Можно ли бытовой роутер использовать для разделения сетей предприятия

Обновлено: 06.07.2024

Одной из «классических» задач сисадмина является необходимость в рамках одного предприятия разделить одну физическую сеть на несколько виртуальных – по признаку принадлежности к отделу, департаменту, вип-персонам и т.д. Даже если вы будете использовать в качестве маршрутизатора и фаервола сервер с ОС Linux, осуществляющий технологию «ip-alias», вы не сможете быть уверены в своей безопасности на 100%.

Дело в том, что вышеуказанная технология позволяет одному и тому же интерфейсу вашего сервера выступать в роли нескольких шлюзов для разных подсетей, но она не сможет уберечь вашу сеть от прослушивания трафика.

Разделение локальной сети с помощью vlan

Для решения данной проблемы используется технология VLAN (Virtual Local Area Network), позволяющая логически разделить физическую сеть на несколько широковещательных не пересекающихся промеж себя доменов, и соответственно, улучшающую безопасность локальной сети. Иными словами, VLAN позволяет осуществлять деление на подсети и создавать отдельные сетевые сегменты на 2-м, канальном, уровне модели OSI в рамках одного или нескольких физических коммутаторов вашей сети.

Обычно коммутатор передает данные от одного устройства к другому на основании mac-таблицы, которая содержит в себе информацию о mac-адресе устройства и физическом порте, с которого данный mac пришел. При разделении локальной сети с помощью vlan добавляется еще информация о принадлежности к определенному сегменту сети – номер vlan.

Технология VLAN позволяет избавиться от большого количества широковещательного трафика, примером которого являются arp-/dhcp-бродкасты или же мультикаст (multicast), использующийся при передаче видеопотоков. Такой тип трафика «съедает» полезную пропускную способность вашей сети.

Как правильно разбить сеть на vlan?

Рассмотрим, как разделить сеть на подсети с помощью VLAN на базе коммутатора Cisco Catalyst. Имеется два компьютера, подключенные к коммутатору и находящиеся в одном широковещательном домене, а также имеющие ip-адреса в одной сети с одинаковой маской подсети, и как следствие, «видящие» друг друга с помощью утилиты ping. Подключимся с помощью telnet или ssh к консоли коммутатора и посмотрим на конфигурацию vlan.

маршрутизация подсетей vlan

Здесь видно, что все физические порты коммутатора по умолчанию находятся в vlan 1, соответственно, устройства за ними взаимодоступны.

в одном vlan несколько подсетей

разделить сеть на 8 подсетей

Чтобы разделить сеть на две подсети, создадим два новых vlan: первый для ПК_1, второй для ПК_2:

разделить сеть на 4 подсети

Проверим, обновилась ли таблица vlan:

деление сети на подсети для чайников

Как видно, оба vlan были созданы и их состояние активно.

Читайте еще: Как расшарить 3g интернет по локальной сети?

Однако физические порты еще не привязаны к этим vlan. Чтобы сделать это, выполним следующую конфигурацию:

как разделить сеть на три подсети

Первая строка, следующая за названием физического интерфейса (порта), указывает коммутатору, что данный порт используется в режиме access – то есть принимает только единственный возможный vlan. Существуют еще и trunk-порты, поддерживающие несколько разных vlan с одного физического интерфейса – обычно такой режим используется между коммутаторами или коммутатором и маршрутизатором. Вторая строка указывает, какой именно vlan закреплен за данным физическим портом.

Посмотрим теперь на таблицу vlan:

catalyst 6509 маршрутизация между vlan

Как видим, информация обновилась: порт ПК_1 находится в vlan 10, а порт ПК_2 – в vlan 20. Попробуем проверить доступность компьютеров друг относительно друга с помощью утилиты ping теперь:

деление сети на подсети примеры

vlan виртуальные сети: cisco 2960 настройка маршрутизации между vlan

Итак, после деления на подсети два компьютера (имеющие ip-адреса из одной сети и одинаковую маску подсети) стали друг для друга недоступны вследствие помещения их разные vlan на коммутаторе.

Таким образом, можно создать уникальные vlan для разных подразделений, поместив необходимые физические порты в каждый из них, разграничив физическую сеть на несколько взаимонедоступных логических сегментов.

Другое дело, если требуется осуществить маршрутизацию между разными подсетями из разных vlan, частично ограничив доступность каждой из них друг для друга. Для этого потребуется установка маршрутизатора, который примет на свой физический интерфейс несколько разных vlan с коммутаторов вашей сети используя технологию TRUNK. В данном случае на маршрутизаторе создаются виртуальные ip-интерфейсы, выступающие в роли шлюзов для подсетей подразделений. На такой ip-интерфейс уже можно добавить ACL (Access control list), выступающий своего рода фаерволом, ограничивающим доступность между подсетями.

Разделяй и властвуй или как просто разделить сеть на сегменты, ограничив трафик между ними?

Любительский

Аватар пользователя

При работе в домашней компьютерной сети или сети малого офиса встречается необходимость в ограничении доступа к некоторым устройствам сети отдельным пользователям или группам пользователей этой сети. Например, необходимо ограничить сетевой доступ детей к компьютерам родителей, или же ограничить взаимный доступ между компьютерами бухгалтерии и менеджеров, или же изолировать камеры видеонаблюдения от остальных пользователей и т.п. Иногда подобную задачу можно решить без использования дорогих специализированных межсетевых экранов средствами современного домашнего маршрутизатора. Именно о таком варианте я расскажу в этой статье, а также приведу пример настройки популярной модели домашнего маршрутизатора.

В моём маршрутизаторе DIR-825/AC/G1A от компании D-Link, решить поставленную задачу поможет функция «Сегментация трафика» в разделе меню «Дополнительно». Как сказано в описании этой функции, она используется для ограничения трафика от одного порта к группе других портов, т.е. именно то, что нам необходимо.

Для настройки функции открываем страницу WEB-интерфейса «Сегментация трафика» в разделе меню «Дополнительно». Определяемся, к каким LAN портам маршрутизатора будут подключены те или иные компьютеры пользователей или коммутаторы отделов. Убираем необходимые галочки в настройках каждого порта. Далее нажимаем кнопку «ПРИМЕНИТЬ».


Например, решаем, что компьютеры родителей будут подключаться к 1 и 2 LAN портам маршрутизатора, а компьютеры детей к 3 и 4 LAN портам. Тогда убираем галочки напротив «LAN1» и «LAN2» в настройках «LAN3» и «LAN4». После нажимаем кнопку «ПРИМЕНИТЬ».


К сожалению, настройка сегментации распространяется только на проводные подключения через LAN порты маршрутизатора. А что же тогда делать с беспроводными подключениями, да ещё и в двух частотных диапазонах, как на моём маршрутизаторе? Ведь по умолчанию, беспроводным пользователям разрешён доступ ко всем LAN портам.

Для добавления гостевой беспроводной сети в разделе меню «Wi-Fi» на странице «Основные настройки» нажмите справа кнопку «Добавить».


На открывшейся странице сделайте необходимые настройки гостевой сети (имя сети SSID, настройки безопасности), активируйте пункт снизу «Включить гостевую сеть», и, если надо, пункт «Изоляция клиентов». После нажмите кнопку снизу «ПРИМЕНИТЬ».


Аналогичным образом настройте гостевую сеть и в диапазоне 5 ГГц.

В итоге мы получаем сегментированную сеть с простым распределением прав доступа.

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.

В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.

Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.

Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:

Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.

Схема разделения сети с помощью VLAN

Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.

1. Настройка MikroTik VLAN

Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

Сброс конфигурации MikroTik

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

Очистка конфигурации MikroTik

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

  1. Откройте меню IP - DHCP Client;
  2. В появившемся окне нажмите красный плюсик;
  3. В новом окне в списке Interface: выбираем WAN интерфейс ether1;
  4. Нажимаем кнопку OK для сохранения настроек.

Настройка WAN порта MikroTik

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Получение IP адреса по DHCP MikroTik

Проверяем наличие соединения с интернетом:

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

ping MikroTik

Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.

1.3 Объединение LAN портов в Bridge

Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

Объединение портов MikroTik в Bridge

Добавляем LAN порты в Bridge:

Добавляем LAN порты в Bridge

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

Список портов Bridge

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

Добавление VLAN интерфейса в MikroTik

  1. Откройте меню Interfaces;
  2. Перейдите на вкладку VLAN;
  3. Нажмите "красный плюсик";
  4. В появившемся окне в поле Name указываем название интерфейса vlan2;
  5. В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID - это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
  6. В списке Interface выбираем интерфейс bridge_main;
  7. Нажимаем кнопку OK для создания VLAN интерфейса.

Настройка VLAN MikroTik

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

  1. Откройте меню IP - Addresses;
  2. Нажмите "красный плюсик";
  3. В поле Address введите 192.168.88.1/24;
  4. В списке Interface выберите интерфейс bridge_main;
  5. Нажимаем кнопку OK.

