适用于WSSI的Aironet AP模块部署指南

下载选项

PDF (838.4 KB)
在各种设备上使用 Adobe Reader 查看
ePub (847.0 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.1 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2013 年 1 月 15 日

文档 ID:115612

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档提供用于无线安全和频谱智能(WSSI)的Cisco Aironet接入点模块的一般配置和部署指南。 WSSI是可插入模块化接入点(AP)（例如Cisco 3600系列AP）的附加模块。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

无线安全和频谱智能模块需要最低代码版本：

无线局域网控制器(WLC)- 7.4.xx.xx或更高版本
接入点(AP)- 7.4.xx.xx或更高版本
Prime基础设施(PI)- 1.3.xx.xx或更高版本
移动服务引擎(MSE)- 7.4.xx.xx版或更高版本

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

产品概述

思科无线安全和频谱智能模块利用Cisco Aironet 3600系列AP的灵活模块化设计，提供前所未有的不间断安全扫描和频谱智能。这有助于您避免射频(RF)干扰，从而在无线网络上获得更好的覆盖范围和性能。

24 x 7全频监控和缓解，适用于aWIPS、CleanAir、情景感知、欺诈检测和无线电资源管理
24 x 7通道内aWIPS威胁防护
安全性和频谱覆盖范围提高23倍
与专用监控模式AP相比，CAPEX成本节省30%以上
零接触配置

WSSI现场可升级模块是专用无线电，可将所有监控和安全服务从客户端/数据服务无线电卸载到安全监控模块。这不仅可实现更好的客户端性能，而且通过消除将这些设备连接到其网络所需的专用监控模式AP和以太网基础设施，还降低了成本。

3600系列AP和WSSI模块使您能够同时为所有信道（2.4-GHz和5-GHz频段）上的Wi-Fi客户端提供最先进的安全和频谱分析功能。

部署后，该模块会不断扫描所有信道，以帮助确保业界提供最安全、最强健的无线体验。

WSSI模式的优点

增强型本地模式(ELM):

降低网络成本和运营。通过将WSSI模块集成到3600系列中，您最多可以更换三台独立设备。这可将三种独立功能整合到单个、多用途的3600系列AP中。
现在，客户可以将单个以太网连接（电缆和端口）用于有线网络，而通常需要最多三根单独的以太网电缆和接入端口用于有线网络。这显着降低了他们的资本支出。
通过将所有这些功能集成到单个AP，客户可以简化其无线基础设施和网络的日常管理和监控，同时大幅减少AP数量。WSSI模块对WLC和管理系统而言是支持特定3600系列AP中802.11b/g/a/n客户端设备（2.4和5 GHz）的附加无线电。
零接触配置、安装、通电和启动。使WSSI模块能够启动并运行，并立即监控和保护无线网络，完全无需配置。WSSI模块插入并固定到任何3600系列AP。当AP重新通电时，模块会与AP中的其他无线电一起初始化，并立即开始监控2.4和5 GHz上的所有信道，以发现任何潜在安全威胁和干扰源。
自适应wIPS可针对来自空中攻击、欺诈AP和对等连接的所有信道提供准确而高效的威胁检测，并能够对其进行分类、通知、缓解和报告，以实现持续监控和主动管理。与思科移动服务引擎(MSE)配合使用。

ELM:

为7x24通道扫描（2.4GHz和5 GHz）添加wIPS安全扫描，并尽力提供通道外支持。
该AP还为客户端提供服务，并通过G2系列AP在信道（2.4GHz和5GHz）上启用CleanAir频谱分析。

监控模式:

监控模式AP(MMAP)专用于在监控模式下运行，可以选择添加所有通道（2.4GHz和5GHz）的wIPS安全扫描。
G2系列AP支持在所有信道（2.4GHz和5GHz）上执行CleanAir频谱分析。
MMAP不为客户端提供服务。

