1、虚拟局域网的问题

如果企业处于安全的考虑,在企业网络中部署了虚拟局域网。此时对于轻量级AP与无线局域网控制器的通信是否会造成影响?如通过DHCP服务器,轻量级AP与无线局域网控制器设备的IP地址分属于不同的局域网。此时这两个设备虽然通过路由器仍然可以进行通信,但是对于其传递的管理信息是否会造成不利的影响呢?通常情况下,使不会造成不利影响的。或者说,其不利影响可以忽略不计。

这主要是因为隧道封装的原因。在无线局域网控制器与轻量级AP进行数据传送时,隧道会将他们之间需要传送的数据封装到IP分组中,从而可以跨越虚拟局域网交换或者路由这些信息。如果此时需要通过路由器来进行路由,所以其在传送的环节中就多出了一环,其速率稍微受到了一些影响。不过除非这个路由器是企业网络中的瓶颈资源,否则的话,这个不利影响可以忽略不计。

不过如果部署在不同的虚拟局域网中,对于后续故障的排测也会产生不利的影响。如当无线局域网控制器与轻量级AP无法正常通信的话,那么造成这个故障的原因还需要考虑路由器路由信息的原因。所以在遇到故障时,就必须多测试几个地方。所以虽然无线局域网控制器与轻量级AP可以分属于不同的局域网,但是,为了后续工作的方面,尽量不要这么做。即尽量部署在相同的虚拟局域网中。把他们部署在不同的局域网中只是不得已而为之的做法。如企业中有三个无线接入点,分属于三个不同的虚拟局域网。此时,为他们分别配制三个不同的无线局域网控制器则显然是不合理的。在遇到这种情况时,只需要配备一个无线局域网控制器。其中有两个轻量级AP只好与无线局域网控制器分属于不同的虚拟局域网,以节省硬件的成本,并实现统一管理。

2、轻量级AP与无线局域网控制器的关联方式

从上面的工作原理中,我们可以看到,都是轻量级AP主动与无线局域网控制器进行联系。也就是说,如果企业无线网络比较复杂,有多个无线局域网控制器的话,轻量级AP会与那个无线局域网控制器进行绑定的?这个主动权主要在轻量级AP,而不在于无线局域网控制器上。通常情况下,轻量级AP会发送广播信息,以获得其周边的所有无线局域网控制器的IP地址。并会根据得到IP地址时间的先后顺与,依次进行连接请求。并自动绑定第一个允许其连接请求的无线局域网控制器。但是,这往往会造成管理上的混乱。如企业网络管理员出于负载均衡的需要,或者出于安全的需要,往往希望轻量级AP能够连接到特定的无线局域网控制器上去。而这种绑定方式,显然不能够满足管理员维护无线网络的需要。

为此,思科的轻量级AP采取了一个自定义无线局域网控制器IP地址列表的功能。即在每一个轻量级AP内,都能够维护一个组多可达三个IP地址的列表,而且这个三个无线局域网控制器的IP地址有先后顺序。第一个IP地址代表的无线局域网控制器为主控制器,第二个辅助无线局域网控制器,第三个会后给辅助无线局域网控制器。如果采用了这个列表之后,那么当轻量级AP启动时,就不会去搜寻其周围的无线局域网控制器。而是直接利用这个列表中的IP地址与无线局域网控制器进行连接,要求与其建立联系。如果当这规定的三个IP地址都不可用时,才会发送IP子网广播来寻找可用的无线局域网控制器。

3、隧道安全机制的不同

在轻量级AP与无线局域网控制器进行通信时,会采用两条隧道,分别用来传送控制信息与数据信息。通常情况下,控制信息在传送的过程中是不加密的,而数据信息在传送的过程中是加密的。虽然有隧道的保护,但是其管理信息在隧道中进行明文传输则仍然会有一定的安全隐患。为此需要通过IPSec等安全策略,来保障其信息传输的安全性。否则的话,非法供给者就可以通过窃听等手段来获取管理信息,并进行伪造,从而让一些非法的客户端可以通过其认证,连接到这个无线局域网中。所以,如果企业无线网络中的数据比较重要,会让一些攻击者不惜花大代价来进行攻击的话,则通过IP安全策略等手段来加密管理信息仍然是非常有必要的。不过在采用这些额外的安全手段时,需要进行仔细的测试,以判断能否与思科无线统一安全策略兼容。虽然说思科的产品其兼容性一般不会有多大的问题,因为其本身就是很多网络标准的制定者。不过为了保险,这个兼容性测试仍然是必需的。

  1. 如何巧用双AP构建经济实用无线双网络
  2. 巧用双AP构建经济实用无线双网


共2页: 上一页12下一页

相关内容