【51CTO.com 原創(chuàng)】上期和大家漫談后，有熱心的小伙伴私信廉哥這個所謂的“在不破壞原有架構(gòu)和功能運(yùn)作的條件下”，到底是幾個意思呢?

我想說：“原來你是這樣的讀者!你這樣問，你家里人知道嗎?你問得真漂亮!”我很贊賞這位朋友的“參與精神”。廉哥應(yīng)該發(fā)揚(yáng)互聯(lián)網(wǎng)的“***思維”，把漫談講得更透徹些。的確，我上次說含糊了，這里給大家講個明白吧。因?yàn)楸姸嗥髽I(yè)原有網(wǎng)絡(luò)架構(gòu)運(yùn)作已久，不管是慢也好，脆弱也罷，它都形成了自身的nature balance和用戶習(xí)慣性，所以說我們不能過于“任性”。增加設(shè)備要全面考量和深入測試，我們旨在把網(wǎng)絡(luò)升級得strong and fluent而不是制造新的“掣肘”。另外用戶體驗(yàn)是很重要的，這一點(diǎn)上我們可以參照“馬斯洛需求層次金字塔”來理解，在滿足了能用的基礎(chǔ)上，用戶當(dāng)然會需要用的爽，而安全和效率有時候就是一對天生的矛盾體，因此這個balance的度的把握很重要。技術(shù)是死的，但人是活的，如何安全運(yùn)營和維護(hù)的前提條件下既搞定用戶又滿足審計，是需要一定的interpersonal技巧了。不多說了，不然這里要改成職場雞湯了。還好哥事先管這里叫的是“漫談”，即什么都可以說。哥會盡量顯得收發(fā)自如點(diǎn)。那么書接上回，趕緊、迅速、馬上開講。

[[170873]]

無線覆蓋與管控設(shè)計

現(xiàn)在大部分企業(yè)都部署了無線網(wǎng)絡(luò)吧。但是大家是否有過(or著)這樣的感受?當(dāng)年整了幾個帶有WAP2企業(yè)級認(rèn)證模式的無線AP，本以為從此以后永別“地下工作者+梁上君子”的攀高爬低生活，和蜘蛛網(wǎng)線說Sayonara了，霸特the ugly truth is：

· 要么SSID各自為政，覆蓋范圍不不均或是存在死角、未實(shí)現(xiàn)全覆蓋，大家發(fā)現(xiàn)雖然實(shí)現(xiàn)了無線“聯(lián)通”但毫無“移動”可言。

· 要么由于密碼固定，使得很多員工通過各種渠道獲取了高權(quán)限密碼后，越權(quán)肆意連接。

· 要么定期需要IT到每個無線設(shè)備上改密碼，工作量浩大?；蚴且粋€臺設(shè)備出現(xiàn)故障，IT人員不得不奔波過去，累成狗似得排查調(diào)試。

· 公司內(nèi)部已建立健全Windows AD認(rèn)證架構(gòu)，但各位無線設(shè)備的認(rèn)證體系始終無法納入該體系內(nèi)。除了另外維護(hù)一套無線認(rèn)證的成本開銷外，員工入職離職都會導(dǎo)致系統(tǒng)的不統(tǒng)一。

上述幾種情況總有一款是讀者您當(dāng)前或者曾經(jīng)遇到過的吧?沒辦法，自己架設(shè)的無線網(wǎng)，哭著也要維護(hù)好。

那么怎么破呢?遠(yuǎn)方傳來一句：“切克鬧! ID統(tǒng)一、掃除盲點(diǎn)和集中化管理”。對!正確的打開方式是：在拓?fù)浣Y(jié)構(gòu)上，我們可以采取以新添置的無線交換機(jī)為中心，將其分別連接到現(xiàn)有核心(三層)交換機(jī)、多個無線AP(接入點(diǎn)一般都是POE類型，省得再去遷就電源插座)、無線controller(中控設(shè)備)和新設(shè)防火墻上。而此防火墻則直連前文提到的第三條ISP線路上(如下圖所示)。這是基本配置，大家可以根據(jù)實(shí)際需求，增加多個無線交換機(jī)等設(shè)備。

下面我們來看看引入無線controller(中控設(shè)備)這樣新的無線組網(wǎng)方案的好處。

管理上

· 有了無線controller的設(shè)置，實(shí)現(xiàn)了運(yùn)維人員通過服務(wù)界面，從接入設(shè)備、無線網(wǎng)絡(luò)、來往數(shù)據(jù)以及認(rèn)證流控四個方面，對用戶設(shè)備的接入、授權(quán)和使用進(jìn)行全程控制。

· 各個AP被統(tǒng)一管理和配置，其工作狀態(tài)被實(shí)時監(jiān)控。當(dāng)某個區(qū)域的AP報告信號不足時，控制器可以動態(tài)改變該區(qū)域相關(guān)AP的發(fā)射頻率;而當(dāng)AP報告該區(qū)域內(nèi)有相同的信道信號時，同樣可以通過動態(tài)調(diào)整，以避開信道的重疊，并實(shí)現(xiàn)負(fù)載均衡的效果。

· 用戶的無線終端在移動過程中能自動切換AP，保持其網(wǎng)絡(luò)不斷線，即實(shí)現(xiàn)了跨AP的二層快速漫游。

安全上

· 可以配置多個SSID并實(shí)現(xiàn)不同的SSID有不同的網(wǎng)絡(luò)權(quán)限，網(wǎng)絡(luò)資源相互隔離。進(jìn)而實(shí)現(xiàn)根據(jù)是否為公司合規(guī)的移動設(shè)備來自動識別登錄公司無線內(nèi)網(wǎng)，還是一般外網(wǎng)獲取簡單上網(wǎng)瀏覽的權(quán)限。

· 用戶移動設(shè)備進(jìn)入無線網(wǎng)絡(luò)后只需對眾多AP的其中之一進(jìn)行輸入一次性WIFI密碼的連網(wǎng)認(rèn)證，無線controller并能將用戶連網(wǎng)許可權(quán)限同步至范圍內(nèi)其他所有AP。

· 無線controller可以配置不同賬號密碼的生存期，并且實(shí)現(xiàn)密碼按照既定策略自動的按周期進(jìn)行變更。

· 通過與企業(yè)域管理系統(tǒng)的聯(lián)動，在用戶的登錄方式上，可以結(jié)合企業(yè)portal服務(wù)器或認(rèn)證服務(wù)器，并實(shí)現(xiàn)短信字符串認(rèn)證，微信二維碼等多種認(rèn)證方式。

· 對于要求嚴(yán)格的企業(yè)甚至可以先認(rèn)證，后分配IP地址，再通過radius服務(wù)器的數(shù)據(jù)統(tǒng)一計費(fèi)。

隨著BYOD(以后會重點(diǎn)聊)的盛行，無線網(wǎng)絡(luò)設(shè)計與管理在當(dāng)前企業(yè)的網(wǎng)絡(luò)安全運(yùn)維的比重越來越明顯。它與有線互為補(bǔ)充，相得益彰。當(dāng)你的老板也成為“低頭一族”，而且是“根本停不下來”的時候，你還敢小覷WIFI對于企業(yè)運(yùn)營乃至IT部門興衰的重要性嗎?用個小段子結(jié)束這次的漫談吧。以前一個IT部的哥們曾經(jīng)無比自信的對大家說：“給我一個網(wǎng)卡，我就能找到你硬盤里的神!”(素質(zhì)，注意素質(zhì)!)。我想在他的基礎(chǔ)上補(bǔ)充一句，如今應(yīng)該是“讓我你單位地址，我就能在外面的‘探囊取物’了!”別問我怎么實(shí)現(xiàn)的，自己去靜靜的腦補(bǔ)吧。

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處?！?/p>