无线网络

通过思科统一无线网络集中无线局域网带来的好处

本文将介绍通过思科统一无线网络集中802.11无线局域网的好处。本文将分析无线局域网(WLAN)的集中可以怎样提供各种便于部署、扩展和管理的先进功能和优势。这些优势包括简化部署和升级,通过动态RF管理提高连接的可靠性,通过用户负载均衡优化每个用户的性能,访客网络,第三层漫游,一个内嵌的无线入侵检测系统(IDS),定位服务,基于无线的IP语音,降低总拥有成本(TCO),以及有线和无线的整合。

挑战

透视就是一切――地图就是一个典型的例子。在高空摄影技术面世之前,地图并不精确;人们按照估计的比例,将地理标志绘制到地图上。高空摄影技术为地图绘制人员带来了之前未有的东西――透视。透视改变了我们旅行的方式,我们观察距离的方式,甚至我们的文明发展的方式。

过去,无线局域网都缺乏透视能力――因为每个接入点都是一个单独的节点,按照一个静态RF计划(通常为预测的RF)中的信道和功率设置进行独立配置。尽管这些自主的接入点可以收到附近的某个工作在相同信道的接入点的信号,但是自主接入点无法得知相邻的接入点与其是否属于同一个网络或者是相邻网络。而且,因为自主接入点是“节点式”的,所以很难扩展到大型、连续、协调的无线局域网和添加高级应用。

表1列出了对于自主接入点部署方式的无线需求和解决方案。在某些情况下,采用自主接入点的WLAN的部署会对WLAN带来很多限制。

表1 对于自主接入点部署方式的无线需求和解决方案
需要 说明 自主方式的解决方案
第二层快速安全漫游 客户端在子网内部的无缝漫游――跨越不同的接入点和虚拟LAN(VLAN) 为支持漫游添加一个无线域服务(WDS)设备(接入点或者交换机模块)
第三层快速安全漫游

客户端在子网之间的无缝漫游――跨越不同的接入点和VLAN

自主接入点本身不支持。需要为支持漫游采用一个集中式解决方案
升级成本 部署额外管理功能和为接入点安装新镜像所需的时间 部署一个集中的管理基站或者使用管理脚本

入侵检测系统(IDS)

能够检测伪装接入点、攻击和未经授权的访问 使用一个基于WDS的IDS,或者添加一个覆盖式WLAN解决方案

定位服务

直观显示接收信号强度指示(RSSI)信息变化和Wi-Fi设备的位置

使用一个现场调查解决方案或者一个覆盖式WLAN

动态RF

迅速地、动态地适应RF环境

使用系统级应用设备,或者一个简单网络管理协议(SNMP);RF信息可供手动检查或者措施使用
负载均衡 自动在相邻接入点之间均衡客户端负荷 每个接入点通报服务情况,但是负载不是自动地在接入点之间分布
访客联网 能够为客户、供应商和合作伙伴提供对WLAN的受控访问权限,同时保持网络的安全性 为每个接入点部署专门的中继VLAN,并在整个企业中加以宣传
WLAN语音 利用现有的无线基础设施提供经济有效的、实时的语音服务 部署基于接入点的呼叫准入控制(CAC);控制建立在每个接入点的基础上,不能协调多个接入点
管理 经济有效的、简化的WLAN管理和部署 为配置WLAN管理和单独配置每个接入点部署脚本或者SNMP解决方案

解决方案

使用自主接入点的第一代无线局域网是一种方便的网络。从WLAN首次面世以来,技术需求发生了很多变化。现在,基本的网络连接已经不足以满足需要。企业需要在他们的办公楼中提供无所不在的无线网络连接。他们的WLAN必须支持多种移动服务,例如语音、访客接入、定位和增强的无线入侵防御系统(WIPS),同时还应当提供简化的部署、管理和可扩展性。企业需要突破了表1中所列多种限制的WLAN。

为了部署这些功能和消除这些限制,需要一个统一的WLAN――一个集中式的,基于连接到无线局域网控制器的轻型接入点的网络。因此,机构需要思科统一无线网络。

可扩展性:WLAN必须具备的特性

人们对基于无线网络的可扩展性、高级服务的需求并不是刚刚出现的。事实上,蜂窝网络供应商已经在扩展无线网络方面克服了很多挑战。最初,蜂窝无线网络是由多个提供基本连接的蜂窝信号发射塔结合而成的。当时有很多管理塔间电话呼叫的协议,但是这些协议并不可靠――很多呼叫都会被丢弃。

蜂窝网络运营商需要一个让用户可以在漫游期间保持呼叫的解决方案,以及一个部署高级服务的平台。因此,他们采用了一种名为基站控制器的新型网络组件。

对于蜂窝网络而言,基站控制器可以协调一组无线电发射塔。当蜂窝网络用户在不同发射塔的覆盖范围之间移动时,基站控制器会对漫游切换进行协调。这可以提高蜂窝网络的稳定性,减少被丢弃的呼叫。

蜂窝基站控制器的概念也可应用到802.11 WLAN中。运营商不是管理多个独立的接入点,而是可以通过一个名为无线局域网控制器的集中式设备管理轻型接入点。

WLAN集中化

参照蜂窝网络的发展道路,思科系统公司a率先提出了WLAN集中化的概念,并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构,我们称之为思科统一无线网络的关键,是将数据从轻型接入点经由网络发送到无线局域网控制器。

思科提供了很多支持无线局域网集中化的无线局域网控制器,其中包括可以完全集成到网络之中的企业级独立无线局域网控制器(例如Cisco 4400系列无线局域网控制器和Cisco 2000系列无线局域网控制器),以及可以与有线网络结合的无线局域网控制器,例如Cisco Catalyst 6500系列无线服务模块(WiSM)和用于集成多业务路由器的思科无线局域网控制器模块(WLCM)。

开发一种新的无线局域网集中化协议

为了在轻型接入点和无线局域网控制器之间传输数据和实现通信,需要一种新的协议。该协议需要满足下列要求:

  • 便于部署――该协议必须能够跨越子网边界,而不是仅仅将多个VLAN连接到集中控制器。
  • 部署安全――将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。
  • 对接入点的实时控制――在部署、认证接入点和将其连接到控制器之后,该协议需要提供对接入点的实时控制,以便管理和部署移动服务。
  • 协议扩展能力――该协议需要支持多种平台--从大型以太网交换机中基于机箱的模块,到可堆叠交换机、路由器和其他任何网络组件。
  • 传输扩展能力――尽管网络通常运行在以太网的基础上,但是该协议必须能够支持低速的WAN连接,甚至无线网络(对于无线网格网络等应用)。

为了满足这些对于开发新型通信协议的要求,思科考虑了很多方案。通用路由封装(GRE)协议是其中之一,但是GRE不支持对纯二层数据包的内部检测,而这是安全WLAN所必须具备的功能。SNMP也被列为考虑对象,因为该协议可以提供对接入点的命令和控制功能,但是它很庞大,不太符合实际需要。

在考虑了其他协议之后,思科决定开发一种新的协议――支持第二层和第三层数据包信息的轻型接入点协议(LWAPP)。

LWAPP是什么?

LWAPP是一项由思科系统公司拟定的互联网工程任务小组(IETF)标准草案,实现了轻型接入点和WLAN系统(例如控制器、交换机和路由器)之间的通信协议的标准化。它的目标包括:

  • 减轻接入点中的处理量,让它们将计算资源集中用于无线接入,而不是过滤和策略实施
  • 为整个WLAN系统进行集中的流量处理、验证、加密和策略实施
  • 利用一个第二层基础设施或者IP路由网络,为多供应商接入点互操作性提供一个通用封装和传输机制

LWAPP标准可以通过定义下列规范实现这些目标:

  • 接入点设备发现、信息交换和配置
  • 接入点认证和软件控制
  • 数据包封装、分段和格式化
  • 接入点和无线控制器之间的通信控制和管理

如需了解更多关于LWAPP的信息,请参阅了解轻型接入点协议(LWAPP)白皮书。

LWAPP的工作原理

LWAPP将轻型接入点的介质访问控制(MAC)功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能(例如次原子握手和发送给接入点的信标)都在接入点进行管理。其他对网络具有重要意义的功能(例如移动管理、身份验证、VLAN划分、RF管理、无线IDS和数据包转发)都在无线局域网控制器进行管理。(如图1所示)

图1 分离的介质访问控制功能

分离的介质访问控制功能

  • 安全策略
  • QoS策略
  • RF管理
  • 移动管理
  • 人力分配

    分离MAC

    • 远程RF接口
    • MAC层加密

    无线局域网控制器

    LWAPP

    轻型接入点

    控制器MAC功能

    • 802.11 MAC管理:(重新)关联请求和行为框架
    • 802.11 数据:封装和发送到接入点
    • 802.11e资源预留:控制协议在802.11管理帧中发送到接入点-信令在控制器完成
    • 802.11i身份验证和密钥交换

    接入点MAC功能

    • 802.11:信号发射,探测响应,身份验证(如果启用)
    • 802.11控制:数据包确认和传输(延迟)
    • 802.11e:帧排序和数据包优先级设置(访问RF)
    • 802.11i:接入点中的加密

    轻型接入点和无线局域网控制器之间存在多对一的关系――单个无线局域网控制器可以管理和操作大量的轻型接入点。另外,无线局域网控制器可以在一个大型无线网络中协调和比较信息――甚至跨越WAN。就像卫星拥有广阔空间的完整视图一样,控制器也拥有整个网络的整体视图。

    一旦将这项协议作为标准,并准备好用于统一的平台,WLAN集中化的真正优势将会变得显而易见。

    集中化和统一WLAN的好处

    下面列出了WLAN集中化和统一WLAN所具有的很多好处。

    便于部署

    当在企业中部署自主接入点时,每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行,也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后,每个接入点都将可以支持VLAN,以便划分不同的用户群组,为不同的用户和用户群组区分不同的LAN策略和服务(例如安全和服务质量[QoS])。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围,VLAN可以在多台交换机中进行中继和扩展。

    在向网络引入基于轻型接入点和无线局域网控制器的集中化时,并不需要在接入层重新划分子网和设置VLAN中继。相反,VLAN将以中继方式连接到一个集中式无线局域网控制器,而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。

    集中化有助于简化部署

    在使用集中化解决方案时,一个轻型接入点只需要找出无线局域网控制器的IP地址――当部署于第二层模式时。(在部署于一个远程子网中时,接入点需要IP地址、子网掩码和缺省网关信息)。轻型接入点还可以从一个标准的动态主机配置协议(DHCP)服务器接收无线局域网控制器的IP地址。

    在轻型接入点联系无线局域网控制器之后,控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道,进而发送到无线局域网控制器,所以不需要将特殊VLAN扩展到各个接入点。

    便于升级

    较低的运营成本可以提高一个机构的投资效率。问题是:怎样实现低成本的运营?

    集中化有助于简化升级

    利用思科统一无线网络,所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时,它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。

    思科统一无线网络的低成本接入点升级的另外一个好处是:轻型接入点和控制器之间的互操作能力已经通过了思科的质量保障团队的全面测试和认证。

    通过动态RF管理建立可靠的连接

    过去,使用自主接入点的无线网络通常利用一个静态RF计划进行部署,而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的,即利用计算机对RF环境的模拟,结合接入点的天线发射功率,估计接入点的覆盖范围。RF预测的目标是以最小的信道重叠,获得接入点的最优覆盖范围。但是,因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的,所以它们只是对实际RF环境的估计。

    例如,在使用RF预测时,很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。

    集中化可以提供动态RF

    无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。控制器能利用这些信息,为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。

    在一个支持思科LWAPP的接入点启动时,它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后,支持LWAPP的接入点会发出加密的“neighbor”(邻居)消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中,控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度,以获得最佳的覆盖范围和网络容量。

    如果网络中有一个无线局域网控制器集群(例如在单个网络中部署多个控制器),那么会有一个控制器被选为缺省控制器,所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息,再将最佳信道和功率设置发送给网络中的每个接入点。

    思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”,即发生没有必要的变化。这样做的结果是,建立起一个能够实时地适应不断变化的RF环境的动态无线网络。

    通过用户负载均衡优化每个用户的性能

    802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力,所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时,它们可能会漫游到信号最强的接入点。同样,每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。因此,所有客户端的RF吞吐都有可能降低――所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。

    负载均衡可以通过不断地优化用户关联关系,为每个客户端提供最佳的,从而优化所有客户端的吞吐。这可以提高每个客户端的吞吐,动态地均衡网络的客户端负载。

    集中化有助于均衡用户负载

    思科无线局域网控制器和模块拥有一个网络整体视图。通过加密的无线消息,这些控制器可以获知接入点之间的信号强度。另外,当某个客户端探测接入点(这是802.11标准的一部分,即客户端寻找任何广播它所寻找的WLAN名称的接入点)时,控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比,决定哪个接入点应当响应客户端的探测信号。例如,某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度(RSSI),决定哪个接入点应当响应客户端的探测信号。(如图2所示)

    图2 无线局域网控制器决定哪个接入点应当响应客户端的探测信号

    无线局域网控制器决定哪个接入点应当响应客户端的探测信号

    访客联网

    访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时,为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。它让顾问和访客可以迅速开展合作,加快业务速度。

    今天,问题不再是一个机构是否应当提供访客联网功能,而是它打算怎样提供该功能?如果使用自主接入点部署方式,管理员可以通过将“访客”VLAN拓展到网络中,提供访客网络。这些VLAN具有不同于普通网络流量的安全策略。这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。

    集中化有助于简化访客联网

    在思科统一无线网络中,每个无线局域网控制器都具有一个美观的Web门户,让机构可以根据自己的业务需要定制WLAN。例如,网络管理人员可以将控制器放入DMZ,充当访客接口。当在网络中部署一个访客无线局域网时,所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同,使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。

    第三层漫游

    借助采用轻型接入点的思科统一无线网络,当第三层漫游被引入网络时,管理员不需要将VLAN拓展到网络中的所有接入点,就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同――它们通过拓展VLAN来实现漫游,因而会产生大范围的、不便于扩展的广播域。

    通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游,可以简化网络,让网络可以方便地支持各种实时应用,例如基于无线网络的语音和视频。

    集中化有助于支持第三层漫游

    利用思科统一无线网络,轻型接入点可以被部署到网络的标准子网基础设施中,并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的LWAPP数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址――而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信,以确保不需要移动IP等协议。

    嵌入式无线IDS

    安全是网络管理人员的关注焦点,而无线安全则是安全人员最关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线ID系统,可以为网络添加一条额外的防线。无线局域网 IDS可以降低黑客或者恶意用户访问关键网络资源的风险。

    集中化有助于支持无线IDS

    思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现,即有些功能由接入点承担,另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库,它可用于检测无线威胁――包括恶意接入点,特殊网络,或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击,以及检测那些工作信道与它们不同的威胁,例如恶意接入点和特殊网络。

    另外,因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书,它们可以检测到伪装成网络中某个可靠接入点(充当一个honeypot*)的未经授权的接入点。

    思科统一无线网络还可以利用其强大的隔离恶意功能,消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。

    * 一种由网络管理员部署的,用于检测、制止未经授权的网络访问的授权接入点。

    定位服务

    定位服务是下一代无线网络必须达到的一项要求。定位服务支持同时跟踪WLAN基础设施内部的数千个Wi-Fi设备。这些服务被用于一些关键的应用,例如高价值资产跟踪、IT管理、安全和业务策略的执行。其他应用包括:

    • 基于无线局域网的e911和语音
    • 客户端故障诊断和客户端位置与客户端连接问题的关联
    • 资产跟踪和管理,以跟踪任何支持802.11的设备(包括配有802.11 RFID标签的资产)
    • 基于位置的安全

    支持定位服务

    无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度,还可以从网络中的支持LWAPP的接入点那里获得关于客户端信号强度的信息。

    思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统(WCS)和思科无线定位设备,它们将根据楼宇材料类型、多路径和反射等因素,进行高强度的RF指纹计算,确定802.11或者有源RFID设备的位置。这些信息将实时提供。LWAPP是支持定位服务的控制和传输协议。

