Мне нужно настроить отдельную сеть Wi-Fi для гостей, и я ищу достойный маршрутизатор, который может быть частью локальной сети, но ограничивать доступ, чтобы он мог маршрутизировать только шлюз / WLAN.
Есть ли маршрутизаторы Wi-Fi, которые могут это сделать из коробки? Я бы предпочел не использовать настраиваемые WRT-54 или настраиваемое программное обеспечение для точек доступа, поскольку мне не нужны страницы входа / генераторы паролей или какие-либо дополнительные функции, только статическая настройка, но без доступа к локальной сети!
Задача вашей локальной сети - защитить себя от беспроводного маршрутизатора, а не беспроводного маршрутизатора - защитить вашу локальную сеть.
В зависимости от размера вашего сайта -
повесить AP на интерфейсе на вашем брандмауэре
настройте изолированный vlan и подключите AP к этому vlan, а затем подключите этот vlan к межсетевому экрану.
Теперь настройте брандмауэр, чтобы разрешить этой сети доступ к Интернету, но не к внутренней сети.
Наконец, если вы не хотите это настраивать, купите себе netscreen 5gt-221 со встроенной беспроводной связью. Позже, если вы решите, что вам нужно больше точек доступа, вы можете подключить их к интерфейсу на экране netscreen.
Позвольте мне предварять это комментарием, который вы НЕ ДОЛЖЕН ДЕЛАТЬ ЭТОГО
Вы можете установить подсеть "внешнего" интерфейса на любой "беспроводной маршрутизатор", который не является / 30 и включает только ваш текущий маршрутизатор / брандмауэр. Само собой разумеется, что вам нужно сделать правила на межсетевом экране не разрешить трафик от беспроводного маршрутизатора в остальную часть производственной сети / 24.
Допустим, в конфигурации вашего текущего брандмауэра / маршрутизатора 10.10.1.1/24 используется внутренний интерфейс для вашей производственной сети. Установите интерфейс AP на 10.10.1.2, и он внешний интерфейс маска сети должна быть / 30 (или 255.255.255.252. Теперь ваша точка доступа будет отправлять весь трафик (который не в беспроводной сети) на брандмауэр. Сделайте конечно беспроводной маршрутизатор выполняет NAT и не действует как мост.
Так --
router: 10.10.1.1/24 (production network)
AP: 10.10.1.2/30 (outside)
10.10.2.1/24 (inside)
10.10.1.1 -> AP's default route
Наконец, если вы хотите разместить больше AP в этой "беспроводной сети" - установите все SSID, чтобы они были одинаковыми, уменьшите мощность на всех AP, установите их на разные каналы и выключите DHCP на всех, кроме одного подключенного. к брандмауэру, а затем подключите «внутренний» интерфейс каждой новой точки доступа к «внутренним» сетевым интерфейсам первой точки доступа.
Не зная более подробной информации о вашей существующей локальной сети, я бы предложил изучить VLAN. Если ваша существующая инфраструктура поддерживает сети VLAN, вы можете приобрести точку доступа, которая поддерживает сети VLAN. Cisco, D-Link и другие имеют точки доступа для малого бизнеса, которые их поддерживают. Затем вы должны настроить коммутационное оборудование для маршрутизации всего вашего беспроводного гостевого трафика через выделенную VLAN и напрямую использовать отдельный интерфейс в вашем брандмауэре или маршрутизаторе. При правильной настройке это предотвратит доступ к трафику вашей локальной сети.