子網之間的選擇性路由

我有兩個子網的配置。在本例中，我將它們稱為 192.168.1.128/26 (128) 和 192.168.1.64/26 (64)。64 子網包含訪客不應訪問的所有內部設備。128子網基本上就是無線廣播子網。

我的問題是我有兩種使用者將連接到這個（128）子網。首先是應該只能訪問網際網路的客人。其次，是應該可以訪問網際網路的員工以及 64 子網上的內部設備。

我正在使用基本的 Linksys 路由器，我可以很好地管理子網之間的路由。我的問題是，如何將路由到 64 子網的使用者限制為“員工”使用者的靜態列表？

通常，您使用防火牆規則（數據包過濾）阻止或允許訪問。如果您使用的是 linksys 的庫存韌體，我不確定這是否可能，如果您使用的是 dd-wrt ​​或其他東西，那麼您可以使用 iptables 規則來完成。

由於這是您的訪客無線網路，因此通過分配的 IP 地址或 MAC 地址來辨識員工系統可能是非常不明智的，這幾乎排除了使用防火牆規則進行任何類型的訪問控制。

您可能需要做的是考慮在您的員工無線客戶端上設置 VPN，這將允許員工在受信任的網路中建立 VPN。

另一種選擇可能是僅為您的員工帳戶設置一個額外的 SSID/子網，並使用不同級別的無線身份驗證。您的訪客 SSID 可能沒有加密/身份驗證。在您的員工 SSID 上，您將使用具有強預共享密鑰的 WPA2，或者理想情況下是 WPA 下可用的企業身份驗證之一。

引用自：https://serverfault.com/questions/364615