無線與有線網(wǎng)絡(luò)之間三不管地帶解決方案

無線局域網(wǎng)架構(gòu)是以無線接入點(AP)為中心的。一個無線接入點就構(gòu)成一個蜂窩，這個蜂窩內(nèi)的客戶端需要發(fā)送或者接收數(shù)據(jù)都需要通過這個無線接入點才能夠達到網(wǎng)絡(luò)中的其他部分。但是傳統(tǒng)的無線接入點，如無線路尤器，其有一個很大的缺陷。即各個無線接入點之間是相互獨立的。即使大部分無線接入點的配置與安全策略都是相同的，但是網(wǎng)絡(luò)管理員仍然不得不分配對每個無線接入點進行配置。顯然這無形之中增加了網(wǎng)絡(luò)管理員的工作量。初始化配置與后續(xù)策略的調(diào)整都會很麻煩。

另外由于每個無線接入點AP都是相互獨立的，為此部署統(tǒng)一的安全策略將會變得非常的奢侈，管理無線網(wǎng)絡(luò)的安全性將變成一項不可能完成的任務(wù)。因為每個無線接入點都只負責其自身的安全策略。為此在無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的交接處就是企業(yè)安全的盲點。因為在這無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間沒有中央入口。這也就是說，沒有合適的地方隊數(shù)據(jù)進行監(jiān)控，以實現(xiàn)入侵檢測和防范、帶寬控制、服務(wù)質(zhì)量等等。簡單的說，無限網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間就成為了三不管地帶，影響了企業(yè)網(wǎng)絡(luò)的安全。

為了解決這個無線與有線網(wǎng)絡(luò)之間的三不管問題，思科提出了一個統(tǒng)一無線網(wǎng)絡(luò)的架構(gòu)，其最主要的功能就是把無線接入點分為輕量級的AP與無線局域網(wǎng)控制兩個部分。

一、分工合作，統(tǒng)一部署

其實，思科解決這個問題的思路很簡單，可以利用八個字來概括，就是“分工合作統(tǒng)一部署”。傳統(tǒng)的無線接入點其主要包括兩種進程，分別為實時進程與管理進程。實時進程包括發(fā)送和接收802.11楨、AP信標和探針信息、數(shù)據(jù)加密等等;而管理進程則主要包括客戶端認證、安全管理、Qos等等。在傳統(tǒng)的無線接入點中，這些實時進程與管理進程都是在同一個無線接入點中完成。所以說，網(wǎng)絡(luò)管理員不得不對各個無線接入點進行配置，即使他們采用了相同的配置與安全策略。由于無法統(tǒng)一對各個無線接入點進行配置與安全管理，這正是造成無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間出現(xiàn)三不管地帶的主要原因。

思科在這方面，就決定執(zhí)行分工合作、統(tǒng)一部署。簡單的說，思科把無線接入點分為兩種，分別為輕量級的無線接入點與無線局域網(wǎng)控制器，其英文簡稱分別為LAP與WLC。而輕量級的無線接入點只負責一項工作，即負責接收與發(fā)送802.11楨;其他的功能都是通過無線局域網(wǎng)控制器來完成的。由于這個輕量級的無線接入點比傳統(tǒng)的無線路由器其功能要少的說，為此我們把它叫做輕量級的。這個名字也是由此而來。

而其他的進程則統(tǒng)一由無線局域網(wǎng)控制器來完成。也就是說，在無線局域網(wǎng)控制器中保存著各個輕量級無線接入點所需要采用的配置文件與安全策略，其被各個無線接入點所共享。如一些用戶認證、安全策略管理、RF信道和輸出功率選擇等等，都不需要在各個輕量級無線接入點上進行單獨配置與管理。只需要在無線局域網(wǎng)控制器中做好相關(guān)的配置，那么這些配置會自動應(yīng)用到各個輕量級無線接入點中。從而實現(xiàn)分工合作、統(tǒng)一部署的管理策略。通過這個管理策略，就可以消除無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間的真空區(qū)，提高企業(yè)網(wǎng)絡(luò)的綜合性安全。

二、LAP與WLC的相互認證

由于無線接入點的配置文件、安全策略、身份認證等等都是依靠無線局域網(wǎng)控制器WLC來完成的。如果攻擊者偽造了一個非法的無線局域網(wǎng)控制器，那么一切都將會變得很可怕。為此在設(shè)計與部署輕量級無線接入點的時候，第一個需要注意的問題就是如何來保障無線局域網(wǎng)控制器的安全，不被仿冒。這是實現(xiàn)思科統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)。

