Chinaunix首页 | 论坛 | 博客
  • 博客访问: 362903
  • 博文数量: 71
  • 博客积分: 1656
  • 博客等级: 上尉
  • 技术积分: 931
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-17 10:42
文章分类

全部博文(71)

文章存档

2012年(6)

2011年(9)

2010年(4)

2009年(9)

2008年(43)

我的朋友

分类: 系统运维

2008-12-08 15:11:52

WLAN可提高企業網路的效率,並降低網路部署和營運總成本。但是,無線網路同時也為網路管理者帶來了管理和安全方面的挑戰。成功部署無線網路的關鍵在於IT經理能夠獲得無線域的控制權,就和控制有線網路一樣。

有線網路依靠用戶認證和對網路的實體存取來實現接取,而無線網路則需要強大的認證和加密方法。由於無線域是動態的,隨時都在變化,無線網路在營運方面也是一個挑戰。無線網路廠商要想部署營運級的無線網路,就必須克服這些難題。

無線網路的一個關鍵設計和部署原則就是監視、控制和指配功能的集中化。實驗證明,集中化是對大量網路設備制訂和實施統一政策的最佳方式,無論這些設備集中於同一實體地點還是分散在不同的地理區域。

一個集中式WLAN架構要想有成效,相關的資訊必須不斷地傳送給管理該網路的中心設備(如WLAN交換機/設備)。如果沒有整體、精確及更新速度達到毫秒級的無線環境狀態資訊,中心設備就無法做出準確的決策。與此同時,如果中心控制器參與所有的接取點作業,它可能會影響那些對時序特別感應的功能。因此,必須在其中尋求一種平衡。

圖1:典型的分割式MAC架構示意圖。

解決集中化架構平衡問題的一個方案是提供一個全新的802.11服務傳送設計,在兩種設備(即AP和中心WLAN交換機/設備)之間將802.11 MAC層的處理任務進行分割。下面我們將詳細探討這種MAC分割方法以及它對WLAN架構的益處。

建構企業級的WLAN

傳統的WLAN由無數單獨的AP組成,它們產生了很多獨立、自治的RF域,而這些RF域又都是獨自管理的。這很像最初的蜂巢式網路,每個單獨的無線接收和發送塔管理它們各自的域。同樣地,在獨立的802.11網路中,所有MAC處理任務都由AP自己執行。例如,一個AP可執行:

1. 終止802.11數據和管理協議(注意:很多管理任務來自交換機/某設備);


2. 在網路的有線和無線部份之間轉換數據;


3. 維護有關客戶端和無線環境的統計資訊;

在單個無線節點內維護資訊使得很難製作一個統一的網路以為每個用戶群提供穩定的網路性能、高性能漫遊,以及不管用戶位置都能確保政策的一致性。最後,將每個接取點作為單獨的RF域來管理對IT管理人員來說是困難的,隨著無線網路規模的不斷擴充尤其如此。

集中式WLAN架構克服了以上缺陷,它可將系統範圍的資訊集中到單個交換機/某設備中,或集中到多個協調工作的交換機/設備中。然而,大部份方案都是將所有功能集中到一個中心設備,這意味著各種任務和處理都產生在該交換機或設備內,包括流量轉發、加密、服務品質(QoS),以及政策製作和管理。在這種架構中,AP只是一個無線收發天線,在802.11或其它數據封包處理中不起任何作用。這種架構存在的問題是,所有處理決策都由中心設備決定,它能否處理好即時應用?

採用分割式MAC的WLAN系統可以解決以上問題,它在AP和WLAN交換機或控制器之間將802.11數據和管理協議的處理任務及接取點功能分割開(見圖1)。

透過這種MAC分離方法,AP只處理有即時要求的協議部份,如信標訊框的發送、響應來自客戶端的‘探查請求(Probe Requests)’訊框、為交換機或控制器提供即時訊號品質資訊、監視其他AP的出現以及第二層加密等。

所有其它功能都由WLAN交換機/設備處理,因為它們對時間不敏感,而且對系統範圍的可見度有要求。WLAN控制器所提供的一些MAC層功能包括:802.11認證、802.11關聯和再關聯(行動性)、802.11訊框轉換和橋接等。

將802.11管理協議、訊框轉換和橋接功能集中到中心交換機/設備中,可實現收集控制器所需的特定資訊,以便在系統範圍內進行管理,如網路RF資訊,或者第二層和第三層客戶端無縫漫遊。

智慧RF管理

分割式MAC架構可大幅提高WLAN系統管理無線資源的能力。在AP中提供監控功能就可即時檢測RF的變化(如接收訊號強度、訊號品質、訊息通道分配和噪音等)。這些資訊隨後被饋送到集中式WLAN控制器,以便為最佳化WLAN性能提供決策支援。例如,單個WLAN交換機或設備就可在整個企業網路內動態分配訊息通道、分配頻寬,並控制AP傳輸功率。

成功的RF管理需要一個‘全盤的’方法。如果資訊只駐留在AP內,有關設備的RF管理決策實際上可能對整個WLAN系統造成不利影響。例如,減少AP的傳輸功率可能引起其它地方的覆蓋範圍漏洞。同樣地,提高傳輸功率可能會引起干擾。

此外,只有針對整個系統範圍的方法才能再使用訊息通道以避免網路一個部份的噪音和干擾。如果RF管理決策由單個AP做出,那麼有問題的訊息通道就可能被徹底放棄,而在某些情況下使用部份訊息通道對整體網路性能是有益的。透過製作一個集中式的RF管理‘權威’,分割式MAC架構就可即時地解決實際執行問題。

即時負載均衡

傳統WLAN一般採用以下兩種方法中的一種處理行動性:


1.AP之間以對等方式相互交流負載資訊,‘最好的’AP負責對客戶端請求做出響應。


2.AP直接將負載資訊廣播給那些負責自主決策的客戶端。

圖2:分割式MAC架構很容易
檢測並阻止WLAN網路內的欺騙性AP。

這兩種方法都有明顯的缺陷。第一種方法會增加WLAN的流量,因而消耗頻寬及增加延遲。如果AP在共享資訊時出現延遲,可能會做出不準確的負載均衡決策,或者對時間感應的流量可能遭遇性能問題。此外,這種方法是在理想狀況下做出決策的,忽略了安全性、QoS、用戶行動模式以及其它可在系統範圍基礎上做出更準確決策的有用參數。

第二種方法也會引發很多同樣的問題,因為客戶端所處理的一般都是陳舊的資訊,它們並不相互溝通以便收集整個系統範圍的資訊。由於一個WLAN上可能有數百個、甚至數千個客戶端設備,這種方法會造成嚴重的管理負擔及可伸縮性挑戰。此外,客戶端還可能被欺騙,引起拒絕服務等無線網路攻擊的潛在危機。

所提議的分割式MAC架構可以解決這些問題,為性能最佳化提供有效、系統範圍的負載均衡。其工作原理如下:

1. 很多客戶端偶爾發送‘探查請求’以確定附近是否有強訊號的AP可以提供適當的服務。對客戶端做出響應的AP提供它們所工作的訊息通道資訊,以及可用的個別WLAN資訊(比如SSID)。AP還向WLAN交換機或設備發送一個通知,以指明發送‘探查請求’的客戶端身份,還包括所接收訊號品質的資訊。該資訊適用於安全性功能及客戶端連接性。

2. WLAN控制器利用這一資訊,以及來自其它AP的類似資訊,來確定每個AP與特定客戶端通訊的可靠性。利用以上這些資訊,以及跟每個AP關聯的客戶端數量及每個AP的總負載資訊,WLAN交換機或設備就可以選擇特定客戶端應該與之通訊的最佳AP。WLAN控制器採用802.11管理協議的現有方法,鼓勵客戶端盡可能與最合適的AP通訊。

