瘦接入点

　　顾名思义，瘦AP的目的是降低AP的复杂性。对其进行简化的一个重要原因是AP的位置。很多企业都对AP采用了高密度安装的方式（因为分布在一些很难进入的区域），以便为每个基站提供最佳的射频连接。在仓库等特殊环境中，这种现象表现得更加明显。由于这些原因，网络管理人员希望只安装一次AP，而不需要对其进行复杂的维护。

　　瘦AP通常又被称为“智能天线”，它们的主要功能是接收和发送无线流量。它们会将无线数据帧发回到一个控制器，然后对这些数据帧进行处理，再交换到有线WLAN（参见图2）。

　　这种AP使用了一个（通常是加密的）隧道来将无线流量发回到控制器。最基本的瘦AP甚至不进行WLAN加密，例如有线等效加密（WEP）或者 WiFi受保护接入（WPA/WPA2）。这种加密由控制器完成――AP只负责发送或者接收经过加密的无线数据帧，从而保持AP的简便性，避免升级其硬件或者软件的必要性。

　　WPA2的面世使得在控制器上进行加密变成了一项非常迫切的任务。虽然WPA在硬件上与WEP兼容，只需要进行固件升级，但是WPA2并不向后兼容。网络管理人员不需要更换整个企业的AP，而是只需要将无线流量发送到能够进行WPA2解密的控制器，之后数据帧将会被发送到有线局域网。

　　在AP和控制器之间传输控制和数据流量的协议是专用的。而且，无法在第二/三层，将AP作为一个统一的实体加以管理――它可能通过控制器进行管理，而NMS能通过HTTP、SNMP或者CLI/Telnet与控制器进行通信。一个控制器可以管理和控制多个AP，这意味着控制器应当基于功能强大的硬件，并且通常能够执行交换和路由功能。另外一个重要的要求是，AP和AC之间的连接和隧道应当确保这两个实体之间的分组延时保持在很低的水平。

　　对于瘦AP而言，QoS的执行和基于ACL的过滤都是由控制器处理的――这并不会导致问题，因为所有来自AP的数据帧在任何情况下都必须经由控制器传输。ACL和QoS的集中控制功能也并不罕见――使用胖AP的网络也采用了这种方式。这种安装方式将控制器作为管理从AP到有线网络的流量的网关。但是，瘦AP的控制器功能采用了一种新的方式，尤其是在数据层面和转发功能方面。控制器功能被集成到连接无线和有线局域网的以太网交换机之中――这催生了称为“WLAN交换机”的设备系列。

　　在这种情况下，无线MAC架构被称为远程MAC架构。整套802.11 MAC功能都被转移到WLAN控制器上，包括对延时敏感的MAC功能。

　　适中接入点

　　适中AP也在得到越来越广泛的欢迎，因为它们结合了胖AP和瘦AP的优点。适中AP能够在提供无线加密功能的同时，利用AC进行实际的密钥交换。这种方式被用于使用最新的、支持WPA2的无线芯片组的新型AP.管理和策略功能由通过隧道连接到多个AP的控制器执行。

　　而且，适中AP还提供了一些额外的功能，例如让基站能通过DHCP获得IP地址的DHCP中继功能。另外，适中AP能够执行基于服务集标识符（SSID）的VLAN标记功能，让客户端可以与AP建立关联（在AP支持多个SSID的情况下）。

　　适中AP支持两种类型的MAC部署，即本地MAC和分离MAC架构。本地MAC指的是所有无线MAC功能都在AP执行。完整802.11 MAC功能（包括管理和控制帧的处理）都由AP执行。这些功能包括一些对时间敏感的功能（也被称为实时MAC功能）。

　　分离MAC架构会在AP和控制器之间分配MAC功能。实时MAC功能包括信标生成，检测信号传输和响应，控制帧处理（例如Request to Send和Clear to Send，即RTS和CTS），重新传输等。非实时功能包括身份验证和解除验证；关联和重新关联；以太网和无线局域网之间的桥接；以及分段等。

　　不同供应商的产品在AP和控制器之间分配功能的方式有所不同。在某些情况下，甚至它们对实时的定义也有所不同。一种常见的适中AP实施包括AP的本地MAC，以及AP的管理和控制功能。

　　集中式WLAN架构的下一个关键组件是接入控制器（AC）。在下文中，我们认为控制器功能部署在一台WLAN交换机上，并将该功能称为AC.我们还用“WTP”一词指代AP（包括胖、瘦或者适中）。

　　IETF的无线接入点的控制和配置（CAPWAP）工作小组正在定义AP及其所控制的WTP之间的接口和协议。本节将用CAPWAP框架来详细介绍AC和WTP之间的接口。[3，4，5]

　　图3显示了一个包含多个AC和WTP的企业网络。WTP能通过一个第二层（交换）或者第三层（路由）网络连接到AC.WTP和AC之间的接口负责下列功能：

　　* 通过WTP发现和选择一个AC

　　* 通过AC将固件下载到WTP――在启动和WTP触发之后

　　* WTP和AC之间的功能协商

　　* WTP和AC之间的双向身份验证

　　* WTP和AC之间的配置、状态和统计数据交换

　　* 有线和无线网段之间的QoS映射

图3 ：使用多个AC、WTP和CAPWAP协议的集中式WLAN架构

　　园区网络和互联网

　　WLAN交换机/接入控制器（AC）

　　第二/三层网络 AC和WTP之间的、用于配置和控制的CAPWAP协议

　　第二/三层网络

　　无线网络上的802.11帧 无线局域网端接点（WTP）

　　另外，尽管CAPWAP并没有明确定义所有细节，但是AC可以通过配置和监控它所控制的区域中的不同接入点，执行无线资源管理（RRM）和恶意 AP检测等功能。这些功能的范围会因为供应商部署方式的不同而有所不同。AC提供的另外一项重要功能是移动管理。以下章节将在CAPWAP的基础上，提供更多关于这些功能的细节。

　　AC的发现和选择

　　WTP可以通过发现请求消息，发现可供连接的AC.一个或者多个AC（根据网络拓扑的不同）会响应这些请求消息。AC和WTP之间的通信是通过用户数据报协议（UDP）进行的。WTP会决定连接哪一个AC，再试图与该AC建立一个安全的会话。后续的CAWAP分组将通过安全会话发送。

　　接着，AC和WTP之间会进行配置交换。这些交换包括：

　　* IEEE SSID

　　* 安全参数（用于WEP、WPA和WPA2）

　　* 广播的数据速率（11或者54Mbps）

　　* 需要使用的无线通道

　　CAPWAP功能

　　CAPWAP控制消息包括下列消息类型：

　　* 发现

　　* WTP配置－用于向WTP发布一个特定的配置，以及从WTP获取统计信息；统计信息包括下列信息：

　　* 分段数据帧的个数，以及发送、接收的组播数据帧的个数

　　* 发送重试的次数，过度重试的次数（失败次数）

　　* 成功发送和失败的发送请求（RTS）的个数

　　* 出错数据帧的个数：重复数据帧，错误确认，解密错误，帧检查序列（FCS）错误数等

　　配置包括信标期限、最大发送功率等级、正交频分多路复用（OFDM）控制、天线控制、支持速率、QoS和加密等。

　　* 移动会话管理－向WTP发布特定的移动策略

　　AC能添加关于特定移动设备的策略信息，包括WTP应当为该移动设备使用的安全参数。它可能包括WTP是否应当为该移动设备转发或者丢弃流量。

　　* 固件管理――用于向WTP发布特定的固件镜像。

　　AC和WTP交互

　　WTP能提供多种信息，例如硬件、软件或者引导版本；最大无线频段数；当前使用的无线频段；加密功能；无线频段类型（802.11b/g/a/n）；MAC类型（本地、分离或者两者皆有）；隧道模式；以及AC和WTP之间的帧类型（例如，本地桥接或者自带桥接――即将所有用户载荷封装为原始无线帧）。

　　AC信息包括硬件或者软件版本，目前与AC关联的移动基站的个数，目前连接到AC的WTP个数，所有这些设备的最大数量，AC和WTP之间的安全参数（身份验证证书），控制IPv4或者IPv6地址等。

　　因为WTP属于“适中AP”，它们还能配置一个来自AC的IP地址。另外一个可供配置的参数是MAC地址级别的ACL.

　　随时可以通过AC重启（重新设定）WTP.WTP能独立地通过一个镜像数据请求来索取一个新的镜像，之后接收镜像数据响应和镜像数据本身。

　　在WTP确定需要向AC发送重要的信息时，WTP会发出事件。这些信息可能包括用于从WTP向AC发送调试信息的数据传输消息。

　　无线资源管理

　　无线资源管理是一个通用词汇，用以描述在AP上对无线频段的控制和配置。控制的类型包括自动地或者根据用户的输入降低和提高强度――例如，如果由一个AC控制的两个WTP互相干扰，那么AC会向其中一个AP发送一个信号，降低它的强度。它还可以根据用户的配置执行该操作。

　　有些WTP还被设置为能够充当“无线监视器”；即它们能在不发送数据时监控通道。人们目前对于这种WTP使用模式的有效性还存有一定的争议―― 有些供应商使用专门的无线监视器，而不是让它们的WTP承担双重职能。在使用专用无线监视器的情况下，无需担心降低客户基站服务质量的降低，就能扫描和监视所有通道。

　　无线监视器能将所有与其他接入点有关的信息转发到AC.AC能够判断信息针对的是一个有效的WTP（即的确存在于网络之上，并且已经注册到AC），还是一个“恶意”接入点。如果针对的是一个恶意接入点，AC可以执行多个步骤，防止客户端连接到该AP――例如，它可以命令无线监视器通过提高同一个通道上的发射功率，“阻止”这个恶意AP.