无线网络安全及典型案例课件.pptx

《无线网络安全及典型案例课件.pptx》由会员分享，可在线阅读，更多相关《无线网络安全及典型案例课件.pptx（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 11思科无线网络安全及典型案例思科无线网络安全及典型案例1.无线网络安全无线网络安全第一代第一代第一代第一代802.11802.11BB安全机制安全机制安全机制安全机制（基本安全）基本安全）基本安全）基本安全）第二代第二代第二代第二代802.1802.1XX安全机制安全机制安全机制安全机制（增强安全）增强安全）增强安全）增强安全）2.无线网络典型案例无线网络典型案例AGENDA虚拟专网虚拟专网 (VPN)(VPN)没有没有WEPWEP，采用广播模式采用广播模式公共接入公共接入开放的接入开放的接入4040位和位和128128位位静态密钥（静态密钥（WEP)WEP)远程办公及远程办公及SOHO

2、SOHO基本的安全性基本的安全性动态密钥管理动态密钥管理开放的开放的802.1x/EAP802.1x/EAP标准验证标准验证TKIPTKIP、MICMIC、AESAES中型、大型企业中型、大型企业增强的安全性增强的安全性公共网络公共网络安全安全专业应用专业应用/商业旅行者商业旅行者思科安全无线局域网机制思科安全无线局域网机制四种不同级别的四种不同级别的WLAN安全措施：安全措施：没有安全、基本安全、增强安全和专业安全没有安全、基本安全、增强安全和专业安全。基本安全基本安全：WEP:“WiredEquivalentProtection“，一种将资料加密的处理方式，WEP40bit或128bit的

3、encryption乃是IEEE802.11的标准规范。透过WEP的处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。增强安全增强安全：LEAP，它也被称为，它也被称为EAPCiscoWireless（可扩展身份认证协议）（可扩展身份认证协议）TKIP、MIC、AES专业安全：专业安全：VPN(金融机构，需要金融机构，需要VPN终端，造价高）终端，造价高）思科安全无线局域网机制思科安全无线局域网机制1）共享的、静态的）共享的、静态的WEP密钥密钥没有集中的密钥管理不能有效抵御各种安全攻击2）如果客户的适配器丢失或被盗，需要进行）如果

4、客户的适配器丢失或被盗，需要进行大规模的密钥重部署大规模的密钥重部署处理器能接入网络需要对所有的WLAN客户机设备进行密钥重部署3）缺乏综合用户管理）缺乏综合用户管理需要独立的用户数据库，不使用RADIUS能够只通过设备特性（如MAC地址）识别用户4）在）在802.11B中中,验证与加密是可选的验证与加密是可选的(不是必需的不是必需的)第一代第一代802.11B安全机制的特点安全机制的特点(基本安全）基本安全）MAC1+WEPkeyMAC1+WEPkey MAC2+WEPkeyMAC2+WEPkey 在现有的WLAN产品中，常用的加密方法是给用户静态分配一个密钥，该密钥或者存储在磁盘上或者存储

5、在无线局域网客户适配器的存储器上。这样，拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器，这些用户有效地共享MAC地址和WEP密钥。1 1）当一个客户适配器丢失或被窃的时候，合法用户没有）当一个客户适配器丢失或被窃的时候，合法用户没有MAC地址和地址和WEP密密钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此钥不能接入，但非法用户可以。网络管理系统不可能检测到这种问题，因此用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到用户必须立即通知网络管理员。接到通知后，网络管理员必须改变接入到MAC地址的安全表和地址的安全表

6、和WEP密钥，并给与丢失或被窃的客户适配器使用相同密密钥，并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码钥的客户适配器重新编码静态加密密钥。客户端越多，重新编码WEP密钥的密钥的数量越大。数量越大。2）IEEE802.11b共享密钥认证表采用单向认证，而不是互相认证。接入点鉴共享密钥认证表采用单向认证，而不是互相认证。接入点鉴别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，别用户，但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内，它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击它可以通过劫持合法用户的客户适配器进行拒

7、绝服务或攻击。因此在用户和认证服务器之间进行相互认证是需要的因此在用户和认证服务器之间进行相互认证是需要的因此在用户和认证服务器之间进行相互认证是需要的因此在用户和认证服务器之间进行相互认证是需要的 第一代第一代802.11B安全机制的危险性安全机制的危险性接入点接入点1其它网络服务器与服务其它网络服务器与服务24加密加密WEP35无线客户端无线客户端验证服务器验证服务器1)1)用户要求接入，用户要求接入，APAP防止网络接入；防止网络接入；2)2)加密的证明材料被发送给验证服务加密的证明材料被发送给验证服务器；器；3)3)验证服务器验证用户并给予接入权；验证服务器验证用户并给予接入权；4)4

8、)APAP端口被启动，动态端口被启动，动态WEPWEP密钥被分配密钥被分配给客户（加密）；给客户（加密）；5)5)无线客户端现在可以安全地访问普无线客户端现在可以安全地访问普通的网络服务了；通的网络服务了；6)6)Cisco LEAPCisco LEAP与与EAP-TLS EAP-TLS 在每次（重在每次（重新）验证时均会生成一个新）验证时均会生成一个WEPWEP会话密会话密钥钥新的密钥基于用户信息与会话新的密钥基于用户信息与会话信息信息RADIUS RADIUS 选项选项2727提供了会话超提供了会话超时设置时设置WLAN环境中的环境中的802.1X协议协议（增强安全）（增强安全）协议：协议

9、：LEAP，它也被称为，它也被称为EAPCiscoWireless（轻型可扩展身份认证协议）（轻型可扩展身份认证协议）标准：标准：802.1X,和有线的和有线的RADIUS RADIUS 访问访问控制一致控制一致增强安全增强安全EAPCiscoWireless的两个重要优点的两个重要优点第一个优点是客户端和第一个优点是客户端和RADIUS服务器服务器之间的双向认证机制，这可以有效地阻之间的双向认证机制，这可以有效地阻止由伪装的访问点发动的止由伪装的访问点发动的中间人中间人式攻式攻击。这也有助于确保只有合法的客户端击。这也有助于确保只有合法的客户端才能连接合法的、经过授权的无线访问才能连接合法的

10、、经过授权的无线访问点。点。EAPCiscoWireless的第二个优点是的第二个优点是对对WLAN的集中式密钥管理。在成功地的集中式密钥管理。在成功地认证了客户端的身份以后，认证了客户端的身份以后，RADIUS服服务器和客户端将获得一个针对用户的务器和客户端将获得一个针对用户的WEP密钥，客户端将在本次登录会话密钥，客户端将在本次登录会话中使用这个密钥中使用这个密钥。802.1802.1x+x+双向认证双向认证+每用户每会话每用户每会话WEPWEP密钥提供足够安全密钥提供足够安全“Is802.1x&Mutualauth.+Is802.1x&Mutualauth.+Peruserpersess

11、ionWEPgoodPeruserpersessionWEPgoodenough?”enough?”SSIDSSID概念：概念：1)1)服务组标识符（服务组标识符（SSID：ServiceSetIdentifier），），它提它提供一个最底层的接入控制。一个供一个最底层的接入控制。一个SSID是一个无线局域网是一个无线局域网子系统内通用的网络名称子系统内通用的网络名称2)2)SSID SSID 代表代表VLANVLAN号，每个号，每个VLAN VLAN 必须用不同的必须用不同的SSIDSSID它服务于该子系统内的逻辑段。因为它服务于该子系统内的逻辑段。因为SSID本身没有安全本身没有安全性，所

12、以用性，所以用SSID作为接入控制是不够安全的。接入点作作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备，通常广播为无线局域网用户的连接设备，通常广播SSID。3）在在AP上创建所有上创建所有SSID,在每台客户机上分配在每台客户机上分配SSID号。号。无线网络无线网络VLAN VLAN 划分策略划分策略无线网络无线网络VLAN VLAN 划分策略划分策略思科无线解决方案之独到之处思科无线解决方案之独到之处1.1.1.1.业界最高的硬件性能业界最高的硬件性能业界最高的硬件性能业界最高的硬件性能(数据传输率、覆盖范围、接收灵敏度数据传输率、覆盖范围、接收灵敏度数据传输率、覆盖范围、接

13、收灵敏度数据传输率、覆盖范围、接收灵敏度)；2.2.2.2.高可用性，可扩展性，可升级性高可用性，可扩展性，可升级性高可用性，可扩展性，可升级性高可用性，可扩展性，可升级性(Load BalanceLoad BalanceLoad BalanceLoad Balance、Hot Stand-byHot Stand-byHot Stand-byHot Stand-by、802.11802.11802.11802.11b-802.11a/802.11g)b-802.11a/802.11g)b-802.11a/802.11g)b-802.11a/802.11g)；3.3.3.3.业界最高安全性业界最

14、高安全性业界最高安全性业界最高安全性(VLANVLANVLANVLAN、PSPFPSPFPSPFPSPF、802.1x/EAP802.1x/EAP802.1x/EAP802.1x/EAP、MICMICMICMIC、TKIPTKIPTKIPTKIP)；4.4.4.4.QoSQoSQoSQoS支持各种应用支持各种应用支持各种应用支持各种应用(数据、语音、视频数据、语音、视频数据、语音、视频数据、语音、视频)；5.5.5.5.易于管理（易于管理（易于管理（易于管理（WLSEWLSEWLSEWLSE)；6.6.6.6.便于部署和实施（便于部署和实施（便于部署和实施（便于部署和实施（室外应用距离自动估算

