一、引言
隨著無線技術在近年來的飛速發(fā)展,無線網絡已經迅速成為了企業(yè)園區(qū)網中所不可或缺的組成部分。無線網絡的可擴展性、易獲取性等特點讓企業(yè)的日常工作中效率大大得以提升。然而,無線網絡給我們帶來便利的同時,也帶來了一系列管理難題和安全隱患。
目前,企業(yè)所普遍采用的無線網絡架構均屬于傳統(tǒng)方式。在該方式中,無線接入點(Wireless Access Point,下簡稱AP)相互獨立,缺乏統(tǒng)一部署和管理,無線數據流缺少匯聚點,安全策略得不到有效部署。針對上述這些缺點,企業(yè)統(tǒng)一無線網絡架構做出了諸多方面改進,包括AP的管理模式、無線數據流控制等。企業(yè)統(tǒng)一無線網絡架構在延續(xù)了無線網絡優(yōu)勢的同時,更是完善了無線網絡的可管理性、安全性和可用性,使其更高效、安全地為企業(yè)的各類業(yè)務應用提供服務。
二、企業(yè)傳統(tǒng)無線網絡架構
企業(yè)傳統(tǒng)無線網絡架構由四大板塊組成,分別是:無線終端層、無線接入層、有線傳輸層和網絡控制層。在該架構中,AP相互獨立部署于整個企業(yè)的園區(qū)內,用戶的無線數據終端可通過加密信道將數據發(fā)送至AP,由AP再將數據轉發(fā)至有線傳輸層,繼而訪問企業(yè)內部資源或是互聯網資源,詳情可參考圖一。
圖一 企業(yè)傳統(tǒng)無線網絡架構
(一)企業(yè)無線網絡傳統(tǒng)架構數據流
傳統(tǒng)無線網絡架構的確擴展了企業(yè)園區(qū)網絡的覆蓋范圍,實現企業(yè)的各類無線業(yè)務,使得用戶對于應用的獲取更為靈活和方便。在傳統(tǒng)無線網絡架構中,其無線應用的數據流主要以下幾個步驟:
1.用戶的無線終端設備通過加密信道連接至離自己最近的AP,這也是該架構中唯一可以實施安全性的環(huán)節(jié)。
2.無線加密數據傳輸到AP后,由AP負責數據的解密,然后將數據橋接到企業(yè)的有線交換網絡。
3.橋接至有線交換網絡后,無線應用數據流與企業(yè)中的有線數據流完全一致。
(二)企業(yè)無線網絡傳統(tǒng)架構缺點
通過上述圖一所示以及無線數據流模的描述,可以清楚的知道,在傳統(tǒng)無線網絡架構中無線數據流缺少統(tǒng)一的匯聚節(jié)點,存在著諸多缺點:
1.AP缺乏統(tǒng)一部署和管理。在企業(yè)傳統(tǒng)無線網絡架構中,各個AP獨立運行,企業(yè)管理員必須對每個AP進行單獨配置,如此分散式的AP部署模式給管理帶來很大的不方便性。同時,在網絡規(guī)劃中,一般會將無線用戶歸入同一個網段,以便在網絡中做簡單的安全控制。然而,由于AP將部署在企業(yè)園區(qū)中不同的交換設備,為了滿足之前的要求,就不得不將無線網段在所有交換機上互相連通,這樣的部署容易造成地址在整個園區(qū)網中泛洪,顯然這并不符合最佳的網絡設計實踐的要求。
2.網絡安全難以保證。在企業(yè)園區(qū)網中,無線網絡的出現一方面擴大了網絡覆蓋范圍,但另一方面也帶來了更多的安全隱患。由于每個AP獨立運行,因此管理無線網絡的安全性變得十分困難,每個獨立的AP處理其各自的安全策略。無線數據流缺少統(tǒng)一的匯集點,這意味著無法對無線數據流進行集中統(tǒng)一的監(jiān)控,以實現入侵檢測和防范、服務質量、帶寬控制等。同時,用戶無線終端雖然可以與AP之間通過加密信道進行數據傳輸,但由于無線通信環(huán)境的易獲取性和復雜性,黑客可以比較方便地對無線數據進行截取、分析和解密,從而竊取到數據內容。
3.AP間信號重疊,漫游功能欠靈活。在傳統(tǒng)的無線網絡架構中,各個AP獨立運行,相互之間沒有通信機制,因此每個AP都會將功率信號放到最大,這便會使得AP之間的信號重疊區(qū)域可能超過20%,而一般合理的信號重疊區(qū)域應維持在10%左右。然而在重疊區(qū)域的用戶無線終端會出現時斷時續(xù)的現象。此外,由于AP之間相互獨立,當用戶在從AP1的信號范圍移動到AP2時,無線終端需離開AP1范圍即造成信號中斷后再連接AP2的信號,在整個漫游過程中將造成數據包的大量丟失。
通過上述章節(jié),我們簡單回顧了企業(yè)傳統(tǒng)無線網絡架構及數據流,指出該架構的諸多不足之處。那么在接下來的論述中,針對安全和管理的問題,文章引入一種新的架構方式,即企業(yè)統(tǒng)一無線網絡架構,該架構不但可為企業(yè)獲取靈活的無線業(yè)務應用,同時還能保證其可管理性和安全性。
三、企業(yè)統(tǒng)一無線網絡架構
與傳統(tǒng)無線網絡架構一樣,統(tǒng)一無線網絡架構也可分為四大區(qū)域。其中,無線接入層和網絡控制層的設備部署與傳統(tǒng)架構相比存在較大不同:
在網絡控制層中,該架構增加了無線控制器(Wireless LanController,下簡稱WLC)和無線控制系統(tǒng)(Wireless ControlSystem,下簡稱WCS)。WLC主要對AP進行統(tǒng)一集中管理,以實現網絡的安全性和管理的靈活性,是無線網絡統(tǒng)一架構的關鍵設備之一。WCS屬于配套管理系統(tǒng),在該架構中可查看整個無線網絡覆蓋的信號強度和范圍,并能管理連接無線的用戶,查看其身份,IP地址和具體的位置等功能,為統(tǒng)一無線架構的更是增加了靈活方便的元素。
在無線接入層中,該架構部署的AP為輕量級AP(LAP),俗稱“瘦AP”,其意義在于LAP并不需要單獨配置,其配置通過WLC處自動下發(fā)獲取,LAP與WLC之間實現基于LWAPP隧道封裝的通信機制,以確保無線網絡系統(tǒng)的統(tǒng)一性和安全性,詳情可參考圖二。
圖二 企業(yè)統(tǒng)一無線網絡架構
(一)企業(yè)統(tǒng)一無線網絡架構數據流
統(tǒng)一無線網絡架構針對傳統(tǒng)無線網絡架構中的諸多缺點,有了各方面的改進。在論述該架構之前,我們先對該架構中的無線數據流進行必要的描述:
1.用戶無線終端設備通過加密的無線信道接入至附近的LAP。
2.LAP接收到用戶無線終端的數據,以LWAPP協(xié)議在二層通道對數據進行隧道封裝(可參考圖二中的數據流描述),并通過證書方式對WLC進行認證。合法的WLC在通過認證后,LAP才會將封裝后的用戶數據發(fā)送至WLC。此時,LAP不負責對用戶數據進行解密,解密過程由遠端WLC完成。
3.WLC接收到LAP發(fā)送的數據,先對LWAPP隧道進行解封裝,如果數據加密則進行解密,完成后根據原數據包目標地址按路由轉發(fā),同時將原數據包源地址更改為自身設備的出口地址。4.由于WLC在轉發(fā)數據前將原數據包的源地址更改成自身設備的接口地址,因此回包數據將先被統(tǒng)一轉發(fā)至WLC,再由WLC進行LWAPP隧道封裝發(fā)送給相應的LAP,LAP收到數據進行解封裝后發(fā)送至用戶的無線終端設備。其中,加密解密過程分別由WLC和用戶無線終端分別進行,LAP并不參與。
(二)企業(yè)統(tǒng)一無線網絡架構優(yōu)點
根據對該架構數據流的描述,不難發(fā)現企業(yè)統(tǒng)一無線網絡架構的優(yōu)勢主要有以下幾點:
1.統(tǒng)一的AP管理和控制。在該架構中,LAP并非獨立部署于企業(yè)園區(qū)中,它們的配置策略和運行情況由WLC進行統(tǒng)一管理和協(xié)調。接入的LAP會自動同步WLC上的配置文件。在WLC中也能夠管理所有已注冊的合法LAP,當某個LAP發(fā)生故障時,WLC能夠及時針對指定LAP進行排障。這使得管理員對于LAP的部署和管理非常的靈活便捷。
與此同時,由于用戶無線終端與目標應用間的通信被LAP和WLC用LWAPP協(xié)議進行隧道封裝傳送,因此無線用戶可以被設計在同一個網段中而并不需要對整個網絡進行二層的貫通,LAP本身的地址可以與歸屬的二層交換機同一網段。這樣的設計并不會對企業(yè)園區(qū)網造成地址泛洪的影響,是比較優(yōu)化的網絡設計實踐。
2.網絡安全性有保障。在傳統(tǒng)無線網絡架構中,無線數據流缺少集中的匯聚點,這導致安全策略難以集中統(tǒng)一部署。然而在該架構中的無線數據流在WLC處有統(tǒng)一的匯聚點。在該匯聚點上,管理員可統(tǒng)一實施相應的安全策略,如認證授權、防入侵檢測、服務質量控制等一系列的管理功能,這將大大提升無線網絡的自身的安全性。同時,在此架構中,無線數據的加密解密分別由用戶的無線終端與WLC之相互交替進行,并且在整個傳輸過程中都是被隧道封裝在LWAPP隧道中,這使得黑客比較難以從中通過對數據包的監(jiān)聽到而實施破解,也從另一個方面加強了無線數據的安全性。
3.支持靈活漫游機制。在該架構中,利用WLC的功能,LAP之間存在信號的交互,也可自動收斂信號,使得信號重疊的區(qū)域始終維持在10%左右,從而保證最佳的無線通信環(huán)境。WLC還可自動為每個LAP分配信道。以避免各個LAP之間使用相同的信道而產生沖突。同時,用戶在移動過程中可實現在LAP之間的自動切換漫游機制,最大程度提升無線通信的效率。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文網址:http://www.lukmueng.com/html/consultation/1083943750.html
相關文章
