Ответ
Краткий ответ следующий: точка доступа UniFi AP тегирует пакеты, когда они выходят из WLAN в проводную сеть. Когда из проводной сети поступает тегированный трафик, то тег с него снимается и этот трафик передается в WLAN. Для лучшего понимания реальных конфигураций коммутаторов, готовых к поддержке VLAN, мы скомпилировали пример развертывания.
Тегирование трафика и отмена тегирования
-
Трафик, инициированный в направлении от АР является нетегированным (посылается через br0). Он включает в себя трафик управления и трафик RADIUS, как описано ниже:
-
AP <-> Контроллер (трафик управления)
-
AP <-> RADIUS (когда используется WPA-Enterprise)
-
Трафик от WLAN без сконфигурированных VLAN является нетегированным (athX соединен мостом с br0).
-
Трафик от WLAN с сконфигурированными VLAN всегда тегированный (athX соединен мостом с br0.VLAN и с eth0.VLAN):
-
AP <-> RADIUS (когда используется WPA-Enterprise)
-
Станция -> AP (с тегами) -> коммутатор
-
Станция <- AP (без тегов) <- коммутатор
Неважно, был ли трафик перенаправлен (на гостевой портал) или нет. Когда WLAN сконфигурирована с VLAN, трафик, покидающий АР, будет тегированным. Однако, после того, как трафик тегируется AP, он попадает к Вам и далее должен быть пропущен в восходящий поток. Пример: Моя сеть управления: 10.0.0.0/24 Гостевая сеть VLAN: 15.0.0.0/24 Коммутатор: AP подключена к порту 5 (vlan1-нетегированная и vlan5-тегированная) Ubuntu подключена к порту 1 (vlan1-нетегированная и vlan5-тегированная) Контроллер подключен к порту 8 (vlan1-нетегированная) Ubuntu (работает, как маршрутизатор) eth0: 10.0.0.2/24, может быть маршрутизован в Internet (шлюз 10.0.0.1) eth0.5: 15.0.0.1/24, через NAT связан с eth0 Контроллер находится в 10.0.0.26
Гостевые порталы
Естественно предполагать, что сеть VLAN используется для гостевого доступа, при этом гости помещенные в их собственную VLAN, изолированы от других частей сети. Однако при этом существует несколько технических моментов, которые следует обсудить. Начнем с базового развертывания VLAN, при котором гостевой портал не включен. 1. UniFi AP тегирует трафик wlan->wire 2. Трафик AP-Контроллер является нетегированным 3. Контроллер, скорее всего, работает на нетегированном интерфейсе 4. Внутри AP сконфигурировано: гость --- br0.3 --- eth0.3 --3--+ br0 ------------------+--u,3---порт1 корпоративный клиент -----+ Пример развертывания:
-
порт8 соединяем с портом DMZ маршрутизатора, добавляем порт8 в vlan3 и удаляем теги. Включаем DHCP-сервер на Вашем DMZ;
-
порт5 соединяем с внутренней сетью, оставляем порт5 нетегированным.
Что происходит, когда гостевой портал включен с VLAN? Когда гостевой портал включен, контроллер работает, как сервер портала и гости будут перенаправлены в http://unifi_ip:unifi_http_portal_port/guest/. При этом могут возникать проблемы - гость находится на vlan3, по мосту передан в DMZ. Отсутствует маршрут, по которому он может достичь unifi_ip:unifi_http_portal_port. В сценарии, приведенном выше, одним из решений проблемы является добавление правил на Вашем маршрутизаторе.
-
Добавим маршрут для трафика DMZ->unifi_ip
-
Разрешим DMZ->unifi_ip:unifi_http_portal_port
Другое решение: предвидя такую ситуацию изменить масштаб - перенести рабочий контроллер в NOC или облако.