XXXX 無(wú)線網(wǎng)絡(luò)升級(jí)改造設(shè)計(jì)方案目 錄1. WLAN 在校園的應(yīng)用概述 .42. 校園網(wǎng) WLAN 應(yīng)用需求 .43. 校園網(wǎng) WLAN 設(shè)計(jì)思想 .63.1 校園網(wǎng) WLAN 設(shè)計(jì)原則 .63.2 思科校園網(wǎng) WLAN 設(shè)計(jì)思想 .63.3 思科 WLAN 解決方案體系結(jié)構(gòu) .73.3.1 無(wú)線網(wǎng)絡(luò)的挑戰(zhàn) .73.3.2 思科集中化無(wú)線網(wǎng)絡(luò)解決方案 .83.3.3 集中化協(xié)議 LWAPP 簡(jiǎn)介 .103.3.4 集中化和統(tǒng)一 WLAN 的好處 .113.3.4.2 便于升級(jí) .123.3.4.3 通過(guò)動(dòng)態(tài) RF 管理建立可靠的連接 .123.3.4.4 通過(guò)用戶(hù)負(fù)載均衡優(yōu)化每個(gè)用戶(hù)的性能 .133.3.4.5 訪客聯(lián)網(wǎng) .153.3.4.6 第三層漫游 .153.3.4.6 嵌入式無(wú)線 IDS.163.3.4.7 定位服務(wù) .173.3.4.8 WLAN 語(yǔ)音 .173.3.4.9 降低總擁有成本 .173.3.4.10 有線和無(wú)線整合 .183.3.4.11 總結(jié) .194. 思科校園網(wǎng) WLAN 建設(shè)方案 .204.1 物理設(shè)計(jì)（部署） .204.1.1 無(wú)線覆蓋方案 .214.1.1.1 覆蓋區(qū)域 .214.1.1.2 設(shè)計(jì)指標(biāo)、原則及覆蓋方式 .214.1.1.3 室內(nèi)覆蓋 .234.2 邏輯設(shè)計(jì) .284.2.1 SSID 和 VLAN .284.2.2 地址和路由 .294.2.2.1 無(wú)線用戶(hù)接入地址和路由規(guī)劃 .294.2.2.2 無(wú)線網(wǎng)絡(luò)地址和路由規(guī)劃 .294.2.2.3 IPv6 規(guī)劃考慮 .304.2.3 認(rèn)證和計(jì)費(fèi) .325. 解決方案的設(shè)計(jì)亮點(diǎn) .325.1 高性能的 IPV6 和 IPV4 無(wú)線接入 .325.2 基于個(gè)人用戶(hù)的運(yùn)營(yíng)管理 .325.3 支持?jǐn)?shù)據(jù)、語(yǔ)音等多種業(yè)務(wù)，有其它智能業(yè)務(wù)擴(kuò)展能力 .3225.4 滿(mǎn)足校園特點(diǎn)的安全和可靠性 .335.5 滿(mǎn)足生產(chǎn)、運(yùn)營(yíng)網(wǎng)絡(luò)要求的運(yùn)維和管理 .335.6 支持用戶(hù)全網(wǎng)漫游 .335.7 靈活部署、易于擴(kuò)展、高性?xún)r(jià)比 .346. 思科校園無(wú)線網(wǎng)絡(luò)解決方案產(chǎn)品介紹 .346.1 CISCO AIRONET 系列接入點(diǎn) .346.2 思科無(wú)線局域網(wǎng)控制器 .466.3 CISCO CATALYST 6500 系列無(wú)線服務(wù)模塊 .606.4 思科無(wú)線控制系統(tǒng)(WCS) .697. XXXX 二期無(wú)線 AP 分布情況表 .798. XXXXAP 信號(hào)測(cè)試結(jié)果 .799. 結(jié)束語(yǔ) .8931.WLAN 在校園的應(yīng)用概述校園網(wǎng)已經(jīng)成為校園生活的重要組成部分，成為教師和學(xué)生獲取資源和信息的主要途徑之一，它把學(xué)校中的學(xué)生、院系和社交、學(xué)術(shù)、業(yè)務(wù)活動(dòng)的行政人員緊密地聯(lián)系在一起，在高校教育中的作用與地位日益顯著。經(jīng)過(guò)這些年有線網(wǎng)絡(luò)建設(shè)、運(yùn)行、維護(hù)，從實(shí)踐結(jié)果來(lái)看，由于目前網(wǎng)絡(luò)是“有線”的，所以在有些應(yīng)用領(lǐng)域會(huì)出現(xiàn)困難。例如，很多高校只是在部分區(qū)域接通了網(wǎng)絡(luò)，而不能顧及所有區(qū)域，布置了網(wǎng)線的教室、圖書(shū)館數(shù)量有限；有些高校經(jīng)費(fèi)比較緊張，很難投入較大的財(cái)力來(lái)鋪設(shè)光纜；有些高校的建筑物具有一定的歷史意義，不適合鉆孔布線；有些高校由多個(gè)校區(qū)組成，校區(qū)之間聯(lián)網(wǎng)成本較高，等等。隨著信息技術(shù)的飛速發(fā)展，教師和學(xué)生對(duì)高校校園網(wǎng)的依賴(lài)性相當(dāng)之高，“隨時(shí)隨地獲取信息”已成為廣大師生們的新需求。但是，傳統(tǒng)的有線校園網(wǎng)存在著諸多“網(wǎng)絡(luò)盲點(diǎn)”，比如在圖書(shū)館、大型會(huì)議室、體育館等許多不宜網(wǎng)絡(luò)布線的場(chǎng)館設(shè)施如何聯(lián)網(wǎng)？在教室、實(shí)驗(yàn)室等場(chǎng)合如何突破網(wǎng)絡(luò)節(jié)點(diǎn)限制、實(shí)現(xiàn)多人同時(shí)上網(wǎng)的問(wèn)題？從應(yīng)用需求方面考慮，無(wú)線網(wǎng)絡(luò)很適合學(xué)校的一些不易于網(wǎng)絡(luò)布線的場(chǎng)所應(yīng)用。現(xiàn)在如何使校園的每個(gè)角落都處在網(wǎng)絡(luò)中，形成真正意義上的校園網(wǎng)？想象一下，當(dāng)學(xué)生們放完暑假返回校園，驚奇地發(fā)現(xiàn)自己的筆記本電腦在學(xué)校任何地方都可以上網(wǎng)時(shí)的那份欣喜若狂現(xiàn)在這已經(jīng)是一些學(xué)校的現(xiàn)實(shí)。2.校園網(wǎng) WLAN 應(yīng)用需求高性能的 IPv6 和 IPv4 無(wú)線接入中國(guó)下一代互聯(lián)網(wǎng)項(xiàng)目（CNGI）正在順利展開(kāi)，基于純 IPv6 的骨干網(wǎng)在CERNET 已經(jīng)建設(shè)完成并可以提供接入服務(wù)。現(xiàn)在建設(shè)高校無(wú)線網(wǎng)絡(luò)，除了要考慮4對(duì)現(xiàn)有 IPv4 網(wǎng)絡(luò)終端的無(wú)線接入，滿(mǎn)足當(dāng)前高校師生對(duì)無(wú)線網(wǎng)絡(luò)的需求外；又要支持高性能的 IPv6 的用戶(hù)接入，以適應(yīng)網(wǎng)絡(luò)發(fā)展趨勢(shì)，并保護(hù)網(wǎng)絡(luò)投資?；趥€(gè)人用戶(hù)的運(yùn)營(yíng)管理無(wú)線網(wǎng)絡(luò)系統(tǒng)需要支持運(yùn)營(yíng)管理功能，能夠根據(jù)單個(gè)用戶(hù)實(shí)現(xiàn)用戶(hù)管理，包括：認(rèn)證、計(jì)費(fèi)、安全控制、QoS 控制等。支持?jǐn)?shù)據(jù)、語(yǔ)音等多種業(yè)務(wù)，有其它智能業(yè)務(wù)擴(kuò)展能力校園無(wú)線網(wǎng)絡(luò)在支持?jǐn)?shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)，應(yīng)該是真正為語(yǔ)音業(yè)務(wù)優(yōu)化的無(wú)線設(shè)計(jì)，包括一體化的 IP 電話解決方案，通過(guò)新技術(shù)延長(zhǎng)客戶(hù)端待機(jī)時(shí)間，實(shí)現(xiàn)室內(nèi)外語(yǔ)音不中斷的安全漫游。為學(xué)校提供內(nèi)部話音的無(wú)縫覆蓋，以提高學(xué)校辦公效率和教學(xué)質(zhì)量。為保證無(wú)線話音的質(zhì)量，要求無(wú)線網(wǎng)絡(luò)具有良好的 QoS 控制機(jī)制，包括無(wú)線話音呼叫控制等手段。無(wú)線網(wǎng)絡(luò)還應(yīng)該支持其他智能業(yè)務(wù)的擴(kuò)展，如支持精準(zhǔn)的無(wú)線物理定位、無(wú)線視頻等滿(mǎn)足校園特點(diǎn)的安全和可靠性XXXX 無(wú)線網(wǎng)的目標(biāo)是建設(shè)一個(gè)收費(fèi)的、可運(yùn)營(yíng)網(wǎng)絡(luò)，這樣的定位對(duì)可靠性、安全、加密和非授權(quán)用戶(hù)的控制提出了更明確的要求： 支持精確的無(wú)線入侵、射頻干擾、非法 AP 定位和隔離 冗余的中央服務(wù)控制保證校園復(fù)雜接入環(huán)境的安全無(wú)線接入 獨(dú)特的訪客隔離機(jī)制，保證跨校園漫游用戶(hù)與校園網(wǎng)用戶(hù)的隔離 同時(shí)支持端到端的網(wǎng)絡(luò)可靠性保證技術(shù)。滿(mǎn)足生產(chǎn)、運(yùn)營(yíng)網(wǎng)絡(luò)要求的運(yùn)維和管理校園無(wú)線網(wǎng)絡(luò)規(guī)模大、環(huán)境復(fù)雜，因此無(wú)線網(wǎng)絡(luò)系統(tǒng)應(yīng)該支持高效的運(yùn)營(yíng)網(wǎng)絡(luò)級(jí)的管理功能，方便未來(lái)無(wú)線網(wǎng)絡(luò)的運(yùn)維管理室內(nèi)、室外、Mesh 系統(tǒng)一體化控制：所有 AP 均工作在同一 Controller 群組(cluster)管理下，可在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)無(wú)縫漫游、設(shè)備定位、自動(dòng)射頻管理和安全控制可分級(jí)的一體化網(wǎng)絡(luò)管理系統(tǒng)：有線、無(wú)線網(wǎng)絡(luò)管理相結(jié)合，集中與分布式管理相結(jié)合，為運(yùn)營(yíng)維護(hù)提供高效率和低成本。支持用戶(hù)全網(wǎng)漫游校園無(wú)線網(wǎng)絡(luò)應(yīng)支持用戶(hù)全網(wǎng)快速、安全、無(wú)縫漫游，保證用戶(hù)在園區(qū)移動(dòng)過(guò)程中可以保證 IP 地址不變、網(wǎng)絡(luò)連接不間斷、應(yīng)用會(huì)話不間斷，從而保證用戶(hù)網(wǎng)絡(luò)應(yīng)用在移動(dòng)中的不間斷性。靈活部署、易于擴(kuò)展、高性?xún)r(jià)比5為方便校園網(wǎng)絡(luò)的部署和未來(lái)維護(hù)的方便性，校園無(wú)線網(wǎng)絡(luò)應(yīng)具有靈活部署、易于擴(kuò)展的特性，支持無(wú)線接入點(diǎn)的即插即用功能。當(dāng)然，校園無(wú)線網(wǎng)絡(luò)要具有良好的性?xún)r(jià)比。3.校園網(wǎng) WLAN 設(shè)計(jì)思想3.1 校園網(wǎng) WLAN 設(shè)計(jì)原則實(shí)用性：遵循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則；充分保護(hù)已有投資，不設(shè)計(jì)成華而不實(shí)的無(wú)線網(wǎng)絡(luò)，也不設(shè)計(jì)成利用率低下的網(wǎng)絡(luò)，我們以實(shí)用性的原則要求為依據(jù)，建設(shè)具有最低的 TCO（擁有的總成本最低），有最高的性?xún)r(jià)比的校園無(wú)線局域網(wǎng)絡(luò)。先進(jìn)性：采用先進(jìn)成熟的網(wǎng)絡(luò)概念、技術(shù)、方法與設(shè)備，反映當(dāng)今先進(jìn)水平，又給未來(lái)的發(fā)展留有余地；充分采用目前國(guó)際、國(guó)內(nèi)流行和成熟的技術(shù)，保證網(wǎng)絡(luò)能適應(yīng)技術(shù)的快速發(fā)展?？煽啃裕合到y(tǒng)必須可靠運(yùn)行，主要的、關(guān)鍵的設(shè)備應(yīng)有冗余，一旦系統(tǒng)某些部分出現(xiàn)故障，應(yīng)能很快恢復(fù)工作，并且不能造成任何損失。開(kāi)放性：選擇的產(chǎn)品應(yīng)具有好的互操作性和可移植性，并符合相關(guān)的國(guó)際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)；無(wú)論發(fā)生任何變化，均能夠最大可能性的開(kāi)放標(biāo)準(zhǔn)?？蓴U(kuò)充性：系統(tǒng)是一個(gè)逐步發(fā)展的應(yīng)用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級(jí)換代的可能，這種擴(kuò)充不僅能充分保護(hù)原有資源，而且具有較高的性能價(jià)格比；可維護(hù)性：系統(tǒng)具有良好的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可維護(hù)性；安全性：必須具有高度的保密機(jī)制，靈活方便的權(quán)限設(shè)定和控制機(jī)制，以使系統(tǒng)具有多種手段來(lái)防備各種形式的非法侵入和機(jī)密信息的泄露。3.2 思科校園網(wǎng) WLAN 設(shè)計(jì)思想按照現(xiàn)有無(wú)線網(wǎng)絡(luò)發(fā)展趨勢(shì)，建議校園網(wǎng) WLAN 采用集中管理架構(gòu)下的“瘦AP”無(wú)線網(wǎng)絡(luò)架構(gòu)，以保證無(wú)線網(wǎng)絡(luò)可管理性、安全性、QoS、無(wú)縫漫游等功能需求，尤其是方便未來(lái)的運(yùn)維管理。根據(jù)實(shí)際情況，采用室內(nèi)、室外多種無(wú)線接入方式相結(jié)合的方式，以滿(mǎn)足學(xué)校樓宇多、廣場(chǎng)多的特點(diǎn)。如在必要的時(shí)候采用室外 Mesh WLAN 技術(shù)通過(guò)無(wú)線回傳技術(shù)解決有線網(wǎng)絡(luò)傳輸距離的合布線難度的問(wèn)題。同時(shí)由于采用室內(nèi)、外多種無(wú)線接入手段在滿(mǎn)足無(wú)線覆蓋的前提下，可以節(jié)省無(wú)線接入點(diǎn)的數(shù)量，從而提高無(wú)線網(wǎng)絡(luò)的性?xún)r(jià)比。校園無(wú)線網(wǎng)絡(luò)在滿(mǎn)足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的同時(shí)，保證對(duì)未來(lái)網(wǎng)絡(luò)技術(shù)和應(yīng)用的支持，如 IPv6、無(wú)線話音、無(wú)線視頻、組播等技術(shù)的支持，以滿(mǎn)足高校教學(xué)和科研的要求。6為滿(mǎn)足高校網(wǎng)絡(luò)的安全性，建議校園無(wú)線網(wǎng)絡(luò)采用獨(dú)立的有線網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)無(wú)線接入點(diǎn)的互聯(lián)，同時(shí)本次無(wú)線網(wǎng)絡(luò)在滿(mǎn)足用戶(hù)接入安全認(rèn)證、加密的同時(shí)，支持無(wú)線射頻的安全防護(hù)功能。3.3 思科 WLAN 解決方案體系結(jié)構(gòu)3.3.1 無(wú)線網(wǎng)絡(luò)的挑戰(zhàn)透視就是一切地圖就是一個(gè)典型的例子。在高空攝影技術(shù)面世之前，地圖并不精確；人們按照估計(jì)的比例，將地理標(biāo)志繪制到地圖上。高空攝影技術(shù)為地圖繪制人員帶來(lái)了之前未有的東西透視。透視改變了我們旅行的方式，我們觀察距離的方式，甚至我們的文明發(fā)展的方式。過(guò)去，無(wú)線局域網(wǎng)都缺乏透視能力因?yàn)槊總€(gè)接入點(diǎn)都是一個(gè)單獨(dú)的節(jié)點(diǎn)，按照一個(gè)靜態(tài) RF 計(jì)劃（通常為預(yù)測(cè)的 RF）中的信道和功率設(shè)置進(jìn)行獨(dú)立配置。盡管這些自主的接入點(diǎn)可以收到附近的某個(gè)工作在相同信道的接入點(diǎn)的信號(hào)，但是自主接入點(diǎn)無(wú)法得知相鄰的接入點(diǎn)與其是否屬于同一個(gè)網(wǎng)絡(luò)或者是相鄰網(wǎng)絡(luò)。而且，因?yàn)樽灾鹘尤朦c(diǎn)是“節(jié)點(diǎn)式”的，所以很難擴(kuò)展到大型、連續(xù)、協(xié)調(diào)的無(wú)線局域網(wǎng)和添加高級(jí)應(yīng)用。表 1 列出了對(duì)于自主接入點(diǎn)部署方式的無(wú)線需求和解決方案。在某些情況下，采用自主接入點(diǎn)的 WLAN 的部署會(huì)對(duì) WLAN 帶來(lái)很多限制。表 1 對(duì)于自主接入點(diǎn)部署方式的無(wú)線需求和解決方案需要 說(shuō)明 自主方式的解決方案第二層快速安全漫游客戶(hù)端在子網(wǎng)內(nèi)部的無(wú)縫漫游跨越不同的接入點(diǎn)和虛擬 LAN（VLAN）為支持漫游添加一個(gè)無(wú)線域服務(wù)（WDS）設(shè)備（接入點(diǎn)或者交換機(jī)模塊）第三層快速安全漫游客戶(hù)端在子網(wǎng)之間的無(wú)縫漫游跨越不同的接入點(diǎn)和 VLAN自主接入點(diǎn)本身不支持。需要為支持漫游采用一個(gè)集中式解決方案升級(jí)成本 部署額外管理功能和為接入點(diǎn)安裝新鏡像所需的時(shí)間部署一個(gè)集中的管理基站或者使用管理腳本入侵檢測(cè)系統(tǒng)（IDS）能夠檢測(cè)偽裝接入點(diǎn)、攻擊和未經(jīng)授權(quán)的訪問(wèn)使用一個(gè)基于 WDS 的IDS，或者添加一個(gè)覆蓋式WLAN 解決方案定位服務(wù) 直觀顯示接收信號(hào)強(qiáng)度 使用一個(gè)現(xiàn)場(chǎng)調(diào)查解決7需要 說(shuō)明 自主方式的解決方案指示（RSSI）信息變化和Wi-Fi 設(shè)備的位置方案或者一個(gè)覆蓋式 WLAN動(dòng)態(tài) RF 迅速地、動(dòng)態(tài)地適應(yīng) RF環(huán)境使用系統(tǒng)級(jí)應(yīng)用設(shè)備，或者一個(gè)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）；RF 信息可供手動(dòng)檢查或者措施使用負(fù)載均衡 自動(dòng)在相鄰接入點(diǎn)之間均衡客戶(hù)端負(fù)荷每個(gè)接入點(diǎn)通報(bào)服務(wù)情況，但是負(fù)載不是自動(dòng)地在接入點(diǎn)之間分布訪客聯(lián)網(wǎng) 能夠?yàn)榭蛻?hù)、供應(yīng)商和合作伙伴提供對(duì) WLAN 的受控訪問(wèn)權(quán)限，同時(shí)保持網(wǎng)絡(luò)的安全性為每個(gè)接入點(diǎn)部署專(zhuān)門(mén)的中繼 VLAN，并在整個(gè)企業(yè)中加以宣傳WLAN 語(yǔ)音 利用現(xiàn)有的無(wú)線基礎(chǔ)設(shè)施提供經(jīng)濟(jì)有效的、實(shí)時(shí)的語(yǔ)音服務(wù)部署基于接入點(diǎn)的呼叫準(zhǔn)入控制（CAC）；控制建立在每個(gè)接入點(diǎn)的基礎(chǔ)上，不能協(xié)調(diào)多個(gè)接入點(diǎn)管理 經(jīng)濟(jì)有效的、簡(jiǎn)化的WLAN 管理和部署為配置 WLAN 管理和單獨(dú)配置每個(gè)接入點(diǎn)部署腳本或者 SNMP 解決方案3.3.2 思科集中化無(wú)線網(wǎng)絡(luò)解決方案使用自主接入點(diǎn)的第一代無(wú)線局域網(wǎng)是一種方便的網(wǎng)絡(luò)。從 WLAN 首次面世以來(lái)，技術(shù)需求發(fā)生了很多變化。現(xiàn)在，基本的網(wǎng)絡(luò)連接已經(jīng)不足以滿(mǎn)足需要。企業(yè)需要在他們的辦公樓中提供無(wú)所不在的無(wú)線網(wǎng)絡(luò)連接。他們的 WLAN 必須支持多種移動(dòng)服務(wù)，例如語(yǔ)音、訪客接入、定位和增強(qiáng)的無(wú)線入侵防御系統(tǒng)（WIPS），同時(shí)還應(yīng)當(dāng)提供簡(jiǎn)化的部署、管理和可擴(kuò)展性。企業(yè)需要突破了表 1 中所列多種限制的WLAN。為了部署這些功能和消除這些限制，需要一個(gè)統(tǒng)一的 WLAN一個(gè)集中式的，基于連接到無(wú)線局域網(wǎng)控制器的輕型接入點(diǎn)的網(wǎng)絡(luò)。因此，機(jī)構(gòu)需要思科統(tǒng)一無(wú)線網(wǎng)絡(luò)?？蓴U(kuò)展性： WLAN 必須具備的特性人們對(duì)基于無(wú)線網(wǎng)絡(luò)的可擴(kuò)展性、高級(jí)服務(wù)的需求并不是剛剛出現(xiàn)的。事實(shí)上，蜂窩網(wǎng)絡(luò)供應(yīng)商已經(jīng)在擴(kuò)展無(wú)線網(wǎng)絡(luò)方面克服了很多挑戰(zhàn)。最初，蜂窩無(wú)線網(wǎng)絡(luò)是由多個(gè)提供基本連接的蜂窩信號(hào)發(fā)射塔結(jié)合而成的。當(dāng)時(shí)有很多管理塔間電話呼叫的協(xié)議，但是這些協(xié)議并不可靠很多呼叫都會(huì)被丟棄。8蜂窩網(wǎng)絡(luò)運(yùn)營(yíng)商需要一個(gè)讓用戶(hù)可以在漫游期間保持呼叫的解決方案，以及一個(gè)部署高級(jí)服務(wù)的平臺(tái)。因此，他們采用了一種名為基站控制器的新型網(wǎng)絡(luò)組件。對(duì)于蜂窩網(wǎng)絡(luò)而言，基站控制器可以協(xié)調(diào)一組無(wú)線電發(fā)射塔。當(dāng)蜂窩網(wǎng)絡(luò)用戶(hù)在不同發(fā)射塔的覆蓋范圍之間移動(dòng)時(shí)，基站控制器會(huì)對(duì)漫游切換進(jìn)行協(xié)調(diào)。這可以提高蜂窩網(wǎng)絡(luò)的穩(wěn)定性，減少被丟棄的呼叫。蜂窩基站控制器的概念也可應(yīng)用到 802.11 WLAN 中。運(yùn)營(yíng)商不是管理多個(gè)獨(dú)立的接入點(diǎn)，而是可以通過(guò)一個(gè)名為無(wú)線局域網(wǎng)控制器的集中式設(shè)備管理輕型接入點(diǎn)。WLAN 集中化參照蜂窩網(wǎng)絡(luò)的發(fā)展道路，思科系統(tǒng)公司 率先提出了 WLAN 集中化的概念，并且為高級(jí)無(wú)線局域網(wǎng)服務(wù)提供了業(yè)界第一個(gè)統(tǒng)一平臺(tái)。統(tǒng)一后的架構(gòu)，我們稱(chēng)之為思科統(tǒng)一無(wú)線網(wǎng)絡(luò)的關(guān)鍵，是將數(shù)據(jù)從輕型接入點(diǎn)經(jīng)由網(wǎng)絡(luò)發(fā)送到無(wú)線局域網(wǎng)控制器。思科提供了很多支持無(wú)線局域網(wǎng)集中化的無(wú)線局域網(wǎng)控制器，其中包括可以完全集成到網(wǎng)絡(luò)之中的企業(yè)級(jí)獨(dú)立無(wú)線局域網(wǎng)控制器（例如 Cisco 4400 系列無(wú)線局域網(wǎng)控制器和 Cisco 2000 系列無(wú)線局域網(wǎng)控制器），以及可以與有線網(wǎng)絡(luò)結(jié)合的無(wú)線局域網(wǎng)控制器，例如 Cisco Catalyst 6500 系列無(wú)線服務(wù)模塊（WiSM）和用于集成多業(yè)務(wù)路由器的思科無(wú)線局域網(wǎng)控制器模塊（WLCM）。開(kāi)發(fā)一種新的無(wú)線局域網(wǎng)集中化協(xié)議為了在輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器之間傳輸數(shù)據(jù)和實(shí)現(xiàn)通信，需要一種新的協(xié)議。該協(xié)議需要滿(mǎn)足下列要求： 便于部署該協(xié)議必須能夠跨越子網(wǎng)邊界，而不是僅僅將多個(gè) VLAN 連接到集中控制器。 部署安全將一個(gè)接入點(diǎn)加入網(wǎng)絡(luò)并不意味著它應(yīng)當(dāng)具有完全的網(wǎng)絡(luò)訪問(wèn)權(quán)限。該協(xié)議需要提供一種對(duì)所有連接網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行身份驗(yàn)證的方法。 對(duì)接入點(diǎn)的實(shí)時(shí)控制在部署、認(rèn)證接入點(diǎn)和將其連接到控制器之后，該協(xié)議需要提供對(duì)接入點(diǎn)的實(shí)時(shí)控制，以便管理和部署移動(dòng)服務(wù)。 協(xié)議擴(kuò)展能力該協(xié)議需要支持多種平臺(tái)從大型以太網(wǎng)交換機(jī)中基于機(jī)箱的模塊，到可堆疊交換機(jī)、路由器和其他任何網(wǎng)絡(luò)組件。 傳輸擴(kuò)展能力盡管網(wǎng)絡(luò)通常運(yùn)行在以太網(wǎng)的基礎(chǔ)上，但是該協(xié)議必須能夠支持低速的 WAN 連接，甚至無(wú)線網(wǎng)絡(luò)（對(duì)于無(wú)線網(wǎng)狀網(wǎng)絡(luò)等應(yīng)用）。這就是即滿(mǎn)足這些對(duì)于開(kāi)發(fā)新型通信協(xié)議的要求，又符合實(shí)際需要的支持第二層和第三層數(shù)據(jù)包信息的輕型接入點(diǎn)協(xié)議（LWAPP）。93.3.3 集中化協(xié)議 LWAPP 簡(jiǎn)介L(zhǎng)WAPP 是什么？LWAPP 是一項(xiàng)由思科系統(tǒng)公司擬定的互聯(lián)網(wǎng)工程任務(wù)小組（IETF）標(biāo)準(zhǔn)草案，實(shí)現(xiàn)了輕型接入點(diǎn)和 WLAN 系統(tǒng)（例如控制器、交換機(jī)和路由器）之間的通信協(xié)議的標(biāo)準(zhǔn)化。它的目標(biāo)包括： 減輕接入點(diǎn)中的處理量，讓它們將計(jì)算資源集中用于無(wú)線接入，而不是過(guò)濾和策略實(shí)施 為整個(gè) WLAN 系統(tǒng)進(jìn)行集中的流量處理、驗(yàn)證、加密和策略實(shí)施 利用一個(gè)第二層基礎(chǔ)設(shè)施或者 IP 路由網(wǎng)絡(luò)，為多供應(yīng)商接入點(diǎn)互操作性提供一個(gè)通用封裝和傳輸機(jī)制LWAPP 標(biāo)準(zhǔn)可以通過(guò)定義下列規(guī)范實(shí)現(xiàn)這些目標(biāo)： 接入點(diǎn)設(shè)備發(fā)現(xiàn)、信息交換和配置 接入點(diǎn)認(rèn)證和軟件控制 數(shù)據(jù)包封裝、分段和格式化 接入點(diǎn)和無(wú)線控制器之間的通信控制和管理LWAPP 的工作原理LWAPP 將輕型接入點(diǎn)的介質(zhì)訪問(wèn)控制（MAC）功能交由無(wú)線局域網(wǎng)控制器和輕型接入點(diǎn)共同承擔(dān)。對(duì)時(shí)間敏感的功能（例如次原子握手和發(fā)送給接入點(diǎn)的信標(biāo)）都在接入點(diǎn)進(jìn)行管理。其他對(duì)網(wǎng)絡(luò)具有重要意義的功能（例如移動(dòng)管理、身份驗(yàn)證、VLAN 劃分、RF 管理、無(wú)線 IDS 和數(shù)據(jù)包轉(zhuǎn)發(fā)）都在無(wú)線局域網(wǎng)控制器進(jìn)行管理。（如圖 1 所示）圖 1 分離的介質(zhì)訪問(wèn)控制功能 安全策略 QoS 策略無(wú)線局域網(wǎng)控制器 控制器 MAC 功能 802.11 MAC 管理：10 RF 管理 移動(dòng)管理人力分配分離 MAC 遠(yuǎn)程 RF 接口 MAC 層加密LWAPP輕型接入點(diǎn)（重新）關(guān)聯(lián)請(qǐng)求和行為框架 802.11 數(shù)據(jù)：封裝和發(fā)送到接入點(diǎn) 802.11e 資源預(yù)留：控制協(xié)議在 802.11管理幀中發(fā)送到接入點(diǎn)信令在控制器完成 802.11i 身份驗(yàn)證和密鑰交換接入點(diǎn) MAC 功能 802.11：信號(hào)發(fā)射，探測(cè)響應(yīng)，身份驗(yàn)證（如果啟用） 802.11 控制：數(shù)據(jù)包確認(rèn)和傳輸（延遲） 802.11e：幀排序和數(shù)據(jù)包優(yōu)先級(jí)設(shè)置（訪問(wèn) RF） 802.11i：接入點(diǎn)中的加密輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器之間存在多對(duì)一的關(guān)系單個(gè)無(wú)線局域網(wǎng)控制器可以管理和操作大量的輕型接入點(diǎn)。另外，無(wú)線局域網(wǎng)控制器可以在一個(gè)大型無(wú)線網(wǎng)絡(luò)中協(xié)調(diào)和比較信息甚至跨越 WAN。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個(gè)網(wǎng)絡(luò)的整體視圖。一旦將這項(xiàng)協(xié)議作為標(biāo)準(zhǔn)，并準(zhǔn)備好用于統(tǒng)一的平臺(tái)，WLAN 集中化的真正優(yōu)勢(shì)將會(huì)變得顯而易見(jiàn)。3.3.4 集中化和統(tǒng)一 WLAN 的好處下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。3.3.4.1 便于部署當(dāng)在企業(yè)中部署自主接入點(diǎn)時(shí)，每個(gè)接入點(diǎn)都將單獨(dú)進(jìn)行配置。這種配置可以在每個(gè)接入點(diǎn)的基礎(chǔ)上進(jìn)行，也可以通過(guò)一個(gè)系統(tǒng)級(jí)應(yīng)用或者設(shè)備完成。在完成對(duì)自主接入點(diǎn)的配置之后，每個(gè)接入點(diǎn)都將可以支持 VLAN，以便劃分不同的用戶(hù)群11組，為不同的用戶(hù)和用戶(hù)群組區(qū)分不同的 LAN 策略和服務(wù)（例如安全和服務(wù)質(zhì)量QoS）。這些 VLAN 可以擴(kuò)展到網(wǎng)絡(luò)的接入層。根據(jù)部署的規(guī)模和范圍，VLAN 可以在多臺(tái)交換機(jī)中進(jìn)行中繼和擴(kuò)展。在向網(wǎng)絡(luò)引入基于輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器的集中化時(shí)，并不需要在接入層重新劃分子網(wǎng)和設(shè)置 VLAN 中繼。相反，VLAN 將以中繼方式連接到一個(gè)集中式無(wú)線局域網(wǎng)控制器，而控制器則將把用戶(hù)和 WLAN 劃分到 VLAN 中。這可以簡(jiǎn)化WLAN 的部署和管理。在使用集中化解決方案時(shí)，一個(gè)輕型接入點(diǎn)只需要找出無(wú)線局域網(wǎng)控制器的IP 地址當(dāng)部署于第二層模式時(shí)。（在部署于一個(gè)遠(yuǎn)程子網(wǎng)中時(shí)，接入點(diǎn)需要IP 地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)信息）。輕型接入點(diǎn)還可以從一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器接收無(wú)線局域網(wǎng)控制器的 IP 地址。在輕型接入點(diǎn)聯(lián)系無(wú)線局域網(wǎng)控制器之后，控制器將會(huì)為輕型接入點(diǎn)設(shè)定所有RF 策略和無(wú)線局域網(wǎng)策略。因?yàn)樗衼?lái)自接入點(diǎn)的數(shù)據(jù)包都會(huì)被置入一個(gè) LWAPP隧道，進(jìn)而發(fā)送到無(wú)線局域網(wǎng)控制器，所以不需要將特殊 VLAN 擴(kuò)展到各個(gè)接入點(diǎn)。3.3.4.2 便于升級(jí)較低的運(yùn)營(yíng)成本可以提高一個(gè)機(jī)構(gòu)的投資效率。問(wèn)題是：怎樣實(shí)現(xiàn)低成本的運(yùn)營(yíng)？集中化有助于簡(jiǎn)化升級(jí)利用思科統(tǒng)一無(wú)線網(wǎng)絡(luò)，所有輕型接入點(diǎn)映像都會(huì)被嵌入到控制器映像之中。當(dāng)控制器映像被升級(jí)時(shí)，它也會(huì)升級(jí)所有與其關(guān)聯(lián)的接入點(diǎn)。不需要在一個(gè)集中管理基站上采用一個(gè)專(zhuān)門(mén)的腳本或者創(chuàng)建一個(gè)特殊的任務(wù)。思科統(tǒng)一無(wú)線網(wǎng)絡(luò)的低成本接入點(diǎn)升級(jí)的另外一個(gè)好處是：輕型接入點(diǎn)和控制器之間的互操作能力已經(jīng)通過(guò)了思科的質(zhì)量保障團(tuán)隊(duì)的全面測(cè)試和認(rèn)證。3.3.4.3 通過(guò)動(dòng)態(tài) RF 管理建立可靠的連接過(guò)去，使用自主接入點(diǎn)的無(wú)線網(wǎng)絡(luò)通常利用一個(gè)靜態(tài) RF 計(jì)劃進(jìn)行部署，而且每個(gè)接入點(diǎn)都以靜態(tài)方式設(shè)置它們的信道和功率。這個(gè)計(jì)劃是根據(jù) RF 預(yù)測(cè)制定的，即利用計(jì)算機(jī)對(duì) RF 環(huán)境的模擬，結(jié)合接入點(diǎn)的天線發(fā)射功率，估計(jì)接入點(diǎn)的覆蓋范圍。RF 預(yù)測(cè)的目標(biāo)是以最小的信道重疊，獲得接入點(diǎn)的最優(yōu)覆蓋范圍。但是，因?yàn)?RF 預(yù)測(cè)是在一個(gè)不考慮部署后 RF 環(huán)境實(shí)際發(fā)生情況的計(jì)算機(jī)上進(jìn)行的，所以它們只是對(duì)實(shí)際 RF 環(huán)境的估計(jì)。12例如，在使用 RF 預(yù)測(cè)時(shí)，很難準(zhǔn)確地估計(jì)來(lái)自相鄰網(wǎng)絡(luò)、辦公室改建、房門(mén)開(kāi)啟或關(guān)閉、微波爐或者其他干擾源的共用信道干擾。集中化可以提供動(dòng)態(tài) RF無(wú)線局域網(wǎng)控制器可以自動(dòng)獲知同一個(gè)網(wǎng)絡(luò)中不同輕型接入點(diǎn)之間的信號(hào)強(qiáng)度?？刂破髂芾眠@些信息，為網(wǎng)絡(luò)創(chuàng)建一個(gè)動(dòng)態(tài)優(yōu)化 RF 拓?fù)?。無(wú)線局域網(wǎng)控制器可以用一種獨(dú)特的方式提供動(dòng)態(tài) RF。在一個(gè)支持思科 LWAPP 的接入點(diǎn)啟動(dòng)時(shí)，它會(huì)立即搜尋網(wǎng)絡(luò)中的無(wú)線局域網(wǎng)控制器。在其找到一個(gè)無(wú)線局域網(wǎng)控制器之后，支持 LWAPP 的接入點(diǎn)會(huì)發(fā)出加密的“neighbor”（鄰居）消息。這些鄰居消息包括 MAC 地址和任何相鄰接入點(diǎn)的信號(hào)強(qiáng)度。在一個(gè)無(wú)線局域網(wǎng)控制器網(wǎng)絡(luò)中，控制器可以利用這些鄰居信息確定接入點(diǎn)在網(wǎng)絡(luò)中的相對(duì)空間狀態(tài)?？刂破麟S后會(huì)調(diào)節(jié)每個(gè)接入點(diǎn)的信道和信號(hào)強(qiáng)度，以獲得最佳的覆蓋范圍和網(wǎng)絡(luò)容量。如果網(wǎng)絡(luò)中有一個(gè)無(wú)線局域網(wǎng)控制器集群（例如在單個(gè)網(wǎng)絡(luò)中部署多個(gè)控制器），那么會(huì)有一個(gè)控制器被選為缺省控制器，所有控制器都會(huì)向它們的輕型接入點(diǎn)發(fā)送缺省控制器信息。缺省控制器會(huì)關(guān)聯(lián)網(wǎng)絡(luò)中所有接入點(diǎn)的信息，再將最佳信道和功率設(shè)置發(fā)送給網(wǎng)絡(luò)中的每個(gè)接入點(diǎn)。思科統(tǒng)一無(wú)線網(wǎng)絡(luò)架構(gòu)中內(nèi)置的算法有助于確保網(wǎng)絡(luò)不會(huì)“抖動(dòng)”，即發(fā)生沒(méi)有必要的變化。這樣做的結(jié)果是，建立起一個(gè)能夠?qū)崟r(shí)地適應(yīng)不斷變化的 RF 環(huán)境的動(dòng)態(tài)無(wú)線網(wǎng)絡(luò)。3.3.4.4 通過(guò)用戶(hù)負(fù)載均衡優(yōu)化每個(gè)用戶(hù)的性能802.11 協(xié)議很難預(yù)測(cè)和保障用戶(hù)的性能和吞吐。因?yàn)?802.11 為每個(gè)網(wǎng)絡(luò)組件提供了相等的空間訪問(wèn)能力，所以每個(gè)客戶(hù)端都可以決定它接下來(lái)將漫游到哪個(gè)接入點(diǎn)。當(dāng)客戶(hù)端設(shè)備進(jìn)入一個(gè)覆蓋區(qū)域時(shí)，它們可能會(huì)漫游到信號(hào)最強(qiáng)的接入點(diǎn)。同樣，每個(gè)客戶(hù)端設(shè)備對(duì) RF 介質(zhì)的訪問(wèn)權(quán)限與它們所關(guān)聯(lián)的接入點(diǎn)一樣。因此，所有客戶(hù)端的 RF 吞吐都有可能降低所有客戶(hù)端都可以關(guān)聯(lián)到同一個(gè)接入點(diǎn)。這通常被成為“會(huì)議室效應(yīng)”。負(fù)載均衡可以通過(guò)不斷地優(yōu)化用戶(hù)關(guān)聯(lián)關(guān)系，為每個(gè)客戶(hù)端提供最佳的，從而優(yōu)化所有客戶(hù)端的吞吐。這可以提高每個(gè)客戶(hù)端的吞吐，動(dòng)態(tài)地均衡網(wǎng)絡(luò)的客戶(hù)端負(fù)載。集中化有助于均衡用戶(hù)負(fù)載思科無(wú)線局域網(wǎng)控制器和模塊擁有一個(gè)網(wǎng)絡(luò)整體視圖。通過(guò)加密的無(wú)線消息，這些控制器可以獲知接入點(diǎn)之間的信號(hào)強(qiáng)度。另外，當(dāng)某個(gè)客戶(hù)端探測(cè)接入點(diǎn)（這是 802.11 標(biāo)準(zhǔn)的一部分，即客戶(hù)端尋找任何廣播它所尋找的 WLAN 名稱(chēng)的接入點(diǎn)）13時(shí)，控制器會(huì)收到來(lái)自每個(gè)收到客戶(hù)端探測(cè)信號(hào)的接入點(diǎn)所發(fā)出的信號(hào)?？