思科统一无线网基础知识和设计规划.doc

思科统一无线网络  目录 1 .无线局域网基础 3 1.1 无线局域网和有线局域网的比较 3 2． 无线网络架构及设计 3 2.1 WLAN 安全 3 2.1.2 基于EAP 的安全方法 4 2.1.3 WPA 4 2.1.4 WPA2 5 2.2 AP 关联和漫游 5 2.2.1 漫游过程 5 2.3 蜂窝布局和信道的使用 6 3 .思科统一无线网络 8 3.1 WLC 的功能 8 3.2 轻量级AP 的工作原理 9 3.3 Cisco 统一无线网络中的数据流模式 10 3.4 轻量级AP 关联和漫游 11 3.5.1 控制器内漫游 12 3.5.2 控制器间漫游 13 3.5.3 移动组 17 1 无线局域网基础 1.1 无线局域网和有线局域网的比较 从最本质上说，交换型网络需要电缆，而无线网络不需要。这看似显得可笑，却指出了它们的物理层之间的不同。 传统以太网是由IEEE802.3 标准定义的。每条以太网连接都必须在严格的条件下运行，尤其是对物理链路本身来说。例如，链路状态、链路速度和双工模式都必须符合标准的规定。无线局域网使用类似的协议，但由IEEE 802.11 标准定义的。 有线以太网设备必须采用载波侦听多路访问/冲突检测 CSMA/CD 方法来传输和接收以太网帧。在共享的以太网网段上，PC 以半双工模式工作，每台PC 都可以先“发言”，然后侦听是否其他正在发言的设备发生冲突。整个检测冲突的过程是基于有线连接的最大长度的，从网段的一端发送到另一端检测到冲突之间的最大延迟是确定的。 在全双工或交换型以太网链路上，不存在冲突或争取带宽的问题，但它们必须遵循相同的规范。例如，在全双工链路上，必须在预期的时间内发送或接收以太网帧，这要求全双工双绞线的最大长度与半双工链路相同。 虽然无线局域网也基于一组严格的标准，但无线介质本身难以控制。一般而言，当PC 连接到有线网络时，与其共享网络连接的其他设备的数量是已知的；而当PC 使用无线网络时，使用的传输介质为空气；由于接入层没有电缆和插口，因此无法限制其他最终用户使用相同频率无线电波。 因此，无线局域网实际上是一种共享型网络，且争用相同频率电波的主机数量不是固定的。在无线局域网中，冲突犹如家常便饭，因为每条无线连接都是半双工模式的。 IEEE 802.11 WLAN 总是半双工模式的，因为传输站和接收站使用的频率相同。双方不能同时传输，否则将发生冲突。要实现全双工模式，必须在一个频率进行传输，在另一个频率进行接收，这类似于全双工以太网链路的工作原理。虽然这完全可行，但802.11 标准不允许采用全双工模式。 2. 无线网络架构及设计 2.1 WLAN 安全 作为基本服务集（BSS）的中央枢纽，AP 实际上为其覆盖范围内的客户端管理WLAN 。别忘了，无线客户端发送的数据流都必须经过AP，才能到达当前BSS 内的其他WLAN 客户端或位于其他地方的有线客户端。 客户端建立其无线连接时，必须找到可到达并提供成员资格的AP。客户端必须按如下顺序协商成员资格和安全措施： （1）使用与AP 匹配的SSID； （2）向AP 认证； （3）使用一种分组加密方法确保数据的隐秘性，这步是可选的； （4）使用一种分组认证方法确保数据的完整性，这步也是可选的； （5）建立同AP 的关联。 SSID 字符串用于将客户端同合适的WLAN（以及有线网络中的VLAN ）匹配。如果客户端的SSID 与某个AP 使用的SSID 相同，它便可以开始同该AP 通信。SSID 并不是一种安全措施，而只是用于将WLAN 划分成逻辑用户组。 开放认证是默认设置，无法对客户端进行筛选。任何客户端都可以加入网络，而无需提供任何凭证。实际上，SSID 是需要提供的唯一凭证。虽然这使得认证工作更容易，但几乎无法控制对WLAN 的访问。另外，开放认证没有提供对通过WLAN 传输得数据进行加密的措施。 预共享密钥认证使用一个存储在客户端和AP 中的无线等效协议（Wireless Equivalence Protocol，WEP）密钥。客户端要加入WLAN 时，AP 向它发送一个挑战短语；客户端必须使用挑战短语和WEP 密钥计算出一个可公开共享的值，并将其发回给AP。AP 使用自己的WEP 密钥计算一个类似的值，如果这两个值相同，客户端便通过了认证。 使用预共享密钥（常被称为静态WEP 密钥）认证时，WEP 密钥也被用做加密密钥。通过WLAN 发送每个分组时，将把分组的内容和WEP 密钥提供给加密进程。远端收到分组后，将使用相同的WEP 密钥对其进行解密。 预共享密钥认证比开放认证安全，但存在两个缺点： ■可扩展性不佳，因为必须在每台设备上配置一个很长的密钥字符串； ■不是很安全。 2.1常用的安全方法有： 2.1.1基于