[freeddos]

Здравствуйте.

Имеется ЦО и филиалы. Между филиалами и ЦО настроен VPN. Все работает. Необходимо в филиалах установить точки доступа wifi кометы которых должны иметь доступ к серверам ЦО. Каким образом настраивается маршрутизация и какой дизайн сети должен быть?

Сейчас используется для раздачи настроек campman и клиенты на филиалах на каждый ssid попадают в нужный vlan где им раздается адрес по dhcp (который поднят на маршрутизаторе филиала).

Основные вопросы правильный ли дизайн сети?

Как правильно настроить маршрутизацию?

[Saab95]

Если вы эти точки доступа подключите в филиалах, то они уже и так получат доступ в центр, если IP адрес контроллера указать.

[freeddos]

А клиенты которые получают wifi? Клиенты не могут достучаться из филиала в ЦО. Они пол чают адрес dhcp сервера который на маршрутизаторе филиала, выдает нужный пул адресов в нужный vlan. 

А сами wifi точки конечно имеют жост п к ЦО т.к. настройки с campsman они получают. 

[Saab95]

Тут опять же дело в правильных настройках. Вообще в удаленных офисах не стоит пробрасывать любого вида L2. Если у вас много офисов - в каждый выделяете уникальную подсеть для абонентов, уникальную подсеть для wi-fi, уникальную подсеть для адресации служебного оборудования. Далее выдаете эти адреса, фильтрами, при необходимости, ограничиваете доступ вот и все.

[freeddos]

Уникальные адреса подсетей есть для всех филиалов. А как быть когда клиентов wifi много и они должны быть в разных подсетях? Не может быть одинаковых подсветкой в двух разных филиалах для wifi клиентов?

У меня ещё несколько вопросов о целесообразности использования local forwarding в среде capsman?

 

[Saab95]

Если имеется в виду сеть для гостей и служебная - так и выделяете разные сети. Зачем вам в разных филиалах одинаковые подсети? Хотя и так сделать можно - если это служебная сеть, можно на основе MAC адреса устройства выделять уникальный IP адрес, при чем маршрутизируя его - L2 не требуется. Но это надо иметь общую картину сети, техническое задание.

[freeddos]

Как обойтись без VLAN если нужно раздавать несколько подсетей? и гостевая и несколько служебных.

На филиальном маршрутизаторе DHCP сервера отдающие нужные адреса в нужный VLAN.

Дальше нужна маршрутизация этих подсетей с ЦО.

[Saab95]

Так если с маршрутизатора офиса сети раздали, то нужно маршрутизацию в центр настроить так, что бы эти запросы под НАТ не попадали и все заработает.

[freeddos]

Вопрос решился через транквилизаторы порт между маршрутизатором филиала и точкой доступа.. в транке ходят vlanы каждой ssid точки. У клиентов wifi шлюзом по умолчанию является филиальных маршрутизатор. И на филиальной маршрутизаторе настроен НАТ на порт который шлёт трафик в ЦО, тем самым весь трафик воторый идёт от клиентов wifi тэгируется. На маршрутизаторе филиала тэги снимаются и шлются в ЦО через НАТ.

[sdy_moscow]

Мда....

[freeddos]

13 минут назад, sdy_moscow сказал:

Мда....

Можно прокомментировать. Спасибо. 

[sdy_moscow]

Да так, мысли в слух.

 

Вы просто спокойно прочтите что по-написали, теперь представьте что Ваш собеседник понятия не имеет, что Вы хотите и что сделали. И подумайте, как вам можно ответить на вопрос: хорошо или плохо вы всё сделали?

 

Если работает - уже хорошо, значит правильно.