NXC5200 + NWA5160N 無線AP:建構高度安全、容易管理的無線網路環境

LIS

使用手機、平板上網已經成為許多人的生活習慣,在工作場合的運用也愈來愈頻繁。在一些特定的場所,例如校園、醫療機構、辦公大樓等等,裡面有許多學生、工作人員都仰賴機構本身提供的無線網路,才能查詢資料、進行通訊以及處理工作事務。

這些場所使用的無線網路環境與家中大不同,一來是因為面積廣大、使用人數眾多,必須有一定數量的無線 AP 才能讓訊號涵蓋這些場所的任何角落,更重要的是,員工透過無線網路存取企業內部資訊,因此必須有一套安全機制確保外人無法盜連網路進而竊取機密資訊,而且也不允許非法的 AP 安裝在企業內部網路,以免產生安全漏洞。

換句話說,一個員工可能會使用筆電、平板、手機上網,網路管理人員要能監控行動設備怎麼使用網路,也必須有方便的管理機制可以讓網管人員把網路設定佈署到所有的 AP裡面,而非逐一設定,花費大量時間。ZyXEL 的 NXC5200無線網路控制器和配合使用的無線 AP 產品,就是為了這樣的需求情境而推出。

NXC5200 無線網路控制器的特色

想要無線上網,大家都知道裝上無線 AP、設定完成後就可以使用。但是把場景搬到員工眾多、面積龐大的企業環境中,就必須安裝數十、上百台的無線 AP 才能滿足使用者的需求,而逐一設定這些 AP 實在太花時間,因此就有了精簡型 AP(Thin AP) 的出現,它只負責傳遞訊號,並由無線網路控制器負責管理這些 AP。無線網路的安全政策、漫遊、加密、使用者認証事項,都存放在無線網路控制器裡面,使用它的管理介面設定後,會自動把這些設定佈署到所有無線 AP,不必逐一設定,幫網管人員省下大量時間。

NXC5200最多可以連結240台無線 AP,並統一管理、佈署各項設定;最多可以支援到4000個使用者,它的安全機制包括內建防火牆、入侵防護(IPS)、防毒,而內建防火牆的吞吐量為4Gbps,在一定使用量之下,無線網路的流量可以直接透過 NXC5200 出去,內部網路中可以不必再另行建置資安產品來過濾流量。

▲ NXC5200 無線網路控制器的外觀,就跟一般的網通產品或伺服器長得差不多。

▲機身上有 4個 Gb 等級的乙太網路埠,最主要的用途是進行實體分流,將 Thin AP 傳送過來的流量分散出去。

▲在乙太網路埠的右邊有擴充槽,可以安裝特定的模組,讓 NXC5200多出4個GbE埠或是SFP埠。

▲機身上還一組控制埠,以網路線跟電腦連接後,可以登入使用NXC5200的網頁式管理介面。

▲背面的配置相當簡單,包括散熱風扇、電源插孔、電源開關。

受到管理的無線 AP,以NWA5160N 為例

目前在 ZyXEL 的產品線裡面,可以跟 NXC5200配合使用的 Thin AP 包括 NWA5160N(雙頻單模)、NWA5560-N(雙頻雙模)、NWA5550-N(雙頻雙模) 等等,其中NWA5550-N是戶外型AP,其操作溫度、儲存溫度的範圍都比室內型AP還要廣。它們跟一般市面上常見的多功能 AP(Fat AP)不太一樣,主要負責傳遞無線訊號,並受到無線網路控制器的集中管理。

以NWA5160N為例,硬體規格跟一般 Fat AP差不多,比較特別的是,除了單純做為無線基地台的模式,也可以切換成監控模式,偵測周圍的無線 AP 是否合法並回報,讓管理員可以即時處理。管理員能夠把可疑的無線 AP 標記為惡意 AP,干擾它的訊號,讓終端設備無法與之連線。

一台NWA5160N最多可以傳送8組SSID,不同權限的使用者(例如員工、訪客)可以選擇不同的SSID。在設定上可以採預設的通道模式,透過無線網路控制器轉送流量,或者以橋接模式做分散式的佈署。

▲左方為 NWA5160N,內建2T3R(2個傳送、3個接收)天線,支援802.11a/b/g/n,最高傳輸速度為300Mbps,可在2.4GHz、5GHz 其中一個頻段收發訊號。右方則是較晚推出的 NWA5560-N,可外接4根天線,與 NWA5160N 最大的差異是可同時在2.4GHz、5GHz兩個頻段收發訊號。

▲NWA5560-N 的外觀。

▲NWA5160N 、NWA5560-N都有 1個 Gb 等級的乙太網路埠、1個控制埠。可以接上一般的外接電源,也可以透過網路線來供電(PoE),在大量佈署時比較方便,不須到處都要電源插座。

(後面還有:NXC5200 + 受管理無線 AP 在應用上的特色、NXC5200 的實際應用案例)

