企業無線局域網與有線網絡一體化

隨著無線技術在企業中的推廣，越來越多的網絡管理員喜歡把無線網絡當作有線網絡的一個擴展，提高網絡的覆蓋率。筆者也不例外。不過在這麼做的時候，就需要把無線網絡跟有線網絡進行集成。但是畢竟無線網絡技術是後來發展起來的一門通信技術，在跟有線網絡集成的時候，會對現有的有線網絡部署造成一定的沖擊。筆者這裡就對有線網絡與無線網絡在集成過程中出現的常見沖突做一番分析，幫助網絡管理員順利實現有線網絡與無線網絡的一體化過進程。

一、對於虛擬局域網應用的沖突

虛擬局域網有助於企業提高網絡安全、提高網絡性能。由於物理劃分網絡工作量大，靈活性差，故現在大部分企業都采用了虛擬局域網的形式來對網絡進行邏輯劃分。虛擬局域網有很多實現方式，如基於IP地址、基於端口、基於協議等實現方式。不過據筆者了解，基於端口的實現方式相對來說靈活性、實用性更高一點，是企業首選的虛擬局域網實現方式。但是如果采用這種實現方式的話，則在部署企業無線網絡時，需要注意，很可能會造成不必要的麻煩。為什麼這麼說呢?筆者舉一個例子大家也許就會明白。
如企業現在劃分了多個局域網，財務部門與行政部門分屬於不同的局域網。在部署過程中，主要通過基於端口的方式實現。網絡管理員把虛擬局域網交換機中端口設置為三個局域網。假設端口1到端口5虛擬局域網甲規行政等部門使用。端口6到7為虛擬局域網乙歸財務部門使用。端口8到10為虛擬局域網丙歸研發部門使用。現在在會議室中部署了一個無線路由器，其是連接在虛擬局域網甲上的。此時假設財務經理要在會議室開會，他把他的帶有無線上網功能的筆記本拿到會議室，此時他通過會議室的無線路由器連接到的是虛擬局域網乙，即行政部門所在的虛擬局域網。此時財務經理就無法訪問自己財務部門的虛擬局域網。也就是說，無線局域網的采用可能會對以前設置的虛擬局域網產生沖突。

遇到這種情況該如何處理呢?此時網絡管理員可以添加無線路由器的方式來處理。即在財務部門中也設置一個無線路由器，其連接到的是財務部門所在的虛擬局域網。然後為各個無線路由器設置不同的密碼。如此的話，財務經理無論走到哪個辦公室，都只能夠通過自己辦公室的無線路由器連接網絡。但是這有一個缺陷，即無線路由器信號強弱的變化。我們都知道，一個辦公室若隔音措施做的比較好的話，則其無線路由器的信號就不能夠傳遞到外面。而且無線路由器信號也隨著距離的不同而有強弱。故為不同的局域網分別設置不同的無線路由器只適用於開發型的辦公室。對於密閉型的辦公室或者分布在不同樓宇的辦公室不怎麼適用。

另外就是變更現有虛擬局域網的實現方式。如可以把基於端口的實現方式設置為基於IP地址或者MAC地址的實現方式。如此的話，無論財務經理通過什麼方式、無論在什麼地方連接到企業網絡，只要其IP地址或者MAC地址不變的話，則其所連接的虛擬局域網都不會改變。那麼財務經理就能夠正常訪問自己的網絡。如當財務經理來到會議室，雖然是通過會議室的無線路由器進行網絡訪問。他在向虛擬局域網交換機遞交連接請求時，交換機會根據財務經理電腦的IP地址或者MAC地址來判斷他應該屬於哪個局域網，然後幫他轉接過去。並不會因為位置不同，而更換連接的虛擬局域網。不過這也會增加虛擬局域網的管理負擔。如財務經理的電腦壞了或者無線網卡壞了，則換過設備之後就需要調整局域網交換機的設置，更改MAC地址等等。

所以說，企業采用無線局域網之後會於虛擬局域網應用產生沖突。魚與熊掌難於兼得。網絡管理員在部署無線網絡時，如果企業以前已經有虛擬局域網了，則就需要根據自己的管理習慣以及企業的網絡規劃，選擇合適的解決沖突的方式。

二、對有線網絡的安全性規劃提出挑戰

采用無線網絡技術之後，也會對企業現有的網絡安全規劃提出挑戰。如企業現在正在通過虛擬局域網來提高網絡的安全性。為了保障研發部門資料的安全，特意為研發部門設置了一個虛擬局域網。其他部門不能夠訪問研發部門的網絡，而研發部門則可以訪問企業網絡的全部資源。此時如果在研發部門部署一個無線網絡，會造成哪些安全漏洞呢?

一是非法用戶如果知道無線路由器連接的賬號，則可以在無線路由器信號覆蓋的范圍之內，連入到研發部門所在的局域網，進行資料竊取或者其他的一些破壞活動。無線信號沒有物理線路的限制，為此只需要知道無線連接的用戶名與密碼(有些網絡管理員甚至不會給無線路由器設置密碼)，就可以做到。而如果不采用無線網絡的話，則必須要把電腦拿到他們的辦公區域、然後插上網線才行。可見後者的安全性要高的多。

二是傳輸信號的安全。在以太網技術中，如果對於傳輸的內容沒有加密，則就可以通過偵聽等手段獲取傳輸的內容。為此在無線技術中，如果對於無線信號沒有采用加密處理的話，則其他無線用戶就可以通過偵聽的手段，獲取這個用戶傳輸的內容。這無疑也是對企業現有網絡安全設計的一個挑戰。

那麼該如何解決這些問題呢?筆者給各位網絡管理員提下面幾個建議。

1、對於安全性要求比較高的部門，最好不要部署無線路由器。如對於研發部門，可能是企業重點保護的部門。為了他們部門信息的安全，最好不要部署無線路由器。因為便利與安全要做出選擇的話，我們往往會選擇安全。畢竟若這些資料洩露的話，可能對企業會造成致命的打擊。

2、要重新調整企業有線網絡的安全規劃，把無線網絡也考慮進去。如根據企業的安全性級別的不同，給無線網絡傳輸也設置一定的加密級別。讓其無線信號也是經過加密後才傳輸。另外，對於無線連接也最好設置密碼，防止未經授權的用戶通過無線路由器進行越權訪問。特別是那些企業中原先部署了虛擬局域網的網絡管理員，特別需要注意這一點。否則的話，很有可能被人家占了這個空子，連入到不允許訪問的虛擬局域網中。

3、企業中可能會部署多個無線路由器。在沒有設置密碼的情況下(或者用戶知道無線連接訪問密碼)，用戶可以自主選擇通過哪個路由器來進行訪問。而如果這些無線路由器又恰巧接入到不同的虛擬局域網的話，那麼就會存在比較大的安全漏洞。為此，不同的無線路由器連接不同的局域網，為了安全起見，除了為每個路由器設置連接密碼外，最好還要采取其他一些措施。如在無線路由器的安全策略中，設置只允許某些特定的IP地址或者MAC地址才能夠允許無線連接。這無疑可以鞏固無線網絡虛擬局域網的安全性。