【文章內容簡介】 局域網控制器（例如 Cisco 4400 系列無線局域網控制器 和 Cisco 2020 系列無線局域網控制器 ），以及可以與有線網絡結合的無線局域網控制器，例如 Cisco Catalyst 6500 系列無線服務模塊（ WiSM）和用于集成多業(yè)務路由器的思科無線局域網控制器模塊（ WLCM）。 開發(fā) 一種新的無線局域網集中化協(xié)議 為了在輕型接入點和無線局域網控制器之間傳輸數據和實現通信，需要一種新的協(xié)議。該協(xié)議需要滿足下列要求： ? 便于部署 ―― 該協(xié)議必須能夠跨越子網邊界，而 不是僅僅將多個 VLAN 連接到集中控制器。 ? 部署安全 ―― 將一個接入點加入網絡并不意味著它應當具有完全的網絡訪問權限。該協(xié)議需要提供一種對所有連接網絡的接入點進行身份驗證的方法。 ? 對接入點的實時控制 ―― 在部署、認證接入點和將其連接到控制器之后，該協(xié)議需要提供對接入點的實時控制，以便管理和部署移動服務。 ? 協(xié)議擴展能力 ―― 該協(xié)議需要支持多種平臺 －－從大型以太網交換機中基于機箱的模塊，到可堆疊交換機、路由器和其他任何網絡組件。 ? 傳輸擴展能力 ―― 盡管網絡通常運行在以太網的基礎上，但是該協(xié)議必須能夠支持低速的 WAN 連接，甚至無線網絡（對于 無線 網狀 網絡 等應用）。 這就是即 滿足這些對于開發(fā)新型通信協(xié)議的要求， 又 符合實際需要 的 ―― 支持第二層和第三層 數據包 信息的輕型接入點協(xié)議（ LWAPP）。 9 集中化協(xié)議 LWAPP 簡介 LWAPP 是什么？ LWAPP 是一項由思科系統(tǒng)公司擬定的互聯網工程任務小組（ IETF）標準草案，實現了輕型接入點和 WLAN 系統(tǒng)（例 如控制器、交換機和路由器）之間的通信協(xié)議的標準化。它的目標包括： ? 減輕接入點中的處理量，讓它們將計算資源集中用于無線接入，而不是過濾和策略實施 ? 為整個 WLAN 系統(tǒng)進行集中的流量處理、驗證、加密和策略實施 ? 利用一個第二層基礎設施或者 IP 路由網絡，為多供應商接入點互操作性提供一個通用封裝和傳輸機制 LWAPP 標準可以通過定義下列規(guī)范實現這些目標： ? 接入點設備發(fā)現、信息交換和配置 ? 接入點認證和軟件控制 ? 數據包 封裝、分段和格式化 ? 接入點和無線控制器之間的通信控制和管理 LWAPP 的工作原理 LWAPP 將輕型接入 點的介質訪問控制（ MAC）功能交由無線局域網控制器和輕型接入點共同承擔。對時間敏感的功能（例如次原子握手和 發(fā)送給 接入點的 信標 ）都在接入點進行管理。其他對網絡具有重要意義的功能（例如移動管理、身份驗證、 VLAN 劃分、 RF管理、無線 IDS 和 數據包 轉發(fā)）都在無線局域網控制器進行管理。（如圖 1 所示） 圖 1 分離的介質訪問控制功能 ? 安全策略 ? QoS 策略 無線局域網控制器 控制器 MAC 功能 ? MAC 管理 ： 10 ? RF 管理 ? 移動管理 人力分配 分離 MAC ? 遠程 RF接口 ? MAC 層加密 LWAPP 輕型接入點 （重新）關聯請求和行為框架 ? 數據：封裝和發(fā)送到接入點 ? 資源預留：控制協(xié)議在 管理幀中發(fā)送到接入點－信令在控制器完成 ? 身份驗證和密鑰交換 接入點 MAC 功能 ? ：信號發(fā)射，探測響應，身份驗證（如果啟用） ? 控制： 數據包 確認和傳輸（延遲） ? ：幀排序和數據包 優(yōu)先級設置（訪問 RF） ? ：接入點中的加密 輕型接入點和無線局域網控制器之間存在多對一的關系 ―― 單個無線局域網控制器可以管理和操作大量的輕型接入點。另外，無線 局域網控制器可以在一個大型無線網絡中協(xié)調和比較信息 ―― 甚至跨越 WAN。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個網絡的 整體 視圖。 一旦將這項協(xié)議作為標準，并準備好用于 統(tǒng)一 的平臺， WLAN 集中化的真正優(yōu)勢將會變得顯而易見。 集中化和統(tǒng)一 WLAN 的好處 下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。 便于部署 當在企業(yè)中部署自主接入點時，每個接入點都將單獨進行配置。