Интернет-центры Keenetic позволяют организовать сегментацию домашнего сетевого пространства на изолированные зоны: базовые "Домашняя" и "Гостевая", а также произвольные, например "Умный дом" и "Детская", а в офисном применении это могут быть "Бухгалтерия" и "Администрация".
Разбиение сети на изолированные зоны (сегменты) позволяет повысить ее безопасность и оптимизировать ее производительность. Устройства в дополнительных зонах имеют доступ только в Интернет и, при необходимости, друг к другу в пределах сегмента. Даже если контроль над ними захватят злоумышленники или боты, остальные сегменты для них останутся неприступны. Например, если к вашему ребенку придут друзья и он даст им пароль к сети Wi-Fi, они не смогут получить доступ к родительским компьютерам, системе умного дома или видеонаблюдению. То же самое касается вирусов и "червей" с гостевых устройств. Для повышения производительности, можно выделить некоторые устройства в отдельный сегмент и ограничить в нем максимальную скорость работы, чтобы они не мешали работе других устройств в сети.
С помощью сегментов можно создать дополнительную локальную сеть в интернет-центре. Сегмент представляет собой логический интерфейс, в который могут быть включены один или несколько доступных физических интерфейсов. В рамках одного сегмента все интерфейсы объединяются в сетевой мост. В настройках дополнительного сегмента можно указать собственное имя и настройки беспроводной сети, расписание работы, ограничить скорость доступа к Интернету или совсем запретить его, выбрать проводные порты, настроить VLAN, адресацию сети, сервер DHCP.
Рассмотрим пример создания дополнительного сегмента домашней сети.
Предположим, нужно создать сегмент, включающий в себя новую сеть Wi-Fi c именем HOME-WIFI и порты 2, 3 встроенного коммутатора. В новой подсети должен быть свой DHCP-сервер и адресация, отличная от основной сети Home (в нашем примере это подсеть 192.168.2.x).
На странице "Домашняя сеть" для добавления сегмента нажмите на "+" и затем выполните настройку нового сегмента (выберите сетевые порты и укажите другие необходимые параметры).
Например:
NOTE: Важно! По умолчанию доступ между основной домашней сетью и дополнительным сегментом запрещен.
Важно! Существует ограничение на количество создаваемых дополнительных сегментов с использованием точек доступа Wi-Fi. На роутере можно создать до 7 точек доступа в каждом диапазоне (до версии KeeneticOS 4.1 было возможно создание до 4-х SSID). На двухдиапазонном роутере можно максимально создать до 14 точек доступа — 7 в диапазоне 2.4 ГГц и 7 в диапазоне 5 ГГц. Если использовать совместную возможность обоих радиоинтерфейсов в каждом сегменте, максимально можно создать 4 сегмента. При создании дополнительных сегментов без точек доступа Wi-Fi — ограничений нет.
TIP: Примечание. Разрешить доступ между сегментами можно двумя способами:
1. Рекомендуемый способ. С помощью правил межсетевого экрана.
Для интерфейса "Домашняя сеть" нужно создать разрешающее правило, указав подсеть дополнительного сегмента в качестве адреса назначения (в нашем примере это 192.168.2.0 с маской 255.255.255.0) и протокол IP.
В этом случае вы из домашней сети 192.168.1.x сможете обращаться к устройствам дополнительного сегмента (192.168.2.x).
Если нужен будет обратный доступ из дополнительного сегмента в домашнюю сеть, то уже для дополнительного сегмента надо создать похожее правило, только уже с обратным IP-адресом назначения 192.168.1.0 255.255.255.0 для протокола IP.
2. В интерфейсе командной строки (CLI) роутера можно выполнить команды:
no isolate-private
system configuration save
Важно! Данный способ применяйте с осторожностью, т.к. это может быть небезопасно. Выполнение указанных команд даст возможность обмена трафиком между всеми локальными (private) интерфейсами. В этом случае будет открыт доступ между основной домашней сетью и дополнительными сегментами, в том числе и гостевым.