WiFiトラフィック分離のためのVLAN（VLANingの新機能）

私は、さまざまな部門にスイッチを備えた学校のネットワークを運営しています。すべてが中央のスイッチにルーティングされ、サーバーにアクセスします。

WiFiアクセスポイントをさまざまな部門に設置し、LANまたはインターネットに到達する前に、ファイアウォール（トラフィックをキャプティブポータルに接続して認証を提供できるUntangleボックス）にルーティングしたいと考えています。

APが関連するスイッチで接続するポートを別のVLANに設定する必要があることを知っています。私の質問は、これらのポートをどのように構成するかです。どちらがタグ付けされていますか？タグ付けされていないのはどれですか？通常のネットワークトラフィックを中断したくないのは明らかです。

私は言って正しいですか：

• ポートの大部分はタグなしVLAN 1である必要がありますか？
• WiFi APが接続されているものはタグなしVLAN 2（のみ）である必要があります
• 中央スイッチへのアップリンクはタグ付きVLAN 1およびタグ付きVLAN 2である必要があります
• 中央のスイッチの外部スイッチからの受信ポートもタグ付きVLAN 1およびタグ付きVLAN 2である必要があります
• ファイアウォールへのリンクは2つあり（それぞれが独自のNICにあります）、1つのタグなしVLAN 1（通常のインターネットアクセストラフィック用）と1つのタグなしVLAN 2（キャプティブポータル認証用）があります。

これは、すべてのワイヤレストラフィックが単一のNICを介してルーティングされることを意味し、ファイアウォールのワークロードも増加します。この段階では、その負荷については気にしていません。

Untangleゲートウェイに至るまで、これは私たちが持っているものに近いものです。ただし、それは少し異なります。VLANのない完全にフラットなネットワークから開始するかどうかを視覚化するのに役立ちます。VLAN 1でタグなしのすべてのものでこれを表現します。

次に、vlan 2のwifiトラフィックのサポートを追加します。これを行うには、すべてのトランク回線（2つのスイッチを接続するライン）の両端をvlan 2にもタグ付けするように設定します。vlan1をタグなしからタグ付きに切り替える必要はありません。 、現在の提案と同じように; VLAN 2のタグ付きメンバーとしてポートを追加するだけです。さらに、ワイヤレスクライアントと通信する必要があるポートは、VLAN 2のタグ付きメンバーとして追加する必要があります。これには、もつれサーバーが接続されているポートと、 wifiトラフィックがルーティングなしで認識できる必要があるすべてのサーバー（dhcpなど）。ここでも、VLAN 1でタグ付けしないでおく必要があります。それらをvlan 2のタグ付きメンバーとして追加するだけです。

ここで重要なキーの1つは、中央スイッチがレイヤー3ルーティングをサポートしており、あるVLANから別のVLANへのトラフィックのルーティングが許可されている場合にそれを通知するACLがあることです。たとえば、すべてのプリンターとプリンターサーバーはvlan 1にあります。プリントサーバーのソフトウェアパッケージを使用してジョブをカウントし、学生にプリント使用量を請求するため、wifiトラフィックがプリントサーバーにアクセスできるようにします。wifiトラフィックが個々のプリンターに直接アクセスするのを許可したくないので、そのソフトウェアはバイパスされるため、プリンターはACLで制限されていますが、プリントサーバーは許可されています。

設定方法に応じて、もつれのないボックス自体にもいくつかの作業を行う必要があります。下を見てConfig->Networking->Interfaces、あなたの内部インターフェイスおよび編集。そこには、vlan 1サブネット上のアドレスに設定された、もつれを解くサーバーのプライマリIPアドレスとネットマスクが表示されます。また、使用する各VLANのIPアドレスエイリアスのセットアップ、各VLANネットワークアドレスとネットマスクに定義されたNATポリシー、および各VLANのルートを使用して、それらのVLANのトラフィックを内部インターフェイスに送信します。

単一の内部インターフェイスを使用してルーターモードで展開を実行し、Windowsサーバーボックスにdhcp / dnsがあることを追加する必要があります。ブリッジモードを使用する場合、またはもつれを解消してdhcp / dnsを実行する場合、またはネットワークごとに個別のインターフェイスを使用する場合は、設定が異なる場合があります。

これで、ネットワークにアクセスポイントを追加する準備が整いました。アクセスポイントをネットワークに追加するときは常に、ポートのポートをvlan 2のタグなしとして設定し、vlan 1のタグを付けてください。このvlan 1タグはオプションですが、私はよく役に立ちます。

最後に、インストールのサイズによっては、wifiの1つのVLANだけでは不十分な場合があります。一般的には、一度に24時間分のクライアントをオンラインに抑える必要があります。少ないほど良いです。それ以上のものと放送トラフィックはあなたの放送時間を使い果たし始めます。すべてのアドレスが一度に使用されていない限り、より大きなアドレススペース（/ 22など）を使用して回避できます。ここでそれを処理します。私は/ 21サブネットの単一のSSIDで約450人の住宅大学生をサポートしていますが、私は本当にそれを拡張しており、おそらく異なる建物の学生からのブロードキャストトラフィックが互いに干渉しないように、割り当てを切り分け始める必要があります。これが高校のような単一の大きな建物の場合は、VLANごとに異なるSSIDを選択する必要があります。それであれば'

うまくいけば、コントローラー/ wifiベンダーがすべてをカバーしますが、私たちのようであれば、アクセスポイントあたり600ドルまたはコントローラーユニットあたり3000ドル以上の資金はありません。dhcpをオフにし、アップリンクにWANポートではなくLANポートを使用することで、シンプルなコンシューマールーターをアクセスポイントとして使用できることを覚えておくとよいでしょう。いくつかのレポートと自動電源およびチャネル調整を見逃しますが、いくつかの優れたアクセスポイントとセットアップでのいくつかの注意深い作業により、この方法で非常に大規模なネットワークを組み立てることができます。

はい、セットアップの方法をよく理解しているようですね。VLAN間のすべてのトラフィックがファイアウォールを通過する必要があると推測するのは正しいので、そのトラフィックを許可するためにACLが配置されていることを確認する必要があります。この負荷をファイアウォールから取り除く唯一の方法は、L3スイッチを取得することです。