UniFi — как назначить тег трафику VLAN?

Ответ

Краткий ответ следующий: точка доступа UniFi AP тегирует пакеты, когда они выходят из WLAN в проводную сеть. Когда из проводной сети поступает тегированный трафик, то тег с него снимается и этот трафик передается в WLAN. Для лучшего понимания реальных конфигураций коммутаторов, готовых к поддержке VLAN, мы скомпилировали пример развертывания.

Тегирование трафика и отмена тегирования

  1. Трафик, инициированный в направлении от АР является нетегированным (посылается через br0). Он включает в себя трафик управления и трафик RADIUS, как описано ниже:

    1. AP <-> Контроллер (трафик управления)

    2. AP <-> RADIUS (когда используется WPA-Enterprise)

  2. Трафик от WLAN без сконфигурированных VLAN является нетегированным (athX соединен мостом с br0).

  3. Трафик от WLAN с сконфигурированными VLAN всегда тегированный (athX соединен мостом с br0.VLAN и с eth0.VLAN):

    1. AP <-> RADIUS (когда используется WPA-Enterprise)

    2. Станция -> AP (с тегами) -> коммутатор

    3. Станция <- AP (без тегов) <- коммутатор

Неважно, был ли трафик перенаправлен (на гостевой портал) или нет. Когда WLAN сконфигурирована с VLAN, трафик, покидающий АР, будет тегированным. Однако, после того, как трафик тегируется AP, он попадает к Вам и далее должен быть пропущен в восходящий поток.

Пример:

Моя сеть управления: 10.0.0.0/24

Гостевая сеть VLAN: 15.0.0.0/24

Коммутатор: AP подключена к порту 5 (vlan1-нетегированная и vlan5-тегированная)

Ubuntu подключена к порту 1 (vlan1-нетегированная и vlan5-тегированная)

Контроллер подключен к порту 8 (vlan1-нетегированная)

Ubuntu (работает, как маршрутизатор)

eth0: 10.0.0.2/24, может быть маршрутизован в Internet (шлюз 10.0.0.1)

eth0.5: 15.0.0.1/24, через NAT связан с eth0

Контроллер находится в 10.0.0.26

Гостевые порталы

Естественно предполагать, что сеть VLAN используется для гостевого доступа, при этом гости помещенные в их собственную VLAN, изолированы от других частей сети. Однако при этом существует несколько технических моментов, которые следует обсудить.

Начнем с базового развертывания VLAN, при котором гостевой портал не включен.

1. UniFi AP тегирует трафик wlan->wire

2. Трафик AP-Контроллер является нетегированным

3. Контроллер, скорее всего, работает на нетегированном интерфейсе

4. Внутри AP сконфигурировано:

гость — br0.3 — eth0.3 —3—+

br0 ——————+—u,3—порт1

корпоративный клиент ——+

Пример развертывания:

  • порт8 соединяем с портом DMZ маршрутизатора, добавляем порт8 в vlan3 и удаляем теги. Включаем DHCP-сервер на Вашем DMZ;

  • порт5 соединяем с внутренней сетью, оставляем порт5 нетегированным.


Что происходит, когда гостевой портал включен с VLAN?

Когда гостевой портал включен, контроллер работает, как сервер портала и гости будут перенаправлены в http://unifi_ip:unifi_http_portal_port/guest/. При этом могут возникать проблемы — гость находится на vlan3, по мосту передан в DMZ. Отсутствует маршрут, по которому он может достичь unifi_ip:unifi_http_portal_port.

В сценарии, приведенном выше, одним из решений проблемы является добавление правил на Вашем маршрутизаторе.

  1. Добавим маршрут для трафика DMZ->unifi_ip

  2. Разрешим DMZ->unifi_ip:unifi_http_portal_port

Другое решение: предвидя такую ситуацию изменить масштаб — перенести рабочий контроллер в NOC или облако.

Все авторские права и другие права интеллектуальной собственности на данные материалы являются собственностью Компании «Рутстор» (ROOTSTORE). При использовании данного материала ссылка на сайт rootstore.ru обязательна.

Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля
Заказать звонок



Купить в 1 клик