Jump to content
Калькуляторы

Офисный Wi-Fi с поддержкой разделения прав доступа в сеть

Всем доброго времени суток!!! Во первых огромное спасибо форумчанам за дельные советы по поводу rocket m2, благодаря им удалось таки наставить руководство на путь истинный))

 

Сегодня родилась еще одна задачка, которой я хочу с вами поделиться)

У нас несколько офисов, все офисы находятся в общей корпоративной сети. В офисах для подключения ноутбуков и т.д. нужно установить Wi-Fi точки доступа, но есть одна маленькая запарка. При подключении к wi-fi ноутбук сотрудника фирмы должен получать адрес в пределах корпоративной сети, а вот ноутбук к примеру. Васи Пупкина, который зашел на чаек к гендиру, должен получить просто доступ в инет, без возможности доступа в корпоративную сеть.

Первое что пришло на ум это прокси и впн, но к сожалению было забраковано, так как ни Вася Пупкин, не гендир не хотят или не умеют настраивать подключения по впн или прокси.

Если есть какие идеи как это реализовать и на каком железе, я буду очень благодарен за подсказку. кстати на данный момент вайфайки стоят linksys c ddwrt на борту.

 

Заранее спасибо!

Share this post


Link to post
Share on other sites

Навскидку только 1 идея.. это DHCP по static MAC для сотрудников и по dynamic mac - pool для гостей.

Реализовать можно на любом вменяемом dhcp сервере. Единственное но - придется на каждого сотрудника выделять персональный адрес по DHCP.

Хотя с моей точки зрения это скорее плюс, т.к. всегда можно отследить, кто чем занимался в сети. Если сотрудников с ноутами сотни - это правда кусок работы.

Еще есть вариант - если ноуты на фирму брались из одной партии - они могут матчиться по макам одной маской, т.к. есть хорошая вероятность что маки последовательные.

Тогда просто 2 пула - 1 матчится по маске, другой - все остальные.

Это конечно не учитывает варианты попыток умышленного проникновения в корпоративную сеть.

Ибо с этим куда сложнее. Можно использовать разные SSID, каждый заворачивать в отдельный VLAN, corp SSID типа hidden и с пассфразой для сотрудников и открытый и с простым паролем WAP - для гостей.

Зачем вообще для них пароль - есть девайсы, которые без него вообще не подключаются, логика визарда такая, что пароль надо вбить. Не ноуты, а КПК старые итп.

 

Share this post


Link to post
Share on other sites

Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

Share this post


Link to post
Share on other sites

сисько и проксим это сделают точно так же как и любой другой AP. на dd-wrt не есть проблема, через VAP

Share this post


Link to post
Share on other sites
Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

решение ssid-to-vlan подразумевает два ssid на одной точке доступа???

Share this post


Link to post
Share on other sites
Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

решение ssid-to-vlan подразумевает два ssid на одной точке доступа???

Да. Будет светится два имени сети, у каждой сети свой vlan. Один из ссидов будет для офисных сотрудников с защитой, авторизацией, etc, второй для гостей.

Share this post


Link to post
Share on other sites

Ainy

по макам не прокатит к сожалению,думали уже об этом - слишком большая текучесть железяк у нас в офисе

Share this post


Link to post
Share on other sites
Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

решение ssid-to-vlan подразумевает два ssid на одной точке доступа???

Да. Будет светится два имени сети, у каждой сети свой vlan. Один из ссидов будет для офисных сотрудников с защитой, авторизацией, etc, второй для гостей.

пасибки, если это работает то это то что нужно "ушел гуглить"

 

Share this post


Link to post
Share on other sites

такс, отрыл линксис с ддврт прошивкой, создал виртуальный ssid, безопастность и т.д. выставил, а вот с настройками влан запарка, на порту циски к примеру есть два влана, один, допустим 912 с сетью 192.168.1.1\24 второй 411 10.20.171.1\24, где их разделить в ддврт хоть убейте найти не могу(((

Share this post


Link to post
Share on other sites

По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.

