我正在尝试将无线访客网络与内部网络分离。
我画了一张小图来说明我是如何将其分开的:
以前,不存在 VLAN,所以这就是我想要介绍的。
目前整个 .2.x 网络(无/默认 VLAN,绿色)正在运行。我只是无法让移动客户端连接到接入点(图中名为“WLAN 路由器”)远端以外的任何位置。
因此,从无线客户端 ping 到接入点 (.1.5) 没问题,ping 到接入点远端 (.2.2) 也没问题,但我无法访问 Cisco 交换机 (.2.106)。所有设备都使用 .2.1(互联网路由器)作为网关,子网掩码为 /24。
据我所知,所有访问端口都应未加标记(这里只有一个不在默认 VLAN 上的端口),并且交换机之间的中继应该加标记,不是吗?(顺便说一句:VLAN 1 和 5 都通过中继)
我在这里遗漏了什么?
我希望我提供了足够的解释。
答案1
目前,您的处境很糟。
.2.2将 VLAN 视为单独的电缆。目前, WLAN 路由器接口与网络其余部分之间没有数据传输路径.2.x。所有这些主机都应位于同一网络/VLAN 上。- 如果你将它们连接到同一个 VLAN,那么所有的来宾/公共/不受信任Wifi 客户端将能够访问您的“内部”网络 - 这可不好。
我建议您重新安排您的网络,如下图所示。
不要忘记,在消费领域,“路由器”通常指单个盒子中的以下网络组件:
- 调制解调器(可能……如果您使用的是 DSL,那么很有可能,否则您可能需要单独的电缆调制解调器)
- NAT路由器
- DHCP 服务器和 DNS 中继
- 转变
- Wifi 接入点
将网络拆分为“值得信赖“ 和 ”不受信任“区域,随着深入,信任程度就会上升(与你所提出的相反)。
您可能需要一些额外的硬件来实现这一点。值得信赖/不受信任可能是消费领域中通常所说的“有线路由器”。这意味着它有一个以太网/RJ45 WAN 端口,而不是 DSL 端口。
使用其中一种可能会给你带来你想要的行为 - 内部主机将无法从你的访客 Wifi 访问(无需设置端口转发/NAT),但内部主机仍然可以访问互联网,并可能访问访客 Wifi 主机。
注意:这种架构也不需要 VLAN,除非您需要通过您的站点运行多个来宾无线接入点。