者不允许访客在此无线上网的，此处的 AP 可以不用开启 Guest-SSID。 为了有效的隔离广播域，提高校园无线网络的性能，建议采用思科 AP-Group技术，将所有 AP 划分不同的组（ Group），每一组 AP为一个 VLAN。 300 个 AP 的校园无线覆盖典型环境下，支持同一 SSID 的所有 AP，按照 AP 所处楼层、校区位置划分为不同的 AP-Group，客户端接入不同 AP-Group 时被分割到不同的 VLAN，获得不同网段的 IP地址。 建议根据用户实际情况（应用类型、上网人数等），每个数据类 AP-Group 不超过 30 个 AP 28 4.2.2 地址和路由 无线用户接入地址和路由规划 根据高校接入用户的数量，并预留一定扩展能力的前提下，建议： 4 个 C类地址段 (C1 C4)，共 1000 个地址，用于数据 /访客用户接入地址分配 C1，共 250 个 IPv4 地址，作为 Data-SSID 客户端地址；对应VLAN100，每个 VLAN 一个 C 类 IPv4 地址段； C2，共 250 个 IPv4 地 址，作为 Guest-SSID 客户端地址（如果部署访客SSID）；对应 VLAN149，一个 C 类 IPv4 地址段； C3-C4，共 750 个 IPv4 地址，作为保留地址池 每个与 SSID 对应的 VLAN，需要分配一个 IPv4 地址给无线控制器，作为 IP-DHCP-Relay 等功能的源地址 也可以根据具体情况减少每个 AP-Group 的 AP 数量，增多 AP-Group 数量（即增加 VLAN 数），也同时把保留的地址段分给新 VLAN，避免 VLAN内用户激增使 VLAN 内用户过多而地址不够 无线用户在地址分配方式上建议采用 DHCP 动 态地址分配，配置外置 DHCP 服务器实现。无线控制器对无线客户端的 DHCP Request 进行 DHCP Proxy 的操作（源地址为 WiSM 的 VLAN 接口地址）。 无线网络地址和路由规划 对于无线接入点 AP，基本原则：虽然瘦 AP 支持通过 DHCP 动态获取 IP 地址，但是从运营管理的角度，本方案建议采用静态 IP 地址。 如果 AP 连接在现有校园网的接入交换机，则 IP 地址由现有校园网有线端提供，虽然从原理上来讲 AP 和无线控制器的 AP-Manager 只要 IP 可达即可创建并维护数据 /控制隧道，但是从性能 /可管 理性等角度出发，建议在满足下列条件的前提下可以将 AP 接入现有网络交换机： AP 和无线控制器的 AP-Manager 之间端到端环回延迟 (round trip delay)100 毫秒局域网交换环境均能实现 AP 不与一般有线网络设备混合在一个 VLAN 中，避免有线设备的异常流量阻断 AP 和无线控制器之间的通讯 连接在同一 L3交换机端口下的所有 AP，建议放置在一个受保护的 VLAN中，部署时统一分配给这些 AP静态 IP 地址 需要修改现有交换机的 VLAN 参数设置，现有 L3 交换机的路由设置 29 如果 AP 连接在新构建的有线网络中 （与原有校园有线网络隔离），则 IP 地址可以由有线网络分配，也可以从 8个 C 类 IPv4 地址段中分配，建议从保留地址池中分配 比如将 C3(共 250 个 IPv4 地址 )用来作为管理网段的 IP地址池 38 个 AP； 每个控制器 需要至少 2个 IPv4 地址，用于和 AP 通讯的 AP-Manager 地址及管理地址 Management-Interface； 无线网络设备需要两类地址： 管理地址 AP-Manager, Management 从管理网段分配； 无线 SSID 映射 VLAN 的 Dynamic-Interface 地址，有多少个 AP-Group就有多少 Dynamic-Interface 从客户端 VLAN 中分配 IPv6规划考虑 用户终端 IPv6 地址设计 按 IPv6 常规单播地址规划方式分配，前 64 比特作为 Prefix，对应不同学校和 VLAN；后 64 比特对应终端，对应不同主机、终端或接口 。 