玩转无线交换机 组建无线网实战攻略

　　WLAN交换机能够通过有线连接(借助一个交换机端口)连接到WLAN接入点(AP)。它们还能通过它们的其他交换机端口连接到企业网络。这些交换机是连接到企业有线网络的“网关”――所有来自于WLAN客户端的数据帧都必须通过WLAN交换机发送到企业网络。

　　要理解WLAN交换机的功能及其在网络中的应用，首先需要了解WLAN的网络架构和接入点的功能。我们可以将WLAN交换机视为控制设备，将AP视为无线终端。

　　本文将通过详细剖析WLAN的网络架构和AP、控制器的功能，阐明WLAN交换机和控制器的作用。本文还将介绍控制器到AP之间接口的不同功能。之后，本文将说明集中式架构中与第二/三层移动有关的变量，最终还将指出关于这些架构的一些常见错误观点和实际情况。

　　本文用无线终端(WTP)一词来泛指AP，用接入控制器(AC)一词来泛指WLAN控制功能(无论是部署在WLAN交换机还是独立控制器上)。

　　WLAN网络的主要架构

　　常见的WLAN网络架构主要有三种：

　　1. 自治式架构

　　2. 集中式架构

　　3. 分布式架构

　　下面几节将深入地介绍这三种架构。

　　自治式架构

　　在自治式架构中，WTP完全部署和端接802.11功能。因此，有线局域网上的数据帧全部都是802.3帧。每个WTP都可以作为网络上的一个单独的网络实体，进行独立的管理。这种网络中的接入点通常被称为“胖AP”(参见图1)。

　　

　　图1. 自治式WLAN网络中的胖AP

　　在WLAN部署的发展初期，大部分AP都是自治式AP，可以作为独立的网络实体进行管理。在过去几年中，采用AC和WTP的集中式架构(详见下文)开始受到越来越广泛的关注。集中式架构的主要优势在于，对于企业中的多个WTP，它能为网络管理员提供一种结构化的、层次化的控制模式。

　　集中式架构

　　集中式架构是一种层次化的架构，包括一个负责配置、控制和管理多个WTP的WLAN控制器。WLAN控制器也被称为接入控制器(AC)。802.11功能由WTP和AC共同承担。与自治式架构相比，这种模式中的WTP的功能有所减弱，因此它们又被称为“瘦AP”。AP上的部分功能是可变的，详见下一节的介绍(参见图2)。

　　

　　图2 集中式WLAN网络架构中的瘦AP

　　分布式架构

　　在分布式架构中，不同的WTP通过有线或者无线连接，与其他WTP建立起分布式网络。一个由WTP组成的网状网就是这种架构的典型例子。网状网中的WTP可以与802.11链路或者有线802.3链路相连接。这种架构通常用在城市网络和其他需要“室外”组件的部署之中。分布式架构不属于本文的讨论范围。

　　WTP功能――胖、瘦和适中AP

　　要理解自治式和集中式架构，首先需要分析AP所执行的功能。我们首先从胖AP开始谈起，它构成了自治式架构的核心。之后我们将介绍瘦AP，它是基于WLAN交换机或者控制器的集中式架构的重要组成部分。本文随后将介绍一种名为“适中AP”的新型组件的功能。它是一种专门针对集中式架构进行了优化的AP.

　　胖接入点

　　图1显示了一个采用胖接入点的自治式网络。AP是网络中的一个可以寻址的节点，在其接口上具有自己的IP地址。它能在有线和无线接口之间转发流量。它还可以拥有多个有线接口，在不同的有线接口之间转发流量――类似于一台第二层或者第三层交换机。与企业有线网络的连接能通过一个第二层或者第三层网络实现。

　　值得注意的一点是，胖AP不会通过隧道向其他设备“返回”流量。这个特点非常重要，本文在介绍其他AP类型时还将提及这一点。另外，胖AP能提供“类似于路由器”的功能，例如动态主机配置协议(DHCP)服务器功能。

　　AP的管理是通过一种协议(例如简单网络管理协议[SNMP]，或者用于Web管理的超文本传输协议[HTTP])和一个命令行接口进行的。为了管理多个AP，网络管理员必须通过这些管理机制之一连接每个AP.每个AP在网络拓扑图上都显示为一个单独的节点。任何用于管理、控制的节点汇聚都必须在网络管理系统(NMS)级别完成，这包括开发一个NMS应用。

　　胖AP还增强了多种功能，例如准许对特定WLAN客户端的流量进行过滤的访问控制列表(ACL)。这些设备的另外一个重要的功能是对与服务质量(QoS)有关的功能的配置和实施。例如，来自特定移动基站的流量可能需要高于其他流量的优先级。或者，您可能需要为来自于移动基站的流量插入和实施 IEEE 802.1p优先级，或者差分服务代码点(DSCP)。总而言之，因为这些AP能够提供交换机或者路由器的很多功能，它们可以在一定程度上充当交换机或者路由器。

　　这种AP的不足在于复杂性。胖AP通常建立在功能强大的硬件的基础上，需要复杂的软件。因为比较复杂，这些设备的安装和维护成本很高。尽管如此，这些设备在小型网络中也能发挥一定的作用。

　　有些胖AP在后端针对控制和管理功能采用了一个控制器。这些控制器会形成胖AP的一个略微简化的版本――即所谓的“适中AP”，下文将详细加以介绍。

　　瘦接入点

　　顾名思义，瘦AP的目的是降低AP的复杂性。对其进行简化的一个重要原因是AP的位置。很多企业都对AP采用了高密度安装的方式(因为分布在一些很难进入的区域)，以便为每个基站提供最佳的射频连接。在仓库等特殊环境中，这种现象表现得更加明显。由于这些原因，网络管理人员希望只安装一次AP，而不需要对其进行复杂的维护。

　　瘦AP通常又被称为“智能天线”，它们的主要功能是接收和发送无线流量。它们会将无线数据帧发回到一个控制器，然后对这些数据帧进行处理，再交换到有线WLAN(参见图2)。

　　这种AP使用了一个(通常是加密的)隧道来将无线流量发回到控制器。最基本的瘦AP甚至不进行WLAN加密，例如有线等效加密(WEP)或者 WiFi受保护接入(WPA/WPA2)。这种加密由控制器完成――AP只负责发送或者接收经过加密的无线数据帧，从而保持AP的简便性，避免升级其硬件或者软件的必要性。

　　WPA2的面世使得在控制器上进行加密变成了一项非常迫切的任务。虽然WPA在硬件上与WEP兼容，只需要进行固件升级，但是WPA2并不向后兼容。网络管理人员不需要更换整个企业的AP，而是只需要将无线流量发送到能够进行WPA2解密的控制器，之后数据帧将会被发送到有线局域网。

　　在AP和控制器之间传输控制和数据流量的协议是专用的。而且，无法在第二/三层，将AP作为一个统一的实体加以管理――它可能通过控制器进行管理，而NMS能通过HTTP、SNMP或者CLI/Telnet与控制器进行通信。一个控制器可以管理和控制多个AP，这意味着控制器应当基于功能强大的硬件，并且通常能够执行交换和路由功能。另外一个重要的要求是，AP和AC之间的连接和隧道应当确保这两个实体之间的分组延时保持在很低的水平。

　　对于瘦AP而言，QoS的执行和基于ACL的过滤都是由控制器处理的――这并不会导致问题，因为所有来自AP的数据帧在任何情况下都必须经由控制器传输。ACL和QoS的集中控制功能也并不罕见――使用胖AP的网络也采用了这种方式。这种安装方式将控制器作为管理从AP到有线网络的流量的网关。但是，瘦AP的控制器功能采用了一种新的方式，尤其是在数据层面和转发功能方面。控制器功能被集成到连接无线和有线局域网的以太网交换机之中――这催生了称为“WLAN交换机”的设备系列。