這種配置可以在每個接入點的基礎上進行，也可以通過一個系統(tǒng)級應用或者設備完成。在完成對自主接入點的 配置之后，每個接入點都將可以支持 VLAN，以便劃分不同的用戶群 11 組，為不同的用戶和用戶群組區(qū)分不同的 LAN 策略和服務（例如安全和服務質量[QoS]）。這些 VLAN 可以擴展到網絡的接入層。根據部署的規(guī)模和范圍， VLAN 可以在多臺交換機中進行中繼和擴展。 在向網絡引入基于輕型接入點和無線局域網控制器的集中化時，并不需要在接入層重新劃分子網和設置 VLAN 中繼。相反， VLAN 將以中繼方式連接到一個集中式無線局域網控制器，而控制器則將把用戶和 WLAN 劃分到 VLAN 中。這可以簡化WLAN 的部署和管理。 在使用集中化解 決方案時，一個輕型接入點只需要找出無線局域網控制器的IP 地址 ―― 當部署于第二層模式時。（在部署于一個遠程子網中時，接入點需要IP 地址、子網掩碼和缺省網關信息）。輕型接入點還可以從一個標準的動態(tài)主機配置 協(xié)議（ DHCP）服務器接收無線局域網控制器的 IP 地址。 在輕型接入點聯系無線局域網控制器之后，控制器將會為輕型接入點設定所有RF 策略和無線局域網策略。因為所有來自接入點的數據包都會被置入一個 LWAPP隧道，進而發(fā)送到無線局域網控制器，所以不需要將特殊 VLAN 擴展到各個接入點。 便于升級 較低 的運營成本可以提高一個機構的投資效率。問題是：怎樣實現低成本的運營？ 集中化有助于簡化升級 利用思科統(tǒng)一無線網絡，所有輕型接入點 映像 都會被嵌入到控制器 映像 之中。當控制器 映像 被升級時，它也會升級所有與其關聯的接入點。不需要在一個集中管理基站上采用一個專門的腳本或者創(chuàng)建一個特殊的任務。 思科統(tǒng)一無線網絡的低成本接入點升級的另外一個好處是：輕型接入點和控制器之間的互操作能力已經通過了思科的質量保障團隊的全面測試和認證。 通過動態(tài) RF 管理建立可靠的連接 過去，使用自主接入點的無線網絡通常利用一 個靜態(tài) RF 計劃進行部署，而且每個接入點都以靜態(tài)方式設置它們的信道和功率。這個計劃是根據 RF 預測制定的，即利用計算機對 RF環(huán)境的模擬，結合接入點的天線發(fā)射功率，估計接入點的覆蓋范圍。 RF 預測的目標是以最小的信道重疊，獲得接入點的最優(yōu)覆蓋范圍。但是，因為 RF 預測是在一個不考慮部署后 RF環(huán)境實際發(fā)生情況的計算機上進行的，所以它們只是對實際 RF環(huán)境的估計。 12 例如，在使用 RF 預測時，很難準確地估計來自相鄰網絡、辦公室改建、房門開啟或關閉、微波爐或者其他干擾源的共用信道干擾。 集中化可以提供動態(tài) RF 無線局域網控制 器可以自動獲知同一個網絡中不同輕型接入點之間的信號強度。控制器能利用這些信息，為網絡創(chuàng)建一個動態(tài)優(yōu)化 RF 拓撲。無線局域網控制器可以用一種獨特的方式提供動態(tài) RF。 在一個支持思科 LWAPP 的接入點啟動時，它會立即搜尋網絡中的無線局域網控制器。在其找到一個無線局域網控制器之后，支持 LWAPP 的接入點會發(fā)出加密的“neighbor” （鄰居）消息。這些鄰居消息包括 MAC 地址和任何相鄰接入點的信號強度。在一個無線局域網控制器網絡中，控制器可以利用這些鄰居信息確定接入點在網絡中的相對空間狀態(tài)。控制器隨后會調節(jié)每個接入 點的信道和信號強度，以獲得最佳的覆蓋范圍和網絡容量。 如果網絡中有一個無線局域網控制器集群（例如在單個網絡中部署多個控制器），那么會有一個控制器被選為缺省控制器，所有控制器都會向它們的輕型接入點發(fā)送缺省控制器信息。缺省控制器會關聯網絡中所有接入點的信息，再將最佳信道和功率設置發(fā)送給網絡中的每個接入點。 思科統(tǒng)一無線網絡架構中內置的算法有助于確保網絡不會 “ 抖動 ” ，即發(fā)生沒有必要的變化。這樣做的結果是，建立起一個能夠實時地適應不斷變化的 RF 環(huán)境的動態(tài)無線網絡。 通過用戶負載均衡優(yōu)化每個用戶的 性能 協(xié)議很難預測和保障用戶的性能和吞吐。因為 為每個網絡組件提供了相等的空間訪問能力，所以每個客戶端都可以決定它接下來將漫游到哪個接入點。當客戶端設備進入一個覆蓋區(qū)域時，它們可能會漫游到信號最強的接入點。同樣，每個客戶端設備對 RF 介質的訪問權限與它們所關聯的接入點一樣。因此，所有客戶端的 RF 吞吐都有可能降低 ―― 所有客戶端都可以關聯到同一個接入點。