VLAN für die Trennung des WiFi-Verkehrs (neu in VLANing)


9

Ich betreibe ein Schulnetzwerk mit Schaltern in verschiedenen Abteilungen. Alles wird an einen zentralen Switch weitergeleitet, um auf die Server zuzugreifen.

Ich möchte WiFi-Zugangspunkte in den verschiedenen Abteilungen installieren und diese durch die Firewall (eine Untangle-Box, die den Datenverkehr in Gefangenschaft portieren kann, um eine Authentifizierung bereitzustellen) leiten lassen, bevor sie in das LAN oder ins Internet gelangt.

Ich weiß, dass die Ports, mit denen die APs auf den entsprechenden Switches verbunden sind, auf ein anderes VLAN eingestellt werden müssen. Meine Frage ist, wie ich diese Ports konfiguriere. Welche sind markiert? Welche sind nicht markiert? Ich möchte natürlich den normalen Netzwerkverkehr nicht unterbrechen.

Bin ich richtig zu sagen:

  • Die Mehrheit der Ports sollte UNTAGGED VLAN 1 sein?
  • Diejenigen, an die WiFi-APs angeschlossen sind, sollten UNTAGGED VLAN 2 (nur) sein.
  • Die Uplinks zum zentralen Switch sollten TAGGED VLAN 1 und TAGGED VLAN 2 sein
  • Die eingehenden Ports des zentralen Switches von den äußeren Switches sollten ebenfalls TAGGED VLAN 1 und TAGGED VLAN 2 sein
  • Es gibt zwei Links zur Firewall (jede auf ihrer eigenen Netzwerkkarte), ein UNTAGGED VLAN 1 (für normalen Internetzugang) und ein UNTAGGED VLAN 2 (für die Captive-Portalauthentifizierung).

Dies bedeutet, dass der gesamte drahtlose Datenverkehr über eine einzige Netzwerkkarte geleitet wird, wodurch auch die Arbeitslast für die Firewall erhöht wird. Zu diesem Zeitpunkt bin ich nicht besorgt über diese Last.

Eine grobe Skizze des Netzwerks


OK, noch etwas, was ich gelernt habe: TAGGED / UNTAGGED bezieht sich auf den OUTGOING-Verkehr - wenn er markiert ist, entfernt UNTAGGED das Tag, während es geht, und TAGGED fügt einen hinzu. PVID spricht über eingehenden Datenverkehr ohne Tags - nimmt den PVID-Wert auf, der dem Port zugewiesen ist, an dem er eingegangen ist ...
Philip

Ein VLAN wird "markiert", wenn der Datenverkehr logisch, aber nicht physisch getrennt ist - dh über dasselbe Ethernet-Kabel zu einem anderen Switch oder Computer geleitet wird. Bei getaggten VLAN-Konfigurationen muss darauf geachtet werden, dass getaggte VLANs nur in Netzwerksegmenten verwendet werden, die vollständig unter administrativer Kontrolle stehen. In Ihrer Karte können die VLANs entweder markiert werden oder parallele Ethernet-Segmente zwischen dem zentralen Switch und den anderen Switches verwenden. Sie können auch markierte VLANs zwischen dem zentralen Switch und der Firewall verwenden, um den Datenverkehr bis zur Grenze getrennt zu halten.
Stephanie

Antworten:


5

Das ist nah an dem, was wir haben, bis hinunter zum Untangle-Gateway. Wir machen es allerdings etwas anders. Es hilft bei der Visualisierung, wenn Sie von einem völlig flachen Netzwerk ohne vlans ausgehen. Stellen Sie dies mit allem dar, was auf vlan 1 nicht markiert ist.

Jetzt möchten wir die Unterstützung für den WLAN-Verkehr auf vlan 2 hinzufügen. Stellen Sie dazu beide Enden jeder Amtsleitung (Leitungen, die zwei Switches verbinden) so ein, dass sie auch für vlan 2 markiert werden. Es ist nicht erforderlich, vlan 1 von nicht getaggt auf getaggt umzuschalten , wie Sie es in Ihrem aktuellen Vorschlag tun; Sie müssen lediglich den Port als getaggtes Mitglied von vlan 2 hinzufügen. Außerdem sollten Ports, die mit drahtlosen Clients kommunizieren müssen, als getaggte Mitglieder von vlan 2 hinzugefügt werden. Dazu gehören der Port, mit dem Ihr Entwirrungsserver verbunden ist, und die Ports für Alle Server (wie DHCP), die der WLAN-Verkehr ohne Routing sehen kann. Auch hier möchten Sie sie auf vlan 1 ohne Tags lassen. füge sie einfach auch als getaggte Mitglieder von vlan 2 hinzu.

