有两栋大楼通过光纤连接,每栋大楼有 3-10 台电脑,但有些电脑用于商业环境,有些电脑用于家庭环境。不幸的是,几年前设计网络时,没有人采取措施将这两个环境分开。
A 栋
有服务器、打印机、工作电脑、客用电脑、个人智能手机。
这也是唯一的互联网连接两栋大楼都使用。使用
防火墙 (pfsense) 解决了这个问题,该防火墙将办公室 LAN 和具有不同接入点的智能手机和访客 PC 网段分开。有两个 DHCP 将两个网络分开。
我希望访客能够使用 LAN 上的正常工作的打印机,但我不知道防火墙中的规则是否足够。
B栋
这里也有打印机、工作电脑、智能手机和客用电脑。
这里还有个人电脑、xBox、智能电视等。
仅使用 A 栋楼 LAN 的 DHCP
因此会出现更多安全问题因此我需要在不修改网络布线的情况下将三个环境(工作、客人和家庭)分开。
我不知道创建 VLAN 是否足够,无论如何,要连接到 Internet 或 A 楼的服务器,流量必须始终通过单根光纤。
还必须考虑到我们在房屋中没有管理的可能性。有一个网络点,但我们不知道它将如何使用;因此必须在网络点的上游进行检查。
但是,在这里我可以安装第二个 pfsense 防火墙。
提前感谢任何建议。
答案1
我假设所有 PC 和打印机都连接到支持 VLAN 的托管交换机。如果不是这样,除非您进行更改,否则您几乎无能为力。
在每个站点创建三个 VLAN:工作、家庭和访客。通过光纤链路将这 3 个 VLAN 中继到防火墙,这样防火墙就是每个 VLAN 的默认网关。
然后,您可以根据每个端口上的设备类型将每个端口分配给正确的 VLAN。
现在,您可以在防火墙上创建策略来隔离每个 VLAN。首先,我建议您允许所有 VLAN 访问互联网,但不允许一个 VLAN 中的设备访问另一个 VLAN。这样,您就可以将家庭和企业设备分开。