我正在尝试升级我的家庭网络,这涉及升级到千兆和 802.11n 并添加多个 AP。但我还想更新安全性。目前我使用的是带密码的 WPA(1) 个人网络,因为我有几个设备无法处理 WPA2 甚至 AES。我想将网络分为 WPA2-Enterprise(使用 RADIUS)段和不安全段,不安全段的速率受限制且受限制,需要“安全”用户生成代码。旧设备将被列入白名单并移动到该网络,在那里它们将被允许发出设备特定的请求(因此 MAC 欺骗将不起作用)
我并不担心这些事情。我担心的是,从同一设备显示两个 SSID 并隔离广播域。我知道我需要一个 VLAN 来做到这一点,但托管交换机...不在预算之内。
所以问题是 - 我想将两个 WLAN 分开。我可以设置 AP 以使用不同的 VLAN 标记每个 SSID,但如果没有明确处理 VLAN 的交换机,我可以隔离广播域吗?如果不能,会发生什么 - 网络是否会像两个 SSID 连接到同一个网段一样工作,还是根本不起作用?如果这不起作用,是否有任何方法可以将其中一个 SSID 的流量“隧道化”到我的 Linux 服务器/路由器以实现相同的效果?
更多信息 -
我还没有购买 AP,但我计划购买一个可以运行 DD-WRT 或 OpenWrt 或类似软件(基于 Linux)的 AP。它们将通过非托管千兆交换机连接;不幸的是,我没有配线柜(这会让事情变得简单!),因为这是老房子里的“改造”安装。我的服务器可以处理 VLAN,交换机应该会传递标记的数据包,但不会根据其内容进行任何区分(对吗?)
答案1
有相当多的路由器可以满足您的要求。
他们能够创建 VLAN 和多个 SSID。据我所知,亿联7800N我使用的路由器可以很顺利地做到这一点。
您可以使用更好的 Wi-Fi 中继器/扩展器(例如 Edimax 的产品)来实现这一点。EW-7416APN我使用的 Edimax 中继器当然可以做到这一点,尽管它只能将每个 SSID 分配给一个 VLAN ID,但它实际上无法创建/配置 VLAN 本身,它只有一个以太网端口。
答案2
看起来最好的方法是设置 VPN(OpenVPN 或 PPTP 应该可以)和虚拟 AP 与路由器之间的桥接。这样既可以隔离“不安全”的流量,又可以使其显示在路由器/服务器上的新接口上,在那里我可以按自己的意愿路由它并相应地设置防火墙规则。
似乎没有托管交换机,VLAN 就无法在这里工作。我的交换机是“VLAN 感知”的,因为它们会传递未修改的标记帧,但它们自己不会进行任何标记或分区。据我了解,这是正确隔离一条物理链路上的两个 LAN 所必需的。
这是我正在使用的教程:http://www.dd-wrt.com/wiki/index.php/OpenVPN_on_Dedicated_Wireless_Access_Point_%28VAP%29
我现在正在用我现有的一个 AP 测试这一点。如果有效,我会购买新的 AP 并尝试使用多 AP 设置。我不确定 VPN 如何在多个 AP 下工作,但我认为它们都会出现在服务器上的同一个 iface 下。最坏的情况是,我只能桥接服务器上的虚拟接口。这将允许我在“不安全”接口上通过 MAC 地址执行 RADIUS,我将编写一个小型 Web 应用程序,供安全网络用户临时“验证”访客。这将非常巧妙。