本节书摘来自异步社区《ccna无线640-722认证考试指南》一书中的第9章,第9.3节集中式架构,作者 【美】david hucaby,更多章节内容可以访问云栖社区“异步社区”公众号查看
9.3 集中式架构
ccna无线640-722认证考试指南
由于自主式ap在管理其rf操作方面相当困难,作为网络管理员,必须选择和配置每个ap使用的信道,需要检测和处理可能产生干扰的任何欺诈ap,而且还必须管理发射功率电平等类似问题,以确保足够的无线覆盖,不会产生太多的交叠,不存在覆盖盲区——即使某个ap的无线电出现了故障。
管理无线网络的安全性也是一件很困难的事情。每个自主式ap都要处理自己的安全策略,无线网络与有线网络之间没有集中的入口点,这就意味着没有很方便的位置来监控流量,实施入侵检测和入侵防护、服务质量以及带宽策略等操作。
cuwn(cisco unified wireless network,cisco统一无线网络)是一种集中式的统一网络架构,可以克服分布式自主ap带来的这些问题。为了构建这样的网络架构,需要将自主式ap的很多功能转移到某些中心位置。如图9-5所示,自主式ap完成的很多工作都可以分为两大类:左侧的实时进程和右侧的管理进程。
实时进程包括发送和接收802.11帧、信标以及探测消息。802.11数据加密也是实时处理的(逐包方式)。ap 必须与无线客户端在较低的层次——称为mac(media access control,介质访问控制)层进行交互,这些实时功能必须放在最靠近客户端的ap上。
管理功能不属于通过rf信道处理帧的密不可分的一部分,但这些功能应该集中管理,因此将这些管理功能迁移到远离ap的集中设置的平台上。
在cuwn架构中,lap(lightweight access point,轻量级接入点)仅执行实时的802.11操作。命名为lap的原因是与传统的自主式ap相比,lap剥离了代码映像和本地智能或者进行了大量简化。
管理功能通常由wlc(wireless lan controller,wlan控制器)完成,大量lap共用一个wlc。从图9-5下半部分可以看出,左侧的lap主要负责第一层和第二层(帧通过这两层进出rf域)功能。对于认证用户、管理安全策略以及选择rf信道和输出功率等其他功能来说,lap则完全依赖于wlc。
提示:
请记住,轻量级ap极度依赖网络中的wlc,无法单独运行。
9.3.1 split-mac架构
通常将lap-wlc的任务分工称为split-mac(分离mac)架构,此时普通的mac操作被划分到两个截然不同的位置。网络中的lap出现这种情况时,每个都必须重启并绑定到wlc上,以支持无线客户端。wlc将成为集中式hub,可以支持散落在网络中的大量lap。
那么lap是如何绑定wlc以形成一个完整的工作ap呢?lap与wlc之间必须使用隧道协议来承载与802.11相关的消息以及客户端数据。lap和wlc可以位于同一个vlan或ip子网中,但也不必如此,lap和wlc完全可以位于两个不同地点的两个不同ip子网中。
capwap(control and provisioning of wireless access points,无线接入点控制和配置协议)隧道协议可以完成该上述工作,负责将lap和wlc之间的数据封装到新ip包中,然后通过园区网交换或路由这些隧道化数据。从图9-6可以看出,capwap实际上包含两种隧道。
capwap控制消息:负责交换用于配置lap并管理其操作的消息。所有控制消息都要经过认证和加密(因而lap仅受wlc的安全控制),然后再通过udp端口5246(在控制器端)进行传送。
capwap数据:用来传送去往和来自与lap相关联的无线客户端的数据包。通过udp端口5427(在控制器端)来传送这些数据包,但是默认不加密这些数据包。如果在lap上启用了数据加密操作,那么这些数据包就能受到dtls(datagram transport layer security,数据报传输层安全)的保护。
capwap定义在rfc 5415、5416、5417和5418中,capwap基于lwapp
(lightweight access point protocol,轻量级接入点协议),而lwapp属于传统的cisco专有解决方案。
每个 ap 和 wlc 都必须通过数字证书进行相互认证。所有设备在出售时都已经预装了x.509证书。通过后台的证书操作,每台设备在加入cuwn之前都能得到正确认证。该进程有助于确保不将欺诈lap或wlc(或者假冒为lap或wlc的设备)引入网络。有关lap-wlc关联的问题将在第11章进行详细讨论。
capwap隧道允许lap和wlc在地理上或逻辑上分开,而且打破了两者在二层连接上的依赖性。例如,图9-7通过两片阴影区域来表示vlan 100的范围。请注意,vlan 100位于wlc和ssid 100的无线区域(靠近无线客户端),但不在lap和wlc之间。所有去往和来自与ssid 100相关联的客户端的流量都被封装到capwap数据隧道中经网络基础设施进行传送。
从wlc到一个或多个lap的capwap隧道建立完成之后,wlc就可以提供多种附加功能。wlc完全可以解决前面讨论过的传统自主式wlan架构出现的各种难题和缺陷。
动态信道分配:wlc 能够根据区域内其他活跃接入点的情况,自动为每个lap选择和配置rf信道。
发射功率优化:wlc能够根据所需的覆盖区域,自动设置每个lap的发射功率。
自愈的无线覆盖:当网络中某个lap的无线电出现故障时,可以自动加大周围lap的发射功率,解决覆盖盲区问题。
灵活的客户端漫游:客户端可以在lap之间快速实现二层或三层漫游。
动态客户端负载均衡:如果两个或多个lap覆盖相同的地理区域,那么wlc就能将客户端关联到最轻载的lap上,在多个lap之间分发客户端负载。
rf监控:wlc负责管理所有的lap,因而能够扫描信道以监控rf的使用情况。通过侦听信道,wlc可以远程收集rf干扰、噪声、来自相邻lap的信号以及来自欺诈ap或ad hoc客户端的信号等信息。
安全管理:wlc能够通过集中式服务来认证客户端,要求无线客户端在关联并访问wlan之前,必须从受信的dhcp服务器获得ip地址。
无线入侵防护系统:wlc可以利用其中心位置来监控客户端数据,以检测并防范各种恶意行为。
9.3.2 cuwn中的流量模型
前面曾经说过,自主式ap负责桥接无线bss与有线vlan之间的流量。为了得到来往有线网络的流量,ap必须依赖其与ds(distribution system,分布系统)的连接。lap的工作方式与此类似,唯一的区别在于bss与ds之间被网络基础设施间隔了一定距离,这段距离通过capwap隧道进行连接。
以图9-9所示网络为例。该wlan网络由lap和wlc组成,两个无线客户端关联到该网络上,从客户端b到有线网络某主机的流量将经过lap以及capwap数据隧道,到达wlc,然后再由wlc发送到交换式园区网。
对于交换式园区网络基础设施来说,由于wlc位于中心位置且带宽足够大,因而此时的cuwn流量模型不是一个大问题。假设网络扩展到包含了多个远程站点,在这些远程站点均配置了lap,但是只有总部园区拥有唯一的wlc。这种场景将强制无线流量经过远程站点和总部站点之间的capwap隧道,然后才能通过该capwap隧道返回远程站点。这种流量路径的效率非常低,特别是在远程站点带宽有限的情况下。
为了解决低效问题,可以在远程站点lap上使用flexconnect 模式。此时需要穿越capwap隧道去往wlc的远程站点流量仍然按照常规方式进行传送,但是去往远程站点网络的无线流量则可以留在远程站点内。远程站点lap能够在本地交换这些流量,而无需穿越capwap隧道。即便远程站点链路出现了故障,导致capwap隧道完全中断,flexconnect模式仍允许lap进行本地的流量交换,从而维持远程站点内部无线连接的可用性。
以前曾经将flexconnect称为h-reap(hybrid remote edge access point,混合远程边缘接入点)。