使用Linux高效构建无线网关/防火墙（5）

用不用Linux？

B大厦的网络虽然包含多种多样的操作系统平台，但在整体上是采用了微软的解决方案。网络中各种服务和应用都能很好地协同工作，并可享受充分的技术支持。出于个人喜好，我们曾经试着安装Linux系统（通过Samba）作为文件服务器，结果却差强人意，Linux的设置管理要比Windows复杂的多，妨碍了我们对各服务器进行统一的管理。而且，Linux缺乏必要的技术支持。对Linux的使用取决于网管人员的技术水平，一旦发生网管人员不能解决的事故就可能造成重大损失，这对于一个企业网络来说是不可接受的。而为单独的Linux服务器和发生可能性非常小的故障去购买Linux服务又显然是得不偿失的。事实证明，在一个充斥着Windows的网络中，使用基于任何其他平台的服务器都必须考虑到和已有网络（不仅包括服务器，还包括工作站）的集成，否则没有实际意义。Linux同样如此。在服务器领域，Linux更适用于较为单一的应用场合，比如网站的Web/Mail/FTP服务器等。

相比之下，Linux的路由功能是值得大书特书的。因为Linux诞生于Internet并和多数Unix在源代码级兼容，其路由部分是天生的强项，在业界具有良好的口碑。使用Windows NT/2000也能构建无线网关。当时Windows 2000 已经发布了Beta 2测试版本，我们发现Windows 2000在路由方面比Windows NT 4.0有了质的提高，但当时Windows 2000尚不支持我们选择的无线网设备。更重要的是，Windows 2000不具备Linux的高度可定制性，使用Linux，我们将内核经过精简定制，编译为300KB。在一台Pentium MMX 166、32MB内存的机器上仍能保证有大量资源空闲，而同样的配置远不能Windows 2000的需求。而且，虽然Windows 2000的路由组件在易用性方面较Linux具有优势，但在功能上不及Linux丰富完整，对于在安全方面要求颇高的路由设备，网络管理人员应该进行尽量缜密的设置，易用性的考虑变得次要了。因此，我们使用开放、可控制的Linux。

如果从稳定性和安全性考虑，使用FreeBSD或OpenBSD可能要比Linux略胜一筹。但它们当时尚不支持我们的无线网卡，因此也就无从比较了。

无线网的缺点以及需要注意的问题

无线网发送的是微波信号，易被物体阻挡，可能受到地形（树木、高层建筑等）、天气或其他因素的影响。曾经有一个例子，某公司和总部的无线连接在工作时间每隔15分钟中断一次，下班后却正常。系统管理员进行了大量检查，排除了设备故障、人为、电压等各方面的因素，仍然没有找到原因，后来，一个偶然的机会、他发现在和总部的直线方向上有一个工地，本来工地是挡不住连接的，但在施工过程中，塔吊需要调转装货，正好每隔15分钟一次。而装货时塔吊的位置正好处于连线上，阻挡住了连接。因此，使用无线接入，不仅在安装时要确保两端可视无障碍，还要考虑到日后的发展变化，比如树木长高、建筑施工等。因此应尽量向市政建设等方面多加咨询。另外，虽然2.4GHz属于民用频段，但在使用时必须遵守当地的有关规定。最后，要特别注意微波束携带大量能量、穿透能力强，事实上2.4GHz的频段和微波炉的频段相近，因此一定要尽量避免人员在无线收发设备（指室外的高增益天线，室内的无线网设备是安全的）附近长期逗留，至于人体挡住微波束不仅会造成无线网络中断，还会直接对人体造成危害。

为中型网络选择路由协议

通常有3种选择: 静态路由、RIP和OSPF。RIP的使用最简单，几乎不需要设置，只要在所有的网络设备中打开RIP选项，整个网络就能自动学习路由，填充路由表。但在升级实验过程中我们发现了两个问题。首先，任何一台联网计算机或网络设备只要启动RIP并广播声称自己是Internet出口，就会给整个网络带来混乱。其直接的结果就是使内部网无法访问Internet。其次，RIP不能禁止用户在内部网中建立非授权的子网，假如有员工盗用任何正式的Internet IP建立了子网，就可以越过900EF的包过滤访问教育网以外的收费站点，并且不被记录（我们的制度允许内部网访问教育网的"免费"IP，对于非"免费"IP则必须经过代理服务器），这虽然可以通过在包过滤路由器上进行一定的配置来防止，但从根本来说这是由RIP的缺陷造成的。此外，这种情况还会导致和Internet上被盗用的地址产生冲突。三者之中，静态路由是最原始的方法。OSPF是为大型网络设计的，功能最为强大。OSPF没有了RIP的缺点，但要比RIP难配置。对于我们的网络来说，还是静态路由更加简明。因此，在网络升级的过程中，我们把所有的路由/交换设备都改为使用静态路由。