那些遇到过的问题

用于 WiFi 流量分离的 VLAN(VLAN 的新手)

Phi*_*lip 10 networking wifi vlan

我在不同部门运行带有交换机的学校网络。全部路由到中央交换机以访问服务器。

我想在不同的部门安装 WiFi 接入点,并在它进入 LAN 或 Internet 之前通过防火墙(一个 Untangle 盒,可以捕获流量,以提供身份验证)进行路由。

我知道 AP 连接到相关交换机上的端口需要设置为不同的 VLAN。我的问题是如何配置这些端口。哪些被标记了?哪些是未标记的?我显然不想中断正常的网络流量。

我说的对吗:

  • 大部分端口应该是UNTAGGED VLAN 1吧?
  • 那些连接了 WiFi AP 的应该是未标记的 VLAN 2(仅)
  • 到中央交换机的上行链路应该是 TAGGED VLAN 1 和 TAGGED VLAN 2
  • 来自外围交换机的中央交换机的传入端口也应该是 TAGGED VLAN 1 和 TAGGED VLAN 2
  • 将有两条到防火墙的链接(每个链接都在自己的 NIC 上),一个未标记的 VLAN 1(用于正常的互联网访问流量)和一个未标记的 VLAN 2(用于强制门户身份验证)。

这确实意味着所有无线流量都将通过单个 NIC 路由,这也会增加防火墙的工作负载。在这个阶段,我不关心那个负载。

网络的粗略草图

Joe*_*oel 5

这与我们所拥有的很接近,一直到 Untangle 网关。不过,我们的做法略有不同。如果您从没有 vlan 的完全平坦的网络开始,它有助于可视化。用vlan 1 上未标记的所有内容表示此内容

现在我们想在 vlan 2 上添加对 wifi 流量的支持。为此,将每条中继线(连接两个交换机的线路)的两端也设置为 vlan 2。不需要将 vlan 1 从 untagged 切换到 tagged ,正如您在当前提案中所做的那样;您需要做的就是将端口添加为 vlan 2 的标记成员。此外,需要将需要与无线客户端通信的端口添加为 vlan 2 的标记成员。这包括您的 untangle 服务器连接到的端口,以及用于wifi流量应该能够在没有路由的情况下看到的任何服务器(如dhcp)。同样,您希望在 vlan 1 上不标记它们;只需将它们添加为 vlan 2 的标记成员。

这里的一个重要关键是我们的中央交换机支持第 3 层路由,并且我们在那里有一个 ACL,它告诉它何时允许将流量从一个 vlan 路由到另一个 vlan。例如,我们所有的打印机和我们的打印机服务器都在 vlan 1 上。我们在打印服务器上使用一个软件包来计算作业并向学生收取打印使用费,因此我们确实希望允许 wifi 流量到达打印服务器。我们不想让 wifi 流量直接访问单个打印机,这会绕过该软件,因此打印机在 ACL 中受到限制,但允许打印服务器。

您还需要对解开盒本身做一些工作,具体取决于设置方式。查看Config->Networking->Interfaces并编辑您的内部界面。在那里,您希望查看为您的 vlan 1 子网上的地址设置的 untangle 服务器的主 IP 地址和网络掩码。我们还为我们使用的每个 vlan 设置了 IP 地址别名,为每个 vlan 网络地址和网络掩码定义了 NAT 策略,以及每个 vlan 的路由以将这些 vlan 的流量发送到内部接口。

我应该补充一点,我们在具有单个内部接口的路由器模式下运行我们的 untangle,并且在 Windows 服务器机器上有 dhcp/dns。如果您使用桥接模式或想要在 untangle 之外运行 dhcp/dns,或者为每个网络使用单独的接口,则您的设置可能会有所不同。

现在您的网络已准备好添加接入点。每当您向网络添加接入点时,请将其端口设置为 vlan 2 的未标记端口,以及 vlan 1 的标记端口。此处的 vlan 1 标记是可选的,但我经常发现它很有帮助。

最后,根据您安装的大小,您可能会发现一个 wifi 的 vlan 是不够的。您通常希望一次将其保持在大约 1 / 24 的在线客户。越少越好。除此之外,广播流量将开始占用您的通话时间。您可以使用更大的地址空间(例如,/22),只要所有地址一次都没有被使用。我们这里就是这样处理的。我在一个带有 /21 子网的 SSID 上支持大约 450 名住宿大学生,但我确实在扩展它,可能应该开始划分我的作业,以便来自不同建筑物的学生的广播流量不会相互干扰。如果这更像是一所高中这样的大型建筑,您可能希望为每个 vlan 选择不同的 SSID。如果它'

希望您的控制器/wifi 供应商涵盖所有这些,但如果您像我们一样,您没有 600 美元/接入点或每个控制器单元 3000 美元以上的资金。值得记住的是,您可以通过关闭 dhcp 并使用 LAN 端口而不是 WAN 端口作为上行链路,将简单的消费者路由器用作接入点。您将错过一些报告和自动功率和信道调整,但是通过一些良好的接入点和一些仔细的设置工作,您可以通过这种方式组建一个相当大的网络。

归档时间:

查看次数:

15104 次

最近记录:

5 年,11 月 前
相关归档
为什么移动网络延迟高?如何减少它们? 41
有什么方法可以在我的网络上找到未使用的 IP 地址? 26
前缀长度为 31 的 IP 前缀的名称是什么?(即仅包含 2 个 IP 地址) 20
是否可以从 EC2 中运行的任何实例访问 Amazon EC2 私有 IP? 13
20 分钟后,KVM 来宾上的 IPv6 连接丢失 6
良好的企业级网络/服务器监控器 3
在小型企业中使用 10Gbit 以太网有意义吗? 2
在 ESX 上设置内部网络 2
如何在 Windows Server 2008 中跨多个 NIC 正确设置服务器“组队”? 1
打印机未显示在网络上 -1
难疑归档
我在 DDoS 下。我能做什么? 183
如何在批处理文件中睡觉? 167
VLAN 是如何工作的? 142
政府审查我们网站的 HTTPS 流量。解决方法? 63
磁带机的优势是什么? 62
如何配置 vsftpd 以使用被动模式 57
使用 Ansible 显示输出 57
评估雷击后的设备损坏 - 我是否应该计划更多? 56
如何将各种证书组合成单个 .pem 55
在 IIS 上,如何修补 SSL 3.0 POODLE 漏洞 (CVE-2014-3566)? 53