网络改造方案
目前无线网络的发展情况不容乐观,在很多公司内已经实现了无线网络覆盖,但都多少存在着这样或那样的网络问题,甚至严重影响了网络的使用。常见的问题有,无线网络的设置麻烦,无线网络的覆盖率不足,无线网络的密码安全和密码管理,更复杂的情况是如何禁止私自接入网络的AP,无线网络的无缝链接,控制接入点的无线用户接入数量,无线信道干扰,已及SSID名称混乱的种种令人头疼的情况。传统无线解决方案――传统AP、路由:安全问题大、管理困难、信道干扰严重、漫游几乎不可能、供电困难。
很多企业看到了无线的便捷,使用上了,却是用着SOHO级的低端产品,最后的结论便是:既不安全,又慢,只有少数企业的安全无线网络正稳定地运行着…很多管理人员和某些技术支持人员只是把无线网络认为是有线网络的一个扩展,而实际情况是无线网络和有线网络一样,都是整个网络不可缺少的一部分,甚至无线网络面临着更多的问题和技术支持的难度。有很多网络管理人员,甚至某些非专业的网络公司买了一个或若干个无线路由或无线AP,把它们接上网线,插到附近的电源上,就完工了。这实际上给整个网络带来相当多的问题。想想一下当一个私自接入的AP在没有设置任何口令的情况下与客户端连接,于是整个企业网络就都在没有任何口令建立了无线连接;还有客户端连接不当、非法连接等等。带来的后果不可轻视,甚至是可怕的。由于这些AP可以连接到网络中的任何以太网接口,也就可以无视已有的WLAN安全控制点(如防火墙);不当设置的AP会导致一系列安全威胁。例如:攻击者可以窃听企业无线网络中不当设置的合法AP与合法用户间的无线通讯。攻击者也可以读取弱加密的通讯。无线热点之间的漫游对很多传统无线产品来说是几乎不可能的,而那些具有WDS(无线分布式系统)的产品,对家用用户来说,漫游的断线还可以忍受,但对企业用户来说却有可能是个巨大的损失。在管理难度上想想下网管人员各楼层的AP之间跑上跑下的设置,那绝对是一个体力活儿,但网络却还在拖慢着整个公司的工作效率。这就是传统无线产品在企业应用中的最直观表现。
针对原有的网络情况,要实施无线覆盖的情况下还要保证网络的安全性和可靠性,并考虑到以后的网络升级和网络管理,特推出瘦AP集中管理网络改造方案。
具体改造方法:
使用无线网络交换机替换公司原有的二层交换机,使用瘦AP而不使用企业级AP,这样可以大大的降低公司无线网络改造的成本。这样可以在整个公司范围内把安全性、移动
性、QoS和其他特性集中起来管理。无线交换机可以动态地智能地调整“瘦”AP的信道和功率。例如,当某个“瘦”AP失效时,无线交换机将自动探测失败点,指导附近的“瘦”AP调整功率和信道设置来进行补偿。当一个新的AP加入,无线交换机可自动探测,上载适当的功率和信道设置,并调整附近AP的信道和减小其功率,以免发生冲突。如果要更换AP,可以将以前AP上的配置直接装载在这个AP上,不需要重复配置。面对安全性的解决方法,可以借助无线网络交换机得以完善解决
目前危及无线网络安全的主要有以下几种情况:私接AP、不当设置的AP、客户端连接不当、非法连接、直连网络、MAC伪造、蜜罐AP、拒绝服务。无线交换机可防止非法接入点的入侵。当非法接入点连接到网络,无线交换机会验证它是否是允许设备或用户。如果交换机确定该设备是非法的,它将关闭非法接入点并自动告警。同时还有各种高级别的加密措施。
无线交换机+瘦AP的架构与传统AP、路由的最大不同点就是,它是一个由多个AP组成,以交换机为首脑的结合体。目前最多的是蜂窝状的各个AP组合,还有最新提出来的同信道多层覆盖型(就相当于一个大AP)。由于本身是交换机对瘦AP进行管理,用户的认证都是保存在交换机上(或是由交换机知会给所有AP),而不是在AP上,所以用户在漫游到下一个AP的范围之内时,重新连接是相当迅速的。
除此之外,无线交换机+瘦AP式架构还可以保证PoE(Power over Ethernet)
如果安全性要求更高,这种架构最好还得有个NAC(网络接入控制)设备来支持。它们可以对整个企业无线网络进行初期计划、7X24 小时无间断的入侵防御监测、主动式的安全防御、人性化管理等方方面面的安全保护。
备注:
1,使用PoE的时候需要注意,如果在网络中使用802.11N产品时,请联系产品供应商,虽然以前的某些交换机也可以提供PoE,但由于基于最新的802.11n协议的无线AP,对电力的需求更大,所以,最好是与供应商提前确认。
2.可供选择的无线交换机及Ap:
D-LINK DWS-3026 dwl-3500ap
NETGEAR WFS709TP WAGL102
WX1200/WX4400 H3C AP2750
SYMBOL WS5100 SYMBOL AP300