思科无线与IP语音 通信系统方案设计

思科无线与IP语音通信系统方案设计目 录第一章：统一通讯系统技术建议21.1 思科统一通信解决方案简介21.2 系统设计原则51.3 统一通信方案总体设计71.4 统一通信系统详细设计81.5 IP语音方案同传统PBX的比较121.6 思科IP智能终端14第二章 统一无线系统技术建议172.1 WLAN设计原则172.2 思科统一WLAN解决方案体系结构172.2.1 无线网络的挑战172.2.2 思科集中化无线网络解决方案182.2.3 集中化协议LWAPP简介202.2.4 集中化和统一WLAN的好处222.3 思科统一WLAN建设方案292.3.1 统一WLAN的部署292.3.2 无线覆盖方案302.3.3 SSID和VLAN的逻辑设计322.3.4 认证和计费332.4统一无线系统应用35第一章：统一通讯系统技术建议1.1 思科统一通信解决方案简介思科 统一通信是一个完整的企业级系统，以思科UC（话音、视频和集成式数据体系结构）为基础，能够将话音、视频及其它协作数据应用安全地集成到智能网络通信解决方案中。这个系统包括IP电话、统一通信、多媒体会议、IP视频广播和客户联络解决方案，它能够充分利用各机构的IP网络的功能、永续性和灵活性，增强“内部智能”，帮助各机构解决问题，执行事务处理，或者以更高的自动化水平完成任务。其目标是帮助各机构建立高度有效的协作型业务环境，显著改善公司与其员工、合作伙伴和客户的通信方式，实现与竞争对手的区别，并获得可观的ROI。思科统一通信解决方案基于真正的融合型开放架构，能够利用集成式应用提高内部IP智能性。开放式体系结构能够增加各机构的自由选择权，因为它既不限制通信方式，也不降低网络的效率。思科统一通信解决方案不但能提高劳动力之间的协作性，还能降低管理多个站点和远程站点的成本和复杂性，满足苛刻的服务质量（QoS）要求，并在作为融合式网络的一部分进行部署时实现最高的可用性和安全性。同样重要的是，思科统一通信解决方案还能与原有的TDM系统和企业业务应用互操作，使企业既能快速实现全面的统一通信，还能保护现有技术投资。因此，采用统一通信的企业不但能提高劳动力协作水平，满足并超过客户预期，尽快获得网络融合的全部好处，还能在竞争中实现差别化，最终增加收入。利用统一的网络基础设施，统一通信解决方案不但能促进公司级协作，还能提高公司的竞争力，并实现可观的ROI。思科统一通信解决方案能够为各机构提供以下优势： 由思科UC支持，能够与现有技术互操作的灵活的综合解决方案； 灵活的、可互操作的移植战略不但能帮助各公司选择可满足当前需求的统一通信解决方案，还能为加速IP部署提供顺利的途径； 为能够用全新的方式使用话音、视频数据和现有企业业务应用，以提高生产效率和客户忠诚度的新型综合应用奠定了坚实的基础； 可以测量并已经过验证的ROI投资回报； 能提供安全连接解决方案、威胁防御工具及信任和身份组件，为各层统一通信系统、思科SAFE蓝图和安全系统设计提供保护的独特的系统级安全方法； 能通过对延迟、损失和抖动的紧密控制保证话音质量的QoS机制； 能提供网络管理、运作、排障、配置、错误监控和要素管理的网络管理产品。思科统一通信能够通过思科IP电话、思科统一消息、思科多媒体会议、思科IP视频广播和思科客户联络解决方案帮助各企业获得新一代通信解决方案的好处。这些经济、有效、可靠的解决方案能够通过扩展满足各机构不断变化的需求。思科IP电话解决方案的体系结构主要包括以下组件：1. 通信端点通信端点指桌面电话或者在PC上运行的软件电话应用。在IP环境中，每部电话都有以太网连接。IP电话不但拥有电话的所有功能，还提供其它特性，例如能接入Web站点，或者可以提高生产效率的应用。目前，只有思科才能提供真正完整的IP电话解决方案安全可靠、界面友好、易于使用、功能强大而全面的新一代通信设备。在思科IP电话网络中，用户还可以选择基于PC的电话Cisco IP Communicator。远程使用Cisco IP Communicator时，用户不但可以随时随地地携带办公分机号，还可像在办公室一样使用所有电话服务和功能。系统管理员可以像管理其它思科IP电话那样管理Cisco IP Communicator，从而大大简化了IP电话的管理。与传统的PBX系统不同，新电话的移动、添加和改动几乎可以立即完成。用户只需将IP电话带到新位置，将其插入到以太网插座中，电话就能自动完成Cisco CallManager注册。所有用户权限和设置都可以自动重新建立，而不需要技术人员的介入。另一个有用的特性是分机号的移动性，即用户可以登录到任何IP电话获取自己的电话号码和权限。2. 呼叫处理思科IP电话系统的核心是呼叫处理。无论是部署集中呼叫处理模式、分散模式还是两者的组合，思科IP电话解决方案都能满足各机构的需求。在集中部署模式中，Cisco CallManager将把企业电话特性和功能扩展到网络中的分组电话网设备，例如IP电话、媒体处理设备、IP话音（VoIP）网关和多媒体应用。其它话音、视频和数据服务，例如统一消息传送、多媒体会议、协作性客户交互网络和交互式多媒体响应系统，将通过Cisco CallManager的开放式电话API与IP电话解决方案交互。如果中央Cisco CallManager集群还负责为分布式站点的用户执行呼叫处理，管理员可以使用为思科路由器开发的Cisco IOS 软件映像Cisco Survivable Remote Site Telephony（SRST）提供连续的电话服务。