Перейти к содержимому
Калькуляторы

Офисный Wi-Fi с поддержкой разделения прав доступа в сеть

Всем доброго времени суток!!! Во первых огромное спасибо форумчанам за дельные советы по поводу rocket m2, благодаря им удалось таки наставить руководство на путь истинный))

 

Сегодня родилась еще одна задачка, которой я хочу с вами поделиться)

У нас несколько офисов, все офисы находятся в общей корпоративной сети. В офисах для подключения ноутбуков и т.д. нужно установить Wi-Fi точки доступа, но есть одна маленькая запарка. При подключении к wi-fi ноутбук сотрудника фирмы должен получать адрес в пределах корпоративной сети, а вот ноутбук к примеру. Васи Пупкина, который зашел на чаек к гендиру, должен получить просто доступ в инет, без возможности доступа в корпоративную сеть.

Первое что пришло на ум это прокси и впн, но к сожалению было забраковано, так как ни Вася Пупкин, не гендир не хотят или не умеют настраивать подключения по впн или прокси.

Если есть какие идеи как это реализовать и на каком железе, я буду очень благодарен за подсказку. кстати на данный момент вайфайки стоят linksys c ddwrt на борту.

 

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Навскидку только 1 идея.. это DHCP по static MAC для сотрудников и по dynamic mac - pool для гостей.

Реализовать можно на любом вменяемом dhcp сервере. Единственное но - придется на каждого сотрудника выделять персональный адрес по DHCP.

Хотя с моей точки зрения это скорее плюс, т.к. всегда можно отследить, кто чем занимался в сети. Если сотрудников с ноутами сотни - это правда кусок работы.

Еще есть вариант - если ноуты на фирму брались из одной партии - они могут матчиться по макам одной маской, т.к. есть хорошая вероятность что маки последовательные.

Тогда просто 2 пула - 1 матчится по маске, другой - все остальные.

Это конечно не учитывает варианты попыток умышленного проникновения в корпоративную сеть.

Ибо с этим куда сложнее. Можно использовать разные SSID, каждый заворачивать в отдельный VLAN, corp SSID типа hidden и с пассфразой для сотрудников и открытый и с простым паролем WAP - для гостей.

Зачем вообще для них пароль - есть девайсы, которые без него вообще не подключаются, логика визарда такая, что пароль надо вбить. Не ноуты, а КПК старые итп.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сисько и проксим это сделают точно так же как и любой другой AP. на dd-wrt не есть проблема, через VAP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое простое - Zyxel P-330W EE. Вот ссылка, где нужно было решить обратную проблему:

http://www.lan23.ru/forum/showthread.php?t=5161

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

решение ssid-to-vlan подразумевает два ssid на одной точке доступа???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

решение ssid-to-vlan подразумевает два ssid на одной точке доступа???

Да. Будет светится два имени сети, у каждой сети свой vlan. Один из ссидов будет для офисных сотрудников с защитой, авторизацией, etc, второй для гостей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ainy

по макам не прокатит к сожалению,думали уже об этом - слишком большая текучесть железяк у нас в офисе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Классическое решение ssid-to-vlan, на каждом сиде-своя настройка безопасности.

В кабельной среде гостевой влан режете как хотите.

Из брендовых точек минимальные- циско 1130G и proxim ориноко ap700 относительно доступны.

решение ssid-to-vlan подразумевает два ssid на одной точке доступа???

Да. Будет светится два имени сети, у каждой сети свой vlan. Один из ссидов будет для офисных сотрудников с защитой, авторизацией, etc, второй для гостей.

пасибки, если это работает то это то что нужно "ушел гуглить"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такс, отрыл линксис с ддврт прошивкой, создал виртуальный ssid, безопастность и т.д. выставил, а вот с настройками влан запарка, на порту циски к примеру есть два влана, один, допустим 912 с сетью 192.168.1.1\24 второй 411 10.20.171.1\24, где их разделить в ддврт хоть убейте найти не могу(((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.

сори за тупость, но я немного не понял, можно чуточку поподробнее? я думаю эта тема будет интерестна не только мне

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идее вам наоборот разделять не надо, надо с обеих сторон настроить транковые порты и все это друг в друга воткнуть.
сори за тупость, но я немного не понял, можно чуточку поподробнее? я думаю эта тема будет интерестна не только мне

У меня была похожая задача, мне надо было создать на ТД несколько изолированных сетей друг от друга.

Одна сеть предпологалась для студентов, другая для сотрудников и последняя сеть была предназначена для управленя ТД, для этого создал три сети с именами:

Primary SSID = SIEIT

Multi-SSID1 = NATIVE

Multi-SSID2 = PRINT

 

Каждой сети назначил VLAN ID:

Primary SSID = 201

Multi-SSID1 = 54

Multi-SSID2 = 300

 

Сеть с именем SIEIT используется для доступа студентов, IP адреса назначает DHCP из динамического пула 10.10.0.64/26.

Сеть с именем NATIVE используется для управления ТД, для этого IP адрес точки доступа сменил на 172.16.0.18/30.

Сеть с именем PRINT используется для организации печати, IP адрес назначает DHCP из статического пула 192.168.0.252/30 с привязкой по MAC адресу.

 

Конфиг с ТД:

post-62341-1285415395_thumb.jpg

 

Теперь при подключении к коммутатору кадры от пользователей будут маркироваться в соответствии с указаными VLAN ID.

По умолчанию все порты коммутатора находятся в режме Swichport mode Access, т.е. не поддерживают кадры технологии 802.1Q (такой порт называется Unware), Вам надо на коммутаторе к которуму подключается ТД перевести порт в режим Swichport mode trunk, этот режим позволяет включить поддержку кадров 802.1Q (Aware).

Так же по умолчанию все не тегированные кадры принимает VLAN 1, в моем случае это VLAN 54.

 

Вот как выглядит у меня порт, который подерживает кадры 802.1Q:

post-62341-1285417223_thumb.jpg

 

Вот результат выполнения команды show bridge address-table ethernet e24, эта команда отображает записи данных переданых через swich:

post-62341-1285415364_thumb.jpg

 

На момент снимка, в сети только ТД и пользователь сети PRINT.

 

ЗЫ. вроде не чего не напутал...

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такс, отрыл линксис с ддврт прошивкой, создал виртуальный ssid, безопастность и т.д. выставил, а вот с настройками влан запарка, на порту циски к примеру есть два влана, один, допустим 912 с сетью 192.168.1.1\24 второй 411 10.20.171.1\24, где их разделить в ддврт хоть убейте найти не могу(((
Внутри ddwrt оно должно выглядеть типа:

br-lan0:

eth0.912, wlan0

br-lan1:

eth0.411, wlan1

ну и еще какой-нибудь eth0.mvid для управления точкой(точками)

Увы с интерфейсом ddwrt дела не имел никогда, в шелле настроить элементарно...

между ddwrt и cisco понятно либо транк либо акцесс с перечнем нужных виланов. Лучше 2-е, если по дороге есть vlan-enabled свичи то однозначно.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

огромное спасибо за развернутый ответ.

сейчас настраиваю все это на dd-wrt. конфиги выложу в этой теме, пусть будут, техноогия то весьма любопытная

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати, есть ли еще вариант - один виртуальный ссид чтобы получал адреса dhcp с wan порта

а на второй ssid dhcp раздавал линксис уже под натом?? так бы отпала необходимость вланов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не асилил вопрос.

это как вы себе вообще представляете?

типа

br-lan:

eth0, wlan0

 

wlan1 SNAT куда? в адрес на br-lan?

 

и где тут изоляция будет?

или вы от фонаря просто спрашиваете?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.