集團(tuán)無(wú)線網(wǎng)絡(luò)改造項(xiàng)目方案建議書(shū)

1、 集團(tuán)無(wú)線網(wǎng)絡(luò)改造項(xiàng)目方案建議書(shū)目錄 TOC o 1-3 h z u HYPERLINK l _Toc47281766 第1章、 項(xiàng)目概述 PAGEREF _Toc47281766 h 3 HYPERLINK l _Toc47281767 1.1、 項(xiàng)目背景與挑戰(zhàn) PAGEREF _Toc47281767 h 3 HYPERLINK l _Toc47281768 1.2、 建設(shè)目標(biāo) PAGEREF _Toc47281768 h 5 HYPERLINK l _Toc47281769 1.3、 建設(shè)任務(wù) PAGEREF _Toc47281769 h 5 HYPERLINK l _Toc472817

2、70 第2章、 集團(tuán)園區(qū)需求分析 PAGEREF _Toc47281770 h 6 HYPERLINK l _Toc47281771 2.1、 網(wǎng)絡(luò)覆蓋規(guī)模 PAGEREF _Toc47281771 h 6 HYPERLINK l _Toc47281772 2.2、 技術(shù)先進(jìn)、高性能 PAGEREF _Toc47281772 h 6 HYPERLINK l _Toc47281773 2.3、 高質(zhì)量覆蓋 PAGEREF _Toc47281773 h 7 HYPERLINK l _Toc47281774 2.4、 有線、無(wú)線認(rèn)證融合 PAGEREF _Toc47281774 h 7 HYPERL

3、INK l _Toc47281775 2.5、 智能無(wú)線集中部署、管理 PAGEREF _Toc47281775 h 7 HYPERLINK l _Toc47281776 2.6、 無(wú)線網(wǎng)絡(luò)高安全、高可用 PAGEREF _Toc47281776 h 8 HYPERLINK l _Toc47281777 2.7、 多業(yè)務(wù)支持 PAGEREF _Toc47281777 h 8 HYPERLINK l _Toc47281778 2.8、 靈活部署、易于擴(kuò)展、高性價(jià)比 PAGEREF _Toc47281778 h 8 HYPERLINK l _Toc47281779 第3章、 建設(shè)原則 PAGERE

4、F _Toc47281779 h 9 HYPERLINK l _Toc47281780 3.1、 實(shí)用性 PAGEREF _Toc47281780 h 9 HYPERLINK l _Toc47281781 3.2、 先進(jìn)性 PAGEREF _Toc47281781 h 9 HYPERLINK l _Toc47281782 3.3、 可靠性 PAGEREF _Toc47281782 h 9 HYPERLINK l _Toc47281783 3.4、 開(kāi)放性 PAGEREF _Toc47281783 h 9 HYPERLINK l _Toc47281784 3.5、 可擴(kuò)充性 PAGEREF _T

5、oc47281784 h 9 HYPERLINK l _Toc47281785 3.6、 可維護(hù)性 PAGEREF _Toc47281785 h 10 HYPERLINK l _Toc47281786 3.7、 安全性 PAGEREF _Toc47281786 h 10 HYPERLINK l _Toc47281787 3.8、 兼容性 PAGEREF _Toc47281787 h 10 HYPERLINK l _Toc47281788 第4章、 總體網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc47281788 h 10 HYPERLINK l _Toc47281789 4.1、 總體系統(tǒng)設(shè)計(jì)概述 PA

6、GEREF _Toc47281789 h 10 HYPERLINK l _Toc47281790 4.2、 方案總體特點(diǎn) PAGEREF _Toc47281790 h 13 HYPERLINK l _Toc47281791 4.3、 系統(tǒng)設(shè)計(jì) PAGEREF _Toc47281791 h 14 HYPERLINK l _Toc47281792 4.3.1、 WLAN系統(tǒng)規(guī)劃考慮因素 PAGEREF _Toc47281792 h 14 HYPERLINK l _Toc47281793 4.3.2、 WLAN業(yè)務(wù)系統(tǒng)部署要求 PAGEREF _Toc47281793 h 16 HYPERLINK

7、l _Toc47281794 4.3.3、 完善的多媒體QoS機(jī)制 PAGEREF _Toc47281794 h 17 HYPERLINK l _Toc47281795 4.3.4、 無(wú)線網(wǎng)絡(luò)系統(tǒng)的話音應(yīng)用設(shè)計(jì)（VoWLAN） PAGEREF _Toc47281795 h 18 HYPERLINK l _Toc47281796 4.3.5、 良好的互通性 PAGEREF _Toc47281796 h 19 HYPERLINK l _Toc47281797 4.3.6、 基于無(wú)線系統(tǒng)的節(jié)電功能 PAGEREF _Toc47281797 h 21 HYPERLINK l _Toc47281798

8、4.3.7、 無(wú)線安全性 PAGEREF _Toc47281798 h 21 HYPERLINK l _Toc47281799 4.3.8、 WLAN的安全快速漫游 PAGEREF _Toc47281799 h 22 HYPERLINK l _Toc47281800 4.3.9、 WLAN系統(tǒng)的選型建議 PAGEREF _Toc47281800 h 22 HYPERLINK l _Toc47281801 4.3.10、 無(wú)線控制器的部署設(shè)計(jì) PAGEREF _Toc47281801 h 25 HYPERLINK l _Toc47281802 4.3.11、 網(wǎng)絡(luò)安全規(guī)劃 PAGEREF _To

9、c47281802 h 26 HYPERLINK l _Toc47281803 4.3.12、 不同的認(rèn)證方式 PAGEREF _Toc47281803 h 28 HYPERLINK l _Toc47281804 4.3.13、 用戶的認(rèn)證和加密 PAGEREF _Toc47281804 h 28 HYPERLINK l _Toc47281805 4.3.14、 無(wú)線接入點(diǎn)的接入認(rèn)證 PAGEREF _Toc47281805 h 31 HYPERLINK l _Toc47281806 4.3.15、 無(wú)線控制幀的安全管理（MFP） PAGEREF _Toc47281806 h 32 HYPER

10、LINK l _Toc47281807 4.4、 無(wú)線網(wǎng)絡(luò)特點(diǎn)詳述 PAGEREF _Toc47281807 h 33 HYPERLINK l _Toc47281808 4.4.1、 實(shí)時(shí)的射頻自動(dòng)監(jiān)測(cè)（CleanAir) PAGEREF _Toc47281808 h 33 HYPERLINK l _Toc47281809 4.4.2、 ClientLink技術(shù)更好地保證802.11a/g終端的高速穩(wěn)定鏈接 PAGEREF _Toc47281809 h 37 HYPERLINK l _Toc47281810 4.4.3、 VideoStream技術(shù)更好保證高質(zhì)量組播視頻應(yīng)用 PAGEREF _

11、Toc47281810 h 40 HYPERLINK l _Toc47281811 4.4.4、 BandSelect技術(shù)將雙頻用戶自動(dòng)引導(dǎo)到干擾更小的5G頻段 PAGEREF _Toc47281811 h 41 HYPERLINK l _Toc47281812 4.4.5、 可信任無(wú)線網(wǎng)絡(luò)架構(gòu) PAGEREF _Toc47281812 h 43 HYPERLINK l _Toc47281813 4.4.6、 無(wú)線網(wǎng)絡(luò)基于訪客管理 PAGEREF _Toc47281813 h 46 HYPERLINK l _Toc47281814 4.4.7、 無(wú)線網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)功能特性 PAGEREF _

12、Toc47281814 h 47 HYPERLINK l _Toc47281815 4.4.8、 無(wú)線網(wǎng)絡(luò)應(yīng)用可視化 PAGEREF _Toc47281815 h 48 HYPERLINK l _Toc47281816 4.4.9、 幫助您簡(jiǎn)化網(wǎng)管理 PAGEREF _Toc47281816 h 48 HYPERLINK l _Toc47281817 第5章、 網(wǎng)絡(luò)設(shè)備清單 PAGEREF _Toc47281817 h 49 HYPERLINK l _Toc47281818 5.1、 沈陽(yáng)、大連園區(qū)無(wú)線地勘分布 PAGEREF _Toc47281818 h 49 HYPERLINK l _To

