Nebula [Guest WiFi] –設定如何讓訪客 WiFi 也能使用到特定內部服務裝置

Zyxel小編 MinChi

當你在做WiFi 網路部署時可能會提供WiFi網站的訪客網路，但您不希望WiFi訪客網路的使用者在您的內部網路中四處訪問，因為這可能會造成內網安全的潛在威脅！那如何能讓WiFi訪客單純上網或只能使用管理者允許的服務，例如:網路印表機…。而當你使用 Nebula 來配置你的WiFi網路無線設備時要如何做到呢 ? 所以讓我們介紹一下如何在 Nebula 接入點上來設置它！此問題的主要解決方案是使用 Layer-2-Isolation。Layer-2-Isolation 將僅允許流向列入白名單的目標 MAC 位址的流量。此功能非常適合隔離訪客客戶端訪問除網路閘道及被管理者所允許的設備以外的其他設備。這將有效地阻止網路內任何不需要的連接嘗試。

(註:此範例為清楚說明SSID Layer-2-Isolation白名單功能，故設置環境條件是在訪客網路與所允許提供的服務設備網域必需在同一Broadcast Domain底下。)

** 若你是使用AP本地端管理方式可參考下列文章 :

https://community.zyxel.com/tw/discussion/14258/%E5%A6%82%E4%BD%95%E5%9C%A8%E7%8D%A8%E7%AB%8B%E6%A8%A1%E5%BC%8F%E4%B8%8B%E8%A8%AD%E7%BD%AE%E8%A8%AA%E5%AE%A2%E7%B6%B2%E7%B5%A1%E5%AD%98%E5%8F%96%E9%99%90%E5%88%B6%E7%9A%84ssid

1 ) 設定訪客 WiFi 第 2 層隔離（Layer 2 Isolation）

設定：

1. 在整個站點 > 設定 > 無線基地台 > SSID 進階設定 頁面中，選擇訪客 SSID 並向下滾動到 ”進階設定” 頁面會看到第 2 層隔離（Layer 2 Isolation）設定項目。
2. 啟動 Layer 2 Isolation並按 ”+新增” 鍵入閘道器的MAC address，這將限制訪客網路。
   
3. 如果還有其他訪客網路以外的設備裝置要被訪客網路訪問的話，就再將要被訪問的設備MAC address再加於layer2 isolation白名單列表即可，例如:印表機…。
   

2 ) 如何找到WiFi訪客閘道器的MAC address(以ZYXEL 防火牆設備ATP100為例)

1. 登入WebGUI後可在設定 > 網路 > 介面 的 ”乙太網路” 頁面中看到介面
   
2. 點選所在介面即可看到該介面的MAC address