Comment configurer les VLAN de gestion pour les switches et points d'accès Omada (pour le scénario Business)
Contenu
Cet article va configurer un VLAN de gestion distinct pour les switches et les points d'accès, et conserver le VLAN par défaut (en modifiant son ID VLAN et son IP de sous-réseau) pour les clients qui sont isolés des VLAN de gestion. La méthode d'ajout de périphériques dans un réseau en cours d'exécution est également présentée.
- Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud, V5.9 et supérieur)
- Commutateurs Omada Smart, L2+ et L3
- Faire une sieste
- Défilés Omada
Lors de la configuration du réseau, de nombreux clients souhaitent modifier les VLAN de gestion pour le contrôleur, la passerelle, le point d'accès et le commutateur, puis définir un autre VLAN pour les clients. De cette manière, différents types d'appareils sont gérés dans différents VLAN et les clients connectés ne pourront pas accéder aux appareils, améliorant ainsi la sécurité du réseau.
Ce guide est adapté à la configuration d'une installation professionnelle, en ajoutant la méthode d'intégration de nouveaux appareils dans le réseau en cours d'exécution. Pour une configuration de réseau domestique simple et à petite échelle, veuillez vous reporter à Comment configurer les VLAN de gestion pour les commutateurs et les points d'accès Omada (pour le scénario SOHO) .
Habituellement, les topologies sont les suivantes : utilisez le commutateur principal pour gérer tous les transferts de couche 3 et configurez le serveur DHCP sur le commutateur principal. La passerelle sera uniquement responsable de la gestion du trafic Internet vers le commutateur principal :
Comme indiqué dans la topologie, l'objectif final est d'arrêter le VLAN 1 du réseau, de définir le VLAN 20 pour l'utilisation des clients, tous les clients connectés obtiendront une adresse IP à 192.168.20.x/24, de définir le VLAN 30 pour la gestion des commutateurs et les commutateurs utiliseront une IP de gestion à 192.168.30.x/24, le VLAN 40 pour la gestion des AP et les AP utiliseront une IP de gestion à 192.168.40.x/24, pour le routeur, le commutateur principal et le contrôleur, leur VLAN restera toujours par défaut, mais passera à un autre ID VLAN, vous pouvez également modifier les adresses IP pour eux.
Vous trouverez ci-dessous les étapes de configuration détaillées basées sur l’exemple présenté dans les topologies ci-dessus.
Étape 1. Connectez le contrôleur matériel au commutateur principal et connectez le PC de gestion au contrôleur matériel, puis adoptez le commutateur principal. Actuellement, le serveur DHCP n'est pas encore configuré. Le commutateur principal et le contrôleur matériel utilisent donc l'adresse IP de secours, qui est 192.168.0.1 pour le commutateur principal et 192.168.0.253 pour le contrôleur matériel. Configurez l'adresse IP statique de votre PC dans le sous-réseau 192.168.0.x/24 pour accéder au contrôleur matériel et procéder à l'adoption.
Étape 2. Créez les VLAN nécessaires.
Tout d’abord, créez le client VLAN 20, le commutateur de gestion VLAN 30 et le AP de gestion VLAN 40. Accédez à Paramètres – Réseaux câblés – LAN - Réseaux , cliquez sur Créer un nouveau LAN .
Vous trouverez ci-dessous l'exemple du client VLAN 20, son objectif doit être configuré comme VLAN et appliqué uniquement sur les commutateurs .
Créez ensuite les VLAN de gestion du commutateur et du point d’accès en utilisant la même méthode.
Le résultat final devrait être comme ceci :
Étape 3. Activez les interfaces sur le commutateur principal.
Accédez à Périphériques , cliquez sur le commutateur principal pour accéder à sa page de configuration privée, accédez à Configuration – Interface VLAN , activez toutes les interfaces, cliquez sur Appliquer pour enregistrer.
Comme indiqué dans la topologie, nous utiliserons le Core MGMT, 192.168.50.x/24 comme VLAN de gestion du commutateur principal, l'adresse IP du contrôleur et du PC de gestion sera également dans ce réseau. Nous devons donc définir le profil de port du port se connectant au contrôleur comme « Core MGMT », qui est le profil créé automatiquement pour ce VLAN. Une fois activé, ce port de commutateur sera uniquement inclus dans le VLAN Core MGMT. Définissez ensuite Core MGMT comme VLAN de gestion du commutateur principal.
