思科业务就绪园区解决方案
思科业务就绪园区解决方案
思科园区无线 LAN 解决方案
因为当前的员工需承担更大工作负荷，他们必须努力应付大量的电子通信，以便更好、更快地作出
决策，同时他们还要用很大一部分工作时间参加各种会议。如果您的员工无论身在何处都能访问所
需的所有公司网络资源，那不是很好吗？
园区移动性
在上世纪九十年代，业务蓬勃发展。公司只要发现合适人选都尽快雇佣他们。在那时，网络管理员
的主要考虑之一是如何使网络随这些新用户的添加而发展。
目前，虽然公司还需继续发展，公司雇佣新员工的能力却在降低。现在，公司正试图找到新方式，
以更少的付出完成更多的任务。在强调提高生产率的现在，员工无法忍受工作时间的任何“停运”。
无论他们是在办公桌旁、会议室中、公司餐厅里，还是另一个公司办公地点，当今的用户都需随时
获得全套的集成网络服务。这包括 IP 电话和视频会议，以及预期的数据服务，如电子邮件、日历、
数据库应用等。
随着 IP 电话的逐步普及，许多用户在园区中的网络间移动时需保持持续网络接入，同时使用其基
于 PC 的思科IP 软电话或思科 IP 无线电话。
考虑到上述情况，当今的网络管理员面临着新挑战——如何使网络随用户移动而移动。
挑战
让我们考虑一下企业客户面临的挑战。
想象一个 1992 年的会议室，正在召开一次讨论新业务机会的会议。尽管与会者作了充分准备，但
主管在作出决策前想要了解另一项目的状态。与会者之一 Jane 说她返回办公桌后可在线查看该项
目状态。尽管她当天下午发现并转发了该信息，但再安排一次会议则须等到一周之后了。
现在，假设今天召开同样的一个会议，讨论同样的业务机会。但到在当前的经济状况下，要求作出
决策的时间需短得多。在这种情况下，当主管问及另一项目的状态，Jane 使用其思科无线 LAN
（WLAN）客户端适配器登陆公司网站、确定该信息，因此现场作出了决策。
在另一个例子中，Joe 为一家在几个城市都设有办公机构的公司工作。作为其工作的一部分，他常
从他所在的办公机构出差到公司总部和其他办公地点。Joe 三年前加盟该公司时，网络无法满足用
户不断变化的需求。当他到达一个公司办公地点时，他需找到一个无人使用的办公隔间，确定应将
其笔记本电脑插入哪个端口，并尝试发现一部可用电话。即使他只需接收电子邮件和收听语音留言，
也需进行这一过程。
现在，当 Joe 前往另一地点时，他可在该办公机构中的任意地点接入公司网络——因为 Cisco WLAN
覆盖整个园区。他不再必须找到一个有可用端口的空办公隔间或打扰他人的工作空间。此外，他可
使用笔记本电脑上的思科 IP 软电话软件或思科无线 IP 电话来接收语音留言并回电——且不增加公
司的开支。
思科业务就绪园区解决方案
思科园区 WLAN 解决方案（思科移动解决方案产品之一）提高了 Jane 和 Joe 的效率。
思科移动解决方案
思科系统公司提供了一套移动解决方案，旨在满足移动信息时代的需求，并扩大企业的员工工作
范围（图 1）
。
图1
在旅途中
扩大工作范围
在家中
在工作时
台式机
在园区漫游时
远程工作人员
解决方案
酒店
网络
热点
一般来说，思科企业移动解决方案分为两类：漫游访问和移动访问。
z
漫游访问解决方案使企业员工能从其园区网络中的任意地点（如分支机构、家中、酒店、公共
热点等）访问公司话音、视频和数据网络应用及服务。此类中的解决方案包括思科园区无线
LAN、思科分支机构移动、思科远程工作人员和思科移动用户等。
z
移动访问解决方案实际上可使员工或网络能够自由移动（漫游）以达到公司或行业的要求。这
包括在用户“移动”时向其提供网络访问，允许企业收集移动资产的信息等。此类中的解决方
案包括思科园区无线 LAN、思科移动用户和思科移动网络等。
思科园区 WLAN 解决方案可满足企业的园区移动需求。
思科园区无线 LAN 解决方案
思科园区无线 LAN（WLAN）解决方案运行在当前有线网络的基础上，或作为一个独立网络运行，
为园区中的计算机用户提供建筑物间移动性。它可通过园区设置，进行安全、加密的通信，从园区
中任意能接收到无线 RF 信号的地点即时访问所有数据和通信服务。
思科园区 WLAN 解决方案的各组件相配合，可帮助企业：
z
当员工不在办公桌旁时保持其工作效率——使用带 Cisco Aironet接入点和思科或思科兼容
WLAN 客户端适配器的思科园区 WLAN 解决方案，员工可在园区任意位置访问其网络资源。
这种可访问性使员工无论是在会议室中和客户开会、在公司餐厅中与同事共进午餐，还是在相
邻建筑物中与团队同事展开合作，都能更快地响应业务需求。
z
为来自其他地点的机构的来访员工提供方便、安全的网络接入——无需搜索空办公隔间或可用
以太网端口。凭借思科园区 WLAN 解决方案，用户可安全地从网络上的任意地点接入网络。
利用思科无线安全套件的特性，
员工通过 IEEE 802.1x 可扩展验证协议进行验证，所有在 WLAN
思科业务就绪园区解决方案
上发送和接收的信息都使用临时秘钥完整性协议（TKIP）加密。因此，园区 WLAN 解决方案
可立即满足来访员工的需求。
z
保护企业免遭未授权、不安全的“恶意”WLAN 接入点的影响——思科园区 LAN 支持思科结
构化无线感知网络（SWAN）
。通过 Cisco SWAN，IT 经理可方便、自动地检测、定位和禁用恶
意接入点和它们所连接的交换机端口，这是因为接入点和客户端设备可主动参加 RF 环境的持
续搜索和监控。
z
将集成网络服务的全部优势扩展到漫游用户——在使用服务质量（QoS）的 WLAN 上支持 IP
电话和 IP 视频会议，这能优先处理实时流量，有助于确保视频和音频信息及时到达。使用思
科 IP 电话产品，通过基于 PC 的软电话或思科无线电话，员工可在整个园区中漫游的同时，与
其客户保持联络及相互联系。
z
对授权用户分类，禁止未授权用户访问——无线网络服务可安全地扩展到访客和供应商。园区
WLAN 可配置以支持一个独立的公共网络——访客网络。企业可使用虚拟 LAN（VLAN）
，为
供应商和其他非员工的人员提供互联网和有限内部网接入。通过思科无线安全套件特性，可为
授权用户设置接入策略，禁止未授权用户访问敏感数据。
z
方便地管理中央或远程位置的接入点——网络经理能通过 Cisco SWAN，方便地在 WLAN 园区
和分支机构、或零售、制造和医疗机构场所，部署、运行和管理数百到数千个接入点。此框架
为大中型机构提供了与其有线 LAN 相同的安全性、可扩展性、可靠性、易部署性和易管理性
水平。
凭借以上所有特性，思科园区 WLAN 解决方案使机构能作出更快响应并提高员工效率，从而降低
运营开支。
另一个优势是，一旦员工配备了无线卡或设备，他们即可利用公共热点接入互联网。此外，如果企
业网络支持 VPN，员工就可从那些公共热点访问其公司资源。有关这一优势的更多信息，请参见思
科移动用户解决方案概述。
因为思科园区 WLAN 解决方案是一个基于标准的重叠网络，无线用户也能迅速、方便地获得有线
网络的服务和应用升级。同样，对于 IP 无线技术的改进能方便地集成入思科园区 WLAN 网络——
这有助于确保现在所作 WLAN 技术方面的投资会带来丰厚回报。
解决方案组件
图 2 为普通的思科园区 WLAN 环境。此解决方案的构成特性包括：
z
无线服务
z
思科无线安全套件
z
对于接入点的多 VLAN 支持
z
Cisco WLAN QoS
z
基于用户网络的网络接入策略和安全性（访客访问）
z
Cisco SWAN
z
无线 IP 话音服务
思科业务就绪园区解决方案
图2
园区 WLAN 移动
解决方案概述
安全的 802.11WLAN
员工（全面
访问网络）
