Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Нужна помощь с VLAN, UniFi Network
 
#1
13.04.2012 21:21:00
Я уже публиковал сообщение с просьбой помочь составить план действий изначально: https://community.ui.com/questions/60a2a54a-a21f-42d2-9add-d26196bfd6f9

Сейчас я дошёл до этапа настройки всего оборудования. Кратко: хочу, чтобы на каждом Unifi AP было две беспроводные сети — защищённая WPA2 сеть с доступом к ресурсам сети и гостевая сеть, которая будет давать только фильтрованный (Untangle) доступ в интернет. У меня есть коммутатор HP с VLAN1 — это моя защищённая сеть, и VLAN2 — гостевая сеть. Планирую, что Mikrotik будет раздавать DHCP по запросам на VLAN2, а наш сервер Windows 2008 — отвечать на запросы на VLAN1.

Итак, порты 1–24 настроены как untagged на VLAN1. Порты 1–10 — tagged на VLAN2. Идея в том, чтобы все мои Unifi AP были подключены к портам 1–10.

Далее будет роутер Mikrotik с двумя интерфейсами: один для VLAN1, другой для VLAN2. План такой — направлять трафик из VLAN2 в интернет, который доступен через VLAN1.

Первая проблема, с которой столкнулся — настройка первого AP. Я в расширенных настройках пытаюсь назначить защищённый SSID на VLAN1, чтобы он мог общаться с остальной сетью. Но там указано использовать VLAN ID 2–4095. Значит, нельзя назначить VLAN1? Если так, что тогда делать?

Как вам в целом такой план? Я ещё не включал гостевую сеть, сначала хочу убедиться, что защищённая сеть работает.

Прикрепил простой рисунок. Если нужна дополнительная информация — спрашивайте.
 
 
 
#2
18.08.2012 09:01:00
Мой мозг сейчас взрывается.
 
 
 
#3
18.08.2012 03:07:00
Спасибо вам обоим за помощь с Mikrotik, особенно на форуме ubnt. 😀 Там у меня особо не получается найти помощь. Возможно, мой вопрос там слишком общий, а здесь ответов гораздо больше. Я прочитаю ваши сообщения, попробую всё осмыслить и понять, что к чему. Я знаю, что дроби — мои друзья, но вот с VLAN я пока не уверен.
 
 
 
#4
17.08.2012 21:11:00
Я с уважением не согласен. Я уже дал свои советы и больше не буду писать.
 
 
 
#5
17.08.2012 21:06:00
Если у меня есть работа, я научусь делать её правильно. Я никогда не встречал человека, который занимается этим профессионально и использует два кабеля. К тому же, я уже дал всю необходимую информацию. Назначьте оба VLAN'а на интерфейс Routerboard, который идёт к свитчу. Обозначьте оба VLAN'а как tagged на порту свитча, который с ним соединён. На самом деле всё так просто. Устройства Mikrotik не поддерживают untagged VLAN'ы (как и большинство решений на базе Linux). После этого маршрутизация происходит так же, как если бы у вас было два физических интерфейса, только теперь NAT и остальные правила фаервола настраиваются на интерфейс VLAN, а не на Ethernet-интерфейс. Кроме создания VLAN'ов и добавления их на Ethernet-интерфейс, в настройке роутера нет никакой дополнительной сложности по сравнению с вашей схемой. Но при этом используется меньше кабелей, меньше портов на свитче, и сама конфигурация свитча получается проще. Вот почему один способ лучше другого. Ах да, забыл сказать — на управляемых свитчах Linksys нужно отключить PVID на порту, который идёт к Routerboard, так что вот эту ошибку я допустил...
 
 
 
#6
17.08.2012 20:45:00
Я не уверен, что один способ лучше другого. Мое предложение кажется чуть более логичным для тех, кто не знаком с происходящим. Конечно, можно использовать один кабель с двумя тегированными VLAN на каждом конце, но тогда настройка на роутере становится немного сложнее, потому что приходится работать с VLAN-интерфейсами, а не с физическими. Итог тот же, но ты не предоставил всю необходимую информацию для реализации, а те данные, что есть, не совпадают с моей схемой.
 
