【.com原创】上期跟大家聊完后,有热心小伙伴私信连大哥,所谓“不破坏原创”结构和功能运行的条件下”,什么意思?我想说:“原来你是这样的读者啊!你这样问,你家人知道吗?你问的太美了!”很欣赏这位朋友的“参与精神”。连哥要发扬网络的“全球思维”,把乱七八糟的解释得更透彻。确实,我上次含糊其词,还是给大家解释清楚吧。因为很多企业原有的网络架构已经运行了很长时间,不管是慢还是脆弱,已经形成了自己的天性平衡和用户习惯,不能太“任性”。设备的加入需要综合考虑和深入测试。我们的目标是将网络升级为强大和流畅,而不是创建新的“限制”。此外,用户体验也很重要。我们可以参考《马斯洛需求金字塔》来理解这一点。在满足易用性的基础上,用户当然要用好,有时安全和效率是一回事。对于自然矛盾,把握平衡的程度非常重要。技术是死的,但人是活的。如何在安全运维的前提下做好用户,满足审计,需要一定的人际交往能力。话不多说,不然这里就改成职场鸡汤了。还好我哥事先把这个地方叫做“manchat”,就是什么都可以聊。兄弟会尽量表现得舒服。然后这本书接着最后一本,讲课很快,很快,马上开始。无线覆盖与控制设计现在大部分企业都部署了无线网络。但是你有没有(或有过)这样的感受呢?当年,我订了几个WAP2企业级认证模式的无线AP。说到Sayonara,丑陋的真相是:·要么SSID碎片化,要么覆盖不均,要么存在死角,没有实现全覆盖。大家发现,虽然实现了无线“联通”,但根本没有“移动”。·由于密码固定,不少员工通过各种渠道获取高权限密码,然后进行非法连接。·IT需要定期更改每个无线设备上的密码,这是一个巨大的工作量。或者当一台设备出现故障时,IT人员不得不像狗一样奔赴那里进行故障排除和调试。·公司建立了完善的WindowsAD认证框架,但各无线设备的认证体系未能纳入体系。除了维护一套无线认证的成本外,员工进出也会导致系统不一致。读者一定遇到过或曾经遇到过以上情况之一吧?没办法,自己架设的无线网络,哭也得维护。那么如何破解呢?远处传来一句话:“切克!统一ID,消除盲点,集中管理”。是的!正确的打开方式是:在拓扑结构上,我们可以以新增加的无线交换机为中心,连接已有的核心(三层)交换机和多个无线AP(接入点一般都是POE类型的,所以你不必去电源插座),无线控制器(中央控制设备)和新的防火墙。而这个防火墙是直接连在上面说的第三条ISP线上的(如下图)。这是基本配置,您可以根据实际需要增加多个无线开关等设备。让我们来看看引入无线控制器(中央控制设备)等新的无线网络解决方案的好处。在管理方面,通过无线控制器的设置,运维人员可以通过服务接口从接入设备、无线网络、通信数据、认证流控四个方面控制用户设备的接入、授权和使用。.·每个AP统一管理配置,实时监控工作状态。当某个区域内的AP报告信号不足时,控制器可以动态改变区域内相关AP的发射频率;并且AP在区域内上报相同信道信号时,也可以动态调整,避免信道重叠,实现负载均衡的效果。·用户的无线终端可以在移动过程中自动切换AP,保持网络不间断,即实现跨二层AP的快速漫游。在安全性方面,可以配置多个SSID,不同的SSID具有不同的网络权限,网络资源相互隔离。并且,根据是否为公司兼容的移动设备,自动识别是公司的无线内网还是一般的外网,从而获得简单的互联网浏览权限。用户的移动设备进入无线网络后,只需在众多AP中的其中一台输入一次性的WIFI密码进行网络连接认证,无线控制器就可以将用户的网络连接权限同步给范围内的所有其他AP.·无线控制器可配置不同账户密码的生存期,实现密码根据既定策略自动定期更改。·通过与企业域管理系统联动,用户登录方式可与企业门户服务器或认证服务器相结合,实现短信字符串认证、微信二维码等多种认证方式。·对于要求严格的企业,甚至可以先认证,再分配IP地址,再使用radius服务器的数据进行统一计费。随着BYOD(以后会讲到)的盛行,无线网络设计和管理在当前企业网络安全运维中的比重越来越明显。它补充和补充有线。当你的老板也成了“低头族”“根本停不下来”的时候,你还敢低估WIFI对于企业运营乃至IT部门兴衰的重要性吗?让我们用一小段来结束这个漫无边际的谈话。以前IT部门的哥们,曾经信心十足的对大家说:“给我一张网卡,我就能找到你硬盘里的神了!”(品质,讲究品质!)。我想在他的基础上补充一下,现在应该是“给我你的单位地址,我可以在外面‘把东西’出来!”别问我怎么实现的,自己去悄悄补上去。【.com原创稿件,转载请注明作者及出处。】
