Edge router настройка vlan
Маршрутизатор EdgeRouter X это залог надежного сервиса по раздаче интернет и защите локальной сети, для дома и офиса.
И для организации такого сервиса, EdgeRouter X нужно правильно настроить.
В данном разделе, мы публикуем инструкции по простой настройке самых повседневных задач, которые приходится решать системному администратору и продвинутому пользователю.
Мы рассмотрим настройку на роутере EdgeRouter X таких задач как:
- Настройка DHCP и резервирование ip адресов;
- Доступ к роутеру из сери интернет через WAN интерфейс;
- Проброс порта в локальную сеть;
- Запрет выхода в интернет по мак адресу;
- Запрет выхода в интернет по времени;
- Запрет социальных сетей;
- Блокировка групп сайтов.
Альтернативный доступ с помощью GUI: Доступ к веб-серверу управления коммутатором (GUI).
1. Создайте VLAN.
Basic > VLAN > VLAN Wizard > Add VLAN
2. Назначьте порты VLAN, созданные выше, с помощью мастера.
Port 0/1: Excluded (E) for VLAN1 / VLAN20
Port 0/1: Untagged (U) for VLAN99
Port 0/1: Tagged (T) for VLAN10
Port 0/2: Excluded (E) for VLAN1 / VLAN10 / VLAN99
Port 0/2: Untagged (U) for VLAN20
Port 0/3: Excluded (E) for VLAN1 / VLAN20 / VLAN99
Port 0/3: Untagged (U) for VLAN10
3. Создайте SVI и включите функцию IP-маршрутизации.
Routing > IP > Interface Configuration
Type: VLAN
VLAN: VLAN 10
Routing Mode: Enable
Admin Mode: Enable
IP Address Configuration Method: Manual
IP Address: 10.0.10.2
Subnet Mask: 255.255.255.0
Type: VLAN
VLAN: VLAN 20
Routing Mode: Enable
Admin Mode: Enable
IP Address Configuration Method: Manual
IP Address: 10.0.20.2
Subnet Mask: 255.255.255.0
Type: VLAN
VLAN: VLAN 99
Routing Mode: Enable
Admin Mode: Enable
IP Address Configuration Method: Manual
IP Address: 10.0.99.2
Subnet Mask: 255.255.255.0
4. Глобально включите функцию маршрутизации и создайте маршрут для EdgeSwitch
Routing > IP > Configuration.
Видеодомофоны
Датчики
Аксессуары для VoIP-оборудования
Роутеры проводные (без Wi-Fi)
Конфигурация с использованием метода "Switchport"
Напоминание. Не настраивайте общий и коммутационный методы на одном и том же порту!
Доступ к интерфейсу командной строки (CLI), получаем используя программу PuTTY для подключения через SSH, Telnet или консоль.
1. Войдите в привилегированный режим.
2. Определите сетевой протокол, параметры и идентификатор данной VLAN для управляющей VLAN.
2. Создайте VLAN.
3. Войдите в режим настройки.
4. (Необязательно) Если вы ранее настроили общий метод, сначала удалите существующую конфигурацию.
4. Назначьте порты в VLAN, созданные выше.
Конфигурация ниже: отключает порт 0/2 для VLAN20 (доступ). Порт 0/1 будет помечен для VLAN10 (соединение) с VLAN99 в качестве родной VLAN (native). VLAN могут быть исключены из разрешенных портов соединительных линий (но не из портов доступа).
Контроллеры для точек доступа
Удлинители и сетевые фильтры
ITElite
Расширенная настройка 1: Настройка Vlan (виртуальных каналов), Trunk Port на маршрутизаторе
Материнские платы
Ivideon
Крепежная фурнитура
Оптические патч-корды
Патч-Панели
Схема сети
Ниже показана топология сети. В EdgeSwitch (ES) будут использоватся следующие интерфейсы:
- 0/1 (tagged) - VLAN10
- 0/1 (untagged) - VLAN99
- 0/2 (untagged) - VLAN20
- 0/3 (untagged) - VLAN10
Точка доступа Unifi AP помечает беспроводную сеть VLAN10. Трафик управления UAP сам по себе будет немаркирован на порту 0/1 и будет размещен в VLAN99 (собственная VLAN). Хост и сервер будут размещены во VLAN10 и VLAN20. Каждый хост получит DHCP-адрес от ES и направит весь трафик через коммутатор.