 
 
#7
17.08.2012 20:36:00
Я понимаю, что ты хочешь сказать, но тогда придется использовать два кабеля, чтобы сделать то, что с одним кабелем можно сделать с помощью VLAN Tagging. Ведь в этом, собственно, и заключается смысл VLAN в целом. Твоя схема сработает, но есть более простой и правильный способ.
 
 
 
#8
17.08.2012 20:34:00
Нигде в моём примере я не говорил подключать в Mikrotik кабель с тегами и без тегов. Оба порта на коммутаторе HP, которые подключены к Mikrotik, должны быть без тегов.
 
 
 
#9
17.08.2012 20:30:00
Mikrotik должен подключаться к порту коммутатора, который настроен как tagged для обеих VLAN. Mikrotik не может использовать одновременно tagged и untagged на одном порту. Сделайте последний порт коммутатора tagged для VLAN 1 и 2, и добавьте обе VLAN на интерфейс роутерборда, который к этому порту подключается.
 
 
 
#10
17.08.2012 19:14:00
По моему предложению, на Mikrotik вообще не будет VLAN, о которых нужно беспокоиться. Только маршрутизация уровня 3.
 
 
 
#11
17.08.2012 18:48:00
Судя по моему опыту, все VLAN-ы на Mikrotik имеют доступ друг к другу, если только вы это специально не заблокируете.
 
 
 
#12
17.08.2012 17:52:00
Да, мой 5412zl — это коммутатор уровня 3 (на самом деле роутер!). Мои другие коммутаторы HP и Dell — только уровня 2. То, что я нарисовал, можно сделать именно так, как я объяснил… если, конечно, я объяснил достаточно понятно 😛 Если настроить VLAN, как я сказал, самая сложная часть — это поднять маршрутизацию на Mikrotik. Даже можно подумать о том, чтобы настроить на Mikrotik NAT для гостевой Wi-Fi, чтобы было проще, тогда не придётся возиться с маршрутами на роутере Untangle/вышестоящем.

Как показано на схеме, VLAN2 не будет иметь доступа к VLAN1, пока вы явно не разрешите это на Mikrotik. Когда маршрутизация заработает, я предполагаю, что можно настроить маршрутизацию или её запрет в зависимости от источника и/или назначения (у HP, Cisco и Extreme для этого есть AccessLists), так что гостям будет разрешён проход только к следующему шлюзу (с Mikrotik на устройство Untangle).
 
 
 
#13
17.08.2012 17:40:00
jerryellis – Это выглядит ТОЧНО так, как я пытаюсь сделать. Только вот ты сказал, что используешь свой HP свитч для маршрутизации VLAN. А мой HP 2520G свитч не умеет делать маршрутизацию. Поэтому я планировал, чтобы маршрутизацию делал мой Mikrotik.
 
 
 
#14
17.08.2012 16:07:00
Посмотри на каракули на моей доске, чтобы убедиться, что я правильно понял, чего ты хочешь. Если это именно то, что тебе нужно, то способ, который я объяснил, сработает. Моя сеть разделена на 8 VLAN и 3 беспроводные сети на 3 разных VLAN. Все мои точки доступа могут предоставить доступ к любой из этих трех Wi-Fi сетей. Всё работает на миксе коммутаторов HP и Dell, с маршрутизатором/фаерволом Juniper, который подключает меня к интернету. Для маршрутизации VLAN я использую коммутатор HP 5412zl, на котором настроено несколько списков доступа, ограничивающих доступ публичных и студенческих VLAN к моим защищённым VLAN. У каждой сети свой DHCP-сервер. Недавно я добавил в сеть UAP и UAP-PRO для тестирования — работают отлично. Я уверен, что способ, который я рассказал, сработает, потому что у меня сеть настроена примерно так же, только чуть больше. Вся магия в маршрутизации на твоём LAN-маршрутизаторе (в твоём случае — Mikrotik). *ПРОВЕРКА: единственные Tagged-порты — это два порта для VLAN2, которые подключены к Unifi AP. Я знаю, что нарисовал для точек доступа две разные линии (красную и синюю), но на самом деле это один кабель с VLAN1 без тегов и VLAN2 с тегами для каждой точки доступа.
 
