我有一个包含两个子网的配置。在此示例中,我将它们称为 192.168.1.128/26 (128) 和 192.168.1.64/26 (64)。64 子网包含所有访客无法访问的内部设备。128 子网基本上是无线广播子网。
我的问题是,我有两种用户将连接到这个 (128) 子网。第一种是只能访问互联网的访客。第二种是可以访问互联网以及 64 子网上的内部设备的员工。
我使用的是基本的 Linksys 路由器,可以很好地管理子网之间的路由。我的问题是,如何将路由到 64 个子网的用户限制为“员工”用户的静态列表?
答案1
通常,您可以使用防火墙规则(数据包过滤)来阻止或允许访问。如果您使用的是 linksys 的库存固件,我不确定这是否可行,如果您使用的是 dd-wrt 或类似的东西,那么您可以使用 iptables 规则来做到这一点。
由于这是您的访客无线网络,因此通过分配的 IP 地址或 MAC 地址来识别员工系统可能是非常不明智的,这几乎排除了使用防火墙规则进行任何类型的访问控制。
您可能需要做的是考虑在员工无线客户端上设置 VPN,这将允许员工建立进入受信任网络的 VPN。
另一种选择可能是只为您的员工帐户设置一个额外的 SSID/子网,并使用不同级别的无线身份验证。您的访客 SSID 上可能没有加密/身份验证。在您的员工 SSID 上,您将使用具有强预共享密钥的 WPA2,或者理想情况下使用 WPA 下可用的企业身份验证之一。