着眼移动办公室需求 企业宜审慎布建无线网络

企业意欲打造全无线办公室，势将对Wi-Fi无线网络多所倚赖，在进行网络规划与布建时，务须重视安全性与管理性。来源：EE LIMITED

时值BYOD蔚为风潮之际，理所当然，企业对于Wi-Fi无线网络的依赖度势必攀高；然然而同样的Wi-Fi，几年前主要为笔记本电脑所用，如今则为智能手机、平板电脑为用，不管在于前端的存取方式或应用型态，都出现明显歧异，管理方式亦需随之调整。

对于企业IT人员而言，纵然拜BYOD、CYOD乃至IT消费化趋势成形，致使无线区域网络建置需求大增，但追根究底，源起于1997年的无线区域网络，至今绝非新鲜名词。

一路发展10余年，无线区域网络所采用之IEEE 802.11系列标准，业已历经多次演进，从1999年的802.11a(透过5GHz频段实现54Mbit/s速率)、802.11b(透过2.4GHz频段实现11Mbit/s速率)，2003年的802.11g(透过2.4GHz频段实现54Mbit/s速率)，2009年的802.11n(支持MIMO及HT40，理论上最大速率为600Mbit/s)，直至2013年问世的802.11ac，最大理论传输速率上看6.93Gbit/s，前后增速幅度已达数百倍之多。

尽管传输速率巨幅扬升，但持平而论，这10多年来，无线区域网络在于安全性、管理性等方面的进步幅度，远远不如速率上的提升；在此前提下，企业若欲援引Wi-Fi无线网络，藉以贯彻BYOD政策，姑且先不谈时下先进技术，最起码，有一些基本的观念思维，必须先加以导正。

最显而易见的基础原则，即是企业不宜继续走Fat AP路线，而应采用Thin AP。所谓Fat AP，意指传统多功能型无线网络架构，系将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术及其他应用层的功能，通通集于一身，导致结构复杂且难被集中管控，然早期企业考量及建置成本与时间，普遍倾向以Fat AP作为无线网络解决方案。

采行Thin AP架构  有助强化安全与管理

为何时至今日，Fat AP已愈来愈不适用于企业网络环境？最主要的关键，就在于管理性与安全性。如前所述，Fat AP无法被集中管控，因此管理者必须详加掌握个别无线基站的一切信息，如果基站为数不多，还没有大碍，但如今因应移动办公室需求，必须大幅提升基站建置数量，同时需要掌握大量移动设备的连线信息，此时倘若采用Fat AP，肯定会令管理者不堪负荷。

若采用 Thin AP架构，管理者仅需要在WLAN Switch集中执行，便可一次针对大量基站进行设定或除错，大幅减少人力工时的消耗。

至于安全性部分，众所周知，企业理应选择采用WPA2加密机制，始可大幅垫高黑客或有心人士的破解难度，但如果沿用Fat AP，恐怕就得屈就于WEP加密技术，甚至沿用Pre-shared key的金钥分享模式，实在难以确保无线网络安全。

反观Thin AP则不同，不仅可支持WPA2 AES-CCM加密方式，且现今相关产品已普遍内建无线入侵防御系统(WIPS)、或是无线入侵侦测系统(WIDS)，足以协助管理侦查甚或阻断非属合法授权的基站，并且侦测并判别合法使用者、非法使用者(后者意即连线到非法AP或干扰AP的使用者)，继而实时阻绝特定使用者无线网络卡之连线，同时防范Authentication/Deauthentication floods、Probe request flood或Fake AP flood等等无线DoS攻击，以及Sequence Number、EAPrate、Station Disconnect、AP Impersonation等Man-in-the-Middle攻击。

值得一提的是，以往无线网络的加密范围，仅涵盖加密使用者的无线网络卡直到AP这段路径，意图不良的人士，只需要锁定一些置于公共区域的AP(通常缺乏安全管控)，并在AP后端撷取数据即可，加密与否对他而言，完全不构成阻碍。

然而如果运用Thin AP搭配WLAN Switch，则会将加密范围，从使用者的无线网络卡一路纵深到信息机房，更可有效防止意图不良的使用者撷取机敏数据。

而最根本的关键在于，Thin AP上头并未存放加密方法、加密金钥、RADIUS信息等等任何具有价值的数据，足以避免AP遭人窃取并破解安全信息。

再者，WLAN Switch本身可支持IPSec与PPTP VPN Tunnel，对于亟需采用VPN连线的用户，无疑是省却了额外设备的采购及维护支出，亦算是美事一桩。

取材新颖技术  加速打造全无线办公室

当然，要实现所谓的全无线办公室(All-Wireless Office)、甚至是全无线工作空间(All-Wireless Workspace)愿景，Thin AP只是入门的起点，尚需搭配诸多配套措施，甚至取决于一些站在时代尖端的先进技术，例如Aruba以使用者为中心(User-Centric)所发展的相关解决方案，便颇能迎合BYOD、CYOD或IT消费化趋势。

几年前，Aruba即已提出Mobile Virtual Enterprise架构，旨在将无线网络、有线网络、VPN一并纳管于其AirWave平台，借此将无线存取控管机能，一路延展至有线网络或线上网络等其他环境；换言之，无论使用者是藉由无线网络、有线网络或VPN连结企业网络，皆适用于相同的安全控管机制，以及一致性的上网体验，即便透过智能手机、平板电脑等移动设备，同样也不例外。

此外，该公司还推出一项堪称特殊的ClientMatch技术，其可确使任何在公司环境使用的移动设备，都能顺畅地漫游连结到最适当的AP，维持其存取行为的流畅稳定，不仅如此，前端使用者在享用此项技术时，也完全不需执行任何设定。

而在Mobile Virtual Enterprise架构后，Aruba又提出Mobility-Defined Networks(MDN)全新架构，蕴含较以往更为强大安全机制，比方说在ArubaOS 6.4新版作业平台当中内建次时代移动防火墙，可透过DPI技术检测第4到7层网络流量，依据传递内容实施最佳QoS及防护控制，而现今可识别的App应用程序超过1,500种。

另一方面，Aruba提供的新版ClearPass存取管理系统，开始提供RESTful API与Data Feeds机制，故而轻易整合诸多第三方系统，例如安全事件管理(SIEM)系统，抑或诸如MobileIron、AirWatch等等移动设备管理(MDM)解决方案，以利企业营造端对端安全联网环境。

总括而论，意欲维持无线网络安全，以避免无线网络环境对有线骨干网络构成过多的影响与冲击，企业在布建无线网络之际，所需顾及的面向甚多，尽管未必需要追逐特定厂牌的独特技术，但有若干基本要领，仍需加以留意。

首先是无线基站的射频(Radio Frequency)管理，包括自动侦测邻近AP干扰功能、自动修复无线网络覆盖漏洞功能，乃至于基站自动负载平衡功能，皆为个中重点。

其次是前述提到的WIPS与WIDS的部署，以及安全认证授权、防火墙及加密机制的建立。针对防火墙部分，一般WLAN Switch皆可提供Stateful Firewall功能，能依据不同的使用者群组，再以认证机制确认使用身份的合法性后，开始施以不同的管控政策，而系统另可检视任一使用者的连线状态，包含其所连线的基站、漫游历程，以及连线Session等种种信息，另外，无线防火墙功能亦可同时适用于有线网络，以及任何厂牌的无线AP。

除此之外，企业亦需针对无线网络漫游多所琢磨。在BYOD或CYOD情境下，标榜员工只要在公司环境之内，不论任何时间身处任何楼层、任何区域，使用任何装置连结企业网络，理应畅通无虞，因而对于无线网络漫游倚赖甚深；在此前提下，企业务须兼顾同一台 WLAN Switch、不同WLAN Switch或跨IP网段等种种漫游情境的支持能力，俾使使用者的应用程序连线或数据传输，不会因为漫游而让Session中断，而包括802.1x等相关认证信息，也绝不会因为漫游而需要重新登入，真正实现无缝隙漫游的妙效。