我有两个子网的configuration。 在这个例子中,我将称它们为192.168.1.128/26(128)和192.168.1.64/26(64)。 64子网包含所有客人不应该能够访问的内部设备。 128子网基本上是无线广播子网。
我的问题是,我有两种用户将连接到这个(128)子网。 首先是只能访问互联网的客人。 其次,是应该访问互联网的人员以及64子网的内部设备。
我正在使用基本的Linksys路由器,我可以pipe理子网之间的路由就好了。 我的问题是,我怎样才能将路由到64子网的用户限制在“员工”用户的静态列表中?
一般来说,您可以使用防火墙规则(包过滤)阻止或允许访问。 如果你正在使用Linksys的股票固件,我不知道这是可能的,如果你正在使用dd-wrt什么的,那么你可以用iptables规则来做。
由于这是您的访客无线networking,因此通过分配的IP地址或MAC地址来识别人员系统可能是非常不明智的,这几乎排除了使用防火墙规则进行任何types的访问控制。
您可能需要做的是考虑在您的员工无线客户端上设置VPN,这将允许员工在可信networking中build立VPN。
另一个select可能是只为您的员工账号设置一个额外的SSID /子网,并使用不同级别的无线authentication。 您的访客SSID上可能没有encryption/身份validation。 在您的员工SSID上,您可以使用WPA2和强大的预共享密钥,或理想的WPA下提供的企业authentication之一。