Étape 4. Configurez le profil de port sur le port du commutateur principal se connectant au contrôleur.
Accédez à Périphériques , cliquez sur le commutateur pour accéder à sa page de configuration privée, accédez à Ports , cliquez sur Modifier sur un autre port auquel vous souhaitez connecter le contrôleur (différent du port auquel le contrôleur est connecté actuellement), nous allons basculer le contrôleur sur ce port après avoir modifié le VLAN de gestion du commutateur principal, dans cet exemple, je choisis de déplacer le contrôleur vers le port 3, je vais donc modifier le profil de port du port 3.
Sélectionnez le profil « Core MGMT », puis cliquez sur Appliquer .
Étape 5. Modifiez le VLAN de gestion du commutateur principal.
Accédez à Périphériques , cliquez sur le commutateur principal pour accéder à sa page de configuration privée, accédez à Configuration – Interface VLAN , cliquez sur Modifier sur le VLAN de gestion que nous sommes sur le point de définir.
Cochez la case Activer pour définir ce VLAN comme VLAN de gestion. Après l'avoir défini comme VLAN de gestion, définissez le mode d'adresse IP sur Statique , puis définissez une adresse IP statique pour celui-ci. Dans cet exemple, je l'ai définie sur 192.168.50.1. Pour le mode DHCP , définissez-la sur Aucun . Cliquez sur Appliquer pour enregistrer la configuration.
Étape 6. Modifiez l'adresse IP du contrôleur et du PC de gestion.
Désormais, l'adresse IP du commutateur principal sera commutée sur 192.168.50.x/24. Nous devons donc configurer l'adresse IP statique du contrôleur et du PC de gestion sur le même sous-réseau pour continuer à gérer les périphériques.
La manière de configurer une adresse IP statique sur un contrôleur matériel est la suivante :
Accédez à Vue globale – Paramètres – Paramètres du contrôleur , définissez les paramètres réseau sur Statique , puis configurez l'adresse IP, dans cet exemple, il s'agit de 192.168.50.100.
Après avoir configuré l'adresse IP du contrôleur matériel, l'adresse IP du PC de gestion doit également être modifiée. Après avoir configuré l'adresse IP du PC de gestion, saisissez la nouvelle adresse IP du contrôleur matériel pour accéder à nouveau à l'interface graphique du contrôleur.
Étape 7. Branchez le contrôleur sur le port avec le profil de port correct.
Au cours des étapes précédentes, nous avons modifié le profil de port d'un nouveau port de commutateur en « Core MGMT ». Maintenant, après avoir modifié l'adresse IP du contrôleur et du PC de gestion, nous devons brancher le contrôleur sur ce port pour assurer la communication entre le contrôleur et le commutateur principal. Après cette étape, le commutateur principal doit être réadopté avec succès sur le contrôleur.
Étape 8. Configurez l’interface VLAN par défaut.
Allez dans Paramètres – Réseaux câblés – LAN – Réseaux , cliquez sur Modifier sur VLAN par défaut.
Modifiez son ID VLAN et son IP de sous-réseau pour contourner le VLAN 1 du réseau. Dans cet exemple, il est passé au VLAN 10. Pour la passerelle/sous-réseau , définissez-le sur 192.168.10.x/24. Dans cet exemple, je l'ai défini sur 192.168.10.2, qui est l'adresse IP de la passerelle. Cela facilitera l'adoption de la passerelle Omada dans le contrôleur plus tard. Si vous n'avez pas de passerelle Omada, vous pouvez également saisir l'adresse IP de la passerelle ici. Enfin, désactivez le serveur DHCP.
Le résultat final devrait être comme ceci :
Étape 9. Configurez les autres interfaces et serveurs DHCP sur le commutateur principal.
Ensuite, nous devons configurer les interfaces et le serveur DHCP pour les quatre autres VLAN. Accédez à Périphériques , cliquez sur le commutateur pour accéder à sa page de configuration privée, accédez à Configuration – Interface VLAN , cliquez sur le bouton Modifier sur chaque VLAN pour accéder à la page de configuration.
Pour chaque interface VLAN, nous devons d'abord configurer une adresse IP statique sur le commutateur principal. Définissez le mode d'adresse IP sur Statique et définissez une adresse IP statique pour cette interface. Définissez le mode DHCP sur Serveur DHCP et définissez le pool d'adresses. Veuillez noter que la passerelle doit être définie comme ce commutateur principal car le transfert de couche 3 est effectué par lui.