這通常被成為 “ 會議室效應 ” 。 負載均衡可以通過不斷地優(yōu)化用戶關聯關系，為每個客戶端提供最佳的，從而優(yōu)化所有客戶端的吞吐。這可以提高每個客戶 端的吞吐，動態(tài)地均衡網絡的客戶端負載。 集中化有助于均衡用戶負載 思科無線局域網控制器和模塊擁有一個網絡 整體 視圖。通過加密的無線消息，這些控制器可以獲知接入點之間的信號強度。另外，當某個客戶端探測接入點（這是 標準的一部分，即客戶端尋找任何廣播它所尋找的 WLAN 名稱的接入點） 13 時，控制器會收到來自每個收到客戶端探測信號的接入點所發(fā)出的信號?？刂破麟S后將根據客戶端的信號強度和信噪比，決定哪個接入點應當響應客戶端的探測信號。例如，某個相鄰接入點能夠以較低的信號強度提供相同的服務?？刂破鲗⒏鶕尤朦c的信 號強度（ RSSI），決定哪個接入點應當響應客戶端的探測信號。（如圖2 所示） 14 圖 2 無線局域網控制器決定哪個接入點應當響應客戶端的探測信號 訪客聯網 訪客聯網已經從一種奢侈的功能發(fā)展成為了一項業(yè)務必需的功能。訪客聯網讓機構可以在保證無線網絡安全的同時，為客戶、供應商和合作伙伴提供對他們的WLAN 的受控訪問權限。它讓顧問和訪客可以迅速開展合作，加快業(yè)務速度。 今天，問題不再是一個機構是否應當提供訪客聯網功能，而是它打算怎樣提供該功能？如果使用自主接入點部署方式，管理員可以通過將 “ 訪 客 ”VLAN 拓展到網絡中，提供訪客網絡。這些 VLAN 具有不同于普通網絡流量的安全策略。這些VLAN 可能會成為錯誤配置的來源和潛在的安全漏洞。 集中化有助于簡化訪客聯網 在思科統(tǒng)一無線網絡中，每個無線局域網控制器都具有一個美觀的 Web 門戶，讓機構可以根據自己的業(yè)務需要定制 WLAN。例如，網絡管理人員可以將控制器放入 DMZ，充當訪客接口。當在網絡中部署一個訪客無線局域網時，所有來自于訪客WLAN 的流量都會以隧道方式發(fā)送到訪客控制器。與采用自主接入點的無線局域網不同，使用輕型接入點和無線局域網控制器的思科解決方 案不需要對底層 VLAN 架構進行任何改動。 第三層漫游 借助采用輕型接入點的思科統(tǒng)一無線網絡，當第三層漫游被引入網絡時，管理員不需要將 VLAN 拓展到網絡中的所有接入點，就可以保持一個扁平式的無線子 15 網。那些采用自主接入點的網絡則有所不同 ―― 它們通過拓展 VLAN 來實現漫游，因而會產生大范圍的、不便于擴展的廣播域。 通過像思科統(tǒng)一無線網絡這樣在不使用 VLAN 的情況下實現第三層漫游，可以簡化網絡，讓網絡可以方便地支持各種實時應用，例如基于無線網絡的語音和視頻。 集中化有助于支持第三層漫游 利用思科 統(tǒng)一無線網絡，輕型接入點可以被部署到網絡的標準子網基礎設施中，并獲得一個隸屬于它們所在子網的 IP 地址。所有來自于無線客戶端的流量都將被放置到一個通過底層網絡發(fā)送到無線局域網控制器的 LWAPP 數據包中?？蛻舳嗽O備可以從一個連接到控制器的子網獲得它們的 IP地址 ―― 而不是它們所在的樓宇的子網。底層子網基礎設施對于客戶端而言是透明的。控制器可以管理互相之間的所有漫游和隧道通信，以確保不需要移動 IP 等協(xié)議。 嵌入式無線 IDS 安全是網絡管理人員的關注焦點，而無線安全則是安全人員最關注的問題。一個重要 的顧慮是惡意接入點可能會在一個有線或者無線網絡中制造漏洞。通過在網絡中采用一個無線 ID 系統(tǒng)，可以為網絡添加一條額外的防線。無線局域網 IDS 可以降低黑客或者惡意用戶訪問關鍵網絡資源的風險。 集中化有助于支持無線 IDS 思科輕型接入點和無線局域網控制器可以同時充當數據服務設備和 IDS 傳感器。這可以通過 LWAPP 獨有的分離 MAC 架構實現，即有些功能由接入點承擔，另外一些由控制器承擔。 LWAPP 分離 MAC 讓輕型接入點可以在不中斷數據服務的情況下掃描信道。接入點和控制器擁有一個強大的攻擊簽名庫，它可用于檢測無線 威脅 ―― 包括惡意接入點，特殊網絡，或者試圖尋找無線網絡漏洞的惡意人員。輕型接入點可以在它們在工作時使用的信道上檢測攻擊，以及檢測那些工作信道與它們不同的威脅，例如惡意接入點和特殊網絡。 另外，因為思科統(tǒng)一無線網絡輕型接入點和無線局域網控制器都配有 證書，它們可以檢測到偽裝成網絡中某個可靠接入點（充當一個 honeypot*）的未經授權的接入點。 思科統(tǒng)一無線網絡還可以利用其強大的隔離惡意功