無線網路控制器｜Cisco 5508 Wireless Controller 可搭配多種同廠牌設備，提供完整的無線網路管理機制

這次我們測試的Cisco 5508 Wireless Controller（以下稱為5508）是該廠牌無線網路控制器的最高階型號，在出廠時即已內建100臺精簡基地臺（Thin AP）的管理授權。而它和4400、2100等型號的設備相比，其特別之處在於可以另外購買授權，擴充受管基地臺的數量，在韌體為Wireless LAN Controller Software 7.0版本的情況下，最多能達到控管500臺Thin AP，或者7,000臺用戶端裝置的規模。

另外，除了以單一設備推出的硬體產品之外，原廠也推出安裝在Catalyst 6500交換器機箱的Wireless Services Module（WiSM）線卡，可提供300臺Thin AP的管理功能。

Wireless LAN Controller Software 7.0除了擴大設備控管的無線網路規模之外，它還加入了Video Stream及CleanAir等2項新功能，從而改善無線網路訊號的傳輸效果。另外，該版韌體它也支援Federal Information Processing Standards（FIPS）的美國聯邦資訊處理標準。

而與Thin AP之間的連線，不只是支援Cisco既有的Lightweight Access Point Protocol（LWAPP）協定，該版韌體也同時支援2009年開始成為業界標準的Control And Provisioning of Wireless Access Points（CAPWAP）協定。其中，CAPWAP已經取代LWAPP，成為Cisco無線網路設備預設使用的連線協定，使得無線網路控制器的設備能夠同時管理其他第3方廠商所推出的基地臺。

而在相容性的方面，由於CAPWAP是在LWAPP的基礎上所研議而成，因此採用CAPWAP協定的控制器，仍然可以和採用LWAPP的舊款Thin AP進行連線，達成無線網路的無縫升級。

能將Thin AP設備區分為多個群組，並各自傳送不同的SSID

5508採用多達8組的SFP埠做為網路介面，使得設備可以透過不同的SFP埠，連接內部網路的多個VLAN，與散布在各處的Thin AP建立連線，或者搭配支援802.3ad協定的交換器，將一部分或者全部的SFP埠，集結為單一的虛擬網路埠，加快這款設備與Thin AP之間的資料傳輸速度。

這次受測的5508與Thin AP都是放置在相同網段，環境當中並沒有設置任何VLAN，因此不需借助於DHCP伺服器，傳送連線所需的相關資料（Option 43），因此在Thin AP開機之後，就能直接向無線網路控制器完成註冊，建立2者之間的連線。

我們可以透過5508將受管的Thin AP區分為多個群組，讓每個群組各自傳送不同的SSID，管理不同部門的使用者所能存取的無線網路。

設定SSID時，企業可以採取802.1x，乃至於最為簡單的共享金鑰（PSK）等多種方式驗證使用者存取無線網路的權限。在測試環境當中，我們規畫了員工及訪客專用，一共2組的SSID，其中，員工使用的SSID會透過802.1x，連接一臺微軟的IAS伺服器，向RADIUS要求驗證，最多可以連接3臺不同的RADIUS伺服器，要求檢查使用者傳送的帳號、密碼，當設定列表當中的第1臺伺服器故障之後，Thin AP就會試圖向下一臺伺服器詢問資料的真實性，決定是否授予存取網路的權限。而在RADIUS伺服器的類型為Cisco自家的ACS時，還可以帶入更加完整的權限管理，使得存取防護更加嚴密。

至於訪客使用的SSID，我們則透過網頁驗證的方式，透過設置於5508的本機使用者帳號檢查身分（也可以視需求而換用RADIUS等外部驗證伺服器）。當訪客裝置連上SSID之後，開啟瀏覽器時，畫面就會自動轉向到5508，要求輸入正確的密碼，才會放行通過。而在多數企業皆不開放訪客存取內部網路的狀況下，可以同時開啟SSID設定當中的「P2P Blocking Action」功能，限制裝置僅能瀏覽外部網路，對於環境當中有設置VLAN的企業來說，則可以透過Access control list（ACL），進行更彈性的設定。

在安全功能方面，除了加入驗證，防止外部使用者隨意盜連之外，5508也可以整合Cisco的NAC產品，於使用者通過驗證之後，先行檢查裝置的健康狀態，將未能符合需求的裝置，隔離於企業網路之外。

至於新的CleanAir，是Cisco於2010年發布的技術，透過Thin AP內部ASIC晶片的運算，使得來自周圍其他射頻裝置的干擾得以降低，目前只有Aironet 3500系列的設備支援此一功能。

搭配Wireless Control System套件，集中管理多臺控制器

5508內建1組GbE介面的管理埠，使得管理者可以透過Out-of-band的方式，連接設備的網頁及Telnet/SSH介面，而在部署設備時，我們也可以開放特定的SFP埠，使其具備連接設備管理介面的能力。

另外，企業也可以另外購買Wireless Control System（WCS）的軟體套件，安裝在Windows或者Linux的平臺，透過網頁的單一介面，管理內部網路當中的多臺無線網路控制器。它的安裝檔可以從原廠網站下載，同時申請10臺Thin AP的管理授權，於30天的試用期限內使用各項功能。

而在備援方面，我們可以為每臺Thin AP，或者個別不同的Thin AP群組，設定一份無線網路控制器的清單，最多可以加入3臺設備。而且，設備有一項名為「Master Controller Mode」的設定，開啟之後，該臺設備即成為主要的無線網路控制器，在Thin AP沒有預先建立無線網路控制器列表的情況下，Thin AP會自動與之連線。

內建無線網路IDS，並能搭配無線網路IPS設備提供更強大的防護

5508本身即內建Wireless Protection Program（WPP）的基本無線網路IDS（WIDS）功能，可以監控用戶端裝置的連線行為，並能透過郵件及報表等方式，當連線被判定為DDoS，或者是側錄流量等型式的惡意攻擊時，即向管理者發出警告。但該功能的特徵碼僅能隨著韌體更新而增加，而無法透過線上方式進行更新。

而搭配Mobility Services Engine（MSE）的Cisco無線網路IPS（WIPS）設備，則可提供更為強大的防護功能。它是根據從WCS收集所得的資訊，監控用戶端裝置的連線行為，並能阻斷惡意攻擊的連線，同時透過感測器的裝置，偵測內部網路及其四周有無非法架設的基地臺（Rogue AP），同時防範內部的使用者與之連線。

在部署上，企業並不需要為MSE，而額外購買專用的感測器裝置，僅需將Thin AP在控制器或者WCS的管理介面，切換為Monitor模式後，就能擔任此一角色。

基地臺可以視需求更換韌體，做為Fat AP使用

和5508同時借測的Aironet 1142是一款802.11n的基地臺，它和Cisco大多數的Thin AP設備一樣，可以隨著企業的需求不同，以更換韌體的方式，轉為Fat AP使用。

Aironet 1142的天線架構為2發3收，採用印刷電路的方式隱藏於機身內部，能透過2.4及5GHz等2個頻帶傳送無線網路的訊號，而同系列當中的Aironet 1160則是外接式天線的機型，企業可以另外購買增益更高的天線延長，或者修改訊號的涵蓋範圍。這臺設備可以透過外接電源，或者是搭配802.3af規格的PoE交換器，獲得所需電力

搭配本次測試的Aironet 1142可外接專屬的電源供應器，或者連接PoE交換器，取得運作所需的電力。

透過Cisco的WCS套件，企業可以利用單一網頁介面，管理內部網路當中的多臺無線網路控制器。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】