【文章內(nèi)容簡介】 P 是一項由思科系統(tǒng)公司擬定的互聯(lián)網(wǎng)工程任務(wù)小組（IETF）標(biāo)準(zhǔn)草案，實現(xiàn)了輕型接入點(diǎn)和 WLAN 系統(tǒng)（例如控制器、交換機(jī)和路由器）之間的通信協(xié)議的標(biāo)準(zhǔn)化。它的目標(biāo)包括：? 減輕接入點(diǎn)中的處理量，讓它們將計算資源集中用于無線接入，而不是過濾和策略實施? 為整個 WLAN 系統(tǒng)進(jìn)行集中的流量處理、驗證、加密和策略實施? 利用一個第二層基礎(chǔ)設(shè)施或者 IP 路由網(wǎng)絡(luò)，為多供應(yīng)商接入點(diǎn)互操作性提供一個通用封裝和傳輸機(jī)制LWAPP 標(biāo)準(zhǔn)可以通過定義下列規(guī)范實現(xiàn)這些目標(biāo)：? 接入點(diǎn)設(shè)備發(fā)現(xiàn)、信息交換和配置? 接入點(diǎn)認(rèn)證和軟件控制? 數(shù)據(jù)包封裝、分段和格式化? 接入點(diǎn)和無線控制器之間的通信控制和管理LWAPP 的工作原理LWAPP 將輕型接入點(diǎn)的介質(zhì)訪問控制（MAC）功能交由無線局域網(wǎng)控制器和輕型接入點(diǎn)共同承擔(dān)。對時間敏感的功能（例如次原子握手和發(fā)送給接入點(diǎn)的信標(biāo)）都在接入點(diǎn)進(jìn)行管理。其他對網(wǎng)絡(luò)具有重要意義的功能（例如移動管理、身份驗證、VLAN 劃分、RF 管理、無線 IDS 和數(shù)據(jù)包轉(zhuǎn)發(fā)）都在無線局域網(wǎng)控制器進(jìn)行管理。（如圖 1 所示）圖 1 分離的介質(zhì)訪問控制功能? 安全策略? QoS 策略無線局域網(wǎng)控制器 控制器 MAC 功能? MAC 管理：無線網(wǎng)絡(luò)升級改造設(shè)計方案11? RF 管理? 移動管理人力分配分離 MAC? 遠(yuǎn)程 RF 接口? MAC 層加密LWAPP輕型接入點(diǎn)（重新）關(guān)聯(lián)請求和行為框架? 數(shù)據(jù)：封裝和發(fā)送到接入點(diǎn)? 資源預(yù)留：控制協(xié)議在 管理幀中發(fā)送到接入點(diǎn)－信令在控制器完成? 身份驗證和密鑰交換接入點(diǎn) MAC 功能? ：信號發(fā)射，探測響應(yīng)，身份驗證（如果啟用）? 控制：數(shù)據(jù)包確認(rèn)和傳輸（延遲）? ：幀排序和數(shù)據(jù)包優(yōu)先級設(shè)置（訪問 RF）? ：接入點(diǎn)中的加密輕型接入點(diǎn)和無線局域網(wǎng)控制器之間存在多對一的關(guān)系――單個無線局域網(wǎng)控制器可以管理和操作大量的輕型接入點(diǎn)。另外，無線局域網(wǎng)控制器可以在一個大型無線網(wǎng)絡(luò)中協(xié)調(diào)和比較信息――甚至跨越 WAN。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個網(wǎng)絡(luò)的整體視圖。一旦將這項協(xié)議作為標(biāo)準(zhǔn)，并準(zhǔn)備好用于統(tǒng)一的平臺，WLAN 集中化的真正優(yōu)勢將會變得顯而易見。 集中化和統(tǒng)一 WLAN 的好處下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。 便于部署當(dāng)在企業(yè)中部署自主接入點(diǎn)時，每個接入點(diǎn)都將單獨(dú)進(jìn)行配置。這種配置可以在每個接入點(diǎn)的基礎(chǔ)上進(jìn)行，也可以通過一個系統(tǒng)級應(yīng)用或者設(shè)備完成。在完成對自主接入點(diǎn)的配置之后，每個接入點(diǎn)都將可以支持 VLAN，以便劃分不同的用戶群無線網(wǎng)絡(luò)升級改造設(shè)計方案12組，為不同的用戶和用戶群組區(qū)分不同的 LAN 策略和服務(wù)（例如安全和服務(wù)質(zhì)量[QoS]）。