當它能正常工作時,Wi-Fi是棒棒噠;當它安全的時候,Wi-Fi也是棒棒噠。但是盡管設置Wi-Fi看起來簡單,其實里面的道道還是蠻多的。比方說吧,假如沒有做過全面的勘測,沒有好好設計整體布局和維護措施,或者忽略了安全問題等,都可能引發嚴重的問題。
本文要介紹的就是如何避免最有可能犯的Wi-Fi部署和設置錯誤。
一個成功的無線網絡需要仔細的分析,精心的設計和規劃,還有日常的維護,而所有這些都會涉及到現場勘測。
現場勘測需要環繞工作場所行走,捕捉Wi-Fi和RF射頻數據,以便獲得來自無線接入點(AP)、鄰近的網絡以及其他RF源的信號、噪音和干擾等基準讀數。根據勘測的結果,便可進行分析工作,以便確定一些基礎要素:最佳的AP布點位置,信道和功耗水平等。這些要素也可根據構建網絡所需要的一些參數來確定,這些參數包括無線網絡的覆蓋范圍、數據傳輸速率、網絡容量以及漫游能力等。
對于較小的樓宇或辦公區域來說,現場勘測可以手持Wi-Fi和/或頻譜分析儀邊走邊進行,然后進行記錄。但是對于大型樓宇和較大的辦公區域來說,利用圖紙進行現場勘測就很重要了。一般可將樓層平面圖上載到某個軟件中,邊走邊捕獲數據,然后在各種熱圖上查看勘測結果。這種方式可以提供一種非常直觀的效果,可以清楚地看到信號和噪音的等級,以及信號是如何傳播的。
然而,盡管在網絡的初期部署階段做好了全面的現場勘測和所有適當的分析、規劃和設計,這也不意味著一旦部署完畢,工作就算結束了。
定期進行現場勘測仍然是需要的,可以從中看出是否需要進行調整。干擾、鄰近網絡的變化,如何使用Wi-Fi等因素都可能對網絡的性能產生重大影響。
相鄰無線網絡的變化可能引發信道共生性干擾,盡管這一點你無法控制,但也可以通過調整網絡中各AP所使用的信道來避免干擾。還有一些情況也可能改變無線網絡的安全性,例如,無線AP被復位,或者用戶把自己的無線路由器或AP帶進網絡并自行安裝等情況。
不要忽略高級設置。在勘測、設計和部署階段,除了必須確定一些基本的AP設置,如信道設置之外,看看其他設置參數也很簡單。
應該發現和探索AP的所有設置參數。看看有哪些獨特的功能支持可以幫助提升性能,例如如何轉向5GHz頻段,或者如何設置IPS/IDS以增強安全性等。
也可以看看一些常用用來調諧Wi-Fi的高級設置參數,例如信道寬度、可支持的數據傳輸率、信標間隔,以及碎片與RTS的閾值等。還可考慮使用如下一些常用特性來降低開銷,提升速率:短前導碼長、短時隙與幀聚合等。
尤其對小型企業和組織來說,Wi-Fi保護接入(WPA/WPA2)的簡單的個人模式或者說預共享密鑰(PSK)模式要比企業模式更有吸引力。因為用個人模式只須數秒便可設定Wi-Fi密碼,因為大多數用戶都知道他們只是想通過Wi-Fi上網而已。而企業模式的Wi-Fi安全設置起來就沒有這么方便了。你必須設置一臺RADIUS服務器用于802.1X認證,然后還得為用戶創建并提供唯一的登錄證書。
換句話說,Wi-Fi安全的個人模式實際上一般需要長期進行安全維護才行。因為每個員工只有一個密碼,所以至少應該在每當有員工辭職時修改密碼,或者每當有用戶丟失Wi-Fi設備時修改密碼,如此方能保障網絡的安全。如果不修改密碼,那么前雇員或者竊賊就可以進入原來的工作區,很輕松地連入企業的Wi-Fi。
