Melhor maneira de conectar SSID / VLAN dual sem fio ao firewall Watchguard

Navegue suas respostas
1

No momento, estou classificando nossa rede para que possamos ter novos pontos de acesso sem fio com SSIDs duplos, um para uso interno e outro para uso dos hóspedes. Estes serão configurados de forma que cada SSID esteja em uma VLAN diferente. Estou conectando todos eles a um switch PoE. Note que os APs NÃO são do próprio Watchguard.

Minha pergunta é a melhor forma de conectar isso ao nosso firewall Watchguard. Atualmente, toda a rede interna está em uma única sub-rede / 24 e se conecta a uma porta confiável no Watchguard. Não há VLANs envolvidas. O DHCP é fornecido aos clientes (com e sem fio) por um Windows Server nesta rede.

Minhas soluções possíveis:

  1. Conecte os comutadores de rede interna existentes ao meu novo comutador PoE (com os novos pontos sem fio) e conecte esse comutador ao Firebox. Altere a porta confiável existente do Firebox para ser uma VLAN com uma VLAN para confiável e outra para WiFi convidado. O Watchguard fará o DHCP para o convidado Wifi e o Wifi confiável continuará a vir do servidor DHCP existente (e usar a sub-rede existente).

  2. Deixe a rede confiável existente praticamente como está e conecte o novo switch PoE a uma porta separada no Watchguard. Configure isso como uma porta VLAN, novamente com duas VLANs, mas com o WatchGuard fazendo DHCP para ambos, ou seja, os clientes sem fio confiáveis estarão agora em uma nova sub-rede. Isso exigiria algumas configurações de firewall adicionais para rotear entre a rede confiável existente e a nova sub-rede sem fio confiável.

Eu estava inclinado para (1), mas estou querendo saber se (2) é o melhor método, pois parece fornecer mais separação para o convidado WiFi. Embora, em teoria, a VLAN deva separá-lo de qualquer maneira.

Quaisquer pensamentos bem-vindos.

    
por george 31.03.2016 / 21:04

1 resposta

1

Você deseja a opção 1.

Configure suas VLANs na configuração do watchguard e configure uma interface para estar em ambas as VLANs. No novo switch POE, configure uma porta para ser uma porta de acesso em sua VLAN de equipe e conecte o switch existente a ela. Configure o restante das portas para serem troncos com ambas as VLANs - elas vão para a fornalha e para os pontos de acesso.

Ao configurar as VLANs, você também pode especificar as configurações do servidor DHCP. Deixe-o desligado para a sua VLAN confiável e ligue-a para o convidado. Dessa forma, seu servidor continua fazendo DHCP para computadores confiáveis, e o firewall o fará para convidados.

Ao configurar os APs, certifique-se de que sua interface de gerenciamento esteja na rede confiável. O mesmo para os switches. Nenhum dos dois precisa ter nenhum endereço IP na VLAN convidada.

As VLANs são suficientes para separar o tráfego com segurança.

Certifique-se de que o novo switch POE possa lidar com todo o tráfego do restante da rede. Se for um modelo inferior, e seus switches existentes são switches gerenciados mais rápidos, provavelmente é melhor configurá-los também para VLANs e encadear o novo switch POE deles.

A opção 2 tornaria a vida mais difícil, pois as conexões Wi-Fi confiáveis acabam em uma sub-rede diferente. Quanto de uma dor que é depende do que as pessoas fazem, mas no geral eu prefiro manter todos na mesma sub-rede. Você realmente não ganha segurança fazendo isso dessa maneira.

    
por 31.03.2016 / 21:14

Tags

Obtenha o rsync para trabalhar incrementalmente https não reconhecido pelo PHP quando o lighttpd url.rewrite usado