Announcement

**trieu_tulong** · 04-11-2006, 03:15 PM

Flash DD-WRT firmware vô rồi làm theo chỉ dẫn ở đây. Đây có lẽ là cách bạn muốn: LAN và WLAN nằm trên 2 subnets khác nhau.

Còn nếu muốn giữ chung subnet nhưng chỉ không cho wireless clients vô LAN thì kích hoạt AP isolation mode trong Wireless > Advanced settings.

**tamii** · 04-11-2006, 10:55 PM

:) :) :) :) hì hì

**nguyennp** · 07-11-2006, 09:27 AM

Originally posted by trieu_tulong View Post

Flash DD-WRT firmware vô rồi làm theo chỉ dẫn ở đây. Đây có lẽ là cách bạn muốn: LAN và WLAN nằm trên 2 subnets khác nhau.

Còn nếu muốn giữ chung subnet nhưng chỉ không cho wireless clients vô LAN thì kích hoạt AP isolation mode trong Wireless > Advanced settings.

Đúng là mình muốn chia LAN và WLAN ra 2 mạng riêng. Nhưng Switch mình hổng có hỗ trợ VLAN thì làm sao cấu hình được giống như link bạn đưa được.

**tamii** · 07-11-2006, 12:22 PM

:) :) :) :) hì hì

**camaptrang** · 08-11-2006, 10:05 PM

Originally posted by nguyennp View Post

Đúng là mình muốn chia LAN và WLAN ra 2 mạng riêng. Nhưng Switch mình hổng có hỗ trợ VLAN thì làm sao cấu hình được giống như link bạn đưa được.

Linux có thể là VLAN được đó bác.
Tớ đề xuất phương án đơn giản dễ hiểu nhất như thế này nhé :
+ cấp IP DHCP cho các máy của công ty dựa vào MAC để cố định các IP này.
+ Trên ISA chỉ mở cho dãy IP của công ty vào Network mà thôi còn lại thì chặn hết đối với dãy IP còn lại chừa http port 80 cho nó ra web mà thôi.
(nếu bác đang có 2 cái AP hay có thể mua thêm cái nữa thì cũng dể thôi, nhưng đề xuất của mình là nên đầu tư cái layer3 đi bác nếu muốn bảo mật)
-----------
Theo tớ thì có nhiều cách cũng như việc này nó còn phụ thuộc thiết bị của bạn nữa, nhưng nếu đã nghĩ đến điều này nên đầu tư mua con Switch làm được cái VLAN đi bác Nguyen àh

**tamii** · 08-11-2006, 11:28 PM

Originally posted by camaptrang View Post

Linux có thể là VLAN được đó bác.
Tớ đề xuất phương án đơn giản dễ hiểu nhất như thế này nhé :
+ cấp IP DHCP cho các máy của công ty dựa vào MAC để cố định các IP này.
+ Trên ISA chỉ mở cho dãy IP của công ty vào Network mà thôi còn lại thì chặn hết đối với dãy IP còn lại chừa http port 80 cho nó ra web mà thôi.
(nếu bác đang có 2 cái AP hay có thể mua thêm cái nữa thì cũng dể thôi, nhưng đề xuất của mình là nên đầu tư cái layer3 đi bác nếu muốn bảo mật)
-----------
Theo tớ thì có nhiều cách cũng như việc này nó còn phụ thuộc thiết bị của bạn nữa, nhưng nếu đã nghĩ đến điều này nên đầu tư mua con Switch làm được cái VLAN đi bác Nguyen àh

:) :) :) :) hì hì

**camaptrang** · 11-11-2006, 10:51 PM

Hè hè ... sao mà mấy bác ấy lại cứ hỏi như thế nhỉ ... bác Tamii kiếm mấy cái tài liệu về Secu đọc đi.
Đa số LAN của vn chúng ta hiện nay là Connect sài mà thôi ... nên việc bắt các gói tin trên nét là dễ hiểu.
Ví dụ đơn giản như thế này : bên Nokia khi làm việc với bên mình bọn nó yêu cầu bắt buộc những nhân viên nào làm làm việc với họ khi sử dụng Email trao đổi phải mã hóa email trước khi gửi .... tránh tình trạng bị chụp bắt khi đi trên Internet .

**trieu_tulong** · 12-11-2006, 08:27 PM

Đúng là mình muốn chia LAN và WLAN ra 2 mạng riêng. Nhưng Switch mình hổng có hỗ trợ VLAN thì làm sao cấu hình được giống như link bạn đưa được.

WLAN (eth1) và LAN (eth0) của WRT54G/GS là 2 interfaces "thật", riêng biệt, được nối bằng một cầu (logical bridge br0). Linksys original stock firmware không tách nó ra được, muốn "phá cầu" thì cần phải flash third-party firmwares vô. Không đả động gì tớ cái switch nào hết.

Nếu người ta giả MAC set IP theo thì sao? Có cách nào biết ko?Có cách nào đ̀ể mã hoá các gói tin trong mạng ko?

Dùng arpwatch chung với snort. Còn không thì dùng iptables rules để "nhốt" MAC ngược về một IP tĩnh. Mã hoá thì đầy e.g. GPG, SSH forwarding, VPN...

**net_sh** · 13-11-2006, 03:24 AM

Originally posted by tamii View Post

Có cách nào đ̀ể mã hoá các gói tin trong mạng ko?

Ý bạn là muốn đề cập đến phạm vi Lan hay là Wan ?

