网络通信 频道

如何更好的管理无线网络

  传统的有线网络管理的方法和技术能够在使用无线网络特殊工具和技术的情况下,很容易的转移实施到无线网络上去,并帮助保持网络的平滑性、可靠性和安全性。网络管理员能够使用已被广泛采用的基本的七层ISO网络模型(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层),并用ISO网络参考模型来组织和描述网络活动。在阅读这篇IT检查列表中为网络经理列出的推荐网络活动(以字母排序)时,请保持在你的脑海里存在此网络参考模型的元素。
  • 会计管理
    留意各种资源的使用和它们的具体消耗。这些包括资产管理、成本控制和charge-backs。如果IT部门作为一个成本中心运作,那么无线网络charge-backs能够在使用率和资源消耗率的基础上帮助分散成本。

  • 配置管理
    这包括如何建立网络、网络地址和相应的操作,也包括更改控制和管理、硬件、软件和配置数据的详细清单。

  • 故障管理
    面临的网络问题、错误或故障。这些包括事件通知、警报和警告、问题鉴别、故障检修、问题解决方案和错误或事件记录。

  • 性能管理
    此项目度量无线网络在任何时间的表现。它包括网络容量设计、可用性/故障时间、响应时间测量、错误率、吞吐量和利用规格。

  • 安全管理
    这个项目指的是网络和结点的安全性。它包括安全才策略需求和实施、授权、存取控制和审计追踪、安全事件记录和身份认证失败。记住,无线网络更容易造成广播泄漏。

    虽然在你要做的事情的列表中,会计管理并不是第一位的,但它和其它任务一样,都必须例行公事地被执行。做一点计划和结构方面的设计,对建立和维护必要的控制大有帮助,这里是确保建立一个顶尖的无线网络所进行的步骤:

  1. 设备布局和信号管理
    无线网络接入点(AP,或者叫做WAP,是用来将无线网络桥接入有线网络的设备)和无线网络接口天线的布局是获得好的结果的关键。使用无线网络信号强度测量工具(通常和无线网络接口卡附带的软件和驱动程序绑在一起,在笔记本电脑或手持计算机上安装此类工具后,能够方便的对无线网络信号强度进行测量)确保被批准的用户能够访问和使用无线网络。这些也被用来排查性能问题,NetStumbler是一款用来做此项工作的免费程序。

  2. 设备安装和配置
    管理无线网络涉及为数众多的网络识别和地址分配问题。多数WAP包含包含安装和配置的大致文档,但并不是它们中的所有都提及更改默认配置(当可能时,进行更强的安全设置)通常能够带来最好的安全效果。这些设置包括选择设置识别器(SSIDs),关闭SSID的广播,打开任何种类的加密模式(强度越高越好),这样会使无线网络能够更好的被应用。

  3. 流量监控和分析
    将网络协议分析仪或嗅探器跟无线网络接口协同工作,用来控制和测量网络的流量、每种网络流量的特征和辨认有害的访问尝试,并进行阻止。一些专门的商业工具,如AiroPeek通常被用来进行此项工作,但是一个开放源代码的产品,如Ethereal同样能够在许多无线网络接口中运行,并且能够获取足够的信息。由于开放源码产品的免费特性,使用此类工具能够带来低成本。

  4. 故障检修
    这些在所有的网络上都会发生,不过在无线网络使用中尤其重要。当移动用户将笔记本电脑接入网络时,管理员需要很快的学习辨认“盲点”,在盲点中,无线网络的覆盖是亚非常好的的或不可用的(需要添加更多的WAP才能解决),这就需要管理员能够处理典型的接入和存取问题。

  5. 构造正确的无线网络连接
    根据无线网络流量广播的自然特性,即使硬件在你本地防火墙的附近,当用户访问网络资源时,WAP和无线网络接口都必须作为防火墙外部的设备,以使它们能够访问。这意味着需要将WAP作为DMZ(隔离区,逻辑上的,不是物理上的),在允许访问内部网络和其资源之前,通过防火墙路又无线网络的流量,并且使用VPN连接两个无线网络用户和他们的网络。阻止外部人士访问你的网络是非常重要的。因为Windows默认情况下,总是登录进入它找到的第一个无线网络,因此配置工作站登录进入正确的网络同样重要。

  6. 渗入测试/漏洞评估
    “在别人做之前,做你能够想到的任何事情。”对无线网络来说,这一位著通过检测,确保外部人士不能在你不想让他们接入的地方,接入你的无线网络。执行规则的非法进入尝试、驾驶攻击(war-driving)和开战标记(war-chalking)测试,找到和修补在你的网络中潜在的安全问题。定期审计是必须的,同样,不是很频繁,但足够规模的渗入测试也是了解和阻止外部人士的好主意。

  7. 使用额外的身份验证
    但提及到其内建的加密和身份验证机制时,无线网络的802.11协议和服务是臭名昭著的脆弱。许多专家推荐在可能时的添加基本的外部验证。这将需要无线网络用户使用多种身份验证手段,即除了典型的账户/密码识别之外,还需要涉及硬件令牌验证。它同样意味着可能采用像思科的轻量级扩展验证协议(Lightweight Extensible Authentication Protocol,LEAP),这个协议能够加强身份验证的强度,并为无线网络通讯加入另外一层的加密(它和的多数高级802.1x协议的身份验证能够很好的进行协同工作)。

  8. 使用无线网络管理工具
    像AirMagnet、Chantry Beaconworks和 AirWave之类的工具,能够扩展无线网络管理控制台的能力,并且能够提供有价值的,诸如流量监控、个性化等实用的功能。如果你的预算允许,那么购买它们并投入使用还是非常指的的。当公司打算采用基于策略的管理手段时,这类工具尤其有帮助。

    Ed Tittel是一个专职自由撰稿人、培训人和顾问,擅长于信息安全、增值代码以及网络技术相关的问题。他还是许多以技术为目标的网站的捐助人,《Certification》(证明,http://www.certmag.com/)杂志的技术编辑,并且通过电子邮件给 CramSession(http://www.cramsession.com/)旗下的《"Must Know News."》(必知新闻,http://www.cramsession.com/newsltr/subscribe.asp?newsletter_id=1)撰稿。他还是Wiley出版社于2004年11月出版的《The PC Magazine Guide to Fighting Spyware, Viruses, and Malware 》(ISBN:0764577697,http://www.wiley.com/WileyCDA/WileyTitle/productCd-0764577697.html)一书的作者。

文章转载地址:http://www.365master.com/kt_article_show.php?article_id=8456&categ_code=10071010

0
相关文章