輕量級無線接入點與無線局域網(wǎng)控制器之間主要通過輕量級接入點協(xié)議來作為彼此的隧道協(xié)議。具體的來說，其包括兩個隧道。一個隧道是用來傳遞客戶端的一些數(shù)據(jù)的。此時輕量級隧道協(xié)議會使用LWAPP格式來封裝這些數(shù)據(jù)。雖然沒有對此進行加密，但是封裝后的數(shù)據(jù)相對來說是比較安全的。另外一個隧道就是傳遞一些控制信息，這些控制信息決定了輕量級無線接入點的運行方式、客戶端認證、安全策略等等。輕量級隧道協(xié)議會對這些控制信息進行認證與加密，以確保無線局域網(wǎng)控制器能夠萬無一失的管理控制各個輕量級無線接入點。在思科的解決方案中，輕量級無線接入點與無線局域網(wǎng)控制器之間是通過數(shù)字證書來彼此相互認證的。如在出廠時設(shè)備上可能都會裝有一個數(shù)字證書，然后輕量級隧道協(xié)議會在后臺利用這些數(shù)字證書進行驗證。為此者就可以有效的避免無線局域網(wǎng)控制器被偽造。

所以保無線局域網(wǎng)控制器與輕量無線接入網(wǎng)絡(luò)管理員在部署統(tǒng)一無線網(wǎng)絡(luò)之前，就需要先確點之間能夠進行相互的認證。只有無線局域網(wǎng)控制器的安全性有所保障之后，才能夠確保企業(yè)無線網(wǎng)絡(luò)的安全。故網(wǎng)絡(luò)管理員需要了解他們之間認證的一些詳細信息，并要能夠解決他們認證過程中可能會出現(xiàn)的問題，如數(shù)字證書無效等等該如何解決。

三、WLC管理與維護要點

由于無線局域網(wǎng)控制器與輕量級無線接入點兩者分工合作之后，管理無線網(wǎng)絡(luò)的重點就落在了無線網(wǎng)絡(luò)控制器上面。所有跟無線網(wǎng)絡(luò)相關(guān)的維護與配置都在這臺控制器上完成。為此在部署統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)的時候，網(wǎng)絡(luò)管理員的主要工作就是維護這臺無線局域網(wǎng)控制器。具體來說，其主要維護如下幾個方面的功能。

一是RF信道的頻率選擇。為了避免相鄰蜂窩之間的相同信道彼此干擾而減弱無線信號，需要為每個相鄰的無線接入點設(shè)置不同的RF信道。以避免因為信道相同而相互干擾的現(xiàn)象。子無線局域網(wǎng)控制器中，可以對各個無線接入點的信道進行設(shè)置。不過筆者建議，這個信道除非有特殊的必要，不要進行手工管理。因為無線局域網(wǎng)控制器提供了一個自動管理的方案。這個方案不僅會優(yōu)化發(fā)射功率，而且會自動根據(jù)需要為其覆蓋范圍內(nèi)的無線接入點分配不同的信道。另外發(fā)射功率也會根據(jù)實際情況進行自動的調(diào)整。筆者認為這個自動優(yōu)化信道的解決方案到目前為止是一個不錯的解決方案。為此在沒有特別充分理由的情況下，就沒有必要手工的對所采用的信道進行調(diào)整。

二是通過調(diào)整發(fā)射頻率來決絕無線接入點的故障問題。在以前的文章中筆者談到過，如果某個無線接入點出現(xiàn)故障的話，則其所在的蜂窩就會消失，其覆蓋的客戶端將無法使用無線接入點連入網(wǎng)絡(luò)。此時可以通過調(diào)整臨近蜂窩的大小(通過調(diào)整臨近無線接入點的發(fā)射頻率來實現(xiàn))，讓其蜂窩重新覆蓋整個盲點。這個發(fā)射頻率的調(diào)整也可以在無線局域網(wǎng)控制器中完成。由于在一個平臺上進行調(diào)整，而不需要連接到不同的無線接入點上進行配置，這個調(diào)整的工作要輕松許多。最讓我們驚喜的是，在無線局域網(wǎng)控制器中還可以進行自動調(diào)整。即當無線局域網(wǎng)控制器發(fā)現(xiàn)某個輕量級無線接入點發(fā)生故障后，可以立馬調(diào)整臨近無線接入點的發(fā)射頻率，讓蜂窩重新覆蓋那個區(qū)域，并同時告知給網(wǎng)絡(luò)管理員。

三是動態(tài)的客戶端負載均衡。在無線網(wǎng)絡(luò)部署的時候，各個蜂窩往往會相互重疊。當客戶端處于這個重疊的地方，客戶端該連接到哪個無線接入點上去呢?由于客戶端認證是由無線局域網(wǎng)控制器來完成的。為此要連接到哪一個無線接入點上去也是由局域網(wǎng)控制器來完成的。如果網(wǎng)絡(luò)管理員啟動控制器上的負載均衡選項的話，則在信號強度滿足條件的情況下，無線局域網(wǎng)控制器可以把無線客戶端連接到客戶端連接數(shù)量相對比較少的無線接入點上去。從而實現(xiàn)客戶端負載的均衡。由于這個負載均衡是由控制器自動完成的，為此對于提高無線網(wǎng)絡(luò)的性能是非常有用的。這主要是因為無線接入點其是采用共享帶寬機制。同一個無線接入點上接入的客戶端越多，其客戶端可以得到的最大帶寬也就越少。為此在信號強度滿足要求的情況下，在不同的無線接入點之間合理分配客戶端，可以提高帶寬的利用率，提高無線網(wǎng)絡(luò)的性能。