企业中WIFI连接分析

企业Wi-Fi上网过程

WIFI是很多企业为员工提供网络的方式，本文介绍WIFI上网、访问资源的流程。

---

一、企业Wi-Fi的核心架构

企业Wi-Fi通常采用集中式管控架构，主要包含以下组件：

组件	作用
无线接入点（AP）	提供无线信号覆盖，负责终端设备的连接管理
无线控制器（AC）	集中管理所有AP，执行认证、加密、负载均衡等策略
认证服务器	处理身份认证（如RADIUS服务器）
DHCP服务器	为终端分配IP地址（可能按VLAN分配不同地址池）
核心交换机/防火墙	提供内网互联和互联网出口，实施安全策略（如ACL、流量过滤）

---

二、企业Wi-Fi连接内网/上网的全流程

阶段1：终端连接Wi-Fi SSID

1. 终端扫描SSID

   • 员工设备（如笔记本电脑）搜索并选择企业Wi-Fi的SSID（如Corp-WiFi）。
   • 企业通常部署多个SSID以实现网络隔离（例如：
     • Corp-WiFi（员工内网接入）
     • Guest-WiFi（访客仅能上网）
     • IoT-WiFi（智能设备专用））。

2. 关联AP并建立链路

   • 终端与最近的AP建立802.11无线链路（如Wi-Fi 6协议）。
   • AP将连接请求通过CAPWAP隧道转发给AC（无线控制器）。

---

阶段2：身份认证与安全控制

企业Wi-Fi通常采用强认证机制，确保只有授权设备/用户能接入：

（1）认证方式

认证类型	技术实现	适用场景
802.1X/EAP	终端需提供证书或AD账号密码（如EAP-TLS、EAP-PEAP）	员工设备，高安全性要求
Web认证	连接后跳转认证页面（输入账号密码或短信验证码）	访客网络
MAC认证	基于设备MAC地址白名单（无需用户交互）	打印机、IoT设备等

（2）802.1X认证流程

1. AP要求终端提供身份凭证（触发EAPOL协议）。
2. 终端发送凭证（如AD账号密码）→ AP通过RADIUS协议转发给认证服务器。
3. 认证服务器检查：
   • 合法性（账号是否有效？是否在允许时间段接入？）
   • 合规性（设备是否安装杀毒软件？系统是否打补丁？）
4. 认证通过后，RADIUS服务器返回授权信息（如VLAN ID、ACL规则）。

---

阶段3：IP地址分配与网络接入

1. DHCP获取IP地址

   • 认证通过后，终端在指定VLAN中发起DHCP请求。
   • DHCP服务器根据VLAN分配IP（如：
     • 员工VLAN：10.1.10.0/24
     • 访客VLAN：192.168.100.0/24）。

2. VLAN隔离与策略执行

   • 员工VLAN：可访问内网资源（文件服务器、ERP系统等）。
   • 访客VLAN：仅允许访问互联网，且流量经过防火墙过滤（如屏蔽高风险网站）。
   • IoT VLAN：仅能访问特定服务器（如NAS），禁止横向通信。

---

阶段4：访问内网或互联网

（1）访问内网资源

• 终端访问内网IP（如10.1.1.100）时，流量走向：
  终端 → AP → AC → 核心交换机 → 内网服务器
• 安全控制：
  • 核心交换机/防火墙检查ACL规则（如仅允许研发VLAN访问代码服务器）。

（2）访问互联网

• 终端访问公网（如www.baidu.com）时，流量走向：
  终端 → AP → AC → 核心交换机 → 防火墙/NAT → 互联网
• 安全控制：
  • 防火墙实施URL过滤、应用识别（如禁止视频流媒体）。
  • 访客流量可能限速（如10 Mbps）。

---

三、关键技术原理

1. 无线加密与安全

• WPA3-Enterprise：强制使用AES-256加密，防止中间人攻击。
• 动态密钥管理：每个会话生成唯一加密密钥（PMK/MSK）。

2. VLAN与流量隔离

• SSID-to-VLAN映射：不同SSID绑定不同VLAN（如Corp-WiFi→VLAN 10）。
• ACL（访问控制列表）：限制VLAN间通信（如禁止访客VLAN访问内网）。

3. 负载均衡与高可用

• AP负载均衡：AC引导终端连接信号最优的AP。
• 双AC热备：主AC故障时，备用AC自动接管。

---

四、企业Wi-Fi vs. 家庭Wi-Fi的核心差异

特性	企业Wi-Fi	家庭Wi-Fi
认证方式	802.1X、Web认证、MAC白名单	预共享密钥（PSK/WPA2-Personal）
设备管理	集中管控（AC+认证服务器）	无集中管理
网络隔离	多VLAN，严格ACL	单一网络，无隔离
安全策略	终端合规检查、流量审计	仅基础加密
漫游支持	快速漫游（802.11k/v/r）	手动切换AP

---