公司无线网络方案

公司的无线网络分为两种，一种是for visitor，给访客来我们公司时使用，用的是ADSL的10M线路，广播SSID，采用WPA2-PSK较强的加密方式，AP开通DHCP，网络与内网分离。AP间是peer-to-peer的关系，这是一种比较简单也是比较常见的方式，在移动过程中会自动切换，实现漫游，图：

这种方式内部员工要使用的话，也可以，就是必须连接VPN，公司的VPN的连接使用RSA Token验证，所以是比较安全的。

另一种是for staff的，采用ARUBA的无线解决方案，由无线控制器统一管理，给内部员工提供便捷的无线移动工作方式。这是一整套独立的设备，有AP跟AM，（AP take data,  AM do monitor, it can monitor rogue AP and disable as needed）,DHCP服务建于windows server 2008，集成域验证，设立独立的VLAN，图：

在设计无线网络的过程中，需要考虑的一些因素：

• 是否要支持无线漫游？ 我想这个基本上都是要的，方便工作嘛
• 如何对用户进行身份验证？ 一种是通过AP自带的加密功能，更安全的做法是用验证服务器
• 是否要为访客提供开放的访问点？ 公开SSID
• 要想无线用户提供哪些网络服务和应用程序？
• 可使用哪种加密技术？ 随着现在蹭网的越来越多，这是个需要加强的问题
• 要覆盖多大的区域？
• 支持的用户数？
• 确立最佳的AP放置位置？

 

有关无线访问的其他最佳实践：

• 不广播SSID，虽然这只是雕虫小技
• 使用强加密，如WPA2-PSK，可到这个网站得到复杂的密码：https://www.grc.com/passwords.htm
• 对用户进行身份验证
• 使用VPN隧道传输敏感数据
• 部署防火墙和入侵防范系统
• 只有少数设备允许访问无线网络的时候，可以采取MAC地址过滤的方式

 

安全的最佳实践：

• 修改默认的SSID，除非必要，否则不广播SSID
• 使用强加密
• 使用预共享密钥或可扩展的身份验证方式（EAP）让客户端和网络相互验证身份
• 结合使用VPN或WPA和MAC地址控制列表来保护企业专用设备
• 使用VLAN来限制对网络资源的访问
• 确保管理端口的安全
• 部署轻量级接入点？，因为他们不在本地存储安全信息
• 在物理上隐藏或保护接入点
• 监控外部建筑和站点的可疑活动

 

参考资料：《思科网络技术学院教程－计算机网络设计和支持》