隨著無(wú)線技術(shù)在企業(yè)中的推廣,,越來(lái)越多的網(wǎng)絡(luò)管理員喜歡把無(wú)線網(wǎng)絡(luò)當(dāng)作有線網(wǎng)絡(luò)的一個(gè)擴(kuò)展,,提高網(wǎng)絡(luò)的覆蓋率。筆者也不例外,。不過(guò)在這么做的時(shí)候,,就需要把無(wú)線網(wǎng)絡(luò)跟有線網(wǎng)絡(luò)進(jìn)行集成。但是畢竟無(wú)線網(wǎng)絡(luò)技術(shù)是后來(lái)發(fā)展起來(lái)的一門(mén)通信技術(shù),,在跟有線網(wǎng)絡(luò)集成的時(shí)候,,會(huì)對(duì)現(xiàn)有的有線網(wǎng)絡(luò)部署造成一定的沖擊。筆者這里就對(duì)有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)在集成過(guò)程中出現(xiàn)的常見(jiàn)沖突做一番分析,,幫助網(wǎng)絡(luò)管理員順利實(shí)現(xiàn)有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的一體化過(guò)進(jìn)程,。
一、對(duì)于虛擬局域網(wǎng)應(yīng)用的沖突
虛擬局域網(wǎng)有助于企業(yè)提高網(wǎng)絡(luò)安全,、提高網(wǎng)絡(luò)性能,。由于物理劃分網(wǎng)絡(luò)工作量大,靈活性差,,故現(xiàn)在大部分企業(yè)都采用了虛擬局域網(wǎng)的形式來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行邏輯劃分,。虛擬局域網(wǎng)有很多實(shí)現(xiàn)方式,如基于IP地址,、基于端口,、基于協(xié)議等實(shí)現(xiàn)方式。不過(guò)據(jù)筆者了解,,基于端口的實(shí)現(xiàn)方式相對(duì)來(lái)說(shuō)靈活性,、實(shí)用性更高一點(diǎn),是企業(yè)首選的虛擬局域網(wǎng)實(shí)現(xiàn)方式。但是如果采用這種實(shí)現(xiàn)方式的話,,則在部署企業(yè)無(wú)線網(wǎng)絡(luò)時(shí),,需要注意,,很可能會(huì)造成不必要的麻煩,。為什么這么說(shuō)呢?筆者舉一個(gè)例子大家也許就會(huì)明白。
如企業(yè)現(xiàn)在劃分了多個(gè)局域網(wǎng),,財(cái)務(wù)部門(mén)與行政部門(mén)分屬于不同的局域網(wǎng),。在部署過(guò)程中,主要通過(guò)基于端口的方式實(shí)現(xiàn),。網(wǎng)絡(luò)管理員把虛擬局域網(wǎng)交換機(jī)中端口設(shè)置為三個(gè)局域網(wǎng),。假設(shè)端口1到端口5虛擬局域網(wǎng)甲規(guī)行政等部門(mén)使用。端口6到7為虛擬局域網(wǎng)乙歸財(cái)務(wù)部門(mén)使用,。端口8到10為虛擬局域網(wǎng)丙歸研發(fā)部門(mén)使用?,F(xiàn)在在會(huì)議室中部署了一個(gè)無(wú)線路由器,其是連接在虛擬局域網(wǎng)甲上的,。此時(shí)假設(shè)財(cái)務(wù)經(jīng)理要在會(huì)議室開(kāi)會(huì),,他把他的帶有無(wú)線上網(wǎng)功能的筆記本拿到會(huì)議室,此時(shí)他通過(guò)會(huì)議室的無(wú)線路由器連接到的是虛擬局域網(wǎng)乙,,即行政部門(mén)所在的虛擬局域網(wǎng),。此時(shí)財(cái)務(wù)經(jīng)理就無(wú)法訪問(wèn)自己財(cái)務(wù)部門(mén)的虛擬局域網(wǎng)。也就是說(shuō),,無(wú)線局域網(wǎng)的采用可能會(huì)對(duì)以前設(shè)置的虛擬局域網(wǎng)產(chǎn)生沖突,。
遇到這種情況該如何處理呢?此時(shí)網(wǎng)絡(luò)管理員可以添加無(wú)線路由器的方式來(lái)處理。即在財(cái)務(wù)部門(mén)中也設(shè)置一個(gè)無(wú)線路由器,,其連接到的是財(cái)務(wù)部門(mén)所在的虛擬局域網(wǎng),。然后為各個(gè)無(wú)線路由器設(shè)置不同的密碼。如此的話,,財(cái)務(wù)經(jīng)理無(wú)論走到哪個(gè)辦公室,,都只能夠通過(guò)自己辦公室的無(wú)線路由器連接網(wǎng)絡(luò)。但是這有一個(gè)缺陷,,即無(wú)線路由器信號(hào)強(qiáng)弱的變化,。我們都知道,一個(gè)辦公室若隔音措施做的比較好的話,,則其無(wú)線路由器的信號(hào)就不能夠傳遞到外面,。而且無(wú)線路由器信號(hào)也隨著距離的不同而有強(qiáng)弱。故為不同的局域網(wǎng)分別設(shè)置不同的無(wú)線路由器只適用于開(kāi)發(fā)型的辦公室,。對(duì)于密閉型的辦公室或者分布在不同樓宇的辦公室不怎么適用,。
另外就是變更現(xiàn)有虛擬局域網(wǎng)的實(shí)現(xiàn)方式。如可以把基于端口的實(shí)現(xiàn)方式設(shè)置為基于IP地址或者M(jìn)AC地址的實(shí)現(xiàn)方式,。如此的話,,無(wú)論財(cái)務(wù)經(jīng)理通過(guò)什么方式,、無(wú)論在什么地方連接到企業(yè)網(wǎng)絡(luò),只要其IP地址或者M(jìn)AC地址不變的話,,則其所連接的虛擬局域網(wǎng)都不會(huì)改變,。那么財(cái)務(wù)經(jīng)理就能夠正常訪問(wèn)自己的網(wǎng)絡(luò)。如當(dāng)財(cái)務(wù)經(jīng)理來(lái)到會(huì)議室,,雖然是通過(guò)會(huì)議室的無(wú)線路由器進(jìn)行網(wǎng)絡(luò)訪問(wèn),。他在向虛擬局域網(wǎng)交換機(jī)遞交連接請(qǐng)求時(shí),交換機(jī)會(huì)根據(jù)財(cái)務(wù)經(jīng)理電腦的IP地址或者M(jìn)AC地址來(lái)判斷他應(yīng)該屬于哪個(gè)局域網(wǎng),,然后幫他轉(zhuǎn)接過(guò)去,。并不會(huì)因?yàn)槲恢貌煌鼡Q連接的虛擬局域網(wǎng),。不過(guò)這也會(huì)增加虛擬局域網(wǎng)的管理負(fù)擔(dān),。如財(cái)務(wù)經(jīng)理的電腦壞了或者無(wú)線網(wǎng)卡壞了,則換過(guò)設(shè)備之后就需要調(diào)整局域網(wǎng)交換機(jī)的設(shè)置,,更改MAC地址等等,。
所以說(shuō),企業(yè)采用無(wú)線局域網(wǎng)之后會(huì)于虛擬局域網(wǎng)應(yīng)用產(chǎn)生沖突,。魚(yú)與熊掌難于兼得,。網(wǎng)絡(luò)管理員在部署無(wú)線網(wǎng)絡(luò)時(shí),如果企業(yè)以前已經(jīng)有虛擬局域網(wǎng)了,,則就需要根據(jù)自己的管理習(xí)慣以及企業(yè)的網(wǎng)絡(luò)規(guī)劃,,選擇合適的解決沖突的方式。
二,、對(duì)有線網(wǎng)絡(luò)的安全性規(guī)劃提出挑戰(zhàn)
采用無(wú)線網(wǎng)絡(luò)技術(shù)之后,,也會(huì)對(duì)企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全規(guī)劃提出挑戰(zhàn)。如企業(yè)現(xiàn)在正在通過(guò)虛擬局域網(wǎng)來(lái)提高網(wǎng)絡(luò)的安全性,。為了保障研發(fā)部門(mén)資料的安全,,特意為研發(fā)部門(mén)設(shè)置了一個(gè)虛擬局域網(wǎng)。其他部門(mén)不能夠訪問(wèn)研發(fā)部門(mén)的網(wǎng)絡(luò),,而研發(fā)部門(mén)則可以訪問(wèn)企業(yè)網(wǎng)絡(luò)的全部資源,。此時(shí)如果在研發(fā)部門(mén)部署一個(gè)無(wú)線網(wǎng)絡(luò),會(huì)造成哪些安全漏洞呢?
一是非法用戶(hù)如果知道無(wú)線路由器連接的賬號(hào),,則可以在無(wú)線路由器信號(hào)覆蓋的范圍之內(nèi),,連入到研發(fā)部門(mén)所在的局域網(wǎng),進(jìn)行資料竊取或者其他的一些破壞活動(dòng),。無(wú)線信號(hào)沒(méi)有物理線路的限制,,為此只需要知道無(wú)線連接的用戶(hù)名與密碼(有些網(wǎng)絡(luò)管理員甚至不會(huì)給無(wú)線路由器設(shè)置密碼),就可以做到。而如果不采用無(wú)線網(wǎng)絡(luò)的話,,則必須要把電腦拿到他們的辦公區(qū)域,、然后插上網(wǎng)線才行??梢?jiàn)后者的安全性要高的多,。
二是傳輸信號(hào)的安全。在以太網(wǎng)技術(shù)中,,如果對(duì)于傳輸?shù)膬?nèi)容沒(méi)有加密,,則就可以通過(guò)偵聽(tīng)等手段獲取傳輸?shù)膬?nèi)容。為此在無(wú)線技術(shù)中,,如果對(duì)于無(wú)線信號(hào)沒(méi)有采用加密處理的話,則其他無(wú)線用戶(hù)就可以通過(guò)偵聽(tīng)的手段,,獲取這個(gè)用戶(hù)傳輸?shù)膬?nèi)容,。這無(wú)疑也是對(duì)企業(yè)現(xiàn)有網(wǎng)絡(luò)安全設(shè)計(jì)的一個(gè)挑戰(zhàn)。
那么該如何解決這些問(wèn)題呢?筆者給各位網(wǎng)絡(luò)管理員提下面幾個(gè)建議,。
1,、對(duì)于安全性要求比較高的部門(mén),最好不要部署無(wú)線路由器,。如對(duì)于研發(fā)部門(mén),,可能是企業(yè)重點(diǎn)保護(hù)的部門(mén)。為了他們部門(mén)信息的安全,,最好不要部署無(wú)線路由器,。因?yàn)楸憷c安全要做出選擇的話,我們往往會(huì)選擇安全,。畢竟若這些資料泄露的話,,可能對(duì)企業(yè)會(huì)造成致命的打擊。
2,、要重新調(diào)整企業(yè)有線網(wǎng)絡(luò)的安全規(guī)劃,,把無(wú)線網(wǎng)絡(luò)也考慮進(jìn)去。如根據(jù)企業(yè)的安全性級(jí)別的不同,,給無(wú)線網(wǎng)絡(luò)傳輸也設(shè)置一定的加密級(jí)別,。讓其無(wú)線信號(hào)也是經(jīng)過(guò)加密后才傳輸。另外,,對(duì)于無(wú)線連接也最好設(shè)置密碼,,防止未經(jīng)授權(quán)的用戶(hù)通過(guò)無(wú)線路由器進(jìn)行越權(quán)訪問(wèn)。特別是那些企業(yè)中原先部署了虛擬局域網(wǎng)的網(wǎng)絡(luò)管理員,,特別需要注意這一點(diǎn),。否則的話,很有可能被人家占了這個(gè)空子,連入到不允許訪問(wèn)的虛擬局域網(wǎng)中,。
3,、企業(yè)中可能會(huì)部署多個(gè)無(wú)線路由器。在沒(méi)有設(shè)置密碼的情況下(或者用戶(hù)知道無(wú)線連接訪問(wèn)密碼),,用戶(hù)可以自主選擇通過(guò)哪個(gè)路由器來(lái)進(jìn)行訪問(wèn),。而如果這些無(wú)線路由器又恰巧接入到不同的虛擬局域網(wǎng)的話,那么就會(huì)存在比較大的安全漏洞,。為此,,不同的無(wú)線路由器連接不同的局域網(wǎng),為了安全起見(jiàn),,除了為每個(gè)路由器設(shè)置連接密碼外,,最好還要采取其他一些措施。如在無(wú)線路由器的安全策略中,,設(shè)置只允許某些特定的IP地址或者M(jìn)AC地址才能夠允許無(wú)線連接,。這無(wú)疑可以鞏固無(wú)線網(wǎng)絡(luò)虛擬局域網(wǎng)的安全性。
總之,,企業(yè)部署了無(wú)線局域網(wǎng)之后,,網(wǎng)絡(luò)管理員往往需要重新調(diào)整現(xiàn)有的網(wǎng)絡(luò)安全規(guī)劃。以減少無(wú)線網(wǎng)絡(luò)技術(shù)對(duì)于企業(yè)有線網(wǎng)絡(luò)安全上的沖擊,。以上三個(gè)方法是常見(jiàn)的鞏固無(wú)線網(wǎng)絡(luò)安全的措施,。網(wǎng)絡(luò)管理員要根據(jù)企業(yè)對(duì)于網(wǎng)絡(luò)安全級(jí)別的不同,來(lái)調(diào)整企業(yè)的安全性規(guī)劃,。