Renesco Опубликовано 21 сентября, 2010 · Жалоба Всем доброго времени суток!!! Во первых огромное спасибо форумчанам за дельные советы по поводу rocket m2, благодаря им удалось таки наставить руководство на путь истинный)) Сегодня родилась еще одна задачка, которой я хочу с вами поделиться) У нас несколько офисов, все офисы находятся в общей корпоративной сети. В офисах для подключения ноутбуков и т.д. нужно установить Wi-Fi точки доступа, но есть одна маленькая запарка. При подключении к wi-fi ноутбук сотрудника фирмы должен получать адрес в пределах корпоративной сети, а вот ноутбук к примеру. Васи Пупкина, который зашел на чаек к гендиру, должен получить просто доступ в инет, без возможности доступа в корпоративную сеть. Первое что пришло на ум это прокси и впн, но к сожалению было забраковано, так как ни Вася Пупкин, не гендир не хотят или не умеют настраивать подключения по впн или прокси. Если есть какие идеи как это реализовать и на каком железе, я буду очень благодарен за подсказку. кстати на данный момент вайфайки стоят linksys c ddwrt на борту. Заранее спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 21 сентября, 2010 · Жалоба Навскидку только 1 идея.. это DHCP по static MAC для сотрудников и по dynamic mac - pool для гостей. Реализовать можно на любом вменяемом dhcp сервере. Единственное но - придется на каждого сотрудника выделять персональный адрес по DHCP. Хотя с моей точки зрения это скорее плюс, т.к. всегда можно отследить, кто чем занимался в сети. Если сотрудников с ноутами сотни - это правда кусок работы. Еще есть вариант - если ноуты на фирму брались из одной партии - они могут матчиться по макам одной маской, т.к. есть хорошая вероятность что маки последовательные. Тогда просто 2 пула - 1 матчится по маске, другой - все остальные. Это конечно не учитывает варианты попыток умышленного проникновения в корпоративную сеть. Ибо с этим куда сложнее. Можно использовать разные SSID, каждый заворачивать в отдельный VLAN, corp SSID типа hidden и с пассфразой для сотрудников и открытый и с простым паролем WAP - для гостей. Зачем вообще для них пароль - есть девайсы, которые без него вообще не подключаются, логика визарда такая, что пароль надо вбить. Не ноуты, а КПК старые итп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
veresk Опубликовано 21 сентября, 2010 · Жалоба Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности. В кабельной среде гостевой влан режете как хотите. Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 21 сентября, 2010 · Жалоба сисько и проксим это сделают точно так же как и любой другой AP. на dd-wrt не есть проблема, через VAP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shpas Опубликовано 22 сентября, 2010 · Жалоба Самое простое - Zyxel P-330W EE. Вот ссылка, где нужно было решить обратную проблему: http://www.lan23.ru/forum/showthread.php?t=5161 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 22 сентября, 2010 · Жалоба Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.В кабельной среде гостевой влан режете как хотите. Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны. решение ssid-to-vlan подразумевает два ssid на одной точке доступа??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 22 сентября, 2010 · Жалоба Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.В кабельной среде гостевой влан режете как хотите. Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны. решение ssid-to-vlan подразумевает два ssid на одной точке доступа??? Да. Будет светится два имени сети, у каждой сети свой vlan. Один из ссидов будет для офисных сотрудников с защитой, авторизацией, etc, второй для гостей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 22 сентября, 2010 · Жалоба Ainy по макам не прокатит к сожалению,думали уже об этом - слишком большая текучесть железяк у нас в офисе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 22 сентября, 2010 · Жалоба Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.В кабельной среде гостевой влан режете как хотите. Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны. решение ssid-to-vlan подразумевает два ssid на одной точке доступа??? Да. Будет светится два имени сети, у каждой сети свой vlan. Один из ссидов будет для офисных сотрудников с защитой, авторизацией, etc, второй для гостей. пасибки, если это работает то это то что нужно "ушел гуглить" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 23 сентября, 2010 · Жалоба такс, отрыл линксис с ддврт прошивкой, создал виртуальный ssid, безопастность и т.д. выставил, а вот с настройками влан запарка, на порту циски к примеру есть два влана, один, допустим 912 с сетью 192.168.1.1\24 второй 411 10.20.171.1\24, где их разделить в ддврт хоть убейте найти не могу((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 23 сентября, 2010 · Жалоба По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 23 сентября, 2010 · Жалоба По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть. сори за тупость, но я немного не понял, можно чуточку поподробнее? я думаю эта тема будет интерестна не только мне Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garmonik Опубликовано 25 сентября, 2010 · Жалоба По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.сори за тупость, но я немного не понял, можно чуточку поподробнее? я думаю эта тема будет интерестна не только мне У меня была похожая задача, мне надо было создать на ТД несколько изолированных сетей друг от друга. Одна сеть предпологалась для студентов, другая для сотрудников и последняя сеть была предназначена для управленя ТД, для этого создал три сети с именами: Primary SSID = SIEIT Multi-SSID1 = NATIVE Multi-SSID2 = PRINT Каждой сети назначил VLAN ID: Primary SSID = 201 Multi-SSID1 = 54 Multi-SSID2 = 300 Сеть с именем SIEIT используется для доступа студентов, IP адреса назначает DHCP из динамического пула 10.10.0.64/26. Сеть с именем NATIVE используется для управления ТД, для этого IP адрес точки доступа сменил на 172.16.0.18/30. Сеть с именем PRINT используется для организации печати, IP адрес назначает DHCP из статического пула 192.168.0.252/30 с привязкой по MAC адресу. Конфиг с ТД: Теперь при подключении к коммутатору кадры от пользователей будут маркироваться в соответствии с указаными VLAN ID. По умолчанию все порты коммутатора находятся в режме Swichport mode Access, т.е. не поддерживают кадры технологии 802.1Q (такой порт называется Unware), Вам надо на коммутаторе к которуму подключается ТД перевести порт в режим Swichport mode trunk, этот режим позволяет включить поддержку кадров 802.1Q (Aware). Так же по умолчанию все не тегированные кадры принимает VLAN 1, в моем случае это VLAN 54. Вот как выглядит у меня порт, который подерживает кадры 802.1Q: Вот результат выполнения команды show bridge address-table ethernet e24, эта команда отображает записи данных переданых через swich: На момент снимка, в сети только ТД и пользователь сети PRINT. ЗЫ. вроде не чего не напутал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 27 сентября, 2010 · Жалоба такс, отрыл линксис с ддврт прошивкой, создал виртуальный ssid, безопастность и т.д. выставил, а вот с настройками влан запарка, на порту циски к примеру есть два влана, один, допустим 912 с сетью 192.168.1.1\24 второй 411 10.20.171.1\24, где их разделить в ддврт хоть убейте найти не могу(((Внутри ddwrt оно должно выглядеть типа:br-lan0: eth0.912, wlan0 br-lan1: eth0.411, wlan1 ну и еще какой-нибудь eth0.mvid для управления точкой(точками) Увы с интерфейсом ddwrt дела не имел никогда, в шелле настроить элементарно... между ddwrt и cisco понятно либо транк либо акцесс с перечнем нужных виланов. Лучше 2-е, если по дороге есть vlan-enabled свичи то однозначно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 30 сентября, 2010 · Жалоба огромное спасибо за развернутый ответ. сейчас настраиваю все это на dd-wrt. конфиги выложу в этой теме, пусть будут, техноогия то весьма любопытная Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Renesco Опубликовано 1 октября, 2010 · Жалоба кстати, есть ли еще вариант - один виртуальный ссид чтобы получал адреса dhcp с wan порта а на второй ssid dhcp раздавал линксис уже под натом?? так бы отпала необходимость вланов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 1 октября, 2010 · Жалоба не асилил вопрос. это как вы себе вообще представляете? типа br-lan: eth0, wlan0 wlan1 SNAT куда? в адрес на br-lan? и где тут изоляция будет? или вы от фонаря просто спрашиваете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...