Motorola無線監(jiān)控解決方案.doc

注：居中，宋體，小一號，加黑，統(tǒng)招、單考碩士、高校教師在職申請碩士學位、同等學歷碩士填寫內容為“碩士學位”；工程碩士、MBA、EMBA、MPA填寫內容為“專業(yè)學位碩士學位”。閱后刪除此文本框。注：此頁為封一。閱后刪除此文本框。 小區(qū)無線監(jiān)控解決方案 - I -目錄一項目概述21.1用戶介紹21.2需求分析31.3摩托羅拉4二 無線網絡設計方案52.1 總體方案52.2 設備配置62.2.1 監(jiān)控中心62.2.2 室外AP基站6三 Motorola WLAN無線覆蓋方案74.1 設備選型74.1.1 網絡動態(tài)信道分配84.1.2 Smart RF:網絡自愈/自動發(fā)射功率調整104.1.3 網絡負載均衡104.2 無線網絡高可靠冗余方案114.2.1 可靠的室外型AP 5181114.3 無線網絡安全方案114.3.1 無線通訊安全加密134.3.2 防御潛在的無線網絡攻擊154.3.3 非法AP和非法用戶的發(fā)現和抑制154.4 無線網絡管理方案174.5 無線網絡抗干擾方案214.5.1 抗干擾技術的基礎214.5.2 AP干擾244.6 無線網絡QoS方案25五 產品資料285.1 RFS6000 RF交換機285.2 AP-518132一項目概述1.1 用戶介紹南京玉蘭山莊小區(qū)需要用無線來覆蓋整個小區(qū)，監(jiān)控和網絡中心在第6棟別墅 。計劃實現整個小區(qū)的室外無線監(jiān)控數據傳輸功能。1.2 需求分析l 機動性驅策無線通訊與行動運算最根本的創(chuàng)意原動力，可以說是機動性。過去幾年來手機與家用手提式無繩電話的普及，就是個最好的說明。輕薄短小而攜帶方便的筆記本電腦，也已經漸漸開始取代笨重的桌上型計算機。然而，光是只有筆記本電腦、甚至個人數字助理PDA是不夠的，走到哪、用到哪，僅只為基本的需求，保持信息的傳遞與無時無刻的網絡連結，讓個人計算機不再只是個能夠移動的孤兒，但是網絡線所帶來的不便與限制難以克服，這就是非得靠無線通訊不可了。因此，無線局域網絡WLAN為計算機帶來了相當的機動性，已徹底顛覆傳統(tǒng)的生活與工作狀態(tài)。l 安全性無線局域網WLAN的好處之一，還包括其彈性與便利性。由于不需要大量布線，架設上較傳統(tǒng)網絡方便，也極少需要管路來架設網絡線纜，對網管人員而言，不僅可以大幅度縮減建構網絡的時間，將來若網絡拓撲需要更動時，也不用太過大費周章的進行重新拉線。譬如說傳統(tǒng)的以太網絡應用在辦公室的環(huán)境下，也許遇到部門間偶爾人事上的調動、組織的重編，那么網絡的架構很可能就得需要修改，即使只是增添一兩個員工，都有可能讓額外的網絡線鋪設大費周章。在這種情況下，WLAN由于以無線電波連接取代銅線或光纖電纜，調整上就方便多了！就算辦公桌挪來挪去，也不需要為了網絡線插孔的移動而傷腦筋，信息就有如空氣一般隨手可得，適合網管人員彈性規(guī)劃運用，對商業(yè)上的應用極具吸引力。l 擴充性無線局域網WLAN還有另一個優(yōu)點，那就是良好的擴充性。傳統(tǒng)有線網絡的鋪設下，一般網管往往為了預防以后額外的架設需要，造成初次架設時非必要的浪費。以一個2.4GHZ下的WLAN而言，若當有更多使用者加入該網絡時，可以在同個定點擴充至三個互不干擾的無線網絡，顯著擴充了其帶寬負荷量。因此，WLAN可大可小，擴充與升級都較傳統(tǒng)有線網絡來得方便。只要增加無線接入點AP就可以拓展整個網絡的涵蓋范圍與容量，也因此安裝WLAN對網管人員而言，絕對是項明智之舉。l 投資報酬無線局域網WLAN廣受重用的最大因素，莫過于其投資報酬ROI?；蛟S一開始的網絡設備較為昂貴，然而安裝成本低廉，加上無線網絡的檢修較為方便，不怕蟲蛀鼠咬，可靠度高，長期維護成本亦相對下降。重點是WLAN提升了效率與機動性，甚至無形中助長了生產力，使得投資報酬率升高，也讓企業(yè)對WLAN的應用與發(fā)展寄予厚望。美國波音公司就是個很好的例子，他們善用WLAN于制造飛機的廠房，不僅網絡鋪設上更具彈性，更增加了工作生產力，可謂一舉數得。而且隨著網絡語音VOIP在商業(yè)上應用的進展，WLAN可與之建構于辦公室的信息語音網絡，特別用在大區(qū)域、低密度的連網。WLAN的用途 ，憑借著隨之而來的高度投資報酬率，前景一片光明。1.3 摩托羅拉Motorola是全球移動計算技術的先驅，也是最早參與制定無線網絡標準的廠商之一。在無線網絡技術領域擁有非常高的權威和聲譽。Motorola公司是IEEE802.11組織的五大締造者和核心成員之一；是WiFi組織的主要發(fā)起人和召集人；2006年度，IEEE802.11組織的輪值主席為Motorola公司員工。Motorola的企業(yè)移動解決方案集成了先進的無線系統(tǒng)Wi-NG、高度冗余的無線Mesh網絡，堅固強大的移動計算系統(tǒng)、移動軟件和世界級的Motorola企業(yè)移動服務。Motorola 所提供的端到端、實時的企業(yè)移動解決方案可以提高員工生產力、降低運營成本、改進運營效率并增強競爭優(yōu)。Motorola 是全球領先的零售商、運輸和物流公司、制造商、公共部門和政府、教育機構以及醫(yī)療保健、醫(yī)院和安全機構供應商最可信賴的顧問。