作者:T.Sridhar,Flextronics | |
浏览次数:829 | |
本文关键字: 无线网络 无线交换机 WLAN AP | |
技术级别:中级 |
越来越多的无线局域网(WLAN)交换机正在被部署到企业网络之中。它们可能是独立的设备,也可能被集成到企业级交换机的一个刀片式模块之中。它们主要用于管理和控制WAN接入点。虽然它们的部署时间并不长,但是这样的控制和配置功能过去就曾出现在WLAN控制设备之中。 WLAN交换机能够通过有线连接(借助一个交换机端口)连接到WLAN接入点(AP)。它们还能通过它们的其他交换机端口连接到企业网络。这些交换机是连接到企业有线网络的“网关”――所有来自于WLAN客户端的数据帧都必须通过WLAN交换机发送到企业网络。 要理解WLAN交换机的功能及其在网络中的应用,首先需要了解WLAN的网络架构和接入点的功能。我们可以将WLAN交换机视为控制设备,将AP视为无线终端。 本文将通过详细剖析WLAN的网络架构和AP、控制器的功能,阐明WLAN交换机和控制器的作用。本文还将介绍控制器到AP之间接口的不同功能。之后,本文将说明集中式架构中与第二/三层移动有关的变量,最终还将指出关于这些架构的一些常见错误观点和实际情况。 本文用无线终端(WTP)一词来泛指AP,用接入控制器(AC)一词来泛指WLAN控制功能(无论是部署在WLAN交换机还是独立控制器上)。 WLAN网络架构
下面几节将深入地介绍这三种架构。 自治式架构 图1. 自治式WLAN网络中的胖AP 在WLAN部署的发展初期,大部分AP都是自治式AP,可以作为独立的网络实体进行管理。在过去几年中,采用AC和WTP的集中式架构(详见下文)开始受到越来越广泛的关注。集中式架构的主要优势在于,对于企业中的多个WTP,它能为网络管理员提供一种结构化的、层次化的控制模式。 集中式架构 服务器 无线网络上的802.11帧 瘦接入点(AP) 分布式架构 WTP功能――胖、瘦和适中AP 胖接入点 值得注意的一点是,胖AP不会通过隧道向其他设备“返回”流量。这个特点非常重要,本文在介绍其他AP类型时还将提及这一点。另外,胖AP能提供“类似于路由器”的功能,例如动态主机配置协议(DHCP)服务器功能。 AP的管理是通过一种协议(例如简单网络管理协议[SNMP],或者用于Web管理的超文本传输协议[HTTP])和一个命令行接口进行的。为了管理多个AP,网络管理员必须通过这些管理机制之一连接每个AP。每个AP在网络拓扑图上都显示为一个单独的节点。任何用于管理、控制的节点汇聚都必须在网络管理系统(NMS)级别完成,这包括开发一个NMS应用。 胖AP还增强了多种功能,例如准许对特定WLAN客户端的流量进行过滤的访问控制列表(ACL)。这些设备的另外一个重要的功能是对与服务质量(QoS)有关的功能的配置和实施。例如,来自特定移动基站的流量可能需要高于其他流量的优先级。或者,您可能需要为来自于移动基站的流量插入和实施IEEE 802.1p优先级,或者差分服务代码点(DSCP)。总而言之,因为这些AP能够提供交换机或者路由器的很多功能,它们可以在一定程度上充当交换机或者路由器。 这种AP的不足在于复杂性。胖AP通常建立在功能强大的硬件的基础上,需要复杂的软件。因为比较复杂,这些设备的安装和维护成本很高。尽管如此,这些设备在小型网络中也能发挥一定的作用。 有些胖AP在后端针对控制和管理功能采用了一个控制器。这些控制器会形成胖AP的一个略微简化的版本――即所谓的“适中AP”,下文将详细加以介绍。 瘦接入点 瘦AP通常又被称为“智能天线”,它们的主要功能是接收和发送无线流量。它们会将无线数据帧发回到一个控制器,然后对这些数据帧进行处理,再交换到有线WLAN(参见图2)。 这种AP使用了一个(通常是加密的)隧道来将无线流量发回到控制器。