目 录 第一章 XXXX 大学无线网络项目概况 项目背景 XXXX 大学无线网络需求分析 XXXX 大学无线网络设计原则... 4 第二章 XXXX 大学无线网络建设方案 XXXX 大学无线网络建设方案概述 X

Transcription

1 XXXX 大学无线网络方案建议

2 目 录 第一章 XXXX 大学无线网络项目概况 项目背景 XXXX 大学无线网络需求分析 XXXX 大学无线网络设计原则... 4 第二章 XXXX 大学无线网络建设方案 XXXX 大学无线网络建设方案概述 XXXX 大学无线网络建设方案详述 整体架构 有线和无线网络的接口设计 无线接入点的以太网供电 无线网络容量和性能设计 无线控制器上行链路容量设计 无线网络扩展性 无线网络的可靠性 无线网络系统的管理 无线网络系统的安全防护设计 无线安全防护构架 思科 CleanAir 技术 : 实际应用中的频谱智能和安全 用户的认证和加密 无线接入点的接入认证 无线控制帧的安全管理 (MFP) 基于 2-7 层内容的入侵检测系统 ( 无线 IPS IDS 系统 ) 支持精确的非法 AP 定位和隔离, 保证无线网络免受无线类的安全攻击 终端的安全接入保证 (NAC) 回传链路数据的安全加密 终端快速 安全漫游机制的实现 (CCKM) 独特的访客隔离机制 安全的无线网络管理 移动性应用 视频应用就绪的无线网络... 62

3 第一章 XXXX 大学无线网络项目概况 1.1 项目背景 XXXX 是中国最高学府, 教育部直属重点大学, 国家首批 211 工程 和 985 工程 大学, 是国家 111 计划 和 珠峰计划 重点建设的名牌大学, 在历次重点大学建设中 均被列为重中之重的建设序列 本次项目的总体目标是利用各种先进成熟的网络技术和通信技术, 采用高速以太技术和 a/b/g/n 无线网络技术实现校园区域网络的覆盖, 即实现在校园内任何时间任何人都可以进行网上学习 网上办公 网上教学 网上科研及网上服务的一种普适计算的校园网络文化, 逐步实现学校信息化引领教育现代化的目标 1.2 XXXX 大学无线网络需求分析 一 网络性能需求分析 随着互联网的发展, 网络已经成为任何一个单位的基础业务平台 大量的业务在网络上运行, 访问和数据传输量剧增, 网络负荷也相应增长 尤其是 XXXX 大学的多媒体技术的应用, 视频数据 音频数据耗费大量网络带宽 如果网络没有高性能, 会导致系统反应缓慢, 甚至在业务量突增时, 发生系统崩溃 中止和异常等现象 高性能的网络也是一些关键业务或特殊应用的必备条件 网络在初始建设时不仅要考虑到如何实现数据传输的性能, 还要充分考虑网络的冗余与可靠, 否则一旦运行过程中网络发生故障, 系统又不能很快恢复工作, 带来的后果便是园区的经济损失, 影响园区的声誉和形象

4 二 网络管理需求分析 随着网络规模的日益扩大, 网络设备的数据和种类日益增加, 网络应用日益多样化, 网络管理也日益重要 良好的网络管理要重视网络管理人力和财力的事先投入, 主动控制网络, 不仅能够进行定性管理, 而且还能够定量分析网络流量, 了解网络健康状况 有预见性地发现网络上的问题, 并将其消灭于萌芽状态, 降低网络故障所带来的损失, 使网络管理的投入达到事半功倍的效果 三 网络安全需求分析 在竞争日益激烈的今天, 园区对网络的安全性有非常高的要求 很多园区在局域网和 广域网络中传递的数据都是相当重要的信息, 因此一定要保证数据安全保密, 防止非法窃 听和恶意破坏, 在网络建设的开始就要考虑采用严密的网络安全措施 四 网络多媒体支持分析 由于视频会议 视频点播等多媒体技术的日趋成熟, 网络传输的数据已不再是单一数据了 尤其是 XXXX 大学多媒体网络传输是主要的应用 网络的一些技术, 如 QoS 及相关技术,IP 优先级 排队及硬件的组播技术能使实时的多媒体和关键业务得到有效的保障 五 网络扩展性需求分析 网络建设为未来的发展提供良好的扩展接口是非常理智的选择 随着园区规模的扩 大 业务的增长, 网络的扩展和升级是不可避免的问题 思科通过模块化的网络结构设计 和模块化的网络产品, 能为用户的网络提供很强的扩展和升级能力 1.3 XXXX 大学无线网络设计原则 网络设计要解决的主要是四个问题 :(1) 选择什么样的网络技术?(2) 选择厂商 ; (3) 选择产品 ;(4) 方案配置 那么根据什么原则来确定这些问题的答案呢? 1. 开放性原则

5 随着开放互连标准的规定, 只有开放的, 符合国际标准的网络系统才能够实现多厂家 产品的互连 目前已成型的国际标准包括 : 以太网 快速以太网 千兆以太网,802.11a/b/g/n 等 2. 可扩充性原则 网络系统要灵活地扩充, 可扩充对网络而言有两方面的内容 第一是能够适应网络规 模的扩充, 第二是能够适应应用提升对系统性能的更高的要求 具有良好扩充性的网络系 统能够让用户以较小的代价扩充现有网络调备的功能, 这样, 就有效地保护了用户的投资 3. 可靠性原则 用户的网络系统必须具有一定的容错能力, 保障在意外情况下不中断用户的正常工作 可靠性也是通过设备可靠性和技术措施两个层次的方式来解决 首先, 要求所选择的网络厂商产品性能要稳定可靠 ; 其次, 要求网络厂商有充足的备件, 在设备发生故障后能够得到及时更换 ; 第三, 通过技术措施来保证网络的可靠性 比如采取中心冗余交控制器技术等 通过这些措施使得网络即使出现某些故障仍然能够正常运行 4. 选择占主导地位厂家, 保护用户投资 网络是用户信息系统的中枢神经 随着用户园区规模的发展, 用户的网络系统也要不 断扩展 不断升级 占主导地位的网络厂家的优势在于 : 产品市场占有率高, 广泛的用户群可以支持厂家经营良好, 不断发展 拥有最先进的技术, 使其产品不断升级, 通过产品升级一方面使其用户得到最先 进的技术, 另一方面可以保护用户以前的设备投资

6 第二章 XXXX 大学无线网络建设方案 3.1 XXXX 大学无线网络建设方案概述 思科的校园无线网络主要包含以下部分 : 无线控制器, 无线访问接入点 AP, 无线网 管系统 WCS, 无线定位服务系统 MSE, 用户认证系统 Radius 服务器, 以及支持以太网 供电的接入交换机和负责数据交换的汇聚及核心交换机 无线控制器和 AP 是无线网完成数据转发的基础部件 在控制器加 AP 的网络架构下, 所有关于无线射频管理 网络安全管理等的智能处理都在控制器上集中处理, 而 AP 只完成空口侧数据的收发 在实际工作中, 每台控制器会管理一定数量的 AP, 并与每台 AP 建立 CAPWAP 隧道 用户数据经无线介质到达 AP 后,AP 将数据封装到隧道中传送到控制器 控制器将数据解出, 并根据管理员设定的安全 QoS 等管理策略, 进行处理 最后经有线网络发送 思科无线网络产品系列是为那些希望为本身业务 IP 电话和融合多媒体应用系统广泛部署无线覆盖的一款完整 解决方案 这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来, 创建一种安全 经济有效并且极具扩展性的无线局域网 (WLAN) 基础设施 思科无线网络产品系列包括规划和实施所需的工具和功能, 使首次部署无线局

7 域网 (WLAN) 能快捷简便的完成, 也适合于企业逐步演进事先精确设计的无线移动基础设 施 思科统一无线网络架构 直观的图形化界面简化配置, 监视, 和故障排查 Wireless Control System (WCS) Wireless LAN Controller CAPWAP 可扩充性架构 减少管理点 WCS 统一网管 无线控制器通过 LWAPP 隧道管理配置无线接入点 支持 lightweight 和 standalone 两种架构的无线接入点 Mobility Services Engine (MSE) and Context-Aware Mobility 对客户端, 资产标签, 和非法无线设备进行高精度定位追踪 Cisco Aironet 1250 Series (802.11n) Lightweight Access Points Standalone Access Points 思科无线接入点系列支持 a/b/g/n 多种连接技术, 对无线数据进行加 / 解密, 对不同应用的数据进行优先级控制和排队 同时支持无线频率监控管理, 包括非法 AP 的身份识别和限制, 无线接入点和无线控制器之间进行控制和数据的交互

8 Cisco Unified Wireless Network 无线接入点 室内型无线接入点 3500i 1140 AGBN 坚固的室内型无线接入点 1130AG 无线接入点 特点 业界最佳的性能和信号覆盖 企业级无线安全 唯一的 n 测试基床 同时进行空口检测和数据流量转发 室外广域组网部署 3500e 1260 N 1250 AGBN 1240AG 室外无线接入点 / 无线网状网接入点 / 网桥 获益 零接触管理 无需专门的无线传感器监视空口 支持广泛的部署场景 (indoor and outdoor) 从安全的无线覆盖到提供高级服务 思科无线控制器系列无线控制器执行多 AP 的安全控制, 包括 : 安全 联网 QoS 以及用户的漫游 (Roaming) 无线控制器对多个 AP 的无线数据进行转发, 并对 AP 改变无线频率和收到攻击进行响应

9 Cisco Unified Wireless Network 无线控制器 5500 Wireless LAN Controllers Catalyst 6500 Series Wireless Services Module (WiSM) Switch and Router Platforms Integrated Services Routers WLCM WiSM Catalyst 3750G Integrated WLC Switch 一体化网络 特点 高可靠性和可扩展能力 实施射频管理 多层次安全 漫游移动性管理 独立机箱和集成到路由器交换机多种可选类型获益 每控制器支持高达 2100 个无线接入点 72 台控制器堆叠 成本效益最佳的园区 建筑物 远程办公室解决方案 完美的支持数据, 话音, 和视频应用 有线和无线集成 思科 WLAN 管理软件 (WCS) 思科 WLAN 管理软件是一套全面的 WLAN 设计和管理软件, 帮助用户确定 AP 的部 署位置 管理和配置所有网络中的 AP 以及实时监控和汇报 WLAN 系统的运作情况 Cisco Unified Wireless Network 无线网络管理 (WCS) Wireless Control System 特点 客户端故障排查 无线网络规划, 配置, 监视, 定位, IDS/IPS, 故障排查 分级地图 直观的图像化界面, 易用的设置模板 基于策略的组网 (QoS, security, RRM, etc.) 获益 更低的运营成本 (OPEX) 和资本支出 (CAPEX) 更好的无线网络可视性和对无线信号的控制 将多种功能整合到统一的管理界面 测试定位应用和话音应用的网络就绪性

10 思科无线定位设备 (MSE) 思科无线定位设备是业界第一款能够直接从 WLAN 基础设施内部跟踪数千个设备的定位解决方案 它为重要资产跟踪 IT 管理和基于位置的安全技术提供了一个经济有效 高分辨率的定位解决方案 丰富的移动服务的体系架构可扩展的综合服务平台 环境感知 根据环境优化业务流程, 如定位和遥测 自适应无线 IPS 通过集成的入侵检测消除无线威胁 位置服务比竞争友商具有更大的扩展性 业界唯一的集成化有线和无线 IPS 解决方案 移动智能漫游 移动应用在公共无线网络和自有无线网络之间切换 Mobility Services Engine 安全客户端管理 简化配置, 保护和管理移动设备 网络智能提供了更加一致的和可靠的切换 业界唯一的解决方案有效的解决复杂的客户端管理问题 业界独有大大降低运营成本, 无需面临传统 Wi-Fi 系统面临的集成化挑战 3.2 XXXX 大学无线网络建设方案详述 针对 XXXX 大学的实际情况, 我们推荐高可靠 清晰的模块化 高效的层次化的网络设计, 整个网络规划成核心控制层 汇聚交换层及网络接入层三部分, 所有的无线接入节点均采用高性能的 n 的 AP,POE 接入交换机提供前兆的 AP 接入带宽, 接入交换机与汇聚节点之间采用千兆光纤冗余连接, 汇聚节点与核心控制节点采用万兆冗余连接, 整个网络体现出了最大限度的高性能 高冗余和可扩展性 整体网络设计拓扑如下图 :

11 清华大学无线网络架构 LEGEND 10/100 /1000MBaseT 10/100/1000 M光 10G Radius认证 Si 无线定位MSE 网络核心 控制 Si 无线管理 WCS Si Si Si Si 汇聚节点 Si Si 汇聚节点 Si 汇聚节点 接入交换机 接入交换机 AP AP AP 接入交换机 AP AP AP 整体架构 1 核心控制层 在 XXXX 大学无线网络的设计中 采用思科 65 系列交换机作为整个无线网络的核心 承担全院无线网络的控制和数据交换工作 每台65系列交换机配备了思科最先进的SUP720万兆交换引擎 不但具备720G 的交换容量 还能够提供硬件级别的流量监控 NetFlow 和地址转换 NAT 能力 相较利用软件实现的功能 思科65系列交换机引擎上的专有处理硬件能 够提供更高的性能和更可靠的稳定性

12 核心 65 系列交换机按照无线接入点数量 2:1 的比例配备无线控制模块, 无线控制 模块采用插卡的方式集成到 65 系列交换机中, 每个无线控制模块可管理 300 个无 线接入点 每台 65 系列交换机具备多插槽容量, 双电源设计, 板卡可在上电情况下热拔插, 提供了最高级别的设备冗余性 采用模块化的操作系统, 使得局部的软件故障不会影响整机的运行 软件的升级 也可以在局部软件模块进行, 而不必为升级软件等维护工作使核心交换机停止 工作, 影响全网的运行 (2) 网络汇聚层 在 XXXX 大学无线网络的设计中, 采用思科 45 系列交换机作汇聚层设备, 以双万兆 链路上联核心控制层设备, 并向下提供千兆光口以连接接入交换机 : 每台 45 系列交换机配备了思科最先进的 SUP6L-E 万兆交换引擎, 自带 2 个万兆接 口 采用思科专门为 Supervisor 6L-E 引擎开发的应用专用集成电路 (ASIC) 实现 CenterFlex 技术, 能够精细地优化实时语音 视频和数据通信 ; 每台 45 系列交换机具备多插槽容量, 双电源设计 每台 45 系列交换机板卡可在上电情况下热拔插, 提供了最高级别的设备冗余性 采用模块化的操作系统, 使得局部的软件故障不会影响整机的运行 软件的升级 也可以在局部软件模块进行, 而不必为升级软件等维护工作使核心交换机停止 工作, 影响全网的运行 (3) 接入层 接入层是负责连接无线接入节点并在提供数据交换的同时为无线接入节点供电, 在 XXXX 大学无线网络的设计中, 采用思科 29 系列交换机作接入层设备, 以千兆光链路上 联汇聚层设备, 并为 n 的 AP 提供千兆接口 : 通过先进的服务质量 (QoS) 精确速率限制 ACL 和组播服务, 实现了网络控制 和带宽优化 ;

13 通过多种验证方法 数据加密技术和基于用户 端口和 MAC 地址的 NAC, 实现 了网络安全 通过高效层次化的网络, 从根本上提高了数据流动的效率, 充分满足了 XXXX 大学网 上学习 网上办公 网上教学 网上科研及网上服务的需求 有线和无线网络的接口设计 为了充分挖掘 n 的性能, 连接无线接入点的有线基础设施必须能够提供足够的吞吐量水平以避免成为 11n 无线接入点的瓶颈 n 无线接入点采用了千兆以太网接口 (10/100/1000Mbps), 其连接的交换机上行端口只有是千兆交换端口时才能发挥其吞吐量的极限 虽然 AP 以太网端口的速率是可以协商的, 例如以较慢的 10/100Mbps 的速率工作而非千兆速率, 这一部署模型在有线网络一侧引入了性能瓶颈, 从而限制了无线接入点的峰值性能 无线接入点和交换机的连接速度并不是我们部署时唯一需要考虑的因素 : 应注意的是无线接入点通过逻辑隧道连接到无线控制器 因此这还取决于您部署的无线控制器类型, 以便确认预期的吞吐量是否可以实现 思科 4400 系列无线局域网控制器, 思科 5500 系列无线局域网控制器和 Catalyst 6500 系列无线服务模块 (WiSM) 是部署 n 系列无线接入点并希望达到理想的更高的流量时的主要选择 无线接入点的以太网供电 思科建议 XXXX 大学采用以太网供电技术为无线 AP 提供电源! 从字面上不难理解, 以太网供电技术是指网络设备无需插接电源, 而直接通过与上联的设备之间的以太网网线来提供设备正常运行所需要的电源 在 IEEE 所批准的 802.3af 标准中, 对路由器 交换机和集线器通过以太网网线向 IP 电话 安全系统以及无线局域网接入点等设备供电的方式进行了明确规定, 为以太网供电技术的广泛应用提供了足够的保障 通常, 包括 IP 电话 无线接入设备 接入交换机等设备要正常运行的话, 至少都需要 两个接口, 一个上联上层设备, 而另一个连接电源, 两者缺一不可 在正常的网络环境,

14 这两个必备条件很容易满足, 但对于一些必须要被安放在特殊位置, 如吊顶 办公室墙壁中等, 在连接到电源时就必须单独布线, 给用户带来成本增加以及工作复杂性等问题 而 IEEE 802.3af 标准中所规范的以太网供电技术, 则使用户在网络实施时免去对电源接口的依赖 如何为无线接入点供电? 以太网供电 ( 推荐模式部署简便快捷 ) 支持以太网供电的交换机 通过电源注入器进行以太网供电 ( 电源注入器一般部署在配线间 ) 不支持以太网供电的交换机 电源注入器 电源线 电源适配器 无线接入点 在办公楼网络建设中部署或逐渐部署基于以太网供电技术的设备有以下 4 个优势 : 简化管理 :5 类线已是网络中广泛部署的数据和语音布线, 以太网供电设备通过单一 电缆, 不仅提供了网络连接, 也提供了设备需要的电源, 从而简化了线缆管理 对不间断 电源 (UPS) 的备份要求, 以及 IP 电话提供 高移动性 : 以太网供电设备无需交流电布线, 移动方便, 同时还降低成本, 减少业务 的中断 另外, 以太网供电设备可以加速无线接入点部署 部署方便 : 由于无需本地交流电源支持终端设备, 如 IP 电话 无线接入点和摄像机, 因此即使扩展这些设备的部署, 也不会增加本地交流插座和相关布线开支

15 保护投资 : 视频监视 远程视频服务和智能建筑物管理解决方案等新应用, 可充分利 用以太网连接来获得供电和网络连接 目前, 网络已开始朝着融合的趋势发展, 而这种融合已不仅仅只是在数据网上融合语 音的应用 以太网供电技术的逐渐成熟, 不仅推动了 IP 电话和无线局域网等应用更为广泛 的普及, 还为用户的网络提供了更多新的应用 IP 电话 : 通过在 IP 数据和语音融合网络上采用以太网供电设备, 在实施 IP 电话应用 时无需再使用外部电源, 确保了电源的集中冗余性和电源管理 而通过在以太网上实施安 全 QoS 保障等机制, 确保了 IP 电话应用的高安全性和高服务质量保障 无线局域网 : 基于以太网供电技术的无线局域网设备的出现, 可在没有电源接口的任 何位置安放无线接入设备, 确保用户无论位于园区网的何处都能持续接入网络和资源 视频监视 : 正是因为基于以太网供电技术的视频设备的出现, 用户在实现视频监视时 不再需要提供交流电或安装独立的电缆基础设施, 从而可以部署更多摄像机, 保证所监控 的环境更为安全 此外, 以太网供电技术还将提高用户在支持新服务和新应用方面的网络灵活性和实用 性, 通过降低成本开支 简化管理和降低运行成本, 以太网供电技术将使现有的网络基础 设施为客户创造更多 更好的收益 无线网络容量和性能设计 设计方法 如今, 无线局域网已经从一个前瞻性的标准演变为如何利用它更好的为我们服务 起初, 部署了无线局域网的部署就是放置接入点并使用最高发射功率以确保为每一个区域提供一定程度的可用信号 虽然这种设计方法对于支持传统的带宽有限的应用尚能应付, 但是一旦需要接入高密的客户端并且支持多媒体应用, 这一方法就显得捉襟见肘了, 这要求我们采用一种全新的方法来设计无线局域网络

16 针对上述情况在设计的时候需要考虑系统能力, 而不再单纯是信号覆盖, 方法是缩短接入点之间的距离并让他们工作在低功率输出的设置 ( 这可以通过无线资源管理动态处理 ) 同时在整个系统范围内禁用传统的低的数据传输速率 在这种方式下, 每个接入点接入较少的客户端, 从而使每一个客户端更好的利用更大部分的无线媒介 客户端运行在低数据速率的问题是 ( 例如,1Mbps ), 发送每个数据包它们都会占用比客户端运行在高数据速率 ( 如 36Mbps 至 54Mbps) 时更多的空口时间 更简单地说, 客户端使用 1Mbps 数据率来 交谈 将慢于其他高数据率的客户端, 从而拖累了整体的汇聚性能 由于无线局域网运作的方针是在任何一个时刻只有一台设备 ( 无论是 AP 还是客户端 ) 可以利用信道, 那么当很大比例的低数据速率帧垄断了空中接口时, 整个系统的性能将严重下降 因此, 接入点密度的正确设计并禁用低数据速率, 总的系统容量可获得显著提高 利用 5GHz 频段 虽然 n 标准可以同时支持工作在 2.4GHz 以及 5GHz 频段, 但是 5GHz 频段的具体特性使它对于 n 的运作特别有利 将 11n 运行在 5 GHz 频段的优势体现在下列三个方面 首先, 已安装和部署的传统 11a 客户端较少, 不如 11b/g 客户端一样普遍 这意味着您的 11n 系统在 5GHz 频段的 11n 客户端将很少与原有的传统客户端产生竞争并将在更多时间内以高吞吐率运行 其次, 运行在 5GHz 频段的一些非 干扰源仅仅是非常小的一部分, 不会产生众多无绳电话和蓝牙设备在 2.4GHz 频段导致的性能问题 最后, 也是最重要的一点,5 GHz 频段比 2.4 GHz 频段拥有更加丰富的频谱资源 在中国, 5 GHz 频段有 4 个非重叠的信道可以使用, 让无线资源管理来处理您的信道分配 ( 和功率输出 ) 计划 在可能的情况下, 制定规划以支持还在使用的 2.4 GHz 频段的传统设备, 并利用 5GHz 频段支持高性能的 n 客户端 思科 ClientLink 技术提高系统容量

17 升级到 n 的大多数用户采用分阶段的方式迁移, 传统客户端设备会经过 3 年或者 4 年的使用周期之后才被取代, 大多数企业会继续维护 a/g 的设备, 同时添加新的 n 设备 认识到需要为企业的 a/g 设备提供投资保护, 思科开发了 ClientLink 技术, 帮助企业将 n 的性能优势扩展到 a/g 设备的同时, 增加了他们的使用寿命 大多数的 n 解决方案为 a/g 客户端在上行方向 ( 客户端到无线接入点 ) 提供了某种程度上的性能提高, 但是无法在下行方向 ( 从无线接入点到客户端 ) 提高性能 认识到这一点非常重要, 因为大多数的客户端流量, 比如说网页浏览和文件下载, 都是在下行方向 思科 ClientLink 技术提高了 a/g 客户端下行链路的性能, 从而提供了更好的网络覆盖以及更可靠的漫游体验 另一个挑战是在同时部署了 n 和 a/g 设备的环境下, 确保 a/g 设 备不会限制 n 设备的性能 通过为 a/g 设备提高下行链路的吞吐量,ClientLink 为整个网络包括 n 客户端, 有效的提高了系统容量 ClientLink 通过在无线接入点上预先植入的高级信号处理进程进行工作 在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后,ClientLink 使用这些信息, 并通过最佳方式将数据包发送回客户端, 这种技术称之为多输入多输出 (MIMO) 波束成形 此外,MIMO 波束成形技术并不需要昂贵的外部天线就可实现

18 ClientLink 的性能优势 Miercom 实验室测试验证 ClientLink 优势 为 11a/g 设备提供更高的吞吐量 扩展现有设备的使用寿命, 节省客户端升级费用 增加无线系统整体的信道容量 11a/g 设备更快的处理时间意味着 11n 设备可以利用更多的 空口 时间, 同样改善了 11n 设备的性能 ClientLink Disabled 44% Throughput vs. Distance 56% < 14 Mbps > 14 Mbps Miercom 实验室测试结果 ClientLink Enabled 75% 25% Channel Util of 74.2% Channel Util of 45.2% 对于 11a/g 设备可以实现高达 65% 的吞吐量增长 高达 27% 的信道容量增长 对于 11a/g 设备减少覆盖漏洞 更高的数据率和更少的丢包 ClientLink Disabled ClientLink Enabled 在动态的射频环境中减少覆盖漏洞 防止干扰 无线控制器上行链路容量设计 思科采用层次化网络设计的方法来设计和建设交换和路由的园区网络 同样的方法 也可以直接用于设计和建设可扩展的基于 n 标准的 WLAN 基础设施 大家耳熟能详的概念是, 思科将建立多层次的园区网络的设计概念分为 : 接入层, 分 布层和核心层 思科公司的客户和合作伙伴已成功地利用这些设计概念多年 因此, 这些 设计理念得到充分核实并且是成熟的 多层次园区的设计指导原则中关于从接入层上连的超额认购 (over-subscription) 率 的建议值为 8:1 至 20:1 之间 然而, 在现实世界的部署中, 我们很少看到这样部署的用户, 他们大部分的部署中接入层上连的超额认购率在 50:1, 甚至是 100:1 思科的客户如此部

19 署有很多原因, 这里不再累述, 关键的一点是客户已经成功地以这样的超额认购率成功部 署, 并对网络的性能满意 WLAN 无线接入点被定义为接入层设备 在思科统一无线网络架构中, 这些接入层设备通过逻辑隧道上连到 WLAN 控制器 所以, 自然和适当的上连设计可以更好的服务思科统一无线网络 下表列出了思科无线局域网控制器在最大数量支持的无线接入点加入到控制器时所具有的超额认购率 表中的数值是考虑控制器满载时得出的 例如, 满载的 WiSM 将接入 300 个无线接入点 控制器的可扩展性额外认购率 Over-subscription Rates 假如每个 AP 需要 200Mbps AES 加密吞吐量, 高容量的控制器额外认购率在可接受的 8:1 即使将来每个 11n 无线接入点需要的吞吐量增加也不会达到 20:1 从上表可以清楚地看到, 即使每个无线接入点按照峰值吞吐量 250Mbps 设计, 没有 思科控制器 (21XX 系列和 WLCM 系列除外 ) 的超额认购率超过现有的园区设计准则 :20:1 为了实现最高性能的 n 的部署, 请选用 440X 或 WiSM 控制器 虽然 21XX 系列和 WLCM 系列无线控制器完全支持 n 的功能, 但是该设备与 交换机的上行链路可能成为一个潜在的性能瓶颈问题 补救这一问题的方式是确保无线接 入点连接到千兆以太网交换机, 并采用流量本地转发的工作模式 (H-REAP)

20 在今天, 大多数部署都是混合客户端环境的实施,802.11n 无线接入点的最大吞吐量 约为 200Mbps, 这种场景下使用高端无线控制器并采用 8:1 或更好的建议超额认购率将使 您游刃有余 无线网络扩展性 随着网络中越来越多的 n 客户端的出现和对网络更苛刻要求的应用的产生, 整体的无线网络架构将被不断 拉伸, 以至产生性能限制, 您可以通过不断监测的方式决定何时进行系统扩展 首先, 评估无线局域网控制器的利用程度, 您可以利用思科的 WCS 无线网络管理软件中 n Scaling 报告功能通过图表显示吞吐量和时间的关系 如果一个控制器或一组控制器, 被发现达到了他们的最大容量, 您就可以通过增加额外的控制器的方式进行扩展 在这种方式下, 一个部分无线接入点将运行在新的控制器上, 解决可能发生的任何性能限制问题 通过增加控制器来扩展系统容量的方式被称为 横向扩展 横向的可扩展性允许 您可以大规模的部署 WLAN 基础设施, 以满足额外的负载和扩大汇聚容量, 同时允许您将 流量负载科学的均衡到每个控制器

21 网络的可扩展性 300mb System Capacity Burst Add Controller Burst Burst 0 Burst Normal 300mb Burst Burst 0 根据整个系统来规划容量, 而不是按照单个接入点来规划 按照吞吐量来进行规划 ( 一般为 60% 的物理连接速率 ) 一般一个双频 11n 无线接入点吞吐量为 Mbps ( 按照两个频点都工作在 20MHz 频宽计算 ) 11n 11n Mobility Group WLAN Controller WLAN Controller 2 11n 11n 典型的以太网额外认购率 (oversubscription) 是 20:1 无线控制器的额外认购率是 8:1, 即使将来每个 11n 无线接入点需要的吞吐量增加也不会达到 20:1 300mb Burst Burst 11n 11n 11n 300mb Burst Burst 扩充控制器可以增加系统容量和增进可用性 无线网络的可靠性 控制器高可用性应为 Active/Active 方式实现 : 一些厂商只支持 Master/Slave 备份, 不支持 N+1 冗余, 而且更重要的是,Master/Slave 备份必须要求 Master / Slave 设备在一个 L2 网络内, 实际上这样的部署是非常不科学的, 如果要实现全网的备份, 必须在每个地点都需要放 2 台控制器, 而 Slave 控制器根本不工作, 只是为了备份, 虽然看起来很完美, 但是用户的成本增加了一倍却只为了那 0.01% 或更小的故障几率! AP 接入控制器时负载均担 : 当存在两个以上的控制器而言,AP 会自动根据控制器负 载交叉接入不同的控制器侧, 或者由管理员指定接入不同控制器

22 AP 和 Controller - 确定的冗余设计 管理员指定 primary, secondary, and/or tertiary 控制器指定通过控制器界面 (per AP) 或 WCS 界面 (template-based) 完成 优点可预测 易于运行管理网络更稳定更多灵活的冗余设计选项快速切换时间前瞻性的规划和配置 这是思科建议的最优方法! 控制器侧高可用性有多种选择 :N+1 N+N N+N+1 N+1 是比较经济有效的解决方 案 控制器冗余设计 N+1 NOC or Data Center WLAN- Controller-BKP WLAN- Controller-1 WLAN- Controller-2 APs Configured with: Primary: WLAN-Controller-1 Secondary: WLAN-Controller-BKP APs Configured with: Primary: WLAN-Controller-2 Secondary: WLAN-Controller-BKP WLAN- Controller-n APs Configured with: Primary: WLAN-Controller-n Secondary: WLAN-Controller-BKP

23 控制器冗余设计 N+N APs Configured with: Primary: WLAN-Controller-A Secondary: WLAN-Controller-B WLAN- Controller-A WLAN- Controller-B APs Configured with: Primary: WLAN-Controller-B Secondary: WLAN-Controller-A 控制器冗余设计 N+N+1

24 NOC or Data Center WLAN- Controller-BKP WLAN- Controller-A APs Configured with: Primary: WLAN-Controller-A Secondary: WLAN-Controller-B Tertiary: WLAN-Controller-BKP WLAN- Controller-B APs Configured with: Primary: WLAN-Controller-B Secondary: WLAN-Controller-A Tertiary: WLAN-Controller-BKP 无线网络系统的管理 Cisco WCS 是无线网络的管理平台, 用于对 n 和 a/b/g 企业级室内和室外无线网络进行全面的生命周期管理 这一极具灵活性的平台提供大量的工具和资源, 以便对覆盖园区 远程 国内和国际位置的无线局域网进行有效的规划 部署 监控 故障排除和报告 Cisco WCS 消除了无线局域网管理的复杂性 这一屡获殊荣的平台通过易于使用的集中化界面, 让用户清楚地了解并控制无线局域网和射频环境 它简化了所有无线局域网操作, 有助于确保 Wi-Fi 性能平稳 通过 Cisco CleanAir 减少射频干扰 增强网络安全性, 并为所有移动最终用户提供最佳无线体验 Cisco WCS 只需最少的 IT 人员配备, 即可满足最苛刻的运营需求 Cisco WCS 是维持经济高效 业务就绪的思科统一无线网络的理想平台

25 思科无线网络管理模型 WCS 服务器 WCS 客户端 Cisco 无线控制系统 (WCS) 是业内最全面的管理平台, 用于对 n 和 a/b/g 企业级无线网络的生命周期进行管理 这一强大的管理平台可提供经济高效的管理解决方案, 使 IT 管理员可以成功规划 部署 监控室内和室外无线网络的情况, 并进行排除故障和报告 作为思科统一无线网络的管理平台,Cisco WCS 是支持高性能的应用程序和关键任务的解决方案, 简化业务运营并提高生产效率 该系统还支持 Cisco CleanAir 技术, 这项技术是思科统一无线网络的系统级功能, 它使用硅片级智能创建自行恢复和自行优化的无线网络 Cisco CleanAir 技术在为 n 网络提供性能保护的同时, 通过自动减缓射频 (RF) 干扰的影响, 提高无线网络的可靠性, 来支持关键任务应用程序

26 Cisco WCS 是一个全面的平台, 伸缩自如, 可满足跨本地 远程 国内和国际位置的大中小型无线局域网的各种需求 此项获奖的解决方案可使 IT 经理在需要时立即使用所需的工具, 只要从一个集中位置便可实施和维护安全的无线局域网, 不仅效率更高, 而且最大程度地减少了 IT 人员配备 Cisco WCS 直观的用户界面和使用简易的内置工具, 可提高 IT 效率 降低 IT 培训成本并最大程度地降低对 IT 人员配备需求, 从而显著降低运营成本, 即使网络不断扩展也是如此 与重叠管理工具不同的是,Cisco WCS 通过将全方位管理需求 ( 包括射频 控制器和服务 ) 结合到单个统一平台来降低运营成本 灵活易用的平台 Cisco WCS 是新老 IT 管理员理想的管理平台 对需要自动化管理体验的用户来说, Cisco WCS 简单直观的用户界面可降低复杂性, 而全面的生命周期管理功能可满足最高级 IT 管理员的需求 Cisco WCS 内在的灵活性使每位用户都能够定制管理界面, 仅显示达成运营目标和业务目标所需的最相关信息 无缝可扩展性 Cisco WCS 可进行扩展以管理数百个思科无线局域网控制器, 这些控制器进而可管理数千个 Cisco Aironet 无线接入点, 包括下一代 Cisco Aironet 和 1140 系列 n 无线接入点 对于大规模的室内和室外部署,Cisco WCS Navigator 组件, 可以同时支持管理多达 20 个 Cisco WCS 平台和 30,000 个思科无线接入点 通过将 Cisco WCS 与思科移动服务引擎 (MSE) 进行集成, 可简化环境感知软件和自适应无线入侵防御系统 (wips) 等思科移动服务的添加过程 全面的无线局域网生命周期管理 Cisco WCS 以经济高效的方式支持无线局域网生命周期的各个阶段, 从规划和部署 到监控 乃至故障排除和定制报告 Cisco WCS 使无线局域网的运行在生命周期的各个 阶段都更加有效和高效 图. 全面的无线局域网生命周期管理

27 规划 通过 Cisco WCS 的内置规划和设计工具套件, 有效支持关键业务数据 语音和视频 服务的无线局域网设计得以简化 图. 简化的无线局域网规划和设计 Cisco WCS 规划和设计工具可简化以下流程 : 针对标准建筑和形状不规则的建筑, 定义无线接入点的布局并确定无线接入点的覆盖区域 这些工具可让 IT 管理员清楚地了解射频环境, 从而更容易显现理想的射频环境 预期未来的覆盖需求和评估无线局域网活动 这些工具可帮助 IT 管理员减少 ( 在许多情况下甚至是消除 ) 不适当的射频设计和覆盖问题, 避免产生最终用户故障通知单 专业化的 Cisco WCS 规划工具支持对无线局域网就绪性进行直接评估, 以支持无线 局域网上的语音服务和环境感知 ( 位置 ) 服务 无线局域网上的语音服务支持具备 Wi-Fi 功

28 能的单模和双模电话 环境感知服务与思科移动服务引擎相结合, 使用思科申请专利的 射频指纹 技术查找 跟踪和管理具备 Wi-Fi 功能的设备及其环境信息 部署 通过众多的 Cisco WCS 集成配置模板简化流程, 无线局域网可以快速投入使用 经 济高效的满足最终用户的需求 这些易于使用的模板和部署工具可帮助 IT 经理调配和配 置无线局域网, 明确提供其业务所需的服务 图. 灵活的部署工具和配置模板 通过易于使用的界面, 可以获得 Cisco WCS 灵活的模板, 这使得跨一个或多个无线 局域网控制器应用常用配置变得非常简单 您无需考虑这些控制器在网络中的位置, 无论 它们是与 Cisco WCS 位于同一局域网 位于单独的路由子网还是跨广域网连接都一样 只需单击一个按钮,IT 管理员便可简化整个无线网络最为复杂的控制器配置 更新和 调度 通过可支持单个或多个无线接入点定制配置的易用模板, 自动设置无线接入点也同 样简单 监控 Cisco WCS 是一个理想的管理平台, 可用于监控整个无线局域网, 以维持卓越性能 并向移动最终用户提供最佳无线体验 Cisco WCS 的集中化界面使得根据需要或预定随 时随地访问信息变得非常简单

