WLAN协同控制架构艾诺威.docx
- 文档编号:24249430
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:66
- 大小:3.64MB
WLAN协同控制架构艾诺威.docx
《WLAN协同控制架构艾诺威.docx》由会员分享,可在线阅读,更多相关《WLAN协同控制架构艾诺威.docx(66页珍藏版)》请在冰豆网上搜索。
WLAN协同控制架构艾诺威
白皮书
白皮书
艾诺威科技公司
使用协同控制来分布智能
目录
概述4
协同控制®架构4
集中管理,分布式控制和分布式转发5
关键概念和命名约定6
协同控制7
HiveAP自动发现和自组织8
自主接入点的漫游问题8
三层快速/安全漫游9
大规模三层漫游环境下的通道负载均衡11
无线资源管理(RRM)11
负载均衡和基带控制11
边缘策略执行12
用户配置文件和基于身份的策略12
边缘QoS12
带动态空时调度的QoS14
服务级别协议(SLA)和AirtimeBoost16
客户端健康状况17
HiveAP安全和盗窃保护20
无线入侵保护系统(WIPS)-未授权接入点和客户端的阻止21
语音和视频感知的WIPS扫描22
集成协议分析器和客户端监测22
第三方WIPS和协议分析器集成23
HiveAP的无线加密带来边缘的高级安全性25
内置RADIUS服务器于HiveAP25
内置的可控制Web门户25
基于身份的通道26
边缘用户接入策略执行27
私有预共享密钥(PPSK)安全性28
虚拟专用网络(VPN)29
最优路径转发与无线网状网30
无线网状网31
可扩展的第二层路由及最优路径选择32
最优路径转发的可扩展性33
高可用性33
无单点故障33
智能以太网供电(PoE)34
冗余和聚合链路34
通过动态地避开故障的方法进行自我恢复35
动态网状网故障恢复35
AAA凭证缓存36
集中式无线局域网管理36
HiveManagerWNMS的简单且可扩展性管理36
HiveManager的版本37
HiveManager组件及通信38
简化的配置管理38
与接入点部署有关的零配置39
自动部署39
简化监控,故障排除和报告39
适用于无线局域网策略配置的HiveAP分类41
来宾管理器43
基于角色的来宾管理43
GuestManager来宾访问43
来宾帐户创建与管理43
凭证44
客户验证的单一集中式场合44
作为一个设备被进行交付44
网络供电应用程序45
TeacherView介绍45
TeacherView如何工作47
TeacherView管理47
结论49
概述
第一代WLAN采用的是自主独立的接入点,部署起来也相对容易。
但它们缺乏企业所要求的可管理性,移动性及安全性的特点,而且简化网络的要求也达不到。
之后出现了集中的,基于控制器的网络架构。
它能解决上述问题和其他一些问题,例如移动设备的快速安全漫游,无线资源管理(RRM)和基于每个用户/设备的安全策略问题等。
然而不幸的是,这种网络架构同时也引入了迟钝的叠加网络,性能瓶颈,单点故障,更长的时延,和更高成本的企业网。
如今,随着Wi-Fi越来越被认为是企业网的重要组成部分,企业也通过极其高速的Wi-Fi架构来部署一些高要求的应用程序(例如语音和视频),Wi-Fi的成果被不断放大,它引领着行业对现今集中的WLAN架构的有效性进行重新评估。
作为对这一形势的响应,艾诺威网络开创了一个新的WLAN架构—协同控制架构。
它是一个无控制器的架构,因而消除了控制器在提供企业对无线架构所要求的管理性,移动性,可升级性,灵活性和安全性时带来的弊端。
协同控制®架构
艾诺威网络开发了一种创新的无线架构设备—协同控制接入点(CC-AP)。
CC-AP将企业级接入点与一套协同控制协议和功能结合起来,以提供基于控制器的WLAN解决方案所能提供的所有优势,而无需使用控制器或者叠加网络。
艾诺威网络所使用的CC-AP被称之为HiveAP。
这种协同控制功能可使多个HiveAP组成小组(称为“巢”),这些“巢”能够共享HiveAP之间的控制信息并启用一些其他功能,例如,二层和三层的快速安全漫游,调节无线信道和信号强度的管理,安全性,服务质量(QoS)和本地网状网络。
这种信息共享能力使得下一代WLAN架构,即协同控制架构能够提供基于控制器的架构所提供的所有优势。
但比起基于控制器的架构,协同控制架构易于部署和扩展,成本更低,更可靠,更易于升级,更能无处不在地部署,性能更高,也更适合部署一些像是语音和视频这样高要求的应用程序。
图1简单呈现了协同控制架构的组成部分。
该架构由以下两种产品实现:
∙协同控制接入点(HiveAP):
具有双频功能,支持同时使用2.4GHz和5GHz两种频谱用于无线接入和/或无线网状连接。
HiveAP能实现强大的安全性功能,例如,WPA/WPA2企业版,WPA-WPA2个人版,以及一些标准,如OpportunisticKeyCaching、PrivatePSK,集成WIPS,状态防火墙策略,以及L2-L4拒绝服务(DoS)预防等。
每个HiveAP的服务等级协议(SLA)能力都基于使用一个易于配置的管理应用程序的高级QoS策略,动态空时调度(DynamicAirtimeScheduling)和AirtimeBoost能力。
也有单频的HiveAP。
∙集中管理平台(HiveManager):
该产品提供集中的用户策略管理,简化HiveAP配置,固件更新,监测和故障处理。
HiveManager有多种型号,包括1U和2U的设备,虚拟设备(虚拟机)和称为HiveManagerOnline的软件运营服务(SaaS)交付选项。
协同控制架构由如下三个不同但紧密联系的技术构建模块支持:
∙协同控制:
这是一组控制面协议,它们提供二层(基于MAC)动态路由,自动无线信道和信号强度选择和无控制器情况下的快速安全漫游。
∙边缘策略执行:
这是一种在用户连接到的网络的边缘情况下执行粒度,基于用户的QoS、安全性和接入策略的能力。
∙最优路径转发:
可扩展的有线/无线网状路由协议能使流量通过网络中最高性能最有效的路径安全地转发。
这包括两种能力,一是当未能建立的链路重新建立的时候能自动切回,二是能根据策略动态地将接入无线设备调为网状回环模式。
图1.协同控制架构的构建模块
集中管理,分布式控制和分布式转发
为了更好地理解艾诺威网络的协同控制架构,了解三个主要的功能区(或称为逻辑网络面)十分重要。
这三个网络面,即管理面、控制面和数据面可以用来描述网络架构的运作原理。
通过比较最常用的组络设备(如路由器和交换机)的逻辑网络面和HiveAP的逻辑网络面,你会发现它们之间有着极大的相似性。
例如:
•它们的逻辑网络面都有使用一个集中的管理平台用以配置,监测和故障处理的能力。
并且,由于该管理平台本身不在数据通路上,当管理平台被下线后,网络的功能不会受到影响。
•每个级别的网络设备都运用一个使用控制协议(如OSPF、spanningtree等)的分布式控制面来共享设备间信息。
这些信息使得设备间能互相调节以确保网络正常运行并不断适应变化。
有了分布式控制面提供的网络状态信息,每个设备就都能运用一个分布式数据面。
这就使它们能就流量应当如何通过最优路径进行处理转发迅速地作出决策。
多年来协同控制架构也证明是交换路由网是一个极为成功的网络架构,因为该架构可升级,性能高,灵活并允许集中管理。
举个范例来说,互联网使用的就是这种架构。
现今,许多企业WLAN都应用一个集中的基于控制器的架构。
该架构与这个经受了验证的架构截然不同,它把控制面和数据面集中到一个控制器硬件平台,从而降低了可升级性和灵活性。
艾诺威的协同控制架构是首个将这些验证过的网络的优势都引入到WLAN中的网络架构。
下表显示的是在交换路由网中使用的协同控制架构和经验证的架构的平台对等关系。
逻辑网络面
路由器
交换机
HiveAP
管理面:
负责配置,监测和故障处理。
集中式-使用网管(NMS)平台
集中式-使用网管(NMS)平台
集中式-使用集中的WNMS平台HiveManager
控制面:
负责做出转发决策和数据面的程序设计。
分布式–使用协议(OSPF、RIP、BGP等)来决定如何转发流量
分布式–使用协议(如STP)和MAC寻址来决定流量的去向
分布式–使用艾诺威协同控制协议(AMRP、ACSP、DNXP和INXP)用于动态无线资源管理,L2/L3的快速安全漫游,基于身份的通道并用以决定如何转发流量。
数据面:
负责数据的处理转发。
分布式–由每个路由器进行处理转发
分布式–由每个交换机进行处理转发
分布式–由每个HiveAP进行处理转发
通过使用分布式控制面和数据面将该经验证的用于交换和路由平台的架构扩展到WLAN尤其重要。
这是因为企业要求更高的可用性,802.11n带来更强的性能,并希望提高他们的本地公司及分公司的生产力。
分布控制面和数据面(例如,除去控制器)消除了整个无线网络中的单点故障和性能瓶颈问题,这就使得远程站点部署变得和校园部署一样简单实用。
关键概念和命名约定
图2表明HiveAP具有不同的角色,这些角色是根据它们连接到网络的方式而自动设定的。
下文列出了在描述艾诺威网络协同控制架构时提到的关键术语:
•HiveAP®:
艾诺威的CC-AP的产品名称。
HiveAP之间通过使用协同控制协议相互协调以提供一些重要功能,包括无缝移动性,自动无线资源管理,基于策略的安全性功能和最优路径转发。
•HiveOS®:
由艾诺威网络开发的运行于HiveAP之上的固件。
•HiveManager®:
一个集中的无线网络管理系统(WNMS)。
该系统能进行复杂的基于身份的策略管理,简单化的设备配置,HiveOS更新以及一个协同控制WLAN架构内的HiveAP的监测和故障处理。
HiveManager的实现形式可以是一个实体设备,一个虚拟设备,或者一个被称为HiveManagerOnline的软件运营服务(SaaS)产品。
•Hive:
一个Hive是一组拥有相同名称和密钥的HiveAP。
这个相同的名称和密钥使得这些HiveAP之间能通过使用协同控制协议安全地通信。
在一个Hive中,客户端可以越过二层和三层的边界在HiveAP之间无缝漫游,而客户端的安全状态,QoS设置,IP设置和数据连接保持不变。
•GuestManager™:
一个提供简单的Web页面的来宾管理平台。
该平台使得管理员,例如,前台接待员或议会大使,能创建临时的用户账号以让来宾能接入到无线网络。
•有线回环链路:
从一个HiveAP到主要有线网络的以太网连接,在无线网络标准中一般被称为分布系统(DS)。
有线回环链路用于连接无线LAN和有线LAN之间的流量。
•无线回环链路:
HiveAP之间的无线连接。
无线回环链路用于创建一个无线网状网络并提供主要传输控制和数据流量的无线连接。
•桥链路:
从一个HiveAP到主要的有线LAN的以太网连接。
该HiveAP允许有线设备或网段跨过WLAN。
•无线接入链路:
一个无线客户端和一个HiveAP之间的无线连接。
•门户:
一个通过以太网直接连接到有线LAN的HiveAP。
以太网提供了Hive内的到网格点的默认MAC路由。
该角色是动态选择的。
如果有线网络断开,那么该HiveAP就动态地变成了一个网格点。
•网格点:
一个通过无线回环链路连接到Hive并且不使用有线链路用于回环的HiveAP。
该角色也是动态选择的。
如果某个有线网络插入,配置允许的情况下,该HiveAP动态地变成了一个门户。
•协同控制信令:
HiveAP之间使用协同控制协议进行的控制面的通信。
图2.艾诺威网络命名约定
协同控制
通过使用协同控制,HiveAP与周围的HiveAP共同合作以提供一些控制功能,例如,无线资源管理,二层/三层路由,客户端负载均衡和无线网状网络。
这样就不需要使用一个集中的控制器了。
协同控制是通过如下的自组织和自动运行的协同控制协议来实现的:
•AMRP(艾诺威移动性路由协议)-该协议给HiveAP提供了自动发现周围HiveAP,通过无线网状网实现MAC层的最优路径转发,流量路由失败时动态和状态重路由,和分配预测的身份信息和密钥给周围HiveAP的功能。
它给客户端提供了在HiveAP之间快速安全漫游的能力,而客户端的鉴权状态,加密密钥,防火墙会话和QoS执行设置保持不变。
•ACSP(艾诺威信道选择协议)-HiveAP使用该协议分析一个管理域内每条信道上的RF环境并与其他HiveAP合作来确定无线接入和Mesh的最优信道和强度设置。
ACSP将共信道和相邻信道干扰降到最低以提供最优的应用程序性能。
•DNXP(动态网络拓展协议)-在不同子网中的两个HiveAP之间按需动态创建通道,从而给客户端提供两子网间无缝漫游的能力,而客户端的IP地址设置,鉴权状态,加密密钥,防火墙会话和QoS执行设置保持不变。
请注意客户端在同一个子网内的接入点间漫游无需通道。
协同控制协议允许HiveAP作为一个完整的系统运行,以提供移动性,安全性,RF控制,可升级性和灵活性。
这些功能对于支持现在的以及将来的基于Wi-Fi架构的高要求应用程序而言是至关重要的。
HiveAP自动发现和自组织
通过使HiveAP能自动发现其他HiveAP并主动同步网络状态,协同控制简化了HiveAP的部署。
HiveAP具有发现其他HiveAP的能力,无论它们是通过有线网络还是无线网络发现彼此。
当HiveAP上电之后,它们就开始搜寻有线网络和无线网络中的其他HiveAP。
如果找到了与其具有相同Hive名称和共享密钥的HiveAP,这些HiveAP就能相互建立起AES安全连接。
一旦一个Hive内的HiveAP建立起了相邻关系,这些HiveAP就会使用有线和无线链路的协同控制协议来提供快速安全漫游,无线资源管理和灵活性。
如果HiveAP发现位于不同子网下的周围HiveAP,只要这些HiveAP配置了相同的Hive名称并拥有相同的共享密钥设置,它们就会彼此交换IP信息并通过路由网络架构建立通信,以越过三层界限提供协同控制功能。
协同控制协议的好处在于它们无需配置,从而极大地降低了运营成本和部署一个现代无线解决方案的复杂性。
自主接入点的漫游问题
快速安全漫游通常被定义为发生在几十毫秒内的漫游。
当使用一些实时的应用程序,例如语音和视频时,快速安全漫游显得尤为重要。
因为使用这些应用程序时,连接中断可能会引起无声音,声音断断续续,甚至掉话。
由于传统的自主接入点相互不了解其他接入点的存在,因而不可能使用IEEE802.1X/EAP鉴权实现快速安全漫游。
这是因为鉴权过程中,RADIUS服务器,无线客户端和执着入点三者会交换用户鉴权信息并获取它们之间的加密密钥。
如果无线客户端移动到另一个接入点,由于这个新的接入点没有之前的接入点上创建的密钥,因此无线客户端不得不再次重复整个的鉴权和密钥获取过程。
在此过程中,客户端上现有的对时间敏感的会话将会被终止,例如语音,视频或文件传输。
图3.自主接入点-使用802.1X/EAP无法实现快速安全漫游
艾诺威网络通过AMRP解决了自主接入点解决方案存在的这个问题。
无论HiveAP之间是通过有线LAN还是无线网状网连接的,它们都通过使用AMRP相互合作以交换客户端鉴权状态信息,身份信息和加密密钥信息,从而使客户端实现快速安全漫游。
图4列出的是HiveAP为实现快速安全漫游执行的步骤:
图4.HiveAP–鉴权,密钥获取和密钥共享
步骤一:
无线客户端使用802.1X/EAP鉴权方式成功地在一个RADIUS服务器上鉴权后,该RADIUS服务器和该客户端之间交换的信息用于获取一个PMK(成对主密钥)。
无线客户端和RADIUS服务器上的PMK是相同的。
步骤二:
RADIUS服务器将该PMK传输给HiveAP。
这样,客户端和HiveAP之间就能建立起加密连接。
步骤三:
HiveAP使用AMRP协议主动将加密密钥,身份信息,SIP语音会话状态信息,防火墙和QoS策略信息共享给周围的HiveAP。
这样,再加之OKC(随机性密钥缓存)标准,就能允许客户端在不同HiveAP之间漫游,而无需重复802.1X/EAP鉴权过程,从而实现快速安全漫游。
注意:
从安全性角度考虑,HiveAP之间发送的密钥和身份信息是通过AES进行加密的,并且这些信息只存储在HiveAP的内存中。
这样一来,当HiveAP下电之后,这些密钥连同所有的用户身份信息都会从系统中删除。
此外,管理员无法查看这些密钥。
这些安全性措施阻止了当有线网络被分析或者HiveAP被盗取的情况下密钥被其他人获取。
除了给周围的HiveAP共享密钥信息,AMRP还会共享用户的身份信息。
这样,当用户在HiveAP之间漫游时,HiveAP就能执行基于身份的防火墙接入策略和QoS设置。
三层快速/安全漫游
典型的IP网络的移动性问题是很具有挑战性的。
这是因为当用户在不同子网间移动时,它们的IP设置发生改变,而这通常会使基于IP的会话或应用程序失败。
为了使用户在一个WLAN下的不同子网间漫游时,他们的IP设置和网络连接能保持不变,艾诺威开发了DNXP(动态网络拓展协议)。
当用户漫游到另一个子网的接入点时,DNXP就会动态建立一个从新的接入点到用户漫游前子网接入点的通道。
该用户的流量会通过通道传输回原来的子网。
这就使客户端能够在不同子网的HiveAP之间漫游时保持它们的IP地址设置,鉴权状态,加密密钥,防火墙会话和QoS执行策略不变。
这对使用语音和视频应用程序的客户端而言尤为重要。
当三层漫游启动后,HiveAP能通过扫描无线信道来自动发现位于三层的周围HiveAP(在不同子网下的周围HiveAP)。
如果这些HiveAP位于相互能发现的无线范围且处于不同IP网络的同一个Hive下,而三层漫游也启动了,那么这些HiveAP就会通过路由以太网彼此间建立起三层的相邻关系。
HiveAP继而就会将通道和客户端信息共享给它们的三层周围HiveAP。
这样,当用户越过三层边界漫游时,通道就可以无时延地建立起来。
在HiveAP不能通过无线互相发现彼此的情况下(可能是由于两个HiveAP位于一个RF障碍物的相反两侧),你可以使用HiveManager给HiveAP手动配置三层的周围HiveAP。
当三层的周围HiveAP被发现之后,无论是自动还是手动发现的,不同子网下的HiveAP就会交换可用的HiveAP门户的名单以及客户端和漫游缓存信息。
这样,如果一个客户端确实漫游到一个新的子网,新的子网下的HiveAP就会知道该客户端并能动态建立一个通道到漫游前的子网下的任何一个门户HiveAP,从而实现三层的快速安全漫游。
图5显示的是当客户端在本子网内或在不同子网间漫游时,HiveAP执行的基本步骤:
图5.三层快速安全漫游实现过程
步骤一:
客户端在A子网内进行无缝的二层安全快速漫游。
步骤二:
客户端成功漫游到HiveAP2之后,HiveAP2通过以太网架构发送加密控制包给相邻子网的HiveAP。
该控制包至少包括客户端的身份,安全性和QoS信息,SIP呼叫状态和客户端的漫游前的原始子网等信息。
步骤三:
由于客户端的身份和密钥信息(包括SIP呼叫状态)在相邻的HiveAP之间是主动同步的,当客户端漫游到HiveAP3后,HiveAP3已经有了所有它需要的信息来执行策略并通过GRE通道将许可的流量传输到客户端漫游前的原始子网下的门户HiveAP。
这一行为允许客户端在漫游时保持其IP地址和动态会话不变。
HiveAP3转发该无线客户端的路由信息给HiveAP4以预测下一步的路由。
客户端在不同子网间漫游时保持其IP,QoS,防火墙和安全性设置不变的能力可确保客户端应用程序会话在漫游时不会掉话。
基于可配置的空闲时间或每分钟包的数量,HiveAP可设置为与这些无线客户端断开连接。
这样,HiveAP就能重新与客户端连接并接收在新的子网下的IP地址,从而允许流量的本地转发。
如果客户端在没有任何进行中的会话情况下,在不同子网间漫游,客户端就会被立即转移到新的子网,无需传输流量。
总之,有了HiveAP和协同控制,无线客户端就具有在相同或不同子网下的HiveAP间进行快速安全漫游的能力,而不会影响客户端数据或语音连接。
大规模三层漫游环境下的通道负载均衡
艾诺威的三层漫游特性通过使用通道负载均衡在一个子网内的所有门户HiveAP分配通道的方式提供了前所未有的可升级性。
这是利用了无线网络的分布式处理能力来支持三层的漫游通道和多吉比特的跨子网吞吐量。
当远程子网下的HiveAP试着建立一个到原始的子网下的HiveAP的通道时,如果原始子网下的这个HiveAP有着很高的通道负荷(这种情况很少见),那么这个HiveAP就会通知远程子网的HiveAP与原始子网下的另一个门户HiveAP建立通道。
这就使得任一HiveAP不会被过度使用。
无线资源管理
HiveAP使用ACSP协议以应对RF环境中的变化。
ACSP使多个HiveAP相互合作以自动选择最优的信道和强度设置,从而使全网的网络性能达到最优。
HiveAP使用ACSP来扫描信道并建立其发现的无线设备的表格。
这些表格,加上其他RF信息(例如信道使用情况和重试次数)被用于对干扰类型和干扰源进行识别和分类。
HiveAP之间相互交流ACSP状态信息并使用该信息来选择用于网络拓扑和配置的合适信道和信号强度级别。
对处于接入模式的每个无线设备,ACSP都会选择一条信道和信号强度级别以使无线覆盖最大化,而使其与周围的无线设备之间的干扰最小化。
这是通过确保HiveAP与其最邻近的HiveAP使用不同的信道,并且HiveAP调整其强度以使该HiveAP与其他距离较远的HiveAP之间的共信道干扰最小化而实现的。
对于处于回环(Mesh)模式的无线设备,ACSP确保这些无线设备在Mesh中使用同一信道,并使该信道与接入链路的干扰最小化。
为了保持最优性能,ACSP不断地检查无线信号强度设置并能基于邻近的接入点的通信自动降低无线强度,以使无线覆盖最大化而干扰最小化。
该操作在失败状态或当某接入点被下线时显得十分有用。
这是因为在此类情况下,邻近的接入点能自动调整其强度至最优状态,本质上,缺少的接入点也考虑在内。
ACSP也可在可配置的日常时间窗口或当连接上特定数量的客户端时定时重新校准无线信道。
这能帮助确保在使用WLAN时,无线信道不会切换,从而阻止无线客户端的服务中断。
负载均衡和基带控制
在无线网络中,经常会有许多用户连接到同一个接入点甚至同一个接入点下的同一个无线设备(用户对此并不知道),邻近的接入点可能就不能得到充分利用。
这就会对客户端的性能造成重大影响并可能给这些用户带来不满的体验。
因此,从逻辑上来说应当尽量使客户端从高负荷的接入点转移至低负荷的接入点。
为了帮助在协同控制架构中的H
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WLAN 协同 控制 架构 艾诺威