Назначение IP адреса сети предприятия

Настройка IP адреса гостевой сети:

  1. Откройте меню IP - Addresses;
  2. Нажмите "красный плюсик";
  3. В поле Address введите 192.168.10.1/24;
  4. В списке Interface выберите виртуальный интерфейс vlan2;
  5. Нажимаем кнопку OK.

Назначение IP адреса гостевой сети

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

Настройка пула IP адресов предприятия

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

  1. Нажмите "красный плюсик";
  2. В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
  3. В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
  4. Нажимаем кнопку OK для сохранения пула адресов.

IP адресов хотспота

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

Настройка DHCP сервера предприятия

Настраиваем DHCP сервер гостевой сети аналогичным образом:

Настройка DHCP сервера хотспота

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

Сеть офиса

Добавляем гостевую сеть:

Сеть хотспота

1.7 Настройка DNS сервера

Настройка DNS сервера MikroTik

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

Настройка NAT MikroTik

Параметры NAT MikroTik

Настройка маскарадинга MikroTik

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

Изоляция подсетей в MikroTik

Добавляем второе правило аналогичным образом, только меняем местами подсети.


Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

2 Настройка EnGenius VLAN

Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.

Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.

2.1 Создание двух виртуальных Wi-Fi точек

EnGenius: Настройка режима Access Point

Переходим в меню Wireless - Basic и настраиваем две Wi-Fi точки Office и HotSpot.

EnGenius: Настройка Wi-Fi точек

2.2 Настройка безопасности

На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.

EnGenius: Настройка безопасности

Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.

Также не забудьте в меню Management - Admin изменить пароль для входа в настройки точки доступа EnGenius.

2.3 Настройка VLAN виртуальной точки HotSpot

Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.

EnGenius: Настройка VLAN

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

  • Откройте меню Network - LAN;
  • Bridge Type выбираем Static IP - ввод сетевых настроек вручную;
  • IP Address вводим 192.168.88.100;
  • IP Subnet Mask указываем маску подсети 255.255.255.0;
  • Default Gateway - это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
  • First DNS Address указываем первичный DNS сервер 192.168.88.1;
  • Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
  • Применяем настройки кнопкой Apply.

EnGenius: Настройка LAN

Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP - DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.

DHCP сервер MikroTik: Определение IP адреса по MAC адресу

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Всем добрый день!
Подобные вопросы решать не приходилось, потому, порывшись в инете, все же хочу спросить совет.
Есть локальная сеть, инет по выделенному кабелю. На входе стоит tp-link tl-r470t+, затем свитч.
На некоторых ветках этой кабельной сети нужно дополнительно раздать wifi. WiFi обязательно должен быть полностью отделен от кабельной сети, т.е. попасть из wifi-ской сети в кабельную невозможно.

Какие купить маршрутизаторы для wifi, чтобы легко и быстро настроить раздачу wifi при полном отделении ее от локалки? Доводилось слышать, что далеко не на всех маршрутизаторах это можно сделать.
Мощность wifi не принципиальна. Бюджет ограничен.

__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь

Раздать локалку провайдера через D-Link DWL-2100AP по wifi
Добрый день, Есть: - точка доступа D-Link DWL-2100AP - Локальная сеть провайдера - два ноута .

Создать локалку
Добрый вечер! Не могу создать сеть между 2 ноутами под Windows XP. Один обозначил значком в.

PFSense надо в локалку
Цель - запускать клиентов через OpenVPN c винды в локалку организации с WAN (статика белый).

Пришлось еще порыться. Правильно я понимаю, что роутеры, в настройках которых имеется "Установить изолированную точку доступа?" вполне подойдут для указанных целей?
В частности, есть несколько из серии asus вполне, вроде бы, вписывающихся.

Спасибо за статью. Разбираюсь. Кажется, у нас задача проще: там идет речь о двух вайфаевских сетях, а нам достаточно одной.
И можно еще несколько, возможно наивных, вопросов, чтобы разобраться.

1. Цитата из статьи:
"В самом простом варианте нам нужно организовать гостевой доступ в интернет, которой может раздаваться как роутером, так и недорогим аппаратным маршрутизатором."

Разве "маршрутизатор" не равен "роутер", но в английском варианте?

2. Цитата из статьи:
"Вот здесь и встает вопрос: как надежно разделить данные гостевой сети, . "

Разве маршрутизатор, поддерживающий гостевую сеть, не предоставляет достаточно простые механизмы такого разделения? Ну там, типа, разный диапазон адресов?

3. Некоторые маршрутизаторы поддерживают, так называемую, демилитаризованную зону.
Можно ли ее приспособить для указанных целей? Требуется ли для этого какая-то настройка компьютеров, которые будут работать в этой зоне?

Читайте также: