У меня есть 3 беспроводные сети, все в одной подсети, которые питаются от коммутатора UniFi и настраиваются контроллером UniFi. Все это питается Fortinet.

3 сети являются гостем, staff1 и staff2. В настоящее время все 3 сети WiFi находятся в подсети 192.168.1.0/24, но я пытаюсь подключить гостевую сеть к собственной подсети.

Насколько я понимаю, мне нужно сначала создать подсеть на Fortinet - или я делаю это на коммутаторе UniFi?

Причиной этого является то, что у нас заканчивается срок аренды DHCP, когда многие гости пытаются войти в систему, а также риск для безопасности, если они находятся в той же подсети, что и наши сотрудники.

Я собираюсь создать подсеть на Fortinet, настроить коммутатор UniFi, чтобы увидеть его, а затем настроить контроллер UniFi для выдачи этого диапазона гостевой сети. Я был брошен в глубокий конец здесь и не могу позволить себе все испортить. Я признаю, что я немного не в себе, и я ищу какие-либо советы или указатели, пока я ищу и исследую себя.

Большое спасибо!

1 ответ1

0

Обычно подсети идут вместе с VLAN - по одной на подсеть. Таким образом, подсети действительно разделены - вся связь между ними должна проходить через маршрутизатор / брандмауэр, и каждая VLAN может независимо выполнять DHCP и RA.

Я никогда не использовал "Fortinet", но мне кажется , что это обычный брандмауэр , который имеет имеет возможности маршрутизатора и помечен VLAN интерфейсы.

  • На маршрутизаторе / брандмауэре создайте три новых интерфейса VLAN [2, 3, 4] поверх основного интерфейса Ethernet и настройте каждый из них в новой подсети [192.168.2.0/24 и т.д.] Исходная подсеть 192.168.1.0/24 остается «нетегированной».

  • На коммутаторе настройте порт Fortinet и порты AP для принятия вновь созданных VLAN как «помеченных», в дополнение к существующей VAG без тегов. (Для тестирования вы также можете настроить другой порт, например, на VLAN 2 по умолчанию и больше ничего.) Коммутатору не нужно знать о IP-подсетях, кроме подсети «управления».

  • На контроллере UniFi настройте соответствующий идентификатор VLAN для каждого SSID [guest = 2, staff1 = 3, staff2 = 4]. AP затем автоматически добавят правильный тег VLAN для трафика каждого пользователя, и брандмауэр увидит, что он поступает через один из виртуальных интерфейсов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .