有线网络基础上的无线规划及其管理（二）

        对于网络管理来说，大致上包含网络设备管理和用户管理两个方面。这J里所说的统一管理，实际上是相对用户管理层面而言，主要涉及到用户在整个网络中身份一致性的问题。林涛介绍说，目前在很多企业网中，都使用认证网关对用户通过有线接入访问Internet进行管理。加入无线网络后，可以通过共享现有认证系统的用户数据库的方式实现统一管理，采用WebPortal方式对用户无线接入进行认证。张耀升也认为网络平台对有线/无线的认证方式都差不多，有线和无线用户可以使用相同的认证方式和接入网关，为用户分配统一的接入权限，这样不管用户是由无线还是有线接入网络，其访问网络的权限都是一样的。另外，还可以将两个网络的管理工具整合起来。例如，Trapeze的RingMaster(支持SNMP)就可以融入到惠普ProCurve的OpenView构成有线/无线的统一管理平台。

    而在设备管理上，无线与有线网络也基本类似，都是配置和监视等方面的问题。不过，两者在细节上存在一个最大的差别。王卓表示，由于无线网络的频谱环境随时都在发生变化，因此还需要无线网络具有环境检测和针对变化的自适应及优化功能。

    至于网络的维护和优化，则主要是周期性地检查WLAN，收集勘查数据并进行相应的性能优化。吴世军表示，你可以更改AP的位置、天线类型和配置信息等。通过使用站点勘查工具或网络分析仪查看接入点情况，可以确定超负荷AP及同频段干扰现象，防止连接速度缓慢的用户影响网络的整体吞吐量。

    实际上，在无线管理方面可以借助的工具还有很多。比如Aruba具有ICSA认证的基于个人状态的防火墙(比传统ACL的安全性级别更高)、惠普ProCurve基于IDM身份驱动的访问控制设备(如NAC800控制器)、Trapeze的SmartPass软件等，都是进行有线/无线网络管理的好助手。

    警惕安全隐患

    网络管理离不开安全问题，一旦WLAN在有线网络上启动和运行起来，就要定期审查整个网络的监测情况，未经许可的接入点或客户端都意为着安全漏洞。

    林涛表示，无线网络的瘦AP架构主要包括设备安全、设备间信息和协议交流的安全(包括AES加密等)、用户网络资源安全和无线安全几个方面。其中用户网络资源的安全主要包括对客户端安全完整性的检查功能、WEP和WPA等加密认证手段，以及有线与无线结合的情况下对网络资源的访问控制(通过用户名获得权限进而得到网络资源，可以在不同层次上实现安全控制)。而无线安全包括WIDS和WIPS等方式，通过对非法AP的监测、定位和反击，防止无线用户接入到非法AP上。
    储斌着重强调了企业网安全管理的一致性，他表示，无线管理需要与有线的管理和调度相融合，看无线的扩展能否与原有的有线安全性相统一(不只是数据加密、日志、审计)，如果做不到，来自用户的困惑和疑虑还是没有得到解决。实际上，各种用户口令造成的身份交叉是整个企业网最大的一个安全隐患。如果管理体系出现不一致，无疑是对整个企业网安全性的一个削弱。

   无线嫁接实用手册

    定义：

    即在企业原有的有线网络基础上部署无线网络，构建带有移动性的相互融合的网络。

    场所：

    无线嫁接通常发生在原有有线网络扩展困难，或对无线移动性有需求的场所。

    影响因素：

    影响无线嫁接的因素主要是无线网络的前期规划和后期管理。其中无线规划包括AP部署规划、无线交换机部署规划和网络管理及控制等方面的内容，无线管理包括设备管理、用户管理、网络安全和控制等。

    工具和方法：

    无线网络规划首先要根据实际应用和场所进行初步设计，然后结合现场勘查的情况，根据业界计算空间损耗和覆盖范围的公式，或直接通过频谱分析仪和WLAN分析软件等工具进行实际的无线规划。特别要注意无线信号连通性和传输数据的Ping值，确定AP信号强度以及无线终端接入到有线网络当中的延迟和丢包率的情况。

    网络管理主要是对企业员工或访客的身份管理，需要统一有线和无线的管理平台(包括认证方式和数据库等)，确保用户权限在整个网络的一致性。同时，还要注意监测无线环境的变化，对无线接入点进行日常勘查和维护，确定无保护的接入点、新的RF干扰源，以及非法入侵AP等安全隐患。

    案例一：北京师范大学一次性部署500个接入点

    上个月，北京师范大学在校园原有的有线网络设施基础上，成功在教学楼和办公楼进行了无线网络的覆盖，弥补了这些场所有线扩展能力较差的不足。新的无线网络解决方案采用瘦AP架构，包含超过500台Trapeze智能WLAN接入点(MP-71接入点和MP-372接入点的结合)，4台完全冗余的高性能MX-200RWLAN控制器。这不仅是教育行业中一次性采购AP数量最多的项目，并且在网络互联、认证计费、安全防御等方面与有线网络进行良好的兼容和互补，而对校园有线网络各部分主体结构内部不做任何变更。在AP实际部署上，北师大的案例采取“零配置”方式——即AP设备启动后插电即可直接工作，用户无须为每个AP配置IP地址、SSID和加密等参数。

    瘦AP架构给无线网络的规划和部署带来很大便利。
    案例二：北京某运营商WLAN非法入侵检测

    北京某运营商的无线网络中存在非法入侵AP，严重影响了公司WLAN网络的平稳运行。由于非法入侵设备位置隐蔽，因此需要借助灵敏度极高的定向(全向)天线，才能够实现精确定位。网络管理人员使用Fluke公司的EtherScope网络通设备(可定位最远515米，功率-100dBm的无线AP)，根据定向天线的方向指示在房间漫游，通过读取非法入侵AP的功率变化，找到非法入侵AP的信号最强点，EtherScope发出“哔哔”声音指示确定非法入侵AP(包含WLAN和ad-hoc网络)的实际物理位置。原来，该非法入侵AP是在没有得到允许的情况下，由办公人员私自接入网络的。将无线网络成功部署到原有的有线基础上并非万事大吉，对于设备和网络的管理也比维护来得更加重要。

    下一代企业网是什么样

    同样是解决下一代企业网络移动性的问题，不用厂商之间却旗帜鲜明：ProCurve始终强调用户边缘的AEA架构，Aruba则坚持以用户为中心的策略，Trapeze更倾向于采取分散式的架构来避免网络瓶颈……看上去每个厂商都拥有各自不同的网络架构和解决方案，但实际上彼此之间也有共通的地方，就是更好地将无线网络嫁接到有线网络上。同时，几家公司都认为移动性是下一代企业网的重要特征。

    王卓表示，VoIP其实是一个很好的应用，但为什么现在应用不起来？主要是因为原来的VoIP终端都是运行在有线网络上。而只有利用无线网络，才可以让VoIP终端随用户的移动真正应用起来。除了移动性以外，杨华认为下一代企业网还应该包含以用户为中心、集中式管控、强调个性化安全服务，以及可运营化等几个趋势。

    储斌认为，与以前面向连接的网络不同，现在的企业网正在已经开始朝面向业务的方向转变，不再是处于封闭园区内的一个互联平台了。原来通过各种技术手段和安全措施层层打补丁的管理方式也已经落伍，只有调整企业网的体系架构才是根本的解决之道。下一代企业网应当以业务为驱动，更加靠近企业的组织架构，通过融入无线移动性和体系架构上的安全性，变成企业的生产环境，让网络去适应人。