Motorola公司是一家充滿創(chuàng)新的公司，擁有大量無線網絡的專利。例如Motorola的無線交換技術、無線網絡的VoIP技術，無線網絡的MESH POE技術，智能漫游、搶先漫游、無線終端的節(jié)電技術、三層無縫漫游。另外還有像PoE以太網供電技術大大簡化了網絡的實施和安裝過程。 Motorola依托于強大的企業(yè)移動解決方案，將無線網絡成功地推入到各個行業(yè)。我們的大客戶有：美國國防部DOD，沃爾瑪集團，家樂福集團，UPS，FedEx，DHL，波音飛機制造公司，通用汽車公司，奔馳汽車公司，紐約華爾街證券交易所，紐約肯尼迪國際機場，英國倫敦希斯羅國際機場，法國巴黎戴高樂國際機場等等。Motorola公司提供的先進的技術，品質優(yōu)異的產品以及完善的售后服務使之成為全球移動解決方案業(yè)界的絕對領先者。摩托羅拉公司力求將每一細節(jié)問題闡述清楚，提供完整的無線網絡建議，希望通過我們專業(yè)的精神，領先的技術和完善的客戶至上的服務理念為客戶提供一個可靠、安全、穩(wěn)定和高效的無線網絡。二 無線網絡設計方案2.1 總體方案整個項目采用全無線，分層次，分區(qū)域的設計理念，根據網絡系統(tǒng)中不同網絡設備的地位和作用，可以將無線網絡系統(tǒng)分為以下幾個層次：骨干層將整個小區(qū)分為8個區(qū)域，分別架設8個室外AP基站，其中1個室外AP基站在監(jiān)控中心所在的6棟。其他7個室外AP基站和監(jiān)控中心之間采用光纖來支撐基站的流量，如有特殊室外AP基站沒有光纖資源，可以使用AP的無線回傳能力。接入層在室外AP基站采用1臺Motorola AP5181產品作無線覆蓋和無線回傳。應用層主要承載在網絡應用的無線網絡終端。無線網路終端的種類很多，所承載的應用也豐富多樣。例如：用于無線定位的AeroScout定位標簽，用戶語音通信的WiFi無線電話、TEAM手機，帶有WiFi功能的筆記本電腦、數字助理PDA和無線監(jiān)控攝像機，以及其他無線設備均可通過AP5181進行接入。2.2 設備配置本次項目總計覆蓋整個小區(qū)，實現無線監(jiān)控數據傳輸功能。設備主要安裝于幾個基本位置：2.2.1 監(jiān)控中心監(jiān)控中心配置RFS6000設備用于WLAN的管理，管理所有在接入點安裝的AP5181。所有AP5181收集到的無線監(jiān)控流量都通過光纖匯集到核心無線交換機RFS6000進行統(tǒng)一的過濾和管理。以上所有設備均通過網線連接到管理中心的有線網絡中。共同組成整個網絡的核心。2.2.2 室外AP基站配置AP5181，用于無線覆蓋和無線回傳。覆蓋主要采用Motorola AP無線接入點設備，負責無線終端用戶的接入和網絡傳輸。方案中采用的主要無線接入點產品是Motorola AP5181，采用專用的2.4G進行覆蓋和5.8G進行回傳。提供電源供電即可工作。AP點位圖如下：紅色圓點為AP三 Motorola WLAN無線覆蓋方案4.1 設備選型結合保護區(qū)WLAN網絡的特點/要求以及Motorola設備的技術特點，我們建議在核心網中使用Motorola的RFS6000無線控制交換機。摩托羅拉RFS6000無線交換機具備實時的RF管理功能，可以利用動態(tài)算法，創(chuàng)建一個高帶寬、高可用性的完全自行配置、優(yōu)化、冗余、自愈和安全的網絡環(huán)境。RFS6000無線控制交換機具有以下功能：1) 動態(tài)信道分配2) 自動發(fā)射功率調整3) 網絡負載均衡4) 無線流量優(yōu)先處理5) 高安全性6) 易管理性4.1.1 網絡動態(tài)信道分配802.11 MAC功能需要采用一種基于二進制指數退避的沖突避免機制，即帶有沖突檢測的載波偵聽多路存?。–SMA/CA）。當某個終端需要發(fā)送信息時，它會將其提供給介質。如果介質是閑置的，接入點將會允許該終端發(fā)送它的數據。否則，終端將被告知等到其他正在使用介質的基站完成任務之后再發(fā)送數據。這可以防止兩個客戶端同時在同一個信道上發(fā)送數據，導致數據幀受損。在使用CSMA/CA時，同一個信道上的兩個接入點（位于同一個區(qū)域）與兩個不同信道上的兩個接入點相比，將獲得其一半的容量。這可能會導致問題。摩托羅拉的AP可以通過動態(tài)分配接入點信道，避免沖突，從而提高系統(tǒng)容量。摩托羅拉AP的動態(tài)信道分配功能還有助于最大限度地減少WLAN解決方案中的相鄰接入點之間的同頻干擾。通過分配信道，可以隔離相同信道，從而避免這個問題（如下圖所示）。33%效率 100%效率摩托羅拉無線交換機可以通過分析AP提供的多種實時RF特性，有效地處理信道分配。這些特性包括：無線信道中的AP數量。摩托羅拉無線交換機通過分析由AP收集的beacon信息，計算出不同信道中的AP數量，選擇AP數量少的信道采納AP。信道的平均接收信號的強度。摩托羅拉無線交換機通過分析每個信道的平均信號接收強度，選擇平均信號接收強度低的信道采納AP。噪聲這個因素會限制客戶端和接入點的信號質量。噪聲的增大會導致有效網格的減小。通過優(yōu)化信道和避免噪聲源，摩托羅拉無線交換機可以在優(yōu)化網絡覆蓋范圍的同時，保持系統(tǒng)容量不變。如果某個信道因為噪聲過高而無法使用，該信道將會被避開。802.11干擾如果存在其他無線網絡，摩托羅拉無線交換機將會自動改變信道的使用方式，以避免與其他網絡的干擾。例如，如果一個網絡使用的是信道6，另一個相鄰WLAN將被分配信道1或者11。這可以通過限制頻率重疊，提高網絡容量。如果因為某個信道的使用量過高而導致沒有可用容量，摩托羅拉無線交換機將會選擇避開這個信道。摩托羅拉無線交換機可以將RF特性信息與智能算法相結合，執(zhí)行針對整個系統(tǒng)的決策。利用軟決策機制，可以滿足互相沖突的需求，為最大限度地減少網絡干擾確保最佳的選擇。4.1.2 Smart RF:網絡自愈/自動發(fā)射功率調整正確的接入點發(fā)射功率設置對于保證WLAN的平穩(wěn)運行具有重要的意義。這對于實現網絡冗余也非常重要，有助于確保在接入點失去連接時進行實時的故障切換。摩托羅拉無線交換機的SmartRF功能可根據實時的WLAN情況動態(tài)地控制接入點的發(fā)射功率。在正常情況下，功率可以保持在較低的水平，以獲得額外的容量和減少干擾。如果檢測到某個發(fā)生故障的接入點，周圍接入點的功率將會自動提高，以填補覆蓋范圍受損所導致的漏洞。只允許對發(fā)射功率進行靜態(tài)設置的WLAN解決方案在支持動態(tài)網絡需求方面的能力極為有限。4.1.3 網絡負載均衡只有在客戶端能夠通過負載均衡，有效地利用容量的情況下，WLAN容量才具有實際意義。不幸的是，客戶端并沒有足夠的智能來自行制定均衡決策，即使這可以帶來更好的性能。例如，的所有用戶可能都會與某個距離最近的接入點建立關聯，而忽略某個距離較遠、但是利用率較低的接入點。摩托羅拉無線交換機為所有接入點的客戶端負載提供了一個集中視圖。通過兩種方式來確定在哪里將新的客戶端加入網絡。分別為基于用戶數量的負載分擔和基于流量的負載分擔。當啟用上述負載分擔方式時，摩托羅拉無線交換機可以主動地“驅使”現有客戶端關聯到新的接入點，以提高WLAN的性能。這樣，容量可以更加平均地分配到整個無線網絡之中。Motorola的負載分擔方式支持在2.4G和5.8G之間進行負載分擔，為防止負載分擔只對AP覆蓋重疊區(qū)域啟用。4.2 無線網絡高可靠冗余方案4.2.1 可靠的室外型AP 5181AP-5181是為室外應用環(huán)境而設計的，它不怕風吹、雨淋以及通常的室外氣候。它具有天饋浪涌保護器，安全可靠。該設備可分別提供POE或220V AC兩種電源系統(tǒng)供用戶選擇。它包括多個室外雙頻天線以及出色的技術特性支持。AP-5181 室外型金屬外殼和工業(yè)級組件結實耐用，工作溫度范圍大（-30至55），放水防塵等級為IP56。因而能滿足工廠、倉庫、大型零售環(huán)境和類似設施的要求。該產品接收靈敏度高，而且延遲低，因而覆蓋距離長、范圍大，能夠滿足這些應用的需要。4.3 無線網絡安全方案由于無線局域網采用公共的電磁波作為載體，因此與線纜網絡不同，任何人都有條件竊聽或干擾信息，因此在無線局域網中，網絡安全很重要。常見的無線網絡安全問題如下：服務區(qū)標示符(SSID)：無線工作站必需出示正確的SSID 才能訪問AP，因此可以認為SSID 是一個簡單的口令，從而提供一定的安全。如果配置AP 向外廣播其SSID，那末安全程度將下降；由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。在消費類產品中，例如在機場，很多人通過使用普通的迅馳PC就能實現對區(qū)域內AP的掃描，從而非法使用該AP的網絡資源。有的廠家支持“任何”SSID 方式，只要無線工作站在任何AP 范圍內，客戶端都會自動連接到AP，這將跳過SSID 安全功能。在SSID安全的保證中，一項基本的設置要求就是必須關閉SSID的廣播，這樣至少可以杜絕簡單的掃描攻擊。物理地址（MAC）過濾：每個無線工作站網卡都由唯一的物理地址標示，因此可以在AP 中手工維護一組允許訪問的MAC 地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP 中的MAC地址列表必需隨時更新，目前都是手工操作通常列表數目不超過40個；如果用戶增加，則擴展能力很差，因此只適合于小型網絡規(guī)模。對于二代無線架構，MAC過濾是一種比較容易使用的方式。由于無線信號的空間泄漏特性，以及802.11技術的普及，隨之而來的無線網絡安全問題也被廣大用戶普遍關注。如何在保證802.11WLAN的高帶寬，便利訪問的同時，增加強有力的安全特性？業(yè)界的廠商紛紛研究發(fā)展了802.11技術，增強了無線局域網安全的各個方面，并促成了諸如802.1x/EAP，802.11i，WPA/WPA2等標準的誕生，以及后續(xù)標準（如802.11w）的制定。摩托羅拉在無線局域網安全技術和標準制定方面，扮演了極為重要的角色，是802.1x/EAP無線環(huán)境應用的最早支持廠商，并在無線安全標準工作組中占據領導地位。與其他網絡一樣，WLAN的安全性主要集中于訪問控制和隱私保護。健全的WLAN訪問控制（也被稱為身份驗證）可以防止未經授權的用戶通過接入點收發(fā)信息。嚴格的WLAN訪問控制措施有助于確保合法的客戶端基站只與可靠的接入點（而不是惡意的或者未經授權的接入點）建立聯系。 WLAN隱私保護有助于確保只有預定的接收者才能了解所傳輸的數據。在數據通過一個只供數據的預定接收者使用的密鑰進行加密時，所傳輸的WLAN數據的隱私才視為得到了妥善保護。數據加密有助于確保數據在收發(fā)傳輸過程中不會遭到破壞。