无线网络架构的发展和演变

　　目前，企业无线网的部署大多数只是在已有的有线网络基础之上，架设无线设备AP（业界称之为FAT AP）作为接入点，将无线技术作为最后一“跳”的接入技术；还有一些企业的无线网络中加入了安全接入网关（有时也简称为公共接入网关），这些网关对所有通过AP进入网络的数据进行监控，以加强整个无线网的用户管理和安全管理。

　　虽然以上两种无线网的架构已经比较成熟，部署也比较广泛，但是这两种架构中的局限性也是非常明显的。

　　首先，由于较多的无线功能需要在AP上实现，比如认证、加密等，一些相关的安全配置不得不存储在AP中，包括加密的密钥，Radius客户端的安全密码 (secret) 等；因此一旦AP中的安全配置信息被人盗取，无线网络的安全就会受到威胁。

　　其次，从可管性的角度来看，以上的两种无线网架构或者只单纯地使用AP，没有任何管理控制设备，因此无法有效地进行安全管理、用户管理和网络设备（如AP）管理。通过部署无线网关，实现了接入认证机制（如802.1x认证，ACL等），但是仍然无法对网络设备进行相应的管理，例如无法实现AP与AP相互之间的协调，以智能方式自动调整各个AP的无线电波频道和功率等。

　　再次，从扩展性的角度来看，一旦出现了新的无线网络应用，需要对AP进行软件升级或者更改相应配置的时候，管理员必须对所有AP一一进行操作，既费时费力，也加大了出现配置错误的可能。

　　针对以上问题，业界提出了Wireless switching的概念。在这种无线网架构下，无线交换机集中实现了链路层的功能，AP只是实现无线电波的收发功能。除了一些基本信息，例如AP的编号、IP地址、缺省网关、无线交换机地址等参数之外,AP本身不再储存任何无线网络的配置信息。AP在启动的时候会从交换机下载启动脚本和无线电波的配置参数，这些启动脚本和配置参数并不储存在AP上。这种架构下的AP与传统的AP完全不同，不能够单独使用。由于其本身相对传统的AP只集成了无线部分的功能，所以也被业界称为THIN AP。Wireless switching架构有非常好的扩展性，如果需要增加新的功能，可以通过升级交换机的软件来实现，而无须对部署的每一个AP进行升级。

　　Wireless switching架构的另一大特点是AP和无线交换机之间通过某种隧道进行通信，所有进入AP的无线数据都是通过隧道传输到交换机上进行处理。即使AP和交换机不在同一个局域网内部，远端的AP只须预设相应的隧道参数就可以与无线交换机通过Internet互连。

　　另外，所有802.11的加密和解密都是在无线交换机上运行， AP上不实现加密和解密的功能。数据从客户端加密之后，通过无线电波传输到AP，再经由有线链路到达位于中心机房或配线间的无线交换机。这种模式下，从客户端到AP再到无线交换机整条路径上的数据都是加密传输的。业界称这种模式为集中加密/解密。

　　简而言之，Wireless switching架构将无线电波的收发功能和无线网络的链路层功能分别在AP和无线交换机上实现，用以解决无线组网中的一些缺陷。

　　Aruba无线交换技术的基本原理

　　针对Wireless switching架构，Aruba Networks公司提出了一套解决方案。

　　Aruba无线网络系统包含两个部分，AP和无线交换机。AP和无线交换机间既可直接连接，也可以通过二层或者三层的以太网交换机、路由器等网络设备连接。Aruba AP启动后，它会自动和Aruba交换机建立两个GRE隧道：数据隧道和管理隧道。数据隧道，顾名思义就是用于无线终端上网的数据传输，当然包括上行数据和下行数据；而管理隧道则是用于无线交换机管理AP的专门通道。

　　在Aruba无线网络的部署过程中，AP可以通过DHCP服务器获取IP地址、IP缺省网关和Aruba Master IP地址。网络管理员也可以在Aruba AP内设置静态IP地址、IP缺省网关、Aruba Master IP地址和Location ID（Location ID是每一个Aruba AP在企业网内的编号，两个Aruba AP在同一个网上是不可以有相同的Location ID的）。所以当管理员查看Aruba交换机时，所有连接在这台交换机上的Aruba AP都会显示出来，且它们的Location ID都不会重复。

　　当AP启动后，它会自动寻找Aruba Master交换机，并且从交换机中下载启动程序脚本，在执行相关脚本之后AP会和Aruba的交换机建立GRE管理和数据隧道，当GRE隧道建立以后，Aruba交换机会把AP所需的无线电波参数传到AP上。

　　Aruba AP不储存无线网络的配置信息，甚至包括加密密钥和用户认证资料。在AP启动运行的时候，Aruba交换机会把无线电波配置传送到AP上，但是AP重新启动之后，AP上除了网络地址外所有的配置都会消失。

　　在具体的实施过程中，Aruba的Wireless switching技术还提供很多便于部署、管理、维护无线网络的功能以及一些无线增值服务，如：

　　1. 无线电波覆盖的规划工具 - RF Planning;

　　2. 无线用户和终端权限管理;

　　3. 无线入侵侦测系统;

　　4. Wi-Fi设备的定位与追踪;

　　5. 高效的VoWLAN接入。

　　FIT楼无线实证网络

　　我们将Aruba的Wireless switching解决方案应用于信息技术科学大楼（FIT）无线实证网络的部署，目前已实现了FIT一层和二层的无线全覆盖，从4月28日起FIT的无线网络开始投入运行。

　　在此次部署中，我们的总体原则可以用几个方面来概括，就是“可运行，可管理，可维护，可持续发展，保证安全性”。可运行是指保证无线网络能够提供稳定的数据和语音服务，可管理是指能有效地进行用户管理和无线设备管理，可维护是指能迅速确定网络故障点并准确排除故障，可持续发展是指能方便地升级网络设备以支持新的无线应用，保证安全性是指能够防止对网络的恶意攻击以及保证用户数据的安全性。

　　从两个半月的运行情况来看，整个网络比较稳定，没有出现严重的故障。在这期间，我们进行了数据采集，并且做了一些针对性的分析，以下挑选了一些有代表性的图表进行说明。

　　AP部署与无线覆盖范围

　　图1是Aruba公司网管系统提供的FIT二层AP部署的方案图，标明了所有AP的部署位置，以及相应的无线覆盖范围。通过这张图，以及一些辅助网络管理工具，我们可以随时掌握整个无线网的运行情况，并作出适当的调整，以满足用户的需要。

　　由于FIT楼的墙壁较厚，对无线信号的阻碍影响比较明显，因此为了达到理想的接入效果，在FIT楼北侧（大多数房间面积都很小）部署了相对大量的AP。

　　无线网络整体流量

　　图2显示了FIT楼无线网络的整体流量，分为周趋势图和月趋势图，采集点是无线网络的接入路由器。

　　无线网络用户接入情况

　　图3显示了4月28日至6月13日FIT楼内关联次数（客户端关联AP成功）、认证成功次数（客户端Radius认证成功）和活跃客户端数目（以MAC地址为准）统计图表。这是通过对Aruba AP的系统日志进行解析和二次加工后得到的。

　　从图中我们可以得到的最为明显的一个结论是：关联次数远远大于了认证成功次数和活跃客户端数目。这可能是由多种因素造成的，经过我们的初步调查，发现至少有两种情况是确实存在的：第一，“乒乓”现象。客户端处于无线信号的交叉覆盖区域，从而不停地在两个AP之间摆动。第二，疑似拒绝服务攻击。个别客户端在极短的时间内发生了大量的关联事件，影响了其他客户端的接入。

　　在此次FIT楼无线实证网络部署实施和运营的过程中，虽然Aruba的Wireless switching解决方案给我们留下了较深刻的印象，但是在实际应用中，我们也发现了一些潜在的问题和在构架无线网络时需要特别注意的地方：

　　1. 兼容性问题。Aruba的无线交换机只能搭配Aruba AP使用，无法与其他品牌的AP兼容。

　　2. 单点故障问题。Aruba AP都是通过无线交换机管理和控制，一旦交换机发生故障，则所有与其相连的AP均无法工作。

　　3. Aruba提供的客户端定位功能需要打开AP当中的AM（Air Monitor）功能，但是AP的接入功能和AM功能无法同时开启。因此，如果需要提供定位服务，在保证原有无线覆盖不变的前提之下，需要部署更多的AP。

　　总而言之，Wireless switching这种架构的无线网络技术仍是目前最先进的无线组网技术之一，代表了无线校园网络发展的一个主流方向。虽然在初期的产品实现和解决方案中还存在着一些问题，但随着相关标准的确立与制定，我们完全有理由相信上述问题会得到妥善解决。