這些 VLAN 可以擴(kuò)展到網(wǎng)絡(luò)的接入層。根據(jù)部署的規(guī)模和范圍，VLAN 可以在多臺交換機(jī)中進(jìn)行中繼和擴(kuò)展。在向網(wǎng)絡(luò)引入基于輕型接入點(diǎn)和無線局域網(wǎng)控制器的集中化時，并不需要在接入層重新劃分子網(wǎng)和設(shè)置 VLAN 中繼。相反，VLAN 將以中繼方式連接到一個集中式無線局域網(wǎng)控制器，而控制器則將把用戶和 WLAN 劃分到 VLAN 中。這可以簡化WLAN 的部署和管理。在使用集中化解決方案時，一個輕型接入點(diǎn)只需要找出無線局域網(wǎng)控制器的IP 地址――當(dāng)部署于第二層模式時。（在部署于一個遠(yuǎn)程子網(wǎng)中時，接入點(diǎn)需要IP 地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)信息）。輕型接入點(diǎn)還可以從一個標(biāo)準(zhǔn)的動態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器接收無線局域網(wǎng)控制器的 IP 地址。在輕型接入點(diǎn)聯(lián)系無線局域網(wǎng)控制器之后，控制器將會為輕型接入點(diǎn)設(shè)定所有RF 策略和無線局域網(wǎng)策略。因為所有來自接入點(diǎn)的數(shù)據(jù)包都會被置入一個 LWAPP隧道，進(jìn)而發(fā)送到無線局域網(wǎng)控制器，所以不需要將特殊 VLAN 擴(kuò)展到各個接入點(diǎn)。 便于升級較低的運(yùn)營成本可以提高一個機(jī)構(gòu)的投資效率。問題是：怎樣實現(xiàn)低成本的運(yùn)營？集中化有助于簡化升級利用思科統(tǒng)一無線網(wǎng)絡(luò)，所有輕型接入點(diǎn)映像都會被嵌入到控制器映像之中。當(dāng)控制器映像被升級時，它也會升級所有與其關(guān)聯(lián)的接入點(diǎn)。不需要在一個集中管理基站上采用一個專門的腳本或者創(chuàng)建一個特殊的任務(wù)。思科統(tǒng)一無線網(wǎng)絡(luò)的低成本接入點(diǎn)升級的另外一個好處是：輕型接入點(diǎn)和控制器之間的互操作能力已經(jīng)通過了思科的質(zhì)量保障團(tuán)隊的全面測試和認(rèn)證。 通過動態(tài) RF 管理建立可靠的連接過去，使用自主接入點(diǎn)的無線網(wǎng)絡(luò)通常利用一個靜態(tài) RF 計劃進(jìn)行部署，而且每個接入點(diǎn)都以靜態(tài)方式設(shè)置它們的信道和功率。這個計劃是根據(jù) RF 預(yù)測制定的，即利用計算機(jī)對 RF 環(huán)境的模擬，結(jié)合接入點(diǎn)的天線發(fā)射功率，估計接入點(diǎn)的覆蓋范圍。RF 預(yù)測的目標(biāo)是以最小的信道重疊，獲得接入點(diǎn)的最優(yōu)覆蓋范圍。但是，因為 RF 預(yù)測是在一個不考慮部署后 RF 環(huán)境實際發(fā)生情況的計算機(jī)上進(jìn)行的，所以它們只是對實際 RF 環(huán)境的估計。無線網(wǎng)絡(luò)升級改造設(shè)計方案13例如，在使用 RF 預(yù)測時，很難準(zhǔn)確地估計來自相鄰網(wǎng)絡(luò)、辦公室改建、房門開啟或關(guān)閉、微波爐或者其他干擾源的共用信道干擾。集中化可以提供動態(tài) RF無線局域網(wǎng)控制器可以自動獲知同一個網(wǎng)絡(luò)中不同輕型接入點(diǎn)之間的信號強(qiáng)度?？刂破髂芾眠@些信息，為網(wǎng)絡(luò)創(chuàng)建一個動態(tài)優(yōu)化 RF 拓?fù)?。無線局域網(wǎng)控制器可以用一種獨(dú)特的方式提供動態(tài) RF。在一個支持思科 LWAPP 的接入點(diǎn)啟動時，它會立即搜尋網(wǎng)絡(luò)中的無線局域網(wǎng)控制器。