无线网络由于安全性比较低,企事业单位的无线组网需要考虑如下因素:

  1. 有线网段和无线网段互相隔离。

  2. 办公无线和访客无线也需要互相隔离。

  3. 每个网段的无线终端建议控制在150以内,避免广播风暴。

  4. 员工内网要做接入认证或者设备绑定。

  5. 对访客进行实名认证(可选)

一般采用这样的网络结构图:

201909051567653926138121.png

  1. 由于无线路由器的稳定性不高,所以主路由不推荐用无线设备。可以用一台有线路由器做网关,后面串接上网行为管理设备。也可以直接用上网行为管理或者防火墙做网关。

  2. 推荐采用瘦AP的组网方式。通过AC控制器统一管理。

1. 划分不同的VLAN

有线、办公无线、访客无线分别采用不同的VLAN。

201909051567654288886535.png

配置防火墙策略,禁止访客无线访问内网。这样可以有效的保障企业内网的信息安全,避免来历不明的非法接入。

201909051567654353149981.png

2. 绑定有线网段和办公无线的网络设备

201808201534737310140023.png

201806261529991933795659.png

对内网的访问设备要进行严格的限制,即使无线密码泄露,也可以避免不安全的设备接入到企业内网。

3. 对来宾的无线网段开启实名认证

来宾必须经过实名认证才可以上网,并且留存上网日志。

201812271545897246463395.png

201812271545897483313621.png


综上所述,这样的网络架构既满足内网安全的需要,又可以对来宾进行实名认证并提供上网记录审计和行为管理等功能。