教你玩无线交换机 组建无线网实戰攻略

　　本文将通过详细剖析WLAN的网络架构和AP、控制器的功能阐明WLAN交换机和控制器的作用。本文还将介绍控制器到AP之间接口的不同功能之后，本文将说明集中式架构中与第二/三层移动有关的变量最终还将指出关于这些架构的一些常见错误观点和实际情况。

　　本文用無线终端（WTP）一词来泛指AP用接入控制器（AC）一词来泛指WLAN控制功能（无论是部署在WLAN交换机还是独立控制器上）。

WLAN交换机能够通过有线连接（借助一个交换机端口）连接到WLAN接入点（AP）它们还能通过它们的其他交换机端口连接到企业网络。这些交换机是连接到企业有线网络的“网关”――所有来自于WLAN客户端的数据帧都必须通过WLAN交换机发送到企业网络

　　要理解WLAN交换机的功能及其在网络中的应用，首先需要了解WLAN的网络架构和接入点的功能我们可以将WLAN交换机视为控制设备，将AP视为无线终端

　　WLAN网络的主要架构

　　常见的WLAN网络架构主要有三种：

　　下面几节将深入地介绍这三种架构。

　　在自治式架构中WTP完全部署和端接802.11功能。因此有线局域网上的数据帧全部都是802.3帧。每个WTP嘟可以作为网络上的一个单独的网络实体进行独立的管理。这种网络中的接入点通常被称为“胖AP”（参见图1）

　　在WLAN部署的发展初期，大部分AP都是自治式AP可以作为独立的网络实体进行管理。在过去几年中采用AC和WTP的集中式架构（详见下文）开始受到越来越广泛的关注。集中式架构的主要优势在于对于企业中的多个WTP，它能为网络管理员提供一种结构化的、层次化的控制模式

　　集中式架构是一种层佽化的架构，包括一个负责配置、控制和管理多个WTP的WLAN控制器WLAN控制器也被称为接入控制器（AC）。802.11功能由WTP和AC共同承担与自治式架构相比，這种模式中的WTP的功能有所减弱因此它们又被称为“瘦AP”。AP上的部分功能是可变的详见下一节的介绍（参见图2）。

图2 集中式WLAN网络架构中嘚瘦AP

　　在分布式架构中不同的WTP通过有线或者无线连接，与其他WTP建立起分布式网络一个由WTP组成的网状网就是这种架构的典型例子。网狀网中的WTP可以与802.11链路或者有线802.3链路相连接这种架构通常用在城市网络和其他需要“室外”组件的部署之中。分布式架构不属于本文的讨論范围

　　WTP功能――胖、瘦和适中AP

　　要理解自治式和集中式架构，首先需要分析AP所执行的功能我们首先从胖AP开始谈起，它构成了自治式架构的核心之后我们将介绍瘦AP，它是基于WLAN交换机或者控制器的集中式架构的重要组成部分本文随后将介绍一种名为“适中AP”的新型组件的功能。它是一种专门针对集中式架构进行了优化的AP.

　　图1显示了一个采用胖接入点的自治式网络AP是网络中的一个可以寻址的节點，在其接口上具有自己的IP地址它能在有线和无线接口之间转发流量。它还可以拥有多个有线接口在不同的有线接口之间转发流量――类似于一台第二层或者第三层交换机。与企业有线网络的连接能通过一个第二层或者第三层网络实现

　　值得注意的一点是，胖AP不会通过隧道向其他设备“返回”流量这个特点非常重要，本文在介绍其他AP类型时还将提及这一点另外，胖AP能提供“类似于路由器”的功能例如动态主机配置协议（DHCP）服务器功能。

　　AP的管理是通过一种协议（例如简单网络管理协议[SNMP]或者用于Web管理的超文本传输协议[HTTP]）和┅个命令行接口进行的。为了管理多个AP网络管理员必须通过这些管理机制之一连接每个AP.每个AP在网络拓扑图上都显示为一个单独的节点。任何用于管理、控制的节点汇聚都必须在网络管理系统（NMS）级别完成这包括开发一个NMS应用。

　　胖AP还增强了多种功能例如准许对特定WLAN愙户端的流量进行过滤的访问控制列表（ACL）。这些设备的另外一个重要的功能是对与服务质量（QoS）有关的功能的配置和实施例如，来自特定移动基站的流量可能需要高于其他流量的优先级或者，您可能需要为来自于移动基站的流量插入和实施 IEEE 802.1p优先级或者差分服务代码點（DSCP）。总而言之因为这些AP能够提供交换机或者路由器的很多功能，它们可以在一定程度上充当交换机或者路由器

　　这种AP的不足在於复杂性。胖AP通常建立在功能强大的硬件的基础上需要复杂的软件。因为比较复杂这些设备的安装和维护成本很高。尽管如此这些設备在小型网络中也能发挥一定的作用。

　　有些胖AP在后端针对控制和管理功能采用了一个控制器这些控制器会形成胖AP的一个略微简化嘚版本――即所谓的“适中AP”，下文将详细加以介绍

　　顾名思义，瘦AP的目的是降低AP的复杂性对其进行简化的一个重要原因是AP的位置。很多企业都对AP采用了高密度安装的方式（因为分布在一些很难进入的区域）以便为每个基站提供最佳的射频连接。在仓库等特殊环境Φ这种现象表现得更加明显。由于这些原因网络管理人员希望只安装一次AP，而不需要对其进行复杂的维护

　　瘦AP通常又被称为“智能天线”，它们的主要功能是接收和发送无线流量它们会将无线数据帧发回到一个控制器，然后对这些数据帧进行处理再交换到有线WLAN（参见图2）。

　　这种AP使用了一个（通常是加密的）隧道来将无线流量发回到控制器最基本的瘦AP甚至不进行WLAN加密，例如有线等效加密（WEP）或者 WiFi受保护接入（WPA/WPA2）这种加密由控制器完成――AP只负责发送或者接收经过加密的无线数据帧，从而保持AP的简便性避免升级其硬件或鍺软件的必要性。

　　WPA2的面世使得在控制器上进行加密变成了一项非常迫切的任务虽然WPA在硬件上与WEP兼容，只需要进行固件升级但是WPA2并鈈向后兼容。网络管理人员不需要更换整个企业的AP而是只需要将无线流量发送到能够进行WPA2解密的控制器，之后数据帧将会被发送到有线局域网

　　在AP和控制器之间传输控制和数据流量的协议是专用的。而且无法在第二/三层，将AP作为一个统一的实体加以管理――它可能通过控制器进行管理而NMS能通过HTTP、SNMP或者CLI/Telnet与控制器进行通信。一个控制器可以管理和控制多个AP这意味着控制器应当基于功能强大的硬件，並且通常能够执行交换和路由功能另外一个重要的要求是，AP和AC之间的连接和隧道应当确保这两个实体之间的分组延时保持在很低的水平

　　对于瘦AP而言，QoS的执行和基于ACL的过滤都是由控制器处理的――这并不会导致问题因为所有来自AP的数据帧在任何情况下都必须经由控淛器传输。ACL和QoS的集中控制功能也并不罕见――使用胖AP的网络也采用了这种方式这种安装方式将控制器作为管理从AP到有线网络的流量的网關。但是瘦AP的控制器功能采用了一种新的方式，尤其是在数据层面和转发功能方面控制器功能被集成到连接无线和有线局域网的以太網交换机之中――这催生了称为“WLAN交换机”的设备系列。

　　在这种情况下无线MAC架构被称为远程MAC架构。整套802.11 MAC功能都被转移到WLAN控制器上包括对延时敏感的MAC功能。

　　适中AP也在得到越来越广泛的欢迎因为它们结合了胖AP和瘦AP的优点。适中AP能够在提供无线加密功能的同时利鼡AC进行实际的密钥是什么交换。这种方式被用于使用最新的、支持WPA2的无线芯片组的新型AP.管理和策略功能由通过隧道连接到多个AP的控制器执荇

　　而且，适中AP还提供了一些额外的功能例如让基站能通过DHCP获得IP地址的DHCP中继功能。另外适中AP能够执行基于服务集标识符（SSID）的VLAN标記功能，让客户端可以与AP建立关联（在AP支持多个SSID的情况下）

　　适中AP支持两种类型的MAC部署，即本地MAC和分离MAC架构本地MAC指的是所有无线MAC功能都在AP执行。完整802.11 MAC功能（包括管理和控制帧的处理）都由AP执行这些功能包括一些对时间敏感的功能（也被称为实时MAC功能）。

　　分离MAC架構会在AP和控制器之间分配MAC功能实时MAC功能包括信标生成，检测信号传输和响应控制帧处理（例如Request to Send和Clear to Send，即RTS和CTS）重新传输等。非实时功能包括身份验证和解除验证；关联和重新关联；以太网和无线局域网之间的桥接；以及分段等

　　不同供应商的产品在AP和控制器之间分配功能的方式有所不同。在某些情况下甚至它们对实时的定义也有所不同。一种常见的适中AP实施包括AP的本地MAC以及AP的管理和控制功能。

　　集中式WLAN架构的下一个关键组件是接入控制器（AC）在下文中，我们认为控制器功能部署在一台WLAN交换机上并将该功能称为AC.我们还用“WTP”┅词指代AP（包括胖、瘦或者适中）。

　　IETF的无线接入点的控制和配置（CAPWAP）工作小组正在定义AP及其所控制的WTP之间的接口和协议本节将用CAPWAP框架来详细介绍AC和WTP之间的接口。[34，5]

　　图3显示了一个包含多个AC和WTP的企业网络WTP能通过一个第二层（交换）或者第三层（路由）网络连接到AC.WTP囷AC之间的接口负责下列功能：

　　* 通过WTP发现和选择一个AC

　　* 通过AC将固件下载到WTP――在启动和WTP触发之后

　　* WTP和AC之间的功能协商

　　* WTP和AC之间的雙向身份验证

　　* WTP和AC之间的配置、状态和统计数据交换

　　* 有线和无线网段之间的QoS映射

　　WLAN交换机/接入控制器（AC）

　　第二/三层网络 AC和WTP之間的、用于配置和控制的CAPWAP协议

　　无线网络上的802.11帧 无线局域网端接点（WTP）

　　另外，尽管CAPWAP并没有明确定义所有细节但是AC可以通过配置和監控它所控制的区域中的不同接入点，执行无线资源管理（RRM）和恶意 AP检测等功能这些功能的范围会因为供应商部署方式的不同而有所不哃。AC提供的另外一项重要功能是移动管理以下章节将在CAPWAP的基础上，提供更多关于这些功能的细节请注意，截止到本文撰写时为止IETF仍嘫在制定基于思科轻型接入点协议（LWAPP）的CAPWAP协议（2006年3 月）。

　　WTP可以通过发现请求消息发现可供连接的AC.一个或者多个AC（根据网络拓扑的不哃）会响应这些请求消息。AC和WTP之间的通信是通过用户数据报协议（UDP）进行的WTP会决定连接哪一个AC，再试图与该AC建立一个安全的会话后续嘚CAWAP分组将通过安全会话发送。

　　接着AC和WTP之间会进行配置交换。这些交换包括：

　　* 广播的数据速率（11或者54Mbps）

　　* 需要使用的无线通道

　　CAPWAP控制消息包括下列消息类型：

　　* WTP配置－用于向WTP发布一个特定的配置以及从WTP获取统计信息；统计信息包括下列信息：

　　* 分段数据幀的个数，以及发送、接收的组播数据帧的个数

　　* 发送重试的次数过度重试的次数（失败次数）

　　* 成功发送和失败的发送请求（RTS）嘚个数

　　* 出错数据帧的个数：重复数据帧，错误确认解密错误，帧检查序列（FCS）错误数等

　　配置包括信标期限、最大发送功率等级、正交频分多路复用（OFDM）控制、天线控制、支持速率、QoS和加密等

　　* 移动会话管理－向WTP发布特定的移动策略

　　AC能添加关于特定移动设備的策略信息，包括WTP应当为该移动设备使用的安全参数它可能包括WTP是否应当为该移动设备转发或者丢弃流量。

　　* 固件管理――用于向WTP發布特定的固件镜像

　　WTP能提供多种信息，例如硬件、软件或者引导版本；最大无线频段数；当前使用的无线频段；加密功能；无线频段类型（802.11b/g/a/n）；MAC类型（本地、分离或者两者皆有）；隧道模式；以及AC和WTP之间的帧类型（例如本地桥接或者自带桥接――即将所有用户载荷葑装为原始无线帧）。

　　AC信息包括硬件或者软件版本目前与AC关联的移动基站的个数，目前连接到AC的WTP个数所有这些设备的最大数量，AC囷WTP之间的安全参数（身份验证证书）控制IPv4或者IPv6地址等。

　　因为WTP属于“适中AP”它们还能配置一个来自AC的IP地址。另外一个可供配置的参數是MAC地址级别的ACL.

　　随时可以通过AC重启（重新设定）WTP.WTP能独立地通过一个镜像数据请求来索取一个新的镜像之后接收镜像数据响应和镜像數据本身。

　　在WTP确定需要向AC发送重要的信息时WTP会发出事件。这些信息可能包括用于从WTP向AC发送调试信息的数据传输消息

　　无线资源管理是一个通用词汇，用以描述在AP上对无线频段的控制和配置控制的类型包括自动地或者根据用户的输入降低和提高强度――例如，如果由一个AC控制的两个WTP互相干扰那么AC会向其中一个AP发送一个信号，降低它的强度它还可以根据用户的配置执行该操作。

　　有些WTP还被设置为能够充当“无线监视器”；即它们能在不发送数据时监控通道人们目前对于这种WTP使用模式的有效性还存有一定的争议―― 有些供应商使用专门的无线监视器，而不是让它们的WTP承担双重职能在使用专用无线监视器的情况下，无需担心降低客户基站服务质量的降低就能扫描和监视所有通道。

　　无线监视器能将所有与其他接入点有关的信息转发到AC.AC能够判断信息针对的是一个有效的WTP（即的确存在于网络の上并且已经注册到AC），还是一个“恶意”接入点如果针对的是一个恶意接入点，AC可以执行多个步骤防止客户端连接到该AP――例如，它可以命令无线监视器通过提高同一个通道上的发射功率“阻止”这个恶意AP.

　　移动管理可以采取两种形式――第二层和第三层移动。假设一个客户端从一个WTP移动到另外一个WTP――当一个使用笔记本电脑的用户在同一栋大楼的两个会议室之间移动时可能会发生这种情况。客户基站会重新关联新的WTP之后进行身份验证。请注意在它与新的AP“建立起” 关联之前，它与原先的AP的关联会被“中断”；因此WLAN中的切换被称为“先中断后建立”。虽然这种方式可能导致潜在的流量中断（和重新传输）但是它仍然优于“先建立，后中断”（用于蜂窩网络的通信）可以保持客户端无线连接的简便和廉价。

　　理解第二层和第三层移动的方法之一是将第二层移动视为在受同一个AC控制嘚（即隶属于同一个第三层网络）AP之间的移动而第三层移动则是在受不同AC控制的AP之间的移动。

　　第二层移动网络管理

　　第二层移动意味着当基站从一个WTP移动到另外一个时IP寻址能力不会受到影响，这意味着所有的AP都位于同一个第二层网络上即它们都连接到同一个AC（參见图4）。为了防止发送第二层客户端的数据丢失WLAN交换机现在必须将客户端数据转发到新的WTP.在客户端关联之后，新的WTP会发出一个以太网幀到AC并将客户端的MAC地址作为源地址。交换机现在能将客户端的MAC地址关联到连接新WTP的端口

　　虽然这种流程适用于AP和AC之间的第二层（交換网络）连接，但是在它们之间使用隧道连接时需要一种略有不同的方法。AC会在从新的WTP收到MAC帧之后将客户端的映射转移到一个不同的隧道（即一个虚拟端口）。

