info_i_25x25.png See important information about Ubiquiti Devices and KRACK Vulnerability in this article. We will update this document as more information becomes available.

EdgeMAX - tutorial de VLAN con EdgeSwitch usando topología de empresa muestra

Resumen


En este artículo, los lectores aprenderán a configurar el EdgeSwitch para apoyar a LAN virtuales (VLAN). 

Implementación de VLANs requiere una administrado switch, como EdgeSwitch. Por IEEE 802.1Q, son encabezados de capa 2 frame etiquetado con la información de VLAN para que dispositivos VLAN-consciente (por ejemplo, interruptores, puntos de acceso) pueden reenviar el paquete (frame) en consecuencia.

Antes de implementar VLANs en la red, memorizo las siguientes ideas:

  1. Aunque VLANs se aparean normalmente con un único subred (IP de capa 3), VLANs son inherentemente un concepto de capa 2, ya que información de VLAN está contenida en el encabezado de marcos (la PDU que encapsula el paquete IP).
  2. Inter-VLAN de enrutamiento requiere un router (o encaminamiento en un interruptor de múltiples capa). En Google "Router en un palo" para aprender más.
  3. Acceso los puertos conectarse a hosts (que ellos mismos desconocen VLAN tagging). Siempre se elimina el encabezado VLAN a medida que el marco pasa del interruptor al host. 
  4. Tronco de puertos recibir y transportar tráfico entre varias VLAN, como cuando se conectan dos interruptores (o un switch y un punto de acceso). La configuración de VLAN a ambos lados del tronco debe ser idéntica en estos casos.

Topología de


La siguiente topología es un ejemplo de una red con varios diferentes VLAN:

  1. Gestión (VLAN1-default, sin etiquetar , negro)
  2. Video (VLAN2, etiquetado , rojo)
  3. VoIP (VLAN3 etiquetado , de color amarillo)
  4. Corporativa (VLAN4, etiquetado , verde)
  5. Invitado (VLAN5, etiquetado , azul)

 

Información del dispositivo (direcciones, SSIDs, descripción)

Router 1 (r1, ERLite-3)

  • eth0: 192.168.1.1
  • eth0.2: 192.168.2.1
  • eth0.3: 192.168.3.1
  • eth0.4: 192.168.4.1
  • eth0.5: 192.168.5.1

Interruptor 1 (sw1, ES-24-500W)

  • 192.168.1.2

Switch 2 (sw2, ES-48, 750W)

  • 192.168.1.3

Punto de acceso 1 (ap1, UAP-PRO)

  • 192.168.1.4
  • WLAN corporativo (VLAN4)
  • WLAN-Guest (VLAN5)

Nota: troncos llevar VLAN 1-5 de r1 a sw1 a sw2 y VLAN 1, 4 y 5 a ap1 . ap1 recibe tráfico de administración en la VLAN1 mientras que difusión WLANs asociado VLAN4 y VLAN5. 

Equipo administrador (MBA 13")

  • 192.168.1.10

Nota: Asumimos que este equipo es responsable de gestionar centralmente todo el equipo (por ejemplo, controladores) mientras también configurar equipos por este tutorial y ejecutar pruebas de ping para la conectividad.

Cámara 1 (UVC-Dome)

  • 192.168.23

Cámara 2 (UVC)

  • 192.168.2.24

Teléfono IP (UVP)

  • 192.168.3.33

Wi-Fi cliente 1 (iPhone)

  • 192.168.4.11

Wi-Fi cliente 2 (iPod)

  • 192.168.5.11

Nota: Se recomienda que configure los equipos de la topología en el siguiente orden:

  1. EdgeSwitch (pero solamente IPs estáticas, nombre del dispositivo y PoE configuración para dispositivos de potencia)
  2. Cámaras, teléfonos, etc. (pero sólo con IPs estáticas y puerta de enlace para la prueba)
  3. EdgeRouter (por ejemplo, servidores DHCP, interfaces virtuales para permitir la inter-VLAN de enrutamiento para probar)
  4. PEA AP (por ejemplo, dirección IP estática para etiquetas AP y VLAN para que coincida con creado WLAN)
  5. EdgeSwitch (VLANs, véase la sección siguiente)

Configuración de EdgeSwitch


Vamos a empezar a configurar sw1 , entonces sw2 para pasar el tráfico de VLAN según nuestra topología y asumir que la EdgeRouter y PEA equipos ya se han configurado.

