VPN+WLAN+VLAN的安全方案

　　如前所述，为了加强网络访问控制、防范网络入侵，应将网络布置在核心网络防护外壳的外面如防火墙的外面，接入访问核心网络可以采用VPN方式，这种VPN+WLAN+VLAN组网的方式可以简化如图1所示。方案中采用的设备支持802.1Q标准VLAN和IGMP组播协议，能提供视频、网络游戏、在线会议等丰富应用，而通过划分VLAN MAC地址绑定来划分不同类型用户，很好地满足无线网吧的各项业务应用需求。

　　同时根据顾客的不同消费需求，可以把网吧分为了网络游戏区、聊天区、贵宾区等，细分为VLAN区域，然后根据不同区域的特点，细化为不同的解决方案，实现WLAN终端在不同的AP间漫游。而在需要信息保密的地方，可以设置不同的VLAN进行虚拟网络分区。VLAN子网可以隔离广播风暴，对于一些重要机器（如管理机，贵宾区）实施安全保护。而防火墙和VPN是安全保障的核心点，通过部署防火墙，可以在控制点处定制严格的访问控制策略，实施严格的数据流监控。

　　图1 VPN+WLAN+VLAN方式的无线网吧

　　WLAN+VLAN方式由于安装方便、维护简单、使用灵活，在无线网吧应用中有更多的优势，许多商务人士以及出差人士可以自由畅游无线网络，实现实时的移动办公，随时随地享受信息查询、网上证券、视频点播、网络游戏等一系列宽带信息增值服务。

　　但基于WLAN＋VLAN内网仍可能被攻击，而传输数据建立VPN连接后是非常安全的，且较好地限制了Internet被非法使用。所以网吧可以通过购置带VPN功能的防火墙，在无线路由器和AP之间建立VPN隧道，使整个网吧的安全性得到进一步的提高，能够有效地保护数据的完整性、可信性和不可抵赖性，保证无线客户端的安全。

　　最后要提的一点是，就是再强大的产品或者完备的方式，也需要良好的管理才能保证网络的真正安全。用无线网吧的方式拓展用户，不仅要稳定，而且要方便管理，以用户的需求为最终目标。