    WLAN语音

    WLAN语音(VoWLAN)不仅可以提供IP语音(VoIP)的诸多好处(例如收费旁路),还可以提供移动性。选择VoWLAN功能的管理人员都希望通过用他们的802.11数据网络承担语音功能,降低或者消除办公楼内移动电话使用成本。

    集中化有助于支持高性能VoWLAN

    对于自主解决方案而言,基于802.11的语音采用了与普通数据流量相同的底层协议,并通过在接入点和一个语音终端之间运行802.11e,提供了一些额外的功能。不幸的是,工作在相同信道的自主接入点无法协调它们的呼叫准入控制(CAC)功能。而且,所有能够接收到工作在相同信道的其他设备信号的设备都会受到共用信道干扰,而自主接入点并不能方便地解决这个问题。

    利用思科统一无线网络,无线局域网控制器可以为网络提供可预测的CAC。在这种统一网络中,控制器拥有网络中所有客户端的整体视图,以及同一信道中所有接入点之间的总呼叫容量。这种功能有助于确保当一个VoWLAN呼叫获准进入思科统一无线网络时,所有接入点可以提供足够的语音容量。这样,可以为网络提供更加可预测、更加可靠的语音性能。

    降低总拥有成本

    较低的总拥有成本(TCO)让机构可以在不增加额外人手的情况下部署解决方案,从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于自主接入点部署方式,时间主要被用于安装和初始化接入点,重新设置接入点,以及升级接入点。

    在一个包含100个接入点的自主接入点网络中,如果一年为每个自主接入点花费30分钟,就相当于一年花费3000个人·分钟,或者50个人·小时。在五年的折旧期中,就有超过一个月的时间被用于自主接入点的管理上――不包括诊断客户端和其他网络组件问题所用的时间。

    图3 为配置每个接入点付出的人力成本预测

    为配置每个接入点付出的人力成本预测

    集中化有助于降低TCO

    利用思科统一无线网络,用户不需要逐一配置100个网络组件,而是只需要配置无线局域网控制器。控制器进而再配置网络中的所有接入点。另外,管理员不需要升级网络中每个接入点的软件,而是只需要升级无线局域网控制器的软件,这样所有轻型接入点都会同时得到升级。

    因为无线局域网控制器能够搜索整个无线网络,所以它可以协调信息和使用高级功能(例如定位),为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的TCO,同时减少诊断和管理网络所需的成本。

    有线和无线整合

    有线和无线网络的集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用,必须提供覆盖整个系统的无线局域网功能(例如安全策略、入侵防御、RF管理、QoS和移动性)。使用轻型接入点和无线局域网控制器的WLAN可以方便地支持有线、无线局域网的整合,因为控制器功能可以被集成到思科交换和路由平台之中。

    整合可以保护投资和精简成本

    思科统一无线网络提供了一个统一、创新的端到端网络。它可以提供有力的投资保护,为有线和无线网络确保一个安全、移动、经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控制器的统一网络基础设施,可以与集成到一系列思科交换、路由平台中的独立或者模块化局域网控制器配合使用。

    客户可以通过添加一个模块化无线局域网控制器(例如Cisco Catalyst 6500系列WiSM或者用于集成多业务路由器的思科WLCM),大幅度降低TCO、减少支持成本,以及缩短计划内和计划外断网时间。

    思科统一无线网络还支持网络准入控制(NAC)和思科兼容扩展客户端设备。用于WLAN的NAC可以通过在WLAN客户端试图进入网络时执行设备安全策略,提供威胁防御功能。思科兼容扩展计划有助于推动那些可以与思科WLAN基础设施进行互操作,并利用思科创新提高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。

    总结

    思科统一无线网络可以降低部署、管理无线网络的复杂性;支持多种高级服务,例如语音、定位和访客联网;并且有助于确保有线、无线网络的运营成本的可管理性。网络集中和整合并不是新概念――它最初是由蜂窝网络运营商所提出的,进而被引入到了802.11网络之中。通过集中和整合,无线网络将能够扩展到大型企业级部署,为用户提供可靠的连接和移动性。

    联系我们