 
 
#15
17.08.2012 15:46:00
Понятно и чётко. Концепция тегированных VLAN-портов не совсем очевидна для некоторых людей.
 
 
 
#16
17.08.2012 14:51:00
Создай два разных DHCP на своем MikroTik, например, сеть 192.168.100.0/24 относится к vlan2, тогда создай DHCP-сервер на интерфейсе vlan2 для этого. Чтобы запретить доступ между интерфейсами — всё очень просто. Например, если vlan1 не должен общаться с vlan2, просто настрой в MikroTik правило: in-interface=vlan1, out-interface=vlan2, action=drop. Лол, думаю, тебе стоит спросить подробности на форумах MikroTik по настройке файрвола. Лол, спасибо!
 
 
 
#17
17.08.2012 14:07:00
jerryellis — Одна вещь, которую я хочу сделать, — это разделить две сети. Я хочу, чтобы гости использовали другой DHCP-сервер и чтобы их трафик не попадал в остальную часть нашей сети, кроме интернет-трафика. Также я хочу использовать только один LAN-интерфейс на моём Untangle-файрволе.

Так что я думал, если трафик будет на VLAN2, он будет виден только mikrotik, так как только он и коммутатор HP знают про VLAN2. mikrotik будет раздавать IP-адреса через свой DHCP-сервер и при этом маршрутизировать интернет-трафик к моему Untangle-файрволу, блокируя всё остальное, что пытается попасть в мою внутреннюю сеть.

Понятно, о чём я? Думаю, для этого нужен VLAN. По моему мнению, то, что предлагает myronray, — именно то, что мне нужно. Но я бы хотел получить больше пояснений о том, как именно это сделать.
 
 
 
#18
17.08.2012 13:20:00
Существует множество способов добиться того, чего вы хотите, то, что пытается предложить myronray, может сработать, если немного подробнее объяснить. Но приведённый мной пример — самый простой вариант, который я смог придумать, так как он не требует настройки VLAN на Mikrotik.
 
 
 
#19
17.08.2012 13:15:00
Привет! Мой английский не очень, но, думаю, могу помочь с твоей проблемой. Всё, что нужно сделать — это на твоём Mikrotik (например, Mikrotik rb450g, у которого 5 Ethernet-портов) создать на ether5 два VLAN'а: vlan1 и vlan2. Затем на HP-свитче на порту 1 создать транковый порт с тегами vlan1 и vlan2. Если хочешь подключить свой ПК к сети vlan1, подключай его к порту 2 на HP-свитче и сделай этот порт нетегированным. Напиши, работает ли. Я делал так много раз, и у меня всегда получалось. Спасибо!
 
 
 
#20
17.08.2012 13:05:00
Думаю, ты немного неправильно понял, как работают tagged и untagged порты. Попробую объяснить чуть понятнее. Например: ты на своём коммутаторе HP настраиваешь порт с VLAN1 UNTAGGED и VLAN2 TAGGED для работы с Ubiquiti AP. Весь трафик для VLAN2 помечается тегом на AP и отправляется по проводу на коммутатор, где коммутатор видит тег VLAN2, снимает его и отправляет трафик в нужную VLAN (VLAN2). Теги нужны только для того, чтобы трафик мог проходить через порт с несколькими VLAN, и теги существуют только между tagged портами. Если же ты подключаешь VLAN1 и VLAN2 к Mikrotik на разные UNTAGGED порты, то Mikrotik просто не знает, что у тебя VLAN есть, потому что трафик идёт без тегов (не принадлежит ни к одной VLAN). Поэтому тебе остаётся только заниматься уровнем 3, то есть маршрутизацией трафика.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)