15、工具、在线电源、免费室室外应用距离自动估算工具、在线电源、免费室室外应用距离自动估算工具、在线电源、免费室室外应用距离自动估算工具、在线电源、免费室内勘察工具、无缝漫游（内勘察工具、无缝漫游（内勘察工具、无缝漫游（内勘察工具、无缝漫游（2 2 2 2层、层、层、层、3 3 3 3层层层层);支持支持支持支持DHCP,Telnet,Http.DHCP,Telnet,Http.DHCP,Telnet,Http.DHCP,Telnet,Http.7.7.7.7.能够与思科的有线网络设备和网络功能无缝结合能够与思科的有线网络设备和网络功能无缝结合能够与思科的有线网络设备和网络功能无缝结合能够与思科的有

16、线网络设备和网络功能无缝结合（VLANVLANVLANVLAN、VPNVPNVPNVPN、QoSQoSQoSQoS、网管、网管、网管、网管、802.1802.1802.1802.1x x x x)，思科是业界唯一一家可以为客户提供从思科是业界唯一一家可以为客户提供从思科是业界唯一一家可以为客户提供从思科是业界唯一一家可以为客户提供从有线到无线全面解决方案的厂家。有线到无线全面解决方案的厂家。有线到无线全面解决方案的厂家。有线到无线全面解决方案的厂家。无线局域网络典型案例无线局域网络典型案例1.1.无线组网方式无线组网方式无线组网方式无线组网方式2.2.典型案例典型案例典型案例典型案例1-71-

17、7AGENDA无线局域网的几种组网方式无线局域网的几种组网方式建筑物内（室内）组网方式建筑物内（室内）组网方式:对等网结构对等网结构蜂窝结构蜂窝结构建筑物之间（室外）组网方式建筑物之间（室外）组网方式:点对点结构点对点结构一点对多点结构一点对多点结构混合组网方式混合组网方式室内组网方式室内组网方式-单蜂窝结构单蜂窝结构无线工作站无线工作站局域网主干局域网主干无线接入点无线接入点无线链路无线链路1.可以采用可以采用111号信道号信道(802.11b规范规范)中任意中任意一个没有受到干扰的信一个没有受到干扰的信道道;2.一个无线接入点推荐接一个无线接入点推荐接入不超过入不超过20-30个无线个无线

18、客户端客户端,以提供满意的以提供满意的访问速率访问速率;3.同一蜂窝范围可以最多同一蜂窝范围可以最多部署部署3个无线接入点个无线接入点,分分别采用别采用1/6/11号信道号信道,从而提供高达从而提供高达33Mbps的总体访问速的总体访问速率率,并可以同时服务更并可以同时服务更多的用户多的用户.无线无线 “蜂窝蜂窝”无线接入点无线接入点无线工作站无线工作站局域网主干局域网主干无线无线 “蜂窝蜂窝”信道信道1信道信道6无线工作站无线工作站无线接入点无线接入点无线无线 “蜂窝蜂窝”无线链路无线链路无线链路无线链路以太网以太网以太网以太网蜂窝之间建议有蜂窝之间建议有15%的重叠范的重叠范围围,便于无线

19、工作站在不同的蜂便于无线工作站在不同的蜂窝之间作无缝漫游窝之间作无缝漫游.室内组网方式室内组网方式多蜂窝多蜂窝结构结构最远可达几十公里最远可达几十公里(可视距离可视距离)局域网局域网无线网桥无线网桥天线天线建筑物A建筑物B无线网桥无线网桥无线链路无线链路天线天线局域网局域网若采用思科的无线网桥若采用思科的无线网桥(100mW功率功率),配合配合21dBi增益天线增益天线,在在2Mbps下最下最远可达远可达40公里公里(25英里英里);11Mbps下可达下可达18.5公里公里(11.5英里英里);同一区域最多同时部署同一区域最多同时部署3对无线网桥对无线网桥,提供最高达提供最高达33Mbps的数

20、据传输速率的数据传输速率.室外组网方式室外组网方式点对点点对点信道1信道3室外组网方式室外组网方式网桥中继网桥中继以太网以太网无线网桥无线网桥建筑物B建筑物C建筑物A定向天线定向天线全向天线全向天线无线网桥无线网桥无线网桥无线网桥以太网以太网以太网以太网定向天线定向天线无线链路无线链路无线链路无线链路室外组网方式室外组网方式点对多点点对多点无线局域网组网方式无线局域网组网方式混合结构混合结构主干网主干网无线网桥无线网桥全向天线全向天线建筑物A建筑物B无线网桥无线网桥无线链路无线链路定向天线定向天线局域网局域网无线工作站无线工作站无线无线接入点接入点A无线链路无线链路无线链路无线链路无线链路无线

21、链路无线无线接入点接入点B无线接入点无线接入点无线工作站无线工作站1.建筑建筑B内的无线接入点汇聚其客户内的无线接入点汇聚其客户端的网络流量端的网络流量,经由与以太网相连经由与以太网相连的无线网桥的无线网桥,发送到远程的建筑发送到远程的建筑A处的网络主干中去处的网络主干中去;2.无线客户端以及无线接入点设备也无线客户端以及无线接入点设备也可以直接与建筑物可以直接与建筑物A的无线网桥互的无线网桥互联联(此时无线网桥提供无线接入点此时无线网桥提供无线接入点的功能的功能),访问主干网络资源访问主干网络资源.(1)AB两两点点之之间间可可视视；没没有有障障碍碍物物阻阻挡挡；无无电电磁磁干干扰扰，或或干

22、干扰扰小小；AB两两点点之之间间距离符合网桥设备通讯距离的要求。距离符合网桥设备通讯距离的要求。可可采采用用点点对对点点方方式式直直接接传传输输：A大大楼楼放放置置一一台台无无线线网网桥桥，顶顶部部放放置置一一面面定定向向天天线线；B大大楼楼同同样样放放置置一一台台无无线线网网桥桥，顶顶部部放放置置一一面面定定向向天天线线。两两地地的的无无线线网网桥桥分分别别通通过过馈馈线线与与本本地地天天线线连连接接后后，两两点点的的无无线线通通讯讯可可迅迅速速搭搭建建起起来来。无无线线网网桥桥分分别别通通过过超超五五类类双双绞绞线线连连接接各各地地的的网网络络交交换换机机。这这样样两两处处的的网络即可连为

23、一体。网络即可连为一体。室外组网方式说明室外组网方式说明点对点点对点(2)(2)ABAB两两点点之之间间不不可可视视，但但两两者者之之间间可可以以通通过过一一座座C C楼楼间间接接可可视视。并并且且ACAC两两点点，BCBC两两点点之之间间满满足足网网桥桥设设备通讯的要求。备通讯的要求。我我们们采采用用中中继继方方式式，C C楼楼作作为为中中继点。继点。ABAB各放置网桥，定向天线。各放置网桥，定向天线。C C点可选方式有：点可选方式有：放放置置一一台台网网桥桥和和一一面面全全向向天天线线，这这种种方方式式适适合合对对传传输输带带宽宽要要求求不不高高，距离较近的情况；距离较近的情况；放放置置两

24、两台台网网桥桥和和两两面面定定向向天天线线，这这种种方方式式优优点点在在于于：传传输输距距离离远远，信信号号强强，带带宽宽和和传传输输质质量量有有保保证证。(由客户需求和实际情况而定由客户需求和实际情况而定)。室外组网方式说明室外组网方式说明三点互连三点互连(3)(3)：A A点点,B B点点之之间间不不可可视视，但但两两者者之之间间间间距距较较近近，仅仅几几公公里里，且且两两者者之之间间有有多多座座建建筑筑物物。根根据据实实际际情情况况，可采用信号反射方案，可采用信号反射方案，将将A A点点B B点点互互连连。ABAB点点分分别别放放置置无无线线网网桥桥，定定向向天天线线。定定向向天天线线A

25、 A发发射射的的微微波波信信号号通通过过CDCD两两座座建建筑筑反反射后与定向天线射后与定向天线B B建立起通信。建立起通信。室外组网方式说明室外组网方式说明点对点点对点无线网络设计原则无线网络设计原则1 1、定义、定义WLANWLAN需求：需求：结合楼层结构设计及建筑类型确定可能的接入点位置结合楼层结构设计及建筑类型确定可能的接入点位置。影响无线传输的主要因素影响无线传输的主要因素：(1)(1)：两点之间的距离。：两点之间的距离。(2)(2)：两点可视状况，可视分为光可视，和无线可视。可视呈度直接：两点可视状况，可视分为光可视，和无线可视。可视呈度直接 影响传输距离和效果。影响传输距离和效果

26、。(3)(3)：电磁干扰情况。可进行测试。：电磁干扰情况。可进行测试。2 2、WLANWLAN的损耗：的损耗：基本损耗换算基本损耗换算:dB=10log(dB=10log(输入信号功率输入信号功率/输出信号功率输出信号功率)3 3、规划网络大小、规划网络大小：数据速率数据速率：仅当一帧发送时的速率，如：仅当一帧发送时的速率，如11Mbps，多帧时由于路由协议开销及共享媒体接入延时，每多帧时由于路由协议开销及共享媒体接入延时，每 个用户不能连续发送数据。个用户不能连续发送数据。吞吐量吞吐量：不计协议、管理帧的发送信息速率。对：不计协议、管理帧的发送信息速率。对802.11B约为约为6Mbps。应

