複数のVLAN-複数のSSIDまたは単一のSSIDと複数のVLAN（半径）

理想的には、採用する802.11セキュリティ方式（802.1X、PSK、および/またはOpen）ごとに1つのSSIDのみが必要です。複数のVLANに対応するには、通常、VLAN割り当てをRADIUSサーバーから返すか、ベンダー独自のソリューションを利用します。必要なSSIDの絶対最大数4〜6を超えないようにすることを検討してください。ただし、最大で2〜3を使用することをお勧めします。

シスコのベストプラクティスドキュメント 1〜3のSSIDを推奨：

企業には1〜3つのSSIDを、高密度設計には1つのSSIDを用意することをお勧めします。

Arubaのベストプラクティス 2でさらに低い目標を設定します：

できるだけ少ないSSIDを使用してください。通常、1つのWPA2エンタープライズSSIDと1つのオープンSSIDで十分です。

なぜこれらの数字？主な理由は2つあります。まず、ほとんどのワイヤレス業界の専門家/ベンダーは、異なるレベルのアクセス/特権を提供するために別々のSSID（同じ802.11セキュリティ）を使用することは、設計とセキュリティが不十分であることに同意します。

理想的には、組織内のユーザーやデバイスの役割に基づいて、あらゆる種類のアクセス制限またはセキュリティポリシーを適用する必要があります。アルバはおそらくこの効果について最高の公式声明の1つを この文書 ：で示しています。

[...] SSIDは、ユーザーの分類とアクセス権のポリシングに使用されます。したがって、ユーザーには、IDではなく、悪意のあるスプーフィングにネットワークへの特権アクセスを与える可能性のあるSSIDアソシエーションによってアクセス権が割り当てられます。このソリューションでは、営業部門の従業員Aが、適切なネットワークアクセス権限のために「営業」SSIDに関連付ける必要があります。 「従業員」SSIDに関連付けると、従業員Aは、Salesユーザーグループがアクセスできない特権サーバーセットにアクセスできるようになる可能性があります。これは、権限が従業員AのIDまたは認証プロファイルではなくSSIDによって割り当てられるためです。

また、すべての従業員が役割に基づいてアクセス/特権を割り当てる1つの802.1X SSIDに安全に接続すると、実装、サポート、管理、および実施が容易になります。どのネットワークに接続する必要があるか（またはさまざまな機能のために接続する必要があるか）を判断するのに時間を無駄にすることはありません。すべて同じSSIDに接続するため、エンドユーザーの混乱も少なくなります。

SSIDSの数を減らす2つ目の理由は、スペクトル効率です。つまり、802.11トラフィックは共有メディアであるため、実際のデータで利用できる「通信時間」の量を増やし、管理などの非データトラフィックの量を減らしたいと考えています。フレーム。

一般的な経験則では、ワイヤレスネットワークがブロードキャストしているSSIDが多いほど、効率が低下します（つまり、実際のデータトラフィックの容量が少なくなります）。各SSIDでは、APが「一定期間」（通常は約100ミリ秒ごと）にビーコンを生成して送信する必要があります。これらのビーコン（およびプローブ要求や応答などの他の管理フレーム）は、通常、データトラフィックに通常使用されるよりもはるかに低いデータレートを使用するため、不均衡な通信時間を消費します。

私が知っている複数のSSIDの統計を引用している参考文献のほとんどは、古いドキュメントです。 802.11の変更により、数値は正確ではない場合がありますが、原則は引き続き適用されます。データレートは増加していますが、一般的なビーコンフレームのサイズも増加しています。とにかく、ここに ArubuのAirheads Community と Revolution Wi-Fi からの参照があり、複数のSSIDの影響を示す統計を提供します。