- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
无线与有线网络之间三不管地带解决方案
无线局域网架构是以无线接入点(AP)为中心的。一个无线接入点就构成一个蜂窝,这个蜂窝内的客户端需要发送或者接收数据都需要通过这个无线接入点才能够达到网络中的其他部分。但是传统的无线接入点,如无线路尤器,其有一个很大的缺陷。即各个无线接入点之间是相互独立的。即使大部分无线接入点的配置与安全策略都是相同的,但是网络管理员仍然不得不分配对每个无线接入点进行配置。显然这无形之中增加了网络管理员的工作量。初始化配置与后续策略的调整都会很麻烦。
另外由于每个无线接入点AP都是相互独立的,为此部署统一的安全策略将会变得非常的奢侈,管理无线网络的安全性将变成一项不可能完成的任务。因为每个无线接入点都只负责其自身的安全策略。为此在无线网络与有线网络的交接处就是企业安全的盲点。因为在这无线网络与有线网络之间没有中央入口。这也就是说,没有合适的地方队数据进行监控,以实现入侵检测和防范、带宽控制、服务质量等等。简单的说,无限网络与有线网络之间就成为了三不管地带,影响了企业网络的安全。
为了解决这个无线与有线网络之间的三不管问题,思科提出了一个统一无线网络的架构,其最主要的功能就是把无线接入点分为轻量级的AP与无线局域网控制两个部分。
一、分工合作,统一部署
其实,思科解决这个问题的思路很简单,可以利用八个字来概括,就是"分工合作统一部署"。传统的无线接入点其主要包括两种进程,分别为实时进程与管理进程。实时进程包括发送和接收802.11桢、AP信标和探针信息、数据加密等等;而管理进程则主要包括客户端认证、安全管理、Qos等等。在传统的无线接入点中,这些实时进程与管理进程都是在同一个无线接入点中完成。所以说,网络管理员不得不对各个无线接入点进行配置,即使他们采用了相同的配置与安全策略。由于无法统一对各个无线接入点进行配置与安全管理,这正是造成无线网络与有线网络之间出现三不管地带的主要原因。
思科在这方面,就决定执行分工合作、统一部署。简单的说,思科把无线接入点分为两种,分别为轻量级的无线接入点与无线局域网控制器,其英文简称分别为LAP与WLC。而轻量级的无线接入点只负责一项工作,即负责接收与发送802.11桢;其他的功能都是通过无线局域网控制器来完成的。由于这个轻量级的无线接入点比传统的无线路由器其功能要少的说,为此我们把它叫做轻量级的。这个名字也是由此而来。
而其他的进程则统一由无线局域网控制器来完成。也就是说,在无线局域网控制器中保存着各个轻量级无线接入点所需要采用的配置文件与安全策略,其被各个无线接入点所共享。如一些用户认证、安全策略管理、RF信道和输出功率选择等等,都不需要在各个轻量级无线接入点上进行单独配置与管理。只需要在无线局域网控制器中做好相关的配置,那么这些配置会自动应用到各个轻量级无线接入点中。从而实现分工合作、统一部署的管理策略。通过这个管理策略,就可以消除无线网络与有线网络之间的真空区,提高企业网络的综合性安全。
二、LAP与WLC的相互认证
由于无线接入点的配置文件、安全策略、身份认证等等都是依靠无线局域网控制器WLC来完成的。如果攻击者伪造了一个非法的无线局域网控制器,那么一切都将会变得很可怕。为此在设计与部署轻量级无线接入点的时候,第一个需要注意的问题就是如何来保障无线局域网控制器的安全,不被仿冒。这是实现思科统一无线网络架构的基础。
