Распредделить Wifi клиентов по нужным VLAN

[ILevanov]

Добрый день. Имеется следующая схема - локальная сетка магазинов с различными vlan для разных сервисов( пользовательские компьютеры, кассы, банковские терминалы и т.п.). В качестве основного маршрутизатора и коммутатора используется Cisco железки, в качестве WiFi точек доступа используются микроты R951 и hAP lite c Capsman - подключенные в acsess порт на коммутаторе. В магазинах используется две wifi сети, условно, одна для пользователей компании, вторая для служебных нужд - подключение планшетов, терминалов, и т.п. Все Wifi клиенты соответственно валятся вперемешку в единственный VLAn. Появилась мысль разложить всех вафельных клиентов по нужным VLAn. Знаю, что можно прикручивать теги Vlan, через acess lists но сколько не пытался реализовать эту схему, ничего путного не взлетало, а в интернете о подобных реализациях информации как таковой не особо много. Подскажите пожалуйста, что смотреть и куда читать, а в идеале, как это должно настраиваться?

[Inner]

Ну. Тут три варианта.
1. Определяете vlan по маку клиента, но андройды подменяют свой мак, если это не отключить руками.
2. Определять vlan согласно пользователя. Есть смысл поднять radius + eap. Что, в итоге, тоже создаст не мало проблем для техподдержки.
3. Определять vlan по ssid. Микроты позволяют создать кучу виртуальных wifi интерфейсов. Но тогда просадки в сети у клиентов.

Как видите, распределить по vlan можно, но ввиду недостатков у каждого метода, возникает вопрос. А нужно ли?

P.S.: Возможно есть ещё какие-либо методы, но с ними я уже не сталкивался.

[xvo]

Появилась мысль разложить всех вафельных клиентов по нужным VLAn. Знаю, что можно прикручивать теги Vlan, через acess lists но сколько не пытался реализовать эту схему, ничего путного не взлетало, а в интернете о подобных реализациях информации как таковой не особо много. Подскажите пожалуйста, что смотреть и куда читать, а в идеале, как это должно настраиваться?

А что именно не взлетало?
В принципе абсолютно рабочая схема.

Вот только если точек много, чем держать на каждой акцесс-листы в актуальном состоянии, намного правильнее (и проще) радиус поднять где-нибудь.
Хоть тот ж UserManager 7ой версии.

Да, только учтите, что в любом случае и со стороны коммутатора надо тоже телодвижения проводить.

[ILevanov]

Ну. Тут три варианта.
1. Определяете vlan по маку клиента, но андройды подменяют свой мак, если это не отключить руками.
2. Определять vlan согласно пользователя. Есть смысл поднять radius + eap. Что, в итоге, тоже создаст не мало проблем для техподдержки.
3. Определять vlan по ssid. Микроты позволяют создать кучу виртуальных wifi интерфейсов. Но тогда просадки в сети у клиентов.

Как видите, распределить по vlan можно, но ввиду недостатков у каждого метода, возникает вопрос. А нужно ли?

P.S.: Возможно есть ещё какие-либо методы, но с ними я уже не сталкивался.

У нас уже работают листы по МАСам клиентов, так что это как раз не проблема. В каждой локалке, не так много клиентов с которыми требуются такие манипуляции. Так что это составляет проблемы. А вот перемешивание сервисов в wifi сети это как раз проблема..

[ILevanov]

Появилась мысль разложить всех вафельных клиентов по нужным VLAn. Знаю, что можно прикручивать теги Vlan, через acess lists но сколько не пытался реализовать эту схему, ничего путного не взлетало, а в интернете о подобных реализациях информации как таковой не особо много. Подскажите пожалуйста, что смотреть и куда читать, а в идеале, как это должно настраиваться?

А что именно не взлетало?
В принципе абсолютно рабочая схема.

Вот только если точек много, чем держать на каждой акцесс-листы в актуальном состоянии, намного правильнее (и проще) радиус поднять где-нибудь.
Хоть тот ж UserManager 7ой версии.

Да, только учтите, что в любом случае и со стороны коммутатора надо тоже телодвижения проводить.

Значит так, делаю следующие действия
1. Добавляю в интерфейсы все необхоlимые VLAn
2. В настройках бриджа на вкладке VLANs перечисляю все присутствующие VLAn и указываю порт который смотрит в сторону Catalysta как tagger
3. Включаю vlan filtering
4. адрес административного vlan вешаю на интерфейс соответствующего Vlan на микроте.
после чего проверяю с микрота доступность catalysta и маршрутизатора но пинга нет, с catalysta и маршрутизатора микрот также недоступен по пингу, но виден в соседях. (Порт на каталисте в сторону микрота переведен в транк)
Прошу прощения, с микротами работал не много..

[xvo]

Кусок конфига приложите.

[ILevanov]

Кусок конфига приложите.

Прошу прощения, с консолью еще не до конца подружился, если чего то не хватает подскажите

Сейчас ситуация следующая, удалось победить предыдущую проблему с недоступностью микрота - был неправильно указан ip адрес на vlan 888

Сейчас на клиенте с МАС 50:76:AF:DA:AA:ED задаю Ip адрес из диапазонасети 411 vlan но он шлюза не пингует.


/interface vlan
add interface=bridge1 name=vlan401 vlan-id=401
add interface=bridge1 name=vlan410 vlan-id=410
add interface=bridge1 name=vlan411 vlan-id=411
add interface=bridge1 name=vlan888 vlan-id=888

/caps-man access-list

add action=accept allow-signal-out-of-range=10s disabled=no mac-address=\
50:76:AF:DA:AA:ED ssid-regexp="" vlan-id=411


/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface bridge vlan
add bridge=bridge1 tagged=ether5,bridge1 vlan-ids=401,410,411,888
/interface wireless cap
#
set bridge=bridge1 caps-man-addresses=10.112.65.126 enabled=yes interfaces=\
wlan1
/ip address
add address=10.112.65.126/28 interface=bridge1 network=10.112.65.112
add address=10.9.42.244/28 interface=vlan888 network=10.9.42.240

[xvo]

На wifi-интерфейсы надо тоже в тегированном виде трафик отправлять, так что раз оно через капсман, то с динамическим добавлением, как я понимаю, не выйдет - нужно их статически создавать, добавлять в бридж, и пихать в соответствующие vlan’ы.

[ILevanov]

На wifi-интерфейсы надо тоже в тегированном виде трафик отправлять, так что раз оно через капсман, то с динамическим добавлением, как я понимаю, не выйдет - нужно их статически создавать, добавлять в бридж, и пихать в соответствующие vlan’ы.

Имеются ввиду настройки бриджа, вкладка VlANs? Я правильно понимаю?

[xvo]

Да