|
1回顶部 网管员小李的噩梦 某国内中型企业: “小李,我这笔记本有无线网卡的,听说弄个无线路由方便得很,你买个来试下。”老板抱着新买的笔记本跟网管小李说着。过没多久,老板乐呵呵地提着笔记本,这边办公室无线办公,那边会议室无线开会了。 “小李!我这网络怎么变慢了呀?”老板有点不满了。小李一看路由器状态,好几台公司内同事的笔记本都偷偷连上了呢!“嘿!没事,我给您设个密码。” 同事们不乐意了,“小李!密码!”,“呵呵,老板不让给。”“哼!小气!我们自己买去!”过没多久,几位同事都拿着无线路由让小李帮忙设置,好几个部门都自己各自买了无线路由器。 “小李!这无线信号怎么越来越差啊!?”老板又发脾气了。小李其实对无线产品也是半懂不懂,上网百度一下,才知,原来啊,这周围无线接入点太多了,信道干扰太严重了。而且居然还有多个同名的SSID,头疼啊! “啊!我电脑中毒啦!”问题还没搞定,又有同事在大喊小李名字了,“不可能呀,咱们公司防火墙安全着呢!”,一看,内网蠕虫攻击!“呀!这台电脑不是咱们公司的呀,无线网络被人偷用了啦!” “哎呀!我的资料怎么都没啦!重要资料都被人删了!我要开除你,把所有无线路由都扔了!”咣地一声,小李发现是自己做了一场噩梦,日有所思,夜有所梦,这该死的无线网络让他头疼不已。
传统无线解决方案――传统AP、路由:安全问题大、管理困难、信道干扰严重、漫游几乎不可能、供电困难 星巴克、机场,甚至普通的餐厅,我们对无线热点已经见得不少了。但在企业单位中,无线网络还是属于起步阶段。有些企业对无线是敬而远之,觉得太不安全了。有些企业看到了无线的便捷,使用上了,却是用着SOHO级的低端产品,最后的结论便是:既不安全,又慢,垃圾!只有少数企业的安全无线网络正稳定地运行着,这之间,又会许多应用级的差别…… 其实,他们很多都错误地把组建无线网络当成一个简单的东西了,就好像有线网络是个雕像,无线网络只是在上面进行修补。而实际上,无线网络是他们这个雕像未完工的一部分肢体。 2回顶部 基于这个“修补”的思想,CIO们买了一个或若干个无线路由或无线AP,把它们接上网线,插到附近的电源上,就完工了。这实际上给整个网络带来相当多的问题。让我们看下用传统AP、路由“修补”无线网络的弊端: 安全问题 传统无线网络的安全问题实在太多了,私接AP:非法的WLAN APs可以无意地或者在IT管理人员无法察觉的情况下恶意地接入到企业网络。只需要把一个小巧的WLAN APs带到企业内部,然后连接到以太网接口上就行了;不当设置的AP:许多时候,IT管理人员都会让合法的AP仍旧保持出厂时的默认设置或者没有恰当的对它进行设置。这会使AP在没有加密或在弱加密(如WEP)的条件下工作。也有些时候,一个AP在没有设置任何口令的情况下与客户端连接,于是整个企业网络就都在没有任何口令建立了无线连接;还有客户端连接不当、非法连接等等。
这些问题带来的后果不可轻视:私接AP是雇员为了获得快速的无线接入而采用的典型方式,他们安装的AP几乎没有任何安全控制(例如:接入控制列表,Wire Equivalent 协议,802.1X, 802.11i等)。由于这些AP可以连接到网络中的任何以太网接口,也就可以无视已有的WLAN安全控制点(如Wi-Fi 交换机和防火墙);不当设置的AP会导致一系列安全威胁。例如:攻击者可以窃听企业无线网络中不当设置的合法AP与合法用户间的无线通讯。攻击者也可以读取弱加密的通讯。如果AP没有设定口令,非法用户就可以通过这个AP与企业网络建立连接……
管理困难 想象一下,一个公司,有好几层楼,每层楼,有好几个AP,唯一的一个网管员,跑上跑下,上气不接下气,每天忙于设置AP、处理AP故障,基本上他不用干其它活了。“肥肥”的AP,让网管员越来越瘦,网络却还在拖慢着整个公司的工作效率。这就是传统无线产品在企业应用中的最直观表现。 3回顶部 信道干扰严重 一般一共有13个信道,大部分AP默认设置都在于6或11等信道,有的会自动调整信道,但也智力有限。在一个范围内,各个产品“竟相争道”,打得热火朝天,员工们却是由于无线信号不好而叫苦连天,如果碰到108M等级别的产品,一个就要占用两三个信道,更是拥挤,这样的无线网络你想用吗?
漫游断线严重 有一天,你在一个相当大的办公室工作,接到命令,提着笔记本赶到另一头的会议室作工作报告。想打开网络文件夹提取稿件,却发现居然重新连接到了会议室里的另一个无线热点上,My God!看看上司、大伙不耐烦的眼神。或者是你正用着最新的无线skype电话,边跑去取打印资料边和远在千里之外的客户谈业务,“吱……咔嚓!”天那!这该死的无线网络!
无线热点之间的漫游对很多传统无线产品来说是几乎不可能的,而那些具有WDS(无线分布式系统)的产品呢?噢!让它去吧,等到重新连接上,鸟儿早就飞了,VoIP早就断了!
供电困难 准备布设无线网络了。嗯,不错不错!这边放一个,那边放一个。咦!瞧,那边有一个信号盲点,再弄一个过去吧。头!东边没电源插座!西边那个也太远了,得拉线!“叮叮咚咚”漂亮的办公室一会儿满目苍痍。 供电一直是无线网络的一个“有线弱点”,目前室外的最新方案是利用清洁的太阳能为室外AP供电,但是我们办公室内没阳光啊,而且估计这成本也够呛的吧? 4回顶部 企业无线解决方案――无线交换机+瘦AP:集中式管理、安全有保证、可实现无缝漫游、信道可控避免互相干扰、可POE供电、布设成本更低(瘦AP) 目前最好的企业无线解决方法是什么呢?交换机+AP,对,就是交换机,不过是支持无线接入的交换机。它就像是用来作为企业网络这个雕像的一部分肢体,让我们来看下无线交换机+瘦AP相对于传统无线产品的优点: 集中式管理与避免信道干扰 无线交换机替代了原来二层交换机的位置,“瘦”AP取代了原有的企业级AP。通过这种方式,就可以在整个企业范围内把安全性、移动性、QoS和其他特性集中起来管理。
无线交换机可以动态地智能地调整“瘦”AP的信道和功率。例如,当某个“瘦”AP失效时,无线交换机将自动探测失败点,指导附近的“瘦”AP调整功率和信道设置来进行补偿。当一个新的AP加入,无线交换机可自动探测,上载适当的功率和信道设置,并调整附近AP的信道和减小其功率,以免发生冲突。如果要更换AP,可以将以前AP上的配置直接装载在这个AP上,不需要重复配置。 安全有保证 前面讲到了企业无线的安全问题,总结起来有八大种:私接AP、不当设置的AP、客户端连接不当、非法连接、直连网络、MAC伪造、蜜罐AP、拒绝服务。而无线交换机可防止非法接入点的入侵。当非法接入点连接到网络,无线交换机会验证它是否是允许设备或用户。如果交换机确定该设备是非法的,它将关闭非法接入点并自动告警。同时还有各种高级别的加密措施。 实现无缝漫游 无线交换机+瘦AP的架构与传统AP、路由的最大不同点就是,它是一个由多个AP组成,以交换机为首脑的结合体。目前最多的是蜂窝状的各个AP组合,还有最新提出来的同信道多层覆盖型(就相当于一个大AP)。由于本身是交换机对瘦AP进行管理,用户的认证都是保存在交换机上(或是由交换机知会给所有AP),而不是在AP上,所以用户在漫游到下一个AP的范围之内时,重新连接是相当迅速的。 还有最新的802.11r,使用无线电话技术的移动用户必须能够从一个接入点迅速断开连接,并重新连接到另一个接入点。这个切换过程中的延迟时间不应该超过50毫秒,因为这是人耳能够感觉到的时间间隔。但是目前802.11网络在漫游时的平均延迟是几百毫秒,这直接导致传输过程中的断续,造成连接丢失和语音质量下降。所以对广泛使用的基于802.11的无线语音通讯来说,更快的切换是非常关键的。 802.11r改善了移动的客户端设备在接入点之间运动时的切换过程。协议允许一个无线客户机在实现切换之前,就建立起与新接入点之间安全且具备QoS的状态,这会将连接损失和通话中断减到最小。而实现这种协议的作用的最好架构,目前来看就是集中式管理的无线交换机+瘦AP了。 5回顶部
除此之外,无线交换机+瘦AP式架构还可以保证PoE(Power over Ethernet),虽然以前的某些交换机也可以提供PoE,但由于基于最新的802.11n协议的无线AP,对电力的需求更大,所以,在升级的时候还是有问题,最好是选择新的无线交换机。 当然,如果安全性要求更高,这种架构最好还得有个NAC(网络接入控制)设备来支持。我们可以看到这种无线企业网络的前景,据预测,到2009年,全球无线交换机出货量将达24万台,这也带来了无线安全接入控制的市场。除了应用普通的NAC设备,现在还出现了专门的无线NAC设备,它们可以对整个企业无线网络进行初期计划、7X24 小时无间断的入侵防御监测、主动式的安全防御、人性化管理等方方面面的安全保护。
企业的最后一百米 用现在流行的说法:最后一公里,是无线网络发展最大作用的地方。作为最后一公里的延续,企业最后100M这个无线网络的重要性比一般家用网络更甚。由于其便利性为企业用户所青睐,又因为其安全、应用方面的种种问题而为他们所犹豫。毕竟企业是一个产生利润的地方,所有的成本投入,必须有至少某一方面的回报,更不能反而损害企业的盈利。虽然无线网络会一直发展下去,但目前来看,无线交换机+瘦AP,是最好的解决方案。 |
正在阅读:无线交换机:解决企业的最后一百米无线交换机:解决企业的最后一百米
2007-10-30 17:36
出处:
责任编辑:xiexiaomian