如果WAN链路中断，路由器中的Cisco SRST将提供Cisco CallManager基本功能，直到链路恢复。发生紧急情况时，Cisco Emergency Responder可以向911调度员说明呼救者的正确位置。在高度分散、集中管理的网络中，由于Cisco CallManager可能正在处理另一城市或另一州的用户的呼叫，因此，这个功能非常重要。对于不需要由Cisco CallManager提供全部企业级特性的小型机构或“松散联合”的小型企业分支机构，可以利用Cisco CallManager Express提供的经济有效的解决方案满足员工数量低于100的站点的要求。由于Cisco CallManager Express嵌入于在思科多服务接入路由器上运行的Cisco IOS软件中，因此，小型机构可以简单轻松地部署融合式话音和数据解决方案。Cisco CallManager和Cisco CallManager Express能够有效地相互操作，以满足网络上各机构不断变化的呼叫处理要求。3. IP电话应用根据思科UC的定义，IP电话应用在物理上独立于呼叫处理和话音处理基础设施，而且可以驻留在网络的任意位置。统一的网络基础设施不但能为可以提高生产效率的各种应用提供开放式平台，还能为将继续促进企业通信发展的未来综合应用奠定坚实的基础。利用思科IP电话系列中基于像素的显示技术，纵向与横向的应用能够显示出IP在桌面上的强大功能。1.2 系统设计原则建设集成化话音和数据网络面临的挑战是如何使话音网络和数据网络之间的信令、路由、地址解析等相关因素在同一网络中协调运作；以及如何将延迟敏感的话音和延迟不敏感的数据业务相互交织于同一网络并确保语音和视频业务的安全性。语音网络及其上的增值通信服务建设应遵循以下的设计原则：高可用性：系统的可靠性设备必须是全局的，既包括网络连接的冗余，又包括通信系统的冗余。所涉及的服务器应该采用高可靠性结构、容错结构或其它可靠性技术；通信系统软件自身能够提供99.999%的高可用性，能够无缝进行故障切换和恢复，不会因为单点故障而影响到语音的呼叫建立和连接。呼叫路由能够提供不同级别的备份路由。系统能够提供故障管理能力，保证各类被中断的数据传送的完整性和准确性。整个系统的设备平均无故障时间MTBF大于45000小时，系统呼叫处理故障率小于1 x 10-4，系统接收有效号码后选择差错概率小于1 x 10-5，系统由于故障造成已经建立的连接提前释放的概率小于1 x 10-5，系统由于故障造成应释放的连接不能释放的概率小于1 x 10-5；系统由于故障误送提示音差错概率小于1 x 10-5。高可扩展性和兼容性：系统的设计不仅仅需要满足目前的容量和功能需求，必须考虑客户客户长期的战略规划，能够快速支持与现有语音通信系统的连接、设备的扩容和多种媒体协同通信功能。同时，系统平台应可以容纳未来新增的不同品牌的设备，并充分保证异种系统的互操作性，以适应系统规模扩展的需求和平滑升级。同时，语音系统应支持主流国际标准统一通信协议，如H.323、SIP等，并能够提供标准开放的接口，以保证今后新的媒体（Web、Email、PDA、IM等）应用的快速集成。高可靠性和可管理性：出于企业管理和效益的考虑，建立方便、全面的通信网络管理对保证通信网络安全、高效的运行是非常重要的。系统必须易于使用，必须能够提供安全的远程Web登陆管理方式，以减少员工培训费用；同时，系统维护应尽量集中、简单，尽量避免复杂系统和多系统组合的维护开销，减轻维护人员的负担，提高网管和决策的效率。全程全网服务质量保证：由于先进、交互式的关键业务应用与非关键业务的数据，带宽耗量高等应用及对延迟敏感的应用（如话音和视频）共享网络资源。而每种应用使用网络的方式各不相同，在网络中使用多种互不相同的应用，或网络中存在传输速率发生变化的合并点，所以必须有一定的QoS(服务质量)使业务流畅而平稳的传输，从而防止业务拥挤(拥塞)及由此产生的会话、图像丢失或故障。通过QoS，网络管理人员能够全面管理网络的带宽、延迟、抖动和包丢失等各种机制。所以IP话音和视频质量要有保证，但又不能因此影响客户客户业务系统的运行，要实现真正端到端的全程全网的QoS，来保证各种应用在网上的正常传输。系统级的安全性：有效的安全控制必须是端到端进行部署，并涵盖园区语音网络中所有的部件、系统和链路。具体来说，安全性必须顾及到下列要素：网络基础设施（承载所有IP数据、语音和视频流量的基础网络；包括工作组交换机、路由器和连接的链路。）、呼叫处理系统（传统语音交换机、服务器和相关的设备，提供呼叫管理、控制和计费功能）、端点（模拟电话、IP电话、视频终端和其他用户设施）以及应用（用户端应用，例如多方会议、统一消息和XML服务，也包括扩展统一通信系统功能的客户化工具。）网络保护措施应该遵循三个基本原则：安全的连接和管理、威胁防御、管理信任关系和身份。安全连接不仅包括负责传输语音的底层数据基础设施，有些特殊的规定还有助于提高语音的安全性。针对传输语音的IP网络的安全措施特别注重保护四种主要的语音系统设备：IP电话、呼叫管理器、语音信箱系统和语音网关。同样，在信任关系和身份管理以及威胁防御方面，也有专门针对语音的规定。例如，应用一些措施区分和隔离语音呼叫和数据通信，以保障IP电话的安全，防止闯入数据网络的病毒渗入语音平台，以及安排网络的语音和数据部分之间的连接。统一延续的电话号码规划原则：根据客户客户统一通信系统的规模和范围，需要对IP电话号码进行统一的规划。