다른 부서에 스위치가있는 학교 네트워크를 운영하고 있습니다. 모두 서버에 액세스하기 위해 중앙 스위치로 라우팅됩니다.
다른 부서에 WiFi 액세스 포인트를 설치하고 LAN 또는 인터넷에 연결하기 전에 방화벽 (트래픽을 포탈 포탈하고 인증을 제공 할 수있는 Untangle 상자)을 통해 라우팅하고 싶습니다.
관련 스위치에서 AP가 연결하는 포트를 다른 VLAN으로 설정해야한다는 것을 알고 있습니다. 내 질문은 이러한 포트를 구성하는 방법입니다. 어떤 태그가 있습니까? 태그가없는 것은 무엇입니까? 분명히 정상적인 네트워크 트래픽을 중단하고 싶지 않습니다.
나는 말하기에 정확합니까?
- 대부분의 포트는 태그가없는 VLAN 1이어야합니까?
- WiFi AP가 연결된 장치는 태그가없는 VLAN 2 여야합니다 (전용)
- 중앙 스위치로의 업 링크는 TAGGED VLAN 1 및 TAGGED VLAN 2 여야합니다.
- 외부 스위치에서 중앙 스위치의 수신 포트도 TAGGED VLAN 1 및 TAGGED VLAN 2 여야합니다.
- 방화벽에 대한 두 개의 링크 (각각 자체 NIC에 있음), 하나는 태그가없는 VLAN 1 (일반 인터넷 액세스 트래픽 용)과 하나는 UNTAGGED VLAN 2 (캡 티브 포털 인증 용)입니다.
즉, 모든 무선 트래픽이 단일 NIC를 통해 라우팅되어 방화벽의 작업 부하도 증가합니다. 이 단계에서 나는 그 부하에 대해 걱정하지 않습니다.
답변
그것은 Untangle 게이트웨이까지 우리가 가진 것에 가깝습니다. 그래도 조금 다르게합니다. VLAN이없는 완전 평면 네트워크에서 시작하면 시각화하는 데 도움이됩니다. 이것을 대표하는 모든 VLAN 1에 태그가 지정되지 않은.
이제 VLAN 2에서 Wi-Fi 트래픽에 대한 지원을 추가하려고합니다. 이렇게하려면 모든 트렁크 회선 (두 스위치를 연결하는 회선)의 양쪽 끝 을 VLAN 2에 태그로 설정하십시오. 태그 1에서 태그없는 태그로 VLAN 1을 전환 할 필요는 없습니다 현재 제안에서하는 것처럼 vlan 2의 태그가 지정된 구성원으로 포트를 추가하기 만하면됩니다. 또한 무선 클라이언트와 통신해야하는 포트는 vlan 2의 태그가있는 구성원으로 추가해야합니다. 여기에는 풀리지 않은 서버가 연결된 포트 및 포트가 포함됩니다. Wi-Fi 트래픽이 라우팅없이 볼 수있는 모든 서버 (dhcp 등) 다시, 당신은 그들에게 vlan 1에 태그가없는 상태로두기를 원합니다. vlan 2의 태그 회원으로 추가하기 만하면됩니다.
여기서 중요한 한 가지 핵심 사항은 중앙 스위치가 계층 3 라우팅을 지원한다는 것입니다. ACL에 트래픽을 한 VLAN에서 다른 VLAN으로 라우팅 할 수있는 시점을 알려주는 ACL이 있습니다. 예를 들어, 모든 프린터와 프린터 서버는 vlan 1에 있습니다. 인쇄 서버의 소프트웨어 패키지를 사용하여 작업 수를 계산하고 학생에게 인쇄 사용량을 청구하므로, Wi-Fi 트래픽이 인쇄 서버에 도달 할 수있게하려고합니다. Wi-Fi 트래픽이 개별 프린터에 직접 닿아 서 소프트웨어를 우회하는 것을 원하지 않으므로 프린터는 ACL에서 제한되지만 프린트 서버는 허용됩니다.
또한 설정 방법에 따라 엉킴 방지 상자 자체에서 작업을 수행해야합니다. Config->Networking->Interfaces
내부 인터페이스를 보고 편집하십시오. 여기에서 풀린 서버의 기본 IP 주소 및 넷 마스크가 VLAN 1 서브넷의 주소로 설정되어 있는지 확인하려고합니다. 또한 사용하는 각 VLAN에 대한 IP 주소 별칭 설정, 각 VLAN 네트워크 주소 및 넷 마스크에 대해 정의 된 NAT 정책, 각 VLAN에 대한 경로를 통해 해당 VLAN에 대한 트래픽을 내부 인터페이스로 보냅니다.
단일 내부 인터페이스로 라우터 모드에서 풀림을 실행하고 Windows 서버 상자에 dhcp / dns를 추가해야합니다. 브리지 모드를 사용하거나 연결 해제 상태에서 dhcp / dns를 실행하거나 각 네트워크에 대해 별도의 인터페이스를 사용하려는 경우 설정이 다를 수 있습니다.
이제 네트워크가 액세스 포인트를 추가 할 준비가되었습니다. 네트워크에 액세스 포인트를 추가 할 때마다 포트가 VLAN 2에 대해 태그가없는 것으로 설정되고 VLAN 1에 태그가 지정됩니다. 여기서 해당 VLAN 1 태그는 선택 사항이지만 종종 도움이됩니다.
마지막으로, 설치 크기에 따라 Wi-Fi에 대한 하나의 VLAN이 충분하지 않을 수 있습니다. 일반적으로 한 번에 약 24 명의 클라이언트에게 온라인으로 유지하려고합니다. 더 적은 것이 좋습니다. 그 이상의 방송 트래픽은 방송 시간을 먹기 시작합니다. 모든 주소가 한 번에 사용되지 않는 한 더 큰 주소 공간 (예 : / 22)으로 벗어날 수 있습니다. 그것이 우리가 여기서 다루는 방법입니다. / 21 서브넷이있는 단일 SSID에서 약 450 명의 거주 대학생을 지원하지만 실제로 확장하고 있으므로 다른 건물에있는 학생의 브로드 캐스트 트래픽이 서로 간섭하지 않도록 과제를 조각해야합니다. 이것이 고등학교와 같은 하나의 큰 건물 인 경우에는 각 플랜마다 다른 SSID를 선택하고 싶을 것입니다. 그 경우’
바라건대, 컨트롤러 / 와이파이 공급 업체가이 모든 것을 다룰 수 있지만, 당신이 우리와 같다면 컨트롤러 당 $ 600 / 액세스 포인트 또는 $ 3000 +에 대한 자금이 없습니다. dhcp를 끄고 업 링크에 WAN 포트 대신 LAN 포트를 사용하여 간단한 소비자 라우터를 액세스 포인트로 사용할 수 있다는 것을 기억해야합니다. 일부보고 및 자동 전원 및 채널 조정에 대해서는 빠뜨릴 수 있지만, 액세스 포인트가 양호하고 설정시 신중한 작업을 통해 이러한 방식으로 대규모 네트워크를 구성 할 수 있습니다.
답변
예, 설정 방법을 잘 알고있는 것 같습니다. VLAN 간의 모든 트래픽이 방화벽을 통과해야하므로 트래픽을 허용 할 ACL이 있는지 확인해야합니다. 방화벽에서이로드를 제거하는 유일한 방법은 L3 스위치를 얻는 것입니다.