在他的百科全书式的回答中这里,@Spiff 涉及大量无线接入点问题,但不是我正在寻找的一个细节!
我支持思科收购前的 Meraki 无线网络,该网络为每位访客提供 10.xyz 范围内的帐户,这很棒。Merakis 的内部地址都在我们主要的 192.168.168.x 范围内,但由于他们的访客配置,这从来都不是问题。
然而,我最后在 ebay 上寻找替代品却一无所获,最后我终于忍不住买了几个价格相似的 TP-Link AP。将其中一个放在同一个交换机上,配置为具有相同的安全性和 SSID。结果发现,虽然它们与 Merakis 一样不受管理,但它们并不那么智能,并立即开始将客户的电话直接放在我们的主要网络 192.168.168.x 上。(需要说明的是,他们默认使用唯一可用的 DHCP 服务器,即 THE 服务器,该服务器只有一个范围来放置访客。这不是 TP-Link 的错误配置,只是默认配置与 Merakis 不同(尽管更糟糕)。TP-Link 的解决方案是购买可以自行创建 VLAN 的 TP-Link L3 交换机。)
我前往服务器和 SonicWall 接口,想办法将所有无线设备放在它们自己的 VLAN 上。经过几天的思考和大量费解后,所有 Meraki AP 和测试 TP-Link AP 都位于新 VLAN 上,位于 SonicWall 防火墙分配的新 DHCP 范围内,因此它们都具有面向内部的 192.168.2.x。但是,连接到 Merakis 的客户端获得的是 10.xyz IP 地址,而 TP-Link 则将地址交给 SonicWall,后者将 192.168.2.x 地址分配给访客。
终于可以回答问题了:我认为当客人在 Meraki 网络上的各个 AP 之间漫游时,他们会保持相同的 IP 地址。
- 在如此不同的品牌和型号的 AP 之间漫游还能正常进行吗?
- 如果是这样,那么客人的 IP 地址差异巨大是否会 a) 减慢切换速度,或 b) 造成浏览问题?
归根结底,所有到互联网的流量都来自 SonicWall 上的同一个外部 IP 地址,因此外部服务器不一定会注意到它们更改了 IP 地址……
长期目标是在 Merakis 报废后对其进行替换,因此这不需要是一个永久的解决方案。
编辑补充:我看不出有任何方法可以改变 Meraki 默认使用 10.0.0.0/8 地址池的行为,而且我显然需要购买上述 TP-Link L3 交换机才能管理它们以及它们分发的地址。但即使这样,我也不知道我是否有可靠的方法来保留 10.0.0.0/8 地址的一块以避免与 Merakis 发生冲突。
答案1
您需要非常非常短的租约时间。最好进行适当配置。
您应该能够在一个(或两个)交换机上终止所有 AP 上行链路,并让它们相互通信,将交换机插入某种路由器,一侧位于“私有”LAN 上,另一侧位于无线网络上,并让其在无线网络端运行自己的 DHCP 服务器。使用运行 Linux 的带有 2 个 NIC 的旧机器进行设置非常简单。
但是...您应该知道,如果来宾用户知道他们可以连接的 IP(或范围),则只需通过常规内部 LAN 对来宾网络进行 NAT 即可。最好使用上述路由器,并将“外部”线路置于您的 DMZ 或网络“边缘”的其他地方,这样它就真正位于内部 LAN 的“外部”。
答案2
Wi-Fi 客户端通常期望发布相同网络名称(SSID)的所有范围内的 AP 将透明地将其流量桥接到同一个以太网 [V]LAN 上,从而桥接到具有同一个路由器和同一个 DHCP 服务器的同一个 IP 子网。
如果我没看错您的问题,您遇到的情况是,您有一个单一的访客网络 SSID,但根据客户端漫游到哪个 AP(Meraki 还是 TP-Link),它实际上是一个不同的 [V]LAN,具有不同的有效 IP 子网和不同的 NAPT 网关。这肯定会给您的客户端带来各种漫游问题。
一些基本的客户端可能没有意识到需要通过以下方式仔细检查 DHCP 租约DNAv4或其他方式,最终只能处于断网状态,即 Wi-Fi 连接正常,但没有有效的 IP 地址。此类客户端的用户可能需要关闭 Wi-Fi 接口然后再打开,或者采取其他措施来强制 DHCP 续订。
更合理的客户将使用 DNAv4 或其他方式检查其 DHCP 租约,意识到自己被骗了,现在毕竟是在不同的网络上,然后继续在新的子网上获取新的 DHCP 租约。这不仅会减慢漫游速度,还会导致所有已建立的连接断开。因此,您丢失了所有 SSH 会话、正在进行的大型下载、VoIP 呼叫、视频流、文件服务器挂载、在线游戏会话等。
我不知道您的老式 Meraki AP 的局限性,但我给您的最佳建议是让所有发布访客 SSID 的 AP 都只是透明地将该流量桥接到具有单个子网、单个 NAPT 网关路由器和单个 DHCP 服务器的单个访客 VLAN 上。