以WLAN交換器強化無線網路管理

jodenh

以WLAN交換器強化無線網路管理

文/蘇碩鈞 (記者) 2006-12-26

Cisco Unified Wireless Network Software 4.0改良韌體系統，讓Cisco WLAN交換器能更緊密整合Cisco網路應用體系。

Cisco Unified Wireless Network Software 4.0（CUWNS 4.0）是在Cisco WLAN交換器上使用的嵌入式作業系統，能控制WLAN交換器的運作，更新至4.0版後，還可以連結Cisco入侵偵測/防禦系統（IPS），並整合Cisco的自我防禦網路，讓安全管理單一化。讓無線網路控制更智慧化 Cisco在2005年併購AireSpace後，就把無線網路從單點控制轉向至多點式的集中管理，而無線基地臺也從Fat AP朝向Thin AP發展。 只是原本安裝在WLAN交換器的CUWNS 3.×版雖然已有智慧型控制能力，但實際運作下，效果有限，例如當部署4臺Thin AP時，為了避免頻道相互干擾，CUWNS 3.×會自動調整各臺基地臺頻道為1.、6、11（3個不會相互干擾的頻帶），但還要搭配自動調整訊號發射功能，才能減少頻道干擾的問題，然而CUWNS 3.×自動調整發射功能的效能較差，因此每臺基地臺可能都採用相同功率發射訊號；CUWNS 4.0則改良自動發射功率，讓採用1、6及11頻道的前3臺基地臺使用相同發射功率，而第4臺基地臺則會調整發射功率，以適應整體無線網路環境需求。整合Cisco網路安全架構 CUWNS 4.0最大的特色就是更緊密結合以Cisco設備為主體的網路架構。Cisco併購AireSpace後，就一直試圖將相關產品線整合到Cisco網路環境中，雖然之前3.×版已經有一些徵兆（例如調校特定Cisco Wi-Fi手機），但僅限於Cisco網路周邊產品，還未結合Cisco核心應用（例如自我防禦網路），而4.0版則開始整合Cisco網路應用，讓管理無線網路更安全及容易。 4.0版最重要的變革，就是納入Cisco自我防禦網路（Cisco Self-Defending Network，DSN）的體系，讓安全管理從有線延伸至無線。當網路流量異常時，Cisco入侵偵測/防禦系統會主動通知WLAN交換器，並自動中斷連線，減少異常流量的範圍，網管人員則能了解哪部分網路有問題，不會大海撈針般找不出頭緒。而在CUWNS 4.0的操作上，也只需要增加偵測器的IP位址，就可以處理納入防禦體系中，操作上很容易。 可整合Cisco入侵偵測/防禦系統，讓無線網路更安全。 能同時管理Thin AP與Mesh AP Cisco對無線網路有很大的企圖心，除了在區域無線網路外，對廣域無線網路也有Mesh網路解決方案。 Mesh網路是指無線基地臺（指Mesh AP）都有路由能力，能自行尋找最佳傳輸路徑回傳訊號外，若某節點發生異常，也能自動另尋其他路徑，Mesh AP間不需要線路連接，就可以串聯起網路環境，基地臺依然採用802.11a/b/g，比一般無線基地臺更具備智慧型傳輸能力，能延伸WLAN網路至廣域環境中。 我們可在戶外採用Mesh網路，室內採用WLAN交換器架構，但在CUWNS3.×時，只能分別獨立管理，CUWNS 4.0則能讓WLAN交換器同時管理室內用的Thin AP及戶外用的Mesh AP。 管理上，只要先定義Mesh AP為同一群組，並指向WLAN交換器（嵌入CUWNS 4.0）的IP位址，就可由Cisco WLAN交換器控制，我們也可查詢Mesh AP的狀態，一旦發生問題，能立即處理，減少網路異常狀態，而且還會導入AWPP協定（Adaptive Wireless Path Protocol）至Mesh AP中，能自動選擇頻道。 在部署Mesh AP時，同樣會有頻道相互干擾的問題，有了AWPP則能控制每臺Mesh AP的頻道，並自動調整最佳範圍，一旦某臺Mesh AP調整頻道或新增基地臺時，AWPP會主動通知其他Mesh AP改變頻道範圍，以避免訊號相互干擾。更能確保Wi-Fi手機通話品質 為了提供更佳的Wi-Fi手機語音品質，CUWNS 4.0除了原有增加WMM協定（Wi-Fi Multimedia）外，更納入TSpec標準的允入控制協定（Call Admission Control），能設定各臺無線基地臺在語音通話上的品質控制，若連線的Wi-Fi手機超過該基地臺負擔的能力，則會禁止連線，而轉移連線到其他無線基地臺，分擔負載，並提升無線網路傳輸語音封包的品質。此外，CUWNS 4.0區分802.11a及b/g等2種傳輸網路，可分別針對語音及影像設定各別Call Admission Control的RF及漫遊頻寬。而且語音傳輸方面，還可以分析封包延遲、遺失等資訊，提供調校Wi-Fi語音品質的依據。 此外，為了減少雙模手機（Wi-Fi及電信網路）的耗電量，當手機在電信網路範圍內時，CUWNS 4.0不會一直要求手機回應Wi-Fi的RF訊號，延長回應訊號的時間，因此雙模手機不需要同時重複地回應2種網路，減少手機高耗電需求。讓訪客管理權限更為彈性 CUWNS 3.×版只有具備管理者權限（Administrators）的人員，能建立員工及訪客權限，CUWNS 4.0的使用者增加Lobby Ambassador角色，此權限能管理員工及訪客資料。首先，網管人員可先設定不同VLAN的存取範圍，Lobby Ambassador則能自定用戶端可登入的VLAN中，或設定是否為訪客權限，限制帳號的使用時間。 在CUWNS 3.×時，管理者存取模式中有唯讀和讀/寫等2種方式，網管人員若要指派某人管理用戶權限，只能完全授予權限才能執行，安全管理上較薄弱，然而CUWNS 4.0的Lobby Ambassador可賦予各部門自行管理用戶權限，當某部門臨時有訪客時，可由Lobby Ambassador自行建立帳號，不需要另外要求網管人員處理，管理上較便利。可用Hybrid REAP連結總部與分公司的VLAN 另外，Hybrid REAP（Remote Edge Access Point）也是值得一提的特點，能加速網際網路端Thin AP的傳輸效率。原本Cisco Aironet 1010/1020建置網際網路端時，認證及資料的訊號都會回傳至公司的Cisco WLAN交換器處理，因為所有資訊都會傳回公司網路，傳輸效果較差，而Aironet 1030開始支援REAP模式，可讓認證回傳至公司WLAN交換器處理，而之後傳輸的資料則由當地路由器負責，雖然能減少之前運作的盲點，但若總公司有區分員工及訪客權限下，分公司的Thin AP只能選擇連結總公司的員工或訪客的VLAN，無法同時兼具2種使用權限。CUWNS 4.0的Hybrid REAP則能讓建置在網際網路端的Thin AP連回公司的WLAN交換器外，遠端辦公室也可同時具有員工及訪客權限，更能符合使用需求。 4.0版目前僅支援Cisco Aironet 1240AG及1130AG等型號，而採購這2種無線基地臺時，仍需區分是傳統嵌入Cisco IOS的基地臺或Light AP（即Thin AP）。若要搭配WLAN交換器，就必須採購Light版的基地臺，才能由CUWNS 4.0的控管，假設原本就已經採購Aironet 1240AG及1130AG，只需要升級WLAN交換器的系統至CUWNS 4.0，就可以提供Hybrid REAP，不需要手動升級各臺無線基地臺的韌體。文⊙蘇碩鈞 Cisco WLAN交換器已納入自我防禦網路 Cisco自我防禦網路能偵測異常網路流量，並阻擋可能產生的網路攻擊，而CUWNS 4.0則將WLAN交換器整合至自我防禦網路體系中，讓安全管理從有線延伸至無線網路。 整合Cisco SDN的無線網路防護流程 1 植入惡意程式的電腦透過Wi-Fi連結企業網路 2 WLAN交換器會將流量導入Cisco IPS分析封包 3 發現異常流量通知WLAN交換器 4 阻擋用戶端電腦連結企業網路

資料來源:http://www.ithome.com.tw/itadm/article.php?c=41190