本節(jié)書摘來自異步社區(qū)《CCNA無線640-722認(rèn)證考試指南》一書中的第9章，第9.3節(jié)集中式架構(gòu)，作者 【美】David Hucaby，更多章節(jié)內(nèi)容可以訪問云棲社區(qū)“異步社區(qū)”公眾號查看

9.3　集中式架構(gòu)
CCNA無線640-722認(rèn)證考試指南
由于自主式AP在管理其RF操作方面相當(dāng)困難，作為網(wǎng)絡(luò)管理員，必須選擇和配置每個AP使用的信道，需要檢測和處理可能產(chǎn)生干擾的任何欺詐AP，而且還必須管理發(fā)射功率電平等類似問題，以確保足夠的無線覆蓋，不會產(chǎn)生太多的交疊，不存在覆蓋盲區(qū)——即使某個AP的無線電出現(xiàn)了故障。

管理無線網(wǎng)絡(luò)的安全性也是一件很困難的事情。每個自主式AP都要處理自己的安全策略，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間沒有集中的入口點，這就意味著沒有很方便的位置來監(jiān)控流量，實施入侵檢測和入侵防護、服務(wù)質(zhì)量以及帶寬策略等操作。

CUWN（Cisco Unified Wireless Network，Cisco統(tǒng)一無線網(wǎng)絡(luò)）是一種集中式的統(tǒng)一網(wǎng)絡(luò)架構(gòu)，可以克服分布式自主AP帶來的這些問題。為了構(gòu)建這樣的網(wǎng)絡(luò)架構(gòu)，需要將自主式AP的很多功能轉(zhuǎn)移到某些中心位置。如圖9-5所示，自主式AP完成的很多工作都可以分為兩大類：左側(cè)的實時進程和右側(cè)的管理進程。

實時進程包括發(fā)送和接收802.11幀、信標(biāo)以及探測消息。802.11數(shù)據(jù)加密也是實時處理的（逐包方式）。AP 必須與無線客戶端在較低的層次——稱為MAC（Media Access Control，介質(zhì)訪問控制）層進行交互，這些實時功能必須放在最靠近客戶端的AP上。

管理功能不屬于通過RF信道處理幀的密不可分的一部分，但這些功能應(yīng)該集中管理，因此將這些管理功能遷移到遠(yuǎn)離AP的集中設(shè)置的平臺上。

在CUWN架構(gòu)中，LAP（Lightweight Access Point，輕量級接入點）僅執(zhí)行實時的802.11操作。命名為LAP的原因是與傳統(tǒng)的自主式AP相比，LAP剝離了代碼映像和本地智能或者進行了大量簡化。

管理功能通常由WLC（Wireless LAN Controller，WLAN控制器）完成，大量LAP共用一個WLC。從圖9-5下半部分可以看出，左側(cè)的LAP主要負(fù)責(zé)第一層和第二層（幀通過這兩層進出RF域）功能。對于認(rèn)證用戶、管理安全策略以及選擇RF信道和輸出功率等其他功能來說，LAP則完全依賴于WLC。

提示：
請記住，輕量級AP極度依賴網(wǎng)絡(luò)中的WLC，無法單獨運行。

9.3.1　Split-MAC架構(gòu)
通常將LAP-WLC的任務(wù)分工稱為Split-MAC（分離MAC）架構(gòu)，此時普通的MAC操作被劃分到兩個截然不同的位置。網(wǎng)絡(luò)中的LAP出現(xiàn)這種情況時，每個都必須重啟并綁定到WLC上，以支持無線客戶端。WLC將成為集中式Hub，可以支持散落在網(wǎng)絡(luò)中的大量LAP。

那么LAP是如何綁定WLC以形成一個完整的工作AP呢？LAP與WLC之間必須使用隧道協(xié)議來承載與802.11相關(guān)的消息以及客戶端數(shù)據(jù)。LAP和WLC可以位于同一個VLAN或IP子網(wǎng)中，但也不必如此，LAP和WLC完全可以位于兩個不同地點的兩個不同IP子網(wǎng)中。

CAPWAP（Control and Provisioning of Wireless Access Points，無線接入點控制和配置協(xié)議）隧道協(xié)議可以完成該上述工作，負(fù)責(zé)將LAP和WLC之間的數(shù)據(jù)封裝到新IP包中，然后通過園區(qū)網(wǎng)交換或路由這些隧道化數(shù)據(jù)。從圖9-6可以看出，CAPWAP實際上包含兩種隧道。

CAPWAP控制消息：負(fù)責(zé)交換用于配置LAP并管理其操作的消息。所有控制消息都要經(jīng)過認(rèn)證和加密（因而LAP僅受WLC的安全控制），然后再通過UDP端口5246（在控制器端）進行傳送。
CAPWAP數(shù)據(jù)：用來傳送去往和來自與LAP相關(guān)聯(lián)的無線客戶端的數(shù)據(jù)包。通過UDP端口5427（在控制器端）來傳送這些數(shù)據(jù)包，但是默認(rèn)不加密這些數(shù)據(jù)包。如果在LAP上啟用了數(shù)據(jù)加密操作，那么這些數(shù)據(jù)包就能受到DTLS（Datagram Transport Layer Security，數(shù)據(jù)報傳輸層安全）的保護。

