Я пытаюсь отделить беспроводную гостевую сеть от внутренней сети.

Я сделал небольшой рисунок того, что я сделал, чтобы отделить его:

Ссылка на рисунок

Раньше не было VLAN, поэтому я пытаюсь представить это.

Прямо сейчас вся сеть .2.x (нет / по умолчанию VLAN, зеленый) работает. Я просто не могу заставить мобильные клиенты подключаться дальше, чем к удаленному концу точки доступа (называемой "WLAN Router" на чертеже).

Так что пинг с беспроводного клиента до точки доступа в порядке (.1.5), пинг до удаленной стороны точки доступа в порядке (.2.2), но я не могу связаться с коммутатором Cisco (.2.106). Все устройства используют .2.1 (интернет-маршрутизатор) в качестве шлюза, маски подсети - /24.

Из того, что я понимаю, все порты доступа должны быть немаркированными (здесь есть только один, который не входит в VLAN по умолчанию) и магистраль между коммутаторами должна быть помечена, нет? (Кстати: VLANS 1 и 5 проходят через сундук)

Что мне здесь не хватает?

Я надеюсь, что предоставил достаточно объяснений.

|источник

1 ответ1

1

В настоящее время у вас неприятная ситуация.

  • Думайте о VLAN как об отдельных кабелях. В настоящее время нет пути для данных между .2.2 интерфейсом маршрутизатора WLAN и остальной частью .2.x сети. Все эти хосты должны быть в одной сети /VLAN.
  • Если бы вы подключили их к одной и той же VLAN, то все гостевые / публичные / ненадежные Wifi-клиенты могли бы получить доступ к вашей "внутренней" сети - не очень хорошо.

Я бы порекомендовал вам переставить вашу сеть, как показано на рисунке ниже.

Не забывайте, что в потребительском пространстве "Маршрутизатор" обычно ссылается на следующие сетевые компоненты в одном окне:

  • Модем (возможно ... если вы используете DSL, скорее всего, в противном случае у вас, вероятно, будет отдельный кабельный модем)
  • NAT-ing Router
  • DHCP-сервер и DNS-ретранслятор
  • переключатель
  • Точка доступа Wi-Fi

Сетевая архитектура

Разделите сеть на зоны « Доверенные » и « Ненадежные », и, по мере углубления, уровни доверия повышаются (в противоположность тому, что вы предложили).

Для этого вам может понадобиться пара дополнительных аппаратных средств. Маршрутизатор на границе Trusted / Untrusted может быть тем, что часто называют "кабельным маршрутизатором" в потребительском пространстве. Это означает, что он имеет порт WAN Ethernet / RJ45, а не порт DSL.

Использование одного из них, вероятно, даст вам поведение, к которому вы стремитесь - внутренние хосты не будут доступны с вашего гостевого Wi-Fi (без настройки переадресации портов / NAT), но внутренние хосты могут по-прежнему иметь доступ к Интернету и, возможно, к гостю Хозяева Wi-Fi.

ПРИМЕЧАНИЕ. Эта архитектура также устраняет необходимость в VLAN, если только вам не нужно запускать несколько гостевых точек беспроводного доступа через ваш сайт.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .