Зачем нам все это?!
Итак может возникнуть вполне нормальный вопрос. А зачем? Самое 1-е и главное, обезопасить свою сеть. Создавая отдельный влан управления мы лишаем возможности пользователей или нет, получить доступ к нашему оборудованию. Создавая management vlan мы практически разделяем пользователей и наше оборудование в разные подсети, для пользователя все останется прозрачно. Главное что у него будет интернет)
Приступим
1. Перед настройкой обновим прошивку на свежую, на момент написания такой была версия 5.3.3
2. Выставим основные настройки нашей сети. Режим работы, имя точки, и все такое.
3. Далее нам нужно будет написать скрипт который будет выполняться в момент загрузки оборудования. При его создании есть один нюанс, созданный файл в обычном блокноте Windows будет некорректно отображаться в устройстве из-за разного обрабатывания спец символов в Windows и Linux. Так что нужно обратить на это внимание и для нормальной работы есть несколько способов его создания. 1-й зайти на AP/Client через ssh и с помощью встроенного редактора vi и создать там скрипт. 2-й как по мне более простой, т.к. я работаю под линуксом, создаем файл в своей системе и скопируем его та оборудование. Открываем терминал и приступаем:
#Создадим наш файл с правильным названием
touch rc.poststart
# Откроем его для редактирования
sudo nano rc.poststart
Далее с помощью обычного копипаста внесем необходимые настройки:
#!/bin/sh # /etc/persistent/rc.poststart # VLAN управления MGVLAN_ID=1001 # пользовательский VLAN TRVLAN_ID=11 # Очистим стандартные настройки ifconfig ath0 0.0.0.0 # Отключим и удалим созданный по умолчанию бридж ifconfig br0 down brctl delif br0 ath0 brctl delif br0 eth0 brctl delif br0 eth1 brctl delbr br0 #Создаём бридж для управляющего VLAN brctl addbr br${MGVLAN_ID} #Создадим VLAN на интерфейсах vconfig add eth0 ${MGVLAN_ID} vconfig add eth1 ${MGVLAN_ID} vconfig add ath0 ${MGVLAN_ID} # Включим интерфейсы с VLAN ifconfig eth0.${MGVLAN_ID} 0.0.0.0 up ifconfig eth1.${MGVLAN_ID} 0.0.0.0 up ifconfig ath0.${MGVLAN_ID} 0.0.0.0 up # Объединяем все в бридж brctl addif br${MGVLAN_ID} eth0.${MGVLAN_ID} brctl addif br${MGVLAN_ID} eth1.${MGVLAN_ID} brctl addif br${MGVLAN_ID} ath0.${MGVLAN_ID} # Настроим нужный ip address VLAN-a управления. ifconfig br${MGVLAN_ID} 192.168.100.254 netmask 255.255.255.0 up route del default gw 0.0.0.0 route add default gw 192.168.100.1 br${MGVLAN_ID} # Создадим бридж для VLAN-a пользователей brctl addbr br${TRVLAN_ID} # Все аналогично, создадим VLAN на интерфейсах vconfig add eth0 ${TRVLAN_ID} vconfig add eth1 ${TRVLAN_ID} vconfig add ath0 ${TRVLAN_ID} #Поднимаем интерфейсы ifconfig eth0.${TRVLAN_ID} 0.0.0.0 up ifconfig eth1.${TRVLAN_ID} 0.0.0.0 up ifconfig ath0.${TRVLAN_ID} 0.0.0.0 up brctl addif br${TRVLAN_ID} eth0.${TRVLAN_ID} brctl addif br${TRVLAN_ID} eth1.${TRVLAN_ID} brctl addif br${TRVLAN_ID} ath0.${TRVLAN_ID} # IP для пользовательского интерфейса не указывается, # собственно этим мы и лишаем возможности получить доступ. ifconfig br${TRVLAN_ID} 0.0.0.0 up # End of File
После того как не забывая все это дело сохранить, закроем редактирование. Теперь нам нужно скопировать его на наше оборудование.
Выполняем с поправкой под свои изменения от стандартных и вводим пароль по требованию
# scp rc.poststart [email protected]:/etc/persistent/rc.poststart
После успешного копирования заходим на оборудование.
# ssh [email protected]
Пройдя авторизацию проверяем файл и его правильное местоположение
XM.v5.3.3# pwd /var/etc/persistent
XM.v5.3.3# ls -l -rw------- 1 root admin 457 Jan 14 2011 dropbear_dss_host_key -rw------- 1 root admin 427 Jan 14 2011 dropbear_rsa_host_key -rw-r--r-- 1 root admin 1672 Jul 26 12:23 rc.poststart
Всё на месте, сохраняемся и перезагружаем AP.
XM.v5.3.3# save Found Backup1 on[1] ... Found Active on[2] ... Storing Active[1] ... [%100] Active->Backup[2] ... [%100]
После успешной перезагрузки ищем AP на новом IP 192.168.100.254 прежде настроив соответствующие VLAN на порту коммутатора обязательно в тэггированном виде.
Важно
После данных манипуляций — настройка «Network» c Web-интерфейса не работает. Если необходимо поменять IP-адрес или шлюз удалённо, в точке есть прадед всех редакторов — редактор vi. Его команды ищите в Интернете.
Источник: http://wireless.org.ua/2011/11/30/ubiquiti-m-series-vlan-upravleniya/