Как заставить Unifi AP AC работать с Juniper SRX.

Как заставить Unifi AP AC работать с Juniper SRX., UniFi Network

jenius

Guest

05.08.2014 10:13:00

Привет, ребята! Сейчас пытаюсь настроить контроллер AP для офиса, но кажется, что возникли проблемы. В общем, не могу пропинговать AP после подключения к фаерволу. Моя конфигурация такая:

- Juniper SRX с портом в режиме trunk.
- Native VLAN установлен в 2.
- Трафик к AP: немаркированный трафик 2, маркированный 3 и 70.

Я что-то упускаю?

Tozzje

Guest

19.12.2017 10:37:00

Хочу добавить, что я столкнулся с этой проблемой на коммутаторе Juniper EX. По умолчанию, при запуске ezsetup, Juniper настраивает VLAN-ы другим образом. Он делает что-то вроде:

set vlans VLAN-NAME interface ge-X/Y/Z

Это мешает этой конфигурации:

# run show configuration interfaces ge-0/0/3
description Unifi-AP;
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members Guest;
}
native-vlan-id Office;
}
}

В итоге получается неожиданное поведение, когда трафик для VLAN Office передается и с тегом, и без него, что можно увидеть здесь:

# run show ethernet-switching interfaces ge-0/0/3
Interface State VLAN members Tag Tagging Blocking
ge-0/0/3.0 up Office 1386 untagged unblocked
Guest 1100 tagged unblocked
Office 1386 tagged unblocked

Решение — удалить порт из блока конфигурации VLAN:

# delete vlans Office interface ge-0/0/3.0

SockGap

Guest

06.08.2016 13:18:00

Не переживай — кажется, я это решил. Juniper, похоже, "помечает" трафик из VLAN, если VLAN указан в списке "участников". Это игнорирует команду "native". И это относится к трафику со "свитча на порт" (а не "с порта на свитч" или "от AP"). Не уверен, что это имеет смысл, но здесь уже поздно. Конфиг, который я пытался использовать, был таким:
user@BNE-SW01# show interfaces ge-0/0/31
description "** to UAP-AC-BNE-1 - 192.168.10.41/32 **";
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members [ v1-INTERNAL v1010-WIFI-GUEST ];
}
native-vlan-id 1;
}
}
Работает такой конфиг:
user@BNE-SW01# show interfaces ge-0/0/31
description "** to UAP-AC-BNE-1 - 192.168.10.41/32 **";
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members v1010-WIFI-GUEST;
}
native-vlan-id 1;
}
}
Натолкнуло на мысль помощь по команде:
user@BNE-SW01# set interfaces ge-0/0/31 unit 0 family ethernet-switching vlan members ?
Possible completions:
<name> VLAN name, tag or range string
[ Open a set of values
all All VLANs
v1-INTERNAL tag(1)
v1010-WIFI-GUEST tag(1010)
...etc...
Заметил, что написано "tag(1)". Это заставило меня подумать: "Действительно ли он помечает трафик на пути со свитча к AP?". И, похоже, именно это он и делает. Так что, если не указывать VLAN, который нужно сделать "native", в списке "members", трафик не помечается. Кажется, теперь это просто и очевидно, когда я это изложил. Я думал, что должен добавить его туда, чтобы "разрешить" прохождение, но он и так проходит, потому что он "native".
Извини за длинный пост – я люблю оставлять немного деталей для тех, кто может искать ту же проблему. Надеюсь, это поможет и OP тоже.

SockGap

Guest

06.08.2016 12:21:00

Я так думаю. Я новичок в UniFi. Я также установил 5.0.7 на CentOS. Работает отлично – по-моему, проблема в коммутаторе. Оба UAP были обновлены до версии 3.7.5.4969. В разделе "Настройки" > "Беспроводные сети" я создал две сети:
- Guest – включена, использует WPA и имеет ID VLAN 1010 (и все остальные флажки сняты);
- Corp – включена, использует WPA и все остальные флажки сняты.
Я не могу указать VLAN, так как эта подсеть является подсетью по умолчанию и использует ID VLAN 1. UniFi сервер, UAP и Corp Wifi все находятся в одной подсети – 192.168.10.0/24. Судя по этой странице, под заголовком "UniFi контроллер" написано: "НЕ задавайте ID VLAN. Это потому, что VLAN 10 уже не имеет тега на портах AP, подключенных к коммутатору, поэтому мы позволим коммутатору об этом позаботиться". Это моё понимание того, как я настроил Juniper – VLAN 1 разрешен и является нативной (немаркированной) VLAN. В разделе "Настройки" > "Сети" я также указал две сети:
- Guest – Назначение: Гостевая, Группа сетей: LAN, IP-подсеть 10.10.10.1/24, ID VLAN 1010;
- LAN – Назначение: Корпоративная, Группа сетей: LAN, IP-подсеть 192.168.10.1/24.
У сети LAN больше нет возможности указать ID VLAN. Я мог бы создать новую сеть, но я все равно не могу указать ID VLAN 1 (который используется на Juniper для этой подсети). Нужно ли где-то «включить VLAN»?

Fireblade Guest	#5 06.08.2016 07:59:00 Ты включил VLAN и указал VLAN ID в разделе "Беспроводные сети" > "SSID" > "Дополнительные параметры"?

SockGap Guest	#6 06.08.2016 07:53:00 У меня сейчас похожая ситуация. Купил две новые UAP-AC-Lite точки доступа и пытаюсь настроить их так, чтобы один из SSID был в другой VLAN. Обе точки доступа подключены к Juniper EX2200. Использую PoE-инжектор от Ubiquiti. Когда я настраиваю порт на коммутаторе Juniper как Access, всё работает отлично. Могу пинговать устройства и управлять ими в Unifi. Как только я пытаюсь изменить сетевой порт на Trunk, я больше не могу их пинговать. Не имеет значения, задан ли native-vlan-id или нет. (Native-vlan-id должен позволять помещать нетегированные пакеты в указанный VLAN — это как команда Cisco «switchport trunk native vlan 1»). Я изучил справочные страницы, где указаны команды Cisco для использования, и, кажется, использую эквивалентные команды Juniper. Нужно ли что-то делать на UAP-AC-Lite, чтобы включить теги VLAN?

Читают тему (гостей: 1)