本节书摘来自异步社区《CCNA无线640-722认证考试指南》一书中的第9章，第9.3节集中式架构，作者 【美】David Hucaby，更多章节内容可以访问云栖社区“异步社区”公众号查看

9.3　集中式架构
CCNA无线640-722认证考试指南
由于自主式AP在管理其RF操作方面相当困难，作为网络管理员，必须选择和配置每个AP使用的信道，需要检测和处理可能产生干扰的任何欺诈AP，而且还必须管理发射功率电平等类似问题，以确保足够的无线覆盖，不会产生太多的交叠，不存在覆盖盲区——即使某个AP的无线电出现了故障。

管理无线网络的安全性也是一件很困难的事情。每个自主式AP都要处理自己的安全策略，无线网络与有线网络之间没有集中的入口点，这就意味着没有很方便的位置来监控流量，实施入侵检测和入侵防护、服务质量以及带宽策略等操作。

CUWN（Cisco Unified Wireless Network，Cisco统一无线网络）是一种集中式的统一网络架构，可以克服分布式自主AP带来的这些问题。为了构建这样的网络架构，需要将自主式AP的很多功能转移到某些中心位置。如图9-5所示，自主式AP完成的很多工作都可以分为两大类：左侧的实时进程和右侧的管理进程。

实时进程包括发送和接收802.11帧、信标以及探测消息。802.11数据加密也是实时处理的（逐包方式）。AP 必须与无线客户端在较低的层次——称为MAC（Media Access Control，介质访问控制）层进行交互，这些实时功能必须放在最靠近客户端的AP上。

管理功能不属于通过RF信道处理帧的密不可分的一部分，但这些功能应该集中管理，因此将这些管理功能迁移到远离AP的集中设置的平台上。

在CUWN架构中，LAP（Lightweight Access Point，轻量级接入点）仅执行实时的802.11操作。命名为LAP的原因是与传统的自主式AP相比，LAP剥离了代码映像和本地智能或者进行了大量简化。

管理功能通常由WLC（Wireless LAN Controller，WLAN控制器）完成，大量LAP共用一个WLC。从图9-5下半部分可以看出，左侧的LAP主要负责第一层和第二层（帧通过这两层进出RF域）功能。对于认证用户、管理安全策略以及选择RF信道和输出功率等其他功能来说，LAP则完全依赖于WLC。

提示：
请记住，轻量级AP极度依赖网络中的WLC，无法单独运行。

9.3.1　Split-MAC架构
通常将LAP-WLC的任务分工称为Split-MAC（分离MAC）架构，此时普通的MAC操作被划分到两个截然不同的位置。网络中的LAP出现这种情况时，每个都必须重启并绑定到WLC上，以支持无线客户端。WLC将成为集中式Hub，可以支持散落在网络中的大量LAP。

那么LAP是如何绑定WLC以形成一个完整的工作AP呢？LAP与WLC之间必须使用隧道协议来承载与802.11相关的消息以及客户端数据。LAP和WLC可以位于同一个VLAN或IP子网中，但也不必如此，LAP和WLC完全可以位于两个不同地点的两个不同IP子网中。

CAPWAP（Control and Provisioning of Wireless Access Points，无线接入点控制和配置协议）隧道协议可以完成该上述工作，负责将LAP和WLC之间的数据封装到新IP包中，然后通过园区网交换或路由这些隧道化数据。从图9-6可以看出，CAPWAP实际上包含两种隧道。

CAPWAP控制消息：负责交换用于配置LAP并管理其操作的消息。所有控制消息都要经过认证和加密（因而LAP仅受WLC的安全控制），然后再通过UDP端口5246（在控制器端）进行传送。
CAPWAP数据：用来传送去往和来自与LAP相关联的无线客户端的数据包。通过UDP端口5427（在控制器端）来传送这些数据包，但是默认不加密这些数据包。如果在LAP上启用了数据加密操作，那么这些数据包就能受到DTLS（Datagram Transport Layer Security，数据报传输层安全）的保护。

提示：
CAPWAP定义在RFC 5415、5416、5417和5418中，CAPWAP基于LWAPP
（Lightweight Access Point Protocol，轻量级接入点协议），而LWAPP属于传统的Cisco专有解决方案。
每个 AP 和 WLC 都必须通过数字证书进行相互认证。所有设备在出售时都已经预装了X.509证书。通过后台的证书操作，每台设备在加入CUWN之前都能得到正确认证。该进程有助于确保不将欺诈LAP或WLC（或者假冒为LAP或WLC的设备）引入网络。有关LAP-WLC关联的问题将在第11章进行详细讨论。

CAPWAP隧道允许LAP和WLC在地理上或逻辑上分开，而且打破了两者在二层连接上的依赖性。例如，图9-7通过两片阴影区域来表示VLAN 100的范围。请注意，VLAN 100位于WLC和SSID 100的无线区域（靠近无线客户端），但不在LAP和WLC之间。所有去往和来自与SSID 100相关联的客户端的流量都被封装到CAPWAP数据隧道中经网络基础设施进行传送。

从WLC到一个或多个LAP的CAPWAP隧道建立完成之后，WLC就可以提供多种附加功能。WLC完全可以解决前面讨论过的传统自主式WLAN架构出现的各种难题和缺陷。

动态信道分配：WLC 能够根据区域内其他活跃接入点的情况，自动为每个LAP选择和配置RF信道。
发射功率优化：WLC能够根据所需的覆盖区域，自动设置每个LAP的发射功率。
自愈的无线覆盖：当网络中某个LAP的无线电出现故障时，可以自动加大周围LAP的发射功率，解决覆盖盲区问题。
灵活的客户端漫游：客户端可以在LAP之间快速实现二层或三层漫游。
动态客户端负载均衡：如果两个或多个LAP覆盖相同的地理区域，那么WLC就能将客户端关联到最轻载的LAP上，在多个LAP之间分发客户端负载。
RF监控：WLC负责管理所有的LAP，因而能够扫描信道以监控RF的使用情况。通过侦听信道，WLC可以远程收集RF干扰、噪声、来自相邻LAP的信号以及来自欺诈AP或Ad hoc客户端的信号等信息。
安全管理：WLC能够通过集中式服务来认证客户端，要求无线客户端在关联并访问WLAN之前，必须从受信的DHCP服务器获得IP地址。
无线入侵防护系统：WLC可以利用其中心位置来监控客户端数据，以检测并防范各种恶意行为。

9.3.2　CUWN中的流量模型
前面曾经说过，自主式AP负责桥接无线BSS与有线VLAN之间的流量。为了得到来往有线网络的流量，AP必须依赖其与DS（Distribution System，分布系统）的连接。LAP的工作方式与此类似，唯一的区别在于BSS与DS之间被网络基础设施间隔了一定距离，这段距离通过CAPWAP隧道进行连接。

以图9-9所示网络为例。该WLAN网络由LAP和WLC组成，两个无线客户端关联到该网络上，从客户端B到有线网络某主机的流量将经过LAP以及CAPWAP数据隧道，到达WLC，然后再由WLC发送到交换式园区网。

对于交换式园区网络基础设施来说，由于WLC位于中心位置且带宽足够大，因而此时的CUWN流量模型不是一个大问题。假设网络扩展到包含了多个远程站点，在这些远程站点均配置了LAP，但是只有总部园区拥有唯一的WLC。这种场景将强制无线流量经过远程站点和总部站点之间的CAPWAP隧道，然后才能通过该CAPWAP隧道返回远程站点。这种流量路径的效率非常低，特别是在远程站点带宽有限的情况下。

为了解决低效问题，可以在远程站点LAP上使用FlexConnect 模式。此时需要穿越CAPWAP隧道去往WLC的远程站点流量仍然按照常规方式进行传送，但是去往远程站点网络的无线流量则可以留在远程站点内。远程站点LAP能够在本地交换这些流量，而无需穿越CAPWAP隧道。即便远程站点链路出现了故障，导致CAPWAP隧道完全中断，FlexConnect模式仍允许LAP进行本地的流量交换，从而维持远程站点内部无线连接的可用性。

提示：
以前曾经将FlexConnect称为H-REAP（Hybrid Remote Edge Access Point，混合远程边缘接入点）。