思科统一无线网络设计和部署（下）.ppt

无线安全状态监视 SecurityIndex 无线入侵保护 监测RF相关的攻击 Netstumbler wellenreiter void11 FakeAP addressspoofing DoS etc 管理帧保护 制定攻击签名 实时的24x7监控和告警 流氓AP 客户端检测 定位 围堵 基于规则的非法设备管理 AutomaticallyClassifyRoguesas ManagedSSIDAnySSIDMinimumRSSI Timeduration Malicious ThreatorAlert MaliciousorFriendlyKnownFriendlyOpen Unknown WirelessLAN ControllerTemplate NumberofrogueclientsAutoDetectThreatorAlertStateUsingRLDPorRogueDetectorThreat RequiresAttentionNowAlert PutItintheQueue Legend QuicklyLocateRogues WCS报告 报告规则 制定化报告 小时 天 星期 月 邮 件输出 无线接入点及客户端报告 AP位置及SSID APProfile状态 AP 客户端负载统计 AP 客户端流量报告 客户端数量及状态统计 设备报告 控制器 无线接入点 定位 性能报告 802 11参数统计 AP 控制器 定位器的内存 CPU 负载 无线覆盖报告 覆盖空洞统计 安全报告 安全事件统计报告 每月假冒及非法设备检测统计 Mesh报告 链路状态 父结点变更 节点 PER和状态 低SNR链路统计 独立无线接入点的监视和迁移Freebasicandalarmmonitoringofstandalone autonomous accesspointsMonitorallCiscoIOS basedCiscoAironetstandalonemodelsMonitorIntegratedServicesRouteraccesspoints800 1800 2800 and3800seriesEasilymigrateCiscoAironetstandaloneaccesspoints aIOSaIOSaIOS individuallyorasgroupsof10 WLANControllerMigrateStandaloneAccessPointsLWAPP MonitorStandaloneAccessPoints 无线网络计费 无线网络计费方式 无线控制器与RADIUS通讯 负责管理无线客户端的登录 登出 由RADIUS发出PoD指令 通知无线控制器终结相应用户计费网关与RADIUS通讯 负责统计每个用户的国内 国际流量 并产生计费帐单 RADIUS 无线接入控制器无线网络AP 计费网关 Si原有校园网络 CERNET Internet 配置相关路由策略 无线网络部署蓝图 BranchOutdoor CiscoUnifiesWirelessAcrossAllPlacesintheNetwork CampusRemoteOffice WiSMfortheCatalyst65004400SeriesWLANController2100SeriesWLANControllerH REAP IntegratedServicesRouterw WLCMCatalyst3750IntegratedWLANControllerWirelessMesh WAN 灵活的架构实现有线和无线的融合思科统一无线网络的部署适应各种场景 AAARADIUS服务器 ACSWCSLocation FIPS140 2Certification NetflowStatisticsAppliance AAAproxy CommonCriteriaCertification 无线接入点 HA 802 11a b gWiFiCertifiedcore制器 无线控 CommonCriteriaCertification StandardsbasedWPAv2802 11i EAP TLS802 1xSupplicantLayer3Mobility AIR AP1010 C K9 AIR LAP1131AG C K9Detection 接入层网络 AIR WLC4404 100 K9 Data WAN InternetAccess WLC WLC 核心网络 HighAvailability Redundancy HardwareForwarding WS C6509 E WISM WS C6504 E WISM 思科统一无线网络的部署汇聚层网络Center FIPS140 2 FIPS140 2Certified802 11i N 1RedundancyforHighAvailability HighAvailability HardwareForwarding Classification SecureClientAuthentication WS C6509 E WISM WS C6504 E WISM冗余的无线控制器 NetworkManagement Wireless RogueAPandRogue WCS无线网络管理 EnterpriseWireless实时定位服务器 Enterprise AssetTrackingConfiguration WirelessIntrusionDetectionClientTracking CommonCriteriaCertification ClassifiedasInformationAssuranceDevice WPAv2WiFiCertified无线客户端Certificationencryption CommonCriteriaCertification FIPS140 2 SimultaneousConnectionIDS IPSDistributionAccess Seamless WirelessIntrusion WirelessIntrusionPrevention 802 3afPoEWLC QoSClassification WS C3750G 24WS S50 ClientWirelesstoandClientCertified Redundant LocationServices 大型分支 4400Controller LWAPPAPs LocationServices中型分支 LWAPPAPs 4400Controller 小型分支 LWAPPAPs WLCMinISRrouter or 2000Controller小型办公室 HybridREAPAPs AutonomousAPs 总部 数据中心 LWAPPAPsWiSMControllerWCSMobilityservicesWAN 思科统一无线网络在园区的部署 移动性和漫游设计 部署建议 可扩展的移动组架构 移动组允许控制器协同工作提供跨越控制器的无缝漫游 APs在加入控制器后会学习到移动组内其他控制器成员的 支持多达72台控制器组网 每个移动组支持3600个APs 控制器之间通过移动消息交互 移动消息封装在EtherIP RFC3378 隧道内在控制器之间传输 隧道自动建立 客户端是如何漫游的 什么是漫游 指的是客户端将关联关系从一个AP切换到另一个AP 而让无线连接能够保持的过程 漫游必须满足的条件是什么 信号连续覆盖 AP配置为使用互不重叠的不同信道 这确保客户端在接收附近AP的信号时不受来自其他AP的信号干扰 何时进行漫游 客户端可以在其需要漫游前主动搜索其他相邻AP 客户端可以在需要漫游时才搜索相邻AP 漫游过程完全是由无线客户端驱动程序 而不是AP 驱动的 客户端是如何漫游的 无线客户端根据各种条件确定漫游的时机 802 11标准没有规定根据何种条件漫游这个问题 因此使用的漫游算法随客户端厂商而异 漫游算法通常使用的是 秘密配方 因此无法知道各个厂商精确的阈值和条件 在漫游算法中 通常使用的一些条件包括信号强度 信号质量 遗漏的信标数 由于冲突或干扰导致的错误等 选择这些条件通常是因为他们说明了连接的整体的质量 由于不同的客户端使用不同的阈值 因此在蜂窝内的同一个位置 有些客户端可能尝试进行漫游 而有些不这样做 有些客户端选择在几乎收不到当前AP的信号时才进行漫游 而有些客户端在有更佳的AP时就进行漫游 换句话说 我们不要过多的考虑控制漫游算法的因素 而只需熟悉漫游过程即可 客户端漫游过程 802 11层面 在位置A 客户端可以从AP1那里收到清晰的信号 因此它保持同该AP的关联 当客户端向位置B移动时 它发现AP1的信号不再是最优的 在此过程的某个位置 客户端开始查找更佳的AP以便同其关联 无线客户端采取两个步骤来完成这个过程 第1步客户端发送802 11探针请求管理帧 第2步侦听的AP使用802 11探针响应帧来应答客户 以通告自己的存在 客户端收到探针应答后 对其进行评估 以确定同哪个AP关联是最合适的 在位置C客户端决定进行漫游 并切换关联 首先 必须删除现有的关联 因为每个客户端不能同时与多个AP关联 客户端通过信道1 AP1使用的信道 向AP1发送802 11解除关联消息 然后客户端便可以通过信道6向AP2发送关联请求 接下来AP2使用关联响应做出应答 漫游时我的应用会中断吗 在漫游过程中 客户端必须先解除原来的关联才能协商新关联 因此在一段较短的时间内客户端没有同任何AP相关联 这实际上就是客户端无法发送或接收数据的离线时间 然而 这端时间通常非常短暂 第2层漫游的目标是确保离线时间尽可能短 以免对延迟敏感的应用受到负面影响 思科可以通过CCX特性保证多厂商的互操作性 使得2层漫游时间最小化 在漫游期间 客户端的IP地址保持不变 这提供了方便 因为客户端关联到另一个AP时 无需花时间来获得新的IP地址 思科统一无线网络架构保证了客户端无需更新IP地址 同一控制器内漫游 客户端在同一控制器下管理的AP之间漫游 客户端必须重新关联和认证并建立新的session 控制器更新数据库内客户端对应的AP和相关的安全内容 客户端无需更新IP地址 控制器之间的漫游1客户端必须重新关联和认证并建立新的session 控制器通过移动消息交互同步更新客户端数据库内对应的AP和相关的安全内容客户端无需更新IP地址 客户端在不同控制器 控制器部署在同一2层网段 下管理的AP之间漫游 客户端在不同控制器 控制器部署在不同网段 下管理的AP之间漫游 控制器之间的漫游2客户端必须重新关联和认证并建立新的session控制器通过移动消息交互同步更新客户端数据库内对应的AP和相关的安全内容 客户端无需更新IP地址数据流量可以以对称或非对称方式转发 