由于移動設(shè)備在企業(yè)內(nèi)的快速增長， WLAN已經(jīng)從一種便利措施變成完整的網(wǎng)絡(luò)解決方法。為了支持廣泛的設(shè)備類型，工程師必須設(shè)計一種WLAN邊緣網(wǎng)絡(luò)，以支持新型WLAN訪問控制和應(yīng)用優(yōu)化。本文將介紹WLAN架構(gòu)中關(guān)于WLAN訪問控制與應(yīng)用優(yōu)化等問題。

理解WLAN訪問控制的基本概念

一定要先理解在WLAN訪問控制中發(fā)揮不同作用的各種網(wǎng)絡(luò)訪問技術(shù)和標(biāo)準(zhǔn)。最基本的訪問技術(shù)和標(biāo)準(zhǔn)包括：

• 802.11x以太網(wǎng)：這一種底層標(biāo)準(zhǔn)，它涵蓋了通信技術(shù)Wi-Fi，定義了無線鏈路、調(diào)制技術(shù)和數(shù)據(jù)幀格式。Wi-Fi與802.11a/b/g/n標(biāo)準(zhǔn)由IEEE定義。后續(xù)版本(包括802.11ad、.11u和.11ac)將更好地整合移動通信網(wǎng)絡(luò)，在最大速度與有線以太網(wǎng)的相當(dāng)。

• 網(wǎng)絡(luò)訪問控制(NAC)：NAC系統(tǒng)負(fù)責(zé)控制可以通過WLAN連接網(wǎng)絡(luò)的設(shè)備。IEEE的802.1X標(biāo)準(zhǔn)規(guī)定了如何要求用戶在訪問LAN服務(wù)之前進(jìn)行身份認(rèn)證。在企業(yè)中，NAC和802.1X通常是同義詞，但是NAC除了身份認(rèn)證，還包含更廣泛的檢查。許多公司(特別是較小型公司)使用WPA(Wi- Fi Protected Access)替代802.1X，因?yàn)榍罢吒鼮楹唵我子谩?/p>

• 虛擬私有網(wǎng)絡(luò)(VPN)：VPN可以創(chuàng)建一個連接多個可能不安全網(wǎng)絡(luò)的安全通路。VPN主要使用IPsec(運(yùn)行在IP層)、SSL/TLS或SSH(運(yùn)行在IP層之上)。

• 虛擬局域網(wǎng)(VLAN)：它由IEEE標(biāo)準(zhǔn)802.1q定義。VLAN定義的是邏輯網(wǎng)絡(luò)之上的邏輯LAN，而非物理LAN。IT可以使用VLAN劃分同一個物理LAN的資源，或者讓位于不同物理LAN的設(shè)備表面上共享相同的LAN。企業(yè)通常使用VLAN控制不同設(shè)備分組的企業(yè)資源訪問級別。例如，“銷售”VLAN上的主機(jī)可以訪問數(shù)據(jù)中心內(nèi)運(yùn)行的應(yīng)用程序，但是“訪客”VLAN上的主機(jī)則不允許。

• 輕量目錄訪問協(xié)議(LDAP)：嚴(yán)格意義上說，LDAP并不是一種WLAN技術(shù)，但是它也屬于企業(yè)級技術(shù)。LDAP可以標(biāo)準(zhǔn)化企業(yè)目錄訪問，如 Active Directory或Open Directory，并且允許組織使用目錄作為WLAN使用的訪問權(quán)限庫。RADIUS(遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng))通常會與LDAP整合在一起，共同提供一個處理身份、認(rèn)證和訪問的框架。

擴(kuò)展開放標(biāo)準(zhǔn)實(shí)現(xiàn)私有邊界

許多供應(yīng)商提供了一些支持這些開放無線LAN標(biāo)準(zhǔn)的技術(shù)，但是要擴(kuò)展它們的定義范圍，才能實(shí)現(xiàn)私有邊界。供應(yīng)商使用私有擴(kuò)展實(shí)現(xiàn)自已產(chǎn)品的差異性。這些特性是為企業(yè)提供一整套用于提升WLAN架構(gòu)管理的關(guān)鍵技術(shù)，如設(shè)備管理和應(yīng)用性能優(yōu)化。例子如下：

• 私有預(yù)共享密鑰(Private Pre-Shared Key, PPSK)：PPSK可用于驗(yàn)證設(shè)備和/或身份，它是一種NAC，定義了一種更簡單的802.1X功能擴(kuò)展方法。不同的供應(yīng)商使用不同的方法實(shí)現(xiàn) PPSK。供應(yīng)商可以使用PPSK驗(yàn)證身份和在設(shè)備上應(yīng)用訪問權(quán)限。

• 頻帶操縱：它由一些私有技術(shù)定義，WLAN供應(yīng)商使用頻帶操縱檢測不同設(shè)備的Wi-Fi功能，如802.11a/b/g/n，然后將它們重定向到不同的頻道，從而優(yōu)化它們的容量、性能和使用方式。

• 服務(wù)質(zhì)量(QoS)：IEEE 802.11e是一種WLAN的通用QoS標(biāo)準(zhǔn)，而SVP是一種廣泛使用的傳統(tǒng)私有標(biāo)準(zhǔn)。供應(yīng)商還可以定義一些私有QoS機(jī)制，用于加快WLAN的數(shù)據(jù)包傳輸。例如，Ruckus Wireless使用自有方法定義波束成型，實(shí)現(xiàn)無線鏈路的性能優(yōu)化。

• 安全事件管理(SEM)：SEM指一些安全事件的日志記錄、管理和報告，如未授權(quán)訪問。WLAN供應(yīng)商可以自由決定SEM的實(shí)現(xiàn)方法。雖然這個方面不存在標(biāo)準(zhǔn)，但是一定要跟蹤WLAN網(wǎng)絡(luò)中發(fā)生的事情。

創(chuàng)建成功的“Wi-Fi為先”WLAN架構(gòu)

作為WLAN架構(gòu)需求定義的關(guān)鍵部分，企業(yè)必須理解設(shè)備類型、應(yīng)用及其即時支持位置(確定其他東西是否會隨后出現(xiàn))。了解這些信息將幫助IT人員找到在企業(yè)規(guī)劃與安全框架之下最適合他們需求的WLAN架構(gòu)。

定義這些需求將使IT人員能夠：

• 發(fā)現(xiàn)最佳的試點(diǎn)或起點(diǎn)位置;

• 確定WLAN的功能與局限性;

• 確定一個能夠作為企業(yè)主要或唯一接入技術(shù)的WLAN。

WLAN功能：基本上，企業(yè)WLAN是一種具有嚴(yán)格要求的互聯(lián)Wi-Fi，它的要求包括安全、正常運(yùn)行時間(企業(yè)要求99.999%網(wǎng)絡(luò)可用性，通常稱為“5個9”正常運(yùn)行時間、后臺系統(tǒng)整合、應(yīng)用與設(shè)備管理。如果將WLAN架構(gòu)作為主要或唯一接入技術(shù)，原本屬于有線LAN的功能現(xiàn)在必須整合到WLAN 中。然而，WLAN不僅僅要具有有線網(wǎng)絡(luò)的同等功能，它還可以擴(kuò)展這些功能，包括：

• 安全性與規(guī)范性：LAN邊界安全性的作用包括訪問控制、加密、流氓檢測、媒體訪問控制(MAC)地址驗(yàn)證等。WLAN可以實(shí)現(xiàn)這些功能，按照一些特殊標(biāo)準(zhǔn)提供連接，如健康保險流通與責(zé)任法案(HIPAA)。

• 優(yōu)化：網(wǎng)絡(luò)的訪問邊界應(yīng)用于QoS數(shù)據(jù)包標(biāo)記和智能流控制。WLAN還可以應(yīng)用一些只支持無線網(wǎng)線的技術(shù)，包括頻帶操縱、天線設(shè)計等。

• 設(shè)備管理：WLAN供應(yīng)商產(chǎn)品現(xiàn)在包含設(shè)備管理功能(基于NAC)，通過整合LDAP/RADIUS或類似的目錄服務(wù)，它確定了后臺系統(tǒng)、服務(wù)和應(yīng)用的訪問權(quán)限。

• 報告：這個功能通常由SEM定義，除了適用于特定供應(yīng)商和/或合作伙伴報表工具，它還提供了事件和總體報告工具。

• 可靠性：WLAN可以持續(xù)監(jiān)控RF環(huán)境的瞬時變化。例如，當(dāng)員工夾緊一個天線，它就會影響信號功率(增益)、方向和接入端(AP)的

主接入WLAN架構(gòu)需要應(yīng)用與移動性的支持

雖然現(xiàn)場管理工具仍然占據(jù)主導(dǎo)位置，但是越來越多WLAN供應(yīng)商推出了軟件即服務(wù)(SaaS) 工具，它可以管理所有附加和要求的應(yīng)用與移動功能。這種策略可用于簡化主接入WLAN架構(gòu)的初次部署及未來擴(kuò)展。

“WLAN為先”的現(xiàn)代架構(gòu)要求所運(yùn)行的移動設(shè)備與應(yīng)用能夠作為員工設(shè)備和其應(yīng)用的優(yōu)先選擇。由于許多公司現(xiàn)在已經(jīng)支持BYOD，而且蘋果iOS也成為最廣泛使用的移動操作系統(tǒng)(96.3%的公司已經(jīng)接受)，所以企業(yè)正面臨快速增長消費(fèi)市場帶來的資源分配難題?，F(xiàn)有設(shè)備與用例通常涉及同時運(yùn)行企業(yè)、個人和多用途應(yīng)用，因此對WLAN提出的需求已經(jīng)非常復(fù)雜。

企業(yè)用戶使用的典型業(yè)務(wù)與個人應(yīng)用包括Skype、Facebook、 LinkedIn、Saleforce、Oracle客戶關(guān)系管理(CRM)、FaceTime、Google地圖、Pandora，以及企業(yè)視頻會議、電子郵件、瀏覽器和日程管理。由于其吞吐量和延遲方面的要求，這些應(yīng)用給WLAN帶來極大的考驗(yàn)，而且用戶也期望能夠在各個位置使用這些應(yīng)用。這些容量與普適性要求促使基于分布式智能技術(shù)的現(xiàn)代網(wǎng)狀WLAN架構(gòu)。“胖AP”要求無線WLAN架構(gòu)通過新接入點(diǎn)的擴(kuò)展能力，而不會帶來傳統(tǒng)WLAN那種單獨(dú)控制與管理的負(fù)擔(dān)。

為了支持所有這些需求，IT人員應(yīng)該通過移動設(shè)備管理工具(MDM)定義、控制和支持BYOD與消費(fèi)類設(shè)備。現(xiàn)在有超過 30個供應(yīng)商和托管服務(wù)提供商(MSP)有MDM平臺產(chǎn)品，他們正快速推出一些新特性，支持移動應(yīng)用管理(MAM)、安全文檔知識庫(SDR)、WLAN 證書授權(quán)(CA)注冊及其他與有線網(wǎng)絡(luò)一樣的功能。IT人員應(yīng)該整合安全性、移動性、軟件開發(fā)、網(wǎng)絡(luò)架構(gòu)等團(tuán)隊及非IT員工的要求，提出一個全面全新的計劃。這將幫助人們了解與移動性和應(yīng)用緊密先關(guān)的WLAN需求。