企业统一无线网络架构设计

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

企业统一无线网络架构设计

本文从系统的可管理性、安全性以及漫游灵活性等方面介绍了企业传统无线网络架构,从而得出该架构所存在的缺陷并引出了企业统一无线网络架构。该架构采用了轻量级无线接入点(LAP)设备、无线控制器(WLC)设备以及LWAPP等关键技术解决了传统无线网络架构中可用性和安全性不足的问题。

一、引言

随着无线技术在近年来的飞速发展,无线网络已经迅速成为了企业园区网中所不可或缺的组成部分。无线网络的可扩展性、易获取性等特点让企业的日常工作中效率大大得以提升。然而,无线网络给我们带来便利的同时,也带来了一系列管理难题和安全隐患。

目前,企业所普遍采用的无线网络架构均属于传统方式。在该方式中,无线接入点(Wireless Access Point,下简称AP)相互独立,缺乏统一部署和管理,无线数据流缺少汇聚点,安全策略得不到有效部署。针对上述这些缺点,企业统一无线网络架构做出了诸多方面改进,包括AP的管理模式、无线数据流控制等。企业统一无线网络架构在延续了无线网络优势的同时,更是完善了无线网络的可管理性、安全性和可用性,使其更高效、安全地为企业的各类业务应用提供服务。

二、企业传统无线网络架构

企业传统无线网络架构由四大板块组成,分别是:无线终端层、无线接入层、有线传输层和网络控制层。在该架构中,AP相互独立部署于整个企业的园区内,用户的无线数据终端可通过加密信道将数据发送至AP,由AP再将数据转发至有线传输层,继而访问企业内部资源或是互联网资源,详情可参考图一。

点击图片查看大图

图一企业传统无线网络架构

(一)企业无线网络传统架构数据流

传统无线网络架构的确扩展了企业园区网络的覆盖范围,实现企业的各类无线业务,使得用户对于应用的获取更为灵活和方便。在传统无线网络架构中,其无线应用的数据流主要以下几个步骤:

1.用户的无线终端设备通过加密信道连接至离自己最近的AP,这也是该架构中唯一可以实施安全性的环节。

2.无线加密数据传输到AP后,由AP负责数据的解密,然后将数据桥接到企业的有线交换网络。

3.桥接至有线交换网络后,无线应用数据流与企业中的有线数据流完全一致。

(二)企业无线网络传统架构缺点

通过上述图一所示以及无线数据流模的描述,可以清楚的知道,在传统无线网络架构中无线数据流缺少统一的汇聚节点,存在着诸多缺点:

1.AP缺乏统一部署和管理。在企业传统无线网络架构中,各个AP独立运行,企业管理员必须对每个AP进行单独配置,如此分散式的AP部署模式给管理带来很大的不方便性。同时,在网络规划中,一般会将无线用户归入同一个网段,以便在网络中做简单的安全控制。然而,由于AP将部署在企业园区中不同的交换设备,为了满足之前的要求,就不得不将无线网段在所有交换机上互相连通,这样的部署容易造成地址在整个园区网中泛洪,显然这并不符合最佳的网络设计实践的要求。

2.网络安全难以保证。在企业园区网中,无线网络的出现一方面扩大了网络覆盖范围,但另一方面也带来了更多的安全隐患。由于每个AP独立运行,因此管理无线网络的安全性变得十分困难,每个独立的AP处理其各自的安全策略。无线数据流缺少统一的汇集点,这意味着无法对无线数据流进行集中统一的监控,以实现入侵检测和防范、服务质量、带宽控制等。同时,用户无线终端虽然可以与AP之间通过加密信道进行数据传输,但由于无线通信环境的易获取性和复杂性,黑客可以比较方便地对无线数据进行截取、分析和解密,从而窃取到数据内容。

3.AP间信号重叠,漫游功能欠灵活。在传统的无线网络架构中,各个AP独立运行,相互之间没有通信机制,因此每个AP都会将功率信号放到最大,这便会使得AP之间的信号重叠区域可能超过20%,而一般合理的信号重叠区域应维持在10%左右。然而在重叠区域的用户无线终端会出现时断时续的现象。此外,由于AP之间相互独立,当用户在从AP1的信号范围移动到AP2时,无线终端需离开AP1范围即造成信号中断后再连接AP2的信号,在整个漫游过程中将造成数据包的大量丢失。

通过上述章节,我们简单回顾了企业传统无线网络架构及数据流,指出该架构的诸多不足之处。那么在接下来的论述中,针对安全和管理的问题,文章引入一种新的架构方式,即企业统一无线网络架构,该架构不但可为企业获取灵活的无线业务应用,同时还能保证其可管理性和安全性。

三、企业统一无线网络架构

与传统无线网络架构一样,统一无线网络架构也可分为四大区域。其中,无线接入层和

网络控制层的设备部署与传统架构相比存在较大不同:

在网络控制层中,该架构增加了无线控制器(Wireless LanController,下简称WLC)和无线控制系统(Wireless ControlSystem,下简称WCS)。WLC主要对AP进行统一集中管理,以实现网络的安全性和管理的灵活性,是无线网络统一架构的关键设备之一。WCS属于配套管理系统,在该架构中可查看整个无线网络覆盖的信号强度和范围,并能管理连接无线的用户,查看其身份,IP地址和具体的位置等功能,为统一无线架构的更是增加了灵活方便的元素。

在无线接入层中,该架构部署的AP为轻量级AP(LAP),俗称“瘦AP”,其意义在于LAP并不需要单独配置,其配置通过WLC处自动下发获取,LAP与WLC之间实现基于LWAPP 隧道封装的通信机制,以确保无线网络系统的统一性和安全性,详情可参考图二。

点击图片查看大图

图二企业统一无线网络架构

(一)企业统一无线网络架构数据流

统一无线网络架构针对传统无线网络架构中的诸多缺点,有了各方面的改进。在论述该架构之前,我们先对该架构中的无线数据流进行必要的描述:

1.用户无线终端设备通过加密的无线信道接入至附近的LAP。

P接收到用户无线终端的数据,以LWAPP协议在二层通道对数据进行隧道封装(可参考图二中的数据流描述),并通过证书方式对WLC进行认证。合法的WLC在通过认证后,LAP才会将封装后的用户数据发送至WLC。此时,LAP不负责对用户数据进行解密,解密过程由远端WLC完成。

3.WLC接收到LAP发送的数据,先对LWAPP隧道进行解封装,如果数据加密则进行解密,完成后根据原数据包目标地址按路由转发,同时将原数据包源地址更改为自身设备的出口地址。

4.由于WLC在转发数据前将原数据包的源地址更改成自身设备的接口地址,因此回包数

相关文档
最新文档