Comment configurer les VLAN de gestion pour les switches et points d'accès Omada (pour le scénario Business)
884 Contenu
Cet article va configurer un VLAN de gestion distinct pour les switches et les points d'accès, et conserver le VLAN par défaut (en modifiant son ID VLAN et son IP de sous-réseau) pour les clients qui sont isolés des VLAN de gestion. La méthode d'ajout de périphériques dans un réseau en cours d'exécution est également présentée.
- Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud, V5.9 et supérieur)
- Commutateurs Omada Smart, L2+ et L3
- Faire une sieste
- Passerelle Omada
Lors de la configuration du réseau, de nombreux clients souhaitent modifier les VLAN de gestion pour le contrôleur, la passerelle, le point d'accès et le commutateur, puis définir un autre VLAN pour les clients. De cette manière, différents types d'appareils sont gérés dans différents VLAN et les clients connectés ne pourront pas accéder aux appareils, améliorant ainsi la sécurité du réseau.
Ce guide est adapté à la configuration d'une installation professionnelle, en ajoutant la méthode d'intégration de nouveaux appareils dans le réseau en cours d'exécution. Pour une configuration de réseau domestique simple et à petite échelle, veuillez vous reporter à Comment configurer les VLAN de gestion pour les commutateurs et les points d'accès Omada (pour le scénario SOHO) .
Habituellement, les topologies sont les suivantes : utilisez le commutateur principal pour gérer tous les transferts de couche 3 et configurez le serveur DHCP sur le commutateur principal. La passerelle sera uniquement responsable de la gestion du trafic Internet vers le commutateur principal :
Comme indiqué dans la topologie, l'objectif final est d'arrêter le VLAN 1 du réseau, de définir le VLAN 20 pour l'utilisation des clients, tous les clients connectés obtiendront une adresse IP à 192.168.20.x/24, de définir le VLAN 30 pour la gestion des commutateurs et les commutateurs utiliseront une IP de gestion à 192.168.30.x/24, le VLAN 40 pour la gestion des AP et les AP utiliseront une IP de gestion à 192.168.40.x/24, pour le routeur, le commutateur principal et le contrôleur, leur VLAN restera toujours par défaut, mais passera à un autre ID VLAN, vous pouvez également modifier les adresses IP pour eux.
Vous trouverez ci-dessous les étapes de configuration détaillées basées sur l’exemple présenté dans les topologies ci-dessus.
Étape 1. Connectez le contrôleur matériel au commutateur principal et connectez le PC de gestion au contrôleur matériel, puis adoptez le commutateur principal. Actuellement, le serveur DHCP n'est pas encore configuré. Le commutateur principal et le contrôleur matériel utilisent donc l'adresse IP de secours, qui est 192.168.0.1 pour le commutateur principal et 192.168.0.253 pour le contrôleur matériel. Configurez l'adresse IP statique de votre PC dans le sous-réseau 192.168.0.x/24 pour accéder au contrôleur matériel et procéder à l'adoption.
Étape 2. Créez les VLAN nécessaires.
Tout d’abord, créez le client VLAN 20, le commutateur de gestion VLAN 30 et le AP de gestion VLAN 40. Accédez à Paramètres – Réseaux câblés – LAN - Réseaux , cliquez sur Créer un nouveau LAN .
Vous trouverez ci-dessous l'exemple du client VLAN 20, son objectif doit être configuré comme VLAN et appliqué uniquement sur les commutateurs .
Créez ensuite les VLAN de gestion du commutateur et du point d’accès en utilisant la même méthode.
Le résultat final devrait être comme ceci :
Étape 3. Activez les interfaces sur le commutateur principal.
Accédez à Périphériques , cliquez sur le commutateur principal pour accéder à sa page de configuration privée, accédez à Configuration – Interface VLAN , activez toutes les interfaces, cliquez sur Appliquer pour enregistrer.
Comme indiqué dans la topologie, nous utiliserons le Core MGMT, 192.168.50.x/24 comme VLAN de gestion du commutateur principal, l'adresse IP du contrôleur et du PC de gestion sera également dans ce réseau. Nous devons donc définir le profil de port du port se connectant au contrôleur comme « Core MGMT », qui est le profil créé automatiquement pour ce VLAN. Une fois activé, ce port de commutateur sera uniquement inclus dans le VLAN Core MGMT. Définissez ensuite Core MGMT comme VLAN de gestion du commutateur principal.
Étape 4. Configurez le profil de port sur le port du commutateur principal se connectant au contrôleur.
Accédez à Périphériques , cliquez sur le commutateur pour accéder à sa page de configuration privée, accédez à Ports , cliquez sur Modifier sur un autre port auquel vous souhaitez connecter le contrôleur (différent du port auquel le contrôleur est connecté actuellement), nous allons basculer le contrôleur sur ce port après avoir modifié le VLAN de gestion du commutateur principal, dans cet exemple, je choisis de déplacer le contrôleur vers le port 3, je vais donc modifier le profil de port du port 3.
Sélectionnez le profil « Core MGMT », puis cliquez sur Appliquer .
Étape 5. Modifiez le VLAN de gestion du commutateur principal.
Accédez à Périphériques , cliquez sur le commutateur principal pour accéder à sa page de configuration privée, accédez à Configuration – Interface VLAN , cliquez sur Modifier sur le VLAN de gestion que nous sommes sur le point de définir.
Cochez la case Activer pour définir ce VLAN comme VLAN de gestion. Après l'avoir défini comme VLAN de gestion, définissez le mode d'adresse IP sur Statique , puis définissez une adresse IP statique pour celui-ci. Dans cet exemple, je l'ai définie sur 192.168.50.1. Pour le mode DHCP , définissez-la sur Aucun . Cliquez sur Appliquer pour enregistrer la configuration.
Étape 6. Modifiez l'adresse IP du contrôleur et du PC de gestion.
Désormais, l'adresse IP du commutateur principal sera commutée sur 192.168.50.x/24. Nous devons donc configurer l'adresse IP statique du contrôleur et du PC de gestion sur le même sous-réseau pour continuer à gérer les périphériques.
La manière de configurer une adresse IP statique sur un contrôleur matériel est la suivante :
Accédez à Vue globale – Paramètres – Paramètres du contrôleur , définissez les paramètres réseau sur Statique , puis configurez l'adresse IP, dans cet exemple, il s'agit de 192.168.50.100.
After configured the IP address of the hardware controller, the management PC’s IP address also needs to be changed. After configuring the IP address of the management PC, enter the new IP address of the hardware controller to enter the controller GUI again.
Step 7. Plug the controller to the port with correct port profile.
In the previous steps, we have changed the port profile of a new switch port to “Core MGMT”, now after changing the IP address of controller and management PC, we need to plug the controller on that port to ensure the communication between controller and core switch. After this step, the core switch should be readopted successfully on the controller.
Step 8. Configure the default VLAN interface.
Go to Settings – Wired Networks – LAN – Networks, click Edit on Default VLAN. 
Change its VLAN ID and subnet IP to bypass VLAN 1 in the network, in this example it changed to VLAN 10, for the Gateway/Subnet, set it to 192.168.10.x/24, in this example, I set it as 192.168.10.2, which is the IP address of the gateway, this will help adopting the Omada gateway in the controller later, if you don’t have an Omada gateway, you can also enter the gateway’s IP address here. Finally, disable the DHCP server. 
Final result should be like this:
Step 9. Configure the rest interfaces and DHCP servers on Core Switch.
Next, we need to configure the interfaces and the DHCP server for the other four VLANs. Go to Devices, click on the switch to enter its private configuration page, go to Config – VLAN Interface, click the Edit button on each VLAN to enter the configuration page. 
For each VLAN interface, we need to configure a static IP address for it on the core switch first. Set the IP Address Mode as Static and set a static IP address for this interface. Set the DHCP Mode as DHCP Server and set the address pool, please beware that the gateway should be set as this core switch because the Layer 3 forwarding is done by it.
For example, in SW MGMT VLAN 30, I will configure the IP address of core switch interface as 192.168.30.1, the pool is 192.168.30.1/24, DNS and Default Gateway are both 192.168.30.1. DHCP Option 138 is used to inform the devices the IP address of the controller during the DHCP procedure, this is needed to be configured because finally all the network devices will not be in the same VLAN, they need DHCP Option 138 to find the controller and get adopted. In this example, the controller’s IP address is 192.168.50.100. Click Apply to save the configuration.
Finish the configuration of Clients, Default, SW MGMT and AP MGMT VLANs as introduced.
Step 10. Adopt all switches and APs.
After adopting the switches and APs, they should all obtain IP address from the default VLAN, which subnet is 192.168.10.x/24.
Step 11. Configure the management VLAN for switches.
Go to Devices, click on the switch to enter its private configuration page, go to Config – VLAN Interface, enable the switch management VLAN Interface, click Apply.