Share this post


Link to post
Share on other sites

По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.

сори за тупость, но я немного не понял, можно чуточку поподробнее? я думаю эта тема будет интерестна не только мне

Share this post


Link to post
Share on other sites
По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.
сори за тупость, но я немного не понял, можно чуточку поподробнее? я думаю эта тема будет интерестна не только мне

У меня была похожая задача, мне надо было создать на ТД несколько изолированных сетей друг от друга.

Одна сеть предпологалась для студентов, другая для сотрудников и последняя сеть была предназначена для управленя ТД, для этого создал три сети с именами:

Primary SSID = SIEIT

Multi-SSID1 = NATIVE

Multi-SSID2 = PRINT

 

Каждой сети назначил VLAN ID:

Primary SSID = 201

Multi-SSID1 = 54

Multi-SSID2 = 300

 

Сеть с именем SIEIT используется для доступа студентов, IP адреса назначает DHCP из динамического пула 10.10.0.64/26.

Сеть с именем NATIVE используется для управления ТД, для этого IP адрес точки доступа сменил на 172.16.0.18/30.

Сеть с именем PRINT используется для организации печати, IP адрес назначает DHCP из статического пула 192.168.0.252/30 с привязкой по MAC адресу.

 

Конфиг с ТД:

post-62341-1285415395_thumb.jpg

 

Теперь при подключении к коммутатору кадры от пользователей будут маркироваться в соответствии с указаными VLAN ID.

По умолчанию все порты коммутатора находятся в режме Swichport mode Access, т.е. не поддерживают кадры технологии 802.1Q (такой порт называется Unware), Вам надо на коммутаторе к которуму подключается ТД перевести порт в режим Swichport mode trunk, этот режим позволяет включить поддержку кадров 802.1Q (Aware).

Так же по умолчанию все не тегированные кадры принимает VLAN 1, в моем случае это VLAN 54.

 

Вот как выглядит у меня порт, который подерживает кадры 802.1Q:

post-62341-1285417223_thumb.jpg

 

Вот результат выполнения команды show bridge address-table ethernet e24, эта команда отображает записи данных переданых через swich:

post-62341-1285415364_thumb.jpg

 

На момент снимка, в сети только ТД и пользователь сети PRINT.

 

ЗЫ. вроде не чего не напутал...

 

 

 

 

Share this post


Link to post
Share on other sites
такс, отрыл линксис с ддврт прошивкой, создал виртуальный ssid, безопастность и т.д. выставил, а вот с настройками влан запарка, на порту циски к примеру есть два влана, один, допустим 912 с сетью 192.168.1.1\24 второй 411 10.20.171.1\24, где их разделить в ддврт хоть убейте найти не могу(((
Внутри ddwrt оно должно выглядеть типа:

br-lan0:

eth0.912, wlan0

br-lan1:

eth0.411, wlan1

ну и еще какой-нибудь eth0.mvid для управления точкой(точками)

Увы с интерфейсом ddwrt дела не имел никогда, в шелле настроить элементарно...

между ddwrt и cisco понятно либо транк либо акцесс с перечнем нужных виланов. Лучше 2-е, если по дороге есть vlan-enabled свичи то однозначно.

 

 

Share this post


Link to post
Share on other sites

огромное спасибо за развернутый ответ.

сейчас настраиваю все это на dd-wrt. конфиги выложу в этой теме, пусть будут, техноогия то весьма любопытная

Share this post


Link to post
Share on other sites

кстати, есть ли еще вариант - один виртуальный ссид чтобы получал адреса dhcp с wan порта

а на второй ssid dhcp раздавал линксис уже под натом?? так бы отпала необходимость вланов

Share this post


Link to post
Share on other sites

не асилил вопрос.

это как вы себе вообще представляете?

типа

br-lan:

eth0, wlan0

 

wlan1 SNAT куда? в адрес на br-lan?

 

и где тут изоляция будет?

или вы от фонаря просто спрашиваете?

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this