但是，無線局域網的安全并不僅僅局限于接入認證和數據加密。無線接入設備AP的物理安全性，AP連接到有線網絡交換機的安全認證，基于無線訪問位置的物理防護手段，如何避免攻擊，如何快速發(fā)現非法/假冒AP，對一個網絡系統(tǒng)來講也是十分重要的。下面我們就結合保護區(qū)WLAN信息系統(tǒng)項目的無線網絡結構，以及無線網絡傳輸特點，進行詳細說明。4.3.1 無線通訊安全加密在無線通訊傳輸過程中，所有數據包經過加密后在無線鏈路上進行傳輸。在現有的無線網絡數據加密技術中，除了要考慮加密算法外，還應當考慮傳輸密鑰的管理。摩托羅拉已經在產品方案上實施了TKIP/AES加密技術，可以有效改善無線鏈路的通訊安全。TKIP（動態(tài)密鑰完整性協(xié)議）加密機制TKIP（動態(tài)密鑰完整性協(xié)議）主要包括兩個關鍵的對WEP（連線對等保護）的增強部分：1、在所有WEP（連線對等保護）加密的數據包上采用報文完整性檢測 (MIC) 功能，以更有效的保證數據幀的完整性；2、針對所有的WEP（連線對等保護）加密的包實行 基于每個數據包密匙的方式。MIC主要是用來改善802.11低效率的 Integrity check function (ICV)，主要解決兩個主要的不足：MIC對每個無線數據幀增加序列號，而AP將丟棄順序錯誤的幀；另外在無線幀上增加MIC段，MIC段則提供了更高量級的幀的完整性檢查。有很多報告顯示WEP（連線對等保護）密匙方式的弱點，報告了WEP在數據私密和加密上的很低功效性。在802.1X的重認證中采用WEP（連線對等保護）密匙旋轉的辦法可以減輕可能經受的網絡攻擊，但沒有根本解決這些問題。802.11i的標準中WEP（連線對等保護）增強機制已經采納了針對每個分組的WEP密匙。并且這些技術已經在摩托羅拉的WLAN設備中得以實施。AES(高級加密標準)加密機制AES(高級加密標準)是一種旨在替代TKIP（動態(tài)密鑰完整性協(xié)議）和WEP中使用的RC4加密的加密機制。AES(高級加密標準)不存在任何已知攻擊，而且加密強度遠遠高于TKIP和WEP（連線對等保護）。AES(高級加密標準)是一種極為安全的密碼算法，目前的分析表明，需要2的120次方次計算才能破解一個AES(高級加密標準)密鑰還沒有人真正做到這一點。AES(高級加密標準)是一種區(qū)塊加密法。這是一種對稱性加密方法，加密和解密都使用同一個密鑰，而且使用一組固定長度的比特即所謂的“區(qū)塊”。與使用一個密鑰流對一個文本數據輸入流進行加密的WEP（連線對等保護）不同，AES會獨立地加密文本數據中的各個區(qū)塊。AES(高級加密標準)標準規(guī)定了三種可選的密碼長度（128、192和256比特），每個AES(高級加密標準)區(qū)塊的大小為128比特。WPA2/802.11i使用128比特密鑰長度。一輪WAP2/802.11i AES加密包括四個階段。對于WPA2/802.11i，每輪會重復10次。為了保護數據的保密性和真實性，AES采用了一種名為Counter-Mode/CBC-Mac (CCM)的新型結構模式。CCM會在Counter模式（CTR）下使用AES，以保護數據保密性，而AES采用CBC-MAC來提供數據完整性。這種對兩種模式（CTR和CBC-MAC）使用同一個密鑰的新型結構模式已經被NIST（特殊聲明800-38C）和標準化組織（IETF RFC-3610）所采用。CCM采用了一種48比特的IV。與TKIP一樣，AES(高級加密標準)使用IV的方式與WEP加密模式有所不同。在CCM中，IV被用作用于制止重復攻擊的加密和解密流程的輸入信息。而且，因為IV空間被擴展到48比特，發(fā)生一次IV沖突所需的時間會以指數形式增長。這可以提供進一步的數據保護。建議采用基于硬件的AES加密（和解密），因為AES需要進行大量的計算。摩托羅拉無線設備產品為AES提供了硬件支持。4.3.2 防御潛在的無線網絡攻擊WLAN可能會遭受多種類型的攻擊。在使用802.1X-EAP、TKIP或AES(高級加密標準)時，可以防止網絡遭受多種網絡攻擊的影響。如下表所示：新的安全技術有助于制止網絡攻擊攻擊類型安全改進身份驗證：開放加密：靜態(tài)WEP身份驗證：EAP-FAST，EAP-TLS或者PEAP加密：動態(tài)WEP身份驗證：EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中間人不安全不安全安全身份偽裝不安全安全安全薄弱 IV攻擊（AirSnort）不安全不安全安全分組偽裝（重復攻擊）不安全不安全安全暴力攻擊不安全安全安全字典攻擊不安全安全安全4.3.3 非法AP和非法用戶的發(fā)現和抑制Rogue Device是指黑客在無線局域網中安放未經授權的AP或客戶機提供對網絡的無限制訪問，通過欺騙得到關鍵數據。無線局域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線局域網，卻不知已遭到黑客的監(jiān)聽了。在Rogue檢測中，分為Rogue AP和Rogue Client，即假的AP和假的客戶端兩種情況。