利用無線網關交換機整體規劃WLAN

　　 
　　除了AP、網卡這些典型的無線局域網產品，無線網關、無線交換機的應用也正在逐漸興起，它們對整個網絡的安全、設計與構建、高效管理都起著關鍵作用。
　　

　　毋庸置疑，無線局域網在實現用戶自由接入、提高企業生產率和投資回報率方面確有優勢。但隨著應用的深入，人們發現無線局域網也有不盡人意的地方，首當其沖便是安全問題。典型的例子：由于IEEE 802.11硬件設備應用已相當普及，任何人都可以購買接入點（AP）自行安裝，在頻譜范圍內共享網絡接入，這就給惡意操作人員以可乘之機。
　　
　　自802.11無線局域網進入應用以來，安全問題便成為人們關注的焦點。對無線網進行高效管理，增強其安全性，與提高靈活性同等重要。人們在配置WLAN時，不得不將安全設置納入整體架構加以考慮，于是各類無線安全工具應運而生。如今一些開發商推出了與AP協同工作的網關工具，還有的在開發無線交換機，這些方案都能簡化WLAN設計與構建，高效實現網絡管理。
　　
　　無線網關集中管理
　　
　　最初對WLAN實現集中管理的工具是無線網關。早在2001年底，開發商Bluesocket、ReefEdge和Vernier Networks就推出了相關產品，現在已過渡到第二代甚至第三代技術，這類工具基本能適用于所有類型的客戶應用，如企業專用無線網，以及由服務提供商配置的熱點地區（如機場）無線網絡。此類安全工具運用最為成功的是教育領域，如大學校園，一般都配置有大型網絡，并能支持大量不同類型的客戶端接入。例如Bluesocket公司的產品已為美國100多所大學校園配置了安全網關，相關AP達數萬臺。
　　
　　這類無線網關產品適用于所有無線頻率，能直接（或通過交換機或路由器）連接到任何廠商的AP。最簡單的WLAN網關為一盒式裝置，所有無線通信都經過網關，然后經路由傳送到有線網，并不需要將網關物理地置于AP和有線網之間，但必須保證處于同一IP子網，即在可管理的AP范圍內。網關還能處理子網間的漫游，但需要為每個子網配置分離網關。這是因為當客戶從一個子網漫游到另一個子網時，他們即與先前的網關失去了聯絡，漫游需采用移動IP或專用機制實現。網關具備漫游功能，用戶即可實現無縫訪問，因為這時子網對用戶來說是透明的。
　　
　　AP可通過集線器或二層交換機與網關相連，也可直接相連，多數廠商對三種連接方式都支持，只不過不同廠商的設備需采用不同體系結構。如ReefEdge產品雖然端口有限，但能以200Mbps吞吐率處理加密通信，因而支持AP數量多（最多達100臺），大部分采用間接連接方式。無論采用何種連接方式，所有網關起的作用大抵相同。也就是說，不管客戶端采用何類AP接入，網關都能增強與接入控制、加密和QoS有關的策略管理，它也就可以提供很多高端AP具有的安全特性，如采用RADIUS服務器或數字證書的認證功能。
　　
　　此外，網關本身還具備VPN加密功能，不過這需要客戶端軟件的支持?，F今很多客戶端都安裝有兼容VPN的軟件，如Windows 2000和XP具備IPSec加密功能，大多數瀏覽器都支持SSL加密，因而實現較為容易?？蛻舳司邆渑c網關兼容的VPN軟件至關重要，因為對于熱點地區和大學校園這類應用環境，應保證容納不同的硬/軟件配置（保證大多數客戶端能夠順利接入）。廠商為此開發一個專用平臺很容易，但會給網絡管理帶來諸多不便。
　　
　　兼容性是關鍵
　　
　　無線網關除具備安全功能、可實現用戶漫游外，還能進行帶寬管理。它能簡化網絡管理，對不同類型的無線局域網進行集中控制：相應策略集中配置于網關中，而不必對每個AP進行單獨配置，網關獨立于AP和所采用的無線技術。
　　
　　這就帶來一個系統兼容性問題，因為開發商在網關配置和互聯方面采用的都是專有技術。由于單一網關能夠對數臺AP實施集中管理，因而一般無線網都配置有多臺網關。這就引發一個問題：若各個子網采用不同廠商的網關，將無法進行互聯。而且，在配置多網關時，不同廠商采用的網絡架構也不盡相同。例如Bluesocket采用點對點體系結構，因而管理是全分布式的，客戶可以先啟用一臺設備，然后直接增加即可。ReefEdge和Vernier都采用層級式體系結構，其中一臺為主設備，ReefEdge稱為控制服務器，Vernier稱為連接服務器。服務器擔當著網絡管理和對其他網關進行策略配置的作用，同時還負責潛在的故障修復，因而一般配置有此類附加服務器，以提供系統冗余。
