保护我的 Intranet

网络工程 路由器 无线的 切入点
2022-03-01 08:27:34

我的问题有两个部分。

首先,我充其量只是一个新手网络爱好者。我在学校学习编程,所以我有技术骨干。然而,我发现自己越来越迷失在 IT 世界中,尤其是在网络方面。我想改变它。如果有人可以推荐一些初学者可以用来摆脱无知的好资源,我将不胜感激。

话虽如此......我正在尝试为我的家族企业的客户设置专门的访客访问权限。我有一个华硕 RT-N66U 路由器和一个 TpLink WA901ND,我计划将其用作客户和员工的接入点。企业内部网位于通过 CAT5 连接的 LAN 上。问题是我不希望我们的客户窥探我们的网络并使用我们的资源。原来AP固件没有访客访问功能。所以我的设置是下铺。通过 Windows 7 为我们的工作组设置文件共享和打印机的密码是否足以保护我们的工作组的文件共享和打印机,或者我是否通过让该 AP 对业务网络开放而自找麻烦?我拥有的硬件有哪些选择?

2个回答

您绝对不想在不解决非常实际的安全问题的情况下按原样推进。小企业经常在这样的领域妥协,因为他们认为自己是小目标。问题不在于你想象别人必须获得多少,而在于你必须失去多少。

顺便说一句,得到一些合理的东西真的不应该太难。

事实上,除非我严重误解了您要做什么,否则华硕设备似乎支持您需要的东西,而根本不涉及 TP-Link。

如果您需要第二个 AP 的覆盖范围,等等……那可能是另一回事了。

因此,理解这一点的关键是理解其背后的过程。因此,“访客 wifi”不仅仅是另一个 SSID(通常)。我找不到关于华硕如何实现它的足够详细的文档,但它应该是一个独立的网络。所以是这样的:

[modem]-------[asus]  
               |  |  
  {guest ssid}--  --{business ssid}

应该将这两个网络视为完全独立的。不同的地址空间等...这很容易验证。

  • 设置第一个网络(内部)。

  • 将两台 PC 连接到网络并确保您可以相互 ping/访问它们。

    • 一旦您知道它应该在什么时候起作用,您就可以确定 AP 是否/何时开始阻止该流量。

  • 接下来,创建第二个网络(访客)并将其中一台 PC 移动到该网络。

  • 可能会使用不同的地址空间(192.168.1.x 与 192.168.10.x 之类的)。无论哪种方式,请继续尝试从一个到另一个 ping。如果它有效,那么它没有正确过滤。
  • 如果它不起作用,您仍然需要仔细检查其他内容。使用访客网络上的 PC,而不是使用 DHCP,手动为其分配第一个网络使用范围内的有效地址(使用另一台 PC 的设置作为模板)。然后尝试访问另一台电脑。如果这不起作用,您知道 AP 至少在进行流量隔离的合理工作。

还有其他方法可能会做得很差,但在这一点上,你肯定已经为一家小企业做了尽职调查。如果您正在处理 HIPAA 数据或其他东西,您需要的不仅仅是这些,但如果是这种情况,您需要立即停止并聘请一位愿意负责确保您掌握代码的专业人士,因为这里很简单风险太大,无法自行解决。

现在,如果我链接到的数据表有误,或者华硕未能通过上述测试,您可能需要更多硬件。请记住,这实际上是一件大事。您想为您的客户提供免费无线网络,这很好。继续询问他们对您的其他客户在您的网络上访问他们的帐户信息感到满意的程度。可能根本没有,对吧?您需要做的最后一件事是某个孩子在停车场里玩弄他的笔记本电脑,找到您的网络,然后将所有客户的数据扔到 pastebin 上“for the lulz”。

所以这需要发生,如果华硕没有做你需要的,你需要一个新的路由器(或防火墙)。

这个新的路由器/防火墙是否也可以处理您的 WiFi 并取代华硕,或者只是一个路由器本身,您仍然允许华硕和 tp-link 处理无线网络取决于您。

你可以设置我上面描述的华硕的东西,或者这样的东西:

[modem]---------------[new router]
                         |  |
 {internal ssid}----[asus]  [tp-link]----{guest ssid}

这里的关键点是路由器实际上将在三个网络之间进行路由。因此,在华硕单元背面的所有接口都是一个网络的一部分(网络中的“广播域”),这里每个接口都是它自己的网络。(这可能不是默认设置,但绝对有可能......在购买前验证这一点)。

因此,您的华硕将您的内部 SSID 桥接到新路由器 (NR) 创建的内部网络。TP-Link 将您的访客 SSID 桥接到由 NR 创建的访客网络。NR 负责确保两个网络之间不允许通信(您负责测试/验证这一点)。

还有更多的实现细节可能并不明显,但这对于这里来说已经足够长了,并且至少应该足以告诉您是否需要更多硬件。

最后一个警告是,如果华硕未能通过上述测试,您仍然可以按照我在上面使用 NR 描述的方式使用它,如果您可以让它将背面的接口视为“路由”接口而不是“交换”接口,或者至少将它们都放在与 WiFi 不同的网络上。根据文档,我没有感觉到它支持这一点,但值得研究。

您拥有的是两个多层(第 3 层+)接入点 - 一个由华硕制造,另一个由 TP-link 制造。两者都支持多个 SSID(链接)。

您只需在 TP-link 上配置 2 个 SSID - 一个访客 SSID 有或没有基本密码,另一个(内部/受保护的)SSID 使用 WPA 保护而不是广播/广告是典型的。

TP-link AP 似乎不支持中继,因此 SSID(inside-tp 和 guest-tp 子网)之间的路由将在 tp 链路 AP 本身上进行。然后您将有 2 个单独的华硕 SSID,并确保频道不重叠。基本上你有 2 个独立的 AP 和 4 个独立的 WiFi 子网。TP-Link 插入华硕以进行互联网/有线网络访问。

您应该获得一些 Meraki AP,您的生活会轻松很多。

其它你可能感兴趣的问题
上一篇配置中缺少某些内容,无法从其他 vlan 或网络访问 ssh/ping 下一篇如何在 FortiGate VM 上设置 HA?