В маршрутизаторе Keenetic (с микропрограммой V2) на одном физическом LAN-порту можно настроить два разных VLAN, например, чтобы один VLAN имел полный доступ к ресурсам локальной сети и к Интернету, а другой VLAN (гостевой) имел бы доступ только в Интернет.
Для реализации данной задачи в маршрутизаторе Keenetic (с микропрограммой V2) требуется создать два VLAN, например:
VLAN 3 – для доступа к локальным ресурсам и Интернету,
VLAN 4 – для гостевого доступа.
Примечание: VLAN 2 является служебным. По умолчанию он используется для порта 5 (WAN).
Для каждой VLAN требуется настроить свой DHCP Pool (диапазон IP-адресов, назначаемых по DHCP).
Ограничить доступ к локальным ресурсам и управлению маршрутизатором можно с помощью встроенного межсетевого экрана (Firewall).
Настройку VLAN произведем, например, на 4-м физическом LAN-порту встроенного Ethernet-коммутатора Keenetic’а. Настройки LAN-портов 1-3 и беспроводной сети Wi-Fi в процессе создания VLAN не затрагиваются.
Настройку маршрутизатора удобнее выполнять из режима командной строки (CLI) устройства.
1. Подключитесь к интернет-центру через telnet-подключение, используя его IP-адрес и пароль по умолчанию (если не меняли).
| telnet 192.168.1.1
Password: 1234 |
2. Создайте VLAN 3, VLAN 4 и привяжите их к LAN-порту 4 интернет-центра.
| (config)> interface Switch0 (config-if)> port 4 (config-if-port)> mode trunk Trunk mode enabled (config-if-port)> trunk vlan 3 Vlan added to trunk (config-if-port)> trunk vlan 4 (config-if-port)> exit |
3. Установите IP-адрес для интерфейсов Switch0/VLAN3, Switch0/VLAN4 и активируйте созданные интерфейсы. В нашем примере для локальной сети назначаем подсеть 192.168.3.0/24, для гостевой – 192.168.4.0/24.
| (config)> interface Switch0/VLAN3 (config-if)> ip address 192.168.3.1/24 Network address saved. (config-if)> security-level private Interface set as private(config-if)> up Interface enabled. (config-if)> exit (config)> interface Switch0/VLAN4 (config-if)> ip address 192.168.4.1/24 (config-if)> up (config-if)> exit |
4. Создайте DHCP Pool для VLAN 3 (192.168.3.33 — 192.168.3.43) и VLAN 4 (192.168.4.33 — 192.168.4.43).
| (config)> ip dhcp pool HOME3 pool «_HOME2″ has been created. (config-dhcp)> range 192.168.3.33 192.168.3.43 pool «_HOME3″ range has been saved. (config-dhcp)> bind Switch0/VLAN3 pool «_HOME3″ bound to interface Switch0/VLAN3. (config-dhcp)> exit(config)> ip dhcp pool HOME4 pool «_HOME4″ has been created. (config-dhcp)> range 192.168.4.33 192.168.4.43 pool «_HOME2″ range has been saved. (config-dhcp)> bind Switch0/VLAN4 |
5. Настройте межсетевой экран (Firewall) для блокировки доступа с VLAN 4 к управлению интернет-центром Keenetic и к ресурсам корпоративной сети.
| (config)>access-list _WEBADMIN_VLAN4
(config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0 ACL rule added. (config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0 ACL rule added. (config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.0 ACL rule added. (config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0 ACL rule added. (config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0 ACL rule added. (config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.0 ACL rule added. (config-acl)>deny tcp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255 ACL rule added. (config-acl)>deny udp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255 ACL rule added. (config-acl)>deny icmp 0.0.0.0 0.0.0.0 192.168.4.1 255.255.255.255 ACL rule added. (config-acl)>exit (config)>interface Switch0/VLAN4 (config-if)>ip access-group _WEBADMIN_VLAN4 in Access group applied (config-if)>exit |
6. Включите NAT (функция трансляции сетевых адресов) для интерфейсов Switch0/VLAN3 и Switch0/VLAN4.
| (config)>ip nat Switch0/VLAN3
NAT rule added. |
7. Сохраните конфигурацию.
| (config)>sys config-save
Saving configuration (config)>exit |