我有一个思科ASA坐在一个设施的位置,提供两个build筑物的互联网接入。 这两座build筑在地理上被跨越10英里的无线桥隔开。 局域网内的所有计算机和设备都在同一个子网上(它非常小),我们在两个地方都有WiFi AP,为局域网提供有线和无线接入。
鉴于所有的BYOD(iPod和智能手机等)进入办公室以及访问代表等…我们还想提供一个非安全,独立于设备(设备无法看到或互相沟通)和局域网无关(设备无法在局域网上看到或使用任何东西)热点,任何人都可以使用他们的设备,使他们无需密码就可以访问互联网。 我知道这可能是在我的思科的设施,如果我搞砸了,并创buildVLAN等…但我需要通过我的桥梁,以及不认为这是可能的,如果没有严重的重新configuration一切。 真的会喜欢某种神奇的解决scheme,可以在我的局域网上捎带,而不需要做太多的改变。
大多数路由器已经支持一个“主机”wifinetworking,它既与主networking隔离,也隔离相互连接的客户端。
当然,为商业用途devise的高端路由器将具备这种能力。
您可以通过安装第二个无线路由器,使其上游端口连接到您的公司networking,在您的客人需要WiFi访问的位置,来“双重NAT”。 正确configuration,可在访客和公司networking之间提供高度隔离。
是的,您可以将热点接入点添加到已build立的局域网,而无需对现有networking进行任何更改。
您可能只需访问控制列表和无线接入点上的手动路由即可。 你真正需要做的就是设置规则,这样数据包只能通过网关进入互联网。 是的vlans是最安全的select,但是如果你的硬件不支持它们,或者你没有专门设置它们,有些方法不能使用它们。 这听起来像是你的networking足够小,你不需要vlans。 如果这是你想要的,你可以以相当的即插即用的方式进行设置。
设置AP的一些一般要点
使用与您的networking其余部分不同的子网用于公共无线。 这并不重要,因为无论如何它最有可能是NAT,但它会减less混乱。
AP本身可以与同一子网上的网关进行通信。 确保它只能通过以太网接口上的ACL与网关进行通信。
打开AP上的客户端隔离,使无线客户端无法互相通信。
使用ACL来控制公共和专用networking之间的stream量。 阻止一切不会因为互联网而走向海峡。 还要阻止任何不是来自LAN侧的互联网海峡。
使用手动路由将stream量直接发送到Internet网关。 当然取决于你的networking布局。
您可能会尝试设置无线接入点以在办公室内使用VPN,并通过VPN路由所有连接。 这应该产生一个类似的结果来设置VLAN,但可能更容易configuration。 不完全是一个传统的VPN使用,(保持,而不是出),但我认为它会做你所需要的。 不过,我会认为VLAN是更好的方法。
在我看来,使用VLAN是最好的做法。 我不知道你的networking的细节,但只有一个子网,添加VLAN并在交换机上设置几个端口(假设你有一个支持VLAN的托pipe交换机)来使用该VLAN,这不是一个侵入性的过程。 在没有networking细节的情况下,我能想到的唯一方法就是在路由器上添加一个子网,直接将stream量路由到第二个WAN端口。 VPN也是一个有效的选项,但是你将拥有一个能够处理VPN的接入点。
感谢大家的投入! 这是我最终做的,请告诉我,如果你们中有任何人注意到任何事情或与众不同:
请让我知道,如果你们发现任何明显错误或不寻常的事情:
得到一个WRT54GL V1.1并将其重置为默认设置(30-30-30)。 以下是我用DD-WRT进行挖掘的步骤。
这个WRT54GL有一个叫做互联网的后面有5个端口,另外四个是编号为1,2,3和4的端口。把互联网端口连接到一个连接到你现有的局域网的电缆上,并且把你的桌面/笔记本电脑的一条电缆连接到端口1的WRT54GL。 开启所有function,让桌面/笔记本电脑从WRT54GL获得IP地址。
网页从桌面/笔记本电脑浏览到192.168.1.1。
你应该被提示设置你的用户名和密码 – 现在就这样做。
login到路由器。
单击安装程序TAB Wan连接types更改为静态IP(将此设置为LAN上的可用地址)192.168.2.56 255.255.255.0 192.168.2.253 208.67.222.222 208.67.220.220 STP禁用单击保存,然后单击应用
可选设置路由器名称:openWIFI主机名称:openWIFI域名:“您的域名”默认点击保存然后点击应用
networking设置本地地址:10.0.0.1(该子网应该与您的子网不同)子网掩码:255.255.255.0网关:0.0.0.0本地DNS:0.0.0.0单击保存,然后单击应用
从路由器(网线)上拔下计算机的电源,等待几秒钟,然后重新插入。这将允许您的计算机切换到刚才configuration的子网,以便继续安装。
打开您的Web浏览器备份并浏览到您刚刚设置的地址,对于这个文档它将是10.0.0.1。
重新login。
设置选项卡networking地址服务器设置DHCP DHCPtypes:DHCP服务器DHCP服务器:启用启动:10.0.0.100最大值:20(我保持这个低,因为我可以)rest默认值单击保存然后应用
无线标签无线SSID:openWIFI其余默认点击保存,然后应用
高级设置(无线选项卡下)AP隔离:启用rest默认点击保存,然后应用
服务TAB SSHd启用rest默认点击保存,然后点击应用
pipe理选项卡pipe理启用SSHpipe理其余默认点击保存然后点击重新启动路由器
现在,你应该有一个可操作的开放式WiFi接入点,但它不是安全的。 任何具有networking意识的人都可以进入您的专用局域网和互联网。 所以我们需要把它locking一些。
重新login到Web Interfacepipe理选项卡命令在命令窗口中放置以下内容(这是肉和土豆):
iptables -I FORWARD -d 192.168.2.0/24 -j DROP iptables -t nat -A PREROUTING -i br0 -p udp -dport 53 -j DNAT -to $(nvram get lan_ipaddr)iptables -t nat -A PREROUTING -i br0 -p tcp –dport 53 -j DNAT – 到$(nvram get lan_ipaddr)iptables -I FORWARD -p tcp -s 10.0.0.0/24 -m connlimit –connlimit-above 50 -j DROP iptables – 我FORWARD -P! tcp -s 10.0.0.0/24 -m connlimit –connlimit-above 25 -j DROP
这些是做什么的(或者我从http://cavewall.jaguardesignstudio.com那些令人敬畏的人读到的)我发现这些命令如下:
第1行 – 阻止路由器访问私有子网第2和第3行 – 阻止openWIFI上的用户修改DNS设置第4和5行 – 防止openWIFI上的用户占用带宽。
单击保存防火墙pipe理TAB单击重新启动路由器
应该相当locking并准备部署,但我也想从openWIFI端禁用Web Interface。 这也将testingssh设置。
closures网页浏览器,如果你在Windows上得到腻子ssh的路由器的IP地址。 (因为你仍然需要连接电缆,所以你仍然在路由器的openWIFI端 – 使用putty或控制台 – 执行下面的命令):
ssh [email protected]应该会给你提示
root @ openWIFI:〜#nvram set httpd_enable = 0 root @ openWIFI:〜#nvram set http_enable = 0 root @ openWIFI:〜#nvram commit root @ openWIFI:〜#reboot
如果您需要重新打开Web界面,只需ssh再次将其设置为1并重新启动。
这应该是。 我们现在应该有一个简单的WiFi热点,不允许访问我们的专用局域网,但将使用现有的已build立的局域网。