使用协同控制来分布智能白皮书 Aerohive 白皮书 使用协同控制来分布智能白皮书 艾诺威科技公司

白皮书 艾诺威科技艾诺威科技公司公司 使用协同控制来分布智能使用协同控制来分布智能 白皮书白皮书 2 版权所有 艾诺威科技公司 2010 目录目录 概述概述 4 协同控制 架构 4 集中管理 分布式控制和分布式转发 5 关键概念和命名约定 6 协同控制协同控制 7 HiveAP 自动发现和自组织 8 自主接入点的漫游问题 8 三层快速 安全漫游 9 大规模三层漫游环境下的通道负载均衡 11 无线资源管理 RRM 11 负载均衡和基带控制 11 边缘策略执行边缘策略执行 12 用户配置文件和基于身份的策略 12 边缘 QoS 12 带动态空时调度的 QoS 14 服务级别协议 SLA 和 Airtime Boost 16 客户端健康状况 17 HiveAP 安全和盗窃保护 20 无线入侵保护系统 WIPS 未授权接入点和客户端的阻止 21 语音和视频感知的 WIPS 扫描 22 集成协议分析器和客户端监测 22 第三方 WIPS 和协议分析器集成 23 HiveAP 的无线加密带来边缘的高级安全性 25 内置 RADIUS 服务器于 HiveAP 25 内置的可控制 Web 门户 25 基于身份的通道 26 边缘用户接入策略执行 27 私有预共享密钥 PPSK 安全性 28 虚拟专用网络 VPN 29 最优路径转发与无线网状网最优路径转发与无线网状网 30 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 3 无线网状网 31 可扩展的第二层路由及最优路径选择 32 最优路径转发的可扩展性 33 高可用性高可用性 33 无单点故障 33 智能以太网供电 PoE 34 冗余和聚合链路 34 通过动态地避开故障的方法进行自我恢复 35 动态网状网故障恢复 35 AAA 凭证缓存 36 集中式集中式无线局域网无线局域网管理管理 36 HiveManager WNMS 的简单且可扩展性管理 36 HiveManager 的版本 37 HiveManager 组件及通信组件及通信 38 简化的配置管理 38 与接入点部署有关的零配置 39 自动部署 39 简化监控 故障排除和报告 39 适用于无线局域网策略配置的 HiveAP 分类 41 来宾来宾管理器管理器 43 基于角色的来宾管理 43 GuestManager 来宾访问 43 来宾帐户创建与管理 43 凭证 44 客户验证的单一集中式场合 44 作为一个设备被进行交付 44 网络供电应用程序网络供电应用程序 45 TeacherView 介绍 45 TeacherView 如何工作 47 TeacherView 管理 47 结论结论 49 4 版权所有 艾诺威科技公司 2010 概述概述 第一代 WLAN 采用的是自主独立的接入点 部署起来也相对容易 但它们缺乏企业所要求的可管 理性 移动性及安全性的特点 而且简化网络的要求也达不到 之后出现了集中的 基于控制器的 网络架构 它能解决上述问题和其他一些问题 例如移动设备的快速安全漫游 无线资源管理 RRM 和基于每个用户 设备的安全策略问题等 然而不幸的是 这种网络架构同时也引入了迟钝的 叠加网络 性能瓶颈 单点故障 更长的时延 和更高成本的企业网 如今 随着 Wi Fi 越来越被 认为是企业网的重要组成部分 企业也通过极其高速的 Wi Fi 架构来部署一些高要求的应用程序 例如语音和视频 Wi Fi 的成果被不断放大 它引领着行业对现今集中的 WLAN 架构的有效性 进行重新评估 作为对这一形势的响应 Aerohive 开创了一个新的 WLAN 架构 协同控制架构 它是一个无控制 器的架构 因而消除了控制器在提供企业对无线架构所要求的管理性 移动性 可升级性 灵活性 和安全性时带来的弊端 协同控制协同控制 架构架构 Aerohive 开发了一种创新的无线架构设备 协同控制接入点 CC AP CC AP 将企业级接入点与 一套协同控制协议和功能结合起来 以提供基于控制器的 WLAN 解决方案所能提供的所有优势 而无需使用控制器或者叠加网络 Aerohive 所使用的 CC AP 被称之为 HiveAP 这种协同控制功能 可使多个 HiveAP 组成小组 称为 巢 这些 巢 能够共享 HiveAP 之间的控制信息并启用 一些其他功能 例如 二层和三层的快速安全漫游 调节无线信道和信号强度的管理 安全性 服 务质量 QoS 和本地网状网络 这种信息共享能力使得下一代 WLAN 架构 即协同控制架构能 够提供基于控制器的架构所提供的所有优势 但比起基于控制器的架构 协同控制架构易于部署和 扩展 成本更低 更可靠 更易于升级 更能无处不在地部署 性能更高 也更适合部署一些像是 语音和视频这样高要求的应用程序 图 1 简单呈现了协同控制架构的组成部分 该架构由以下两种产品实现 协同控制接入点 协同控制接入点 HiveAP 具有双频功能 支持同时使用 2 4 GHz 和 5 GHz 两种频谱 用于无线接入和 或无线网状连接 HiveAP 能实现强大的安全性功能 例如 WPA WPA2 企业版 WPA WPA2 个人版 以及一些标准 如 Opportunistic Key Caching Private PSK 集成 WIPS 状态防火墙策略 以及 L2 L4 拒绝服务 DoS 预防等 每个 HiveAP 的服务 等级协议 SLA 能力都基于使用一个易于配置的管理应用程序的高级 QoS 策略 动态 空时调度 Dynamic Airtime Scheduling 和 Airtime Boost 能力 也有单频的 HiveAP 集中管理平集中管理平台台 HiveManager 该产品提供集中的用户策略管理 简化 HiveAP 配置 固件更新 监测和故障处理 HiveManager 有多种型号 包括 1U 和 2U 的设备 虚拟设备 虚拟机 和称为 HiveManager Online 的软件运营服务 SaaS 交付选项 协同控制架构由如下三个不同但紧密联系的技术构建模块支持 协同控制协同控制 这是一组控制面协议 它们提供二层 基于 MAC 动态路由 自动无线信道 和信号强度选择和无控制器情况下的快速安全漫游 边缘策略执行边缘策略执行 这是一种在用户连接到的网络的边缘情况下执行粒度 基于用户的 QoS 安全性和接入策略的能力 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 5 最优路径转发最优路径转发 可扩展的有线 无线网状路由协议能使流量通过网络中最高性能最有效的 路径安全地转发 这包括两种能力 一是当未能建立的链路重新建立的时候能自动切回 二是能根据策略动态地将接入无线设备调为网状回环模式 图图1 协同协同控制架构的控制架构的构建模构建模块块 集中管理 分布式控制和分布式转发集中管理 分布式控制和分布式转发 为了更好地理解 Aerohive 的协同控制架构 了解三个主要的功能区 或称为逻辑网络面 十分重 要 这三个网络面 即管理面 控制面和数据面可以用来描述网络架构的运作原理 通过比较最常用的组网设备 如路由器和交换机 的逻辑网络面和 HiveAP 的逻辑网络面 你会发 现它们之间有着极大的相似性 例如 它们的逻辑网络面都有使用一个集中的管理平台用以配置 监测和故障处理的能力 并且 由 于该管理平台本身不在数据通路上 当管理平台被下线后 网络的功能不会受到影响 每个级别的网络设备都运用一个使用控制协议 如 OSPF spanning tree 等 的分布式控制面来 共享设备间信息 这些信息使得设备间能互相调节以确保网络正常运行并不断适应变化 有了 分布式控制面提供的网络状态信息 每个设备就都能运用一个分布式数据面 这就使它们能就 流量应当如何通过最优路径进行处理转发迅速地作出决策 多年来协同控制架构也证明是交换路由网是一个极为成功的网络架构 因为该架构可升级 性能 高 灵活并允许集中管理 举个范例来说 互联网使用的就是这种架构 现今 许多企业 WLAN 都运用一个集中的基于控制器的架构 该架构与这个经受了验证的架构截 然不同 它把控制面和数据面集中到一个控制器硬件平台 从而降低了可升级性和灵活性 6 版权所有 艾诺威科技公司 2010 Aerohive 的协同控制架构是第一个将这些验证过的网络的优势都引入到 WLAN 中的网络架构 下 表显示的是在交换路由网中使用的协同控制架构和经验证的架构的平台对等关系 逻辑网络面逻辑网络面 路由器路由器 交换机交换机 HiveAP 管理面管理面 负责配置 监测 和故障处理 集中式集中式 使用网管 NMS 平台 集中式集中式 使用网管 NMS 平台 集中式集中式 使用集中的 WNMS 平台 HiveManager 控制面控制面 负责做出转发决 策和数据面的程序设计 分布式分布式 使用协议 OSPF RIP BGP 等 来决定如何转发流量 分布式分布式 使用协议 如 STP 和 MAC 寻址来 决定流量的去向 分布式分布式 使用 Aerohive 协同控制协 议 AMRP ACSP DNXP 和 INXP 用于动态无线资源管理 L2 L3 的快速安全漫游 基于身份 的通道并用以决定如何转发流量 数据面数据面 负责数据的处理 转发 分布式分布式 由每个路由器进 行处理转发 分布式分布式 由每个交换机 进行处理转发 分布式分布式 由每个 HiveAP 进行处理 转发 通过使用分布式控制面和数据面将该经验证的用于交换和路由平台的架构扩展到 WLAN 尤其重 要 这是因为企业要求更高的可用性 802 11n 带来更强的性能 并希望提高他们的本地公司及分 公司的生产力 分布控制面和数据面 例如 除去控制器 消除了整个无线网络中的单点故障和性 能瓶颈问题 这就使得远程站点部署变得和总部部署一样简单实用 关键概念和命名约定关键概念和命名约定 图 2 表明 HiveAP 具有不同的角色 这些角色是根据它们连接到网络的方式而自动设定的 下文列 出了在描述 Aerohive 网络协同控制架构时提到的关键术语 HiveAP Aerohive 的 CC AP 的产品名称 HiveAP 之间通过使用协同控制协议相互协调以提 供一些重要功能 包括无缝移动性 自动无线资源管理 基于策略的安全性功能和最优路径转 发 HiveOS 由 Aerohive 开发的运行于 HiveAP 之上的固件 HiveManager 一个集中的无线网络管理系统 WNMS 该系统能进行复杂的基于身份的 策略管理 简单化的设备配置 HiveOS 更新以及一个协同控制 WLAN 架构内的 HiveAP 的监 测和故障处理 