【.com 原創(chuàng)】上期和大家漫談后，有熱心的小伙伴私信廉哥這個(gè)所謂的“在不破壞原有架構(gòu)和功能運(yùn)作的條件下”，到底是幾個(gè)意思呢?

我想說(shuō)：“原來(lái)你是這樣的讀者!你這樣問(wèn)，你家里人知道嗎?你問(wèn)得真漂亮!”我很贊賞這位朋友的“參與精神”。廉哥應(yīng)該發(fā)揚(yáng)互聯(lián)網(wǎng)的“***思維”，把漫談講得更透徹些。的確，我上次說(shuō)含糊了，這里給大家講個(gè)明白吧。因?yàn)楸姸嗥髽I(yè)原有網(wǎng)絡(luò)架構(gòu)運(yùn)作已久，不管是慢也好，脆弱也罷，它都形成了自身的nature balance和用戶(hù)習(xí)慣性，所以說(shuō)我們不能過(guò)于“任性”。增加設(shè)備要全面考量和深入測(cè)試，我們旨在把網(wǎng)絡(luò)升級(jí)得strong and fluent而不是制造新的“掣肘”。另外用戶(hù)體驗(yàn)是很重要的，這一點(diǎn)上我們可以參照“馬斯洛需求層次金字塔”來(lái)理解，在滿(mǎn)足了能用的基礎(chǔ)上，用戶(hù)當(dāng)然會(huì)需要用的爽，而安全和效率有時(shí)候就是一對(duì)天生的矛盾體，因此這個(gè)balance的度的把握很重要。技術(shù)是死的，但人是活的，如何安全運(yùn)營(yíng)和維護(hù)的前提條件下既搞定用戶(hù)又滿(mǎn)足審計(jì)，是需要一定的interpersonal技巧了。不多說(shuō)了，不然這里要改成職場(chǎng)雞湯了。還好哥事先管這里叫的是“漫談”，即什么都可以說(shuō)。哥會(huì)盡量顯得收發(fā)自如點(diǎn)。那么書(shū)接上回，趕緊、迅速、馬上開(kāi)講。

無(wú)線覆蓋與管控設(shè)計(jì)

現(xiàn)在大部分企業(yè)都部署了無(wú)線網(wǎng)絡(luò)吧。但是大家是否有過(guò)(or著)這樣的感受?當(dāng)年整了幾個(gè)帶有WAP2企業(yè)級(jí)認(rèn)證模式的無(wú)線AP，本以為從此以后永別“地下工作者+梁上君子”的攀高爬低生活，和蜘蛛網(wǎng)線說(shuō)Sayonara了，霸特the ugly truth is：

· 要么SSID各自為政，覆蓋范圍不不均或是存在死角、未實(shí)現(xiàn)全覆蓋，大家發(fā)現(xiàn)雖然實(shí)現(xiàn)了無(wú)線“聯(lián)通”但毫無(wú)“移動(dòng)”可言。

· 要么由于密碼固定，使得很多員工通過(guò)各種渠道獲取了高權(quán)限密碼后，越權(quán)肆意連接。

· 要么定期需要IT到每個(gè)無(wú)線設(shè)備上改密碼，工作量浩大?；蚴且粋€(gè)臺(tái)設(shè)備出現(xiàn)故障，IT人員不得不奔波過(guò)去，累成狗似得排查調(diào)試。

· 公司內(nèi)部已建立健全Windows AD認(rèn)證架構(gòu)，但各位無(wú)線設(shè)備的認(rèn)證體系始終無(wú)法納入該體系內(nèi)。除了另外維護(hù)一套無(wú)線認(rèn)證的成本開(kāi)銷(xiāo)外，員工入職離職都會(huì)導(dǎo)致系統(tǒng)的不統(tǒng)一。

上述幾種情況總有一款是讀者您當(dāng)前或者曾經(jīng)遇到過(guò)的吧?沒(méi)辦法，自己架設(shè)的無(wú)線網(wǎng)，哭著也要維護(hù)好。

那么怎么破呢?遠(yuǎn)方傳來(lái)一句：“切克鬧! ID統(tǒng)一、掃除盲點(diǎn)和集中化管理”。對(duì)!正確的打開(kāi)方式是：在拓?fù)浣Y(jié)構(gòu)上，我們可以采取以新添置的無(wú)線交換機(jī)為中心，將其分別連接到現(xiàn)有核心(三層)交換機(jī)、多個(gè)無(wú)線AP(接入點(diǎn)一般都是POE類(lèi)型，省得再去遷就電源插座)、無(wú)線controller(中控設(shè)備)和新設(shè)防火墻上。而此防火墻則直連前文提到的第三條ISP線路上(如下圖所示)。這是基本配置，大家可以根據(jù)實(shí)際需求，增加多個(gè)無(wú)線交換機(jī)等設(shè)備。

下面我們來(lái)看看引入無(wú)線controller(中控設(shè)備)這樣新的無(wú)線組網(wǎng)方案的好處。

管理上

· 有了無(wú)線controller的設(shè)置，實(shí)現(xiàn)了運(yùn)維人員通過(guò)服務(wù)界面，從接入設(shè)備、無(wú)線網(wǎng)絡(luò)、來(lái)往數(shù)據(jù)以及認(rèn)證流控四個(gè)方面，對(duì)用戶(hù)設(shè)備的接入、授權(quán)和使用進(jìn)行全程控制。

· 各個(gè)AP被統(tǒng)一管理和配置，其工作狀態(tài)被實(shí)時(shí)監(jiān)控。當(dāng)某個(gè)區(qū)域的AP報(bào)告信號(hào)不足時(shí)，控制器可以動(dòng)態(tài)改變?cè)搮^(qū)域相關(guān)AP的發(fā)射頻率;而當(dāng)AP報(bào)告該區(qū)域內(nèi)有相同的信道信號(hào)時(shí)，同樣可以通過(guò)動(dòng)態(tài)調(diào)整，以避開(kāi)信道的重疊，并實(shí)現(xiàn)負(fù)載均衡的效果。

· 用戶(hù)的無(wú)線終端在移動(dòng)過(guò)程中能自動(dòng)切換AP，保持其網(wǎng)絡(luò)不斷線，即實(shí)現(xiàn)了跨AP的二層快速漫游。

安全上

· 可以配置多個(gè)SSID并實(shí)現(xiàn)不同的SSID有不同的網(wǎng)絡(luò)權(quán)限，網(wǎng)絡(luò)資源相互隔離。進(jìn)而實(shí)現(xiàn)根據(jù)是否為公司合規(guī)的移動(dòng)設(shè)備來(lái)自動(dòng)識(shí)別登錄公司無(wú)線內(nèi)網(wǎng)，還是一般外網(wǎng)獲取簡(jiǎn)單上網(wǎng)瀏覽的權(quán)限。

· 用戶(hù)移動(dòng)設(shè)備進(jìn)入無(wú)線網(wǎng)絡(luò)后只需對(duì)眾多AP的其中之一進(jìn)行輸入一次性WIFI密碼的連網(wǎng)認(rèn)證，無(wú)線controller并能將用戶(hù)連網(wǎng)許可權(quán)限同步至范圍內(nèi)其他所有AP。

· 無(wú)線controller可以配置不同賬號(hào)密碼的生存期，并且實(shí)現(xiàn)密碼按照既定策略自動(dòng)的按周期進(jìn)行變更。

· 通過(guò)與企業(yè)域管理系統(tǒng)的聯(lián)動(dòng)，在用戶(hù)的登錄方式上，可以結(jié)合企業(yè)portal服務(wù)器或認(rèn)證服務(wù)器，并實(shí)現(xiàn)短信字符串認(rèn)證，微信二維碼等多種認(rèn)證方式。

· 對(duì)于要求嚴(yán)格的企業(yè)甚至可以先認(rèn)證，后分配IP地址，再通過(guò)radius服務(wù)器的數(shù)據(jù)統(tǒng)一計(jì)費(fèi)。

隨著B(niǎo)YOD(以后會(huì)重點(diǎn)聊)的盛行，無(wú)線網(wǎng)絡(luò)設(shè)計(jì)與管理在當(dāng)前企業(yè)的網(wǎng)絡(luò)安全運(yùn)維的比重越來(lái)越明顯。它與有線互為補(bǔ)充，相得益彰。當(dāng)你的老板也成為“低頭一族”，而且是“根本停不下來(lái)”的時(shí)候，你還敢小覷WIFI對(duì)于企業(yè)運(yùn)營(yíng)乃至IT部門(mén)興衰的重要性嗎?用個(gè)小段子結(jié)束這次的漫談吧。以前一個(gè)IT部的哥們?cè)?jīng)無(wú)比自信的對(duì)大家說(shuō)：“給我一個(gè)網(wǎng)卡，我就能找到你硬盤(pán)里的神!”(素質(zhì)，注意素質(zhì)!)。我想在他的基礎(chǔ)上補(bǔ)充一句，如今應(yīng)該是“讓我你單位地址，我就能在外面的‘探囊取物’了!”別問(wèn)我怎么實(shí)現(xiàn)的，自己去靜靜的腦補(bǔ)吧。

【.com 原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)注明作者及出處?！?/p>
本文題目：【廉環(huán)話】漫談信息安全設(shè)計(jì)與治理之無(wú)線覆蓋與管控設(shè)計(jì)
網(wǎng)頁(yè)鏈接：http://uogjgqi.cn/article/cddcjoj.html