思科园区无线LAN解决方案

思科业务就绪园区解决方案思科业务就绪园区解决方案思科园区无线LAN解决方案因为当前的员工需承担更大工作负荷，他们必须努力应付大量的电子通信，以便更好、更快地作出决策，同时他们还要用很大一部分工作时间参加各种会议。如果您的员工无论身在何处都能访问所需的所有公司网络资源，那不是很好吗？园区移动性在上世纪九十年代，业务蓬勃发展。公司只要发现合适人选都尽快雇佣他们。在那时，网络管理员的主要考虑之一是如何使网络随这些新用户的添加而发展。目前，虽然公司还需继续发展，公司雇佣新员工的能力却在降低。现在，公司正试图找到新方式，以更少的付出完成更多的任务。在强调提高生产率的现在，员工无法忍受工作时间的任何“停运”。无论他们是在办公桌旁、会议室中、公司餐厅里，还是另一个公司办公地点，当今的用户都需随时获得全套的集成网络服务。这包括IP电话和视频会议，以及预期的数据服务，如电子邮件、日历、数据库应用等。随着IP电话的逐步普及，许多用户在园区中的网络间移动时需保持持续网络接入，同时使用其基于PC的思科IP软电话或思科IP无线电话。考虑到上述情况，当今的网络管理员面临着新挑战——如何使网络随用户移动而移动。挑战让我们考虑一下企业客户面临的挑战。想象一个1992年的会议室，正在召开一次讨论新业务机会的会议。尽管与会者作了充分准备，但主管在作出决策前想要了解另一项目的状态。与会者之一Jane说她返回办公桌后可在线查看该项目状态。尽管她当天下午发现并转发了该信息，但再安排一次会议则须等到一周之后了。现在，假设今天召开同样的一个会议，讨论同样的业务机会。但到在当前的经济状况下，要求作出决策的时间需短得多。在这种情况下，当主管问及另一项目的状态，Jane使用其思科无线LAN（WLAN）客户端适配器登陆公司网站、确定该信息，因此现场作出了决策。在另一个例子中，Joe为一家在几个城市都设有办公机构的公司工作。作为其工作的一部分，他常从他所在的办公机构出差到公司总部和其他办公地点。Joe三年前加盟该公司时，网络无法满足用户不断变化的需求。当他到达一个公司办公地点时，他需找到一个无人使用的办公隔间，确定应将其笔记本电脑插入哪个端口，并尝试发现一部可用电话。即使他只需接收电子邮件和收听语音留言，也需进行这一过程。现在，当Joe前往另一地点时，他可在该办公机构中的任意地点接入公司网络——因为CiscoWLAN覆盖整个园区。他不再必须找到一个有可用端口的空办公隔间或打扰他人的工作空间。此外，他可使用笔记本电脑上的思科IP软电话软件或思科无线IP电话来接收语音留言并回电——且不增加公司的开支。思科业务就绪园区解决方案思科园区WLAN解决方案（思科移动解决方案产品之一）提高了Jane和Joe的效率。思科移动解决方案思科系统公司提供了一套移动解决方案，旨在满足移动信息时代的需求，并扩大企业的员工工作范围（图1）。一般来说，思科企业移动解决方案分为两类：漫游访问和移动访问。z漫游访问解决方案使企业员工能从其园区网络中的任意地点（如分支机构、家中、酒店、公共热点等）访问公司话音、视频和数据网络应用及服务。此类中的解决方案包括思科园区无线LAN、思科分支机构移动、思科远程工作人员和思科移动用户等。z移动访问解决方案实际上可使员工或网络能够自由移动（漫游）以达到公司或行业的要求。这包括在用户“移动”时向其提供网络访问，允许企业收集移动资产的信息等。此类中的解决方案包括思科园区无线LAN、思科移动用户和思科移动网络等。思科园区WLAN解决方案可满足企业的园区移动需求。思科园区无线LAN解决方案思科园区无线LAN（WLAN）解决方案运行在当前有线网络的基础上，或作为一个独立网络运行，为园区中的计算机用户提供建筑物间移动性。它可通过园区设置，进行安全、加密的通信，从园区中任意能接收到无线RF信号的地点即时访问所有数据和通信服务。