Par exemple, dans SW MGMT VLAN 30, je configurerai l'adresse IP de l'interface du commutateur principal comme 192.168.30.1, le pool est 192.168.30.1/24, DNS et la passerelle par défaut sont tous deux 192.168.30.1. L'option DHCP 138 est utilisée pour informer les périphériques de l'adresse IP du contrôleur pendant la procédure DHCP, elle doit être configurée car finalement tous les périphériques réseau ne seront pas dans le même VLAN, ils ont besoin de l'option DHCP 138 pour trouver le contrôleur et être adoptés. Dans cet exemple, l'adresse IP du contrôleur est 192.168.50.100. Cliquez sur Appliquer pour enregistrer la configuration.
Terminez la configuration des VLAN Clients, Default, SW MGMT et AP MGMT comme indiqué.
Étape 10. Adoptez tous les commutateurs et points d’accès.
Après avoir adopté les commutateurs et les points d'accès, ils doivent tous obtenir une adresse IP du VLAN par défaut, dont le sous-réseau est 192.168.10.x/24.
Étape 11. Configurez le VLAN de gestion pour les commutateurs.
Allez dans Périphériques , cliquez sur le commutateur pour accéder à sa page de configuration privée, allez dans Configuration – Interface VLAN , activez l’interface VLAN de gestion du commutateur, cliquez sur Appliquer .
Maintenant que l'interface VLAN de gestion du commutateur a été activée sur le commutateur, configurez le VLAN de gestion du commutateur. Cliquez sur le bouton Modifier du VLAN de gestion du commutateur.
Cochez la case Activer pour définir ce VLAN comme VLAN de gestion. Après l'avoir défini comme VLAN de gestion, vous pouvez configurer son IP de secours, ce qui signifie que lorsque l'appareil n'a pas réussi à obtenir une adresse IP via DHCP, il se repliera sur cette adresse IP, garantissant la gestion de cet appareil, ici je l'ai défini sur 192.168.30.10, inclus dans le VLAN de gestion du commutateur. Cliquez sur Appliquer pour enregistrer la configuration.
Arrêtez l'interface VLAN par défaut pour terminer la commutation du VLAN de gestion, cliquez sur Appliquer pour enregistrer la configuration.
Attendez un instant que les configurations soient transmises au périphérique. Le commutateur peut être réadopté au cours de cette procédure. Vous constaterez que l'adresse IP du commutateur a été modifiée en fonction du nouveau VLAN une fois la commutation du VLAN de gestion terminée.
Étape 12. Configurez le VLAN de gestion pour les points d’accès.
Accédez à Périphériques , cliquez sur l'EAP pour accéder à sa page de configuration privée. Accédez à Configuration – Services et définissez le VLAN de gestion sur Personnalisé , puis choisissez le VLAN correspondant, cliquez sur Appliquer pour enregistrer la configuration.
Attendez un moment, une fois la configuration exécutée, vous constaterez que l'adresse IP du PA a été modifiée.
Étape 13. Configurez les profils de port sur les commutateurs pour l’utilisation du VLAN client.
Pour garantir que tous les clients câblés obtiennent l'adresse IP du VLAN des clients, nous devons modifier le profil de port de tous les ports de liaison descendante sur les commutateurs qui se connectent directement aux périphériques finaux au profil VLAN des clients.
Accédez à Appareils , cliquez sur le commutateur pour accéder à sa page de configuration privée, accédez à Ports , sélectionnez les ports de liaison descendante qui se connectent directement aux appareils finaux, puis cliquez sur Modifier la sélection pour modifier par lots leurs profils de port.
Modifiez les profils de ces ports avec le profil qui est créé automatiquement après la création du VLAN client, cliquez sur Appliquer pour enregistrer la configuration.
Étape 14. Configurez le SSID VLAN pour les clients sans fil.
Accédez à Paramètres – Réseaux sans fil – WLAN , cliquez sur Créer un nouveau réseau sans fil pour créer un SSID pour les clients sans fil.
Définissez un nom et un mot de passe pour ce SSID, puis cliquez pour développer les Paramètres avancés , définissez le VLAN sur Personnalisé , puis dans Ajouter un VLAN , sélectionnez le VLAN client que nous avons créé, cliquez sur Appliquer pour enregistrer la configuration.
