Гуру, выручайте. В форуме и в гугле ответа не нашел, поэтому все неадекваты с криками "гугл в помощь" идите лесом. Есть ответы на похожие ситуации, но там в большинстве случаев пытаются объединить сети.

Дано:
Есть офис, в офисе сеть с доменом (на сервере подняты AD DS, DNS и остальное по мелочи), также имеется wifi-точка для клиентов. Топология сети такова: провайдер(белый IP) -> шлюз с двумя сетевухами(крутится kerio control, одна сетевуха смотрит в lan, другая в инет) -> свич 3го этажа(подключены рабочие компы и свич 1го этажа) -> свич 1го этажа(подключены компы 1го этажа и wifi-точка доступа для клиентов). Адреса локальной сети 192.168.1.x/24. Точка доступа D-Link DWL-3260AP. На точке доступа работает DHCP, который отдает 20 IP адресов. Адрес точки доступа 192.168.1.50, подсеть 24. Выдаваемые точкой доступа по DHCP адреса 192.168.1.201-192.168.1.220, подсеть 24. Рабочим компам вручную прописаны IP адреса. И точка доступа, и рабочие компы ходят в инет через шлюз, используя в качестве примари DNS - адрес сервера.

Задача:
Как отсечь весь трафик с вафли к локальным компам, но при этом сохранить доступ в инет на вафле?

Как отсечь весь трафик с вафли к локальным компам, но при этом сохранить доступ в инет на вафле? »
Поставьте между свиnчом 1-го этажа и точкой доступа дополнительный роутер, который имеет настройки файервола-фильтра, позволяющие отсечь доступ к определенным IP адресам.
(пример, http://forum.oszone.net/thread-238490.html )

О, спасибо за совет!
Теперь другая мысль родилась... Что если wifi-роутер вместо точки доступа поставить. То есть от свича в WAN порт роутера. В настройках доступа в интернет на роутере прописать вручную его адрес/подсеть, адрес шлюза, адрес сервера DNS. На роутере включить DHCP с диапазоном адресов и подсетью отличными от корпоративной и раздавать эти адреса по вафле. Это может спасти ситуацию? Вроде так с вафли нельзя будет попасть в корпоративную сеть без проброса портов на роутере?

нет ничего проще.
три влана на свитче:
- internet
- internal
- wifi
соотно на "внутреннюю" сетевушку kerio приходит 2 (вообще конечно можно вообще одной сетевушкой обойтись, раз уж вланы =) ) - wifi и internal
соотно internal - 192.168.1.0/24, а wifi - 192.168.2.0/24 с нужными перенастройками DHCP на WiFi.
без правил прохождения траффика в файерволе керио - всё, алес, никто никого не видит.

или, если есть ещё внешние IP - то просто один влан на свитче и роутер вместо AP.

Всем огромное спасибо за поддержку. Решение нашел. Пока временно, но в моей ситуации помогло. На свиче первого этажа включил сегментацию трафика. Теперь порт свича, к которому подключена точка доступа "нюхает" только порт, по которому заведена ветка с третьего этажа. При этом интернет есть на вафле, а локалку теперь не видно. Пинги к компам на первом/третьем этаже с вафли не ходят. На точке доступа указал адрес шлюза и адрес DNS-сервера(тоже адрес шлюза, т.к. на шлюзе в Керио запущен и настроен DNS-сервер). Пробовал VLAN настроить, чет не вышло))) Не разобрался пока с тегированием портов. Но эта операция предстоит в обозримом будущем.

Может кто подскажет, есть ли "подводные камни" при использовании сегментации трафика? В моем случае в плане доступа к корпоративной сети с клиентов wifi.