酒店无线覆盖解决方案.doc

芜芜 湖湖 升升 辉辉 西西 方方 财财 富富 大大 酒酒 店店 无无 线线 覆覆 盖盖 解解 决决 方方 案案 南京星涛乐焰信息科技有限公司 南京星涛乐焰信息科技有限公司 1 目目 录录 目目 录录 1 第第 1 章章 需求分析需求分析 3 1 1 无线网络需求分析 3 1 1 1 基于个人用户的运营管理 3 1 1 2 支持数据 语音等多种业务 有其它智能业务扩展能力 3 1 1 3 满足特点的安全和可靠性 3 1 1 4 满足生产 运营网络要求的运维和管理 4 1 1 5 支持用户全网漫游 4 1 1 6 灵活部署 易于扩展 高性价比 4 第第 2 章章 网络构架设计网络构架设计 5 2 1 接入选择 5 第第 3 章章 思科无线网络产品资料思科无线网络产品资料 8 3 1 无线局域网控制器 8 3 1 1 Cisco 2500系列无线局域网控制器 8 3 2 无线接入点 11 第第 4 章章 无线网络安全无线网络安全 21 4 1 物理层防护 21 4 2 链路层安全 22 4 3 网络上层安全 23 4 4 二层 三层安全无缝漫游 24 第第 5 章章 无线网络管理无线网络管理 26 5 1 无线管理能力 26 5 2 无线射频管理 27 5 3 与第三方网络管理软件的互通 28 第第 6 章章 思科在无线局域网方面的优势思科在无线局域网方面的优势 29 6 1 产品技术优势 29 6 2 公司总体优势 30 6 3 CISCO无线成功案例摘选 32 第第 7 章章 802 11N 的引入介绍及测试分析的引入介绍及测试分析 35 7 1 802 11N 介绍 35 7 1 1 介绍 35 7 1 2 802 11n的诞生 35 7 1 3 802 11n技术的现状 36 7 1 4 802 11n如何工作 36 7 1 5 MIMO技术 36 7 1 6 通道绑定 37 7 1 7 数据包聚合技术 37 7 1 8 802 11n的优点 38 南京星涛乐焰信息科技有限公司 2 7 1 9 同已有平台的向后兼容性 39 7 1 10 通向802 11n的渐进方式 39 7 1 11 Cisco Aironet 1250系列接入点 40 7 1 12 Cisco Aironet 1250系列接入点提供如下特性 40 7 1 13 投资保护 41 7 2 思科与英特尔 802 11N 协同引领和测试 41 7 2 1 管理概况 41 7 2 2 面向真实世界的企业级 802 11n 42 7 2 3 思科与英特尔 在无线与移动性领域通力合作 42 7 2 4 现实世界部署 802 11n 测试 42 7 2 5 现实世界 802 11n 测试 43 7 2 6 空中 Over the Air 测试点 43 7 2 7 合作测试 44 7 2 8 LoS 和 NLoS 测试 44 7 2 9 高客户端密度测试 47 7 2 10 多个 802 11n 与 802 11abg 容量测试 48 7 2 11 企业漫游 50 7 2 12 小结 52 南京星涛乐焰信息科技有限公司 3 第第 1 1 章章 需求分析需求分析 1 1 无线网络需求分析无线网络需求分析 根据要求对芜湖升辉西方财富大酒店进行全方位无线覆盖 共计 11 层楼 八楼考虑覆盖客房 餐厅及会议室 计 4 个点位 其余楼层考虑全覆盖 计 4 个点位 10 层 共计 44 个 AP 点 1 1 1 基于个人用户的运营管理基于个人用户的运营管理 无线网络系统需要支持运营管理功能 能够根据单个用户实现用户管理 包括 认证 计 费 安全控制 QoS 控制等 1 1 2 支持数据 语音等多种业务 有其它智能业务扩展能力支持数据 语音等多种业务 有其它智能业务扩展能力 无线网络在支持数据转发的同时 应该是真正为语音业务优化的无线设计 包括一体化的 IP 电话解决方案 通过新技术延长客户端待机时间 实现室内外语音不中断的安全漫游 为 大楼提供内部话音的无缝覆盖 以提高大楼办公效率和教学质量 为保证无线话音的质量 要求无线网络具有良好的 QoS 控制机制 包括无线话音呼叫控制 等手段 无线网络还应该支持其他智能业务的扩展 如支持精准的无线物理定位 无线视频等 由于数据以及媒体应用普及 所以对 WLAN 的网络容量提出了要求较高 芜湖升辉西方财 富大酒店大楼网是一个能在一个物理无线网络上能为不同的业务提供多个逻辑隔离的无线网络 并保证安全 1 1 3 满足特点的安全和可靠性满足特点的安全和可靠性 无线网的目标是建设一个收费的 可运营网络 这样的定位对可靠性 安全 加密和非授 权用户的控制提出了更明确的要求 支持精确的无线入侵 射频干扰 非法 AP 定位和隔离 冗余的中央服务控制保证复杂接入环境的安全无线接入 独特的访客隔离机制 保证跨漫游用户与网用户的隔离 同时支持端到端的网络可靠性保证技术 南京星涛乐焰信息科技有限公司 4 1 1 4 满足生产 运营网络要求的运维和管理满足生产 运营网络要求的运维和管理 无线网络规模大 环境复杂 因此无线网络系统应该支持高效的运营网络级的管理功能 方便未来无线网络的运维管理室内 室外 Mesh 系统一体化控制 所有 AP 均工作在同一 Controller 群组 cluster 管理下 可在全网范围内实现无缝漫游 设备定位 自动射频管理 