主机地址采用 AutoConfiguration 方式，采用 EUI-64 地址方式映射传统 MAC地址 30 终端 IPv6 单播地址获得过程： Controller/AP 需要打开 IPv6 Pass-through 功能和以太网组播穿过支持功能 整个 LWAPP 隧道对包括 ICMPv6 在内的 IPv6 的传输是透明的 终端和 Sup720 路由引擎之间采用 Autoconfig 或在相应 VLAN 内使用 DHCPv6 都可以 无线网络设备 IPv6 地址设计 当前无线部分无需设置 IPv6 地址 当前无线部分对 IPv6 的支持是穿透方式的 将来很 快我们会支持在 Native IPv6 的网络上实现 LWAPP 等机制 而在当前无线部分无需设置 IPv6 地址 Sup 720 的 VLAN 路由虚端口和对外 CERNET2 的相关端口需要分配 IPv6 地址 IPv6 的无线客户端可以被看做是被透明连接到 6500 Sup720 的不同 VLAN 上的 IPv6 终端 靠 6500 丰富的双栈支持实现 IPv6 的高性能传输 因此 Sup 720 的 VLAN 路由虚端口和对外 CERNET2 的相关端口需要分配 IPv6 地址和做相关 IPv6 路由设置 IPv4 和 IPv6 组播地址规划还需根据组播应用需求进行进一 步考虑 31 4.2.3 认证和计费 可实现基于 802.1X、 Web-Portal、 MAC 地址三种认证方式 ， 支持 Radius、LDAP 协议，能实现以校内现有 认证 系统作为无线接入用户的 AAA 服务器。 WEB-Portal 方式的认证 Portal 界面， 可 实现由校方个性化定制，支持中、英文页面。认证后可自动将用户端页面，重定向到校方指定网站。 本项目将以 WEB 方式 与计费系统 城市热点 相集成 。 5. 解决方案的设计亮点 5.1 高性能的 IPv6和 IPv4无线接入 IPv6 作为下一代互联网的支撑技术对于处于科研前沿的高校而言至关 重要，思科是业界最早支持 IPv6 的无线接入 ，并且 无线控制单元与核心交换机一体化设计， 利用核心交换机超大容量的背板和转发能力，保证 交换 无 瓶颈 ，为用户提供高性能的无线网络解决方案。 思科无线控制器是业界最高性能的无线控制器之一，在设计初始即为所有的AP 预留了足够的带宽，保证无线控制器不成为整个无线网的性能瓶颈。以 6509 上的 WISM 模块为例， WISM 到背板的带宽高达 8G bps，可以同时支持 300 个 AP。假设每个 AP 下 20 个用户同时使用网络（中度负荷），则每个用户可以得到8G/300/20 = 1.33M 的背板 带宽保证。虽然价格贵一些，但还是业界性价比非常好的一款无线控制器。一个 6509 可以插最多 5个 WISM 模块，也就是说在同时支持1500 个 AP的情况下，我们可以保证每个用户可以拿到 1.33M 的背板带宽保证，保证了用户的合理性能要求并提供了巨大的网络扩展空间 5.2 基于个人用户的运营管理 思科“瘦 AP”集中化解决方案具有运营级的网络管理能力，可以提供灵活一体化的认证、计费、管理等解决方案适于基于个人用户的运营管理，便于高校用户根据不同人员 群体制定不同的安全策略（如认证方式、加密算法、访问权限等）、服务质量级别（ 如转发优先级等）、以及日志管理和计费 。 5.3 支持数据、语音等多种业务，有其它智能业务扩展能力 思科高校无线网络解决方案在支持数据转发的同时，真正为语音业务优化的无线设计，包括：一体化的 IP 电话解决方案，辅助客户端省电，语音不中断安全漫游。为学校提供内部话音的无缝覆盖 ，方便教师和学员的工作和学习，可以极大提高学校办公效率和教学质量 。 32 为保证无线话音的质量， 思科 无线网络具有良好的 QoS 控制机制 ，可以根据不同的策略实现不同的优先级，保证话音等时间敏感应用的传输质量；同时思科无线解决方案支持 无线话音呼叫控制手段 ，保证呼叫连接建立的有效带宽 。 思科 无线网络 解决方案还 支持其他智能业务的扩展，如支持精准的无线物理定位、无线视频等 。 5.4 满足校园特点的安全和可靠性 思科校园无线网络的解决方案支持高校多级别、多种类、多级的认证方式和加密技术，具体如下： 支持精确的无线入侵、射频干扰、非法 AP定位和隔离，保证高校无线网络免受无线类的安全攻击 冗余的中央服务控制保证校园复杂接入环境的安全无线接入，通过提供N+1 的冗余控制器架构，为高校提供可靠的无线接入网络 独特的访客隔离机制，保证跨校园漫游用户与校园网用户的隔离。