VLAN para separación de tráfico WiFi (nuevo en VLAN)

9

Dirijo una red escolar con conmutadores en diferentes departamentos. Todo se enruta a través de un conmutador central para acceder a los servidores.

Me gustaría instalar puntos de acceso WiFi en los diferentes departamentos y enrutarlos a través del firewall (un cuadro Desenredar que puede cautivar el tráfico del portal, para proporcionar autenticación) antes de que llegue a la LAN o a Internet.

Sé que los puertos a los que se conectan los AP en los conmutadores relevantes deben configurarse en una VLAN diferente. Mi pregunta es cómo configuro estos puertos. ¿Cuáles están etiquetados? ¿Cuáles están sin etiquetar? Obviamente no quiero interrumpir el tráfico normal de la red.

¿Estoy en lo correcto al decir:

  • La mayoría de los puertos deben ser VLAN 1 SIN ENCUADERNAR?
  • Los que tienen AP WiFi conectados deben ser VLAN 2 SIN ENCUADERNAR (solo)
  • Los enlaces ascendentes al conmutador central deben ser TAGGED VLAN 1 y TAGGED VLAN 2
  • Los puertos entrantes del conmutador central de los conmutadores periféricos también deben ser TAGGED VLAN 1 y TAGGED VLAN 2
  • Habrá dos enlaces al cortafuegos (cada uno en su propia NIC), una VLAN 1 SIN ENCLAVAR (para el tráfico normal de acceso a Internet) y una VLAN 2 SIN ENCUADERNAR (para la autenticación del portal cautivo).

Esto significa que todo el tráfico inalámbrico se enrutará a través de una única NIC que también aumentará la carga de trabajo para el firewall. En este momento, no me preocupa esa carga.

Un esbozo de la red.

Philip
fuente
OK, algo más que he aprendido: TAGGED / UNTAGGED se refiere al tráfico SALIENTE: si está etiquetado, UNTAGGED quitará la etiqueta a medida que avanza y TAGGED agregará una. PVID habla sobre el tráfico no etiquetado entrante: recogerá el valor PVID asignado al puerto en el que entró ...
Philip
Un vlan se "etiqueta" cuando el tráfico está lógicamente pero no físicamente separado, es decir, viaja por el mismo cable de Ethernet a otro conmutador o computadora. Se debe tener cuidado en las configuraciones de VLAN etiquetadas para usar solo VLAN etiquetadas en segmentos de red que están completamente bajo control administrativo. En su mapa, las VLAN se pueden etiquetar o usar segmentos paralelos de Ethernet entre el conmutador central y los otros conmutadores. También puede usar VLAN etiquetadas entre el conmutador central y el firewall para mantener el tráfico separado hasta el borde.
Stephanie

Respuestas:

5

Eso está cerca de lo que tenemos, hasta la puerta de enlace Untangle. Sin embargo, lo hacemos un poco diferente. Ayuda a visualizar si comienza desde una red completamente plana sin vlans. Representa esto con todo lo que no esté etiquetado en vlan 1.

Ahora queremos agregar soporte para el tráfico wifi en vlan 2. Para hacer esto, configure ambos extremos de cada línea troncal (líneas que conectan dos interruptores) para que también se etiqueten para vlan 2. No hay necesidad de cambiar vlan 1 de sin etiquetar a etiquetado , como lo hace en su propuesta actual; todo lo que necesita hacer es agregar el puerto como miembro etiquetado de vlan 2. Además, los puertos que necesitan comunicarse con clientes inalámbricos deben agregarse como miembros etiquetados de vlan 2. Esto incluye el puerto al que está conectado su servidor desenredado y los puertos para cualquier servidor (como dhcp) que el tráfico wifi debería poder ver sin enrutamiento. Nuevamente, desea dejarlos sin etiquetar en vlan 1; simplemente agréguelos como miembros etiquetados de vlan 2 también.