刂破麟S后將根據(jù)客戶(hù)端的信號(hào)強(qiáng)度和信噪比，決定哪個(gè)接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶(hù)端的探測(cè)信號(hào)。例如，某個(gè)相鄰接入點(diǎn)能夠以較低的信號(hào)強(qiáng)度提供相同的服務(wù)。控制器將根據(jù)接入點(diǎn)的信號(hào)強(qiáng)度（RSSI），決定哪個(gè)接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶(hù)端的探測(cè)信號(hào)。（如圖 2 所示）14圖 2 無(wú)線局域網(wǎng)控制器決定哪個(gè)接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶(hù)端的探測(cè)信號(hào)3.3.4.5 訪客聯(lián)網(wǎng)訪客聯(lián)網(wǎng)已經(jīng)從一種奢侈的功能發(fā)展成為了一項(xiàng)業(yè)務(wù)必需的功能。訪客聯(lián)網(wǎng)讓機(jī)構(gòu)可以在保證無(wú)線網(wǎng)絡(luò)安全的同時(shí)，為客戶(hù)、供應(yīng)商和合作伙伴提供對(duì)他們的WLAN 的受控訪問(wèn)權(quán)限。它讓顧問(wèn)和訪客可以迅速開(kāi)展合作，加快業(yè)務(wù)速度。今天，問(wèn)題不再是一個(gè)機(jī)構(gòu)是否應(yīng)當(dāng)提供訪客聯(lián)網(wǎng)功能，而是它打算怎樣提供該功能？如果使用自主接入點(diǎn)部署方式，管理員可以通過(guò)將“訪客”VLAN 拓展到網(wǎng)絡(luò)中，提供訪客網(wǎng)絡(luò)。這些 VLAN 具有不同于普通網(wǎng)絡(luò)流量的安全策略。這些VLAN 可能會(huì)成為錯(cuò)誤配置的來(lái)源和潛在的安全漏洞。集中化有助于簡(jiǎn)化訪客聯(lián)網(wǎng)在思科統(tǒng)一無(wú)線網(wǎng)絡(luò)中，每個(gè)無(wú)線局域網(wǎng)控制器都具有一個(gè)美觀的 Web 門(mén)戶(hù)，讓機(jī)構(gòu)可以根據(jù)自己的業(yè)務(wù)需要定制 WLAN。例如，網(wǎng)絡(luò)管理人員可以將控制器放入 DMZ，充當(dāng)訪客接口。當(dāng)在網(wǎng)絡(luò)中部署一個(gè)訪客無(wú)線局域網(wǎng)時(shí)，所有來(lái)自于訪客WLAN 的流量都會(huì)以隧道方式發(fā)送到訪客控制器。與采用自主接入點(diǎn)的無(wú)線局域網(wǎng)不同，使用輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器的思科解決方案不需要對(duì)底層 VLAN 架構(gòu)進(jìn)行任何改動(dòng)。3.3.4.6 第三層漫游借助采用輕型接入點(diǎn)的思科統(tǒng)一無(wú)線網(wǎng)絡(luò)，當(dāng)?shù)谌龑勇伪灰刖W(wǎng)絡(luò)時(shí)，管理員不需要將 VLAN 拓展到網(wǎng)絡(luò)中的所有接入點(diǎn)，就可以保持一個(gè)扁平式的無(wú)線子網(wǎng)。15那些采用自主接入點(diǎn)的網(wǎng)絡(luò)則有所不同它們通過(guò)拓展 VLAN 來(lái)實(shí)現(xiàn)漫游，因而會(huì)產(chǎn)生大范圍的、不便于擴(kuò)展的廣播域。通過(guò)像思科統(tǒng)一無(wú)線網(wǎng)絡(luò)這樣在不使用 VLAN 的情況下實(shí)現(xiàn)第三層漫游，可以簡(jiǎn)化網(wǎng)絡(luò)，讓網(wǎng)絡(luò)可以方便地支持各種實(shí)時(shí)應(yīng)用，例如基于無(wú)線網(wǎng)絡(luò)的語(yǔ)音和視頻。集中化有助于支持第三層漫游利用思科統(tǒng)一無(wú)線網(wǎng)絡(luò)，輕型接入點(diǎn)可以被部署到網(wǎng)絡(luò)的標(biāo)準(zhǔn)子網(wǎng)基礎(chǔ)設(shè)施中，并獲得一個(gè)隸屬于它們所在子網(wǎng)的 IP 地址。所有來(lái)自于無(wú)線客戶(hù)端的流量都將被放置到一個(gè)通過(guò)底層網(wǎng)絡(luò)發(fā)送到無(wú)線局域網(wǎng)控制器的 LWAPP 數(shù)據(jù)包中?？蛻?hù)端設(shè)備可以從一個(gè)連接到控制器的子網(wǎng)獲得它們的 IP 地址而不是它們所在的樓宇的子網(wǎng)。底層子網(wǎng)基礎(chǔ)設(shè)施對(duì)于客戶(hù)端而言是透明的。控制器可以管理互相之間的所有漫游和隧道通信，以確保不需要移動(dòng) IP 等協(xié)議。3.3.4.6 嵌入式無(wú)線 IDS安全是網(wǎng)絡(luò)管理人員的關(guān)注焦點(diǎn)，而無(wú)線安全則是安全人員最關(guān)注的問(wèn)題。一個(gè)重要的顧慮是惡意接入點(diǎn)可能會(huì)在一個(gè)有線或者無(wú)線網(wǎng)絡(luò)中制造漏洞。通過(guò)在網(wǎng)絡(luò)中采用一個(gè)無(wú)線 ID 系統(tǒng)，可以為網(wǎng)絡(luò)添加一條額外的防線。無(wú)線局域網(wǎng) IDS 可以降低黑客或者惡意用戶(hù)訪問(wèn)關(guān)鍵網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)。集中化有助于支持無(wú)線 IDS 思科輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器可以同時(shí)充當(dāng)數(shù)據(jù)服務(wù)設(shè)備和 IDS 傳感器。這可以通過(guò) LWAPP 獨(dú)有的分離 MAC 架構(gòu)實(shí)現(xiàn)，即有些功能由接入點(diǎn)承擔(dān)，另外一些由控制器承擔(dān)。LWAPP 分離 MAC 讓輕型接入點(diǎn)可以在不中斷數(shù)據(jù)服務(wù)的情況下掃描信道。接入點(diǎn)和控制器擁有一個(gè)強(qiáng)大的攻擊簽名庫(kù)，它可用于檢測(cè)無(wú)線威脅包括惡意接入點(diǎn)，特殊網(wǎng)絡(luò)，或者試圖尋找無(wú)線網(wǎng)絡(luò)漏洞的惡意人員。輕型接入點(diǎn)可以在它們?cè)诠ぷ鲿r(shí)使用的信道上檢測(cè)攻擊，以及檢測(cè)那些工作信道與它們不同的威脅，例如惡意接入點(diǎn)和特殊網(wǎng)絡(luò)。另外，因?yàn)樗伎平y(tǒng)一無(wú)線網(wǎng)絡(luò)輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器都配有 X.509 證書(shū)，它們可以檢測(cè)到偽裝成網(wǎng)絡(luò)中某個(gè)可靠接入點(diǎn)（充當(dāng)一個(gè) honeypot*）的未經(jīng)授權(quán)的接入點(diǎn)。思科統(tǒng)一無(wú)線網(wǎng)絡(luò)還可以利用其強(qiáng)大的隔離惡意功能，消除因?yàn)閻阂饨尤朦c(diǎn)所導(dǎo)致的威脅。這種功能有助于確?？蛻?hù)端不會(huì)與惡意接入點(diǎn)建立關(guān)聯(lián)。一種由網(wǎng)絡(luò)管理員部署的，用于檢測(cè)、制止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)的授權(quán)接入點(diǎn)。163.3.4.7 定位服務(wù)定位服務(wù)是下一代無(wú)線網(wǎng)絡(luò)必須達(dá)到的一項(xiàng)要求。定位服務(wù)支持同時(shí)跟蹤WLAN 基礎(chǔ)設(shè)施內(nèi)部的數(shù)千個(gè) Wi-Fi 設(shè)備。這些服務(wù)被用于一些關(guān)鍵的應(yīng)用，例如高價(jià)值資產(chǎn)跟蹤、IT 管理、安全和業(yè)務(wù)策略的執(zhí)行。其他應(yīng)用包括： 基于無(wú)線局域網(wǎng)的 e911 和語(yǔ)音 客戶(hù)端故障診斷和客戶(hù)端位置與客戶(hù)端連接問(wèn)題的關(guān)聯(lián) 資產(chǎn)跟蹤和管理，以跟蹤任何支持 802.11 的設(shè)備（包括配有 802.11 RFID 標(biāo)簽的資產(chǎn)） 基于位置的安全無(wú)線局域網(wǎng)不僅可以獲知輕型接入點(diǎn)之間的路徑損耗和信號(hào)強(qiáng)度，還可以從網(wǎng)絡(luò)中的支持 LWAPP 的接入點(diǎn)那里獲得關(guān)于客戶(hù)端信號(hào)強(qiáng)度的信息。思科無(wú)線局域網(wǎng)控制器會(huì)將收到的客戶(hù)端信號(hào)強(qiáng)度信息轉(zhuǎn)發(fā)到思科無(wú)線控制系統(tǒng)（WCS）和思科無(wú)線定位設(shè)備，它們將根據(jù)樓宇材料類(lèi)型、多路徑和反射等因素，進(jìn)行高強(qiáng)度的 RF 指紋計(jì)算，確定 802.11 或者有源 RFID 設(shè)備的位置。這些信息將實(shí)時(shí)提供。LWAPP 是支持定位服務(wù)的控制和傳輸協(xié)議。3.3.4.8 WLAN 語(yǔ)音WLAN 語(yǔ)音（VoWLAN）不僅可以提供 IP 語(yǔ)音（VoIP）的諸多好處（例如收費(fèi)旁路），還可以提供移動(dòng)性。選擇 VoWLAN 功能的管理人員都希望通過(guò)用他們的802.11 數(shù)據(jù)網(wǎng)絡(luò)承擔(dān)語(yǔ)音功能，降低或者消除辦公樓內(nèi)移動(dòng)電話使用成本。