Вводная: небольшой офис. В наличии имеется один канал от провайдера (впрочем, их может быть два), проводная сеть, служебный и гостевой WiFi.
При этом к проводной сети подключены сервера (ну и админ, конечно ;)), а сотрудники сидят через служебный WiFi. Для гостей (и личных устройств сотрудников) есть гостевой WiFi (может быть, даже с hotspot) c обычной PSK-аутентификацией или без неё.
Чтобы было ещё веселее – добавим DMZ с почтовым сервером (как его настроить, можно почтитать, например, тут). По организации DMZ есть много толковых мануалов, так что заострять на этом внимания не буду – для простоты, почтовый сервер будет жить в одной сети со всеми остальными.
В этой статье я намеренно не буду пытаться охватить все аспекты существования офисного роутера (например, обеспечение резервирования или удалённого доступа сотрудников) – вы без труда найдёте на этом сайте нужную информацию воспользовавшись поиском или облаком тэгов.
Мы же остановимся именно на разграничении трафика между тремя сетями – для каждой будет отдельное адресное пространство, интерфейсы и правила фаервола.
Хорошей идеей было бы ограничить гостевую сеть с помощью очередей (queues), но это оставим для следующей статьи.
Приступим?