思科园区WLAN解决方案的各组件相配合，可帮助企业：z当员工不在办公桌旁时保持其工作效率——使用带CiscoAironet接入点和思科或思科兼容WLAN客户端适配器的思科园区WLAN解决方案，员工可在园区任意位置访问其网络资源。这种可访问性使员工无论是在会议室中和客户开会、在公司餐厅中与同事共进午餐，还是在相邻建筑物中与团队同事展开合作，都能更快地响应业务需求。z为来自其他地点的机构的来访员工提供方便、安全的网络接入——无需搜索空办公隔间或可用以太网端口。凭借思科园区WLAN解决方案，用户可安全地从网络上的任意地点接入网络。利用思科无线安全套件的特性，员工通过IEEE802.1x可扩展验证协议进行验证，所有在WLAN图1扩大工作范围在旅途中在家中在工作时台式机在园区漫游时远程工作人员解决方案酒店网络热点思科业务就绪园区解决方案上发送和接收的信息都使用临时秘钥完整性协议（TKIP）加密。因此，园区WLAN解决方案可立即满足来访员工的需求。z保护企业免遭未授权、不安全的“恶意”WLAN接入点的影响——思科园区LAN支持思科结构化无线感知网络（SWAN）。通过CiscoSWAN，IT经理可方便、自动地检测、定位和禁用恶意接入点和它们所连接的交换机端口，这是因为接入点和客户端设备可主动参加RF环境的持续搜索和监控。z将集成网络服务的全部优势扩展到漫游用户——在使用服务质量（QoS）的WLAN上支持IP电话和IP视频会议，这能优先处理实时流量，有助于确保视频和音频信息及时到达。使用思科IP电话产品，通过基于PC的软电话或思科无线电话，员工可在整个园区中漫游的同时，与其客户保持联络及相互联系。z对授权用户分类，禁止未授权用户访问——无线网络服务可安全地扩展到访客和供应商。园区WLAN可配置以支持一个独立的公共网络——访客网络。企业可使用虚拟LAN（VLAN），为供应商和其他非员工的人员提供互联网和有限内部网接入。通过思科无线安全套件特性，可为授权用户设置接入策略，禁止未授权用户访问敏感数据。z方便地管理中央或远程位置的接入点——网络经理能通过CiscoSWAN，方便地在WLAN园区和分支机构、或零售、制造和医疗机构场所，部署、运行和管理数百到数千个接入点。此框架为大中型机构提供了与其有线LAN相同的安全性、可扩展性、可靠性、易部署性和易管理性水平。凭借以上所有特性，思科园区WLAN解决方案使机构能作出更快响应并提高员工效率，从而降低运营开支。另一个优势是，一旦员工配备了无线卡或设备，他们即可利用公共热点接入互联网。此外，如果企业网络支持VPN，员工就可从那些公共热点访问其公司资源。有关这一优势的更多信息，请参见思科移动用户解决方案概述。因为思科园区WLAN解决方案是一个基于标准的重叠网络，无线用户也能迅速、方便地获得有线网络的服务和应用升级。同样，对于IP无线技术的改进能方便地集成入思科园区WLAN网络——这有助于确保现在所作WLAN技术方面的投资会带来丰厚回报。解决方案组件图2为普通的思科园区WLAN环境。此解决方案的构成特性包括：z无线服务z思科无线安全套件z对于接入点的多VLAN支持zCiscoWLANQoSz基于用户网络的网络接入策略和安全性（访客访问）zCiscoSWANz无线IP话音服务思科业务就绪园区解决方案无线LANWLAN使移动园区用户可建立和维护无线网络连接。CiscoAironetWLAN产品系列将移动用户认为无线产品应提供的移动性和灵活性，以及企业无线网络具备的吞吐率和安全相结合。通过配备CiscoAironet无线LAN客户端适配器（如图3所示）或思科兼容WLAN客户端适配器的笔记本电脑和PDA，移动园区用户可从园区中任意配备了CiscoAironet接入点的位置连接到公司网络（如图4所示）。WLAN重叠使员工在不接入有线网络时也能访问网络。这样，移动员工即可访问全部网络应用和通信工具。CiscoWLAN使用强大的验证和加密技术来保护WLAN免遭攻击和未授权用户接入。思科无线安全套件思科园区WLAN（和整个企业WLAN）解决方案包括经由适用于CiscoAironet产品和思科兼容WLAN客户端设备的思科无线安全套件实现的几种安全部署选项。此解决方案全面支持称为Wi-Fi受保护接入（WPA）的Wi-Fi联盟安全标准。凭借正确部署的思科无线安全套件，网络管理员能确保他们为WLAN部署了企业级安全性和保护（图5）。图2园区WLAN移动解决方案概述安全的802.11WLAN非标准WLAN（禁止）员工（全面访问网络）访客（有限访问）z安全的员工访问z有限的访客访问z整个园区范围的访问z无线IP电话z未授权AP防御阻止入侵者图3CiscoAironet无线LAN客户端适配器图4CiscoAironet接入点思科业务就绪园区解决方案思科无线安全套件支持IEEE802.1x和多种EAP类型，基于每用户、每会话的双向验证。CiscoLEAP、EAP——传输层安全（EAP-TLS）和运行在EAP-TLS上的EAP种类，如受保护可扩展验证协议（PEAP）和EAP——隧道TLS（EAP-TTLS），均可通过思科增强安全解决方案进行支持。802.1x是用于在有线和无线网络上进行验证的IEEE标准。该标准为WLAN提供了客户端和验证服务器间强大的双向验证。它也提供了动态的每用户、每会话加密密钥，消除了静态加密密钥带来的管理负担和安全问题。支持带EAP的IEEE802.1x的接入点可作为无线客户端和验证服务器，如思科安全访问控制服务器（ACS）间的接口。此外，接入点中的VLAN支持可同时支持多项安全策略。利用VLAN，网络管理员可通过多种安全选项，如有线等效私密性（WEP）、802.1x/TKIP、开放接入或高级加密标准（AES）划分用户。对于接入点的多VLAN支持VLAN也可用于划分用户组或设备组间的流量，以确保安全运行和高效利用带宽（图6）。图5CiscoWLAN支持思科无线安全套件安全数据802.1x，带某种EAP和TKIP安全802.11WLAN思科业务就绪园区解决方案通过根据访问目标服务器应用或共享服务来划分网络用户网络管理员可决定划分流量的方式确定谁访问哪些资源并在对运行干扰最小的情况下按需重新安排网络拓扑使用VLAN为未在笔记本电脑上运行基于802.1x验证的访客如供应商和合作伙伴提供了有限的网络访问权限这些特殊用户可隔离到一个访客WLAN上允许他们对于互联网或某些非专用资源的访问但禁止访问其他所有网段和服务器CiscoWLAN服务质量过去WLAN主要用于传输低带宽的数据应用流量今天随着WLAN不断扩展进入多个市场领域如零售金融和教育和企业环境WLAN可用于传输高带宽业务应用以及时间敏感型多媒体应用特别地随着对网络服务如IP电话的需求的提高对网络管理员能主动管理并划分网络上特定类型的流量的优先级的需求也在不断增长可在与数据流量共享的介质上传输延迟敏感型流量如IP电话的一个重要功能就是服务质量QoS内嵌WLANQoS支持可优先处理高优先级流量对接入点上QoS相关参数的调整使话音等应用能划分优先级以提高性能基于用户的网络接入策略和安全WLAN技术因为具备以下特性所以可提供高效的访客网络接入WLAN提供了超大范围包括传统上无布线的区域如大厅和等待室WLAN无需一个专门场所来供访客或来宾连接图6WLAN和VLAN如何相结合以隔离访客接入网段的示例互联网安全802.11WLANVLAN100已验证用户全面访问VLAN200已验证用户有限访问VLAN300未知用户仅限互联网访问思科业务就绪园区解决方案通过在CiscoCatalyst交换机和CiscoAironet接入点上将VLAN功能和802.1x验证相结合，访客和来宾就能同公司网络隔离开来。管理员可设计一个无线网络，来全面禁止非员工人员的访问或为访客和来宾提供有限访问。恶意接入点的防御和检测凭借思科结构化无线感知网络（SWAN），IT经理可方便、自动地检测、定位和禁用恶意接入点。举例来说，图7为使用一个运行免费无线搜索应用的个人数字助理（PDA），从一辆以正常速度行驶的汽车中捕获的无线网络的情况。在此情况中