我有一个关于最佳实践的问题。 我有一个情况,我需要无线networking中的多个VLAN。 什么是更高性能?
有多个SSID,每个都有一个VLAN(这也意味着它们将在该AP上的同一个chanel上。根据radius MAC auth规则,为所有的对等VLAN分配一个SSID
我也在想如果有一种方法来encryption开放通信…
谢谢
理想情况下,您只需要为每个您希望使用的802.11安全方法(802.1X,PSK和/或Open)使用一个SSID。 要容纳多个VLAN,您通常会从RADIUS服务器返回一个VLAN分配或使用供应商的专有解决scheme。 您想要考虑的SSID的绝对最大数量不应超过4-6,但最好使用2-3。
思科的最佳实践文档推荐1-3个SSID:
build议企业使用一到三个SSID,高密度devise使用一个SSID。
阿鲁巴的最佳做法在2:
使用尽可能less的SSID。 通常,一个WPA2企业SSID和一个开放SSID是绰绰有余的。
为什么这些数字? 主要有两个原因。 首先,大多数无线行业专家/供应商会同意,使用单独的SSID(具有相同的802.11安全性)仅仅提供不同级别的访问权限/优先权就是糟糕的devise和安全性。
理想情况下,您希望根据组织中用户和/或设备的angular色来实施任何types的访问限制或安全策略。 阿鲁巴可能在本文件中给出了最好的官方声明之一:
SSID用于用户分类和访问权限pipe制。 因此,用户不是通过他们的身份,而是通过他们的SSID关联来分配访问权限,这可以给恶意欺骗者特权访问networking。 解决scheme要求销售部门中的员工A将“销售”SSID与正确的networking访问权限相关联。 与“员工”SSID关联可能导致员工A获得对Sales用户组无法访问的特权服务器组的访问权限。 这是因为权限是由SSID分配的,而不是由员工A的身份或authenticationconfiguration文件分配的。
当所有员工安全地连接到一个802.1X SSID时,实施,支持,pipe理和执行也更容易,该SSID根据angular色分配访问权限。 找出他们应该连接到哪个networking(甚至连接到不同的function)没有浪费时间。 因为它们都连接到相同的SSID,所以最终用户也不会感到困惑。
降低SSIDS数量的第二个原因是频谱效率,换句话说,因为802.11stream量是一种共享介质,您希望增加实际数据可用的“通话时间”的数量,并减less非数据stream量的数量,如pipe理帧。
一般的经验法则是无线networking广播的SSID越多,效率越低(即实际数据stream量的容量越小)。 每个SSID要求AP在每个“时间段”(通常大约每100毫秒)产生并发送一个信标。 这些信标(以及诸如探测请求和响应之类的其他pipe理帧)通常将使用比通常用于数据业务的数据速率低得多的数据速率,并因此占用不成比例的广播时间量。
引用统计我所知道的多个SSID的大多数引用是较旧的文档。 由于802.11的变化,这些数字可能并不准确,但这些原则仍然适用。 数据速率已经提高,但典型的信标帧的大小也是如此。 无论如何,这里是Arubu的Airheads Community和Revolution Wi-Fi 的参考资料 ,提供统计数据显示多个SSID的影响。
一般的规则是“每个SSID一个VLAN”,否则你不需要不同的VLAN或者不需要不同的SSID。 SSID在技术上是无线世界中的逻辑VLAN等价物。