第二十一章 无线网络逻辑架构

无线网络规划 横跨很多毫不相干的学科    

网络设计涉及的因素成本  cost      可管理型  manageability 可用性  availability      与性能   performance

至于无线网络   得另外将移动性纳入考虑的范围

 

一  评估逻辑架构

 

移动性

1.一致的链路层网络连接

a     ap间的自动切换      

b ap位于不同的广播域     ap间切换可能会失败    改善的方法为所有接入点使用相同的ssid    sta 会位于相同的广播域      即使   这些ap实际上各自连接到不同的广播域

c 两个ap间漫游    需要加密与完整性防护操作设定一组新的安全性参数   或将安全性参数自原来 的接入点转移到新的接入点

2.sta无必要变更网络的堆栈配置设定    ip地址可以不变   但是ip层不提供网络层的移动性

a    初次入网  dhcp分配ip地址   

b  突发情况  断网    ap可以为sta暂存帧   使sta轻松重新联机

c sta可以维护本身的地址    那么在连接期间sta的地址必须维持不变      NAT记录关联到sta的IP 地址

d 应用的不同    保存逻辑网络的路径    必须通过相同的路径传送     sta像链接到同一个接入点

在接入点间转移连接关系    重新建立链路层安全上几下问    需要数百毫秒    新型的wifi交换器    可以加速整个漫游过程   将sta的连接记录集中管理   如此即可不必再接入点间进行转移了

 

提供网络层的移动性的几种做法：

1.早期用NAT  

2.通过点对点隧道协议    tunneling protocol     提供与应用无关的移动性    

必须定义于网络层    如此隧道方能跨网络传递数据     也可以运作于链路层（让vlan连接点遍及 全网络）或网络层（让ip地址可路由至全网络）

判断哪些任务需要ip地址维持不变   例如telnet于ssh这类交互性的终端联机

有些应用在重新连接网络时可以启动新的连接  即ip地址可以改变

安全性

在一些架构下    接入点必须连接至权限较高的网络连接端口     如果无线网络提供好几个vlan     有些接入点要求与骨干网络连接的接入点必须标记所有可用的vlan       在此种情况下     攻击者只要移除其中一个接入点取得连接端口    就可以直接访问骨干网络

性能

与有线网络相比    无线提供的速率较低   速度取决于最近的网络上行链路之间的距离    sta离ap越远   信号就越微弱  操作速度就越慢   吞吐量取决于距ap的距离以及设备所处的位置

在边缘地带   只能达到最低的速率   而非最高速率  可以通过多路复用技术 提高吞吐率    multiplexing

 

  计算开放空间损耗  来掌握网络的传输距离与传播特性   

开放空间损耗  或称路径损耗   在没有障碍物的情况下   信号在空间中传输时的损耗   基本假设    本底噪声  低到某种 程 度时  接收器的灵敏度将成为限制因素     受到两种因素的影响  信号的频率与覆盖的距离    频率越高 或距离越长    衰减 越严重   

开放空间损耗（以dB为单位）=32.5+20*【lg（频率  ghz为单位）+lg（距离  以米为单位）】

需要注意的是  不同于有线网中的交换机    无线网络中的ap接入点  相当于有线网络中的集线器   所以在同一时间  只能有一个sta进行传输   属于一种共享媒介

通过收缩覆盖范围来防止带宽竞争   乃是大多数  “wifi 交换器”的做法

封包漏失与重传的可能性增加了延迟的变动性     称为抖动   jitter

 骨干工程

接入点位于不断扩张的网络的边界       因此   无线网络加入lan的边界地带时    网络核心额外的配置设定不可避免

每个vlan都必须被扩展至园区里的所有接入点   而不是以单一vlan来连接园区里的所有接入点    

beacon    bssid以及vlan的整合

将vlan扩展至无线网络

两种服务集标识    ssid     扩展时服务集标识符    essid   即网络名称 几个ap可以设定为一组连接   essid可以附着 在beacon帧中     但并非必要      隐藏essid是通过隐瞒而达到安全性的做法

 bssid  是第二种服务集标识符    亦即接入点的mac地址   用来传送无线与有线网络间的帧的传送端和接收端的地 址

一般而言   每个essid均具有bssid    ap在单一beacon帧中传递多组essid或者响应非beacon帧中所 记载的essid     ap使用户能连接到不同的vlan    通用做法是将vlan命名为一个ssid   然后让用户自行 选择     许多环境中  根据用户配置文件user profile database动态为用户指定vlan是比较好的做法

