В настоящее время я настраиваю некоторые D-Link DAP-2553 Точки доступа WiFi. У них есть возможность транслировать несколько SSID. Эти SSID могут быть назначены VLANS (в чем я новичок). Я хотел бы иметь внутреннюю сеть (которая, как я предполагаю, будет VLAN1) и гостевую сеть (например, VLAN2).
Я бы хотел, чтобы внутренняя сеть имела доступ к «сети», чтобы они могли получить доступ к нашим серверам и т. Д. Гостевая сеть должна иметь доступ только к Интернету. Точки доступа имеют возможность предотвращать перекрестную связь между клиентами с одним и тем же SSID, поэтому, если они находятся в VLAN, отдельной от основной сети, они не смогут получить доступ ни к чему, кроме Интернета. По моему мнению, нам нужен коммутатор L2 (например, этот one) для обработки трафика VLAN. Затем этот коммутатор должен перейти к маршрутизатору L3 для обработки DHCP и DNS для двух разных виртуальных локальных сетей.
Это звучит правильно? У нас очень ограниченный бюджет, и получение маршрутизатора L3 выглядит очень дорого. Есть ли какие-нибудь недорогие маршруты для этого?
Да, здесь все звучит правильно, по крайней мере, с точки зрения ваших требований к SSID и VLAN. Сколько пользователей вы хотите поддержать? (Требования к производительности этой установки, вероятно, являются наиболее важным аспектом, о котором стоит задуматься.) Если вы действительно ориентируетесь на стоимость и не должны придерживаться «корпоративных» стандартов, у вас есть несколько вариантов для маршрутизатора L3. Сервер Linux может быть установлен всего за несколько сотен долларов, которых будет достаточно, если сетевая карта (даже если только один интерфейс) поддерживает транкинг VLAN к вашим коммутаторам (большинство из них, особенно в Linux). Другой вариант - использовать маршрутизатор / точку доступа SOHO, который поддерживает что-то вроде OpenWrt. При использовании этого маршрута технические характеристики оборудования намного меньше, чем даже у минимального компьютера, поэтому вам просто нужно учитывать емкость оборудования (ЦП + ОЗУ) для активного количества подключений и т. Д. Из маршрутизаторов SOHO что-то вроде Ubiquiti RouterStation Pro может быть вашим лучшим вариантом.
Если вам не нужны коммутаторы ни для чего, кроме поддержки трафика беспроводной VLAN - и, опять же, если вы действительно хотите сократить расходы и не придерживаетесь «корпоративных» стандартов, вы можете использовать некоторые из тех же Маршрутизаторы / точки доступа SOHO в качестве коммутаторов. Что-то вроде RouterStation Pro или даже NetGear WNDR3800 или D-Link DIR-825 иметь 4-5 портов Gigabit Ethernet на настраиваемом коммутаторе, включая поддержку VLAN.
Для максимум 15 пользователей вы, скорее всего, можете запустить всю настройку на одном RouterStation Pro, включая DHCP и DNS, с дополнительными точками доступа, необходимыми только в том случае, если вам нужно преодолеть дополнительное расстояние. Я размещаю почти это на D-Link DIR-825. В другом месте в школе, которую я поддерживаю, у нас есть 10 ПК и 5+ ноутбуков на пару старых Linksys WRT54GLс. Один действует как маршрутизатор (включая DNS) и точка доступа. Другой - лишь вторичная точка доступа для расширенного диапазона. Отдельный сервер существует как файловый сервер / контроллер домена Windows, который также обрабатывает DHCP (хотя в этом нет необходимости). Обратите внимание, что я не использую настройку multi-SSID в школе, хотя, опять же, я, вероятно, смог бы при необходимости.
Что касается рекомендаций относительно того, какой сервер должен работать повторно, я бы порекомендовал ваш любимый дистрибутив Linux. Для примера см. Мой Проект обновления маршрутизатора Ubuntu Linux серия сообщений в моем блоге, в частности Включение маршрутизации и NAT с помощью iptables и Настройка LAN DCHP и динамического DNS под Ubuntu Linux. Хотя мои сообщения были написаны для Ubuntu, большинство инструкций почти одинаково применимы к любому дистрибутиву Linux. Я также использую те же сообщения в своей сети сегодня, когда пишу это, обновляясь с каждым выпуском Ubuntu каждые 6 месяцев - так что заметки довольно «стабильны».
Привет, сервер, который ты поставил Pfsense в теме. Он поддерживает теги vlan с правильным ником. затем вы можете настроить фильтры для каждого vlan независимо.