無(wú)線網(wǎng)絡(luò)由于安全性比較低,企事業(yè)單位的無(wú)線組網(wǎng)需要考慮如下因素:
有線網(wǎng)段和無(wú)線網(wǎng)段互相隔離。
辦公無(wú)線和訪客無(wú)線也需要互相隔離。
每個(gè)網(wǎng)段的無(wú)線終端建議控制在150以內(nèi),避免廣播風(fēng)暴。
員工內(nèi)網(wǎng)要做接入認(rèn)證或者設(shè)備綁定。
對(duì)訪客進(jìn)行實(shí)名認(rèn)證(可選)
一般采用這樣的網(wǎng)絡(luò)結(jié)構(gòu)圖:
由于無(wú)線路由器的穩(wěn)定性不高,所以主路由不推薦用無(wú)線設(shè)備。可以用一臺(tái)有線路由器做網(wǎng)關(guān),后面串接上網(wǎng)行為管理設(shè)備。也可以直接用上網(wǎng)行為管理或者防火墻做網(wǎng)關(guān)。
推薦采用瘦AP的組網(wǎng)方式。通過(guò)AC控制器統(tǒng)一管理。
1. 劃分不同的VLAN
有線、辦公無(wú)線、訪客無(wú)線分別采用不同的VLAN。
配置防火墻策略,禁止訪客無(wú)線訪問(wèn)內(nèi)網(wǎng)。這樣可以有效的保障企業(yè)內(nèi)網(wǎng)的信息安全,避免來(lái)歷不明的非法接入。
2. 綁定有線網(wǎng)段和辦公無(wú)線的網(wǎng)絡(luò)設(shè)備
對(duì)內(nèi)網(wǎng)的訪問(wèn)設(shè)備要進(jìn)行嚴(yán)格的限制,即使無(wú)線密碼泄露,也可以避免不安全的設(shè)備接入到企業(yè)內(nèi)網(wǎng)。
3. 對(duì)來(lái)賓的無(wú)線網(wǎng)段開啟實(shí)名認(rèn)證
來(lái)賓必須經(jīng)過(guò)實(shí)名認(rèn)證才可以上網(wǎng),并且留存上網(wǎng)日志。
綜上所述,這樣的網(wǎng)絡(luò)架構(gòu)既滿足內(nèi)網(wǎng)安全的需要,又可以對(duì)來(lái)賓進(jìn)行實(shí)名認(rèn)證并提供上網(wǎng)記錄審計(jì)和行為管理等功能。