非标准 WLAN
（禁止）
z
z
z
z
阻止入侵者
z
访客
（有限访问）
安全的员工访问
有限的访客访问
整个园区范围的访问
无线 IP 电话
未授权 AP 防御
无线 LAN
WLAN 使移动园区用户可建立和维护无线网络连接。Cisco Aironet WLAN 产品系列将移动用户认为
无线产品应提供的移动性和灵活性，以及企业无线网络具备的吞吐率和安全相结合。
通过配备 Cisco Aironet 无线 LAN 客户端适配器（如图 3 所示）或思科兼容 WLAN 客户端适配器的
笔记本电脑和 PDA，移动园区用户可从园区中任意配备了 Cisco Aironet 接入点的位置连接到公司
网络（如图 4 所示）
。
图3
Cisco Aironet 无线 LAN 客户端适配器
WLAN 重叠使员工在不接入有线网络时也能访问网络。这样，移动员工即可访问全部网络应用和通
信工具。Cisco WLAN 使用强大的验证和加密技术来保护 WLAN 免遭攻击和未授权用户接入。
思科无线安全套件
思科园区 WLAN（和整个企业 WLAN）解决方案包括经由适用于 Cisco Aironet 产品和思科兼容
WLAN 客户端设备的思科无线安全套件实现的几种安全部署选项。此解决方案全面支持称为 Wi-Fi
受保护接入（WPA）的 Wi-Fi 联盟安全标准。凭借正确部署的思科无线安全套件，网络管理员能确
保他们为 WLAN 部署了企业级安全性和保护（图 5）
。
图4
Cisco Aironet 接入点
思科业务就绪园区解决方案
图5
Cisco WLAN 支持思科
无线安全套件
安全数据
安全 802.11 WLAN
802.1x，带某种
EAP 和 TKIP
思科无线安全套件支持 IEEE 802.1x 和多种 EAP 类型，
基于每用户、每会话的双向验证。
Cisco LEAP、
EAP——传输层安全（EAP-TLS）和运行在 EAP-TLS 上的 EAP 种类，如受保护可扩展验证协议
（PEAP）和 EAP——隧道 TLS（EAP-TTLS）
，均可通过思科增强安全解决方案进行支持。802.1x
是用于在有线和无线网络上进行验证的 IEEE 标准。该标准为 WLAN 提供了客户端和验证服务器间
强大的双向验证。它也提供了动态的每用户、每会话加密密钥，消除了静态加密密钥带来的管理负
担和安全问题。
支持带 EAP 的 IEEE 802.1x 的接入点可作为无线客户端和验证服务器，如思科安全访问控制服务器
（ACS）间的接口。
此外，接入点中的 VLAN 支持可同时支持多项安全策略。利用 VLAN，网络管理员可通过多种安
全选项，如有线等效私密性（WEP）
、802.1x/TKIP、开放接入或高级加密标准（AES）划分用户。
对于接入点的多 VLAN 支持
VLAN 也可用于划分用户组或设备组间的流量，以确保安全运行和高效利用带宽（图 6）。
思科业务就绪园区解决方案
图6
WLAN 和 VLAN 如何
相结合
以隔离访客接
互联网
入网段的示例
安全 802.11 WLAN
VLAN 300
未知用户 仅限
互联网访问
VLAN 200
已验证用户
有限访问
VLAN 100
已验证用户
全面访问
通过根据访问目标 服务器 应用或共享服务 来划分网络用户 网络管理员可决定划分流量的方
确定谁访问哪些资源
式
并在对运行干扰最小的情况下按需重新安排网络拓扑
使用 VLAN 为未在笔记本电脑上运行基于 802.1x 验证的访客
的网络访问权限
资源的访问
这些特殊用户可隔离到一个访客 WLAN 上
如供应商和合作伙伴
提供了有限
允许他们对于互联网或某些非专用
但禁止访问其他所有网段和服务器
Cisco WLAN 服务质量
WLAN 主要用于传输低带宽的数据应用流量
过去
今天
随着 WLAN 不断扩展
进入多个市场