将访客 和校园网络完全逻辑隔离，在允许访客跨校园漫游访问互联网的同时保证高校网络的相对安全 同时支持端到端的网络可靠性保证技术 ： o 无线射频功率的自动控制，实现无线接入覆盖的故障自动恢复和用户接入负载均衡 o 无线控制器的冗余，保证无线接入点 AP 的接入冗余 o 思科强大的有线网络的可靠性技术保证 5.5 满足生产、运营网络要求的运维和管理 校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理 思科无线网络采用一体化集中式架构，室内、室外、 Mesh 系统一体化控制：所有 AP 均工作在同一 Controller 群组（ cluster） 管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制 并且思科支持可分级的一体化网络管理系统：有线、无线网络管理相结合，集中与分布式管理相结合，为运营维护提供高效率和低成本。 5.6 支持用户全网漫游 校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证 IP 地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。 33 思科无线网络解决方案支持用户跨 AP、跨无线控制器无缝快速漫游，支持用户 跨 2层网络和 3层网络无缝快速漫游。 5.7 灵活部署、易于扩展、高性价比 思科集中化无线网络解决方案支持无线接入点的即插即用功能，方便校园网络的部署和未来维护， 具有良好的性价比。 6. 思科校园无线网络解决方案产品介绍 6.1 Cisco Aironet 系列接入点 随着 WLAN 部署范围的不断扩大，安全性、可扩展性、可靠性、部署方便性和可管理性正在变得越来越重要。思科提供了一组全面的接入点产品，它们可以为业务就绪型无线局域网提供企业级的功能。 概述 接入点是思科 统 一无线网络的重要组成部分。思科的单频和双频接入点针对办公室和类似环境，具有挑战性的无线射频（ RF）环境，以及室外环境进行了特殊的设计。这些设备包含两个版本与思科无线局域网控制器和无线控制系统（ WCS）配合使用的轻型操作版本和与 CiscoWorks 无线局域网解决方案引擎 34 （ WLSE）配合的自主操作版本。与 WLSE 搭配的自主接入点可以提供一组核心功能，并可以在现场升级到轻型操作版本和更加高级的功能集。 要为特定的应用选择最佳的产品，客户必须了解不同的 Cisco Aironet接入点的特性和优点。本解决方案 概述将详细介绍 Cisco Aironet 无线接入点系列中的所有设备的功能。 管理机制 随着无线局域网所起的作用越来越关键，以及它的范围和功能的不断扩展，管理无线部署的方式也必须随之改进。因为每个客户和每个部署任务都有所不同，思科为满足客户的各种独特需求提供了不同的功能集和管理机制。 思科提供了一个核心功能集，其中包括自主接入点和 CiscoWorks WLSE 管理设备。核心功能集提供了每个企业部署所需要的基本功能。核心功能包括：通过支持802.11i/Wi-Fi 受保护连接（ WPA2）建立安全连接；快速、 安全的第二层漫游；与多种第三方应用和产品的接口。大部分思科接入点都包含了用于自主操作的版本。这些设备可以在现场升级到轻型操作模式，从而让客户轻松地从核心功能升级到高级功能。 思科高级无线局域网功能集是由轻型接入点、无线局域网控制器和无线控制系统（ WCS）管理应用提供的。高级功能集提供了业界最全面的功能，包括访客接入、无线入侵检测、可扩展第三层移动和可用定位服务。大部分 Cisco Aironet 接入点都包含用于轻型操作的版本。 部署环境 无线局域网正在越来越多的环境中得到广泛的应用，包括办公室、学校、工厂和仓库等甚至在室外环境中。与此同时，无线行业正在从低容量的单频设备过渡到高容量的双频解决方案。 