Sziasztok!
Szeretnék kialakítani egy ethernet+wifi hálózatot a következőképpen:
Szeretnék egyrészt területenkénti elkülönítést a vezetékes hálózaton: lennének helységek, melyekből csak internetezni lehetne. Lennének helységek, melyekből az internet mellett el lehetne érni a helyi szervereket, valamint a nyomtatókat. Ezen felül lenne a wifi hálózat, ahonnan a vendégek csak az Internethez férnének hozzá, az azonosított eszközök viszont a helyi hálózathoz (szerverek, nyomtatók) is hozzáférnének.
Arra gondoltam, hogy ezt vegyesen port- és MAC alapú vlanokkal oldanám meg: az egyes helységekben port alapú vlant használnék, ezen helységek gépeinek a MAC címét nem rögzíteném egyenként, csak azokat a mobil eszközöket, amelyekkel szeretném elérni wifiről is a belső hálózatot.
Lenne egy B verzió is: azokkal a mobil eszközökkel, melyek wifiről elérhetik a belső hálózatot is, lehessen bárhonnan elérni a szervereket, nyomtatókat, azokból a termekből is, ahonnan a többi gép csak az Internetet éri el. Ha ez nem valósul meg, nem nagy gond.
A kérdésem az, hogy van-e tapasztalatotok MAC alapú vlanokkal, ez az elgondolás működőképes-e, másrészt, hogy ezzel oldjam-e meg, vagy más módszert ajánlotok?
- 415 megtekintés
Hozzászólások
Opcionálisan: Guest vlan
Illetve talán auth a wifin, user alapú hozzáféréssel, hogy mit érjen el és mit ne
- A hozzászóláshoz be kell jelentkezni
Kicsit kusza a leírás.
Arra gondolsz, hogy az ethernet az port based VLAN-okból épülne fel, a wireless network pedig MAC alapon sorolná be a forgalmat VLAN-okba?
- A hozzászóláshoz be kell jelentkezni
Igen, erre gondolok.
- A hozzászóláshoz be kell jelentkezni
Ez hülyeség. A MAC hamisítható, nem használható hitelesítésre.
(A hálózati nyomtatóknál eltudom képzelni, hogy ez lesz az egyetlen megoldás.)
- A hozzászóláshoz be kell jelentkezni
Hány eszközről van szó? Milyen gyakran várható eszközcsere? MAC alapon gondolkodva ez nagyon nem mindegy.
A wifi részt inkább úgy csinálnám, hogy kapna a nép a egy GUEST SSID-t, a belső hálót elérők pedig egy CORPORATE SSID-t, akár rejtetten is, és ha van lehetőség, ott nem PSK, hanem cert alapú azonosítás zajlana.
Ha tartós rendszert építesz és okos csapatot nevelsz, akkor száz kiadásban sem érheti baj; ha csak a gépekre hagyatkozol, akkor egyszer jól jársz, máskor rosszul; de ha sem a rendszer nem bírja a terhet, sem a csapat nem tanul a hibákból, akkor minden egyes kiadás kockázat.
- A hozzászóláshoz be kell jelentkezni
30-50 eszközről lenne szó. Nem cserélődne gyakran, tehát még beleférne, ha nem is kényelmes.
Ha nem akarom a B verziót, akkor jó lehet így is.
- A hozzászóláshoz be kell jelentkezni
Mikrotik router esetén van egy érdekes trükk:
- ARP kérés hatására nem regisztrál az interfészen a router ARP táblájába
- DHCP szervernél egy pipa, hogy töltse a router ARP tábláját
Eredménye: feldugsz egy eszközt és
- ha a DHCP szerver által osztott IP-t használja, akkor minden oké (=router ARP táblájába bekerül)
- ha adsz neki statikus IP címet, azzal az IP-vel nem fog tudni a routerrel beszélni
Innentől a többi static+dynamic pool és IP filter szabályok a route-olt hálózaton.
- A hozzászóláshoz be kell jelentkezni
Köszönöm!
- A hozzászóláshoz be kell jelentkezni
"lennének helységek,"
Országos méretekben gondolkodsz... Merjünk nagyot álmodni.
"Normális ember már nem kommentel sehol." (c) Poli
- A hozzászóláshoz be kell jelentkezni
VLAN + WLAN + WPA2/3 Enterprise + 802.1X Érdemes elindulni innen: https://www.privacywonk.net/2010/10/security-how-to-wpa2-enterprise-on-… és átnézni a PKI-s ügyeket https://smallstep.com/blog/everything-pki A történetnek egyébként valamilyen enterprise WiFi rendszerrel állnék neki. A nép kapna egy captive portálos login-t és egy erősen korlátozott WLAN-t. A céges gépek cert alalpú WLAN-t, a céges mobilok és a céges IoT 1-1 DPSK alapú WLAN-t és még aminek szükséges egyéb WLAN.
- A hozzászóláshoz be kell jelentkezni
Köszönöm, meg fogom nézni!
- A hozzászóláshoz be kell jelentkezni