將無線分享器做為防火牆的連接埠擴充及無線存取點的問題

網路規劃防火牆無線分享器

lsesroom 2023-02-03 08:44:02 ‧ 1910 瀏覽

分享至

==20230204==更新==========================================

後來考量一些網路功能的連接、IP分配及設備的區隔
規劃如下：

防火牆-伺服器、NAS、UPS等
防火牆-無線IP分享器-使用者電腦、個人無線設備、印表機等
將使用者端區隔於無線IP分享器的虛擬網路環境後端
從使用者端連到重要設備都透過防火牆管制
無線IP分享器也定時在下班時刻關閉無線訊號

如同之前其他網友回應的
確實需要回應主管及同仁的一些要求，如提供訪客連結網路等
但辦公室通常僅有5人以下
實在是沒有企業級的預算來建設企業級的網路架構，執行企業級的安全防護
(當然資料也沒有企業級的價值 XD)
我們也只是在大機構下的小單位
資訊基礎建設的規劃會受到限制
這大概是我能想到的最佳方式
不知道各位有什麼建議

另外無線IP分享器的部分我去稍微研究了一下
想推不推薦使用Mikrotik RBD53iG-5HacD2HnD hAP ac3
或是有其他萬元以下的商用無線IP分享器可以推薦的
感謝

==20230203================================================

辦公室防火牆後端的RJ45 Ports已插滿
現在想要擴充連接埠並同時增加wifi的存取點

目前的想法是拿一台無線分享器設為access point模式
無線分享器僅設定連結無線網路的密碼
並依移動設備的MAC碼設定設備存取wifi的權限
無線分享器上的RJ45 Ports則作為防火牆的擴充連接埠
類似單純switch的功能
而網路的各項設定皆由防火牆處理(如：DHCP或虛擬伺服器等各項規則)

請問無線分享器設為access point模式後能不能限制移動設備的MAC碼？
以及設定連結無線網路的密碼？
以ASUS或D-Link這兩家的無線分享器產品的內建系統能不能達成以上設定？
另外這樣的規劃方式會不會有什麼問題呢？
謝謝

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2023-02-03 09:19:29 檢舉

不論哪一家，沒有無線控制器都做不到樓主要的，這兩家的AP都不是 THIN AP，所以不用想了而且這種架構你用消費型的真的檔的住無線連接攻擊 ?
還有就是就算要用消費型的，去找有登入驗證的，能跟AD 帳號結合就好，內建 Radius 服務的會比較好

竹本立里 iT邦好手 1 級 ‧ 2023-02-03 09:34:47 檢舉

門神語錄 : 買什麼設備都可以,重點要能找得到服務的人
(就像我家的UPS廠商說,UPS做斷電測試,讓他們來就好,最少出事時黑鍋是他們背)

再補充一點
萬一樓主買了FAT AP, 以後會不會長官又提出需求,要提供客人 WIFI
然後又再加購 AP................ ,所以建議企業需求就直接上 THIN AP 吧
THIN AP 幾乎都有 Multi-SSID 功能,一個AP 針對不同身分派發不同的 SSID 走不同的VLAN

lsesroom iT邦新手 2 級 ‧ 2023-02-03 09:49:03 檢舉

大概研究了一下無線控制器，應該是D-Link DWC-1000/2000這類產品。再搭配無線AP進行管理。
我們這邊只是一個小單位，基本上只會有一個存取點，應該可以用類似DAP-X2850這類的產品在防火牆後端獨立運作？

竹本立里 iT邦好手 1 級 ‧ 2023-02-03 10:31:07 檢舉

是的
類似的還有 UniFi AC Lite ,VigorAP 903, FAP-221C ,Aruba .........
各家的APC 都不同 , 目前我用過可以拿 PC 來當APC 的有 Unifi 跟Vigor

竹本立里 iT邦好手 1 級 ‧ 2023-02-04 16:39:23 檢舉

照你的問法 ,我是不推薦你去玩 Mikrotik 系列產品

UniFi AC Lite ,VigorAP 903 ,FAP-223B 都是萬元以下甚至是5000元以下的 AP (這三種型號我都用過),除了FAP-223B 我是用Forgate 當控制器,所以AP跟防火牆是同廠牌,剩下 UniFi , VigorAP AP 都跟防火牆不同廠牌,是用PC當控制器
但重點重申
門神語錄 : 買什麼設備都可以,重點要能找得到服務的人