南京大学新校区WLAN网络建设方案.doc

1、XX 大学无线网络设计方案思科系统（中国）2011 年 6 月目录第 1 章 XX 大学校园网 WLAN 应用需求 .31.1 全方位接入校园网需求 31.2 基于 WLAN 网络的移动多媒体业务需求 31.3 满足校园特点的安全和可靠性 31.4 高性能的 IPv6 和 IPv4 无线接入 .41.5 满足生产、运营网络要求的运维和管理 41.6 支持用户全网漫游 41.7 灵活部署、易于扩展、高性价比 5第 2 章 无线网络部署原则 62.1 WLAN 业务系统部署要求 .62.2 完善的多媒体 Qos 机制 .72.3 无线安全性 72.4 WLAN 的安全快速漫游 .7第 3 章 无线

2、网络覆盖方案设计 83.1 无线网核心层部署 83.2 接入层 83.3 思科接入高密度客户端的无线部署解决方案 93.4 统一身份认证 123.5 用户下线和权限修改 163.6 高可靠性设计 163.7 基础网络安全 183.8 与运营商的业务合作 193.9 无线网络统一管理 20第 4 章 无线应用解决方案 264.1 无线网络定位解决方案 264.2 无线用户及应用区分解决方案 264.3 无线系统与后台系统的融合 28第 5 章 思科无线解决方案技术优势 295.1 ClientLink 技术-保证拥有 802.11a/g 终端的师生高速稳定链接 295.2 Video Strea

3、m 技术-保证了校园内的视频应用 .315.3 Band Select 技术-将双频用户自动引导到干扰更小的 5G 信道 .335.4 VLAN Group 及 VLAN multicast 功能-减少了校园网内的广播域同时增强了组播视频的优化 345.5 全方位支持 RFC3576 .365.6 思科无线底层安全机制- CleanAir 技术 365.7 思科无线安全技术特点 37第 6 章 思科无线方案行业优势总结 43第 1 章 XX 大学校园网 WLAN 应用需求1.1 全方位接入校园网需求1.1.1基础网络接入需求随着校园网络信息化的普及，人们越来越要求尽可能方便、快速、移动式的使用

4、网络，同时，随着笔记本电脑的普以及无线网卡产品的价格逐步降低，越来越多的人拥有无线网络客户端产品，学校需要能够使得在很多有线网络无法延伸到的场合，以及如大型教室、礼堂、会议室、图书馆体育场馆等场所，也同样能够访问校园网络，最大程度延伸网络半径，真正让网络渗透到校园的每个角落。1.2 基于 WLAN 网络的移动多媒体业务需求1.2.1移动多媒体办公需求当在学校举行大型活动时，可以通过无线网络提供视频直播和为无线数码相机提供即拍即传业务。1.2.2移动多媒体教学需求随着教育教学的扩展，已有的固定课堂模式已不能满足现有学生学习的需求，无线校园网需要能够提供广大师生任何时间、任何地点的接入教学网络，提

5、供课堂远程教学、师生视频交互平台、师生视频会议等需求。1.3 满足校园特点的安全和可靠性XX 大学校园无线网的目标是建设一个可收费的、可运营网络，这样的定位对可靠性、安全、加密和非授权用户的控制提出了更明确的要求： 支持精确的无线入侵、射频干扰、非法 AP 定位和隔离 支持无线频谱分析，保证校园射频层面的安全 冗余的多服务控制保证校园复杂接入环境的安全无线接入 同时支持端到端的网络可靠性保证技术。1.4 高性能的 IPv6 和 IPv4 无线接入现在建设高校无线网络，除了要考虑对现有 IPv4 网络终端的无线接入，满足当前高校师生对无线网络的需求外；又要支持高性能的 IPv6 的用户接入，以适

6、应网络发展趋势，并保护网络投资。1.5 满足生产、运营网络要求的运维和管理1.5.1基于个人用户的运营管理无线网络系统需要支持运营管理功能，能够根据单个用户实现用户管理，包括：认证、计费、安全控制、QoS 控制等。1.5.2满足生产、运营网络要求的运维和管理校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的管理功能，方便未来无线网络的运维管理室内、室外、Mesh 系统一体化控制：所有 AP 均工作在同一 Controller 群组(cluster)管理下，可在全网范围内实现无缝漫游、设备定位、自动射频管理和安全控制可分级的一体化网络管理系统：有线、无线网络管理相结合，集中