集中化有助于支持高性能 VoWLAN對(duì)于自主解決方案而言，基于 802.11 的語(yǔ)音采用了與普通數(shù)據(jù)流量相同的底層協(xié)議，并通過(guò)在接入點(diǎn)和一個(gè)語(yǔ)音終端之間運(yùn)行 802.11e，提供了一些額外的功能。不幸的是，工作在相同信道的自主接入點(diǎn)無(wú)法協(xié)調(diào)它們的呼叫準(zhǔn)入控制（CAC）功能。而且，所有能夠接收到工作在相同信道的其他設(shè)備信號(hào)的設(shè)備都會(huì)受到共用信道干擾，而自主接入點(diǎn)并不能方便地解決這個(gè)問(wèn)題。利用思科統(tǒng)一無(wú)線網(wǎng)絡(luò)，無(wú)線局域網(wǎng)控制器可以為網(wǎng)絡(luò)提供可預(yù)測(cè)的 CAC。在這種統(tǒng)一網(wǎng)絡(luò)中，控制器擁有網(wǎng)絡(luò)中所有客戶(hù)端的整體視圖，以及同一信道中所有接入點(diǎn)之間的總呼叫容量。這種功能有助于確保當(dāng)一個(gè) VoWLAN 呼叫獲準(zhǔn)進(jìn)入思科統(tǒng)一無(wú)線網(wǎng)絡(luò)時(shí)，所有接入點(diǎn)可以提供足夠的語(yǔ)音容量。這樣，可以為網(wǎng)絡(luò)提供更加可預(yù)測(cè)、更加可靠的語(yǔ)音性能。3.3.4.9 降低總擁有成本較低的總擁有成本（TCO）讓機(jī)構(gòu)可以在不增加額外人手的情況下部署解決方案，從而降低網(wǎng)絡(luò)部署和維護(hù)所造成的負(fù)擔(dān)。這有助于改善機(jī)構(gòu)的經(jīng)營(yíng)狀況。對(duì)于17自主接入點(diǎn)部署方式，時(shí)間主要被用于安裝和初始化接入點(diǎn)，重新設(shè)置接入點(diǎn)，以及升級(jí)接入點(diǎn)。在一個(gè)包含 100 個(gè)接入點(diǎn)的自主接入點(diǎn)網(wǎng)絡(luò)中，如果一年為每個(gè)自主接入點(diǎn)花費(fèi) 30 分鐘，就相當(dāng)于一年花費(fèi) 3000 個(gè)人分鐘，或者 50 個(gè)人小時(shí)。在五年的折舊期中，就有超過(guò)一個(gè)月的時(shí)間被用于自主接入點(diǎn)的管理上不包括診斷客戶(hù)端和其他網(wǎng)絡(luò)組件問(wèn)題所用的時(shí)間。圖 3 為配置每個(gè)接入點(diǎn)付出的人力成本預(yù)測(cè)集中化有助于降低 TCO利用思科統(tǒng)一無(wú)線網(wǎng)絡(luò)，用戶(hù)不需要逐一配置 100 個(gè)網(wǎng)絡(luò)組件，而是只需要配置無(wú)線局域網(wǎng)控制器?？刂破鬟M(jìn)而再配置網(wǎng)絡(luò)中的所有接入點(diǎn)。另外，管理員不需要升級(jí)網(wǎng)絡(luò)中每個(gè)接入點(diǎn)的軟件，而是只需要升級(jí)無(wú)線局域網(wǎng)控制器的軟件，這樣所有輕型接入點(diǎn)都會(huì)同時(shí)得到升級(jí)。因?yàn)闊o(wú)線局域網(wǎng)控制器能夠搜索整個(gè)無(wú)線網(wǎng)絡(luò)，所以它可以協(xié)調(diào)信息和使用高級(jí)功能（例如定位），為診斷客戶(hù)端連接問(wèn)題提供支持。這些功能可以降低大型無(wú)線網(wǎng)絡(luò)的 TCO，同時(shí)減少診斷和管理網(wǎng)絡(luò)所需的成本。3.3.4.10 有線和無(wú)線整合有線和無(wú)線網(wǎng)絡(luò)的集成對(duì)于實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)控制、可擴(kuò)展性、安全性和可靠性具有重要的意義。為了支持企業(yè)級(jí)的無(wú)線應(yīng)用，必須提供覆蓋整個(gè)系統(tǒng)的無(wú)線局域網(wǎng)功能（例如安全策略、入侵防御、RF 管理、QoS 和移動(dòng)性）。使用輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器的 WLAN 可以方便地支持有線、無(wú)線局域網(wǎng)的整合，因?yàn)榭刂破鞴δ芸梢员患傻剿伎平粨Q和路由平臺(tái)之中。整合可以保護(hù)投資和精簡(jiǎn)成本18思科統(tǒng)一無(wú)線網(wǎng)絡(luò)提供了一個(gè)統(tǒng)一、創(chuàng)新的端到端網(wǎng)絡(luò)。它可以提供有力的投資保護(hù)，為有線和無(wú)線網(wǎng)絡(luò)確保一個(gè)安全、移動(dòng)、經(jīng)濟(jì)有效的交互式工作環(huán)境。這種使用輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器的統(tǒng)一網(wǎng)絡(luò)基礎(chǔ)設(shè)施，可以與集成到一系列思科交換、路由平臺(tái)中的獨(dú)立或者模塊化局域網(wǎng)控制器配合使用?？蛻?hù)可以通過(guò)添加一個(gè)模塊化無(wú)線局域網(wǎng)控制器（例如 Cisco Catalyst 6500系列 WiSM 或者用于集成多業(yè)務(wù)路由器的思科 WLCM），大幅度降低 TCO、減少支持成本，以及縮短計(jì)劃內(nèi)和計(jì)劃外斷網(wǎng)時(shí)間。思科統(tǒng)一無(wú)線網(wǎng)絡(luò)還支持網(wǎng)絡(luò)準(zhǔn)入控制（NAC）和思科兼容擴(kuò)展客戶(hù)端設(shè)備。用于 WLAN 的 NAC 可以通過(guò)在 WLAN 客戶(hù)端試圖進(jìn)入網(wǎng)絡(luò)時(shí)執(zhí)行設(shè)備安全策略，提供威脅防御功能。思科兼容擴(kuò)展計(jì)劃有助于推動(dòng)那些可以與思科 WLAN 基礎(chǔ)設(shè)施進(jìn)行互操作，并利用思科創(chuàng)新提高安全性、移動(dòng)性、服務(wù)質(zhì)量和網(wǎng)絡(luò)管理水平的客戶(hù)端設(shè)備的普及。3.3.4.11 總結(jié)思科統(tǒng)一無(wú)線網(wǎng)絡(luò)可以降低部署、管理無(wú)線網(wǎng)絡(luò)的復(fù)雜性；支持多種高級(jí)服務(wù)，例如語(yǔ)音、定位和訪客聯(lián)網(wǎng)；并且有助于確保有線、無(wú)線網(wǎng)絡(luò)的運(yùn)營(yíng)成本的可管理性。網(wǎng)絡(luò)集中和整合并不是新概念它最初是由蜂窩網(wǎng)絡(luò)運(yùn)營(yíng)商所提出的，進(jìn)而被引入到了 802.11 網(wǎng)絡(luò)之中。通過(guò)集中和整合，無(wú)線網(wǎng)絡(luò)將能夠擴(kuò)展到大型企業(yè)級(jí)部署，為用戶(hù)提供可靠的連接和移動(dòng)性。194.思科校園網(wǎng) WLAN 建設(shè)方案4.1 物理設(shè)計(jì)（部署）各區(qū)域 AP 數(shù)量統(tǒng)計(jì)（全校整體規(guī)劃）：AP 區(qū)域 AP 數(shù)量 AP 區(qū)域 AP 數(shù)量第二教學(xué)樓 55 學(xué)生公寓 5 27第三教學(xué)樓 47 學(xué)生公寓 6 60第四教學(xué)樓 113 學(xué)生公寓 7 60第五教學(xué)樓 129 學(xué)生公寓 8 154食堂 10 學(xué)生公寓 9 167圖書(shū)信息大廈 38 金鼎公寓 180教學(xué)實(shí)習(xí)樓 13 住宅 25第一實(shí)驗(yàn)樓 15 體育場(chǎng)（室外） 4第二實(shí)驗(yàn)樓 19 國(guó)教小體育場(chǎng)（室外） 2學(xué)生公寓 1（培訓(xùn)中心） 18 毓秀園（室外） 2學(xué)生公寓 2（數(shù)字領(lǐng)地） 18 古松園（室外） 2學(xué)生公寓 3 27 小廣場(chǎng)（室外） 1學(xué)生公寓 4 24 其他（室外） 3共計(jì)： 1213 其中本次方案僅針對(duì)以下部分樓宇（二期無(wú)線建設(shè)）：AP 區(qū)域 AP 數(shù)量圖書(shū)信息大廈 38具實(shí)際調(diào)查，XXXX 正在建設(shè)的一期無(wú)線工程采用的是 CISCO 的無(wú)線控制 4404加瘦 AP 的方案，故本次的二期無(wú)線建設(shè)方案也采用的 CISCO 的產(chǎn)品，便于統(tǒng)一管理。本次工程采用 AP 就近接入的原則，即每樓宇設(shè)備間新添交換機(jī)直接連至該樓匯聚設(shè)備上實(shí)現(xiàn)網(wǎng)絡(luò)連通，同時(shí)提供 POE 供電的功能；作為整個(gè)無(wú)線局域網(wǎng)絡(luò)的中央管理控制器，本次采用的是無(wú)線控制器 AIR-CT5508-100-K9,該控制器可擴(kuò)展至管理 250AP，便于今后的無(wú)線建設(shè)及擴(kuò)展；無(wú)線管理軟件 WCS 只需提供接口連接至網(wǎng)絡(luò)即可實(shí)現(xiàn)其管理功能。具體的邏輯組網(wǎng)圖如下圖所示： 20無(wú)線網(wǎng)絡(luò)組網(wǎng)如下圖所示：無(wú)線控制器核心交換機(jī)室內(nèi)無(wú)線接入點(diǎn)選擇 AIR-LAP1131AG-C-K9，均使用全向天線實(shí)現(xiàn)覆蓋；無(wú)線控制器選擇 AIR-CT5508-100-K9。使用 POE 交換機(jī) WS-C2960-24PC-L 為 AP 提供電源，個(gè)別設(shè)備間點(diǎn)位較少情況下可使用 Power Injector 供電模塊利用原有網(wǎng)絡(luò)資源實(shí)現(xiàn)供電功能。