我有一个设置,我的 Cisco ASA 位于一个设施内,为两栋建筑提供互联网访问。这两栋建筑在地理上被一个横跨约 10 英里的无线网桥隔开。局域网内的所有计算机和设备都位于同一个子网(它非常小),我们在两个位置都有 WiFi AP,为局域网提供有线和无线访问。
考虑到所有 BYOD(Ipod、智能手机等)都会进入办公室,以及来访代表等……我们还想提供一个非安全、独立于设备(设备之间无法看到或通信)和独立于 LAN(设备之间无法看到或使用 LAN 上的任何东西)的热点,任何人都可以将其用于自己的设备,这样他们就可以直接访问互联网,而无需密码。我知道如果我弄乱它并创建 VLAN 等,在我的 Cisco 设备上就可以实现这一点……但随后我也需要通过我的 Bridge 来实现,而且我认为如果不对所有内容进行认真的重新配置,这是不可能的。我真的很想有某种神奇的解决方案,可以搭载在我的 LAN 上,而不需要对当前设置进行太多更改。
答案1
大多数路由器已经支持“访客” WiFi 网络,该网络与主网络隔离,并且连接的客户端彼此隔离。
当然,为商业用途设计的高端路由器将具备这种能力。
您可以在客人需要 wifi 访问的位置安装第二个 wifi 路由器,并将其上游端口连接到公司网络,从而实现“双重 NAT”。正确配置后,客人和公司网络之间可以实现高度隔离。
答案2
是的,您可以将热点接入点添加到已建立的 LAN,而无需对现有网络进行任何更改。
你可能只需要访问控制列表以及无线接入点上的手动路由。您真正需要做的就是设置规则,以便数据包只能通过网关并传出到互联网。是的,VLAN 是最安全的选择,但如果您的硬件不支持它们或您没有设置它们的专业知识,则有办法不使用它们。另外,听起来您的网络足够小,您实际上不需要 VLAN。如果您愿意,您可以以相当即插即用的方式进行设置。
设置 AP 时的一些一般要点
对公共无线网络使用与网络其他部分不同的子网。这并不重要,因为无论如何它都很可能被 NAT,但它会使事情变得不那么混乱。
AP 本身可以与同一子网中的网关通信。请确保它只能与以太网接口上具有 ACL 的网关通信。
打开 AP 上的客户端隔离,这样无线客户端就无法相互通信。
使用 ACL 控制公用网络和专用网络之间的流量。阻止所有不直接进入互联网的内容。同时阻止所有不直接来自 LAN 端互联网的内容。
使用手动路由将流量直接发送到互联网网关。当然,这取决于您的网络布局。
答案3
您可以尝试设置无线接入点以在办公室内使用 VPN,并通过 VPN 路由所有连接。这应该会产生与设置 VLAN 类似的结果,但配置起来可能更容易。这并非 VPN 的传统用法(保持内部,而不是外部),但我认为它可以满足您的需要。不过,我认为 VLAN 是更好的方法。
答案4
感谢大家的意见!以下是我最终所做的,如果你们发现任何异常或不寻常之处,请告诉我:
如果你们发现任何明显错误或不正常的事情,请告诉我:
拿到了 WRT54GL V1.1 并将其重置为默认设置 (30-30-30)。下面是我使用 DD-WRT 的步骤。
这款 WRT54GL 背面有 5 个端口,其中一个称为 Internet,另外四个端口编号分别为 1、2、3 和 4。将 Internet 端口连接到连接到现有 LAN 的电缆,并将台式机/笔记本电脑的电缆连接到 WRT54GL 的端口 1。接通所有电源,让台式机/笔记本电脑从 WRT54GL 获取其 IP 地址。
从台式机/笔记本电脑通过 Web 浏览到 192.168.1.1。
系统将提示您设置用户名和密码 - 现在就设置。
登录路由器。
单击“设置”选项卡,将 Wan 连接类型更改为静态 IP(将其设置为 LAN 上的可用地址)192.168.2.56 255.255.255.0 192.168.2.253 208.67.222.222 208.67.220.220 STP 禁用,单击“保存”,然后“应用”
可选设置路由器名称:openWIFI 主机名:openWIFI 域名:“您的域名”其余默认单击保存然后应用
网络设置本地地址:10.0.0.1(此子网应与您的不同)子网掩码:255.255.255.0网关:0.0.0.0本地 DNS:0.0.0.0单击保存,然后单击应用
从路由器(网线)上拔下计算机并等待几秒钟,然后重新插入。这将允许您的计算机更改为您刚刚配置的子网,以便您可以继续设置。
打开您的 Web 浏览器并浏览到您刚刚设置的地址,对于此文档,该地址为 10.0.0.1。
重新登录。
设置标签 网络地址 服务器设置 DHCP DHCP 类型:DHCP 服务器 DHCP 服务器:启用 开始:10.0.0.100 最大:20(我尽量保持低值) 其余默认设置 单击保存,然后应用
WireLess TAB 无线 SSID:openWIFI rest 默认 单击保存然后应用
高级设置(在无线选项卡下)AP 隔离:启用其余默认设置单击保存然后应用
服务选项卡 SSHd 启用其余默认设置单击保存然后应用
管理选项卡 管理 启用 SSH 管理 其余默认 单击保存然后应用 单击重启路由器
现在,您应该有一个可以运行的 openWIFI 接入点,但它无论如何都不安全。任何有网络意识的人都可以进入您的私人局域网和互联网。所以我们需要对它进行一些锁定。
重新登录到 Web 界面管理 TAB 命令将以下内容放入命令窗口中(这是最主要的):
iptables -I FORWARD -d 192.168.2.0/24 -j DROP iptables -t nat -A PREROUTING -i br0 -p udp --dport 53 -j DNAT --to $(nvram get lan_ipaddr) iptables -t nat -A PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to $(nvram get lan_ipaddr) iptables -I FORWARD -p tcp -s 10.0.0.0/24 -m connlimit --connlimit-above 50 -j DROP iptables -I FORWARD -p !tcp -s 10.0.0.0/24 -m connlimit --connlimit-above 25 -j DROP
这些是做什么的(或者我从http://cavewall.jaguardesignstudio.com)我发现这些命令如下:
第 1 行 - 阻止从路由器访问私有子网 第 2 行和第 3 行 - 阻止 openWIFI 上的用户修改 DNS 设置 第 4 行和第 5 行 - 防止 openWIFI 上的用户占用带宽。
单击保存防火墙管理选项卡,单击重启路由器
应该已经锁定并准备好部署,但我还想从 openWIFI 端禁用 Web 界面。这也会测试 ssh 设置。
关闭 Web 浏览器,如果您使用的是 Windows,请使用 putty 通过 ssh 连接到路由器的 ip 地址。(由于您仍应使用电缆连接,因此您仍位于路由器的 openWIFI 端 - 因此使用 putty 或控制台 - 执行以下命令):
远程控制[电子邮件保护] 登录后会提示你
root@openWIFI:~# nvram 设置 httpd_enable=0 root@openWIFI:~# nvram 设置 http_enable=0 root@openWIFI:~# nvram 提交 root@openWIFI:~# 重启
如果您需要重新打开 Web 界面,只需再次 ssh 访问并将所有内容设置为 1,然后再次重新启动。
就是这样。我们现在应该在设施中拥有一个简单的 WiFi 热点,它不允许访问我们的私有 LAN,但将使用现有的已建立 LAN。