用于WiFi流量分离的VLAN（VLAN的新功能）

我运行一个学校网络，并在不同部门设有交换机。全部路由到中央交换机以访问服务器。

我想在不同部门中安装WiFi接入点，并在进入局域网或Internet之前，先将它路由通过防火墙（一个可以缠住流量以提供身份验证的Untangle盒子）。

我知道AP需要在相关交换机上连接的端口设置为其他VLAN。我的问题是如何配置这些端口。哪些标签？哪些未加标签？我显然不想中断正常的网络流量。

我说的对吗？

• 大多数端口应为UNTAGGED VLAN 1？
• 那些已连接WiFi AP的路由器应为UNTAGGED VLAN 2（仅）
• 到中央交换机的上行链路应为TAGGED VLAN 1和TAGGED VLAN 2
• 中央交换机从外围交换机传入的端口也应为TAGGED VLAN 1和TAGGED VLAN 2
• 将有两个到防火墙的链接（每个链接在其自己的NIC上），一个为UNTAGGED VLAN 1（用于正常的Internet访问流量），另一个为UNTAGGED VLAN 2（用于强制门户认证）。

这确实意味着所有无线流量都将通过单个NIC路由，这也将增加防火墙的工作量。在此阶段，我不关心该负载。

接近我们所拥有的，一直到Untangle网关。不过，我们的做法有所不同。如果您从没有VLAN的完全平坦的网络开始，它将有助于可视化。用vlan 1上未标记的所有内容对此进行表示。

现在，我们要在vlan 2上增加对wifi流量的支持。为此，请将每条干线的两端（连接两个交换机的线路）也都标记为vlan2。无需将vlan 1从未标记状态切换到已标记状态，就像您在当前提案中所做的一样；您需要做的就是将端口添加为vlan 2的标记成员。此外，需要与无线客户端通信的端口应添加为vlan 2的标记成员。这包括您的undangle服务器连接的端口以及用于WiFi流量无需路由即可看到的任何服务器（如dhcp）。同样，您希望在vlan 1上不加标签；只需将它们也添加为VLAN 2的标记成员即可。

这里一个重要的关键是我们的中央交换机支持第3层路由，并且那里有一个ACL告诉它何时允许将流量从一个VLAN路由到另一个VLAN。例如，我们所有的打印机和打印机服务器都在vlan 1上。我们在打印服务器上使用软件包来计数作业并向学生收取打印使用费，因此我们希望允许wifi流量访问打印服务器。我们不想让wifi流量直接打到各个打印机上，而这会绕过该软件，因此打印机在ACL中受到限制，但是允许打印服务器。

您还需要根据自己的放置方式，对非缠结盒本身做一些工作。看下面Config->Networking->Interfaces并编辑您的内部界面。在此处，您要查看为您的vlan 1子网中的地址设置的解缠服务器的主IP地址和网络掩码。我们还为我们使用的每个VLAN设置了IP地址别名，为每个VLAN网络地址和网络掩码定义了NAT策略，并为每个VLAN路由以将这些VLAN的流量发送到内部接口。

我应该补充一点，我们使用单个内部接口在路由器模式下运行解缠，并在Windows服务器上安装dhcp / dns。如果您使用桥接模式，或者想不加纠缠地运行dhcp / dns，或者为每个网络使用单独的接口，则设置可能会有所不同。

现在，您的网络已准备好添加访问点。每当您将接入点添加到网络时，将其端口设置为vlan 2未标记，并将其标记为vlan1。这里的vlan 1标签是可选的，但我经常发现它很有用。

最后，根据安装的大小，您可能会发现一个用于WiFi的VLAN不够。通常，您希望一次将其数量减少到约一个/ 24位客户在线。越少越好。除此之外，广播流量将开始占用您的通话时间。只要不同时使用所有地址，就可以使用更大的地址空间（例如/ 22）。这就是我们在这里处理的方式。我在一个带有/ 21子网的SSID上支持大约450名居住的大学生，但是我真的在扩展它，可能应该开始分派我的作业，以使来自不同建筑物的学生的广播流量不会互相干扰。如果这更多是像高中这样的大型建筑物，则您可能想为每个VLAN选择不同的SSID。如果它'

希望您的控制器/ WiFi供应商能够涵盖所有内容，但是如果您像我们一样，没有用于每个接入点600美元或每个控制器单元3000美元以上的资金。可能值得记住的是，可以通过关闭dhcp并将上行链路使用LAN端口而不是WAN端口来使用简单的消费类路由器作为接入点。您会错过一些报告以及电源和信道自动调整功能，但是有了一些良好的接入点以及在设置时进行的一些细心工作，您就可以通过这种方式建立一个相当大的网络。

是的，听起来您已经很好地了解了如何设置事物。您猜对了，VLAN之间的所有流量都需要穿越防火墙，因此您是正确的，因此您需要确保已放置ACL以允许该流量。减轻防火墙负担的唯一方法是获得L3交换机。