胖瘦AP的区别

“无线交换机+瘦无线接入点”解决方案是近年来新兴的无线局域网解决方案架构技术，其推出的目的，就是为了解决原有的胖AP产品无法集中管理和集中部署安全策略的重大缺陷。

在这套解决方案架构中，由三个部分组成，分别是瘦无线接入点、无线交换机/控制器、无线网管平台：

瘦无线接入点：瘦无线接入点（简称瘦AP）保留了原有的胖AP的无线电射频的部分，是零配置产品，位于网络接入层，其目的是将无线用户接入无线网络中；

无线交换机/控制器：无线交换机/控制器是一种高性能的服务器架构产品，在无线网络中的功能是管理中心设备，它通过国际标准的CAPWAP加密隧道与瘦AP建立通信，并全面控制瘦AP，瘦AP本身并不保存配置，只有受到无线交换机/控制器的控制才能工作，因此，所有用户的连接、访问、认证、权限、安全的信息都要受到无线交换机/控制器的管理；

无线网管平台：作为全网的统一管理中心平台，所有无线设备的功能、无线用户的信息、无线链路的监测、拓扑、无线定位、告警、配置、报表，全部都会直观地通过网管平台反映并操作，并由无线交换机/控制器来执行。

对比传统的自治型无线接入点（胖AP），“无线交换机＋瘦AP”解决方案的不同点是明显的，主要体现在以下方面：

全局的统一管理

胖AP的管理只存在于自身，没有全局的统一管理，更没有对无线链路和无线用户的监测与管理，；

“无线交换机＋瘦AP”解决方案的管理权全部集中在无线交换机/控制器上，并通过网管平台，可以直观地对全网设备进行统一的、批量的发现、升级、配置，甚至包括对无线链路的监测、对无线用户的管理；

全局的统一安全

胖AP的安全策略只有很少的一部分，而且只能存在于自身，对于大规模无线网络，安全策略是要经常性批量配置和下发的，胖AP的这种现状无法支撑全局的统一安全；

“无线交换机＋瘦AP”解决方案的所有用户和瘦AP的安全策略，全部存在于无线交换机/控制器上，安全策略的部署非常容易；

全局的统一认证

胖AP的认证只能部署在AP本身，认证策略无法经常性的更新，同时，仅仅能认证，其他基于认证后的策略无法部署；

“无线交换机＋瘦AP”解决方案的认证体是无线交换机/控制器，配合后台的Radius系统，可以灵活的定义、部署、更改认证策略；

设备自身的安全性

胖AP本身拥有全部的配置，一旦被盗窃，很容易经过串口或网络口登录配置，获取无线网络入侵的信息，是大规模部署无线网络的巨大隐患；

“无线交换机＋瘦AP”解决方案的瘦AP产品本身并不保存配置，

即“零配置产品”，全部配置都存在于无线交换机/控制器上，因此，从逻辑上说，无线用户访问瘦AP，其实是在访问无线交换机/控制器，因此，即便是部署于用户现场的瘦AP被盗，非法者也无法得到任何配置，杜绝了入侵的可能；

全网漫游

胖AP由于所有管理与配置在自身，其下联用户的IP地址也要归属于胖AP直连的以太网交换机的端口VLAN和网段的地址规划，如果大规模部署，将会打乱原有有线网络的IP规划和VLAN规划，并且，在无线用户跨越胖AP时，一旦进入了不同的网段，必然涉及到IP地址重新请求和重新认证的过程，网络访问必然中断，因此胖AP产品不支持跨网段全网漫游；

“无线交换机＋瘦AP”解决方案中，无线用户的IP地址、认证、加密全部都来自于无线交换机/控制器，因此不论无线用户出于无线网络的任何位置，从哪一个瘦AP进入，其实都是在访问同一个（或同一组）无线交换机/控制器，还会保持其原有的连接信息、IP地址、认证信息、加密信息，因此跨网段漫游不会中断