iKuai爱快流控路由

标题: 关于商业场景WIFI电脑和手机隔离 [打印本页]
作者: 474080434    时间: 2016-9-23 17:56
标题: 关于商业场景WIFI电脑和手机隔离
关于 WIFI用户之间隔离问题的需求这边是郑州地区,现在 在办公区进行了WIFI 覆盖, 并对AP进行了VLAN划分。
因为未来商场打算进行覆盖,所以对办公区进行 同样的配置方案。
因为我们都知道 电脑 存在漏洞之类 共享文件夹开放。
如果做到终端 打漏洞之类和关闭共享  维护成本和时间相当高。
现在的方案是 一个SSID做VLAN 手机使用,一个SSID只做普通DHCP 隐藏SSID 电脑使用,进行相互隔离。
因为测试 防火墙ACL阻止 没有效果,同VLAN下 依然可以笔记本电脑WIFI互访,看对方的共享 文件。 所以需要对
WIFI用户隔离功能需求。 不知道设备 性能和 参数 影响有多大,但是 这个功能在对 笔记本 电脑工作时 开放WIFI的安全性,提供了保障。
另一点 是 关于 315晚会说的,假如一个黑客的 做了相同的SSID 让用户联接,有没有什么办法预警,我们现在 没事时 就手机检测周边信道,看看
有没有 相同SSID的免费 未知设备。
作者: 474080434    时间: 2016-9-23 17:56
设备AP 是 S1产品
作者: ousuhuaihuai    时间: 2016-9-23 18:17
不太懂你的需求   如果是想把公共WIFI 和办公WIFI分开  可以设置俩个VLAN  俩个SSID 办公WIFI加密 这样俩个VLAN就不能相互访问
作者: lhz7797251    时间: 2016-9-23 18:18
vlan划分不同网段,ACL阻断后还能访问没道理啊
作者: qypw    时间: 2016-9-23 20:35
提示: 作者被禁止或删除 内容自动屏蔽
作者: fhlmshxha    时间: 2016-9-23 21:10
反应过多次了!
作者: fems    时间: 2016-9-24 00:16
lhz7797251 发表于 2016-9-23 18:18
vlan划分不同网段,ACL阻断后还能访问没道理啊

因为他说的是 同VLAN下能互访,ACL只能控制不同VLAN间互访。

LZ的问题是ikuai的AP不支持客户端隔离,这短板确实要补上
作者: lhz7797251    时间: 2016-9-24 07:00
fems 发表于 2016-9-24 00:16
因为他说的是 同VLAN下能互访,ACL只能控制不同VLAN间互访。

LZ的问题是ikuai的AP不支持客户端隔离,这 ...

同VLAN下当然能访问呀
作者: ousuhuaihuai    时间: 2016-9-24 11:26
fems 发表于 2016-9-24 00:16
因为他说的是 同VLAN下能互访,ACL只能控制不同VLAN间互访。

LZ的问题是ikuai的AP不支持客户端隔离,这 ...

...同VLAN 当然能互访  不然还划什么VLAN阿 多此一举
作者: 474080434    时间: 2016-9-25 18:11
lhz7797251 发表于 2016-9-23 18:18
vlan划分不同网段,ACL阻断后还能访问没道理啊

是同VLAN下,ALC 规则无用
作者: 474080434    时间: 2016-9-25 18:12
本帖最后由 474080434 于 2016-9-25 18:18 编辑
ousuhuaihuai 发表于 2016-9-23 18:17
不太懂你的需求   如果是想把公共WIFI 和办公WIFI分开  可以设置俩个VLAN  俩个SSID 办公WIFI加密 这样俩个 ...

如果办公VLAN的WIFI密码泄露了怎么办呢? 那么相当于开放的WIFI了,万能钥匙这东西,你不能保证全公司所有人不用,或者外来人员蹭入 办公WIFI。故,还是做 客户隔离功能最好
作者: 474080434    时间: 2016-9-25 18:14
qypw 发表于 2016-9-23 20:35
表示已经反馈过需要WIFI用户隔离,,但官方不理会~

我也是论坛看到 有人提过需求,可能大型网络实现 后会出现各种问题,也可能是其它原因。不知道开发为何在小白上能实现,而大型网络  AP 产品不带功能
作者: 474080434    时间: 2016-9-25 18:15
lhz7797251 发表于 2016-9-24 07:00
同VLAN下当然能访问呀

为了笔记本开放WIFI的安全,需要相互隔离,AP产品不支持,爱快小白支持。SO,需求功能
作者: 474080434    时间: 2016-9-25 18:17
ousuhuaihuai 发表于 2016-9-24 11:26
...同VLAN 当然能互访  不然还划什么VLAN阿 多此一举

划VLAN是希望和物理网隔离,物理网有众多台式有线电脑。 VLAN下 给无线终端用,但无线终端分笔记本和手机平板之类,笔记本的共享功能你知道吧。如果进行隔离保护呢?文章有细讲了。还希望做了 客户隔离后 ACL规则可能实现 互通
作者: lhz7797251    时间: 2016-9-25 19:23
我太明白想要怎么隔离,是VLAN下的客户端之间相互隔离吗?
作者: qypw    时间: 2016-9-25 21:51
提示: 作者被禁止或删除 内容自动屏蔽
作者: lhz7797251    时间: 2016-9-26 07:50
qypw 发表于 2016-9-25 21:51
不是,是同一个AP中同一个SSID下的无线客户端禁止互相访问,(禁止互访可以防止中间人攻击,防止ARP攻击,保 ...

O,原来这样呀
作者: 474080434    时间: 2016-9-29 17:46
lhz7797251 发表于 2016-9-25 19:23
我太明白想要怎么隔离,是VLAN下的客户端之间相互隔离吗?

是的。需要进行 用户之间隔离



欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3