【文章內(nèi)容簡介】 WLAN 系統(tǒng)進行集中的流量處理、驗證、加密和策略實施? 利用一個第二層基礎(chǔ)設(shè)施或者 IP 路由網(wǎng)絡(luò)，為多供應(yīng)商接入點互操作性提供一個通用封裝和傳輸機制LWAPP 標(biāo)準(zhǔn)可以通過定義下列規(guī)范實現(xiàn)這些目標(biāo)：? 接入點設(shè)備發(fā)現(xiàn)、信息交換和配置? 接入點認證和軟件控制? 數(shù)據(jù)包封裝、分段和格式化? 接入點和無線控制器之間的通信控制和管理LWAPP 的工作原理LWAPP 將輕型接入點的介質(zhì)訪問控制（MAC）功能交由無線局域網(wǎng)控制器和輕型接入點共同承擔(dān)。對時間敏感的功能（例如次原子握手和發(fā)送給接入點的信標(biāo)）都在接入點進行管理。其他對網(wǎng)絡(luò)具有重要意義的功能（例如移動管理、身份驗證、VLAN 劃分、RF 管理、無線 IDS 和數(shù)據(jù)包轉(zhuǎn)發(fā)）都在無線局域網(wǎng)控制器進行管理。（如圖 1 所示）圖 1 分離的介質(zhì)訪問控制功能? 安全策略? QoS 策略無線局域網(wǎng)控制器 控制器 MAC 功能? MAC 管理：10? RF 管理? 移動管理人力分配分離 MAC? 遠程 RF 接口? MAC 層加密LWAPP輕型接入點（重新）關(guān)聯(lián)請求和行為框架? 數(shù)據(jù)：封裝和發(fā)送到接入點? 資源預(yù)留：控制協(xié)議在 管理幀中發(fā)送到接入點－信令在控制器完成? 身份驗證和密鑰交換接入點 MAC 功能? ：信號發(fā)射，探測響應(yīng)，身份驗證（如果啟用）? 控制：數(shù)據(jù)包確認和傳輸（延遲）? ：幀排序和數(shù)據(jù)包優(yōu)先級設(shè)置（訪問 RF）? ：接入點中的加密輕型接入點和無線局域網(wǎng)控制器之間存在多對一的關(guān)系――單個無線局域網(wǎng)控制器可以管理和操作大量的輕型接入點。另外，無線局域網(wǎng)控制器可以在一個大型無線網(wǎng)絡(luò)中協(xié)調(diào)和比較信息――甚至跨越 WAN。就像衛(wèi)星擁有廣闊空間的完整視圖一樣，控制器也擁有整個網(wǎng)絡(luò)的整體視圖。一旦將這項協(xié)議作為標(biāo)準(zhǔn)，并準(zhǔn)備好用于統(tǒng)一的平臺，WLAN 集中化的真正優(yōu)勢將會變得顯而易見。 集中化和統(tǒng)一 WLAN 的好處下面列出了 WLAN 集中化和統(tǒng)一 WLAN 所具有的很多好處。 便于部署當(dāng)在企業(yè)中部署自主接入點時，每個接入點都將單獨進行配置。這種配置可以在每個接入點的基礎(chǔ)上進行，也可以通過一個系統(tǒng)級應(yīng)用或者設(shè)備完成。在完成對自主接入點的配置之后，每個接入點都將可以支持 VLAN，以便劃分不同的用戶群11組，為不同的用戶和用戶群組區(qū)分不同的 LAN 策略和服務(wù)（例如安全和服務(wù)質(zhì)量[QoS]）。這些 VLAN 可以擴展到網(wǎng)絡(luò)的接入層。根據(jù)部署的規(guī)模和范圍，VLAN 可以在多臺交換機中進行中繼和擴展。在向網(wǎng)絡(luò)引入基于輕型接入點和無線局域網(wǎng)控制器的集中化時，并不需要在接入層重新劃分子網(wǎng)和設(shè)置 VLAN 中繼。相反，VLAN 將以中繼方式連接到一個集中式無線局域網(wǎng)控制器，而控制器則將把用戶和 WLAN 劃分到 VLAN 中。這可以簡化WLAN 的部署和管理。