WiFi 网络分段: VLANs, SSIDs 和访客流量

欢迎收听 Purple 技术简报系列。今天我们要讨论的是企业无线网络设计中最重要的，也最常被误解的决策之一：WiFi 网络分段。 如果您正在管理一家酒店、一个零售园区、一个会议中心、一个体育场，或者任何同时运行面向宾客和运营 WiFi 的场所，这一集与您直接相关。我们将讨论为什么分段在 2024 年是不可妥协的，VLANs 和多个 SSIDs 如何协同工作以实现分段，以及一个设计良好的部署在实践中实际上是什么样子的。 这不是理论讲座。在本简报结束时，您将拥有一个清晰的框架来评估您当前的网络，找出差距，并对下一步行动做出自信的决定。 让我们开始吧。 那么，WiFi 网络分段到底是什么？在本质上，它是将单个物理无线基础设施划分为多个逻辑隔离网络的做法。每个分段承载不同的流量，服务于不同的用户或设备，并受到不同的安全策略的约束，所有这些都在相同的物理接入点和布线上运行。 使这成为可能的两个技术是 VLANs，虚拟局域网，和 SSIDs，服务集标识符。让我们逐一讨论。 VLAN 是在 IEEE 802.1Q 标准中定义的 Layer 2 结构。它允许一个物理交换机或接入点承载多个逻辑分离的广播域。就像有多条独立的道路穿过同一条隧道。车辆，您的数据包，在进入网络时被标记上一个 VLAN ID，该标签决定了它们行驶的道路和可以使用的出口。VLAN IDs 范围从 1 到 4094，在一个设计良好的企业部署中，每个流量类别都有自己的 ID。 SSID 只是无线设备看到并连接到的网络名称。当您在接入点上配置多个 SSIDs 时，每一个都映射到一个相应的 VLAN。所以您的访客网络，我们称之为 VenueGuest，映射到 VLAN 10。您的员工网络映射到 VLAN 20。您的 IoT 和楼宇管理设备映射到 VLAN 30。而您的销售点或支付终端位于 VLAN 40，该 VLAN 承载着最严格的访问控制以满足 PCI DSS 要求。 现在，为什么从安全角度来看这如此重要？答案是横向移动。在一个扁平、未分段的网络中，每个设备共享相同的广播域，一个受入侵的设备可以直接与网络上的每个其他设备通信。一个感染了恶意软件的访客智能手机，理论上可以探测您的 POS 终端、员工笔记本电脑、CCTV 系统。这不是理论风险。这是有据可查的攻击向量。网络分段通过确保来自一个分段的流量只能通过执行明确策略的防火墙或路由器才能到达另一个分段，从而消除了这种攻击面。 从合规性的角度来看，分段通常是强制性的，而不是可选的。PCI DSS，支付卡行业数据安全标准，要求将持卡人数据环境与所有其他网络流量隔离。GDPR 施加的关于数据最小化和访问控制的义务，当您的网络架构通过设计强制执行分离时，更容易满足。在医疗保健环境中，根据 NHS Digital 指南，临床设备网络必须与通用 WiFi 隔离。 让我们更详细地讨论一下架构。在一个典型的企业部署中，您将有一个核心交换机连接到您的互联网上行链路和防火墙。该交换机将多个 VLANs 作为标记流量，即所谓的 Trunk 端口，传输到您的无线 LAN 控制器或云管理的接入点。每个接入点同时广播多个 SSIDs。来自 Cisco Meraki、Aruba、Ruckus 和 Ubiquiti 等供应商的现代企业接入点每个射频可以处理 8 到 16 个 SSIDs，尽管最佳实践是保持在 4 个或以下，以最小化管理开销和射频污染。 无线 LAN 控制器处理 SSIDs 和 VLANs 之间的映射，并在每个 SSID 内强制执行客户端隔离。客户端隔离是一个关键设置：它阻止同一 SSID 上的设备直接相互通信，这在您不希望一个宾客的设备与另一个设备通信的访客网络上至关重要。 认证是另一个关键维度。对于您的访客网络，您通常会使用带有 Captive Portal 的开放式 SSID，这是一个基于 Web 的认证页面，访客可以通过社交媒体、电子邮件或代金券代码登录。这就是像 Purple 的 Guest WiFi 解决方案这样的平台增加重要价值的地方：它处理 Captive Portal、数据捕获、GDPR 下的同意管理以及下游的营销分析，所有这些都与您的 VLAN 架构集成。 对于您的公司员工网络，您应该运行 WPA3-Enterprise，它使用 IEEE 802.1X 认证，对照 RADIUS 服务器进行验证，通常集成了您的 Active Directory 或 Azure AD。这意味着每个员工都使用他们的公司凭据进行认证，并且网络可以根据角色或部门应用每用户策略。 对于 IoT 设备，挑战有所不同。大多数 IoT 设备不支持 802.1X，因此您将使用 WPA2-PSK 或 WPA3-SAE 与强口令轮换，并结合严格的防火墙规则来限制这些设备可以访问的内容。许多组织还在 IoT VLAN 上部署 MAC 地址过滤作为额外控制，但应将其视为辅助措施，而不是主要的安全控制。 另一个值得注意的架构考虑是带宽管理。在您的访客 VLAN 上，您应该实施每客户端速率限制，通常在下行 5 到 20 兆比特每秒之间，具体取决于您的总上行链路容量和预期的并发用户数。这可以防止任何单个宾客占用您的上行链路，从而降低其他所有人的体验。 现在让我给您实际实施的框架。我将其分为五个阶段。 阶段一：流量分类。在您接触任何交换机端口之前，记录环境中的每种设备类型和流量类别。访客设备、员工设备、IoT、支付终端、楼宇管理系统、CCTV。每个都需要一个归属。 阶段二：VLAN 设计。为每个流量类别分配一个 VLAN ID 和 IP 子网。将您的访客 VLAN 保持在一个完全独立的子网上，没有到您内部地址空间的路由。您的防火墙应该在访客 VLAN 和所有内部网络之间有一个明确的拒绝所有规则，只允许出站互联网访问。 阶段三：SSID 映射。在您的无线控制器上配置您的 SSIDs，将每个映射到其 VLAN，在访客 SSID 上启用客户端隔离，并为每个分段设置认证方法。 阶段四：防火墙策略。这是大多数部署的不足之处。VLAN 架构的强度取决于您防火墙上的 VLAN 间路由规则。明确记录每个允许的流量。默认拒绝其他所有流量。 阶段五：监控和验证。部署一个网络监控工具，验证您的分段是否实际生效。运行定期的渗透测试，或者至少使用扫描工具从访客设备确认您无法访问内部子网。 现在，谈谈陷阱。我看到的最常见的是 Trunk 端口配置错误。如果一个承载多个 VLANs 的交换机端口被意外配置为接入端口，所有流量都会合并到一个 VLAN 上，您的分段就无声地消失了。在任何变更后都要审计您的交换机配置。 第二个陷阱是 SSID 泛滥。您广播的每个额外的 SSID，即使没有客户端连接，也会占用信标帧的通话时间。在一个拥有数百个接入点的密集型场所，每个 AP 广播 8 个 SSIDs 会显著降低吞吐量。保持精简。 第三个陷阱是忘记了有线网络。如果您的有线基础设施没有同等程度的分段，WiFi 分段就毫无意义。一个在会议室中插入以太网端口的宾客，如果发现自己在您的公司网络上，就已经绕过了您的整个无线安全架构。 让我快速回答一些我经常从客户那里听到的问题。 我们应该广播多少个 SSIDs？每个无线频段不超过 4 个。3 个是理想的：访客、公司、IoT。 我们需要为宾客单独配备物理接入点吗？不需要。现代企业 AP 能够在同一硬件上处理多个 SSIDs 和 VLANs。物理分离是不必要的且昂贵的。 Purple 的平台能否与现有的无线基础设施协同工作？可以。Purple 通过标准的 RADIUS 和 VLAN 标记与所有主流企业无线供应商集成。您无需更换您的 APs。 对于访客网络，WPA3 是强制性的吗？目前还不是强制性的，但强烈推荐。WPA3 的 Simultaneous Authentication of Equals 协议消除了 WPA2-PSK 中存在的字典攻击漏洞。在您的客户端设备组合支持的情况下，部署它。 对于一个较小的场所，最小可行的分段是什么？至少：一个访客 VLAN，一个员工 VLAN，一个 IoT VLAN。那就是 3 个 VLANs，3 个 SSIDs，以及一个带有 VLAN 间规则的防火墙。这是您的基线。 总结一下：使用 VLANs 和多个 SSIDs 的 WiFi 网络分段是任何企业或场所无线部署的基础安全和合规架构。如果您正在处理访客流量、支付数据或临床设备，这不是可选的。这是可防御网络与潜在负担之间的区别。 关键要点如下。第一：在设计任何东西之前，将每种设备类型映射到一个专用的 VLAN。第二：您的防火墙 VLAN 间规则与 VLAN 架构本身一样重要。默认拒绝，明确允许。第三：保持 SSID 数量少，在访客网络上启用客户端隔离，并实施每客户端速率限制。第四：定期验证您的分段。不要因为您配置过一次就假设它在工作。 如果您希望在分段架构的基础上添加一个托管的访客 WiFi 层，包括符合 GDPR 的数据捕获、Captive Portal 认证和营销分析，Purple 的平台可以直接嵌入这个架构。您可以在 purple dot ai 上了解更多信息。 感谢收听。下次再见。