無線局域網架構是以無線接入點(AP)為中心的。一個無線接入點就構成一個蜂窩,這個蜂窩內的客戶端需要發送或者接收數據都需要通過這個無線接入點才能夠達到網絡中的其他部分。但是傳統的無線接入點,如無線路尤器,其有一個很大的缺陷。即各個無線接入點之間是相互獨立的。即使大部分無線接入點的配置與安全策略都是相同的,但是網絡管理員仍然不得不分配對每個無線接入點進行配置。顯然這無形之中增加了網絡管理員的工作量。初始化配置與后續策略的調整都會很麻煩。
另外由于每個無線接入點AP都是相互獨立的,為此部署統一的安全策略將會變得非常的奢侈,管理無線網絡的安全性將變成一項不可能完成的任務。因為每個無線接入點都只負責其自身的安全策略。為此在無線網絡與有線網絡的交接處就是企業安全的盲點。因為在這無線網絡與有線網絡之間沒有中央入口。這也就是說,沒有合適的地方隊數據進行監控,以實現入侵檢測和防范、帶寬控制、服務質量等等。簡單的說,無限網絡與有線網絡之間就成為了三不管地帶,影響了企業網絡的安全。
為了解決這個無線與有線網絡之間的三不管問題,思科提出了一個統一無線網絡的架構,其最主要的功能就是把無線接入點分為輕量級的AP與無線局域網控制兩個部分。
一、分工合作,統一部署
其實,思科解決這個問題的思路很簡單,可以利用八個字來概括,就是“分工合作統一部署”。傳統的無線接入點其主要包括兩種進程,分別為實時進程與管理進程。實時進程包括發送和接收802.11楨、AP信標和探針信息、數據加密等等;而管理進程則主要包括客戶端認證、安全管理、Qos等等。在傳統的無線接入點中,這些實時進程與管理進程都是在同一個無線接入點中完成。所以說,網絡管理員不得不對各個無線接入點進行配置,即使他們采用了相同的配置與安全策略。由于無法統一對各個無線接入點進行配置與安全管理,這正是造成無線網絡與有線網絡之間出現三不管地帶的主要原因。
思科在這方面,就決定執行分工合作、統一部署。簡單的說,思科把無線接入點分為兩種,分別為輕量級的無線接入點與無線局域網控制器,其英文簡稱分別為LAP與WLC。而輕量級的無線接入點只負責一項工作,即負責接收與發送802.11楨;其他的功能都是通過無線局域網控制器來完成的。由于這個輕量級的無線接入點比傳統的無線路由器其功能要少的說,為此我們把它叫做輕量級的。這個名字也是由此而來。
而其他的進程則統一由無線局域網控制器來完成。也就是說,在無線局域網控制器中保存著各個輕量級無線接入點所需要采用的配置文件與安全策略,其被各個無線接入點所共享。如一些用戶認證、安全策略管理、RF信道和輸出功率選擇等等,都不需要在各個輕量級無線接入點上進行單獨配置與管理。只需要在無線局域網控制器中做好相關的配置,那么這些配置會自動應用到各個輕量級無線接入點中。從而實現分工合作、統一部署的管理策略。通過這個管理策略,就可以消除無線網絡與有線網絡之間的真空區,提高企業網絡的綜合性安全。
二、LAP與WLC的相互認證
由于無線接入點的配置文件、安全策略、身份認證等等都是依靠無線局域網控制器WLC來完成的。如果攻擊者偽造了一個非法的無線局域網控制器,那么一切都將會變得很可怕。為此在設計與部署輕量級無線接入點的時候,第一個需要注意的問題就是如何來保障無線局域網控制器的安全,不被仿冒。這是實現思科統一無線網絡架構的基礎。