在使用集中化解決方案時，一個輕型接入點只需要找出無線局域網(wǎng)控制器的IP 地址――當(dāng)部署于第二層模式時。（在部署于一個遠程子網(wǎng)中時，接入點需要IP 地址、子網(wǎng)掩碼和缺省網(wǎng)關(guān)信息）。輕型接入點還可以從一個標(biāo)準(zhǔn)的動態(tài)主機配置協(xié)議（DHCP）服務(wù)器接收無線局域網(wǎng)控制器的 IP 地址。在輕型接入點聯(lián)系無線局域網(wǎng)控制器之后，控制器將會為輕型接入點設(shè)定所有RF 策略和無線局域網(wǎng)策略。因為所有來自接入點的數(shù)據(jù)包都會被置入一個 LWAPP隧道，進而發(fā)送到無線局域網(wǎng)控制器，所以不需要將特殊 VLAN 擴展到各個接入點。 便于升級較低的運營成本可以提高一個機構(gòu)的投資效率。問題是：怎樣實現(xiàn)低成本的運營？集中化有助于簡化升級利用思科統(tǒng)一無線網(wǎng)絡(luò)，所有輕型接入點映像都會被嵌入到控制器映像之中。當(dāng)控制器映像被升級時，它也會升級所有與其關(guān)聯(lián)的接入點。不需要在一個集中管理基站上采用一個專門的腳本或者創(chuàng)建一個特殊的任務(wù)。思科統(tǒng)一無線網(wǎng)絡(luò)的低成本接入點升級的另外一個好處是：輕型接入點和控制器之間的互操作能力已經(jīng)通過了思科的質(zhì)量保障團隊的全面測試和認證。 通過動態(tài) RF 管理建立可靠的連接過去，使用自主接入點的無線網(wǎng)絡(luò)通常利用一個靜態(tài) RF 計劃進行部署，而且每個接入點都以靜態(tài)方式設(shè)置它們的信道和功率。這個計劃是根據(jù) RF 預(yù)測制定的，即利用計算機對 RF 環(huán)境的模擬，結(jié)合接入點的天線發(fā)射功率，估計接入點的覆蓋范圍。RF 預(yù)測的目標(biāo)是以最小的信道重疊，獲得接入點的最優(yōu)覆蓋范圍。但是，因為 RF 預(yù)測是在一個不考慮部署后 RF 環(huán)境實際發(fā)生情況的計算機上進行的，所以它們只是對實際 RF 環(huán)境的估計。12例如，在使用 RF 預(yù)測時，很難準(zhǔn)確地估計來自相鄰網(wǎng)絡(luò)、辦公室改建、房門開啟或關(guān)閉、微波爐或者其他干擾源的共用信道干擾。集中化可以提供動態(tài) RF無線局域網(wǎng)控制器可以自動獲知同一個網(wǎng)絡(luò)中不同輕型接入點之間的信號強度?？刂破髂芾眠@些信息，為網(wǎng)絡(luò)創(chuàng)建一個動態(tài)優(yōu)化 RF 拓撲。無線局域網(wǎng)控制器可以用一種獨特的方式提供動態(tài) RF。在一個支持思科 LWAPP 的接入點啟動時，它會立即搜尋網(wǎng)絡(luò)中的無線局域網(wǎng)控制器。在其找到一個無線局域網(wǎng)控制器之后，支持 LWAPP 的接入點會發(fā)出加密的“neighbor”（鄰居）消息。這些鄰居消息包括 MAC 地址和任何相鄰接入點的信號強度。在一個無線局域網(wǎng)控制器網(wǎng)絡(luò)中，控制器可以利用這些鄰居信息確定接入點在網(wǎng)絡(luò)中的相對空間狀態(tài)?？刂破麟S后會調(diào)節(jié)每個接入點的信道和信號強度，以獲得最佳的覆蓋范圍和網(wǎng)絡(luò)容量。如果網(wǎng)絡(luò)中有一個無線局域網(wǎng)控制器集群（例如在單個網(wǎng)絡(luò)中部署多個控制器），那么會有一個控制器被選為缺省控制器，所有控制器都會向它們的輕型接入點發(fā)送缺省控制器信息。缺省控制器會關(guān)聯(lián)網(wǎng)絡(luò)中所有接入點的信息，再將最佳信道和功率設(shè)置發(fā)送給網(wǎng)絡(luò)中的每個接入點。思科統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)中內(nèi)置的算法有助于確保網(wǎng)絡(luò)不會“抖動”，即發(fā)生沒有必要的變化。這樣做的結(jié)果是，建立起一個能夠?qū)崟r地適應(yīng)不斷變化的 RF 環(huán)境的動態(tài)無線網(wǎng)絡(luò)。 通過用戶負載均衡優(yōu)化每個用戶的性能 協(xié)議很難預(yù)測和保障用戶的性能和吞吐。因為 為每個網(wǎng)絡(luò)組件提供了相等的空間訪問能力，所以每個客戶端都可以決定它接下來將漫游到哪個接入點。當(dāng)客戶端設(shè)備進入一個覆蓋區(qū)域時，它們可能會漫游到信號最強的接入點。同樣，每個客戶端設(shè)備對 RF 介質(zhì)的訪問權(quán)限與它們所關(guān)聯(lián)的接入點一樣。因此，所有客戶端的 RF 吞吐都有可能降低――所有客戶端都可以關(guān)聯(lián)到同一個接入點。這通常被成為“會議室效應(yīng)”。負載均衡可以通過不斷地優(yōu)化用戶關(guān)聯(lián)關(guān)系，為每個客戶端提供最佳的，從而優(yōu)化所有客戶端的吞吐。這可以提高每個客戶端的吞吐，動態(tài)地均衡網(wǎng)絡(luò)的客戶端負載。集中化有助于均衡用戶負載思科無線局域網(wǎng)控制器和模塊擁有一個網(wǎng)絡(luò)整體視圖。通過加密的無線消息，這些控制器可以獲知接入點之間的信號強度。另外，當(dāng)某個客戶端探測接入點（這是 標(biāo)準(zhǔn)的一部分，即客戶端尋找任何廣播它所尋找的 WLAN 名稱的接入點）13時，控制器會收到來自每個收到客戶端探測信號的接入點所發(fā)出的信號?？刂破麟S后將根據(jù)客戶端的信號強度和信噪比，決定哪個接入點應(yīng)當(dāng)響應(yīng)客戶端的探測信號。例如，某個相鄰接入點能夠以較低的信號強度提供相同的服務(wù)?？刂破鲗⒏鶕?jù)接入點的信號強度（RSSI），決定哪個接入點應(yīng)當(dāng)響應(yīng)客戶端的探測信號。（如圖 2 所示）14圖 2 無線局域網(wǎng)控制器決定哪個接入點應(yīng)當(dāng)響應(yīng)客戶端的探測信號 訪客聯(lián)網(wǎng)訪客聯(lián)網(wǎng)已經(jīng)從一種奢侈的功能發(fā)展成為了一項業(yè)務(wù)必需的功能。訪客聯(lián)網(wǎng)讓機構(gòu)可以在保證無線網(wǎng)絡(luò)安全的同時，為客戶、供應(yīng)商和合作伙伴提供對他們的WLAN 的受控訪問權(quán)限。它讓顧問和訪客可以迅速開展合作，加快業(yè)務(wù)速度。今天，問題不再是一個機構(gòu)是否應(yīng)當(dāng)提供訪客聯(lián)網(wǎng)功能，而是它打算怎樣提供該功能？如果使用自主接入點部署方式，管理員可以通過將“訪客”VLAN 拓展到網(wǎng)絡(luò)中，提供訪客網(wǎng)絡(luò)。這些 VLAN 具有不同于普通網(wǎng)絡(luò)流量的安全策略。這些VLAN 可能會成為錯誤配置的來源和潛在的安全漏洞。集中化有助于簡化訪客聯(lián)網(wǎng)在思科統(tǒng)一無線網(wǎng)絡(luò)中，每個無線局域網(wǎng)控制器都具有一個美觀的 Web 門戶，讓機構(gòu)可以根據(jù)自己的業(yè)務(wù)需要定制 WLAN。例如，網(wǎng)絡(luò)管理人員可以將控制器放入 DMZ，充當(dāng)訪客接口。