Jump to content
Калькуляторы

Задачка про VLAN на D-Link

Есть небольшая офисная сеть.

В сети два коммутатора D-Link DES-3050, покупались в одно время, из одной партии.

Доступ к инету - через аппаратный роутер.

Планируем развернуть в офисе WiFi сеть на базе двух точек доступа типа DAP-2360 или аналог.

WiFi сеть нужна исключительно для "повышения лояльности пользователей" (путем подключения их гаджетов) и для временного гостевого доступа, т.е. доступа внутрь локальной сети быть не должно.

 

На схеме - как планирую подключать точки доступа:

post-50105-059298600 1416218244_thumb.png

Пояснение.

Создается отдельное адресное пространство 10.0.1.0/24 для WiFi. В отдельный VLAN нужно поместить точки доступа (AP), сервер DNS/DHCP (на базе Windows, DC, в DHCP создать мультизону и второй скоуп для 10.0.1.0) и второе подключение к роутеру (роутер к сожалению не допускает назначение второго IP на один внутренний интерфейс).

В перспективе можно поднять отдельную машинку для DHCP для WiFi клиентов и воткнуть ее в соотв. VLAN (и убрать из него доменный контроллер с его DHCP), а DNS для вайфайных клиентов делать форвардом с роутера.

 

С DLink-овскими VLAN-ами к сожалению пока не работал, потому прошу совета - правильно ли понимаю настройку оборудования.

 

1. На точках доступа создаем отдельный CCID с нужной меткой 802.11Q, например 2).

2. На обоих коммутаторах DES-3050 создаем второй vlan, называем например vlan2.

3. На обоих коммутаторах добавляем порты 1 в второй vlan: config vlan vlan2 add untagged 1.

4. В первом коммутаторе (sw1) аналогично для портов 2 и 4 (DND/DHCP и порт в роутер).

5. На обоих коммутаторах исключаем порты 1 из дефолтного vlan: config vlan default delete 1.

6. В первом коммутаторе (sw1) аналогично для порта 4 (доступ из WiFi vlan в роутер).

7. На обоих коммутаторах создаем транк (магистраль): config vlan vlan2 add tagged 51.

 

Все ли правильно? В данный момент физически попробовать не могу, т.к. точки доступа еще не получил.

Планировал согласно http://www.dlink.ru/ru/faq/62/212.html, но например вот здесь: http://www.greenspider.ru/index.php/tekhnichka/d-link-asymmetric-vlan написано, что в дополнение нужно настраивать еще и PVID...

 

Дяденьки, сильно не пинайте, молодой я, а в DLink-овской документации все довольно поверхностно (в т.ч. в "Коммутаторы локальных сетей D-Link. n-издание") и без конкретики.

Edited by LOH

Share this post


Link to post
Share on other sites

1. create vlan vlan2 tag 2

 

2. config vlan default del 1,4

3. config vlan vlan2 add untagged 1 //по умолчанию, pvid autoassign должен быть включен. Т.ч. сначала удалять vlanid 1, добавлять 2 и pvid сам будет 2.

4. config vlan vlan2 add tagged 51

5. config vlan vlan2 add tagged 4 или

5а config vlan vlan2 add untagged 4 // это смотря что умеет ваш роутер. Собственно, если он умеет 802.1q, то порт может быть один.

Share this post


Link to post
Share on other sites

1. create vlan vlan2 tag 2

 

2. config vlan default del 1,4

3. config vlan vlan2 add untagged 1 //по умолчанию, pvid autoassign должен быть включен. Т.ч. сначала удалять vlanid 1, добавлять 2 и pvid сам будет 2.

4. config vlan vlan2 add tagged 51

5. config vlan vlan2 add tagged 4 или

5а config vlan vlan2 add untagged 4 // это смотря что умеет ваш роутер. Собственно, если он умеет 802.1q, то порт может быть один.

 

1. Это все на первом свиче, а на втором аналогично?

2. Правильно ли понял - 51-й порт находится в двух виланах, но исходящий из него кадр маркируется в зависимости из какого порта пришел внутри коммутатора пакет, т.е. если из порта скажем 8 (локальная сеть, дефолтный влан), то в исходящем из 51-го порта кадре будет tag 1, иначе (из порта 4) - tag 2 (vlan2)?

Share this post


Link to post
Share on other sites

1. Это скорее для второго. На 1-ом нет 4-го порта в схеме.

2. ВНУТРИ коммутатора трафик всегда маркированный. Но в данной схеме на выходе 51 порта трафик дефолтного влана (vlanid 1) лишается метки:

 

conf vlan default add u 51 //это по умолчанию

conf vlan vlan2 add ta 51 //ваше добавление

 

Т.е. на выходе свитча трафик вашей гостевой сети будет тегированным с vlanid=2, а весь остальной - нетегированным.

Share this post


Link to post
Share on other sites

Планируем развернуть в офисе WiFi сеть на базе двух точек доступа типа DAP-2360 или аналог.

WiFi сеть нужна исключительно для "повышения лояльности пользователей" (путем подключения их гаджетов) и для временного гостевого доступа, т.е. доступа внутрь локальной сети быть не должно.

 

Могу предложить решение проще:

1. Берем вместо точек домашние роутеры. Настраиваем их одинаково - одинаковый SSID, один канал.

Они же сразу и адреса раздают для клиентов и работают DNS серверами. На вашем аппаратном роутере они будут как обычные клиенты интернета.

 

 

2.Втыкаем их в один коммутатор - например 1 и 2 порты. Для примера switch 1

 

Далее настраиваем traffic_segmentation

config traffic_segmentation ports 1,2 forward_list <порт в сторону интернета>

 

Все. Абоны с этих роутеров то в вашу сеть не попадут и получать интернет.

Зачем городить отдельный роутер, отдельный DHCP и т.д. когда все можно упростить.

Share this post


Link to post
Share on other sites

Могу предложить решение проще:

1. Берем вместо точек домашние роутеры. Настраиваем их одинаково - одинаковый SSID, один канал.

Они же сразу и адреса раздают для клиентов и работают DNS серверами. На вашем аппаратном роутере они будут как обычные клиенты интернета.

 

 

2.Втыкаем их в один коммутатор - например 1 и 2 порты. Для примера switch 1

 

Далее настраиваем traffic_segmentation

config traffic_segmentation ports 1,2 forward_list <порт в сторону интернета>

 

Как думаете, что произодёт когда абонент переключится от одной точке к другой? (ну вот оказался он возле пересечения зон покрытия этих точек)

Share this post


Link to post
Share on other sites

ИМХО тут или городить колхоз из конченых точек или подыскать что-то посерьезнее с беспроводным контроллером, который и сам вланы разбрасает на вай фай точках и много ещё чего полезного, типо роуминга между точками, единого управления и прочего, но не очень выгодно если всего на 2 точки доступа.

Проще всего конечно расбросать по разным вланам точки доступа.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.