[LOH]

Есть небольшая офисная сеть.

В сети два коммутатора D-Link DES-3050, покупались в одно время, из одной партии.

Доступ к инету - через аппаратный роутер.

Планируем развернуть в офисе WiFi сеть на базе двух точек доступа типа DAP-2360 или аналог.

WiFi сеть нужна исключительно для "повышения лояльности пользователей" (путем подключения их гаджетов) и для временного гостевого доступа, т.е. доступа внутрь локальной сети быть не должно.

 

На схеме - как планирую подключать точки доступа:

Пояснение.

Создается отдельное адресное пространство 10.0.1.0/24 для WiFi. В отдельный VLAN нужно поместить точки доступа (AP), сервер DNS/DHCP (на базе Windows, DC, в DHCP создать мультизону и второй скоуп для 10.0.1.0) и второе подключение к роутеру (роутер к сожалению не допускает назначение второго IP на один внутренний интерфейс).

В перспективе можно поднять отдельную машинку для DHCP для WiFi клиентов и воткнуть ее в соотв. VLAN (и убрать из него доменный контроллер с его DHCP), а DNS для вайфайных клиентов делать форвардом с роутера.

 

С DLink-овскими VLAN-ами к сожалению пока не работал, потому прошу совета - правильно ли понимаю настройку оборудования.

 

1. На точках доступа создаем отдельный CCID с нужной меткой 802.11Q, например 2).

2. На обоих коммутаторах DES-3050 создаем второй vlan, называем например vlan2.

3. На обоих коммутаторах добавляем порты 1 в второй vlan: config vlan vlan2 add untagged 1.

4. В первом коммутаторе (sw1) аналогично для портов 2 и 4 (DND/DHCP и порт в роутер).

5. На обоих коммутаторах исключаем порты 1 из дефолтного vlan: config vlan default delete 1.

6. В первом коммутаторе (sw1) аналогично для порта 4 (доступ из WiFi vlan в роутер).

7. На обоих коммутаторах создаем транк (магистраль): config vlan vlan2 add tagged 51.

 

Все ли правильно? В данный момент физически попробовать не могу, т.к. точки доступа еще не получил.

Планировал согласно http://www.dlink.ru/ru/faq/62/212.html, но например вот здесь: http://www.greenspider.ru/index.php/tekhnichka/d-link-asymmetric-vlan написано, что в дополнение нужно настраивать еще и PVID...

 

Дяденьки, сильно не пинайте, молодой я, а в DLink-овской документации все довольно поверхностно (в т.ч. в "Коммутаторы локальных сетей D-Link. n-издание") и без конкретики.

Изменено 17 ноября, 2014 пользователем LOH

[rz3dwy]

1. create vlan vlan2 tag 2

 

2. config vlan default del 1,4

3. config vlan vlan2 add untagged 1 //по умолчанию, pvid autoassign должен быть включен. Т.ч. сначала удалять vlanid 1, добавлять 2 и pvid сам будет 2.

4. config vlan vlan2 add tagged 51

5. config vlan vlan2 add tagged 4 или

5а config vlan vlan2 add untagged 4 // это смотря что умеет ваш роутер. Собственно, если он умеет 802.1q, то порт может быть один.

[LOH]

1. create vlan vlan2 tag 2

 

2. config vlan default del 1,4

3. config vlan vlan2 add untagged 1 //по умолчанию, pvid autoassign должен быть включен. Т.ч. сначала удалять vlanid 1, добавлять 2 и pvid сам будет 2.

4. config vlan vlan2 add tagged 51

5. config vlan vlan2 add tagged 4 или

5а config vlan vlan2 add untagged 4 // это смотря что умеет ваш роутер. Собственно, если он умеет 802.1q, то порт может быть один.

 

1. Это все на первом свиче, а на втором аналогично?

2. Правильно ли понял - 51-й порт находится в двух виланах, но исходящий из него кадр маркируется в зависимости из какого порта пришел внутри коммутатора пакет, т.е. если из порта скажем 8 (локальная сеть, дефолтный влан), то в исходящем из 51-го порта кадре будет tag 1, иначе (из порта 4) - tag 2 (vlan2)?

[rz3dwy]

1. Это скорее для второго. На 1-ом нет 4-го порта в схеме.

2. ВНУТРИ коммутатора трафик всегда маркированный. Но в данной схеме на выходе 51 порта трафик дефолтного влана (vlanid 1) лишается метки:

 

conf vlan default add u 51 //это по умолчанию

conf vlan vlan2 add ta 51 //ваше добавление

 

Т.е. на выходе свитча трафик вашей гостевой сети будет тегированным с vlanid=2, а весь остальной - нетегированным.

[Negator]

Планируем развернуть в офисе WiFi сеть на базе двух точек доступа типа DAP-2360 или аналог.

WiFi сеть нужна исключительно для "повышения лояльности пользователей" (путем подключения их гаджетов) и для временного гостевого доступа, т.е. доступа внутрь локальной сети быть не должно.

 

Могу предложить решение проще:

1. Берем вместо точек домашние роутеры. Настраиваем их одинаково - одинаковый SSID, один канал.

Они же сразу и адреса раздают для клиентов и работают DNS серверами. На вашем аппаратном роутере они будут как обычные клиенты интернета.

 

 

2.Втыкаем их в один коммутатор - например 1 и 2 порты. Для примера switch 1

 

Далее настраиваем traffic_segmentation

config traffic_segmentation ports 1,2 forward_list <порт в сторону интернета>

 

Все. Абоны с этих роутеров то в вашу сеть не попадут и получать интернет.

Зачем городить отдельный роутер, отдельный DHCP и т.д. когда все можно упростить.

[s.lobanov]

Могу предложить решение проще:

1. Берем вместо точек домашние роутеры. Настраиваем их одинаково - одинаковый SSID, один канал.

Они же сразу и адреса раздают для клиентов и работают DNS серверами. На вашем аппаратном роутере они будут как обычные клиенты интернета.

 

 

2.Втыкаем их в один коммутатор - например 1 и 2 порты. Для примера switch 1

 

Далее настраиваем traffic_segmentation

config traffic_segmentation ports 1,2 forward_list <порт в сторону интернета>

 

Как думаете, что произодёт когда абонент переключится от одной точке к другой? (ну вот оказался он возле пересечения зон покрытия этих точек)

[GrandPr1de]

ИМХО тут или городить колхоз из конченых точек или подыскать что-то посерьезнее с беспроводным контроллером, который и сам вланы разбрасает на вай фай точках и много ещё чего полезного, типо роуминга между точками, единого управления и прочего, но не очень выгодно если всего на 2 точки доступа.

Проще всего конечно расбросать по разным вланам точки доступа.