Múltiplas VLANs - SSID Múltiplo ou SSID Único e Múltiplas VLANs (raio)

1

Eu tenho uma pergunta sobre as melhores práticas. Eu tenho um caso em que preciso de várias VLANs em redes sem fio. O que é mais performático?

Ter vários SSID e cada um deles tem uma VLAN (isso também significa que eles estarão no mesmo canal desse AP. Ter um SSID para todas as VLAN atribuídas com base nas regras de autenticação MAC do raio

Também estou pensando se há uma maneira de criptografar a comunicação aberta ...

Obrigado

    
por George Farcas 04.10.2017 / 06:47

2 respostas

1

Idealmente, você deseja apenas um SSID para cada método de segurança 802.11 que você deseja empregar (802.1X, PSK e / ou Open). Para acomodar várias VLANs, você normalmente retornaria uma atribuição de VLAN de um servidor RADIUS ou utilizaria uma solução proprietária de um fornecedor. O número máximo absoluto de SSIDs que você deseja considerar não deve ser maior que 4-6, mas é melhor se você usar no máximo 2-3.

O documento de práticas recomendadas da Cisco recomenda 1-3 SSIDs:

It is recommended to have one to three SSIDs for an enterprise, and one SSID for high-density designs.

As melhores práticas da Aruba proporcionam alvo ainda menor em 2:

Use as few SSIDs as possible. Generally, one WPA2 Enterprise SSID and one Open SSID are more than enough.

Por que esses números? Existem dois motivos principais. Primeiro, a maioria dos especialistas / fornecedores do setor de telefonia móvel concordaria que o uso de SSIDs separados (com a mesma segurança 802.11) simplesmente para fornecer diferentes níveis de acesso / privilégio é um projeto e segurança deficientes.

Idealmente, você desejaria aplicar qualquer tipo de restrição de acesso ou política de segurança com base na função do usuário e / ou dispositivo na organização. Aruba provavelmente dá uma das melhores declarações oficiais para esse efeito em este documento :

[...] SSIDs are used for user classification and access rights policing. Thus users are assigned access rights not by their identities but by their SSID association which could give a malicious spoofer privileged access into the network. The solution requires Employee A in the sales department to associate with the “Sales” SSID for the right network access privileges. Associating with the “Employee” SSID could result in Employee A gaining access to a privileged set of servers not accessible to the Sales user group. This is because the rights are assigned by the SSID and not Employee A’s identity or authentication profile.

Também é mais fácil implementar, suportar, gerenciar e impor quando todos os funcionários se conectam com segurança a um SSID 802.1X que atribui acesso / privilégios com base em sua função. Não há tempo perdido em descobrir qual rede eles devem se conectar (ou até mesmo conectar-se a funções diferentes). Menos confusão para os usuários finais, já que todos eles se conectam ao mesmo SSID.

A segunda razão para reduzir o número de SSIDS é a eficiência espectral, ou em outras palavras, como o tráfego 802.11 é um meio compartilhado que você deseja aumentar a quantidade de tempo disponível para dados reais e reduzir a quantidade de tráfego não de dados como quadros de gerenciamento.

A regra geral é quanto mais SSIDs sua rede sem fio está transmitindo, menos eficiente ela será (ou seja, menor capacidade de tráfego de dados real). Cada SSID requer que o AP gere e envie um beacon a cada "período de tempo" (geralmente a cada 100 milissegundos). Esses beacons (e outros quadros de gerenciamento, como solicitações e respostas de sondagem) normalmente usam uma taxa de dados muito menor do que normalmente seriam usados para o tráfego de dados e, portanto, ocupam uma quantidade desproporcional de tempo de transmissão.

A maioria das referências citando estatísticas para vários SSIDs que conheço são documentação mais antiga. Os números podem não ser tão precisos devido a alterações no 802.11, mas os princípios ainda se aplicam. As taxas de dados aumentaram, mas também o tamanho do quadro de baliza típico. De qualquer forma, aqui estão as referências da Comunidade de Airheads de Arubu e Revolution Wi-Fi que fornece estatísticas que mostram o impacto de vários SSIDs.

    
por 04.10.2017 / 08:37
-1

A regra geral é "uma VLAN para cada SSID", porque senão você não precisa de VLANs diferentes ou não precisa de SSIDs diferentes. Os SSIDs tecnicamente são o equivalente lógico da VLAN no mundo sem fio.

    
por 04.10.2017 / 13:40