漫游必须保证什么样的需求 漫游必须是快速的 延迟由下列因素造成 客户端频点扫描和AP的选择算法 客户端必须重新认证并生成新的密钥 漫游必须保证安全性 Openauth staticWEP session延续在新的AP上 WPA WPAv2Personal 通过标准的握手协议生成新的session密钥用于数据加密 802 1x 802 11i WPA WPAv2Enterprise 客户端必须重新认证并生成新的session密钥用于数据加密 快速并且安全的进行漫游 客户端频点扫描和AP的选择算法 通过CCX特性保证 刷新IP地址 基于控制器架构的统一无线网络很好的解决了该问题 客户端重新认证和密钥的再生成 通过以下两种机制保证 CiscoCentralizedKeyManagement CCKM 802 11iProactiveKeyCaching PKC 支撑漫游的网络设计最优方法 在设计中尽量最小化或避免发生在控制器间的漫游控制器间的网络延迟 RTT 小于10msec 控制器间的2层 控制器部署在同一子网 漫游比3层 控制器部署在不同子网 漫游更有效使用PKC CCKM来加速安全的漫游客户端漫游的行为 通过CCX特性保证 无线射频设计 TotalEnergyonEachChannelNon 802 11NoiseNon 802 11NoiseHeardonChannel802 11Interference Describedas busy 802 11PacketsHeardDuringSamplingIntervalsUtilizationMoreEmphasisGiventoAPsThatRequireMoreBandwidth LWAPPAPWLC 发射功率用户负载管理自动频段分配 欺诈侦测和压制覆盖漏洞管理移动性管理 KeyRFStatsProfiledAPReceivedEnergy 射频资源管理内嵌于无线控制器 干扰发现和避免AllChannelsScannedWhileOfferingService CountryChannelsOnlyorAllChannelsAll802 11PacketsCollectedandCharacterizedRogueBeacons RogueClients 802 11Interference andMatchedAgainstIDSSignatures就像控制器里有一个射频规划和调整的专业工程师 射频资源管理实时射频管理 射频域是一个永远变化的环境 用户的移动 干扰的发生 控制器从无线域的整体系统角度出发对所辖的AP实施覆盖优化以及网络可用性的调整 优化的射频环境提高应用的性能和网络可用行 全面的射频管理无需具备专业射频技能的人员 无需射频校准 减少了维护支持的成本 Benefits RFchannel 1 RFchannel 6 RFchannel 11 Assignment Power DynamicChannelOptimization 射频资源管理最佳的网络性能 动态客户端负载均衡 解决了高密度用户部署时性能和容量的问题例如 会议室 礼堂 集会 客户端和网络架构决定最佳的负载均衡方式 保证应用和网络的性能 保证网络带宽和延迟敏感应用的运行 例如无线IP语音 减少了维护支持的成本 增加了用户满意度 Benefits 问题 RF干扰 WiFiDevices OtherDevices BadExperiences 物理层安全是无线网络的第一道防线 LAN WANNetworkCiscoAironetAccessPointsCiscoCompatibleClientDevices Wireless WiredNetworkCognioSpectrumExpertSensorsCognioDetectedIncompatible InterferingDevices 频谱分析集成监测 分类 以及RF干扰定位CiscoWCSCiscoWLANController 思科无线频谱分析工具的部署 场景 用途 无线频谱站点勘查 Prewirelessdeployment 无线频谱故障排查 Postwirelessdeployment 无线频谱连续监测 Postwirelessdeployment 频谱遵守审计 Postwirelessdeployment 在无线网络部署之前就获得潜在的射频干扰信息巡视园区并将捕获的数据发送给无线网管WCS来进行故障排查 查找远端的干扰源在无线网络间歇性或持续性发生射频干扰的的地区部署 持续检测射频环境 并将捕获的数据发送给无线网管WCS使用来自思科频谱分析工具和思科WCS的干扰数据 以确定和审核频谱政策 并评估对未来无线基础设施投资的影响 1 独立2 移动3 静态4 审计 无线覆盖设计 IEEE802 11RadioSummary 2 402 2 483WorldwideAvailable 5 15 5 35 5 47 5 825LimitedWorldwideAvailability FrequencyRange GHz Status 19996 9 12 18 24 36 48 54Upto19inCertainRegulatoryDomains 20031 2 5 5 11and6 9 12 18 24 36 48 543 19991 2 5 5 113 RatifiedDataRates Mbps NumberofNon OverlappingChannels 802 11a 802 11g 802 11b 无线连接速率 覆盖和站点勘查距离AP越近 客户端获得的无线连接速率越高 速率越高 蜂窝约小 思科支持皮蜂窝技术 PicoCell 来支持高密度高带宽接入AP蜂窝的大小取决于AP的发射功率覆盖采用全部发射功率来规划的设计会极大减小射频管理的灵活性天线的增益会影响蜂窝的大小天线增益是用信号强度来换取方向性在同样的发射功率和获得同样连接速率的情况下2 4GHz和5GHz频段的覆盖范围有一些差别 2 4or5GHz蜂窝所以站点勘查必不可少 部署举例 频点布局是WLAN设计的有效组成部分目标是同频最小化重叠2 4GHz频谱只有3个互相不重叠的频点 管理分配相对困难 5GHz互相不重叠的频点数量较多 管理分配相对容易无需担心 思科无线控制器提供自动智能的射频资源管理 可以正确有效的的管理分配频点资源 1 65 65 18 17 61 61 65 11 3 113 113 11 3 113 11 802 11a802 11b g1 68 68 18 11 1 802 11b g666111111166111111116661111 837 8131 802 11Ch11Ch6 Ch6Ch1 Ch11Ch6 Ch1 15 20 覆盖重叠 典型的802 11b g覆盖设计 二维模型 Channel11 Channel11Channel6 1stFloor Channel6Channel1 典型的802 11b g覆盖设计 多楼层三维模型 2ndFloorChannel1 Ch36Ch52 Ch56Ch161 Ch48Ch60 15 20 覆盖重叠 典型的802 11a覆盖设计 二维模型 Ch149Ch44 1st Floor 2ndFloor Channel36 Channel44 Channel52 Ch60 Channel44Channel48 Channel36Channel56 Channel60Channel40 Ch52Ch64 典型的802 11a覆盖设计 多楼层三维模型 CiscoAironet3rdFloor 如何进行射频规划设计 无线网络希望提供何种服务 是802 11a 802 11g 802 11b还是802 11n 提前通过WCS射频规划工具模拟 通过内嵌无线控制器的的动态射频管理模块持续监视无线环境 并作出调整 例如增大缩小发射功率 频点分配等 通过WCS的网络可视化界面查看现有无线覆盖情况 无线安全设计部署 统一无线网络安全 端到端 一体化 唯有思科提供细致层次的认证和图形化管理Locationservicesenableprecisemappingofclientsandthreats allowingfine grainedauthenticationandquickremoval 综合有线IDS IPSUnifiedwiredandwirelessIDSensuresmaliciouswirelessclientsaredisconnectedfromthenetwork 无线端点准入CiscoNACpreventswirelessendpointsfromintroducingviruses spyware malware etc 无线IDS IPSComprehensivewirelessthreatidentificationandover the airprevention 接入端点保护CiscoSecureAgentdetectsandpreventsoffsitewirelessthreatssuchasadhocnetworks 802 11aRogueAP 802 11aRogueClient L2IDS L3 7IDSCiscoNACApplianceRFContainment 无线安全是一个层次化的防御体系 用户组A 用户组D 用户组B用户组C 用户群分类 无 线接入安全策 略 VLANA BSSID 接入点控制器接入点 SSID 空中数据安全接入安全Web MAC 802 1xNAC 有线侧安全控制 RF干扰 802 11MAC层 PH层 管理帧安全 物理接入区域 L2 L7 VLANCVLAND VLANE IPS SCE 思科提供端到端的无线安全接入 无线网络物理安全 集成智能频谱分析仪 无线终端用户的用户认证 802 1x 各种EAP 用户名 密码 数字证书 无线终端用户的数据加密 WEP TKIP AES 无线接入点的接入认证 无线控制帧的安全管理 MFP Mesh回传链路数据的安全加密 基于2 7层内容的入侵检测系统 无线IPS IDS系统内置于控制器 和有线IDS IPS互动 支持精确的无线入侵 射频干扰 非法AP定位和隔离 保证无线网络免受无线类的安全攻击 终端的安全接入保证 NAC 终端快速 安全漫游机制的实现 CCKM 独特的访客隔离机制 保证跨地区漫游用户与无线网内部用户的隔离 将访客和无线网络完全逻辑隔离 在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全 802 11Fundamentals Secure802 11isathreestageprocess Association EstablishLink 802 1X EAP Authentication Encryption TKIPorAES AssociationProcess ManagementFramesarenotencrypted AddressedbyManagementFrameProtection MFP Discussedlater 802 11Security EnterpriseWLANSecurityreliesupon802 1xauthentication 802 1xisportbasedsecurity Theassociationprocessestablishesavirtualport Encryptionprotectsthatvirtualport EAP 802 1X Overview 802 1XauthenticationhasthreekeycomponentsSupplicant WLANClientAuthenticator WLC AuthenticationServer AAAServer Wi FiProtectedAccess WPA andWPA2 ComponentsofWPA AuthenticatedKeyManagementusing802 1X EAP TLSandRADIUSarethenominatedEAPtestmechanism UnicastandBroadcastEncryptionKeyManagement TKIP Per packetKeying IVexpansion 48bitIVs MessageIntegrityCheck MIC MigrationMode coexistenceofWPAandWEPdevices WhyWPA MigrationfromWEPusingthesamehardware fixedknownWEP issues WPA2uses AESCCMPEncryptionratherthanTKIP EAPAuthentication WPA4wayhandshake WPAandWPA2performa4wayhandshaketoestablishencryptionkyesUnlikeearlier802 1XWEPimplementations WPAdoesn tusethederivedkey PMK directly A4wayhandshakeisusedtogenerateatemporalkey andmulticastgroupkey EAPProtocols FeatureSupport NoYesYesYesNoNoLowLow Medium Yes1YesYesYesNoNoLowLow NoNoYesNoYesNoMediumHigh NoNoYesNoYesYesHighHigh Off LineDictionaryAttacks LocalAuthenticationWPASupportApplicationSpecificDevice ASD SupportServerCertificates ClientCertificates DeploymentComplexityRADIUSServerScalabilityImpact EAP FAST LEAP PEAP EAP TLS 1Strong passwordpolicymitigatesdictionaryattacks pleasereferto Wi FiProtectedAccess WhatareWPAandWPA2 AuthenticationandencryptionstandardsforWi FiclientsandAPs 802 1xauthentication WPAusesTKIPencryption WPA2usesAESblockcipherencryptionWhichshouldIuse Gold forsupportingNIC OSs Silver ifyouhavelegacyclients Lead ifyouabsolutelyhavenootherchoice i e ASDs GoldWPA2 802 11i EAP Fast AESSilverWPA EAP Fast TKIPLeadDynamicWEP EAP Fast LEAP VLANs ACLs 关键的控制器保护 控制器默认不允许Multicast broadcast流量通过 除非管理员设置 控制器具备ARPProxy功能 ARPs和GratuitousARPs不会发送到WLAN 控制器屏蔽duplicateIPSpoofing 对于客户端控制器扮演DHCPrelay角色 DHCPrequestsarecheckedagainstassociatedclientMAC ass D 管理帧保护 802 11w MFP 问题 没有任何手段确保无线管理帧的认证 加密或者签名保护思科解决方案 在管理帧内插入签名 MIC APbeacons ProbeRequests Responses Associations Re associations Disassociations Authentications De authentications ActionManagementFrames ManagedAP1MACaddrA B C D AttackerspoofingAP1MACaddrA B C D Dis oc iat io n 如果管理帧没有有效签名 AP将告警 AP和客户端丢弃该管理帧 用户接入请求将被忽略 Signature NO isc ard 管理帧保护处理过程 既对AP保护又对客户端保护 AP和客户端在每个管理帧加入MIC签名异常检测持续进行 并汇报给控制器 WCS MFPProtected MFPProtected FUTURE CCXv5 RogueAccessPointsHackerEmployeesUnknowinglyCreateOpeningtoEnterpriseNetworkDenialofServiceAttacksDenialofServiceMaliciousHackersDisruptCriticalBusinessServices Ad hocWirelessNetworksHackerClient to ClientConnectionsBypassInfrastructureSecurityCheckpointsClientMis AssociationRogueWLANEmployeesConnecttoanExternalWLAN CreatingPortaltoEnterpriseWiredNetwork 基于射频 RadioFrequency 的安全威胁 非法AP检测 发现 定位 压制 完整的解决方案 ControlledbyadministratorMultipleroguescontainedsimultaneously 4 ViewHistoricalReport 2 AssessRogueAP Identity Location 1 DetectRogueAP generatealarm 3 ContainRogueAPXX 非法AP的侦测 从多个层面检测网络中的非法AP 空中接口侦测 detectionofroguedevicesbyobserving sniffingbeaconsand802 11proberesponses 射频侦测 useofthedetectedRFcharacteristicsandknownpropertiesofthemanagedRFnetworktolocatetheroguedevice 有线网络侦测 amechanismfortracking correlatingthe roguedevicetothewirednetwork 非法AP类型 连接在用户网络中的非法AP 没有连接在用户网络中的非法AP AD HOC组网 连接在非法AP上的客户端 定位非法AP位置 压制非法AP 发动非法操作的客户端可以被屏蔽 控制器根据客户端行为屏蔽可疑的客户端 全局屏蔽策略 可定义屏蔽检测和执行以SSID为基础 无线入侵防护系统集成在无线控制器内 数字签名库 易于升级 无需特殊的无线传输监测 AP在转发数据的同时可以检测 保证WLAN的不间断运行 和思科其他安全解决方案集成 与思科访客服务集成 提供有线和无线网络的访客服务与思科防火墙 IDS集成 与思科端点准如应用集成 与思科IDS IPS集成与思科CS MARS集成 WiredIDS4200SeriesIDSSensor 有线 无线IDS IPS集成CiscoController2 Deep PacketInspection 3 Shun 1 MaliciousTrafficfromAuthenticatedUser Authorizeduser slaptopinfectedwithwormorvirus IDS IPSsensormonitorstrafficwithdeeppacketinspection Layer7 toidentifyandtriggersshunevent WLANcontrollershuns blockstheMACaddressofcompromisedwirelessclientIntegrationofwiredandwirelesssecurity Solution EnterpriseNetwork1 ClienttoAP Controller2 ControllertoIDS3 ShunIDStocontrollerProblem CS MARSACSv4 0 与CS MARS的集成CS MARSprovidesacentralizedmonitoringandreportingpointfor802 1x relatedeventsfromACS NADs andthirdpartysecurityserverspnAgentforwardslogsfromACStoCS MARSPinpointswhereidentityeventsareoccurringinthenetwork providesdetailedlogginginformationregardingevents andreports802 1xFailedAuthentications Top Users AuditServer NADSpnAgent PostureValidationServerSyslog 内部网 网络 与端点准入应用的集成目标 2 用户被重导向到登录页面CleanAccess验证用户名和密码 并执行设备和网络扫描 以评估设备上的安全漏洞 3a 设备不符合安全策略或登录信息不正确拒绝用户接入 