和安全控制可分级的一体化网络管理系统 有线 无线网络管理相结合 集中与分布式管理相 结合 为运营维护提供高效率和低成本 1 1 5 支持用户全网漫游支持用户全网漫游 无线网络应支持用户全网快速 安全 无缝漫游 保证用户在楼层或房间移动过程中可以 保证 IP 地址不变 网络连接不间断 应用会话不间断 从而保证用户网络应用在移动中的不 间断性 1 1 6 灵活部署 易于扩展 高性价比灵活部署 易于扩展 高性价比 为方便网络的部署和未来维护的方便性 无线网络应具有灵活部署 易于扩展的特性 支 持无线接入点的即插即用功能 当然 无线网络要具有良好的性价比 南京星涛乐焰信息科技有限公司 5 第第 2 2 章章 网络构架设计网络构架设计 核心交换机分别通过光纤与分布层带 POE 以太网供电 功能的交换机互联 每个轻型无 线接入点 瘦 AP 连接到分布层交换机 无线局域网控制器连到核心交换机上 或者直接在 核心交换机上插入控制模块 对每个轻量型 AP 进行管理和控制 总体架构拓扑 可采用单核心架构 2 1 接入选择接入选择 根据实际需求将室内型双频 AP 覆盖在各个点 交换机通过 POE 电源注入模块通过网线将 数据和电源提供给 LWAPP LWAPP 通过核心交换机动态获得 IP 地址 并让 AP 和所需要建立 LWAPP 隧道的无线控制器 IP 地址告诉 AP AP 自动和无线服务控制器建立 LWAPP 隧道 并获得 配置 此时无线控制服务模块能管理并配置 AP 思科室内双频 AP 同时支持室内 MESH 方式部 署 室内 AP 的选择需要考虑两个方面 网络容量 南京星涛乐焰信息科技有限公司 6 无线的性能一直是阻碍其发展和普及的一大障碍 而高性能 高带宽更是无线园区网的基 础 无线技术经历了多年的发展 由最初的 802 11b 的 11Mbps 到传统的 802 11a g 的 54Mbps 最新的 802 11n 技术为无线的大规模应用提供了坚实的技术保障 802 11n 无线技术 802 11n 技术由于采用了以下多种无线技术 极大地提升了无线接入的带宽和覆盖范围 MIMO 多输入 多输出 OFDM 正交频分复用 40 MHz Channels 通道绑定 Packet Aggregation 数据包聚合 802 11n 无线技术 其理论带宽达到 150Mbps 600Mbps 实际接 入的带宽可以达到 100Mbps 300Mbps 是传统无线的 5 倍 802 11n 采用了 MIMO OFDM 技术和算法 极大地提高了无线的覆盖范围 同环境下比 802 11a b g 模式的覆盖范围提高了 20 AP 安装 由于芜湖升辉酒店大楼建筑结构美观复杂 所以为了不破坏建筑内部的装修环境我们提供 了一款产品用于环境部署 1041N AP 外观简洁 白色圆形 且最厚处厚度仅有 3 3 厘米的厚 度很适合在允许的区域内安装在天花板顶部或墙壁上 整体上设计如下 四个点位代表性图 南京星涛乐焰信息科技有限公司 7 四个点位代表性图 南京星涛乐焰信息科技有限公司 8 第第 3 3 章章 思科无线网络产品资料思科无线网络产品资料 3 1 无线局域网控制器无线局域网控制器 3 1 1 Cisco 2500 系列无线局域网控制器系列无线局域网控制器 Cisco 2500 系列无线局域网控制器 产品简介 思科 无线局域网控制器适用于企业无线局域网部署 并提供了系统级无线局域网功能 如安全策略 入侵防御 RF 管理 服务质量 QoS 和移动性 它们与 Cisco 1000 系列轻型接 入点和思科无线控制系统 WCS 软件共用 可支持关键的无线应用 从语音和数据服务到地点 跟踪 WLAN 控制器提供了必要的控制能力 可扩展性和可靠性 以便 IT 经理能构建从分支机 构到主园区的安全 企业级无线网络 思科无线局域网控制器可平稳地集成入现有企业网络中 它们使用轻型接入点协议 LWAPP 与 Cisco 1000 系列轻型接入点在任意第二层 以太网 或第三层 IP 基础设施 上通信 图 2 这种新型 IETF 标准有助于确保接入点和无线局域网控制器间的通信安全 可 完全自动地支持重要的无线局域网配置和管理功能 从而实现经济有效的无线局域网运营 图 2 集中型无线局域网 南京星涛乐焰信息科技有限公司 9 思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统 创建和 实施策略 多个 WLAN 控制器可自动相互发现 并在它们之间无缝协调 WLAN 服务 以这种方式 思科无线局域网控制器可作为单一无缝系统运行 提供一个有数千 AP 的可扩展 WLAN 网络 从 语音和数据服务到地点跟踪 WLAN 控制器提供了必要的控制能力 可扩展性和可靠性 以便 IT 经理能构建安全的企业级无线网络 智能 RF 管理 所有思科 WLAN 控制器都配备了用于自适应实时 RF 管理的内嵌软件 思科 WLAN 系统使用 即将荣获专利的无线资源管理 RRM 算法 来实时发现空中无线资源使用的变化并作出调整 这些调整以类似于路由协议为 IP 网络计算最佳拓扑的方式 为无线网络创建最优拓扑 图 3 覆盖整个企业的 RF 智能 南京星涛乐焰信息科技有限公司 10 思科无线局域网控制器所管理的特定智能 RF 功能包括 动态信道分配 802 11 