デュアルSSIDを接続する最良の方法/ VLANワイヤレスをWatchguardファイアウォールに接続する
現在、ネットワークを整理しているので、1つは内部用、もう1つはゲスト用のデュアルSSIDを備えた新しいワイヤレスアクセスポイントを使用できます。これらは、各SSIDが異なるVLAN上にあるように設定されます。それらすべてをPoEスイッチに接続しています。 APはWatchguard独自のものではないことに注意してください。
私の質問は、これをWatchguardファイアウォールに接続する最善の方法です。現在、内部ネットワーク全体が単一の/ 24サブネット上にあり、Watchguardの1つの信頼できるポートに接続しています。関係するVLANはありません。 DHCPは、このネットワーク上のWindows Serverによってクライアント(有線および無線)に提供されます。
私の可能な解決策:
既存の内部ネットワークスイッチを新しいPoEスイッチ(新しいワイヤレスポイントを使用)に接続してから、そのスイッチをFireboxに接続します。既存のFireboxの信頼できるポートをVLAN信頼できるポートとゲストWiFi用に1つVLAN)に変更します。ウォッチガードはゲストWifiとゲストWiFiに対してDHCPを実行します。信頼できるWifiは、引き続き既存のDHCPサーバーから取得されます(既存のサブネットを使用します)。
既存の信頼できるネットワークをほとんどそのままにして、新しいPoEスイッチをWatchguardの別のポートに接続します。これをVLANポートとして構成します。これも2つのVLANを使用しますが、Watchguardが両方に対してDHCPを実行します。つまり、信頼できるワイヤレスクライアントは新しいサブネット上にあります。これには追加のファイアウォール構成が必要になります。既存の信頼できるネットワークと新しい信頼できるワイヤレスサブネットの間をルーティングします。
私は(1)に傾倒していましたが、ゲストWiFiにより多くの分離を提供するように思われるので、(2)がより良い方法であるかどうか疑問に思っています。理論的にはVLANはとにかくそれを分離する必要がありますが。
どんな考えでも大歓迎です。
オプション1が必要です。
ウォッチガードの構成でVLANをセットアップし、両方のVLAN上にあるようにインターフェースをセットアップします。新しいPOEスイッチで、1つのポートをスタッフVLANのアクセスポートとして構成し、既存のスイッチをそのスイッチに接続します。残りのポートを両方のVLANのトランクになるように構成します。これらはファイアボックスとAPに接続されます。
VLANを構成するときに、DHCPサーバー設定を指定することもできます。信頼できるVLANではオフのままにし、ゲストVLANではオンにします。そうすれば、サーバーは信頼できるコンピューターに対してDHCPを実行し続け、ファイアウォールはゲストに対してDHCPを実行します。
APを構成するときは、APの管理インターフェイスが信頼できるネットワーク上にあることを確認してください。スイッチについても同じです。どちらもゲストVLANにIPアドレスを持っている必要はありません。
VLANは、トラフィックを安全に分離するのに十分です。
新しいPOEスイッチがネットワークの他の部分からのすべてのトラフィックを処理できることを確認してください。ローエンドモデルであり、既存のスイッチがより高速に管理されているスイッチである場合は、VLAN用にそれらを構成し、それらから新しいPOEスイッチをチェーンする方がよいでしょう。
オプション2は、信頼できるWi-Fi接続が別のサブネット上にあるため、作業が困難になります。どれだけの苦痛があるかは、人々が何をするかによって異なりますが、全体として、全員を同じサブネット上に維持したいと思います。そうすることで実際にセキュリティを獲得することはできません。