7、与分布式管理相结合，为运营维护提供高效率和低成本。1.6 支持用户全网漫游校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证 IP 地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。1.7 灵活部署、易于扩展、高性价比为方便校园网络的部署和未来维护的方便性，校园无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，校园无线网络要具有良好的性价比。第 2 章 无线网络部署原则通过分析和实践，XX 大学 WLAN 的成功实现必须考虑多方面因素，这样才能确保在 WLAN 网络上实现数据、多媒体传输。WLAN 网络的原

8、理决定了 WLAN 的系统不可能象 GSM 系统或者 3G 系统那样建立确保的可以提供语音、多媒体的链路，所以，我们在设计的过程中应该考虑如下一些方面，这样才能确保我们的实现，总体的设计原则如下1、 在部署多媒体网络之前，需要有预先的设计和规划，确保 WLAN 网络的容量和覆盖程度适合多媒体的传递2、需要提供完善的 QoS 机制，已保证多媒体的优先传输3、针对多媒体的特点，在无线控制层面需要对无线特性进行控制，比如功率的协商、多媒体准入控制能力、多媒体包的转发机制等4、需要提供基于 WLAN 机制的电池节电方法，以保证 WiFi 多媒体终端的可用性5、无线多媒体系统的安全如何保证6、无线多媒体

9、系统的快速漫游机制以保证多媒体系统切换对多媒体的影响7、天线的选取和 AP 的部署方法2.1 WLAN 业务系统部署要求信号强度要求室内环境对于一个有保障的多媒体无线系统，对无线蜂窝之间信号强度和信噪比也有特殊的要求，室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-67dBm 至-70dBm，信道之间的信号强度差异应至少大于 19dBm，信号重叠区域在 20。室外环境室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-75dBm 至-78dBm，同信道之间的信号强度差异应至少大于 19dBm。信号重叠区域在 20，保障无线多媒体传输的正常运用。信躁比要求室内环境室内环境相对比较干净，室内环境噪

10、音一般不会高于-95dBm，多媒体业务的信躁比要求应不低于 20dBm。室外环境室外环境相对比较复杂，室外环境噪音一般在-90dBm 左右，多媒体业务的信躁比要求应不低于 15dBm。2.2 完善的多媒体 Qos 机制在无线网络系统中，如果通过同一个 AP 提供多媒体、数据等服务，我们必须有Qos 保证机制，要求支持 WMM 国际标准，支持 WMM 及 WMM Power Save 功能，以保证有质量的多媒体传输。2.3 无线安全性多媒体业务通过无线网络进行传输的时候，我们不得不可虑其多媒体业务的安全性，安全性包括了用户的身份认证和多媒体流的加密。本次设计中除考虑无线数据传输的安全性外还必须提

11、供有效机制保障无线多媒体安全性。2.4 WLAN 的安全快速漫游在无线多媒体系统里，多媒体的漫游机制会大大影响多媒体的通话效果，尤其在切换的时候，如果漫游时间过长，那么程度稍轻的会产生通话质量影响，严重情况下，会导致多媒体通话中断。所以， WLAN 的快速漫游机制是多媒体网络的至关重要的问题。第 3 章 无线网络覆盖方案设计3.1 无线网核心层部署*3.2 接入层3.2.1 室内 AP3.2.1.1 室内 AP 选型：室内 AP 的选择需要考虑三个方面 网络工作频段考虑到园区接入密度和多媒体吞吐量的要求，建议采用双频 802.11a/g/n 的AP，在 2.4G 上主要提供单频 11g 的终端

12、、手机等的接入，在 5G 上主要实现笔记本电脑和平板电脑的接入 网络容量和性能XX 大学的无线网络是以提供学校应用为最终目标而建设的网络平台。为了满足学校多媒体业务，包括视频、语音等方面的需求，带宽需求则是一切业务的首要基础。所以本次室内将部署 cisco 支持 802.11n 技术的 AP，支持在 2.4G 和 5G 频段下实现802.11n 技术。在 802.11G 下最高可提供 144M 带宽、在 802.11A 下最高可提供 300M带宽，完全可以满足各种多媒体业务的需求。同时利用 802.11n 技术的 MIMO（多输入多输出技术）、MRC（最大合并比）、数据包聚合等技术还提供远超传

13、统 AP 的高稳定性的网络。并且在客户端不支持 802.11n 的情况下也可以提供 A/B/G 的接入，网络性能提高 30。 AP 安装由于 XX 大学校园建筑结构美观复杂，所以为了不破坏建筑内部的装修环境思科提供了 AP 外观简洁（白色方形）且最厚处厚度仅有 3.3 厘米的厚度很适合在允许的区域内安装在天花板顶部或墙壁上。这样既不影响建筑外观对安装位置也没有环境要求。3.2.1.2 室外 AP 选型：结合 XX 大学应用需求，对室外 AP 选择时我们考虑以下方面： 室外 AP AP 环境生存能力AP 可以在温度-20 到 55C，湿度在 10 到 90的情况下有效工作。同时通过室外安装盒，可

14、以提供有效提供防水功能。可以完全满足学校业务需求。 AP 的覆盖能力室外 AP 可以通过可选择的定向天线或全向天线提供不同环境场合的覆盖， AP 的信号覆盖只是覆盖能力的一方面，信号有了，但未必数据可以传输，这和客户端的功率也有很大的关系。可以通过 MRC 技术有效保证在 100M 时 client 信号也能准确回传，保证无线网络的通信。 AP 的网络容量相对与室内 AP，室外 AP 的容量考虑也是非常重要的一点，特别是对一些重点区域，如体育场、广场等，人员容易聚集，cisco 11nAP 在 802.11G 下最高可提供 144M带宽、在 802.11A 下最高可提供 300M 带宽，完全可

15、以满足各种多媒体业务的需求3.3 思科接入高密度客户端的无线部署解决方案XX 大学对于像图书馆，教学楼阶梯教室及宿舍楼等地段，由于人数较多一个 AP远远达不到覆盖要求，需要在一个较小空间里部署多个 AP，以满足客户高密度无线使用需求。在无线用户高密度区域我们需要考虑到以下一些问题： 共信道干扰 射频传输 射频干扰 环境噪音 客户端数据传输速率 客户端传输功率 老实遗留客户端 聚合信道容量 接入点客户端容量 客户端应用要求3.3.1接入点和信道容量： 5GHz 的战略之道高密度客户环境中比较好的设计方法是首先确定在多大覆盖范围内支持多少用户。第二件事便是考虑应用需求，即需要的所有带宽。因为在一个

16、做满学生的教室里用户间偶尔交换文本和大家在休息时间都下载 MP3 文件，这两者对设计要求是大为不同的。思科一般推荐在礼堂环境中为每个 AP 设计支持 40 到 50 个用户，在礼堂中一般有大的共信道干扰，而且相对于其他因素，更受用户数和用户的接近程度的影响，因此信道容量是主要的设计考虑。在过去 3 年左右的时间里，大部分已出货的笔记本电脑都同时支持 2.4GHz（802.11b/g） 和 5GHz （802.11a）。思科强烈推荐在礼堂环境中使用双模 AP，即同时支持 2.4GHz （3 个信道） and 5GHz （21 个信道） ，以增加可用信道数，并降低交叉干扰信道的数量。Windows

17、 操作系统进行默认 Wi-Fi 信道搜索时，从 5GHz 频段的 36 信道开始，一直搜索完所有可使用的的 5GHz 信道。如果没有发现 5GHz 的接入点可用，它就会从1 信道开始继续搜索 2.4GHz 频段的可用信道。用户设备总是首先尝试接入 5GHz 的接入点，除非改变 Windows 操作系统默认配置或者用户选择了第三方 Wi-Fi 设备将优先频谱设定到 2.4GHz。苹果（Apple）公司最新发布的采用 Atheros 和 Broadcom 芯片组的终端也设计为首先搜索 5GHz 频段。最终，所需要的 AP 的数量还是由应用需求决定。例如，假设只需要支持 2.4GHz频段，可以在两米

18、内放置 3 个 AP，使用 1，6，和 11 信道，如果有 300 个用户需要接入，而你的目标只是让用户能够连接上来，这个设计没有问题，如果所有用户需要同时接入网络的话，每个信道就会有许多冲突而降低吞吐量。如果每个 AP/信道设计50 个用户，就需要 6 个 AP，但是由于只有三个可用信道的限制，问题就比较复杂，因为用户和 AP 的接近程度成为一个问题。你要保证重用的信道距离彼此尽可能远来降低来自 AP 和客户的共信道干扰。你也可以降低 AP 的功率来限制单元大小，但这并不能改善太多。例如，假设你将功率降低到 0 dBm，客户设备就会受到影响。大部分客户设备不能工作在低于 1dBm 功率下，而

19、且 AP 的功率低于系统的噪声本底（noise floor ）。这种情况下增加 5GHz 信道，就能大大简化设计，部署，加大系统支持的容量。下一部分将讨论如何最大化使用 2.4GHz 频段。即使你在使用 5GHz 频段，这一部分知识也将十分有用。3.3.2信道容量：2.4GHz因此，基于高密度部署的目的，我们的方向是尽力创造有效的信道设计。由于2.4GHz 和信道数的限制，我们必须从楼层空间的角度创造一个个可能小的蜂窝以便信道可以重用。从楼层空间角度看，小尺寸蜂窝的信道几乎总有支持任何应用的数据速率。设计的挑战就在于通过管理信道使用率来保持吞吐量。按照设计偏好排序，有几条建议可以用来将效率最大

20、化同时维持小的楼层信道。由于每一条都可以促使在信道中获得尽可能高的效率，所以推荐尽量使用这些建议： 禁用 802.11b； 如果不能避免使用 802.11b，通过设定最小支持的数据速率为 11Mbps； 设定 802.11g 最低支持的数据速率为 12Mbps；混合 802.11b/g 客户端信道的最大蜂窝吞吐量为 13Mbps，这是一个最优值，实际吞吐量会比该最优值降低一些。802.11 协议只有两种方式来应对恶劣的射频环境：通过数据包重传，或者降低数据传输速率减少错误发生来得到更好一些的吞吐量。如果问题是由超负荷利用的信道引起的，那么重传数据包将会进一步增加信道的利用率。如果无线设备发现太

21、多的重传发生，它便会下调数据传输速率，而速率降低将会导致无线设备不再能够在同样的时间内发送相同的数据量，同时也会增加信道的利用率。事实上这两种方式都不能使得问题得到改善，而是使得情况变得更加恶劣。所以我们的目标是在问题发生之前最大限度地提高效率。另外，低数据传输速率会增加该信道蜂窝覆盖的尺寸，低数据速率能够以更低的信噪比来工作，并且更能提升对噪声的容纳程度，这种机制扩展了无线局域网的可达范围，从而使客户端能在微弱的信号强度下从更远的距离进行连接。而利用更高的数据速率，你可以控制蜂窝的覆盖范围，同时在大多数情况下改善漫游性能。我们还需要考虑其他一些因素，一个混合 802.11b/g 客户端的蜂窝

22、必须工作在 802.11g 保护机制下，利用 802.11 清除发送帧（CTS frames）来工作，这意味着在网络中会有更多的开销帧。配置为只支持 802.11g 可以防止以上情况发生。3.3.3共信道干扰最小时的最大射频功率既然我们已经确定支持什么样的以及如何维持好的逻辑蜂窝尺寸，下一个任务将是给客户提供无线信号，反之亦然。我们所讨论过的所有事情都与减少信道内的其它射频足迹相关联，对于天线的选择亦然。例如在大的礼堂中大致有两种安置选择，在天花板上或者墙上。在这两种情况中，低增益的分集（Diversity）天线都是好的选择，不论是全向天线还是板状天线。为什么需要分集天线呢？分集天线对多径失真

23、/衰减具有超强的抵抗能力。靠近发射器或接收器的反射表面会产生信号传输的多条路径，这会产生多径失真/衰减。在接收方，由于无线信号经过长短不一的路径传输，到达的时间会稍微有所不同。相位随着路径不同而移动是正常现象，这会导致信号衰减或者符号数据的严重失真。分集式天线支持接收方在补偿位置上接收数据；更强和更容易理解的信号将被用来进行解调。无线接入点/天线的布置对于减少多径效应方面也扮演着重要角色，应避免把无线接入点/天线布置在反射表面附近。例如，如果天花板是钢横梁结构，那么不要把无线接入点直接布置在横梁上，应把无线接入点/天线布置在离反射表面几个波长距离远的地方能够大大地改善性能。3.4 统一身份认证

24、目前，XX 大学已经有完善的用户认证和计费系统。认证系统为全校校园网用户维护统一的身份数据库。用户分为不同的组，每个用户组有相应的访问授权和记账策略。通过认证后，系统会根据用户的授权情况对用户的网络访问进行控制，决定用户可以访问哪些资源，以及使用什么网络路径来访问这些资源。同时，计帐系统会基于用户的身份详细记录用户访问网络的情况，包括用户访问的时间，访问的资源，产生的数据量，等，并根据该用户的计费策略进行计费。对于预付费用户，如果访问过程中费用耗尽，系统还能动态终止用户的网络访问。这些灵活的控制功能一起，为 XX 大学校园网有效运营提供了强大的支撑。本次项目的目的不是新建一张独立的网络，而是为