27、用所需带宽：应用所需带宽：4、最小化最小化802.11干扰问题干扰问题 常见干扰源常见干扰源：微波炉、无绳电话、蓝牙设备及其它无线：微波炉、无绳电话、蓝牙设备及其它无线LAN设备设备对对WLAN干扰最为严重的设备是干扰最为严重的设备是2.4G无绳电话无绳电话,其次为其次为10英尺内的微波炉，再次是蓝牙设备英尺内的微波炉，再次是蓝牙设备 如笔记本和如笔记本和PDA。网络应用的需求网络应用的需求苏州农机局的办公室位于办公楼的三层，已经有20台电脑，分布在6个房间内，在主机房他们决定采用中国电信的adsl，内部局域网他们考虑了采用无线网络，如果采用有线网络，由于大楼没有预留线槽，所以必须在墙上打洞破

28、坏办公室的装修，关键是他们可能在几个月后搬到5层办公，这样将会浪费一笔投资，而且很耽误时间；如果采用无线网络，完全不用布线，安装将会非常方便快捷，而且11M带宽完全满足他们的上网要求。解决方案解决方案针对他们的系统，清华同方设计了两种方案，一是楼楼内内覆覆盖盖，在走廊中央放置一个AP,覆盖整个楼层；另外是楼楼外外覆覆盖盖方案，在楼的南侧（即办公大楼的后面）放置一个AP,增加室外天线覆盖整个大楼。由于无线网络应用比较特殊，实施前一般需要仔细测试现场的环境，比如墙体的厚度，房间的格局，是否有外界干扰，经过测试，发现，1个AP是无法覆盖他们的全部办公室，在离AP较近的几个房间无线信号非常好，但是边缘

29、的几个房间虽然距离AP只有20米左右，但是由于微波是直线传播，所以微波都是小角度穿透几面墙体，墙体将减弱信号，如下图d3最长，信号也就最弱，如果墙体为钢筋混凝土，则会更弱。最终采用楼外覆盖技术，这样用户搬到5楼都不用改变网络就可以使用，系统使用1个AP,20个usb无线网卡，方案如下图：典型无线案例分析典型无线案例分析(一一)典型无线案例分析典型无线案例分析(一一)方案方案A:楼内覆盖楼内覆盖方案方案B:楼外覆盖楼外覆盖项目实施项目实施 距离楼南侧有20米的位置，树立了一个铁杆，并安置了一个防雨箱，采用了以太网供电技术，把一条约80米长双绞线放入PVC管中，从3楼引入到防雨箱中，通过网线传递信

30、息和设备用电，然后用一段很短（约3米长）的射频电缆将信号传递到顶部的天线上。说明一下，微波信号工作在2.4Ghz,在射频电缆的衰耗很大，所以尽量减少射频电缆的长度。（使用1/2英寸的射频电缆，一般在20米左右，超过20米可能需要增加信号放大器），顶部放置了一个12dbi的全向天线，经过测试，发现信号只有40%，虽然可以使用，但是不是很理想，最后将全向天线改变为50度度扇扇区区天天线线，信号立刻提升到70%（因为距离远，且穿透一层墙），所有房间全部通过了测试经过测试，同时我们也对办公楼的其他各楼层进行了测试，结果出乎预料，每层的信号都很好。经过和ADSL的连接，整个网络迅速登上了信息高速路。天线

31、如下图 典型无线案例分析典型无线案例分析(一一)典型无线案例分析典型无线案例分析(二二)典型无线案例分析典型无线案例分析(二二)本项目主要是为了解决2001年上海APEC会议期间入住锦江饭店的各国商务客人、记者媒体和各国高官的互联网接入需要，为他们提供方便、灵活、高效的无线网络连接服务。本项目包括锦江饭店南北楼和锦江小礼堂会议中心的无线网络室外桥接、锦江饭店北楼一至二层和南楼贵宾厅的无线网络室内覆盖。网络解决方案网络解决方案 本项目需要实现无线网络接入的锦江饭店北楼一层大厅、二层餐厅以及南楼贵宾厅都没有互联网络出口，而具有互联网出口的中心机房位于锦江饭店中央位置的锦江小礼堂会议中心二楼机房内。

