pFsense,Unifi AP,HP交换机和VLANS
我有一个带有一个MYNET SSID的Unifi,它连接到端口23上的HP 2520开关。我有一个连接在端口1上的pfSense局域网接口。AP客户端从pfSense获得DHCP (192.168.1.0/24),并且可以访问互联网等。我对我所有的“已知”设备都有静态租约,但也有一个DHCP池,这样新设备就可以进行配置。
我在pfSense和策略路由端口443上配置了pfSense(客户端),等等。尽管有些网站放弃了VPN流量,所以我认为我应该在AP上设置一个"vpn旁路“SSID,并给它一个完全不同的子网。我可以告诉pfSense将整个网络路由出广域网接口。
我在AP上添加了vlan 200,并为SSID提供了NOVPN。在pfSense上,我学习了一些教程,并在局域网接口上安装了vlan 200。我启用了vlan接口,为它添加了防火墙“通过”规则。然后,为完全不同的子网(192.168.2.0/24)设置DHCP。如果重要的话,我还没有为它配置静态租约。
当客户端离开MYNET并连接到NOVPN时,客户端不会得到IP。tcpdump显示来自客户端的DHCP请求,pfSense回复,但这就是我所看到的全部内容。在客户端上,连接超时/失败。在pfSense上,我看到一个DHCP回复到客户端的MYNET静态租约。答复来自x.x.1.1 (pfSense局域网接口)。我原以为它会来自x.x.2.1,这是pfSense的vlan 200地址。
11:44:16.625014 IP 192.168.1.1.67 > 192.168.1.66.68: BOOTP/DHCP, Reply, length 300我想这可能是因为我的开关上没有VLAN吧?我试着在我的交换机上设置vlan 200,但是被标记/未标记/GVRP等弄丢了。我是否需要对AP和pfSense端口进行主干/标记,因为它们将承载多个VLAN流量?我尝试了一些从这惠普链接,但没有完全弄清楚什么是需要使这一工作。有什么想法吗?
当前的HP端口分配:
===========================- TELNET - MANAGER MODE -============================
Switch Configuration - VLAN - VLAN Port Assignment
Port DEFAULT_VLAN no_vpn_vlan | Port DEFAULT_VLAN no_vpn_vlan
---- + ------------ ------------ | ---- + ------------ ------------
1 | No Untagged | 13 | No Untagged
2 | No Untagged | 14 | No Untagged
3 | No Untagged | 15 | No Untagged
4 | No Untagged | 16 | No Untagged
5 | No Untagged | 17 | No Untagged
6 | No Untagged | 18 | No Untagged
7 | No Untagged | 19 | No Untagged
8 | No Untagged | 20 | No Untagged
9 | No Untagged | 21 | No Untagged
10 | No Untagged | 22 | No Untagged
11 | No Untagged | 23 | No Untagged
12 | No Untagged | 24 | No Untagged
Actions-> Cancel Edit Save Help端口/中继设置(所有端口设置与#1相同):
Port Type Enabled Mode Flow Ctrl Group Type
---- --------- + ------- ------------ --------- ----- -----
1 1000T | Yes Auto Disable
...更新:在下面添加开关配置:
运行配置
switch-2520G# show run
Running configuration:
; J9299A Configuration Editor; Created on release #J.14.54
hostname "switch-2520G"
vlan 1
name "DEFAULT_VLAN"
no untagged 1-24
no ip address
exit
vlan 200
name "no_vpn_vlan"
untagged 1-24
ip address 192.168.1.10 255.255.255.0
exit
auto-tftp 192.168.100.120 "/tftp"
banner motd "HP SWITCH
"
include-credentials
password manager user-name "x..." sha1 "x..."
no telnet-server
ip authorized-managers 192.168.1.220 255.255.255.255 access manager
ip authorized-managers 172.22.200.220 255.255.255.0 access manager
ip authorized-managers 192.168.1.220 255.255.255.255 access manager
ip ssh public-key operator "ssh-rsa ..."
ip ssh public-key operator "ssh-rsa ..."
snmp-server community "x..." operator
snmpv3 engineid "xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx"
aaa authentication ssh login public-key
no tftp serverIP信息
switch-2520G# show ip
Internet (IP) Service
Default Gateway :
Default TTL : 64
Arp Age : 20
Domain Suffix :
DNS server :
VLAN | IP Config IP Address Subnet Mask Proxy ARP
-------------------- + ---------- --------------- --------------- ---------
DEFAULT_VLAN | Disabled
no_vpn_vlan | Manual 192.168.1.1 255.255.255.0 NoVLAN信息
switch-2520G# show vlan
Status and Counters - VLAN Information
Maximum VLANs to support : 256
Primary VLAN : DEFAULT_VLAN
Management VLAN :
VLAN ID Name Status Voice Jumbo
------- -------------------- ------------ ----- -----
1 DEFAULT_VLAN Port-based No No
200 no_vpn_vlan Port-based No No VLAN 1 (DEFAULT_VLAN)
switch-2520G# show vlan 1
Status and Counters - VLAN Information - VLAN 1
VLAN ID : 1
Name : DEFAULT_VLAN
Status : Port-based Voice : No
Jumbo : No
Port Information Mode Unknown VLAN Status
---------------- -------- ------------ ----------
Overridden Port VLAN configuration
Port Mode
---- ------------VLAN 200 (no_vpn_vlan)
switch-2520G# show vlan 200
Status and Counters - VLAN Information - VLAN 200
VLAN ID : 200
Name : no_vpn_vlan
Status : Port-based Voice : No
Jumbo : No
Port Information Mode Unknown VLAN Status
---------------- -------- ------------ ----------
1 Untagged Learn Up
2 Untagged Learn Down
3 Untagged Learn Down
4 Untagged Learn Down
5 Untagged Learn Down
6 Untagged Learn Down
7 Untagged Learn Down
8 Untagged Learn Down
9 Untagged Learn Down
10 Untagged Learn Down
11 Untagged Learn Up
12 Untagged Learn Down
13 Untagged Learn Up
14 Untagged Learn Down
15 Untagged Learn Down
16 Untagged Learn Up
17 Untagged Learn Down
18 Untagged Learn Down
19 Untagged Learn Down
20 Untagged Learn Down
21 Untagged Learn Up
22 Untagged Learn Down
23 Untagged Learn Up
24 Untagged Learn Down VLAN端口分配
Port DEFAULT_VLAN no_vpn_vlan | Port DEFAULT_VLAN no_vpn_vlan
---- + ------------ ------------ | ---- + ------------ ------------
1 | No Untagged | 13 | No Untagged
2 | No Untagged | 14 | No Untagged
3 | No Untagged | 15 | No Untagged
4 | No Untagged | 16 | No Untagged
5 | No Untagged | 17 | No Untagged
6 | No Untagged | 18 | No Untagged
7 | No Untagged | 19 | No Untagged
8 | No Untagged | 20 | No Untagged
9 | No Untagged | 21 | No Untagged
10 | No Untagged | 22 | No Untagged
11 | No Untagged | 23 | No Untagged
12 | No Untagged | 24 | No Untagged更新-2/解决方案(由Zac67提供):
更改两个VLANS的IP地址:交换机配置- Internet (IP)服务
Default Gateway :
Default TTL : 64
Arp Age : 20
VLAN IP Config IP Address Subnet Mask
-------------------- + ---------- --------------- ---------------
DEFAULT_VLAN | Manual 192.168.1.1 255.255.255.0
no_vpn_vlan | Manual 192.168.2.1 255.255.255.0正确的VLAN标记:
Switch Configuration - VLAN - VLAN Port Assignment
Port DEFAULT_VLAN no_vpn_vlan | Port DEFAULT_VLAN no_vpn_vlan
---- + ------------ ------------ | ---- + ------------ ------------
1 | Untagged Tagged | 13 | Untagged No
2 | Untagged No | 14 | Untagged No
3 | Untagged No | 15 | Untagged No
4 | Untagged No | 16 | Untagged No
5 | Untagged No | 17 | Untagged No
6 | Untagged No | 18 | Untagged No
7 | Untagged No | 19 | Untagged No
8 | Untagged No | 20 | Untagged No
9 | Untagged No | 21 | Untagged No
10 | Untagged No | 22 | Untagged No
11 | Untagged No | 23 | Untagged Tagged
12 | Untagged No | 24 | Untagged No添加pfSense NAT规则用于no_vpn_vlan__:
回答 1
Network Engineering用户
发布于 2021-02-20 18:06:59
您还需要在交换机上设置标记的VLAN。默认情况下,它只有一个没有标记的VLAN,因此所有连接的设备都位于同一个L2段中。此外,默认情况下,带有未知VLAN标记的帧被简单地删除,因此交换机之间没有连接性。
对多个VLAN使用单个连接需要一个VLAN中继。在主干上,您可以留下一个VLAN没有标记,所有其他必须被标记。在所有的主干上使用相同的逻辑,或者通常在所有的主干上标记所有的VLAN是有意义的。
VLAN标记需要为跨链路或设备之间的帧提供VLAN关联。
您似乎已经在pfSense路由器和WAP上创建了VLAN。确保您知道哪些VLAN已被标记,哪些未在链接上。
在2520交换机上,确保存在完全相同的VLAN,并确保它们以与连接的设备完全相同的方式被标记或取消标记,例如在端口1和23上标记的VLAN 20,以及在所有端口上未标记的VLAN 1:
conf
vlan 1 untagged 1-24
vlan 20 name no_vpn_vlan
vlan 20 tagged 1,23
write memory你不需要GVRP。它只需要在一个更大的网络中,您可能希望交换机自动了解哪些VLAN在链接上使用。您需要非常小心地使用/配置GVRP以避免安全问题--因此对于一个小型网络来说,不要使用它。
编辑后的show run加法
vlan 200
name "no_vpn_vlan"
untagged 1-24 这就将所有的交换端口放入VLAN200,没有标记--包括pfSense和WAP。从这些端口进入的被标记为VLAN 200的帧使其进入VLAN,但是来自交换机的帧被取消标记,因此它们与pfSense & WAP上的无标记VLAN相关联。如果您在上面使用我的配置片段,您可以将所有未标记的端口放在默认的VLAN 1中,并启用VLAN 200,并在端口1和23之间标记帧--这很可能是您想要的结果。
不要忘记将您的管理地址移回VLAN 1。如果没有串行控制台,这可能会很棘手,因为您需要首先从VLAN 200中删除IP地址,立即终止管理会话。我会在其他未使用的端口上使用临时VLAN和IP地址。但连接串行电缆可能更简单。;-)
请记住,VLAN本质上是虚拟交换机,标记帧使连接到这些端口的虚拟子接口能够使用标记的VLAN。
https://networkengineering.stackexchange.com/questions/72652
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号