前言:我不是网络或系统管理员。我有一点网络经验,但仅限于基本的路由器配置,如端口转发、设置备用 DNS 服务器、范围扩展等。我有点了解更复杂的东西,如 VLAN 和子网掩码,但了解得不是很好。
我们当前的设置:
我们有大约 8 台计算机和 1 台打印机通过以太网连接到一个相当旧的交换机,然后该交换机连接到 Cisco WRVS4400n 无线路由器。我们还有大约 5 台计算机通过无线方式连接到路由器。
问题是我们办公室里有两种人,员工和客人。他们都需要访问互联网和打印机,但两者不应该能够相互通信,而且我们的开发电脑上运行着一些服务,我们绝对不希望客人能够访问这些服务。
我首先创建了两个 SSID,一个是私有的,一个是公共的,并在它们之间启用了无线隔离。这样私有网络上的员工就无法与公共网络上的访客通信。这很完美,但他们都可以看到并通过以太网连接的所有有线计算机并与之通信。
我做了一些研究,看起来 VLAN 是可行的方法。所以我创建了 3 个 VLAN:
- VLAN 1 = 私有
- VLAN 2 = 公共
- VLAN 3 = 打印机
然后,我将私有 SSID 分配给 VLAN 1,将公用 SSID 分配给 VLAN 2。到目前为止,此方法似乎有效。
我不知道该怎么做,将打印机放在 VLAN 3 上,并使 VLAN 3 与 VLAN 1 和 VLAN 2 通信?我确信这与子网掩码有关,但我不太清楚如何使用它们,而且我花了几个小时折腾,但一无所获。任何帮助都将不胜感激,谢谢!
答案1
为访客购买第二台打印机——认真的。
如果您想在网络中正确(即安全地)执行此操作,您将需要一个路由器或第 3 层交换机 - 与购买第二台打印机相比,它们太复杂,而且可能太昂贵。
答案2
打印机必须理解 VLAN 才能位于中继端口上。祝你好运。
或者您可以在那里放置一个路由器来处理 VLAN 之间的数据移动。例如,我在家里和工作中都这样做。
或者你可以花几块钱买另一台打印机。我个人不太愿意让私人文件放在公众使用或可以访问的打印机上,所以把私人文件移到私人区域,放一台便宜的激光打印机供公众使用。
答案3
对此的典型解决方案是分配 3 个 IP 子网,每个 VLAN 一个,并使用单板路由器(路由器仅使用一个物理 NIC 连接到 VLAN 中继端口,在每个 VLAN 子网上都有一个 IP,并在它们之间路由)。路由器应支持足够的防火墙功能来过滤 VLAN 1 和 2 之间的流量。然后,到打印机的所有流量都将通过单板路由器路由。WAP+路由器可能具有足够的功能来模拟单板路由器,因此不需要物理路由器(特别是如果它运行的是 DD-WRT)。
从安全角度来看,如果有人能通过破坏打印机或其他设备,将 NAT 路由器放在 VLAN 3 上(该路由器在 VLAN 1 和 VLAN 2 之间路由),则可能会危及安全。如果这是个问题,或者 VLAN 解决方案太难,请不要共享打印机,而是使用单独的打印机。