Назад | Перейти на главную страницу

Лучший способ подключить беспроводной двойной SSID / VLAN к межсетевому экрану Watchguard

В настоящее время я разбираю нашу сеть, чтобы у нас были новые точки беспроводного доступа с двумя SSID, одна для внутреннего использования, а другая для гостевого использования. Они будут настроены таким образом, чтобы каждый SSID находился в отдельной VLAN. Я подключаю их все к переключателю PoE. Обратите внимание: точки доступа НЕ являются собственностью Watchguard.

У меня вопрос, как лучше всего подключить это к нашему брандмауэру Watchguard. В настоящее время вся внутренняя сеть находится в одной подсети / 24 и подключается к одному доверенному порту на Watchguard. Нет задействованных VLAN. DHCP предоставляется клиентам (проводным и беспроводным) сервером Windows в этой сети.

Мои возможные решения:

  1. Подключите существующие внутренние сетевые коммутаторы к моему новому коммутатору PoE (с новыми беспроводными точками), а затем подключите этот коммутатор к Firebox. Измените существующий доверенный порт Firebox на VLAN с одной VLAN для доверенной и одной для гостевой WiFi. Watchguard будет выполнять DHCP для гостевого Wi-Fi, а доверенный Wi-Fi будет продолжать поступать с существующего DHCP-сервера (и использовать существующую подсеть).

  2. Оставьте существующую доверенную сеть почти как есть и подключите новый коммутатор PoE к отдельному порту на Watchguard. Настройте его как порт VLAN, снова с двумя VLAN, но с Watchguard, выполняющим DHCP для обоих, то есть доверенные беспроводные клиенты теперь будут в новой подсети. Это потребовало бы некоторой дополнительной конфигурации брандмауэра для маршрутизации между существующей доверенной сетью и новой доверенной беспроводной подсетью.

Я склонялся к (1), но мне интересно, является ли (2) лучшим методом, поскольку он, кажется, обеспечивает большее разделение для гостевого WiFi. Хотя по идее VLAN все равно должна его разделять.

Любые мысли приветствуются.

Вам нужен вариант 1.

Настройте свои VLAN в конфигурации watchguard и настройте интерфейс, чтобы он был в обеих VLAN. На новом коммутаторе POE настройте один порт в качестве порта доступа в вашей штатной VLAN и подключите к нему существующий коммутатор. Сконфигурируйте остальные порты как транки с обеими VLAN - они идут к топке и к точкам доступа.

При настройке VLAN вы также можете указать настройки DHCP-сервера. Оставьте его выключенным для доверенной VLAN и включите для гостевой. Таким образом, ваш сервер продолжит выполнять DHCP для доверенных компьютеров, а брандмауэр будет делать это для гостей.

При настройке точек доступа убедитесь, что их интерфейс управления находится в доверенной сети. То же самое и с переключателями. Ни одному из них не требуется иметь IP-адрес в гостевой VLAN.

Для безопасного разделения трафика достаточно VLAN.

Убедитесь, что новый коммутатор POE может обрабатывать весь трафик от остальной сети. Если это модель более низкого уровня, и ваши существующие коммутаторы являются более быстрыми управляемыми коммутаторами, вам, вероятно, лучше настроить их также для VLAN и отключить их от нового POE.

Вариант 2 усложнит жизнь, поскольку надежные соединения Wi-Fi оказываются в другой подсети. Насколько это сложно, зависит от того, что делают люди, но в целом я бы предпочел, чтобы все работали в одной подсети. Поступая таким образом, вы не получите никакой безопасности.