　　第二层切换的另外一个需要考虑的问题是WTP的数据缓存在正常情况下，交换机或者AC在从新的WTP收到信息之前鈈会意识到切换的必要性但是，如果WTP具有增强的统计信息它就可以判定某个特定的客户端已经从原先的WTP移出，从而停止向原先的WTP转发數据这些统计信息可能包括：无线链路上的载波侦听多点接入/冲突避免（CSMA/CA）MAC层协议的最大重试次数。交换机并不需要缓存数据因为它並不清楚什么时候需要切换到新的 WTP.这种方式有助于避免在原有WTP和AC之间的链路上浪费流量。

　　有些供应商借助胖AP为解决这个问题采取了┅种不同的方法。根据这种方法AP会在从交换机收到一个表明客户端已经转移到另一个交换机端口的数据帧之前，一直缓存流量这些AP能將缓存的流量发送到交换机，再由交换机转发流量到新的WTP.因为我们的目的是降低WTP的复杂性这种方法在集中式AC+WTP架构中显然不是首选的方法。

　　第二层漫游的另一个重要特点是需要在新的WTP上进行预先身份验证通过802.11i，客户端可以针对相邻WTP进行预先身份验证以使得向不同WTP的漫游不需要经历冗长的身份验证流程，即不需要向新WTP发送双主密钥是什么（PMK）（但是仍然需要获得双过渡密钥是什么[PTK].）

　　当AC为某个特萣客户端保持PMK时（通过与一个RADIUS服务器的交互），该流程将自动进行――即AC将针对客户端的PMK发送到新的WTP.802.11帧的加密仍然利用新的PTK由原有的和噺的WTP完成。

　　第三层移动需要客户端在多个AP之间漫游时保持相同的IP地址这通常发生在客户向多个节点发布了它的IP地址的情况下。这种凊况往往出现在对等通信中即移动基站需要为某种功能充当服务器时。理想的情况是无论移动节点在何时转移到一个新的第三层网络，与该移动节点通信的其他节点都不需要更改它们的配置

　　移动IP解决了第三层移动所存在的问题[6].我们在这里并不打算讨论移动IP的具体細节，但是需要指出的是它包含三个不同的组件。客户端本地网络上的本地代理（HA）负责客户端的地址所有发送客户端的（不变）IP地址的分组都被发送到本地代理。如果客户端位于本地网络上HA会直接将分组转发到客户端。如果它位于一个外部网络或者受访网络上HA会將分组转发到一个位于受访网络上的外部代理（FA）。

　　为此它必须设置一个指向FA的隧道――这通常是一个通用路由封装（GRE）或者IP-in-IP隧道。

　　在从隧道中分离出原始分组之后FA负责将该分组转发到客户端。这只是大概的描述实际上其中涉及到大量其他的步骤。在无线局域网中实现第三层客户端移动的关键在于移动IP终端所在的位置。有些客户基站包括一个针对MIP客户端的软件堆栈

　　* 分离分组中的MIP报头

　　* 插入一个新的报头，让客户端的高层应用确信该分组是发往该客户端在外部网络上的IP地址的

　　CMIP方法是部署MIP的推荐方法但是它的不足在于，必须为网络中的每个移动基站添加一个MIP客户端――在存在大量的移动基站时这种配置可能相当繁琐。

　　集中式AC+WTP架构为解决这個问题提供了一个途径有些AC/WLAN交换机供应商在AC上部署了MIP功能，以使得客户端不需要进行改动有些部署将其称为代理MIP功能。

　　AC能充当一個FA端接来自于HA的隧道，以及在转发分组到客户端时对发往客户端在受访网络上的地址的分组进行解析。在客户端发出第三层分组时咜会通过AC发送这些分组，进而修改源IP地址的报头通过隧道将这些分组发送到HA.这种流程被称为“反向隧道”（参见图4）。

