为满足WLAN网络的实时要求,设计者可以参考本文介绍的一种分割式媒体存取控制(MAC)架构,以便在接入点和中心交换机之间分配MAC处理任务,并可极大地提高WLAN系统管理无线资源的能力和安全性。
分割式MAC架构(2)
实时负载均衡
传统WLAN一般采用以下两种方法中的一种处理移动性:
1.AP之间以对等方式相互交流负载信息,“最好的”AP负责对客户端请求做出响应。
2.AP直接将负载信息广播给那些负责自主决策的客户端。
这两种方法都有明显的缺陷。第一种方法会增加WLAN的流量,从而消耗带宽及增加延迟。如果AP在共享信息时出现延迟,可能会做出不准确的负载均衡决策,或者对时间敏感的流量可能遭遇性能问题。此外,这种方法是在理想状况下做出决策的,忽略了安全性、QoS、用户移动模式以及其它可在系统范围基础上做出更准确决策的有用参数。
第二种方法也会引发很多同样的问题,因为客户端所处理的一般都是陈旧的信息,它们并不相互沟通以便收集整个系统范围的信息。由于一个WLAN上可能有数百个、甚至数千个客户端设备,这种方法会造成严重的管理负担及可伸缩性挑战。此外,客户端还可能被欺骗,引起拒绝服务等无线网络攻击的潜在危机。
所提议的分割式MAC架构可以解决这些问题,为性能优化提供有效、系统范围的负载均衡。其工作原理如下:
1. 很多客户端偶尔发送“探查请求”以确定附近是否有强信号的AP可以提供适当的服务。对客户端做出响应的AP提供它们所工作的信道信息,以及可用的个别WLAN信息(比如SSID)。AP还向WLAN交换机或设备发送一个通知,以指明发送“探查请求”的客户端身份,还包括所接收信号质量的信息。该信息可用于安全性功能及客户端连接性。
2. WLAN控制器利用这一信息,以及来自其它AP的类似信息,来确定每个AP与特定客户端通信的可靠性。利用以上这些信息,以及跟每个AP关联的客户端数量及每个AP的总负载信息,WLAN交换机或设备就可以选择特定客户端应该与之通信的最佳AP。WLAN控制器采用802.11管理协议的现有方法,鼓励客户端尽可能与最合适的AP通信。
负载均衡通过采用分割MAC方法实现了优化,因为集中式WLAN交换机和设备拥有每个AP的具体信息,从而让系统做出快速、智能的决策。通过让AP自己处理探查请求,WLAN系统可确保均衡负载时的延迟最小,并可为移动用户带来实时的性能体验。
实时流量处理
为了支持语音等实时的下行流量(来自有线网络),WLAN系统必须将数据包区分开来,并根据特定的规则处理这些数据包。数据包分类最好由集中式WLAN控制器来处理,因为它可应用与不同QoS标准相关的系统范围规则,包括来源、目的地、协议类型、VLAN ID、DHCP、优先级或这些特征的任意组合。分类后,数据包就被分派相应的优先级、带宽及数据包丢弃特征,以便获得优化的系统性能。
图2:分割式MAC架构很容易检测并阻止WLAN网络内的欺骗性AP。
在分割式MAC架构中,AP包含独立的硬件队列,这些队列可用于为数据包的无线传输排出优先顺序。访问RF网络是基于由WLAN交换机/设备确定的QoS参数。在这一方面,IT管理人员可以集中控制和配置QoS政策,并在AP端本地强制实施以优化WLAN性能。
分割式MAC架构还为IEEE新兴的QoS标准802.11e铺平了道路,因为它可以在AP上提供第二层加密功能。这样可让AP对每个数据包都了如指掌,从而随时做出合理的资源调度决策。
其次,当AP处理加密时,它可以更好地支持802.11e标准的动态分割功能。这是指,当没有足够的可用时间来传送整个数据包时,每个AP可以将数据包分割开来。如果加密被集中在WLAN控制器中,WLAN系统就可能遭遇延迟,影响动态分割特性的效率。因此,分割式MAC架构特别适用于未来的802.11e环境。
安全性问题
通过分割AP和WLAN交换机或设备之间的协议和AP功能处理可以增强移动性。同样地,安全性也可以得到加强。当每个数据包都是由集中式WLAN控制器处理时,复杂的安全策略可以应用,无论AP与哪一个客户端相关联。安全性政策包括:
1.第二层加密(如WEP、WPA和802.11i),或者第三层加密(IPSec);
2.用户身份认证(如802.1x、XAUTH或网站登录);
3.详细的访问控制清单(ACL),以便将网络访问限定于某个用户或用户群;
4.动态VLAN分配。
所有这些安全增强特性都是可能的,因为802.11功能是在AP和集中的WLAN交换机或设备间分开的。这种分割可让交换机/设备、接入点有机会检测和处理每一个来自或发向WLAN的数据包,并做出相应的处理。它还可以让企业在网络边缘识别并阻止违反安全的事件。
若检测到安全隐患,WLAN交换机或设备会在整个网络内提供保护。例如,可以指导数据包到达的AP忽略有安全隐患的客户端,直到隐患得到控制。此外,WLAN交换机或装置还可以告诉WLAN内的其它所有AP,忽略来自该客户端的探查请求,以确保该设备无法从不同位置访问无线网络。
存储在WLAN控制器内的RF拓扑信息也可与AP检测到的实时信息相关联,以准确定位安全隐患的来源,如欺骗性AP(见图2)。这种粒状位置跟踪有助于快速制止恶意活动,以防止造成损害。
如果所有安全功能在AP内处理,企业就无法建立针对适用于所有AP的统一规则。此外,没有集中的信息也很难在每个AP上建立多个不同的安全政策。如果所有安全功能都驻留在WLAN控制器内,就很难在网络边缘执行某些行动,比如流量加密。因此,在二者之间建立一种平衡对WLAN安全至关重要。
本文小结
通过创新WLAN系统处理802.11流量的方式,采用分割式MAC架构的WLAN系统可以实现简单、无缝且安全的WLAN部署。通过在WLAN和AP之间策略性地分配关键802.11功能,分割式MAC架构为企业级无线局域网树立了新的标准。