企業無線網路管理術

以往企業一直是透過有線網路提供快速的資料傳輸，無線網路主要是基於使用方便而提供的連線方式。而隨著技術的不斷更新，尤其在2009年下半802.11n定案之後，效能已經不再是建置無線網路的障礙，以現有產品的規格來說，已能提供150~300Mbps不等的連線頻寬，實際環境下的傳輸速度，最快則可到達130~150Mbps的水準，較前一代的標準規格802.11g提升了有6倍之多，更為重要的是，它也超越了企業內部常見的100Mbps乙太網路，這是無線網路首次趕上有線網路的主流傳輸規格，而未來在基地臺與網卡天線收發數增加的情況下，還有可能突破200Mbps，甚至300Mbps的大關。

行動裝置的普及 逐漸帶動了公司內部架設無線網路的需求

除了筆記型電腦之外，智慧型手機、平板電腦等手持行動裝置在企業內部的使用率提升，也增加了企業對於無線網路的需求。

對於企業來說，筆記型電腦多半僅在定點使用，所以無線網路還不算是很必要的一項服務，然而智慧型手機等體積較小的裝置，則讓使用者可以隨處，甚至在移動的狀態下，直接處理手邊的各項工作。

以iThome曾經採訪過的企業來說，就有管理者以iPhone，透過無線網路接收遙控攝影機所拍攝的機房即時影像。另外，現今許多的應用程式，如網管軟體等都有推出手機版本的套件，以便於監控企業內部各種連網設備的運作狀態。

搭配Thin AP可提供漫遊 使連線不中斷

企業建置無線網路時，首先的工作就是確認需求，以便採用合適的產品。對於一開始僅是小規模部署的企業來說，某些Thin AP透過韌體，或者是設定的變更之後，就能做為Fat AP使用，如此一來，在往後需要改採Thin AP架構的情況下，原先購買的設備仍然可以繼續使用，不浪費既有的IT投資。

而許多人認為，企業採用Thin AP的好處在於能夠集中管理基地臺，但事實上，許多的企業級Fat AP搭配原廠的管理套件，也能提供相同的功能。

事實上，2者之間的不同之處，在於訊號及流量的管理。Fat AP的訊號是由個別的基地臺所自行管理，因此用戶端裝置無法在基地臺之間漫遊（Roaming），當使用者在移動狀態下連接網路時，就會出現斷線的情況，這時就需要透過Thin AP來提供服務。

不僅如此，許多廠牌的Thin AP方案還有所謂的L3漫遊，也就是當使用者移動到遠處的另外一個VLAN網段時，還能繼續使用原本的IP位址，以IP-IP通道的方式連線，這對於特別需要持續連線的VoIP，及視訊傳輸來說，是很重要的一項功能。

另外，負載平衡也是Fat AP所沒有的一項功能。Thin AP可以將連線分散到周圍的其他基地臺，降低單一設備的負荷；而在1臺Thin AP故障離線時，其他設備可以自動調整功率，使得該區域的訊號覆蓋不致出現空窗常見的調整方式有2種，一是設定Thin AP連接數上限，額滿後即改由周圍的其他設備提供服務，其次，則是由產品自動分配。

Thin AP是透過無線網路控制器的硬體設備做管理。以常見的做法來說，Thin AP傳輸的流量以GRE、LWAPP/CAWAP等類型的通道傳送到的無線網路控制器轉送，以便套用ACL或者防火牆規則等功能，集中管理。而在802.11n的基地臺設備開始普及之後，通道模式的架構就有可能造成流量在基地臺與無線網路控制器之間塞車，產生效能上的問題。

廠商對此的解決方式一般來說有2種，一種是將設備的網路埠集結在一起，使得傳輸的頻寬倍增；其次，則是採取分散式的架構，讓某些SSID，或者是全部的無線網路流量直接透過所在網路的L3交換器轉送，此時無線網路控制器以提供設定，及韌體的更新為主要的功能。

有鑒於使用者對於無線網路的使用需求並不僅限於企業內部，為了能夠繼續提供服務，同時管理用戶裝置在異地環境的網路行為，因此一些廠商推出Remote AP的應用，使用者將企業提供的基地臺連接到當地的有線網路，就能透過IPsec等類型的加密通道，連線到企業內部，功能與VPN相類似，減少重要資料被盜取外流的機率。

這當中有些廠商還推出了專用的Remote AP設備。相較於一般提供的Thin AP設備，這類型裝置更適於攜帶到外部環境使用，而且還有針對不同的應用環境，推出多款型號做為因應，使之更加貼近使用者的需求。

有單一功能的設備 也有整合在UTM的無線網路控制器

這次我們一共測試7家廠商所提供的無線網路控制器設備，其中6家是單一功能的設備，1家則是將功能整合在UTM設備的解決方案。由於UTM必須同時提供多種不同的網路服務，因此受管的基地臺數量一般來說較少，Thin AP主要是在不需額外購買無線網路控制器的前提下供應給企業，就性質來說，屬於UTM的加值套件。

另外，不同於家用端的使用環境，企業內部連接無線網路的使用者人數較多，應用也更為複雜，對於基地臺規格的要求較為嚴苛，因此這次搭配送測的Thin AP便以規格較高、支援2發3收的802.11n模式，而且能在5GHz頻帶運作的機型為主，而大多數廠商都有這樣的設備可以提供，其中多半還不僅只有1、2款而已，顯見這是企業級Thin AP所普遍具備的功能。

不僅如此，新近推出的筆記型電腦，大多都已將802.11n的無線網卡列為標準配備，以最為主流的Intel網卡來說，都有提供在5GHz環境運作的能力，而且除了少數幾款型號之外，其他規格也都至少為2發3收以上架構。