無(wú)線網(wǎng)絡(luò)管理采用思科無(wú)線控制系統(tǒng)（WCS），為無(wú)線網(wǎng)絡(luò)運(yùn)行提供 RF 預(yù)測(cè)、策略配置、網(wǎng)絡(luò)優(yōu)化、排障、用戶(hù)跟蹤、安全監(jiān)控等支持。4.1.1 無(wú)線覆蓋方案4.1.1.1 覆蓋區(qū)域此次無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn) XXXX 全校部分范圍無(wú)線網(wǎng)絡(luò)接入環(huán)境，其中本次僅實(shí)施圖書(shū)信息大廈。4.1.1.2 設(shè)計(jì)指標(biāo)、原則及覆蓋方式設(shè)計(jì)原則：無(wú)線覆蓋設(shè)計(jì)將遵循按照信號(hào)范圍最大化原則，在全校全面覆蓋的前提下，重點(diǎn)選擇部分區(qū)域進(jìn)行更加細(xì)膩的覆蓋。并且，保證無(wú)線網(wǎng)絡(luò)穩(wěn)定性并與絕大多數(shù)主流無(wú)線網(wǎng)卡兼容，同時(shí)兼顧考慮網(wǎng)絡(luò)擴(kuò)容，為今后網(wǎng)絡(luò)擴(kuò)容做好預(yù)留。21設(shè)計(jì)指標(biāo)：各信號(hào)輸出點(diǎn)信號(hào)強(qiáng)度 1015dbm；將按照 2.4G 工作頻段2.4122.462GHz（FCC）分為 channel1、channel6、channel11 三個(gè)完全不干擾頻段設(shè)計(jì)；目標(biāo)覆蓋區(qū)域信號(hào)強(qiáng)度-80dbm。1、一般來(lái)講室內(nèi)容許最大覆蓋距離為 35100 米室外容許最大距離 100400 米2、障礙物阻擋要觀測(cè)無(wú)線覆蓋周?chē)恼系K物確定 AP 的數(shù)量和放置位置。2.4G 電磁波對(duì)于各種建筑材質(zhì)的穿透損耗的經(jīng)驗(yàn)值如下：A. 水泥墻(1525cm): 衰減 1012dBB. 木板墻(510cm): 衰減 56dBC. 玻璃窗(35cm): 衰減 57dB各種建筑材料對(duì)無(wú)線訊號(hào)的影響如下： 當(dāng) AP 與終端隔一座水泥墻時(shí),AP 的可傳送覆蓋距離約剩下 5 米有效距離。 當(dāng) AP 與終端中間隔一座木板墻時(shí), AP 的傳送距離約剩下 15 米有效距離。 當(dāng) AP 與終端中間隔一座玻璃墻時(shí), AP 的傳送距離約剩下 15 米 有效距離。所以在安裝選點(diǎn)時(shí)，一定要注意以避開(kāi)墻、柱子等覆蓋方式：在覆蓋區(qū)域內(nèi)，選擇教學(xué)樓，辦公樓及學(xué)生宿舍為主，其他區(qū)域?yàn)檩o的覆蓋方式，實(shí)現(xiàn)全校整體無(wú)線覆蓋。具體分為室內(nèi)覆蓋和室外覆蓋兩種方式，其中室外覆蓋部分包含部分區(qū)域采用 Mesh 方式進(jìn)行覆蓋。根據(jù)國(guó)家無(wú)線電管理委員會(huì) 1997 年2.4GHz 頻段的管理辦法中規(guī)定的場(chǎng)強(qiáng)標(biāo)準(zhǔn)，選配不同技術(shù)規(guī)格的全向天線、扇區(qū)天線，既要考慮到每個(gè)信號(hào)輸出點(diǎn)的電頻強(qiáng)度，又要顧及信號(hào)對(duì)人體可能存在的危害，達(dá)到“綠色環(huán)保”的效果。經(jīng)過(guò)現(xiàn)場(chǎng)的覆蓋區(qū)域現(xiàn)場(chǎng)勘測(cè)后，對(duì)無(wú)線覆蓋區(qū)域進(jìn)行詳細(xì)描述224.1.1.3 室內(nèi)覆蓋室內(nèi)覆蓋規(guī)劃原則： AP 的放置要遵循兩個(gè)原則 AP 覆蓋區(qū)域無(wú)間隙； AP 重疊區(qū)域最小。相鄰 AP 工作在不同頻道，以 1， 6，11 三個(gè)頻道實(shí)現(xiàn)全方位的覆蓋。 根據(jù)經(jīng)驗(yàn)值，當(dāng)相鄰 AP 設(shè)定相同頻點(diǎn)時(shí), 要求間隔 25 米以上；當(dāng)相鄰AP 設(shè)定相鄰頻點(diǎn)時(shí), 要求 AP 間隔 16 米以上；當(dāng) AP 設(shè)定相隔頻點(diǎn)時(shí), 要求間隔 12 米以上。室內(nèi)典型環(huán)境覆蓋（一）主要特點(diǎn)是：環(huán)境開(kāi)闊、用戶(hù)數(shù)量相對(duì)集中、對(duì)帶寬需求較高，主要用戶(hù)群是校內(nèi)教師、學(xué)生，例如：多功能廳、會(huì)議室、報(bào)告廳，圖書(shū)館等。主要用戶(hù)群：校領(lǐng)導(dǎo)、教師以及來(lái)訪用戶(hù)，用戶(hù)使用環(huán)境相對(duì)封閉。室內(nèi)典型環(huán)境覆蓋（二）環(huán)境特點(diǎn)是：房間多、用戶(hù)數(shù)量不多但分布較分散的樓宇，樓長(zhǎng)、墻體結(jié)構(gòu)厚、房間多，用戶(hù)無(wú)線應(yīng)用也比較頻繁。主要用戶(hù)群是校內(nèi)教師、學(xué)生。如：教學(xué)樓、實(shí)驗(yàn)樓等。這個(gè)典型環(huán)境包括：教學(xué)樓、實(shí)驗(yàn)樓等。該環(huán)境下，覆蓋 AP 安裝樓道內(nèi)，通過(guò)內(nèi)置天線覆蓋樓道兩側(cè)房間，微波通過(guò)房間的門(mén)窗傳輸?shù)绞覂?nèi)，實(shí)現(xiàn)了比較細(xì)膩的覆蓋環(huán)境，AP 通過(guò)有線接入到樓層交換機(jī)。23圖書(shū)信息大廈覆蓋設(shè)計(jì)圖書(shū)信息大廈可分為圖書(shū)館和信息樓 2 部分，其中圖書(shū)館部分共 7 層，信息樓部分共 4 層（3-4 層為整體大機(jī)房）。1 層 AP 分布圖見(jiàn)下，本層布置 AP 數(shù)量 7 個(gè)A PA PA PA PA PA P A P標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，信息樓部分直接布置于屋內(nèi)墻上壁掛放置，正常情況下每 AP 帶用戶(hù)10-20 人，高峰情況下可能增加至 30-40 人2 層 AP 分布圖見(jiàn)下，本層布置 AP 數(shù)量 8 個(gè)A P A PA P A PA PA P A PA P24標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，信息樓部分直接布置于屋內(nèi)墻上壁掛放置，正常情況下每 AP 帶用戶(hù) 10-20 人，高峰情況下可能增加至 30-40 人3 層分布圖見(jiàn)下，本層布置 AP 數(shù)量 7 個(gè)標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，信息樓部分直接布置于屋內(nèi)墻上壁掛放置，正常情況下每 AP 帶用戶(hù) 10-20 人，高峰情況下可能增加至 30-40 人4 層分布圖見(jiàn)下，本層布置 AP 數(shù)量 4 個(gè)A PA P A PA PA PA P A PA P A PA P A P25標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，信息樓部分為 3 層機(jī)房上空，正常情況下每 AP 帶用戶(hù) 10-20 人，高峰情況下可能增加至 30-40 人5 層分布圖見(jiàn)下，本層布置 AP 數(shù)量 4 個(gè)標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，由該層起信息樓部分無(wú)，正常情況下每 AP 帶用戶(hù) 10-20 人，高峰情況下可能增加至 30-40 人6 層分布圖見(jiàn)下，本層布置 AP 數(shù)量 4 個(gè)A P A PA P A PA P A PA PA P26標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，由該層起信息樓部分無(wú)，正常情況下每 AP 帶用戶(hù) 10-20 人，高峰情況下可能增加至 30-40 人7 層分布圖見(jiàn)下，本層布置 AP 數(shù)量 4 個(gè)標(biāo)示 AP 位置，如圖所示，該層圖書(shū)館基本是一個(gè) AP 覆蓋 2 間閱覽室，布置于屋頂，由該層起信息樓部分無(wú)，正常情況下每 AP 帶用戶(hù) 10-20 人，高峰情況下可能增加至 30-40 人統(tǒng)計(jì) AP 數(shù)量如下：圖書(shū)館部分：各層均為 4AP，共 28AP信息樓部分：一層 3AP，二層 4AP，三層 3AP，共 10AP設(shè)備間位置計(jì)劃以樓層為單位劃分：圖書(shū)館部分，1-3 層一個(gè)設(shè)備間，AP 統(tǒng)一由原有橋架引至 2 層設(shè)備間中的POE 交換機(jī)上， AP 數(shù)量為 12 個(gè)，故該設(shè)備間配備 1 臺(tái) 24 口 POE 交換機(jī)；4-7 層一個(gè)設(shè)備間，AP 統(tǒng)一由原有橋架引至 5 層設(shè)備間中的 POE 交換機(jī)上，AP 數(shù)量為16 個(gè)，故該設(shè)備間配備 1 臺(tái) 24 口 POE 交換機(jī)。信息樓部分，4 層共用一個(gè)設(shè)備間，AP 統(tǒng)一由原有橋架引至 2 層設(shè)備間中的POE 交換機(jī)上， AP 數(shù)量為 10 個(gè)，故該設(shè)備間配備 1 臺(tái) 24 口 POE 交換機(jī).各設(shè)備間 POE 交換機(jī)通過(guò)光纖連接至校園網(wǎng)絡(luò)內(nèi)?？傮w統(tǒng)計(jì)，AP 數(shù)量 38 個(gè)，POE 交換機(jī) 3 臺(tái) A P A PA PA P27以上所有布線標(biāo)準(zhǔn)均采用 6 類(lèi)布線系統(tǒng)標(biāo)準(zhǔn)，走線過(guò)程中雙絞線敷設(shè)保護(hù)線槽并固定牢靠，布線完畢整體進(jìn)行測(cè)試，測(cè)試達(dá)標(biāo)后再開(kāi)始布置 AP；線纜兩端按定義規(guī)則貼對(duì)應(yīng)標(biāo)簽進(jìn)行識(shí)別。布置 AP 前，按統(tǒng)一標(biāo)準(zhǔn)為 AP 自身粘貼打印標(biāo)簽，標(biāo)識(shí)自身命名、MAC 地址、上聯(lián)交換機(jī) IP 及交換機(jī)端口。4.2 邏輯設(shè)計(jì)4.2.1 SSID 和 VLAN根據(jù)高校實(shí)際情況和應(yīng)用需求，建議學(xué)校園區(qū)使用 SSID 如下1. 數(shù)據(jù)服務(wù) SSIDData-SSID：基于三層的 Web 認(rèn)證；2. 根據(jù)所部署校園的需求，可能還有為訪客服務(wù)的 SSIDGuest-SSID，為訪客/中國(guó)移動(dòng)漫游客戶(hù)接入提供特定 VLAN 的訪問(wèn)上述 SSID 原則上均是全部可以廣播出去，提供對(duì)外服務(wù)的。也可以根據(jù)實(shí)際部署需求進(jìn)行靈活定制。比如學(xué)校的某些特定場(chǎng)所，不允許訪客進(jìn)入的/或者不允許訪客在此無(wú)線上網(wǎng)的，此處的 AP 可以不用開(kāi)啟 Guest-SSID。為了有效的隔離廣播域，提高校園無(wú)線網(wǎng)絡(luò)的性能，建議采用思科 AP-Group技術(shù)，將所有 AP 劃分不同的組（Group），每一組 AP 為一個(gè) VLAN。300 個(gè) AP 的校園無(wú)線覆蓋典型環(huán)境下，支持同一 SSID 的所有 AP，按照 AP 所處樓層、校區(qū)位置劃分為不同的 AP-Group，客戶(hù)端接入不同 AP-Group 時(shí)被分割到不同的 VLAN，獲得不同網(wǎng)段的 IP 地址。建議根據(jù)用戶(hù)實(shí)際情況（應(yīng)用類(lèi)型、上網(wǎng)人數(shù)等），每個(gè)數(shù)據(jù)類(lèi) AP-Group 不超過(guò) 30 個(gè) AP284.2.2 地址和路由4.2.2.1 無(wú)線用戶(hù)接入地址和路由規(guī)劃根據(jù)高校接入用戶(hù)的數(shù)量，并預(yù)留一定擴(kuò)展能力的前提下，建議： 4 個(gè) C 類(lèi)地址段(C1C4)，共 1000 個(gè)地址，用于數(shù)據(jù)/訪客用戶(hù)接入地址分配 C1，共 250 個(gè) IPv4 地址，作為 Data-SSID 客戶(hù)端地址；對(duì)應(yīng)VLAN100，每個(gè) VLAN 一個(gè) C 類(lèi) IPv4 地址段； C2，共 250 個(gè) IPv4 地址，作為 Guest-SSID 客戶(hù)端地址（如果部署訪客SSID）；對(duì)應(yīng) VLAN149，一個(gè) C 類(lèi) IPv4 地址段； C3-C4，共 750 個(gè) IPv4 地址，作為保留地址池 每個(gè)與 SSID 對(duì)應(yīng)的 VLAN，需要分配一個(gè) IPv4 地址給無(wú)線控制器，作為 IP-DHCP-Relay 等功能的源地址 也可以根據(jù)具體情況減少每個(gè) AP-Group 的 AP 數(shù)量，增多 AP-Group 數(shù)量（即增加 VLAN 數(shù)），也同時(shí)把保留的地址段分給新 VLAN，避免 VLAN內(nèi)用戶(hù)激增使 VLAN 內(nèi)用戶(hù)過(guò)多而地址不夠無(wú)線用戶(hù)在地址分配方式上建議采用 DHCP 動(dòng)態(tài)地址分配，配置外置 DHCP 服務(wù)器實(shí)現(xiàn)。無(wú)線控制器對(duì)無(wú)線客戶(hù)端的 DHCP Request 進(jìn)行 DHCP Proxy 的操作（源地址為 WiSM 的 VLAN 接口地址）。4.2.2.2 無(wú)線網(wǎng)絡(luò)地址和路由規(guī)劃對(duì)于無(wú)線接入點(diǎn) AP，基本原則：雖然瘦 AP 支持通過(guò) DHCP 動(dòng)態(tài)獲取 IP 地址，但是從運(yùn)營(yíng)管理的角度，本方案建議采用靜態(tài) IP 地址。如果 AP 連接在現(xiàn)有校園網(wǎng)的接入交換機(jī)，則 IP 地址由現(xiàn)有校園網(wǎng)有線端提供，雖然從原理上來(lái)講 AP 和無(wú)線控制器的 AP-Manager 只要 IP 可達(dá)即可創(chuàng)建并維護(hù)數(shù)據(jù)/控制隧道，但是從性能/可管理性等角度出發(fā)，建議在滿(mǎn)足下列條件的前提下可以將 AP 接入現(xiàn)有網(wǎng)絡(luò)交換機(jī)： AP 和無(wú)線控制器的 AP-Manager 之間端到端環(huán)回延遲(round trip delay)屋內(nèi)東邊測(cè)試-西邊測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度大約均為-5581第四教學(xué)樓該樓分為東西 2 個(gè)區(qū)域，樓內(nèi)均為大辦公室或教室，在各屋內(nèi)放置即可，未測(cè)試第五教學(xué)樓該樓選取測(cè)試點(diǎn)位于 4 樓東北側(cè) 404 房間外，紅色標(biāo)示為 AP 放置點(diǎn)，黃色標(biāo)示為信號(hào)測(cè)試取值點(diǎn)82測(cè)試結(jié)果見(jiàn)下，該圖為由室外 AP 處-402 測(cè)試點(diǎn)-404 測(cè)試點(diǎn)-406 測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度 402 約為-62，404 及 406 均約為-55第一實(shí)驗(yàn)樓該樓選取測(cè)試點(diǎn)位于 2 樓辦公室外，紅色標(biāo)示為 AP 放置點(diǎn)，黃色標(biāo)示為信號(hào)測(cè)試取值點(diǎn)83測(cè)試結(jié)果見(jiàn)下，該圖為由室外 AP 處-物理 1 測(cè)試點(diǎn)-辦公室里間測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度物理 1 約為-60，辦公室約為-55第二實(shí)驗(yàn)樓該樓選取測(cè)試點(diǎn)位于 4 樓西面 418，420 之間，紅色標(biāo)示為 AP 放置點(diǎn)，黃色標(biāo)示為信號(hào)測(cè)試取值點(diǎn)測(cè)試結(jié)果見(jiàn)下，該圖為由室外 AP 處-421 測(cè)試點(diǎn)-420 測(cè)試點(diǎn)-418 測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度 421 約為-55，420 約為-52 ，418 約為-5884圖書(shū)館( 老圖書(shū)館 )該樓選取測(cè)試點(diǎn)位于 2 樓辦公室走廊處，閱覽室屋內(nèi)覆蓋即可，紅色標(biāo)示為 AP 放置點(diǎn)，黃色標(biāo)示為信號(hào)測(cè)試取值點(diǎn)85測(cè)試結(jié)果見(jiàn)下，該圖為由室外 AP 處-采編辦公室測(cè)試點(diǎn) -辦公室測(cè)試點(diǎn)-會(huì)議室測(cè)試點(diǎn)- 雜貨室測(cè)試點(diǎn) -館長(zhǎng)室測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度辦公室會(huì)議室均約為-55，雜貨室約為-60學(xué)生公寓 7該樓選取測(cè)試點(diǎn)位于 1 樓右手 113 和 115 房間外，閱覽室屋內(nèi)覆蓋即可，紅色標(biāo)示為AP 放置點(diǎn)，黃色標(biāo)示為信號(hào)測(cè)試取值點(diǎn)測(cè)試結(jié)果見(jiàn)下，該圖為由室外 AP 處-115 測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度約為-5586學(xué)生公寓 8該樓選取測(cè)試點(diǎn)位于 1 樓左手 113 和 115 房間外，閱覽室屋內(nèi)覆蓋即可，紅色標(biāo)示為AP 放置點(diǎn)，黃色標(biāo)示為信號(hào)測(cè)試取值點(diǎn)測(cè)試結(jié)果見(jiàn)下，該圖為由室外 AP 處-117 測(cè)試點(diǎn)信號(hào)強(qiáng)度顯示，取值點(diǎn)信號(hào)強(qiáng)度約為-5587測(cè)試覆蓋范圍內(nèi)信號(hào)強(qiáng)度基本都在-60 以上，滿(mǎn)足使用要求889. 結(jié)束語(yǔ) 展望未來(lái)，借助于新的無(wú)線網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)，XXXX 將能夠充分利用無(wú)線技術(shù)，并更快和更有效率的將這些技術(shù)集成到日常網(wǎng)絡(luò)運(yùn)行維護(hù)中。 部署思科一體化無(wú)線網(wǎng)絡(luò)架構(gòu)下的無(wú)線網(wǎng)絡(luò)解決方案，建立企業(yè)級(jí)管理系統(tǒng)、生產(chǎn)和科研系統(tǒng)之間的緊密連接，實(shí)現(xiàn)辦公系統(tǒng)、生產(chǎn)科研系統(tǒng)與運(yùn)作流程的無(wú)縫集成，將使 XXXX 節(jié)約成本和提高效率！