Переходники и кабели USB, HDMI, DVI, SATA, 3RCA
TP-Link
Powerline адаптеры
HPE Aruba Networks
Видеодомофоны
Удлинители и сетевые фильтры
Ubiquiti Networks
Подборка статей по настройке маршрутизатора EdgeRouter X
В этой статье показано, как работает функция балансировки нагрузки Ubiquiti EdgeRouter X WAN, и приведен пример ручной настройки.
Достаточно простое решение как ограничить доступ к интернету по времени, встроенными средствами маршрутизаторе EdgeRouter X. Решено!
Главная цель нашего ресурса, простым языком рассказать о сложных вещах администрирования и настройки программных продуктов под Windows, Linux, Android, IOS и прочего.
TG-NET
Усилители Wi-Fi сигнала (репитеры)
Регистраторы
TOTOLINK
M5Stack
Ruijie Networks
Работа с MAC адресом
Информацию о MAC- адресах всех интерфейсов Ethernet можно найти с помощью приведенной ниже команды. Обратите внимание, что это также позволит вам определить, какой интерфейс связан с базовым MAC-адресом.
Команды консоли для смены MAC адреса на роутере Ubiquiti ER-X
VoIP шлюзы
M5Stack
RAIDON
Шаг 3 - EdgeRouter X примеры настройки Firewall и удаленное управление SSH
EdgeOS построен на Debian, поэтому для просмотра правил вы можете использовать утилиту iptables, а вот настраивать проще через веб-интерфейс EdgeRouter.
По умолчанию, все правила файрвола в дропе. За настройку firewallв мир отвечает WAN_LOCAL.
LigoWave
Принт-серверы
Ivideon
USB Wi-Fi адаптеры
Аксессуары для видеонаблюдения
Ruijie Networks
Доступ к интерфейсу командной строки (CLI), получаем используя программу PuTTY для подключения через SSH, Telnet или консоль.
1. (Необязательно) Разрешить глобальные настройки DHCP.
2. Исключить IP-адреса, которые не должны быть назначены сервером DHCP.
ip dhcp excluded-address 10.0.10.0 10.0.10.10
ip dhcp excluded-address 10.0.20.0 10.0.20.10
ip dhcp excluded-address 10.0.99.0 10.0.99.10
3. Создайте пулы DHCP.
ip dhcp pool VLAN10
lease 0 12 0
dns-server 10.0.20.11
default-router 10.0.10.2
network 10.0.10.0 255.255.255.0
exit
ip dhcp pool VLAN20
lease 0 12 0
dns-server 10.0.20.11
default-router 10.0.20.2
network 10.0.20.0 255.255.255.0
exit
ip dhcp pool VLAN99
lease 0 12 0
dns-server 10.0.20.11
default-router 10.0.99.2
network 10.0.99.0 255.255.255.0
exit
Примечание. В этом примере сервер 10.0.20.11 предоставляет службы DNS для всех VLAN.
RAIDON
Контроллеры
Что делаем?
- Схема сети
- Конфигурация с использованием общего метода
- Конфигурация с использованием метода "Switchport"
- Тестирование и проверка
Радиокарты
Радиокарты
MasterLAN
Корпуса
Аксессуары для VoIP-оборудования
Медиаконвертеры
Сетевые компоненты и инструмент
Тестирование и проверка
После настройки портов и VLAN проверьте состояние соединений/состояний, используя следующие команды:
1. Состояние портов VLAN интерфейсов коммутатора:
show interfaces switchport general
Intf PVID Ingress Acceptable Untagged Tagged Forbidden Dynamic
Filtering Frame Type Vlans Vlans Vlans Vlans
--------- ----- ---------- ---------- --------- --------- --------- ---------
0/1 99 Disabled Admit all 99 10 1,20
0/2 20 Disabled Admit all 20 1,10,99
0/3 10 Disabled Admit all 10 1,20,99
show interfaces switchport 0/1
VLAN Membership Mode: General
General Mode PVID: 99
General Mode Untagged VLANs: 99
General Mode Tagged VLANs: 10
General Mode Forbidden VLANs: 1,20
show interfaces switchport 0/2
VLAN Membership Mode: General
General Mode PVID: 20
General Mode Untagged VLANs: 20
General Mode Tagged VLANs:
General Mode Forbidden VLANs: 1,10,99
show interfaces switchport 0/3
VLAN Membership Mode: General
General Mode PVID: 10
General Mode Untagged VLANs: 10
General Mode Tagged VLANs:
General Mode Forbidden VLANs: 1,20,99
2. Глобальные параметры DHCP и пулы:
show ip dhcp global configuration
Service DHCP. Enable
Number of Ping Packets. 2
Excluded Address. 10.0.10.0 to 10.0.10.10
10.0.20.0 to 10.0.20.10
10.0.99.0 to 10.0.99.10
Conflict Logging. Enable
Bootp Automatic. Disable
show ip dhcp pool configuration all
Pool: VLAN10
Pool Type. Dynamic
Network. 10.0.10.0 255.255.255.0
Lease Time. 0 days 12 hrs 0 mins
DNS Servers. 10.0.20.11
Default Routers. 10.0.10.2
Pool: VLAN20
Pool Type. Dynamic
Network. 10.0.20.0 255.255.255.0
Lease Time. 0 days 12 hrs 0 mins
DNS Servers. 10.0.20.11
Default Routers. 10.0.20.2
Pool: VLAN99
Pool Type. Dynamic
Network. 10.0.99.0 255.255.255.0
Lease Time. 0 days 12 hrs 0 mins
DNS Servers. 10.0.20.11
Default Routers. 10.0.99.2
show ip dhcp binding
IP address Hardware Address Lease Expiration Type
--------------- ----------------- ----------------- ------------------
10.0.10.11 80:2a:a8:8b:bd:01 00:11:51 Automatic (Phone)
10.0.10.12 80:2a:a8:00:80:dc 00:11:46 Automatic (Host)
10.0.20.11 80:2a:a8:a5:a8:99 00:11:50 Automatic (Server)
10.0.99.11 80:2a:a8:99:92:d5 00:11:50 Automatic (UAP)
3. Проверьте доступность самих хостов:
Server> tracert -d 10.255.12.1
Tracing route to 10.255.12.1 over a maximum of 30 hops
1 1 ms 1 ms 1 ms 10.0.20.2
2 1 ms
Server> tracert -d 10.0.10.11
Tracing route to 10.0.10.11 over a maximum of 30 hops
Server> tracert -d 10.0.99.11
Tracing route to 10.0.99.11 over a maximum of 30 hops
Host> tracert -d 10.255.12.1
Tracing route to 10.255.12.1 over a maximum of 30 hops
1 1 ms 1 ms 1 ms 10.0.10.2
2 1 ms
Host> tracert -d 10.0.20.11
Tracing route to 10.0.20.11 over a maximum of 30 hops
1 1 ms 1 ms 1 ms 10.0.10.2
2 4 ms 3 ms 6 ms 10.0.20.11
Host> tracert -d 10.0.99.11
Tracing route to 10.0.99.11 over a maximum of 30 hops
Those who have followed along with parts 1 and 2 of this series should now have an ERL configuration with one WAN and one LAN interface and a zone-based firewall. Let’s take another look at our example network configuration diagram.
Rather than the single LAN we have now, this shows separate home and office LANs. It also shows a wireless AP which will supply wireless networks for both LANs.
One way to separate the home and office networks would be to put them on different interfaces of the ERL, e.g. the home LAN on eth1 and the office LAN on eth2. This would work but has a some disadvantages - reconfiguring the network might involve rewiring, and each network needs its own wireless AP.
A more flexible option is to use virtual LANs (VLANs). With VLANs the networking equipment provides a logical separation of networks which can easily be reconfigured in software. A single interconnect can carry traffic for multiple VLANs using 802.1q VLAN tagging, which allows deploying a single AP which serves wireless networks for both LANs or even multiple APs throughout the building all serving multiple wireless networks.
Using VLANs does require that at least some of your other networking equipment support VLANs. In a small network a single managed switch is sufficient, and wireless APs need to support defining multiple SSIDs with VLAN tagging.
In this post we’ll learn how to set up VLANs on the ERL. A VLAN deployment will also require configuring switches and wireless APs, but exactly how to do this is hardware-specific and thus will not be covered here.
MasterLAN
Mean Well
Аксессуары для видеонаблюдения
Грозозащита
Xiaomi
IP телефоны
Ajax Systems
Примечания и требования:
Реализация возможна на прошивке EdgeSwitch 1.7.1 + всех моделях EdgeSwitch. Требуется знание интерфейса командной строки (CLI) и базовых сетевые знания.
Оборудование, используемое в этой статье:
IP телефоны
Как разрешить ping ICMP на EdgeRouter
Можно как и в предыдущем примере через веб иентрефейс, но приведу здесь код для консоли (CLI). Для того чтобы наш роутер используя протокол ICMP стал виден из Интернета, при помощи команды ping, введите нижеприведенные команды.
Для проверки правил фервола используйте команду iptables, чтобы увидеть наше правило смотрите раздел WAN_LOCAL
Коммутаторы с PoE
Ubiquiti Networks
Сетевые накопители (NAS, DAS)
Конфигурация VLAN с использованием общего метода
В этом примере EdgeSwitch работает c конфигурацией, которая задана по умолчанию, доступ к управлению получаем через SSH. Первым шагом является создание VLAN и привязка их к конкретным портам (помеченные или немаркированные). Конфигурация будет в основном сосредоточена на ES-Left, поскольку два свича почти идентичны, за исключением портов VLAN и IP-адресов управления.
CLI STEPS: Доступ к интерфейсу командной строки (CLI), получаем используя программу PuTTY для подключения через SSH, Telnet или консоль.
1. Войдите в привилегированный режим.
2. Определите сетевой протокол, параметры и идентификатор данной VLAN для управляющей VLAN.
3. Войдите в режим настройки.
4. Назначьте порты в VLAN, созданные выше.
Ниже приведена конфигурация для маркировки порта 0/2 сети VLAN20 (pvid). Порт 0/1 будет маркирован для VLAN10 с VLAN99 в качестве собственной VLAN (pvid). После этого ненужные VLAN исключаются от участия "в сети".
1. Определите сетевой протокол, параметры и идентификатор данной VLAN для VLAN управления. System > Connectivity > IPv4
2. Создайте VLAN. Basic > VLAN > VLAN Wizard > Add VLAN
2. Назначьте порты VLAN, созданные выше, с помощью мастера.
Силовой кабель
Mercusys
Неуправляемые коммутаторы
Jirous
Teltonika
Rf elements
Что из себя представляет маршрутизатор EdgeRouter X
Ubiquiti EdgeRouter X - это маршрутизатор (роутер) бизнес уровня с двумя портами PoE (24 В) и ультро-компактным размером. ER-X может питаться от внешнего адаптера питания или пассивного входа PoE 24 В. Для поддержки одного устройства airMAX доступен вариант пассивной сквозной передачи PoE.
Первый порт для питания самого маршрутизатора, второй порт для подключения точки доступа, или IP-камеры с PoE.
Пять гигабитных портов Ethernet, которые можно настроить полностью независимо друг от друга.
Маршрутизатор оснащен операционной системой EdgeOS и может быть настроен по своему вкусу и потребностям.
Через GUI вы можете просматривайте состояние подключения и скорость каждого порта и статистику на панели управления маршрутизатора EdgeRouter X.
Настраиваем роутер Ubiquiti EdgeRouter Х под разные задачи для дома и офиса от А до Я.
Edimax
Info-Sys
Fanvil
Ajax Systems
Медиаконвертеры
Грозозащита
Шаг 0 - Как сбросить к заводским настройкам Ubiquiti EdgeRouter (EdgeOS)
Проще всего перед началом настройки нового оборудования, сбросить его к заводским установкам. Как показывает практический опыт, это зачастую избавляет от множества нежелательных ошибок и потерянного времени.
Это способ сброса стандартен для всех моделей EdgeRouter.
Для сброса к заводским настройкам операционной системы Ubiquiti EdgeOS, необходимо:
подождать несколько секунд, и после того как светодиодный индикатор перестанет мигать, отпустить кнопку сброса.
VoIP шлюзы
Сетевые компоненты и инструмент
GAOKE
Роутеры проводные (без Wi-Fi)
GPS-трекеры
Аналоговые видеокамеры
Усилители Wi-Fi сигнала (репитеры)
Edge-Core
Кабель UTP, FTP, коннекторы
HiWatch
Что будем делать?
- Схема сети
- VLAN и VLAN-интерфейсы
- Области DHCP
- Тестирование и проверка
IP-ATC
Патч-корды
Nobelic
Info-Sys
Шаг 2 - Базовая настройка EdgeRouter X
В базовой конфигурации (Default Configuration), ваше устройство EdgeRouter X будет работать как управляемый свич. Если вы подключите к любому из портов кабель от интернет-провайдера – ничего не произойдет, доступа в интернет не будет.
Пигтейлы
Универсальные внешние аккумуляторы
Escene
Wi-Fi антенны
ATcom
Расширенная настройка 2: Конфигурация Load Balancing
Конфигурация Load Balancing предполагает использование 2-х каналов доступа в Интернет (разных провайдеров).
Подключение к первому Интернет-провайдеру осуществляется через интерфейс eth0, ко второму – через интерфейс eth1. Здесь же вы моете выбрать тип подключения для каждого соединения: DHCP, Static IP либо PPPoE. Для каждого из подключений вы можете сразу включить Firewall. Порты eth2-eth4 будут объединены в локальный свич. При выборе этой конфигурации есть важный нюанс – опция Failover Only. Если вы хотите, чтобы роутер балансировал нагрузку между двумя провайдерами – эту опцию необходимо оставить пустой. Если же вы хотите использовать eth1 только в качестве резервного интернет-подключения при отказе eth0 – установите опцию Failover Only.
Подробно на английском в статье EdgeRouter - WAN Load-Balancing
Вы можете проверить конфигурацию и состояние балансировки нагрузки с помощью следующих команд:
Основные таблицы маршрутизации и таблицы маршрутизации для балансировки нагрузки можно отобразить с помощью следующих команд:
Synology
Keenetic
Силовой кабель
Сетевые накопители (NAS, DAS)
Крепежная фурнитура
LigoWave
Adding VLANs
A VLAN is created by adding a virtual interfaces or vif to one of the physical interfaces. For our network we’ll define three VLANs. Each VLAN will need its own pool of addresses to assign to clients. For this example we’ll use:
- VLAN 1: Management network. This is the network used for communication between the network hardware. Subnet: 192.168.101.0/24.
- VLAN 2: Home network. Subnet: 192.168.102.0/24.
- VLAN 3: Office network. Subnet: 192.168.103.0/24.
VLAN Configuration
We’ll configure the management LAN as an example. First we need to add the vif to eth2:
Next, set up DHCP and DNS for this network.
Repeat this procedure for the home and office VLANs.
Firewall Rules
Firewall rules and zone policy also need to be defined for the management zone. I won’t cover this in detail here; refer to part 2 for guidance.
Deleting the Old Configuration
Once the VLAN configuration has been verified to be working with other networking equipment, much of the old configuration for the LAN is likely no longer needed. It should be safe to delete the IP address for eth2 and the DHCP settings, DNS settings, and zone policy for the old LAN network. Any firewall rulesets that are no longer used can also be deleted. Make sure that you delete only the rules for the eth2 interface itself and not for its VLANs. Also be sure that the firewall rules allow access to the router configuration from at least one of the VLANs, otherwise you may find yourself locked out!
Wi-Fi антенны
Патч-корды
IP-ATC
Кабель UTP, FTP, коннекторы
HPE Aruba Networks
Сетевые карты и адаптеры
Материнские платы
Alfa Network
Edge-Core
Доступ к интерфейсу командной строки (CLI), получаем используя программу PuTTY для подключения через SSH, Telnet или консоль.
1. Войдите в привилегированный режим.
2. Создайте VLAN и VLAN-интерфейсы (SVI).
Примечание. Формат - vlan routing . Идентификатор интерфейса не должен соответствовать номеру VLAN и используется для разделения VLAN-интерфейсов во внутренней архитектуре коммутатора.
3. Войдите в режим настройки.
4. Назначьте порты для VLAN, созданные выше.