向其分配一个隔离角色 使其访问在线修复资源 隔离 3b 设备已 清洁 机器进入 认证设备列表 获得接入网络的许可 CleanAccessServer Manager 1 最终用户尝试访问某一网页或使用一个可选客户端在有线或无线最终用户提供登录信息之前 禁止其接入网络 验证服务器CleanAccess 无线网络提供的服务基础服务 服务质量 QoS 保证 QoS考虑 无线端QoS 无线端QoS WMM 下行控制 上行控制 AP至控制器QoS WMM映射 有线端也需要考虑相应的QoS定义 无线端QoS WMM 三层QoS报文增强标记 LWAPPTunnels Si WLANController AP EthernetSwitch 802 11eDSCPPayload LWAPPEncapsulatedDSCPPayload DSCP 802 1pDSCPPayload 802 11eDSCPPayload LWAPPEncapsulatedDSCPPayload DSCP 802 1pDSCPPayload 802 1p 1 2 3 4 取保端到端的QoS报文处理确保无线端QoS策略与有线端一致 SSID 无线和有线的集成 无线话音SSIDEAP FAST认证WPA加密QoS保证是否广播 NO 访客SSIDOpen连接Web认证无数据加密是否广播 YES 无线话音 内部用户 访客用户 无线SSID架构的设计所有的无线接入点均采用通用的SSID配置生产数据SSIDEAP认证WPATKIP或WPA2AES加密是否广播 No 传统无线网络构架与有线网络的集成设计 统一无线网络与有线网络的集成设计 控制器 对于无线客户端 控制器起到802 1Q桥接的作用 将无线用户动态映射到不同VLAN对于AP 控制器是LWAPP隧道的IP终结点 从网络结构上看 控制器使用802 1Q中继链路连接现有网络 无线接入点 无需引入VLAN的概念 不改变用户现有的网络结构 数据SSID 话音SSID IPv6 同时支持IPv6和IPv4IPv6andIPv4clientscanbeconfiguredonthesameWLANAllIPv6trafficwillbebridgedAllIPv4trafficwillbeblockeduntiltheclientdoeswebauthentication Si WCS SplashPageVoiceWLAN DataWLANIPV6Client Trafficbridged CiscoUnifiedUnityServer CiscoUnifiedCallManager DataWLANIPv4Client WebAuth Benefit EnhancedWLANsecurityandincreasedflexibility 无线网络提供的服务增值服务 安全 Hacker 访客 通过射频监控以及统一的有线无线网络安全服务提供安全控制点 从而发现 缓解 阻止网络入侵并有效的实施假冒网络检测语音 允许用户在保障其无线网络的安全需求下 为来访者提供在同一个网络系统里访问允许的网络资源 定位 语音服务通过和IP电话系统地融合被嵌入到无线局域网络中 精确定位任何WiFi设备 该服务可以提供有效的定位信息给后台应用系统并且通过Web界面以图形化的形式表现出来 提供丰富的增值服务及应用不仅提供无线网络基础架构 还可以提供先进的应用 思科统一无线网络语音服务 无缝的企业移动话音通信业界唯一的端到端统一有线和无线话音解决方案丰富的话音终端选择增强的话音呼叫容量 高网络可靠性优秀的话音性能 WCS网络管理Si双模 客户端EndtoEndIntelligentIntegration CiscoUnifiedUnityServerCiscoUnifiedCallManagerCiscoMobilityManagerMobileConnect7920无线IP电话IP软件电话 基于WLAN的语音实现移动语音整合易于使用的 基于IEEE802 11a b g的无线IP电话 增加人员可达性 从而促进生产效率使用同一个综合网络 从而降低成本象素显示屏为用户提供直观的功能显示 802 11 CCM双模移动电话合作伙伴 Nokia RIMNokiaE系列手机均支持 DMZ控制器 EnterpriseIntranet访客认证页面访客 Internet控制器 到 控制器访客流量隧道内网控制器内网用户 思科统一无线网络访客服务 流量隔离 提供附加的安全级别确保无线网络的安全以及用户策略的延续性内网控制器到DMZ控制器建立隧道 在其中传送访客流量DMZ控制器专门为访客制定访问策略内网控制器管理校内的用户流量访客流量不与校园网数据流混和且路径不同 思科统一无线网络访客服务 快捷方便的访客身份定义 基于WEB的访客定制工具 用户名 密码生成 定义该用户有效联网时间 访问策略等等自定义的Web认证页面本地或Radius的认证机制多种分发机制 Emp sito 1 员工通过WCS创建访客帐号 2 帐号通过电子邮件或者打印方式递交访客3 访客连接专门的 访客 SSID 4 Web门户认证5 访客流量被封装到专用的隧 道内传送到DMZ的无线控制 器 6 访客可以手动注销或者超时注销 时间由创建者定义 无线访客服务功能概览工作流程 LWAPP SiCampusCore Si WCS Internet GuestEmp EtherIP GuestTunn