Tweet
Cisco Wireless Architecture: Centralized Wireless hay Cloud-Managed Wireless – Đâu là lựa chọn phù hợp cho doanh nghiệp?
Trong quá trình triển khai một mạng WLAN doanh nghiệp, việc xác định vị trí Access Point (AP), thiết kế vùng phủ sóng (Coverage Area), xây dựng cấu trúc SSID hay quy hoạch vùng roaming mới chỉ là một phần của bài toán. Một quyết định mang tính chiến lược khác có ảnh hưởng lâu dài đến khả năng vận hành, bảo mật và mở rộng của hệ thống chính là lựa chọn kiến trúc quản lý Wireless.
Doanh nghiệp nên sử dụng mô hình quản lý tập trung với Wireless LAN Controller (WLC) đặt tại chỗ (On-Premises), hay chuyển sang mô hình quản lý trên nền tảng cloud như Cisco Meraki? Mỗi kiến trúc đều có những ưu điểm, nhược điểm và phù hợp với các mục tiêu kinh doanh khác nhau.
Bài viết này sẽ đi sâu vào hai kiến trúc Wireless phổ biến của Cisco, đồng thời giải thích cơ chế hoạt động của mô hình Split MAC, CAPWAP và các chế độ triển khai AP trong môi trường doanh nghiệp.
Centralized Wireless Architecture – Kiến trúc Wireless quản lý tập trung
Trong các hệ thống WLAN doanh nghiệp lớn, việc cấu hình và quản lý hàng chục, thậm chí hàng trăm Access Point theo phương pháp độc lập (Autonomous AP) là một công việc phức tạp và tiềm ẩn nhiều rủi ro. Việc thay đổi SSID, cập nhật chính sách bảo mật hoặc điều chỉnh tham số RF trên từng AP riêng lẻ có thể dẫn đến cấu hình không đồng nhất, khó vận hành và khó khắc phục sự cố.
Để giải quyết vấn đề này, Cisco triển khai mô hình Centralized Wireless Architecture, trong đó một hoặc nhiều Wireless LAN Controller (WLC) đóng vai trò điều khiển tập trung toàn bộ hệ thống Access Point.
Trong kiến trúc này, WLC chịu trách nhiệm quản lý:
Nhờ đó, toàn bộ WLAN được vận hành từ một điểm quản lý duy nhất, giúp đơn giản hóa việc triển khai và đảm bảo tính nhất quán của hệ thống.
Split MAC – Trái tim của kiến trúc Wireless tập trung
Centralized Wireless Architecture được xây dựng dựa trên một khái niệm rất quan trọng của Cisco là Split MAC Architecture.
Trong mô hình này, các chức năng của lớp MAC trong chuẩn IEEE 802.11 được chia tách giữa Access Point và Wireless LAN Controller.
Các tác vụ yêu cầu phản hồi thời gian thực sẽ được xử lý trực tiếp tại AP, trong khi các tác vụ không yêu cầu độ trễ thấp sẽ được chuyển về WLC để xử lý tập trung.
Mục tiêu của Split MAC là tận dụng ưu điểm của cả hai thành phần:
Việc trao đổi thông tin giữa AP và WLC được thực hiện thông qua giao thức:
CAPWAP (Control and Provisioning of Wireless Access Points).
CAPWAP – Đường hầm kết nối giữa AP và WLC
Trong kiến trúc tập trung, AP và WLC duy trì kết nối thông qua CAPWAP Tunnel.
CAPWAP được sử dụng để vận chuyển:
Mô hình hoạt động có thể được mô tả như sau:
Wireless Clients
↓
Access Point
↓
CAPWAP Tunnel
↓
Wireless LAN Controller
↓
802.1Q Trunk
↓
Data VLAN / Management VLAN
Thông qua CAPWAP, WLC có thể cấu hình, giám sát và điều khiển toàn bộ hệ thống AP mà không cần truy cập trực tiếp vào từng thiết bị.
Access Point làm gì trong mô hình Split MAC?
Trong kiến trúc Split MAC, Access Point chịu trách nhiệm xử lý các hoạt động thời gian thực (Real-Time Operations).
AP thực hiện quá trình trao đổi frame giữa client và mạng trong quá trình kết nối và truyền dữ liệu. Những hoạt động như xử lý handshake giữa client và AP, gửi các gói ACK hoặc phản hồi các frame điều khiển phải được xử lý trực tiếp tại AP do yêu cầu độ trễ cực thấp.
Access Point cũng chịu trách nhiệm phát các Beacon Frame nhằm quảng bá các SSID không bị ẩn (Non-Hidden SSID). Đây là cơ chế cho phép các thiết bị Wi-Fi phát hiện được sự tồn tại của WLAN và thu thập các thông tin như SSID, khả năng bảo mật, tốc độ hỗ trợ và thông tin kênh.
Đối với các thiết bị đang ở chế độ tiết kiệm năng lượng (Power Save Mode), AP sẽ thực hiện việc lưu đệm (Buffering) và chuyển tiếp các frame khi thiết bị thức dậy.
Một vai trò quan trọng khác của AP là thực hiện chuyển đổi giữa hai công nghệ mạng:
IEEE 802.11 (Wireless)
↕
Access Point
↕
IEEE 802.3 (Ethernet)
Nói cách khác, AP đóng vai trò như một cầu nối (Bridge) giữa môi trường không dây và mạng Ethernet có dây.
Ngoài ra, Access Point còn liên tục thu thập và gửi các thông số chất lượng tín hiệu về WLC, bao gồm:
AP cũng thực hiện chức năng giám sát phổ tần RF, theo dõi nhiễu, phát hiện các WLAN lân cận và các Access Point không được cấp phép (Rogue AP).
Wireless LAN Controller làm gì?
Nếu AP là thành phần xử lý thời gian thực, thì Wireless LAN Controller chính là bộ não của toàn bộ hệ thống WLAN.
WLC chịu trách nhiệm xác thực người dùng trong quá trình tham gia mạng thông qua các cơ chế như:
Một trong những chức năng quan trọng nhất của WLC là quản lý roaming giữa các Access Point. Controller duy trì cơ sở dữ liệu người dùng, quản lý Mobility Group, thực hiện Context Transfer và hỗ trợ các cơ chế Fast Secure Roaming như IEEE 802.11r.
WLC cũng chịu trách nhiệm quản lý tài nguyên vô tuyến thông qua Radio Resource Management (RRM).
RRM bao gồm hai cơ chế nổi tiếng:
Dynamic Channel Assignment (DCA) giúp tự động lựa chọn và thay đổi kênh nhằm giảm nhiễu và tránh hiện tượng Co-Channel Interference.
Transmit Power Control (TPC) cho phép tự động điều chỉnh công suất phát của AP để tối ưu vùng phủ sóng và giảm sự chồng lấn tín hiệu.
Bên cạnh đó, WLC là nơi thực thi các chính sách bảo mật của doanh nghiệp, bao gồm ACL, Dynamic VLAN Assignment, Client Isolation, Guest Access, Rogue Containment và các chính sách dựa trên Cisco TrustSec hoặc Security Group Tag (SGT).
WLC còn chịu trách nhiệm áp dụng các chính sách Quality of Service (QoS), phân loại lưu lượng, thực hiện DSCP Mapping và ưu tiên các ứng dụng thời gian thực như Voice và Video.
Centralized Control Plane và Centralized Data Plane
Kiến trúc Wireless tập trung hình thành nên một mô hình:
Centralized Control Plane
và trong nhiều trường hợp:
Centralized Data Plane.
Trong chế độ Local Mode, toàn bộ lưu lượng người dùng sẽ được tunnel về WLC:
Client
↓
Access Point
↓
CAPWAP Tunnel
↓
Wireless LAN Controller
↓
Core Network
Mô hình này mang lại khả năng thực thi chính sách bảo mật đồng nhất, khả năng giám sát tập trung và visibility rất cao.
Tuy nhiên, nó cũng tạo ra sự phụ thuộc vào controller và có thể làm tăng độ trễ WAN trong các môi trường chi nhánh phân tán.
Các chế độ hoạt động của Access Point
Trong môi trường Cisco Enterprise Wireless, Access Point có thể hoạt động ở nhiều chế độ khác nhau.
Chế độ phổ biến nhất là Local Mode, trong đó toàn bộ client traffic được chuyển về controller thông qua CAPWAP Tunnel.
Client
↓
AP
↓
CAPWAP
↓
WLC
Mô hình này rất phù hợp với Campus Enterprise do cung cấp khả năng quản lý và thực thi chính sách tập trung.
Đối với các chi nhánh hoặc địa điểm từ xa, Cisco cung cấp chế độ FlexConnect.
Trong FlexConnect, mặt điều khiển (Control Plane) vẫn được quản lý bởi WLC:
AP ←→ WLC
Tuy nhiên, mặt dữ liệu (Data Plane) được xử lý ngay tại chi nhánh:
Client
↓
AP
↓
Local Switching
↓
Branch LAN
FlexConnect giúp giảm đáng kể lưu lượng WAN, đồng thời cho phép chi nhánh tiếp tục hoạt động ngay cả khi kết nối đến WLC bị gián đoạn.
Đây là lý do FlexConnect thường được triển khai tại:
Cloud-Managed Wireless Architecture – Khi WLAN được quản lý trên Cloud
Song song với kiến trúc quản lý tập trung truyền thống, Cisco còn cung cấp một phương pháp triển khai khác là Cloud-Managed Wireless Architecture, đại diện tiêu biểu là nền tảng Cisco Meraki Cloud.
Trong kiến trúc này, doanh nghiệp không cần triển khai Wireless LAN Controller tại chỗ.
Mô hình hoạt động như sau:
Meraki Dashboard
↑
Internet
↑
AP
↑
Wireless Clients
Các Access Point sẽ kết nối trực tiếp đến Cisco Meraki Cloud Dashboard thông qua Internet.
Toàn bộ hoạt động cấu hình, giám sát, nâng cấp firmware, phân tích lưu lượng và xử lý sự cố đều được thực hiện từ giao diện cloud tập trung.
Meraki Dashboard cung cấp khả năng mở rộng rất cao, cho phép quản lý hàng trăm hoặc hàng nghìn Access Point trên nhiều địa điểm, nhiều quốc gia thông qua một giao diện duy nhất.
Hệ thống cũng cung cấp nhiều công cụ phân tích mạnh mẽ như:
Kiến trúc này đặc biệt phù hợp với các doanh nghiệp có nhiều chi nhánh phân tán, đội ngũ IT mỏng hoặc cần triển khai nhanh.
Nên chọn kiến trúc nào?
Không có một kiến trúc Wireless nào phù hợp cho mọi doanh nghiệp.
Nếu doanh nghiệp yêu cầu mức độ kiểm soát cao, tích hợp sâu với hệ thống bảo mật như Cisco ISE, TrustSec, Dynamic Segmentation hoặc có các yêu cầu phức tạp về chính sách và tuân thủ, Centralized Wireless Architecture với WLC vẫn là lựa chọn tối ưu.
Ngược lại, nếu doanh nghiệp có nhiều chi nhánh, cần triển khai nhanh, ưu tiên khả năng quản lý từ xa và mong muốn đơn giản hóa vận hành, Cisco Meraki Cloud-Managed Wireless là một giải pháp cực kỳ hấp dẫn.
Việc lựa chọn đúng kiến trúc Wireless ngay từ đầu sẽ quyết định khả năng mở rộng, chi phí vận hành và trải nghiệm người dùng trong nhiều năm tiếp theo. Đó không chỉ là một quyết định kỹ thuật mà còn là một quyết định chiến lược đối với hạ tầng mạng của doanh nghiệp hiện đại.
Trong quá trình triển khai một mạng WLAN doanh nghiệp, việc xác định vị trí Access Point (AP), thiết kế vùng phủ sóng (Coverage Area), xây dựng cấu trúc SSID hay quy hoạch vùng roaming mới chỉ là một phần của bài toán. Một quyết định mang tính chiến lược khác có ảnh hưởng lâu dài đến khả năng vận hành, bảo mật và mở rộng của hệ thống chính là lựa chọn kiến trúc quản lý Wireless.
Doanh nghiệp nên sử dụng mô hình quản lý tập trung với Wireless LAN Controller (WLC) đặt tại chỗ (On-Premises), hay chuyển sang mô hình quản lý trên nền tảng cloud như Cisco Meraki? Mỗi kiến trúc đều có những ưu điểm, nhược điểm và phù hợp với các mục tiêu kinh doanh khác nhau.
Bài viết này sẽ đi sâu vào hai kiến trúc Wireless phổ biến của Cisco, đồng thời giải thích cơ chế hoạt động của mô hình Split MAC, CAPWAP và các chế độ triển khai AP trong môi trường doanh nghiệp.
Centralized Wireless Architecture – Kiến trúc Wireless quản lý tập trung
Trong các hệ thống WLAN doanh nghiệp lớn, việc cấu hình và quản lý hàng chục, thậm chí hàng trăm Access Point theo phương pháp độc lập (Autonomous AP) là một công việc phức tạp và tiềm ẩn nhiều rủi ro. Việc thay đổi SSID, cập nhật chính sách bảo mật hoặc điều chỉnh tham số RF trên từng AP riêng lẻ có thể dẫn đến cấu hình không đồng nhất, khó vận hành và khó khắc phục sự cố.
Để giải quyết vấn đề này, Cisco triển khai mô hình Centralized Wireless Architecture, trong đó một hoặc nhiều Wireless LAN Controller (WLC) đóng vai trò điều khiển tập trung toàn bộ hệ thống Access Point.
Trong kiến trúc này, WLC chịu trách nhiệm quản lý:
- Cấu hình AP
- Chính sách bảo mật
- Quản lý người dùng
- Giám sát hệ thống
- Quản lý RF
- Điều phối roaming
- Áp dụng Quality of Service (QoS)
Nhờ đó, toàn bộ WLAN được vận hành từ một điểm quản lý duy nhất, giúp đơn giản hóa việc triển khai và đảm bảo tính nhất quán của hệ thống.
Split MAC – Trái tim của kiến trúc Wireless tập trung
Centralized Wireless Architecture được xây dựng dựa trên một khái niệm rất quan trọng của Cisco là Split MAC Architecture.
Trong mô hình này, các chức năng của lớp MAC trong chuẩn IEEE 802.11 được chia tách giữa Access Point và Wireless LAN Controller.
Các tác vụ yêu cầu phản hồi thời gian thực sẽ được xử lý trực tiếp tại AP, trong khi các tác vụ không yêu cầu độ trễ thấp sẽ được chuyển về WLC để xử lý tập trung.
Mục tiêu của Split MAC là tận dụng ưu điểm của cả hai thành phần:
- AP xử lý nhanh các hoạt động liên quan đến truyền nhận frame.
- WLC cung cấp khả năng quản lý, kiểm soát và thực thi chính sách tập trung.
Việc trao đổi thông tin giữa AP và WLC được thực hiện thông qua giao thức:
CAPWAP (Control and Provisioning of Wireless Access Points).
CAPWAP – Đường hầm kết nối giữa AP và WLC
Trong kiến trúc tập trung, AP và WLC duy trì kết nối thông qua CAPWAP Tunnel.
CAPWAP được sử dụng để vận chuyển:
- Thông tin điều khiển (Control Information)
- Dữ liệu người dùng (Client Data)
Mô hình hoạt động có thể được mô tả như sau:
Wireless Clients
↓
Access Point
↓
CAPWAP Tunnel
↓
Wireless LAN Controller
↓
802.1Q Trunk
↓
Data VLAN / Management VLAN
Thông qua CAPWAP, WLC có thể cấu hình, giám sát và điều khiển toàn bộ hệ thống AP mà không cần truy cập trực tiếp vào từng thiết bị.
Access Point làm gì trong mô hình Split MAC?
Trong kiến trúc Split MAC, Access Point chịu trách nhiệm xử lý các hoạt động thời gian thực (Real-Time Operations).
AP thực hiện quá trình trao đổi frame giữa client và mạng trong quá trình kết nối và truyền dữ liệu. Những hoạt động như xử lý handshake giữa client và AP, gửi các gói ACK hoặc phản hồi các frame điều khiển phải được xử lý trực tiếp tại AP do yêu cầu độ trễ cực thấp.
Access Point cũng chịu trách nhiệm phát các Beacon Frame nhằm quảng bá các SSID không bị ẩn (Non-Hidden SSID). Đây là cơ chế cho phép các thiết bị Wi-Fi phát hiện được sự tồn tại của WLAN và thu thập các thông tin như SSID, khả năng bảo mật, tốc độ hỗ trợ và thông tin kênh.
Đối với các thiết bị đang ở chế độ tiết kiệm năng lượng (Power Save Mode), AP sẽ thực hiện việc lưu đệm (Buffering) và chuyển tiếp các frame khi thiết bị thức dậy.
Một vai trò quan trọng khác của AP là thực hiện chuyển đổi giữa hai công nghệ mạng:
IEEE 802.11 (Wireless)
↕
Access Point
↕
IEEE 802.3 (Ethernet)
Nói cách khác, AP đóng vai trò như một cầu nối (Bridge) giữa môi trường không dây và mạng Ethernet có dây.
Ngoài ra, Access Point còn liên tục thu thập và gửi các thông số chất lượng tín hiệu về WLC, bao gồm:
- RSSI
- SNR
- Noise Floor
- Channel Utilization
- Interference Metrics
- Rogue AP Information
AP cũng thực hiện chức năng giám sát phổ tần RF, theo dõi nhiễu, phát hiện các WLAN lân cận và các Access Point không được cấp phép (Rogue AP).
Wireless LAN Controller làm gì?
Nếu AP là thành phần xử lý thời gian thực, thì Wireless LAN Controller chính là bộ não của toàn bộ hệ thống WLAN.
WLC chịu trách nhiệm xác thực người dùng trong quá trình tham gia mạng thông qua các cơ chế như:
- WPA2-Enterprise
- WPA3-Enterprise
- IEEE 802.1X
- EAP
- RADIUS
- Cisco ISE Integration
Một trong những chức năng quan trọng nhất của WLC là quản lý roaming giữa các Access Point. Controller duy trì cơ sở dữ liệu người dùng, quản lý Mobility Group, thực hiện Context Transfer và hỗ trợ các cơ chế Fast Secure Roaming như IEEE 802.11r.
WLC cũng chịu trách nhiệm quản lý tài nguyên vô tuyến thông qua Radio Resource Management (RRM).
RRM bao gồm hai cơ chế nổi tiếng:
Dynamic Channel Assignment (DCA) giúp tự động lựa chọn và thay đổi kênh nhằm giảm nhiễu và tránh hiện tượng Co-Channel Interference.
Transmit Power Control (TPC) cho phép tự động điều chỉnh công suất phát của AP để tối ưu vùng phủ sóng và giảm sự chồng lấn tín hiệu.
Bên cạnh đó, WLC là nơi thực thi các chính sách bảo mật của doanh nghiệp, bao gồm ACL, Dynamic VLAN Assignment, Client Isolation, Guest Access, Rogue Containment và các chính sách dựa trên Cisco TrustSec hoặc Security Group Tag (SGT).
WLC còn chịu trách nhiệm áp dụng các chính sách Quality of Service (QoS), phân loại lưu lượng, thực hiện DSCP Mapping và ưu tiên các ứng dụng thời gian thực như Voice và Video.
Centralized Control Plane và Centralized Data Plane
Kiến trúc Wireless tập trung hình thành nên một mô hình:
Centralized Control Plane
và trong nhiều trường hợp:
Centralized Data Plane.
Trong chế độ Local Mode, toàn bộ lưu lượng người dùng sẽ được tunnel về WLC:
Client
↓
Access Point
↓
CAPWAP Tunnel
↓
Wireless LAN Controller
↓
Core Network
Mô hình này mang lại khả năng thực thi chính sách bảo mật đồng nhất, khả năng giám sát tập trung và visibility rất cao.