提示：
CAPWAP定義在RFC 5415、5416、5417和5418中，CAPWAP基于LWAPP
（Lightweight Access Point Protocol，輕量級接入點協(xié)議），而LWAPP屬于傳統(tǒng)的Cisco專有解決方案。
每個 AP 和 WLC 都必須通過數(shù)字證書進行相互認(rèn)證。所有設(shè)備在出售時都已經(jīng)預(yù)裝了X.509證書。通過后臺的證書操作，每臺設(shè)備在加入CUWN之前都能得到正確認(rèn)證。該進程有助于確保不將欺詐LAP或WLC（或者假冒為LAP或WLC的設(shè)備）引入網(wǎng)絡(luò)。有關(guān)LAP-WLC關(guān)聯(lián)的問題將在第11章進行詳細(xì)討論。

CAPWAP隧道允許LAP和WLC在地理上或邏輯上分開，而且打破了兩者在二層連接上的依賴性。例如，圖9-7通過兩片陰影區(qū)域來表示VLAN 100的范圍。請注意，VLAN 100位于WLC和SSID 100的無線區(qū)域（靠近無線客戶端），但不在LAP和WLC之間。所有去往和來自與SSID 100相關(guān)聯(lián)的客戶端的流量都被封裝到CAPWAP數(shù)據(jù)隧道中經(jīng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行傳送。

從WLC到一個或多個LAP的CAPWAP隧道建立完成之后，WLC就可以提供多種附加功能。WLC完全可以解決前面討論過的傳統(tǒng)自主式WLAN架構(gòu)出現(xiàn)的各種難題和缺陷。

動態(tài)信道分配：WLC 能夠根據(jù)區(qū)域內(nèi)其他活躍接入點的情況，自動為每個LAP選擇和配置RF信道。
發(fā)射功率優(yōu)化：WLC能夠根據(jù)所需的覆蓋區(qū)域，自動設(shè)置每個LAP的發(fā)射功率。
自愈的無線覆蓋：當(dāng)網(wǎng)絡(luò)中某個LAP的無線電出現(xiàn)故障時，可以自動加大周圍LAP的發(fā)射功率，解決覆蓋盲區(qū)問題。
靈活的客戶端漫游：客戶端可以在LAP之間快速實現(xiàn)二層或三層漫游。
動態(tài)客戶端負(fù)載均衡：如果兩個或多個LAP覆蓋相同的地理區(qū)域，那么WLC就能將客戶端關(guān)聯(lián)到最輕載的LAP上，在多個LAP之間分發(fā)客戶端負(fù)載。
RF監(jiān)控：WLC負(fù)責(zé)管理所有的LAP，因而能夠掃描信道以監(jiān)控RF的使用情況。通過偵聽信道，WLC可以遠(yuǎn)程收集RF干擾、噪聲、來自相鄰LAP的信號以及來自欺詐AP或Ad hoc客戶端的信號等信息。
安全管理：WLC能夠通過集中式服務(wù)來認(rèn)證客戶端，要求無線客戶端在關(guān)聯(lián)并訪問WLAN之前，必須從受信的DHCP服務(wù)器獲得IP地址。
無線入侵防護系統(tǒng)：WLC可以利用其中心位置來監(jiān)控客戶端數(shù)據(jù)，以檢測并防范各種惡意行為。

9.3.2　CUWN中的流量模型
前面曾經(jīng)說過，自主式AP負(fù)責(zé)橋接無線BSS與有線VLAN之間的流量。為了得到來往有線網(wǎng)絡(luò)的流量，AP必須依賴其與DS（Distribution System，分布系統(tǒng)）的連接。LAP的工作方式與此類似，唯一的區(qū)別在于BSS與DS之間被網(wǎng)絡(luò)基礎(chǔ)設(shè)施間隔了一定距離，這段距離通過CAPWAP隧道進行連接。

以圖9-9所示網(wǎng)絡(luò)為例。該WLAN網(wǎng)絡(luò)由LAP和WLC組成，兩個無線客戶端關(guān)聯(lián)到該網(wǎng)絡(luò)上，從客戶端B到有線網(wǎng)絡(luò)某主機的流量將經(jīng)過LAP以及CAPWAP數(shù)據(jù)隧道，到達(dá)WLC，然后再由WLC發(fā)送到交換式園區(qū)網(wǎng)。

對于交換式園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施來說，由于WLC位于中心位置且?guī)捵銐虼?#xff0c;因而此時的CUWN流量模型不是一個大問題。假設(shè)網(wǎng)絡(luò)擴展到包含了多個遠(yuǎn)程站點，在這些遠(yuǎn)程站點均配置了LAP，但是只有總部園區(qū)擁有唯一的WLC。這種場景將強制無線流量經(jīng)過遠(yuǎn)程站點和總部站點之間的CAPWAP隧道，然后才能通過該CAPWAP隧道返回遠(yuǎn)程站點。這種流量路徑的效率非常低，特別是在遠(yuǎn)程站點帶寬有限的情況下。

為了解決低效問題，可以在遠(yuǎn)程站點LAP上使用FlexConnect 模式。此時需要穿越CAPWAP隧道去往WLC的遠(yuǎn)程站點流量仍然按照常規(guī)方式進行傳送，但是去往遠(yuǎn)程站點網(wǎng)絡(luò)的無線流量則可以留在遠(yuǎn)程站點內(nèi)。遠(yuǎn)程站點LAP能夠在本地交換這些流量，而無需穿越CAPWAP隧道。即便遠(yuǎn)程站點鏈路出現(xiàn)了故障，導(dǎo)致CAPWAP隧道完全中斷，FlexConnect模式仍允許LAP進行本地的流量交換，從而維持遠(yuǎn)程站點內(nèi)部無線連接的可用性。

提示：
以前曾經(jīng)將FlexConnect稱為H-REAP（Hybrid Remote Edge Access Point，混合遠(yuǎn)程邊緣接入點）。

總結(jié)

以上是生活随笔為你收集整理的《CCNA无线640-722认证考试指南》——9.3节集中式架构的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。