企業部署輕量級AP應該注意三大問題
在思科的統一無線管理策略中,將無線發射點分為輕量級AP與無線局域網控制器兩個部分,兩者各司其責。輕量級AP只負責信號的接收與發送,而無線局域網控制器則負責客戶端身份認證、安全策略管理等等。所以在部署思科無線局域網的時候,就需要注意合理部署輕量級AP,讓其能夠跟無線局域網有機的聯系起來。
為了幫助大家能夠深一步認識輕量級AP的部署,筆者就先談談輕量級AP的工作原理。然后結合這個工作原理來談談其部署的重點與注意事項。簡單的來說,輕量級AP從啟動到正常運行大致可以分為四個步驟。
第一步:輕量級AP從DHCP服務器那里獲得一個IP地址。雖然輕量級AP只是一個無線信號接入點,但是其仍然是一個網絡設備。其要在局域網絡中進行正常的數據傳送,其仍然需要一個合法的IP地址。為此在啟動的時候,輕量級AP需要從DHCP服務器中獲得一個合法的IP地址。
第二步:與無線局域網控制器建立聯系。輕量級AP在啟動過程中,會通過廣播的方式取得所有無線局域網控制器的IP地址。如果不考慮其他因素的話,則其會先向其獲得的第一個無線局域網控制器發送連接請求。如果無線局域網控制器沒有回應的話,則會嘗試下一個IP地址。無線局域網控制器接收到這個請求信息時,便會向輕量級AP發送加入應達的信息。如此就可以把輕量級AP與無線局域網控制器綁定在一起。
第三步:策略代碼的比較與更新。無線局域網控制器在綁定了輕量級AP之后,就會把其代碼印象版本與本地存儲的代碼映像版本進行比較。如果在連接之前,無線局域網控制器中的某些策略發生了變更,則輕量級AP將會從無線局域網控制器中下載并啟用最新的印象代碼。不過要生效的話,輕量級AP必須重新啟動。
第四步:隧道的建立。當以上三個步驟完成之后,輕量級AP與無線局域網控制器之間會建立起兩條隧道,分別為傳送管理信息的LWAPP控制信息隧道與用戶數據的數據隧道。這兩個隧道并不能夠用來實現數據負載均衡,而是各有各的用途。即使在客戶端數據交換頻繁的時候,用來傳輸控制信息的隧道也不用購用來傳遞數據信息。
可見,輕量級AP的工作原理是非常簡單的。因為其大部分的復雜工作,如客戶端的身份認證等等,都是由獨立的無線局域網控制器完成的。為此在部署輕量級AP的時候,其重點就是如何保證輕量級AP與無線局域網控制器之間的連接。如果這個連接中斷的話,則即使輕量級AP工作正常,用戶仍然無法通過這個輕量級AP來收發信息。為了保障他們之間的有效連接,網絡管理員需要注意以下幾個方面的問題。#p#
1、虛擬局域網的問題
如果企業處于安全的考慮,在企業網絡中部署了虛擬局域網。此時對于輕量級AP與無線局域網控制器的通信是否會造成影響?如通過DHCP服務器,輕量級AP與無線局域網控制器設備的IP地址分屬于不同的局域網。此時這兩個設備雖然通過路由器仍然可以進行通信,但是對于其傳遞的管理信息是否會造成不利的影響呢?通常情況下,使不會造成不利影響的。或者說,其不利影響可以忽略不計。
這主要是因為隧道封裝的原因。在無線局域網控制器與輕量級AP進行數據傳送時,隧道會將他們之間需要傳送的數據封裝到IP分組中,從而可以跨越虛擬局域網交換或者路由這些信息。如果此時需要通過路由器來進行路由,所以其在傳送的環節中就多出了一環,其速率稍微受到了一些影響。不過除非這個路由器是企業網絡中的瓶頸資源,否則的話,這個不利影響可以忽略不計。
不過如果部署在不同的虛擬局域網中,對于后續故障的排測也會產生不利的影響。如當無線局域網控制器與輕量級AP無法正常通信的話,那么造成這個故障的原因還需要考慮路由器路由信息的原因。所以在遇到故障時,就必須多測試幾個地方。所以雖然無線局域網控制器與輕量級AP可以分屬于不同的局域網,但是,為了后續工作的方面,盡量不要這么做。即盡量部署在相同的虛擬局域網中。把他們部署在不同的局域網中只是不得已而為之的做法。如企業中有三個無線接入點,分屬于三個不同的虛擬局域網。此時,為他們分別配制三個不同的無線局域網控制器則顯然是不合理的。在遇到這種情況時,只需要配備一個無線局域網控制器。其中有兩個輕量級AP只好與無線局域網控制器分屬于不同的虛擬局域網,以節省硬件的成本,并實現統一管理。
2、輕量級AP與無線局域網控制器的關聯方式
從上面的工作原理中,我們可以看到,都是輕量級AP主動與無線局域網控制器進行聯系。也就是說,如果企業無線網絡比較復雜,有多個無線局域網控制器的話,輕量級AP會與那個無線局域網控制器進行綁定的?這個主動權主要在輕量級AP,而不在于無線局域網控制器上。通常情況下,輕量級AP會發送廣播信息,以獲得其周邊的所有無線局域網控制器的IP地址。并會根據得到IP地址時間的先后順與,依次進行連接請求。并自動綁定第一個允許其連接請求的無線局域網控制器。但是,這往往會造成管理上的混亂。如企業網絡管理員出于負載均衡的需要,或者出于安全的需要,往往希望輕量級AP能夠連接到特定的無線局域網控制器上去。而這種綁定方式,顯然不能夠滿足管理員維護無線網絡的需要。
為此,思科的輕量級AP采取了一個自定義無線局域網控制器IP地址列表的功能。即在每一個輕量級AP內,都能夠維護一個組多可達三個IP地址的列表,而且這個三個無線局域網控制器的IP地址有先后順序。第一個IP地址代表的無線局域網控制器為主控制器,第二個輔助無線局域網控制器,第三個會后給輔助無線局域網控制器。如果采用了這個列表之后,那么當輕量級AP啟動時,就不會去搜尋其周圍的無線局域網控制器。而是直接利用這個列表中的IP地址與無線局域網控制器進行連接,要求與其建立聯系。如果當這規定的三個IP地址都不可用時,才會發送IP子網廣播來尋找可用的無線局域網控制器。
3、隧道安全機制的不同
在輕量級AP與無線局域網控制器進行通信時,會采用兩條隧道,分別用來傳送控制信息與數據信息。通常情況下,控制信息在傳送的過程中是不加密的,而數據信息在傳送的過程中是加密的。雖然有隧道的保護,但是其管理信息在隧道中進行明文傳輸則仍然會有一定的安全隱患。為此需要通過IPSec等安全策略,來保障其信息傳輸的安全性。否則的話,非法供給者就可以通過竊聽等手段來獲取管理信息,并進行偽造,從而讓一些非法的客戶端可以通過其認證,連接到這個無線局域網中。所以,如果企業無線網絡中的數據比較重要,會讓一些攻擊者不惜花大代價來進行攻擊的話,則通過IP安全策略等手段來加密管理信息仍然是非常有必要的。不過在采用這些額外的安全手段時,需要進行仔細的測試,以判斷能否與思科無線統一安全策略兼容。雖然說思科的產品其兼容性一般不會有多大的問題,因為其本身就是很多網絡標準的制定者。不過為了保險,這個兼容性測試仍然是必需的。
【編輯推薦】
