info_i_25x25.png See important information about Ubiquiti Devices and KRACK Vulnerability in this article. We will update this document as more information becomes available.

EdgeMAX - passo a passo VLAN com EdgeSwitch, usando o exemplo de topologia de empresa

Visão geral


Neste artigo, os leitores vão aprender a configurar o EdgeSwitch para oferecer suporte a LANs virtuais (VLANs). 

Implementação de VLANs requer um gerenciado interruptor, como EdgeSwitch. Por IEEE 802.1 q, quadro de camada 2 cabeçalhos é marcados com informações de VLAN para que dispositivos VLAN-aware (por exemplo, interruptores, pontos de acesso) podem encaminhar o pacote (quadro) em conformidade.

Antes de implantar VLANs em sua rede, cometer as seguintes idéias para memória:

  1. Apesar de VLANs são tipicamente emparelhados com um único sub-rede (IP camada-3), VLANs são inerentemente um conceito de camada 2, desde que informações de VLAN estão contidas no cabeçalho da frames (o PDU que encapsula o pacote IP).
  2. Roteamento inter-VLAN requer um roteador (ou roteamento em um switch de camada múltipla). Google "Router-on-a-pau" para saber mais.
  3. Acesso portas se conectar aos hosts (que se não estão cientes da VLAN tagging). O cabeçalho VLAN sempre é removido quando o quadro passa do switch para o host. 
  4. Porta-malas portas receber e transportar tráfego entre várias VLANs, como quando os dois interruptores estão ligados (ou um interruptor e um ponto de acesso). A configuração de VLAN de ambos os lados do tronco deve ser idêntica em tais casos.

Topologia


Esta topologia é um exemplo de uma rede com várias VLANs diferentes:

  1. Gerenciamento de (VLAN1-padrão, não marcados , preto)
  2. Vídeo (VLAN2, marcados , vermelho)
  3. VoIP (VLAN3 marcados , amarelo)
  4. Corporativa (VLAN4, marcados , verde)
  5. Comentários (VLAN5, marcados , azul)

 

Informações do dispositivo (endereços, SSIDs, descrição)

Roteador 1 (r1, ERLite-3)

  • eth0: 192.168.1.1
  • eth0.2: 192.168.2.1
  • eth0.3: 192.168.3.1
  • eth0.4: 192.168.4.1
  • eth0.5: 192.168.5.1

Interruptor 1 (sw1, ES-24-500W)

  • 192.168.1.2

Interruptor 2 (sw2, ES-48, 750W)

  • 192.168.1.3

Ponto de acesso 1 (ap1, UAP-PRO)

  • 192.168.1.4
  • WLAN-corporativa (VLAN4)
  • WLAN-comentários (VLAN5)

Nota: Trunks transportar VLANs 1-5 de r1 para sw1 para sw2 e as VLANs 1, 4 e 5 para ap1 . ap1 recebe tráfego de gerenciamento na VLAN1, enquanto transmitir WLANs associado com VLAN4 e VLAN5. 

Computador admin (MBA 13")

  • 192.168.1.10

Nota: Nós assumimos que este computador é responsável por gerenciar centralmente todos os equipamentos (por exemplo, controladores) ao mesmo tempo Configurando o equipamento por este passo a passo e executando testes de ping para conectividade.

Câmera 1 (UVC-Dome)

  • 192.168.23

Câmera 2 (UVC)

  • 192.168.2.24

Telefone IP (UVP)

  • 192.168.3.33

Wi-Fi cliente 1 (iPhone)

  • 192.168.4.11

Wi-Fi 2 cliente (iPod)

  • 192.168.5.11

Nota: É recomendável que você configure o equipamento da topologia na seguinte ordem:

  1. EdgeSwitch (mas apenas IPs estáticos, nome do dispositivo e PoE configuração de dispositivos de poder)
  2. Câmeras, telefones, etc. (mas apenas com IPs estáticos & Gateway para testes)
  3. EdgeRouter (, servidores DHCP, interfaces virtuais para permitir o roteamento inter-VLAN para testes)
  4. UniFi AP (por exemplo, endereço IP estático para AP e VLAN tags para combinar criado WLANs)
  5. EdgeSwitch (VLANs, consulte a próxima seção)

Configuração de EdgeSwitch


Vamos começar a configurar o sw1 , então sw2 para passar tráfego VLAN, de acordo com nossa topologia e assumir que o EdgeRouter e UniFi equipamento já tiver sido configurado.