领域 如零售 金融和教育 和企业环境 WLAN 可用于传输高带宽业务应用以及时间敏感型多媒
体应用
特别地
随着对网络服务
如 IP 电话
的需求的提高
定类型的流量的优先级的需求也在不断增长
如 IP 电话
的一个重要功能就是服务质量
对网络管理员能主动管理并划分网络上特
可在与数据流量共享的介质上传输延迟敏感型流量
QoS
内嵌 WLAN QoS 支持可优先处理高优先级流量 对接入点上 QoS 相关参数的调整使话音等应用能
划分优先级
以提高性能
基于用户的网络接入策略和安全
WLAN 技术因为具备以下特性
WLAN 提供了超大范围
所以可提供高效的访客网络接入
包括传统上无布线的区域
WLAN 无需一个专门场所来供访客或来宾连接
如大厅和等待室
思科业务就绪园区解决方案
通过在 Cisco Catalyst交换机和 Cisco Aironet 接入点上将 VLAN 功能和 802.1x 验证相结合，访客和
来宾就能同公司网络隔离开来。管理员可设计一个无线网络，来全面禁止非员工人员的访问或为访
客和来宾提供有限访问。
恶意接入点的防御和检测
凭借思科结构化无线感知网络（SWAN），IT 经理可方便、自动地检测、定位和禁用恶意接入点。
举例来说，图 7 为使用一个运行免费无线搜索应用的个人数字助理（PDA）
，从一辆以正常速度行
驶的汽车中捕获的无线网络的情况。在此情况中，发现 68 个独立网络。其中大部分都可无任何安
全限制地接入。
图7
典 型 移 动 中 NetStumbler
的MiniStumbler捕获情况
这些无保护的网络通常是由安装了自己的接入点，以便更方便地接入网络的员工造成的。这其中包
括用户在会议室、餐厅、户外或其他公共区域部署的无线网络。
不幸的是，安装这些接入点的人员常常不了解防止外来人员接入企业网络所必需的网络安全特性。
此外，这些用户所部署无线网络中常用的客户级接入点没有足够的特性，来提供所需的企业级安全，
以防止攻击者接入公司网络。
恶意接入点对网络安全的威胁是实际存在的，但也是可预防的。虽然检测是绝对必需的，但能防止
未授权接入点安装，要好于在它们安装了之后再发现它们。
以下方法总结了进行防御的关键：
z
为企业员工提供 IT 部门支持的安全 WLAN 基础设施，使用带 802.1x 和 TKIP 功能的思科无线
z
部署 Cisco SWAN，使用恶意接入点和干扰检测功能来分析当地 RF、发现恶意接入点，或定期
安全套件。这可使安装恶意接入点的动机不复存在。
携带一个无线监听设备巡视整个网络，以定位恶意设备。
z
在企业边缘交换机上部署 802.1x，通过禁止接入网络来提供全面的恶意接入点防御。
思科业务就绪园区解决方案
通过采用一个全面的园区 WLAN 解决方案、运用定义明确的防御策略，并按照事先确定的检测安
排，机构的 IT 部门可实施经过许可的 WLAN 部署、监控 WLAN 活动并防御恶意接入点的威胁。
思科结构化无线感知网络
Cisco SWAN 是一个安全的集成 WLAN 解决方案，由思科“无线感知”基础设施产品组成，通过优
化部署和对市场领先的、高性能、多功能 Cisco Aironet 接入点的优化部署和管理，最大限度地降低
了 WLAN 总体拥有成本。Cisco SWAN 包括 4 个核心组件。其功能可通过思科和思科兼容客户端设
备扩展，在将来，则可通过提供无线和有线 LAN 集成功能的无线感知思科有线基础设施产品进一
步优化。
Cisco SWAN 的核心组件：
z
运行 Cisco IOS软件的 Cisco Aironet 系列接入点
z
CiscoWorks 无线 LAN 解决方案引擎（WLSE）
z
IEEE 802.1x 验证服务器，如思科安全 ACS
z
Wi-Fi 认证的无线 LAN 客户端适配器