为了方便理解和记忆，号码的规划要参考现有公网电话号码的编码规则，同时在号码规划时，还应要考虑到今后统一通信系统的扩展性如联络中心座席的编号和视频终端的编号等。先进性和成熟性：采用通信领域的最新技术，保证系统在建成后一段时间内不会因技术落后而大规模调整，并能够通过升级保持系统的先进性，延长其生命周期，同时又要保证先进的技术是稳定的、成熟的，支持现有的多种业务功能。1.3 统一通信方案总体设计基于前面章节的需求分析和系统设计原则，我们认为Cisco的Unified Comunication Manager 解决方案是最适合智能酒店行业的统一通信系统。基于Cisco Unify Communication（统一通信体系结构）体系架构上的统一通信系统具有标准开放的体协结构、地理位置无关性、快速应用部署、高可用性和可扩展性、适合应用的语音和视频质量、较低的总体拥有成本和后续扩展成本等优势。IP统一通信系统网络拓扑示意如图所示。新IP电话通信系统平台： 考虑到办公场地将分散覆盖到多个不同的办公地点，地点之间有网络连接，并需要集中的语音控制和应用 建议采用最新的IP语音技术，将全部的语音呼叫和交换全部移植到统一的数据网络之上；无需再投资在已经被证明为过时的传统TDM交换技术上 从总体成本考虑，建议采用IP电话和模拟电话混合配置的方式：为办公用户提供支持大屏幕、简体中文和丰富功能的IP电话（7985G、7975G、7961G、7941G、7911G）； 对于多个分散的公地点，由于部分网络同时需要新建，建议考虑采用POE交换机实现IP电话的集中供电；对于已有网络的区域，由于已有非POE交换机，建议在每个部署IP电话的节点部署本地电源转换模块，实现IP电话的本地供电1.4 统一通信系统详细设计核心通信系统结构在核心机房，将配备两套CISCO Unified Comunication Manager呼叫处理服务器，其中一套作为主服务器，另一套为热备服务器，在正常操作模式中，主平台服务器运行并处于活动状态，同时后备服务器运行并处于待机状态。主服务器的任何故障都会使冗余后备服务器从待机转为活动状态。自动故障越过瞬间即可完成，无须任何人为干预，也不会引起任何信息丢失。通过标准的SCCP、SIP、H.323等协议，CCManager完成对IP电话机及网关等其他设备的注册管理，并完成呼叫处理。结合CISCO IP电话机和语音网关，可以完成IP电话间和IP电话与模拟电话系统间的基本语音通讯需求。在用户端，只需将IP电话机接入数据网中，使其能与中心CCManager连通，则不需复杂配置，便能使用。在没有可供电的交换机模块的情况，通过外接电源，IP电话机也能正常使用。采用此种配置方式Call Manager组能最多支持1000个设备（IP话机和语音网关），通过增加Call Manager服务器数量，电话系统可扩展至支持10,000个设备。同时，该系统可以无缝集成Cisco Unified MeetingPlace 、Cisco Unity等其他功能组件服务器，将多媒体会议、语音留言、音乐等待、电话助理等作用统一集合在CISCO AVVID平台上，减少管理人员及管理难度，使电话网络管理与数据网络管理合二为一，简化管理。完成后，此系统便可提供包括基本电话服务、多媒体信息服务，个人信息助理，自动话务员等多种增值功能。这种功能扩充是组件化的，随着CISCO AVVID技术的推进和新设备产品的研发，新功能将能不断的加入整个系统之中，当前的投资都能得到充分的保护。核心通信网络网关的设计Cisco 语音网关是IP语音与运营商TDM语音通信的接口，它提供了PSTN的接入以及与传统TDM语音或者其他语音系统的连接。Cisco 3845语音网关的配置可以采用传统的H323协议及MGCP的通信协议，MGCP是一种Master-Slave型协议，由CCManager控制所有会话的智能，并且可以通过CClManger管理界面进行MGCP网关的配置和管理。当主CCManager故障时，MGCP网关能够提供故障切换到第二个CCManager而保持呼叫不丢失。而当主CCManager恢复时，MGCP网关能够自动切换回与主CCManager的连接。Cisco 3845网关也能支持H.323和SIP协议，可以适应今后电信NGN的技术发展以及与第三方系统的多协议互联。电话机的配置IP话机从功能角度可以分成如下几种场合：1 7985集成摄像头IP话机，提供桌面视频语音功能，适合公司最高层领导使用；2 7975彩屏触摸IP话机配合VTA用于高级经理桌面，提供桌面视频语音功能，并提供8个线路按键；3 7941 IP话机用于普通经理和IT管理人员桌面，提供2个线路按键；4 对于高层管理人员和经常移动的人员，建议除桌面IP话机外，配置IP Communicator软电话以提高更高的生产效率；5 普通员工配置7911 IP话机，用于日常通信；6 7937语音会议终端，部署于会议室及公司领导办公室内，适用于日常交流和会议讨论。上述所有话机提供日常通信基本的语音功能，如主叫号码显示、主叫姓名显示、呼叫保持、呼叫转接、呼叫转移、呼叫暂存、代答、三方会议等功能。传真的设计1）IP传真的技术实现基于IP的传真可以实现传统的模拟传真机与IP电话网络的互操作性。大部分Cisco语音网关目前都可以用以下两种方式在IP网络中传输传真流量： 传真中继（FAX Relay）在传真中继模式下，网关可以端接T.30/T.38传真信号； 传真直通（Passthrough）在传真直通模式下，网关不会将传真呼叫与语音呼叫区分开。