Wi-Fi的企業模式使用起來并不是很困難。比如說現在已經有了可托管的RADIUS服務,企業不必花費時間和錢財便可部署企業安全模式。
無論你采用哪種Wi-Fi安全模式,都應使用強密碼。密碼越長,越復雜,就越安全。例如大小寫字母、數字和一些特殊字符相互混雜,效果會更好。用詞典中的詞做密碼肯定是不安全的。
如果采用弱密碼和個人模式(PSK),有可能很容易遭到破解。雖然WPA2所提供的AWS加密很強大,但所有的密碼都可能遭受暴力詞典破解。這種攻擊方式就是通過軟件,利用常用單詞和短語詞典來反復猜測密碼,直到猜中為止。這也就是為什么密碼中最好別包含可能出現在某本詞典中的任何單詞或短語的緣故。
同樣的攻擊方式當然也可適用于WPA2安全的企業模式。不過這種模式會讓破解過程變得更加困難。
當然,除了Wi-Fi登錄密碼之外,也不能忘記還有很多其他的網絡密碼需要設置,比如說路由器、防火墻和AP等等。要確保在事故發生之前,修改掉這些網絡設備的缺省密碼。最好也別讓一些好奇心很重的用戶參與網絡設置過程。
還要隱藏好無線網絡的SSID,或者說網絡名稱,因為某人在試圖進入網絡之前必須先知道你的網絡名稱。不過這種隱藏名稱的做法也只是防君子不防小人的手段。
你可以在信標中禁用SSID廣播,這將會從電腦上的本地可用網絡和其他Wi-Fi設備列表中將其隱藏。但是在某些類型的網絡流量中是無法禁止SSID的發送的,例如聯接和探針流量。盡管一些常用的Wi-Fi設備會在此類流量中“忽略”SSID,但是無線分析儀(如Kismet和AirMagnet)都會傾聽并在聽到后顯示出SSID來。
禁用SSID廣播也會對無線性能產生一些負面影響。禁用會生成更多的管理流量,占用寶貴的數據傳輸寶貴時間。
大多數企業級無線AP都具有可支持多個虛擬無線網絡的能力,每個網絡都可以有自己的基本設置:SSID、安全、廣播、帶寬偏好、VLAN,等等。這是進行網絡隔離的一個很有用的手段,可提供不同等級的網絡接入。但這種方法也不能濫用,因為每個SSID都有自己的網絡,需要自己的一組信標和管理流量,所以都會占用有價值的通話時間。
假如你發現自己需要三個以上的SSID,那么尋找一些其他隔離無線接入的方法或許更好。舉例來說,可利用802.1X認證加Wi-Fi的企業安全模式,動態地指定用戶每次該連接哪個VLAN。
無線技術還在不斷地演進和發展中。對Wi-Fi來說,IEEE發布了802.11標準,不同廠商的不同設備便可彼此兼容。而按照這些標準的先后發布順序,不同的標準可用不同的字母來表示:802.11a、b、g、n、ac。
每種802.11標準具有不同的速度和性能。即便所有的常用標準(b、g、n、ac)彼此間都能互操作,但采用新標準的網絡如果混雜了舊設備,還是會降低整網的性能。因此,最好確保所有接入網絡的無線客戶端使用的都是較新的標準,如IEEE 802.11n或802.11ac。
如果你還有BYOD網絡,那就不可能控制用戶使用什么設備或使用什么無線標準。但你可以禁用某個舊標準,不讓使用舊標準的設備接入,就不會對網絡性能帶來負面影響了。今天,可以比較肯定得說,大多數用戶都不可能再使用802.11b的設備了,所以就可以考慮禁用802.11b標準。如今,大部分用戶可能都有802.11n或802.11ac的設備,但是不是停止對802.11g標準的支持還得看企業的具體情況而定。
京公網安備 11010502049343號