面對(duì)混合網(wǎng)絡(luò)的怎多，對(duì)于這種復(fù)合型網(wǎng)絡(luò)的管理難度也越來越大，那么應(yīng)該如何掃除管理盲區(qū)，清除這些死角呢？本文為您推薦一個(gè)新的網(wǎng)絡(luò)構(gòu)架思想，借助于線局域網(wǎng)控制器的使用。

無線局域網(wǎng)架構(gòu)是以無線接入點(diǎn)(AP)為中心的。一個(gè)無線接入點(diǎn)就構(gòu)成一個(gè)蜂窩，這個(gè)蜂窩內(nèi)的客戶端需要發(fā)送或者接收數(shù)據(jù)都需要通過這個(gè)無線接入點(diǎn)才能夠達(dá)到網(wǎng)絡(luò)中的其他部分。但是傳統(tǒng)的無線接入點(diǎn)，如無線路尤器，其有一個(gè)很大的缺陷。即各個(gè)無線接入點(diǎn)之間是相互獨(dú)立的。即使大部分無線接入點(diǎn)的配置與安全策略都是相同的，但是網(wǎng)絡(luò)管理員仍然不得不分配對(duì)每個(gè)無線接入點(diǎn)進(jìn)行配置。顯然這無形之中增加了網(wǎng)絡(luò)管理員的工作量。初始化配置與后續(xù)策略的調(diào)整都會(huì)很麻煩。

另外由于每個(gè)無線接入點(diǎn)AP都是相互獨(dú)立的，為此部署統(tǒng)一的安全策略將會(huì)變得非常的奢侈，管理無線網(wǎng)絡(luò)的安全性將變成一項(xiàng)不可能完成的任務(wù)。因?yàn)槊總€(gè)無線接入點(diǎn)都只負(fù)責(zé)其自身的安全策略。為此在無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的交接處就是企業(yè)安全的盲點(diǎn)。因?yàn)樵谶@無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間沒有中央入口。這也就是說，沒有合適的地方隊(duì)數(shù)據(jù)進(jìn)行監(jiān)控，以實(shí)現(xiàn)入侵檢測(cè)和防范、帶寬控制、服務(wù)質(zhì)量等等。簡(jiǎn)單的說，無限網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間就成為了三不管地帶，影響了企業(yè)網(wǎng)絡(luò)的安全。

為了解決這個(gè)無線與有線網(wǎng)絡(luò)之間的三不管問題，思科提出了一個(gè)統(tǒng)一無線網(wǎng)絡(luò)的架構(gòu)，其最主要的功能就是把無線接入點(diǎn)分為輕量級(jí)的AP與無線局域網(wǎng)控制兩個(gè)部分。

一、分工合作，統(tǒng)一部署

其實(shí)，思科解決這個(gè)問題的思路很簡(jiǎn)單，可以利用八個(gè)字來概括，就是“分工合作統(tǒng)一部署”。傳統(tǒng)的無線接入點(diǎn)其主要包括兩種進(jìn)程，分別為實(shí)時(shí)進(jìn)程與管理進(jìn)程。實(shí)時(shí)進(jìn)程包括發(fā)送和接收802.11楨、AP信標(biāo)和探針信息、數(shù)據(jù)加密等等;而管理進(jìn)程則主要包括客戶端認(rèn)證、安全管理、Qos等等。在傳統(tǒng)的無線接入點(diǎn)中，這些實(shí)時(shí)進(jìn)程與管理進(jìn)程都是在同一個(gè)無線接入點(diǎn)中完成。所以說，網(wǎng)絡(luò)管理員不得不對(duì)各個(gè)無線接入點(diǎn)進(jìn)行配置，即使他們采用了相同的配置與安全策略。由于無法統(tǒng)一對(duì)各個(gè)無線接入點(diǎn)進(jìn)行配置與安全管理，這正是造成無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間出現(xiàn)三不管地帶的主要原因。

思科在這方面，就決定執(zhí)行分工合作、統(tǒng)一部署。簡(jiǎn)單的說，思科把無線接入點(diǎn)分為兩種，分別為輕量級(jí)的無線接入點(diǎn)與無線局域網(wǎng)控制器，其英文簡(jiǎn)稱分別為L(zhǎng)AP與WLC。而輕量級(jí)的無線接入點(diǎn)只負(fù)責(zé)一項(xiàng)工作，即負(fù)責(zé)接收與發(fā)送802.11楨;其他的功能都是通過無線局域網(wǎng)控制器來完成的。由于這個(gè)輕量級(jí)的無線接入點(diǎn)比傳統(tǒng)的無線路由器其功能要少的說，為此我們把它叫做輕量級(jí)的。這個(gè)名字也是由此而來。

而其他的進(jìn)程則統(tǒng)一由無線局域網(wǎng)控制器來完成。也就是說，在無線局域網(wǎng)控制器中保存著各個(gè)輕量級(jí)無線接入點(diǎn)所需要采用的配置文件與安全策略，其被各個(gè)無線接入點(diǎn)所共享。如一些用戶認(rèn)證、安全策略管理、RF信道和輸出功率選擇等等，都不需要在各個(gè)輕量級(jí)無線接入點(diǎn)上進(jìn)行單獨(dú)配置與管理。只需要在無線局域網(wǎng)控制器中做好相關(guān)的配置，那么這些配置會(huì)自動(dòng)應(yīng)用到各個(gè)輕量級(jí)無線接入點(diǎn)中。從而實(shí)現(xiàn)分工合作、統(tǒng)一部署的管理策略。通過這個(gè)管理策略，就可以消除無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間的真空區(qū)，提高企業(yè)網(wǎng)絡(luò)的綜合性安全。

二、LAP與WLC的相互認(rèn)證

由于無線接入點(diǎn)的配置文件、安全策略、身份認(rèn)證等等都是依靠無線局域網(wǎng)控制器WLC來完成的。如果攻擊者偽造了一個(gè)非法的無線局域網(wǎng)控制器，那么一切都將會(huì)變得很可怕。為此在設(shè)計(jì)與部署輕量級(jí)無線接入點(diǎn)的時(shí)候，第一個(gè)需要注意的問題就是如何來保障無線局域網(wǎng)控制器的安全，不被仿冒。這是實(shí)現(xiàn)思科統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)。

輕量級(jí)無線接入點(diǎn)與無線局域網(wǎng)控制器之間主要通過輕量級(jí)接入點(diǎn)協(xié)議來作為彼此的隧道協(xié)議。具體的來說，其包括兩個(gè)隧道。一個(gè)隧道是用來傳遞客戶端的一些數(shù)據(jù)的。此時(shí)輕量級(jí)隧道協(xié)議會(huì)使用LWAPP格式來封裝這些數(shù)據(jù)。雖然沒有對(duì)此進(jìn)行加密，但是封裝后的數(shù)據(jù)相對(duì)來說是比較安全的。另外一個(gè)隧道就是傳遞一些控制信息，這些控制信息決定了輕量級(jí)無線接入點(diǎn)的運(yùn)行方式、客戶端認(rèn)證、安全策略等等。輕量級(jí)隧道協(xié)議會(huì)對(duì)這些控制信息進(jìn)行認(rèn)證與加密，以確保無線局域網(wǎng)控制器能夠萬無一失的管理控制各個(gè)輕量級(jí)無線接入點(diǎn)。在思科的解決方案中，輕量級(jí)無線接入點(diǎn)與無線局域網(wǎng)控制器之間是通過數(shù)字證書來彼此相互認(rèn)證的。如在出廠時(shí)設(shè)備上可能都會(huì)裝有一個(gè)數(shù)字證書，然后輕量級(jí)隧道協(xié)議會(huì)在后臺(tái)利用這些數(shù)字證書進(jìn)行驗(yàn)證。為此者就可以有效的避免無線局域網(wǎng)控制器被偽造。

所以保無線局域網(wǎng)控制器與輕量無線接入網(wǎng)絡(luò)管理員在部署統(tǒng)一無線網(wǎng)絡(luò)之前，就需要先確點(diǎn)之間能夠進(jìn)行相互的認(rèn)證。只有無線局域網(wǎng)控制器的安全性有所保障之后，才能夠確保企業(yè)無線網(wǎng)絡(luò)的安全。故網(wǎng)絡(luò)管理員需要了解他們之間認(rèn)證的一些詳細(xì)信息，并要能夠解決他們認(rèn)證過程中可能會(huì)出現(xiàn)的問題，如數(shù)字證書無效等等該如何解決。