由于無線的便利性,越來越多的企業(yè)局域網(wǎng)采用無線辦公的方式。而因為無線網(wǎng)絡的特殊性,如果缺乏上網(wǎng)行為管理和流控手段,會導致無線緩慢、網(wǎng)絡不可用等情況。而且無線網(wǎng)絡更加容易產(chǎn)生廣播風暴。所以,在WiFi無線局域網(wǎng)中部署上網(wǎng)行為管理和流控是非常必要的。
本文中,我就將來介紹WiFi局域網(wǎng)的上網(wǎng)行為管理方案。
1. 常用的網(wǎng)絡拓撲
首先,由于無線路由器的穩(wěn)定性不高,所以主路由不推薦用無線設備。可以用一臺有線路由器做網(wǎng)關,后面串接上網(wǎng)行為管理設備。或者直接用上網(wǎng)行為管理做網(wǎng)關。
推薦采用瘦AP的組網(wǎng)方式。通過AC控制器統(tǒng)一管理。
2. 劃分不同的VLAN
考慮到內(nèi)網(wǎng)信息安全的需要,一般把來賓的WiFi放在不同的VLAN。
如果無線客戶端比較多,也需要劃分不同的VLAN來避免廣播風暴。一個網(wǎng)段的無線客戶端要控制在200以內(nèi)。
如圖:
3. 安全防范
無線的安全防范非常重要,你的無線密碼可以說是不堪一擊,只要有人安裝了萬能wifi鑰匙之類的軟件,你的無線就等于是公開的。所以,為了保障企業(yè)的信息安全和帶寬使用,還需要考慮到如下方案:
用戶認證,對無線用戶進行用戶認證(一般是web認證),記錄用戶名、手機號、微信openid等信息。一般對來賓開啟認證比較合適,可以有效的避免一些法律風險。
IP-mac綁定,只有綁定過的用戶才可以接入,杜絕未授權的訪問。尤其是企業(yè)內(nèi)網(wǎng)和辦公網(wǎng)絡,不應當允許未綁定的無線設備接入。
IP限速,對無線設備的網(wǎng)段進行整體限速,并對單個無線設備進行限速。這樣可以有效的提升網(wǎng)絡流暢度。
WSG的一些相關配置如下圖:
來賓和固定辦公人員采用不同的帶寬和上網(wǎng)行為管理策略。
在線視頻、p2p下載等高帶寬行為,建議在上班時段完全禁止掉。既可以提高工作效率,使員工專心工作,又可以節(jié)省帶寬資源。具體配置如下圖:
