WLC解决无线与有线网络之间三不管地带.docx

PAGE 1 PAGE 1 WLC解决无线与有线网络之间三不管地带 无线局域网架构是以无线接入点(AP)为中心的。一个无线接入点就构成一个蜂窝，这个蜂窝内的客户端需要发送或者接收数据都需要通过这个无线接入点才能够达到网络中的其他部分。但是传统的无线接入点，如无线路尤器，其有一个很大的缺陷。即各个无线接入点之间是相互独立的。即使大部分无线接入点的配置与平安策略都是相同的，但是网络管理员仍旧不得不安排对每个无线接入点进行配置。明显这无形之中增加了网络管理员的工作量。初始化配置与后续策略的调整都会很麻烦。 另外由于每个无线接入点AP都是相互独立的，为此部署统一的平安策略将会变得特别的，管理无线网络的平安性将变成一项不行能完成的任务。由于每个无线接入点都只负责其自身的平安策略。为此在无线网络与有线网络的交接处就是企业平安的盲点。由于在这无线网络与有线网络之间没有中央入口。这也就是说，没有合适的地方队数据进行监控，以实现入侵检测和防范、带宽掌握、服务质量等等。简洁的说，无限网络与有线网络之间就成为了三不管地带，影响了企业网络的平安。  为了解决这个无线与有线网络之间的三不管问题，思科提出了一个统一无线网络的架构，其主要的功能就是把无线接入点分为轻量级的AP与无线局域网掌握两个部分。  一、分工合作，统一部署  其实，思科解决这个问题的思路很简洁，可以利用八个字来概括，就是“分工合作统一部署”。传统的无线接入点其主要包括两种进程，分别为实时进程与管理进程。实时进程包括发送和接收802.11桢、AP信标和探针信息、数据加密等等;而管理进程则主要包括客户端、平安管理、Qos等等。在传统的无线接入点中，这些实时进程与管理进程都是在同一个无线接入点中完成。所以说，网络管理员不得不对各个无线接入点进行配置，即使他们采纳了相同的配置与平安策略。由于无法统一对各个无线接入点进行配置与平安管理，这正是造成无线网络与有线网络之间消失三不管地带的主要缘由。  思科在这方面，就打算执行分工合作、统一部署。简洁的说，思科把无线接入点分为两种，分别为轻量级的无线接入点与无线局域网掌握器，其英文简称分别为LAP与WLC。而轻量级的无线接入点只负责一项工作，即负责接收与发送802.11桢;其他的功能都是通过无线局域网掌握器来完成的。由于这个轻量级的无线接入点比传统的无线路由器其功能要少的说，为此我们把它叫做轻量级的。这个名字也是由此而来。  而其他的进程则统一由无线局域网掌握器来完成。也就是说，在无线局域网掌握器中保存着各个轻量级无线接入点所需要采纳的配置文件与平安策略，其被各个无线接入点所共享。如一些用户、平安策略管理、RF信道和输出功率选择等等，都不需要在各个轻量级无线接入点上进行单独配置与管理。只需要在无线局域网掌握器中做好相关的配置，那么这些配置会自动应用到各个轻量级无线接入点中。从而实现分工合作、统一部署的管理策略。通过这个管理策略，就可以消退无线网络与有线网络之间的真空区，提高企业网络的综合性平安。  二、LAP与WLC的相互  由于无线接入点的配置文件、平安策略、身份等等都是依靠无线局域网掌握器WLC来完成的。假如攻击者伪造了一个非法的无线局域网掌握器，那么一切都将会变得很可怕。为此在设计与部署轻量级无线接入点的时候，个需要留意的问题就是如何来保障无线局域网掌握器的平安，不被仿冒。这是实现思科统一无线网络架构的基础。  轻量级无线接入点与无线局域网掌握器之间主要通过轻量级接入点协议来作为彼此的隧道协议。详细的来说，其包括两个隧道。一个隧道是用来传递客户端的一些数据的。此时轻量级隧道协议会使用LWAPP格式来封装这些数据。虽然没有对此进行加密，但是封装后的数据相对来说是比较平安的。另外一个隧道就是传递一些掌握信息，这些掌握信息打算了轻量级无线接入点的运行方式、客户端、平安策略等等。轻量级隧道协议会对这些掌握信息进行与加密，以确保无线局域网掌握器能够万无一失的管理掌握各个轻量级无线接入点。在思科的解决方案中，轻量级无线接入点与无线局域网掌握器之间是通过数字证书来彼此相互的。如在出厂时设备上可能都会装有一个数字证书，然后轻量级隧道协议会在后台利用这些数字证书进行验证。为此者就可以有效的避开无线局域网掌握器被伪造。  所以保无线局域网掌握器与轻量无线接入网络管理员在部署统一无线网络之前，就需要先确点之间能够进行相互的。只有无线局域网掌握器的平安性有所保障之后，才能够确保企业无线网络的平安。故网络管理员需要了解他们之间的一些具体信息，并要能够解决他们过程中可能会消失的问题，如数字证书无效等等该如何解决。  三、WLC管理与维护要点  由于无线局域网掌握器与轻