服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用于WiFistream量分离的VLAN(新增到VLAN)
Intereting Posts
卸载Exchange 2007 – 创build辅助域控制器 Nginx 301使用正则expression式重写 在哪里可以访问的服务器上的Windowsregistry? 远程重启进入安全模式? (视窗) SQL Server 2012备份不压缩 Hyper-V CPU利用率,好工具? Linux控制台 – 防止意外删除文件 IIS 7我的网站使用本地主机,但使用127.0.0.1或我的IP 192.168.1.66失败 两个IIS7域如何在一个IP上共享SSL端口443? 升级ESXi 5.0 iSCSI超时以升级Equallogic固件 未应用GPO,gpresult / R正常 – 未创build计划任务 我如何在Vista中解锁一个卷 OS X上的虚拟机服务器 在fedora上启用Sqlite3 for php 如何在Windows上的Apache HTTP服务器上configurationNTLM安全?

用于WiFistream量分离的VLAN(新增到VLAN)

我使用不同部门的交换机运行学校networking。 全部路由到中央交换机访问服务器。

我想在不同的部门安装WiFi接入点,并通过防火墙(一个Untangle盒子,可以俘虏入口的stream量,提供身份validation),然后进入局域网或互联网。

我知道AP在相关交换机上连接的端口需要设置为不同的VLAN。 我的问题是如何configuration这些端口。 哪些被标记? 哪些没有标记? 我显然不想中断正常的networkingstream量。

我是否正确地说:

  • 大多数端口应该是UNTAGGED VLAN 1?
  • 那些有WiFi接入点的应该是UNTAGGED VLAN 2(仅)
  • 到中央交换机的上行链路应该是TAGGED VLAN 1和TAGGED VLAN 2
  • 中心交换机的外部交换机的input端口也应该是TAGGED VLAN 1和TAGGED VLAN 2
  • 将有两个链接到防火墙(每个在它自己的NIC上),一个UNTAGGED VLAN 1(用于正常的互联网接入stream量)和一个UNTAGGED VLAN 2(用于强制门户authentication)。

这意味着所有无线stream量将通过单个NIC进行路由,这也将增加防火墙的工作负载。 在这个阶段,我不担心那个负载。

网络的粗略草图

这与我们所拥有的非常接近,直到Untangle网关。 不过,我们做的有点不同。 如果你从一个没有vlan的完全平坦的networking开始,它有助于可视化。 你用vlan 1中的所有东西来表示这个。

现在,我们要在vlan 2上添加对wifistream量的支持。为此,请将每个中继线(连接交换机的线路)的两端都设置为需要通过wifistream量标记为vlan 2.不需要切换vlan 1从未标记到已标记,就像您在当前提案中所做的那样; 您只需将端口添加为vlan 2的标记成员。此外,需要与无线客户端交谈的端口应添加为vlan 2的标记成员。这包括解开服务器连接的端口以及端口对于任何服务器(如DHCP),无线networkingstream量应该能够看到。 再一次,你想把它们留在vlan 1上, 只需将它们添加为vlan 2的标记成员即可。

这里一个重要的关键是我们的中央交换机支持第3层路由,我们有一个ACL,告诉它什么时候允许将stream量从一个vlan路由到另一个vlan。 例如,我们所有的打印机和打印机服务器都在vlan 1上。我们在打印服务器上使用一个软件包来统计作业,并为学生打印使用费用,所以我们希望允许wifistream量冲击打印服务器。 我们不希望允许wifistream量直接击中单个打印机,这将绕过该软件,所以打印机被限制在ACL中,但打印服务器是允许的。

你还需要在解开盒上做一些工作,具体取决于设置的方式。 查看Config->Networking->Interfaces并编辑你的内部接口。 在那里,你想看到你的vlan 1子网上的解决服务器的主IP地址和networking掩码设置为一个地址。 我们还为每个我们使用的vlan设置了IP地址别名,为每个vlannetworking地址和networking掩码定义了NAT策略,以及每个vlan为这些vlan发送stream量到内部接口的路由。

我应该补充一点,我们用一个内部接口在路由器模式下运行我们的解决scheme,并在Windows服务器上安装dhcp / dns。 如果您使用网桥模式或者想要解开dhcp / dns,或者为每个networking使用不同的接口,则设置可能会有所不同。

现在您的networking准备添加接入点。 无论何时向networking添加接入点,都将其端口设置为vlan 2的untagged,并为vlan 1添加标签。此处的vlan 1标签是可选的,但我经常发现它很有帮助。

最后,根据你的安装的大小,你可能会发现一个WiFi的vlan是不够的。 一般来说,你一般都想把它保持在大约一/二十四个价值的在线客户端。 越less越好。 除此之外,广播stream量将开始消耗您的通话时间。 只要所有的地址一次都没有被使用,你就可以使用更大的地址空间(比如/ 22)。 这就是我们在这里处理的方式。 我支持大约450名寄宿学院学生在一个有21个子网的单一SSID上,但是我真的很努力,可能应该开始刻画我的作业,这样来自不同build筑物的学生的广播stream量不会互相干扰。 如果这更像是一所高中的单一大型build筑物,那么您可能需要为每个vlanselect不同的SSID。 如果这是一个多build筑的校园,build筑物之间有一定的距离,而且你不会将build筑物的覆盖范围推向大楼,那么你可以通过一个SSID获得所有的vlan。

希望你的控制器/ wifi供应商能够涵盖所有这些,但是如果你像我们一样,那么你就没有600美元/接入点或每个控制器单元3000美元的资金。 值得一提的是,可以通过closuresDHCP并使用LAN端口而不是WAN端口来使用简单的客户端路由器作为接入点。 你会错过一些报告和自动的电源和通道调整,但有一些良好的接入点,并在设置一些仔细的工作,你可以把这样一个庞大的networking。

是的,听起来你已经掌握了如何设置的东西了。 在猜测VLAN之间的所有stream量都需要穿越防火墙时,你是正确的,所以你需要确保ACL被放置到允许stream量。 把这个负载从防火墙中取出的唯一方法是获得一个L3交换机。