29 Cisco WCS 易于使用的图形显示可作为维护 安全 故障排除和未来能力规划活动 的起点 通过各种入口点, 可以快速访问有关网络中出现的正常和不正常事件的可操作数 据, 这使得 Cisco WCS 对于持续的网络运行至关重要 Cisco WCS 中持久可用的警报摘要简化了基于严重性对关键信息 故障和警报的访 问, 便于更快地评估重要通知并快速解决问题通知单 当启用了位置服务时, 完全支持检 测 定位和控制未经授权 ( 欺诈 ) 设备的功能 图. 持久可用的警报摘要和简化的欺诈设备检测与定位 故障排除 Cisco WCS 的集成工作流和大量故障排除工具可帮助 IT 管理员快速确定 隔离和 解决思科统一无线网络所有组件中出现的问题 Cisco WCS 支持在 IT 人员配备最少的 情况下, 对任何规模的无线局域网进行快速故障排除 Cisco WCS 便于快速评估服务中断 接收有关性能降低的通知 研究解决办法和采 取行动来补救非最佳状况 集成的工作流支持在所有基础设施组件和客户端设备的所有工 具 警报 警告 搜索和报告之间进行无缝连接 各种工具配合使用, 帮助 IT 管理员了解无线局域网上出现的细微运行差别, 并发现 基准参数之外的非最佳活动, 例如客户端连接或漫游问题 Cisco WCS 中持久可用的搜 索工具便于跨网络访问无线网络中任意位置的设备和资产的相关即时信息和历史信息 如

30 需清楚地了解射频性能 状态统计和空气介质质量, 可以使用射频资源管理 (RRM) 和空 气介质质量信息 图. 内置射频资源管理和空气介质质量评估 Cisco CleanAir 技术支持查找 分类 关联和减少来自 Wi-Fi 和非 Wi-Fi 的干扰源, 如欺诈无线接入点 微波炉 蓝牙设备和无绳电话等 Cisco CleanAir 可提高空气介质质 量, 创建自行恢复和自行优化无线网络, 从而减缓无线干扰源的影响 图. Cisco CleanAir 技术 内置客户端故障排除工具提供分步方法, 为所有客户端设备分析故障 此工具通过加快解决各种 Wi-Fi 客户端设备类型的问题通知单, 有助于降低运行成本 这一强大的客户端故障排除工具还可以协助进行客户端趋势分析 当使用思科兼容扩展 (Cisco Compatible Extensions) 客户端和 Cisco CleanAir 技术时, 专业化诊断工具可用于支持连接问题的深入分析 图. 内置客户端故障排除工具支持分步问题分析

31 报告 Cisco WCS 包括可定制的报告, 用于协助 IT 团队更有效地管理 维护和不断发展 无线局域网, 以满足持续的业务需求和运营需求 灵活的报告可用于在适当的时间, 以满 足任何需求的方式, 访问适当的数据 图. 可定制的报告满足任何需求 各种各样的报告可用来帮助 IT 经理立足前沿, 随时掌握网络发展趋势 保持对网络的控制 审核运营状况并快速应对不断变化的业务需求和最终用户需求 可根据用户定义的参数来定制报告 通过从数个报告收集数据并分析趋势以了解无线局域网随时间发生的变化, 可简化对任意位置和时间的网络运行状况的详细分析以及能力规划 了解无线局域网趋势使得对未来增强与发展的规划变得更加轻松

32 3.3 无线网络系统的安全防护设计 无线安全防护构架 全面层次化的安全防护, 无线安全防护须从 RF 物理层面到应用层面全面地进行考虑 无线安全是一个层次化的防御体系 接入点控制器 接入点 IPS/SCE 用户组 A 管理帧安全 VLAN A 用户群分类 用户组 B 用户组 C 用户组 D 物理接入区域 RF 干扰 SSID 无线接入安全策略 空中数据安全接入安全 Web MAC 802.1x NAC BSSID VLAN C VLAN D VLAN E 有线侧安全控制 PH 层 MAC 层 L2~L7 思科整体解决方案提供了网络从 RF 层面到网络七层全面的安全防护, 充分的保障了 无线网络目前以及未来无线宽带业务的安全 物理层防护 存在问题 : 无线信号广播问题 : 无线信号的广播使得非法或恶意用户更加容易接入网络 干扰避免 无线覆盖漏洞 : 无线信号有可能会由于某个 AP 出现问题而引起无线覆盖空白区无线

33 无线信号干扰 : 在无线环境中在某些情况下会出现信号干扰问题 ( 比如为了要求高容 量临时增加了 AP 的数量, 其他非 WiFi 设备的同频或杂散干扰 ) 资源侵占 : 非认证用户通过接入 AP 互传数据恶意侵占无线资源, 造成合法用户无法 得到合理的无线资源保证 问题解决 无线信号广播问题 : 通过信号的指向型部署, 如在室内部署 AP 采用 Cisco 的轻量级在网管侧配置板状定向天线系列实施角度覆盖, 可以减少由于其全向覆盖造成的信号泄漏 禁用广播 SSID 将导致非法或恶意用户无法获取带有 SSID 的信标, 这将保护那些隐藏在 SSID 后的用户群组 无线覆盖漏洞 : 无线控制器可以通过获取该 AP 周边其他 AP 反馈的无线环境状况发 现问题, 并通知周边 AP 扩大覆盖范围来弥补信号漏洞 无线信号干扰 : 无线控制器可以通过 AP 及时发现这些干扰的存在并对其周边 AP 进 行参数调整 ( 功率 频点 ), 以避免干扰 无线系统可以对 WiFi 和非 WiFi 的设备进行统 计告警以及分析 通过思科 CleanAir 技术发现定位干扰源并减轻干扰对网络的影响 资源侵占 : 通过无线控制器阻隔 AP 下用户的互通, 可以有效控制 Web 认证用户不经 认证利用 AP 对无线资源的占用 链路层安全 存在问题 : 管理帧参数没有加密 : 标准中由于管理帧参数不加密或缺乏验证机制很容易造 成中间人攻击的行为发生, 一个入侵者通过篡改管理帧来达到用户流量的分析及篡改 链路层数据安全 :Mesh AP 节点之间为空中链路, 如果没有有效的加密保护措施将会 导致中间人攻击行为或泄密问题 室内瘦 AP 点与无线控制器之间需要通过二层或三层网络, 所以无线控制器与 AP 的 控制消息之间如果没有数据加密和完整性验证将会导致中间人攻击行为

34 关键用户 ( 高权限管理人员 ) 的无线客户端有在于 AP 交互数据的过程中如果不进行空中 链路的保护无线数据将会被他人窃听, 造成严重的泄密 无线侧的网络攻击 : 管理框架洪水 未认证的入侵 认证洪水 探测请求洪水 伪冒 AP 洪水 零探测响应 EAP 握手洪水等等 上述攻击都会造成 AP 无法正常工作以及无线资源的耗尽 流氓 AP 和 AdHoc 用户 : 流氓 AP 可以实施中间人攻击, 流氓 AP 可以假冒 SSID 甚 至 BSSID, 这种方式如果被用于在空口进行用户的数据接收和转发那么传统的 WLAN 系 统将无法识别此类流氓 AP 以及 AdHoc 用户 用户接入安全 : 如果选择不合理的用户接入方式会导致严重的安全问题 问题解决 : 管理帧参数没有加密 : 管理帧保护 (MFP) 是通过在 AP 管理帧上增加了基于无线网 络配置的校验字段, 通过该字段来标识管理帧的合法性, 任何对管理帧的篡改都会被系统 识别出来 链路层数据安全 :Mesh AP 节点之间空中链路的安全可以通过 Mesh AP 之间的加密 来实施,Cisco Mesh 节点的无线空口所有数据都是基于 AES 进行加密的 室内瘦 AP 点与无线控制器之间的控制部分也是经过 AES 来实现加密的

35 客户端与 AP 之间的空口可以通过 WPA 或 WPA2 来实施动态安全加密 流氓 AP 和 AdHoc 用户 : 无线控制器可以及时的发现网络中间存在的流氓 AP, 针对 这些 AP 无线控制器通过网管可以及时发现并产生告警, 通过定位服务可以发现流氓 AP 的具体位置, 并引导网管员实施操作, 对无意中连接到该 AP 上的用户实施阻断 无线侧的网络攻击 : 无线控制器作为控制所有所属 AP 的大脑, 本身也是一个无线侧的 IDS 系统, 针对攻击无线控制器通过网管可以及时发现并报告攻击的产生, 通过定位服务可以发现攻击者的具体位置, 并引导网管员或自动实施策略操作, 对该非法用户实施阻断 还可通过 MSE 上的高级自适应无线入侵检测和入侵防护系统增加安全性! 用户接入安全 : 用户接入安全的原则是权限越高的用户接入方式要越加严格, 对于公众用户可以采用 Web 认证的方式, 但这些用户无法接触到敏感数据资源 Cisco 的 NAC 框架, 通过 802.1x 和客户端信息的 ( 系统信息 补丁信息 病毒信息 ) 结合来确定该用户去隔离免疫区还是正常上网 不同区域映射到不同的 VLAN 中而引导用户进入不同 VLAN 的策略是由 Radius 携带的 VSA 下发给无线控制器的 所以对于 802.1x 用户可以实现在同一个 AP 同一个 SSID 下动态 VLAN 的分配 对于用户接入的网络我们可以采用在同一个 AP 下针对同一或不同的 SSID 对应不同 的 VLAN 以及认证模式, 所以灵活的对应关系可以确保彻底全面地执行网络接入安全策略 网络上层安全 存在问题 : 带宽肆意侵占 蠕虫病毒泛滥 针对应用服务系统的攻击 对网络中其他主机的攻击 对敏感资源的好奇

36 问题解决 : 蠕虫病毒 恶意代码防范 :Cisco IPS 系列设备检测器是专用型高性能网络安全设备, 将许多高新检测技术结合在一起, 包括状态样式识别 协议解析 启发式检测和异常检测, 能够阻止网络上的非法恶意行为, 例如黑客发动的攻击, 检测器能够实时分析流量, 使用户能够快速对安全问题作出反应 IPS 可以联动无线控制器对不正常的用户执行排除策略, 确保有效的无线资源 CSA 终端防护是基于行为的入侵防护, 易于管理, 与网络系统融为一体, 自动阻止攻 击, 特别是新的病毒和蠕虫 Cisco NAC 网络解决方案, 在终端接入网络时, 根据终端的安全状态来控制终端的接 入权限, 从而防止恶意代码在网络范围的扩散 无线控制器本身也具备 IPS 接口,IPS 执行流量检索后会将攻击信息反馈给无线控制 器, 无线控制器可以和 IPS 联动在 AP 接入侧对用户执行操作 业务 应用带宽管理 : 根据业务优先分级, 需要对高级别的业务进行带宽保障, 同时 多低级别的业务进行带宽限制 分析和了解网络中的各种应用流量,SERVICE CONTROLL ENGINE 可以针对应用, 进行带宽保障和限制 DDOS 防范和安全管理 :Cisco Guard 流量异常检测器是一种完整的解决方案, 能够 帮助大型机构预防分布式拒绝服务 (DDoS) 或其它计算机的攻击 通过 Detector 的配合, Guard 能够持续监控去往受保护设备的流量, 对异常流量进行告警和防御 思科安全监控分析和响应系统 (MARS) 是一个高性能 可扩展的威胁管理 监控和防御设备系列, 将传统安全事件监控与网络智能 上下文关联 因素分析 异常流量检测 热点识别和自动防御功能相结合, 可帮助客户更为高效地使用网络和安全设备 通过结合这些功能, 思科安全 MARS 可帮助公司准确识别和消除网络攻击, 且保持网络的安全策略符合性 IPS 联动机制 : 客户端感染网络病毒或利用攻击软件向上行发送攻击性流量 IPS 检测网络流量发现该用户发送的攻击流量, 随即将该用户加入到黑名单