　　在这种情况下，无线MAC架构被称为远程MAC架构。整套802.11 MAC功能都被转移到WLAN控制器上，包括对延时敏感的MAC功能。

　　适中接入点

　　适中AP也在得到越来越广泛的欢迎，因为它们结合了胖AP和瘦AP的优点。适中AP能够在提供无线加密功能的同时，利用AC进行实际的密钥交换。这种方式被用于使用最新的、支持WPA2的无线芯片组的新型AP.管理和策略功能由通过隧道连接到多个AP的控制器执行。

　　而且，适中AP还提供了一些额外的功能，例如让基站能通过DHCP获得IP地址的DHCP中继功能。另外，适中AP能够执行基于服务集标识符(SSID)的VLAN标记功能，让客户端可以与AP建立关联(在AP支持多个SSID的情况下)。

　　适中AP支持两种类型的MAC部署，即本地MAC和分离MAC架构。本地MAC指的是所有无线MAC功能都在AP执行。完整802.11 MAC功能(包括管理和控制帧的处理)都由AP执行。这些功能包括一些对时间敏感的功能(也被称为实时MAC功能)。

　　分离MAC架构会在AP和控制器之间分配MAC功能。实时MAC功能包括信标生成，检测信号传输和响应，控制帧处理(例如Request to Send和Clear to Send，即RTS和CTS)，重新传输等。非实时功能包括身份验证和解除验证;关联和重新关联;以太网和无线局域网之间的桥接;以及分段等。

　　不同供应商的产品在AP和控制器之间分配功能的方式有所不同。在某些情况下，甚至它们对实时的定义也有所不同。一种常见的适中AP实施包括AP的本地MAC，以及AP的管理和控制功能。

　　接入控制器和控制功能

　　集中式WLAN架构的下一个关键组件是接入控制器(AC)。在下文中，我们认为控制器功能部署在一台WLAN交换机上，并将该功能称为AC.我们还用“WTP”一词指代AP(包括胖、瘦或者适中)。

　　IETF的无线接入点的控制和配置(CAPWAP)工作小组正在定义AP及其所控制的WTP之间的接口和协议。本节将用CAPWAP框架来详细介绍AC和WTP之间的接口。[3，4，5]

　　图3显示了一个包含多个AC和WTP的企业网络。WTP能通过一个第二层(交换)或者第三层(路由)网络连接到AC.WTP和AC之间的接口负责下列功能：

　　* 通过WTP发现和选择一个AC

　　* 通过AC将固件下载到WTP――在启动和WTP触发之后

　　* WTP和AC之间的功能协商

　　* WTP和AC之间的双向身份验证

　　* WTP和AC之间的配置、状态和统计数据交换

　　* 有线和无线网段之间的QoS映射

　　

　　图3 ：使用多个AC、WTP和CAPWAP协议的集中式WLAN架构

　　园区网络和互联网

　　WLAN交换机/接入控制器(AC)

　　第二/三层网络 AC和WTP之间的、用于配置和控制的CAPWAP协议

　　第二/三层网络

　　无线网络上的802.11帧 无线局域网端接点(WTP)

　　另外，尽管CAPWAP并没有明确定义所有细节，但是AC可以通过配置和监控它所控制的区域中的不同接入点，执行无线资源管理(RRM)和恶意 AP检测等功能。这些功能的范围会因为供应商部署方式的不同而有所不同。AC提供的另外一项重要功能是移动管理。以下章节将在CAPWAP的基础上，提供更多关于这些功能的细节。请注意，截止到本文撰写时为止，IETF仍然在制定基于思科轻型接入点协议(LWAPP)的CAPWAP协议(2006年3 月)。

　　AC的发现和选择

　　WTP可以通过发现请求消息，发现可供连接的AC.一个或者多个AC(根据网络拓扑的不同)会响应这些请求消息。AC和WTP之间的通信是通过用户数据报协议(UDP)进行的。WTP会决定连接哪一个AC，再试图与该AC建立一个安全的会话。后续的CAWAP分组将通过安全会话发送。

　　接着，AC和WTP之间会进行配置交换。这些交换包括：

　　* IEEE SSID

　　* 安全参数(用于WEP、WPA和WPA2)

　　* 广播的数据速率(11或者54Mbps)

　　* 需要使用的无线通道

　　CAPWAP功能

　　CAPWAP控制消息包括下列消息类型：

　　* 发现

　　* WTP配置-用于向WTP发布一个特定的配置，以及从WTP获取统计信息;统计信息包括下列信息：

　　* 分段数据帧的个数，以及发送、接收的组播数据帧的个数

　　* 发送重试的次数，过度重试的次数(失败次数)

　　* 成功发送和失败的发送请求(RTS)的个数

　　* 出错数据帧的个数：重复数据帧，错误确认，解密错误，帧检查序列(FCS)错误数等

　　配置包括信标期限、最大发送功率等级、正交频分多路复用(OFDM)控制、天线控制、支持速率、QoS和加密等。

　　* 移动会话管理-向WTP发布特定的移动策略

　　AC能添加关于特定移动设备的策略信息，包括WTP应当为该移动设备使用的安全参数。它可能包括WTP是否应当为该移动设备转发或者丢弃流量。

　　* 固件管理――用于向WTP发布特定的固件镜像。

　　AC和WTP交互

　　WTP能提供多种信息，例如硬件、软件或者引导版本;最大无线频段数;当前使用的无线频段;加密功能;无线频段类型(802.11b/g/a/n);MAC类型(本地、分离或者两者皆有);隧道模式;以及AC和WTP之间的帧类型(例如，本地桥接或者自带桥接――即将所有用户载荷封装为原始无线帧)。

　　AC信息包括硬件或者软件版本，目前与AC关联的移动基站的个数，目前连接到AC的WTP个数，所有这些设备的最大数量，AC和WTP之间的安全参数(身份验证证书)，控制IPv4或者IPv6地址等。

　　因为WTP属于“适中AP”，它们还能配置一个来自AC的IP地址。另外一个可供配置的参数是MAC地址级别的ACL.

　　随时可以通过AC重启(重新设定)WTP.WTP能独立地通过一个镜像数据请求来索取一个新的镜像，之后接收镜像数据响应和镜像数据本身。

　　在WTP确定需要向AC发送重要的信息时，WTP会发出事件。这些信息可能包括用于从WTP向AC发送调试信息的数据传输消息。

　　无线资源管理

　　无线资源管理是一个通用词汇，用以描述在AP上对无线频段的控制和配置。控制的类型包括自动地或者根据用户的输入降低和提高强度――例如，如果由一个AC控制的两个WTP互相干扰，那么AC会向其中一个AP发送一个信号，降低它的强度。它还可以根据用户的配置执行该操作。

　　有些WTP还被设置为能够充当“无线监视器”;即它们能在不发送数据时监控通道。人们目前对于这种WTP使用模式的有效性还存有一定的争议―― 有些供应商使用专门的无线监视器，而不是让它们的WTP承担双重职能。在使用专用无线监视器的情况下，无需担心降低客户基站服务质量的降低，就能扫描和监视所有通道。

　　无线监视器能将所有与其他接入点有关的信息转发到AC.AC能够判断信息针对的是一个有效的WTP(即的确存在于网络之上，并且已经注册到AC)，还是一个“恶意”接入点。如果针对的是一个恶意接入点，AC可以执行多个步骤，防止客户端连接到该AP――例如，它可以命令无线监视器通过提高同一个通道上的发射功率，“阻止”这个恶意AP.

　　移动管理

　　移动管理可以采取两种形式――第二层和第三层移动。假设一个客户端从一个WTP移动到另外一个WTP――当一个使用笔记本电脑的用户在同一栋大楼的两个会议室之间移动时，可能会发生这种情况。客户基站会重新关联新的WTP，之后进行身份验证。请注意，在它与新的AP“建立起” 关联之前，它与原先的AP的关联会被“中断”;因此WLAN中的切换被称为“先中断，后建立”。虽然这种方式可能导致潜在的流量中断(和重新传输)，但是它仍然优于“先建立，后中断”(用于蜂窝网络的通信)，可以保持客户端无线连接的简便和廉价。

