【迁移】关于企业级无线网络部署方案
以前只亲手玩过家用无线路由,对公司里无线怎么部署的毫不知情,这两天田春冰河同学在微博上公开了其 2010 年底为网易调研无线部署方案的报告,由此发现这里头道道很多,完全颠覆了我那点浅薄的家用无线路由部署知识。
无线网络里最基本的硬件设备是 Wireless Access Point,简称 AP,AP 就像网桥,把无线网、有线网或者无线网、无线网连接起来,AP 分两种:
- 胖AP(fat AP, standalone AP, autonomous AP)
- 瘦AP(fit AP, lightweight AP, controller-based AP)
其实说胖瘦并不合适,从硬件以及软件上后者也可以很丰富,只是在部署上有区别,术语 standalone or autonomous AP vs. controller-based AP 才是最恰切的,从名称上很清楚,前者指多个 AP 之间没有关联,后者指多个 AP 受一个单独的硬件的或者软件的 Wireless LAN Controller 统一配置和管理,有 WLC 后 controller-based AP 可以只做射频信号的收发,把认证、信道加密解密和转发全交给 WLC,但也可以AP自己做认证(当无法联通 WLC 时)、信道加密解密和转发(减轻WLC压力,也避免WLC和AP之间跨地区时无谓的中转流量,这个特性叫 local switching)。顺带说一句,家用无线路由是在 AP 的基础上集合了集线器、路由甚至应用层的 DHCP、FTP、VOD 等众多服务,并不是纯粹的 AP,在家庭无线网里一般只需要无线路由内置的一个 AP,所以也不需要关心无线控制器了。
在企业环境里,办公面积一般很大,单个 AP 的信号覆盖不了,所以需要多个 AP 一起提供服务,这样就带来两个问题:
- 多个 AP 如何统一配置
- 手动登录每个 AP 的Web管理界面逐一配置
- 用一个管理软件配置好然后分发到多个 AP 上,这跟 PC 上使用 Puppet/Chef 之类的配置管理工具很类似。要集中管理 AP 自然需要管理端和 AP 之间有标准协议,而不是 hack 各家的 Web 管理界面,发些 http 请求模拟网页交互。遵循业界惯例,标准的最大好处是不只一个标准,这里的管理协议最常见的有两种:
- LWAPP: Lightweight Access Point Protocol
- CAPWAP: Control And Provisioning of Wireless Access Points Protocol
- 移动设备在多个 AP 之间怎么漫游
Cisco 的东西我相信确实是一分钱一分货,但我还是有点怀疑采购二十万人民币的硬件 Cisco WLC 5508的必要性。在 WLC 和 AP 之间有两种流量:控制流量,指各种配置、控制、状态报告流量;数据流量,指移动设备让AP代为转发的用户流量。我相信早期的瘦AP方案是让 WLC 做认证和信道加密而AP活儿很简单,只是收发无线信号,表现的像天线一样,这种搞法缺点是很明显的,WLC 压力太大,需要高配置的定制硬件,当 WLC 和 AP 不在一个城市时,比如WLC在杭州,AP 在北京,那么北京办公室内部的流量还要去杭州绕一圈,这显然是不划算的。所以实际一点的瘦AP方案是 WLC 只做统一配置、控制、认证,AP 自己做信道加密解密,考虑到WLC和AP之间有时连接断掉,AP 本身也要有认证功能,这时,叫瘦AP已经不合适了,Cisco 文档里称之为 controller-based AP,这种方案下 WLC 的的活儿很轻松,用软件 WLC 即可,Cisco 也确实提供纯软件版的 WLC(注明适用于中小企业),另一个很火的无线解决方案 UniFi 就压根没有硬件版的 WLC。
另一个问题是无缝漫游(seamless roaming, zero handoff roaming),所谓无缝漫游是指移动设备在两个有重叠的AP信号覆盖区间移动时不会因切换AP而丢包甚至断网。
需要明确的是,漫游总是被移动设备触发的,移动设备在发现当前 AP 的信号低到一定程度、丢包率到一定程度后就会开始扫描新的无线网络并切换过去,这个过程需要重新认证并与新的AP建立绑定,在链路层会花 50~500ms,在网络层会导致五秒左右的停顿。
Demystifying Wi-Fi Roaming: What You Need to Know to Avoid Costly Mistakes 这篇文章讲解的很清晰。AP 之间迁移有两种模式:
- 多个 AP 使用相同 SSID,相同认证方式,不同信道,不同MAC地址。这种方式是网上资料描述最多的一种,漫游被移动设备触发,扫描SSID并重新认证。Cisco 的无线解决方案支持各种 fast-secure roaming 技术以加快这个重新认证过程: CCKM(在 WLC 上缓存会话秘钥,直接跳过 EAP 认证和 WPA2 4-way handshake) ,PMKID Caching(在连接过的AP上缓存会话秘钥), Proactive Key Caching(WLC为所有AP缓存会话秘钥), 802.11r(Fast BSS Transition),这些都需要移动设备的支持。但这么做只是加快漫游,并没有消除漫游,由于漫游过程是被移动设备控制,所花时间跟移动设备的无线管理程序、网络中 SSID 个数有关,这个过程总是会导致链路层数据包丢失,从而传输层的数据包丢失:UDP 丢包,TCP 重传数据包。如果没有认证信息缓存技术,这种漫游会明显影响无线语音、视频应用,严格来说谈不上无缝漫游。
- 多个 AP 使用相同 SSID,相同认证方式,相同信道,相同MAC地址。所有 AP 表现的像一个信号覆盖范围很广的单一AP,这被称为无线网虚拟化。物理AP之间的迁移是被WLC触发的,AP 不断的向 WLC 汇报某个移动设备的信号强度,WLC 控制在什么时刻选择某个AP为这个移动设备服务,这个过程自然也需要WLC分发认证信息到各个AP,但关键的是不需要移动设备做AP切换,实际上移动设备没有触发漫游,能感受到的只是信号弱了点然后又恢复了,链路层上没有数据包丢失,这才是真正的 seamless roaming, zero handoff roaming,zero handoff 是指从移动设备端看来没有发生AP切换。无线网虚拟化看起来很美好,但也是有其缺陷的,由于所有AP使用相同信道,会导致信号覆盖重叠区域的带宽打折扣。Unifi Wireless Controller Software 3.x 支持 zero handoff roaming, Cisco 的产品没有这个特性。
BTW, 上面提到 WLC 做认证信息缓存、调度AP切换,这些事情也可以在AP端做,多个AP之间选举一个 "domain controller AP" 或者 P2P 方式,此时 WLC 除了集中配置、监管就没啥其它事了,AP运作时甚至可以关掉 WLC,貌似 UniFi 就这么搞的(不清楚是 domain controller AP 方式还是 P2P 方式)。
稍聊一下企业级无线网络里的认证问题。WPA 分为 WPA Personal(WPA-PSK, pre-shared key) 和 WPA Enterprise(一般也简称为 WPA),前者是家用无线路由上常用的方式,所有人用一个共享秘钥做认证,问题是无法容易的区分到底是哪个用户在使用无线网。WPA Enterprise 使用 EAP 认证框架协议做认证,真正的认证过程一般会用 RADIUS 协议交给 WLC 或者 FreeRADIUS 服务。EAP 认证框架协议包含很多 EAP method,好比 SASL 框架容纳多种认证协议似的。有的 EAP method 没有考虑传输加密问题,所以需要一个封装协议安全的传输认证报文。常见的 EAP method:
- EAP-TLS: 使用服务端和客户端 X509 证书做互相认证,由于需要客户端证书,所以部署比较麻烦。另一个问题是客户端证书传给服务器时没有加密,会暴露用户ID,解决办法是结合 EAP-TTLS 或者 PEAP 使用。
- EAP-TTLS + PAP: EAP-TTLS 使用服务端X509证书认证服务端,双方建立 TLS 连接后再进一步认证客户端,这个第二阶段认证可以用任何认证方法,包括非 EAP method。PAP 是 Password Authentication Protocol的缩写,传明文密码到服务端。
- PEAP + EAP-MSCHAPv2: PEAP 跟 EAP-TTLS 类似,也是建立一个 TLS 连接再认证客户端,区别在于第二阶段的协议不一样,PEAP 只允许使用 EAP method。这个组合是被各种移动设备、操作系统最广泛支持的,缺陷是 MSCHAPv2 要求密码在服务端以不那么安全的 ntlm_hash 方式保存。
- PEAP + EAP-GTC: Cisco 创建用来替代 PEAP + EAP-MSCHAPv2,更灵活,允许密码在服务端以多种形式存储:http://deployingradius.com/documents/protocols/compatibility.html
- EAP-FAST: Cisco 创建用来替代 LEAP
- LEAP: 修改版的 MSCHAP,属于旧协议,不推荐使用。
最后列几个无线方案提供商,说不定哪天用的上:
- Cisco
- Aruba
- Ruckus
- HP
- NetGear
- UniFi
- Aerohive
785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
