@pqgg7nwkd4

Как сделать, чтобы хосты сети не видели друг-друга, а только шлюз?

Добрый день.

Есть задача обеспечить доступ в интернет посредством WiFi (ожидается порядка 1-5 тыс. клиентов). Вся инфраструктура уже есть (на базе точек Ubiquiti и HP). Инфраструктура обеспечивает единую сеть шлюза с клиентами. На шлюзе самодельный Captive Portal, работающий с помощью iptables, но к вопросу это не сильно относится.
Шлюз раздает IP адреса в этой сети (сейчас он раздает из сети 10.240.0.0/255.240.0.0).
Проблема в том, что пользователи сети "видят" друг-друга в сети. Не все пользователи обладают умениями защитить себя в сети, поэтому хотелось бы их прикрыть.
Администратор сети пока ищет правильное в данном случае решение: возможность заблокировать внутрисетевое взаимодействие с помощью настроек Ubiquiti и HP. Но пока безуспешно.

Вопрос: можно ли как-то решить эту проблему настройками сети?
Например, может будет полезным раздавать адреса с маской 255.255.255.255, тогда хосты будут отправлять все на шлюз, который отфильтрует что нужно. Но у меня сомнения, что с такой маской вообще будут что-то отправлять на шлюз.
Или другой вариант: раздавать клиентам микросети по 4 адреса (благо адресного пространства хватает). Но как такое настроить - ума не приложу (5000 сетей в /etc/network/interfaces на шлюзе?)

Заранее спасибо.
  • Вопрос задан
  • 523 просмотра
Пригласить эксперта
Ответы на вопрос 3
leahch
@leahch
Я мастер на все руки, я козлик Элек Мэк :-)
Вообще-то во многих точках доступа есть опция "Clients isolation" (Wireless isolation, AP isolation и прочие названия). Собственно эта опция изолирует трафик клиентов wifi-сети между собой внутри точки доступа. - https://www.howtogeek.com/179089/lock-down-your-wi...
Теперь нам останется только изолировать сами точки доступа друг от друга. Для этого можно делать VLAN-ы на каждую точку.
Ну а в центр поставить коммутатор(ы) L3, чтобы он(и) разруливали маршрутизацию между этими виланами.
В центр ставим бооольшой (лучше парочку с failover) DHCP сервер, а на коммутаторах настраиваем DHCP-proxy на нужные vlan.
Да, чтобы не заниматься возьней с маршрутами, я бы еще поднял OSPF.

Ах, ну да, в DLINK есть функции Assymmetric VLANS и Traffic Segmentation. Наверное и у других производителей есть подобное.
Ответ написан
@LiguidCool
Железок нет на руках, но по моему "по феншую" делать динамические VLAN'ы пользователям.
Ответ написан
@cssman
разбить большой пул на сетки хотя бы по 24 бита и группировать вланами.
более радикально - через AD разлить hips и программный мсэ(можно хоть встроенный виндовый с помощью групповых политик) на каждый пользовательский комп. арпы правда будут доступны, зато выше всё закроете
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы