Лучший способ подключить двойной SSID / VLAN по беспроводной сети к брандмауэру Watchguard
Я сейчас разбираюсь с нашей сетью, чтобы у нас были новые точки беспроводного доступа с двумя SSID, одна для внутреннего использования, а другая для гостевого использования. Они будут настроены таким образом, чтобы каждый SSID находился в отдельной VLAN. Я подключаю их все к переключателю PoE. Обратите внимание, точки доступа НЕ принадлежат Watchguard.
У меня вопрос, как лучше всего подключить это к нашему межсетевому экрану Watchguard. В настоящее время вся внутренняя сеть находится в одной подсети / 24 и подключается к одному доверенному порту Watchguard. Нет задействованных VLAN. DHCP предоставляется клиентам (проводным и беспроводным) сервером Windows в этой сети.
Мои возможные решения:
Подключите существующие внутренние сетевые коммутаторы к моему новому коммутатору PoE (с новыми беспроводными точками), а затем подключите этот коммутатор к Firebox. Измените существующий доверенный порт Firebox на VLAN с одной VLAN для доверенной и одной для гостевой WiFi. Watchguard будет выполнять DHCP для гостевого Wi-Fi, а доверенный Wi-Fi будет продолжать поступать с существующего DHCP-сервера (и использовать существующую подсеть).
Оставьте существующую надежную сеть практически как есть и подключите новый коммутатор PoE к отдельный порт на Watchguard. Настройте его как порт VLAN, снова с двумя VLAN, но с Watchguard, выполняющим DHCP для обоих, то есть доверенные беспроводные клиенты теперь будут в новой подсети. Это потребовало бы некоторой дополнительной конфигурации брандмауэра для маршрутизации между существующей доверенной сетью и новой доверенной беспроводной подсетью.
Я склонялся к (1), но мне интересно, является ли (2) лучшим методом, поскольку он, кажется, обеспечивает большее разделение для гостевого WiFi. Хотя теоретически VLAN все равно должна разделять его.
Любые мысли приветствуются.
Вам нужен вариант 1.
Настройте свои сети VLAN в конфигурации watchguard и настройте интерфейс, чтобы он был в обеих сетях VLAN. На новом коммутаторе POE настройте один порт в качестве порта доступа в вашей штатной VLAN и подключите к нему существующий коммутатор. Сконфигурируйте остальные порты как транки с обеими VLAN - они идут к firebox и AP.
При настройке VLAN вы также можете указать настройки DHCP-сервера. Оставьте его выключенным для доверенной VLAN и включите для гостевой. Таким образом, ваш сервер продолжит выполнять DHCP для доверенных компьютеров, а брандмауэр будет делать это для гостей.
При настройке точек доступа убедитесь, что их интерфейс управления находится в доверенной сети. То же и с переключателями. Ни у одного из них не должно быть IP-адреса в гостевой VLAN.
VLAN достаточно для безопасного разделения трафика.
Убедитесь, что новый коммутатор POE может обрабатывать весь трафик от остальной сети. Если это модель более низкого уровня, а ваши существующие коммутаторы являются более быстрыми управляемыми коммутаторами, вам, вероятно, лучше настроить их также для VLAN и отключить их цепочкой нового POE.
Вариант 2 усложнит жизнь - поскольку доверенный Wi-Fi-соединения попадают в другую подсеть. Насколько это сложно, зависит от того, что делают люди, но в целом я бы предпочел, чтобы все работали в одной подсети. Поступая таким образом, вы не получите никакой безопасности.