Сегменты сети

Интернет-центры Keenetic позволяют организовать сегментацию домашнего сетевого пространства на изолированные зоны: базовые "Домашняя" и "Гостевая", а также произвольные, например "Умный дом" и "Детская", а в офисном применении это могут быть "Бухгалтерия" и "Администрация".

Разбиение сети на изолированные зоны (сегменты) позволяет повысить ее безопасность и оптимизировать ее производительность. Устройства в дополнительных зонах имеют доступ только в Интернет и, при необходимости, друг к другу в пределах сегмента. Даже если контроль над ними захватят злоумышленники или боты, остальные сегменты для них останутся неприступны. Например, если к вашему ребенку придут друзья и он даст им пароль к  сети Wi-Fi, они не смогут получить доступ к родительским компьютерам, системе умного дома или видеонаблюдению. То же самое касается вирусов и "червей" с гостевых устройств. Для повышения производительности, можно выделить некоторые устройства в отдельный сегмент и ограничить в нем максимальную скорость работы, чтобы они не мешали работе других устройств в сети.

С помощью сегментов можно создать дополнительную локальную сеть в интернет-центре. Сегмент представляет собой логический интерфейс, в который могут быть включены один или несколько доступных физических интерфейсов. В рамках одного сегмента все интерфейсы объединяются в сетевой мост. В настройках дополнительного сегмента можно указать собственное имя и настройки беспроводной сети, расписание работы, ограничить скорость доступа к Интернету или совсем запретить его, выбрать проводные порты, настроить VLAN, адресацию сети, сервер DHCP.

Рассмотрим пример создания дополнительного сегмента домашней сети.
Предположим, нужно создать сегмент, включающий в себя новую сеть Wi-Fi c именем HOME-WIFI и порты 2, 3 встроенного коммутатора. В новой подсети должен быть свой DHCP-сервер и адресация, отличная от основной сети Home (в нашем примере это подсеть 192.168.2.x).

На странице "Домашняя сеть" для добавления сегмента нажмите на "+" и затем выполните настройку нового сегмента (выберите сетевые порты и укажите другие необходимые параметры).

add-segm.png

Например:

new-segment.png 

NOTE: Важно! По умолчанию доступ между основной домашней сетью и дополнительным сегментом запрещен.

TIP: Примечание. Разрешить доступ между сегментами можно двумя способами:

1. Рекомендуемый способ. С помощью правил межсетевого экрана.

Для интерфейса "Домашняя сеть" нужно создать разрешающее правило, указав подсеть дополнительного сегмента в качестве адреса назначения (в нашем примере это 192.168.2.0 с маской 255.255.255.0) и протокол IP.

fw-segm-01.png

В этом случае вы из домашней сети 192.168.1.x сможете обращаться к устройствам дополнительного сегмента (192.168.2.x).

Если нужен будет обратный доступ из дополнительного сегмента в домашнюю сеть, то уже для дополнительного сегмента надо создать похожее правило, только уже с обратным IP-адресом назначения 192.168.1.0 255.255.255.0 для протокола IP.

fw-segm-02.png

2. В интерфейсе командной строки (CLI) роутера можно выполнить команды:

no isolate-private
system configuration save

Важно! Данный способ применяйте с осторожностью, т.к. это может быть небезопасно. Выполнение указанных команд даст возможность обмена трафиком между всеми локальными (private) интерфейсами. В этом случае будет открыт доступ между основной домашней сетью и дополнительными сегментами, в том числе и гостевым.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 15 из 15

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 6
  • Можно ли попасть в панель управления роутера из подсети?
    Например создана сеть "Дети", 192.168.2.1. По этому пути роутер не отвечает. При этом запрос от клиента новой подсети.
    Или доступ только из созданной по умолчанию сети "Домашняя сеть"?

    1
    Действия с комментариями Постоянная ссылка
  • Тимур, из дополнительного сегмента можно подключиться к веб-интерфейсу роутера (данная возможность не блокируется). Вы пробовали в веб-браузере набрать 192.168.2.1 ? На пинги роутер не будет отвечать, но из браузера доступ к панели управления будет.

    2
    Действия с комментариями Постоянная ссылка
  • А можно ли разрешить прохождение мультикастов между двумя сегментами сети?

    0
    Действия с комментариями Постоянная ссылка
  • Нет, т.к. мультикаст через NAT не проходит, а между сегментами работает трансляция адресов.

    0
    Действия с комментариями Постоянная ссылка
  • «…Например, если к вашему ребенку придут друзья и он даст им пароль к  сети Wi-Fi, они не смогут получить доступ к родительским компьютерам, системе умного дома или видеонаблюдению… нужно создать сегмент, включающий в себя новую сеть Wi-Fi c именем HOME-WIFI…»
     А можно это решить по-другому? Ведь сейчас, если не делать «детский» сегмент, получается, что друзья детей получив пароль, находятся в статусе «незарегистрированных устройств» (ну не буду же я давать детям доступ к админке роутера) но при этом, по умолчанию, пользуются инфраструктурой «домашнего» сегмента. Ведь незарегистристрированые девайсы я, кроме скорости, вообще никак ограничить не могу.
    Вы предлагаете сделать отдельный сегмент «Дети» со своей wi-fi сетью (например «HOME-WIFI») и потом «развлекаться» с пробросом трафика между подсетями. Ведь дети тоже должны пользоваться принтером, например, iptv, сервером, на котором у них своя папка (а это всё находится в «домашнем» сегменте, в сети «HOME»). «Умным домом» тоже можно (хотя бы ограниченным функционалом, который я задам для их девайсов).
    Аналогичная ситуация может быть и в офисе, но там она еще менее управляема. Сотрудников больше чем детей и они имеют привычку меняться …
    Можно как-то сделать сегмент «гость» со своим DHPC и отправить туда трафик с «незарегистрированных» устройств?
    Сейчас ведь я могу в «контроле доступа Wi-Fi» выбрать «белый список» и отправить его в «домашнюю сеть» а остальных в «гостевую»(или любую другую). Но почему этот функционал доступен только для зарегистрированных устройств?! Почему нельзя аналогичный функционал добавить и к незарегистрированым пользователям?
    В идеале хотелось бы, чтобы при одной Wi-Fi сети «HOME», мои «зарегистрированные» устройства были в 192.168.1.*, а любые другие, «незарегистрированные», отправлялись в 192.168.2.* (если вдруг "дети" дали пароль "друзьям") где я еще и скорость могу задавить.

    0
    Действия с комментариями Постоянная ссылка
  • Dmitry, в статье мы привели лишь один из сценариев, но в жизни их может быть больше и решаться они могут по разному.
    Вы спрашиваете: "Можно как-то сделать сегмент «гость» со своим DHCP и отправить туда трафик с «незарегистрированных» устройств?"
    По умолчанию для таких целей в роутере имеется Гостевая сеть (со своей адресацией, отличной от Домашней сети). Для всех приходящих-уходящих клиентов используйте Гостевую сеть. В ней вы можете дополнительно ограничить скорость, включить изоляцию клиентов (запрещает беспроводным клиентам обмен информацией между собой и проводным сегментом). Для сегмента "Домашней сети" и других доверенных дополнительных сегментов рекомендуем установить профиль доступа для незарегистрированных устройств - "Без доступа в Интернет".
    Ещё раз повторюсь, что существуют самые разные сценарии, мы не можем в статье их все привести и описать. Например, дети могут даже не знать какой пароль от Wi-Fi используется на роутере (допустим вы самостоятельно ввели пароль при первом подключении к сети, а затем они автоматически будут подключаться) и они не смогут сообщить его друзьям, в этом случае для гостей можно использовать только изолированный гостевой сегмент.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.