Hálózat kialakítása hogyan?

Sziasztok!

Szeretnék kialakítani egy ethernet+wifi hálózatot a következőképpen: 

Szeretnék egyrészt területenkénti elkülönítést a vezetékes hálózaton: lennének helységek, melyekből csak internetezni lehetne. Lennének helységek, melyekből az internet mellett el lehetne érni a helyi szervereket, valamint a nyomtatókat. Ezen felül lenne a wifi hálózat, ahonnan a vendégek csak az Internethez férnének hozzá, az azonosított eszközök viszont a helyi hálózathoz (szerverek, nyomtatók) is hozzáférnének. 

Arra gondoltam, hogy ezt vegyesen port- és MAC alapú vlanokkal oldanám meg: az egyes helységekben port alapú vlant használnék, ezen helységek gépeinek a MAC címét nem rögzíteném egyenként, csak azokat a mobil eszközöket, amelyekkel szeretném elérni wifiről is a belső hálózatot. 

Lenne egy B verzió is: azokkal a mobil eszközökkel, melyek wifiről elérhetik a belső hálózatot is, lehessen bárhonnan elérni a szervereket, nyomtatókat, azokból a termekből is, ahonnan a többi gép csak az Internetet éri el. Ha ez nem valósul meg, nem nagy gond.

A kérdésem az, hogy van-e tapasztalatotok MAC alapú vlanokkal, ez az elgondolás működőképes-e, másrészt, hogy ezzel oldjam-e meg, vagy más módszert ajánlotok? 

Hozzászólások

Opcionálisan: Guest vlan
Illetve talán auth a wifin, user alapú hozzáféréssel, hogy mit érjen el és mit ne

Kicsit kusza a leírás.
Arra gondolsz, hogy az ethernet az port based VLAN-okból épülne fel, a wireless network pedig MAC alapon sorolná be a forgalmat VLAN-okba?
 

Hány eszközről van szó? Milyen gyakran várható eszközcsere? MAC alapon gondolkodva ez nagyon nem mindegy.
A wifi részt  inkább úgy csinálnám, hogy kapna a nép a egy GUEST SSID-t, a belső hálót elérők pedig egy CORPORATE SSID-t, akár rejtetten is, és ha van lehetőség, ott nem PSK, hanem cert alapú azonosítás zajlana. 

 

Szerkesztve: 2020. 09. 29., k – 11:32

Mikrotik router esetén van egy érdekes trükk:
   - ARP kérés hatására nem regisztrál az interfészen a router ARP táblájába
   - DHCP szervernél egy pipa, hogy töltse a router ARP tábláját

Eredménye: feldugsz egy eszközt és
   - ha a DHCP szerver által osztott IP-t használja, akkor minden oké (=router ARP táblájába bekerül)
   - ha adsz neki statikus IP címet, azzal az IP-vel nem fog tudni a routerrel beszélni

Innentől a többi static+dynamic pool és IP filter szabályok a route-olt hálózaton.

"lennének helységek,"

Országos méretekben gondolkodsz... Merjünk nagyot álmodni.

"Normális ember már nem kommentel sehol." (c) Poli

VLAN + WLAN + WPA2/3 Enterprise + 802.1X Érdemes elindulni innen: https://www.privacywonk.net/2010/10/security-how-to-wpa2-enterprise-on-… és átnézni a PKI-s ügyeket https://smallstep.com/blog/everything-pki A történetnek egyébként valamilyen enterprise WiFi rendszerrel állnék neki. A nép kapna egy captive portálos login-t és egy erősen korlátozott WLAN-t. A céges gépek cert alalpú WLAN-t, a céges mobilok és a céges IoT 1-1 DPSK alapú WLAN-t és még aminek szükséges egyéb WLAN.