Geo*_*cas 5 encryption wifi vlan
我有一个关于最佳实践的问题。我有一个案例,我需要在无线网络中使用多个 VLAN。什么更高效?
有多个 SSID,并且每个都有一个 VLAN(这也意味着它们将位于该 AP 的同一个通道上。根据 Radius MAC 身份验证规则,所有分配的 VLAN 都有一个 SSID
我也在想是否有一种方法可以加密开放的通信......
谢谢
理想情况下,您希望使用的每种 802.11 安全方法(802.1X、PSK 和/或开放)只需要一个 SSID。为了容纳多个 VLAN,您通常会从 RADIUS 服务器返回 VLAN 分配或利用供应商的专有解决方案。您要考虑拥有的 SSID 绝对最大数量不应超过 4-6 个,但最好使用最多 2-3 个。
\n\nCisco 的最佳实践文档建议 1-3 个 SSID:
\n\n\n\n\n企业建议使用1-3个SSID,高密度设计时建议使用1个SSID。
\n
Aruba 的最佳实践给出了更低的目标,即 2:
\n\n\n\n\n使用尽可能少的 SSID。一般来说,1 个 WPA2 Enterprise SSID 和 1 个 Open SSID 就足够了。
\n
为什么是这些数字?有两个主要原因。首先,大多数无线行业专家/供应商都会同意,仅仅使用单独的 SSID(具有相同的 802.11 安全性)来提供不同级别的访问/权限是糟糕的设计和安全性。
\n\n理想情况下,您希望根据组织中用户和/或设备的角色强制实施任何类型的访问限制或安全策略。阿鲁巴岛可能在本文档中给出了对此效果最好的官方声明之一:
\n\n\n\n\n[...] SSID 用于用户分类和访问权限监管。因此,用户不是通过其身份而是通过其 SSID 关联来分配访问权限,这可能会为恶意欺骗者提供进入网络的特权。该解决方案要求销售部门的员工 A 关联 \xe2\x80\x9cSales\xe2\x80\x9d SSID 以获得正确的网络访问权限。与 \xe2\x80\x9cEmployee\xe2\x80\x9d SSID 关联\n 可能会导致员工 A 获得对销售用户组无法访问的一组特权服务器的访问权限。这是因为权限是由 SSID 分配的,而不是由员工 A\xe2\x80\x99s 身份或身份验证配置文件分配。
\n
当所有员工安全连接到一个根据其角色分配访问/权限的 802.1X SSID 时,实施、支持、管理和实施也变得更加容易。无需浪费时间来确定他们应该连接到哪个网络(甚至连接到不同的功能)。最终用户也不会感到困惑,因为他们都连接到相同的 SSID。
\n\n减少 SSIDS 数量的第二个原因是频谱效率,或者换句话说,由于 802.11 流量是共享介质,因此您希望增加可用于实际数据的“通话时间”量并减少非数据流量(例如管理)帧。
\n\n一般经验法则是无线网络广播的 SSID 越多,效率就越低(即实际数据流量的容量就越少)。每个 SSID 要求 AP 每“一段时间”(通常大约每 100 毫秒)生成并发送一个信标。这些信标(以及其他管理帧,例如探测请求和响应)通常使用比通常用于数据流量的数据速率低得多的数据速率,因此占用不成比例的通话时间。
\n\n据我所知,大多数引用多个 SSID 统计数据的参考文献都是较旧的文档。由于 802.11 的变化,这些数字可能不那么准确,但原则仍然适用。数据速率增加了,但典型信标帧的大小也增加了。不管怎样,这里有来自Arubu's Airheads Community和Revolution Wi-Fi的参考资料,它们提供了显示多个 SSID 影响的统计数据。
\n| 归档时间: |
|
| 查看次数: |
1874 次 |
| 最近记录: |