Unifi + VLANy pro více SSID

[Petr Bačina]

Ahoj...
Nemáte někdo zkušenosti na nasazením Unifi, které vysílá 2 SSID s tím, že každé SSID jede po vlastní VLAN? V jedné ZUŠ řešíme oddělení wifi sítě pro učitele/zaměstnance a návštěvníky. Bohužel díky dotaci a neúplnému projektu pořídili hromadu Unifi LR, zhotovitel nastavil sice 2 SSIDčka, ale všechny jedou ve stejném subnetu, akorát s jiným zabezpečením. Pak od toho dali všichni ruce pryč. Po rychlém přezkoumání jsme zjistil, že Unifi by mělo umět pro každé SSID použít jinou VLAN a tím bych potom už dokázat v pohodě řešit oddělení sítí (ověřování, jiné subnety atd.). Otázkou je, jestli je toto řešení skutečně funkční a spolehlivé a na co bych si měl dát pozor. Zatím jsem takové řešení od UBNT nepoužíval, proto se radši zeptám

Díky

[Noxus28]

Ano - sami tak na škole prevádzkujeme 2 SSID oddelene.
Cez kontrolér, v settings / wireless networks si rozklikni sieť ktorú chceš upraviť a rozbaľ advanced oprions. Tam sa nachádza nastavenie VLAN pre dané SSID.
Nezabudni že k unifi musíš nechať jednu netagovanú sieť pre komunikáciu s kontrolérom.
U nás napr. untag vlan 1 - management ap, tag vlan12 - učitelia, tag vlan110 - hotspot
Pekný deň

[Petr Bačina]

Jasný, takže jednu netagovanou na správu a komunikaci s kontrolérem a zbytek už víceméně libovolný počet SSID s VLANou. Musí být potom všechna SSID na své tag VLAN, nebo může v klidu běžet jedno SSID přes tu netagovanou VLAN a další na své tag. VLAN?

Díky

[ludvik]

Jde to kombinovat. Ale je lepší to nedělat. Ani ne tak kvůli unifi jako takovému, jako spíš z ohledu ostatní správy. Management prostě má být mimo uživatelská data.

Já ani za ty roky nevěděl, že můžu mít víc SSID na jedné VLAN

[Noxus28]

ľubovolný počet SSID bohužiaľ nie, unifi podporuje v jednej grupe iba 4 SSID.
Ako už písal ludvik kombinovať užívateľov s managementom AP by som zrovna neriskoval, ale ak nemáš lepšiu možnosť je to na tebe.
2 SSID som mal na jednu Vlan´, boli však v iných wireless group, v jednej som to priznám sa neskúšal
pekný deň

[Petr Bačina]

Pravda, přeci jen je lepší oddělit uživatelská data od managementu. Díky za info, bude se hodit

[Jirkaaa]

Ahoj,

Řeším stejný problém jako Petr: škola, dvě interní Wi-Fi a jedna pro Guesty, potřebuji oddělit provoz.

Konfigurace sítě:
Internet s pevnou IP -> Security Gateway Pro -> LAN s IP 192.168.1.1 do 48p managed switche Zyxel, odbočka do serveru WinServ -> 5p managed switche TP-Link -> AP AC Pro.

Na 192.168.1.2 visí WinServ 2012 sloužící jako AD, DNS a DHCP pro počítačovou učebnu a další počítače ve škole. Všechno funguje OK, ale Guest Wi-Fi samozřejmě využívá tento rozsah a vidí na další počítače –> nevhodné.

Myšlenka byla vytvořit v USG dvě Sítě: 192.168.1.0/24 (inter) a 192.168.2.0/24 (guest). WinServ jsem zbavil funkce DHCP a naopak jej povolil přímo v nastavení obou Networks. Avšak zatímco v interní Wi-Fi jsem po připojení IP adresu dostal a vše fungovalo, v Guest Wi-Fi s přiřazenou VLAN DHCP nefungovalo.

Přidávám screenshoty z nastavení obou sítí. Interní má nastavenu pevnou adresu DNS, aby uživatelé AD dosáhli na svůj server:

Guest: zde by uživatelé měli získat DNS adresu přiřazenou automaticky.

Hostovskou síť jsem zkoušel vytvořit i s účelem Pro hosty, ale nepomohlo to. Nevidíte tam nastaveno něco špatně? Nebo je špatně celá myšlenka, a musím např. ručně nastavovat porty na všech managed switchích v cestě? VLANy řeším poprvé...

[jedla]

Ahoj,
pokud pominu, že může být problém v nastavení switche Zyxel, tak je to celkem pěkně popsáno zde https://youtu.be/9dhmS237wsw . Myslím, že to z toho je celkem jasné, případně na to můžu mrknout nějak dálkově, můžete mě kontaktovat přes soukromou zprávu. VLANy jsou při prvním nasazení trochu na palici, aby to člověk promyslel, ale pak to udělá dobrou službu. Navíc je mají různí výrobci switchů různě nastavitelné.

[Jirkaaa]

Ahoj Jedlo,

supr kanál, díky! Mám nastaveno stejně, jako u videa, a asi vím, kde byl problém - nechal jsem v guest Wi-Fi restrikci "před přihlášením" na jiný rozsah adres. Ověřím odpoledne ale mělo by to fungovat. Dám vědět.

Pokud to tak bude, pak je nastavení easy teasy a Ubiquity se mi začíná líbit

[Jirkaaa]

Ahoj,

dlužím vyřešení, chvíli to trvalo, pár sprostých slov padlo, a problém byl odhalen ve switchi Zyxel, který defaultně propouštěl jen VLAN 1. Pro zajímavost - toto je standardní u všech (větších a managed) switchů?

ještě jednou díky za podporu. Uvidíme, kolik uživatelů najednou zařízka zvládnou...