Cisco收集了無線局域網(wǎng)不可或缺的一整套功能,將其稱為Cisco統(tǒng)一無線網(wǎng)絡(luò),這種新架構(gòu)提供了下述功能,它們被集中在一起,以便能夠影響位于網(wǎng)絡(luò)中的所有無線局域網(wǎng)設(shè)備:
WLAN安全;
WLAN部署;
WLAN管理;
WLAN控制。
為集中WLAN的這些功能,將自主AP的很多功能移到了一個中央位置,圖3-2的上半部分列出了自主AP執(zhí)行的大部分功能,它們分成兩組,位于左邊的實時進程和位于右邊的管理進程。
![]() |
圖3-2 自主AP和輕量級AP的比較 |
實時進程包括發(fā)送和接收IEEE 802.11幀、AP信標和探針消息,數(shù)據(jù)加密也是以實時方式對每個分組進行的,AP必須在介質(zhì)訪問(MAC)層同無線客戶端交互,這些功能必須在離客戶端最近的AP硬件中完成。
管理功能并非是RF信道發(fā)送和接收幀的有機組成部分,而應集中進行管理,因此,這些功能被移到一個遠離AP的中央平臺中。
在Cisco統(tǒng)一無線網(wǎng)絡(luò)中,輕量級接入點(LAP)只執(zhí)行實時的IEEE 802.11操作,之所以將其稱為LAP,是因為它除去了代碼映像和本地智能,相對于傳統(tǒng)自主AP來說是輕量級的。
管理功能都由無線局域網(wǎng)控制器(WLC)執(zhí)行,WLC由眾多LAP所共享,如圖3-3的下半部分所示。注意,LAP只執(zhí)行第1和2層的功能,幀在這兩層進入或離開RF域,LAP完全依賴于WLC來執(zhí)行其他WLAN功能,如用戶認證、安全策略管理以及RF信道和輸出功率的選擇。
這種分工被稱為split-MAC架構(gòu),在這種架構(gòu)中,正常的MAC操作被分為兩個不同的地方,網(wǎng)絡(luò)中的每個LAP都如此,它們必須將自己綁定到一個WLC才能啟動并支持無線客戶端,WLC成為中央樞紐,支持分散在交換型網(wǎng)絡(luò)中的大量LAP。
LAP如何綁定到WLC以成為正常運行的完整接入點呢?必須在這兩種設(shè)備之間建立一條隧道,用于傳輸與IEEE 802.11相關(guān)的消息和客戶端數(shù)據(jù),LAP和WLC可以位于同一個VLAN或IP子網(wǎng)中,但并非必須如此;相反,它們可以位于兩個完全不同的IP子網(wǎng)中,而這兩個IP于網(wǎng)可以位于不同的地方。之所以可行,是因為隧道將LAP和WLC之間傳輸?shù)臄?shù)據(jù)封裝到IP分組中,從而可以跨越園區(qū)網(wǎng)交換或路由這些數(shù)據(jù),圖3-3說明了這種概念。
LAP和WLC使用無線接入點控制和配置協(xié)議(CAPWAP協(xié)議,Control And Provisioning of Wireless Access Points,早期版本叫輕量級接入點協(xié)議,LWAPP)作為隧道化協(xié)議。實際上,Control And Provisioning of Wireless Access Points由兩個隧道組成,分別為控制信息隧道和數(shù)據(jù)隧道,如圖3-4所示。
![]() |
圖3-3 使用CAPWAP連接LAP和WLC |
CAPWAP控制消息隧道用于配置LAP和管理其運行方式,對控制消息進行認證和加密,確保WLC能夠可靠控制LAP,控制信息隧道主要實現(xiàn)如下的功能:
AP通過控制消息隧道發(fā)現(xiàn)WLC;
在AP和WLC之間建立相互信任;
AP使用控制消息隧道下載固件;
AP使用控制消息隧道下載配置文件;
WLC收集AP的各項統(tǒng)計數(shù)據(jù);
移動和漫游相關(guān)的任務;
AP發(fā)送給WLC的通知及警告信息;
其他一些任務。
CAPWAP的數(shù)據(jù)隧道用來封裝前往和來自與LAP相關(guān)聯(lián)的無線客戶端的數(shù)據(jù),但沒有進行加密。
CAPWAP在WLC端使用UDP目標端口5246和5247(原先的LWAPP在WLC端使用UDP目標端口12222和12223)。
LAP和WLC必須使用數(shù)字證書彼此認證對方,出廠時每臺設(shè)備都預安裝了一個X.509證書,通過在幕后使用數(shù)字證書,可以在每臺設(shè)備成為Cisco統(tǒng)一無線網(wǎng)絡(luò)的一部分前正確地對其進行認證,這有助于確保惡意LAP和WLC(冒充的LAP或WLC設(shè)備)無法進入網(wǎng)絡(luò)。
轉(zhuǎn)載連接:http://book.51cto.com/art/201103/248442.htm