Ciao a tutti, in azienda sto riammodernando la sezione access point. Ho dei vecchissimi Netgear che nemmeno mi consentono più di entrare nella pagina di amministrazione…

Ho già acquistato due TP-LINK EAP225
https://www.tp-link.com/it/products/details/cat-5692_EAP225.html

Ho già installato il primo e ho fatto la classica configurazione base.

Il software di gestione mi pare completo e abbastanza organizzato. Ci sono diverse voci su cui intervenire.

Mi vorrei soffermare meglio sulla parte Guest e chiedervi un consiglio:

Ho creato un SSID "guest" senza password; quando ci si connette il TP-LINK ti dirotta verso il portale in cui inserire la password.
La cosa che vorrei però sistemare è indirizzare tutti gli ospiti su IP diversi dalla mia LAN.
Al momento ho risolto mettendo un blocco alla subnet 192.168.100.0/24
Potrebbe bastare o è meglio agire in modo diverso?

Ho anche un access point Meraki, su questo si può scegliere di dirottare gli ospiti in una rete isolata 10.0.0.0/8 con un semplice click…

grazie come sempre :)

L'AP non dovrebbe fare routing. Quello che può (spero) fare è taggare il traffico con una VLAN. A quel punto dal router assegni una subnet alla VLAN ospiti e il traffico verrà passato lì dal router.

Confermo la possibilità e la soluzione. L'alternativa peggiore è l'SSID isolation, ma se il router te lo consente applica il tagging VLAN come consigliato che è meglio.

ok grazie. La parte router/firewall non la gestiamo noi…
ok quindi alla rete ospiti gli metto una VLAN "10" e poi lo comunico al ragazzo dell'assistenza giusto?


lato switch devo fare qualcosa?

No ma lo switch deve essere compatibile con 802.1Q, dovrebbero esserlo tutti ammenoché sia roba d'antiquariato

No ma lo switch deve essere compatibile con 802.1Q, dovrebbero esserlo tutti ammenoché sia roba d'antiquariato
L'unico problema di usare uno switch unmanaged con un AP che tagga il traffico è che il traffico verso un client collegato allo switch non viene bloccato perché il traffico non passa dal router.

Mi sono espresso male io. Presupponendo si tratti di uno switch professionale managed (essendo un'azienda di solito gli impianti si fanno così). Intendevo dire che la maggiorparte degli switch managed col pieno supporto al protocollo 802.1q hanno anche il pieno supporto a tutte le funzioni di VLAN sia il tag che il trunks; se è roba vecchia non lo sò ma dev'essere veramente vecchia; se sono gigabit quasi sicuramente hanno già tutto xkè vuol dire che sono "abbastanza nuovi". Tuttavia è sempre meglio chiedere e informarsi dall'amministratore di rete.