無線網路中樞神經WLAN交換器

對網管人員來說，網路設備越容易管理越好，既然現有有線網路已經能符合企業需求，為什麼還要擴充無線網路環境，增加管理負擔？研華科技資訊處副理林信宏表示，原本公司只有在地下1樓的會議室區，建置1臺無線基地臺，提供訪客上網使用，但訪客不一定只到地下1樓，員工會帶領訪客到各樓層拜訪，在沒有無線網路的環境下，訪客會任意將自行攜帶的電腦連結到公司有線網路中，造成管理上的漏洞，而且員工會反應還要找連接埠、網路線等設備，增加使用網路的困難。

另一家汽車代理商的資訊部人員表示，經銷商的汽車保養廠都具備自己的零件室，利用無線網路，讓零件的庫存量能即時回傳到總公司，總公司能即時補貨到各保養廠，確保汽車維修運作正常。

企業開始思考是否建置完善無線環境時，通常第一步是建置無線基地臺，但是若要大規模建置無線基地臺，設定無線基地臺就是一大難題，網管人員必須親自到每臺無線基地臺設定外，將來若發生問題，更要逐臺搜索哪臺設備產生問題，無論建置或維護都不容易，因此像北電及思科等網路設備大廠，紛紛提出無線網路集中管理的概念，希望能降低管理成本並滿足企業需求。WLAN交換器配合Thin AP改變傳統無線基地臺架構

無線網路集中管理的方式很多，例如在後端建置控制閘道器（Control Gateway），或者採用同一品牌的無線基地臺，並使用該廠牌提供的無線集中管理平臺，但這些做法的功能設定都在無線基地臺端，後端管理機制只負責傳送訊息或管制能力，反而增加無線基地臺的負擔。

WLAN交換器架構概念與傳統無線基地臺不同，無線基地臺採用Thin AP架構，無線基地臺只負責傳輸訊號，WLAN交換器負責其他認證機制、安全加密、頻道選擇等功能，類似將無線基地臺的管理機制，搬移到WLAN交換器上，WLAN交換器能處理多臺無線基地臺的連線認證，提供集中管理、設定的目的，包括政策設定與執行。若需要部署大規模企業無線環境，Thin AP有助於減低建置成本。

在Thin AP架構下，WLAN交換器扮演非常重要的角色，大多整合防火牆、安全行動閘道器、無線入侵防護系統、分散式無線監聽器、無線訊號管理、及無線語音等設備，透過管理、分析、及防禦等機制，為無線網路建置一道無形的防火牆，此外WLAN交換器也提供備援及分散式管理架構，若需要建置多臺WLAN交換器，WLAN交換器可互相備援資料，還能在頂層架構1臺管理伺服器，統一管理多臺WLAN交換器，減少管理網路的負擔。WLAN交換器不等於傳統交換器

一般人剛聽到WLAN交換器，大多誤認為它是第二層或第三層的傳統交換器，實際上，WLAN交換器的底層架構和傳統交換器類似，也是提供封包流量交換的功能，只是WLAN交換器更強化無線應用的層面，整合無線應用到單一應用伺服器中，圓方科技網路暨資訊安全事業部經理林彥廷表示，WLAN交換器可視為無線管理中心（Wireless Management Center），透過無線網路集中化管理，整合眾多網路應用服務，獨立管理無線網路在單一應用伺服器中，只需要操作WLAN交換器，即能完全掌握無線網路狀況，而且也能將WLAN交換器建置在現有網路架構中，利用管理有線網路的機制延伸到無線網路，減化管理有線及無線網路的負擔。

WLAN交換器內建無線控制（Wireless Control）、無線封包（Wireless Packet）及無線安全（Wireless Security）等3組晶片組，並採用嵌入式作業系統（Aruba採用嵌入式Linux），在作業系統上提供眾多無線網路應用服務，類似將應用程式安裝在嵌入式作業系統中，透過應用程式提供無線網路服務，只是除了軟體服務外，WLAN交換器更從硬體晶片增強無線應用服務。 WLAN交換器大至上可分為無線訊號管理、認證伺服器管理及入侵防護系統等3部分，以下將描述大略功能。

無線訊號管理

無線網路的安全除了在無線基地臺端設定加密方式外，更必須延伸至管理整體無線網路的訊號，一般架設無線基地臺大多要先分析無線基地臺的訊號範圍，若在單一環境下架構多臺無線基地臺，可能會有無線訊號互相干擾等問題，WLAN交換器能自動分析每臺Thin AP的訊號範圍中，是否有訊號互相干擾情況，如果互相干擾嚴重，則會自行調整訊號功率，減低封包碰撞機率。

WLAN交換器也具備負載平衡能力，若單一時間內，某臺Thin AP流量負載過大，WLAN交換器則會將訊號轉移到別臺Thin AP，平衡Thin AP流量。由於WLAN交換器具第二層及第三層交換器能力，所有Thin AP都能透過WLAN交換集中管理，因此WLAN交換器能提供漫遊機制，就算多臺WLAN交換器同時運作在不同網段，WLAN交換器也會自動透過DHCP伺服器，擷取使用者剛登入的網路位置，並延續到不同網段運行。

此外，最近各家廠商大多認為無線手機（Voice Over Wireless LAN）將是無線網路的應用殺手，但無線手機利用網路封包傳遞語音服務，可能造成效果不佳、品質低落等問題，WLAN交換器的QoS服務除了能手動自定網路品質外，更能自動設定每種服務品質的等級，例如AireSpace的QoS能直接選擇高語音品質，不需手動設定每種服務的QoS等級。

認證伺服器管理

除了可從WLAN交換器設定Thin AP的安全加密方式外（例如常見的WEP、WPA、AES等），WLAN交換器也提供802.1x認證機制，能擷取LDAP、RADIUS或內建資料庫等使用者清單（類似無線閘道器管制人員帳號的概念），使用者登入無線網路時，必須先認證身分才能使用網路資源，例如研華科技當初建置無線網路時，第一個條件就是要整合Windows AD（目錄服務），林信宏認為管理無線網路必須結合有線網路，有線與無線只是媒介不同，必須採用相同管理機制，才能有效降低管理負擔，當初研華雖然也有考慮過其他無線網路集中管理方式，但管理層次大多要分開，無法集中所有操作管制，目前研華的WLAN交換器透過RADIUS和Windows AD擷取使用者帳號，整棟樓層的無線網路採用同一個VLAN環境，能直接從Windows AD設定每位工員的權限，不需要額外分別管制。

WLNA交換器大多具備CA認證機制，提供無線網路安全，AireSpace更可從網頁認證帳號（直接從RADIUS伺服器擷取帳號資料），使用者連線無線網路時，不需要額外選擇認證方式，即可認證身分帳號。

入侵防護系統

Thin AP除了能傳遞無線封包外，也可視為硬體感應器，能收集無線網路封包，透過WLAN交換器處理資訊，即時分析無線環境，只是Thin AP是否能同時啟動傳遞及偵測模式，則看各家產品功能，Aruba的Thin AP只能擇一啟動，約3個傳遞模式配合1個偵測模式的Thin AP，即能涵蓋整體無線網路，AireSpace則能同時啟動傳遞及偵測模式，相較於Aruba，AireSpace能使用較少量的Thin AP涵蓋較大範圍的無線網路，在Thin AP的成本上較低。

偵測模式類似單一型無線入侵防護系統（例如AirMagnet、AirDefense），除了即時告知偵測範圍內的無線基地臺是否有安全漏洞外，也能發送反認證封包，中斷非法無線訊號，而且在新版的單一型產品才具備的政策管理方式（AirMagnet 5.0、AirDefense 6.0），WLAN交換器早已具備，能依據政策設定，自動封鎖無線訊號。

雖然WLAN交換器具備無線的入侵防護能力，但功能沒有比單一型產品強大，單一型產品大多以直覺式警告方式，告知無線問題，能分析上百種無線安全或效能等問題，WLAN交換器約只有數十種安全警示資訊，而且只能從記錄檔（Lag）觀看問題，效果有限。價格昂貴阻礙企業採購意願

WLAN交換器整合眾多無線應用能力，然而價格昂貴是最大的致命傷，WLAN交換器只能配合自家的Thin AP，雖然各家都提出能整合第三方的無線基地臺（3th Party AP），但若使用第三方的無線基地臺，WLAN交換器就類似閘道控制或或無線閘道器，無法提供入侵防護能力及完整的無線訊號管理，唯有配合自家的Thin AP才能提供安全的無線網路環境。

實際上，還有另外一種架構，也能提供類似WLAN交換器的能力，即採用單一型無線入侵防護系統配合無線閘道器及一般無線基地臺（Fat AP），整合眾多產品類型。現在的無線閘道器太多可管理無線訊號及認證伺服器兩部分，雖然功能不及WLAN交換器，但都具備QoS、負載平衡等功能，也提供基本的防火牆功能，再配合單一型無線入侵防護系統，也能建置安全的無線環境，而無線基地臺則可依企業自身需求採購，不用受限於特定廠牌，建置成本也比WLAN交換器低廉。

若從硬體建置成本比較，WLAN交換器成本昂貴，而且必須使用特定廠商的Thin AP，選購彈性較小，但若採用上述第二種類型（整合多種品牌產品）產品，管理的負擔較大，必須操作單一型無線入侵防護系統及無線閘道器，若發現某臺無線基地臺有問題，還要親自操作，管理較不便。

雖然WLAN交換器能集中無線網路管理，但建置成本相對昂貴，若企業已經建置無線網路環境，例如已具備無線基地臺及無線閘道器，建議採購單一型無線入侵防護系統提升無線安全即可，若尚未建置，分析考量成本及效率後，WLAN交換器也是另一種容易的建置方法。將有越多廠商提供WLAN交換器

雖然價格是WLAN交換器的致命傷，但比起像思科的SWAN（Structured Wireless-Aware Network）架構的價格，WLAN交換器只是小巫見大巫，也可以提供像SWAN架構所提到的無線訊號管理、調整訊號發射功率等功能，而且只需要採用WLAN交換器及Thin AP即可，比SWAN架構中路由器、IOS、無線基地臺、認證系統等設備都要採用思科產品，更具彈性。

雖然SWAN是思科對無線應用最頂級表現，但受限於所有產品都必須採用思科設備，實際採用領域不多，為強化思科在無線網路集中管理、建置的腳步，日前思科也併購AireSpace，試圖增加在非思科無線產品的市占率，此外思科也與單一型無線入侵防護系統AirDefense合作。

除了思科對WLAN交換器產品有興趣外，北電、阿爾卡特也都有WLAN交換器，並且都是由AireSpace外包製作，比較特別的是，思科與北電、阿爾卡特都屬於競爭對手的關係，思科併購AireSpace後，北電、阿爾卡特是否還會繼續提供WLAN交換器相關產品，還有待觀查。

日前Broadcom也發表新款網路晶片，強調整合安全、效能及無線應用的單一晶片解決方案，試圖整合有線與無線，目前國內也已經有交換器廠商採用此晶片，預計下半年將有實體產品，如果企業採購此款晶片組的交換器，必須更改現有網路架構，不像建置WLAN交換器單純，對企業而言，接受度可能不高，未來是否會衝擊WLAN交換器的市場，目前尚無法得知，不過各家廠商對無線網路越來越感興趣，集中無線網路管理的產品也會越來越多樣化。