iT邦幫忙

0

架建Guest WIFI上網做法

想建一個GUEST WIFI供多名外來訪客上網用. 要求是不可訪問到其他內網的東西, 如:NAS, 用戶.
須要如何做呢? 在現在使用中的AP(可建多個SSID), 已新加了GUEST WIFI的SSID及密碼. 但之後沒有概念. 求教!

perry168提到:
現在使用中的AP(可建多個SSID)

廠牌?
型號?
perry168 iT邦新手 3 級 ‧ 2015-03-13 13:46:30 檢舉
Ruckus Zoneflex 7300
問代理商吧
看他能不能切 vlan

2 個回答

8
mytiny
iT邦大師 1 級 ‧ 2015-03-14 00:09:27
最佳解答

看到版大描述的情況,應該是採用了FatAP的架構
後面有說到機型是Zoneflex 7300
所以雖然AP可以用多個SSID
甚至有多個網路口可以使用
但基本安全概念是Guest WiFi必須與其他使用者隔離
這點在Ruckus的機種上多半需要採用帶Vlan tag的方式
也就是說必須要與你的網管型交換機配合才成
當在switch上有了Vlan tag,還必須做ACL
否則等於還是沒有安全性

退而求其次的解法
看看能不能把Guest SSID分到不同的接口上
接口直接連線到防火牆的DMZ口
讓防火牆來替你做安全區隔
甚或是直接買一個一般的AP接到DMZ口也可以
總之是比較沒有彈性的作法
訪客一定得在某個地方才能用

要想要訪客可以靈活在公司到處可用
同時又要可以兼顧安全性
就得要另外的企業級無線網路方案了

perry168 iT邦新手 3 級 ‧ 2015-03-14 12:28:07 檢舉

如此看來, 此工作不是簡單可完成. 沒錯的, 我校是以FATAP架建的. 所以因資金關係, 只可以現有的架構上作調整. 如你所說, 即無法實現?

mytiny iT邦大師 1 級 ‧ 2015-03-14 21:15:01 檢舉

如果是學校的用途,很多年前即已驗證FatAP不可行
近年學校多採用ThinAP的方案(即便是"隨身包"方案亦如此)
ThinAP方案中有tunnel及bridge兩種模式
這種用Vlan tag的方式很不方便,
試想,每加一個SSID,就需要設遍全校交換機的每一埠
何來方便之有。

學校單位可洽詢新北教網中心請益相關歷年沿革建置經驗

4
Mark Cheng
iT邦新手 4 級 ‧ 2015-03-13 13:38:42

如果AP有VLan的功能的話,會更簡單的把你要的需求做建置,如果沒有,那就是無線網路的設定與區域網路的設定去做搭配,凡指guest wifi使用者,一律作限速與網段切割,如此一來,網段不同,自然就會block掉外來使用者。

我要發表回答

立即登入回答