當(dāng)在網(wǎng)絡(luò)中部署一個訪客無線局域網(wǎng)時，所有來自于訪客WLAN 的流量都會以隧道方式發(fā)送到訪客控制器。與采用自主接入點的無線局域網(wǎng)不同，使用輕型接入點和無線局域網(wǎng)控制器的思科解決方案不需要對底層 VLAN 架構(gòu)進行任何改動。 第三層漫游借助采用輕型接入點的思科統(tǒng)一無線網(wǎng)絡(luò)，當(dāng)?shù)谌龑勇伪灰刖W(wǎng)絡(luò)時，管理員不需要將 VLAN 拓展到網(wǎng)絡(luò)中的所有接入點，就可以保持一個扁平式的無線子網(wǎng)。15那些采用自主接入點的網(wǎng)絡(luò)則有所不同――它們通過拓展 VLAN 來實現(xiàn)漫游，因而會產(chǎn)生大范圍的、不便于擴展的廣播域。通過像思科統(tǒng)一無線網(wǎng)絡(luò)這樣在不使用 VLAN 的情況下實現(xiàn)第三層漫游，可以簡化網(wǎng)絡(luò)，讓網(wǎng)絡(luò)可以方便地支持各種實時應(yīng)用，例如基于無線網(wǎng)絡(luò)的語音和視頻。集中化有助于支持第三層漫游利用思科統(tǒng)一無線網(wǎng)絡(luò)，輕型接入點可以被部署到網(wǎng)絡(luò)的標(biāo)準(zhǔn)子網(wǎng)基礎(chǔ)設(shè)施中，并獲得一個隸屬于它們所在子網(wǎng)的 IP 地址。所有來自于無線客戶端的流量都將被放置到一個通過底層網(wǎng)絡(luò)發(fā)送到無線局域網(wǎng)控制器的 LWAPP 數(shù)據(jù)包中?？蛻舳嗽O(shè)備可以從一個連接到控制器的子網(wǎng)獲得它們的 IP 地址――而不是它們所在的樓宇的子網(wǎng)。底層子網(wǎng)基礎(chǔ)設(shè)施對于客戶端而言是透明的。控制器可以管理互相之間的所有漫游和隧道通信，以確保不需要移動 IP 等協(xié)議。 嵌入式無線 IDS安全是網(wǎng)絡(luò)管理人員的關(guān)注焦點，而無線安全則是安全人員最關(guān)注的問題。一個重要的顧慮是惡意接入點可能會在一個有線或者無線網(wǎng)絡(luò)中制造漏洞。通過在網(wǎng)絡(luò)中采用一個無線 ID 系統(tǒng)，可以為網(wǎng)絡(luò)添加一條額外的防線。無線局域網(wǎng) IDS 可以降低黑客或者惡意用戶訪問關(guān)鍵網(wǎng)絡(luò)資源的風(fēng)險。集中化有助于支持無線 IDS 思科輕型接入點和無線局域網(wǎng)控制器可以同時充當(dāng)數(shù)據(jù)服務(wù)設(shè)備和 IDS 傳感器。這可以通過 LWAPP 獨有的分離 MAC 架構(gòu)實現(xiàn)，即有些功能由接入點承擔(dān)，另外一些由控制器承擔(dān)。LWAPP 分離 MAC 讓輕型接入點可以在不中斷數(shù)據(jù)服務(wù)的情況下掃描信道。接入點和控制器擁有一個強大的攻擊簽名庫，它可用于檢測無線威脅――包括惡意接入點，特殊網(wǎng)絡(luò)，或者試圖尋找無線網(wǎng)絡(luò)漏洞的惡意人員。輕型接入點可以在它們在工作時使用的信道上檢測攻擊，以及檢測那些工作信道與它們不同的威脅，例如惡意接入點和特殊網(wǎng)絡(luò)。另外，因為思科統(tǒng)一無線網(wǎng)絡(luò)輕型接入點和無線局域網(wǎng)控制器都配有 證書，它們可以檢測到偽裝成網(wǎng)絡(luò)中某個可靠接入點（充當(dāng)一個 honeypot*）的未經(jīng)授權(quán)的接入點。思科統(tǒng)一無線網(wǎng)絡(luò)還可以利用其強大的隔離惡意功能，消除因為惡意接入點所導(dǎo)致的威脅。