 

Nota: La siguiente configuración presupone que el interruptor ha sido ajustado de fábrica, habiendo tenido sólo los cambios realizados en las siguientes:

  1. Nombre del sistema (para identificar el dispositivo)
  2. Sistema IP (para evitar conflictos IP entre varios EdgeSwitch)
  3. Configuración de PoE (a los dispositivos de poder para empezar a administrar)

Configuración SW1

Nota: en caso de una configuración de cambio provoca que pierda el acceso a la EdgeSwitch durante la configuración, simplemente ciclo de alimentación el interruptor y la configuración anterior serán restaurados.

  1. Conectar el equipo administrador a 10 del puerto de sw1 , desplácese a 192.168.1.2 en el navegador web.

    Nota: Asegúrese de que PoE está deshabilitada en este puerto antes de conectar el dispositivo.

  2. Bajo De conmutación > VLAN > Estado, haga clic en Añadir Añadir 2-5 para el rango de VLAN en el EdgeSwitch.



    Nota: Los identificadores de VLAN asociada SW1 incluye 1-5, donde:
    1. Gestión (VLAN1- por defecto , untagged)
    2. Video (VLAN2, tagged)
    3. VoIP (VLAN3, tagged)
    4. Corporativa (VLAN4, tagged)
    5. Invitado (VLAN5, tagged)



  3. A continuación, desplácese a conmutación > VLAN > puerto configuración y asegúrese de que ID de VLAN 1 se selecciona en el menú desplegable. A continuación, seleccione todos de la mostrar filas menú desplegable para comenzar a configurar VLAN1 en todos los puertos en sw1 .



  4. Seleccione todos los puertos excepto interfaz 0/1 , 0/10 y 0-24, Haga clic en edición y la parte inferior de la interfaz gráfica. El puerto 0/1 y 0/24 son tronco puertos Puerto 10 existe como un gestión Puerto (perteneciente a la VLAN1 por defecto).

    Nota: El propósito de este paso es evitar el acceso por defecto, VLAN de administración por usuarios no autorizados (por ejemplo, usuario se conecta al puerto del switch al azar).

    Nota: Aunque usted puede ser tentado para hacer clic en editar todos , esta voluntad de hecho, editar todos los puertos incluidos los tronco y gestión puertos, lo que podrían trabar hacia fuera del dispositivo. Mediante la GUI, debe seleccionar cada puerto individual a configurarse.



  5. Asegurar los puertos correctos se enumeran, a continuación, seleccione excluir , haga clic en enviar .



    Nota: Normal, sin etiquetar que llegan a cualquier puerto excepto los paquetes 0/1 , 0/10 , o, 0/24 , ahora será rechazada.

    Nota: Si pierdes acceso, probablemente usted ha bloqueado fuera del interruptor y siga los pasos descritos en la sección posterior de este tutorial titulado "Restaurar configuración".

  6. Mientras que aún bajo conmutación > VLAN > puerto configuración , seleccione 2 en el menú desplegable de ID de VLAN .



  7. Then select Ports 0/1 and 0/24 (the trunk ports) and apply the following configuration:



    Then select Port 0/23 (the access port for UVC belonging to Video VLAN2) and apply the following configuration:



    Note: Ports 0/1 and 0/24 (trunk ports) for sw1 are now marked to participar en VLAN2, lo que significa que pasará tráfico etiquetado VLAN2 en la cabecera. El acceso puerto (0/23) de sw1 también participa en VLAN2 y será 1) etiqueta paquetes (frames) se pasaban aguas arriba (lejos de la UVC), o, 2) untag paquetes (frames) se pasaban aguas abajo (hacia el UVC).

  8. A continuación, desplácese a conmutación > VLAN > puerto Resumen , seleccione todos de la mostrar filas menú desplegable. Seleccione Puerto de 0/23 , haga clic en edición , entonces aplique la siguiente configuración:



    Nota: el VLAN ID identifica la VLAN para que sin etiquetar o prioridad etiquetado de tramas recibidas en este puerto. Este valor también es conocido como el ID de VLAN de puerto (PVID). En un marco etiquetado, la VLAN es identificada por el ID de VLAN en la etiqueta.

    Nota: acceso puerto de 0/23 ahora aceptar y recibir etiquetas y sin etiquetar cuadros pertenecientes a la VLAN2. Suponiendo que Inter-VLAN de enrutamiento ha sido correctamente configurado en r1 , puede ping 192.168.2.23 (UVC en Video VLAN2 conectado a sw1) para probar que la configuración de VLAN en sw1 s funciona correctamente.



  9. Volver a conmutación > VLAN > puerto configuración y seleccione ID de VLAN 3 en el menú desplegable.



  10. Seleccione puertos 0/1 y 0/24 (el tronco puertos), haga clic en edición , haga clic en enviar después de aplicar la siguiente configuración:



  11. Repita los pasos 9 y 10 para los dos ID de VLAN 4 y 5 (otra vez en los puertos 0/1 y 0/24 , la tronco puertos).





    Note: sw1 is now configured to pass all traffic on trunk ports 0/1 and 0/24, Management traffic on port 0/10 and Video (VLAN2) traffic on Port 0/23.

  12. Finalmente, haga clic en el guardar configuración botón en la parte superior derecha de la pantalla para aplicar la activa configuración a la configuración de arranque , luego siga las instrucciones que aparecen.



    Nota: La configuración activa se actualiza después de la enviar botón se hace clic en después de un cambio en la configuración, pero no es permanente. Para hacer cambios permanentes, la configuración activa debe ser guardado a la configuración de arranque .



 

Configuración de SW2

 

Nota: sw2 estará configurado de manera similar a sw1 , donde tronco puertos llevar todo deseado tráfico mientras acceso puertos pasan solamente tráfico relativo a la PVID . This means that trunk port 0/1 will carry all VLAN traffic while trunk port 0/48 will pass select (VLAN1, 4, and, 5) traffic, while access port 0/24 will pass Video (VLAN2) traffic while access port 0/33 will pass VoIP (VLAN3) traffic.

 

  1. Deja el equipo administrador conectado al puerto de 0/10 de sw1 y conecte el puerto 0/24 de sw1 al puerto 0/1 de sw2 , desplácese a 192.168.1.3 en el navegador web.

    Nota: Asegúrese de que PoE pasivo está deshabilitada en ambos puertos antes de conectar los interruptores.

    Nota: Si todos los pasos fueron seguidos correctamente en la configuración anterior, deben tener acceso a sw2 en 192.168.1.3, a pesar de estar conectado a 0/10 de sw1 . Si usted no puede tener acceso a sw2 , compruebe su configuración de VLAN, luego conecte directamente a sw2 para comprobar su configuración.

  2. Bajo De conmutación > VLAN > Estado, haga clic en Añadir Añadir 2-5 para el rango de VLAN en el EdgeSwitch.



    Nota: Como con SW1, asociada a los identificadores de VLAN SW2 ahora incluyen 1-5, donde:
    1. Gestión (VLAN1 por defecto, untagged)
    2. Video (VLAN2, tagged)
    3. VoIP (VLAN3, tagged)
    4. Corporativa (VLAN4, tagged)
    5. Invitado (VLAN5, tagged)



  3. A continuación, desplácese a conmutación > VLAN > puerto configuración y asegúrese de que ID de VLAN 1 se selecciona en el menú desplegable. A continuación, seleccione todos de la mostrar filas menú desplegable para comenzar a configurar VLAN1 en todos los puertos en sw2 .



  4. Seleccione todos los puertos excepto interfaz 0/1 y 0/48, a continuación, haga clic en editar y la parte inferior de la interfaz gráfica. Puerto de 0/1 y 0/48 son tronco puertos destinados al transporte de todos deseado el tráfico de VLAN.



  5. Asegurar los puertos correctos se enumeran, a continuación, seleccione excluir , haga clic en enviar .



    Nota: Normal, sin etiquetar que llegan a cualquier puerto excepto los paquetes 0/1 y 0/48 ahora será rechazada.

  6. Mientras que aún bajo conmutación > VLAN > puerto configuración , seleccione 2 en el menú desplegable de ID de VLAN .



  7. Then select Ports 0/1 (the trunk port back to r1) and apply the following configuration:



    Then select Port 0/24 (the access port for UVC belonging to Video VLAN2) and apply the following configuration:



    Note: Only Port 0/1 for sw2 is marked to participate in VLAN2 since Port 0/48 se conecta a ap1 , que es no deseado al pasar Video (VLAN2) tráfico. El acceso puerto (0/24) de sw2 también participa en VLAN2 y untag paquetes (Marcos) se pasaban aguas abajo (en el airCam).

  8. Next, navigate to Switching > VLAN > Port Summary, then select Port 0/24, click Edit, then apply the following configuration:



    Note: Access port 0/24 will now accept and receive tagged and untagged frames belonging to VLAN2. Suponiendo que Inter-VLAN de enrutamiento ha sido correctamente configurado en r1 , puede ping 192.168.2.24 (el airCam en Video VLAN2 conectado a sw2) para probar que la configuración de VLAN en sw1 y sw2 está trabajando correctamente.



  9. Volver a conmutación > VLAN > puerto configuración y seleccione ID de VLAN 3 en el menú desplegable.



  10. Seleccione Puerto de 0/33 (el acceso Puerto de UVP perteneciente al VoIP VLAN3) y aplique la siguiente configuración:



  11. Next, navigate to Switching > VLAN > Port Summary, then select Port 0/33, click Edit, then apply the following configuration:



    Note: Access port 0/33 will now accept and receive tagged and untagged frames belonging to VLAN3. Suponiendo que Inter-VLAN de enrutamiento ha sido correctamente configurado en r1 , puede ping 192.168.3.33 (UVP en VoIP VLAN3 conectado a sw2) para probar que la configuración de VLAN en sw1 y sw2 está trabajando correctamente.



  12. Volver a conmutación > VLAN > puerto configuración y seleccione ID de VLAN 4 en el menú desplegable.
  13. Continuación, seleccione los puertos 0/1 y 0/48 (el tronco puertos) y aplique la siguiente configuración:



  14. Repeat steps 11 and 12 for VLAN ID 5:



    Note: sw1 is now configured to pass all traffic on trunk ports 0/1, video (VLAN2) traffic on port 0/24,VoIP (VLAN3) traffic on port 0/33 and all desired(VLAN1 4 y 5) el tráfico en tronco puerto de 0/48 . Suponiendo que r1, ap1 , sw2 , y sw1 se asocian correctamente configurados, inalámbricos clientes unirse a WLANs corporativo VLAN4 y Guest VLAN5 recibirán información de la dirección DHCP, confirmando que las VLAN están configuradas correctamente de extremo a extremo.



  15. Finalmente, haga clic en el guardar configuración botón en la parte superior derecha de la pantalla para aplicar la activa configuración a la configuración de arranque , luego siga las instrucciones que aparecen.



    Nota: La configuración activa se actualiza después de la enviar botón se hace clic en después de un cambio en la configuración, pero no es permanente. Para hacer cambios permanentes, la configuración activa debe ser guardado a la configuración de arranque .



 

Restaurar la configuración


Entiendo que si la configuración de VLAN está configurada incorrectamente puede tomar una serie de acciones para restaurar la configuración predeterminada:

 

  1. Si usted todavía tiene acceso a la interfaz gráfica de usuario de la Web EdgeSwitch, puede restablecer la configuración de VLAN ' s sin perder otros cambios en la configuración (por ejemplo, sistema IP, nombre de dispositivo). Vaya a conmutación > VLAN > Reset y siga las instrucciones para ejercer el restablecer la configuración de VLAN la función.





    Nota: La configuración de VLAN volverá a su estado predeterminado de fábrica (sólo por defecto VLAN1 sin etiquetar habilitado en todos los puertos).

  2. Si ya no tienes acceso a la EdgeSwitch (por ejemplo, bloqueado), y la configuración no fue guarda (por paso 11 en la sw1 sección de configuración), se puede ciclo de alimentación EdgeSwitch para restaurar la configuración anterior (que existía antes cuando se hicieron los cambios).

    Nota: Los otros cambios de configuración realizados también se perderán.

  3. Si ya no tienes acceso a la EdgeSwitch y se salvaron los cambios de configuración, necesita realizar un hard-reset pulsando y manteniendo pulsado el botón reset hasta que los ciclos de LED (15 segundos).

 

EdgeRouter y la integración de la PEA


Para ver cómo está configurado el EdgeRouter, este artículo KB .

Para ver cómo está configurado el UniFi, visita este artículo KB.