由于移動設備在企業內的快速增長， WLAN已經從一種便利措施變成完整的網絡解決方法。為了支持廣泛的設備類型，工程師必須設計一種WLAN邊緣網絡，以支持新型WLAN訪問控制和應用優化。本文將介紹WLAN架構中關于WLAN訪問控制與應用優化等問題。

理解WLAN訪問控制的基本概念

一定要先理解在WLAN訪問控制中發揮不同作用的各種網絡訪問技術和標準。最基本的訪問技術和標準包括：

• 802.11x以太網：這一種底層標準，它涵蓋了通信技術Wi-Fi，定義了無線鏈路、調制技術和數據幀格式。Wi-Fi與802.11a/b/g/n標準由IEEE定義。后續版本(包括802.11ad、.11u和.11ac)將更好地整合移動通信網絡，在最大速度與有線以太網的相當。

• 網絡訪問控制(NAC)：NAC系統負責控制可以通過WLAN連接網絡的設備。IEEE的802.1X標準規定了如何要求用戶在訪問LAN服務之前進行身份認證。在企業中，NAC和802.1X通常是同義詞，但是NAC除了身份認證，還包含更廣泛的檢查。許多公司(特別是較小型公司)使用WPA(Wi- Fi Protected Access)替代802.1X，因為前者更為簡單易用。

• 虛擬私有網絡(VPN)：VPN可以創建一個連接多個可能不安全網絡的安全通路。VPN主要使用IPsec(運行在IP層)、SSL/TLS或SSH(運行在IP層之上)。

• 虛擬局域網(VLAN)：它由IEEE標準802.1q定義。VLAN定義的是邏輯網絡之上的邏輯LAN，而非物理LAN。IT可以使用VLAN劃分同一個物理LAN的資源，或者讓位于不同物理LAN的設備表面上共享相同的LAN。企業通常使用VLAN控制不同設備分組的企業資源訪問級別。例如，“銷售”VLAN上的主機可以訪問數據中心內運行的應用程序，但是“訪客”VLAN上的主機則不允許。

• 輕量目錄訪問協議(LDAP)：嚴格意義上說，LDAP并不是一種WLAN技術，但是它也屬于企業級技術。LDAP可以標準化企業目錄訪問，如 Active Directory或Open Directory，并且允許組織使用目錄作為WLAN使用的訪問權限庫。RADIUS(遠程用戶撥號認證系統)通常會與LDAP整合在一起，共同提供一個處理身份、認證和訪問的框架。

擴展開放標準實現私有邊界

許多供應商提供了一些支持這些開放無線LAN標準的技術，但是要擴展它們的定義范圍，才能實現私有邊界。供應商使用私有擴展實現自已產品的差異性。這些特性是為企業提供一整套用于提升WLAN架構管理的關鍵技術，如設備管理和應用性能優化。例子如下：

• 私有預共享密鑰(Private Pre-Shared Key, PPSK)：PPSK可用于驗證設備和/或身份，它是一種NAC，定義了一種更簡單的802.1X功能擴展方法。不同的供應商使用不同的方法實現 PPSK。供應商可以使用PPSK驗證身份和在設備上應用訪問權限。

• 頻帶操縱：它由一些私有技術定義，WLAN供應商使用頻帶操縱檢測不同設備的Wi-Fi功能，如802.11a/b/g/n，然后將它們重定向到不同的頻道，從而優化它們的容量、性能和使用方式。

• 服務質量(QoS)：IEEE 802.11e是一種WLAN的通用QoS標準，而SVP是一種廣泛使用的傳統私有標準。供應商還可以定義一些私有QoS機制，用于加快WLAN的數據包傳輸。例如，Ruckus Wireless使用自有方法定義波束成型，實現無線鏈路的性能優化。

• 安全事件管理(SEM)：SEM指一些安全事件的日志記錄、管理和報告，如未授權訪問。WLAN供應商可以自由決定SEM的實現方法。雖然這個方面不存在標準，但是一定要跟蹤WLAN網絡中發生的事情。

