引用:
|
作者eddie1
大致上已了解了, 感謝大大的再次說明.
小弟目前的想法是對 internet 部份使用 pfSense, 而 LAN 端則使用 cat. 5e 網路線串接兩台 AP 與一台 Hub.
兩台 AP 分別置放於公司的兩側, 做為頻寬分享與備援; 而 Hub 則用來連接走明線的印表機. 因為目前分享器上雖然幾乎都已內建有防火牆功能, 但是小弟認為其功能只有 so so... 所以統一對外只使用一個 WAN, 由 pfSense 來把守大門的安全.
如此的想法, 不知道是否可行或哪些是可能發生問題的點?
還請大大再賜教... 感謝哦  |
架構上基本是OK的. 就是無線訊號的channel部份調好,合適位置擺好,天線喬正.
pfsense是基於open source OpenBSD 的packet filter, 如果您已經用得習慣
那就繼續用. Security 要做好, 不是看你用多高檔的網路設備,而是看管理者有沒有把它
的功能良好的發揮出來. 多一道IP分享器的FW也不見得是壞事, 算防護/管理的縱深加長.
只要設定妥當,單層or雙層FW都可達到一定的安全性.
AP security的配置還要看client端的搭配與管理負擔, 並不是設越高級越好
舉例, 開 802.1x 並使用 TLS 是很棒的安全配置, 但是你需要另外架設Radius server
還需要配置certificate 給Radius server 與 client端, 我是覺得小公司沒必要玩到這樣.
用個WPA 的加密不需要加radius server, TKIP 與 AES 加密都有Auto rekey的功能,
只要密鑰設複雜一點,不要太簡單被猜到,算對小公司簡單管理又還算夠用的安全配置.
這兩個AP並不需要開bridge功能, AP是layer 2 的設備, 可想成hub的概念, 只不過一端
是802.3 ethernet, 一邊是802.11 wireless. 對於接到同個hub下,同SSID的AP群而言,
下面的user都算是同一個vlan(群組)的人. layer2是暢通的,不會看不到其他人.
只有在需要以無線代為傳遞遠端AP的無線使用者才需要開bridge,在你的環境不會發生.
這些單一功能的AP都只有一個網路埠,並沒有分WAN or LAN side(Router/分享器類才有).
如果是DHCP環境, 原本IP是誰發放的,就沿用,也不用在AP上去額外啟用.
對於網路芳鄰要找到對方,如果是同subnet, 有裝netbeui就可以靠廣播封包找到其他PC,
跨網就看WINS名稱解析,以你的狀況, 兩個AP都接hub, 想必公司內全部是同網段.
只要原本接有線網路可以正常運作的服務,換無線網路後也不會有問題.
~參考~