Cisco SWAN 可选组件提供全面的企业级安全选项，包括所有 802.1x 验证类型和扩展无线/RF 射频
管理功能，可选组件有：
z
Cisco Aironet 无线 LAN 客户端适配器
z
思科兼容无线 LAN 客户端设备
用于有线和无线 LAN 集成网络的 Cisco SWAN 未来组件包括：
z
运行无线感知 Cisco IOS 软件的思科交换机和路由器（2004 年开始面世）
Cisco SWAN 通过优化以下特性，实现了最低总体拥有成本和最长无线网络正常运行时间：
z
恶意接入点检测和定位
z
用以隔离和定位网络干扰的干扰检测
z
辅助现场调查，可简化 WLAN 部署流程
z
无线/RF 搜索和监控
z
简化的 WLAN 管理和运营支持
z
增强排障和诊断工具，用以主动性能和故障监控
z
透明地提供增强网络安全解决方案，带安全策略监控
z
全面的访问控制和专用性，带快速安全第二层漫游和（将来提供）快速安全第三层漫游
z
WAN 存活特性，以便在验证、授权和记帐（AAA）服务器不可用时，远程地点可为无线客户
端提供认证服务
z
通过自治愈无线 LAN 提供高可用性
无线/RF 管理服务
使用 CiscoWorks WLSE 的 Cisco SWAN 提供了先进的无线/RF 和设备管理工具，避免了 WLAN 管
理复杂性，使管理员能全面查看 WLAN。
思科业务就绪园区解决方案
恶意接入点检测和定位
CiscoWorks WLSE 可检测、定位和抵御员工或恶意的外部入侵者安放的恶意接入点。恶意接入点的
位置可在 CiscoWorks WLSE 位置管理器上显示（图 8）
，此外还显示接入点所连交换机端口的具体
信息。
图8
CiscoWorks
WLSE“位置视图”可
显示恶意接入点的
位置
干扰检测
CiscoWorks WLSE 可对所有所管理的接入点的物理位置分类，创建 WLAN 安装的站点图。这使无
线感知网络能发现影响网络性能的 RF 干扰源。这一未知的 RF 干扰源可能是一个恶意接入点，也
可能是运行在同一频率的设备，如 2.4GHz 无绳电话或有微波泄漏的微波炉。干扰检测和定位对保
持可靠的 WLAN 非常重要。
辅助现场调查
只有通过具体的现场调查，才能获得完整、可靠的 WLAN 信号范围。CiscoWorks WLSE 使 IT 经理
无需雇佣熟知 RF 传播和测量的员工，即可利用内部资源自行开展经济有效的现场调查。在辅助现
场调查工具的帮助下（图 9），能自动确定最优频率、传输功率和其他设置，随即管理员会将这些应
用于接入点。
图9 辅助现场调查，“扫
描接入点模式”
思科业务就绪园区解决方案
无线/RF 搜索和监控
CiscoWorks WLSE 分析来自 Cisco Aironet 接入点的 RF 测量值，在性能下降时提供通知，并显示无
线/RF 范围。任意经过 Wi-Fi 认证的客户端设备都可用于 WLAN 中。然而，Cisco Aironet 和思科兼
容客户端设备与单纯接入点 RF 测量相比，提供了高出 10 到 20 倍的 RF 测量数据，这是因为它们
拥有更多内置 RF 测量功能。
注：思科兼容扩展计划可广泛提供利用了 Cisco Aironet 无线网络优势的无线客户端设备，在保持互
操作性的同时加速创新特性的面世。更多信息请访问：
http://www.cisco.com/go/ciscocompatible/wireless。
无线 IP 话音服务
思科园区 WLAN 话音服务基于思科 IP 电话骨干。思科 IP 电话解决方案利用了单一网络基础设施
图 10
来提供高质量 IP 话音以及传输数据、话音和视频流量的完全融合式通信。
思科无线 IP 电话 7920
以下 IP 电话组件支持移动园区用户：
z
思科无线 IP 电话
z
思科 IP 软电话
z
思科媒体融合服务器（MCS）
z
Cisco CallManager
