在思科的統(tǒng)一無線管理策略中，將無線發(fā)射點(diǎn)分為輕量級AP與無線局域網(wǎng)控制器兩個部分，兩者各司其責(zé)。輕量級AP只負(fù)責(zé)信號的接收與發(fā)送，而無線局域網(wǎng)控制器則負(fù)責(zé)客戶端身份認(rèn)證、安全策略管理等等。所以在部署思科無線局域網(wǎng)的時候，就需要注意合理部署輕量級 AP，讓其能夠跟無線局域網(wǎng)有機(jī)的聯(lián)系起來。

為了幫助大家能夠深一步認(rèn)識輕量級AP的部署，筆者就先談?wù)勢p量級AP的工作原理。然后結(jié)合這個工作原理來談?wù)勂洳渴鸬闹攸c(diǎn)與注意事項(xiàng)。簡單的來說，輕量級AP從啟動到正常運(yùn)行大致可以分為四個步驟。

第一步：輕量級AP從DHCP服務(wù)器那里獲得一個IP地址。雖然輕量級AP只是一個無線信號接入點(diǎn)，但是其仍然是一個網(wǎng)絡(luò)設(shè)備。其要在局域網(wǎng)絡(luò)中進(jìn)行正常的數(shù)據(jù)傳送，其仍然需要一個合法的IP地址。為此在啟動的時候，輕量級AP需要從DHCP服務(wù)器中獲得一個合法的IP地址。

第二步：與無線局域網(wǎng)控制器建立聯(lián)系。輕量級AP在啟動過程中，會通過廣播的方式取得所有無線局域網(wǎng)控制器的IP地址。如果不考慮其他因素的話，則其會先向其獲得的第一個無線局域網(wǎng)控制器發(fā)送連接請求。如果無線局域網(wǎng)控制器沒有回應(yīng)的話，則會嘗試下一個IP地址。無線局域網(wǎng)控制器接收到這個請求信息時，便會向輕量級AP發(fā)送加入應(yīng)達(dá)的信息。如此就可以把輕量級AP與無線局域網(wǎng)控制器綁定在一起。

第三步：策略代碼的比較與更新。無線局域網(wǎng)控制器在綁定了輕量級AP之后，就會把其代碼印象版本與本地存儲的代碼映像版本進(jìn)行比較。如果在連接之前，無線局域網(wǎng)控制器中的某些策略發(fā)生了變更，則輕量級AP將會從無線局域網(wǎng)控制器中下載并啟用最新的印象代碼。不過要生效的話，輕量級AP必須重新啟動。

第四步：隧道的建立。當(dāng)以上三個步驟完成之后，輕量級AP與無線局域網(wǎng)控制器之間會建立起兩條隧道，分別為傳送管理信息的LWAPP控制信息隧道與用戶數(shù)據(jù)的數(shù)據(jù)隧道。這兩個隧道并不能夠用來實(shí)現(xiàn)數(shù)據(jù)負(fù)載均衡，而是各有各的用途。即使在客戶端數(shù)據(jù)交換頻繁的時候，用來傳輸控制信息的隧道也不用購用來傳遞數(shù)據(jù)信息。

可見，輕量級AP的工作原理是非常簡單的。因?yàn)槠浯蟛糠值膹?fù)雜工作，如客戶端的身份認(rèn)證等等，都是由獨(dú)立的無線局域網(wǎng)控制器完成的。為此在部署輕量級AP的時候，其重點(diǎn)就是如何保證輕量級AP與無線局域網(wǎng)控制器之間的連接。如果這個連接中斷的話，則即使輕量級AP工作正常，用戶仍然無法通過這個輕量級AP來收發(fā)信息。為了保障他們之間的有效連接，網(wǎng)絡(luò)管理員需要注意以下幾個方面的問題。

1、虛擬局域網(wǎng)的問題

如果企業(yè)處于安全的考慮，在企業(yè)網(wǎng)絡(luò)中部署了虛擬局域網(wǎng)。此時對于輕量級AP與無線局域網(wǎng)控制器的通信是否會造成影響?如通過DHCP服務(wù)器，輕量級AP與無線局域網(wǎng)控制器設(shè)備的IP地址分屬于不同的局域網(wǎng)。此時這兩個設(shè)備雖然通過路由器仍然可以進(jìn)行通信，但是對于其傳遞的管理信息是否會造成不利的影響呢?通常情況下，使不會造成不利影響的?；蛘哒f，其不利影響可以忽略不計(jì)。這主要是因?yàn)樗淼婪庋b的原因。在無線局域網(wǎng)控制器與輕量級AP進(jìn)行數(shù)據(jù)傳送時，隧道會將他們之間需要傳送的數(shù)據(jù)封裝到IP分組中，從而可以跨越虛擬局域網(wǎng)交換或者路由這些信息。如果此時需要通過路由器來進(jìn)行路由，所以其在傳送的環(huán)節(jié)中就多出了一環(huán)，其速率稍微受到了一些影響。不過除非這個路由器是企業(yè)網(wǎng)絡(luò)中的瓶頸資源，否則的話，這個不利影響可以忽略不計(jì)。

不過如果部署在不同的虛擬局域網(wǎng)中，對于后續(xù)故障的排測也會產(chǎn)生不利的影響。如當(dāng)無線局域網(wǎng)控制器與輕量級AP無法正常通信的話，那么造成這個故障的原因還需要考慮路由器路由信息的原因。所以在遇到故障時，就必須多測試幾個地方。所以雖然無線局域網(wǎng)控制器與輕量級AP可以分屬于不同的局域網(wǎng)，但是，為了后續(xù)工作的方面，盡量不要這么做。即盡量部署在相同的虛擬局域網(wǎng)中。把他們部署在不同的局域網(wǎng)中只是不得已而為之的做法。如企業(yè)中有三個無線接入點(diǎn)，分屬于三個不同的虛擬局域網(wǎng)。此時，為他們分別配制三個不同的無線局域網(wǎng)控制器則顯然是不合理的。在遇到這種情況時，只需要配備一個無線局域網(wǎng)控制器。其中有兩個輕量級AP只好與無線局域網(wǎng)控制器分屬于不同的虛擬局域網(wǎng)，以節(jié)省硬件的成本，并實(shí)現(xiàn)統(tǒng)一管理。

2、輕量級AP與無線局域網(wǎng)控制器的關(guān)聯(lián)方式

從上面的工作原理中，我們可以看到，都是輕量級AP主動與無線局域網(wǎng)控制器進(jìn)行聯(lián)系。也就是說，如果企業(yè)無線網(wǎng)絡(luò)比較復(fù)雜，有多個無線局域網(wǎng)控制器的話，輕量級AP會與那個無線局域網(wǎng)控制器進(jìn)行綁定的?這個主動權(quán)主要在輕量級AP，而不在于無線局域網(wǎng)控制器上。通常情況下，輕量級AP會發(fā)送廣播信息，以獲得其周邊的所有無線局域網(wǎng)控制器的IP地址。并會根據(jù)得到IP地址時間的先后順與，依次進(jìn)行連接請求。并自動綁定第一個允許其連接請求的無線局域網(wǎng)控制器。但是，這往往會造成管理上的混亂。如企業(yè)網(wǎng)絡(luò)管理員出于負(fù)載均衡的需要，或者出于安全的需要，往往希望輕量級AP能夠連接到特定的無線局域網(wǎng)控制器上去。而這種綁定方式，顯然不能夠滿足管理員維護(hù)無線網(wǎng)絡(luò)的需要。

為此，思科的輕量級AP采取了一個自定義無線局域網(wǎng)控制器IP地址列表的功能。即在每一個輕量級AP內(nèi)，都能夠維護(hù)一個組多可達(dá)三個IP地址的列表，而且這個三個無線局域網(wǎng)控制器的IP地址有先后順序。第一個IP地址代表的無線局域網(wǎng)控制器為主控制器，第二個輔助無線局域網(wǎng)控制器，第三個會后給輔助無線局域網(wǎng)控制器。如果采用了這個列表之后，那么當(dāng)輕量級AP啟動時，就不會去搜尋其周圍的無線局域網(wǎng)控制器。而是直接利用這個列表中的IP地址與無線局域網(wǎng)控制器進(jìn)行連接，要求與其建立聯(lián)系。如果當(dāng)這規(guī)定的三個IP地址都不可用時，才會發(fā)送IP子網(wǎng)廣播來尋找可用的無線局域網(wǎng)控制器。

3、隧道安全機(jī)制的不同

在輕量級AP與無線局域網(wǎng)控制器進(jìn)行通信時，會采用兩條隧道，分別用來傳送控制信息與數(shù)據(jù)信息。通常情況下，控制信息在傳送的過程中是不加密的，而數(shù)據(jù)信息在傳送的過程中是加密的。雖然有隧道的保護(hù)，但是其管理信息在隧道中進(jìn)行明文傳輸則仍然會有一定的安全隱患。為此需要通過IPSec等安全策略，來保障其信息傳輸?shù)陌踩?。否則的話，非法供給者就可以通過竊聽等手段來獲取管理信息，并進(jìn)行偽造，從而讓一些非法的客戶端可以通過其認(rèn)證，連接到這個無線局域網(wǎng)中。所以，如果企業(yè)無線網(wǎng)絡(luò)中的數(shù)據(jù)比較重要，會讓一些攻擊者不惜花大代價來進(jìn)行攻擊的話，則通過IP安全策略等手段來加密管理信息仍然是非常有必要的。不過在采用這些額外的安全手段時，需要進(jìn)行仔細(xì)的測試，以判斷能否與思科無線統(tǒng)一安全策略兼容。雖然說思科的產(chǎn)品其兼容性一般不會有多大的問題，因?yàn)槠浔旧砭褪呛芏嗑W(wǎng)絡(luò)標(biāo)準(zhǔn)的制定者。不過為了保險，這個兼容性測試仍然是必需的。
 

【編輯推薦】

1. 網(wǎng)絡(luò)安全領(lǐng)域僧多粥少 思科亦受挫
2. 如何用思科和H3C設(shè)備解決ARP病毒
3. 深入了解IT安全認(rèn)證:思科微軟均提升其重要性