Rogue AP的檢測通過偵聽無線電波中的數據包來檢測AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的檢測，需要在網絡中放置如下部件:探測器Sensor/Probe，用于隨時監(jiān)測無線數據;入侵檢測系統(tǒng)IDS，用于收集探測器傳來的數據，并能判斷哪些是Rogue Device;網絡管理軟件，用于與有線網絡交流，判斷出Rogue Device接入的交換機端口，并能斷開該端口。為了發(fā)現AP，分布于網絡各處的探測器能完成數據包的捕獲和解析的功能，它們能迅速地發(fā)現所有無線設備的操作，并報告給管理員或IDS系統(tǒng)，這種方式稱為RF掃描。某些AP能夠發(fā)現相鄰區(qū)域的AP，我們只要查看各AP的相鄰AP。當然通過網絡管理軟件，比如SNMP，也可以確定AP接入有線網絡的具體物理地址。發(fā)現AP后，可以根據合法AP認證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關參數，那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。Rogue Client的檢測Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意的無線客戶，管理員只要多注意他們的異常行為，就不難識別假冒客戶。其異常行為的特征主要有:發(fā)送長持續(xù)時間(Duration)幀;持續(xù)時間攻擊;探測“any SSID”設備;非認證客戶。如果客戶發(fā)送長持續(xù)時間/ID的幀，其他的客戶必須要等到指定的持續(xù)時間(Duration)后才能使用無線媒介，如果客戶持續(xù)不斷地發(fā)送這樣的長持續(xù)時間幀，這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態(tài)。為了避免網絡沖突，無線節(jié)點在一幀的指定時間內可以發(fā)送數據，根據802.11幀格式，在幀頭的持續(xù)時間/ID域所指定的時間間隔內，為節(jié)點保留信道。網絡分配矢量(NAV)存儲該時間間隔值，并跟蹤每個節(jié)點。只有當該持續(xù)時間值變?yōu)镺后，其他節(jié)點才可能擁有信道。這迫使其他節(jié)點在該持續(xù)時間內不能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長持續(xù)時間的數據包，其他節(jié)點就必須等待很長時間，不能接受服務，從而造成對其他節(jié)點的拒絕服務。如果AP允許客戶以任意SSID接入網絡，這將給攻擊者帶來很大的方便，如果發(fā)現有客戶以任意SSID方式連接，就很可能是攻擊者，管理員應該更改AP的設置，禁止以任意SSID方式接入。如果假冒客戶在合法客戶認證列表中出現，可以根據客戶MAC地址和設備供應商標識進行判斷，如果NIC的MAC地址或Vendor標識未在訪問控制列表中，則可能是非法客戶。RF6000提供全面的網絡安全特性，包括集成的基于MAC地址認證，入侵檢測，AAA Radius服務器和為訪客提供安全訪問的Hotspot功能。狀態(tài)包檢測防火墻在提供流量優(yōu)化的同時針對拒絕服務以及其他無線網絡攻擊進行防范保護，在發(fā)現有非法用戶進行DOS攻擊時可以自動將這些用戶列入黑名單。4.4 無線網絡管理方案管理一個具有規(guī)模的無線局域網（通常在一百個AP 以上），需要考慮很多方面的問題，包括無線 覆蓋，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網是單純基于AP，因此對于無線網絡的管理，其大量工作是要在每個AP 上進行設置和更改。其工作量在有一定數量AP 的無線網里是非常大和煩瑣的，而且無線局域網是一個整體系統(tǒng)，AP 之間必須互協(xié)調工作，單獨改變一個AP 參數和配置會引起AP 之間的無線電波干擾，用戶漫游重認證和授權也可能會產生問題。Motorola的無線網絡系統(tǒng)具有非常強的無線局域網集中管理功能，通過Adaptive AP技術，無線交換機RFS6000可以非常方便地管理整個無線網絡，網管人員只需在無線交換機上就可開通、管理、維護所有AP 設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。Motorola提供了RFMS對Motorola的WLAN所有產品進行管理，包括無線交換機、AP、AirDefense無線入侵防護系統(tǒng)。1). 配置管理Motorola的網管可以自動發(fā)現無線網絡設備，包括無線網絡交換機和AP，按照站點對無線交換機和AP組織成Site，然后分級顯示，然后顯示網絡拓撲：摩托羅拉的網管既可以通過HTTP頁面對特定設備進行配置，也可以通過配置文件方式對設備進行批量配置。另外Motorola的網管可以對無線網絡設備的配置文件定期進行檢查，如果發(fā)現配置文件不符合策略設置，將自動恢復配置，并產生告警自動通知網絡管理員。2). 性能管理另外它采用創(chuàng)新的算法，給出關于AP 擺放位置的最佳建議以幫助妥善規(guī)劃，同時提供關鍵績效指標和200 多種統(tǒng)計數據，使您能夠快速評估網絡的健康狀況。用戶可以查看無線基礎設施設備和客戶端的狀況，排除網絡問題，生成報表以及導出原始數據。RF 管理軟件以圖形方式顯示RF 覆蓋范圍、負載平衡、冗余、安全級別和網絡利用率等統(tǒng)計信息，使IT 人員可以即時評估網絡狀況。