Настраиваем гостевой доступ через Wi-Fi (MultiSSID + VLAN).

  • Автор:

wi-fi-multissid-000.jpg

Развернув Wi-Fi сеть администраторы все чаще сталкиваются с необходимостью организовать гостевой доступ для клиентов фирмы и партнеров. При этом, используя единую физическую инфраструктуру, следует решить две прямо противоположные задачи: обеспечить наиболее простой и понятный доступ для гостей, поддерживая при этом высокий уровень безопасности внутренней сети. 

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Да, задача не столь проста, как может показаться на первый взгляд. Как правило сетевая инфраструктура давно создана и для решения задачи нужно использовать существующие каналы связи. Вот здесь и встает вопрос: как надежно разделить данные гостевой сети, от данных сети предприятия передавая их по одним и тем же каналам. Как сочетать защищенную Wi-Fi сеть предприятия с открытой гостевой сетью?

Самое время вспомнить о VLAN (Virtual Local Area Network) и стандарте IEEE 802.1Q, VLAN позволяет создавать виртуальные сети поверх физической инфраструктуры, что позволяет создавать полностью изолированные на канальном уровне сети при использовании одних и тех же каналов связи и коммутационного оборудования.

Сегодня широко применяется два типа VLAN:

  • на базе портов, когда конечные хосты не догадываются реальной сетевой структуре и разделение на виртуальные сети происходит на уровне коммутатора;
  • на базе тегов, когда в каждый сетевой кадр встраивается специальная метка, показывающая на его принадлежность к определенному VLAN, но при этом все сетевое оборудование должно иметь поддержку стандарта IEEE 802.1Q.

На практике эти два типа VLAN успешно совмещаются, VLAN на базе портов позволяет использовать любое сетевое оборудование без каких либо дополнительных настроек, VLAN на базе тегов позволяет передавать информацию из разных сетей между устройствами с поддержкой IEEE 802.1Q используя единственный канал связи.

Для реализации поставленной задачи нам потребуется оборудование с поддержкой VLAN и IEEE 802.1Q, а так как различные производители имеют свои особенности, то мы будем рассматривать решения на базе популярной продукции марки TP-LINK.

Точка доступа должна поддерживать режим MultiSSID, который позволяет создать виртуальные Wi-Fi сети, каждая из которых будет относиться к своему VLAN и пакеты которой будут помечены специальны тегом. В качестве примера такой точки можно использовать TL-WA701ND.

Для работы с такой точкой доступа нам потребуется коммутатор с поддержкой IEEE 802.1Q, например TL-SG2216. Каждый порт такого коммутатора может работать в одном из трех режимов:

  • ACCESS - нетегированый порт, принадлежит одному VLAN, взаимодействовать с другими VLAN не может.
  • GENERAL - может принадлежать нескольким VLAN, по умолчанию нетегирован, но может быть переключен в тегированый режим.
  • TRUNK - тегированый порт, служит для передачи данных сразу нескольких VLAN.

В зависимости от инфраструктуры сети может быть несколько способов решить данную задачу. В самом простом варианте нам нужно организовать гостевой доступ в интернет, которой может раздаваться как роутером, так и недорогим аппаратным маршрутизатором.

wi-fi-multissid-001.jpg

В этом случае нам потребуется создать три VLAN, данные настройки производятся в коммутаторе SW1:

  • VLAN 101 - гостевая сеть - в который включаем порты 1 и 3 (слева направо на коммутаторе);
  • VLAN 102 - корпоративная сеть - порты 3 и 4;
  • VLAN 103 - общие ресурсы - порты 1, 3 и 4.

Затем следует настроить порты SW1:

  • Порт 1 - GENERAL - UNTAG - PVID 103 (соответствие порта VLAN)
  • Порт 3 - TRUNK
  • Порт 4 - GENERAL - UNTAG - PVID 102

На точке доступа AP1 включаем режим MultiSSID и вводим следующие настройки:

  • SSID1 - гостевая сеть - открытая сеть - VLAN 101
  • SSID2 - корпоративная сеть - WPA2 - VLAN 102

Таким образом точка доступа будет иметь две беспроводные сети на одном канале, одну открытую SSID1 для гостей и защищенную SSID2 для сотрудников. Пакеты передаваемые точкой в локальную сеть будут промаркированы VLAN-тегами и работать с ними сможет только оборудование с поддержкой IEEE 802.1Q, проще говоря, если между AP1 и SW1 окажется обычный свитч, то тегированые пакеты окажутся отброшены и схема работать не будет.

Коммутатор SW1 приняв на порт 3 тегированые пакеты убирает теги и отправляет их на порты соответствующие указанным VLAN. Пакеты направленные к роутеру будут переданы в VLAN 103, так как к нему относятся все порты коммутатора. Однако роутер не будет иметь доступа к иным VLAN, так как PVID 103 имеет только порт 1.

Если гостям требуется доступ не только к интернету, но и к иным службам роутера (SMB, почта и т.п.) или необходимы различные настройки для гостевой и корпоративной сети, то имеет смысл добавить в сервер вторую сетевую карту и настроить ее на работу с гостевым VLAN. В этом случае наша схема примет вид:

wi-fi-multissid-002.jpg

На SW1 создаем следующие VLAN:

  • VLAN 101 - гостевая сеть - в который включаем порты 1 и 3 (слева направо на коммутаторе);
  • VLAN 102 - корпоративная сеть - порты 2,3 и 4;

Затем настраиваем порты:

  • Порт 1 - ACCESS- PVID 101
  • Порт 2 - ACCESS- PVID 102
  • Порт 3 - TRUNK
  • Порт 4 - ACCESS- PVID 102

Логически данная схема еще проще, каждый порт, кроме магистрального (TRUNK) закреплен за своим VLAN и получает только предназначенные ему пакеты.

Если сетевая карта сервера поддерживает IEEE 802.1Q, то схему можно упростить:

wi-fi-multissid-003.jpg

Настраиваем SW1 следующим образом:

  • VLAN 101 - гостевая сеть - в который включаем порты 1 и 3 (слева направо на коммутаторе);
  • VLAN 102 - корпоративная сеть - порты 1,3 и 4;
  • Порт 1 - TRUNK
  • Порт 3 - TRUNK
  • Порт 4 - ACCESS- PVID 102

В этом варианте логически (и физически) все еще проще, SW1 выделяет только пакеты VLAN2 c адресом назначения принадлжащим корпоративной сети и, сняв тег, отправляет их на порт 4. Остальные пакеты остаются тегироваными и передаются сетевой карте LAN1 роутера, которая имеет поддержку IEEE 802.1Q, поэтому разделение VLAN будет происходить на самом роутере. Однако данная схема самая сложная в настройке и требует достаточно глубоких сетевых знаний, поэтому если вы чувствуете пробелы в данном вопросе, то лучше реализовать одну из предыдущих схем.

Как видим, VLAN и MultiSSID дают нам в руки богатый инструментарий для создания логической сетевой инфраструктуры, которая будет полностью соответствовать вашим нуждам.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


Loading Comments