Как создать и настроить дополнительные точки доступа Wi-Fi в интернет-центре?
По умолчанию в веб-интерфейсе интернет-центра серии Keenetic для настройки беспроводных точек доступа Wi-Fi доступна только основная точка доступа, которая входит в интерфейc Home, и гостевая точка доступа Wi-Fi (GuestWifi). Еще две точки доступа доступны при настройке через режим командной строки устройства (по умолчанию они выключены и находятся в состоянии Down).
Рассмотрим пример. Предположим, интернет-центр Keenetic установлен в небольшом офисе; на нем создана беспроводная сеть для доступа сотрудников в Интернет (WiFiMaster0/AccessPoint0) и гостевая беспроводная сеть для доступа посетителей в Интернет (WifiMaster0/AccessPoint1) без доступа к локальной сети Home.
Нужно создать отдельную сеть Wi-Fi для терминальных клиентов, которые не будут иметь доступ в Интернет и будут иметь полный доступ только к терминальному серверу, который находится в локальной подсети Home и имеет IP-адрес 192.168.1.33.
1. Для начала нужно произвести базовые настройки дополнительной точки доступа через режим командной строки устройства.
Выполним команды:
interface WifiMaster0/AccessPoint2 /выбран интерфейс гостевой беспроводной сети/
name TERMINAL /интерфейс переименован в TERMINAL/
security-level private /установлен уровень безопасности сети - private/
encryption wpa2 /установлен алгоритм безопасности WPA2/
encryption enable /включено шифрование Wi-Fi-трафика/
authentication wpa-psk 87654321 /установлен предварительно согласованный ключ/
ip address 172.16.1.1 255.255.255.0 /установлен ip-адрес точки доступа/
ssid TERMINAL /установлен SSID беспроводной сети/
up /активация интерфейса TERMINAL/
2. Для применения всех настроек нужно отключить и включить модуль Wi-Fi. Выполните команды:
interface WifiMaster0 down /отключить/
interface WifiMaster0 up /включить/
После этого новая сеть (TERMINAL) станет доступна в беспроводном эфире и клиенты смогут к ней подключаться.
3. Если нужно, чтобы IP-адреса в этой сети раздавались автоматически, нужно создать DHCP Pool (диапазон адресов для автоматической раздачи клиентам) и привязать его к интерфейсу (TERMINAL). Для этого выполните команды:
ip dhcp pool TERMINAL /создание DHCP-пула TERMINAL/
range 172.16.1.33 172.16.1.65 /установка диапазона ip-адресов/
bind TERMINAL /привязка DHCP-пула к интерфейсу TERMINAL/
4. По умолчанию трансляция сетевых адресов (NAT) между новым интерфейсом и внешними не включен. Так как в нашем примере клиенты новой сети (TERMINAL) не должны иметь выход в Интернет, то включать мы его не будем.
Если нужно осуществить доступ беспроводных клиентов сети TERMINAL к Интернету, то нужно на данном интерфейсе включить функцию NAT. Для этого выполните команду:
ip nat TERMINAL /включение NAT на интерфейсе TERMINAL/
5. Также в нашем примере необходимо настроить правила доступа (правила межсетевого экрана) между интерфейсами согласно начальным условиям:
- Гостевая подcеть не должна иметь доступ к подсети Home и подсети TERMINAL;
- Подсеть TERMINAL не должна иметь доступ к подсети Home (кроме терминального сервера 192.168.1.33);
- Подсеть TERMINAL должна иметь полный доступ к серверу 192.168.1.33 в подсети Home.
По умолчанию на устройстве работает команда isolate-private, которая запрещает передачу данных между любыми интерфейсами с уровнем безопасности private. Т.е. данная настройка удовлетворяет первым двум пунктам.
Для организации доступа из сети TERMINAL к серверу 192.168.1.33 необходимо в веб-интерфейсе устройства создать правила в настройках межсетевого экрана.
Для интерфейса TERMINAL создадим правила, в которых разрешим (permit) доступ по протоколам tcp/udp/icmp для IP-адресов подсети 172.16.1.0 на IP-адрес 192.168.1.33.
Для интерфейса Home создадим правила, в которых разрешим (permit) доступ по протоколам tcp/udp/icmp c IP-адреса 192.168.1.33 в подсеть 172.16.1.0.
Примечание
Разделение точек доступа реализовано на программном уровне, поэтому полоса пропускания Wi-Fi делится на всех клиентов всех точек доступа. Если необходмо увеличить полосу пропускания для конкретной точки доступа, необходимо установить дополнительное устройство, например еще один Keenetic в режиме точки доступа.