【51CTO.com 原創】上期和大家漫談后，有熱心的小伙伴私信廉哥這個所謂的“在不破壞原有架構和功能運作的條件下”，到底是幾個意思呢?

我想說：“原來你是這樣的讀者!你這樣問，你家里人知道嗎?你問得真漂亮!”我很贊賞這位朋友的“參與精神”。廉哥應該發揚互聯網的“***思維”，把漫談講得更透徹些。的確，我上次說含糊了，這里給大家講個明白吧。因為眾多企業原有網絡架構運作已久，不管是慢也好，脆弱也罷，它都形成了自身的nature balance和用戶習慣性，所以說我們不能過于“任性”。增加設備要全面考量和深入測試，我們旨在把網絡升級得strong and fluent而不是制造新的“掣肘”。另外用戶體驗是很重要的，這一點上我們可以參照“馬斯洛需求層次金字塔”來理解，在滿足了能用的基礎上，用戶當然會需要用的爽，而安全和效率有時候就是一對天生的矛盾體，因此這個balance的度的把握很重要。技術是死的，但人是活的，如何安全運營和維護的前提條件下既搞定用戶又滿足審計，是需要一定的interpersonal技巧了。不多說了，不然這里要改成職場雞湯了。還好哥事先管這里叫的是“漫談”，即什么都可以說。哥會盡量顯得收發自如點。那么書接上回，趕緊、迅速、馬上開講。

[[170873]]

無線覆蓋與管控設計

現在大部分企業都部署了無線網絡吧。但是大家是否有過(or著)這樣的感受?當年整了幾個帶有WAP2企業級認證模式的無線AP，本以為從此以后永別“地下工作者+梁上君子”的攀高爬低生活，和蜘蛛網線說Sayonara了，霸特the ugly truth is：

· 要么SSID各自為政，覆蓋范圍不不均或是存在死角、未實現全覆蓋，大家發現雖然實現了無線“聯通”但毫無“移動”可言。

· 要么由于密碼固定，使得很多員工通過各種渠道獲取了高權限密碼后，越權肆意連接。

· 要么定期需要IT到每個無線設備上改密碼，工作量浩大。或是一個臺設備出現故障，IT人員不得不奔波過去，累成狗似得排查調試。

· 公司內部已建立健全Windows AD認證架構，但各位無線設備的認證體系始終無法納入該體系內。除了另外維護一套無線認證的成本開銷外，員工入職離職都會導致系統的不統一。

上述幾種情況總有一款是讀者您當前或者曾經遇到過的吧?沒辦法，自己架設的無線網，哭著也要維護好。

那么怎么破呢?遠方傳來一句：“切克鬧! ID統一、掃除盲點和集中化管理”。對!正確的打開方式是：在拓撲結構上，我們可以采取以新添置的無線交換機為中心，將其分別連接到現有核心(三層)交換機、多個無線AP(接入點一般都是POE類型，省得再去遷就電源插座)、無線controller(中控設備)和新設防火墻上。而此防火墻則直連前文提到的第三條ISP線路上(如下圖所示)。這是基本配置，大家可以根據實際需求，增加多個無線交換機等設備。

下面我們來看看引入無線controller(中控設備)這樣新的無線組網方案的好處。

管理上

· 有了無線controller的設置，實現了運維人員通過服務界面，從接入設備、無線網絡、來往數據以及認證流控四個方面，對用戶設備的接入、授權和使用進行全程控制。

· 各個AP被統一管理和配置，其工作狀態被實時監控。當某個區域的AP報告信號不足時，控制器可以動態改變該區域相關AP的發射頻率;而當AP報告該區域內有相同的信道信號時，同樣可以通過動態調整，以避開信道的重疊，并實現負載均衡的效果。

· 用戶的無線終端在移動過程中能自動切換AP，保持其網絡不斷線，即實現了跨AP的二層快速漫游。

安全上

· 可以配置多個SSID并實現不同的SSID有不同的網絡權限，網絡資源相互隔離。進而實現根據是否為公司合規的移動設備來自動識別登錄公司無線內網，還是一般外網獲取簡單上網瀏覽的權限。

· 用戶移動設備進入無線網絡后只需對眾多AP的其中之一進行輸入一次性WIFI密碼的連網認證，無線controller并能將用戶連網許可權限同步至范圍內其他所有AP。

· 無線controller可以配置不同賬號密碼的生存期，并且實現密碼按照既定策略自動的按周期進行變更。

· 通過與企業域管理系統的聯動，在用戶的登錄方式上，可以結合企業portal服務器或認證服務器，并實現短信字符串認證，微信二維碼等多種認證方式。

· 對于要求嚴格的企業甚至可以先認證，后分配IP地址，再通過radius服務器的數據統一計費。

隨著BYOD(以后會重點聊)的盛行，無線網絡設計與管理在當前企業的網絡安全運維的比重越來越明顯。它與有線互為補充，相得益彰。當你的老板也成為“低頭一族”，而且是“根本停不下來”的時候，你還敢小覷WIFI對于企業運營乃至IT部門興衰的重要性嗎?用個小段子結束這次的漫談吧。以前一個IT部的哥們曾經無比自信的對大家說：“給我一個網卡，我就能找到你硬盤里的神!”(素質，注意素質!)。我想在他的基礎上補充一句，如今應該是“讓我你單位地址，我就能在外面的‘探囊取物’了!”別問我怎么實現的，自己去靜靜的腦補吧。

【51CTO.com 原創稿件，轉載請注明作者及出處。】