NWA130BE 訪客網路設定問題..

Miles1122

我己設定好了 NWA130BE 的無線 AP 功能並設定了訪客網路功能。經由 01 工程師的協助 將內部的 DNS Mac Address 設定為可連線的設備。但發現機器還是無法透過 訪客網路連線到網路上。

後來也將預設閘道的 Mac Address 也設定為可連線的設備,這才解決了無法連線網路的問題。

但現在另一個問題來了,今天公司來了一台疑似有問題的 MAC NB。不斷的在掃描並登入我某台內部的 SNMP 機器。 因為有設定錯誤通報所以不斷的收到通知。

讓我不解的是訪客網路不因該是不能連線到除了許可的設備以外的機器嘛?

那麼為什麼會有這樣的情況發生?

我可以怎麼排除問題?

Zyxel小編 YM

你好,

小編先確認您的疑慮如下：「訪客網路理論上應該只能連線到被允許的設備（例如 DNS、閘道），不應該能存取到內部的 SNMP 機器。但目前卻出現訪客網路設備能夠掃描並嘗試登入內部設備的情況，原因為何？」

為了進一步釐清問題，請您協助：

1. 開啟 Zyxel Support 並標明組織與站點名稱，讓工程師能進行檢視。
2. 提供該台有安全疑慮的 MAC NB 的 MAC Address，工程師將透過 event log 進一步確認發生的狀況。

Miles1122

您好：

目前己開啟支援服務到 2025/12/29

這是我的站點…

以上是該疑似有問題的 PC 。IP 當時大約有 20~ 30 封郵件通知。

我很確定的是 他是使用訪客網路登入的。

另請教一件事，有另一設備，如果使用自定的 DNS …像是 dns.google.com 這類的。為何在訪客網路中無法使用?

Zyxel小編 Peter

您好，
經檢視您的設定，目前 一般 Wi-Fi 與訪客 Wi-Fi 都使用 VLAN1，也就是在同一個網段。
這樣的情況會導致：

訪客網路仍能看到內部設備

因為兩個 SSID 都在同一 VLAN / 同一 IP 子網，所以訪客的裝置能直接與內網設備通訊。

MAC 白名單無法阻擋訪客存取內網

MAC 白名單的作用只是控制「能否上網」，
無法阻止訪客裝置在 二層（L2）或三層（L3） 存取內部網路。

一些必要封包仍可能穿透

即使訪客未在白名單內，仍可能有部分封包傳到內網，例如：

ARP（可能讓訪客得知內部設備的 MAC）

ICMP（例如 Ping）

SNMP / 其他廣播封包

Miles1122

您好：

這個回答和我對貴公司的功能了解的不一樣。

而也沒有回答我另外一個問題。

這樣子直接切 VLAN 就好了，不需要買比較高規的設備

Zyxel小編 Peter

您好：

工程師有與您聯繫說明，測試使用自定的 DNS …像是 dns.google.com 這類的，測試並連上訪客WIFI，是可以正常出外網。