Зачем нам все это?!
Итак может возникнуть вполне нормальный вопрос. А зачем? Самое 1-е и главное, обезопасить свою сеть. Создавая отдельный влан управления мы лишаем возможности пользователей или нет, получить доступ к нашему оборудованию. Создавая management vlan мы практически разделяем пользователей и наше оборудование в разные подсети, для пользователя все останется прозрачно. Главное что у него будет интернет)
Приступим
1. Перед настройкой обновим прошивку на свежую, на момент написания такой была версия 5.3.3
2. Выставим основные настройки нашей сети. Режим работы, имя точки, и все такое.
3. Далее нам нужно будет написать скрипт который будет выполняться в момент загрузки оборудования. При его создании есть один нюанс, созданный файл в обычном блокноте Windows будет некорректно отображаться в устройстве из-за разного обрабатывания спец символов в Windows и Linux. Так что нужно обратить на это внимание и для нормальной работы есть несколько способов его создания. 1-й зайти на AP/Client через ssh и с помощью встроенного редактора vi и создать там скрипт. 2-й как по мне более простой, т.к. я работаю под линуксом, создаем файл в своей системе и скопируем его та оборудование. Открываем терминал и приступаем:
#Создадим наш файл с правильным названием
touch rc.poststart
# Откроем его для редактирования
sudo nano rc.poststart
Далее с помощью обычного копипаста внесем необходимые настройки:
#!/bin/sh
# /etc/persistent/rc.poststart
# VLAN управления
MGVLAN_ID=1001
# пользовательский VLAN
TRVLAN_ID=11
# Очистим стандартные настройки
ifconfig ath0 0.0.0.0
# Отключим и удалим созданный по умолчанию бридж
ifconfig br0 down
brctl delif br0 ath0
brctl delif br0 eth0
brctl delif br0 eth1
brctl delbr br0
#Создаём бридж для управляющего VLAN
brctl addbr br${MGVLAN_ID}
#Создадим VLAN на интерфейсах
vconfig add eth0 ${MGVLAN_ID}
vconfig add eth1 ${MGVLAN_ID}
vconfig add ath0 ${MGVLAN_ID}
# Включим интерфейсы с VLAN
ifconfig eth0.${MGVLAN_ID} 0.0.0.0 up
ifconfig eth1.${MGVLAN_ID} 0.0.0.0 up
ifconfig ath0.${MGVLAN_ID} 0.0.0.0 up
# Объединяем все в бридж
brctl addif br${MGVLAN_ID} eth0.${MGVLAN_ID}
brctl addif br${MGVLAN_ID} eth1.${MGVLAN_ID}
brctl addif br${MGVLAN_ID} ath0.${MGVLAN_ID}
# Настроим нужный ip address VLAN-a управления.
ifconfig br${MGVLAN_ID} 192.168.100.254 netmask 255.255.255.0 up
route del default gw 0.0.0.0
route add default gw 192.168.100.1 br${MGVLAN_ID}
# Создадим бридж для VLAN-a пользователей
brctl addbr br${TRVLAN_ID}
# Все аналогично, создадим VLAN на интерфейсах
vconfig add eth0 ${TRVLAN_ID}
vconfig add eth1 ${TRVLAN_ID}
vconfig add ath0 ${TRVLAN_ID}
#Поднимаем интерфейсы
ifconfig eth0.${TRVLAN_ID} 0.0.0.0 up
ifconfig eth1.${TRVLAN_ID} 0.0.0.0 up
ifconfig ath0.${TRVLAN_ID} 0.0.0.0 up
brctl addif br${TRVLAN_ID} eth0.${TRVLAN_ID}
brctl addif br${TRVLAN_ID} eth1.${TRVLAN_ID}
brctl addif br${TRVLAN_ID} ath0.${TRVLAN_ID}
# IP для пользовательского интерфейса не указывается,
# собственно этим мы и лишаем возможности получить доступ.
ifconfig br${TRVLAN_ID} 0.0.0.0 up
# End of File
После того как не забывая все это дело сохранить, закроем редактирование. Теперь нам нужно скопировать его на наше оборудование.
Выполняем с поправкой под свои изменения от стандартных и вводим пароль по требованию
# scp rc.poststart [email protected]:/etc/persistent/rc.poststart
После успешного копирования заходим на оборудование.
# ssh [email protected]
Пройдя авторизацию проверяем файл и его правильное местоположение
XM.v5.3.3# pwd /var/etc/persistent
XM.v5.3.3# ls -l -rw------- 1 root admin 457 Jan 14 2011 dropbear_dss_host_key -rw------- 1 root admin 427 Jan 14 2011 dropbear_rsa_host_key -rw-r--r-- 1 root admin 1672 Jul 26 12:23 rc.poststart
Всё на месте, сохраняемся и перезагружаем AP.
XM.v5.3.3# save Found Backup1 on[1] ... Found Active on[2] ... Storing Active[1] ... [%100] Active->Backup[2] ... [%100]
После успешной перезагрузки ищем AP на новом IP 192.168.100.254 прежде настроив соответствующие VLAN на порту коммутатора обязательно в тэггированном виде.
Важно
После данных манипуляций — настройка «Network» c Web-интерфейса не работает. Если необходимо поменять IP-адрес или шлюз удалённо, в точке есть прадед всех редакторов — редактор vi. Его команды ищите в Интернете.
Источник: http://wireless.org.ua/2011/11/30/ubiquiti-m-series-vlan-upravleniya/
RSS & RSS to Email