Есть замечательная технология под названием Multi-SSID, которая позволяет использовать несколько беспроводных сетей с одной точки доступа. Разумеется, каждая со своими настройками безопасности и видимости.  Применений можно придумать множество, но самое очевидное – выдать клиентам доступ в интернет, изолированный от локалки. Причем без покупки дополнительного оборудования. Решать эту задачу я буду на примере точки доступа D-Link DWL-3200AP и любого коммутатора с поддержкой VLAN (да хоть DIR-100). Кстати и младшая модель 2100AP все это тоже умеет, только мощи в ней поменьше.

Начнем с предположения, что какая-то беспроводная сеть с названием “private” у нас уже есть. То есть точка доступа имеет правильный адрес внутри нашей локалки, параметры шифрования уже установлены и вообще, кто-то wi-fi’ем уже из коллег пользуется. В моем случае DHCP используем внешний, аутентификация WPA-auto-personal, сеть видна извне (SSID передается).

Чтобы настроить вещание нескольких беспроводных сетей, заходим в Advanced Settings -> Multi-SSID и видим, что множественные беспроводные сети не используются.

Для включения Multi-SSID, нужно выставить одноименную галочку. Галочку рядом ставим для того, чтобы задействовать VLAN’ы и сделать так, чтобы клиенты, подключенные к разным беспроводным сетям друг друга видеть напрямую не могли. Нужно это для того, чтобы клиенты не попадали в локалку, если им этого не разрешить особо.

Сразу же в список беспроводных сетей добавляется наша единственная сеть и становится первой и главной. Для нее нужно будет указать VLAN, к которому она будет принадлежать (в моем случае 1). Далее в меню выбираем первую из дополнительных сетей, задаем ее параметры – название, тип аутентификации, видимость, пароли и обязательно указываем VLAN (в моем случае 2).

После настройки не забываем нажать на кнопку Apply, чтобы сохранить изменения. Далее, потребуется выставить ограничения на доступ к управлению точкой доступа. Заходим в меню Tool -> Administartion Settings.

Настройки выставляем как нам больше нравится, но в разделе Limit Administrator VID выставляем номер VLAN, соответствующий частной сети (в моем случае 1). Это позволит не допустить левых людей до интерфейса управления точкой доступа.

Идем в Configuration -> Save and Activate и бежим настраивать свитч или роутер или все остальное.

Обязательные замечания:

1. Настройку VLAN на коммутаторе я не рассматриваю, ибо считаю, что это отдельный разговор. Кроме того, точку доступа можно втыкать сразу в какой-нибудь DFL-210, где настройка VLAN заметно отличается от настройки их же на коммутаторе.
2. Номера VLAN в реальной жизни, конечно же я использую другие. Хотя бы потому, что первый VLAN –  общедостуступный и все рекомендуют его НЕ ИСПОЛЬЗОВАТЬ!
3. Названия беспроводных сетей у меня тоже, конечно же, другие. Давать такие имена сетям, как public и private несколько глупо, на мой взгляд. Используйте что-то более информативное.
4. Очень важный нюанс заключается в настройке безопасности вторичных сетей. Дело в том, что для вторичных сетей доступны параметры аутентификации такие же или менее безопасные, по сравнению с главной сетью. Например: если главная сеть настроена как WPA-personal, то WPA-enterprise для вторичных сетей выставить не получится, а вот открытую сеть – запросто.
5. На D-Link DWL-2100AP внешний вид интерфейса несколько отличается, но принципиально ничего нового там нет.
6. Если беспроводные клиенты получают адреса по DHCP, убедитесь, что DHCP-сервер доступен им и выдает правильные параметры. Это к вопросу о настройке VLAN и DHCP