HiveManager 的实现形式可以是一个实体设备 一个虚拟设备 或者一个被称 为 HiveManager Online 的软件运营服务 SaaS 产品 Hive 一个 Hive 是一组拥有相同名称和密钥的 HiveAP 这个相同的名称和密钥使得这些 HiveAP 之间能通过使用协同控制协议安全地通信 在一个 Hive 中 客户端可以越过二层和三 层的边界在 HiveAP 之间无缝漫游 而客户端的安全状态 QoS 设置 IP 设置和数据连接保持 不变 GuestManager 一个提供简单的 Web 页面的来宾管理平台 该平台使得管理员 例如 前 台接待员或议会大使 能创建临时的用户账号以让来宾能接入到无线网络 有线回环链路有线回环链路 从一个 HiveAP 到主要有线网络的以太网连接 在无线网络标准中一般被称为 分布系统 DS 有线回环链路用于连接无线 LAN 和有线 LAN 之间的流量 无线回环链路无线回环链路 HiveAP 之间的无线连接 无线回环链路用于创建一个无线网状网络并提供主 要传输控制和数据流量的无线连接 桥链路桥链路 从一个 HiveAP 到主要的有线 LAN 的以太网连接 该 HiveAP 允许有线设备或网段跨 过 WLAN 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 7 无线接入链路 无线接入链路 一个无线客户端和一个 HiveAP 之间的无线连接 门户门户 一个通过以太网直接连接到有线 LAN 的 HiveAP 以太网提供了 Hive 内的到网格点的 默认 MAC 路由 该角色是动态选择的 如果有线网络断开 那么该 HiveAP 就动态地变成了 一个 网格点 网格网格点点 一个通过无线回环链路连接到 Hive 并且不使用有线链路用于回环的 HiveAP 该角色 也是动态选择的 如果某个有线网络插入 配置允许的情况下 该 HiveAP 动态地变成了一个 门户 协同控制信令 协同控制信令 HiveAP 之间使用协同控制协议进行的控制面的通信 协同控制协同控制 通过使用协同控制 HiveAP 与周围的 HiveAP 共同合作以提供一些控制功能 例如 无线资源管 理 二层 三层路由 客户端负载均衡和无线 网状网络 这样就不需要使用一个集中的控制器了 协同控制是通过如下的自组织和自动运行的协同控制协议来实现的 AMRP Aerohive 移动性路由协议移动性路由协议 该协议给 HiveAP 提供了自动发现周围 HiveAP 通过无 线网状网实现 MAC 层的最优路径转发 流量路由失败时动态和状态重路由 和分配预测的身 份信息和密钥给周围 HiveAP 的功能 它给客户端提供了在 HiveAP 之间快速安全漫游的能 力 而客户端的鉴权状态 加密密钥 防火墙会话和 QoS 执行设置保持不变 ACSP Aerohive 信道选择协议信道选择协议 HiveAP 使用该协议分析一个管理域内每条信道上的 RF 环境 并与其他 HiveAP 合作来确定无线接入和 Mesh 的最优信道和强度设置 ACSP 将共信道和相邻 信道干扰降到最低以提供最优的应用程序性能 图图2 Aerohive 网络网络命名约定命名约定 8 版权所有 艾诺威科技公司 2010 DNXP 动态网络拓展协议动态网络拓展协议 在不同子网中的两个 HiveAP 之间按需动态创建通道 从而给 客户端提供两子网间无缝漫游的能力 而客户端的 IP 地址设置 鉴权状态 加密密钥 防火墙 会话和 QoS 执行设置保持不变 请注意客户端在同一个子网内的接入点间漫游无需通道 协同控制协议允许 HiveAP 作为一个完整的系统运行 以提供移动性 安全性 RF 控制 可升级性 和灵活性 这些功能对于支持现在的以及将来的基于 Wi Fi 架构的高要求应用程序而言是至关重要 的 HiveAP 自动发现和自组织自动发现和自组织 通过使 HiveAP 能自动发现其他 HiveAP 并主动同步网络状态 协同控制简化了 HiveAP 的部署 HiveAP 具有发现其他 HiveAP 的能力 无论它们是通过有线网络还是无线网络发现彼此 当 HiveAP 上电之后 它们就开始搜寻有线网络和无线网络中的其他 HiveAP 如果找到了与其具有相 同 Hive 名称和共享密钥的 HiveAP 这些 HiveAP 就能相互建立起 AES 安全连接 一旦一个 Hive 内的 HiveAP 建立起了相邻关系 这些 HiveAP 就会使用有线和无线链路的协同控制 协议来提供快速安全漫游 无线资源管理和灵活性 如果 HiveAP 发现位于不同子网下的周围 HiveAP 只要这些 HiveAP 配置了相同的 Hive 名称并拥有相同的共享密钥设置 它们就会彼此交 换 IP 信息并通过路由网络架构建立通信 以越过三层界限提供协同控制功能 协同控制协议的好 处在于它们无需配置 从而极大地降低了运营成本和部署一个现代无线解决方案的复杂性 自主自主接入点接入点的漫游问题的漫游问题 快速安全漫游通常被定义为发生在几十毫秒内的漫游 当使用一些实时的应用程序 例如语音和视 频时 快速安全漫游显得尤为重要 因为使用这些应用程序时 连接中断可能会引起无声音 声音 断断续续 甚至掉话 由于传统的自主接入点相互不了解其他接入点的存在 因而不可能使用 IEEE 802 1X EAP 鉴权实现 