VLAN是Wi-Fi的保护神吗？

VLAN为保护无线网络开了个好头，但是还不够，还需要验证机制。

IDC无线分析师Abner Germanow认为，对于管理WLAN上的VoIP流量而言，共用的安全和管理架构仍是一项进行中的工作，有待完善。他说：“许多WLAN厂商把虚拟局域网（VLAN）作为管理VoIP流量的首选的解决方案。”VLAN让网络工程师能够对流量进行划分，这样某个VLAN上的用户只能看到该VLAN上的流量。

权宜之计

VLAN的确为防范WLAN的两大安全威胁—破坏性接入点和会话欺骗（session spoofing）提供了行之有效的对策，因为它可以集中控制802.1X验证，防止破坏性接入点伪装成授权的WLAN入口通道。VLAN还能利用客户机和服务器加以保护的加密隧道，粉碎会话欺骗的阴谋。客户机和服务器都使用散列值对自己进行验证。

但是，VLAN只是一个不错的权宜之计，它可以创建子网，从而划分不同类型的LAN流量，如VoIP。Germanow说，“因为网络上没有大量的设备，但这仅仅是开始阶段。到了某个阶段，VLAN权宜之计不再管用，这时企业就需要寻求其他方案。”

企业在融合无线和有线网络的安全和管理之前，应当先做好准备工作。研究公司伯顿集团的无线安全主管Michael Disabato认为，第一步应当是对融合的无线和有线网络存在的安全和管理问题进行风险分析。他说，一个重要目的就是“确定所有用户的一系列共同的验证、访问和授权策略。”

无线和有线网络能够融合成共用的安全和管理基础设施，其动因是由于当初许多企业竭力保护WLAN，以免遭到访问灵活、敞开的无线热点地区移动用户面临的独特威胁。Disabato说：“无线LAN长期以来就需要强验证，因为无线会话面临种种威胁。如今，这种强验证及管理的应用范围扩大到了有线LAN。”

融合两个LAN架构，为用户保护及管理两种大不相同的基础设施提供了具有成本效益的手段。而可以预测的投资回报将对推动无线网络技术的爆炸式增长起到关键作用。

必要的强认证

对融合的管理和安全框架而言，最主要的方案就是，为敏感的应用和数据提供更有效的访问控制。Germanow说：“每家交换机和接入点厂商都有针对访问和身份管理的安全策略。”

思科在2004年宣布的网络准入控制（NAC）计划就是旨在集成来自多家WLAN厂商的安全和配置管理信息（许多厂商支持NAC，其中包括Sophos）。Germanow说：“思科为有线和无线网络提供了整合式安全架构，从而可以提供遵从法规所需的控制级别。”

伯顿集团的Disabato赞同Germanow对VLAN的看法。Disabato 说：“企业一定要小心，切忌部署的VLAN过于细化。每个部门都部署一个VLAN反而达不到目的，因为这会给网络管理带来沉重的负担，从而会减少安全带来的回报。”

他又说：“一旦你确定了公司的需求，VLAN是个出色的技术解决方案。应当把作为安全解决方案的VLAN的成本同其具有的好处做一比较。除非你进行了准备工作，并考虑了某项技术与业务环境之间的关系，否则就不要购买这项技术。”

Disabato还支持身份作为整合式的安全和管理解决方案。他问道：“一旦你确定了允许谁可以访问网络，那么该如何为他们提供配置服务并加以控制呢？”对整合式的有线/无线架构而言，理想的安全解决方案将包括某种用户策略管理，该策略管理能够控制访问和授权，以便遵从法规；并且其应用范围可以扩大到为VoIP提供细化授权。

基于角色的安全和基于规则的角度进行一定程度上的结合将会是最佳方法。单纯的VLAN是基于角色的方法，应当把针对授予有线和无线用户的不同级别权限的规则作为其补充手段。据分析师声称，身份管理的全球销售额预计会从2004年的7.38亿美元猛增至2008年的102亿美元。