Now the switch management VLAN interface has been enabled on the switch, next, configure the management VLAN of the switch. Click the Edit button of the switch management VLAN.
Tick the Enable box to set this VLAN as the management VLAN. After setting it as management VLAN, you can configure its fallback IP, which means when the device failed to get an IP address via DHCP, it will fallback to this IP address, ensuring the management of this device, here I set it as 192.168.30.10, included in the switch management VLAN. Click Apply to save the configuration.
Shutdown the default VLAN Interface to finish the switching of management VLAN, click Apply to save the configuration.
Wait for a moment to let the configurations hand out to the device, the switch may be readopted during this procedure. You will find that the IP address of the switch has been changed to the new VLAN after finished switching management VLAN.
Step 12. Configure the management VLAN for APs.
Go to Devices, click on the EAP to enter its private configuration page. Go to Config – Services and set Management VLAN as Custom, then choose the corresponding VLAN, click Apply to save the configuration.
Wait for a while, after the configuration is executed, you will find the IP address of AP has been changed.
Step 13. Configure port profiles on switches for the use of clients VLAN.
To ensure all the wired clients obtain IP address from clients VLAN, we need to change the port profile of all the downlink ports on switches which directly connect to end devices to the clients VLAN profile.
Go to Devices, click on the switch to enter its private configuration page, go to Ports, select the downlink ports which connect directly to end devices, then click Edit Selected to batch change their port profiles.
Change the profiles of these ports to the profile which is automatically created after creating the clients VLAN, click Apply to save the configuration.
Étape 14. Configurez le SSID VLAN pour les clients sans fil.
Accédez à Paramètres – Réseaux sans fil – WLAN , cliquez sur Créer un nouveau réseau sans fil pour créer un SSID pour les clients sans fil.
Définissez un nom et un mot de passe pour ce SSID, puis cliquez pour développer les Paramètres avancés , définissez le VLAN sur Personnalisé , puis dans Ajouter un VLAN , sélectionnez le VLAN client que nous avons créé, cliquez sur Appliquer pour enregistrer la configuration.
Étape 15. Créez des groupes IP et une règle ACL pour empêcher les clients d’accéder au contrôleur et aux périphériques réseau.
Actuellement sur le contrôleur, ces VLAN sont créés en tant que VLAN de couche 2, puis les interfaces VLAN activées sur le commutateur principal, ils ne sont donc pas inclus dans les réseaux, nous devons d'abord créer des groupes IP afin de créer des règles ACL basées sur eux.
Allez dans Paramètres – Profils – Groupes , cliquez sur Créer un nouveau groupe .
Nous devons créer un groupe IP pour chaque sous-réseau. Dans cet exemple, il existe quatre sous-réseaux : Default, Clients, SW MGMT et AP MGMT. Saisissez le nom, sélectionnez Type as IP Group (Saisissez le groupe IP). Pour IP Subnet (Sous-réseau IP), saisissez l'adresse réseau de chaque sous-réseau. Par exemple, le sous-réseau IP du groupe Default est 192.168.10.1/24. Cliquez sur Apply (Appliquer) pour enregistrer la configuration.
Le résultat final devrait être comme ceci :
Accédez à Paramètres – Sécurité réseau – ACL – Changer d’ACL , cliquez sur Créer une nouvelle règle pour créer une nouvelle règle ACL.
Saisissez un nom comme Description pour cette règle. Pour Politique , choisissez Refuser , puis sélectionnez tous les Protocoles . Pour Source et Destination , définissez le Type sur Groupe IP , puis choisissez le groupe de clients comme source et tous les autres groupes de gestion comme destination. Appliquez cette règle sur tous les ports. Cliquez sur Créer pour créer cette règle qui refuse aux clients l'accès au contrôleur et aux autres périphériques réseau.
En définissant cette règle ACL, lorsque les périphériques clients sont connectés et obtiennent l'adresse IP de 192.168.20.x/24, ils ne pourront pas accéder au contrôleur ou au commutateur, améliorant ainsi la sécurité du réseau.
Étape 16. Adoptez la passerelle sur le contrôleur Omada (si vous disposez d'une passerelle Omada).
If you have Omada gateway, then you can also adopt it on the Omada controller for better management. But here we have already switched the default VLAN ID to 10, while the gateway will have DHCP server enabled by default and set itself as 192.168.0.1, this will cause the gateway failed to be adopted, so we need to make some pre-configuration on the gateway before adopting on the Omada controller.
Enter the WebUI of the gateway by accessing 192.168.0.1, set a username and password for it, then go to Network – LAN – LAN, click Edit on the default network. 