除了支持傳統(tǒng)的基于瀏覽器的管理方式以外，Motorola RFMS還特別針對移動用戶設計的Web頁面使用戶可以從PDA/Motorola pocket PC（如MC 70）對網絡進行管理。通過Motorola的網管的KPI（關鍵性能指標），可以對無線網絡狀況有一個直觀的了解，包括： 負載分擔 無線信號覆蓋區(qū)域 無線網絡的利用率 無線網絡的安全指標 無線網絡的冗余特性網管可以對移動用戶 Avg. RSSI（平均信號接收強度） 和Avg. SNR（平均信噪比），和AP的 Avg. RSSI（平均信號接收強度） and Avg. SNR（平均信噪比）進行統(tǒng)計。3). 故障管理摩托羅拉的網管可以檢測各種故障，摩托羅拉的網管可以由網管人員自由定義告警的重要性，出現告警時可以自動通過發(fā)送郵件等手段告知網管人員，甚至可以自動運行一些預選設定的腳本。Motorola的網管可以實時發(fā)現無線交換機和AP發(fā)生的多種故障情況：當AP發(fā)生故障時，摩托羅拉的網管可以迅速檢查到哪一個AP發(fā)生了故障，而且在鄰居AP發(fā)現周圍AP發(fā)生了故障自動調大功率后，摩托羅拉的網管也可以反映這個AP的狀態(tài)為自愈狀態(tài)。當無線交換機發(fā)生故障時，無線交換機將發(fā)送對應級別的SNMP Trap到網管，并產生對應的syslog紀錄。支持告警和告警過濾。4). 安全管理摩托羅拉的網管還支持設立不同管理權限的帳戶，如普通帳戶，管理員帳戶等，可以更好地適應網管人員的管理需求。無線網絡管理軟件應能統(tǒng)一管理室內室外的無線AP，合理分配各種網絡資源權限，并對無線網絡攻擊進行管理和控制。5). 備份管理摩托羅拉的網管可以統(tǒng)一管理無線交換機和AP的軟件版本，可以統(tǒng)一進行軟件升級和備份。同樣可以統(tǒng)一管理無線交換機和AP的配置文件，統(tǒng)一進行配置的備份和還原。4.5 無線網絡抗干擾方案4.5.1 抗干擾技術的基礎OFDM技術我們選用了802.11 g技術的產品作為保護區(qū)的無線傳輸設備。主要出于802.11g技術使用OFDM調制技術，并且被廣泛部署應用，非常成熟。并且目前OFDM是有效克服多種干擾的主要技術。正交頻分復用技術（OFDM）的應用已有近40年的歷史，第一個OFDM技術的實際應用是軍用的無線高頻通信鏈路。但這種多載波傳輸技術在雙向無線數據方面的應用卻是近十年來的新趨勢。經過多年的發(fā)展，該技術在廣播式的音頻和視頻領域已得到廣泛的應用。主要的應用包括：非對稱的數字用戶環(huán)路（ADSL）、ETSI標準的音頻廣播（DAB）、數字視頻廣播（DVB）等。OFDM由于其頻譜利用率高、成本低等原因越來越受到人們的關注。隨著人們對通信數據化、寬帶化、個人化和移動化的需求，OFDM技術在綜合無線接入領域將越來越得到廣泛的應用。正交頻分復用技術（OFDM）是一種多載波數字調制技術，雖然OFDM的概念已經存在了很長時間，但是直到最近隨著多媒體業(yè)務的發(fā)展，它才被人們認識到是一種實現高速雙向無線數據通信的良好方法。隨著DSP芯片技術的發(fā)展，傅立葉變換反變換、高速Modem采用的64128256QAM技術、柵格編碼技術、軟判決技術、信道自適應技術、插入保護時段、減少均衡計算量等成熟技術的逐步引入，人們開始集中越來越多的精力開發(fā)OFDM技術在移動通信領域的應用，無線通信的主流技術將是OFDM技術。所謂OFDM技術其實是Orthogonal Frequency Division Multiplexing的英文縮寫，其具體意思為直角頻率多路傳輸分割復用技術。這種技術將無線通信傳輸信號分割成了多個副載波進行傳輸，而每個副載波由于僅僅攜帶了很小一部分的數據負載，這樣的話OFDM技術就能利用更長的符號周期，從而使通信傳輸信號更不容易受到多徑傳輸的干擾或者其他外界的特殊干擾。當然，OFDM技術除了通過分割載波的方法來增強通信的抗干擾外，它還通過提高載波頻譜利用率的方法來提高通信的穩(wěn)定性。這種技術通過對多載波的調制改進，讓各子載波相互正交，于是擴頻調制后的頻譜可以相互重疊，從而減小了子載波間的相互干擾。在對每個載波完成調制以后，為了增加數據的吞吐量，提高數據傳輸的速度，它又采用了一種叫作HomePlug的處理技術，來對所有將要被發(fā)送數據信號位的載波進行合并處理，把眾多的單個信號合并成一個獨立的傳輸信號進行發(fā)送。OFDM技術比較突出的地方就是即使在窄帶帶寬下也能夠發(fā)出大量的數據。另外OFDM技術能同時分開至少1000個數字信號，而且在干擾的信號周圍可以安全的運行。OFDM技術能夠持續(xù)不斷地監(jiān)控傳輸介質上通信特性的突然變化。由于通信路徑傳送數據的能力會隨時間發(fā)生變化，所以OFDM能動態(tài)地與之相適應，并且接通和切斷相應的載波以保證持續(xù)地進行成功的通信；而且該技術可以自動地檢測到傳輸介質下哪一個特定的載波存在高的信號衰減或干擾脈沖，然后采取合適的調制措施來使指定頻率下的載波進行成功通信；在高層建筑物、居民密集和地理上突出的地方以及將信號撒播的地區(qū)，高速的數據傳播及播音都希望刪除多路影響，因此OFDM技術也特別適合使用在這些地方。由于OFDM技術具有在雜波干擾下傳送信號的能力，因此常常會被利用在容易外界干擾或者抵抗外界干擾能力較差的傳輸介質中，因此這種技術在未來將是非常有前途的，它的優(yōu)越性在于它能克服干涉造成的障礙。