Конфигурация ниже: отключает порт 0/2 для VLAN20 и 0/3 для VLAN10 (pvid). Порт 0/1 будет помечен для VLAN10 (пометки) с VLAN99 в качестве собственной VLAN (pvid). После этого ненужные VLAN исключаются.
interface 0/1
description UAP
vlan tagging 10
vlan pvid 99
vlan participation exclude 1,20
vlan participation include 10,99
exit
interface 0/2
description Server
vlan pvid 20
vlan participation exclude 1,10,99
vlan participation include 20
exit
interface 0/3
description Host
vlan pvid 10
vlan participation exclude 1,20,99
vlan participation include 10
exit
4. Свяжите SVI с IP-адресами и включите маршрутизацию.
interface vlan 10
ip address 10.0.10.2 255.255.255.0
routing
exit
interface vlan 20
ip address 10.0.20.2 255.255.255.0
routing
exit
interface vlan 99
ip address 10.0.99.2 255.255.255.0
routing
exit
5. Включите функцию глобальной маршрутизации.
Powerline адаптеры
Управляемые коммутаторы
Wi-Tek
Датчики
Расширенная настройка 3: Проброс портов в EdgeRouter X
Разберемся с расширенные настройки Ubiquiti EdgeOS перенаправление портов (Port Forwarding), которые находятся на вкладке
Прежде чем что-то настраивать вы должны были купить Белый Статический ИП у вашего интернет провайдера? Или вы должны были построить VPN сеть, но в этом случае вам для доступа к устройствам локальной сети проброс портов НЕ нужен.
Synology
Корпуса
TOTOLINK
KVM переключатели
Блоки питания, РОЕ, инжекторы
Области DHCP
Одним из основных правил назначения области DHCP является наличие интерфейса в той же подсети. В этой статье эти интерфейсы представляют собой SVI, созданные выше. Области DHCP связаны с VLAN10, VLAN20 и VLAN99, иначе коммутатор не знает из какого пула назначать адреса.
ATcom
USB-концентраторы
Роутеры с Wi-Fi6 (802.11ax)
Edimax
IP-камеры
GAOKE
Тестирование и проверка
После настройки портов и VLAN проверьте состояние соединений/точек, используя следующие команды:
Пигтейлы
TG-NET
Fanvil
Регистраторы
SFP, SFP+,SFP28 - модули/патч-корды/DAC-кабель
Управляемые коммутаторы
Wi-Tek
Роутеры с PоE
Keenetic
Mercusys
Источники бесперебойного питания
Шаг 5 - Установка дополнительных пакетов Debian в Ubiquiti EdgeOS
Одним из неоспоримых достоинств фирменной сетевой операционной системы EdgeOS, под управлением которой работают все высокопроизводительные маршрутизаторы серии EdgeMAX, от компании Ubiquiti Networks, является то, что она построена на ядре ОС Debian. И в отличии от многих других устройств, использующих ядро Linux, но имеющих закрытую архитектуру, в маршрутизаторах EdgeRouter, вы без труда можете получить root доступ к системе. А так же, самостоятельно установить необходимые вам пакеты из репозитария Debian.
Базовый дистрибутив Debian был обновлен с Wheezy до Stretch в версии прошивки EdgeOS v2.0.0. Это означает, что репозиторий Debian, используемый EdgeOS v2.0.0 и более старыми версиями прошивки, отличается.
Существуют некоторые ограничения на устанавливаемые пакеты, например, нельзя установить пакеты, требующие функции ядра, а так же, приложения требующие аудио и видео.
Rf elements
Блоки питания, РОЕ, инжекторы
Точки доступа WiFi
Mean Well
Conclusion
That’s it for our brief overview of setting up VLANs on the ERL. In part 4 we’ll talk about deploying IPv6 on the ERL.
Cетевая операционная система Ubiquiti EdgeOS, разработанная специально для устройств EdgeRouter (маршрутизатор).
Ubiquiti EdgeOS полностью построена на базе открытой операционной системы Debian, существует возможность полного контроля над ОС, включая root доступ и возможность установки дополнительных модулей.
Оптические патч-корды
Точки доступа WiFi
USB Wi-Fi адаптеры
Схема сети
Ниже показана топология сети, а также интерфейсы для EdgeSwitches (ES) и EdgeRouter (ER).
