簡單、安全又具彈性,是網路架構中最重要的原則。網路只有一個,為何在管理網路時,卻必須區分為有線或無線呢?以現代IT策略的角度來看,這樣的思維會不會已經過時?
建置無線區域網路曾是IT部門的首要任務,動機經常是因為使用者常自行裝設無線基地台,讓IT人員無法進行管理。這多少也解釋了無線區域網路時常被視為企業網路的延伸,而非最初組成的一部份。這個網路延伸的部份,也成為管理上一個獨立的複雜單元。這有點不可思議,因為自始至終,整個網路都是一樣的IP範圍,一樣的使用者--難道這不是網路該進化的時候了嗎?
從管理的角度而言,企業理應採行單一管理平台(single pane of glass)來簡化管理工作。亦即將有線與無線網路中,所有可見、可管理的資源,全部納為一個整體來加以管理,而非藉由個別獨立的管理系統。然而,不管是採用那種802.11的標準,建置一個簡單、安全並具擴充性的無線區網仍不是件簡單的事。以下幾種評量標準可供依循:
首先,必須能辨識應用程式並指派其優先順序。如同上回文章提及的,由於無線網路具分享的特性,企業不能容許個別使用者毫無限制地執行特殊的應用程式。因為個人的無線網路設備和不重要的應用程式,很可能影響企業軟體的使用,因此無線網路必須能予以辨識並指派其優先順序。
其次,合法使用下能達到最高生產力。該如何實際防止企業應用軟體必須和不重要的應用程式(例如遊戲)同場爭奪頻寬?企業級的無線網路必須能解決這個問題,藉由諸如流量塑型等各種方法,來執行合法使用的政策規範。例如,將99%的無線網路流量分配給企業軟體,只留下1%讓其他應用程式競逐。換句話說,正確的解決方法是犧牲其他程式,讓企業軟體擁有優先權。
第三,和有線網路一樣能擁有最嚴謹的防護。無線安全標準一直在進化,精巧的加密、認證方式和優先分級等技術現在也都隨手可得。然而,在整合通訊與雲端應用的年代,這些標準仍顯不足。當務之急是能夠處理所有的流量,意即需要更全面、更深入的安全政策監控和執行,如同有線網路一般,經得起各種嚴峻多重威脅般的考驗。
最後,能依身份識別執行政策,簡化管理的複雜性。新的無線網路晶片容許一個無線電波能有多個SSID,如此便能設定群組政策。在身份識別的區域網路管理時代,進一步有彈性地細部設定使用規範與政策,是必備而非奢侈的要求,而且這些政策還必須一體適用地被遵守和執行。
如達文西說過的:「簡單是複雜的極致」。網路中的資料如何被處理的原則,就僅僅是根據誰是使用者,以及使用的是什麼應用程式,如此而已。保持簡單,永遠都是最聰明的做法。
(本文作者現任Fortinet台灣區技術總監)