Время работы: Пн-Пт 10:00-18:00

Заказать звонок

Нажимая на кнопку, вы даете свое согласие на
обработку персональных данных

Заказ в один клик

Нажимая на кнопку, вы даете свое согласие на
обработку персональных данных

Техинфо

UniFi — как назначить тег трафику VLAN?

19.11.2016

Ответ

Краткий ответ следующий: точка доступа UniFi AP тегирует пакеты, когда они выходят из WLAN в проводную сеть. Когда из проводной сети поступает тегированный трафик, то тег с него снимается и этот трафик передается в WLAN. Для лучшего понимания реальных конфигураций коммутаторов, готовых к поддержке VLAN, мы скомпилировали пример развертывания.

Тегирование трафика и отмена тегирования
  1. Трафик, инициированный в направлении от АР является нетегированным (посылается через br0). Он включает в себя трафик управления и трафик RADIUS, как описано ниже:

    1. AP <-> Контроллер (трафик управления)

    2. AP <-> RADIUS (когда используется WPA-Enterprise)

  2. Трафик от WLAN без сконфигурированных VLAN является нетегированным (athX соединен мостом с br0).

  3. Трафик от WLAN с сконфигурированными VLAN всегда тегированный (athX соединен мостом с br0.VLAN и с eth0.VLAN):

    1. AP <-> RADIUS (когда используется WPA-Enterprise)

    2. Станция -> AP (с тегами) -> коммутатор

    3. Станция <- AP (без тегов) <- коммутатор

Неважно, был ли трафик перенаправлен (на гостевой портал) или нет. Когда WLAN сконфигурирована с VLAN, трафик, покидающий АР, будет тегированным. Однако, после того, как трафик тегируется AP, он попадает к Вам и далее должен быть пропущен в восходящий поток. Пример: Моя сеть управления: 10.0.0.0/24 Гостевая сеть VLAN: 15.0.0.0/24 Коммутатор: AP подключена к порту 5 (vlan1-нетегированная и vlan5-тегированная) Ubuntu подключена к порту 1 (vlan1-нетегированная и vlan5-тегированная) Контроллер подключен к порту 8 (vlan1-нетегированная) Ubuntu (работает, как маршрутизатор) eth0: 10.0.0.2/24, может быть маршрутизован в Internet (шлюз 10.0.0.1) eth0.5: 15.0.0.1/24, через NAT связан с eth0 Контроллер находится в 10.0.0.26

Гостевые порталы

Естественно предполагать, что сеть VLAN используется для гостевого доступа, при этом гости помещенные в их собственную VLAN, изолированы от других частей сети. Однако при этом существует несколько технических моментов, которые следует обсудить. Начнем с базового развертывания VLAN, при котором гостевой портал не включен. 1. UniFi AP тегирует трафик wlan->wire 2. Трафик AP-Контроллер является нетегированным 3. Контроллер, скорее всего, работает на нетегированном интерфейсе 4. Внутри AP сконфигурировано: гость --- br0.3 --- eth0.3 --3--+ br0 ------------------+--u,3---порт1 корпоративный клиент -----+ Пример развертывания:
  • порт8 соединяем с портом DMZ маршрутизатора, добавляем порт8 в vlan3 и удаляем теги. Включаем DHCP-сервер на Вашем DMZ;

  • порт5 соединяем с внутренней сетью, оставляем порт5 нетегированным.

Что происходит, когда гостевой портал включен с VLAN? Когда гостевой портал включен, контроллер работает, как сервер портала и гости будут перенаправлены в http://unifi_ip:unifi_http_portal_port/guest/. При этом могут возникать проблемы - гость находится на vlan3, по мосту передан в DMZ. Отсутствует маршрут, по которому он может достичь unifi_ip:unifi_http_portal_port. В сценарии, приведенном выше, одним из решений проблемы является добавление правил на Вашем маршрутизаторе.
  1. Добавим маршрут для трафика DMZ->unifi_ip

  2. Разрешим DMZ->unifi_ip:unifi_http_portal_port

Другое решение: предвидя такую ситуацию изменить масштаб - перенести рабочий контроллер в NOC или облако.

Возврат к списку

Cambium Networks RFelements Engenius Itelite Mikrotik Logovawe Npower Edimax Deliberant Ubiquinti