我有一个关于最佳实践的问题。我遇到过需要在无线网络中使用多个 VLAN 的情况。哪种方式性能更好?
具有多个 SSID,并且每个 SSID 都有一个 VLAN(这也意味着它们将在该 AP 上的同一个信道上)。根据 radius MAC 身份验证规则为所有分配 VLAN 都有一个 SSID
我也在想是否有办法加密公开通信......
谢谢
答案1
理想情况下,您希望为每个要使用的 802.11 安全方法(802.1X、PSK 和/或 Open)只使用一个 SSID。为了容纳多个 VLAN,您通常会从 RADIUS 服务器返回 VLAN 分配或利用供应商的专有解决方案。您要考虑的 SSID 绝对最大数量不应超过 4-6 个,但最好最多使用 2-3 个。
思科的最佳实践文档建议 1-3 个 SSID:
建议企业使用一到三个 SSID,高密度设计使用一个 SSID。
Aruba 的最佳实践给出一个更低的目标值 2:
尽量使用较少的 SSID。一般来说,一个 WPA2 Enterprise SSID 和一个 Open SSID 就足够了。
为什么是这些数字?主要有两个原因。首先,大多数无线行业专家/供应商都同意,使用单独的 SSID(具有相同的 802.11 安全性)只是为了提供不同级别的访问/权限,这是糟糕的设计和安全性。
理想情况下,您希望根据用户和/或设备在组织中的角色实施任何类型的访问限制或安全策略。Aruba 可能对此给出了最好的官方声明之一这个文件:
[...] SSID 用于用户分类和访问权限监管。因此,用户的访问权限不是根据其身份分配的,而是根据其 SSID 关联分配的,这可能会让恶意欺骗者获得网络的特权访问权限。该解决方案要求销售部门的员工 A 与“销售”SSID 关联,以获得正确的网络访问权限。与“员工”SSID 关联可能会导致员工 A 获得销售用户组无法访问的一组特权服务器的访问权限。这是因为权限是由 SSID 分配的,而不是员工 A 的身份或身份验证配置文件分配的。
当所有员工安全地连接到一个 802.1X SSID 时,实施、支持、管理和执行也会变得更加容易,该 SSID 根据员工的角色分配访问权限/特权。无需浪费时间弄清楚他们应该连接到哪个网络(甚至连接到哪个网络以实现不同的功能)。由于最终用户都连接到同一个 SSID,因此他们也不会感到困惑。
降低 SSID 数量的第二个原因是频谱效率,换句话说,由于 802.11 流量是一种共享介质,因此您需要增加可用于实际数据的“空中时间”量并减少非数据流量(如管理帧)。
一般的经验法则是,无线网络广播的 SSID 越多,效率就越低(即实际数据流量的容量越小)。每个 SSID 都要求 AP 每隔“一段时间”(通常大约每 100 毫秒)生成并发送一个信标。这些信标(以及其他管理帧,如探测请求和响应)通常使用的数据速率比通常用于数据流量的数据速率低得多,因此占用了不成比例的空中时间。
据我所知,引用多个 SSID 统计数据的大多数参考资料都是较旧的文档。由于 802.11 的变化,这些数字可能不那么准确,但原则仍然适用。数据速率增加了,但典型信标帧的大小也增加了。无论如何,以下是来自阿鲁布的 Airheads 社区和革命性的 Wi-Fi提供显示多个 SSID 影响的统计数据。
答案2
一般规则是“每个 SSID 一个 VLAN”,否则您要么不需要不同的 VLAN,要么不需要不同的 SSID。从技术上讲,SSID 相当于无线世界中的逻辑 VLAN。