快速安全漫游 这是因为鉴权过程中 RADIUS 服务器 无线客户端和 认证接入点三者会交换用 户鉴权信息并获取它们之间的加密密钥 如果无线客户端移动到另一个接入点 由于这个新的接入 点没有之前的接入点上创建的密钥 因此无线客户端不得不再次重复整个的鉴权和密钥获取过程 在此过程中 客户端上现有的对时间敏感的会话将会被终止 例如语音 视频或文件传输 图图3 自主接入点自主接入点 使用使用 802 1X EAP 无法实现快速安全漫游无法实现快速安全漫游 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 9 Aerohive 通过 AMRP 解决了自主接入点解决方案存在的这个问题 无论 HiveAP 之间是通过有线 LAN 还是无线网状网连接的 它们都通过使用 AMRP 相互合作以交换客户端鉴权状态信息 身份 信息和加密密钥信息 从而使客户端实现快速安全漫游 图 4 列出的是 HiveAP 为实现快速安全漫 游执行的步骤 图图4 HiveAP 鉴权 密钥获取和密钥共享鉴权 密钥获取和密钥共享 步骤一 无线客户端使用 802 1X EAP 鉴权方式成功地在一个 RADIUS 服务器上鉴权后 该 RADIUS 服务器和该客户端之间交换的信息用于获取一个 PMK 成对主密钥 无线客户 端和 RADIUS 服务器上的 PMK 是相同的 步骤二 RADIUS 服务器将该 PMK 传输给 HiveAP 这样 客户端和 HiveAP 之间就能建 立起加密连接 步骤三 HiveAP 使用 AMRP 协议主动将加密密钥 身份信息 SIP 语音会话状态信息 防 火墙和 QoS 策略信息共享给周围的 HiveAP 这样 再加之 OKC 随机性密钥缓存 标 准 就能允许客户端在不同 HiveAP 之间漫游 而无需重复 802 1X EAP 鉴权过程 从而实 现快速安全漫游 注意注意 从安全性角度考虑 HiveAP 之间发送的密钥和身份信息是通过 AES 进行加密的 并且这些 信息只存储在 HiveAP 的内存中 这样一来 当 HiveAP 下电之后 这些密钥连同所有的用户身份 信息都会从系统中删除 此外 管理员无法查看这些密钥 这些安全性措施阻止了当有线网络被分 析或者 HiveAP 被盗取的情况下密钥被其他人获取 除了给周围的 HiveAP 共享密钥信息 AMRP 还会共享用户的身份信息 这样 当用户在 HiveAP 之间漫游时 HiveAP 就能执行基于身份的防火墙接入策略和 QoS 设置 三层三层快速快速 安全漫游安全漫游 典型的 IP 网络的移动性问题是很具有挑战性的 这是因为当用户在不同子网间移动时 它们的 IP 设置发生改变 而这通常会使基于 IP 的会话或应用程序失败 为了使用户在一个 WLAN 下的不同 子网间漫游时 他们的 IP 设置和网络连接能保持不变 Aerohive 开发了 DNXP 动态网络拓展协 议 当用户漫游到另一个子网的接入点时 DNXP 就会动态建立一个从新的接入点到用户漫游前 10 版权所有 艾诺威科技公司 2010 子网接入点的通道 该用户的流量会通过通道传输回原来的子网 这就使客户端能够在不同子网的 HiveAP 之间漫游时保持它们的 IP 地址设置 鉴权状态 加密密钥 防火墙会话和地址设置 鉴权状态 加密密钥 防火墙会话和 QoS 执行执行 策略策略不变 这对使用语音和视频应用程序的客户端而言尤为重要 当三层漫游启动后 HiveAP 能通过扫描无线信道来自动发现位于三层的周围 HiveAP 在不同子网 下的周围 HiveAP 如果这些 HiveAP 位于相互能发现的无线范围且处于不同 IP 网络的同一个 Hive 下 而三层漫游也启动了 那么这些 HiveAP 就会通过路由以太网彼此间建立起三层的相邻关 系 HiveAP 继而就会将通道和客户端信息共享给它们的三层周围 HiveAP 这样 当用户越过三层 边界漫游时 通道就可以无时延地建立起来 在 HiveAP 不能通过无线互相发现彼此的情况下 可能是由于两个 HiveAP 位于一个 RF 障碍物的相 反两侧 你可以使用 HiveManager 给 HiveAP 手动配置三层的周围 HiveAP 当三层的周围 HiveAP 被发现之后 无论是自动还是手动发现的 不同子网下的 HiveAP 就会交换 可用的 HiveAP 门户的名单以及客户端和漫游缓存信息 这样 如果一个客户端确实漫游到一个新 的子网 新的子网下的 HiveAP 就会知道该客户端并能动态建立一个通道到漫游前的子网下的任何 一个门户 HiveAP 从而实现三层的快速安全漫游 图 5 显示的是当客户端在本子网内或在不同子网间漫游时 HiveAP 执行的基本步骤 图图5 三层快速安全漫游实现过程三层快速安全漫游实现过程 步骤一步骤一 客户端在 A 子网内进行无缝的二层安全快速漫游 步骤二步骤二 客户端成功漫游到 HiveAP 2 之后 HiveAP 2 通过以太网架构发送加密控制包给 相邻子网的 HiveAP 该控制包至少包括客户端的身份 安全性和 QoS 信息 SIP 呼叫状态 和客户端的漫游前的原始子网等信息 步骤三步骤三 由于客户端的身份和密钥信息 包括 SIP 呼叫状态 在相邻的 HiveAP 之间是主 动同步的 当客户端漫游到 HiveAP 3 后 HiveAP 3 