web-dev-qa-db-ja.com

複数のVLAN-複数のSSIDまたは単一のSSIDと複数のVLAN(半径)

ベストプラクティスについて質問があります。ワイヤレスネットワークで複数のVLANが必要な場合があります。よりパフォーマンスの高いものは何ですか?

複数のSSIDがあり、それぞれにVLANがあります(これは、それらがそのAPの同じチャネル上にあることも意味します。半径MAC認証ルールに基づいてすべての署名VLANに対して1つのSSIDを持つことも意味します。

オープンコミュニケーションを暗号化する方法があるかどうかも考えています...

ありがとうございました

3
George Farcas

理想的には、採用する802.11セキュリティ方式(802.1X、PSK、および/またはOpen)ごとに1つのSSIDのみが必要です。複数のVLANに対応するには、通常、VLAN割り当てをRADIUSサーバーから返すか、ベンダー独自のソリューションを利用します。必要なSSIDの絶対最大数4〜6を超えないようにすることを検討してください。ただし、最大で2〜3を使用することをお勧めします。

シスコのベストプラクティスドキュメント 1〜3のSSIDを推奨:

企業には1〜3つのSSIDを、高密度設計には1つのSSIDを用意することをお勧めします。

Arubaのベストプラクティス 2でさらに低い目標を設定します:

できるだけ少ないSSIDを使用してください。通常、1つのWPA2エンタープライズSSIDと1つのオープンSSIDで十分です。

なぜこれらの数字?主な理由は2つあります。まず、ほとんどのワイヤレス業界の専門家/ベンダーは、異なるレベルのアクセス/特権を提供するために別々のSSID(同じ802.11セキュリティ)を使用することは、設計とセキュリティが不十分であることに同意します。

理想的には、組織内のユーザーやデバイスの役割に基づいて、あらゆる種類のアクセス制限またはセキュリティポリシーを適用する必要があります。アルバはおそらくこの効果について最高の公式声明の1つを この文書 :で示しています。

[...] SSIDは、ユーザーの分類とアクセス権のポリシングに使用されます。したがって、ユーザーには、IDではなく、悪意のあるスプーフィングにネットワークへの特権アクセスを与える可能性のあるSSIDアソシエーションによってアクセス権が割り当てられます。このソリューションでは、営業部門の従業員Aが、適切なネットワークアクセス権限のために「営業」SSIDに関連付ける必要があります。 「従業員」SSIDに関連付けると、従業員Aは、Salesユーザーグループがアクセスできない特権サーバーセットにアクセスできるようになる可能性があります。これは、権限が従業員AのIDまたは認証プロファイルではなくSSIDによって割り当てられるためです。

また、すべての従業員が役割に基づいてアクセス/特権を割り当てる1つの802.1X SSIDに安全に接続すると、実装、サポート、管理、および実施が容易になります。どのネットワークに接続する必要があるか(またはさまざまな機能のために接続する必要があるか)を判断するのに時間を無駄にすることはありません。すべて同じSSIDに接続するため、エンドユーザーの混乱も少なくなります。

SSIDSの数を減らす2つ目の理由は、スペクトル効率です。つまり、802.11トラフィックは共有メディアであるため、実際のデータで利用できる「通信時間」の量を増やし、管理などの非データトラフィックの量を減らしたいと考えています。フレーム。

一般的な経験則では、ワイヤレスネットワークがブロードキャストしているSSIDが多いほど、効率が低下します(つまり、実際のデータトラフィックの容量が少なくなります)。各SSIDでは、APが「一定期間」(通常は約100ミリ秒ごと)にビーコンを生成して送信する必要があります。これらのビーコン(およびプローブ要求や応答などの他の管理フレーム)は、通常、データトラフィックに通常使用されるよりもはるかに低いデータレートを使用するため、不均衡な通信時間を消費します。

私が知っている複数のSSIDの統計を引用している参考文献のほとんどは、古いドキュメントです。 802.11の変更により、数値は正確ではない場合がありますが、原則は引き続き適用されます。データレートは増加していますが、一般的なビーコンフレームのサイズも増加しています。とにかく、ここに ArubuのAirheads CommunityRevolution Wi-Fi からの参照があり、複数のSSIDの影響を示す統計を提供します。

1
YLearn