企业统一无线网络架构设计本文从系统的可管理性、安全性以及漫游灵活性等方面介绍了企业传统无线网络架构,从而得出该架构所存在的缺陷并引出了企业统一无线网络架构。该架构采用了轻量级无线接入点(LAP)设备、无线控制器(WLC)设备以及LWAPP等关键技术解决了传统无线网络架构中可用性和安全性不足的问题。一、引言随着无线技术在近年来的飞速发展,无线网络已经迅速成为了企业园区网中所不可或缺的组成部分。无线网络的可扩展性、易获取性等特点让企业的日常工作中效率大大得以提升。然而,无线网络给我们带来便利的同时,也带来了一系列管理难题和安全隐患。目前,企业所普遍采用的无线网络架构均属于传统方式。在该方式中,无线接入点(WirelessAccessPoint,下简称AP)相互独立,缺乏统一部署和管理,无线数据流缺少汇聚点,安全策略得不到有效部署。针对上述这些缺点,企业统一无线网络架构做出了诸多方面改进,包括AP的管理模式、无线数据流控制等。企业统一无线网络架构在延续了无线网络优势的同时,更是完善了无线网络的可管理性、安全性和可用性,使其更高效、安全地为企业的各类业务应用提供服务。二、企业传统无线网络架构企业传统无线网络架构由四大板块组成,分别是:无线终端层、无线接入层、有线传输层和网络控制层。在该架构中,AP相互独立部署于整个企业的园区内,用户的无线数据终端可通过加密信道将数据发送至AP,由AP再将数据转发至有线传输层,继而访问企业内部资源或是互联网资源,详情可参考图一。点击图片查看大图图一企业传统无线网络架构(一)企业无线网络传统架构数据流传统无线网络架构的确扩展了企业园区网络的覆盖范围,实现企业的各类无线业务,使得用户对于应用的获取更为灵活和方便。在传统无线网络架构中,其无线应用的数据流主要以下几个步骤:1.用户的无线终端设备通过加密信道连接至离自己最近的AP,这也是该架构中唯一可以实施安全性的环节。2.无线加密数据传输到AP后,由AP负责数据的解密,然后将数据桥接到企业的有线交换网络。3.桥接至有线交换网络后,无线应用数据流与企业中的有线数据流完全一致。(二)企业无线网络传统架构缺点通过上述图一所示以及无线数据流模的描述,可以清楚的知道,在传统无线网络架构中无线数据流缺少统一的汇聚节点,存在着诸多缺点:1.AP缺乏统一部署和管理。在企业传统无线网络架构中,各个AP独立运行,企业管理员必须对每个AP进行单独配置,如此分散式的AP部署模式给管理带来很大的不方便性。同时,在网络规划中,一般会将无线用户归入同一个网段,以便在网络中做简单的安全控制。然而,由于AP将部署在企业园区中不同的交换设备,为了满足之前的要求,就不得不将无线网段在所有交换机上互相连通,这样的部署容易造成地址在整个园区网中泛洪,显然这并不符合最佳的网络设计实践的要求。2.网络安全难以保证。在企业园区网中,无线网络的出现一方面扩大了网络覆盖范围,但另一方面也带来了更多的安全隐患。由于每个AP独立运行,因此管理无线网络的安全性变得十分困难,每个独立的AP处理其各自的安全策略。无线数据流缺少统一的汇集点,这意味着无法对无线数据流进行集中统一的监控,以实现入侵检测和防范、服务质量、带宽控制等。同时,用户无线终端虽然可以与AP之间通过加密信道进行数据传输,但由于无线通信环境的易获取性和复杂性,黑客可以比较方便地对无线数据进行截取、分析和解密,从而窃取到数据内容。3.AP间信号重叠,漫游功能欠灵活。在传统的无线网络架构中,各个AP独立运行,相互之间没有通信机制,因此每个AP都会将功率信号放到最大,这便会使得AP之间的信号重叠区域可能超过20%,而一般合理的信号重叠区域应维持在10%左右。然而在重叠区域的用户无线终端会出现时断时续的现象。此外,由于AP之间相互独立,当用户在从AP1的信号范围移动到AP2时,无线终端需离开AP1范围即造成信号中断后再连接AP2的信号,在整个漫游过程中将造成数据包的大量丢失。通过上述章节,我们简单回顾了企业传统无线网络架构及数据流,指出该架构的诸多不足之处。那么在接下来的论述中,针对安全和管理的问题,文章引入一种新的架构方式,即企业统一无线网络架构,该架构不但可为企业获取灵活的无线业务应用,同时还能保证其可管理性和安全性。三、企业统一无线网络架构与传统无线网络架构一样,统一无线网络架构也可分为四大区域。其中,无线接入层和网络控制层的设备部署与传统架构相比存在较大不同:在网络控制层中,该架构增加了无线控制器(WirelessLanController,下简称WLC)和无线控制系统(WirelessControlSystem,下简称WCS)。WLC主要对AP进行统一集中管理,以实现网络的安全性和管理的灵活性,是无线网络统一架构的关键设备之一。WCS属于配套管理系统,在该架构中可查看整个无线网络覆盖的信号强度和范围,并能管理连接无线的用户,查看其身份,IP地址和具体的位置等功能,为统一无线架构的更是增加了灵活方便的元素。在无线接入层中,该架构部署的AP为轻量级AP(LAP),俗称“瘦AP”,其意义在于LAP并不需要单独配置,其配置通过WLC处自动下发获取,LAP与WLC之间实现基于LWAPP隧道封装的通信机制,以确保无线网络系统的统一性和安全性,详情可参考图二。点击图片查看大图图二企业统一无线网络架构(一)企业统一无线网络架构数据流统一无线网络架构针对传统无线网络架构中的诸多缺点,有了各方面的改进。在论述该架构之前,我们先对该架构中的无线数据流进行必要的描述:1.用户无线终端设备通过加密的无线信道接入至附近的LAP。2.LAP接收到用户无线终端的数据,以LWAPP协议在二层通道对数据进行隧道封装(可参考图二中的数据流描述),并通过证书方式对WLC进行认证。合法的WLC在通过认证后,LAP才会将封装后的用户数据发送至WLC。此时,LAP不负责对用户数据进行解密,解密过程由远端WLC完成。3.WLC接收到LAP发送的数据,先对LWAPP隧道进行解封装,如果数据加密则进行解密,完成后根据原数据包目标地址按路由转发,同时将原数据包源地址更改为自身设备的出口地址。4.由于WLC在转发数据前将原数据包的源地址更改成自身设备的接口地址,因此回包数据将先被统一转发至WLC,再由WLC进行LWAPP隧道封装发送给相应的LAP,LAP收到数据进行解封装后发送至用户的无线终端设备。其中,加密解密过程分别由WLC和用户无线终端分别进行,LAP并不参与。(二)企业统一无线网络架构优点根据对该架构数据流的描述,不难发现企业统一无线网络架构的优势主要有以下几点:1.统一的AP管理和控制。在该架构中,LAP并非独立部署于企业园区中,它们的配置策略和运行情况由WLC进行统一管理和协调。接入的LAP会自动同步WLC上的配置文件。在WLC中也能够管理所有已注册的合法LAP,当某个LAP发生故障时,WLC能够及时针对指定LAP进行排障。这使得管理员对于LAP的部署和管理非常的灵活便捷。与此同时,由于用户无线终端与目标应用间的通信被LAP和WLC用LWAPP协议进行隧道封装传送,因此无线用户可以被设计在同一个网段中而并不需要对整个网络进行二层的贯通,LAP本身的地址可以与归属的二层交换机同一网段。这样的设计并不会对企业园区网造成地址泛洪的影响,是比较优化的网络设计实践。2.网络安全性有保障。在传统无线网络架构中,无线数据流缺少集中的汇聚点,这导致安全策略难以集中统一部署。然而在该架构中的无线数据流在WLC处有统一的汇聚点。在该汇聚点上,管理员可统一实施相应的安全策略,如认证授权、防入侵检测、服务质量控制等一系列的管理功能,这将大大提升无线网络的自身的安全性。同时,在此架构中,无线数据的加密解密分别由用户的无线终端与WLC之相互交替进行,并且在整个传输过程中都是被隧道封装在LWAPP隧道中,这使得黑客比较难以从中通过对数据包的监听到而实施破解,也从另一个方面加强了无线数据的安全性。3.支持灵活漫游机制。在该架构中,利用WLC的功能,LAP之间存在信号的交互,也可自动收敛信号,使得信号重叠的区域始终维持在10%左右,从而保证最佳的无线通信环境。WLC还可自动为每个LAP分配信道。以避免各个LAP之间使用相同的信道而产生冲突。同时,用户在移动过程中可实现在LAP之间的自动切换漫游机制,最大程度提升无线通信的效率。