在其找到一個無線局域網(wǎng)控制器之后，支持 LWAPP 的接入點(diǎn)會發(fā)出加密的“neighbor”（鄰居）消息。這些鄰居消息包括 MAC 地址和任何相鄰接入點(diǎn)的信號強(qiáng)度。在一個無線局域網(wǎng)控制器網(wǎng)絡(luò)中，控制器可以利用這些鄰居信息確定接入點(diǎn)在網(wǎng)絡(luò)中的相對空間狀態(tài)?？刂破麟S后會調(diào)節(jié)每個接入點(diǎn)的信道和信號強(qiáng)度，以獲得最佳的覆蓋范圍和網(wǎng)絡(luò)容量。如果網(wǎng)絡(luò)中有一個無線局域網(wǎng)控制器集群（例如在單個網(wǎng)絡(luò)中部署多個控制器），那么會有一個控制器被選為缺省控制器，所有控制器都會向它們的輕型接入點(diǎn)發(fā)送缺省控制器信息。缺省控制器會關(guān)聯(lián)網(wǎng)絡(luò)中所有接入點(diǎn)的信息，再將最佳信道和功率設(shè)置發(fā)送給網(wǎng)絡(luò)中的每個接入點(diǎn)。思科統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)中內(nèi)置的算法有助于確保網(wǎng)絡(luò)不會“抖動”，即發(fā)生沒有必要的變化。這樣做的結(jié)果是，建立起一個能夠?qū)崟r地適應(yīng)不斷變化的 RF 環(huán)境的動態(tài)無線網(wǎng)絡(luò)。 通過用戶負(fù)載均衡優(yōu)化每個用戶的性能 協(xié)議很難預(yù)測和保障用戶的性能和吞吐。因為 為每個網(wǎng)絡(luò)組件提供了相等的空間訪問能力，所以每個客戶端都可以決定它接下來將漫游到哪個接入點(diǎn)。當(dāng)客戶端設(shè)備進(jìn)入一個覆蓋區(qū)域時，它們可能會漫游到信號最強(qiáng)的接入點(diǎn)。同樣，每個客戶端設(shè)備對 RF 介質(zhì)的訪問權(quán)限與它們所關(guān)聯(lián)的接入點(diǎn)一樣。因此，所有客戶端的 RF 吞吐都有可能降低――所有客戶端都可以關(guān)聯(lián)到同一個接入點(diǎn)。這通常被成為“會議室效應(yīng)”。負(fù)載均衡可以通過不斷地優(yōu)化用戶關(guān)聯(lián)關(guān)系，為每個客戶端提供最佳的，從而優(yōu)化所有客戶端的吞吐。這可以提高每個客戶端的吞吐，動態(tài)地均衡網(wǎng)絡(luò)的客戶端負(fù)載。集中化有助于均衡用戶負(fù)載思科無線局域網(wǎng)控制器和模塊擁有一個網(wǎng)絡(luò)整體視圖。通過加密的無線消息，這些控制器可以獲知接入點(diǎn)之間的信號強(qiáng)度。另外，當(dāng)某個客戶端探測接入點(diǎn)（這是 標(biāo)準(zhǔn)的一部分，即客戶端尋找任何廣播它所尋找的 WLAN 名稱的接入點(diǎn)）無線網(wǎng)絡(luò)升級改造設(shè)計方案14時，控制器會收到來自每個收到客戶端探測信號的接入點(diǎn)所發(fā)出的信號?？刂破麟S后將根據(jù)客戶端的信號強(qiáng)度和信噪比，決定哪個接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶端的探測信號。例如，某個相鄰接入點(diǎn)能夠以較低的信號強(qiáng)度提供相同的服務(wù)?？刂破鲗⒏鶕?jù)接入點(diǎn)的信號強(qiáng)度（RSSI），決定哪個接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶端的探測信號。（如圖 2 所示）無線網(wǎng)絡(luò)升級改造設(shè)計方案15圖 2 無線局域網(wǎng)控制器決定哪個接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶端的探測信號 訪客聯(lián)網(wǎng)訪客聯(lián)網(wǎng)已經(jīng)從一種奢侈的功能發(fā)展成為了一項業(yè)務(wù)必需的功能。訪客聯(lián)網(wǎng)讓機(jī)構(gòu)可以在保證無線網(wǎng)絡(luò)安全的同時，為客戶、供應(yīng)商和合作伙伴提供對他們的WLAN 的受控訪問權(quán)限。