Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1 2 След.
RSS
3.1.1 Изоляция клиентов без гостевого портала, UniFi Network
 
Привет! Я использую гостевой портал для хотспота, но у меня сеть с защитой WPA2, и я хочу разрешить только доступ в интернет без возможности обмена данными в сети. Как можно включить изоляцию клиентов в этой сети без использования гостевого портала? Когда я выбираю опцию гостевого портала, автоматически запускается хотспот-портал... Спасибо за помощь!
 
Ты предлагаешь решить эту задачу «наоборот»? Идея подключить гостей к обычному Wi-Fi, отделить их в отдельный VLAN, а сеть для гостей использовать для сотрудников вместо гостей звучит очень интересно... потому что, честно говоря, мне наплевать на благополучие гостей... ------------------------------------------- хм, не уверен, что это вообще реализуемо...
 
Я проверил документацию для SG300-52, и у вас есть возможность настроить PVE, то есть можно создать гостевую VLAN, которая будет подключать гостей только к интернету и изолировать их друг от друга и от остальной сети. Ссылка, которую я указал выше, объясняет, как это настроить. R+C
 
Возможно, я неправильно выразился. Я хотел это попробовать, но похоже, что нельзя создать несколько гостевых политик 🙁 Хотя я сам этим не пользуюсь, понимаю, что эта функция могла бы быть полезной.
 
Вау. Я не знал, что можно иметь 2 гостевые сети... Попробую. Две гостевые сети на одном контроллере/ТД?---------------------------------------------------------------------------------------Я посмотрел и не нашёл, как это сделать... Похоже, для этого нужны два разных набора гостевых политик...
 
Используйте две гостевые сети: одну для гостей, другую — для сотрудников. Настройте соответствующие ограничения для каждой.
 
Хорошо, так ты предлагаешь подключить и гостей, и сотрудников к одной и той же (и единственной) гостевой сети? Тогда нужно заблокировать всё и разрешить доступ только серверам, верно? Но если я разрешу доступ серверу, гости смогут тоже к нему подключаться, так же как и сотрудники, да?
 
То, что вы хотите, вполне возможно. Вам действительно нужно включить гостевую сеть, но это не значит, что пользователи что-то замечают — просто вы не заставляете их проходить аутентификацию. Это можно настроить с использованием wpa2-aes. Затем вы ограничиваете доступ по IP-диапазонам, а если им нужно иметь доступ к определённым серверам, просто не включайте адреса этих серверов в список ограничений.
 
Проводные клиенты изолированы. Они полностью изолированы друг от друга. Они даже не могут пинговать друг друга или обмениваться принтерами и файлами. Они не могут запустить сниффер пакетов и видеть трафик друг друга. Я хочу, чтобы каждый компьютер в моей сети был изолирован и невидим для всех остальных компьютеров на той же сети. Гостевая сеть сейчас настроена именно так. Проводные ПК тоже настроены именно так. Но в Wi-Fi для сотрудников, внутри точки доступа, беспроводные сотрудники могут пинговать друг друга и не изолированы. Вот единственное, что я пытаюсь решить. Извините, если я что-то упускаю. Я, конечно, не претендую на глубокие знания в сетевых технологиях.
 
То, что сказал mhoppes, работает. Если я правильно понимаю, у вас есть доверенная сеть и недоверенная сеть. Почему вы пытаетесь изолировать своих доверенных пользователей? Проводная сеть не изолирована, зачем тогда беспроводная? Включите изоляцию в недоверенной гостевой сети. И не включайте изоляцию в доверенной сети.
 
Снова. ^пост 13^ Если я применю правила для гостей, никто не сможет получить доступ к внутренним серверам.
 
Да, конечно. Просто примените правила для гостей к этим сетям. Портал использовать необязательно.
 
Разве не было бы очень просто для UBNT добавить одну маленькую функцию, которая *уже* есть для гостевого Wi-Fi, в остальные Wi-Fi сети? Я спрашиваю про функции Unifi на форуме Unifi. Я не прошу здесь помочь с изменением топологии моей сети.
 
Если у вас проблема с Cisco, вы, возможно, добьётесь более быстрого прогресса на одном из Cisco-сайтов. Изоляция клиентов в подсети осуществляется с помощью различных маршрутизаторов и коммутаторов, и не все из них дорогие. R+C
 
Я использую защищённые порты почти на всех пользовательских ПК. Порты, к которым подключены точки доступа, тоже защищены. Насколько я понял из прочитанного, защищённые порты означают private VLANs. То есть ни пользователи гостевой, ни обычной Wi-Fi сети не видят проводные ПК. Беспроводные клиенты в гостевой сети не видят друг друга (если я правильно понимаю). Клиенты в обычной Wi-Fi сети (только для сотрудников) видят друг друга. В гостевой сети у меня занесена в чёрный список подсеть LAN, чтобы гости видели только интернет и не смогли добраться до моих серверов и инфраструктуры. Сотрудники в обычной Wi-Fi сети должны видеть серверы, поэтому просто объединить всех в одну огромную гостевую сеть нельзя. Кстати, у меня в коммутаторах Cisco SMB SG300-52.
 
Почему нельзя запустить гостевой портал без самого портала? Я так делаю на нескольких наших хотспотах, и всё работает отлично. Изоляция без необходимости какой-либо аутентификации или нажатия кнопок.
 
Прочитайте статью Cisco, на которую я ссылался выше. Цитирую из введения (выделение моё):  
Private VLANs обеспечивают дополнительную безопасность между устройствами в общей подсети.  
Private edge VLANs можно настроить так, чтобы предотвращать соединение между устройствами на коммутаторах доступа.  
Private VLANs можно настроить на продуктах серии Catalyst 6000 и Catalyst 4000.  
Внутри private VLAN можно изолировать устройства, чтобы предотвратить связь между ними внутри изолированной VLAN.  
Внутри private VLAN можно создавать сообщества, которые позволяют некоторым устройствам подключаться друг к другу и не дают им общаться с другими.  
Порты Promiscuous отображаются на private VLAN, чтобы обеспечить соединение с VLAN вне этой сети.
 
Ты всё это повторяешь, а для меня это по-прежнему ни о чём.
 
Вы можете настроить VLANы Private Edge на коммутаторах и роутере, UniFi AP уже поддерживает работу с VLAN.
 
Это будет функция в будущих обновлениях?
Страницы: 1 2 След.
Читают тему (гостей: 1)