一般而言，有两种利用语音网关在IP网络上支持调制解调器进程的机制： 调制解调器直通 调制解调器中继Cisco语音网关上既可以支持调制解调器直通又可以支持调制解调器中继机制。调制解调器直通指的是，利用经过脉冲编码调制（PCM）编码的分组和一个G.711编解码器，通过一个分组网络传输调制解调器信号。调制解调器直通需要网关能够区分调制解调器信号和语音信号，并采取相应的措施。当网关检测到调制解调器信号时，它会禁用下列服务：回声消除 (EC)语音活动检测(VAD)在调制解调器直通模式中，网关不会将调制解调器呼叫与语音呼叫区别开。两个调制解调器之间的通信是通过一个“语音”呼叫，以带内方式传输的。调制解调器流量在一个支持QoS的IP基础设施上透明传输，而且这些数据不会在IP网络内部解调。2）传统传真机设备的连接对于放置传统G3传真机的地方需要部署Cisco模拟电话适配器（如VG248、VG224、ATA186/188，或者语音网关上的VIC2-FXS卡），将传统的传真机与这些设备互联，园区内部的传真采用FAX Passthrough直通的机制。连接传真机设备的模拟电话适配器设备既可采用SCCP协议，也可以是H.323或MGCP协议，采用SCCP或MGCP协议时，模拟电话适配器设备可以由CCManager统一进行配置和管理。系统部署和可靠性、安全和QoS：平台可靠性：由于全部IP电话均注册到中心点的Call Manager上，为保证系统的可靠性，我们建议： 部署双套Call Manager服务器实现基于负载均衡的冗余，每个服务器均负责相应的终端控制和工作； 可以考虑实现双PSTN接口和高可靠的网络基础配置 实现超过99.99%的系统可靠性语音加密和安全 IP电话到Call Manager的注册和控制信令（SCCP或SIP）：支持TLS/SSL加密 IP电话之间，以及IP电话到IP 电话之间的语音流量：支持SRTP，128Bits AES加密带宽和流量控制： 各个办公地点内部通话采用G.711，每路语音占用80Kbps 办公地点之间通话采用G.729，每路语音占用25Kbps 限制各个地点之间的最大呼叫数量（最大语音带宽），从而节省总体带宽，保证数据和语音通信的质量1.5 IP语音方案同传统PBX的比较项目比较说明发展趋势：语音通信发展趋势 目前电话通信的IP化已经成为不争的实事实，各个传统PBX厂商已经停止对传统PBX交换机技术的开发投入。 IP语音平台可提供非常丰富的功能，并显著提高员工通信效率。投资有效性 在语音通信IP化的趋势下，采用全IP语音平台将得到更多的应用和功能支持，更加具有长远的发展前途。 现在投资购买传统PBX将严重制约将来通信的发展。投资成本分析：产品架构 纯IP语音交换的语音平台，系统组件很少，只需要简单终端和服务器配合即可。 基本不需要任何专用的硬件板卡，维护、升级简便。机房投入 纯IP语音平台机房占用很少，一般只需要不到1/3个19机柜；而传统的语音平台需要大量的机房空间（专用机柜）。机房供电 因不需要专用的交换设备，纯IP平台耗电量远远低于传统PBX平台。网络共享 采用纯IP语音平台可完全基于现有的数据网络，无需在投资了数据网络的同时再投资一个TDM交换设备办公室布线 IP语音平台完全利用同一张数据网络布线，可有效节省布线的投资。传统PBX需要单独部署另外一张电话布线系统。运行维护成本 因全部分支机构的电话由中心点集中控制，可大量节省各个地点的PBX维护成本，减少各地的服务费支出。使用成本分析：语音设备成本 对于平均每个分支机构3040员工的多点企业来说： 思科IP电话系统平均成本：4.5万人民币/远端办公室 传统PBX电话系统成本：估计为34万人民币/远端办公室内部通话 IP电话系统在全国各个办公室内部和之间的通话的通话全部免费 传统PBX只有在办公室内部通话免费，各地之间的通话均需要支付长途电话费用移动办公 IP电话系统支持基于PC的软电话，可通过ADSL在员工出差时进行免费通话 传统PBX不支持IP软电话异地长途 员工可通过IP语音系统通过公司网络免费呼叫远端的任意固定电话或客户电话 传统PBX不支持此功能，必须支付长途电话费用系统维护 IP电话系统可在中心点集中维护，节省维护人员投入 传统电话系统必须在每个办公室配置维护人员，成本很高应用功能：丰富功能的电话终端丰富的IP电话应用 简体中文显示姓名和号码 实时显示联系人状态（基于SIP） 话机上实时查询公司员工电话和联系方式，并直接拨号呼叫 员工在各个办公室之间出差可随意在任何异地办公室登录自己的电话号码，实现分机跟随移动 员工可自行设定手机和分机绑定，手机和桌面电话同时振铃 员工可通过点击PC桌面的联系人列表（Outlook）直接控制IP电话拨出 通过集中的服务器，可随时在任何IP电话屏幕上推送提示和通知信息 视频会议集成 员工可通过Web页面自行设定电话的使用策略，无需维护人员帮助丰富的附加应用 基于Web的会议系统 多业务语音信箱 视频会议和通话1.6 思科IP智能终端Cisco 7975G:话机类型话机型号7975G彩色显示支持分辨率320240，带65536种色彩的16位显示屏触摸屏支持中文显示支持可编程按键数量5+8免提通话支持（宽频，高保真）内置以太网交换模块支持，（10/100/1000M）以太网供电支持安全和加密支持802.1x，TLS，SRTP，128位AES加密算法XML屏幕、语音应用支持SIP实时状态显示支持在线实时帮助信息支持支持的IP语音压缩协议支持G.711a、G.711、G.729a、G.729b和G.729ab音频压缩编译码器铃声种类支持24种Cisco 7965G话机类型话机型号7965G彩色显示支持分辨率320240，带65536种色彩的16位显示屏触摸屏不支持中文显示支持可编程按键数量4+6免提通话支持（宽频，高保真）内置以太网交换模块支持（10/100/1000M）以太网供电支持安全和加密支持802.1x，TLS，SRTP，128位AES加密算法XML屏幕、语音应用支持SIP实时状态显示支持在线实时帮助信息支持支持的IP语音压缩协议支持G.711a、G.711、G.729a、G.729b和G.729ab音频压缩编译码器铃声种类支持24种Cisco 7945G话机类型话机型号7945G彩色显示支持分辨率320240，带65536种色彩的16位显示屏触摸屏不支持中文显示支持可编程按键数量4+2免提通话支持（宽频，高保真）内置以太网交换模块支持（10/100/1000M）以太网供电支持安全和加密支持802.1x，TLS，SRTP，128位AES加密算法XML屏幕、语音应用支持SIP实时状态显示支持在线实时帮助信息支持支持的IP语音压缩协议支持G.711a、G.711、G.729a、G.729b和G.729ab音频压缩编译码器铃声种类支持24种Cisco 7941G话机类型话机型号7941G彩色显示黑白显示分辨率320234，黑白显示屏触摸屏不支持中文显示支持可编程按键数量4+2免提通话支持内置以太网交换模块支持以太网供电支持安全和加密支持802.1x，TLS，SRTP，128位AES加密算法XML屏幕、语音应用支持SIP实时状态显示支持在线实时帮助信息支持支持的IP语音压缩协议支持G.711a、G.711、G.729a、G.729b和G.729ab音频压缩编译码器铃声种类支持24种Cisco 7911G话机类型话机型号7911G彩色显示黑白显示分辨率192 x 64，黑白显示屏触摸屏不支持中文显示支持可编程按键数量4免提通话扬声器内置以太网交换模块支持以太网供电支持安全和加密支持802.1x，TLS，SRTP，128位AES加密算法XML屏幕、语音应用支持SIP实时状态显示支持在线实时帮助信息支持支持的IP语音压缩协议支持G.711a、G.711、G.729a、G.729b和G.729ab音频压缩编译码器铃声种类支持24种第二章 统一无线系统技术建议2.1 WLAN设计原则实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性：必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。2.2 思科统一WLAN解决方案体系结构2.2.1 无线网络的挑战透视就是一切地图就是一个典型的例子。在高空摄影技术面世之前，地图并不精确；人们按照估计的比例，将地理标志绘制到地图上。高空摄影技术为地图绘制人员带来了之前未有的东西透视。透视改变了我们旅行的方式，我们观察距离的方式，甚至我们的文明发展的方式。过去，无线局域网都缺乏透视能力因为每个接入点都是一个单独的节点，按照一个静态RF计划（通常为预测的RF）中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号，但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。而且，因为自主接入点是“节点式”的，所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。表1列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下，采用自主接入点的WLAN的部署会对WLAN带来很多限制。表1 对于自主接入点部署方式的无线需求和解决方案需要说明自主方式的解决方案第二层快速安全漫游客户端在子网内部的无缝漫游跨越不同的接入点和虚拟LAN（VLAN）为支持漫游添加一个无线域服务（WDS）设备（接入点或者交换机模块）第三层快速安全漫游客户端在子网之间的无缝漫游跨越不同的接入点和VLAN自主接入点本身不支持。需要为支持漫游采用一个集中式解决方案升级成本部署额外管理功能和为接入点安装新镜像所需的时间部署一个集中的管理基站或者使用管理脚本入侵检测系统（IDS）能够检测伪装接入点、攻击和未经授权的访问使用一个基于WDS的IDS，或者添加一个覆盖式WLAN解决方案定位服务直观显示接收信号强度指示（RSSI）信息变化和Wi-Fi设备的位置使用一个现场调查解决方案或者一个覆盖式WLAN动态RF迅速地、动态地适应RF环境使用系统级应用设备，或者一个简单网络管理协议（SNMP）；RF信息可供手动检查或者措施使用负载均衡自动在相邻接入点之间均衡客户端负荷每个接入点通报服务情况，但是负载不是自动地在接入点之间分布访客联网能够为客户、供应商和合作伙伴提供对WLAN的受控访问权限，同时保持网络的安全性为每个接入点部署专门的中继VLAN，并在整个企业中加以宣传WLAN语音利用现有的无线基础设施提供经济有效的、实时的语音服务部署基于接入点的呼叫准入控制（CAC）；控制建立在每个接入点的基础上，不能协调多个接入点管理经济有效的、简化的WLAN管理和部署为配置WLAN管理和单独配置每个接入点部署脚本或者SNMP解决方案2.2.2 思科集中化无线网络解决方案使用自主接入点的第一代无线局域网是一种方便的网络。从WLAN首次面世以来，技术需求发生了很多变化。现在，基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的WLAN必须支持多种移动服务，例如语音、访客接入、定位和增强的无线入侵防御系统（WIPS），同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表1中所列多种限制的WLAN。为了部署这些功能和消除这些限制，需要一个统一的WLAN一个集中式的，基于连接到无线局域网控制器的轻型接入点的网络。因此，机构需要思科统一无线网络。可扩展性：WLAN必须具备的特性人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现的。事实上，蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初，蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间电话呼叫的协议，但是这些协议并不可靠很多呼叫都会被丢弃。蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案，以及一个部署高级服务的平台。因此，他们采用了一种名为基站控制器的新型网络组件。对于蜂窝网络而言，基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖范围之间移动时，基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性，减少被丢弃的呼叫。蜂窝基站控制器的概念也可应用到802.11 WLAN中。运营商不是管理多个独立的接入点，而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。WLAN集中化参照蜂窝网络的发展道路，思科系统公司率先提出了WLAN集中化的概念，并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构，我们称之为思科统一无线网络的关键，是将数据从轻型接入点经由网络发送到无线局域网控制器。思科提供了很多支持无线局域网集中化的无线局域网控制器，其中包括可以完全集成到网络之中的企业级独立无线局域网控制器（例如Cisco 4400系列无线局域网控制器和Cisco 2000系列无线局域网控制器），以及可以与有线网络结合的无线局域网控制器，例如Cisco Catalyst 6500系列无线服务模块（WiSM）和用于集成多业务路由器的思科无线局域网控制器模块（WLCM）。开发一种新的无线局域网集中化协议为了在轻型接入点和无线局域网控制器之间传输数据和实现通信，需要一种新的协议。该协议需要满足下列要求：l 便于部署该协议必须能够跨越子网边界，而不是仅仅将多个VLAN连接到集中控制器。l 部署安全将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。l 对接入点的实时控制在部署、认证接入点和将其连接到控制器之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。l 协议扩展能力该协议需要支持多种平台从大型以太网交换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网络组件。l 传输扩展能力尽管网络通常运行在以太网的基础上，但是该协议必须能够支持低速的WAN连接，甚至无线网络（对于无线网状网络等应用）。为了满足这些对于开发新型通信协议的要求，思科考虑了很多方案。通用路由封装（GRE）协议是其中之一，但是GRE不支持对纯二层数据包的内部检测，而这是安全WLAN所必须具备的功能。SNMP也被列为考虑对象，因为该协议可以提供对接入点的命令和控制功能，但是它很庞大，不太符合实际需要。在考虑了其他协议之后，思科决定开发一种新的协议支持第二层和第三层数据包信息的轻型接入点协议（LWAPP）。2.2.3 集中化协议LWAPP简介LWAPP是什么？LWAPP是一项由思科系统公司拟定的互联网工程任务小组（IETF）标准草案，实现了轻型接入点和WLAN系统（例如控制器、交换机和路由器）之间的通信协议的标准化。它的目标包括：l 减轻接入点中的处理量，让它们将计算资源集中用于无线接入，而不是过滤和策略实施l 为整个WLAN系统进行集中的流量处理、验证、加密和策略实施l 利用一个第二层基础设施或者IP路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制LWAPP标准可以通过定义下列规范实现这些目标：l 接入点设备发现、信息交换和配置l 接入点认证和软件控制l 数据包封装、分段和格式化l 接入点和无线控制器之间的通信控制和管理LWAPP的工作原理LWAPP将轻型接入点的介质访问控制（MAC）功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能（例如次原子握手和发送给接入点的信标）都在接入点进行管理。其他对网络具有重要意义的功能（例如移动管理、身份验证、VLAN划分、RF管理、无线IDS和数据包转发）都在无线局域网控制器进行管理。