无线网络由于安全性比较低,企事业单位的无线组网需要考虑如下因素:
有线网段和无线网段互相隔离。
办公无线和访客无线也需要互相隔离。
每个网段的无线终端建议控制在150以内,避免广播风暴。
员工内网要做接入认证或者设备绑定。
对访客进行实名认证(可选)
一般采用这样的网络结构图:
由于无线路由器的稳定性不高,所以主路由不推荐用无线设备。可以用一台有线路由器做网关,后面串接上网行为管理设备。也可以直接用上网行为管理或者防火墙做网关。
推荐采用瘦AP的组网方式。通过AC控制器统一管理。
1. 划分不同的VLAN
有线、办公无线、访客无线分别采用不同的VLAN。
配置防火墙策略,禁止访客无线访问内网。这样可以有效的保障企业内网的信息安全,避免来历不明的非法接入。
2. 绑定有线网段和办公无线的网络设备
对内网的访问设备要进行严格的限制,即使无线密码泄露,也可以避免不安全的设备接入到企业内网。
3. 对来宾的无线网段开启实名认证
来宾必须经过实名认证才可以上网,并且留存上网日志。
综上所述,这样的网络架构既满足内网安全的需要,又可以对来宾进行实名认证并提供上网记录审计和行为管理等功能。