　　理解第二层和第三层移动的方法之一是将第二层移动视为在受同一个AC控制的(即隶属于同一个第三层网络)AP之间的移动，而第三层移动则是在受不同AC控制的AP之间的移动。

　　第二层移动网络管理

　　第二层移动意味着当基站从一个WTP移动到另外一个时，IP寻址能力不会受到影响，这意味着所有的AP都位于同一个第二层网络上，即它们都连接到同一个AC(参见图4)。为了防止发送第二层客户端的数据丢失，WLAN交换机现在必须将客户端数据转发到新的WTP.在客户端关联之后，新的WTP会发出一个以太网帧到AC，并将客户端的MAC地址作为源地址。交换机现在能将客户端的MAC地址关联到连接新WTP的端口。

　　虽然这种流程适用于AP和AC之间的第二层(交换网络)连接，但是在它们之间使用隧道连接时，需要一种略有不同的方法。AC会在从新的WTP收到MAC帧之后，将客户端的映射转移到一个不同的隧道(即一个虚拟端口)。

　　第二层切换的另外一个需要考虑的问题是WTP的数据缓存。在正常情况下，交换机或者AC在从新的WTP收到信息之前不会意识到切换的必要性。但是，如果WTP具有增强的统计信息，它就可以判定某个特定的客户端已经从原先的WTP移出，从而停止向原先的WTP转发数据。这些统计信息可能包括：无线链路上的载波侦听多点接入/冲突避免(CSMA/CA)MAC层协议的最大重试次数。交换机并不需要缓存数据，因为它并不清楚什么时候需要切换到新的 WTP.这种方式有助于避免在原有WTP和AC之间的链路上浪费流量。

　　有些供应商借助胖AP，为解决这个问题采取了一种不同的方法。根据这种方法，AP会在从交换机收到一个表明客户端已经转移到另一个交换机端口的数据帧之前，一直缓存流量。这些AP能将缓存的流量发送到交换机，再由交换机转发流量到新的WTP.因为我们的目的是降低WTP的复杂性，这种方法在集中式AC+WTP架构中显然不是首选的方法。

　　第二层漫游的另一个重要特点是需要在新的WTP上进行预先身份验证。通过802.11i，客户端可以针对相邻WTP进行预先身份验证，以使得向不同WTP的漫游不需要经历冗长的身份验证流程，即不需要向新WTP发送双主密钥(PMK)。(但是仍然需要获得双过渡密钥[PTK].)

　　当AC为某个特定客户端保持PMK时(通过与一个RADIUS服务器的交互)，该流程将自动进行――即AC将针对客户端的PMK发送到新的WTP.802.11帧的加密仍然利用新的PTK，由原有的和新的WTP完成。

　　第三层移动网络管理

　　第三层移动需要客户端在多个AP之间漫游时保持相同的IP地址。这通常发生在客户向多个节点发布了它的IP地址的情况下。这种情况往往出现在对等通信中，即移动基站需要为某种功能充当服务器时。理想的情况是，无论移动节点在何时转移到一个新的第三层网络，与该移动节点通信的其他节点都不需要更改它们的配置。

　　移动IP解决了第三层移动所存在的问题[6].我们在这里并不打算讨论移动IP的具体细节，但是需要指出的是，它包含三个不同的组件。客户端本地网络上的本地代理(HA)负责客户端的地址。所有发送客户端的(不变)IP地址的分组都被发送到本地代理。如果客户端位于本地网络上，HA会直接将分组转发到客户端。如果它位于一个外部网络或者受访网络上，HA会将分组转发到一个位于受访网络上的外部代理(FA)。

　　为此，它必须设置一个指向FA的隧道――这通常是一个通用路由封装(GRE)或者IP-in-IP隧道。

　　在从隧道中分离出原始分组之后，FA负责将该分组转发到客户端。这只是大概的描述，实际上其中涉及到大量其他的步骤。在无线局域网中，实现第三层客户端移动的关键在于移动IP终端所在的位置。有些客户基站包括一个针对MIP客户端的软件堆栈。

　　这种客户端MIP(CMIP)软件会：

　　* 分离分组中的MIP报头

　　* 插入一个新的报头，让客户端的高层应用确信该分组是发往该客户端在外部网络上的IP地址的

　　*

　　CMIP方法是部署MIP的推荐方法。但是它的不足在于，必须为网络中的每个移动基站添加一个MIP客户端――在存在大量的移动基站时，这种配置可能相当繁琐。

　　集中式AC+WTP架构为解决这个问题提供了一个途径。有些AC/WLAN交换机供应商在AC上部署了MIP功能，以使得客户端不需要进行改动。有些部署将其称为代理MIP功能。

　　AC能充当一个FA，端接来自于HA的隧道，以及在转发分组到客户端时，对发往客户端在受访网络上的地址的分组进行解析。在客户端发出第三层分组时，它会通过AC发送这些分组，进而修改源IP地址的报头，通过隧道将这些分组发送到HA.这种流程被称为“反向隧道”(参见图4)。

　　

　　图4 集中式WLAN网络架构中的第二层和第三层移动

　　企业网络

　　AC充当基站A的移动IP本地代理??

　　AC充当基站A的移动IP外部代理(FA)和代理MIP 客户端

　　WLAN交换机/接入控制器(AC)

　　第二层网络 第二层网络

　　基站A 第二层移动客户端转移到同一个AC上的AP

　　基站A 漫游到同一个第三层网络上的AP

　　基站A 漫游到不同第三层网络上的AP

　　第三层移动-在移动基站从AP移动到不同AC时

　　在考虑一个包含多个AC和AP的大型企业网络拓扑时，您可以考虑在不同AC之间建立MIP隧道。(即，它们充当一组用户的外部代理，以及另外一组用户的本地代理)从可扩展性的角度来说，AC必须具有足够的处理能力和交换容量(交换从AP到AC的隧道到AC之间的隧道)。

　　WLAN交换机和集中式架构――常见的错误观点

　　前面几节介绍了集中式AC+WTP架构的不同方面，以及一些值得注意的部署要素。本节将介绍关于这些架构及其部署的一些常见的错误观点，目的是更好地检查这个尚处于发展阶段的领域。

　　* 错误观点1：AC需要执行交换功能――因而被命名为WLAN交换机。

　　AC并不需要达到这样的要求。事实上，最早的AC都是一些附加设备(例如运行Linux的PC)。控制功能是部署的重要组成部分――交换通常被用于加快对AP收发的流量的转发速度。

　　* 错误观点2：恶意WTP检测是AC的一项标准功能。

　　在某些部署中需要该功能，但是这并非是必要的“标准”。一个原因是，各个供应商在这方面采取了不同的做法(例如，他们用来将WTP划分为恶意WTP的算法)。另外一个原因是，AC必须依靠AP或者无线监视器，这种依赖性会随着部署方式的不同而不同。

　　* 错误观点3：胖、瘦和适中AP之间的界限是非常明确的。

　　目前存在很多种不同的AP(和AC)功能实现方式，因此这种观点并不一定是正确的。如需查看一个WTP和AC实现的分类(快照)范例，请参阅RFC 4118[4].

　　* 错误观点4：第二层和第三层移动是AC+WTP架构的标准功能。

　　这种观点实际上是错误的。针对第三层移动部署的代理MIP只是往这个方向迈出的一步，而大部分AC供应商都依靠专用的机制提供AC-AC通信和第三层移动功能。

　　* 错误观点5：安全功能(例如防火墙、入侵检测等)不属于AC的功能。

　　一些供应商的做法已驳斥了这种观点：他们将这些功能加入到了他们的AC之中。这是供应商树立特色的途径之一。

　　总结

　　本文通过详细介绍依靠集中式控制器管理一组无线终端的架构，阐述了WLAN交换机的功能和部署。本文列出了CAPWAP控制功能的主要特性，以及在部署AC+WTP架构时，与第二层、第三层移动有关的一些问题。尽管IETF正在为这个新兴的领域制定标准协议，供应商仍然有足够的空间树立自己的特色。