多個 VLAN - 多個 SSID 或單個 SSID 和多個 VLAN(半徑)
我有一個關於最佳實踐的問題。我有一個案例,我需要在無線網路中使用多個 VLAN。什麼性能更高?
擁有多個 SSID 並且每個 SSID 都有一個 VLAN(這也意味著它們將位於該 AP 上的同一個通道上。根據半徑 MAC 身份驗證規則為所有分配 VLAN 擁有一個 SSID
我也在考慮是否有辦法加密開放通信……
謝謝
理想情況下,您希望使用的每種 802.11 安全方法(802.1X、PSK 和/或開放)只需要一個 SSID。為了適應多個 VLAN,您通常會從 RADIUS 伺服器返回 VLAN 分配或利用供應商的專有解決方案。您要考慮擁有的 SSID 的絕對最大數量不應超過 4-6,但最好使用最多 2-3 個。
思科的最佳實踐文件推薦 1-3 個 SSID:
建議企業使用 1 到 3 個 SSID,高密度設計使用 1 個 SSID。
Aruba 的最佳實踐給出了更低的目標:2:
使用盡可能少的 SSID。一般來說,一個 WPA2 Enterprise SSID 和一個 Open SSID 就足夠了。
為什麼會有這些數字?有兩個主要原因。首先,大多數無線行業專家/供應商都同意,僅使用單獨的 SSID(具有相同的 802.11 安全性)來提供不同級別的訪問/特權是糟糕的設計和安全性。
理想情況下,您希望根據使用者和/或設備在組織中的角色強制執行任何類型的訪問限製或安全策略。Aruba 可能在本文件中給出了最好的官方聲明之一:
$$ … $$SSID 用於使用者分類和訪問權限監管。因此,使用者被分配的訪問權限不是通過他們的身份而是通過他們的 SSID 關聯來分配的,這可能會給惡意欺騙者特權訪問網路。該解決方案要求銷售部門的員工 A 與“銷售”SSID 關聯以獲得正確的網路訪問權限。與“員工”SSID 關聯可能會導致員工 A 獲得對銷售使用者組無法訪問的一組特權伺服器的訪問權限。這是因為權限是由 SSID 分配的,而不是員工 A 的身份或身份驗證配置文件。
如果所有員工都安全地連接到一個 802.1X SSID,該 SSID 根據他們的角色分配訪問/特權,那麼實施、支持、管理和實施也更容易。無需浪費時間確定他們應該連接到哪個網路(甚至連接到不同的功能)。由於最終使用者都連接到相同的 SSID,因此也減少了對最終使用者的困惑。
降低 SSIDS 數量的第二個原因是頻譜效率,或者換句話說,由於 802.11 流量是共享介質,因此您希望增加可用於實際數據的“通話時間”量並減少非數據流量(例如管理)幀。
一般的經驗法則是無線網路廣播的 SSID 越多,效率就越低(即實際數據流量的容量越小)。每個 SSID 要求 AP 每隔“一段時間”(通常大約每 100 毫秒)生成和發送一個信標。這些信標(和其他管理幀,如探測請求和響應)通常使用比通常用於數據流量的數據速率低得多的數據速率,因此佔用了不成比例的通話時間。
我知道的大多數引用多個 SSID 統計數據的參考資料都是較舊的文件。由於 802.11 的變化,這些數字可能不那麼準確,但這些原則仍然適用。數據速率增加了,但典型信標幀的大小也增加了。無論如何,這裡有來自Arubu 的 Airheads 社區和Revolution Wi-Fi的參考資料,它們提供了顯示多個 SSID 影響的統計數據。