VLAN per la separazione del traffico WiFi (novità di VLANing)

9

Gestisco una rete scolastica con switch in diversi dipartimenti. Tutto viene instradato attraverso uno switch centrale per accedere ai server.

Vorrei installare i punti di accesso WiFi nei vari reparti e fare in modo che questo venga instradato attraverso il firewall (una casella Districare che può captive-portal il traffico, per fornire l'autenticazione) prima che arrivi sulla LAN o su Internet.

So che le porte a cui si collegano gli AP sui relativi switch devono essere impostate su una VLAN diversa. La mia domanda è come configurare queste porte. Quali sono taggati? Quali sono senza tag? Ovviamente non voglio interrompere il normale traffico di rete.

Ho ragione nel dire:

  • La maggior parte delle porte dovrebbe essere VLAN 1 NON TAGGATA?
  • Quelli a cui sono collegati AP Wi-Fi dovrebbero essere UNTAGGED VLAN 2 (solo)
  • I collegamenti verso l'alto dell'interruttore centrale devono essere TAGGED VLAN 1 e TAGGED VLAN 2
  • Le porte di ingresso dello switch centrale dagli switch esterni dovrebbero essere TAGGED VLAN 1 e TAGGED VLAN 2
  • Vi saranno due collegamenti al firewall (ciascuno sulla propria scheda NIC), una VLAN 1 NON TAGGED (per il normale traffico di accesso a Internet) e una VLAN 2 UNTAGGED (per l'autenticazione del portale captive).

Ciò significa che tutto il traffico wireless verrà instradato su una singola scheda NIC che aumenterà anche il carico di lavoro per il firewall. In questa fase, non sono preoccupato per quel carico.

Uno schizzo approssimativo della rete

networking  wifi  vlan 
Philip
fonte
OK, qualcos'altro che ho imparato: TAGGED / UNTAGGED si riferisce al traffico OUTGOING - se è taggato, UNTAGGED rimuoverà il tag mentre procede e TAGGED ne aggiungerà uno. PVID parla del traffico in entrata senza tag - raccoglierà il valore PVID assegnato alla porta su cui è entrato ...
Philip
Un vlan viene "taggato" quando il traffico è logicamente ma non fisicamente separato, ovvero viaggia lungo lo stesso cavo Ethernet verso un altro switch o computer. È necessario prestare attenzione nelle configurazioni VLAN con tag per utilizzare solo VLAN con tag su segmenti di rete che sono completamente sotto controllo amministrativo. Nella tua mappa, le VLAN possono essere taggate o utilizzare segmenti ethernet paralleli tra lo switch centrale e gli altri switch. È inoltre possibile utilizzare VLAN con tag tra l'interruttore centrale e il firewall per mantenere il traffico separato fino al confine.
Stephanie,

Risposte:

5

È vicino a ciò che abbiamo, fino al gateway Untangle. Lo facciamo in modo leggermente diverso, però. Aiuta a visualizzare se si parte da una rete completamente piatta senza vlans. Rappresentalo con tutto ciò che non ha tag su vlan 1.

Ora vogliamo aggiungere il supporto per il traffico wifi su vlan 2. Per fare ciò, imposta entrambe le estremità di ogni linea (linee che collegano due switch) in modo che siano taggate anche per vlan 2. Non è necessario cambiare vlan 1 da senza tag a taggato , come fai nella proposta corrente; tutto quello che devi fare è aggiungere la porta come membro taggato di vlan 2. Inoltre, le porte che necessitano di parlare con i client wireless dovrebbero essere aggiunte come membri taggati di vlan 2. Ciò include la porta a cui è connesso il tuo server districante e le porte per qualsiasi server (come dhcp) che il traffico wifi dovrebbe essere in grado di vedere senza routing. Ancora una volta, vuoi lasciarli senza tag su vlan 1; aggiungili anche come membri taggati di vlan 2.