OFDM技術與傳統(tǒng)的相關技術相比存在下面的優(yōu)勢特點： OFDM調制頻帶利用率高、抗脈沖噪聲特性好，不過該系統(tǒng)網絡上要有數字信號處理器來提供高速數據服務，系統(tǒng)實現起來相對復雜一點； OFDM技術能夠應對隨時可能出現的干擾信號，它可對使用多種頻率方面存在的一些問題進行快速修正，并可以對那些在通信傳輸過程中遭到破壞的信號數據位進行自動重建； OFDM技術通過在復數的高速的射頻上對傳送的信號進行編碼，讓被傳輸的信號在傳輸過程中不容易被竊取，從而保證信號傳送具有更高的安全性； OFDM技術對傳輸線路上的多路徑外界信號干涉有較強的抵抗力，它不僅可以克服信號傳輸的障礙，而且還能提高通信傳輸的速度，因此在一些惡劣環(huán)境中通訊它將非常有吸引力； OFDM技術每赫茲的帶寬更高，這樣無線系統(tǒng)的容量也就更大，而且它抗信號衰落性能更好，目前OFDM技術已經被采用在無線局域網環(huán)境中，在未來該技術能使無線通信速度超過100Mbit/s左右； OFDM技術通過提供隊列服務，來解決了在移動傳輸高速數據時所引起的無線信道性能變差的問題，從而克服傳輸介質中外界信號的干擾，提高傳輸信道的通信質量； OFDM技術既可用于移動的無線網絡，也可以用于固定的無線網絡，它通過在樓層、使用者、交通工具和現場之間的信號跳換，解決其中的信息沖突問題。802.11a和802.11g均采用OFDM調制技術。OFDM技術使用傅立葉正變換和反變換進行無線信號的調制和解調。通過將數據符號加載到帶寬很窄的子載波，使得數據在時域上的長度大大增加，從而大大降低多徑環(huán)境下前后數據的串擾。4.5.2 AP干擾針對無線信號復雜，沖突多的特點，保證無線信號的清晰是保證無線網絡的性能與穩(wěn)定的重要前提，摩托羅拉WLAN系統(tǒng)提供了全面的抗干擾機制，通過自動頻率選擇，分集接收等特性有效保證無線信道的暢通。當AP設備啟動時，會自動搜索已經存在的無線信號，主動躲避由噪音的信道，選擇無噪音的信道作為自身的工作信道。在AP設備已經完成啟動后，還會實時監(jiān)聽信道噪音。當發(fā)現當前的工作信道出現外來信號噪音，AP會自動判斷該信號是否來自欺詐AP。如果是欺詐AP，則通知網絡管理員；如果不是，則自動選擇最清晰的信道，以保證信號質量。4.6 無線網絡QoS方案QoS指的是網絡通過不同的網絡技術為特定的網絡流量提供更出色服務的能力。QoS技術是園區(qū)、WAN和電信運營商網絡中的企業(yè)級多媒體和語音應用的重要組成部分。QoS讓網絡管理人員可以與他們的網絡用戶制定服務等級協(xié)議（SLA）。QoS能更加有效地實現網絡資源的共享，加快關鍵任務型應用的處理速度。QoS可以管理對時間敏感的多媒體和語音應用流量，確保這些流量獲得比盡力而為型數據流量更高的優(yōu)先級、更多的帶寬和更低的延時。利用QoS，網絡管理人員可以更加有效地管理LAN和WAN的帶寬。只需要簡單的三個步驟，就可以在無線鏈路上控制不同流量的傳輸特性，從而實現無線服務質量保證：第一步：分類（Classifying）；第二步：標記（Marking）；第三步：排隊（Queuing）。雖然AP是第二層設備，但是在分類和標記的過程中可以根據第三層和第四層的信息；不過最終的排隊過程中AP內部是需要根據802.1Q標記來進行的。在無線接口上共有四個EDCF隊列，每個隊列均有相應的CWMIN/CWMAX值，對應訪問無線鏈路的不同優(yōu)先級，從而不同隊列中的應用數據可以有不同的服務質量。如下面圖例所示，整個網絡的服務質量的端到端的，根據業(yè)務層面的業(yè)務重要性或者用戶的重要等級，在網絡中我們在每一層都做了服務質量的標簽，并且按照這些標簽的優(yōu)先級別進行轉發(fā)的控制，從而保證服務質量要求高的業(yè)務（如語音、視頻等）或者重要的用戶的數據包優(yōu)先進行轉發(fā)，從而保證業(yè)務的高質量的實現。QoS可以通過下列方式提供增強的、可預測的網絡服務：o 為關鍵的用戶和應用提供專用帶寬o 控制抖動和延時（滿足實時流量的需要）o 管理和最大限度地減少網絡擁塞o 對網絡流量進行整形，讓流量平穩(wěn)傳輸o 對網絡流量進行優(yōu)先級劃分我們在無線網絡中加載下列三種接受測試的業(yè)務類型，分別為Voice, Video和Data。吞吐量測試結果對比如下：（左邊沒有啟用WMM，右邊為啟用WMM）:延時測試結果對比（左邊沒有啟用WMM，右邊為啟用WMM）沒有啟用QoS功能的時候:數據流量比視頻/語音流量占用更多的帶寬各種流量的延時抖動較大：視頻延時抖動高達1秒左右，語音延時抖動0.4秒左右當打開QoS機制以后，在無線接口上，三種數據類型的持續(xù)帶寬在傳輸過程中保持穩(wěn)定優(yōu)先級高的語音和視頻流量的帶寬得到了充分的保障，優(yōu)先級低的數據流量的帶寬受到了應有的限制視頻延時抖動穩(wěn)定在0.002秒左右，語音延時抖動穩(wěn)定在0.002秒左右對于不論是單播（Unicast）還是組播（Multicast）的流媒體視頻，在設計網絡QoS的時候需要滿足如下目標：在應用程序送到網絡的時候，或者在有線網絡端接收此類流量的第一臺設備上，需要將此類應用的DSCP標識為CS4級別（CoS4）；丟包率1；延遲不能高于4-5秒鐘（取決于視頻應用緩存能力）；沒有嚴格的抖動方面的要求（視頻緩存的機制可以抵消一定程度抖動）；有線網絡端采用CBWFQ提供有保證的帶寬。