目前,我正在对networking进行整理,以便我们可以有双SSID的新无线接入点,一个供内部使用,一个供客人使用。 这些将被设置,以便每个SSID在不同的VLAN上。 我将它们全部连接到PoE交换机。 请注意,AP不是Watchguard自己的。
我的问题是如何最好地将其连接到我们的Watchguard防火墙。 目前,整个内部networking位于单个/ 24子网上,并连接到WatchGuard上的一个可信端口。 没有涉及的VLAN。 DHCP通过此networking上的Windows Server提供给客户端(有线和无线)。
我可能的解决scheme
将现有的内部networking交换机连接到新的PoE交换机(使用新的无线点),然后将该交换机连接到Firebox。 将现有的Firebox信任端口更改为具有一个可信任VLAN和一个来宾WiFi的VLAN。 Watchguard将为访客Wifi执行DHCP,并且可信的Wifi将继续来自现有的DHCP服务器(并使用现有的子网)。
将现有的可信networking保持原样,并将新的PoE交换机连接到WatchGuard上的单独端口。 将其configuration为具有两个VLAN的VLAN端口,但Watchguard会为两个VLAN执行DHCP,即受信任的无线客户端现在将位于新的子网上。 这将需要一些额外的防火墙configuration来在现有的可信networking和新的可信无线子网之间进行路由。
我倾向于(1),但是我想知道(2)是否是更好的方法,因为它似乎为客户WiFi提供了更多的分离。 尽pipe理论上VLAN应该将其分开。
任何想法欢迎。
你想要选项1。
在watchguard的configuration中设置您的VLAN,并将接口设置为在两个VLAN上。 在新的POE交换机上,将一个端口configuration为您的员工VLAN上的访问端口,并将现有交换机插入其中。 将其余端口configuration为具有两个VLAN的中继 – 这些端口将转到火箱和AP。
configurationVLAN时,您还可以指定DHCP服务器设置。 保持closures您的信任的VLAN,并打开它的来宾之一。 这样,你的服务器继续为可信任的计算机做DHCP,防火墙将为客人做。
在configurationAP时,请确保其pipe理接口位于可信networking上。 相同的开关。 Guest VLAN上不需要任何IP地址。
VLAN足够安全地分隔stream量。
确保新的POE交换机可以处理来自networking其余部分的所有stream量。 如果是低端型号,并且现有的交换机是更快的pipe理型交换机,那么最好将它们configuration为VLAN,并将新的POE交换机closures。
选项2会让生活变得更加困难,因为可信赖的无线networking连接会在不同的子网上结束。 有多less痛苦取决于人们的行为,但总体上我宁愿让每个人都在同一个子网上。 这样做并没有真正获得任何安全性。