Una chiave importante qui è che il nostro switch centrale supporta il routing di livello 3 e abbiamo un ACL che ci dice quando è permesso instradare il traffico da un vlan all'altro. Ad esempio, tutte le nostre stampanti e il nostro server di stampa sono su Vlan 1. Utilizziamo un pacchetto software sul server di stampa per contare i lavori e fatturare agli studenti l'utilizzo della stampa, quindi vogliamo consentire al traffico wifi di raggiungere il server di stampa. NON vogliamo consentire al traffico Wi-Fi di colpire direttamente le singole stampanti, il che aggirerebbe tale software e quindi le stampanti sono limitate nella LCA, ma il server di stampa è autorizzato.

Dovrai anche fare un po 'di lavoro sulla tua scatola districante, a seconda di come sono impostate le cose. Guarda sotto Config->Networking->Interfacese modifica la tua interfaccia interna. Lì vuoi vedere l'indirizzo IP primario del server districare e la maschera di rete impostati per un indirizzo sulla tua sottorete vlan 1. Abbiamo anche una configurazione Alias ​​indirizzo IP per ogni vlan che utilizziamo, politiche NAT definite per ciascun indirizzo di rete vlan e maschera di rete e rotte per ogni vlan per inviare il traffico per quei vlan all'interfaccia interna.

Dovrei aggiungere che eseguiamo il nostro districare in modalità router con un'unica interfaccia interna e abbiamo dhcp / dns su un server Windows. La configurazione potrebbe essere diversa se si utilizza la modalità bridge o si desidera eseguire dhcp / dns in modo da districare o utilizzare interfacce separate per ciascuna rete.

Ora la tua rete è pronta per aggiungere punti di accesso. Ogni volta che aggiungi un punto di accesso alla rete, imposta la sua porta come senza tag per vlan 2 e taggata per vlan 1. Quel tag vlan 1 qui è facoltativo, ma spesso lo trovo utile.

Infine, a seconda delle dimensioni dell'installazione, potresti scoprire che un vlan per il wifi non è sufficiente. In genere, vuoi mantenerlo online per circa un / 24 di clienti alla volta. Meno è meglio. Non più di questo e il traffico di trasmissione inizierà a consumare il tuo tempo di trasmissione. Puoi cavartela con spazi indirizzo più grandi (diciamo, / 22), purché tutti gli indirizzi non siano in uso contemporaneamente. Ecco come lo gestiamo qui. Sostengo circa 450 studenti universitari residenziali su un singolo SSID con una sottorete / 21, ma lo sto davvero allungando e probabilmente dovrei iniziare a ritagliare i miei compiti in modo che il traffico trasmesso dagli studenti in diversi edifici non interferisca l'uno con l'altro. Se si tratta più di un unico grande edificio come un liceo, probabilmente vorrai scegliere SSID diversi per vlan. Se fosse

Si spera che il tuo fornitore di controller / wifi copra tutto ciò, ma se sei come noi non hai i fondi per $ 600 / punto di accesso o $ 3000 + per unità controller. Vale la pena ricordare che è possibile utilizzare semplici router consumer come punti di accesso disattivando dhcp e utilizzando una porta LAN anziché una porta WAN per l'uplink. Ti perderai alcuni rapporti e regolazioni automatiche di potenza e canale, ma con alcuni buoni punti di accesso e un attento lavoro di configurazione puoi mettere insieme una rete abbastanza grande in questo modo.

Joel Coel
fonte
1

Sì, sembra che tu abbia una buona comprensione di come le cose devono essere configurate. Hai ragione nel supporre che tutto il traffico tra le VLAN dovrà attraversare il firewall, quindi dovrai assicurarti che gli ACL siano messi in atto per consentire quel traffico. L'unico modo per rimuovere questo carico dal firewall sarebbe ottenere uno switch L3.

EEAA
fonte
Il traffico sul firewall non è un grosso problema. Siamo ancora una piccola rete (meno di 200 nodi in totale). Il traffico sul wireless dovrebbe essere sostanzialmente inferiore rispetto a quello via cavo e probabilmente sarà destinato alla rete (80% - 90%, immagino), quindi dovrebbe essere elaborato dal firewall comunque.
Filippo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.