VLAN 用于 WiFi 流量分离（VLANing 新功能）

Question 1

这与我们的 Untangle 网关非常接近。不过，我们的做法略有不同。如果您从没有 VLAN 的完全平坦网络开始，它有助于直观显示。用以下代码表示一切在 VLAN 1 上未标记。

现在我们要添加对 VLAN 2 上的 wifi 流量的支持。为此，请设置两端每条中继线（连接两个交换机的线路）也应标记为 vlan 2。无需像当前提案中那样将 vlan 1 从无标记切换为标记；您只需将端口添加为 vlan 2 的标记成员。此外，需要与无线客户端通信的端口应添加为 vlan 2 的标记成员。这包括您的 untangle 服务器连接到的端口，以及 wifi 流量无需路由即可看到的任何服务器（如 dhcp）的端口。同样，您希望将它们保留在 vlan 1 上无标记；只需将它们也添加为 vlan 2 的标记成员即可。

这里一个重要的关键是我们的中央交换机支持第 3 层路由，并且我们有一个 ACL 来告诉它何时允许将流量从一个 VLAN 路由到另一个 VLAN。例如，我们所有的打印机和打印机服务器都在 VLAN 1 上。我们在打印服务器上使用软件包来计算作业并向学生收取打印使用费，因此我们确实希望允许 wifi 流量到达打印服务器。我们不想让 wifi 流量直接到达各个打印机，这会绕过该软件，因此打印机在 ACL 中受到限制，但打印服务器是允许的。

您还需要对 untangle 盒本身进行一些操作，具体取决于设置方式。查看Config->Networking->Interfaces并编辑内部接口。在那里，您希望看到 untangle 服务器的主 IP 地址和网络掩码设置为您的 vlan 1 子网上的地址。我们还为我们使用的每个 vlan 设置了 IP 地址别名，为每个 vlan 网络地址和网络掩码定义了 NAT 策略，并为每个 vlan 设置了路由，以便将这些 vlan 的流量发送到内部接口。

我应该补充一点，我们在路由器模式下使用单个内部接口运行 untangle，并在 Windows 服务器框上安装 dhcp/dns。如果您使用桥接模式或想要在 untangle 之外运行 dhcp/dns，或者为每个网络使用单独的接口，您的设置可能会有所不同。

现在您的网络已准备好添加接入点。每当您将接入点添加到网络时，请将其端口设置为未标记的 vlan 2 端口，并标记的 vlan 1 端口。这里的 vlan 1 标记是可选的，但我经常发现它很有用。

最后，根据您安装的大小，您可能会发现一个 wifi VLAN 是不够的。您通常希望将其保持在大约一个 /24 的在线客户端数量。越少越好。如果超过这个数量，广播流量就会开始占用您的通话时间。您可以使用更大的地址空间（例如，/22），只要所有地址不是同时使用即可。这就是我们在这里处理它的方式。我在一个带有 /21 子网的 SSID 上支持大约 450 名住宿学院学生，但我真的在努力，可能应该开始划分我的任务，以便来自不同建筑物的学生的广播流量不会相互干扰。如果这更像是一栋像高中一样的大型建筑物，您可能希望为每个 VLAN 选择不同的 SSID。如果它是一个多建筑校园，建筑物之间相隔一段距离，并且您不会将覆盖范围扩大到建筑物之间的空间，那么您可以使用一个 SSID 来覆盖所有 VLAN。

希望您的控制器/wifi 供应商能涵盖所有这些，但如果您像我们一样，您没有资金购买 600 美元/接入点或 3000 美元以上的每个控制器单元。可能值得记住的是，您可以通过关闭 dhcp 并使用 LAN 端口而不是 WAN 端口作为上行链路，将简单的消费路由器用作接入点。您将错过一些报告和自动功率和信道调整，但通过一些好的接入点和一些精心的设置工作，您可以通过这种方式组建一个相当大的网络。

Answer