Tuy nhiên, nó cũng tạo ra sự phụ thuộc vào controller và có thể làm tăng độ trễ WAN trong các môi trường chi nhánh phân tán.
Các chế độ hoạt động của Access Point
Trong môi trường Cisco Enterprise Wireless, Access Point có thể hoạt động ở nhiều chế độ khác nhau.
Chế độ phổ biến nhất là Local Mode, trong đó toàn bộ client traffic được chuyển về controller thông qua CAPWAP Tunnel.
Client
↓
AP
↓
CAPWAP
↓
WLC
Mô hình này rất phù hợp với Campus Enterprise do cung cấp khả năng quản lý và thực thi chính sách tập trung.
Đối với các chi nhánh hoặc địa điểm từ xa, Cisco cung cấp chế độ FlexConnect.
Trong FlexConnect, mặt điều khiển (Control Plane) vẫn được quản lý bởi WLC:
AP ←→ WLC
Tuy nhiên, mặt dữ liệu (Data Plane) được xử lý ngay tại chi nhánh:
Client
↓
AP
↓
Local Switching
↓
Branch LAN
FlexConnect giúp giảm đáng kể lưu lượng WAN, đồng thời cho phép chi nhánh tiếp tục hoạt động ngay cả khi kết nối đến WLC bị gián đoạn.
Đây là lý do FlexConnect thường được triển khai tại:
- Branch Office
- Retail Store
- Small Office
- Remote Site
- SD-WAN Branch
Cloud-Managed Wireless Architecture – Khi WLAN được quản lý trên Cloud
Song song với kiến trúc quản lý tập trung truyền thống, Cisco còn cung cấp một phương pháp triển khai khác là Cloud-Managed Wireless Architecture, đại diện tiêu biểu là nền tảng Cisco Meraki Cloud.
Trong kiến trúc này, doanh nghiệp không cần triển khai Wireless LAN Controller tại chỗ.
Mô hình hoạt động như sau:
Meraki Dashboard
↑
Internet
↑
AP
↑
Wireless Clients
Các Access Point sẽ kết nối trực tiếp đến Cisco Meraki Cloud Dashboard thông qua Internet.
Toàn bộ hoạt động cấu hình, giám sát, nâng cấp firmware, phân tích lưu lượng và xử lý sự cố đều được thực hiện từ giao diện cloud tập trung.
Meraki Dashboard cung cấp khả năng mở rộng rất cao, cho phép quản lý hàng trăm hoặc hàng nghìn Access Point trên nhiều địa điểm, nhiều quốc gia thông qua một giao diện duy nhất.
Hệ thống cũng cung cấp nhiều công cụ phân tích mạnh mẽ như:
- Client Health
- Application Analytics
- RF Utilization
- Location Analytics
- Historical Reporting
Kiến trúc này đặc biệt phù hợp với các doanh nghiệp có nhiều chi nhánh phân tán, đội ngũ IT mỏng hoặc cần triển khai nhanh.
Nên chọn kiến trúc nào?
Không có một kiến trúc Wireless nào phù hợp cho mọi doanh nghiệp.
Nếu doanh nghiệp yêu cầu mức độ kiểm soát cao, tích hợp sâu với hệ thống bảo mật như Cisco ISE, TrustSec, Dynamic Segmentation hoặc có các yêu cầu phức tạp về chính sách và tuân thủ, Centralized Wireless Architecture với WLC vẫn là lựa chọn tối ưu.
Ngược lại, nếu doanh nghiệp có nhiều chi nhánh, cần triển khai nhanh, ưu tiên khả năng quản lý từ xa và mong muốn đơn giản hóa vận hành, Cisco Meraki Cloud-Managed Wireless là một giải pháp cực kỳ hấp dẫn.
Việc lựa chọn đúng kiến trúc Wireless ngay từ đầu sẽ quyết định khả năng mở rộng, chi phí vận hành và trải nghiệm người dùng trong nhiều năm tiếp theo. Đó không chỉ là một quyết định kỹ thuật mà còn là một quyết định chiến lược đối với hạ tầng mạng của doanh nghiệp hiện đại.
Attached Files