Назад | Перейти на главную страницу

Несколько VLAN - несколько SSID или один SSID и несколько VLAN (радиус)

У меня вопрос относительно передовой практики. У меня есть случай, когда мне нужно несколько VLAN в беспроводных сетях. Что более производительно?

Наличие нескольких SSID, и у каждого из них есть VLAN (это также означает, что они будут в одном канале на этой AP. Наличие одного SSID для всех назначенных VLAN на основе правил авторизации MAC-адреса радиуса

Я тоже думаю, есть ли способ зашифровать открытое общение ...

Спасибо

В идеале вам нужен только один SSID для каждого метода безопасности 802.11, который вы хотите использовать (802.1X, PSK и / или Open). Чтобы разместить несколько VLAN, вы обычно возвращаете назначение VLAN с сервера RADIUS или используете собственное решение поставщика. Абсолютное максимальное количество SSID, которое вы хотите иметь, не должно превышать 4-6, но лучше, если вы используете максимум 2-3.

Документ передового опыта Cisco рекомендует 1-3 SSID:

Рекомендуется использовать от одного до трех SSID для предприятия и один SSID для проектов с высокой плотностью размещения.

Лучшие практики Арубы дать еще более низкую цель на 2:

Используйте как можно меньше SSID. Как правило, одного WPA2 Enterprise SSID и одного Open SSID более чем достаточно.

Почему эти цифры? Есть две основные причины. Во-первых, большинство экспертов / поставщиков беспроводной индустрии согласятся, что использование отдельных SSID (с одинаковой безопасностью 802.11) просто для обеспечения разных уровней доступа / привилегий - это плохой дизайн и плохая безопасность.

В идеале вы захотите применить какие-либо ограничения доступа или политику безопасности в зависимости от роли пользователя и / или устройства в организации. Аруба, вероятно, дает одно из лучших официальных заявлений на этот счет в этот документ:

[...] SSID используются для классификации пользователей и контроля прав доступа. Таким образом, пользователям назначаются права доступа не по их идентификаторам, а по их ассоциации SSID, которая может предоставить злонамеренному спуферу привилегированный доступ в сеть. Решение требует, чтобы Сотрудник A в отделе продаж связался с SSID «Продажи» для получения необходимых прав доступа к сети. Связывание с SSID «Сотрудник» может привести к тому, что Сотрудник А получит доступ к привилегированному набору серверов, недоступных для группы пользователей Продажи. Это потому, что права назначаются SSID, а не идентификатором или профилем аутентификации сотрудника A.

Кроме того, проще внедрять, поддерживать, управлять и обеспечивать соблюдение, когда все сотрудники безопасно подключаются к одному SSID 802.1X, который назначает доступ / привилегии в зависимости от их роли. Не тратьте время на то, чтобы выяснить, к какой сети они должны подключиться (или даже подключиться для различных функций). Меньше путаницы для конечных пользователей, поскольку все они подключаются к одному и тому же SSID.

Вторая причина уменьшения количества SSIDS - это спектральная эффективность, или, другими словами, поскольку трафик 802.11 является общей средой, вы хотите увеличить количество «эфирного времени», доступного для фактических данных, и уменьшить объем трафика, не связанного с данными, например, управления кадры.

Общее практическое правило заключается в том, что чем больше SSID транслирует ваша беспроводная сеть, тем она будет менее эффективной (т. Е. Меньше пропускной способности для фактического трафика данных). Каждый SSID требует, чтобы точка доступа генерировала и отправляла маяк каждый «период времени» (обычно примерно каждые 100 миллисекунд). Эти маяки (и другие кадры управления, такие как пробные запросы и ответы) обычно используют гораздо более низкую скорость передачи данных, чем обычно используется для трафика данных, и, как таковые, занимают непропорционально большое количество эфирного времени.

Большинство известных мне ссылок со статистикой для нескольких SSID являются более старой документацией. Цифры могут быть не такими точными из-за изменений в 802.11, но принципы все еще применимы. Скорость передачи данных увеличилась, но увеличился и размер типичного кадра маяка. Во всяком случае, вот ссылки из Сообщество Airheads Арубу и Революция Wi-Fi которые предоставляют статистику, показывающую влияние нескольких SSID.

Общее правило - «одна VLAN для каждого SSID», потому что в противном случае вам либо не понадобятся разные VLAN, либо разные SSID. SSID технически являются логическим эквивалентом VLAN в мире беспроводной связи.