Trådløs nettverkssikkerhet: Isolere brukere med VLANs - dummies

Virtuelle lokalnettverk (VLAN) er et fantastisk trådløst nettverkssikkerhetsverktøy ved å muliggjøre separasjonsteknologi. Du kan implementere VLAN på flere måter når du arbeider med ditt trådløse LAN. VLANer lar deg

• Separere ulike typer trafikk basert på SSID som de kobler til.

• Gi isolasjon mellom sikrere og mindre sikre klienter når det kreves for å støtte kunder som ikke støtter de maksimale sikkerhetsinnstillingene til WLAN. En mindre sikker SSID kan bare brukes til de lavere sikkerhetsklientene; ACLer kan da brukes på rutere og brannmurer for å kontrollere tilgangen deres.

• Gi gjestene Internett-tilgang ut av kontoret din, samtidig som disse klientene får tilgang til interne ressurser. Disse klientene kan få tilgang gjennom et eget grensesnitt på brannmuren, en egen brannmur eller en sekundær Internett-leverandør (ISP) -forbindelse i stedet for din hovedforbindelse.

• Gi tilgang til administrasjonsgrensesnittene på nettverksenheter. Fordi de fleste nettverksenheter tillater at ledelsen skal gjennomføres over en egen VLAN, og dermed holde denne trafikken borte fra mindre sikrede VLAN.

  

Hvis du følger strømmen fra de trådløse klientene nederst på illustrasjonen til Internett-tilkoblingene øverst, kan du se at

• Hver trådløse datamaskin har en tilkobling til en annen SSID.

• Alle SSIDer er vert på samme LWAPP, men hver SSID er knyttet til en annen VLAN fordi trafikken på VLANer kan sendes til kontrolleren ved hjelp av en nettverkstilkobling.

• Trafikk er sendt i separate VLAN til kontrolleren. Kontrolleren tar seg av funksjoner, for eksempel dekryptering av WPA2-data og passering av datarammer på det kablede nettverket.

• Fortsatt på separate VLANer og ved hjelp av en enkelt nettverkstilkobling, blir trafikken overført til en bryter der VLAN-trafikken er delt inn i virtuelle nettverk, hver med sine egne servere og nettverksressurser.

• Alle tre av disse virtuelle nettverkene får tilgang til utendørs gjennom en brannmur fra ASA, som kan dele trafikken fra forskjellige VLANer via to forbindelser til to Internett-leverandører. Dette er gjort for lastbalansering for feiltolerante tjenester.