Trådløs netværkssikkerhed: Isolering af brugere med VLANs - dummies

Virtuelle lokalnetværk (VLAN) er et vidunderligt trådløst netværk sikkerhedsværktøj ved at muliggøre dets separationsteknologi. Du kan implementere VLAN'er på flere måder, når du arbejder med dit trådløse LAN. VLAN'er giver dig mulighed for at

• Separere forskellige typer trafik baseret på SSID'et, som de forbinder.

• Sørg for isolation mellem mere sikre og mindre sikre klienter, når det kræves for at understøtte klienter, der ikke understøtter WLANs maksimale sikkerhedsindstillinger. En mindre sikker SSID kan kun bruges til de lavere sikkerhedsklienter; ACL'er kan derefter bruges på routere og firewalls for at styre deres adgang.

• Giv gæstadgang til internettet ud af dit kontor, samtidig med at disse klienter kan få adgang til interne ressourcer. Disse kunder kan få adgang via en separat grænseflade på din firewall, en separat firewall eller en sekundær internetudbyder (ISP) -forbindelse i stedet for din hovedforbindelse.

• Giv adgang til administrationsgrænsefladerne på netværksenheder. Fordi de fleste netværksenheder gør det muligt for ledelsen at blive gennemført over et separat VLAN, og dermed holde denne trafik væk fra mindre sikrede VLAN'er.

  

Hvis du følger strømmen fra de trådløse klienter nederst på illustrationen til internetforbindelserne øverst, kan du se, at

• Hver trådløse computer har forbindelse til en anden SSID.

• Alle SSID'er er hostet på samme LWAPP, men hver SSID er forbundet med en anden VLAN, fordi trafikken på VLAN'er kan overføres til controlleren ved hjælp af en netværksforbindelse.

• Trafik sendes i separate VLAN'er til controlleren. Controlleren tager sig af funktioner, såsom dekryptering af WPA2-data og overførsel af datarammerne til det kablede netværk.

• På adskilte VLAN'er og ved hjælp af en enkelt netværksforbindelse overføres trafikken til en switch, hvor VLAN-trafik adskilles i virtuelle netværk, hver med deres egne servere og netværksressourcer.

• Alle tre virtuelle netværk får deres adgang udenfor via en ASA firewall, der kan opdele trafikken fra forskellige VLAN'er via to forbindelser til to internetudbydere. Dette er gjort for belastningsbalancering for fejltolerante tjenester.