企業(yè)部署輕量級AP應該注意三大問題
在思科的統(tǒng)一無線管理策略中,將無線發(fā)射點分為輕量級AP與無線局域網(wǎng)控制器兩個部分,兩者各司其責。輕量級AP只負責信號的接收與發(fā)送,而無線局域網(wǎng)控制器則負責客戶端身份認證、安全策略管理等等。所以在部署思科無線局域網(wǎng)的時候,就需要注意合理部署輕量級 AP,讓其能夠跟無線局域網(wǎng)有機的聯(lián)系起來。
為了幫助大家能夠深一步認識輕量級AP的部署,筆者就先談談輕量級AP的工作原理。然后結合這個工作原理來談談其部署的重點與注意事項。簡單的來說,輕量級AP從啟動到正常運行大致可以分為四個步驟。
第一步:輕量級AP從DHCP服務器那里獲得一個IP地址。雖然輕量級AP只是一個無線信號接入點,但是其仍然是一個網(wǎng)絡設備。其要在局域網(wǎng)絡中進行正常的數(shù)據(jù)傳送,其仍然需要一個合法的IP地址。為此在啟動的時候,輕量級AP需要從DHCP服務器中獲得一個合法的IP地址。
第二步:與無線局域網(wǎng)控制器建立聯(lián)系。輕量級AP在啟動過程中,會通過廣播的方式取得所有無線局域網(wǎng)控制器的IP地址。如果不考慮其他因素的話,則其會先向其獲得的第一個無線局域網(wǎng)控制器發(fā)送連接請求。如果無線局域網(wǎng)控制器沒有回應的話,則會嘗試下一個IP地址。無線局域網(wǎng)控制器接收到這個請求信息時,便會向輕量級AP發(fā)送加入應達的信息。如此就可以把輕量級AP與無線局域網(wǎng)控制器綁定在一起。
第三步:策略代碼的比較與更新。無線局域網(wǎng)控制器在綁定了輕量級AP之后,就會把其代碼印象版本與本地存儲的代碼映像版本進行比較。如果在連接之前,無線局域網(wǎng)控制器中的某些策略發(fā)生了變更,則輕量級AP將會從無線局域網(wǎng)控制器中下載并啟用最新的印象代碼。不過要生效的話,輕量級AP必須重新啟動。
第四步:隧道的建立。當以上三個步驟完成之后,輕量級AP與無線局域網(wǎng)控制器之間會建立起兩條隧道,分別為傳送管理信息的LWAPP控制信息隧道與用戶數(shù)據(jù)的數(shù)據(jù)隧道。這兩個隧道并不能夠用來實現(xiàn)數(shù)據(jù)負載均衡,而是各有各的用途。即使在客戶端數(shù)據(jù)交換頻繁的時候,用來傳輸控制信息的隧道也不用購用來傳遞數(shù)據(jù)信息。
可見,輕量級AP的工作原理是非常簡單的。因為其大部分的復雜工作,如客戶端的身份認證等等,都是由獨立的無線局域網(wǎng)控制器完成的。為此在部署輕量級AP的時候,其重點就是如何保證輕量級AP與無線局域網(wǎng)控制器之間的連接。如果這個連接中斷的話,則即使輕量級AP工作正常,用戶仍然無法通過這個輕量級AP來收發(fā)信息。為了保障他們之間的有效連接,網(wǎng)絡管理員需要注意以下幾個方面的問題。
1、虛擬局域網(wǎng)的問題
如果企業(yè)處于安全的考慮,在企業(yè)網(wǎng)絡中部署了虛擬局域網(wǎng)。此時對于輕量級AP與無線局域網(wǎng)控制器的通信是否會造成影響?如通過DHCP服務器,輕量級AP與無線局域網(wǎng)控制器設備的IP地址分屬于不同的局域網(wǎng)。此時這兩個設備雖然通過路由器仍然可以進行通信,但是對于其傳遞的管理信息是否會造成不利的影響呢?通常情況下,使不會造成不利影響的。或者說,其不利影響可以忽略不計。這主要是因為隧道封裝的原因。在無線局域網(wǎng)控制器與輕量級AP進行數(shù)據(jù)傳送時,隧道會將他們之間需要傳送的數(shù)據(jù)封裝到IP分組中,從而可以跨越虛擬局域網(wǎng)交換或者路由這些信息。如果此時需要通過路由器來進行路由,所以其在傳送的環(huán)節(jié)中就多出了一環(huán),其速率稍微受到了一些影響。不過除非這個路由器是企業(yè)網(wǎng)絡中的瓶頸資源,否則的話,這個不利影響可以忽略不計。
不過如果部署在不同的虛擬局域網(wǎng)中,對于后續(xù)故障的排測也會產生不利的影響。如當無線局域網(wǎng)控制器與輕量級AP無法正常通信的話,那么造成這個故障的原因還需要考慮路由器路由信息的原因。所以在遇到故障時,就必須多測試幾個地方。所以雖然無線局域網(wǎng)控制器與輕量級AP可以分屬于不同的局域網(wǎng),但是,為了后續(xù)工作的方面,盡量不要這么做。即盡量部署在相同的虛擬局域網(wǎng)中。把他們部署在不同的局域網(wǎng)中只是不得已而為之的做法。如企業(yè)中有三個無線接入點,分屬于三個不同的虛擬局域網(wǎng)。此時,為他們分別配制三個不同的無線局域網(wǎng)控制器則顯然是不合理的。在遇到這種情況時,只需要配備一個無線局域網(wǎng)控制器。其中有兩個輕量級AP只好與無線局域網(wǎng)控制器分屬于不同的虛擬局域網(wǎng),以節(jié)省硬件的成本,并實現(xiàn)統(tǒng)一管理。
2、輕量級AP與無線局域網(wǎng)控制器的關聯(lián)方式
從上面的工作原理中,我們可以看到,都是輕量級AP主動與無線局域網(wǎng)控制器進行聯(lián)系。也就是說,如果企業(yè)無線網(wǎng)絡比較復雜,有多個無線局域網(wǎng)控制器的話,輕量級AP會與那個無線局域網(wǎng)控制器進行綁定的?這個主動權主要在輕量級AP,而不在于無線局域網(wǎng)控制器上。通常情況下,輕量級AP會發(fā)送廣播信息,以獲得其周邊的所有無線局域網(wǎng)控制器的IP地址。并會根據(jù)得到IP地址時間的先后順與,依次進行連接請求。并自動綁定第一個允許其連接請求的無線局域網(wǎng)控制器。但是,這往往會造成管理上的混亂。如企業(yè)網(wǎng)絡管理員出于負載均衡的需要,或者出于安全的需要,往往希望輕量級AP能夠連接到特定的無線局域網(wǎng)控制器上去。而這種綁定方式,顯然不能夠滿足管理員維護無線網(wǎng)絡的需要。
為此,思科的輕量級AP采取了一個自定義無線局域網(wǎng)控制器IP地址列表的功能。即在每一個輕量級AP內,都能夠維護一個組多可達三個IP地址的列表,而且這個三個無線局域網(wǎng)控制器的IP地址有先后順序。第一個IP地址代表的無線局域網(wǎng)控制器為主控制器,第二個輔助無線局域網(wǎng)控制器,第三個會后給輔助無線局域網(wǎng)控制器。如果采用了這個列表之后,那么當輕量級AP啟動時,就不會去搜尋其周圍的無線局域網(wǎng)控制器。而是直接利用這個列表中的IP地址與無線局域網(wǎng)控制器進行連接,要求與其建立聯(lián)系。如果當這規(guī)定的三個IP地址都不可用時,才會發(fā)送IP子網(wǎng)廣播來尋找可用的無線局域網(wǎng)控制器。
3、隧道安全機制的不同
在輕量級AP與無線局域網(wǎng)控制器進行通信時,會采用兩條隧道,分別用來傳送控制信息與數(shù)據(jù)信息。通常情況下,控制信息在傳送的過程中是不加密的,而數(shù)據(jù)信息在傳送的過程中是加密的。雖然有隧道的保護,但是其管理信息在隧道中進行明文傳輸則仍然會有一定的安全隱患。為此需要通過IPSec等安全策略,來保障其信息傳輸?shù)陌踩浴7駝t的話,非法供給者就可以通過竊聽等手段來獲取管理信息,并進行偽造,從而讓一些非法的客戶端可以通過其認證,連接到這個無線局域網(wǎng)中。所以,如果企業(yè)無線網(wǎng)絡中的數(shù)據(jù)比較重要,會讓一些攻擊者不惜花大代價來進行攻擊的話,則通過IP安全策略等手段來加密管理信息仍然是非常有必要的。不過在采用這些額外的安全手段時,需要進行仔細的測試,以判斷能否與思科無線統(tǒng)一安全策略兼容。雖然說思科的產品其兼容性一般不會有多大的問題,因為其本身就是很多網(wǎng)絡標準的制定者。不過為了保險,這個兼容性測試仍然是必需的。
【編輯推薦】
