我正在尝试设计一个带有 pfSense 防火墙/路由器的网络。在 pfSense 中,我创建了四个子网,它们位于 pfSense 硬件上的单独物理端口(不是 VLAN)上:
这个想法是,这些网络是分段式的,它们之间的通信方式受到严格控制,以确保基于防火墙规则的安全。例如,不安全的物联网设备将位于自己的网络上,无法与不同子网上更重要的设备通信。我还没有创建防火墙规则,所以还没有完全决定如何设置这些子网。
这是我认为我的网络应该是什么样子的粗略图。我用颜色编码来表示每个不同的子网。请注意,实线是硬连线以太网设备,虚线是无线设备。
如您所见,我有一个主管理交换机,其中连接有一个 UnFi 无线接入点,以及 SEC(蓝色)和 LAN(绿色)网络中的其他交换机,它们都有一些有线设备。
我的问题是如何将无线设备连接到一个接入点,以便无线接入点包含/分段来自该无线设备的流量到我的 pfSense 防火墙上的正确物理子网端口,并且不会与来自不同子网上的无线设备的流量混合?当然,子网如何相互通信将基于 pfSense 的防火墙规则,我尚未实现。
例如,如果我有一部电话连接到我的 LAN(绿色)网络上的无线接入点,并且有一台打印机连接到我的 IOT(红色)网络上的同一个 AP,我该如何确保它们都可以连接到无线接入点,同时确保流量根据防火墙规则进行分段?
我对网络还很陌生,但我想我听说过托管交换机可以通过有线设备实现这一点,你可以控制每个端口上的流量流向。但我不知道这是否适用于来自无线接入点的无线流量。
我见过YouTube 视频有人在单个接入点上设置了不同的 SSID,以便不同子网上的无线设备连接到不同的 SSID,然后在接入点上,他们创建了连接到每个 SSID 的不同 VLAN 来分段每个 SSID,但我不确定这是否可以帮助我,因为我的分段网络都连接到 pfSense 防火墙上的不同物理端口,而不是一个物理端口上的多个 VLAN。
我不确定应该如何实现这一点。但总体思路是,我想要针对不同目的使用不同的分段网络,这些网络受防火墙规则严格控制,但能够让无线设备连接到一个无线接入点,该接入点连接到主管理交换机,并确保流量被分段,无论是无线还是有线。