部署思科无线局域网要注意的问题

在思科的统一无线管理策略中，将无线发射点分为轻量级AP与无线局域网控制器两个部分，两者各司其责。轻量级AP只负责信号的接收与发送，而无线局域网控制器则负责客户端身份认证、安全策略管理等等。所以在部署思科无线局域网的时候，就需要注意合理部署轻量级 AP，让其能够跟无线局域网有机的联系起来。为了帮助大家能够深一步认识轻量级AP的部署，笔者就先谈谈轻量级AP的工作原理。然后结合这个工作原理来谈谈其部署的重点与注意事项。简单的来说，轻量级AP从启动到正常运行大致可以分为四个步骤。第一步：轻量级AP从DHCP服务器那里获得一个IP地址。虽然轻量级AP只是一个无线信号接入点，但是其仍然是一个网络设备。其要在局域网络中进行正常的数据传送，其仍然需要一个合法的IP地址。为此在启动的时候，轻量级AP需要从DHCP服务器中获得一个合法的IP地址。第二步：与无线局域网控制器建立联系。轻量级AP在启动过程中，会通过广播的方式取得所有无线局域网控制器的IP地址。如果不考虑其他因素的话，则其会先向其获得的第一个无线局域网控制器发送连接请求。如果无线局域网控制器没有回应的话，则会尝试下一个IP地址。无线局域网控制器接收到这个请求信息时，便会向轻量级AP发送加入应达的信息。如此就可以把轻量级AP与无线局域网控制器绑定在一起。第三步：策略代码的比较与更新。无线局域网控制器在绑定了轻量级AP之后，就会把其代码印象版本与本地存储的代码映像版本进行比较。如果在连接之前，无线局域网控制器中的某些策略发生了变更，则轻量级AP将会从无线局域网控制器中下载并启用最新的印象代码。不过要生效的话，轻量级AP必须重新启动。第四步：隧道的建立。当以上三个步骤完成之后，轻量级AP与无线局域网控制器之间会建立起两条隧道，分别为传送管理信息的LWAPP控制信息隧道与用户数据的数据隧道。这两个隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁的时候，用来传输控制信息的隧道也不用购用来传递数据信息。可见，轻量级AP的工作原理是非常简单的。因为其大部分的复杂工作，如客户端的身份认证等等，都是由独立的无线局域网控制器完成的。为此在部署轻量级AP的时候，其重点就是如何保证轻量级AP与无线局域网控制器之间的连接。如果这个连接中断的话，则即使轻量级AP工作正常，用户仍然无法通过这个轻量级AP来收发信息。为了保障他们之间的有效连接，网络管理员需要注意以下几个方面的问题。1、虚拟局域网的问题如果企业处于安全的考虑，在企业网络中部署了虚拟局域网。此时对于轻量级AP与无线局域网控制器的通信是否会造成影响?如通过DHCP服务器，轻量级AP与无线局域网控制器设备的IP地址分属于不同的局域网。此时这两个设备虽然通过路由器仍然可以进行通信，但是对于其传递的管理信息是否会造成不利的影响呢?通常情况下，使不会造成不利影响的。或者说，其不利影响可以忽略不计。这主要是因为隧道封装的原因。在无线局域网控制器与轻量级AP进行数据传送时，隧道会将他们之间需要传送的数据封装到IP分组中，从而可以跨越虚拟局域网交换或者路由这些信息。如果此时需要通过路由器来进行路由，所以其在传送的环节中就多出了一环，其速率稍微受到了一些影响。不过除非这个路由器是企业网络中的瓶颈资源，否则的话，这个不利影响可以忽略不计。不过如果部署在不同的虚拟局域网中，对于后续故障的排测也会产生不利的影响。如当无线局域网控制器与轻量级AP无法正常通信的话，那么造成这个故障的原因还需要考虑路由器路由信息的原因。所以在遇到故障时，就必须多测试几个地方。所以虽然无线局域网控制器与轻量级AP可以分属于不同的局域网，但是，为了后续工作的方面，尽量不要这么做。即尽量部署在相同的虚拟局域网中。把他们部署在不同的局域网中只是不得已而为之的做法。如企业中有三个无线接入点，分属于三个不同的虚拟局域网。此时，为他们分别配制三个不同的无线局域网控制器则显然是不合理的。在遇到这种情况时，只需要配备一个无线局域网控制器。其中有两个轻量级AP只好与无线局域网控制器分属于不同的虚拟局域网，以节省硬件的成本，并实现统一管理。2、轻量级AP与无线局域网控制器的关联方式从上面的工作原理中，我们可以看到，都是轻量级AP主动与无线局域网控制器进行联系。也就是说，如果企业无线网络比较复杂，有多个无线局域网控制器的话，轻量级AP会与那个无线局域网控制器进行绑定的?这个主动权主要在轻量级AP，而不在于无线局域网控制器上。通常情况下，轻量级AP会发送广播信息，以获得其周边的所有无线局域网控制器的IP地址。并会根据得到IP地址时间的先后顺与，依次进行连接请求。并自动绑定第一个允许其连接请求的无线局域网控制器。但是，这往往会造成管理上的混乱。如企业网络管理员出于负载均衡的需要，或者出于安全的需要，往往希望轻量级AP能够连接到特定的无线局域网控制器上去。而这种绑定方式，显然不能够满足管理员维护无线网络的需要。为此，思科的轻量级AP采取了一个自定义无线局域网控制器IP地址列表的功能。即在每一个轻量级AP内，都能够维护一个组多可达三个IP地址的列表，而且这个三个无线局域网控制器的IP地址有先后顺序。第一个IP地址代表的无线局域网控制器为主控制器，第二个辅助无线局域网控制器，第三个会后给辅助无线局域网控制器。如果采用了这个列表之后，那么当轻量级AP启动时，就不会去搜寻其周围的无线局域网控制器。而是直接利用这个列表中的IP地址与无线局域网控制器进行连接，要求与其建立联系。如果当这规定的三个IP地址都不可用时，才会发送IP子网广播来寻找可用的无线局域网控制器。3、隧道安全机制的不同在轻量级AP与无线局域网控制器进行通信时，会采用两条隧道，分别用来传送控制信息与数据信息。通常情况下，控制信息在传送的过程中是不加密的，而数据信息在传送的过程中是加密的。虽然有隧道的保护，但是其管理信息在隧道中进行明文传输则仍然会有一定的安全隐患。为此需要通过IPSec等安全策略，来保障其信息传输的安全性。否则的话，非法供给者就可以通过窃听等手段来获取管理信息，并进行伪造，从而让一些非法的客户端可以通过其认证，连接到这个无线局域网中。所以，如果企业无线网络中的数据比较重要，会让一些攻击者不惜花大代价来进行攻击的话，则通过IP安全策略等手段来加密管理信息仍然是非常有必要的。不过在采用这些额外的安全手段时，需要进行仔细的测试，以判断能否与思科无线统一安全策略兼容。虽然说思科的产品其兼容性一般不会有多大的问题，因为其本身就是很多网络标准的制定者。不过为了保险，这个兼容性测试仍然是必需的。