很多中小型企業(yè)都在使用無線交換機，但是我們也要注意很多問題，特別是要防止ARP攻擊及網(wǎng)絡(luò)阻塞、中間人攻擊等問題。對于一般的企業(yè)而言，往往沒有強大的IT維護力量，這也是選擇FIT AP部署企業(yè)WLAN網(wǎng)絡(luò)的一個重要因素，業(yè)界主流的FIT AP廠商都提供AP零配置，所有的AP配置操作都在無線控制器或無線交換機上完成，系統(tǒng)升級也統(tǒng)一由無線交換機來集中操作。因此，企業(yè)WLAN AP的管理問題，簡化為對無線交換機的管理。

更為突出的是，企業(yè)WLAN網(wǎng)絡(luò)的管理不僅僅是對AP的管理，用戶IP地址分配，用戶身份認證等系列用戶管理也是重點考慮的內(nèi)容。無線用戶的IP地址一般采用DHCP 服務(wù)器來分配，用戶認證可以采用MAC地址認證、IEEE802.1x認證、PORTAL認證等方式。一個完整的無線網(wǎng)絡(luò)，一般需要RADIUS 服務(wù)器，PORTAL認證服務(wù)器及前面述及的DHCP 服務(wù)器。這些設(shè)備結(jié)合無線控制器及無線AP，對沒有強大的IT維護力量的企業(yè)而言，無疑是一個嚴峻的挑戰(zhàn)。

如果能集成DHCP服務(wù)、RADIUS認證服務(wù)、PORTAL認證服務(wù)，并通過簡易直觀的WEB管理界面方便企業(yè)IT管理者的維護，就可以避免使企業(yè)IT管理員成為救火隊員。前文所提及的H3C WX3024即可做到這點。

強調(diào)無線安全性

WLAN利用了不可見的公用媒介進行空中信號傳播，安全問題是部署無線的巨大挑戰(zhàn)，無線網(wǎng)絡(luò)安全的復(fù)雜性一定程度上限制了企業(yè)部署無線。如何解決WLAN接入面臨的安全問題，保證客戶放心使用是一個重要問題。

仔細分析無線面臨的安全挑戰(zhàn)， 主要是防止非法AP接入、防止非法用戶接入、防止ARP攻擊、防止AP過載、防止不合理應(yīng)用等。既要防范外部威脅，又要防范內(nèi)部威脅，既要防范來自用戶端的威脅，又要防范網(wǎng)絡(luò)端的威脅。

首先是防范未授權(quán)AP，即Rouge 設(shè)備的接入。IEEE802.11網(wǎng)絡(luò)很容易受到大量網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP用戶、Ad-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等，因此Rouge設(shè)備對于企業(yè)網(wǎng)絡(luò)安全來說是一個很嚴重的威脅。這需要無線入侵檢測（WIDS）功能來防范，通過WIDS對有惡意的用戶攻擊和入侵無線網(wǎng)絡(luò)進行早期檢測，檢測WLAN網(wǎng)絡(luò)中的rogue設(shè)備，上報管理中心，并對它們采取反制措施，最大程度地保護無線網(wǎng)絡(luò)。

其次是防范非法用戶，這主要通過認證技術(shù)及加密技術(shù)來保證。常用的認證方式包括802.1x認證、MAC地址認證、Portal認證等多種認證方式，保證無線用戶身份的安全性， 結(jié)合WEP（64/128）、WPA、WPA2等多種加密方式保證無線用戶的加密安全性。另外，通過用戶身份認證結(jié)合AAA服務(wù)器上對用戶組進行權(quán)限的配置和修改，網(wǎng)管人員可以輕松地對不同級別的人進行接入權(quán)限分配，實現(xiàn)精細的用戶權(quán)限控制，從而大大增強了無線網(wǎng)絡(luò)的可用度。

第三是防范ARP攻擊。企業(yè)內(nèi)部普遍存在ARP 攻擊手段，通過偽造IP地址和無線交換機地址實現(xiàn)ARP欺騙，產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實現(xiàn)中間人攻擊，嚴重的可以使網(wǎng)絡(luò)不可用，危害企業(yè)應(yīng)用。為了防止攻擊者通過ARP報文實施"中間人"攻擊，無線交換機需要具有ARP入侵檢測功能，即通過對ARP報文進行合法性檢測，轉(zhuǎn)發(fā)合法的ARP報文，丟棄非法ARP報文，從而有效防御ARP欺騙。

第四是防范網(wǎng)絡(luò)帶寬濫用。這并不是直接的安全問題，但是會防礙企業(yè)內(nèi)部正常網(wǎng)絡(luò)應(yīng)用，需要一些智能管理手段來解決這樣的問題。在WLAN網(wǎng)絡(luò)中，同一個無線AP下會同時接入多個無線終端，如果部分終端應(yīng)用BT等下載應(yīng)用，將占用所有的無線端口帶寬，導(dǎo)致其它終端不能正常工作。為了避免上述問題，網(wǎng)絡(luò)最好能支持智能帶寬限速，限制終端使用固定帶寬，或限制所有終端平均分享限定帶寬，從而有效解決帶寬占用的問題。另外，為了避免無線網(wǎng)絡(luò)中部分AP過載，部分AP閑置而影響網(wǎng)絡(luò)使用，負載均衡功能也必不可少。智能負載分擔(dān)方法可以動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔(dān)負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔(dān)。

在安全性方面，WX3024也是一把"好手"。其擁有802.1X、MAC地址、PORTAL等多種安全認證、AP的安全管理能力，提供防ARP攻擊，無線入侵檢測（WIDS），多種加密技術(shù)等安全技術(shù)，能夠有效解決企業(yè)網(wǎng)絡(luò)面臨的安全挑戰(zhàn)。綜上所述，一款集成48個無線AP管理，具有千兆無線交換機性能，具備POE供電能力，并集成DHCP 服務(wù)器，PORTAL 認證服務(wù)器，RADIUS服務(wù)器及WEB管理等應(yīng)用服務(wù)的有線無線一體化無線交換機，可以為企業(yè)網(wǎng)絡(luò)體現(xiàn)最高的性能價格比。既能夠帶來網(wǎng)絡(luò)的經(jīng)濟性、高效率、自由度，又不增加網(wǎng)絡(luò)建設(shè)、維護使用的成本，是每一個網(wǎng)絡(luò)建設(shè)者的追求。