注：有关 Cisco MCS 和 Cisco CallManager 的更多信息，请分别访问
http://www.cisco.com/en/us/products/hw/voiceapp/index.html 和
http://www.cisco.com/en/us/products/sw/voicesw/ps556/index.html。
思科无线 IP 电话
图 11
思科 IP 软电话
思科无线 IP 电话 7920（图 10）是一款易用的 IEEE 802.11b 无线 IP 电话，与 Cisco CallManager 和
Cisco Aironet 接入点相结合，提供了全面的话音通信。思科无线 IP 电话 7920 包括对于安全、移动、
QoS 和管理等智能服务的支持。
思科 IP 软电话
思科 IP 软电话是一款适用于笔记本电脑或桌面 PC 的先进通信应用。
思科 IP 软电话由 Cisco AVVID
（集成话音、视频和数据架构）支持，是一种强大的 VoIP 软件应用，可与思科 IP 电话系列全面集
成。
思科 IP 软电话利用了 PC 的可用性，可控制您的硬件 IP 电话；此外，它也可以作为一个独立软件
IP 电话运行。
直观的用户界面和基于环境的控制使其易于使用。而且，
因为思科 IP 软电话与 Microsoft
NetMeeting 相集成，您只需简单的点击即可获得先进的多媒体协作工具。
思科 IP 软电话全面利用了属于思科 VoIP 解决方案的轻量级目录访问协议（LDAP）服务。呼叫一
位用户现在极为简单，只需在公司电话簿上查找一个姓名，并将它拖放到思科 IP 软电话中。利用
您的个人电话簿，您总能找到您的联系名单和联系信息，即使您未和主目录服务器相连时也是如此。
思科业务就绪园区解决方案
使您的网络增值
思科园区 WLAN 解决方案可使底层网络增值。当您在有线网络上覆盖添加一个 WLAN 时，您无需
墙壁插孔也能获得有线网络的服务和优势。
思科园区 WLAN 解决方案让您可充分利用现有的有线网络和应用投资，以提高您员工的效率——
允许用户能在园区的任意位置获得所有的网络集成服务（数据、话音和视频）。
思科园区 WLAN 解决方案为企业提供了一种经济有效地提高员工工作效率的方式。
思科系统 (中国) 网络技术有限公司
北京
北京市东城区东长安街 1 号东方广
场东方经贸城东一办公楼 19-21 层
上海
上海市淮海中路 222 号力宝
广场 32-33 层
广州
广州市天河北路 233 号中信
广场 43 楼
成都
成都市顺城大街 308 号冠城
广场 23 层
邮政编码：100738
电话：(8610) 85155000
传真：(8610) 85181881
邮政编码：200021
电话：(8621) 33104777
传真：(8621) 53966750
邮政编码：510620
电话：(8620) 85193000
传真：(8620) 38770077
邮政编码：610017
电话：(8628) 86961000
传真：(8628) 86528999
如需了解思科公司的更多信息，请浏览
http://www.cisco.com /cn
思科系统（中国）网络技术有限公司版权所有。
2005思科系统公司版权所有。该版权和/或其它所有权利均由思科系统公司拥有并保留。Cisco, Cisco IOS, Cisco IOS 标识，Cisco Systems, Cisco Systems 标识，
Cisco Systems Cisco Press 标识等均为思科系统公司或其在美国和其他国家的附属机构的注册商标。这份文档中所提到的所有其它品牌、
名称或商标均为其各自所有人的财产。合作伙伴一词的使用并不意味着在思科和任何其他公司之间存在合伙经营的关系。
2005 年 3 月翻译