信道可根据不断变化的 RF 情况进行调整 以优化网络覆盖范围 和性能 干扰检测和避免 该系统可检测干扰并重新调整网络 以避免性能问题 负载均衡 此系统对多个接入点提供了自动的用户负载均衡 即使负载量很大 也能获 得最优网络性能 覆盖盲区检测和修复 无线资源管理 RMM 软件可发现覆盖盲区 并尝试通过调整接入点 的功率输出来修复它们 动态功率控制 该系统可动态调整各接入点的功率输出 来适应不断变化的网络情况 以确保达到预期的无线性能和可靠性 严格的安全性 思科无线局域网控制器符合最严格的安全标准 包括 802 11i Wi Fi WPA2 WPA 和有线等效加密 WEP 802 1X 带多种可扩展验证协议 EAP 类型 受保护 EAP PEAP 带传输层安全的 EAP EAP TLS 带隧道化 TLS 的 EAP EAP TTLS 和思科 LEAP VPN 终结 4100 系列的可选模块 提供 IP 安全 IPSec 和第二层隧道协议 L2TP VPN 终 结 因此 它堪称业界最全面的无线局域网安全解决方案 南京星涛乐焰信息科技有限公司 11 在思科无线局域网架构中 接入点可作为无线监控器 向无线局域网控制器通报有关无 线域的实时信息 经由思科 WCS 可进行准确分析并采取校正措施 从而迅速识别所有安全威 胁 并将其提交给网络管理员 思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统 这有助 于确保实现完整的无线局域网保护 无需花费重复的设备成本或购买额外的监控设备 思科无 线局域网系统最初可作为独立无线入侵防御系统部署 再在稍后重新配置 添加无线局域网数 据服务 这使网络管理员能环绕其 RF 域创建一个 防御屏障 抑制未授权无线活动 直至 他们作好部署无线局域网服务的准备为止 思科通过提供以下多个保护层来实现无线局域网安全 RF 安全 检测和避免 802 11 干扰和消除不必要的 RF 传播 无线局域网入侵防御和定位 思科无线局域网系统不仅可发现恶意设备或潜在的无线威 胁 而且能对这些设备定位 这使系统管理员能快速评估威胁级别 立即按需采取措施来抵御 威胁 基于身份的联网 IT 人员必须在保护无线局域网的同时支持大量不同的用户访问权限 设备格式和应用要求 思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略 这其中包括 第二层安全功能 802 1x PEAP LEAP TTLS WPA 802 11i WPA2 和 L2TP 第三层 和更高层次 的安全功能 IPSec web 验证 VLAN 分配 访问控制列表 ACL IP 限制 协议类型 端口和差分服务代码点 DSCP 数值 QoS 多个服务级别 带宽减少 流量整形和 RF 利用 验证 授权和记帐 AAA RADIUS 用户连接策略和权限管理 网络准入控制 NAC 实施客户端配置和行为策略 以确保只有拥有适当安全工具的终端 用户设备才能访问网络 安全移动 在移动环境中保持最高安全水平 这包括随用户移动而移动的 VPN 无需重 新建立安全隧道 此外 思科已开发了主动密钥缓存 PKC 这是 802 11i 标准的扩展 802 11r 标准的前身 可通过 AES 加密和 RADIUS 验证实现安全漫游 访客隧道 为访客接入公司网络提供更高安全性 它可确保访客如不首先通 过公司防火墙 就无法接入公司网络 南京星涛乐焰信息科技有限公司 12 3 2 无线接入点无线接入点 Cisco Aironet 1041 系列是一款符合 802 11n Draft 2 0 标准的高性能的室内接入点 该产品配备集成天线 支持 802 3af 电源 并且易于部署 利用该接入点 用户能够对高带宽 的数据 语音和视频应用进行移动式访问 总数据速率可达 300 Mbps 产品规格 表 1 列出了 Cisco Aironet 1041 系列接入点的产品规格 表 1 Cisco Aironet 1041 系列接入点的产品规格 分类分类 规格规格 产品编号产品编号预安装无线模块的接入点平台 预安装无线模块的接入点平台 AIR LAP1041N 802 11a g n draft 2 0 2 4 5 GHz Unified AP 集成天线 AIR LAP1041N x K9 802 11g n draft 2 0 2 4 GHz Unified AP 集成天线 AIR LAP1041N xK9 10 802 11g n draft 2 0 2 4 GHz Unified AP 集成天 线 单个组件单个组件 AIR AP1041N 1041N 系列天花板 墙壁安装支架 备件 规定区域规定区域 x 规定区域规定区域 A FCC C 中国 E ETSI I 以色列 K 韩国 N 非 FCC P 日本 2 S 新加坡 T 中国台湾 客户负责查看在他们各自的国家是否允许使用该产品 如需查看许可情况和某个 南京星涛乐焰信息科技有限公司 13 国家的所属规定区域 请访问 并非所有的规定区域都已获批准 在获得批准后 产品编号将出现在全球价格列 表上 软件软件 Cisco Unified Wireless Network 软件 5 1 版或更高版本 Draft 802 11n 2 0 版版 和相和相 关关 功能功能 2x32MIMO 两个空间流 最大比合并 MRC 20 和 40 MHz 信道 PHY 数据速率最高可达 300 Mbps 数据包汇聚 A MPDU Tx Rx A MSDU Tx Rx 802 11 DFS Bin 5 支持 Cyclic Shift Diversity CSD 802 11a 6 9 12 18 24 36 48 和和 54Mbps 支持的数据支持的数据 速率速率 802 11g 1 2 5 5 6 9 11 12 18 24 36 48 和和 54Mbps 802 11n 数据速率数据速率 2 4GHz 和和 5GHz GI2 800ns GI 400ns MCS 指标指标 1 20 MHz Mbps 40 MHz Mbps 20 MHz Mbps 40 MHz Mbps 0 6 5 13 5 7 2 15 1 13 27 14 4 30 2 19 5 40 5 21 7 45 3 26 54 28 9 60 4 39 81 43 3 90 5 52 108 57 8 120 6 58 5 121 5 65 135 7 65 135 72 2 157 5 8 13 27 14 4 30 9 26 54 28 9 60 10 39 81 43 3 90 11 52 108 57 8 120 12 78 162 86 7 180 13 104 216 115 6 240 14 117 243 130 270 15 130 270 144 4 300 频带和频带和 20 MHz 工作工作 信道信道 A 美洲美洲 FCC 2 412 到 2 462 GHz 11 条 信道 5 180 到 5 320 GHz 8 条信 道 5 500 到 5 700 GHz 8 条信 道 不包括 5 600 到 5 640 GHz 5 745 到 5 825 GHz 5 条信 N 非非 FCC 2 412 到 2 462 GHz 11 条信道 5 180 到 5 320 GHz 8 条信道 5 745 到 5 825 GHz 5 条信道 P 日本日本 2 2 412 到 2 472 GHz 13 条信道 5 180 到 5 320 GHz 8 条信道 南京星涛乐焰信息科技有限公司 14 道 C 中国中国 2 412 到 2 472 GHz 13 条 信道 5 745 到 5 825 GHz 5 条信 道 E ETSI 2 412 到 2 472 GHz 13 条 信道 5 180 到 5 320 GHz 8 条信 道 5 500 到 5 700 GHz 11 条 信道 I 以色列以色列 2 412 到 2 472 GHz 13 条 信道 5 180 到 5 320 GHz 8 条信 道 K 韩国韩国 2 412 到 2 472 GHz 13 条 信道 5 180 到 5 320 GHz 8 条信 道 5 500 到 5 620 GHz 7 条信 道 5 745 到 5 805 GHz 4 条信 道 S 新加坡新加坡 2 412 到 2 472 GHz 13 条信道 5 180 到 5 320 GHz 8 条信道 5 745 到 5 825 GHz 5 条信道 T 中国台湾中国台湾 2 412 到 2 462 GHz 11 条信道 5 280 到 5 320 GHz 3 条信道 5 500 到 5 700 GHz 11 条信道 5 745 到 5 825 GHz 5 条信道 注注 各个规定区域有所不同 请参阅产品文档 查看每个规定区域的具体规定 非重叠信道非重叠信道 的最大数量的最大数量 2 4 GHz 802 11b g o20 MHz 3 802 11n o20 MHz 3 o40 MHz 1 5 GHz 802 11a o20 MHz 21 802 11n o20 MHz 21 o40 MHz 9 注注 各个规定区域有所不同 请参阅产品文档 查看每个规定区域的具体规定 接收敏感度接收敏感度 802 11a802 11b 802 11g 南京星涛乐焰信息科技有限公司 15 86 dBm 6 Mb s 85 dBm 9 Mb s 82 dBm 12 Mb s 81 dBm 18 Mb s 80 dBm 24 Mb s 79 dBm 36 Mb s 74 dBm 48 Mb s 73 dBm 54 Mb s 90 dBm 1 Mb s 89 dBm 2 Mb s 87 dBm 5 5 Mb s 85 dBm 11 Mb s 87 dBm 6 Mb s 86 dBm 9 Mb s 83 dBm 12 Mb s 82 dBm 18 Mb s 81 dBm 24 Mb s 80 dBm 36 Mb s 75 dBm 48 Mb s 74 dBm 54 Mb s 5 GHz 802 11n HT20 85 dBm MC0 84 dBm MC1 83 dBm MC2 82 dBm MC3 79 dBm MC4 74 dBm MC5 73 dBm MC6 72 dBm MC7 85 dBm MC8 84 dBm MC9 83 dBm MC10 82 dBm MC11 79 dBm MC12 74 dBm MC13 73 dBm MC14 72 dBm MC15 5 GHz 802 11n HT40 85 dBm MC0 84 dBm MC1 83 dBm MC2 79 dBm MC3 76 dBm MC4 71 dBm MC5 70 dBm MC6 69 dBm MC7 85 dBm MC8 84 dBm MC9 83 dBm MC10 79 dBm MC11 76 dBm MC12 71 dBm MC13 70 dBm MC14 69 dBm MC15 2 4 GHz 802 11n HT20 86 dBm MC0 85 dBm MC1 84 dBm MC2 83 dBm MC3 80 dBm MC4 75 dBm MC5 74 dBm MC6 73 dBm MC7 86 dBm MC8 85 dBm MC9 84 dBm MC10 83 dBm MC11 80 dBm MC12 75 dBm MC13 74 dBm MC14 73 dBm MC15 2 4 GHz 802 11n HT40 86 dBm MC0 85 dBm MC1 84 dBm MC2 80 dBm MC3 77 dBm MC4 72 dBm MC5 71 dBm MC6 70 dBm MC7 86 dBm MC8 85 dBm MC9 84 dBm MC10 80 dBm MC11 77 dBm MC12 72 dBm MC13 71 dBm MC14 70 dBm MC15 最大传送功最大传送功 2 4GHz 5GHz 南京星涛乐焰信息科技有限公司 16 率率 802 11b o20dBm 1 根天线 802 11g o20dBm 2 根天线 802 11n HT20 o20dBm 2 根天线 802 11n HT40 o20dBm 2 根天线 802 11a o20dBm 2 根天线 802 11n 非 HT 重复 802 11a 复制 模式 o17dBm 1 根天线 802 11n HT20 o20dBm 2 根天线 802 11n HT40 o20dBm 2 根天线 注注 最大功率设置根据信道和各个国家规定的不同而有所不同 具体信息请参见产品文档 可用的传输可用的传输 功率设置功率设置 2 4GHz 20dBm 100mW 17dBm 50mW 14dBm 25mW 11dBm 12 5mW 8dBm 6 25mW 5dBm 3 13mW 2dBm 1 56mW 1dBm 0 78mW 5GHz 20dBm 100mW 17dBm 50mW 14dBm 25mW 11dBm 12 5mW 8dBm 6 25mW 5dBm 3 13mW 2dBm 1 56mW 1dBm 0 78mW 注注 最大功率设置根据信道和各个国家规定的不同而有所不同 具体信息请参见产品文档 集成天线集成天线 2 4GHz 频段 1 根 增益 4 0dBi 水平波瓣角度 360 5GHz 频段 1 根 增益 3dBi 水平波瓣角度 360 接口接口 10 100 1000BASE T 自检测 RJ 45 管理控制台端口 RJ45 指示灯指示灯 状态 LED 可显示引导加载程序状态 关联状态 工作状态 引导加载程 序告警 引导加载程序错误 Cisco IOS 错误 尺寸尺寸 W L H AP 无安装支架 7 5 7 5 2 35in 19 05 19 05 5 97cm AP 带安装支架 8 12 9 52 2 75in 20 62 24 18 6 99cm 重量重量 1 75 lbs 0 79 kg 环境环境非运行非运行 存储存储 温度温度 22 到 185 F 30 到 85 C 运行温度运行温度 32 到 104 F 0 到 40 C 运行湿度运行湿度 10 到 90 非冷凝 系统内存系统内存 64MB DRAM 32MB 闪存 输入电源要输入电源要 求求 AP1140 36 到 57 VDC 南京星涛乐焰信息科技有限公司 17 电源和电源注入器 100 到 240VAC 50 到 60 Hz 供电选项供电选项 802 3af 交换机 Cisco AP1041N 电源注入器 AIR PWRINJ4 Cisco AP1041N 本地电源 AIR PWR A 功率功率 AP1041N 12 95 W 保修保修90 天 法规遵从性法规遵从性 标准标准 安全 安全 oUL 60950 1 oCAN CSA C22 2 No 60950 1 oUL 2043 oIEC 60950 1 oEN 60950 1 无线许可无线许可 oFCC Part 15 247 15 407 oRSS 210 加拿大 oEN 300 328 EN 301 893 欧洲 oARIB STD 33 日本 oARIB STD 66 日本 oARIB STD T71 日本 oAS NZS 4268 2003 澳大利亚和新西兰 oEMI and susceptibility Class B oFCC Part 15 107 和 15 109 oICES 003 加拿大 oVCCI 日本 oEN 301 489 1 和 17 欧洲 oEN 60601 1 2 EMC 医疗指令要求 93 42 EEC 安全安全 o802 11i WPA2 WPA o802 1X oAES TKIP 其他其他 oFCC Bulletin OET 65C oRSS 102 无线网络标无线网络标 准与准与 Wi Fi 认证认证 IEEE 标准标准 IEEE 802 11a IEEE 802 11b IEEE 802 11g IEEE 