用於 WiFi 流量分離的 VLAN(VLAN 的新功能)
我在不同部門執行一個帶有交換機的學校網路。全部路由到中央交換機以訪問伺服器。
我想在不同的部門安裝 WiFi 接入點,並在它進入 LAN 或 Internet 之前將其路由通過防火牆(一個可以擷取流量的 Untangle 盒子,以提供身份驗證)。
我知道 AP 連接到相關交換機上的埠需要設置為不同的 VLAN。我的問題是如何配置這些埠。哪些被標記?哪些是未標記的?我顯然不想中斷正常的網路流量。
我說得對嗎:
- 大多數埠應該是UNTAGGED VLAN 1?
- 那些連接了 WiFi AP 的應該是 UNTAGGED VLAN 2(僅限)
- 到中央交換機的上行鏈路應該是 TAGGED VLAN 1 和 TAGGED VLAN 2
- 中央交換機從外圍交換機傳入的埠也應該是 TAGGED VLAN 1 和 TAGGED VLAN 2
- 將有兩個連結到防火牆(每個都在自己的 NIC 上),一個 UNTAGGED VLAN 1(用於正常的 Internet 訪問流量)和一個 UNTAGGED VLAN 2(用於強制門戶身份驗證)。
這確實意味著所有無線流量都將通過單個 NIC 進行路由,這也將增加防火牆的工作量。在這個階段,我不關心那個負載。
這與我們所擁有的很接近,一直到 Untangle 網關。不過,我們做的有點不同。如果您從沒有 vlan 的完全平坦的網路開始,它有助於視覺化。用vlan 1 上未標記 的所有內容表示這一點。
現在我們要在 vlan 2 上添加對 wifi 流量的支持。為此,將每條幹線(連接兩個交換機的線路)的兩端也設置為 vlan 2 的標記。不需要將 vlan 1 從未標記切換到標記,就像您在目前提案中所做的那樣;您需要做的就是將埠添加為 vlan 2 的標記成員。此外,需要與無線客戶端通信的埠應添加為 vlan 2 的標記成員。這包括您的 untangle 伺服器連接到的埠,以及用於wifi 流量應該能夠在沒有路由的情況下看到的任何伺服器(如 dhcp)。同樣,您希望在 vlan 1 上不標記它們;只需將它們添加為 vlan 2 的標記成員。
這裡的一個重要關鍵是我們的中央交換機支持第 3 層路由,並且我們在那裡有一個 ACL,它告訴它何時允許將流量從一個 vlan 路由到另一個 vlan。例如,我們所有的列印機和我們的列印機伺服器都在 vlan 1 上。我們在列印伺服器上使用一個軟體包來計算作業並為學生的列印使用量計費,因此我們確實希望允許 wifi 流量訪問列印伺服器。我們不想讓 wifi 流量直接訪問單個列印機,這會繞過該軟體,因此列印機在 ACL 中受到限制,但允許列印伺服器。
你還需要對你的 untangle 盒子本身做一些工作,這取決於事情是如何設置的。查看
Config->Networking->Interfaces並編輯您的內部界面。您想在此處查看為 vlan 1 子網上的地址設置的解開伺服器的主 IP 地址和網路遮罩。我們還為我們使用的每個 vlan 設置了 IP 地址別名,為每個 vlan 網路地址和網路遮罩定義了 NAT 策略,以及每個 vlan 的路由以將這些 vlan 的流量發送到內部介面。我應該補充一點,我們在路由器模式下使用單個內部介面執行我們的 untangle,並在 Windows 伺服器上安裝 dhcp/dns。如果您使用橋接模式或想要從 untangle 執行 dhcp/dns,或者為每個網路使用單獨的介面,您的設置可能會有所不同。
現在您的網路已準備好添加接入點。每當您將接入點添加到網路時,請將其埠設置為未標記的 vlan 2,並標記為 vlan 1。此處的 vlan 1 標記是可選的,但我經常發現它很有幫助。
最後,根據你安裝的大小,你可能會發現一個 wifi 的 vlan 是不夠的。您通常希望一次將其降低到大約 1 / 24 的線上客戶價值。越少越好。除此之外,廣播流量將開始佔用您的通話時間。只要不是一次使用所有地址,您就可以使用更大的地址空間(例如,/22)。這就是我們在這裡的處理方式。我在一個帶有 /21 子網的 SSID 上支持大約 450 名住宿大學生,但我真的在擴展它,可能應該開始劃分我的作業,以便來自不同建築物的學生的廣播流量不會相互干擾。如果這更像是一棟像高中這樣的大型建築,您可能希望為每個 vlan 選擇不同的 SSID。如果它'
希望您的控制器/wifi 供應商涵蓋所有這些,但如果您像我們一樣,您沒有資金 $ 600/access point or $ 每個控制器單元 3000+。值得記住的是,您可以通過關閉 dhcp 並使用 LAN 埠而不是 WAN 埠作為上行鏈路,將簡單的消費者路由器用作接入點。您會錯過一些報告以及自動功率和頻道調整,但是通過一些良好的接入點和一些仔細的設置工作,您可以通過這種方式組建一個相當大的網路。