32、所以考虑使用无线网络桥接系统连接锦江小礼堂的中心机房和南北楼的无线局域网，完成整个无线网络系统的骨干桥接部分。锦江饭店网络工程项目的无线覆盖网络分为两个部分：北楼一楼和二楼的室内覆盖部分和南楼贵宾厅的室内覆盖部分。经过工程师的实地信号测试，这三个无线覆盖信号点均采用一个AP就可以有效实现无线网络的信号覆盖。整个锦江饭店的无线网络连接示意图如下所示：典型无线案例分析典型无线案例分析(二二)无线网络骨干桥接设计无线网络骨干桥接设计无线骨干桥接设计的目标，就是在锦江饭店小礼堂二楼中心机房与锦江饭店南北楼的无线覆盖区域建立骨干桥接，使锦江饭店南北楼的无线网络用户能够通过锦江饭店小礼堂中心机房的网络出口

33、，实现互联网的连接。根据客户的要求，网络骨干桥接网络要实现以下的技术指标：楼宇和楼宇之间的网络带宽要求保证在10M之上；楼宇和楼宇之间的网络连接尽量不要互相干扰；经过工程师的实地勘测和信号测试，中心点锦江饭店小礼堂与锦江饭店南北楼之间的直接距离均为100米左右，目视范围开阔，无明显阻挡物，通讯条件良好，无线信号的测试也显示完全满足要求.典型无线案例分析典型无线案例分析(二二)锦江饭店小礼堂部分锦江饭店小礼堂部分在锦江饭店小礼堂楼顶架设9dB的全向天线，天线通过连接馈线和一个1瓦的信号放大器相连，信号放大器再和一台无线网桥相连接，从而实现中心点的无线桥接通讯。考虑到安全的因素，天线配置避雷器。锦

34、江饭店南北楼部分锦江饭店南北楼部分这两个部分负责和锦江饭店小礼堂实现骨干桥接，这两个桥接点的系统配置完全相同。在锦江饭店的南北楼的二楼制高点架设9dB的全向天线，确保其能和锦江饭店小礼堂楼顶架设9dB的全向天线实现桥接通讯，这些全向天线分别通过连接线缆和放置在各幢楼内的无线网桥相连接；考虑到安全的因素，这些天线均配置避雷器。典型无线案例分析典型无线案例分析(二二)主要设备的作用主要设备的作用无线无线网桥网桥为无线网络的中心，各终端通过AP的转接，能实现无线终端之间、无线终端和有线网络终端之间的通信以及无线终端通过有线局域网出口与国际互连网的连接。两个距离较远的有线局域网借助于两端的无线网桥进行

35、桥接，可实现两个有线局域网间的实时链接。具有2Mbps和11Mbps的带宽供用户选择，结合无线网络的规模、无线终端信息流量等选用合适的无线宽频交换机。无线网卡无线网卡为无线终端接入有线局域网的连接设备。借助于无线网卡，无线终端与无线宽频交换机及有线局域网实现链接，确保了与其它无线终端、有线网络终端和国际互连网的连接。具有2Mbps和11Mbps的无线网卡供用户选择，结合无线网络的规模、无线终端信息流量等选用合适的无线网卡。放大器、天线放大器、天线放大器用于对无线宽频交换机输出的小功率射频信号进行放大和对天线接收的有用信号进行提升。选择合适的放大器和天线，能有效地提高无线网络的服务质量和服务距离

36、。典型无线案例分析典型无线案例分析(二二)典型无线案例分析典型无线案例分析(三三)横跨横跨“京九大动脉京九大动脉”思科无线网络在保定市望都县教育网成功应用思科无线网络在保定市望都县教育网成功应用 项目背景项目背景:望都县位于京、津、石三角地带，北京南180公里处，京九铁路从县境中线穿行而过;望都县教委下辖21所中小学，各中小学校分布比较零散，距离相距较远，范围在7-25公里左右。如果采用有线方式进行网络连接，仅铺设线路费用一项就高达数百万（要穿过京广铁路动脉以及一条中型河流）解决方案解决方案:望都县教育网设项目以教育局信息中心为整个无线网络的连接中心，在中心点和中间配置CiscoBR-342无

37、线网桥18台。根据靠近中心点的距离远近采取不同的定向和全向天线，计算机终端配用思科PCI-352网卡，中继连接望都县所辖的21所中小学。县教委以上都使用了Cisco网络设备(路由器和交换机)，每个学校配备了8口或16口的小型交换机，在中心机房配备Catalyst3548XL交换机。CiscoBR-342无线网桥是Cisco Aironet 340系列产品，是Cisco可靠、最佳的无线产品的补充和替代。在不附加功率放大器的情况下，CiscoBR-342无线网桥的功率非常大，传输距离超过15公里后，特别是到20公里以后，在同类产品中的优势更加明显，无可匹敌，最远可传输25公里。另外，它的吞吐量很大

