移动管理

　　移动管理可以采取两种形式――第二层和第三层移动。假设一个客户端从一个WTP移动到另外一个WTP――当一个使用笔记本电脑的用户在同一栋大楼的两个会议室之间移动时，可能会发生这种情况。客户基站会重新关联新的WTP，之后进行身份验证。请注意，在它与新的AP“建立起” 关联之前，它与原先的AP的关联会被“中断”；因此WLAN中的切换被称为“先中断，后建立”。虽然这种方式可能导致潜在的流量中断（和重新传输），但是它仍然优于“先建立，后中断”（用于蜂窝网络的通信），可以保持客户端无线连接的简便和廉价。

　　理解第二层和第三层移动的方法之一是将第二层移动视为在受同一个AC控制的（即隶属于同一个第三层网络）AP之间的移动，而第三层移动则是在受不同AC控制的AP之间的移动。

　　第二层移动网络管理

　　第二层移动意味着当基站从一个WTP移动到另外一个时，IP寻址能力不会受到影响，这意味着所有的AP都位于同一个第二层网络上，即它们都连接到同一个AC（参见图4）。为了防止发送第二层客户端的数据丢失，WLAN交换机现在必须将客户端数据转发到新的WTP.在客户端关联之后，新的WTP会发出一个以太网帧到AC，并将客户端的MAC地址作为源地址。交换机现在能将客户端的MAC地址关联到连接新WTP的端口。

　　虽然这种流程适用于AP和AC之间的第二层（交换网络）连接，但是在它们之间使用隧道连接时，需要一种略有不同的方法。AC会在从新的WTP收到MAC帧之后，将客户端的映射转移到一个不同的隧道（即一个虚拟端口）。

　　第二层切换的另外一个需要考虑的问题是WTP的数据缓存。在正常情况下，交换机或者AC在从新的WTP收到信息之前不会意识到切换的必要性。但是，如果WTP具有增强的统计信息，它就可以判定某个特定的客户端已经从原先的WTP移出，从而停止向原先的WTP转发数据。这些统计信息可能包括：无线链路上的载波侦听多点接入/冲突避免（CSMA/CA）MAC层协议的最大重试次数。交换机并不需要缓存数据，因为它并不清楚什么时候需要切换到新的 WTP.这种方式有助于避免在原有WTP和AC之间的链路上浪费流量。

　　有些供应商借助胖AP，为解决这个问题采取了一种不同的方法。根据这种方法，AP会在从交换机收到一个表明客户端已经转移到另一个交换机端口的数据帧之前，一直缓存流量。这些AP能将缓存的流量发送到交换机，再由交换机转发流量到新的WTP.因为我们的目的是降低WTP的复杂性，这种方法在集中式AC+WTP架构中显然不是首选的方法。

　　第二层漫游的另一个重要特点是需要在新的WTP上进行预先身份验证。通过802.11i，客户端可以针对相邻WTP进行预先身份验证，以使得向不同WTP的漫游不需要经历冗长的身份验证流程，即不需要向新WTP发送双主密钥（PMK）。（但是仍然需要获得双过渡密钥[PTK].）

　　当AC为某个特定客户端保持PMK时（通过与一个RADIUS服务器的交互），该流程将自动进行――即AC将针对客户端的PMK发送到新的WTP.802.11帧的加密仍然利用新的PTK，由原有的和新的WTP完成。

　　第三层移动网络管理

　　第三层移动需要客户端在多个AP之间漫游时保持相同的IP地址。这通常发生在客户向多个节点发布了它的IP地址的情况下。这种情况往往出现在对等通信中，即移动基站需要为某种功能充当服务器时。理想的情况是，无论移动节点在何时转移到一个新的第三层网络，与该移动节点通信的其他节点都不需要更改它们的配置。

　　移动IP解决了第三层移动所存在的问题[6].我们在这里并不打算讨论移动IP的具体细节，但是需要指出的是，它包含三个不同的组件。客户端本地网络上的本地代理（HA）负责客户端的地址。所有发送客户端的（不变）IP地址的分组都被发送到本地代理。如果客户端位于本地网络上，HA会直接将分组转发到客户端。如果它位于一个外部网络或者受访网络上，HA会将分组转发到一个位于受访网络上的外部代理（FA）。

　　为此，它必须设置一个指向FA的隧道――这通常是一个通用路由封装（GRE）或者IP-in-IP隧道。

　　在从隧道中分离出原始分组之后，FA负责将该分组转发到客户端。这只是大概的描述，实际上其中涉及到大量其他的步骤。在无线局域网中，实现第三层客户端移动的关键在于移动IP终端所在的位置。有些客户基站包括一个针对MIP客户端的软件堆栈。

　　这种客户端MIP（CMIP）软件会：

　　* 分离分组中的MIP报头

　　* 插入一个新的报头，让客户端的高层应用确信该分组是发往该客户端在外部网络上的IP地址的

　　*CMIP方法是部署MIP的推荐方法。但是它的不足在于，必须为网络中的每个移动基站添加一个MIP客户端――在存在大量的移动基站时，这种配置可能相当繁琐。

　　集中式AC+WTP架构为解决这个问题提供了一个途径。有些AC/WLAN交换机供应商在AC上部署了MIP功能，以使得客户端不需要进行改动。有些部署将其称为代理MIP功能。

　　AC能充当一个FA，端接来自于HA的隧道，以及在转发分组到客户端时，对发往客户端在受访网络上的地址的分组进行解析。在客户端发出第三层分组时，它会通过AC发送这些分组，进而修改源IP地址的报头，通过隧道将这些分组发送到HA.这种流程被称为“反向隧道”（参见图4）。

图4 集中式WLAN网络架构中的第二层和第三层移动

　　企业网络

　　AC充当基站A的移动IP本地代理？？

　　AC充当基站A的移动IP外部代理（FA）和代理MIP 客户端

　　WLAN交换机/接入控制器（AC）

　　第二层网络 第二层网络

　　基站A 第二层移动客户端转移到同一个AC上的AP

　　基站A 漫游到同一个第三层网络上的AP

　　基站A 漫游到不同第三层网络上的AP

　　第三层移动－在移动基站从AP移动到不同AC时

　　在考虑一个包含多个AC和AP的大型企业网络拓扑时，您可以考虑在不同AC之间建立MIP隧道。（即，它们充当一组用户的外部代理，以及另外一组用户的本地代理）从可扩展性的角度来说，AC必须具有足够的处理能力和交换容量（交换从AP到AC的隧道到AC之间的隧道）。

　　WLAN交换机和集中式架构――常见的错误观点

　　前面几节介绍了集中式AC+WTP架构的不同方面，以及一些值得注意的部署要素。本节将介绍关于这些架构及其部署的一些常见的错误观点，目的是更好地检查这个尚处于发展阶段的领域。

　　* 错误观点1：AC需要执行交换功能――因而被命名为WLAN交换机。

　　AC并不需要达到这样的要求。事实上，最早的AC都是一些附加设备（例如运行Linux的PC）。控制功能是部署的重要组成部分――交换通常被用于加快对AP收发的流量的转发速度。

　　* 错误观点2：恶意WTP检测是AC的一项标准功能。

　　在某些部署中需要该功能，但是这并非是必要的“标准”。一个原因是，各个供应商在这方面采取了不同的做法（例如，他们用来将WTP划分为恶意WTP的算法）。另外一个原因是，AC必须依靠AP或者无线监视器，这种依赖性会随着部署方式的不同而不同。

　　* 错误观点3：胖、瘦和适中AP之间的界限是非常明确的。

　　目前存在很多种不同的AP（和AC）功能实现方式，因此这种观点并不一定是正确的。如需查看一个WTP和AC实现的分类（快照）范例，请参阅RFC 4118[4].

　　* 错误观点4：第二层和第三层移动是AC+WTP架构的标准功能。

　　这种观点实际上是错误的。针对第三层移动部署的代理MIP只是往这个方向迈出的一步，而大部分AC供应商都依靠专用的机制提供AC-AC通信和第三层移动功能。

　　* 错误观点5：安全功能（例如防火墙、入侵检测等）不属于AC的功能。

　　一些供应商的做法已驳斥了这种观点：他们将这些功能加入到了他们的AC之中。这是供应商树立特色的途径之一。

　　总结

　　本文通过详细介绍依靠集中式控制器管理一组无线终端的架构，阐述了WLAN交换机的功能和部署。本文列出了CAPWAP控制功能的主要特性，以及在部署AC+WTP架构时，与第二层、第三层移动有关的一些问题。尽管IETF正在为这个新兴的领域制定标准协议，供应商仍然有足够的空间树立自己的特色。