IP寻址

网络服务

DHCP

让无线接口的ip堆栈自动取得适当的ip   唯一的方式就是通过DHCP

小型的网络可以使用接入点本身的内置DHCP服务器   大型网络  应该只是用DHCP寻址信息的单一 来源    ap的DHCP服务器无法承载大量的负载      一般使用路由器等核心设备

尽量减少DHCP服务器的数目

操作系统登录

客户端集成

所谓的客户端集成  就是安装新的驱动程序   注意安全性      基于SSL的VPN是将客户端的访问导向 某个安全的网站   以之作为应用入口    ssl的vpn缺点是需要额外的处理方式保护非web应用     

网络拓扑范例

四中不同的架构

1.单一子网络

ap为简单的桥接器     无法处理vlan或路由操作     只要sta位于相同的ip子网络    便不需要重新启动网络堆栈     而且能够维持本身的tcp连接     

此网络有单一链路层网域所构成      每个sta均被赋予隶属该子网络的IP地址     因此  这种单一架构 也被称为   单一子网络的无线局域网    single-subnet-wireless LAN、围墙花园式架构  walled garden architecture或 VPN架构      家用的方法    通常只有一个ap

 

图21-2

一  移动性    

上图中为串联所有接入点    此网络为单一ip网络   称为接入点骨干     为了在ap间能够漫游   网络必须是单一的ip子网络     即便它跨越好几个地区   网络层的移动性是由交换式基础设施多提供

在上图中    ip设置无法跨网段   （子网络）     对于外部的ip工作站   VPN/访问控制设备 乃是最后一条 last-hop路由器          相互合作提供移动性的接入点必须在layer2  相连  即二层连接

 

  在21-2图的基础上  延伸出图21-3

a      在有线网络设施上另外构建一套21-2所示的无线网络基础设施

wireless switch无线交换器     接入点   额外获得了一组交换器以及网络电缆的支持并且上行链路至核心网络

也可以采用b的模式  采用vlan来划分网络得到多个子网   此时  wireless switch 不仅扮演layer-2中继器 repeater的角色    在逻辑上同时会将所有的连接端口划分为多组layer-2网络     ap可以被置于其中一个vlan中

从交换器流向网络核心的帧会标记vlan代号       多重子网络也可以使用相同的上行链路    因为vlan的标记功 允许以逻辑的方式区别帧      

有线帧    同一个vlan标记

无线帧 不同的vlan标记

帧只会被传送到交换器中的相同的vlan的连接端口    无线vlan的帧只会送给接入点ap

b 骨干接入点称为vlan    可以扩展距离   vlan能力的交换器可以彼此串联

 

  上图可以形成单一逻辑网络     两交换机以标记链路相连    四个ap为同一vlan     

连接两栋建筑物间必须使用光纤  适合远距离传输    因为网线距离不够电压不同

上行链路通常会使用   Gigabit   Ethernet   

二  以DHCP来指定地址

适合连接dhcp服务器的位置  

针对图21-2    一个位置是接入点骨干子网络上     但是需要为每个子网络均提供一个dhcp服务器

另一个是有能力进行路由转发的设备   均包含DHCP中继机制relay   

也可以用dhcp针对各个mac地址指派固定的ip地址

 

三 安全性

四 骨干工程 ***

为了达到最大的移动性   每个接入点均需要连接至横跨整个园区的无线vlan   理解为园区内每个vlan的覆盖范围满足需求    

以交换核心为基础的网络   vlan好部署   如果建筑物间以路由器串联    就无法构建扩展至整个园区的单一的vlan

   另外 vlan的网络半径实际上的限制是根据802.1d协议的桥接标准  建议    最好不要超狗7不交换机的服务半径

五    性能     涉及到每种协议对应的接入点数 ****

此种设计性能变动很大   因为这里有一个性能瓶颈    choke point    重要的要避免将所有流量导向到单一的逻辑路径   所有骨干设备必须有足够的能力来处理来自整个无线网络的负载