38、，经实地测试，都在5.5M以上。对望都教育网而言，思科无线产品提供了理想的高附加值特性：能够避免昂贵的挖掘费用、线路租用费用、道路使用权问题，从而节约经费并获得很大灵活性。典型无线案例分析典型无线案例分析(三三)典型无线案例分析典型无线案例分析(四四)解决方案：解决方案：思科建筑物宽带解决方案可以利用以太网、LRE和无线基础设施设备在整个校园环境中为学生提供高速的宽带接入。如图5所示，一台CiscoLRE交换机为那些采用一类、二类、三类线的较老的教室和宿舍提供了连接。CiscoLRECPE设备位于每个教室或者每个宿舍中，用于桥接LRE和以太网连接。可以将一个无线接入点连接到CiscoLRECP

39、E设备，以便为教室中的膝上型电脑、笔记本电或者PDA提供连接。图书馆是一个采用了五类线的较新的建筑物，它使用10/100/1000交换机来为学生提供专用连接。图书馆还为那些喜欢移动上网的学生提供了无线接入。学校可以通过WLAN接入点为户外的学生和教师提供连接。网络通过无线或者交换连接集中到一台第三层交换机。CiscoBBSM服务器可以提供一个功能强大的服务创建平台，它可以提供多种宽带服务，以满足不同学生的需求。典型无线案例分析典型无线案例分析(四四)典型无线案例分析典型无线案例分析(五五)某采油厂无线链路、某采油厂无线链路、IP电话网关应用实例电话网关应用实例方案说明方案说明：方案解决A站与B

40、站、C站之间的数据及语音传输问题.在A站安装一套无线基站网桥AU-DS11和一副24dbi定向天线，B站安装一套无线远端网桥SU-DS11和一副24dbi定向天线此，两端即可实现可靠、高速的数据通信.由于A站C站之间距离较远且中间有明显阻挡，无法直接通讯，建议采用B站作为C站的中继点，即在B站安装一套无线基站网桥AU-DS11和一副27dbi定向天线，C站安装一套无线远端网桥SU-DS11和一副27dbi定向天线，B站与C站之间可实现通讯.。将中继点（B站）的两套无线设备（SU-DS11、AU-DS11）连接至同一台数据交换机或HUB上，即可实现A、B、C站之间的数据通讯。在A、B、C站根据实

41、际需求安装基于IP的语音网关设备（2口、4口、8口），可堆叠使用，将语音网关一端通过10BaseT(RJ45)接口与数据交换机相连，另一端通过（E/M）接口直接与语音交换机（PBX）连接，也可直接与电话连接；可根据实际需要设置内部电话号码。系统在已有的高速无线网的基础上，增加语音功能，大大节省了话费开支，根据需要系统还可增加会议电视、远程监控等系统。典型无线案例分析典型无线案例分析(五五)方案介绍：方案介绍：电信运营商的无线接入网络系统应包括无线接入点（AP）和接入控制器(AC)构成。接入控制器是在Internet和无线局域网之间，担当网关作用，对用户进行认证、计费等管理，通过认证服务器，可以

42、对用户进行管理，制定多种适合运营商运营的计费机制，比如：按流量计费、按时间计费、预付费、包月等等不同的适合多种需求的计费方式 1、北京电信依托电信宽带IP网和城域光纤网，为第21届大运会提供无线宽带上网服务；2.中国网通去年10月在上海金茂大厦、东方明珠新闻中心、上海国际会议中心、浦东香格里拉饭店推出的无线伴旅无线宽带接入服务。无线接入电信运营商结构图例无线接入电信运营商结构图例：典型无线案例分析典型无线案例分析(六六)典型无线案例分析典型无线案例分析(七七)此次博览会的会场共分两层，一层主要是各厂商的展览区和观众的休息区；二层是会务服务区包括新闻中心，商务中心，咖啡厅以及会议厅等。由于是整个

43、展览会场跨越的上下两层，所以需要每一层都分别作无线网覆盖。然后每一个AP分别连到会展中心的主干交换机上。在解决方案中，一层现场用了12个AP，覆盖了全部的展区；二层用了18个AP进行覆盖在上下的两层里，由于使用了多个AP进行覆盖，所以无论展台位置如何变动，安装了无线局域网网卡的计算机都可以通过AP连接到Internet。在商务服务中心的打印机可以使用TFW2330无线打印服务器做无线网接入，那么不论有线网用户还是无线网用户都可以共享各种打印机。在做无线网覆盖时一般将AP放在展馆的顶部效果会更好，那么在房顶放置AP时设备的供电会比较麻烦可以采用以太网供电器，通过以太网线供电非常方便。天线种类天线

