我有一个包含多个群组的网络,我想保护这些群组并将其分开。以下是这些群组
- 公司设备(有线和无线)
- 中心设备(有线和无线)
- 访客设备(有线)
- 客户设备(有线和无线)
我正在尝试弄清楚每个子网或 VLAN 是否最好。这是我拥有的硬件
- 桥接模式下的电缆调制解调器
- 防火墙/路由器(2 端口 LAN)
- Routerboard 路由器(4 端口 LAN)
- TP-Link SG1024de交换机(智能交换机)
- 各种非管理型交换机
- Ubiquiti 亚太地区
我希望内部 LAN 和 WAN 设备能够不受限制地相互访问,包括我的服务器(包括 DHCP 和文件服务器)。
我的客户设备只需要互联网接入和文件服务器即可。如果需要,可以只使用有线方式,但无线方式也很方便。
我的租户设备只需要访问他们的其他无线和有线设备。
我的访客只需要无线访问互联网,无需任何内部连接。
那么,我应该将所有内容划分为子网吗?我需要安装额外的 WAP 吗?还是我应该将所有内容划分为 VLAN?我可以标记 VLAN 或强制 SSID 在某个子网上工作吗?
还有其他建议吗?
答案1
通常子网是一起的和VLAN(即每个 VLAN 一个子网),就像单独的物理 LAN 一样。(您的路由器也会将它们视为单独的物理接口。)将两个子网放在同一个 (V)LAN 上没有任何安全性,因为它们可以直接互相访问(最多只需进行一次偷偷摸摸的 IP 地址更改),并且没有必要在两个 (V)LAN 上使用同一个子网,因为这有点违反了定义“子网”。
因此你需要创建一个子网和每组一个 VLAN;将路由器连接到配置为“中继”端口的 TP-Link 端口之一(或至少所有 VLAN 都已标记),并将其他端口分配给特定 VLAN(未标记),然后它们进入非托管交换机。
该路由器将为所有 VLAN 提供 DHCP,充当子网外的网关,并充当 VLAN 之间访问的防火墙。
SSID 就像交换机上的端口,因此,如果它们属于不同的 (V)LAN,则它们将仅位于单独的子网中。许多高端 AP 支持具有单独 VLAN 的多个 SSID,但这取决于您拥有哪种“Ubiquiti AP”。(我听说 UniFi 系列支持此功能,但我只使用过 airMAX 设备,它们肯定不支持。)
(我认为这些多 VLAN AP 也会连接到“中继”端口。)