我目前正在整理我们的网络,以便我们可以拥有具有双 SSID 的新无线接入点,一个供内部使用,一个供访客使用。这些将设置为每个 SSID 位于不同的 VLAN 上。我将它们全部连接到 PoE 交换机。注意,AP 不是 Watchguard 自己的。
我的问题是如何最好地将其连接到我们的 Watchguard 防火墙。目前整个内部网络位于单个 /24 子网上,并连接到 Watchguard 上的一个受信任端口。不涉及 VLAN。此网络上的 Windows Server 为客户端(有线和无线)提供 DHCP。
我可能的解决方案:
将现有的内部网络交换机连接到我的新 PoE 交换机(带有新的无线点),然后将该交换机连接到 Firebox。将现有的 Firebox 受信任端口更改为 VLAN,其中一个 VLAN 用于受信任,另一个用于访客 WiFi。Watchguard 将为访客 Wifi 执行 DHCP,而受信任的 Wifi 将继续来自现有的 DHCP 服务器(并使用现有的子网)。
保持现有受信任网络的原样,并将新的 PoE 交换机连接到 Watchguard 上的单独端口。将其配置为 VLAN 端口,同样有两个 VLAN,但 Watchguard 为这两个 VLAN 执行 DHCP,即受信任的无线客户端现在将位于新子网中。这将需要一些额外的防火墙配置来在现有受信任网络和新的受信任无线子网之间进行路由。
我倾向于 (1),但我想知道 (2) 是否是更好的方法,因为它似乎为访客 WiFi 提供了更多的隔离。尽管理论上 VLAN 无论如何都应该将其隔离。
欢迎任何想法。
答案1
您想要选项 1。
在 watchguard 的配置中设置您的 VLAN,并设置一个接口以位于两个 VLAN 上。在新的 POE 交换机上,将一个端口配置为员工 VLAN 上的访问端口,并将现有交换机插入其中。将其余端口配置为具有两个 VLAN 的中继 - 这些端口连接到 firebox 和 AP。
配置 VLAN 时,您还可以指定 DHCP 服务器设置。对于受信任的 VLAN,请将其关闭,而对于来宾 VLAN,请将其打开。这样,您的服务器将继续为受信任的计算机执行 DHCP,而防火墙将为来宾执行此操作。
配置 AP 时,请确保其管理接口位于受信任网络上。交换机也一样。两者都不需要在来宾 VLAN 上有任何 IP 地址。
VLAN 足以安全地分离流量。
确保新的 POE 交换机可以处理来自网络其余部分的所有流量。如果它是低端型号,并且您现有的交换机是更快的托管交换机,那么最好也为 VLAN 配置它们,并将新的 POE 交换机链接到它们。
选项 2 会让事情变得更加困难 - 因为受信任的 wifi 连接最终会位于不同的子网上。这有多麻烦取决于人们做什么,但总的来说,我更愿意让每个人都在同一个子网上。这样做实际上不会获得任何安全性。