|
本帖最后由 gasment 于 2023-12-19 17:02 编辑
第一次发经验贴,有什么不妥望海涵~
事情起因是新房装修,购入了tp的AC+AP套装(ac100+XAP3000GC),AC中看到可以将SSID与vlan绑定,
因为我内网设备和服务还挺多的,家里来人也有不少喜欢开wifi万能钥匙的(特别是老一辈),很容易就把SSID密码暴露了进而殃及内网,无线访客隔离方案的想法其实很早就有了,但是之前设备实现也不尽人意,这次设备没有拖后腿,可以放手搞了~
因为自己对vlan一直处于知其然不知其所以然的状态,下面的操作、说法如果有错误之处和优化之处欢迎提点;
先说下这个方案实现的条件和效果:
需要的设备:使用openwrt系统的软路由一个(新版op的vlan设置与旧版不同,op版本不要太老就行);
保证op中最少有3个独立端口的网卡(没怎么刷过硬路由,好像硬路由网卡端口类型与软路由不同?)
其中一个网卡为临时调试用,后期可撤掉(usb的都可以)
实现的效果:主人网络独立网段+DHCP分配,访客网络独立网段+DHCP分配;
主人网络不使用vlan接入,访客网络需配置vlan方可接入;
访客网络无法访问自身网关(即op后台),无法访问主人网段任何设备(包括网关);
访客网络只能访问外网(不含海淘深造和ddns域名端口回流)。
跑满带宽可能会多吃一点cpu性能(毕竟软vlan)
这个设置方案最好是搭配AC+AP,通过配置多SSID绑定不同vlan来让设备自动获取不同的网段ip,
普通家用路由的AP模式应该是没有这个功能了,当然刷op也是可以实现的,这个就靠大家摸索了;
设备拓扑:
虚拟openwrt:直通了2个网口作为wan和lan,再直通一个作为临时网口调试;
交换机:都是傻瓜式的
虚拟机搞起来方便一些,搞砸了可以随意快照恢复,物理机就得麻烦些了;
因为涉及修改接口的操作,容易造成op失联,所以要有一个临时调试网口作为保证;
先看看修改前的接口与防火墙,大家可以做下对比:
接下来为调试用的网卡新增一个lan:
使用新加的网口与ip进入后台,删掉原来的接口:
配置vlan网桥:
添加wan口:
添加lan口:
添加访客专用lan口:
配置防火墙:
放行DHCP与DNS端口:
访客网络测试:
隔离访客网段:
一切好使后就可以删掉那个临时调试的lan口了
配置AC控制器:
1、创建一个SSID,如private,不做vlan绑定,无线设备接入这个SSID即可分配到主人网段
2、再创建一个SSID,如public,绑定vlan100,无线设备接入这个SSID即可分配到访客网段
3、有线设备因为默认不配置vlan,都会分配到主人网段,不会窜到访客网段(除非你手动设置vlan100)
4、如果你有vlan交换机,可以配置vlan100的端口,下挂一个普通ap来专供访客用,也不是不可以
PS:
1、防止访客网络上网海淘深造
我用的bypass,其他工具应该也有之类的过滤选项
2、防止访客访问光猫
wan口上添加了光猫管理地址,添加防火墙规则阻止访客进入
3、软件vlan吃性能吗?
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
评分
-
查看全部评分
|