胖瘦无线AP的区别
对比传统的自治型无线接入点(胖AP),“无线交换机+瘦AP”解决方案的不同点是明显的,主要体现在以下方面:
全局的统一管理
胖AP的管理只存在于自身,没有全局的统一管理,更没有对无线链路和无线用户的监测与管理,;
“无线交换机+瘦AP”解决方案的管理权全部集中在无线交换机/控制器上,并通过网管平台,可以直观地对全网设备进行统一的、批量的发现、升级、配置,甚至包括对无线链路的监测、对无线用户的管理;
全局的统一安全
胖AP的安全策略只有很少的一部分,而且只能存在于自身,对于大规模无线网络,安全策略是要经常性批量配置和下发的,胖AP的这种现状无法支撑全局的统一安全;
“无线交换机+瘦AP”解决方案的所有用户和瘦AP的安全策略,全部存在于无线交换机/控制器上,安全策略的部署非常容易;
全局的统一认证
胖AP的认证只能部署在AP本身,认证策略无法经常性的更新,同时,仅仅能认证,其他基于认证后的策略无法部署;
“无线交换机+瘦AP”解决方案的认证体是无线交换机/控制器,配合后台的Radius系统,可以灵活的定义、部署、更改认证策略;
设备自身的安全性
胖AP本身拥有全部的配置,一旦被盗窃,很容易经过串口或网络口登录配置,获取无线网络入侵的信息,是大规模部署无线网络的巨大隐患;
“无线交换机+瘦AP”解决方案的瘦AP产品本身并不保存配置,即“零配置产品”,全部配置都存在于无线交换机/控制器上,因此,从逻辑上说,无线用户访问瘦AP,其实是在访问无线交换机/控制器,因此,即便是部署于用户现场的瘦AP被盗,非法者也无法得到任何配置,杜绝了入侵的可能;
全网漫游
胖AP由于所有管理与配置在自身,其下联用户的IP地址也要归属于胖AP直连的以太网交换机的端口VLAN和网段的地址规划,如果大规模部署,将会打乱原有有线网络的IP规划和VLAN规划,并且,在无线用户跨越胖AP时,一旦进入了不同的网段,必然涉及到IP地址重新请求和重新认证的过程,网络访问必然中断,因此胖AP产品不支持跨网段全网漫游;
无线交换机+瘦AP”解决方案中,无线用户的IP地址、认证、加密全部都来自于无线交换机/控制器,因此不论无线用户出于无线网络的任何位置,从哪一个瘦AP进入,其实都是在访问同一个(或同一组)无线交换机/控制器,还会保持其原有的连接信息、IP地址、认证信息、加密信息,因此跨网段漫游不会中断.