Разделение DHCP-серверов в LAN и AP
 

Всем добрый день!

Вопрос следующий:
1. Существует локальная сеть с диапазоном 192.168.100.0/24. В данной сети существует домен, на контролере домена поднят DHCP-сервер, который и выдает аренду для этой локальной сети.
2. Данный DHCP-сервер не выдает аренду для диапазона 192.168.100.1-192.168.100.20 (для серверов) и 192.168.100.230-192.168.100.254 (для клиентов дочки доступа).
3. Собственно сама точка доступа со статическим IP-адресом и включенным DHCP-сервером, который выдает аренду в диапазоне 192.168.100.230-192.168.100.254.

Но все клиенты подключающиеся к точке доступа получают IP-адреса от авторизованного DHCP-сервера, который поднят на контролере домена.
Как сделать так, чтобы wi-fi клиенты получали IP-адреса от DHCP-сервер точки доступа в диапазоне 192.168.100.230-192.168.100.254????

Я слышал про функции
1. Access point isolation, при которой wi-fi-клиенты не видят локальные ресурсы
2. Clients Isolation, при включении этой опции беспроводные клиенты не смогут взаимодействовать друг с другом. ( мне не подойдет)
Что возможно применить в моем случае чтобы все заработало как мне необходимо????

То, что есть на вашей точке доступа, об модели и интерфейсе которой вы предпочли умолчать.
А по-хорошему - управляемый коммутатор.

Нахрена в точке доступа DHCP сервер? Тем более в том же диапазоне, что и ваш основной сервер.
В чём сакральный смысл? Какая разница, из какого диапазона и от какого DHCP сервера получат адреса эти или те, если всё в одной подсети?

TrendNet TWE-654TR. Функции Access point isolation там нет, но я читал об этом. По этому и спрашиваю, решит ли мои проблемы точка доступа с данной фунцией.

Он есть, но пользователи которые получаю IP-адреса от DHCP-сервера поднятого на контролере домена ( компьютеры домена) и wi-fi - клиенты выходят в интернет через один и тот же шлюз (192.168.100.1). Следовательно, для того что бы это работало, надо чтобы порт, к которому подключен интерфейс LAN шлюза, был TRANK PORT (или тегированный порт). Это у меня не позволяет сделать мой коммутатор. С VLAN-ми не проблема, это можно сделать, но маршрутизацию как Вы поняли настроить у меня не получится

Данный диапазон адресов основной DHCP-сервер не выдает
Т.к это в основном мобильные клиенты, которые не поддерживают NTLM аутинфикацию которая включена на ISA-2006 для основного правила доступа в интернет, которая запрашивает логин/пароль и принадлежность г группе Internet при доступе в Интернет. А для данного пула адресов 192.168.100.230-192.168.100.254 в ISA-2006 создана "группа компьютеров" с этим диапазоном и правило разрешающее для этой группы доступ в интернет без аутинфикацию.

Ну и дальше бла-бла, неинтересные.
Что мешает вынести "мобильных клиентов" в отдельную подсеть?

Я бы ответил что религия, но я уже писал об это выше

Тему закрываю, так как решения найдены.
Всем спасибо за интерес к теме!

zavoruev, у нас на форуме принято отписываться о решении проблемы.

Решение проблемы нашел 3-мя способами:

1. Физическое или логическое разделение клиентов wi-fi и Lan
2. Вместо AP использовать wi-fi роутер, который в сеть Lan будет подключен Wan интерфейсом.
3. Резервирование адресов wi-fi клиентов в DHCP сервере ( немного не рациональный способ, если много своих клиентов wi-fi и много гостей т.к не знаешь какой пул адресов оставлять под резервирование).

Имеется в виду отдельная сетевая карта, обслуживающая Wi-Fi-точку или другая IP-подсеть?

При этом создать в ISA-2006 всего одно правило разрешения без аутентификации с адресом WAN роутера. Да, вариант.

Имеется в виду логическое ( VLAN) если поддерживает коммутатор. Вот тут пример с AP D-Link DAP-2310 и коммутатором DES-3200L2 http://www.dlink.ru/ru/faq/263/1173.html.
Физически можете поставить еще одну сетевую карту в шлюз,настроить на нем другую подсеть, и настроить маршрутизацию в интернет.

Да, Вы все верно поняли! WAN-интерфейс будет с IP-адресом внутренний сети, а wi-fi клинты будут в другой подсети и получать IP-адреса от DHCP-сервера wi-fi роутера. А ISA будет выпускать внутренний IP-адрес без аутенфикации.

Вот как бы и все)