Назад | Перейти на главную страницу

VLAN для разделения трафика WiFi (впервые в VLANing)

Я управляю школьной сетью с коммутаторами в разных отделах. Все направляется к центральному коммутатору для доступа к серверам.

Я хотел бы установить точки доступа Wi-Fi в разных отделах и направить их через брандмауэр (поле Untangle, которое может захватить портал трафика для обеспечения аутентификации), прежде чем он попадет в локальную сеть или в Интернет.

Я знаю, что порты, к которым подключаются точки доступа на соответствующих коммутаторах, должны быть настроены на другую VLAN. У меня вопрос, как мне настроить эти порты. Какие отмечены? Какие без тегов? Я явно не хочу прерывать нормальный сетевой трафик.

Правильно ли я говорю:

Это означает, что весь беспроводной трафик будет маршрутизироваться через одну сетевую карту, что также увеличит нагрузку на межсетевой экран. На данном этапе меня не беспокоит эта нагрузка.

Это близко к тому, что у нас есть, вплоть до шлюза Untangle. Но мы делаем это немного по-другому. Это помогает визуализировать, если вы начинаете с полностью плоской сети без виртуальных локальных сетей. Представьте это с все без тегов на vlan 1.

Теперь мы хотим добавить поддержку Wi-Fi трафика на vlan 2. Для этого установите оба конца каждой магистральной линии (линии, соединяющие два коммутатора) также должны быть помечены для vlan 2. Нет необходимости переключать vlan 1 с немаркированного на тегированный, как вы это делаете в вашем текущем предложении; все, что вам нужно сделать, это добавить порт как помеченный член vlan 2. Кроме того, порты, которые должны взаимодействовать с беспроводными клиентами, должны быть добавлены как помеченные члены vlan 2. Это включает порт, к которому подключен ваш сервер распутывания, и порты для любые серверы (например, dhcp), которые Wi-Fi трафик должен видеть без маршрутизации. Опять же, вы хотите оставить их неотмеченными на vlan 1; просто добавьте их также как отмеченных членов vlan 2.

Одним из важных моментов здесь является то, что наш центральный коммутатор поддерживает маршрутизацию уровня 3, и у нас есть ACL, который сообщает ему, когда ему разрешено маршрутизировать трафик от одного vlan к другому. Например, все наши принтеры и наш сервер печати подключены к vlan 1. Мы используем пакет программного обеспечения на сервере печати для подсчета заданий и выставления счетов учащимся за использование печати, поэтому мы действительно хотим, чтобы трафик Wi-Fi попадал на сервер печати. Мы НЕ хотим, чтобы трафик Wi-Fi напрямую попадал на отдельные принтеры, что могло бы обойти это программное обеспечение, поэтому принтеры ограничены в ACL, но сервер печати разрешен.

Вам также нужно будет немного поработать над самим распутывающим ящиком, в зависимости от того, как все настроено. Смотреть под Config->Networking->Interfaces и отредактируйте свой внутренний интерфейс. Здесь вы хотите увидеть основной IP-адрес и сетевую маску вашего сервера распутывания, настроенные для адреса в вашей подсети vlan 1. У нас также есть настройка псевдонима IP-адреса для каждого используемого vlan, политики NAT, определенные для каждого сетевого адреса и сетевой маски vlan, и маршруты для каждого vlan для отправки трафика для этих vlan на внутренний интерфейс.

Я должен добавить, что мы запускаем наш unangle в режиме маршрутизатора с одним внутренним интерфейсом и имеем dhcp / dns на сервере Windows. Ваша установка может отличаться, если вы используете режим моста или хотите запустить dhcp / dns вне сети или использовать отдельные интерфейсы для каждой сети.

Теперь ваша сеть готова к добавлению точек доступа. Каждый раз, когда вы добавляете точку доступа в сеть, устанавливайте ее порт как нетегированный для vlan 2 и помеченный для vlan 1. Этот тег vlan 1 здесь необязателен, но я часто нахожу его полезным.

Наконец, в зависимости от размера вашей установки вы можете обнаружить, что одного vlan для Wi-Fi недостаточно. Обычно вы хотите сократить количество онлайн-клиентов примерно до одного из 24 клиентов за раз. Меньше - лучше. Если даже больше, то вещательный трафик начнет съедать ваше эфирное время. Вы можете обойтись более крупными адресными пространствами (скажем, / 22), если все адреса не используются одновременно. Вот как мы с этим справляемся. Я поддерживаю около 450 студентов колледжа на одном SSID с подсетью / 21, но я действительно растягиваю его и, вероятно, должен начать разбивать свои задания так, чтобы широковещательный трафик от студентов из разных зданий не мешал друг другу. Если это скорее одно большое здание, например средняя школа, вы, вероятно, захотите выбрать разные SSID для каждого vlan. Если это кампус из нескольких зданий, где здания разделены некоторым расстоянием, и вы не будете распространять покрытие на пространство между зданиями, вы можете обойтись одним SSID для всех вланов.

Надеюсь, ваш поставщик контроллера / Wi-Fi покрывает все это, но если вы похожи на нас, у вас нет средств на 600 долларов за точку доступа или более 3000 долларов на контроллер. Возможно, стоит помнить, что вы можете использовать простые потребительские маршрутизаторы в качестве точек доступа, отключив DHCP и используя порт LAN, а не порт WAN для восходящего канала. Вы упустите некоторую отчетность и автоматическую настройку мощности и каналов, но с некоторыми хорошими точками доступа и некоторой тщательной настройкой вы можете таким образом собрать довольно большую сеть.

Да, похоже, вы хорошо понимаете, как все должно быть настроено. Вы правильно предполагаете, что весь трафик между виртуальными локальными сетями должен проходить через брандмауэр, поэтому вам нужно убедиться, что списки ACL настроены для разрешения этого трафика. Единственный способ снять эту нагрузку с межсетевого экрана - это установить переключатель L3.