Розділення мульти-SSID WLAN

Я намагаюся оновити свою домашню мережу, яка включає оновлення до gigabit і 802.11n і додавання декількох точок доступу. Але я також хотів би оновити безпеку. В даний час я WPA (1) особисто з паролем, тому що у мене є кілька пристроїв, які не можуть працювати з WPA2 або навіть AES. Мені хотілося б розділити мережу між сегментом WPA2-Enterprise (з RADIUS) і незахищеним сегментом, обмеженим за швидкістю і обмеженим, і вимагає "безпечного" користувача для створення коду. Убудовані пристрої будуть розміщені в білому списку та переміщені до цієї мережі, де їм буде дозволено вносити запити на конкретні пристрої (тому підроблення MAC не працюватиме)

Я не переживаю за цю справу. Що мене турбує, то це представлення як SSID з одного пристрою, так і розділення доменів. Я знаю, що мені потрібна VLAN для цього, але керовані комутатори ... не в бюджеті.

Так ось питання - я хочу зберегти два WLAN окремо. Я можу налаштувати точки доступу до тегів кожного SSID з різними VLAN, але без перемикачів, які явно обробляти VLAN, я можу виділити широкомовних доменів? Якщо ні, то що станеться - чи буде мережа працювати так, ніби обидва SSID з'єднані з одним сегментом, або ж взагалі не працюватиме? Якщо це не спрацювало, чи існує спосіб "прокласти" один з трафіку SSID до мого сервера / маршрутизатора Linux для досягнення такого ж ефекту?

Більше інформації -

Я до сих пір купувати AP, але я планував отримати той, який міг би запустити DD-WRT або OpenWrt або подібний (на основі Linux). Вони були б підключені через некеровані гігабітні комутатори; на жаль, у мене немає будинку біжить до шафи проводки (що зробить це просто!), оскільки це була "модернізована" установка в старому будинку. Мій сервер може обробляти VLAN, а комутатори повинні передавати пакунки з тегами, але не робити жодної дискримінації на основі їхнього вмісту (так?)

Є чимало маршрутизаторів, які будуть робити те, що ви хочете.

Вони здатні створювати VLAN і кілька SSID. AFAIK, Мільярд 7800N маршрутизатор, який я використовую, може зробити це досить щасливо.

Ви могли б зробити це з одним з кращих Wi-Fi ретранслятор / розширювач, такі як ті з Edimax. The EW-7416APN Edimax ретранслятор, який я використовую, безумовно, може зробити це, хоча він може призначити тільки кожен SSID для VLAN ID, він не може створити / налаштувати VLAN себе, він має тільки один порт Ethernet.

Схоже, що найкращий спосіб зробити це - налаштувати VPN (OpenVPN або PPTP має працювати) і мостом між віртуальною AP і маршрутизатором. Це і ізолює "незабезпечений" трафік і змушує його з'являтися на новому інтерфейсі на маршрутизаторі / сервері, де я можу маршрутизувати його так, як я бажаю, і встановлювати правила брандмауера відповідно.

Схоже, що VLAN тут не працюватиме без керованого комутатора. Мої комутатори є "VLAN-обізнаними" в тому, що вони передаватимуть позначені кадри незміненими, але вони не роблять ніякого тегування або розбиття на себе. Як я розумію, це потрібно для того, щоб правильно розділити дві локальні мережі на одній фізичній лінії.

Це підручник, який я використовую: http://www.dd-wrt.com/wiki/index.php/OpenVPN_on_Dedicated_Wireless_Access_Point_%28VAP%

Я тестую це зараз з моєю існуючою AP. Якщо він працює, я буду купувати нові і спробувати його з налаштуванням multi-AP. Я не впевнений на 100%, як VPN буде працювати з декількох точок доступу, але я думаю, що всі вони з'являться під тим самим сервером. Найгірший випадок, я можу просто перетворити віртуальні інтерфейси на сервері. Це дозволить мені зробити RADIUS за MAC-адресою на "незахищеному" інтерфейсі, і я спробую створити невеликий webapp для безпечного користувача, щоб тимчасово "аутентифікувати" гостя. Це буде дійсно пляма.