UniFi — использование сетей VLAN с продуктами UniFi Wireless, аппаратурой коммутации и маршрутизации

Краткое содержание

Линейка продукции UniFi готова к использованию в виртуальных сетях VLAN. В данной статье описано, как использовать сети VLAN с продуктами линейки UniFi. В статье не рассматриваются основы сетей VLAN, а также настройка аппаратуры. В то же время, настройка устройств UniFi в статье описана.

Содержание

1. Управление устройством UniFi

2. Точки доступа UniFi (UAP)

3. Коммутатор UniFi (USW)

4. Безопасный шлюз UniFi (USG)

5. Другие статьи по этой теме

Управление устройством UniFi

Сначала нам потребуется настроить Ваши точки доступа UniFi или коммутаторы, используя "родную" VLAN без тега. Следует отметить, что они поддерживают управление Уровня 3 (L3), поэтому Ваш контроллер может находиться в другой сети L3 (либо он может подключаться к ним по удаленному доступу и т.д.). На данный момент, точки доступа UniFi AP управляются только через VLAN без тега.

Однако управление коммутаторами UniFi в настоящее время имеет некоторые отличия. После того, как Вы настроите его, используя VLAN без тега, Вы сможете задать для управления VLAN с тегами. Эта функция доступна в окне device property (свойства устройства) в меню Configuration>Services>MGMT VLAN. Данная функция будет распространена на UAP-IW в начальной версии 5 контроллера UniFi. Позже она будет распространена и на другие модели.

Точки доступа UniFi (UAP)

Вы можете использовать по одной VLAN с тегом для каждого SSID. На одном радиооборудовании может обеспечиваться до 4 SSID. Настроить VLAN для пользователей SSID можно в меню Settings>Wireless Networks>Advanced Options (Настройки>Беспроводные сети>Дополнительные параметры). Поле Advanced Options (Дополнительные параметры) отображается либо, когда Вы создаете новую беспроводную сеть (SSID), либо когда Вы редактируете существующий SSID. Вы можете использовать сети VLAN на стандартных или гостевых SSID.

В настоящее время единственной VLAN, которой невозможно назначить тег для SSID является VLAN 1, хотя в будущем это может быть изменено, после того, как мы распространим возможность задавать управление VLAN на все точки доступа UAP.

В следующей базовой версии v5 контроллера UniFi и ее последующих редакциях с точками доступа UAP будут использоваться сети VLAN, управляемые по протоколу RADIUS. Вместо задания VLAN, потребуется установить флажок в поле опции включения поддержки RADIUS VLAN.

Эта опция находится на вкладке advanced options (дополнительные параметры) для SSID:

Руководствуясь Вашей конфигурацией RADIUS, для каждого пользователя или группы задайте атрибуты RADIUS на RADIUS-сервере, перечисленные ниже:

• Tunnel-Type = 13,

• Tunnel-Medium-Type = 6,

• Tunnel-Private-Group-Id = "149"   # <=== добавьте Ваш идентификатор vlan id для каждого пользователя.

На момент написания статьи, одним известным ограничением управления сетями VLAN по RADIUS было то, что Вы не сможете совместно использовать VLAN ID и для пользователей RADIUS и для статического назначения VLAN на другой SSID на этой же АР. Так, если на SSID1 статически назначена VLAN 10 и SSID2 сконфигурирован для сетей VLAN, управляемых по RADIUS, пользователи на SSID2 не смогут использовать VLAN ID 10, но они могут использовать любой другой VLAN ID. Если у Вас есть третий SSID, по которому также используются сети VLAN, управляемые по RADIUS, Вы можете использовать те же VLAN ID, что и для пользователей на SSID 2 (за исключением 10). Все это применимо по каждой АР отдельно.

Коммутатор UniFi (USW)

Также как с точками доступа UAP, сети VLAN можно использовать и с коммутатором USW. По умолчанию все порты установлены на all (все), так что существует одна "родная" подсеть (в идеальном случае с идентификатором 1). Остальные VLAN должны быть тегированы. Сети VLAN необходимо задать в контроллере UniFi в разделе Settings>Networks (Настройки>Сети). Чтобы задать VLAN, необходимо объявить (всю) сеть как сеть "только VLAN".

Чтобы изменить профиль порта (или группы портов), необходимо перейти в окно Properties (свойства), в раздел Ports> (Порты). Затем либо выберите мышью кнопку edit (редактировать), либо выберите требуемые порты и отредактируйте информацию по ним внизу экрана. Там же можно выбрать профили для соответствующих портов. Профиль Networks/VLANs (Сети / сети VLAN) можно использовать для определения "родной" и тегированных сетей на портах, которые используют этот профиль.

Создать профили сетей можно в окне switch properties (свойства коммутатора). Перейдите в раздел Configuration>Networks/VLANs (Конфигурация > Сети / сети VLAN). В настоящее время коммутатор UniFi имеет отличие, состоящее в том, что для него можно тегировать VLAN 1 на порту.

Сейчас коммутатор UniFi является единственным устройством, для которого можно тегировать VLAN 1 (если это требуется). По умолчанию, локальная сеть в контроллере является сетью VLAN 1. Для того, чтобы назначить ей тег, необходимо создать специализированный профиль и назначить ему тег. В еще не настроенном контроллере, в разделе Settings>Networks (Настройки >Сети), VLAN 1 является локальной сетью по умолчанию. В моем примере ей является MGMT VLAN.

В версии v5 контроллера UniFi добавлена поддержка сетей VLAN, управляемых по RADIUS, также и на USW. Сначала необходимо включить управление 802.1x, после этого станет возможно включить сети VLAN, управляемые по RADIUS. Эта функция доступна в окне Switch properties>Configuration>Services (Свойства коммутатора > Конфигурация > Службы).

Безопасный шлюз UniFi (USG)

Безопасный шлюз USG может использоваться для управления DHCP, маршрутизации и сетей VLAN в Вашей сети. Его также можно использовать в разделе Settings>Networks (Настройки > Сети), чтобы задать подсети. В корпоративной сети нет ограничений, однако гостевая сеть не может связываться с другими подсетями в Вашей сети. Настройки гостевого управления действуют также и для гостевых сетей (то есть к проводному гостевому порталу).

На каждом интерфейсе локальной сети имеется "родная" подсеть и сети VLAN. VLAN ID "родной" подсети Вам изменить не удастся (он равен 1 или 4010, в зависимости от того, что это - локальная сеть или подсеть VoIP). Вид окна settings (настройки) примерно одинаков и при корпоративной, и при гостевой сети, так что приведена только одна картинка - для корпоративной сети. В основном, требуется ввести требуемый IP-адрес с CIDR, а затем выбрать Ваш VLAN ID.

Другие статьи по этой теме

Основы сетей VLAN (готовится).

UniFi - как назначить тег трафику VLAN?