WLAN集成到您的有线LAN中 (转来微软）

将WLAN集成到您的有线LAN中

本页主要标题：

·                     WLAN存在哪些不同之处？

·                     准备部署您的WLAN

·                     将WLAN与LAN捆绑在一起

无线LAN（WLAN）能够实现多种极具价值的用途；其中我本人最为欣赏的用途包括应用于机场终端、星巴克咖啡店以及其它公共场所的WLAN。然而，与构建独立的WLAN相比，将WLAN集成到现有LAN中与前者存在着巨大差别。无论您是向家庭LAN中添加无线访问功能还是帮助身处财富500强行列的企业实现针对无线功能的滚动升级，在启动访问点（AP）并开始体验无线网络重浪之前，您都需要首先考虑几点问题。

WLAN存在哪些不同之处？

将WLAN视为无需连线的LAN听起来似乎合情合理，但这种说法实际上并不非常准确。的确，WLAN使用与有线以太网相同的基础CSMA/CA协议，并且同样在不关心物理传输介质的情况下通过上述协议运行TCP/IP。然而，在WLAN与LAN之间存在一些您必须加以了解的本质区别：

·                     通常情况下，与LAN相比，WLAN的速度较慢。802.11b标准提供最高速率可达11Mb/sec的连通能力，而802.11a和802.11g的最高传输速率也只能达到54Mb/sec。如果与100Mb/sec的标准LAN硬件传输速率或1000Mb/sec的千兆位以太网传输速率相比，这一速率便显得微不足道了--特别需要注意的是，WLAN连接的传输速率还会因信号干扰而有所降低（最低可达2Mb/sec）。

·                     WLAN实现不同的覆盖范围。有线LAN依赖于众所周知的星型拓扑结构：每个端口均与集线器或交换机建立连接，而这些集线器与交换机设备又可进一步实现级联。WLAN对这种拓扑结构进行了扩展，但由于信号强度与发射范围限制，如需完全覆盖一栋建筑物（或者像Microsoft公司企业园区那样同时覆盖多栋建筑物），可能需要设置许多AP，甚至安装额外的接收天线。

·                     WLAN需要进行专门配置。对于LAN交换机与集线器，您只需在其中插入连接电缆即可做到一切就绪。与此相反，对于WLAN AP则需要专门进行配置。尽管AP的配置方法并不困难，但这却意味着您必须针对配置方案、所需分配的口令以及将来进一步修改配置方案时对网络结构所需进行的调整等问题投入必要的精力。

 

准备部署您的WLAN

在实际部署WLAN之前，您应当首先完成一些准备步骤。您并非一定要在启动第一个AP之前完成所有准备工作，但所有这些步骤均必须在某一时刻来临前完成：

1.                   选择一家具备安全意识的硬件设备厂商。Cisco、Agere以及其它能够在其硬件设备中支持802.1x、无线等价保密（WEP）协议密钥重建功能和128位WEP的厂商均可位于您的考虑范围之内，无法满足上述条件的厂商则应排除在外。在开始着手进行采购之前，请确保您所购买的硬件设备具备您所希望的安全特性。

2.                   确定您希望采用何种类型的加密与身份验证技术。如果可能的话，请尽量选用802.1x。

3.                   确定希望通过紧密方式还是松散方式将WLAN集成到您的LAN中。两种网络是否需要共享同一段地址空间？考虑您希望如何为客户端分配IP地址：是否每个AP均拥有自己的DHCP地址范围，或者是否采用集中式DHCP服务器会更好一些？

4.                   执行一次站点调查。这种调查既可能是一项耗费大量人力物力的复杂工作（例如，您需要在整个企业园区或市中心区域内提供WLAN访问能力。），也可能是一项非常简单的工作（例如，设立单一AP，并查看在其周围不同位置上的信号强度如何。）。请对您需要提供访问能力的建筑物外表进行检查，以确保您的信号不会被发射到过于遥远的范围。

5.                   确定您希望同时支持多少个并行无线用户。如果您只有少量用户，那么将毫无问题，如果您的用户数量超过25名，那么，即便在相对较小的空间内，您可能也需要设立多个AP。WLAN的一项优势在于，您可以根据需要不断添加新的AP，以便对网络实施扩展。

6.                   设立一个唯一的AP，并查看您的身份验证与加密设置能否正常工作。由于不正确的WLAN配置方式可能允许过路人获取您的网络地址并对其加以应用，甚至导致更坏的后果，因此，这一步骤显得尤为重要。

 

将WLAN与LAN捆绑在一起

本系列的其它文章中简要提到了将WLAN AP放置在网络防火墙以外，或者至少放置在网络周边地区或DMZ区域内的主张。由于决定着覆盖范围与访问能力，因此，对于客户端而言，AP的物理位置非常重要，然而，从安全性与性能角度考虑，网络位置则显得更为重要。

从原则上讲，将AP安置在防火墙以内意味着所有能够通过AP实现身份验证的用户均可对内部网络中的任意系统进行访问。您可能在大多数敏感系统上拥有访问控制能力（如果目前还没有的话，为什么不这样做呢？），但最好能够在网络外围对那些不必要的通信内容进行筛选。将AP安置在防火墙以外意味着强制WLAN用户使用VPN，与常规连接相比，VPN的便利性将大打折扣。这种方式的另一项缺陷在于：由WLAN所产生的繁重通信任务可能会淹没您的防火墙或VPN服务器。一种常见措施是采取折衷方案，即将一个AP安置在防火墙外部，并将其它AP安置在防火墙内部。“外部”AP可供来访者或不受信赖的用户使用（但可信用户也可通过VPN方式连接到内部网络），而“内部”AP则用以为通过身份验证的用户提供服务。通常情况下，除非您在“内部”AP上使用足够强大的身份验证机制（例如802.1x），否则，建议您不要采取这种配置方式。