該公司的ZoneDirector無線網路控制器可以分為3000,及型號較小的1000等2款設備。而以受管基地臺的數量來說,ZoneDirector 3000在出廠時已經內建50臺Thin AP的管理授權,企業也可以另購授權,擴充到500臺(早期版本韌體為250臺),或者提供5,000臺用戶端裝置連線,屬於一款大型網路適用的設備。

透過特有的BeamFlex技術 增加訊號的涵蓋範圍

ZoneDirector可以搭配Ruckus現有各種型號的ZoneFlex基地臺部署,802.11n基地臺有室內型的7962,及室外型的7762等2款設備,能以3發3收的天線架構,同時在2.4及5GHz的頻帶下運作。

這次搭配送測的7962內建19支7dBi的天線,透過該公司特有的BeamFlex技術,讓設備自行找出能夠達成最佳路徑的3根天線傳送訊號,提供類似於指向型天線的效果;而在用戶端裝置周圍有微波爐這類會產生強大電磁波干擾的電器時,基地臺會減少直接傳輸的訊號功率,轉而增強折射的訊號傳輸,藉此維持無線網路的傳輸速度。其做法和其他廠商的802.11n基地臺相比,算是較為特殊。

當基地臺與無線網路控制器皆放置在同網段的情況下,ZoneFlex會利用廣播的方式找到ZoneDirector設備,以LWAPP(Lightweight Access Point Protocol)的協定建立連線。而在內部具有多個VLAN的企業環境當中,則可以透過DHCP,或者是DNS伺服器傳送連線所需的資訊給基地臺;另外也可以採手動的方式,將無線網路控制器的IP位址設定於基地臺。

除了Thin AP的模式之外,ZoneFlex也能做為Fat AP使用,待日後企業部署的基地臺數量較多,需要購入ZoneDirector集中管理時,再轉為Thin AP部署。

企業可以另購Ruckus的ZonePlanner軟體,估算大致所需的基地臺數量;另外,原廠網站也有Access Point Calculator,及Performance Calculator等2套免費的線上工具,提供部署前的簡單試算。

採分散式架構部署 防止傳輸瓶頸的產生

由於ZoneDirector的預設做法,是將所有的無線網路設定派送給Thin AP,形成分散式的部署架構,因此流量不需透過無線網路控制器轉送,對於設備而言,2組的GbE埠已經足敷使用,不致於產生流量傳輸的效能瓶頸。

ZoneDirector第1組網路埠的IP位址為192.168.0.2,管理者可以透過HTTPS連接設備的網頁介面,隨後會自動帶入設定精靈的畫面,在此我們可以將網頁的語系切換為正體中文,並且完成設備的網路組態,及SSID等基本設定,整個過程可以在5分鐘內結束,算是一款相當容易部署的產品。而在企業架有多臺ZoneDirector的情況下,可以在一臺Linux主機安裝FlexMaster軟體,提供集中管理的機制。

我們最多可以在這臺設備建立32組SSID的設定,並將其中8組派送到Thin AP。SSID可以根據用途不同,區分為提供給內部使用者的一般用途、訪客存取,及適用於公共場所的熱點模式,分別具備不同的網路存取權限。

舉例來說,當SSID被切換為訪客使用時,ZoneDirector會自動限制無線網路的使用者之間不能相互連線,以最嚴謹的方式管理外來訪客的連線,至於在驗證方面,則可採用WEP、WPA/WPA2,及802.1x等常見的加密方式,並包含網頁型式的驗證表單。

若企業想要透過這種方式判別使用者連接無線網路的權限,則需將SSID設定為一般用途。

ZoneDirector可以根據L2的MAC或者L3的IP位址制定ACL的規則,決定轉送流量,或者直接丟棄,控管不同身分使用者所能存取的網路範圍,而針對訪客SSID的管理,設備已內建現成的ACL可供套用,僅允許訪客透過HTTP存取網頁,及連接DNS、DHCP伺服器。

當連線的用戶端設備數量到達100臺的預設上限之後,ZoneDirector會將新增的連線分往周圍的其他Thin AP,連線數可以隨著企業的需求不同而做調整,以避免單一基地臺的連線數過多,而影響其他使用者的連線傳輸。

除了以RADIUS、本機使用者做為帳號的驗證來源之外,當企業透過入口網頁提供驗證的情況下,還可以整合既有的Windows AD,不需另外架設外部的驗證伺服器,便於企業管理無線網路的使用權限。

針對不同需求,ZoneDirector還提供多種的驗證方式做為搭配。以訪客SSID的管理來說,在訪客連接無線網路之後,我們可以設定讓瀏覽器的畫面轉向到設備,待同意使用同意書所聲明的事項之後,才會開放正常存取網路的權限,並將畫面轉回訪客電腦的瀏覽器首頁,或者指定的網頁。

或者企業也可以開放線上申請訪客權限的服務。預設的使用期限為一天,申請成功之後,網頁會顯示一組動態產生的密碼,當訪客連接無線網路之後,必須在瀏覽器所轉向的畫面輸入密碼,以通過驗證;另外,我們可以設定密碼產生之後的有效期限,在此期限內未使用的密碼就會失效,必須重新申請。

由於802.1x的用戶端設定較為複雜,因此Ruckus在ZoneDirector提供功能類似的Dynamic PSK,做為可供選擇的管理方式之一,它可以整合本機使用者、Windows AD,乃至於RADIUS伺服器產生員工專屬的一組WPA/WPA2 PSK金鑰。

設定完成之後,設備會產生一個執行檔,在使用者電腦安裝之後,就可以完成無線網路的所有設定,不需要其他的手動操作。建立金鑰時,我們可以設定有效期限,或者在員工離職之後,於設備上進行刪除。

可偵測周圍的無線網路使用狀況

在無線網路傳輸的安全防護方面,ZoneDirector可以透過ZoneFlex基地臺偵測周圍的Rogue AP,對於屬於鄰近其他公司,或者內部基於其他需求而架設的基地臺,將其歸類為已知的Rogue裝置之後,設備就會忽略,不會額外發出警訊。

ZoneDirector本身還有Rogue AP定位的功能,可以在上傳到設備的平面圖顯示附近的Rogue AP,及所在方位,假使地點位於企業內部,則管理者可以就近前往移除,避免私架設備造成企業網路的控管漏洞。

 

基地臺網路埠

ZoneFlex 7962內建2組GbE埠可做備援,其中左方的介面支援PoE供電。

 

訪客帳號產生頁面

ZoneDirector提供專屬頁面,供訪客申請臨時帳號。

 

Dynamic PSK

Dynamic PSK的功能搭配用戶端程式,採自動方式完成所有的網路設定。

 

防護機制

ZoneDirector具備多種防護機制,用以偵測Rogue AP等可能造成危害的訊號來源。

 

產品資訊

Ruckus ZoneDirector 3000

●建議售價:470,250元

●原廠:Ruckus

●原廠網址:www.ruckuswireless.com

●代理商:鉅晶國際

●網路埠:GbE×2

●受管基地臺最大授權數:500臺

●無線網路管理功能:Dynamic PSK、ACL等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「無線網路控制器採購大特輯」

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement