WLC解決無(wú)線(xiàn)與有線(xiàn)網(wǎng)絡(luò )之間三不管地帶

無(wú)線(xiàn)局域網(wǎng)架構是以無(wú)線(xiàn)接入點(diǎn)(AP)為中心的。一個(gè)無(wú)線(xiàn)接入點(diǎn)就構成一個(gè)蜂窩，這個(gè)蜂窩內的客戶(hù)端需要發(fā)送或者接收數據都需要通過(guò)這個(gè)無(wú)線(xiàn)接入點(diǎn)才能夠達到網(wǎng)絡(luò )中的其他部分。但是傳統的無(wú)線(xiàn)接入點(diǎn)，如無(wú)線(xiàn)路尤器，其有一個(gè)很大的缺陷。即各個(gè)無(wú)線(xiàn)接入點(diǎn)之間是相互獨立的。即使大部分無(wú)線(xiàn)接入點(diǎn)的配置與安全策略都是相同的，但是網(wǎng)絡(luò )管理員仍然不得不分配對每個(gè)無(wú)線(xiàn)接入點(diǎn)進(jìn)行配置。顯然這無(wú)形之中增加了網(wǎng)絡(luò )管理員的工作量。初始化配置與后續策略的調整都會(huì )很麻煩。

　　另外由于每個(gè)無(wú)線(xiàn)接入點(diǎn)AP都是相互獨立的，為此部署統一的安全策略將會(huì )變得非常的奢侈，管理無(wú)線(xiàn)網(wǎng)絡(luò )的安全性將變成一項不可能完成的任務(wù)。因為每個(gè)無(wú)線(xiàn)接入點(diǎn)都只負責其自身的安全策略。為此在無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )的交接處就是企業(yè)安全的盲點(diǎn)。因為在這無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )之間沒(méi)有中央入口。這也就是說(shuō)，沒(méi)有合適的地方隊數據進(jìn)行監控，以實(shí)現入侵檢測和防范、帶寬控制、服務(wù)質(zhì)量等等。簡(jiǎn)單的說(shuō)，無(wú)限網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )之間就成為了三不管地帶，影響了企業(yè)網(wǎng)絡(luò )的安全。

　　為了解決這個(gè)無(wú)線(xiàn)與有線(xiàn)網(wǎng)絡(luò )之間的三不管問(wèn)題，思科提出了一個(gè)統一無(wú)線(xiàn)網(wǎng)絡(luò )的架構，其最主要的功能就是把無(wú)線(xiàn)接入點(diǎn)分為輕量級的AP與無(wú)線(xiàn)局域網(wǎng)控制兩個(gè)部分。

　　一、分工合作，統一部署

　　其實(shí)，思科解決這個(gè)問(wèn)題的思路很簡(jiǎn)單，可以利用八個(gè)字來(lái)概括，就是“分工合作統一部署”。傳統的無(wú)線(xiàn)接入點(diǎn)其主要包括兩種進(jìn)程，分別為實(shí)時(shí)進(jìn)程與管理進(jìn)程。實(shí)時(shí)進(jìn)程包括發(fā)送和接收802.11楨、AP信標和探針信息、數據加密等等;而管理進(jìn)程則主要包括客戶(hù)端認證、安全管理、Qos等等。在傳統的無(wú)線(xiàn)接入點(diǎn)中，這些實(shí)時(shí)進(jìn)程與管理進(jìn)程都是在同一個(gè)無(wú)線(xiàn)接入點(diǎn)中完成。所以說(shuō)，網(wǎng)絡(luò )管理員不得不對各個(gè)無(wú)線(xiàn)接入點(diǎn)進(jìn)行配置，即使他們采用了相同的配置與安全策略。由于無(wú)法統一對各個(gè)無(wú)線(xiàn)接入點(diǎn)進(jìn)行配置與安全管理，這正是造成無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )之間出現三不管地帶的主要原因。

　　思科在這方面，就決定執行分工合作、統一部署。簡(jiǎn)單的說(shuō)，思科把無(wú)線(xiàn)接入點(diǎn)分為兩種，分別為輕量級的無(wú)線(xiàn)接入點(diǎn)與無(wú)線(xiàn)局域網(wǎng)控制器，其英文簡(jiǎn)稱(chēng)分別為L(cháng)AP與WLC。而輕量級的無(wú)線(xiàn)接入點(diǎn)只負責一項工作，即負責接收與發(fā)送802.11楨;其他的功能都是通過(guò)無(wú)線(xiàn)局域網(wǎng)控制器來(lái)完成的。由于這個(gè)輕量級的無(wú)線(xiàn)接入點(diǎn)比傳統的無(wú)線(xiàn)路由器其功能要少的說(shuō)，為此我們把它叫做輕量級的。這個(gè)名字也是由此而來(lái)。

　　而其他的進(jìn)程則統一由無(wú)線(xiàn)局域網(wǎng)控制器來(lái)完成。也就是說(shuō)，在無(wú)線(xiàn)局域網(wǎng)控制器中保存著(zhù)各個(gè)輕量級無(wú)線(xiàn)接入點(diǎn)所需要采用的配置文件與安全策略，其被各個(gè)無(wú)線(xiàn)接入點(diǎn)所共享。如一些用戶(hù)認證、安全策略管理、RF信道和輸出功率選擇等等，都不需要在各個(gè)輕量級無(wú)線(xiàn)接入點(diǎn)上進(jìn)行單獨配置與管理。只需要在無(wú)線(xiàn)局域網(wǎng)控制器中做好相關(guān)的配置，那么這些配置會(huì )自動(dòng)應用到各個(gè)輕量級無(wú)線(xiàn)接入點(diǎn)中。從而實(shí)現分工合作、統一部署的管理策略。通過(guò)這個(gè)管理策略，就可以消除無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )之間的真空區，提高企業(yè)網(wǎng)絡(luò )的綜合性安全。

　　二、LAP與WLC的相互認證

　　由于無(wú)線(xiàn)接入點(diǎn)的配置文件、安全策略、身份認證等等都是依靠無(wú)線(xiàn)局域網(wǎng)控制器WLC來(lái)完成的。如果攻擊者偽造了一個(gè)非法的無(wú)線(xiàn)局域網(wǎng)控制器，那么一切都將會(huì )變得很可怕。為此在設計與部署輕量級無(wú)線(xiàn)接入點(diǎn)的時(shí)候，第一個(gè)需要注意的問(wèn)題就是如何來(lái)保障無(wú)線(xiàn)局域網(wǎng)控制器的安全，不被仿冒。這是實(shí)現思科統一無(wú)線(xiàn)網(wǎng)絡(luò )架構的基礎。

　　輕量級無(wú)線(xiàn)接入點(diǎn)與無(wú)線(xiàn)局域網(wǎng)控制器之間主要通過(guò)輕量級接入點(diǎn)協(xié)議來(lái)作為彼此的隧道協(xié)議。具體的來(lái)說(shuō)，其包括兩個(gè)隧道。一個(gè)隧道是用來(lái)傳遞客戶(hù)端的一些數據的。此時(shí)輕量級隧道協(xié)議會(huì )使用LWAPP格式來(lái)封裝這些數據。雖然沒(méi)有對此進(jìn)行加密，但是封裝后的數據相對來(lái)說(shuō)是比較安全的。另外一個(gè)隧道就是傳遞一些控制信息，這些控制信息決定了輕量級無(wú)線(xiàn)接入點(diǎn)的運行方式、客戶(hù)端認證、安全策略等等。輕量級隧道協(xié)議會(huì )對這些控制信息進(jìn)行認證與加密，以確保無(wú)線(xiàn)局域網(wǎng)控制器能夠萬(wàn)無(wú)一失的管理控制各個(gè)輕量級無(wú)線(xiàn)接入點(diǎn)。在思科的解決方案中，輕量級無(wú)線(xiàn)接入點(diǎn)與無(wú)線(xiàn)局域網(wǎng)控制器之間是通過(guò)數字證書(shū)來(lái)彼此相互認證的。如在出廠(chǎng)時(shí)設備上可能都會(huì )裝有一個(gè)數字證書(shū)，然后輕量級隧道協(xié)議會(huì )在后臺利用這些數字證書(shū)進(jìn)行驗證。為此者就可以有效的避免無(wú)線(xiàn)局域網(wǎng)控制器被偽造。

　　所以保無(wú)線(xiàn)局域網(wǎng)控制器與輕量無(wú)線(xiàn)接入網(wǎng)絡(luò )管理員在部署統一無(wú)線(xiàn)網(wǎng)絡(luò )之前，就需要先確點(diǎn)之間能夠進(jìn)行相互的認證。只有無(wú)線(xiàn)局域網(wǎng)控制器的安全性有所保障之后，才能夠確保企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò )的安全。故網(wǎng)絡(luò )管理員需要了解他們之間認證的一些詳細信息，并要能夠解決他們認證過(guò)程中可能會(huì )出現的問(wèn)題，如數字證書(shū)無(wú)效等等該如何解決。

　　三、WLC管理與維護要點(diǎn)

　　由于無(wú)線(xiàn)局域網(wǎng)控制器與輕量級無(wú)線(xiàn)接入點(diǎn)兩者分工合作之后，管理無(wú)線(xiàn)網(wǎng)絡(luò )的重點(diǎn)就落在了無(wú)線(xiàn)網(wǎng)絡(luò )控制器上面。所有跟無(wú)線(xiàn)網(wǎng)絡(luò )相關(guān)的維護與配置都在這臺控制器上完成。為此在部署統一無(wú)線(xiàn)網(wǎng)絡(luò )架構的時(shí)候，網(wǎng)絡(luò )管理員的主要工作就是維護這臺無(wú)線(xiàn)局域網(wǎng)控制器。具體來(lái)說(shuō)，其主要維護如下幾個(gè)方面的功能。

　　一是RF信道的頻率選擇。為了避免相鄰蜂窩之間的相同信道彼此干擾而減弱無(wú)線(xiàn)信號，需要為每個(gè)相鄰的無(wú)線(xiàn)接入點(diǎn)設置不同的RF信道。以避免因為信道相同而相互干擾的現象。子無(wú)線(xiàn)局域網(wǎng)控制器中，可以對各個(gè)無(wú)線(xiàn)接入點(diǎn)的信道進(jìn)行設置。不過(guò)筆者建議，這個(gè)信道除非有特殊的必要，不要進(jìn)行手工管理。因為無(wú)線(xiàn)局域網(wǎng)控制器提供了一個(gè)自動(dòng)管理的方案。這個(gè)方案不僅會(huì )優(yōu)化發(fā)射功率，而且會(huì )自動(dòng)根據需要為其覆蓋范圍內的無(wú)線(xiàn)接入點(diǎn)分配不同的信道。另外發(fā)射功率也會(huì )根據實(shí)際情況進(jìn)行自動(dòng)的調整。筆者認為這個(gè)自動(dòng)優(yōu)化信道的解決方案到目前為止是一個(gè)不錯的解決方案。為此在沒(méi)有特別充分理由的情況下，就沒(méi)有必要手工的對所采用的信道進(jìn)行調整。

　　二是通過(guò)調整發(fā)射頻率來(lái)決絕無(wú)線(xiàn)接入點(diǎn)的故障問(wèn)題。在以前的文章中筆者談到過(guò)，如果某個(gè)無(wú)線(xiàn)接入點(diǎn)出現故障的話(huà)，則其所在的蜂窩就會(huì )消失，其覆蓋的客戶(hù)端將無(wú)法使用無(wú)線(xiàn)接入點(diǎn)連入網(wǎng)絡(luò )。此時(shí)可以通過(guò)調整臨近蜂窩的大小(通過(guò)調整臨近無(wú)線(xiàn)接入點(diǎn)的發(fā)射頻率來(lái)實(shí)現)，讓其蜂窩重新覆蓋整個(gè)盲點(diǎn)。這個(gè)發(fā)射頻率的調整也可以在無(wú)線(xiàn)局域網(wǎng)控制器中完成。由于在一個(gè)平臺上進(jìn)行調整，而不需要連接到不同的無(wú)線(xiàn)接入點(diǎn)上進(jìn)行配置，這個(gè)調整的工作要輕松許多。最讓我們驚喜的是，在無(wú)線(xiàn)局域網(wǎng)控制器中還可以進(jìn)行自動(dòng)調整。即當無(wú)線(xiàn)局域網(wǎng)控制器發(fā)現某個(gè)輕量級無(wú)線(xiàn)接入點(diǎn)發(fā)生故障后，可以立馬調整臨近無(wú)線(xiàn)接入點(diǎn)的發(fā)射頻率，讓蜂窩重新覆蓋那個(gè)區域，并同時(shí)告知給網(wǎng)絡(luò )管理員。

　　三是動(dòng)態(tài)的客戶(hù)端負載均衡。在無(wú)線(xiàn)網(wǎng)絡(luò )部署的時(shí)候，各個(gè)蜂窩往往會(huì )相互重疊。當客戶(hù)端處于這個(gè)重疊的地方，客戶(hù)端該連接到哪個(gè)無(wú)線(xiàn)接入點(diǎn)上去呢?由于客戶(hù)端認證是由無(wú)線(xiàn)局域網(wǎng)控制器來(lái)完成的。為此要連接到哪一個(gè)無(wú)線(xiàn)接入點(diǎn)上去也是由局域網(wǎng)控制器來(lái)完成的。如果網(wǎng)絡(luò )管理員啟動(dòng)控制器上的負載均衡選項的話(huà)，則在信號強度滿(mǎn)足條件的情況下，無(wú)線(xiàn)局域網(wǎng)控制器可以把無(wú)線(xiàn)客戶(hù)端連接到客戶(hù)端連接數量相對比較少的無(wú)線(xiàn)接入點(diǎn)上去。從而實(shí)現客戶(hù)端負載的均衡。由于這個(gè)負載均衡是由控制器自動(dòng)完成的，為此對于提高無(wú)線(xiàn)網(wǎng)絡(luò )的性能是非常有用的。這主要是因為無(wú)線(xiàn)接入點(diǎn)其是采用共享帶寬機制。同一個(gè)無(wú)線(xiàn)接入點(diǎn)上接入的客戶(hù)端越多，其客戶(hù)端可以得到的最大帶寬也就越少。為此在信號強度滿(mǎn)足要求的情況下，在不同的無(wú)線(xiàn)接入點(diǎn)之間合理分配客戶(hù)端，可以提高帶寬的利用率，提高無(wú)線(xiàn)網(wǎng)絡(luò )的性能。