13、c47281819 5.2、 沈陽(yáng)園區(qū)無(wú)線設(shè)備方案 PAGEREF _Toc47281819 h 55 HYPERLINK l _Toc47281820 5.3、 大連園區(qū)無(wú)線設(shè)備方案 PAGEREF _Toc47281820 h 56項(xiàng)目概述項(xiàng)目背景與挑戰(zhàn) 集團(tuán)計(jì)劃2015年對(duì)集團(tuán)無(wú)線網(wǎng)絡(luò)系統(tǒng)進(jìn)行統(tǒng)一的規(guī)劃和升級(jí)改造，包括沈陽(yáng)、大連兩個(gè)園區(qū)會(huì)議室、會(huì)議中心、行政樓等公共區(qū)域的無(wú)線改造；新園區(qū)數(shù)字醫(yī)療及大連會(huì)館的無(wú)線網(wǎng)絡(luò)系統(tǒng)建設(shè)。擬采購(gòu)無(wú)線網(wǎng)絡(luò)設(shè)備（無(wú)線控制器、無(wú)線AP及安裝配件、POE交換機(jī)、無(wú)線認(rèn)證及管理系統(tǒng)等組件，包括設(shè)備安裝、調(diào)試、培訓(xùn)等），實(shí)現(xiàn)無(wú)線統(tǒng)一接入、認(rèn)證、審計(jì)、管理，規(guī)范集團(tuán)

14、無(wú)線使用，提供安全、便捷的無(wú)線認(rèn)證和接入方式，構(gòu)建先進(jìn)、高效、穩(wěn)定可靠的無(wú)線網(wǎng)絡(luò)系統(tǒng)。 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)的訪問(wèn)和接入方式呈現(xiàn)多樣化的趨勢(shì)，包括無(wú)線、有線以及遠(yuǎn)程接入VPN等方式，得到了越來(lái)越多的應(yīng)用。在網(wǎng)絡(luò)中，訪問(wèn)網(wǎng)絡(luò)的終端設(shè)備種類越來(lái)越多，從傳統(tǒng)的PC機(jī)，到IP話機(jī)，IP攝像頭，打印機(jī)、傳真機(jī)，尤其是隨著移動(dòng)終端設(shè)備，如各種智能手機(jī)，功能和性能不斷提升，已經(jīng)從原來(lái)的從可有可無(wú)，演變成為移動(dòng)辦公的重要工具，而且很多都是使用員工自帶設(shè)備BYOD做辦公使用。此外，隨著企業(yè)開(kāi)始重視自身的敏感數(shù)據(jù)和信息的安全性，嚴(yán)格控制對(duì)敏感信息和重要數(shù)據(jù)的訪問(wèn)權(quán)限，對(duì)網(wǎng)絡(luò)的使用者，包括公司員工、合作伙伴

15、或者臨時(shí)訪客，都需要依據(jù)其身份進(jìn)行訪問(wèn)權(quán)限的分配。從上圖可以看出，如今的網(wǎng)絡(luò)比以往任何時(shí)候都更加多樣化，體現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)接入方式的多樣化接入設(shè)備類型的多樣化訪問(wèn)人員身份的多樣化隨著網(wǎng)絡(luò)訪問(wèn)方式的多樣化和終端設(shè)備的多樣化，出現(xiàn)安全漏洞和新的運(yùn)營(yíng)挑戰(zhàn)的可能性也在增加，主要包括以下幾個(gè)方面：用戶的授權(quán)訪問(wèn)如何對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行權(quán)限控制如何管理由于BYOD等智能終端接入網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)如何為在辦公室、家里或外面等不同地點(diǎn)進(jìn)行不同的訪問(wèn)授權(quán)如何保證網(wǎng)絡(luò)接入設(shè)備本身符合安全要求訪客的訪問(wèn)如何限定訪客的訪問(wèn)權(quán)限如何管理訪客的網(wǎng)絡(luò)接入訪客的網(wǎng)絡(luò)接入方式是有線還是無(wú)線如何對(duì)訪客的訪問(wèn)進(jìn)行監(jiān)控?zé)o人終端的訪問(wèn)如何

16、發(fā)現(xiàn)和識(shí)別無(wú)人值守終端設(shè)備如何判斷終端設(shè)備的類型如何對(duì)終端設(shè)備的訪問(wèn)進(jìn)行控制如何發(fā)現(xiàn)終端設(shè)備被仿冒因此，維護(hù)網(wǎng)絡(luò)安全和提高運(yùn)營(yíng)效率需要新的解決方案，這些方案應(yīng)該能夠有效地執(zhí)行包括無(wú)線、有線以及遠(yuǎn)程接入等網(wǎng)絡(luò)訪問(wèn)的策略和授權(quán)、審核網(wǎng)絡(luò)使用情況、監(jiān)控企業(yè)的合規(guī)性并全面了解整個(gè)網(wǎng)絡(luò)中的活動(dòng)狀況。建設(shè)目標(biāo)采取先進(jìn)主流的技術(shù)協(xié)議標(biāo)準(zhǔn)802.11ac來(lái)進(jìn)行整個(gè)園區(qū)的無(wú)線覆蓋，要兼容802.11abg/n。無(wú)線網(wǎng)絡(luò)的基礎(chǔ)設(shè)施要有統(tǒng)一的管理平臺(tái)，實(shí)現(xiàn)一套帳號(hào)，有線、無(wú)線一體化認(rèn)證。建設(shè)任務(wù)本次無(wú)線改造和建設(shè)項(xiàng)目分階段采購(gòu)和實(shí)施。第一階段進(jìn)行大連會(huì)館的無(wú)線系統(tǒng)建設(shè)的招標(biāo)采購(gòu)和實(shí)施，大連會(huì)館項(xiàng)目與大連會(huì)議室無(wú)線改

17、造項(xiàng)目共用無(wú)線控制器，投標(biāo)方需要考慮會(huì)館項(xiàng)目相關(guān)無(wú)線license。第二階段進(jìn)行沈陽(yáng)和大連兩個(gè)園區(qū)會(huì)議室、會(huì)議中心、行政樓等公共區(qū)域的無(wú)線網(wǎng)絡(luò)改造。第三階段進(jìn)行新園區(qū)數(shù)字醫(yī)療的無(wú)線系統(tǒng)建設(shè)。集團(tuán)園區(qū)需求分析網(wǎng)絡(luò)覆蓋規(guī)模以下是通過(guò)大連和沈陽(yáng)現(xiàn)場(chǎng)無(wú)線地勘收集的數(shù)據(jù)：沈陽(yáng)園區(qū)辦公區(qū)會(huì)議室無(wú)線覆蓋AP1702IAP1702IA1樓F1-F2會(huì)議室4A2樓F1-F4會(huì)議室31A6樓會(huì)議室覆蓋35行政樓F1-F3會(huì)議室（F3全覆蓋)45會(huì)議樓+報(bào)告廳會(huì)議室和公共區(qū)域277咖啡吧咖啡吧10Sub Total：1527大連河口園區(qū)會(huì)議室無(wú)線覆蓋D1樓F1-F4會(huì)議室25D2樓F1-F4會(huì)議室31F3樓F1-F

18、6會(huì)議室61F1樓+報(bào)告廳B1-F4會(huì)議室97F5樓F1-F4會(huì)議室21Sub Total：1477Total：29914技術(shù)先進(jìn)、高性能 支持IPv6支持IPv6、IPv4無(wú)線接入，支持802.11ac、802.11n的高性能傳輸。高質(zhì)量覆蓋會(huì)館區(qū)域無(wú)線全覆蓋辦公區(qū)域覆蓋會(huì)議室無(wú)線覆蓋質(zhì)量要求所有無(wú)線覆蓋網(wǎng)絡(luò)質(zhì)量必須滿足無(wú)線用戶的正常使用，包括日常辦公及視頻和語(yǔ)音等，要求802.11ac Radio轉(zhuǎn)發(fā)流量不得小于200Mbps，802.11n Radio轉(zhuǎn)發(fā)流量也不得小于100Mbps, 信號(hào)強(qiáng)度不低于-65db；所有無(wú)線覆蓋網(wǎng)絡(luò)必須滿足高穩(wěn)定性的要求，提供穩(wěn)定、可靠的無(wú)線網(wǎng)絡(luò)環(huán)境，要求對(duì)

19、信號(hào)干擾源及非法AP進(jìn)行識(shí)別和確定，支持信號(hào)頻段自動(dòng)調(diào)節(jié)和無(wú)線AP用戶智能調(diào)配。有線、無(wú)線認(rèn)證融合 作為有線網(wǎng)絡(luò)的有效補(bǔ)充，必須完全融合進(jìn)有線的認(rèn)證體系，支持全網(wǎng)對(duì)每一個(gè)用戶的上網(wǎng)控制、認(rèn)證的持續(xù)運(yùn)營(yíng)。做到無(wú)線、有線融合統(tǒng)一認(rèn)證。智能無(wú)線集中部署、管理通過(guò)無(wú)線網(wǎng)管平臺(tái)與無(wú)線交換機(jī)的配合，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的規(guī)劃、部署、監(jiān)控、報(bào)表、優(yōu)化等各個(gè)功能。為本次無(wú)線網(wǎng)絡(luò)的建設(shè)提供了一整套科學(xué)的規(guī)劃方案、精確的部署指導(dǎo)、實(shí)時(shí)的無(wú)線網(wǎng)絡(luò)狀態(tài)（包括無(wú)線頻譜、無(wú)線設(shè)備、無(wú)線用戶等）監(jiān)控、可視化的各種報(bào)表。無(wú)線網(wǎng)絡(luò)高安全、高可用通過(guò)無(wú)線網(wǎng)管平臺(tái)與無(wú)線交換機(jī)的配合，實(shí)現(xiàn)戶身份認(rèn)證、入網(wǎng)行為控制、安全加密、病毒庫(kù)、無(wú)線入侵

20、檢測(cè)、無(wú)線電射頻的集中管理和部署，實(shí)現(xiàn)非法用戶、非法AP的定位與隔離，打造高安全的無(wú)線網(wǎng)絡(luò)。支持跨AP、跨AC的二層漫游、三層漫游，實(shí)現(xiàn)基于用戶、基于AP、基于AC的負(fù)載均衡，打造高可用無(wú)線網(wǎng)絡(luò)。多業(yè)務(wù)支持基于大連會(huì)館和園區(qū)網(wǎng)絡(luò)的未來(lái)可持續(xù)發(fā)展，無(wú)線網(wǎng)絡(luò)規(guī)劃應(yīng)為未來(lái)發(fā)展園區(qū)無(wú)線寬帶應(yīng)用（如，無(wú)線語(yǔ)音應(yīng)用、無(wú)線視頻會(huì)議應(yīng)用、無(wú)線監(jiān)控、無(wú)線多媒體通信應(yīng)用等）打下基礎(chǔ)，并提供低成本的無(wú)縫升級(jí)和先后兼容。靈活部署、易于擴(kuò)展、高性價(jià)比為方便園區(qū)網(wǎng)絡(luò)的部署和未來(lái)維護(hù)的方便性，整個(gè)園區(qū)無(wú)線網(wǎng)絡(luò)應(yīng)具有靈活部署、易于擴(kuò)展的特性，支持無(wú)線接入點(diǎn)的即插即用功能。當(dāng)然，園區(qū)無(wú)線網(wǎng)絡(luò)要具有良好的性價(jià)比。建設(shè)原則實(shí)用性遵

21、循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則；充分保護(hù)已有投資，不設(shè)計(jì)成華而不實(shí)的無(wú)線網(wǎng)絡(luò)，也不設(shè)計(jì)成利用率低下的網(wǎng)絡(luò)，我們以實(shí)用性的原則要求為依據(jù)，建設(shè)具有最低的TCO（擁有的總成本最低），有最高的性價(jià)比的校園無(wú)線局域網(wǎng)絡(luò)。先進(jìn)性采用先進(jìn)成熟的網(wǎng)絡(luò)概念、技術(shù)、方法與設(shè)備，反映當(dāng)今先進(jìn)水平，又給未來(lái)的發(fā)展留有余地；充分采用目前國(guó)際、國(guó)內(nèi)流行和成熟的技術(shù)，保證網(wǎng)絡(luò)能適應(yīng)技術(shù)的快速發(fā)展?？煽啃韵到y(tǒng)必須可靠運(yùn)行，主要的、關(guān)鍵的設(shè)備應(yīng)有冗余，一旦系統(tǒng)某些部分出現(xiàn)故障，應(yīng)能很快恢復(fù)工作，并且不能造成任何損失。開(kāi)放性選擇的產(chǎn)品應(yīng)具有好的互操作性和可移植性，并符合相關(guān)的國(guó)際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)；無(wú)論發(fā)生任何變化

22、，均能夠最大可能性的開(kāi)放標(biāo)準(zhǔn)?？蓴U(kuò)充性系統(tǒng)是一個(gè)逐步發(fā)展的應(yīng)用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級(jí)換代的可能，這種擴(kuò)充不僅能充分保護(hù)原有資源，而且具有較高的性能價(jià)格比；可維護(hù)性系統(tǒng)具有良好的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可維護(hù)性；安全性必須具有高度的保密機(jī)制，靈活方便的權(quán)限設(shè)定和控制機(jī)制，以使系統(tǒng)具有多種手段來(lái)防備各種形式的非法侵入和機(jī)密信息的泄露。兼容性必須完全融合進(jìn)有線的認(rèn)證體系，支持全網(wǎng)對(duì)每一個(gè)用戶的上網(wǎng)控制、認(rèn)證的持續(xù)運(yùn)營(yíng)。做到無(wú)線、有線融合統(tǒng)一認(rèn)證。總體網(wǎng)絡(luò)規(guī)劃總體系統(tǒng)設(shè)計(jì)概述對(duì)于大連會(huì)館和整個(gè)園區(qū)無(wú)線覆蓋的需求，本方案建議采用的

23、無(wú)線網(wǎng)絡(luò)產(chǎn)品系列集中式、可管理架構(gòu)的無(wú)線局域網(wǎng)架構(gòu)解決方案來(lái)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的部署。無(wú)線網(wǎng)絡(luò)產(chǎn)品系列是為那些希望為本身業(yè)務(wù)、IP電話和融合多媒體應(yīng)用系統(tǒng)廣泛部署無(wú)線覆蓋的一款完整802.11解決方案。這款解決方案將最新的行業(yè)標(biāo)準(zhǔn)與一種集中架構(gòu)和先進(jìn)功能結(jié)合起來(lái)，創(chuàng)建一種安全、經(jīng)濟(jì)有效并且極具擴(kuò)展性的無(wú)線局域網(wǎng)(WLAN)基礎(chǔ)設(shè)施。無(wú)線網(wǎng)絡(luò)產(chǎn)品系列包括規(guī)劃和實(shí)施所需的工具和功能，使首次部署無(wú)線局域網(wǎng)(WLAN) 能快捷簡(jiǎn)便的完成，也適合于企業(yè)逐步演進(jìn)事先精確設(shè)計(jì)的無(wú)線移動(dòng)基礎(chǔ)設(shè)施。無(wú)線網(wǎng)絡(luò)產(chǎn)品系列采用一種由一臺(tái)或幾臺(tái)中央無(wú)線控制器控制和管理“瘦”接入點(diǎn)的集中式無(wú)線局域網(wǎng)部署模式。這套系列的三個(gè)主要構(gòu)

24、件包括一個(gè)多頻點(diǎn)接入點(diǎn)（AP）、無(wú)線控制器（WLC）組合和一套無(wú)線安全訪問(wèn)系統(tǒng)（ISE）。在整個(gè)無(wú)線移動(dòng)解決方案中，每個(gè)構(gòu)件均起著重要作用。統(tǒng)一無(wú)線總體目標(biāo)架構(gòu)：根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，建議選用集中無(wú)線網(wǎng)絡(luò)解決方案，整體劃一，系統(tǒng)管理，準(zhǔn)確定位，高效運(yùn)營(yíng)，全面滿足無(wú)線網(wǎng)絡(luò)的業(yè)務(wù)需求，通過(guò)園區(qū)部署WLAN控制器5508，可以集中管理分支機(jī)構(gòu)無(wú)線AP。5508支持AP的數(shù)量根據(jù)各地AP的需求而選擇不同數(shù)量的許可，單臺(tái)最大支持500臺(tái)AP。其中大連會(huì)館與園區(qū)配置1臺(tái)（配置50-250個(gè)AP許可）。針對(duì)AP的選擇，一般每個(gè)AP建議連接終端設(shè)備30-50個(gè)。AP的部署：大連會(huì)館 、園區(qū)會(huì)議室、走廊、大廳和餐廳

25、等公共服務(wù)區(qū)域。我們建議采用內(nèi)置天線AP1700/2700系列；倉(cāng)庫(kù)、車間建議部署外置天線產(chǎn)品AP2700/3700?？偛颗c分支無(wú)線集中管理圖：的ISE提供全面的網(wǎng)絡(luò)訪問(wèn)控制，是唯一能夠?qū)⒂芯€訪問(wèn)、無(wú)線訪問(wèn)以及遠(yuǎn)程VPN訪問(wèn)基于一身，提供統(tǒng)一服務(wù)平臺(tái)的解決方案（見(jiàn)下圖）。ISE借助于各種類型的設(shè)備探測(cè)與識(shí)別，靈活的終端訪問(wèn)控制，提供了全面的BYOD解決方案，是唯一能夠利用網(wǎng)絡(luò)設(shè)備傳感器和實(shí)時(shí)地終端設(shè)備掃描的廠商，幫助企業(yè)用戶為種類繁多的BYOD提供訪問(wèn)控制策略。ISE解決方案能夠?yàn)槠髽I(yè)帶來(lái)以下的益處：安全性：提高接入網(wǎng)絡(luò)訪問(wèn)的用戶和終端設(shè)備的可視性、歷史報(bào)告以及強(qiáng)大的故障排除工具，從而降低運(yùn)營(yíng)

