Настройка VLAN на точке доступа NWA1121-NI для разделения двух разных SSID

Как в точке доступа NWA1121-NI настроить два разных SSID, чтобы по одному SSID cотрудники имели полный доступ к ресурсам локальной сети и к Интернету, а по другому гости имели бы доступ только в Интернет?


В данной статье представлены настройки VLAN, с помощью которых можно на канальном уровне (2-й уровень модели OSI) разделить беспроводных клиентов, подключающихся к разным SSID беспроводной точки доступа NWA1121-NI.

Предположим, имеется следующая задача:
На точке доступа NWA1121-NI нужно настроить два разных SSID, причем первый SSID (TEST_Home) будет предназначен для безопасного зашифрованного подключения сотрудников, а второй SSID (TEST_Guest) – для подключения гостей и будет являться открытой сетью. Сотрудники должны иметь полный доступ к Интернету и к ресурсам локальной сети (в том числе должно быть доступно управление точкой доступа), а гости должны иметь доступ только в Интернет.

Теперь рассмотрим подробно настройки точки доступа NWA1121-NI, которые необходимо выполнить для решения нашей задачи.

1. Настройка SSID.
Нужно создать 2 SSID: TEST_Home для сотрудников и TEST_Guest для гостей. Это можно сделать в веб-конфигураторе в меню Configuration > Network > Wireless LAN.

Настройка SSID TEST_Home:

Так как беспроводная сеть TEST_Home будет предназначена только для сотрудников, она должна быть настроена с использованием протокола безопасности. Профиль безопасности должен быть указан в поле Security.

Настройки профиля безопасности для сети TEST_Home:

В нашем примере используется протокол безопасности WPA2-PSK с применением предварительно согласованного ключа (Pre-Shared Key).

Для разделения трафика сотрудников и гостей будут использоваться VLAN. В поле BSSID VLAN ID необходимо указать нужный номер VLAN для этой сети (в нашем примере VLAN 3 предназначен для сотрудников, а VLAN 4 – для гостей).

Настройка SSID TEST_Guest:

В этом профиле SSID поставьте галочку в поле Enable Layer-2 Isolation, для того чтобы гости не могли обмениваться трафиком между собой (на втором уровне).

Так как гостевая сеть предназначена для публичного подключения, в SSID-профиле в поле Security нужно оставить значение Disabledтаким образом, будет использоваться открытая Wi-Fi-сеть.

Затем нужно включить созданные SSID-профили на точке доступа. Это можно сделать на закладке Wireless Settings, установив галочку в столбце Active для нужного профиля.

2. Настройка IP-адреса.

В нашем примере предполагается, что управление всеми устройствами, в том числе и точкой доступа NWA1121-NI, будет производиться из сети TEST_Home. Управление устройством может осуществляться либо с интерфейсов, подключенных непосредственно к маршрутизатору, либо на Ethernet-коммутаторе 2-го уровня, при подключении к порту, который будет тегировать трафик в VLAN 3. Соответственно в этом VLAN будет своя IP-подсеть (в нашем примере это 192.168.3.1), и IP-адрес точки доступа должен быть из этой же подсети, чтобы ей можно было управлять.

3. Настройка VLAN.

Привязка VLAN ID к SSID происходит при настройке профиля SSID, но еще нужно включить использование функции 802.1Q VLAN в самом устройстве.
Для этого нужно зайти в меню Configuration > Network > VLAN и включить 802.1Q VLAN (установите галочку в поле Enabled).
Настройка Management VLAN (VLAN управления) зависит от того, каким образом вы хотите управлять точкой доступа.
Если не включать Management VLAN, точка сможет управляться только с использованием нетегированного трафика. Если включить Management VLAN и указать в пункте Management VLAN ID номер VLAN управления, точка доступа будет управляться только тегированными кадрами с указанным VLAN ID.
В нашей схеме стоит задача разделения рабочей зоны, где должен быть доступ до всего оборудования, и публичной, где доступа к локальной сети быть не должно. Таким образом, нужно указать, что управлять устройством можно только из VLAN 3 (рабочая зона). Для этого включите Management VLAN и укажите VLAN 3 в поле Management VLAN ID.

Внимание! При включении Management VLAN устройство будет недоступно для управления нетегированным трафиком! Если настройка производится с компьютера по Ethernet-кабелю, убедитесь, что у вас есть возможность перейти на тегированный трафик для управления (настроить сетевой адаптер на компьютере либо подключиться к Ethernet-коммутатору 2-го уровня, который будет маркировать трафик в нужный VLAN).

Данную настройку точки доступа NWA1121-NI можно произвести, если требуется ее подключить к аппаратному шлюзу серии ZyWALL USG или интернет-центру серии Keenetic и реализовать разграничение доступа для клиентов беспроводной сети Wi-Fi этой точки доступа.
Пример настройки VLAN в аппаратном шлюзе серии ZyWALL USG для разделения сетей доступа представлен в статье: «Описание схемы разделения публичной и закрытой Wi-Fi-сети с помощью VLAN на шлюзе безопасности серии ZyWALL USG»
Пример настройки VLAN в интернет-центре серии Keenetic (с микропрограммой NDMS v2.00) для разделения сетей доступа представлен в статье: БЗ-3222
Обращаем ваше внимание, что использование аппаратного шлюза ZyWALL USG, по сравнению с интернет-центром Keenetic, имеет преимущества в гибкости настройки интерфейсов и правил межсетевого экрана (Firewall), а также присутствует возможность настройки сервисов Anti-X для организации безопасности сети.

 

KB-3204

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.