當(dāng)它能正常工作時(shí)，Wi-Fi是棒棒噠;當(dāng)它安全的時(shí)候，Wi-Fi也是棒棒噠。但是盡管設(shè)置Wi-Fi看起來簡(jiǎn)單，其實(shí)里面的道道還是蠻多的。比方說吧，假如沒有做過全面的勘測(cè)，沒有好好設(shè)計(jì)整體布局和維護(hù)措施，或者忽略了安全問題等，都可能引發(fā)嚴(yán)重的問題。

本文要介紹的就是如何避免最有可能犯的Wi-Fi部署和設(shè)置錯(cuò)誤。

一個(gè)成功的無線網(wǎng)絡(luò)需要仔細(xì)的分析，精心的設(shè)計(jì)和規(guī)劃，還有日常的維護(hù)，而所有這些都會(huì)涉及到現(xiàn)場(chǎng)勘測(cè)。

現(xiàn)場(chǎng)勘測(cè)需要環(huán)繞工作場(chǎng)所行走，捕捉Wi-Fi和RF射頻數(shù)據(jù)，以便獲得來自無線接入點(diǎn)(AP)、鄰近的網(wǎng)絡(luò)以及其他RF源的信號(hào)、噪音和干擾等基準(zhǔn)讀數(shù)。根據(jù)勘測(cè)的結(jié)果，便可進(jìn)行分析工作，以便確定一些基礎(chǔ)要素：最佳的AP布點(diǎn)位置，信道和功耗水平等。這些要素也可根據(jù)構(gòu)建網(wǎng)絡(luò)所需要的一些參數(shù)來確定，這些參數(shù)包括無線網(wǎng)絡(luò)的覆蓋范圍、數(shù)據(jù)傳輸速率、網(wǎng)絡(luò)容量以及漫游能力等。

對(duì)于較小的樓宇或辦公區(qū)域來說，現(xiàn)場(chǎng)勘測(cè)可以手持Wi-Fi和/或頻譜分析儀邊走邊進(jìn)行，然后進(jìn)行記錄。但是對(duì)于大型樓宇和較大的辦公區(qū)域來說，利用圖紙進(jìn)行現(xiàn)場(chǎng)勘測(cè)就很重要了。一般可將樓層平面圖上載到某個(gè)軟件中，邊走邊捕獲數(shù)據(jù)，然后在各種熱圖上查看勘測(cè)結(jié)果。這種方式可以提供一種非常直觀的效果，可以清楚地看到信號(hào)和噪音的等級(jí)，以及信號(hào)是如何傳播的。

然而，盡管在網(wǎng)絡(luò)的初期部署階段做好了全面的現(xiàn)場(chǎng)勘測(cè)和所有適當(dāng)?shù)姆治?、?guī)劃和設(shè)計(jì)，這也不意味著一旦部署完畢，工作就算結(jié)束了。

定期進(jìn)行現(xiàn)場(chǎng)勘測(cè)仍然是需要的，可以從中看出是否需要進(jìn)行調(diào)整。干擾、鄰近網(wǎng)絡(luò)的變化，如何使用Wi-Fi等因素都可能對(duì)網(wǎng)絡(luò)的性能產(chǎn)生重大影響。

相鄰無線網(wǎng)絡(luò)的變化可能引發(fā)信道共生性干擾，盡管這一點(diǎn)你無法控制，但也可以通過調(diào)整網(wǎng)絡(luò)中各AP所使用的信道來避免干擾。還有一些情況也可能改變無線網(wǎng)絡(luò)的安全性，例如，無線AP被復(fù)位，或者用戶把自己的無線路由器或AP帶進(jìn)網(wǎng)絡(luò)并自行安裝等情況。

不要忽略高級(jí)設(shè)置。在勘測(cè)、設(shè)計(jì)和部署階段，除了必須確定一些基本的AP設(shè)置，如信道設(shè)置之外，看看其他設(shè)置參數(shù)也很簡(jiǎn)單。