Una clave importante aquí es que nuestro conmutador central admite el enrutamiento de capa 3, y tenemos una ACL allí que le indica cuándo está permitido enrutar el tráfico de un vlan a otro. Por ejemplo, todas nuestras impresoras y nuestro servidor de impresoras están en vlan 1. Usamos un paquete de software en el servidor de impresión para contar trabajos y facturar a los estudiantes por el uso de impresión, por lo que queremos permitir que el tráfico wifi llegue al servidor de impresión. NO deseamos permitir que el tráfico wifi llegue directamente a impresoras individuales, lo que evitaría ese software, por lo que las impresoras están restringidas en la ACL, pero el servidor de impresión está permitido.

También tendrá que trabajar un poco en su caja de desenredar, dependiendo de cómo estén configuradas las cosas. Mire debajo Config->Networking->Interfacesy edite su interfaz interna. Allí desea ver la dirección IP principal y la máscara de red de su servidor desenredado para una dirección en su subred vlan 1. También tenemos una configuración de Alias ​​de dirección IP para cada vlan que usamos, políticas NAT definidas para cada dirección de red y máscara de red de vlan, y rutas para cada vlan para enviar tráfico para esos vlans a la interfaz interna.

Debo agregar que ejecutamos nuestro desenredar en modo enrutador con una sola interfaz interna y tenemos dhcp / dns en un servidor de Windows. Su configuración puede ser diferente si usa el modo puente o si desea ejecutar dhcp / dns sin desenredar, o si usa interfaces separadas para cada red.

Ahora su red está preparada para agregar puntos de acceso. Cada vez que agregue un punto de acceso a la red, configure su puerto como sin etiquetar para vlan 2 y etiquetado para vlan 1. Esa etiqueta de vlan 1 aquí es opcional, pero a menudo me resulta útil.

Finalmente, dependiendo del tamaño de su instalación, puede encontrar que un vlan para wifi no es suficiente. Por lo general, desea mantenerlo en línea a alrededor de uno / 24 clientes a la vez. Menos es mejor. Algo más que eso y el tráfico de transmisión comenzará a consumir tu tiempo aire. Puede salirse con espacios de direcciones más grandes (por ejemplo, / 22's), siempre y cuando todas las direcciones no estén en uso al mismo tiempo. Así es como lo manejamos aquí. Apoyo a unos 450 estudiantes universitarios residenciales en un único SSID con una subred / 21, pero realmente lo estoy ampliando y probablemente debería comenzar a dividir mis tareas para que el tráfico de transmisión de los estudiantes en diferentes edificios no interfiera entre sí. Si se trata más de un solo edificio grande como una escuela secundaria, es probable que desee elegir diferentes SSID por vlan. Si se'

Con suerte, su proveedor de controlador / wifi cubre todo eso, pero si es como nosotros, no tiene los fondos para $ 600 / punto de acceso o $ 3000 + por unidad de controlador. Vale la pena recordar que puede usar enrutadores de consumidor simples como puntos de acceso apagando dhcp y usando un puerto LAN en lugar de un puerto WAN para el enlace ascendente. Te perderás algunos informes y ajustes automáticos de potencia y canal, pero con algunos buenos puntos de acceso y un trabajo cuidadoso en la configuración puedes armar una red bastante grande de esta manera.

Joel Coel
fuente
1

Sí, parece que tienes una buena idea de cómo deben configurarse las cosas. Tiene razón al adivinar que todo el tráfico entre las VLAN deberá atravesar el firewall, por lo que deberá asegurarse de que se instalen ACL para permitir ese tráfico. La única forma de quitar esta carga del firewall sería obtener un conmutador L3.

EEAA
fuente
El tráfico en el firewall no es un gran problema. Todavía somos una red más pequeña (menos de 200 nodos en total). El tráfico en la red inalámbrica debería ser sustancialmente menor que en el cableado y probablemente se destinará a la red (80% - 90%, me imagino), por lo que tendría que ser procesado por el firewall de todos modos.
Philip