本节书摘来自异步社区《CCNA无线640-722认证考试指南》一书中的第9章,第9.3节集中式架构,作者 【美】David Hucaby,更多章节内容可以访问云栖社区“异步社区”公众号查看
9.3 集中式架构
CCNA无线640-722认证考试指南
由于自主式AP在管理其RF操作方面相当困难,作为网络管理员,必须选择和配置每个AP使用的信道,需要检测和处理可能产生干扰的任何欺诈AP,而且还必须管理发射功率电平等类似问题,以确保足够的无线覆盖,不会产生太多的交叠,不存在覆盖盲区——即使某个AP的无线电出现了故障。
管理无线网络的安全性也是一件很困难的事情。每个自主式AP都要处理自己的安全策略,无线网络与有线网络之间没有集中的入口点,这就意味着没有很方便的位置来监控流量,实施入侵检测和入侵防护、服务质量以及带宽策略等操作。
CUWN(Cisco Unified Wireless Network,Cisco统一无线网络)是一种集中式的统一网络架构,可以克服分布式自主AP带来的这些问题。为了构建这样的网络架构,需要将自主式AP的很多功能转移到某些中心位置。如图9-5所示,自主式AP完成的很多工作都可以分为两大类:左侧的实时进程和右侧的管理进程。
实时进程包括发送和接收802.11帧、信标以及探测消息。802.11数据加密也是实时处理的(逐包方式)。AP 必须与无线客户端在较低的层次——称为MAC(Media Access Control,介质访问控制)层进行交互,这些实时功能必须放在最靠近客户端的AP上。
管理功能不属于通过RF信道处理帧的密不可分的一部分,但这些功能应该集中管理,因此将这些管理功能迁移到远离AP的集中设置的平台上。
在CUWN架构中,LAP(Lightweight Access Point,轻量级接入点)仅执行实时的802.11操作。命名为LAP的原因是与传统的自主式AP相比,LAP剥离了代码映像和本地智能或者进行了大量简化。
管理功能通常由WLC(Wireless LAN Controller,WLAN控制器)完成,大量LAP共用一个WLC。从图9-5下半部分可以看出,左侧的LAP主要负责第一层和第二层(帧通过这两层进出RF域)功能。对于认证用户、管理安全策略以及选择RF信道和输出功率等其他功能来说,LAP则完全依赖于WLC。
提示:
请记住,轻量级AP极度依赖网络中的WLC,无法单独运行。
9.3.1 Split-MAC架构
通常将LAP-WLC的任务分工称为Split-MAC(分离MAC)架构,此时普通的MAC操作被划分到两个截然不同的位置。网络中的LAP出现这种情况时,每个都必须重启并绑定到WLC上,以支持无线客户端。WLC将成为集中式Hub,可以支持散落在网络中的大量LAP。
那么LAP是如何绑定WLC以形成一个完整的工作AP呢?LAP与WLC之间必须使用隧道协议来承载与802.11相关的消息以及客户端数据。LAP和WLC可以位于同一个VLAN或IP子网中,但也不必如此,LAP和WLC完全可以位于两个不同地点的两个不同IP子网中。
CAPWAP(Control and Provisioning of Wireless Access Points,无线接入点控制和配置协议)隧道协议可以完成该上述工作,负责将LAP和WLC之间的数据封装到新IP包中,然后通过园区网交换或路由这些隧道化数据。从图9-6可以看出,CAPWAP实际上包含两种隧道。
CAPWAP控制消息:负责交换用于配置LAP并管理其操作的消息。所有控制消息都要经过认证和加密(因而LAP仅受WLC的安全控制),然后再通过UDP端口5246(在控制器端)进行传送。
CAPWAP数据:用来传送去往和来自与LAP相关联的无线客户端的数据包。通过UDP端口5427(在控制器端)来传送这些数据包,但是默认不加密这些数据包。如果在LAP上启用了数据加密操作,那么这些数据包就能受到DTLS(Datagram Transport Layer Security,数据报传输层安全)的保护。
提示:
CAPWAP定义在RFC 5415、5416、5417和5418中,CAPWAP基于LWAPP
(Lightweight Access Point Protocol,轻量级接入点协议),而LWAPP属于传统的Cisco专有解决方案。
每个 AP 和 WLC 都必须通过数字证书进行相互认证。所有设备在出售时都已经预装了X.509证书。通过后台的证书操作,每台设备在加入CUWN之前都能得到正确认证。该进程有助于确保不将欺诈LAP或WLC(或者假冒为LAP或WLC的设备)引入网络。有关LAP-WLC关联的问题将在第11章进行详细讨论。
CAPWAP隧道允许LAP和WLC在地理上或逻辑上分开,而且打破了两者在二层连接上的依赖性。例如,图9-7通过两片阴影区域来表示VLAN 100的范围。请注意,VLAN 100位于WLC和SSID 100的无线区域(靠近无线客户端),但不在LAP和WLC之间。所有去往和来自与SSID 100相关联的客户端的流量都被封装到CAPWAP数据隧道中经网络基础设施进行传送。
从WLC到一个或多个LAP的CAPWAP隧道建立完成之后,WLC就可以提供多种附加功能。WLC完全可以解决前面讨论过的传统自主式WLAN架构出现的各种难题和缺陷。
动态信道分配:WLC 能够根据区域内其他活跃接入点的情况,自动为每个LAP选择和配置RF信道。
发射功率优化:WLC能够根据所需的覆盖区域,自动设置每个LAP的发射功率。
自愈的无线覆盖:当网络中某个LAP的无线电出现故障时,可以自动加大周围LAP的发射功率,解决覆盖盲区问题。
灵活的客户端漫游:客户端可以在LAP之间快速实现二层或三层漫游。
动态客户端负载均衡:如果两个或多个LAP覆盖相同的地理区域,那么WLC就能将客户端关联到最轻载的LAP上,在多个LAP之间分发客户端负载。
RF监控:WLC负责管理所有的LAP,因而能够扫描信道以监控RF的使用情况。通过侦听信道,WLC可以远程收集RF干扰、噪声、来自相邻LAP的信号以及来自欺诈AP或Ad hoc客户端的信号等信息。
安全管理:WLC能够通过集中式服务来认证客户端,要求无线客户端在关联并访问WLAN之前,必须从受信的DHCP服务器获得IP地址。
无线入侵防护系统:WLC可以利用其中心位置来监控客户端数据,以检测并防范各种恶意行为。
9.3.2 CUWN中的流量模型
前面曾经说过,自主式AP负责桥接无线BSS与有线VLAN之间的流量。为了得到来往有线网络的流量,AP必须依赖其与DS(Distribution System,分布系统)的连接。LAP的工作方式与此类似,唯一的区别在于BSS与DS之间被网络基础设施间隔了一定距离,这段距离通过CAPWAP隧道进行连接。
以图9-9所示网络为例。该WLAN网络由LAP和WLC组成,两个无线客户端关联到该网络上,从客户端B到有线网络某主机的流量将经过LAP以及CAPWAP数据隧道,到达WLC,然后再由WLC发送到交换式园区网。
对于交换式园区网络基础设施来说,由于WLC位于中心位置且带宽足够大,因而此时的CUWN流量模型不是一个大问题。假设网络扩展到包含了多个远程站点,在这些远程站点均配置了LAP,但是只有总部园区拥有唯一的WLC。这种场景将强制无线流量经过远程站点和总部站点之间的CAPWAP隧道,然后才能通过该CAPWAP隧道返回远程站点。这种流量路径的效率非常低,特别是在远程站点带宽有限的情况下。
为了解决低效问题,可以在远程站点LAP上使用FlexConnect 模式。此时需要穿越CAPWAP隧道去往WLC的远程站点流量仍然按照常规方式进行传送,但是去往远程站点网络的无线流量则可以留在远程站点内。远程站点LAP能够在本地交换这些流量,而无需穿越CAPWAP隧道。即便远程站点链路出现了故障,导致CAPWAP隧道完全中断,FlexConnect模式仍允许LAP进行本地的流量交换,从而维持远程站点内部无线连接的可用性。
提示:
以前曾经将FlexConnect称为H-REAP(Hybrid Remote Edge Access Point,混合远程边缘接入点)。
