Prefácio : não sou administrador de rede nem de sistemas. Eu tenho um pouco de experiência de rede, mas é limitado a configuração básica de roteador como encaminhamento de porta, configuração de servidores DNS alternativos, extensão de alcance, etc. Eu entendo as coisas mais complexas como VLANs e máscaras de sub-rede, mas não muito bem. / p>
Nossa configuração atual:
Temos cerca de 8 computadores e 1 impressora conectada via Ethernet a um switch antigo, que é conectado a um roteador sem fio Cisco WRVS4400n. Também temos cerca de 5 computadores conectados sem fio ao roteador.
O problema é que temos dois tipos de pessoas no escritório, funcionários e convidados. Ambos precisam de acesso à Internet e à impressora, mas os dois não devem poder se comunicar uns com os outros, e temos serviços em execução no meu computador de desenvolvimento que definitivamente não queremos que os visitantes possam acessar.
Comecei criando dois SSIDs, privados e públicos, e habilitei o isolamento sem fio entre eles. Portanto, os funcionários da rede privada não podem se comunicar com os convidados na rede pública. O que é perfeito, exceto que eles podem ver e se comunicar com todos os computadores conectados via Ethernet.
Eu fiz um pouco de pesquisa, e parece que as VLANs são o caminho a percorrer. Então eu criei 3 VLANs:
Em seguida, atribuí o SSID privado à VLAN 1 e o SSID público à VLAN 2. O que parece funcionar até agora.
O que não consigo descobrir é colocar a impressora na VLAN 3 e fazer a VLAN 3 se comunicar com a VLAN 1 e a VLAN 2? Tenho certeza de que tem algo a ver com máscaras de sub-rede, mas não tenho certeza de como usá-las, e as várias horas de manipulação que fiz não me levaram a lugar nenhum. Qualquer ajuda seria muito apreciada, obrigado!
Compre uma segunda impressora para os visitantes - a sério.
Se você quiser fazer isso 'na rede' corretamente (ou seja, com segurança), você precisará de um roteador ou switch de camada 3 - ou é muito complexo e provavelmente muito caro, comparado a comprar uma segunda impressora.
A impressora teria que entender as VLANs para estar em uma porta de tronco. Boa sorte com isso.
Ou você poderia colocar um roteador lá que manipulasse os bits entre as VLANs. Eu faço isso em casa, por exemplo, e no trabalho.
Ou você poderia gastar alguns dólares e comprar outra impressora. Eu, pessoalmente, não me sinto confortável em deixar documentos particulares em uma impressora que o público use ou tenha acesso de qualquer maneira, então mude o privado para uma área privada e coloque uma impressora a laser barata para uso público.
A solução canônica para isso é atribuir 3 sub-redes IP, uma a cada VLAN, e usar um roteador em um bastão (um roteador que simplesmente se conecta a uma porta de tronco VLAN usando apenas uma NIC física possui um IP em cada VLAN sub-rede e rotas entre eles). O roteador deve suportar uma funcionalidade de firewall suficiente para filtrar o tráfego entre as VLANs 1 e 2. Todo o tráfego para a impressora seria roteado através do roteador. O roteador WAP + pode ter funcionalidade suficiente para emular o roteador em um bastão, para que um físico não seja necessário (especialmente se estiver executando o DD-WRT).
Do ponto de vista de segurança, isso pode ser comprometido se alguém puder colocar um roteador NAT na VLAN 3, que faz a rota entre as VLANs 1 e 2, comprometendo a impressora ou algo assim. Se isso for uma preocupação ou se a solução de VLAN for muito difícil, não compartilhe a impressora e use outras separadas.