Сегменты сети
Интернет-центры Keenetic позволяют организовать сегментацию домашнего сетевого пространства на изолированные зоны: базовые "Домашняя" и "Гостевая", а также произвольные, например "Умный дом" и "Детская", а в офисном применении это могут быть "Бухгалтерия" и "Администрация".
Разбиение сети на изолированные зоны (сегменты) позволяет повысить ее безопасность и оптимизировать ее производительность. Устройства в дополнительных зонах имеют доступ только в Интернет и, при необходимости, друг к другу в пределах сегмента. Даже если контроль над ними захватят злоумышленники или боты, остальные сегменты для них останутся неприступны.
Например, если к вашему ребенку придут друзья и он даст им пароль к сети Wi-Fi, они не смогут получить доступ к родительским компьютерам, системе умного дома или видеонаблюдению. То же самое касается вирусов и "червей" с гостевых устройств. Для повышения производительности, можно выделить некоторые устройства в отдельный сегмент и ограничить в нем максимальную скорость работы, чтобы они не мешали работе других устройств в сети.
С помощью сегментов можно создать дополнительную локальную сеть в интернет-центре. Сегмент представляет собой логический интерфейс, в который могут быть включены один или несколько доступных физических интерфейсов. В рамках одного сегмента все интерфейсы объединяются в сетевой мост. В настройках дополнительного сегмента можно указать собственное имя и настройки беспроводной сети, расписание работы, ограничить скорость доступа к Интернету или совсем запретить его, выбрать проводные порты, настроить VLAN, адресацию сети, сервер DHCP.
Рассмотрим пример создания дополнительного сегмента домашней сети.Предположим, нужно создать сегмент, включающий в себя новую сеть Wi-Fi c именем HOME-WIFI
и порты 2
, 3
встроенного коммутатора. В новой подсети должен быть свой DHCP-сервер и адресация, отличная от основной сети Home (в нашем примере это подсеть 192.168.2.x
).
На странице "Домашняя сеть" для добавления сегмента нажмите на "+" и затем выполните настройку нового сегмента (выберите сетевые порты и укажите другие необходимые параметры).
Например:
Важно
По умолчанию доступ между основной домашней сетью и дополнительным сегментом запрещен.
Существует ограничение на количество создаваемых дополнительных сегментов с использованием точек доступа Wi-Fi. На роутере можно создать до 7-х точек доступа
на каждый диапазон. На двухдиапазонном роутере можно максимально создать до 14 точек доступа
— 7
в диапазоне 2.4 ГГц и 7
в диапазоне 5 ГГц. Если использовать совместную возможность обоих радиоинтерфейсов в каждом сегменте, максимально можно создать 7 сегмента
. При создании дополнительных сегментов без точек доступа Wi-Fi — ограничений нет.
Примечание
Разрешить доступ между сегментами можно двумя способами:
Рекомендуемый способ.
С помощью правил межсетевого экрана.
Для интерфейса "Домашняя сеть" нужно создать разрешающее правило, указав подсеть дополнительного сегмента в качестве адреса назначения (в нашем примере это
192.168.2.0
с маской255.255.255.0
) и протокол IP.В этом случае вы из домашней сети
192.168.1.x
сможете обращаться к устройствам дополнительного сегмента (192.168.2.x
).Если нужен будет обратный доступ из дополнительного сегмента в домашнюю сеть, то уже для дополнительного сегмента надо создать похожее правило, только уже с обратным IP-адресом назначения
192.168.1.0 255.255.255.0
для протокола IP.В интерфейсе командной строки (CLI) роутера можно выполнить команды:
no isolate-private system configuration save
Важно
Данный способ применяйте с осторожностью, т.к. это может быть небезопасно. Выполнение указанных команд даст возможность обмена трафиком между всеми локальными (private) интерфейсами. В этом случае будет открыт доступ между основной домашней сетью и дополнительными сегментами, в том числе и гостевым.