Étape 15. Créez des groupes IP et une règle ACL pour empêcher les clients d’accéder au contrôleur et aux périphériques réseau.
Actuellement sur le contrôleur, ces VLAN sont créés en tant que VLAN de couche 2, puis les interfaces VLAN activées sur le commutateur principal, ils ne sont donc pas inclus dans les réseaux, nous devons d'abord créer des groupes IP afin de créer des règles ACL basées sur eux.
Allez dans Paramètres – Profils – Groupes , cliquez sur Créer un nouveau groupe .
Nous devons créer un groupe IP pour chaque sous-réseau. Dans cet exemple, il existe quatre sous-réseaux : Default, Clients, SW MGMT et AP MGMT. Saisissez le nom, sélectionnez Type as IP Group (Saisissez le groupe IP). Pour IP Subnet (Sous-réseau IP), saisissez l'adresse réseau de chaque sous-réseau. Par exemple, le sous-réseau IP du groupe Default est 192.168.10.1/24. Cliquez sur Apply (Appliquer) pour enregistrer la configuration.
Le résultat final devrait être comme ceci :
Accédez à Paramètres – Sécurité réseau – ACL – Changer d’ACL , cliquez sur Créer une nouvelle règle pour créer une nouvelle règle ACL.
Saisissez un nom comme Description pour cette règle. Pour Politique , choisissez Refuser , puis sélectionnez tous les Protocoles . Pour Source et Destination , définissez le Type sur Groupe IP , puis choisissez le groupe de clients comme source et tous les autres groupes de gestion comme destination. Appliquez cette règle sur tous les ports. Cliquez sur Créer pour créer cette règle qui refuse aux clients l'accès au contrôleur et aux autres périphériques réseau.
En définissant cette règle ACL, lorsque les périphériques clients sont connectés et obtiennent l'adresse IP de 192.168.20.x/24, ils ne pourront pas accéder au contrôleur ou au commutateur, améliorant ainsi la sécurité du réseau.
Étape 16. Adoptez la passerelle sur le contrôleur Omada (si vous disposez d'une passerelle Omada).
Si vous disposez d'une passerelle Omada, vous pouvez également l'adopter sur le contrôleur Omada pour une meilleure gestion. Mais ici, nous avons déjà changé l'ID VLAN par défaut sur 10, tandis que la passerelle aura le serveur DHCP activé par défaut et se définira sur 192.168.0.1, ce qui entraînera l'échec de l'adoption de la passerelle, nous devons donc effectuer une préconfiguration sur la passerelle avant de l'adopter sur le contrôleur Omada.
Accédez à l’interface Web de la passerelle en accédant à 192.168.0.1, définissez un nom d’utilisateur et un mot de passe, puis accédez à Réseau – LAN – LAN , cliquez sur Modifier sur le réseau par défaut.
Modifiez ce réseau en VLAN 10 et l'adresse en 192.168.10.x/24, par exemple, ici je le modifie en 192.168.10.2. De plus, nous avons activé le serveur DHCP sur le commutateur principal, donc sur la passerelle, nous désactivons le serveur DHCP en décochant la case Activer de Statut . Cliquez sur OK pour enregistrer la configuration.
Après avoir modifié son adresse IP, vous devrez également modifier l'adresse IP de votre PC sur le sous-réseau 192.168.10.x/24 pour accéder à nouveau à l'interface Web de la passerelle.
Accédez à Outils système – Paramètres du contrôleur , dans URL d’information du contrôleur , entrez l’adresse IP du contrôleur : 192.168.50.100, cliquez sur Enregistrer .
Après avoir configuré l'adresse IP du contrôleur, une route statique est également nécessaire pour que la passerelle puisse trouver le contrôleur. Accédez à Transmission – Routage – Route statique , cliquez sur Ajouter pour créer une nouvelle route statique.
Remplissez l' adresse IP de destination avec l'adresse IP du contrôleur, qui est 192.168.50.100 dans cet exemple, et configurez le saut suivant comme adresse IP d'interface VLAN par défaut du commutateur principal, qui est 192.168.10.1. Pour Interface , sélectionnez LAN. Cliquez sur OK pour créer.
Après la préconfiguration, connectez la passerelle à un port du commutateur principal dont le profil de port est défini sur « Tous », et vous verrez la passerelle en attente avec l'adresse IP 192.168.10.2 dans la liste des appareils, adoptez-la avec le nom d'utilisateur et le mot de passe que vous avez définis.
Étape 17. Configurez les routes statiques sur le commutateur principal.
Peu importe que vous ayez ou non une passerelle Omada, il est nécessaire de définir des routes statiques sur le commutateur principal et de transférer tout le trafic Internet vers la passerelle, car tout le transfert de couche 3 est effectué par le commutateur principal et la passerelle par défaut de chaque réseau est définie comme commutateur principal.
Accédez à Périphériques , cliquez sur le commutateur pour accéder à sa page de configuration privée. Dans Configuration > Route statique, cliquez sur Ajouter pour ajouter une nouvelle route statique.
Cochez cette case pour modifier le statut sur Activé . Étant donné que nous traitons de tout le trafic Internet, vous pouvez définir l' adresse IP/le sous-réseau de destination sur 0.0.0.0 et le saut suivant sur la passerelle sur 192.168.10.2. Pour les autres trafics, des itinéraires par défaut plus précis seront d'abord mis en correspondance, il vous suffit donc de saisir 1 pour la distance, puis de cliquer sur Appliquer pour enregistrer la configuration.
Le résultat devrait être comme ceci :
Après avoir défini une route statique sur le commutateur principal, nous devons également définir une route statique inverse sur la passerelle pour nous assurer que tout le trafic provenant d'Internet est transféré vers le commutateur principal. Sur le commutateur principal, nous définissons la destination sur 0.0.0.0/0 et le saut suivant sur 192.168.10.2. Par conséquent, sur la passerelle, nous devons définir une route inverse. Comme les sous-réseaux de ce réseau sont 192.168.10.x/24, 192.168.20.x/24, 192.168.30.x/24, 192.168.40.x/24 et 192.168.50.x/24, nous avons besoin de 5 routes statiques et du saut suivant sur 192.168.10.1, qui est l'interface VLAN par défaut du commutateur principal.
Si vous n'utilisez pas la passerelle Omada, définissez simplement ces routes statiques sur votre passerelle. Si vous disposez d'une passerelle Omada et que vous l'avez déjà adoptée, veuillez suivre l'étape 15 pour définir une route statique sur la passerelle.
Étape 18. Configurez les routes statiques sur la passerelle (si vous disposez d'une passerelle Omada).
Accédez à Paramètres > Transmission > Routage > Route statique , puis cliquez sur Créer une nouvelle route.
Ici, la route statique pour 192.168.50.0/24 a été configurée lors de la préconfiguration de la passerelle. Il nous reste donc à configurer quatre autres routes statiques. Pour les quatre routes statiques, l'adresse IP/le sous-réseau de destination doit être configuré comme 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24 et 192.168.40.0/24, définissez le type de route comme saut suivant et le saut suivant comme 192.168.10.1. Cliquez sur Créer pour créer une route statique.
Le résultat final devrait être comme :
Étape 19. Ajout de commutateurs et de points d'accès supplémentaires au réseau. (Facultatif)
Pour ajouter plus de commutateurs et de points d'accès au réseau, connectez-les simplement au port du commutateur dont le profil est défini sur « Tous », et ils pourront obtenir avec succès l'adresse IP du VLAN par défaut 192.168.10.x/24. Une fois adopté, modifiez leur VLAN de gestion de la même manière que dans les étapes précédentes.
Après cette configuration, la passerelle, les commutateurs et les AP se trouvent dans des VLAN de gestion différents.
Le PC câblé connecté au commutateur obtient l'adresse IP du VLAN client 192.168.20.x/24 :
Le téléphone connecté sans fil obtient l'adresse IP des clients VLAN 192.168.20.x/24 :
Le client ne peut pas accéder aux périphériques réseau gérés :
Jusqu'à présent, nous avons présenté comment configurer un réseau à grande échelle et utiliser différents réseaux VLAN pour gérer la passerelle, les commutateurs principaux, les autres commutateurs et les points d'accès, puis connecter les clients dans un VLAN spécifique et les isoler avec les périphériques réseau. La méthode d'ajout de périphériques supplémentaires dans le réseau en cours d'exécution et d'intégration de passerelles d'Omada ou d'un autre fournisseur est également présentée.
Pour connaître plus de détails sur chaque fonction et configuration, veuillez consulter le Centre de téléchargement pour télécharger le manuel de votre produit.