本節書摘來自異步社區《CCNA無線640-722認證考試指南》一書中的第9章，第9.3節集中式架構，作者 【美】David Hucaby，更多章節內容可以訪問云棲社區“異步社區”公眾號查看

9.3　集中式架構
CCNA無線640-722認證考試指南
由于自主式AP在管理其RF操作方面相當困難，作為網絡管理員，必須選擇和配置每個AP使用的信道，需要檢測和處理可能產生干擾的任何欺詐AP，而且還必須管理發射功率電平等類似問題，以確保足夠的無線覆蓋，不會產生太多的交疊，不存在覆蓋盲區——即使某個AP的無線電出現了故障。

管理無線網絡的安全性也是一件很困難的事情。每個自主式AP都要處理自己的安全策略，無線網絡與有線網絡之間沒有集中的入口點，這就意味著沒有很方便的位置來監控流量，實施入侵檢測和入侵防護、服務質量以及帶寬策略等操作。

CUWN（Cisco Unified Wireless Network，Cisco統一無線網絡）是一種集中式的統一網絡架構，可以克服分布式自主AP帶來的這些問題。為了構建這樣的網絡架構，需要將自主式AP的很多功能轉移到某些中心位置。如圖9-5所示，自主式AP完成的很多工作都可以分為兩大類：左側的實時進程和右側的管理進程。

實時進程包括發送和接收802.11幀、信標以及探測消息。802.11數據加密也是實時處理的（逐包方式）。AP 必須與無線客戶端在較低的層次——稱為MAC（Media Access Control，介質訪問控制）層進行交互，這些實時功能必須放在最靠近客戶端的AP上。

管理功能不屬于通過RF信道處理幀的密不可分的一部分，但這些功能應該集中管理，因此將這些管理功能遷移到遠離AP的集中設置的平臺上。

在CUWN架構中，LAP（Lightweight Access Point，輕量級接入點）僅執行實時的802.11操作。命名為LAP的原因是與傳統的自主式AP相比，LAP剝離了代碼映像和本地智能或者進行了大量簡化。

管理功能通常由WLC（Wireless LAN Controller，WLAN控制器）完成，大量LAP共用一個WLC。從圖9-5下半部分可以看出，左側的LAP主要負責第一層和第二層（幀通過這兩層進出RF域）功能。對于認證用戶、管理安全策略以及選擇RF信道和輸出功率等其他功能來說，LAP則完全依賴于WLC。

提示：
請記住，輕量級AP極度依賴網絡中的WLC，無法單獨運行。

9.3.1　Split-MAC架構
通常將LAP-WLC的任務分工稱為Split-MAC（分離MAC）架構，此時普通的MAC操作被劃分到兩個截然不同的位置。網絡中的LAP出現這種情況時，每個都必須重啟并綁定到WLC上，以支持無線客戶端。WLC將成為集中式Hub，可以支持散落在網絡中的大量LAP。

那么LAP是如何綁定WLC以形成一個完整的工作AP呢？LAP與WLC之間必須使用隧道協議來承載與802.11相關的消息以及客戶端數據。LAP和WLC可以位于同一個VLAN或IP子網中，但也不必如此，LAP和WLC完全可以位于兩個不同地點的兩個不同IP子網中。

CAPWAP（Control and Provisioning of Wireless Access Points，無線接入點控制和配置協議）隧道協議可以完成該上述工作，負責將LAP和WLC之間的數據封裝到新IP包中，然后通過園區網交換或路由這些隧道化數據。從圖9-6可以看出，CAPWAP實際上包含兩種隧道。

CAPWAP控制消息：負責交換用于配置LAP并管理其操作的消息。所有控制消息都要經過認證和加密（因而LAP僅受WLC的安全控制），然后再通過UDP端口5246（在控制器端）進行傳送。
CAPWAP數據：用來傳送去往和來自與LAP相關聯的無線客戶端的數據包。通過UDP端口5427（在控制器端）來傳送這些數據包，但是默認不加密這些數據包。如果在LAP上啟用了數據加密操作，那么這些數據包就能受到DTLS（Datagram Transport Layer Security，數據報傳輸層安全）的保護。

提示：
CAPWAP定義在RFC 5415、5416、5417和5418中，CAPWAP基于LWAPP
（Lightweight Access Point Protocol，輕量級接入點協議），而LWAPP屬于傳統的Cisco專有解決方案。
每個 AP 和 WLC 都必須通過數字證書進行相互認證。所有設備在出售時都已經預裝了X.509證書。通過后臺的證書操作，每臺設備在加入CUWN之前都能得到正確認證。該進程有助于確保不將欺詐LAP或WLC（或者假冒為LAP或WLC的設備）引入網絡。有關LAP-WLC關聯的問題將在第11章進行詳細討論。

CAPWAP隧道允許LAP和WLC在地理上或邏輯上分開，而且打破了兩者在二層連接上的依賴性。例如，圖9-7通過兩片陰影區域來表示VLAN 100的范圍。請注意，VLAN 100位于WLC和SSID 100的無線區域（靠近無線客戶端），但不在LAP和WLC之間。所有去往和來自與SSID 100相關聯的客戶端的流量都被封裝到CAPWAP數據隧道中經網絡基礎設施進行傳送。

從WLC到一個或多個LAP的CAPWAP隧道建立完成之后，WLC就可以提供多種附加功能。WLC完全可以解決前面討論過的傳統自主式WLAN架構出現的各種難題和缺陷。

動態信道分配：WLC 能夠根據區域內其他活躍接入點的情況，自動為每個LAP選擇和配置RF信道。
發射功率優化：WLC能夠根據所需的覆蓋區域，自動設置每個LAP的發射功率。
自愈的無線覆蓋：當網絡中某個LAP的無線電出現故障時，可以自動加大周圍LAP的發射功率，解決覆蓋盲區問題。
靈活的客戶端漫游：客戶端可以在LAP之間快速實現二層或三層漫游。
動態客戶端負載均衡：如果兩個或多個LAP覆蓋相同的地理區域，那么WLC就能將客戶端關聯到最輕載的LAP上，在多個LAP之間分發客戶端負載。
RF監控：WLC負責管理所有的LAP，因而能夠掃描信道以監控RF的使用情況。通過偵聽信道，WLC可以遠程收集RF干擾、噪聲、來自相鄰LAP的信號以及來自欺詐AP或Ad hoc客戶端的信號等信息。
安全管理：WLC能夠通過集中式服務來認證客戶端，要求無線客戶端在關聯并訪問WLAN之前，必須從受信的DHCP服務器獲得IP地址。
無線入侵防護系統：WLC可以利用其中心位置來監控客戶端數據，以檢測并防范各種惡意行為。

9.3.2　CUWN中的流量模型
前面曾經說過，自主式AP負責橋接無線BSS與有線VLAN之間的流量。為了得到來往有線網絡的流量，AP必須依賴其與DS（Distribution System，分布系統）的連接。LAP的工作方式與此類似，唯一的區別在于BSS與DS之間被網絡基礎設施間隔了一定距離，這段距離通過CAPWAP隧道進行連接。

以圖9-9所示網絡為例。該WLAN網絡由LAP和WLC組成，兩個無線客戶端關聯到該網絡上，從客戶端B到有線網絡某主機的流量將經過LAP以及CAPWAP數據隧道，到達WLC，然后再由WLC發送到交換式園區網。

對于交換式園區網絡基礎設施來說，由于WLC位于中心位置且帶寬足夠大，因而此時的CUWN流量模型不是一個大問題。假設網絡擴展到包含了多個遠程站點，在這些遠程站點均配置了LAP，但是只有總部園區擁有唯一的WLC。這種場景將強制無線流量經過遠程站點和總部站點之間的CAPWAP隧道，然后才能通過該CAPWAP隧道返回遠程站點。這種流量路徑的效率非常低，特別是在遠程站點帶寬有限的情況下。

為了解決低效問題，可以在遠程站點LAP上使用FlexConnect 模式。此時需要穿越CAPWAP隧道去往WLC的遠程站點流量仍然按照常規方式進行傳送，但是去往遠程站點網絡的無線流量則可以留在遠程站點內。遠程站點LAP能夠在本地交換這些流量，而無需穿越CAPWAP隧道。即便遠程站點鏈路出現了故障，導致CAPWAP隧道完全中斷，FlexConnect模式仍允許LAP進行本地的流量交換，從而維持遠程站點內部無線連接的可用性。

提示：
以前曾經將FlexConnect稱為H-REAP（Hybrid Remote Edge Access Point，混合遠程邊緣接入點）。

總結

以上是生活随笔為你收集整理的《CCNA无线640-722认证考试指南》——9.3节集中式架构的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。