37 控制器通过接口协议对 IPS 用户进行黑名单轮询, 并发现新加入列表的非法 用用户 控制器随即在其所辖的 AP 下实施空口阻断, 空口阻断后该非法用户将无法 与控制器所辖的任意一个 AP 实现关联 所以, 思科提供了基于有线无线集成的统一的端到端的安全架构, 下面我们详细讨论 思科无线安全系统在各方面的实现情况 思科 CleanAir 技术 : 实际应用中的频谱智能和安全 Wi-Fi 变得至关重要 企业 Wi-Fi 网络设施的最初目的是为了在前厅或会议室上网提供方便 对于这些应用, 尽力而为 级别的性能即可接受 如今,Wi-Fi 已发展成熟, 部署到了许多关键应用中 医院使用 Wi-Fi 对患者病例进行移动访问, 以及远程监控辅助床边系统 在零售业和制造业,Wi-Fi 用于物流和业务交易 小型分支机构开始将 Wi-Fi 用作网络访问专用方法, 从而取代有线连接 而且,Wi-Fi 越来越多地用于对干扰影响很敏感的语音和视频应用 在所有上述示例中, 人们都希望 Wi-Fi 网络的运行具有极高的可靠性 人们无法再接 受 Wi-Fi 网络由于干扰而意外停机 干扰 : 无线网络的威胁 微波炉 无绳电话 RF 干扰器 移动检测器 邻近的无线网络和无线安全摄像头是一些可能关闭您无线网络的干扰源, 会导致企业生产力停滞不前 由于 RF 频谱涉及许多不断变化的因素, 因此 IT 经理需要了解频谱的情况, 以防意外停机 随着延迟敏感性应用程序 ( 如语音和视频 ) 进入企业,IT 经理更需要对干扰进行深入了解 解决 RF 问题不仅需要适当的工具, 而且需要进行适当的培训 许多企业在进行有效的 RF 故障排除方面缺乏内部资源和专业知识 Wi-Fi 所面临的不单纯只是性能方面的挑战, 也有安全方面的挑战 业界已经致力于了解欺诈无线接入点如何在企业网络中打开安全漏洞, 且已经达到了很好的水平 目前, 已经设计了无线入侵检测系统和入侵防御系统 (wids/wips) 来解决这一问题 但是, 当前 IDS 和 IPS 解决方案还有一些重大盲点, 如果不增加频谱智能就无法解决

38 当前 IDS/IPS 系统无法检测以专有扩展模式 ( 如 Super G, 来自 Atheros) 运行的无线接入点 这些随时可用的设备是检测不到的 此外, 黑客还可能采用标准 Wi-Fi 设备 ( 例如, 运行 Linux) 并对其进行修改, 以使其在非标准信道上运行或以其他非标准调制方案运行 只有在您分析射频物理层以后, 才能检测到这些扩展或修改的设备 除 Wi-Fi 设备外, 许多其他类型的非 Wi-Fi 设备 ( 包括蓝牙无线接入点 运行较早标准 ( 如 FH) 的无线接入点, 以及专用无线网桥 ) 也可以用于打开网络中的漏洞 对于网桥, 这些设备可以将数据发送给距离您的大厦数公里远的攻击者 再重复一次, 只有在您分析频谱上出现的所有设备后, 才能检测到这些类型的设备 除欺诈设备的威胁外, 怀有恶意的人的威胁也始终存在, 他们尝试利用射频拒绝服务 (DoS) 攻击, 使您的 Wi-Fi 网络失效 虽然 IDS/IPS 系统能够监控许多 协议层 DoS 攻击, 但它们检测不到可能通过干扰设备或 Wi-Fi 设备 ( 这些设备在诊断干扰模式下设置 ) 实施的射频层 DoS 攻击 除有目的的攻击外, 还有一些简单设备 ( 如无线视频摄像头或模拟无绳电话 ) 可能会意 外导致网络陷于干扰之中 集成式频谱智能和频谱管理对确定射频级别 DoS 安全威胁的类 型非常有效 Cisco CleanAir 技术的价值 Cisco CleanAir 技术提供 n 的性能和支持关键任务应用程序所需的可靠性, 同时还能以智能方式避免干扰的影响 CleanAir 技术是思科统一无线网络的一个系统范围功能, 可通过提供无线频谱的完整情况, 简化操作和改进无线性能 CleanAir 具有独特的能力, 可检测其他系统检测不到的 RF 干扰, 识别干扰源, 在地图上找到它, 然后进行自动调整来优化无线覆盖范围 通过 CleanAir, 您可以访问无线网络中任何位置的设备和资产的实时信息和历史信息 如今,IT 经理可以根据智能信息实施策略, 快速采取行动来改进网络性能 CleanAir 技术包括 Cisco Aironet 3500 系列接入点的高级硅片设计以及思科无线控 制器 思科无线控制系统 (WCS) 和 Cisco 3300 移动服务引擎启用 Cisco CleanAir 可使企业 : 自动优化无线 LAN 以提高可靠性和性能 执行远程故障排除, 以便快速解决问题并减少停机 检测非 Wi-Fi 安全威胁并实时解决问题 查看历史干扰信息, 以便进行回溯分析并快速解决问题 通过无线设备的智能识别来设置和实施策略

39 自行恢复 自行优化的无线网络 如果干扰源足够强, 能够完全干扰 Wi-Fi 频道, 那么应用 CleanAir 技术, 系统就会在 30 秒内更改频道, 以避免干扰, 并继续在受影响区域以外的其他频道上进行客户端活动 系统能记住从微波炉 网桥或无线视频摄像头发出的间歇性干扰, 避免使用运营这些设备的频道, 以防将来造成干扰 许多公司都声称自己拥有集成干扰检测系统, 但他们的产品无法区分 Wi-Fi 和非 Wi-Fi 干扰 其他制造商的频谱智能产品可能会错误地将网络噪音解释为干扰并随机切换频道, 这会危及网络稳定性, 而且可能会降低整体网络性能 Cisco CleanAir 技术使用硅片级智能, 可精确地检测 20 多种干扰类型并加以分类, 只有在它认为干扰非常严重, 以致影响网络性能时, 才会更改频道 如果 CleanAir 更改频道, 它会考虑整个网络频道策略, 然后确定首选的频道更改 所有这些智能功能可创建一个自行恢复 自行优化的无线网络, 从而为 n 网络提供性能保护 故障排除调查分析可快速解决干扰并主动采取措施 通过 CleanAir 技术, 您可以利用易读的 空气介质质量指数, 充分了解无线频谱的 性能和安全性 该指数可识别出现问题的区域, 并在接入点 楼层 建筑物和园区环境中找 出问题区域 CleanAir 可减少停机 网络管理员可以设置警报, 以便在空气介质质量低于预期阈值时得到通知 另外, 还可以将系统配置为自动实施安全或管理策略 Cisco CleanAir 生成报告来帮助网络管理员对亟需关注的干扰问题排定优先级, 便于网络管理员轻松地了解细节, 以进行进一步的网络分析 报告包括最差 RF 条件汇总 最近的安全风险干扰源 阈值警报和历史图表 通过主动监控 空气介质质量指数 图表和 30 天的干扰报告, 管理员可以规范正常行为并监控网络趋势, 从中看出未来可能发生的问题, 以免影响网络性能 快速 准确的干扰检测可减少误报 由于大多数设备都不断地在移动或者开启和关闭的速度很快, 因此很难跟踪干扰 即使成百上千个设备在极为繁忙的 RF 环境中同时运行,CleanAir 也能在 5 至 30 秒内对 20 多种干扰进行分类 CleanAir 分类的准确性和快速性是其主要优势, 因为它可减少无干扰时 ( 仿真干扰 ) 的干扰报告, 并消除多个 AP 检测到的同一设备的重复报告 另外, 它还可减少发生错误标记干扰源的情况, 从而减少管理员通常浪费在搜索错误类型设备上的时间 提供远程访问, 可更有效地解决问题并减少差旅 对于远程故障排除, 频谱专家连接模式从专家视角提供来自个别接入点覆盖区域的物理级别频谱图 虽然 CleanAir 技术提供大量更高级别的分析数据, 包括对设备进行分类和评估无线空气介质质量的报告, 但有时难免需要查看实时 原始频谱数据, 以找到难以诊断的干扰问题 这在干扰类型没有包含在标准分类列表中时非常有用 高效的策略实施

40 通过实施策略来阻止干扰 Wi-Fi 网络的设备一直以来都是网络管理员难以解决的问题 2.4-GHz 电话就可能使零售环境中用于库存跟踪的手持扫描仪失效 当有人在打 Xbox 游戏时, 大学校园网络将无法正常使用 应用 CleanAir 技术, 网络管理员便能够跟踪网络性能, 找到并查看非 Wi-Fi 设备产生的影响, 实施策略, 防止已知干扰源影响网络速度或危害网络安全 强大的安全性 从安全性角度看, 在地图上跟踪设备可使您立刻了解要将安保人员派往哪里 有许多网络威胁是传统的 IDS/IPS 系统检测不到的 原因在于只能在 RF 级别检测到它们 这些威胁包括专有无线网桥, 以及较早的标准, 如 FH 这些威胁还包括在非标准运行频率上运行或使用非标准调制的恶意 Wi-Fi 设备 当然, 干扰设备也会经常发生拒绝服务类型攻击 除在地图上查看影响安全的设备外, 管理员还可以根据设备或位置来配置定制警报 这 是一种强大的功能, 因为某些设备在建筑物的一些区域 ( 例如, 交易翼 ) 内可能被认为是威 胁, 但在其他区域 ( 如建筑物大厅 ) 则不被认为是威胁 用户的认证和加密 WLAN 可能会遭受多种类型的攻击 思科无线网络系统在使用 802.1X-EAP TKIP 或 AES 时, 可以防止网络遭受多种网络攻击的影响 如下表所示 : 新的安全技术有助于制止网络攻击 攻击类型 安全改进 身份验证 : 开放加密 : 静态 WEP 身份验证 : 思科 LEAP,EAP-FAST, EAP-TLS 或者 PEAP 加密 : 动态 WEP 身份验证 : 思科 LEAP,EAP-FAST,EAP-TLS 或者 PEAP 加密 : TKIP/MIC,AES 中间人 不安全 不安全 安全 身份伪装 不安全 安全 安全 薄弱 IV 攻击 不安全 不安全 安全 (AirSnort) 分组伪装 ( 重复 不安全 不安全 安全 攻击 ) 暴力攻击 不安全 安全 安全 字典攻击 不安全 安全 安全

41 在现有的无线网络数据加密技术中, 除了要考虑加密算法外, 还应当考虑传输密钥的 管理 思科已经在产品方案上实施了 TKIP/AES 加密技术, 可以有效改善无线链路的通讯安 全 TKIP 主要包括两个关键的对 WEP 的增强部分 :1, 在所有 WEP 加密的数据包上采 用报文完整性检测 (MIC) 功能, 以更有效的保证数据帧的完整性 ;2, 针对所有的 WEP 加 密的包实行基于每个数据包密匙的方式 MIC 主要是用来改善 低效率的 Integrity check function (ICV), 主要解决两个 主要的不足 :MIC 对每个无线数据帧增加序列号, 而 AP 将丢弃顺序错误的帧 ; 另外在无线 帧上增加 MIC 段,MIC 段则提供了更高量级的帧的完整性检查 有很多报告显示 WEP 密匙方式的弱点, 报告了 WEP 在数据私密和加密上的很低功效性 在 802.1X 的重认证中采用 WEP 密匙旋转的办法可以减轻可能经受的网络攻击, 但没有根本解决这些问题 i 的标准中 WEP 增强机制已经采纳了针对每个分组的 WEP 密匙 并且这些技术已经在 Cisco 的 WLAN 设备中得以实施 AES 是一种旨在替代 TKIP 和 WEP 中使用的 RC4 加密的加密机制 AES 不存在任何已知攻击, 而且加密强度远远高于 TKIP 和 WEP AES 是一种极为安全的密码算法, 目前的分析表明, 需要 2 的 120 次方次计算才能破解一个 AES 密钥 还没有人真正做到这一点 AES 是一种区块加密法 这是一种对称性加密方法, 加密和解密都使用同一个密钥, 而且使用一组固定长度的比特 即所谓的 区块 与使用一个密钥流对一个文本数据输入流进行加密的 WEP 不同,AES 会独立地加密文本数据中的各个区块 AES 标准规定了三种可选的密码长度 ( 和 256 比特 ), 每个 AES 区块的大小为 128 比特 WPA2/802.11i 使用 128 比特密钥长度 一轮 WAP2/802.11i AES 加密包括四个阶段 对于 WPA2/802.11i, 每轮会重复 10 次 为了保护数据的保密性和真实性,AES 采用了一种名为 Counter-Mode/CBC-Mac (CCM) 的新型结构模式 CCM 会在 Counter 模式 (CTR) 下使用 AES, 以保护数据保密性, 而 AES 采用 CBC-MAC 来提供数据完整性 这种对两种模式 (CTR 和 CBC-MAC) 使用同一个密钥的新型结构模式已经被 NIST( 特殊声明 C) 和标准化组织 (IETF RFC-3610) 所采用 CCM 采用了一种 48 比特的 IV 与 TKIP 一样,AES 使用 IV 的方式与 WEP 加密模式有所不同 在 CCM 中,IV 被用作用于制止重复攻击的加密和解密流程的输入信息 而且, 因为 IV 空间被扩展到 48 比特, 发生一次 IV 冲突所需的时间会以指数形式增长 这可以提供进一步的数据保护 由于 WEP 与 TKIP 均采用统一加密算法 RC4 算法实现, 可不幸的是,RC4 算法已经 被破解, 虽然 TKIP 依然采用了动态密钥交换技术, 但是由于算法的破解,TKIP 还是可以 破解, 只是相对 WEP 破解难度稍大 目前足够强壮和安全的算法只有 AES, 所以对于网络要求极高的用户, 强烈建议采用 AES 的方式进行加密 由于 AES 算法的严密性和强壮性, 他对设备的消耗极大, 所以我们