轻量级无线接入点与无线局域网控制器之间主要通过轻量级接入点协议来作为彼此的隧道协议。具体的来说,其包括两个隧道。一个隧道是用来传递客户端的一些数据的。此时轻量级隧道协议会使用LWAPP格式来封装这些数据。虽然没有对此进行加密,但是封装后的数据相对来说是比较安全的。另外一个隧道就是传递一些控制信息,这些控制信息决定了轻量级无线接入点的运行方式、客户端认证、安全策略等等。轻量级隧道协议会对这些控制信息进行认证与加密,以确保无线局域网控制器能够万无一失的管理控制各个轻量级无线接入点。在思科的解决方案中,轻量级无线接入点与无线局域网控制器之间是通过数字证书来彼此相互认证的。如在出厂时设备上可能都会装有一个数字证书,然后轻量级隧道协议会在后台利用这些数字证书进行验证。为此者就可以有效的避免无线局域网控制器被伪造。
所以保无线局域网控制器与轻量无线接入网络管理员在部署统一无线网络之前,就需要先确点之间能够进行相互的认证。只有无线局域网控制器的安全性有所保障之后,才能够确保企业无线网络的安全。故网络管理员需要了解他们之间认证的一些详细信息,并要能够解决他们认证过程中可能会出现的问题,如数字证书无效等等该如何解决。
三、WLC管理与维护要点
由于无线局域网控制器与轻量级无线接入点两者分工合作之后,管理无线网络的重点就落在了无线网络控制器上面。所有跟无线网络相关的维护与配置都在这台控制器上完成。为此在部署统一无线网络架构的时候,网络管理员的主要工作就是维护这台无线局域网控制器。具体来说,其主要维护如下几个方面的功能。
一是RF信道的频率选择。为了避免相邻蜂窝之间的相同信道彼此干扰而减弱无线信号,需要为每个相邻的无线接入点设置不同的RF信道。以避免因为信道相同而相互干扰的现象。子无线局域网控制器中,可以对各个无线接入点的信道进行设置。不过笔者建议,这个信道除非有特殊的必要,不要进行手工管理。因为无线局域网控制器提供了一个自动管理的方案。这个方案不仅会优化发射功率,而且会自动根据需要为其覆盖范围内的无线接入点分配不同的信道。另外发射功率也会根据实际情况进行自动的调整。笔者认为这个自动优化信道的解决方案到目前为止是一个不错的解决方案。为此在没有特别充分理由的情况下,就没有必要手工的对所采用的信道进行调整。
二是通过调整发射频率来决绝无线接入点的故障问题。在以前的文章中笔者谈到过,如果某个无线接入点出现故障的话,则其所在的蜂窝就会消失,其覆盖的客户端将无法使用无线接入点连入网络。此时可以通过调整临近蜂窝的大小(通过调整临近无线接入点的发射频率来实现),让其蜂窝重新覆盖整个盲点。这个发射频率的调整也可以在无线局域网控制器中完成。由于在一个平台上进行调整,而不需要连接到不同的无线接入点上进行配置,这个调整的工作要轻松许多。最让我们惊喜的是,在无线局域网控制器中还可以进行自动调整。即当无线局域网控制器发现某个轻量级无线接入点发生故障后,可以立马调整临近无线接入点的发射频率,让蜂窝重新覆盖那个区域,并同时告知给网络管理员。
三是动态的客户端负载均衡。在无线网络部署的时候,各个蜂窝往往会相互重叠。当客户端处于这个重叠的地方,客户端该连接到哪个无线接入点上去呢?由于客户端认证是由无线局域网控制器来完成的。为此要连接到哪一个无线接入点上去也是由局域网控制器来完成的。如果网络管理员启动控制器上的负载均衡选项的话,则在信号强度满足条件的情况下,无线局域网控制器可以把无线客户端连接到客户端连接数量相对比较少的无线接入点上去。从而实现客户端负载的均衡。由于这个负载均衡是由控制器自动完成的,为此对于提高无线网络的性能是非常有用的。这主要是因为无线接入点其是采用共享带宽机制。同一个无线接入点上接入的客户端越多,其客户端可以得到的最大带宽也就越少。为此在信号强度满足要求的情况下,在不同的无线接入点之间合理分配客户端,可以提高带宽的利用率,提高无线网络的性能。
来源:ZDNet