25、现有校园网增加无线覆盖能力，建成后，新的校园网在使用方式上不应该有重大变化。因此，新建的无线网络必须与现有网络的认证系统集成。用户无论通过有线网络还是无线网络访问，都要经过相同方式的身份认证，采用同一套用户口令信息和授权信息，一次性认证后就可以访问授权的网络资源。在尽可能与有线网络保持一致的同时，也要充分考虑无线网络本身的特点。现有网络中有多种不同类型的终端，有通用计算机，各种各样的移动终端，如智能手机、平板电脑等，还有支持无线网络的专用仪器和设备，如无线视频监控仪，无线打印机，等等。这些终端对认证方式的支持情况各不相同，我们必须考虑为所有终端提供适当的认证方式。根据对校园网络用户的安全要求，

26、以及校内主要无线网络终端类型的统计，要求新建的无线网络必须支持以下几种认证方式： 802.1x 认证802.1x 是现有认证方式中最安全的一种。802.1x 可以基于证书对访问设备进行认证，并通过扩展认证协议 EAP 实现用户身份的认证，整个认证过程可以由加密隧道保护，避免认证信息泄露。802.1x 可以作为 WPA 的认证组件，支持 AES/TKIP 数据加密，为用户数据提供加密服务。802.1x 的部署成本稍高，要求用户终端安装支持 802.1x 的客户端软件。不过，目前主流的操作系统如 MS Windows、MAC OS、Android、Sybian 等都带有内置的 802.1x 客户端

27、，简化了软件配置的问题。802.1x 适合计算机操作熟练，且对无线传输安全要求较高的用户使用。 Web 认证Web 认证是指通过 web portal 为用户提供认证界面的认证方式。使用 web认证时，用户可以直接关联到无线网络并得到 IP 地址，但此时用户还不能正常访问网络，要想得到完全的网络访问服务，用户必须打开 Web 浏览器，试图访问某个网站，然后认证系统会通过用户的浏览器推出认证界面，要求用户输入用户名称和认证口令等信息，用户输入后，无线系统则拿用户提供的认证信息到后台认证系统处认证，如果通过，则控制器放开此用户的访问权限，用户可以访问网络。Web 认证方式通过 web 浏览器引导用

28、户完成认证，这种界面很友好，直观，对任何有浏览网络经验的用户来说都很简单。而且，web 浏览器软件几乎在任何智能设备上都存在，不需要用户专门安装，对终端的要求很低。因此，web认证方式很适合高校环境，可以大大减轻用户终端设备支持的压力。 MAC 地址认证通常，网络中还有一类设备，这些设备通常是专用的仪器或工具，如无线摄像头、无线打印机、无线条码扫描仪等。这些设备的处理资源很有限，主要用于其本身工作，很难在上面安装 web 浏览器或其他认证客户端软件。对这些设备最可靠的方式是根据其 MAC 地址进行访问控制，即 MAC 地址认证。MAC 地址认证方式不需要终端设备安装任何客户端软件，也不需要终端

29、用户进行认证操作，适合简单设备的验证。MAC 地址认证可以分两种情况，白名单和黑名单。白名单即在认证服务器上维持一个 MAC 地址表，这个表中的地址是允许访问网络的；黑名单则正好相反，被列在这个表中的地址不能访问网络，一般把已知不安全的设备列出，这些设备本身对网络构成安全威胁，无论什么用户都不能用这些设备访问校园网。我们的方案要实现 802.1x、web 方式和 MAC 地址认证三种认证方式。无论用哪种，都使用校方统一认证系统。在思科统一无线网络系统中，真正执行认证动作的是无线控制器 AC，是 AC 收集用户认证信息，并通过 RADIUS 与认证服务器交互，完成认证动作。认证过程如下图所示：为

30、方便用户使用，XX 无线网络设置多个 WLAN，分别使用不同的用户认证方式，通过 WLAN 对应的 SSID 名称指出该 WLAN 使用的认证方式。用户可以根据自己的安全需要选择 WLAN 进行访问。如果用户选择了使用 802.1x 的 wlan，用户需要在客户端软件中输入认证信息，如用户名/口令。AC 会得到这些认证信息，并启动 EAP 过程完成认证。由于使用最多的仍是 window 客户端，因此下面详细讨论一下 windows 客户端的认证情况。Windows 系统自带 802.1x 客户端软件，为了简化部署，一般使用 PEAP/MS-CHAPv2 认证方法。用户关联到网络后，AC 发送认

31、证请求到认证服务器，认证服务器看到 EAP 类型是 PEAP，同客户端建立安全隧道，然后在隧道内启动另一次 EAP 过程，此后的用户认证过程在此安全隧道内完成。由于用户的认证信息是在安全隧道内传输的，因此可以避免认证信息泄露。PEAP/MSCHAP 是一种安全性很高的认证方法。在认证过程中，用户与 AC 之间是 EAPoL，AC 与认证服务器之间是EAPoRadius。AC 将 EAP 数据在用户端与认证服务器之间中转，真正的认证双方是客户端和认证服务器，当认证结束后，AC 会得到认证结果，并根据结果放开或阻断该用户对网络的访问。至于校园网网关和计费服务器，则由认证服务器进行设置。如果用户选择

32、了使用 Web 认证方式的 WLAN，用户会顺利关联到无线网络并获取 IP地址。但要想真正访问网络，用户需要打开一个 web 浏览器并接受认证。此时控制器AC 不允许该用户通过无线网络收发任何数据，除了 DNS 和 DHCP 数据。当用户发出HTTP 请求时，AC 截获该请求并将用户浏览器重定向到事先指定的认证界面上，该界面引导用户输入用户名和口令，认证界面上的代码将认证信息提交给 AC，然后 AC 通过RADIUS 协议与认证服务器完成认证过程。AC 与认证服务器的通讯是后台通讯，可以使用明文的 PAP 方式认证，如果 PAP 不能满足安全要求，也可以配置 AC，使用更安全的CHAP 方式认

33、证。在使用 Web 认证方式时，思科无线控制器支持 PAP、标准 CHAP 和 MD5 CHAP 三种认证方法。其中 MD5 CHAP 既不会在网络上传输用户的口令信息，也不需要在后台存储其明文口令，这样可以从技术上避免用户口令泄露，而且，消除网管人员对用户口令信息保密的责任，符合 XX 大学网络管理运行的要求。因此我们建议对与Web 认证方式采用 MD5CHAP 认证方法。如果用户选择了 MAC 地址认证，则 AC 通过 RADIUS 协议向认证服务器请求认证，该请求中，用户名和口令都基于 MAC 地址信息。MAC 地址认证又可以分为两种情况，白名单和黑名单方式。白名单方式及服务器维护一个

34、MAC 地址列表，该列表中的 MAC 地址是可以访问网络的。如果终端的 MAC 地址出现在这个列表中，则该设备可以访问网络；黑名单中则列举已知对网络有威胁的设备的 MAC 地址，如果一个终端设备的 MAC 地址出现在这个列表中，则任何人都无法使用该设备访问 XX 大学的无线网络。思科的无线解决方案同时支持白名单方式和黑名单方式。建议为无线仪器设备、无线打印机等设置专门的 WLAN，采用 MAC 地址认证，为这些特殊设备提供安全的无线网络服务。3.5 用户下线和权限修改Web 认证和 802.1x 认证都支持用户主动下线，避免无意识使用网络资源。此外，思科的无线网络系统还支持 RFC3576，认

35、证系统可以通过标准 RADIUS 消息实现指定用户的 DM 下线和 CoA 授权修改。这样，计费系统可以实时监控预付费用户的资金余额情况，一旦某在线用户的余额耗尽，系统就可以动态将该用户断线，并提示其续费。而 CoA 功能则可以支持更复杂的计费策略，如当用户资金余额尚未耗尽，但已不足以支付某些高级资源访问时，可以通过 CoA 调整对用户的控制策略，拒绝其访问这些服务。DM 下线和 CoA 功能还可以与安全管理相结合，可以动态修改违反了学校安全管理策略的在线用户的访问权限，甚至中断其网络服务。对 RFC3576 的支持为 XX 大学网络有效运营提供了强大的支持。3.6 高可靠性设计一体化无线网络

36、架构中 AC 是系统的关键部件，AC 发生故障会影响全网的运行，因此必须考虑 AC 的高可用性。首先，思科的 AC 设备从设计和工艺上保证其高度可靠。对关键的易损部件如电源等提供冗余设计，避免单点故障。在 XX 大学无线网络中，为每个 AP 指定多个 AC，当主用 AC 发生故障时，AP 会立即切换到备用 AC，从而迅速恢复网络服务，提高网络可靠性。思科的每个瘦 AP 可以配置支持三个 AC，分别具有不同的优先级。由于 XX 大学无线网络规模很大，会有多个 AC。建议按照一定比例配制备份 AC，备份 AC 处于热备状态。同时，合理安排 AP 的 AC 设置，充分利用 AC 资源，形成有效的高可

