Vlan để phân tách lưu lượng WiFi (mới đối với Vlaning)

Tôi điều hành một mạng lưới trường học với các thiết bị chuyển mạch trong các phòng ban khác nhau. Tất cả được chuyển qua một công tắc trung tâm để truy cập các máy chủ.

Tôi muốn cài đặt các điểm truy cập WiFi ở các bộ phận khác nhau và điều này được chuyển qua tường lửa (một hộp Untangle có thể lưu giữ cổng thông tin lưu lượng, để cung cấp xác thực) trước khi truy cập mạng LAN hoặc Internet.

Tôi biết rằng các cổng mà các AP kết nối trên các thiết bị chuyển mạch có liên quan cần phải được đặt thành một Vlan khác. Câu hỏi của tôi là làm thế nào để tôi cấu hình các cổng này. Cái nào được gắn thẻ? Mà không được đánh dấu? Tôi rõ ràng không muốn làm gián đoạn lưu lượng mạng bình thường.

Tôi có đúng không khi nói:

• Phần lớn các cổng nên là UNTAGGED Vlan 1?
• Những người có AP WiFi được đính kèm phải là UNTAGGED Vlan 2 (chỉ)
• Các liên kết đến công tắc trung tâm phải là TAGGED Vlan 1 và TAGGED Vlan 2
• Các cổng đến của công tắc trung tâm từ các công tắc ngoại vi cũng phải là TAGGED Vlan 1 và TAGGED Vlan 2
• Sẽ có hai liên kết đến tường lửa (mỗi liên kết với nhau), một Vlan 1 UNTAGGED (đối với lưu lượng truy cập internet thông thường) và một Vlan 2 UNTAGGED (để xác thực cổng thông tin bị giam cầm).

Điều này không có nghĩa là tất cả lưu lượng truy cập không dây sẽ được định tuyến qua một NIC duy nhất cũng sẽ tăng khối lượng công việc cho tường lửa. Ở giai đoạn này, tôi không quan tâm đến tải đó.

Điều đó gần với những gì chúng ta có, ngay đến cổng Untangle. Chúng tôi làm điều đó một chút khác nhau, mặc dù. Nó giúp trực quan hóa nếu bạn bắt đầu từ một mạng hoàn toàn phẳng không có vlans. Thể hiện điều này với mọi thứ chưa được đánh dấu trên vlan 1.

Bây giờ chúng tôi muốn thêm hỗ trợ cho lưu lượng wifi trên vlan 2. Để thực hiện việc này, hãy đặt cả hai đầu của mỗi đường trung kế (đường nối hai công tắc) cũng được gắn thẻ cho vlan 2. Không cần phải chuyển vlan 1 từ không được gắn thẻ sang được gắn thẻ , như bạn làm trong đề xuất hiện tại của bạn; tất cả những gì bạn cần làm là thêm cổng dưới dạng thành viên được gắn thẻ của vlan 2. Ngoài ra, các cổng cần nói chuyện với khách hàng không dây nên được thêm vào dưới dạng thành viên được gắn thẻ của vlan 2. Điều này bao gồm cổng mà máy chủ gỡ rối của bạn được kết nối và các cổng cho bất kỳ máy chủ nào (như dhcp) mà lưu lượng wifi sẽ có thể nhìn thấy mà không cần định tuyến. Một lần nữa, bạn muốn để chúng không bị chặn trong vlan 1; chỉ cần thêm chúng là thành viên được gắn thẻ của vlan 2 cũng được.

Một chìa khóa quan trọng ở đây là công tắc trung tâm của chúng tôi hỗ trợ định tuyến lớp 3 và chúng tôi có ACL ở đó cho biết khi nào nó được phép định tuyến lưu lượng từ vlan này sang vlan khác. Ví dụ: tất cả các máy in và máy chủ máy in của chúng tôi đều ở trên vlan 1. Chúng tôi sử dụng gói phần mềm trên máy chủ in để đếm công việc và lập hóa đơn cho sinh viên sử dụng in, vì vậy chúng tôi muốn cho phép lưu lượng truy cập wifi vào máy chủ in. Chúng tôi KHÔNG muốn cho phép lưu lượng wifi truy cập trực tiếp vào từng máy in, điều này sẽ bỏ qua phần mềm đó và do đó, các máy in bị hạn chế trong ACL, nhưng máy chủ in được cho phép.

Bạn cũng sẽ cần phải thực hiện một số công việc trên chính hộp gỡ rối của mình, tùy thuộc vào cách mọi thứ được thiết lập. Nhìn bên dưới Config->Networking->Interfacesvà chỉnh sửa giao diện nội bộ của bạn. Ở đó bạn muốn xem Địa chỉ IP chính của máy chủ gỡ rối và Netmask được đặt cho một địa chỉ trên mạng con vlan 1 của bạn. Chúng tôi cũng có thiết lập Bí danh Địa chỉ IP cho mỗi vlan chúng tôi sử dụng, các chính sách NAT được xác định cho từng địa chỉ mạng vlan và netmask và các tuyến đường cho mỗi vlan để gửi lưu lượng truy cập cho các vlans đó đến giao diện bên trong.

Tôi nên thêm rằng chúng tôi chạy gỡ rối trong chế độ bộ định tuyến với một giao diện nội bộ duy nhất và có dhcp / dns trên hộp máy chủ windows. Thiết lập của bạn có thể khác nếu bạn sử dụng chế độ cầu hoặc muốn chạy dhcp / dns khỏi gỡ rối hoặc sử dụng các giao diện riêng cho mỗi mạng.

Bây giờ mạng của bạn đã được chuẩn bị để thêm các điểm truy cập. Bất cứ khi nào bạn thêm một điểm truy cập vào mạng, hãy đặt cổng đó là không được gắn thẻ cho vlan 2 và được gắn thẻ cho vlan 1. Thẻ vlan 1 ở đây là tùy chọn, nhưng tôi thường thấy nó hữu ích.

Cuối cùng, tùy thuộc vào kích thước cài đặt của bạn, bạn có thể thấy rằng một vlan cho wifi là không đủ. Bạn thường muốn giữ nó ở mức khoảng một / 24 khách hàng trực tuyến tại một thời điểm. Ít hơn là tốt hơn. Bất kỳ nhiều hơn thế và lưu lượng phát sóng sẽ bắt đầu ăn hết thời gian phát sóng của bạn. Bạn có thể thoát khỏi các không gian địa chỉ lớn hơn (giả sử, / 22), miễn là tất cả các địa chỉ không được sử dụng cùng một lúc. Đó là cách chúng tôi xử lý nó ở đây. Tôi hỗ trợ khoảng 450 sinh viên đại học dân cư trên một SSID duy nhất với / 21 mạng con, nhưng tôi thực sự kéo dài nó và có lẽ nên bắt đầu khắc phục các bài tập của mình để truyền phát từ các sinh viên trong các tòa nhà khác nhau không gây trở ngại cho nhau. Nếu đây là một tòa nhà lớn như trường cấp ba, bạn có thể muốn chọn các SSID khác nhau trên mỗi vlan. Nếu nó'

Hy vọng, nhà cung cấp bộ điều khiển / wifi của bạn bao gồm tất cả những điều đó, nhưng nếu bạn giống như chúng tôi, bạn không có tiền cho $ 600 / điểm truy cập hoặc $ 3000 + cho mỗi đơn vị điều khiển. Có thể đáng nhớ rằng bạn có thể sử dụng các bộ định tuyến tiêu dùng đơn giản làm điểm truy cập bằng cách tắt dhcp và sử dụng cổng LAN thay vì cổng WAN cho đường lên. Bạn sẽ bỏ lỡ một số điều chỉnh báo cáo và nguồn và kênh tự động, nhưng với một số điểm truy cập tốt và một số công việc cẩn thận khi thiết lập, bạn có thể kết hợp một mạng khá lớn theo cách này.

Vâng, âm thanh như bạn có một nắm bắt tốt về cách mọi thứ cần phải được thiết lập. Bạn đã đúng khi đoán rằng tất cả lưu lượng giữa các Vlan sẽ cần phải vượt qua tường lửa, vì vậy bạn sẽ cần đảm bảo ACL được đặt đúng chỗ để cho phép lưu lượng đó. Cách duy nhất để loại bỏ tải này khỏi tường lửa là lấy công tắc L3.