NXC5200 + 受管理無線 AP 在應用上的特色

NXC5200和受管理的無線AP之間是透過CAPWAP協定連線,新增的無線 AP 會自動找到內部網路裡的 NXC5200而受其控制,並取得所有的設定檔和設定內容,包括:SSID、頻道、功率、安全性、資料傳送路徑等等。

在整個佈建工作上,這類產品所具備的好處就是相對輕鬆簡單,而且比較有彈性。在實際進行管理時,只要打開 NXC5200的管理介面,就可以進行設定或修改,並自動傳送到所有的 AP,同時也可以了解各個 AP 的使用狀況。此外,NXC5200跟受管理無線AP在應用上還有什麼特性?小編選出幾個重點進行說明。

▲當企業或機構要以 NXC5200來建置無線網路環境時,由於 NXC5200可以放在網路中的任何一個位置,而無線 AP也可以接在網路中任何一個地方,因此無須變動原有架構。

▲把新的無線AP置入現有的網路環境時,可以透過廣播或是DHCP所傳送的位址找到NXC5200,受其管理並自動取得各種設定資訊。

▲當無線AP的數量很多時,設定工作會非常繁重。網管人員只要進入 NXC5200的設定頁面工作即可,任何設定都可以從中央直接派送到受管理的無線AP,甚至連不在同一個內部網路的無線AP(Remote AP模式)也能接受派送。

▲在一個管理頁面中就能看到所有 AP 的狀況,便於進行管理。(點圖可看大圖)

▲在使用者的認証方面,從圖中可以看出是以AP設定檔為基礎,不同身份的使用者可連結不同的 SSID,進而控管使用者存取網路的權限和可使用的資源。例如訪客帳號使用的通道要跟企業內網隔離,直接經由匣道器連上網際網路。而認証資訊則是從其他的RADIUS、LDAP伺服器取得。

▲NWA5160N可以切換為監控模式,偵測周圍是否有非法的 AP(例如員工自己帶來的 AP),發現後除了進行回報,也可以送出訊號進行干擾,讓終端設備無法與非法AP連線。

▲管理頁面中會列出可疑的 AP 清單,可以直接設定為「非法AP」,禁止其連線。(點圖可看大圖)

▲在整個 NXC5200所控制的無線網路裡面,當終端設備因為改變位置而連結另一台AP時,不必重新認証,也就是具備了跨網漫遊不斷線的機制。

由於所有 AP 處於協同工作、統一管理的狀態,當某個AP的連線數目到達上限時,該AP會拒絕新的連線,並讓 Client 端自動去找其他 AP。另外,即使有一台AP故障,周遭AP的功率可以自動放大支援,確保無線網路的運作品質,讓使用者感覺不出有AP故障,而網管人員也因此得以較從容地進行故障排除。

NXC5200 的實際應用案例

在說明了 NXC5200 加上受管理 AP 所建構的無線網路有什麼特性後,小編也實際來到了使用NXC5200這個解決方案的機構,實際試用一下。

▲小編來到某處使用 NXC5200及受管理無線 AP 所建立的無線網路的機構。在走動的過程中,可以感受到跨網漫遊不斷線的便利。

▲在手機的 Wi-Fi 熱點選單裡面,可以看到2個不同的 SSID。其中的 YMyongfu 可以直接連線,實在是相當佛心。

▲另一個 SSID 從其名稱「guest YM」來看是給訪客使用的,必須輸入密碼才能連結。

▲該機構園區內無線區域網路架構圖。經過詢問廠商,這個機構的需求包括整合有線網路、無線網路集中式組態管理、身分認證及權限控管、訪客無線上網。使用的設備包括一台NXC5200、47台 NWA5560-N 無線AP。

以使用者的角度來看,不管是使用家中自行搭建的無線網路或是辦公大樓(學校、醫院等等)裡由網管人員建置的無線網路資源,其實是差不多的,但背後的架構與考量重點則有很大的不同。企業、機構本身提供的無線網路同時要服務內部工作者與訪客,因此分流、入侵偵測、防毒、使用者管理等等安全防護非常重要,而大量佈署的無線 AP 也必須易於管理,不要讓網管人員花費大量時間做重複的設定動作。以NXC5200這樣的企業、機構用網通產品來說,就是以這樣的需求為出發,進行功能與實作上的設計。對於此類產品有興趣的人,除了參考小編的說明,也可以根據文中提到的概念或關鍵字,自行搜集資料進行研究。

NXC5200 相關影片:

硬體介紹 http://zyshow.zytpe.com.tw/index.php?SEQNO=347

架構介紹 http://zyshow.zytpe.com.tw/index.php?SEQNO=346

原文網址:https://t17.techbang.com/topics/19635-the-nxc5200-wireless-ap-nwa5160n-construction-of-highly-secure-easy-to-manage-wireless-networks?page=1