ER-X
- eth0 (WAN)
- eth1.10 (VIF 10) - 10.0.10.1/24
- eth1.20 (VIF 20) - 10.0.20.1/24
- eth1.99 (VIF 99) - 10.0.99.1/24
ES-Left
- 0/1 (tagged) - VLAN10
- 0/1 (untagged) - VLAN99
- 0/2 (untagged) - VLAN20
- 0/7 (tagged) - VLAN10 / VLAN20 / VLAN99
- 0/8 (tagged) - VLAN10 / VLAN20 / VLAN99
ES-Right
- 0/1 (untagged) - VLAN10
- 0/2 (untagged) - VLAN20
- 0/7 (tagged) - VLAN10 / VLAN20 / VLAN99
Точка доступа Unifi AP помечает беспроводную сеть VLAN10. Трафик управления UAP сам по себе будет немаркирован на порту 0/1 и будет размещен в VLAN99 (собственная VLAN). Хост и сервер будут размещены во VLAN10 и VLAN20. Каждый хост получит DHCP-адрес от ES и направит весь трафик через коммутатор ER.
Teltonika
Переходники и кабели USB, HDMI, DVI, SATA, 3RCA
Xiaomi
Yealink
MikroTik
Шаг 4 - Настройка EdgeOS в качестве OpenVPN клиент
В данном шаге я расскажу, как настроить устройство под управлением EdgeOS в качестве клиента OpenVPN, что бы была возможность отправлять весь или часть трафика в зашифрованную локальную сеть предприятия или к одному из качественных VPN провайдеров.
У Вас уже должен быть развёрнут OpenVPN сервер, к примеру, по моей инструкции на базе своей VPS.
В классическом случае, вы должны получить такие файлы:
Теперь необходимо скопировать всё выше перечисленное на ваше устройство в директорию /config/, если вы сохраните в другую директорию конфигурационный файл, то он не будет сохранен во время обновления образа вашего устройства.
В своей инструкции я создаю один универсальный настроечный файл и мне не нужно копировать все файлы. При копировании я также переименовываю расширение файл в conf, ибо расширение ovpn не все клиенты понимают
Теперь, на самом устройстве, необходимо настроить клиента OpenVPN, создать и настроить сетевой интерфейс vtun0, для этого выполним:
Возможно, в процессе настройки вы заходите удалить интерфейс vtun0, для этого выполните команды:
Если все настройки были указаны верно, в Web-интерфейсе должен появится новый интерфейс, как на моем скриншоте:
Как видите на скриншоте моё vpn соединение установлено и работает. Дальнейшие настройки, если они нужны, я делаю через файл ccd на сервере OpenVpn.
В случае удачного соединения ваш vtun0 получит корректный IP-адрес, если же вы где-то ошиблись роутер может показывать статус Connected, но вместо IP-адреса будет написано TBD.
USB-концентраторы
Jirous
Alfa Network
ITElite
Примечания и требования:
Реализация возможна на прошивке EdgeSwitch 1.7.1 + всех моделях EdgeSwitch. Требуется знание интерфейса командной строки (CLI) и базовых сетевые знания.
Оборудование, используемое в этой статье:
HiWatch
Коммутаторы с PoE
IP-камеры
SFP, SFP+,SFP28 - модули/патч-корды/DAC-кабель
Альтернативный доступ с помощью GUI: Доступ к веб-серверу управления коммутатором (GUI).
1. Глобально включите настройки DHCP.
System > Advanced Configuration > DHCP Server > Global
2. Создайте пулы DHCP.
System > Advanced Configuration > DHCP Server > Pool Summary > Add
Pool Name: VLAN10
Type of Binding: Dynamic
Network Base Address: 10.0.10.0
Network Mask: 255.255.255.0
Range Start: 10.0.10.11
Range Stop: 10.0.10.255
Lease Expiration: Enable
Lease Duration: 12 Hours
Default Router Address 10.0.10.2
DNS Server Address 1: 10.0.20.11
Pool Name: VLAN20
Type of Binding: Dynamic
Network Base Address: 10.0.20.0
Network Mask: 255.255.255.0
Range Start: 10.0.20.11
Range Stop: 10.0.20.255
Lease Expiration: Enable
Lease Duration: 12 Hours
Default Router Address 10.0.20.2
DNS Server Address 1: 10.0.20.11
Pool Name: VLAN99
Type of Binding: Dynamic
Network Base Address: 10.0.99.0
Network Mask: 255.255.255.0
Range Start: 10.0.99.11
Range Stop: 10.0.99.255
Lease Expiration: Enable
Lease Duration: 12 Hours
Default Router Address 10.0.99.2
DNS Server Address 1: 10.0.99.11
Роутеры с PоE
MikroTik
Yealink
Как разрешить удаленное подключение по протоколу SSH
добавим правило в WAN_LOCAL, а именно: разрешить пакеты tcp, разрешить логирование, во вкладке destination прописать 22.
Всё, теперь вас могут взламывать все кому не лень. Смените пароль по умолчанию.
VLAN и VLAN-интерфейсы
В этом примере EdgeSwitch работает c конфигурацией, которая задана по умолчанию, доступ к управлению получаем через SSH. Первым шагом является создание VLAN и привязка их к конкретным портам (помеченные или немаркированные).
Nobelic
Аналоговые видеокамеры
Роутеры с Wi-Fi6 (802.11ax)
Аккумуляторные батареи
Главная Блог По брендам Ubiquiti Networks Настройка DHCP-сервера VLANs and VLAN-Aware на оборудовании Ubiquiti EdgeSwitch
В этой статье описываются инструкции, необходимые для настройки DHCP-сервера и создания нескольких областей на EdgeSwitch (ES). Каждая DHCP- область будет назначена определенной VLAN с использованием виртуального интерфейса коммутатора (SVI), который является маршрутизируемым интерфейсом VLAN.
Патч-Панели
Guest/IoT VLAN
Though this isn’t included in the example network we’re setting up, it’s definitely worth mentioning.
Setting up isolated wireless networks for guests and/or internet of things (IoT) devices is a really good idea. Guests could be bringing compromised devices into your network, and IoT devices are infamous for their poor security practices. Unless you have a specific reason that the device needs to be on the same network as your other machines (e.g. a wireless printer) it’s better to put them on an isolated network.
Using the information above it is strightforward to add one or more additional VLANs for these devices. Set up the vlan similarly to the one above, set up DHCP with an unused range of IPv4 addresses, add a new firewal zone for the network, and configure the firewall so that all trafic to and from the zone is dropped except for WAN traffic. Pro tip: If the default action for your zones is drop you don’t actually need to explicitly add rules to drop traffic between two zones.
Универсальные внешние аккумуляторы
Контроллеры для точек доступа
Сетевые карты и адаптеры
TP-Link
Шаг 1 - Первое включение EdgeRouter
На этом шаге рассмотрим подключение к Ubiquiti EdgeOS в устройстве EdgeRouter X (5-портовый маршрутизатор 10/100/1000 Base-T серии EdgeMAX).
В EdgeRouter X по умолчанию DHCP-сервер не включен. Поэтому
на ПК или ноутбуке статический IP из диапазона 192.168.1.Х, за исключением IP-адреса устройства – 192.168.1.1;
GPS-трекеры
Аккумуляторные батареи
В этой статье описываются шаги, необходимые для создания VLAN с определением портов: немаркированных (access) и маркированных (trunk). В настоящее время существует два способа назначения портов VLAN на EdgeSwitches (ES):
Общий метод
- Конфигурируется с помощью GUI или CLI.
- Используя маркировку VLAN следуя pvid-инструкциям.
Метод "Switchport"
- Конфигурируется только с помощью CLI.
- Используя режим "Switchport" для маркировки access/trunk.
Метод "Switchport" идентичен Cisco IOS. Когда Вы используете этот метод, вся конфигурация, связанная с общим методом, будет игнорироваться. Сохраняйте конфигурацию VLAN-порта в соответствии с нужым устройством и НЕ ИСПОЛЬЗУЙТЕ оба этих метода на одном и том же порту!
Escene
Контроллеры
UNIVOIS
Источники бесперебойного питания
UNIVOIS
Принт-серверы
KVM переключатели
Неуправляемые коммутаторы
Читайте также: