VLAN para separação de tráfego WiFi (novo no VLAN)

9

Eu administro uma rede escolar com switches em diferentes departamentos. Tudo é roteado para um switch central para acessar os servidores.

Gostaria de instalar pontos de acesso Wi-Fi nos diferentes departamentos e fazer com que isso seja roteado através do firewall (uma caixa de desembaraço que pode canalizar o tráfego em cativeiro, para fornecer autenticação) antes de entrar na LAN ou na Internet.

Eu sei que as portas às quais os APs se conectam nos switches relevantes precisam ser definidas para uma VLAN diferente. Minha pergunta é como faço para configurar essas portas. Quais são marcados? Quais são desmarcados? Obviamente, não quero interromper o tráfego de rede normal.

Estou correto em dizer:

  • A maioria das portas deve ser VLAN 1 NÃO-GRAVADA?
  • Aqueles que possuem APs de WiFi conectados devem ser VLAN 2 NÃO ATENDIDOS (somente)
  • Os uplinks ao comutador central devem ser TAGGED VLAN 1 e TAGGED VLAN 2
  • As portas de entrada do comutador central dos comutadores externos também devem ser TAGGED VLAN 1 e TAGGED VLAN 2
  • Haverá dois links para o firewall (cada um por sua própria NIC), uma VLAN 1 NÃO-AGENDADA (para tráfego normal de acesso à Internet) e uma VLAN 2 NÃO-AGENDADA (para autenticação de portal cativo).

Isso significa que todo o tráfego sem fio será roteado em uma única NIC, o que também aumentará a carga de trabalho do firewall. Nesta fase, não estou preocupado com essa carga.

Um esboço aproximado da rede

Philip
fonte
OK, outra coisa que eu aprendi: TAGGED / UNTAGGED refere-se ao tráfego de SAÍDA - se estiver marcado, UNTAGGED removerá a tag conforme for e TAGGED adicionará uma. PVID fala sobre o tráfego untagged de entrada - vai pegar o valor PVID atribuído à porta pela qual entrou ...
Philip
Uma vlan é "marcada" quando o tráfego é logicamente, mas não fisicamente separado - ou seja, viaja pelo mesmo cabo Ethernet para outro switch ou computador. É necessário ter cuidado nas configurações de VLAN com tags para usar apenas VLANs com tags em segmentos de rede que estão totalmente sob controle administrativo. No seu mapa, as VLANs podem ser identificadas ou usar segmentos Ethernet paralelos entre o comutador central e os outros comutadores. Você também pode usar VLANs marcadas entre o comutador central e o firewall para manter o tráfego separado até a fronteira.
23711 Stephanie

Respostas:

5

Isso é próximo ao que temos, até o gateway Untangle. Nós fazemos isso de forma um pouco diferente, no entanto. Isso ajuda a visualizar se você inicia a partir de uma rede completamente plana, sem vlans. Represente isso com tudo sem marcação na vlan 1.

Agora, queremos adicionar suporte ao tráfego wifi na vlan 2. Para fazer isso, defina as duas extremidades de cada linha de tronco (linhas que conectam dois comutadores) para também serem marcadas para a vlan 2. Não há necessidade de alternar a vlan 1 de não marcado para marcado , como você faz na sua proposta atual; tudo o que você precisa fazer é adicionar a porta como membro marcado da vlan 2. Além disso, as portas que precisam falar com clientes sem fio devem ser adicionadas como membros marcados da vlan 2. Isso inclui a porta à qual seu servidor de desembaraço está conectado e as portas para quaisquer servidores (como dhcp) que o tráfego wifi possa ver sem roteamento. Novamente, você deseja deixá-los sem marcação na vlan 1; basta adicioná-los como membros marcados da vlan 2 também.

Uma chave importante aqui é que nosso switch central suporta o roteamento da camada 3 e temos uma ACL que informa quando é permitido rotear o tráfego de uma vlan para outra. Por exemplo, todas as nossas impressoras e nosso servidor de impressora estão na vlan 1. Usamos um pacote de software no servidor de impressão para contar trabalhos e cobrar dos alunos pelo uso da impressão, portanto, queremos permitir que o tráfego wifi atinja o servidor de impressão. NÃO queremos permitir que o tráfego wifi atinja impressoras individuais diretamente, o que desviaria esse software e, portanto, as impressoras são restritas na ACL, mas o servidor de impressão é permitido.

Você também precisará fazer algum trabalho na própria caixa de desembaraçar, dependendo de como as coisas estão configuradas. Olhe abaixo Config->Networking->Interfacese edite sua interface interna. Lá, você deseja ver o Endereço IP primário e a máscara de rede do servidor de desembaraçar configurados para um endereço na sua sub-rede vlan 1. Também temos uma configuração de alias de endereço IP para cada vlan que usamos, políticas de NAT definidas para cada endereço de rede e máscara de rede vlan e rotas para cada vlan para enviar tráfego para essas vlans para a interface interna.

Devo acrescentar que executamos nosso desembaraço no modo roteador com uma única interface interna e temos dhcp / dns em uma caixa de servidor Windows. Sua configuração pode ser diferente se você usar o modo de ponte ou desejar executar o dhcp / dns sem desembaraçar ou usar interfaces separadas para cada rede.

Agora sua rede está preparada para adicionar pontos de acesso. Sempre que você adicionar um ponto de acesso à rede, defina sua porta como não marcada para a vlan 2 e marcada para a vlan 1. Essa tag da vlan 1 aqui é opcional, mas geralmente acho útil.

Finalmente, dependendo do tamanho da sua instalação, você pode achar que uma vlan para wifi não é suficiente. Você geralmente deseja reduzi-lo a cerca de 1/24 de clientes on-line por vez. Menos é melhor. Mais do que isso, o tráfego de transmissão começará a consumir seu tempo de antena. Você pode se safar com espaços de endereço maiores (digamos, 22), desde que todos os endereços não estejam em uso ao mesmo tempo. É assim que lidamos com isso aqui. Eu apóio cerca de 450 estudantes universitários residenciais em um único SSID com uma sub-rede / 21, mas estou realmente expandindo-o e provavelmente deve começar a dividir minhas tarefas para que o tráfego de difusão de estudantes em diferentes edifícios não interfira um com o outro. Se esse é mais um edifício grande como uma escola, provavelmente você deseja escolher SSIDs diferentes por vlan. Se isso'

Felizmente, seu fornecedor de controlador / wifi cobre tudo isso, mas se você é como nós, não tem fundos para US $ 600 / ponto de acesso ou US $ 3000 ou mais por unidade de controlador. Vale a pena lembrar que você pode usar roteadores simples como pontos de acesso, desativando o dhcp e usando uma porta LAN em vez da porta WAN para o uplink. Você perderá alguns relatórios e ajustes automáticos de energia e canal, mas com alguns bons pontos de acesso e algum trabalho cuidadoso na instalação, é possível montar uma rede bastante grande dessa maneira.

Joel Coel
fonte
1

Sim, parece que você tem uma boa noção de como as coisas precisam ser configuradas. Você está certo ao supor que todo o tráfego entre as VLANs precisará atravessar o firewall, portanto, certifique-se de que as ACLs sejam implementadas para permitir esse tráfego. A única maneira de remover essa carga do firewall seria obter um switch L3.

EEAA
fonte
O tráfego no firewall não é um grande problema. Ainda somos uma rede pequena (menos de 200 nós no total). O tráfego na rede sem fio deve ser substancialmente menor do que na com fio e provavelmente será destinado à rede (80% - 90%, imagino), portanto, teria que ser processado pelo firewall de qualquer maneira.
Philip