UniFi - VLAN 트래픽에 태깅하는 방법
===========================================
download at 2017-09-25T15:45:25Z
`origin <https://help.ubnt.com/hc/en-us/articles/204962144-UniFi-How-does-VLAN-traffic-get-tagged->`_

Answer
------

.. raw:: html

   <div>

--------------

.. raw:: html

   </div>

간단히 말해서, UniFi AP는 WLAN에서 유선으로 패킷이 이동할 때 태깅합니다. 유선랜에서 트래픽이 태깅되어 도착했을 때에는 태깅을 해지하고, WLAN으로 패킷을 포워딩합니다. `UniFi - Using VLANs with UniFi Wireless, Routing & Switching Hardware <https://help.ubnt.com/hc/en-us/articles/219654087>`__ 문서를 참조하십시오.

트래픽 태깅 / 언태깅
===========================

.. raw:: html

   <div>

--------------

.. raw:: html

   </div>

#. AP에서 발생한 트래픽은 태깅 해제됩니다. (br0으로 전송) 태깅 해제하는 트래픽은 관리 트래픽과 RADIUS 트래픽을 포함합니다.

   #. AP <-> Controller (관리트래픽)
   #. AP <-> RADIUS (WPA-Enterprise 를 사용할 때)

#. VLAN 설정을 않은 WLAN 트래픽은 언태깅합니다. (athX 트래픽은 br0 으로 전송합니다)
#. VLAN 설정이 되어 있는 WLAN 트래픽은 태깅합니다. (athX 트래픽은 br0.VLAN에서 eth0.VLAN으로 전송합니다.)

   #. AP <-> RADIUS (WPA-Enterprise 를 사용할 때)
   #. Station -> AP (tags) -> switch
   #. Station <- AP (untags) <- switch

(게스트 포탈로의) 리다이렉션은 관련이 없습니다. VLAN으로 WLAN이 구성되었을 때, AP에서 발생한 트래픽에 태깅을 수행합니다. AP가 태깅한 트래픽은 이후 업스트림에서 어떻게 진행할 지는 환경설정에 따라 다르게 동작합니다.

아래의 예제를 확인해봅시다:

::

    My management network: 10.0.0.0/24
    Guest VLAN network: 15.0.0.0/24

    Switch:
    AP connected to port 5 (vlan1-untagged and vlan5-tagged)
    Ubuntu connected to port 1 (vlan1-untagged and vlan5-tagged)
    Controller connected to port 8 (vlan1-untagged)

    Ubuntu (act as a Router)
    eth0: 10.0.0.2/24, routable to the Interet (gateway 10.0.0.1)
    eth0.5: 15.0.0.1/24, NATed to eth0

    Controller is at 10.0.0.26

게스트 포탈
=============

--------------

VLAN 게스트 접근이 존재한다는 것은 매우 자연스러운 일이며, 게스트는 당연히 고유의 분리된 VLAN 망을 사용해야 합니다. 이를 위해서 몇가지 기술적인 부분이 존재합니다.

게스트 포탈이 활성화되지 않았을 때 VLAN 배포하는 방법은 다음과 같습니다:


::

    1. UniFi AP 가 wlan -> 유선 트래픽 으로 태깅
    2. AP-controller 언태깅
    3. 컨트롤러는 태깅하지 않은 인터페이스에서 동작
    4. AP 내부에서 설정:

    guest --- br0.3 --- eth0.3 --3--+
              br0 ------------------+--u,3---port1
    corp  -----+

배포 예제:

-  port8 은 라우터의 DMZ 포트에 연결, port8 을 vlan3의 멤버로 추가 및 언태깅, DHCP 서버를 DMZ에서 활성화
-  port5 는 내부 네트워크와 연결, port5 언태깅


**게스트 포탈이 VLAN과 활성화 되었을 때 발생하는 일**

게스트 포탈이 활성화 되었을 때, 컨트롤러는 포탈 서버처럼 동작하며 게스트는 http://unifi\_ip:unifi\_http\_portal\_port/guest/ 로 리다이렉션 됩니다. 이 부분이 이슈가 발생하는 부분입니다. 게스트는 VLAN3에 있고, DMZ로 브릿징 하기 때문에, unifi\_ip:unifi\_http\_portal\_port 로 접근할 방법이 없게 됩니다.

위의 시나리오에서 문제를 해결할 방법은 라우터에 룰을 추가하는 방법입니다.

#. DMZ->unifi\_ip로 통하는 경로를 추가합니다.
#. DMZ->unifi\_ip:unifi\_http\_portal\_port 를 허용합니다.

다른 해결 방식으로는 컨트롤러의 동적 스케일 방식을 사용하는 NOC, 클라우드에서 동작하도록 합니다.