Trådlös Nätverkssäkerhet: Isolering av användare med VLANs - Dummies

Virtuella lokala nätverk (VLAN) är ett underbart säkerhetsverktyg för trådlöst nätverk genom att möjliggöra separationsteknik. Du kan implementera VLAN på flera sätt när du arbetar med ditt trådlösa nätverk. VLAN: er tillåter dig att

• Separera olika typer av trafik baserat på SSID som de ansluter till.

• Ge isolering mellan säkrare och mindre säkra klienter när det behövs för att stödja kunder som inte stöder WLANs maximala säkerhetsinställningar. Ett mindre säkert SSID kan endast användas för de lägre säkerhetsklienterna. ACL kan sedan användas på routrarna och brandväggarna för att styra deras åtkomst.

• Ge gästerna tillgång till Internet från ditt kontor, samtidigt som de här klienterna får tillgång till interna resurser. Dessa kunder kan få tillgång till dem via ett separat gränssnitt på din brandvägg, en separat brandvägg eller en sekundär Internet-leverantörsanslutning (ISP) snarare än din huvudanslutning.

• Ge tillgång till hanteringsgränssnitt på nätverksenheter. Eftersom de flesta nätverksenheter tillåter hantering att utföras över en separat VLAN, håller den här trafiken borta från mindre säkrade VLAN.

  

Om du följer flödet från de trådlösa klienterna längst ner på bilden till Internetanslutningarna överst kan du se att

• Varje trådlös dator har en anslutning till ett annat SSID.

• Alla SSID-enheter är värd på samma LWAPP, men varje SSID är kopplat till en annan VLAN eftersom trafiken på VLAN kan överföras till regulatorn med en nätverksanslutning.

• Trafik skickas i separata VLAN till styrenheten. Kontrollenheten tar hand om funktioner, såsom dekryptering av WPA2-data och överföring av datarammerna till det trådbundna nätverket.

• Fortfarande på separata VLAN och med en enda nätverksanslutning, överförs trafiken till en växel där VLAN-trafik separeras i virtuella nätverk, var och en med sina egna servrar och nätverksresurser.

• Alla tre av dessa virtuella nätverk får sin externa åtkomst via en ASA-brandvägg, som kan dela trafiken från olika VLAN genom dubbla anslutningar till två Internet-leverantörer. Detta görs för lastbalansering för feltoleranta tjänster.