輕量級無線接入點與無線局域網控制器之間主要通過輕量級接入點協議來作為彼此的隧道協議。具體的來說,其包括兩個隧道。一個隧道是用來傳遞客戶端的一些數據的。此時輕量級隧道協議會使用LWAPP格式來封裝這些數據。雖然沒有對此進行加密,但是封裝后的數據相對來說是比較安全的。另外一個隧道就是傳遞一些控制信息,這些控制信息決定了輕量級無線接入點的運行方式、客戶端認證、安全策略等等。輕量級隧道協議會對這些控制信息進行認證與加密,以確保無線局域網控制器能夠萬無一失的管理控制各個輕量級無線接入點。在思科的解決方案中,輕量級無線接入點與無線局域網控制器之間是通過數字證書來彼此相互認證的。如在出廠時設備上可能都會裝有一個數字證書,然后輕量級隧道協議會在后臺利用這些數字證書進行驗證。為此者就可以有效的避免無線局域網控制器被偽造。
所以保無線局域網控制器與輕量無線接入網絡管理員在部署統一無線網絡之前,就需要先確點之間能夠進行相互的認證。只有無線局域網控制器的安全性有所保障之后,才能夠確保企業無線網絡的安全。故網絡管理員需要了解他們之間認證的一些詳細信息,并要能夠解決他們認證過程中可能會出現的問題,如數字證書無效等等該如何解決。
三、WLC管理與維護要點
由于無線局域網控制器與輕量級無線接入點兩者分工合作之后,管理無線網絡的重點就落在了無線網絡控制器上面。所有跟無線網絡相關的維護與配置都在這臺控制器上完成。為此在部署統一無線網絡架構的時候,網絡管理員的主要工作就是維護這臺無線局域網控制器。具體來說,其主要維護如下幾個方面的功能。
一是RF信道的頻率選擇。為了避免相鄰蜂窩之間的相同信道彼此干擾而減弱無線信號,需要為每個相鄰的無線接入點設置不同的RF信道。以避免因為信道相同而相互干擾的現象。子無線局域網控制器中,可以對各個無線接入點的信道進行設置。不過筆者建議,這個信道除非有特殊的必要,不要進行手工管理。因為無線局域網控制器提供了一個自動管理的方案。這個方案不僅會優化發射功率,而且會自動根據需要為其覆蓋范圍內的無線接入點分配不同的信道。另外發射功率也會根據實際情況進行自動的調整。筆者認為這個自動優化信道的解決方案到目前為止是一個不錯的解決方案。為此在沒有特別充分理由的情況下,就沒有必要手工的對所采用的信道進行調整。#p#分頁標題#e#
二是通過調整發射頻率來決絕無線接入點的故障問題。在以前的文章中筆者談到過,如果某個無線接入點出現故障的話,則其所在的蜂窩就會消失,其覆蓋的客戶端將無法使用無線接入點連入網絡。此時可以通過調整臨近蜂窩的大小(通過調整臨近無線接入點的發射頻率來實現),讓其蜂窩重新覆蓋整個盲點。這個發射頻率的調整也可以在無線局域網控制器中完成。由于在一個平臺上進行調整,而不需要連接到不同的無線接入點上進行配置,這個調整的工作要輕松許多。最讓我們驚喜的是,在無線局域網控制器中還可以進行自動調整。即當無線局域網控制器發現某個輕量級無線接入點發生故障后,可以立馬調整臨近無線接入點的發射頻率,讓蜂窩重新覆蓋那個區域,并同時告知給網絡管理員。
三是動態的客戶端負載均衡。在無線網絡部署的時候,各個蜂窩往往會相互重疊。當客戶端處于這個重疊的地方,客戶端該連接到哪個無線接入點上去呢?由于客戶端認證是由無線局域網控制器來完成的。為此要連接到哪一個無線接入點上去也是由局域網控制器來完成的。如果網絡管理員啟動控制器上的負載均衡選項的話,則在信號強度滿足條件的情況下,無線局域網控制器可以把無線客戶端連接到客戶端連接數量相對比較少的無線接入點上去。從而實現客戶端負載的均衡。由于這個負載均衡是由控制器自動完成的,為此對于提高無線網絡的性能是非常有用的。這主要是因為無線接入點其是采用共享帶寬機制。同一個無線接入點上接入的客戶端越多,其客戶端可以得到的最大帶寬也就越少。為此在信號強度滿足要求的情況下,在不同的無線接入點之間合理分配客戶端,可以提高帶寬的利用率,提高無線網絡的性能。
