本文將通過(guò)詳細(xì)剖析WLAN的網(wǎng)絡(luò)架構(gòu)和AP、控制器的功能，闡明WLAN交換機(jī)和控制器的作用。本文還將介紹控制器到AP之間接口的不同功能。之后，本文將說(shuō)明集中式架構(gòu)中與第二/三層移動(dòng)有關(guān)的變量，最終還將指出關(guān)于這些架構(gòu)的一些常見(jiàn)錯(cuò)誤觀點(diǎn)和實(shí)際情況。

　　本文用無(wú)線終端（WTP）一詞來(lái)泛指AP，用接入控制器（AC）一詞來(lái)泛指WLAN控制功能（無(wú)論是部署在WLAN交換機(jī)還是獨(dú)立控制器上）。

WLAN交換機(jī)能夠通過(guò)有線連接（借助一個(gè)交換機(jī)端口）連接到WLAN接入點(diǎn)（AP）。它們還能通過(guò)它們的其他交換機(jī)端口連接到企業(yè)網(wǎng)絡(luò)。這些交換機(jī)是連接到企業(yè)有線網(wǎng)絡(luò)的“網(wǎng)關(guān)”――所有來(lái)自于WLAN客戶端的數(shù)據(jù)幀都必須通過(guò)WLAN交換機(jī)發(fā)送到企業(yè)網(wǎng)絡(luò)。

　　要理解WLAN交換機(jī)的功能及其在網(wǎng)絡(luò)中的應(yīng)用，首先需要了解WLAN的網(wǎng)絡(luò)架構(gòu)和接入點(diǎn)的功能。我們可以將WLAN交換機(jī)視為控制設(shè)備，將AP視為無(wú)線終端。

　　WLAN網(wǎng)絡(luò)的主要架構(gòu)

　　常見(jiàn)的WLAN網(wǎng)絡(luò)架構(gòu)主要有三種：

　　1. 自治式架構(gòu)

　　2. 集中式架構(gòu)

　　3. 分布式架構(gòu)

　　下面幾節(jié)將深入地介紹這三種架構(gòu)。

　　自治式架構(gòu)

　　在自治式架構(gòu)中，WTP完全部署和端接802.11功能。因此，有線局域網(wǎng)上的數(shù)據(jù)幀全部都是802.3幀。每個(gè)WTP都可以作為網(wǎng)絡(luò)上的一個(gè)單獨(dú)的網(wǎng)絡(luò)實(shí)體，進(jìn)行獨(dú)立的管理。這種網(wǎng)絡(luò)中的接入點(diǎn)通常被稱為“胖AP”（參見(jiàn)圖1）。

圖1. 自治式WLAN網(wǎng)絡(luò)中的胖AP

　　在WLAN部署的發(fā)展初期，大部分AP都是自治式AP，可以作為獨(dú)立的網(wǎng)絡(luò)實(shí)體進(jìn)行管理。在過(guò)去幾年中，采用AC和WTP的集中式架構(gòu)（詳見(jiàn)下文）開(kāi)始受到越來(lái)越廣泛的關(guān)注。集中式架構(gòu)的主要優(yōu)勢(shì)在于，對(duì)于企業(yè)中的多個(gè)WTP，它能為網(wǎng)絡(luò)管理員提供一種結(jié)構(gòu)化的、層次化的控制模式。

　　集中式架構(gòu)是一種層次化的架構(gòu)，包括一個(gè)負(fù)責(zé)配置、控制和管理多個(gè)WTP的WLAN控制器。WLAN控制器也被稱為接入控制器（AC）。802.11功能由WTP和AC共同承擔(dān)。與自治式架構(gòu)相比，這種模式中的WTP的功能有所減弱，因此它們又被稱為“瘦AP”。AP上的部分功能是可變的，詳見(jiàn)下一節(jié)的介紹（參見(jiàn)圖2）。

圖2 集中式WLAN網(wǎng)絡(luò)架構(gòu)中的瘦AP

　　分布式架構(gòu)

　　在分布式架構(gòu)中，不同的WTP通過(guò)有線或者無(wú)線連接，與其他WTP建立起分布式網(wǎng)絡(luò)。一個(gè)由WTP組成的網(wǎng)狀網(wǎng)就是這種架構(gòu)的典型例子。網(wǎng)狀網(wǎng)中的WTP可以與802.11鏈路或者有線802.3鏈路相連接。這種架構(gòu)通常用在城市網(wǎng)絡(luò)和其他需要“室外”組件的部署之中。分布式架構(gòu)不屬于本文的討論范圍。

　　WTP功能――胖、瘦和適中AP

　　要理解自治式和集中式架構(gòu)，首先需要分析AP所執(zhí)行的功能。我們首先從胖AP開(kāi)始談起，它構(gòu)成了自治式架構(gòu)的核心。之后我們將介紹瘦AP，它是基于WLAN交換機(jī)或者控制器的集中式架構(gòu)的重要組成部分。本文隨后將介紹一種名為“適中AP”的新型組件的功能。它是一種專門(mén)針對(duì)集中式架構(gòu)進(jìn)行了優(yōu)化的AP.

　　胖接入點(diǎn)

　　圖1顯示了一個(gè)采用胖接入點(diǎn)的自治式網(wǎng)絡(luò)。AP是網(wǎng)絡(luò)中的一個(gè)可以尋址的節(jié)點(diǎn)，在其接口上具有自己的IP地址。它能在有線和無(wú)線接口之間轉(zhuǎn)發(fā)流量。它還可以擁有多個(gè)有線接口，在不同的有線接口之間轉(zhuǎn)發(fā)流量――類似于一臺(tái)第二層或者第三層交換機(jī)。與企業(yè)有線網(wǎng)絡(luò)的連接能通過(guò)一個(gè)第二層或者第三層網(wǎng)絡(luò)實(shí)現(xiàn)。

　　值得注意的一點(diǎn)是，胖AP不會(huì)通過(guò)隧道向其他設(shè)備“返回”流量。這個(gè)特點(diǎn)非常重要，本文在介紹其他AP類型時(shí)還將提及這一點(diǎn)。另外，胖AP能提供“類似于路由器”的功能，例如動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器功能。

　　AP的管理是通過(guò)一種協(xié)議（例如簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議[SNMP]，或者用于Web管理的超文本傳輸協(xié)議[HTTP]）和一個(gè)命令行接口進(jìn)行的。為了管理多個(gè)AP，網(wǎng)絡(luò)管理員必須通過(guò)這些管理機(jī)制之一連接每個(gè)AP.每個(gè)AP在網(wǎng)絡(luò)拓?fù)鋱D上都顯示為一個(gè)單獨(dú)的節(jié)點(diǎn)。任何用于管理、控制的節(jié)點(diǎn)匯聚都必須在網(wǎng)絡(luò)管理系統(tǒng)（NMS）級(jí)別完成，這包括開(kāi)發(fā)一個(gè)NMS應(yīng)用。

　　胖AP還增強(qiáng)了多種功能，例如準(zhǔn)許對(duì)特定WLAN客戶端的流量進(jìn)行過(guò)濾的訪問(wèn)控制列表（ACL）。這些設(shè)備的另外一個(gè)重要的功能是對(duì)與服務(wù)質(zhì)量（QoS）有關(guān)的功能的配置和實(shí)施。例如，來(lái)自特定移動(dòng)基站的流量可能需要高于其他流量的優(yōu)先級(jí)。或者，您可能需要為來(lái)自于移動(dòng)基站的流量插入和實(shí)施 IEEE 802.1p優(yōu)先級(jí)，或者差分服務(wù)代碼點(diǎn)（DSCP）。總而言之，因?yàn)檫@些AP能夠提供交換機(jī)或者路由器的很多功能，它們可以在一定程度上充當(dāng)交換機(jī)或者路由器。

　　這種AP的不足在于復(fù)雜性。胖AP通常建立在功能強(qiáng)大的硬件的基礎(chǔ)上，需要復(fù)雜的軟件。因?yàn)楸容^復(fù)雜，這些設(shè)備的安裝和維護(hù)成本很高。盡管如此，這些設(shè)備在小型網(wǎng)絡(luò)中也能發(fā)揮一定的作用。

　　有些胖AP在后端針對(duì)控制和管理功能采用了一個(gè)控制器。這些控制器會(huì)形成胖AP的一個(gè)略微簡(jiǎn)化的版本――即所謂的“適中AP”，下文將詳細(xì)加以介紹。

　　顧名思義，瘦AP的目的是降低AP的復(fù)雜性。對(duì)其進(jìn)行簡(jiǎn)化的一個(gè)重要原因是AP的位置。很多企業(yè)都對(duì)AP采用了高密度安裝的方式（因?yàn)榉植荚谝恍┖茈y進(jìn)入的區(qū)域），以便為每個(gè)基站提供最佳的射頻連接。在倉(cāng)庫(kù)等特殊環(huán)境中，這種現(xiàn)象表現(xiàn)得更加明顯。由于這些原因，網(wǎng)絡(luò)管理人員希望只安裝一次AP，而不需要對(duì)其進(jìn)行復(fù)雜的維護(hù)。

　　瘦AP通常又被稱為“智能天線”，它們的主要功能是接收和發(fā)送無(wú)線流量。它們會(huì)將無(wú)線數(shù)據(jù)幀發(fā)回到一個(gè)控制器，然后對(duì)這些數(shù)據(jù)幀進(jìn)行處理，再交換到有線WLAN（參見(jiàn)圖2）。

　　這種AP使用了一個(gè)（通常是加密的）隧道來(lái)將無(wú)線流量發(fā)回到控制器。最基本的瘦AP甚至不進(jìn)行WLAN加密，例如有線等效加密（WEP）或者 WiFi受保護(hù)接入（WPA/WPA2）。這種加密由控制器完成――AP只負(fù)責(zé)發(fā)送或者接收經(jīng)過(guò)加密的無(wú)線數(shù)據(jù)幀，從而保持AP的簡(jiǎn)便性，避免升級(jí)其硬件或者軟件的必要性。

　　WPA2的面世使得在控制器上進(jìn)行加密變成了一項(xiàng)非常迫切的任務(wù)。雖然WPA在硬件上與WEP兼容，只需要進(jìn)行固件升級(jí)，但是WPA2并不向后兼容。網(wǎng)絡(luò)管理人員不需要更換整個(gè)企業(yè)的AP，而是只需要將無(wú)線流量發(fā)送到能夠進(jìn)行WPA2解密的控制器，之后數(shù)據(jù)幀將會(huì)被發(fā)送到有線局域網(wǎng)。

　　在AP和控制器之間傳輸控制和數(shù)據(jù)流量的協(xié)議是專用的。而且，無(wú)法在第二/三層，將AP作為一個(gè)統(tǒng)一的實(shí)體加以管理――它可能通過(guò)控制器進(jìn)行管理，而NMS能通過(guò)HTTP、SNMP或者CLI/Telnet與控制器進(jìn)行通信。一個(gè)控制器可以管理和控制多個(gè)AP，這意味著控制器應(yīng)當(dāng)基于功能強(qiáng)大的硬件，并且通常能夠執(zhí)行交換和路由功能。另外一個(gè)重要的要求是，AP和AC之間的連接和隧道應(yīng)當(dāng)確保這兩個(gè)實(shí)體之間的分組延時(shí)保持在很低的水平。

　　對(duì)于瘦AP而言，QoS的執(zhí)行和基于ACL的過(guò)濾都是由控制器處理的――這并不會(huì)導(dǎo)致問(wèn)題，因?yàn)樗衼?lái)自AP的數(shù)據(jù)幀在任何情況下都必須經(jīng)由控制器傳輸。ACL和QoS的集中控制功能也并不罕見(jiàn)――使用胖AP的網(wǎng)絡(luò)也采用了這種方式。這種安裝方式將控制器作為管理從AP到有線網(wǎng)絡(luò)的流量的網(wǎng)關(guān)。但是，瘦AP的控制器功能采用了一種新的方式，尤其是在數(shù)據(jù)層面和轉(zhuǎn)發(fā)功能方面。控制器功能被集成到連接無(wú)線和有線局域網(wǎng)的以太網(wǎng)交換機(jī)之中――這催生了稱為“WLAN交換機(jī)”的設(shè)備系列。

　　在這種情況下，無(wú)線MAC架構(gòu)被稱為遠(yuǎn)程MAC架構(gòu)。整套802.11 MAC功能都被轉(zhuǎn)移到WLAN控制器上，包括對(duì)延時(shí)敏感的MAC功能。

　　適中接入點(diǎn)

　　適中AP也在得到越來(lái)越廣泛的歡迎，因?yàn)樗鼈兘Y(jié)合了胖AP和瘦AP的優(yōu)點(diǎn)。適中AP能夠在提供無(wú)線加密功能的同時(shí)，利用AC進(jìn)行實(shí)際的密鑰交換。這種方式被用于使用最新的、支持WPA2的無(wú)線芯片組的新型AP.管理和策略功能由通過(guò)隧道連接到多個(gè)AP的控制器執(zhí)行。

　　而且，適中AP還提供了一些額外的功能，例如讓基站能通過(guò)DHCP獲得IP地址的DHCP中繼功能。另外，適中AP能夠執(zhí)行基于服務(wù)集標(biāo)識(shí)符（SSID）的VLAN標(biāo)記功能，讓客戶端可以與AP建立關(guān)聯(lián)（在AP支持多個(gè)SSID的情況下）。

　　適中AP支持兩種類型的MAC部署，即本地MAC和分離MAC架構(gòu)。本地MAC指的是所有無(wú)線MAC功能都在AP執(zhí)行。完整802.11 MAC功能（包括管理和控制幀的處理）都由AP執(zhí)行。這些功能包括一些對(duì)時(shí)間敏感的功能（也被稱為實(shí)時(shí)MAC功能）。

　　分離MAC架構(gòu)會(huì)在AP和控制器之間分配MAC功能。實(shí)時(shí)MAC功能包括信標(biāo)生成，檢測(cè)信號(hào)傳輸和響應(yīng)，控制幀處理（例如Request to Send和Clear to Send，即RTS和CTS），重新傳輸?shù)取７菍?shí)時(shí)功能包括身份驗(yàn)證和解除驗(yàn)證；關(guān)聯(lián)和重新關(guān)聯(lián)；以太網(wǎng)和無(wú)線局域網(wǎng)之間的橋接；以及分段等。

　　不同供應(yīng)商的產(chǎn)品在AP和控制器之間分配功能的方式有所不同。在某些情況下，甚至它們對(duì)實(shí)時(shí)的定義也有所不同。一種常見(jiàn)的適中AP實(shí)施包括AP的本地MAC，以及AP的管理和控制功能。

　　集中式WLAN架構(gòu)的下一個(gè)關(guān)鍵組件是接入控制器（AC）。在下文中，我們認(rèn)為控制器功能部署在一臺(tái)WLAN交換機(jī)上，并將該功能稱為AC.我們還用“WTP”一詞指代AP（包括胖、瘦或者適中）。

　　IETF的無(wú)線接入點(diǎn)的控制和配置（CAPWAP）工作小組正在定義AP及其所控制的WTP之間的接口和協(xié)議。本節(jié)將用CAPWAP框架來(lái)詳細(xì)介紹AC和WTP之間的接口。[3，4，5]

　　圖3顯示了一個(gè)包含多個(gè)AC和WTP的企業(yè)網(wǎng)絡(luò)。WTP能通過(guò)一個(gè)第二層（交換）或者第三層（路由）網(wǎng)絡(luò)連接到AC.WTP和AC之間的接口負(fù)責(zé)下列功能：

　　* 通過(guò)WTP發(fā)現(xiàn)和選擇一個(gè)AC

　　* 通過(guò)AC將固件下載到WTP――在啟動(dòng)和WTP觸發(fā)之后

　　* WTP和AC之間的功能協(xié)商

　　* WTP和AC之間的雙向身份驗(yàn)證

　　* WTP和AC之間的配置、狀態(tài)和統(tǒng)計(jì)數(shù)據(jù)交換

　　* 有線和無(wú)線網(wǎng)段之間的QoS映射

圖3 ：使用多個(gè)AC、WTP和CAPWAP協(xié)議的集中式WLAN架構(gòu)

　　園區(qū)網(wǎng)絡(luò)和互聯(lián)網(wǎng)

　　WLAN交換機(jī)/接入控制器（AC）

　　第二/三層網(wǎng)絡(luò) AC和WTP之間的、用于配置和控制的CAPWAP協(xié)議

　　第二/三層網(wǎng)絡(luò)

　　無(wú)線網(wǎng)絡(luò)上的802.11幀 無(wú)線局域網(wǎng)端接點(diǎn)（WTP）

　　另外，盡管CAPWAP并沒(méi)有明確定義所有細(xì)節(jié)，但是AC可以通過(guò)配置和監(jiān)控它所控制的區(qū)域中的不同接入點(diǎn)，執(zhí)行無(wú)線資源管理（RRM）和惡意 AP檢測(cè)等功能。這些功能的范圍會(huì)因?yàn)楣?yīng)商部署方式的不同而有所不同。AC提供的另外一項(xiàng)重要功能是移動(dòng)管理。以下章節(jié)將在CAPWAP的基礎(chǔ)上，提供更多關(guān)于這些功能的細(xì)節(jié)。請(qǐng)注意，截止到本文撰寫(xiě)時(shí)為止，IETF仍然在制定基于思科輕型接入點(diǎn)協(xié)議（LWAPP）的CAPWAP協(xié)議（2006年3 月）。

　　WTP可以通過(guò)發(fā)現(xiàn)請(qǐng)求消息，發(fā)現(xiàn)可供連接的AC.一個(gè)或者多個(gè)AC（根據(jù)網(wǎng)絡(luò)拓?fù)涞牟煌?huì)響應(yīng)這些請(qǐng)求消息。AC和WTP之間的通信是通過(guò)用戶數(shù)據(jù)報(bào)協(xié)議（UDP）進(jìn)行的。WTP會(huì)決定連接哪一個(gè)AC，再試圖與該AC建立一個(gè)安全的會(huì)話。后續(xù)的CAWAP分組將通過(guò)安全會(huì)話發(fā)送。

　　接著，AC和WTP之間會(huì)進(jìn)行配置交換。這些交換包括：

　　* IEEE SSID

　　* 安全參數(shù)（用于WEP、WPA和WPA2）

　　* 廣播的數(shù)據(jù)速率（11或者54Mbps）

　　* 需要使用的無(wú)線通道

　　CAPWAP功能

　　CAPWAP控制消息包括下列消息類型：

　　* 發(fā)現(xiàn)

　　* WTP配置－用于向WTP發(fā)布一個(gè)特定的配置，以及從WTP獲取統(tǒng)計(jì)信息；統(tǒng)計(jì)信息包括下列信息：

　　* 分段數(shù)據(jù)幀的個(gè)數(shù)，以及發(fā)送、接收的組播數(shù)據(jù)幀的個(gè)數(shù)

　　* 發(fā)送重試的次數(shù)，過(guò)度重試的次數(shù)（失敗次數(shù)）

　　* 成功發(fā)送和失敗的發(fā)送請(qǐng)求（RTS）的個(gè)數(shù)

　　* 出錯(cuò)數(shù)據(jù)幀的個(gè)數(shù)：重復(fù)數(shù)據(jù)幀，錯(cuò)誤確認(rèn)，解密錯(cuò)誤，幀檢查序列（FCS）錯(cuò)誤數(shù)等

　　配置包括信標(biāo)期限、最大發(fā)送功率等級(jí)、正交頻分多路復(fù)用（OFDM）控制、天線控制、支持速率、QoS和加密等。

　　* 移動(dòng)會(huì)話管理－向WTP發(fā)布特定的移動(dòng)策略

　　AC能添加關(guān)于特定移動(dòng)設(shè)備的策略信息，包括WTP應(yīng)當(dāng)為該移動(dòng)設(shè)備使用的安全參數(shù)。它可能包括WTP是否應(yīng)當(dāng)為該移動(dòng)設(shè)備轉(zhuǎn)發(fā)或者丟棄流量。

　　* 固件管理――用于向WTP發(fā)布特定的固件鏡像。

　　AC和WTP交互

　　WTP能提供多種信息，例如硬件、軟件或者引導(dǎo)版本；最大無(wú)線頻段數(shù)；當(dāng)前使用的無(wú)線頻段；加密功能；無(wú)線頻段類型（802.11b/g/a/n）；MAC類型（本地、分離或者兩者皆有）；隧道模式；以及AC和WTP之間的幀類型（例如，本地橋接或者自帶橋接――即將所有用戶載荷封裝為原始無(wú)線幀）。

　　AC信息包括硬件或者軟件版本，目前與AC關(guān)聯(lián)的移動(dòng)基站的個(gè)數(shù)，目前連接到AC的WTP個(gè)數(shù)，所有這些設(shè)備的最大數(shù)量，AC和WTP之間的安全參數(shù)（身份驗(yàn)證證書(shū)），控制IPv4或者IPv6地址等。

　　因?yàn)閃TP屬于“適中AP”，它們還能配置一個(gè)來(lái)自AC的IP地址。另外一個(gè)可供配置的參數(shù)是MAC地址級(jí)別的ACL.

　　隨時(shí)可以通過(guò)AC重啟（重新設(shè)定）WTP.WTP能獨(dú)立地通過(guò)一個(gè)鏡像數(shù)據(jù)請(qǐng)求來(lái)索取一個(gè)新的鏡像，之后接收鏡像數(shù)據(jù)響應(yīng)和鏡像數(shù)據(jù)本身。

　　在WTP確定需要向AC發(fā)送重要的信息時(shí)，WTP會(huì)發(fā)出事件。這些信息可能包括用于從WTP向AC發(fā)送調(diào)試信息的數(shù)據(jù)傳輸消息。

　　無(wú)線資源管理是一個(gè)通用詞匯，用以描述在AP上對(duì)無(wú)線頻段的控制和配置。控制的類型包括自動(dòng)地或者根據(jù)用戶的輸入降低和提高強(qiáng)度――例如，如果由一個(gè)AC控制的兩個(gè)WTP互相干擾，那么AC會(huì)向其中一個(gè)AP發(fā)送一個(gè)信號(hào)，降低它的強(qiáng)度。它還可以根據(jù)用戶的配置執(zhí)行該操作。

　　有些WTP還被設(shè)置為能夠充當(dāng)“無(wú)線監(jiān)視器”；即它們能在不發(fā)送數(shù)據(jù)時(shí)監(jiān)控通道。人們目前對(duì)于這種WTP使用模式的有效性還存有一定的爭(zhēng)議―― 有些供應(yīng)商使用專門(mén)的無(wú)線監(jiān)視器，而不是讓它們的WTP承擔(dān)雙重職能。在使用專用無(wú)線監(jiān)視器的情況下，無(wú)需擔(dān)心降低客戶基站服務(wù)質(zhì)量的降低，就能掃描和監(jiān)視所有通道。

　　無(wú)線監(jiān)視器能將所有與其他接入點(diǎn)有關(guān)的信息轉(zhuǎn)發(fā)到AC.AC能夠判斷信息針對(duì)的是一個(gè)有效的WTP（即的確存在于網(wǎng)絡(luò)之上，并且已經(jīng)注冊(cè)到AC），還是一個(gè)“惡意”接入點(diǎn)。如果針對(duì)的是一個(gè)惡意接入點(diǎn)，AC可以執(zhí)行多個(gè)步驟，防止客戶端連接到該AP――例如，它可以命令無(wú)線監(jiān)視器通過(guò)提高同一個(gè)通道上的發(fā)射功率，“阻止”這個(gè)惡意AP.

　　移動(dòng)管理

　　移動(dòng)管理可以采取兩種形式――第二層和第三層移動(dòng)。假設(shè)一個(gè)客戶端從一個(gè)WTP移動(dòng)到另外一個(gè)WTP――當(dāng)一個(gè)使用筆記本電腦的用戶在同一棟大樓的兩個(gè)會(huì)議室之間移動(dòng)時(shí)，可能會(huì)發(fā)生這種情況。客戶基站會(huì)重新關(guān)聯(lián)新的WTP，之后進(jìn)行身份驗(yàn)證。請(qǐng)注意，在它與新的AP“建立起” 關(guān)聯(lián)之前，它與原先的AP的關(guān)聯(lián)會(huì)被“中斷”；因此WLAN中的切換被稱為“先中斷，后建立”。雖然這種方式可能導(dǎo)致潛在的流量中斷（和重新傳輸），但是它仍然優(yōu)于“先建立，后中斷”（用于蜂窩網(wǎng)絡(luò)的通信），可以保持客戶端無(wú)線連接的簡(jiǎn)便和廉價(jià)。

　　理解第二層和第三層移動(dòng)的方法之一是將第二層移動(dòng)視為在受同一個(gè)AC控制的（即隸屬于同一個(gè)第三層網(wǎng)絡(luò)）AP之間的移動(dòng)，而第三層移動(dòng)則是在受不同AC控制的AP之間的移動(dòng)。

　　第二層移動(dòng)網(wǎng)絡(luò)管理

　　第二層移動(dòng)意味著當(dāng)基站從一個(gè)WTP移動(dòng)到另外一個(gè)時(shí)，IP尋址能力不會(huì)受到影響，這意味著所有的AP都位于同一個(gè)第二層網(wǎng)絡(luò)上，即它們都連接到同一個(gè)AC（參見(jiàn)圖4）。為了防止發(fā)送第二層客戶端的數(shù)據(jù)丟失，WLAN交換機(jī)現(xiàn)在必須將客戶端數(shù)據(jù)轉(zhuǎn)發(fā)到新的WTP.在客戶端關(guān)聯(lián)之后，新的WTP會(huì)發(fā)出一個(gè)以太網(wǎng)幀到AC，并將客戶端的MAC地址作為源地址。交換機(jī)現(xiàn)在能將客戶端的MAC地址關(guān)聯(lián)到連接新WTP的端口。

　　雖然這種流程適用于AP和AC之間的第二層（交換網(wǎng)絡(luò)）連接，但是在它們之間使用隧道連接時(shí)，需要一種略有不同的方法。AC會(huì)在從新的WTP收到MAC幀之后，將客戶端的映射轉(zhuǎn)移到一個(gè)不同的隧道（即一個(gè)虛擬端口）。

　　第二層切換的另外一個(gè)需要考慮的問(wèn)題是WTP的數(shù)據(jù)緩存。在正常情況下，交換機(jī)或者AC在從新的WTP收到信息之前不會(huì)意識(shí)到切換的必要性。但是，如果WTP具有增強(qiáng)的統(tǒng)計(jì)信息，它就可以判定某個(gè)特定的客戶端已經(jīng)從原先的WTP移出，從而停止向原先的WTP轉(zhuǎn)發(fā)數(shù)據(jù)。這些統(tǒng)計(jì)信息可能包括：無(wú)線鏈路上的載波偵聽(tīng)多點(diǎn)接入/沖突避免（CSMA/CA）MAC層協(xié)議的最大重試次數(shù)。交換機(jī)并不需要緩存數(shù)據(jù)，因?yàn)樗⒉磺宄裁磿r(shí)候需要切換到新的 WTP.這種方式有助于避免在原有WTP和AC之間的鏈路上浪費(fèi)流量。

　　有些供應(yīng)商借助胖AP，為解決這個(gè)問(wèn)題采取了一種不同的方法。根據(jù)這種方法，AP會(huì)在從交換機(jī)收到一個(gè)表明客戶端已經(jīng)轉(zhuǎn)移到另一個(gè)交換機(jī)端口的數(shù)據(jù)幀之前，一直緩存流量。這些AP能將緩存的流量發(fā)送到交換機(jī)，再由交換機(jī)轉(zhuǎn)發(fā)流量到新的WTP.因?yàn)槲覀兊哪康氖墙档蚖TP的復(fù)雜性，這種方法在集中式AC+WTP架構(gòu)中顯然不是首選的方法。

　　第二層漫游的另一個(gè)重要特點(diǎn)是需要在新的WTP上進(jìn)行預(yù)先身份驗(yàn)證。通過(guò)802.11i，客戶端可以針對(duì)相鄰WTP進(jìn)行預(yù)先身份驗(yàn)證，以使得向不同WTP的漫游不需要經(jīng)歷冗長(zhǎng)的身份驗(yàn)證流程，即不需要向新WTP發(fā)送雙主密鑰（PMK）。（但是仍然需要獲得雙過(guò)渡密鑰[PTK].）

　　當(dāng)AC為某個(gè)特定客戶端保持PMK時(shí)（通過(guò)與一個(gè)RADIUS服務(wù)器的交互），該流程將自動(dòng)進(jìn)行――即AC將針對(duì)客戶端的PMK發(fā)送到新的WTP.802.11幀的加密仍然利用新的PTK，由原有的和新的WTP完成。

　　移動(dòng)IP解決了第三層移動(dòng)所存在的問(wèn)題[6].我們?cè)谶@里并不打算討論移動(dòng)IP的具體細(xì)節(jié)，但是需要指出的是，它包含三個(gè)不同的組件。客戶端本地網(wǎng)絡(luò)上的本地代理（HA）負(fù)責(zé)客戶端的地址。所有發(fā)送客戶端的（不變）IP地址的分組都被發(fā)送到本地代理。如果客戶端位于本地網(wǎng)絡(luò)上，HA會(huì)直接將分組轉(zhuǎn)發(fā)到客戶端。如果它位于一個(gè)外部網(wǎng)絡(luò)或者受訪網(wǎng)絡(luò)上，HA會(huì)將分組轉(zhuǎn)發(fā)到一個(gè)位于受訪網(wǎng)絡(luò)上的外部代理（FA）。

　　為此，它必須設(shè)置一個(gè)指向FA的隧道――這通常是一個(gè)通用路由封裝（GRE）或者IP-in-IP隧道。

　　在從隧道中分離出原始分組之后，F(xiàn)A負(fù)責(zé)將該分組轉(zhuǎn)發(fā)到客戶端。這只是大概的描述，實(shí)際上其中涉及到大量其他的步驟。在無(wú)線局域網(wǎng)中，實(shí)現(xiàn)第三層客戶端移動(dòng)的關(guān)鍵在于移動(dòng)IP終端所在的位置。有些客戶基站包括一個(gè)針對(duì)MIP客戶端的軟件堆棧。

　　 這種客戶端MIP（CMIP）軟件會(huì)：

　　* 分離分組中的MIP報(bào)頭

　　* 插入一個(gè)新的報(bào)頭，讓客戶端的高層應(yīng)用確信該分組是發(fā)往該客戶端在外部網(wǎng)絡(luò)上的IP地址的

　　*

　　CMIP方法是部署MIP的推薦方法。但是它的不足在于，必須為網(wǎng)絡(luò)中的每個(gè)移動(dòng)基站添加一個(gè)MIP客戶端――在存在大量的移動(dòng)基站時(shí)，這種配置可能相當(dāng)繁瑣。

　　集中式AC+WTP架構(gòu)為解決這個(gè)問(wèn)題提供了一個(gè)途徑。有些AC/WLAN交換機(jī)供應(yīng)商在AC上部署了MIP功能，以使得客戶端不需要進(jìn)行改動(dòng)。有些部署將其稱為代理MIP功能。

　　AC能充當(dāng)一個(gè)FA，端接來(lái)自于HA的隧道，以及在轉(zhuǎn)發(fā)分組到客戶端時(shí)，對(duì)發(fā)往客戶端在受訪網(wǎng)絡(luò)上的地址的分組進(jìn)行解析。在客戶端發(fā)出第三層分組時(shí)，它會(huì)通過(guò)AC發(fā)送這些分組，進(jìn)而修改源IP地址的報(bào)頭，通過(guò)隧道將這些分組發(fā)送到HA.這種流程被稱為“反向隧道”（參見(jiàn)圖4）。

圖4 集中式WLAN網(wǎng)絡(luò)架構(gòu)中的第二層和第三層移動(dòng)

　　企業(yè)網(wǎng)絡(luò)

　　AC充當(dāng)基站A的移動(dòng)IP本地代理？？

　　AC充當(dāng)基站A的移動(dòng)IP外部代理（FA）和代理MIP 客戶端

　　WLAN交換機(jī)/接入控制器（AC）

　　第二層網(wǎng)絡(luò) 第二層網(wǎng)絡(luò)

　　基站A 第二層移動(dòng)客戶端轉(zhuǎn)移到同一個(gè)AC上的AP

　　基站A 漫游到同一個(gè)第三層網(wǎng)絡(luò)上的AP

　　基站A 漫游到不同第三層網(wǎng)絡(luò)上的AP

　　第三層移動(dòng)－在移動(dòng)基站從AP移動(dòng)到不同AC時(shí)

　　在考慮一個(gè)包含多個(gè)AC和AP的大型企業(yè)網(wǎng)絡(luò)拓?fù)鋾r(shí)，您可以考慮在不同AC之間建立MIP隧道。（即，它們充當(dāng)一組用戶的外部代理，以及另外一組用戶的本地代理）從可擴(kuò)展性的角度來(lái)說(shuō)，AC必須具有足夠的處理能力和交換容量（交換從AP到AC的隧道到AC之間的隧道）。

WLAN交換機(jī)和集中式架構(gòu)――常見(jiàn)的錯(cuò)誤觀點(diǎn)
　　前面幾節(jié)介紹了集中式AC+WTP架構(gòu)的不同方面，以及一些值得注意的部署要素。本節(jié)將介紹關(guān)于這些架構(gòu)及其部署的一些常見(jiàn)的錯(cuò)誤觀點(diǎn)，目的是更好地檢查這個(gè)尚處于發(fā)展階段的領(lǐng)域。
　　* 錯(cuò)誤觀點(diǎn)1：AC需要執(zhí)行交換功能――因而被命名為WLAN交換機(jī)。
　　AC并不需要達(dá)到這樣的要求。事實(shí)上，最早的AC都是一些附加設(shè)備（例如運(yùn)行Linux的PC）。控制功能是部署的重要組成部分――交換通常被用于加快對(duì)AP收發(fā)的流量的轉(zhuǎn)發(fā)速度。
　　* 錯(cuò)誤觀點(diǎn)2：惡意WTP檢測(cè)是AC的一項(xiàng)標(biāo)準(zhǔn)功能。
　　在某些部署中需要該功能，但是這并非是必要的“標(biāo)準(zhǔn)”。一個(gè)原因是，各個(gè)供應(yīng)商在這方面采取了不同的做法（例如，他們用來(lái)將WTP劃分為惡意WTP的算法）。另外一個(gè)原因是，AC必須依靠AP或者無(wú)線監(jiān)視器，這種依賴性會(huì)隨著部署方式的不同而不同。
　　* 錯(cuò)誤觀點(diǎn)3：胖、瘦和適中AP之間的界限是非常明確的。
　　目前存在很多種不同的AP（和AC）功能實(shí)現(xiàn)方式，因此這種觀點(diǎn)并不一定是正確的。如需查看一個(gè)WTP和AC實(shí)現(xiàn)的分類（快照）范例，請(qǐng)參閱RFC 4118[4].
　　* 錯(cuò)誤觀點(diǎn)4：第二層和第三層移動(dòng)是AC+WTP架構(gòu)的標(biāo)準(zhǔn)功能。
　　這種觀點(diǎn)實(shí)際上是錯(cuò)誤的。針對(duì)第三層移動(dòng)部署的代理MIP只是往這個(gè)方向邁出的一步，而大部分AC供應(yīng)商都依靠專用的機(jī)制提供AC-AC通信和第三層移動(dòng)功能。
　　* 錯(cuò)誤觀點(diǎn)5：安全功能（例如防火墻、入侵檢測(cè)等）不屬于AC的功能。
　　一些供應(yīng)商的做法已駁斥了這種觀點(diǎn)：他們將這些功能加入到了他們的AC之中。這是供應(yīng)商樹(shù)立特色的途徑之一。
　　總結(jié)
　　本文列出了CAPWAP控制功能的主要特性，以及在部署AC+WTP架構(gòu)時(shí)，與第二層、第三層移動(dòng)有關(guān)的一些問(wèn)題。盡管IETF正在為這個(gè)新興的領(lǐng)域制定標(biāo)準(zhǔn)協(xié)議，供應(yīng)商仍然有足夠的空間樹(shù)立自己的特色。本文通過(guò)詳細(xì)介紹依靠集中式控制器管理一組無(wú)線終端的架構(gòu)，闡述了WLAN交換機(jī)的功能和部署。