思科可适应wIPS提高了本地传送方式（榆木）配置和部署指南.PDFVIP

思科可适应wIPS提高了本地传送方式(榆木)配置 和部署指南 目录 简介 先决条件 要求 使用的组件 规则 榆木wIPS报警流 榆木的部署注意事项 榆木与专用的MM 在信道和脱离信道性能 在广域网链路间的榆木 CleanAir集成 榆木功能与优点 许可授权的榆木 配置与WCS的榆木 从WLC的配置 在榆木检测的攻击 排除故障榆木 相关信息 简介 思科可适应无线入侵防御系统(wIPS)解决方案添加增强版本地传送方式(榆木)功能，允许管理员使 用他们的部署的接入点(AP)提供全面的防护，不用需要对于一个分开的覆盖网络(图1)。在榆木之前 和在传统可适应wIPS部署，专用的监控模式(MM) AP要求提供PCI法规遵从性需要或防护从未授权 的安全访问、渗透和攻击(图2)。榆木有效提供一可比较提供那缓和无线安全实施，当降低CapEx和 OpEx开销时。本文只着重榆木，并且不修改与MM AP的任何现有wIPS部署好处。 图1 -改进的本地传送方式AP部署 图2 -顶部无线安全威胁 先决条件 要求 本文档没有任何特定的要求。 使用的组件 榆木必需的组件和最小编码版本 无线局域网控制器(WLC) -版本7.0.116.xx或以上 AP -版本7.0.116.xx或以上 无线控制系统(WCS) -版本7.0.172.xx或以上 移动服务引擎-版本7.0.201.xx或以上 支持的WLC平台 WLC5508、WLC4400、WLC 2106,WLC2504， WiSM-1和WiSM-2WLC平台支持榆木。 支持的AP 11n AP支持榆木包括3500， 1250， 1260， 1040和1140。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 榆木wIPS报警流 当他们在委托基础设施AP时，发生攻击只是相关的。榆木AP将检测并且通信到控制器并且关联与 报告的MSE与WCS管理。图3提供报警流从管理员的观点： 1. 攻击启动基础设备(“委托的” AP) 2. 检测在通过CAPWAP被传达的榆木AP对WLC 3. 通过透明地对MSE通过NMSP 4. 在MSE的登录的wIPS数据库发送对WCS通过SNMP陷阱 5. 显示在WCS 图3 -威胁检测和报警流 榆木的部署注意事项 思科建议通过启用在每个AP的榆木在网络满足多数客户安全需要，当网络重叠和开销是考虑事项的 一部分。榆木主要的功能为在信道攻击有效运行，不用任何妥协对性能在数据、语音和视频客户端 和服务。 榆木与专用的MM 图4提供在wIPS MM之间AP和榆木的标准的部署的一一般对比度。在复核，两种模式的典型的覆盖 范围建议： 专用的wIPS MM AP典型地包括15,000-35,000平方英尺 客户端服务AP从3,000-5,000平方英尺将典型地覆盖 图4 - MM重叠与所有榆木AP 在传统可适应wIPS部署，思科推荐1个MM AP比与每5本地传送方式AP，可能也变化基于最好的覆 盖的网络设计和专家指导。通过考虑榆木，管理员启用所有的榆木软件功能现有AP，有效添加MM wIPS操作到本地数据服务模式AP，当维护性能时。 在信道和脱离信道性能 因为不服务任何WLAN客户端， MM AP使用100%扫描所有信道的无线电的时期。榆木的主要的功 能为在信道攻击有效运行，不用任何妥协对性能在数据、语音和视频客户端和服务。主要的区别在 本地传送方式变化的脱离信道扫描;根据活动，脱离信道扫描提供最小停留时间采集足够的有用的资 料分类和确定攻击。示例可能是关联，并且的语音客户端AP的RRM扫描延迟的地方，直到语音客 户端被分离确保服务不受影响。对于此考虑事项，在脱离信道期间的榆木检测被认为最佳效果。操 作在所有的相邻的榆木AP，国家或者DCA信道增加效果，因此建议启用的榆木在每个本地传送方式 AP最大保护覆盖的。如果需求全时是为在所有信道的专用的扫描，建议将是部署MM AP。 这些点查看本地传送方式和MM AP差异： 本地传送方式AP -有时间分割脱离信道扫描的服务WLAN客户端，细听在每个信道和功能可配 置扫描的50ms所有/country/DCA信道的。 监控模式AP -不服务WLAN客户端，投入只扫描，细听在每个信道的1.2s，并且扫描所有信道 。