Comment configurer les VLAN de gestion pour les switches et points d'accès Omada (pour le scénario SOHO)
10475 Contenu
Cet article explique comment configurer des VLAN de gestion distincts pour les commutateurs et points d'accès gérés par Omada et un VLAN client autre que le VLAN 1 et les isoler avec les clients connectés.
- Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud, V5.9 et supérieur)
- Commutateurs Omada Smart, L2+ et L3
- Faire une sieste
- Passerelle Omada
Lors de la configuration du réseau, de nombreux clients souhaitent modifier les VLAN de gestion pour le contrôleur, la passerelle, le point d'accès et le commutateur, puis définir un autre VLAN pour les clients. De cette manière, différents types d'appareils sont gérés dans différents VLAN et les clients connectés ne pourront pas accéder aux appareils, améliorant ainsi la sécurité du réseau.
Ce guide est adapté à la configuration d'un tout nouveau réseau pour une utilisation dans un scénario SOHO, ce qui signifie que vous n'avez aucune configuration comme les VLAN de gestion auparavant, et que l'échelle du réseau est simple et typique. Si vous souhaitez configurer un ensemble de réseaux professionnels ou si vous disposez déjà d'un ensemble de configurations réseau et que vous souhaitez intégrer les périphériques Omada au réseau, veuillez vous reporter à la section Comment configurer les VLAN de gestion pour les commutateurs et les points d'accès Omada (pour un scénario professionnel) .
Habituellement, les topologies sont les suivantes, connectant le contrôleur directement sur la passerelle :
Comme indiqué dans la topologie, l'objectif final est d'arrêter le VLAN 1 du réseau, de définir le VLAN 20 pour l'utilisation des clients, tous les clients connectés obtiendront une adresse IP à 192.168.20.x/24, de définir le VLAN 30 pour la gestion des commutateurs et les commutateurs utiliseront une IP de gestion à 192.168.30.x/24, le VLAN 40 pour la gestion des AP et les AP utiliseront une IP de gestion à 192.168.40.x/24, pour la passerelle et le contrôleur, leur VLAN restera toujours par défaut, mais passera à un autre ID VLAN, vous pouvez également modifier les adresses IP pour eux.
Vous trouverez ci-dessous les étapes de configuration détaillées basées sur l’exemple présenté dans les topologies ci-dessus.
Étape 1. Adoptez la passerelle dans le VLAN par défaut.
Étape 2. Créez les VLAN nécessaires.
Tout d’abord, créez le client VLAN 20, le commutateur de gestion VLAN 30 et le AP de gestion VLAN 40. Accédez à Paramètres – Réseaux câblés – LAN – Réseaux , cliquez sur Créer un nouveau LAN .
Vous trouverez ci-dessous un exemple de gestion de commutateur VLAN 30, son objectif doit être configuré comme Interface . Dans Interfaces LAN , cochez tous les ports LAN que vous utilisez, puis configurez son IP, son sous-réseau et son serveur DHCP. Vous pouvez configurer le nom, l'ID VLAN, l'IP du sous-réseau comme vous le souhaitez. Cliquez sur Enregistrer une fois terminé.
Créez ensuite le VLAN client et le VLAN de gestion AP en utilisant la même méthode.
Étape 3. Configurez le VLAN par défaut.
Après cela, effectuez une modification sur le VLAN par défaut, cliquez sur Modifier sur VLAN par défaut, modifiez son ID VLAN et son IP de sous-réseau pour contourner le VLAN 1 dans le réseau, ici je choisis de le changer en VLAN 10, 192.168.10.x/24 et d'activer le serveur DHCP dans ce réseau.
Le résultat final devrait être comme ceci :
Jusqu'à présent, vous avez créé les VLAN dans le réseau ainsi que les interfaces sur la passerelle. Et l'adresse IP de la passerelle sera commutée sur 192.168.10.1. Après cela, vous devrez redémarrer le contrôleur matériel pour déclencher la procédure DHCP et obtenir l'adresse IP de 192.168.10.x/24 afin de pouvoir réadopter la passerelle. Si vous utilisez un contrôleur logiciel, débranchez simplement le PC pour obtenir à nouveau l'adresse IP ou définissez une adresse IP statique pour votre PC. La page Appareil devrait maintenant ressembler à ceci :
Étape 4. Adoptez tous les commutateurs et points d’accès.
Après avoir adopté les commutateurs et les points d’accès, ils doivent tous obtenir une adresse IP du VLAN par défaut, dont le sous-réseau est 192.168.10.x/24.
Étape 5. Configurez le VLAN de gestion pour les commutateurs.
Allez dans Périphériques , cliquez sur le commutateur pour accéder à sa page de configuration privée, allez dans Configuration – Interface VLAN , activez l’interface VLAN de gestion du commutateur, cliquez sur Appliquer .
Maintenant que l'interface VLAN de gestion du commutateur a été activée sur le commutateur, configurez le VLAN de gestion du commutateur. Cliquez sur le bouton Modifier du VLAN de gestion du commutateur.
Cochez la case Activer pour définir ce VLAN comme VLAN de gestion. Après l'avoir défini comme VLAN de gestion, vous pouvez configurer son IP de secours, ce qui signifie que lorsque l'appareil n'a pas réussi à obtenir une adresse IP via DHCP, il se repliera sur cette adresse IP, garantissant la gestion de cet appareil, ici je l'ai défini sur 192.168.30.10, inclus dans le VLAN de gestion du commutateur. Cliquez sur Appliquer pour enregistrer la configuration.
