Предисловие: Я не сетевой или системный администратор. У меня есть небольшой опыт работы в сети, но он ограничен базовой конфигурацией маршрутизатора, такой как переадресация портов, установка альтернативных DNS-серверов, расширение диапазона и т. Д. Я вроде понимаю более сложные вещи, такие как VLAN и маски подсети, но не очень хорошо.
Наша текущая установка:
У нас есть около 8 компьютеров и 1 принтер, подключенный через Ethernet к довольно старому коммутатору, который затем подключается к беспроводному маршрутизатору Cisco WRVS4400n. У нас также есть около 5 компьютеров, подключенных к роутеру по беспроводной сети.
Проблема в том, что у нас в офисе есть два типа людей: сотрудники и гости. Им обоим нужен доступ к Интернету и принтеру, но они не должны иметь возможность общаться друг с другом, и у нас есть службы, запущенные на моем компьютере разработчика, и мы определенно не хотим, чтобы гости имели доступ.
Я начал с создания двух SSID, частного и общедоступного, и включил беспроводную изоляцию между ними. Таким образом, сотрудники частной сети не могут общаться с гостями в общедоступной сети. Что идеально, за исключением того, что они могут видеть и общаться со всеми компьютерами, подключенными через Ethernet.
Я провел небольшое исследование, и похоже, что VLAN - это лучший вариант. Итак, я создал 3 VLAN:
Затем я назначил частный SSID VLAN 1, а общедоступный SSID - VLAN 2. Что, похоже, работает.
Что я не могу понять, как сделать, так это поместить принтер в VLAN 3 и заставить VLAN 3 взаимодействовать с VLAN 1 и VLAN 2? Я уверен, что это как-то связано с масками подсети, но я не совсем уверен, как их использовать, и несколько часов возни, которые я проделал, ни к чему не привели. Любая помощь будет принята с благодарностью, спасибо!
Приобрести посетителям второй принтер - серьезно.
Если вы хотите сделать это «в сети» правильно (то есть безопасно), вам понадобится маршрутизатор или коммутатор уровня 3 - либо это слишком сложно, и, вероятно, слишком дорого, по сравнению с покупкой второго принтера.
Принтер должен понимать, что VLAN находятся на магистральном порту. Удачи с этим.
Или вы могли бы поместить туда маршрутизатор, который обрабатывал бы перемещение битов между VLAN. Я делаю это, например, дома и на работе.
Или вы можете потратить несколько долларов и купить другой принтер. Я лично не чувствую себя комфортно, позволяя частным документам находиться на принтере, который общественный использует или имеет доступ в любом случае, поэтому переместите частный в частную зону и поставьте дешевый лазерный принтер для общего пользования.
Каноническое решение для этого - назначить 3 IP-подсети, по одной для каждой VLAN, и использовать маршрутизатор на флешке (маршрутизатор, который просто подключается к магистральному порту VLAN, используя только один физический сетевой адаптер, имеет IP-адрес в каждой подсети VLAN и маршруты между ними). Маршрутизатор должен поддерживать достаточную функциональность брандмауэра для фильтрации трафика между VLAN 1 и 2. В этом случае весь трафик к принтеру будет маршрутизироваться через маршрутизатор на флешке. Маршрутизатор WAP + может иметь достаточную функциональность для эмуляции маршрутизатора на флешке, поэтому физический маршрутизатор не требуется (особенно, если он работает с DD-WRT).
С точки зрения безопасности, это может быть скомпрометировано, если кто-то может поместить NAT-маршрутизатор в VLAN 3, который маршрутизирует между VLAN 1 и 2, взломав принтер или что-то еще. Если это вызывает беспокойство или решение VLAN оказывается слишком сложным, не делитесь принтером, а используйте отдельные.