分割式MAC架構(gòu)構(gòu)建企業(yè)級(jí)無(wú)線局域網(wǎng)

2019-11-05 02:35:32

字體：大中小

供稿：網(wǎng)友

　　為滿足WLAN網(wǎng)絡(luò)的實(shí)時(shí)要求，設(shè)計(jì)者可以參考本文介紹的一種分割式媒體存取控制(MAC)架構(gòu)，以便在接入點(diǎn)和中心交換機(jī)之間分配MAC處理任務(wù)，并可極大地提高WLAN系統(tǒng)治理無(wú)線資源的能力和安全性。
　　
　　WLAN可提高企業(yè)網(wǎng)絡(luò)的效率，并降低網(wǎng)絡(luò)部署和運(yùn)營(yíng)總成本。但是，無(wú)線網(wǎng)絡(luò)同時(shí)也為網(wǎng)絡(luò)治理者帶來了治理和安全方面的挑戰(zhàn)。成功部署無(wú)線網(wǎng)絡(luò)的要害在于IT經(jīng)理能夠獲得無(wú)線域的控制權(quán)，就和控制有線網(wǎng)絡(luò)一樣。
　　
　　有線網(wǎng)絡(luò)依靠用戶認(rèn)證和對(duì)網(wǎng)絡(luò)的物理訪問來實(shí)現(xiàn)接入，而無(wú)線網(wǎng)絡(luò)則需要強(qiáng)大的認(rèn)證和加密手段。由于無(wú)線域是動(dòng)態(tài)的，隨時(shí)都在變化，無(wú)線網(wǎng)絡(luò)在運(yùn)營(yíng)方面也是一個(gè)挑戰(zhàn)。無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)商要想部署運(yùn)營(yíng)級(jí)的無(wú)線網(wǎng)絡(luò)，就必須克服這些難題。
　　
　　無(wú)線網(wǎng)絡(luò)的一個(gè)要害設(shè)計(jì)和部署原則就是監(jiān)視、控制和指配功能的集中化。實(shí)踐證實(shí)，集中化是對(duì)大量網(wǎng)絡(luò)設(shè)備制定和實(shí)施統(tǒng)一政策的最佳方式，無(wú)論這些設(shè)備集中于同一物理地點(diǎn)還是分散在不同的地理區(qū)域。
　　
　　一個(gè)集中式WLAN架構(gòu)要想卓有成效，相關(guān)的信息必須不斷地饋送給治理該網(wǎng)絡(luò)的中心設(shè)備(如WLAN交換機(jī)/設(shè)備)。假如沒有整體、精確及更新速度達(dá)到毫秒級(jí)的無(wú)線環(huán)境狀態(tài)信息，中心設(shè)備就無(wú)法做出準(zhǔn)確的決策。與此同時(shí)，假如中心控制器參與所有的接入點(diǎn)操作，它可能會(huì)影響那些對(duì)時(shí)序非凡敏感的功能。因此，必須在其中尋求一種平衡。
　　
　　解決集中化架構(gòu)平衡問題的一個(gè)方案是提供一個(gè)全新的802.11服務(wù)傳送設(shè)計(jì)，在兩種設(shè)備(即AP和中心WLAN交換機(jī)/設(shè)備)之間將802.11 MAC層的處理任務(wù)進(jìn)行分割。下面我們將具體探討這種MAC分割方法以及它對(duì)WLAN架構(gòu)的益處。
　　
　　構(gòu)建企業(yè)級(jí)的WLAN
　　
　　傳統(tǒng)的WLAN由無(wú)數(shù)單獨(dú)的AP組成，它們產(chǎn)生了很多獨(dú)立、自治的RF域，而這些RF域又都是獨(dú)自治理的。這很像最初的蜂窩網(wǎng)絡(luò)，每個(gè)單獨(dú)的無(wú)線接收和發(fā)送塔治理它們各自的域。同樣地，在獨(dú)立的802.11網(wǎng)絡(luò)中，所有MAC處理任務(wù)都由AP自己執(zhí)行。例如，一個(gè)AP可執(zhí)行：
　　
　　* 終止802.11數(shù)據(jù)和治理協(xié)議(注重：很多治理任務(wù)來自交換機(jī)/某設(shè)備)；
　　* 在網(wǎng)絡(luò)的有線和無(wú)線部分之間轉(zhuǎn)換數(shù)據(jù)；
　　* 維護(hù)有關(guān)客戶端和無(wú)線環(huán)境的統(tǒng)計(jì)信息；
　　
　　在單個(gè)無(wú)線節(jié)點(diǎn)內(nèi)維護(hù)信息使得很難創(chuàng)建一個(gè)統(tǒng)一的網(wǎng)絡(luò)以為每個(gè)用戶群提供穩(wěn)定的網(wǎng)絡(luò)性能、高性能漫游，以及不管用戶位置都能確保政策的一致性。最后，將每個(gè)接入點(diǎn)作為單獨(dú)的RF域來治理對(duì)IT治理人員來說是困難的，隨著無(wú)線網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)充尤其如此。
　　
　　集中式WLAN架構(gòu)克服了以上缺陷，它可將系統(tǒng)范圍的信息集中到單個(gè)交換機(jī)/某設(shè)備中，或集中到多個(gè)協(xié)調(diào)工作的交換機(jī)/設(shè)備中。然而，大部分方案都是將所有功能集中到一個(gè)中心設(shè)備，這意味著各種任務(wù)和處理都發(fā)生在該交換機(jī)或設(shè)備內(nèi)，包括流量轉(zhuǎn)發(fā)、加密、服務(wù)質(zhì)量(QoS)，以及政策創(chuàng)建和治理。在這種架構(gòu)中，AP只是一個(gè)無(wú)線收發(fā)天線，在802.11或其它數(shù)據(jù)包處理中不起任何作用。這種架構(gòu)存在的問題是，所有處理決策都由中心設(shè)備決定，它能否處理好實(shí)時(shí)應(yīng)用？
　　
　　采用分割式MAC的WLAN系統(tǒng)可以解決以上問題，它在AP和WLAN交換機(jī)或控制器之間將802.11數(shù)據(jù)和治理協(xié)議的處理任務(wù)及接入點(diǎn)功能分割開(見圖1)。
　　

