图1 Cisco 2000系列、4100系列和4400系列无线局域网控制器
Cisco 2000系列无线局域网控制器
Cisco 4100系列无线局域网控制器
Cisco 4400系列无线局域网控制器
产品简介
思科?无线局域网控制器适用于企业无线局域网部署,并提供了系统级无线局域网功能,如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1000系列轻型接入点和思科无线控制系统(WCS)软件共用,可支持关键的无线应用。从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。
思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议(LWAPP),与Cisco 1000系列轻型接入点在任意第二层(以太网)或第三层(IP)基础设施上通信(图2)。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全,可完全自动地支持重要的无线局域网配置和管理功能,从而实现经济有效的无线局域网运营。
图2 集中型无线局域网
思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统,创建和实施策略。多个WLAN控制器可自动相互发现,并在它们之间无缝协调WLAN服务。以这种方式,思科无线局域网控制器可作为单一无缝系统运行,提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建安全的企业级无线网络。
灵活的部署选项
思科系统公司提供了几种无线局域网控制器,适用于不同的企业部署情况。这其中包括Cisco 2000系列、4100系列和4400系列。
Cisco 2000系列为中小型企业环境提供了思科屡获大奖的无线局域网服务。它可支持多达6个轻型接入点,是用于小型楼宇的经济有效的解决方案。凭借集成动态主机控制协议(DHCP)服务和自动接入点配置,Cisco 2000系列也适用于现场IT支持有限的环境,如分散型企业中的分支机构。
Cisco 4100系列无线局域网控制器适用于中型机构。它有三种配置—4112、4124和4136,它们分别最多可支持12、24和36个接入点。Cisco 4100系列提供了单一千兆以太网上行链路,和一条热待机链路,可提供高速局域网连接和网络可靠性。
Cisco 4400系列无线局域网控制器适用于大中型机构,有两个型号—带2个千兆以太网端口,其配置可支持12、25和50个接入点的4402,以及带4个千兆以太网端口,支持100个接入点的4404。4402具有1个扩展插槽,4404具有2个扩展插槽,可用于在将来添加增强功能,如终结等。此外,每个4400 WLAN控制器均支持一个可选冗余电源,以确保可靠性。
智能RF管理
所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法,来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算拓扑的方式,为无线网络创建拓扑。
图3 覆盖整个企业的RF智能
思科无线局域网控制器所管理的特定智能RF功能包括:
- 动态信道分配—802.11信道可根据不断变化的RF情况进行调整,以优化网络覆盖范围和性能。
- 干扰检测和避免—该系统可检测干扰并重新调整网络,以避免性能问题。
- 负载均衡—此系统对多个接入点提供了自动的用户负载均衡,即使负载量很大,也能获得网络性能。
- 覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区,并尝试通过调整接入点的功率输出来修复它们。
- 动态功率控制—该系统可动态调整各接入点的功率输出,来适应不断变化的网络情况,以确保达到预期的无线性能和可靠性。
严格的安全性
思科无线局域网控制器符合最严格的安全标准,包括:
- 802.11i Wi-Fi WPA2,WPA和有线等效加密(WEP)
- 802.1X,带多种可扩展验证协议(EAP)类型—受保护EAP (PEAP),带传输层安全的EAP(EAP-TLS),带隧道化TLS的EAP (EAP-TTLS)和思科LEAP
- 终结—4100系列的可选模块,提供IP安全(IPSec)和第二层隧道协议(L2TP) 终结
因此,它堪称业界最全面的无线局域网安全解决方案。
在思科无线局域网架构中,接入点可作为无线监控器,向无线局域网控制器通报有关无线域的实时信息。经由思科WCS,可进行准确分析并采取校正措施,从而迅速识别所有安全威胁,并将其提交给网络管理员。
思科提供了能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护,无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署,再在稍后重新配置,添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”, 抑制未授权无线活动,直至他们作好部署无线局域网服务的准备为止。
思科通过提供以下多个保护层来实现无线局域网安全:
- RF安全—检测和避免802.11干扰和消除不必要的RF传播
- 无线局域网入侵防御和定位—思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁,而且能对这些设备定位。这使系统管理员能快速评估威胁级别,立即按需采取措施来抵御威胁。
- 基于身份的联网—IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。
这其中包括:
- 第二层安全功能—802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP
- 第三层(和更高层次)的安全功能—IPSec, web验证
- VLAN分配
- 访问控制列表(ACL)—IP限制,协议类型,端口和差分服务代码点(DSCP)数值
- QoS—多个服务级别,带宽减少,流量整形和RF利用
- 验证、授权和记帐(AAA)/RADIUS—用户连接策略和权限管理
- 网络准入控制(NAC)—实施客户端配置和行为策略,以确保只有拥有适当安全工具的终端用户设备才能访问网络。
- 安全移动—在移动环境中保持安全水平。这包括随用户移动而移动的,无需重新建立安全隧道。此外,思科已开发了主动密钥缓存(PKC),这是802.11i标准的扩展、802.11r标准的前身,可通过AES加密和RADIUS验证实现安全漫游。
- 访客隧道—为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙,就无法接入公司网络。