我一直“获奖“担任 IT 基础设施经理,因为我是小办公室里“擅长使用电脑”的人。不用说,他们犯了一个巨大的错误,我一点头绪都没有……
我想问您一些有关 Vlan 的问题,首先我想向您展示我们的基础设施:
我们有一个指向 DMZ ip 的互联网路由器,它是我们的防火墙/路由设备(sophos utm 120),然后我们有几个交换机(HP 2510 48p 千兆以太网),连接到它,- 我们有个人电脑,- 一个用于域控制器 dhcp 的 Windows 2008 服务器,等等 - 3 个 wifi ap,Ubiquiti unifi ap
因此,我想在 3 个 aps 上提供 2 个不同的 SSID,其中一个是内部网络(通过防火墙等),另一个直接连接到我们的互联网路由器(它有 4 个端口,1 个连接到 sophos,另一个免费)
我知道这必须通过 Vlan 来完成,设置 2 个 Vlan,其中一个将其直接物理连接到路由器。
我知道如何告诉 AP 它们必须显示两个 SSID 并分配一个 Vlan,但我不知道在哪里创建 Vlan,是在交换机上吗?我应该如何连接它?
谢谢!
(如果这是个愚蠢的问题,我很抱歉)
答案1
我开始想象一个 VLAN,就像您的 LAN 的 VPN。通过在流量上标记 VLAN,它就像在不同的 LAN 上一样。现在来看看您的具体情况:在 UniFi 无线网络上创建 VLAN,这样流量将根据它们连接到的 SSID 进行标记。然后在 Sophos 防火墙上创建 VLAN,您可以分段流量并将流量传递/或/阻止(您的选择)到其他段(VLAN)。注意:每个 VLAN 都需要自己的 IP 块(DHCP 等),除非它桥接到 LAN(与 LAN 共享 IP)。通常,您的“访客”网络将仅连接到 WAN(Internet),而您的“企业 wifi”网络也将信任 LAN。使用 VLAN 搞砸这个项目的方法是将它们应用于交换机上的端口。这将用该特定 VLAN 标记所有流量。在某些情况下非常有用,但不是您的。顺便说一句,感谢您提供有关品牌和型号以及实施的所有详细信息。它确实有帮助!