UniFi - VLAN 트래픽에 태깅하는 방법

download at 2017-09-25T15:45:25Z origin

Answer


간단히 말해서, UniFi AP는 WLAN에서 유선으로 패킷이 이동할 때 태깅합니다. 유선랜에서 트래픽이 태깅되어 도착했을 때에는 태깅을 해지하고, WLAN으로 패킷을 포워딩합니다. UniFi - Using VLANs with UniFi Wireless, Routing & Switching Hardware 문서를 참조하십시오.

트래픽 태깅 / 언태깅


  1. AP에서 발생한 트래픽은 태깅 해제됩니다. (br0으로 전송) 태깅 해제하는 트래픽은 관리 트래픽과 RADIUS 트래픽을 포함합니다.
    1. AP <-> Controller (관리트래픽)
    2. AP <-> RADIUS (WPA-Enterprise 를 사용할 때)
  2. VLAN 설정을 않은 WLAN 트래픽은 언태깅합니다. (athX 트래픽은 br0 으로 전송합니다)
  3. VLAN 설정이 되어 있는 WLAN 트래픽은 태깅합니다. (athX 트래픽은 br0.VLAN에서 eth0.VLAN으로 전송합니다.)
    1. AP <-> RADIUS (WPA-Enterprise 를 사용할 때)
    2. Station -> AP (tags) -> switch
    3. Station <- AP (untags) <- switch

(게스트 포탈로의) 리다이렉션은 관련이 없습니다. VLAN으로 WLAN이 구성되었을 때, AP에서 발생한 트래픽에 태깅을 수행합니다. AP가 태깅한 트래픽은 이후 업스트림에서 어떻게 진행할 지는 환경설정에 따라 다르게 동작합니다.

아래의 예제를 확인해봅시다:

My management network: 10.0.0.0/24
Guest VLAN network: 15.0.0.0/24

Switch:
AP connected to port 5 (vlan1-untagged and vlan5-tagged)
Ubuntu connected to port 1 (vlan1-untagged and vlan5-tagged)
Controller connected to port 8 (vlan1-untagged)

Ubuntu (act as a Router)
eth0: 10.0.0.2/24, routable to the Interet (gateway 10.0.0.1)
eth0.5: 15.0.0.1/24, NATed to eth0

Controller is at 10.0.0.26

게스트 포탈


VLAN 게스트 접근이 존재한다는 것은 매우 자연스러운 일이며, 게스트는 당연히 고유의 분리된 VLAN 망을 사용해야 합니다. 이를 위해서 몇가지 기술적인 부분이 존재합니다.

게스트 포탈이 활성화되지 않았을 때 VLAN 배포하는 방법은 다음과 같습니다:

1. UniFi AP  wlan -> 유선 트래픽 으로 태깅
2. AP-controller 언태깅
3. 컨트롤러는 태깅하지 않은 인터페이스에서 동작
4. AP 내부에서 설정:

guest --- br0.3 --- eth0.3 --3--+
          br0 ------------------+--u,3---port1
corp  -----+

배포 예제:

  • port8 은 라우터의 DMZ 포트에 연결, port8 을 vlan3의 멤버로 추가 및 언태깅, DHCP 서버를 DMZ에서 활성화
  • port5 는 내부 네트워크와 연결, port5 언태깅

게스트 포탈이 VLAN과 활성화 되었을 때 발생하는 일

게스트 포탈이 활성화 되었을 때, 컨트롤러는 포탈 서버처럼 동작하며 게스트는 http://unifi_ip:unifi_http_portal_port/guest/ 로 리다이렉션 됩니다. 이 부분이 이슈가 발생하는 부분입니다. 게스트는 VLAN3에 있고, DMZ로 브릿징 하기 때문에, unifi_ip:unifi_http_portal_port 로 접근할 방법이 없게 됩니다.

위의 시나리오에서 문제를 해결할 방법은 라우터에 룰을 추가하는 방법입니다.

  1. DMZ->unifi_ip로 통하는 경로를 추가합니다.
  2. DMZ->unifi_ip:unifi_http_portal_port 를 허용합니다.

다른 해결 방식으로는 컨트롤러의 동적 스케일 방식을 사용하는 NOC, 클라우드에서 동작하도록 합니다.