无线网络规划 横跨很多毫不相干的学科
网络设计涉及的因素成本 cost 可管理型 manageability 可用性 availability 与性能 performance
至于无线网络 得另外将移动性纳入考虑的范围
一 评估逻辑架构
移动性
1.一致的链路层网络连接
a ap间的自动切换
b ap位于不同的广播域 ap间切换可能会失败 改善的方法为所有接入点使用相同的ssid sta 会位于相同的广播域 即使 这些ap实际上各自连接到不同的广播域
c 两个ap间漫游 需要加密与完整性防护操作设定一组新的安全性参数 或将安全性参数自原来 的接入点转移到新的接入点
2.sta无必要变更网络的堆栈配置设定 ip地址可以不变 但是ip层不提供网络层的移动性
a 初次入网 dhcp分配ip地址
b 突发情况 断网 ap可以为sta暂存帧 使sta轻松重新联机
c sta可以维护本身的地址 那么在连接期间sta的地址必须维持不变 NAT记录关联到sta的IP 地址
d 应用的不同 保存逻辑网络的路径 必须通过相同的路径传送 sta像链接到同一个接入点
在接入点间转移连接关系 重新建立链路层安全上几下问 需要数百毫秒 新型的wifi交换器 可以加速整个漫游过程 将sta的连接记录集中管理 如此即可不必再接入点间进行转移了
提供网络层的移动性的几种做法:
1.早期用NAT
2.通过点对点隧道协议 tunneling protocol 提供与应用无关的移动性
必须定义于网络层 如此隧道方能跨网络传递数据 也可以运作于链路层(让vlan连接点遍及 全网络)或网络层(让ip地址可路由至全网络)
判断哪些任务需要ip地址维持不变 例如telnet于ssh这类交互性的终端联机
有些应用在重新连接网络时可以启动新的连接 即ip地址可以改变
安全性
在一些架构下 接入点必须连接至权限较高的网络连接端口 如果无线网络提供好几个vlan 有些接入点要求与骨干网络连接的接入点必须标记所有可用的vlan 在此种情况下 攻击者只要移除其中一个接入点取得连接端口 就可以直接访问骨干网络
性能
与有线网络相比 无线提供的速率较低 速度取决于最近的网络上行链路之间的距离 sta离ap越远 信号就越微弱 操作速度就越慢 吞吐量取决于距ap的距离以及设备所处的位置
在边缘地带 只能达到最低的速率 而非最高速率 可以通过多路复用技术 提高吞吐率 multiplexing
计算开放空间损耗 来掌握网络的传输距离与传播特性
开放空间损耗 或称路径损耗 在没有障碍物的情况下 信号在空间中传输时的损耗 基本假设 本底噪声 低到某种 程 度时 接收器的灵敏度将成为限制因素 受到两种因素的影响 信号的频率与覆盖的距离 频率越高 或距离越长 衰减 越严重
开放空间损耗(以dB为单位)=32.5+20*【lg(频率 ghz为单位)+lg(距离 以米为单位)】
需要注意的是 不同于有线网中的交换机 无线网络中的ap接入点 相当于有线网络中的集线器 所以在同一时间 只能有一个sta进行传输 属于一种共享媒介
通过收缩覆盖范围来防止带宽竞争 乃是大多数 “wifi 交换器”的做法
封包漏失与重传的可能性增加了延迟的变动性 称为抖动 jitter
骨干工程
接入点位于不断扩张的网络的边界 因此 无线网络加入lan的边界地带时 网络核心额外的配置设定不可避免
每个vlan都必须被扩展至园区里的所有接入点 而不是以单一vlan来连接园区里的所有接入点
beacon bssid以及vlan的整合
将vlan扩展至无线网络
两种服务集标识 ssid 扩展时服务集标识符 essid 即网络名称 几个ap可以设定为一组连接 essid可以附着 在beacon帧中 但并非必要 隐藏essid是通过隐瞒而达到安全性的做法
bssid 是第二种服务集标识符 亦即接入点的mac地址 用来传送无线与有线网络间的帧的传送端和接收端的地 址
一般而言 每个essid均具有bssid ap在单一beacon帧中传递多组essid或者响应非beacon帧中所 记载的essid ap使用户能连接到不同的vlan 通用做法是将vlan命名为一个ssid 然后让用户自行 选择 许多环境中 根据用户配置文件user profile database动态为用户指定vlan是比较好的做法
IP寻址
网络服务
DHCP
让无线接口的ip堆栈自动取得适当的ip 唯一的方式就是通过DHCP
小型的网络可以使用接入点本身的内置DHCP服务器 大型网络 应该只是用DHCP寻址信息的单一 来源 ap的DHCP服务器无法承载大量的负载 一般使用路由器等核心设备
尽量减少DHCP服务器的数目
操作系统登录
客户端集成
所谓的客户端集成 就是安装新的驱动程序 注意安全性 基于SSL的VPN是将客户端的访问导向 某个安全的网站 以之作为应用入口 ssl的vpn缺点是需要额外的处理方式保护非web应用
网络拓扑范例
四中不同的架构
1.单一子网络
ap为简单的桥接器 无法处理vlan或路由操作 只要sta位于相同的ip子网络 便不需要重新启动网络堆栈 而且能够维持本身的tcp连接
此网络有单一链路层网域所构成 每个sta均被赋予隶属该子网络的IP地址 因此 这种单一架构 也被称为 单一子网络的无线局域网 single-subnet-wireless LAN、围墙花园式架构 walled garden architecture或 VPN架构 家用的方法 通常只有一个ap
一 移动性
在21-2图的基础上 延伸出图21-3
上图中为串联所有接入点 此网络为单一ip网络 称为接入点骨干 为了在ap间能够漫游 网络必须是单一的ip子网络 即便它跨越好几个地区 网络层的移动性是由交换式基础设施多提供
在上图中 ip设置无法跨网段 (子网络) 对于外部的ip工作站 VPN/访问控制设备 乃是最后一条 last-hop路由器 相互合作提供移动性的接入点必须在layer2 相连 即二层连接
a 在有线网络设施上另外构建一套21-2所示的无线网络基础设施
wireless switch无线交换器 接入点 额外获得了一组交换器以及网络电缆的支持并且上行链路至核心网络
也可以采用b的模式 采用vlan来划分网络得到多个子网 此时 wireless switch 不仅扮演layer-2中继器 repeater的角色 在逻辑上同时会将所有的连接端口划分为多组layer-2网络 ap可以被置于其中一个vlan中
从交换器流向网络核心的帧会标记vlan代号 多重子网络也可以使用相同的上行链路 因为vlan的标记功 允许以逻辑的方式区别帧
有线帧 同一个vlan标记
无线帧 不同的vlan标记
帧只会被传送到交换器中的相同的vlan的连接端口 无线vlan的帧只会送给接入点ap
b 骨干接入点称为vlan 可以扩展距离 vlan能力的交换器可以彼此串联
上图可以形成单一逻辑网络 两交换机以标记链路相连 四个ap为同一vlan
连接两栋建筑物间必须使用光纤 适合远距离传输 因为网线距离不够电压不同
为无线子网络选择适当的上行链路技术时有个参考
如图a 几个彼此相连的孤岛 每个孤岛各自提供本身的移动性 孤岛间无法漫游 如果需要漫游需要mobile ip或特殊的工作站软件来提供
逻辑架构的选择 ***
大部分是性能 简单性 与功能方面取得平衡
上行链路通常会使用 Gigabit Ethernet
二 以DHCP来指定地址
适合连接dhcp服务器的位置
针对图21-2 一个位置是接入点骨干子网络上 但是需要为每个子网络均提供一个dhcp服务器
另一个是有能力进行路由转发的设备 均包含DHCP中继机制relay
也可以用dhcp针对各个mac地址指派固定的ip地址
三 安全性
四 骨干工程 ***
为了达到最大的移动性 每个接入点均需要连接至横跨整个园区的无线vlan 理解为园区内每个vlan的覆盖范围满足需求
以交换核心为基础的网络 vlan好部署 如果建筑物间以路由器串联 就无法构建扩展至整个园区的单一的vlan
另外 vlan的网络半径实际上的限制是根据802.1d协议的桥接标准 建议 最好不要超狗7不交换机的服务半径
五 性能 涉及到每种协议对应的接入点数 ****
此种设计性能变动很大 因为这里有一个性能瓶颈 choke point 重要的要避免将所有流量导向到单一的逻辑路径 所有骨干设备必须有足够的能力来处理来自整个无线网络的负载
相对与出图探测 冲突避免能够应付更高的负载 假定无线链路饱和 802.11b为6mbps 802.11a与802.11g为27-30mbps
802.11a和g 可以达到更高的速度 所以 百兆骨干的fast ethernet设备(全双工)只能服务6个接入点 如果接入点为双频 此种无线电接口会造成高度负载 骨干设备服务的接入点会更少
看下图
六 客户端集成
主要涉及到安全性方面
拓扑类型2 E.T.Phone Home或island Paradise
机构规模太大 无法设置单一接入点网络 需要将无线网络分割为几个“孤岛”
以大学为例 一座孤岛即相当于一栋建筑物或者一个系 使用独立的ip寻址与路由信息
一 移动性
单一子网络架构是为所有ap创建单一子网络来提供移动性 让所有用户位于相同的子网络 此拓扑类型与第一种拓扑类似 只是被复制到多个不同的区域 孤岛间的移动性 可以利用客户端软件或者点对点隧道协议来达到ip网络间的移动性
孤岛间的移动性可以借助点对点隧道协议达成 确保用户在任何位置能够连接至相同的逻辑位置
上图显示如何将移动性移植到一组分布式网络 concentrator 集线器
图a中的sta获得ip地址来自netz sta所发送的风暴将使用concentrator所配发的地址z作为来源地址 但是风暴会被 置于隧道tunnel中进行传送 回复信息会被路由会z 集线器维护了一组映射关系 可以将网络z上的地址映射到各个局域 网络上 mobile ip做法类似于图a 图b 将点对点隧道移到网络
途中接入点并未直接连接至骨干网络 骨干网络知用来将接入点连接至流量集散中心 traffic concentration point
所有来自sta的帧或风暴均通过此隧道传送至集散设备 有集散中心分送到网络的其他部分
即sta连接至哪个网络并不虫咬 因为任何数据均会被路由至流量集散中心
上图中的a和b 重点在于sta的ip地址改变与位置无关 lan中的ip地址只用于维持连通性 逻辑上的网络连接点则是由集散中心来定义的 即ac
p2p tunning 的做法可以结合两个离散的覆盖区域 将网络重组为单一的移动性块 但不必重新设计骨干网络
安全性
ipsec
性能
每个孤岛的网关都必须能够传送该孤岛的流量 而不是由单一网关来处理所有wlan网络的流量
提供访客服务 1 内部用户根据数据库进行辨识与验证 访问内网
针对此种拓扑 有几种不同的点对点隧道选项可以使用
tunneling会对现有网络造成负担 需要进行封装 帧长加大 有线链路上对此隧道协议的帧可能需要 分割与重组 负担加重
骨干网络
整合无法支持单一vlan的分散网络
客户端
vpn软件通常与此种架构配置实用
拓扑类型3 :动态vlan
类型1和2 只是将所有用户连接至同一个网络 并未区分用户群 无差别待遇
动态vlan则会使用有线中的vlan的拓扑类型 让用户使用不同的vlan 此拓扑类型是现有网络的扩展 将安全系统与 过滤条件带进无线领域 而非平行网络
802.1x是动态指定vlan的基础 将身份验证服务器中的用户信息和权限信息映射到无线网络如图
图中radius服务器用来为ap指定vlan 通过身份验证的用户指定vlan ap 可以标记来自该用户的所有帧 并将之送到相应 的vlan 链路层进行身份验证可以将用户放在特定的网络上 在初始就赋予用户权限
radius发送消息----》sta ----》网卡驱动dhcp请求 并初始化堆栈----》自动完成本身的配置设定
移动性
最高层次上 此拓扑类型的移动性相当于第一种拓扑类型 用户连接至具有一致性的VLAN 因此不论身在何处
ip 地址均维持不变 则传输层或应用程序状态不受影响 radius服务器提供验证和确保用户连接至同样的vlan 总是可以连 接至相同的逻辑点
安全性
有802.1x与radius确定vlan 所以一旦辨识出用户身份即可分出群组 给予不同的安全等级待遇
多组秘钥模式
每个用户会赋予一个默认广播秘钥 一个映射单播秘钥
广播域为拥有相同广播秘钥的sta共同定义
以vlan区分用户组 让网络得以提供差别服务
2. 外部用户无数据库账号信息 无法通过网络的身份验证 失败后 被连接至不同的逻辑网络 或者付费使用
上图中的a ap分别位于不同的vlan ap负责将用户连接至适当的vlan 在ap间要建立传输隧道 ap2先找需要的vlan 然后通过ap1之间的隧道传送用户的帧 逻辑上 用户还是先连ap1 不论实际位置如何 避免距离果园的两端建立隧道
链路层的安全性 另一优点是组播完美整合到安全协议当中 。21-9
性能
此架构不需要关卡 网络边界交换帧省略封包转发设备的需要 需要大型高速交换核心
骨干网络
需要重新设计网络骨干 通常需要802.1q标记链路 以便把用户连接至不同的网络
vlan信息传递至接入点的两种方式:
1.直接核心连接
所有ap直接与核心连接 如果ap插口不支持vlan 需在网络部署钱现行布线
2.间接 点对点隧道式 核心连接
无需将所有接入点ap连接至网络核心 可以避免变动骨干网络
ap传送用户的帧到隧道 然后再到核心
ap与ap之间 ap与集散设备之间均可以建立传输隧道 所以点对点的隧道协议可以是专属协议也可 以是简单的封装标准
gre或pppoe
图b 连接点集中于网络核心 而非分散于网络边界 ap所接收到的帧会通过隧道传送至集线器 再送至适当的网络
vlan信息只有抵达终点时才会用到 只要集线器能够访问vlan即可
隧道式不需修改骨干网络 因为vlan标记可以在本地进行处理
拓扑类型4:虚拟接入点
第三类拓扑 需要直接应用802.1x与动态vlan 需要只包含一类用户才顺畅
大多数应用时 内部员工使用内部网络 访客提供对internet的访问 支持不同用户不同功能
构建多重逻辑网络的方法之一 就是构建多重物理网络 然后分别管理 但不切实际 替代方案为使用虚拟接入点 只需要一组物理基础设施
以一组物理设施设置于控制数个动态VLAN 图中三个使用wlan的网络
a为公司网络 必须通过radius服务器中的权限验证 可以支持多个不同的vlan
b为热点提供商 基于web的身份验证
c为ip语音服务 优先级最高 qos
a b c分别对应不同的ssid
移动性
与前一种类似
vlan可以在网络边界动态产生 因此需要动态连接到不正确的接入点 ap (vlan对应得)
安全性
由于和链路层密切 802.1x不一定需要 但是每个虚拟接入点都应该具备独立的安全性配置
性能
限制不大 无线网络直连较大的网络核心 防止核心壅塞
1.提供移动性 ess为单一ip子网 本章为sta连接至单一子网
a 几个ap的部署 以上架构均可行 成本低
b ieee ap当前只提供layer 2 的移动性 如再layer 3以上提供移动性 需要软件或其他功能
2.sta必须感觉他们被连接到单一的ip子网 不论实际位置 多重子网络在空中相互重叠
3.网络限制
a. 生成树 spanning tree 有限制 分布太广的网络无法将vlan扩展到整个网络 ap必须连接到核心网络时 或许无法使用 单一无线vlan或是动态vlan模型
b 动态vlan拓扑 必须借助广泛分布在网络上的802.1q标记 支持此标记的设备较多
c 瓶颈 可能分布在各个地方 速度必须够快 才不会对吞吐量造成限制
4.安全协议 动态vlan只能配合802.1x 一起使用
使用链路层的安全机制 需要使用后两种拓扑类型 前两种适合ipsec与个人防火墙的网络安全机制
5.静态寻址 没哟必要
a 发送端不验证来源的ip地址
b 想追踪用户需要采用802.1x这类以用户为中心的网络 radiu是服务器设定
c 动态寻址 DHCP可以服务好几个vlan 只需一部即可