已经有了所有它需要的信息来执行策 略并通过 GRE 通道将许可的流量传输到客户端漫游前的原始子网下的门户 HiveAP 这一 行为允许客户端在漫游时保持其 IP 地址和动态会话不变 HiveAP 3 转发该无线客户端的 路由信息给 HiveAP 4 以预测下一步的路由 客户端在不同子网间漫游时保持其 IP QoS 防火墙和安全性设置不变的能力可确保客户端应用程 序会话在漫游时不会掉话 基于可配置的空闲时间或每分钟包的数量 HiveAP 可设置为与这些无 线客户端断开连接 这样 HiveAP 就能重新与客户端连接并接收在新的子网下的 IP 地址 从而允 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 11 许流量的本地转发 如果客户端在没有任何进行中的会话情况下 在不同子网间漫游 客户端就会 被立即转移到新的子网 无需传输流量 总之 有了 HiveAP 和协同控制 无线客户端就具有在相同或不同子网下的 HiveAP 间进行快速安 全漫游的能力 而不会影响客户端数据或语音连接 大规模三层漫游环境下的大规模三层漫游环境下的通道通道负载均衡负载均衡 Aerohive 的三层漫游特性通过使用通道负载均衡在一个子网内的所有门户 HiveAP 分配通道的方式 提供了前所未有的可升级性 这是利用了无线网络的分布式处理能力来支持三层的漫游通道和多吉 比特的跨子网吞吐量 当远程子网下的 HiveAP 试着建立一个到原始的子网下的 HiveAP 的通道 时 如果原始子网下的这个 HiveAP 有着很高的通道负荷 这种情况很少见 那么这个 HiveAP 就会通知远程子网的 HiveAP 与原始子网下的另一个门户 HiveAP 建立通道 这就使得任一 HiveAP 不会被过度使用 无线资源管理无线资源管理 HiveAP 使用 ACSP 协议以应对 RF 环境中的变化 ACSP 使多个 HiveAP 相互合作以自动选择最优 的信道和强度设置 从而使全网的网络性能达到最优 HiveAP 使用 ACSP 来扫描信道并建立其发 现的无线设备的表格 这些表格 加上其他 RF 信息 例如信道使用情况和重试次数 被用于对干 扰类型和干扰源进行识别和分类 HiveAP 之间相互交流 ACSP 状态信息并使用该信息来选择用于 网络拓扑和配置的合适信道和信号强度级别 对处于接入模式的每个无线设备 ACSP 都会选择一条信道和信号强度级别以使无线覆盖最大化 而使其与周围的无线设备之间的干扰最小化 这是通过确保 HiveAP 与其最邻近的 HiveAP 使用不 同的信道 并且 HiveAP 调整其强度以使该 HiveAP 与其他距离较远的 HiveAP 之间的共信道干扰最 小化而实现的 对于处于回环 Mesh 模式的无线设备 ACSP 确保这些无线设备在 Mesh 中使用 同一信道 并使该信道与接入链路的干扰最小化 为了保持最优性能 ACSP 不断地检查无线信号强度设置并能基于邻近的接入点的通信自动降低无 线强度 以使无线覆盖最大化而干扰最小化 该操作在失败状态或当某接入点被下线时显得十分有 用 这是因为在此类情况下 邻近的接入点能自动调整其强度至最优状态 本质上 缺少的接入点 也考虑在内 ACSP 也可在可配置的日常时间窗口或当连接上特定数量的客户端时定时重新校准无 线信道 这能帮助确保在使用 WLAN 时 无线信道不会切换 从而阻止无线客户端的服务中断 负载均衡和基带控制负载均衡和基带控制 在无线网络中 经常会有许多用户连接到同一个接入点甚至同一个接入点下的同一个无线设备 用 户对此并不知道 邻近的接入点可能就不能得到充分利用 这就会对客户端的性能造成重大影响 并可能给这些用户带来不满的体验 因此 从逻辑上来说应当尽量使客户端从高负荷的接入点转移 至低负荷的接入点 为了帮助在协同控制架构中的 HiveAP 之间分配客户端 Aerohive 应用了站点 负载均衡和基带控制 HiveAP 的负荷至少由以下几项决定 1 系统的整体负荷 2 某一特定信道上一特定区域的负荷 3 连接站点的语音流量负荷 4 连接站点的总数 12 版权所有 艾诺威科技公司 2010 5 连接站点的信号质量 HiveAP 能够基于客户端能力做出决策 在同一个 HiveAP 内将站点负荷从一个无线设备转移到另一 个无线设备并 或转移到另一个更适合处理附近区域负荷的 HiveAP 在无线设备和接入点间转移客 户端不会中断应用程序会话 使用准入控制能保证漫游到 HiveAP 的站点有足够的空间从而阻止 HiveAP 被过度使用 使用准入 控制还能阻止某个 HiveAP 负荷过重 尤其是当周围有其他 HiveAP 能更好地处理该负荷的时候 准入控制对基于 Wi Fi 的语音也是有用的 因为它能帮助确保 HiveAP 能支持新的语音站点或漫游 语音站点 并确保有足够的通话时间以达到高语音质量 边缘策略执行边缘策略执行 边缘策略执行是 Aerohive 协同控制架构中的一项关键技术 使用该技术可使 HiveAP 在网络边缘执 行有力且灵活的基于身份的安全性 接入控制和 QoS 策略 将这些策略应用到本地 HiveAP 的流量 中使 DoS 拒绝服务 和防火墙引擎在流量通过 HiveAP 转发之前在入口处对其进行验证 同样 地 它能让 HiveAP 中的 QoS 引擎对一个动态 RF 