相对与出图探测   冲突避免能够应付更高的负载    假定无线链路饱和    802.11b为6mbps       802.11a与802.11g为27-30mbps

802.11a和g    可以达到更高的速度  所以 百兆骨干的fast ethernet设备（全双工）只能服务6个接入点    如果接入点为双频   此种无线电接口会造成高度负载    骨干设备服务的接入点会更少

看下图   

 

  为无线子网络选择适当的上行链路技术时有个参考

六 客户端集成

主要涉及到安全性方面

 

 

 

拓扑类型2    E.T.Phone Home或island Paradise

机构规模太大   无法设置单一接入点网络    需要将无线网络分割为几个“孤岛”

以大学为例   一座孤岛即相当于一栋建筑物或者一个系    使用独立的ip寻址与路由信息

 

 如图a    几个彼此相连的孤岛    每个孤岛各自提供本身的移动性   孤岛间无法漫游   如果需要漫游需要mobile ip或特殊的工作站软件来提供    

一  移动性

单一子网络架构是为所有ap创建单一子网络来提供移动性 让所有用户位于相同的子网络 此拓扑类型与第一种拓扑类似 只是被复制到多个不同的区域 孤岛间的移动性 可以利用客户端软件或者点对点隧道协议来达到ip网络间的移动性

孤岛间的移动性可以借助点对点隧道协议达成 确保用户在任何位置能够连接至相同的逻辑位置

 

 

上图显示如何将移动性移植到一组分布式网络    concentrator   集线器

  图a中的sta获得ip地址来自netz      sta所发送的风暴将使用concentrator所配发的地址z作为来源地址    但是风暴会被 置于隧道tunnel中进行传送      回复信息会被路由会z     集线器维护了一组映射关系  可以将网络z上的地址映射到各个局域 网络上       mobile ip做法类似于图a

图b     将点对点隧道移到网络

途中接入点并未直接连接至骨干网络      骨干网络知用来将接入点连接至流量集散中心   traffic concentration point

  所有来自sta的帧或风暴均通过此隧道传送至集散设备   有集散中心分送到网络的其他部分     

即sta连接至哪个网络并不虫咬    因为任何数据均会被路由至流量集散中心

上图中的a和b   重点在于sta的ip地址改变与位置无关   lan中的ip地址只用于维持连通性    逻辑上的网络连接点则是由集散中心来定义的    即ac

 

p2p  tunning   的做法可以结合两个离散的覆盖区域       将网络重组为单一的移动性块   但不必重新设计骨干网络

安全性

ipsec

性能

每个孤岛的网关都必须能够传送该孤岛的流量     而不是由单一网关来处理所有wlan网络的流量   

针对此种拓扑  有几种不同的点对点隧道选项可以使用  

tunneling会对现有网络造成负担    需要进行封装    帧长加大    有线链路上对此隧道协议的帧可能需要 分割与重组    负担加重

骨干网络

整合无法支持单一vlan的分散网络     

客户端

vpn软件通常与此种架构配置实用

拓扑类型3 ：动态vlan  

类型1和2   只是将所有用户连接至同一个网络  并未区分用户群     无差别待遇  

动态vlan则会使用有线中的vlan的拓扑类型    让用户使用不同的vlan    此拓扑类型是现有网络的扩展    将安全系统与 过滤条件带进无线领域   而非平行网络

802.1x是动态指定vlan的基础   将身份验证服务器中的用户信息和权限信息映射到无线网络如图

 

图中radius服务器用来为ap指定vlan     通过身份验证的用户指定vlan       ap 可以标记来自该用户的所有帧  并将之送到相应 的vlan   链路层进行身份验证可以将用户放在特定的网络上  在初始就赋予用户权限

radius发送消息----》sta ----》网卡驱动dhcp请求 并初始化堆栈----》自动完成本身的配置设定

移动性

最高层次上   此拓扑类型的移动性相当于第一种拓扑类型     用户连接至具有一致性的VLAN   因此不论身在何处

ip 地址均维持不变    则传输层或应用程序状态不受影响   radius服务器提供验证和确保用户连接至同样的vlan   总是可以连 接至相同的逻辑点

安全性

有802.1x与radius确定vlan     所以一旦辨识出用户身份即可分出群组  给予不同的安全等级待遇

多组秘钥模式

每个用户会赋予一个默认广播秘钥       一个映射单播秘钥      

广播域为拥有相同广播秘钥的sta共同定义

 

