隨著無(wú)線技術(shù)在企業(yè)中的推廣,越來(lái)越多的網(wǎng)絡(luò)管理員喜歡把無(wú)線網(wǎng)絡(luò)當(dāng)作有線網(wǎng)絡(luò)的一個(gè)擴(kuò)展,提高網(wǎng)絡(luò)的覆蓋率。筆者也不例外。不過(guò)在這么做的時(shí)候,就需要把無(wú)線網(wǎng)絡(luò)跟有線網(wǎng)絡(luò)進(jìn)行集成。但是畢竟無(wú)線網(wǎng)絡(luò)技術(shù)是后來(lái)發(fā)展起來(lái)的一門通信技術(shù),在跟有線網(wǎng)絡(luò)集成的時(shí)候,會(huì)對(duì)現(xiàn)有的有線網(wǎng)絡(luò)部署造成一定的沖擊。筆者這里就對(duì)有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)在集成過(guò)程中出現(xiàn)的常見(jiàn)沖突做一番分析,幫助網(wǎng)絡(luò)管理員順利實(shí)現(xiàn)有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的一體化過(guò)進(jìn)程。
一、對(duì)于虛擬局域網(wǎng)應(yīng)用的沖突
虛擬局域網(wǎng)有助于企業(yè)提高網(wǎng)絡(luò)安全、提高網(wǎng)絡(luò)性能。由于物理劃分網(wǎng)絡(luò)工作量大,靈活性差,故現(xiàn)在大部分企業(yè)都采用了虛擬局域網(wǎng)的形式來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行邏輯劃分。虛擬局域網(wǎng)有很多實(shí)現(xiàn)方式,如基于IP地址、基于端口、基于協(xié)議等實(shí)現(xiàn)方式。不過(guò)據(jù)筆者了解,基于端口的實(shí)現(xiàn)方式相對(duì)來(lái)說(shuō)靈活性、實(shí)用性更高一點(diǎn),是企業(yè)首選的虛擬局域網(wǎng)實(shí)現(xiàn)方式。但是如果采用這種實(shí)現(xiàn)方式的話,則在部署企業(yè)無(wú)線網(wǎng)絡(luò)時(shí),需要注意,很可能會(huì)造成不必要的麻煩。為什么這么說(shuō)呢?筆者舉一個(gè)例子大家也許就會(huì)明白。
如企業(yè)現(xiàn)在劃分了多個(gè)局域網(wǎng),財(cái)務(wù)部門與行政部門分屬于不同的局域網(wǎng)。在部署過(guò)程中,主要通過(guò)基于端口的方式實(shí)現(xiàn)。網(wǎng)絡(luò)管理員把虛擬局域網(wǎng)交換機(jī)中端口設(shè)置為三個(gè)局域網(wǎng)。假設(shè)端口1到端口5虛擬局域網(wǎng)甲規(guī)行政等部門使用。端口6到7為虛擬局域網(wǎng)乙歸財(cái)務(wù)部門使用。端口8到10為虛擬局域網(wǎng)丙歸研發(fā)部門使用?,F(xiàn)在在會(huì)議室中部署了一個(gè)無(wú)線路由器,其是連接在虛擬局域網(wǎng)甲上的。此時(shí)假設(shè)財(cái)務(wù)經(jīng)理要在會(huì)議室開(kāi)會(huì),他把他的帶有無(wú)線上網(wǎng)功能的筆記本拿到會(huì)議室,此時(shí)他通過(guò)會(huì)議室的無(wú)線路由器連接到的是虛擬局域網(wǎng)乙,即行政部門所在的虛擬局域網(wǎng)。此時(shí)財(cái)務(wù)經(jīng)理就無(wú)法訪問(wèn)自己財(cái)務(wù)部門的虛擬局域網(wǎng)。也就是說(shuō),無(wú)線局域網(wǎng)的采用可能會(huì)對(duì)以前設(shè)置的虛擬局域網(wǎng)產(chǎn)生沖突。
遇到這種情況該如何處理呢?此時(shí)網(wǎng)絡(luò)管理員可以添加無(wú)線路由器的方式來(lái)處理。即在財(cái)務(wù)部門中也設(shè)置一個(gè)無(wú)線路由器,其連接到的是財(cái)務(wù)部門所在的虛擬局域網(wǎng)。然后為各個(gè)無(wú)線路由器設(shè)置不同的密碼。如此的話,財(cái)務(wù)經(jīng)理無(wú)論走到哪個(gè)辦公室,都只能夠通過(guò)自己辦公室的無(wú)線路由器連接網(wǎng)絡(luò)。但是這有一個(gè)缺陷,即無(wú)線路由器信號(hào)強(qiáng)弱的變化。我們都知道,一個(gè)辦公室若隔音措施做的比較好的話,則其無(wú)線路由器的信號(hào)就不能夠傳遞到外面。而且無(wú)線路由器信號(hào)也隨著距離的不同而有強(qiáng)弱。故為不同的局域網(wǎng)分別設(shè)置不同的無(wú)線路由器只適用于開(kāi)發(fā)型的辦公室。對(duì)于密閉型的辦公室或者分布在不同樓宇的辦公室不怎么適用。
另外就是變更現(xiàn)有虛擬局域網(wǎng)的實(shí)現(xiàn)方式。如可以把基于端口的實(shí)現(xiàn)方式設(shè)置為基于IP地址或者M(jìn)AC地址的實(shí)現(xiàn)方式。如此的話,無(wú)論財(cái)務(wù)經(jīng)理通過(guò)什么方式、無(wú)論在什么地方連接到企業(yè)網(wǎng)絡(luò),只要其IP地址或者M(jìn)AC地址不變的話,則其所連接的虛擬局域網(wǎng)都不會(huì)改變。那么財(cái)務(wù)經(jīng)理就能夠正常訪問(wèn)自己的網(wǎng)絡(luò)。如當(dāng)財(cái)務(wù)經(jīng)理來(lái)到會(huì)議室,雖然是通過(guò)會(huì)議室的無(wú)線路由器進(jìn)行網(wǎng)絡(luò)訪問(wèn)。他在向虛擬局域網(wǎng)交換機(jī)遞交連接請(qǐng)求時(shí),交換機(jī)會(huì)根據(jù)財(cái)務(wù)經(jīng)理電腦的IP地址或者M(jìn)AC地址來(lái)判斷他應(yīng)該屬于哪個(gè)局域網(wǎng),然后幫他轉(zhuǎn)接過(guò)去。并不會(huì)因?yàn)槲恢貌煌鼡Q連接的虛擬局域網(wǎng)。不過(guò)這也會(huì)增加虛擬局域網(wǎng)的管理負(fù)擔(dān)。如財(cái)務(wù)經(jīng)理的電腦壞了或者無(wú)線網(wǎng)卡壞了,則換過(guò)設(shè)備之后就需要調(diào)整局域網(wǎng)交換機(jī)的設(shè)置,更改MAC地址等等。
所以說(shuō),企業(yè)采用無(wú)線局域網(wǎng)之后會(huì)于虛擬局域網(wǎng)應(yīng)用產(chǎn)生沖突。魚(yú)與熊掌難于兼得。網(wǎng)絡(luò)管理員在部署無(wú)線網(wǎng)絡(luò)時(shí),如果企業(yè)以前已經(jīng)有虛擬局域網(wǎng)了,則就需要根據(jù)自己的管理習(xí)慣以及企業(yè)的網(wǎng)絡(luò)規(guī)劃,選擇合適的解決沖突的方式。
二、對(duì)有線網(wǎng)絡(luò)的安全性規(guī)劃提出挑戰(zhàn)
采用無(wú)線網(wǎng)絡(luò)技術(shù)之后,也會(huì)對(duì)企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全規(guī)劃提出挑戰(zhàn)。如企業(yè)現(xiàn)在正在通過(guò)虛擬局域網(wǎng)來(lái)提高網(wǎng)絡(luò)的安全性。為了保障研發(fā)部門資料的安全,特意為研發(fā)部門設(shè)置了一個(gè)虛擬局域網(wǎng)。其他部門不能夠訪問(wèn)研發(fā)部門的網(wǎng)絡(luò),而研發(fā)部門則可以訪問(wèn)企業(yè)網(wǎng)絡(luò)的全部資源。此時(shí)如果在研發(fā)部門部署一個(gè)無(wú)線網(wǎng)絡(luò),會(huì)造成哪些安全漏洞呢?
一是非法用戶如果知道無(wú)線路由器連接的賬號(hào),則可以在無(wú)線路由器信號(hào)覆蓋的范圍之內(nèi),連入到研發(fā)部門所在的局域網(wǎng),進(jìn)行資料竊取或者其他的一些破壞活動(dòng)。無(wú)線信號(hào)沒(méi)有物理線路的限制,為此只需要知道無(wú)線連接的用戶名與密碼(有些網(wǎng)絡(luò)管理員甚至不會(huì)給無(wú)線路由器設(shè)置密碼),就可以做到。而如果不采用無(wú)線網(wǎng)絡(luò)的話,則必須要把電腦拿到他們的辦公區(qū)域、然后插上網(wǎng)線才行??梢?jiàn)后者的安全性要高的多。
二是傳輸信號(hào)的安全。在以太網(wǎng)技術(shù)中,如果對(duì)于傳輸?shù)膬?nèi)容沒(méi)有加密,則就可以通過(guò)偵聽(tīng)等手段獲取傳輸?shù)膬?nèi)容。為此在無(wú)線技術(shù)中,如果對(duì)于無(wú)線信號(hào)沒(méi)有采用加密處理的話,則其他無(wú)線用戶就可以通過(guò)偵聽(tīng)的手段,獲取這個(gè)用戶傳輸?shù)膬?nèi)容。這無(wú)疑也是對(duì)企業(yè)現(xiàn)有網(wǎng)絡(luò)安全設(shè)計(jì)的一個(gè)挑戰(zhàn)。
那么該如何解決這些問(wèn)題呢?筆者給各位網(wǎng)絡(luò)管理員提下面幾個(gè)建議。
1、對(duì)于安全性要求比較高的部門,最好不要部署無(wú)線路由器。如對(duì)于研發(fā)部門,可能是企業(yè)重點(diǎn)保護(hù)的部門。為了他們部門信息的安全,最好不要部署無(wú)線路由器。因?yàn)楸憷c安全要做出選擇的話,我們往往會(huì)選擇安全。畢竟若這些資料泄露的話,可能對(duì)企業(yè)會(huì)造成致命的打擊。
2、要重新調(diào)整企業(yè)有線網(wǎng)絡(luò)的安全規(guī)劃,把無(wú)線網(wǎng)絡(luò)也考慮進(jìn)去。如根據(jù)企業(yè)的安全性級(jí)別的不同,給無(wú)線網(wǎng)絡(luò)傳輸也設(shè)置一定的加密級(jí)別。讓其無(wú)線信號(hào)也是經(jīng)過(guò)加密后才傳輸。另外,對(duì)于無(wú)線連接也最好設(shè)置密碼,防止未經(jīng)授權(quán)的用戶通過(guò)無(wú)線路由器進(jìn)行越權(quán)訪問(wèn)。特別是那些企業(yè)中原先部署了虛擬局域網(wǎng)的網(wǎng)絡(luò)管理員,特別需要注意這一點(diǎn)。否則的話,很有可能被人家占了這個(gè)空子,連入到不允許訪問(wèn)的虛擬局域網(wǎng)中。
3、企業(yè)中可能會(huì)部署多個(gè)無(wú)線路由器。在沒(méi)有設(shè)置密碼的情況下(或者用戶知道無(wú)線連接訪問(wèn)密碼),用戶可以自主選擇通過(guò)哪個(gè)路由器來(lái)進(jìn)行訪問(wèn)。而如果這些無(wú)線路由器又恰巧接入到不同的虛擬局域網(wǎng)的話,那么就會(huì)存在比較大的安全漏洞。為此,不同的無(wú)線路由器連接不同的局域網(wǎng),為了安全起見(jiàn),除了為每個(gè)路由器設(shè)置連接密碼外,最好還要采取其他一些措施。如在無(wú)線路由器的安全策略中,設(shè)置只允許某些特定的IP地址或者M(jìn)AC地址才能夠允許無(wú)線連接。這無(wú)疑可以鞏固無(wú)線網(wǎng)絡(luò)虛擬局域網(wǎng)的安全性。
總之,企業(yè)部署了無(wú)線局域網(wǎng)之后,網(wǎng)絡(luò)管理員往往需要重新調(diào)整現(xiàn)有的網(wǎng)絡(luò)安全規(guī)劃。以減少無(wú)線網(wǎng)絡(luò)技術(shù)對(duì)于企業(yè)有線網(wǎng)絡(luò)安全上的沖擊。以上三個(gè)方法是常見(jiàn)的鞏固無(wú)線網(wǎng)絡(luò)安全的措施。網(wǎng)絡(luò)管理員要根據(jù)企業(yè)對(duì)于網(wǎng)絡(luò)安全級(jí)別的不同,來(lái)調(diào)整企業(yè)的安全性規(guī)劃。