負載均衡透過採用分割MAC方法實現了最佳化,因為集中式WLAN交換機和設備擁有每個AP的具體資訊,因而讓系統做出快速、智慧的決策。透過讓AP自己處理探查請求,WLAN系統可確保均衡負載時的延遲最小,並可為行動用戶帶來即時的性能體驗。

即時流量處理

為了支援語音等即時的下行流量(來自有線網路),WLAN系統必須將數據封包區分開來,並根據特定的規則處理這些數據封包。數據封包分類最好由集中式WLAN控制器來處理,因為它可應用與不同QoS標準相關的系統範圍規則,包括來源、目的地、協議類型、VLAN ID、DHCP、優先級或這些特徵的任意組合。分類後,數據封包就被分派相應的優先級、頻寬及數據封包丟棄特徵,以便獲得最佳化的系統性能。

在分割式MAC架構中,AP包含獨立的硬體佇列,這些佇列適用於為數據封包的無線傳輸排出優先順序。存取RF網路是基於由WLAN交換機/設備確定的QoS參數。在這一方面,IT管理人員可以集中控制和配置QoS政策,並在AP端本地強制實施以最佳化WLAN性能。

分割式MAC架構還為IEEE新興的QoS標準802.11e鋪平了道路,因為它可以在AP上提供第二層加密功能。這樣可讓AP對每個數據封包都了如指掌,因而隨時做出合理的資源調度決策。

其次,當AP處理加密時,它可以更好地支援802.11e標準的動態分割功能。這是指,當沒有足夠的可用時間來傳送整個數據封包時,每個AP可以將數據封包分割開來。如果加密被集中在WLAN控制器中,WLAN系統就可能遭遇延遲,影響動態分割特性的效率。因此,分割式MAC架構特別適用於未來的802.11e環境。

安全性問題

透過分割AP和WLAN交換機或設備之間的協議和AP功能處理可以增強行動性。同樣地,安全性也可以得到加強。當每個數據封包都是由集中式WLAN控制器處理時,複雜的安全策略可以應用,無論AP與哪一個客戶端相關聯。安全性政策包括:

1.第二層加密(如WEP、WPA和802.11i),或者第三層加密(IPSec);


2.用戶身份認證(如802.1x、XAUTH或網站登錄);


3.詳細的存取控制清單(ACL),以便將網路存取限定於某個用戶或用戶群;


4.動態VLAN分配。

所有這些安全增強特性都是可能的,因為802.11功能是在AP和集中的WLAN交換機或設備間分開的。這種分割可讓交換機/設備、接取點有機會檢測和處理每一個來自或發向WLAN的數據封包,並做出相應的處理。它還可以讓企業在網路邊緣識別並阻止違反安全的事件。

若檢測到安全隱患,WLAN交換機或設備會在整個網路內提供保護。例如,可以指導數據封包到達的AP忽略有安全隱患的客戶端,直到隱患得到控制。此外,WLAN交換機或裝置還可以告訴WLAN內的其它所有AP,忽略來自該客戶端的探查請求,以確保該設備無法從不同位置存取無線網路。

儲存在WLAN控制器內的RF拓樸資訊也可與AP檢測到的即時資訊相關聯,以準確定位安全隱患的來源,如欺騙性AP(見圖2)。這種粒狀位置追蹤有助於快速制止惡意活動,以防止造成損害。

如果所有安全功能在AP內處理,企業就無法設立針對適用於所有AP的統一規則。此外,沒有集中的資訊也很難在每個AP上設立多個不同的安全政策。如果所有安全功能都駐留在WLAN控制器內,就很難在網路邊緣執行某些行動,比如流量加密。因此,在二者之間設立一種平衡對WLAN安全至關重要。

阅读(1718) | 评论(0) | 转发(0) |
0

上一篇:上班族黑話

下一篇:WLAN无线局域网

给主人留下些什么吧!~~