2024. március 28., csütörtök

Gyorskeresés

Mikrotik + Unifi Access Point - Vendéghálózat elszigetelése

Írta: |

[ ÚJ BEJEGYZÉS ]

Ez csak egy rövid útmutató a hálózat elválasztásáról a Mikrotik, az Ubiquity Unifi AP, a VLAN és a vendégházirendek használatával.

Mit akarunk elérni:

2 SSID, egy vállalati felhasználóknak és egy a vendégek számára
1 Menedzsment hálózat, ahol az összes WAP lesz
A vendégházirendre vonatkozó vendégszabályzat érvényes
MEGJEGYZÉS: Hiányzik a tűzfalkonfiguráció a forgalom valódi elszigeteléséhez, ennek meg kell várnia, amíg újra hozzáférni tudok a hardverhez. Nem szabad nehéznek lennie, csak hagyja, hogy a vendég hálózat kihajtsa az internetet és semmi mást (néhány előremenő és bemeneti lánc szabálynak meg kell tennie)
1. rész: A Mikrotik beállítása

a. Nevezze felületeit:

b. Készítsen 2 új VLAN interfészt:

Az én esetemben van egy ecorp-vlan, amely a vállalati hálózat lesz, és az ecorp-guest-vlan csak a vendégek számára van. Később minden vlannak mutatunk egy DHCP szervert. Ezek a VLAN-ok az 5. porton lesznek, amelyhez csatlakoztatom az egyetlen WAP-ot. Ezt a portot használnám, ha van egy kezelt kapcsolóm, amelyen van csomagtartó-port. Ideális forgatókönyv az, ha rendelkezik egy kezelt kapcsolóval, amely PoE-t biztosít (802.3af szerintem ez a szabvány) az összes WAP-hoz.


c. Készítsen 2 hidat ezekhez a vlanokhoz és 1 híd az éter5hez.

A Management-Bridge portja csak az ether5-TRUNK-ot tartalmazza, az ecorp-Bridge az ecorp-vlan-ot és az ether2-LAN-t tartalmazza (ez a vállalati hálózatunk), az ecorp-guest-bridge pedig a vendég vlan-ot és az ether4-GUESTS-t tartalmazza. Úgy gondolom, hogy ez kissé másképp megtehető, anélkül, hogy feláldozzuk az ether4-et, csak a DHCP-kiszolgáló futtatására, de ezt megcsináltam és körülbelül 15 perc alatt dolgoztam, tehát most már rendben vagyok vele.

[L:/dl/upc/2019-12/05/4923_afvkzqxdj7jdogco_010_16-30.png][kép][/L]

d. Normál hálózati beállítások.

Ezután hozzá kell rendelnie egy IP-címet az egyes hídokhoz, létrehoznia kell a címek készletét minden DHCP-kiszolgálóhoz, és minden egyes Bridgehez létrehoznia egy DHCP-kiszolgálót. Mindenféle szabványos beállítás, mint ahogyan egy vadonatúj Mikrotik routerboardnál tenné, csak ezúttal megtesszük a 3. alkalmat.

Ez a felület lista, amely jelenleg van:

[L:/dl/upc/2019-12/05/4923_tvat2edew6q1wbb5_012_16-30.png][kép][/L]

DHCP-kiszolgálók:

[L:/dl/upc/2019-12/05/4923_sdrxpfwxs9bkg7r2_011_16-30.png][kép][/L]

e. Összegezve:

Ebben a tesztforgatókönyvben a WAP-m az ether5-hez kapcsolódik a Mikrotik-on, az Unifi vezérlőm a hálózaton kívül él, a 172.16.0.0/24 tartományban (így szimulálhatom a wan kapcsolatot egy második RB-vel), és hozzáférhető a minden hálózat (menedzsment 10.10.10.0/24, Corporate Lan 192.168.88.0/24 és Guest Network 10.0.0.0/24). A több tervezést és időt igénylő forgatókönyvben valószínűleg csak a felügyeleti hálózatról engedélyezem a vezérlőhöz való hozzáférést, nincs szükség vendégre vagy akár a helyi LAN-ra a vezérlőhöz való hozzáféréshez, de később könnyen hozzáadhatunk szabályokat, ha erre szükségünk van.

A mikrotik-on található VLAN-ok vezérlik a forgalom áramlását, bármi, ami a vlan 100-on látható a vállalati hálózaton, bármi, ami a vlan 200-on, vendégforgalom.

2 - Konfigurálja a WAP-kat

Egységes vezérlőmmel létrehoztam egy új teszthelyet, hozzáadtam két SSID-t a vállalatok és a vendégek számára, és beállítottam a megfelelő VLAN-címkéket.



Láthatja, hogy minden SSID saját VLAN-on van, és a hozzáférési pont a kezdeti IP-címét a felügyeleti dhcp szerverről veszi, azt hiszem, „nem címkézettnek” fogja tekinteni.

A következő kép a vezérlőn jeleníti meg a WAP-ot a felügyeleti hálózaton:

[L:/dl/upc/2019-12/05/4923_pvbi17ejgkbmlodt_016_16-39.png][kép][/L]

Ez az ecorphoz és az ecorp-vendéghez csatlakoztatott két ügyfelet mutatja a megfelelő DHCP-kiszolgálók által megadott IP-címekkel:

Ez tehát ez a gyors és piszkos útmutató, amellyel külön hálózatot állíthat fel a vendégek számára Unifi vezérlő és néhány Unifi hozzáférési pont segítségével. Ez a legjobb módszer erre? Lehet, hogy nem, 15 perc alatt elvégzi a munkát? igen, igen… Ha lehetőségem van leülni, megtervezni és kipróbálni egy hasonló beállítást, akkor mindenképpen dokumentálom és frissítem ezt a bejegyzést, de most bármilyen kérdése / megjegyzése / megbeszélése elküldhető az itt található elérhetőségekre .

Köszönjük, hogy megnézted a blogot!
Ez egy másolt és fordított oldal, az eredeti : [www.dr0u.com]

Hozzászólások

(#1) Gargouille


Gargouille
őstag

Hasznos, hogy ezt így leírtad, biztos, hogy sokaknak segítség lesz. Csak építő szándékkal pár gondolat:

- Ha a Unifi vezérlőben egy hálózatnál bepipálod az "Apply guest policy..."-t, akkor már eleve az AP elszeparálja egymástól a klienseket. Vagyis a wifi kliensek nem fognak tudni egymással kommunikálni.

- Nem kell 3db bridge ehhez, elég ha egy bridge-be rakod az összes LAN oldali interface-t és csinálsz egy VLAN interface-t ami szintén a bridge-be rakható. A bridge-nek is adsz egy DHCP szervert (mondjuk 192.168.10.0/24) és a VLAN interface-nek is egy másikat (mondjuk 10.10.0.0/24). A két hálózat közt meg egyetlen tűzfaszabállyal le tudod zárni a kapcsolatot. Unifi vezérlőben pedig a guest hálózatnak megadod VLAN ID-ként amit a VLAN interface-ednek adtál, a belső wifi hálózatnak meg nem adsz VLAN ID-t.

Ezzel azt érted el, hogy van 2 SSID, külön egy irodai és külön egy vendég, a router fizikai portjai pedig mind az irodai hálózatba néznek. Tetszőleges számú VLAN-t tudsz így még alápakolni további bridge-ek nélkül, tök egyszerűen.

Ha azt akarod, hogy ezen felül a Mikrotik fizikai lábai is mind külön hálózathoz legyenek dedikálva akkor pedig az InterVLAN a kulcsszó: https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#2) laczo


laczo
tag

Köszönöm :))

Gandalf mondja a Hobbitoknak: Jó nektek Hobbitok, mert a munkátok a hobbitok !!

További hozzászólások megtekintése...
Copyright © 2000-2024 PROHARDVER Informatikai Kft.