Change this network to VLAN 10, and address to 192.168.10.x/24, for example, here I change it to 192.168.10.2. Also, we have enabled DHCP server on the core switch, so on the gateway, we disable the DHCP server by unticking the Enable box of Status. Click OK to save the configuration.
After changing its IP address, you will also need to change your PC’s IP address to the 192.168.10.x/24 subnet to access the WebUI of gateway again.
Go to System Tools – Controller Settings, in Controller Inform URL, enter the controller’s IP address: 192.168.50.100, click Save.
After configured the controller IP address, a static route is also needed for the gateway to find controller. Go to Transmission – Routing – Static Route, click Add to create a new static route.
Fill the Destination IP with the controller’s IP address, which is 192.168.50.100 in this example, and configure the Next Hop as the default VLAN interface IP address of core switch, which is 192.168.10.1, for Interface, select LAN. Click OK to create.
After the pre-configuration, connect the gateway to a port on the core switch which port profile is set as “All”, and you will see the gateway pending with IP address 192.168.10.2 in the device list, adopt it with the username and password you have set.
Step 17. Configure static routes on the core switch.
No matter you have Omada gateway or not, it’s necessary to set static routes on core switch and forward all the Internet traffic to the gateway, because all the layer 3 forwarding is done by the core switch, and the default gateway for each network is set as the core switch.
Go to Devices, click on the switch to enter its private configuration page. In Config > Static Route, click Add to add a new static route. 
Tick to change the Status to Enable. Since we are dealing with all Internet traffic, you can set the Destination IP/Subnet to 0.0.0.0 and the Next Hop to the gateway at 192.168.10.2. For other traffic, more accurate default routes will be matched first, so just enter 1 for Distance, click Apply to save the configuration.
Result should be like this:
After setting static route on the core switch, we also need to set a reverse static route on the gateway to make sure all the traffic from Internet are forwarded to the core switch. On the core switch, we set the destination as 0.0.0.0/0 and next hop as 192.168.10.2, so on the gateway, we need to set a reverse one. As the subnets in this network are 192.168.10.x/24, 192.168.20.x/24, 192.168.30.x/24, 192.168.40.x/24 and 192.168.50.x/24, we need 5 static routes, and the next hop as 192.168.10.1 which is the default VLAN interface of the core switch.
If you don’t use Omada gateway, just set these static routes on your gateway, if you have Omada gateway and already adopted it, please follow step 15 to set static route on the gateway.
Step 18. Configure static routes on the gateway (In case you have Omada gateway).
Go to Settings>Transmission>Routing>Static Route, click Create New Route.
Here the static route for 192.168.50.0/24 has been configured in pre-configuration of the gateway, so we just need to configure four more static routes here. For the four static routes, the Destination IP/Subnet should be configure as 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24 and 192.168.40.0/24, set the Route Type as Next Hop and Next Hop as 192.168.10.1. Click Create to create a static route.
Final result should be like:
Step 19. Adding more switches and APs to the network. (Optional)
To add more switches and APs to the network, just connect them to the switch port which profile is set as “All”, and they could be successfully obtain IP address from the default VLAN 192.168.10.x/24. After adopted, change their management VLAN the same as previous steps.
After this configuration, the gateway, switches and APs are in different management VLANs. 
The wired PC connected on the switch is obtaining IP address from the clients VLAN 192.168.20.x/24 :
The phone connected wirelessly is obtaining IP address from clients VLAN 192.168.20.x/24:
The client cannot access managed network devices:
Jusqu'à présent, nous avons présenté comment configurer un réseau à grande échelle et utiliser différents réseaux VLAN pour gérer la passerelle, les commutateurs principaux, les autres commutateurs et les points d'accès, puis connecter les clients dans un VLAN spécifique et les isoler avec les périphériques réseau. La méthode d'ajout de périphériques supplémentaires dans le réseau en cours d'exécution et d'intégration de passerelles d'Omada ou d'un autre fournisseur est également présentée.
Pour connaître plus de détails sur chaque fonction et configuration, veuillez consulter le Centre de téléchargement pour télécharger le manuel de votre produit.
Est-ce que ce FAQ a été utile ?
Vos commentaires nous aideront à améliorer ce site.
1.0_normal_20231110073416j.png)
1.0_Omada_Enterprise_L3_Switch-Front_normal_20231109113449q.png)
1.0_Omada_Enterprise_L3_Switch-1000px_normal_20231110114352k.png)