Ubiquiti Unifi management VLAN

Wireless

Sziasztok

Hogyan lehetne megoldani, hogy az AP tagelt VLAN-ból kapjon IP-t, ne kelljen access portként kiadni a switch portra a menedzsment hálót?
A guest wifi már tagelt VLAN-ból megy, ezt felvettem a controlleren keresztül, azzal sosem volt gond.
Ezúttal az AP IP címét akarom minél jobban elszeparálni...még az irodai hálótól is és levédeni a menedzsment hálót attól, hogy az AP-ra konfigurált portba esetleg PC-t dugjanak...mert akkor ott vannak a mendzsment hálóban.

Köszönöm!

  • 1086 megtekintés

( Vamp | 2017. 05. 01., h – 16:54 )

letrehozol pl egy "AP" nevu vlan-t egy uj ID-val a switchen, majd DHCP-n reservalsz mac alapjan IP-ket az AP-kra, egyeb DHCP-t pedig kikapcsolod ebben a VLAN-ban. A reservalt IP tartomanyt pedig forwardolod a management networkbe tuzfalon keresztul.

Igy is kijatszhato, ha a user fix ip-t allit be (ugyanazt mint az AP ip-je). esetleg ha a tuzfal tudja, lehetne az meg hogy az adott IP tartomanyra MAC whitelistet teszel es csak az AP-kat engeded at management-be.

De ebben az esetben router oldalon ugyanugy fol kell venni a tagget porthoz a mgmt ID-t akkor meg ugyanott van nem?

Ha azt akarja, hogy teljesen biztosan semmi ne ferhessen hozza a mgmt networkhoz, akkor tuzfallal kell elvalasztani az IP tartomanyokat mac szuressel. atenged X darab MAC et (AP-kat) ugy tuti nem tud mas hozzaferni.

Adott egy létesítmény, ahol ~100 végpont van, ebből ~20 AP. Én csak kiépítek, de van ott pár mindenes ember.
Néhány szabad portba kérésre patchelnek, ha a végpontot ideiglenesen aktiválni kell.
Attól tartok, hogy félredugnak és az AP-nak szánt mgmt-t adják ki, mivel ugye az AP miatt az untagged kint van a porton. Na ezt szeretném elkerülni és lehetőleg mindent taggelve kitenni ezekre a portokra, főleg az mgmt-t.

Akkor tenyleg amit irtam :)

AP VLANt hozz letre sajat IP range-el, ne legyen rajta DHCP (vagy max csak reservation) tuzfalon meg whitelist.

Persze mar irtad, h most is hasonlokepp van -whitelist :)

Hasonlo problema amugy nalunk is volt, de nalunk eleg volt, hogy kb minden VLAN-nal kikapcsoltuk a DHCP-t , csak reservalas van. Mivel "elvileg" csak ceges eszkozt lehet a halozatra dugni, azon meg csak admin tud DHCP-rol fix IP-re valltani (tehat csak mi :) ) igy problem solved :)

( TommyB | 2017. 05. 01., h – 17:31 )

Switchen mgmt vlan untaggelve kiadva az Unifi portjára, guest és normal wifi taggelve?

Nem lehet megoldani a taggelt MGMT VLAN működést az AP-n. De cserébe jól leszabályozható a forgalom, úgyhogy szerintem csinálj egy külön AP mgmt VLAN-t és tűzfalazd le hogy csak a controllerrel, azon belül is csak az AP-k számára/felé nyitott portokat érjék el. DHCP maradhat, kisebb szívás így Neked is.

Mindenes embereket felokosítani, hogy ne patcheljenek POE-s portokat (se) mindenfelé.

Sima userek meg úgy sem patchel(het)nek. Ha mégis patchelnek, arra meg ott az IBSZ.

És akkor még nem kevertünk ide mindenféle pro meg reaktív L2 védelmi eszközt.