随着无线技术在企业中的推广,越来越多的网络管理员喜欢把无线网络当作有线网络的一个扩展,提高网络的覆盖率。笔者也不例外。不过在这么做的时候,就需要把无线网络跟有线网络进行集成。但是毕竟无线网络技术是后来发展起来的一门通信技术,在跟有线网络集成的时候,会对现有的有线网络部署造成一定的冲击。笔者这里就对有线网络与无线网络在集成过程中出现的常见冲突做一番分析,帮助网络管理员顺利实现有线网络与无线网络的一体化过进程。
一、对于虚拟局域网应用的冲突
虚拟局域网有助于企业提高网络安全、提高网络性能。由于物理划分网络工作量大,灵活性差,故现在大部分企业都采用了虚拟局域网的形式来对网络进行逻辑划分。虚拟局域网有很多实现方式,如基于IP地址、基于端口、基于协议等实现方式。不过据笔者了解,基于端口的实现方式相对来说灵活性、实用性更高一点,是企业首选的虚拟局域网实现方式。但是如果采用这种实现方式的话,则在部署企业无线网络时,需要注意,很可能会造成不必要的麻烦。为什么这么说呢?笔者举一个例子大家也许就会明白。
如企业现在划分了多个局域网,财务部门与行政部门分属于不同的局域网。在部署过程中,主要通过基于端口的方式实现。网络管理员把虚拟局域网交换机中端口设置为三个局域网。假设端口1到端口5虚拟局域网甲规行政等部门使用。端口6到7为虚拟局域网乙归财务部门使用。端口8到10为虚拟局域网丙归研发部门使用。现在在会议室中部署了一个无线路由器,其是连接在虚拟局域网甲上的。此时假设财务经理要在会议室开会,他把他的带有无线上网功能的笔记本拿到会议室,此时他通过会议室的无线路由器连接到的是虚拟局域网乙,即行政部门所在的虚拟局域网。此时财务经理就无法访问自己财务部门的虚拟局域网。也就是说,无线局域网的采用可能会对以前设置的虚拟局域网产生冲突。 遇到这种情况该如何处理呢?此时网络管理员可以添加无线路由器的方式来处理。即在财务部门中也设置一个无线路由器,其连接到的是财务部门所在的虚拟局域网。然后为各个无线路由器设置不同的密码。如此的话,财务经理无论走到哪个办公室,都只能够通过自己办公室的无线路由器连接网络。但是这有一个缺陷,即无线路由器信号强弱的变化。我们都知道,一个办公室若隔音措施做的比较好的话,则其无线路由器的信号就不能够传递到外面。而且无线路由器信号也随着距离的不同而有强弱。故为不同的局域网分别设置不同的无线路由器只适用于开发型的办公室。对于密闭型的办公室或者分布在不同楼宇的办公室不怎么适用。 另外就是变更现有虚拟局域网的实现方式。如可以把基于端口的实现方式设置为基于IP地址或者MAC地址的实现方式。如此的话,无论财务经理通过什么方式、无论在什么地方连接到企业网络,只要其IP地址或者MAC地址不变的话,则其所连接的虚拟局域网都不会改变。那么财务经理就能够正常访问自己的网络。如当财务经理来到会议室,虽然是通过会议室的无线路由器进行网络访问。他在向虚拟局域网交换机递交连接请求时,交换机会根据财务经理电脑的IP地址或者MAC地址来判断他应该属于哪个局域网,然后帮他转接过去。并不会因为位置不同,而更换连接的虚拟局域网。不过这也会增加虚拟局域网的管理负担。如财务经理的电脑坏了或者无线网卡坏了,则换过设备之后就需要调整局域网交换机的设置,更改MAC地址等等。
所以说,企业采用无线局域网之后会于虚拟局域网应用产生冲突。鱼与熊掌难于兼得。网络管理员在部署无线网络时,如果企业以前已经有虚拟局域网了,则就需要根据自己的管理习惯以及企业的网络规划,选择合适的解决冲突的方式。
二、对有线网络的安全性规划提出挑战 采用无线网络技术之后,也会对企业现有的网络安全规划提出挑战。如企业现在正在通过虚拟局域网来提高网络的安全性。为了保障研发部门资料的安全,特意为研发部门设置了一个虚拟局域网。其他部门不能够访问研发部门的网络,而研发部门则可以访问企业网络的全部资源。此时如果在研发部门部署一个无线网络,会造成哪些安全漏洞呢? 一是非法用户如果知道无线路由器连接的账号,则可以在无线路由器信号覆盖的范围之内,连入到研发部门所在的局域网,进行资料窃取或者其他的一些破坏活动。无线信号没有物理线路的限制,为此只需要知道无线连接的用户名与密码(有些网络管理员甚至不会给无线路由器设置密码),就可以做到。而如果不采用无线网络的话,则必须要把电脑拿到他们的办公区域、然后插上网线才行。可见后者的安全性要高的多。
二是传输信号的安全。在以太网技术中,如果对于传输的内容没有加密,则就可以通过侦听等手段获取传输的内容。为此在无线技术中,如果对于无线信号没有采用加密处理的话,则其他无线用户就可以通过侦听的手段,获取这个用户传输的内容。这无疑也是对企业现有网络安全设计的一个挑战。
那么该如何解决这些问题呢?笔者给各位网络管理员提下面几个建议。 1、对于安全性要求比较高的部门,最好不要部署无线路由器。如对于研发部门,可能是企业重点保护的部门。为了他们部门信息的安全,最好不要部署无线路由器。因为便利与安全要做出选择的话,我们往往会选择安全。毕竟若这些资料泄露的话,可能对企业会造成致命的打击。 2、要重新调整企业有线网络的安全规划,把无线网络也考虑进去。如根据企业的安全性级别的不同,给无线网络传输也设置一定的加密级别。让其无线信号也是经过加密后才传输。另外,对于无线连接也最好设置密码,防止未经授权的用户通过无线路由器进行越权访问。特别是那些企业中原先部署了虚拟局域网的网络管理员,特别需要注意这一点。否则的话,很有可能被人家占了这个空子,连入到不允许访问的虚拟局域网中。 3、企业中可能会部署多个无线路由器。在没有设置密码的情况下(或者用户知道无线连接访问密码),用户可以自主选择通过哪个路由器来进行访问。而如果这些无线路由器又恰巧接入到不同的虚拟局域网的话,那么就会存在比较大的安全漏洞。为此,不同的无线路由器连接不同的局域网,为了安全起见,除了为每个路由器设置连接密码外,最好还要采取其他一些措施。如在无线路由器的安全策略中,设置只允许某些特定的IP地址或者MAC地址才能够允许无线连接。这无疑可以巩固无线网络虚拟局域网的安全性。
|