"); //-->
为满足WLAN网络的实时要求,设计者可以参考本文介绍的一种分割式媒体存取控制(MAC)架构,以便在接入点和中心交换机之间分配MAC处理任务,并可极大地提高WLAN系统管理无线资源的能力和安全性。
WLAN可提高企业网络的效率,并降低网络部署和运营总成本。但是,无线网络同时也为网络管理者带来了管理和安全方面的挑战。成功部署无线网络的关键在于IT经理能够获得无线域的控制权,就和控制有线网络一样。
有线网络依靠用户认证和对网络的物理访问来实现接入,而无线网络则需要强大的认证和加密手段。由于无线域是动态的,随时都在变化,无线网络在运营方面也是一个挑战。无线网络运营商要想部署运营级的无线网络,就必须克服这些难题。
无线网络的一个关键设计和部署原则就是监视、控制和指配功能的集中化。实践证明,集中化是对大量网络设备制定和实施统一政策的最佳方式,无论这些设备集中于同一物理地点还是分散在不同的地理区域。
一个集中式WLAN架构要想卓有成效,相关的信息必须不断地馈送给管理该网络的中心设备(如WLAN交换机/设备)。如果没有整体、精确及更新速度达到毫秒级的无线环境状态信息,中心设备就无法做出准确的决策。与此同时,如果中心控制器参与所有的接入点操作,它可能会影响那些对时序特别敏感的功能。因此,必须在其中寻求一种平衡。
解决集中化架构平衡问题的一个方案是提供一个全新的802.11服务传送设计,在两种设备(即AP和中心WLAN交换机/设备)之间将802.11 MAC层的处理任务进行分割。下面我们将详细探讨这种MAC分割方法以及它对WLAN架构的益处。
构建企业级的WLAN
传统的WLAN由无数单独的AP组成,它们产生了很多独立、自治的RF域,而这些RF域又都是独自管理的。这很像最初的蜂窝网络,每个单独的无线接收和发送塔管理它们各自的域。同样地,在独立的802.11网络中,所有MAC处理任务都由AP自己执行。例如,一个AP可执行:
* 终止802.11数据和管理协议(注意:很多管理任务来自交换机/某设备);
* 在网络的有线和无线部分之间转换数据;
* 维护有关客户端和无线环境的统计信息;
在单个无线节点内维护信息使得很难创建一个统一的网络以为每个用户群提供稳定的网络性能、高性能漫游,以及不管用户位置都能确保政策的一致性。最后,将每个接入点作为单独的RF域来管理对IT管理人员来说是困难的,随着无线网络规模的不断扩充尤其如此。
图1:典型的分割式MAC架构示意图。 |
集中式WLAN架构克服了以上缺陷,它可将系统范围的信息集中到单个交换机/某设备中,或集中到多个协调工作的交换机/设备中。然而,大部分方案都是将所有功能集中到一个中心设备,这意味着各种任务和处理都发生在该交换机或设备内,包括流量转发、加密、服务质量(QoS),以及政策创建和管理。在这种架构中,AP只是一个无线收发天线,在802.11或其它数据包处理中不起任何作用。这种架构存在的问题是,所有处理决策都由中心设备决定,它能否处理好实时应用?
采用分割式MAC的WLAN系统可以解决以上问题,它在AP和WLAN交换机或控制器之间将802.11数据和管理协议的处理任务及接入点功能分割开(见图1)。
通过这种MAC分离方法,AP只处理有实时要求的协议部分,如信标帧的发送、响应来自客户端的“探查请求(Probe Requests)”帧、为交换机或控制器提供实时信号质量信息、监视其他AP的出现以及第二层加密等。
所有其它功能都由WLAN交换机/设备处理,因为它们对时间不敏感,而且对系统范围的可见度有要求。WLAN控制器所提供的一些MAC层功能包括:802.11认证、802.11关联和再关联(移动性)、802.11帧转换和桥接等。
将802.11管理协议、帧转换和桥接功能集中到中心交换机/设备中,可实现收集控制器所需的特定信息,以便在系统范围内进行管理,如网络RF信息,或者第二层和第三层客户端无缝漫游。
智能RF管理
分割式MAC架构可极大地提高WLAN系统管理无线资源的能力。在AP中提供监控功能就可实时检测RF的变化(如接收信号强度、信号质量、信道分配和噪声等)。这些信息随后被馈送到集中式WLAN控制器,以便为优化WLAN性能提供决策支持。例如,单个WLAN交换机或设备就可在整个企业网络内动态分配信道、分配带宽,并控制AP传输功率。
成功的RF管理需要一个“全盘的”方法。如果信息只驻留在AP内,有关设备的RF管理决策实际上可能对整个WLAN系统造成不利影响。例如,减少AP的传输功率可能引起其它地方的覆盖范围漏洞。同样地,提高传输功率可能会引起干扰。
此外,只有针对整个系统范围的方法才能复用信道以避免网络一个部分的噪声和干扰。如果RF管理决策由单个AP做出,那么有问题的信道就可能被彻底放弃,而在某些情况下使用部分信道对整体网络性能是有益的。通过创建一个集中式的RF管理“权威”,分割式MAC架构就可实时地解决实际运行问题。
实时负载均衡
传统WLAN一般采用以下两种方法中的一种处理移动性:
1.AP之间以对等方式相互交流负载信息,“最好的”AP负责对客户端请求做出响应。
2.AP直接将负载信息广播给那些负责自主决策的客户端。
这两种方法都有明显的缺陷。第一种方法会增加WLAN的流量,从而消耗带宽及增加延迟。如果AP在共享信息时出现延迟,可能会做出不准确的负载均衡决策,或者对时间敏感的流量可能遭遇性能问题。此外,这种方法是在理想状况下做出决策的,忽略了安全性、QoS、用户移动模式以及其它可在系统范围基础上做出更准确决策的有用参数。
第二种方法也会引发很多同样的问题,因为客户端所处理的一般都是陈旧的信息,它们并不相互沟通以便收集整个系统范围的信息。由于一个WLAN上可能有数百个、甚至数千个客户端设备,这种方法会造成严重的管理负担及可伸缩性挑战。此外,客户端还可能被欺骗,引起拒绝服务等无线网络攻击的潜在危机。
所提议的分割式MAC架构可以解决这些问题,为性能优化提供有效、系统范围的负载均衡。其工作原理如下:
1. 很多客户端偶尔发送“探查请求”以确定附近是否有强信号的AP可以提供适当的服务。对客户端做出响应的AP提供它们所工作的信道信息,以及可用的个别WLAN信息(比如SSID)。AP还向WLAN交换机或设备发送一个通知,以指明发送“探查请求”的客户端身份,还包括所接收信号质量的信息。该信息可用于安全性功能及客户端连接性。
2. WLAN控制器利用这一信息,以及来自其它AP的类似信息,来确定每个AP与特定客户端通信的可靠性。利用以上这些信息,以及跟每个AP关联的客户端数量及每个AP的总负载信息,WLAN交换机或设备就可以选择特定客户端应该与之通信的最佳AP。WLAN控制器采用802.11管理协议的现有方法,鼓励客户端尽可能与最合适的AP通信。
负载均衡通过采用分割MAC方法实现了优化,因为集中式WLAN交换机和设备拥有每个AP的具体信息,从而让系统做出快速、智能的决策。通过让AP自己处理探查请求,WLAN系统可确保均衡负载时的延迟最小,并可为移动用户带来实时的性能体验。
实时流量处理
为了支持语音等实时的下行流量(来自有线网络),WLAN系统必须将数据包区分开来,并根据特定的规则处理这些数据包。数据包分类最好由集中式WLAN控制器来处理,因为它可应用与不同QoS标准相关的系统范围规则,包括来源、目的地、协议类型、VLAN ID、DHCP、优先级或这些特征的任意组合。分类后,数据包就被分派相应的优先级、带宽及数据包丢弃特征,以便获得优化的系统性能。
图2:分割式MAC架构很容易检测并阻止WLAN网络内的欺骗性AP。 |
在分割式MAC架构中,AP包含独立的硬件队列,这些队列可用于为数据包的无线传输排出优先顺序。访问RF网络是基于由WLAN交换机/设备确定的QoS参数。在这一方面,IT管理人员可以集中控制和配置QoS政策,并在AP端本地强制实施以优化WLAN性能。
分割式MAC架构还为IEEE新兴的QoS标准802.11e铺平了道路,因为它可以在AP上提供第二层加密功能。这样可让AP对每个数据包都了如指掌,从而随时做出合理的资源调度决策。
其次,当AP处理加密时,它可以更好地支持802.11e标准的动态分割功能。这是指,当没有足够的可用时间来传送整个数据包时,每个AP可以将数据包分割开来。如果加密被集中在WLAN控制器中,WLAN系统就可能遭遇延迟,影响动态分割特性的效率。因此,分割式MAC架构特别适用于未来的802.11e环境。
安全性问题
通过分割AP和WLAN交换机或设备之间的协议和AP功能处理可以增强移动性。同样地,安全性也可以得到加强。当每个数据包都是由集中式WLAN控制器处理时,复杂的安全策略可以应用,无论AP与哪一个客户端相关联。安全性政策包括:
1.第二层加密(如WEP、WPA和802.11i),或者第三层加密(IPSec);
2.用户身份认证(如802.1x、XAUTH或网站登录);
3.详细的访问控制清单(ACL),以便将网络访问限定于某个用户或用户群;
4.动态VLAN分配。
所有这些安全增强特性都是可能的,因为802.11功能是在AP和集中的WLAN交换机或设备间分开的。这种分割可让交换机/设备、接入点有机会检测和处理每一个来自或发向WLAN的数据包,并做出相应的处理。它还可以让企业在网络边缘识别并阻止违反安全的事件。
若检测到安全隐患,WLAN交换机或设备会在整个网络内提供保护。例如,可以指导数据包到达的AP忽略有安全隐患的客户端,直到隐患得到控制。此外,WLAN交换机或装置还可以告诉WLAN内的其它所有AP,忽略来自该客户端的探查请求,以确保该设备无法从不同位置访问无线网络。
存储在WLAN控制器内的RF拓扑信息也可与AP检测到的实时信息相关联,以准确定位安全隐患的来源,如欺骗性AP(见图2)。这种粒状位置跟踪有助于快速制止恶意活动,以防止造成损害。
如果所有安全功能在AP内处理,企业就无法建立针对适用于所有AP的统一规则。此外,没有集中的信息也很难在每个AP上建立多个不同的安全政策。如果所有安全功能都驻留在WLAN控制器内,就很难在网络边缘执行某些行动,比如流量加密。因此,在二者之间建立一种平衡对WLAN安全至关重要。
本文小结
通过创新WLAN系统处理802.11流量的方式,采用分割式MAC架构的WLAN系统可以实现简单、无缝且安全的WLAN部署。通过在WLAN和AP之间策略性地分配关键802.11功能,分割式MAC架构为企业级无线局域网树立了新的标准。
作者:Matt Glenn
产品管理总监
Email:mglenn@airespace.com
Airespace公司
*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。