网络 – 用于WiFi流量分离的VLAN(新的VLAN)

我在不同部门的交换机上运行学校网络.全部路由到中央交换机以访问服务器.

我想在不同的部门中安装WiFi接入点,并在进入局域网或互联网之前通过防火墙(一个Untangle框,可以对流量进行限制 – 提供身份验证)进行路由.

我知道AP在相关交换机上连接的端口需要设置为不同的VLAN.我的问题是如何配置这些端口.哪个被标记?哪个没有标记?我显然不想中断正常的网络流量.

我是否正确地说:

>大多数端口应该是UNTAGGED VLAN 1?
>附加WiFi AP的那些应该是UNTAGGED VLAN 2(仅限)
>到中央交换机的上行链路应该是TAGGED VLAN 1和TAGGED VLAN 2
>来自外围交换机的中央交换机的入站端口也应该是TAGGED VLAN 1和TAGGED VLAN 2
>将有两个指向防火墙的链接(每个链接在其自己的NIC上),一个UNTAGGED VLAN 1(用于正常的Internet访问流量)和一个UNTAGGED VLAN 2(用于强制门户网站身份验证).

这意味着所有无线流量都将通过单个NIC路由,这也将增加防火墙的工作负载.在这个阶段,我并不担心这种负担.

最佳答案
这非常接近我们所拥有的,直到Untangle网关.不过,我们做的有点不同.如果您从没有vlans的完全扁平的网络开始,它有助于可视化.你通过在vlan 1上取消所有内容来代表这一点.

现在我们想在vlan 2上添加对wifi流量的支持.为此,设置每个中继线的两端(连接交换机的线路)需要通过wifi流量标记为vlan 2.无需切换vlan 1,从未标记到标记,就像你当前的提案中那样;您需要做的就是将端口添加为vlan 2的标记成员.此外,需要与无线客户端通信的端口应添加为vlan 2的标记成员.这包括您的untangle服务器连接到的端口以及端口对于任何服务器(如dhcp),wifi流量应该能够看到.再次,你想让它们在vlan 1上没有标记;只需将它们添加为vlan 2的标记成员.

这里的一个重要关键是我们的中央交换机支持第3层路由,我们在那里有一个ACL,告诉它什么时候允许将流量从一个vlan路由到另一个vlan.例如,我们所有的打印机和打印机服务器都在vlan 1上.我们使用打印服务器上的软件包来计算作业并向学生收取打印使用费用,因此我们确实希望允许wifi流量到达打印服务器.我们不希望允许wifi流量直接命中单个打印机,这会绕过该软件,因此打印机在ACL中受到限制,但允许使用打印服务器.

您还需要在解开框本身上做一些工作,具体取决于设置方式.在Config-> Networking-> Interfaces下查看并编辑内部接口.在那里,您希望看到您的解开服务器的主IP地址和网络掩码设置为您的vlan 1子网上的地址.我们还为每个使用的vlan设置了IP地址别名设置,为每个vlan网络地址和网络掩码定义了NAT策略,以及每个vlan的路由,以便将这些vlan的流量发送到内部接口.

我应该补充说,我们在路由器模式下使用单个内部接口运行我们的解开,并在Windows服务器盒上安装dhcp / dns.如果您使用网桥模式或想要解开dhcp / dns,或者为每个网络使用单独的接口,则您的设置可能会有所不同.

现在您的网络已准备好添加接入点.每当你向网络添加一个访问点时,将它的端口设置为vlan 2的untagged,并标记为vlan 1.这里的vlan 1标签是可选的,但我经常觉得它很有帮助.

最后,根据您的安装大小,您可能会发现wifi的一个vlan是不够的.您通常希望一次将其保持在约24/24的客户端.越少越好.除此之外,广播流量将开始耗尽您的播放时间.只要所有地址不在同一时间使用,您就可以使用更大的地址空间(例如,/ 22).这就是我们在这里处理它的方式.我支持大约450名住院大学生使用/ 21子网的单个SSID,但我真的很喜欢它并且可能应该开始编写我的作业,以便来自不同建筑物的学生的广播流量不会相互干扰.如果这更像是一个像高中一样的大型建筑,你可能想要为每个vlan选择不同的SSID.如果它是一个多建筑校园,建筑物相隔一段距离而你不会将覆盖范围扩展到建筑物之间的空间,那么你可以通过一个SSID来获得所有的vlans.

希望你的控制器/ wifi供应商涵盖所有这些,但如果你像我们一样,你没有600美元/接入点或每个控制器单元3000美元的资金.值得记住的是,您可以通过关闭dhcp并使用LAN端口而不是WAN端口来使用简单的消费者路由器作为接入点.你会错过一些报告和自动电源和通道调整,但是通过一些好的接入点和一些精心设置的工作,你可以用这种方式组合相当大的网络.

转载注明原文:网络 – 用于WiFi流量分离的VLAN(新的VLAN) - 代码日志