我有一台 WNR2000v2 Netgear 路由器,我想把它放在我们公司的网络上。老板希望我设置两个 SSID,一个用于客人,另一个用于员工。他希望将客人无线帐户配置为仅用于互联网访问,这意味着连接到此 SSID 的任何客人都无法看到任何公司计算机。
我从来没有以这种方式配置路由器,因此我做了一些研究并发现,由于我公司的网络已经有 DHCP 服务器和网关,所以我必须在路由器上禁用 DHCP,并将连接到网关的以太网电缆插入其中一个 LAN 端口,而不是 WAN 端口。
我执行了此操作,并输入了公司网关、DHCP 服务器和 DNS 服务器的 IP 地址。然后我设置了两个 SSID,并重新启动了路由器。首先,我连接到非访客 SSID,它连接正常,并为我的计算机提供了一个公司 IP 地址(10)。。.132,而不是 192.168.1。** 地址)并且我可以访问互联网。我认为这是个好兆头,因为它告诉我我公司的 DHCP 服务器正在分配 IP 地址,而不是路由器。
然后我尝试连接到访客 SSID。我能够连接到 SSID,它给了我一个公司 IP 地址,但我无法访问互联网。
由于我以前从未设置过这样的访客 WIFI SSID,所以我不确定接下来该怎么做。我想用这个路由器实现这个功能吗?我想设置它,以便连接到访客 SSID 的计算机可以访问互联网。任何帮助都将不胜感激。谢谢。
答案1
好吧,您的问题可以分为两个主要问题。
- 您需要客户端通过安全的 SSID 获得公司访问权限
- 您需要让访客仅在开放的 SSID 上访问互联网
现在,对于第一个问题,您需要设置路由器,以便所有 DHCP 请求都转发到您的 DHCP 服务器。这些客户端需要表现得像已插入网络一样。您的 DHCP 服务器必须参与其中,因为它们通常与 AD 和 DNS 交互。听起来您已经设法做到了这一点。这应该放在您公司的 VLAN 上,以便流量得到如此处理。
对于您的第二个问题,这些客户端的行为应该像它们来自 DMZ(非军事区)一样。它们不应具有公司访问权限,并且只能访问您网络外部的互联网。典型的实现是,您为这些客户端创建一个单独的 VLAN,以便响应它们的 DHCP 请求仅有的通过处理此类事情的 DHCP 服务器。如果您已经有 DMZ DHCP 服务器,则将其设置为侦听该 VLAN(如果您有 Web 服务器,有时可以通过此服务器提供服务)。如果您只有一个处理这两个 VLAN 的 DHCP 服务器,则需要确保它可以区分和分配地址到该 VLAN,并且所有流量都通过此 DMZ 路由/交换,而不能访问公司 VLAN。
我知道这可能看起来很复杂,但这是完全区分流量的必要步骤。