本節書摘來自異步社群《ccna無線640-722認證考試指南》一書中的第9章,第9.3節集中式架構,作者 【美】david hucaby,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
9.3 集中式架構
ccna無線640-722認證考試指南
由于自主式ap在管理其rf操作方面相當困難,作為網絡管理者,必須選擇和配置每個ap使用的信道,需要檢測和處理可能産生幹擾的任何欺詐ap,而且還必須管理發射功率電平等類似問題,以確定足夠的無線覆寫,不會産生太多的交疊,不存在覆寫盲區——即使某個ap的無線電出現了故障。
管理無線網絡的安全性也是一件很困難的事情。每個自主式ap都要處理自己的安全政策,無線網絡與有線網絡之間沒有集中的入口點,這就意味着沒有很友善的位置來監控流量,實施入侵檢測和入侵防護、服務品質以及帶寬政策等操作。
cuwn(cisco unified wireless network,cisco統一無線網絡)是一種集中式的統一網絡架構,可以克服分布式自主ap帶來的這些問題。為了建構這樣的網絡架構,需要将自主式ap的很多功能轉移到某些中心位置。如圖9-5所示,自主式ap完成的很多工作都可以分為兩大類:左側的實時程序和右側的管理程序。
實時程序包括發送和接收802.11幀、信标以及探測消息。802.11資料加密也是實時處理的(逐包方式)。ap 必須與無線用戶端在較低的層次——稱為mac(media access control,媒體通路控制)層進行互動,這些實時功能必須放在最靠近用戶端的ap上。
管理功能不屬于通過rf信道處理幀的密不可分的一部分,但這些功能應該集中管理,是以将這些管理功能遷移到遠離ap的集中設定的平台上。
在cuwn架構中,lap(lightweight access point,輕量級接入點)僅執行實時的802.11操作。命名為lap的原因是與傳統的自主式ap相比,lap剝離了代碼映像和本地智能或者進行了大量簡化。
管理功能通常由wlc(wireless lan controller,wlan控制器)完成,大量lap共用一個wlc。從圖9-5下半部分可以看出,左側的lap主要負責第一層和第二層(幀通過這兩層進出rf域)功能。對于認證使用者、管理安全政策以及選擇rf信道和輸出功率等其他功能來說,lap則完全依賴于wlc。
提示:
請記住,輕量級ap極度依賴網絡中的wlc,無法單獨運作。
9.3.1 split-mac架構
通常将lap-wlc的任務分工稱為split-mac(分離mac)架構,此時普通的mac操作被劃分到兩個截然不同的位置。網絡中的lap出現這種情況時,每個都必須重新開機并綁定到wlc上,以支援無線用戶端。wlc将成為集中式hub,可以支援散落在網絡中的大量lap。
那麼lap是如何綁定wlc以形成一個完整的工作ap呢?lap與wlc之間必須使用隧道協定來承載與802.11相關的消息以及用戶端資料。lap和wlc可以位于同一個vlan或ip子網中,但也不必如此,lap和wlc完全可以位于兩個不同地點的兩個不同ip子網中。
capwap(control and provisioning of wireless access points,無線接入點控制和配置協定)隧道協定可以完成該上述工作,負責将lap和wlc之間的資料封裝到新ip包中,然後通過園區網交換或路由這些隧道化資料。從圖9-6可以看出,capwap實際上包含兩種隧道。
capwap控制消息:負責交換用于配置lap并管理其操作的消息。所有控制消息都要經過認證和加密(因而lap僅受wlc的安全控制),然後再通過udp端口5246(在控制器端)進行傳送。
capwap資料:用來傳送去往和來自與lap相關聯的無線用戶端的資料包。通過udp端口5427(在控制器端)來傳送這些資料包,但是預設不加密這些資料包。如果在lap上啟用了資料加密操作,那麼這些資料包就能受到dtls(datagram transport layer security,資料報傳輸層安全)的保護。
capwap定義在rfc 5415、5416、5417和5418中,capwap基于lwapp
(lightweight access point protocol,輕量級接入點協定),而lwapp屬于傳統的cisco專有解決方案。
每個 ap 和 wlc 都必須通過數字證書進行互相認證。所有裝置在出售時都已經預裝了x.509證書。通過背景的證書操作,每台裝置在加入cuwn之前都能得到正确認證。該程序有助于確定不将欺詐lap或wlc(或者假冒為lap或wlc的裝置)引入網絡。有關lap-wlc關聯的問題将在第11章進行詳細讨論。
capwap隧道允許lap和wlc在地理上或邏輯上分開,而且打破了兩者在二層連接配接上的依賴性。例如,圖9-7通過兩片陰影區域來表示vlan 100的範圍。請注意,vlan 100位于wlc和ssid 100的無線區域(靠近無線用戶端),但不在lap和wlc之間。所有去往和來自與ssid 100相關聯的用戶端的流量都被封裝到capwap資料隧道中經網絡基礎設施進行傳送。
從wlc到一個或多個lap的capwap隧道建立完成之後,wlc就可以提供多種附加功能。wlc完全可以解決前面讨論過的傳統自主式wlan架構出現的各種難題和缺陷。
動态信道配置設定:wlc 能夠根據區域内其他活躍接入點的情況,自動為每個lap選擇和配置rf信道。
發射功率優化:wlc能夠根據所需的覆寫區域,自動設定每個lap的發射功率。
自愈的無線覆寫:當網絡中某個lap的無線電出現故障時,可以自動加大周圍lap的發射功率,解決覆寫盲區問題。
靈活的用戶端漫遊:用戶端可以在lap之間快速實作二層或三層漫遊。
動态用戶端負載均衡:如果兩個或多個lap覆寫相同的地理區域,那麼wlc就能将用戶端關聯到最輕載的lap上,在多個lap之間分發用戶端負載。
rf監控:wlc負責管理所有的lap,因而能夠掃描信道以監控rf的使用情況。通過偵聽信道,wlc可以遠端收集rf幹擾、噪聲、來自相鄰lap的信号以及來自欺詐ap或ad hoc用戶端的信号等資訊。
安全管理:wlc能夠通過集中式服務來認證用戶端,要求無線用戶端在關聯并通路wlan之前,必須從受信的dhcp伺服器獲得ip位址。
無線入侵防護系統:wlc可以利用其中心位置來監控用戶端資料,以檢測并防範各種惡意行為。
9.3.2 cuwn中的流量模型
前面曾經說過,自主式ap負責橋接無線bss與有線vlan之間的流量。為了得到來往有線網絡的流量,ap必須依賴其與ds(distribution system,分布系統)的連接配接。lap的工作方式與此類似,唯一的差別在于bss與ds之間被網絡基礎設施間隔了一定距離,這段距離通過capwap隧道進行連接配接。
以圖9-9所示網絡為例。該wlan網絡由lap和wlc組成,兩個無線用戶端關聯到該網絡上,從用戶端b到有線網絡某主機的流量将經過lap以及capwap資料隧道,到達wlc,然後再由wlc發送到交換式園區網。
對于交換式園區網絡基礎設施來說,由于wlc位于中心位置且帶寬足夠大,因而此時的cuwn流量模型不是一個大問題。假設網絡擴充到包含了多個遠端站點,在這些遠端站點均配置了lap,但是隻有總部園區擁有唯一的wlc。這種場景将強制無線流量經過遠端站點和總部站點之間的capwap隧道,然後才能通過該capwap隧道傳回遠端站點。這種流量路徑的效率非常低,特别是在遠端站點帶寬有限的情況下。
為了解決低效問題,可以在遠端站點lap上使用flexconnect 模式。此時需要穿越capwap隧道去往wlc的遠端站點流量仍然按照正常方式進行傳送,但是去往遠端站點網絡的無線流量則可以留在遠端站點内。遠端站點lap能夠在本地交換這些流量,而無需穿越capwap隧道。即便遠端站點鍊路出現了故障,導緻capwap隧道完全中斷,flexconnect模式仍允許lap進行本地的流量交換,進而維持遠端站點内部無線連接配接的可用性。
以前曾經将flexconnect稱為h-reap(hybrid remote edge access point,混合遠端邊緣接入點)。