Estou tentando configurar uma rede na qual cada computador não possa ver os outros na rede, apenas o roteador. As pessoas envolvidas não necessariamente se conhecem e não necessariamente sabem muito sobre como configurar uma rede. O problema que estamos tentando resolver é que às vezes as pessoas conectam seu próprio roteador sem fio, mas inadvertidamente conectam a porta LAN ao switch principal, criando assim um conflito entre o servidor DHCP e aquele no roteador principal.
Estou imaginando que as VLANs resolveriam o problema. Como não posso contar com o equipamento sendo conectado suportando VLANs marcadas, devo confiar que o switch esteja no modo sem etiqueta para todos os clientes e, em seguida, o switch deve suportar o entroncamento de VLAN, permitindo assim que todos os clientes o vejam e possam acessar a internet.
Então, alguém tem alguma sugestão para um roteador que possa suportar isso? Algo com uma GUI seria legal, já que eu sou muito preguiçoso com coisas de linha de comando. O roteador que está no lugar é um Linksys WRT160N, então talvez ele possa ser usado com o OpenWrt ou algo parecido.
O que você acha?
EDITAR: Eu olhei como fazer isso no DD-WRT, mas as instruções dadas aqui link não explique como fazer isso se você quiser mais de 4 vlans. Eu estou supondo que posso criar um maior número de vlans e separá-los todos?
Se o seu único problema real é que algumas pessoas conectam um dispositivo DHCP à rede - configure o filtro DHCP no switch ou, se você não tiver um, obtenha um. Se você não puder - configure algo para monitorar e alertar você sobre o comportamento indesejado.
Você poderia ir além - um switch decente permitiria que você configurasse a filtragem de endereços mac também - você poderia impedir que dispositivos não autorizados trabalhassem no período da rede.
Olá pessoal, obrigado por todas as suas ótimas respostas, estou pensando em adquirir um Dell Switch (série 54xx) que me permitirá bloquear servidores DHCP desonestos. Parece bem simples de configurar - não acho (espero) que eu precise de ferramentas de solução de problemas muito avançadas.
A espionagem DHCP é aparentemente o termo que se procuraria, para este tipo de funcionalidade.
Vou postar uma resposta quando eu trabalhar.
Acho que o que você realmente quer é o suporte de VLAN privada. Esta é mais uma questão do switch que o roteador. Não tenho certeza sobre opções baseadas em GUI. Eu sei que a Cisco faz isso muito bem (surpresa!). Veja uma lista dos switches compatíveis: link
Se você quiser um roteador poderoso, eu recomendaria o Mikrotik ( link ). Não é tão fácil de configurar, já que você precisa saber como a sub-rede, o firewall e outras coisas relacionadas funcionam. Mas permitirá uma melhor depuração da rede em comparação com o DD-WRT (opinião pessoal!). E cabe ao seu caso de uso, se o fornecimento de conexão à internet para conjuntos de apartamentos na construção for o que você deseja realizar.
Gostaria que cada usuário (porta ethernet) atribuísse VLAN id-on switch port defina PVID, que é a VLAN padrão atribuída ao pacote sem ID VLAN. Porta para roteador será o tronco de todas as VLANs e, portanto, a porta no roteador. No roteador permitir apenas a conexão entre vlan e interface de internet, assim a comunicação entre os usuários será descartada. E se alguns usuários quiserem se comunicar entre si (jogos, warezing), não há problema em adicionar regras ao firewall.
Última nota sobre "dois usuários se comunicam": Você pode mesclá-los a uma VLAN, para que os dados fluam apenas através de switch, economizando assim a largura de banda do upload do roteador OU podem permanecer em diferentes VLANs e habilitar a comunicação desejada no firewall. A segunda abordagem permite um melhor controle, mas consome muita largura de banda do roteador, portanto, você deve pensar sobre a QoS.
Se o problema for apenas servidores DHCP desonestos, basta configurar seus comutadores para permitir apenas servidores DHCP autorizados (depende do comutador, por exemplo, [ProCurve 28xx] [1]). Ou (se eles não suportarem algo assim), apenas bloqueie ofertas DHCP (mas não solicitações) provenientes de máquinas cliente / portas não autorizadas.
As VLANs privadas têm alguns problemas em que bloqueiam coisas que você pode não querer bloquear, como serviços UPnP / Bonjour entre clientes, e provavelmente são excessivas para suas necessidades.