26、成本。一致性：企業(yè)能夠以一致的方式推出高度定制化和全面的網(wǎng)絡(luò)訪問(wèn)策略。合規(guī)性：通過(guò)確保執(zhí)行和審核必要的控制措施使企業(yè)符合監(jiān)管的要求，只有合規(guī)用戶才能獲得完全訪問(wèn)網(wǎng)絡(luò)，不合規(guī)用戶被隔離到有限的網(wǎng)絡(luò)區(qū)域。高效性：通過(guò)將頻繁操作的任務(wù)自動(dòng)化處理，簡(jiǎn)化服務(wù)交付流程，提高IT部門的生產(chǎn)率。方案總體特點(diǎn)全面的產(chǎn)品線集中管理的動(dòng)態(tài)射頻控制快速安全漫游實(shí)時(shí)可見(jiàn)的定位服務(wù)統(tǒng)一的有線和無(wú)線的解決方案：QoS、安全認(rèn)證、帶寬控制統(tǒng)一的室內(nèi)室外無(wú)線解決方案：統(tǒng)一AP、Bridge、Mesh部署、控制、網(wǎng)管能力室內(nèi)室外智能的無(wú)線MESH能力高效率的WLAN安全、部署及管理 ，降低總體成本可升級(jí)、可靠的、具有彈性的WLA

27、N架構(gòu)系統(tǒng)設(shè)計(jì) 通過(guò)分析和實(shí)踐，集團(tuán)WLAN的成功實(shí)現(xiàn)必須考慮多方面因素，這樣才能確保在WLAN網(wǎng)絡(luò)上實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)、多媒體傳輸。WLAN系統(tǒng)規(guī)劃及業(yè)務(wù)系統(tǒng)要求如下：WLAN系統(tǒng)規(guī)劃考慮因素 在進(jìn)行WLAN系統(tǒng)設(shè)計(jì)之前，必須明白多媒體WLAN系統(tǒng)對(duì)于無(wú)線信號(hào)覆蓋、SNR、流量、時(shí)延的要求，首先對(duì)于WLAN網(wǎng)絡(luò)的信號(hào)覆蓋，需要注意已下方面： 信道規(guī)劃 首先我們需要考慮容量要求，對(duì)于2.4G系統(tǒng)，我們知道可用的不重疊的信道只有3個(gè)，分別是1、6、11，見(jiàn)下圖 如果只有2.4G頻點(diǎn)進(jìn)行部署，那么建議信道規(guī)劃形式如下圖所示，蜂窩間的重疊不得小于20% 對(duì)于5G頻段范圍，有多達(dá)20多個(gè)可用頻點(diǎn)，其規(guī)劃方

28、法可以類似于2.4G進(jìn)行蜂窩系統(tǒng)規(guī)劃方法，這里不做介紹。 在中國(guó)只有5個(gè)不重疊信道可用，分別是Channel 149、153、157、161、165，但對(duì)于大多無(wú)線設(shè)備廠商來(lái)說(shuō)，在5.8G的信道上只支持前4個(gè)信道。所以要求，信道間必須進(jìn)行合理分配，最大化避免同信道沖突。WLAN業(yè)務(wù)系統(tǒng)部署要求 信號(hào)強(qiáng)度要求室內(nèi)環(huán)境 對(duì)于一個(gè)有保障的多媒體無(wú)線系統(tǒng)，對(duì)無(wú)線蜂窩之間信號(hào)強(qiáng)度和信噪比也有特殊的要求，室內(nèi)要求無(wú)線信號(hào)在無(wú)線蜂窩覆蓋邊緣信號(hào)強(qiáng)度不低于-67dBm至-70dBm，信道之間的信號(hào)強(qiáng)度差異應(yīng)至少大于19dBm，信號(hào)重疊區(qū)域在20。室外環(huán)境室內(nèi)要求無(wú)線信號(hào)在無(wú)線蜂窩覆蓋邊緣信號(hào)強(qiáng)度不低于-75d

29、Bm至-78dBm，同信道之間的信號(hào)強(qiáng)度差異應(yīng)至少大于19dBm。信號(hào)重疊區(qū)域在20，保障無(wú)線多媒體傳輸?shù)恼＿\(yùn)用。信躁比要求室內(nèi)環(huán)境室內(nèi)環(huán)境相對(duì)比較干凈，室內(nèi)環(huán)境噪音一般不會(huì)高于-95dBm，多媒體業(yè)務(wù)的信躁比要求應(yīng)不低于20dBm。室外環(huán)境室外環(huán)境相對(duì)比較復(fù)雜，室外環(huán)境噪音一般在-90dBm左右，多媒體業(yè)務(wù)的信躁比要求應(yīng)不低于15dBm。傳輸時(shí)延 根據(jù)3GPP對(duì)于多媒體質(zhì)量的要求，多媒體雙向傳輸?shù)耐禃r(shí)延應(yīng)低于300ms，即單向傳輸時(shí)延不高于150ms。多媒體質(zhì)量評(píng)估 根據(jù)3GPP對(duì)于多媒體質(zhì)量的要求，對(duì)于有質(zhì)量的多媒體網(wǎng)絡(luò)，MOS值應(yīng)不低于4.0。 容量支持 在進(jìn)行了良好規(guī)劃，并按照規(guī)劃

30、要求部署了無(wú)線網(wǎng)絡(luò)系統(tǒng)以后，一個(gè)雙頻AP（同時(shí)支持802.11g和802.11a）對(duì)于多媒體數(shù)量的承載不低于20路實(shí)時(shí)多媒體數(shù)據(jù)。定位支持 為了保證無(wú)線網(wǎng)絡(luò)進(jìn)行準(zhǔn)確定位，室內(nèi)AP間隔保持在1720M，每個(gè)AP的覆蓋半徑為810M。完善的多媒體QoS機(jī)制 在無(wú)線網(wǎng)絡(luò)系統(tǒng)中，如果通過(guò)同一個(gè)AP提供多媒體、數(shù)據(jù)等服務(wù)，我們必須有Qos保證機(jī)制，要求支持WMM國(guó)際標(biāo)準(zhǔn)，支持WMM及WMM Power Save功能，以保證有質(zhì)量的多媒體傳輸。無(wú)線網(wǎng)絡(luò)系統(tǒng)的話音應(yīng)用設(shè)計(jì)（VoWLAN）VoWLAN是WLAN的增值應(yīng)用之一。VoIP，IP電話通過(guò)數(shù)據(jù)網(wǎng)絡(luò)傳輸語(yǔ)音信號(hào)。WLAN，無(wú)線局域網(wǎng)使你能夠無(wú)線上網(wǎng)。V

31、oWLAN可以說(shuō)是這兩者的有機(jī)結(jié)合，它可以利用現(xiàn)有的WLAN網(wǎng)絡(luò)實(shí)現(xiàn)無(wú)線的VoIP通話能力，企業(yè)員工通過(guò)VoWLAN可在辦公場(chǎng)所以外的地方隨時(shí)訪問(wèn)語(yǔ)音、E-mail和其他已連的網(wǎng)絡(luò)資源，這樣提高了網(wǎng)絡(luò)資源的利用率并降低了每次電話呼叫的成本，從而節(jié)省企業(yè)的總體IT費(fèi)用?？梢詾橛脩籼峁┤轿坏腣oWLAN產(chǎn)品和解決方案！ 另一種VoWLAN方式是基于軟件的電話,就是通常所說(shuō)的Softphone。用戶可通過(guò)PDA、移動(dòng)電話和筆記本電腦在提供WLAN接入的區(qū)域使用這種軟件電話。這種方式可以使得在安裝無(wú)線網(wǎng)絡(luò)的任何地方進(jìn)行語(yǔ)音交流。良好的互通性 不僅把主要精力放在無(wú)線網(wǎng)絡(luò)產(chǎn)品的研發(fā)和推出上，還十分關(guān)心無(wú)

32、線網(wǎng)絡(luò)產(chǎn)品和客戶端的兼容性和互操作性方面。推出的CCX（Cisco Compatible Extensions）計(jì)劃給客戶端帶來(lái)一套功能擴(kuò)展來(lái)克服基于802.11協(xié)議的諸多不足之處。在引入CCX八年多的時(shí)間內(nèi)，所有的無(wú)線芯片制造商都紛紛和簽訂協(xié)議，并宣布在他們的客戶端上遵守CCX，從中不難看到的業(yè)界影響力。 差不多已經(jīng)說(shuō)服了每一家網(wǎng)卡生產(chǎn)商，把兼容擴(kuò)展（CCX）標(biāo)準(zhǔn)加入到硬件里面。目前市場(chǎng)上的300多種無(wú)線終端有90都通過(guò)了不同版本的CCX認(rèn)證。您可以在下列鏈接查詢到各個(gè)廠家的終端通過(guò)CCX認(rèn)證 HYPERLINK /web/partners/pr46/pr147/partners_pgm_c

33、oncept_home.html /web/partners/pr46/pr147/partners_pgm_concept_home.html 是一個(gè)不斷創(chuàng)新的公司，CCX歷經(jīng)十多年，現(xiàn)已推出超過(guò)5個(gè)版本，每個(gè)版本側(cè)重不同又向下兼容。通過(guò) Cisco Compatible Extensions (CCX)計(jì)劃，許多第三方手持設(shè)備供應(yīng)商的產(chǎn)品都能支持這些的創(chuàng)新。WiFi認(rèn)證的很多測(cè)試也取材于CCX計(jì)劃。 用戶將能從CCX認(rèn)證中獲得無(wú)線網(wǎng)絡(luò)最大的最大的兼容性和互操作性又不犧牲安全性、漫游性和信號(hào)穩(wěn)定性?；跓o(wú)線系統(tǒng)的節(jié)電功能 移動(dòng)終端的電池的能力是一個(gè)非常重要的問(wèn)題，電池待機(jī)及通話時(shí)間的長(zhǎng)短直接

34、影響到無(wú)線多媒體網(wǎng)絡(luò)的可用性，如果終端維持時(shí)間過(guò)短，那么這個(gè)多媒體網(wǎng)絡(luò)基本也不可用。本次無(wú)線網(wǎng)絡(luò)中需考慮到終端節(jié)電功能。無(wú)線安全性 多媒體業(yè)務(wù)通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候，我們不得不可慮其多媒體業(yè)務(wù)的安全性，安全性包括了用戶的身份認(rèn)證和多媒體流的加密。本次設(shè)計(jì)中除考慮無(wú)線數(shù)據(jù)傳輸?shù)陌踩酝膺€必須提供有效機(jī)制保障無(wú)線多媒體安全性。WLAN的安全快速漫游 在無(wú)線多媒體系統(tǒng)里，多媒體的漫游機(jī)制會(huì)大大影響多媒體的通話效果，尤其在切換的時(shí)候，如果漫游時(shí)間過(guò)長(zhǎng)，那么程度稍輕的會(huì)產(chǎn)生通話質(zhì)量影響，嚴(yán)重情況下，會(huì)導(dǎo)致多媒體通話中斷。所以， WLAN的快速漫游機(jī)制是多媒體網(wǎng)絡(luò)的至關(guān)重要的問(wèn)題。 本次設(shè)計(jì)中需考慮到

35、采用相應(yīng)機(jī)制（如CCKM）保證漫游情況下的無(wú)線多媒體傳輸。 WLAN系統(tǒng)的選型建議 多媒體WLAN系統(tǒng)對(duì)于無(wú)線WLAN設(shè)備的選用及相關(guān)設(shè)備的選用都有比較嚴(yán)格的要求，只有精心設(shè)計(jì)的無(wú)線WLAN網(wǎng)絡(luò)才能完整的提供高質(zhì)量的多媒體業(yè)務(wù)。AP的選擇 首先對(duì)于AP和客戶端的選擇，前面我們已經(jīng)提到，我們推薦采用雙頻的AP去部署無(wú)線網(wǎng)絡(luò)以提供數(shù)據(jù)和多媒體集成的業(yè)務(wù)。天線的選擇和分析 首先我們觀察一下無(wú)線終端天線的位置和極化分布圖 通過(guò)對(duì)于無(wú)線終端天線的分析，我們看出頭部會(huì)對(duì)無(wú)線信號(hào)有一個(gè)衰減，具體大概會(huì)衰減5dB。 同時(shí)，如果采用定向或Patch天線進(jìn)行信號(hào)覆蓋，由于頭部的遮擋，覆蓋效果會(huì)受到很大的影響，所以

36、建議采用全向天線采取吊頂安裝的方式提高信號(hào)覆蓋， 同時(shí)，對(duì)于AP的天線的使用，我們強(qiáng)烈推薦采用分級(jí)技術(shù)，分級(jí)技術(shù)可以幫助增加多媒體的穩(wěn)定性及降低傳輸時(shí)延，通過(guò)參考下列圖形，大家可以更清楚的了解分級(jí)天線帶來(lái)的好處，采用分級(jí)天線以后網(wǎng)絡(luò)傳輸時(shí)延明顯下降多媒體要求更高的無(wú)線信號(hào)強(qiáng)度和信噪比，如下圖 所以，對(duì)于需要使用多媒體的WLAN系統(tǒng)來(lái)說(shuō)，我們需要對(duì)無(wú)線信號(hào)有更高的要求，這也意味著無(wú)線多媒體終端需要更高的信噪比SNR，所以高增益的天線并不適合進(jìn)行無(wú)線多媒體系統(tǒng)的部署，因?yàn)樵鲆嫣叩奶炀€會(huì)增加覆蓋面積，會(huì)造成無(wú)線AP和終端設(shè)備雙向功率不匹配，無(wú)線多媒體容量不夠等問(wèn)題。所以總結(jié)下來(lái)，我們對(duì)于無(wú)線部署的

37、建議如下：選用無(wú)線雙頻AP，以部署數(shù)據(jù)及多媒體集成的業(yè)務(wù)網(wǎng)絡(luò)采用低增益天線，以滿足多媒體容量的要求AP每個(gè)無(wú)線模塊配置2根以上天線以開(kāi)啟分級(jí)模式增強(qiáng)信號(hào)的穩(wěn)定性和減少傳輸?shù)臅r(shí)延采用頂部安裝或帖壁安裝的方式避免復(fù)雜環(huán)境對(duì)信號(hào)的衰減采用專業(yè)的無(wú)線多媒體終端以優(yōu)化無(wú)線多媒體在WLAN網(wǎng)絡(luò)中的使用感受無(wú)線控制器的部署設(shè)計(jì) 無(wú)線控制器硬件通過(guò)雙重供電、多鏈路中繼、Active-Active架構(gòu)選項(xiàng)和n+1冗余設(shè)計(jì)，消除系統(tǒng)內(nèi)的單點(diǎn)故障，提供系統(tǒng)彈性。目前考慮投資回報(bào)率，建議部署一臺(tái)WLC5508無(wú)線控制器。 的無(wú)線控制器可以實(shí)現(xiàn)N:1，N:N的備份，且互為備份的控制器可以跨越三層網(wǎng)絡(luò)，部署更靈活，同時(shí)備

38、份控制器和主控制器可以同時(shí)接入AP，同時(shí)工作，大大保護(hù)了用戶的投資！ 隨著以后網(wǎng)絡(luò)的不斷擴(kuò)展，可以再增加一臺(tái)專門的備份控制器實(shí)現(xiàn)111冗余。網(wǎng)絡(luò)安全規(guī)劃由于無(wú)線信號(hào)的空間泄漏特性，以及802.11技術(shù)的普及，隨之而來(lái)的無(wú)線網(wǎng)絡(luò)安全問(wèn)題也被廣大用戶普遍關(guān)注。如何在保證802.11WLAN的高帶寬，便利訪問(wèn)的同時(shí)，增加強(qiáng)有力的安全特性？業(yè)界的廠商紛紛研究發(fā)展了802.11技術(shù)，增強(qiáng)了無(wú)線局域網(wǎng)安全的各個(gè)方面，并促成了諸如802.1x/EAP，802.11i，WPA/WPA2等標(biāo)準(zhǔn)的誕生，以及后續(xù)標(biāo)準(zhǔn)（如802.11w）的制定。Cisco在無(wú)線局域網(wǎng)安全技術(shù)和標(biāo)準(zhǔn)制定方面，扮演了極為重要的角色，是8

39、02.1x/EAP無(wú)線環(huán)境應(yīng)用的最早支持廠商，并在無(wú)線安全標(biāo)準(zhǔn)工作組中占據(jù)領(lǐng)導(dǎo)地位。與其他網(wǎng)絡(luò)一樣，WLAN的安全性主要集中于訪問(wèn)控制和隱私保護(hù)。健全的WLAN訪問(wèn)控制也被稱為身份驗(yàn)證可以防止未經(jīng)授權(quán)的用戶通過(guò)接入點(diǎn)收發(fā)信息。嚴(yán)格的WLAN訪問(wèn)控制措施有助于確保合法的客戶端基站只與可靠的接入點(diǎn)而不是惡意的或者未經(jīng)授權(quán)的接入點(diǎn)建立聯(lián)系。WLAN隱私保護(hù)有助于確保只有預(yù)定的接收者才能了解所傳輸?shù)臄?shù)據(jù)。在數(shù)據(jù)通過(guò)一個(gè)只供數(shù)據(jù)的預(yù)定接收者使用的密鑰進(jìn)行加密時(shí)，所傳輸?shù)腤LAN數(shù)據(jù)的隱私才視為得到了妥善保護(hù)。數(shù)據(jù)加密有助于確保數(shù)據(jù)在收發(fā)傳輸過(guò)程中不會(huì)遭到破壞。但是，無(wú)線局域網(wǎng)的安全并不僅僅局限于接入認(rèn)證

40、和數(shù)據(jù)加密。無(wú)線接入設(shè)備AP的物理安全性，AP連接到有線網(wǎng)絡(luò)交換機(jī)的安全認(rèn)證，基于無(wú)線訪問(wèn)位置的物理防護(hù)手段，如何避免攻擊，如何快速發(fā)現(xiàn)非法/假冒AP，對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)講也是十分重要的。無(wú)線網(wǎng)絡(luò)的解決方案支持高效、多級(jí)別、多種類、多級(jí)的認(rèn)證方式和加密技術(shù)，具體如下：無(wú)線終端用戶的用戶認(rèn)證（用戶名/密碼，數(shù)字證書(shū)）無(wú)線終端用戶的數(shù)據(jù)加密（WEP，TKIP，AES）無(wú)線接入點(diǎn)的接入認(rèn)證無(wú)線控制幀的安全管理（MFP）基于2-7層內(nèi)容的入侵檢測(cè)系統(tǒng)（無(wú)線IPS、IDS系統(tǒng)）支持精確的非法AP定位和隔離射頻干擾的檢測(cè)和辨別終端的安全接入保證（NAC）Mesh回傳鏈路數(shù)據(jù)的安全加密終端快速、安全漫游機(jī)制的

41、實(shí)現(xiàn)（CCKM）獨(dú)特的訪客隔離機(jī)制，保證跨地區(qū)漫游用戶與無(wú)線網(wǎng)內(nèi)部用戶的隔離。將訪客和無(wú)線網(wǎng)絡(luò)完全邏輯隔離，在允許訪客跨地區(qū)無(wú)線網(wǎng)絡(luò)漫游訪問(wèn)互聯(lián)網(wǎng)的同時(shí)保證內(nèi)部無(wú)線用戶的安全網(wǎng)絡(luò)的安全管理不同的認(rèn)證方式用戶的認(rèn)證和加密WLAN可能會(huì)遭受多種類型的攻擊。無(wú)線網(wǎng)絡(luò)系統(tǒng)在使用802.1X-EAP、TKIP或AES時(shí)，可以防止網(wǎng)絡(luò)遭受多種網(wǎng)絡(luò)攻擊的影響。如下表所示：攻擊類型安全改進(jìn)身份驗(yàn)證：開(kāi)放加密：靜態(tài)WEP身份驗(yàn)證：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：動(dòng)態(tài)WEP身份驗(yàn)證：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中間人不安全不安全安

42、全身份偽裝不安全安全安全薄弱 IV攻擊（AirSnort）不安全不安全安全分組偽裝（重復(fù)攻擊）不安全不安全安全暴力攻擊不安全安全安全字典攻擊不安全安全安全新的安全技術(shù)有助于制止網(wǎng)絡(luò)攻擊在現(xiàn)有的無(wú)線網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)中，除了要考慮加密算法外，還應(yīng)當(dāng)考慮傳輸密鑰的管理。已經(jīng)在產(chǎn)品方案上實(shí)施了TKIP/AES加密技術(shù)，可以有效改善無(wú)線鏈路的通訊安全。TKIP主要包括兩個(gè)關(guān)鍵的對(duì)WEP的增強(qiáng)部分：1，在所有WEP加密的數(shù)據(jù)包上采用報(bào)文完整性檢測(cè) (MIC) 功能，以更有效的保證數(shù)據(jù)幀的完整性；2，針對(duì)所有的WEP加密的包實(shí)行 基于每個(gè)數(shù)據(jù)包密匙的方式。MIC主要是用來(lái)改善802.11低效率的 Integ

43、rity check function (ICV)，主要解決兩個(gè)主要的不足：MIC對(duì)每個(gè)無(wú)線數(shù)據(jù)幀增加序列號(hào)，而AP將丟棄順序錯(cuò)誤的幀；另外在無(wú)線幀上增加MIC段，MIC段則提供了更高量級(jí)的幀的完整性檢查。有很多報(bào)告顯示W(wǎng)EP密匙方式的弱點(diǎn)，報(bào)告了WEP在數(shù)據(jù)私密和加密上的很低功效性。在802.1X的重認(rèn)證中采用WEP密匙旋轉(zhuǎn)的辦法可以減輕可能經(jīng)受的網(wǎng)絡(luò)攻擊，但沒(méi)有根本解決這些問(wèn)題。802.11i的標(biāo)準(zhǔn)中WEP增強(qiáng)機(jī)制已經(jīng)采納了針對(duì)每個(gè)分組的WEP密匙。并且這些技術(shù)已經(jīng)在Cisco的WLAN設(shè)備中得以實(shí)施。AES是一種旨在替代TKIP和WEP中使用的RC4加密的加密機(jī)制。AES不存在任何已知攻

44、擊，而且加密強(qiáng)度遠(yuǎn)遠(yuǎn)高于TKIP和WEP。AES是一種極為安全的密碼算法，目前的分析表明，需要2的120次方次計(jì)算才能破解一個(gè)AES密鑰還沒(méi)有人真正做到這一點(diǎn)。AES是一種區(qū)塊加密法。這是一種對(duì)稱性加密方法，加密和解密都使用同一個(gè)密鑰，而且使用一組固定長(zhǎng)度的比特即所謂的“區(qū)塊”。與使用一個(gè)密鑰流對(duì)一個(gè)文本數(shù)據(jù)輸入流進(jìn)行加密的WEP不同，AES會(huì)獨(dú)立地加密文本數(shù)據(jù)中的各個(gè)區(qū)塊。AES標(biāo)準(zhǔn)規(guī)定了三種可選的密碼長(zhǎng)度（128、192和256比特），每個(gè)AES區(qū)塊的大小為128比特。WPA2/802.11i使用128比特密鑰長(zhǎng)度。一輪WAP2/802.11i AES加密包括四個(gè)階段。對(duì)于WPA2/802

45、.11i，每輪會(huì)重復(fù)10次。為了保護(hù)數(shù)據(jù)的保密性和真實(shí)性，AES采用了一種名為Counter-Mode/CBC-Mac (CCM)的新型結(jié)構(gòu)模式。CCM會(huì)在Counter模式（CTR）下使用AES，以保護(hù)數(shù)據(jù)保密性，而AES采用CBC-MAC來(lái)提供數(shù)據(jù)完整性。這種對(duì)兩種模式（CTR和CBC-MAC）使用同一個(gè)密鑰的新型結(jié)構(gòu)模式已經(jīng)被NIST（特殊聲明800-38C）和標(biāo)準(zhǔn)化組織（IETF RFC-3610）所采用。CCM采用了一種48比特的IV。與TKIP一樣，AES使用IV的方式與WEP加密模式有所不同。在CCM中，IV被用作用于制止重復(fù)攻擊的加密和解密流程的輸入信息。而且，因?yàn)镮V空間被擴(kuò)

46、展到48比特，發(fā)生一次IV沖突所需的時(shí)間會(huì)以指數(shù)形式增長(zhǎng)。這可以提供進(jìn)一步的數(shù)據(jù)保護(hù)。由于WEP與TKIP均采用統(tǒng)一加密算法RC4算法實(shí)現(xiàn)，可不幸的是，RC4算法已經(jīng)被破解，雖然TKIP依然采用了動(dòng)態(tài)密鑰交換技術(shù)，但是由于算法的破解，TKIP還是可以破解，只是相對(duì)WEP破解難度稍大。目前足夠強(qiáng)壯和安全的算法只有AES，所以對(duì)于網(wǎng)絡(luò)要求極高的用戶，強(qiáng)烈建議采用AES的方式進(jìn)行加密。由于AES算法的嚴(yán)密性和強(qiáng)壯性，他對(duì)設(shè)備的消耗極大，所以我們也必須考慮到AES對(duì)于設(shè)備和系統(tǒng)的消耗，在設(shè)備選用時(shí)，需要完全考慮AES加密后的轉(zhuǎn)發(fā)性能。無(wú)線接入點(diǎn)的接入認(rèn)證在集中化無(wú)線網(wǎng)絡(luò)架構(gòu)下，無(wú)線控制器完全控制和管理

47、無(wú)線接入點(diǎn)，那么無(wú)線接入點(diǎn)是否為一個(gè)合法接入網(wǎng)絡(luò)的設(shè)備值得我們探討。如上面的圖例所示，無(wú)線控制器和無(wú)線接入點(diǎn)系統(tǒng)中，都內(nèi)嵌了X.509證書(shū)，通過(guò)證書(shū)，無(wú)線控制器和無(wú)線接入點(diǎn)之間可以互相認(rèn)證對(duì)方的合法性，保證網(wǎng)絡(luò)中的設(shè)備的合法性。除此之外，還能提供關(guān)于AP接入點(diǎn)更高級(jí)的特征-AP的802.1x認(rèn)證。如上圖所示，無(wú)論是最終用戶或者是的輕量級(jí)AP都可以通過(guò)802.1x的方式進(jìn)行認(rèn)證接入，的輕量級(jí)AP設(shè)備可做為802.1x的被認(rèn)證點(diǎn)，通過(guò)在后臺(tái)AAA服務(wù)器內(nèi)用戶名和密碼的比對(duì)，有線交換機(jī)決定允不允許開(kāi)放連接AP的交換機(jī)端口。這樣，可以更進(jìn)一步的提高網(wǎng)絡(luò)中AP的接入安全。無(wú)線控制幀的安全管理（MFP）在

48、目前的無(wú)線網(wǎng)絡(luò)技術(shù)的實(shí)現(xiàn)過(guò)程中，無(wú)線管理幀是沒(méi)有經(jīng)過(guò)認(rèn)證、加密和簽名的，所以相對(duì)來(lái)說(shuō)還是會(huì)導(dǎo)致很多不安全因素。網(wǎng)絡(luò)供給者可以通過(guò)模擬無(wú)線網(wǎng)絡(luò)中的管理幀信息來(lái)破壞網(wǎng)絡(luò)狀態(tài)和竊取網(wǎng)絡(luò)信息，從而造成用戶掉線，AP無(wú)法正常接入用戶的現(xiàn)象。在的無(wú)線網(wǎng)絡(luò)中，通過(guò)在網(wǎng)絡(luò)管理幀內(nèi)部插入MIC，可以及時(shí)的保護(hù)網(wǎng)絡(luò)管理幀信息，防止黑客的惡意攻擊。如下圖所示，并且支持管理幀加密混合模式，即如果客戶端不能支持MFP特征，無(wú)線AP也允許這類客戶端接入，但對(duì)于管理幀消息僅保護(hù)擁有支持MFP特征的客戶端。這樣，對(duì)于高級(jí)用戶或者對(duì)于安全性要求極高的客戶群我們可以保證其這方面的安全特性，也同時(shí)可以兼容對(duì)于安全性要求不是特別高的

49、用戶。無(wú)線網(wǎng)絡(luò)特點(diǎn)詳述實(shí)時(shí)的射頻自動(dòng)監(jiān)測(cè)（CleanAir)Wi-Fi 所面臨的不單純只是性能方面的挑戰(zhàn)，也有安全方面的挑戰(zhàn)。業(yè)界已經(jīng)致力于了解欺詐無(wú)線接入點(diǎn)如何在企業(yè)網(wǎng)絡(luò)中打開(kāi)安全漏洞，且已經(jīng)達(dá)到了很好的水平。目前，已經(jīng)設(shè)計(jì)了無(wú)線入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng) (wIDS/wIPS) 來(lái)解決這一問(wèn)題。但是，當(dāng)前 IDS 和 IPS 解決方案還有一些重大盲點(diǎn)，如果不增加頻譜智能就無(wú)法解決。當(dāng)前 IDS/IPS 系統(tǒng)無(wú)法檢測(cè)以專有擴(kuò)展模式（如 Super G，來(lái)自 Atheros）運(yùn)行的無(wú)線接入點(diǎn)。這些隨時(shí)可用的設(shè)備是檢測(cè)不到的。此外，黑客還可能采用標(biāo)準(zhǔn) Wi-Fi 設(shè)備（例如，運(yùn)行 Linux）并

50、對(duì)其進(jìn)行修改，以使其在非標(biāo)準(zhǔn)信道上運(yùn)行或以其他非標(biāo)準(zhǔn)調(diào)制方案運(yùn)行。只有在您分析射頻物理層以后，才能檢測(cè)到這些擴(kuò)展或修改的設(shè)備。無(wú)線信號(hào)容易受到其他信號(hào)的干擾，無(wú)線局域網(wǎng)使用的2.4GHz和5GHz頻段是開(kāi)放頻段，無(wú)需注冊(cè)即可獲得使用，因此下列設(shè)備可能造成干擾：微波爐其他大樓的無(wú)線系統(tǒng)工作在2.4GHz的無(wú)繩電話等藍(lán)牙通信系統(tǒng)工作在2.4Ghz的無(wú)線攝像頭除欺詐設(shè)備的威脅外，懷有惡意的人的威脅也始終存在，他們嘗試?yán)蒙漕l拒絕服務(wù) (DoS) 攻擊，使您的 Wi-Fi 網(wǎng)絡(luò)失效。雖然 IDS/IPS 系統(tǒng)能夠監(jiān)控許多“協(xié)議層”DoS 攻擊，但它們檢測(cè)不到可能通過(guò)干擾設(shè)備或 Wi-Fi 設(shè)備（這些設(shè)

51、備在診斷干擾模式下設(shè)置）實(shí)施的射頻層 DoS 攻擊。 Cisco CleanAir 技術(shù)使用硅片級(jí)智能來(lái)創(chuàng)建可感知頻譜、自行恢復(fù)和自行優(yōu)化的無(wú)線網(wǎng)絡(luò)，從而緩解無(wú)線干擾的影響，并為 802.11n 網(wǎng)絡(luò)提供性能保護(hù)。 CleanAir 技術(shù)的優(yōu)勢(shì)是它能夠全天候運(yùn)行，不間斷地監(jiān)控有無(wú)干擾和空氣介質(zhì)質(zhì)量問(wèn)題。這能讓 IT 采用更為主動(dòng)方法來(lái)管理頻譜。IT 不用再等待最終用戶報(bào)告干擾（以故障通知單的形式），然后調(diào)用工具來(lái)分析問(wèn)題，而是在干擾發(fā)生時(shí)即刻找到它并立即采取措施。另外，全天候的歷史記錄可以進(jìn)行回溯分析。使用歷史數(shù)據(jù)，可以很方便地分析隨時(shí)間的變化趨勢(shì)。 在采用集成式頻譜管理的無(wú)線局域網(wǎng)中，很可能

52、會(huì)在多個(gè)無(wú)線接入點(diǎn)中檢測(cè)到同一個(gè)干擾設(shè)備。如果這些設(shè)備都分別進(jìn)行報(bào)告，則會(huì)對(duì)管理員生成過(guò)多警報(bào)。有了 CleanAir 技術(shù)，就會(huì)根據(jù)設(shè)備屬性為每個(gè)由無(wú)線接入點(diǎn)檢測(cè)到的設(shè)備分配一個(gè)偽 MAC (PMAC) 地址。然后，跨無(wú)線接入點(diǎn)比較 PMAC。當(dāng)兩個(gè)設(shè)備的 PMAC 匹配（而且無(wú)線接入點(diǎn)彼此足夠接近）時(shí)，來(lái)自這兩個(gè)無(wú)線接入點(diǎn)的報(bào)告會(huì)“群集”到一起?，F(xiàn)在，可以將群集作為單個(gè)設(shè)備報(bào)告給管理員。 群集在定位設(shè)備時(shí)也扮演重要角色。匹配的 PMAC 群集為系統(tǒng)提供同一設(shè)備的多個(gè)功率測(cè)量值，因此可以對(duì)設(shè)備的位置進(jìn)行三角測(cè)量。設(shè)備群集的重要特征是網(wǎng)絡(luò)能夠正確地對(duì)設(shè)備進(jìn)行群集處理，既不會(huì)過(guò)度集群化（將不應(yīng)合

53、并的設(shè)備合并到一起），也不會(huì)集群化不足（在僅有一個(gè)設(shè)備時(shí)報(bào)告多個(gè)設(shè)備）。 CleanAir 技術(shù)的第二個(gè)優(yōu)勢(shì)是它可以遠(yuǎn)程操作。對(duì)于許多 Wi-Fi 部署，一個(gè)位置的 IT 人員管理園區(qū)中多個(gè)建筑物內(nèi)的設(shè)備或多個(gè)地理位置的設(shè)備，而且可能很難以物理方式使用一種工具來(lái)遠(yuǎn)程管理這些站點(diǎn)。如果部署涉及到許多分支辦公室，或者干擾在本質(zhì)上是瞬變的，這種情況尤為明顯。通過(guò)將頻譜管理集成到基礎(chǔ)架構(gòu)中，IT 能夠在網(wǎng)絡(luò)中的任何位置遠(yuǎn)程查看干擾條件。 Cisco CleanAir 技術(shù)還能夠以物理方式定位干擾設(shè)備。大多數(shù)情況下，多個(gè)無(wú)線接入點(diǎn)將會(huì)觀察到同一個(gè)引發(fā)干擾的設(shè)備。已經(jīng)開(kāi)發(fā)了高級(jí)技術(shù)，對(duì)從多個(gè)無(wú)線接入點(diǎn)報(bào)告

54、的設(shè)備進(jìn)行比較，并確定哪些報(bào)告實(shí)際上是由同一個(gè)設(shè)備導(dǎo)致的。對(duì)設(shè)備進(jìn)行比照后，可以使用三角測(cè)量法查明設(shè)備的準(zhǔn)確位置，此方法和基礎(chǔ)架構(gòu)系統(tǒng)當(dāng)前定位 Wi-Fi 客戶端與標(biāo)簽所使用的方法類似。CleanAir 技術(shù)集成到無(wú)線局域網(wǎng)中的最大優(yōu)勢(shì)可能是：無(wú)線接入點(diǎn) RRM 系統(tǒng)可以使用 SI 數(shù)據(jù)來(lái)實(shí)施全天候自動(dòng)干擾緩解。這確實(shí)是下一代 RRM，與以前的版本相比，可以提供更大的可靠性，而以前的版本感知不到干擾。有了 CleanAir 技術(shù)，就可以將網(wǎng)絡(luò)調(diào)整為自動(dòng)規(guī)避許多類型的干擾。Cisco CleanAir 技術(shù)提供大量有關(guān)干擾的詳細(xì)信息。但為了便于“大致”了解干擾問(wèn)題在哪里影響網(wǎng)絡(luò)，它會(huì)將詳細(xì)信息累

55、積成易于理解的高級(jí)別指標(biāo)，稱為空氣介質(zhì)質(zhì)量 (AQ)。AQ 在信道、地面和系統(tǒng)級(jí)別進(jìn)行報(bào)告，而且支持 AQ 警報(bào)，因此，當(dāng) AQ 低于預(yù)期閾值時(shí)，您會(huì)自動(dòng)收到通知。對(duì)于大連會(huì)館和園區(qū)的全無(wú)線覆蓋，建議采用具備 Cisco CleanAir功能的1700i/2700 AP，發(fā)現(xiàn)和防止頻譜干擾。ClientLink技術(shù)更好地保證802.11a/g終端的高速穩(wěn)定鏈接雖然802.11ac/n的AP已經(jīng)開(kāi)始大范圍部署，尤其是本項(xiàng)目的無(wú)線AP全部都是采用802.11ac和兼容802.11n的AP，但是大多數(shù)員工會(huì)繼續(xù)使用802.11a/g的終端設(shè)備。為了對(duì)現(xiàn)網(wǎng)存在的眾多的的802.11a/g設(shè)備提供投資保

56、護(hù)，開(kāi)發(fā)了ClientLink 技術(shù)，幫助用戶將802.11ac/n 的性能優(yōu)勢(shì)擴(kuò)展到802.11a/g 設(shè)備的同時(shí)，增加了他們的使用壽命。大多數(shù)的802.11ac/n 解決方案為802.11a/g 客戶端在上行方向(客戶端到無(wú)線接入點(diǎn))提供了某種程度上的性能提高，但是無(wú)法在下行方向（從無(wú)線接入點(diǎn)到客戶端）提高性能。認(rèn)識(shí)到這一點(diǎn)非常重要，因?yàn)榇蠖鄶?shù)的客戶端流量，比如說(shuō)網(wǎng)頁(yè)瀏覽和文件下載，都是在下行方向。ClientLink 技術(shù)提高了802.11a/g 客戶端下行鏈路的性能，從而提供了更好的網(wǎng)絡(luò)覆蓋以及更可靠的漫游體驗(yàn)。另一個(gè)挑戰(zhàn)是在同時(shí)部署了802.11ac/n 和802.11a/g 設(shè)備的

57、環(huán)境下，確保802.11a/g 設(shè)備不會(huì)限制802.11ac/n 設(shè)備的性能。通過(guò)為802.11a/g 設(shè)備提高下行鏈路的吞吐量，ClientLink 為整個(gè)網(wǎng)絡(luò)包括802.11ac/n 客戶端，有效的提高了系統(tǒng)容量。ClientLink 通過(guò)在無(wú)線接入點(diǎn)上預(yù)先植入的高級(jí)信號(hào)處理進(jìn)程進(jìn)行工作。在學(xué)習(xí)到用最大限度的方式將從無(wú)線接入點(diǎn)多個(gè)天線上接收到的客戶端信號(hào)結(jié)合起來(lái)之后，ClientLink 使用這些信息，并通過(guò)最佳方式將數(shù)據(jù)包發(fā)送回客戶端，這種技術(shù)稱之為多輸入多輸出（MIMO）波束成形。此外，MIMO 波束成形技術(shù)并不需要昂貴的外部天線就可實(shí)現(xiàn)。1）自動(dòng)射頻管理無(wú)線網(wǎng)絡(luò)的運(yùn)營(yíng)成本會(huì)比購(gòu)買成本

58、要高。為了幫助簡(jiǎn)化無(wú)線管理以及降低運(yùn)營(yíng)成本，M-Drive 技術(shù)包括了更高級(jí)和復(fù)雜的自動(dòng)射頻管理功能，它能減少很多故障的產(chǎn)生以及IT 人員花在解決此類故障上的時(shí)間。統(tǒng)一無(wú)線網(wǎng)絡(luò)自動(dòng)配置接入點(diǎn)的信道分配和輸出功率。M-Drive 技術(shù)為每個(gè)接入點(diǎn)建立了信道計(jì)劃和輸出功率，以此來(lái)優(yōu)化辦公空間的無(wú)線覆蓋。這將大大加快無(wú)線網(wǎng)絡(luò)的部署。由于物理?xiàng)l件的設(shè)施變化（例如，一個(gè)文件柜被移動(dòng)了），M-Drive 技術(shù)自動(dòng)改變接入點(diǎn)的配置來(lái)適應(yīng)這種改變。802.11ac/n 標(biāo)準(zhǔn)中包括了接入點(diǎn)工作在80/40MHz 信道提供更高性能的能力（這是對(duì)原有20MHz 信道的補(bǔ)充），這使得信道的分配變得復(fù)雜了。M-driv

59、e 技術(shù)通過(guò)理解20MHz 和80/40MHz 信道，簡(jiǎn)化了802.11ac/n的部署。M-Drive 技術(shù)通過(guò)觀測(cè)客戶端的性能來(lái)檢測(cè)覆蓋漏洞。當(dāng)一個(gè)覆蓋漏洞被檢測(cè)出來(lái)，系統(tǒng)會(huì)自動(dòng)調(diào)整相近接入點(diǎn)的輸出功率來(lái)消除覆蓋漏洞。無(wú)須IT 人員的干預(yù)，這既節(jié)省了時(shí)間也節(jié)省了資源。2）連接一致性 無(wú)線性能隨著時(shí)間或者空間的改變（因?yàn)橛脩粢苿?dòng)）而不穩(wěn)定，無(wú)線用戶的體驗(yàn)可能會(huì)因此而受挫。如果用戶無(wú)法完全信任和依賴無(wú)線網(wǎng)絡(luò)，他們將拒絕經(jīng)常使用無(wú)線網(wǎng)絡(luò)。802.11ac/n 和802.11a/g 一樣，客戶端的性能會(huì)隨著和接入點(diǎn)之間的距離變化而變化。802.11 標(biāo)準(zhǔn)允許在不同的距離下，有不同的數(shù)據(jù)傳輸數(shù)率來(lái)處理

60、這個(gè)問(wèn)題。本質(zhì)上說(shuō)，客戶端離接入點(diǎn)越遠(yuǎn)，數(shù)據(jù)傳輸速率越低，從而保證了即使在很低的信號(hào)強(qiáng)度下無(wú)線連接的可靠性。然而，802.11 標(biāo)準(zhǔn)并沒(méi)有指出如何來(lái)選擇這些數(shù)據(jù)傳輸速率。友商的解決方案是用隨機(jī)方式來(lái)選擇數(shù)據(jù)傳輸速率，這肯定不是最佳的解決方式。設(shè)備的傳輸速率可能會(huì)比所需的低，更糟糕的情況是，設(shè)備會(huì)嘗試提高傳輸速率，然而實(shí)際上沒(méi)有任何的數(shù)據(jù)會(huì)被傳送。M-Drive 技術(shù)里的速率選擇算法保證了在任何時(shí)候都有最佳的傳輸速率。這意味著不管客戶端漫游到何處，都會(huì)有可靠的連接。另一個(gè)會(huì)對(duì)802.11ac/n 和802.11a/g 的性能造成影響的因素是接入點(diǎn)功率等級(jí)的一致性。如果功率下降，其結(jié)果可能是有覆蓋