44、种类碟形天线碟形天线属于定向天线的一种，无波速角度，适用情况同远距离点对点传输。高增益值弧形网格天线弧形网格天线-定向天线中能量汇聚能力最强，信号方向指向性最好的一种类型的天线，当桥接点位置固定切数量少而集中的项目中，此类型天线是最佳选择平板天线平板天线-波速角度可分为30度和15度，能量汇聚能力强，适用在远程连接点相对集中且数量较少的环境下扇形天线扇形天线此类型天线具有能量定向和汇聚功能，可以有效地进行水平180度、120度、90度范围内的覆盖，当桥接点在某一角度内较集中的情况下，可用此类型天线。全向天线全向天线适用于各桥接点距离较近、分布角度范围大且数量较多的情况。YaGi天线天线有多种型

45、号的覆盖角度可供选择，可以视不同情况而定。定向天线。配置 AIR-ANT3212 AIR-ANT3194 AIR-ANT1728 AIR-ANT2561 AIR-ANT3549 AIR-ANT1729 说明 柱形安装，多极全向天线 全向，天花板安装 高增益全向，天花板安装 全向，地平面安装 贴片，墙壁安装 贴片，墙壁安装 应用 户内，隐蔽的中距离天线 户内短距离天线，一般悬掉在天花板的横梁上 户内中距离天线，一般悬掉在天花板的横梁上 平面圆形中距离户内天线 户内，隐蔽的长距离天线（也可以当作中距离桥接天线使用）户内，隐蔽的中距离天线（也可以当作中距离桥接天线使用）增益 5.2dBi 2.2dB

46、i 5.2dBi 5.2dBi 8.5dBi 6dBi 1Mbps时 的大 约户 内距离*497英尺（151米）350英尺（107米）497英尺（151米）497英尺（151米）接入点：700英 尺（213米）桥接器：2英里（3.2公里）接入点：542英 尺（165米）桥接器：1.1英里（1.8公里）11Mbps时的大 约户 内距离*142英尺（44米）100英尺（31米）142英尺（44米）142英尺（44米）接入点：200英尺（61米）桥 接 器：3390英尺（1032米）接入点：155英尺（47米）桥 接 器：1900英尺（580米）天线增益值估算：天线增益值估算：CiscoAirone

47、tCiscoAironet接入点天线的配置接入点天线的配置接入点天线的配置接入点天线的配置 配置 AIR-ANT2506 AIR-ANT4121 AIR-ANT1949 AIR-ANT3338 说明 全向天线竿安装 高增益全向天线竿安装 八木天线竿安装 坚固的碟形天线 应用 户外短距离点对多应用 户外中距离点对多点应用 户外中距离有方向性连接 户外长距离有方向性连接 增益 5.2dBi 12dBi 13.5dBi 21dBi 2Mbps时 的大约距离*5000英尺（1525米）4.6英里（7.4公里）6.5英里（10.5公里）25英 里（40公里）11Mbps时的大约距离*1580英尺（480

48、米）1.4英里（2.3公里）2.0英里（3.3公里）11.5英里（18.5公里）*距离的估测是基于理想户外条件下在连接的两端使用50英尺（15米）长的低损耗电缆和相同类型的天线来完成的。此处给出的距离值只是一个大约数值，仅用于估计目的。天线增益值估算：天线增益值估算：CiscoAironetCiscoAironet桥接天线配置桥接天线配置桥接天线配置桥接天线配置 AIR-AP1220B-A-K9（FCCCnfg)&AIR-AP1220B-E-K9(ETSIcnfg)之区别之区别：1 1）频段：）频段：）频段：）频段：2.4122.412to2.462GHz(FCCto2.462GHz(FCC）

49、2.412to2.472GHz(ETSI)2.412to2.472GHz(ETSI)2)2)工作信道工作信道工作信道工作信道:1313个信道个信道个信道个信道（FCC)FCC)1111个信道个信道个信道个信道（ETSI)ETSI)3)3)输出功率：输出功率：输出功率：输出功率：100100mw(FCC)mw(FCC)50mw(ETSI)50mw(ETSI)Cisco无线产品问题无线产品问题Cisco无线产品问题无线产品问题802.11a模块在我国的应用范围模块在我国的应用范围：5 5GHZGHZ的的的的UNIIUNII高频带范围为：高频带范围为：高频带范围为：高频带范围为：5.155.8255

50、.155.825GHZGHZUNII-1:5.155.25GHZUNII-1:5.155.25GHZ户内使用户内使用户内使用户内使用UNII-2:5.255.35GHZUNII-2:5.255.35GHZ户内户内户内户内/户外户外户外户外UNII-3:5.7255.825GHZUNII-3:5.7255.825GHZ户外桥连户外桥连户外桥连户外桥连而我国无委会定义的范围为：而我国无委会定义的范围为：而我国无委会定义的范围为：而我国无委会定义的范围为：5.7255.8255.7255.825GHZGHZ(UNII-3(UNII-3频段）频段）频段）频段）需申请才可开通。需申请才可开通。需申请才可