Ein wichtiger Schlüssel hierbei ist, dass unser zentraler Switch Layer 3-Routing unterstützt und wir dort eine ACL haben, die angibt, wann der Datenverkehr von einem VLAN zu einem anderen weitergeleitet werden darf. Beispielsweise befinden sich alle unsere Drucker und unser Druckerserver auf vlan 1. Wir verwenden ein Softwarepaket auf dem Druckserver, um Aufträge zu zählen und den Schülern die Drucknutzung in Rechnung zu stellen. Daher möchten wir, dass der WLAN-Verkehr auf den Druckserver gelangt. Wir möchten nicht, dass der WLAN-Verkehr einzelne Drucker direkt trifft, wodurch diese Software umgangen wird. Daher sind die Drucker in der ACL eingeschränkt, aber der Druckserver ist zulässig.

Sie müssen auch einige Arbeiten an Ihrer Entwirrungsbox selbst durchführen, je nachdem, wie die Dinge eingerichtet sind. Schauen Sie unter Config->Networking->Interfacesund bearbeiten Sie Ihre interne Schnittstelle. Dort möchten Sie sehen, dass die primäre IP-Adresse und die Netzmaske Ihres Entwirrungsservers für eine Adresse in Ihrem vlan 1-Subnetz festgelegt sind. Wir haben auch ein IP-Adress-Alias-Setup für jedes von uns verwendete VLAN, NAT-Richtlinien, die für jede VLAN-Netzwerkadresse und Netzmaske definiert sind, und Routen für jedes VLAN, um Datenverkehr für diese VLANs an die interne Schnittstelle zu senden.

Ich sollte hinzufügen, dass wir unser Entwirren im Router-Modus mit einer einzigen internen Schnittstelle ausführen und DHCP / DNS auf einer Windows-Server-Box haben. Ihr Setup kann anders sein, wenn Sie den Bridge-Modus verwenden oder dhcp / dns ohne Entwirrung ausführen oder separate Schnittstellen für jedes Netzwerk verwenden möchten.

Jetzt ist Ihr Netzwerk bereit, Zugriffspunkte hinzuzufügen. Wenn Sie dem Netzwerk einen Zugriffspunkt hinzufügen, setzen Sie dessen Port für vlan 2 als nicht markiert und für vlan 1 als markiert. Dieses vlan 1-Tag hier ist optional, aber ich finde es oft hilfreich.

Abhängig von der Größe Ihrer Installation stellen Sie möglicherweise fest, dass ein VLAN für WLAN nicht ausreicht. Im Allgemeinen möchten Sie die Anzahl der Kunden, die gleichzeitig online sind, auf etwa 1/24 reduzieren. Weniger ist besser. Mehr als das und der Rundfunkverkehr wird Ihre Sendezeit verschlingen. Sie können mit größeren Adressräumen (z. B. / 22) davonkommen, solange nicht alle Adressen gleichzeitig verwendet werden. So gehen wir hier damit um. Ich unterstütze ungefähr 450 Studenten in Wohngebieten auf einer einzigen SSID mit einem / 21-Subnetz, aber ich dehne es wirklich aus und sollte wahrscheinlich anfangen, meine Aufgaben zu zerlegen, damit sich der Rundfunkverkehr von Studenten in verschiedenen Gebäuden nicht gegenseitig stört. Wenn dies eher ein einzelnes großes Gebäude wie eine High School ist, möchten Sie wahrscheinlich verschiedene SSIDs pro VLAN auswählen. Wenn es'

Hoffentlich deckt Ihr Controller / WLAN-Anbieter all das ab, aber wenn Sie wie wir sind, haben Sie nicht das Geld für 600 USD / Zugangspunkt oder 3000 USD + pro Controller-Einheit. Beachten Sie möglicherweise, dass Sie einfache Consumer-Router als Zugriffspunkte verwenden können, indem Sie DHCP deaktivieren und einen LAN-Port anstelle eines WAN-Ports für den Uplink verwenden. Sie werden einige Berichte und automatische Energie- und Kanalanpassungen verpassen, aber mit einigen guten Zugangspunkten und sorgfältiger Arbeit bei der Einrichtung können Sie auf diese Weise ein ziemlich großes Netzwerk zusammenstellen.


1

Ja, hört sich so an, als hätten Sie ein gutes Verständnis dafür, wie die Dinge eingerichtet werden müssen. Sie haben Recht, wenn Sie davon ausgehen, dass der gesamte Datenverkehr zwischen VLANs die Firewall durchlaufen muss. Stellen Sie daher sicher, dass ACLs eingerichtet sind, um diesen Datenverkehr zuzulassen. Die einzige Möglichkeit, diese Last von der Firewall zu entfernen, wäre ein L3-Switch.


Der Datenverkehr auf der Firewall ist kein großes Problem. Wir sind immer noch ein kleines Netzwerk (insgesamt weniger als 200 Knoten). Der Datenverkehr auf dem WLAN sollte wesentlich geringer sein als auf dem Kabel und wird wahrscheinlich für das Netz bestimmt sein (80% - 90%, wie ich mir vorstellen kann), sodass er ohnehin von der Firewall verarbeitet werden müsste.
Philip
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.