Arrêtez l'interface VLAN par défaut pour terminer la commutation du VLAN de gestion, cliquez sur Appliquer pour enregistrer la configuration.
Attendez un instant que les configurations soient transmises au périphérique. Le commutateur peut être réadopté au cours de cette procédure. Vous constaterez que l'adresse IP du commutateur a été modifiée en fonction du nouveau VLAN une fois la commutation du VLAN de gestion terminée.
Étape 6. Configurez le VLAN de gestion pour les points d’accès.
Accédez à Périphériques , cliquez sur l'EAP pour accéder à sa page de configuration privée. Accédez à Configuration – Services et définissez le VLAN de gestion sur Personnalisé , puis choisissez le VLAN correspondant, cliquez sur Appliquer pour enregistrer la configuration.
Attendez un moment, une fois la configuration exécutée, vous constaterez que l'adresse IP du PA a été modifiée.
Étape 7. Configurez les profils de port sur les commutateurs pour l’utilisation du VLAN client.
Pour garantir que tous les clients câblés obtiennent l'adresse IP du VLAN des clients, nous devons modifier le profil de port de tous les ports de liaison descendante sur les commutateurs qui se connectent directement aux périphériques finaux au profil VLAN des clients.
Accédez à Appareils , cliquez sur le commutateur pour accéder à sa page de configuration privée, accédez à Ports , sélectionnez les ports de liaison descendante qui se connectent directement aux appareils finaux, puis cliquez sur Modifier la sélection pour modifier par lots leurs profils de port.
Modifiez les profils de ces ports avec le profil qui est créé automatiquement après la création du VLAN client, cliquez sur Appliquer pour enregistrer la configuration.
Étape 8. Configurez le SSID VLAN pour les clients sans fil.
Accédez à Paramètres – Réseaux sans fil – WLAN , cliquez sur Créer un nouveau réseau sans fil pour créer un SSID pour les clients sans fil.
Définissez un nom et un mot de passe pour ce SSID, puis cliquez pour développer les Paramètres avancés , définissez le VLAN sur Personnalisé , puis dans Ajouter un VLAN , sélectionnez le VLAN client que nous avons créé, cliquez sur Appliquer pour enregistrer la configuration.
Étape 9. Créez une règle ACL pour empêcher les clients d’accéder au contrôleur et aux périphériques réseau.
Accédez à Paramètres – Sécurité réseau – ACL – ACL de passerelle , cliquez sur Créer une nouvelle règle pour créer une nouvelle règle ACL.
Saisissez un nom comme Description pour cette règle. Pour Direction , choisissez LAN -> LAN . Pour Stratégie , choisissez Refuser , puis sélectionnez tous les Protocoles . Pour Source et Destination , définissez le Type sur Réseau , puis choisissez le VLAN client comme source et tous les autres VLAN de gestion comme destination. Cliquez sur Créer pour créer cette règle qui refuse aux clients l'accès au contrôleur et aux autres périphériques réseau.
En définissant cette règle ACL, lorsque les périphériques clients sont connectés et obtiennent l'adresse IP de 192.168.20.x/24, ils ne pourront pas accéder au contrôleur ou au commutateur, améliorant ainsi la sécurité du réseau.
Étape 10. Définissez l’option DHCP 138 sur tous les serveurs DHCP.
L'option DHCP 138 est utilisée pour informer les clients de l'adresse IP du contrôleur Omada lors de l'offre d'adresse IP pendant la procédure DHCP, bien que tous les périphériques soient adoptés avec succès et puissent désormais communiquer avec le contrôleur, ils peuvent perdre la connexion avec le contrôleur Omada après un redémarrage, donc l'option DHCP 138 est nécessaire, une fois configurée, les périphériques peuvent toujours obtenir l'adresse IP du contrôleur après un redémarrage, garantissant leur gestion stable.
Accédez à Paramètres – Réseaux câblés – LAN – Réseaux , cliquez sur Modifier sur l'interface, faites défiler vers le bas et développez Options DHCP avancées, saisissez l'adresse IP du contrôleur dans la colonne Option 138, cliquez sur Enregistrer pour appliquer la configuration.
|
Après cette configuration, la passerelle, les commutateurs et les AP se trouvent dans des VLAN de gestion différents.
Le PC câblé connecté au commutateur obtient l'adresse IP du VLAN client 192.168.20.x/24 :
Le téléphone connecté sans fil obtient l'adresse IP des clients VLAN 192.168.20.x/24 :
Le client ne peut pas accéder aux périphériques réseau gérés :
Jusqu'à présent, nous avons présenté comment configurer un nouveau réseau et utiliser différents réseaux VLAN pour gérer la passerelle, les commutateurs, les points d'accès, puis connecter les clients dans un VLAN spécifique et les isoler avec les périphériques réseau.
Pour connaître plus de détails sur chaque fonction et configuration, veuillez consulter le Centre de téléchargement pour télécharger le manuel de votre produit.
Est-ce que ce FAQ a été utile ?
Vos commentaires nous aideront à améliorer ce site.
1_normal_1593077392336e.png)
