info_i_25x25.png See important information about Ubiquiti Devices and KRACK Vulnerability in this article. We will update this document as more information becomes available.

UniFi - como é que a VLAN tráfego ficar marcado?

Resposta


Em suma, AP UniFi marcas pacotes quando sai de WLAN para o fio. Quando marcado tráfego vem do fio, vai desmarcá-lo e enviá-lo à WLAN. Nós compilamos uma exemplo de implantação para explicar melhor a configuração real de switches VLAN-pronto.

Tráfego de marcação / remoção


  1. Tráfego de iniciados da AP é sem marcas de formatação (enviado através de br0). Isso inclui a gestão e tráfego RADIUS, como descrito abaixo:
    1. AP <-> controlador (tráfego de gerenciamento)
    2. AP <-> RADIUS (quando o WPA-Enterprise é usado)
  2. O tráfego de WLAN sem VLAN configurada é sem marcas de formatação (o athX é ponte para br0)
  3. O tráfego da WLAN com VLAN configurada é sempre marcado (athX em ponte para br0. VLAN para eth0. VLAN):
    1. AP <-> RADIUS (quando o WPA-Enterprise é usado)
    2. Estação-> AP (etiquetas)-> interruptor
    3. Estação <-AP (untags) <-interruptor

Se ele é redirecionado (para o portal comentários) não importa. Quando WLAN é configurada com VLAN, o tráfego será marcado quando deixa o AP. No entanto, depois que o tráfego é marcado pelo AP, cabe a você para onde como ele deve ser passado upstream.

Aqui está um exemplo:

My management network: 10.0.0.0/24
Guest VLAN network: 15.0.0.0/24

Switch:
AP connected to port 5 (vlan1-untagged and vlan5-tagged)
Ubuntu connected to port 1 (vlan1-untagged and vlan5-tagged)
Controller connected to port 8 (vlan1-untagged)

Ubuntu (act as a Router)
eth0: 10.0.0.2/24, routable to the Interet (gateway 10.0.0.1)
eth0.5: 15.0.0.1/24, NATed to eth0

Controller is at 10.0.0.26

Portais de comentários


É natural que pense em um acesso de convidado VLAN é mencionado, desde que os hóspedes colocados em sua própria VLAN são isolados de outras partes da rede. No entanto, existem alguns detalhes técnicos para falar.

Vamos começar com a implantação de VLAN a base onde o portal de comentários não está habilitado:

1. UniFi AP tags wlan->wire traffic
2. AP-controller is untagged
3. controller is likely running on untagged interface
4. configured inside the AP:

guest --- br0.3 --- eth0.3 --3--+
          br0 ------------------+--u,3---port1
corp  -----+ 

Exemplo de implantação:

  • Port8 conectando a porta de DMZ do router, adicione port8 como membro do vlan3 e remoção. habilitar o servidor DHCP na sua DMZ
  • port5 conectando a rede interna, tem port5 untagged.


O que acontece quando o portal comentários habilitado com VLAN

Quando o portal de comentários está habilitada, o controlador atua como um servidor de portal e os convidados serão redirecionados para http://unifi_ip:unifi_http_portal_port/comentários /. Isto é onde os problemas podem surgir - convidado é na vlan3, em ponte de DMZ, pode chegar a unifi_ip:unifi_http_portal_port de jeito nenhum.

No cenário acima, uma solução para o problema é adicionar regras ao seu router

  1. Adicionar rota para o tráfego do DMZ-> unifi_ip
  2. permitir o DMZ-> unifi_ip: unifi_http_portal_port

Outra solução, onde montamos a subir na escala, é o controlador de execução ao NOC ou nuvem.