分割式MAC架構構建企業級無線局域網

　　 
　　為滿足WLAN網絡的實時要求，設計者可以參考本文介紹的一種分割式媒體存取控制(MAC)架構，以便在接入點和中心交換機之間分配MAC處理任務，并可極大地提高WLAN系統管理無線資源的能力和安全性。
　　

　　WLAN可提高企業網絡的效率，并降低網絡部署和運營總成本。但是，無線網絡同時也為網絡管理者帶來了管理和安全方面的挑戰。成功部署無線網絡的關鍵在于IT經理能夠獲得無線域的控制權，就和控制有線網絡一樣。
　　
　　有線網絡依靠用戶認證和對網絡的物理訪問來實現接入，而無線網絡則需要強大的認證和加密手段。由于無線域是動態的，隨時都在變化，無線網絡在運營方面也是一個挑戰。無線網絡運營商要想部署運營級的無線網絡，就必須克服這些難題。
　　
　　無線網絡的一個關鍵設計和部署原則就是監視、控制和指配功能的集中化。實踐證明，集中化是對大量網絡設備制定和實施統一政策的最佳方式，無論這些設備集中于同一物理地點還是分散在不同的地理區域。
　　
　　一個集中式WLAN架構要想卓有成效，相關的信息必須不斷地饋送給管理該網絡的中心設備(如WLAN交換機/設備)。如果沒有整體、精確及更新速度達到毫秒級的無線環境狀態信息，中心設備就無法做出準確的決策。與此同時，如果中心控制器參與所有的接入點操作，它可能會影響那些對時序特別敏感的功能。因此，必須在其中尋求一種平衡。
　　
　　解決集中化架構平衡問題的一個方案是提供一個全新的802.11服務傳送設計，在兩種設備(即AP和中心WLAN交換機/設備)之間將802.11 MAC層的處理任務進行分割。下面我們將詳細探討這種MAC分割方法以及它對WLAN架構的益處。
　　
　　構建企業級的WLAN
　　
　　傳統的WLAN由無數單獨的AP組成，它們產生了很多獨立、自治的RF域，而這些RF域又都是獨自管理的。這很像最初的蜂窩網絡，每個單獨的無線接收和發送塔管理它們各自的域。同樣地，在獨立的802.11網絡中，所有MAC處理任務都由AP自己執行。例如，一個AP可執行：
　　
　　* 終止802.11數據和管理協議(注意：很多管理任務來自交換機/某設備)；
　　* 在網絡的有線和無線部分之間轉換數據；
　　* 維護有關客戶端和無線環境的統計信息；
　　
　　在單個無線節點內維護信息使得很難創建一個統一的網絡以為每個用戶群提供穩定的網絡性能、高性能漫游，以及不管用戶位置都能確保政策的一致性。最后，將每個接入點作為單獨的RF域來管理對IT管理人員來說是困難的，隨著無線網絡規模的不斷擴充尤其如此。
　　
　　集中式WLAN架構克服了以上缺陷，它可將系統范圍的信息集中到單個交換機/某設備中，或集中到多個協調工作的交換機/設備中。然而，大部分方案都是將所有功能集中到一個中心設備，這意味著各種任務和處理都發生在該交換機或設備內，包括流量轉發、加密、服務質量(QoS)，以及政策創建和管理。在這種架構中，AP只是一個無線收發天線，在802.11或其它數據包處理中不起任何作用。這種架構存在的問題是，所有處理決策都由中心設備決定，它能否處理好實時應用？
　　
　　采用分割式MAC的WLAN系統可以解決以上問題，它在AP和WLAN交換機或控制器之間將802.11數據和管理協議的處理任務及接入點功能分割開(見圖1)。
　　

　

　　　　　　　　　　　　 圖1：典型的分割式MAC架構示意圖。
　　
　　
　　通過這種MAC分離方法，AP只處理有實時要求的協議部分，如信標幀的發送、響應來自客戶端的“探查請求(Probe Requests)”幀、為交換機或控制器提供實時信號質量信息、監視其他AP的出現以及第二層加密等。
　　
　　所有其它功能都由WLAN交換機/設備處理，因為它們對時間不敏感，而且對系統范圍的可見度有要求。WLAN控制器所提供的一些MAC層功能包括：802.11認證、802.11關聯和再關聯(移動性)、802.11幀轉換和橋接等。
　　
　　將802.11管理協議、幀轉換和橋接功能集中到中心交換機/設備中，可實現收集控制器所需的特定信息，以便在系統范圍內進行管理，如網絡RF信息，或者第二層和第三層客戶端無縫漫游。
　　
　　智能RF管理
　　
　　分割式MAC架構可極大地提高WLAN系統管理無線資源的能力。在AP中提供監控功能就可實時檢測RF的變化(如接收信號強度、信號質量、信道分配和噪聲等)。這些信息隨后被饋送到集中式WLAN控制器，以便為優化WLAN性能提供決策支持。例如，單個WLAN交換機或設備就可在整個企業網絡內動態分配信道、分配帶寬，并控制AP傳輸功率。
　　
　　成功的RF管理需要一個“全盤的”方法。如果信息只駐留在AP內，有關設備的RF管理決策實際上可能對整個WLAN系統造成不利影響。例如，減少AP的傳輸功率可能引起其它地方的覆蓋范圍漏洞。同樣地，提高傳輸功率可能會引起干擾。
　　
　　此外，只有針對整個系統范圍的方法才能復用信道以避免網絡一個部分的噪聲和干擾。如果RF管理決策由單個AP做出，那么有問題的信道就可能被徹底放棄，而在某些情況下使用部分信道對整體網絡性能是有益的。通過創建一個集中式的RF管理“權威”，分割式MAC架構就可實時地解決實際運行問題
　　
　　實時負載均衡
　　
　　傳統WLAN一般采用以下兩種方法中的一種處理移動性：
　　
　　1．AP之間以對等方式相互交流負載信息，“最好的”AP負責對客戶端請求做出響應。
　　
　　2．AP直接將負載信息廣播給那些負責自主決策的客戶端。
　　
　　這兩種方法都有明顯的缺陷。第一種方法會增加WLAN的流量，從而消耗帶寬及增加延遲。如果AP在共享信息時出現延遲，可能會做出不準確的負載均衡決策，或者對時間敏感的流量可能遭遇性能問題。此外，這種方法是在理想狀況下做出決策的，忽略了安全性、QoS、用戶移動模式以及其它可在系統范圍基礎上做出更準確決策的有用參數。
　　
　　第二種方法也會引發很多同樣的問題，因為客戶端所處理的一般都是陳舊的信息，它們并不相互溝通以便收集整個系統范圍的信息。由于一個WLAN上可能有數百個、甚至數千個客戶端設備，這種方法會造成嚴重的管理負擔及可伸縮性挑戰。此外，客戶端還可能被欺騙，引起拒絕服務等無線網絡攻擊的潛在危機。
　　
　　所提議的分割式MAC架構可以解決這些問題，為性能優化提供有效、系統范圍的負載均衡。其工作原理如下：
　　
　　1． 很多客戶端偶爾發送“探查請求”以確定附近是否有強信號的AP可以提供適當的服務。對客戶端做出響應的AP提供它們所工作的信道信息，以及可用的個別WLAN信息(比如SSID)。AP還向WLAN交換機或設備發送一個通知，以指明發送“探查請求”的客戶端身份，還包括所接收信號質量的信息。該信息可用于安全性功能及客戶端連接性。
　　
　　2． WLAN控制器利用這一信息，以及來自其它AP的類似信息，來確定每個AP與特定客戶端通信的可靠性。利用以上這些信息，以及跟每個AP關聯的客戶端數量及每個AP的總負載信息，WLAN交換機或設備就可以選擇特定客戶端應該與之通信的最佳AP。WLAN控制器采用802.11管理協議的現有方法，鼓勵客戶端盡可能與最合適的AP通信。
　　
　　負載均衡通過采用分割MAC方法實現了優化，因為集中式WLAN交換機和設備擁有每個AP的具體信息，從而讓系統做出快速、智能的決策。通過讓AP自己處理探查請求，WLAN系統可確保均衡負載時的延遲最小，并可為移動用戶帶來實時的性能體驗。
　　
　　實時流量處理
　　
　　為了支持語音等實時的下行流量(來自有線網絡)，WLAN系統必須將數據包區分開來，并根據特定的規則處理這些數據包。數據包分類最好由集中式WLAN控制器來處理，因為它可應用與不同QoS標準相關的系統范圍規則，包括來源、目的地、協議類型、VLAN ID、DHCP、優先級或這些特征的任意組合。分類后，數據包就被分派相應的優先級、帶寬及數據包丟棄特征，以便獲得優化的系統性能。
　　

　

　　　　圖2：分割式MAC架構很容易檢測并阻止WLAN網絡內的欺騙性AP。
　　　　　　　　　　　　
　　在分割式MAC架構中，AP包含獨立的硬件隊列，這些隊列可用于為數據包的無線傳輸排出優先順序。訪問RF網絡是基于由WLAN交換機/設備確定的QoS參數。在這一方面，IT管理人員可以集中控制和配置QoS政策，并在AP端本地強制實施以優化WLAN性能。
　　
　　分割式MAC架構還為IEEE新興的QoS標準802.11e鋪平了道路，因為它可以在AP上提供第二層加密功能。這樣可讓AP對每個數據包都了如指掌，從而隨時做出合理的資源調度決策。
　　
　　其次，當AP處理加密時，它可以更好地支持802.11e標準的動態分割功能。這是指，當沒有足夠的可用時間來傳送整個數據包時，每個AP可以將數據包分割開來。如果加密被集中在WLAN控制器中，WLAN系統就可能遭遇延遲，影響動態分割特性的效率。因此，分割式MAC架構特別適用于未來的802.11e環境。
　　
　　安全性問題
　　
　　通過分割AP和WLAN交換機或設備之間的協議和AP功能處理可以增強移動性。同樣地，安全性也可以得到加強。當每個數據包都是由集中式WLAN控制器處理時，復雜的安全策略可以應用，無論AP與哪一個客戶端相關聯。安全性政策包括：
　　
　　1．第二層加密(如WEP、WPA和802.11i)，或者第三層加密(IPSec)；
　　2．用戶身份認證(如802.1x、XAUTH或網站登錄)；
　　3．詳細的訪問控制清單(ACL)，以便將網絡訪問限定于某個用戶或用戶群；
　　4．動態VLAN分配。
　　
　　所有這些安全增強特性都是可能的，因為802.11功能是在AP和集中的WLAN交換機或設備間分開的。這種分割可讓交換機/設備、接入點有機會檢測和處理每一個來自或發向WLAN的數據包，并做出相應的處理

原文轉自：http://www.kjueaiud.com