　　　　　　　　　　　　圖1：典型的分割式MAC架構(gòu)示意圖。
　　
　　
　　通過這種MAC分離方法，AP只處理有實(shí)時(shí)要求的協(xié)議部分，如信標(biāo)幀的發(fā)送、響應(yīng)來自客戶端的“探查請(qǐng)求(PRobe Requests)”幀、為交換機(jī)或控制器提供實(shí)時(shí)信號(hào)質(zhì)量信息、監(jiān)視其他AP的出現(xiàn)以及第二層加密等。
　　
　　所有其它功能都由WLAN交換機(jī)/設(shè)備處理，因?yàn)樗鼈儗?duì)時(shí)間不敏感，而且對(duì)系統(tǒng)范圍的可見度有要求。WLAN控制器所提供的一些MAC層功能包括：802.11認(rèn)證、802.11關(guān)聯(lián)和再關(guān)聯(lián)(移動(dòng)性)、802.11幀轉(zhuǎn)換和橋接等。
　　
　　將802.11治理協(xié)議、幀轉(zhuǎn)換和橋接功能集中到中心交換機(jī)/設(shè)備中，可實(shí)現(xiàn)收集控制器所需的特定信息，以便在系統(tǒng)范圍內(nèi)進(jìn)行治理，如網(wǎng)絡(luò)RF信息，或者第二層和第三層客戶端無(wú)縫漫游。
　　
　　智能RF治理
　　
　　分割式MAC架構(gòu)可極大地提高WLAN系統(tǒng)治理無(wú)線資源的能力。在AP中提供監(jiān)控功能就可實(shí)時(shí)檢測(cè)RF的變化(如接收信號(hào)強(qiáng)度、信號(hào)質(zhì)量、信道分配和噪聲等)。這些信息隨后被饋送到集中式WLAN控制器，以便為優(yōu)化WLAN性能提供決策支持。例如，單個(gè)WLAN交換機(jī)或設(shè)備就可在整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)動(dòng)態(tài)分配信道、分配帶寬，并控制AP傳輸功率。
　　
　　成功的RF治理需要一個(gè)“全盤的”方法。假如信息只駐留在AP內(nèi)，有關(guān)設(shè)備的RF治理決策實(shí)際上可能對(duì)整個(gè)WLAN系統(tǒng)造成不利影響。例如，減少AP的傳輸功率可能引起其它地方的覆蓋范圍漏洞。同樣地，提高傳輸功率可能會(huì)引起干擾。
　　
　　此外，只有針對(duì)整個(gè)系統(tǒng)范圍的方法才能復(fù)用信道以避免網(wǎng)絡(luò)一個(gè)部分的噪聲和干擾。假如RF治理決策由單個(gè)AP做出，那么有問題的信道就可能被徹底放棄，而在某些情況下使用部分信道對(duì)整體網(wǎng)絡(luò)性能是有益的。通過創(chuàng)建一個(gè)集中式的RF治理“權(quán)威”，分割式MAC架構(gòu)就可實(shí)時(shí)地解決實(shí)際運(yùn)行問題
　　
　　實(shí)時(shí)負(fù)載均衡
　　
　　傳統(tǒng)WLAN一般采用以下兩種方法中的一種處理移動(dòng)性：
　　
　　1．AP之間以對(duì)等方式相互交流負(fù)載信息，“最好的”AP負(fù)責(zé)對(duì)客戶端請(qǐng)求做出響應(yīng)。
　　
　　2．AP直接將負(fù)載信息廣播給那些負(fù)責(zé)自主決策的客戶端。
　　
　　這兩種方法都有明顯的缺陷。第一種方法會(huì)增加WLAN的流量，從而消耗帶寬及增加延遲。假如AP在共享信息時(shí)出現(xiàn)延遲，可能會(huì)做出不準(zhǔn)確的負(fù)載均衡決策，或者對(duì)時(shí)間敏感的流量可能遭遇性能問題。此外，這種方法是在理想狀況下做出決策的，忽略了安全性、QoS、用戶移動(dòng)模式以及其它可在系統(tǒng)范圍基礎(chǔ)上做出更準(zhǔn)確決策的有用參數(shù)。
　　
　　第二種方法也會(huì)引發(fā)很多同樣的問題，因?yàn)榭蛻舳怂幚淼囊话愣际顷惻f的信息，它們并不相互溝通以便收集整個(gè)系統(tǒng)范圍的信息。由于一個(gè)WLAN上可能有數(shù)百個(gè)、甚至數(shù)千個(gè)客戶端設(shè)備，這種方法會(huì)造成嚴(yán)重的治理負(fù)擔(dān)及可伸縮性挑戰(zhàn)。此外，客戶端還可能被欺騙，引起拒絕服務(wù)等無(wú)線網(wǎng)絡(luò)攻擊的潛在危機(jī)。
　　
　　所提議的分割式MAC架構(gòu)可以解決這些問題，為性能優(yōu)化提供有效、系統(tǒng)范圍的負(fù)載均衡。其工作原理如下：
　　
　　1．很多客戶端偶然發(fā)送“探查請(qǐng)求”以確定四周是否有強(qiáng)信號(hào)的AP可以提供適當(dāng)?shù)姆?wù)。對(duì)客戶端做出響應(yīng)的AP提供它們所工作的信道信息，以及可用的個(gè)別WLAN信息(比如SSID)。AP還向WLAN交換機(jī)或設(shè)備發(fā)送一個(gè)通知，以指明發(fā)送“探查請(qǐng)求”的客戶端身份，還包括所接收信號(hào)質(zhì)量的信息。該信息可用于安全性功能及客戶端連接性。
　　
　　2． WLAN控制器利用這一信息，以及來自其它AP的類似信息，來確定每個(gè)AP與特定客戶端通信的可靠性。利用以上這些信息，以及跟每個(gè)AP關(guān)聯(lián)的客戶端數(shù)量及每個(gè)AP的總負(fù)載信息，WLAN交換機(jī)或設(shè)備就可以選擇特定客戶端應(yīng)該與之通信的最佳AP。WLAN控制器采用802.11治理協(xié)議的現(xiàn)有方法，鼓勵(lì)客戶端盡可能與最合適的AP通信。
　　
　　負(fù)載均衡通過采用分割MAC方法實(shí)現(xiàn)了優(yōu)化，因?yàn)榧惺絎LAN交換機(jī)和設(shè)備擁有每個(gè)AP的具體信息，從而讓系統(tǒng)做出快速、智能的決策。通過讓AP自己處理探查請(qǐng)求，WLAN系統(tǒng)可確保均衡負(fù)載時(shí)的延遲最小，并可為移動(dòng)用戶帶來實(shí)時(shí)的性能體驗(yàn)。
　　
　　實(shí)時(shí)流量處理
　　
　　為了支持語(yǔ)音等實(shí)時(shí)的下行流量(來自有線網(wǎng)絡(luò))，WLAN系統(tǒng)必須將數(shù)據(jù)包區(qū)分開來，并根據(jù)特定的規(guī)則處理這些數(shù)據(jù)包。數(shù)據(jù)包分類最好由集中式WLAN控制器來處理，因?yàn)樗蓱?yīng)用與不同QoS標(biāo)準(zhǔn)相關(guān)的系統(tǒng)范圍規(guī)則，包括來源、目的地、協(xié)議類型、VLAN ID、DHCP、優(yōu)先級(jí)或這些特征的任意組合。分類后，數(shù)據(jù)包就被分派相應(yīng)的優(yōu)先級(jí)、帶寬及數(shù)據(jù)包丟棄特征，以便獲得優(yōu)化的系統(tǒng)性能。
　　

　分割式MAC架構(gòu)構(gòu)建企業(yè)級(jí)無(wú)線局域網(wǎng)

　　　　圖2：分割式MAC架構(gòu)很輕易檢測(cè)并阻止WLAN網(wǎng)絡(luò)內(nèi)的欺騙性AP。
　　　　　　　　　　　　
　　在分割式MAC架構(gòu)中，AP包含獨(dú)立的硬件隊(duì)列，這些隊(duì)列可用于為數(shù)據(jù)包的無(wú)線傳輸排出優(yōu)先順序。訪問RF網(wǎng)絡(luò)是基于由WLAN交換機(jī)/設(shè)備確定的QoS參數(shù)。在這一方面，IT治理人員可以集中控制和配置QoS政策，并在AP端本地強(qiáng)制實(shí)施以優(yōu)化WLAN性能。
　　
　　分割式MAC架構(gòu)還為IEEE新興的QoS標(biāo)準(zhǔn)802.11e鋪平了道路，因?yàn)樗梢栽贏P上提供第二層加密功能。這樣可讓AP對(duì)每個(gè)數(shù)據(jù)包都了如指掌，從而隨時(shí)做出合理的資源調(diào)度決策。
　　
　　其次，當(dāng)AP處理加密時(shí)，它可以更好地支持802.11e標(biāo)準(zhǔn)的動(dòng)態(tài)分割功能。這是指，當(dāng)沒有足夠的可用時(shí)間來傳送整個(gè)數(shù)據(jù)包時(shí)，每個(gè)AP可以將數(shù)據(jù)包分割開來。假如加密被集中在WLAN控制器中，WLAN系統(tǒng)就可能遭遇延遲，影響動(dòng)態(tài)分割特性的效率。因此，分割式MAC架構(gòu)非凡適用于未來的802.11e環(huán)境。
　　
　　安全性問題
　　
　　通過分割A(yù)P和WLAN交換機(jī)或設(shè)備之間的協(xié)議和AP功能處理可以增強(qiáng)移動(dòng)性。同樣地，安全性也可以得到加強(qiáng)。當(dāng)每個(gè)數(shù)據(jù)包都是由集中式WLAN控制器處理時(shí)，復(fù)雜的安全策略可以應(yīng)用，無(wú)論AP與哪一個(gè)客戶端相關(guān)聯(lián)。安全性政策包括：
　　
　　1．第二層加密(如WEP、WPA和802.11i)，或者第三層加密(ipSec)；
　　2．用戶身份認(rèn)證(如802.1x、XAUTH或網(wǎng)站登錄)；
　　3．具體的訪問控制清單(ACL)，以便將網(wǎng)絡(luò)訪問限定于某個(gè)用戶或用戶群；
　　4．動(dòng)態(tài)VLAN分配。
　　
　　所有這些安全增強(qiáng)特性都是可能的，因?yàn)?02.11功能是在AP和集中的WLAN交換機(jī)或設(shè)備間分開的。這種分割可讓交換機(jī)/設(shè)備、接入點(diǎn)有機(jī)會(huì)檢測(cè)和處理每一個(gè)來自或發(fā)向WLAN的數(shù)據(jù)包，并做出相應(yīng)的處理

上一篇：IEEE802.11無(wú)線局域網(wǎng)研究及發(fā)展報(bào)告（2）

下一篇：搭建遠(yuǎn)距離樓宇無(wú)線局域網(wǎng)方案