（如图1所示）图1 分离的介质访问控制功能l 安全策略l QoS策略l RF管理l 移动管理人力分配分离MACl 远程RF接口l MAC层加密无线局域网控制器LWAPP轻型接入点控制器MAC功能l 802.11 MAC管理：（重新）关联请求和行为框架l 802.11 数据：封装和发送到接入点l 802.11e资源预留：控制协议在802.11管理帧中发送到接入点信令在控制器完成l 802.11i身份验证和密钥交换接入点MAC功能l 802.11：信号发射，探测响应，身份验证（如果启用）l 802.11控制：数据包确认和传输（延迟）l 802.11e：帧排序和数据包优先级设置（访问RF）l 802.11i：接入点中的加密轻型接入点和无线局域网控制器之间存在多对一的关系单个无线局域网控制器可以管理和操作大量的轻型接入点。另外，无线局域网控制器可以在一个大型无线网络中协调和比较信息甚至跨越WAN。就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的整体视图。一旦将这项协议作为标准，并准备好用于统一的平台，WLAN集中化的真正优势将会变得显而易见。2.2.4 集中化和统一WLAN的好处下面列出了WLAN集中化和统一WLAN所具有的很多好处。便于部署当在企业中部署自主接入点时，每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后，每个接入点都将可以支持VLAN，以便划分不同的用户群组，为不同的用户和用户群组区分不同的LAN策略和服务（例如安全和服务质量QoS）。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围，VLAN可以在多台交换机中进行中继和扩展。在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层重新划分子网和设置VLAN中继。相反，VLAN将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。在使用集中化解决方案时，一个轻型接入点只需要找出无线局域网控制器的IP地址当部署于第二层模式时。（在部署于一个远程子网中时，接入点需要IP地址、子网掩码和缺省网关信息）。轻型接入点还可以从一个标准的动态主机配置协议（DHCP）服务器接收无线局域网控制器的IP地址。在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊VLAN扩展到各个接入点。便于升级较低的运营成本可以提高一个机构的投资效率。问题是：怎样实现低成本的运营？集中化有助于简化升级利用思科统一无线网络，所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时，它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。思科统一无线网络的低成本接入点升级的另外一个好处是：轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。通过动态RF管理建立可靠的连接过去，使用自主接入点的无线网络通常利用一个静态RF计划进行部署，而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的，即利用计算机对RF环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。RF预测的目标是以最小的信道重叠，获得接入点的最优覆盖范围。但是，因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的，所以它们只是对实际RF环境的估计。例如，在使用RF预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。集中化可以提供动态RF无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。控制器能利用这些信息，为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。在一个支持思科LWAPP的接入点启动时，它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后，支持LWAPP的接入点会发出加密的“neighbor”（邻居）消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度，以获得最佳的覆盖范围和网络容量。如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给网络中的每个接入点。思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”，即发生没有必要的变化。这样做的结果是，建立起一个能够实时地适应不断变化的RF环境的动态无线网络。通过用户负载均衡优化每个用户的性能802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。同样，每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。因此，所有客户端的RF吞吐都有可能降低所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。这可以提高每个客户端的吞吐，动态地均衡网络的客户端负载。