How to configure Management VLANs for Omada Switches and APs (for SOHO scenario)
內容
此篇文章將說明如何為 Omada 管理型交換器和 AP 設定不同管理 VLAN,且 VLAN 1 之外的用戶端 VLAN 與他們所連接的用戶端隔離。
- Omada 控制器 (軟體控制器 / 硬體控制器 / 雲端控制器 V5.9 以上)
- Omada 智慧型、L2+ 和 L3 交換器
- Omada AP
- Omada 路由器
當設定網路時,許多使用者想要為控制器、路由器、AP 和交換器修改管理 VLAN,並未一般用戶端設定其他 VLAN,因此,不同種類的設備被不同 VLAN 管理,且連線的用戶端無法存取設備管理頁面,加強網路安全性。
此手冊適合家用/小型環境使用,完整的設定新網路,您無須事先設定管理 VLAN 等等設定,且網路規模簡單而典型。若您想設定專業的企業網路或已設定網路,且想要整合 Omada 設備至網路中,請參考如何為 Omada 交換器和 AP 設定管理 VLAN(對於企業環境)。
一般而言,拓樸如下圖,將控制器直接連接路由器:
如拓樸所示,最終目標是將 VLAN 1 從網路中隔離,設定 VLAN20 作為用戶端使用,所有連線的用戶端將拿到 192.168.20.x/24 的 IP;設定 VLAN 30 作為交換器管理用,交換器將使用 192.168.30.x/24 的管理 IP;VLAN 40 作為 AP 管理用,AP 將使用 192.168.40.x/24 的管理 IP;對於路由器和控制器,它們的 VLAN 將仍使用 Default,但預設的 VLAN ID 1 修改為其他,您也可以修改要發的 IP 位址。
下方為上圖拓樸的詳細設定。
步驟 1. 在 default VLAN 納管路由器。
步驟 2. 建立所需 VLAN。
首先,建立用戶端 VLAN 20,交換器管理 VLAN 30 和 AP 管理 VLAN 40,前往設定 – 有線網路 – 區域網路(LAN) - 網路,點擊 建立新的 LAN。
下列為交換器管理 VLAN 30 的範例,該目的須設定為介面,在LAN 介面中,勾選您正在使用的所有 LAN 連接埠,接著設定 IP、子網路和 DHCP 伺服器。您可以自訂名稱、VLAN ID、子網路 IP。點擊儲存。
接著建立用戶端 VLAN 和 AP 管理 VLAN 作為相同方式。
步驟 3. 設定 default VLAN。
之後,對 default VLAN 進行更改,在預設 VLAN 上按編輯,更改其 VLAN ID 和子網路 IP 以繞過網路中的 VLAN 1,這裡我選擇將其更改為 VLAN 10,192.168.10.x/24 和在此網路中啟用 DHCP 伺服器。
最終結果須為以下:
到目前為止,您已在網路中建立 VLAN 和路由器上的介面。路由器的 IP 位址將被切換至 192.168.10.1。之後,您將需要重啟硬體控制器以觸發 DHCP 流程,並從 192.168.10.x/24 取得 IP 位址,以便重新納管路由器,若您使用軟體控制器,只需拔除電腦網路線重新取得 IP 位址或為路由器手動設定固定 IP。現在設備頁面須為:
步驟 4. 納管所有交換器和 AP。
在納管交換器和 AP 之後,他們需要從 default VLAN取得 IP 位址 192.168.10.x/24。
步驟 5. 為交換器設定管理 VLAN。
前往設備,點擊交換器以進入子頁面,前往設定 – VLAN Interface,啟用交換器管理 VLAN 介面,點擊套用。
現在已在交換器上啟用管理 VLAN 介面,接著,設定交換器的管理 VLAN,點擊交換器管理 VLAN 的編輯按鈕。
勾選啟用欄位,設定此 VLAN 作為管理 VLAN。在設定為管理 VLAN 後,您可以為該 VLAN 設定 Fallback IP,此功能當設備沒有從 DHCP 取得設備時,將使用此 IP 位址,為確保此設備的管理,此處我們設定為 192.168.30.10,包含交換器的管理 VLAN。點擊套用儲存設定。
關閉 default VLAN 介面以完成管理 VLAN 的切換,點擊套用儲存設定。
等待設備套用設定完畢,在此過程中交換器可能會重新納管,您將會發現在完成交換器管理 VLAN 後,交換器的 IP 位址將變更為新的位址。
步驟 6. 為 AP 設定管理 VLAN。
前往設備,點擊 EAP 進入子頁面,前往設定 – 服務將管理 VLAN 設為自訂,接著設定對應 VLAN,點擊套用儲存設定。
等一下,在設定執行後,您將發現 AP 的 IP 位址已被變更。
步驟 7. 在交換器上為連接用戶端的連接埠設定連接埠設定檔。
若要確認所有從用戶端 VLAN 取得有線用戶端的 IP 位址,我們需要修改所有交換器直接連接終端設備的下行埠的設定檔為用戶端 VLAN 設定檔。
前往設備,點擊交換器進入子頁面,前往連接埠,選擇連接終端設備的連接埠,接著點擊編輯選取批次修改這些連接埠的設定檔。
修改這些連接埠的設定檔至建立用戶端 VLAN 時自動建立的設定檔,點擊套用以儲存設定。
步驟 8. 為無線用戶端設定 SSID VLAN。
前往設定 – 無線網路 – WLAN,點擊建立新的無線網路為無線用戶端建立 SSID。
為此 SSID 設定名稱和密碼,接著點擊展開進階設定,設定 VLAN 為 自訂,在新增 VLAN中,選擇我們已建立的用戶端VLAN,點擊套用儲存設定。
步驟 9. 建立 ACL 規則避免用戶端存取控制器和網路設備。
前往設定 – 網路安全性 – ACL – 路由器 ACL,點擊建立新規則建立新的 ACL 規則。
輸入名稱作為此規則的描述,方向選擇LAN -> LAN:規則選擇拒絕;協定全選;至於來源和目的地,類型選擇網路,接著選擇用戶端 VLAN 作為來源,所有其他管理 VLAN 作為目的地。點擊建立建立此拒絕用戶端存取控制器和其他網路設備的規則。
透過設定此 ACL 規則,當用戶端設備連線且從 192.168.20.x/24 取得 IP 位址時,他們將無法存取控制器或交換器,加強網路安全性。
步驟 10. 在所有 DHCP 伺服器上設定 DHCP Option 138。
DHCP Option 138 用以在 DHCP 流程中通知用戶端 Omada 控制器的 IP 位址,雖然所有設備都被納管成功,且可以與控制器互相通訊,但重新啟動後,他們將失去與 Omada 控制器之間的連線,因此需要 DHCP Option 138,設定完畢後,設備在重啟後仍會取得控制器的 IP 位址,確保它們能穩定的管理。
前往設定 – 有線網路 – 區域網路(LAN) – 網路,點擊介面上的編輯,向下滑並開啟進階 DHCP Options,在 Option 138 欄位中輸入控制器的 IP 位址,點擊儲存以套用設定。
|
在此設定後,路由器、交換器和 AP 在不同的管理 VLAN 中。
連接交換器的有線電腦取得用戶端 VLAN 192.168.20.x/24 的 IP 位址 :
無線連接的手機從用戶端 VLAN 取得 192.168.20.x/24 的 IP 位址:
用戶端無法存取管理的網路設備:
現在我們以介紹如何設定新網路並使用不同的 VLAN 網路管理路由器、交換器、AP,然後連接特定 VLAN 中的用戶端,並將其與網路設備隔離。
若要了解更多細節和功能設定,請至下載中心下載您產品的手冊。