CCNA指导：利用现有设施部署安全的无线网络

会计考友

因为营业需要，企业对移动化的要求也越来越高，同时平安风险也随之而来。虽然已经制订体味决具体平安问题的解决方案，我们还需要采纳综正当子来操作企业收集中的有线收集基本行动措施来增强对WLAN(无线局域网，Wireless Local Area Network)，的平安呵护。
　　企业WLAN的成长
　　企业WLAN已经飞速成长，再也不是曩昔的只需要简单廉价的接入点就能笼盖家庭或者小型办公室的无线收集。在WLAN部署的成长后面首要有两个敦促力，第一个就是为增强出产效率，需要为客户或者使用标识表记标帜本的员工供给无线接入。
' X: [4 }# z. K　　第二个敦促力就是使用无线庖代有线基本行动措施，而且受到前进前辈手艺(如802.1n尺度等)的敦促。无线速度提高到170Mbps以及成立企业规模内的无线收集的能力等利益，都让无线手艺机能已经足以成为有线的更好替代品。此外，已经开发出良多有用抨击袭击能够辅佐确定最佳收集笼盖规模、避免重叠以及更好的操作扩频以削减碰撞和最年夜限度地提高机能。虽然，重点都是在机能，但无线真正的益处在于为出产力带来更好的移动性。
( Y" K* ~3 E4 E　　日益增添的移动化平安风险
　　然而，移动性也招致良多平安风险和问题。因为无线端得病非固定不变的，对比于无线收集，企业对于有线收集的平安性加倍安心，因为有线收集受到企业建筑实体墙和门的呵护，而且还有门禁卡和用户身份验证基本行动措施。因为无线收集能够等闲地被建筑外的人访谒，是以无线收集更轻易受到盗窃、抨击袭击和各类匿名抨击袭击形式。
　　当然也已经开发了良多手艺来试图解决这些问题，搜罗年夜WEP转移到LEAP、WPA、802.1x，以及在客户端和接入基本行动措施嵌入IPSec VPN等各类法子。所有这些体例都有必然的限制。
　　客户访谒也是企业WLAN的一年夜问题，因为可能造成严重的后不美观。如不美观客户使用企业的无线收集接入并进行犯警操作，供给收集接口的企业就必需承担必然的法令责任。如不美观无线收集被攻破，或者主要数据库被抨击袭击，给企业带来的负面影响将加倍严重。这些结不美观可能搜罗罚款、诉讼和名望损失踪等。
　　IT部门需要清嚣张地知道是企沂ё俦工标识表记标帜本仍是客户标识表记标帜本在访谒无线收集，当标识表记标帜本经由过程无线收集访谒企业收集时必需进行严酷的加密。IT部门还应该使用现有的基本行动措施(如Active Directory)对员工进行身份验证，并但愿客户也能进行同样的验证。
+ `: r4 V; y$ }$ T, D) g　　今朝解决方案的局限性
　　此刻有良多企业级WLAN解决方案已经可以解决上述问题，可是良多解决方案价钱昂贵而且功能也不是很完美，与常用的有线基本行动措施的加密验证功能仍是差良多。
8 [  E! E# {& k8 H　　在无线世界里，不能解决WLAN平安的所有问题，问题都需要零丁解决。不足为怪的是，良多解决方案都是良自力的，只有年夜同个供给商获取整体解决方案才能获得最好效不美观。不竭转变的市场也让这些移动产物需要对基本行动措施不竭的更新和进级，以充实操作需要的改良的手艺。
　　操作现有的有线基本行动措施
9 V* P, v2 ~3 l& {( W" L; T$ c- j　　鉴于这种情形，是应该问问是否有分歧的体例。在有线世界里，Layer 2交流机以神奇的速度进行着年夜量交流数据包的工作，Layer3交流器和路由器则进行毗连收集的工作，还有验证基本行动措施(如Active Directory、LDAP和 RADIUS)进行直接验证。此外，验证基本行动措施(如防火墙和访谒节制列表)也能增强呵护，接入手艺(如IPSec和SSL VPN)能够供给外部收集到内部收集的毗连，当然也有NAC基本行动措施、端点平安、IDS/IPS等，这些有线行动措施不胜列举。
: t* u7 g9 z' _7 \6 T　　鉴于对所有这些基本行动措施手艺的现有投资，以及这些现有基本行动措施后面的各类有线和远程用户的部署，如不美观将WLAN基本行动措施放在Layer 2并让现有手艺供给其他功能，不就能节约良多开支吗?如不美观我们这样做，就可以拥有廉价的接入点，而节制器也不需要比Layer2/3交流器更好，这将很年夜水平降低企业无线部署的成本，并能让企业同化搭配使用分歧供给商的何时手艺，而避免年夜规模锁定进级。
# p9 j+ _3 i# H. M　　还有斗劲廉价的替代体例可以辅佐企业实现这一点。NAC手艺已经成熟到它可以自动接入端得病分辩企业接入仍是客户接入。NAC与SSL的整合确保了传输路径在所有时辰都能进行加密，与验证基本行动措施(如IPSec和SSL VPN)的整合又能供给对员工的验证。内置的虚拟化手艺和客户自动年夜头定向至分歧的虚拟端口，能够消弭为客户和员工使用零丁SSID或者零丁客户接入设备的需要。某些SSL VPN上的默认路由和VLAN手艺能够确保客户端流量完全区分与企业流量，并能确保只有经由过程这个框架才能接入其他位置。
! L( d" @/ S) Z0 O' t　　身份验证问题
　　普遍的身份验证框架许可客户挂号接入，并拥有作为用户真实身份的永远令牌，这能够经由过程客户挂号轨范(如接待处的功能一样)来实现。甚至可以区分分歧类型的客人，为其登录分歧的收集。
6 i# A5 b! D! ~' S6 Z* ~+ B　　部署身份验证应该是自动化的，日志和问责制能够供给经由过程接入前言的用户极其行为相联系关系的线索，当法令划定或者上级主管有要求时，就能供给这种线索。