ДВА роутера / модема, ОДНА сеть. Беспроводное устройство DHCP
Сеть моей компании содержит различные рабочие станции и серверы локальной сети, управляемые межсетевым экраном / шлюзом Smoothwall.
В настоящее время Smoothwall автоматически направляет исходящий трафик на модель ADSL (к сожалению, у него не может быть новой сетевой карты, поэтому баланс нагрузки не поддерживается). Входящий трафик маршрутизируется и должен оставаться маршрутизированным через соединение ADSL с различными серверами.
Мы хотим получить линию Virgin Fibre Broadband, чтобы пользователи могли использовать это соединение, если они пожелают, и одновременно использовать текущее соединение ADSL.
Я знаю, что могу отключить DHCP на новом маршрутизаторе и вручную настроить рабочие станции для использования этого шлюза. Я делал это раньше. Тем не менее, люди будут входить и выходить из бизнеса (гости и сотрудники), которые будут использовать беспроводное соединение (включая телефоны / планшеты / ноутбуки), и они не хотят (а иногда и не могут) постоянно менять свои настройки IP. на устройствах, где это может быть не очень легко.
То, что я хочу, это для использования в беспроводном соединении (новое в порядке) по умолчанию для использования нового шлюза / маршрутизатора, без влияния на существующую, сложную (несколько нестабильную) структуру и для проводных пользователей, чтобы иметь возможность использовать новый шлюз / маршрутизатор (с ручной настройкой, я полагаю) или существующий шлюз / маршрутизатор по умолчанию (коробка Smoothwall).
Я не могу вносить какие-либо изменения в этот блок Smoothwall или серверы, в том числе заменяя их.
Я могу вносить любые изменения в рабочие станции и вставлять дополнительные устройства (точки беспроводного доступа / маршрутизаторы и т. Д.).
Я не был уверен, смогу ли я как-нибудь создать вторую сеть, которая могла бы направлять исходящий трафик через вторую линию, а также быть доступной для существующей сети (ручная настройка).
В принципе, я могу добавить к структуре, но я не могу забрать.
2 ответа
Я предполагаю, что в настоящее время все ваши устройства находятся в одном сегменте (все, что связано с коммутатором) и что устройства коммутатора / брандмауэра / шлюза, связанные с серверами, должны оставаться неизменными.
Имея это в виду, вы можете добавить новый маршрутизатор с 3 интерфейсами:
- int0 - подключен к старому коммутатору с серверами и шлюзом ADSL
- int1 - подключен к новому коммутатору для офисной проводной сети
- int2 - беспроводная сеть
Причина разделения старой сети на отдельный сегмент состоит в том, чтобы избежать широковещательной передачи (например, запросов DHCP) от офисных рабочих станций. Вы можете оставить DHCP включенным в устройстве Smoothwall, и он не будет мешать DHCP-серверу в беспроводной / офисной сети.
Вы также можете иметь новый маршрутизатор только с 2 интерфейсами и иметь отдельную точку доступа, подключенную к офисному коммутатору для пользователей беспроводной связи.
То, что я делаю в аналогичном сценарии, в значительной степени зависит от 802.1q (vLAN) и требует гораздо больше конфигурации. Хотя это зависит от того, есть ли у вас умные / управляемые коммутаторы.
Чтобы изменить существующую инфраструктуру - Модифицируйте свой коммутатор с несколькими виртуальными локальными сетями (старая сеть / новая сеть / гостевая сеть и т. Д.) И подключите новую глобальную сеть к новой виртуальной локальной сети.
Однако я бы порекомендовал (очень кратко) -
- Новый брандмауэр / маршрутизатор с несколькими интерфейсами, по одному для каждой сети или даже для магистральных соединений.
- Добавьте балансировку нагрузки для двух WAN-соединений в виде внешних соединений с QoS по своему вкусу.
- Настройте один сервер DHCP с ретрансляцией DHCP между различными виртуальными локальными сетями.
- В зависимости от точки доступа, иметь несколько магистралей SSID (802.1q) для коммутатора, вещающего каждую vLAN.
Чтобы сделать еще один шаг вперед и повысить безопасность, установите где-нибудь сервер RADIUS и внедрите WPA2 Enterprise для повышения безопасности и контроля над доступом к беспроводной инфраструктуре.
Огромным преимуществом этого является то, что он защищает гостевой доступ от частной корпоративной сети.
Я реализовал эту настройку в нескольких компаниях, и она работает очень хорошо.