2008年7月18日 星期五

適合小規模公司建置的無線環境

適合小規模公司建置的無線環境
從 辦公室到住家環境,無線網路已經慢慢普及到生活四周,無線網路的應用也是逐漸興起,舉凡Skype手機、Wi-Fi電話、掌上型電腦等,紛紛加速無線網路 應用層面,企業也開始注意到無線網路是不可擋的潮流,但總認為建置、管理很複雜,還要考量安全問題,必須有專職人員才能維護,難道一定要有資訊部門的企業 才能建置無線網路嗎?

=============================================================
技術編輯蘇碩鈞、王唯至/2006年4月

你可能不知道位於五堵工業區的慶如汽車(現代汽車的經銷商)都已經建置無線環境了。這間公司以經營門市及汽車保養場為主,並沒有專職的資訊部門人員,當初 老闆只考量能提供無線網路就好,但在建置期間,便開始思考無線安全的問題。以目前集中式無線網路設備而言,雖然已提供高安全性要求,並且操作管理日漸容 易,但還是必須有專職人員才易於維護,而且建置費用動則數十到數百萬元,若非企業規模夠龐大,很難採購這類型產品。加上現代汽車對安全又有一定要求,例如 必須具備防火牆及區分使用者權限等,因此,慶如汽車規畫網路時,必須符合現代汽車的資訊政策外,又希望能包括所有功能,更不需要專門維護人員,就可以讓客 戶修車時,提供無線上網能力。對他們來說,整合功能比效能好壞更重要,方便管理為第一考量,能區分訪客及員工使用權限,不需要建置複雜的網路環境,就是最 佳的選擇。

http://www.ithome.com.tw/001/0802/img/C_2_1.gifscreen.width*0.6) {this.width=screen.width*0.6;this.alt='此圖已經縮小,點擊察看原圖。';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.ithome.com.tw/001/0802/img/C_2_1.gif')}}" border="0">
http://www.ithome.com.tw/001/0802/img/C_2_2.gifscreen.width*0.6) {this.width=screen.width*0.6;this.alt='此圖已經縮小,點擊察看原圖。';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.ithome.com.tw/001/0802/img/C_2_2.gif')}}" border="0">

無線網路
已是企業網路架構的一分子
無線網路已經是企業網路架構中不可缺少的一環,所有研究數據都指出,無線網路會日趨重要地位,特別在筆記型電腦價格日漸廉價後,除了帶動購買電腦熱潮外, 筆記型電腦也都內建無線網卡,更帶動無線網路時代來臨。或許目前企業還是以有線網路為主,但無線網路的便利性無可匹敵,二種網路相互搭配,才能提供企業有 效率地網路環境。

目前大家考慮的無線安全問題,在集中式無線設備已有一些解決方式,但價格較高,建置上也較困難,這類型產品以中大型企業市場為佳,然而中小型企業大多無法建置如此規模龐大的架構,而且對他們而言,無線網路只是輔助性角色。

然而市場上也開始刮起強調高安全性的無線網路產品,從單純無線基地臺到整合型無線網路設備都已將安全列為主要考量,無線設備不再只有安全加密方式,更能認 證使用者身分,還能整合現有員工帳號資料庫,減輕維護不同使用者資料庫的負擔。因此,現在企業級無線基地臺/路由器大多提供認證使用者身份的方式,有些能 內建使用者帳號,並根據不同使用者權限套用不同政策範本,有些設備則區分不同SSID(Service Set Identifier),讓每個SSID具備獨立的VLAN,以往這些做法,必須利用多臺網路設備交差配合,現在則只需要單臺無線設備,即可區分使用者身 份資料。

價格低廉是最大的競爭優勢

市面上,企業級無線基地臺最大的特色就是能區分員工及訪客權限,而且價格約只有2至3萬元,有些國產品牌價格更低於2萬元,若企業需要提供無線網路服務, 又不想花費太多經費、時間及人力,只需要建置1臺這類型設備,即可滿足無線需求,而且這類型設備也從早期單一功能走向多功能整合,除了提供無線網路服務 外,更強化安全性(例如支援802.1x、WPA2等)及整合有線網路服務(例如NAT、防火牆等),有些以防火牆為基礎的廠商,為了延伸的UTM (Unified Threat Management)產品的功能性,也跨足無線網路的領域,雖然無線傳輸的效能上較弱,但是已經能符合小規模或偶爾無線上網使用。

無線基地臺將整合越多功能

以往,無線設備只具備基地臺的角色,現在則整合越來越多功能,試圖以1臺提供所有網路應用服務。本次採購特輯,我們只定義能區分訪客及員工權限的設備,就 可符合需求,因此,送測產品不單只有基地臺設備,更有整合路由器及安全防護能力的產品,大約可分為無線基地臺、無線路由器及整合型無線網路設備等3類。這 些產品各有其特點及適合應用範圍,提供採購時參考。

無線基地臺能整合現有網路架構
若企業原本已經具備一定規模的網路環境,只需要提供一些無線上網服務(非以無線網路為企業運作核心),建議採用能提供多組SSID的無線基地臺,無論是國 內外廠商都有相關產品,運作方式是區分每組SSID帶不同的VLAN Tag,中間連接第三層交換器,交換器必支援802.1Q,以接收到不同VLAN Tag,利用DHCP Relay的方式對應到後端DHCP伺服器,當使用者從不同SSID登入時即可提供不同網路服務,例如3Com 3CRGPOE10075除了能讓不同SSID帶不同VLAN Tag外,每次只能廣播1組主要的SSID,其他SSID都會自動隱藏,主要的SSID可提供訪客使用,其他隱藏的SSID則提供員工使用。

無線路由器可內建使用者帳號資料
若企業規模小、沒有網路環境,希望能同時建置無線及有線網路,則可考慮無線路由器,能直接連接到ADSL的ATUR設備,大多提供1個網際網路連接埠與4 個 10/100 BASE-T,具備NAT及路由功能。這類型設備原本以家用市場為主,為推廣至企業市場,也開始整合使用者資料庫,例如無線用戶連線時,會先導入 HTTPS登入畫面,經過認證使用者身份資料,即可提供無線網路服務,只是若需要區分使用者登入身份較麻煩,但是以Cipherium bonalinx-W 1310為例,原本提供熱點使用,結合帳號計費功能,也能隨機建立訪客帳號。

整合型無線網路設備強調功能極大化

UTM 設備整合的功能越來越多,從基本防毒、防火牆及IPS,到防垃圾郵件、防IM等,除了具備上述無線路由器的網路功能外,更延伸至無線網路範圍,企圖以單一 臺設備整合有線、無線及所有防護功能,因為內建防火牆規則,規範使用者帳號權限較容易,像SonicWALL TZ-170W可先建立不同群組權限,讓不同使用者套用群組規則,Juniper Netscreen 5GT-wireless則採用不同SSID對應不同Zone區的方式,先設定Zone區的權限,使用者登入不同SSID即提供不同網路服務。但計價方式 與UTM產品相同,越多功能、價格越貴,不過無線網路大多算是基礎功能,若需要其他防護功能,才需額外計費。

適合小規模建置,大範圍部署、管理較不易

無論是上述哪種設備,都強調單機整合,但是並不適合大規模建置無線網路環境,例如若企業具有10臺無線基地臺,每臺設備都需要區分訪客及員工帳號,則共需 要操作10次外,每次更變權限也都需要重新操作,管理上較為不便。為解決大規模無線環境部署上的問題,市面上有WLAN閘道器及交換器等集中式無線網路設 備,WLAN閘道器類似流量管控方式,無線訊號都會經由WLAN閘道器控管,也能認證使用者帳號身份,WLAN交換器則配合Thin AP,可視Thin AP為無線天線,WLAN交換器為集中式管理設備,可以管理無線網路範圍及限制訊號發射能力,還能偵測並中斷非無無線訊號。但這類型產品價格昂貴,建置上 也較複雜。日前Trapeze推出支援3臺無線基地臺的MXR-2 WLAN交換器,1臺WLAN交換器搭配1臺Thin AP及管理軟體約7~8萬元,若使用3臺Thin AP,整體價格約在10萬元內,大幅壓低WLAN交換器的價格,對整合型無線基地臺有很大的殺傷力。若企業需要建置3臺無線基地臺,平約每臺約2萬元的價 格計算,約6萬元,Trapeze只需要9萬多元,又能集中式管理,更可減少工作上的負擔。(這次採購特輯的無線基地臺則可稱為Fat AP,因為操作管理都在單機運作,不像WLAN閘道器及交換器屬於分散式,分離無線基地臺與管理系統)

原文轉址

1 則留言:

  1. 請問netscreen 5gt 有辦法在 site to site vpn 加入self-signed certificate嗎?

    回覆刪除