37、用方案。AP 接入控制器时负载均担：当存在两个以上的控制器时，AP 会自动根据控制器负载交叉接入不同的控制器侧，或者由管理员指定接入不同控制器AP和 Controller 确 定 的 冗 余 设 计管 理 员 指 定 primary, secondary, and/or tertiary 控 制 器指 定 通 过 控 制 器 界 面 (per AP) 或 WCS 界 面 (template-based)完 成优 点可 预 测 易 于 运 行 管 理网 络 更 稳 定更 多 灵 活 的 冗 余 设 计 选 项快 速 切 换 时 间前 瞻 性 的 规 划 和 配 置这 是 思 科 建 议 的 最

38、优 方 法 ！控制器侧高可用性有多种选择：N+1、N+N、N+N+1。N+1 是比较经济有效的解决方案。控制器冗余设计N+1W L A N - C o n t r o l l e r - B K PN O C o r D a t a C e n t e rA P s C o n f i g u r e d w i t h :P r i m a r y : W L A N - C o n t r o l l e r - 1S e c o n d a r y : W L A N - C o n t r o l l e r - B K PW L A N - C o n t r o l l e r -

39、 1W L A N - C o n t r o l l e r - 2W L A N - C o n t r o l l e r - nA P s C o n f i g u r e d w i t h :P r i m a r y : W L A N - C o n t r o l l e r - 2S e c o n d a r y : W L A N - C o n t r o l l e r - B K PA P s C o n f i g u r e d w i t h :P r i m a r y : W L A N - C o n t r o l l e r - nS e c o

40、 n d a r y : W L A N - C o n t r o l l e r - B K P3.7 基础网络安全在实际网络运营管理中，对 DHCP、ARP 等基础协议的保护非常重要。这些协议是网络正常运行所必需的，但这些协议的设计非常简单，没有任何防护措施，很容易受到攻击。针对 ARP 和 DHCP 的攻击主要有以下几种：1、 发送虚假 ARP 响应，影响网络客户端数据路径2、 发送虚假 DHCP Offer，影响客户地址分配过程3、 DHCP FLOOD，用虚假 MAC 地址耗尽 DHCP 可用地址在思科有线网络上可以通过 DHCP 监听、动态 ARP 信息检查和端口安全机制来解决上

41、述问题。现在看思科无线网络上如何解决这些问题。首先，由于一体化无线网络的结构，无线客户端的所有数据都要经过 AC 转发。而且，当用户完成网络关联后，AC 上会有一个用户关联表，其中保存了所有在线用户的信息，包括 IP 地址、MAC 地址等。在思科一体化无线网络中，网络不会向无线客户端转发广播包，而且 AC 为所有无线客户端提供 ARP 代理功能。当针对某客户端的 ARP 请求到达 AC 后，AC 会在其用户关联表中查找此客户端，如果有，则 AC 代替该客户端发送 ARP 响应。AC 不会把 ARP请求转发到无线客户端。因此，无线侧用户永远不会收到 ARP 请求，更不会收到针对其他用户的 ARP

42、 请求，因此就没有发送假 ARP 响应的机会。而且，AC 会严格管理 ARP 数据，禁止无线客户端之间发生 ARP 操作。所以，如果某个恶意的无线用户向其他无线用户发送虚假的主动 ARP 响应，此数据包会被 AC 截获，而不会到达攻击目标用户。如果 ARP 响应是发给有线侧用户的，则有线侧交换机会判断此 ARP 数据的信息是否为真。可见，思科一体化无线网络用户不会受到 ARP 攻击。关于 DHCP 的问题，思科无线网中 DHCP 是通过 AC 的代理实现的。AC 会截获所有DHCP 请求，并代替用户想事先配置的 DHCP 服务器发送请求。可见，假冒 DHCP 服务器根本不会得到 DHCP 请求

43、。最后，无线网络是类似面向连接的，用户在使用网络之前必须先完成关联和认证过程。正确关联和认证后，AC 会纪录客户端关联时所用的 MAC 地址，如果用户使用假冒 MAC 地址发送数据，则数据发送不会成功。也就是说，无线用户只能使用真 MAC 地址发送数据，因此无法实施 DHCP FLOOD 攻击。3.8 与运营商的业务合作本次 XX 大学的无线网络建设是和 3 大运营商合作，所以，需要在全校范围内广播3 个运营商的 SSID。在广播运营商 SSID 后，对这个 SSID 的相关管理维护，如用户认证，地址分配等，应由运营商自己完成，XX 要做的只是收集其用户的数据并送回运营商网络。最后，运营商用户