环境中无线吞吐量的实时变化 以微秒计算 即 刻作出反应 边缘策略执行比起在几毫秒之外的集中控制器上进行多跳策略执行提供了更好的控制 性 用户配置文件和基于身份的策略用户配置文件和基于身份的策略 Aerohive 解决方案通过创建用户配置文件 一组连接参数 为不同类别的用户定义不同组的接入策 略 每个用户配置文件定义了每个用户配置文件定义了 VLAN QoS 策略策略 MAC 防火墙策略防火墙策略 IP 防火墙策略防火墙策略 通通道道 策略以及三层漫游策略 策略以及三层漫游策略 配置文件是当用户连接到 WLAN 的时候分配给用户的 在 HiveAP 上 用户配置文件属性 与这组连接参数关联的数字 用于标识一个用户配置文件 如果某用户使用 802 1X EAP 鉴权或 MAC 地址鉴权在该 HiveAP 上鉴权 RADIUS 服务器就会返回 一个用户配置文件属性给 HiveAP 这样就将该用户绑定到一个配置文件了 根据用户的群组设 置 RADIUS 服务器返回的用户配置文件属性可在活动目录 电子目录 开放目录 LDAP 或 RADIUS 用户群 用户或者域中进行定义 如果该用户不使用 802 1X EAP 或 MAC 地址鉴权 可 根据 SSID 的默认用户配置文件属性设置给用户分配用户配置文件 当用户在 WLAN 漫游时 分配给该用户的用户配置文件属性一直伴随该用户 管理员可配置一个 WLAN 内所有 HiveAP 对用户配置文件使用同一组策略或为特定的 HiveAP 做出调整 例如 关联 到同一 SSID 但处于不同位置区的客户端可分配到不同的 VLAN 和子网 当某用户在两个位置区 之间漫游时 HiveAP 通过使用配置文件属性来识别位于新的位置区的客户端的策略 策略包括 VLAN 防火墙策略 QoS 策略和三层漫游策略 基于每个位置区使用的策略 客户端流量能通过 通道传回该客户端原位置区的 HiveAP 如果该 HiveAP 位于一个不同的子网 这对于无缝维持进行 中的 IP 会话十分有用 或者客户端被强制获取新位置区的虚拟局域网的新的 IP 设置 边缘边缘 QoS 任何时候当你从一个高速网络 如以太网 传输数据到一个低速网络 如无线局域网 极有可能 出现丢包和性能下降的问题 这就好比从一个 5 车道的高速公路转到一个 2 车道的普通公路 想 象一辆应急车辆 例如救护车 在交通繁忙的时候如何能应对车流量 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 13 因而 当从有线网络传输流量到无线局域网时 就需要高级的 QoS 技术以确保高优先级的应用程 序 如语音和视频 能有最优的性能 而同时不会降低优先级流量 如基于 Web 的应用程序和电 子邮件 的性能 每个 HiveAP 都有一个复杂而精密的 QoS 引擎 该引擎提供了整个无线局域网 系统内 QoS 服务的直线性和不受限制的升级性 多数现代的无线局域网系统都支持针对 QoS 的 Wi Fi 联盟 WMM 认证 该认证基于 IEEE 802 11e 修正版协议 在 WMM 中 流量可分成四种接入策略 ACs 之中的一种 这些接入策略要求流量 要先排队再传输到无线网络 较高优先级的 ACs 和较低优先级的 ACs 的仲裁值不同 高优先级的 ACs 仲裁值更好 因此 较高优先级的流量在从队列转移到无线媒介的时候遇到的时延更少 尽管 WMM 尽量合理保证每种流量类型都能对无线媒介有一定的接入量 但是当无线局域网上有 语音和视频 高优先级 流量时 很可能低优先级的队列会出现短暂的拥塞 当队列排满时 即使 是短暂的情况 也会出现丢包现象 丢包可能听起来不是严重的事 尤其是当数据包使用 TCP 协议 因为丢掉的包会被重传 的时 候 但是 由于 TCP 使用一种内置的拥塞避免算法 即当丢了一个包的时候 TCP 窗口大小就会 被剪裁一半 因此 二层丢掉的帧会严重影响 TCP 性能 尽管被分类在较高优先级队列的应用程 序可能不会受到影响 一些较低优先级的队列中的应用程序 包括电子邮件 数据库 会计 目 录 劳力自动化 或者 SaaS 可能会受到重大的负面影响 通过使用高级的 QoS 技术来提升 WMM 减少二层的帧丢失并确保较低优先级的应用程序拥有更高性能成为可能 为了提供高效的语音和视频传输并减少由于 WMM 队列短暂拥塞而导致的丢包问题 Aerohive 在每 个 HiveAP 内采用了高级分类 流量监管 限流 队列和分组调度机制以提升 WMM 图 6 显示的是一个简单的范例 表明一个 HiveAP 内 QoS 引擎的工作流程 图图6 边缘边缘 QoS 策略执行策略执行 下行示例下行示例 14 版权所有 艾诺威科技公司 2010 该图举例表明 HiveAP 是如何处理来自有线局域网的流量以确保无线局域网能有高效的 QoS 步骤一步骤一 流量从有线局域网发送到 HiveAP 步骤二步骤二 当数据包从以太网上行 无线上行或接入连接发送过来时 流量被分配到相应的用户配 置文件 该配置文件定义了 QoS 策略 步骤三步骤三 QoS 包分类器根据 QoS 分类策略将流量分成每用户 8 个队列 可以对分类策略进行配 置 使其将流量映射到队列 该映射可以是基于 MAC 组织唯一标识符 OUI 网络服务 SSID 和 接口或者使用 IEEE 802 1p 或差分服务代码点 