應(yīng)該發(fā)現(xiàn)和探索AP的所有設(shè)置參數(shù)?？纯从心男┆?dú)特的功能支持可以幫助提升性能，例如如何轉(zhuǎn)向5GHz頻段，或者如何設(shè)置IPS/IDS以增強(qiáng)安全性等。

也可以看看一些常用用來調(diào)諧Wi-Fi的高級(jí)設(shè)置參數(shù)，例如信道寬度、可支持的數(shù)據(jù)傳輸率、信標(biāo)間隔，以及碎片與RTS的閾值等。還可考慮使用如下一些常用特性來降低開銷，提升速率：短前導(dǎo)碼長(zhǎng)、短時(shí)隙與幀聚合等。

尤其對(duì)小型企業(yè)和組織來說，Wi-Fi保護(hù)接入(WPA/WPA2)的簡(jiǎn)單的個(gè)人模式或者說預(yù)共享密鑰(PSK)模式要比企業(yè)模式更有吸引力。因?yàn)橛脗€(gè)人模式只須數(shù)秒便可設(shè)定Wi-Fi密碼，因?yàn)榇蠖鄶?shù)用戶都知道他們只是想通過Wi-Fi上網(wǎng)而已。而企業(yè)模式的Wi-Fi安全設(shè)置起來就沒有這么方便了。你必須設(shè)置一臺(tái)RADIUS服務(wù)器用于802.1X認(rèn)證，然后還得為用戶創(chuàng)建并提供唯一的登錄證書。

換句話說，Wi-Fi安全的個(gè)人模式實(shí)際上一般需要長(zhǎng)期進(jìn)行安全維護(hù)才行。因?yàn)槊總€(gè)員工只有一個(gè)密碼，所以至少應(yīng)該在每當(dāng)有員工辭職時(shí)修改密碼，或者每當(dāng)有用戶丟失Wi-Fi設(shè)備時(shí)修改密碼，如此方能保障網(wǎng)絡(luò)的安全。如果不修改密碼，那么前雇員或者竊賊就可以進(jìn)入原來的工作區(qū)，很輕松地連入企業(yè)的Wi-Fi。

Wi-Fi的企業(yè)模式使用起來并不是很困難。比如說現(xiàn)在已經(jīng)有了可托管的RADIUS服務(wù)，企業(yè)不必花費(fèi)時(shí)間和錢財(cái)便可部署企業(yè)安全模式。

無論你采用哪種Wi-Fi安全模式，都應(yīng)使用強(qiáng)密碼。密碼越長(zhǎng)，越復(fù)雜，就越安全。例如大小寫字母、數(shù)字和一些特殊字符相互混雜，效果會(huì)更好。用詞典中的詞做密碼肯定是不安全的。

如果采用弱密碼和個(gè)人模式(PSK)，有可能很容易遭到破解。雖然WPA2所提供的AWS加密很強(qiáng)大，但所有的密碼都可能遭受暴力詞典破解。這種攻擊方式就是通過軟件，利用常用單詞和短語詞典來反復(fù)猜測(cè)密碼，直到猜中為止。這也就是為什么密碼中最好別包含可能出現(xiàn)在某本詞典中的任何單詞或短語的緣故。

同樣的攻擊方式當(dāng)然也可適用于WPA2安全的企業(yè)模式。不過這種模式會(huì)讓破解過程變得更加困難。

當(dāng)然，除了Wi-Fi登錄密碼之外，也不能忘記還有很多其他的網(wǎng)絡(luò)密碼需要設(shè)置，比如說路由器、防火墻和AP等等。要確保在事故發(fā)生之前，修改掉這些網(wǎng)絡(luò)設(shè)備的缺省密碼。最好也別讓一些好奇心很重的用戶參與網(wǎng)絡(luò)設(shè)置過程。

還要隱藏好無線網(wǎng)絡(luò)的SSID，或者說網(wǎng)絡(luò)名稱，因?yàn)槟橙嗽谠噲D進(jìn)入網(wǎng)絡(luò)之前必須先知道你的網(wǎng)絡(luò)名稱。不過這種隱藏名稱的做法也只是防君子不防小人的手段。

你可以在信標(biāo)中禁用SSID廣播，這將會(huì)從電腦上的本地可用網(wǎng)絡(luò)和其他Wi-Fi設(shè)備列表中將其隱藏。但是在某些類型的網(wǎng)絡(luò)流量中是無法禁止SSID的發(fā)送的，例如聯(lián)接和探針流量。盡管一些常用的Wi-Fi設(shè)備會(huì)在此類流量中“忽略”SSID，但是無線分析儀(如Kismet和AirMagnet)都會(huì)傾聽并在聽到后顯示出SSID來。

禁用SSID廣播也會(huì)對(duì)無線性能產(chǎn)生一些負(fù)面影響。禁用會(huì)生成更多的管理流量，占用寶貴的數(shù)據(jù)傳輸寶貴時(shí)間。

大多數(shù)企業(yè)級(jí)無線AP都具有可支持多個(gè)虛擬無線網(wǎng)絡(luò)的能力，每個(gè)網(wǎng)絡(luò)都可以有自己的基本設(shè)置：SSID、安全、廣播、帶寬偏好、VLAN，等等。這是進(jìn)行網(wǎng)絡(luò)隔離的一個(gè)很有用的手段，可提供不同等級(jí)的網(wǎng)絡(luò)接入。但這種方法也不能濫用，因?yàn)槊總€(gè)SSID都有自己的網(wǎng)絡(luò)，需要自己的一組信標(biāo)和管理流量，所以都會(huì)占用有價(jià)值的通話時(shí)間。

假如你發(fā)現(xiàn)自己需要三個(gè)以上的SSID，那么尋找一些其他隔離無線接入的方法或許更好。舉例來說，可利用802.1X認(rèn)證加Wi-Fi的企業(yè)安全模式，動(dòng)態(tài)地指定用戶每次該連接哪個(gè)VLAN。

無線技術(shù)還在不斷地演進(jìn)和發(fā)展中。對(duì)Wi-Fi來說，IEEE發(fā)布了802.11標(biāo)準(zhǔn)，不同廠商的不同設(shè)備便可彼此兼容。而按照這些標(biāo)準(zhǔn)的先后發(fā)布順序，不同的標(biāo)準(zhǔn)可用不同的字母來表示：802.11a、b、g、n、ac。

每種802.11標(biāo)準(zhǔn)具有不同的速度和性能。即便所有的常用標(biāo)準(zhǔn)(b、g、n、ac)彼此間都能互操作，但采用新標(biāo)準(zhǔn)的網(wǎng)絡(luò)如果混雜了舊設(shè)備，還是會(huì)降低整網(wǎng)的性能。因此，最好確保所有接入網(wǎng)絡(luò)的無線客戶端使用的都是較新的標(biāo)準(zhǔn)，如IEEE 802.11n或802.11ac。

如果你還有BYOD網(wǎng)絡(luò)，那就不可能控制用戶使用什么設(shè)備或使用什么無線標(biāo)準(zhǔn)。但你可以禁用某個(gè)舊標(biāo)準(zhǔn)，不讓使用舊標(biāo)準(zhǔn)的設(shè)備接入，就不會(huì)對(duì)網(wǎng)絡(luò)性能帶來負(fù)面影響了。今天，可以比較肯定得說，大多數(shù)用戶都不可能再使用802.11b的設(shè)備了，所以就可以考慮禁用802.11b標(biāo)準(zhǔn)。如今，大部分用戶可能都有802.11n或802.11ac的設(shè)備，但是不是停止對(duì)802.11g標(biāo)準(zhǔn)的支持還得看企業(yè)的具體情況而定。