802 11n draft 2 0 南京星涛乐焰信息科技有限公司 18 IEEE 802 11h IEEE 802 11d 安全安全 WPA Enterprise Personal WPA2 Enterprise Personal EAP 类型类型 EAP 传输层安全 TLS EAP Tunneled TLS TTLS Microsoft Challenge Handshake Authentication Protocol Version 2 MSCHAPv2 Protected EAP PEAP v0 EAP MSCHAPv2 PEAPv1 EAP 通用令牌卡 GTC EAP SIM 多媒体多媒体 WMM 1 MCS指标 调制和编码方法 MCS 指标规定了空间流的数量 调制 编码速率和数据速率 值 2 GI 信号间的保护间隔 GI 能帮助接收端克服多路径延迟的影响 电源选项电源选项 Cisco Aironet 1041N系列接入点可由思科以太网交换机 电源注入器或本地电源供电 电源注入器电源注入器 Cisco Aironet 1041N系列接入点的电源注入器 AIR PWRINJ4 包含一个集成电源 可将 100 到 240V AC 电源转换为 56V DC 电源 然后将该电源注入第 5 类以太网电缆 为接入点供电 图 1 图图 1 Cisco Aironet 电源注入器 为 Cisco Aironet 接入点提供馈送电源 南京星涛乐焰信息科技有限公司 19 如表 2 所示 Cisco Aironet 电源注入器可配置为产品订单的一部分 也可单独订购 如果配 置为接入点产品订单的一部分 注入器将随接入点产品包一起发售 如果作为备件订购 注入 器将单独发售 表表 2 Cisco Aironet 1140 系列电源注入器的产品编号 产品编号产品编号 产品说明产品说明 AIR PWRINJ4 用于 1041N 系列的 Cisco Aironet 电源注入器 AIR PWRINJ4 用于 1041N 系列的 Cisco Aironet 电源注入器 备件 电源注入器产品规格电源注入器产品规格 表 3 列出了 Aironet 1041N系列接入点的 Cisco Aironet 电源注入器的产品规格 表表 3 Cisco Aironet 1041N的 Cisco Aironet 电源注入器规格 说明说明Cisco Aironet 1041N 系列的系列的 Cisco Aironet 电源注入器电源注入器 产品编号产品编号 AIR PWRINJ4 局域网连接局域网连接 第 5 类电缆的最大长度 从交换机到设备为 100m 类型 RJ 45 标签 10 100 1000 BASE TX To SWITCH 设备连接设备连接 第 5 类电缆的最大长度 从交换机到设备为 100m 类型 RJ 45 标签 10 100 1000BASE TX To AP LED AC 电源状态 接入点电源状态和错误 电力电力 集成电源 输入电压 100 240VAC 50 60Hz 输入电流 0 95A 输出电压 56VDC 输出电流 0 550A 尺寸尺寸 6 54 3 15 1 73 in 16 6 8 4 4 cm 南京星涛乐焰信息科技有限公司 20 重量重量 13 8oz 390 g 环境环境 非运行温度 40 到 176 F 40 到 85 C 运行温度 4 到 131 F 20 到 55 C 法规遵从性法规遵从性 标准标准 安全 oUL 60950 1 oCAN CSA C22 2 No 60950 1 oIEC 60950 1 oEN 60950 1 南京星涛乐焰信息科技有限公司 21 第第 4 4 章章 无线网络安全无线网络安全 4 1 物理层防护物理层防护 无线环境存在以下几类问题 无线信号广播问题 无线信号的广播使得非法或恶意用户更加容易接入网络 无线覆盖漏洞 无线信号有可能会由于某个 AP 出现问题而引起无线覆盖空白区无线干扰避免 无线信号干扰 在无线环境中在某些情况下会出现信号干扰问题 比如为了要求高容量临时增加了 AP 的 数量 资源侵占 非认证用户通过接入 AP 互传数据恶意侵占无线资源 造成合法用户无法得到合理的无线 资源保证 问题解决 无线信号广播问题 通过信号的指向型部署 如在室内部署 AP 采用 Cisco 的轻量级配置外置天线实施扇面覆 盖 可以减少由于其全向覆盖造成的信号泄漏以及干扰信号的进入 禁用广播 SSID 将导致非法或恶意用户无法获取带有 SSID 的信标 这将保护那些隐藏在 SSID 后的用户群组 无线覆盖漏洞 无线控制器可以通过获取该 AP 周边其他 AP 反馈的无线环境状况发现问题 并通知周边 AP 扩大覆盖范围来弥补信号漏洞 无线信号干扰 无线控制器可以通过 AP 及时发现这些干扰的存在并对其周边 AP 进行参数调整 功率 频 点 以避免干扰 资源侵占 通过无线控制器阻隔 AP 下用户的互通 可以有效控制 Web 认证用户不经认证利用 AP 对无 线资源的占用 南京星涛乐焰信息科技有限公司 22 4 2 链路层安全链路层安全 链路层存在以下几类问题 管理帧参数没有加密 管理帧参数不加密很容易造成中间人攻击的行为发生 一个入侵者通过篡改管理帧来达到 用户流量的分析及篡改 链路层数据安全 Mesh AP 节点之间为空中链路 如果没有有效的加密保护措施将会导致中间人攻击行为或 泄密问题 室内瘦 AP 点与无线控制器之间需要通过二层或三层网络 所以无线控制器与 AP 的控制消 息之间如果没有数据加密将会导致中间人攻击行为 关键用户 高权限管理人员 的无线客户端有在于 AP 交互数据的过程中如果不进行空中 链路的保护无线数据将会被他人窃听 造成严重的泄密 无线侧的网络攻击 管理框架洪水 未认证的入侵 认证洪水 探测请求洪水 伪冒 AP 洪水 零探测响应 EAP 握手洪水 等等 上述攻击都会造成 AP 无法正常工作以及无线资源的耗尽 流氓 AP 流氓 AP 可以实施中间人攻击 流氓 AP 可以假冒 SSID 甚至 BSSID 这种方式如果被用于 在空口进行用户的数据接收和转发那么传统的 WLAN 系统将无法识别此类流氓 AP 用户接入安全 如果选择不合理的用户接入方式会导致严重的安全问题 问题解决 管理帧参数没有加密 管理帧保护 MFP 是通过在 AP 管理帧上增加了基于无线网络配置的校验字段 通过该字 段来标识管理帧的合法性 任何对管理帧的篡改都会被系统识别出来 南京星涛乐焰信息科技有限公司 23 链路层数据安全 Mesh AP 节点之间空中链路的安全可以通过 Mesh AP 之间的加密来实施 Cisco Mesh 节点 的无线空口所有数据都是基于 AES 进行加密的 室内瘦 AP 点与无线控制器之间的控制部分也是经过 AES 来实现加密的 客户端与 AP 之间的空口可以通过 WPA 或 WPA2 来实施动态安全加密 流氓 AP 无线控制器可以及时的发现网络中间存在的流氓 AP 针对这些 AP 无线控制器通过网管可 以及时发现并产生告警 通过定位服务可以发现流氓 AP 的具体位置 并引导网管员实施 操作 对无意中连接到该 AP 上的用户实施阻断 无线侧的网络攻击 无线控制器作为控制所有所属 AP 的大脑 本身也是一个无线侧的 IDS 系统 针对攻击无 线控制器通过网管可以及时发现并报告攻击的产生 通过定位服务可以发现攻击者的具体 位置 并引导网管员实施操作 对该非法用户实施阻断 用户接入安全 用户接入安全的原则是权限越高的用户接入方式要越加严格 对于公众用户可以采用 Web 认证的方式 但这些用户无法接触到敏感数据资源 Cisco 的 NAC 框架 通过 802 1x 和 客户端信息的 系统信息 补丁信息 病毒信息 结合来确定该用户去隔离免疫区还是正 常上网 不同区域映射到不同的 VLAN 中而引导用户进入不同 VLAN 的策略是由 Radius 携 带的 VSA 下发给无线控制器的 所以对于 802 1x 用户可以实现在同一个 AP 同一个 SSID 下动态 VLAN 的分配 对于用户接入的网络我们可以采用在同一个 AP 下针对不同的 SSID 对应不同的 VLAN 以及认证模式 所以灵活的对应关系可以确保彻底全面地执行网络接入 安全策略 4 3 网络上层安全网络上层安全 在 IP 网络中有来自方方面面的安全问题 简单归纳如下 带宽肆意侵占 蠕虫病毒泛滥 针对应用服务系统的攻击 对网络中其他主机的攻击 对敏感资源的好奇 南京星涛乐焰信息科技有限公司 24 问题解决 通过无线控制器与 ASA 防火墙以及 IPS 的联动可在空口处阻断非法用户的连接 并对其实 施惩罚性关联禁止 该用户在一段指定的时间内将无法从网络的任何一个无线 AP 进行网 络接入 有效的在空口保障了网络的上层安全防护 CISCO 的无线 AP 自身有防火墙特性和 IDS 特性 4 4 二层 三层安全无缝漫游二层 三层安全无缝漫游 无线园区网络中不但要考虑到游牧用户在室内 AP 区域间的漫游切换 对于室外 MASH 部署还需 要考虑具备较高速度的交通工具的漫游切换 另来考虑到对中那些实时性很高的用户应用如 VoIP 移动视频等应用的可用性我们更加需要考虑到无线环境中的无缝切换 用户在两个以上的无线区域内实现通讯无缝的漫游及切换 以下几种情况将导致漫游与切换 移动用户超出了原有无线 AP 的区域 进入了一个新的无线 AP 所在区域 此时移动用户将 切换至可达的无线 AP 区域 移动用户的通讯速率发生改变 并且发现了附近的一个 AP 可以提供更好的通讯服务质量 一个潜在的 AP 的信号强度在区域内大于现有的 AP 的信号强度 在 WLAN 网络中间小区漫游分为二层和三层漫游 二层切换 传统 AP 可以借助非标准的 IAPP 协议来实施二层加密数据的用户切换 但是采用 IAPP 方 式要求 AP 和 AP 之间必须进行基于四层的 IAPP 协议通讯 在实际运营部署环境中 AP 横向之间 通讯是被阻隔的所以无法实施 IAPP 协议 另外 如果小区内存在较多的切换用户这将会占用 大量的 AP CPU 资源 因为这些 IAPP 的交互信息都必须由 AP CPU 来处理 在思科的统一无线网络系统中所有轻量级 AP 的隧道皆端节于无线控制器侧 因此所有的本控 制器内的用户切换信息均由控制器内部调度完成 三层切换 传统无线网络更本无法实现面向用户的三层快速漫游切换 原因是传统的无线网络中的三 层快速漫游需要依赖上层 Mobile Agent 的服务并必须配合 Mobile IP 客户端软件 利用思科 统一无线网络 轻型接入点可以被部署到网络的标准子网基础设施中 并获得一个隶属于它们 所在子网的 IP 地址 所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无 南京星涛乐焰信息科技有限公司 25 线局域网控制器的 LWAPP 数据包中 客户端设备可以从一个连接到控制器的子网获得它们的 IP 地址 而不是它们所在的楼宇的子网 底层子网基础设施对于客户端而言是透明的 控 制器可以管理互相之间的所有漫游和隧道通信 以确保不需要移动 IP 等协议 对于二三层切换同一控制器下的用户由于用户关联状态 加密信息 安全策略等均在单台 控制器上所以用户在 AP 间切换的信息完全由控制器直接通知目标 AP 就可以快速实现 AP 间切 换 而在不同控制器下用户的关联状态 加密信息 安全策略等信息需要通过控制器间 EoIP 隧道进行转发 以确保不同控制器下不同用户的快速切换 南京星涛乐焰信息科技有限公司 26 第第 5 5 章章 无线网络管理无线网络管理 芜湖升辉酒店网络规模很大 需要考虑到设计初期的无线预设计和规划 为了有效执行统 一管理我们建议大楼采用单一的一套网管系统来统一管理所有无线系统 并通过管理员分权的 方式为各区提供网管的 Web 监控页面 5 1 无线管理能力无线管理能力 思科提供的统一无线网络系统可以同时管理室内 室外无线接入点 室外 Mesh 设备 并 且最大可以扩展管理至 3 万个 AP 思科无线网络管理具有以下能力 规划设计 具备室内室外传播模型的仿真及效果计算分析 并提供与规划的场强分布 覆盖漏洞 用 户接入速率分布以及网络覆盖评估的预规划效果报告 可结合 Google Earth 的平面和立 体的卫星图片进行规划 WLAN 无线环境 提供的实时 RF 管理功能 包括信道分配和 AP 输出功率设置以及分层分区的实施效果监控 图 可结合 Google Earth 的平面和立体的卫星图片进行部署 监控和故障排除 可快速查看覆盖盲区 报警和关键的使用统计数据 实现了方便的 WLAN 监控和排障 并 提供不同等级客户制定化的故障告警级别及告警过滤和标记功能 客户端故障排除 提供基于 802 11k 无线资源测量 802 11v 客户端管理 的测量机制能够通过 南京星涛乐焰信息科技有限公司 27 802 11MAC 层对无线客户端进行管理和测量 包括工作调制方式 信号强度 客户端信躁 比 客户端 MAC 层的收发包文 重发包文 往返时延等 而无需客户端任何配置 设备配置管理 具备功能粒度的配置应用模板以及配置组定义 室内定位跟踪 内嵌 RF 传播模型并可以支持数千个不同种类 WiFi 终端的实时定位跟踪 而且对 AP 没有 任何要求 AP 仍然工作在正常的转发模式 无线入侵保护系统 IPS 和无线入侵监测系统 可创建能定制的攻击签名文件 可用于迅速检测与 RF 相关的常见攻击 如拒绝服务 DoS Netstumbler 和 FakeAP 用户可对思科 WCS 编程 使其在发现攻击时自动生成报警以及详 细的趋势报告 对攻击终端进行快速定位和围堵策略 日志报告 客户端 AP 控制器可制定化 按需生成报告提供 1 小时到 7 天的历史追踪 以及访问点 性能状态 负载 功率 噪音 覆盖范围 在线时长 客户状态 语音状态 最繁忙的 AP 或客户端 WLAN 状态以及网络质量等图形和文本报告 管理员权限 支持上百种类的管理员权限定义和分配 以满足不同层面网络管理的分权需求 5 2 无线射频管理无线射频管理 除了对于设备 无线射频情况 终端等的管理之外 更重要的一点是 在网络发生干扰的 情况下 如何定位干扰源 定性其是由哪种干扰设备产生 蓝牙 微波 无绳电话 微波炉 并且我们还需要判定其干扰源所在位置 通过设置我们的网络避让干扰或者对干扰源进行 排除 在通常情况下 我们一般要借助于一些专业仪器 比如频谱仪来进行分析 但是频谱仪价 格昂贵 而且使用复杂 只有非常专业的人员才可以使用频谱仪进行无线网络故障排查 这对 于我们大楼的网络管理人员来说并不实际 针对这种情况 思科提供了一种性价比极高的解决方案 如下图所示 南京星涛乐焰信息科技有限公司 28 Cisco WCS Cisco Aironet Access Points Cisco Compatible Client Devices Cognio Detected Incompatible Interfering Devices Cisco WLAN Controller Cognio Spectrum Expert Sensors LAN WAN Network Wireless Wired Network 帮帮助助管管理理人人员员专专业业的的定定位位干干扰扰源源及及干干扰扰源源位位置置 与与C Ci is sc co o WWC CS S集集成成 Detect classify and locate RF interference 思科的 Cognio 是一款基于笔记本终端的频谱分析工具 他不但可以对无线干扰源进行定 性的分析 通知管理者网络存在何种无线干扰 并且可以和思科无线网络管理系统进行集成 管理人员在网管上就可以轻易的发现网络干扰 对网络干扰进行分析 并且极易对网络干扰进 行排除 解决了一直以来的无线网络干扰带来的困扰 5 3 与第三方网络管理软件的互通与第三方网络管理软件的互通 思科 WCS 网络管理平台可以管理包括各类思科无线网络控制器 思科室内无线接入点 10