如何设置访客/以太网/光纤网络

1) 访客网络：设置此网络的最简单方法是在主路由器上，使用防火墙规则确保访客 AP 所在的网段与内部网络（LAN 和 WLAN）所在的网段分开。因此，您将拥有两个网段（第三个网段用于光纤连接）。

我不熟悉 pfSense，只熟悉 iptables，所以我无法提供详细信息，但这是一个相当标准的设置，基本上你必须添加允许在客户/互联网和内部/互联网的网络适配器之间转发的规则，但禁止客户/内部。

如果您无法将 Guest AP 直接连接到路由器，而只能连接到交换机，那么您将需要一个 VLAN，使其看起来像是直接连接到路由器。

请注意，您的定制机架不仅需要路由和防火墙，还需要提供 DHCP、DNS 代理/缓存等服务。家用路由器包含所有这些功能，而且通常已经有现成的访客网络配置，因此请研究您是否真的需要定制机架，以及它是否配备了您需要的一切。另一种选择是使用 OpenWRT 等替换家用路由器上的固件。

2) PC 和服务器之间的光纤：我希望 Netgear 支持“端口组”或类似仅相互通信的配置。为两个光纤端口创建一个这样的组，为其余端口创建另一个组。如果 Netgear 无法做到这一点，请在光纤上使用 VLAN。光纤的不同段意味着您可以通过选择目标地址来选择传输路由。

3) 内部 AP 的 WLAN 接口应桥接到 LAN 接口（根据 AP 固件，其名称各异）。这意味着路由器上的中央 DHCP 服务器可以同时处理这两者，也意味着 LAN 和 WLAN 可以共享单个网段，并互相可见。

我听说最好看一次而不是读一百遍，所以以下是我的建议：

普福斯是一款功能强大的企业级灵活解决方案，因此您可以在其上使用几乎任何东西。如果您将普通 PC 用作家庭普福斯，你可以找到一些不错的多端口以太网卡，例如

我建议您使用英特尔基础卡（如英特尔 PRO/1000...）以获得与 FreeBSD 的最大兼容性（操作系统落后普福斯）。

这样，你就可以通过配置防火墙/路由，将网络物理分割成多个子网，这些子网可以相互隔离，也可以根据你的需要相互通信。普福斯。虽然 VLAN 很便宜，但有些客户端设备可能不支持它，因此像上图中的 OPT1 和 LAN 一样在物理上分离子网将在未来的 PITA 中减少。

至于光纤链路，请获取几张光纤卡并将其安装在服务器和主 PC 上，然后直接连接它们。如果您未在主 PC 上设置以太网和光纤接口之间的桥接，则只有这台 PC 可以访问您的服务器。
我建议您使用 10Gb 链路。如果您在 ebay 上购物，您可以找到非常便宜（与全新相比）的二手设备。如果您使用基于 Intel 82599 芯片组的卡，则不会有问题，只需记住，与以太网卡相比，光纤卡是真正的 Zoo，其中卡具有相同的光纤模块插槽，但彼此不兼容（例如，SFP+ netgear 模块可以安装在 Intel 基卡上的插槽中，但无法工作。）。
如果您的 PC 和服务器之间的距离很重要，请使用青色的光纤电缆。

为了实现实际隔离，您需要 VLAN 或多个网络接口。

我将讨论 VLAN，因为它们便宜并且易于实现：

• VLAN 1：常规网络
• VLAN 2：访客网络

我仅描述目标配置。

• 在你的防火墙/路由器上，
  • VLAN 1 和 2 已设置。
  • LAN 网络接口设置为使用标记 VLAN（有时称为中继）
  • VLAN 1 分配给“内部网络”区域
  • VLAN 2 被分配给“来宾网络”区域
  • 防火墙/转发规则已适当设置
• 在您的管理交换机上，
  • 防火墙/路由器连接到端口 1
  • 访客 AP 连接到端口 2
  • 端口 1 是 VLAN 1 和 2 的成员，已标记
  • 端口 2 是 VLAN 2 的成员，未标记
  • 所有其他端口都是 VLAN 1 的成员，未标记

这将导致一个隔离的访客网络。访客网络的流量将按照防火墙上的设置进行隔离。

您的交换机根本不支持 5 GBit/s 以太网。