以vlan区分用户组    让网络得以提供差别服务

 

  提供访客服务   1 内部用户根据数据库进行辨识与验证    访问内网

2. 外部用户无数据库账号信息   无法通过网络的身份验证    失败后      被连接至不同的逻辑网络 或者付费使用

链路层的安全性  另一优点是组播完美整合到安全协议当中  。21-9

 

性能

此架构不需要关卡    网络边界交换帧省略封包转发设备的需要      需要大型高速交换核心

骨干网络

需要重新设计网络骨干   通常需要802.1q标记链路  以便把用户连接至不同的网络   

vlan信息传递至接入点的两种方式：

1.直接核心连接

所有ap直接与核心连接    如果ap插口不支持vlan   需在网络部署钱现行布线

2.间接   点对点隧道式   核心连接

无需将所有接入点ap连接至网络核心    可以避免变动骨干网络

ap传送用户的帧到隧道 然后再到核心

ap与ap之间     ap与集散设备之间均可以建立传输隧道     所以点对点的隧道协议可以是专属协议也可 以是简单的封装标准

gre或pppoe

 

  上图中的a   ap分别位于不同的vlan   ap负责将用户连接至适当的vlan    在ap间要建立传输隧道    ap2先找需要的vlan    然后通过ap1之间的隧道传送用户的帧     逻辑上   用户还是先连ap1    不论实际位置如何    避免距离果园的两端建立隧道

  图b    连接点集中于网络核心   而非分散于网络边界     ap所接收到的帧会通过隧道传送至集线器   再送至适当的网络

vlan信息只有抵达终点时才会用到    只要集线器能够访问vlan即可

隧道式不需修改骨干网络    因为vlan标记可以在本地进行处理  

 

拓扑类型4：虚拟接入点

 

第三类拓扑   需要直接应用802.1x与动态vlan       需要只包含一类用户才顺畅    

大多数应用时   内部员工使用内部网络      访客提供对internet的访问    支持不同用户不同功能

构建多重逻辑网络的方法之一   就是构建多重物理网络  然后分别管理     但不切实际    替代方案为使用虚拟接入点    只需要一组物理基础设施    

 

 

以一组物理设施设置于控制数个动态VLAN    图中三个使用wlan的网络

a为公司网络      必须通过radius服务器中的权限验证   可以支持多个不同的vlan

b为热点提供商     基于web的身份验证

c为ip语音服务   优先级最高  qos

a b c分别对应不同的ssid

移动性

与前一种类似

vlan可以在网络边界动态产生    因此需要动态连接到不正确的接入点   ap  （vlan对应得）

安全性

由于和链路层密切     802.1x不一定需要  但是每个虚拟接入点都应该具备独立的安全性配置    

性能

限制不大    无线网络直连较大的网络核心    防止核心壅塞

 

 

逻辑架构的选择   ***

大部分是性能   简单性  与功能方面取得平衡

1.提供移动性    ess为单一ip子网   本章为sta连接至单一子网

a    几个ap的部署  以上架构均可行   成本低

b ieee   ap当前只提供layer 2 的移动性     如再layer 3以上提供移动性   需要软件或其他功能

2.sta必须感觉他们被连接到单一的ip子网    不论实际位置    多重子网络在空中相互重叠

3.网络限制

a. 生成树   spanning tree  有限制    分布太广的网络无法将vlan扩展到整个网络   ap必须连接到核心网络时   或许无法使用 单一无线vlan或是动态vlan模型

b 动态vlan拓扑   必须借助广泛分布在网络上的802.1q标记    支持此标记的设备较多

c 瓶颈  可能分布在各个地方    速度必须够快   才不会对吞吐量造成限制

4.安全协议    动态vlan只能配合802.1x  一起使用   

使用链路层的安全机制  需要使用后两种拓扑类型    前两种适合ipsec与个人防火墙的网络安全机制

5.静态寻址 没哟必要   

a 发送端不验证来源的ip地址

b 想追踪用户需要采用802.1x这类以用户为中心的网络     radiu是服务器设定

c 动态寻址    DHCP可以服务好几个vlan   只需一部即可