带WSSI模块的AP3600:无线安全和频谱的演变

业界首款使用CleanAir技术促进客户端服务、wIPS安全扫描和频谱分析的AP。
专用2.4GHz和5GHz无线电，具有自己的天线，可在2.4GHz和5GHz频段中对所有无线信道进行7x24扫描。
单个以太网基础设施可通过更少的设备简化操作，以管理和优化AP3600无线基础设施和以太网有线基础设施的投资回报。

Cisco CleanAir技术：提供主动的高速频谱智能，以应对由于无线干扰而导致的性能问题。业界首款先进的射频分析技术，可对可能严重影响无线网络质量的设备的能量模式（签名）进行检测和分类。
无线电资源管理(RRM):简化的高级射频管理，可根据从Cisco CleanAir技术接收的信息自动适应无线网络环境。一旦识别出干扰源，RRM就能够将客户端设备移动到远离干扰的信道，并调整传输功率以远离干扰源。这为用户提供了更好的射频质量。
入侵检测:检测并报告后门网络访问和对无线客户端的访问。
位置和情景感知：提供实时感知和跟踪无线终端的功能。

借助这些功能，思科无线安全和频谱智能模块以及思科3600系列AP可为企业用户和数据提供最安全、最强健的企业级无线网络。

使用WSSI模块的通道内与通道外

本地模式AP在信道上扫描CleanAir干扰源和wIP攻击者。这意味着AP只扫描其服务的信道。具有2.4GHz无线电服务信道1和5GHz无线电服务信道64的本地模式AP仅对信道1和64提供保护。

MMAP扫描CleanAir干扰源和wIP攻击者的信道外。这意味着AP扫描所有信道。2.4GHz无线电扫描所有2.4GHz信道，5GHz信道扫描所有5GHz信道。

Cisco 3600系列AP结合使用通道内和通道外。2.4GHz和5GHz无线电在信道上扫描，WSSI模块在信道外扫描，在所有2.4GHz和5GHz信道之间循环。

WSSI模块的建议部署密度

在传统监控AP部署中，思科建议将1 MMAP与每5个本地模式AP的比率。这取决于网络设计和专家指导，因此可能有所不同，以获得最佳覆盖。使用WSSI模块时，根据功能提供不同的部署建议，以实现与MMAP的覆盖奇偶校验。

对于CleanAir，建议每5个本地或Flexconnect AP部署1个WSSI模块。此1:5部署提供与启用CleanAir的MMAP相同的性能，但仍允许AP为客户端提供服务。这是执行CleanAir的WSSI模块的推荐部署：

对于wIPS保护，建议为每5个本地或FlexConnect AP部署2个WSSI模块。信道外攻击的wIPS检测时间约为MMAP的两倍。因此，需要2:5部署才能提供wIPS检测奇偶校验。这是执行wIPS保护的WSSI模块的推荐部署：

带WSSI模块的Cisco 3600 AP利用通道内和通道外扫描，在为客户端提供服务的同时，提供行业领先的解决方案。

安装WSSI模块

AP3600 WSSI模块的配置

无需配置WSSI模块。该模块使用0x4（仅接收）0 Tx天线x 4 Rx天线自动扫描两个频段上的所有信道。

请注意，WSSI模块仅在本地模式或FlexConnect模式下配置的AP3600上处于活动状态。WSSI模块在所有其他模式下都被禁用。

WSSI模块的电源要求

安装了WSSI模块的AP3600超过15.4瓦(802.3af)。 AP需要(802.3at - PoE+)、增强型PoE、本地交流电源或思科PoE馈电器(AIR-PWRINJ4)。

注意：

增强型PoE由思科创建，是802.3at PoE+的先驱。它提供高达20W的功率。
PoE+可提供高达30W的功率。

WSSI模块上的无线电资源管理

WSSI模块在2.4GHz频段和5GHz频段进行所有RRM测量。测量结果显示在WLC GUI的“监控”(Monitor)>“接入点”(Access Points)> 802.11a/n > AP_NAME >详细信息(Details)或“监控”(Monitor)>“接入点”(Access Points)> 802.11b/g/n > AP_NAME >详细信息(Details)下。

