Добрый день

Исходные данные:
Win2008,DHCP,одноранговая сеть, неуправляемые коммутаторы.

Задача:
Сделать Гостевую открытую сеть WiFi в удаленном отделе, используя фрагмент текущей одноранговой сети(192.168.0.0) как поставщика интернета.
Гостевая сеть должна иметь другую адресацию(10.10.10.0) и должна быть закрыта от внутренней сети.

Решения которые я смог собрать:
- использование беспроводной точки доступа TP-Link801 для включения MultiSSID для разделения Wifi для сотрудников/гостей, замена всех коммутаторов на управляемые и создание двух VLAN для разделения траффика.
- использование физически дополнительного канала до точки подключения гостей и установка там отдельного канала интернета.

Первый вариант решения не подходит из-за дороговизны подключения одной точки.
Второй вариант связан с физической прокладкой нового участка кабеля.

Подскажите как можно еще реализовать задачу в разрезе имеющихся данных.
Заранее спасибо за ответ.

Win2008,DHCP,одноранговая сеть
Уже не одноранговая.

urimm, а самое простое - одна точка доступа с DHCP в удалённом отделе, один управляемый коммутатор, позволяющий радиоклиентам ходить только в Интернет, - не?

Angry Demon, и чем управляемый коммутатор должен помочь?

Я думал об управляемом коммутаторе после точки доступа, но ввиду того, что все последующие коммутаторы неуправляемы тагетированный траффик будет отбрасываться или идти в никуда, насколько я понимаю.

и чем управляемый коммутатор должен помочь?
Направить трафик с точки доступа напрямую в Интернет. Т.е. запретить любые связи кроме шлюза по умолчанию.

все последующие коммутаторы неуправляемы
Ничего не понятно. Схему сети рисуйте. а то не ясно, кто кому последующий.

urimm, площадь покрытия и ёмкость гостевой сети у вас не большие? Тогда можно рассмотреть ещё вариант с приобретением soho wifi роутера и за двойной NAT его. Для безопасности изолировать рабочую сеть от него настройками фаерволов (возможно понадобится замена прошивки, тк обычно у сохо железок функционал фаера обрезан. Хотя можно взять и микротик, они дешёвые). Это колхозный, но вполне рабочий и дешёвый вариант.

Задача:
Сделать Гостевую открытую сеть WiFi в удаленном отделе, используя фрагмент текущей одноранговой сети(192.168.0.0) как поставщика интернета. »

Ну так на всякий случай.. Почитайте законы... Но "Гостевая открытая сеть WiFi" Вам может больно аукнуться... Вы подумали о том как будете аутентифицировать абонентов? И как и где хронить логи?? Или вы готовы платить штрафы в лучшем случае....


Ну и по теме :)

Jula0071, дело говорит... Единственное, что Микротик не колхозный вариант :)... Колхозный вариант будет как раз таки дешевый TP-link.

Я думал об управляемом коммутаторе после точки доступа, но ввиду того, что все последующие коммутаторы неуправляемы тагетированный траффик будет отбрасываться или идти в никуда, насколько я понимаю. »

По опыту, некоторые пропускают TAG, некотырые нет... Но скорей всего будут проблемы, если не сразу, то через время точно.

что Микротик не колхозный вариант »
Я в том плане, что сама схема двойной нат – колхозная. Но если виланы строить не из чего, а разделить надо, рабочая.

Я в том плане, что сама схема двойной нат – колхозная. Но если виланы строить не из чего, а разделить надо, рабочая. »
В этом плане да. Тогда двойной NAT будет самым простым решением. Хотя можно и без двойного NAT просто маршрутизацией сделать.

Мне кажется можно обойтись решением на Mikrotik. Дешево и сердито.
И свои хотелки внедрите и хот спот с авторизацией организовать не сложно

Можно поставить что то типа этого: Mikrotik RB2011UiAS-2HnD-IN, а на точках где надо Wi-Fi точка доступа Ubiquiti UniFi AP
По крайней мере у нас таким образом все работает. Есть и гостевая с авторизацией изолированная и для сотрудников.

Хотя можно и без двойного NAT просто маршрутизацией сделать. »
Не, либо виланы, либо двойной нат. Либо вообще отдельный канал и всё физически отдельно. Простая маршрутизация (указать этим один шлюз, а тем – другой) не даёт защиты от вторжения в рабочий лан.

Многое зависит от количества пользователей.
Несколько человек keenec Giga III (обычная и гостевая сеть)
10 20 чел поставить маршрутизатор и коммутатор L2 и этого будет достаточно.
Когда пользователей много без коммутатора L3 не обойтись...

Простая маршрутизация (указать этим один шлюз, а тем – другой) не даёт защиты от вторжения в рабочий лан. »
Ну почему, подразумевался как раз микротик с его маршрутизацией и firewall, и все отлично работает.
Просто двойной NAT тоже не дает защиты от вторжения в LAN.