最基本的瘦AP甚至不进行WLAN加密,例如有线等效加密(WEP)或者WiFi受保护接入(WPA/WPA2)。这种加密由控制器完成――AP只负责发送或者接收经过加密的无线数据帧,从而保持AP的简便性,避免升级其硬件或者软件的必要性。 WPA2的面世使得在控制器上进行加密变成了一项非常迫切的任务。虽然WPA在硬件上与WEP兼容,只需要进行固件升级,但是WPA2并不向后兼容。网络管理人员不需要更换整个企业的AP,而是只需要将无线流量发送到能够进行WPA2解密的控制器,之后数据帧将会被发送到有线局域网。 在AP和控制器之间传输控制和数据流量的协议是专用的。而且,无法在第二/三层,将AP作为一个统一的实体加以管理――它可能通过控制器进行管理,而NMS能通过HTTP、SNMP或者CLI/Telnet与控制器进行通信。一个控制器可以管理和控制多个AP,这意味着控制器应当基于功能强大的硬件,并且通常能够执行交换和路由功能。另外一个重要的要求是,AP和AC之间的连接和隧道应当确保这两个实体之间的分组延时保持在很低的水平。 对于瘦AP而言,QoS的执行和基于ACL的过滤都是由控制器处理的――这并不会导致问题,因为所有来自AP的数据帧在任何情况下都必须经由控制器传输。ACL和QoS的集中控制功能也并不罕见――使用胖AP的网络也采用了这种方式。这种安装方式将控制器作为管理从AP到有线网络的流量的网关。但是,瘦AP的控制器功能采用了一种新的方式,尤其是在数据层面和转发功能方面。控制器功能被集成到连接无线和有线局域网的以太网交换机之中――这催生了称为“WLAN交换机”的设备系列。 在这种情况下,无线MAC架构被称为远程MAC架构。整套802.11 MAC功能都被转移到WLAN控制器上,包括对延时敏感的MAC功能。 适中接入点 而且,适中AP还提供了一些额外的功能,例如让基站能通过DHCP获得IP地址的DHCP中继功能。另外,适中AP能够执行基于服务集标识符(SSID)的VLAN标记功能,让客户端可以与AP建立关联(在AP支持多个SSID的情况下)。 分离MAC架构会在AP和控制器之间分配MAC功能。实时MAC功能包括信标生成,检测信号传输和响应,控制帧处理(例如Request to Send和Clear to Send,即RTS和CTS),重新传输等。非实时功能包括身份验证和解除验证;关联和重新关联;以太网和无线局域网之间的桥接;以及分段等。 不同供应商的产品在AP和控制器之间分配功能的方式有所不同。在某些情况下,甚至它们对实时的定义也有所不同。一种常见的适中AP实施包括AP的本地MAC,以及AP的管理和控制功能。 接入控制器和控制功能 IETF的无线接入点的控制和配置(CAPWAP)工作小组正在定义AP及其所控制的WTP之间的接口和协议。本节将用CAPWAP框架来详细介绍AC和WTP之间的接口。[3,4,5]
图3 :使用多个AC、WTP和CAPWAP协议的集中式WLAN架构
CAPWAP功能
配置包括信标期限、最大发送功率等级、正交频分多路复用(OFDM)控制、天线控制、支持速率、QoS和加密等。
AC能添加关于特定移动设备的策略信息,包括WTP应当为该移动设备使用的安全参数。它可能包括WTP是否应当为该移动设备转发或者丢弃流量。
