DFL-860E Настройка безопасности Wi-Fi в корпоративной сети

 8 октября 2013      
 D-Link DFL-860E      
 Метки:  , ,       
 Комментариев еще нет      
 40

Возникла необходимость предоставить гостевой доступ посетителям организации по Wi-Fi безо всяких ограничений, то есть без фильтрации сервисов и ресурсов. Но при этом Wi-Fi должен быть полностью изолирован от существующей корпоративной сети. А решение должно быть реализовано на имеющемся оборудовании в организации. Для гостевого доступа использовать самый простой Wi-Fi роутер типа D-Link DIR-620.

Доступ в интернет осуществляется через шлюз D-Link DFL-860E. Изделие, как говорится, не для средних умов. Но в умелых руках замечательно работает.
D-Link DFL-860E на борту имеет два WAN порта для доступа к провайдеру(ам) порт DMZ и строенный 8-ми портовый коммутатор.

Самая приятная для нас фича этого шлюза, исходя из текущей задачи, это поддержка VLAN на основе портов. То есть порты встроенного коммутатора можно вручную настроить для работы с VLAN.
На момент постановки задачи по изоляции гостевого Wi-Fi структурная схема корпоративной сети выглядела примерно следующим образом.

Если подключить Wi-Fi маршрутизатор в любой порт одного из коммутаторов, будь-то встроенный коммутатор DFL-860E или коммутатор локальной сети, то внешний порт маршрутизатора окажется с локальной сети, что неприемлемо с точки зрения безопасности. Хотя конечно Wi-Fi клиенты останутся за NAT Wi-Fi маршрутизатора и в другой подсети.

Разделение сетей на основе VLAN

Чтобы пакеты из Wi-Fi маршрутизатора гарантированно не ходили в корпоративную локальную сеть необходимо их изолировать. Как минимум на уровне виртуальных сетей. Как известно пакеты сети VLAN1 никогда не попадут в сеть VLAN2 и наоборот. То есть все будет работать так, как буд-то это два отдельно стоящих коммутатора не связанных между собой.
А как писалось выше, встроенный в шлюз DFL-860E коммутатор поддерживает VLAN на уровне портов. Что собственно нам и надо. Поэтому модернизированная структурная схема будет выглядеть примерно так:

Читайте также:  Домашний роутер в роли сервера FTP для резервного копирования

Настройка DFL-860E

Как это задумано в DFL-860E вначале создадим предопределенные переменные, а потом будем их использовать для настройки.
Выделяем IP адресацию для новой VLAN подсети. Которая должна отличаться от основной сети. К примеру такую (основная сеть использует адресацию 172.16.222.X):

Затем в интерфейсах VLAN настраиваем новую виртуальную подсеть.

Обратите внимание, что не надо заполнять значение основного шлюза.

Настраиваем правило доступа LAN-to-WAN для VLAN8 и размещаем его в самом верху.

И теперь самое главное — настраиваем VLAN на каждом порту. Порты на которых такая настройка не произведена автоматически попадают в VLAN1. В интерфейсе DFL-860E это можно сделать следующим образом:

Теперь можно осуществить коммутацию, а именно подключить Wi-Fi маршрутизатор к 8-му порту встроенного коммутатора DFL-860E.

Результаты настройки D-Link DFL-860E

Что получили. Изолированную сеть VLAN8 на 8-м порту встроенного коммутатора. VLAN8 имеет неограниченный доступ к порту WAN1 основного шлюза корпоративной сети DFL-860E. IP-адресация этой подсети отличается от основной адресации корпоративной сети. Порту номер 8 встроенного коммутатора присвоили статический IP адрес. Будем его использовать в качестве адреса шлюза по-умолчанию для WAN порта Wi-Fi маршрутизатора.

Настройка маршрутизатора DIR-620 с прошивкой Wive-NG


Предложенное решение несколько «сырое», так как в нем отсутствуют контроль за подключением, авторизация, мониторинг и ограничения. Но оно полностью справляется с задачей безопасного разделения гостевой сети Wi-Fi и корпоративной сети предприятия.
Контроль же за ограничениями гостевой Wi-Fi сети (скорость, доступ к ресурсам, пароли) возложим на точку доступа в лице роутера DIR-620 или подобное устройство, которое будет использовано для организации гостевой Wi-Fi сети.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить" я даю свое согласие на обработку введенной мной персональной информации в соответствии с Федеральным Законом от 27.07.2006 №152-ФЗ "О персональных данных", на условиях и для целей определенных политикой конфиденциальности.

Технический блог © 2017
SQL - 58 | 0,179 сек. | 10.16 МБ
Политика конфиденциальности