42 也必须考虑到 AES 对于设备和系统的消耗, 在设备选用时, 需要完全考虑 AES 加密后的转 发性能 无线接入点的接入认证 在集中化无线网络架构下, 无线控制器完全控制和管理无线接入点, 那么无线接入点 是否为一个合法接入网络的设备值得我们探讨 如上面的图例所示, 思科无线控制器和无线接入点系统中, 都内嵌了 X.509 证书, 通 过证书, 无线控制器和无线接入点之间可以互相认证对方的合法性, 保证网络中的设备的合 法性 Campus Network AAA/DHCP Authorized Users/Devices 除此之外, 思科还能提供关于 AP 接入点更高级的特征 -AP 的 802.1x 认证 如上图所 示, 无论是最终用户或者是思科的轻量级 AP 都可以通过 802.1x 的方式进行认证接入, 思 科的轻量级 AP 设备可做为 802.1x 的被认证点, 通过在后台 AAA 服务器内用户名和密码的

43 比对, 有线交换机决定允不允许开放连接 AP 的交换机端口 这样, 可以更进一步的提高网 络中 AP 的接入安全 无线控制帧的安全管理 (MFP) 在目前的无线网络技术的实现过程中, 无线管理帧是没有经过认证 加密和签名的, 所以相对来说还是会导致很多不安全因素 网络供给者可以通过模拟无线网络中的管理帧信 息来破坏网络状态和窃取网络信息, 从而造成用户掉线,AP 无法正常接入用户的现象 在思科的无线网络中, 思科通过在网络管理帧内部插入 MIC, 可以及时的保护网络管理帧信息, 防止黑客的恶意攻击 如下图所示, 并且思科支持管理帧加密混合模式, 即如果客户端不能支持 MFP 特征, 无线 AP 也允许这类客户端接入, 但对于管理帧消息仅保护拥有支持 MFP 特征的客户端 这样, 对于高级用户或者对于安全性要求极高的客户群我们可以保证其这方面的安全特性, 也同时可以兼容对于安全性要求不是特别高的用户 MFP Protected MFP Protected FUTURE- CCXv 基于 2-7 层内容的入侵检测系统 ( 无线 IPS IDS 系统 ) 目前无线网络的安全还包括了对于无线攻击的检测并且屏蔽, 这些攻击可能是基于 2 层的, 而更多的可能是基于一些应用层的攻击, 在这种情况下, 准确的判断来自应用层的供 给是为整个网络提供安全的保障 思科无线系统内嵌了 WIDS 系统, 可以帮助客户解决来自于无线的入侵攻击问题

44 一旦发现无线侧攻击或如下情况比如 IP 地址盗用 多次关联失败 多次认证失败 多 次 Web 认证失败等, 思科无线网络会自动把具有类似行为的无线客户端剔除 除了基于无线的 2 层的 IPS 保护以外, 思科还可以通过结合有线部分的基于 7 层的 IPS 设备提供 2-7 层的防护, 通过 2-7 层 IDS 设备的检测, 及时的把非法客户端进行屏蔽, 如 下图所示

45 特别值得提到的是, 一般的 IDS 的实现方式是, 当无线网络的 2-7 层攻击进入有线网 的时候才被 IDS 发现, 这时,IDS 只能隔断进入有线网的攻击流, 但是此时, 无线设备已 经被攻击流攻击瘫痪, 虽然攻击进入不了有线网, 但是缺影响整个无线用户 而思科的无线控制器和有线的 IDS 设备或者内嵌于 6500 交换机的 IDS 模块可以做到完全的无缝联动, 所有无线进入有线网的数据, 都会被 IDS 模块进行监测, 如果发现任何 2-7 层的网络攻击,IDS 模块会立即发消息给无线控制器模块, 无线控制器模块会立刻采取动作, 屏蔽该攻击的客户端, 从而保护无线 AP/Mesh 设备和无线控制器不受任何攻击影响 具体实现流程如下图所示 L2 IDS Client shun L3-7 IDS Controller Wired IDS 支持精确的非法 AP 定位和隔离, 保证无线网络免受无线类的安全攻击 思科的无线系统对于非法 AP Ad-Hoc 设备的具有非常严谨并有效的处理过程, 在思 科的非法 AP 的框架下, 用户采用无线系统不在担心非法 AP Ad-Hoc 带来的无线危险问题

46 总的来讲, 我们可以通过以下四步对非法 AP 进行处理 如下图 思科的无线网络系统也可以通过运行在接入模式下的无线接入点对非法 AP 进行抑 制, 移除非法 AP 上的所有客户端, 有效的防止非法 AP 对于普通客户端的欺骗行为 但是, 必须指出的一点是, 如果某个 AP 需要对非法 AP 进行发现和抑制, 它需要这 个 AP 不间断的扫描网络中所有信道, 并在非法 AP 工作的信道不间断的发出一些模拟的管 理消息帧, 所以这样的行为 ( 对于非法 AP 的检测和抑制 ) 极为消耗 AP 的资源, 大多数厂

47 商均是通过部署 AP 在特定的模式 (Monitor) 进行该处理, 所以如果完成这样的功能, 客 户需要的 AP 数量是正常接入模式数量的一倍 ( 接入模式的 AP+Monitor 模式的 AP) 但思科所有的无线接入点均有特殊芯片设计, 所以可以保证在接入模式下就可完成对 于非法 AP 的检测 抑制工作, 而不影响 AP 的接入性能 另外, 仅仅是通过无线设备对非法 AP 进行抑制还是不够的, 彻底解决非法 AP 问题 的方法是关闭非法 AP 连接的交换机端口, 当然更彻底的是从物理上移除该非法 AP 思科的有线无线集成的网络系统完全可以提供非法 AP 的检测和联动功能, 在思科的 系统里, 一旦无线网络检测到非法 AP 存在, 即可发出指令控制接入交换机关闭连接非法 AP 的交换机端口, 具体流程如下 WCS L2 Switched Network Rogue AP 最后, 确定的发现非法 AP 的精确位置可以帮助管理员及时的从物理上排除非法 AP, 彻底解决非法 AP 带来的安全隐患, 思科的无线系统同时集成了精确的定位功能, 可以帮助管理员在网管界面上准确的定位出非法 AP 的真实物理位置, 从而帮助管理员轻松的移除非法 AP 实例如下图所示

48 3.3.8 终端的安全接入保证 (NAC) 在用户进行有效的鉴权以后, 用户拥有了接入无线网络的先前条件, 但是对于这个用户使用的终端设备, 我们认为并不一定是完全安全可靠的, 比如用户终端的操作系统是否是最新的版本, 是否存在系统漏洞和安全隐患, 终端的病毒库是否及时更新, 操作系统是否被安装了木马程序等等 即使拥有了合法的用户名和密码或者安装的合法的数字证书, 以上这些问题我们还是无法保证 针对这些问题, 思科采用 NAC 系统进行无线的终端安全接入保证, 过程如下图所示, 终端在鉴权以后,Radius 认证服务器会通过和第三方服务器进行交互以校验用户终端的操作系统 病毒库等方面的合法性 用户满足条件后, 才可以通过整个认证过程, 从而接入进无线网络系统 如果某些方面不满足安全要求, 用户会被放入一个制定的隔离的网段进行相关软件和补丁的升级, 升级完毕以后再进行校验, 通过后则允许进入无线网络系统

49 3.3.9 回传链路数据的安全加密 在 Mesh 网络中, 所有 Mesh 设备的数据都是通过无线链路进行回传的, 所以对于无 线回传链路上的数据的安全是非常重要的问题 思科在所有 Mesh 无线回传链路上都提供了基于硬件的高效 强壮的安全加密机制 (AES), 通过 AES 的加密, 可以保证回传链路上的数据不被破译及攻击 如下图 Mesh 节点之间的链路加密情况, 终端快速 安全漫游机制的实现 (CCKM) 在一些核心业务的运作当中, 数据是需要进行加密的, 那么在漫游过程中就要涉及到加密密钥的交换 在一般情况下, 密钥的交换会涉及到无线客户端 无线接入点 无线控制器还有后台的认证服务器 这样, 就会导致切换过程中切换时间的延长 对于一些关键业务及对于时间敏感的业务来说, 切换时间的要求非常高, 所以, 这里就需要一种体制来保证在加密情况下的高速 高效的切换过程 思科通过 CCKM 机制 (Cisco Centralized Key Management) 来保证高速 高效的安 全切换, 通过这种方式, 可以加速密钥交换过程, 从而缩短切换时间 独特的访客隔离机制 思科独有的无线访客技术可以保证跨地区漫游用户与无线网内部用户的隔离 将访客 和无线网络完全逻辑隔离, 在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线 用户的安全 无线网络在提供内部用户的安全接入的同时, 还需要提供一些访客的接入 同时对于 这两种类型用户的接入, 要求无线系统对整个网络不带来任何影响和改动, 同时保证网络内 部的安全,

50 如下图所示方法, 为传统模式下, 实现访客接入的方式, 这样访客的数据流也会终结 在内网中, 会给网络带来潜在的威胁, 同时需要对网络进行配置改动, Internet DMZ Corporate Network Isolated Guest Traffic 802.1Q Trunk Corporate SSID Guest SSID Corporate SSID Guest SSID 思科提供了一种先进的访客接入技术, 如下图所示, DMZ Internet Guest Traffic tunneled to DMZ via Ethernet over IP Tunnel Corporate Network Corporate SSID Guest SSID Corporate SSID Guest SSID 通过这种方式, 我们可以把访客的数据流终结到防火墙的安全 DMZ 的区域, 然后通 过防火墙的安全机制对数据流进行限制和管理, 同时不用影响任何内网中的配置, 做到对以 前系统的最小改动 安全的无线网络管理 对于解决不断出现的无线网络安全问题, 对于网络管理员的技术水平要求很高, 网络管理员为了全面的了解评估整网的网络安全的真实情况, 需要收集各个设备上的告警及 Log 信息, 这样会带来极大的工作量, 并且很难保证其材料的全面性, 往往会遗漏掉很多潜在的安全问题

51 针对这一问题, 思科的无线网管系统可以帮助客户全面 轻松的解决该问题, 思科网管系统里可以提供直观的 全面的安全评估面板, 指出客户的网络安全健康状况, 并详细列出无线网络中出现的各种问题, 加以一一分析 如下图所示, 网管系统提醒用户该网络存在比较严重的安全问题, 并列出了一些最严重的安全事件 所示 同时, 我们还可以通过详细的安全事件来对网络具体安全问题进行分析归类, 如下图

52 通过详细的安全列表, 我们可以非常直观的 全面的洞察网络安全威胁, 可以更好地 评估网络情况, 采取相应行动解决安全隐患 3.4 移动性应用 思科移动服务架构介绍企业运营的移动性正在不断提高 在过去几年中, 希望通过访问网络资源提高工作效率的员工数量显著增加, 而这种趋势在近期没有任何减缓的迹象 移动办公意味着在合适的时间, 让合适的用户能够通过合适的网络不间断地访问企业应用 要提供这样的体验, IT 需要谨慎地考虑网络的构建方式 移动设备的普及, 企业对统一多个接入网络的需求, 以及用户对移动应用的需要, 都增加了现有 IT 资源的负担 很少有 IT 部门能够增加足够

53 的资源来满足这些迫在眉睫的移动需求 然而, 通过采用一种新的方法来建设移动网络, 将可以在不需要增加大量 IT 资源的情况下, 简化移动办公服务的提供方式 为了提供真正的移动办公能力,IT 必须采取一种行之有效的方法, 集中精力统一不同网络, 管理不断增多的移动设备, 以及支持移动应用的开发 IT 必须改进现有的无线网络, 支持多种新型移动应用 而且, 这些应用必须能够支持多个网络, 并可以从小型企业扩展到规模非常庞大的企业 为了实现这样的转变,IT 必须创建一个能够协助开发多种移动应用的开放式网络平台, 从而将无线 LAN 转变为移动网络 这些移动应用需要采取独特的设计, 以提高企业的灵活性和竞争力 这样的平台必须具有一个开放的接口, 以允许第三方用一种统一的方式获得网络信息, 同时不会降低业务用网络的安全性和性能 为了做到这一点,IT 必须将服务层从网络层中分离出来 这种方法允许在多种接入网络中提供移动应用, 包括 Wi-Fi 以太网 蜂窝网络和 WiMAX 而且, 通过整合这些物理网络的控制和配置, 这有助于集成范围更加广泛的互联网 组件, 例如无源 RFID 和传感器网络 通过推出基于一款创新产品 (Cisco 3300 系列移动服务引擎 ) 的思科移动服务架构, 思科正在让这种转变成为现实 该平台可以集中提供各种网络服务和实现应用接口的标准 化, 从而帮助范围更加广泛的合作伙伴生态系统开发各个行业的移动解决方案 Cisco Motion: 移动服务架构 移动服务是指一组可以整合来自于网络不同环节的信息, 支持和优化移动办公应用的增值网络服务 这些信息通常广泛地分布于整个网络之中, 因而导致服务的配置和管理极为复杂 服务 控制和数据平面的组合不仅提高了复杂性, 而且限制了网络在保持统一性能的同时支持新型服务的能力 随着越来越多的企业决定用他们自己的网络支持移动办公, 服务 控制和数据平面的组合已经成为了限制网络支持移动应用的灵活性和规模的重要因素

54 要解决这个问题, 关键在于采用一种集中式的服务架构 虽然移动服务仍对通过提供网络信息来优化应用性能具有重要的意义, 但是它们应当从控制和数据平面中抽离出来, 集中到一个服务引擎 移动服务的集中管理可以提供多种优势, 包括提高可扩展性, 改进配置和管理 另外, 集中的服务架构还有助于去除服务和网络之间的直接联系, 让用户可以将服务拓展到多种类型的网络, 包括 Wi-Fi 以太网 WiMAX 和蜂窝等不同的接入网络 通过为统一控制和配置提供一种基于标准的方法, 服务的集中化还有助于整合来自不同物理网络的信息, 例如无源 RFID 和传感器网络 越来越多的企业开始意识到, 移动网络必须能够支持多种类型的应用 移动服务的真正价值在于, 它们能够通过提供来自于网络和相关应用的实时信息, 提升应用的性能 网络和应用信息的这种相互影响存在协同效应, 可以扩大企业所能提供的移动解决方案类型的数量和范围 同时, 要顺利地提供移动服务, 一个关键的条件是要确保第三方应用都具有一个标准的接口, 以便访问这些网络和应用信息 思科移动服务引擎支持一种基于简单对象访问协议 / 可扩展标记语言 (SOAP/XML) 的开放 API, 可以将这些服务与一个移动应用合作伙伴生态系统连接起来 通过将服务信息从控制网络集中到移动服务引擎,IT 部门可以开放对该 API 的使用, 而不需要担心对业务网络造成干扰 思科移动服务引擎可以通过集中管理移动服务改造移动架构, 从而提高移动应用开发 的灵活性和简便性 图 1 显示了移动服务架构的总体示意图 图 1 思科移动服务的总体架构

55 传统 WLAN 架构的限制 现有的无线 LAN 是为了传输无线数据而优化的 WLAN 控制器的使用有助于确保可扩展的 高性能的无线连接 但是, 现有的 WLAN 设备 ( 包括 WLAN 控制器在内 ) 并不适于提供企业所需要的, 用以支持各种新兴移动应用的服务 WLAN 架构的主要优点在于提供可靠的 大范围的无线连接, 这对于电子邮件 Web 浏览和文件传输等移动数据应用尤为重要 这种架构最主要的设计目的是, 在优化无线分组吞吐量的同时, 降低对部署和管理组件 ( 例如移动设备和无线接入点 ) 正常运行的影响

56 作为现有 WLAN 架构的核心,WLAN 控制器可以为所有网络组件提供实时的管理和网络优化 它的主要功能是集中管理网络运营和执行相关的策略 WLAN 控制器并没有针对服务交付平台进行专门的优化 现有控制器的设计目标是提供高性能的数据传输路径, 因而只为控制处理而使用了中等性能的 CPU 而且, 它们的内存和存储空间有限, 需要依赖于一个针对数据路径控制而优化的操作系统 图 2 显示了 WLAN 控制器在提供可扩展移动服务方面存在的限制 WLAN 控制器在提供移动服务方面存在的限制 WLAN 控制器 移动服务引擎 针对数据传输路径而优化 为提供服务而专门设计 用于控制处理的中等性能 CPU 适于应用和 API 处理的高性能 CPU 高速内存 内存容量较大 使用容量较小的闪存存储数据 硬盘存储空间较大 为数据路径控制而专门优化的 OS 为服务模块化 数据库访问和 API 接口 而专门优化的 OS 可扩展的服务交付需要专门的平台 另外, 传统的 WLAN 架构无法支持企业所需要的移动应用 首先, 各种 WLAN 产品无法集成其他的网络接入技术, 而是只限于 Wi-Fi 这些网络都是封闭的平台, 无法为支持第三方开发的应用提供标准的接口 因此, 要将任何新型应用或服务集成到网络之中, 都必须花费漫长的开发时间 其次, 只支持 WLAN 的网络架构无法集中管理多个网络环境, 也不能在多个网络之间提供可扩展的服务和应用

57 只有建立一个将应用 服务与控制平面分离的移动网络,IT 才能真正地交付企业所需 要的服务 真正的移动网络可以集中管理服务交付, 为服务支持提供一种模块化的方法 通过这种方式, 服务可以扩展到同一网络的多个位置或者不同的网络 作为现有无线网络的延伸, 思科移动服务引擎可以直接与 WLAN 控制器集成, 让其能 够将全部资源都专门用于确保统一 可靠的分组传输, 而服务的支持和扩展则由移动服务 引擎负责处理 这样, 企业能够更加迅速地适应应用需求的变化 要 : 总而言之, 由于移动服务架构具有下列特性, 它比现有 WLAN 架构更加符合企业的需 在多个网络之中 ( 例如以太网 Wi-Fi 和蜂窝网络 ) 提供统一的服务 为企业级应用的开发提供一个开放的 API 能够跨越多个网络管理服务 支持软件模块化, 让控制器专门负责处理流量 以服务为导向的硬件平台 可以随应用演进而扩展的平台 ( 能够提供投资保护 ) 移动服务软件 思科移动服务引擎是一种可以支持多种服务的平台 这些服务将以套装软件的形式加 载到该平台之中 下文将详细分析移动服务的特性, 并将介绍一些可以充当移动服务架构 的组成部分的移动服务示例 移动服务是指一种运行在 MSE 上, 具有下列特性的软件实例 : 该服务可以跨越多个接入网络, 包括 Wi-Fi(802.11) 和有线 (802.3) 网络 该服务可以跨越多个网络组件提供某种增值功能 该服务可以利用一种移动服务 API, 为外部应用提供接口 该服务可以提供其他应用和服务器无法轻易获得的网络状态信息

58 该服务可以与其他移动服务组合, 实现更高层次的功能 该服务可以跨越多个 MSE 进行部署, 以拓展它所提供的功能 移动服务架构的价值是通过移动服务引擎所支持的套装软件实现的 MSE 本身只是一个能够基于业务需求, 支持不同软件实例的可扩展平台 MSE 平台的灵活性意味着这些服务能够以 一对多 或者 多对一 的配置进行部署 通过这种方式, 组织能够将单个服务拓展到分布于企业不同角落的多个 MSE; 或者相反, 在位于单个办公地点的某个 MSE 上部署多项服务 企业可以在 MSE 上提供任意数量的服务, 例如环境感知软件 自适应无线 IPS 移动智能漫游和安全客户端管理器 所有这些服务都采取了独特的设计, 能够通过从网络获取各种信息, 优化某个特定的应用 下表总结了这些服务的主要定义和功能 移动服务套装软件概况 环境感知自适应无线 IPS 移动智能漫游 描述 通过环境信息 通过集成化的入 在公共和私人 ( 例如位置和遥测参 侵防御功能消除无线 网络之间提供移动 数 ), 优化业务流程 威胁 应用切换功能 应用 资产跟踪 符合法规 -PCI, 双模语音和数 状况监控 HIPAA,SOX 据应用 主要行业 教育 教育 大型企业 医疗 零售 医疗 制造 金融服务 教育 医疗

59 通过集中管理服务优化性能 通过在思科移动服务引擎上运行各种服务, 而不是在各个交换机或者无线控制器上单独运行这些服务, 可以提供一种更易于扩展的网络设计方案, 原因在于从无线控制器和无线接入点获取信息的方式 在一个典型的大型企业无线部署中, 往往会有很多接入点部署于同一个物理空间 ( 例如某个楼层 ) 之中 为了提高冗余性和可扩展性, 这些接入点都会与多个 ( 而不是一个 ) 无线控制器相连, 如下图所示 尽管下图所示的架构有些夸张 ( 因为没有企业会为每个控制器只部署一个接入点 ), 但它所要说明的是, 各个控制器可能会以不同的方式接收网络信息 用于定位服务的典型无线控制器 - 无线接入点部署方式 在图 3 所示的例子中, 控制器想要确定笔记本电脑的位置 由于这些控制器分散在不 同的位置, 所有需要用一个运行环境感知软件的 MSE 来从所有连接到客户端周围接入点 的控制器 (1 到 4) 搜集信息, 而不只是一组连接到单个控制器的接入点 通过这种方式,

60 该 MSE 能够结合所有位置信息进行关联分析, 再通过一个开放式 API, 为外部应用提供 一个统一的接口 将服务集中到 MSE 的另外一个好处是, 每台控制器都不再会因为向应用提供网络信息而不堪重负 在环境感知软件支持定位功能时, 应用可以直接与 MSE 交互, 而不需要不断地向各个控制器查询设备和标签的位置信息 位置计算需要足够的处理能力, 以提供精确的定位信息 MSE 是专门为这种任务设计的平台, 因而有助于提供更加统一 更加便于扩展的服务 开放的移动服务接口 移动服务架构的一个重要的设计特色是在各个服务组件之间提供了标准化的接口 移 动服务架构的接口主要分为三类, 分别代表了特定的网络区域或者层次 它们是 : 移动服务 API: 移动服务 API 是外部应用和移动服务引擎之间的主要接口 它既是管 理服务的接口, 也是针对服务使用者的实时接口 移动服务 API 的主要目标是通过为访问 网络信息提供一种标准化的方法, 大幅度地简化集成商的移动应用开发工作 网络移动服务协议 (NMSP):NMSP 可以在 MSE 和无线控制器之间提供一个统一的 通用的协议, 以传输所有服务水平信息 每个无线控制器会向它所连接的任何移动服务引擎通报它所提供的服务 当某个移动服务引擎连接到该无线控制器时, 它会预订一组它希望获取信息的服务 移动控制器所共享的信息会按照服务分类, 包括位置测量 统计数据和安全环境数据等 无线接入点的控制和配置 (CAPWAP):CAPWAP 可以通过在控制器和接入设备之间实现标准化的通信方式, 在无线控制器和接入网络之间提供管理 控制和数据平面通信功能 CAPWAP 工作组在协议的设计中加入了扩展功能, 以便在未来将其应用于除 Wi-Fi 以外的其他接入技术, 例如 RFID CAPWAP 工作组已经将 CAPWAP 协议规范划分为基本规范和绑定规范, 这样将来就可以在不需要修改基本协议规范的情况下, 加入对其他无线技术的支持 下显示了这些协议在架构中的部署方式 标准化的网络接口

