我有 3 个无线网络,全部位于同一子网中,由 UniFi 交换机供电并由 UniFi 控制器配置。所有这些都由 Fortinet 供电。
这 3 个网络分别是 guest、staff1 和 staff2。目前所有 3 个 WiFi 网络都在 192.168.1.0/24 子网上,但我正在尝试将 Guest 网络置于其自己的子网上。
据我了解,我需要首先在 Fortinet 上创建子网 - 或者在 UniFi 交换机上执行此操作?
这样做的原因是,当大量客人尝试登录时,我们的 DHCP 租约就会耗尽,而且让他们与我们的员工位于同一子网上也存在安全风险。
我将在 Fortinet 上创建子网,配置 UniFi 交换机以查看它,然后配置 UniFi 控制器以将此范围提供给来宾网络。我在这里陷入了困境,真的不能搞砸。我承认我在这里有点力不从心,我在自己搜索和调查的同时,正在寻找任何建议或指示。
非常感谢!
答案1
通常子网与 VLAN 一起使用 - 每个子网一个。这样,子网就真的分开——它们之间的所有通信都必须通过路由器/防火墙,并且每个 VLAN 可以独立运行 DHCP 和 RA。
我没有曾经使用了“Fortinet”,但它似乎是一个具有路由器功能的常规防火墙,标记 VLAN 接口。
在路由器/防火墙上,在主以太网接口上创建三个新的 VLAN 接口 [2、3、4],并将每个接口配置为位于新子网 [192.168.2.0/24 等] 中。原始 192.168.1.0/24 子网保持“未标记”。
在交换机上,除了现有的未标记 VLAN 之外,还配置 Fortinet 端口和 AP 端口以接受新创建的 VLAN 作为“标记”。(为了测试,您还可以配置另一个端口,例如将 VLAN 2 配置为默认值,而不配置其他任何内容。)开关才不是除了‘管理’子网之外,还需要了解其他 IP 子网。
在 UniFi 控制器上,为每个 SSID 配置适当的 VLAN ID [guest = 2, staff1 = 3, staff2 = 4]。然后,AP 将自动为每个用户的流量添加正确的 VLAN 标签,防火墙将视其为通过其中一个虚拟接口到达。