Cisco收集了無線局域網(wǎng)不可或缺的一整套功能，將其稱為Cisco統(tǒng)一無線網(wǎng)絡(luò)，這種新架構(gòu)提供了下述功能，它們被集中在一起，以便能夠影響位于網(wǎng)絡(luò)中的所有無線局域網(wǎng)設(shè)備：

WLAN安全；

WLAN部署；

WLAN管理；

WLAN控制。

為集中WLAN的這些功能，將自主AP的很多功能移到了一個中央位置，圖3-2的上半部分列出了自主AP執(zhí)行的大部分功能，它們分成兩組，位于左邊的實時進程和位于右邊的管理進程。

圖3-2  自主AP和輕量級AP的比較

實時進程包括發(fā)送和接收IEEE 802.11幀、AP信標和探針消息，數(shù)據(jù)加密也是以實時方式對每個分組進行的，AP必須在介質(zhì)訪問（MAC）層同無線客戶端交互，這些功能必須在離客戶端最近的AP硬件中完成。

管理功能并非是RF信道發(fā)送和接收幀的有機組成部分，而應集中進行管理，因此，這些功能被移到一個遠離AP的中央平臺中。

在Cisco統(tǒng)一無線網(wǎng)絡(luò)中，輕量級接入點（LAP）只執(zhí)行實時的IEEE 802.11操作，之所以將其稱為LAP，是因為它除去了代碼映像和本地智能，相對于傳統(tǒng)自主AP來說是輕量級的。

管理功能都由無線局域網(wǎng)控制器（WLC）執(zhí)行，WLC由眾多LAP所共享，如圖3-3的下半部分所示。注意，LAP只執(zhí)行第1和2層的功能，幀在這兩層進入或離開RF域，LAP完全依賴于WLC來執(zhí)行其他WLAN功能，如用戶認證、安全策略管理以及RF信道和輸出功率的選擇。

這種分工被稱為split-MAC架構(gòu)，在這種架構(gòu)中，正常的MAC操作被分為兩個不同的地方，網(wǎng)絡(luò)中的每個LAP都如此，它們必須將自己綁定到一個WLC才能啟動并支持無線客戶端，WLC成為中央樞紐，支持分散在交換型網(wǎng)絡(luò)中的大量LAP。

LAP如何綁定到WLC以成為正常運行的完整接入點呢？必須在這兩種設(shè)備之間建立一條隧道，用于傳輸與IEEE 802.11相關(guān)的消息和客戶端數(shù)據(jù)，LAP和WLC可以位于同一個VLAN或IP子網(wǎng)中，但并非必須如此；相反，它們可以位于兩個完全不同的IP子網(wǎng)中，而這兩個IP于網(wǎng)可以位于不同的地方。之所以可行，是因為隧道將LAP和WLC之間傳輸?shù)臄?shù)據(jù)封裝到IP分組中，從而可以跨越園區(qū)網(wǎng)交換或路由這些數(shù)據(jù)，圖3-3說明了這種概念。

LAP和WLC使用無線接入點控制和配置協(xié)議（CAPWAP協(xié)議，Control And Provisioning of Wireless Access Points，早期版本叫輕量級接入點協(xié)議，LWAPP）作為隧道化協(xié)議。實際上，Control And Provisioning of Wireless Access Points由兩個隧道組成，分別為控制信息隧道和數(shù)據(jù)隧道，如圖3-4所示。

圖3-3  使用CAPWAP連接LAP和WLC

CAPWAP控制消息隧道用于配置LAP和管理其運行方式，對控制消息進行認證和加密，確保WLC能夠可靠控制LAP，控制信息隧道主要實現(xiàn)如下的功能：

AP通過控制消息隧道發(fā)現(xiàn)WLC；

在AP和WLC之間建立相互信任；

AP使用控制消息隧道下載固件；

AP使用控制消息隧道下載配置文件；

WLC收集AP的各項統(tǒng)計數(shù)據(jù)；

移動和漫游相關(guān)的任務；

AP發(fā)送給WLC的通知及警告信息；

其他一些任務。

CAPWAP的數(shù)據(jù)隧道用來封裝前往和來自與LAP相關(guān)聯(lián)的無線客戶端的數(shù)據(jù)，但沒有進行加密。

CAPWAP在WLC端使用UDP目標端口5246和5247（原先的LWAPP在WLC端使用UDP目標端口12222和12223）。

LAP和WLC必須使用數(shù)字證書彼此認證對方，出廠時每臺設(shè)備都預安裝了一個X.509證書，通過在幕后使用數(shù)字證書，可以在每臺設(shè)備成為Cisco統(tǒng)一無線網(wǎng)絡(luò)的一部分前正確地對其進行認證，這有助于確保惡意LAP和WLC（冒充的LAP或WLC設(shè)備）無法進入網(wǎng)絡(luò)。

轉(zhuǎn)載連接：http://book.51cto.com/art/201103/248442.htm