Підмережі DHCP та WiFi

У мене є 3 бездротові мережі, всі в одній підмережі, які живляться комутатором UniFi і налаштовані UniFi Controller. Все це живиться Fortinet.

Три мережі - гостьові, персонал1 та персонал2. Наразі всі 3 мережі Wi-Fi перебувають у підмережі 192.168.1.0/24, але я намагаюся перенести гостьову мережу у власну підмережу.

З мого розуміння, мені потрібно створити підмережу на Fortinet спочатку - чи я це роблю за допомогою перемикача UniFi?

Причиною цього є те, що ми закінчуємо оренду DHCP, коли багато гостей намагаються ввійти - а також ризик безпеки мати їх у тій самій підмережі, що і наш персонал.

Я збираюся створити підмережу на Fortinet, налаштувати перемикач UniFi, щоб його побачити, а потім налаштувати контролер UniFi, щоб видавати цей діапазон гостьовій мережі. Мене тут кинули в глибокий кінець і не можу дозволити собі зіпсувати. Я визнаю, що тут я трохи поза глибиною, і шукаю будь-які поради чи покажчики, поки я шукаю і досліджую себе.

Дуже дякую!

Зазвичай підмережі йдуть разом з VLAN - по одній на підмережу. Таким чином, підмережі справді відокремлені - вся комунікація між ними повинна проходити через маршрутизатор / брандмауер, і кожна VLAN може самостійно запускати DHCP & RA.

Я не коли - небудь використовував «Fortinet», але мені здається , що це звичайний брандмауер , який має має можливості маршрутизатора і позначений VLAN інтерфейси .

• На маршрутизаторі / брандмауері створіть три нові інтерфейси VLAN [2, 3, 4] поверх основного інтерфейсу Ethernet та налаштуйте кожен із них у новій підмережі [192.168.2.0/24 та ін.] Початковий 192.168.1.0 / 24 підмережа залишається "без тегів".

• На комутаторі налаштуйте і порт Fortinet, і порт AP, щоб прийняти новостворені VLAN як "позначені", крім існуючої нетегізованої VLAN. (Для тестування ви також можете налаштувати інший порт, наприклад, щоб VLAN 2 був за замовчуванням і нічого іншого.) Комутатору не потрібно знати про IP-підмережі, окрім «управління».

• На контролері UniFi налаштуйте відповідний ідентифікатор VLAN для кожного SSID [guest = 2, staff1 = 3, staff2 = 4]. Тоді AP-адреси автоматично додадуть правильний тег VLAN для кожного трафіку користувача, і брандмауер побачить, що він надходить через один з віртуальних інтерфейсів.