Networking
子網之間的選擇性路由
我有兩個子網的配置。在本例中,我將它們稱為 192.168.1.128/26 (128) 和 192.168.1.64/26 (64)。64 子網包含訪客不應訪問的所有內部設備。128子網基本上就是無線廣播子網。
我的問題是我有兩種使用者將連接到這個(128)子網。首先是應該只能訪問網際網路的客人。其次,是應該可以訪問網際網路的員工以及 64 子網上的內部設備。
我正在使用基本的 Linksys 路由器,我可以很好地管理子網之間的路由。我的問題是,如何將路由到 64 子網的使用者限制為“員工”使用者的靜態列表?
通常,您使用防火牆規則(數據包過濾)阻止或允許訪問。如果您使用的是 linksys 的庫存韌體,我不確定這是否可能,如果您使用的是 dd-wrt 或其他東西,那麼您可以使用 iptables 規則來完成。
由於這是您的訪客無線網路,因此通過分配的 IP 地址或 MAC 地址來辨識員工系統可能是非常不明智的,這幾乎排除了使用防火牆規則進行任何類型的訪問控制。
您可能需要做的是考慮在您的員工無線客戶端上設置 VPN,這將允許員工在受信任的網路中建立 VPN。
另一種選擇可能是僅為您的員工帳戶設置一個額外的 SSID/子網,並使用不同級別的無線身份驗證。您的訪客 SSID 可能沒有加密/身份驗證。在您的員工 SSID 上,您將使用具有強預共享密鑰的 WPA2,或者理想情況下是 WPA 下可用的企業身份驗證之一。