Question VLAN pour la séparation du trafic WiFi (nouveau sur VLANing)


Je gère un réseau scolaire avec des commutateurs dans différents départements. Tout est acheminé vers un commutateur central pour accéder aux serveurs.

Je souhaite installer des points d'accès WiFi dans les différents départements et les faire passer à travers le pare-feu (une boîte Untangle pouvant capturer le trafic de manière captive, afin de fournir une authentification) avant qu'il ne parvienne sur le réseau local ou sur Internet.

Je sais que les ports auxquels les AP se connectent sur les commutateurs appropriés doivent être configurés sur un autre réseau local virtuel. Ma question est de savoir comment configurer ces ports. Lesquels sont étiquetés? Lesquels sont non étiquetés? Je ne veux évidemment pas interrompre le trafic réseau normal.

Ai-je raison de dire:

  • La majorité des ports doivent être UNTAGGED VLAN 1?
  • Ceux qui ont des points d'accès WiFi connectés doivent être UNTAGGED VLAN 2 (uniquement)
  • Les liaisons montantes vers le commutateur central doivent être TAGGED VLAN 1 et TAGGED VLAN 2.
  • Les ports entrants du commutateur central provenant des commutateurs périphériques doivent également être TAGGED VLAN 1 et TAGGED VLAN 2.
  • Il y aura deux liens vers le pare-feu (chacun sur sa propre carte réseau), un VLAN 1 UNTAGGED (pour le trafic d’accès Internet normal) et un VLAN 2 UNTAGGED (pour l’authentification du portail captif).

Cela signifie que tout le trafic sans fil sera acheminé sur une seule carte réseau, ce qui augmentera également la charge de travail du pare-feu. À ce stade, je ne suis pas préoccupé par cette charge.

A rough sketch of the network


8
2017-07-17 14:26


origine


OK, quelque chose d’autre que j’ai appris: TAGGED / UNTAGGED fait référence au trafic SORTANT. S'il est étiqueté, UNTAGGED enlèvera l’étiquette au fur et à mesure et TAGGED en ajoutera une. PVID parle de trafic entrant sans étiquette - récupérera la valeur PVID attribuée au port sur lequel elle est entrée ... - Philip
Un vlan est "étiqueté" lorsque le trafic est logiquement mais non physiquement séparé - c.-à-d. Qu'il achemine le même câble Ethernet vers un autre commutateur ou ordinateur. Il faut veiller à ce que les configurations de VLAN marqués utilisent uniquement des VLAN marqués sur des segments de réseau entièrement sous contrôle administratif. Dans votre carte, les VLAN peuvent être étiquetés ou utiliser des segments Ethernet parallèles entre le commutateur central et les autres commutateurs. Vous pouvez également utiliser des VLAN marqués entre le commutateur central et le pare-feu pour maintenir le trafic séparé jusqu’à la frontière. - Stephanie


Réponses:


C'est assez proche de ce que nous avons, jusqu'à la passerelle Untangle. Nous le faisons un peu différemment, cependant. Cela aide à le visualiser si vous partez d'un réseau complètement plat sans réseaux locaux virtuels. Vous représentez cela en ayant tout non étiqueté sur vlan 1.

Maintenant, nous voulons ajouter la prise en charge du trafic wifi sur vlan 2. Pour ce faire, définissez les deux extrémités de chaque ligne de réseau (lignes qui connectent les commutateurs) qui devront transmettre le trafic Wi-Fi comme étiqueté pour vlan 2. Il n'est pas nécessaire de passer de vlan 1 de non étiqueté à étiqueté, comme vous le faites dans votre proposition actuelle; tout ce que vous avez à faire est d’ajouter le port en tant que membre balisé de vlan 2. De plus, les ports devant communiquer avec les clients sans fil doivent être ajoutés en tant que membres balisés de vlan 2. Ceci inclut le port auquel votre serveur de démêlage est connecté et les ports. pour tous les serveurs (comme dhcp) que le trafic wifi devrait pouvoir voir. Encore une fois, vous voulez les laisser sans étiquette sur vlan 1; il suffit de les ajouter en tant que membres marqués de vlan 2 également.

Une des clés importantes dans ce domaine est que notre commutateur central prend en charge le routage de couche 3, et nous avons une liste de contrôle d'accès qui le prévient lorsqu'il est autorisé à acheminer le trafic d'un réseau à l'autre. Par exemple, toutes nos imprimantes et notre serveur d'impression sont sur vlan 1. Nous utilisons un logiciel sur le serveur d'impression pour compter les travaux et facturer les étudiants pour l'utilisation de l'impression. Nous souhaitons donc autoriser le trafic Wi-Fi à atteindre le serveur d'impression. Nous ne souhaitons PAS permettre au trafic wifi de toucher directement des imprimantes individuelles, ce qui contournerait ce logiciel. Les imprimantes sont donc limitées dans la liste de contrôle d'accès, mais le serveur d'impression est autorisé.

Vous aurez également besoin de travailler sur votre boîte à démêler elle-même, en fonction de la manière dont les choses sont configurées. Regarder sous Config->Networking->Interfaces et éditez votre interface interne. Vous souhaitez que l'adresse IP principale et le masque de réseau de votre serveur de démêlage soient définis pour une adresse sur votre sous-réseau vlan 1. Nous avons également une configuration d’alias d’adresses IP pour chaque vlan que nous utilisons, des stratégies NAT définies pour chaque adresse réseau et masque de réseau vlan, ainsi que des routes pour chaque vlan pour envoyer le trafic de ces vlans à l’interface interne.

Je devrais ajouter que nous exécutons notre démêlage en mode routeur avec une seule interface interne et que nous avons dhcp / dns sur un serveur Windows. Votre configuration peut être différente si vous utilisez le mode pont ou si vous souhaitez exécuter dhcp / dns sans désenchevêtrement ou si vous utilisez des interfaces distinctes pour chaque réseau.

Votre réseau est maintenant prêt à ajouter des points d'accès. Chaque fois que vous ajoutez un point d'accès au réseau, définissez son port comme non étiqueté pour vlan 2 et comme étiqueté pour vlan 1. Cette balise vlan 1 ici est facultative, mais je la trouve souvent utile.

Enfin, en fonction de la taille de votre installation, vous constaterez qu’un vlan pour le wifi n’est pas suffisant. Vous souhaitez généralement limiter le nombre de clients en ligne à la fois à environ un sur 24. Moins c'est mieux. Pas plus que cela et le trafic de diffusion commencera à consommer votre temps d'antenne. Vous pouvez vous en tirer avec des espaces d'adresses plus grands (par exemple, / 22), à condition que toutes les adresses ne soient pas utilisées en même temps. C'est comme ça que nous le traitons ici. Je soutiens environ 450 étudiants d'un collège résidentiel sur un SSID unique avec un sous-réseau / 21, mais je l'étire vraiment et je devrais probablement commencer à sculpter mes tâches pour que le trafic de diffusion provenant d'étudiants de différents bâtiments ne se gêne pas. S'il s'agit davantage d'un grand bâtiment qu'un lycée, vous souhaiterez probablement choisir différents SSID par réseau. S'il s'agit d'un campus multi-bâtiments où les bâtiments sont séparés par une certaine distance et que vous ne couvrez pas l'espace entre les bâtiments, vous pouvez vous en servir avec un SSID pour tous les réseaux locaux virtuels.

Espérons que votre fournisseur de contrôleurs / wifi couvre tout cela, mais si vous êtes comme nous, vous n’avez pas les fonds nécessaires pour 600 $ / point d’accès ou 3000 $ + par unité de contrôleur. Il peut être utile de rappeler que vous pouvez utiliser de simples routeurs consommateurs comme points d'accès en désactivant le protocole DHCP et en utilisant un port LAN plutôt qu'un port WAN pour la liaison montante. Vous manquerez des rapports et des ajustements automatiques de l'alimentation et des canaux, mais avec quelques bons points d'accès et un travail minutieux lors de la configuration, vous pouvez constituer un réseau assez volumineux.


4
2017-07-17 21:52





Oui, vous semblez bien comprendre comment les choses doivent être mises en place. Vous avez raison de penser que tout le trafic entre les VLAN doit traverser le pare-feu. Vous devez donc vous assurer que des listes de contrôle d'accès sont mises en place pour autoriser ce trafic. La seule façon de réduire cette charge du pare-feu serait d’obtenir un commutateur L3.


1
2017-07-17 19:35



Le trafic sur le pare-feu n'est pas un gros problème. Nous sommes toujours un petit réseau (moins de 200 nœuds au total). Le trafic sur le réseau sans fil devrait être sensiblement inférieur à celui sur le réseau filaire et sera probablement destiné au réseau (80% à 90%, j'imagine), de sorte qu'il devrait de toute façon être traité par le pare-feu. - Philip