来一篇干货!!
本文写于二年前,由于一直忙碌成文后一直未完成整理。
现特在本坛和公众号首发,如果想要更多技术含量高的文章请关注和订阅公众号UBNT教程集。
本文适用于集成UniFi控制器的UniFi网关用于旁路控制器均适用本文:
UBNT UniFi网关家族参数对比一览表
本文应用在常见的企业三层网络中,如果您是普通家庭用户做旁路,请查看第五节教程。
一、需求
先一条条整理出客户的需求,分别来掰扯:
1. 3条光纤,其中一条指定国际线路
多条光纤需要同时负载,于是UniFi网关直接全部排除;EdgeRouter全部缺货,也排除,只能用第三方的。(本文写于2022年,其时缺货严重)
2. UnFi的AP、交换机、监控和门禁统统要,就是要全家桶!任性!
大家都知道UniFi发展到现在,扩展到了许多门类,有无线、交换、门禁、电话和监控。客户要同时管理AP网络、监控和门禁,首先排除UCK的独立控制器,电脑端控制器不支持监控和门禁,那唯有UDM-PRO(UDM-SE)可以。
3. 需要有防火墙
许多网关都支持,这个问题不大。
4. WiFi区分员工和客用网
这是基本功能,不算特殊要求。
至于漫游那些要求,都不算事。整理完客户需求,随手给客户做了方案扔过去完事,感觉没啥难度。主要看拓扑图就可以了:
第一张拓扑图
在这个方案中,重点在UDM-PRO仅作为旁路控制器使用。
二、旁路不可行?
然后,奇葩的问题来了。用户网上查了后并没人去做过UDM旁路的,于是专门发邮件给官方支持,询问此法是否可行。结果答复是:不可以!
在我的理解中,不论是何种无线控制协议,都脱离不了TCP/IP的范畴。所以我开始并不觉得做旁路AC会存在什么问题。世界排名前面的所有品牌,独立的控制器清一色全是旁路的,不论是私有还是标准的控制协议,就没有听说旁路不行的。我们在给UniFi AP连到云端时,通过SSH设置AC地址,AP只要与AC地址互通,不论您在地上还是云上都一样属于旁路AC原理。
当用户截图告诉我时,嗯,我没怀疑人生,而是直觉UI的技术肯定错了。
于是拆了台UDM-PRO和二个AP测试,顺利通过验证。门禁监控则未测试。
三、设置
待工人安装好设备和整理好机房后便去上门调试。
这段时间沟通了几次,网关换成了第三方防火墙。期间还想到一个问题,UDM做旁路时是无法绑定UI账号,那样就不能远程云管理了。没了云管理,UniFi就不是原汁原味的UniFi了,这不是我们的作风。有问题不怕,总是能解决的。
于是有了第二张拓扑图,如下:
第二张拓扑图
1.vlan规划
Vlan100为管理vlan,AP、摄像头和交换机等设备从UDM-PRO DHCP得到IP。
小技巧:在中大型网络中,通常将设备IP独立一个VLAN,是为管理VLAN。将其与业务VLAN分开,除了提高管理性和安全性,主要避免业务的广播、组播报文影响端口和AP的性能。
2台POE交换机部分端口会给复印机和电脑使用,为vlan10;无线办公网vlan30和访客vlan40,这些通常称为业务VLAN,其DHCP在防火墙上实现。
重点在设备间的互联口,通过限制相应的VLAN ID来实现不同的DHCP。
要注意管理VLAN的vlan100是在防火墙上设了对应的VLAN ID为100,且IP为192.168.100.0,而UDM的LAN IP对应vlan100,故本文只是以此说法来标识区分。
在控制器中先设置好对应的vlan ID,UDM-PRO VLAN列表:
然后设置一个Trunk组,将vlan10、30和40编成组,起名为vlan10-40:
2.交换机端口设置
SW2与防火墙上联的25号端口,设置Trunk vlan10-40组(重点是不给vlan100通行):
SW1和SW2之间通过26口互联,二台交换机的26号端口Trunk ALL(也可Trunk VLAN10/30/40/100):
复印机等有线设备的交换机端口,将默认vlan设为10,其会自动从防火墙分配到vlan10的IP:
二台交换机设一下固定IP:
3.UDM-PRO上的设置
UDM WAN口DHCP,从防火墙得到一个IP直连互联网。防水墙对应端口要预先配置好。UDM-PRO下联SW1的端口为port11,设置VLAN为LAN:
说明:LAN对应IP段为100,只允许本端口vlan100通过,这样其余的vlan ID将不会通过UDM-PRO,而交换机的设备端口全部默认Native网络VLAN为LAN,故可以从UDM-PRO DHCP得到vlan100的IP。
4.无线网络设置
办公SSID VLAN设置,按系统图设成vlan30:
访客SSID照做。
| 
IP卡
狗仔卡
发表于 2024-6-28 15:10
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