Создание в локальной сети интернет-центра нескольких независимых подсетей с помощью VLAN

Необходимо предоставить доступ к Интернету только клиентам, подключенным к портам 1-3 интернет-центра Keenetic. Клиенты, подключенные по Wi-Fi или к порту 4, должны иметь доступ только к ресурсам локальной домашней сети. Как создать в локальной сети интернет-центра несколько независимых подсетей?

Информация в данной статье относится к интернет-центрам серии Keenetic с микропрограммой второго поколения NDMS V2.

Интернет-центр Keenetic будет иметь IP-адрес 192.168.1.1. Подсеть, имеющая доступ в Интернет, получает от интернет-центра по DHCP IP-адреса 192.168.1.0/24. Подсеть, не имеющая доступа к Интернету, получит IP-адреса 192.168.3.0/24.
Разделение подсетей будем производить при помощи внутренних VLAN. На портах 1, 2 и 3 остается встроенный VLAN 1. Для порта 4 нужно создать новый VLAN 3.
Примечание: VLAN 2 является служебным. По умолчанию он используется для порта 5 (WAN).

Настройку VLAN будем производить из интерфейса командной строки интернет-центра.

Создаем VLAN 3 для порта 4:

(config)> interface Switch0
(config-if)> port 4
(config-if-port)> access vlan 3
Access vlan identifier saved.
(config-if-port)> exit
(config-if)> exit


Задаем для нового интерфейса IP-адрес и маску подсети, а также правило безопасности:

(config)> interface Switch0/VLAN3
(config-if)> ip address 192.168.3.1/24
Network address saved.
(config-if)> security-level private
Interface set as private


Активируем интерфейс:

(config-if)> up
Interface enabled.


Далее нужно создать интерфейс типа "мост" (bridge) для объединения нашего интерфейса и Wi-Fi-сети.

(config)> interface Bridge2
created interface Bridge2.
(config-if)> exit


Примечание: Перед добавлением интерфейсов в "мост" обязательно нужно удалить Wi-Fi-интерфейс AccessPoint из интерфейса по умолчанию Bridge0.

(config-if)> interface Bridge0
(config-if)> no include AccessPoint
Interface released.
(config-if)> exit


Интерфейс AccessPoint теперь не связан с другими интерфейсами, и можно создавать для него и нашего Switch0/VLAN3 свой "мост":

(config)> interface Bridge2
(config-if)> name Home2
Interface renamed.
(config-if)> security-level private
Interface set as private
(config-if)> inherit Switch0/VLAN3
Interface acquired.
(config-if)> include AccessPoint
Interface acquired.
(config-if)> exit


Создаем DHCP-пул (диапазон IP-адресов) для новой сети и привязываем к нему наш интерфейс:

(config)> ip dhcp pool HOME2
pool "_HOME2" has been created.
(config-dhcp)> range 192.168.3.33 192.168.3.43
pool "_HOME2" range has been saved.
(config-dhcp)> bind Home2
pool "_HOME2" bound to interface Home2.
(config-dhcp)> exit


Для разрешения доступа между сетями Home и Home2 задаем команду:

(config)> no isolate-private


После этого нужно обязательно сохранить файл конфигурации в памяти интернет-центра:

(config)> system config-save
A configuration save request sent.


Примечание: В нашем примере блокировка доступа к Интернету осуществляется отключением NAT на интерфейсе Home2. Если требуется открыть доступ, достаточно задать команду включения NAT:

(config)> ip nat Home2
NAT rule added.



Подробную информацию обо всех командах интернет-центра можно найти в справочнике командного интерфейса интернет-центра, который можно найти в разделе Центр поддержки, выбрав нужное устройство.

KB-2775

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 8 из 9

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.