隔離連接到同一 AP 的設備之間的流量
我有多個接入點。每個 AP 都有兩個已配置的 SSID:一個用於客戶端設備(開放),一個用於將由客戶端設備使用的某些實用設備(安全)。我希望實用程序設備不能被客戶端設備直接發現,因此 SSID 分離。此外,每個 SSID 都分配給一個 VLAN(假設為 10 和 20)。每個 AP 都連接到一個交換機,該交換機也連接到路由器以訪問 Internet。每個連接 AP 的交換機埠都配置為中繼埠,因為多個 VLAN 的標記流量將通過此埠傳輸。我還有一個伺服器,我想充當客戶端設備和實用程序設備之間部分流量的代理。如果我的理解是正確的,這台伺服器應該連接到交換機並配置為兩個 VLAN 的一部分。我有以下問題:
- 我希望每個 VLAN 都有自己的 IP 地址(例如 VLAN 10 為 192.168.10.1/24,VLAN 20 為 192.168.20.1/24)。應該在哪裡配置?路由器(也是 DHCP 伺服器)能否為 VLAN 提供地址?
- 連接伺服器的交換機埠是否應該處於中繼模式?
當然,如果您認為任何事情看起來不對並且不是解決我的問題的“最佳實踐”方式,請提出建議。
AP 型號是 Aruba Instant。交換機是 HP 2530。路由器目前是我用於測試的家用路由器。
HP 2530 是不支持路由的第 2 層交換機。您的“家庭”路由器可能不支持多個 vLAN 介面。
在這種情況下,您唯一能做的就是將伺服器配置為路由器。這樣做需要 3 個介面,並且伺服器被配置為 DHCP 伺服器。
一個介面將連接到路由器以實現網際網路連接。其他兩個介面將連接到單獨的交換機埠。一個埠將配置在一個 vLAN(非標記)上,另一個埠將配置在另一個 vLAN(非標記)上。或者,如果您的伺服器支持它並且配置正確,您可以使用交換機上的中繼埠將每個 vLAN 的兩個埠要求組合到一個埠中。
該伺服器將被配置為每個子網上的預設網關,並將充當 DHCP 伺服器,在每個子網上分配適當的地址。
如果您需要一個可以安裝在伺服器上的簡單路由器平台,我建議您查看 VyOS。根據需要使用“路由器”上的 ACL 規則充當防火牆。