可導入其他輔助方案 強化無線網路的整體安全管理

防護無線網路的普遍做法是透過加密，及搭配802.1x的方式避免遭到盜連，而在企業環境當中，光只有這樣還不夠。

舉例來說，企業還必須防止內部的使用者連接周圍的其他基地臺，以防止機密資料的遺失、外洩；另外，內部網路當中可能出現的私架基地臺也是需要防護的重點之一，在這些設備開啟加密的情況下，尚不致馬上會有安全事件產生，然而許多情況都是設備帶進企業之後，連接網路就開始使用，管理者必須能偵測到這些設備的存在，進而能禁止其使用；最後一點，則是了解使用者的網路連線僅為一般用途，還是帶有惡意攻擊。

對於功能有限，卻又在企業環境中很常見的家用端Fat AP來說，就完全不能滿足上述的防護需求，而有企業端多數已建置的設備多半也僅有基本的訊號偵測功能，頂多只能讓管理者了解周圍存在那些基地臺，再根據手動分類，因此對於無線網路IPS（WIPS）的需求便油然而生。

以我們這次測試的產品來說，許多都已經內建這項功能，不需要再額外購買設備，使得WIPS的部署更形簡易。

另外，也有產品提供靜態偵測的無線網路IDS服務，因此不像WIPS，可以將切斷連接到外部基地臺、私架設備，及惡意攻擊等連線的能力。

另外一種管理無線網路的做法，則是在使用者電腦安裝軟體，限制僅能連接企業所允許的服務來源，而除了Wi-Fi之外，也能管理如藍牙、3G等具有網路連線能力的射頻裝置。

7款無線網路控制器規格簡表

7款無線網路控制器測試總評

這類型產品的部署主要分為採通道模式及分散模式等2大架構，各有其適用性；除了透過產品提供網路存取的服務之外，廠商有無其他產品做為配套也很重要

這次採購特輯一共包含Aruba、Alcatel-Lucent、Bluesocket、HP、Ruckus、SonicWALL，及唯一的臺灣廠商合勤所提供的7款產品，大多為常見且具代表性的無線網路解決方案。

模擬工具可估算所需基地臺數量，但不同廠牌的套件之間會有程度不一的落差

這次大多數的廠商都有環境測試的模擬工具，協助企業估算需要基地臺的數量及放置地點。功能較為強大的產品，除了可以定義環境當中存在的隔間之外，更可以定義如牆壁材質等資訊，將結果的誤差降到最低。而以iThome採訪過的企業來說，若模擬出來的結果誤差愈大，他們也必須花費較多時間去做調整，因此他們也將廠商在此一階段的表現，列入採購評估當中。

視網路環境採用適合的設備，另外，訪客帳號的管理也很重要

隨著802.11n標準的推出，使得Thin AP傳輸的資料頓時倍增，另外，企業在分支辦公室的環境並不一定會放置專屬的設備，而是透過VPN管理，在這種情況下，具有集中管理流量好處的通道模式就可能不適用，為了避免上述問題的發生，像是Bluesocket、Ruckus等，從一開始便採用分散式的架構部署產品，而其他廠商在改版時，也都加入這項功能做為因應，成為普遍性的特色。

這次我們以相同的需求架設所有廠商提供的設備，透過設定提供了訪客專用的SSID，在提供網路連線之餘，也藉此將其與內部使用者的連線相隔離。在訪客帳號的管理方面，這次所有的送測設備皆能設定本機使用者帳號的有效期限，以便提供訪客使用，然而，在訪客數量較多，或者在企業不開放資訊部門以外的人員登入設備新增帳號的情況下，就需要有其他的方式做為配套，像是Bluesocket的vWLAN，便提供批次新增的設定方式，而HP也有ProCurve Guest Management Software的產品可搭配，另外， 有些國內廠商推出的產品，例如我們這次沒測到的4ipnet等，還有提供專屬的訪客帳號產生器及印表機的裝置，當我們按下帳號產生器的按鍵之後，就能直接將帳號、密碼等資訊列印出來，省去口頭告知，或者抄寫錯誤的問題。

視報表功能的需求，決定是否搭配額外的WIPS設備提供防護

這次大多數的送測產品都有內建WIPS的功能，提供企業隔離可能造成危害的基地臺。

另外，當中還有一些產品也提供了定位的功能，因此當基地臺為內部使用者所私架的設備，管理者就可以就近前往處理。在部署上，像是Aruba、Alcatel-Lucent的產品都有混合模式，在原本的基地臺功能之外，也能同時做為感測器使用，而不需要另外部署設備，不過，若要採用這種模式部署產品，WIPS對於Rogue AP的隔離防護可能會因此而受影響，因此，我們會建議企業分開部署這2種不同功能的基地臺。

要做好無線網路的資安，除了提供第一線的防護之外，也需提供完整的記錄，做為企業管理的參考依據，對於需要報表做為稽核的企業來說，最好是可以另外購買單一功能的設備，或者廠商推出的其他管理產品做為搭配，像是HP的RF Manager，或者是iThome先前測試過的AirTight SpectraGuard Enterprise，都是可供選擇的產品，而且報表部份能套用HIPPA、PCI，及沙賓等法規的規範，產生對應內容的報表。

我們如何測試無線網路控制器

我們在測試環境中，規畫了一個簡單的基本環境，受測的產品需建立2個SSID，分別提供給訪客及內部使用者連網，而2個SSID之間不允許互通，訪客僅能連線到外部網路。

至於在認證方面，內部使用者登入時是透過1臺微軟IAS伺服器，執行身分驗證的功能，而訪客則是利用建立於無線網路控制器的本機使用者帳號。在此架構之上，測試產品所具備的各項功能。

相關報導請參考「無線網路控制器採購大特輯」