DSCP 在传入的包上的优先级标记 步骤四步骤四 QoS 流量监管器通过限制流量和做标记来执行 QoS 策略 限流可基于用户配置文件 用 户或用户队列 步骤五步骤五 标记器负责对要发往无线局域网的流量包打上 DSCP 和 或 802 11e 标记 对要发往有线 局域网的流量包打上 DSCP 和 或 802 1p 标记 步骤六步骤六 要发往无线局域网的流量根据用户八个队列中排队等候定时器为其安排传输的时间 步骤七步骤七 QoS 分组调度引擎使用如下两种定时类型来决定包如何从用户队列发送到 WMM 硬件队 列 从而进一步传输到无线媒介 严格优先级 队列中被安排了严格优先级的包比所有其他队列中的包都将先被发送 典型 地 严格优先级是配置给那些分配到低时延流量 如语音 的用户队列 加权轮叫 定时器可分配无线客户端设备的用户能传输的通话时间或带宽 这一分配是基 于指定给一个用户配置文件 一个用户配置文件中的独立用户 和用户 8 个队列的权重而 定的 根据权重的优先级 定时器将包从独立用户队列转移至对应的 WMM 接入策略用以 传输到无线网络 由于每个 HiveAP 都内置有 QoS 分组调度引擎 所以 HiveAP 能够密切监测 WMM 接入类别的可用 性并对网络状况的变化立即作出反应 QoS 分组调度引擎只有在 WMM 接入类别可用时才会将包 传输到 WMM 接入类别 同时它还会按每用户 8 个队列对包进行排队 这一行为阻止了掉包和延 时抖动 而掉包和延时抖动会给时间敏感的应用程序 例如语音 带来负面影响 它还能阻止 TCP 包丢失时因调用竞争窗口退避算法而引起的 TCP 性能下降 步骤八步骤八 最后 WMM 功能根据无线媒介的可用性传输四个接入类别的二层的帧 有着较高优先 级接入类别的包通过一个更小的任意退避窗口传输 这样 到无线媒介的传输时延更低 使用使用动态空时调度动态空时调度的的 QoS 在无线局域网中 无线性能随着 RF 环境的不同也大不相同 无线局域网是一个共享媒介 这就意 味着所有使用同一或重叠信道的客户端和周围的接入点将竞争同样的带宽 此外 每个客户端的数 据传输率组也随着客户端使用的物理层标准 802 11 a b g n 客户端的信号强度 受到的干扰和噪 音的不同而不同 使用低速的物理层标准 RF 干扰 不一致的 RF 覆盖 在网络边缘连接 并且在 障碍物后面移动都会导致低数据传输率连接 传输同样数量的数据 慢客户端要消耗更多的空时 因而留给其他客户端的空时就更少 这样就会减少网络容量并极大地降低网络中所有客户端的性 能 通过启用 Aerohive 的即将成为新专利的无线 QoS 技术 动态空时调度 Dynamic Airtime Scheduling 上述问题都能得到解决 动态空时调度的优势不管是对于 IT 企业还是无线局域网的用户来说都是十分具有吸引力的 它能 让客户端以更高数据传输率连接 并且在混合速率环境下支持比传统无线局域网架构多出 10 倍的 吞吐量 这样就不会让低速客户端处于劣势地位了 这意味着用户会体验更快的下载速度和更高的 应用程序性能 并意味着低速客户端不会破坏其他用户的无线局域网性能 动态空时调度允许 IT 企业分阶段升级到 802 11n 并能立即享受到新的 802 11n 架构带来的好处 即使所有客户端的升级 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 15 要花数年的时间 此外 由于连接到无线局域网边缘的用户不再能使用所有的空时 损坏的客户端 或者弱覆盖区对网络的影响也减小了 这就能让 IT 企业降低架构投资 节省 IT 时间并提升用户满 意度 使用基于带宽的 QoS 排程 接入点能根据客户端传输进出的帧大小和帧的数量来计算客户端使用 的带宽 基于带宽的排程不会将帧在空中传输的时间考虑在内 以不同数据传输率连接的客户端 传输等量的数据所花的时间也不同 通过启用动态空时调度 排程器会分配空时 而非带宽 给每 类用户 用户配置文件和用户队列 用户 用户配置文件和用户队列的权重优先级可根据 QoS 策 略来设置 当流量从客户端传输进出 HiveAP 会根据客户端的精确信息 用户队列 每包客户端 数据传输率和帧传输次数来计算空时使用率 这样就能保证相应数量的空时能基于 QoS 策略设置 提供给客户端 动态空时调度功能之所以能实现是因为它直接作用于负责处理无线帧的 HiveAP 上 该功能让调 度引擎能实时 精确到微妙 获取所有需要的信息 从而使 HiveAP 能对客户端移动时客户端空时 使用率的即时变化作出反应 管理空时使用率十分重要且空时需要动态调度因为它影响着小区内的所有客户端而且每客户端的空 时都不一样 影响的因素有到接入点的距离 使用的物理层标准 信号强度 干扰和错误率 使 用动态空时调度可对空时动态调度以提高总体网络和客户端性能并根据 IT 企业指定的策略分配网 络容量 为展现动态空时调度的优势 Aerohive 进行了一系列的测试并在白皮书中加以记录 通过动态空时 调度优化网络和客户端性能 下面节选自白皮书的测试模拟了一个典型的由无线局域网转为 802 11n 架构的范例 该架构中的接 入点既服务 802 11n 客户端又传承了 802 11a b g 的客户端 这些测试表明了动态空时调度是如何阻 止高性能的 802 11n WLAN 被低速率连接的客户端阻碍 即使这些低数据传输率客户端中有一些是 802 11n 客户端 取决于到接入点的距离 天线的位置 或者 RF 干扰情况 连接的 802 11n 客户 端的数据传输率大小在 6 5 Mbps 到 300 Mbps 不等 取决于客户端支持的特性 因此某些 802 11n 客户端比其他一些 802 11n 客户端速率更慢 甚至有可能某些 802 11n 客户端实际上比 802 11a g 客户端速率还要慢 为了模拟一个混合 802 11n 和 802 11a 的环境 我们在一个接入点的 5GHz 的频带上以三种不同的 速率连接三个 802 11n 客户端 这三个客户端使用的数据传输率分别是 270 Mbps 108 Mbps 和 54 Mbps 并且只针对 802 11n 速率启用帧集合功能 同时 我们以 54 Mbps 12 Mbps 和 6 Mbps 的 速率分别连接三个 802 11a 客户端 这就模拟了一个混合物理层标准的环境 该环境中有六个客户 端 每种类型三个 连接到同一接入点 但它们距离接入点的距离和干扰情况都不一样 因而客户 端的数据传输率也不相同 测试中每个客户端传输整整 10 000 个 1500 字节的 HTTP 包 图 7 中 左表显示的是没有使用空时调度的结果 在该测试中 每个客户端 尽管它们以不同的数据传输率 连接 都与最低速率的客户端有着同样的吞吐量 在本例中 吞吐量都是 6 Mbps 所有六个客户 端完成传输 10 000 HTTP 包所需的时间在 90 到 100 秒之间 16 版权所有 艾诺威科技公司 2010 图图7 有无有无动态空时调度动态空时调度的情况对比的情况对比 右表显示的是同样的测试 HiveAP 使用 Aerohive 的动态空时调度功能的结果 以 270 Mbps 数据传 输率连接的客户端传输时间大约是 10 秒 这比在之前的测试中的 110 秒快了将近 10 倍 同样 其 余客户端的传输时间也大幅提升了 以 108 Mbps 速率连接的 802 11n 客户端快了 6 倍多 以 54 Mbps 速率连接的 802 11n 客户端快了 3 倍多 以 54 Mbps 速率连接的 802 11a 客户端快了 2 5 倍 以 12 Mbps 速率连接的 802 11a 客户端快了 30 以 6 Mbps 速率连接的 802 11n 客户端则小幅下降了 10 有动态空时调度功能 网络性能无论是对客户端还是对整个网络都极大地提高了 所有高数据传输 率客户端的性能都有极大提升 而低速率客户端几乎没有受到负面影响 在开放的无线网络中 性 能提升的效果甚至会更明显 一旦高速客户端完成传输 在无线网络中的客户端数量就更少 因此 竞争和重试就会减少 从而提升性能 服务服务级级别别协议协议 SLA 和和 Airtime Boost 动态空时调度给 HiveAP 提供了一个创建更多能力的平台 目前这些能力包括 Performance Sentinel SLA 和 Airtime Boost Performance Sentinel 特性将客户端吞吐量与需求和预定义的 SLA 吞吐量 水平进行比较 该特性根据客户端统计数据来决定客户端吞吐量并使用 HiveAP 的 QoS 引擎内的缓 存数据来判定某客户端是否正尝试发送更多数据 SLA 可轻易在用户配置文件中进行配置 如图 8 所示 协同控制无线局域网结构协同控制无线局域网结构 版权所有 艾诺威科技公司 2010 17 图图8 SLA 参数配置参数配置 如果 SLA 不能满足 无论是什么原因 可采取一些操作 例如记录日志或使用 Airtime Boost 特 性 Airtime Boost 特性和动态空时调度特性一起使用 该特性给不能满足 SLA 的客户端提供更多 的空时 图图9 带带Airtime Boost的的SLA 能够给 Wi Fi 网络中的用户或用户组分配并保证一定水平的吞吐量是另一重大的举措 该措施由 Aerohive 开创 目的是让 Wi Fi 网络能和以太网一样确定 客户端健康状况客户端健康状况 iEverything Wi Fi 客户端管理起来成本高并且困难 而大多数的 IT 专业人士并不是 RF 专家 IT 部 门需要更多地了解并控制其用户的 Wi Fi 体验 他们需要更全面地了解 Wi Fi 客户端的运作方式和 部署目的 即能自动或快速解决连接性问题 能带来更好的用户体验 提高生产力并降低运营成 本 大部分 Wi Fi 系统都会给管理员提供大量的统计数据 却不会将这些数据以一种易于被一般无线管 理员理解的形式呈现出来 通过将所有数据转换成一种预设置但可自定义的绿 黄 红形式 管理员 18 版权所有 艾诺威科技公司 2010 在判定某客户端的连接状况 好 一般 差 时能节省大量时间 当然 统计数据还是可以通过简 单单击就能看到 不过您是喜欢手动地搜寻每个客户端的数据还是让管理系统实时帮您搜寻呢 图图10 客客户端健康状况概念户端健康状况概念 客户端健康状况基于多种统计数据 管理员能很容易地自定义状况好 一般 差的标准 这些标准 可针对客户端类型 客户端能力和企业部署客户端的目的而设定 也许您正在运行一个高密度 以 性能为导向的网络 例如一个会议中心 学校或体育馆 如果不了解详细的 RF 统计信息 您可以 根据 RF 环境来校准系统 图图11 客户