AC和WTP交互 AC信息包括硬件或者软件版本,目前与AC关联的移动基站的个数,目前连接到AC的WTP个数,所有这些设备的最大数量,AC和WTP之间的安全参数(身份验证证书),控制IPv4或者IPv6地址等。 因为WTP属于“适中AP”,它们还能配置一个来自AC的IP地址。另外一个可供配置的参数是MAC地址级别的ACL。 随时可以通过AC重启(重新设定)WTP。WTP能独立地通过一个镜像数据请求来索取一个新的镜像,之后接收镜像数据响应和镜像数据本身。 在WTP确定需要向AC发送重要的信息时,WTP会发出事件。这些信息可能包括用于从WTP向AC发送调试信息的数据传输消息。 无线资源管理 有些WTP还被设置为能够充当“无线监视器”;即它们能在不发送数据时监控通道。人们目前对于这种WTP使用模式的有效性还存有一定的争议――有些供应商使用专门的无线监视器,而不是让它们的WTP承担双重职能。在使用专用无线监视器的情况下,无需担心降低客户基站服务质量的降低,就能扫描和监视所有通道。 无线监视器能将所有与其他接入点有关的信息转发到AC。AC能够判断信息针对的是一个有效的WTP(即的确存在于网络之上,并且已经注册到AC),还是一个“恶意”接入点。如果针对的是一个恶意接入点,AC可以执行多个步骤,防止客户端连接到该AP――例如,它可以命令无线监视器通过提高同一个通道上的发射功率,“阻止”这个恶意AP。 移动管理 理解第二层和第三层移动的方法之一是将第二层移动视为在受同一个AC控制的(即隶属于同一个第三层网络)AP之间的移动,而第三层移动则是在受不同AC控制的AP之间的移动。 第二层移动 虽然这种流程适用于AP和AC之间的第二层(交换网络)连接,但是在它们之间使用隧道连接时,需要一种略有不同的方法。AC会在从新的WTP收到MAC帧之后,将客户端的映射转移到一个不同的隧道(即一个虚拟端口)。 第二层切换的另外一个需要考虑的问题是WTP的数据缓存。在正常情况下,交换机或者AC在从新的WTP收到信息之前不会意识到切换的必要性。但是,如果WTP具有增强的统计信息,它就可以判定某个特定的客户端已经从原先的WTP移出,从而停止向原先的WTP转发数据。这些统计信息可能包括:无线链路上的载波侦听多点接入/冲突避免(CSMA/CA)MAC层协议的最大重试次数。交换机并不需要缓存数据,因为它并不清楚什么时候需要切换到新的WTP。这种方式有助于避免在原有WTP和AC之间的链路上浪费流量。 有些供应商借助胖AP,为解决这个问题采取了一种不同的方法。根据这种方法,AP会在从交换机收到一个表明客户端已经转移到另一个交换机端口的数据帧之前,一直缓存流量。这些AP能将缓存的流量发送到交换机,再由交换机转发流量到新的WTP。因为我们的目的是降低WTP的复杂性,这种方法在集中式AC+WTP架构中显然不是首选的方法。 第二层漫游的另一个重要特点是需要在新的WTP上进行预先身份验证。通过802.11i,客户端可以针对相邻WTP进行预先身份验证,以使得向不同WTP的漫游不需要经历冗长的身份验证流程,即不需要向新WTP发送双主密钥(PMK)。(但是仍然需要获得双过渡密钥[PTK]。) 当AC为某个特定客户端保持PMK时(通过与一个RADIUS服务器的交互),该流程将自动进行――即AC将针对客户端的PMK发送到新的WTP。802.11帧的加密仍然利用新的PTK,由原有的和新的WTP完成。 第三层移动 移动IP解决了第三层移动所存在的问题[6]。我们在这里并不打算讨论移动IP的具体细节,但是需要指出的是,它包含三个不同的组件。客户端本地网络上的本地代理(HA)负责客户端的地址。所有发送客户端的(不变)IP地址的分组都被发送到本地代理。如果客户端位于本地网络上,HA会直接将分组转发到客户端。如果它位于一个外部网络或者受访网络上,HA会将分组转发到一个位于受访网络上的外部代理(FA)。 在从隧道中分离出原始分组之后,FA负责将该分组转发到客户端。这只是大概的描述,实际上其中涉及到大量其他的步骤。在无线局域网中,实现第三层客户端移动的关键在于移动IP终端所在的位置。有些客户基站包括一个针对MIP客户端的软件堆栈。 这种客户端MIP(CMIP)软件会:
CMIP方法是部署MIP的推荐方法。但是它的不足在于,必须为网络中的每个移动基站添加一个MIP客户端――在存在大量的移动基站时,这种配置可能相当繁琐。 集中式AC+WTP架构为解决这个问题提供了一个途径。有些AC/WLAN交换机供应商在AC上部署了MIP功能,以使得客户端不需要进行改动。有些部署将其称为代理MIP功能。 AC能充当一个FA,端接来自于HA的隧道,以及在转发分组到客户端时,对发往客户端在受访网络上的地址的分组进行解析。在客户端发出第三层分组时,它会通过AC发送这些分组,进而修改源IP地址的报头,通过隧道将这些分组发送到HA。这种流程被称为“反向隧道”(参见图4)。 图4 集中式WLAN网络架构中的第二层和第三层移动 在考虑一个包含多个AC和AP的大型企业网络拓扑时,您可以考虑在不同AC之间建立MIP隧道。(即,它们充当一组用户的外部代理,以及另外一组用户的本地代理)从可扩展性的角度来说,AC必须具有足够的处理能力和交换容量(交换从AP到AC的隧道到AC之间的隧道)。 WLAN交换机和集中式架构――常见的错误观点
AC并不需要达到这样的要求。事实上,最早的AC都是一些附加设备(例如运行Linux的PC)。控制功能是部署的重要组成部分――交换通常被用于加快对AP收发的流量的转发速度。
在某些部署中需要该功能,但是这并非是必要的“标准”。一个原因是,各个供应商在这方面采取了不同的做法(例如,他们用来将WTP划分为恶意WTP的算法)。另外一个原因是,AC必须依靠AP或者无线监视器,这种依赖性会随着部署方式的不同而不同。
目前存在很多种不同的AP(和AC)功能实现方式,因此这种观点并不一定是正确的。如需查看一个WTP和AC实现的分类(快照)范例,请参阅RFC 4118[4]。
这种观点实际上是错误的。针对第三层移动部署的代理MIP只是往这个方向迈出的一步,而大部分AC供应商都依靠专用的机制提供AC-AC通信和第三层移动功能。
一些供应商的做法已驳斥了这种观点:他们将这些功能加入到了他们的AC之中。这是供应商树立特色的途径之一。 总结 参考文献 [2] Rich Seifert, The Switch Book: The Complete Guide to LAN Switching Technology, ISBN 0471345865, Wiley, 2000年。 [3] B. O’Hara, et al., “Configuration and Provisioning for Wireless Access Points (CAPWAP): Problem Statement,” RFC 3990,2005年2月。 [4] L. Yang, et al., “Architecture Taxonomy for Control and Provisioning of Wireless Access Points (CAPWAP),” RFC 4118,2005年6月。 [5] P. Calhoun, Editor, “CAPWAP Protocol Specification,” (work in progress), Internet Draft, draft-ietf-capwap-protocolspecification-00, 2006年2月24日。 [6] C. Perkins, Editor,“IP Mobility Support for IPv4,” RFC 3344,2002年8月。 [7] Edgar Danielyan, “IEEE 802.11,” The Internet Protocol Journal, Volume 5, No. 1, 2005年3月。 [8] Gregory R. Scholz, “Securing Wireless Networks,” The Internet Protocol Journal, Volume 5, No. 3, 2002年9月。 |