Я пытаюсь настроить сеть, в которой каждый компьютер не должен видеть другие в сети, только маршрутизатор. Участвующие в этом люди не обязательно знают друг друга и не обязательно много знают о настройке сети. Проблема, которую мы пытаемся решить, заключается в том, что иногда люди подключают свой собственный беспроводной маршрутизатор, но непреднамеренно подключают LAN-порт к главному коммутатору, создавая конфликт между его DHCP-сервером и сервером на основном маршрутизаторе.
Я полагаю, что VLANS решит проблему. Поскольку я не могу рассчитывать на то, что подключаемое оборудование поддерживает тегированные VLAN, я должен полагаться на то, что коммутатор находится в немаркированном режиме для всех клиентов, а затем коммутатор должен поддерживать транкинг VLAN, что позволяет всем клиентам видеть его и иметь возможность доступ в Интернет.
Итак, у кого-нибудь есть предложения по маршрутизатору, который может это поддерживать? Было бы неплохо что-нибудь с графическим интерфейсом, так как я слишком ленив для работы с командной строкой. Используемый маршрутизатор - Linksys WRT160N, поэтому, возможно, его можно использовать с OpenWrt или подобным.
Что вы думаете?
РЕДАКТИРОВАТЬ: Я посмотрел, как это сделать в DD-WRT, но указания, приведенные здесь http://www.dd-wrt.com/wiki/index.php/VLAN_Detached_Networks_(Separate_Networks_With_Internet) не объясняйте, как это сделать, если вам нужно более 4-х вланов. Я предполагаю, что могу создать большее количество vlan и разделить их все?
Если ваша единственная реальная проблема заключается в том, что некоторые люди подключают устройство DHCP к сети - настройте фильтрацию DHCP на коммутаторе, или, если у вас ее нет, получите ее. Если не можете - настройте что-нибудь, чтобы отслеживать и предупреждать о нежелательном поведении.
Вы можете пойти дальше - приличный переключатель позволит вам также настроить фильтрацию MAC-адресов - вы можете предотвратить работу неавторизованных устройств в период сети.
Привет, ребята, спасибо за все ваши отличные ответы, я собираюсь приобрести коммутатор Dell (серия 54xx), который позволит мне блокировать мошеннические DHCP-серверы. Это выглядит довольно просто в настройке - я не думаю (надеюсь), что мне нужны очень продвинутые инструменты для устранения неполадок.
Отслеживание DHCP - это, очевидно, термин, который можно было бы найти для такого рода функций.
Я отправлю ответ, когда все заработает.
Я думаю, что вам действительно нужна поддержка Private VLAN. Это больше вопрос коммутатора, чем маршрутизатора. Я не уверен в параметрах на основе графического интерфейса. Я знаю, что у Cisco это действительно хорошо (сюрприз!). Вот список поддерживаемых ими переключателей:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
Если вам нужен мощный роутер, я бы порекомендовал Mikrotik (http://www.mikrotik.com). Это не так просто настроить, так как вы должны знать, как работают подсети, брандмауэр и другие связанные вещи. Но это позволит значительно улучшить отладку сети по сравнению с DD-WRT (личное мнение!). И это подходит для вашего варианта использования, если вы хотите обеспечить подключение к Интернету нескольких квартир в доме.
Я бы хотел, чтобы каждый пользователь (порт Ethernet) назначил идентификатор VLAN - на порту коммутатора определите PVID, который является VLAN по умолчанию, назначенной пакету без идентификатора VLAN. Порт к маршрутизатору будет транком для всех VLAN и, следовательно, порт на маршрутизаторе. В маршрутизаторе разрешено соединение только между vlan и интернет-интерфейсом, поэтому связь между пользователями будет прервана. И если некоторые пользователи хотят общаться между собой (игры, вазинг), нет проблем с добавлением правил в брандмауэр.
Последнее замечание о «общении двух пользователей»: вы можете объединить их в одну VLAN, чтобы данные передавались только через коммутатор, что экономит пропускную способность маршрутизатора, ИЛИ они могут оставаться в разных VLAN, и вы включите желаемый обмен данными на межсетевом экране. Второй подход позволяет лучше контролировать, но потребляет большую полосу пропускания маршрутизатора, поэтому вам следует подумать о QoS.
Если проблема заключается только в мошеннических серверах DHCP, просто настройте коммутаторы так, чтобы разрешать только авторизованные серверы DHCP (в зависимости от коммутатора, например [ProCurve 28xx] [1]). Или (если они не поддерживают что-то подобное) просто заблокируйте предложения DHCP (но не запросы), поступающие с клиентских машин / неавторизованных портов.
У частных VLAN есть некоторые проблемы, когда они блокируют вещи, которые вы, возможно, не хотите блокировать, например службы UPnP / Bonjour между клиентами, и, вероятно, излишни для ваших нужд.