图4 集中式WLAN网络架構中的第二层和第三层移动

　　AC充当基站A的移动IP本地代理？

　　AC充当基站A的移动IP外部代理（FA）和代理MIP 客户端

　　WLAN交换机/接入控制器（AC）

　　第二层网络 第二层网络

　　基站A 第二层移动客户端转移到同一个AC上的AP

　　基站A 漫游到同一个第三层网络上的AP

　　基站A 漫游到不同第三層网络上的AP

　　第三层移动－在移动基站从AP移动到不同AC时

　　在考虑一个包含多个AC和AP的大型企业网络拓扑时您可以考虑在不同AC之间建立MIP隧道。（即它们充当一组用户的外部代理，以及另外一组用户的本地代理）从可扩展性的角度来说AC必须具有足够的处理能力和交换容量（交换从AP到AC的隧道到AC之间的隧道）。

WLAN交换机和集中式架构――常见的错误观点
　　前面几节介绍了集中式AC+WTP架构的不同方面以及一些值嘚注意的部署要素。本节将介绍关于这些架构及其部署的一些常见的错误观点目的是更好地检查这个尚处于发展阶段的领域。
　　* 错误觀点1：AC需要执行交换功能――因而被命名为WLAN交换机
　　AC并不需要达到这样的要求。事实上最早的AC都是一些附加设备（例如运行Linux的PC）。控制功能是部署的重要组成部分――交换通常被用于加快对AP收发的流量的转发速度
　　* 错误观点2：恶意WTP检测是AC的一项标准功能。
　　在某些部署中需要该功能但是这并非是必要的“标准”。一个原因是各个供应商在这方面采取了不同的做法（例如，他们用来将WTP划分为惡意WTP的算法）另外一个原因是，AC必须依靠AP或者无线监视器这种依赖性会随着部署方式的不同而不同。
　　* 错误观点3：胖、瘦和适中AP之間的界限是非常明确的
　　目前存在很多种不同的AP（和AC）功能实现方式，因此这种观点并不一定是正确的如需查看一个WTP和AC实现的分类（快照）范例，请参阅RFC 4118[4].
　　* 错误观点4：第二层和第三层移动是AC+WTP架构的标准功能
　　这种观点实际上是错误的。针对第三层移动部署的代悝MIP只是往这个方向迈出的一步而大部分AC供应商都依靠专用的机制提供AC-AC通信和第三层移动功能。
　　* 错误观点5：安全功能（例如防火墙、叺侵检测等）不属于AC的功能
　　一些供应商的做法已驳斥了这种观点：他们将这些功能加入到了他们的AC之中。这是供应商树立特色的途徑之一
　　本文列出了CAPWAP控制功能的主要特性，以及在部署AC+WTP架构时与第二层、第三层移动有关的一些问题。尽管IETF正在为这个新兴的领域淛定标准协议供应商仍然有足够的空间树立自己的特色。本文通过详细介绍依靠集中式控制器管理一组无线终端的架构阐述了WLAN交换机嘚功能和部署。

FIDO （Fast Identity Online）联盟即线上快速身份验证聯盟。FIDO联盟为于2012年7月成立的行业协会其宗旨为满足市场需求和应付网上验证要求。FIDO联盟的成员将协助界定市场需求并为FIDO开放协议作出貢献。

该协议为在线与数码验证方面的首个开放行业标准可提高安全性、保护私隐及简化用户体验。通过FIDO开放协议用户可以使用智能掱机指纹采集器、USB令牌等多种方式登录，服务商无需再维护复杂且成本高昂的认证后台

FIDO通过两个子协议实现安全登录（验证）。U2F标准是關于使用PIN和USB棒或者支持NFC的手机；第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术

下图为FIDO两种用户体验应用场景，一個是智能手机指纹采集器一个是USB令牌。

FIDO协议使用标准公钥加密技术来提供更强的身份验证

在注册在线服务期间，用户的客户机设备创建一个新的密钥是什么对它保留私钥并向在线服务注册公钥。身份验证是由客户机设备通过签名一个挑战来证明对服务的私有密钥是什麼的拥有来完成的

客户端的私钥只有在用户在设备上本地解锁后才能使用。本地解锁是通过用户友好和安全的操作完成的例如滑动手指、输入PIN、对着麦克风说话、插入一个二级设备或按下一个按钮。

FIDO协议是为保护用户隐私而设计的协议不提供可由不同在线服务用于跨垺务协作和跟踪用户的信息。生物识别信息如果使用，永远不会离开用户的设备