這種功能有助于確保客戶端不會與惡意接入點建立關(guān)聯(lián)。一種由網(wǎng)絡(luò)管理員部署的，用于檢測、制止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問的授權(quán)接入點。16 定位服務(wù)定位服務(wù)是下一代無線網(wǎng)絡(luò)必須達到的一項要求。定位服務(wù)支持同時跟蹤WLAN 基礎(chǔ)設(shè)施內(nèi)部的數(shù)千個 WiFi 設(shè)備。這些服務(wù)被用于一些關(guān)鍵的應(yīng)用，例如高價值資產(chǎn)跟蹤、IT 管理、安全和業(yè)務(wù)策略的執(zhí)行。其他應(yīng)用包括：? 基于無線局域網(wǎng)的 e911 和語音? 客戶端故障診斷和客戶端位置與客戶端連接問題的關(guān)聯(lián)? 資產(chǎn)跟蹤和管理，以跟蹤任何支持 的設(shè)備（包括配有 RFID 標(biāo)簽的資產(chǎn)）? 基于位置的安全無線局域網(wǎng)不僅可以獲知輕型接入點之間的路徑損耗和信號強度，還可以從網(wǎng)絡(luò)中的支持 LWAPP 的接入點那里獲得關(guān)于客戶端信號強度的信息。思科無線局域網(wǎng)控制器會將收到的客戶端信號強度信息轉(zhuǎn)發(fā)到思科無線控制系統(tǒng)（WCS）和思科無線定位設(shè)備，它們將根據(jù)樓宇材料類型、多路徑和反射等因素，進行高強度的 RF 指紋計算，確定 或者有源 RFID 設(shè)備的位置。這些信息將實時提供。LWAPP 是支持定位服務(wù)的控制和傳輸協(xié)議。 WLAN 語音WLAN 語音（VoWLAN）不僅可以提供 IP 語音（VoIP）的諸多好處（例如收費旁路），還可以提供移動性。選擇 VoWLAN 功能的管理人員都希望通過用他們的 數(shù)據(jù)網(wǎng)絡(luò)承擔(dān)語音功能，降低或者消除辦公樓內(nèi)移動電話使用成本。集中化有助于支持高性能 VoWLAN對于自主解決方案而言，基于 的語音采用了與普通數(shù)據(jù)流量相同的底層協(xié)議，并通過在接入點和一個語音終端之間運行 ，提供了一些額外的功能。不幸的是，工作在相同信道的自主接入點無法協(xié)調(diào)它們的呼叫準(zhǔn)入控制（CAC）功能。而且，所有能夠接收到工作在相同信道的其他設(shè)備信號的設(shè)備都會受到共用信道干擾，而自主接入點并不能方便地解決這個問題。利用思科統(tǒng)一無線網(wǎng)絡(luò)，無線局域網(wǎng)控制器可以為網(wǎng)絡(luò)提供可預(yù)測的 CAC。在這種統(tǒng)一網(wǎng)絡(luò)中，控制器擁有網(wǎng)絡(luò)中所有客戶端的整體視圖，以及同一信道中所有接入點之間的總呼叫容量。這種功能有助于確保當(dāng)一個 VoWLAN 呼叫獲準(zhǔn)進入思科統(tǒng)一無線網(wǎng)絡(luò)時，所有接入點可以提供足夠的語音容量。這樣，可以為網(wǎng)絡(luò)提供更加可預(yù)測、更加可靠的語音性能。 降低總擁有成本較低的總擁有成本（TCO）讓機構(gòu)可以在不增加額外人手的情況下部署解決方案，從而降低網(wǎng)絡(luò)部署和維護所造成的負擔(dān)。這有助于改善機構(gòu)的經(jīng)營狀況。對于17自主接入點部署方式，時間主要被用于安裝和初始化接入點，重新設(shè)置接入點，以及升級接入點。在一個包含 100 個接入點的自主接入點網(wǎng)絡(luò)中，如果一年為每個自主接入點花費 30 分鐘，就相當(dāng)