QoS功能的作用在一個負擔較輕的網絡上表現得并不明顯。的確，如果延時、抖動和丟包率在介質負載較輕的情況下仍然相當明顯，那就意味著存在系統(tǒng)故障，或者這個網絡不符合該應用的延時、抖動和丟包率要求。隨著網絡負載的增加，QoS功能將開始逐步影響應用的性能。QoS的作用是將特定類型的流量的延時、抖動和丟包率保持在可以接受的范圍之內。通過從接入點提供下行優(yōu)先級設置功能，上行客戶端流量會被作為盡力而為型流量處理。這樣，客戶端必須與其他客戶端競爭（上行）傳輸帶寬，以及與來自接入點的盡力而為型（下行）流量進行競爭。在特定的負載情況下，即使在接入點采用了QoS功能，客戶端也可能會遇到上行擁塞，而對QoS敏感的應用的性能則可能會下降到無法接受的水平。為了加快QoS的普及速度和支持多個供應商的、對時間敏感的應用，人們需要一種統(tǒng)一的無線QoS機制。IEEE 802.11標準委員會中的IEEE 802.11e工作組正在制定一項無線QoS標準，這項工作于2005年完成。摩托羅拉無線設備設備是第一家支持支持無線QoS技術802.11e/WMM，也是唯一的一家在MESH網絡中支持WMM的。下面是摩托羅拉AP5181接入點在為特定流量進行分類方面的可選機制?；赪LAN的帶寬分配：摩托羅拉的AP支持為不同的WLAN分配不同的帶寬，保證關鍵業(yè)務的可用帶寬?；陬悇e映射的優(yōu)先級設置：對于基于類別映射的優(yōu)先級設置，數據流可以通過IP TOS、DSCP或者協(xié)議設置標明身份。一個指定的下行流量會在無線接口上獲得一個特定的CoS。啟用WMM，針對對于監(jiān)控和Video不同業(yè)務設定Qos參數基于組播地址的優(yōu)先等級設置通過設置WLAN的組播地址掩碼，保證匹配該組播地址掩碼的流立即轉發(fā)而不需要等待DTIM（Delivery Traffic Indication Messages ）。通過對WLAN WMM的不同流量類型設置不同的等待楨隙，不同的轉發(fā)機會和CWmin和CWmax值，保證不同類型的流具有不同的轉發(fā)等級。五 產品資料5.1 RFS6000 RF交換機-專為大中型企業(yè)量身打造的無線LAN 交換和語音通信平臺專為大中型企業(yè)量身打造的無線LAN 交換和語音通信平臺RFS6000 的面世大大增強了摩托羅拉在無線領域的影響力。這款設備提供了一個集成的無線LAN 通信平臺，擁有高度安全、可靠的數據和語音功能。全面的功能還包括多種定位技術（如Wi-Fi 、RFID 和UWB ）支持；3G/4G 無線寬帶回傳服務；借助802.11n 實現的高數據率連接。有了企業(yè)級RFS6000 ，企業(yè)將盡享最佳的性能、安全性、擴展性和可管理性，充分滿足要求苛刻的關鍵任務型業(yè)務應用的需求。在企業(yè)內外實現利益最大化和成本最小化摩托羅拉Wi-NG 架構通過提供單一的基礎設施來實現企業(yè)內外的移動語音和數據功能，大大降低了安裝和維護成本。這款全面的解決方案涵蓋集成的IPSECVPN 、AAA Radius 服務器和狀態(tài)數據包檢測防火墻，這就節(jié)省了購買和管理額外基礎設施的成本。同時，服務質量(QoS) 會確保您享受到優(yōu)質的語音和視頻服務。RFS6000 安全功能集還將讓您能夠輕松、經濟、高效地滿足PCI 、SOX 和HIPAA 等行業(yè)標準。適應式AP 提高網絡靈活性，增強災難恢復能力RFS6000 推出了一項全新的功能，能夠幫助您簡化遠程辦公場所、分支機構、小型和家庭辦公場所的移動化部署并降低相關成本。摩托羅拉AP-51X1 無線接入點可部署在遠程場所，而通過RFS6000 即可在網絡運營中心(NOC) 進行集中管理。IPSec VPN 隧道能夠確保無線接入點與無線交換機之間所有流量的安全。而遠程站點災難恢復(RSS) 可讓無線接入點和mesh 無線接入點提供無中斷的無線服務，即使與RFS6000 的連接斷開也無妨。經濟高效、品質優(yōu)異的綜合性語音服務對VoWLAN 的支持能夠為您在整個場地環(huán)境中帶來經濟高效的語音服務，讓室內及室外（諸如外場）的員工充分享受對講等功能帶來的便利。豐富的功能集可以細化地控制諸多無線聯網功能，這對于提供高效持久的暢通連接大有必要，而且語音品質與臺式電話不相上下。此外，RFS6000 還支持FMC 技術，為未來服務（包括通過WLAN 和WWAN 將臺式電話擴展為移動設備）的引入打下了基礎。員工也將享受到單號直撥和單一語音信箱帶來的便利，亦可在企業(yè)內外和外場實現無縫漫游。企業(yè)級安全防護，讓您的語音通信和數據傳輸更安全全面的網絡安全防護功能充分確保數據傳輸的安全，讓您輕松實現HIPAA 和PCI 等法規(guī)的遵從?；谛袠I(yè)標準的廣泛安全機制讓企業(yè)能夠制定分層式安全策略，滿足各種應用的需求，包括：基于MAC 的集成式驗證、增強型入侵檢測、AAA/Radius 服務器（用于裝置的WPA/WPA2 終端接入）；確保來賓訪問安全的hotspot 提供功能、狀態(tài)數據包檢測防火墻、IPSec VPN 等。擴展性、升級性極佳滿足您當今和未來需要的一款卓越平臺可接入的ExpressCard 插槽能夠讓用戶