44、的数据应直接送出 XX 大学，应当与校园网流量完全隔离。为实现以上目标，建议采用以下方案实现。首先，为了把运营商数据送到运营商网络，需要无线网络与运营商网络有一条直接连接的链路。运营商 SP1 将一条专线拉到 XX 校园，我们将这条专线连接到无线控汇聚交换机上。在无线设备上发布运营商的 SSID，并在汇聚交换机上为之设置专门的Vlan，将连接专线的接口划入该 Vlan 中。这样，使用这个 SSID 的用户的数据将接入对应的 Vlan 中，并通过核心交换机，由专线进入运营商网络。这样，运营商的用户可以在 XX 大学校园使用其服务，其数据通过专线送到运营商网络，与 XX 大学校园网流量完全隔离，管

45、理责任分割清晰。在汇聚交换机上不能为上述 Vlan 设置路由接口，这样就可以避免 XX 大学的网络与运营商网络经此核心交换机形成路由通路。同时，运营商可以指定其希望的认证方式，并提供认证服务器和 DHCP 服务器地址，在无线控制器上将运营商的 SSID 所用的认证方式、认证服务器和 DHCP 服务器都设置为运营商提交的数据。这样，运营商的用户将使用运营商的 IP 地址，由运营商自己的管理系统完成认证和计费。3.9 无线网络统一管理思科无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础，使 IT 管理员能从中央地点设计、控制和监控校园无线网络，简化运营并

46、降低总拥有成本。思科无线控制系统(WCS)凭借思科 WCS，网络管理员可拥有单一解决方案，来进行 RF 预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科 WCS 可为持续网络运营提供重要作用。思科 WCS 运行在服务器平台上，有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性，而这些控制器可管理数千思科轻型接入点。无线局域网控制器可位于思科 WCS 所在的 LAN 中、分布于多个独立路由子网或位于广域连接之上。籍此，思科 WCS 甚至可为最大的校园环境提供理想的无线局域网

47、管理平台。无线局域网规划和设计网络监控和排障思科 WCS 提供的工具可帮助 IT 管理员查看其无线网络的布局，并持续监控 WLAN性能。这其中包括详细的热点图，显示了所输入的地面之上的 RF 覆盖范围。WCS 还提供了一个门户，用户可通过它获得思科 WLAN 控制器所提供的实时 RF 管理功能，包括信道分配和 AP 输出功率设置。此外，WCS 可快速查看覆盖盲区、报警和关键的使用统计数据，实现了方便的 WLAN 监控和排障。查看 RF 覆盖范围WCS 可准确指出无线客户端的位置无线保护思科 WCS 在一个思科无线基础设施中提供了管理和实施安全策略的全套工具。这其中包括：RF 攻击签名和无线入侵

48、防御思科 WCS 使 IT 人员可创建能定制的攻击签名文件，可用于迅速检测与 RF 相关的常见攻击，如拒绝服务(DoS)、Netstumbler 和 FakeAP。用户可对思科 WCS 编程，使其在发现攻击时自动生成报警。详细的趋势报告可帮助 IT人员在威胁造成重大损失前发现反复出现的安全问题。无线安全问题总结恶意设备检测、定位和控制思科 WCS 平台使用即将荣获专利的技术，来持续监控无线空间，寻找非法接入点和临时网络。如果出现未授权设备，可使用思科 WCS 确定其位置并评估威胁级别。如认为是恶意设备，IT 管理员可利用 WCS 来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。策略

49、创建和实施思科 WCS 包含一个服务策略引擎，使网络管理员能方便地创建虚拟 LAN（VLAN）、RF、服务质量（QoS）和安全策略。凭借思科 WCS，IT 人员可创建多个独特的服务集识别符（SSID），各自带独立的安全参数。例如，一个“访客”SSID 可通过 Web 验证来保护；“语音”SSID 可能需利用手机内置的有线等效保密(WEP)功能；而普通的数据流量则可用 802.11i 或 IP 安全(IPSec)来保护。思科 WCS 可在完整的思科无线网络、独立的思科无线局域网控制器，甚或独立的轻型接入点上实施安全策略。策略引擎用户拒绝列表IT 人员可使用思科 WCS 来主动拒绝某些特定用户与无线网络建立连接。此外，如果发现异常活动，受到影响的设备会被标记，如果认为它们是恶意设备，会拒绝它们接入网络。这些设备就无法获得无线局域网服务，直至拒绝列表中规定的时间到期，或 IT 人员决定允许其访问无线局域网为止。无线局域网系统管理思科 WCS 使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心功能：排障思科 WCS 整合了重要的网络信息，如噪音级别、信噪比、干扰、信号强度和网络拓扑等，使网络管理员能隔离和解决所有无线网络层次中的问题。软件升级凭借思科 WCS，只需点击