由于移动设备在企业内的快速增长， WLAN已经从一种便利措施变成完整的网络解决方法。为了支持广泛的设备类型，工程师必须设计一种WLAN边缘网络，以支持新型WLAN访问控制和应用优化。本文将介绍WLAN架构中关于WLAN访问控制与应用优化等问题。

　　理解WLAN访问控制的基本概念

　　一定要先理解在WLAN访问控制中发挥不同作用的各种网络访问技术和标准。最基本的访问技术和标准包括：

　　• 802.11x以太网：这一种底层标准，它涵盖了通信技术Wi-Fi，定义了无线链路、调制技术和数据帧格式。Wi-Fi与802.11a/b/g/n标准由IEEE定义。后续版本（包括802.11ad、.11u和.11ac）将更好地整合移动通信网络，在最大速度与有线以太网的相当。

　　• 网络访问控制（NAC）：NAC系统负责控制可以通过WLAN连接网络的设备。IEEE的802.1X标准规定了如何要求用户在访问LAN服务之前进行身份认证。在企业中，NAC和802.1X通常是同义词，但是NAC除了身份认证，还包含更广泛的检查。许多公司（特别是较小型公司）使用WPA（Wi-Fi Protected Access）替代802.1X，因为前者更为简单易用。

　　• 虚拟私有网络（VPN）：VPN可以创建一个连接多个可能不安全网络的安全通路。VPN主要使用IPsec（运行在IP层）、SSL/TLS或SSH（运行在IP层之上）。

　　• 虚拟局域网（VLAN）：它由IEEE标准802.1q定义。VLAN定义的是逻辑网络之上的逻辑LAN，而非物理LAN。IT可以使用VLAN划分同一个物理LAN的资源，或者让位于不同物理LAN的设备表面上共享相同的LAN。企业通常使用VLAN控制不同设备分组的企业资源访问级别。例如，“销售”VLAN上的主机可以访问数据中心内运行的应用程序，但是“访客”VLAN上的主机则不允许。

　　• 轻量目录访问协议（LDAP）：严格意义上说，LDAP并不是一种WLAN技术，但是它也属于企业级技术。LDAP可以标准化企业目录访问，如Active Directory或Open Directory，并且允许组织使用目录作为WLAN使用的访问权限库。RADIUS（远程用户拨号认证系统）通常会与LDAP整合在一起，共同提供一个处理身份、认证和访问的框架。

　　扩展开放标准实现私有边界

　　许多供应商提供了一些支持这些开放无线LAN标准的技术，但是要扩展它们的定义范围，才能实现私有边界。供应商使用私有技术扩展实现自已产品的差异性。这些特性是为企业提供一整套用于提升WLAN架构管理的关键技术，如设备管理和应用性能优化。例子如下：

　　• 私有预共享密钥（Private Pre-Shared Key, PPSK）：PPSK可用于验证设备和/或身份，它是一种NAC，定义了一种更简单的802.1X功能扩展方法。不同的供应商使用不同的方法实现PPSK。供应商可以使用PPSK验证身份和在设备上应用访问权限。

　　• 频带操纵：它由一些私有技术定义，WLAN供应商使用频带操纵检测不同设备的Wi-Fi功能，如802.11a/b/g/n，然后将它们重定向到不同的频道，从而优化它们的容量、性能和使用方式。

　　• 服务质量（QoS）：IEEE 802.11e是一种WLAN的通用QoS标准，而SVP是一种广泛使用的传统私有标准。供应商还可以定义一些私有QoS机制，用于加快WLAN的数据包传输。例如，Ruckus Wireless使用自有方法定义波束成型，实现无线链路的性能优化。

　　• 安全事件管理（SEM）：SEM指一些安全事件的日志记录、管理和报告，如未授权访问。WLAN供应商可以自由决定SEM的实现方法。虽然这个方面不存在标准，但是一定要跟踪WLAN网络中发生的事情。