面對混合網絡的怎多，對于這種復合型網絡的管理難度也越來越大，那么應該如何掃除管理盲區，清除這些死角呢？本文為您推薦一個新的網絡構架思想，借助于線局域網控制器的使用。

無線局域網架構是以無線接入點(AP)為中心的。一個無線接入點就構成一個蜂窩，這個蜂窩內的客戶端需要發送或者接收數據都需要通過這個無線接入點才能夠達到網絡中的其他部分。但是傳統的無線接入點，如無線路尤器，其有一個很大的缺陷。即各個無線接入點之間是相互獨立的。即使大部分無線接入點的配置與安全策略都是相同的，但是網絡管理員仍然不得不分配對每個無線接入點進行配置。顯然這無形之中增加了網絡管理員的工作量。初始化配置與后續策略的調整都會很麻煩。

另外由于每個無線接入點AP都是相互獨立的，為此部署統一的安全策略將會變得非常的奢侈，管理無線網絡的安全性將變成一項不可能完成的任務。因為每個無線接入點都只負責其自身的安全策略。為此在無線網絡與有線網絡的交接處就是企業安全的盲點。因為在這無線網絡與有線網絡之間沒有中央入口。這也就是說，沒有合適的地方隊數據進行監控，以實現入侵檢測和防范、帶寬控制、服務質量等等。簡單的說，無限網絡與有線網絡之間就成為了三不管地帶，影響了企業網絡的安全。

為了解決這個無線與有線網絡之間的三不管問題，思科提出了一個統一無線網絡的架構，其最主要的功能就是把無線接入點分為輕量級的AP與無線局域網控制兩個部分。

一、分工合作，統一部署

其實，思科解決這個問題的思路很簡單，可以利用八個字來概括，就是“分工合作統一部署”。傳統的無線接入點其主要包括兩種進程，分別為實時進程與管理進程。實時進程包括發送和接收802.11楨、AP信標和探針信息、數據加密等等;而管理進程則主要包括客戶端認證、安全管理、Qos等等。在傳統的無線接入點中，這些實時進程與管理進程都是在同一個無線接入點中完成。所以說，網絡管理員不得不對各個無線接入點進行配置，即使他們采用了相同的配置與安全策略。由于無法統一對各個無線接入點進行配置與安全管理，這正是造成無線網絡與有線網絡之間出現三不管地帶的主要原因。

思科在這方面，就決定執行分工合作、統一部署。簡單的說，思科把無線接入點分為兩種，分別為輕量級的無線接入點與無線局域網控制器，其英文簡稱分別為LAP與WLC。而輕量級的無線接入點只負責一項工作，即負責接收與發送802.11楨;其他的功能都是通過無線局域網控制器來完成的。由于這個輕量級的無線接入點比傳統的無線路由器其功能要少的說，為此我們把它叫做輕量級的。這個名字也是由此而來。

而其他的進程則統一由無線局域網控制器來完成。也就是說，在無線局域網控制器中保存著各個輕量級無線接入點所需要采用的配置文件與安全策略，其被各個無線接入點所共享。如一些用戶認證、安全策略管理、RF信道和輸出功率選擇等等，都不需要在各個輕量級無線接入點上進行單獨配置與管理。只需要在無線局域網控制器中做好相關的配置，那么這些配置會自動應用到各個輕量級無線接入點中。從而實現分工合作、統一部署的管理策略。通過這個管理策略，就可以消除無線網絡與有線網絡之間的真空區，提高企業網絡的綜合性安全。

二、LAP與WLC的相互認證

由于無線接入點的配置文件、安全策略、身份認證等等都是依靠無線局域網控制器WLC來完成的。如果攻擊者偽造了一個非法的無線局域網控制器，那么一切都將會變得很可怕。為此在設計與部署輕量級無線接入點的時候，第一個需要注意的問題就是如何來保障無線局域網控制器的安全，不被仿冒。這是實現思科統一無線網絡架構的基礎。

輕量級無線接入點與無線局域網控制器之間主要通過輕量級接入點協議來作為彼此的隧道協議。具體的來說，其包括兩個隧道。一個隧道是用來傳遞客戶端的一些數據的。此時輕量級隧道協議會使用LWAPP格式來封裝這些數據。雖然沒有對此進行加密，但是封裝后的數據相對來說是比較安全的。另外一個隧道就是傳遞一些控制信息，這些控制信息決定了輕量級無線接入點的運行方式、客戶端認證、安全策略等等。輕量級隧道協議會對這些控制信息進行認證與加密，以確保無線局域網控制器能夠萬無一失的管理控制各個輕量級無線接入點。在思科的解決方案中，輕量級無線接入點與無線局域網控制器之間是通過數字證書來彼此相互認證的。如在出廠時設備上可能都會裝有一個數字證書，然后輕量級隧道協議會在后臺利用這些數字證書進行驗證。為此者就可以有效的避免無線局域網控制器被偽造。

所以保無線局域網控制器與輕量無線接入網絡管理員在部署統一無線網絡之前，就需要先確點之間能夠進行相互的認證。只有無線局域網控制器的安全性有所保障之后，才能夠確保企業無線網絡的安全。故網絡管理員需要了解他們之間認證的一些詳細信息，并要能夠解決他們認證過程中可能會出現的問題，如數字證書無效等等該如何解決。