Я слежу за сетью небольшого учебного заведения, и мы хотим сделать беспроводной доступ в Интернет доступным для преподавателей, но не для студентов. Однако мы хотим предоставить студентам беспроводной доступ к нашей внутренней сети, чтобы они могли загружать конспекты лекций и т. Д.
У меня есть два беспроводных маршрутизатора (оба маршрутизатора Netgear - WGR614v9 и WPN824) с разными беспроводными ключами: у студентов есть ключ для первого маршрутизатора, а у преподавателей - ключ для второго. Сам доступ в Интернет осуществляется с третьего (не беспроводного) маршрутизатора / модема Netgear, который подключен к линии ADSL.
Я пробовал различные конфигурации DHCP: DHCP включен только на втором маршрутизаторе, только на первом и включен на обоих. Как правило, все компьютеры (ученика или учителя) в конечном итоге используют тот же маршрутизатор, что и их DHCP-сервер, независимо от того, какой беспроводной ключ / маршрутизатор они используют для подключения. Прямо сейчас они всегда получают свои данные от маршрутизатора учителей. Когда я настраиваю блокировку портов на маршрутизаторе учеников (чтобы блокировать порты HTTP / HTTPS / POP3 / SMTP / IMAP и т. Д.), Это, похоже, не имеет никакого значения - компьютеры учеников по-прежнему могут подключаться к Интернет вполне успешно через второй маршрутизатор (тот, который у них в качестве «шлюза по умолчанию», потому что это сервер DHCP).
Кто-нибудь знает, как я могу это настроить, чтобы люди, которые подключаются к нашей сети через первый маршрутизатор, не имели доступа в Интернет, а люди, которые подключаются к нашей сети через второй маршрутизатор, будут?
Ваше предположение (или, черт возьми, должно быть) неверно - если точки доступа не совсем бесполезны, они должны обслуживать DHCP только для устройств, связанных с ними (и вы можете подключиться только к той точке доступа, для которой вы знаете ключ).
В принципе, относитесь к каждой точке доступа как к отдельной проводной сети, и конфигурация должна просто выпасть из строя.
Вы правы, что не хотите запускать несколько DHCP-серверов в одной сети, что может привести к очень случайным результатам.
Прямо сейчас похоже, что у вас есть оба беспроводных маршрутизатора, подключенные к вашему основному маршрутизатору через их внутренние порты, используя их в основном как точки доступа вместо маршрутизаторов (просто подключаете пользователей беспроводной сети к основной сети и позволяете основному маршрутизатору делать реальное мышление) .
Если беспроводной маршрутизатор, на котором работают учащиеся, позволяет вам настроить правила блокировки портов для определенных адресов, вы можете установить на нем блокировку всей связи, а затем разрешить определенные правила для ваших внутренних серверов. Затем подключите этот маршрутизатор к основной сети через порт Интернет / WAN на маршрутизаторе и включите на нем DHCP. Это сделает так, что студенты будут сегментированы в своей собственной сети и смогут получить доступ к вашей основной сетевой маршрутизации только через беспроводной маршрутизатор, на котором установлены правила.
Итак, у вас будет:
Подключение к Интернету <-> Порт WAN главного маршрутизатора
Внутренний порт главного маршрутизатора <-> Внутренний порт беспроводного маршрутизатора учителя
Внутренний порт главного маршрутизатора <-> Порт WAN студенческого беспроводного маршрутизатора
Любой, кто подключен к основному маршрутизатору или беспроводной сети учителя, будет находиться в одной сети и иметь нормальный доступ. Любой, кто подключен к беспроводной сети учащегося, будет находиться в другой сети за беспроводным маршрутизатором учащегося и будет подчиняться правилам, установленным на этом маршрутизаторе.
В противном случае вы захотите настроить DMZ, чтобы отделить студентов от всех остальных, а затем установить свои конкретные правила, которые им разрешено делать. Ваше текущее оборудование может не поддерживать это, ваш основной проводной маршрутизатор будет единственным, на что стоит обратить внимание.
Я думаю, что любая комбинация здесь приведет к спагетти и двойному NAT, который не будет работать для некоторых вещей, хотя я думаю, что просмотр веб-страниц будет в порядке. Как насчет проверки DD-WRT вместо?