創建成功的“Wi-Fi為先”WLAN架構

作為WLAN架構需求定義的關鍵部分，企業必須理解設備類型、應用及其即時支持位置(確定其他東西是否會隨后出現)。了解這些信息將幫助IT人員找到在企業規劃與安全框架之下最適合他們需求的WLAN架構。

定義這些需求將使IT人員能夠：

• 發現最佳的試點或起點位置;

• 確定WLAN的功能與局限性;

• 確定一個能夠作為企業主要或唯一接入技術的WLAN。

WLAN功能：基本上，企業WLAN是一種具有嚴格要求的互聯Wi-Fi，它的要求包括安全、正常運行時間(企業要求99.999%網絡可用性，通常稱為“5個9”正常運行時間、后臺系統整合、應用與設備管理。如果將WLAN架構作為主要或唯一接入技術，原本屬于有線LAN的功能現在必須整合到WLAN 中。然而，WLAN不僅僅要具有有線網絡的同等功能，它還可以擴展這些功能，包括：

• 安全性與規范性：LAN邊界安全性的作用包括訪問控制、加密、流氓檢測、媒體訪問控制(MAC)地址驗證等。WLAN可以實現這些功能，按照一些特殊標準提供連接，如健康保險流通與責任法案(HIPAA)。

• 優化：網絡的訪問邊界應用于QoS數據包標記和智能流控制。WLAN還可以應用一些只支持無線網線的技術，包括頻帶操縱、天線設計等。

• 設備管理：WLAN供應商產品現在包含設備管理功能(基于NAC)，通過整合LDAP/RADIUS或類似的目錄服務，它確定了后臺系統、服務和應用的訪問權限。

• 報告：這個功能通常由SEM定義，除了適用于特定供應商和/或合作伙伴報表工具，它還提供了事件和總體報告工具。

• 可靠性：WLAN可以持續監控RF環境的瞬時變化。例如，當員工夾緊一個天線，它就會影響信號功率(增益)、方向和接入端(AP)的

主接入WLAN架構需要應用與移動性的支持

雖然現場管理工具仍然占據主導位置，但是越來越多WLAN供應商推出了軟件即服務(SaaS) 工具，它可以管理所有附加和要求的應用與移動功能。這種策略可用于簡化主接入WLAN架構的初次部署及未來擴展。

“WLAN為先”的現代架構要求所運行的移動設備與應用能夠作為員工設備和其應用的優先選擇。由于許多公司現在已經支持BYOD，而且蘋果iOS也成為最廣泛使用的移動操作系統(96.3%的公司已經接受)，所以企業正面臨快速增長消費市場帶來的資源分配難題。現有設備與用例通常涉及同時運行企業、個人和多用途應用，因此對WLAN提出的需求已經非常復雜。

企業用戶使用的典型業務與個人應用包括Skype、Facebook、 LinkedIn、Saleforce、Oracle客戶關系管理(CRM)、FaceTime、Google地圖、Pandora，以及企業視頻會議、電子郵件、瀏覽器和日程管理。由于其吞吐量和延遲方面的要求，這些應用給WLAN帶來極大的考驗，而且用戶也期望能夠在各個位置使用這些應用。這些容量與普適性要求促使基于分布式智能技術的現代網狀WLAN架構。“胖AP”要求無線WLAN架構通過新接入點的擴展能力，而不會帶來傳統WLAN那種單獨控制與管理的負擔。

為了支持所有這些需求，IT人員應該通過移動設備管理工具(MDM)定義、控制和支持BYOD與消費類設備?，F在有超過 30個供應商和托管服務提供商(MSP)有MDM平臺產品，他們正快速推出一些新特性，支持移動應用管理(MAM)、安全文檔知識庫(SDR)、WLAN 證書授權(CA)注冊及其他與有線網絡一樣的功能。IT人員應該整合安全性、移動性、軟件開發、網絡架構等團隊及非IT員工的要求，提出一個全面全新的計劃。這將幫助人們了解與移動性和應用緊密先關的WLAN需求。