Записки старого админа

Дали нам тут одно задание, которое хочешь — не хочешь, а сделать нужно.

Собственно задание такого рода:
Есть корпоративная сеть с вланами на базе DES-3028.
Имеется 8 вланов, и один транзитный (9) 2 потра.
Нужно поставить в каждом влане, кроме транзитного WiFi точки (DWL-2100) с двумя подсетями, то есть:
Одна подсеть — это прямая сеть влана (напрямую с порта свича) закрытая паролем, а вторая — полностью открытая и управляемая на фаерволе, в качестве которого у нас используется FreeBSD.

Под открытой сетью понимается одна WiFi подсеть во всех вланах без паролей и ключей, кроме транзитного и управляемая на FreeBSD.

Решение было принято, использовать надстройку VLAN сверху, на уже существующих.
То есть просто добавляем еще один VLAN на DES-3028 и FreeBSD, подключаем DWL-2100 и настраиваем DHCPD на сервере. На DWL-2100 поднимаем multiple SSID и подключаем в него наш созданный VLAN.

Вот и всё в теории, а теперь пример настройки, начнём с DES-3028:

DES-3028:admin# create vlan vlanWiFi tag 111
DES-3028:admin# config vlan vlanWiFi add tagged 1-8,11-28

Добавляем в /etc/rc.conf FreeBSD:

cloned_interfaces="vlan111"
ifconfig_vlan111="inet 10.10.111.1 netmask 255.255.255.0 vlan 111 vlandev bge2 mtu 1500 up"

Добавляем в правила фаервола:

allow ip from 10.10.111.0/24 to me in via vlan111
allow ip from me to 10.10.111.0/24 out via vlan111

Добавляем подсеть в dhcpd.conf:

shared-network vlan111 {
        default-lease-time 4800;
        max-lease-time 4800;
        subnet 10.10.111.0 netmask 255.255.255.0 {
        pool {
            range 10.10.111.10 10.10.111.253;
            option routers 10.10.111.1;
            option domain-name "openwifi.net.";
            option netbios-name-servers 10.10.111.1;
            option domain-name-servers 10.10.111.1, 10.10.28.15;
        }
    }
}

И настраиваем все наши точки доступа по аналогии:

PS. Да, и для каждого запароленного линка свои VLAN ID.

Вот и всё, можно сохранять все параметры и пользоваться.