 

Nota: A configuração a seguir presume que os switches são definidos como padrão de fábrica, tendo somente as alterações feitas para o seguinte:

  1. Nome do sistema (para identificar o dispositivo)
  2. Sistema IP (para evitar conflito IP entre vários EdgeSwitch)
  3. Definições de configuração de PoE (para dispositivos de poder começar a gestão)

Configuração de SW1

Nota: no caso de uma configuração mudar causas perder acesso ao EdgeSwitch durante a configuração, simplesmente ciclo de energia o interruptor e a configuração anterior será restaurado.

  1. Conectar o computador Admin para 10 Porto de sw1 , em seguida, navegue para 192.168.1.2 no navegador da web.

    Nota: Certifique-se que PoE está desabilitado nesta porta antes de ligar o seu dispositivo.

  2. Sob Comutação > VLAN > Status, clique em Adicionar Adicionar 2-5 para a gama de VLANs no EdgeSwitch.



    Nota: As IDs de VLAN associada SW1 Agora inclui 1-5, onde:
    1. Gerenciamento de (VLAN1- padrão , untagged)
    2. Vídeo (VLAN2, tagged)
    3. VoIP (VLAN3, tagged)
    4. Corporativa (VLAN4, tagged)
    5. Comentários (VLAN5, tagged)



  3. Em seguida, navegue até Switching > VLAN > configuração porta e certifique-se de que VLAN ID 1 é selecionado no menu suspenso. Em seguida, selecione todos da exibir linhas menu dropdown para começar a configurar a VLAN1 através de todas as portas em sw1 .



  4. Selecionar todas as portas exceto Interface 0/1 , 0/10 e, 0/24, clique em editar e a parte inferior da interface gráfica. Porto 0/1 e 0/24 são tronco portos enquanto porto 10 existe como um gestão Porto (pertencentes o VLAN1 padrão).

    Nota: O objetivo desta etapa é impedir o acesso para o padrão, VLAN de gerenciamento por usuários não autorizados (por exemplo, usuário conecta a porta do switch aleatório).

    Nota: Embora você pode ser tentado a clicar editar tudo , esta vontade de fato, editar todas as portas inclusive o tronco e gestão portos, o que poderiam bloquear-te para fora do dispositivo. Através do GUI, você deve selecionar cada porta individualmente para ser configurado.



  5. Certifique-se de portas corretas estão listadas e, em seguida, selecione excluir , clique em Submit .



    Nota: Normal, não marcados os pacotes que chegam em qualquer porta excepto 0/1 , 0/10 , ou, 0/24 , agora serão rejeitadas.

    Nota: Se você perder o acesso, você tem provavelmente se trancou fora o interruptor e precisará seguir as etapas na seção posteriormente nesta explicação passo a passo intitulado, "Restaurar a configuração".

  6. Enquanto ainda abaixo dos Switching > VLAN > configuração porta , selecione o menu suspenso para 2 VLAN ID .



  7. Then select Ports 0/1 and 0/24 (the trunk ports) and apply the following configuration:



    Then select Port 0/23 (the access port for UVC belonging to Video VLAN2) and apply the following configuration:



    Note: Ports 0/1 and 0/24 (trunk ports) for sw1 are now marked to participar na VLAN2, significando que eles vão passar tráfego com VLAN2 a tag no cabeçalho. O acesso Porto (0/23) para sw1 também participa na VLAN2 e será 1) marca pacotes (frames) como eles são passados upstream (longe do UVC), ou, 2) desmarcar- pacotes (frames) como eles são passados a jusante (em direção a UVC).

  8. Em seguida, navegue até Switching > VLAN > porto Resumo , selecione todos da exibir linhas menu dropdown. Selecione porta 0/23 , clique em editar , em seguida, aplique a seguinte configuração:



    Nota: O VLAN ID identifica a VLAN a qual untagged ou prioridade com a tag quadros recebidos nesta porta. Esse valor também é conhecido como o Port VLAN ID (PVID). Em um quadro de etiquetado, a VLAN é identificada pelo VLAN ID na marca.

    Nota: acesso Porto 0/23 agora irá aceitar e receber etiquetado e não marcados quadros pertencentes a VLAN2. Supondo que roteamento Inter-VLAN foi corretamente configurado em r1 , você pode executar ping 192.168.2.23 (o UVC em vídeo VLAN2 ligado ao sw1) para testar que a configuração de VLAN em sw1 eu s funcionando corretamente.



  9. Retorno de Switching > VLAN > configuração porta e selecione VLAN ID 3 no menu suspenso.



  10. Selecione portas 0/1 e 0/24 (a tronco portos), clique em editar , clique em Submit depois de aplicar a seguinte configuração:



  11. Repita as etapas 9 e 10 para os dois VLAN ID 4 e 5 (novamente nas portas 0/1 e 0/24 , o tronco portas).





    Note: sw1 is now configured to pass all traffic on trunk ports 0/1 and 0/24, Management traffic on port 0/10 and Video (VLAN2) traffic on Port 0/23.

  12. Finalmente, clique na salvar configuração botão no canto superior direito da tela para aplicar o ativo configuração para o configuração de inicialização , em seguida, siga as instruções que aparecem.



    Nota: O configuração ativa é atualizada após o Submit botão é clicado, após uma alteração de configuração, mas não é permanente. Para fazer mudanças permanentes, o configuração ativa deve ser salvou para o configuração de inicialização .



 

Configuração de SW2

 

Nota: sw2 será configurado da mesma forma a sw1 , onde tronco portos de transporte tudo desejado tráfego enquanto acesso portas passam apenas tráfego relativo à PVID . This means that trunk port 0/1 will carry all VLAN traffic while trunk port 0/48 will pass select (VLAN1, 4, and, 5) traffic, while access port 0/24 will pass Video (VLAN2) traffic while access port 0/33 will pass VoIP (VLAN3) traffic.

 

  1. Deixar o computador Admin conectada à porta 0/10 de sw1 e se conectar a porta 0/24 de sw1 para porta 0/1 de sw2 , navegue até 192.168.1.3 no navegador da web.

    Nota: Certifique-se que PoE passivo é desabilitada em ambas as portas antes de conectar os interruptores.

    Nota: Se todos os passos foram seguidos corretamente na configuração anterior, você deve ter acesso ao sw2 na 192.168.1.3, apesar de estar ligado a 0/10 de sw1 . Se você não pode acessar sw2 , verifique a configuração de VLAN e, em seguida, conectar diretamente a sw2 para verificar sua configuração.

  2. Sob Comutação > VLAN > Status, clique em Adicionar Adicionar 2-5 para a gama de VLANs no EdgeSwitch.



    Nota: Como com SW1, os IDs da VLAN associada SW2 agora incluem 1-5, onde:
    1. Gerenciamento de (VLAN1-padrão, untagged)
    2. Vídeo (VLAN2, tagged)
    3. VoIP (VLAN3, tagged)
    4. Corporativa (VLAN4, tagged)
    5. Comentários (VLAN5, tagged)



  3. Em seguida, navegue até Switching > VLAN > configuração porta e certifique-se de que VLAN ID 1 é selecionado no menu suspenso. Em seguida, selecione todos da exibir linhas menu dropdown para começar a configurar a VLAN1 através de todas as portas em sw2 .



  4. Selecionar todas as portas exceto Interface 0/1 e 0/48, clique em editar e a parte inferior da interface gráfica. Porto 0/1 e 0/48 são tronco portos para transporte de todos desejado tráfego VLAN.



  5. Certifique-se de portas corretas estão listadas e, em seguida, selecione excluir , clique em Submit .



    Nota: Normal, não marcados os pacotes que chegam em qualquer porta excepto 0/1 e 0/48 agora serão rejeitadas.

  6. Enquanto ainda abaixo dos Switching > VLAN > configuração porta , selecione o menu suspenso para 2 VLAN ID .



  7. Then select Ports 0/1 (the trunk port back to r1) and apply the following configuration:



    Then select Port 0/24 (the access port for UVC belonging to Video VLAN2) and apply the following configuration:



    Note: Only Port 0/1 for sw2 is marked to participate in VLAN2 since Port 0/48 conecta-se ao ap1 , que é não desejado para passar vídeo (VLAN2) tráfego. O acesso Porto (0/24) para sw2 também participa na VLAN2 e vontade desmarcar- pacotes (frames) como eles são passados a jusante (para a airCam).

  8. Next, navigate to Switching > VLAN > Port Summary, then select Port 0/24, click Edit, then apply the following configuration:



    Note: Access port 0/24 will now accept and receive tagged and untagged frames belonging to VLAN2. Supondo que roteamento Inter-VLAN foi corretamente configurado em r1 , você pode executar ping 192.168.2.24 (a airCam em vídeo VLAN2 ligado ao sw2) para testar que a configuração de VLAN em sw1 e sw2 está funcionando corretamente.



  9. Retorno de Switching > VLAN > configuração porta e selecione VLAN ID 3 no menu suspenso.



  10. Selecione porta 0/33 (a acesso porto para UVP pertencentes a VoIP VLAN3) e aplique a seguinte configuração:



  11. Next, navigate to Switching > VLAN > Port Summary, then select Port 0/33, click Edit, then apply the following configuration:



    Note: Access port 0/33 will now accept and receive tagged and untagged frames belonging to VLAN3. Supondo que roteamento Inter-VLAN foi corretamente configurado em r1 , você pode executar ping 192.168.3.33 (da UVP em VoIP VLAN3 ligado ao sw2) para testar que a configuração de VLAN em sw1 e sw2 está funcionando corretamente.



  12. Retorno de Switching > VLAN > configuração porta e selecione VLAN ID 4 no menu suspenso.
  13. Em seguida, selecione portas 0/1 e 0/48 (a tronco portas) e aplicar a seguinte configuração:



  14. Repeat steps 11 and 12 for VLAN ID 5:



    Note: sw1 is now configured to pass all traffic on trunk ports 0/1, video (VLAN2) traffic on port 0/24,VoIP (VLAN3) traffic on port 0/33 and all desired(VLAN1 4 e 5) tráfego na tronco Porto 0/48 . Supondo que r1, ap1 , sw2 , e sw1 são clientes corretamente configurados, sem fios, juntando WLANs associados com Corporate VLAN4 e comentários VLAN5 receberá informações de endereço DHCP, confirmando que VLANs são configuradas corretamente de fim-de-final.



  15. Finalmente, clique na salvar configuração botão no canto superior direito da tela para aplicar o ativo configuração para o configuração de inicialização , em seguida, siga as instruções que aparecem.



    Nota: O configuração ativa é atualizada após o Submit botão é clicado, após uma alteração de configuração, mas não é permanente. Para fazer mudanças permanentes, o configuração ativa deve ser salvou para o configuração de inicialização .



 

Restaurar a configuração


Entendo que se a configuração de VLAN está configurada incorretamente, você pode tomar uma série de ações para restaurar a configuração padrão:

 

  1. Se você ainda tem acesso para o EdgeSwitch Web GUI, você pode redefinir a configuração de VLAN sem perder outras mudanças de configuração (por exemplo, o sistema IP, nome do dispositivo). Navegue até Switching > VLAN > Reset e siga os prompts para exercitar o Redefinir configuração de VLAN função.





    Nota: A configuração de VLAN retornará ao seu estado padrão de fábrica (somente padrão VLAN1 não marcados habilitado entre todas as portas).

  2. Se você não tem mais acesso para o EdgeSwitch (por exemplo, bloqueada), e a configuração ainda não foi salvo (por passo 11 na sw1 seção de configuração), você pode ciclo de energia o EdgeSwitch para restaurar a configuração anterior (o que existia antes de quando foram feitas alterações).

    Nota: Quaisquer outras alterações de configuração feitas também serão perdidas.

  3. Se você não tem mais acesso para o EdgeSwitch e salvaram-se as alterações de configuração, você precisará executar um hard-reset premindo e mantendo premido o botão de reset até os ciclos de LED (15 segundos).

 

EdgeRouter & UniFi integração


Para ver como o EdgeRouter está configurado, visite neste artigo KB .

Para ver como a UniFi está configurado, visite este artigo do KB.