我负责一家小型教育机构的网络,我们希望为教职员工提供无线互联网接入,但不为学生提供。但是,我们确实希望允许学生无线访问我们的内部网络,以便他们可以下载讲义等。
我有两个无线路由器(都是 Netgear 路由器 - WGR614v9 和 WPN824),设置了不同的无线密钥:学生拥有第一个路由器的密钥,教职员工拥有第二个路由器的密钥。互联网接入本身来自连接到 ADSL 线路的第三个(非无线)Netgear 路由器/调制解调器。
我尝试了各种 DHCP 配置:仅在第二个路由器上启用 DHCP,仅在第一个路由器上启用 DHCP,以及在两个路由器上都启用 DHCP。通常,所有计算机(学生或教师)最终都会使用同一个路由器作为其 DHCP 服务器,无论他们使用哪个无线密钥/路由器进行连接。现在,他们总是从教师的路由器获得其详细信息。当我在学生的路由器上设置端口阻止(以阻止 HTTP/HTTPS/POP3/SMTP/IMAP/等端口)时,似乎没有任何区别 - 学生计算机似乎仍然能够通过第二个路由器(他们将其作为“默认网关”,因为它是 DHCP 服务器)顺利连接到互联网。
有人知道我该如何设置,以便通过第一个路由器连接到我们网络的人无法访问互联网,但通过第二个路由器连接到我们网络的人可以访问?
答案1
您不想在同一个网络上运行多个 DHCP 服务器是正确的,因为这样最终可能会产生非常随机的结果。
现在听起来好像您已将两个无线路由器通过其内部端口插入主路由器,基本上将它们用作接入点而不是路由器(只是让无线用户连接到主网络并让主路由器进行真正的思考)。
如果学生使用的无线路由器允许您设置特定地址的端口阻止规则,您可能能够在该路由器上将其设置为阻止所有通信,然后允许特定规则进入内部服务器。然后通过路由器上的 Internet/WAN 端口将该路由器连接到您的主网络,并在其上启用 DHCP。这样一来,学生就会在自己的网络上进行分段,并且只能通过已设置规则的无线路由器访问您的主网络路由。
因此,您将拥有:
互联网连接 <-> 主路由器 WAN 端口
主路由器内部端口 <-> 教师无线路由器内部端口
主路由器内部端口 <-> 学生无线路由器 WAN 端口
任何连接到主路由器或教师无线网络的人都将处于一个网络中并具有正常访问权限。任何连接到学生无线网络的人都将处于学生无线路由器后面的另一个网络中,并受该路由器上设置的规则的约束。
否则,您需要考虑设置 DMZ 以将学生与其他人分开,然后设置允许他们执行的特定规则。您当前的设备可能不支持此功能,您需要查看您的主有线路由器。
答案2
您的假设是(或应该是)错误的——如果 AP 不是完全没用的,它们应该只为与自身关联的设备提供 DHCP(并且您只能关联到您知道密钥的 AP)。
基本上,将每个 AP 视为一个单独的有线网络,并且配置应该会在洗涤过程中消失。
答案3
我认为这里的任何组合都会导致意大利面条和双 NAT,这对某些事情不起作用,尽管我猜网页浏览会没问题。看看怎么样DD-WRT反而?