一、引言

    隨著無線技術在近年來的飛速發展，無線網絡已經迅速成為了企業園區網中所不可或缺的組成部分。無線網絡的可擴展性、易獲取性等特點讓企業的日常工作中效率大大得以提升。然而，無線網絡給我們帶來便利的同時，也帶來了一系列管理難題和安全隱患。

    目前，企業所普遍采用的無線網絡架構均屬于傳統方式。在該方式中，無線接入點（Wireless Access Point，下簡稱AP）相互獨立，缺乏統一部署和管理，無線數據流缺少匯聚點，安全策略得不到有效部署。針對上述這些缺點，企業統一無線網絡架構做出了諸多方面改進，包括AP的管理模式、無線數據流控制等。企業統一無線網絡架構在延續了無線網絡優勢的同時，更是完善了無線網絡的可管理性、安全性和可用性，使其更高效、安全地為企業的各類業務應用提供服務。

二、企業傳統無線網絡架構

    企業傳統無線網絡架構由四大板塊組成，分別是：無線終端層、無線接入層、有線傳輸層和網絡控制層。在該架構中，AP相互獨立部署于整個企業的園區內，用戶的無線數據終端可通過加密信道將數據發送至AP，由AP再將數據轉發至有線傳輸層，繼而訪問企業內部資源或是互聯網資源，詳情可參考圖一。

圖一 企業傳統無線網絡架構

    （一）企業無線網絡傳統架構數據流

    傳統無線網絡架構的確擴展了企業園區網絡的覆蓋范圍，實現企業的各類無線業務，使得用戶對于應用的獲取更為靈活和方便。在傳統無線網絡架構中，其無線應用的數據流主要以下幾個步驟：

    1.用戶的無線終端設備通過加密信道連接至離自己最近的AP，這也是該架構中唯一可以實施安全性的環節。

    2.無線加密數據傳輸到AP后，由AP負責數據的解密，然后將數據橋接到企業的有線交換網絡。

    3.橋接至有線交換網絡后，無線應用數據流與企業中的有線數據流完全一致。

    （二）企業無線網絡傳統架構缺點

    通過上述圖一所示以及無線數據流模的描述，可以清楚的知道，在傳統無線網絡架構中無線數據流缺少統一的匯聚節點，存在著諸多缺點：

    1.AP缺乏統一部署和管理。在企業傳統無線網絡架構中，各個AP獨立運行，企業管理員必須對每個AP進行單獨配置，如此分散式的AP部署模式給管理帶來很大的不方便性。同時，在網絡規劃中，一般會將無線用戶歸入同一個網段，以便在網絡中做簡單的安全控制。然而，由于AP將部署在企業園區中不同的交換設備，為了滿足之前的要求，就不得不將無線網段在所有交換機上互相連通，這樣的部署容易造成地址在整個園區網中泛洪，顯然這并不符合最佳的網絡設計實踐的要求。

    2.網絡安全難以保證。在企業園區網中，無線網絡的出現一方面擴大了網絡覆蓋范圍，但另一方面也帶來了更多的安全隱患。由于每個AP獨立運行，因此管理無線網絡的安全性變得十分困難，每個獨立的AP處理其各自的安全策略。無線數據流缺少統一的匯集點，這意味著無法對無線數據流進行集中統一的監控，以實現入侵檢測和防范、服務質量、帶寬控制等。同時，用戶無線終端雖然可以與AP之間通過加密信道進行數據傳輸，但由于無線通信環境的易獲取性和復雜性，黑客可以比較方便地對無線數據進行截取、分析和解密，從而竊取到數據內容。

    3.AP間信號重疊，漫游功能欠靈活。在傳統的無線網絡架構中，各個AP獨立運行，相互之間沒有通信機制，因此每個AP都會將功率信號放到最大，這便會使得AP之間的信號重疊區域可能超過20%，而一般合理的信號重疊區域應維持在10%左右。然而在重疊區域的用戶無線終端會出現時斷時續的現象。此外，由于AP之間相互獨立，當用戶在從AP1的信號范圍移動到AP2時，無線終端需離開AP1范圍即造成信號中斷后再連接AP2的信號，在整個漫游過程中將造成數據包的大量丟失。

    通過上述章節，我們簡單回顧了企業傳統無線網絡架構及數據流，指出該架構的諸多不足之處。那么在接下來的論述中，針對安全和管理的問題，文章引入一種新的架構方式，即企業統一無線網絡架構，該架構不但可為企業獲取靈活的無線業務應用，同時還能保證其可管理性和安全性。

三、企業統一無線網絡架構

    與傳統無線網絡架構一樣，統一無線網絡架構也可分為四大區域。其中，無線接入層和網絡控制層的設備部署與傳統架構相比存在較大不同：

    在網絡控制層中，該架構增加了無線控制器（Wireless LanController，下簡稱WLC）和無線控制系統（Wireless ControlSystem，下簡稱WCS）。WLC主要對AP進行統一集中管理，以實現網絡的安全性和管理的靈活性，是無線網絡統一架構的關鍵設備之一。WCS屬于配套管理系統，在該架構中可查看整個無線網絡覆蓋的信號強度和范圍，并能管理連接無線的用戶，查看其身份，IP地址和具體的位置等功能，為統一無線架構的更是增加了靈活方便的元素。

    在無線接入層中，該架構部署的AP為輕量級AP（LAP），俗稱“瘦AP”，其意義在于LAP并不需要單獨配置，其配置通過WLC處自動下發獲取，LAP與WLC之間實現基于LWAPP隧道封裝的通信機制，以確保無線網絡系統的統一性和安全性，詳情可參考圖二。

圖二 企業統一無線網絡架構

    （一）企業統一無線網絡架構數據流

    統一無線網絡架構針對傳統無線網絡架構中的諸多缺點，有了各方面的改進。在論述該架構之前，我們先對該架構中的無線數據流進行必要的描述：

    1.用戶無線終端設備通過加密的無線信道接入至附近的LAP。

    2.LAP接收到用戶無線終端的數據，以LWAPP協議在二層通道對數據進行隧道封裝（可參考圖二中的數據流描述），并通過證書方式對WLC進行認證。合法的WLC在通過認證后，LAP才會將封裝后的用戶數據發送至WLC。此時，LAP不負責對用戶數據進行解密，解密過程由遠端WLC完成。

    3.WLC接收到LAP發送的數據，先對LWAPP隧道進行解封裝，如果數據加密則進行解密，完成后根據原數據包目標地址按路由轉發，同時將原數據包源地址更改為自身設備的出口地址。4.由于WLC在轉發數據前將原數據包的源地址更改成自身設備的接口地址，因此回包數據將先被統一轉發至WLC，再由WLC進行LWAPP隧道封裝發送給相應的LAP，LAP收到數據進行解封裝后發送至用戶的無線終端設備。其中，加密解密過程分別由WLC和用戶無線終端分別進行，LAP并不參與。

    （二）企業統一無線網絡架構優點

    根據對該架構數據流的描述，不難發現企業統一無線網絡架構的優勢主要有以下幾點：

    1.統一的AP管理和控制。在該架構中，LAP并非獨立部署于企業園區中，它們的配置策略和運行情況由WLC進行統一管理和協調。接入的LAP會自動同步WLC上的配置文件。在WLC中也能夠管理所有已注冊的合法LAP，當某個LAP發生故障時，WLC能夠及時針對指定LAP進行排障。這使得管理員對于LAP的部署和管理非常的靈活便捷。

    與此同時，由于用戶無線終端與目標應用間的通信被LAP和WLC用LWAPP協議進行隧道封裝傳送，因此無線用戶可以被設計在同一個網段中而并不需要對整個網絡進行二層的貫通，LAP本身的地址可以與歸屬的二層交換機同一網段。這樣的設計并不會對企業園區網造成地址泛洪的影響，是比較優化的網絡設計實踐。

    2.網絡安全性有保障。在傳統無線網絡架構中，無線數據流缺少集中的匯聚點，這導致安全策略難以集中統一部署。然而在該架構中的無線數據流在WLC處有統一的匯聚點。在該匯聚點上，管理員可統一實施相應的安全策略，如認證授權、防入侵檢測、服務質量控制等一系列的管理功能，這將大大提升無線網絡的自身的安全性。同時，在此架構中，無線數據的加密解密分別由用戶的無線終端與WLC之相互交替進行，并且在整個傳輸過程中都是被隧道封裝在LWAPP隧道中，這使得黑客比較難以從中通過對數據包的監聽到而實施破解，也從另一個方面加強了無線數據的安全性。

    3.支持靈活漫游機制。在該架構中，利用WLC的功能，LAP之間存在信號的交互，也可自動收斂信號，使得信號重疊的區域始終維持在10%左右，從而保證最佳的無線通信環境。WLC還可自動為每個LAP分配信道。以避免各個LAP之間使用相同的信道而產生沖突。同時，用戶在移動過程中可實現在LAP之間的自動切換漫游機制，最大程度提升無線通信的效率。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業統一無線網絡架構設計

本文網址：http://www.guhuozai8.cn/html/consultation/1083943750.html