本文將通過詳細剖析WLAN的網絡架構和AP、控制器的功能，闡明WLAN交換機和控制器的作用。本文還將介紹控制器到AP之間接口的不同功能。之后，本文將說明集中式架構中與第二/三層移動有關的變量，最終還將指出關于這些架構的一些常見錯誤觀點和實際情況。

　　本文用無線終端（WTP）一詞來泛指AP，用接入控制器（AC）一詞來泛指WLAN控制功能（無論是部署在WLAN交換機還是獨立控制器上）。

WLAN交換機能夠通過有線連接（借助一個交換機端口）連接到WLAN接入點（AP）。它們還能通過它們的其他交換機端口連接到企業網絡。這些交換機是連接到企業有線網絡的“網關”――所有來自于WLAN客戶端的數據幀都必須通過WLAN交換機發送到企業網絡。

　　要理解WLAN交換機的功能及其在網絡中的應用，首先需要了解WLAN的網絡架構和接入點的功能。我們可以將WLAN交換機視為控制設備，將AP視為無線終端。

　　WLAN網絡的主要架構

　　常見的WLAN網絡架構主要有三種：

　　1. 自治式架構

　　2. 集中式架構

　　3. 分布式架構

　　下面幾節將深入地介紹這三種架構。

　　自治式架構

　　在自治式架構中，WTP完全部署和端接802.11功能。因此，有線局域網上的數據幀全部都是802.3幀。每個WTP都可以作為網絡上的一個單獨的網絡實體，進行獨立的管理。這種網絡中的接入點通常被稱為“胖AP”（參見圖1）。

圖1. 自治式WLAN網絡中的胖AP

　　在WLAN部署的發展初期，大部分AP都是自治式AP，可以作為獨立的網絡實體進行管理。在過去幾年中，采用AC和WTP的集中式架構（詳見下文）開始受到越來越廣泛的關注。集中式架構的主要優勢在于，對于企業中的多個WTP，它能為網絡管理員提供一種結構化的、層次化的控制模式。

　　集中式架構是一種層次化的架構，包括一個負責配置、控制和管理多個WTP的WLAN控制器。WLAN控制器也被稱為接入控制器（AC）。802.11功能由WTP和AC共同承擔。與自治式架構相比，這種模式中的WTP的功能有所減弱，因此它們又被稱為“瘦AP”。AP上的部分功能是可變的，詳見下一節的介紹（參見圖2）。

圖2 集中式WLAN網絡架構中的瘦AP

　　分布式架構

　　在分布式架構中，不同的WTP通過有線或者無線連接，與其他WTP建立起分布式網絡。一個由WTP組成的網狀網就是這種架構的典型例子。網狀網中的WTP可以與802.11鏈路或者有線802.3鏈路相連接。這種架構通常用在城市網絡和其他需要“室外”組件的部署之中。分布式架構不屬于本文的討論范圍。

　　WTP功能――胖、瘦和適中AP

　　要理解自治式和集中式架構，首先需要分析AP所執行的功能。我們首先從胖AP開始談起，它構成了自治式架構的核心。之后我們將介紹瘦AP，它是基于WLAN交換機或者控制器的集中式架構的重要組成部分。本文隨后將介紹一種名為“適中AP”的新型組件的功能。它是一種專門針對集中式架構進行了優化的AP.

　　胖接入點

　　圖1顯示了一個采用胖接入點的自治式網絡。AP是網絡中的一個可以尋址的節點，在其接口上具有自己的IP地址。它能在有線和無線接口之間轉發流量。它還可以擁有多個有線接口，在不同的有線接口之間轉發流量――類似于一臺第二層或者第三層交換機。與企業有線網絡的連接能通過一個第二層或者第三層網絡實現。

　　值得注意的一點是，胖AP不會通過隧道向其他設備“返回”流量。這個特點非常重要，本文在介紹其他AP類型時還將提及這一點。另外，胖AP能提供“類似于路由器”的功能，例如動態主機配置協議（DHCP）服務器功能。

　　AP的管理是通過一種協議（例如簡單網絡管理協議[SNMP]，或者用于Web管理的超文本傳輸協議[HTTP]）和一個命令行接口進行的。為了管理多個AP，網絡管理員必須通過這些管理機制之一連接每個AP.每個AP在網絡拓撲圖上都顯示為一個單獨的節點。任何用于管理、控制的節點匯聚都必須在網絡管理系統（NMS）級別完成，這包括開發一個NMS應用。

　　胖AP還增強了多種功能，例如準許對特定WLAN客戶端的流量進行過濾的訪問控制列表（ACL）。這些設備的另外一個重要的功能是對與服務質量（QoS）有關的功能的配置和實施。例如，來自特定移動基站的流量可能需要高于其他流量的優先級?；蛘?，您可能需要為來自于移動基站的流量插入和實施 IEEE 802.1p優先級，或者差分服務代碼點（DSCP）?？偠灾?，因為這些AP能夠提供交換機或者路由器的很多功能，它們可以在一定程度上充當交換機或者路由器。

　　這種AP的不足在于復雜性。胖AP通常建立在功能強大的硬件的基礎上，需要復雜的軟件。因為比較復雜，這些設備的安裝和維護成本很高。盡管如此，這些設備在小型網絡中也能發揮一定的作用。

　　有些胖AP在后端針對控制和管理功能采用了一個控制器。這些控制器會形成胖AP的一個略微簡化的版本――即所謂的“適中AP”，下文將詳細加以介紹。

　　顧名思義，瘦AP的目的是降低AP的復雜性。對其進行簡化的一個重要原因是AP的位置。很多企業都對AP采用了高密度安裝的方式（因為分布在一些很難進入的區域），以便為每個基站提供最佳的射頻連接。在倉庫等特殊環境中，這種現象表現得更加明顯。由于這些原因，網絡管理人員希望只安裝一次AP，而不需要對其進行復雜的維護。

　　瘦AP通常又被稱為“智能天線”，它們的主要功能是接收和發送無線流量。它們會將無線數據幀發回到一個控制器，然后對這些數據幀進行處理，再交換到有線WLAN（參見圖2）。

　　這種AP使用了一個（通常是加密的）隧道來將無線流量發回到控制器。最基本的瘦AP甚至不進行WLAN加密，例如有線等效加密（WEP）或者 WiFi受保護接入（WPA/WPA2）。這種加密由控制器完成――AP只負責發送或者接收經過加密的無線數據幀，從而保持AP的簡便性，避免升級其硬件或者軟件的必要性。

　　WPA2的面世使得在控制器上進行加密變成了一項非常迫切的任務。雖然WPA在硬件上與WEP兼容，只需要進行固件升級，但是WPA2并不向后兼容。網絡管理人員不需要更換整個企業的AP，而是只需要將無線流量發送到能夠進行WPA2解密的控制器，之后數據幀將會被發送到有線局域網。

　　在AP和控制器之間傳輸控制和數據流量的協議是專用的。而且，無法在第二/三層，將AP作為一個統一的實體加以管理――它可能通過控制器進行管理，而NMS能通過HTTP、SNMP或者CLI/Telnet與控制器進行通信。一個控制器可以管理和控制多個AP，這意味著控制器應當基于功能強大的硬件，并且通常能夠執行交換和路由功能。另外一個重要的要求是，AP和AC之間的連接和隧道應當確保這兩個實體之間的分組延時保持在很低的水平。

　　對于瘦AP而言，QoS的執行和基于ACL的過濾都是由控制器處理的――這并不會導致問題，因為所有來自AP的數據幀在任何情況下都必須經由控制器傳輸。ACL和QoS的集中控制功能也并不罕見――使用胖AP的網絡也采用了這種方式。這種安裝方式將控制器作為管理從AP到有線網絡的流量的網關。但是，瘦AP的控制器功能采用了一種新的方式，尤其是在數據層面和轉發功能方面?？刂破鞴δ鼙患傻竭B接無線和有線局域網的以太網交換機之中――這催生了稱為“WLAN交換機”的設備系列。

　　在這種情況下，無線MAC架構被稱為遠程MAC架構。整套802.11 MAC功能都被轉移到WLAN控制器上，包括對延時敏感的MAC功能。

　　適中接入點

　　適中AP也在得到越來越廣泛的歡迎，因為它們結合了胖AP和瘦AP的優點。適中AP能夠在提供無線加密功能的同時，利用AC進行實際的密鑰交換。這種方式被用于使用最新的、支持WPA2的無線芯片組的新型AP.管理和策略功能由通過隧道連接到多個AP的控制器執行。

　　而且，適中AP還提供了一些額外的功能，例如讓基站能通過DHCP獲得IP地址的DHCP中繼功能。另外，適中AP能夠執行基于服務集標識符（SSID）的VLAN標記功能，讓客戶端可以與AP建立關聯（在AP支持多個SSID的情況下）。

　　適中AP支持兩種類型的MAC部署，即本地MAC和分離MAC架構。本地MAC指的是所有無線MAC功能都在AP執行。完整802.11 MAC功能（包括管理和控制幀的處理）都由AP執行。這些功能包括一些對時間敏感的功能（也被稱為實時MAC功能）。

　　分離MAC架構會在AP和控制器之間分配MAC功能。實時MAC功能包括信標生成，檢測信號傳輸和響應，控制幀處理（例如Request to Send和Clear to Send，即RTS和CTS），重新傳輸等。非實時功能包括身份驗證和解除驗證；關聯和重新關聯；以太網和無線局域網之間的橋接；以及分段等。

　　不同供應商的產品在AP和控制器之間分配功能的方式有所不同。在某些情況下，甚至它們對實時的定義也有所不同。一種常見的適中AP實施包括AP的本地MAC，以及AP的管理和控制功能。

　　集中式WLAN架構的下一個關鍵組件是接入控制器（AC）。在下文中，我們認為控制器功能部署在一臺WLAN交換機上，并將該功能稱為AC.我們還用“WTP”一詞指代AP（包括胖、瘦或者適中）。

　　IETF的無線接入點的控制和配置（CAPWAP）工作小組正在定義AP及其所控制的WTP之間的接口和協議。本節將用CAPWAP框架來詳細介紹AC和WTP之間的接口。[3，4，5]

　　圖3顯示了一個包含多個AC和WTP的企業網絡。WTP能通過一個第二層（交換）或者第三層（路由）網絡連接到AC.WTP和AC之間的接口負責下列功能：

　　* 通過WTP發現和選擇一個AC

　　* 通過AC將固件下載到WTP――在啟動和WTP觸發之后

　　* WTP和AC之間的功能協商

　　* WTP和AC之間的雙向身份驗證

　　* WTP和AC之間的配置、狀態和統計數據交換

　　* 有線和無線網段之間的QoS映射

圖3 ：使用多個AC、WTP和CAPWAP協議的集中式WLAN架構

　　園區網絡和互聯網

　　WLAN交換機/接入控制器（AC）

　　第二/三層網絡 AC和WTP之間的、用于配置和控制的CAPWAP協議

　　第二/三層網絡

　　無線網絡上的802.11幀 無線局域網端接點（WTP）

　　另外，盡管CAPWAP并沒有明確定義所有細節，但是AC可以通過配置和監控它所控制的區域中的不同接入點，執行無線資源管理（RRM）和惡意 AP檢測等功能。這些功能的范圍會因為供應商部署方式的不同而有所不同。AC提供的另外一項重要功能是移動管理。以下章節將在CAPWAP的基礎上，提供更多關于這些功能的細節。請注意，截止到本文撰寫時為止，IETF仍然在制定基于思科輕型接入點協議（LWAPP）的CAPWAP協議（2006年3 月）。

　　WTP可以通過發現請求消息，發現可供連接的AC.一個或者多個AC（根據網絡拓撲的不同）會響應這些請求消息。AC和WTP之間的通信是通過用戶數據報協議（UDP）進行的。WTP會決定連接哪一個AC，再試圖與該AC建立一個安全的會話。后續的CAWAP分組將通過安全會話發送。

　　接著，AC和WTP之間會進行配置交換。這些交換包括：

　　* IEEE SSID

　　* 安全參數（用于WEP、WPA和WPA2）

　　* 廣播的數據速率（11或者54Mbps）

　　* 需要使用的無線通道

　　CAPWAP功能

　　CAPWAP控制消息包括下列消息類型：

　　* 發現

　　* WTP配置－用于向WTP發布一個特定的配置，以及從WTP獲取統計信息；統計信息包括下列信息：

　　* 分段數據幀的個數，以及發送、接收的組播數據幀的個數

　　* 發送重試的次數，過度重試的次數（失敗次數）

　　* 成功發送和失敗的發送請求（RTS）的個數

　　* 出錯數據幀的個數：重復數據幀，錯誤確認，解密錯誤，幀檢查序列（FCS）錯誤數等

　　配置包括信標期限、最大發送功率等級、正交頻分多路復用（OFDM）控制、天線控制、支持速率、QoS和加密等。

　　* 移動會話管理－向WTP發布特定的移動策略

　　AC能添加關于特定移動設備的策略信息，包括WTP應當為該移動設備使用的安全參數。它可能包括WTP是否應當為該移動設備轉發或者丟棄流量。

　　* 固件管理――用于向WTP發布特定的固件鏡像。

　　AC和WTP交互

　　WTP能提供多種信息，例如硬件、軟件或者引導版本；最大無線頻段數；當前使用的無線頻段；加密功能；無線頻段類型（802.11b/g/a/n）；MAC類型（本地、分離或者兩者皆有）；隧道模式；以及AC和WTP之間的幀類型（例如，本地橋接或者自帶橋接――即將所有用戶載荷封裝為原始無線幀）。

　　AC信息包括硬件或者軟件版本，目前與AC關聯的移動基站的個數，目前連接到AC的WTP個數，所有這些設備的最大數量，AC和WTP之間的安全參數（身份驗證證書），控制IPv4或者IPv6地址等。

　　因為WTP屬于“適中AP”，它們還能配置一個來自AC的IP地址。另外一個可供配置的參數是MAC地址級別的ACL.

　　隨時可以通過AC重啟（重新設定）WTP.WTP能獨立地通過一個鏡像數據請求來索取一個新的鏡像，之后接收鏡像數據響應和鏡像數據本身。

　　在WTP確定需要向AC發送重要的信息時，WTP會發出事件。這些信息可能包括用于從WTP向AC發送調試信息的數據傳輸消息。

　　無線資源管理是一個通用詞匯，用以描述在AP上對無線頻段的控制和配置?？刂频念愋桶ㄗ詣拥鼗蛘吒鶕脩舻妮斎虢档秃吞岣邚姸权D―例如，如果由一個AC控制的兩個WTP互相干擾，那么AC會向其中一個AP發送一個信號，降低它的強度。它還可以根據用戶的配置執行該操作。

　　有些WTP還被設置為能夠充當“無線監視器”；即它們能在不發送數據時監控通道。人們目前對于這種WTP使用模式的有效性還存有一定的爭議―― 有些供應商使用專門的無線監視器，而不是讓它們的WTP承擔雙重職能。在使用專用無線監視器的情況下，無需擔心降低客戶基站服務質量的降低，就能掃描和監視所有通道。

　　無線監視器能將所有與其他接入點有關的信息轉發到AC.AC能夠判斷信息針對的是一個有效的WTP（即的確存在于網絡之上，并且已經注冊到AC），還是一個“惡意”接入點。如果針對的是一個惡意接入點，AC可以執行多個步驟，防止客戶端連接到該AP――例如，它可以命令無線監視器通過提高同一個通道上的發射功率，“阻止”這個惡意AP.

　　移動管理

　　移動管理可以采取兩種形式――第二層和第三層移動。假設一個客戶端從一個WTP移動到另外一個WTP――當一個使用筆記本電腦的用戶在同一棟大樓的兩個會議室之間移動時，可能會發生這種情況?？蛻艋緯匦玛P聯新的WTP，之后進行身份驗證。請注意，在它與新的AP“建立起” 關聯之前，它與原先的AP的關聯會被“中斷”；因此WLAN中的切換被稱為“先中斷，后建立”。雖然這種方式可能導致潛在的流量中斷（和重新傳輸），但是它仍然優于“先建立，后中斷”（用于蜂窩網絡的通信），可以保持客戶端無線連接的簡便和廉價。

　　理解第二層和第三層移動的方法之一是將第二層移動視為在受同一個AC控制的（即隸屬于同一個第三層網絡）AP之間的移動，而第三層移動則是在受不同AC控制的AP之間的移動。

　　第二層移動網絡管理

　　第二層移動意味著當基站從一個WTP移動到另外一個時，IP尋址能力不會受到影響，這意味著所有的AP都位于同一個第二層網絡上，即它們都連接到同一個AC（參見圖4）。為了防止發送第二層客戶端的數據丟失，WLAN交換機現在必須將客戶端數據轉發到新的WTP.在客戶端關聯之后，新的WTP會發出一個以太網幀到AC，并將客戶端的MAC地址作為源地址。交換機現在能將客戶端的MAC地址關聯到連接新WTP的端口。

　　雖然這種流程適用于AP和AC之間的第二層（交換網絡）連接，但是在它們之間使用隧道連接時，需要一種略有不同的方法。AC會在從新的WTP收到MAC幀之后，將客戶端的映射轉移到一個不同的隧道（即一個虛擬端口）。

　　第二層切換的另外一個需要考慮的問題是WTP的數據緩存。在正常情況下，交換機或者AC在從新的WTP收到信息之前不會意識到切換的必要性。但是，如果WTP具有增強的統計信息，它就可以判定某個特定的客戶端已經從原先的WTP移出，從而停止向原先的WTP轉發數據。這些統計信息可能包括：無線鏈路上的載波偵聽多點接入/沖突避免（CSMA/CA）MAC層協議的最大重試次數。交換機并不需要緩存數據，因為它并不清楚什么時候需要切換到新的 WTP.這種方式有助于避免在原有WTP和AC之間的鏈路上浪費流量。

　　有些供應商借助胖AP，為解決這個問題采取了一種不同的方法。根據這種方法，AP會在從交換機收到一個表明客戶端已經轉移到另一個交換機端口的數據幀之前，一直緩存流量。這些AP能將緩存的流量發送到交換機，再由交換機轉發流量到新的WTP.因為我們的目的是降低WTP的復雜性，這種方法在集中式AC+WTP架構中顯然不是首選的方法。

　　第二層漫游的另一個重要特點是需要在新的WTP上進行預先身份驗證。通過802.11i，客戶端可以針對相鄰WTP進行預先身份驗證，以使得向不同WTP的漫游不需要經歷冗長的身份驗證流程，即不需要向新WTP發送雙主密鑰（PMK）。（但是仍然需要獲得雙過渡密鑰[PTK].）

　　當AC為某個特定客戶端保持PMK時（通過與一個RADIUS服務器的交互），該流程將自動進行――即AC將針對客戶端的PMK發送到新的WTP.802.11幀的加密仍然利用新的PTK，由原有的和新的WTP完成。

　　移動IP解決了第三層移動所存在的問題[6].我們在這里并不打算討論移動IP的具體細節，但是需要指出的是，它包含三個不同的組件?？蛻舳吮镜鼐W絡上的本地代理（HA）負責客戶端的地址。所有發送客戶端的（不變）IP地址的分組都被發送到本地代理。如果客戶端位于本地網絡上，HA會直接將分組轉發到客戶端。如果它位于一個外部網絡或者受訪網絡上，HA會將分組轉發到一個位于受訪網絡上的外部代理（FA）。

　　為此，它必須設置一個指向FA的隧道――這通常是一個通用路由封裝（GRE）或者IP-in-IP隧道。

　　在從隧道中分離出原始分組之后，FA負責將該分組轉發到客戶端。這只是大概的描述，實際上其中涉及到大量其他的步驟。在無線局域網中，實現第三層客戶端移動的關鍵在于移動IP終端所在的位置。有些客戶基站包括一個針對MIP客戶端的軟件堆棧。

　　 這種客戶端MIP（CMIP）軟件會：

　　* 分離分組中的MIP報頭

　　* 插入一個新的報頭，讓客戶端的高層應用確信該分組是發往該客戶端在外部網絡上的IP地址的

　　*

　　CMIP方法是部署MIP的推薦方法。但是它的不足在于，必須為網絡中的每個移動基站添加一個MIP客戶端――在存在大量的移動基站時，這種配置可能相當繁瑣。

　　集中式AC+WTP架構為解決這個問題提供了一個途徑。有些AC/WLAN交換機供應商在AC上部署了MIP功能，以使得客戶端不需要進行改動。有些部署將其稱為代理MIP功能。

　　AC能充當一個FA，端接來自于HA的隧道，以及在轉發分組到客戶端時，對發往客戶端在受訪網絡上的地址的分組進行解析。在客戶端發出第三層分組時，它會通過AC發送這些分組，進而修改源IP地址的報頭，通過隧道將這些分組發送到HA.這種流程被稱為“反向隧道”（參見圖4）。

圖4 集中式WLAN網絡架構中的第二層和第三層移動

　　企業網絡

　　AC充當基站A的移動IP本地代理？？

　　AC充當基站A的移動IP外部代理（FA）和代理MIP 客戶端

　　WLAN交換機/接入控制器（AC）

　　第二層網絡 第二層網絡

　　基站A 第二層移動客戶端轉移到同一個AC上的AP

　　基站A 漫游到同一個第三層網絡上的AP

　　基站A 漫游到不同第三層網絡上的AP

　　第三層移動－在移動基站從AP移動到不同AC時

　　在考慮一個包含多個AC和AP的大型企業網絡拓撲時，您可以考慮在不同AC之間建立MIP隧道。（即，它們充當一組用戶的外部代理，以及另外一組用戶的本地代理）從可擴展性的角度來說，AC必須具有足夠的處理能力和交換容量（交換從AP到AC的隧道到AC之間的隧道）。

WLAN交換機和集中式架構――常見的錯誤觀點
　　前面幾節介紹了集中式AC+WTP架構的不同方面，以及一些值得注意的部署要素。本節將介紹關于這些架構及其部署的一些常見的錯誤觀點，目的是更好地檢查這個尚處于發展階段的領域。
　　* 錯誤觀點1：AC需要執行交換功能――因而被命名為WLAN交換機。
　　AC并不需要達到這樣的要求。事實上，最早的AC都是一些附加設備（例如運行Linux的PC）。控制功能是部署的重要組成部分――交換通常被用于加快對AP收發的流量的轉發速度。
　　* 錯誤觀點2：惡意WTP檢測是AC的一項標準功能。
　　在某些部署中需要該功能，但是這并非是必要的“標準”。一個原因是，各個供應商在這方面采取了不同的做法（例如，他們用來將WTP劃分為惡意WTP的算法）。另外一個原因是，AC必須依靠AP或者無線監視器，這種依賴性會隨著部署方式的不同而不同。
　　* 錯誤觀點3：胖、瘦和適中AP之間的界限是非常明確的。
　　目前存在很多種不同的AP（和AC）功能實現方式，因此這種觀點并不一定是正確的。如需查看一個WTP和AC實現的分類（快照）范例，請參閱RFC 4118[4].
　　* 錯誤觀點4：第二層和第三層移動是AC+WTP架構的標準功能。
　　這種觀點實際上是錯誤的。針對第三層移動部署的代理MIP只是往這個方向邁出的一步，而大部分AC供應商都依靠專用的機制提供AC-AC通信和第三層移動功能。
　　* 錯誤觀點5：安全功能（例如防火墻、入侵檢測等）不屬于AC的功能。
　　一些供應商的做法已駁斥了這種觀點：他們將這些功能加入到了他們的AC之中。這是供應商樹立特色的途徑之一。
　　總結
　　本文列出了CAPWAP控制功能的主要特性，以及在部署AC+WTP架構時，與第二層、第三層移動有關的一些問題。盡管IETF正在為這個新興的領域制定標準協議，供應商仍然有足夠的空間樹立自己的特色。本文通過詳細介紹依靠集中式控制器管理一組無線終端的架構，闡述了WLAN交換機的功能和部署。