У меня есть сеть с несколькими группами людей, которых я хочу защитить и отделить. Вот группы

  1. фирменные устройства (проводные и беспроводные)
  2. центральные устройства (проводные и беспроводные)
  3. устройства для посетителей (проводные)
  4. абонентские устройства (проводные и беспроводные)

Я пытаюсь выяснить, являются ли подсети для каждой или VLAN лучшими. Вот аппаратное обеспечение у меня

  1. кабельный модем в режиме моста
  2. межсетевой экран / маршрутизатор (2-портовая локальная сеть)
  3. Routerboard router (4-портовая локальная сеть)
  4. Коммутатор TP-Link SG1024de (интеллектуальный коммутатор)
  5. различные неуправляемые коммутаторы
  6. Ubiquiti AP

Я хотел бы, чтобы внутренние устройства LAN и WAN имели неограниченный доступ друг к другу, в том числе к моим серверам, включая DHCP и файловый сервер.

Моим клиентским устройствам нужен только доступ в Интернет и доступ к моему файловому серверу. Это может быть проводным только в случае необходимости, но беспроводным также будет удобно.

Моим съемочным устройствам нужен доступ только к другим устройствам, как беспроводным, так и проводным.

Моим посетителям нужен только беспроводной доступ к Интернету, ничего внутреннего.

Итак, я должен подсеть все? Нужно ли устанавливать дополнительные WAP? Или я должен все VLAN? Могу ли я пометить VLAN или заставить работать SSID в определенной подсети?

Любой другой совет?

|источник

1 ответ1

0

Обычно подсети идут вместе с VLAN (то есть одна подсеть на VLAN), как отдельные физические локальные сети. (Ваш маршрутизатор также видит их похожими на отдельные физические интерфейсы.) Нет никакой безопасности в размещении двух подсетей в одной (V) локальной сети, так как они напрямую доступны друг от друга (с не более чем скрытым изменением IP-адреса), и нет смысла использовать одну подсеть между двумя (V) ЛВС, поскольку это противоречит определению "подсеть".

Таким образом, вы должны создать одну подсеть и одну VLAN для каждой группы; подключите маршрутизатор к одному из портов TP-Link, настроенному как "магистральный" порт (или, по крайней мере, со всеми помеченными VLAN), и назначьте другие порты определенным VLAN (без тегов), где они идут на неуправляемые коммутаторы.

Этот маршрутизатор будет обслуживать DHCP для всех VLAN, действовать как их шлюз за пределами подсети и как межсетевой экран для доступа между VLAN.

SSID похожи на порты на коммутаторе, поэтому они будут находиться в отдельных подсетях только в том случае, если они принадлежат разным (V) локальным сетям. Многие AP более высокого уровня поддерживают несколько SSID с отдельными VLAN, но это зависит от того, какой именно "Ubiquiti AP" у вас есть. (Я слышал, что серия UniFi поддерживает это, но я работал только с устройствами airMAX, которые определенно этого не делают.)

(Думаю, эти точки доступа с несколькими VLAN также будут подключаться к "транковому" порту).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .