Разделение мульти-SSID WLAN

Question

Я пытаюсь обновить свою домашнюю сеть, которая включает в себя обновление до гигабитной и 802.11n и добавление нескольких точек доступа. Но я также хотел бы обновить безопасность. В настоящее время у меня есть личный WPA(1) с паролем, потому что у меня есть несколько устройств, которые не могут обрабатывать WPA2 или даже AES. Я хотел бы разделить сеть между сегментом WPA2-Enterprise (с RADIUS) и небезопасным сегментом, который ограничен по скорости и ограничен и требует "безопасного" пользователя для генерации кода. Устаревшие устройства будут занесены в белый список и перемещены в ту сеть, где им будет разрешено делать запросы к конкретному устройству (поэтому подмена MAC не будет работать)

Я не беспокоюсь об этом. Меня беспокоит как представление SSID с одного устройства, так и выделение широковещательных доменов. Я знаю, что для этого нужна VLAN, но управляемые коммутаторы ... не в бюджете.

Итак, вот вопрос - я хочу, чтобы две WLAN были отдельными. Я могу настроить точки доступа для обозначения каждого SSID другой VLAN, но без коммутаторов, которые явно обрабатывают VLAN, могу ли я разделить широковещательные домены? Если нет, то что произойдет - будет ли сеть работать так, как если бы оба SSID были подключены к одному и тому же сегменту, или она вообще не будет работать? Если это не сработает, есть ли способ "туннелировать" один из SSID-трафика на мой сервер / маршрутизатор Linux для достижения того же эффекта?

Дополнительная информация -

Я еще не купил точки доступа, но я планировал получить такую, которая могла бы работать с DD-WRT или OpenWrt или аналогичными (на основе Linux). Они будут подключены через неуправляемые гигабитные коммутаторы; к сожалению, у меня нет дома, идущего к проводному шкафу (который сделал бы это легко!) так как это была "модифицированная" установка в старом доме. Мой сервер может обрабатывать VLAN, и коммутаторы должны передавать помеченные пакеты, но не будут различать их на основе их содержимого (верно?)

Answer 1

Есть довольно много маршрутизаторов, которые будут делать то, что вы хотите.

Они могут создавать сети VLAN и несколько SSID. AFAIK, маршрутизатор Billion 7800N, который я использую, может сделать это довольно счастливо.

Вы можете сделать это с помощью одного из лучших ретрансляторов / удлинителей Wi-Fi, таких как Edimax. Ретранслятор Edimax EW-7416APN, который я использую, безусловно, может это сделать, хотя он может назначать каждый SSID только идентификатору VLAN, фактически он не может создавать / настраивать VLAN, он имеет только один порт Ethernet.

Answer 2

Похоже, что лучший способ сделать это - настроить VPN (OpenVPN или PPTP должны работать) и мост между виртуальной точкой доступа и маршрутизатором. Это одновременно изолирует "незащищенный" трафик и заставляет его отображаться на новом интерфейсе на маршрутизаторе / сервере, где я могу маршрутизировать его по своему желанию и соответственно устанавливать правила брандмауэра.

Кажется, что VLAN не будет работать здесь без управляемого коммутатора. Мои коммутаторы «осведомлены о VLAN» в том смысле, что они будут пропускать помеченные кадры без изменений, но сами не помечают и не разбивают на части. Насколько я понимаю, это необходимо для возможности правильного разделения двух локальных сетей на одном физическом канале.

Это учебное пособие, которое я использую: http://www.dd-wrt.com/wiki/index.php/OpenVPN_on_Dedicated_Wireless_Access_Point_%28VAP%29

Я проверяю это сейчас с моей одной существующей AP. Если это сработает, я куплю новые и попробую с настройкой нескольких точек доступа. Я не уверен на 100%, как VPN будет работать от нескольких точек доступа, но я думаю, что все они будут работать под одним и тем же iface на сервере. В худшем случае, я могу просто соединить виртуальные интерфейсы на сервере. Это позволит мне выполнить RADIUS по MAC-адресу в "незащищенном" интерфейсе, и я запишу небольшое веб-приложение для пользователя защищенной сети, чтобы временно "аутентифицировать" гостя. Это будет действительно гладко.