集中化有助于均衡用户负载思科无线局域网控制器和模块拥有一个网络整体视图。通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。另外，当某个客户端探测接入点（这是802.11标准的一部分，即客户端寻找任何广播它所寻找的WLAN名称的接入点）时，控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。例如，某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度（RSSI），决定哪个接入点应当响应客户端的探测信号。（如图2所示） 图2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号访客联网访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。它让顾问和访客可以迅速开展合作，加快业务速度。今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能？如果使用自主接入点部署方式，管理员可以通过将“访客”VLAN拓展到网络中，提供访客网络。这些VLAN具有不同于普通网络流量的安全策略。这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。集中化有助于简化访客联网在思科统一无线网络中，每个无线局域网控制器都具有一个美观的Web门户，让机构可以根据自己的业务需要定制WLAN。例如，网络管理人员可以将控制器放入DMZ，充当访客接口。当在网络中部署一个访客无线局域网时，所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。第三层漫游借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将VLAN拓展到网络中的所有接入点，就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同它们通过拓展VLAN来实现漫游，因而会产生大范围的、不便于扩展的广播域。通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。集中化有助于支持第三层漫游利用思科统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的LWAPP数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动IP等协议。嵌入式无线IDS安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线ID系统，可以为网络添加一条额外的防线。无线局域网 IDS可以降低黑客或者恶意用户访问关键网络资源的风险。集中化有助于支持无线IDS 思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现，即有些功能由接入点承担，另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库，它可用于检测无线威胁包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个honeypot*）的未经授权的接入点。思科统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。一种由网络管理员部署的，用于检测、制止未经授权的网络访问的授权接入点。定位服务定位服务是下一代无线网络必须达到的一项要求。定位服务支持同时跟踪WLAN基础设施内部的数千个Wi-Fi设备。这些服务被用于一些关键的应用，例如高价值资产跟踪、IT管理、安全和业务策略的执行。其他应用包括：l 基于无线局域网的e911和语音l 客户端故障诊断和客户端位置与客户端连接问题的关联l 资产跟踪和管理，以跟踪任何支持802.11的设备（包括配有802.11 RFID标签的资产）l 基于位置的安全无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度，还可以从网络中的支持LWAPP的接入点那里获得关于客户端信号强度的信息。思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统（WCS）和思科无线定位设备，它们将根据楼宇材料类型、多路径和反射等因素，进行高强度的RF指纹计算，确定802.11或者有源RFID设备的位置。这些信息将实时提供。LWAPP是支持定位服务的控制和传输协议。WLAN语音WLAN语音（VoWLAN）不仅可以提供IP语音（VoIP）的诸多好处（例如收费旁路），还可以提供移动性。选择VoWLAN功能的管理人员都希望通过用他们的802.11数据网络承担语音功能，降低或者消除办公楼内移动电话使用成本。集中化有助于支持高性能VoWLAN对于自主解决方案而言，基于802.11的语音采用了与普通数据流量相同的底层协议，并通过在接入点和一个语音终端之间运行802.11e，提供了一些额外的功能。不幸的是，工作在相同信道的自主接入点无法协调它们的呼叫准入控制（CAC）功能。而且，所有能够接收到工作在相同信道的其他设备信号的设备都会受到共用信道干扰，而自主接入点并不