Cisco Aironet 系列接入点可以满足这些不同的应用需求，提供： 单频和双频接入点 为室内和室外部署而设计的设备 35 为覆盖整个企业的部署提供统一的硬件功能集和可预测的 RF 性能 随着 WLAN 部署扩展到更多的应用和安装环境，客户需要不同种类的接入点来满足相关的容量、覆盖范围和环境要求。思科不仅提供了最高支持 54Mbps 容量的单频 802.11g 接入点，还提供了最高支持 108Mbps 综合网络容量的 802.11g 和802.11a 双频接入点。思科产品系列包括针对办公室和类似机构（例如医院和零售环境）、具有挑战性的 RF 环境（例如工厂和仓库）和室外环境设计的接入点。这些设备可以安装在桌面、墙上、天花板下方、天花板上方和挂杆顶部。 尽管不同应用的需求各不相同，但是思科深知所有企业客户都需要严密的网络安全、可扩展的管理能力和一系列不断改进的网络服务。因此，所有 Cisco Aironet 接入点无论采用什么样的外型和容量，以及工作在轻型模式还是自主模式下都支持思科统一无线网络，这是一个用于集成有线和无线网络的框架，可以在有线和无线网络上提供符合企业需要的安全性、可管理性和服务。 解决方案 满足功能需求 随着无线局域网的用途从基本的传输发展到大量的事务处理应用，无线局域网用户和管理员对功能的期望也在不断提高。但是，这种发展趋势对于不同的细分市场和不同的客户来说都具有不同的特点。因此，思科必须针对不同的客户需求，提供不同的功能集。因为客户需求会在一个无线局域网部署的生命周期内发生变化，思科还需要为客户提供一种手段，让其可以在最大限度地降低对网络运营的影响的情况下，平稳地升级已有产品的功能集。 思科的高级无线局域网功能 集可以提供大部分企业部署所需要的功能。但是有些部署可能并不需要这些高级功能。为了满足这些不断变化的需求，客户可以选择用于轻型操作的、预配置了高级功能集的接入点，或者在现场将自主接入点升级到 36 轻型操作模式。在思科的帮助下，客户可以在合适的时候选择最合适的功能集。表显示了不同的 Cisco Aironet 接入点的操作功能。 表 1 Cisco Aironet 接入点的操作功能 思科产品系列 自主操作 轻型操作 1130AG 系列 支持 支持 1240AG 系列 支持 支持 1300 系列 支持 支持 1500 系列 不支持 支持 满足容量需求 在短短几年中， WLAN 就已经从容量不到 1Mbps 的专用系统发展成为综合数据速率可达 108Mbps 的标准化系统。如此高的数据传输速率是在 2.4GHz 频段（借助802.11g 技术）和 5GHz 频段（借助 802.11a 技术）提供的。 802.11g 可以向后兼容802.11b 设备，但是会受到 2.4GHz 频段中只允许三个非重叠信道的限制。 802.11a不能向后兼容，但是可以支持 23 个信道（具体数量取决于当地法规的要求）。为了同时提供向后兼容性和高容量， WLAN 客户端制造商正在 逐步转向支持 802.11a/g的双频客户端设备。 2006 年， 802.11a/g 设备将成为嵌入式市场和配件市场的主流客户端适配器，可用于笔记本电脑、台式机甚至 PDA。随着时间的发展，几乎所有的 WLAN 客户端设备都将具备双频支持能力，其中包括针对特定应用的设备，例如语音电话、条码扫描仪和射频识别（ RFID）扫描设备。 如果客户目前面临着容量问题，或者预计将在基础设施设备的使用期间遇到容量问题，就需要部署一个能够充分利用客户端的扩展功能的基础设施。随着无线设备的迅速增多，几乎所有的 WLAN 安装项目都面临着更高 的容量需求。对于其中的大部分应用，支持 802.11a 和 802.11g 的接入点都可以提供更高的长期价值，特别是在它们的价格与单频设备相差无几的情况下。对于少量不会在近期遇到容量问题的应用，客户可以选择单频接入点。表 2列出了支持 802.11a、 802.11b 和802.11g 的思科接入点。 37 表 2 支持 802.11a/b/g的 Cisco Aironet 接入点 思科产品系列 802.11b 802.11g 802.11a 1130AG 系列 支持 支持 支持 1240AG 系列 支持 支持 支持 1300 系列 支持 支持 不支持 1500 系列 支持 支持 支持 办公室接入点 Cisco Aironet 1130AG 系列 IEEE 802.11a/b/g 接入点 该系列汇集了很高的容量、安全性和出色的企业级功能，能够以较低的拥有成本提供无线局域网接入。该设备包含轻型操作版本和自主版本，后者可以现场升级到轻型操作版本。通过对轻型和自主操作的支持，客户可以享受到一个通用的硬件平台的简便性和高效率即使在采用轻型和自主操作的混合部署时也是如此。这款非插入式自主接入点进行了独特的设计，可为办公室和类似的 RF 环境提供无线局域网覆盖范围，它利用集成天线和双 IEEE 802.11a/g 频段提供强大、可预测的无线覆盖范围，以及高达 108Mbps 的综合容量。该产品配备了所有必要的安装硬件，可以提供一个既安全，又符合临时性办公环境需要的安装方式。安装支架可以固定接入点和以太网及控制台线缆，防止失窃和改动。 Cisco Aironet 1130AG 系列非常便于安装和管理 ， 可以降低部署和后期维护成本。如需了解更多信息 ， 请访问/en/US/products/ps6087/products_data_sheet0900aecd801b9058.html。 用于具有挑战性的 RF环境的室内接入点 Cisco Aironet 1240AG 系列 IEEE 802.11a/b/g 接入点 该系列可以在具有挑战性的 RF环境（例如仓库、工厂和零售商店）提供必要的多功能性、高容量、安全性和企业级功能。该设备包含轻型操作版 本和自主版本，后者可以现场升级到轻型操作版本。通过对轻型和自主操作的支持，客户可以享受 38 到一个通用的硬件平台的简便性和高效率即使在采用轻型和自主操作的混合部署时也是如此。 Cisco Aironet 1240AG 系列为在需要特殊的外部天线的恶劣环境中进行了专门的设计，可以为 2.4 和 5GHz 频带提供分集式天线连接器，以提供扩大的覆盖范围、多样化的网络接入和更加灵活的安装选项。 Cisco Aironet 1240AG系列接入点将这种多功能性和针对多路径环境的、业界领先的发射功率、接收灵敏度和延时范围相结合，可以 在最恶劣的条件下提供可靠的性能和吞吐率。作为第二代双频接入点， Cisco Aironet 1240AG 系列支持 IEEE 802.3af 以太网供电（ PoE）。该产品配有所有必要的安装硬件，可以提供安全、可靠的安装方式。安装支架可以固定接入点和以太网及控制台线缆，防止失窃和改动。如需了解更多信息，请访问：/en/US/products/ps6521/products_data_sheet0900aecd8031c844.html。 Cisco Aironet 1200 系列接入点 该系列可以提供工业级无线局域网客户在单频 802.11g 解决方案中需要的多功能性、高容量、安全性和企业级功能。这个模块化设备能通过添加一个基于CardBus 的 802.11a 升级模块，灵活地现场升级到双频 802.11a/g 网络。 此升级模块可以方便地安装到原先用于 802.11g 的 Cisco Aironet 1200 系列接入点中。 Cisco Aironet 1230AG 系列接入点 Cisco Aironet 1230AG 系列接入点是 1200 系列的一个经过预先配置的双频版本，可以支持 802.11a 和 802.11g。但是，这个第一代双频设备不能提供像1240AG 系列一样高的性能和对 802.3af PoE 的支持。如需了解更多信息，请访问： Cisco Aironet 1200 系列产品简介： /en/US/products/hw/wireless/ps430/products_data_sheet09186a00800937a6.html Cisco Aironet 1230AG 产品简介： 39 /en/US/products/ps6108/products_data_sheet0900aecd801b9068.html Cisco Aironet 1000 系列 IEEE 802.11a/b/g 轻型接入点 1020 和 1030 这些产品可以通过完全自动化的配置和管理，提供 802.11a/b/g 无线局域网接入。它为 2.4GHz 操作提供了 分集式天线连接器，为 5GHz 频段提供了一个非分集式连接器。 Cisco Aironet 1020 只能作为轻型接入点使用，不支持自主操作。该设备无法提供与 Cisco Aironet 1230AG 系列和 1240AG 系列相同的、扩大的工作温度范围，而且需要额外的安装硬件。它不能像 1230AG 系列和 1240AG 系列一样防止盗窃和改动。因为 Cisco Aironet 1020 只支持轻型操作，所以采用轻型和自主操作混合的部署将无法使用一个统一的、标准的硬件平台。 Cisco Aironet 1030 轻型接入点是 1020的一个版本，具有允许从某个无线局域网控制器远程部署设备的软件功能。这种独特的功能使得 1030 适用于不便于（或者成本过高）在本地放置一台无线局域网控制器的小型分支机构环境。 如需了解更多关于 Cisco Aironet 1020 和 1030 轻型接入点的信息，请访问： /en/US/products/ps6306/products_data_sheet0900aecd8025708a.html 室外接入点 /网桥 Cisco Aironet 1300 系列 IEEE 802.11g 无线室外接入点 /网桥 提供自主接入点、无线网桥和工作组网络网桥功能，以及增强的 WLAN 安全性。这个坚固耐用的平台能够在多个固定的或者移动的网络和客户端之间建立高速、经济的无线连接，因而适于为室外场所提供公共接入，在园区中提供网络连接，或者为移动网络和用户提供室外基础设施。专门为恶劣的室外环境而设计的Cisco Aironet 1300 系列适用于需要室外网络覆盖的 WLAN。 Cicso Aironet 1300系列只包含自主操作版本。如需了解更多信息，请访问： 40 /en/US/products/ps5861/products_data_sheet09186a00802252e1.html。 Cisco Aironet 1500 系列轻型室外网格接入点 Cisco Aironet 1500 系列支持经济有效、便于扩展的安全室外无线局域网。Cisco Aironet 1500 同时双频支持 IEEE 802.11a 和 802.11b/g 标准，采用了即将荣获专利的自适应无线路径协议，可在远程接入点间构成一个灵活的无线网格网络，并向兼容 Wi-Fi 的客户端提供安全的无线接入。 如需了解更多关于 Cisco Aironet 1500系列轻型室外网格接入点的信息，请访问： /en/US/products/ps6548/index.html 接入点的特性和优点 表 3 列出了适用于不同环境的 Cisco Aironet接入点。 表 3 适用于不同环境的 Cisco Aironet接入点 思科产品系列 办公室和类似环境 具有挑战性的室内 RF环境 室外 1130AG 系列 理想 不推荐 不推荐 1240AG 系列 推荐 * 理想 推荐* 1300 系列 不推荐 不推荐 理想 * 1500 系列 不推荐 不推荐 理想 * * 只适用于轻型部署 * 只适用于自主部署 *特别适于部署在吊顶上方 * 在装于一个防风雨的 NEMA标准机箱中时，可以在室外部署 表 4 对 Cisco Aironet 接入点系列进行了全面总结。 41 表 4 Cisco Aironet接入点 产品 特性 /优点 用于办公室和类似环境的接入点 Cisco Aironet 1130AG 系列接入点 双频轻型或者自主接入点，具有集成天线，便于部署在办公室和类似的 RF环境中 两个高性能的 IEEE 802.11a 和 802.11g 无线收发设备，可以提供高达 108Mbps的容量 2.4 和 5GHz 集成化分集式 全向天线可以在不使用外置天线的情况下方便地部署 包含轻型操作版本和自主操作版本，后者可以现场升级到轻型操作版本 简洁的塑料外壳 32MB内存和 16MB存储 工作温度范围： 32到 104F (0 到 40C) 馈线电源支持（思科预标准和 802.3af） 用于管理的控制台端口 支持思科自防御网络、 NAC、 WPA和802.11i/WPA2 集成化的、安全的安装系统 符合 UL2043标准，可以安装在高压场所 用于具有挑战性的室内 RF环境的接入点 Cisco Aironet 1240AG 系列接入点 第二代双 频轻型或者自主接入点，具有两个分集式天线连接器，适用于具有挑战性的 RF环境 两个高性能的 