它讓顧問和訪客可以迅速開展合作，加快業(yè)務(wù)速度。今天，問題不再是一個機(jī)構(gòu)是否應(yīng)當(dāng)提供訪客聯(lián)網(wǎng)功能，而是它打算怎樣提供該功能？如果使用自主接入點(diǎn)部署方式，管理員可以通過將“訪客”VLAN 拓展到網(wǎng)絡(luò)中，提供訪客網(wǎng)絡(luò)。這些 VLAN 具有不同于普通網(wǎng)絡(luò)流量的安全策略。這些VLAN 可能會成為錯誤配置的來源和潛在的安全漏洞。集中化有助于簡化訪客聯(lián)網(wǎng)在思科統(tǒng)一無線網(wǎng)絡(luò)中，每個無線局域網(wǎng)控制器都具有一個美觀的 Web 門戶，讓機(jī)構(gòu)可以根據(jù)自己的業(yè)務(wù)需要定制 WLAN。例如，網(wǎng)絡(luò)管理人員可以將控制器放入 DMZ，充當(dāng)訪客接口。當(dāng)在網(wǎng)絡(luò)中部署一個訪客無線局域網(wǎng)時，所有來自于訪客WLAN 的流量都會以隧道方式發(fā)送到訪客控制器。與采用自主接入點(diǎn)的無線局域網(wǎng)不同，使用輕型接入點(diǎn)和無線局域網(wǎng)控制器的思科解決方案不需要對底層 VLAN 架構(gòu)進(jìn)行任何改動。 第三層漫游借助采用輕型接入點(diǎn)的思科統(tǒng)一無線網(wǎng)絡(luò)，當(dāng)?shù)谌龑勇伪灰刖W(wǎng)絡(luò)時，管理員不需要將 VLAN 拓展到網(wǎng)絡(luò)中的所有接入點(diǎn)，就可以保持一個扁平式的無線子網(wǎng)。無線網(wǎng)絡(luò)升級改造設(shè)計方案16那些采用自主接入點(diǎn)的網(wǎng)絡(luò)則有所不同――它們通過拓展 VLAN 來實現(xiàn)漫游，因而會產(chǎn)生大范圍的、不便于擴(kuò)展的廣播域。通過像思科統(tǒng)一無線網(wǎng)絡(luò)這樣在不使用 VLAN 的情況下實現(xiàn)第三層漫游，可以簡化網(wǎng)絡(luò)，讓網(wǎng)絡(luò)可以方便地支持各種實時應(yīng)用，例如基于無線網(wǎng)絡(luò)的語音和視頻。集中化有助于支持第三層漫游利用思科統(tǒng)一無線網(wǎng)絡(luò)，輕型接入點(diǎn)可以被部署到網(wǎng)絡(luò)的標(biāo)準(zhǔn)子網(wǎng)基礎(chǔ)設(shè)施中，并獲得一個隸屬于它們所在子網(wǎng)的 IP 地址。所有來自于無線客戶端的流量都將被放置到一個通過底層網(wǎng)絡(luò)發(fā)送到無線局域網(wǎng)控制器的 LWAPP 數(shù)據(jù)包中?？蛻舳嗽O(shè)備可以從一個連接到控制器的子網(wǎng)獲得它們的 IP 地址――而不是它們所在的樓宇的子網(wǎng)。底層子網(wǎng)基礎(chǔ)設(shè)施對于客戶端而言是透明的?？刂破骺梢怨芾砘ハ嘀g的所有漫游和隧道通信，以確保不需要移動 IP 等協(xié)議。 嵌入式無線 IDS安全是網(wǎng)絡(luò)管理人員的關(guān)注焦點(diǎn)，而無線安全則是安全人員最關(guān)注的問題。一個重要的顧慮是惡意接入點(diǎn)可能會在一個有線或者無線網(wǎng)絡(luò)中制造漏洞。通過在網(wǎng)絡(luò)中采用一個無線 ID 系統(tǒng)，可以為網(wǎng)絡(luò)添加一條額外的防線。無線局域網(wǎng) IDS 可以降低黑客或者惡意用戶訪問關(guān)鍵網(wǎng)絡(luò)資源的風(fēng)險。集中化有助于支持無線 IDS 思科輕型接入點(diǎn)和無線局域網(wǎng)控制器可以同時充當(dāng)數(shù)據(jù)服務(wù)設(shè)備和 IDS 傳感器。這可以通過 LWAPP 獨(dú)有的分離 MAC 架構(gòu)實現(xiàn)，即有些功能由接入點(diǎn)承擔(dān)，另外一些由控制器承擔(dān)。LWAPP 分離 MAC 讓輕型接入點(diǎn)可以在不中斷數(shù)據(jù)服務(wù)的情況下掃描信道。