我在一家拥有以太网和无线网络的公司工作,我们想创建一个网络,让客户可以访问我们的网络,但不能访问我们的计算机网络。
这种访问仅限于互联网,仅此而已。客户将看不到我们的计算机以及我们在网络中共享的文件。
我有两个路由器,我该怎么做?
一台 Cisco Linksys Wireless-N 宽带路由器 WRT160N V3 和一台 Netgear Wireless G 路由器 WGR614 v9,至于防火墙,每台计算机默认只有 Windows 防火墙。
答案1
您可以在 Cisco/Linksys 路由器上自行分离网络。我自己在朋友办公室的几乎完全相同的型号上进行了此操作。您应该查阅文档以了解具体操作细节(我不记得了,大部分都是通过 WebGUI 进行的),但大致思路如下:
- 在 Cisco 路由器上创建 2 个 VLAN。一个用于内部网络,另一个用于客户网络。
- 创建 2 个 SSID,一个用于内部计算机,一个用于客户访问。将这些 SSID 分配给您之前创建的 VLAN
- 配置访问列表,拒绝客户网络与内部网络之间的访问。
- (可选)根据需要将路由器上的端口配置为内部 VLAN 或客户端 VLAN
- (可选)为客户 Wi-Fi 网络启用客户端隔离。这样,它们就无法相互通信,只能访问互联网。
最后,您应该有两个网络,例如 192.168.100.0 用于内部计算机,192.168.200.0 用于来访客户。客户将能够登录并查看 Facebook,但无法 ping 或以其他方式访问 192.168.100.0 网络。您的内部网络应该继续正常运行。
答案2
开箱即用,我不认为您可以使用任何一款路由器做到这一点 - 这两款路由器都是消费级的,不支持 DMZ 或 VLAN。您可能能够刷新其中一款路由器以使用具有此功能的不同固件,但我不会在商业环境中冒险这样做 - 如果操作错误,您的客户信用卡信息可能会被泄露,并可能因耻辱而破产。
投资一台支持 VLAN 或具有 DMZ 端口的路由器。我的经验是使用 Cisco ASA 5505,它可以做到这一点,并为您提供一个非常强大的防火墙和 VPN,让您的员工在同一个盒子中远程访问。它们的价格约为 250 - 400 美元。可能还有更简单、更便宜的选择 - 不过 ASA 并不难 - @Hyppy 描述了您需要做的事情。