Гостевой точкой доступа уже никого не удивишь, тем более, что это уже по сути "стандартная" услуга на рецепшине для клиентов в любой компании.
"Что бы не слыть "топорной" компанией и быть в тренде" - посыл от руководства.
Наличие такой гостевой WiFi-точки доступа в интернет
без доступа к корпоративному сегменту локальной сети для админа тоже плюс: отпадает головная боль с вечной проблемой безопасности когда сотрудники офиса со своими iPhone, iPad, нетбуками и Android просят пароль к корпоративной WiFi сети дабы "личную почту почитать" ))) А так есть гостевая точка с выходом только в инет (с порезанной скоростью, но об этом мы скромно умолчим), дал им пароль и шарьтесь там хоть до посинения.
И так: задача ясна, сморим что есть под рукой для реализации.
А под рукой есть замечательная рабочая лошадка, с настроенным выходом в инет, межсетевой экран
D-Link DFL-260E и двухдиапазонный WiFi-роутер Asus RT-N66U.
Именно благодаря такому набору "железа", а точнее благодаря отличному функционалу такого "железа" задача по создании гостевой WiFi-точки доступа в интернет может быть выполнена двумя путями. О вариантах чуть-чуть ниже.
Кто знаком с функционалом WiFi-роутера Asus RT-N66U скажет: "Зачем городить огород, если в роутере есть функция "Гостевая сеть"? Включив и настроив её, можно предоставить выход в интернет через WiFi гостевым клиентам без доступа в локальную сеть". Да, есть такая фишка в Asuse, но в корпоративной сети это не проканает. Потому что своим внешним WAN-интерфейсом роутер смотрит непосредственно в локальную сеть со всеми вытекающими из этого последствиями. Выход один - изолировать WAN-интрефейс роутера от внутреннего сегмента
сети с одновременным выходом в интернет. Что собственно и можно реализовать на межсетевом экране D-Link DFL-260E: поднимается VLAN, прикручивается жёстко к конкретному физическому порту LAN (у данной модели D-Link их 5 шт), настраиваются правила маршрутизации для этого порта (ходить только в мир), подключается на этот порт WAN-интерфейс роутера Asus, ну а дальше остаются только вариации на тему кто выдаёт IP-адрес клиенту и в каком режиме работать роутеру (AP или Router).
Теперь, собственно, о вариантах реализации задачи на этом наборе "железа". Как я и писал, их два.
Вариант №1
Межсетевой экран D-Link DFL-260E с поднятым и настроенным VLAN + Asus RT-N66U в режиме Router. На WIFi-роутере Asus поднят DHCP-сервер, он управляет выделением IP-адресов для клиентов и собственно выполняет роль роутера, перенаправляя трафик от клиента на межсетевой экран D-Link, а тот, в свою очередь, обеспечивает выход в интернет.
Вариант №2
Межсетевой экран D-Link DFL-260E с поднятым и настроенным VLAN + WiFi-роутер Asus RT-N66U в режиме AP (Access Point). В этом случае на D-Link необходимо поднять DHCP-сервер для VLAN (IP-адреса WiFi клиенты получат от этого DHCP-сервера), а Asus в режиме AP (Access Point) просто как ретранслятор трафика между VLAN и гостевыми WiFi клиентами.
Проще для реализации, наверное, вариант №1. Но мы "простых путей не ищем" ))))), да и с точки зрения мониторинга этой связки, надёжности и управляемости я предпочту вариант №2.
И так приступим.