**wlansecu** · 13-11-2006, 08:22 AM

Originally posted by nguyennp View Post

Hi all,

Mình có 1 con Wireless Broadband Router của Linksys WRT54G. Trong mạng có 1 Firewall Server sử dụng ISA Server 2004. Giờ mình muốn cấu hình để các máy sử dụng Wirless sẽ có dãy IP khác. Các máy khách vào sẽ thuộc dãy IP này và được truy cập ra Internet nhưng không được truy cập mạng nội bộ.
Các máy laptop trong công ty nếu mà sử dụng Wireless thì sẽ vẫn truy cập được mạng nội bộ do Rule của ISA quy định.

Với yêu cầu vậy thì có làm được không và mình phải làm những gì ?

Mình nhớ là hồi xưa khi mình làm AP của Linksys, nó cho phép mình tạo AP thành một con DHCP cấp một dải địa chỉ riêng cho các wireless Client,
Bạn coi lại tài liệu nhé.
Bạn tạo một DHCP mà dải IP thuộc một SUBNET khác SUBNET của phòng.
THế thì hoàn toàn có thể làm được điều bạn muốn

Huy Bắc

**tamii** · 14-11-2006, 07:15 AM

Originally posted by net_sh View Post

Ý bạn là muốn đề cập đến phạm vi Lan hay là Wan ?

hì hì

Originally posted by camaptrang View Post

Hè hè ... sao mà mấy bác ấy lại cứ hỏi như thế nhỉ ... bác Tamii kiếm mấy cái tài liệu về Secu đọc đi.
Đa số LAN của vn chúng ta hiện nay là Connect sài mà thôi ... nên việc bắt các gói tin trên nét là dễ hiểu.
Ví dụ đơn giản như thế này : bên Nokia khi làm việc với bên mình bọn nó yêu cầu bắt buộc những nhân viên nào làm làm việc với họ khi sử dụng Email trao đổi phải mã hóa email trước khi gửi .... tránh tình trạng bị chụp bắt khi đi trên Internet .

:) :) :) :) hì hì

**wlansecu** · 14-11-2006, 09:21 AM

Originally posted by wlansecu View Post

Mình nhớ là hồi xưa khi mình làm AP của Linksys, nó cho phép mình tạo AP thành một con DHCP cấp một dải địa chỉ riêng cho các wireless Client,
Bạn coi lại tài liệu nhé.
Bạn tạo một DHCP mà dải IP thuộc một SUBNET khác SUBNET của phòng.
THế thì hoàn toàn có thể làm được điều bạn muốn

Huy Bắc

Mọi người cứ bàn tán đi đâu xa, trong khi phương pháp có sẵn thì không làm.
POCHIEU.VNPRO.ORG

**nguyennp** · 14-11-2006, 10:33 AM

To all: Cám ơn mọi người đã góp ý (mặc dù trong đó có những ý hổng hiểu gì cả :P).Sorry, thật ra là vì mình chưa biết làm nhiều về Wireless và VLAN.

To camaptrang: mạng mình hổng có xài Linux. Kỳ rồi cũng định đề xuất mua cái Switch có VLAN về vọc chơi nhưng Sếp hổng đồng ý. Hic.

To tamii: cách của bạn có vẻ hợp lý, mình sẽ thử. Nhưng như vậy hình như mình sẽ hổng kiểm soát được máy xài Wireless ra Internet. Mình gắn vào máy ISA 1 card mạng nữa và gắn AP vào đây có được không nhỉ?

To wlansecu: đúng là nó có phần cấp DHCP. Nếu cấp 1 dãy khác Net thì hổng có vấn đề gì. Vấn đề mình hổng biết làm sao để gắn nó vào mạng đó mà ( nên mới tham khảo mọi người).

**tamii** · 15-11-2006, 09:15 AM

Originally posted by nguyennp View Post

To all: Cám ơn mọi người đã góp ý (mặc dù trong đó có những ý hổng hiểu gì cả :P).Sorry, thật ra là vì mình chưa biết làm nhiều về Wireless và VLAN.

To camaptrang: mạng mình hổng có xài Linux. Kỳ rồi cũng định đề xuất mua cái Switch có VLAN về vọc chơi nhưng Sếp hổng đồng ý. Hic.

To tamii: cách của bạn có vẻ hợp lý, mình sẽ thử. Nhưng như vậy hình như mình sẽ hổng kiểm soát được máy xài Wireless ra Internet. Mình gắn vào máy ISA 1 card mạng nữa và gắn AP vào đây có được không nhỉ?

To wlansecu: đúng là nó có phần cấp DHCP. Nếu cấp 1 dãy khác Net thì hổng có vấn đề gì. Vấn đề mình hổng biết làm sao để gắn nó vào mạng đó mà ( nên mới tham khảo mọi người).

Kiểm soát thế nào?ko cho NV ra Net?hay cho Nv ra Net có kiểm soát?NV nếu nhận IP động theo AP hoặc set 2 IP thì họ giống khách ko kiểm soát họ ra Net được. Nếu gắn AP vào ISA thì phức tạp về phần khách.Tốt nhất là mua thêm 1 AP chuẩn B 25us cho khách và nối linksys vào ISa là an toàn hơn cả.Nói chung khi trong điều kiện giới hạn thì khó lòng được hết mọi chuyện theo ý mình chính yếu là mình chọn cái nào tốt nhất theo ý mình.Thân

Announcement

Tách mạng Wirless ra riêng khỏi mạng LAN

Tách mạng Wirless ra riêng khỏi mạng LAN

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment