公司无线网络方案

公司的无线网络分为两种,一种是for visitor,给访客来我们公司时使用,用的是ADSL的10M线路,广播SSID,采用WPA2-PSK较强的加密方式,AP开通DHCP,网络与内网分离。AP间是peer-to-peer的关系,这是一种比较简单也是比较常见的方式,在移动过程中会自动切换,实现漫游,图:

公司无线网络方案_第1张图片


这种方式内部员工要使用的话,也可以,就是必须连接VPN,公司的VPN的连接使用RSA Token验证,所以是比较安全的。


另一种是for staff的,采用ARUBA的无线解决方案,由无线控制器统一管理,给内部员工提供便捷的无线移动工作方式。这是一整套独立的设备,有AP跟AM,(AP take data,  AM do monitor, it can monitor rogue AP and disable as needed),DHCP服务建于windows server 2008,集成域验证,设立独立的VLAN,图:

在设计无线网络的过程中,需要考虑的一些因素:

  • 是否要支持无线漫游? 我想这个基本上都是要的,方便工作嘛
  • 如何对用户进行身份验证? 一种是通过AP自带的加密功能,更安全的做法是用验证服务器
  • 是否要为访客提供开放的访问点? 公开SSID
  • 要想无线用户提供哪些网络服务和应用程序?
  • 可使用哪种加密技术? 随着现在蹭网的越来越多,这是个需要加强的问题
  • 要覆盖多大的区域?
  • 支持的用户数?
  • 确立最佳的AP放置位置?

 

有关无线访问的其他最佳实践:

  • 不广播SSID,虽然这只是雕虫小技
  • 使用强加密,如WPA2-PSK,可到这个网站得到复杂的密码:https://www.grc.com/passwords.htm
  • 对用户进行身份验证
  • 使用VPN隧道传输敏感数据
  • 部署防火墙和入侵防范系统
  • 只有少数设备允许访问无线网络的时候,可以采取MAC地址过滤的方式

 

安全的最佳实践:

  • 修改默认的SSID,除非必要,否则不广播SSID
  • 使用强加密
  • 使用预共享密钥或可扩展的身份验证方式(EAP)让客户端和网络相互验证身份
  • 结合使用VPN或WPA和MAC地址控制列表来保护企业专用设备
  • 使用VLAN来限制对网络资源的访问
  • 确保管理端口的安全
  • 部署轻量级接入点?,因为他们不在本地存储安全信息
  • 在物理上隐藏或保护接入点
  • 监控外部建筑和站点的可疑活动

 

参考资料:《思科网络技术学院教程-计算机网络设计和支持》

你可能感兴趣的:(职场,方案,休闲,无线网络)