如何构架(改造)一个方便接入无线网的方案(技术交流)
眼下移动设备越来越多,使用移动设备上网的需求也越来越多。但对于企业来说,大量移动设备会导致很多问题,安全性、可用性、维护费用升高都是现实的问题。当下貌似比较追求架设拥有较强“网络事态感知能力”的网络构架,应当怎样设计构架(或者在原有基础上改造或引入)网络结构,才能实现可控且建设和维护成本低的无线网络接入呢?请教各位老师有什么好的思路?
另外,经常会遇到希望禁止私自搭建无线局域网的需求(如禁止360随身wifi这种),各位老师对此有什么好的建议么?(如何查找定位私接点?如何防范私接?)谢谢指教。
另外,经常会遇到希望禁止私自搭建无线局域网的需求(如禁止360随身wifi这种),各位老师对此有什么好的建议么?(如何查找定位私接点?如何防范私接?)谢谢指教。
8同行回答
回复 2# ljq2184929
您网络平台其实归纳遇到两个问题:
1、网络准入控制
2、上网行为规范管理
第一个问题,涉及到需要改进你的网络结构及无线接入系统,比如,我把公司分为若干的vlan,其中一个为手机和pad使用的vlan,当办公区域有手机和pad这些跟工作无关的设备接入无线那么将自动分配到特定的vlan中。在网络中的核心交换机或者策略类的安全设备中,将针对这个手机pad的vlan进行权限分配,比如,这个vlan只能访问internet和单位内特定的资源,其他网络区域无法访问。360随身wifi和代理上网都能在这个问题中解决。
第二个问题,这个问题也是大多数企业所遇到的问题,上班时间访问无工作无关的网站及内容,有些还访问还可能违法法律,更会给企业带来不良的严重后果。这个问题目前在出口部署上网行为管理系统就很好的解决。
您还提到各部门之间人员关系问题,其实在解决两个问题后,就迎刃而解了!收起
您网络平台其实归纳遇到两个问题:
1、网络准入控制
2、上网行为规范管理
第一个问题,涉及到需要改进你的网络结构及无线接入系统,比如,我把公司分为若干的vlan,其中一个为手机和pad使用的vlan,当办公区域有手机和pad这些跟工作无关的设备接入无线那么将自动分配到特定的vlan中。在网络中的核心交换机或者策略类的安全设备中,将针对这个手机pad的vlan进行权限分配,比如,这个vlan只能访问internet和单位内特定的资源,其他网络区域无法访问。360随身wifi和代理上网都能在这个问题中解决。
第二个问题,这个问题也是大多数企业所遇到的问题,上班时间访问无工作无关的网站及内容,有些还访问还可能违法法律,更会给企业带来不良的严重后果。这个问题目前在出口部署上网行为管理系统就很好的解决。
您还提到各部门之间人员关系问题,其实在解决两个问题后,就迎刃而解了!收起
一、移动设备上网问题
1、移动设备上互联网需求
部署无线AP覆盖办公区域,通过隐藏SSID,多重认证,加强密码强度等保证安全性;如现网中有AD域,通过AD域同步用户;根据组织机构分配IP地址,以便根据需求进行安全控制,优化等;部署上网行为管理设备进行审计,限制每个账户同一时刻登陆设备的数量,一般设置为2个(分别用于笔记本、手机)
2、移动设备上内网
需要改造现有的应用以适应移动终端访问特点(如分辨率,展示页面优化等),业界有很成熟的MDM解决方案。
问题二、私自搭建无线局域网
如果是通过公司台式机插无线网卡共享上网,可以通过AD组策略限制USB接口,限制代理设置,或者是出口的上网行为管理会发现从该PC发送移动设备的流量则限制该IP的访问;业界有些厂家的无线解决方案可以发现私自接入网络中的AP并让其离线。
如果是自带的3G上网路由器搭建无线局域网,,相当于独立一张网,暂时没有发现解决方案。
另外,安全是技术和制度结合才能达到预期的,所以规章制度得跟上。收起
1、移动设备上互联网需求
部署无线AP覆盖办公区域,通过隐藏SSID,多重认证,加强密码强度等保证安全性;如现网中有AD域,通过AD域同步用户;根据组织机构分配IP地址,以便根据需求进行安全控制,优化等;部署上网行为管理设备进行审计,限制每个账户同一时刻登陆设备的数量,一般设置为2个(分别用于笔记本、手机)
2、移动设备上内网
需要改造现有的应用以适应移动终端访问特点(如分辨率,展示页面优化等),业界有很成熟的MDM解决方案。
问题二、私自搭建无线局域网
如果是通过公司台式机插无线网卡共享上网,可以通过AD组策略限制USB接口,限制代理设置,或者是出口的上网行为管理会发现从该PC发送移动设备的流量则限制该IP的访问;业界有些厂家的无线解决方案可以发现私自接入网络中的AP并让其离线。
如果是自带的3G上网路由器搭建无线局域网,,相当于独立一张网,暂时没有发现解决方案。
另外,安全是技术和制度结合才能达到预期的,所以规章制度得跟上。收起
浏览1349
浏览1328
移动设备的引入导致IP段规划得重新设计。通常会有一个人就得有手机、平板、笔记本等占用多个IP.
“网络事态感知能力”的网络架构,其实主要还是某些供应商为了满足用户能随时随地掌控网络状态的一个概念,变被动遇到故障到主动发现问题。
事实上,网络是一个系统性和复杂性的工程,规模较小的时候好管理,使用的人员和分支较大时,就需要首先建立一个目标,什么样的网络才能满足使用需求,同时在管理制度流程层面、人员、资金投入、运维等方面进行着手。
适合自己的才是最好的,有时供应商会卖一些类似的监控平台软件,是否有用其实都要用户说了算,许多概念也是换汤不换药。
最后一个关于禁止360随身WIFI的问题,通过技术手段很难控制,但也不是不能监控,这个其实也是不要一味用技术手段去解决一切问题,有很多是管理问题。收起
“网络事态感知能力”的网络架构,其实主要还是某些供应商为了满足用户能随时随地掌控网络状态的一个概念,变被动遇到故障到主动发现问题。
事实上,网络是一个系统性和复杂性的工程,规模较小的时候好管理,使用的人员和分支较大时,就需要首先建立一个目标,什么样的网络才能满足使用需求,同时在管理制度流程层面、人员、资金投入、运维等方面进行着手。
适合自己的才是最好的,有时供应商会卖一些类似的监控平台软件,是否有用其实都要用户说了算,许多概念也是换汤不换药。
最后一个关于禁止360随身WIFI的问题,通过技术手段很难控制,但也不是不能监控,这个其实也是不要一味用技术手段去解决一切问题,有很多是管理问题。收起
浏览1388