接入點(diǎn)和控制器擁有一個強(qiáng)大的攻擊簽名庫，它可用于檢測無線威脅――包括惡意接入點(diǎn)，特殊網(wǎng)絡(luò)，或者試圖尋找無線網(wǎng)絡(luò)漏洞的惡意人員。輕型接入點(diǎn)可以在它們在工作時使用的信道上檢測攻擊，以及檢測那些工作信道與它們不同的威脅，例如惡意接入點(diǎn)和特殊網(wǎng)絡(luò)。另外，因為思科統(tǒng)一無線網(wǎng)絡(luò)輕型接入點(diǎn)和無線局域網(wǎng)控制器都配有 證書，它們可以檢測到偽裝成網(wǎng)絡(luò)中某個可靠接入點(diǎn)（充當(dāng)一個 honeypot*）的未經(jīng)授權(quán)的接入點(diǎn)。思科統(tǒng)一無線網(wǎng)絡(luò)還可以利用其強(qiáng)大的隔離惡意功能，消除因為惡意接入點(diǎn)所導(dǎo)致的威脅。這種功能有助于確保客戶端不會與惡意接入點(diǎn)建立關(guān)聯(lián)。一種由網(wǎng)絡(luò)管理員部署的，用于檢測、制止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問的授權(quán)接入點(diǎn)。無線網(wǎng)絡(luò)升級改造設(shè)計方案17 定位服務(wù)定位服務(wù)是下一代無線網(wǎng)絡(luò)必須達(dá)到的一項要求。定位服務(wù)支持同時跟蹤WLAN 基礎(chǔ)設(shè)施內(nèi)部的數(shù)千個 WiFi 設(shè)備。這些服務(wù)被用于一些關(guān)鍵的應(yīng)用，例如高價值資產(chǎn)跟蹤、IT 管理、安全和業(yè)務(wù)策略的執(zhí)行。其他應(yīng)用包括：? 基于無線局域網(wǎng)的 e911 和語音? 客戶端故障診斷和客戶端位置與客戶端連接問題的關(guān)聯(lián)? 資產(chǎn)跟蹤和管理，以跟蹤任何支持 的設(shè)備（包括配有 RFID 標(biāo)簽的資產(chǎn)）? 基于位置的安全無線局域網(wǎng)不僅可以獲知輕型接入點(diǎn)之間的路徑損耗和信號強(qiáng)度，還可以從網(wǎng)絡(luò)中的支持 LWAPP 的接入點(diǎn)那里獲得關(guān)于客戶端信號強(qiáng)度的信息。思科無線局域網(wǎng)控制器會將收到的客戶端信號強(qiáng)度信息轉(zhuǎn)發(fā)到思科無線控制系統(tǒng)（WCS）和思科無線定位設(shè)備，它們將根據(jù)樓宇材料類型、多路徑和反射等因素，進(jìn)行高強(qiáng)度的 RF 指紋計算，確定 或者有源 RFID 設(shè)備的位置。這些信息將實時提供。LWAPP 是支持定位服務(wù)的控制和傳輸協(xié)議。 WLAN 語音WLAN 語音（VoWLAN）不僅可以提供 IP 語音（VoIP）的諸多好處（例如收費(fèi)旁路），還可以提供移動性。選擇 VoWLAN 功能的管理人員都希望通過用他們的 數(shù)據(jù)網(wǎng)絡(luò)承擔(dān)語音功能，降低或者消除辦公樓內(nèi)移動電話使用成本。集中化有助于支持高性能 VoWLAN對于自主解決方案而言，基于 的語音采用了與普通數(shù)據(jù)流量相同的底層協(xié)議，并通過在接入點(diǎn)和一個語音終端之間運(yùn)行 ，提供了一些額外的功能。不幸的是，工作在相同信道的自主接入點(diǎn)無法協(xié)調(diào)它們的呼叫準(zhǔn)入控制（CAC）功能。而且，所有能夠接收到工作在相同信道的其他設(shè)備信號的設(shè)備都會受到共用信道干擾，而自主接入點(diǎn)并不能方便地解決這個問題。利用思科統(tǒng)一無線網(wǎng)絡(luò)，無線局域網(wǎng)控制器可以為網(wǎng)絡(luò)提供可預(yù)測的 CAC。在這種統(tǒng)一網(wǎng)絡(luò)中，控制器擁有網(wǎng)絡(luò)中所有客戶端的整體視圖，以及同一信道中所有接入點(diǎn)之間的總呼叫容量。這種功能有助于確保當(dāng)一個 VoWLAN 呼叫獲準(zhǔn)進(jìn)入思科統(tǒng)一