IEEE 802.11a 和 802.11g 无线收发设备，可以提供高达 108Mbps的容量 2.4 和 5GHz 双分集式 RP-TNC 天线连接器，支持外置天线 包含轻型操作版本和自主操作版本，后者可以现场升级到轻型操作版本 坚固耐用的金属外壳 32MB内存和 16MB存储 工作温度范围： -4 到 131F ( -20 到 55C) 馈线电源支持（思科预标准和 802.3af） 用于管理的控制台端口 支持思科自防御网络、 NAC 、 WPA 和802.11i/WPA2 42 产品 特性 /优点 集成化的、安全的安装系统 符合 UL2043标准，可以安装在高压场所 Cisco Aironet 1300 系列室外接入点 /网桥 单频自主接入点和无线网桥，具有一个符合 NEMA-4 的外壳，适于安装在室外场所 一个 802.11g 无线收发设备，可以提供 54 Mbps的容量 2.4GHz 双分集式 RP-TNC 天线连接器，支持外置天线 可以配置为自主接入点、无线网桥或者工作组网桥 支持点对点和点对多点配置 符合 NEMA-4 标准的防风雨外壳 集成化的或者可选的外置天线，有助于提高部署灵活性 16MB内存和 8MB存储 工作温度范围： -22到 131F ( -30 到 55C) 馈线电源支持（思科预标准） 用于管理的控制台端口 支持思科自防御网络、 NAC、 WPA和802.11i/WPA2 集成化的、安全的安装系统 符合 UL2043标准，可以安装在高压场所 集成化的或者可选的外置天线，有助于提高部署灵活性 Cisco Aironet 1500 系列轻型室外网格接入点 轻型室外网格接入点，可经济有效、便于扩展地部署安全室外无线局域网。 两个 802.11a/g 无线收发设备，最高支持54Mbps 802.11b/g用于接入， 802.11a用于回程 支持点对点或点对多点配置和网格架构配置 即将荣获专利的自适应无线路径协议，可提供智能无线路由功能 符合 NEMA-4 标准的防风雨外壳 工作温度范围： -22到 131F ( -30 到 55C) 支持思科自防御网络、 NAC 、 WPA 和802.11i/WPA2 43 架构 双频接入点可以提供最大限度的容量、可扩展性和投资保护 Cisco Aironet 1000 系列轻型接入点和 Cisco Aironet 1130AG、1230AG、 1240AG 系列接入点都 为保护当前的和未来的网络基础设施投资进行了独特的设计。 802.11a 无线收发设备支持最高 54Mbps 的数据传输速率和 12个非重叠5GHz 信道，因而能够提供出色的性能和最大限度的容量、可扩展性。 802.11g 无线收发设备则可以在 2.4GHz 频段支持最高 54Mbps 的数据传输速率。在使用 802.11g无线收发设备时，接入点可设置为只支持 802.11g 客户端和高带宽应用；或者，为了加强投资保护，将其设置为支持 802.11g 和传统的 802.11b 客户端。 思科统一无线网络 Cisco Aironet接入点是思科统一无线网络的重要组成部分。思科统一无线网络可以经济有效地解决企业面临的无线局域网安全、部署、管理和控制问题。这个框架集成并扩展了有线和无线网络，能够以最低的总拥有成本提供可扩展、便于管理、安全的无线局域网。它可以为无线局域网提供与有线局域网相同的安全性、可扩展性、可靠性、部署方便性和可管理性。它包含了创新的 RF 技术功能，可以实现对核心业务应用的实时访问和提供企业级的安全连接。 利用思科统一无线网络，无线和有线网络的最佳组成部分可以整合到一起，以一种安全、可靠的方式为企业提供 移动能力。思科统一无线网络的灵活性让网络管理人员可以设计符合他们特殊需求的网络无论是部署高度集成化的网络设计还是简单的重叠网络。 如需了解更多关于思科统一无线网络的信息，请访问：/go/unifiedwireless。 如需查阅思科统一无线网络手册，请访问： 44 /en/US/products/hw/wireless/ps430/prod_brochure09186a0080184925.html。 图 1 显示了一个典型的轻型接入点部署结构。图 2 显示了一个典型的自主接入点部署结构。 图 1 轻型接入点部署结构 45 图