61 便于扩展的架构 移动服务架构的可扩展性是企业对它的一项基本要求 可扩展性主要包括两个方面 : 高可用性和群集 该架构采用了独特的设计, 可以支持服务和网络组件的高可用性 控制器不仅可以通过多宿主方式确保冗余性, 还能在热备用模式下工作 大型或者关键的网络环境可以通过采用集群技术, 提高移动服务引擎的可用性 基于企业服务总线架构的 MSE 集群可以增加服务数量和扩大服务所在网络的规模, 并在应用或者客户端毫不知情的情况下, 由多个物理 MSE 向它们提供服务 总结 为了实现向移动办公的转型,IT 必须克服移动领域新出现的各种挑战 通过将无线 LAN 改造成为一个真正的移动网络,IT 将能够更加有效地管理层出不穷的新型移动设备, 通过一个统一的控制接口整合多个网络, 以及为移动应用开发构建一个开放的平台 思科移动服务引擎的推出可以实现服务支持和交付的集中化, 让无线 LAN 控制器能够集中精力

62 负责它的首要任务 有效地管理数据平面 通过支持那些可以从多个网络获取服务信息 ( 例如环境和入侵防御信息 ) 的套装软件, 思科移动服务引擎为服务交付提供了一种模块化的方法 服务信息的集中管理有助于实现一个合理的 API 接口, 让第三方生态系统可以根据各种网络信息, 开发针对各个行业的解决方案 只有将 WLAN 改造成为一个真正的移动网络, 企业才能将它的员工 合作伙伴 客户和资产全部纳入移动办公的范围 视频应用就绪的无线网络 教育行业离不开视频应用 视频是向下一代业务协作发展的显著标志 管理层通过 IPTV 与员工沟通, 对会议或培训课程的视频点播播放, 以及视频会议只是丰富媒体应用的一小部分而已, 媒体应用可以帮助企业提高内部分布式群体的沟通效率 这些应用程序使得协作更快速, 更可靠, 减少了商旅费用, 提高了业务的灵活性和竞争能力 同时, 随着移动工作人员不断增加和大量的 Wi-Fi 终端被纳入到了 IP 网络, 通过无线局域网支持视频应用为 IT 人员提出了一系列新的挑战 就像语音和数据一样, 视频应用变得越来越需要和业务流程进行整合, 最终用户需要灵活的在任何设备上来访问这些应用程序, 无论他们在什么位置, 并在服务和用户体验的水平上保持一致 对于许多组织而言, 传统的无线网络无法以成本有效地方式满足一系列的挑战 : 即提供端到端的连接, 足够的带宽和一致性, 高品质的可扩展的用户体验 然而, 视频是一个非常苛刻的应用, 它可以立刻将网络中的任何弱点暴露出来 通过 Wi-Fi 传送的视频的体验质量无论何时都必须是企业级的, 即网络必须能够支持多种视频 音频和数据流以可靠同步的方式没有中断的传输 当延迟, 丢包和抖动超出门限值, 可用的视频迅速下降到零 ; 视频必须被智能的传输 同时根据预测, 到 2012 年视频服务将占据互联网流量的百分之九十, 企业必须首先了解通过 Wi-Fi 网络部署企业级视频的要求和复杂性, 才能充分利用其好处

63 理解视频应用的复杂性 与有线网络相比将视频应用扩展到 Wi-Fi 更具挑战 因为 Wi-Fi 网络的特点本身带来了可变数据速率, 数据包丢失, 和组播的不可靠性等一系列挑战, 这与传统方式来确保服务质量 (QoS) 相悖 了解在 Wi-Fi 网络上传输视频的根本挑战, 重要的是要了解这些因素各自的特点 可变数据速率 Wi-Fi 和有线局域网的第一个巨大差异是 Wi-Fi 的传输数据速率随着客户端和无线接入点之间的距离的变化而变化 相对于传统的有线系统, 其中你现在的有线连接是 100Mbps 的话, 无论何时他都会保持在 100 Mbps 数据传输率的变化造成了独立的视频流的吞吐量和整体网络的容量随之变化 你可以想象, 变化的吞吐和容量对于现在传统的带宽保留和准入控制这些保证服务质量的手段是多大的挑战 例如, 考虑一个客户端建立了 54Mbps 的速率, 并要求 10Mbps 的视频流服务 系统确定这个新的视频流所需的空口时间可以被容纳, 所以准入该视频流 现在客户端移动并远离无线接入点, 客户端的数据速率下降到 6Mbps, 视频流不能支持 从这个意义上讲, 通过 Wi-Fi 网络发送视频和通过公共的互联网发送视频具有一定的相似性, 即吞吐量和用户的经验可能随时间变化而变化很大 丢包 Wi-Fi 和有线局域网的另一个重大差别是无线网络 2 层传输的相对不可靠性 简单来 说,Wi-Fi 的丢包大大超过有线 丢包的首要原因是碰撞, 也就是两个 Wi-Fi 设备试图在同一时间传输 Wi-Fi 使用一个共享的半双工的媒介来传输, 并采用 说前先听 的媒体访问方法试图避免碰撞, 但是碰撞不能完全被阻止 尤其是工作在同一频段的非 Wi-Fi 设备将这种情况变得更加糟糕 这些设备的大部分甚至不遵循 说前先听 的算法, 因此碰撞是常见的 数据包丢失的次要原因是,Wi-Fi 传输受短期信号损失 ( 称为衰落 ) 的影响 信号衰 落可能是因为物体吸收 ( 例如人体 ) 造成, 也可能由电磁波反射意外造成信号被抵消

64 数据包丢失的第三个原因也是较小的数据包丢失的因素, Wi-Fi 系统会通过尝试不同 传输数据速率来寻找最佳的速率, 因此一些数据包在搜索过程中丢失 由于碰撞, 信号衰落, 数据速率选择的原因,Wi-Fi 的底层数据包错误率 (PER) 甚至可达到百分之五 为了弥补,Wi-Fi 使用包重传机制, 让那些没有被成功接收到并确认的数据包重传 这种通用机制可以最终将丢包率 (PLR) 减少到小于百分之零点一 然而, 这些重传导致了抖动并消耗整体网络的吞吐量, 这两者都会影响服务质量 即使在采用重传机制后, 无线网络最终的丢包率仍远高于一般的有线连接 组播不可靠性 基本的数据包错误率对 Wi- Fi 传送组播流量有显著的影响 对于组播传输 ( 即多个接收端 ), 无线网络并没有提供重传机制 因此, 对组播流量而言最终丢包率 PLR 等于数据包错误率 PER 换言之,Wi-Fi 组播通信流量将经历百分之五的丢包率 这是对于视频应用而言是一个严重问题, 甚至于单个数据包的丢失可能会导致许多视频帧的错误 由于这个原因, 在有线网络上的组播视频工作很正常但在 Wi-Fi 网络上运行却彻底失败是很常见的现象 思科视频流就绪 (VideoStream) 技术将视频应用完美扩展到无线网络

65 视频媒体就绪的无线局域网优化视频应用保护无线网络的投资 极大改善视频质量和扩展性 : 解决了射频方面和有线 / 无线相互集成的挑战将有线网络里的视频质量带到无线网络中视频流优先机制保护包含重要内容的视频流 优先级 临临界级别 : 高 可靠组播 WLC SWITCH 资源预留控制 AP AP AP AP 准入控制 高性能 高性能 高性能 视频不可用 思科视频流就绪技术是思科统一无线网络一组新的系统级的特性, 它包含了我们讨论过的可提供卓越的视频质量的关键性增强功能 思科视频流就绪技术展示了思科公司的射频和视频方面的专业知识, 它周全的考虑到无线局域网的物理层 MAC 层和应用层, 为各种类型的视频应用提供了可靠 一致的平台 下面一节重点介绍了视频流就绪特性以及它如何提高通过 Wi-Fi 传输视频的最终用户体验质量 视频流优先级 正如我们前面提到的, 视频是一个高效的 极具影响力的通信手段, 也是带宽密集型应用, 正如我们所看到的, 并不是所有的视频内容都具有相同的优先级 从前面的讨论中可以清楚看到, 商业组织在视频上的投资不能影响网络带宽的消耗, 关键业务的视频媒体必须优先 随着视频流被接纳到网络中, 网络管理员可以根据其重要程度将媒体流配置为不同的优先级 这一特性可以在射频级别开启 (2.4 GHz 频段和 5 GHz 频段 ), 也可以在 SSID 级别开启, 这给管理员提供了更多的控制权来识别特定的视频流并确定相应的质量服务 例如, 校庆典礼的视频将比前一晚体育比赛的视频获取更高的优先级

66 配置视频流具有比语音较低的优先级比和比尽力而为流量更高的优先级 所有其他的 组播流量将被以尽力而为方式接纳, 尽管他们以视频的优先级来标记着服务质量 资源预留控制 随着越来越多的用户开始在工作场所的利用无线终端承载视频, 能够优雅的管理 规模持续不断的增加和为在任何特定时间或地点的用户群提供高质量的体验是至关重要的 资源预留控制 (RRC) 提供了增强功能在 MAC 层部分管理准入和控制策略 准入和策略是基于射频测量, 流量统计测量, 和系统配置来决定的 RRC 提供了视频客户端的带宽保障机制, 拒绝导致过载的客户端请求 信道利用率作为指标以确定系统是否有能力执行准入控制 组播到单播转换 通过支持 n 的数据传输速率, 并在 MAC 层提供错误更正机制, 思科视频流就 绪具备组播到单播转换的能力, 这大大增强了 Wi-Fi 承载视频的可靠性, 远远超出了传统 的无线网络尽力而为的特性 无线客户端应用程序通过发送 IGMP 加入消息订阅 IP 组播流 有了可靠组播, 这一 IGMP 请求消息被网络基础设施侦测到 系统检查视频流的认阅和配置并收集数据和流量的政策 如果被请求的视频流被策略允许, 响应被发送到连接到无线接入点的无线客户端, 从而一旦视频流到达就启动可靠组播 该系统还将查看可用带宽和配置的视频流度量以确定是否有足够的空口时间来支持新的视频订阅 此外, 系统还会考虑现在的无线电射频负载和介质的健康情况来作出准入的决定 如果上述条件都得到满足, 无线接入点发送关联响应到无线客户端 这时无线接入点 复制组播帧并将其转换为 单播帧 最后, 可靠组播将视频流以单播形式直接提供 给需要的客户端 监视

67 监视能力提供资源预留控制事件的日志, 有助于确保正在使用的资源是有效的 视频 流不可用性的用户提醒需要管理和流程化 客户端视频的高扩展性 在客户端通过 Wi-Fi 访问视频的数量增加时, 给网络带来了更大的压力, 将会影响性能和视频质量 客户端视频的高扩展性衡量了在优化从有线到无线网络的流量的时候每个无线控制器支持的客户端数量 凭借思科视频流就绪技术, 所有的复制和组播到单播的转换在边缘 ( 无线接入点 ) 完成, 从而利用了整个网络的效率 在任何时候, 只有经过配置的媒体流穿越网络, 因为视频流转换为单播是根据客户发起的 IGMP 请求为基础的 其他一些厂商的实现做了类似的组播转换为单播的工作, 但是效率很低, 因为他们在有线网络上加大了负载 请参照 Meircom 竞争试验报告上完整测试结果的详细信息 为了真正实现基于 Wi-Fi 访问视频的扩展性, 最为重要的是对端到端的网络具备深刻的理解 以最佳成本效益的解决方案提供高质量的视频业务的端到端的实现方法是至关重要的 端到端的保证视频质量视频流就绪技术提供更好的 MDI 并满足 SLA 媒体交付指数 (Media Delivery Index - MDI): 公平评估网络是否能够给最终用户提供高质量的视频 通过综合衡量网络的延迟因子 (DF) 和媒体丢包率 (MLR) 评估视频传输的表现 延迟因子 (Delay Factor - DF): 通过响应时间度量抖动和端到端的延迟 开启前 高于业界建议的 50ms 阀值 DF (msec) 76 开启后 小于 2ms 媒体丢包率 (Media Loss Rate - MLR): 度量丢包或无序包 开启前 开启后 大于业界建议的 10 个包 / 分钟 标清视频 31% 丢包, 高清视频 82% 丢包 零丢包 x 标清视频流 MLR (Pkts/min) x 标清视频流 x 高清视频流 0 0 5x 高清视频流 VideoStream 关闭 VideoStream 开启

68