【文章內容簡介】 WLAN 系統(tǒng)進行集中的流量處理、驗證、加密和策略實施? 利用一個第二層基礎設施或者 IP 路由網(wǎng)絡，為多供應商接入點互操作性提供一個通用封裝和傳輸機制LWAPP 標準可以通過定義下列規(guī)范實現(xiàn)這些目標：? 接入點設備發(fā)現(xiàn)、信息交換和配置? 接入點認證和軟件控制? 數(shù)據(jù)包封裝、分段和格式化? 接入點和無線控制器之間的通信控制和管理LWAPP 的工作原理LWAPP 將輕型接入點的介質訪問控制（MAC）功能交由無線局域網(wǎng)控制器和輕型接入點共同承擔。對時間敏感的功能（例如次原子握手和發(fā)送給接入點的信標）都在接入點進行管理。其他對網(wǎng)絡具有重要意義的功能（例如移動管理、身份驗證、VLAN 劃分、RF 管理、無線 IDS 和數(shù)據(jù)包轉發(fā)）都在無線局域網(wǎng)控制器進行管理。（如圖 1 所示）圖 1 分離的介質訪問控制功能? 安全策略? QoS 策略無線局域網(wǎng)控制器 控制器 MAC 功能? MAC 管理：10? RF 管理? 移動管理人力分配分離 MAC? 遠程 RF 接口? MAC 層加密LWAPP輕型接入點（重新）關聯(lián)請求和行為框架? 數(shù)據(jù)：封裝和發(fā)送到接入點? 資源預留：控制協(xié)議在 管理幀中發(fā)送到接入點－信令在控制器完成? 身份驗證和密鑰交換接入點 MAC 功能? ：信號發(fā)射，探測響應，身份驗證（如果啟用）? 控制：數(shù)據(jù)包確認和傳輸（延遲）? ：幀排序和數(shù)據(jù)包優(yōu)先級設置（訪問 RF）? ：接入點中的加密輕型接入點和無線局域網(wǎng)控制器之間存在多對一的關系――單個無線局域網(wǎng)控制器可以管理和操作大量的輕型接入點。另外，無線局域網(wǎng)控制器可以在一個大型無線網(wǎng)絡中協(xié)調和比較信息――甚至跨越 WAN。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個網(wǎng)絡的整體視圖。一旦將這項協(xié)議作為標準，并準備好用于統(tǒng)一的平臺，WLAN 集中化的真正優(yōu)勢將會變得顯而易見。 集中化和統(tǒng)一 WLAN 的好處下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。 便于部署當在企業(yè)中部署自主接入點時，每個接入點都將單獨進行配置。這種配置可以在每個接入點的基礎上進行，也可以通過一個系統(tǒng)級應用或者設備完成。在完成對自主接入點的配置之后，每個接入點都將可以支持 VLAN，以便劃分不同的用戶群11組，為不同的用戶和用戶群組區(qū)分不同的 LAN 策略和服務（例如安全和服務質量[QoS]）。這些 VLAN 可以擴展到網(wǎng)絡的接入層。根據(jù)部署的規(guī)模和范圍，VLAN 可以在多臺交換機中進行中繼和擴展。在向網(wǎng)絡引入基于輕型接入點和無線局域網(wǎng)控制器的集中化時，并不需要在接入層重新劃分子網(wǎng)和設置 VLAN 中繼。相反，VLAN 將以中繼方式連接到一個集中式無線局域網(wǎng)控制器，而控制器則將把用戶和 WLAN 劃分到 VLAN 中。這可以簡化WLAN 的部署和管理。在使用集中化解決方案時，一個輕型接入點只需要找出無線局域網(wǎng)控制器的IP 地址――當部署于第二層模式時。（在部署于一個遠程子網(wǎng)中時，接入點需要IP 地址、子網(wǎng)掩碼和缺省網(wǎng)關信息）。輕型接入點還可以從一個標準的動態(tài)主機配置協(xié)議（DHCP）服務器接收無線局域網(wǎng)控制器的 IP 地址。在輕型接入點聯(lián)系無線局域網(wǎng)控制器之后，控制器將會為輕型接入點設定所有RF 策略和無線局域網(wǎng)策略。因為所有來自接入點的數(shù)據(jù)包都會被置入一個 LWAPP隧道，進而發(fā)送到無線局域網(wǎng)控制器，所以不需要將特殊 VLAN 擴展到各個接入點。 便于升級較低的運營成本可以提高一個機構的投資效率。問題是：怎樣實現(xiàn)低成本的運營？集中化有助于簡化升級利用思科統(tǒng)一無線網(wǎng)絡，所有輕型接入點映像都會被嵌入到控制器映像之中。當控制器映像被升級時，它也會升級所有與其關聯(lián)的接入點。不需要在一個集中管理基站上采用一個專門的腳本或者創(chuàng)建一個特殊的任務。思科統(tǒng)一無線網(wǎng)絡的低成本接入點升級的另外一個好處是：輕型接入點和控制器之間的互操作能力已經(jīng)通過了思科的質量保障團隊的全面測試和認證。 通過動態(tài) RF 管理建立可靠的連接過去，使用自主接入點的無線網(wǎng)絡通常利用一個靜態(tài) RF 計劃進行部署，而且每個接入點都以靜態(tài)方式設置它們的信道和功率。這個計劃是根據(jù) RF 預測制定的，即利用計算機對 RF 環(huán)境的模擬，結合接入點的天線發(fā)射功率，估計接入點的覆蓋范圍。RF 預測的目標是以最小的信道重疊，獲得接入點的最優(yōu)覆蓋范圍。但是，因為 RF 預測是在一個不考慮部署后 RF 環(huán)境實際發(fā)生情況的計算機上進行的，所以它們只是對實際 RF 環(huán)境的估計。12例如，在使用 RF 預測時，很難準確地估計來自相鄰網(wǎng)絡、辦公室改建、房門開啟或關閉、微波爐或者其他干擾源的共用信道干擾。集中化可以提供動態(tài) RF無線局域網(wǎng)控制器可以自動獲知同一個網(wǎng)絡中不同輕型接入點之間的信號強度。控制器能利用這些信息，為網(wǎng)絡創(chuàng)建一個動態(tài)優(yōu)化 RF 拓撲。無線局域網(wǎng)控制器可以用一種獨特的方式提供動態(tài) RF。在一個支持思科 LWAPP 的接入點啟動時，它會立即搜尋網(wǎng)絡中的無線局域網(wǎng)控制器。在其找到一個無線局域網(wǎng)控制器之后，支持 LWAPP 的接入點會發(fā)出加密的“neighbor”（鄰居）消息。這些鄰居消息包括 MAC 地址和任何相鄰接入點的信號強度。在一個無線局域網(wǎng)控制器網(wǎng)絡中，控制器可以利用這些鄰居信息確定接入點在網(wǎng)絡中的相對空間狀態(tài)?？刂破麟S后會調節(jié)每個接入點的信道和信號強度，以獲得最佳的覆蓋范圍和網(wǎng)絡容量。如果網(wǎng)絡中有一個無線局域網(wǎng)控制器集群（例如在單個網(wǎng)絡中部署多個控制器），那么會有一個控制器被選為缺省控制器，所有控制器都會向它們的輕型接入點發(fā)送缺省控制器信息。缺省控制器會關聯(lián)網(wǎng)絡中所有接入點的信息，再將最佳信道和功率設置發(fā)送給網(wǎng)絡中的每個接入點。思科統(tǒng)一無線網(wǎng)絡架構中內置的算法有助于確保網(wǎng)絡不會“抖動”，即發(fā)生沒有必要的變化。這樣做的結果是，建立起一個能夠實時地適應不斷變化的 RF 環(huán)境的動態(tài)無線網(wǎng)絡。 通過用戶負載均衡優(yōu)化每個用戶的性能 協(xié)議很難預測和保障用戶的性能和吞吐。因為 為每個網(wǎng)絡組件提供了相等的空間訪問能力，所以每個客戶端都可以決定它接下來將漫游到哪個接入點。當客戶端設備進入一個覆蓋區(qū)域時，它們可能會漫游到信號最強的接入點。同樣，每個客戶端設備對 RF 介質的訪問權限與它們所關聯(lián)的接入點一樣。因此，所有客戶端的 RF 吞吐都有可能降低――所有客戶端都可以關聯(lián)到同一個接入點。這通常被成為“會議室效應”。負載均衡可以通過不斷地優(yōu)化用戶關聯(lián)關系，為每個客戶端提供最佳的，從而優(yōu)化所有客戶端的吞吐。這可以提高每個客戶端的吞吐，動態(tài)地均衡網(wǎng)絡的客戶端負載。集中化有助于均衡用戶負載思科無線局域網(wǎng)控制器和模塊擁有一個網(wǎng)絡整體視圖。通過加密的無線消息，這些控制器可以獲知接入點之間的信號強度。另外，當某個客戶端探測接入點（這是 標準的一部分，即客戶端尋找任何廣播它所尋找的 WLAN 名稱的接入點）13時，控制器會收到來自每個收到客戶端探測信號的接入點所發(fā)出的信號?？刂破麟S后將根據(jù)客戶端的信號強度和信噪比，決定哪個接入點應當響應客戶端的探測信號。例如，某個相鄰接入點能夠以較低的信號強度提供相同的服務?？刂破鲗⒏鶕?jù)接入點的信號強度（RSSI），決定哪個接入點應當響應客戶端的探測信號。（如圖 2 所示）14圖 2 無線局域網(wǎng)控制器決定哪個接入點應當響應客戶端的探測信號 訪客聯(lián)網(wǎng)訪客聯(lián)網(wǎng)已經(jīng)從一種奢侈的功能發(fā)展成為了一項業(yè)務必需的功能。訪客聯(lián)網(wǎng)讓機構可以在保證無線網(wǎng)絡安全的同時，為客戶、供應商和合作伙伴提供對他們的WLAN 的受控訪問權限。它讓顧問和訪客可以迅速開展合作，加快業(yè)務速度。今天，問題不再是一個機構是否應當提供訪客聯(lián)網(wǎng)功能，而是它打算怎樣提供該功能？如果使用自主接入點部署方式，管理員可以通過將“訪客”VLAN 拓展到網(wǎng)絡中，提供訪客網(wǎng)絡。這些 VLAN 具有不同于普通網(wǎng)絡流量的安全策略。這些VLAN 可能會成為錯誤配置的來源和潛在的安全漏洞。集中化有助于簡化訪客聯(lián)網(wǎng)在思科統(tǒng)一無線網(wǎng)絡中，每個無線局域網(wǎng)控制器都具有一個美觀的 Web 門戶，讓機構可以根據(jù)自己的業(yè)務需要定制 WLAN。例如，網(wǎng)絡管理人員可以將控制器放入 DMZ，充當訪客接口。當在網(wǎng)絡中部署一個訪客無線局域網(wǎng)時，所有來自于訪客WLAN 的流量都會以隧道方式發(fā)送到訪客控制器。與采用自主接入點的無線局域網(wǎng)不同，使用輕型接入點和無線局域網(wǎng)控制器的思科解決方案不需要對底層 VLAN 架構進行任何改動。 第三層漫游借助采用輕型接入點的思科統(tǒng)一無線網(wǎng)絡，當?shù)谌龑勇伪灰刖W(wǎng)絡時，管理員不需要將 VLAN 拓展到網(wǎng)絡中的所有接入點，就可以保持一個扁平式的無線子網(wǎng)。15那些采用自主接入點的網(wǎng)絡則有所不同――它們通過拓展 VLAN 來實現(xiàn)漫游，因而會產生大范圍的、不便于擴展的廣播域。通過像思科統(tǒng)一無線網(wǎng)絡這樣在不使用 VLAN 的情況下實現(xiàn)第三層漫游，可以簡化網(wǎng)絡，讓網(wǎng)絡可以方便地支持各種實時應用，例如基于無線網(wǎng)絡的語音和視頻。集中化有助于支持第三層漫游利用思科統(tǒng)一無線網(wǎng)絡，輕型接入點可以被部署到網(wǎng)絡的標準子網(wǎng)基礎設施中，并獲得一個隸屬于它們所在子網(wǎng)的 IP 地址。所有來自于無線客戶端的流量都將被放置到一個通過底層網(wǎng)絡發(fā)送到無線局域網(wǎng)控制器的 LWAPP 數(shù)據(jù)包中?？蛻舳嗽O備可以從一個連接到控制器的子網(wǎng)獲得它們的 IP 地址――而不是它們所在的樓宇的子網(wǎng)。底層子網(wǎng)基礎設施對于客戶端而言是透明的?？刂破骺梢怨芾砘ハ嘀g的所有漫游和隧道通信，以確保不需要移動 IP 等協(xié)議。 嵌入式無線 IDS安全是網(wǎng)絡管理人員的關注焦點，而無線安全則是安全人員最關注的問題。一個重要的顧慮是惡意接入點可能會在一個有線或者無線網(wǎng)絡中制造漏洞。通過在網(wǎng)絡中采用一個無線 ID 系統(tǒng)，可以為網(wǎng)絡添加一條額外的防線。無線局域網(wǎng) IDS 可以降低黑客或者惡意用戶訪問關鍵網(wǎng)絡資源的風險。集中化有助于支持無線 IDS 思科輕型接入點和無線局域網(wǎng)控制器可以同時充當數(shù)據(jù)服務設備和 IDS 傳感器。這可以通過 LWAPP 獨有的分離 MAC 架構實現(xiàn)，即有些功能由接入點承擔，另外一些由控制器承擔。LWAPP 分離 MAC 讓輕型接入點可以在不中斷數(shù)據(jù)服務的情況下掃描信道。接入點和控制器擁有一個強大的攻擊簽名庫，它可用于檢測無線威脅――包括惡意接入點，特殊網(wǎng)絡，或者試圖尋找無線網(wǎng)絡漏洞的惡意人員。輕型接入點可以在它們在工作時使用的信道上檢測攻擊，以及檢測那些工作信道與它們不同的威脅，例如惡意接入點和特殊網(wǎng)絡。另外，因為思科統(tǒng)一無線網(wǎng)絡輕型接入點和無線局域網(wǎng)控制器都配有 證書，它們可以檢測到偽裝成網(wǎng)絡中某個可靠接入點（充當一個 honeypot*）的未經(jīng)授權的接入點。思科統(tǒng)一無線網(wǎng)絡還可以利用其強大的隔離惡意功能，消除因為惡意接入點所導致的威脅。這種功能有助于確?？蛻舳瞬粫c惡意接入點建立關聯(lián)。一種由網(wǎng)絡管理員部署的，用于檢測、制止未經(jīng)授權的網(wǎng)絡訪問的授權接入點。16 定位服務定位服務是下一代無線網(wǎng)絡必須達到的一項要求。定位服務支持同時跟蹤WLAN 基礎設施內部的數(shù)千個 WiFi 設備。這些服務被用于一些關鍵的應用，例如高價值資產跟蹤、IT 管理、安全和業(yè)務策略的執(zhí)行。其他應用包括：? 基于無線局域網(wǎng)的 e911 和語音? 客戶端故障診斷和客戶端位置與客戶端連接問題的關聯(lián)? 資產跟蹤和管理，以跟蹤任何支持 的設備（包括配有 RFID 標簽的資產）? 基于位置的安全無線局域網(wǎng)不僅可以獲知輕型接入點之間的路徑損耗和信號強度，還可以從網(wǎng)絡中的支持 LWAPP 的接入點那里獲得關于客戶端信號強度的信息。思科無線局域網(wǎng)控制器會將收到的客戶端信號強度信息轉發(fā)到思科無線控制系統(tǒng)（WCS）和思科無線定位設備，它們將根據(jù)樓宇材料類型、多路徑和反射等因素，進行高強度的 RF 指紋計算，確定 或者有源 RFID 設備的位置。這些信息將實時提供。LWAPP 是支持定位服務的控制和傳輸協(xié)議。 WLAN 語音WLAN 語音（VoWLAN）不僅可以提供 IP 語音（VoIP）的諸多好處（例如收費旁路），還可以提供移動性。選擇 VoWLAN 功能的管理人員都希望通過用他們的 數(shù)據(jù)網(wǎng)絡承擔語音功能，降低或者消除辦公樓內移動電話使用成本。集中化有助于支持高性能 VoWLAN對于自主解決方案而言，基于 的語音采用了與普通數(shù)據(jù)流量相同的底層協(xié)議，并通過在接入點和一個語音終端之間運行 ，提供了一些額外的功能。不幸的是，工作在相同信道的自主接入點無法協(xié)調它們的呼叫準入控制（CAC）功能。而且，所有能夠接收到工作在相同信道的其他設備信號的設備都會受到共用信道干擾，而自主接入點并不能方便地解決這個問題。利用思科統(tǒng)一無線網(wǎng)絡，無線局域網(wǎng)控制器可以為網(wǎng)絡提供可預測的 CAC。在這種統(tǒng)一網(wǎng)絡中，控制器擁有網(wǎng)絡中所有客戶端的整體視圖，以及同一信道中所有接入點之間的總呼叫容量。這種功能有助于確保當一個 VoWLAN 呼叫獲準進入思科統(tǒng)一無線網(wǎng)絡時，所有接入點可以提供足夠的語音容量。這樣，可以為網(wǎng)絡提供更加可預測、更加可靠的語音性能。 降低總擁有成本較低的總擁有成本（TCO）讓機構可以在不增加額外人手的情況下部署解決方案，從而降低網(wǎng)絡部署和維護所造成的負擔。這有助于改善機構的經(jīng)營狀況。對于17自主接入點部署方式，時間主要被用于安裝和初始化接入點，重新設置接入點，以及升級接入點。在一個包含 100 個接入點的自主接入點網(wǎng)絡中，如果一年為每個自主接入點花費 30 分鐘，就相當