WSSI模块上的CleanAir

WSSI模块以与MMAP相同的精度检测CleanAir干扰源。思科建议以1:5的密度部署WSSI模块，其中每5个AP必须有1个WSSI模块。这与MMAP的建议密度相同。

当WSSI模块在无子模式下启用时，模块将扫描2.4GHz频段和5GHz频段。该模块在每个信道上扫描1.2秒，并扫描CleanAir干扰源。

CleanAir可以仅在2.4GHz、仅5GHz以及2.4GHz和5GHz上启用。这可从WLC CLI或GUI中进行选择。以下是在WLC CLI上配置CleanAir的示例：

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

可以通过Wireless > Dual-Band Radios > Configure在GUI上应用相同的配置。以下是一个示例：

要验证WSSI模块是否检测到CleanAir干扰源，请从AP控制台发出show cleanair interferers命令：

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

可以通过Wireless > Dual-Band Radios > Configure在GUI上应用相同的配置。示例如下：

CleanAir干扰源在WLC GUI中报告。干扰源按频段显示。这意味着在5GHz频段的WSSI模块上检测到的干扰源显示在Monitor > 802.11a/n > Interference Devices下。

要验证WSSI模块是否检测到CleanAir干扰源，请从AP控制台发出show cleanair interferers:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

WSSI模块上的wIPS

WSSI模块检测wIPS攻击者的精度与MMAP几乎相同。对于wIPS，思科建议在AP之间部署WSSI模块，比率为2:5。这意味着每5个AP中，两个AP必须包含WSSI模块。

可以配置两种wIPS模式：

wIPS子模式 — 启用wIPS攻击检测并扫描1.2s的所有通道。除wIPS检测外，此模式还允许AP捕获所有RRM报告。
增强的wIPS模式 — 启用wIPS攻击检测并扫描所有信道250毫秒。信道停留时间越短，安全模块能够更快地检测攻击者。

从Prime基础设施(PI)页面，转到配置>接入点> AP_NAME。WSSI模块可配置为wIPS子模式或wIPS子模式+增强型wIPS引擎支持。这也可作为AP配置模板的一部分推送。

wIPS攻击显示在Prime基础设施的Home > Security选项卡上。

PI显示网络级视图，但是，您可以通过从AP控制台发出show capwap am alarm ALARM_NUM命令来显示对具有WSSI模块的AP3600的攻击。

例如，警报52是拒绝服务，身份验证泛洪。要查看是否在WSSI模块上检测到该攻击，请发出show capwap am alarm 52命令：

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

WSSI模块上的欺诈检测

WSSI模块可检测与MMAP具有相同精度的欺诈AP。WLC和PI中都显示欺诈AP列表。

这是WLC GUI中未分类的欺诈AP的列表。在WLC GUI中的“监控”(Monitor)>“欺诈”(Rogues)下可以查看欺诈AP。

您可以验证使用AP控制台的WSSI模块是否检测到欺诈AP。在控制台中，输入show capwap rm rogue ap d2 all命令。这将显示在WSSI模块无线电中看到的所有欺诈AP。

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

适用于WSSI的Aironet AP模块部署指南

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

规则

产品概述

WSSI模式的优点

使用WSSI模块的通道内与通道外

WSSI模块的建议部署密度

安装WSSI模块

AP3600 WSSI模块的配置

WSSI模块的电源要求

WSSI模块上的无线电资源管理

WSSI模块上的CleanAir

WSSI模块上的wIPS

WSSI模块上的欺诈检测

使用WSSI模块的欺诈遏制

WSSI模块上的情景感知位置

WSSI模块许可

相关信息

修订历史记录

此文档是否有帮助?

联系我们

本文档适用于以下产品