　　
　　而且，ReefEdge和Vernier的層級式體系結構也略有不同：前者的控制服務器本身擔當著網關作用，因而客戶可直接往后疊加另外網關（稱為邊緣控制器）；Vernier的連接服務器為專用設備，處于網絡中心位置，本身不具備網關功能，因而初始配置至少得兩臺設備，一臺用作服務器，一臺用作網關（稱為接入管理器），
　　
　　WLAN網關功能大部分在第三層實現，AP進行更低層處理，負責將802.11幀轉換為802.3以太幀，因此802.11幀在到達網關后，其原有屬性將不復存在。從傳統上講，這種處理方案大大增強了系統安全性，因為網關采用的是VPN加密，而不是易于被破解的WEP協議。另外，Wi-Fi聯盟于今年5月發布了Wi-Fi保護接入（WPA）協議，今后凡經Wi-Fi聯盟認證的產品都將具備這一安全功能特性。IEEE還在開發其它增強協議標準，以提高無線網的QoS和功率管理能力，并進一步增強安全性。
　　
　　無線交換機如擴展AP
　　
　　為充分利用802.11無線局域網，有的開發商在采用一種折衷方案：將智能處理功能從AP中剝離，集中到另外設備中進行處理。這類設備稱為交換機，因為它具備第二層功能性。
　　
　　Symbol于去年底推出的Mobius就屬此類設備，它在外觀上與普通LAN交換機沒什么兩樣。該交換機具備兩個10/100M以太端口，據Symbol說能同時支持30路AP接入，這是因為相對交換機以太端口來說，802.11b速率要低得多。
　　
　　跟網關一樣，無線交換機采用普通集線器或交換機與AP實現間接連接。但在802.11幀處理上與網關方式不同：它不將802.11幀轉換為以太幀，而是將其封裝進802.3幀當中，然后通過專用隧道傳輸到無線交換機。從有線網的角度看，無線交換機更像是一類功能擴展了的AP。
　　
　　除Symbol外，Extreme、Airespace、Trapeze和Chantry也推出了相關產品方案。這些方案集成有豐富的加密功能，如包含RC4加密算法的WEP和WPA以及AES加密標準。
　　
　　簡化集中管理
　　
　　無線網絡管理中，無線電波傳播傳輸控制是一個重要議題。無線交換機在設計上充分考慮到了無線網管理進程的自動化，所有無線交換機都能動態監控無線電波，實時測量無線網絡的工作性能，并調整傳輸功率級別以均衡負載。如果一臺AP出現故障，其他AP應能自動增加傳輸功率以提供備份地域覆蓋；若有新的AP加入，其它AP應能減小功率發射，以避免產生沖突。
　　
　　Airespace、Aruba和Trapeze還提供運行于Windows平臺的相關管理軟件，能進行無線網地理規劃，具備AP位置的圖形顯示功能，并能檢測網絡覆蓋中潛在的盲區，提供備份功能選項。如Trapeze的軟件方案能在引入AP前進行網絡覆蓋規劃，系統中集成有建筑環境數據庫，為用戶提供客戶端數量、數據率以及AP位置設置。實時監控功能主要是實現入侵檢測和預防，這主要是在第二層以下完成。無線交換機系統能夠運用AP掃描無線電波，進行惡意AP或用戶檢測，通過輸入多AP信息，它甚至能測量出用戶位置，并在管理地圖中顯示。
　　
　　也要解決兼容性
　　
　　由于交換機本身為一類專有系統，因而只有相應配置同一廠商的AP，方能發揮其功能。多數無線交換機能夠連接到標準AP，但只能提供基本的無線覆蓋，對于惡意接入點檢測、入侵預防以及動態功率調節這類功能實現，仍離不開廠商自身開發的AP。另外，很多無線交換機開發商都是初出茅廬，產品本身功能還亟待完善。
　　
　　可見解決無線交換機的兼容性問題已成當務之急。今年5月，IETF公布了一份由NTT DoCoMo和Airespace公司共同草擬的標準草案。其核心是輕量接入點協議（LWAPP），專門規范交換機和AP間的配置信息，以實現互聯。但WLAN交換機要獲得推廣應用，還有很長的一段路要走。

原文轉自：http://www.kjueaiud.com